陈 希

一、个人信息的界定及其与隐私权的关系

(一)个人信息的界定

现阶段对个人信息的认定未有明确的标准，在实践中很多情况下并未强调个人信息与个人数据以及个人资料的边界划定。笔者认为此举是极不合理的，从某种程度上来说三者虽都起到了识别个体的作用，但绝非能够同日而语。个人数据、个人资料强调不以文字为限的一切能够识别目标个体的符号标志。简言之，个人数据与个人资料是作为个人信息的表现方式所存在的。是故，关于个人信息、个人数据以及个人资料三者之间的关联性应概括为：(1)个人资料与个人数据属于一种并存但存在交集的关系，因为个人数据强调那些具有个体识别性的客观数值以及各种符号。而个人资料则并不限定于对识别个体客观特征的反映，也包括诸多外界对于识别个体的主观性较强的评价。(2)个人信息与个人数据以及个人资料之间应该是个人信息囊括了后两者的关系。因为个人信息之义重在于群体中识别个体。个人资料与个人数据分别从主、客观两个方面对个体的特质进行搜集，最后融会成个人信息突出目标个体的特殊性以达到准确识别个体的功能。纵观世界各国立法，关于“个人信息”概念的核心要素即是个人信息应具有识别性。就是要能够通过此类数据信息将信息主体于群体之中准确定位。但是个人信息的特质也并非仅限于此，通过对现行相关法律文件和大量文献的查阅，将个人信息的特征归纳为以下几点：(1)个人信息具备人格权属性；(2)个人信息充分反映了个体特征，极具个体属性；(3)个人信息需通过物质载体呈现。

(二)个人信息与隐私权的关联

通过以上探讨我们得到了个人信息实质上是对某个自然人个体区分于其他个体所独有的可能反映个体特征的数据系统的结论。而隐私权则着重强调私人领域的隐秘性。“私”是相对于“公”而言的，代表着非社会性与私密性。再者，隐私中往往蕴含着一定比例的人格尊严成分，这与个人信息的人格权属性极为相似，所以两者之间是存在密切的关联性的。即便如此，纵观现今已对个人信息进行立法的国家来看并未能较好地将两者的特质整合，总结出相应的标准对两者加以区别。从比较法的角度出发，各国没有解决好二者的区分，究其原因依然是因为两者所涵盖的权益内容共通之处太多，差异较小，难以找出适当的鉴定标准所致。详细表征如下：

第一，二者的权利主体都仅限于自然人，不含法人。这与隐私权的确权初衷有关，隐私权的设立即是为了保护个人私人生活的隐秘性。而“私生活”范畴应限制在自然人日常的生活起居，如此一来法人和其他组织自然就会被排除隐私权主体之列。同样的，个人信息权益的权利主体亦仅限于自然人。因为个人信息的核心功能就是在群体中精准识别个体，其间可能因识别方式的差异存有直接与间接之分，但关键仍是突出“识别性”。至于时常作为信息数据控制者出现的法人组织其本身绝不可能成为个人信息权益的权利主体，这主要是由于法人组织欠缺人格属性所致。对于法人组织的资料数据我们通常需要借助商业竞争法来提供保障。

第二，两者都是建基于个人对生活完全的自决权之上。无论是个人隐私还是个人信息，都是自然人所独有的权利，而且都彰显了人格尊严和个人自由。就隐私而言，体现了对“个人自决”、“个性”和“个人人格”的尊重和保护。[1]至于个人信息，无论是制度层面抑或是个人理念针对性的保护力度日益强化，这与全社会对人格尊严和人格自由的日趋珍视不无关系。由此，可以明显地看出隐私权与个人信息权益追求的终极目标是一致的，都是为了使人格尊严和人格自由得到全方位的保护。只不过个人信息权益所涵盖的内容更为宽泛，除了隐私权覆及的个人的“私密信息”，还包括了可为外界所知晓的个人信息。

