达 娃 包建华

（116024 大连理工大学 辽宁 大连）

一、网络环境下个人信息权的特殊性

在以信息化为本质特征的网络时代，自然人的人格正被越来越多地体现为表征本人特性的数字或者符号，即“个人信息”。个人信息权则是自然人依法对其个人信息进行控制和支配并排除他人干涉的权利。我国法律尚未规定个人信息权的内容。学理上，个人信息权应当包括以下内容：信息决定权、信息查询权、信息变更权、个人信息删除权、信息封锁权和报酬请求权。与传统的个人信息权相比，网络环境下个人信息权具有如下特殊性：

1.财产利益日益突出

网络环境下个人信息权的财产利益更加突出。传统的人格权理论认为，人格权更侧重于保护人格利益。个人信息权作为一种人格权，法律应更多地保护其人格利益。但是，随着互联网技术的不断发展，个人信息权体现的商业价值与财产性利益日益突出。法律如何规制其突出的财产利益是新形势下，个人信息权出现的新问题。

2.侵权方式复杂多变

网络环境下个人信息权的侵权具有更强的技术性和隐蔽性。以最典型的利用木马程序侵入计算机为例，侵权行为人将木马程序隐藏在在图片、二维码、链接、软件等内部，利用网络植入信息主体的计算机，通过木马程序将“监视”信息主体操作计算机的过程，盗取关键个人信息，侵犯个人信息权。在被植入木马的过程中，大多数的信息主体通常毫不知情，并且对此缺乏认识和处理。

3.收集证据困难

网络环境下，个人信息权的侵权具有跨区域性。还以上文中利用木马程序侵入计算机为例。一般而言，一个木马程序有两部分组成：服务器程序和控制器程序。服务器程序一般用于安装在计算机中，一旦计算机安装服务程序，控制器程序就可以进行远程操控。攻击者为了逃脱法律责任，经常利用国外的服务器进行操控；侵权行为人本身为外国人，在国外实施侵权行为。这给收集证据造成了阻碍。

4.双重法益受损

网络环境下，个人信息权侵权行为会产生损害人格利益和财产利益的双重损害事实。在网络环境下，个人信息权的客体个人信息，通常是以数据等无形的方式存在。因此，个人信息权人格利益损害事实通常是无形的损害。例如，对个人信息非财产目的的歪曲，损害他人的精神利益。个人信息权人格利益的无形性使得对其保护比保护其他人格权更为困难。

二、我国网络环境下个人信息权保护现状

目前，我国关于个人信息的法律规范分散在数个法律文件中，国家层面的法律规范文件有《宪法》《刑法》《消费者权益保护法》《中华人民共和国网络安全法》《网络信息保护决定》等，辽宁省、厦门市等地方出台了相关地方性法律规范文件。所涉法律条文虽然众多，但是涉及个人信息权的法条只有2017年3月颁布的《民法总则》第111条。

《宪法》的第38条虽然为个人信息权的设立提供了基本权利基础，但是由于宪法的抽象性难以应用于实务。《刑法》的相关规定虽然有助于对个人信息安全的保护，对个人信息的民法保护意义不大。《消费者权益保护法》虽然法律位阶较高，对个人信息的规定细致，但是保护的客体较窄，只是规定了消费者个人信息权利。2017年施行的《中华人民共和国网络安全法》中有若干法条涉及网络环境下个人信息安全，将对个人信息权的保护起到积极作用。《网络信息保护决定》作为我国第一部关于个人信息保护的立法决定，在个人信息权制度的建立上具有里程碑的意义。但该《决定》规定的内容过于原则性，欠缺现实操作性。地方性法规在个人信息权保护方面进行了有益的探索。遗憾的是，网络环境下个人信息权侵权往往突破了地域的限制，地方性法规因其效力位阶等问题难以发挥显著的效果。

三、我国网络环境下个人信息权立法保护局限性

1.立法模式过于分散

纵向而言，我国关于个人信息权的立法呈现分散的形式，有法律、法规、部门规章、地方性法律、非规范性法律文件。立法的层级不一，法律效力位阶多样，上至国家到地方性的都有。横向而言，每部法律规范依据的法律原则、法律主体、法律客体以及具体的权利内容都不尽相同，存在较大差异。法律规则之间的冲突如何解决尚不明确，法律规则缺乏整体性。实践中，发生个人信息权侵权事件，法官需要耗费大量的经历寻找判案依据，浪费司法资源。

2.专门法律原则缺位

现阶段我国规制个人信息的众多法律遵循不一样的立法原则，这给实践中处理相关问题带来了不便。个人信息权已经纳入《民法总则》的范畴。《民法总则》的基本原则意思自治、诚实信用等原则同样适用于个人信息权。但是在网络环境下，因个人信息权具有其特殊性需要专属的特别保护原则。

