《個人信息保護(hù)法》的亮點(diǎn)條款與內(nèi)容局限法律規(guī)制研究

□ 文 李 莉

0 引言

隨著大數(shù)據(jù)與互聯(lián)網(wǎng)時代的深度發(fā)展，網(wǎng)絡(luò)空間逐漸成為人們交流信息的平臺，在網(wǎng)絡(luò)帶來極大便利的同時，網(wǎng)民的個人信息也無處遁形，其中不乏市場主體實(shí)施非法搜集使用網(wǎng)民個人信息的違規(guī)違法行為，《個人信息保護(hù)法》的出臺不僅明確了舊法之規(guī)定，更是對時代的回應(yīng)。其中首次適應(yīng)個人信息未來流動趨勢將個人信息保護(hù)管轄范圍擴(kuò)大至域外，區(qū)分并重點(diǎn)保護(hù)敏感個人信息，明確采用過錯推定歸責(zé)原則以填補(bǔ)侵權(quán)私法救濟(jì)缺陷，確立知情加同意原則更是使得個人信息保護(hù)落到實(shí)處。但目前個人信息法律屬性仍不明，應(yīng)定位為一項(xiàng)法定權(quán)利而非法益，敏感個人信息不宜籠統(tǒng)照搬過錯推定責(zé)任原則，應(yīng)與一般個人信息區(qū)分適用無過錯責(zé)任原則，網(wǎng)絡(luò)侵權(quán)具有開放流動特性嚴(yán)格比照侵權(quán)要件很大可能會使信息主體維權(quán)愿望落空，侵權(quán)因果關(guān)系可采用高度可能性標(biāo)準(zhǔn)加以判斷。

1 《個人信息保護(hù)法》的亮點(diǎn)條款解讀

1.1 適用范圍擴(kuò)大至域外

已有的法律法規(guī)對個人信息的保護(hù)僅局限于境內(nèi)，無法適用互聯(lián)網(wǎng)時代發(fā)展趨勢。根據(jù)《電信和互聯(lián)網(wǎng)用戶個人信息保護(hù)規(guī)定》第二條，“在中華人民共和國境內(nèi)提供電信服務(wù)和互聯(lián)網(wǎng)信息服務(wù)過程中收集、使用用戶個人信息的活動,適用本規(guī)定?！笔菍€人信息保護(hù)的適用范圍，限制為域內(nèi)，并不產(chǎn)生域外效力。其次，《網(wǎng)絡(luò)安全法》第二條也一并采用域內(nèi)適用范圍，《民法典》對此沒有作出明確規(guī)定。

面對以上保護(hù)危機(jī)，《個人信息保護(hù)法》承擔(dān)了使命，首次明確了在境內(nèi)使用個人信息的活動，受我國法律管轄，在境外使用個人信息的活動，我國同樣有權(quán)管轄。此項(xiàng)規(guī)定，不僅關(guān)注到網(wǎng)絡(luò)空間的域外性，個人信息既在國內(nèi)流動也在國際流動，在國際交往中個人信息跨境流動更是隱患重重，稍有不慎網(wǎng)民的信息很容易被收集利用?！秱€人信息保護(hù)法》還明確了我國對個人信息的“長臂管轄”，為未來有效規(guī)制個人信息域外保護(hù)提供法律依據(jù)。

1.2 增加敏感個人信息的規(guī)定

《個人信息保護(hù)法》借鑒了歐盟《一般數(shù)據(jù)保護(hù)條例》的做法，首次將個人信息區(qū)別為敏感個人信息與非敏感個人信息。一方面，明確了敏感個人信息的范圍，敏感信息是指一旦泄露或被非法使用，將對人格尊嚴(yán)和人身財產(chǎn)安全造成嚴(yán)重侵害的信息。另一方面，將未滿十四周歲未成年人的個人信息，納入敏感信息范疇，加強(qiáng)了對未成年人的保護(hù)。

增加敏感個人信息規(guī)定，有利于保護(hù)網(wǎng)民個人信息的合法權(quán)益。正如前文提到，相較于非敏感個人信息，泄露或?yàn)E用敏感個人信息，對人格尊嚴(yán)和人身財產(chǎn)安全造成危害更大，因此將其區(qū)別對待，予以更嚴(yán)格的管理要求，是理所應(yīng)當(dāng)?shù)?。例如，網(wǎng)民的指紋等生物特征信息泄露時，必然會擔(dān)心諸如電子鎖被盜竊的危險，而此種心理的不安和壓力，人身財產(chǎn)安全的損失，是非敏感信息難以比擬的?！秱€人信息保護(hù)法》采用“單獨(dú)同意”與“書面同意”處理規(guī)則，以及“再次告知義務(wù)”，予以更嚴(yán)格、規(guī)范的適用要求，顯然，更加合理與必要。

