关于《民法总则》“个人信息”澄明及侵权责任认定的若干思考

    汪政

    [摘 要] 《民法总则》将个人信息权新增为具体人格权予以保护，这一方面弥补了我国民事法领域个人信息权保护的空白，另一方面由于相关条款规定过于宣示性，导致“个人信息”法律内涵未予澄明、侵权认定标准和侵权责任承担方式均未明确，想要架构一个科学的个人信息权体系，仍面临诸多挑战。

    [关键词] 《民法总则》；个人信息；法律内涵；内涵澄明；侵权责任认定

    [中图分类号] DF51 [文献标识码] A [文章编号] 1002-8129（2017）06-0056-05

    引 言

    于2017年3月15日颁布，将于10月1日后施行的《中华人民共和国民法总则》（以下简称“《民法总则》”）亮点之一是增加了个人信息保护的条款[1]。《民法总则》第111条规定：“自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的，应当依法取得并确保信息安全，不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息。”《民法总则》的颁行是我国民法典立法编纂的起源性大事件，第111条对于个人信息权的规定也是我国法律首次从民事基本法层面确立个人信息权。但遗憾的是，《民法总则》对于个人信息权的规定颇具宣示性，既没有明确“个人信息”的法律内涵，也没有具体规定侵权认定标准和侵权责任承担方式，相关司法解释及实务操作指引也尚未出台，一系列悬而未决问题的存在使得《民法总则》个人信息权相关条款的实务指导价值大打折扣。笔者欲结合国内个人信息保护相关立法实践，将自身对个人信息保护问题的若干思考予以阐述，希望对相关问题的研究有益。

    一、“个人信息”法律内涵澄明

    个人信息泄露事件的多发使得多年前个人信息保护既已进入我国立法视野。早期，学界主张制定统一的《个人信息保护法》，但由于“个人信息”法律内涵及法律属性，以及《个人信息保护法》部门归属等都存在较大争议，统一立法模式最终流产，转而各立法、司法部门就个人信息保护问题出台了一系列原则性立法及单行规定。笔者将分别从民事法、刑事法、行政法、综合性法等方面就“个人信息”的法律内涵予以梳理和分析，为《民法总则》中“个人信息”的法律内涵澄明提供些许启示和借鉴。

    （一）民事法层面

    虽然个人信息权系《民法总则》新设人格权类型，但民事法领域对于个人信息权的保护规定并非空白。在《民法总则》之前，最高人民法院曾于2014年10月10日公布施行《关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》，并在该规定第12条列举了“个人信息”的常见形式及侵权责任承担方式[2]，但该规定只是就“个人信息”常见形式进行部分列举，并未对“个人信息”的法律内涵予以明确和界定。

    （二）刑事法层面

    刑事法层面关于个人信息的规定始于2009年2月28日起施行的《中华人民共和国刑法修正案（七）》（以下简称“《修正案（七）》”）。《修正案（七）》增設了出售、非法提供公民个人信息罪和非法获取公民个人信息罪[3]，这是我国法律首次将非法获取和提供个人信息的行为列入刑事犯罪领域予以规制，但《修正案（七）》并未对“个人信息”的法律内涵进行明确。

    2015年11月1日起施行的《中华人民共和国刑法修正案（九）》（以下简称“《刑法修正案（九）》”）对《中华人民共和国刑法》第二百五十三条之一作出修改完善，将上述《修正案（七）》所增设的三罪名统一为“侵犯公民个人信息罪”一罪，将侵犯公民个人信息引发的犯罪行为进一步明确和统一化，但遗憾的是，《修正案（九）》仍未将“个人信息”的法律内涵予以明确。

    2017年5月9日最高人民法院与最高人民检察院通过联合新闻发布会的形式发布了《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（以下简称“《解释》”），《解释》第一条采取概括加列举的方式，对侵犯公民个人信息罪中的“公民个人信息”的范围进行了明确：“刑法第二百五十三条之一规定的“公民个人信息”，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息，包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等”[4]。届时，刑事法律领域“个人信息”的法律内涵得以澄明。

    （三）行政法层面

    2013年9月1日中华人民共和国工业和信息化部颁布施行的《电信和互联网用户个人信息保护规定》（以下简称“《规定》”）是一部比较全面的个人信息保护单行规定。《规定》第四条以不完全列举的方式规定：“本规定所称用户个人信息，是指电信业务经营者和互联网信息服务提供者在提供服务的过程中收集的用户姓名、出生日期、身份证件号码、住址、电话号码、账号和密码等能够单独或者与其他信息结合识别用户的信息以及用户使用服务的时间、地点等信息”[5]。届时，行政法律领域“个人信息”法律内涵得以澄明。