第三，两者权利客体上的共同点。个人信息与隐私权之间存有较多“重合点”：一方面，我们不能断言说个人信息均可被公众获悉。事实上，很多个人信息都是人们不愿对外公布的私人信息，于此不考虑其经济价值几何，而是反映了个人对自己人格权益的充分自主权。举例说明，如个人的手机号码、身高、体重、年龄、工作单位等数据信息，它们都具有识别个体的功能，都应归入个人信息的范畴，但是从信息主体的角度出发，它们并非愿意将自己这些个人信息公之于众，即便是在一定范围内被政府或其他商业机构通过合法手段获取也不能说明此类信息已丧失私密性，因为合法的信息收集者以及持有者，必须履行妥善保管相关信息的义务，严防被收集的个人信息泄露。另外，隐私权保护的客体与个人信息所统辖的范畴是有重合的，特别是在当前的大数据背景下，数据处理技术的升级改进使得许多附条件公开的个人隐私信息开始具有“识别性”，如通过数字化技术处理后的影像、图片资料，此时便极有可能因具有身份识别的特征而被纳入个人信息的范畴。

第四，二者侵害后果上的竞合性。于此应包含两个方面的内容：一是通过某些侵害隐私权的行为可能会导致对个人信息权益的侵害，二是由于对个人信息权益的损害导致了对个体隐私权的侵害。如随意散播他人不愿公开的个人照片、影像资料，或非经许可传播他人过往的经历等。此外，对隐私权与个人信息权益造成实际损害的侵权方式表现出相似近乎相同的形式，如披露、盗取、散播、买卖等。加之两者之间客体范围内存在巨大的重合面，这也正是理论与实践中要采用隐私权体系为个人信息权益提供保全的原因所在。

(三)个人信息与隐私权的界分

尽管个人信息和隐私权的关联相当紧密，但两者的性质、客体等方面差异性同样明显，明晰两者的区别所在，无论是从制度层面出发完善人格权中涉及个人信息权益部分的内容，还是增强法律实践中对个人信息权益保护方式的适配性，都极具意义。

1.两者属性的界分

个人信息权益和隐私权虽同属人格权范畴，但两者在法律属性上差别依旧明显，主要表现为：

第一，隐私权着重保护精神层面的人格权利，经济价值并不属于其核心价值，对隐私权的侵害也主要导致的是精神损害。而个人信息权益在性质上属于兼具人格利益与财产利益的综合性权利，既囊括了精神价值，也包含了财产价值，两者关系着个人信息权益的基本属性无主次之分。但也有例外，在市场经济社会中，个人的“知名度”成为衡量个人信息利用价值的重要指标，这实质上是其中财产利益日益凸显所致。特别是社会知名度较高的权利人借助本人姓名、肖像等具备的号召力，运用于商业经营活动进而获得经济利益。但是在此种模式下极易造成人格权利与经济利益相冲突的情况，找到适当的方法寻找出两者利益的平衡点是我们必须正视不能回避的问题。

第二，隐私权权力的基本属性决定了该项权利只可能是一种消极的防御性权利，权利人在隐私权未受侵犯时是不存在“行使”隐私权这种说法的。只有在个人隐私被外界行为侵害时权利人才能以维护个人隐私的名义，行使要求他人排除妨害、赔偿损失等措施。而个人信息权益则注重于个人对自己个人信息数据的绝对掌控。此种“掌控”就包括：一是对本人个人信息进行积极利用，行使权力；二是对外界的侵害行为展开防御。正如有学者指出的“普通的隐私权主要是一种消极的、排他性的权利。但是本人信息自决权则赋予了权利人一种排他的、积极的、能动的控制权和利用权。”[2]

2.两者客体的界分

个人信息权益和隐私权在客体方面的差异主要集中于以下几点：

首先便是两者在“个体识别功能”方面的差异。张新宝教授曾在其专著《隐私权的法律保护》一书中将隐私权定义为“自然人享有的私人生活安宁与私人信息秘密依法受到保护，不被他人非法侵扰、知悉、搜索、利用和公开的一种人格权，而且权利主体对他人在何种程度上可以介入自己的私生活，对自己是否向他人公开隐私以及公开范围和程度等具有决定权。”[3]但是相较于个人信息权益的有关内容，隐私信息是不具有识别个体的作用的。举例说明如下：日常生活中有一类个人专属信息在数量上并不对持有人加以限制，如手机号码、车牌号码等，此类信息虽不能独立展现其识别性，但只要与其他信息相结合便可以指向个人以达到识别个体的效果。而个人信息则强调个体特质，必须是个体所独有的方能纳入个人信息的范畴。当然，部分的个人信息是极有可能与隐私相重合的。比如将他人不愿意公之于众的照片在网上进行散播不仅是对当事人隐私权的侵犯，亦是对当事人个人信息权益甚至是人格权的损害。但是，作为个人信息来说，能与隐私权产生重合的元素毕竟不多，主要是由于现今处在信息数据时代，个人数据信息已成为人们社会生活的必需元素，很多时候个人信息是作为数字智能化生活的许可证出现的。所以常有一些私密性的个人信息有可能在法律允许范围内被一些特定与不特定的机构所获取，而隐私权受制于其存在形态，一旦被披露就不再是隐私，此类个人信息权益显然已经丧失了“私密性”的特征，不能纳入隐私权的范畴。

