北京2月11日電 我國已建成基礎穩固、內容充實、結構完備的個人資訊保護法律體系,《中華人民共和國個人資訊保護法》可謂個人資訊保護領域的基本法法律。我國法律制度對個人資訊權益實行分類保護原則,《中華人民共和國民法典》和《中華人民共和國個人資訊保護法》共同確立了民法保護原則,個人資訊保護的基礎是憲法保護義務。知情同意原則是個人資訊保護規範的基本原則,從保護到運用的轉變是實現資料權益的最佳途徑,協調保護與利用的法益平衡是處理個人資訊的基本要求。侵害個人資訊權的救濟路徑是:追究個人資訊權侵害者的民事責任,對侵害個人資訊權行為實施司法救濟,對侵害個人資訊行為提起公益訴訟,對侵犯個人資訊的犯罪行為提起刑事訴訟。廣西社會科學院主辦的中國人文社會科學引文資料庫來源期刊、中國期刊全文資料庫全文收錄期刊、中國學術期刊綜合評價資料庫統計源期刊《經濟與社會發展》,2025年第5期首篇發表宋才發教授《個人資訊的保護原則、合理使用與法律保護》論文,本文責任編輯陳晨,伍丹。
標準參考文獻法律:宋才發.個人資訊的保護原則、合理使用與法律保護[J].經濟與社會發展,2025(5):1-10.
宋才發教授系中央民族大學法學院首任院長、二級教授,湖北省有突出貢獻專家、國務院政府特殊津貼專家、國家民委首屆有突出貢獻專家、博士生導師,內蒙古財經大學特聘教授法律。
個人資訊的保護原則、合理使用與法律保護
宋才發
一、問題的提出和法理證成
個人資訊保護制度發軔於20世紀60年代後期法律。計算機和自動化資訊處理技術快速運用和發展,為人們帶來海量資訊,提升了資訊運用的敏捷性,也對個人的人格和隱私造成嚴重的威脅。21世紀以來,隨著人類社會進入資訊化、數字化時代,個人資訊法律保護呈現全球性擴張的趨勢,世界上已有不少國家和地區不同程度地將個人資訊納入法律保護的權益範疇。《歐盟基本權利憲章》第8條和《歐盟執行條約》第16條明確規定了“個人資訊受保護權”。更多的國家和地區透過憲法解釋的途徑和方式,把個人資訊保護納入基本權利範圍。儘管我國在保護個人資訊方面起步比較晚,但是保護個人合法資訊權益的力度非常大,已建成基礎穩固、內容充實、結構完備的個人資訊保護法律體系。譬如,《中華人民共和國憲法》(以下簡稱《憲法》)不僅作出關於保護公民個人資訊相關權益的規定,而且將其納入“公民基本人權保護”範疇。《中華人民共和國民法典》(以下簡稱《民法典》)第七編“侵權責任”以保障資訊主體的人格尊嚴、人格自由和人格權益為己任,嚴格保護資訊權利人因數字化時代的資訊處理行為而遭受不應有的妨礙和權益毀損。個人資訊保護法律體系的構建基礎和邏輯起點,就是《憲法》關於“人格尊嚴”條款內蘊的個人資訊受保護權。《憲法》第三十八條規定:“中華人民共和國公民的人格尊嚴不受侵犯。禁止用任何方法對公民進行侮辱、誹謗和誣告陷害。”個人資訊受保護權本質上是一種對世、排他、絕對的“自決權”,也是一種新型的、獨立的“人格權”。它不僅具有傳統人格權消極防禦的特性,更兼具積極控制功能,由此衍生出資訊知情、同意、查詢、修改、更正、刪除等系列權能。在法治中國建設的實踐過程中,選擇以憲法基本權利的個人資訊受保護權為邏輯基點,透過展開其內容、功能與限制規範,構建了一套基礎穩固、內容充實、結構完備的個人資訊保護法律體系。這個體系既能對個人資訊保護規範進行系統解釋,釐清諸多部門法、執法手段之間的關係,又能夠對未來個人資訊保護制度和實踐提出規範要求,使我國《憲法》規定的個人資訊受保護權能夠更好地付諸實施。
展開全文
