個人信息侵權責任法律體系探析

文/郭俊

摘要：互聯網信息時代，個人信息遭受侵害的風險日益突出，個人信息侵權責任制度建構至關重要。本文在廓清個人信息侵權相關概念和法律性質并對國內外相關制度比較分析的基礎上，對《中華人民共和國民法典》和《中華人民共和國個人信息保護法》頒行后我國個人信息侵權責任制度建構做出初步探析。

關鍵詞：個人信息；侵權責任；制度建構

一、個人信息及其法律屬性

（一）個人信息

在日常語境下，個人信息涵蓋了個人的廣泛資訊。但在法律意義上，個人信息則更側重于其能夠特定指向某個人的確定性，從而形成了狹義的個人信息定義。

根據《中華人民共和國民法典》第一千零三十四條，個人信息是指以電子或其他方式記錄的，能夠單獨或結合其他信息識別特定自然人的各種信息，如姓名、出生日期、身份證件號碼、生物識別信息、住址、電話號碼、電子郵箱、健康信息、行蹤信息等。在網絡購物糾紛中，電商平臺不僅收集了消費者的姓名、聯系方式，還記錄了其購買偏好、瀏覽歷史等信息。這些信息單獨來看，可能無法精準識別特定消費者，但相互結合后，便能清晰地勾勒出消費者的獨特畫像，明確指向具體個人，這便是法律意義上個人信息的典型體現。由此可見，法律意義上的個人信息具備識別特定自然人的關鍵特征。

（二）個人信息的法律屬性

盡管個人信息作為新興的法律概念，其法律屬性在學界和實務界尚未形成統(tǒng)一的權威界定，但《中華人民共和國民法典》已明確規(guī)定個人信息受法律保護，并對個人信息的定義和保護范圍進行了詳細闡述。而明確個人信息的法律屬性，無疑是清晰界定個人信息侵權責任的重要前提。

將個人信息視為隱私權，這是國內外學界的主流觀點之一，并且在各國立法規(guī)范中也有所體現。我國《中華人民共和國民法典》規(guī)定，個人信息中的私密信息，一般適用有關隱私權的規(guī)定。除了隱私權觀點外，人格權說也是對個人信息法律屬性界定的重要觀點之一。該學說將個人信息作為人格權的一部分，這在歐洲國家是普遍采用的主流觀點。歐洲大陸通常將隱私保護的根基建立在人格尊嚴之上，這與美國將隱私視為自由權利的傳統(tǒng)存在顯著差異。德國在此基礎上，形成了一般人格權作為一種框架性權利，并將個人隱私保護納入其中。如在德國某起案件中，一家公司未經員工同意，擅自將員工的健康信息用于商業(yè)宣傳，法院認為該公司的行為侵犯了員工的人格權，因為員工的健康信息屬于個人信息范疇，與人格尊嚴緊密相關。德國知名電商巨頭Notebooksbilliger.de AG因在無合法依據的情況下視頻監(jiān)控員工，被處罰1040萬歐元。法國通過典型案例確立了“個人形象權”的保護，并在1970年《法國民法典》中新增了第9條“私生活受尊重權”，將個人信息納入人格權范疇進行保護。

新型公法權利說則認為，在當前信息時代，個人信息不應僅僅被當作私權利看待。基于國家管理、公共利益等需求，個人信息還應具備一定的公法屬性。在信息社會中，與個人信息相關的利益主體及其利益關系變得日益多樣和復雜，國家不再僅僅是法律規(guī)則的制定者和執(zhí)行者，同時也是個人信息的重要收集、處理、儲存和利用者。因此，對個人信息保護從之前的 “絕對權利絕對保護” 轉變?yōu)?“相對權利相對保護”。如在公共衛(wèi)生事件期間，政府為了防控疫情，收集居民的行程信息、健康狀況等個人信息。這種收集行為雖然涉及個人信息，但基于公共利益的考量，具有一定的合法性。然而，一旦政府部門在處理個人信息的過程中出現疏漏或不當行為，致使信息泄露，進而侵犯個人權益，其亦需依法承擔相應責任。

