来源:中国法治宣传维权网
北京6月5日电 《民法典》和《个人信息保护法》规制了对个人信息保护和利用的一系列法律规范,“知情同意原则”是信息处理者合法处理个人信息数据的根本法律依据。依法厘清信息化、数字化时代个人信息权的基本要义,不仅有利于运用比例原则确定个人数字权利在“量”上的合理配置,以利于在个人信息权利人和数据使用者之间建立合理的权利义务关系,而且有利于在保护个人信息权益的同时推进个人信息数据的开发利用。要保障全体公民的数字化发展权益,就需要依法规范构造符合中国国情实际的新时代个人信息权体系,建立健全公民个人信息数据授权机制,推进公民信息数据智力成果知识产权化。为此就要建立处理个人信息行为的合法性判断标准,构造处理个人信息数据的双重公法保护框架,构建处理个人信息数据的法治规范体系。构建个人信息安全法治保障体系,构建个人信息保护请求权的法律规范,构建个人信息权益损害赔偿的规范体系,构建侵害个人信息罪的责任追究体系。《重庆工商大学学报(社会科学版)》2026年第3期首篇发表宋才发教授《个人信息权的法律规制及侵权责任追究》论文。
宋才发教授系中央民族大学法学院首任院长、二级教授,湖北省有突出贡献专家、国务院政府特殊津贴专家、国家民委首届有突出贡献专家。广西民族大学特聘“相思湖讲席教授”、博士生导师;贵州民族大学特聘教授、民族法学学科团队领衔人;内蒙古财经大学特聘教授。
引用格式:宋才发.个人信息权的法律规制及侵权责任追究[J].重庆工商大学学报(社会科学版),2026(3):1-10.
个人信息权的法律规制及侵权责任追究
宋才发
一、问题的提出与法理证成
要厘清信息化、数字化时代个人信息权的基本要义。个人信息与个人数据如同一枚硬币正反两面的关系,它们都是个人信息权益的客体。厘清个中关系和各自的边界,衡量其在“权利束”中的地位和分量,有利于确定个人数字权利在“量”上的合理配置。在“数字中国”建设实践中,需要找准发展与安全两者之间的平衡点,始终朝着造福社会、造福人民的方向发展,不断提升公共服务数字化、均等化、便捷化水平。《中华人民共和国宪法》(以下简称为《宪法》),在作出保护个人信息安全和信息权益规定的同时,把保护个人信息权益纳入“公民基本人权保护”范畴。《宪法》第三十八条规定,“中华人民共和国公民的人格尊严不受侵犯”。个人数据权保护的是数据主体的个人信息数据,个人信息权保护的是信息主体所获得并转化为信息的数据,个人数据权不是财产权而是人格权。《中华人民共和国个人信息保护法》(以下简称为《个人信息保护法》)第四章,以“个人在个人信息处理活动中的权利”专章的名义,规制个人信息所有者在处理信息活动中,依法享有各项具体的信息权益,促使个人信息权利从“背景性权利”转变为“制度性权利”,赋予信息所有者对个人信息数据的全面控制权。《中华人民共和国民法典》(以下简称为《民法典》)和《个人信息保护法》,没有采纳“个人信息权”概念,使用的是“个人信息权益”概念。然而令人困惑的是尽管法律使用了“个人信息权益”,但并未对“个人信息权益”的范围进行清晰地界定,确实给学界和法官们留下了一个如何正确理解个人信息“权利”和“权益”的悬念。自《个人信息保护法》实施以来,相关争论的要害基本聚焦于个人信息保护模式,究竟应当采取“权利模式”还是“利益模式”?经过广泛而激烈地讨论,大多数人觉得“个人信息权益”指向的就是人格尊严、人身财产安全、通信秘密诸方面的利益。但同时也应当看到,数字化、信息化带来了公权力、私权利和社会权力的消长变化,个人信息数据权利人和数据使用者之间,也因之而产生新的相互关系、新的互动模式,数据规则与制度规制的目的,在于调和并重新平衡以人格权益为核心的个人利益以及两者之间的利益冲突。
