《个人信息保护法》的亮点条款与内容局限法律规制研究

□ 文 李 莉

0 引言

随着大数据与互联网时代的深度发展，网络空间逐渐成为人们交流信息的平台，在网络带来极大便利的同时，网民的个人信息也无处遁形，其中不乏市场主体实施非法搜集使用网民个人信息的违规违法行为，《个人信息保护法》的出台不仅明确了旧法之规定，更是对时代的回应。其中首次适应个人信息未来流动趋势将个人信息保护管辖范围扩大至域外，区分并重点保护敏感个人信息，明确采用过错推定归责原则以填补侵权私法救济缺陷，确立知情加同意原则更是使得个人信息保护落到实处。但目前个人信息法律属性仍不明，应定位为一项法定权利而非法益，敏感个人信息不宜笼统照搬过错推定责任原则，应与一般个人信息区分适用无过错责任原则，网络侵权具有开放流动特性严格比照侵权要件很大可能会使信息主体维权愿望落空，侵权因果关系可采用高度可能性标准加以判断。

1 《个人信息保护法》的亮点条款解读

1.1 适用范围扩大至域外

已有的法律法规对个人信息的保护仅局限于境内，无法适用互联网时代发展趋势。根据《电信和互联网用户个人信息保护规定》第二条，“在中华人民共和国境内提供电信服务和互联网信息服务过程中收集、使用用户个人信息的活动,适用本规定。”是将个人信息保护的适用范围，限制为域内，并不产生域外效力。其次，《网络安全法》第二条也一并采用域内适用范围，《民法典》对此没有作出明确规定。

面对以上保护危机，《个人信息保护法》承担了使命，首次明确了在境内使用个人信息的活动，受我国法律管辖，在境外使用个人信息的活动，我国同样有权管辖。此项规定，不仅关注到网络空间的域外性，个人信息既在国内流动也在国际流动，在国际交往中个人信息跨境流动更是隐患重重，稍有不慎网民的信息很容易被收集利用。《个人信息保护法》还明确了我国对个人信息的“长臂管辖”，为未来有效规制个人信息域外保护提供法律依据。

1.2 增加敏感个人信息的规定

《个人信息保护法》借鉴了欧盟《一般数据保护条例》的做法，首次将个人信息区别为敏感个人信息与非敏感个人信息。一方面，明确了敏感个人信息的范围，敏感信息是指一旦泄露或被非法使用，将对人格尊严和人身财产安全造成严重侵害的信息。另一方面，将未满十四周岁未成年人的个人信息，纳入敏感信息范畴，加强了对未成年人的保护。

增加敏感个人信息规定，有利于保护网民个人信息的合法权益。正如前文提到，相较于非敏感个人信息，泄露或滥用敏感个人信息，对人格尊严和人身财产安全造成危害更大，因此将其区别对待，予以更严格的管理要求，是理所应当的。例如，网民的指纹等生物特征信息泄露时，必然会担心诸如电子锁被盗窃的危险，而此种心理的不安和压力，人身财产安全的损失，是非敏感信息难以比拟的。《个人信息保护法》采用“单独同意”与“书面同意”处理规则，以及“再次告知义务”，予以更严格、规范的适用要求，显然，更加合理与必要。

其次，利于平衡个人信息利用与保护的关系。在互联网时代，信息交流成为必要，完全禁止个人信息的利用是不现实的，如何规制个人信息的利用与保护成为核心问题，对个人信息敏感与否的区别，有利于进一步划清保护与利用的边界。

1.3 明确侵权责任归责原则

侵权责任是个人信息权益的重要救济途径，法律应明确其归责原则，合理对个人信息主体倾斜，为其提供有效私法保护路径。个人信息之侵权责任，《民法典》人格权编仅作“个人信息应受法律保护”规定，将个人信息保护途径指向了侵权责任；侵权责任编，又未具体规定归责原则，按照一般侵权责任原则出发，侵权责任应为过错责任原则。但是，在互联网时代，网络信息流动速度快，信息收集、储存、处理、使用环节复杂，信息主体不再单一，且存在信息主体交叉现象，要求经济、技术实力处于弱势的网络用户，承担证明信息处理者具有过错的责任，责任较重，难度过大，网络用户甚至可能连基础的证明事实都存在困难。如网络用户难以辨别和查清，究竟是谁客观上实施了泄露信息的违法行为。

因此，《个人信息保护法》第六十九条，规定个人信息之归责原则为过错推定原则。一方面，减轻了被侵权人的举证责任，利于网民个人信息权益保护。网民无须证明侵权人具有过错，大大减轻了证明难度，极大提高信息主体维权积极性。另一方面，顺应了互联网时代发展潮流，一定程度上关注网络行业发展需要。一是在过错推定原则基础上，网民虽不用证明信息处理者具有过错，但仍需承担基本事实的证明责任。二是与无过错责任原则相比，只要信息处理者尽到了个人信息妥善保管、利用、处理义务，经过信息主体“知情同意”处理个人信息，非过失或故意的造成信息主体个人信息权益受损，信息主体者就不会面临承担侵权责任的法律风险。