其次，两者于救济方式上亦有不同。隐私一经披露是无法通过“恢复原状”等方式得到救济的。所以，即便一些特殊的隐私能够被利用，但隐私权信息一旦公开就受制于其不可逆性，属性将会发生根本性变化，不可能再以隐私权的“外衣”出现。但个人信息却可以无需受此束缚，而且当个人信息受到侵害时其损害结果并非不可救济。例如，对个人信息的不当收集、存储、利用等行为，权利人有针对侵害行为要求行为人停止侵害，消除影响保全相关个人信息权益的权利。

最后，相较于个人隐私，成几何形式出现的个人信息有可能牵涉到国家安全。从单个或少部分的个人信息看来此项特征其实并不明显。但通常情况下对个人信息的使用都是以集合的形式表现出来，即我们所说的“大数据”样本。其中可能包含有牵涉国家、社会公共利益的因素。如前文所述，在时下的数字智能化时代背景下，个人信息不会再是一座密不透风的“堡垒”，公权力机关合法的收集行为与网络黑客的采集对象都指向了大众的个人数据信息。因此，既然信息采集不能避免，我们唯有从采集过程和保管措施入手为已采集的公民个人信息打造合理、严密的规范。

3.保护方式的差异

对隐私权和个人信息权益的界分实则是为寻求适合二者的保护方式进行理论分析。二者在权利特质方面存在诸多差异，所以在两者遭受侵害行为时向权利人提供的救济和保护方式应该有所区分。

第一，二者所发挥保障作用的时间阶段是有区分的，个人信息的保护阶段集中在事前预防程序之上，但隐私权应聚焦于对侵害后的补救措施。这与两者所覆及的客体范围有关，个人信息权益有时会因个体社会地位以及政治因素的影响导致其个人信息可能涉及国家、社会公共利益，所以只能加紧事前的预防，防止损害公共利益的情况出现。而隐私权的主要内容则主要是个体在日常生活中一些不愿为外人所知晓的私密性的信息，而且通常不会牵涉到公共利益，故而不需要适用“事前防御”如此积极主动的高级别保护手段。

第二，二者保护方式的差异。对于隐私权的损害赔偿主要是以精神损害赔偿的救济方式为主，原因在于隐私权主要涉及个人不愿为人所知的隐私，侵害行为对个体造成的最大伤害即是精神方面的创伤，加之隐私权遭侵害后的不可逆性，使得我们无法适用“恢复原状”的责任方式，只能通过精神损害赔偿的方式对受害人予以抚慰。而个人信息权益在救济方式上则与隐私权有较大差异，对它的救济并不限于精神损害赔偿的方式，财产性的损害赔偿、补偿亦是主要的责任承担方式。这与个人信息权益中人格权益和财产权益的双重属性以及个人信息日益增长的市场商业价值息息相关。

第三，个人信息权益的保护途径较之于隐私权呈现得更为综合多样。对隐私权的保护以法律保护形式为主。而个人信息的保护则在隐私权保护模式的基础上增加了行政管理的方式。行政管理的方式主要是为被侵害人提供公权力的救济，定纷止争，挽回损失。此外，由于个人信息侵权行为往往表现出数量规模较大的特点，单个的个人信息侵权发生频率较低，所以笔者认为，在个人信息权益遭受侵害的情况下，是极有可能因为个体数量大进而形成大规模侵权的。但是对遭受侵害的群体中的单个主体来说，损害又可能是轻微的，因为个体受害人的力量有限，通过受害人使加害人被法律追究的可能性不大，极易因为诉讼动力不足而使得对侵权人的追诉不及时，甚至不再追诉，即使在某个个人信息侵权行为危害到了社会公共利益的情况下。综上，笔者认为可以通过借鉴环境公益诉讼的模式由国家公权力机关作为代理人追究侵害人责任。

