胡 炼

(湘潭大学，湖南 湘潭 411105)

一、个人信息界定和法律价值

美国和德国是研究个人信息(个人数据)最早的国家，在网络信息技术广泛运用之前就开始对个人信息的收集和利用行为进行法律规范。而在网络信息技术普及后，大数据技术造成的个人信息海量输出以及网络途径侵犯个人信息案件层出不穷，使得各国制定了一系列法律来适应信息化背景下个人信息的保护。

(一)个人信息定义、属性和分类

以欧盟为代表，采用个人数据来称呼自然人产生的信息，如欧盟《个人数据保护指令》将个人信息称为：和已识别或可被识别的特定主体关联的任何数据；德国《联邦个人数据保护法》将个人信息定义为：可以直接或间接识别自然人的数据。以美国为代表，采用个人可识别信息的概念，在其《安全港隐私保护原则》中个人信息是指在指令覆盖范围内，关于某一确定的人的信息或可以通过其确定某个特定个人的信息。[1]我国立法者参照美欧的保护模式再进行改进，得出适合我国法律现状的个人信息的概念，是指以电子或其他方式记录的能单独或与其他信息结合识别自然人个人身份的各种信息，如姓名、出生日期、身份证号码等信息。我国也将“可识别性”作为核心要素，采用了“个人信息”的名称，因为数据是由“0”和“1”依一定规律排列组合而成，其本身只是一串数字，但通过一定的方式可以读取特定数字后的信息便产生了价值，因此用个人信息更能揭示法律要保护的对象。也有学者认为数据与信息的关系是形式和内容的关系，数据是信息的存在形式，作为数据本质的信息才是法律值得保护的对象。[2]

一般观念上，凡是能与自然人发生关联的信息都属人的信息的范畴，但这些信息并非都具有法律上的意义。法律所保护的个人信息具备可识别性、动态性、可反复使用与可共享性、可处理性等特征。[3]动态性是指个人信息与非个人信息能相互转化，如匿名化处理后的个人信息，因为失去识别能力而被许多国家法律排除在个人信息保护范围内。随着科技发展，反匿名技术或者查找方式革新又会通过匿名化的信息识别特定主体。可反复使用性由信息自身特点决定，其由数字编码组成储存在硬盘或者网盘中不会因使用而消耗能多次利用。可共享性则是因信息技术发展而具备的特点，信息时代要求数据流动畅通，这样信息产业才能有发展的前提且大数据技术运用使个人信息被他人获取的途径增多，绝对隐秘的信息几乎不存在，客观上个人信息是为他人知悉的。可处理性指信息可经过各种信息系统及现代信息技术进行加工处理(如编辑、汇总、美化)和传输而产生新的信息并使得信息在不同主体间进行流动。

个人信息是包含人格尊严与自由价值和商业价值的综合性利益。[4]首先个人信息能识别出特定主体的身份，勾勒个人的人格形象，能够显示出个人活动轨迹，能对个人独处的自由或者个人社会评价产生显著的影响。个人信息的财产价值是指商品经营者因这些信息具有反映特定主体需求和偏好的特点而对其进行购买进而做精准广告投放或是扩大潜在消费者群体；也有观点认为大数据时代单个自然人的个人数据本身并无价值，仅在同其他个人资料汇总并加以利用才有经济利益，真正蕴含经济价值的是政府以及数据从业者即数据企业所收集和储存的个人数据库。这种观点本身存在矛盾之处，既然单个个体个人信息没有价值，那怎么得出由个人信息构建的个人数据库又有经济价值呢？单个个体的信息价值很低微，但是有经济价值利益 ,就像上述给商品经营者扩大潜在消费者等价值而不能否认其经济价值。基于客观目的不同，个人信息有多重分类。从法条本身要素构成出发，将个人信息分为个人身份信息和个人隐私信息，个人身份信息是识别特定个人的信息，是数据形式表现出的个人人身特征和行为状态，是个人自然特征和社会活动的记录。个人隐私信息则是涉及个人私密活动的信息，具有的是精神方面的利益。[5]有观点认为，个人信息应分为“敏感性个人信息”和“一般性个人信息”，就国标而言，个人敏感信息指一旦泄露、非法提供或者滥用就可能危害人身和财产安全，极易导致个人名誉和身心健康受到损害或者歧视性待遇等的个人信息。通常情况下，14岁以下(含)儿童的个人信息和自然人的隐私信息属于个人敏感信息。一般性个人信息指公开程度高，他人可用合法手段获取的信息。综上，个人信息是指单独或结合能识别自然人身份的各种信息，以可识别性为核心要素，兼具财产价值和人格价值，是一种复合型利益，其不仅包括可识别特定自然人的个人私密信息且囊括与个人关联的公开信息。

