個人信息保護的民法定位與路徑選擇

林傳琳 宋宗宇

(重慶大學(xué) 法學(xué)院，重慶 400044)

提要： 個人信息保護民事規(guī)則存在一定的爭議與空白，引發(fā)了解釋的必要。從性質(zhì)上看，個人信息屬于人格利益，個人在信息處理時受到的民法保護應(yīng)被理解為權(quán)益而非權(quán)利。個人信息保護規(guī)則的功能既要立足于數(shù)字經(jīng)濟之利益平衡，又要對大數(shù)據(jù)時代隱私權(quán)的缺陷形成彌補，還需要與個人信息保護法順利銜接聯(lián)動。借鑒比較法的經(jīng)驗，具體規(guī)范的模式更加適合當(dāng)下國情。個人信息民法權(quán)益的實現(xiàn)主要依賴兩條路徑——人格權(quán)規(guī)則與侵權(quán)責(zé)任規(guī)則。在適用人格權(quán)規(guī)則時應(yīng)注意請求權(quán)的相對性，避免泛化人格權(quán)概念并具體化個人信息人格權(quán)益的規(guī)范模式，即只能針對特定主體、權(quán)益范疇，以《民法典》的明文規(guī)定為限等等。私密信息雖優(yōu)先適用隱私權(quán)規(guī)則，規(guī)范模式更加寬泛，但其在本質(zhì)上仍屬于個人信息而非隱私權(quán)。由于侵權(quán)責(zé)任編缺乏個人信息保護的相關(guān)規(guī)定，在適用時需要與個人信息保護法相結(jié)合，統(tǒng)一主體的劃分，完善過錯歸責(zé)原則，設(shè)立最低限的賠償標準。

《民法典》在人格權(quán)編第六章將隱私權(quán)與個人信息保護規(guī)則并列，且建構(gòu)了個人信息保護民法規(guī)范的體系框架。不過，個人信息的性質(zhì)與權(quán)益邊界尚存爭議，立法者也選擇了回避。權(quán)益的保護路徑語焉不詳，無法充分發(fā)揮《民法典》對個人信息保護的制度功能，“人臉識別第一案”的民事裁判即是例證①。在個人信息保護法出臺在即的背景下②，立足于權(quán)利屬性分析，從利益衡量的角度深入分析個人信息保護規(guī)則的法律適用具有重要意義。

一、“個人信息保護”的民法性質(zhì)

個人信息保護的民法定性絕不僅是理論層面的爭鳴，它直接決定了個人信息保護規(guī)則的整體位階，也影響著制度的功能發(fā)揮，關(guān)乎個人信息保護條款能否妥善理解與適用，可謂至關(guān)重要[1]。那么，個人信息保護究竟屬于哪種民事權(quán)利體系？近年來的研究大致可劃分為兩種觀點：“權(quán)利說”與“法益說”。

支持權(quán)利說的學(xué)者提出了多種構(gòu)想，例如一般人格權(quán)說、隱私信息權(quán)說[2]、新型權(quán)利說[3]等等，較為主流的觀點為具體人格權(quán)說。具體人格權(quán)說認為《民法典》中的相關(guān)規(guī)定是個人權(quán)利，而不是法律權(quán)益，屬于具體人格權(quán)。為此，有學(xué)者從法益之獨立性的角度進行論證，提出了個人身份信息作為法律客體具有獨立性，并且在實踐中也具有必要性[4]。有學(xué)者認為個人信息權(quán)具有獨特的內(nèi)涵，權(quán)利屬性、內(nèi)容、實現(xiàn)方式無法被其他權(quán)利取代[5]。另有學(xué)者從必要性、信息自由等多個方面論證了個人信息的人格要素清楚，包涵多種權(quán)能，內(nèi)涵與外延明確，確權(quán)后有利于損害救濟，能夠為其他法律(例如個人信息保護法)提供依據(jù)等等[6]。該問題在立法會議討論時，也有更傾向于民事權(quán)利說的觀點，例如立法官員認為個人信息權(quán)利對保護個人的人格尊重有實際作用[7]。

支持法益說的學(xué)者則主張個人信息并非具體的民事權(quán)利，而是屬于民事利益。有學(xué)者認為從法教義的角度出發(fā)，法律并沒有明確稱之為“個人信息權(quán)”，而且“個人信息”一詞首次出現(xiàn)在《民法典》總則編第五章，該章節(jié)既包含民事權(quán)利，也包括民事利益，將其理解為民事權(quán)益也合情合理。此外，個人信息保護條款處于具體人格權(quán)之后，可見它并非具體人格權(quán)[8]。有學(xué)者認為個人信息的內(nèi)涵與其他權(quán)利的邊界并不明顯，并且“權(quán)力模式”不利于緩和多元利益的關(guān)系[1]。

立足于當(dāng)下的法治環(huán)境，以法教義學(xué)的協(xié)調(diào)為主要目的，本文更傾向于第二種觀點，即民法中的個人信息保護應(yīng)被理解為民事利益較為妥當(dāng)。理由如下：

第一，從法教義學(xué)視角分析，立法者有將個人信息歸為權(quán)益的跡象。一方面，《民法典》第110條規(guī)定了具體人格權(quán)，緊接著第111條規(guī)定了個人信息保護；但第990條列舉了所有的具體人格權(quán)，卻沒有提及個人信息保護。由此可見，人格權(quán)編的“一般規(guī)定”沒有與《民法典》總則編的規(guī)定形成邏輯上的呼應(yīng)。究其原因，筆者認為立法者更傾向于將個人信息歸為《民法典》第990條第2款中的“基于人格尊嚴產(chǎn)生的其他人格權(quán)益”之范疇。

