我國個(gè)人信息立法保護(hù)研究

摘? 要：21世紀(jì)正在經(jīng)歷一場聲勢浩大的信息革命，隨著大數(shù)據(jù)、人工智能等現(xiàn)代信息技術(shù)不斷取得突破創(chuàng)新，科技和經(jīng)濟(jì)深度融合，帶來了社會(huì)發(fā)展的巨大飛躍，而掩蓋在蓬勃盛景下的是技術(shù)滲透引起的個(gè)人信息保護(hù)領(lǐng)域亂象叢生。為規(guī)范個(gè)人信息處理技術(shù)對人格的危害，我國在《中華人民共和國民法典》（以下簡稱《民法典》）中正式確立自然人的個(gè)人信息受法律保護(hù)的法律理念。此外，《中華人民共和國個(gè)人信息保護(hù)法（草案）》（以下簡稱《個(gè)人信息保護(hù)法（草案）》）的制定預(yù)示著信息主體救濟(jì)的新路徑。然而，規(guī)范間就個(gè)人信息法律保護(hù)背后的權(quán)利性質(zhì)、法律關(guān)系類別認(rèn)定仍不清晰，本文深入分析個(gè)人信息法律保護(hù)本質(zhì)，厘清規(guī)范間的關(guān)系，對構(gòu)建完善的個(gè)人信息法律保護(hù)體系有重大意義。

關(guān)鍵詞：個(gè)人信息;立法保護(hù);權(quán)利;權(quán)益;路徑

中圖分類號：D923 文獻(xiàn)標(biāo)識碼：A 文章編號：2095-9052（2021）09-00-03

一、個(gè)人信息保護(hù)及立法現(xiàn)狀

隨著社會(huì)信息化進(jìn)程的深入，信息技術(shù)的應(yīng)用使得人們的生活更加智能化、便捷化，與之伴生的是過度收集、隨意竊取、非法販賣個(gè)人信息情況愈演愈烈，一系列個(gè)人信息安全問題逐漸暴露在大眾視野之下。根據(jù)相關(guān)統(tǒng)計(jì)，2019年4月1日至9月30日，市場監(jiān)管總局開展了為期6個(gè)月的“守護(hù)消費(fèi)”暨打擊侵害消費(fèi)者個(gè)人信息違法行為專項(xiàng)執(zhí)法行動(dòng)，全國范圍內(nèi)共計(jì)查辦各類侵害消費(fèi)者個(gè)人信息案件1 474件，罰沒款1 946.4萬元。隨著侵害個(gè)人信息事件影響范圍廣、威脅程度深，已然成為國家機(jī)關(guān)嚴(yán)厲防范打擊的對象。由于信息化時(shí)代信息技術(shù)類別繁多，如人臉識別、虹膜識別、指紋識別等新型識別技術(shù)逐漸普及，產(chǎn)生了多種個(gè)人信息收集渠道，也增加了個(gè)人信息泄露的風(fēng)險(xiǎn)，因此依靠國家機(jī)關(guān)打擊侵害個(gè)人信息違法行為無疑將會(huì)極大增加行政負(fù)擔(dān)。同時(shí)，考慮到信息技術(shù)創(chuàng)新性和積極性發(fā)展的需要，國家在采取系列措施加強(qiáng)個(gè)人信息保護(hù)之余對相關(guān)立法留有余地。

