周學(xué)峰

(北京航空航天大學(xué) 法學(xué)院，北京 100083)

近年來，個人信息保護已成為一個受到社會各界關(guān)注的熱門話題，特別是在“徐玉玉”案①之后，加強個人信息保護立法的呼聲越來越高。2018年9月，全國 人民代表大會常務(wù)委員會(以下簡稱“全國人大常委會”)公布的《十三屆全國人大常委會立法規(guī)劃》中，《個人信息保護法》正式被列入第一類項目，即“條件比較成熟、任期內(nèi)擬提請審議的法律草案”[1]。盡管立法進程正在加速進行，然而，與個人信息保護法律制度有關(guān)的許多理論問題在學(xué)術(shù)界仍存在爭議，如果這些理論問題得不到妥善解決，勢必會影響到立法質(zhì)量以及立法通過后人們對它的解讀。

與個人信息保護相關(guān)的理論問題非常多，限于篇幅，文章選取三個關(guān)鍵詞，并以此為中心，就其所涉及的三個基礎(chǔ)性問題進行探討，即如何界定個人信息的概念，如何看待信息主體所享有的個人信息權(quán)益的性質(zhì)，如何確定個人信息保護的立法路徑。上述三個問題具有緊密的邏輯關(guān)系，對于個人信息的概念界定會影響到對個人信息權(quán)益的性質(zhì)認(rèn)識，而對個人信息權(quán)益性質(zhì)的認(rèn)識會影響到個人信息保護立法的路徑選擇及其與民法的銜接，因此，文章將依順序?qū)ι鲜鋈齻€問題進行探討。

一、個人信息概念的界定

個人信息保護立法首先要解決個人信息概念界定的問題，其不僅會影響到個人信息保護規(guī)則的設(shè)計，而且還決定了該部法律的適用邊界。從現(xiàn)有的立法來看，關(guān)于個人信息概念的界定并不完全一致：2012 年12月全國人大常委會頒布的《全國人大常委會關(guān)于加強網(wǎng)絡(luò)信息保護的決定》將保護對象規(guī)定為“能夠識別公民個人身份和涉及公民個人隱私的電子信息”②。2013年7月工業(yè)和信息化部頒布的《電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定》將個人信息定義為：“電信業(yè)務(wù)經(jīng)營者和互聯(lián)網(wǎng)信息服務(wù)提供者在提供服務(wù)的過程中收集的用戶姓名、出生日期、身份證件號碼、住址、電話號碼、賬號和密碼等能夠單獨或者與其他信息結(jié)合識別用戶的信息以及用戶使用服務(wù)的時間、地點等信息?！雹?016年11月全國人大常委會頒布的《網(wǎng)絡(luò)安全法》則將個人信息限定為可識別自然人個人身份的信息，包括能夠單獨識別個人身份的信息和“與其他信息結(jié)合識別自然人個人身份的各種信息”，并進行了列舉④。2017年4月最高人民法院和最高人民檢察院發(fā)布的《最高人民法院、最高人民檢察院關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》亦對“公民個人信息”進行了概念界定，其包括兩類信息，即能夠識別特定自然人身份的信息和反映特定自然人活動情況的信息。就識別自然人身份信息而言，其采取了與《網(wǎng)絡(luò)安全法》近乎相同的表述。目前，全國人大常委會待審議的《民法典(草案)》之“人格權(quán)編”亦對個人信息進行了界定：“個人信息是以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別特定自然人的各種信息?！痹摱x與《網(wǎng)絡(luò)安全法》所采取的定義類似，但不同之處在于，《民法典(草案)》中的定義刪除了“個人身份”的字眼，并且，其列舉的個人信息項目要較《網(wǎng)絡(luò)安全法》更多⑤。

從國外有關(guān)個人信息保護的立法來看，歐盟《一般數(shù)據(jù)保護條例》(GDPR)第4條第(1)項將個人數(shù)據(jù)界定為“與一個已被識別或可被識別的自然人相關(guān)的任何信息”，其在界定“可被識別的自然人”時使用了可直接識別和可間接識別的概念⑥。在美國聯(lián)邦層面，并不存在類似于歐盟《一般數(shù)據(jù)保護條例》意義上的一般性的個人信息保護立法，而是存在多部專門適用于某一領(lǐng)域的個人信息保護立法，其關(guān)于個人信息的概念界定僅服務(wù)于特定的立法，盡管如此，通過研究后仍可發(fā)現(xiàn)，多數(shù)法規(guī)都將“個人的可識別信息”(PII)作為界定個人信息的基礎(chǔ)[2]。

