凤凰新闻社

文章标题:个人信息权的法律规制及侵权责任追究(二)宋才发教授

添加时间:2026-06-08 10:45:39

个人信息权的法律规制及侵权责任追究(二)


宋才发教授


凤凰新闻社讯


(承前页)三、处理个人信息行为法律规制

信息数据是维系人们稳定的社会生活的基本要素。《宪法》第五十一条公民行使自由和权利的限度划定界限,即公民在行使自由和权利的时候,不得损害国家的、社会的、集体的利益和其他公民的合法的自由和权利”,“个人信息自由”条款载入《宪法》所产生的价值和效力,使得“个人信息自由的规范需求,成为推动社会法治变迁的重要力量。

(一)构建处理个人信息行为合法性判断标准

处理个人信息的合法性判断标准取决于对行为规范的准确把握。《民法典》《个人信息保护法》较为系统地规制了个人信息合理利用制度,为信息处理主体合理利用个人信息,提供了制度依据和法律遵循。具体地说,就是明确合理利用个人信息数据一般原则,包括正当、必要权利不得滥用原则;维护国家信息安全和社会公共利益的需要,明确有条件地利用公民已经公开的个人信息,等等。就个人信息的防御权而言,要有效发挥其作用还必须确立对基本权利限制的限制。《宪法》第三十三条规定,国家尊重和保障人权”。公民基本权利价值只有体现《宪法》的宗旨,才能为防御权奠定稳固的宪法根基。在解释适用基本权利时诉诸基本权利价值,也与我国以《宪法》精神作为合宪性审查依据的实践相融洽。2023年修正的《中华人民共和国立法法》(以下简称为《立法法》),第五条增加规定:“立法应当符合宪法的规定、原则和精神”。在公民基本权利领域内,《宪法》精神可以理解为基本权利价值。《民法典》第一百一十一条规定,“任何组织或者个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。”这条法律不只是一般性地规定“自然人的个人信息受法律保护”,同时还对公共机关抑或主体取得、使用传输个人信息行为设定了义务规范。

(二)构造处理个人信息数据的双重公法保护框架

个人信息处理的自由范围建立个人信息处理规范的依据。《个人信息保护法》第十三条规定的七项个人信息处理规范的适用主体,应当包括公共部门私营部门”在内。当下公私法的思路下,公共部门仅能适用部分规范,总体上以禁止处理个人信息为原则,仅因履行法定职责、维护公共利益,才能够处理公民个人信息私营部门则可适用全部规范,总体上以允许处理个人信息为原则,只有违反禁止性规定”,才不允许其处理个人信息。“法无授权即禁止”和“法无禁止即自由”,本质上决定着个人信息处理的自由范围”。无论是对公民个人信息数据行为予以确权,还是保护个人信息数据的财产权益,都需要进行公法构造、确立一个信息数据处理秩序。《民法典》第一百二十七条和《中华人民共和国数据安全法》第七条,都强调“国家保护个人、组织与数据有关的权益,鼓励数据依法合理有效利用,保障数据依法有序自由流动”。以数据确权为代表的生产要素权属主张是“要素财产权”,平台企业以制定和执行在线规则的方式,承担发展数字经济和一定意义上的公共管理职能,构成了架构信息数据财产权的主体性和规范性基础,达到保护其通过大量投入而构建出的虚拟空间利益。构建平台经济的思路和运作模式,实际是以个人信息数据为对价获得免费服务的。我国建立要素市场化配置体制机制的政策,目的指向在于促进信息要素自主有序流动,提高要素配置效率和公平性。

(三)构建规范处理个人敏感信息的界定标准

《民法典》《个人信息保护法》规制了敏感个人信息的界定标准。隐私权与个人信息经常被混同使用,企业也经常将其个人信息的“告知同意”称为“隐私政策”,因而当下迫切需要厘清隐私权保护与个人信息保护的关系。《民法典》第一千零三十四条,把个人信息区分为“敏感个人信息”与“非敏感个人信息”,强调对敏感个人信息实施特殊法律保护。因此,《个人信息保护法》进一步筑牢了个人信息处理的安全边界,明确了敏感个人信息的界定标准和处理规则,为敏感个人信息保护提供了基本法律指引。《个人信息保护法》第二十八条规定,只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息”。众所周知,当下的快递企业为民众生活带来巨大便利的同时,个人信息“裸奔”的风险性日益凸显,而且还持续不断增大和加剧快递面单上收件人的家庭住址、手机号码、姓名一应俱全的个人信息,在快递流通的所有环节以及快递外包装被丢弃后,屡屡引发人们对于个人信息外泄的担忧和恐慌。一些不法之徒正是看到快递面单背后的“商机”和利益,以致利用快递面单非法搜集公民信息的案件频频发生。所以2017年起,快递企业和服务平台尝试推行隐私面单2022年国家邮政局、公安部、国家网信办三部门联合决策施策,提出了年内实现邮政快递隐私面单全覆盖的时间表,彻底扭转部分快递企业的观望态度,促使隐私面单真正成为快递企业的主动作为和应尽义务

