導語：個人信息保護法律機制及啟示一文來源于網友上傳，不代表本站觀點，若需要原創文章可咨詢客服老師，歡迎參考。

摘要：隨著信息技術的發展，個人信息的保護越來越受到學界和實務界的關注。通過對我國現行法律制度的研究，不難發現我國民法側重于對個人信息人身屬性的保護，而財產屬性保護不足，并存在著法律供給不足，保護措施不具體，管理責任不明確，實際操作困難等情況。通過對近年來我國現行法律制度和域外法律制度研究，分析得出我國在此方面的立法應與國際一般規則相銜接，完善立法體系，探索建立個人信息保護領域的公益訴訟制度等措施，推動個人信息保護方面法律制度的完善。

關鍵詞：個人信息；法律機制；人格權益

根據相關機構的統計截至2020年9月，我國的網民規模已達到9.4×108人，互聯網普及率達67%。信息流的交互越發頻繁，對信息處理的深度和廣度也達到了前所未有的程度。這些新技術不斷刷新和重塑人們的生活習慣和行為方式，對數據的保護也由傳統的個人隱私或商業秘密上升到國家戰略的高度。在這樣的時代背景下，如何更加有效的保護個人信息，以及更加合理使用個人信息成為了當前無法回避又必須解答的問題。《中華人民共和國民法典》將個人信息的保護納入人格權編中，將進一步優化個人信息的保護機制。

1我國個人信息的概念及特征

1.1個人信息的概念

目前，我國一直沒有關于個人信息方面的專門立法，分散在諸多部門法之中，直到《民法典》出臺，對個人信息的內涵做了創新性的擴展，對什么是個人信息的范圍進行了一定程度的擴大解釋，甚至破除了過去將個人信息和個人身份識別聯系在一起的定式思維。其中就將《網絡安全法》中關于個人信息的定義刪去了“身份”兩個字，改為特定自然人，這一細小變化反映的是立法者對于個人信息含義的進一步認識，個人信息不再像過去僅是身份信息的代名詞，而是擴大到了人的健康信息和行蹤信息等。

1.2個人信息的特征

（1）個人信息范圍的廣泛性。個人信息的范圍不再是限定于直接的身份信息，包括他的生物信息、電子信息和行蹤信息。個人信息雖然和隱私權放在了一章，但是筆者認為個人信息的范圍要大于隱私權的范圍，有許多的個人信息并不能歸屬于隱私權的范疇。（2）個人信息具有人身和財產的雙重屬性。個人信息存在的基礎在于能夠識別或者鎖定特定的自然人。信息社會，個人信息數據就是重要的資源，大數據、云計算、人工智能等技術都依賴于海量的數據資源，能夠為社會、企業和個人創造巨大的經濟價值。（3）個人信息具有明確的指向性。個人信息是以自然人為基礎而客觀存在的，無明確指向的信息就不屬于個人信息。碎片化的信息通過加工后所形成的具有明確指向特定自然人的信息，這個新形成的信息是個人信息。

2當前個人信息保護的現狀及困境

隨著移動互聯網經濟的飛速發展，收集、獲取個人信息變得更加便利，但為個人信息的泄露埋下了重大隱患。2018年中國消費者協會針對近年來社會大眾所反映的不少互聯網公司存在泄露個人信息的情況進行社會調查，形成了《App個人信息泄露情況調查報告》（以下簡稱《報告》）。在《報告》中披露，遭到個人信息泄露的人數占受調查人數的85.2%。由于個人信息的大量泄露繼而引發了大量的電信詐騙、推銷電話、垃圾郵件、騷擾信息等，甚至還出現了大量個人賬號和密碼被盜的問題。據該《報告》統計，在個人信息被泄露后，約86.5%的受訪者曾收到推銷電話或短信的騷擾，約75.0%的受訪者接到詐騙電話，約63.4%的受訪者收到垃圾郵件。侵害個人信息的主要類型有這4類：一是未經個人信息主體或其監護人同意對其個人信息進行收集、處理。二是信息處理者收集用戶個人信息超過業務的正常需求范圍，或者違規擴大信息的收集范圍，從而增加用戶信息泄露的風險。三是存在霸王條款，主要體現在不少商家雖以格式條款的方式告知用戶信息收集的范圍和使用范圍。四是對用戶的信息數據疏于管理，致使用戶個人信息遭受侵害，尤其是私密信息造成泄漏，使用戶的人格利益遭到侵害。由此，我國在這一領域保護形勢不容樂觀，造成這一問題的原因筆者認為主要有以下幾點：