從上述國內(nèi)外立法或立法草案中可以看出，盡管其對個人信息的概念界定存在一定的差異，但是，都將可識別個人身份的信息作為界定個人信息的基石。從中國國內(nèi)的立法來看，在《電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定》之后的立法都將個人身份信息進一步區(qū)分為兩類：能夠單獨識別個人身份的信息和“與其他信息結(jié)合識別自然人個人身份的各種信息”。其可以與歐盟《一般數(shù)據(jù)保護條例》中的可直接識別個人身份信息與可間接識別個人身份信息相對應(yīng)。就可單獨識別個人身份的信息而言，其在認(rèn)定時爭議較少。值得討論是，與其他信息結(jié)合識別自然人個人身份的信息的界定。

無論是中國還是歐盟或美國的相關(guān)立法都沒有說明所謂“能夠識別”，是指“誰”能夠識別？此處欠缺一個主語，其顯然不是指被識別的自然人本人，即“信息主體”，否則的話，與自然人有關(guān)的一切信息均可被認(rèn)為是個人信息，其過于寬泛而失去定義的意義。這意味著對個人信息概念的界定不應(yīng)從信息主體的主觀角度出發(fā)，而是應(yīng)從外部視角來界定。那么，究竟應(yīng)該從哪些外部人的視角來進行界定？對此，可以作兩種理解：一種是客觀視角，只要是信息主體以外的任何一人能夠使用其掌握的其他信息進行結(jié)合而可以識別出信息主體的身份，那么，該信息便可歸屬為個人信息。另一種是，應(yīng)當(dāng)以那些收集、處理個人信息并對此負(fù)有法律義務(wù)的人能否識別出個人身份作為判斷標(biāo)準(zhǔn)，此類主體在不同的法律背景下有不同的稱謂⑦，中國《民法典(草案)》和歐盟《一般數(shù)據(jù)保護條例》將其稱之為“信息控制者”或“數(shù)據(jù)控制者”⑧。歐盟《一般數(shù)據(jù)保護條例》在序言部分第26段中稱：“為判斷自然人身份是否可以識別，需要考慮由數(shù)據(jù)控制者或其他人為了直接或者間接地識別出自然人而可能使用的所有合理手段?！睂υ摱挝淖值睦斫庖嗤瑯映錆M爭議。

對于上述疑問，歐盟的司法機關(guān)歐洲法院在2016年的一起案例中對此作出了闡釋，其雖然是對歐盟1995年個人數(shù)據(jù)保護指令中相關(guān)條款的解釋，但是，鑒于歐盟1995年指令與歐盟《一般數(shù)據(jù)保護條例》關(guān)于個人數(shù)據(jù)的界定存在實質(zhì)性相同之處，因此，該判決今天仍有借鑒意義。在該案例中，歐洲法院判定，網(wǎng)絡(luò)媒體服務(wù)提供者所收集的用戶登錄其網(wǎng)站時的動態(tài)IP地址，相對于該服務(wù)提供者而言，只要其能夠從第三方(該用戶的網(wǎng)絡(luò)服務(wù)提供者ISP)處獲得額外的信息從而能夠識別出用戶的身份，就屬于個人數(shù)據(jù)⑨。由該判決可以看出，歐洲法院采取的是數(shù)據(jù)控制者判斷標(biāo)準(zhǔn)，但是，歐洲法院強調(diào)，在判斷一項數(shù)據(jù)是否屬于個人數(shù)據(jù)時，不能僅從數(shù)據(jù)控制者自身所有的其他數(shù)據(jù)來進行判斷，還應(yīng)當(dāng)包括其有可能合法地從第三人獲得的其他數(shù)據(jù)。

