《民法典》视角下个人信息权的构建

周云云

（安徽财经大学 法学院，安徽 蚌埠 233030）

一、问题的提出

信息技术的飞速发展，令信息的应用和传播也发生变化，从纸质资料到数据资料库，数据查找越来越快捷。 当信息技术与个人信息相结合，个人信息的处理和传递方式实现了一次质的变化，个人信息被大量规模化、专业化处理。 个人信息每时每刻都在被收集、流通和使用，“信息化”趋势与日俱增，给个人和社会的方方面面带来了极大影响。 然而，这些影响中，有相当一部分是负面的，个人信息的保护已经成为信息时代最为突出的问题。 目前，我国《民法典》已正式颁布，《民法典》作为社会的基本法，致力于全方位保护人民的民事权利，反映人民意愿。 但需注意的是，立法机关将个人信息保护和隐私权共同置入民法典人格权编之下，这其实也是承认了个人信息与隐私之间的差别。 然而，《民法典》并没有对它们进行明显区分，它把隐私界定义为不愿为他人知晓的私密空间、私密活动和私密信息，但其中的私密信息并不能完全脱离个人信息范畴，势必会造成边界模糊，极易形成法律的灰色地带，大大增加了个人信息安全风险，公民的权利便也无法得到保障。个人信息保护的终极目标在于保护个人权利。因此，不妨尝试将个人信息确权入典，实现与隐私权真正分离，以适应信息时代的法治建设，真正发挥出《民法典》的功能。

二、个人信息民事确权的理论基础

（一）个人信息权的内涵分析

人只要在世界上生存和活动，就会产生与人相关的各种信息， 个人信息是个人与社会连接的纽带。随着信息技术的出现、发展和广泛应用，个人信息被越来越多的人知晓甚至是滥用，个人信息的保护问题逐渐成为一个重大的社会问题。而解决个人信息保护问题的最佳途径是对个人信息进行法律定义，何为法律中的个人信息，各国在立法和保护实践中还尚未形成统一认识。 比如：日本在其制定的《个人信息保护法》中将存储于数据库的个人信息视为个人数据。欧盟成员国也是普遍采用个人数据的定义作为个人信息的法律概念， 在2018 年生效的《欧盟一般数据保护条例》（GDPR）中更是明确规定个人数据是通过识别得出的自然人的相关信息。而我国台湾地区的《个人资料保护法》则将个人信息法律概念解释成为一切具有识别性的个人资料。

纵观个人信息定义的发展过程，从具有识别性的个人身份与隐私的电子信息到可识别的特定自然人的计算机数据，再到记载于载体之上的、可识别出自然人身份的各种信息，个人信息的涵盖范围正逐步清晰化。 我国2020 年5 月通过的《民法典》更进一步拓宽了个人信息的范围，将个人信息明确规定为以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息，包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等①。鉴于上述，可以发现个人信息的最突出特征在于识别性。 所谓识别性，就是能通过特定信息追踪到特定人的特性，包括直接识别和间接识别。 个人信息本质上就是记录在载体之上具有识别性的信息。

将“个人信息保护”入典体现了立法者对个人信息问题的高度重视，但需要注意的是，个人信息保护不仅是对个人信息处理设定规则， 进行限制，更在于赋予个人以信息权利，其保护的核心在于个人权利。 而一项权利在结构上可以分为权利主体、权利客体和权利内容。权利主体是享有权利的法律意义上的人； 权利客体是权利内容所指向的对象；权利内容则是特定行为，是权利人在法律授权的范围内，以自己或他人的作为和不作为的方式实现权利的过程［1］（P26）。个人信息权的权利主体是凭借信息容易直接或者间接识别出的自然人， 亦称信息主体；个人信息权的权利客体则是可以被信息主体控制且与其相分离的个人信息；而个人信息权的权利内容则涵盖了各项具体权能。

欧盟通过《欧盟指令》和GDPR 明确个人信息权概念并对其内容进行补充和完善， 规定了获取权、更正权、删除权、可携带权和拒绝权等。 我国港澳台地区涉及到个人信息保护的法律条例也规定了信息主体享有告知权、查阅权、更正权、删除权等。 究竟何为个人信息权，个人信息权内容包括哪些，我国立法还未对其明确规定，学界也对此有诸多不同理解。 齐爱民教授在《个人信息保护法（草案）》中完善了个人信息权的权利内容，指出个人信息权具体包含决定权、保密权、查询权、更正权、封锁权、删除权、可携权及被遗忘权等八项内容。洪梅林教授则认为个人信息权的内容由支配权和诉讼权两部分组成，支配权即为个人自由支配控制个人信息并排除他人非法侵害， 可体现为信息主体查询、更正、保密、封存和删除个人信息等；诉讼权则体现为信息主体在个人信息遭受不法侵害时请求司法机关提供救济［2］（P161-162）。 因此，个人信息权可以说是信息主体依法对其个人信息处理所享有的支配、控制并排除他人非法侵害的权利。

