时 怡

（南京财经大学 法学院，南京 210046）

一、《民法总则》区分规定隐私权与个人信息权的背景

从近代民法到现代民法，从《民法通则》到《民法总则》，社会发生了翻天覆地的变化。立足新时代，总结比较法上的成功经验才能满足现实的需求。《民法总则》区分隐私权与个人信息权具有广阔的背景。

（一）时代背景

习总书记在十九大报告中指出，“中国特色社会主义进入了新时代，这是我国发展新的历史方位。”新时代下，社会伴随着科技进步飞速发展，从农业社会、工业社会转型为网络社会、科技社会、传媒社会、消费社会、风险社会、商业社会，使人民享受到来自社会发展带来的福利，但同时互联网使侵害隐私与个人信息的行为具有易发性、无限放大效应；大数据技术对隐私和个人信息自主权的保护提出了更严格的要求。［1］全球化“大数据”产业浪潮下，与数据挖掘技术的提高和数据产业发展伴生的，是对个人信息的滥用和传播，个人信息的“黑色产业链”侵权现象屡见不鲜。［2］这不仅侵扰了个人生活安宁更是对个人生活信息的冒犯，仅靠隐私权来保护个人生活信息显然力不从心。新时代迎来了新变化，新变化带来了新挑战，新挑战对我们提出了新要求，对个人信息单独规定为一项具体人格权才能实现对个人生活信息的充分保护。

（二）比较法上的经验

比较法上，对隐私权和个人信息权的规制模式主要有两种。一种是美国模式，即不区分隐私权与个人信息权，在立法上规定“大隐私权”对隐私和个人信息进行保护，同时在各行各业分别制定有关个人信息保护的法律规则、准则；另一种是欧盟模式，即将隐私权与个人信息权分别规定，这是大陆法系的普遍做法。

这两种立法模式各有利弊。美国模式“大杂烩”式的隐私权规定加上行业对个人信息权的自治，从实用角度出发促进了个人信息的流通和利用，但是赋予行业这种权利也会带来各行各业利用其自身的优势地位，使得对个人信息的不当收集、使用和转移合法化，这定然不能实现对自然人个人信息的全面保护，美国的这种模式要求的是高素质的行业前提的存在；欧盟在尊重其本来已经构建了完整人格权体系的立法传统的前提下通过分别立法分别规定了隐私权和个人信息权的保护标准，虽仍存在着过于强调国家公权力、监督管理僵硬的一面，但是这种界分在一定程度上有利于对个人信息的周全保护。［3］

因此，出于我国自身国情与上述比较法上的上述经验，目前行业自治性有待进一步加强和分别规定具体人格权的立法传统，参照欧盟模式的优秀经验，充分发挥后发展国家的后发优势，对隐私权和个人信息权分别规制，应当也必须是立法者选择的路径。当然，在行业组织素质逐渐提升之后，国家逐步放宽对个人信息强制性规范也是应有之义。

（三）现实需求

现实中大量侵犯个人信息权的案件由于没有民法上的依据，只能由刑法、行政法予以救济。这显然不符合民法作为权利法的设定，不能发挥民法对平等自然人的人格权的保护。在对个人信息权单独规定讨论中最热议的案件是“徐玉玉电信诈骗案”和“清华教师被骗房款案”，笔者在了解这两个案件的全过程后，更加坚定了对隐私权和个人信息权分别规定的信念，这是对现实需求的呼应。

以“徐玉玉案”为例，电信诈骗分子通过网络购买学生信息掌握了高考学生徐玉玉的个人信息，以助学金为名骗取徐玉玉学费，并造成了本应该被大学录取的徐玉玉的死亡。本案中，法官对利用徐玉玉个人信息实施诈骗犯罪的被告人处以没收个人财产、判刑及并处罚金的刑事责任，貌似对被害人徐玉玉进行了充分的救济。但是，回到原点，电信诈骗分子如何能实现他们的犯罪目的？显然是在更为前提的地方即个人信息的保护上就出现了问题。在《民法总则》出台前，对侵害个人信息的行为大多只能以刑事和行政责任予以救济，这就使得犯罪分子钻了法律的漏洞，立法者显然是忽视了更为基本的层面——即个人信息的民法上的保护。现代信息社会，个人信息越发重要，并且大部分个人信息因为公开过不能受到隐私权的保护，不法分子以此为契机也瞄准了个人信息，对个人信息的侵害案件不绝于耳，对个人信息的保护应是也必须是民法的重中之重，这样才能实现对自然人个人信息的全方位保护，从法律上威慑不法分子。

