汇业评论

文 | 黄春林 汇业律师事务所 合伙人

阅读提示：

2017年3月15日，全国人大正式通过《民法总则》。《民法总则》第111条专门规定个人信息保护规则，首次从民事基本法层面提出个人信息权，并明确了个人信息保护的基本行为规范。

本文中，汇业律师事务所黄春林律师将结合国内外个人信息保护立法实践，简要评析《民法总则》中的个人信息权的法律内涵以及相关立法价值取向。

一、我国个人信息保护的法律体例

近年来，随着个人信息泄露事件被媒体广泛报道，个人信息保护逐渐进入立法视野。起初，学界主张制定统一的《个人信息保护法》，但由于个人信息的内涵及法律属性还存在较大争议，统一法立法模式流产，转而制定了一系列的原则性立法及单行规定。

刑事法律层面，《刑法修正案（七）》首次将非法获取和提供个人信息入罪。此后《关于依法惩处侵害公民个人信息犯罪活动的通知》、《刑法修正案（九）》明确放宽了侵犯公民个人信息罪的主体范围。

行政监管法律层面，《电信和互联网用户个人信息保护规定》是比较全面的个人信息保护单行规定。此后，几乎所有互联网单行立法均有涉及个人信息保护的规定，例如《互联网广告管理暂行办法》、《网络出版服务管理规定》、《网络借贷信息中介机构业务活动管理暂行办法》、《移动互联网应用程序信息服务管理规定》等等。

民事法律层面，《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》首次从司法解释层面，明确了个人信息的法律内涵及侵权责任承担方式，《民法总则》则首次从民事基本法层面确立了个人信息权，此前公布的《电子商务法（草案）》也专章规定了电商领域个人信息保护有关规范。

此外，全国人大《关于加强网络信息保护的决定》、《网络安全法》则从综合法的层面，相对全面的规定了个人信息的法律内涵及保护规范。

二、个人信息的法律内涵

本次《民法总则》虽然确立了个人信息权的法律地位及性质，但是并未明确界定个人信息的法律内涵。早些时候，立法中曾存在“个人信息”、“个人数据”等多个提法，对个人信息的法律内涵也存在较大差异，这给司法实践中如何确定个人信息的内涵和外延带来了巨大的挑战。

在《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》中，首次将“自然人基因信息、病历资料、健康检查资料、犯罪记录、家庭住址、私人活动”明确为“个人隐私和其他个人信息”，即并未明确区分“隐私”与“个人信息”的混合立法模式。

此后，在《电信和互联网用户个人信息保护规定》中，明确提出个人信息是指“姓名、出生日期、身份证件号码、住址、电话号码、账号和密码等能够单独或者与其他信息结合识别用户的信息以及用户使用服务的时间、地点等信息”，首次独立界定了个人信息的内涵，并提炼出个人信息的核心法律特征——识别性。

个人信息的完整法律内涵，成形于《网络安全法》。该法采取概括加列举的方式规定了个人信息的法律内涵，即个人信息，法律特征概括为“以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息”，同时列举了“自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等”常见个人信息形式。

三、个人信息权的法律性质

（一） 关于个人信息权的规范的主体

《民法总则》在个人信息权条款中，规定了两个不同的主体，理论界称为个人信息主体与个人信息处理者。

所谓个人信息主体，即指通过信息被识别出个人身份的自然人。尽管司法实践中存在现实的需求，但遗憾的是，本次《民法总则》并未规定法人享有信息权。

我国早期法律中（例如刑法修正案七），仅将公共机构纳入个人信息处理者的范畴，这一观点在后来的立法中得到了纠正，本次《民法总则》则将数据处理者统一确立为“任何组织和个人”，包括收集、使用、转让个人信息的主体。同一条个人信息，可能存在多个个人信息处理者，这就必然导致个人信息主体无法像所有权一样占有个人信息。

（二） 关于个人信息权的属性

早些时候，关于个人信息权的法律性质一直存在较大争议，主要有个人信息人格权说、财产权说和混合说。

其中，人格说早期由隐私权说引申而来，即个人信息权是隐私权在互联网时代的升级版，这种观点在美国较为盛行。发展到后来，人格权说逐渐发展为一种独立的、新型的人格权说。该种观点认为，个人信息权的内涵在于对个人信息处理方式的控制，而不在于对个人信息本身的占有，事实上，个人并不是唯一有权占有个人信息的人，不具备财产权的排他性（例如《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》第12条明确列举了一些个人信息共享使用的情形下）。