（二）个人信息权的属性定位

对于自然人对个人信息享有的是民事权利还是民事利益学术界一直都存在争议。意见分歧的一个最重要原因是对我国《民法总则》第111 条规定内容的不同解读。 一些学者认为，该条规定实际上是承认了个人信息权，可以认为自然人对个人信息享有民事权利。 而持有反对意见的学者则认为，第111 条并未明确使用“个人信息权”的概念，可想而知，立法者并没有确立个人信息权，自然人所享有的只是受法律保护的民事利益。两种观点看似都有合理之处，对个人信息之上的利益构成还需要进一步具体分析，不能一刀切。 权益本义就是指权利主体受法律确认和保护的权利和利益，利益是权利的本质，它们应是协调、平衡和统一的，而不是非要选择其一。 虽然立法者没有确立“个人信息权”，但不代表不重要。 相反，权利实际上是实现利益的力量,也就是说，自然人对个人信息享有的是通过民事权利实现的民事利益。 个人信息承载的有两部分利益，一种是人格利益，一种是财产利益。识别出个人身份的各种信息都与个人生存和发展紧密相关，如果被侵害，会对自然人的人格利益造成损害。 而就财产利益来说， 信息处理技术使个人信息成为资源，不断地创造出经济价值。 信息主体应该有权享有个人信息处理创造的经济价值， 原因有三方面，其一是可以最大程度上保证个人有效控制其信息的处理，从而保护在信息处理中个人信息承载的人格利益；其二是个人信息的价值最终体现于信息与信息主体之间的关系， 而不是与人无关的各种信息，信息主体享有其经济价值，则可以更好地保护个人信息； 其三则是有利于信息的开发和利用，个人如果不能享有其信息的财产利益，极有可能会失去公开个人信息的积极性，甚至会阻止其信息流通，这样势必会造成信息短缺。 信息流通不畅是对信息经济和信息行业生存和发展的致命性冲击。

个人信息权是随着信息时代的出现而产生的一种新型权利，厘清其法律属性对于构建完整有序的个人信息保护的法律体系至关重要。当前学界对个人信息权的权属理解主要分为两种学说：即个人信息人格权说和个人信息财产权说。主张个人信息权具有人格权属性的理由在于个人信息体现的人格利益，包括人格尊严、人格自由、人格平等，属于人格权范畴；而支持个人信息权具有财产权属性的原因更多是因为个人信息的处理和使用体现了财产价值。 值得关注的一点是，虽然《民法典》将个人信息的保护归于人格权编，但不代表个人信息所附着的两部分利益是不可以并存、 必须二选一的关系。 实际上，人格权法和财产权法对于个人信息保护无论是在侧重点上还是方法上都各有不同，两者之间难以完全替代。 由此可知，将个人信息权的属性定性为人格权属性和财产权属性是可取的，符合《民法典》的基本原则，是对自然人权利诉求的正当性回应［3］（P233）。

（三）个人信息赋权的可行性

首先，与个人信息保护最相关的现行法律是隐私权法，《民法典》也将二者置于一处。 个人信息保护与隐私权之间具有高度关联性，西方国家对个人信息的保护也常常是根据隐私权的保护模式进行，但个人信息并不能完全等同于个人隐私。 我国《民法总则》 第110 条和第111 条、《民法典人格权编》（以下简称“《人格权编》”）第六章中均定义了隐私权和个人信息，承认二者是独立的法律概念。 张新宝教授指出：“隐私权是自然人享有的私人生活安宁与私人信息秘密依法受到保护，不被他人非法侵扰、知悉、搜集、利用和公开的一种人格权，而且权利主体对他人在何种程度上可以介入自己的私生活，对自己是否向他人公开隐私以及公开的范围和程度等具有决定权”［4］（P12）。 隐私权的本质特征是隐秘性，属于未向社会公开的范畴。不可否认的是，个人信息与隐私的范围有重合部分。但需要清楚地认识到，个人信息部分处于保密状态，部分则处于公开状态，对隐私之外的个人信息如何传播，只能靠个人采取保密措施，或他人的道德感约束。此外，隐私权体现的是人格利益， 是一种被动防御性权利；而个人信息负有人格和财产双重利益，个人信息的权利则是一种主动控制性权利。随着我国信息化处理技术和大数据技术的发展， 个人信息的收集、处理等都呈现出规模化的趋势，个人信息安全风险更是日益加剧，构建独立的个人信息权，以其为核心建立完整的个人信息保护制度则更为稳妥。