四、侵害个人信息权益责任追究

个人信息侵权颠覆了传统侵权法赖以建立的社会场景《个人信息保护法》对侵害个人信息权益民事责任作出特别规定,《个人信息保护法》第六十九条规定处理个人信息侵害个人信息权益造成损害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任”。该规定在阐明对个人信息进行民事责任保护价值定位的同时,还表明行政机关处理个人信息应当接受精细严格的法律约束。未来应当把行政机关和政府职能部门具有较高权利侵害风险的信息处理行为认定为具有权利限制属性的行为,进而在法律或行政法规中明确规定该种处理行为的目的、范围和方式等既要防止行政活动成为个人信息保护的“法外之地”,又要避免过度繁琐的授权要求导致行政活动动辄得咎影响行政执法的效率与灵活性

(一)构建个人信息安全法治保障体系

个人信息安全保护是一项独特的民事法律制度。“人格权”历来是民事权利体系中当仁不让的一项权利,“人格权”是“个人信息保护”极为重要的一项权利。然而从1956年到改革开放初期的1979年,我国《刑事诉讼法》和《人民法院组织法》,一直惯性地使用“阴私”的提法。直到20世纪90年代初,国家立法才普遍采用以“隐私”代替原来的“阴私”概念。如1982年《民事诉讼法(试行)》、1996年《刑事诉讼法》,都明确地把“阴私”改称为“隐私”。《民法典》第一千零三十二条规定:“自然人享有隐私权。任何组织或者个人不得以刺探、侵扰、泄露、公开等方式侵害他人的隐私权。”自此“隐私权”被定义为一种与世隔绝和对抗的个人权利。2012年全国人大常委会制定《关于加强网络信息保护的决定》,自此个人信息保护进入国家立法视野,个人信息权的保护进入法治化道路。个人信息保护的客体是个人信息,其范围囊括已经识别的、可识别的特定个人信息。个人信息数据的社会价值在于,通过必要而合理的数据采集,形成供国家机关和社会公益性使用的“数据库”,从而具备了单个数据所不具备分析的价值。凡未获得当事人的同意抑或许可,不得违法收集、储存乃至使用这些信息。在对待个人信息保护的问题上,任何组织或者个人都是义务主体,即都不得侵害他人的“人格权”,不得传播他人的“隐私”,法律从来就没有规定“排除”或“克减适用”的例外情形。信息主体不仅可以对抗平等民事主体,而且还可以对抗公权力部门,即使国家机关同样需要尊重和保护个人的信息控制权。《民法典》第一千零三十九条对国家机关和执行公务工作人员做出了强制性的规制。规定“国家机关、承担行政职能的法定机构及其工作人员对于履行职责过程中知悉的自然人的隐私和个人信息,应当予以保密,不得泄露或者向他人非法提供。”这条规定实质上是对信息处理者处理个人信息,从立法上提出了更加明确的、具有强制性的法律约束,扩展了对个人信息保护的广度、力度和深度。《刑法修正案(九)》规定了“侵害公民信息罪”,凡属于构成人格侵权民事责任的,侵害人必须承担侵权责任赔偿。当社会进入大数据时代后,必须依法确立信息主体的个人信息控制权,严明信息主体控制自己信息不被信息控制者违法处理或滥用的权利,应当成为个人信息保护制度运行的基石。就目前法律规制看,主要是依据《民法典》和《个人信息保护法》两部法律,将个人信息保护的相关事项予以系统化、规范化和法治化的。构建个人信息安全法治保障体系,把个人信息保护系统化、规范化和法治化的根本目的只有一个,就是为了依法维护个人隐私权、信息主体的人格权。

(二)构建个人信息保护请求权法律规范

个人信息保护请求权与人格权请求权、侵权损害请求权之间存在着密切的关联个人信息保护请求权一种新型请求权,信息主体与司法机关需要法律条文规范理解的明确指南。当下个人信息保护请求权规范的基础,在不同的法律学说中呈现多种不同形式的排列组合个人信息保护请求权是指个人信息主体向个人信息处理者抑或人民法院以恢复个人信息权益至圆满状态的意志表示。之所以将其称之为“个人信息保护请求权”,是因为《个人信息保护法》规制的个人信息权利体系,是基于“个人信息受保护权”基本权利予以赋权《个人信息保护法》第五十条规定了个人信息保护请求权的具体行使方式,即个人信息处理者应当建立便捷的个人行使权利的申请受理和处理机制。拒绝个人行使权利的请求的,应当说明理由。”《个人信息保护法》第五十条同时还规定,公民个人就个人信息保护请求权提起司法诉讼的,应当以个人信息处理者拒绝其行使权利的请求为前提。受理案件的人民法院在处理个人信息保护请求权纠纷的时候,应当依据法律、行政法规的规定,对个人信息处理者拒绝个人行使权利的正当性进行司法审查。《个人信息保护法》第一条明确宣示,“根据宪法,制定本法”。与此同时,个人信息保护法体系构建法治基础是国家在宪法对公民所负有的保护义务。这项义不容辞的义务对应的是“个人信息受保护权”,而不是“个人信息权”。强调个人信息保护权的基本权利属性,表明法律保护公民个人信息不但是国家所负有的义务,而且具有可以对抗公权力机构的效力。因而把个人信息作为私权客体的权利予以保护模式,应“个人信息受保护权—国家保护义务”框架进行构建。