二、个人信息权民事确权的理论基础

(一)《民法总则》第111条规定中“个人信息”的法律属性

关于《民法总则》第111条规定“个人信息”法律属性的判断问题，自其颁行便未断绝。其中最具代表性的观点便是“法益与权力”之争。至于条文中“个人信息”的法律属性在二者之中如何取舍，可从以下方面展开探究。

第一，运用比较的方法，搜索全球范围内有无关于个人信息权利保护或者法益保护的立法先例。当前，世界各国大多是通过隐私权保护模式来为个人信息提供保护机制。如美国，个人信息保护的实现就多依赖于隐私法案。美国的隐私法案最初颁行于1974年，主要是对政府公权力机关进行约束，并着力于对各类信息的收集、持有、使用和传输的行为进行规制，其中就不乏许多通过保护隐私权来为个人信息权益提供保全的措施。但不得不说的是，隐私权的性质于美国法中是明显地区分于大陆法系的。“美式”隐私权内涵丰富，甚至兼具一般人格权的性质。例如美国，便对隐私权保护法的对象进行了适度的扩充，将部分(并非全部)个人信息权益的内容划入了隐私权的保护范畴。由此可以看出在美国，个人信息的保护虽是借助于隐私权的保护措施，但个人信息权益的相关内容仍具有具体权利的性质。但大陆法系国家的情况与此似乎略有不同，个人信息的法律地位在大陆法系国家的成文立法中得到了明确。作为起始的标志，德国于1976年颁行的《联邦数据保护法》将个人信息的保护模式系统化、独立化，显现出了民事权利的属性，即便仍未将个人信息单独确权，依旧运用隐私权来对其进行保护。但是在大陆法系理论研究中已逐渐开始对隐私与个人信息二者之间的关系进行界分。德国联邦宪法法院将信息自决权(1)信息自决权：即个人依照法律控制自己的个人信息，并决定是否被收集和利用的权利。纳入了隐私权范畴，此举并未于制度层面上肯定个人信息与隐私各自的独立地位，但在其国内的司法实践中是将两者区别对待的。其次，在欧盟法院确定应对被遗忘权提供保护之后，其部分内容很难借助于隐私权来进行保全。[2]这主要是由于两者的客体性质差异所致。隐私权的客体是不被外界所知的个人私隐，而被遗忘权的客体多数是已经被公开的且产生时间较早的个人信息类型。是故运用隐私权的保护方法来为被遗忘权提供保护是并不适当的。因此，基于世界各国现行立法例来观察对个人信息权保护的法律模式，运用法益保护模式来对个人信息权益提供保护似未可行，相反的将个人信息作为一项独立的权利来进行保护却有着相当深厚的理论与现实基础。

第二，法律规范中对一项民事利益采取权力保护方式或法益保护方式对司法实践的主导性是否存在较大的差异。在我国民法中，对个人信息权益的保全需借助隐私权的保护模式。但是随着当代个人信息社会综合价值的提升尤其是其财产价值的丰富，强化对个人信息的保护就显得尤为重要。特别是科学技术的进步提高了个人信息的运用频率和个人信息的交融速度，个人信息成为一项重要的社会资源毋庸置疑。在传统理论中“隐私权模式”下保护的个人信息主要分为两大类：一类是个人隐私信息，一类是个人身份信息。但是，现今流通范围最广，使用频率最高的并非个人隐私信息，而是那类一定程度上可为外界所知晓的个人身份信息，伴随着智能设备的普及和各类APP中身份验证程序的引用，对身份信息的需求已经渗透进了社会经济生活的各个层面。显然，继续以“隐私权模式”来为这部分“个人信息权益”提供保护效果就显得捉襟见肘，加之在侵权损害赔偿方式上，隐私权侧重于精神损害赔偿救济，而对个人信息权益的侵权保护则是采取精神损害赔偿救济与经济赔偿手段并行的举措，有时甚至应以财产补偿为主要方式。加之现下威胁个人身份信息安全的“不安因子”越来越多，形式激增，电信诈骗、微信诈骗等金融诈骗模式愈演愈烈，公民的财产权益遭受着比人格权益更为严重且频繁的侵害。若继续以“隐私权模式”救济个人信息的相关权益则显有不周。所以，在《民法总则》第111条将个人信息保护确定为一项基本原则之后，相较于作为隐私权的组成部分以及用个人信息法益保护，将其作为一项独立的民事权利进行保护，显得更为妥帖。

