民法典对个人人格权保护的规制研究

［摘要］《中华人民共和国民法典》“人格权编”突出了“以人民为中心”的立法理念，“人格请求权”展示了备受国内外瞩目的立法新亮点，彰显了我国民法“以人为本”的秉性和情怀。民法典在法律规制上，明确保护公民个人人格权、个人信息權，同时对以人为本的价值理念进行了法律规制。民法典保护个人人格权的基本内涵为：个人信息权创设制度、信息知情同意权制度、人格标识许可使用制度、个人人格权禁令制度。民法典保护公民个人人格权的法治进路主要有三条：构建个人信息侵权救济体系，构建人格权益赔偿酌定机制，完善个人信息公益诉讼制度。

［关键词］民法典；人格权益；人格请求权；法律规制；司法救济

［基金项目］国家社会科学基金重大项目“中华民族伟大复兴视域下民族事务治理法治化研究”（19ZDA170）

［作者简介］宋才发（1953—），湖北武穴人，法学博士，广西民族大学特聘“相思湖讲席教授”，博士研究生导师，中央民族大学法学院首任院长、二级教授，研究方向：法学。

DOI：10.16743/j.cnki.cn45-1357/d.2023.01.014

《中华人民共和国民法典》（以下简称“民法典”）是我国进入中国特色社会主义新时代以来，在民事立法领域竖起的一座具有标志性的里程碑，开创性地构建起由“一般规定”到“具体规则”相结合的、完整的人格请求权体系。民法典“人格权编”突出了“以人民为中心”的立法理念，“人格请求权”展示了备受国内外瞩目的立法新亮点，彰显了民法“以人为本”的秉性和情怀。作为民法典独立建制的“人格权编”，不仅为解决我国民事纠纷提供了基本的法律遵循，而且还为世界人格权私法规制提供了直接的实践经验。

一、民法典保护个人人格权的法律规制

（一）民法典保护“人格尊严”“人格权益”的法律规制

《中华人民共和国民法通则》（以下简称“民法通则”）确认和确立个人“人格权”。我国民法“人格权”的立法实践，肇始于1986年4月12日第六届全国人民代表大会第四次会议通过的民法通则[1]143，是我国第一部尝试确认和确立个人“人格权”的法律。民法通则第五章标题为“民事权利”[1]148，第五章第四节具体规定“人身权”。然而第四节有关“人身权”的基本内容，并没有循规蹈矩地规制个人“身份权”，规制的却是个人“人格权”[1]151。民法通则规制的个人“人格权”内容，实际上是把后来民法典“分则”中的内容，预先在这里展开了，从而为民法典第四编“人格权编”的创制，预设和规划了立法路径、奠定了法制基础。民法典第九百九十条规定：“人格权是民事主体享有的生命权、身体权、健康权、姓名权、名称权、肖像权、名誉权、荣誉权、隐私权等权利。除前款规定的人格权外，自然人享有基于人身自由、人格尊严产生的其他人格权益。”[2]人格权本质上关系到每个公民的人格尊严以及人格权益，是民事主体对特定人格利益所享有的最基本的权利。民法典“人格权编”共由六章五十一条组成，其法律规制具体规定了人格权的一般性法律规则，规定了公民个人生命权、身体权和健康权的具体内容，对民事主体尊重保护他人姓名权、名称权的基本义务作了实质性的规定，明确禁止侵害他人的肖像权、名誉权和荣誉权，包括禁止侵害已经去世了的人的姓名、肖像、名誉、荣誉、隐私、遗体[2]等人格权，强化了对个人隐私权和个人信息权的法律保护。譬如，民法典“人格权编”尽管没有直接规定“声音权”，但是采取“准用”的参照适用方法，在第一千零二十三条规定保护“声音”这个看不见、摸不着的东西。民法典之所以对公民“声音权”作出法律保护，就因为人的声音跟人的肖像一样具有人身属性，是识别个人身份的重要依据。又譬如，民法典第一千零三十二条规定：“自然人享有隐私权。任何组织或者个人不得以刺探、侵扰、泄露、公开等方式侵害他人的隐私权。隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。”[2]法律禁止针对他人发送垃圾短信、垃圾邮件侵扰个人私人生活安宁的行为；禁止非法进入、窥视、拍摄他人的住宅、宾馆房间等个人私密空间；禁止非法拍摄、窥视、窃听他人的私密活动，非法拍摄、窥视他人身体的私密部位。总之，民法典彰显了法律规范保护人格尊严、促进人的全面发展的人文关怀。

