民法典编纂视野下的个人信息保护

程啸：清华大学法学院教授，博士生导师

引言

在我国民法典编纂时，首先需要解决的一个问题就是，个人信息的私法保护究竟有何作用？如果完全可以通过公法保护，则民法典就没有必要对个人信息保护作出规定。即便现行的公法规范不完善，也可通过《个人信息保护法》《数据安全法》等单行立法加以完善。倘若个人信息的民法保护很重要，值得进一步讨论的是，民法典应当怎样对个人信息作出规定，如民法典是否应当确立作为一种新型人格权的个人信息权，个人信息被侵害时民法典能够提供何种救济等。

一、个人信息私法保护的功能与意义

(一)个人信息的私法保护面临的挑战与公法保护的作用

随着信息网络科技尤其是大数据与人工智能的发展，个人信息的产生、收集、存储和利用等方面发生了巨大的变化。首先，个人信息的范围越来越广，种类也越来越多。其次，现代网络信息技术已将现代社会生活高度数字化(或数据化)，Cookie技术和各种传感器可以自动地收集与存储个人信息。这种个人信息被大规模、自动化地收集和存储的情形变得越来越普遍，几乎无处不在、无时不在。

在这种情形下，传统民法的人格权与侵权责任制度已难以满足有效保护个人信息、维护自然人人身财产安全的需要。正因如此，个人信息保护的立法才从公法开始，即：一方面，对收集、存储、分析、使用个人信息的行为予以详细严格地管理，通过管制性规范确定各种法定的个人信息保护义务，甚至使之以技术手段内嵌入各种收集个人信息的软件程序中，以有效地预防个人信息被侵害，从源头上遏制违法收集、使用个人信息的行为，消除自然人因个人信息被侵害而遭受各种现实或潜在的危险。另一方面，随着信息社会中的个人信息数据日益成为定向广告、营销策略甚至是创造巨额个人财富的工具，互联网上各种行为定向广告和价格歧视遍地开花。这些在互联网上被广泛应用的各种定价算法，不仅没有改善竞争，反而形成了各种新型垄断以及歧视行为，既扭曲了正常的市场秩序，也损害了消费者的合法权益，使他们为商品和服务付出了比以往更多的金钱。

(二)个人信息的私法保护的作用

首先，个人信息保护的最终目的不是维护公共利益和公共秩序，而是维护自然人的合法权益。通过赋予自然人对个人信息享有相应的民事权益，不仅能够为保护自然人既有的人身、财产等民事权益建立起有效的防御屏障，还可以避免其他可能出现的新型侵害行为。

其次，民法上对自然人个人信息的保护作出规定，不仅意味着民法认可了自然人对个人信息享有受保护的民事权益，彰显了法律对人格尊严和人格自由的尊重，也充分表明了在任何个人信息保护与数据权属的立法中都应始终关注自然人的民事权益保护与信息自由(信息的流动、共享与利用)这两个法律价值的权衡与协调。

再次，从比较法上来看，尽管各国对是否承认个人信息权有不同的看法，但没有哪个国家完全将个人信息的保护作为单纯的公法任务。各国都是综合利用公法与私法来实现对个人信息的有效保护。

最后，承认个人信息的民法保护，并不当然意味着民法上就要承认自然人对个人信息的权利，更不等于必须将自然人对个人信息的权利界定为如同所有权那样的绝对权与支配权。

综上所述，传统民法在个人信息保护中虽然受到了挑战，存在需要完善改进之处，但不能因此就否定个人信息私法保护的重要意义与功能。现代法律对个人信息的保护应当采取公法与私法并重的综合性保护方法，二者不可偏废。

(三)民法典规定个人信息保护的重要意义

一方面，在民法典中规定个人信息保护，明确自然人对个人信息享受保护的权利，可以为公法对任何组织和个人收集、存储、保管、分析和使用个人信息的行为加以规制，确定相应的义务，并对违反规定的行为进行处罚奠定坚实的基础。另一方面，民法典中规定个人信息保护，有利于构建一个科学合理的个人信息保护的法律体系。

