数字时代个人信息权益保护的法律问题与对策研究

杨 雪（西安财经大学 法学院，陕西 西安 710061）

一、引言

随着信息化的普及以及对个人信息权益法律保护的需求日益强烈，国家和社会对个人信息权益保护的重视程度逐渐提高。据不完全统计，全球目前已经有100多个国家制定了关于个人信息保护的专门法规，并且形成了一套独立运作的法律体制[1]。我国于2021年8月20日通过并颁布了《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）。这一立法是我国借鉴国际经验并结合中国国情设立的第一部全面、系统地保护个人信息权益的专门性法律，具有深刻的国内和国际背景。这是对我国人格权立法的一次重大突破，是为了维护公民利益、社会公共利益的一次重大探索和有益尝试，也是为了顺应数字时代经济发展与信息技术进步而实现的一次立法创新[2]，是中国特色社会主义法制建设的一项重大成就[3]。《中华人民共和国民法典》（以下简称《民法典》）第111条明确规定了自然人的个人信息受法律保护。《民法典》中维护人格尊严和保障公民信息权益的价值观念，也为《个人信息保护法》的制定提供了理论基础，《民法典》对个人信息权益保护的基本框架、基本原则、基本理念和价值观进行了界定，厘清了个人信息权益与其他人格权利的关系[4]。《民法典》与《个人信息保护法》构成普通法与特别法的关系，二者相辅相成。

随着信息得以广泛使用，越来越多的网络用户主动或被动地成为信息和数据的生产者，信息主体生产和传输出来大量的个人信息，通过大数据技术得到整合和利用。例如，个人要加入社会团体或参加社会活动，必然要向他人披露、公开自己的身份和个人信息，在此过程中，个人的信息难免对外传递，而且很容易为他人所掌握或搜集[5]。加之个人信息的经济价值日益凸显，个人信息成为数字经济中的一项重要信息资源，导致大量网络用户的个人信息被非法获取和利用，公众对保护其个人信息的需求日益高涨[2]，以及社会对个人信息安全的保障达成了高度共识，因为个人信息地泄露不仅是技术问题，更是监管问题。因此，如何有效地处理频发的个人信息泄漏事件，就显得尤为迫切，以及如何合理、规范地保护和使用个人信息，也受到社会各界越来越多的关注。然而，我国现行的个人信息权益保护法律制度尚不完善，相关部门法之间的衔接不到位，且《个人信息保护法》施行的时间较短，尚处在初级阶段，无论是在理论上还是在实践中均不成熟，存在着一定的缺陷。本文就个人信息权益保护与利用的现状和困境展开研究，提出了当前个人信息利益保护失衡、法律保护力度不够等问题，并提出相应的应对之策，期望个人信息既能有序利用，又能合理保护，以达到平衡个人信息利用与保护之目的，从而促进信息主体和信息处理者实现共赢。

二、个人信息权益保护的理论难题：权利属性之辨析

对于个人信息的权利属性，我国不少学者长期以来众说纷纭，难以定论。目前具有代表性的学说主要有“独立人格权说”[6]“一般人格权说”[7]“隐私权说”[8]“新型人格权说”[9]和“财产权说”[10]。这使得个人信息的权利属性究竟如何界定，迄今为止仍然未有明确的结论。本文认为，个人信息权利属性的不明确将会造成实践中个人信息保护范围界限模糊，因此厘清个人信息的权利属性是本文探讨的重点。

在当前研究成果中，各代表性学说的学者分别持不同观点：郑晓剑主张个人信息是“法益”而非“权利”，个人信息与现有的人格权客体之间有着广泛重叠的部分，如果在人格权之上设置一项新的个人信息权，就会削弱现有的人格权制度[11]。王利明提出个人信息权是信息时代下产生的新型权利，应从一般人格权中具体化，即个人信息具有独立人格权的属性[6]。张里安、韩旭至认为个人信息权作为一项独立的人格权，是一种特殊的权利，其内容和范围是任何其他权利都无法取代的[12]。郑维炜认为“独立人格权说符合个人信息权的内在属性”[13]。程啸主张自然人对个人信息享有独立的人格权益，无需分别设立人格权和财产权，可同时保护自然人对个人信息享有的精神利益和经济利益，且个人信息作为人格权益，是不同于隐私权、姓名权、肖像权等具体人格权的新型人格权[9]。姬蕾蕾认为个人信息具有财产性，因其利用过程中所产生的大量数据不具有人格因素，而是具有经济价值，可成为财产权的对象[14]。以上学者的观点构成了不同的代表性学说。

有学者认为隐私权是自然人对自己的个人信息进行控制、支配和管理的一种权利，从本质上看个人信息就是一种隐私[13]。还有学者提出隐私权中的私密信息是个人信息的一种表现形式，在传统民法中就将其视为人格权加以规定[17]。本文对个人信息与隐私作出如下分析。

