试论当代个人信息的民法保护

　　自上世纪50年代中期开始，人类迎来信息革命的浪潮。网络技术的迅猛的发展速度证明了信息化变革仍在进行时。托夫勒认为，在这个新旧交替的时代，还没有一个国家能称得上真正进入信息社会。从全球范围来看，虽然信息时代的特征已经出现，但经济结构仍带有明显的工业社会性质，于是出现了原始的体力劳动和先进的脑力劳动共存的现象。第一次与第二次工业革命向人们证明了社会的变革期正是超越历史的机遇期，“信息革命”同样不例外。

　　由于历史原因以及传统路径依赖效应，很长一段时间中国的法制都处在“重刑轻民”的氛围中。然而，在变革之中的当今社会可依托信息化时代，突破我国民法发展的瓶颈，推动民法典编撰达到一个全新的水平。

　　一、个人信息在信息化时代需要法律保护

　　(一)信息化的特征赋予个人信息保护以新的内涵

　　个人信息(personal data)是指与特定个人相关联的反映个体特征的具有可识别性的符号系统，它包括个人出身、身份、工作、家庭、财产、健康等各方面的资料 。在过去社会相对封闭的时期，以识别为功能的个人信息是简单的。如今，高度发展的网络拉近了人们的距离，将个人的社交圈扩展至全世界。庞大的潜在“熟人”群体要求更为详细并且更能贴合个人的识别性信息。

　　截至2014年6月，仅中国网民规模已达6.32亿，手机网络用户有5亿，互联网普及率为46.9% 。这意味着“个人信息”的数据流每时每刻都在上传和下载。近年兴起的大数据的概念正是基于对数量多至天文级别却又细致入微的信息的详细分析，重现出一个个由可识别的个人信息拼凑的个体。随着数据的不断增长，这个虚拟的个体将不断接近真实的个体。这将原本具有排他性的个人意志极有可能毫无遮掩地展现在世人面前。这使得对于个人信息的侵害，以及基于个人信息的各种财产性侵害比以往任何时候都容易。不法商家可以以贩卖个人信息盈利，进而亦有人可利用个人信息以推销、诈骗等各种形式获取更大的利益。在这样的背景之下，个人信息的属性不应仅局限于人格，基于财产属性对个人信息进行讨论亦有其必要性。

　　(二)信息化时代依法保护个人信息保护的需求

　　概括言之，信息化主要有虚拟性、全球性、交互性与开放性四个特征，这决定了在信息化时代下个人信息所受的侵害亦有其特殊的性质。例如个人信息受到的侵害会受到网络的无限放大。过去点对点的社会交互方式的低效率在很大程度上延缓了侵害的速度，然而在信息化时代，信息传播的速度和广度都已不再能同日而语。对个人信息的侵害能够以光速达成，并且影响的范围几乎是全球。

　　放眼国际，美国、德国等国家的网络个人信息保护模式已经相对成熟，但是我国对于网络信息的保护才刚刚开始摸索阶段，无论是民法理论还是司法实践都极其缺乏。值得肯定的是近年来我国对个人信息的认识正不断加深，目前对个人信息的保护主要有两种方式 ，一种是以人格权保护为基础的一般保护 ，另一种是在法律法规中对“个人信息”条款的特别保护 。并且仅仅将对个人信息的侵害作为人身侵害进行救济，相对于网络环境下人身侵害的集合性、无限放大性以及难以恢复性而言是远远不够的。在这种情况下，在法律上设置相应的规则显得尤其必要，在立法上实现人格权的保护，才能为受害人提供救济。也恰恰由于网络环境的上述特点，所以我们要强调在人格权法中应对网络环境下的人格权作出特别的保护性规定 。

　　二、个人信息保护相关立法例

　　(一)大陆法系国家对个人信息保护之立法例

　　1.德国相关立法：德国《民法典》没有直接设定“个人信息保护权”以及“隐私权”的概念，其个人信息民法保护制度以一般人格权制度为基础 。1977年德国颁布《联邦个人数据保护法》旨在对“个人数据处理”过程中的个人信息给予统一而充分的保护，并且使“个人数据处理”的相关行为合法化、规范化。1983年德国联邦宪法法院审理“人口普查案”是德国个人信息保护的里程碑。1982年德国颁布的《人口普查法》因要求收集公民资料而引起公民的强烈反感。1983年联邦宪法法院最后判决其中的相关规定违宪。更值得一提的是，法院的判决首次提出了信息自决权，由此“个人信息权利”被明确规定为一项宪法权利。

　　新《联邦个人数据保护法》于1990修订完成，修订后的第一条规定：本法设立的目的在于保护个人因个人信息的传送造成的人格权损害。此外，德国还设立联邦数据委员会，对行政机关和非行政机关就该法的执行情况进行监督。