《中華人民共和國個人資訊保護法》(以下簡稱《個人資訊保護法》)是資訊化、數字化時代我國針對個人資訊保護的基本法法律。《個人資訊保護法》把個人資訊受保護權視為一項極為重要的新型權利,確立了完整的個人資訊“權利束”和權利保護體系,形成了公法、私法協同保護進路。《個人資訊保護法》具有堅實的憲法基礎,是《憲法》中關於人權保障、人格尊嚴、公民通訊自由和通訊秘密條款的具體化。《個人資訊保護法》第四章“個人在個人資訊處理活動中的權利”,以專章的形式,規定個人資訊主體在資訊處理活動中依法享有的各項具體權利,使個人資訊受保護權利成為“制度性權利”,賦予個人對個人資訊資料的全面控制權。應當說,“個人資訊的合法利用”正是在個人資訊受保護權的前提下提出來的。《民法典》把個人資訊劃分為私密資訊和非私密資訊兩大型別,並明確提出對個人的私密資訊適用有關隱私權的規定;沒有規定的,適用有關個人資訊保護的規定。根據《個人資訊保護法》規定,資料處理者對個人資訊的“合法利用”與“合理利用”,須在特定目的明確且採取有效保護措施的前提下,才能夠處理敏感的個人資訊。這一規定是對《民法典》個人資訊保護規範的進一步發展和完善。進入資訊化時代後,為應對和消除可能出現的各種對個人資訊權益的損害,自然人對個人資訊擁有的獨立的、應受到法律保護的民事利益成為《個人資訊保護法》的保護物件。概括地說,《個人資訊保護法》在法律位階上可謂個人資訊保護領域的基本法,其從私法保護的視角,以“權利束”的方式規定了個人資訊主體的一系列權利,從立法依據、權利體系、條文設計和規制措施上,充分體現對個人資訊主體權益保護的私法和公法屬性,這一點可以從基本權利的雙重面向和個人資訊國家保護義務上得到理論上的證成。但是,《個人資訊保護法》對公法邊界的形塑不是很完善,需要透過法的實施進一步確立和完善。
《個人資訊保護法》與《民法典》在個人資訊保護中的適用關係隱含於個人資訊中的公共利益,即使這種公共利益在某種程度上可能歸屬於廣義的公共性,但絕不能據此否定個人資訊保護權益以及個人資訊保護權利模式的合理性法律。《憲法》和《民法典》明確規定要保障權利人的人格尊嚴和人格自由,這同樣是《個人資訊保護法》的立法初衷。《個人資訊保護法》相較於《民法典》進行了特別規制,但就損害認定及損害賠償等方面的規定而言,實施《個人資訊保護法》也要依據《民法典》的相關規定進行。損害賠償的目的在於損害填補、損害預防與懲罰制裁,對損害賠償具體數額的確定,原則上應當根據《民法典》第一千一百八十二條與《個人資訊保護法》第六十九條的規定協調適用確定。《民法典》第一百一十一條規定,“自然人的個人資訊受法律保護”。《個人資訊保護法》有關個人資訊保護的私法規範,其解釋、適用應當在《民法典》的框架體系中予以展開。探討《民法典》與《個人資訊保護法》的適用關係,不僅是因為成文法國家本身就面臨著不同法律在規定相同問題時須考慮如何協調適用,更是因為個人資訊主體的權利規定在不同法律之中而使學者對其性質存在爭議。
二、個人資訊的保護原則
(一)《個人資訊保護法》為維護個人資訊權益確立保護原則
當前,個人資訊保護領域存在的突出問題之一是重公法輕私法法律。由於對個人資訊權益民法保護的力量相對薄弱,資訊權利人在個人資訊遭遇不法侵害時,受到的權益損害和精神傷害最大。但是,個人資訊侵害行為的發生具有偶發性和突發性,資訊權利人在事前往往很難掌控和防範,事中又無法制止,事後也很難查詢到侵害者。如果不能從立法上堵塞這方面的漏洞,即使實施民法的“私力救濟”,似乎也很難從根本上解決侵害問題。