摘要： 我国《民法典》作为调整平等主体之间的人身关系和财产关系的民事性法律规范，也将个人信息作为一种人格权益置于人格权编中进行保护，规定了个人信息的含义、分类和适用规则，保护人民的人格尊严和个人权利，保护信息安全乃至国家安全。结合国内外不同学者观点和法律制度将对我国《民法典》完善个人信息保护具有借鉴意义，从我国现有立法经验来看，美国和欧盟的立法模式将会对我国的个人信息保护的立法完善作出提醒和提供经验。

关键词：个人信息保护 民法典 个人信息

一、

引 言

自20世纪80年代以来，人类社会开始步入数据与信息的时代，出现了各种适应社会的新型人格权，其中最为突出的是个人信息权益。大数据分析、分享的发展也涉及个人信息的保存、收集和处理利用。如今，数据已经超越土地、技术、资本等生产要素成为了数字经济时代最为关键的要素之一。数据是信息的表现形式，数据时代下的个人信息保护问题受到我国乃至世界各国立法的高度重视，当前世界上已经有120多个国家和地区有专门的个人信息保护立法，如我国台湾地区的“个人资料保护法”、德国的《联邦数据保护法》、欧盟的《一般数据保护条例》(GDPR)、日本的《个人信息保护法》、韩国的《信息通信网利用促进及信息保护法》、《个人信息保护法》及《信用信息的利用及保护法》等。我国立法机关也高度重视个人信息保护。无论是2013年修订的《消费者权益保护法》，还是2017年施行的《网络安全法》、《民法总则》以及2019年施行的《电子商务法》都对个人信息保护作出了不同程度的规定。但是，这些零散的法律对个人信息的保护都是不成系统的。直至《中华人民共和国民法典》（以下简称《民法典》）将个人信息保护纳入到人格权编第六章，《个人信息保护法》对个人信息作出了全面保护，才极大提高了个人信息的保护力度，但是个人信息保护还存在一些困境，亟待进一步完善。

《民法典》是民商事领域的基本法，是市场经济的保护法。现行《民法典》有关个人信息保护的规定，具有非比寻常的意义。一方面，通过规定自然人的个人信息权益的内容，确定自然人对个人信息享有的首先是民事权益并且是人格权益，彰显了《民法典》对自然人的人格尊严和人格自由充分的尊重，表明了在任何有关个人信息保护的立法中都应始终密切关注自然人对自身个人信息权益的保护与信息的自由流动二者的协调和二者法律价值的权衡。

结合国内外制度和学者论点，本文认为，个人信息权益作为一项人格权益，具有可识别性、人身属性和财产属性。结合我国《民法典》制定进程，说明我国对个人信息保护的相关法律规定，通过探讨美国分别立法和行业自律结合的立法模式以及欧盟注重人格尊严的传统和防御为主的立法模式，思考扩张隐私权客体内容和将个人信息分立权利的利弊，对我国个人信息保护作出经验总结。通过分析知情同意原则过于隐晦、侵权责任缺失、《民法典》与《个人信息保护法》的关系等问题，提出明确知情统一原则、完善侵权责任体系、协调《民法典》与《个人信息保护法》关系等建议。

二、

个人信息的基本理论

（一）个人信息概述

现行《民法典》第一千零三十四条第二款明确规定了个人信息的概念，“个人信息是以电子或其他方式将记录的能够单独或者与其他信息结合识别特定自然人的各种信息，包括自然人的姓名、出生日期、身份证号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。”

首先，根据此款规定，不难看出个人信息的本质属性，甚至是实质性要素为“可识别性”。《民法典》所保护的个人信息是具有可识别性的，区别于进入流通领域的那些已去标识化的信息。识别的方式包括直接识别，即通过某个信息就可直接识别到特定信息主体，例如居民身份证号这类特定的、专属的信息。也包括间接识别，即依据单个信息无法识别到特定个人，需要与其他数据信息相关联结合处理之后，才能定位到特定的信息主体的识别方式。有关个人信息的“可识别性”在《个人信息保护法》中也有所体现，《个人信息保护法》中规定个人信息是关于“已识别或者可识别的自然人有关的各种信息”，表明可识别性是我国法律所保护的个人信息的普遍属性。