其次，利于平衡個人信息利用與保護(hù)的關(guān)系。在互聯(lián)網(wǎng)時代，信息交流成為必要，完全禁止個人信息的利用是不現(xiàn)實(shí)的，如何規(guī)制個人信息的利用與保護(hù)成為核心問題，對個人信息敏感與否的區(qū)別，有利于進(jìn)一步劃清保護(hù)與利用的邊界。

1.3 明確侵權(quán)責(zé)任歸責(zé)原則

侵權(quán)責(zé)任是個人信息權(quán)益的重要救濟(jì)途徑，法律應(yīng)明確其歸責(zé)原則，合理對個人信息主體傾斜，為其提供有效私法保護(hù)路徑。個人信息之侵權(quán)責(zé)任，《民法典》人格權(quán)編僅作“個人信息應(yīng)受法律保護(hù)”規(guī)定，將個人信息保護(hù)途徑指向了侵權(quán)責(zé)任；侵權(quán)責(zé)任編，又未具體規(guī)定歸責(zé)原則，按照一般侵權(quán)責(zé)任原則出發(fā)，侵權(quán)責(zé)任應(yīng)為過錯責(zé)任原則。但是，在互聯(lián)網(wǎng)時代，網(wǎng)絡(luò)信息流動速度快，信息收集、儲存、處理、使用環(huán)節(jié)復(fù)雜，信息主體不再單一，且存在信息主體交叉現(xiàn)象，要求經(jīng)濟(jì)、技術(shù)實(shí)力處于弱勢的網(wǎng)絡(luò)用戶，承擔(dān)證明信息處理者具有過錯的責(zé)任，責(zé)任較重，難度過大，網(wǎng)絡(luò)用戶甚至可能連基礎(chǔ)的證明事實(shí)都存在困難。如網(wǎng)絡(luò)用戶難以辨別和查清，究竟是誰客觀上實(shí)施了泄露信息的違法行為。

因此，《個人信息保護(hù)法》第六十九條，規(guī)定個人信息之歸責(zé)原則為過錯推定原則。一方面，減輕了被侵權(quán)人的舉證責(zé)任，利于網(wǎng)民個人信息權(quán)益保護(hù)。網(wǎng)民無須證明侵權(quán)人具有過錯，大大減輕了證明難度，極大提高信息主體維權(quán)積極性。另一方面，順應(yīng)了互聯(lián)網(wǎng)時代發(fā)展潮流，一定程度上關(guān)注網(wǎng)絡(luò)行業(yè)發(fā)展需要。一是在過錯推定原則基礎(chǔ)上，網(wǎng)民雖不用證明信息處理者具有過錯，但仍需承擔(dān)基本事實(shí)的證明責(zé)任。二是與無過錯責(zé)任原則相比，只要信息處理者盡到了個人信息妥善保管、利用、處理義務(wù)，經(jīng)過信息主體“知情同意”處理個人信息，非過失或故意的造成信息主體個人信息權(quán)益受損，信息主體者就不會面臨承擔(dān)侵權(quán)責(zé)任的法律風(fēng)險。

侵權(quán)責(zé)任是個人信息權(quán)益的重要救濟(jì)途徑，法律應(yīng)明確其歸責(zé)原則，合理對個人信息主體傾斜，為其提供有效私法保護(hù)路徑。

1.4 確立以“知情同意”為核心的個人信息處理規(guī)則

知情同意原則是指信息處理者在收集個人信息之前，須向信息主體充分說明，有關(guān)個人信息被收集、處理和利用的情況，并在知情的基礎(chǔ)上作出同意或拒絕的意思表示。《個人信息保護(hù)法》實(shí)際上細(xì)化了《民法典》關(guān)于知情同意原則的規(guī)定。《民法典》一千零三十五條、一千零三十六條，均明確收集個人信息應(yīng)取得自然人同意，這兩條法條可視作確立了同意原則，但知情原則和拒絕權(quán)利無從依據(jù)。

