发表个人信息的保护原则、合理使用与法律保护
宋才发教授
凤凰新闻社讯
我国已建成基础稳固、内容充实、结构完备的个人信息保护法律体系,《中华人民共和国个人信息保护法》可谓个人信息保护领域的基本法。我国法律制度对个人信息权益实行分类保护原则,《中华人民共和国民法典》和《中华人民共和国个人信息保护法》共同确立了民法保护原则,个人信息保护的基础是宪法保护义务。知情同意原则是个人信息保护规范的基本原则,从保护到运用的转变是实现数据权益的最佳途径,协调保护与利用的法益平衡是处理个人信息的基本要求。侵害个人信息权的救济路径是:追究个人信息权侵害者的民事责任,对侵害个人信息权行为实施司法救济,对侵害个人信息行为提起公益诉讼,对侵犯个人信息的犯罪行为提起刑事诉讼。广西社会科学院主办的中国人文社会科学引文数据库来源期刊、中国期刊全文数据库全文收录期刊、中国学术期刊综合评价数据库统计源期刊《经济与社会发展》,2025年第5期首篇发表宋才发教授《个人信息的保护原则、合理使用与法律保护》论文,本文责任编辑陈晨,伍丹。
宋才发教授系中央民族大学法学院首任院长、二级教授,湖北省有突出贡献专家、国务院政府特殊津贴专家、国家民委首届有突出贡献专家、博士生导师,内蒙古财经大学特聘教授。
个人信息的保护原则、合理使用与法律保护
宋才发
一、问题的提出和法理证成
个人信息保护制度发轫于20世纪60年代后期。计算机和自动化信息处理技术快速运用和发展,为人们带来海量信息,提升了信息运用的敏捷性,也对个人的人格和隐私造成严重的威胁。21世纪以来,随着人类社会进入信息化、数字化时代,个人信息法律保护呈现全球性扩张的趋势,世界上已有不少国家和地区不同程度地将个人信息纳入法律保护的权益范畴。《欧盟基本权利宪章》第8条和《欧盟运行条约》第16条明确规定了“个人信息受保护权”。更多的国家和地区通过宪法解释的途径和方式,把个人信息保护纳入基本权利范围。尽管我国在保护个人信息方面起步比较晚,但是保护个人合法信息权益的力度非常大,已建成基础稳固、内容充实、结构完备的个人信息保护法律体系。譬如,《中华人民共和国宪法》(以下简称《宪法》)不仅作出关于保护公民个人信息相关权益的规定,而且将其纳入“公民基本人权保护”范畴。《中华人民共和国民法典》(以下简称《民法典》)第七编“侵权责任”以保障信息主体的人格尊严、人格自由和人格权益为己任,严格保护信息权利人因数字化时代的信息处理行为而遭受不应有的妨碍和权益毁损。个人信息保护法律体系的构建基础和逻辑起点,就是《宪法》关于“人格尊严”条款内蕴的个人信息受保护权。《宪法》第三十八条规定:“中华人民共和国公民的人格尊严不受侵犯。禁止用任何方法对公民进行侮辱、诽谤和诬告陷害。”个人信息受保护权本质上是一种对世、排他、绝对的“自决权”,也是一种新型的、独立的“人格权”。它不仅具有传统人格权消极防御的特性,更兼具积极控制功能,由此衍生出信息知情、同意、查询、修改、更正、删除等系列权能。在法治中国建设的实践过程中,选择以宪法基本权利的个人信息受保护权为逻辑基点,通过展开其内容、功能与限制规范,构建了一套基础稳固、内容充实、结构完备的个人信息保护法律体系。这个体系既能对个人信息保护规范进行系统解释,厘清诸多部门法、执法手段之间的关系,又能够对未来个人信息保护制度和实践提出规范要求,使我国《宪法》规定的个人信息受保护权能够更好地付诸实施。
《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)是信息化、数字化时代我国针对个人信息保护的基本法。《个人信息保护法》把个人信息受保护权视为一项极为重要的新型权利,确立了完整的个人信息“权利束”和权利保护体系,形成了公法、私法协同保护进路。《个人信息保护法》具有坚实的宪法基础,是《宪法》中关于人权保障、人格尊严、公民通信自由和通信秘密条款的具体化。《个人信息保护法》第四章“个人在个人信息处理活动中的权利”,以专章的形式,规定个人信息主体在信息处理活动中依法享有的各项具体权利,使个人信息受保护权利成为“制度性权利”,赋予个人对个人信息数据的全面控制权。