其次，个人信息同时具有人身属性和财产属性。根据《民法典》第一千零三十四条的规定，个人信息是关于“特定自然人”的各种信息，离开了特定人及其人身特点例如姓名、生物识别信息等，个人信息将失去其应有之义。这就说明，个人信息的人身属性不可或缺。同时，在社会数据日益竞争激烈的局势下，个人信息的经济价值越来越凸显，大数据对个人信息的收集和利用越来越具有商业价值，例如购物软件收集用户个人偏好以进行个性化推荐，提高用户购物体验感和提升交易成交率等行为展现出个人信息逐渐具有了财产属性。由此可见，个人信息同时具有人身属性和财产属性。

综上所述，个人信息的特点包括可识别性、人身属性和财产属性。

（二）个人信息的性质

谈到对个人信息的保护与利用，就要探讨个人信息在《民法典》中的性质认定究竟是权利还是权益。

在《民法典》立法过程中，对于第四编第六章的题目一度曾使用“隐私权与个人信息权”的表述，但后来又转变为“隐私权和个人信息保护”，直至最终通过的《民法典》仍使用的“隐私权和个人信息保护”，而没有采用“个人信息权”的表述。之所以最终立法机关并未采取“个人信息权”的说法，究其原因在于对是否将其规定为一项权利存在很大的争议，学界尚未达成共识。近似人格权说认为虽然《民法总则》并未将其明确规定为一项民事权利，但对自然人而言，《民法总则》关于个人信息保护条款是具有宣誓性意义的确权性规定。人格权说认为由于对侵害个人信息的行为有特定的义务人，因而使个人信息成为一项民事权利，明确个人信息的权利保护对保护公民的人格尊严，使公民免受侵扰，维护正常的社会秩序具有现实意义[1]。法益说认为，《民法总则》考虑到个人信息的复杂性，只是笼统规定个人信息受法律保护[2]，为将来个人信息在利益上兼顾财产化以及与数字经济的发展衔接预留空间。

综合以上观点，虽然《民法典》将个人信息权益规定在人格权编中，但并未将其归类在人格权中，而在人格权外规定了“自然人享有基于人身自由、人格尊严产生的其他人格权益”，表明了个人信息只是一项人格权益而非人格权利。并且传统的人格权理论认为人格权本身是一项绝对平等和非财产型的权利，而个人信息本身包含人身属性和财产属性，以及在信息处理过程中个人信息主体和繁多庞大的信息处理者之间的不平衡地位决定其并不可能适配传统的人格权理论，也并不能简单将其定义为传统的人格权。因此，本文赞成法益说，认为我国《民法典》是采取了较为稳健的方式，并未将个人信息设置为一项权利，以免引起自然人对其个人信息的过度支配和控制，以致影响市场上信息的自由流动，不利于网络信息时代数字经济的发展。在《个人信息保护法》中也是使用“保护个人信息权益”的措辞，未将个人信息保护定义为一项权利，仍旧以权益保护的立法定位制定个人信息保护的相关制度和规则，也印证了个人信息保护现阶段为一项权益这一观点。

（三）个人信息与隐私权的界定区分

值得注意的是《民法典》第一千零三十四条第三款的规定：“个人信息中的隐私信息，适用有关隐私权的规定；没有规定的，适用有关个人信息保护的规定。”根据上述法条中对于个人信息保护和隐私权的规定，可以得出以下结论：第一，我国现行法将个人信息分为隐私信息和非隐私信息，隐私信息为个人信息与隐私权的交叉部分。第二，在隐私信息的适用问题上，优先适用隐私权规则，当隐私权规则无法适用时，才适用个人信息规则。

何为隐私信息以及如何对其进行检验，《民法典》还尚未明确其标准。在实践中，主要有两种方式，要么是根据社会普遍认知以及社会公众的合理期待。这种方式可以在最大程度上尊重普通群众对其隐私信息保护的期待，但其中包含的主观意愿太强烈，在不同的地区不同的场合都会有不同的角度和看法，需要当事人和司法裁判者根据具体场景去分析认定，很难有一个科学化体系化的标准。第二种方式是按照私密性检验标准进行区分，包括基本的私人生活安宁和不愿为他人知晓两个判断，对个人生活安宁是否受到影响是比较好认定的，对于是否为他人愿意为他人知晓则需要结合个人主观意愿。这两种方式虽然各有利弊，但都共同反映出隐私信息和非隐私信息的界限并不明确，对隐私信息的检验要多方面进行考虑，需要结合多个因素入手进行判断。如何界分个人信息保护和隐私权？需要进一步厘清二者的区别。