“知情同意原则”是信息处理者合法处理个人信息数据的法律依据。《个人信息保护法》规定信息处理者在处理个人信息之前,必须以清晰易懂的语言表述,真实、准确、完整地向个人信息所有者,告知法律法规规定的事项,除非法律、行政法规规定应当保密抑或不需要告知,抑或告知将妨碍国家机关履行法定职责。对《个人信息保护法》中的“知情同意原则”,做出以“公平同意”为导向的阐释, 有利于把规制机制的重心向行政监管和信息数据合法利用转变。“公平同意”不仅应当满足意志自治的内部条件,还应当满足外部环境条件。平等不仅意味着形式上的地位平等,而且指向信息、利益等诸要素之平等,主体平等事关同意之公平。具有抽象思维能力的个人理性是一种“工具”, 能够把复杂现象抽象成一系列可把握的一般性规则进而引导决策,理性是对自身和自身条件的一种合理解释。在个人理性基础上形成的“同意”规则,是人际道德与法律关系性质转变的关键,更是个人理性自治伦理的展开,它赋予信息处理者行为的正当性与合法性。法律上的“同意”是通过“作为”或“不作为”的方式,创设抑或改变法律权利和义务关系的。譬如,《个人信息保护法》第二十九条和第三十一条,就确立了处理敏感个人信息的“单独同意”规则,规定数据处理者和经营者使用“敏感个人信息”的,应当受到《个人信息保护法》第十三条和第二十八条规定的“双重约束”,防止宽泛适用导致合理使用制度的滥用。处理“敏感个人信息”与“一般个人信息”的知情同意原则,不能采取“一揽子同意”的保护方式。《个人信息保护法》第七十二条还规定,“自然人因个人或者家庭事务处理个人信息的,不适用本法”,这条规定实质上是在间接地赋予“家庭豁免”权。尽管《个人信息保护法》催生了多种新型信息权利,但是个人信息权利无法直接上升抑或转化为信息人权,由“信息权利”上升到“信息人权”需若干前置条件,否则权利与人权就失去了本质区别。《宪法》规制的人权法理是当代人权学说的核心理论,在信息人权的论证和证成中,利益法学实践是帮助信息权利人和信息所有者,在既定的条件下实现把信息保护权利上升为信息人权保护的最佳路径。信息权利涵盖隐私、知情、自决、通信、名誉、信用、交易和使用等诸多权益,但是人权更注重权利主体最根本、最基础的利益,如公民的人格、安全、公平等。
厘清数据来源者与数据处理者的权利义务关系。《个人信息保护法》第四条把个人信息数据判断要件,分为“积极要件”与“消极要件”两种类型。其中,“积极要件”是通过关联性与识别性界定个人信息概念范围的;“消极要件”是把“匿名化处理后的信息”,排除在公民个人信息之外。为了防止个人信息的范围过于宽泛,就需要明确个人信息积极要件中的关联性要件与识别性要件之间仅为“且”的关系,而决不是“或”的关系,以此来控制个人信息数据的范围。构成“消极要件”的核心要素“匿名化”,尽管不是可以绝对消除信息的可识别性,但对保护个人信息权益具有极为重要的意义。提供数据来源者与对数据实施采集、存储、传输、加工、分析、融合等处理行为的数据处理者,构成了数据生成过程中最基本、最为重要的两类主体。中共中央、国务院在《数据二十条》中规定,既要充分保护数据来源者享有获取抑或复制转移由其促成产生数据的权益;也要合理地保护数据处理者依法依规对数据进行自主处理的权益。随着大数据技术的快速应用和高速发展,个人信息数据化程度越来越高,由此便产生了个人信息的范围究竟应当顺势扩张?还是需要适当限制的问题。唯有依据《个人信息保护法》对“个人信息构成要件”进行合理的解释与判断,才能达到依法合理规制个人信息范围的目的。个人信息是《个人信息保护法》的核心概念,它把个人相关信息数据区分为个人信息数据、可识别个人信息数据和非个人信息数据三种类型。一旦忽略抑或取消了“个人信息数据”与“非个人信息数据”的区分,必将导致《个人信息保护法》的执法完全丧失可预期性。
