個人信息侵權(quán)責(zé)任法律體系探析

文/郭俊

摘要：互聯(lián)網(wǎng)信息時代，個人信息遭受侵害的風(fēng)險日益突出，個人信息侵權(quán)責(zé)任制度建構(gòu)至關(guān)重要。本文在廓清個人信息侵權(quán)相關(guān)概念和法律性質(zhì)并對國內(nèi)外相關(guān)制度比較分析的基礎(chǔ)上，對《中華人民共和國民法典》和《中華人民共和國個人信息保護法》頒行后我國個人信息侵權(quán)責(zé)任制度建構(gòu)做出初步探析。

關(guān)鍵詞：個人信息；侵權(quán)責(zé)任；制度建構(gòu)

一、個人信息及其法律屬性

（一）個人信息

在日常語境下，個人信息涵蓋了個人的廣泛資訊。但在法律意義上，個人信息則更側(cè)重于其能夠特定指向某個人的確定性，從而形成了狹義的個人信息定義。

根據(jù)《中華人民共和國民法典》第一千零三十四條，個人信息是指以電子或其他方式記錄的，能夠單獨或結(jié)合其他信息識別特定自然人的各種信息，如姓名、出生日期、身份證件號碼、生物識別信息、住址、電話號碼、電子郵箱、健康信息、行蹤信息等。在網(wǎng)絡(luò)購物糾紛中，電商平臺不僅收集了消費者的姓名、聯(lián)系方式，還記錄了其購買偏好、瀏覽歷史等信息。這些信息單獨來看，可能無法精準(zhǔn)識別特定消費者，但相互結(jié)合后，便能清晰地勾勒出消費者的獨特畫像，明確指向具體個人，這便是法律意義上個人信息的典型體現(xiàn)。由此可見，法律意義上的個人信息具備識別特定自然人的關(guān)鍵特征。

（二）個人信息的法律屬性

盡管個人信息作為新興的法律概念，其法律屬性在學(xué)界和實務(wù)界尚未形成統(tǒng)一的權(quán)威界定，但《中華人民共和國民法典》已明確規(guī)定個人信息受法律保護，并對個人信息的定義和保護范圍進(jìn)行了詳細(xì)闡述。而明確個人信息的法律屬性，無疑是清晰界定個人信息侵權(quán)責(zé)任的重要前提。

將個人信息視為隱私權(quán)，這是國內(nèi)外學(xué)界的主流觀點之一，并且在各國立法規(guī)范中也有所體現(xiàn)。我國《中華人民共和國民法典》規(guī)定，個人信息中的私密信息，一般適用有關(guān)隱私權(quán)的規(guī)定。除了隱私權(quán)觀點外，人格權(quán)說也是對個人信息法律屬性界定的重要觀點之一。該學(xué)說將個人信息作為人格權(quán)的一部分，這在歐洲國家是普遍采用的主流觀點。歐洲大陸通常將隱私保護的根基建立在人格尊嚴(yán)之上，這與美國將隱私視為自由權(quán)利的傳統(tǒng)存在顯著差異。德國在此基礎(chǔ)上，形成了一般人格權(quán)作為一種框架性權(quán)利，并將個人隱私保護納入其中。如在德國某起案件中，一家公司未經(jīng)員工同意，擅自將員工的健康信息用于商業(yè)宣傳，法院認(rèn)為該公司的行為侵犯了員工的人格權(quán)，因為員工的健康信息屬于個人信息范疇，與人格尊嚴(yán)緊密相關(guān)。德國知名電商巨頭Notebooksbilliger.de AG因在無合法依據(jù)的情況下視頻監(jiān)控員工，被處罰1040萬歐元。法國通過典型案例確立了“個人形象權(quán)”的保護，并在1970年《法國民法典》中新增了第9條“私生活受尊重權(quán)”，將個人信息納入人格權(quán)范疇進(jìn)行保護。

