我国网络环境下个人信息的法律保护研究*

贵州民族大学 颜华楠，朱宁莉

关于公民个人信息的立法保护，起源于20世纪70年代的欧洲。当时大陆法系的部分代表国家为了防止公权力机构对公民个人信息过度的收集和处理行为，接连颁布了关于个人信息保护的专门法律以遏制公权力对个人信息的不当收集和处理。如今，随着时代的飞速发展和信息科技日新月异的进步，人们越来越依赖于通过线上平台解决日常需要。人们可以通过网络购物平台、网约车软件等解决衣食住行，通过社交和办公软件满足工作和学习、生活的需要，乃至通过第三方小程序完成水电缴费、立案申诉等公共服务。而在这些过程中用户的个人信息被各种类型的信息处理者收集、利用、存储和分析，其中占绝大多数的信息处理者是互联网企业和网络平台等网络服务提供者，他们将这些个人信息与人工智能技术相结合，勾勒出用户画像以精准投放产品，并存在与关联第三方对用户个人信息进行合作使用的行为，以力求将个人信息的商业价值最大化。在个人信息中的数据信息逐步成为企业核心资产的同时，对个人信息的保护已成为信息时代下广大人民群众最直接、最现实的利益保护需要。[1]

一、《个人信息保护法》与《民法典》之间的关系

《个人信息保护法》主要规定了个人信息的处理规则，明确了信息处理者的责任和义务以及在信息收集处理过程中应当秉持的原则和遵守的程序，同时明确了个人对其个人信息享有的权利。除此之外，《个人信息保护法》的亮点创新之处还在于规定了不同于一般信息的敏感个人信息及其处理规则和个人信息跨境提供的规则。《个人信息保护法》的内容大多数在于规制企业和网络平台等私立部门的信息处理行为，但也涉及对国家机关收集、处理个人信息和保护、监督管理个人信息行为的规则。《个人信息保护法》是我国在之前的努力下做出的划时代的创新立法，我们需在规划好的范围之内进行个人信息权益的保障与合理利用信息的双重平衡。

《民法典》第四编人格权的第六章以“隐私权和个人信息保护”进行了专章规定，其中对个人信息保护进行了基础规定，包括个人信息的定义、处理个人信息应遵循的原则和条件、免责事由、个人信息主体的权利、信息处理者的义务和公权力机构及其工作人员的保密义务。从《民法典》的规定来看，个人信息属于民法领域中被确认的重要民事权益，且属于人格权益。结合关于隐私权的规定，可以看出隐私权与个人信息存在交叉关系，因此民法将其入典，是基于保护人格尊严和人格自由的需要，在如今的网络信息时代，个人信息的保护事关个人的尊严、自由乃至安全。[2]

《个人信息保护法》以《宪法》为制定依据，具有本身的独立性与逻辑性，但体系上仍与《民法典》规定的内容相协调。《民法典》作为保障私权利的基本法，在其确立了个人信息的权益地位后，《个人信息保护法》中关于个人信息保护的私法规范应属于特别法。[3]由于《个人信息保护法》规定的细致全面，在其所涉及的内容上应优先适用《个人信息保护法》；而在《个人信息保护法》没有明确规定时，可根据《民法典》中关于人格权保护和侵权责任的相关规定进行兜底和补缺。[4]如《个人信息保护法》第69条对侵害个人信息的损害赔偿责任，根据字面文义来解释，应限定于财产损害赔偿。而《民法典》第1183条规定了侵害人身权益造成严重精神损害的，有权请求精神损害赔偿，这一规定就拓宽了个人信息主体的事后救济范围。

二、个人信息处理的合法性基础

（一）告知同意规则

在《个人信息保护法》未出台之前，各大APP和网络平台在用户初次登录或注册之时，经常以“不同意就不提供服务”的形式变相强迫用户同意其全部信息处理规则。下述案情为笔者在中国裁判文书网上查找。

案情简介：胡女士通过某一旅游服务APP预定了大床房一间，后退房时，胡女士发现酒店开具的发票上价格与其在APP上所预定的价格相差1500多元。于是胡女士向该APP的售后客服进行了投诉，但客服处理的结果让胡女士并不满意，故其向法院提起诉讼维护权益。在诉讼过程中，胡女士主张，该旅游服务APP应当增加不同意《服务协议》《隐私政策》也可使用的选项。