二、个人信息权内涵厘定及发展走势
党的二十届三中全会提出“培育全国一体化技术和数据市场”的目标,强调要推动生产要素创新性配置,发展以高技术、高效能、高质量为基本特征的新质生产力。个人信息数据作为数字社会的新型生产要素,是催生新时代新型数字产业、形成新质生产力的核心资源。反思数据确权困境的根源,就在于过去一段时期内,未能厘定并揭示个人信息权的内涵,甚至不适当地混淆了数据权利的内在本质和外部效力。
(一)个人信息权概念阐释及规范构造
个人信息数据作为一种新型生产要素,看起来似乎是“海量”,但真正能够派上用场的并不多。要保障公民的数字化发展权益,就需要依法规范构造符合中国国情实际的新时代个人信息权体系,个人信息权体系包含完整的权利主体、义务主体与权利内容三个组成部分。个人信息权以“发展权”为权利之源赋能中国式现代化,以满足人民实现数字化发展的美好生活需要为目标,实现和促进《宪法》保障的人权理论的时代演进。个人信息权体系以中国式现代化为政策依托,以发展新质生产力为政策指引,以人民对美好生活的向往以及社会的可持续发展为现实面向,最终实现数字发展机会权、数字发展条件权以及数字发展实现权三位一体的规范构造。在价值向度上,个人信息权体系秉承“人民至上”的发展理念,以数字鸿沟为切入点、规避数字失范,力图最大限度地实现个人信息数据资源共享。新时代把个人信息权融入“发展权”体系,可以“条件—机会—实现”的理论架构,实现和完成数字化发展的制度性构建,有助于更好地保护个人信息数据财产权、保障数字化发展权益,促进《宪法》规制的“人的自由全面发展”。《数据二十条》依法依规地提出要“建立健全个人信息数据确权授权机制”。鉴于信息权利人享有针对个人数据的个人信息权益,承载了个人信息的数据即个人数据,也就被纳入到个人信息权益等客体范围之中。信息数据财产权源自合法的数据收集行为,并不是源自在先权利人的授权,数据财产权与在先权利是两个相互独立的权利。就法理而言,在先权利理应获得优先保护,数据权利人对于在先权利的实现负有容忍义务。在先权利是有法律边界的,应当依据信息的公开程度、数据的匿名化程度,以及在先权利的行使行为是否正当等进行综合判断。由于人格权较财产权有更高的价值位阶,在先权利有可能对数据财产权的权能造成限制,但是对数据不具有直接的支配关系,在先人格权利人也不需支付补偿,未来数据产业运作模式应当考虑由“免费”转向“付费”,数据财产权与在先权利需要在调适中实现再平衡。
(二)个人信息权基本内涵的法律规制
《民法典》和《个人信息保护法》确立了对个人信息保护和利用的一系列规范。《民法典》奠定了个人信息权的基本框架,在第四编“人格权编”第一千零三十四条至第一千零三十八条,规定公民对个人信息数据的利用享有“知情同意权”;对个人被处理的信息可以依法查阅、复制,发现被处理的信息有错误的,有权提出异议并要求及时更正;对于违法违规抑或违反约定处理信息的,有权要求及时予以删除,它是随后所有关于个人信息保护和利用的立法基础。然而《民法典》却没有规定个人信息是一项民事权利客体,也没有就如何构建一套完整、精密的个人信息权体系提供指导性意见,这就使得个人信息权仅仅停留在信息“权益”的地位。