(二)个人信息权益相对独立宜确权保护

一项民事权利的确立即是对一项具体民事利益的基本内容、保护形式明晰化处理的过程，它要求：(1)这项具体的民事利益拥有相对的独立性。例如生命、身体和健康，同为三种民事权利，且都为物质性人格权，但是三者所保护的人格利益都是独立的人格利益。因此，法律对这几种人格利益的保护，都确立为具体人格权。[4](2)作为一项民事利益，成权后所保护的民事利益能够与其他现存的民事权利所保护的利益做出明确的区分，如无法做出区分，重合比例较大亦不具备独立成为一项民事权利的条件。由此我们可以推想《民法总则》第111条之所以未明确个人信息权益的独立民事权利地位，主要是介于现阶段相关的理论基础中两者的相关性、紧密型较强，还不能较好地处理个人信息权益与隐私权的剥离问题。杨立新教授在他的《个人信息：法益抑或民事权利——对〈民法总则〉第111条规定的“个人信息”之解读》一文中就认为这是立法者对是否能够划清个人信息权与隐私权的界限信心不足。[4]然而，笔者认为，个人信息权益与隐私权两者之间虽然存在许多“连接点”和“重合点”，从两者的根本属性来看，它们之间区别依旧明显。隐私权主要内容主体不愿公开披露且不涉及公共利益的信息，而个人信息权益则强调具有对主体的“身份识别性”。两者所保护的民事权益是完全不同的，都是独立的人格利益。况且个人信息权益的商业化价值也是日趋凸显，促使商务智能分析成为现实。

因此，个人信息权益不仅具有人格利益亦具有商业价值。这使得隐私和个人信息权益之间是可以进行明确区分的，将个人信息权益独立确立为一项民事权益是没有理论障碍的。

三、“个人信息权”侵权责任制度之构想

(一)放宽侵权责任构成要件

侵权责任的基本构成要件在民法理论中可以归纳为：主观过错、违法行为、损害事实、行为与损害之间有因果关系四个方面的内容。但鉴于个人信息侵权行为往往具有：责任主体众多、损害后果波及广、侵权行为多样性等特点，若适用传统的侵权责任认定“四要件”并不能对侵权人的责任精确地进行认定，因此笔者认为应适度放宽相关认定标准，以适应“个人信息权”侵权行为的特质。

第一，归责原则应多元化。在通常情况下针对“个人信息权”的侵权行为涉及的责任主体较多，侵权方法也较复杂。如果要求侵权人只在过错范围内承担侵权责任可能会存在诸多障碍。首先责任范围难以界定，其次各侵权行为之间具有较强的因果关联难以割裂。最后，被侵权人常处于技术支持的劣势，基本无自行举证的可能。是故，可以考虑对此类侵权行为的侵权人苛以严格责任，即通过过错推定的方式来评判行为人应承担的侵权责任。

第二，关于“违法行为”的认定。“未经他人同意，向不特定的第三人披露他人信息，对他人造成一定的负面影响、伤害或损失的行为。”作为认定“个人信息权”的大前提已无异议，但是对于一些特殊的“个人信息”的披露是否应纳入“违法行为”的范畴就存在争议了，如披露他人不道德但并非违法的信息是否构成侵权。笔者认为，作为一名普通的社会成员专属于本人的个人信息其公开范围始终是有限度的，如果某项信息披露行为已经影响到了他人的声誉、荣誉，甚至是正常生活，那么我们就应该对这种信息披露行为进行抵制了。