应当说,“个人信息的合法利用”正是在个人信息受保护权的前提下提出来的。《民法典》把个人信息划分为私密信息和非私密信息两大类型,并明确提出对个人的私密信息适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定。根据《个人信息保护法》规定,数据处理者对个人信息的“合法利用”与“合理利用”,须在特定目的明确且采取有效保护措施的前提下,才能够处理敏感的个人信息。这一规定是对《民法典》个人信息保护规范的进一步发展和完善。进入信息化时代后,为应对和消除可能出现的各种对个人信息权益的损害,自然人对个人信息拥有的独立的、应受到法律保护的民事利益成为《个人信息保护法》的保护对象。概括地说,《个人信息保护法》在法律位阶上可谓个人信息保护领域的基本法,其从私法保护的视角,以“权利束”的方式规定了个人信息主体的一系列权利,从立法依据、权利体系、条文设计和规制措施上,充分体现对个人信息主体权益保护的私法和公法属性,这一点可以从基本权利的双重面向和个人信息国家保护义务上得到理论上的证成。但是,《个人信息保护法》对公法边界的形塑不是很完善,需要通过法的实施进一步确立和完善。
《个人信息保护法》与《民法典》在个人信息保护中的适用关系隐含于个人信息中的公共利益,即使这种公共利益在某种程度上可能归属于广义的公共性,但绝不能据此否定个人信息保护权益以及个人信息保护权利模式的合理性。《宪法》和《民法典》明确规定要保障权利人的人格尊严和人格自由,这同样是《个人信息保护法》的立法初衷。《个人信息保护法》相较于《民法典》进行了特别规制,但就损害认定及损害赔偿等方面的规定而言,实施《个人信息保护法》也要依据《民法典》的相关规定进行。损害赔偿的目的在于损害填补、损害预防与惩罚制裁,对损害赔偿具体数额的确定,原则上应当根据《民法典》第一千一百八十二条与《个人信息保护法》第六十九条的规定协调适用确定。《民法典》第一百一十一条规定,“自然人的个人信息受法律保护”。《个人信息保护法》有关个人信息保护的私法规范,其解释、适用应当在《民法典》的框架体系中予以展开。探讨《民法典》与《个人信息保护法》的适用关系,不仅是因为成文法国家本身就面临着不同法律在规定相同问题时须考虑如何协调适用,更是因为个人信息主体的权利规定在不同法律之中而使学者对其性质存在争议。
二、个人信息的保护原则
(一)《个人信息保护法》为维护个人信息权益确立保护原则
当前,个人信息保护领域存在的突出问题之一是重公法轻私法。由于对个人信息权益民法保护的力量相对薄弱,信息权利人在个人信息遭遇不法侵害时,受到的权益损害和精神伤害最大。但是,个人信息侵害行为的发生具有偶发性和突发性,信息权利人在事前往往很难掌控和防范,事中又无法制止,事后也很难查找到侵害者。如果不能从立法上堵塞这方面的漏洞,即使实施民法的“私力救济”,似乎也很难从根本上解决侵害问题。在以往个人信息民法保护模式的选择中,“间接保护模式”和“法益保护模式”两种方式,事实上都存在着一定的制度缺陷,唯有“权利保护模式”更加符合现实需要。在保护个人信息的法律体系中,《民法典》是保护信息权利人“人格尊严”和“信息权益”的基本法。个人信息和个人数据在范围、属性和存在状态等方面,存在诸多区别。法律制度是最大限度地实现目的和手段的理性产物,未来规范信息保护的制度设计,应当在全面实施《民法典》的基础上,更加重视“个人信息”与“个人数据”的必要区分。这就需要从立法上进一步明晰信息主体对个人信息的自主控制权,将个人信息权嵌入既有人格权规范体系中,以实现法律体系的内在和谐。对个人信息权的全面保护,需要借助综合性的法律手段,由民法、刑法、行政法从不同的治理层面加以综合规范,才能实现协同治理的目的。