“法律规制”在我国通常又称为“法律规则”。是指那些经过国家制定、认可的关于人们行为抑或活动的命令、允许和禁止的一种规范，法律规则的上位概念是法律规范。法律规范在我国是一个涵盖面极其广泛的法律概念，囊括的内容和范围除了国家法律，还包括国务院制定和颁布的行政法规，省（自治区、直辖市）人大及其常委会制定和公布的地方性法规，也包括《中华人民共和国立法法》2015年修订后规定的设区的市、自治州制定的地方性法规。民法典第一千零三十四条规定，个人信息包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。个人信息中的私密信息，适用有关隐私权的规定；没有规定的，适用有关个人信息保护的规定[2]。民法典第一千零三十九条对国家机关和执行公务工作人员作出了强制性的规制。譬如，规定“国家机关、承担行政职能的法定机构及其工作人员对于履行职责过程中知悉的自然人的隐私和个人信息，应当予以保密，不得泄露或者向他人非法提供”[2]。这条规定实质上是对信息处理者处理个人信息，从立法上提出了更加具体的、明确的、强制性的法律约束，扩展了对个人信息保护的广度、力度和深度[3]10。

（二）民法典保护个人信息权的法律规制

需要把个人信息处理全方位纳入法律规制。民法典第一百零九条规定了自然人的“一般人格权”，第一百一十条规定的自然人“具体人格权”，实质上就是对自然人赋予“一般”的和“具体”的两种人格权。个人信息权保护隶属于人格权保护的法律范畴，在我国传统民事法律体系中，通常把个人信息保护纳入私法人格权范畴[4]。尽管“个人信息权”和“人格权”具有内在的关联性，但是两者毕竟不是同一个东西，具有质的区别。因而民法典第一百一十一条规定：“自然人的个人信息受法律保护。”[2]2012年全国人大常委会表决通过了《关于加强网络信息保护的决定》，自此“个人网络信息”保护便进入国家立法视野，个人网络信息权益保护进入法治化轨道[5]。《中华人民共和国个人信息保护法》（以下简称“个人信息保护法”）保护的客体是个人信息，其范围囊括已经识别的、可识别的特定个人信息[6]。由“个人信息权”衍生的“个人信息利益”是一种独立人格利益，不能被其他人格利益所吸收和涵盖。譬如，个人信息与姓名、肖像、名誉、信用、荣誉和隐私等具体人格利益息息相关，但彼此之间并不雷同[7]。在互联网背景下，个人信息采集与利用已成为非常重要、须臾不可缺少的社会资源。大数据环境带来的不再是个人信息数量上的增加，而是维度上的增加[8]。与此紧密相关的是个人信息利用与保护的矛盾也与日俱增，个人信息利用中的风险也越来越大。这里所论及的“个人信息利用”，既包括按照个人信息收集目的和需要使用，还包括对信息资料的二次利用乃至多次运用；这里所论及的“个人信息利用风险”，主要反映为信息泄露风险、误用和滥用风险以及入侵和篡改等风险。

个人的重要信息数据一旦发生泄露，就有可能对信息主体的人身财产安全造成威胁。在大数据时代，个人信息被合理利用是一件非常正常、非常重要的事情，但需要兼顾信息主体的切身利益，找到信息利用与保护之间的平衡点[3]9。民法典和个人信息保护法对个人信息利用作出民事法律规制是十分必要的，它从内外两个方面以强制性规范来构建个人信息处理规则[3]9。就目前对个人信息权保护的法律规制看，民法典和个人信息保护法两部法律，已经把个人信息保护的相关事项系统化、规范化和法治化。其根本目的就是维护个人隐私权、信息主体的人格权[3]6。民法典规定自然人对自己的个人信息，依法享有三项权益：一是除了自然人抑或其监护人同意、合理处置公开信息抑或维护公共利益和自然人合法利益的免责事由，不得以任何手段和方式处理个人信息。二是自然人有权依法要求信息处理者，提供个人信息的查阅、复制、更正、删除的功能抑或相关服务。三是规定信息处理者不得非法抑或违规泄露、篡改自然人的信息，未经个人信息主体抑或当事人同意不得向他人提供信息服务。为确保个人信息安全，在个人信息被泄露后，应当在第一时间告知当事人和主管部门[9]。一旦出现个人信息泄露事件“不告知”等情况，其当事人和用户有权依据民法典第七编“侵权责任编”规定，要求网站承擔侵权责任并赔偿损失[10]。

