| 联系我们 |
 |
合作经济与科技杂志社
地址:石家庄市建设南大街21号
邮编:050011
电话:0311-86049879 |
|
|
| 信用/法制 |
| 个人信息民法保护研究 |
| 第757期 作者:□文/顾云辉 时间:2025/7/16 9:21:20 浏览:49次 |
[提要] 随着现代科技的进步,信息技术的飞速发展,个人信息的收集、处理和利用变得日益频繁,在此过程中个人信息不可避免地存在泄漏的问题。为了全面保护个人信息安全,我国相继出台《民法典》 《个人信息保护法》,但发现在实践中依然存在个人信息保护范围界定难、个人信息侵权有效救济困难、信息主体缺乏信息安全意识且“知情-同意”标准流于形式等问题。为解决上述问题,可通过限缩个人信息“可识别性”的适用标准、以违法性判断厘清个人信息权益保护范围、多元归责明确举证责任分配、引入惩罚性赔偿遏制侵权案件的发生、强化信息主体的信息安全防护意识、落实“知情-同意”原则来保护个人信息。
关键词:个人信息保护;《民法典》;惩罚性赔偿;可识别性
基金项目:2023年河南省哲学社会科学规划年度项目:“短视频平台算法权力异化的法律规制研究”(项目编号:2023BFX026)
中图分类号:D9 文献标识码:A
收录日期:2025年1月16日
随着新时代数字经济的发展,每个人都是网络社交平台的一员,数字经济给人们生活的方方面面带来了便利,同时也有不少负面影响。骚扰电话、推销电话、垃圾短信和网络诈骗等让人不厌其烦,其背后无疑与个人信息的泄漏息息相关。虽然我国出台了个人信息保护的具体法律规范,但个人信息保护的争论仍未停止。并且个人信息的范围伴随时代发展不断变化,加之法律本身的滞后性以及法律施行中出现立法未能遇见的问题,法律在多大程度上改善个人信息的保护并非当前理论研究所能回应。因此,在个人信息保护和平衡发展数字经济合理使用个人信息之间用民法来救济个人信息保护仍有深入研究的必要。
一、个人信息的民法保护基础
(一)个人信息的法律属性
1、信息主体对个人信息享有的是民事权益。个人信息是与自然人相关一切可识别其身份的一系列数据的集合,它是自然人隐私、人格尊严以及人身财产权的集中反映。个人信息的泄漏、滥用和非法获取,无疑会导致自然人的民事权益受损。需要法律保护自然人个人信息的安全性和准确性,防止在信息流转处理的过程中给自然人的民事权益造成损害。为保护自然人的民事权益,要求对自然人的个人信息合法获取、流转,避免泄漏,这种法益是值得法律保护的必要合法利益。并且基于保护私人利益的角度,其具有私法属性,明显区别于公法调整的社会关系,因此自然人对其个人信息享有的权益应受到民法的保护。
2、信息主体对个人信息享有独立的人格权。《民法典》对个人信息的定义采用“可识别性”特征,且在第111条将个人信息保护作为独立的人格权予以保护。“可识别性”意味着能够通过个人信息联系到特定的个人,反映特定自然人的生活轨迹、个人偏好、社会活动等,这些个人信息共同反映信息主体的身份与个性。这无疑体现了个人信息强烈的个人属性,且在个人信息受到侵害时,信息主体可主张消除危险、恢复原状等救济措施,信息主体也可以查阅、更正、确认其个人信息,类似于民法中的对世权,这种权利构成表明信息主体对个人信息享有的是独立的人格权。
(二)个人信息保护的价值基础。随着数字经济的发展,个人信息的使用、流转变得司空见惯。个人信息的合理使用不仅给我们的生活带来了便利同时也让企业可以根据个人信息给客户提供私人定制般的产品和服务,减少了海量投放广告等低效的推销,给企业带来了巨大的经济价值。虽然每个自然人的个人信息价值不高,但当很多自然人的个人信息汇聚到一起形成数据库时,只要企业找到合适的处理方法,就能挖掘其巨大的经济利益,在市场竞争中占据优势地位。个人信息是自然人的民事权益和人格尊严的体现,受到法律保护,要求各类主体在处理自然人的个人信息时不对此权力造成侵犯;同时,巨量的个人信息汇集极具价值,可以促进数字经济的发展。所以说个人信息具有个人价值和社会价值,在平等的主体之间适合用民法来进行平衡各方利益和保护。
二、个人信息的民法保护困境
(一)个人信息保护范围界定困难
