网络实名制下个人信息的民法保护探究

罗艳娟　陈晴航

摘 要：网络实名制的实施使更多的个人信息被网络运营者所掌握，虽然《民法总则》首次将个人信息纳入了民事基本法的保护范畴，但我国对个人信息的民法保护仍未完善。笔者认为，只有保护好个人信息才能为网络实名制的有效实施奠定基础。因此，本文从网络实名制和个人信息保护的关系出发，通过对网络实名制实施现状以及我国个人信息民法保护现状的分析，对完善我国个人信息的民法保护制度提出了建议。

关键词：网络实名制；个人信息权；民法保护

1 问题的提出

网络实名制又称“网络身份制度”，即要求网络用户在使用网络时需要披露自身的实名信息，从而将网络世界的虚拟身份与现实世界的真实身份相对应，相统一的制度。2017年6月1日《网络安全法》正式实行，规定“网络运营者为用户办理网络接入、域名注册服务，办理固定电话、移动电话等入网手续，或者为用户提供信息发布、即时通讯等服务，应当要求用户提供真实身份信息。用户不提供真实身份信息的，网络运营者不得为其提供相关服务。”我国开始全面实施网络实名制，从立法上对网络安全进行进一步的保障。

网络实名制下的个人信息包括因网络实名制的实行而处于被非法搜集和利用、被泄露危险之中可以识别网络用户本人的个人信息，具体可分为两大类：后台实名信息和前台网络信息。前者指网络用户在注册时为通过网络平台的实名认证而提供的姓名、身份证号码、电话号码等由网络服务提供者收集掌握的信息。后者指网络用户在网络活动过程中被网络服务终端依靠技术手段留存下的信息，包括上网地点、聊天记录、搜索内容等。

网络实名制的实施对于个人信息的保护而言有利有弊。网络实名制的实施提供了责任追溯机制，网络行为不再因互联网空间的虚拟性而陷入无法追责的状态，一定程度上约束了网络用户的行为。从网络服务提供者的角度看，能合法地收集用户的个人信息，进行定向的管理和监督，提供更优质的服务，降低了经营风险。从国家执法的角度看，公安机关在侦查案件时，借助网络实名系统能更快地锁定犯罪分子，降低了执法成本，提高了执法效率，更及时地保护了个人信息。另一方面，网络实名制的实施使大量网络用户的个人信息被存储在网络运营商的服务器中或各类第三方平台中，大部分网络运营商缺少统一的标准和专门的管理流程来处理这些数据，且配套安全防范系统不够健全，工作人员缺乏危机意识，导致大量实名信息和行为信息被置于危险的境地。企图利用个人信息牟利的犯罪分子通过攻击网络漏洞，非法收集、泄露和传播个人信息，给他人造成名誉、财产上的损失。这些侵权主体不仅仅是网络黑客，甚至还有掌握个人信息的企业内部员工，他们与盗卖个人信息的犯罪团伙勾结，将从企业内部盗取的个人信息数据进行交换，并通过各种方式在互联网上贩卖。网络实名制可能带来的个人信息泄露问题着实令人担忧。

2 我国网络实名制下个人信息的民法保护现状及问题分析

2.1 《民法总则》第111条

“自然人的个人信息受法律保護。任何组织和个人需要获取他人个人信息的，应当依法取得并确保信息安全，不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息。”《民法总则》第111条首次从民事基本法层面明确了对个人信息的保护。且从体系结构来看，该法条被置于第五章民事权利之中，人格权之后，财产权之前，笔者认为法条中虽然未明文规定“个人信息权”，但在一定程度上承认了个人信息可作为民事权利的客体，实质上表明了个人信息权应当作为一项民事权利存在，受到法律的专门保护。