綜合上述對個人信息法律屬性的主要觀點，其主要爭議集中在《中華人民共和國個人信息保護法》保護的個人信息是否等同于個人隱私、能否歸入人格權保護范疇，以及其應屬于公權益還是私權益等問題。這些爭議點構成了分析個人信息侵權責任的邏輯基礎。在當前信息時代，個人信息處于不斷發(fā)展變化之中，對其法律屬性的認知不應局限于某一傳統(tǒng)法律概念的固有界定，而應根據特定信息在具體場景下對法律關系主體的價值判斷來區(qū)別對待，相應地，侵權損害賠償責任的性質和歸責原則等也應當根據其權利屬性的不同而分別加以確定。

二、域外個人信息侵權責任制度構建

（一）德國

在德國等大陸法系國家，學界通常將隱私權益的法律保護歸入人格權范疇，進而形成了私法保護的救濟方式。隨著從隱私權到個人信息權的轉變，個人信息的法律保護途徑也從隱私權的私法保護逐漸過渡到個人信息權的私法保護，并被賦予了新的內涵。這一轉變促使個人信息侵權責任機制進行規(guī)范和重構，形成了在個人信息侵權責任建構上公私法兼顧、創(chuàng)設新型責任形式的理論創(chuàng)新。

德國 1977 年制定的《聯邦資料保護法》，經過 13 年的適用與修訂，成為大陸法系國家最具代表性的一部個人信息保護立法。與英美法系個人信息保護立法相比，具有鮮明的大陸法系特色，對大陸法系國家的相關立法實踐具有重要的指導作用。假如數據處理公司違反《聯邦資料保護法》的規(guī)定，未經用戶同意，將用戶的個人數據出售給第三方用于商業(yè)營銷，該公司有可能被判定侵犯用戶個人信息權，進而承擔停止侵權、賠償損失等責任。

（二）歐盟

歐盟對個人信息保護及法律責任規(guī)制較為重視，其個人信息保護立法相對成熟。歐盟國家在信息通信技術對個人生活影響的關注上走在前列，被譽為個人信息保護立法的開拓者。

歐盟 1995 年的《數據保護指令》（以下簡稱 95 指南）推動了國際規(guī)則在歐盟成員國的法律化。該指令規(guī)定了信息主體的權利、管理者的義務、監(jiān)督機關和登記程序、信息的跨國流通等問題，適用于自動處理和非自動處理模式下的個人數據，旨在保障個人信息處理中自然人的基本權利和自由，確保個人數據的自由流通。2016 年 4 月 14 日，歐盟通過《一般數據保護條例》（以下簡稱 GDPR），取代了成員國分散立法的模式，成為在全歐盟具有直接法律效力的歐盟法。這些基本制度在個人信息侵權形式、保護范圍、判定標準和責任承擔等方面做出了奠基性制度安排，成為歐盟國家在此領域的共同遵循。如在一起跨國數據泄露案件中，一家位于歐盟的大型互聯網公司未能妥善保護用戶數據，導致服務器遭受黑客攻擊，大量用戶個人信息被泄露。依據GDPR的規(guī)定，歐盟監(jiān)管機構對該公司進行了調查。由于未能遵守GDPR中關于用戶個人信息安全的義務，該公司被處以巨額罰款，并被要求采取一系列措施加強數據安全保護，以防止類似事件再次發(fā)生。

（三）美國

作為英美法系國家的代表，美國重視自由與創(chuàng)新。在個人信息保護層面，其政策取向是在國際范圍內保護個人隱私的同時，避免阻斷信息交流，防止對電子商務和跨境貿易等活動造成較大影響。美國政府在隱私保護方面采取了一種平衡的規(guī)制策略，結合了政府引導的行業(yè)自律模式和分散立法的監(jiān)管體系。美國沒有全面的聯邦數據隱私法，而是依賴于聯邦貿易委員會（FTC）和聯邦通信委員會（FCC）等機構來執(zhí)行相關法律，如《隱私權法》和《兒童網上隱私保護法》等，以規(guī)范行業(yè)內個人信息處理行為。

