大数据时代个人信息权的侵权责任法保护

●谭秋云

（广西大学法学院，广西 南宁530000）

随着互联网技术的发展，我们已经进入了大数据时代。如何保障个人信息的安全是当前面临的首要问题。2017年3月颁布的《民法总则》第111条专门规定个人信息权，确立了个人信息权的人格权地位，有力遏制各种侵权的发生。但是该条文并未规定个人信息的具体内涵、外延、侵权的主体以及相应的法律后果，在今后的司法实践难以起到规范作用。民法典草案人格权编对个人信息进行了相应的规定，但是还是有值得商榷之处。

一、大数据与个人信息面临的挑战

（一）大数据的基本概念

在我国，大数据还没有确切的、公认的定义。“大数据”一词由英文单词“Big Data”翻译而来，最初被麦肯锡全球研究所定义为“数据体超出传统数据，数据库可以承载、处理计算能力的庞大数据集合”。①这个概念很抽象，但是它指出了大数据体量巨大的基础特征。大数据的来源多样，主要有移动设备终端和互联网终端。大数据的内容主要以信息碎片存在，例如互联网上保存的交易记录、浏览记录、聊天记录等。它具有数据量巨大、数据种类多、价值特异、数据分析快的特征。

（二）大数据对个人信息的挑战

为了解公民个人信息的侵权情况以及认知的程度，笔者对普通民众进行了网上问卷调查，此次调查总共收到有效反馈问卷209份。

1.个人信息侵权现象普遍存在

根据调查结果显示：第一，将近90%的被调查者表示他们的个人信息被他人获取、利用过，且也有部分被调查者表示有过电话骚扰等情况的出现，这说明如今大数据时代下，个人信息侵权的现象很普遍。第二，大多数人表示基本个人信息容易被泄露，以及个人照片、网络及银行账号都有可能被他人利用，这说明人信息的价值越来越高。第三，有32.54%的被调查者表示在微信、QQ等网络平台上容易被泄露个人信息，且有22.49%的被调查者表示网络购物平台也有可能泄露个人信息，这说明，在网络环境下，个人数据泄露的途径多种多样。

2.公民个人信息安全意识薄弱

调查表明，在需要提供身份信息的场合，是否有注意保密时，6.7%的受访者表示从不注意，而40.67%的受访者只是简单了解而已，这表明大多数人并不知道个人信息有可能被他人利用，对这种行为并不反对。当提及哪些个人信息被泄露是无法容忍的时候，56.94%的受访者对涉及姓名住址电话等基本信息，病史、酒店住宿等隐私信息，受教育程度等深层次信息都表示无法容忍，也显示出有部分人对于个人信息的泄露还是可以容忍的。可以说明相当一部分人的信息安全意识较薄弱。

3.现有的个人信息保护措施不够完善

调查显示，个人信息被泄露之后，有超过1/3的人会置之不理，且只有11%的人会运用司法途径，14.83%的人会对侵权人进行警告，这说明我们的法律不够完善，相关的救济途径也不够完善。60.77%的被调查者表示，当前网络技术存在漏洞，有相当数量的人表示政府管理还有待完善，法律法规不健全等，这说明我国现有技术尚不能充分保护个人信息。

总而言之，随着大数据时代的来临，通过各种信息收集渠道可以迅速获取个人信息，因此，我们的个人信息就会有无法预知的风险，而目前的法律政策尚不能阻止这些问题的发生。

二、大数据时代的个人信息权

（一）个人信息的概念

概念是一个事物的内涵和外延的定义，对个人信息下定义具有重要的意义。目前国际上总体而言有两种观点：1.关联型定义。认为只要与个人有关的能识别出个人的信息，都属于个人信息。例如1995年欧盟颁布的《个人数据保护指令》第2条：“个人数据，是指任何与已确认的或可以确认的自然人有关的信息”。2.识别型定义。是指通过个人信息能直接或间接识别出信息主体。3.隐私型定义。它将个人信息与隐私二者等同。

笔者认为识别型定义比其他两种定义更加科学合理，第一种定义虽然简洁，但是没有外延列举进行参照，就会导致界限不够清晰而难以把握。第二种定义将个人信息与隐私两者概念混淆也不可采纳。《民法典》草案三审稿定义个人信息的范围采用的是识别型定义，但是没有明确是否包含电子邮箱地址和行踪信息。文章认为，应该采纳《个人信息保护法（专家建议稿）》第九条：“个人信息是指个人姓名、住址、出生日期、身份证号码、医疗记录、人事记录、照片等单独或与其他信息对照可以识别的个人的信息。”②并且以上可识别的个人信息范围应当包含电子邮箱地址和行踪信息。

（二）大数据时代的个人信息权

“个人信息权是指信息主体依法对其个人信息享有的支配、控制并排除他人侵害的权利。”③《民法总则》第111条从民事基本法的层面提出了个人信息权，明确保护个人信息的行为规范。就性质上来说，个人信息权是人格权的一种。个人信息兼具精神价值和财产价值，具有独特的属性，因其本身仍是人格要素中发挥出来，属于人格权的客体，具有人格权属性而不是财产权属性。其权利内容包括自主决定权、知悉权、更正权和删除权、直接营销禁止权、请求救济权。④