其实个人信息基本权利作为信息价值理论的基础和核心,并不是为了构建与防御权不同的基本权利扩展的内涵,它实质上涉及到《宪法》解释方法、权利观、《宪法》观三个维度的问题。为了厘清基本权利作为信息价值的内涵,有必要对信息价值理论涉及的“体”与“用”作一个适当的区分。这里的“用”是指较具体的法律技术问题,涉及对抗各种干预的防御权之外的自由权新功能,包括国家保护义务、基本权利私人间效力、组织与程序保障、给付请求权与分享权,等等。“体”则是指《宪法》规范的公民基本权利和人权保护理论体系,它是公民基本权利在新时代扩展面向的证立根据与根本宗旨。个人信息数据资源不是因为保护而存于世间的,唯有对个人信息明确其权利地位,才能促使个人信息数据资源得以充分利用,实现个人信息之所以为信息的本质诉求。《民法典》在第四编第六章,把个人“隐私权”与“个人信息保护”相并列,表明信息的法律属性与隐私权属于同一类人格权客体,以此维护个人信息的完整性、准确性,保障自然人的人格尊严和人格的全面发展。个人信息权权能体系构建,需要以信息保有权为基础、以信息自决权为主干、以信息获取权为分支、以信息修复权维系数字人格的完整性。科学、准确地把握信息性人格权,有助于保障人格尊严和人的自主性、规范新兴人格权法权构造、丰富公民人格权规则体系。
(三)个人数据财产权并非个人信息权的核心
正确认识数据财产权的本质为塑造公民数据财产权指明了方向。数据财产权与个人信息权,二者在法律属性和保护逻辑上具有本质区别。个人信息权本质上是一种人格权益,其核心在于保护个人的尊严、自由与自主控制权,而非财产利益。尽管个人信息数据可能产生经济价值,但这种价值是通过个人行使“决定权”和“许可权”实现的,不过是人格权益的自然延伸而已,而非个人信息权的核心价值所在。依据《个人信息保护法》的规定,《深圳经济特区数据条例》和《上海市数据条例》,都明确规定保护自然人等主体的数据财产权益。个人信息数据财产权受法律保护源自《宪法》,主要表现为公民基本权利下的个人信息数据受保护权,延伸至私法领域则关涉个体的人格权益、安全利益和风险预防性权益等诸多权利。《民法典》第一百一十一条和第一千零三十四条都规定,“自然人的个人信息受法律保护”。《民法典》第一百二十七条,确认“数据”“网络虚拟财产”受法律保护。但是《民法典》没有明确赋予数据“物权编”意义上的“所有权”属性。因为数据具备高度的可复制性,这与“物权编”对于“物”的唯一性等基本特征相悖。《个人信息保护法》第四章为“个人在个人信息处理活动中的权利”,通过建立正当的个人信息使用规则和程序,实现信息权益保护与行为自由之间的平衡。有必要厘清与个人信息保护相关“权利”的立法价值,以利于在新时代顺利推进个人信息保护权利化、产权化。《个人信息保护法》第四十四条明确了“信息自决”的立法价值,即信息权利人能够对自身信息产生控制力并决定如何使用,这就为公民个人信息数据财产权的实现铺平了道路。但是这里的“控制力”并不等同于“控制权”,在大多数情况下,个人信息客观上处于脱离主体控制的状态,需要法律设计特殊规则对其进行保护。《数据二十条》为公民的数据确权和数据财产权定下基调,数据财产权的每个维度都牵涉到复杂的利益权衡。绝大多数学者倾向于尊重财产权并支持排他权,结论是财产的信息成本支持尊重排他权。
三、处理个人信息行为的法律规制
信息数据是维系人们稳定的社会生活的基本要素。《宪法》第五十一条对公民行使自由和权利的限度划定界限,即“公民在行使自由和权利的时候,不得损害国家的、社会的、集体的利益和其他公民的合法的自由和权利”,“个人信息自由”条款载入《宪法》所产生的价值和效力,使得“个人信息自由”的规范需求,成为推动社会法治变迁的重要力量。
