關于《民法總則》“個人信息”澄明及侵權責任認定的若干思考

汪政

[摘 要] 《民法總則》將個人信息權新增為具體人格權予以保護，這一方面彌補了我國民事法領域個人信息權保護的空白，另一方面由于相關條款規定過于宣示性，導致“個人信息”法律內涵未予澄明、侵權認定標準和侵權責任承擔方式均未明確，想要架構一個科學的個人信息權體系，仍面臨諸多挑戰。

[關鍵詞] 《民法總則》；個人信息；法律內涵；內涵澄明；侵權責任認定

[中圖分類號] DF51 [文獻標識碼] A [文章編號] 1002-8129（2017）06-0056-05

引 言

于2017年3月15日頒布，將于10月1日后施行的《中華人民共和國民法總則》（以下簡稱“《民法總則》”）亮點之一是增加了個人信息保護的條款[1]?！睹穹倓t》第111條規定：“自然人的個人信息受法律保護。任何組織和個人需要獲取他人個人信息的，應當依法取得并確保信息安全，不得非法收集、使用、加工、傳輸他人個人信息，不得非法買賣、提供或者公開他人個人信息?！薄睹穹倓t》的頒行是我國民法典立法編纂的起源性大事件，第111條對于個人信息權的規定也是我國法律首次從民事基本法層面確立個人信息權。但遺憾的是，《民法總則》對于個人信息權的規定頗具宣示性，既沒有明確“個人信息”的法律內涵，也沒有具體規定侵權認定標準和侵權責任承擔方式，相關司法解釋及實務操作指引也尚未出臺，一系列懸而未決問題的存在使得《民法總則》個人信息權相關條款的實務指導價值大打折扣。筆者欲結合國內個人信息保護相關立法實踐，將自身對個人信息保護問題的若干思考予以闡述，希望對相關問題的研究有益。

一、“個人信息”法律內涵澄明

個人信息泄露事件的多發使得多年前個人信息保護既已進入我國立法視野。早期，學界主張制定統一的《個人信息保護法》，但由于“個人信息”法律內涵及法律屬性，以及《個人信息保護法》部門歸屬等都存在較大爭議，統一立法模式最終流產，轉而各立法、司法部門就個人信息保護問題出臺了一系列原則性立法及單行規定。筆者將分別從民事法、刑事法、行政法、綜合性法等方面就“個人信息”的法律內涵予以梳理和分析，為《民法總則》中“個人信息”的法律內涵澄明提供些許啟示和借鑒。

（一）民事法層面

雖然個人信息權系《民法總則》新設人格權類型，但民事法領域對于個人信息權的保護規定并非空白。在《民法總則》之前，最高人民法院曾于2014年10月10日公布施行《關于審理利用信息網絡侵害人身權益民事糾紛案件適用法律若干問題的規定》，并在該規定第12條列舉了“個人信息”的常見形式及侵權責任承擔方式[2]，但該規定只是就“個人信息”常見形式進行部分列舉，并未對“個人信息”的法律內涵予以明確和界定。

（二）刑事法層面

刑事法層面關于個人信息的規定始于2009年2月28日起施行的《中華人民共和國刑法修正案（七）》（以下簡稱“《修正案（七）》”）?！缎拚福ㄆ撸吩鲈O了出售、非法提供公民個人信息罪和非法獲取公民個人信息罪[3]，這是我國法律首次將非法獲取和提供個人信息的行為列入刑事犯罪領域予以規制，但《修正案（七）》并未對“個人信息”的法律內涵進行明確。

2015年11月1日起施行的《中華人民共和國刑法修正案（九）》（以下簡稱“《刑法修正案（九）》”）對《中華人民共和國刑法》第二百五十三條之一作出修改完善，將上述《修正案（七）》所增設的三罪名統一為“侵犯公民個人信息罪”一罪，將侵犯公民個人信息引發的犯罪行為進一步明確和統一化，但遺憾的是，《修正案（九）》仍未將“個人信息”的法律內涵予以明確。

2017年5月9日最高人民法院與最高人民檢察院通過聯合新聞發布會的形式發布了《最高人民法院、最高人民檢察院關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》（以下簡稱“《解釋》”），《解釋》第一條采取概括加列舉的方式，對侵犯公民個人信息罪中的“公民個人信息”的范圍進行了明確：“刑法第二百五十三條之一規定的“公民個人信息”，是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人身份或者反映特定自然人活動情況的各種信息，包括姓名、身份證件號碼、通信通訊聯系方式、住址、賬號密碼、財產狀況、行蹤軌跡等”[4]。屆時，刑事法律領域“個人信息”的法律內涵得以澄明。

（三）行政法層面

2013年9月1日中華人民共和國工業和信息化部頒布施行的《電信和互聯網用戶個人信息保護規定》（以下簡稱“《規定》”）是一部比較全面的個人信息保護單行規定?！兑幎ā返谒臈l以不完全列舉的方式規定：“本規定所稱用戶個人信息，是指電信業務經營者和互聯網信息服務提供者在提供服務的過程中收集的用戶姓名、出生日期、身份證件號碼、住址、電話號碼、賬號和密碼等能夠單獨或者與其他信息結合識別用戶的信息以及用戶使用服務的時間、地點等信息”[5]。屆時，行政法律領域“個人信息”法律內涵得以澄明。

