占传治

(广西师范大学，广西 桂林 541006)

信息社会中，随着技术发展，越来越多的个人信息成为国家、社会与经济的原材料[1]，比如在发生重大卫生突发事件时，为了保护更多的生命，尽早实现社会步入正轨，国家需要无偿搜集公民的部分或者全部的个人信息和行踪轨迹。在电商方面，平台收集消费者的消费偏好信息，实施精准营销。信息的收集确实能带来有效的管理，甚至是获得更多经济效益，但同时也容易侵害自然人的权益，这便需要法律对个人信息的收集、处理、运用进行规范。我国«民法典»最大的创新点是，回应新时代要求，人格权独立成篇，改变民法通则的“重物轻人”体系，强化了对人格权的保护，同时首次在人格权篇中规定了自然人的个人信息权益。在保护方法方面，因为民法在公私法划分上属于私法范畴，故“个人信息权益保护”是私法上的保护。在保护内容方面，«民法典»界定了个人信息的范围，明确了个人信息处理的原则与规则，授予了信息权利人作为信息主体享有的个人信息权利，规定了信息处理者的义务及免责事由。在责任承担方面，个人信息权益属于民事权益，行为人因过错侵害他人个人信息权益，造成损害的，应当承担侵权责任。

一、个人信息保护的必要性

21世纪的今天，人们在享受信息技术带来好处的同时，也必将承担个人信息泄露所带来的一系列风险。在信息时代，信息越来越重要，个人信息成为这个时代最有价值的资源，它不仅能提升政府的公共管理水平，还能给企业等市场主体增加经济利益[2]。但是个人信息暴露于社会，不仅给个人的私人生活造成困扰，还会危及个人的财产安全和生命安全。美国著名杂志«纽约客»曾经刊登过一幅漫画，标题为:“在互联网的另一端，没有人看得见你是一条狗”。这句话创作于聊天软件刚刚兴盛的时候，用户只能通过文字进行交流。但事实上恰恰相反，从打开电脑的那一刻起，互联网就会通过发达的网络技术轻松地收集、储存、运用用户的个人信息，在互联网面前，用户没有隐私和秘密。2018年中消协发布的«App个人信息泄露情况调查报告»显示:遭遇过个人信息泄露的人数占比高达85.2%[3]，可见我国个人信息整体泄露情况比较严重，已经严重危及公民个人的信息权益，甚至是财产权和生命健康权。2016年曾经轰动一时的山东女孩徐玉玉案，主人公因个人信息泄露，被诈骗分子以发放2600元助学金的名义，诈骗其9900元的大学学费。后其知晓被骗，报警后返回家中的路上突然昏厥，最终离开了人世[4]。有关报道称我国公民因网络诈骗损失上千亿元人民币，可见对个人信息进行保护具有现实的紧迫性。

我国民法对个人信息进行保护，是由人格利益、财产利益以及社会公共利益共同所决定的。我国«民法典»将“个人信息”编排在人格权篇当中，就是表明其具有人格利益，受民法保护。在人格权框架下，人格利益又分为物质性人格利益和非物质性人格利益[5]，物质性人格利益是实体层面的利益，如生命权、健康权、身体权等；非物质性人格利益是精神层面的利益，如姓名权、肖像权、名誉权、隐私权等。非物质性人格利益又被称为精神性人格利益，具有一定的财产价值，故而民法保护人格利益，实际上也是在保护财产利益。这种财产性利益表现在个人信息的商业化，个人信息是一种商业资源，可以在市场上流通买卖，给权利人带来金钱或者财产性利益。而促成其商业化的是商业主体，它们为了更好地推广自家产品，开始收集消费者的个人信息，找出他们的消费喜好或者消费习惯，实施个性化信息推送，达到精准营销。个体是社会的一分子，其个人信息也属于社会信息的一部分，有时候国家机关为了有效管理社会，不得不牺牲掉部分个人利益，无偿收集自然人的部分个人信息，来维护社会公共利益，保障社会安全有序。此时民法保护的是社会公共利益。

