朱玥

《民法总则》让个人信息权民事救济征程起航

朱玥

似乎已经记不得从何时开始，我们的手机来电中充斥着“骚扰电话”。从愤懑质疑对方如何获取自己的联系方式，到无可奈何拒绝接听一切陌生来电，再到百度、360等手机应用程序推出骚扰电话标注功能……个人信息安全保护之道，我们一直在思考、在探索。

遭遇困境 个人信息安全屡受侵扰

大数据和信息化时代在给人们的生活带来前所未有的便利同时，也让每一个个体的个人信息安全面临着史无前例的挑战。未经本人允许，被不当披露或使用的不仅仅是手机号码，而屡受侵扰的方式也绝不仅仅是骚扰电话。

自然人个人信息是指据以识别特定自然人身份的任何生物性、物理性的数据、文件、档案等资料；其范围不仅包括自然人的身份证信息、户籍信息、联系方式、家庭构成、职业情况、社会交往、网络交易记录等物理性数据，还包括自然人机体基因组成、生物学、遗传学密码等信息。任何与特定自然人相关的，可以据此将该自然人特定化的信息均属于个人信息。

近年来，因个人信息被泄露而起诉至法院的案例屡见不鲜。2013年10月底，王某在网络热帖“2000万开房信息”中发现了自己两次入住某酒店的信息被公开，姓名、身份证号、手机号、入住时间等均赫然在列。于是，王某将某酒店管理公司起诉至上海市浦东新区人民法院，要求该酒店管理公司在其服务器上删除入住信息、在各大搜索引擎中删除链接，同时承担赔偿经济损失的民事责任。2014年2月，家住天津市的刘某在网络电商平台购买机票后，接到了发件人不明的手机短信，其遂发现自己的出行信息被泄露。刘某将其购买机票的网络电商平台及航空公司起诉至天津市东丽区人民法院，要求二被告赔礼道歉并赔偿经济损失……

在法院审理上述案件过程中，认定权利性质是法官面临的首要问题。对于个人信息权权利性质的争议早而有之。“所有权客体说”与“隐私权客体说”分庭抗礼。前者认为，个人信息能作为商品被利用、出让，为信息主体带来经济利益，应采取所有权保护模式；后者认为，个人信息属于个人隐私范畴，侵害个人信息权就是侵害个人隐私权。

但是，自然人信息涉及个人身份、居所、地位、社会关系等，其根本系人身属性，而非商品或物的属性。个人信息权当属人格权范畴，而非财产权，故将其以所有权论恐有偏失。同时，个人信息权与隐私权亦不可一概而论。个人隐私通常指那些自然人不愿意公之于众的信息，敏感性、隐秘性极强。而个人信息,笼而统之的包含了出于社会交往、商品交易等必要已经被多数他人知晓的信息。

因此，欲对个人信息权加以保护，明晰其在民法权利体系中的地位势在必行。

难题初解 个人信息权民法保护大幕开启

2017年3月15日,第十二届全国人民代表大会第五次会议审议通过了《中华人民共和国民法总则》（以下简称《民法总则》），迈出了我国民法典编纂里程碑式的重要一步。《民法总则》的“民事权利”章节中，第111条明确规定，“自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的，应当依法取得并确保信息安全，不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息” 。这标志着我国公民的个人信息权首次作为独立人格权，被纳入民事法律体系予以保护，也为我国制定并颁布个人信息保护法写就了良好开端。

将于2017年10月1日正式开始施行的《民法总则》，不仅明确了个人信息权的民法保护地位，而且还对侵犯个人信息权的行为予以明确列举。对于他人个人信息的不当收集取得行为，与合法占有他人个人信息者不当使用他人信息的行为，将同样受到民法的问责。