對上述問題的回答非常重要。在實踐中，對于許多個人身份信息而言，即使將明確標(biāo)識身份的元素去除，他人仍有可能借助其他相關(guān)信息進行組合或配比，從而可以使其變得重新可被識別，美國已有多次慘痛的事例教訓(xùn)可以證明這一點，而許多事例都是發(fā)生在“大數(shù)據(jù)”(Big Data)這一概念流行之前⑩。在當(dāng)今大數(shù)據(jù)時代，可識別個人身份的數(shù)據(jù)與不可識別個人身份的數(shù)據(jù)的界限正在變得模糊，對于擁有大量數(shù)據(jù)的當(dāng)事人而言，其可以使用數(shù)據(jù)挖掘技術(shù)，從大量單獨的無法直接識別個人身份的數(shù)據(jù)中“挖掘”出數(shù)據(jù)主體的身份信息。然而，并非每一個人都能擁有進行間接識別所需的“其他信息”，也并非每一個人都能擁有同等的信息處理技術(shù)水平。如果采取絕對意義上的客觀說，那么，每一位 有可能從他人處采集信息的當(dāng)事人都將面臨巨大的法律風(fēng)險，因為其將難以判斷所收集的信息是屬于個人信息還是非個人信息，在其眼中的非個人信息有可能是他人眼中的個人信息，導(dǎo)致的結(jié)果有可能如一些學(xué)者所言：“除了純粹的機器、傳感器和天氣數(shù)據(jù)外，不再有非個人的數(shù)據(jù)了?！盵3]如果采取歐洲法院所主張的相對說，則可以大大緩解那些數(shù)據(jù)控制者的法律責(zé)任風(fēng)險，因為數(shù)據(jù)控制者可以從自身所擁有的數(shù)據(jù)以及合法地從第三處獲得的數(shù)據(jù)出發(fā)，根據(jù)當(dāng)前的數(shù)據(jù)處理技術(shù)，來對所欲收集的數(shù)據(jù)的屬性進行判斷。

在文章看來，歐洲法院所采取的認(rèn)定標(biāo)準(zhǔn)值得贊同，但是，需要說明的是，歐洲法院在認(rèn)定可識別的個人信息時，并非單純依賴數(shù)據(jù)控制者的主觀判斷標(biāo)準(zhǔn)，而是在一定程度上亦使用了客觀標(biāo)準(zhǔn)。事實上，無論是歐洲法院，還是歐盟《一般數(shù)據(jù)保護條例》序言部分的說明文字，都強調(diào)在認(rèn)定可識別數(shù)據(jù)時要考慮數(shù)據(jù)控制者“有可能采取的合理的”(Likely Reasonably)手段，包括進行身份識別所需的費用和時間、識別時可以利用的技術(shù)，以及未來的技術(shù)發(fā)展等因素。因此，嚴(yán)格來講，歐洲法院采取的是“相對標(biāo)準(zhǔn)”而非“主觀標(biāo)準(zhǔn)”，是將個人數(shù)據(jù)的認(rèn)定問題放到了數(shù)據(jù)主體與數(shù)據(jù)控制者這一相對關(guān)系中來處理的，這意味著，離開了這一相對關(guān)系將無從對個人數(shù)據(jù)進行界定，換言之，同樣一類數(shù)據(jù)，對于有些人而言其屬于個人數(shù)據(jù)，而對于另外一些人而言則不屬于個人數(shù)據(jù)。由于個人信息主體會持續(xù)不斷地與不同的主體進行交易或者社會交往而產(chǎn)生數(shù)據(jù)收集問題，因此，在有些學(xué)者看來，個人信息的邊界是動態(tài)的，因人因事因時而異，只能基于場景(Context)進行風(fēng)險評估，脫離具體場景進行抽象的界定并無任何意義[4]。

二、個人信息權(quán)益的性質(zhì)

