个人信息民法权益的实现路径探究

　　摘    要：　个人信息保护民事规则存在一定的争议与空白，引发了解释的必要。从性质上看，个人信息属于人格利益，个人在信息处理时受到的民法保护应被理解为权益而非权利。个人信息保护规则的功能既要立足于数字经济之利益平衡，又要对大数据时代隐私权的缺陷形成弥补，还需要与个人信息保护法顺利衔接联动。借鉴比较法的经验，具体规范的模式更加适合当下国情。个人信息民法权益的实现主要依赖两条路径——人格权规则与侵权责任规则。在适用人格权规则时应注意请求权的相对性，避免泛化人格权概念并具体化个人信息人格权益的规范模式，即只能针对特定主体、权益范畴，以《民法典》的明文规定为限等等。私密信息虽优先适用隐私权规则，规范模式更加宽泛，但其在本质上仍属于个人信息而非隐私权。由于侵权责任编缺乏个人信息保护的相关规定，在适用时需要与个人信息保护法相结合，统一主体的划分，完善过错归责原则，设立最低限的赔偿标准。

　　关键词 :     个人信息;民法典;个人信息保护法;隐私权;信息处理;

　　《民法典》在人格权编第六章将隐私权与个人信息保护规则并列，且建构了个人信息保护民法规范的体系框架。不过，个人信息的性质与权益边界尚存争议，立法者也选择了回避。权益的保护路径语焉不详，无法充分发挥《民法典》对个人信息保护的制度功能，“人脸识别第一案”的民事裁判即是例证1。在个人信息保护法出台在即的背景下2,立足于权利属性分析，从利益衡量的角度深入分析个人信息保护规则的法律适用具有重要意义。

　　一、“个人信息保护”的民法性质

　　个人信息保护的民法定性绝不仅是理论层面的争鸣，它直接决定了个人信息保护规则的整体位阶，也影响着制度的功能发挥，关乎个人信息保护条款能否妥善理解与适用，可谓至关重要[1]。那么，个人信息保护究竟属于哪种民事权利体系?近年来的研究大致可划分为两种观点：“权利说”与“法益说”。

　　支持权利说的学者提出了多种构想，例如一般人格权说、隐私信息权说[2]、新型权利说[3]等等，较为主流的观点为具体人格权说。具体人格权说认为《民法典》中的相关规定是个人权利，而不是法律权益，属于具体人格权。为此，有学者从法益之独立性的角度进行论证，提出了个人身份信息作为法律客体具有独立性，并且在实践中也具有必要性[4]。有学者认为个人信息权具有独特的内涵，权利属性、内容、实现方式无法被其他权利取代[5]。另有学者从必要性、信息自由等多个方面论证了个人信息的人格要素清楚，包涵多种权能，内涵与外延明确，确权后有利于损害救济，能够为其他法律(例如个人信息保护法)提供依据等等[6]。该问题在立法会议讨论时，也有更倾向于民事权利说的观点，例如立法官员认为个人信息权利对保护个人的人格尊重有实际作用[7]。

　　支持法益说的学者则主张个人信息并非具体的民事权利，而是属于民事利益。有学者认为从法教义的角度出发，法律并没有明确称之为“个人信息权”,而且“个人信息”一词首次出现在《民法典》总则编第五章，该章节既包含民事权利，也包括民事利益，将其理解为民事权益也合情合理。此外，个人信息保护条款处于具体人格权之后，可见它并非具体人格权[8]。有学者认为个人信息的内涵与其他权利的边界并不明显，并且“权力模式”不利于缓和多元利益的关系[1]。

　　立足于当下的法治环境，以法教义学的协调为主要目的，本文更倾向于第二种观点，即民法中的个人信息保护应被理解为民事利益较为妥当。理由如下：

　　第一，从法教义学视角分析，立法者有将个人信息归为权益的迹象。一方面，《民法典》第110条规定了具体人格权，紧接着第111条规定了个人信息保护；但第990条列举了所有的具体人格权，却没有提及个人信息保护。由此可见，人格权编的“一般规定”没有与《民法典》总则编的规定形成逻辑上的呼应。究其原因，笔者认为立法者更倾向于将个人信息归为《民法典》第990条第2款中的“基于人格尊严产生的其他人格权益”之范畴。

　　另一方面，立法机关将隐私权与个人信息保护放在一起是为了进一步强化《民法典》对这二者的保护力度，并为《个人信息保护法》留出衔接的空间3。根据《个人信息保护法(草案)》第四章《个人在个人信息处理活动中的权利》中的规定，我们可以发现其中部分民事规范与《民法典》相同，例如查阅复制权、补充更正权等等，但某些权利已经明显的超出了《民法典》的规定，例如决定权(第44条)、删除权(第47条)、解释说明权(第48条)等等。那么这些权利是否都属于人格权呢?如果将这些权利都视为人格权，恐有泛化人格权之嫌。如果只将其部分权利视为人格权，又难以解释理由。

