刘明宇

（沈阳工业大学，辽宁 沈阳 110870）

2021年《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》提出我们要迎接数字时代，适应数字技术全面融入社会交往和日常生活新趋势。[1]在数字时代，刷脸、指纹等个人信息已经成为个人进行社会活动不可或缺的一部分，个人信息成为推动社会经济发展的主要生产力。在法律层面，无论是公法还是私法等都有内容规定了个人信息保护，但这并不能满足人民群众对个人信息保护的各类需求。面对在公法保护先行的前提下，如何完善个人信息私法保护模式成为必须讨论的问题。

一、我国个人信息法律保护的现状

（一）《民法典》的相关规定

在2020年颁布的《民法典》中对个人信息作出了明确的定义，并将个人信息置于人格权编加以保护。根据《民法典》第一千零三十四条第二款之规定，个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息，包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。《民法典》对个人信息的定义是我国在个人信息保护领域的法律规定中最为具体和明确的。

（二）相关法律法规的规定

《电子商务法》对电子信息保护做了零散的规定，要求信息收集者要获得信息主体的同意和授权，在收集前签订约定不得超过法定的范围，以及保障信息安全的义务和不履行义务将要受到的处罚方式。《电子商务法》更倾向于国家对市场主体的行政监管，对个人信息保护更偏向于公法保护。《网络安全法》首次系统性地针对个人信息作出保护机制，完善了国家机关联动执法机制，建立了信息泄露报告制度，明确个人信息主体对个人信息包括同意使用、删除与更正在内的实际控制权。

（三）《关于加强网络信息保护的决定》的指引作用

《关于加强网络信息保护的决定》（下文简称《决定》）明确了网络个人信息的保护范围，决定明确了法律保护能够识别的个人信息，规范了网络服务提供者获取和使用个人信息的原则和侵害个人信息应负的主要责任，并在同时强调了国家相关主管机关的管理责任。但是，《决定》倾向于用公法救济个人信息被侵权的问题，对于个人的私法救济方式显得模糊，由于《决定》不是以法律的形式出现的，人民法院对该决定在保护个人信息方面所起的重要作用认识不够，在司法实践中没有发挥应有的作用。[2]

二、数字经济时代个人信息保护的困境

（一）敏感信息保护的两难困境

《民法典》将个人信息分为一般个人信息和私密信息，但私密信息具有相对性，对于个人来说有些信息对自己的熟人公开的，但是对于陌生人又具有不被知悉的特性，这就很难区分私密与一般的关系。对敏感信息收集，《民法典》规定“合法、正当、必要“的原则，但对于科学研究收集敏感信息的行为应作出明确规定，进一步完善合法原则与正当原则，虽然这样规定可以避免因法律规定紧缩导致信息产业发展的障碍，但是不明确的规定具有规则被滥用的风险，不利于个人信息保护的法律发展。

（二）告知同意原则的尴尬处境

数字经济时代的商业主体需要通过收集和处理个人信息来靶向提升服务能力。但这导致了信息滥用现象。于是告知同意原则被广泛运用在个人信息治理领域以图解决该问题。告知同意原则指收集处理个人信息，要么有法律明确允许处理，要么个人数据在被处理之前被告知处理的原因、背景和目的后得到同意。[3]《民法典》采用了以告知同意原则为内核的保护机制，但在实践中该原则近乎处于失灵的态势。虽然信息收集者都会提供一份知情同意的授权文件，但大部分的人都直接同意授权，告知同意原则反而变成了互联网服务商的“挡箭牌”，于企业而言，其履行告知的“目的仅在于规避法律风险”，[4]这完全背离了告知同意原则设置的初衷。

（三）侵权救济艰难前行

个人信息侵权行为的私法救济困境主要有三点，一是个人信息法律属性不明导致裁判标准不一。在司法实践中该类案件多采用隐私权纠纷或具体人格权纠纷的定性。二是举证责任分配不明。举证责任分配对案件判决结果影响巨大，实践中多用“谁主张，谁举证”的一般举证规则来确定举证责任，这就需要被侵权人证明侵权事实。但被侵权人很难去证明处于优势地位的侵权主体侵害事实，如适用一般举证规则，被侵权人大概率会败诉，信息主体维权的积极性将受到很大影响。三是赔偿制度不完善。当侵权行为发生时，个人信息侵权行为给信息主体造成的是物质和精神的双重损失，应考虑从人格权益与财产权益两个方面进行救济。但从目前的司法实践来看，涉及对信息主体进行财产损害赔偿的几乎没有。

三、完善个人信息保护的建议

（一）确立个人信息权，多层级保护敏感信息

数字经济的发展让个人信息成为公民的一项重要权利，通过确立个人信息权，有利于明确个人信息权的权利范围，进而使信息处理主体尊重并保护该权利，改变目前司法实践中关于个人信息类案件同案不同判的现状。个人信息涉及的内容广泛，将个人信息区分为一般信息与敏感信息，保护敏感信息应侧重信息的私密性，在立法上对于敏感信息要分场景多层级保护，明确个人信息授权的适用范围，以“事前-事中-事后”三阶段多元场景进行层级分类，包括事前告知责任、事中评估风险责任、事后妥善保存与信息脱敏责任，在这基础上重构告知同意原则，并且设立判断不同场景的判断标准以及实现路径。

（二）明确侵权责任认定规则，完善赔偿机制

收集和使用个人信息的主体通常是政府机构和商业机构。政府机构出于管理目的、商业机构出于运营目的在服务过程中会大量收集、存储和使用个人信息。但是两者如泄露个人信息都将造成难以估量的后果，而且二者都处于强势地位，个人很难就其侵权行为进行举证，因此对于这两个主体应采用过错推定责任，促使其更加谨慎地处理信息。《民法典》人格权编中一个突出的亮点就是充分重视和保护人格权主体的经济利益。[5]目前，对于侵权行为均采取以实际损害为评价标准，为了促使被侵权人积极维权，可以参照《消费者权益保护法》设定最低损害赔偿制度，以此作为实际损害赔偿制度的必要补充。至于最低额损害赔偿的数额，应当根据我国目前经济发展状况确定。

（三）完善司法救济途径，尝试集体诉讼机制

数字经济时代，信息收集利用的主体具有技术优势，导致个人信息被侵权后个人举证难、维权难的问题突出。与一般侵权案件不同，在个人信息侵权案件中，处于弱势地位的被侵权人往往很难收集证据。为了使被侵权人更积极地维权，在个人信息侵权案件中应采用举证责任倒置的方式，由对方证明自己不存在信息主体所主张的侵权事实，如无法证明，那么就承担侵权责任，以更好地维护司法公平。同时，在实践中大规模侵犯个人信息的现象突出且存在多个被侵权人。如果每个被侵权人都单独起诉，个人诉讼成本和司法资源都会被极大地浪费。为了更合理地利用司法资源，有效解决个人取证难、诉讼成本高的问题，可以依照共同诉讼代表人制度，建立集体诉讼制度，更好地维护公共利益，实现公民的有效维权。