(一)构建处理个人信息行为的合法性判断标准
处理个人信息的合法性判断标准取决于对行为规范的准确把握。《民法典》《个人信息保护法》较为系统地规制了个人信息合理利用制度,为信息处理主体合理利用个人信息,提供了制度依据和法律遵循。具体地说,就是明确了合理利用个人信息数据的一般原则,包括正当、必要和权利不得滥用原则;为维护国家信息安全和社会公共利益的需要,明确了有条件地利用公民已经公开的个人信息,等等。就个人信息的防御权而言,要有效发挥其作用还必须确立对基本权利限制的限制。《宪法》第三十三条规定,“国家尊重和保障人权”。公民基本权利的价值只有体现《宪法》的宗旨,才能为防御权奠定稳固的《宪法》根基。在解释适用基本权利时诉诸基本权利价值,也与我国以《宪法》精神作为合宪性审查依据的实践相融洽。2023年修正的《中华人民共和国立法法》(以下简称为《立法法》),第五条增加规定:“立法应当符合宪法的规定、原则和精神”。在公民基本权利领域内,《宪法》精神可以理解为基本权利价值。《民法典》第一百一十一条规定,“任何组织或者个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。”这条法律不只是一般性地规定“自然人的个人信息受法律保护”,同时还对公共机关抑或私人主体取得、使用和传输个人信息等行为设定了义务规范。
(二)构造处理个人信息数据的双重公法保护框架
个人信息处理的“自由范围”是建立个人信息处理规范的依据。《个人信息保护法》第十三条规定的七项个人信息处理规范的适用主体,应当包括“公共部门”与“私营部门”在内。在当下公私两分法的思路下,公共部门仅能适用部分规范,总体上以禁止处理个人信息为原则,仅仅因履行法定职责、维护公共利益,才能够处理公民个人信息。私营部门则可以适用全部规范,总体上以允许处理个人信息为原则,只有违反“禁止性规定”,才不允许其处理个人信息。“法无授权即禁止”和“法无禁止即自由”,本质上决定着个人信息处理的“自由范围”。无论是对公民个人信息数据行为予以确权,还是保护个人信息数据的财产权益,都需要进行公法构造、确立一个信息数据处理秩序。《民法典》第一百二十七条和《中华人民共和国数据安全法》第七条,都强调“国家保护个人、组织与数据有关的权益,鼓励数据依法合理有效利用,保障数据依法有序自由流动”。以数据确权为代表的生产要素权属主张是“要素财产权”,平台企业以制定和执行在线规则的方式,承担发展数字经济和一定意义上的公共管理职能,构成了架构信息数据财产权的主体性和规范性基础,达到保护其通过大量投入而构建出的虚拟空间利益。构建平台经济的思路和运作模式,实际上是以个人信息数据为对价获得免费服务的。我国建立要素市场化配置体制机制的政策,目的指向在于促进信息要素自主有序流动,提高要素配置效率和公平性。
(三)构建规范处理个人敏感信息的界定标准
《民法典》与《个人信息保护法》规制了敏感个人信息的界定标准。隐私权与个人信息经常被混同使用,企业也经常将其个人信息的“告知同意”称为“隐私政策”,因而当下迫切需要厘清隐私权保护与个人信息保护的关系。《民法典》第一千零三十四条,把个人信息区分为“敏感个人信息”与“非敏感个人信息”,强调对敏感个人信息实施特殊法律保护。因此,《个人信息保护法》进一步筑牢了个人信息处理的安全边界,明确了敏感个人信息的界定标准和处理规则,为敏感个人信息保护提供了基本法律指引。《个人信息保护法》第二十八条规定,“只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息”。