　　第二，个人信息权益所保护的利益并不能完全独立于隐私权。隐私权的设立原本是为了防止因个人隐私流入社会，造成个人与家庭、社会之间的关系张力激增。而在数字经济时代，信息共享已成为常态，信息在处理时很容易突破匿名性，从而侵入个人隐私领域，但信息主体依然保有信息隐私保护的期待。隐私权的功能发展似乎已行至止境，在当下时代已显得力不从心。法律需要创设个人信息规范，扞卫隐私利益，已达成共识。因此，个人信息权利的诞生即源于隐私权逐渐失去了保护个人隐私利益的能力。

　　虽然学界也不乏界分个人信息权益与隐私权的研究，但若想完全分割隐私权与个人信息权利却并不容易。我国司法实践中也经常将个人信息以隐私权的形式救济4。从《民法典》的三次审议稿直至其最终颁布，立法者始终将隐私权与个人信息保护放在一起。这种体例上的编排无疑体现了这两种权利的密切关系，无法分割，单独成编。因此，我们不难发现个人信息权益实际上是隐私权的衍生形态，不能代表独立的法律利益。

　　第三，如果将个人信息保护视为人格权，那么个人信息权益就成了一种具有支配性的绝对权，目前难以实现。虽然知情同意原则已尽力保障信息主体的自由意志在个人信息权利中的核心地位，以实现个人对自身信息的控制能力。但在现实中，显然个人并不具有绝对支配其信息的可能性。数字时代，个人与信息处理者之间存在巨大的数字鸿沟(digital gap)与信息、市场地位、诉讼力量不对等等劣势。互联网巨头具有资本、技术等生产要素优势，个人要么选择妥协授权，要么选择退出，期望个人能够完全掌控其所产生的信息是不切实际的[9]。而且，个人无法知道自身产生了多少数据，也无法认识到这些信息有多少价值并与信息处理者进行博弈[10]。

　　必须指出的是，权益说也存在缺陷。因为权益说仅仅是现阶段民法部门中的最优解释。但个人信息保护已成为多个部门法的任务，民法的保护功能较为局限，其原因大概可以归为三点：一是缺乏侵权前的预防性，二是侵权后的救济力度不足，三是民法制度很难令个人隐私利益恢复至圆满状态。因此，只有“权利法”与“管理法”并重，才能从根本上保障信息主体的合法权益[11],显然权利说更适合于未来的发展趋势。本文只探讨民法规范的协调，因此更倾向于权益说。

　　二、个人信息保护与数字产业之利益衡量

　　个人权利与数字产业发展之间的价值位阶判断往往是裁判者需要常面临的难题。大数据时代下，许多信息都可能被认定为个人信息，过于严格的权利保护制度将会制约数据的流通与共享，降低市场运转效率。法律应如何平衡个人信息保护与数字经济发展之间关系?

　　(一)比较法的经验借鉴

　　虽然欧盟与美国对个人信息保护的初始认识较为相似，但是经过多年发展后，逐渐形成了不同的立法模式。“欧洲法重在保护人格自由……,美国法更多的采取消极被动的姿态。”[12]欧洲制定了第一部系统的、独立的《个人信息保护法》,其规范模式更加抽象，具有一般规则与特殊规则；而美国法则将个人信息权利纳入隐私权的范围，并采用具体规范模式，也就是创设信息处理行为的具体规范[13]。

　　1.欧盟的立法模式

　　欧洲法对隐私权持一种较为保守的态度，但对于个人信息权利却表现出较强的一致性，大有以个人信息权利取代隐私权的趋势。隐私权最早在美国诞生，被定义为私人生活的安宁[14]。在此以后很长一段时间，隐私权都未在欧洲大陆上确立其具体的地位。美国隐私权虽然是在英国判例基础上提出的，但英国法却一直未承认一般隐私权的地位。德国民法上没有所谓隐私权的概念，但在学说上提出了领域理论(Sph?rentheorie),通过一般人格权来保护个人领域。但是欧洲法对个人信息的保护尤为重视，进而将个人数据隐私视为基本权利，成了欧洲法律文化的一部分。《欧洲基本权利宪章》不仅宣示了人人有权保护个人数据，还确立了个人信息控制规则与公平处理数据原则等等。

