个人信息法律保护问题研究——以民法典为视角

　摘要

《中华人民共和国民法典》的出台第一次从民事基本法的角度确立了个人信息受到法律保护，把隐私权保护跟个人信息保护联系在一起列入同一章节中去，在此基础上将其归纳为人格权保护，民法典对有关个人信息民法保护制定的相应法律提供了法律依据，为以后制定跟个人信息相关的法律作下了铺垫。但是，《民法典》内容中有关个人信息保护制定的标准不够具体，也没有把自然人持有的个人信息利益制定为单独且详细的民事权利。

　关键词：民法典；公民个人信息保护；立法

　一、民法典个人信息处理的概述

　　(一)公民信息处理的合法性

收集、处置信息的主体一定要具有合法性。一般来说。能够搜集与处置个人信息的机构基本上就包括了两种：其中一种就是法律予以授权的主体，例如我国的国家机关(囊括了一些权力机关、立法机关以及司法机关等等)。另外一种就是得到了信息主体同意以后的相关信息采集机构。比如说为了能够登录一些网站，用户会填写一部分信息，那么信息的采集机构就能够借此机会获取信息当事人的同意，变成具有合法性的个人信息采集机构。

　(二)公民信息保护的正当性

个人信息处理的正当性原则主要包含目的正当和手段正当两个方面，目的正当要求信息收集者不能超越法律规定或者商业机构事先确定的目的收集其他信息。比如说房产登记机构就能够搜集一部分和财产登记有关的个人信息，但是绝对不可以搜集和登记工作没有任何关联的另外的一些个人信息。所谓手段正当是指，信息处理者处理相关信息要符合诚信原则要求，尽量透明，方便当事人能够充分了解相关信息的收集、使用目的。特别是在收集与处置个人信息的时候。

　　(三)公民信息保护的必要性

必要性原则也被称作是最小化原则亦或是最少够用原则，指的是从事一个特别的活动的时候能够进行信息的搜集与处理，如果也存在着不需要搜集与处理个人信息的可能性的话，就尽量不收集、处理。在一定要应用个人信息的情况下，就必须要获得权利人的同意，那就应该尽可能地缩减对于信息的收集、处理。

　(四)公民信息保护的知情-同意原则

关于知情同意的法理基础，有学者认为，这来自民法的自愿原则。从具体的行为性质来看，同意应当算作是一种意思表示的行为，同意不仅能够达成合同等交易活动中的给付内容，还能够简单地传达出对他人商业利用自己个人信息的不法性的去除。这两种方式能够各自彰显出权利人对于自己的个人信息的积极与消极方面的把控行为。

　二、民法典视域下我国个人信息保护的现状

　　(一)实践中个人信息被侵害的常见情形

由于互联网信息技术的快速发展，使得个人信息的收集渠道、处理方法变得更加容易且越来越隐蔽，导致个人信息被侵害的可能性也随之提高。在此种形势下，我们要清晰地认识到个人信息的保护所要面临的挑战以及威胁。在实践中，自然人的信息有以下几种侵害：

1.个人信息被非法收集

人们在享受到互联网带来的便利环境的时候，也会留下难以消除的信息数据，而行业为了最好的分析用户需求从而方便地对其准确推送，也就无法避免地将这些个人信息进行收集。传统观念上认为，可能会不法收集个人信息的主体主要包括了金融、教育、电信、交通、医疗机构等单位本身及其所属单位的员工。信息化时代，可能会不法收集的主体已不限制于综上这些主体，新媒体公司、电子商务平台、网络信息服务者等单位或者个人，均具有非法收集人们信息的可能性。比如，一些平台软件在提供服务前让使用者注册个人账号填写他们具体的信息，使用者不完整填写将无法使用其产品，由于使用者缺乏选择权，这些平台软件可以很容易的收集到大量使用者的个人信息，还有一些平台软件以保障程序合法合理为借口来误导使用者填写具体相关信息，或者利用木马链接等非常规手段来窃取信息，个人信息收集渠道变得更加容易且越来越隐蔽。

