包邮【第二版】个人信息保护纠纷理论释解与裁判实务

基本原理 一、个人信息的界定 根据《个人信息保护法》第4条规定，个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。这一界定与此前来自《网络安全法》关于个人信息的界定略有不同。《网络安全法》第76条第5项规定，个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。[1]我国台湾地区于2016年修正之后的“个人资料保护法”第2条第1款规定：个人资料是指自然人之姓名、出生年月日、国民身份证统一编号、护照号码、特征、指纹、婚姻、家庭、教育、职业、病例、医疗、基因、性生活、健康检查、犯罪前科、联络方式、财务情况、社会活动及其他得以直接或间接方式识别该个人之资料。以上关于个人信息的界定，有的仅仅是对个人信息进行定义，有的则是对于各种具体的个人信息进行了不完全的列举。但实际上，个人信息的具体类别远不止上述内容。*新修订并于2020年10月1日实施的国家标准《信息安全技术·个人信息安全规范》（GB/T 35273-2020）将个人信息区分为13大类、90多种具体的个人信息。[2]值得注意的是，随着信息科学技术的发展和人类社会活动的深入拓展，个人信息的种类还会不断丰富。就此而言，任何有关个人信息范围的列举，都可能是不完全的，我们应该对个人信息保持一种开放的态度，随时准备接纳新的个人信息种类。 二、个人信息的法律属性 （一）关于个人信息法律属性的论争 **种观点认为，个人信息属于隐私权的客体，即个人信息属于所谓的“数据隐私”（Data Privacy）。该种观点强调对个人数据的控制与利用，对其以隐私权进行保护较为恰当。 第二种观点认为，个人信息属于人格权的客体。在个人信息之下，对其的收集、处理和利用，都直接关系到信息主体个人的人格尊严。因此，对于个人信息应该按照人格权进行保护。这一主张主要是德国、法国等欧州部分国家的观点。 第三种观点认为，个人信息属于财产权的客体，即个人信息体现的是一种财产权益。既然是一种财产权益，则其权利内容可以比照所有权，因而权利主体对个人信息享有占有、使用、收益、处分的权能。[3] 第四种观点认为，个人信息就是一种独立的权利客体，个人信息所负载的是个人信息权益，个人信息就是个人信息权益的客体。《民法典》第111条规定的个人信息，就是规定的个人信息权益，是一种具体人格权。[4] （二）个人信息法律属性的述评 以上关于个人信息法律属性的认识各有所据，值得研究。个人信息的具体类型中，有很多都与自然人的隐私利益密切相关。比如，个人生物识别信息中的基因，个人健康生理信息中的既往病史等，都属于个人的隐私。可见，个人信息的确与隐私有很多交叉。但如果因此将个人信息确定为隐私权的客体，则又人为地限缩了个人信息的范围。因为，个人信息中也有很多信息并不属于隐私，比如，个人姓名、性别、电话号码等。因此，单纯地将个人信息确定为隐私权的客体是以偏概全了。将个人信息视为财产权的客体同样限缩了个人信息的种类和范围。虽然根据黑格尔的学说，个人信息本身并非主体的内在物，主体可以将自有的意志体现在个人信息中，且可根据自由意志对个人信息进行商业利用。[5]但如果据此认定个人信息属于财产权客体，也未尽妥当。传统民法中的肖像权，也是可以进行商业利用的权利，但是否可以据此认为肖像权属于财产权呢？所以，将个人信息作为财产权的客体，也不可取。《民法典》第111条虽然规定了个人信息受法律保护，但并没有明确将其称为“个人信息权益”，而在其他条款中，对于姓名权、身体权、健康权、物权、债权等明确将其称为“某某权”。按照体系解释的方法，应当认为立法上并没有完全承认“个人信息权益”这样的概念。在《民法典》中，第四编第六章的题目也是“隐私权和个人信息保护”，仍然没有用“个人信息权益”的表述。这表明，《民法典》并没有将个人信息利益明确承认为一种独立的权利类型。不过，随着世界范围内个人信息保护运动的兴起和发展，个人信息利益中的权利内涵已经相当丰富，而各国对个人信息利益的保护强度虽然在一定程度上不及“权利”，但也在较大程度上提供了较为完全的保护。在此情况下，不妨顺应时代发展潮流，给个人信息冠以“权利”之名，使其成为有名有实的权利。当然，作为保护个人信息的一部重要的综合性法律，《个人信息保护法》也没有用“个人信息权”而是“个人信息利益”（第1条）的表述，基于此，本书在问题探讨的层面，主要使用“个人信息权益”的表述。 