1. 权利主体不同

在权利主体方面，《民法典》将其都置于人格权编，说明二者都属于民事主体中自然人所享有的人格权益范畴。但个人信息保护针对信息能力不平等的商业化或专业化的信息处理者，对不具备信息处理关系、只具备人际关系的情形不予考虑。而隐私权是一种对世权，针对所有不特定的第三人，任何不特定第三人都能与被侵权者形成平等的隐私权双方主体。

2. 权利客体不同

在权利客体方面，二者在外延上存在交叉之处。个人信息保护的包括所有可识别或者已识别的信息，其范围及其宽泛，远大于隐私权所保护的所谓隐私——个人不愿为人所知的、披露后会导致个人社会评价降低的私密信息。即个人信息中包含了不可公开的隐私信息，也包括了其他可公开的个人信息，另一方面，隐私自身就也具有个人信息的性质。

3. 权利性质不同

在权利性质方面，个人信息权益是积极的具有程序性质的或者说工具性质的，强调个人对其自身信息一定程度上的控制和支配，目的是实现信息的有效治理而不是绝对支配。而隐私权是消极防御的具有实体性质的，强调当隐私受到侵害时的救济，而不是积极的主动保护，因为这种权利是社会公众所普遍认可与支持的，与普通群众的个人尊严与生活安宁有关。

（四）个人信息保护的重要性和必要性

1. 个人信息保护的重要性

经济价值上，在现代数字化时代，个人信息作为一种重要的媒介，在人际交往和商业交流上都发挥着重要的作用。数据产业蓬勃发展的今天，网络方便了人们的日常交流，人和人的距离逐渐拉近，信息数据给公民的生活带来了便利，也给各行各业带来了巨大的商业价值，公司和企业利用数据信息观望发展方向、估算利润比例和判断投资风险，以追逐利润最大化。

伦理价值上，个人信息保护是彰显“以人民为中心”原则、尊重公民人格尊严的重要表现。同时，每个人都应该具有“人的尊严”，相互尊重是一个社会发展进步的基础，要尊重人的尊严，就要保护人作为人应该享有的隐私和个人不受侵犯的自由，要尊重主体意愿，保护个人隐私信息和私密信息不受非法侵害和破坏。

2. 个人信息保护的必要性

个人信息保护作为一项法律权益，有着国家、社会和个人对其的需求和期待，有着其身为法律权益所应有的法的价值，包括效率价值、秩序价值和安全价值。

在效率价值上，大数据时代，信息需要交流、传播与共享，这是信息的价值所在，使得信息在不侵害人民利益的情况下最大限度造福于人民、造福于社会是信息交流、传播与共享的应由之义。在此过程中，应该通过法律对个人信息保护加以规制，合理配置资源，避免数据浪费，最大程度地提高数据利用率。在秩序价值上，个人信息主体和个人信息处理者之间不平等的地位使得个人信息的保护受到了极大的威胁，如果不借助法律规制，将无从实现个人信息的保护，无法统一信息数据市场，使得市场上的信息关系错综复杂，混乱不堪。在安全价值上，对于国家的信息安全和数据安全来说，个人信息需要是可控的。大数据是国家重要的战略资源，信息安全也是国家安全的重要组成部分。算法的日益精细化使每个信息主体都可以快速捕捉个人信息并进行分析利用，建立各自的信息库，导致各种各样的个人信息侵害行为层出不穷，给个人和社会的伤害无法估算，与之相对应的，个人信息的安全可控成为亟待解决的问题。

三、

个人信息保护的基本理论

（一）个人信息保护的立法现状

《民法总则》颁布以前，民事法律规范方面对个人信息的保护并不明确，《民法总则》制定过程中两起个人信息泄露案件提高了立法机关对个人信息保护的重视度，一则是2016年徐玉玉个人信息泄露导致9900学费被骗郁结于心导致心脏骤停的电信诈骗案，一则是清华大学教授被诈骗分子以欠税之由被骗卖房款1760万元的诈骗案。《民法总则》第111条确立了对个人信息的保护规定。

