《民法典》视角下个人信息的法律保护

赵梦茹

西藏大学，西藏 拉萨 850000

一、个人信息保护的背景、意义以及本文的研究方法

（一）研究背景

在网信技术处于高速发展的今天，个人信息正在变得前所未有的重要，个人信息在商业价值上的运用促进了数据产业高质量发展，使个人信息主体受益。例如：网约车平台通过定位追踪的方式保障乘客安全、“刷脸支付”给人民生活带来便利等。但是随之而来个人信息的保护也给法律带来了新的挑战。

《民法典》是在我国社会经济等各方面不断发展的背景下，对原先各民事单行法进行体系化编纂，其立法目的在于发挥法典形式的系统化效应。在《民法典》中人格权首次独立成编，改变了曾经零星分布在多部法律的现象，该编也引发了相当多的关注。在现今的互联网大时代，大量网暴事项和盗取个人信息的案件急需成型的法典来进行规范。

（二）研究意义

《民法典》在实际运用中对个人信息进行保护时，重点是要把握好《民法典》人格权编与其他编之间的联系。人格权不是一成不变的，而立法需要严谨性也有一定延迟性，需要在实际操作中基于《民法典》的架构及内容，做出更加完善且严谨的司法解释体系，来更为有效地指导司法实践，达到更好地保护个人信息的效果［1］。

新颁布的《民法典》不是对过去众多民事立法的推翻重编，而是基于“取其精华”的原则，对之前民事立法在有序整合的基础上，根据人民美好需求又进行了全面完善。在大数据高速发展的今天，高新技术企业能根据网络快速搜集到潜在客户的个人信息，并在客户不知情的情况下利用其个人信息，特别容易造成个人信息被盗取的现象。一方面不利于社会的平安稳定；另一方面也容易造成群众对个人信息被泄露的恐慌。

（三）研究方法

1.文献研究方法。对《民法典》和其他成文法中关于个人信息的保护条例进行深入研究，理清立法精神，并为本文关于个人信息的法律保护研究提供参考。

2.比较研究方法。本文对我国和外国关于个人信息的相关内容进行比较分析，面对现行的个人信息保护理论观点提出相应看法，尝试探寻我国个人信息法律保护之路。

3.案例研究方法。本文联系实际案例进行归纳总结，使本文研究内容更有实际意义，更有助于对个人信息的法律保护提出建议。

二、《民法典》时代下个人信息保护现状

（一）侵犯个人信息的行为分类

1.个人信息被非法收集

在大数据高质量发展的同时，个人信息也实现了不同客户端之间的无障碍传递。网络运营商通过大数据收集大量个人信息，收集完成后，利用大数据对个人信息处理分析，通过个人录入的喜好、日常轨迹等信息将客户类型分类汇总，向客户推送有关信息，通过定向营销来收集利润。网上甚至出现公然出售个人信息的现象，非法组织或个人把客户的个人信息公开给有需求的商家甚至犯罪组织［2］。因此造成或者推动了下游犯罪情况的发生，信息被侵损已经是下游犯罪的前提条件，例如我国多发的各种精准诈骗。

2.非法披露个人信息

某些网络运营商和非法组织在利益面前毫无底线，在无用户授权的前提下，私自披露用户的个人信息，最终造成用户收到很多骚扰电话和信息。更有甚者恶意泄露特定人员的个人信息，例如“人肉搜索”第一案“王某诉A网站案”，由于原告个人信息被非法披露，从而出现原告被许多网民登门骚扰的后果，导致原告的正常生活和人身安全得不到保障，该案在全国来说影响恶劣。

3.个人信息被非法利用

个人信息被非法利用极大影响着人们日常生活，例如购物时“大数据杀熟”、上网浏览信息时页面推送定向广告等。用户上网浏览网页、沟通传递等日常操作中，任意一个日常行为都可能使个人信息被泄露。商家利用泄密的个人信息进行数据分析，实现推送特定广告和商品推荐，占用和浪费客户的时间。个人信息被非法利用也会导致其他问题，例如社会分选和歧视现象。社会分选指利用个人信息，用多个标度将用户群体分为几种类型，将客户对号入座并区别对待，从而导致歧视现象的产生。例如2018年“B顺风车属性标签事件”，剥夺乘客对于社会的安全感，造成了“赵某辰遇害案”“郑州空姐遇难案”等恶性事件。