个人信息保护法是继民法典之后，保护公民个人信息的一部专门法律。个人信息保护法对个人信息的处理方式等方面进行了全方位的法律规制和规范。譬如，个人信息保护法在民法典列举“个人信息处理活动类型”的基础上，增设了“删除”个人信息处理类型。同时遵循以“告知同意”为核心的个人信息处理原则，用多个法律条文对“告知同意”原则作出了较为详细的规定[3]7。无论信息处理者是个人抑或互联网平台服务机构，只要是属于实施个人信息处理活动的，都必须遵照执行个人信息保护法的规定，除法律另有规定外。凡没有合法根据的个人信息处理活动，都属于侵害个人信息权益的不法行为。又譬如，个人信息保护法第五十八条就明确规定，凡提供重要互联网平台服务、用户量巨大、业务类型复杂的个人信息处理者，依法负有特殊的义务。

（三）民法典对坚持以人为本价值理念的法律规制

人格权是人权保障在法律制度上的具体化和制度化。民法典是落实“公民的人格尊严不受侵犯”[11]1-15的宪法要求，开启了我国公民权利保障法治化的新时代。“大陆法系”国家的民法典，素以调整财产关系为重点，存在“重物轻人”倾向。尽管我国属于大陆法系国家，但是民法典改变了“重物轻人”的现象，恰到好处地弥补了传统民法典的体系缺陷。不仅在“总则编”把对“人身权”的规制，摆到了“财产权”前面，而且以“人格权”单独一编的方式彰显了“重人轻物”的立法特征[12]35。从而向世界庄严地宣示中国人的生命、健康和尊严比财产更重要，为世界各国有效解决人格权保护问题贡献了中国智慧。

“人格权”是民事主体最基本的权利，是自然人实现财产权和其他相关权利的前提。民法典把“以人为本”的理念贯穿始终，不愧是一部尊重人、关注人和保护人的人民法典，开创了21世纪“以人民为中心”的新时代。“人格权编”通过规制“人身保护令”、禁止“人肉搜索”、禁止性骚扰等方式保护人格权。明确规定凡违背他人意愿，以语言、文字、图像、肢体行为等方式，对他人进行人身攻击抑或实施性骚扰的，受害人有权依法请求行为人承担民事责任。民法典同时还在“侵权责任编”规定，凡违背上述规制发生侵害他人的行为，应当赔偿医疗费、护理费、残疾赔偿金、死亡赔偿金以及精神损害赔偿等民事责任。

民法典是我国第一部以“民”和“典”命名的法律，意味着它的宗旨是保护人民的根本利益，反映的是人民的利益诉求。其增加了民事权利的种类，完善了权利保护和救济规则，以法治的方式维护广大人民群众的根本利益。这部被称为“社会生活百科全书”的法律，囊括了人“从出生到死亡”的全过程，追求的是以人为本的价值理念，彰显的是对人民美好生活最大化的保障。民法典第一百一十三条规定：“民事主体的财产权利受法律平等保护。” [2]这条法律规制对于实现国有财产、集体财产和私有财产无差别保护，对于实现人身关系优于财产关系、人身权优于财产权具有开创性的现实意义。

公正是法治的生命线。公平公正原则是贯穿民法典的一条根本线，对社会公正、司法公正具有法律指引作用。法律的生命力和权威在于法的实施，各级人民法院和法官必须始终肩扛公正天平、手持正义利剑，把“以人为本”的民本情怀，倾注到整个审判工作实践中，依法保护好民法典赋予公民的各项合法权益，不断增进人民福祉，不断增强人民群众的安全感和幸福感。民法典通过对民事主体权利的充分保障，对社会弱势群体的特殊尊重和关怀，以尊重人格尊严、增进人民福祉、促进人的全面发展为目标，实实在在地体现了“以人为本”的人民性[12]34。

二、民法典保护个人人格权的基本制度

（一）民法典关于个人信息权创设制度

个人信息权是公民个人信息安全的法治保障。个人信息自由的长期存在和安全运行，离不开个人信息权和法律保护制度的创设，个人数据信息一旦管理、使用抑或处置不当，就会侵害相关家庭成员的权利与自由[13]58。譬如，山西省临汾市公安局网络警察支队于2020年2月11日晚发布消息，称当地一男子在微信群中传播“35名秘密接触者名单”文件，其名单内容涉及姓名、身份证号码、家庭住址等公民个人信息，该男子已被依法行政拘留[14]。在大数据资料库共建共有共享的时代，个人数据信息安全不是孤立的安全保护问题，需从完善国家治理体系现代化的战略高度和实施具体网络治理措施的战术两方面规制公民信息数据信息的储存、传播、使用和其他方式的处置[13]62。