(二)自然人对个人信息享有自决权

《民法总则》第111条明确自然人的个人信息受法律保护，并列举非法收集、使用、加工、传输、买卖、提供、公开七种侵犯个人信息的行为，却未配套相应制度保护，导致法律如何保护个人信息存在争论。

从总则立法安排来看将隐私权和个人信息分开立法，如果依“用隐私权保护个人信息”的观点，[6]立法者设定的个人信息权就成为隐私权的保护对象。那么这样分开立法的立法安排有无必要呢？有学者从个人信息和个人隐私的不同立法价值取向论证立法者在总则中单设个人信息条款的目的。个人信息的保护重心在于对个人信息自决权的保护，所注重的是个人对自我信息的决定和控制，是一项积极支配型的利益。但个人隐私保护的则是个人私生活安宁和个人秘密不被泄露，[7]是一项消极防御的利益。且从规定的七种行为方式上看，使用、加工、传输、买卖这四类行为方式都包含第三方对已取得的信息进行处分的过程，立法禁止未被法律允许的上述四种行为是抑制了他人非法控制与决定个人信息，保护了信息主体对个人信息的控制与利用，所以总则规定个人信息条款是为了保障信息主体对个人信息的自主支配和处分，这是隐私权或者其他权利还做不到的。

除了立法价值取向不同，个人信息和隐私还存在诸多差别。其一是两者属性不同，隐私是一项精神性的人格利益，关系个人私生活的安定，财产价值不明显。但个人信息兼具人格价值和财产价值是复合型利益。这就使得二者在救济途径上存在差别，隐私遭到侵害，大都采用道歉赔礼，消除负面评价，精神损害赔偿的方式，但个人信息侵权除开上述方式外还可要求财产损失赔偿。其二两者权利客体不同，隐私是指个人私密性信息或者活动，以秘密性为核心要素。个人信息则指可识别特定主体的信息，注重身份识别性。对此有学者认为已经公开或者涉及公共利益的个人信息是被直接排除在隐私权保护范围之外的。因此隐私和个人信息的覆盖范围是交叉关系，试图以隐私保护个人信息并不可取。当前主张用隐私权保护个人信息的观点还认为为了保持现有法秩序的稳定，破除解决新问题即设计一项新权利的思路，在既有的法律框架内寻求解决办法，因此用隐私权替代个人信息相关权利的缺失，避免立新法。对此完全可以用隐私权的发展历史来反驳，隐私权真正成为一项独立权利也是在2009年侵权责任法中，这恰恰说明既然个人信息有其独立保护的意义就不应该走隐私保护的旧路，不应先靠其他权利间接保护再独立成权，应有其他出路。

个人信息保护的信息主体对自我信息的决定和控制具体表现为哪些方式，有观点认为包含信息保有、信息决定、信息知情、信息更正、信息锁定、个人信息保护、被遗忘信息保护等内容。以上保护方式有重复保护之处可以精简，信息主体享有的决定和控制的权限可分为知悉权限，即信息收集者或者信息管理者在收集或是利用个人信息时应及时通知信息主体；处理权限，即信息主体对自己的信息在多大程度上共享，向谁共享，以何种方式共享由信息主体自主决定并且对于登记载明的个人信息出现缺漏和错误时予以更正或者删除的权限；信息收益权限，即信息主体依据个人意思授权他人适用相关的信息并获得报酬的权限。因此个人信息赋予信息主体的权限是不同于隐私权的，个人信息具有独立保护的价值。