這種立法理念和規(guī)范模式賦予個人信息侵權責任制度多維度的形式和機制，使其比歐盟模式更具彈性和多元化。例如，美國某社交媒體平臺曾被曝光存在數據濫用問題，該平臺未經用戶充分授權，將大量用戶的個人信息分享給第三方廣告商。事件曝光后，美國聯邦貿易委員會依據相關法律規(guī)定，對該平臺展開調查。最終，該平臺與監(jiān)管機構達成協議，同意支付巨額罰款，并承諾采取一系列措施強化用戶隱私保護，諸如改進隱私政策、提升用戶對個人信息的控制權限等。這一案例體現了美國在個人信息侵權責任處理上，既注重保護個人隱私，又考慮到行業(yè)發(fā)展和市場競爭的平衡。

其他國家大多學習或沿襲了上述各國的立法理念和規(guī)則。如日本的保護模式借鑒了歐盟的立法模式，同時采納了美國的保護規(guī)制，通過政府立法和行業(yè)自律實現個人信息保護。域外不同地區(qū)和國家結合自身實踐需要制定的個人信息保護法，為我國相關立法提供了寶貴的借鑒經驗。

三、我國個人信息侵權責任制度建構

（一）《中華人民共和國民法典》編訂前的個人信息侵權責任制度

2000 年 12 月 28 日，全國人大常委會做出的《關于維護互聯網安全的決定》，開啟了我國以法律規(guī)范互聯網的征程。在此基礎之上，2012年12月28日，全國人大常委會正式表決通過了《關于加強網絡信息保護的決定》，該決定在嚴格遵循國際慣例的同時，對我國個人信息保護與利用的基本原則進行了全面而深入的法律頂層設計。

此后，一系列部門法相繼出臺，對個人信息保護進行了補充規(guī)定。例如，《刑法修正案 （五） 》《刑法修正案 ( 七） 》《侵權責任法》《中華人民共和國消費者權益保護法》等都增設了個人信息保護的相關制度。行政法律法規(guī)和部門規(guī)章也不斷完善，《征信業(yè)管理條例》對征信行業(yè)的個人信息采集進行了詳細規(guī)范，《電信和互聯網用戶個人信息保護規(guī)定》構建了個人信息收集、使用規(guī)范和安全保障措施。同時，鑒于個人信息保護與現代技術的緊密聯系，《信息安全技術公用及商用服務信息系統(tǒng)個人信息保護指南》從技術層面對個人信息保護提出了要求，建立了國家標準。

然而，在一些網絡詐騙案件中，犯罪嫌疑人通過非法渠道獲取了大量公民個人信息，并利用這些信息實施詐騙。由于當時相關法律規(guī)定較為分散，不同法律法規(guī)之間缺乏協調統(tǒng)一，這致使在追究侵權者法律責任的過程中，法律適用變得模糊不清，責任主體的判定亦顯得撲朔迷離。

（二）民法典關于個人信息侵權責任的規(guī)定

時代呼喚法治，《中華人民共和國民法典》應運而生。作為我國民事法律制度的集大成者，民法典詳細規(guī)定了個人信息侵權的形式、范圍、原則和條件，確立了保護個人信息的基本規(guī)范。這些規(guī)范不僅為個人信息侵權責任的判定提供了重要基礎，還明確了信息處理者在收集、存儲、使用個人信息時應遵守的義務，以及違反這些義務時所應承擔的法律責任。

根據《中華人民共和國民法典》第一百一十一條，自然人的個人信息受到法律的保護。任何組織或個人若需獲取他人個人信息，必須依法獲取并確保信息安全，不得非法收集、使用、加工、傳輸他人個人信息，亦不得非法買賣、提供或公開他人個人信息。這一條款是個人信息保護的基石性條款，是探討個人信息保護及相關侵權責任問題的核心出發(fā)點。

民法典第一千零三十四條進一步明確了自然人個人信息保護的范圍，第一千零三十五條對個人信息處理的原則、條件和方式做出了規(guī)定，為個人信息侵權責任歸責奠定了基礎，明確了在信息處理階段處理者應否承擔侵權責任及可能的免責事由。由此可見，民法典在個人信息侵權相關方面的規(guī)定，為司法實踐中準確認定侵權行為、合理確定責任歸屬提供了堅實的法律依據。

