我國網絡環(huán)境下個人信息的法律保護研究*

貴州民族大學 顏華楠，朱寧莉

關于公民個人信息的立法保護，起源于20世紀70年代的歐洲。當時大陸法系的部分代表國家為了防止公權力機構對公民個人信息過度的收集和處理行為，接連頒布了關于個人信息保護的專門法律以遏制公權力對個人信息的不當收集和處理。如今，隨著時代的飛速發(fā)展和信息科技日新月異的進步，人們越來越依賴于通過線上平臺解決日常需要。人們可以通過網絡購物平臺、網約車軟件等解決衣食住行，通過社交和辦公軟件滿足工作和學習、生活的需要，乃至通過第三方小程序完成水電繳費、立案申訴等公共服務。而在這些過程中用戶的個人信息被各種類型的信息處理者收集、利用、存儲和分析，其中占絕大多數的信息處理者是互聯(lián)網企業(yè)和網絡平臺等網絡服務提供者，他們將這些個人信息與人工智能技術相結合，勾勒出用戶畫像以精準投放產品，并存在與關聯(lián)第三方對用戶個人信息進行合作使用的行為，以力求將個人信息的商業(yè)價值最大化。在個人信息中的數據信息逐步成為企業(yè)核心資產的同時，對個人信息的保護已成為信息時代下廣大人民群眾最直接、最現實的利益保護需要。[1]

一、《個人信息保護法》與《民法典》之間的關系

《個人信息保護法》主要規(guī)定了個人信息的處理規(guī)則，明確了信息處理者的責任和義務以及在信息收集處理過程中應當秉持的原則和遵守的程序，同時明確了個人對其個人信息享有的權利。除此之外，《個人信息保護法》的亮點創(chuàng)新之處還在于規(guī)定了不同于一般信息的敏感個人信息及其處理規(guī)則和個人信息跨境提供的規(guī)則。《個人信息保護法》的內容大多數在于規(guī)制企業(yè)和網絡平臺等私立部門的信息處理行為，但也涉及對國家機關收集、處理個人信息和保護、監(jiān)督管理個人信息行為的規(guī)則?！秱€人信息保護法》是我國在之前的努力下做出的劃時代的創(chuàng)新立法，我們需在規(guī)劃好的范圍之內進行個人信息權益的保障與合理利用信息的雙重平衡。

《民法典》第四編人格權的第六章以“隱私權和個人信息保護”進行了專章規(guī)定，其中對個人信息保護進行了基礎規(guī)定，包括個人信息的定義、處理個人信息應遵循的原則和條件、免責事由、個人信息主體的權利、信息處理者的義務和公權力機構及其工作人員的保密義務。從《民法典》的規(guī)定來看，個人信息屬于民法領域中被確認的重要民事權益，且屬于人格權益。結合關于隱私權的規(guī)定，可以看出隱私權與個人信息存在交叉關系，因此民法將其入典，是基于保護人格尊嚴和人格自由的需要，在如今的網絡信息時代，個人信息的保護事關個人的尊嚴、自由乃至安全。[2]

《個人信息保護法》以《憲法》為制定依據，具有本身的獨立性與邏輯性，但體系上仍與《民法典》規(guī)定的內容相協(xié)調?！睹穹ǖ洹纷鳛楸Ｕ纤綑嗬幕痉?，在其確立了個人信息的權益地位后，《個人信息保護法》中關于個人信息保護的私法規(guī)范應屬于特別法。[3]由于《個人信息保護法》規(guī)定的細致全面，在其所涉及的內容上應優(yōu)先適用《個人信息保護法》；而在《個人信息保護法》沒有明確規(guī)定時，可根據《民法典》中關于人格權保護和侵權責任的相關規(guī)定進行兜底和補缺。[4]如《個人信息保護法》第69條對侵害個人信息的損害賠償責任，根據字面文義來解釋，應限定于財產損害賠償。而《民法典》第1183條規(guī)定了侵害人身權益造成嚴重精神損害的，有權請求精神損害賠償，這一規(guī)定就拓寬了個人信息主體的事后救濟范圍。

二、個人信息處理的合法性基礎

（一）告知同意規(guī)則

在《個人信息保護法》未出臺之前，各大APP和網絡平臺在用戶初次登錄或注冊之時，經常以“不同意就不提供服務”的形式變相強迫用戶同意其全部信息處理規(guī)則。下述案情為筆者在中國裁判文書網上查找。

案情簡介：胡女士通過某一旅游服務APP預定了大床房一間，后退房時，胡女士發(fā)現酒店開具的發(fā)票上價格與其在APP上所預定的價格相差1500多元。于是胡女士向該APP的售后客服進行了投訴，但客服處理的結果讓胡女士并不滿意，故其向法院提起訴訟維護權益。在訴訟過程中，胡女士主張，該旅游服務APP應當增加不同意《服務協(xié)議》《隱私政策》也可使用的選項。