《個人信息保護(hù)法》對此一一作了詳細(xì)明確規(guī)定，首先第十三條和第十四條分別確立了同意原則和知情原則。其次，第十五條、十六條賦予信息主體拒絕的權(quán)利，切實(shí)保障網(wǎng)民個人信息權(quán)益。而且，第十七條更是規(guī)定信息處理者應(yīng)以簡單淺顯的文字履行告知義務(wù)，明確了告知何以達(dá)到知情權(quán)的標(biāo)準(zhǔn)?！秱€人保護(hù)法》通過較為完善的立法，確立“知情同意”個人信息處理規(guī)則，通過對信息處理者施加法律義務(wù)，賦予信息主體法律權(quán)利，指明了個人信息保護(hù)的請求權(quán)基礎(chǔ)，即“向哪個主體，依據(jù)什么法律規(guī)范，主張什么權(quán)利”的請求權(quán)基礎(chǔ)。

2 《個人信息保護(hù)法》的內(nèi)容局限

2.1 個人信息作為民事權(quán)益不能實(shí)現(xiàn)完全保護(hù)

網(wǎng)絡(luò)用戶的個人信息不容網(wǎng)絡(luò)運(yùn)營者侵犯，法律毋庸置疑應(yīng)當(dāng)保護(hù)，但將個人信息視為“權(quán)利”還是“法益”進(jìn)行保護(hù)，存在學(xué)術(shù)爭議。筆者認(rèn)為權(quán)益保護(hù)不能達(dá)到權(quán)利保護(hù)的效果。個人信息界定為一種民事權(quán)利，不僅在法律上受到保護(hù)，而且要求個人、企業(yè)、國家等都予以相當(dāng)尊重，能夠達(dá)到個人和公權(quán)力都不受侵犯的地步。另外，個人信息權(quán)能夠?yàn)榫葷?jì)提供法律依據(jù)，作為一項(xiàng)民事權(quán)利，自然適用侵權(quán)責(zé)任法有關(guān)救濟(jì)規(guī)則，這些都是作為權(quán)益保護(hù)所不具備的。

《個人信息保護(hù)法》將個人信息視為權(quán)益保護(hù)，可能意圖兼顧個人信息保護(hù)與利用的平衡，但這種關(guān)注網(wǎng)絡(luò)大數(shù)據(jù)行業(yè)發(fā)展的需求，是否意味著犧牲了網(wǎng)民的個人信息合法權(quán)益呢？因?yàn)?，?quán)利保護(hù)，要求任何人未經(jīng)信息主體同意，不得進(jìn)行任何收集和使用，享有一種絕對的、排他的支配權(quán)，在此種情況下，網(wǎng)民的個人信息很難受到侵犯。而作為權(quán)益保護(hù)，很難達(dá)到以上全面保護(hù)、完整保護(hù)的效果。

2.2 過錯推定原則不利于保護(hù)敏感個人信息

敏感個人信息與信息主體人身權(quán)益、財產(chǎn)權(quán)益緊密相關(guān)，對其收集、處理本身就具有高度危險性，一旦信息處理者管理不慎，造成的損害難以計算和彌補(bǔ)，采取過錯推定原則，其力度不足以保護(hù)敏感個人信息，否則，也不必將個人信息類型專作區(qū)分，因此對敏感個人信息的立法保護(hù)，理應(yīng)設(shè)置更高的要求。根據(jù)《個人信息保護(hù)法》第六十九條規(guī)定，該條明確了個人信息侵權(quán)之歸責(zé)原則為過錯推定原則，主觀過錯采取一種責(zé)任倒置。也就是說，信息主體雖不用證明信息處理者主觀過錯，但仍有義務(wù)證明其他事實(shí)。

另外，許多情形下，過錯推定原則實(shí)際上給予了加害人逃避責(zé)任的機(jī)會。比如，身份證號碼、銀行賬戶等敏感個人信息，被泄露或者被非法利用，如果信息處理者能夠證明，非加害人過錯造成的，則無須承擔(dān)侵權(quán)責(zé)任，信息主體的權(quán)益無法得到維護(hù)，造成的巨大人身、財產(chǎn)損失無法彌補(bǔ)。因?yàn)?，根?jù)過錯推定責(zé)任，加害人想要證明其不具有過錯，尚屬可能，加之信息處理者往往是具有超強(qiáng)科技實(shí)力、證明能力的法人，證明不具有過錯的可能性更是大大提高。過錯推定責(zé)任原則實(shí)際上是國家給網(wǎng)絡(luò)大數(shù)據(jù)行業(yè)開了“一道口子”，一定程度上關(guān)注大數(shù)據(jù)產(chǎn)業(yè)進(jìn)行信息利用的必須性，但這道“口子”不能延伸至敏感個人信息，敏感個人信息因其固有特性不宜適用過錯推定責(zé)任原則。