新型公法權(quán)利說則認(rèn)為，在當(dāng)前信息時代，個人信息不應(yīng)僅僅被當(dāng)作私權(quán)利看待?；趪夜芾?、公共利益等需求，個人信息還應(yīng)具備一定的公法屬性。在信息社會中，與個人信息相關(guān)的利益主體及其利益關(guān)系變得日益多樣和復(fù)雜，國家不再僅僅是法律規(guī)則的制定者和執(zhí)行者，同時也是個人信息的重要收集、處理、儲存和利用者。因此，對個人信息保護從之前的 “絕對權(quán)利絕對保護” 轉(zhuǎn)變?yōu)?“相對權(quán)利相對保護”。如在公共衛(wèi)生事件期間，政府為了防控疫情，收集居民的行程信息、健康狀況等個人信息。這種收集行為雖然涉及個人信息，但基于公共利益的考量，具有一定的合法性。然而，一旦政府部門在處理個人信息的過程中出現(xiàn)疏漏或不當(dāng)行為，致使信息泄露，進(jìn)而侵犯個人權(quán)益，其亦需依法承擔(dān)相應(yīng)責(zé)任。

綜合上述對個人信息法律屬性的主要觀點，其主要爭議集中在《中華人民共和國個人信息保護法》保護的個人信息是否等同于個人隱私、能否歸入人格權(quán)保護范疇，以及其應(yīng)屬于公權(quán)益還是私權(quán)益等問題。這些爭議點構(gòu)成了分析個人信息侵權(quán)責(zé)任的邏輯基礎(chǔ)。在當(dāng)前信息時代，個人信息處于不斷發(fā)展變化之中，對其法律屬性的認(rèn)知不應(yīng)局限于某一傳統(tǒng)法律概念的固有界定，而應(yīng)根據(jù)特定信息在具體場景下對法律關(guān)系主體的價值判斷來區(qū)別對待，相應(yīng)地，侵權(quán)損害賠償責(zé)任的性質(zhì)和歸責(zé)原則等也應(yīng)當(dāng)根據(jù)其權(quán)利屬性的不同而分別加以確定。

二、域外個人信息侵權(quán)責(zé)任制度構(gòu)建

（一）德國

在德國等大陸法系國家，學(xué)界通常將隱私權(quán)益的法律保護歸入人格權(quán)范疇，進(jìn)而形成了私法保護的救濟方式。隨著從隱私權(quán)到個人信息權(quán)的轉(zhuǎn)變，個人信息的法律保護途徑也從隱私權(quán)的私法保護逐漸過渡到個人信息權(quán)的私法保護，并被賦予了新的內(nèi)涵。這一轉(zhuǎn)變促使個人信息侵權(quán)責(zé)任機制進(jìn)行規(guī)范和重構(gòu)，形成了在個人信息侵權(quán)責(zé)任建構(gòu)上公私法兼顧、創(chuàng)設(shè)新型責(zé)任形式的理論創(chuàng)新。

德國 1977 年制定的《聯(lián)邦資料保護法》，經(jīng)過 13 年的適用與修訂，成為大陸法系國家最具代表性的一部個人信息保護立法。與英美法系個人信息保護立法相比，具有鮮明的大陸法系特色，對大陸法系國家的相關(guān)立法實踐具有重要的指導(dǎo)作用。假如數(shù)據(jù)處理公司違反《聯(lián)邦資料保護法》的規(guī)定，未經(jīng)用戶同意，將用戶的個人數(shù)據(jù)出售給第三方用于商業(yè)營銷，該公司有可能被判定侵犯用戶個人信息權(quán)，進(jìn)而承擔(dān)停止侵權(quán)、賠償損失等責(zé)任。

（二）歐盟

歐盟對個人信息保護及法律責(zé)任規(guī)制較為重視，其個人信息保護立法相對成熟。歐盟國家在信息通信技術(shù)對個人生活影響的關(guān)注上走在前列，被譽為個人信息保護立法的開拓者。

