谢珺

【摘要】网络环境下，公民隐私、个人信息被侵害的情况愈演愈烈，各国在通过传统隐私权的扩张解释等方式对隐私权进行保护的同时，纷纷转向建立新的制度对个人信息的特别保护。我国法律也走过了从隐私、隐私权到个人信息的制度发展，法律呈现出以个人信息保护为主、隐私权保护为辅的趋势。《网络安全法》的出台一定程度上完善了个人信息保护法律制度。但是个人信息法律保护还存在法律地位不明确、归责原则和构成要件缺乏规定、损失如何计算等具体问题，这些都需要进一步完善。

【关键词】隐私；隐私权；个人信息；网络安全法

纵观各国法律制度，无论是美国还是欧洲大陆，对个人信息利益的保护都起源于隐私制度。隐私制度都经历了一个扩张和发展的过程，而随着网络社会的到来，隐私权的法律制度以及学术研究都不约而同地转向个人信息的法律保护。我国法律也走过了从隐私、隐私权到个人信息法律保护的道路，尤其是2016年11月7日通过的《中华人民共和国网络安全法》（以下简称《网络安全法》）明确了个人信息的概念、保护原则、法律责任等，使我国个人信息保护进入了一个新的领域。

一、域外国家“隐私权”向“个人信息”的发展历程

“隐私权”是法律移植的产物，它的概念和理论发源于美国。1890年，美国两位法学家路易斯·布兰蒂斯和萨莫尔·华伦在哈佛大学的法学杂志《哈佛大学法学评论》上发表的论文——《论隐私权》一文中指出“保護个人的著作以及其他智慧或情感的产物之原则，是为隐私权”，指责新闻媒体偶尔会侵犯“个人私生活的神圣界限”。[1]文章认为隐私权应当是宪法规定的人所共享的自由权利的重要组成部分。这篇论文开了“隐私权”理论的先河。“隐私权”的概念和理论刚提出时，内容和边界不十分清晰，经过上百年的发展，隐私权理论和制度已经形成了较为完善的理论体系，成为各国普遍接受的法律概念和法律制度。各国都通过不同的方式，直接或间接地予以法律的保护。在隐私权逐步发展完善的同时，随着网络技术的发展催生信息社会的到来，在隐私权的基础上又逐步产生“个人信息”这一法律概念和制度，而且越来越受到高度的重视。

（一）美国

美国是“隐私权”理论的发源地，美国宪法没有明确规定隐私权，加之美国属于判例法的国家，因此在法律层面上确立隐私权地位的是“帕维斯奇诉新英格兰人寿保险公司案”，该案第一次在法律层面上认可了隐私权。[2]由于美国没有像欧洲那样一套较为完整的人格权体系，隐私权发挥了一般人格权的功能，是一个开放的制度体系。随着科技的进步，加之个人权利保护的彰显，20世纪60年代开始，美国法律界越来越重视隐私权中个人信息的保护。其中以1973年制定、1974年颁布的《隐私权法》较为典型，这是美国法律首度对个人信息权利予以明确确认。

（二）德国

德国隐私权的产生和发展与美国有相似之处。19世纪末期，首先由法学家提出将隐私作为一项一般性的民事权利，后续法院通过一系列的判决加以确认。20世纪70年代以后，德国法律也越来越关注个人信息的保护。德国联邦议会自1970年起开始着手制定《联邦个人资料保护法草案》，最后于1976年通过并于1977年生效，该法的正式名称是《联邦数据保护法》，该法第一次系统地、集中地保护个人资料（个人信息）。