二、自然人享有个人信息权益

我国学术界对个人信息是一种民事权利还是一种民事权益存在着巨大的分歧[6]，全国人大在制定«民法典»的时候，并没有直接规定个人信息权，而是谨慎地以个人信息保护来表述。随后颁布的«中华人民共和国个人信息保护法»，却不理会学术上的争议，大胆地以民事权益来看待个人信息，明确赋予自然人个人信息权益。虽然«民法典»并没有明确规定个人信息权益，但是从其规定的个人信息保护范围来看，其保护的不单单是权利，还包括利益。且在民法领域，«民法典»是一般法，«个人信息保护法»是特别法，当特别法与一般法发生冲突时，优先适用于特别法，故在“个人信息”条款发生冲突时，优先适用于«个人信息保护法»，此时特别法条款可以看作为一般法条款的延伸。故本人认为自然人享有个人信息权益。从权力和利益的角度，个人信息权益可以细分为个人信息权利和个人信息利益。关于个人信息权利，«民法典»第一千零三十七条规定了自然人享有个人信息查阅权、复制权、更正权、删除权等各项权利[7]，可见个人信息权利是综合性权利或者称为概括性权利，随着时代的发展，它的内容还会进一步扩张。在这些个人信息权利中，最重要的是查阅权和删除权，查阅权是基础性的权利，每一位信息主体在知道或者应当知道自己的个人信息被他人处理时，有权查阅个人信息运行轨迹，判断信息使用者是否尊重自己的真实意愿或者是否侵犯自己的合法权益。在查阅的基础上，如果收集的个人信息没有问题，可以自主决定行使复制权，有问题可以行使更正权或者删除权。更正权和删除权都是信息主体对个人信息被他人违规使用，而向对方行使的一项救济权。其中更正权是信息主体对违背自己真实意思的信息使用者，请求予以更正的权利。删除权是信息主体向对违背自己真实意思，且拒绝更正继续侵害自己权益的信息处理者请求予以删除的权利。个人信息利益是个人信息背后的财产利益和人身利益。个人信息在信息社会中是一种无形资源，可以拿到市场上进行售卖，给权利人带来财产收入。同时自然人的个人信息一旦被泄露，也会给权利人带来财产利益的损失，甚至会带来健康权、生命权等人身利益的损失。«民法典»对个人信息进行保护，保护的就是自然人的个人信息权益，通过解决信息泄露所带来的一系侵权纠纷，并打击衍生出来的犯罪，来维护社会公共利益。

三、民法典明确界定个人信息概念

个人信息在法律名称中有四大类，第一类是个人信息，主要是日本、韩国、俄罗斯和中国等国在使用；第二类是个人数据，主要是欧盟成员国在使用；第三类是个人资料，主要是我国港台地区和德国在使用；第四类是个人隐私，主要是美国、加拿大、澳大利亚等国在使用。早期在学术上，个人信息和隐私因为有一定的关联和相似度，并没有严格区分开来。有些国家把个人信息定义为隐私的一部分，还有一些国家把隐私定义为个人信息的一部分，导致二者在学术上一直存在混淆。我国也不例外，把个人信息与个人隐私统称为个人信息，在«全国人民代表大会常务委员会关于加强网络信息保护的决定»中可以窥见，它把“个人信息”定义为能够识别公民个人身份和隐私的电子信息[8]。而后期的«民法典»却把二者严格区分开来，隐私权与个人信息保护具有同等地位，二者属于并列关系，对隐私和个人信息的定义以不同条款分别规定。虽然«民法典»明确规定了个人信息的概念，但是首次以法律的名义界定其定义的是«网络安全法»，它首次把个人信息定义为能够识别自然人个人身份的各种信息，故此定义也被称为个人身份信息。民法典在此基础上进行了完善，去掉了“身份”二字，加入了特定自然人活动信息，使得个人信息不局限于个人身份信息，而是识别特定自然人的各种信息。«民法典»不仅明确规定个人信息的概念，还对其进行了细分，主要分为“一般个人信息”“私密信息”和“公开信息”三类[9]。其中“一般个人信息”就是民法典对个人信息的定义，指能够识别特定自然人的各种信息，即我们常见的姓名、性别、身份证号码、联系方式、住址等。对“私密信息”，«民法典»并没有规定其定义，而是简单为其设定了受隐私权和个人信息保护的双重保护。这就导致很容易混淆个人信息中的私密信息和隐私权中的隐私概念，据此会有人认为私密信息是个人信息与隐私的交集，既属于个人信息，又属于隐私。显然这是不对的，从«民法典»明确区分个人信息和隐私的角度来看，个人信息与隐私没有交集，故个人信息下属的私密信息和隐私就不会有重叠部分，不能因为私密信息的某些部分适用有关隐私权的规定，就认为它是隐私的一部分。在此基础上，本文认为私密信息是指除隐私以外，不想为他人知晓且具有私密性的信息。对“公开信息”的定义，«民法典»也没有明确规定，但是从其字面和法条上来看，公开信息一般是指自然人自行公开的合法个人信息。他人使用合法公开的个人信息，不构成侵权，不是个人信息保护打击的范围。