从权利主体上看，个人信息同隐私均限定于自然人，不包括法人和其他社会组织。从客体上看，二者有所交叉的部分。个人不愿意对外公开的个人信息本身就是隐私权所保护的对象。从侵权结果来看，个人信息和隐私存在重合的部分。个人的隐私被公开后，个人信息也会受到侵犯[16]。另外，个人信息的外延超过了传统的隐私权概念，因此，任何涉及特定个体的信息都可以被称作个人信息。第一，就权利的内容而言，隐私是不愿为他人知晓的私人信息、私人空间、私人活动，隐私权包括个人对自己的隐私进行隐瞒保密，对自己的隐私拥有支配权和积极利用自己的隐私；个人信息的重点在于个体拥有自主决定的权利，可以独立控制、支配自己的信息，并且决定其收集、处理和利用时的方法以及范围，即个人信息自决权。第二，就权利的对象而言，凡是个人不愿意公开的信息都是个人隐私的范畴；而个人信息的客体具有可识别性，如个人的肖像、身份证、护照、指纹等具有特定的指向性，可以识别出某个唯一特定的主体。第三，就权利的性质而言，隐私权主要具有精神价值，更多体现的是其人格利益；而个人信息则兼具人格利益与财产利益。此外，隐私权是一种消极的防御性权利，其权利人在隐私受到侵害之前很难采取有效的防范措施；而个人信息则相反，具有积极权能，表现在权利主体享有知情权、修改权等。第四，就救济途径而言，若隐私权遭到侵害，可以通过精神损害来进行补偿；而对个人信息，则有两种救济途径，一是精神损害赔偿，二是财产赔偿[6]。

本文认为个人信息权益并不等同于隐私权，二者在客体上有交叉但不重合，分别属于两个不同的范畴，但均属于人格权。在法律适用上可参考《民法典》第一千零三十四条第二款的规定：“个人信息中的私密信息，适用有关隐私权的规定；没有规定的，适用有关个人信息保护的规定。”并且，在《民法典》的法律条文中，始终没有出现“个人信息权”这样的表述，这表明《民法典》意图从“权益”的角度保护个人信息，无需设立个人信息权。若再设置一项独立的个人信息权，那么在实施过程中，将不可避免地和现有的人格权发生冲突[11]。另外，显然是立法者考虑到采用“个人信息权”的表述后，将赋予个人过大的权利，可能会限制数据的共享、利用以及数字经济的发展[15]。综上所述，将个人信息的权利属性界定为“权益”是符合现实情形的。

三、个人信息权益保护法律制度的问题

（一）个人信息权益的保护与利用产生冲突

一方面，个人信息权益的保护要考虑到信息主体和信息使用者的利益均衡，既要考虑到个人信息的自主性和支配性，同时也要考虑到信息使用者的财产权利[17]。在信息处理的整个过程中，信息主体都处于一种被动的状态，甚至完全不知道自己的信息是如何被收集、处理和利用的[18]。另一方面，个人信息的公共管理价值也是政府机构等其他管理部门获取和使用个人信息的动力来源，传统的民事权利是以损害赔偿作为主要的救济方式，很难与之抗衡[17]。除此之外，信息只有利用才能产生经济价值，而且利用频率越高，就越能体现其价值大小。大数据技术能够对海量信息进行分析和处理，并对碎片化的个人信息有效整合，从而发挥其经济效用。信息与传统的财产权不同，只有在频繁利用中才能产生出多余的经济价值[15]。因此，在大数据时代，如何平衡个人信息利用和保护之间的关系成为一个新的难题[19]。

（二）过于强调单向价值保护，利益保护失衡

通过浏览我国当前正在施行的个人信息权益保护领域的法律规定，笔者发现我国对于个人信息的人格利益较为重视，在立法方面的考量和具体规范的设置上明显较多。在当今时代，信息技术和大数据算法迅猛发展，个人信息的价值逐渐呈现出多样化的特征。个人信息具备的利益属性除了传统意义上的人格利益之外，还有较为明显的经济利益和社会公共利益。如在以往信息传播不方便、信息资源数量较少、传递媒介和传播方式较为单一的情况下，个人信息中的身份信息、商业信息以及医疗健康信息等更多体现出人格利益，作为区分彼此、掌握动向、了解身体健康状况的主要依据。反观当前社会环境，如果自然人不慎将以上个人信息泄露或遗失，那引起的后果将是很严重的。违法犯罪者可能会利用便捷的互联网技术将掌握的信息作为敲诈勒索的筹码，轻则使遗失信息者遭受财产损失，不幸者还可能遭遇人身威胁。由此可见，在个人信息价值多元化的当下，国家在相关法律规范的制定上应该考虑得更全面更详细，与时俱进。