第三，不应再强调侵权行为有实际损害后果。“个人信息权”侵权行为中责任主体众多，波及范围甚广，且有些损害后果介于信息传播速度和受众的影响并不会产生立竿见影的不良后果。但是亦不能排除在后续阶段产生更严重的危害后果。此时，若仍旧坚持将有实际损害后果作为认定侵权行为的必备条件，显然对侵权人极为不利，会出现被侵权人的个人信息权益被“合法侵犯”的情况。

(二)采纳举证责任倒置制度

在“个人信息权”侵权行为中，侵权人往往具备较强的信息收集能力和权限，在技术支撑方面更是强于被侵权人。侵权事件发生后要求被侵权人依据民事诉讼法中“谁主张谁举证”的举证原则承担责任难度很大，几无可能。

在参考一系列相关文献之后认为，适时的引入“举证责任倒置”的举证方式不失为解决上述问题的恰当选择。我国民事诉讼法司法解释第76条不完全列举了6种由被告承担举证责任的特殊侵权情形。最后有一兜底条款“有关法律规定由被告承担举证责任的也应由被告承担举证责任”，此款意在为特定民事行为中处于技术、资源优势的侵权行为人划定举证责任以维护被侵权人的合法权益。在举证责任方面，侵权人应着重找寻损害结果与自己的行为不存在因果关系或行为本身没有过错的法律依据。换言之，行为人需证明损害是由于受害人的过错、第三人的行为和不可抗力造成时方能免责，否则需承担举证不能的不利后果。

(三)惩罚性损害赔偿机制的引入

关于个人信息侵权行为的责任承担方式，要依据其侵害对象的差异做出适当的区分。实践中对于个人信息侵权行为的侵害对象无外乎两种：一为人格利益，无关乎财产性利益。二是以牟利为目的将公民个人信息商业化处置，在此种模式下多对受害人造成财产性损失。因此对于人格利益的侵害我们要侧重于对被侵害人人格利益的修复，采用的方式主要有：停止侵害、消除影响、赔礼道歉等非财产性的责任方式，并可依法附带精神损害赔偿。进而我们可得知，关于将个人信息商品化处理牟取非法利益的行为，行为人除需要承担以上责任之外，还应计算被侵权人由于该行为遭受的经济损失，课以赔偿损失的责任承担方式。

然而，又鉴于个人信息权益受到侵害后属性将会发生永久性的不可逆变化，且其商业价值又很难用集体数额估量。为此，是否可以考虑借鉴英美法中的惩罚性赔偿制度。此举主要是出于以下考虑：(1)提高被侵权人诉讼的积极性；(2)增大违法成本，提高威慑度；(3)民事责任与个人信息犯罪的刑事处罚相协调。

那么结合个人信息侵权行为的特殊性，在适用惩罚性赔偿制度时应注意：

1.惩罚性赔偿与补偿性损害赔偿的关系

首先，惩罚性赔偿是必须依附于补偿性损害赔偿而存在的。惩罚性赔偿的功能即是在补偿性赔偿弥补被侵权人实际损失后对其进行的额外赔偿，一为抚慰受害人精神损害，二为震慑此类不法行为。其次，关于适用范畴。行为人过错的主观意识应作区分处理，惩罚性赔偿应仅限于行为人故意的侵权行为。对此，英美国家在其判例法中就一再强调“只有在那些行为人主观过错较为严重的情况下，如故意的、具有严重疏忽和明显不考虑他人的安全和重大过失等行为，行为人才应当承担惩罚性赔偿的责任。”[5]反观“个人信息权”侵权行为中将牵涉有人格利益的个人信息作为纯粹的商品进行交易流通是一种典型的具有故意漠视和侵害他人人身权益的恶意行为，行为人为了一己私利，不惜将他人的人身利益作为交换品，这绝无存在主观过失的可能。

2.关于惩罚性赔偿数额标准的确定

首先，虽然惩罚性赔偿方式是通过对侵权人判处超过侵权行为预期可得利益的罚金进而达到遏制违法行为的目的。但这也不意味着处罚标准是不确定的，首先在法律范畴内确定一个最低数额的赔偿金标准是必须的，但是为了充分发挥惩罚性赔偿的震慑作用又不至于出现滥诉的情况，可以尝试以补偿性的赔偿金为基数，在此基础上视侵权类型与损害后果规定惩罚性赔偿数额。