2.个人信息被非法披露

互联网大数据不发达时期，个人信息的收集途径以及主体有限，个人信息的价值也不突出，自然很少面临遭到侵害的风险。而在这个互联网大数据“爆炸”的年代，个人信息被披露往往是让人们“裸奔”的最便捷手段。没有经过同意或允许公布或发表人们个人信息的行为方式越来越丰富。比如，一些掌握着大量用户个人信息资料的互联网运营商或者组织机构在利益驱动下，在没有法律规定或者用户同意情况下，就私自向外披露用户的个人信息，从而造成用户在不知情的情况下收到许多不明的骚扰电话或者骚扰短信，甚至接到诈骗电话。再如，当某一个人挂在某一个热搜榜上，肯定会有些人将其更多相关信息曝光无余，以供网友更方便“吃瓜”。

3.个人信息被非法利用

信息化时代中的个人信息被不法利用在个人信息被侵害类型中至少占有二分之一，表现形式也呈多样性。在网络交易中，店主们为获取更多收益，将用户的信息汇总后根据需要加以利用，以增加商品的曝光率；在社交媒体中,网络用户所公布的信息被不法分子窃取，虽然部分内容已设置为部分朋友可见，但是网络用户却始终未知其所发表的信息内容被哪些人看到转发；每一个业务单的填写，即为用户收到骚扰电话和骚扰短信轰炸的开始。

4.个人信息被非故意泄露

除了综上所列的三种故意侵害之外，对于个人信息被非故意泄露也应视作对个人信息的侵害，该种信息侵害又可以分为过错地泄露以及无过错地泄露。所谓过错地泄露是指信息主体因没有关注注意事项而泄露信息。比如，随意对附带个人隐私条件的APP实施授权行为，或进入非官方链接、在多家网络平台上采用同一帐号密码、不仔细浏览授权许可网页或注意事项而实施授权行为等，这种信息侵害多由受害者自己所造成。所谓无过错地泄露,也即有关责任人员在储存信息时尽了注意义务，但由于意外因素而造成了信息被泄露，对这一情况，也应视作对个人信息的侵害，但有关责任人员的责任也可因尽了注意义务，由于意外因素造成信息被泄露而相应降低。

(二)民法典对个人信息的保护现状

民法典对个人信息保护的规定有以下诸多方面：其一，明确了信息保护的对象。在民法典人格权编中规定个人信息保护在某种程度上表明民法典还是侧重保护的是自然人的人格权益。其二，明确了信息处理者处理自然人信息应当遵守的基本原则。除民法本身比如诚信原则、自愿原则等重要的原则之外，还重点对合法性、正当性、必要性原则做出明确规定。其三，特别明确了告知同意规则是处理个人信息合法性的前提条件，除非法律行政法规另有规定。其四，对个人信息进行界定，采用“识别说”并对信息的处理包括哪些做了相关列举，比如收集、使用、加工、传输等。其五，规定了自然人针对信息处理者享有的权利，比如民法典明确的规定了查阅、复制、更正以及删除这四种权利。其六，对信息处理者处理个人信息的免责事由以及确保信息安全对信息处理者的义务做了规定。

　三、民法典视域下我国个人信息保护的不足之处

　　(一)个人信息自我保护意识不强

受传统的诉讼观念影响，很多人的法律意识都比较淡薄。当他们的信息遭到侵害时，他们并不会引起过多的重视，同时还缺乏对个人信息的自我保护意识。在日常生活中，由于现代网络技术的快速发展，现代人对电子设备的需求也越来越高，无论是线上购物还是线下手机支付亦或是疫情防控工作中的各种健康码的扫描等，都需要人们把自身的相关个人信息不断的填写、上传。然而会有一些法律意识不是很高的个人，他们会对一些不熟悉的AAP软件进行下载，填写他们具体的信息，也会对一些不是官方主体制作的二维码进行扫码，上传他们具体的信息，从而造成自己的信息大量的外泄。所以说，当前许多自然人对自己信息的保护意识不强，不能够清楚认识到个人信息保护的重要性，这会给不法分子实施违法行为提供有利的载体或条件，从而导致信息处理者对信息主体实施个人信息侵权。

