互联网平台对个人信息权益侵害的民法保护探究

摘 要：文章着眼于互联网平台对个人信息权益侵害保护困难的问题，探索侵权后的认证方式和承责方式的完善与优化，为个人信息权益的民法救济提供可行方法。希望能为应对互联网平台侵害个人信息权益的挑战提供有效的民法救济路径，从而缓解个人信息权益受损的现状，促进数字时代个人信息权益的更好保护。

关键词：个人信息权益；隐私权；法律保护

中图分类号：D923 " " " " " " 文献标志码：B 文章编号：1671-0142（2024）06-0035-05

自2023年3月中共中央、国务院共同宣布将组建国家数据局开始，中国在数字经济、数字社会上的规划与建设便已被提上日程，国家将依托法律制度和监管机制，在保证民众便利生活的同时，降低个人信息被滥用和泄露的风险。《中华人民共和国民法典》（以下简称“《民法典》”）和《中华人民共和国个人信息保护法》（以下简称“《个人信息保护法》”）等法律法规，针对互联网平台处理个人信息的工作提出了基本的要求，即合法取得、正当使用、非必要不调取，但是这些规定只是原则且没有配套的监督手段，因此由于个人信息权益本身的易窃取性，较多受害者常常会陷入侵权容易、维权难的困境。笔者将基于《民法典》《个人信息保护法》通过典型案例叙述个人信息泄露的风险及原因，以此探究保护策略。

1 个人信息权益与互联网平台：概念解析与保护意义

1.1 概念解析

（1）个人信息权益与隐私权的逻辑区分及分析。个人信息权益极容易与隐私权混淆，甚至部分学者会将二者的内涵用“网络隐私权”的概念来囫囵囊括，但显然这种混淆对于个人信息权益的保护极为不利。首先，《民法典》中二者从权利位阶上就有所不同，隐私被规定为一种“权利”，而个人信息则视为一种“权益”。其次，从调整的主体来看。隐私权调整的是一对一个体的关系，其保护对象一般是一个独立个体，直接涉及群体的情况不多，而个人信息权益则强调调整一对多个体的关系，其保护目标虽然从个体出发，但最终目标是为了实现对一个群体的保护。最后是权利的保护性质，隐私权是一种消极防御性的实体权利，其主要强调对侵害的救济，并且由于与个体尊严和个人生活安宁密切相关，因此具有实体性权利特征。人信息权益则是积极的程序性权益，强调个人对于自身信息的支配，但是个人信息之所以被赋权却并不是为了保障个人的支配自由，而是为了实现国家对信息关系的管制，因此个人信息权益是程序性权益。

在当前的科技背景下，人与人之间的社交活动更偏向于利用互联网来交流，这意味着人类对于互联网科技已经产生了依耐性，随着云技术的开发，电子产品间实现串联、各大互联网平台实现信息共享，人们或刻意或无意的将自己的信息存储、生成于互联网上。因此一定程度上说，数据即信息。再结合《个人信息保护法》第4条对个人信息的定义，数字时代的个人信息权益可以理解为在互联网空间上可以间接或直接识别个人身份的数字权益[1]。

（2）互联网平台与个人信息权益的联系。上文提到个人信息权益本质上是一种数字权益，因此要想实现个人信息权益，就不可避免地涉及互联网平台。互联网平台的作用类似于一个大型中转站，负责将受众个人数据与互联网数据进行“信息交互”。用户只有通过互联网平台才能够与互联网产生联系，在联系过程中生成的数据即为个人信息，互联网平台会出于商业战略目的将其作为资源存储到自身的数据库中。部分互联网平台会再通过算法分析上述数据，将原本碎片的信息进行整合与拼接，形成一个独立且专属的用户虚拟形象，再根据这个虚拟形象的个人特点选择性地推送信息，并且该虚拟形象自形成开始就将根据用户的习惯不断完善。

在数据即法律、处理数据即权力的互联网中，互联网平台俨然扮演了“互联网政府”的存在，它们利用自身所处地位的优势影响了虚、实双重空间的秩序。不加以遏制，恐怕美国2018年“分析门”案件将会在不久后重演。因此，个人信息权益是一个涉及法律、伦理和社会规范的复杂法学概念，它关乎互联网平台对其用户数据“处理、使用”的限度。个人信息权益的实体性权益涵盖的权益较多，首先是知情权和选择权，用户有权知道自己的信息是否被收集，同时能决定自己哪些信息可以被使用；其次是访问权、更正权和删除权，用户对于自己被收集的信息应当有随时访问检查完整性、真实性的权利，对于错误的信息或者不愿意公开的随时有更正及删除的控制权；最后是数据保护权，用户有权要求收集自己信息的互联网平台对其信息进行合理保护，以避免未经自己授权的访问、滥用等问题出现。为给实体性权益提供保障，用户必然享有与之配套的程序性权益，可分为三个阶段：第一阶段为互联网平台收集信息过程，该过程中的互联网平台必须在能够达到与用户共同商定的特定目标的情况下，最小限度地收集数据信息，同时保证整个收集过程做到合法、合理；第二阶段为互联网平台处理收集到的信息的过程，该过程中互联网平台必须保证处理全流程透明、公平，随时可为个人的查验提供便利条件；第三阶段为互联网平台的留存阶段，互联网平台收集的信息并不会立即删除，为了之后方便用户使用、调取，上述数据必然会被储存一段时间，此时储存主体应当采取适当方案主动担起存储其内个人信息的保护责任。