　　2.美国相关立法

　　众所周知，美国没有人格权理论，美国个人信息保护的先驱是以信息控制的角度去审视隐私[15],它的体现是知情权、选择权等等，意图让信息主体决定个人信息的使用。知情权被认为是一切个人信息权利的前提，选择权是知情权的一个目的。信息控制论体现了将个人信息权利与隐私权相融合的思想[16]。换言之，它是从自由主义的角度发育出个人的隐私权利，即个人信息保护与隐私保护是基本相同的[17]。因此，很多美国学者并不重视个人信息与个人隐私的区别。

　　美国法重视数据的自由流动，提倡以财产规则保护个人信息，因为个人信息在市场中有被交易的需求。当然财产权的主张与信息控制论的观点也并不矛盾，他们认为将个人信息拟作一种商品，通过财产权保障个人对数据企业的协商议价能力，企业只有在协商成功之后才能获取信息并使用[18],才能达到保护个人信息的目的。

　　(二)欧美立法差异的原因分析

　　美国法之所以提倡更加自由的个人信息规范，根本原因是有利于其互联网产业的发展。众所周知，美国的数据产业在世界上可谓是独占鳌头，着名金融分析师玛丽·米克尔发布的《2018年互联网趋势报告》(后文简称《报告》)中的一组数据显示：全球市值排名前五的互联网企业均是美国公司[19]。而个人数据的存储量即是数据企业竞争时的商业壁垒。易言之，美国公司控制了大量的全球个人数据资源，只有自由的信息分享规则才能加强其互联网产业的主导地位，进而在世界竞争中保持优势。

　　由此我们可以看出，欧盟想要建立严格的个人信息人格制度，而美国则相对宽松地对待个人信息权利，它们都有各自内在的逻辑。欧盟个人信息权利法带有强烈的地区性色彩，其立法意旨是为了打压境外互联网企业在欧洲的垄断趋势，限制个人数据流出。自1960年起，欧盟数据产业就开始被美国所主导。20世纪70年代，欧盟委员会曾公布过一组数据：欧洲所用的个人计算机约90%需要依赖美国技术[20]。许多个人数据被美国公司收集，这引发了欧盟的恐惧。于是，欧盟打算通过立法严格地控制个人信息流转。很快欧盟成员国就在政治上达成一致，要塑造限制个人数据跨境转移的法律依据。为了限制数据资源流向第三国家，欧盟在立法方面做出了许多努力，例如1981年的《关于个人数据自动处理过程中的个人保护公约》、1995年的《关于个人数据处理中的个人保护与这些数据自由流动的指令》以及2016年的《一般数据保护条例》等等。在《欧盟基本权利宪章》第8条专门规定了个人数据权，使其独立于隐私权而存在，所以个人信息权利在欧盟法中也是宪法所保护的基本权利。如此一来，只要个人信息的保护程度不足基本权利的要求，监管部门就有足够的理由介入执法。而欧盟这些立法的目的只有一个，为行政执法提供正当性，打压美国企业，引导数据产业转向本土发展[21]。

　　(三)对我国的启示

　　目前学界不乏主张我国个人信息保护应趋于欧洲模式的观点，“个人信息保护虽涉及财产，但重心却在人格，这样的想法似乎很有道理，也被国内多数学者支持”[22],但美国法的模式似乎更适合我国国情。

　　个人信息对于数字社会的重要性不言而喻，但权利保护并非没有经济成本，社会发展效率也是国家与社会重点关注的因素。欧洲个人信息人权化的目的是打压美国高科技公司在欧洲数据处理市场中的垄断地位，进而引导欧洲用户回归本土互联网企业。而我国数据产业已占据世界领先地位，且大多都由本土企业所经营。《报告》中的一组数据表明，2013年全球前20互联网公司的排名分布是美国13家、中国3家，而到了2018年变为美国12家、中国8家。由此可见，当今世界的互联网经济格局已经形成了中美竞争的态势，欧盟已欠缺竞争力。这与欧盟设置法律壁垒进而连累了本土企业成长不无关系。

　　个人信息的立法还需要考虑其对社会的影响，而不能单纯立足于比较借鉴或者人权至上的法理讨论。偏向分享效率与保持部分人格化的法律路径，更加适合我国的实际情况。欧盟法虽有一定借鉴意义，但也应当保持一定谨慎，如果将个人信息保护泛人格权化，就可能对我国数字经济的发展态势造成伤害。同理，如果对个人隐私信息的保护力度过于宽松，也将会影响个人用户的使用信心，从而影响互联网经济的长期发展环境，所以需要灵活解释运用个人信息的人格权保护规则。我国个人信息立法的主要目标是平衡用户与企业、小企业与大企业之间的矛盾，防止形成垄断与滥用市场地位，甚至还需要鼓励互联网企业的海外发展。