二、隐私权与个人信息权对个人信息保护的侧重不同

因此，《民法总则》在第110条，以列举的方式规定了自然人享有隐私权；第111条不仅从正面规定自然人的个人信息受法律保护，还规定了组织和个人的相关义务。隐私权不能替代个人信息权，对个人信息的充分保护依赖于它们的不同侧重。

（一）共通之处

隐私权和个人信息权都保护个人生活信息。有学者提出，《民法总则》第111条之所以没有对个人信息明确规定以权利或法益，是由于个人信息权与隐私权的客体具有较强的关联性，隐私权所保护的隐私中的个人信息与个人信息权所保护的个人信息存在交叉。［4］笔者同意这种观点，同时认为，虽然《民法总则》未对“个人信息”明确以权利称谓，但从规定的位置、从体系解释角度可以认定第111条明确规定了个人信息权；在个人信息权被规定之前，个人隐私信息与个人身份信息都是由隐私权进行保护的，也可以体现出它们在保护个人信息层面的紧密联系。

隐私权，是指自然人享有的私人生活安宁与私人生活信息依法受到保护，不受他人侵扰、知悉、使用、披露和公开的权利。［5］个人信息权，是指本人依法对其个人信息所享有的支配、控制并排除他人侵害的权利。［6］个人信息权的规定，隐私权对个人信息的保护让渡了大部分给个人信息权，但涉及隐私性信息，仍需隐私权的保护。

（二）不同侧重

随着时代的发展，对个人信息的保护不再仅满足于隐私权，个人信息的重要性凸显，现实需求呼唤对个人信息的全面保护，因此个人信息权应运而生，个人信息权对个人信息保护的不同侧重弥补了隐私权对个人信息保护上的不足。

首先，权利性质不同。隐私权是一项消极性、防御性的权利，只有在受到侵害时才可以积极主动的行使权利，自然人不能利用隐私权使自己获得财产上的利益，隐私权是一项一经权利人主动公开就消灭的权利；个人信息权呈现出人身性质与财产性质的双重属性，个人信息不仅是个人的“数字化形象”，同时本人可以通过对个人信息的支配、控制获得财产上的利益，因此也是一项积极性、主动性的权利。

其次，权利客体及侧重点不同。隐私权保护私人生活安宁利益和私人生活信息利益；个人信息权保护的利益是“可以识别个人身份的信息”，作为个人人身、行为状态的数据化表示，是个人自然痕迹和社会痕迹的记录。［7］因此，隐私权强调的是人作为私人的对于“隐”的利益，个人信息权权强调的是可供“识别”数据化形象和财产的利益。

第三，权利内容及救济方式不同。对于隐私权，权利人拥有不受他人侵扰、知悉、使用、披露和公开的权利；对于个人信息权，权利人享有的是支配、控制并排除他人侵害的权利。隐私权的权利内容是被动性的行为，对隐私权的保护侧重的是事后救济；个人信息权的权利内容是主动性行为，对个人信息的保护侧重点是预防。［3］由于隐私权是一次性的，对其事后救济主要是精神性的损害赔偿；个人信息权的财产属性、其权利内容行使的控制性都决定了其遭到侵害后不仅可以基于人格权属性受损后的精神损害赔偿，还可以获得基于财产属性受损后的类似于“财产权”的救济措施如财产损害赔偿、恢复原状等。

因此，隐私权强调保护的是隐私性信息，对权利受侵害的救济只能是被动的且只能要求精神性损害赔偿；而个人信息权强调个人身份信息，允许权利人积极、主动的行使权利从而获得相关利益，对于个人信息的保护侧重于预防，在权利受侵害后，除了精神损害赔偿之外，还可要求财产损害赔偿等“财产权”救济措施。

三、完善个人信息保护的建议

从上文的分析可以看到，隐私权和个人信息权的区分规定有着广阔的背景，隐私权和个人信息权在个人信息保护上联系密切但是侧重不同，立法者之所以分别规定隐私权与个人信息权是出于充分保护自然人个人信息的立法目的。但是，笔者认为，这种立法目的的实现尚存一定可以完善的空间，在此从个人、社会、国家三个层面分析考虑，总结了些许建议，望能对完善个人信息的保护有所裨益。

（一）个人：强化自我保护意识

作为信息化社会中的“信息人”，个人信息的使用和利用渗透在我们生活的方方面面。但为了防范我们自己成为下一个“徐玉玉”、甚至是成为侵害他人的个人信息的不法之人。我们对于个人信息的使用和利用，应当尽到充分的注意义务，强化对个人信息的自我保护意识和规范利用意识。