根据以上分析，排除个人信息的隐私权客体说、财产权客体说，同时考虑到个人信息利益还没有被《民法典》和《个人信息保护法》确认为有名有实的“权利”的情况，本书认为，在现阶段，个人信息应当认为属于人格权益的客体，在具体的权利表述上，一般可以将个人信息利益归入一般人格权的范畴，但个人信息权益仍然不是权利，还不能将其视为与人格权完全相同的权利类型，在保护方法上也不能完全类推适用人格权作为绝对权和支配权的方法，而只能部分地类推适用，比如排除妨碍等。需要指出的是，本书将个人信息定位为人格权的客体，是在把企业数据和个人信息相区分的基础上所得出的判断。一方面，《民法典》第127条已经明确对数据进行赋权，作为数据主体的数据生成者、数据控制者、数据处理者显然不同于作为个人信息主体的自然人。数据已经成为要素市场资源的重要组成部分，中共中央、国务院也于2020年3月30日发布《关于构建更加完善的要素市场化配置体制机制的意见》，要加快推进包括数据要素在内的要素市场化配置改革，推动数据的开放共享、提升数据资源价值、加强数据资源整合与安全保护。在此背景下，数据有必要与个人信息相分离而成为独立的权利客体。另一方面，数据虽然来源于人们日常工作、生活中的言谈、举止、情绪等信息，但数据本身也与信息存在差别，数据的外延小于信息，它只是信息的媒介和载体，[6]这就决定了它们之间存在相互分离而成为独立的权利客体的可能性。也正因如此，十三届全国人大常委会才将个人信息保护和数据安全（利用）分别立法，即《个人信息保护法》和《数据安全法》，以实现自然人人格利益、企业经济利益和国家公共利益的协调与平衡。[7] 三、个人信息的分类 个人信息基于不同的标准可以划分为不同的种类，实务界和理论界对于个人信息分类的认识有所不同，不同分类项下的个人信息在归责原则、证明标准等方面亦有所差别。我们综合各种分类方式，认为可以将个人信息从以下三个方面进行分类。 （一）政府掌控的个人信息、自然人掌控的个人信息和其他组织掌控的个人信息 按照个人信息掌控主体的不同可以将个人信息划分为政府掌控的个人信息、自然人掌控的个人信息、其他组织掌控的个人信息。该分类标准虽然比较周延，但三种类别下的个人信息存在交叉，比如身份证号码由政府提供，自然人自身也控制着身份证号码。对于其他组织掌控的个人信息，主要是从消费者隐私保护的角度进行言说，体现为金融机构、医疗机构、企业经营者等主体对消费者个人信息的保护义务，在《个人信息保护法》颁行之前，对于其他不能通过隐私权保护的个人信息则缺乏体系化的保护手段。[8]不过，这一状况在《个人信息保护法》颁行之后已经得到解决。 上述分类的意义在于，学者认为，在确定侵犯个人信息的侵权责任时，对于政府掌控的个人信息应当确立无过错责任原则，而对于其他组织掌控的个人信息，应当确立过错推定责任，对于自然人掌控的个人信息，则应当确立一般的过错责任原则。[9]政府以及其他组织相较于自然人而言，获取以及通过数据自动处理（大数据）技术处理个人信息的能力更强，更有可能侵犯个人合法权益。并且，由于信息处理的复杂性，一旦发生个人信息的侵害事件，个人对于过错的举证能力相对较弱，因此，上述证明责任的分配标准是有合理性的。但是，《个人信息保护法》第69条第1款对于个人信息的侵权损害赔偿，已经统一确定为过错推定责任。在此情况下，前述基于侵权损害赔偿归责原则基础上的分类，就只有理论意义了。也就是说，在《个人信息保护法》颁行后的司法实践中，不论掌握个人信息的是谁，都统一适用过错推定原则。 （二）原生的个人信息与衍生的个人信息 按照产生来源的不同可以将个人信息划分为原生的个人信息与衍生的个人信息。原生的个人信息，是指通过合法的记录、储存而产生的个人信息，并不依赖现有数据。原生个人信息的产生是一个从无到有的过程，被记录和储存是其重要技术特征。原生的个人信息并不能被直接使用，也不是大数据交易中所要研究的对象，其可以直接被获取的价值极为有限。衍生的个人信息，是指系统的、通过计算机数据处理系统可读取的、有使用价值的个人信息，其建立在原生的个人信息被合法记录、存储后，并经过特定的算法计算、加工和聚合之后。相较于原生的个人信息，加工、计算、聚合等处理是其重要特征。[10] 上述分类的意义在于，一方面，实践中针对原生个人信息，一般不会发生大规模侵权，而针对衍生个人信息，则可能发生针对某一群体的大规模侵权，从而存在提起公益诉讼的必要性。