另一方面，立法機關(guān)將隱私權(quán)與個人信息保護放在一起是為了進一步強化《民法典》對這二者的保護力度，并為《個人信息保護法》留出銜接的空間③。根據(jù)《個人信息保護法(草案)》第四章《個人在個人信息處理活動中的權(quán)利》中的規(guī)定，我們可以發(fā)現(xiàn)其中部分民事規(guī)范與《民法典》相同，例如查閱復(fù)制權(quán)、補充更正權(quán)等等，但某些權(quán)利已經(jīng)明顯的超出了《民法典》的規(guī)定，例如決定權(quán)(第44條)、刪除權(quán)(第47條)、解釋說明權(quán)(第48條)等等。那么這些權(quán)利是否都屬于人格權(quán)呢？如果將這些權(quán)利都視為人格權(quán)，恐有泛化人格權(quán)之嫌。如果只將其部分權(quán)利視為人格權(quán)，又難以解釋理由。

第二，個人信息權(quán)益所保護的利益并不能完全獨立于隱私權(quán)。隱私權(quán)的設(shè)立原本是為了防止因個人隱私流入社會，造成個人與家庭、社會之間的關(guān)系張力激增。而在數(shù)字經(jīng)濟時代，信息共享已成為常態(tài)，信息在處理時很容易突破匿名性，從而侵入個人隱私領(lǐng)域，但信息主體依然保有信息隱私保護的期待。隱私權(quán)的功能發(fā)展似乎已行至止境，在當(dāng)下時代已顯得力不從心。法律需要創(chuàng)設(shè)個人信息規(guī)范，捍衛(wèi)隱私利益，已達成共識。因此，個人信息權(quán)利的誕生即源于隱私權(quán)逐漸失去了保護個人隱私利益的能力。

雖然學(xué)界也不乏界分個人信息權(quán)益與隱私權(quán)的研究，但若想完全分割隱私權(quán)與個人信息權(quán)利卻并不容易。我國司法實踐中也經(jīng)常將個人信息以隱私權(quán)的形式救濟④。從《民法典》的三次審議稿直至其最終頒布，立法者始終將隱私權(quán)與個人信息保護放在一起。這種體例上的編排無疑體現(xiàn)了這兩種權(quán)利的密切關(guān)系，無法分割，單獨成編。因此，我們不難發(fā)現(xiàn)個人信息權(quán)益實際上是隱私權(quán)的衍生形態(tài)，不能代表獨立的法律利益。

第三，如果將個人信息保護視為人格權(quán)，那么個人信息權(quán)益就成了一種具有支配性的絕對權(quán)，目前難以實現(xiàn)。雖然知情同意原則已盡力保障信息主體的自由意志在個人信息權(quán)利中的核心地位，以實現(xiàn)個人對自身信息的控制能力。但在現(xiàn)實中，顯然個人并不具有絕對支配其信息的可能性。數(shù)字時代，個人與信息處理者之間存在巨大的數(shù)字鴻溝(digital gap)與信息、市場地位、訴訟力量不對等等劣勢?；ヂ?lián)網(wǎng)巨頭具有資本、技術(shù)等生產(chǎn)要素優(yōu)勢，個人要么選擇妥協(xié)授權(quán)，要么選擇退出，期望個人能夠完全掌控其所產(chǎn)生的信息是不切實際的[9]。而且，個人無法知道自身產(chǎn)生了多少數(shù)據(jù)，也無法認識到這些信息有多少價值并與信息處理者進行博弈[10]。

必須指出的是，權(quán)益說也存在缺陷。因為權(quán)益說僅僅是現(xiàn)階段民法部門中的最優(yōu)解釋。但個人信息保護已成為多個部門法的任務(wù)，民法的保護功能較為局限，其原因大概可以歸為三點：一是缺乏侵權(quán)前的預(yù)防性，二是侵權(quán)后的救濟力度不足，三是民法制度很難令個人隱私利益恢復(fù)至圓滿狀態(tài)。因此，只有“權(quán)利法”與“管理法”并重，才能從根本上保障信息主體的合法權(quán)益[11]，顯然權(quán)利說更適合于未來的發(fā)展趨勢。本文只探討民法規(guī)范的協(xié)調(diào)，因此更傾向于權(quán)益說。

二、個人信息保護與數(shù)字產(chǎn)業(yè)之利益衡量

個人權(quán)利與數(shù)字產(chǎn)業(yè)發(fā)展之間的價值位階判斷往往是裁判者需要常面臨的難題。大數(shù)據(jù)時代下，許多信息都可能被認定為個人信息，過于嚴格的權(quán)利保護制度將會制約數(shù)據(jù)的流通與共享，降低市場運轉(zhuǎn)效率。法律應(yīng)如何平衡個人信息保護與數(shù)字經(jīng)濟發(fā)展之間關(guān)系？

(一)比較法的經(jīng)驗借鑒

雖然歐盟與美國對個人信息保護的初始認識較為相似，但是經(jīng)過多年發(fā)展后，逐漸形成了不同的立法模式?！皻W洲法重在保護人格自由……，美國法更多的采取消極被動的姿態(tài)。”[12]歐洲制定了第一部系統(tǒng)的、獨立的《個人信息保護法》，其規(guī)范模式更加抽象，具有一般規(guī)則與特殊規(guī)則；而美國法則將個人信息權(quán)利納入隱私權(quán)的范圍，并采用具體規(guī)范模式，也就是創(chuàng)設(shè)信息處理行為的具體規(guī)范[13]。