单纯强调“个人信息安全”和“信息自由”都是不妥当的。确保个人信息安全、维护个人信息权，需要界定“数据信息”“数据信息安全”的基本内涵，确定依托网络形成的公民数据信息，厘清数据信息安全的对象、职责范围和边界[13]58。因为“个人信息权与信息自由的目标都是为了确保主体意志与行为的自主性”[15]105，需要在保护个人信息权的前提下，权衡各种价值的利弊得失，创设个人信息权保护制度。要创设个人信息权、完善信息法律制度，就需要着眼于长远，从理论与实践上弄清楚信息安全与信息自由冲突的内在根源以及规律性，以实现信息的自由流转和信息的安全防护[15]106，确保社会整体信息福利目标的实现。

由于我国在保护公民个人信息数据安全方面的立法起步较晚，有关立法对个人信息权的保护相对不足，在有些领域抑或行业系统保护的层级低、效力弱，加之相关制度和法律规制分散在不同的法律、行政法规和部门规章中，缺乏统一的、权威的、专门的法律保护体系。民法典颁布实施之后，面对个人信息保护势不可挡的世界潮流，遵循民法典保护个人信息权的法律规制，我国于2021年8月制定个人信息保护法，明令自2021年11月1日起施行。个人信息保护法第一条开宗明义地指出：“为了保护个人信息权益，规范个人信息处理活动，促进个人信息合理利用，根据宪法，制定本法。”[16]第二条以及其他条款对个人信息权保护进行了规制：“自然人的个人信息受法律保护，任何组织、个人不得侵害自然人的个人信息权益。”[16]处理个人信息应当避免因个人信息不准确、不完整对个人权益造成不利影响；个人信息处理者应当对其个人信息处理活动负责，并采取必要措施保障所处理的个人信息的安全。

（二）民法典关于信息知情同意权制度

信息知情同意权是受民法典保护的个人权利。个人信息在大数据时代是数据产业的源头要素，其重要的社会价值已经超越乃至溢出个人私权范畴，发展成为具有一定公共性的社会资源。网络技术的快速发展，使得个人信息相应快速传播，正在改变人们生产、生活、工作、社会交往的诸多领域和方面，深刻地影响着个人信息的内涵、获取路径、使用方式和保护方式。侵犯个人信息拥有权、知情权、获益权的失范行为乃至犯罪行为，不仅使得信息知情同意权面临功能困境，而且还会危及个人信息安全、公共安全乃至国家安全。为此，国家立法机关把个人信息知情同意权写入民法典，使个人信息“知情同意权”成为一种不可挑战的法律制度，获得了法典位阶的法律保护。

法典化的“信息知情同意权”凸显了信息主体对个人信息的主导地位。信息知情同意权表明信息主体对个人信息具有拥有权、知情权、获益权等一束权利，具有控制信息和决定信息转移的权利[17]107。然而在大数据、人工智能等网络技术的冲击下，个人信息主体知情同意权面临着功能失灵的危险。在当下和未来相当长的一段时间内，我国对于个人信息权保护尤其是知情同意权的保护，不宜提倡和采用“弱同意制度”，必须依据民法典的规制要求，加强和完善行政执法和司法保护的力度。一方面应当确立过错责任推定原则，加重信息收集者的证明责任；另一方面，通过敏感分级制度、目的限制制度等形式审查，解决个人信息收集合理性的判断问题[17]106。为规范个人信息的正当利用并发挥社会效益，彰显信息知情同意权作为企业、行业、社会乃至国家机关单位，规范收集、储存、传播、运用个人信息行为的底线制度，已被载入2021年11月1日起施行的个人信息保护法。

个人信息保护法细化了信息知情同意权制度的内涵和外延。个人信息保护法作为保护个人信息的专门法律，以具体法条的方式细化并明晰了信息权利人“知情同意权”的内涵和外延。譬如，第二条规定：“自然人的个人信息受法律保护，任何组织、个人不得侵害自然人的个人信息权益。” [16]第四条规定：“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。”[16]第五条规定：“处理个人信息应当遵循合法、正当、必要和诚信原则，不得通过误导、欺诈、胁迫等方式处理个人信息。”[16]第十条规定：“任何组织、个人不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息；不得从事危害国家安全、公共利益的个人信息处理活动。”[16]