在以往個人資訊民法保護模式的選擇中,“間接保護模式”和“法益保護模式”兩種方式,事實上都存在著一定的制度缺陷,唯有“權利保護模式”更加符合現實需要。在保護個人資訊的法律體系中,《民法典》是保護資訊權利人“人格尊嚴”和“資訊權益”的基本法。個人資訊和個人資料在範圍、屬性和存在狀態等方面,存在諸多區別。法律制度是最大限度地實現目的和手段的理性產物,未來規範資訊保護的制度設計,應當在全面實施《民法典》的基礎上,更加重視“個人資訊”與“個人資料”的必要區分。這就需要從立法上進一步明晰資訊主體對個人資訊的自主控制權,將個人資訊權嵌入既有人格權規範體系中,以實現法律體系的內在和諧。對個人資訊權的全面保護,需要藉助綜合性的法律手段,由民法、刑法、行政法從不同的治理層面加以綜合規範,才能實現協同治理的目的。
《個人資訊保護法》加重對侵害個人資訊權益違法行為的罰款力度法律。從刑事責任視角看,為打擊各類非法提供和獲取公民個人資訊行為,遏制日益猖獗的資料黑色產業鏈,作為最嚴厲的制裁規範的刑事責任體系走在了最前列。《中華人民共和國刑法》(以下簡稱《刑法》)第二百五十三條之一設定“侵犯公民個人資訊罪”,第二百八十六條之一設定“拒不履行資訊網路安全管理義務罪”,對那些嚴重違法處理、濫用和傳播個人資訊的行為實施刑事制裁。但是,當刑法作為懲治侵犯公民個人資訊犯罪的最後手段時,應保持其謙抑性,確有必要時才用於懲治性質非常嚴重的侵犯公民個人資訊犯罪,而不能過度介入一般民事、行政以及其他還沒有特別明確規則的領域,尤其不應當“放低”入刑的標準和門檻,承擔行政處罰的職能。《個人資訊保護法》為個人資訊保護提供了體系支援,如《個人資訊保護法》第六十六條規定,違反本法規定非法處理、濫用和傳播個人資訊,“拒不改正的,並處一百萬元以下罰款;對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款”。《個人資訊保護法》透過大幅提高侵害個人資訊權益違法行為罰款額度的方式,來糾正、遏制違法行為的發生,實現高效、公正的執法效果。
(二)個人資訊保護制度實行分類保護原則
個人資訊保護存在私法訴訟與行政規制兩種主要維權路徑法律。過去較長的一段時期內,由於認識上的分歧和個人資訊處理者與資訊所有者地位的失衡,加之損害性質和程度很難精準界定,個人資訊所有者對侵害行為的舉證步履維艱,維權難度相當大。私法訴訟一般以“侵權之訴”的形式出現和展開,個人資訊權利人不可避免地處於成本與收益不均衡的兩難困境,即使提起訴訟也很難有效地回應系統性的社會風險。如果採取行政規制的模式來破解個人資訊保護的困境,也許是一條不同於私法訴訟的新路徑。處在新時代新階段的個人資訊保護立法,應當更加妥善地處理和運用這兩種路徑的協調關係。以社會分工為基礎的現代社會經濟結構天然的不平等,迫切需要適用相應的法律制度進行矯正,以保障交易人獲得適當的商品和服務,並且維護良性的競爭環境。當這種制度矯正難以在私法內部實現的時候,就需要藉助私法之外的力量完成。在公民個人資訊權益保護的問題上,國家對公民基本權利的保護義務為行政權介入個人資訊保護法律關係提供了法權基礎,行政規制的特點及其執行方式顯示出工具主義層面的治理優勢。國家保護公民基本權利的義務,是一個多維度、立體化的義務結構,既包括為公民基本權利的實現提供組織層面、程式層面的多種條件和保障,也包括從立法、執法、司法等各個層面為公民基本權利提供具體保護。據此,行政規制相較於私法訴訟具有一定的優勢,因為它能夠更加理性、高效地實現公民個人資訊保護的目的,這也是國家對公民基本權利保護義務中“功能適當”原則的體現。