　　综上所述，个人信息保护规则应当偏向美国的具体规范模式，避免将个人信息理解为抽象的人权或人格权益，滥用人格权请求权。当然权利的存在与保护也需要诉诸刑法或者民法的一般规则才能得以实现[23],因此如何适用个人信息保护规则尤为关键。个人信息保护需诉诸两种请求权模式：第一，人格权请求权。其具体范围以《民法典》的规定为限。第二，侵权责任请求权。侵权责任编中并没有详细的规定个人信息保护规则，只能根据其“一般规定”进行裁判。但一般规定过于纲领化，需要结合个人信息保护法与其他法律的规定，下文将详细论述。

　　三、个人信息保护之人格权规则

　　人格权请求权的制度优势可归为以下几点：第一，权利人请求侵权人承担人格权责任时不适用于诉讼时效(《民法典》第995条)。第二，人格权请求权可以主张被动的事后救济，但更加侧重于主动防范。因为人格一旦遭受损害，有可能无法恢复到原来的状态。所以，人格权请求权不要求行为人主观过错，当行为人妨碍了他人人格自由但不构成侵权时，权利人就可以发挥这种功能。第三，人格权请求权可以不要求当事人遭受实际损害。因为，在人格遭受损害时，被害人难以证明遭受损失的具体额度，根本无法举证。综上，对权利人而言人格权请求权的适用更加方便，减少了许多证明环节，因此也必须要注意防止个人信息人格权请求权的泛化。在适用时需要注意以下几个问题：

　　(一)人格权体系与人格权益体系的差别

　　个人信息权益不存在很强的独立性，在理论上更加接近于权能(Befugnisse)体系，因此，在适用时应当与权利体系具有一定差异。具体而言：

　　其一，权益不是绝对权，而是相对权，它只能是较低程度的民法保护。《民法典》对个人信息的保护具有相对性，只有违反了特定的规则(例如知情同意规则)时，个人才能主张人格权救济，并非对个人信息进行全面的保护。换言之，权利体系范围更大，只要侵害行为造成一定的损害后果，权利人就可以使用人格权请求权。例如：刺探他人私密空间的行为，都可能会被认定为侵害他人隐私权。而个人信息人格权益的范畴应当以《民法典》的规定为限。具体内容已经由法律明文规定：包括合理使用原则、知情同意规则(《民法典》第1035条、第1036条第一款),查阅、复制权，更正权与删除权(《民法典》第1037条)。只有当加害人违反上述规则时，才能被认定为侵害了信息主体的人格权益，解释空间较小。查阅、复制权的适用范围也比欧盟法小得多，仅限于本人的信息，这也体现了我国立法者对人格权益的谨慎态度。

　　其二，隐私权可以针对不特定的第三人，而个人信息权益只能针对特殊的主体，而不能针对不特定的第三人，包括个人或群体日常之收集、处理行为，甚至公权力机关的职权行为。例如新修订的《政府信息公开条例》第32条明确规定，第三方不同意公开其信息的需要有“合理”理由，明显不同于个人信息保护中的知情同意规则[24]。因为，现代信息保护法的思想源于公平信息实践原则[25],它所管束的是不平等的信息关系。当下个人信息保护的相关法律大多包含了此原则，例如，欧盟《一般数据保护条例》(General Data Protection Regulation)规定“自然人在个人或家庭活动中的个人数据处理”与“预防、侦查刑事犯罪或执行刑事处罚……的个人数据处理行为”不适用与此条例。美国虽然奉行“大隐私”的主张，个人信息权利被视为信息隐私，但其信息隐私和隐私权也存在适用主体上的差异，与欧盟法的思想也比较类似。我国《民法典》第1039条规定公权力机关对其在履行职能时所获悉的个人信息具有保密义务，这就相当于将国家机关依职权获取个人信息的行为排除在外，在一定程度上也体现了这一原则。

　　对此，也存在一些质疑的声音。有观点认为，如果将个人信息权益归为民事权益，就必须突破传统的民法理论，以不平等的民事关系看待个人信息保护[26]。笔者认为，传统民法理论也可以解释这种关系。诚然，在现实中个人相较于信息处理者的确处于劣势地位，但并不能因此认为个人信息权所调整的对象不属于民法中的“平等主体”。纵观民法调整主体的思想渊源，佟柔先生所理解的“平等主体”是“以商品经济关系为核心”[27],易言之，以平等关系为调整对象实际上是公私法的区分，即彼此不形成命令与服从的关系被称为私关系[28]。《民法典》虽未明确规定信息处理者的范围，但论及处于优势地位的信息者大多指的是公权力机关与企业。根据传统民法理论，公权力机关以公权力担当人的角色出现时即是公法关系，本就不属于平等主体的范围。企业与个人之间的地位失衡也不能认定为是命令与服从的关系，在事实中的不平等仍未跳出私关系的范围，所以不能就此理由将个人信息保护视为不平等民事主体之规范。综上，个人信息权益在本质上所针对的对象多为不平等的商业关系，而人格权可以适用于不特定的民事主体，二者在可适用的主体范围上有所差异。