二、个人信息法制现状

(一)个人信息的立法状况

从2005年齐爱民教授的《个人信息保护法示范法草案学者建议稿》到2016年11月《网络安全法》再到2017年3月的民法总则。现有的个人信息保护规范已近100部，在内容上涉及互联网、电信、征信、证券、银行、保险等方面，跨度非常广且规定详细。《民法总则》第111条规定“自然人的个人信息受法律保护”将个人信息纳入基本法保护范畴为后续个人信息立法工作奠定基础。2017年12月国家标准化管理委员会发布的《信息安全技术个人信息安全规范》可以说是内容规定最为详尽的一部规范性文件，其对于个人信息界定，个人信息的收集、使用、共享、转让、公开披露做了规定。但多数学者仍指出中国个人信息保护规范存在分散立法、碎片化严重、保护利益不清晰、效力层级低、被授权的管理部门混乱等问题。的确有关个人信息的法律大部分是行政规范性文件，属于全国人大基本法层面的法律仅有《网络安全法》，《民法总则》也只是笼统地宣示个人信息的法律地位和侵权行为的种类，对于个人信息的范围、法律责任、免责事由都未规定。总则只是从消极层面对个人信息保护做出规定，未规定个人信息权，不利于信息主体积极对自己信息的控制与支配，个人信息权缺位是个人信息法律保护力度不够不可回避的点，同时也对司法实务造成法律适用冲突和法律缺失等诸多麻烦。

(二)侵犯个人信息案件梳理

司法是法的适用过程，因此从司法实务中收集案例进行归纳总结更有利于全面了解个人信息法律保护现状。从中国裁判文书网上以关键词“理由—个人信息”“民事案由”“一审”进行搜索，共得到3106个结果，其中部分案件裁判文书的事实与“个人信息侵权”没有丝毫关联。在这些案件中随机选取了80个案件按案由类型和判例责任承担方式进行整理归纳，得到以下数据。

表1 判例的案由类型

表2 判例的责任承担方式

个人信息保护信息主体对个人关联信息的决定和控制权限，有独立的保护价值。但从收集案例来看，虽然当事人在“事实与理由”部分是以个人信息遭受侵犯而提起诉讼，但是裁判文书的首部标题却以隐私权纠纷、姓名权纠纷、一般人格权等作为标题，无一例是以“个人信息侵权纠纷”来立案，这也与当前规定“个人信息”法律关系的法律规范过于简单分散有关，个人信息也没有作为一项权利来立法，落得仍依靠其他权利进行救济的尴尬局面。且面对大量案件的诉讼主张，法院只支持部分的主张，基本不认定新型损害结果。现有法律对于个人信息侵权的责任构成要件与普通侵权案件的责任构成要件采取同样标准，不能有效解决大数据背景下个人信息侵权纠纷。

三、侵权责任法保护个人信息的困境

个人信息的侵权法保护路径或依靠侵权责任法第36条“互联网专条”和相关的司法解释规制网络途径侵犯个人信息；或依靠侵权责任法第6条过错侵权条款配合民法总则第111条对非法收集、使用、加工、传输、买卖、提供、公开这七种一般侵权行为类型进行法律规制。在侵权责任构成要件上，个人信息侵权与普通侵权认定一样。在信息化时代，利用网络侵犯自然人个人信息成为主要的侵权方式，网络侵权具有隐蔽性、大规模性、举证难等特点，一般责任构成要件对大数据背景下新出现的侵犯个人信息行为难以全部规制，造成某些侵犯个人信息的行为逃避承担法律责任或是承担的法律责任与其侵害行为不相适应。从上述法律规范和实务判例中发现个人信息民事责任承担中还存在着以下困境。

