个人信息法律保护文献综述

摘要：《中华人民共和国民法典》进一步加强了对公民个人信息的法律保护，然而目前我国个人信息法律保护制度仍不完善，需要对该问题进一步进行研究。本文从个人信息的权利性质、个人信息法律保护以及域外国家和地区个人信息保护三个层面进行文献整理，以总结目前个人信息法律保护的理论基础和研究现状。

关键词：个人信息 权利性质 立法保护 侵权责任

引言

个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息，包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。¹ “个人资料（信息）的法律规范并非自始基于一个预先设计的规划，而是因应侵害形态、科技进步、保护必要性及人民的权利意识而形成，处于一个快速变动的发展过程。”²近年来，随着互联网普及度进一步提升以及云计算、大数据等新兴互联网技术的广泛应用，公民个人信息的数据处理量显著增长，非法收集、泄露、买卖个人信息等侵犯公民个人信息合法权益的案件时有发生。加强公民个人信息的法律保护已成为各界共识。

2020年5月28日，第十三届全国人民代表大会第三次会议表决通过了《中华人民共和国民法典》（以下简称《民法典》），其中个人信息规定与保护更加明确，是我国个人信息法律保护一个重要的里程碑。本文通过对个人信息法律保护的文献进行梳理，有助于进一步加深对该问题的理解，并在此基础上进行更深入的研究。

一、个人信息的权利性质

加强对公民个人信息的法律保护，首先要分析个人信息的权利性质。我国学者对该问题的认识经历了一个过程，出现过财产权说和人格权说两种学说。

（一）财产权说

刘德良（2007）³认为，个人信息具有财产权属性。个人信息财产权是主体对其个人信息的商业价值进行支配的一种新型财产权，在对个人信息进行商业化使用的条件下，需要通过该权利对个人信息进行保护。承认个人信息的财产权属性，不影响权利主体的人格尊严，也不意味着否认权利主体对个人信息本应享有的人格权，反而有利于维护其本应享有的人格权。个人信息单独通过人格权保护存在缺陷，可在个人信息涉及财产利益、价值及功能时通过财产权进行保护。

（二）人格权说

刁胜先（2011）⁴认为，个人信息权应定性为兼有精神利益与物质利益的双重性质人格权。将个人信息权定性为人格权，有利于保护权利主体的精神利益与物质利益，又可以避免立法上将其分插在人格权与财产权两个体系之中，以维护个人信息的统一性并节约立法资源。还可以针对性设计其特有权能，以摆脱既有财产权与传统人格权权能单一的限制。

王利明（2012）⁵认为，个人信息权不属于一般人格权，个人信息权是一种新型的具体人格权。个人信息权与隐私权存在区别，二者虽有重合但个人信息概念远超出了隐私信息的范围。尽管实践中通过刑法、行政法等多种类型法律对个人信息进行法律保护，但无法改变个人信息权的民事权利属性。作为一项新型民事权利，个人信息权虽具有财产权属性，但根据个人信息权的主要特征及范围，个人信息权在民事权利体系中属于人格权范畴。

郑维炜（2020）⁶通过分析比较个人信息权的广义隐私权说、财产权说以及独立人格权说三种学理争论，认为在普通法下隐私权对个人信息保护发挥了重要作用，但随着个人信息数字化的发展，该种保护方式则存在局限性。个人信息权被认定为独立人格权具有合理性，符合理论上的依据及立法内涵的解释。

程啸（2020）⁷ 指出由于对个人信息权益性质的认识仍存在争议，《民法典》未使用“个人信息权”的表述。他赞同王利明（2012）个人信息权益具有人格特征的观点，同时对个人信息权益属于公法权益而不属于民事权益的观点进行了反驳。他认为自然人对于个人信息享有的应当是作为民事权益的人格权益，而非公法权利或者同时享有人格权和财产权。