《个人信息保护法》加重对侵害个人信息权益违法行为的罚款力度。从刑事责任视角看,为打击各类非法提供和获取公民个人信息行为,遏制日益猖獗的数据黑色产业链,作为最严厉的制裁规范的刑事责任体系走在了最前列。《中华人民共和国刑法》(以下简称《刑法》)第二百五十三条之一设置“侵犯公民个人信息罪”,第二百八十六条之一设置“拒不履行信息网络安全管理义务罪”,对那些严重违法处理、滥用和传播个人信息的行为实施刑事制裁。但是,当刑法作为惩治侵犯公民个人信息犯罪的最后手段时,应保持其谦抑性,确有必要时才用于惩治性质非常严重的侵犯公民个人信息犯罪,而不能过度介入一般民事、行政以及其他还没有特别明确规则的领域,尤其不应当“放低”入刑的标准和门槛,承担行政处罚的职能。《个人信息保护法》为个人信息保护提供了体系支持,如《个人信息保护法》第六十六条规定,违反本法规定非法处理、滥用和传播个人信息,“拒不改正的,并处一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款”。《个人信息保护法》通过大幅提高侵害个人信息权益违法行为罚款额度的方式,来纠正、遏制违法行为的发生,实现高效、公正的执法效果。
(二)个人信息保护制度实行分类保护原则
个人信息保护存在私法诉讼与行政规制两种主要维权路径。过去较长的一段时期内,由于认识上的分歧和个人信息处理者与信息所有者地位的失衡,加之损害性质和程度很难精准界定,个人信息所有者对侵害行为的举证步履维艰,维权难度相当大。私法诉讼一般以“侵权之诉”的形式出现和展开,个人信息权利人不可避免地处于成本与收益不均衡的两难困境,即使提起诉讼也很难有效地回应系统性的社会风险。如果采取行政规制的模式来破解个人信息保护的困境,也许是一条不同于私法诉讼的新路径。处在新时代新阶段的个人信息保护立法,应当更加妥善地处理和运用这两种路径的协调关系。以社会分工为基础的现代社会经济结构天然的不平等,迫切需要适用相应的法律制度进行矫正,以保障交易人获得适当的商品和服务,并且维护良性的竞争环境。当这种制度矫正难以在私法内部实现的时候,就需要借助私法之外的力量完成。在公民个人信息权益保护的问题上,国家对公民基本权利的保护义务为行政权介入个人信息保护法律关系提供了法权基础,行政规制的特点及其运行方式显示出工具主义层面的治理优势。国家保护公民基本权利的义务,是一个多维度、立体化的义务结构,既包括为公民基本权利的实现提供组织层面、程序层面的多种条件和保障,也包括从立法、执法、司法等各个层面为公民基本权利提供具体保护。据此,行政规制相较于私法诉讼具有一定的优势,因为它能够更加理性、高效地实现公民个人信息保护的目的,这也是国家对公民基本权利保护义务中“功能适当”原则的体现。
个人信息权保护制度实行分类分级保护原则。信息化、数字化时代的复杂性与风险性,使个人信息权利人所享有的权利呈现出多维特征,它涉及人权、宪法权利及公私法交融视域下的系列权利。我国已经进入全面深化改革的深水区,在规制和完善《个人信息保护法》的过程中,既要考虑到个体权利创设中的利益平衡,又要把制定法根植于个人信息保护的历史脉络与所处的国际场域。随着个人生物识别技术的应用,非法收集、泄露和滥用人脸信息的违法犯罪问题不断出现,敏感个人信息法益的内涵涉及包括信息权利人人格尊严和人身利益在内的方方面面。《民法典》第一千零三十四条第二款规定:“个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。”《个人信息保护法》第二十八条规定:“敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。”之所以要把个人信息区分为“敏感个人信息”与“非敏感个人信息”,是因为在难以计数和范围广阔的个人信息中,敏感个人信息承载了更高、更多的人格尊严,且敏感个人信息的泄露与非法使用更容易引发权益侵害,对敏感个人信息需要进行特殊保护。这条规定事实上为敏感个人信息权益保护提供了基本法指引。公民敏感个人信息权益,事实上受到了公法和私法的多元化、多层次保护,未来应当对敏感个人信息强化保护。