王嘉祺

摘 要：信息的流通给我们带来便利与效率的同时，由于其特殊性与市场主体的逐利性，个人信息在实践中被不当侵害的乱象层出不穷。实践中，个人信息存在法律定位不明、侵权认定难、维权消极及企业端不自律的问题。亟需从制度层面出发，明确个人信息新型人格权的范畴、准确解释个人信息侵权中“损害”、建立微额赔偿机制、及在企业端建立自律机制等方式来完善个人信息保护制度。

关键词：个人信息权利；私法；新型人格权；小额诉讼机制

中图分类号：D9     文献标识码：A      doi：10.19311/j.cnki.16723198.2023.14.061

0 前言

信息技术的高速发展，数据信息一跃成为新型生产要素，大数据技术即典型。大数据技术通过算法收集我们的兴趣、习惯、历史记录等个人信息、分析需求、构筑我们的“画像”，进而“定向投喂”。得益于大数据技术，信息流通速度加快、资源共享效率提高，社会运转效率大幅上升，节省了个体大量时间等成本损耗。

在信息杠杆的另一端，由于市场主体的逐利性，带来了诸如个人信息被过度收集、不当使用、非法盗用等乱象，给信息主体造成经济或人格利益的损害。近年来基于个人信息被不法使用引發的司法纠纷呈递增态势，即使在日常生活中，“信息侵权”情形也数见不鲜。如：外卖平台根据我们的消费水平来“灵活定价”；打车软件根据我们的历史订单和手机型号定价。处于时代节点的我们既不能抛弃数据经济给我们带来的巨大便利，又不能忽略个人信息不法使用带来的损害。因此，我们亟需在现有的环境下利用制度的填补，达到信息流通与信息安全这一天平的平衡。

当然，个人信息其特殊性也是我们迫切需要通过制定规范的形式对被损害者进行救济的原因之一。王利明教授曾针对个人信息给出了直观的描述，个人信息不仅能够反映信息主体的社会身份和生物特征，并且可以推算出信息主体的生活轨迹、思想立场、财务家庭等状况。因此个人信息除蕴含了经济价值外还具有人格利益。

个人信息的保护模式主要分为公法和私法，在公法体系上，主要是刑法对个人信息保护最多且强制力度最大，为了加强个人信息的保护，将个人信息受到侵害归属情节严重的情况以及定罪量刑的标准详细列举规定，具有极强的可操作性。而个人信息的私法保护则相对存在不足。因此笔者将从个人信息私法保护路径出发，探讨目前立法现状的不足和完善制度的构想。

1 个人信息的法律属性分析

对个人信息的法律属性进行定位，是讨论个人信息制度的基础。《民法典》与《个人信息保护法》出台后，都未规定个人信息是一项独立的人格权，均以个人信息的法益保护出现。归属于隐私权、财产权亦或是人格权，该问题在学界依旧存在争议。针对以上问题，各方专家学者已经进行过激烈的学理上讨论。在此，笔者将融合个人见解将主要观点进行列举讨论：

1.1 隐私权说及评析

隐私权说来自于美国法对隐私权的保护观念，主张个人信息应当归属于隐私中的私人信息，包含于隐私权。由此，对个人信息的侵犯等同于对隐私权中的私人信息的侵犯，其实质上还是归于对隐私权的侵犯。但在我国语境下即使隐私与个人信息存在密切联系，二者也并非浑然一体，在概念的界定下二者之间存在较大的不同。个人认为，个人信息的概念范畴更大，其客体应当包含个人隐私和其他个人信息。对于其他个人信息的侵犯，是不能等同于对个人隐私的侵犯的。

对于两者的界分也可以从二者的侧重和救济这两个角度进行分析。

首先，在于二者的侧重不同，个人信息侧重于可识别性，可以关联到特定个人。而隐私偏向强调私密性，不被他人知悉或打扰。若当隐私被公开，其便不具有隐私性，不在隐私权保护的范畴，但其仍具有可识别性，属于个人信息的范畴，则应受个人信息保护法保护。

其次，对二者进行救济的主要目的和时间不同。隐私作为自然人的个人隐私，一般不涉及公共利益，对侵害行为一般采取事后救济并进行精神损害赔偿。而个人信息相对而言涉及社会利益的几率更大，所以一般采取事前救济。因此个人信息的保护不能简单涵盖于隐私权保护体系中，且个人信息所保护的利益与隐私权所保护的利益实际上倾向不同的方向。