（三）个人信息权与隐私权的区别

无论是制定单独的法律来保护个人信息还是制定不同的法律进行保护，都会涉及个人信息权和隐私权的关系，两者具有密切的联系，但是两者仍然具有明显的差别，表现为：

第一，个人信息权兼具人格价值和财产价值，对于明星的个人信息而言，主要体现为财产。隐私权主要是精神性的人格。财产价值不突出，隐私权被损害主要导致精神损害。

第二，个人信息权是一种兼具积极性的权利和被动防御的权利，积极性的权利表现在行为人未经权利人许可进行使用个人信息时，尚未产生实际损害，有权请求侵权人对个人信息进行更改或删除；消极性的权利体现在遭受到侵害之时，可以请求他人排除妨害、消除危险等。而隐私权则是一种消极、防御性的权利，只有在其权利遭受侵害的时候，个人信息权人才可以主动行使权利，无侵害就不可以行使救济。

第三，从权利内容来看，个人信息权主要是指对自己个人信息的支配和自主决定。隐私权主要维护的是个人私生活的安宁，个人私密不被公开。且个人信息权不仅涉及个人利益还涉及公共利益、公共安全。

三、我国公民个人信息侵权责任归责原则

侵权责任的归责原则是侵权理论的核心部分，侵权责任的全部规则都是建立在归责原则之上。对于归责原则的体系，文章采用通说的观点即包含两个部分：过错归责原则和无过错归责原则，且过错归责原则中又包含过错推定原则。《民法典》草案三审稿采用的是过错责任原则。

（一）域外个人信息侵权归责原则的立法例

欧盟1995指令采取无过错责任原则，它主要考虑到信息主体在个人信息侵权案件中的弱势地位情况，其对个人信息侵权的规定为：“非法处理行为和违反根据该指令所制定的国家法律”导致个人信息权人的合法权益受损时，不要求主观上有侵害的过错。在欧盟1995指令的指导下，欧盟众多国家在个人信息归责原则上一致采取了无过错责任原则，荷兰、葡萄牙、奥地利等”。⑤而德国则采用不同的归责原则，与欧盟的有所差别，它根据信息处理者的不同采用不同的归责原则，公共机构的个人信息处理采用无过错责任原则。除此之外，亦有国家明确将个人信息权归入人格权，并适用民法的一般条款采用过错责任原则，或在个人信息保护法中强调故意或过失侵权等，如奥地利《联邦个人数据保护法》。⑥

文章认为，大部分国家主要采用无过错责任原则，但是要平衡个人信息保护与合理利用之间的关系，这个原则显然是不符合现实的需求的。而主张过错责任原则的缺点在于会使得失之过宽，导致侵犯个人信息的情况得不到有效遏制。因此采用多元的归责原则显然是有必要的。

（二）确立多元归责原则

侵害个人信息行为根据信息管理者的性质的区别，可分为国家机关侵害个人信息行为与非国家机关侵害个人信息行为。笔者认为，对于两种性质不同的行为应该区分处理归责原则。某地区的“资料法”与《德国资料法》对上述两个类型的侵害行为分别规定不同的归责原则。对于非国家机关个人信息侵权行为也要根据个人信息侵权行为的不同，采取不同的归责原则。针对一般的侵权行为，实行严格责任原则；对于承担损害赔偿责任的侵权行为，实行过错责任原则，对于国家机关个人信息侵权行为应该采用严格责任原则。

严格责任归责原则是一种比没有尽到合理的注意义务而应承担的一般责任标准更加严格的一种责任标准。⑦即使行为人采取了一切可能尽到的努力避免事故的发生，也应对其行为后果承担责任。行为人只能证明存在受害人过错、第三人的行为以及不可抗力等事由主张免责。它与过错责任是相对的，有无主观过错在所不问；与无过错责任归责原则是不同的，无过错责任是适用于法律明确规定的特殊侵权行为。

（三）确立多元归责原则可行性分析

对于国家机关个人信息侵权案件，不以过错为要件，只要国家机关实施侵犯个人信息的行为就得承担相应的责任。我国《国家赔偿法》就有规定，国家行政机关及其工作人员违法行使职权，侵犯公民、法人或其他组织的合法权益且导致损害的，由国家赔偿。某地区“资料法”第27条规定：“公务机关违反本法规定，致当事人权益受损害者，应负损害赔偿责任。但损害因天灾、事变或其他不可抗力所致者，不在此限”。⑧这是因为国家机关的职权比较大，国家机关与个人相比，处于优势地位，个人是很难进行举证的，而对于国家机关而言，它拥有较大的优势地位可以进行举证等，只要证明公民存在过错，第三人的行为导致的以及不可抗力等就可以免责。