（三）总结

在个人信息的权利性质上，虽然我国有学者提出过个人信息具有财产权属性的观点，但学界主流认为个人信息权是项新型的人格权，且不能和隐私权等同。《民法典人格权编》中明确规定了个人信息保护的内容，说明立法者认可个人信息权益属于人格权保护范围的观点。然而《民法典》未使用“个人信息权”的表述，个人信息的权利性质仍需进一步研究。

二、个人信息法律保护体系

加强对公民个人信息的法律保护，需要完善个人信息保护相关立法，并明晰侵犯公民个人信息所应承担的侵权责任。

（一）个人信息保护立法

齐爱民（2008）⁸认为，鉴于我国行业自律的现状和民间自治能力较弱的实际情况，美国个人信息保护的自律机制不适合我国。我国宜借鉴安全港模式加强对公民个人信息的保护：一方面需要加强个人信息保护领域的立法；同时倡导行业主动采取自律手段保护个人信息。

张新宝（2015）⁹认为，在个人信息保护法治中，国家不再单纯以超然利益关系的治理者出现，它同时也是最大的个人信息收集、处理、储存和利用者；信息业者作为独立的主体出现。个人信息保护法需要衡量更多的利益关系，我国应确立由国家主导、行业自律与个人参与的个人信息保护法治模式。

杨翱宇（2017）¹⁰认为，我国个人信息保护处于分散式立法保护阶段，并且立法实践中存在个人信息保护缺少完整请求权基础等问题。我国个人信息保护立法的应然路径走向是分阶段实现个人信息权及其相关权利的法定化与精细化；从内外两个层面实现个人信息保护法制的体系化；以统一式路径实现个人信息保护行政主管机关专责化。

王涵（2018）¹¹认为 ，仅在民法典或民法总则中对个人信息进行权利确认是远远不够的。在立法模式上宜采取民法典权利确认和个人信息保护法单行立法的模式，引入信息处理通报与预先审查制度，规范对个人信息的收集、加工、使用等行为，保护人们基于个人信息所享有的权益。

雷婉璐（2018）¹²认为，个人信息保护立法应坚持以私权保护为中心的立法原则，充分保护信息主体的信息控制权，加强信息利用主体的责任，制定一部规制公共部门和私人部门的综合性个人信息保护法。

程啸（2019）¹³认为，虽然传统民法在个人信息保护上受到挑战，并且存在需要完善之处，但不能因此就否定个人信息私法保护的重要意义与功能。现代立法应采用公法和私法并重的方式对公民的个人信息进行保护。

张新宝（2019）¹⁴认为，个人信息保护立法应采用《个人信息保护法》和《民法典》分则相结合的立法模式。在民事立法领域，应侧重于从民事权利（权益）的人格权性质（即人身非财产性）展开个人信息保护的民法规范体系，并在侵权责任编中对侵害个人信息权利（权益）的损害赔偿包括精神损害赔偿、惩罚性赔偿等做出具体规定。

张彤（2020）¹⁵认为，《民法典》作为长期稳定适用的民事基本立法，在个人信息保护上不能做出太多细致具体的规定，而只需做出基础性、原则性的规定。这样既可以对其他的立法有所指引，又为将来的发展留有空间。

（二）个人信息侵权责任

阮神裕（2020）¹⁶认为，数个信息控制者参与同一个处理行为造成损害，自然人无法查明具体损害人的，各个信息控制者承担连带责任；信息控制者可以证明损害不是由自己引起的，不承担赔偿责任。

程啸（2020）¹⁷认为，对于侵害个人信息的侵权责任应当统一适用无过错责任，即受害人在针对信息控制者提起侵害个人信息的侵权之诉时，无须证明信息控制者存在过错。信息控制者只有在符合法定的免责事由时，才能免除责任。

（三）总结

加强对公民个人信息的保护，既要完善相关法律，又要发挥行业自律的作用。在个人信息保护立法上，通过《民法典》和个人信息专门法的复合型立法对公民个人信息进行保护的观点获得普遍认可；在个人信息侵权责任上，学者们的主张都体现出加强信息收集者责任的倾向。