1.2 财产权说及评析

财产权说也称为所有权说。所有权说将个人信息列作信息生成者的财产，所有权掌握者享有对个人信息以占有、使用、收益、处分为内容的所有权。该观点实质强调个人信息的财产属性。但笔者倾向认为个人信息的最主要特征在于其可识别性，可识别性体现了其中的人格特征。另一方面，某些情况下收集个人信息是基于公共利益的目的而非财产性的动机，如人口普查。我们还应当预想，如果简单地将个人信息看作财产，则当个人信息受到不当侵害时，很难找到一个衡量标准来计算实际损害，进而达到救济的目的。并且在实务中，由于每个人的职业、收入等都不同，无法统一个人信息被不当侵害对于不同主体的损害程度。在我国物权法体系下，所有权的客体应当以有体物为限，而不应当包括无形的“个人信息”，因此这一观点在现实上无法与我国已经构建完备的物权理论体系相契合。

1.3 新型人格权说及评析

新型人格权说将个人信息权归为人格权的范畴，由于其兼具财产性内容，故应当成立自然人的一项新型具体人格权。将个人信息作为人格权客体对待，一方面注意到个人信息与人格的密切关系，保护具有人格意义的要素不受侵犯；另一方面，关注到了个人信息中所蕴含的经济利益与主体对信息的支配性。当然，这一构想也受到了许多争议与存在需要克服的现实难题，即如何处理个人信息与隐私权、姓名权、肖像权等客体的交集问题；在注重精神利益保护的理论制度之下，如何充分保障、实现个人信息在流转和利用等有关财产利益的问题。

1.4 笔者观点

首先，笔者认为，我国民法上对个人信息法律属性的界定应当定位为权利而非法益。其一，若采取法益保护，则法律对个人信息的保护和对其他人格权的保护则不是一个保护层级，在理论上存在断层。其二，尽管我国民法对权利保护和利益保护采取一体主义，但是保护力度明显不同。在民法保护方法上，对于权利的保护方法和利益的保护方法是不一样的。这一点在《德国民法典》和我国台湾地区《民法典》中有所体现。当被侵犯的客体为某人之权利时，只要加害人具有故意或过失，根据台湾地区“民法”即负有损害赔偿之责任。而当被侵犯的客体并非权利，而属法益时，被害人可以请求损害赔偿的条件是必须在加害人违背善良风俗或违反保护他人之法律时。直观上来说，权益具有区别性，且表现为不同的保护力度。对民事权利的保护显然强于对法益的保护。对此笔者认为，《个人信息保护法》和《民法典》未明确确立个人信息保护的权利属性，将在未来造成对个人信息保护效果不明显、对个人信息保护的忽视、主体维权难度大等问题，不利于未来互联网大环境的治理。

其次，在权利语境下，应当明确属于新型人格权。隐私权说在概念上交叉分立、财产权客体说与我国制度建构不符。个人信息兼具财产和人格属性，若要在人格权和财产权的二元坐标体系下讨论个人信息保护的归属问题，则将其归为人格权更为妥当。人格与财产之间，个人信息的人格属性定位更能够反应我们此时的利益诉求和价值取向，更加呼应我们“以人民为中心”的立法原则，也有利于维护人格尊严，促进人格平等。针对个人信息权与姓名权、肖像权、名誉权、隐私权等权利在客体内容上存在交集问题，笔者认为可以通过民事责任竞合或者请求权竞合规则加以解决，并且应当适用特别法由于一般法，根据具体案件的侧重进行适用。

2 个人信息私法保护存在的问题

2.1 侵权责任构成要件之“损害”的认定问题

个人信息的私法保护在实务中以民法典侵权编为主。侵权责任编明确要求，认定侵权损害责任的必需应当满足侵权违法行为、损害侵权事实、因果利害关系和侵权过错四要件。在《个人信息保护法》中对个人信息保护的侵权责任归责原则适用过错推定原则，意味着个人信息侵权须符合上述四要件。《民法典》第1165条明确规定了重大损害赔偿要件，损害须求是达到“一定的”损害程度，只有损害达到一定损害程度才可能是造成法律规定意义上的重大损害，才具有补救的价值。而没有赔偿达到相当的一定程度，就不能直接构成民事侵权责任。然而个人信息的侵权具有特殊性，以个人电话信息被非法盗卖为例：对于信息主体而言受到的损害往往只是电话骚扰或广告推销，很难界定信息主体遭受了“一定程度的损害”。而若该信息没有被应用诈骗等犯罪活动，也无法量化不法分子的所得利益，只能认定损害轻微。因此依据现行立法，个人信息侵权归责难、救济难。