二、我国法律上隐私权的法律地位

我国法律上的隐私权经历了从隐私到隐私权的演变过程，保护手段经历了从不保护、间接保护到直接保护的过程，立法上经历了从司法解释的规定上升到法律规定的过程。

1986年的《民法通则》第五章“民事权利”第四节“人身权利”中没有明确规定“隐私权”是自然人的基本人身权利，因此严格意义上说“隐私权”在当时没有受到法律的保护。在1988年《关于贯彻执行〈民法通则〉若干问题的意见》中使用了“隐私”概念，该意见第140条规定：“以书面、口头形式宣扬他人的隐私，或者捏造事实公然丑化他人人格，以及用侮辱、诽谤等方式损害他人名誉，造成一定影响的，应当认定为侵害公民名誉权的行为。”这是我国法律民法体系中第一次明确规定“隐私”，虽然仅仅是在司法解释中把“隐私”放在“名誉权”保护的范畴中，但无疑将“隐私”的保护纳入了民法的视野中。这种对“隐私权”间接的、非全面保护的方式一直沿用了十多年。

2001年《最高人民法院关于精神损害赔偿的司法解释》第一条第二款中再次规定了“隐私”的保护：“违反社会公共利益、社会公德侵害他人隐私或者其他人格利益，受害人以侵权为由向人民法院起诉请求赔偿精神损害的，人民法院应当依法予以受理。”该司法解释的规定显然没有通过名誉权的非全面保护的方式加以规定，而是直接明确“隐私”作为“人格利益”的地位，虽然还不是“人格权利”，但是其法律地位显然已经比《最高人民法院关于审理名誉权案件若干问题的解答》的间接保护高得多了。2010年实施的《侵权责任法》第二条第二款规定：“本法所称民事权益，包括生命权、健康权、姓名权、名誉权、荣誉权、肖像权、隐私权……”明确“隐私权”作为一种具体人格权利的地位，首次在法律层面上对其加以规定，至此“隐私权”的法律地位才真正确立。

综上，从现行法律来看，隐私权的法律地位已经非常明确，属于自然人法定的具体人格权利，如果侵犯应当承担民事侵权责任。

三、我国法律上个人信息的法律地位

隐私权内容的界定还存在疑问的同时，法律又必须面临的另一个问题是如何界定“个人信息”。网络时代的到来，每时每刻都有大量的个人信息在网络环境中被收集、处理、加工甚至流通。网络信息安全对网民来说其核心问题就是个人信息安全，而个人信息遭到不当收集、恶意使用、篡改以至侵害个人信息权益、扰乱公民个人生活安宁的现象随之出现，甚至有危及个人生命、财产安全的案例发生。单纯的隐私权已经无法全面保护个人权利，尤其是一些公开化的个人信息很难纳入个人信息的保护，我国个人信息的立法保护进入了快速发展时期。

《宪法》第40条规定“中华人民共和国公民的通信自由和通信秘密受法律的保护”，此条为其他法律就个人信息权进行法律规定的效力来源，是将来个人信息权保护专门立法的最强有力的支持。2012年全国人大常务委员会出台《关于加强网络信息保护的决定》第一条明确规定保护公民“个人身份和涉及公民个人隐私的电子信息”。

我国刑法在近年来的修改过程中，逐步增加了一些个人信息犯罪的相应罪名。例如，《刑法修正案（七）》新增了“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”两种罪名。[3]《刑法修正案（九）》在此基础上将“出售、非法提供公民个人信息罪”的犯罪主体的范围进一步扩大，而且规定对于履行职责或者提供服务过程中获得公民个人信息并构成相应犯罪者从重处罚。

民法作为人格权保护的主要法律，对个人信息保护尤为重要。我国现行民事法律对个人信息立法体现并不太多，如《民法通则》通过人格权的概括性规定，对姓名权、肖像权、名誉权、人格尊严保护等实现对个人信息的间接保护。《侵权责任法》第36条提出对网络侵权进行规制，但是该法没有明确规定个人信息的保护制度。虽然《侵权责任法》第二条对法律保护的民事权益所做的开放式的表述完全可以将个人信息作为法律权益加以保护，但个人信息依然不属于民事权利。2014年新修订的《消费者权益保护法》第14条、第29条针对经营者对消费者的个人信息保护义务进行了全面的规定。