（三）民法典关于人格标识许可使用制度

民法典对“人格标识许可使用”作出明确规制。民法典第九百九十三条是关于个人信息“公开权”的一般规定，即“民事主体可以将自己的姓名、名称、肖像等许可他人使用，但是依照法律规定或者根据其性质不得许可的除外”[2]。人格标识许可使用制度又称为“信息公开制度”。1903年“美国纽约州隐私权法”规定，为了广告目的，未经许可而使用他人姓名和肖像的行为，属于侵害个人隐私权抑或侵害“个人独处的权利”的犯罪行为[18]14。我国是典型的成文法国家，对于“公开权”“形象权”实施立法保护，尚处于立法建言的起步阶段。民法典“人格权编”对“人格标识许可使用”作出明确规制，可以说是填补了这项制度的立法空白。民法典规制的“人格标识许可使用制度”，是我国民法首次认可民事主体对其“人格标识”享有“支配性权利”。规制的对象仅限于“人格标识许可使用”，公民的其他人格权不在法律许可范围。由此可以得出如下结论：“民法典第九百九十三条就是关于‘公开权的规定。”[18]18

民法典规制的人格标识许可使用制度，没有对人格标识许可使用的方式予以规定。根据支配效力强弱的不同和司法实践，可以将其利用方式归纳为“独占许可”“排他许可”“普通许可”三种方式。“公开权”原本就是一个颇具争议的学术问题，在我国知识产权领域的专家学者，大多数人持有这种看法。譬如，有学者认为，在市场经济高度发达的形势下，诸如姓名、肖像等真实形象被重塑成為具有商业性利益的“形象”，并且被运用于各种商业活动之中，这就使得来源于人格权制度的“形象权”，在很大程度上脱离了原来的权利范畴，进入非物质性财产领域[18]17。民法典第一百零九条和第九百九十条规定了人身自由，把人身自由规制在“一般人格权”中。在第一千零一十一条规定人身自由受到侵害的救济方法，因之而确认人身自由权的属性是具体的人格权[19]。这即是说，当公民的人格标识许可使用权益遭到侵害的时候，抑或人格标识许可使用合同出现违约的情况，可依据民法典的相关规定请求司法救济。这种救济既包括对人格权人的违约救济，也包括对被许可人的违约经济救济。损害赔偿的范围，主要根据法律规定的“完全赔偿原则”和“可预见性规则”予以确定，包括财产“固有损失”与“可得利益”，以减轻受害人的实际损失或实现损益相抵。在实施司法救济的过程中，法官可统筹考虑损害者“有过失”等因素，把损害赔偿额度的确定规则同过失赔偿规则同时适用。

（四）民法典关于个人人格權禁令制度

个人人格权属于绝对权。“绝对权”是指权利人之外的任何人都负有不得侵害、妨碍权利人享有和行使权利的义务，即不得违背民法典第九百九十一条的规定。在“人格权请求权”立法上，无论已经不再适用的民法通则还是侵权责任法，都没有作出过“人格权请求权”的法律规制。对“人格权妨害救济”在过去的民事立法中，一般多采用“停止侵害”的表述方式，从来没有采用过“人格权禁令”的严格表述方式。规制“人格权禁令”的根本目的，就是为了给人格权提供更为全面的法律保护。即在诉前请求法院发布侵害人格权的禁令，为权利人提供迅速高效的司法救济。这种快捷高效的人格权请求权实现机制，有利于弥补立法空白，避免侵害行为给人格权主体造成更大的、难以弥补的损害，切实保护民事主体的人格权益。

人格权禁令属于人格权请求权的“独立实现程序”。法律规定的人格权请求权程序，从实质上说属于非诉讼程序，它仅适用于“人格权”而非“所有人格权益”的预防性保护。适用人格权禁令的一项重要要件，就是“合法权益受到难以弥补的损害”[20]138。民法典第九百九十七条规制的个人人格权禁令制度，理论界有时把它称为“侵害人格权的禁令制度”，有时又把它称为“人格权侵权行为禁令制度”[21]108，有时还把它称之为“人格权行为禁令制度”[22]942，本文在这里把它称为“人格权禁令制度”。我国学术界对“人格权禁令制度”主要有两种看法：一是认为民法典第九百九十七条只是规定了民事主体除了通过请求人民法院判决，还可以向人民法院申请采取责令行为人停止有关行为的措施，这是属于实体法的规定。至于如何通过程序促使具体实现，其他法律对此有规定的适用其他法律规定。譬如，2022年1月1日起实施的、新改的《中华人民共和国民事诉讼法》（以下简称“民事诉讼法”）第八十四条以及第九章“保全和先予执行”的规定，皆可以适用于人格权禁令[23]。二是认为人格权禁令是民法典所规定的独特制度，性质上属于实体法上的禁令，与民事诉讼法上述规定的行为保全程序并不相同[20]139。即是说民法典规定的人格权禁令制度，并不是以保全裁判结果为目的的[22]943。人格权禁令的适用并不必然伴随着诉讼程序，即民事主体申请禁令后只是请求通过法院颁发禁令，采取责令行为人停止有关行为的措施，达到制止侵害人格权行为的目的[21]111-112。民法典的制定者也把人格权禁令设计为一种独立的、无需通过诉讼判决程序就可以获得命令[24]。

