芻議個人信息保護立法

之前吵得沸沸揚揚的趙紅霞案發生后，部分媒體及網站不斷地猜測趙紅霞及其家人的各種私人信息，其家人的正常生活不斷受到打擾。無奈之后，2013年1月31日，趙紅霞家人委托重慶智豪律師事務所對外發布聲明，對于趙紅霞的家庭信息被人對外發布，將保留法律權利，適時追究法律責任。這一聲明迅速被各大媒體轉載，再次給人們敲響了一記警鐘。據艾瑞市場咨詢機構與騰訊電腦管家聯合發布的《2012年個人網絡安全年度報告》顯示：2012年有84.8%的中國網民遭遇到個人資料泄露、網購支付等網絡不安全事件，總人數達4.56億，共造成直接經濟損失194億元，人均損失553.1元。個人信息尤其是網絡信息的泄露等事件時有發生，正影響著當下越來越多人的生活。

隨著計算機和網絡技術的廣泛應用，個人信息的收集與利用越發便捷。個人信息的開發、加工、倒賣，嚴重地危害了個人的人身安全與利益，也在一定程度上破壞了社會秩序。雖然個人信息立法研究2003年已經開始，2005年形成草案，但至今未進入立法程序。2012年12月28日第十一屆全國人民代表大會常務委員會第三十次會議通過《全國人民代表大會常務委員會關于加強網絡信息保護的決定》。2013年2月1日，我國首部個人信息保護國家標準《信息安全技術公共及商用服務信息系統個人信息保護指南》生效，將指導銀行、互聯網、通信服務商、開發商等行業正確利用信息系統處理保護個人信息。這兩大舉措再次將個人信息的保護推到了人們的視線中。

個人信息是指與特定個人相關聯的、反映個體特征的、具有可識別性的符號系統，包括個人身份、工作、家庭、財產、健康等各方面信息。下面筆者就個人信息立法簡單地談自己的幾點看法：

一、個人信息兼具人身利益與財產利益的雙重屬性

（一）個人信息的人身利益

個人信息是屬于特定個人的。個人信息可以用于識別特定人，該信息具有特定人身屬性，與特定人具有一一對應的關系。個人信息屬于自然人主體身份的一部分。我們可以將個人信息的這一特征視為個人信息的人身性。從本質上來講，它是關系個人利益、并受個人控制的東西。每一個獨立的個體都是個人信息的載體，因為人的獨一無二性則體現為具有個性的個人信息，正是這些信息使一個人與其他區別開來，成為一個獨立的個體。在這些個人信息中，比如說姓名是一個特定的個人最主要的識別符號即是姓名，姓名是將一個人與他人區別開來最直接和最外在信息；而其他個人信息都是聯系到某人、描述某人特性的信息。有學者認為，關于個人信息包括以下內容基本已達成共識，個人信息包括姓名、性別、出生年月、民族、身份證號碼、血型、指紋、戶籍、婚姻狀況、家庭狀況、教育背景、工作履歷、健康信息、財務狀況等任何單獨或與其他信息比對可以識別特定個人的信息。那么這些信息有些可以劃入我過現行隱私權的范圍，但并不是所有的個人信息都屬于隱私范疇。這些個人信息毫無疑問地關系著個人人格利益。

（二）個人信息的財產利益

個人信息因為與個人息息相關具有人身利益，這個是沒有多少爭議的。但是信息是否具有財產屬性呢，這個學界多有不同的看法。在筆者看來在當今社會隨著計算機和網絡技術的發展和應用，個人信息已成為實現社會聯系、交往和各項活動的重要資源。齊愛民教授曾指出，個人數據兼具社會經濟資源和個人人格利益兩種價值。而這當中的社會資源價值則可以理解為這里的財產利益。比如說，商家可以利用個人信息進行有針對性的商業促銷，找到潛在的客戶或消費者； 企業通過收集個人數據，增加對市場需求、趨向的分析。那么在這些利益的驅動下，推動了個人信息的利用、流通甚至買賣。于是個人信息的商業價值或者說財產屬性得到體現。針對此種狀況，劉德良教授就曾提出了個人信息雙重保護理論。他認為在個人信息進行商業性使用的條件下，有必要對個人信息進行財產權保護。個人信息可以脫離主體存在，使個人信息具有被商業化、財產化的可能。伴隨著專業的信息資源開發利用機構、信息實際控制人的產生，信息的財產利益越發明顯。

