《民法典》視野下的個人信息保護制度研究

程淑娜

摘 要｜隨著互聯(lián)網(wǎng)時代的到來，個人信息的價值被進一步地豐富和放大，這也使得個人信息保護的問題日益嚴峻，法律的滯后性、公民的權利意識的淡薄、科技快速發(fā)展的負面效果等問題都在威脅著個人信息的安全。近年來我國對個人信息的保護力度一直在加強，《民法典》中人格權編對個人信息保護的規(guī)定正是對這一理念的體現(xiàn)。人格權編對個人信息的保護一改個人信息保護的分散和不統(tǒng)一的局面，使得個人信息的保護正式被納入民事法律規(guī)范的領域，這樣的做法及時地回應了社會熱點問題，對于個人信息保護的統(tǒng)一性和權威性有很大的提升，有利于信息社會的穩(wěn)定發(fā)展和保障個人信息安全。針對個人信息制度從以下幾個方面去討論，第一部分就是個人信息保護制度的界定，包括個人信息制度的內涵、特征等，第二部分是個人信息在民事法律領域內的法律屬性的確定。第三部分是《民法典》中個人信息保護的一個重要原則——“知情同意”原則的討論。第四部分是對于其他國家的個人信息保護的經驗的分析。最后一部分就是對我國個人信息保護制度完善的建議。

關鍵詞｜民事法律規(guī)范；個人信息；個人信息保護；知情同意原則

Copyright ? 2023 by author （s） and SciScan Publishing Limited

This article is licensed under a Creative Commons Attribution-NonCommercial 4.0 International License. https：//creativecommons.org/licenses/by-nc/4.0/

一、基礎理論

（一）個人信息的界定

1．個人信息的概念

目前國際上對于個人信息的界定主要有三種方式，第一種方式是以意大利為代表的歐洲國家采取的概括界定的方式，意大利1996年頒布的《數(shù)據(jù)保護法律Act No.675》中將個人信息界定為與自然人、法人、機構或者組織有關的任何信息，這些信息（包括個人身份證號碼）都可以通過任何其他信息直接或者間接地被加以識別。第二種方式是列舉的方式，即在立法中采用明確列舉的方式對個人信息的范圍進行規(guī)定。第三種方式是將前兩種方式相結合的表述，即在列舉個人信息的范圍后進行抽象概括，以此來提高法律規(guī)定的完善性，例如歐盟的GDPR就采取了這樣的規(guī)定方式，不僅將個人信息高度抽象為已識別或者能夠識別的自然人的任何信息，同時還在條款中列舉出了姓名、身份證件號碼、識別碼等具體的個人信息。個人認為歐盟對個人信息的界定更為全面，且具備可操作性，突出了可識別的特性，并且強調了自然人是唯一的個人信息的主體，對于個人信息的界定是一件很困難的事情，因為隨著社會發(fā)展，個人信息的內涵和外延都在變化之中，采取列舉加概括的方式可以使得法律規(guī)定更具有可操作性。

要定義個人信息就首先需要明確個人信息的特征。個人信息最顯著的一個特征就是可識別性，可識別性簡單的理解可以認為就是通過對該信息的某種處理可以定位到某個特定的主體，目前對于個人信息的可識別性具有爭議的點在于主觀的評價是否具有可識別性而被歸入個人信息中，在澳大利亞的立法中，將“錯誤的評價”也歸入了個人信息的范疇，個人認為即使是主觀的信息也在某種程度上具有可識別性，是可以被界定為個人信息的。個人信息還具有主體特定性，即個人信息的主體為自然人，雖然前文所述的意大利就在立法中將法人和機構組織的信息納入個人信息，但是法人和機構組織的信息可以通過其他法律（例如反不正當競爭法）進行調整，不宜將其納入個人信息的范疇。