三、民法典保护个人人格权的法治进路

（一）构建个人信息侵权救济体系

有人格权益被侵犯就需要构建个人信息侵权救济体系。个人信息具有载体的依赖性，其呈现及传播受制于信息技术和网络技术。民法典沿用了《中华人民共和国网络安全法》的规定，把个人信息定义为“特定自然人的各种信息”。个人信息保护法对个人信息同样定义为“自然人有关的各种信息”，并且增加了“不包括匿名化处理后的信息” 的规定。判断个人信息以及能否被民法典、个人信息保护法保护的标准，归结到是否“可识别”上。受民法典、个人信息保护法保护的个人信息，属于民法典规制的人格权益。有人格权益被侵犯抑或受到无辜损害的，就需要有法律救济，需要构建个人信息侵权救济体系。法谚“无损害，无救济”，表明损害的社会危害性以及在救济制度中的核心地位。民法典“侵权责任编”把“损害赔偿”作为“侵权责任”的核心功能，并且把“损害赔偿”单独成章，增强了民法典把“传统债法”分为“合同”与“侵权”两编的正当性。与此相适应，个人信息保护法第六十九条，也把“损失”作为个人信息权益侵权的前提条件[25]21。然而在大数据时代，个人信息侵权构成要件的认定难度很大，损害事实的认定非常艰难，因为它具有无形性、不确定性、难以定量等特征，尤其是在发生大规模个人信息泄露时，裁判者往往会全面斟酌集体诉讼的难度，以及社会稳定、高额赔偿对信息处理者生存利益的影响等因素，使得损害认定及其赔偿过程都变得困难重重。法律规定的认定方式，不只是侵权责任以损害为首要构成要件，而且在受害人主张信息处理者承担违约责任的时候，因其与信息处理者的格式合同中事实上不存在违约金条款，受害人也必须证明“存在损害”才可能获得赔偿[25]22。尤其是在个人私密信息被泄露的时候，依据民法典第一千零三十四条第三款的规定，隐私权规则应当优先适用，因为隐私比一般个人信息蕴含的人格自由和尊严成分更多。在价值位阶上，人格尊严高于私法自治，即使法律行为也不能不当减损或剥夺隐私权，否则将因违反公序良俗而无效[25]28。在构建个人信息侵权救济体系的时候，应当根据个人信息维权和司法审理实践中发现的问题，更加关注个人权益保护中的价值权衡。它事实上关涉公民的人格自由和人格尊严，行动自由的内容已经被特定化为数据产业的发展利益。民法典第一百七十九条、第九百九十八条、第一千一百八十二条、第九百九十五条等条款，规定了侵害个人信息权的救济方式，即侵犯财产性民事责任的救济方式，是损失赔偿和精神损害赔偿；侵犯非财产性民事责任的救济方式，主要是停止侵害、消除影响、恢复名誉和赔礼道歉等。