其次，在司法实践中可以赋予原告充分的自主选择权。由于惩罚性赔偿在制度设计上是要求对侵权人具有惩罚性和震慑性的，以提高侵权行为的成本来达到遏制行为人再次侵权的可能。所以惩罚性赔偿的数额一般是要远高于被侵权人的实际损失的，但是并非所有的关于个人信息的侵权行为都会造成严重的损害后果，我们不能从制度层面“锁死”当事人之间谅解的大门，应该允许原告在法定赔偿数额和实际遭损数额之间自由选择，当然此时法院作为裁判者应对被告的过错程度、具体情节、损害后果和社会影响以及当地的生活水平等因素加以考量。

第三，赔偿金的赔偿项目要全面，在此主要侧重的赔偿项目应该是受害人针对行为人的侵权行为提起诉讼而附带的诉讼费用和律师费用。因为这不仅是公权力对受害人权益更坚定的维护，也进一步加大了对行为人的惩罚力度，提高了侵权行为的成本。综上，强调对个人信息的保护以及对侵权行为予以惩治，并非限制公民个人信息的市场化流通。随着大数据时代的到来，信息数据已然成为社会经济生活不可或缺的经济元素，将一切生活资料转化为数据信息进行交融、分析达到社会生活智能化的程度已成趋势。所以我们不能长期囿于对个人信息的违法管控，应结合实际需求与现实困难寻求制度层面的突破与司法实践的创新。

四、个人信息权民事确权的立法路径选择

(一)在人格权法中明确规定个人信息权和隐私权

在我国，个人信息权作为一项独立民事权利的法律地位以及权利的相关性质和内容都尚未做出规定，而这恰恰应是制定个人信息权部门法所首要明晰的问题。从比较法的角度来对个人信息在世界各国法律体系中的地位进行审视，我们可以发现个人信息权与隐私权的关系基本上都是处在一种紧密联系难以区分的状态之下，运用对隐私权的保护手段保护个人信息权益已是许多国家通用的方法。但毕竟个人信息权与隐私权有别，在隐私权体系的“荫庇下”的个人信息权益始终难得周详。在制度层面对个人信息的基本内涵、法律地位加以明确，一方面是为了增强政府、企业和个人的权利保护观念，另一方面则是确立起个人信息侵权的责任承担形式。我国从制度层面出现将个人信息权益进行独立保护的发展趋势是在2012年12月18日，全国人民代表大会常务委员会出台《关于加强网络信息保护的决定》(以下简称《网络信息保护决定》)，其主要内容就是针对个人电子信息的保护措施。《网络信息保护决定》第1条就开宗明义地提出，“国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息。”将个人信息拔高到了和个人隐私同等的地位。[6]该规定的主要意义在于，针对区分二者的可行性做出了规定，但将两者进行区分的标准还不明朗，由于效力位阶的原因，只有将个人信息权的法律地位在《民法典》中加以明确才能真正达到。那么针对个人信息权益成权入典的路径选择可以从以下方面加以考量。

第一，在《民法总则》中制定人格权法，在其中全面确认个人信息权，此举主要是基于明确个人信息权的人格权属性，界定个人信息权的边界。这是为个人信息权确立独有的保护模式的前提，加之其规范的领域限于网络范畴，故该《决定》是无法起到指导个人信息权侵权行为的处理工作的。确认个人信息权为一种人格权，是可以避免将个人信息权和隐私权完全混为一物的，也可防止对他人行为自由构成不当的妨害。