除個人信息外，個人信息權也是一個很重要的概念，個人信息權這一概念首次出現(xiàn)在德國著名的“人口普查案”，其指出個人信息權是指信息主體對于個人信息的控制、知悉、查閱、修改和刪除權。其最終目的在于將個人信息歸入個人事務的范疇，保護個人對個人信息的自主控制權。在美國，個人信息的保護則被歸納進了隱私權的范圍之中。我國有學者將個人信息定義為信息主體對自己的個人信息所享有的進行支配并排除他人非法利用的權利。從這個定義出發(fā)我們可以發(fā)現(xiàn)，其將個人信息權界定為一種支配權，但是該定義的問題在于“非法”二字的界定，他人對于個人信息權的侵犯達到何種程度為非法呢？這里的法又是指哪一種法律呢？

綜上所述，無論是個人信息還是個人信息權，總體上講，首先其是具有人格權的屬性的，其次，其突出強調的是積極的支配的權利。所以，個人認為個人信息權的概念可以表述為信息主體對自己信息控制的權利。

2．個人信息VS個人數(shù)據(jù)

這兩個詞是非常相近的，也是經常被混為一談的兩個詞語。這兩者在一定的程度上是存在重合的，因為數(shù)據(jù)是個人信息的表現(xiàn)形式之一，但是個人信息的表現(xiàn)形式絕對不止這一種，所以盡管二者的內涵相似，但是顯然個人信息的內涵和外延較之于個人數(shù)據(jù)是更廣的，個人信息也是在學界和實踐中被廣泛采用的表述方式。

3．個人信息VS隱私權

個人信息與隱私是不可以被混為一談的，二者的側重點是不一樣的，二者的表現(xiàn)方式、具體內容、侵害方式和救濟的途徑都是不一致的，二者在內容上具有一定的重合性，在一定的條件下也是可以互相轉換的，但是對于二者還是要進行區(qū)別，從而在人格權編中分別進行規(guī)制和保護。

（二）個人信息的特征

1．可識別性

可識別性可以說是個人信息的基石，即從個人信息的定義我們就可以看出可識別性的重要之處，可識別是一項信息可以被判定為個人信息的重要標準之一。另外對于可識別性是單獨具備還是可以由多個信息組合具備，個人認為是需要單獨具備可識別性的，因為如果采取“關聯(lián)型”的學說，那么就會使得信息的指向性不明確，造成保護對象的混亂和不明確。因此，如果一個信息不具備可識別的特征，那么就無法通過這個信息定位到一個具體明確的個人，那么就無法對其進行保護，所以可識別性就是個人信息的基礎特征。

2．主體特定

個人信息的主體一定是特定的，無論是以前的民事立法還是現(xiàn)行的《民法典》都明確地提到了“自然人”這一詞，可以說明確地規(guī)定了自然人是個人信息的主體，那么對于“法人”和“其他組織”這兩類民事主體，是否可以成為個人信息的主體呢？筆者認為是不可以的。首先，對于這兩類主體的信息保護問題已經有《反不正當競爭法》等特別法進行保護，沒必要進行重復保護，造成法律之間的沖突。其次，對于死者是否享有個人信息權的問題，筆者認為也是不享有的，因為死者的個人信息保護可以歸入死者人格利益的保護。最后，針對外國人這一特殊主體，筆者認為是可以納入我國個人信息保護的，因為目前世界整體化趨勢加強，各國之間的互通互聯(lián)日益強化，所以可以在個人信息保護領域向外國人提供國民待遇。

3．客體的限定

個人信息保護的客體顧名思義就是個人信息，但是在數(shù)據(jù)時代，如何判斷個人信息這一范圍，也是一件比較復雜的事情。我國的人格權編對個人信息的定義吸收德國和法國的立法，不僅對其進行了概念上的定義，還列舉出了一部分個人信息。對個人信息進行限定是很有必要的，因為如果過度擴張個人信息的范圍，將會造成過度保護的局面，最終導致所有的信息流轉被限制和遲滯，這樣的做法是不符合兼顧效率的要求。