（二）个人信息侵权行为原因分析

1.新型损害难以证明

个人信息被侵权易导致针对个人的新型损害，但是这种新型损害却很难得以证明，而且很难用经济价值证明受损程度，仅仅知道个人信息被泄密难以证明对其存在实际损害。例如“朱某诉C公司隐私权纠纷案”中，朱某所诉C公司在未征得本人同意取得下私自分析处理了她的网页浏览记录，并对她精准推送相关的推销广告使得其本人感到惶恐不安、精神高度紧张。法院判定C公司不构成侵权行为，其中原因之一在于朱某无法有效地证明C公司推送的有关减肥、流产和隆胸的广告对其造成的经济损害。

2.信息不对等性

在个人信息被侵权案中，个人与信息处理者之间掌握的信息具有不对等性，自然人无法第一时间知晓本人信息被谁侵权。对此现象，根据《民法典》第一千一百七十条，可以用“共同危险行为”作为法律依据。

3.事实不确定性

在个人信息被侵权的过程中，事实不确定性妨碍救济渠道，加大信息主体列举证据的难度。以“庞某鹏案”为例，原告庞某鹏是信息主体，但其无法得知自己的个人信息是由哪一方泄露。如果几个信息利用者一起造成庞某鹏的个人信息泄露，原告也难以证明损害结果与个人信息泄露行为之间的因果关系。因此按照《民事诉讼法解释》规定要求，原告庞某鹏只能证明损害后果，其他都存在事实不确定性，例如相关因果关系、加害行为和行为人主观过错。

三、《民法典》对个人信息保护规定存在的局限性

（一）现有侵权责任编无法有效保护个人信息

《民法典》中侵权责任编对信息主体的信息保护主要分为以下两个方面：一是《民法典》中第一千一百九十四条至一千一百九十七条完善了网络侵权责任；二是第一千一百六十五条规定的过错责任原则。通过分析公安部门公布的2021年个人信息保护十大典型案件，发现多数都是发生侵权后交由刑法调整。由此发现，在刑法未保护之前，法律是否处于真空状态？笔者认为在个人信息侵权案中这种现象的出现，是因为个人与信息处理者之间的信息不对称性导致的，信息处理者技术先进，而个人在立案前甚至不知自己的个人信息被侵权，法律也难以介入［3］。

（二）知情同意原则无法有效保护个人信息

1.知情同意的有效性难以得到充分的保证

《民法典》第一千零三十六条规定了不需要承担责任的情形，但在实际应用中“知情—同意”原则饱受争议，究其原因是“知情—同意”原则的形同虚设。第一，由于信息利用情况纷繁复杂，信息主体大多是非法学专业人员，法律意识和相关专业认知淡薄，无法预知信息处理者是如何操作其个人信息，信息主体只能为了进入系统或得到服务而被动接受，这种强制性操作造成“知情—同意”原则成为一种形式；第二，将“知情—同意”原则运用于很多APP和程序会无形中增加信息利用者的成本，一旦产生纠纷时，“知情—同意”原则反而成为信息利用者不承担法律责任的事实和理由，个人始终处于弱势地位。

2.“知情—同意”原则前置性限制了同意的有效性

“知情—同意”原则的最初目的并不是为信息处理者收集、使用个人信息提供免责性规则，而是信息处理者在为个人提供服务的同时，触发了“知情—同意”原则，与用户是否同意无关。在一定程度上来说，“知情—同意”原则并未约束信息处理者的行为，而是变成信息处理者越权收集、处理个人信息的避风港。现在的“用户同意”已成为必要规则，导致“知情—同意”原则被广泛滥用，同意的有效性很难起到保护个人信息的作用。

四、个人信息法律保护之完善建议

（一）三元归责原则体系的建立

1.信息处理者的直接侵权

首先，机关公务人员通过技术手段导致个人信息被侵权的情形，可以适用于无过错责任原则。政府是最大的信息管理操作者。如果完全依靠自动化技术处理个人信息将会给人格权带来“自动化危险”，而人工处理则不会出现这种风险。因此，如果个人信息处理者是行政机关，其行为的合法性将通过机关部门证明，避免无过错责任可能造成的不良影响。

其次，若是利用大数据技术的其他主体导致个人信息被侵权的情形，应使用过错推定责任原则。其他主体不同于行政机关，由于获取个人信息的能力相对较弱，分析水平较差，所以对个人信息的注意标准也不严谨。因此，如果个人信息处理者是非行政机关，应设定过错推定责任，其行为的违法性将通过信息主体承担证明责任。