　　其三，个人信息保护不是绝对支配权，因为信息主体并非对本人的信息享有绝对的支配权利，法律需要避免个人信息权益构成对信息分享、公众知情权等基本自由的限制。不能认为个人对其信息享有排他性的支配，个人信息权益人只能要求侵权人恢复其人格圆满状态，不能要求其他人给予同等程度的尊重。

　　(二)私密信息的性质

　　人格权编将个人信息分为一般个人信息与私密信息，并明确了私密信息优先适用隐私权的规定，一般个人信息适用个人信息保护的规定。解释论必须界定私密信息的性质，它决定了侵害他人私密信息的违法性应满足哪种体系的要件。

　　有观点认为，个人信息与个人隐私并非包含与被包含的关系，而是呈交叉关系，两者既有重合的部分又有相互独立的部分[29],私密信息即可能这个交叉的部分。又有一种当然的解释，《民法典》第1032条明确规定了私密信息属于个人隐私，因此私密信息是否当然的属于隐私权。笔者认为，私密信息应属于个人信息，并不是隐私权。理由有两点：第一，虽然私密信息属于个人隐私，但侵犯个人隐私不等同于损害了其隐私权，不能当然的将所有侵犯隐私的行为都理解为侵害隐私权。例如刺探个人隐私必须造成一定的不良影响，正常生活中打探他人隐私不能构成侵犯隐私权。第二，《民法典》第1033条规定，在没有法律特殊规定或主体明确同意的情况下，处理他人私密信息属于侵害他人的隐私权。可见侵害私密信息如要转化为侵害隐私权需另外满足两个条件：(1)没有法律与权利人的明确授权。(2)处理他人的私密信息。所谓“处理”源于欧盟《一般数据保护条例》,是指对个人信息的收集、储存、加工、传输、公开等行为[30]。不包括日常生活中所必需的打探、询问。因此，就私密信息而言，虽优先适用隐私权规则，但也只能针对上文所述的特定主体。

　　(三)人格权禁令的适用

　　《民法典》第997条创设了侵害人格权的诉前禁令制度，但目前还尚未确定适用条件，容易被权利人恶意滥用，因此也需要为之设计一些限定性程序。第一，条文的语义明确表达了诉前禁令只适用于侵害人格权的行为，并不包括权益。所以，诉前禁令制度只能适用于侵害私密信息的案件，不能适用于一般个人信息的侵权案件。第二，前提条件必须是“正在”或者“即将”发生的行为。“正在实施”较容易举证，那么如何证明“即将实施”侵害行为呢?同时需要注意的是诉前禁令系一种临时措施，它不等同于诉讼终局，权利人仍然需要提起诉讼才能实现权利救济。那么，法院是否应当对该申请进行胜诉审查呢?对此，主流观点认为申请禁令的人需要有较大的胜诉可能，需要达到“高度盖然性”的证明标准[31]。但也需要根据不同的权利作出判断，例如，生命权、健康权等标准应当从宽；名誉权、隐私权标准应当更加严[32]。因此，侵犯个人信息的诉前禁令需要举证达到近乎胜诉的可能性。第三，《民事诉讼法》中的诉前财产保全制度也类似于一种诉前禁令制度。为了防止权利人滥用诉前禁令，法律规定权利人申请禁令时需要提供担保(第101条),并且错误的申请诉前禁令需要赔偿(第105条)。那么，个人信息保护中的诉前禁令是否也需要如此呢?本文认为，个人信息权益可能无法像财产权益一样量化，错误的申请诉前禁令对于信息处理者的损害难以计算。只有达到一定规模的个人信息才具有财产价值，单一的个人信息难以用金钱衡量，信息处理者遭受的损害可以忽略不计。综上，防范滥用个人信息保护诉前禁令制度的关键在于，法官对于胜诉可能性的判断。

　　四、个人信息保护之侵权责任规则

　　毋庸置疑，民事权益受侵权责任法的保护，但《民法典》缺乏对个人信息权益的规定，立法效果并不理想。自2017年《民法总则》个人信息保护原则生效以来，侵犯个人信息的民事案件极其有限，这与个人信息民事纠纷维权成本高、因果关系证明困难、赔偿数额低有关[33]。因此，必须借助于其他的法律规定加以完善。本文着重讨论《民法典》与个人信息保护法的衔接适用问题，因为个人信息保护法既是新法也是特别法，适用顺位较高。