1.歐盟的立法模式

歐洲法對隱私權(quán)持一種較為保守的態(tài)度，但對于個人信息權(quán)利卻表現(xiàn)出較強的一致性，大有以個人信息權(quán)利取代隱私權(quán)的趨勢。隱私權(quán)最早在美國誕生，被定義為私人生活的安寧[14]。在此以后很長一段時間，隱私權(quán)都未在歐洲大陸上確立其具體的地位。美國隱私權(quán)雖然是在英國判例基礎(chǔ)上提出的，但英國法卻一直未承認一般隱私權(quán)的地位。德國民法上沒有所謂隱私權(quán)的概念，但在學(xué)說上提出了領(lǐng)域理論(Sph?rentheorie)，通過一般人格權(quán)來保護個人領(lǐng)域。但是歐洲法對個人信息的保護尤為重視，進而將個人數(shù)據(jù)隱私視為基本權(quán)利，成了歐洲法律文化的一部分?！稓W洲基本權(quán)利憲章》不僅宣示了人人有權(quán)保護個人數(shù)據(jù)，還確立了個人信息控制規(guī)則與公平處理數(shù)據(jù)原則等等。

2.美國相關(guān)立法

眾所周知，美國沒有人格權(quán)理論，美國個人信息保護的先驅(qū)是以信息控制的角度去審視隱私[15]，它的體現(xiàn)是知情權(quán)、選擇權(quán)等等，意圖讓信息主體決定個人信息的使用。知情權(quán)被認為是一切個人信息權(quán)利的前提，選擇權(quán)是知情權(quán)的一個目的。信息控制論體現(xiàn)了將個人信息權(quán)利與隱私權(quán)相融合的思想[16]。換言之，它是從自由主義的角度發(fā)育出個人的隱私權(quán)利，即個人信息保護與隱私保護是基本相同的[17]。因此，很多美國學(xué)者并不重視個人信息與個人隱私的區(qū)別。

美國法重視數(shù)據(jù)的自由流動，提倡以財產(chǎn)規(guī)則保護個人信息，因為個人信息在市場中有被交易的需求。當(dāng)然財產(chǎn)權(quán)的主張與信息控制論的觀點也并不矛盾，他們認為將個人信息擬作一種商品，通過財產(chǎn)權(quán)保障個人對數(shù)據(jù)企業(yè)的協(xié)商議價能力，企業(yè)只有在協(xié)商成功之后才能獲取信息并使用[18]，才能達到保護個人信息的目的。

(二)歐美立法差異的原因分析

美國法之所以提倡更加自由的個人信息規(guī)范，根本原因是有利于其互聯(lián)網(wǎng)產(chǎn)業(yè)的發(fā)展。眾所周知，美國的數(shù)據(jù)產(chǎn)業(yè)在世界上可謂是獨占鰲頭，著名金融分析師瑪麗·米克爾發(fā)布的《2018年互聯(lián)網(wǎng)趨勢報告》(后文簡稱《報告》)中的一組數(shù)據(jù)顯示：全球市值排名前五的互聯(lián)網(wǎng)企業(yè)均是美國公司[19]。而個人數(shù)據(jù)的存儲量即是數(shù)據(jù)企業(yè)競爭時的商業(yè)壁壘。易言之，美國公司控制了大量的全球個人數(shù)據(jù)資源，只有自由的信息分享規(guī)則才能加強其互聯(lián)網(wǎng)產(chǎn)業(yè)的主導(dǎo)地位，進而在世界競爭中保持優(yōu)勢。

由此我們可以看出，歐盟想要建立嚴格的個人信息人格制度，而美國則相對寬松地對待個人信息權(quán)利，它們都有各自內(nèi)在的邏輯。歐盟個人信息權(quán)利法帶有強烈的地區(qū)性色彩，其立法意旨是為了打壓境外互聯(lián)網(wǎng)企業(yè)在歐洲的壟斷趨勢，限制個人數(shù)據(jù)流出。自1960年起，歐盟數(shù)據(jù)產(chǎn)業(yè)就開始被美國所主導(dǎo)。20世紀70年代，歐盟委員會曾公布過一組數(shù)據(jù)：歐洲所用的個人計算機約90%需要依賴美國技術(shù)[20]。許多個人數(shù)據(jù)被美國公司收集，這引發(fā)了歐盟的恐懼。于是，歐盟打算通過立法嚴格地控制個人信息流轉(zhuǎn)。很快歐盟成員國就在政治上達成一致，要塑造限制個人數(shù)據(jù)跨境轉(zhuǎn)移的法律依據(jù)。為了限制數(shù)據(jù)資源流向第三國家，歐盟在立法方面做出了許多努力，例如1981年的《關(guān)于個人數(shù)據(jù)自動處理過程中的個人保護公約》、1995年的《關(guān)于個人數(shù)據(jù)處理中的個人保護與這些數(shù)據(jù)自由流動的指令》以及2016年的《一般數(shù)據(jù)保護條例》等等。在《歐盟基本權(quán)利憲章》第8條專門規(guī)定了個人數(shù)據(jù)權(quán)，使其獨立于隱私權(quán)而存在，所以個人信息權(quán)利在歐盟法中也是憲法所保護的基本權(quán)利。如此一來，只要個人信息的保護程度不足基本權(quán)利的要求，監(jiān)管部門就有足夠的理由介入執(zhí)法。而歐盟這些立法的目的只有一個，為行政執(zhí)法提供正當(dāng)性，打壓美國企業(yè)，引導(dǎo)數(shù)據(jù)產(chǎn)業(yè)轉(zhuǎn)向本土發(fā)展[21]。