（二）构建人格权益赔偿酌定机制

法院酌定是法官运用自由裁量权来确定赔偿数额。侵害人格权益财产损失赔偿中的法院酌定，是指在人格权益遭受侵害的情形下，由法院根据实际情况确定受害人财产损失的具体数额[26]104的一种规则。民法典第一千一百八十二条规定，侵害他人人身权益造成财产损失的，依据被侵权人因此受到损害的实际数额，抑或按照侵权人因此获得的利益进行赔偿；如果被侵权人遭受的损害难以确定数额，侵权人因此获得的利益也难以确定，且被侵权人和侵权人就赔偿数额协商不成的，由人民法院根据审理的实际情况酌情处置[2]。这里的“酌情处置”，就是民法典、个人信息保护法所规制的“酌定机制”。传统的法律规定对于这类赔偿的救济措施，其损失赔偿请求权以造成财产损失为必要条件，如果没有造成财产损失抑或受害人不能证明财产损失的，亦无赔偿损失可言[27]。侵权人的主观恶意状态等因素，并不能成为法院和法官作出公正判决的根据，只能作为衡量被侵权人精神损害程度的参考依据。然而民法典的实施，从源头上改变了以上的被动格局，因为民法典第一千一百八十二条规定，当受害人无法证明自身损害数额抑或行为人的获利数额时，并不当然要承担上述举证不能的不利后果[28]，这是对传统损害赔偿规则的重大突破，实际上法院酌定方法就是借法官运用自由裁量权来确定赔偿数额的。需要指出的是法院酌定方法，既可能导致法官不精于论证说理，也可能导致当事人怠于举证，还有可能致使裁判结果具有不确定性。正是从这个意义上，需要对法院酌定方式的运用予以规范 [29]。在人格侵权中不断扩大法院酌定赔偿数额的权力，是比较法上重要的发展趋势，法院酌定的对象是受害人的财产损失数额，而非行为人的获利数额；在人格权侵权中，受害人可以请求法院酌定赔偿数额，法院不仅可以依据职权酌定赔偿数额，而且应当和必须依职权酌定赔偿数额。法院在酌定赔偿数额时要考虑多重因素，出于损害预防的需要，法院一般应当根据拟制的许可使用费数额、行为人的获利数额等损害预防类的参考因素为基础酌定赔偿数额[26]115。各地法院加大了在实践中构建城乡一体的人格权益赔偿救济体系。譬如，河北省高级人民法院发布的《关于开展人身损害赔偿标准城乡统一试点实施方案》，明确规定人身损害赔偿纠纷案件在计算损害赔偿数额时，其伤残赔偿金、死亡赔偿金、被扶养人生活费，无论城市还是乡村一律实行“同命同价”，以利于促进城乡居民权利平等、社会公平公正，文件提出在雄安新区先行先试[30]。民法典第一百七十九条规定了承担民事责任的11种主要形式，明确“法律规定惩罚性赔偿的，依照其规定”[2]，即惩罚性赔偿的范围，必须以法律规定为限。

（三）完善个人信息公益诉讼制度

个人信息权益损害属于人格权益损害范畴。信息人格权益的损害一旦发生，将会对权利人造成难以估量的损害。面对难以逆转的人格权益损害后果，法律和司法机关应当在责任承担上，作出有利于权利人、有利于消除被侵权人不利影响的规制和处置。个人信息损害赔偿的基本目的，在于填补个人信息损害所造成的损失，主要方法有“恢复原状”和“金钱赔偿”两种。以个人信息为标志的人格权益损害后果无法恢复原状，人格利益无法被其他物质所替代。即使向权利人进行金钱赔偿，在人格损害后果的救济上，最多也只能起到精神抚慰的作用。个人信息人格权益侵害造成的后果，尽管不能与特定的金钱等价，但是金钱是一般等价物，能够通过它来逐渐淡化和抵消受害人的痛苦。从严格的意义上说，“损害的预防胜于损害补偿”[31]。个人信息人格权益损害的精神损害赔偿，从本质上说是无法真正弥补损害的，只不过是对人格权益损害后果的替代性弥补而已。法律设立精神损害赔偿的根本目的，在于适用物质的补偿，抚慰受害者精神上的痛苦。精神损害赔偿的数额依据法律规定，其实施应当严格与精神损害的严重程度相一致，无医学证明材料证明其损害程度的，运用传统的救济方式很难获得法院和法官的合理判决。2020年，最高人民法院发布的《关于修改〈民事案由规定〉的决定》把“个人信息保护纠纷”作为可独立适用的民事案由，2021年4月最高人民检察院发布了11起由检察机关提起个人信息保护权益的典型案例，包括行政公益诉讼、民事公益诉讼以及刑事附带民事公益诉讼，为个人信息保护提供了治理的新思路、新路径[32]155。个人信息保护公益诉讼制度在我国是一项新的立法实践，个人信息保护法第七十条规定：“个人信息处理者违反本法规定处理个人信息，侵害众多个人的权益的，人民检察院、法律规定的消费者组织和由国家网信部门确定的组织可以依法向人民法院提起诉讼。”[16]这是我国首次把公民个人信息权益保护，作为一项专门制度予以法律规定的。通过引入公益诉讼制度应对个人信息保护中遭遇的侵权行为，能够平衡个人信息保护领域用户个人的不平衡地位，弥补私益救济的不足，这是我国个人信息保护法治建设的重要制度创新。个人信息在大数据时代，既具有个人属性，同时还具有公共性，对个人信息的保护需要通过公益诉讼的方式进行。公益诉讼的责任主体是“公主体”和“私主体”共同构成的个人信息处理者，诉讼事由是侵害了一定规模的个人信息权益，诉讼的直接主体是检察机关、履行个人信息保护的行政机关以及法定组织。个人信息保护相对单薄的立法规定，事实上为司法实践带来了诸多不确定的因素。在“十四五”期间乃至更长的时间内，要进一步加强和完善个人信息公益诉讼制度建设，把威慑定位为该制度的主要功能，简化前置阻却程序，依法保证公益诉讼能够顺利提起[32]155。传统的民事诉讼一般遵循“谁主张，谁举证”的基本原则。个人信息保护法第六十九条突破常规，明确规定：“处理个人信息侵害个人信息权益造成损害，个人信息处理者不能证明自己没有过错的，应当承担损害赔偿等侵权责任。”[16]即公益诉讼的诉权主体一般不易获得第一手侵权证据，实行“责任倒置”的方式，对侵权者施加更加严厉的证明责任，符合以威慑为主要功能的个人信息保护公益诉讼。