法院判决：二审法院审理认为，根据法律和相关规范性文件的规定，胡女士具有非必要个人信息使用拒绝权。平台经营者对用户个人信息的处理行为应当遵循合法、正当、必要原则。该APP经营公司变相强迫用户同意其信息收集处理协议，且并未明确个人信息收集范围，属于不当收集、使用用户个人信息的行为。但对于胡女士的诉请，法院认为，增加此选项意味着全盘否定《服务协议》和《隐私政策》内容，但这是网络平台提供服务的基础，从实际出发这一主张超出了权利救济的必要范围，同时也关乎着众多用户的使用感受和利益，在个案中法院应持谨慎态度，不宜直接要求涉案APP增加这一选项。

如今，《个人信息保护法》明确规定了告知同意规则，要求网络平台等信息处理者将符合法律、其目的和用途的个人信息收集范围和处理方式诚实透明地告知用户后，得到用户同意才可处理授权范围内的个人信息。该规则是基础的、核心的个人信息保护条款，是尊重人格尊严和保护人格自由发展的体现。同时，根据个人信息的分类，一般信息和敏感个人信息在同意的形式上也不相同，由于敏感个人信息与个人人身的紧密性更强，对人格尊严、人格自由的价值体现更多，因此只有在目的充分、手段必要的前提下才可收集处理，并需要得到信息主体的单独同意。

同时，为了实质保证个人信息主体在高度数字化、信息化时代下的信息控制权与自主权，《个人信息保护法》第16条规定了作为信息处理者的互联网企业和网络平台等网络服务提供者不能因信息主体不同意或撤回同意关于处理其个人信息的协议而不提供产品或服务，服务必需信息除外。这条规定既保障了网络平台提供服务、开展业务的基础需要，也规定了处理个人信息的界限，规制了变相强迫、剥夺用户自主权的处理行为，与上述案件的审理思路与结果有着实质精神上的一致。

（二）法定许可制度

《个人信息保护法》规定了除告知同意规则外，还存在其他六种信息处理者可不经信息主体的同意处理其个人信息情形。其中包括合同订立、履行或实施方面、信息处理者的法定责任方面、前提为应对突发紧急事件等情形，以上情形都从公私两种角度出发，另外还包含为公共利益实施新闻报道或舆论监督等行为之必需。而笔者想要着重讨论的是除兜底条款外最后一种法定许可事由，即在“合理范围内”处理个人“自行公开”或者其他已经“合法公开”的个人信息。

案情：刘女士是一名执业律师，其某天在网上发现自己的律师职业证号被他人用作注册法律咨询和提供有偿服务的某个法律服务网站，后刘女士与该网站取得联系，因协商无果诉至法院，要求法院判令该网站停止侵害并公开或书面赔礼道歉。该法律服务网站在答辩时主张，其所用执业证的有关信息是来源于省司法厅的官方网站，故该项个人信息属于已经合法公开的信息，其行为并没有侵犯刘女士的个人信息。

法院判决：一审法院认为，根据法律规定，信息处理者可以合理处理已经合法公开的信息，涉案法律服务网站未经允许擅自将他人的执业信息用以网站注册的行为存在过错，但收到通知后及时采取了措施，法院认为未给刘女士造成实质损害，故没有支持刘女士的诉讼请求。刘女士不服提起上诉。二审法院认为，律师执业证的主要用途是为了查证律师的身份，案涉执业证信息虽为合法公开信息，但涉案网站作为一个提供专业法律服务的商业性网站，将上诉人的执业证信息用作注册的行为，明显违反了法律规定，缺乏必要性和正当性。虽然没有造成实质性损害后果，但对上诉人的个人信息权造成了不当侵害，故二审法院支持了刘女士的诉讼请求，要求涉案网站向上诉人刘女士书面道歉。

如今，《个人信息保护法》的出台明确了个人信息权益，并以“依据宪法”为指引，注明个人信息权益在保障人权、尊重人格尊严和保护人格自由发展的重要性。其次，该案体现出一个基本问题，即在司法适用中应如何认定对自行公开或合法公开的信息的“合理使用”，或者说按照《个人信息保护法》的条文表述，司法实践中应如何认定“合理范围”内使用的界限。网络环境下，个人信息往往不经意间就被“公开”了，但是否一旦公开，信息主体就丧失了对该公开信息的自主权与控制权了呢？