　　(一)术语统一

　　《个人信息保护法(草案)》与《民法典》在用语上存在差异。其中，比较明显的是法律文本中出现了另一种个人信息的分类，是将个人信息分为敏感信息与一般个人信息。于是，在衔接时必须明确敏感信息与私密信息的关系。

　　笔者认为，敏感信息应等同于民法典中私密信息。原因有以下几点：其一，敏感信息与私密信息在法律文件中的含义较为接近。法律曾明确的界定过敏感信息的概念，例如在《信息安全技术公共及商用服务信息系统个人信息保护指南》(后文简称《个人信息保护指南》)中曾提出了“个人敏感信息”的概念5,而《个人信息保护法(草案)》中所解释的“敏感信息”也基本沿用了该定义。并且，一些司法文件对于敏感信息的定义也与此类似6。虽然表述不完全一致，但核心思想都是加强对于隐私信息的保护。其二，《民法典》将个人信息分层的目的就是为了强化对私密信息的保护力度，敏感信息也具备相似的功能。《民法典》第1033条明确规定“除法律另有规定或者权利人明确同意外”,任何人不得处理他人私密信息。而《个人信息保护法(草案)》也有类似的规定7。由此可见，在信息主体授权的有效性这一个点上，两部法律的规定基本一致。换言之，对于信息主体而言，法律对私密信息与敏感信息保护强度并无差别。其三，权威学者认为，“敏感信息就是与私人生活安宁相关的信息”[34],而所谓的私人生活安宁也是法律所明确规定的隐私之范围。申言之，敏感信息即是与隐私相关的信息，几乎等同于私密信息。其四，自《规定》将敏感信息称之为“个人隐私”后，在司法实践中，敏感信息也曾被认定为是隐私权所保护的客体8。那么，敏感信息在实质上已经发挥了私密信息的功能。综上，应当将敏感信息与私密信息合并，没有必要过度区分。

　　(二)归责原则

　　将侵害个人信息理解为一般侵权行为是个人维权难题的重要原因，许多数据都被系统自动化收集与处理，对自然人而言，欲证明信息处理者存在过错极为困难。并且，许多侵犯个人信息的纠纷与侵权法的要件不相符合。对此有学者提出，未来侵害个人信息的民法责任应当统一适用无过错责任[35],这种观点值得认同。但目前侵权责任法仍是以过错责任为原则，适用无过错责任需要法律明确规定。而今还没有法律明确规定个人信息的侵权责任适用无过错责任，《个人信息保护法(草案)》中也没有补充此缺陷，笔者认为未来的立法可以对此进行完善。

　　如果未来的立法仍未确立无过错责任，在适用时可以考虑通过解释论的方法衡量行为人的主观过错，例如应将侵害个人信息的行为理解为特殊侵权，所谓特殊侵权即不要求具有圆满的侵权四要件[36],只要满足部分条件就可以确定侵权事实成立。又如可以以人格权编与个人信息保护法中的相关规定为依据，即只要违反了法律规定就应当判断信息处理者具有主观上的过错，不要求信息处理者的过错事实。总之，如果法律不能明文规定无过错责任，在实践中也应当弱化侵权人主观过错这一要件。

　　(三)损害赔偿

　　《民法典》第1182条规定侵害他人人身权益的赔偿数额应按照被侵权人遭受的损失或者侵权人获得的利益确定，如果难以确定且不能协商一致的数额由法院裁量。换言之，侵害他人个人信息的，如果侵权行为给被害人造成属于可计算的经济损害，例如财产损失，可鉴定的精神损害等等，这种情形当然需要损害赔偿。但如果是难以确定的损害，例如在人脸识别第一案，违规收集他人面部信息，并未产生实际损失或收益的，是否应当赔偿?

