中美欧个人信息民法保护的比较研究

于锦秋

摘 要：大数据时代背景下，人们使用手机APP的频率日益增加，在使用APP过程中产生的用户个人信息也被普遍授权给经营者收集并使用。如何规制手机APP经营者收集使用个人信息过程中可能产生的侵权风险，实现保护个人信息的目的，成为了目前我国个人信息保护方面亟待解决的问题。通过比较欧盟和美国在保护个人信息方面所构建的法律制度，借鉴其立法成果，对我国现存制度内容进行补充，以期为我国在规制手机APP收集使用个人信息时可能产生的侵权风险方面提供新的民事法律保护路径。

关键词：个人信息保护 民法规制 隐私权保护

中图分类号：F062.5

文献标识码：A

文章编号：1004-4914（2021）04-075-03

大数据时代，数字经济蓬勃发展，在此背景下，手机APP已经成为人们日常生活中不可或缺的一部分。人们在使用手机APP的过程中产生个人信息并授权给APP经营者收集使用，经过经营者的深度加工处理，最终创造经济价值。然而，手机APP在收集使用用户个人信息并创造价值的同时也存在着侵犯个人信息权的风险。2020年第一季度，公安部在依法查处386个违法违规收集公民个人信息的手机APP后，发布了违法收集公民个人信息的十大典型案例，包括“猎豹清理大师”“印象笔记”等10款APP在内，分别存在着不同种类的侵犯个人信息权的行为。

这些行为具体包括：未明确说明收集、使用用户个人信息的目的、方式及用途，未明确取得同意即收集使用用户个人信息，超范围收集用户个人信息等，也较为客观地反映出了我国在手机APP收集使用个人信息时普遍存在的强制授权、过度索权等现象，这些现象的存在，使得手机APP经营者收集和使用个人信息的行为对用户的人身和财产安全造成了巨大的威胁，如何兼顾手机APP收集使用个人信息过程中的用户个人信息安全与处理个人信息创造经济价值，成为必须思考的问题。欧美国家在此问题上的立法探究，为我国规制手机APP侵犯个人信息权风险提供了可以借鉴的思路。

一、欧美规制手机APP侵犯个人信息民法保护概况

（一）欧盟规制手机APP侵犯个人信息民法保护概况

欧洲对于个人数据的保护一直走在世界前端，早在其于1950年颁布的《欧洲人权公约》中就将个人数据作为一项基本人权规定在内。随后，德国1970年出台《德国黑森州数据保护法》，拉开了世界综合性个人数据保护立法的序幕。

如何实现满足成员国之间数据流通便利需要的同时也能兼顾个人数据的安全保障，成为了欧盟在个人数据保护立法中必须面对的问题。出于人权保护的需要，欧盟选择了统一立法模式规范在其境内处理个人数据的行为。从《保护个人信息跨国传送及隐私权指导纲领》《有关个人数据自动化处理之个人保护公约》到《关于个人数据处理保护与自由流动指令》，欧洲个人数据保护框架与原则构建愈发完善，但由于欧洲各国在将上述文件转化为国内法的过程中存在着差异，导致各国在个人数据保护过程中产生的分歧越来越大。因此，被称为“史上最严个人信息保护法”的《一般数据保护条例》（以下简称GDPR）应运而生，成为可以直接在欧洲境内使用的个人数据保护法律。

GDPR通过多种方式为手机APP用户在内的数据主体提供有效救济。一方面，数据主体被赋予了通过多种途径的寻求救济的权利，当个人数据受到侵害时，受害人既可以选择向监管机构提出申诉请求，也可以直接对数据控制者或处理者提起诉讼，还可以请求有关机构、组织代为提起公益诉讼，以实现个人数据权利遭受侵害时的赔偿救济。另一方面，GDPR还通过原则性义务与实质性义务相结合的方式，对于机APP经营者等数据控制者和处理者收集使用个人信息的全过程作出了严格规定。相关规定涵盖了数据控制者和处理者应承担的作为与不作为义务，最终构建出一套严厉的问责制度，一旦违反，可能面临2000万欧元和全球范围内年度总营业额4%中较高者的巨额罚款。2020年6月，法国裁定谷歌公司违反欧盟GDPR有关条款并处以5000万欧元罚款的判决有效，这是欧盟境内首次依据GDPR对企业做出的处罚。而对谷歌这一互联网企业巨头做出的巨额罚款处罚，也对其他互联网企业加快完善企业自身个人数据保护制度发出了信号。