事實(shí)上，為了防止侵害個(gè)人信息的行為泛濫，我國早在多部特別法中就對多種個(gè)人信息的保護(hù)作了規(guī)定，如《中華人民共和國消費(fèi)者權(quán)益保護(hù)法》第十四條規(guī)定：“消費(fèi)者在購買、使用商品和接受服務(wù)時(shí)，享有人格尊嚴(yán)、民族風(fēng)俗習(xí)慣得到尊重的權(quán)利，享有個(gè)人信息依法得到保護(hù)的權(quán)利”。同類立法包括但不限于《中華人民共和國網(wǎng)絡(luò)安全法》第4章和《電信和互聯(lián)網(wǎng)用戶個(gè)人信息保護(hù)規(guī)定》?？v觀個(gè)人信息保護(hù)立法現(xiàn)狀，雖然《個(gè)人信息保護(hù)法（草案）》作為我國第一部個(gè)人信息保護(hù)領(lǐng)域的專項(xiàng)立法，但其卻尚未生效，且與《民法典》相關(guān)規(guī)定在位階適用上多受質(zhì)疑，其他特殊個(gè)人信息領(lǐng)域也尚未有配套立法。因此，總體上來說，我國關(guān)于個(gè)人信息保護(hù)仍呈現(xiàn)出分散式立法模式，尚未形成統(tǒng)一的立法體系。在個(gè)人信息保護(hù)的具體實(shí)踐中，此種模式易導(dǎo)致“九龍治水”的困境。一方面，各個(gè)執(zhí)法機(jī)關(guān)由于分工不明容易重復(fù)執(zhí)法，損害其權(quán)威性;另一方面，相關(guān)監(jiān)管機(jī)關(guān)也呈現(xiàn)出多部門分散監(jiān)管的特征。美國法理學(xué)家埃德加·博登海默曾說過，法律是一個(gè)帶有許多大廳、房間、凹角、拐角的大廈，在同一時(shí)間里想用一盞探照燈照亮每一間房間、凹角和拐角是極為困難的，尤其當(dāng)技術(shù)知識和經(jīng)驗(yàn)受到局限的情況下，照明系統(tǒng)不適當(dāng)或不完備時(shí)，情形就更是如此了。因此，在立法尚未完全統(tǒng)一情況下，要解決上述問題，完善立法、構(gòu)建獨(dú)立專業(yè)的個(gè)人信息管理、備案、監(jiān)督并行體系是不二選擇。然而，在法律邏輯學(xué)的觀點(diǎn)下，一項(xiàng)法律問題的研究奠基于法律概念及其中法律關(guān)系性質(zhì)的明確。因此，在立法之前，我們有必要對個(gè)人信息之應(yīng)有之義作準(zhǔn)確的解釋和概括，同時(shí)明確個(gè)人信息背后保護(hù)的權(quán)利究竟性質(zhì)如何，立法規(guī)制的又是何種法律關(guān)系。

二、個(gè)人信息之應(yīng)有之義

個(gè)人信息的界定是一個(gè)基礎(chǔ)性的問題，其內(nèi)涵和外延將直接影響法律規(guī)制何種行為。在既往的理論研究中，對個(gè)人信息的界定存在著關(guān)聯(lián)說理論、隱私說理論和識別說理論三種學(xué)說，其中，識別說理論受到了世界大多數(shù)國家的認(rèn)可。如歐盟在1995年即通過了《個(gè)人數(shù)據(jù)保護(hù)指令》（以下簡稱“95指令”），其第二條將個(gè)人數(shù)據(jù)界定為任何與已識別或可識別的自然人相關(guān)的信息。同樣作為數(shù)據(jù)傳輸大國的美國，在界定個(gè)人信息時(shí)也將可識別性作為一項(xiàng)重要構(gòu)成要件，其在COPPA中將個(gè)人信息概括為關(guān)于某個(gè)人的個(gè)人可識別信息。需要注意，歐盟關(guān)于個(gè)人信息的界定較為統(tǒng)一，直接導(dǎo)向其以侵犯可識別個(gè)人信息行為為規(guī)制對象;而美國無統(tǒng)一立法，且各州標(biāo)準(zhǔn)不一，多采用列舉方式窮盡個(gè)人信息類型，因此盡管有采納可識別標(biāo)準(zhǔn)的情況存在，總體上對侵犯個(gè)人信息行為的規(guī)制局限在“已識別”范圍內(nèi)。

