试论个人信息的民法保护研究[论文摘要]在这个信息社会,个人信息侵权事件频繁发生,民法作为个人信息保护立法体系的基础,必须对个人信息保护问题作出明确的规定。首先,确立个人信息权为一项独立的民事权利;其次,由《侵权责任法》予以救济,针对不同的主体采用不同的归责原则;对损害的认定,不限于实际发生的损害,以全额赔偿为原则。通过对个人信息的确权与救济做出规定,使该侵权行为能够得到有效的遏制,更好地保护公民的个人信息,维护社会的和谐与安定。[论文关键词]个人信息;个人信息权;归责原则;损害赔偿一、个人信息概述(一)个人信息的概念个人信息,又称“个人资料”或“个人数据”,指一切与个人有关的信息。依我国现行规定,个人信息属于隐私权的内容,对个人信息的侵害视为侵害隐私权。该规定存在不足,隐私权内容包括私人信息、私人生活和私人领域,这里的私人信息是狭义上的、仅指涉及隐私利益的,而我们通常所说的个人信息是广义上的。个人信息与隐私是交叉关系,隐私权制度不足以保护个人信息,我们应从广义的角度理解个人信息的概念。对个人信息的定义有两种方法:一是概括主义的方式,如Wack教授认为,“个人信息是由那些与个人有关的、有理由期待信息主体认为是秘密的或敏感的,因此想要阻止或至少限制他人收集、处理或传播的事实、信息或观点组成的。”二是列举加概括主义的方式,如周汉华教授主持的《中华人民共和国个人信息保护法(专家建议稿)》规定,“个人信息是指个人姓名、住址、出生日期、身份证号码、医疗记录、人事记录、照片等单独或与其他信息对照可以识别的个人的信息。”本文赞同第二种方法,所谓个人信息,是指自然人的姓名、住址、出生日期、身份证号码、联系方式、学历、职业等单独或者与其他资料相结合能够将本人识别出来的,本人不愿为不特定人所获知的个人资料。(二)个人信息的特征由个人信息的定义,可以看出其具有以下特征:第一,主体是自然人。个人信息涉及人格尊严与人格发展,其主体限于自然人。胎儿、死者和法人是否能成为个人信息的主体?本文持否定态度。就胎儿而言,在其出生之前可视为母亲的个人信息受到侵害。就死者而言,其固然享有个人信息,但死者基于其个人信息而享有的权利因其死亡而消灭。死者的人格利益由其近亲属予以保护,财产利益归属于其继承人。就法人而言,其也有自己的信息,但是法人的信息更多地体现在商业利益上,如商业秘密。第二,个人信息具有可识别性。所谓识别性,即个人信息本身“存在着某一个客观之确定可能性”或“任何人可以从知悉资料本身进而确定某关系人或事”之意义。识别性与信息消除认识不确定性的功能紧密联系在一起。由于个人信息具有可识别性,因此,他人可通过直接或间接的方式来识别特定的信息主体。第三,个人信息具有无形性。信息的无形性并非仅仅意指信息的看不见、摸不着和无从掌控,而同时意指信息本身是一系列的符号系统,通过资料或数据的形式能够通过编码和媒介再现,能够为人们所识别。个人信息有部分是外在的,如身高、性别等;有部分是内在的,需借助一定的载体才得以体现,如声音、指纹、DNA等信息。二、个人信息保护的比较法考察(一)美国美国以隐私权理论为基础保护个人信息。隐私一词最早由Warren和Brandeis提出,后Prosser教授为界定隐私侵权,将其分为四类侵权行为:⑴非法侵入原告的隐居或私人事务;⑵泄露原告令人尴尬的私人事实;⑶在公众场合将原告置于错误地位的宣传;⑷盗用原告的姓名或肖像。现通说认为隐私侵权行为法已不能有效地发挥作用(尤其在信息时代,因大量收集、使用和保存个人信息而导致侵权需要进行赔偿),主要体现在两方面:一是他们没有提供Warren和Brandeis所预想的针对媒体侵权而采取的保护方式;二是他们不能适用于新的隐私问题,如商业公司过度收集、使用和泄露个人信息。美国对个人信息,更关注其自由流通,因而不同领域保护方式有异。在公共领域,美国1974年通过的《隐私权法》对政府机构收集、使用个人信息作了详细的规定,以此规范联邦政府的行为,平衡私权保护与个人信息有效利用之间的关系。但该法只适用于联邦部会以上的机构,而不及于部会以下的机构或州政府的各级行政机构,更不及于民间企业组织,其规范对象受到很大的限制,未能实现功能最大化。此外,没有设立相应的监督机构确保该法的实施,不能有效保护个人信息。在非公共领域方面,美国实行“在法律的支持之下高度依赖市场力量和个人行为”。该种行业自律模式,需要建立第三方独立的监督执行机制,包括申诉机制、评估机制、争端解决机制、制裁机制等,保障行业自律的公信度和执行力度。