四、民法典规定信息处理的原则与规则

«民法典»不仅规范了个人信息的概念，而且还规定了他人处理个人信息的原则与规则，前者解决个人信息“是什么”，后者解决个人信息“怎么做”。根据«民法典»第一千零三十五条规定来看，信息处理的原则有三个，分别是合法性、正当性、必要性，为信息处理活动提供了大政方针。其中合法性是指信息处理者在收集、筛选、利用、买卖他人信息等过程中必须符合法律、法规的要求，一切行为都要合法合规；正当性是指处理信息的目的和手段要正当，符合诚实信用原则、公序良俗原则；必要原则是指信息处理者在收集他人信息时一定要遵循目的需求，不能过度收集或者是不符合目的需求地收集必须在目的要求范围内收集、处理即可。信息处理规则有四个，分别是知情同意、公开处理信息、明示处理三要素、不得违法和违约。其中“知情同意”是从知情权演化而来的，意味着他人在处理个人信息前必须先征得信息权利人的同意，它是信息处理者获得他人信息的合法性基础，也是对个人信息权益保护最好的方式；“公开处理信息”是指信息处理者必须以公开的方式来处理信息权利人的个人信息；“明示处理三要素”是指明示处理信息的目的、方式和范围。虽然«民法典»并没有对这三要素进行具体规定，但是可以从«个人信息保护法»里探寻，其规定信息处理者应当在信息权利人同意的范围内，以“明确、合理的目的”，采取影响最小的方式来处理他人信息。

五、民法典中个人信息侵权责任

«民法典»保护自然人的个人信息，但不保护自然人所有的个人信息。首先，对违法的个人信息，民法是不保护的。其次，合法的个人信息也不一定受到民法保护，因为民法典对个人信息的定义是以“可识别”为标准，无法识别的个人合法信息不属于个人信息保护范畴，故民法典只保护可识别的、合法的个人信息。对不受保护的个人信息，信息处理者未经信息权利人同意，擅自处理他人个人信息的，不承担民事法律责任。自然人享有的个人信息权益属于民事权益，一旦其受到信息处理者不法行为的侵害，可以适用«民法典»侵权责任篇的相关规定，请求侵害者承担侵权责任。根据行为人有无过错，侵权责任主要分为过错责任、无过错责任和过错推定责任，排除后两者责任类型，可以推断出个人信息侵权责任属于过错责任，故个人信息侵权责任的请求权基础是«民法典»第一千一百六十五条，该法条适用于所有民事过错侵权案件，包括个人信息侵权。«民法典»第一千一百九十四条规定了网络侵权责任，从内容看是无过错责任，适用于个人信息在网络上的侵权。综上所述，个人信息侵权责任既有过错责任，又有无过错责任。同时个人信息侵权责任还有例外规定，即信息处理者的免责。免责事由有三项:一是在取得信息权利人同意的范围下合理实施的行为；二是在信息权利人不反对或不侵害其重大利益的情况下，合理处理他人已经自行公开或合法公开的信息；三是为维护公共利益或合法利益而合理实施的其他行为。对承担个人信息侵权责任的承担方式，参照适用于承担民事责任的方式，因为个人信息权益属于民事权益，个人信息侵权责任属于民事责任。