另一方面，针对原生个人信息，司法审判中应强调保护优先。而针对衍生个人信息，因涉及国家的信息产业战略，在强调对衍生个人信息进行保护的同时，需要兼顾衍生个人信息的流通。不宜仅仅强调对信息主体的保护，而不合理地限制个人信息（数据）的流通。 （三）敏感个人信息与非敏感个人信息 按照信息内容是否直接涉及个人人格尊严和人身、财产安全，可以将个人信息划分为敏感个人信息与非敏感个人信息。根据《个人信息保护法》第28条第1款，敏感个人信息是指一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满14周岁未成年人的个人信息。此外，有关性生活、遗传信息等个人信息也属于敏感个人信息。[11]《信息安全技术·公共及商用服务信息系统个人信息保护指南》（GB/Z 28288-2012）第3条、第7条将个人敏感信息界定为，一旦遭到泄露或修改，会对标识的个人信息主体造成不良影响的个人信息，包括身份证号码、手机号码、种族、政治观点、宗教信仰、基因、指纹等。 《信息安全技术·个人信息安全规范》（GB/Z 35273-2020）附录B将敏感个人信息界定为：一旦泄露、非法提供或滥用可能危害人身和财产安全，极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。从效力层级看，以上关于敏感个人信息的界定当然应以《个人信息保护法》第28条第1款为准，但由于《个人信息保护法》第28条第1款关于敏感个人信息的列举是不完全列举，在实践中具体认定敏感个人信息时完全可以参照上述国家标准。与敏感个人信息相对，非敏感个人信息则是指敏感个人信息以外的个人信息。 上述分类的意义在于，敏感个人信息与个人的人身和财产权益联系得更为紧密，一旦遭到泄露或修改将直接侵犯个人的人身和财产权益，因此，对于敏感个人信息的保护应高于非敏感个人信息的保护。正如《个人信息保护法》第28条第2款规定的那样，只有在存在具体特定的目的和充分的必要性，并采取严格保护措施的情形下，个人信息处理者方可处理敏感个人信息。在具体的司法审判中，对于敏感个人信息被侵犯的信息主体，应提供更为便捷和低成本的保护，在证明责任分配上，《个人信息保护法》第69条已经确定了对所有个人信息权益造成损害时的举证责任倒置规则，即由侵权人证明其对个人信息的处理没有过错，这对于敏感个人信息的保护无疑更具有重要意义。同时，可以考虑降低被侵权人对于侵权行为、因果关系的证明标准，从而更有效地保护敏感个人信息。 四、个人信息与非个人信息 欧盟《非个人数据自由流动条例》（Regulation on the Free Flow of Non-personal Data）第3条规定，非个人数据是指个人数据之外的数据。本书认为，个人数据之外的数据主要包括三种情况：其一，由自然人产生的单纯的无识别性的信息。例如，早高峰期间使用摩拜单车的次数、某微信公众号文章的点赞次数等。其二，由民事主体经过加工梳理产生的无识别性的信息。例如，每年11月12日淘宝统计的“双十一”交易金额、交易单数等。其三，对原始数据进行匿名化处理之后获得的增值数据。例如，高德地图对过去迁徙数据整理、分析后对下一年黄金周出行的提示等。 个人信息与非个人信息的区分，对司法实践的*大意义在于，从个人信息与非个人信息的关系上看，非个人信息可以向个人信息转化。一旦发生转化，则原本是对非个人信息的侵犯（可能并不构成侵权），嗣后可能转变成对个人信息的侵犯（构成侵权）。一般而言，非个人信息转化为个人信息的途径主要有二：一是匿名化之后的再识别；二是对若干分散的非个人信息进行分析综合，如人肉搜索。就此而言，个人信息是绝对的，非个人信息是相对的，司法实践中，只要某些信息综合到一起时可以定位到某一具体人，不论其单个的信息是个人信息还是非个人信息，对这一信息集群都应提供保护。 ??专题２????住宿信息是否属于个人信息而受法律保护 案例简介 2017年7月21日晚上，原告到被告处住宿，于当天离店。嗣后，案外人楼某某以公安机关办案需要为由向被告调取原告的开房记录，被告向楼某某提供了《双盈酒店客人账单》，账单记载：姓名：吴某某；入住日期：2017年7月21日18：49；离店日期：2017年7月21日20：46；房间号：1012；消费合计168元。