【引言】

本文節選《網絡環境下的個人信息保護》論文的部分內容，寫于《民法典》、《個人信息保護法》頒布之前。其對個人信息的概述與特點分析在今天看來仍有參考意義，關于個人信息的比較法分析也為我國個人信息保護立法奠定了基礎。值得注意的是，文中提到的個人信息保護的立法現狀指的是我國在2017年對個人信息立法保護的情況介紹，這對我們了解我國個人信息立法保護的歷史有一定價值。同時，再回顧文中提到的當時個人信息保護立法存在的問題，我們發現隨著學界對個人信息保護探討的發展與《個人信息保護法》的出臺，大部分問題如今已經迎刃而解，而當今的個人信息保護與利用，仍在不斷出現新的問題需要我們去解決。

目錄

一、 網絡環境下的個人信息概述

（一）什么是個人信息

（二）個人信息與個人隱私辨析

（三）網絡時代個人信息的特點

二、 個人信息保護的比較法分析

（一）歐盟

（二）美國

（三）我國個人信息保護的立法現狀

（四）對我國個人信息保護立法模式選擇的啟示

三、中國個人信息法律保護的立法考量

（一）平衡法律規制的立足點——尋求個人信息的自由流動和人格保護二者的平衡

（二）個人信息的多次利用對“目的明確原則”的再詮釋

（三）樹立以風險控制為導向的信息管理理念

（四）應重視個人信息使用環節的監管

（五）遵循從設計著手保護隱私（Privacy by Design，PbD）等針對大數據、云計算服務的立法趨勢

【摘??要】商國務院信息化發展綱領性文件《2006-2020年國家信息化發展戰略》將信息資源稱為“日益成為重要生產要素、無形資產和社會財富”。在信息產業飛速發展的時代，個人信息存在著巨大價值，這使得侵犯信息主體對個人信息享有的合法權益的現象愈演愈烈。面對信息技術和互聯網日新月異的飛速發展，個人信息保護又面臨一些新的挑戰，為應對這些新舊挑戰，我們應當立足于在個人信息的自由流動和人格保護之間尋求動態平衡，并廣泛參考國外成熟的立法經驗，構建適合我國國情的個人信息保護法律體系。

【關鍵詞】個人信息 人格權 立法模式 互聯網 大數據

一、網絡環境下的個人信息概述

（一）什么是個人信息

在個人信息的定義上，從各國的立法表述看，《德國個人資料保護法》第2條將“個人信息”定義為:“凡涉及特定或可得特定的自然人的所有屬人或屬事的個人資料”。根據《英國資料保護法》第1條的規定,個人信息是指可以直接或者間接識別一個生存的人所有資料,包括個人觀點的表達、個人意圖的表達等。我國臺灣地區《電腦處理個人資料保護法》第3條第1款規定:“個人資料是指自然人姓名、出生年月日、身份證統一編號、特征、指紋、婚姻、家庭、教育、職業、健康、病歷、財務情況、社會活動等足以識別該個人之資料”。

從以上表述中可以看出，并不是所有有關個人的數據、信息都可以納入法律意義上的“個人信息”，該信息必須能夠綜合分析出專屬于某個人。因此，“可識別性”是判斷是否屬于個人信息的關鍵。如果能夠運用合理的方法將某個人從一群人中選擇出來，就可認為這個人被識別了。因此，需要從各方面綜合分析，對個人信息進行甄別。如果從對個人信息的記載中可以較為明顯地推出某個人時，也就說明此類信息具有識別個人的標志性特征。我國的首個個人信息保護國家標準《信息安全技術公共及商用服務信息系統個人信息保護指南》將“個人信息”表述為“可為信息系統所處理、與特定自然人相關、能夠單獨或通過與其他信息結合識別該特定自然人的數據。”

然而，個人信息的屬性是動態變化的，即同一條信息可能在此時不被視為個人信息，但在另一個場景中，其屬性可能發生變化。個人信息的屬性判斷取決于其收集和使用的場景，需結合具體獲取方式、使用方式等因素綜合認定，而不是對信息的性質預先作出判斷。進一步而言，個人信息的處理是否給用戶帶來隱私風險的原因并非來自其是否構成個人信息，而是在具體場景中被如何使用以及是否符合用戶在相應場景中的合理期待。換言之，信息性質的判斷遠非目的，信息處理行為的隱私風險方為衡量機構責任的最終標準。

（二）個人信息與個人隱私辨析

個人信息保護權常常與隱私權相聯系，因為二者之間的確存在著緊密聯系。某些個人信息，如個人的健康狀況、手術記錄、宗教信仰等，同樣是屬于隱私的范疇。對這些個人信息的侵犯，其后果常常也是對其隱私的侵犯。正因為二者之間的密切聯系，很多人將個人信息保護權與隱私權等同，或者認為通過確立隱私權制度，即足以實現對個人信息的保護。