（三）部分规定可操作性不强，保护力度不够

法律的生命力在于实施，也因为严格地实施和治理而使得法律得到了社会公众的认同和信仰。个人信息对于每一个人的安身立命、生产生活都至关重要，对公民个人信息权益的有效保护，也是构筑社会安全防线的必要手段。目前我国正在施行个人信息权益保护的一系列法律法规，这对于有效治理网络环境、保障信息安全和公民合法权益方面都发挥着不可替代的作用。但伴随着经济社会的不断进步和宏观环境的快速变化，已经出台的部分法律规定逐渐凸显出了可操作性不强、保护力度不够等缺陷，导致个人信息权益保护实际操作困难，救济手段缺失。这显然违背了立法的初衷，也不符合我国现行法律的实际应用，需要从立法、司法解释等方面加以细化和完善。

四、完善个人信息权益保护法律制度之对策

（一）平衡个人信息的保护与利用

首先，合理规范个人信息保护与利用，对推动我国数字经济的健康有序发展有着十分重要的作用[11]。在大数据时代，个人信息的收集与利用是制约其发展的重要因素，如果对其进行过度的法律保护，势必会加大其收集、利用的成本，从而制约其发展。因此立法机关应该适当调整个人信息保护与利用之间的关系，一方面要重视个人信息的经济价值，另一方面也要重视对个人信息权益的保护，不能过度地保护个人信息而抑制了数据产业发展，也不能为了发展数据产业而不顾及个人信息权益的保护[20]。其次，还要保证个人信息的合理流通与开发利用相协调。个人信息是个人与他人建立联系的工具，也是认识每个个体的基础[5]。若脱离了社会活动和公众传播，它的法律保护就没有任何意义了[11]。个人信息共享是实现个人信息经济效用的重要途径，也有助于提升其利用价值[21]。因此，个人信息天然地具有流动和共享的特性，保障其合理的流通和使用，对于企业、政府和社会都会产生很大的价值[11]。

（二）注重个人信息保护目标的多元化

由于个人信息逐渐呈现出价值多样化、利益多元化的特征，相应的在个人信息权益保护的制度构建中我们也应该注重保护目标的多元化。除了传统意义上立法者普遍重视的人格价值之外，政府、企业和个人还需在日常活动中正确引导、全面认识个人信息的价值多样性。最大程度地保护公众的个人信息权益，切实保护利益相关者的实际利益，以提升价值多样性中个人信息所创造的实际价值和潜在价值。从而构建个人信息价值多元化的认知体系，达到全面保护个人信息人格利益、经济价值与社会价值的目的。另外，立法者可以通过对不同领域的个人信息进行分类保护。比如，在医疗系统中，对患者的个人信息进行保护；在运输系统中，对用户的个人信息进行验证。

（三）增强个人信息权益保护制度的可操作性

本文通过对我国有关个人信息权益保护的立法规范的梳理，发现立法数量逐渐增多、立法质量稳步提升、涉及范围不断扩大、保护意识明显提高、实施效果不断凸显等特点，对于个人信息权益一直以来的保障维护事宜起到了主要的规制作用。但随着时间的推移和社会经济结构的优化更新，有一部分的法律规范在具体的适用过程中存在着一定的困难，发挥的调节作用受限，最终使得法律法规在施行过程中取得的成效有限。数字时代多样化的信息传递和运输方式层出不穷，个人信息权益保护工作遇到的挑战和困难纷至沓来，多种因素的综合作用使得以往的信息保护方式已经不合时宜亟需改变，提高个人信息保护法律制度的可操作性和保护力度已经成为大势所趋。对于一部法律而言，从征求意见、起草制定、咨询论证到审议通过、正式颁布实施，经历的环节复杂多样，而立法活动的最终目的则在于实施，可操作性的要求也随之提高。无论是我们已经颁布施行的《网络安全法》《个人信息保护法》还是未来即将制定出台的个人信息保护领域的其他法律，是否具有可操作性都是衡量法律规范实施效果明显与否的主要依据，因此需要强化法律条文的可操作性，加大个人信息权益的保护力度。

五、结语

在现代市场经济中，个人信息作为一种数据资源发挥着重要的作用，其价值不容小觑，数字经济成了企业市场竞争的重要组成部分，信息安全已上升为国家安全，我国的大数据战略鼓励信息依法开发利用，促进信息合理流通，推动数字经济产业发展[22]。此外，个人信息权益的保护是事关自然人人格权益、经济权益和社会权益的重要事项，是我国信息法治建设过程中不容忽视的环节之一。如何在大数据技术不断优化升级的形势下运用法律手段保障不同类型的个人信息将是法学理论和实务中研究的重点课题之一。从20世纪七八十年代开始，西方国家就以各种形式对个人信息保护进行了规定。但在我国，由于个人信息保护的立法起步较晚，因而在这一领域仍有许多不足之处，有待于企业提高自律和政府加强监管，以及社会各方的共同努力。本文建议综合运用多样化的法治方式，适时地更新传统的保护模式，强化法律制度的实际适用性，以期为个人信息权益保护法律体系的健全提供可行之策。