　　2.日本相关立法：日本在《民法典》中没有规定个人信息权与隐私权。1964年，东京地方法院审理“盛宴之后案件”首次将隐私权作为私法上的权利予以确认。20世纪六十年代后，“个人信息控制权”理论为应对传统隐私权概念的消极性无法满足日本社会信息技术的发展的状况应运而生，强调个人可以自主控制和自己相关的信息。2000年《重要基础设施网络袭击对策特别行动计划》首次规定了侵犯个人信息可能产生的民事责任，例如违法手机、处理个人信息，信息主体可以根据受到的损失或侵权人获取的利益请求损害赔偿。《个人信息保护法》在2005年颁布施行，这部法律规定公权力机关和非公权力机关都可能成为个人信息侵权责任的主体，故其行为均受《个人信息保护法》的规制。可以肯定，此种对于主体的明确规定是对个人信息的基础性保护。

　　(二)普通法系国家对个人信息保护之立法例

　　1.美国相关立法：美国对个人信息的民法保护以“隐私权”为中心，但并不局限于传统的隐私权。立法主要采取部门式、分散式立法，分为公共领域和非公共领域 。1966年《信息自由法》确立政府信息公开原则，但对公开后可能明显侵犯个人隐私的人事、医疗以及类似情形的档案和不当侵犯个人隐私的执行法律的记录和信息予以免除。1977年的《隐私权法案》旨在规范联邦政府的信息处理行为。电子通讯领域的隐私问题主要由1986年美国国会修订的《电子通讯隐私法》规范。同时还有1988颁布的《儿童在线隐私保护法》针对网络从业人员，规定网络从业人员应如实告知该网络的隐私权政策;收集13岁以下儿童的个人信息应首先获得其父母的同意。

　　2.英国相关立法：英国于1998年颁布《个人数据保护指令》，专门规制个人信息的侵权行为，确立了个人数据处理的基本准则，包括正当而合法、目的限制、数据质量与安全、保障数据整体权利原则。同时，英国设立了“数据保护专员”，对电子隐私以及《信息保护指令》的实施予以监督。2005年《信息公开法》将其更名为“信息专员”，细化其职责。

　　(三)其他对个人信息保护之立法例

　　1.欧盟相关立法： 1995年欧盟通过《欧盟个人数据保护指令》，这部指令共34个条文，针对个人数据处理中自然人的基本权利和自由给予明确的保护。《欧盟个人数据保护指令》尤其对隐私权给予规定，确定了如何合法处理个人数据的若干项基本规范，是欧盟对个人信息最基本的保护性立法。

　　2.经济合作与发展组织 ：确立个人资料保护的八大原则的《关于隐私保护与个人数据跨国流通的指令》是经济合作与发展组织理事会于1980年9月23日通过的一部指导性法令。其中还涉及个人资料国际自由流通方向的相关规定。

　　3.中国香港地区相关立法：1996年12月20日《个人资料(隐私)条例》颁布实施。同时特别设立了“个人隐私专员公署”以确保各界之遵守。

　　4.我国台湾地区相关立法：台湾地区的“电脑处理个人资料保护法”以及“电脑处理个人资料保护法实施细则”将公务机关与非公务机关的权利义务在同一部法律中加以规定，对于处理个人数据资料较多的公务机关的权利予以明确的规定。

　　三、个人网络信息的民法保护之我见

　　(一)个人信息侵权的相关案例

　　1.2011年“密码疑云”事件：中国软件开发联盟CSDN为中国最大的开发者技术云集的社区。2011年，CSDN被爆“600余用户邮箱密码被泄露”之消息。随后，新浪、腾讯、人人网等多家知名大型网络陷入“密码疑云”事件。此次“泄露门”疑似泄露数据库达26个，涉及约2.78亿条账号密码。

　　2.2007年反“人肉搜索”第一案：2007年底，女子姜某自杀前在博客写下其自杀原因为第三者插足导致婚姻破裂的文章，并上传其丈夫王某和“小三”的照片。此博客引发网友的“人肉搜索”行动。很快，王某及“小三”的个人信息被暴露于网上，给他们的生活造成很大的影响。随后，王某将相关网站告上法庭。此案被称为中国反“人肉搜索”第一案。人肉搜索虽然有助于网民尽早查明事件真相，但操作不当就可能侵犯公民的个人隐私。

　　(二)个人信息保护相关立法现状

　　目前中国对个人信息保护采取间接保护的模式，以《民法通则》及其司法解释和《侵权责任法》中的相关规定为主。例如“承担民事责任的方式”主要依据为《民法通则》第六章“民事责任”第四节中“停止侵害、排除妨碍、消除影响、恢复名誉、赔礼道歉”等方式的规定。再如我国《民法通则》第一百零一条的禁止性规定：“公民、法人享有名誉权，公民的人格尊严受法律保护，禁止用侮辱、诽谤等方式损害公民、法人的名誉。”司法解释中相应规定了赔偿责任的确定，如《最高人民法院关于贯彻执行<中华人民共和国民法通则>若干问题的意见》 第150条“公民的姓名权、肖像权、名誉权、荣誉权和法人的名称权、名誉权、荣誉权受到侵害，公民或者法人要求赔偿损失的，人民法院可以根据侵权人的过错程度、侵权行为的具体情节、后果和影响确定其赔偿责任。”