（四）綜合法層面

2016年12月19日提請審議的《中華人民共和國電子商務法（草案）》（以下簡稱“《草案》”）是我國第一部電商領域的綜合性法律（草案），《草案》專章規定了電商領域個人信息保護有關規范，并于該法第45條以不完全列舉方式明確了“個人信息”的法律內涵[6]，目前《電子商務法》尚未頒布發生法律效力。另一個值得關注的問題是，《電子商務法》作為一部涉及多部門的綜合性法律，目前尚未定性具體的部門法類別，我們暫且把它作為綜合性法律來對待。

于2016年11月7日發布，2017年6月1日起施行的《中華人民共和國網絡安全法》（以下簡稱“《網絡安全法》”）第76條將“個人信息”釋義為“以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別自然人個人身份的各種信息”，同時列舉說明“包括但不限于自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等”[7]?！毒W絡安全法》從綜合法的層面，以概括加列舉說明的方式相對完整而明確地對“個人信息”的法律內涵進行了澄明。endprint

2017年4月11日，國家互聯網信息辦公室關于《個人信息和重要數據出境安全評估辦法（征求意見稿）》（以下簡稱“《評估辦法》”）公開向社會征求意見?！对u估辦法》系國家互聯網信息辦公室根據《網絡安全法》制定的，其在第十七條對于“個人信息”的法律內涵的規定直接沿用了《網絡安全法》中的釋義[8]。

2017年7月11日，國家互聯網信息辦公室公布了備受矚目的《關鍵信息基礎設施安全保護條例（征求意見稿）》（以下簡稱“《保護條例》”），《保護條例》第29條對運營者向境外提供個人信息做出了規定[9]?！侗Ｗo條例》也是國家互聯網信息辦公室根據《網絡安全法》制定的，雖未于規定中明確“個人信息”的法律內涵，但仍應同《評估辦法》一樣，直接沿用《網絡安全法》中對于“個人信息”的釋義。由此，綜合法層面，“個人信息”的法律內涵在《網絡安全法》中得以澄明。

二、內涵澄明對侵權責任認定的啟示

通過上文對于“人格信息”法律內涵的澄明，我們已基本明確《民法總則》“人格信息”應予保護的范圍及如何就此范圍內的權利進行立法保護的問題。說到這個問題就不得不提到持續多年的人格權立法模式之爭[10]，《民法總則》的出臺將這一爭論塵埃落定：根據立法機關的設計，中國民法典將由總則編、合同編、物權編、侵權責任編、婚姻家庭編和繼承編等各分編組成，即《人格權法》單獨成編的建議未被立法者采納，立法者最終仍是選擇在總則編中對人格權予以保護。

事實上，各國民法典均采取了“設權+救濟”的方式，人格權立法也可以分為三個主要部分：一是與權力主體制度密不可分的權利能力和行為能力問題，這個問題《民法總則》規定很清晰，我們在本文不做探討；二是人格權之具體形態；三是人格權受到侵害時的侵權救濟[11]。個人信息權作為新增具體人格權列入《民法總則》，但《民法總則》對個人信息權的規定甚是簡約，不但沒有明晰“個人信息”的法律內涵/具體形態，亦未將侵權救濟（主要是侵權認定標準和責任承擔方式）規定其中，相關司法解釋的出臺至今仍撲朔迷離，這不免讓人憂心該條款在實務中的適用問題，甚至擔心其陷于束之高閣的尷尬境地。那么，《民法總則》生效后中“個人信息權”遭遇損害時應如何救濟呢？

首先，如上文所述，《關于審理利用信息網絡侵害人身權益民事糾紛案件適用法律若干問題的規定》系民事法領域個人信息權保護的司法解釋性質法律文件，該解釋第一條對于適用范圍做了限定：“本規定所稱的利用信息網絡侵害人身權益民事糾紛案件，是指利用信息網絡侵害他人姓名權、名稱權、名譽權、榮譽權、肖像權、隱私權等人身權益引起的糾紛案件?！憋@然，個人信息權在該解釋出臺時尚未被納入具體人格權的范疇，但如今已被納入，便被包含亦可援引適用。

其次，《民法總則》與《侵權責任法》的關系近于權利法與救濟法的關系，《侵權責任法》第2條列舉的18項權利近半數是人格權，該法第15條規定的8種救濟方式及第22條的精神損害賠償都可以適用于侵害人格權的救濟[12]?！肚謾嘭熑畏ā返?6條規定第一款規定：“ 網絡用戶、網絡服務提供者利用網絡侵害他人民事權益的，應當承擔侵權責任?！钡诙钜幎吮磺謾嗳说木葷緩胶途W絡用戶、網絡服務提供者應承擔的侵權責任[13]；第三款對網絡服務提供者在明知網絡用戶存在侵權行為而未采取必要措施情形下的連帶責任進行了規定?！蛾P于審理利用信息網絡侵害人身權益民事糾紛案件適用法律若干問題的規定》第三條規定：“原告依據侵權責任法第三十六條第二款、第三款的規定起訴網絡用戶或者網絡服務提供者的，人民法院應予受理?！庇纱?，個人信息權被侵害時，《侵權責任法》是一道強有力的救濟保障。