    （四）综合法层面

    2016年12月19日提请审议的《中华人民共和国电子商务法（草案）》（以下简称“《草案》”）是我国第一部电商领域的综合性法律（草案），《草案》专章规定了电商领域个人信息保护有关规范，并于该法第45条以不完全列举方式明确了“个人信息”的法律内涵[6]，目前《电子商务法》尚未颁布发生法律效力。另一个值得关注的问题是，《电子商务法》作为一部涉及多部门的综合性法律，目前尚未定性具体的部门法类别，我们暂且把它作为综合性法律来对待。

    于2016年11月7日发布，2017年6月1日起施行的《中华人民共和国网络安全法》（以下简称“《网络安全法》”）第76条将“个人信息”释义为“以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息”，同时列举说明“包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等”[7]。《网络安全法》从综合法的层面，以概括加列举说明的方式相对完整而明确地对“个人信息”的法律内涵进行了澄明。

    2017年4月11日，国家互联网信息办公室关于《个人信息和重要数据出境安全评估办法（征求意见稿）》（以下简称“《评估办法》”）公开向社会征求意见。《评估办法》系国家互联网信息办公室根据《网络安全法》制定的，其在第十七条对于“个人信息”的法律内涵的规定直接沿用了《网络安全法》中的释义[8]。

    2017年7月11日，国家互联网信息办公室公布了备受瞩目的《关键信息基础设施安全保护条例（征求意见稿）》（以下简称“《保护条例》”），《保护条例》第29条对运营者向境外提供个人信息做出了规定[9]。《保护条例》也是国家互联网信息办公室根据《网络安全法》制定的，虽未于规定中明确“个人信息”的法律内涵，但仍应同《评估办法》一样，直接沿用《网络安全法》中对于“个人信息”的释义。由此，综合法层面，“个人信息”的法律内涵在《网络安全法》中得以澄明。

    二、内涵澄明对侵权责任认定的启示

    通过上文对于“人格信息”法律内涵的澄明，我们已基本明确《民法总则》“人格信息”应予保护的范围及如何就此范围内的权利进行立法保护的问题。说到这个问题就不得不提到持续多年的人格权立法模式之争[10]，《民法总则》的出台将这一争论尘埃落定：根据立法机关的设计，中国民法典将由总则编、合同编、物权编、侵权责任编、婚姻家庭编和继承编等各分编组成，即《人格权法》单独成编的建议未被立法者采纳，立法者最终仍是选择在总则编中对人格权予以保护。

    事实上，各国民法典均采取了“设权+救济”的方式，人格权立法也可以分为三个主要部分：一是与权力主体制度密不可分的权利能力和行为能力问题，这个问题《民法总则》规定很清晰，我们在本文不做探讨；二是人格权之具体形态；三是人格权受到侵害时的侵权救济[11]。个人信息权作为新增具体人格权列入《民法总则》，但《民法总则》对个人信息权的规定甚是简约，不但没有明晰“个人信息”的法律内涵/具体形态，亦未将侵权救济（主要是侵权认定标准和责任承担方式）规定其中，相关司法解释的出台至今仍扑朔迷离，这不免让人忧心该条款在实务中的适用问题，甚至担心其陷于束之高阁的尴尬境地。那么，《民法总则》生效后中“个人信息权”遭遇损害时应如何救济呢？

    首先，如上文所述，《关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》系民事法领域个人信息权保护的司法解释性质法律文件，该解释第一条对于适用范围做了限定：“本规定所称的利用信息网络侵害人身权益民事纠纷案件，是指利用信息网络侵害他人姓名权、名称权、名誉权、荣誉权、肖像权、隐私权等人身权益引起的纠纷案件。”显然，个人信息权在该解释出台时尚未被纳入具体人格权的范畴，但如今已被纳入，便被包含亦可援引适用。

    其次，《民法总则》与《侵权责任法》的关系近于权利法与救济法的关系，《侵权责任法》第2条列举的18项权利近半数是人格权，该法第15条规定的8种救济方式及第22条的精神损害赔偿都可以适用于侵害人格权的救济[12]。《侵权责任法》第36条规定第一款规定：“ 网络用户、网络服务提供者利用网络侵害他人民事权益的，应当承担侵权责任。”第二款规定了被侵权人的救济途径和网络用户、网络服务提供者应承担的侵权责任[13]；第三款对网络服务提供者在明知网络用户存在侵权行为而未采取必要措施情形下的连带责任进行了规定。《关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》第三条规定：“原告依据侵权责任法第三十六条第二款、第三款的规定起诉网络用户或者网络服务提供者的，人民法院应予受理。”由此，个人信息权被侵害时，《侵权责任法》是一道强有力的救济保障。