(一)机械套用一般侵权归责原则

责任归责原则分为过错责任、过错推定责任和无过错责任。过错责任规定在侵权责任法第6条，是认定侵权责任的一般原则。因为后两种加重了行为人的举证责任负担所以立法要求在条文中明确了后两种归责原则的适用情形。该法未对侵害个人信息做特殊规定，而且该法第36条明确了网络途径侵权均采过错责任。这种不区分具体侵权方式和侵权主体就笼统适用过错责任的做法一直受到学界的质疑，[8]且在实务中也出现了过错推定责任认定。在“庞理鹏与北京趣拿信息技术有限公司等隐私权纠纷二审民事判决书”中，二审法院认为东方航空和北京趣拿公司掌握庞理鹏订购机票信息而且两公司未能提交足够可信的证据证明庞理鹏个人信息泄露并非自身所为,因此让侵权主体承担客观举证责任,这和一审法院认定过错责任相反。一审和二审法院对侵权行为归责原则的不同认定是现有法律滞后于社会实践，审判者机械地套用一般侵权责任构成要件的结果。

(二)多个行为人场合下因果关系难以证明

侵犯个人信息行为具有隐蔽性，而信息流通过程存在多个环节，每一个环节又有不特定人参与，尤其是在虚拟网络中，信息主体直至其个人信息被大规模传播后才发现遭遇了信息侵犯，这时再去寻找侵害源头已经非常困难，信息主体很可能无法确定行为人的范围, 即使确定范围后也无法证明其中哪一个是真正的行为人, 即使证实是特定行为人后也无法证明后者的何种行为正是数据侵害结果发生的原因。依据在侵权法和民事诉讼法的相关规定这些均需由信息主体举证证明，这种不考虑实际状况的做法不仅加重了被侵害人负担也成为其败诉的主要原因。在“李莹洁与深圳市活力天汇科技有限公司，四川航空股份有限公司财产损害赔偿纠纷一审民事判决书”中，原告因无法证明其个人信息泄露与被告有因果关系并排除是其他拥有原告个人信息主体实施的侵权而败诉。

(三)精神损害赔偿缺少量化标准

个人信息虽属于综合性权益，但偏向人格属性且个人信息对自然人人格尊严和人身自由有极大地影响。侵犯人身权益一般都规定有精神损害赔偿，而侵犯个人信息的后果最常见的也是造成被侵害人的精神压力和焦虑，但是实务中很少要求行为人承担精神损害赔偿责任，在收集的80个案例中也仅仅有三起认定了精神损害赔偿，这跟我国现行法律的严格规定有关，侵权责任法第22条对被侵权人请求精神损害赔偿限定了“严重精神损害后果”的要件，这一要件认定纯粹依靠法官的内心判断而没有量化的标准，司法实践中法官在采用精神损害赔偿上偏向保守，大多数案件也只要求行为人承担终止侵害行为并赔礼道歉的责任。侵犯个人信息的行为违法成本低，不仅给侵权者造成一种侵犯个人信息不会被追究严厉责任的错觉而肆意侵权，还不利于引导社会大众正确利用网络信息工具。

四、侵权法保护个人信息困境破局

侵犯个人信息与一般侵权存在诸多差别，因此有必要对侵犯个人信息责任构成要件进行单独的探讨，而非笼统地按一般侵权责任构成要件认定责任，捋清侵权责任要件构成也方便司法实务对侵害行为如何承担责任进行处理。