《民法总则》生效后至《民法典》生效前，立法上都未对隐私权和个人信息保护进行明确的区分，也没有规定各自明确的适用规则。从法条规定上来看，隐私权和个人信息保护仍是作为一体化进行保护，但已经有学者已经就二者的区分保护做出了探讨研究，学界和实践过程中也一定程度上对二者进行了区分保护。其中一些民事特别法的出台和修订对个人信息的保护进行了一定程度的完善，例如全国人民代表大会常务委员会《关于加强网络信息保护的决定》列举了数条侵害公民个人信息的行为，《消费者权益保护法》在修订过程中增加规定了经营者侵害消费者个人信息的数个侵权行为，以及《网络安全法》规定的网络运营者对个人信息的保护原则。2021年11月1日，我国第一部个人信息保护的专门性法律《个人信息保护法》开始施行，开启了依法全面保护个人信息的新时代，立法的逐步完善将有助于我国司法对个人信息保护的完善，更大程度地保护公民的个人信息安全。

《民法典》生效后，随着《民法典》对隐私权和个人信息概念进行了区分规定，二者界限的厘清具有了一定的进步，首先区分了个人信息保护和隐私权所保护的客体，其次将隐私信息和非隐私信息区分开，并明确了二者的适用规则和相关的规则顺位。

（二）个人信息保护的司法现状

正由于保护个人信息的法律过于分散，有关侵害个人信息案件的法律适用存在很大的问题。一方面，公民在个人信息被侵犯时，在多部法律的交叉规定下难以明确该用哪部法律来进行救济。另一方面，我国早期在进行司法审判时，许多个人信息侵权案件被依照其他案由进行审理，其中较多的被归入一般人格权纠纷、隐私权纠纷中。近年来，个人信息的救济力度逐步提高，各级司法裁判机关不断加强对侵害个人信息的办案水平，但对个人信息的法律适用和案由认定问题仍然积重难返，许多本该是侵犯个人信息的案件由于法律对个人信息和隐私权的范畴规定的模糊而被司法裁判机关认定为是隐私权纠纷以便司法机关按照明确的隐私权规则进行处理。

（三）个人信息保护存在的问题

1. 知情同意原则过于隐晦

个人信息的使用应当获得信息主体的知情同意，这是个人信息保护的核心，是维护个人信息安全以及自然人人格尊严的必经途径。知情同意包括“知情”和“同意”，合法处理个人信息就要使信息主体充分了解和认识个人信息收集和利用情况，然后做出内心真实的同意表示，这样才能发挥知情同意规则的实际效力。

然而《民法典》对个人信息保护的相关条文中却并未对知情同意作出明确规定。《民法典》中与知情同意相关的规定仅有《民法典》第一千零三十五条，该条说明，信息处理者在处理个人信息时应当征得自然人或其监护人的同意，并且要符合公开处理信息的原则和明示处理信息的目的、方式和范围，以及要符合法律、行政法规的规定和双方约定的兜底条款。

相比于《民法典》第一千零三十七条对个人信息保护的查阅权、复制权、异议请求权和更正权等具体权利的规定，对于知情同意这样的模糊规定既没有明确规定公民的知情同意权利，也无法对违反知情同意的行为进行兜底性保护，这样的权利设置缺失会使个人信息保护存在漏洞，难以在个人信息处理过程中的充分保护公民的个人信息利益。

现实中，不少平台通过所谓“用户协议”为自己滥用个人信息设置障眼法，看似取得了用户的授权同意，看似明示了信息处理方式和范围，实则超越用户的授权范围，私自滥用用户个人信息，而用户往往难以及时确定个人信息被侵害滥用，可能直到遭遇信息侵害行为，例如骚扰电话和骚扰短信的肆虐，才发现个人信息被随意公开、处理。但基于互联网众多平台都签订所谓范围或大或小、授权或明确或含糊的用户协议，用户也难以查找到泄露源头，更难以对信息侵权行为予以追责。由此可以看出，我国对知情同意的规定亟待完善。