歐盟 1995 年的《數(shù)據(jù)保護指令》（以下簡稱 95 指南）推動了國際規(guī)則在歐盟成員國的法律化。該指令規(guī)定了信息主體的權(quán)利、管理者的義務(wù)、監(jiān)督機關(guān)和登記程序、信息的跨國流通等問題，適用于自動處理和非自動處理模式下的個人數(shù)據(jù)，旨在保障個人信息處理中自然人的基本權(quán)利和自由，確保個人數(shù)據(jù)的自由流通。2016 年 4 月 14 日，歐盟通過《一般數(shù)據(jù)保護條例》（以下簡稱 GDPR），取代了成員國分散立法的模式，成為在全歐盟具有直接法律效力的歐盟法。這些基本制度在個人信息侵權(quán)形式、保護范圍、判定標(biāo)準(zhǔn)和責(zé)任承擔(dān)等方面做出了奠基性制度安排，成為歐盟國家在此領(lǐng)域的共同遵循。如在一起跨國數(shù)據(jù)泄露案件中，一家位于歐盟的大型互聯(lián)網(wǎng)公司未能妥善保護用戶數(shù)據(jù)，導(dǎo)致服務(wù)器遭受黑客攻擊，大量用戶個人信息被泄露。依據(jù)GDPR的規(guī)定，歐盟監(jiān)管機構(gòu)對該公司進(jìn)行了調(diào)查。由于未能遵守GDPR中關(guān)于用戶個人信息安全的義務(wù)，該公司被處以巨額罰款，并被要求采取一系列措施加強數(shù)據(jù)安全保護，以防止類似事件再次發(fā)生。

（三）美國

作為英美法系國家的代表，美國重視自由與創(chuàng)新。在個人信息保護層面，其政策取向是在國際范圍內(nèi)保護個人隱私的同時，避免阻斷信息交流，防止對電子商務(wù)和跨境貿(mào)易等活動造成較大影響。美國政府在隱私保護方面采取了一種平衡的規(guī)制策略，結(jié)合了政府引導(dǎo)的行業(yè)自律模式和分散立法的監(jiān)管體系。美國沒有全面的聯(lián)邦數(shù)據(jù)隱私法，而是依賴于聯(lián)邦貿(mào)易委員會（FTC）和聯(lián)邦通信委員會（FCC）等機構(gòu)來執(zhí)行相關(guān)法律，如《隱私權(quán)法》和《兒童網(wǎng)上隱私保護法》等，以規(guī)范行業(yè)內(nèi)個人信息處理行為。

這種立法理念和規(guī)范模式賦予個人信息侵權(quán)責(zé)任制度多維度的形式和機制，使其比歐盟模式更具彈性和多元化。例如，美國某社交媒體平臺曾被曝光存在數(shù)據(jù)濫用問題，該平臺未經(jīng)用戶充分授權(quán)，將大量用戶的個人信息分享給第三方廣告商。事件曝光后，美國聯(lián)邦貿(mào)易委員會依據(jù)相關(guān)法律規(guī)定，對該平臺展開調(diào)查。最終，該平臺與監(jiān)管機構(gòu)達(dá)成協(xié)議，同意支付巨額罰款，并承諾采取一系列措施強化用戶隱私保護，諸如改進(jìn)隱私政策、提升用戶對個人信息的控制權(quán)限等。這一案例體現(xiàn)了美國在個人信息侵權(quán)責(zé)任處理上，既注重保護個人隱私，又考慮到行業(yè)發(fā)展和市場競爭的平衡。

其他國家大多學(xué)習(xí)或沿襲了上述各國的立法理念和規(guī)則。如日本的保護模式借鑒了歐盟的立法模式，同時采納了美國的保護規(guī)制，通過政府立法和行業(yè)自律實現(xiàn)個人信息保護。域外不同地區(qū)和國家結(jié)合自身實踐需要制定的個人信息保護法，為我國相關(guān)立法提供了寶貴的借鑒經(jīng)驗。

三、我國個人信息侵權(quán)責(zé)任制度建構(gòu)

（一）《中華人民共和國民法典》編訂前的個人信息侵權(quán)責(zé)任制度

2000 年 12 月 28 日，全國人大常委會做出的《關(guān)于維護互聯(lián)網(wǎng)安全的決定》，開啟了我國以法律規(guī)范互聯(lián)網(wǎng)的征程。在此基礎(chǔ)之上，2012年12月28日，全國人大常委會正式表決通過了《關(guān)于加強網(wǎng)絡(luò)信息保護的決定》，該決定在嚴(yán)格遵循國際慣例的同時，對我國個人信息保護與利用的基本原則進(jìn)行了全面而深入的法律頂層設(shè)計。