二、個人信息的保護應兼采精神損害賠償與財產損害賠償

（一）個人信息侵權的精神損害賠償

個人信息侵權行為侵害了信息主體的一般人格權，比如說個人信息中信息主體不愿披露的個人信息，可能會侵害信息主體的姓名權、肖像權、隱私權等等。這些侵權行為對對應的責任形式應該包括精神損害賠償。雖然精神利益不能成為交易的對象，但是精神損害賠償的制度就是可以通過一定的金錢補償予以彌補被侵權人的精神傷害，以使損失降低到最小的程度。那么在確定信息侵權的精神損害賠償時，我們應具體關注以下問題：第一，歸責原則。因為現實中個人信息侵權的主體多數為企業、銀行甚至政府機關，考慮到被侵權人的舉證困難，應采過錯推定原則。第二，損害賠償額的確定。首先，損害賠償數額應與主觀過錯的嚴重程度相關。其次，損害賠償額度應該與個人信息侵權行為的具體情節惡劣程度相適應。對于行為人侵害個人信息所采取的手段與方法惡劣，或實施違法行為后認錯態度惡劣、社會危害性大時應在確定賠償范圍時加大賠償額度。

（二）個人信息侵權的財產損害賠償

通過第一部分的分析我們知道個人信息具有財產價值，信息資料蘊含著一定的商業價值，其本身也可以作為財產加以利用。尤其是在網絡環境下，其財產價值更為突出。而侵害個人信息的行為，并不一定會造成精神損害，在請求精神損害賠償不能實現，而確有財產損害時，給予被侵權人財產損害賠償請求權才能全面地保護信息主體的權利。現代社會，由于信息所體現出來的巨大商業價值，推到了個人信息的開發與利用。但必須強調的是，信息主體是個人信息的權利人，其個人信息的商品化開發必須由其自主進行，或征得他的同意。否則，即侵犯了個人信息權人的商品化開發利用的權利，應當承擔相應的損害賠償責任。此時，如果被侵權人能夠證明自己所受損害，那么財產損害賠償的數額比較好確定，但是即便受害人難以證明自己所遭受的損失，《侵權責任法》第20條關于侵權人“所獲利益視為損失”的規則也提供了索賠數額的依據，即通過證明行為人所獲得的利益，推定受害人遭受的損害，從而主張損害賠償。

三、個人信息保護立法應兼顧個人利益與社會公共利益的平衡

不管把個人信息通過隱私權來保護，還是將個人信息權在民法中予以認定，還是列入未來的人格權法中，沒有爭議的是我們都可以將個人信息權界定為民事權利，個人信息是一項受法律保護的利益。有關個人信息的爭議不僅僅發生在私人之間，也可能發生在私人與公權力之間，這意味著它不僅需要得到其他民事主體的尊重，更需要國家公權力機構予以尊重，換言之，包含公權力機構在內的所有社會主體均有尊重個人信息的義務。而且，不僅權利主體自身可以采用合法措施保護該項利益，公權力機構也應當采取積極措施保障該項權利的實現。此外，個人信息在通常情況下是個人不愿意向他人或者社會公開的信息，它和個人私生活密切相關，是個人事務的組成部分，只要不涉及公共利益，個人信息的私密性應該被尊重和保護，即使有些個人信息已經被政府或者商業機構收集，也不意味著個人信息可以被任意公開。

但不可忽視的是，個人信息還具有公共性。這主要是因為個人信息是社會各項活動開展的必要要素。 齊愛民教授指出：“個人信息是信息社會的基礎資源，其開發和利用對于信息社會的進一步發展意義重大。”無論是社會中的人際交往，還是開展政務、商務活動、學術活動等均離不開對個人信息的收集和利用。在某種意義上，個人信息并不是完全受個人控制的，它不像其他“私有物”可以受個人絕對支配或控制，而是必須受到限制，也就是說，它必須受到限制，允許其他主體對合理的利用。為了開展社會各項活動，個人必須放棄一些利益，允許個人信息合法流動和利用。個人對個人信息的權利受到社會公共利益的限制。從人身性的角度來講，個人信息當然專屬于特定個人所有，特定個人是特定信息的所有者。從可脫離人身為他人支配的角度，個人信息又轉化為可為人支配的客體。這些事實上控制個人信息的主體有可以濫用其控制的個人信息，損害個人信息權利人的利益。法律對人格利益（私人利益）的保護決定了必須賦予個人對個人信息支配權，同時為了社會公共利益，個人必須披露其個人信息，容許他人合法的利用。那么個人信息保護立法應該規范政府機關、公共團體等收集、利用個人信息的行為，既保護信息權利人利益，同時又使個人信息得到合理有效利用，實現其社會價值。個人信息保護立法的具體規范方面要兼顧個人利益與社會公共利益的平衡。

參考文獻：

[1]2012年12月28日第十一屆全國人民代表大會常務委員會第三十次會議通過的《全國人民代表大會常務委員會關于加強網絡信息保護的決定》.

[2]2013年2月1日正式實施的國家標準《信息安全技術-公用及商用服務信息系統個人信息保護指南》.

[3]王利明.論個人信息權在人格權法中的地位.國民商法律網，2013年2月21日.

（全建明單位：湖南師范大學；彭利民單位：株洲市石峰區人民檢察院）