2. 个人信息保护规则的缺失

我国现行《民法典》对个人信息的保护规则主要是第一千零三十五条的合法、正当、必要原则，主要包括以下三个方面。

第一，处理个人信息时要以合法原则为底线，在信息处理过程中妥善平衡信息技术发展与个人信息保护之间的平衡关系。第二，个人信息处理手段应当坚持正当原则，任何主体都不能无限度的处理个人信息。第三，使用个人信息不能超过必要的限度。

此项原则性规定明确了个人信息保护的方向和价值判断。但具体内容的缺失给该原则的实际适用带来了一定的困难，《民法典》需要对其内容加以细化规定。合法、正当、必要的范围，需要《民法典》对其进行进一步的细化。

3. 《民法典》与《个人信息保护法》的界限模糊

我国对于个人信息保护的规定散见于各部民事性法律规范，其中最集中进行保护的就是自2021年11月1日起生效的具有专门法属性的《个人信息保护法》。可以说，《个人信息保护法》在立法上完善与补充了《民法典》对个人信息的保护，使得我国个人信息保护进入到了一个新阶段。但同时，《个人信息保护法》与《民法典》的界定适用以及平衡关系是一个新问题。

学界一般认为，《民法典》和《个人信息保护法》是一般法与特别法的关系，《民法典》规定个人信息保护的基本问题，《个人信息保护法》作全面具体的规定。二者发生冲突时，以特别法优先于一般法的效力原则适用。这种情况往往会导致《民法典》中关于个人信息保护的条款处于架空状态，非必要不会采用《民法典》当中的规定，那么《民法典》有关信息保护的规定是否还有必要进行进一步的细化，甚至《民法典》中有关个人信息保护的条款是否还有必要存在，成为一项必须研究的课题。

4. 个人信息保护归责原则存在争议

我国《个人信息保护法》对个人信息侵权责任的归责原则主张过错推定责任。《民法典》中并未明确规定个人信息侵权处理原则，对于如何准确地适用归责原则仍有待进一步明确。据相关条文规定，违反了法律法规使自然人产生经济损害或精神损害时，需要承担一定的民事责任。

程啸认为侵害个人信息权益案件应当统一适用无过错责任[3]。杨立新教授在《侵害公民个人电子信息的侵权行为及其责任》一文中认为个人信息侵权行为属于一般侵权行为，应当适用过错原则进行归责。部分学者还主张根据信息处理者是否是公务机关采用不同的归责原则，公务机关对个人信息权益的侵害适用无过错责任，对非公务机关适用过错推定责任[4]。有的学者认为综合运用多重归责原则。

四、

域外个人信息保护模式及借鉴

（一）美国的分散立法模式

美国的个人信息保护并未设置专门的法律，而是以隐私权为基础，通过扩张隐私权的客体范围来涵盖个人信息，保护形成了既有美国特色的、依靠“分别立法+行业自律”来平衡隐私保护和信息流通关系的、多层次保护的立法格局。

在公共领域，以联邦立法以及各州立法来规制联邦公共机关的资料处理行为，在私人行业，以极强的行业自律约束信息管理，仅仅针对某些需要立法加以特殊规范的领域制定法律加以规范。此立法模式可以分类管理不同类型个人信息以及对不同的个人信息采取不同的治理保护，特别是在面对信息技术的变化带来的信息管理新问题，能够进行灵活的调整和处理。但同时，这样的立法模式过于分散而显得支离破碎，其个人信息保护并未形成一个统一完整的体系，其个人信息保护的不同标准会导致司法上的差异和不平衡不协调，某种程度上将加剧信息治理的困境。

美国的个人信息保护也并未独立，而是与隐私权相粘连，没有明确个人信息保护的定义概念以及相应的受侵害之后的处理规则。这就导致随着信息技术的不断发展，传统的隐私理念无法实现对个人信息的保护，美国就通过不断扩张隐私权的客体范围以涵盖个人信息，强化对个人信息的保护。虽然这种做法给企业提供了灵活性，但也难以避免企业利用这一点将其本不合法不合理的信息处理行为合法化，规避惩罚，钻法律的漏洞。

由美国的立法模式提供的借鉴有二：其一，个人信息保护需要与隐私权有一定的界限和分离，否则会导致信息处理的宽泛化，留下太多漏洞。其二，个人信息的保护需要统一化体系化，不能过于分散，否则将会导致行业混乱和信息管理不平衡。