4．綜合性的利益

個人信息的性質其實是比較復雜的，首先個人信息是具有人格屬性的，因為個人信息是與個人密不可分的，不存在脫離于個人之外的個人信息，因為這樣的信息是不具備可識別性，顯然這樣的特征是符合人格權的屬性的。但是個人信息并不簡單的只具備人格上的利益，其還具有極高的商業(yè)價值，也就是財產屬性，大數(shù)據(jù)背景下個人信息的商業(yè)價值被開發(fā)到了極致，進行大數(shù)據(jù)采集和分析之后的個人信息可以說是商業(yè)市場上的一塊大蛋糕。因此，如何很好地兼顧人格屬性和財產屬性，在保護人格利益的同時適當?shù)亻_發(fā)和利用財產屬性將成為個人信息保護領域的一個重要課題。

二、個人信息的屬性

（一）民事權利or民事權益

對于個人信息是否被賦予為一種新的民事權利這一問題，不同的學者有著不一樣的看法，部分學者（如張新寶、楊立新等）主張將個人信息作為一種新型的民事權利，甚至有學者認為應該將個人信息得到表述修改為個人信息權，其理由主要有以下幾點，首先就是人格權編的規(guī)定將個人信息與其他的人格權并列進行規(guī)定，可以認為其將個人信息作為一種單獨的權利，所以應該將個人信息作為一種權利；其次，從保護力度和明確性的角度看，將個人信息賦權進行保護會更有力；再次，將個人信息作為個人信息權進行保護可以彌補其規(guī)定的法益缺失的問題；最后，個人信息的賦權更有利于在司法實踐中對個人信息進行保護。但是也有學者對此不贊成（如王利明、龍衛(wèi)球等），其主要理由在于立法者既然在立法過程沒有選擇個人信息權的表述，那么就不能盲目地將個人信息賦權，這樣做不符合立法意圖，另外也使得后續(xù)的立法空間被狹窄化。

個人認為，基于對人格權編1038條的解析，其規(guī)定的目的在于控制對個人信息的各項行為，保護個人信息，其并沒有將個人信息作為一種權利去強化，所以將個人信息作為民事利益去保護更為合理，也為后續(xù)可能出現(xiàn)的專門立法預留了適用的空間。

（二）人格權or財產權

如前文所述，個人信息的屬性是比較復雜的，其兼具著人格權和財產權的屬性。目前，大部分的學者認同人格權這一說法，其理由主要是個人信息具有較高的人身屬性，從目前的立法來看，其主要強調的是對人格尊嚴的保護和對人身自由的保障，不可否認其具有財產屬性，但是其具備財產屬性是第二位的，基礎性的屬性仍然是人格屬性，并且根據(jù)其立法選擇的歸屬，是與其他人格權作為并列的，所以屬于人格權。但是持反對意見的學者則認為財產權的屬性才是第一位的，正如洛克就認為財產權的屬性才是第一位的，是具有基礎性作用的，這些學者認為保護個人信息的目的最終是保護個人對自己的信息的控制權和處分權，要保護的還是其所能帶來的經濟利益和財產價值。個人認為人格權屬性更符合個人信息的屬性特征。

（三）個人信息與隱私權

學者王利明在早期的研究中就認為，隱私權保護的客體中就包含了個人信息。這也是早期大部分學者所支持的觀點，但是這種認識并不科學，個人信息并不是包含于個人隱私的，筆者更支持將二者交叉的觀點。隨著實踐的發(fā)展，學者對個人信息的性質認識也發(fā)生了改變，學者程嘯將個人信息分類為公開的和隱私的兩部分。王利明教授也改變了自己的看法，認為個人信息權和隱私權是兩個不同的權利，其客體、內容等均存在差異，應該在人格權中明確隱私權和個人信息權這兩個權利。從上述學者的觀點可以看出，個人信息是區(qū)別于隱私權的，所以在研究個人信息保護時就不能簡單地以隱私權的思路去考量。