個人資訊權保護制度實行分類分級保護原則法律。資訊化、數字化時代的複雜性與風險性,使個人資訊權利人所享有的權利呈現出多維特徵,它涉及人權、憲法權利及公私法交融視域下的系列權利。我國已經進入全面深化改革的深水區,在規制和完善《個人資訊保護法》的過程中,既要考慮到個體權利創設中的利益平衡,又要把制定法根植於個人資訊保護的歷史脈絡與所處的國際場域。隨著個人生物識別技術的應用,非法收集、洩露和濫用人臉資訊的違法犯罪問題不斷出現,敏感個人資訊法益的內涵涉及包括資訊權利人人格尊嚴和人身利益在內的方方面面。《民法典》第一千零三十四條第二款規定:“個人資訊是以電子或者其他方式記錄的能夠單獨或者與其他資訊結合識別特定自然人的各種資訊,包括自然人的姓名、出生日期、身份證件號碼、生物識別資訊、住址、電話號碼、電子郵箱、健康資訊、行蹤資訊等。”《個人資訊保護法》第二十八條規定:“敏感個人資訊是一旦洩露或者非法使用,容易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害的個人資訊,包括生物識別、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌跡等資訊,以及不滿十四周歲未成年人的個人資訊。”之所以要把個人資訊區分為“敏感個人資訊”與“非敏感個人資訊”,是因為在難以計數和範圍廣闊的個人資訊中,敏感個人資訊承載了更高、更多的人格尊嚴,且敏感個人資訊的洩露與非法使用更容易引發權益侵害,對敏感個人資訊需要進行特殊保護。這條規定事實上為敏感個人資訊權益保護提供了基本法指引。公民敏感個人資訊權益,事實上受到了公法和私法的多元化、多層次保護,未來應當對敏感個人資訊強化保護。敏感個人資訊保護是個人資訊分類分級保護制度的重要部分,現有資訊保護的方式,實際上存在著流於形式、保護效能不足的問題。個人資訊保護制度並非保護個人資訊本身,而是要保護個人資訊處理中的相關權益。《個人資訊保護法》從合法性基礎、知情同意、預防與技術保護措施等方面,對敏感個人資訊予以強化保護。不同的合法性基礎,對應不同的“知情同意”規則。對於絕大多數資訊權益所有者和資訊使用者而言,這畢竟還是一件不太尋常的新鮮事物,需要準確理解適用。處理公民個人資訊應當遵循合法、正當、必要和誠信原則,處理敏感個人資訊尤其要取得個人的單獨同意。《個人資訊保護法》第四十七條在《民法典》第一千零三十七條規定的基礎上,對個人資訊的“刪除權”作了較為詳盡的規定,強調“有下列情形之一的,個人資訊處理者應當主動刪除個人資訊;個人資訊處理者未刪除的,個人有權請求刪除”。儘管“刪除權”也可以適用於網路搜尋引擎,但是需要區分不同情形並作出必要限制。
(三)個人資訊保護的基礎是國家保護義務
應以“個人資訊受保護權—國家保護義務”建構個人資訊保護體系法律。公民享有的個人資訊受保護權,本質上是“基本權利—國家義務”體系在個人資訊保護領域的具體運用。《憲法》第三十三條第三款規定,“國家尊重和保障人權”。公民個人資訊保護的憲法基礎,是主權國家擔負的保護國家和人民生命財產安全的憲法義務,其中就包含著對公民人格尊嚴和個人隱私、安寧進行保護的神聖職責和義務。需要指出的是,這裡的個人資訊保護義務,所對應的並非只是單純的個人資訊權,而是個人依法享有的人格尊嚴和個人隱私權、安寧權。在當下這個資訊化、數字化快速發展的時代,國家不僅應當履行尊重私人生活、避免干預個人安寧的消極義務,還應當透過各級政府積極、主動作為的途徑,保護和支援個人對抗來自個人資訊處理中尊嚴減損的各種風險。