财产说主要的理论基础是个人信息可以交易，具有经济价值，于是提出了个人信息所有权的概念。该说认为，个人信息财产权说是保护个人信息信息利益最大化的最优途径，也是鼓励个人信息生产、分享的最好制度设计。而混合说则认为，个人信息权天然具有个人与财产的混合属性，人格权和财产权说仅仅是保护路径的选择问题，其最终目的还是要达到个人信息控制与社会信息共享的平衡。

本次《民法总则》采取了第一种观点，将个人信息权确定为一种具体人格权，纳入到民事权利中的人格权章节中。

四、个人信息权与其他民事权利的区别

首先，个人信息权与隐私权不分是早期立法的通病。事实上，隐私与个人信息的范围，存在交叉，又各有独立内容。隐私包括私人信息、私人空间、私人活动；而个人信息又包括隐私的信息（例如个人生理信息、财产信息等），也包括公开的信息（例如年龄、联系方式等）。

其次，个人信息权与所有权也存在较大差异。所有权的内涵在于对财产的占有、使用和处置，但是个人信息权的内涵不在对个人信息的占有、处置等，而在于对个人信息处理的控制。例如，某人占有个人信息，并不能导致其他人对该个人信息占有的丧失。

最后，尽管在相对性上存在一定相似性，但个人信息权与知识产权也有很大的特殊性。个人信息权基础来源于信息本身的识别性，而并不是创造性；个人信息权及于个人信息主体有生之年，有严格的时间限制。

五、个人信息处理的法律规范

（一） 同意规范

个人信息权的核心在于对个人信息处理（而不是个人信息本身）的控制，但这种控制是否需要个人信息的在先同意，则是欧盟立法模式与美国立法模式的根本区别。

阴谋论者认为，欧盟一贯以严格的数据管制制度遏制美国的互联网互联网霸主地主，其体现之一就是个人信息处理合法性的前提就是个人同意。相反，在美国，个人信息是一种自然存在，只要满足合法目的要求，任何人都可以采集和记录，不需要事先征得个人同意。

我国《民法总则》虽未明确提出个人同意原则，但是其合法性要求理应包含了同意原则，因为在其他立法中明确提出了“并经被收集者同意”的前置条件。例如在《网络安全法》第四十一条、《关于加强网络信息保护的决定》第二条均有明确规定。

关于同意是以积极的方式还是消极的方式作出，现有立法上没有明确规定。但是，司法实践中，对于同意的方式提出了越来越高的要求，概括的、模糊的同意也在个案中受到越来越多的挑战。这一点，欧盟在近期多个法律文件中也指出，“积极同意”应当逐渐成为个人信息保护的发展方向。

（二） 安全规范

本次《民法总则》正式稿与审议稿在个人信息保护上最大的进步，就是加入了安全性规范，即增加了“应当依法取得并确保信息安全”内容。

个人信息安全规范是多个立法文件中重点强调的内容，意指个人信息处理者应当妥善存储其收集、使用的个人信息，并采取切实有效的措施防止数据被泄露、篡改或毁灭。

这一规范的现实意义在于，发生民事侵权责任后，原被告双方的举证责任分配问题。不能苛求原告举证个人信息处理者存在安全懈怠行为，相反的是要个人信息处理者必须举证采取了法律规定的（例如《网络安全法》列举的众多网络安全义务）、必要审慎的个人信息保护措施，否则应当承担个人信息保护安全不规范的责任。

（三） 限制规范

限制规范，即要求个人信息处理者在追求信息分享与个人信息控制之间寻求一种平衡，包括目的限制、方式限制、时间限制、范围限制等。

例如，在《网络安全法》、《关于加强网络信息保护的决定》中均有明确规定，个人信息处理者应当“明示收集、使用信息的目的、方式和范围”，坚持“正当、必要的原则”、“不得收集与其提供的服务无关的个人信息”。

六、个人信息保护价值取向：向左向右？

事实上，个人信息应当获得法律保护，已经在世界各国达成共识。但是，各国从自身产业政策出发，却制定了不同的保护途径和方式，以寻求个人信息保护与促进信息共享之间的平衡点。

在我国，由于近年来个人信息泄露事件频发，引起了社会各界的广泛关注，反射到立法层面，就成了当下的个人信息保护无远弗届的微观立法模式，很少有从产业发展宏观层面讨论立法模式的选择问题。现实的困惑是，走人格权路径，抹煞了个人信息的流转价值；走同意前置模式，限定了大数据发展的基础资源；个人信息主体的查询、修改、删除等国际公认有益于扩大信息生产与共享的规则，却并未写入《民法总则》；等等。

个人信息保护向左，信息开放共享向右。我们的立法，迷失在十字路口。