[参考文献]

[1]法律出版社法规中心.中华人民共和国常用法律大全[M].4版.北京：法律出版社，2006.

[2]中华人民共和国民法典[N].人民日报，2020-06-02（1）.

[3]宋才发.《民法典》保护个人信息安全的法治保障[J].河北法学，2021（12）.

[4]文晖.人脸识别案：个人信息应用的法律界限在哪儿[J].公民与法，2019（12）：42-44.

[5]乔新生.个人信息不等于个人隐私[J].青年记者，2018（13）：72-73.

[6]李金兴.个人生物识别信息民法保护路径探究：以我国“人脸识别第一案”为切入点[J].法制博览，2021（16）：52-53.

[7]陈星.大数据时代个人信息权在我国民法典中的确立及其地位[J].北京行政学院学报，2016（6）：1-9.

[8]孙政伟.大数据时代个人信息的法律保护模式选择[J].图书馆学研究，2016（9）：72-76.

[9]杨洁.论侵犯公民个人信息犯罪的构成要件[D].上海：上海交通大学，2013：1-47.

[10]肖向婷.论个人信息权的民法保护[J].金融创新法律评论：第1辑，2018：154-162.

[11]法律出版社法规中心.中华人民共和国常用法律大全[M].12版.北京：法律出版社，2019.

[12]鲁晓明.民法典核心是以人为本的人民性[J].中国政协，2020（17）.

[13]刘素华.大数据时代的公民数据信息安全规制问题研究[J].法治研究，2018（6）.

[14]马光.论疫情防控中对个人信息的保护[J].科技與法律（中英文），2021（4）：29-36.

[15]冯艳艳.数据经济时代下的个人信息权构建[J].广西社会科学，2019（8）.

[16]中华人民共和国个人信息保护法[N].人民日报，2021-08-23（14）.

[17]陈峰，王利荣.个人信息“知情同意权”的功能检视与完善进路[J].广西社会科学，2021（8）.

[18]温世杨.中国民法上的“公开权”：《民法典》人格标识许可使用规定之解析[J].当代法学，2021（2）.

[19]杨立新.中国《民法典》人格权编的立法创新与继续完善[J].澳门法学，2021（2）：33-46.

[20]程啸.论我国民法典中的人格权禁令制度[J].比较法研究，2021（3）.

[21]王利明，程啸.中国民法典释评：人格权编[M].北京：中国人民大学出版社，2020.

[22]张卫平.民法典的实施与民事诉讼法的协调和对接[J].中外法学，2020（4）.

[23]黄薇.中华人民共和国民法典人格权编解读[M].北京：中国政法大学出版社，2020：43-44.

[24]郭小冬.人格权禁令的基本原理与程序法落实[J].法律科学（西北政法大学学报），2021（2）：145-156.

[25]谢鸿飞.个人信息泄露侵权责任构成中的“损害”：兼论风险社会中损害的观念化[J].国家检察官学院学报，2021（5）.

[26]王叶刚.论侵害人格权益财产损失赔偿中的法院酌定[J].法学家，2021（3）.

[27]孙道锐，张丽洁.利用信息技术手段伪造侵权的法教义学分析[J].法律适用，2021（5）：166-176.

[28]阮神裕.论侵权法上可得利益损失的合理确定性[J].财经法学，2017（5）：87-101.

[29]张家勇，李霞.论侵权损害赔偿额的酌定：基于不正当竞争侵权案例的考察[J].华东政法大学学报，2013（3）：20-31.

[30]河北省高级人民法院.关于开展人身损害赔偿标准城乡统一试点实施方案[EB/OL] .（2021-06-26）[2022-12-26].http：// blog.sina.com.cn/s/blog_72aa56f30102zfqn.html.

[31]王泽鉴.侵权行为[M].3版.北京：北京大学出版社，2016：10.

[32]薛天涵.个人信息保护公益诉讼制度的法理展开[J].法律适用，2021（8）.

[责任编辑：杨军]