众所周知,当下的快递企业在为民众生活带来巨大便利的同时,个人信息“裸奔”的风险性日益凸显,而且还在持续不断地增大和加剧。“快递面单”上收件人的家庭住址、手机号码、姓名等一应俱全的个人信息,在快递流通的所有环节以及快递外包装被丢弃之后,屡屡引发人们对于个人信息外泄的担忧和恐慌。一些不法之徒正是看到了“快递面单”背后的“商机”和利益,以致利用“快递面单”非法搜集公民信息的案件频频发生。所以从2017年起,快递企业和服务平台尝试推行“隐私面单”,2022年国家邮政局、公安部、“国家网信办”三部门联合决策施策,提出了年内实现邮政快递“隐私面单”全覆盖的时间表,彻底扭转了部分快递企业的观望态度,促使“隐私面单”真正成为快递企业的主动作为和应尽义务。
四、侵害个人信息权益的责任追究
个人信息侵权颠覆了传统侵权法赖以建立的社会场景。《个人信息保护法》对侵害个人信息权益民事责任作出了特别规定,《个人信息保护法》第六十九条规定,“处理个人信息侵害个人信息权益造成损害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任”。该规定在阐明对个人信息进行民事责任保护价值定位的同时,还表明行政机关处理个人信息应当接受精细严格的法律约束。未来应当把行政机关和政府职能部门具有较高权利侵害风险的信息处理行为,认定为具有权利限制属性的行为,进而在法律或行政法规中明确规定该种处理行为的目的、范围和方式等。既要防止行政活动成为个人信息保护的“法外之地”,又要避免过度繁琐的授权要求,导致行政活动动辄得咎、影响行政执法的效率与灵活性。
(一)构建个人信息安全法治保障体系
个人信息安全保护是一项独特的民事法律制度。“人格权”历来是民事权利体系中当仁不让的一项权利,“人格权”是“个人信息保护”极为重要的一项权利。然而从1956年到改革开放初期的1979年,我国《刑事诉讼法》和《人民法院组织法》,一直惯性地使用“阴私”的提法。直到20世纪90年代初,国家立法才普遍采用以“隐私”代替原来的“阴私”概念。如1982年《民事诉讼法(试行)》、1996年《刑事诉讼法》,都明确地把“阴私”改称为“隐私”。《民法典》第一千零三十二条规定:“自然人享有隐私权。任何组织或者个人不得以刺探、侵扰、泄露、公开等方式侵害他人的隐私权。”自此“隐私权”被定义为一种与世隔绝和对抗的个人权利。2012年全国人大常委会制定《关于加强网络信息保护的决定》,自此个人信息保护进入国家立法视野,个人信息权的保护进入法治化道路。个人信息保护的客体是个人信息,其范围囊括已经识别的、可识别的特定个人信息。个人信息数据的社会价值在于,通过必要而合理的数据采集,形成供国家机关和社会公益性使用的“数据库”,从而具备了单个数据所不具备分析的价值。凡未获得当事人的同意抑或许可,不得违法收集、储存乃至使用这些信息。在对待个人信息保护的问题上,任何组织或者个人都是义务主体,即都不得侵害他人的“人格权”,不得传播他人的“隐私”,法律从来就没有规定“排除”或“克减适用”的例外情形。信息主体不仅可以对抗平等民事主体,而且还可以对抗公权力部门,即使国家机关同样需要尊重和保护个人的信息控制权。《民法典》第一千零三十九条对国家机关和执行公务工作人员做出了强制性的规制。规定“国家机关、承担行政职能的法定机构及其工作人员对于履行职责过程中知悉的自然人的隐私和个人信息,应当予以保密,不得泄露或者向他人非法提供。”这条规定实质上是对信息处理者处理个人信息,从立法上提出了更加明确的、具有强制性的法律约束,扩展了对个人信息保护的广度、力度和深度。