同时，在举证责任方面，当数据控制者或管理者被提起诉讼之后，需要承担举证自己不存在过错的责任，只有当其可以证明自己对损害的发生不存在任何过错时，才能免除赔偿责任。

（二）美国规制手机APP侵犯个人信息民法保护概况

美国在个人信息的保护方面采用“大隐私权”保护的概念，将个人信息纳入隐私权保护的体系之中，从宪法层面确立了个人信息作为公民一项基本人权的地位，为个人信息保护提供了法律依据。

为了尊重市场在经济发展中的调控作用，充分发挥个人信息所具有的财产权属性的特点，相比起政府统一立法对个人信息进行保护，美国更倾向于以宪法为指导，将设立规范的权利下放至各行各业中去。因此，在个人信息保护的立法方面，美国不同于歐盟，采取了分散立法的模式。包括手机APP所处的通讯行业在内，通过由公司或者行业内部自行制定的有关个人信息保护的规范性文件，建立在本行业内普遍遵循并统一认可的规范标准，实现在个人信息保护方面的分业监管，这一立法实践最终形成了美国极具特色的行业自律模式。然而行业自律规范相较法律而言，始终存在着欠缺强制力与执行力的缺点，自“Facebook数据泄露事件”以来，人们对于美国松散的个人信息保护模式存在的质疑声音也越来越大。

美国政府也意识到了当前在个人信息保护中存在的不足，探索着新的保护办法突破困境，此时，《加利福尼亚消费者隐私法案》（以下简称CCPA）的公布似乎为美国个人信息保护提供了统一立法的新发展思路。CCPA赋予了包括手机APP用户在内的消费者一系列金钱或非金钱救济途径，在金钱救济方面，加强了对企业侵权时应负担的民事赔偿责任的力度，如果企业违反隐私法案的相关规定，可能面临着支付每位消费者750美元或最高7500美元的损害赔偿金，以金额较大者为准;在非金钱救济方面则赋予了消费者申请禁令或宣告性法律救济的权利。相较以往而言，CCPA对消费者的救济力度明显增强。

二、我国规制手机APP收集使用个人信息侵权风险民法保护中存在的不足

（一）分散立法的模式存在诸多弊端

目前我国尚未出台有关个人信息保护的专门法，有关个人信息保护的民事法律法规散落分布在众多法律及规范性文件中。《中华人民共和国民法典》（以下简称《民法典》）在人格权编中明确了个人信息的定义，将个人信息规定为与隐私权享有同等地位的民事基本权利，从而为个人信息提供了民事上的原则性保护;《中华人民共和国网络安全法》（以下简称《网络安全法》）对于经营者提出了明确的“告知——同意”义务，并且对经营者在收集使用个人信息时应遵守的原则提出了部分要求;《信息安全技术 个人信息安全规范（GB/T35273-2017）》（以下简称《技术规范》）是我国目前规定较为细致的一部规范性文件，不仅对个人信息及相关术语作出定义，还较为系统地提出了手机APP经营者在收集使用个人信息时应遵循的基本原则和具体规则，为APP经营者规范收集使用用户个人信息的行为提供了指导方案。

综上可以看出，我国关于规制手机APP经营者违法收集使用个人信息问题的法律条文虽然涉及多部部门法，但在每部法律中的规定都较为笼统，可操作性不强，且存在着由于部分定义界限模糊导致部门法之间的衔接存在空白，从而产生处罚能力不足问题，使得有关法律在后续司法实践的过程中应用难度较大;同时，一些规定较为细致的规范性文件由于其自身所处的法律位阶较低，社会影响力不足，即使对部门法中存在的问题有所补充，也仅仅只能对手机APP经营者收集使用个人信息的活动起到指导的作用，无法实现制定文件的预期规制效果。

（二）对违法收集使用个人信息案件救济重刑事轻民事的保护现状存在欠缺

我国对于个人信息保护的救济多采用刑事法律的手段来保障，民事救济相对较少。中国裁判文书网中，从2016年至2020年，与个人信息保护有关的刑事案由文书共262篇，而有关的民事案由文书仅有159篇，约为刑事案由的3/5，存在着明显的数量差距。