楼某某收到上述账单后，于2017年7月31日向原告妻子发送短信，主要内容：“吴某某同银行员工青某，7月5日、8日、21日二人到柯桥滨海酒店保（包）房间，你老公有外遇，你还不知道，人家已经闹离昏（婚）了。”“但是事情闹大了对你老公没什么好处，是不是？你等几天再说，如果我侄子他们和好的话，那什么也不说了，行吗？证据我今晚已拿到了，视频也有的，过两天再说，你把你的老公尽量挽回，谢谢。”并将从被告处得到的上述账单影印件发送给原告妻子。后原告于2018年6月1日诉至法院，请求：1.判令被告法定代表人当面向原告赔礼道歉；2.判令被告赔偿原告精神损失费10000元；3.诉讼费用由被告承担。 法院裁判认为，隐私是一种与公共利益、群体利益无关的，当事人不愿让他人知道或他人不便知道的信息，当事人不愿他人干涉或他人不便干涉的个人私事和当事人不愿他人侵入或不便侵入的个人领域。隐私权是指自然人享有的对自己的个人秘密和个人私生活进行支配并排除他人干涉的一种人格权，不允许他人非法获悉、收集、利用和侵扰。本案中，原告因私人生活需要到被告处开房，属于当事人不愿他人干涉或他人不便干涉的个人私事，其住宿信息属于具有隐私性质的人格权益，受法律保护，被告作为从事旅馆服务业的单位，更负有对客户隐私保护的义务。然被告在案外人楼某某因其个人原因索要原告的住宿信息时，在未查清其真实身份之前，即将原告的住宿信息提供给被告，致使原告的隐私被他人知道，本案事实也表明，楼某某得到原告的住宿信息后，当即发信息给原告妻子，造成一定范围内的扩散，被告之行为侵犯了原告的隐私权，且主观上有过错，依法应向原告承担侵权责任，现原告要求被告当面赔礼道歉，理由正当，法院应予支持。[12] 法官评析 1.吴某某的住宿信息属于其隐私 本案中，法院认为吴某某的住宿信息属于具有隐私性质的人格权益，实际上肯定了涉案的住宿信息属于隐私。根据当时施行的《*高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》（法释〔2014〕11号）第12条第1款规定，网络用户或者网络服务提供者利用网络公开自然人基因信息、病历资料、健康检查资料、犯罪记录、家庭住址、私人活动等个人隐私和其他个人信息，造成他人损害，被侵权人请求其承担侵权责任的，人民法院应予支持。对该条进行文义解释可以发现，自然人基因信息、病历资料、健康检查资料、犯罪记录、家庭住址、私人活动等都属于个人隐私。本案中吴某某在宾馆的开房住宿信息，无疑属于其私人活动，应当属于其个人隐私。因此，法院将吴某某的住宿信息认定为个人隐私是妥当的。 2.吴某某的住宿信息同时也属于个人信息 尽管理论界与实务界关于隐私与个人信息的界分问题并未完全取得一致，但至少存在以下共识。一方面，隐私与个人信息的确存在差别。隐私常常强调私密性，一旦被公开，就不再是隐私。个人信息并不强调私密性，尽管有的个人信息也属于私密信息，但这仅仅是个人信息的一个类型，而不是其质的规定性。个人信息常常强调可识别性，能够单独或组合之后与特定自然人的人格和身份相联系。隐私则并不注重识别性，凡属私人领域不愿公开且不涉及公共利益的信息或活动都可成为隐私。以隐私为客体的隐私权主要是一种防御性、被动性的权利，只有在权利被侵害时，才能显示其权利的效力。而以个人信息为客体的个人信息权益则是一种进取性、主动性的权利，即使在其没有被侵犯时，权利主体也可以积极主动地进行利用。[13]当然，在权利被侵害时，也可以请求更正、删除或赔偿损失。就此而言，个人信息权益的效力更为丰富、饱满。另一方面，隐私与个人信息存在很多共同点。不论是隐私，还是个人信息，都只是针对自然人而言的，所谓的隐私权和个人信息权益，都只是自然人才能享有的合法权益。同时，隐私和个人信息在范围上有很多交叉。很多个人信息在没有被公开之前都属于隐私。而很多隐私，本身也属于个人信息中的私密信息。比如，个人的银行账号信息，既属于个人信息，也属于个人隐私中的财产性隐私。随着以大数据分析为基础的算法技术的发展，很多隐私可以通过技术手段予以数据化，并单独或与其他信息结合起来匹配到某一个具体的自然人。也就是说，在计算机信息技术的加持下，隐私越来越多地被通过计算机可读的数据形式予以信息化，从而成为个人信息。基于以上分析，某一类具体的个人信息，完全可能具有隐私和个人信息的双重属性。本案中的住宿信息显然就属于这种情况，虽然法院判决将吴某某的住宿信息认定为个人隐私，但这丝毫不妨碍其住宿信息本身也属于个人信息的认定。 3.