三、域外国家和地区个人信息法律保护

在个人信息法律保护上，一些域外国家和地区如我国澳门特别行政区以及欧盟、新加坡等国家和地区立法起步早，有较为完善的个人信息（资料）保护立法。

（一）中国澳门个人资料保护法律

我国澳门特别行政区关于个人资料保护的法律框架主要包括宪法性法律、民法典和个人资料保护三个层面。

1999年《澳门民法典》规定了个人资料是与隐私权并列的具体人格权。第79条用三款规定了“个人资料保护”，第81条规定了“个人资料真实权”。¹⁸

2005年澳门特别行政区制定了个人资料保护领域的专门法《澳门个人资料保护法》，其后结合各领域的实际情况陆续出台《澳门特别行政区在互联网上发布个人资料的注意事项》等一系列“指引”，逐步建立完整的个人资料保护法律制度。

澳门特别行政区个人资料保护法律启示我们，个人信息权是应当是包含个人信息决定权、保密权、查询权、更正权、封锁权和删除权等六大内容的权利体系，并且需要通过民事责任、行政责任和刑事责任等三大法律责任予以保障，方能适应信息社会人格权发展的需要。（陈星，2014）¹⁹

（二）欧盟《通用数据保护条例》（GDPR）

在法律条文上，欧盟较多使用“个人数据（Personal data）” ²⁰的表述。欧盟个人信息保护立法历史悠久，经过数十年发展演进形成了一套完整的个人数据法律保护体系。2018年5月25日生效的《通用数据保护条例》（GDPR）是欧盟个人信息保护领域又一较为完善的法律。GDPR规定了六个通用数据保护的基本原则：公平与合法性、数据收集目的限制、数据收集最少化、数据准确性、数据存储限制、数据完整性和机密性。²¹

Michelle Goddard（2017）²²认为，GDPR确立了较高程度的个人数据保护要求，同时GDPR所设计的个人数据长臂管辖制度能有效地对海外数据收集者进行规制，促使他们在收集处理欧盟用户数据时提升业务合规水平。

Christina Tikkinen-Piri、Anna Rohunen和Jouni Markkula（2018）²³介绍了GDPR在个人数据收集和处理上所呈现的新特点：GDPR要求增强数据处理程序的透明度，明确数据收集者的责任，并加强对匿名数据处理的管理。

林凌、李昭熠（2019）²⁴认为，GDPR所选择的立法宗旨和个人数据保护模式既根植于欧洲悠久的法律文化传统，又回应了信息化社会经济发展的内在需求。我国应借鉴欧盟GDPR的立法理念，从法律、社会治理以及信息产业等维度构建个人信息双轨保护制度。

（三）新加坡个人资料保护法令（PDPA）

新加坡个人资料保护法令（PDPA）于2012年10月在国会通过并分阶段生效，主要的资料保护条例于2014年7月1日生效。PDPA所涉及的内容包括个人数据收集、使用、公开和维护的各种规则。PDPA同时规定了个人信息权利主体享有对个人信息的访问权和更正权；此外根据法律规定和正当的事由，相关组织可以依法收集、使用或披露个人数据。²⁵

Warren B. Chik（2013）²⁶认为，PDPA所确立的数据保护机制是一种轻触式机制：在所有私营机构和私营行业中应用统一的最低数据保护标准。PDPA在保护个人数据的同时平衡了公共利益以及企业的商业利益。

（四）总结

从上述法律制度和文献内容可以看出，域外国家和地区的个人信息保护立法进入到以专门法为主的阶段。尤其是欧盟《通用数据保护条例》内容详实，对我国完善个人信息保护立法启发较大。

四、结语

从以上文献可以看出，个人信息法律保护一直是中国乃至世界法学界关注的重要话题。国内学者对个人信息保护立法勾勒出大概方向，即采用《民法典》和个人信息保护专门法相结合的立法模式，这与域外一些国家和地区个人信息保护的立法模式基本相同。我国需要尽一步完善个人信息保护立法，进一步细化侵犯个人信息的民事责任；同时加快“个人信息保护法”的立法进程，构筑完善的个人信息法律保护体系。