其次，《民法典》最关键的功能在于保障公民权利，提供救济。但权利与救济从来都不是分离开的，我国作为大陆法系国家，一向遵守大陆法的传统即“无权利，也就无侵权，无救济”。而我国《民法典》对个人信息权益的侵权救济并没有专门规定，大多是参考隐私权保护制度中的救济措施，与个人信息权益上的适配性并不高。 所以，确立个人信息权就显得尤为必要。

再次，基于对团藤重光教授的法秩序统一理论即法秩序作为一个整体必须是无矛盾地统一的事物的理解，刑法与民法应是一体化的，民法是前置法，它在前拦截违法行为，刑法是保障法，它在后惩治未被成功拦截的犯罪行为［5］。 我国对个人信息的保护，是从刑法领域起步的，我国刑法确立了侵犯公民个人信息的罪名，但在民法中却未确立个人信息的相关权利。 民法和刑法应该并举，预防救济和惩罚犯罪同样重要。 由此可以看出，个人信息确权入《民法典》是没有理论障碍的。

三、个人信息权构建的思考路径

通过个人信息确权的理论分析， 构建个人信息权要考虑两个问题： 权利构成与权利救济。 基于此可以从两条路径思考： 一是从制度层面上，细化规定个人信息权的主体方面、 客体方面和内容方面；二是从司法层面上，强化对个人信息侵权的救济。

（一）明确规定个人信息权和隐私权

首先，对于个人信息保护究竟是以法益保护方式还是以权利保护方式，杨立新教授在《个人信息：法益抑或民事权利——对＜民法总则＞第111 条规定的“个人信息”之解读》一文中给出了合理回答，他认为：“从法律保护的客体即个人信息的独立性、社会实践保护个人信息的必要性和从比较法的基础上进行分析得出要真正实现个人信息的完善保护，必须将个人信息民事确权”［6］。 权利是保障个人享有利益的法律之力［7］（P90-91）。 换言之，信息主体所享有的信息之上的各种利益都应当通过法律规定的形式即个人信息权加以保护。 国际上，很多国家已经在尝试将个人信息确立为一项独立的民事权利，而我国《民法总则》和《民法典》虽然将个人信息保护纳入其中，但却没有直接采用“个人信息权”的法律概念，更没有对其法律地位、权利性质和具体内容作出明确规定，这对于个人信息保护法律体系框架的建立是一种障碍。而且对于个人信息权究竟是规定在《民法典》中的《人格权编》还是《侵权责任编》，国内学者意见不一，但立法机关倾向于前者，因为将个人信息的保护作为人格权立法的重要内容，对于奠定大数据时代的个人隐私权保护的法律基础和划定个人信息合法商业化处理的法律边界更为有利。 然而，并不能以“个人信息保护”囊括所有， 应当着重深研个人信息权构成的基本理论，增补个人信息权的要件内容。 在主体方面，对个人信息主体、个人信息处理主体的定义和范围需作出详细地解释和划分，并明确各自的权利与义务。 明确信息处理主体收集、处理信息的法律规则，承认“同意”规则是个人信息处理的基本前提，明确个人“同意”是指“积极同意”即一切个人信息处理都必须事先征得信息主体的同意，还是“消极同意”即信息主体反对一切个人信息处理， 但不反对即视为同意。规定信息主体“撤回同意”与“表达同意”同等便利。并且在处理信息过程中要注意两点，一点是“处理”概念中应当包含自动化处理。信息的价值和它可能造成的损害，不仅与信息内容相关，还与其处理方法和表现形式相关。 齐爱民教授起草的《中华人民共和国个人信息保护法学者建议稿》 中也建议对“处理”解释为“以自动化方式或人工方式对个人信息进行的操作，包括输入、存储、编辑、检索、变更、补充、删除、传送、封锁以及其他操作”［8］。 另一点是国家机关信息处理主体在进行信息处理时，需要根据行为的性质而非行为人的性质来决定是否规范及如何规范采取更强的规制程度。因为国家机关掌握的信息不仅数量多， 而且内容上往往更重大，一旦错误处理，造成的危害也更大；在客体方面上，要明确个人信息的法律概念，突出“识别性”特征［9］。以“识别”来调整个人信息的范围，“识别”可以是直接的，即仅从信息本身即联系到具体个人；也可以是间接的，即根据信息，再辅以其他知识，才可将信息联系到具体个人；在内容方面上，借鉴域外立法模式， 以法定主义的方式为个人信息赋予决定权、知情权、保密权、删除权、更正权、可携权和被遗忘权等各项具体权能，并结合现实需要对权能内容进行必要扩张或限缩，使之更好地与其他部门法进行衔接，融入到整体性的法律体系中。

其次，《人格权编》应当明显区分个人信息权和隐私权，针对它们的特点和不同提供保护方式。《人格权编》 中明确规定了隐私范围包括私密空间、私密活动和私密信息，但此种定义所指甚广，或多或少都会将个人信息权益的相关内容也包括其中，这不利于建立独立的个人信息权益体系［10］。