1.2 保护意义

（1）对个人的保护。随着数字时代的迅速发展，个人信息被侵犯的风险显著提升，互联网用户随时面临着其信息被非法收集、传输和使用的危险。例如2024年315晚会曝光出的“亲友”视频借款事件，不法分子冒充亲友给受害者打视频电话，要求其转账、借款，这个骗局的曝光细思极恐，因为这说明不法分子的“拟人”手段已经达到了骗过亲友的程度，其对所扮演角色的面貌、音色、语气等角色特征信息已经了如指掌，甚至对角色的经历也有涉及，这说明个人信息权益的保护已经到了刻不容缓的地步。

（2）涉及国家安全。个人信息之所以被赋权并不是为了保障个人的支配自由，而是为了实现国家对信息关系的管制，其主要原因便是因为如果不加以管制互联网平台一旦收集足够数量的个人信息，将会给国家安全带来严重威胁。例如2021年7月2日国家网信办公布公告启动对 “滴滴出行”app（以下简称“滴滴”）的网络安全审查，在后续的报告显示“滴滴”确实存在严重违法违规处理个人信息的行为，其中包括但不限于非法收集乘客面部识别信息1亿多条、非法标记存储用户“家”“公司”等关键词有关的地址信息1.5亿多条，并且“滴滴”不仅针对乘客，对司机的学历等个人信息也进行非法采集、上传、存储。如此海量的数据一旦经过特殊算法的加持，那么国家安全将受到极大的威胁。因此，加强对互联网平台数据收集和使用的监管，以保障国家安全，也是当务之急。

（3）维护社会秩序。一个社会最重要的组成便是个人，一个人在社会上最重要的识别标志就是信息，保护好个人信息权益对共创舒适宜居的社会氛围来说尤为重要。个人信息权益作为人类文明发展的重要产物，其法律保护对于法治社会建设及维护社会安定都有着极为重要的意义。但是近年来，互联网平台肆意盗取备份用户信息的行为屡见不鲜，数字时代使得围绕个人信息权益发生的侵权行为变得多元化、复杂化，其侵权行为往往游离于合法与不法之间的灰色地带，扰乱了原本和谐的社会环境。 个人信息权益的保护，事实上是对个人心灵、生活安宁稳定的保障。

2 互联网平台对个人信息权益的侵犯：原因与机制分析

2.1 侵害方在诉讼中的优势

（1）侵害方与被侵害方诉讼地位不平衡。互联网平台作为侵害方在诉讼中处于有利地位，原因如下：1）证据优势，互联网平台拥有先进的信息技术和数据分析能力，能够轻松地收集、存储和分析大量个人信息。并且这些技术均属于商业秘密的范畴，一般的被侵害方难以或无法对其进行取证。2）资源优势，知名互联网平台通常拥有雄厚的资金和人力资源，因此其法律团队的专业知识及专业技能较之被侵害方更为专业，这使得他们能够轻松应对各类法律诉讼及舆论压力。3）用户依赖优势，大部分的用户对于互联网平台所提供的服务其实早已形成依赖，特别是社交类及电子商务类平台。被侵害方往往会因为侵害方提供的便利服务而忽视个人信息泄露的风险，从而大大增加了互联网平台侵犯个人信息权益的操作空间。并且如今大部分的互联网平台在用户使用之前都会被强制确认一份授权书，如果不确认该份授权书那么用户将无法使用互联网平台提供的服务，若是确认，在后续的诉讼过程中，该份授权书往往会让侵害方在诉讼中保证有利地位。

（2）被侵权者维权缺乏积极性。在司法实践中，因侵权方在诉讼中的有利地位，被侵害方一般取证都比较困难，因此难以有效地证明其个人信息权益遭受到侵犯，所以其在诉讼过程中一直处于弱势地位，而这导致法院往往以事实不清、证据不足为理由，无法支持被侵害方的诉讼请求。并且大多数时候就算被侵害方胜诉了，由于缺少对其诉求支撑的法条，审判者无法判决侵害方给予充足的物质赔付，部分赔付数额甚至连维权成本都难以填补。