最后，未利用大数据技术的个人信息处理者，其导致个人信息被侵权的情形，应使用一般过错原则。诉讼双方在列举证明和诉讼能力的不同是由于大数据技术的利用差异，无须考虑信息主体是否为网络服务提供商。

2.网络服务提供者的间接侵权

因为信息处理的外延十分宽泛，包含个人信息的收集、存储、应用等。因此个人信息处理者除了会因为主观能动性承担直接侵权责任，也会作为网络服务提供者因为各种网络活动承担间接侵权责任。

《民法典》第一千一百九十五条对“避风港”规则进行补充，具体表现为：完善通知原则、优化删除规则、新增反通知制度，能够在一定程度上为网络服务提供者规避法律风险，但“避风港”规则并不是挡箭牌，该条规定亦可进一步完善。第一，应对网络服务提供者未及时转送等的责任作出规定。笔者认为应对网络服务提供者接到通知后未及时转送和反通知的责任明确相应责任，理由是“当导致转送人和反通知人的民事权益损害时，应该承担相应责任”。第二，应明确规定不符合法定要件通知和反通知的后果。因为在实际操作中用户有主观和客观因素，其作出的通知和反通知声明很难都具备法定要件，所以若根据司法解释直接对网络服务提供者作出免责，相对于让用户放弃实体权利，对于后者来说太过严苛。

（二）进一步完善知情同意原则

1.细化告知形式

当前“知情推定”是若甲方已提前告知乙方，则推定乙方已知情。但是在实际操作中，并不是全部的告知都建立在对方已知晓真实情况下，因此需要明确告知过程中的细节。通过分析国内外告知形式，笔者认为“知情—同意”原则中的告知程度应满足如下条件：首先是告知内容应符合常理认知，避免歧义的产生；其次是在条款中，明确列出责任的细化，以免产生矛盾；最后是尽可能避免口头告知，形成书面或电子回执，方便证明。

2.明确无需执行知情同意原则的例外情况

信息主体无法保证其个人信息不被任何人得知，也无法全部掌握其个人信息，所以在流通过程中预留自由空间是很重要的。企业或个人在对个人信息进行收集利用过程中，若过度依赖知情同意原则，则会导致信息流通过程中的明显阻塞、成本的增加及效率的降低。为了综合安全、成本、效率等各方面的因素，需要明确一些无需执行知情同意原则的流程，对此可以减少过度同意造成的不便［4］。

结合国外其他国家的实例进行参考，并联系我国的实际情况，也需要规定一些无需执行知情同意的流程。（1）司法取证过程；（2）维护国家安全统一需要；（3）为防止信息主体遭受侵权；（4）个人需履行特定义务时需要收集其个人信息；（5）与信息主体签订合同并严格遵守保密协议；（6）公众人物同意公开的个人信息；（7）政府公共管理需要收集个人信息。以上情形需严格规定保密工作并严防泄露个人信息，个人信息的实际用途和传播方式需遵守法律法规。

（三）多个信息处理者情况下适用因果关系推定原则

对于个人来说，一旦其个人信息被侵权，很难精准地确定侵权行为与造成后果之间的联系。在庞某鹏案中，一审由于庞某鹏未拿出有力证据证明D公司的侵权责任，从而导致其请求被驳回，其后中院改判A公司和E航空公司向庞某鹏道歉。本案中，最后的判决主要依据法官的实际经验判断，从而造成一审和二审差距较大。由此可知，在个人信息被侵权案中，仅有两个信息处理者情况下都很难证明侵权行为与造成后果之间因果关系，何谈有更多信息处理者的情况。实际中，随着各个网络公司之间的紧密联系，一旦个人信息被侵权，出现多个信息处理者的情况会更多。面对这种情况，笔者认为需用因果推定规则解决以上情况。

侵权案中适用的因果关系推定原则指信息主体发现被侵权时，推测侵权行为与造成后果之间的因果关系，若信息处理者认为其行为与损害后果无因果关系，则需要其举证证明在任何情况下都无侵权责任。因果关系推定原则需有两个前提：一是须适用于多个信息处理者的情况；二是须适用于大数据技术处理的情况。

五、结论

本文从《民法典》视角研究个人信息的法律保护，具体对个人信息的现状进行分析并加以案例佐证，梳理出个人信息保护目前面临的一些困境。需要建立三元归责原则体系来明确侵权责任认定，并通过进一步完善“知情—同意”原则来减少信息处理者的责任。随着《民法典》的运用，个人信息的法律保护也愈加成熟，有利于促进社会法治建设的推进。