就個人信息應(yīng)受法律保護這一點而言，比較容易達成社會共識，但是，對于如何對個人信息進行保護則眾說紛紜。從私法的角度來看，如果說個人信息應(yīng)受法律保護，那么，就意味著信息主體對于其個人信息享有一定的權(quán)益，但是，其究竟是屬于“權(quán)利”還是僅為一種“法益”，在學(xué)術(shù)界存在分歧。2017年頒布的《民法總則》在第五章“民事權(quán)利”部分第111條規(guī)定：“自然人的個人信息受法律保護?！睂Υ?，存在兩種解讀：一種觀點認(rèn)為，立法者雖然沒有使用“權(quán)利”這一表述，但是，仍應(yīng)將其解釋為自然人對其個人信息享有“個人信息權(quán)”，其性質(zhì)系具體人格權(quán)的一種類型[5]。另一種觀點則認(rèn)為，應(yīng)將《民法總則》第111條的規(guī)定解釋為行為規(guī)制模式，而非權(quán)利化模式，個人信息利益系一種受法律保護的利益而非權(quán)利，系“通過對行為的控制，為個人信息利益支撐起一片天空”[6]。

在文章看來，由于《民法總則》第111條對個人信息保護的規(guī)定非常簡略，因此，對個人信息權(quán)益的性質(zhì)進行分析時，應(yīng)當(dāng)跳出《民法總則》的現(xiàn)有規(guī)定，而從國內(nèi)外現(xiàn)有的關(guān)于個人信息保護的具體規(guī)定來進行分析。以歐盟的《一般數(shù)據(jù)保護條例》為例，其被許多人認(rèn)為系當(dāng)今世界上對個人信息權(quán)益規(guī)定得最為豐富的一部法律，其規(guī)定的個人數(shù)據(jù)主體權(quán)益包括知情權(quán)、同意權(quán)、查詢訪問權(quán)、更正權(quán)、刪除權(quán)、限制處理權(quán)、可攜帶權(quán)和反對權(quán)等。就上述這些權(quán)益的性質(zhì)而言，其很難完全歸入傳統(tǒng)民法中的絕對權(quán)或支配權(quán)之列。

所謂絕對權(quán)，是指對于一般人請求不作為的權(quán)利[7]。絕對權(quán)人以外的人均負(fù)有不得侵害其權(quán)利的義務(wù)，因此，其又稱為對世權(quán)。然而，個人信息權(quán)益中的具體項，如查詢訪問權(quán)、更正權(quán)等，均存在具體的特定的請求對象，系向特定的對象來主張，即信息主體向持有其個人信息的數(shù)據(jù)控制者提出主張，并且其并不是請求對方不作為，而是要求對方積極地做出一定行為，以使得個人信息權(quán)益得以圓滿實現(xiàn)。民法上的支配權(quán)，是指權(quán)利人直接支配其標(biāo)的，而具有排他性的權(quán)利，其突出特征在于是權(quán)利人可直接支配其標(biāo)的，而無須他人行為之介入[8]。然而，個人信息權(quán)益中的知情權(quán)、查詢訪問權(quán)、更正權(quán)、刪除權(quán)、可攜帶權(quán)等，均需要義務(wù)人(數(shù)據(jù)控制者)采取積極的行動予以配合方能實現(xiàn)，因為負(fù)載個人信息的數(shù)據(jù)已經(jīng)存儲在了數(shù)據(jù)控制者那里，如果離開了數(shù)據(jù)控制者的配合，單憑個人信息主體本身力量，既無法訪問，亦無法更正、刪除或攜帶存儲在他人那里的數(shù)據(jù)。從這個角度來看，所謂的查詢訪問權(quán)、更正權(quán)、刪除權(quán)、攜帶權(quán)等，實際上是請求查詢訪問權(quán)、請求更正權(quán)、請求刪除權(quán)、請求攜帶權(quán)等。又如，所謂的“知情權(quán)”，實際上與數(shù)據(jù)控制者的“信息提供義務(wù)”是一體兩面的關(guān)系。有學(xué)者認(rèn)為，上述具有請求權(quán)性質(zhì)的權(quán)利內(nèi)容，系屬于個人信息權(quán)利遭受侵害后的救濟權(quán)能的表現(xiàn)，從而不影響個人信息權(quán)利作為支配權(quán)的屬性[9]。在文章看來，知情權(quán)和查詢訪問權(quán)等權(quán)益內(nèi)容，是屬于個人信息正常收集、處理過程中權(quán)益人主張的權(quán)益請求，而非個人信息權(quán)利遭受侵害后的救濟權(quán)能，因而上述主張難以成立。