敏感个人信息保护是个人信息分类分级保护制度的重要部分,现有信息保护的方式,实际上存在着流于形式、保护效能不足的问题。个人信息保护制度并非保护个人信息本身,而是要保护个人信息处理中的相关权益。《个人信息保护法》从合法性基础、知情同意、预防与技术保护措施等方面,对敏感个人信息予以强化保护。不同的合法性基础,对应不同的“知情同意”规则。对于绝大多数信息权益所有者和信息使用者而言,这毕竟还是一件不太寻常的新鲜事物,需要准确理解适用。处理公民个人信息应当遵循合法、正当、必要和诚信原则,处理敏感个人信息尤其要取得个人的单独同意。《个人信息保护法》第四十七条在《民法典》第一千零三十七条规定的基础上,对个人信息的“删除权”作了较为详尽的规定,强调“有下列情形之一的,个人信息处理者应当主动删除个人信息;个人信息处理者未删除的,个人有权请求删除”。尽管“删除权”也可以适用于网络搜索引擎,但是需要区分不同情形并作出必要限制。
(三)个人信息保护的基础是国家保护义务
应以“个人信息受保护权—国家保护义务”建构个人信息保护体系。公民享有的个人信息受保护权,本质上是“基本权利—国家义务”体系在个人信息保护领域的具体运用。《宪法》第三十三条第三款规定,“国家尊重和保障人权”。公民个人信息保护的宪法基础,是主权国家担负的保护国家和人民生命财产安全的宪法义务,其中就包含着对公民人格尊严和个人隐私、安宁进行保护的神圣职责和义务。需要指出的是,这里的个人信息保护义务,所对应的并非只是单纯的个人信息权,而是个人依法享有的人格尊严和个人隐私权、安宁权。在当下这个信息化、数字化快速发展的时代,国家不仅应当履行尊重私人生活、避免干预个人安宁的消极义务,还应当通过各级政府积极、主动作为的途径,保护和支援个人对抗来自个人信息处理中尊严减损的各种风险。这就要求国家权力机关结合“保护法”和“规制法”的机制需求,从顶层设计上确保公民个人信息受保护权的实施机制和监管机制落地见效,督促其他保障机制为监管和执法机制提供必要支持和辅助。为确保各级行政机关依法履行法定职责,《个人信息保护法》规定了内部法律责任,遗憾的是没有就行政公益诉讼作出单独规范。未来有必要引入行政公益诉讼程序,因为公益诉讼能有效填补个人信息等领域的单行法存在的漏洞。尽管个人信息受保护权是当下一种新型权利,但是《民法典》并没有把个人信息保护视为一种特殊的“隐私权”,只是进行了初步的权利化处理。《民法典》第一百一十一条规定:“任何组织或者个人需要获取他人个人信息的,应当依法取得并确保信息安全。”这里所论及的“任何组织或者个人”,理所当然地涵盖了国家机关及其工作人员,从而填补了此前我国法制整体对个人信息公法保护的缺漏。个人信息数据既不同于一般的私权物品,也绝对不能作为公共用品。依据个人信息数据在不同场域中所涉权益的性质,《刑法》对个人信息数据从经济秩序、人格权、物权与公共秩序四个方面,以四种保护模式作出具体而严厉的刑法规制。当然,《刑法》规制仍然有不周全的地方,如对个人信息数据滥用的行为缺乏必要的规定,有些罪名的适用无法准确揭示相应行为的不法本质,犯罪化不足与犯罪化过度的问题并存,对数据主体权益的保障显得不足。未来有必要从完善立法与法律解释两个层面,就《刑法》对个人信息数据保护的四种模式作出相应的调整。
三、个人信息的合理使用
(一)知情同意原则是个人信息保护规范的基本原则
使用个人信息坚持知情同意原则。数据资源是国家、企业核心竞争力的重要组成部分,政府机关、企业单位和社会个人信息使用者,对一般个人信息的收集,只需要信息权利人默示同意。法律制度在合理保护公民个人信息权益的基础上,也给政府机关、企业单位合理使用个人信息数据提供便利。无论如何强调政府机关采集个人信息的重要性,强调企业单位使用个人信息数据的社会经济效果,法律制度所提供的便利条件始终都是有底线和合理边界的。《中华人民共和国网络安全法》(以下简称《网络安全法》),较为明晰地区分并规定了对个人信息数据进行收集、使用和转让等不同情形的适用规则。