(三)构建个人信息权益损害赔偿规范体系

大数据正在深刻重塑传统生产方式和经济发展模式数据与算力、算法结合形成新质生产力推动全要素生产率提升。大数据是信息化、数字化时代最重要的生产要素,侵害个人信息数据权益的行为涉及民事、刑事及行政侵权责任,因而侵害个人信息数据权益的行为必将导致损害赔偿,既包括对公民个人财产损失的物质损害赔偿,也包括对公民个人精神损害的精神损害赔偿。《民法典》第一百二十七条,就设置了对个人信息权利人数据财产、网络虚拟财产保护的规定,通常被法学界称之为“特别法的规定”。“特别法是指针对特定领域、事项抑或群体制定的具有优先效力的法律规范,它的核心特征是与一般法形成补充或细化关系,并在适用时遵循“特别法优于一般法”的原则。即是说,对公民个人信息数据权益的保护,如果有“特别法”的规定,数据权益侵权损害赔偿就应当依据“特别法”予以处理;如果没有“特别法”的规定,数据权益侵权损害赔偿就应当按照“一般法”进行调整。特别法一般法对同一事项规定不一致时,依据《民法典》第十一条规定,应当优先适用特别法“一般法”的规定看,“一般法是指在全国范围内对普遍主体、普通事项及常规时间均适用的法律类型,它的突出特征在于调整对象的广泛性和效力的普遍性如果信息处理者对个人信息数据权益的侵害导致财产损失的,应当按照《民法典》第一千一百六十五条第一款和第一千一百八十二条的规定予以调整;对其侵害行为导致精神损害的,应当按照《民法典》第一千一百六十五条第一款并结合第一千一百八十三条第一款的规定予以调整。《个人信息保护法》第五十条规定,个人信息处理者“拒绝个人行使权利的请求的,应当说明理由”。但是《个人信息保护法》并没有明确规定个人信息处理者,到底享有哪些可以拒绝个人行使权利的正当理由个人信息处理者拒绝个人行使权利的理由究竟是否正当?现行法律法规、司法解释和现行政策都没有明文规定,最终的判断权利只能交由人民法院来决定和行使个人信息权益保护民事公益诉讼程序,信息化、数字化时代维护公共利益的重要法律机制,其核心在于通过司法程序对大规模个人信息侵权行为进行规制是解决现代风险社会治理问题的重要举措。《个人信息保护法》第七十条规定,把个人信息纳入公益诉讼范围,授权检察机关、消费者组织网信部门指定组织机构提起诉讼,形成刑事+行政+民事的三重保护机制未来需要在总结实践经验的基础上,探寻建立以修复、预防为核心的“双层”个人信息公益诉讼损害赔偿认定架构,同步探索构建数字生态环境损害鉴定评估机制。

(四)构建侵害个人信息罪的责任追究体系

《刑法》规定的侵犯公民个人信息罪是保护公民个人信息权益的关键罪名。《中华人民共和国刑法》以下简称为《刑法》第二百五十三条之一规定侵犯公民个人信息罪”,是针对信息处理者非法获取、出售抑或提供公民个人信息行为的专项罪名,犯罪的客体主要是侵犯公民个人身份信息安全和身份管理秩序,涵盖信息权利人的姓名、身份证号、联系方式、家庭住址、行踪轨迹等可识别特定自然人的信息数据资料。《刑法》第二百五十三条之一规定向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金情节特别严重的,处三年以上七年以下有期徒刑,并处罚金”。《刑法》规制的侵犯公民个人信息罪”,属于较为典型的法定犯法定犯”通常又称行政犯”,其核心特征在于具有双重违法性,即同时违反前置性行政法规和刑法规范理论界和司法界均有把“为合法经营”,作为犯罪成立要件要素的观点,人民法院也比较倾向于把“为合法经营”,作为侵犯公民个人信息犯罪成立的条件对待。认为个人信息处理者如果能提供证据证明其购买个人信息是用于合法经营,且无其他证据证明其对外出售,那么,就应当认定其行为符合“为合法经营活动而非法购买、收受”情形,只要不存在《刑法》规定的“情节严重”的情形,就不构成相关犯罪。这里需要指出的是,无论法律实务界对“为合法经营”酌定从宽处罚情节的定位,还是理论界对“为合法经营”从宽处罚情节,甚至是降低责任刑情节的定位,事实上都是欠妥当的、不周全的观点。因为《个人信息刑事解释》第六条第一款,对“为合法经营”而非法购买、收受一般公民个人信息形塑了“专门的定罪规则”。法律规范上的空白罪状”,刑法分则中通过援引其他法律规范,借以明确犯罪构成要件的一种立法技术譬如,2015年《刑法修正案(九)》,就将“出售、非法提供公民个人信息罪”,修改为“侵犯公民个人信息罪”,并以“违反国家有关规定”取代了“违反国家规定”。《个人信息司法解释》第二条将“国家有关规定”解释为“违反法律、行政法规