將個人信息受保護的權(quán)益認(rèn)定為一種絕對權(quán)或支配權(quán)，會面臨許多難題。首先，如前文所述，個人信息的邊界具有相對性和不確定性，以此為基礎(chǔ)構(gòu)建的個人信息權(quán)的邊界亦具有相對性和不確定性，如將其作為一種對世權(quán)來看待，那么，勢必會影響到權(quán)利人以外的他人行為之自由。其次，個人信息本身屬于信息的一種，而不是物，具有無形性，可以被多人所共同持有，難以被信息主體排他性地占有或控制[10]。最后，個人信息具有兩重屬性，一方面，它是關(guān)于個人信息主體的信息，與個人信息主體具有密切的關(guān)聯(lián)，不像物那樣是主體的“身外之物”；另一方面，個人總是社會中的人，只要個人與社會發(fā)生聯(lián)系，或與其他主體進行交往，就會不可避免地留下蹤跡，即個人信息，因此，它又具有一定的社會屬性或公共屬性[11]，從而難將個人信息權(quán)益完全歸入個人支配權(quán)的范圍內(nèi)。

在文章看來，欲認(rèn)定個人信息受保護權(quán)益的性質(zhì)，首先需澄清個人信息與隱私之間的關(guān)系?？偟膩碚f，個人信息與隱私之間是一種交叉關(guān)系[12]。廣義的個人信息，是指與已經(jīng)被識別和能夠被識別的自然人有關(guān)的任何信息，其必然包含一部分屬于隱私的信息。對于屬于隱私權(quán)范疇內(nèi)的個人信息，其可以繼續(xù)沿用隱私權(quán)的強保護模式，作為具有人格權(quán)性質(zhì)的絕對權(quán)來對待，其目標(biāo)在于維護權(quán)利人的人格自由與人格尊嚴(yán)。而處于隱私權(quán)范疇之外的個人信息，則應(yīng)將其作為一種受法律保護利益來對待，采用弱保護模式，通過對相關(guān)義務(wù)人的行為規(guī)制來實現(xiàn)法律保護的目的，其目標(biāo)并不在于維護權(quán)利人的人格自由或人格尊嚴(yán)，而在于維護個人的人身與財產(chǎn)安全的目的，預(yù)防因個人信息被他人收集或處理而產(chǎn)生的各種風(fēng)險。例如，美國的《兒童網(wǎng)絡(luò)隱私保護法》在制定時其主要目標(biāo)是為了防范針對兒童的網(wǎng)絡(luò)營銷以及防止兒童遭受人身傷害[13]。在中國廣為人知的“徐玉玉”案中，受害人的個人信息被泄露后，其所直接遭受到的并不是人格尊嚴(yán)被冒犯而是因個人信息被犯罪分子用于詐騙而遭受財產(chǎn)損失。

三、個人信息保護立法的路徑選擇及其與民法的銜接

如果人們認(rèn)可個人信息應(yīng)作為一項法益而受到保護，那么，又該如何對其進行保護，特別是未來的《個人信息保護法》應(yīng)在其中發(fā)揮何種作用。鑒于中國目前已經(jīng)步入信息社會，隨著以互聯(lián)網(wǎng)、大數(shù)據(jù)和物聯(lián)網(wǎng)為代表的現(xiàn)代信息技術(shù)的發(fā)展，網(wǎng)絡(luò)空間與物理世界相互融合的步伐在不斷加快，數(shù)據(jù)化的個人信息將會彌漫于社會的各個領(lǐng)域，因此，個人信息保護將會成為刑法、民法、行政法、刑事訴訟法等各個部門法所共同關(guān)注的問題，在這種背景下，不能指望由立法機關(guān)制定一部《個人信息保護法》來解決與個人信息保護有關(guān)的所有問題。未來的《個人信息保護法》僅是由憲法和多個部門法共同組成的個人信息保護法律體系中的一部分，因此，其必然要有所為、有所不為。