（三）《中華人民共和國個人信息保護法》對個人信息侵權責任制度的體系化構建

2021 年 8 月 20 日，全國人大常委會表決通過的《中華人民共和國個人信息保護法》，構建了完整的個人信息保護框架，對個人信息處理規(guī)則、信息處理者的義務、監(jiān)管部門職責以及罰則等進行了全面規(guī)定，為個人信息侵權責任的認定、責任承擔方式等提供了更為具體的標準。

第一，個人信息保護法對一般個人信息與敏感個人信息采取分級保護的規(guī)范方式，相應的個人信息侵權行為、責任承擔也采用不同的判斷標準。比如醫(yī)療美容機構如果未經消費者同意，將其包含疾病史、過敏史等敏感個人信息泄露給第三方，依據《中華人民共和國個人信息保護法》中對敏感個人信息保護的相關規(guī)定，該機構的侵權行為性質更為嚴重，可要求其承擔更高額度的賠償責任，并采取措施消除不良影響。

第二，該法對個人信息處理的合法性基礎進行了必要擴充，確立了為訂立、履行合同所必需、為履行法定職責或者法定義務所必需、為應對突發(fā)公共衛(wèi)生事件，或者緊急情況下為保護自然人的生命健康和財產安全所必需、為公共利益在合理的范圍內處理個人信息以及法律、行政法規(guī)規(guī)定的其他情形等作為合法處理的條件。若違反這些規(guī)定，將承擔個人信息侵權責任。例如，一家企業(yè)在與員工簽訂勞動合同時，要求員工提供與工作無關的個人敏感信息，并以不提供就不錄用為由強迫員工。我們認為該企業(yè)的行為違反了為訂立、履行合同所必需的原則，侵犯了員工的個人信息權益，企業(yè)承擔相應的侵權責任。

第三，個人信息保護法進一步明確了個人信息跨境提供的規(guī)則，規(guī)定了跨境提供個人信息需同時具備的條件及應遵循的法律路徑。這一規(guī)定在全球化背景下，對于保障我國公民個人信息在跨境流動中的安全具有重要意義。

第四，該法新設個人信息可攜權，個人請求將個人信息轉移至其指定的個人信息處理者，符合國家網信部門規(guī)定條件的，個人信息處理者應當提供轉移的途徑。這一權利的設立，增強了個人對自身信息的控制權，促進了信息的合理流動和利用。

第五，個人信息保護法對近親屬行使死者個人信息權利做出了限定。自然人死亡后，其近親屬可以對死者的個人信息行使一定權利，但需同時滿足為了自身的合法、正當利益，權利類型僅包括查閱、復制、更正、刪除且死者生前無其他安排等要件。這一規(guī)定平衡了死者個人信息保護與近親屬合法權益之間的關系。

第六，該法明確了個人信息處理者的基本義務，并根據主體規(guī)模大小對個人信息處理者課以不同的責任。大型個人信息處理者由于處理的信息量大、涉及面廣，往往需要承擔更嚴格的保護義務和更高的責任標準。

第七，個人信息保護法將個人信息侵權在民事、行政和刑事責任方面統(tǒng)一界定。民事上，侵權責任認定采取過錯推定原則，由侵權方自證無過錯，否則擔責；共同侵權者承擔連帶責任，全方位保障受害者權益。行政上，大幅提高行政處罰上限，如無違法所得時可處最高 100 萬元罰款，還明確直接責任人與相關管理人員責任，可對其處 1 萬至 10 萬元罰款 。刑事上，對嚴重侵權行為，依刑法以侵犯公民個人信息罪論處，單位犯罪則雙罰，以此構建起嚴密法網，打擊個人信息侵權行為。

總之，個人信息保護法在民法典等基本法律制度的基礎上，為個人信息侵權責任構建了更為全面和科學的體系。它作為專門法，有機梳理、銜接并整合了此前出臺的零散法律規(guī)定，成為研究和落實個人信息侵權責任制度最重要的規(guī)范體系。（作者為河南工程學院副教授；本文基金項目：河南省教育廳高等學校哲學社會科學項目“個人信息侵權損害賠償責任研究”編號：2023-ZZJH-010的階段性研究成果）