毋庸置疑，識別說在世界范圍內(nèi)基本上受到認(rèn)可，我國相關(guān)立法在界定個(gè)人信息時(shí)，事實(shí)上也將其作為一項(xiàng)重要標(biāo)準(zhǔn)。如《民法典》第一千零三十四條對個(gè)人信息作了如下定義：“個(gè)人信息是以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識別特定自然人的各種信息，包括自然人的姓名、出生日期、身份證件號碼、生物識別信息、住址、電話號碼、電子郵箱、健康信息、行蹤信息等”。

《個(gè)人信息保護(hù)法（草案）》第四條也作了類似規(guī)定。然而，在信息化時(shí)代，個(gè)人信息的界定仍面臨著三個(gè)問題。一是基于信息技術(shù)，信息的收集利用已然按照一套新的規(guī)則進(jìn)行，一些本身不能識別特定自然人的信息可能被技術(shù)拼湊起來，成為一種可識別性信息。二是匿名化處理后的個(gè)人信息也有可能被再識別而產(chǎn)生泄露的可能性，一些相關(guān)規(guī)范性文件明確點(diǎn)出了此項(xiàng)技術(shù)的風(fēng)險(xiǎn)。如我國在《中國互聯(lián)網(wǎng)定向廣告用戶信息保護(hù)去身份化指引》中解釋什么是去身份化時(shí)也指出，去身份化的某些信息在某些情況下，仍可能通過數(shù)據(jù)集或信息進(jìn)行匹配，重新識別出身份關(guān)聯(lián)信息。三是個(gè)人信息的界定具備一定的動(dòng)態(tài)性和場景依賴，侵犯個(gè)人信息行為的認(rèn)定可能會(huì)出現(xiàn)搖擺不定的局面。因此，要有效規(guī)制侵害個(gè)人信息行為，首先要對個(gè)人信息的應(yīng)有之義作準(zhǔn)確理解。

需知，法律界定“識別”的意義不在于是否將特定的某一個(gè)人從人群中區(qū)分出來，而是為了防范“識別”對人帶來的影響，包括積極影響。因此，在對個(gè)人信息的界定中，我們應(yīng)該將對識別的對象從信息本身轉(zhuǎn)向?qū)π畔⒈澈笮畔⒅黧w的關(guān)注，如若信息處理行為識別出了人，但并未將其置于可識別的風(fēng)險(xiǎn)中或造成其他影響，則不能理所當(dāng)然地認(rèn)為侵害了個(gè)人信息。此外，將個(gè)人信息劃分為個(gè)人敏感信息和一般個(gè)人信息，不僅是當(dāng)下最佳選擇，也將有利于在具體個(gè)案中就雙重屬性進(jìn)行衡量。值得提出的是，基于脫敏信息和匿名化處理信息的財(cái)產(chǎn)屬性，我國立法將二者排除在個(gè)人信息之外也是綜合考量了社情國情，在保證公民基本人格利益不受侵害的情況下順應(yīng)技術(shù)發(fā)展需求。

三、個(gè)人信息權(quán)及其性質(zhì)之爭

為了充分保護(hù)個(gè)人信息，應(yīng)對立法分散的問題，我國早在《中華人民共和國民法總則》中就有相關(guān)規(guī)定，其第111條將個(gè)人信息明確為一項(xiàng)法律利益，而《民法典》則延續(xù)此種理念，正式確立了自然人個(gè)人信息受法律保護(hù)的法律理念?！秱€(gè)人信息保護(hù)法（草案）》的應(yīng)運(yùn)而生也是個(gè)人信息保護(hù)的一項(xiàng)重大突破，它積極響應(yīng)了信息主體權(quán)益保護(hù)的需求，意味著我國在個(gè)人信息保護(hù)領(lǐng)域正式開啟統(tǒng)一立法之路。