此外，国家各机关部门在自己的立法权限内也积极出台法规、规章加强对个人信息的保护。2013年2月，国家质检总局、国家标准化管委会联合发布《信息安全技术公用及商用服务信息系统个人信息保护指南》，规定了个人信息的权利义务主体、个人信息的保护原则方法等个人信息保护的基本问题，这是我国首个个人信息保护的部门规范。2016年11月7日，第十二届全国人民代表大会常务委员会第二十四次会议通过《网络安全法》，该法第四章“网络信息安全”从第40条到第50条用了11个条文对网络信息安全尤其是个人信息的保护进行了全面的规定。

综上，由于在宪法和民法中对个人信息法律地位没有明确规定，个人信息尚未成为和隐私权一样的具体人格权利。但综观我国现行法律以及近期的立法规划，我国个人信息的法律保护已经逐步脱离“隐私权”的范畴，越来越体现出其独立性：

（1）个人信息的概念和范围不能完全由隐私权涵盖。隐私权强调个人信息的自决、保密和个人生活的安宁，强调信息的秘密性，而现代社会很多个人信息具有一定范围的公开性。网络社会的到来，纯粹的隐私秘密越来越少，个人信息的保护突出体现在个人信息的收集、利用等方面，更符合网络环境下个人信息利益保护的需求。就利益范围来说，相对于个人隐私这样的纯粹个人利益，个人信息涉及的利益范围更为复杂，往往涉及社会公共利益、国家安全等。2010年《侵权责任法》确立隐私权之后，我国近几年的相关立法中在规定隐私权的保护的同时一般都规定了个人信息的保护，典型代表是2012年的《关于加强网络信息保护的决定》以及2014年最高人民法院頒布的《关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》；而涉及个人信息保护的法律规定中并未全都规定隐私权的保护。由于网络安全、网络交易更多的涉及个人信息而非隐私权，个人信息保护的独立性越发明显。网络环境下法律保护呈现出以个人信息保护为主、隐私权保护为辅，二者相互配合、全面保护的趋势。

（2）个人信息在我国尚未成为一种独立的人格权利，但是成为一种具体人格权的趋势明显。从比较法来看，承认个人信息权为一种人格权实际上已经成为一种立法趋势。[4]迄今为止，由于我国宪法和民法没有明确规定个人信息的保护，所以我国法律上尚未存在“个人信息权”这样的人格权。对个人信息的保护，虽然刑法修正案等法律已经进行了规定，民法上也可以作为一种特殊的人格利益加以救济，但是立法上尤其是民法上的权利规定不得不说是一个空白。学术界很多学者都认为应当规定个人信息权。[5]2016年10月31日，提请全国人大常委会审议的民法总则（草案）第二次审议时，增加了对个人信息保护的规定。虽然《民法总则》还属于法律草案，但是在《民法典》中规定个人信息的保护无疑具有重大的宣示意义，那就是个人信息将被法律界定为一项重要的民事权利加以规定，个人信息权将和隐私权一样属于独立的具体人格权。

（3）个人信息保护涉及多个层级法律、多个部门法规范和调整。个人信息保护表面看起来是对自然人利益的保护，但涉及政府的社会管理职责、公民的言论自由、社会公共利益保护等关系的平衡。在网络环境下，还涉及网络技术的发展、推进信息交流与个人利益平衡的关系。对个人信息的保护已经远远超越了隐私权设立和发展初期保护个人权利、对抗公权力的历史背景和制度设计初衷，涉及的主体更众多、需要解决的利益平衡问题更复杂，因此我国这些年对个人信息保护进行了全方位的规定，初步形成基本法律、一般法律、行政法规和部门规章全面保护的态势。但要从根本上强化个人信息的保护，必须在民事权利的构建中加以规定，同时制定个人信息保护的特别法律即《个人信息保护法》。

四、我国“隐私权”和“个人信息”的发展和完善

（一）隐私权

由于最终确立隐私权法律地位的《侵权责任法》属于救济法，隐私权的具体内容和外延也没有在该法中有所体现，因此我国隐私权的概念已经法定化但是隐私权的内容尚未法定化。《侵权责任法》颁布之后，法学理论和实务界顺应科技发展的趋势，将网络环境下信息利益的保护更多地放在个人信息制度的研究和规定上，立法上尚未对隐私权的内容进一步规定和完善。因此，在隐私权保护的制度发展和完善上，应当充分利用《民法典》编撰这一历史机遇，在民事权利部分规定隐私权的内容。