綜上所述，筆者認為個人信息的屬性是民事利益和人格權屬性，當然也不能否認其具備的財產屬性，因為隨著網(wǎng)絡時代和大數(shù)據(jù)技術的來臨，個人信息的財產屬性越來越顯著，現(xiàn)實生活中對個人信息的財產性利用也變得頻繁，在立法過程中不可以忽視對這些行為的規(guī)制。學者張融在自己的文章中提出了不同于人格權視角的保護思路，其認為在當前的市場中，個人信息已經逐漸地商品化，成為商業(yè)主體間交易的一種客體，為商業(yè)主體帶來一定的經濟利益。這一觀點也得到了不少學者的認可并在實踐中得以驗證，在當前的社會中，個人信息的確承載著一定的經濟利益，不過單純地將其視為一種可交易的財產過于武斷，個人信息中包含著信息主體的一些與人格權相關的信息，這是不同于一般的商品的。對于個人信息的法律性質的認識與個人信息的定義同樣都是個人信息保護制度的基石，因此需要對其有科學的認識，目前學界已基本達成共識，將個人信息作為一種兼具人格權和財產權的新型綜合性權利。

三、《民法典》中的知情同意原則

（一）知情同意原則的規(guī)定

知情同意原則體現(xiàn)在《民法典》第一千零三十五條的規(guī)定之中，雖然該條款未直接表明個人信息權利人的知情權，但是該條款確定了信息處理者有明示的義務，這就從側面證明了權利人的知情權。知情同意原則的設立可以說是對個人信息的一個有力保障，這一原則非常符合民法強調的意思自治的要求，這也正是上文提到過的信息自決權的一個體現(xiàn)，知情同意原則可以充分地調動信息主體的自覺性和積極性，對于保護個人信息是很有幫助的，并且知情同意原則也是對個人人格尊嚴的充分尊重，因此《民法典》中所規(guī)定的知情同意原則是個人信息保護領域內的一個重要的基礎性原則。

關于知情同意原則的存廢之爭議：在知情同意原則的研究中，不少學者對知情同意原則的存廢產生了爭議。支持知情同意原則在個人信息保護中繼續(xù)適用的學者主要有以下的觀點，學者洪瑋銘認為仍應該遵守知情同意原則，因為該原則已經深刻地融入制度建設與交易實踐中。學者張濤認為，盡管從目前的實踐來看，知情同意原則的適用情況并不理想，但是這并不能否認知情同意原則存在的必要性，其認為應該明確知情同意原則的適用范圍與規(guī)則，加強監(jiān)督，確保知情同意原則的落地實施。學者姜盼盼認為知情同意規(guī)則需要通過“清晰”和“明確”兩要素進行實質化，以可期待性理論對規(guī)則進行修正，并主張多元的信息處理豁免事由。有學者認為知情同意規(guī)則是私法上意思自治理念在個人信息保護領域的體現(xiàn)，是對信息處理者的有力限制，并主張通過“兩個維度、四種類型”來劃分個人信息，并適用差異化的知情同意。學者田野主張堅持自主價值，確立平衡理念，基于信息分類與場景的風險評估來區(qū)分適用同意規(guī)則，實現(xiàn)信息的持續(xù)披露與動態(tài)同意，并允許有條件的“寬泛同意+撤回權”模式。而持反對意見的學者們則主要從以下的角度去論述，學者邢會強認為信息主體的信息控制能力有限，并不具有真正的決定自由，其同意缺乏真實性和必要性；知情同意規(guī)則具有經濟上的負外部性；大量例外規(guī)定削弱了規(guī)則的有效性。張明陽認為以“知情同意”為核心的保護架構既不能為公民的個人信息提供實質性保護，又成為制約數(shù)據(jù)價值發(fā)展的重要因素。高富平認為我國立法將“同意”作為信息處理的先決條件，是對國際社會個人信息保護理論和制度規(guī)則的誤解。他認為個人信息是公共的，具有社會決定性，因此主張個人信息應由個人控制到社會控制。學者衣俊霖認為我國應引進具體場景的動態(tài)風險管理從而代替知情同意規(guī)則。對于知情同意原則的存廢問題，筆者個人是支持肯定說的，即認為知情同意原則繼續(xù)適用，因為知情同意原則保障的是信息主體對個人信息的控制，如果放棄這一原則，不僅會造成侵犯個人信息的行為的失控，同時也會損害到個人的人格尊嚴。