（一）權(quán)益之爭

縱觀《民法典》相關(guān)規(guī)定以及《個(gè)人信息保護(hù)法（草案）》，可以發(fā)現(xiàn)，二者規(guī)制的均是針對信息的處理行為，而非平等主體間的普通個(gè)人信息使用行為;二者在保護(hù)形式上均對弱勢主體帶有明顯的偏向性。申言之，這歸結(jié)于個(gè)人信息保護(hù)相關(guān)立法的立法初心。在相關(guān)規(guī)范制定之初，它們的主要立法宗旨就是防范信息處理技術(shù)給個(gè)人信息帶來的風(fēng)險(xiǎn)。在信息處理行為中，信息技術(shù)掌握者，通常是企業(yè)或者國家機(jī)關(guān)，在信息的收集、存儲(chǔ)、利用、加工、傳輸?shù)雀鞣矫婺芰γ黠@高于普通信息主體。在前述過程中，信息主體缺乏可觸、可靠的途徑參與其中，最終可能處于一種無知甚至無奈的狀態(tài)。而平等主體間的普通個(gè)人信息使用行為一般建立在雙方信息處理能力均衡的基礎(chǔ)上，一方可能通過一般方式保護(hù)自己的個(gè)人信息，也能在侵害發(fā)生時(shí)及時(shí)發(fā)現(xiàn)，訴諸法律救濟(jì)。

基于此，有學(xué)者認(rèn)為，在對個(gè)人信息進(jìn)行立法保護(hù)時(shí)，實(shí)質(zhì)上是對信息處理關(guān)系中處于弱勢一方的信息主體以保護(hù)傾斜，是賦予了信息主體一種支配性的個(gè)人信息權(quán)，是權(quán)利保護(hù)模式下直接將個(gè)人信息確立為一項(xiàng)民事權(quán)利。當(dāng)然，理論界也存在相反觀點(diǎn)，即個(gè)人信息的保護(hù)仍是一種行為規(guī)制保護(hù)模式，法律賦予自然人的只是一種民事權(quán)益。以上兩種認(rèn)識都有基于《民法典》的體系分析支撐。前者認(rèn)為《民法典》雖然并未直接使用“個(gè)人信息權(quán)”之表述，但其條文實(shí)質(zhì)上是一種確權(quán)式宣示，且其位置位于第六章“隱私權(quán)和個(gè)人信息保護(hù)”，從標(biāo)題來看，是將二者置于具體人格權(quán)的同等地位;后者則認(rèn)為《民法典》在其第990條對人格權(quán)進(jìn)行具體列舉時(shí)，都使用了“權(quán)”字，如生命權(quán)、健康權(quán)等，但在描述個(gè)人信息時(shí)，通篇僅謹(jǐn)慎使用“個(gè)人信息”“個(gè)人信息保護(hù)”等詞眼，意味著立法者并無確立“個(gè)人信息權(quán)”之意。事實(shí)上，此類“權(quán)利抑或權(quán)益”之爭并無太大意義，無論是權(quán)利還是權(quán)益，都僅是一種暫時(shí)性的區(qū)分。需知，權(quán)利是一個(gè)具有發(fā)展性的概念，當(dāng)某種利益具有加以保護(hù)的必要時(shí)，得經(jīng)由立法或判例學(xué)說賦予法律之力，使之成為權(quán)利。換而言之，要想在順應(yīng)信息化時(shí)代發(fā)展趨勢之時(shí)防范個(gè)人信息侵害之風(fēng)險(xiǎn)，未來必然會(huì)將個(gè)人信息作為一項(xiàng)專門權(quán)利進(jìn)行保護(hù)，從立法趨勢來說，《個(gè)人信息保護(hù)法（草案）》的制定上可見一斑。申言之，隱私權(quán)最初也并非直接被確認(rèn)為一項(xiàng)民事權(quán)利，而是經(jīng)歷了一系列立法變遷。從1993年《最高人民法院關(guān)于審理名譽(yù)權(quán)案件若干問題的解答》以及1988年最高人民法院《關(guān)于貫徹執(zhí)行〈中華人民共和國民法通則〉若干問題的意見（試行）》最早將隱私納入名譽(yù)權(quán)保護(hù)，到2001年《最高人民法院關(guān)于確定民事侵權(quán)精神損害賠償責(zé)任若干問題的解釋》第1條第2款將隱私利益獨(dú)立化，至2009年《中華人民共和國侵權(quán)責(zé)任法》第2條第2款正式寫入“隱私權(quán)”，其顯然是從權(quán)益到權(quán)利成功轉(zhuǎn)型的典范?？梢灶A(yù)見，“個(gè)人信息權(quán)”完全可能在未來權(quán)利化。鑒于后文將就“個(gè)人信息權(quán)”究竟為一項(xiàng)民事權(quán)利還是憲法上的基本權(quán)利進(jìn)行討論，后文取“個(gè)人信息權(quán)”之表述進(jìn)行具體論證。