（二）个人信息

个人信息法律保护的独立性日益增强，迄今为止，已经有近100个国家制定了个人信息保护法，足以体现各国对个人信息保护的重视[6]。我国2016年11月7日《网络安全法》的出台，是第一次在法律层面上全面规定了个人信息的范围、利用原则以及法律责任，在一定程度上弥补了个人信息保护的法律短板，将我国个人信息保护法律制度推向了一个新的高度。

1.《网络安全法》对个人信息法律保护的新发展

第一，明确界定了个人信息的概念和保护范围。《网络安全法》在第七章“附则”76条规定：“个人信息，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。”通过对个人信息概念的界定明确了其使用范围，也直接将个人信息和隐私权的范围进行了边界划分。网络环境下相关权利保护进入了一个以个人信息保护为主、隐私权保护为辅的新时代。

第二，明确个人信息收集、利用的基本原则。《网络安全法》第41条规定：“网络运营者规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。”该条款确立了个人信息保护各国普遍认可的原则——同意原则、明示原则，将网络运营者的个人信息收集利用行为规范化，网络运营者承担的个人信息保护义务更加明确化。

第三，确立了个人信息作为人格权的属性。《网络安全法》充分借鉴各国立法经验和立法趋势，同时回应了我国学界呼吁个人信息上升为具体人格权的呼声，在该法第43条中规定用户对涉及自己信息数据有控制权，既包括对网站依法和依约使用用户数据的约束，也包括用户对涉及自己“错误信息”的“删除或更正权”。这样的规定就是将个人信息的决定权掌控在个人手中，这是作为具体人格权的明确表现，非常符合互联网时代用户权益保护的发展方向。

2.《网络安全法》个人信息保护的不足与完善

第一，个人信息的权利地位尚未明确。《网络安全法》虽然确立的个人信息自决权等制度在一定程度上体现了个人信息具备具体人格权的属性，但是真正确立个人信息具体人格权的地位需要在《民法总则》中加以规定。

第二，法律责任尤其是民事责任需要進一步细化完善。《网络安全法》在第六章“法律责任”部分规定了违法行为的民事责任、行政责任、刑事责任。在民事责任的规定中仅仅规定了“违反本法规定，给他人造成损害的，依法承担民事责任”这样的简单规定。对侵犯个人信息的民事责任的具体归责原则、构成要件、责任抗辩等具体适用没有明确规定；由于网络环境下对个人信息保护的亟待加强，可以考虑在制度设计上采用过错推定的归责原则，强化侵权人的责任；另外对侵犯个人信息赔偿的范围、损失如何计算以及能否适用精神损害的问题也没有规定，通常来说，网络侵权的损害赔偿数额要大于现实生活中的侵权损害赔偿。[7]上述问题都需要《民法典》《个人信息保护法》或者司法解释进一步加以完善。

（本文为作者主持的2013年河南省哲学社会规划项目“网络环境下人格权保护立法问题研究”项目编号：2013cfx014）

参考文献：

[1]吕光.大众传播和法律[M].台北：商务印书馆，1981：40.

[2]高圣平.比较法视野下人格权的发展——以美国隐私权为例[J].法商研究，2012（1）.

[3]秦殿启.整合与大数据理念下的个人知识组织[J].情报理论与实践，2014（2）.

[4]王利明.论个人信息权的法律保护——以个人信息权与隐私权的界分为中心[J].现代法学，2013（7）.

[5]王利明.论个人信息权在人格权法中的地位[J].情报理论与实践，2012（6）.

[6]张新宝.从隐私到个人信息：利益再衡量的理论与制度安排[J].中国法学，2015（3）.

[7]王利明.编纂一部网络时代的民法典[J].暨南学报：社会科学版，2016（7）.

（作者为河南理工大学文法学院法学系主任，副教授）

编校：赵 亮