对于非国家机关个人信息侵权行为，一般的侵权行为应该采用严格责任原则，这是因为这样可以最大限度地保障公民的个人信息权，避免举证难的问题。而对于损害赔偿责任的案件，采用过错责任原则可以避免滥诉的发生，因为现实中个人信息侵权案件复杂多样，这样会避免司法资源的滥用，一定限度内的举证责任具有重大意义。

我国侵权法在一些特殊侵权责任中，也会采用多种归责原则的情形，如我国《侵权责任法》第7章医疗损害责任就包括了过错责任和严格责任。因此，笔者认为应确立多元归责原则，按照具体情况具体规定，以全面、有力地保障个人信息的安全。

四、我国个人信息侵权保护的完善建议

（一）制定统一的《个人信息保护法》

制定一部专门的个人信息保护法是保护个人信息最稳定、最有力的方式。个人信息权的侵权责任法研究都应该建立在个人信息收集、处理、利用的基本行为规则之上，没有这一规则，个人信息权利保护与利用信息自由之间的界限也无法划界，且侵权责任构成之中的“过错”与“违法性”判断就缺乏前提。《中华人民共和国刑法修正案（七）》中列举了对个人信息的刑事保护规定，有效遏制了个人信息侵权行为的发生，但这还是不够的。“试想个人信息的行政法保护尚未建立、尚缺乏个人信息处理与利用一般规则的前提下，就将有关单位对个人信息的‘非法出售或者非法提供’上升为犯罪，可能缺乏‘入罪’的正当性，甚至会成为空中楼阁？”⑨《个人信息保护法》应该定性为行政法，它不仅规范政府处理个人信息的行为，同时也为其他信息处理提供相应的行为准则。

（二）采取惩罚性赔偿制度

采用惩罚性赔偿制度是基于个人信息权被侵犯的涉及面非常广，而且侵害后具有损害及时性特点。采用这个制度有利于鼓励被侵权人受到侵害之后积极采取相应的司法救济途径，积极起诉，尽可能弥补所受到的损失。而且，民事领域具有惩罚性措施中这是最严格的了，在我国司法实践中这是除刑罚措施之外比较有影响力、震慑作用是最大的措施，无形中增加侵权人的社会或经济负担。同时，实施惩罚性赔偿会使侵权人从实施侵权行为所获得的不法利润减少，这样就可以有效预防侵犯个人信息行为的发生。

在具体实施惩罚性赔偿制度时，在赔偿数额上要严格控制，不能规定过高，因为这样会导致滥诉的发生。因此要采用一定的赔偿标准，建议先设定最低的赔偿金数额标准，但是由于全国各省份经济发展程度不一致，不能在全国范围内规定最高赔偿金的数额标准。在司法实务中，法院应综合考虑当地实际以及案件的具体情况确定赔偿数额。

（三）增强个人信息安全教育

个人信息的泄露与个人安全意识不强有千丝万缕的关系，提高自身的个人信息安全保护意识也很重要。第一，在全社会范围内开展信息安全知识普及工作，提高公民的自我信息保护意识。第二，普及公民电子设备的安全操作知识，以防公民个人信息遭受侵害。第三，鼓励公民进行维权，当发现个人信息被盗取等时，应该立即进行维权，例如通知对方断开连接、删除、屏蔽等。导致财产损失的，可以协商或调解解决，必要时可以起诉侵权人。

五、结语

随着我国科学技术的发展，且个人信息的商品化程度越来越高。与此同时，“人肉搜索”、贩卖个人信息、网络电信诈骗等现象普遍存在，且个人信息网络侵权行为也将频繁发生。尽管我国的信息技术前景很好，互联网技术也在世界上名列前茅，但是公民个人信息保护问题形势依然严峻。因此，个人信息保护迫在眉睫，法律对个人信息进行保护是必然的。文章比较考察域外相关立法，考虑个人信息本身及网络侵权的特殊性，对其民事救济，认为立法应着眼于责任形式和侵权主体的不同而确立过错责任、过错推定责任与无过错责任相结合的多元归责原则，在立体式的综合运用中全面、有力地保护其网络安全。

注释

①格林斯潘.动荡的世界、风险、人性与未来的前景[M].中信出版社，2014：106。

②周汉华.中华人民共和国个人信息保护法（专家建议稿）及立法研究报告[M].法律出版社，2006：3。

③张新宝.隐私权的法律保护[M].群众出版社，1997：47。

④刘爱静.我国个人信息侵权问题研究[D].大连理工大学，2008：10～11。

⑤周汉华.域外个人数据保护法汇编[M].法律出版社，2006：264、290-292、112-113。

⑥刁胜先.个人信息网络侵权问题研究[M].上海三联书店，2013：87。

⑦李显冬.侵权责任法[M].北京大学出版社，2014：89。

⑧齐爱民.信息法原论——信息法的产生与体系化[M].武汉大学出版社，2010：126。

⑨郭明龙.个人信息权利的侵权法保护[M].中国法制出版社，2012：325。