（二）欧盟的统一立法模式

欧盟对个人信息的保护与美国不同，欧盟采取统一立法模式，将个人信息数据保护权从隐私权中分离，由欧盟统一制定相关个人信息保护的法律，并由各成员国统一遵守。

一方面欧洲向来注重保护公民人格尊严和个人权利的人权保护传统，另一方面为促进数据在成员国中的自由流动，统一数据保护在各成员国中的立法标准，欧盟在《个人信息保护指令》（95/46/EC号指令）中规定，将个人信息受保护权从隐私权中分离，欧盟作为管理者和监督者，通过设置个人权利为其数据的收集管理与使用监督提供法律依据，认为信息处理行为的合法与否必须要有法律依据，按照法律的规定对成员国的不法行为进行规制。再者，由于欧洲大多互联网企业规模并不大，在这种情况下，欧盟对数据的保护侧重于防止数据流失，采取贸易保护主义的态度，通过输出其市场准入标准来保护自身的数据市场。

欧盟的立法模式对我国的借鉴意义有三点：第一，重视保护公民个人的人格尊严和个人权利，就要加强个人信息保护权利设置和法律完善，这与我国保护人民人格尊严的初衷不谋而合，为我国个人信息保护提供了价值上的借鉴和提示，也为我国是否要将个人信息保护从一项权益转化为一项权利提供了参考。第二，与美国信息保护不同，欧盟的信息保护采取统一立法，将各成员国的数据保护置于统一标准之下，为我国加强个人信息保护的体系化提供借鉴。第三，由于我国数据市场的庞大和繁杂，欧盟仅仅以防守的方式进行立法是并不适用于我国个人信息保护立法的，我国应该建立更完整完善的保护机制，既要加强“防守”又要“主动出击”。

五、

个人信息保护的完善建议

（一）明确知情同意权

知情同意权作为个人信息保护的核心，《民法典》必须对其进行明确规定。知情同意权是信息主体在保护其个人信息过程中行使其他权利，如查阅权、复制权和更正权等权利的前提条件，只有当信息主体明确认识和了解其个人信息的使用方式、利用范围和利用手段等，才能对个人信息使用的范围进行查阅，才能对信息滥用的行为进行异议更正等救济处理。

为了增强知情同意权对个人信息的保护，应同时增加信息处理着在信息处理过程中的法定义务，如必须明确公示其使用信息的范围内容，并严格遵守与信息主体的约定，不得超越授权范围进行信息的过度处理和滥用。另外，信息处理者应秉承诚信公平原则，为个人信息的保护起到积极作用，设置简单易懂的知情同意条款，减少专业术语的使用或对有关术语进行补充说明，尽量避免冗长复杂的协议条款给用户带来的理解困难，以最大程度实现知情同意条款所起的作用。

（二）进一步加强个人信息保护规则

《民法典》仅仅规定了合法正当必要的原则，未对其内容进行进一步阐述，完善个人信息保护，就需要建立健全个人信息保护规则，充实合法正当必要原则的内容以实现司法的应用和信息主体的权益保护。

首先，确保信息主体的授权是明确的。信息主体在作出信息授权时必须是明知的，信息主体对其授权行为所带来的法律后果必须是明确且清晰知晓的，信息处理者对个人信息的处理应当满足信息主体的合理期待。当信息处理者违背公平诚信原则，做出超越授权的行为，侵害到信息主体的信息安全时，将承担相应的法律责任。

其次，信息处理者获得的信息主体的授权行为只能是针对授权行为作出时的当次使用。由于信息传播速度快和传播方式多样便捷，为保护信息主体的个人信息安全，如果信息处理者将多次使用，需要在条款中列明再次使用的场所和途径，否则将承担相应的侵权责任。

再者，严格限制概括授权。信息授权的内容应详尽且清晰易懂，不能只是一条笼统的免责条款或概括事项。必须明确信息主体对信息处理者所授予的信息种类、使用范围使用程度。如若超出授权范围，信息处理者将承担相应的侵权责任。