《网络安全法》第四十一条规定:“网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。”但是,只要该个人信息无法识别特定个人且不能复原,就无须征得个人同意。从一定意义上说,知情同意原则符合人们对个人信息保护的直观认识。《民法典》与《个人信息保护法》为个人信息保护供给多种制度工具,进而也影响到个人信息领域的治理效果。未来应当在充分反思知情同意原则利弊得失的基础上,对《个人信息保护法》有关条款进行更加合理、精细的制度设计,既要考虑知情同意原则不与数据合理使用相抵牾,又要考虑保护个人信息机制不至于流于形式,以真正有效地保护和合理利用个人信息。《个人信息保护法》第二十九条确立了处理敏感个人信息的单独同意规则,规定数据处理者和经营者使用敏感个人信息的,应当受到《个人信息保护法》第十三条和第二十八条规定的双重约束,防止宽泛适用导致合理使用制度的滥用。处理敏感个人信息与一般个人信息的知情同意原则应当相互独立,不能采取“一揽子同意”的方式。譬如,书面同意是在单独同意的基础上对同意的形式要求,可采取合同书、信件、电报、电传、传真等形式作出。然而“告知同意规则”又是不可或缺的,在特定情形中处理敏感个人信息无须告知同意,即使告知同意也无须赋予敏感个人信息处理行为以合法性。《个人信息保护法》第七十二条还规定,“自然人因个人或者家庭事务处理个人信息的,不适用本法”,这条规定把基于家庭事务目的处理个人信息的行为,排除在《个人信息保护法》适用范围之外,间接地赋予“家庭豁免权”。
(二)从保护到运用的转变是实现数据权益的最佳途径
凡以数据产品及服务方式进入流通领域的数据均可归类为商业数据。个人信息数据能否成为有效用的商业数据,取决于基于什么样的目的以及如何利用,而非这些个人信息数据本身。实现数据权益,是数字化时代发展数字经济的前提和基础。这里的数据权益,指的就是能够进入市场流通的商业数据权益。数据权益实现的目的在于促进数据流动,在相关法律的规制下,推进个人信息数据的合理、有效使用。保护个人信息数据权益的目的在于促进数据流通,纯粹的保护不是个人信息数据价值实现和升值的手段,制定个人信息保护法律制度的根本目的不应当只是为保护而保护,而是在尊重和保护个人信息数据的前提下,推进和促进个人信息数据合理合法使用。科学合理地使用个人信息数据,既能够弥补现行理论与制度的不足,又能够涵盖更多的数据主体和数据权益,唯有实现从数据保护到数据运用的转变,才是当下和未来实现数据权益的最好思路和最佳途径。在数字化时代,任何企图阻止个人信息数据流动和被使用的想法都是徒劳的。要实现个人信息数据安全与使用效率的平衡,需依托《刑法》《民法典》《个人信息保护法》《网络安全法》等诸多法律的协同规划,做到最大限度的信息数据有效利用和最低限度的信息数据泄露与滥用。
(三)协调保护与利用的法益平衡是处理个人信息的基本要求
以法益平衡为目标,促使保护与利用的法益平衡成为处理个人信息的基本要求。根据《个人信息保护法》第六条规定,对个人信息处理行为的约束,必须以“具有明确、合理的目的”作为个人信息数据处理合规的审查起点,因为其影响着信息数据处理行为是否具备正当性的审查过程。依据《宪法》《民法典》和《个人信息保护法》的有关规定,在个人信息数据处理事务中,个人信息数据权利人享有包括一般人格权、通信自由权等形成的“基本权利束”。与此相适应,信息网络平台经营者则享有网络经营权和合法收益权。目的限制原则在双方展开法益平衡和博弈的过程中,平衡个人对数据处理透明度的诉求与数据控制者便捷处理的诉求。正因为行政法的比例原则以法益平衡为其目标,保护个人信息权益的行政法律规范与《个人信息保护法》的立法宗旨相契合,诸法协调保护与利用的法益平衡,成为处理个人信息数据的基本要求。《个人信息保护法》规定的“敏感个人信息”处理规则,是一个整体性的、体系性的制度安排。对敏感个人信息的处理,需要以信息主体的书面同意为前提,处理规则的内容包括限制性原则与知情同意原则,从而促使敏感个人信息处理规则的设置理念,由“告知—同意”转向“风险预防”,评估模式也相应地实现了由单一评估模式向复合评估模式的转变。《个人信息保护法》第六十九条第一款规定了过错推定责任原则,即“处理个人信息侵害个人信息权益造成损害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任”。个人信息处理者承担“过错推定责任”的基础在于个人信息处理者的处理行为所产生的法定作为义务。