《刑法修正案(九)》规定了“侵害公民信息罪”,凡属于构成人格侵权民事责任的,侵害人必须承担侵权责任赔偿。当社会进入大数据时代后,必须依法确立信息主体的个人信息控制权,严明信息主体控制自己信息不被信息控制者违法处理或滥用的权利,应当成为个人信息保护制度运行的基石。就目前法律规制看,主要是依据《民法典》和《个人信息保护法》两部法律,将个人信息保护的相关事项予以系统化、规范化和法治化的。构建个人信息安全法治保障体系,把个人信息保护系统化、规范化和法治化的根本目的只有一个,就是为了依法维护个人隐私权、信息主体的人格权。
(二)构建个人信息保护请求权法律规范
个人信息保护请求权与人格权请求权、侵权损害请求权之间存在着密切的关联。个人信息保护请求权是一种新型请求权,信息主体与司法机关都需要法律条文规范与其理解的明确指南。当下个人信息保护请求权规范的基础,在不同的法律学说中呈现多种不同形式的排列组合。个人信息保护请求权,是指个人信息主体向个人信息处理者抑或人民法院,以恢复个人信息权益至圆满状态的意志表示。之所以将其称之为“个人信息保护请求权”,是因为《个人信息保护法》规制的个人信息权利体系,是基于“个人信息受保护权”的基本权利予以赋权的。《个人信息保护法》第五十条规定了个人信息保护请求权的具体行使方式,即“个人信息处理者应当建立便捷的个人行使权利的申请受理和处理机制。拒绝个人行使权利的请求的,应当说明理由。”《个人信息保护法》第五十条同时还规定,公民个人就个人信息保护请求权提起司法诉讼的,应当以个人信息处理者拒绝其行使权利的请求为前提。受理案件的人民法院在处理个人信息保护请求权纠纷的时候,应当依据法律、行政法规的规定,对个人信息处理者拒绝个人行使权利的正当性进行司法审查。《个人信息保护法》第一条明确宣示,“根据宪法,制定本法”。与此同时,个人信息保护法体系构建的法治基础,是国家在《宪法》上对公民所负有的保护义务。这项义不容辞的义务所对应的是“个人信息受保护权”,而不是“个人信息权”。强调个人信息保护权的基本权利属性,表明法律保护公民个人信息不但是国家所负有的义务,而且具有可以对抗公权力机构的效力。因而把个人信息作为私权客体的权利予以保护的模式,应当以“个人信息受保护权—国家保护义务”的框架进行构建。
(三)构建个人信息权益损害赔偿规范体系
大数据正在深刻重塑传统生产方式和经济发展模式,数据与算力、算法结合形成新质生产力并推动全要素生产率提升。大数据是信息化、数字化时代最重要的生产要素,侵害个人信息数据权益的行为,涉及民事、刑事及行政侵权责任,因而侵害个人信息数据权益的行为必将导致损害赔偿,既包括对公民个人财产损失的物质损害赔偿,也包括对公民个人精神损害的精神损害赔偿。《民法典》第一百二十七条,就设置了对个人信息权利人数据财产、网络虚拟财产保护的规定,通常被法学界称之为“特别法的规定”。“特别法”是指针对特定领域、事项抑或群体制定的具有优先效力的法律规范,它的核心特征是与一般法形成补充或细化关系,并在适用时遵循“特别法优于一般法”的原则。即是说,对公民个人信息数据权益的保护,如果有“特别法”的规定,数据权益侵权损害赔偿就应当依据“特别法”予以处理;如果没有“特别法”的规定,数据权益侵权损害赔偿就应当按照“一般法”进行调整。当“特别法”与“一般法”对同一事项的规定不一致时,依据《民法典》第十一条的规定,应当优先适用“特别法”。从“一般法”的规定看,“一般法”是指在全国范围内对普遍主体、普通事项及常规时间均适用的法律类型,它的突出特征在于调整对象的广泛性和效力的普遍性。