此后，一系列部門法相繼出臺，對個人信息保護進(jìn)行了補充規(guī)定。例如，《刑法修正案 （五） 》《刑法修正案 ( 七） 》《侵權(quán)責(zé)任法》《中華人民共和國消費者權(quán)益保護法》等都增設(shè)了個人信息保護的相關(guān)制度。行政法律法規(guī)和部門規(guī)章也不斷完善，《征信業(yè)管理條例》對征信行業(yè)的個人信息采集進(jìn)行了詳細(xì)規(guī)范，《電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定》構(gòu)建了個人信息收集、使用規(guī)范和安全保障措施。同時，鑒于個人信息保護與現(xiàn)代技術(shù)的緊密聯(lián)系，《信息安全技術(shù)公用及商用服務(wù)信息系統(tǒng)個人信息保護指南》從技術(shù)層面對個人信息保護提出了要求，建立了國家標(biāo)準(zhǔn)。

然而，在一些網(wǎng)絡(luò)詐騙案件中，犯罪嫌疑人通過非法渠道獲取了大量公民個人信息，并利用這些信息實施詐騙。由于當(dāng)時相關(guān)法律規(guī)定較為分散，不同法律法規(guī)之間缺乏協(xié)調(diào)統(tǒng)一，這致使在追究侵權(quán)者法律責(zé)任的過程中，法律適用變得模糊不清，責(zé)任主體的判定亦顯得撲朔迷離。

（二）民法典關(guān)于個人信息侵權(quán)責(zé)任的規(guī)定

時代呼喚法治，《中華人民共和國民法典》應(yīng)運而生。作為我國民事法律制度的集大成者，民法典詳細(xì)規(guī)定了個人信息侵權(quán)的形式、范圍、原則和條件，確立了保護個人信息的基本規(guī)范。這些規(guī)范不僅為個人信息侵權(quán)責(zé)任的判定提供了重要基礎(chǔ)，還明確了信息處理者在收集、存儲、使用個人信息時應(yīng)遵守的義務(wù)，以及違反這些義務(wù)時所應(yīng)承擔(dān)的法律責(zé)任。

根據(jù)《中華人民共和國民法典》第一百一十一條，自然人的個人信息受到法律的保護。任何組織或個人若需獲取他人個人信息，必須依法獲取并確保信息安全，不得非法收集、使用、加工、傳輸他人個人信息，亦不得非法買賣、提供或公開他人個人信息。這一條款是個人信息保護的基石性條款，是探討個人信息保護及相關(guān)侵權(quán)責(zé)任問題的核心出發(fā)點。

民法典第一千零三十四條進(jìn)一步明確了自然人個人信息保護的范圍，第一千零三十五條對個人信息處理的原則、條件和方式做出了規(guī)定，為個人信息侵權(quán)責(zé)任歸責(zé)奠定了基礎(chǔ)，明確了在信息處理階段處理者應(yīng)否承擔(dān)侵權(quán)責(zé)任及可能的免責(zé)事由。由此可見，民法典在個人信息侵權(quán)相關(guān)方面的規(guī)定，為司法實踐中準(zhǔn)確認(rèn)定侵權(quán)行為、合理確定責(zé)任歸屬提供了堅實的法律依據(jù)。

（三）《中華人民共和國個人信息保護法》對個人信息侵權(quán)責(zé)任制度的體系化構(gòu)建

2021 年 8 月 20 日，全國人大常委會表決通過的《中華人民共和國個人信息保護法》，構(gòu)建了完整的個人信息保護框架，對個人信息處理規(guī)則、信息處理者的義務(wù)、監(jiān)管部門職責(zé)以及罰則等進(jìn)行了全面規(guī)定，為個人信息侵權(quán)責(zé)任的認(rèn)定、責(zé)任承擔(dān)方式等提供了更為具體的標(biāo)準(zhǔn)。

第一，個人信息保護法對一般個人信息與敏感個人信息采取分級保護的規(guī)范方式，相應(yīng)的個人信息侵權(quán)行為、責(zé)任承擔(dān)也采用不同的判斷標(biāo)準(zhǔn)。比如醫(yī)療美容機構(gòu)如果未經(jīng)消費者同意，將其包含疾病史、過敏史等敏感個人信息泄露給第三方，依據(jù)《中華人民共和國個人信息保護法》中對敏感個人信息保護的相關(guān)規(guī)定，該機構(gòu)的侵權(quán)行為性質(zhì)更為嚴(yán)重，可要求其承擔(dān)更高額度的賠償責(zé)任，并采取措施消除不良影響。