(三)對我國的啟示

目前學(xué)界不乏主張我國個人信息保護應(yīng)趨于歐洲模式的觀點，“個人信息保護雖涉及財產(chǎn)，但重心卻在人格，這樣的想法似乎很有道理，也被國內(nèi)多數(shù)學(xué)者支持”[22]，但美國法的模式似乎更適合我國國情。

個人信息對于數(shù)字社會的重要性不言而喻，但權(quán)利保護并非沒有經(jīng)濟成本，社會發(fā)展效率也是國家與社會重點關(guān)注的因素。歐洲個人信息人權(quán)化的目的是打壓美國高科技公司在歐洲數(shù)據(jù)處理市場中的壟斷地位，進而引導(dǎo)歐洲用戶回歸本土互聯(lián)網(wǎng)企業(yè)。而我國數(shù)據(jù)產(chǎn)業(yè)已占據(jù)世界領(lǐng)先地位，且大多都由本土企業(yè)所經(jīng)營。《報告》中的一組數(shù)據(jù)表明，2013年全球前20互聯(lián)網(wǎng)公司的排名分布是美國13家、中國3家，而到了2018年變?yōu)槊绹?2家、中國8家。由此可見，當(dāng)今世界的互聯(lián)網(wǎng)經(jīng)濟格局已經(jīng)形成了中美競爭的態(tài)勢，歐盟已欠缺競爭力。這與歐盟設(shè)置法律壁壘進而連累了本土企業(yè)成長不無關(guān)系。

個人信息的立法還需要考慮其對社會的影響，而不能單純立足于比較借鑒或者人權(quán)至上的法理討論。偏向分享效率與保持部分人格化的法律路徑，更加適合我國的實際情況。歐盟法雖有一定借鑒意義，但也應(yīng)當(dāng)保持一定謹慎，如果將個人信息保護泛人格權(quán)化，就可能對我國數(shù)字經(jīng)濟的發(fā)展態(tài)勢造成傷害。同理，如果對個人隱私信息的保護力度過于寬松，也將會影響個人用戶的使用信心，從而影響互聯(lián)網(wǎng)經(jīng)濟的長期發(fā)展環(huán)境，所以需要靈活解釋運用個人信息的人格權(quán)保護規(guī)則。我國個人信息立法的主要目標是平衡用戶與企業(yè)、小企業(yè)與大企業(yè)之間的矛盾，防止形成壟斷與濫用市場地位，甚至還需要鼓勵互聯(lián)網(wǎng)企業(yè)的海外發(fā)展。

綜上所述，個人信息保護規(guī)則應(yīng)當(dāng)偏向美國的具體規(guī)范模式，避免將個人信息理解為抽象的人權(quán)或人格權(quán)益，濫用人格權(quán)請求權(quán)。當(dāng)然權(quán)利的存在與保護也需要訴諸刑法或者民法的一般規(guī)則才能得以實現(xiàn)[23]，因此如何適用個人信息保護規(guī)則尤為關(guān)鍵。個人信息保護需訴諸兩種請求權(quán)模式：第一，人格權(quán)請求權(quán)。其具體范圍以《民法典》的規(guī)定為限。第二，侵權(quán)責(zé)任請求權(quán)。侵權(quán)責(zé)任編中并沒有詳細的規(guī)定個人信息保護規(guī)則，只能根據(jù)其“一般規(guī)定”進行裁判。但一般規(guī)定過于綱領(lǐng)化，需要結(jié)合個人信息保護法與其他法律的規(guī)定，下文將詳細論述。

三、個人信息保護之人格權(quán)規(guī)則

人格權(quán)請求權(quán)的制度優(yōu)勢可歸為以下幾點：第一，權(quán)利人請求侵權(quán)人承擔(dān)人格權(quán)責(zé)任時不適用于訴訟時效(《民法典》第995條)。第二，人格權(quán)請求權(quán)可以主張被動的事后救濟，但更加側(cè)重于主動防范。因為人格一旦遭受損害，有可能無法恢復(fù)到原來的狀態(tài)。所以，人格權(quán)請求權(quán)不要求行為人主觀過錯，當(dāng)行為人妨礙了他人人格自由但不構(gòu)成侵權(quán)時，權(quán)利人就可以發(fā)揮這種功能。第三，人格權(quán)請求權(quán)可以不要求當(dāng)事人遭受實際損害。因為，在人格遭受損害時，被害人難以證明遭受損失的具體額度，根本無法舉證。綜上，對權(quán)利人而言人格權(quán)請求權(quán)的適用更加方便，減少了許多證明環(huán)節(jié)，因此也必須要注意防止個人信息人格權(quán)請求權(quán)的泛化。在適用時需要注意以下幾個問題：

(一)人格權(quán)體系與人格權(quán)益體系的差別

個人信息權(quán)益不存在很強的獨立性，在理論上更加接近于權(quán)能(Befugnisse)體系，因此，在適用時應(yīng)當(dāng)與權(quán)利體系具有一定差異。具體而言：