2.1法律供給不足，立法體系不完善

當前，我國在個人信息保護領域還未頒布系統性法律規范，對其保護仍分散在諸多部門法或者行政規章之中，保護的側重點又各有不同，沒有對個人信息形成體系化的保護合力。在《民法典》中雖然對個人信息保護出臺了相應的法律條款，但總的來看有這么幾點問題：一是總體而言還是一種原則性規定，需要以此為方向制定具體的司法解釋或者下位法作為實際操作層面的法律規范。二是將個人信息保護與隱私權放在了一章，從這一點來看保護的重點落在了個人信息安全和個人隱私信息兩個方面，同時更多的個人信息是在當事人意愿范圍內的對信息的積極利用和交換的權能。四是沒有將個人信息的保護或者個人敏感信息的保護上升為權利，而是將其設定為一種權益。相較于權利來說，法律對于權益的保護程度是要加以限制。

2.2公民法律保護意識淡薄

在2017年，中國青年政治學院互聯網法治研究中心針對我國個人信息安全以及個人隱私的保護做了專項調研報告，在其的《中國個人信息安全和隱私保護報告》中就提到，有高達1/3的用戶同意放棄部分信息安全限制而換取網絡中的便捷服務。在面對個人信息存在泄漏風險或是已經泄漏缺乏相應的保護意識或保護手段。在2018年《App個人信息泄露情況調查報告》中，就有近三分之一的信息遭泄漏的當事人選擇了“自認倒霉”的處理方式。究其原因，一方面在于不少當事人缺乏相應的法律意識和手段，另一方面也反映出尋求法律維權路徑的困難。

2.3監管困難，企業違法成本低

當前，我國的《個人信息保護法》還處于起草階段，缺乏對信息保護主體責任的劃分，在監管上仍處于“九龍治水”，如市場監督管理部門和工信部門負責對個人信息實施相應的管理，但是缺乏統一的上位法和管理協調機制，使得管理缺位。其次，個人信息的保護涉及到的涉事主體龐雜，如果將管理的責任全推給政府會極大擠壓寶貴的行政資源，尤其是與當前政府機構進行簡政放權的改革方針背道而馳。再次，涉事企業由于受到網絡侵權責任避風港規則的保護，使得先關企業發生網絡侵權問題時有較大的規避責任的操作空間。

3我國現行法律對個人信息的保護機制

當前我國將個人信息在民事法律關系中的保護置于人格權的保護之下，其考慮筆者認為有這么幾點：一是個人信息的內容往往與各種人格權相互重疊交叉，個人信息本身也是基于人格權利繼而派生出的人身權益，在保護層面可以參照人格權保護的相關辦法，易于操作。二是個人信息這種權益雖具有人身和財產雙重屬性，但是立法者更加偏向于對人身屬性的保護，將人身權益或人格權益置于財產權益之上。三是如果對個人信息權益做出過多的保護，將有可能限制其他社會主體的相關權益，在立法上就必須在保護個體和促進發展中找尋一個平衡點。

3.1保護的優先性問題

根據《民法典》第1034條之規定，當個人信息屬于私密信息時首先適用于隱私權的保護范疇，然后在適用有關個人信息的保護。個人信息包括的范圍很廣，當受到侵害時，同其他人格權相競合時，在法律適用上首先適用對權利的保障制度，這樣可以更大程度上保護當事人合法利益。如果是被認定為個人的私密信息，在處理個人信息的免責事由中，當事人或其法定人的明示“同意”就為不可或缺的條件。

3.2訴前救濟方式

個人信息尤其是私密信息一旦泄露，將會給權利人帶來不可估量的損害，如果只能通過訴訟的方式進行，可能損害的后果已經造成并難以挽回，所以《民法典》第997條規定了保護人格權的禁令制度。權利人使用禁令的條件就是其有證據證明行為人將要或正在進行侵犯其人格權的違法行為，就可以向法院申請禁令，要求停止其侵害行為。在適用禁令的證明標準方面，王澤鑒教授認為對侵害名譽、隱私的權利而言，需要與言論自由等法益的保護相互平衡，因此認定時應該更加審慎。王利明教授則認為如果是侵害行為正在進行，權利人還有可能證明侵害行為，但是如果還未實施，則難以要求權利人提出侵權證明，此時就不宜要求權利人證明行為人侵權。筆者認為對于采取禁令的救濟方式是一種對可能造成權利損害的預防制度，在證明中不應對權利人太過苛責，證明應該是一種初步的證明，是能夠被一般社會認知水平的人所認為具有一定證明力的材料。

3.3事中救濟方式

如果侵權發生在互聯網上，當互聯用戶進行侵權時，權利人有權通知互聯網服務提供者采取必要的方式阻止侵權行為，如果沒有積極采取必要措施導致損失擴大，互聯網服務提供者將對擴大的部分承擔連帶責任。互聯網侵權通知規則幫助權利人中止侵權行為的繼續，減少侵權帶來的損失有著極其重要的現實意義。