四、个人信息权的法律保护
(一)追究侵害个人信息权侵权者的民事责任
民事责任在保护个人信息权法律责任体系中具有重要地位。随着全面依法治国和建设法治中国的整体推进,探讨侵犯公民个人信息罪法益的研究成果越来越多,但是很少有学者专门研究其证成规则,已有研究法益选择的合理性不足,致使其缺乏应有的说服力,因而陷入“学说丰富,规则缺失”的窘境,侵犯公民个人信息罪的法益证成规则,就是论证该罪法益的步骤、方法与路径。考察《民法典》《个人信息保护法》《网络安全法》等“前置法”有关个人信息保护的规定所保护的法益,有助于在进行类别选择后对侵犯公民个人信息犯罪的法益进行具体确定。必须明确,侵犯公民个人信息罪所保护的法益,必须是名副其实的法益,因为即使是最严厉的刑法,也应与其他法律所主张和保护的法益具有一致性。《个人信息保护法》尽管是保护个人信息权益的专门法,但唯有第六十九条规定了侵害公民个人信息权益的民事侵权责任。应当看到,民事侵权责任相较于刑事责任和行政责任而言,在保护个人信息权益中更聚焦受害人个体救济。同时应当指出,《个人信息保护法》第六十九条虽规定个人信息处理者侵害个人信息权益造成损害,“不能证明自己没有过错的,应当承担损害赔偿等侵权责任”,但至于保护个人信息权益民事责任的具体内容,则涵盖在其他的法律条文之中。由于个人信息权益最根本的、最主要的是私法权益,因而保护个人信息权益最主要的方式和方法自然是民事责任。《个人信息保护法》在第七章“法律责任”中,从顶层设计上全面系统地规定了侵害个人信息权益的民事责任、行政责任和刑事责任,突出了民事责任特别是民事侵权责任的重要地位。
(二)对侵害个人信息权行为实施司法救济
《民法典》的相关规定为其他法律关于个人信息保护的规定奠定坚实基础。无论是基于行政法律对侵害个人信息不法行为的处理,还是《刑法》关于侵犯公民个人信息犯罪的适用,都是以公民个人信息的民事权益保护为基础的,这对于实施侵犯公民个人信息违法犯罪的司法救济具有重大现实意义。对现实生活中侵犯公民个人信息罪的制裁和惩处,比较理想的治理模式应当是“刑法后行”,即先由“前置法”处置,再由《刑法》予以刑事处罚。但长期以来,我国《刑法》先于其他部门法规定专门的侵犯公民个人信息罪,之后才出现对个人信息保护作出集中规定的“前置法”。尽管行政法律责任和刑事法律责任都是保护公民个人信息权益的强有力手段,但是行政法与刑法的谦抑性原则强调侵权者的侵害行为构成侵权罪的,必须是“造成了严重后果”的不法行为。然而在通常的情况下,大规模侵害个人信息权益、具有严重损害后果的情形并不多见,因而难以达到启动公法保护程序的实质性要求,实施公力救济的有效性空间相当有限。此外,承担行政责任或者刑事责任所缴的罚金必须全部上缴国库,事实上达不到从社会层面救济受害者的实际效果。如果能够在私益诉讼中适用并推行惩罚性赔偿制度,就能够达到侵犯公民个人信息违法犯罪的司法救济目的,为此国家及有关部门创设了惩罚性赔偿金制度。设立惩罚性赔偿金制度的目的,就是鼓励受害人积极维权,抚慰受害人受到的精神损害,并达到遏制侵权者不法侵权行为肆意蔓延的社会效果。但值得注意的是,个人信息保护公益诉讼并非适合于惩罚性赔偿制度,也未必能达到对个人信息权益受损者实施司法救济的目的,因为惩罚性赔偿的严厉性高于一般损害赔偿责任,惩罚性赔偿规定在当下可适用的范围和空间非常有限。
(三)对侵害个人信息行为提起公益诉讼