其一，權(quán)益不是絕對權(quán)，而是相對權(quán)，它只能是較低程度的民法保護。《民法典》對個人信息的保護具有相對性，只有違反了特定的規(guī)則(例如知情同意規(guī)則)時，個人才能主張人格權(quán)救濟，并非對個人信息進行全面的保護。換言之，權(quán)利體系范圍更大，只要侵害行為造成一定的損害后果，權(quán)利人就可以使用人格權(quán)請求權(quán)。例如：刺探他人私密空間的行為，都可能會被認定為侵害他人隱私權(quán)。而個人信息人格權(quán)益的范疇應(yīng)當(dāng)以《民法典》的規(guī)定為限。具體內(nèi)容已經(jīng)由法律明文規(guī)定：包括合理使用原則、知情同意規(guī)則(《民法典》第1035條、第1036條第一款)，查閱、復(fù)制權(quán)，更正權(quán)與刪除權(quán)(《民法典》第1037條)。只有當(dāng)加害人違反上述規(guī)則時，才能被認定為侵害了信息主體的人格權(quán)益，解釋空間較小。查閱、復(fù)制權(quán)的適用范圍也比歐盟法小得多，僅限于本人的信息，這也體現(xiàn)了我國立法者對人格權(quán)益的謹慎態(tài)度。

其二，隱私權(quán)可以針對不特定的第三人，而個人信息權(quán)益只能針對特殊的主體，而不能針對不特定的第三人，包括個人或群體日常之收集、處理行為，甚至公權(quán)力機關(guān)的職權(quán)行為。例如新修訂的《政府信息公開條例》第32條明確規(guī)定，第三方不同意公開其信息的需要有“合理”理由，明顯不同于個人信息保護中的知情同意規(guī)則[24]。因為，現(xiàn)代信息保護法的思想源于公平信息實踐原則[25]，它所管束的是不平等的信息關(guān)系。當(dāng)下個人信息保護的相關(guān)法律大多包含了此原則，例如，歐盟《一般數(shù)據(jù)保護條例》(General Data Protection Regulation)規(guī)定“自然人在個人或家庭活動中的個人數(shù)據(jù)處理”與“預(yù)防、偵查刑事犯罪或執(zhí)行刑事處罰……的個人數(shù)據(jù)處理行為”不適用與此條例。美國雖然奉行“大隱私”的主張，個人信息權(quán)利被視為信息隱私，但其信息隱私和隱私權(quán)也存在適用主體上的差異，與歐盟法的思想也比較類似。我國《民法典》第1039條規(guī)定公權(quán)力機關(guān)對其在履行職能時所獲悉的個人信息具有保密義務(wù)，這就相當(dāng)于將國家機關(guān)依職權(quán)獲取個人信息的行為排除在外，在一定程度上也體現(xiàn)了這一原則。

對此，也存在一些質(zhì)疑的聲音。有觀點認為，如果將個人信息權(quán)益歸為民事權(quán)益，就必須突破傳統(tǒng)的民法理論，以不平等的民事關(guān)系看待個人信息保護[26]。筆者認為，傳統(tǒng)民法理論也可以解釋這種關(guān)系。誠然，在現(xiàn)實中個人相較于信息處理者的確處于劣勢地位，但并不能因此認為個人信息權(quán)所調(diào)整的對象不屬于民法中的“平等主體”。縱觀民法調(diào)整主體的思想淵源，佟柔先生所理解的“平等主體”是“以商品經(jīng)濟關(guān)系為核心”[27]，易言之，以平等關(guān)系為調(diào)整對象實際上是公私法的區(qū)分，即彼此不形成命令與服從的關(guān)系被稱為私關(guān)系[28]?！睹穹ǖ洹冯m未明確規(guī)定信息處理者的范圍，但論及處于優(yōu)勢地位的信息者大多指的是公權(quán)力機關(guān)與企業(yè)。根據(jù)傳統(tǒng)民法理論，公權(quán)力機關(guān)以公權(quán)力擔(dān)當(dāng)人的角色出現(xiàn)時即是公法關(guān)系，本就不屬于平等主體的范圍。企業(yè)與個人之間的地位失衡也不能認定為是命令與服從的關(guān)系，在事實中的不平等仍未跳出私關(guān)系的范圍，所以不能就此理由將個人信息保護視為不平等民事主體之規(guī)范。綜上，個人信息權(quán)益在本質(zhì)上所針對的對象多為不平等的商業(yè)關(guān)系，而人格權(quán)可以適用于不特定的民事主體，二者在可適用的主體范圍上有所差異。

其三，個人信息保護不是絕對支配權(quán)，因為信息主體并非對本人的信息享有絕對的支配權(quán)利，法律需要避免個人信息權(quán)益構(gòu)成對信息分享、公眾知情權(quán)等基本自由的限制。不能認為個人對其信息享有排他性的支配，個人信息權(quán)益人只能要求侵權(quán)人恢復(fù)其人格圓滿狀態(tài)，不能要求其他人給予同等程度的尊重。

(二)私密信息的性質(zhì)

人格權(quán)編將個人信息分為一般個人信息與私密信息，并明確了私密信息優(yōu)先適用隱私權(quán)的規(guī)定，一般個人信息適用個人信息保護的規(guī)定。解釋論必須界定私密信息的性質(zhì)，它決定了侵害他人私密信息的違法性應(yīng)滿足哪種體系的要件。