1、个人信息“可识别性”标准不明。我国《民法典》对个人信息采取的是“可识别性”特征,虽然《民法典》中具体列举了个人信息的范围,但并非所有列举信息类型都符合则通过此信息识别到特定的自然人就是民法个人信息保护的对象。同理,也存在未列举的无名信息通过一系列无名信息组合能够精确识别到特定的自然人,这些无名信息也应当受到法律的保护。这就导致了个人信息在认定中不能局限于法律规定,还需要结合具体情形分析且带有主观性因素,给法律的适用带来困难。
2、个人信息权益未受到绝对化保护。《民法典》使用“个人信息”表达而非“个人信息权”,意味着个人信息的保护不是民法中的对世权。自然人的个人信息保护不仅是自然人民事权益与人格尊严的体现,也是合理使用个人信息发展数字经济的关键,法律需要在保护个人信息与数字经济发展之间做到平衡各方利益。若对个人信息绝对化保护,将导致个人信息的合法使用与流转变得困难,数字经济的发展举步维艰。这两者的矛盾导致《民法典》对个人信息的保护范围和信息主体合理使用信息的界限变得模糊,界限的模糊性导致自然人受到个人信息侵害时不能及时维护自己的合法权益。
(二)个人信息侵权有效救济困难
1、个人信息被侵权人举证困难。自然人的个人信息都是以电子数据的形式存在于网络空间,具有无形性的特征,同时个人信息通过多个环节的使用和流转,当个人信息被侵权时,由于信息处理者可能涉及多个,并且个人信息的处理、保存、流转的专业性往往使得被侵权人找到真正的侵权人变得困难。电子数据本身的高技术性、海量性以及可篡改性,使得被侵权人很难取得侵权证据,举证困难。对于个人信息的侵权责任,我国法律采用过错推定原则,被侵权人即便取得了被侵权个人信息的证据,但能否表明侵权行为与自身的损害结果存在因果关系仍值得商榷。
2、侵权案件财产性救济与损害赔偿威慑不足。我国《民法典》第1182条规定,个人信息侵权的赔偿数额依据被侵权人的实际损失或者侵权人获得的利益来确定。虽然法律规定了个人信息的侵权责任承担,但是在实践中,个人实际损失认定受限于单个自然人个人信息价值较小,导致赔偿金额普遍在1,000元左右或采用消除影响、赔礼道歉等形式。赔偿金额较低和维权付出的时间金钱成本不对等的原因,打消了维权的积极性。对于信息处理者来说,低成本的侵权后果和单个个人信息的价值低让其持续实施侵权行为,导致被侵权人的权益难以得到有效保护。
(三)信息主体缺乏信息安全意识且“知情-同意”标准流于形式
1、信息主体缺乏信息安全意识。随着科技的进步个人信息的运用变得司空见惯,对于个人信息的使用已经融入到每个人的日常生活中,公众也乐于享受科技带来的便利。虽然个人信息采用“可识别性”来定义已成为共识,但是随着科技的发展,个人信息的内涵也在变化,其中的可识别性中的间接识别在理论和实践中尚未达成共识,对于普通民众来说,全面认清个人信息的范围更加无从谈起。因为单个自然人的个人信息价值不大,普通人在使用指纹、人脸识别、App授权个人信息来便利自己的日常生活时缺少信息安全意识,更有甚者为了使用服务点击有风险提示的网站授权个人信息,这种随意使用个人信息的现象与自然人对个人信息的认知范围不足和个人信息价值不高、不了解个人信息被侵权的危害息息相关。
2、“知情-同意”标准流于形式。我国《个人信息保护法》在第14条中明确规定了个人信息的处理需要以自然人在自愿、明确且充分知情的情况下作出同意。但在实践中,信息处理者通过自然人签订的隐私条款取得授权同意,隐私条款的内容大多冗长、繁琐且专业性较强,自然人无法且没有能力和时间全面了解自己所签订的合同条款,因为不点击隐私授权条款同意自然人无法使用服务,基于方便省事和不能完全了解合同条款,自然人在隐私条款授权时往往不加思索,这导致最基础的知情同意标准未能充分保障信息主体的自主选择权。
三、个人信息的民法保护完善建议
(一)明确个人信息保护范围的界定
1、限缩个人信息“可识别性”适用标准。个人信息具有相对性特征,对于某些处理者来说可能属于个人信息的范畴,对于其他处理者来说则可能不具有个人信息的属性。不同的主体根据“可识别性”标准能够识别到特定自然人的能力不同,同时大数据的发展产生了大量的个人数据,若用“可识别性”将这些数据延伸为个人信息,那将使个人信息的使用与流转变得困难,导致数字经济的发展受到冲击。因此,需要针对不同的主体采用不同的标准,引入场景化分析,结合具体情形来设立标准。如,对于大型企业主体和国家机关,在间接识别的基础上加入侵犯个人信息的判定;对于一般人则采用普通的一般人标准来判定。因此,根据不同的主体场景化分析来限缩个人信息“可识别性”很有必要。