　(二)忽视个人信息的财产属性

自然人的信息是在特定的自然人身上体现着的，这使其个人信息所具备特定的人格属性特征，然而在信息技术快速发展的背景下，自然人的信息所体现出的财产属性特征是显而易见的，特定条件下的个人信息流动和传播是信息相关产业快速发展的基础。从社会经济快速发展的实际状况可以看出，自然人的信息不仅仅具有人格属性特征，与此同时其具有财产属性特征也是不能被疏忽的，也是由于这样，在现实生活中才会促使某些不法分子通过各式各样的手段非法处理自然人的信息获取不正当经济利益。倘若自然人的信息仅仅只是具有人格属性特征，那么在现实生活中就不可能产生这么多非法处理自然人信息的行为。我国《民法典》将个人信息保护纳入人格权范畴，是强调了其人格属性特征，而并未对自然人信息的财产属性进行明确的划定界限。而依据社会发展实际状况来看，对自然人信息的民法保护可以从多元化的价值层面来考量，法律可以考虑对自然人信息的财产属性特征做出明确规定。

　(三)民事纠纷维权难度高

在个人信息侵权的司法实践中，自然人被信息处理者侵权之后，通常由于维权的费用较高、维权的难度较大等因素的影响，导致自然人不愿意通过法律途径进行维权或者不太相信通过法律途径可以有效地保障自身的个人信息权益。首先来说，通过司法进行维权的相关费用较高。有许多信息被侵害的自然人会因为这样而放弃维护自身的个人信息权益。其次就是，证明责任以及举证能力方面的难题。依据一般的过错责任相关规则，信息被侵权的自然人承担了过重的证明责任，理应违法行为、损害结果、违法行为与损害结果二者之间具有因果关系以及侵权人具有主观过错方面负担举证责任。为什么会大量地出现自然人信息被非法侵害的案件，原因是侵害信息的违法行为不容易被找到，诉讼阶段中调集相关证据往往要求拥有有关的科学和知识手段，这对于侵权人来说是有利的，而对于被侵权人通常很难提供出充足的证据材料做为其诉求的根据，为此只能承担对其不利的败诉后果。所以，维权的相关费用较高、证明责任和举证能力方面的不均衡使得信息被侵害的自然人望而止步，被告与原告二者之间不能够形成平等地对抗。

　(四)个人信息侵权赔偿力度不够

在办理个人信息侵权案件时，法官往往按照隐私权等具体人格权的保护模式来处理该案件，一般情况下，要求信息处理者在停止侵害个人信息行为的前提下，向信息主体赔礼道歉能够及时履行，一旦案件涉及经济、精神损失方面的物质损害赔偿，容易出现被告拖延、拖欠职责履行的情况。纵观信息侵权案件，对判决结果进行分析可以看出，自然人在精神方面遭到侵害，其所得到的赔偿金通常无法满足心理预期。而造成问题产生的因素，主要是由于赔偿判断标准较低。很显然，这种赔偿力度对于信息主体而言是远远不够的。针对人们的个人信息不仅具备人身属性，其财产属性也是无法否认的。在信息科技快速发展的当下，个人信息本身所具有的财产属性已经被越来越的人所认知，当信息被非法处理时，除导致了受害人经济损失之外还会给受害人的精神健康造成伤害。个人信息侵权赔偿力度不够，不足以对侵权人心里带来巨大影响，无法为受害人形成有效的保护屏障，从而造成了信息处理者对信息主体实施个人信息侵权。

　四、民法典视域下强化我国个人信息保护的思考与建议

　　(一)提高个人信息自我保护的意识

有关部门要加强宣传工作,一方面要向社会加强宣传《民法典》对于个人信息保护规定,要让人们知道目前法律对自己的个人信息保护的重视程度,以及如何利用“法律武器”来维护自己的个人信息权益。另外一方面还要通过宣传方式来提高个人信息的自我保护意识，这是保障信息安全的源头之所在，想要让信息不被非法侵害就需要我们从根源上加以保护。在日常生活中，无论是扫码方式还是刷脸方式，或者是填写个人信息，都要清楚自己的行为是否具备安全性，知道如果使用这种方式可能会产生的潜在危害，从而实现对个人信息的保护。比如，在互联网上应该注意个人信息的保护，不要随便注册、登录账号，并且在注册账号时要加强密码设定的强度，从而降低账号被盗信息被外泄的风险。在使用交友软件时，应该注重个人信息的保护，不要将个人信息在交友软件上进行过多的详细说明。在使用购物软件进行网络购物时，尽量不要填写真名，收到快递后，对快递包装上显示个人信息的快递单，应该尽早地撕毁，从而避免个人信息的外泄。