有觀點認為，個人信息與個人隱私并非包含與被包含的關(guān)系，而是呈交叉關(guān)系，兩者既有重合的部分又有相互獨立的部分[29]，私密信息即可能這個交叉的部分。又有一種當(dāng)然的解釋，《民法典》第1032條明確規(guī)定了私密信息屬于個人隱私，因此私密信息是否當(dāng)然的屬于隱私權(quán)。筆者認為，私密信息應(yīng)屬于個人信息，并不是隱私權(quán)。理由有兩點：第一，雖然私密信息屬于個人隱私，但侵犯個人隱私不等同于損害了其隱私權(quán)，不能當(dāng)然的將所有侵犯隱私的行為都理解為侵害隱私權(quán)。例如刺探個人隱私必須造成一定的不良影響，正常生活中打探他人隱私不能構(gòu)成侵犯隱私權(quán)。第二，《民法典》第1033條規(guī)定，在沒有法律特殊規(guī)定或主體明確同意的情況下，處理他人私密信息屬于侵害他人的隱私權(quán)?？梢娗趾λ矫苄畔⑷缫D(zhuǎn)化為侵害隱私權(quán)需另外滿足兩個條件：(1)沒有法律與權(quán)利人的明確授權(quán)。(2)處理他人的私密信息。所謂“處理”源于歐盟《一般數(shù)據(jù)保護條例》，是指對個人信息的收集、儲存、加工、傳輸、公開等行為[30]。不包括日常生活中所必需的打探、詢問。因此，就私密信息而言，雖優(yōu)先適用隱私權(quán)規(guī)則，但也只能針對上文所述的特定主體。

(三)人格權(quán)禁令的適用

《民法典》第997條創(chuàng)設(shè)了侵害人格權(quán)的訴前禁令制度，但目前還尚未確定適用條件，容易被權(quán)利人惡意濫用，因此也需要為之設(shè)計一些限定性程序。第一，條文的語義明確表達了訴前禁令只適用于侵害人格權(quán)的行為，并不包括權(quán)益。所以，訴前禁令制度只能適用于侵害私密信息的案件，不能適用于一般個人信息的侵權(quán)案件。第二，前提條件必須是“正在”或者“即將”發(fā)生的行為?！罢趯嵤陛^容易舉證，那么如何證明“即將實施”侵害行為呢？同時需要注意的是訴前禁令系一種臨時措施，它不等同于訴訟終局，權(quán)利人仍然需要提起訴訟才能實現(xiàn)權(quán)利救濟。那么，法院是否應(yīng)當(dāng)對該申請進行勝訴審查呢？對此，主流觀點認為申請禁令的人需要有較大的勝訴可能，需要達到“高度蓋然性”的證明標準[31]。但也需要根據(jù)不同的權(quán)利作出判斷，例如，生命權(quán)、健康權(quán)等標準應(yīng)當(dāng)從寬；名譽權(quán)、隱私權(quán)標準應(yīng)當(dāng)更加嚴[32]。因此，侵犯個人信息的訴前禁令需要舉證達到近乎勝訴的可能性。第三，《民事訴訟法》中的訴前財產(chǎn)保全制度也類似于一種訴前禁令制度。為了防止權(quán)利人濫用訴前禁令，法律規(guī)定權(quán)利人申請禁令時需要提供擔(dān)保(第101條)，并且錯誤的申請訴前禁令需要賠償(第105條)。那么，個人信息保護中的訴前禁令是否也需要如此呢？本文認為，個人信息權(quán)益可能無法像財產(chǎn)權(quán)益一樣量化，錯誤的申請訴前禁令對于信息處理者的損害難以計算。只有達到一定規(guī)模的個人信息才具有財產(chǎn)價值，單一的個人信息難以用金錢衡量，信息處理者遭受的損害可以忽略不計。綜上，防范濫用個人信息保護訴前禁令制度的關(guān)鍵在于，法官對于勝訴可能性的判斷。

四、個人信息保護之侵權(quán)責(zé)任規(guī)則

毋庸置疑，民事權(quán)益受侵權(quán)責(zé)任法的保護，但《民法典》缺乏對個人信息權(quán)益的規(guī)定，立法效果并不理想。自2017年《民法總則》個人信息保護原則生效以來，侵犯個人信息的民事案件極其有限，這與個人信息民事糾紛維權(quán)成本高、因果關(guān)系證明困難、賠償數(shù)額低有關(guān)[33]。因此，必須借助于其他的法律規(guī)定加以完善。本文著重討論《民法典》與個人信息保護法的銜接適用問題，因為個人信息保護法既是新法也是特別法，適用順位較高。

(一)術(shù)語統(tǒng)一

《個人信息保護法(草案)》與《民法典》在用語上存在差異。其中，比較明顯的是法律文本中出現(xiàn)了另一種個人信息的分類，是將個人信息分為敏感信息與一般個人信息。于是，在銜接時必須明確敏感信息與私密信息的關(guān)系。