如果信息处理者对个人信息数据权益的侵害导致财产损失的,应当按照《民法典》第一千一百六十五条第一款和第一千一百八十二条的规定予以调整;对其侵害行为导致精神损害的,应当按照《民法典》第一千一百六十五条第一款并结合第一千一百八十三条第一款的规定予以调整。《个人信息保护法》第五十条规定,个人信息处理者“拒绝个人行使权利的请求的,应当说明理由”。但是《个人信息保护法》并没有明确规定个人信息处理者,到底享有哪些可以拒绝个人行使权利的正当理由?个人信息处理者拒绝个人行使权利的理由究竟是否正当?现行法律法规、司法解释和现行政策都没有明文规定,最终的判断权利只能交由人民法院来决定和行使。个人信息权益保护民事公益诉讼程序,是信息化、数字化时代维护公共利益的重要法律机制,其核心在于通过司法程序对大规模个人信息侵权行为进行规制,是解决现代风险社会治理问题的重要举措。《个人信息保护法》第七十条规定,把个人信息纳入公益诉讼范围,授权检察机关、消费者组织、网信部门指定的组织机构提起诉讼,形成“刑事+行政+民事”的三重保护机制。未来需要在总结实践经验的基础上,探寻建立以修复、预防为核心的“双层”个人信息公益诉讼损害赔偿认定架构,同步探索构建数字生态环境损害鉴定评估机制。
(四)构建侵害个人信息罪的责任追究体系
《刑法》规定的“侵犯公民个人信息罪”是保护公民个人信息权益的关键罪名。《中华人民共和国刑法》以下简称为《刑法》,第二百五十三条之一规定的“侵犯公民个人信息罪”,是针对信息处理者非法获取、出售抑或提供公民个人信息行为的专项罪名,犯罪的客体主要是侵犯公民个人身份信息安全和身份管理秩序,涵盖信息权利人的姓名、身份证号、联系方式、家庭住址、行踪轨迹等,可识别特定自然人的信息数据资料。《刑法》第二百五十三条之一规定,“向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金”。《刑法》规制的“侵犯公民个人信息罪”,属于较为典型的“法定犯”。“法定犯”通常又称为“行政犯”,其核心特征在于具有双重违法性,即同时违反前置性行政法规和刑法规范。理论界和司法界均有把“为合法经营”,作为犯罪成立要件要素的观点,人民法院也比较倾向于把“为合法经营”,作为侵犯公民个人信息犯罪成立的条件对待。认为个人信息处理者如果能提供证据证明其购买个人信息是用于合法经营,且无其他证据证明其对外出售,那么,就应当认定其行为符合“为合法经营活动而非法购买、收受”情形,只要不存在《刑法》规定的“情节严重”的情形,就不构成相关犯罪。这里需要指出的是,无论法律实务界对“为合法经营”酌定从宽处罚情节的定位,还是理论界对“为合法经营”从宽处罚情节,甚至是降低责任刑情节的定位,事实上都是欠妥当的、不周全的观点。因为《个人信息刑事解释》第六条第一款,对“为合法经营”而非法购买、收受一般公民个人信息形塑了“专门的定罪规则”。法律规范上的“空白罪状”,是《刑法》分则中通过援引其他法律规范,借以明确犯罪构成要件的一种立法技术。譬如,2015年《刑法修正案(九)》,就将“出售、非法提供公民个人信息罪”,修改为“侵犯公民个人信息罪”,并以“违反国家有关规定”取代了“违反国家规定”。《个人信息司法解释》第二条将“国家有关规定”解释为“违反法律、行政法规、部门规章有关公民个人信息保护的规定” ,事实上突破了《刑法》第九十六条关于法定犯前置法的限定。建议未来在修改或修正《刑法》的时候,在个人信息处理者非法使用个人信息行为入刑的方案上将其单独作为一款,增设于《刑法》第二百五十三条之一中。
责任编辑 程东建 徐红春