（二）基本權(quán)利、民事權(quán)利之爭

在具體個(gè)人信息保護(hù)實(shí)踐中，有學(xué)者認(rèn)為個(gè)人信息保護(hù)承載了自然人人格利益、企業(yè)經(jīng)濟(jì)利益、社會(huì)公共利益等多元法益。同時(shí)，由于民事權(quán)利通常只能用于平等主體間的對抗，無法與公權(quán)力機(jī)關(guān)相抗衡，而在信息處理關(guān)系中信息主體和信息處理主體（包含國家機(jī)關(guān)）往往地位不對等，且公權(quán)力機(jī)關(guān)一般不會(huì)就民事權(quán)利提供預(yù)先保護(hù)措施，因此不宜將個(gè)人信息權(quán)作為一項(xiàng)傳統(tǒng)的民法權(quán)利。本文同意此種觀點(diǎn)，且認(rèn)為應(yīng)該將“個(gè)人信息權(quán)”作為一項(xiàng)基本權(quán)利確立。憲法權(quán)利和民事權(quán)利最為根本的一點(diǎn)區(qū)別在于，前者是賦予權(quán)利人以直接針對國家濫用權(quán)力行為進(jìn)行防御的能力，而非出于對無權(quán)力差異主體間關(guān)系的擔(dān)心;后者則是賦予平等主體間針對侵害行為進(jìn)行自我救濟(jì)的資格。二者應(yīng)該予以清晰界分，而此中界線即為侵害行為的邊界。憲法權(quán)利直接以國家侵害行為為邊界，民事權(quán)利則需判斷侵害行為與義務(wù)人基本權(quán)利行使行為間是否越界。

因此，基于個(gè)人信息處理關(guān)系的不平等性，憲法權(quán)利的認(rèn)定將更為有效于防范“強(qiáng)者”的侵害。值得提起的是，將個(gè)人信息權(quán)認(rèn)定為一項(xiàng)基本權(quán)利并不意味著民法上個(gè)人信息保護(hù)的缺失。須知，基本權(quán)利和民事權(quán)利的區(qū)分僅僅存在于公權(quán)力侵害私主體之時(shí)方得顯現(xiàn)出來，在民法層次，若個(gè)人信息受到侵害，完全可以以人格權(quán)請求權(quán)或侵權(quán)請求權(quán)尋求救濟(jì)。此外，若在信息處理關(guān)系中確實(shí)出現(xiàn)平等主體間因一方信息處理能力高于另一方而侵害其個(gè)人信息的情形，也可將個(gè)人信息權(quán)這一基本權(quán)利理念直接引入民事領(lǐng)域。根據(jù)王軼的觀點(diǎn)，現(xiàn)代民法分為“強(qiáng)式意義上的平等對待”和“弱式意義上的平等對待”，因此平等是一方處于強(qiáng)者地位的具有差異性的平等，故完全可以認(rèn)定為弱勢意義上的平等，需訴諸憲法權(quán)利的保護(hù)。

四、我國個(gè)人信息法律保護(hù)路徑

正如上文提到的，我國就個(gè)人信息保護(hù)已經(jīng)在進(jìn)行相關(guān)統(tǒng)一立法工作，以《民法典》和《個(gè)人信息保護(hù)法（草案）》為個(gè)中代表，隨之而來的是關(guān)于二者法律適用上的討論?？傮w來說，就二者的適用，有兩種觀點(diǎn)：一是以《民法典》為總領(lǐng)，《個(gè)人信息保護(hù)法（草案）》作為民法的特別法來看待，之后建立系列特殊領(lǐng)域信息保護(hù)特別法;二是走公私并行路徑。