　　(二)对个人信息的财产属性做出明确规定

互联网信息技术快速发展的时代背景下，信息的自由流动和传播可以为社会快速发展带来经济收益。自然人的信息所具有的财产属性特征是不能被疏忽的，就是基于自然人的信息存在经济方面价值，在现实生活中才会有很多不法分子为了获取不正当经济利益而采取各式各样的手段非法处理自然人的信息。需要关注的是，唯有在违法分子为了更好的获得经济收益而处理自然人信息的情形下，才会牵涉到自然人信息商品交往的价值从而出现对财产利益受损失的救济，对此既可以由于自然人信息本来就有的人格利益提请司法上的救济，也可以由于财产利益受损失提请司法上的救济，在此情形下就理当从两个层面对自然人的信息加以保护和提请救济。在立法上对自然人信息的财产属性加以明确，从多元化的价值层面确立个人信息的民法保护模式，也是强化我国个人信息保护的有效方式。

(三)完善个人信息保护的救济机制

1.适用过错推定原则

在个人信息侵权的司法实践中，采取一般的过错责任的证明责任分配方式，信息被侵害的自然人要承担较重的举证责任，与侵权人对比来看，其所承担的证明责任是不公平的。有部分一些学者分析，想要最大程度的保护自然人的个人信息免于不法损害，应当采取无过错责任的证明责任分配方式，此种分析重点强调自然人的个人信息权益而未与信息产业的快速发展相均衡。在笔者看来，此种均衡需要遵守一定程度上的适当性，要满足于社会经济发展的实际状况，面对侵害自然人信息的案件不能均采取无过错责任的证明责任分配方式，如此一来会对信息相关产业的快速发展产生不良影响。在日常生活中，对信息的收集、使用等处理可谓是无所不在的，倘若信息处理者时时要求对信息的收集、使用等处理承担侵权的责任，这将导致公司和企业机构的经营成本迅速增加，与此同时公司和企业机构在运营环节中将时时刻刻面对着侵权的风险，从而造成公司和企业机构无法积极地务实创新，进而不能带领信息相关产业长期进步。

综上所述，在笔者看来，针对自然人的信息侵权案件，适用过错推定原则的证明责任分配方式相比于其它的分配方式来说是较为合适、公正的。依据我国《民法典》相关的规定，假如适用过错推定原则的分配方式，只需受害者可以举证自身的信息权益遭到的损害后果归功于侵权者的不法侵害行为，而侵权者不可以举证对损害后果的产生没有过错，则以此可以推定出侵权者针对损害后果的产生具备过错，因此须要承担侵害自然人信息的侵权责任。

以现实生活中最多见的情况为例，倘若被侵权方为产品使用者，侵权方为信息处理公司，适用过错推定原则的证明责任分配方式就相对合适、公正，原因如下：其一，有利于均衡彼此的证明责任。产品使用者在没有掌握公司的运营模式和流程方式的状况下，难以获取重要的证据材料，在调取证据的能力上遥远地落后于公司，因而要让产品使用者举证公司在运营阶段中对自己的个人信息发生违法行为是较为艰难的。但是在过错推定原则中，对于侵权具备主观过错的证明责任进行了倒置，由信息处理公司这一方证明，产品使用者因此不必承担起证明不能的后果。[1]除此以外，公司须要举证针对损害后果的产生自己无过错亦或是有着法定的免责事由，不然就要承担起对自己不利的结果。在个人信息侵权案件的诉讼过程中，因为被侵权方和侵权方双方的证明能力具有不对等性，通常的审理结果都是被侵权一方败诉，因而采取过错推定原则对于彼此而言是合理可行的。其二，有利于提高诉讼的效率。在有些特殊的情形下，侵害自然人信息的损害后果的产生能够在一定程度上体现出信息处理公司未尽到应尽到而未尽到的注意性义务，可以以此推断出信息处理公司对于侵害自然人信息的损害后果的产生存在一定的过错，然而不须要再次对其举证，从而可以提高诉讼的效率。

2.建立个人信息侵权公益诉讼制度

当个人信息侵权的规模超过一定程度，社会影响较大，关系到公共利益，可以思考建立个人信息侵权公益诉讼制度。其一，提请的主体不可以太多，可以思考将检察院和行业协会作为公益诉讼的提请主体；其二，可以建立科学合理的激励制度，激发有关主体参与公益诉讼的主动性；其三，自然人信息侵权公益诉讼案件的级别管辖理应与其它公益诉讼一样，由最高院指定特定中院进行管辖。个人信息侵权纠纷属于侵权类别的案件，在地域管辖上可依据新修正的《中华人民共和国民事诉讼法》第二十九条的规定。