2.2 现行法律的管控困境

由于互联网技术的迅猛发展，相关法律法规不可能及时与技术变革协同发展，因此存在一些法律上的漏洞和监管上的缺失也在所难免。纵观我国立法，无论是《民法典》还是《个人信息保护法》，对于碎片化、个人已经公开的个人信息仅经授权或为公共目的合理使用都进行了规定，但对于碎片化、个人已经公开的个人信息进行整合，私下建立用户的虚拟画像的行为，该如何保护规定不明。

（1）法的滞后性：模糊地带概念难以划分。首先参照《民法典》第一千零三十四条第三款“个人信息中的私密信息，适用有关隐私权的规定；没有规定的，适用有关个人信息保护的规定。”由此断定关于个人信息权益的保护可以参照《民法典》第一千零三十二条与一千零三十三条[2]，两法条所述的判定侵权的客观情形主要是一般侵权行为，其包括刺探、侵扰、泄露、公开、拍摄、窥视、窃听、拍摄等，但这些均不能将上文行为包括其中，若适用第一千零三十三条的兜底条款的“其他方式”来评价，该法条又需要以互联网用户的明确同意作为前提，但这样的认定又很困难，因为在用户使用任意互联网平台前均会被要求填写一份授权合同。其次若以《民法典》第一千零三十四条为主干以《个人信息保护法》为补充，其了解、掌握用户的信息的行为又是其提供服务的基础，因此很难认定为过度处理个人信息的情形。这是对个人信息权益与隐私权进行的逻辑区分，而根据《民法典》的规定可以从隐秘角度进行保护，如果说私密的个人信息可以适用隐私权的规定进行保护，那么通过碎片化信息整合的个人不愿意但无意间公开的信息则难以定性。由于科技发展的迅速，法律滞后的缺点暴露得越来越多，部分互联网平台也正是利用与之类似的难以定性的模糊地带，去规避法律限制，从而侵犯用户个人信息权益。

（2）存在立法空白。现行法律存在的滞后性，上文提到侵害方在诉讼中的若干优势，但这是建立在用户能够启动诉讼的基础上进行分析的，而现行的《个人信息保护法》第五十条第二款，又给用户设置了一个起诉的前置条件，即在发生侵害事实时，个人应当先向信息处理者提出维护自身权利的请求，待处理者明确拒绝后才能启动诉讼程序，这样的规定无形中给用户增加了起诉难度。在实务中，若处理者既不停止侵害，又不出具表示拒绝的材料，那么用户很难去维护自身的权利。

3 民法保护策略探究

3.1 关于诉讼的救济

（1）利用归责原则来平衡互联网平台与被侵权者的诉讼地位。考虑如何下降互联网平台作为侵权者在诉讼中的主导地位，其本质上就是考虑如何在诉讼中降低被侵害方的举证责任，在侵害个人信息权益纠纷中，侵权方对数据算法的绝对保密，单体、小群体信息的无价值性，使得侵权方在诉讼中拥有天然的优势，被侵害方一开始就成了事实方面举证能力的弱势，法院在处理这类案件中又可能会面临一些技术性挑战，如对新兴技术的不熟悉，对证据获取的难度、损害评估的复杂性等方面经验尚浅等，法院在处理个人信息侵权案件时，就需要克服这些技术性短板。因此，对于实现双方当事人的利益平衡而言，探讨侵害个人信息权益适用何种归责原则是最重要的。目前国内并没有成文的法律规定，国外立法例则主要有两种观点：一是欧盟的《一般数据保护条例》（GDPR）[3]，二是德国的《联邦数据保护法》。

笔者认为结合我国的基本国情，侵权方可分为行政机关及非行政机关，由于行政机关较之于非行政机关而言，有着公权力收集信息的便利，自动化处理情形下，应当区分场景选择适用原则：行政机关适用无过错责任原则，非行政机关适用过错推定责任原则。

（2）增加救济途径提高被侵权者维权积极性。在侵害个人信息权益纠纷中，被侵害方的损害主要有两种：精神损害和金钱损害。因此笔者提供两种救济途径，被侵权者可任选其一使用或全选使用：1）行使人格权请求权，弥补被侵害方的精神损害。个人信息保护权益被立法者放在《民法典》第四编人格权编中，这意味着立法者认可了个人信息权益是具有人格权属性的[5]。那么作为人格权，在民法领域除了侵权责任的保护外，也同样受到《民法典》第995条规定的保护，即人格权请求权的保护。如果被侵害方选择了该请求权，那么就会获得以下优势：精神慰藉，侵害方必须立刻停止侵害，并且向被侵害方赔礼道歉同时排除妨碍、消除危险，以实现对被侵害方精神性人格利益的救济；诉讼时效延长，因为人格权请求权不会受到诉讼时效的限制，因此该项请求权更有利于被侵害方维护自身的权利[5]。2）行使侵权请求权，弥补被侵害方的金钱损害。个人信息权益属于《民法典》第1164条规定范围内的侵权责任内，因此当其受到侵害时，当责令侵权方积极承担损害赔偿责任。如果被侵害方选择了该请求权，那么就会获得侵权方的损害赔偿，以此使得个人信息权益得到恢复。