(一)建立认定侵权的三元归责体系

侵犯个人信息的归责原则，主要集中在过错责任、过错推定责任、无过错责任三种模式的选择上。如欧盟1995指令，规定不管信息控制者在主观上是否存在过错，只要其非法处理了信息主体的个人信息而使信息主体的合法利益遭受损害就应承担责任，这是采用了无过错责任。又如德国《联邦数据保护法》则采用了二元归责，先对行为主体分类，分为公务机关和非公务机关，前者适用无过错责任，后者适用过错推定责任。[9]我国学界对于归责原则的适用问题也进行了很多有益探讨，有主张依据侵权行为人的不同类型适用不同归责原则，对国家机关适用无过错责任，对非国家机关适用过错推定责任的二元归责体系。有主张将侵权主体和侵权行为结合，采用三元归责体系，对国家机关运用数据自动处理技术实施的信息侵权，适用无过错责任；对采用数据自动处理系统的非国家机关，适用过错推定责任；对未采用数据自动处理系统的数据处理者，适用一般过错责任。

关于机关法人能否成为侵犯个人信息的适格主体，民法总则第96条明确规定有独立经费和行使行政管理职能的是机关法人，但将此类机关依法行使公共事务管理职权过程中实施的行为都认定为民事法律行为，则不免范围过大而且与行政法律之间存在重叠难免引发冲突，应对此条款进行缩小解释。屈茂辉教授认为国家机关能够成为民法中的机关法人需具备两个条件：一有独立经费，二因履行公共管理职权需要做出民事行为，参与民事法律关系。[10]因此仅是为履行法律法规授予的管理职能需要而进行民事活动才能成为机关法人。我国法律并未授权行政主体用侵犯自然人个人信息的方式履行公共事务管理职能，所以行政主体不能以机关法人名义实施侵犯个人信息行为，公务机关侵犯自然人个人信息应由公法调整。

因此在侵权行为主体分类上应排除国家机关。对非国家机关的法人、非法人组织按照业务范围进行分类，分为从事数据信息业务的法人、非法人组织和其他主体并结合侵权行为方式构建三元归责体系。对于从事数据信息业务的法人、非法人组织侵犯个人信息适用无过错原则；对于采用数据自动化处理技术的非从事数据信息业务的法人、非法人组织采用过错推定原则；对未采用数据自动化处理技术的法人、非法人组织以及自然人侵犯个人信息的采用过错责任。

(二)适当采用因果关系推定

在存在多个行为人的场合，到底是哪个主体的行为造成侵害，因果关系难以证明，外国的法律多采用因果关系推定。欧盟《数据条例》第82.3条即创制了因果关系证明责任倒置的做法。最新德国数据法第83条第3款(旧法第8.4条)也明确规定：在自动化数据处理场合，如果不能查明多个数据控制人中的哪一个引发了损害，则每个控制人或其权利实施者都承担责任。[11]但推定存在因果关系，使行为人承担自证清白之举证义务，加重了行为人的举证负担，所以不能普遍适用所有的个人信息侵权情形。国外之所以出现因果关系推定是为应对高速发展的信息技术不至于使其失控，因此因果关系推定应限制在利用网络技术实施个人信息侵权的情形包括微信转发、网址链接等，而其他的线下途径如在日常生活中张贴印有个人信息的复印纸等行为还是应采用普通的因果关系认定。

(三)建立多样化责任承担方式

因为个人信息兼具人格价值和财产价值，侵犯自然人个人信息造成的损失是多样的，既有人格损失也会有财产损失。侵权责任法第15条规定了8种担责方式，但因为个人信息偏向个人属性，并非任何方式都能适用，需对8种担责方式进行考量。在收集到的80个个人信息侵权案例中也以停止侵害、道歉赔礼、消除影响为主要方式。但信息时代侵犯个人信息行为对信息主体的精神侵害正逐渐成为主要后果，扩大精神损害赔偿适用情形也变得十分必要。在个人信息侵权担责上可以尝试建立以停止侵害、赔礼道歉、消除影响、恢复名誉为核心，以赔偿损失、精神损害赔偿为辅助的责任承担方式。