该条文中也存在着一些不足。首先，其并未明确规定个人信息的具体内涵和外延，这种不加任何范围界定，笼统地将个人信息一词置于条文中的表述方式很难对个人信息起到实际的保护作用。其次，法条中含有禁止性规范，虽然列举了一系列禁止行为，但这种具体列举的方式限制了法律可调整的范围，考虑到网络技术发展之迅速，对个人信息权的侵权方式会越来越多，不仅仅局限于条文中列举的数种，这时可能会出现法律无法规制的情形即法律漏洞，使犯罪分子有机可乘。最后，该条文并未规定法律责任即行为人在未履行法律规定义务时应当承担某种不利后果，在执法过程中难以对行为人起到较强的约束作用。

2.2 《侵权责任法》的相关规定

“网络用户、网络服务提供者利用网络侵害他人民事权益的，应当承担侵权责任；网络用户利用网络服务实施侵权行为的，被侵权人有权通知网络服务提供者采取删除、屏蔽、断开链接等必要措施。网络服务提供者接到通知后未及时采取必要措施的，对损害的扩大部分与该网络用户承担连带责任；网络服务提供者知道网络用户利用其网络服务侵害他人民事权益，未采取必要措施的，与该网络用户承担连带责任。”《侵权责任法》第36条对网络侵权行为进行了规制，个人信息被包含在民事权益中受到保护，为个人信息的网络侵权行为提供了重要的民事救济途径。同时，针对不同情况的侵权行为规定了不同的责任承担方式。

但从条文表述来看，未明确“个人信息”一词，而仅以“民事权益”进行整体概括，显得过于笼统，缺乏针对性，在司法实践中往往存在认定的困难。从具体内容来看，网络侵权行为在《侵权责任法》中属于一般侵权行为，仅适用过错责任原则。考虑到网络侵权行为方式更加多样，主体更为特殊，且个人信息的涉及范围广泛，单一的归责原则实际上已经无法完全规制各类侵权行为。当侵权主体是网络服务提供者或其他组织时，依靠其专业的技术、设备和人员，往往占有绝对的举证优势，而让被侵权的自然人举证被告存在的侵害其个人信息行为无疑是困难重重，往往无证可寻，需要承担败诉的风险，此时继续适用过错责任原则对于被侵权人而言显然是不符合公平正义的。

2.3 《网络安全法》的民事保护条款

《网络安全法》是我国第一部全面规范网络空间安全管理方向问题的基础性法律，其中的12个条款涉及到个人信息保护，其中第44条和第47条明确了各类主体在个人信息保护中应当履行的义务。一方面，要求任何组织和个人收集个人信息时不得采取窃取或其他非法方式，利用个人信息时不得非法出售或向他人进行非法提供。另一方面，明确了网络运营者在收集和使用个人信息所应当遵守的原则，包括事前先经当事人同意原则，事中公开、必要、合法法规合约原则，以及事后的妥善处理保管原则。另外，第43条规定，个人信息的主体若发现网络运营者非法收集、使用其个人信息的，将享有要求网络运营者更正和删除其个人信息的权利。

《网络安全法》在立法上提高了个人对自身信息的管控程度，鼓励个人对侵犯其个人信息权的不法行为进行主动维权，调动个人对其个人信息进行主动保护的积极性，从法律层面明确赋予了个人保护其自身信息的权利，以最小的执法成本达到了更好地保护了个人信息权不受侵犯的最佳效果。另外，该法对网络运营者以及任何组织个人收集和使用个人信息的行为进行了规范，有利于营造更加安全的网络信息环境，督促各信息管理主体采取措施妥善保管和处理其所掌握个人信息，保障个人信息权的充分实现。但也存在着原则性规定多，可操作性不强，导致信息主体仍处于弱势地位，有权而无法用权的缺陷。如上述第43条虽然规定了个人信息主体的更正删除权，但事实上其往往无法及时准确获知其个人信息何时何地何人非法收集和使用，缺乏获取证据和有效主张权利的渠道。