注释：

¹ 参见《中华人民共和国民法典》第1034条

² 王泽鉴：《人格权法（法释义学、比较法、案例研究）》，北京大学出版社,2013年版，第209页。

³ 刘德良：《个人信息的财产权保护》，载《法学研究》2017年第三期。

⁴ 刁胜先：《论个人信息的民法保护基础——兼论个人信息、民法保护的精神利益与物质利益》，载《内蒙古社会科学(汉文版)》2011年第5期。

⁵ 王利明：《论个人信息权在人格权法中的地位》，载《苏州大学学报(哲学社会科学版)》2012年第6期。

⁶ 郑维炜：《个人信息权的权利属性、法理基础与保护路径》，载《法制与社会发展》2020年第6期。

⁷ 程啸：《论我国民法典中个人信息权益的性质》，载《政治与法律》2020年第8期。

⁸ 齐爱民：《个人信息保护法研究》,载《河北法学》2008年第4期。

⁹ 张新宝：《从隐私到个人信息：利益再衡量的理论与制度安排》，载《中国法学》2015年第3期。

¹⁰ 杨翱宇：《我国个人信息保护的立法实践与路径走向》，载《重庆邮电大学学报(社会科学版)》2017年第6期。

¹¹ 王涵：《信息社会背景下个人信息私法保护问题研究》，载《商业研究》2019年第2期。

¹² 雷婉璐:《我国个人信息权的立法保护——对美国和欧盟个人信息保护最新进展的比较分析》，载《人民论坛·学术前沿》2018年第23期。

¹³ 程啸：《民法典编纂视野下的个人信息保护》，载《中国法学》2019年第4期。

¹⁴ 张新宝：《<民法总则>个人信息保护条文研究》，载《中外法学》2019年第1期。

¹⁵ 张彤：《论民法典编纂视角下的个人信息保护立法》，载《行政管理改革》2020年第2期。

¹⁶ 阮神裕：《民法典视角下个人信息的侵权法保护——以事实不确定性及其解决为中心》，载《法学家》2020年第4期。

¹⁷ 程啸：《论侵害个人信息的民事责任》，载《暨南学报(哲学社会科学版)》2020年第2期。

¹⁸《印务局——民法典》：https://bo.io.gov.mo/bo/i/99/31/codcivcn/codciv0001.asp#a78，最后访问时间：2020年12月12日。

¹⁹ 陈星：《澳门个人资料保护法律制度研究》，载《社会科学家》2014年第4期。

²⁰ 学者们对个人数据（Personal data）和个人信息是否等同持不同观点，同时存在很多国家的法律和政府规范性文件将二者混淆使用的情况。笔者认为个人数据和个人信息之间既有联系又有区别，但这不影响域外个人数据保护立法对我国个人信息保护立法所具有的借鉴意义。

²¹ Art. 5 GDPR – Principles relating to processing of personal data, https://gdpr.eu/article-5-how-to-process-personal-data/, 最后访问时间：2020年12月12日。

²² Michelle Goddard, The EU General Data Protection Regulation (GDPR): European regulation that has a global impact, 59(6) International Journal of Market Research 703, 705(2017).

²³ Christina Tikkinen-Piri, Anna Rohunen and Jouni Markkula, EU General Data Protection Regulation: Changes and implications for personal data collecting companies, 34(1) computer law & security review, 134, 153(2018).

²⁴ 林凌、李昭熠：《个人信息保护双轨机制：欧盟<通用数据保护条例>的立法启示》，载《新闻大学》2019年第12期。

²⁵ PDPC | PDPA Overview, https://www.pdpc.gov.sg/Overview-of-PDPA/The-Legislation/Personal-Data-Protection-Act, 最后访问时间：2020年12月12日。

²⁶ Warren B. Chik. The Singapore Personal Data Protection Act and an assessment of future trends in data privacy reform, 29(1) computer law & security review, 554, 575(2013).