　　笔者认为，此种情况也应当予以赔偿，否则制度对于权利人而言是无意义的，举证与诉讼的过程已然非常困难，最终的结果也只是行使删除权，对于信息处理者而言基本没有违法成本。有学者提出损害赔偿数额可根据判例，做出有利于个人的解释，并在立法上应明确设置精神损害赔偿，笔者赞同此观点。进而，《个人信息保护法(草案)》第68条应当扩张，即侵犯个人信息权益的，就需要承担赔偿责任，当数额无法确定时，由法院裁量。

　　目前存在的另一缺陷是，司法文件只确定了赔偿金额的上限9,但没有确定赔偿下限，如此也会造成裁判中的困局。人格权益的价值不仅难以计算，而且容易被忽视。加上个人相对于互联网企业本就处于弱势地位，如不设置最低赔偿金额，那么维权的收益低、成本高的现象将继续存在。在未来立法中，最低赔偿金额也应予以完善。

　　结 语

　　“个人信息保护”的性质尚存较大争议，但其性质定位决定了制度刚性与价值位阶，不容忽视。个人信息保护在民法中应被视为民事权益，《民法典》奠定了个人信息保护的人格权益基础，从而体现了以人为本的立法理念。即便如此，也应统筹数字产业发展等基本社会利益，在信息有效流动的前提下，实现信息主体的人格利益。具体而言，个人信息权益的内涵应当具体化，避免权益泛化。个人信息权益的请求权二分为人格权请求权与侵权责任请求权，人格权请求权主要针对与隐私密切相关的信息，在适用时应当注意权益内容以人格权编的明文规定为限，谨慎适用人格权禁令。而侵权责任请求权还亟须完善，因为侵权责任编多为一般规定，其归责原则及损害赔偿规则等与个人信息保护规则的发展不相适应，在适用时还需结合个人信息保护法等特别法。同时，笔者建议《个人信息保护法(草案)》作如下修改：

　　(1)侵害个人信息的侵权责任应为无过错责任，将第六十八条第一款修改为：“因处理个人信息而造成他人损害的，信息处理者应当承担侵权责任。”取代原文中的“个人信息处理者能够证明自己没有过错的，可以减轻或者免除责任”。

　　(2)完善侵权损害赔偿规则。设置精神损害赔偿，在第六十八条第二款增加：“因处理个人信息对他人造成严重精神损害的，被侵权人有权请求精神损害赔偿。”设置最低赔偿金额，“个人因此受到的损失和个人信息处理者因此获得的利益难以确定的，由人民法院根据实际情况确定赔偿数额，赔偿金额不足xx元的，为xx元”。

　　参考文献

　　[1]郑晓剑个人信息的民法定位及保护模式[J]法学, 2021(3):116-130.

　　[2]房绍坤,曹相见.论个人信息人格利益的隐私本质[].法制与社会发展, 2019(4)-99-120.

　　[3]龙卫球数据新型财产权构建及其体系研究[J]政法论坛, 2017(4)66-77.

　　[4]郑维炜个人信息权的权利属性、法理基础与保护路径[J]法制与社会发展， 2020(6)-125-139.

　　[5]杨立新个人信息:法益抑或民事权利:对《民法总则》第111条规定的“个人信息”之解读[J].法学论坛, 2018(1):38-40.

　　[6]叶名怡论个人信息权的基本范畴[]清华法学， 2018(2):146-150.

　　[7]张荣顺中华人民共和国民法总则解读[M].北京:中国法制出版社, 2017:363.

　　[8]程啸.民法典编纂视野下的个人信息保护[J].中国法学, 2019(4):26-43.

　　[9]王怀勇，常宇豪个人信息保护的理念嬗变与制度变革[J]法制与社会发展, 2020(6):143-144.

　　[10]程啸论我国民法典中的个人信息合理使用制度[J].中外法学, 2020(4):1007.

　　[11]王成个人信息民法保护的模式选择J]中国社会科学, 2019(6):129.

　　[12]肪个人信息处理中的“同意与同意撤回”[J].中国法学, 2021(1):183.

　　[13]高富平论个人信息处理中的个人权益保护:“个保法'立法定位[J].学术月刊, 2021(2):116.

　　[14] Samuel D.Warren,Louis D .Brandeis. The Right to Privacy[J].Harvard Law Review,1890,4(5):205.

　　[15] Alan Westin. Privacy and Freedom[M] New York:Atheneum Press,1967:7.

　　[16]倪蕴帷.隐私权在美国法中的理论演进与概念重构一基 于情境脉络完整性理论的分析及对中国法的启示[J]政治与法律, 2019(10):152.

　　[17]高富平.论个人信息保护的目的一以个人信息 保护法益区分为核心[J]法商研究, 2019(1);:93-104.

　　[18]劳伦斯莱斯格代码:塑造网络空间的法律[M].李旭,等译,北京:中信出版社, 2004:197.

　　[19]玛丽米克尔2018年互联网趋势报告[EB/OL].[2020-11-23] htps /tech .qq .com/a/20180531/003593 .htm#p=1.

　　[20] CEC. Communication Concerninga Community Policyfor Data Processing[M] SEC(73)4300Final,1973:1.

　　[21]张金平.欧盟个人数据权的演进及其启示利小]法商研究，2019(5):184.