首先，在个人信息的使用方面。第一要做的是培养良好的习惯、从信息提供的源头严格把关。在向他人提供个人信息时应审查对方是否具备相应的资格、重视对个人信息提供时的严格把关。就拿我们现在日常生活中使用的电子软件来讲，在下载时会有冗长的格式条款，因为不重视很多用户往往不加仔细阅读就会按下同意，殊不知在不知不觉中就同意了软件提供商对用户个人信息的获取和利用；同时用户在登记注册时基本上都需要访问基础资料、获取通讯录、访问相册，这些选项有的隐藏在下拉条款中，因为用户对个人信息的不重视直接一键同意便使得软件提供商获取个人信息的畅通无阻。因此每下载一个软件、每注册成为一个用户都暗含着泄露个人信息的危险。所以，充分审查对方是否具备相应的资格，培养个人的安全意识，提高个人信息的重要性认识是源头上防范个人信息泄露的关键。

第二是学习专业技能、抵御对个人信息的入侵。信息时代、网络时代，个人信息的价值进一步提升，非法获取个人信息的黑客、木马层出不穷，个人信息的非法获取手段越来越“高端”、越来越具有隐蔽性。因此个人除了在初始阶段增强安全意识，在要求提供的个人信息时持谨慎态度，更要防范恶意程序的入侵。学习专业技能、建立防火墙，运用先进的技术阻却恶意程序对个人信息的非法获取是为了在过程中防范个人信息的受到侵害。

第三是建立维权观念，及时维护个人信息权。个人信息权作为一项新型民事权利，很多自然人的维权意识并不高涨；同时侵害个人信息权的案件呈现大规模轻损害的特点，很多人往往会选择不了了之。在个人信息受到不法侵害时不会诉诸于法律。因此，作为享有个人信息权的自然人必须建立维权观念，及时维权，这不仅是使不法分子受到应有的惩罚，更是为了在社会上形成一种良好的维权观念，建立一个知法、懂法、守法、用法的法治社会需要法治意识的普遍提升。

其次，在个人信息的利用方面。信息社会是信息互通交流的社会，不仅是提供个人信息给他人，也需要利用他人的信息来开展自己的行为活动，因此必须建立规范利用他人个人信息的意识。由于对个人信息的挖掘、整合、分析主要由行业组织进行操作，因此对该部分的讨论主要在行业组织体对个人信息的利用中予以讨论，在此不做赘述。

（二）社会：加强行业自律

首先，承袭上文讨论行业组织对个人信息利用问题。第一，在获取个人信息上要征得他人同意。虽然不同于隐私权对个人信息的保护，个人信息权中的个人信息往往是已经公开的。但是将已经公开的个人信息利用会扩大个人信息的辐射范围，在某种程度上不可避免的增加当事人的困扰。比如房产中介将个人小范围公开的售房信息公开发布在网页上就可能会导致该个人受到大量电话侵扰。房产中介没有经过该个人的同意将获知的信息在更大程度上公开显然是对个人信息权的侵犯。第二，在个人信息的整合上要合理适度。对个人信息的利用往往呈现为对个人琐碎信息的分析整合以拼凑出个人的关键信息。就算行业组织的确在个人同意的情况下获得了个人的琐碎信息，但对琐碎信息的“汇编”，是否能应其“汇编”工作获得合法性，从而使得相关组织获得合法利用的依据？如当下时兴的购物软件，我们在使用时会发现首页往往呈现的正是我们最近的需求物。这其实并非巧合，是购物软件平台通过对用户的历史搜索记录、购物订单等的分析整合下的精准投放式广告。不可否认的是，这的确便利了消费者，但这也的确拼凑出了消费者的数字化形象，这种获取消费者相关信息的行为是对私人信息的二次利用和开发。合理适度的信息整合便利你我，过度的信息搜集和整合则会使用户“衣不蔽体”。因此，直销业者在精准营销时必须衡量对消费者的实际影响，最好的方法是对这种数据的分析整合进行类型化投放，从而不会识别出消费者的明确身份造成对消费者的困扰，又便利双方。

其次，各行业应当建立自律组织。借鉴美国模式，充分发挥行业组织的灵活性、自治性、专业性，弥补法律法规的抽象性及滞后性等缺陷。特别应引导重点行业在个人信息保护领域，制定相应的自律规范和自律公约，重点加强对企业内部可能接触海量个人信息人员的监管和教育，规范大数据的使用方法和流程；加强自我管理和自我约束，对具有侵犯用户个人信息行为的会员予以处罚，包括罚款、暂停会员资格、取消会员资格，情节特别严重的可提请政府主管部门或司法机关处理。因此，各行业建立自律组织，不仅可以强化各个行业组织的自律意识，同时可以使个人通过参考相关企业是否具有自律组织的会员资格，来衡量其对用户个人信息的保护程度。