法院判決：二審法院審理認為，根據法律和相關規(guī)范性文件的規(guī)定，胡女士具有非必要個人信息使用拒絕權。平臺經營者對用戶個人信息的處理行為應當遵循合法、正當、必要原則。該APP經營公司變相強迫用戶同意其信息收集處理協(xié)議，且并未明確個人信息收集范圍，屬于不當收集、使用用戶個人信息的行為。但對于胡女士的訴請，法院認為，增加此選項意味著全盤否定《服務協(xié)議》和《隱私政策》內容，但這是網絡平臺提供服務的基礎，從實際出發(fā)這一主張超出了權利救濟的必要范圍，同時也關乎著眾多用戶的使用感受和利益，在個案中法院應持謹慎態(tài)度，不宜直接要求涉案APP增加這一選項。

如今，《個人信息保護法》明確規(guī)定了告知同意規(guī)則，要求網絡平臺等信息處理者將符合法律、其目的和用途的個人信息收集范圍和處理方式誠實透明地告知用戶后，得到用戶同意才可處理授權范圍內的個人信息。該規(guī)則是基礎的、核心的個人信息保護條款，是尊重人格尊嚴和保護人格自由發(fā)展的體現。同時，根據個人信息的分類，一般信息和敏感個人信息在同意的形式上也不相同，由于敏感個人信息與個人人身的緊密性更強，對人格尊嚴、人格自由的價值體現更多，因此只有在目的充分、手段必要的前提下才可收集處理，并需要得到信息主體的單獨同意。

同時，為了實質保證個人信息主體在高度數字化、信息化時代下的信息控制權與自主權，《個人信息保護法》第16條規(guī)定了作為信息處理者的互聯(lián)網企業(yè)和網絡平臺等網絡服務提供者不能因信息主體不同意或撤回同意關于處理其個人信息的協(xié)議而不提供產品或服務，服務必需信息除外。這條規(guī)定既保障了網絡平臺提供服務、開展業(yè)務的基礎需要，也規(guī)定了處理個人信息的界限，規(guī)制了變相強迫、剝奪用戶自主權的處理行為，與上述案件的審理思路與結果有著實質精神上的一致。

（二）法定許可制度

《個人信息保護法》規(guī)定了除告知同意規(guī)則外，還存在其他六種信息處理者可不經信息主體的同意處理其個人信息情形。其中包括合同訂立、履行或實施方面、信息處理者的法定責任方面、前提為應對突發(fā)緊急事件等情形，以上情形都從公私兩種角度出發(fā)，另外還包含為公共利益實施新聞報道或輿論監(jiān)督等行為之必需。而筆者想要著重討論的是除兜底條款外最后一種法定許可事由，即在“合理范圍內”處理個人“自行公開”或者其他已經“合法公開”的個人信息。

案情：劉女士是一名執(zhí)業(yè)律師，其某天在網上發(fā)現自己的律師職業(yè)證號被他人用作注冊法律咨詢和提供有償服務的某個法律服務網站，后劉女士與該網站取得聯(lián)系，因協(xié)商無果訴至法院，要求法院判令該網站停止侵害并公開或書面賠禮道歉。該法律服務網站在答辯時主張，其所用執(zhí)業(yè)證的有關信息是來源于省司法廳的官方網站，故該項個人信息屬于已經合法公開的信息，其行為并沒有侵犯劉女士的個人信息。

法院判決：一審法院認為，根據法律規(guī)定，信息處理者可以合理處理已經合法公開的信息，涉案法律服務網站未經允許擅自將他人的執(zhí)業(yè)信息用以網站注冊的行為存在過錯，但收到通知后及時采取了措施，法院認為未給劉女士造成實質損害，故沒有支持劉女士的訴訟請求。劉女士不服提起上訴。二審法院認為，律師執(zhí)業(yè)證的主要用途是為了查證律師的身份，案涉執(zhí)業(yè)證信息雖為合法公開信息，但涉案網站作為一個提供專業(yè)法律服務的商業(yè)性網站，將上訴人的執(zhí)業(yè)證信息用作注冊的行為，明顯違反了法律規(guī)定，缺乏必要性和正當性。雖然沒有造成實質性損害后果，但對上訴人的個人信息權造成了不當侵害，故二審法院支持了劉女士的訴訟請求，要求涉案網站向上訴人劉女士書面道歉。

如今，《個人信息保護法》的出臺明確了個人信息權益，并以“依據憲法”為指引，注明個人信息權益在保障人權、尊重人格尊嚴和保護人格自由發(fā)展的重要性。其次，該案體現出一個基本問題，即在司法適用中應如何認定對自行公開或合法公開的信息的“合理使用”，或者說按照《個人信息保護法》的條文表述，司法實踐中應如何認定“合理范圍”內使用的界限。網絡環(huán)境下，個人信息往往不經意間就被“公開”了，但是否一旦公開，信息主體就喪失了對該公開信息的自主權與控制權了呢？