个人信息保护公益诉讼制度是一个具有广泛国际共识性的制度。《个人信息保护法》第七十条规定:“个人信息处理者违反本法规定处理个人信息,侵害众多个人的权益的,人民检察院、法律规定的消费者组织和由国家网信部门确定的组织可以依法向人民法院提起诉讼。”这条规定的实质性意义在于承认个人信息保护的公益诉讼制度,体现《个人信息保护法》在顺应世界法治潮流、吸收国内最新研究成果的基础上,立法机关对社会需求的积极回应。当下,公民个人信息保护民事公益诉讼请求制度面临着诸多非常棘手的问题。譬如,诉讼目的界分不明确、起诉人顺位不清晰、法院对损害赔偿请求态度不统一等。在民事公益诉讼的管辖上,存在着中级人民法院、互联网法院和普通基层人民法院并行的局面。国家层面应当明晰,实施公益诉讼制度的目的在于维护公民个人信息的宏观环境,适时把人民检察院、法律规定的组织机构以及由国家网信部门确定的组织,作为同一顺位民事公益诉讼的起诉人。在民事公益诉讼的管辖上,建议统一实行“基层人民法院为主、中级人民法院为辅”的管辖原则。由于《个人信息保护法》第七十条并没有对起诉主体诉权顺位作出规定,能够被国家网信部门确定为起诉主体的组织机构,几乎涵盖了所有具有个人信息保护功能的公益性组织。因此,在起诉主体诉权顺位上,如果把这些组织置于检察机关之前,则有利于激发和调动社会力量的积极性,达到社会力量助推公益维权之目的。我国的个人信息保护公益诉讼制度,与其他公益诉讼制度具有共通性。譬如,在侵害众多消费者权益的商品侵权案件审理中,消费者公益诉讼的受害人主要是某类商品、服务的购买者或者使用者,受害人的范围具有特定性。在法律规范上,《中华人民共和国民事诉讼法》(以下简称《民事诉讼法》)第五十五条就与其他公益诉讼制度具有共通性,公共利益受到侵害“人民法院认为可以合并审理并经当事人同意的,为共同诉讼”。在具体解释和适用个人信息保护公益诉讼规则的时候,也可以利用公益诉讼制度的共通性特征,更好地阐释个人信息保护公益诉讼制度。
(四)对侵犯公民个人信息罪的犯罪行为提起刑事诉讼
个人信息已成为刑事案件侦查与审理的重要内容之一。同意原则在刑事诉讼个人信息处理中适用,对实现犯罪治理与保障个人信息权益具有重要的功能作用。有效的“同意”,包括自愿同意、知情同意和特定明确的同意等,所有这些“同意”都需要通过自愿性审查、事前告知等机制发挥保障作用。信息主体在特定情形下有撤回同意的权利。撤回同意后,处理个人信息的公权力机关应当对公民个人信息进行删除、封存和匿名化处理。同意原则是对刑事诉讼中当事人主体地位的程序性保障。这种保障既是对个人信息处理程序的合理保障,也是对个人信息权益的合法保护。《刑法》及相关司法解释确实存在与《个人信息保护法》不一致的地方,如《刑法》司法解释对敏感个人信息实施分级治理,既没有明确提及生物识别信息,也没有把不满14周岁未成年人的个人信息视为敏感个人信息。而《个人信息保护法》正好相反,没有对敏感个人信息进行分级,明确把生物识别信息和不满14周岁未成年人的个人信息规定为“敏感个人信息”,对敏感个人信息采用“概括+列举”的规定方式。侵害敏感个人信息行为,可能对自然人的人格尊严、人身安全和财产安全造成重大损害。因而《刑法》应当调整现有侵犯公民个人信息罪相关规定,增强对敏感个人信息特殊保护的力度。《刑法》司法解释应当把非法获取、出售或提供敏感个人信息行为的起刑点设定为获取、出售或提供50条以上的信息量,并且对“情节特别严重”者,处以较之于“情节严重”者10倍以上的惩罚。《民法典》是《刑法》的主要“前置法”之一,《中华人民共和国刑法修正案(七)》规定了出售、非法提供公民个人信息罪和非法获取公民个人信息罪;《中华人民共和国刑法修正案(九)》把罪名整合为“侵犯公民个人信息罪”。《民法典》第九百九十七条规定了“人格权侵害禁令”规则,“人格权侵害禁令”是在人格权侵害领域中预防性责任形式的快速实现机制,它独立于“先予执行”和普通的“行为保全”。未来有必要建立被申请人最低限度的程序保障规则,确立非讼程序和诉讼程序之间的合理转换条件与方式,其他具体程序规则也应当根据非讼程序予以解释构建。
责任编辑 檄文