二、个人信息上的民事权益之界定

(一)对《民法总则》第111条的理解

从法解释的角度来看，难以得出《民法总则》第111条确立了自然人对个人信息享有民事权利即个人信息权的结论。

(二)研究自然人对个人信息的民事权益的两个视角

1. 利益的视角

民法不是为了保护个人信息而保护个人信息，个人信息本身也不是需要得到法律保护的利益。但是，个人信息上附着着其他需要法律保护的利益。其中，有相当一部分的利益已得到了现行法上各种人格权的保护，如个人信息上的隐私、生活安宁等利益为隐私权所保护，自然人对作为个人信息的姓名所享有的决定、变更和使用的利益被姓名权加以保护，肖像权保护的是自然人对其肖像的支配利益。如果非法泄露或使用个人信息的行为侵害了上述人格利益，则该行为就是侵害隐私权、姓名权或肖像权的侵权行为。排除这些在个人信息之上已为其他民事权利所保护的附着利益后，自然人对个人信息是否还享有某种独立的、应受保护的利益呢？现代社会的个人信息上还附着着一种应当受到保护的防御性或保护性利益，即自然人针对个人信息还享有防止因个人信息被非法收集、泄露、买卖或利用而导致其既有人身、财产权益遭受侵害甚至人格尊严、个人自由受到损害的利益。 该利益既无法为现有的人格权等民事权利所涵盖，又属于法律上有保护之必要的合法利益。

在大数据时代，个人信息被收集、储存、转让和使用已经成为每个自然人被嵌入其中的社会生活常态，无法改变。然而，无论是数据企业、政府部门还是其他主体，在收集、保管、分析和使用个人信息的过程中，极有可能会给自然人带来各种前所未有的侵害自然人既有人身、财产权益以及损害人格尊严和人格自由的危险。这些危险至少包括：其一，因个人信息被非法收集、非法买卖或使用而使犯罪分子有机会对自然人既有的生命权、健康权、名誉权、隐私权等人格权以及债权、物权等民事权利实施侵害；其二，基于被合法收集的个人信息而形成的大数据，通过算法等技术进行社会分选、歧视性对待，进而损害人格尊严的危险；其三，通过大数据和人工智能技术进行人格画像，将作为民事主体的自然人降格为客体并加以操控，进而损害人格自由等。

为了消除上述各种新的危险，法律上必须承认自然人对个人信息具有一种防御性的利益，并给予保护。如此才可能为信息社会的每个自然人筑起一道坚实的法律保护屏障，使之免于遭受上述危险现实化后所带来的损害。故此，从利益的角度进行观察后可以发现，自然人对个人信息拥有独立的、无法为既有民事权益涵盖的、应受到法律保护的利益。

2. 救济的视角

自然人对个人信息的自主利益只是一种防御性利益，这种利益并非是对个人信息予以直接支配的利益。为了有效地避免对信息自由(尤其是他人获取信息的合理自由)、言论自由和其他自由的不合理限制，协调个人信息权益保护、信息自由以及公共利益的关系，对于自然人对个人信息的利益应当采取最低程度的保护，即将其仅仅作为一种民事利益给予保护。自然人对其个人信息并不享有如同物权等绝对权那样一般性的排他支配权，也无权要求其他人如同尊重物权等绝对权那样来尊重其对个人信息的利益。自然人只有在其个人信息遭受违反法律规定的行为的侵害时，才有权获得救济。

申言之，民法上不应当简单地通过将自然人的个人信息固定为个人信息权并确定各项权能的模式来保护个人信息，而是应当采取以下两方面的保护：一方面，赋予自然人对个人信息的某些控制性的权能(如对未经同意而收集其个人信息的信息收集者、占有者，要求其删除的权利；在信息出现错误时要求予以更正的权利)，来实现自然人对个人信息在特定场合的控制与支配，进而防止个人信息被侵害；另一方面，通过引入公法上的个人信息保护性法律规范确定侵害个人信息行为的违法性，并要求那些违反个人信息保护性规范的信息收集者、利用者就其非法收集、使用、加工、传输他人个人信息，或者非法买卖、提供或公开他人个人信息的行为，承担相应的民事责任。

三、人格权编草案中个人信息保护规定的完善

(一)个人信息保护的单独成章

目前，人格权编草案合并规定隐私权与个人信息保护将产生两个弊端：其一，不符合《民法总则》确立的民事权益的体系以及民法上将个人信息作为手段性权利或工具性权利给与保护的立法初衷。其二，容易模糊隐私权与个人信息的性质和法律保护方法。

(二)侵害个人信息民事责任的具体完善

目前的民法典人格权编草案涉及个人信息保护的条文虽然有八条之多，却缺乏对侵害个人信息民事责任的具体规定。因此，民法典人格权编还应当对侵害个人信息的民事责任的归责原则、构成要件、侵权责任的承担方式等作出更加具体的规定。这是因为，没有救济，就没有权利。民法对个人信息的保护不同于公法保护的关键不在于民法对自然人对个人信息的赋权性规范，而在于个人信息被侵害时提供相应的救济，即：使得信息收集者、持有者在违反个人信息保护的义务而侵害个人信息时，须承担相应的民事责任。

文摘来源：《中国法学》2019年第4期

图片来源：百度图片

声明：本文来自中国法学杂志社，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。