在《民法总则》颁布之前，《中华人民共和国消费者权益保护法》第29条规定了经营者对消费者的个人信息负有保密及合理使用的义务。辅之以该法第56条的规定，如果经营者违反了对消费者个人信息的保密及合理使用义务，经营者除承担民事责任外，还将面临行政处罚的风险。但我们不难看出，该法规制的仅为经营者与消费者之间形成的民事法律关系。随着互联网时代的不断发展及社会经济交往深度的不断拓展，公民个人信息安全绝不仅仅在其作为消费者时才受到威胁；损害其个人信息安全的主体也远远不局限于经营者。因此，《民法总则》给予公民个人信息权更为全面充分的保护十分必要，也颇具意义。

自2015年11月1日起施行的《中华人民共和国刑法修正案（九）》，将侵犯公民个人信息罪作为一个独立的罪名予以设立。非法获取或处分公民个人信息的单位或个人，如果情节严重，将受到刑事法律的规制并面临刑罚制裁。

我们可以看到，加之此前的立法，随着《民法总则》将个人信息权的保护纳入其中，我国已经初步形成了对个人信息权“刑事制裁—行政处罚—民法救济”的多元化立法保护格局，从而令对个人信息安全不同程度的侵害行为均有相应法律制度予以规制。

亟待完善 体系化的个人信息权保护机制尚需建立

“天下之事，不难于立法，而难于法之必行”。党的十八届四中全会也指出“法律的生命力在于实施，法律的权威也在于实施”。多元化的个人信息权立法保护格局初具规模，而个人信息安全的彻底实现还需更为细化的制度设计与实施。

厘定民事诉讼举证责任分配原则。本文之前提到的，王某起诉某酒店管理公司及刘某起诉网络电商平台和航空公司等两则案例，反映了我国公民对个人信息安全保护意识的增强；但令人遗憾的是，上述两则案例的一审均以原告败诉告终。其败诉的共同理由是，虽然原告能够证明被告是相关信息的知情者，但根据“谁主张谁举证”的民事举证责任分配一般原则，原告并不能证明被告是信息的泄露者。对于自然人而言，其得知自身的个人信息被不当披露或利用或许不难；但不法行为通常具有隐蔽性，被侵权人对相关信息如何被泄露或非法使用的过程很难知悉。如果对侵权过程的论证依然坚持“谁主张谁举证”的原则，恐怕民法总则对个人信息权保护的初衷将在司法实践中遭遇困境。因此，将论证相关信息被不当披露或使用的举证责任倒置给被告或许更为合理。一方面以实现对个人信息权的民法保护立法目的；另一方面敦促信息获取者或知情人对他人信息安全保护尽到谨慎义务。

明晰损害赔偿的方式及标准。民法学者普遍认为，对个人信息权的民事救济，既可以主张精神损害赔偿，也可以主张财产性赔偿；这也是个人信息权与只能主张精神损害赔偿的个人隐私权的另一主要区别。虽然个人信息的本质并非商品属性，但在市场经济背景下，商家出于营销宣传、广告推送等需要，批量化的个人信息对其具有重要的经济价值。但对于信息权受到侵害的个人来讲，其在何种情形下、以何种标准主张财产性赔偿，有待进一步明确。

加大网络监督行政管理部门的执法力度。对于个人信息的侵权主体来讲，其泄露或非法使用的往往不是某一个个体的信息，而是特定或不特定多数人的个人信息。如果仅仅依靠被侵权者的个体维权，一则囿于诉讼成本、举证能力、专业知识的限制，难度较大；二则对侵权者的惩罚与打击，杯水车薪。因而，应当着力加强网络监督行政管理部门的执法力度，对个人信息安全给予更加充分的保护。对此，域外实践值得借鉴。例如，《欧洲联盟基本权利宪章》中在规定“人人均有权享有个人信息之保护”的同时，还规定“应由独立之主管机关监督这些原则之确实遵守”。

“在民法慈母般的眼神中，每个人就是整个国家”。将个人信息权以独立条文纳入其中的《民法总则》，再一次体现了我国立法与时俱进的人文关怀。日臻完善的多元化、体系化保护机制，亦必将令固若金汤的个人信息安全防护墙指日可待。