侵权责任是个人信息权益的重要救济途径，法律应明确其归责原则，合理对个人信息主体倾斜，为其提供有效私法保护路径。

1.4 确立以“知情同意”为核心的个人信息处理规则

知情同意原则是指信息处理者在收集个人信息之前，须向信息主体充分说明，有关个人信息被收集、处理和利用的情况，并在知情的基础上作出同意或拒绝的意思表示。《个人信息保护法》实际上细化了《民法典》关于知情同意原则的规定。《民法典》一千零三十五条、一千零三十六条，均明确收集个人信息应取得自然人同意，这两条法条可视作确立了同意原则，但知情原则和拒绝权利无从依据。

《个人信息保护法》对此一一作了详细明确规定，首先第十三条和第十四条分别确立了同意原则和知情原则。其次，第十五条、十六条赋予信息主体拒绝的权利，切实保障网民个人信息权益。而且，第十七条更是规定信息处理者应以简单浅显的文字履行告知义务，明确了告知何以达到知情权的标准。《个人保护法》通过较为完善的立法，确立“知情同意”个人信息处理规则，通过对信息处理者施加法律义务，赋予信息主体法律权利，指明了个人信息保护的请求权基础，即“向哪个主体，依据什么法律规范，主张什么权利”的请求权基础。

2 《个人信息保护法》的内容局限

2.1 个人信息作为民事权益不能实现完全保护

网络用户的个人信息不容网络运营者侵犯，法律毋庸置疑应当保护，但将个人信息视为“权利”还是“法益”进行保护，存在学术争议。笔者认为权益保护不能达到权利保护的效果。个人信息界定为一种民事权利，不仅在法律上受到保护，而且要求个人、企业、国家等都予以相当尊重，能够达到个人和公权力都不受侵犯的地步。另外，个人信息权能够为救济提供法律依据，作为一项民事权利，自然适用侵权责任法有关救济规则，这些都是作为权益保护所不具备的。

《个人信息保护法》将个人信息视为权益保护，可能意图兼顾个人信息保护与利用的平衡，但这种关注网络大数据行业发展的需求，是否意味着牺牲了网民的个人信息合法权益呢？因为，权利保护，要求任何人未经信息主体同意，不得进行任何收集和使用，享有一种绝对的、排他的支配权，在此种情况下，网民的个人信息很难受到侵犯。而作为权益保护，很难达到以上全面保护、完整保护的效果。

2.2 过错推定原则不利于保护敏感个人信息

敏感个人信息与信息主体人身权益、财产权益紧密相关，对其收集、处理本身就具有高度危险性，一旦信息处理者管理不慎，造成的损害难以计算和弥补，采取过错推定原则，其力度不足以保护敏感个人信息，否则，也不必将个人信息类型专作区分，因此对敏感个人信息的立法保护，理应设置更高的要求。根据《个人信息保护法》第六十九条规定，该条明确了个人信息侵权之归责原则为过错推定原则，主观过错采取一种责任倒置。也就是说，信息主体虽不用证明信息处理者主观过错，但仍有义务证明其他事实。

另外，许多情形下，过错推定原则实际上给予了加害人逃避责任的机会。比如，身份证号码、银行账户等敏感个人信息，被泄露或者被非法利用，如果信息处理者能够证明，非加害人过错造成的，则无须承担侵权责任，信息主体的权益无法得到维护，造成的巨大人身、财产损失无法弥补。因为，根据过错推定责任，加害人想要证明其不具有过错，尚属可能，加之信息处理者往往是具有超强科技实力、证明能力的法人，证明不具有过错的可能性更是大大提高。过错推定责任原则实际上是国家给网络大数据行业开了“一道口子”，一定程度上关注大数据产业进行信息利用的必须性，但这道“口子”不能延伸至敏感个人信息，敏感个人信息因其固有特性不宜适用过错推定责任原则。

2.3 网络侵权特性不适用传统因果关系

由于网络空间的开放性、流动性，信息主体很有可能在多个平台上都填写相关个人信息，当损害发生，难以唯一证明，某一个平台具有因果关系，即无法向法院证明排除其他主体、其他渠道泄露的可能。侵犯个人信息因果关系证明难度，并不亚于证明主观过错的难度，正是由于个人信息因果关系难以证明，有学者统计司法实践中导致接近一半的原告因此败诉。