3 健全我国网络实名制下个人信息民法保护制度

3.1 统一立法，制定《个人信息保护法》

通过对我国个人信息保护立法现状的分析，不难发现“碎片化”的立法是导致个人信息保护不全面、不完整的重要原因，亟须一部法律对个人信息保护进行详细、专门的规定。伴随着网络实名制的实施，需要更完善的法律系统来保护个人信息不受侵犯。我国于2005年就已经完成了两部个人信息法的专家建议稿，只是一直尚未出台正式的个人信息保护法，面对立法上的空缺，个人信息保护问题越来越严峻，笔者认为，《个人信息保护法》的出台应是大势所趋，势在必行的。

3.2 在《民法总则》中设立个人信息权并细化内容

虽然《民法总则》实现了将个人信息保护写入了民事立法，但并未在法条中明确提出个人信息权这一称谓，这很可能导致在适用法律时个人信息权无法作为一项独立的民事权利受到专门的保护。我国在立法上应当明确设立“个人信息权”，这样才能给予个人信息更具有针对性的保障和更全面的救济。个人信息权作为一项独立的民事权利存在是非常有必要的。个人信息权是一种信息主体对个人信息享有的使用、处理并排除他人侵害的控制权，这种对个人信息的控制是一种法律上的控制，即是享有受法律保护的利益范围。因此，从本质上看，个人信息权是完全能够作为一项独立民事权利存在的。

对于个人信息权的内容我国在立法上也是完全缺失的。笔者认为可以从“具体内涵”和“基本原则”两方面进行进一步的细化。首先，在具体内涵上，赋予个人信息主体同意自己的信息是否被收集、利用的同意权，有权要求信息使用者告知其个人信息的收集和利用等相关动向的告知权，发现被收集利用的个人信息有误时要求信息使用者予以更正或删除的更正删除权，发现自己流通中的个人信息不正确或不全面有权要求信息使用者阻止信息的继续流通的封锁权以及要求信息使用者妥善保管个人信息不轻易向他人泄露的保密请求权。其次，基本原则可以从收集信息时，利用信息时，保管信息时三个层面进行确立，收集信息时应当遵循收集目的合法原则，利用信息和保管信息时应当遵循确保信息质量和安全原则，同时为了不抑制信息产业的发展，应设立流通自由和相对限制原则。

3.3 完善个人信息侵权民事救济方式

在救济方式上，应区分个人信息权的人格权属性和财产权属性，实行不同方式的救济。当侵权行为给受害者带来的仅是名誉、个人尊严等精神层面的损害时，提供的救济方式就仅针对人格利益。当侵权主体利窃取具有商业价值的个人信息进行非法买卖，不法牟利时，此时就可能侵犯个人信息主体的财产利益，此时的救济方式就应当兼顾人格利益和财产利益进行保护。在归责原则上，不能单一地适用过错责任原则，针对政府机构和非政府组织应当适用不同的规则原则。政府机构在利用网络收集、使用个人信息的过程中侵权时，基于行政机关与个人形成的不平等法律关系，行政机关在诉讼中处于主导地位，自然人在维权时较为困难，此时应适用无过错责任原则，由行政机关承担举证责任。非政府组织和个人侵权時，虽然二者在法律关系上地位平等，基于网络侵权行为具有很强的技术性和隐匿性，受害人寻找证据相当困难，侵权主体还是具有较大的优势的，此时适用过错推定原则更为适宜，既倾向性地保护了弱者，又均衡地分配了举证责任。

参考文献

[1]刘静.网络实名制下个人信息的法律保护[J].新闻与法律，2015，（4）：98-100.

[2]金新强 卢瑾.大数据背景下个人信息权研究——兼评《民法总则》第111条[J].西部金融，2017，（4）：32-35.

作者简历

罗艳娟（1982-），女，福建光泽，硕士研究生，厦门大学嘉庚学院讲师，民商法。

陈晴航（1996-），女，福建德化，法学学士，厦门大学嘉庚学院学生，民商法。