3.民法救济机制不完善

当个人信息权受到侵犯时各部门法对其救济各有侧重，实践中呈现“重刑法和行政、轻民法救济”的特点。而在网络环境下个人信息权侵权案件不仅仅限于刑事犯罪，更多地涉及财产性利益的赔偿等问题，《刑法》调整的力度稍显不足。而行政法主要调整不平等主体间的法律关系，发生在平等主体间的个人信息权侵权案件行政法不宜介入。民法方面，主要由《侵权责任法》规制个人信息权侵权的问题。但是，《侵权责任法》的救济属于事后救济过于被动。以个人信息泄露为例，《侵权责任法》只能对泄露个人信息的侵权行为人依法作出裁判，但是对已经泄露的信息在网络中快速传播无能为力。而受害者往往会因为第一次泄露的个人信息而遭受长期的困扰。

4.《民法总则》第111条有待细化

《民法总则》第111条规定“自然人的个人信息受法律保护。任何组织和个人应当依法取得并确保信息安全,不得非法收集、使用、加工、传输个人信息,不得非法买卖、提供或者公开个人信息。”该条文是对个人信息权的宣示，对我国个人信息权保护具有重大意义。但是不可否认的是该条规定也存在不足之处。首先，该条并未明确规定个人信息权的权利客体。如上文中提到的，个人信息的内涵丰富，法律需要对其保护范围加以明确规定。其次，法条中“任何组织和个人”是否包括国家机关行政主体。实践中，国家机关等行政主体很有可能侵犯个人信息权，如何规制这类侵权案件也是正待解决的问题。再者，法条对禁止性的规定采用列举法。个人信息侵权的方式多种多样，尤其是在网络环境下侵权更是五花八门，如何将新的侵权方式纳入其调整范围是我们面临的挑战。最后，该法条并未规定侵犯个人信息权的法律后果，降低了其可操作性。

四、我国网络环境下个人信息权立法保护对策

1.制定以个人信息权核心的统一立法

个人信息权分散式立法模式存在较大的不足。尤其是在网络环境下，个人信息权的侵权现象越发严重，法律规制较为薄弱的大背景下，需要制定以个人信息权为核心的统一立法。《民法总则》第111条确立了个人信息权在人格权的地位。个人信息权保护应当在民法典人格权法编的一般规定中加以明确，个人信息权应当在人格权法编中独立成章。在个人信息权专章中针对网络环境下个人信息权侵权加以特殊规定。这样的立法体例加有助于个人信息权在人格权中更加体系化，有利于制度间的衔接。

2.确定专门的立法原则

基本原则是一部法律的灵魂，对具体的法律规范起到统帅和指导作用。个人信息权作为一项兼具人格利益个财产利益的人格权。以及其在网络环境中呈现的特殊性，有必要对其确立专门的立法原则。笔者认为可以借鉴德国的立法经验确立：①目的明确原则。任何组织和个人收集个人信息都需要明确的合法目的。禁止任何组织或个人非法超出目的范围地收集、储存个人信息。②限制利用规则。应当严格按照收集的目的利用个人信息。利用个人信息的行为不应超出最初的目的。③信息质量原则。个人信息应该与其所使用的目的相关.而且在必要限度内，这些信息应该是准确、完整及最新的。当个人信息发生错误时，信息主体有权要求信息收集者予以更正。④安全保护原则。收集和处理个人信息的组织、个人，不论出于何种目的，都应当对管理的个人信息采取必要的技术手段，保护信息安全，避免其泄露和意外灭失。⑤公开原则。信息主体有权知悉个人信息的收集、处理和利用的情况。信息管理者对信息主体负有告知义务。

3.细化《民法总则》111条

《民法总则》111条是一个具有统领作用的法条，其最大的功效在于权利的宣示。笔者认为，有必要对111条进行细化，明确个人信息权的侵权主体，侵权行为以及法律后果。首先，网络环境下，个人信息权的侵权有可能发生在平等主体之间，也有可能发生在不等主体之间，因此有必要借鉴德国依据侵权行为主体不同，对侵犯个人信息权的行为进行分类：行政侵权和民事侵权。其次，针对行政侵权实行无过错侵权责任。国家机关工作人员等内部人员侵权的，该机关承担无过错的侵权责任。民事侵权采取过错侵权责任，并实行举证责任倒置。最后，行政侵权行为采取了最高额赔偿，并且对最高额作出限制，民事侵权则采取民法上的全额赔偿原则。

[1]齐爱民，李仪.论利益平衡视野下的个人信息权制度——在人格利益与信息自由之间[J].法学评论,2011(3).

[2]王利明.论个人信息权在人格权法中的地位[J].苏州大学学报,2012(6).

[3]陈星.大数据时代个人信息权在我国民法典中的确立及其地位[J].北京行政学院学报,2016(06):1-9.

[4]肖少启.个人信息法律保护路径分析[J].重庆大学学报(社会科学版）,2013,19(04):119-126.