（三）《民法典》与《个人信息保护法》的协调适用

首先，我国近代民法对人予以重点保护的立法发展方向决定了对公民人格权保护的重视。现行《民法典》中将人格权独立成编也体现了对人格权的保护和重视，《民法典》对个人信息权益的规定不可或缺。其次，《民法典》作为民事领域的基本法律，个人信息权益作为信息时代一项重要的人格权益，需要《民法典》对其进行明确的规范。

即使《个人信息保护法》的出台对个人信息保护具有非一般的价值，仍然不能忽视《民法典》对个人信息的保护作用，需要注意的是二者的衔接和配合。

第一，《民法典》应规定个人信息保护的原则性规定，给《个人信息保护法》定好宗旨和方向，做好民事基本法的基本规定。

第二，《个人信息保护法》必须遵循《民法典》的立法精神，保障信息主体的人格尊严和民事权益，同时顺应时代的发展，充分发挥个人信息的经济价值和社会价值。

第三，《个人信息保护法》与《民法典》中个人信息的保护原则相衔接，做到法律体系的统一，以免发生法律规定冲突，造成司法混乱。

（四）三元归责体系的建立

由于个人信息侵权责任的缺失，信息主体难以通过诉讼追究侵权方的责任，无法获得相应的赔偿。司法机关对个人信息侵害案件的救济只能依据《民法典》侵权责任编的一般侵权责任原则即过错责任原则进行处理。但这种不区分信息处理主体和场景的立法规定并不能平衡信息主体之间的不平等地位，无法完全解决信息处理过程中引发的侵权问题，对此综合不同学者的观点，本文认为应当采取三元归责原则。

首先，公务机关在通过大数据处理个人信息时造成的侵害个人信息结果的，适用无过错责任原则。由于公权力机关对信息的掌控程度是个体所无力对抗的，当政府机关利用大数据处理个人信息不当时，个人无法追究清楚责任，为了保护人民和社会的利益，对公权力进行必要的约束，此时应采取无过错责任原则。

其次，其他主体在通过大数据对相关主体造成损失的，应遵循过错推定责任原则。其他主体相较于公权力机关对信息掌握的程度没有那么强，但由于这类信息主体最容易造成信息侵权行为并无法确定其责任，因此应当采用过错推定责任原则。根据信息主体的申请，在信息处理者不能证明其没有过错是。推定其具有过程而承担相应的责任，以维护信息主体的信息安全。

再者，对网络运营商对信息主体造成的间接侵权行为进行规定：第一，网络运营商对用户个人信息的转送和传播未尽到及时通知义务的，应该承担相应的责任。第二，应该明确规定不符合通知义务的情形，对网络运营商的合法合理行为免责。

六、

结语

在数字经济时代，个人信息作为兼具人身属性与财产属性的特殊客体，其保护问题已成为关涉人格尊严、社会秩序与国家安全的重要议题。我国《民法典》将个人信息纳入人格权编予以保护，通过界定其概念、性质及适用规则，初步构建起以人格权益为核心的民事保护框架，体现了对自然人主体地位的尊重及对信息自由流动与权益保障的平衡。然而，现行制度仍存在知情同意原则模糊、侵权责任规则缺失、《民法典》与《个人信息保护法》界限不清等现实困境。通过对美国分散立法模式与欧盟统一立法模式的比较分析可知，我国需在体系化立法、权利性质明晰化及归责机制精细化等方面进一步探索。

未来完善个人信息保护制度，应着重明确知情同意权的具体内涵，细化合法、正当、必要原则的适用标准，协调《民法典》与《个人信息保护法》的规范衔接，并构建三元归责体系以应对不同主体的侵权责任。唯有立足本土实践、借鉴域外经验，方能在保障个人信息权益的同时，促进数据要素的高效流通与数字经济的健康发展，最终实现人格尊严维护与技术进步之间的动态平衡。

参考文献：

[1] 张新宝：《中华人民共和国民法总则释义》，中国人民大学出版社2017年版，第220页。

[2] 王利明：《中华人民共和国民法总则详解》，中国法制出版社2017年版，第465页。

[3] 程啸：《论侵害个人信息的民事责任》，《暨南学报（哲学社会科学版）》，2020年第2期，第43页。

[4] 姚佳：《论个人信息处理者的民事责任》，《清华法学》，2021年第3期，第53页。

*上下滑动查看

作者介绍

杨一平

北京市京师（郑州）律师事务所

实习律师