這就要求國家權力機關結合“保護法”和“規制法”的機制需求,從頂層設計上確保公民個人資訊受保護權的實施機制和監管機制落地見效,督促其他保障機制為監管和執法機制提供必要支援和輔助。為確保各級行政機關依法履行法定職責,《個人資訊保護法》規定了內部法律責任,遺憾的是沒有就行政公益訴訟作出單獨規範。未來有必要引入行政公益訴訟程式,因為公益訴訟能有效填補個人資訊等領域的單行法存在的漏洞。儘管個人資訊受保護權是當下一種新型權利,但是《民法典》並沒有把個人資訊保護視為一種特殊的“隱私權”,只是進行了初步的權利化處理。《民法典》第一百一十一條規定:“任何組織或者個人需要獲取他人個人資訊的,應當依法取得並確保資訊安全。”這裡所論及的“任何組織或者個人”,理所當然地涵蓋了國家機關及其工作人員,從而填補了此前我國法制整體對個人資訊公法保護的缺漏。個人資訊資料既不同於一般的私權物品,也絕對不能作為公共用品。依據個人資訊資料在不同場域中所涉權益的性質,《刑法》對個人資訊資料從經濟秩序、人格權、物權與公共秩序四個方面,以四種保護模式作出具體而嚴厲的刑法規制。當然,《刑法》規制仍然有不周全的地方,如對個人資訊資料濫用的行為缺乏必要的規定,有些罪名的適用無法準確揭示相應行為的不法本質,犯罪化不足與犯罪化過度的問題並存,對資料主體權益的保障顯得不足。未來有必要從完善立法與法律解釋兩個層面,就《刑法》對個人資訊資料保護的四種模式作出相應的調整。
三、個人資訊的合理使用
(一)知情同意原則是個人資訊保護規範的基本原則
使用個人資訊堅持知情同意原則法律。資料資源是國家、企業核心競爭力的重要組成部分,政府機關、企業單位和社會個人資訊使用者,對一般個人資訊的收集,只需要資訊權利人默示同意。法律制度在合理保護公民個人資訊權益的基礎上,也給政府機關、企業單位合理使用個人資訊資料提供便利。無論如何強調政府機關採集個人資訊的重要性,強調企業單位使用個人資訊資料的社會經濟效果,法律制度所提供的便利條件始終都是有底線和合理邊界的。《中華人民共和國網路安全法》(以下簡稱《網路安全法》),較為明晰地區分並規定了對個人資訊資料進行收集、使用和轉讓等不同情形的適用規則。《網路安全法》第四十一條規定:“網路運營者收集、使用個人資訊,應當遵循合法、正當、必要的原則,公開收集、使用規則,明示收集、使用資訊的目的、方式和範圍,並經被收集者同意。”但是,只要該個人資訊無法識別特定個人且不能復原,就無須徵得個人同意。從一定意義上說,知情同意原則符合人們對個人資訊保護的直觀認識。《民法典》與《個人資訊保護法》為個人資訊保護供給多種制度工具,進而也影響到個人資訊領域的治理效果。未來應當在充分反思知情同意原則利弊得失的基礎上,對《個人資訊保護法》有關條款進行更加合理、精細的制度設計,既要考慮知情同意原則不與資料合理使用相牴牾,又要考慮保護個人資訊機制不至於流於形式,以真正有效地保護和合理利用個人資訊。《個人資訊保護法》第二十九條確立了處理敏感個人資訊的單獨同意規則,規定資料處理者和經營者使用敏感個人資訊的,應當受到《個人資訊保護法》第十三條和第二十八條規定的雙重約束,防止寬泛適用導致合理使用制度的濫用。處理敏感個人資訊與一般個人資訊的知情同意原則應當相互獨立,不能採取“一攬子同意”的方式。譬如,書面同意是在單獨同意的基礎上對同意的形式要求,可採取合同書、信件、電報、電傳、傳真等形式作出。然而“告知同意規則”又是不可或缺的,在特定情形中處理敏感個人資訊無須告知同意,即使告知同意也無須賦予敏感個人資訊處理行為以合法性。《個人資訊保護法》第七十二條還規定,“自然人因個人或者家庭事務處理個人資訊的,不適用本法”,這條規定把基於家庭事務目的處理個人資訊的行為,排除在《個人資訊保護法》適用範圍之外,間接地賦予“家庭豁免權”。