2.3 網(wǎng)絡(luò)侵權(quán)特性不適用傳統(tǒng)因果關(guān)系

由于網(wǎng)絡(luò)空間的開放性、流動性，信息主體很有可能在多個平臺上都填寫相關(guān)個人信息，當(dāng)損害發(fā)生，難以唯一證明，某一個平臺具有因果關(guān)系，即無法向法院證明排除其他主體、其他渠道泄露的可能。侵犯個人信息因果關(guān)系證明難度，并不亞于證明主觀過錯的難度，正是由于個人信息因果關(guān)系難以證明，有學(xué)者統(tǒng)計司法實(shí)踐中導(dǎo)致接近一半的原告因此敗訴。

網(wǎng)絡(luò)空間侵犯個人信息權(quán)益，已無法照搬傳統(tǒng)的因果關(guān)系理論。另外，與傳統(tǒng)侵權(quán)不同，傳統(tǒng)模式下，侵權(quán)之因果關(guān)系較明晰，如食品質(zhì)量不合格、侵犯肖像權(quán)、名譽(yù)權(quán)等。網(wǎng)絡(luò)侵犯個人信息的因果關(guān)系并不明顯，信息主體可能已經(jīng)盡其全力證明，造成的損害，極有可能是某一個信息處理者實(shí)施的，如果嚴(yán)格按照傳統(tǒng)因果關(guān)系加以裁判，信息主體維權(quán)愿望將會落空，也不利于激發(fā)信息主體維權(quán)積極性。對因果關(guān)系證明標(biāo)準(zhǔn)，《個人信息保護(hù)法》并未作相關(guān)說明，筆者認(rèn)為，《個人信息保護(hù)法》作為一部全方位、系統(tǒng)性保護(hù)個人信息的法律，應(yīng)秉承其立法目的，指出合理有效的解決方式。

《個人信息保護(hù)法》作為一部全方位、系統(tǒng)性保護(hù)個人信息的法律，應(yīng)秉承其立法目的，指出合理有效的解決方式。

3 《個人信息保護(hù)法》的未來完善趨勢

3.1 個人信息應(yīng)權(quán)利化予以保護(hù)

個人信息法律屬性和民法定位學(xué)術(shù)存在爭議，《民法典》亦持謹(jǐn)慎態(tài)度較為保守稱之“個人信息”。有關(guān)法律屬性爭議首先是“權(quán)利”與“權(quán)益”二者的對立，其次是作為“一種新型權(quán)利”還是“獨(dú)立的人格權(quán)”之間的爭議。但無論是哪種說法，法益保護(hù)力度達(dá)不到個人信息保護(hù)需要亦無法有效解決現(xiàn)存侵害個人信息的行為，應(yīng)賦予“個人信息權(quán)”的權(quán)利化定位。

有學(xué)者認(rèn)為，從一個既存權(quán)利的具體化從而成立法律權(quán)利的合理性角度論證，證明難度較小，由此支持個人信息是一項(xiàng)獨(dú)立人格權(quán),基于以色列學(xué)者Alon Harel論證一項(xiàng)新型權(quán)利方法論，個人信息正是人格權(quán)互聯(lián)網(wǎng)時代下的產(chǎn)物和網(wǎng)絡(luò)領(lǐng)域個人尊嚴(yán)的體現(xiàn),并且二者內(nèi)在理由高度一致，內(nèi)涵價值都主張對人理性和權(quán)利的尊重。另有學(xué)者認(rèn)為，個人信息應(yīng)視為一種新興權(quán)利予以規(guī)制,首先個人信息權(quán)成立新興權(quán)利的判斷標(biāo)準(zhǔn)，一方面?zhèn)€人信息與已有的權(quán)利具有共同的法律基礎(chǔ)，人格權(quán)強(qiáng)調(diào)人的尊嚴(yán)和人的自由，個人信息同樣基于信息主體享有的信息自決權(quán)體現(xiàn)出對個人信息的尊重,另一方面，個人信息與已有權(quán)利又存在差異性，個人信息與隱私權(quán)相比具有明顯的財產(chǎn)屬性和一定程度上的可交流性。