在個人信息處理活動中，信息處理者應當秉持著合法、正當和必要的原則。“合理范圍”是指，當個人信息被自行或合法公開后，信息處理者對于該信息的后續(xù)利用仍然應當貫徹目的限制原則。判斷信息處理者是否貫徹目的限制原則的直接考慮因素在于信息處理者是否遵循了該信息被公開時的使用目的，即是否未背離最初的公開目的。這并不意味著前后目的需要完全一致，信息處理者后續(xù)處理的目的可以通過以下幾方面進行綜合考慮來判斷是否與最初公開目的具有兼容關系：（1）后續(xù)利用的目的與最初公開目的之間的關系；（2）信息主體的主觀心理預期；（3）是否采取了必要的安全保障措施；（4）對信息主體的影響等，司法實踐中再結合場景與手段、處理行為的正當與否，來認定信息處理者的行為是否合理。而當公開信息沒有明確目的時，信息處理者應當以理性人的角度，以善意的心理態(tài)度盡到應然的注意與安全保障義務，不能因其信息處理行為給信息主體造成重大影響。對于個人自行公開的信息目的，信息處理者可以結合發(fā)布網站的性質、平臺的隱私政策和信息主體的主觀心理進行合理推斷；而對于合法公開的信息，由于此類信息一般是在政府部門網站、裁判文書網和新聞報道中出現，此時信息處理者應當根據合法公開信息的平臺與途徑辨別其所承載的公共服務目的，以保障后續(xù)利用行為的合法性與正當性。[5]

三、我國網絡環(huán)境下《個人信息保護法》的適用完善

《個人信息保護法》對個人信息進行敏感個人信息的界定與信息處理行為的嚴格限制、對個人信息跨境提供或處理行為的特別規(guī)定、借鑒歐盟《通用數據保護條例》設立專門的個人信息保護與監(jiān)管部門、明確個人信息侵權案件中的歸責原則等一系列法律規(guī)定，都是《個人信息保護法》出臺后引人注目的亮點。但網絡環(huán)境復雜紛亂，雖然《個人信息保護法》的出臺適應了時代需求，明確了處理原則與規(guī)則，保護了個人信息不被肆意收集和濫用，但制度適用中仍存在著一些問題值得我們思考。

（1）告知同意規(guī)則的適用應更加類型化。目前告知同意規(guī)則作為一種先定性的規(guī)則模式，具有一定的概括性與前瞻性，但同時也存在著局限性，在場景多樣的網絡環(huán)境中，缺乏一定程度的可調整性。雖然《個人信息保護法》明確了網絡平臺等網絡服務提供者不得以個人信息作為產品或服務的對價，但截至目前來講，大多數網絡平臺仍以“全有或全無”的同意模式供客戶選擇。這實際上是對消費者意思自治原則的侵犯，告知同意規(guī)則成了一種僅對用戶產生義務的程序性規(guī)定。并且在大多數情況下，用戶的個人信息不僅僅只提供給使用的網絡平臺，還會由使用的網絡平臺移交給平臺的關聯(lián)合作伙伴共享，這在很大程度上造成了告知同意規(guī)則在實際運用過程中的單邊利益傾向性，沒有達到立法的預期目的與效果。針對提供不同服務或產品的不同屬性類別的網絡平臺、互聯(lián)網企業(yè)等網絡服務提供者，筆者認為，在今后的司法解釋或司法適用中可以考慮將告知同意規(guī)則完善得更加精細及類型化，以平衡網絡用戶與網絡服務提供者之間的博弈關系，在如今“全有或全無”的模式下規(guī)定網絡平臺提供更多選擇，以服務內容為標準，界定需要收取的不同范圍程度的用戶個人信息，最終由用戶根據個人需要進行選擇與使用。

（2）敏感個人信息的歸責原則應為例外。《個人信息保護法》將敏感個人信息單獨列出，并予以嚴格限制，足以說明敏感個人信息對于信息主體的私密性、影響性與重要性。一般個人信息侵權案件采取過錯推定原則，能夠很好地平衡個人信息的保護與合理利用，但敏感個人信息不僅涉及人身安全、財產安全，甚至還會威脅公共安全，因此采取不同于一般個人信息的歸責原則，即無過錯責任更能保護敏感個人信息的安全，同時給予網絡平臺等網絡服務提供者以警醒，預防其對敏感個人信息的不法侵害。

四、結語

《個人信息保護法》聚焦了網絡信息時代人民廣為關注的重點問題，堅持和貫徹了依法治國、以人民為中心的法治思想。在《民法典》的立法基礎上，對信息網絡時代中互聯(lián)網企業(yè)、網絡平臺等網絡服務提供者的信息處理行為規(guī)定了更為細致全面的信息處理原則與規(guī)則，明確了信息處理行為的合法性基礎。而在紛雜多樣的網絡環(huán)境中，《個人信息保護法》應當以立法目的為指引，結合網絡適用場景與問題，完善更多有效的保護途徑，實現保護個人信息與合理利用信息價值的雙重平衡，為個人信息保護提供堅實有效的壁壘。