2、以违法性判断厘清个人信息权益保护范围。违法性判断的基准是对主体造成实质的法益侵害,引入违法性判断可以确定哪些行为给信息主体带来了侵害,从法益侵害角度明确个人信息权益保护的范围。违法性判断可以在个人信息保护和信息处理者使用个人信息之间达到平衡。引入违法性判断后,信息处理者为了避免违法的惩罚,必须在法律允许的范围内处理、使用个人信息,从而倒逼信息处理者妥善保护个人信息。同时,违法性判断提供了一个明确的标准,在个人信息保护中可以更好地发挥法律的适用性,提高司法公信力,促进个人信息保护。
(二)多元归责明确举证责任分配,引入惩罚性赔偿遏制侵权案件的发生
1、多元归责明确举证责任分配。我国《个人信息保护法》对个人信息侵权采用的是过错推定原则,针对不同的主体,被侵权人的举证责任单靠过错推定原则可能无法在实质上给予双方平等的法律地位。当自然人和自然人发生个人信息侵权时,鉴于民法上的平等律地位,可以适用一般过错原则来平衡举证责任的分配;在被侵权人为自然人侵权人为国家机关时,因为行政职能的强制性,可以参考行政法中个人与公权力之间的无过错原则,要求国家机关证明没有过错才能免责;在被侵权人为自然人与侵权人为大型互联网公司时,由于双方地位与能力的不相等,可以在自然人在证明法益被侵害的基础上适当放开因果关系证明,在场景化严格界定侵权要件后对大型互联网公司采用无过错责任举证倒置来更好地对个人信息进行保护。
2、引入惩罚性赔偿遏制侵权案件的发生。我国《个人信息保护法》对个人信息侵权案件采用填平性原则来追究侵权责任,但是在面对一些严重侵害个人信息的案件时往往不能有效保护被侵权人的利益。引入惩罚性赔偿,在面临侵权人恶意侵权时可以在补偿被侵权人损害的基础上使被侵权人获得额外的财产补偿,这样就加大了侵权人的违法成本。侵权人出于经济利益的考虑,不仅能够极大遏制侵害个人信息案件的发生,还能起到惩戒和教育作用。同时,必须严格限制惩罚性赔偿的适用只有在侵权者“明知+希望”或“明知+放任”故意侵权时方可适用,也可以建立类似于刑法的“初犯制度”,针对多次故意侵害个人信息的“累犯”各类主体直接适用惩罚性赔偿来对个人信息进行保护。
(三)强化信息主体的信息安全防护意识,落实“知情-同意”原则
1、强化信息主体的信息安全防护意识。信息主体是个人信息对外传播的源头,信息主体要在日常生活中树立戒备意识,合理使用个人信息,如不随意扫陌生的二维码、不在安全性不高的网站输入个人信息、不发布详细的个人信息等,形成正确的个人信息使用价值观。同时,国家有关机关可以在网络平台科普个人信息的重要性以及个人信息侵权的危害性,让广大群众产生个人信息保护意识,也可以通过在社区举办个人信息保护讲座、发放个人信息保护传单等线下方式,落实个人信息保护的传播来强化信息主体的信息安全防护意识。
2、落实“知情-同意”原则。“知情-同意”原则作为信息主体授权信息处理者处理、使用、流转个人信息的基础,由于信息处理者的信息优势地位在实践中对于隐私条款中的“知情-同意”原则信息主体往往很难在实质上完全了解并同意条款内容,需要信息处理者在隐私条款中对涉及信息主体核心权益的内容做到强调提示义务,在实质上落实“知情-同意”原则。同时,国家机关可以发布标准的隐私条款作为各类主体的范文参考,并成立行业协会,在国家机关发布的隐私条款范文内监督各个主体的隐私条款内容,发挥行业自治来限制隐私条款,充分落实“知情-同意”原则。
综上所述,在数字经济时代,个人信息的重要性不言而喻,本文以个人信息保护在实践中存在的问题为出发点,坚持问题导向,有针对性地对个人信息保护提供了可操作性的建议。加强个人信息的保护需要对个人信息“可识别性”的适用标准限缩,并通过违法性判断厘清个人信息权益保护范围,采用多元归责明确举证责任分配,引入惩罚性赔偿遏制侵权案件的发生,同时要强化信息主体的信息安全防护意识,落实“知情-同意”原则,希望能为个人信息的保护提供新的思路。
(作者单位:中原工学院)
主要参考文献:
[1]杜明强.论作为新兴人格权的个人信息权[J].北方法学,2023.17(05).
[2]黄莉雯.《民法典》时代个人信息保护的现状与完善路径[D].成都:四川大学,2021.
[3]程啸.个人信息保护法理解与适用[M].北京:中国法治出版社,2021.
[4]沃耘,乔鹏飞.《民法典》背景下个人信息保护的司法考察与制度完善[J].征信,2024.42(05).
|
|
|
|