在个人信息处理活动中，信息处理者应当秉持着合法、正当和必要的原则。“合理范围”是指，当个人信息被自行或合法公开后，信息处理者对于该信息的后续利用仍然应当贯彻目的限制原则。判断信息处理者是否贯彻目的限制原则的直接考虑因素在于信息处理者是否遵循了该信息被公开时的使用目的，即是否未背离最初的公开目的。这并不意味着前后目的需要完全一致，信息处理者后续处理的目的可以通过以下几方面进行综合考虑来判断是否与最初公开目的具有兼容关系：（1）后续利用的目的与最初公开目的之间的关系；（2）信息主体的主观心理预期；（3）是否采取了必要的安全保障措施；（4）对信息主体的影响等，司法实践中再结合场景与手段、处理行为的正当与否，来认定信息处理者的行为是否合理。而当公开信息没有明确目的时，信息处理者应当以理性人的角度，以善意的心理态度尽到应然的注意与安全保障义务，不能因其信息处理行为给信息主体造成重大影响。对于个人自行公开的信息目的，信息处理者可以结合发布网站的性质、平台的隐私政策和信息主体的主观心理进行合理推断；而对于合法公开的信息，由于此类信息一般是在政府部门网站、裁判文书网和新闻报道中出现，此时信息处理者应当根据合法公开信息的平台与途径辨别其所承载的公共服务目的，以保障后续利用行为的合法性与正当性。[5]

三、我国网络环境下《个人信息保护法》的适用完善

《个人信息保护法》对个人信息进行敏感个人信息的界定与信息处理行为的严格限制、对个人信息跨境提供或处理行为的特别规定、借鉴欧盟《通用数据保护条例》设立专门的个人信息保护与监管部门、明确个人信息侵权案件中的归责原则等一系列法律规定，都是《个人信息保护法》出台后引人注目的亮点。但网络环境复杂纷乱，虽然《个人信息保护法》的出台适应了时代需求，明确了处理原则与规则，保护了个人信息不被肆意收集和滥用，但制度适用中仍存在着一些问题值得我们思考。

（1）告知同意规则的适用应更加类型化。目前告知同意规则作为一种先定性的规则模式，具有一定的概括性与前瞻性，但同时也存在着局限性，在场景多样的网络环境中，缺乏一定程度的可调整性。虽然《个人信息保护法》明确了网络平台等网络服务提供者不得以个人信息作为产品或服务的对价，但截至目前来讲，大多数网络平台仍以“全有或全无”的同意模式供客户选择。这实际上是对消费者意思自治原则的侵犯，告知同意规则成了一种仅对用户产生义务的程序性规定。并且在大多数情况下，用户的个人信息不仅仅只提供给使用的网络平台，还会由使用的网络平台移交给平台的关联合作伙伴共享，这在很大程度上造成了告知同意规则在实际运用过程中的单边利益倾向性，没有达到立法的预期目的与效果。针对提供不同服务或产品的不同属性类别的网络平台、互联网企业等网络服务提供者，笔者认为，在今后的司法解释或司法适用中可以考虑将告知同意规则完善得更加精细及类型化，以平衡网络用户与网络服务提供者之间的博弈关系，在如今“全有或全无”的模式下规定网络平台提供更多选择，以服务内容为标准，界定需要收取的不同范围程度的用户个人信息，最终由用户根据个人需要进行选择与使用。

（2）敏感个人信息的归责原则应为例外。《个人信息保护法》将敏感个人信息单独列出，并予以严格限制，足以说明敏感个人信息对于信息主体的私密性、影响性与重要性。一般个人信息侵权案件采取过错推定原则，能够很好地平衡个人信息的保护与合理利用，但敏感个人信息不仅涉及人身安全、财产安全，甚至还会威胁公共安全，因此采取不同于一般个人信息的归责原则，即无过错责任更能保护敏感个人信息的安全，同时给予网络平台等网络服务提供者以警醒，预防其对敏感个人信息的不法侵害。

四、结语

《个人信息保护法》聚焦了网络信息时代人民广为关注的重点问题，坚持和贯彻了依法治国、以人民为中心的法治思想。在《民法典》的立法基础上，对信息网络时代中互联网企业、网络平台等网络服务提供者的信息处理行为规定了更为细致全面的信息处理原则与规则，明确了信息处理行为的合法性基础。而在纷杂多样的网络环境中，《个人信息保护法》应当以立法目的为指引，结合网络适用场景与问题，完善更多有效的保护途径，实现保护个人信息与合理利用信息价值的双重平衡，为个人信息保护提供坚实有效的壁垒。