（二）健全个人信息侵权民事诉讼机制

将个人信息权仅规定在《人格权编》是远远不够的，它是权利法，主要是对个人信息权作出具体规定。 但当发生侵害个人信息权的行为时，则需要侵权者承担侵权责任，允许被侵权者提起民事诉讼寻求救济。 对侵权的成立、责任承担和救济的内容更适合规定在具有救济法性质的《侵权责任编》。但由于信息社会的高度复杂性致使行为人过错的证明和侵权损失的估算等存在一定困难，个人信息侵权民事诉讼的难度往往会高于一般民事诉讼。要想信息主体真正得到救济，侵权者真正受到威慑和惩罚，唯有通过适当的制度安排来解决。

1.优化举证责任分配

民事诉讼法中对举证责任的分配主要有举证责任转移和举证责任倒置两种方式。 举证责任转移，即“谁主张，谁举证”，是举证双方不断互相质证，责任不断被转移，直到问题被证明为止的一种动态过程，它被广泛应用于民事证据制度中。 而举证责任倒置是指在特殊案件中，把原告承担的举证责任倒置给被告，被告如不能举证，就应承担举证不能的败诉责任。

在个人信息侵权行为中， 相较于侵权者而言，被侵权人在信息资源拥有量、信息技术水平和经济能力方面都处于劣势地位。若一味地适用举证责任转移制度，则被侵权人几乎很难完成举证，更不用说获得救济了。举证责任的分配不应当成为案件事实争议解决的阻碍，这有违程序正义。 而通过优化举证责任的分配， 在个人信息侵权诉讼纠纷中，适时、适当地援引举证责任倒置制度，倒也不失为一种好的解决途径，也更能体现司法公平与公正。 侵权者承担举证责任，只要能够证明自身的行为与损害结果之间不存在因果关系或不存在主观过错即可免责，反之，则为举证不能，需承担侵权责任。

综上分析可得，个人信息权的侵权责任承担上可以适用过错推定原则，信息处理主体如果无法证明没有对信息主体的个人信息进行非法收集和处理，则信息主体获得救济。 信息处理主体要想免于承担责任，就必须证明自己主观上无过错，即其信息收集和处理行为具有法律依据。 但需要注意的是，对国家机关信息处理主体的侵权行为应当采取无过错责任原则，与非国家机关信息处理主体区分开来。

2.保障充分赔偿

个人信息权受侵害时，根据其具有的人格和财产双重属性的特点，可同时或分别主张人格权或财产权的救济。可吸收和采用我国《侵权责任法》中规定的救济方式，如：停止侵害、消除影响、恢复名誉、赔偿损失、赔礼道歉等。 赔偿损失方面按照内容可分为财产损害赔偿和精神损害赔偿。财产损害赔偿范围根据信息主体的实际损失和确定的可预期收益的损失判定。 甚至可以在特殊情况或特殊领域中，合理引入惩罚性赔偿机制,明确规定惩罚性赔偿标准。 例如：侵权者具有故意、严重疏忽和明显不考虑他人的安全和重大过失的行为时， 亦或非法收集、处理未成年人信息等，都应当承担惩罚性赔偿［11］。

我国司法实践中早已出现对个人信息处理受害者给予精神损害赔偿的案件，比如被人冒用身份和顶替上学的“齐玉苓案”和“罗彩霞案”。 然而，受害人获得精神损害赔偿的数额都比较小，难以弥补实际损失。 事实上，有许多受害者几乎都是因为难以获得恰当的赔偿而选择忍气吞声，被迫放任自身的权利被侵害。

民事诉讼制度保障个人信息权的实现关键在于保障充分赔偿，要充分认识到个人信息侵权行为可能给当事人造成的经济和精神损失，要让受害者不再因为维权艰难而裹足不前。

3.确定法定赔偿额

在国外立法经验中，对由于个人信息处理不当造成信息主体经济损失的，尤其是难以计算和证明的，可以规定法定最低和最高赔偿额。这对我国《侵权责任编》 中赔偿数额标准的制定起到了引导作用，可以事先由法律规定赔偿最低额，受害人可以按照自己的意愿在最低赔偿额和实际损失之间选择。 但也需要加上最高额限制，否则没有上限的赔偿额很可能抑制个人信息处理技术的使用和推广，进而影响到我国信息经济的发展。 建议《民法典侵权责任编》可以适当结合《侵权责任法》第20 条有关人身权益被侵犯后的救济规定，以及《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》 第18 条列举的财产损失的涵盖范围及最高赔偿额的认定标准［12］，进一步补充和完善个人信息侵权人所承担的法定赔偿数额的内容。

注 释：

①参见《中华人民共和国民法典》第1 034 条规定。