再次，上文所述各原則性立法和單行規定構成個人信息權救濟的有效補充。如刑事層面侵犯公民個人信息罪的設置將嚴重侵犯個人信息的行為納入了刑事犯罪層面去予以規制；行政監管層面《電信和互聯網用戶個人信息保護規定》中對電信業務經營者、互聯網信息服務提供者關于個人信息安全防護的監管規定和侵權認定等的設置可有效提高公民個人信息安全度；綜合法層面《電子商務法》《網絡安全法》等中對個人信息保護的專門性規定等，從不同層面對個人信息權保護和救濟構成有效鏈接救濟體系。

最后，回歸到《民法總則》本身，《民法總則》司法解釋應從以下三個方面對個人信息權予以完善：一是澄明概念。對個人信息權的保護首先應明確什么是“個人信息”，只有明確了權利界限才能對侵權與否及主要侵權類型作出具體規定。參照上文各法律文件的概念分析，《網絡安全法》中對于“個人信息”的概括最為精確和完善，由此，《民法總則》司法解釋中對“個人信息”法律內涵可直接照搬或援引適用《網絡安全法》中對“個人信息”的概念釋義。二是細化侵權類型?！睹穹倓t》第111條指出“不得非法收集、使用、加工、傳輸他人個人信息，不得非法買賣、提供或者公開他人個人信息”，由此，《民法總則》司法解釋應明確何為“非法收集、使用、加工、傳輸個人信息”及“非法買賣、提供或者公開個人信息”，將具體行為模式以“概括+不完全列舉”方式，參照上文各層面原則性立法和單行規定，結合民事法行為模式特征予以細化。三是明確救濟途徑。需要強調的是，“個人信息”不同于“隱私”，“個人信息權”不等于“隱私權”。由于許多個人信息本身具有私密性，而許多隱私也是以個人信息的形式表現出來的，因此，當某種行為侵害他人隱私權或個人信息時，有可能同時侵害這兩種權利，從而構成侵權的競合，受害人可以選擇對自身最為有利的方式加以主張[14]。另外，由于目前我國法律對于個人信息權的規定“政出多門”且呈現出碎片化，對于各救濟途徑沖突或權利主張競合時的處理原則予以重申和明確很有必要。

三、結論

個人信息權作為民事法領域一項新生的、發展的而又內涵復雜的權利類型，其立法保護涉及多部門，其理論研究目前相對來說還比較薄弱，與其相關的立法也需要處理好與紛繁復雜各既有原則性立法和單行規定的關系，想要架構一個科學的個人信息權體系必然面臨諸多挑戰……總之，個人信息權的相關問題還有待進一步深入研究，問題的解決尚需學界共同努力。筆者在文中以梳理分析的方式將自己對于《民法總則》中個人信息權的一些不成熟的思考作以闡述，以饗讀者，謹供交流，不足之處歡迎指正、共同探討。

[參考文獻]

[1]王利明.中華人民共和國民法總則詳解（上冊）[M].北京：中國法制出版社，2017.

[2]王利明.人格權的積極確權模式探討——兼論人格權法與侵權法之關系[J].法學家，2016，（2）.

[3]王利明.民法典的時代特征和編纂步驟[J].清華法學，2014，（6）.

[4]王利明.論網絡環境下人格權的保護[J].中國地質大學學報（社會科學版），2012，（4）.

[5]梁慧星.民法總則立法的若干理論問題[J].暨南大學學報（哲學社會科學版），2016，（1）.

[6]王利明.論個人信息權的法律保護——以個人信息權與隱私權的界分為中心[J].現代法學，2013，（4）.

[7]易繼明.人格權立法之歷史評析[J].法學研究，2013，（1）.

[8]胡衛萍.新型人格權的立法確認[J].法學論壇，2011，（6）.

[9]彭誠信，王 聰.“人格”澄明對人格權立法之爭的調和[J].吉林大學社會科學學報，2016，（3）.

[10]張鋒學.論我國個人信息的民法保護[J].走向社會科學，2013，（8）.

[11]肖少啟.個人信息法律保護路徑分析[J].重慶大學學報（社會科學版），2013，（4）.

[12]王 岳，郭 壘.網絡社會個人信息權問題研究[J].西南交通大學學報（社會科學版），2011，（2）.

[13]楊亞麗.我國個人信息保護法律探微[J].中州大學學報，2011，（3）.

[14]張振亮.個人信息權及其民法保護[J].南京郵電大學學報（社會科學版），2007，（1）.

[責任編輯：譚曉影]endprint