损害赔偿数额虽然《个人信息保护法》第69条有规定，但是规定中的“个人因此受到的损失”及“侵权方因此获得的利益”两项数额均难以确定，因此笔者建议司法机关应当充分发挥侵权责任的惩戒功能，基于民事侵权行为发生的损害赔偿及维权成本，责令侵权方实行维权成本全额赔偿、造成损害高额补偿的方式，使得被侵权方在物质上得到充分保障，从而实现精神上的慰藉。

3.2 积极弥补立法空白

首先我国不是判例法国家，因此我国的案例仅有参考意义，故司法审判机关应当定时针对争议点进行公开解释。例如，明确将互联网平台通过用户匿名后的碎片化信息分析建立虚拟形象的行为纳入个人信息权益保护范畴，因为互联网平台通过碎片化信息对用户个人信息进行虚拟画像的行为中，就算其碎片化信息的收集是透明、合法获取的，但这样的信息并不是用户个人主动公开、愿为他人所知的信息，因此本质上这是一个无权获取，在权利人未发现，互联网平台也未告知的情况下，侵害了权利人支配自己个人信息的权利。

需要特别说明的是，纳入个人信息权益保护与是否应承担侵权责任，不因以个人授权为前提。若个人为了深化在互联网平台的体验，授权平台可以在合理范围内处理自己全部个人碎片化信息，平台就算未对外泄露或做他用的行为，也应按照收集信息的类别分类讨论，若是涉及国家机密、政治行为等不利于有关部门监管的信息，平台也应承担侵权责任。

3.3 其他建议

（1）加强行业自律减轻国家相关机关的负担。目前我国虽然已经建立互联网行业的自律组织，但是个人信息权益侵权行为监管方面没有专门机构区管理，并且互联网行业由于从业者专业水平的偏差较大，该组织内部又缺乏统一的行业规范、行业准则，因此应当在提供互联网平台服务的业内设立专门的个人信息权益的行业自监管机构，该机构必须结合我国实情制定完善、可行、易接受的制度内容，提升自身行业组织在社会上的影响力，加强行业自律，减轻国家相关机关的负担。

（2）建立监管体系。一是建立个人信息保护评级认证制度。参照现行的法律法规找出不足，建立评级认证机制，针对各类与处理用户个人信息相关的保密措施、技术手段来拟定法律法规，制定较为全面的评级标准。待明确标准后，经认证的品级将与相关企业的商业信用评价挂钩， 以此来保障用户的个人信息权益不被侵犯。二是完善监督管理机制。行业专门的自治组织在保护力上还是无法与使用公权力的政府相提并论，政府必须占据主导地位，指导得到授权的自治组织履行保护职责，一旦出现超过自治组织的权责范畴的事件，立刻汇报给政府相关部门，以公权力介入事件，若情况严重且击破可请求公安机关的帮助。

参考文献：

[1]徐嵘.政府部门处理个人信息的权力边界探究[D].上海外国语大学，2022.

[2]祁时.隐私权的宪法和法律保护[J].青少年法治教育，2022（6）：44-46.

[3]孙也龙.互联网时代隐私权与个人信息保护的法律界分[J].连云港师范高等专科学校学报，2023，40（1）：14-17，32.

[4]张月.《民法典》视野下的个人信息保护法律问题研究[D].辽宁大学，2021.

[5]王利明.论人格权请求权与侵权损害赔偿请求权的分离[J].中国法学，2019（1）：224-243.

（责任编辑 刘 红）

Research on the Civil Law Protection of the Infringement of Personal Information Rights by Internet Platform

ZHANG Ai-long， JIANG Wei-cong

（Jiangsu Haizhiyang Law Firm， Taizhou Jiangsu 225300， China）

Abstract：This article focuses on the difficulties in protecting personal information rights and interests infringed by Internet platforms， exploring the improvement and optimization of authentication and liability methods after infringement， and providing feasible methods for civil law remedies for personal information rights and interests. This article hopes to provide an effective civil law relief path to deal with the challenge of infringement of personal information rights and interests by Internet platforms， so as to alleviate the current situation of personal information rights and interests being damaged， promote better protection of personal information rights and interests in the digital age.

Key words： personal information rights and interests; right of privacy; legal protection