在筆者看來，未來的《個人信息保護法》應(yīng)當(dāng)從個人信息概念的界定出發(fā)，立足于調(diào)控個人信息主體與信息控制者之間的相對關(guān)系，對個人信息收集、處理中的共同性問題作出一般性規(guī)定。應(yīng)當(dāng)納入到《個人信息保護法》調(diào)整范圍內(nèi)的信息控制者應(yīng)當(dāng)限于兩類：一類是因從事公共管理或提供公共服務(wù)而收集、處理個人信息的公法人；另一類則是因向公眾提供商品或服務(wù)而收集、處理個人信息的經(jīng)營者。同時，個人信息保護立法應(yīng)當(dāng)排除以下兩類事項：一是在公法領(lǐng)域，與預(yù)防犯罪、刑事訴訟、國家安全相關(guān)的個人信息收集、處理事項，因其具有特殊性而應(yīng)由特別法來調(diào)整，不宜納入到《個人信息保護法》中；二是在私法領(lǐng)域，普通自然人之間在日常生活中因非經(jīng)營性活動而發(fā)生的與個人信息收集、處理有關(guān)的糾紛，應(yīng)當(dāng)依普通民事法律規(guī)則來處理，亦不宜納入到《個人信息保護法》中，這主要是因為在未來的《個人信息保護法》中應(yīng)當(dāng)貫徹保護個人信息主體利益的原則而有可能對數(shù)據(jù)控制者客以非常高的注意義務(wù)，如果要求普通民事主體亦承擔(dān)相同的注意義務(wù)有可能對其不公平。

無論是公法人，還是商事經(jīng)營機構(gòu)，其相對于普通個人而言，都處于優(yōu)勢地位?！秱€人信息保護法》的目的在于通過對公法人、經(jīng)營者施加義務(wù)、對其行為進行規(guī)制，從而校正雙方之間的失衡地位。1973年，美國住宅、教育與福利部發(fā)布了一份名為《記錄、電腦與公民權(quán)利》的研究報告(HEW Report)，提出“公平信息實踐”的準(zhǔn)則建議，其對于美國《1974年隱私法》和經(jīng)濟合作與發(fā)展組織(OECD)《關(guān)于隱私保護與個人數(shù)據(jù)跨境流動的建議與指南》有著深遠(yuǎn)的影響。該報告提出：在過去，個人都是通過與他人面對面的交流而提供信息，信息的給予者與接受者之間存在著信任關(guān)系或平等、對稱的地位。而進入計算機年代后，個人則是通過非面對面的機制持續(xù)不斷地向陌生的大型機構(gòu)提供信息，而且許多時候都是在不知情、看不見的情況下發(fā)生的[14]。如今距離該報告已近半個世紀(jì)，個人與信息收集、處理機構(gòu)之間的地位失衡，隨著互聯(lián)網(wǎng)的廣泛應(yīng)用和大數(shù)據(jù)時代的到來，表現(xiàn)得愈加嚴(yán)重，對于個人信息收集、處理行為的規(guī)制更加急迫。

盡管從整體上看，未來的《個人信息保護法》應(yīng)當(dāng)定位于規(guī)制性質(zhì)的法律。但是，其并非純粹的公法，而是將不可避免地融入一定的私法規(guī)范。例如，對于個人信息的收集、處理原則上應(yīng)當(dāng)獲得信息主體的“同意”，這是當(dāng)今世界多數(shù)國家個人信息保護立法都認(rèn)可的一項原則。因此，“同意”是《個人信息保護法》上的一個非常重要的概念，其在法律性質(zhì)上屬于意思表示，應(yīng)當(dāng)遵循民法上的意思表示和民事法律行為規(guī)則，無論其為一種單獨行為，還是合同行為，這意味著在個人信息規(guī)制法領(lǐng)域仍有意思自治的空間，盡管其有可能會受到許多限制。除了內(nèi)置的私法規(guī)范以外，未來的《個人信息保護法》中大量的行為規(guī)制規(guī)則對于信息主體的民事權(quán)益的保護亦具有非常重要的意義。另外，鑒于《民法典(草案)》即將提交全國人民代表大會審議，其極有可能在《個人信息保護法》之前頒行，因此，這就還需要考慮到未來的《個人信息保護法》與《民法典》如何協(xié)調(diào)的問題。