网络空间侵犯个人信息权益，已无法照搬传统的因果关系理论。另外，与传统侵权不同，传统模式下，侵权之因果关系较明晰，如食品质量不合格、侵犯肖像权、名誉权等。网络侵犯个人信息的因果关系并不明显，信息主体可能已经尽其全力证明，造成的损害，极有可能是某一个信息处理者实施的，如果严格按照传统因果关系加以裁判，信息主体维权愿望将会落空，也不利于激发信息主体维权积极性。对因果关系证明标准，《个人信息保护法》并未作相关说明，笔者认为，《个人信息保护法》作为一部全方位、系统性保护个人信息的法律，应秉承其立法目的，指出合理有效的解决方式。

《个人信息保护法》作为一部全方位、系统性保护个人信息的法律，应秉承其立法目的，指出合理有效的解决方式。

3 《个人信息保护法》的未来完善趋势

3.1 个人信息应权利化予以保护

个人信息法律属性和民法定位学术存在争议，《民法典》亦持谨慎态度较为保守称之“个人信息”。有关法律属性争议首先是“权利”与“权益”二者的对立，其次是作为“一种新型权利”还是“独立的人格权”之间的争议。但无论是哪种说法，法益保护力度达不到个人信息保护需要亦无法有效解决现存侵害个人信息的行为，应赋予“个人信息权”的权利化定位。

有学者认为，从一个既存权利的具体化从而成立法律权利的合理性角度论证，证明难度较小，由此支持个人信息是一项独立人格权,基于以色列学者Alon Harel论证一项新型权利方法论，个人信息正是人格权互联网时代下的产物和网络领域个人尊严的体现,并且二者内在理由高度一致，内涵价值都主张对人理性和权利的尊重。另有学者认为，个人信息应视为一种新兴权利予以规制,首先个人信息权成立新兴权利的判断标准，一方面个人信息与已有的权利具有共同的法律基础，人格权强调人的尊严和人的自由，个人信息同样基于信息主体享有的信息自决权体现出对个人信息的尊重,另一方面，个人信息与已有权利又存在差异性，个人信息与隐私权相比具有明显的财产属性和一定程度上的可交流性。

无论以上“独立人格权说”，还是“新型权利说”，都认同将个人信息视为某种权利作为民法定位，并且从域外经验角度，“个人信息权”已经是国际主流趋势，个人信息权权利化具有合理的法律理论基础和正当性根据。

3.2 敏感个人信息应采用无过错责任

敏感个人信息其本质上区别于一般的个人信息，若将一般个人信息保护方式笼统套用实在不妥，应根据个人信息的不同种类给予不同的保护。因此，一般个人信息应适用过错推定原则，敏感个人信息适用无过错责任原则。

一方面，为了协调社会各方利益，对一般个人信息采取过错推定，能够实现个人信息的保护与利用之间的平衡。基本事实证明责任由信息主体承担，主观过错证明责任由信息处理者承担，是较为公平地分配了双方的权利与义务。其次，过错推定，既能够一定程度减轻信息主体的诉讼负担，又能够督促信息处理者足够重视个人信息合法且合理的处理。

另一方面，关注到敏感个人信息对信息主体，人身权益、财产权益的重要意义，给予敏感个人信息更加严格的保护要求。过错推定与无过错责任的不同在于，证明的内容不同。过错推定，加害人须证明，加害人没有过错；无过错责任，加害人须证明，损害不是受害人的过错引起的。信息处理者证明，没有过错，尚且容易，但证明个人信息的损害，不是信息主体过错导致，实属困难。这样，对敏感个人信息的保护力度大大增强，又能在一定程度上，倒逼信息处理者谨慎对待敏感个人信息，有一定程度上预防敏感个人信息侵犯的作用。

3.3 因果关系宜采用高度可能性判断标准

在司法实践中，个人信息侵权之因果关系是成立侵权的一大难题，但也有法官适用“高度可能性标准”，认定信息处理者与个人信息遭受损害之间达到了一种高度可能性，破解了因果关系认定的谜题。

笔者认为，采用高度可能性判断标准，认定个人信息因果关系，非常合理。第一，该标准仍然尊重原有的举证原则，对原有的举证制度不过多改变，由信息主体承担举证责任。第二，使得信息主体维权具有可实现性，网络空间具有隐蔽性、匿名性，究竟是谁实施了侵害个人信息的行为，侵权人并不会留下姓名，且也无从查证，如果要求无论是技术还是经济实力都较弱的信息主体，完全排除第三人渠道，去证明加害人侵权的唯一性，不具有现实性，违背法律不强人所难之原则精神。第三，信息处理者往往是具有较强证明能力的一方，要求承担反证责任，并不会过于加重负担，还会倒逼信息处理者更好地降低信息泄露的概率，利于个人信息的保护。

4 结束语

“法律的生命在于实施”。只有赋予个人信息权利化之保护，将一般个人信息与敏感个人信息分别适用过错推定责任与无过错责任归责原则，结合事实根据采用高度可能性标准以认定侵权因果关系，才能真正促进个人信息全面保护，实现个人信息利用与保护之间的平衡，为个人信息保护构筑起一个更坚实缜密的屏障。■