大数据时代下个人信息的民法保护

董华建

西北政法大学，陕西 西安 710063

一、我国个人信息的法律保护现状

(一)我国个人信息立法情况

目前我国学界已有两部具有代表性的专家建议稿，一是周汉华教授带领编撰的《个人信息保护法(专家建议稿)及立法研究报告》，二是齐爱民教授的《个人信息保护法示范法草案学者建议稿①。我国目前虽然没有专门的法律保护个人信息，但仍有相关法律进行保护，可将其分为个人信息的法律直接保护和个人信息的法律间接保护[1]。直接保护指法律直接对“个人信息”做出规定，这些法律文本主要有《护照法》、《身份证法》、《刑法》和《统计法》等。间接保护是指法律没有明确指出“个人信息”，但通过对“隐私权、姓名权、肖像权等具体人格权与个人信息相关的范畴”进行保护来保护个人信息。相关的立法有《宪法》、《民事诉讼法》、《刑事诉讼法》《网络安全法》等[2]。同时我国《民法典》(草案)第八百一三条至八百一十六条在《民法总则》的基础上对个人信息保护进行了细化立法。

(二)我国个人信息民法保护面临的困境

1.个人信息及个人信息权不明确

对于个人信息在民法的保护上，我国仍处于探索阶段还没有系统的法律规定，与公民个人信息保护有关的规定分散于其他法律之中，而且它们之间缺乏协调与配合，这就导致当公民个人信息受到侵害后，很难得到切实有效的保护。主要表现在：一是目前民法对个人信息的保护大多是对于公民个人私密的、未经公开的等个人敏感的信息进行保护，而对“一般性的个人信息”的保护在司法实践中却常常无法可依。二是对个人信息权未作明确的规定，个人信息权包括决定权、查询权、更正权、删除权、保密权、收益权以及救济权。现行民法对个人信息的保护侧重于个人信息的内容以及收集程序是否合法，而对于收集利用后的行为如何规范缺乏相关规定。此外，由于个人信息在其人格属性之外，又具有一定的财产属性，而且在其经济价值日益凸显的情况下，个人信息越来越频繁地受到侵害并且侵权手段也层出不穷，公民的精神和财产都会受到侵害[3]。

2.缺乏明确的个人信息保护原则

公民的权利保护需要一定的原则作为指导才能体现其保障的充分性，个人信息权的保护亦是如此。虽然我国《民法总则》规定了七项基本原则，但是在没有具体立法的情况下很难从中找到适合关于个人信息保护的原则。这就使个人信息的保护在具体司法实践中容易被误用甚至滥用。

3.没有明确的个人信息侵权规定

我国目前针对个人信息保护的规定趋于原则化，这就容易使权利人在受到侵害时不能得到及时有效的保护和救济。我国民法对个人信息的保护以间接保护为主，仅对侵犯公民的隐私、名誉、姓名、肖像等权利作了相对完善的规定，而对于“一般性的个人信息”受到侵害时则无章可循。此外其侵权责任多为停止侵害、排除妨害、消除危险、恢复名誉等方式，侧重于保护权利人的人格权益，使得个人信息财产属性的保护未得到重视，现在的这种侵权责任的规定无形中降低了个人信息侵权行为的成本，导致个人信息侵权现象频发。

二、域外个人信息民法保护

(一)美国个人信息民法保护

美国对于个人信息的保护具有部门性，没有采取统一的立法方式，而是通过对个人信息的某个方面进行专门立法，以此达到法律保护的目的[4]。20世纪70年代中期美国颁布了《美国隐私法》，使其成为世界上第一个通过立法明确保护公民隐私权的国家。美国并未另设个人信息权，其对个人信息的保护以隐私权为基础进而扩展到个人信息的其他方面。采取分散式的立法模式，涵盖社会生活的各个方面，各法律规范相互配合保护公民个人信息的安全。

另外，美国个人信息的保护注重行业自律，倡导私力救济。由于美国没有专门的个人信息保护法，缺乏与其配合的专门机构来保护个人信息，而且其分散立法模式的保护范围又局限于公领域，采取行业自律的方式从私领域着手保护能够有效地缓和这一矛盾，为美国在个人信息保护方面的首创。

(二)欧盟个人信息民法保护

欧盟采取统一的立法模式、以人格权为基础保护公民的个人数据。最具代表性的立法是欧盟于1995年通过的《关于个人数据处理所涉及的个人保护委员会指令》(简称欧盟95指令)，与美国不同，欧盟采取统一的、集中的立法方式，既规制公领域又规制私领域。为协助法律的实施，欧盟还设立了专门的、具有独立性的个人数据保护机构[5]。

该指令具有公约性，以保护公民的个人信息为目的，又尽可能地保障信息的流通；同时又明确了个人信息保护的范围和限度，避免了司法实践中的冲突和过度保护，我国个人信息保护立法可以从中吸取很多经验。

三、完善我国个人信息民法保护的构想

(一)尽快完善个人信息立法，确定个人信息的内容以及确认个人信息权

我国《民法总则》虽然规定了自然人的信息不受侵害，但是并未确认“个人信息权”，也即我国在法律上并未把个人信息作为公民的一项权利。现实中的与个人信息有关的侵权现象通常通过一般人格权如名誉权、姓名权、隐私权等实施救济，而这些远不能充分地保障公民的个人信息安全，需要在一般的具体人格权保护的基础上适当地扩大其保护的范围和程度。

(二)明确个人信息的财产权属性，对个人信息所具有的财产利益进行充分的保护

个人信息作为信息主体的一部分直接体现出其人格利益，我国目前对公民姓名、肖像、隐私等权利的保护都是对公民人格权的直接保护。但在大数据时代下，随着信息经济的发展，个人信息的财产利益越来越重要，这也是近年来个人信息侵权事件频发的原因之一。加之我国并没有一套专门适用个人信息侵权赔偿及归责的法律，仅从《侵权责任法》中寻找依据并不能起到很好的效果。

(三)确认保护个人信息的原则

保护个人信息不受非法侵害，理应明确其应当遵循的原则，其包含着该部法律的立法精神、价值取向以及基本宗旨。笔者认为我国日后制定《个人信息保护法》可采取以下原则：一是目的明确原则，个人信息在收集利用之前就应当具有明确的目的且该目的能够为被收集者所知晓。该原则注重目的的明确性和被收集者的知晓。二是限制收集原则，该原则是指任何主体都应当以公平合法的方式收集利用个人信息，除法律另有规定外，还应当争取信息所有者的许可。三是安全和保密原则，信息收集者应当采取有效措施保障信息的安全同时也应当对其所掌控的信息进行保密以保障公民的人格权。

四、结语

在大数据的时代背景下，伴随着社会经济的快速发展，个人信息的作用和价值越来越重要。尤其是在个人信息的财产属性凸显出来之后，在给人们带来利益的同时也会威胁到个人信息的安全，我国个人信息侵权事件频发，受害人得不到充分的保护，救济困难等这些都与我国复杂的社会关系以及法律不健全有很大的关系。个人信息保护已列入人大立法计划，我国法制建设以及人权保障又会得到进一步的发展。

[ 注 释 ]

①陈广云.个人信息的民法保护研究[D].安徽财经大学，2017.9.