第一，經(jīng)營者往往是因為與個人信息主體之間存在某種民商事交易關(guān)系而成為信息控制者的，換言之，當(dāng)事人之間往往存在某種基礎(chǔ)合同關(guān)系，并且，經(jīng)營者可以以該基礎(chǔ)合同關(guān)系為基礎(chǔ)，構(gòu)建一個關(guān)于個人信息收集與處理的合同關(guān)系。例如，許多網(wǎng)絡(luò)服務(wù)提供商制定的隱私協(xié)議以及含有個人信息保護條款的用戶協(xié)議均可歸入此類。因此，個人信息保護立法的一個重要規(guī)制路徑就是對當(dāng)事人之間的個人信息合同關(guān)系進行規(guī)范。立法者介入的正當(dāng)性理由包括于經(jīng)營者與個人信息主體之間在談判地位上的不平等、信息不對稱與利益失衡等。規(guī)制手段可包括兩類：一類是基于保護個人信息主體的利益而為個人信息合同制定必要的強制性規(guī)范，此類規(guī)范可以作為法定條款載入當(dāng)事人之間的個人信息合同中，不容許當(dāng)事人予以排除或變更，除非當(dāng)事人可以約定更有利于個人信息主體的條款；另一類則是對作為信息控制者的經(jīng)營者的信息收集、處理行為進行單方面的約束，以期起到保護個人信息的目的，此類規(guī)范亦屬于強制性規(guī)范，基于其對個人信息合同的私法效力的影響又可區(qū)分為效力性規(guī)范與管理性規(guī)范，違反前者會影響到個人信息合同的效力，而違反后者并不會影響個人信息合同的效力，僅會導(dǎo)致行政法上的后果。

第二，個人信息主體有時會受到合同關(guān)系之外的侵害，對此，當(dāng)事人可以援引侵權(quán)責(zé)任法來請求對方承擔(dān)侵權(quán)責(zé)任。《個人信息保護法》中的規(guī)制性條款的意義在于它可以為侵權(quán)責(zé)任法的擴張適用提供外連的接口。德國侵權(quán)法將侵害對象區(qū)分為絕對權(quán)與法益，當(dāng)法益受侵害時，當(dāng)事人可以“違反以保護他人為目的法律”為由要求對方承擔(dān)損害賠償責(zé)任。中國侵權(quán)責(zé)任法并未像德國侵權(quán)法那樣將侵權(quán)的對象限定為絕對權(quán)，而是規(guī)定為“權(quán)益”，既包括權(quán)利，亦包括法益。然而，同樣存在如何界定受侵權(quán)法保護的“法益”范圍的問題。對此，中國許多學(xué)者主張應(yīng)當(dāng)借鑒德國侵權(quán)法上“違反以保護他人為目的法律”理論構(gòu)建符合中國侵權(quán)責(zé)任法特點的法益區(qū)分理論[16]。然而，具有行政規(guī)制性質(zhì)的法律規(guī)范浩如煙海而立法者的目的往往難以查明。因此，在法律適用上往往會存在許多不確定性，而在未來的《民法典(草案)》之“人格權(quán)編”對個人信息保護進行規(guī)定的情況下，可以有助于查明未來的《個人信息保護法》中哪些規(guī)定可被認(rèn)為具有保護個人信息主體的目的，從而可以基于此提起民事侵權(quán)之訴。

四、結(jié)語

個人信息保護是引發(fā)當(dāng)代社會全民焦慮的問題。當(dāng)代社會既是信息社會，亦是風(fēng)險社會。以互聯(lián)網(wǎng)、大數(shù)據(jù)為代表的現(xiàn)代信息技術(shù)的廣泛應(yīng)用，不僅給人與人之間的信息交流帶來了前所未有的便利，也帶來了個人信息泄露和被濫用的風(fēng)險。如何在享受信息福利的同時將風(fēng)險控制在可接受范圍內(nèi)，是每一個現(xiàn)代公民都會遇到的問題，也是立法者所要解決的問題。未來的個人信息保護立法應(yīng)當(dāng)立足于個人信息主體與公法人、經(jīng)營者等信息控制者之間的相對關(guān)系，從當(dāng)事人之間所存在的事實上地位不平等的現(xiàn)實出發(fā)，通過對信息控制者施加義務(wù)和行為規(guī)制，以達到保護個人信息的目的。