但这种模式没有统一的标准,缺乏有力的法律支撑,即使获得隐私认证,也不能保证不会侵害个人隐私。(二)德国德国制定个人信息保护法的宪法基础是信息自决权理论,民法基础是人格权理论。英美法上“隐私权”的内涵正是德国等大陆法系关于“一般人格权”的观念。根据一般人格权理论,在信息时代普遍对公民个人信息进行收集、处理和传输的情形下,保护公民人格权的关键体现在德国1990年《联邦数据保护法》第1条之规定:“本法之目的在于保护个人免于因个人信息的传输造成人格权侵害。”在信息侵权方面,德国1990年《联邦数据保护法》作了相关规定,如第二部分规定“公务机关的资料处理”,第三部分规定“非公务机关和参与竞争的公法上的企业的资料处理”。前者涉及行政侵权,后者涉及民事侵权。保护法对由此发生的损害赔偿做出明确的区分,规定了不同的归责原则和赔偿范围:基于行政侵权发生的损害赔偿适用无过错责任原则及最高限额赔偿,因为该赔偿制度的本质是对损失的负担或弥补,而不是对行为或原因的评价。基于民事侵权发生的损害赔偿则适用过错责任原则及全额赔偿,因为民事主体地位平等,如果个人已尽其法定注意义务,可免负侵权责任。三、我国个人信息保护的现状及完善(一)现状分析我国《民法通则》对姓名权、肖像权、名誉权等作了一般规定,间接保护个人信息。2009年《侵权责任法》首次承认隐私权,并保护有隐私利益的个人信息,这与美国法上将一切个人信息都作为隐私来保护及德国通过专门立法保护个人信息的方式均不同。对个人信息保护,就公共部门而言,其对个人信息的关注是基于管理的需要,更强调个人提供信息的义务而非信息主体的权利,如未经主体同意公共部门相互交换使用个人信息的行为,构成对公民个人信息的侵害。就非公共部门而言,鉴于个人信息的巨大价值,除部分商业网站会提供相对较为详细的隐私保护政策外,大多数非公共部门并没有单方面向相对人提供个人信息保护政策。此外,司法实践中最大的问题是受害人因举证困难而败诉。总体而言,我国缺乏统一的、专门规范个人信息保护的法律制度。因此,对个人信息及侵权行为的界定、信息的合法使用及侵权行为的法律责任等根本性问题,缺少必要的法律进行规范,不利于充分保护。(二)完善建议1.确立个人信息权个人信息权不同于隐私权,法律应视它为一项独立的权利。所谓个人信息权,是指信息主体对与自己有关的、可通过一定途径来识别个人的一切信息享有使用和控制的权利。该权利主体包括信息所有人、持有人和控制人,内容包括信息自主权、保密权、查询权、修改权、决断权及报酬请求权。就个人信息的立法基础而言,较之于美国的隐私权理论,德国法上的一般人格权制度对我国更有借鉴意义。一般人格权是以人格尊严、人格平等、人身自由为内容的、具有高度概括性和权利集合性特点的权利。[5]毫无疑问,个人信息权具有人格权的属性,但其属于一般人格权还是具体人格权?本文认为,我国宜采用具体人格权制度,这样既可避免一般人格权的抽象性,又实现了对个人信息所具有的人身和财产属性的全面保护。2.由《侵权责任法》予以救济就归责原则而言,国家机关侵害个人信息权的,一般表现为国家机关工作人员违反法律的规定收集、使用、保存个人信息,或者未经权利主体同意,将信息在不同的部门之间交流。该情形属行政侵权范围,应承担无过错责任。对于非国家机关的侵权行为,可借鉴德国的立法,采用过错推定责任原则,实行举证责任倒置。这有利于解决实践中因受害人举证不能而败诉的问题。就损害而言,一般要求存在实际损害,但法律另有规定的除外。对个人信息侵权中的损害,不应限于实际发生的损害,可扩张到对个人信息权造成现实威胁。如权利人有权请求信息收集者变更、删除、保护其信息,而义务人怠于履行义务,此时,即使损害结果尚未实际发生,但信息主体的权利已受到现实威胁,权利人得请求停止侵害、排除妨碍、消除危险。其因行使该请求权而支出的合理费用,可向侵权人请求损害赔偿。张新宝教授指出,针对现实威胁产生的请求权,是对损害后果作为侵权责任构成要件的一个重要补充。关于赔偿,有学者提出借鉴英美法中的惩罚性赔偿制度。该制度在英美法国家主要适用于以下情形:⑴受害人并不是总能发现被告的侵权行为;⑵当补偿性赔偿数额较低,不足以补偿原告的诉讼费用,原告就可能不起诉;⑶受害人的某些损害并不能得到补偿性赔偿;⑷当被告承担补偿性赔偿后,仍从其不法行为中获得不法利益。本文认为,惩罚性赔偿制度应区别适用。对以营利为目的而故意侵害个人信息的商业公司可适用;对公民作为侵权人的,不宜适用。