    再次，上文所述各原则性立法和单行规定构成个人信息权救济的有效补充。如刑事层面侵犯公民个人信息罪的设置将严重侵犯个人信息的行为纳入了刑事犯罪层面去予以规制；行政监管层面《电信和互联网用户个人信息保护规定》中对电信业务经营者、互联网信息服务提供者关于个人信息安全防护的监管规定和侵权认定等的设置可有效提高公民个人信息安全度；综合法层面《电子商务法》《网络安全法》等中对个人信息保护的专门性规定等，从不同层面对个人信息权保护和救济构成有效链接救济体系。

    最后，回归到《民法总则》本身，《民法总则》司法解释应从以下三个方面对个人信息权予以完善：一是澄明概念。对个人信息权的保护首先应明确什么是“个人信息”，只有明确了权利界限才能对侵权与否及主要侵权类型作出具体规定。参照上文各法律文件的概念分析，《网络安全法》中对于“个人信息”的概括最为精确和完善，由此，《民法总则》司法解释中对“个人信息”法律内涵可直接照搬或援引适用《网络安全法》中对“个人信息”的概念释义。二是细化侵权类型。《民法总则》第111条指出“不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息”，由此，《民法总则》司法解释应明确何为“非法收集、使用、加工、传输个人信息”及“非法买卖、提供或者公开个人信息”，将具体行为模式以“概括+不完全列举”方式，参照上文各层面原则性立法和单行规定，结合民事法行为模式特征予以细化。三是明确救济途径。需要强调的是，“个人信息”不同于“隐私”，“个人信息权”不等于“隐私权”。由于许多个人信息本身具有私密性，而许多隐私也是以个人信息的形式表现出来的，因此，当某种行为侵害他人隐私权或个人信息时，有可能同时侵害这两种权利，从而构成侵权的竞合，受害人可以选择对自身最为有利的方式加以主张[14]。另外，由于目前我国法律对于个人信息权的规定“政出多门”且呈现出碎片化，对于各救济途径冲突或权利主张竞合时的处理原则予以重申和明确很有必要。

    三、结论

    个人信息权作为民事法领域一项新生的、发展的而又内涵复杂的权利类型，其立法保护涉及多部门，其理论研究目前相对来说还比较薄弱，与其相关的立法也需要处理好与纷繁复杂各既有原则性立法和单行规定的关系，想要架构一个科学的个人信息权体系必然面临诸多挑战……总之，个人信息权的相关问题还有待进一步深入研究，问题的解决尚需学界共同努力。笔者在文中以梳理分析的方式将自己对于《民法总则》中个人信息权的一些不成熟的思考作以阐述，以飨读者，谨供交流，不足之处欢迎指正、共同探讨。

    [参考文献]

    [1]王利明.中华人民共和国民法总则详解（上册）[M].北京：中国法制出版社，2017.

    [2]王利明.人格权的积极确权模式探讨——兼论人格权法与侵权法之关系[J].法学家，2016，（2）.

    [3]王利明.民法典的时代特征和编纂步骤[J].清华法学，2014，（6）.

    [4]王利明.论网络环境下人格权的保护[J].中国地质大学学报（社会科学版），2012，（4）.

    [5]梁慧星.民法总则立法的若干理论问题[J].暨南大学学报（哲学社会科学版），2016，（1）.

    [6]王利明.論个人信息权的法律保护——以个人信息权与隐私权的界分为中心[J].现代法学，2013，（4）.

    [7]易继明.人格权立法之历史评析[J].法学研究，2013，（1）.

    [8]胡卫萍.新型人格权的立法确认[J].法学论坛，2011，（6）.

    [9]彭诚信，王 聪.“人格”澄明对人格权立法之争的调和[J].吉林大学社会科学学报，2016，（3）.

    [10]张锋学.论我国个人信息的民法保护[J].走向社会科学，2013，（8）.

    [11]肖少启.个人信息法律保护路径分析[J].重庆大学学报（社会科学版），2013，（4）.

    [12]王 岳，郭 垒.网络社会个人信息权问题研究[J].西南交通大学学报（社会科学版），2011，（2）.

    [13]杨亚丽.我国个人信息保护法律探微[J].中州大学学报，2011，（3）.

    [14]张振亮.个人信息权及其民法保护[J].南京邮电大学学报（社会科学版），2007，（1）.

    [责任编辑：谭晓影]