注釋：

① 參見：陳文輝犯詐騙罪、侵犯個人信息罪案，山東省臨沂市中級人民法院(2017)魯13刑初26號刑事判決書。

② 參見：《全國人大常委會關(guān)于加強網(wǎng)絡(luò)信息保護的決定》第1條。

③ 參見：《電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定》(工業(yè)和信息化部令 第24號)第4條。

④ 參見：《網(wǎng)絡(luò)安全法》第76條第5項。

⑤ 參見：全國人大常委會2019年12月公布的《民法典(草案)》第1034條。

⑥ 需要說明的是，中國和歐盟的法律用語存在一定的差異，中國法律使用的是“個人信息”，而在歐盟法使用的是“個人數(shù)據(jù)”，為了行文方便，文章將對此不作區(qū)分。

⑦ 例如，其在《電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定》中指的是“電信業(yè)務(wù)經(jīng)營者和互聯(lián)網(wǎng)信息服務(wù)提供者”；在《網(wǎng)絡(luò)安全法》中指的是“網(wǎng)絡(luò)運營者”；在《消費者權(quán)益保護法》中指的是“經(jīng)營者”。

⑧ 需要注意的是，在全國人大常委會公布的《民法典(草案)》中，立法者在有的條款(第1036條)中僅使用了“信息控制者”這一概念表述，而在另外一些條款中則同時使用了“信息收集者”和“信息控制者”兩種概念表述，從而與歐盟的《一般數(shù)據(jù)保護條例》有所差異。

⑨ Patrick Breyer v.Bundesrepublik Deutschland,Case C-582/14.在該案件中，被告德國聯(lián)邦政府運營的網(wǎng)站記錄了訪問該網(wǎng)站的公眾用戶的動態(tài)IP地址，以及該用戶訪問網(wǎng)站的日期等信息，其中一個重要目的在于預(yù)防網(wǎng)絡(luò)安全，以便在網(wǎng)站遭受“拒絕服務(wù)”等類型的網(wǎng)絡(luò)攻擊時查找攻擊源。動態(tài)IP地址與靜態(tài)IP地址不同，用戶每次接入互聯(lián)網(wǎng)時其使用的IP地址都是不同的，因此，對于普通的網(wǎng)絡(luò)媒體服務(wù)提供者而言，其通常無法僅通過動態(tài)IP地址識別用戶的身份，但是，因為IP地址都是由提供互聯(lián)網(wǎng)接入服務(wù)的網(wǎng)絡(luò)服務(wù)提供者，即ISP，分配給用戶的，因此，ISP可以識別在特定時間使用動態(tài)IP地址的用戶的身份。歐洲法院認(rèn)為，雖然德國聯(lián)邦政府作為網(wǎng)絡(luò)媒體服務(wù)提供者無法僅僅從動態(tài)IP地址中識別用戶的身份，但是，其在遭受網(wǎng)絡(luò)攻擊后，可以向有關(guān)主管機關(guān)提出申請，主管機關(guān)可以命令I(lǐng)SP提供可以識別用戶身份所需的額外信息，因此，德國聯(lián)邦政府可以將通過合法途徑從第三方(ISP)處獲得的額外信息與其存儲的動態(tài)IP地址信息相結(jié)合而識別出用戶的身份，因此，對于被告而言，用戶的動態(tài)IP地址信息屬于個人數(shù)據(jù)。

⑩ 例如，美國在線網(wǎng)站(AOL)曾經(jīng)在2006年公布了近2 000萬條的用戶搜索數(shù)據(jù)，并對用戶身份進行了去標(biāo)識化處理，但是，仍被人識別出多位用戶的個人身份；Netflix公司公開發(fā)布了1億條用戶評價紀(jì)錄并刪除了用戶名之類的用戶身份元素，很快就有人利用該評價紀(jì)錄信息與其掌握的其他信息相結(jié)合從而識別出許多評價用戶的個人身份。參見：OHM P的Broken promises of privacy，UCLA Law Review，2010年57卷第6期，第1701—1776頁。