自然人的住宿信息应作为个人信息给予积极的保护 本案中，吴某某的住宿信息被作为隐私权客体提供了司法保护。但需要指出的是，住宿信息作为吴某某的个人信息也可受到《个人信息保护法》的保护。并且，从隐私权和个人信息权益的不同点来考察，个人信息权益作为一种更具积极性和进取性的权利类型，可以为自然人提供更为周全、更为主动的保护。比如，根据《个人信息保护法》第13条，除特别情形外，在个人信息的收集环节，收集行为就首先需要征得信息主体的同意。信息主体还可以主动地提出要求，限定信息收集者的收集范围和目的。当收集的信息发生错误的时候，信息主体可以主动要求信息收集者予以更正和删除。信息收集者超越收集目的使用个人信息的，信息主体还可以撤回同意，并要求其删除。由此可见，个人信息权益表现出了非常积极的控制性和自主决定性。也正是因为个人信息权益具有如此积极主动的性格，德国学者将其称为“个人信息自决权”（Das Recht auf Informationelle Selbstbestimmung），并将其归为一般人格权的下位概念。[14]所以，从纯粹的权利保护效果上看，为住宿信息提供个人信息权益层面的保护，应该是更为积极、更为周全的。对于自然人而言，这样的权利保护效果更为积极有效，应该予以确认。 规范指引 《民法典》 第1165条第1款　行为人因过错侵害他人民事权益造成损害的，应当承担侵权责任。 第111条　自然人的个人信息受法律保护。任何组织或者个人需要获取他人个人信息的，应当依法取得并确保信息安全，不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息。 《个人信息保护法》 第13条　符合下列情形之一的，个人信息处理者方可处理个人信息： （一）取得个人的同意； （二）为订立、履行个人作为一方当事人的合同所必需，或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需； （三）为履行法定职责或者法定义务所必需； （四）为应对突发公共卫生事件，或者紧急情况下为保护自然人的生命健康和财产安全所必需； （五）为公共利益实施新闻报道、舆论监督等行为，在合理的范围内处理个人信息； （六）依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息； （七）法律、行政法规规定的其他情形。 依照本法其他有关规定，处理个人信息应当取得个人同意，但是有前款第二项至第七项规定情形的，不需取得个人同意。 [1]　此外，《*高人民法院、*高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第1条也对“个人信息”进行了类似的定义。 [2]　参见《信息安全技术·个人信息安全规范》（GB/T 35273-2020）附表A。 [3]　以上各种观点可参见张平：《大数据时代个人信息保护的立法选择》，载《北京大学学报》（哲学社会科学版）2017年第3期。 [4]　参见杨立新：《个人信息：法益抑或民事权利——对〈民法总则〉第111条规定的“个人信息”之解读》，载《法学论坛》2018年第1期。 [5]　参见刘德良：《个人信息的财产权保护》，载《法学研究》2007年第3期。 [6]　参见梅夏英：《数据的法律属性及其民法定位》，载《中国社会科学》2016年第9期。 [7]　参见许可：《大数据产业发展的法律双轮驱动》，载https：//www.sohu.com/a/233125513_362042，2020年7月5日*后访问。 [8]　参见阳雪雅：《论个人信息的界定、分类及流通体系——兼评〈民法总则〉第111条》，载《东方法学》2019年第4期，第37页。 [9]　参见叶名怡：《个人信息的侵权法保护》，载《法学研究》2018年第4期。 [10]　参见李雅男：《数据保护行为规制路径的实现》，载《学术交流》2018年第7期。 [11]　参见张新宝：《从隐私到个人信息：利益再衡量的理论与制度安排》，载《中国法学》2015年第3期。 [12]　参见浙江省绍兴市柯桥区人民法院（2018）浙0603民初5539号民事判决书。 [13]　参见王利明：《人格权重大疑难问题研究》，法律出版社2019年版，第687—690页。 [14]　Vgl. Taeger / Gabel，Kommemtar zum BDSG，Frankfurt am Main，2010，S.8.