虽然自“非法获取公民个人信息罪”和“出售、非法提供个人信息罪”在《刑法修正案（九）》中被整合为“侵害公民个人信息罪”后，刑法对公民个人信息的保护力度有所增加，但是刑法所保护的个人信息范围却依旧有限，保护的方式也存在着缺陷。一方面，由于前置性立法存在缺失，刑法上所保护的公民个人信息多以《网络安全法》中“维护网络空间主权和国家安全”的目的为指导，带有公共利益的性质，对于涉及自然人的一般个人信息和敏感个人信息的保护则存在空白;另一方面，由于刑法自身所具有的谦抑性特征，使得众多违法收集使用个人信息的APP因其行为难以达到犯罪程度而免于遭受刑罚处罚。此外，个人信息在《民法典》中被确定为一项自然人的基本民事权利，过多使用刑事手段而非民事手段对其进行保护存在着打击力度过严的隐患;同时，尽管手机APP经营者在经济实力及专业知识等多方面具有优于用户的能力，但本质上还是属于民事主体范畴，与同为民事主体的用户拥有平等的法律地位，频繁使用刑事手段对其进行制裁，容易干扰平等民事主体之间正常的经济活动，打压APP经营者的积极性，不利于数字经济的进步发展。

（三）隐私权保护的司法救济力度不足

尽管《民法典》规定了侵害个人信息时侵害人应承担民事责任，但由于目前我国国内在个人信息遭到侵权时缺乏相关规定为受害者提供司法救济，因此在手机APP侵犯用户个人信息权民事诉讼案件中，目前仍旧多采用以隐私权为主的保护模式。然而以隐私权为主的保护模式，在提供司法救济的过程中存在着较大弊端。

首先，隐私权在司法实践过程中仅能保护具有隐私属性的个人信息，这使得用户在一般个人信息受到不法侵害后难以获得提起诉讼的法律依据，缩小了本应受到保护的个人信息范围;其次，对个人信息采用隐私权保护，使得诉讼过程中的舉证责任被划分给了提出诉讼的受害人。由于受害人在专业知识和经济实力上与APP经营者相比，本身便存在着天然的巨大劣势，加之侵犯个人信息权行为方式众多，且手段较为隐蔽，因而使得受害人难以实现有效举证，最终承担败诉的不利后果;最后，通过隐私权获得救济，无论是获得财产损害赔偿还是精神损害赔偿，在举证所受损害方面的难度都较大，并且即使举证成功后，受害人所能获得的赔偿数额也十分有限。这让受害人在个人信息的维权过程中困难重重，难以获得个人信息权被侵犯后应有的赔偿，使得民事司法救济在个人信息保护过程中无法发挥其应有的力度。

三、欧美规制手机APP侵犯个人信息民法保护对我国的启示

（一）采取统一立法模式构建个人信息保护的有机体系

相较于美国在个人信息保护领域传统采用的分散立法模式，欧盟GDPR的出台为全球个人信息保护提供了统一立法模式这一新的发展趋势，美国CCPA的颁布似乎也证实了统一立法模式在个人信息保护领域的合理性与必要性。因此，为适应数字经济快速发展的时代背景，顺应全球个人信息保护的立法趋势，我国应当出台一部个人信息保护的专门法。

目前我国已将《个人信息保护法》纳入了立法计划并出台了有关草案，草案在与《民法典》中有关个人信息的概念保持一致的同时，对于个人信息的相关重要概念作了进一步的明确解释，相较以往较为笼统的保护，创新性地对不同种类和不同人群的个人信息制定不同力度的保护措施。在草案中，明确了手机APP经营者在内的个人信息处理者在收集使用个人信息时应遵守的原则和应承担的责任与义务，与先前出台的有关规范性文件相比，强制规范的效果明显增强。

当然，草案内容还存在着一些规定尚不明确的部分，对于APP经营者如何遵守“为实现目的所能收集处理的最小个人信息范围”的标准也较为模糊，在后续立法完善的过程中，可以与我国现有法律文本进行衔接，同《技术规范》中的相关内容有机结合，通过列举的方式为手机APP可收集使用个人信息的最小范围划定界限，实现顶层建设指导与具体实施细则操作的有效配合。

（二）手机APP行業自律与外部监督有效结合

刑法在法律体系中的保障法地位，注定了其所能打击的违法收集使用个人信息案件数量有限。为了改变我国在个人信息保护领域重刑事轻民事的现状，我国可以借鉴美国在个人信息保护方面形成的行业自律模式，加强手机APP行业内部制度建设，同时对其进行有效的外部监督，为规制手机APP侵犯个人信息权行为提出从民事平等主体角度出发的新思路。