　　[2]刘泽刚欧盟个人数据保护的“后隐私权”变革[J]华东政法大学学报, 2018(4):58.

　　[23]彼得斯坦,约翰香德西方社会的法律价值[M].王献平,译北京:中国人民公安大学出版社, 1989:41.

　　[24]徐丽枝涉隐私政府信息公开中的"第三方同意[J.齐鲁学刊, 2019(5):95-101.

　　[25]丁晓东.论个人信息法律保护的思想渊源与基本原理:于公平信息实践”的分析[J]现代法学，2019(3):97.

　　[26]丁晓东个人信息权利的反思与重塑:论个人信息保护的适用前提与法益基础[J]中外法学, 2020(2):344.

　　[27]佟柔中国民法学民法总则[M].北京:中国人民公安大学出版社，1990:8.

　　[28]朱庆育.民法总论[M].2版北京:北京大学出版社, 2016:11.

　　[29]张新宝.从隐私到个人信息:利益再衡量的理论与制度安排[J].中国法学, 2015(3):39.

　　[30]程啸我国《民法典》个人信息保护制度的创新与发展[J]财经法学, 2020(4):41-42.

　　[31]王利明论侵害人格权的诉前禁令制度[]财经法学, 2019(4):11-12.

　　[32]王泽鉴.人格权法[M].北京:北京大学出版社, 2013:390.

　　[33]王苑个人信息保护在民法中的表达: 兼论民法与个人信息保护法之关系[J]华东政法大学学报, 2021(2)-.72.

　　[34]王利明数据共享与个人信息保护[J].现代法学, 2019(1);55.

　　[35]程啸论侵害个人信息的民事责任[J]暨南学报(哲学社会科学版).2020(2):42.

　　[36]国征证明责任应为-般侵权责任与特殊侵权责任的划分标准[J].齐鲁学刊, 2014(1):96.

　　注释

　　12020年11月20日，法院以擅自变更合同履行方式为由，判决被告杭州野生动物世界有限公司返还原告郭兵未履行的合同价款。但是，驳回了原告其他的损害赔偿之诉讼请求。参见余建华：《采集利用消费者个人信息需尊重个人选择权》,《人民法院报》,2020年12月2日第003版。

　　22021年4月29日，全国人大公布了《中华人民共和国个人信息保护法(草案二次审议稿)》(以下简称《个人信息保护法(草案)》)。

　　32018年8月27日至31日召开的第十三届全国人大常委会第五次会议中，全国人大常委会法制工作委员会主任沈春耀说，立法机关在“人格权编草案一审稿”中之所以规定“隐私权和个人信息”,是因为隐私权和个人信息保护领域存在突出的问题，故而，需要在现行法律规定基础上，“进一步强化对隐私权和个人信息的保护，并为即将制定的个人信息保护法留下衔接空间”。参见沈春耀：《关于〈民法典各分编(草案)的说明〉——2018年8月27日在第十三届全国人民代表大会常务委员会第五次会议上》。转引自程啸：《民法典编纂视野下的个人信息保护》,《中国法学》2019年第4期，第32页。

　　4参见“廖萍诉曾军隐私权案”,北京市海淀区人民法院(2009)海民初字第11219号；“孙某某诉中国联合网络通信有限公司上海市分公司侵害隐私权案”,上海市浦东新区人民法院(2009)浦民一初字第9737号；“吴铭慎与李举明等隐私权纠纷上诉案”,广东省广州市中级人民法院(2011)穗中法民一终字第3675号；“王菲诉张乐奕名誉权纠纷案”,北京市第二中级人民法院(2009)二中民终字第5603号等。

　　5个人敏感信息(personal sensitive information)一旦遭到泄露或修改，会对标识的个人信息主体造成不良影响的个人信息。例如个人敏感信息可以包括身份证号码、手机号码、种族、政治观点、宗教信仰、基因、指纹等。

　　6《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》中，第十二条将个人隐私信息列举为“自然人基因信息、病历资料、健康检查资料、私人活动等等”。

　　7《个人信息保护法(草案)》第30条规定，“处理敏感个人信息的，个人信息处理者应当取得个人的单独同意”。

　　8参见国家法官学院案例开发研究中心：《中国法院2019年度案例人格权纠纷：含生命、健康、身体、姓名、肖像、名誉权纠纷》,中国法制出版社2019年版，第54田某某诉某银行营业管理部等隐私权案。

　　9最新实施的《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》(法释[2020]17号)第12条第二款，被侵权人因人身权益受侵害造成的财产损失以及侵权人因此获得的利益难以确定的，人民法院可以根据具体案情在50万元以下的范围内确定赔偿数额。