实际上，放眼国际，很多国家都已经着手尝试承认个人信息权为一种人格权的立法工程。在美国，将个人信息权作为单独的民事权利进行保护的程度虽然不及欧洲等国，但将个人信息权单独确权保护的呼声已明显占优。在欧洲，无论是理论界还是实务界将个人信息确立为一项独立民事权利已成大势所趋。所以，将个人信息确立为一项独立的民事权力已成为世界性的立法潮流。加之我国《民法总则》已经颁行，《民法分则》的编纂工作也已经进入了向全社会广泛征求意见的阶段。立法机关应对我国公民的个人信息权益“成权入典”慎重对待，周密思考。将维护个人的人格尊严和人格平等，确认个人对自己个人信息享有平等、自主支配权利作为个人信息确权的最终目标。至于如何在法律规范性文件中对以上目标加以体现，首先，核心要义便是从制度方面充分尊重个人对其信息的控制权。因为个人对自己信息的控制权的内涵相当丰富。包括：(1)本人有权知晓搜集本人信息的主体；(2)搜集者收集了本人哪些方面的资料；(3)本人资料被收集后的适用范围；(4)有权拒绝他人利用本人的个人信息等。如此种种无不展现出了个人对自己信息充分的自主权与自决权。其次，在人格权法中明确个人信息权的独立地位也是从我国的法律体系出发，因为刑法、行政法中已有针对公民个人信息保护的相关内容，但基本上属于发生个人信息侵权行为时公权力的救济方式，如若能在民事基本法中明确个人信息独立的民事权利地位可使公民享有对本人个人信息积极利用的权利。[7]因此，笔者认为，如果要将个人信息权独立成权应该结合其基本人格权的权力本质将其纳入我国人格权法的规制范畴之中。

第二，在人格权法中将隐私权的法律规则进一步完善，细致化处理。构建隐私权与个人信息权互相协调但又泾渭分明的体系化模式。在我国现行的法律体系中并未出现定义“隐私权”的内容。2002年全国人大法工委制定的《民法典草案》在“第四编”人格权法有关隐私权的规定中，确认隐私权的范围包括私人信息、私人活动和私人空间(第25条)。 但此种定义所指甚广，基本将个人信息权益的相关内容也囊括其中，这是明显不利于架构单独的个人信息权益体系的。所以在我国《民法典》人格权法的编纂过程中需要详尽地区分隐私权与个人信息权，并对二者代表的人格利益针对性地提供保护。

(二)以私权保护为中心制定个人信息保护法

个人信息的内涵相当丰富，其中大量技术性规定是无法被人格权法所涵盖的。那么此时就需要通过制定特别法来对人格权法予以补充。另外，对个人信息权的侵害极有可能将会涉及不同性质的法律责任，若只追究其民事法律责任显然不妥，极有可能造成体系上的冲突与不协调。

问题的关键还在于需要制定一部什么样的个人信息保护法?对此存在两种立法思路：一是突出政府管理地位的个人信息保护立法；二是以私权保护为中心的立法模式，从私权的角度对个人信息加以保护。笔者认为后一思路似乎更为妥帖。理由如下：第一，将个人信息权作为一种私权对待，即便它也体现了公共利益，但只有在私权领域中个人信息权才能获得更为周全的保护，因为这是它的权利本质。第二，从公民个人的权利意识入手，鼓励公民对本人信息数据自我管理，牢固树立本人主动保护自己个人信息的理念。不能怠于追究、疲于诉讼，放任不法行为的发生。对个人权益保护最佳的途径便是自行维护，因为作为个人信息的持有者信息的种类、性质以及被侵权后发生的变化本人是最为了解的，所以在对个人信息权益的保护方式中，采用本人自我管理的方式可以说是最直接、最有效的方式。第三，通过对个人信息权法律内涵的明晰，确定个人信息权利人与相对人之间的各项权利义务。此处的相对人不仅指其他公民，同样也包括国家公权力机构，而且国家公权力机构作为公民个人信息收集主体时需要承担较其他公民更为严格的信息保全责任。第四，进一步强化侵犯个人信息行为的民事责任。个人信息权的私权性质已经很明朗，所以在个人信息权受到侵害时，民事责任的承担便是权利人首先考虑到的权利救济途径。但在我国现阶段的法律体系中，关于侵犯公民个人信息行为需要承担的民事责任尚未明确。虽然《刑法》条文中已有“非法出售个人信息罪”等罪名的规定，但欠缺了民事责任的个人信息侵权责任体系始终是不完备的。因此，在筹备我国《个人信息保护法》的过程中应充分借鉴当前通过《民事诉讼法》中小额诉讼、公益诉讼等制度保护公民个人信息权的模式，因地制宜地制定符合个人信息权利特质的民事责任体系。

综上，我国个人信息权的设立不仅应建立在既有的比较法经验基础上，还应着力协调个人信息权与隐私权间的关系，在人格权法对个人信息权予以明确的同时加强个人信息保护法与之的良性适配，合力形成适应我国实际国情的个人信息权保护路径。