　　我国的《侵权责任法》于2009年通过施行，其中第2条规定：侵权责任法保护的法益包括姓名权、肖像权、名誉权、隐私权等人身、财产权益。但由于我国暂未有建立起一般人格权制度保护个人信息，这就意味着网络个人信息尤其是网络敏感个人信息遭到侵犯 ，受害人只能通过姓名权、名誉权、隐私权等具体人格权制度提供保护。

　　(三)完整的民法体系是保护个人信息的基础性要求

　　传统民法中，如德国和日本的《民法典》均未有规定相关个人信息保护的条款。但笔者以为除了在人格权立法上应注重对个人信息的保护之外，信息化时代亦要求民法体系的整体性。信息化在改变人们的生活方式的同时也在逐渐改变社会的生产方式。近年来在现代的网络 (互联网与物联网) 条件下的交易方式——电子商务发展迅速。

　　一方面由于网络的虚拟性，交易主体的确认是一大关键性问题。在利用个人信息确认个体身份以保证交易安全与防止个人信息在交易过程中的泄露以致受到侵害之间的利益平衡，需要体系化的规定。

　　另一方面，诸如“合同订立”、“合同履行”(即货物的交付和货款的支付)等法律行为，相较于传统的交易方式，信息化条件下的交易行为都体现出明显的差异性 。如何界定此类交易中各方的权利义务的相关规定若依旧保持散见于各部法律的状况，那么可以预见的是，随着电子商务的普及，网络环境以及虚拟社会与现实社会交叉地带的矛盾冲突将日益尖锐，这极不利于社会的进一步发展。

　　从另一个角度来看，网络社会之中，诸如电子证据、虚拟财产、虚拟人格、网络交易、网民契约、网络服务提供者责任、网络平台责任、网络金融、网民权益、网络侵权等各个方面，都亟需我国民法做出针对性立法。并且不仅要突出网络技术的特征，也反映出未来网络经济社会发展趋势;不仅应鼓励和支持中国网络经济发展，也必须规制和惩罚网络社会不法行为 。改善我国网络社会混乱现状迫在眉睫，但是我国的民法体系中涉及网络侵权的规定几乎只有《侵权责任法》第三十六条。在网络极速发展、信息大爆炸的当下，相关法律明显缺位的现状须要民法体系化的归置。

　　(四)信息化时代保护个人信息的法律救济

　　首先，民法典编纂的意义在于整合民事法律，向不同的主体提供现存法信息。拿破仑曾言，民法典将成为每家每户紧挨《圣经》的书籍。考虑到法律专业人士可以通过训练而在纷繁冗杂的法律信息三千若水中取到该饮的一瓢，民法典更大的意义应在于为不熟悉法律的普通人提供清晰的信息获得渠道以及具体的法律信息。

　　诚然，在法律的具体应用上任何时代都离不开专业人士，但是随着我国法治建设的推进，为使公民能更好的知法守法，民法典在编纂过程中应考虑到法学“门外汉”对于法律信息的需求，在一定程度尤其是与个体关系最为密切的有关个人信息的保护和规定上应该尽可能的适应大众的接受能力。例如以便于受众理解的方式编排法律信息 。

　　其次，还不应忽视信息技术对信息强大的处理、整合以及传播能力，这一点在法律信息上同样适用。在信息化时代，法律信息亦可以突破法典这一载体，向数字化领域延伸，以适应社会对于信息获取效率的需求。笔者认为在民法典的编纂过程中可以探索建立新型的法律信息管理系统。区别于现存的各类针对法律专业人士开发建立的法律数据库，新型的法律信息管理系统应尽可能地减少因法律问题自身的复杂性而导致的信息的冗杂。例如可以参考一些从事产品比较和评估的网站。这些网站均为用户提供分享经历的平台，并且在信息分类上的依据是相关司法区域对当事人的吸引力大小。所以在这类网站中，几乎每个用户都可以轻易找到与自己所涉及的案件相似的其他用户经历 。这无疑为用户寻求法律援助以保护自己的权益提供了极大的便利。

　　最后，值得关注的一点是，在高速运作的信息化社会下，对于网络环境中个人信息损害的救济方式，即充分考虑法律救济方式及其效率的问题。在救济方式上，不应局限于网络监管审查;可以尝试在关于网络服务提供方的规定上就做好相关的制度铺垫。在效率方面应严格贯彻违法必究的理念，同时也需要适应信息化的特征，适当简化救济程序。

　　四、结语

　　综上所述，笔者认为信息化时代的变革浪潮为我国民法的跃进式发展提供契机。此值我国民法典编纂之际，若能充分考虑个人信息的特征与特性，十分期盼我国未来的民法典能够在保护个人信息方面引领未来世界民法典之潮流。