(二)從保護到運用的轉變是實現資料權益的最佳途徑
凡以資料產品及服務方式進入流通領域的資料均可歸類為商業資料法律。個人資訊資料能否成為有效用的商業資料,取決於基於什麼樣的目的以及如何利用,而非這些個人資訊資料本身。實現資料權益,是數字化時代發展數字經濟的前提和基礎。這裡的資料權益,指的就是能夠進入市場流通的商業資料權益。資料權益實現的目的在於促進資料流動,在相關法律的規制下,推進個人資訊資料的合理、有效使用。保護個人資訊資料權益的目的在於促進資料流通,純粹的保護不是個人資訊資料價值實現和升值的手段,制定個人資訊保護法律制度的根本目的不應當只是為保護而保護,而是在尊重和保護個人資訊資料的前提下,推進和促進個人資訊資料合理合法使用。科學合理地使用個人資訊資料,既能夠彌補現行理論與制度的不足,又能夠涵蓋更多的資料主體和資料權益,唯有實現從資料保護到資料運用的轉變,才是當下和未來實現資料權益的最好思路和最佳途徑。在數字化時代,任何企圖阻止個人資訊資料流動和被使用的想法都是徒勞的。要實現個人資訊資料安全與使用效率的平衡,需依託《刑法》《民法典》《個人資訊保護法》《網路安全法》等諸多法律的協同規劃,做到最大限度的資訊資料有效利用和最低限度的資訊資料洩露與濫用。
(三)協調保護與利用的法益平衡是處理個人資訊的基本要求
以法益平衡為目標,促使保護與利用的法益平衡成為處理個人資訊的基本要求法律。根據《個人資訊保護法》第六條規定,對個人資訊處理行為的約束,必須以“具有明確、合理的目的”作為個人資訊資料處理合規的審查起點,因為其影響著資訊資料處理行為是否具備正當性的審查過程。依據《憲法》《民法典》和《個人資訊保護法》的有關規定,在個人資訊資料處理事務中,個人資訊資料權利人享有包括一般人格權、通訊自由權等形成的“基本權利束”。與此相適應,資訊網路平臺經營者則享有網路經營權和合法收益權。目的限制原則在雙方展開法益平衡和博弈的過程中,平衡個人對資料處理透明度的訴求與資料控制者便捷處理的訴求。正因為行政法的比例原則以法益平衡為其目標,保護個人資訊權益的行政法律規範與《個人資訊保護法》的立法宗旨相契合,諸法協調保護與利用的法益平衡,成為處理個人資訊資料的基本要求。《個人資訊保護法》規定的“敏感個人資訊”處理規則,是一個整體性的、體系性的制度安排。對敏感個人資訊的處理,需要以資訊主體的書面同意為前提,處理規則的內容包括限制性原則與知情同意原則,從而促使敏感個人資訊處理規則的設定理念,由“告知—同意”轉向“風險預防”,評估模式也相應地實現了由單一評估模式向複合評估模式的轉變。《個人資訊保護法》第六十九條第一款規定了過錯推定責任原則,即“處理個人資訊侵害個人資訊權益造成損害,個人資訊處理者不能證明自己沒有過錯的,應當承擔損害賠償等侵權責任”。個人資訊處理者承擔“過錯推定責任”的基礎在於個人資訊處理者的處理行為所產生的法定作為義務。
四、個人資訊權的法律保護
(一)追究侵害個人資訊權侵權者的民事責任