停止侵害是指当侵权行为已经发生但尚未结束，权利人为防止损害进一步扩大而要求侵权人停止正在进行的侵权行为。个人信息侵权行为具有持续性的特点，如在网络上公开信息，侵害结果会随着公开行为持续而不断扩大，因此须首先要求侵权行为人停止侵权行为避免损失扩大。因个人信息侵权而承担停止侵害责任的，可具体化为删除内容、屏蔽内容、断开链接等方式。停止侵害是事后救济最常用的手段，适用所有侵权行为。赔礼道歉指侵害发生后，侵权行为人通过书面或口头方式向被侵害人承认错误，表达愧疚，以获得原谅。赔礼道歉分为公开与不公开两种方式，而不公开赔礼道歉对被侵害人精神抚慰作用收效甚微，所以实务中大都采用公开赔礼道歉的方式，如在一定区域内发行的刊物或是在网页页面刊登道歉信，以达到安抚受害人效果，是一种有效的责任承担方式，但在具体适用赔礼道歉时，应当根据个人信息敏感程度不同而灵活使用。当个人信息侵权行为涉及个人信息主体的敏感个人信息时， 采取公开方式，会导致对敏感个人信息的进一步传播和披露，令个人信息主体受到额外的伤害。[12]在个人信息侵权中消除影响、恢复名誉的方式适用于信息主体因侵权行为出现社会评价降低的场合，个人信息侵权常伴随信息主体的社会评价降低或一些不利于信息主体的负面结果，所以消除影响、恢复名誉是此类侵权行为的重要担责方式。赔偿损失是通过金钱赔偿弥补受害人损失。个人信息本身具备综合属性特征，因其具有财产价值，信息主体遭受侵权后请求损害赔偿在逻辑上并无不妥。但依侵权责任法第20条的规定，应严格依照侵权法的损失填平原则来处理个人信息案件的损害赔偿，而个人信息的财产价值缺乏可计量的标准，实际损失难以量化，单个自然人的个人信息财产价值也非常低微，能获得的经济赔偿数额很少，不利于赔偿损失这种担责方式的落实。将来个人信息立法中可以给赔偿损失设定一定的赔偿限额，由法官在法定限额内依据侵害情节来判处赔偿，增进赔偿损失在侵犯个人信息案件中适用。

精神损害赔偿是指民事主体因其人身权益受到不法侵害使其遭受精神痛苦或者精神利益受到损害而要求侵权者进行赔偿的民事责任。侵权责任法第22条规定侵犯人身权益，造成严重精神损害的，被侵害人可以请求精神损害赔偿。因为个人信息具有的人格价值使其关乎自然人的人格完整与尊严，信息主体可以依本条要求行为人承担精神损害赔偿责任。对于该条限定的严重精神损害后果，在个人信息侵权场合应设置一定的计算标准，对不依靠网络途径的侵害就依据传播地域范围及侵权使用的工具；对依靠网络途径侵害个人信息的，依据网络转载数、浏览量及影响范围作为计算标准，而不仅仅依靠法官的内心判断。主观判断具体案件是否适用精神损害赔偿，扩大精神损害赔偿责任适用范围，让其成为个人信息侵权案件责任承担的重要方式。

个人信息是自然人享有的一项重要权益。我国立法保护的是信息主体对个人信息的决定和控制，在立法价值取向上个人信息区别于其他权利，所以个人信息是值得民事法律单独保护的权益。我国目前在个人信息方面的立法仍存在过于分散、碎片化严重等弊病，侵权责任法也未对个人信息进行特别保护，其对待侵犯个人信息行为跟对待一般侵权行为一样，这种立法模式已经落后于信息时代发展。依靠大数据处理技术实施的侵害行为大多具有隐蔽性、复合性等特点，一般侵权责任构成要件并不能有效规制新出现的侵犯个人信息行为，需要对一般侵权构成要件中的归责原则、因果关系依据行为的性质进行重构，建立责任承担多元化机制，更好地救济信息主体的合法利益。