2.2 诉讼成本与主体维权问题

如上述，个人信息侵权的损害后果往往具有个体损失微小、受害者众多的特点。而进入诉讼程序需要一定的财力、精力上的投入、相对复杂的程序经过一定的时间周期。实践中，信息主体在小额赔偿与诉讼维权成本的权衡后往往选择不主张权利。长此以往，便造成了“理所当然”的信息侵害，不利于整个社会和互联网大环境的发展。

2.3 企业端不自律行为

数字化的互联网生活已日趋常态化，移动APP充斥着我们的生活，将我们“画地为牢”。究其原因在于，在现行知情同意原则体系之下，多数APP在用户首次登陆使用时与用户签订用户协议。但该协议存在诸多不合理之处，如：强制性同意；剥削性，多数为格式条款；条款的制定有失公平，即经常采用内容模糊、一次性捆绑同意和解释权归平台方等。在现实中，多数用户均直接勾选协议，隐私条款与知情同意原则形同虚设。原本为用户个人信息保驾护航的用户协议却变成了企业端过度收集的通行证。

3 相關制度构想

3.1 确立个人信息为新型人格权的范畴

笔者认为，应当通过官方立法明确个人信息为新型人格权的范畴，加大保护力度，增强主体的权利意识、加大市场主体侵权的成本。

3.2 准确解释个人信息侵权中“损害”的范畴

关于如何破解个人信息侵权责任构成要件中损害的认定的障碍，笔者认为，应当针对个人信息的特殊性进行特殊的“损害”解释。侵害个人信息，无论可能造成何种程度、规模的侵害，不论其损害性质、数量、程度，只要信息主体能够提供明确证明自己的个人信息受到侵害，即可能构成信息侵权损害责任。进而使得受害人能够积极地保护个人信息并且得到救济。

3.3 建立微额赔偿机制

针对维权成本问题，笔者认为，我国应当充分借鉴《消费者权益保护法》和《食品安全保护法》中的微额损害赔偿制度的构造，并根据个人信息的特殊性制定出个人信息侵害领域的最低损害赔偿标准。如：在消费者权益保护法中规定，如果构成产品欺诈或服务欺诈，适用3倍的惩罚性赔偿，仍然不足500元人民币的，权利人可以请求赔偿500元人民币;在食品安全保护领域，食品欺诈或服务欺诈适用惩罚性赔偿不达1000元人民币的，可以请求赔偿1000人民币。在这种制度下，可以鼓励信息主体维权并对其损害进行救济。

3.4 建立专门线上个人信息诉讼机制

针对诉讼成本问题，为了减少当事人的诉累，将有限的司法资源最大化利用，应该推出“个人信息互联网法”的制度。打造专门平台解决个人信息侵权问题，针对案情简单的、小额案件案件，无需双方当事人到法院开庭等复杂诉讼程序，而通过线上平台提起诉讼、交换证据。只需在案件必要时，当事人须出庭参与线下诉讼，如：案情复杂、证人出席等情况。

3.5 企业端优化用户协议形式并建立自律机制

针对企业端对个人信息处理的规制，笔者认为，平台方应当建立行业自律机制，并且针对“用户协议”增加更直观化的表现模式，如以视频的形式对“用户协议”中的中要点问题进行解释说明。同时最大化的减少或解释条款中的模糊政策。对于知情同意规则应当设立区别，明确用户自愿且同意。

4 结语

随着社会的发展，信息价值飙升，信息安全问题也层出不穷。其涉及了自然人的人格完整、人身与财产安全等诸多方面，因此个人信息保护是目前也是未来我们应当重点保护的人格权益。目前针对个人信息私法保护实践中仍存诸多问题，我们还应当不断地通过制度建构来回应实践带来的问题，平衡时代加之于我们身上的杠杆。

参考文献

［1］王利明.论个人信息权在人格权法中的地位[J].苏州大学学报（哲学社会科学版），2012，33（06）：6875+199200.

[2]鲁玉璇.个人信息保护之个人信息和隐私权的区别[J].楚天法治，2015，（9）：9495.

[3]王晓芬.个人信息的法律属性及私法保护模式探究[J].河南财经政法大学学报，2016，31（05）：6470.

[4]杨立新.私法保护个人信息存在的问题及对策[J].社会科学战线，2021，（01）：193202.

[5]吴勰.移动App用户协议不合理性探究[J].青年记者，2021，（14）：117118.

[6]杨立新.论消费者权益小额损害的最低赔偿责任制度[J].甘肃政法学院学报，2010，（04）：3845.