民事責任在保護個人資訊權法律責任體系中具有重要地位法律。隨著全面依法治國和建設法治中國的整體推進,探討侵犯公民個人資訊罪法益的研究成果越來越多,但是很少有學者專門研究其證成規則,已有研究法益選擇的合理性不足,致使其缺乏應有的說服力,因而陷入“學說豐富,規則缺失”的窘境,侵犯公民個人資訊罪的法益證成規則,就是論證該罪法益的步驟、方法與路徑。考察《民法典》《個人資訊保護法》《網路安全法》等“前置法”有關個人資訊保護的規定所保護的法益,有助於在進行類別選擇後對侵犯公民個人資訊犯罪的法益進行具體確定。必須明確,侵犯公民個人資訊罪所保護的法益,必須是名副其實的法益,因為即使是最嚴厲的刑法,也應與其他法律所主張和保護的法益具有一致性。《個人資訊保護法》儘管是保護個人資訊權益的專門法,但唯有第六十九條規定了侵害公民個人資訊權益的民事侵權責任。應當看到,民事侵權責任相較於刑事責任和行政責任而言,在保護個人資訊權益中更聚焦受害人個體救濟。同時應當指出,《個人資訊保護法》第六十九條雖規定個人資訊處理者侵害個人資訊權益造成損害,“不能證明自己沒有過錯的,應當承擔損害賠償等侵權責任”,但至於保護個人資訊權益民事責任的具體內容,則涵蓋在其他的法律條文之中。由於個人資訊權益最根本的、最主要的是私法權益,因而保護個人資訊權益最主要的方式和方法自然是民事責任。《個人資訊保護法》在第七章“法律責任”中,從頂層設計上全面系統地規定了侵害個人資訊權益的民事責任、行政責任和刑事責任,突出了民事責任特別是民事侵權責任的重要地位。
(二)對侵害個人資訊權行為實施司法救濟
《民法典》的相關規定為其他法律關於個人資訊保護的規定奠定堅實基礎法律。無論是基於行政法律對侵害個人資訊不法行為的處理,還是《刑法》關於侵犯公民個人資訊犯罪的適用,都是以公民個人資訊的民事權益保護為基礎的,這對於實施侵犯公民個人資訊違法犯罪的司法救濟具有重大現實意義。對現實生活中侵犯公民個人資訊罪的制裁和懲處,比較理想的治理模式應當是“刑法後行”,即先由“前置法”處置,再由《刑法》予以刑事處罰。但長期以來,我國《刑法》先於其他部門法規定專門的侵犯公民個人資訊罪,之後才出現對個人資訊保護作出集中規定的“前置法”。儘管行政法律責任和刑事法律責任都是保護公民個人資訊權益的強有力手段,但是行政法與刑法的謙抑性原則強調侵權者的侵害行為構成侵權罪的,必須是“造成了嚴重後果”的不法行為。然而在通常的情況下,大規模侵害個人資訊權益、具有嚴重損害後果的情形並不多見,因而難以達到啟動公法保護程式的實質性要求,實施公力救濟的有效性空間相當有限。此外,承擔行政責任或者刑事責任所繳的罰金必須全部上繳國庫,事實上達不到從社會層面救濟受害者的實際效果。如果能夠在私益訴訟中適用並推行懲罰性賠償制度,就能夠達到侵犯公民個人資訊違法犯罪的司法救濟目的,為此國家及有關部門創設了懲罰性賠償金制度。設立懲罰性賠償金制度的目的,就是鼓勵受害人積極維權,撫慰受害人受到的精神損害,並達到遏制侵權者不法侵權行為肆意蔓延的社會效果。但值得注意的是,個人資訊保護公益訴訟並非適合於懲罰性賠償制度,也未必能達到對個人資訊權益受損者實施司法救濟的目的,因為懲罰性賠償的嚴厲性高於一般損害賠償責任,懲罰性賠償規定在當下可適用的範圍和空間非常有限。
(三)對侵害個人資訊行為提起公益訴訟
個人資訊保護公益訴訟制度是一個具有廣泛國際共識性的制度法律。《個人資訊保護法》第七十條規定:“個人資訊處理者違反本法規定處理個人資訊,侵害眾多個人的權益的,人民檢察院、法律規定的消費者組織和由國家網信部門確定的組織可以依法向人民法院提起訴訟。”這條規定的實質性意義在於承認個人資訊保護的公益訴訟制度,體現《個人資訊保護法》在順應世界法治潮流、吸收國內最新研究成果的基礎上,立法機關對社會需求的積極回應。當下,公民個人資訊保護民事公益訴訟請求制度面臨著諸多非常棘手的問題。