（二）知情同意原則的實現(xiàn)方式

1．知情的要求和范圍

以民事法律關系為基礎，知情同意原則的實質就是意思自治，我們以目前最為常見的網(wǎng)絡服務提供者收集用戶信息為例，這兩者之間的關系我們可以擬制為一種合同關系，因此雙方均是享有締約的自由的，也就是意味著只有用戶做出同意的意思表示，雙方之間的契約關系方才建立，因此知情同意有原則可以被視為是信息控制者行為合法的一個基礎。那么怎么做才能滿足知情的要件呢？通常知情的方式有以下四種：同意、明示、默示和公開，這幾種方式在個人信息領域的相關立法中也都有體現(xiàn)，例如《網(wǎng)絡安全法》中就規(guī)定了“經同意”，《個人信息安全規(guī)范》中就規(guī)定了“明示”，我國目前主要采取的方式是“明示”。至于知情的范圍，個人認為以下幾點是必須的，首先就是信息收集的范圍和方式、信息收集的目的，其次就是信息使用的方式和規(guī)則，還有就是信息的存儲安全問題和后續(xù)的信息處理問題。

2．同意的要求和范圍

知情同意原則不僅要求信息主體知情，更要求取得信息主體的同意，同意的前提是知情，只有信息主體在完全知情的情況下進行的同意才可以被認定為是真正意義上的同意，對于同意的問題，我們還要重點關注法律規(guī)定的一些例外情況，即不需要征求信息主體的同意的情形，這些情況大部分都是涉及國家利益和公共利益的重大情況，但是目前來看法律規(guī)范對這些情況的規(guī)定并不是很詳細和嚴格，用詞甚至出現(xiàn)了“重大合法權益”這樣難以確定的詞語，這樣的規(guī)定極有可能會造成信息主體的知情同意原則被架空的尷尬局面。所以對于同意的例外情況仍需要進行嚴格的限制。

（三）他國對“知情同意原則”的立法

1．歐盟

歐盟的GDPR對知情同意做出了詳細的規(guī)定，歐盟主要通過對信息控制者的告知義務的明確來保障知情同意原則，根據(jù)GDPR的規(guī)定，信息控制者的告知范圍甚至包括信息控制者的身份、聯(lián)系方式等內容，并且要求信息控制者的告知是明確的、詳細的并且是較為容易理解的。GDPR還對同意進行了高標準的規(guī)定，其序言部分就規(guī)定了沉默、預先勾選同意欄的行為都不屬于同意。歐盟一直堅持的就是簡單、詳細、具體的要求。

2．美國

美國此前堅持知情同意的原則，但是在2012年以后，美國開始實踐新的“場景和風險理論”，這一理論不再強制要求信息主體做出同意的意思表示，而是如果信息處理的行為在場景中合理時即自動獲得授權，如果不合理，就需要進行風險評估并由信息主體來選擇是否退出，這樣的理論雖然堅持了具體問題具體分析的方式，在一定程度上減輕了信息控制者的義務，但是可能會導致信息主體的信息被侵犯，因為信息主體對風險的判斷并不是那么及時和準確。

（四）知情同意原則的完善

1．明確主體

要明確信息控制者和信息共享者的主體身份，這是個人信息保護的基礎，這一點在歐盟的GDPR之中就明確地要求，在隱私政策之中明確信息控制著及具體內容。

2．強化信息控制者的告知義務

信息控制者的告知義務對于知情是十分必要的，所以要明確和細化信息控制者的告知義務，要求其告知的內容明確且清晰，目前在實踐中，大部分的信息控制者雖然履行了一定的告知義務，但是其告知的內容太過寬泛，這就會使得信息主體無法知情從而做出有效的同意，個人認為對于信息的收集方式、使用方式及目的、信息的存儲和信息的處理這些內容是必須要進行告知的。

3．豐富救濟途徑

對于知情同意原則被侵犯的救濟也是一個重要的環(huán)節(jié)，目前我國的救濟途徑就是通過民事訴訟的方式進行救濟，這樣的救濟途徑很難滿足所有的信息主體的需求，個人認為可以豐富救濟途徑，例如增加個人信息的監(jiān)管機關，讓信息主體可以更快速便捷地進行救濟。