第二，該法對個人信息處理的合法性基礎(chǔ)進(jìn)行了必要擴充，確立了為訂立、履行合同所必需、為履行法定職責(zé)或者法定義務(wù)所必需、為應(yīng)對突發(fā)公共衛(wèi)生事件，或者緊急情況下為保護自然人的生命健康和財產(chǎn)安全所必需、為公共利益在合理的范圍內(nèi)處理個人信息以及法律、行政法規(guī)規(guī)定的其他情形等作為合法處理的條件。若違反這些規(guī)定，將承擔(dān)個人信息侵權(quán)責(zé)任。例如，一家企業(yè)在與員工簽訂勞動合同時，要求員工提供與工作無關(guān)的個人敏感信息，并以不提供就不錄用為由強迫員工。我們認(rèn)為該企業(yè)的行為違反了為訂立、履行合同所必需的原則，侵犯了員工的個人信息權(quán)益，企業(yè)承擔(dān)相應(yīng)的侵權(quán)責(zé)任。

第三，個人信息保護法進(jìn)一步明確了個人信息跨境提供的規(guī)則，規(guī)定了跨境提供個人信息需同時具備的條件及應(yīng)遵循的法律路徑。這一規(guī)定在全球化背景下，對于保障我國公民個人信息在跨境流動中的安全具有重要意義。

第四，該法新設(shè)個人信息可攜權(quán)，個人請求將個人信息轉(zhuǎn)移至其指定的個人信息處理者，符合國家網(wǎng)信部門規(guī)定條件的，個人信息處理者應(yīng)當(dāng)提供轉(zhuǎn)移的途徑。這一權(quán)利的設(shè)立，增強了個人對自身信息的控制權(quán)，促進(jìn)了信息的合理流動和利用。

第五，個人信息保護法對近親屬行使死者個人信息權(quán)利做出了限定。自然人死亡后，其近親屬可以對死者的個人信息行使一定權(quán)利，但需同時滿足為了自身的合法、正當(dāng)利益，權(quán)利類型僅包括查閱、復(fù)制、更正、刪除且死者生前無其他安排等要件。這一規(guī)定平衡了死者個人信息保護與近親屬合法權(quán)益之間的關(guān)系。

第六，該法明確了個人信息處理者的基本義務(wù)，并根據(jù)主體規(guī)模大小對個人信息處理者課以不同的責(zé)任。大型個人信息處理者由于處理的信息量大、涉及面廣，往往需要承擔(dān)更嚴(yán)格的保護義務(wù)和更高的責(zé)任標(biāo)準(zhǔn)。

第七，個人信息保護法將個人信息侵權(quán)在民事、行政和刑事責(zé)任方面統(tǒng)一界定。民事上，侵權(quán)責(zé)任認(rèn)定采取過錯推定原則，由侵權(quán)方自證無過錯，否則擔(dān)責(zé)；共同侵權(quán)者承擔(dān)連帶責(zé)任，全方位保障受害者權(quán)益。行政上，大幅提高行政處罰上限，如無違法所得時可處最高 100 萬元罰款，還明確直接責(zé)任人與相關(guān)管理人員責(zé)任，可對其處 1 萬至 10 萬元罰款 。刑事上，對嚴(yán)重侵權(quán)行為，依刑法以侵犯公民個人信息罪論處，單位犯罪則雙罰，以此構(gòu)建起嚴(yán)密法網(wǎng)，打擊個人信息侵權(quán)行為。

總之，個人信息保護法在民法典等基本法律制度的基礎(chǔ)上，為個人信息侵權(quán)責(zé)任構(gòu)建了更為全面和科學(xué)的體系。它作為專門法，有機梳理、銜接并整合了此前出臺的零散法律規(guī)定，成為研究和落實個人信息侵權(quán)責(zé)任制度最重要的規(guī)范體系。（作者為河南工程學(xué)院副教授；本文基金項目：河南省教育廳高等學(xué)校哲學(xué)社會科學(xué)項目“個人信息侵權(quán)損害賠償責(zé)任研究”編號：2023-ZZJH-010的階段性研究成果）