公法上，以《個(gè)人信息保護(hù)法（草案）》作為個(gè)人信息保護(hù)公法領(lǐng)域的一般法，之后制定系列特殊領(lǐng)域信息保護(hù)特別法，建立“一般法+特別法”的保護(hù)體系。私法上，以《民法典》統(tǒng)攝個(gè)人信息私法保護(hù)。

筆者認(rèn)為，第二種路徑更契合法律實(shí)質(zhì)以及社會(huì)現(xiàn)狀。一是在具體司法審判實(shí)踐中，援引公法性規(guī)范作為民事判決法律依據(jù)的情況常見，此為司法法律適用上的混淆，應(yīng)在立法上予以明確區(qū)分，方便法官區(qū)分案件性質(zhì)，準(zhǔn)確適用法律，促進(jìn)個(gè)人信息保護(hù)司法領(lǐng)域進(jìn)步;二是以個(gè)人信息權(quán)之憲法基本權(quán)利作為公法保護(hù)的依據(jù)，有利于在后續(xù)設(shè)立獨(dú)立專業(yè)的個(gè)人信息管理、備案、監(jiān)督機(jī)關(guān)時(shí)充分貫徹依法行政原則，在尊重技術(shù)發(fā)展和市場規(guī)則的前提下以國家公權(quán)力有效防范個(gè)人信息侵害的發(fā)生;三是有利于建立清晰公私分明的救濟(jì)途徑，便于信息主體在受到不同性質(zhì)侵害時(shí)有據(jù)可循。

五、結(jié)語

信息化時(shí)代，科學(xué)技術(shù)的應(yīng)用從來都是利弊共存，信息類型的豐富和信息識別技術(shù)的革新，使得傳統(tǒng)個(gè)人信息認(rèn)定已經(jīng)不能適應(yīng)現(xiàn)代立法保護(hù)需要。深入個(gè)人信息立法保護(hù)研究，加快立法進(jìn)程，將是促進(jìn)信息共享和信息技術(shù)良性發(fā)展的必然渠道。然而，立法離不開行政和司法的支持，故建立起兼具獨(dú)立性和專業(yè)性的信息保護(hù)機(jī)構(gòu)已然刻不容緩，如此，我國應(yīng)協(xié)調(diào)完備的公私并行路徑，妥善處理好個(gè)人信息保護(hù)和科技價(jià)值的關(guān)系，讓信息技術(shù)最大限度上促進(jìn)人類福祉。

參考文獻(xiàn)：

[1]張新寶.個(gè)人信息收集：告知同意原則適用的限制[J].比較法研究，2019（6）：1-20.

[2]遲銘.消費(fèi)者人格權(quán)保護(hù)的法經(jīng)濟(jì)學(xué)分析——Calabresi與Melamed模型的一個(gè)應(yīng)用[J].中共鄭州市委黨校學(xué)報(bào)，2010（6）：59-62.

[3]李東.論個(gè)人信息的刑法保護(hù)[D].青島大學(xué)碩士論文，2018.

[4]唐國才.剛果（金）案對完善《香港基本法》解釋機(jī)制的啟示[J].戰(zhàn)略決策研究，2012（2）：34-44+60.

[5]張建文，程海玲.“破碎的隱私承諾”之防范：匿名化處理再識別風(fēng)險(xiǎn)法律規(guī)則研究[J].西北民族大學(xué)學(xué)報(bào)：哲學(xué)社會(huì)科學(xué)版，2020（2）：76-86.

[6]傅之捷.論信息領(lǐng)域個(gè)人隱私權(quán)的法律保護(hù)[D].復(fù)旦大學(xué)碩士論文，2008.

（責(zé)任編輯：董維）

收稿日期：2021-04-21 修改日期：2021-07-06

作者簡介：李穎杰（2001—），女，湖南邵陽人，湖南師范大學(xué)法學(xué)院2018級在讀本科生，主要從事廣化寺法學(xué)研究。