（三）国家：完善相关立法

随着《民法总则》对个人信息权的正式确立，对个人信息权的民法保护有了依据。第111条从三个层次对个人信息权的保护做出了规定，首先是确权性规定自然人的个人信息受法律保护；第二层次规定任何组织或个人的作为义务；第三层次规定任何组织或个人的不作为义务。第二层次与第三层次一正一反形成对任何组织或个人对自然人个人信息的周延的保护。但该条规定仍有进一步完善的空间，对个人信息权的全面保护还需国家完善相关立法。

首先，对个人信息的内涵和外延未予以明确规定。2012年发布的《信息安全技术公共及商用服务系统个人信息保护指南》将个人信息定义为，“可为信息系统处理、与特定自然人相关、能够单独或通过与其他信息结合识别该特定自然人的计算机数据。个人信息可分为个人敏感信息和个人一般信息。”2016年颁布的《网络安全法》将个人信息定义为“以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。”2017年3月提交的《个人信息保护法（草案）》对个人信息维持了《网络安全法》的规定。但是值得注意的是，在《民法总则》二审稿中也对个人信息列举为“姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等”，但是在三审稿就对个人信息不再列举，那么个人信息的内涵和外延到底包括哪些、是否能够适用《网络安全法》对个人信息的规定、是否还需要对个人信息进行分级保护都应在民法分则编纂或者对个人信息权的单独立法中予以明确规定。

其次，应对个人信息进行分级保护。将个人信息根据重要性和保护力度分为个人一般信息、个人重要信息和个人关键信息，个人一般信息可以从网络、媒体上没有阻却的找到，是指有关个人身份和财产的基本情况，对此的获取和利用不属于侵权；个人重要信息是指小范围公开的个人信息，比如同学通讯册，这是在同学之间相互流通的有关个人联系方式、家庭住址、工作情况的信息集合，如果其中有的同学将这些信息卖给其他组织而从中获利则侵犯了个人信息权，因此个人重要信息应经当事人同意才可以获取和利用；个人关键信息是指涉及个人人身和财产的关键信息，当事人以外的任何组织和个人通过正常途径无法获取，对此类个人信息的保护力度应最强，对其的保护应直接与刑法链接。［8］

（四）期望：实现个人信息保护与利用的双赢

社会信息化进程的不断加快不仅催生了对个人信息的全面保护意识，也展现出个人信息的巨大价值。笔者认为，对个人信息的保护和对个人信息的利用从来就不是一组冲突的概念，对个人信息的全面保护应当兼顾个人信息的利用从而达到双赢的状态。

个人信息的利用呈现出巨大的商业价值，商务智能分析、直销精准投放使得营销回应比率大大提升，对消费信息的整合分析也是经营者及时更新产品、服务质量，提高决策效率的重要途径。对个人信息进行全面保护时应当允许经营者出于合法理由对消费者个人信息的适当利用，但经营者也必须保证消费者个人信息的安全。个人信息的利用还呈现出巨大的公共管理价值，诸如户口登记、企业营业登记等都是国家为了宏观实施社会管理、提供公共服务采用的基本做法。有学者指出《民法总则》第111条规定的任何组织或个人应包括国家、国家机关、行政机关。［9］笔者认为此番论断确有根据，随着信息化、数字化社会的到来，在“责任政府”和“服务政府”的基础上，“数字政府”已经成为现代政府的基本标志。国家、国家机关、行政机关通过以个人信息为基础建立的数据库，可以高效利民的实现对公共秩序、公共安全和公共福利的推进。同时国家以“公共利益”为名对个人信息的收集、建立数据库同样可能造成对个人信息权的侵害，这里必须对公共利益作出具体的界定，符合公共利益的个人信息个人必须提供，对个人信息的全面保护也必须让位于公共利益；不符合公共利益、社会利益的，个人则有权捍卫自己的个人合法的个人信息权。把控个人信息保护与个人信息商业价值利用和公共管理价值利用的度，实现保护与利用的衡平，实现保护和利用的双赢需要个人、社会和国家的共同努力！

四、结语

随着信息化时代的到来，个人信息的保护问题逐渐突出。《民法总则》将个人信息与隐私权区分规定对个人生活信息进行了全面保护，在宏观上具有广阔的背景，在微观上也具有充实的理论依据。但在此基础上，对于个人信息权的保护仍有进一步优化的空间，这就需要个人、社会和国家的共同努力来化解个人信息保护与利用的尴尬境地，转而实现个人信息保护与利用的共赢！