3.4明確了公權力機關及其工作人員需要承擔對個人信息的保密義務

我國信息數據資源80%以上掌握在各級政府部門手里，公權力機關及其工作人員如不承擔相應管理責任，將加大信息泄露的風險。在《民法典》第1039條，不僅規定了國家機關還規定了法定具有行政管理職能的機構，將其納入到法律規制當中。同時也明確了不只是個人隱私需要保密，一般的個人信息同樣需要保密，未履行或是未適當履行將要承擔法律責任。目前，如果行政部門及其工作人員違法泄露了個人信息，應承擔什么樣的責任并沒有明確規定，而且學界也有不同的看法，第一種觀點是這種侵權行為是在履行國家職責時發生的，可以適用國家賠償的有關規定。第二種觀點認為此保密義務規定在《民法典》中，違背此種法定義務應當承擔侵權責任。第三種觀點是應當對國家機關和非國家機關在注意義務上是有所區別的，國家機關應承擔更重的注意義務。

4信息時代對個人信息保護的啟示

當前，我國將個人信息納入人格權益進行保護，體系化保護的法律制度并未建立起來。加強相關法律制度的研究和完善是十分必要的，要結合我國發展實際，加強在這一領域內的法律供給。通過對國內現行法律保護制度，結合世界發達經濟體的相關法規及其經驗，筆者關于個人信息保護有以下幾點啟發與大家分享。

4.1加強個人信息保護的立法體系

當今，各國都在加快本國信息化發展步伐，個人信息的法律保護應該抓緊立法步伐，對規范信息產業的健康發展、構建網絡倫理、保障人民群眾的合法權益具有重大意義。同時，要建立個人信息的統一的歸口管理機構，負責對個人信息領域的執法監管，不能放任企業混亂的信息管理方式，對違規的企業要進行必要的行政處罰，涉及到犯罪的要嚴格追究其刑事責任，做到“事有人管，錯有人糾”。

4.2構建個人信息分級保護體系

在個人信息分級保護方面，歐盟建立了較為完善的制度，《通用數據保護條例》（GDPR）就將個人信息分為一般個人數據和個人敏感數據，并且進行了詳細深入的規定，在采取數據授權主體同意制度下，對個人敏感數據的授權必須要經過權利人明示的同意。我國應當盡快建立自己的個人信息分級保護制度，實現更為精準的法律保障。

4.3在政府機構和企業建立數據保護官制度

數據保護官或數據保護專員制度最早出現在歐洲，早在2001年，歐共體就提出設置數據保護官。歐盟的《通用數據保護條例》（GDPR）進一步對數據保護官制度加以完善。數據保護官制度是指在政府或者企業內部設置或由第三方派駐從事對信息數據保護的專業人士。數據保護官或數據保護專員因其具備個人數據保護方面的相關專業知識，且相對獨立于企業或行政機構的業務部門，對用戶的數據進行日常監控，定期或不定期對數據安全狀況進行評估調查，對存在的數據安全問題向管理層報告并提出相關整改建議。設置專門的數據保護官有助于政府機構或者企業快速建立健全的數據保護制度，對完善企業在個人信息數據的安全處理方面有著積極的作用，也是我國相關企業進入歐盟市場所必需的制度設定。

4.4建立隱私影響評估制度

美國、英國、加拿大和歐盟等發達國或組織都相繼建立起本國的隱私影響評估制度。這一制度設計目的是為防范信息處理主體在處理個人信息時，使數據主體的權利或自由處于高風險之中。加拿大政府認為隱私風險評估是一種識別、評估和降低隱私風險的過程。有些個人信息一旦發生泄漏，將會給信息主體發生不可估量的損失，為了降低數據安全隱患，有必要在處理前進行預先評估。

4.5建立被遺忘權制度

被遺忘權制度旨在信息權利人具有要求信息控制者或者處理者刪除權利人相關信息的權利，主要基于個人信息自絕的理論基礎之上，有權做出改變個人信息授權的決定，從而達到維護個人權利不受侵犯的目的。被遺忘權相當于“可撤回”的權利，是一種事后補救的權利，尤其對未成年人權利的保障上是必要的。但是對被遺忘權也要進行一定限制，避免造成權利人對權力的濫用。

參考文獻：

[1]王澤鑒.人格權的具體化及其保護范圍·隱私權篇(中)[J].比較法研究,2009(01):23.

[2]趙春蘭.民法典背景下網絡侵害人格權的救濟機制[J].浙江萬里學院學報,2021(01):26.

[3]王利明.論人格請求權與侵權損害賠償請求權的分離[J].中國法學,2019(01):65.

[4]于浩.我國個人數據的法律規制—域外經驗及其借鑒[J].法商研究,2020(06):89.

作者：趙琰 單位：天津大學