筆者認為，敏感信息應(yīng)等同于民法典中私密信息。原因有以下幾點：其一，敏感信息與私密信息在法律文件中的含義較為接近。法律曾明確的界定過敏感信息的概念，例如在《信息安全技術(shù)公共及商用服務(wù)信息系統(tǒng)個人信息保護指南》(后文簡稱《個人信息保護指南》)中曾提出了“個人敏感信息”的概念⑤，而《個人信息保護法(草案)》中所解釋的“敏感信息”也基本沿用了該定義。并且，一些司法文件對于敏感信息的定義也與此類似⑥。雖然表述不完全一致，但核心思想都是加強對于隱私信息的保護。其二，《民法典》將個人信息分層的目的就是為了強化對私密信息的保護力度，敏感信息也具備相似的功能?！睹穹ǖ洹返?033條明確規(guī)定“除法律另有規(guī)定或者權(quán)利人明確同意外”，任何人不得處理他人私密信息。而《個人信息保護法(草案)》也有類似的規(guī)定⑦。由此可見，在信息主體授權(quán)的有效性這一個點上，兩部法律的規(guī)定基本一致。換言之，對于信息主體而言，法律對私密信息與敏感信息保護強度并無差別。其三，權(quán)威學(xué)者認為，“敏感信息就是與私人生活安寧相關(guān)的信息”[34]，而所謂的私人生活安寧也是法律所明確規(guī)定的隱私之范圍。申言之，敏感信息即是與隱私相關(guān)的信息，幾乎等同于私密信息。其四，自《規(guī)定》將敏感信息稱之為“個人隱私”后，在司法實踐中，敏感信息也曾被認定為是隱私權(quán)所保護的客體⑧。那么，敏感信息在實質(zhì)上已經(jīng)發(fā)揮了私密信息的功能。綜上，應(yīng)當(dāng)將敏感信息與私密信息合并，沒有必要過度區(qū)分。

(二)歸責(zé)原則

將侵害個人信息理解為一般侵權(quán)行為是個人維權(quán)難題的重要原因，許多數(shù)據(jù)都被系統(tǒng)自動化收集與處理，對自然人而言，欲證明信息處理者存在過錯極為困難。并且，許多侵犯個人信息的糾紛與侵權(quán)法的要件不相符合。對此有學(xué)者提出，未來侵害個人信息的民法責(zé)任應(yīng)當(dāng)統(tǒng)一適用無過錯責(zé)任[35]，這種觀點值得認同。但目前侵權(quán)責(zé)任法仍是以過錯責(zé)任為原則，適用無過錯責(zé)任需要法律明確規(guī)定。而今還沒有法律明確規(guī)定個人信息的侵權(quán)責(zé)任適用無過錯責(zé)任，《個人信息保護法(草案)》中也沒有補充此缺陷，筆者認為未來的立法可以對此進行完善。

如果未來的立法仍未確立無過錯責(zé)任，在適用時可以考慮通過解釋論的方法衡量行為人的主觀過錯，例如應(yīng)將侵害個人信息的行為理解為特殊侵權(quán)，所謂特殊侵權(quán)即不要求具有圓滿的侵權(quán)四要件[36]，只要滿足部分條件就可以確定侵權(quán)事實成立。又如可以以人格權(quán)編與個人信息保護法中的相關(guān)規(guī)定為依據(jù)，即只要違反了法律規(guī)定就應(yīng)當(dāng)判斷信息處理者具有主觀上的過錯，不要求信息處理者的過錯事實?？傊绻刹荒苊魑囊?guī)定無過錯責(zé)任，在實踐中也應(yīng)當(dāng)弱化侵權(quán)人主觀過錯這一要件。

(三)損害賠償

《民法典》第1182條規(guī)定侵害他人人身權(quán)益的賠償數(shù)額應(yīng)按照被侵權(quán)人遭受的損失或者侵權(quán)人獲得的利益確定，如果難以確定且不能協(xié)商一致的數(shù)額由法院裁量。換言之，侵害他人個人信息的，如果侵權(quán)行為給被害人造成屬于可計算的經(jīng)濟損害，例如財產(chǎn)損失，可鑒定的精神損害等等，這種情形當(dāng)然需要損害賠償。但如果是難以確定的損害，例如在人臉識別第一案，違規(guī)收集他人面部信息，并未產(chǎn)生實際損失或收益的，是否應(yīng)當(dāng)賠償？

筆者認為，此種情況也應(yīng)當(dāng)予以賠償，否則制度對于權(quán)利人而言是無意義的，舉證與訴訟的過程已然非常困難，最終的結(jié)果也只是行使刪除權(quán)，對于信息處理者而言基本沒有違法成本。有學(xué)者提出損害賠償數(shù)額可根據(jù)判例，做出有利于個人的解釋，并在立法上應(yīng)明確設(shè)置精神損害賠償，筆者贊同此觀點。進而，《個人信息保護法(草案)》第68條應(yīng)當(dāng)擴張，即侵犯個人信息權(quán)益的，就需要承擔(dān)賠償責(zé)任，當(dāng)數(shù)額無法確定時，由法院裁量。

目前存在的另一缺陷是，司法文件只確定了賠償金額的上限⑨，但沒有確定賠償下限，如此也會造成裁判中的困局。人格權(quán)益的價值不僅難以計算，而且容易被忽視。加上個人相對于互聯(lián)網(wǎng)企業(yè)本就處于弱勢地位，如不設(shè)置最低賠償金額，那么維權(quán)的收益低、成本高的現(xiàn)象將繼續(xù)存在。在未來立法中，最低賠償金額也應(yīng)予以完善。