我国手机APP行业发展迅速，相关技术更新速度快，单纯依靠国家出台相关法律规定对其进行调控可能存在着滞后性;加之我国地域辽阔，人口众多，仅仅通过有关部门对日益庞大的手机APP行业进行监管难免存在缺漏。通过促进手机APP行业自律，一方面可以形成有关个人信息收集时需提供的格式合同模板、使用个人信息时的技术保护等方面的行业规范，加强手机APP内部对用户个人信息自下而上的自发性保护;另一方面，大数据时代科技发展迅速，由行业自行设立行业规范可以避免法律固有的滞后性对APP经营者在收集使用用户个人信息时设置过多的限制，及时应对行业发展过程中出现的新问题，促进数字经济的发展。同时，行业制度的建设可以有效弥补难以被刑法规制的违法使用个人信息的行为，为我国个人信息保护的有机系统建设提供补充。

当然，我们也应该看到行业自律模式自身存在的欠缺强制执行力、对用户救济不足等问题，通过建立手机APP行业独立的外部监督机构，对APP行业为收集使用个人信息制定的行业规范的实施进行全面监控，督促有关企业落实规范中的相关责任。通过行业自律与外部监管结合，能够增强企业自身的法制意识，调动APP经营者的主动性和积极性，从而发挥民事主体自身在保护个人信息中的作用，从源头减少或避免手机APP侵犯个人信息权的行为，实现对个人信息有效保护。

（三）发展和完善个人信息权诉讼救济方式

《民法典》确立了个人信息作为自然人一项基本民事权利的地位，这也为个人信息脱离隐私权保护模式，形成自己专属的民事诉讼模式创造了可能。《个人信息保护法（草案）》考虑到了自然人个体在个人信息侵权案件中所处的弱势地位，采纳了GDPR中有关举证责任倒置的保护模式，将手机APP在收集使用个人信息侵权案件中的举证责任划分给了APP经营者一方，只有当其能证明自己在这一过程中不存在过错时才能减轻或免除其赔偿责任。这样一来减轻了受害人在个人信息侵权案件中的负担，也有利于受害人积极行使诉权，监督手机APP经营者履行保护个人信息的责任。在后续完善立法的过程中，可以根据个人信息的种类制定减轻或免除赔偿责任的标准，与个人人身或财产安全息息相关的敏感个人信息在减轻或免除赔偿责任时应满足的条件及可减免的范围应明显小于一般个人信息，甚至在一些涉及自然人最为私密的个人信息保护上，可以考虑适用无过错责任以限制APP经营者收集使用此类个人信息。

同时，考虑到个人信息自身所包含的人身权属性，在数据流动速度空前加快的今天，某些个人信息一旦泄露，可能对自然人的日常生活造成严重的影响，甚至使自然人产生精神损害。因此，在草案现有的财产损害赔偿的基础上引入精神损害赔偿是十分有必要的。通过财产与精神损害赔偿相结合的方式，丰富和发展民事诉讼中对个人信息侵权案件受害人的救济方式，避免受害人维权成本远高于所获赔偿数额的现象发生，造成受害人的二次损害。

四、结语

欧美在个人信息保护方面的民事立法为世界各国处理个人信息高效利用与保障个人信息安全之间的关系问题提供了许多可以借鉴的经验，结合我国目前在民事领域规制手机APP收集使用个人信息侵权风险的现状与存在的问题，通过立法、执法与司法的全过程联动保护，提出完善个人信息保护法律体系、行业自律与外部监督有效结合、为受害者提供多种类型的救济途径的建议，以期实现推动数字经济发展与保护个人信息权并重的目的。

[本文为2020年国家级大学生创新创业训练计划项目“大数据背景下手机APP收集使用个人信息侵权的民法规制”（项目编号：202010225056）]

参考文献：

[1] 京东法律研究院.欧盟数据宪章：《一般数据保护条例》GDPR评述及实务指引[M].北京：法律出版社，2018.

[2] 陈晨，李思頔.个人信息的司法救济——以1383份“App越界索权”裁判文书为分析样本[J].财经法学，2018（6）：102-113.

[3] 畅萌.民法视角下的个人信息保护研究[D].河南财经政法大学，2020.

[4] 曾磊.我国个人网络信息保护立法的制度构建[J].广西社会科学，2020（5）：126-131.

[5] 项定宜.比较与启示：欧盟和美国个人信息商业利用规范模式研究[J].重庆邮电大学学报（社会科学版），2019（4）：44-53.

（作者单位：东北林业大学文法学院 黑龙江哈尔滨 150040）

（责编：贾伟）