譬如,訴訟目的界分不明確、起訴人順位不清晰、法院對損害賠償請求態度不統一等。在民事公益訴訟的管轄上,存在著中級人民法院、網際網路法院和普通基層人民法院並行的局面。國家層面應當明晰,實施公益訴訟制度的目的在於維護公民個人資訊的宏觀環境,適時把人民檢察院、法律規定的組織機構以及由國家網信部門確定的組織,作為同一順位民事公益訴訟的起訴人。在民事公益訴訟的管轄上,建議統一實行“基層人民法院為主、中級人民法院為輔”的管轄原則。由於《個人資訊保護法》第七十條並沒有對起訴主體訴權順位作出規定,能夠被國家網信部門確定為起訴主體的組織機構,幾乎涵蓋了所有具有個人資訊保護功能的公益性組織。因此,在起訴主體訴權順位上,如果把這些組織置於檢察機關之前,則有利於激發和調動社會力量的積極性,達到社會力量助推公益維權之目的。我國的個人資訊保護公益訴訟制度,與其他公益訴訟制度具有共通性。譬如,在侵害眾多消費者權益的商品侵權案件審理中,消費者公益訴訟的受害人主要是某類商品、服務的購買者或者使用者,受害人的範圍具有特定性。在法律規範上,《中華人民共和國民事訴訟法》(以下簡稱《民事訴訟法》)第五十五條就與其他公益訴訟制度具有共通性,公共利益受到侵害“人民法院認為可以合併審理並經當事人同意的,為共同訴訟”。在具體解釋和適用個人資訊保護公益訴訟規則的時候,也可以利用公益訴訟制度的共通性特徵,更好地闡釋個人資訊保護公益訴訟制度。
(四)對侵犯公民個人資訊罪的犯罪行為提起刑事訴訟
個人資訊已成為刑事案件偵查與審理的重要內容之一法律。同意原則在刑事訴訟個人資訊處理中適用,對實現犯罪治理與保障個人資訊權益具有重要的功能作用。有效的“同意”,包括自願同意、知情同意和特定明確的同意等,所有這些“同意”都需要透過自願性審查、事前告知等機制發揮保障作用。資訊主體在特定情形下有撤回同意的權利。撤回同意後,處理個人資訊的公權力機關應當對公民個人資訊進行刪除、封存和匿名化處理。同意原則是對刑事訴訟中當事人主體地位的程式性保障。這種保障既是對個人資訊處理程序的合理保障,也是對個人資訊權益的合法保護。《刑法》及相關司法解釋確實存在與《個人資訊保護法》不一致的地方,如《刑法》司法解釋對敏感個人資訊實施分級治理,既沒有明確提及生物識別資訊,也沒有把不滿14週歲未成年人的個人資訊視為敏感個人資訊。而《個人資訊保護法》正好相反,沒有對敏感個人資訊進行分級,明確把生物識別資訊和不滿14週歲未成年人的個人資訊規定為“敏感個人資訊”,對敏感個人資訊採用“概括+列舉”的規定方式。侵害敏感個人資訊行為,可能對自然人的人格尊嚴、人身安全和財產安全造成重大損害。因而《刑法》應當調整現有侵犯公民個人資訊罪相關規定,增強對敏感個人資訊特殊保護的力度。《刑法》司法解釋應當把非法獲取、出售或提供敏感個人資訊行為的起刑點設定為獲取、出售或提供50條以上的資訊量,並且對“情節特別嚴重”者,處以較之於“情節嚴重”者10倍以上的懲罰。《民法典》是《刑法》的主要“前置法”之一,《中華人民共和國刑法修正案(七)》規定了出售、非法提供公民個人資訊罪和非法獲取公民個人資訊罪;《中華人民共和國刑法修正案(九)》把罪名整合為“侵犯公民個人資訊罪”。《民法典》第九百九十七條規定了“人格權侵害禁令”規則,“人格權侵害禁令”是在人格權侵害領域中預防性責任形式的快速實現機制,它獨立於“先予執行”和普通的“行為保全”。未來有必要建立被申請人最低限度的程式保障規則,確立非訟程式和訴訟程式之間的合理轉換條件與方式,其他具體程式規則也應當根據非訟程式予以解釋構建。