在自然人信息侵权的案件中，由于被侵权方和侵权方二者的举证能力尚不均衡，致使双方无法形成平等性对抗，建立自然人信息侵权公益诉讼制度的初衷即为了最大限度地保证二者之间证明能力和诉讼地位形成平等性对抗。对于大规模的自然人信息侵权案件，特别是在诉讼双方是信息处理公司和产品使用者的信息侵权案件中，能够有利于保证诉讼地位的平等性对抗。而且在这种大规模信息侵权案件中，被侵权方可能有很多，倘若都要提起个人信息侵权诉讼，可能会占用大量的司法资源，建立此种制度还有助于节约司法资源，提高诉讼效率。综上所述，笔者认为建立个人信息侵权公益诉讼制度是可以考虑的，能够有效地处理大规模的信息侵权诉讼案件。

　　(四)采用惩罚性赔偿制度，加大违法成本

采用加大对侵权人的赔偿力度、增加违法成本的方法，可以对违法侵权人产生警示效果。假如企业出现了侵害使用者或者消费者个人信息的不法行为时，可以对其采用相应严格的惩罚性赔偿进行处理，尽管这或许会影响企业的资金链条，但势必能对其产生相应的威慑力并且发挥警示的作用。如此一来，便可以催使企业进一步增强对于个人信息的安全管控力度，培养起正确处理用户信息的意识，并及时地对被侵害人进行赔偿。在个人信息侵权案件上，这一制度发挥着极其重要的作用，能有效遏制侵权行为的出现。此外，还需要特别关注的是，在进行处罚的过程中，还应该充分考虑案件的情况以及侵权人的主观恶意性即侵权人是否存在主观侵权意识，要具体案件进行具体分析，避免出现处罚不合理的情况，从而影响企业正常运行。

　结语

随着社会的不断发展，个人信息的收集变得更加容易，个人信息被侵害可能性也随之提高，个人信息保护面临挑战和威胁，因此强化个人信息保护成为社会各界关注的焦点。在民法典视域下，笔者建议从以下几个方面强化个人信息的保护：其一，提高个人信息自我保护的意识，从源头上保证个人信息的安全性。其二，对个人信息的财产属性做出明确规定，从多元化的价值层面确立个人信息的保护模式。其三，完善个人信息保护的救济机制，适用过错推定原则并建立个人信息侵权公益诉讼制度，从救济机制上强化对个人信息的保护。其四，采用惩罚性赔偿制度，加大违法成本，对违法侵权人产生警示效果，有效遏制侵权行为的出现。

　参考文献

[1]占仕强.公民个人信息收集、使用、删除规则之分析与重构——以“期限型”与“非期限型”为线[C]//.《上海法学研究》集刊2021年第19卷总第67卷.,2022:83-91.

[2]陈国庆.利用信息网络侵犯公民人格权行为的刑法规制——最高人民检察院第34批指导性案例述评[J/OL].中国刑事法杂志,2022(02):1-14[2022-03-31].

[3]杨荷天.新冠疫情背景下公民个人信息保护[J].法制与社会,2021(23):12-13.

[4]沈昱熙.侵犯公民个人信息罪中“个人信息”的界定[J].黑龙江人力资源和社会保障,2021(12):64-67.

[5]商希雪.侵害公民个人信息民事归责路径的类型化分析——以信息安全与信息权利的“二分法”规范体系为视角[J].法学论坛,2021,36(04):100-111.

[6]张朝霞,练虹怡.多元视角下的公民个人信息保护[J].人民检察,2021(10):51-55.

[7]王哲.侵犯公民个人信息罪中“个人信息”的限定[J].青少年犯罪问题,2021(03):79-89.

[8]喻海松.《民法典》视域下侵犯公民个人信息罪的司法适用[J].北京航空航天大学学报(社会科学版),2020,33(06):1-8.

[9]史永升,范玮娜.侵犯公民隐私权民事判决实证研究——以2017—2019年243份生效判决为样本[C]//.《上海法学研究》集刊(2020年第20卷总第44卷)——上海市检察院文集.,2020:195-200.

[10]唐彬彬.民法典为保护公民个人信息提供法律依据[J].中国防伪报道,2020(09):74.