四、個人信息保護制度的完善

（一）明確個人信息保護的范圍

個人信息保護的首要任務就是明確個人信息保護的范圍，首先就是對個人信息的法律屬性的界定，如前文所述，個人信息屬于人格權還是財產權一直存在很大的爭議，但是個人認為個人信息的屬性更傾向于人格權的屬性，當然這并不排斥個人信息所具有的財產性特征，即個人信息的商業(yè)價值，尤其是在大數(shù)據(jù)時代的背景下，個人信息的財產性利益更是十分的凸顯。因此，對于個人信息的保護可以采取雙重保護的措施，也就是公法與私法相結合的方式，首先，在公法領域需要建立嚴格的監(jiān)督和管理制度，加強政府對相關行為的管控，同時在公法上建立相應的懲罰機制和侵權救濟的途徑。其次，在私法領域也需要增強對個人信息的保護，比如在《民法典》中對個人信息制度的規(guī)定就是一個體現(xiàn)，并且還可以通過單行立法的方式加強私法保護，近年來《個人信息保護法》的出臺就是對個人信息保護在私法領域內的規(guī)定和加強。

（二）完善“知情同意原則”

知情同意原則作為規(guī)定在《民法典》中是一個重要原則，是個人信息保護的一個重要標準，對于知情同意原則應該進行進一步完善，首先就是明確知情層面，為保障信息主體的知情，需要加強信息控制者告知義務的履行，并明確信息控制者的告知義務的范圍等，做到確實地保障信息主體的知情。其次對于同意，需要充分考慮信息主體的利益，對于以默示方式同意的認定要采取謹慎的態(tài)度，同時對于公共利益和國家利益所涉及的例外情況，需要進行詳細的規(guī)定，防止出現(xiàn)被濫用和架空的情況。

（三）做好利益平衡

個人信息的保護牽涉到很多利益之間的平衡問題，盡管保護個人信息是保護個人尊嚴和維護個人合法利益的需要，但是個人信息還牽涉到國家利益和公共利益的問題，例如在疫情這種突發(fā)公共衛(wèi)生事件中，不僅要考慮到個人信息利益的保護，同時還需要考量社會公共利益的需求，做到公共利益與個人利益的平衡。另外，在大數(shù)據(jù)技術和互聯(lián)網(wǎng)的加持下，個人信息開始顯現(xiàn)巨大的商業(yè)價值，所以在保護個人信息的同時也要注意不可以過度保護，避免阻礙個人信息經濟價值的發(fā)揮。

五、結語

隨著時代背景和科學技術的不斷發(fā)展，個人信息的相關問題和信息主體的權利意識等問題日益復雜，《民法典》中對個人信息保護的規(guī)定是民事法律領域的一大進步，但還是存在不少的不足，對于個人信息保護的規(guī)定過于廣泛和模糊，所以對于個人信息保護制度的建設還需要進一步地加強。

Research on Personal Information Protection System from the Perspective of Civil Code

Cheng Shuna

Shanghai University Of Political Science and Law， Shanghai

Abstract： With the advent of the Internet era， the value of personal information has been further enriched and amplified， which also makes the problem of personal information protection increasingly serious. The lag of law， the weak awareness of citizens rights， the negative effects of rapid development of science and technology and other problems are threatening the security of personal information. In recent years， our country has been strengthening the protection of personal information， the “Civil Code” of personality rights to personal information protection provisions is the embodiment of this idea. The protection of personal information by the Code of Personality Rights changes the decentralized and non-uniform situation of personal information protection， and makes the protection of personal information formally included in the field of civil legal norms. Such a practice timely responds to hot social issues， greatly improves the uniformity and authority of personal information protection， and is conducive to the stable development of the information society and the guarantee of personal information security. The personal information system will be discussed from the following aspects： the first part is the definition of the personal information protection system， including the connotation and characteristics of the personal information system; the second part is the determination of the legal attributes of personal information in the field of civil law. The third part is the discussion of the principle of “informed consent”， an important principle of personal information protection in the Civil Code. The fourth part is the analysis of the experience of personal information protection in other countries. The last part is to improve the personal information protection system of our country.

Key words： Civil legal norms; Personal information; Personal information protection; Principle of informed consent