結(jié) 語

“個人信息保護”的性質(zhì)尚存較大爭議，但其性質(zhì)定位決定了制度剛性與價值位階，不容忽視。個人信息保護在民法中應(yīng)被視為民事權(quán)益，《民法典》奠定了個人信息保護的人格權(quán)益基礎(chǔ)，從而體現(xiàn)了以人為本的立法理念。即便如此，也應(yīng)統(tǒng)籌數(shù)字產(chǎn)業(yè)發(fā)展等基本社會利益，在信息有效流動的前提下，實現(xiàn)信息主體的人格利益。具體而言，個人信息權(quán)益的內(nèi)涵應(yīng)當(dāng)具體化，避免權(quán)益泛化。個人信息權(quán)益的請求權(quán)二分為人格權(quán)請求權(quán)與侵權(quán)責(zé)任請求權(quán)，人格權(quán)請求權(quán)主要針對與隱私密切相關(guān)的信息，在適用時應(yīng)當(dāng)注意權(quán)益內(nèi)容以人格權(quán)編的明文規(guī)定為限，謹慎適用人格權(quán)禁令。而侵權(quán)責(zé)任請求權(quán)還亟須完善，因為侵權(quán)責(zé)任編多為一般規(guī)定，其歸責(zé)原則及損害賠償規(guī)則等與個人信息保護規(guī)則的發(fā)展不相適應(yīng)，在適用時還需結(jié)合個人信息保護法等特別法。同時，筆者建議《個人信息保護法(草案)》作如下修改：

(1)侵害個人信息的侵權(quán)責(zé)任應(yīng)為無過錯責(zé)任，將第六十八條第一款修改為：“因處理個人信息而造成他人損害的，信息處理者應(yīng)當(dāng)承擔(dān)侵權(quán)責(zé)任。”取代原文中的“個人信息處理者能夠證明自己沒有過錯的，可以減輕或者免除責(zé)任”。

(2)完善侵權(quán)損害賠償規(guī)則。設(shè)置精神損害賠償，在第六十八條第二款增加：“因處理個人信息對他人造成嚴重精神損害的，被侵權(quán)人有權(quán)請求精神損害賠償?！痹O(shè)置最低賠償金額，“個人因此受到的損失和個人信息處理者因此獲得的利益難以確定的，由人民法院根據(jù)實際情況確定賠償數(shù)額，賠償金額不足xx元的，為xx元”。

注 釋：

①2020年11月20日，法院以擅自變更合同履行方式為由，判決被告杭州野生動物世界有限公司返還原告郭兵未履行的合同價款。但是，駁回了原告其他的損害賠償之訴訟請求。參見余建華：《采集利用消費者個人信息需尊重個人選擇權(quán)》，《人民法院報》，2020年12月2日第003版。

②2021年4月29日，全國人大公布了《中華人民共和國個人信息保護法(草案二次審議稿)》(以下簡稱《個人信息保護法(草案)》)。

③2018年8月27日至31日召開的第十三屆全國人大常委會第五次會議中，全國人大常委會法制工作委員會主任沈春耀說，立法機關(guān)在“人格權(quán)編草案一審稿”中之所以規(guī)定“隱私權(quán)和個人信息”，是因為隱私權(quán)和個人信息保護領(lǐng)域存在突出的問題，故而，需要在現(xiàn)行法律規(guī)定基礎(chǔ)上，“進一步強化對隱私權(quán)和個人信息的保護，并為即將制定的個人信息保護法留下銜接空間”。參見沈春耀：《關(guān)于〈民法典各分編(草案)的說明〉——2018年8月27日在第十三屆全國人民代表大會常務(wù)委員會第五次會議上》。轉(zhuǎn)引自程嘯：《民法典編纂視野下的個人信息保護》，《中國法學(xué)》2019年第4期，第32頁。

④參見“廖萍訴曾軍隱私權(quán)案”，北京市海淀區(qū)人民法院(2009)海民初字第11219號；“孫某某訴中國聯(lián)合網(wǎng)絡(luò)通信有限公司上海市分公司侵害隱私權(quán)案”，上海市浦東新區(qū)人民法院(2009)浦民一初字第9737號；“吳銘慎與李舉明等隱私權(quán)糾紛上訴案”，廣東省廣州市中級人民法院(2011)穗中法民一終字第3675號；“王菲訴張樂奕名譽權(quán)糾紛案”，北京市第二中級人民法院(2009)二中民終字第5603號等。

⑤個人敏感信息(personal sensitive information)一旦遭到泄露或修改，會對標識的個人信息主體造成不良影響的個人信息。例如個人敏感信息可以包括身份證號碼、手機號碼、種族、政治觀點、宗教信仰、基因、指紋等。

⑥《最高人民法院關(guān)于審理利用信息網(wǎng)絡(luò)侵害人身權(quán)益民事糾紛案件適用法律若干問題的規(guī)定》中，第十二條將個人隱私信息列舉為“自然人基因信息、病歷資料、健康檢查資料、私人活動等等”。

⑦《個人信息保護法(草案)》第30條規(guī)定，“處理敏感個人信息的，個人信息處理者應(yīng)當(dāng)取得個人的單獨同意”。

⑧參見國家法官學(xué)院案例開發(fā)研究中心：《中國法院2019年度案例人格權(quán)糾紛：含生命、健康、身體、姓名、肖像、名譽權(quán)糾紛》，中國法制出版社2019年版，第54田某某訴某銀行營業(yè)管理部等隱私權(quán)案。

⑨最新實施的《最高人民法院關(guān)于審理利用信息網(wǎng)絡(luò)侵害人身權(quán)益民事糾紛案件適用法律若干問題的規(guī)定》(法釋〔2020〕17號)第12條第二款，被侵權(quán)人因人身權(quán)益受侵害造成的財產(chǎn)損失以及侵權(quán)人因此獲得的利益難以確定的，人民法院可以根據(jù)具體案情在50萬元以下的范圍內(nèi)確定賠償數(shù)額。