無論以上“獨(dú)立人格權(quán)說”，還是“新型權(quán)利說”，都認(rèn)同將個人信息視為某種權(quán)利作為民法定位，并且從域外經(jīng)驗(yàn)角度，“個人信息權(quán)”已經(jīng)是國際主流趨勢，個人信息權(quán)權(quán)利化具有合理的法律理論基礎(chǔ)和正當(dāng)性根據(jù)。

3.2 敏感個人信息應(yīng)采用無過錯責(zé)任

敏感個人信息其本質(zhì)上區(qū)別于一般的個人信息，若將一般個人信息保護(hù)方式籠統(tǒng)套用實(shí)在不妥，應(yīng)根據(jù)個人信息的不同種類給予不同的保護(hù)。因此，一般個人信息應(yīng)適用過錯推定原則，敏感個人信息適用無過錯責(zé)任原則。

一方面，為了協(xié)調(diào)社會各方利益，對一般個人信息采取過錯推定，能夠?qū)崿F(xiàn)個人信息的保護(hù)與利用之間的平衡?；臼聦?shí)證明責(zé)任由信息主體承擔(dān)，主觀過錯證明責(zé)任由信息處理者承擔(dān)，是較為公平地分配了雙方的權(quán)利與義務(wù)。其次，過錯推定，既能夠一定程度減輕信息主體的訴訟負(fù)擔(dān)，又能夠督促信息處理者足夠重視個人信息合法且合理的處理。

另一方面，關(guān)注到敏感個人信息對信息主體，人身權(quán)益、財產(chǎn)權(quán)益的重要意義，給予敏感個人信息更加嚴(yán)格的保護(hù)要求。過錯推定與無過錯責(zé)任的不同在于，證明的內(nèi)容不同。過錯推定，加害人須證明，加害人沒有過錯；無過錯責(zé)任，加害人須證明，損害不是受害人的過錯引起的。信息處理者證明，沒有過錯，尚且容易，但證明個人信息的損害，不是信息主體過錯導(dǎo)致，實(shí)屬困難。這樣，對敏感個人信息的保護(hù)力度大大增強(qiáng)，又能在一定程度上，倒逼信息處理者謹(jǐn)慎對待敏感個人信息，有一定程度上預(yù)防敏感個人信息侵犯的作用。

3.3 因果關(guān)系宜采用高度可能性判斷標(biāo)準(zhǔn)

在司法實(shí)踐中，個人信息侵權(quán)之因果關(guān)系是成立侵權(quán)的一大難題，但也有法官適用“高度可能性標(biāo)準(zhǔn)”，認(rèn)定信息處理者與個人信息遭受損害之間達(dá)到了一種高度可能性，破解了因果關(guān)系認(rèn)定的謎題。

筆者認(rèn)為，采用高度可能性判斷標(biāo)準(zhǔn)，認(rèn)定個人信息因果關(guān)系，非常合理。第一，該標(biāo)準(zhǔn)仍然尊重原有的舉證原則，對原有的舉證制度不過多改變，由信息主體承擔(dān)舉證責(zé)任。第二，使得信息主體維權(quán)具有可實(shí)現(xiàn)性，網(wǎng)絡(luò)空間具有隱蔽性、匿名性，究竟是誰實(shí)施了侵害個人信息的行為，侵權(quán)人并不會留下姓名，且也無從查證，如果要求無論是技術(shù)還是經(jīng)濟(jì)實(shí)力都較弱的信息主體，完全排除第三人渠道，去證明加害人侵權(quán)的唯一性，不具有現(xiàn)實(shí)性，違背法律不強(qiáng)人所難之原則精神。第三，信息處理者往往是具有較強(qiáng)證明能力的一方，要求承擔(dān)反證責(zé)任，并不會過于加重負(fù)擔(dān)，還會倒逼信息處理者更好地降低信息泄露的概率，利于個人信息的保護(hù)。

4 結(jié)束語

“法律的生命在于實(shí)施”。只有賦予個人信息權(quán)利化之保護(hù)，將一般個人信息與敏感個人信息分別適用過錯推定責(zé)任與無過錯責(zé)任歸責(zé)原則，結(jié)合事實(shí)根據(jù)采用高度可能性標(biāo)準(zhǔn)以認(rèn)定侵權(quán)因果關(guān)系，才能真正促進(jìn)個人信息全面保護(hù)，實(shí)現(xiàn)個人信息利用與保護(hù)之間的平衡，為個人信息保護(hù)構(gòu)筑起一個更堅實(shí)縝密的屏障?！?/p>