但其實，個人信息受保護權是一項與隱私權所不同的獨立權利。隱私權作為一項具體人格權，是指自然人享有的私人生活安寧與私人信息秘密依法受到保護，不被他人非法侵擾、知悉、搜集、利用和公開的一種人格權。個人隱私始終是公民不愿意讓外界所知曉的敏感信息，對其保護的重點是保護個人的私密空間不受侵害；而個人信息的內涵則強調“識別”，即他人可通過個人信息認出信息主體，個人信息概念遠遠超出了隱私信息的范圍。具體的不同點體現在：第一，個人信息保護是一項獨立的基本權利，不是隱私權范疇內的某種權益。第二，某些個人信息并不具有隱秘性，可能已經在一定范圍內公開，但并不排除權利主體對自身信息的控制權，而隱私一旦被披露，其私密性就難以通過救濟途徑予以恢復，損害后果往往不可逆。而個人信息可以被反復利用，信息主體可以授權不同機構利用其個人信息，造成的損害也通常具有可恢復性。例如對個人信息的非法收集、非法儲存等行為，權利人有權請求行為人刪除信息，恢復權利原狀。第三，個人信息權必須通過載體予以固定，在大數據環境下，個人信息通常以數字化形式表現出來，而隱私不限于信息形態，可以是私人活動、私人空間等不需要通過某種數字化載體體現的。第四，二者的保護范圍和方式也不完全相同。個人信息的保護范圍，往往被認為包括但不限于對隱私的保護。另外，隱私在很多時候采取的是主觀標準，如果當事人不認為所涉事實是隱私的，往往可能不被認定為隱私；而個人信息的認定則有客觀標準，并不完全遵照當事人的主觀認知。

從我國既有的人格權立法體系看，隱私權作為人格權的一種，其內涵有一定界限，不能簡單用“隱私權”來代替“個人信息權”。

（三）網絡時代個人信息的特點

計算機通信技術與互聯網的發展不僅帶來了生產方式的變革，更導致了人類生活方式前所未有的信息化嬗變。在這一進程中，技術與社會相互型塑，兩者間的影響往往難以預料，致使社會信息化的后果更為復雜多變。近年來，隨著互聯網、信息存儲、云計算、物聯網、社交網絡、移動智能終端突飛猛進的發展，數據的信息處理與應用進入大數據時代。大數據技術，尤其是大數據挖掘技術的迅速普及給社會商業模式、政府行為模式帶來了新的發展。

同時，網絡與大數據的發展也引發了一系列價值沖突，迫使人們在法律層面予以回應。特別是鑒于大數據直接涉及對個人信息及行為數據的收集、處理與使用，給新環境下個人信息保護帶來新的挑戰。

網絡時代的個人信息呈現出不同于傳統社會中個人信息的一些特點：

第一，信息來源的廣泛性、內容的多維度。互聯網、大數據技術使關于個人信息的海量數據被記錄和處理。一方面，很多信息空間中存儲和處理的數據已經超過TB與PB量級；另一方面，有關個人信息的數據類型包括文本、音頻、視頻、網絡點擊數據流、博客、微博等多種多樣的形式。包括互聯網服務提供者、電信運營商在內的主體提供互聯網或通信服務，每時每刻都要獲取海量的來自終端和用戶的信息。比如用戶日常在網絡和移動終端上留下的瀏覽記錄、購物消費記錄、送貨地址、通信信息，微博、微信圖片、文字、地理位置、留言評論，網絡通信所儲存的郵件、賬單，通信設備GPS 系統所留下的位置地址信息、日常運動軌跡等。

第二，獲取信息的主體范圍擴大化。網絡時代能夠獲取用戶個人信息的主體遠不止電信運營商和互聯網服務提供者。隨著人們生活方式和社會組織運行方式的互聯網化，通過互聯網獲取個人信息的主體也越來越多樣化。以網購行為為例，除了電信運營商、網購平臺之外，能獲取個人信息的至少還包括賣家、物流公司，甚至包括提供運費險的保險公司。從行業來看，包括電信和互聯網、商貿流通、物流配送、保險等多個行業。

第三，網絡技術導致信息主體對自身信息的控制力減弱。在信息社會，個人信息的收集與處理大多是通過計算機等自動化設備進行的，這種收集往往是在信息主體不知情的情況下進行的。信息獲取者借助技術手段，在信息主體不知情或不能控制的情形下暗中實施數據的收集、分析，這些網絡技術工具可能包括system administrator(服務器系統管理員、可詳細記錄訪問息)、cookies（跟蹤軟件）、new visitor counting（對造訪者進行再度造訪次數的記錄軟件）、push technology（追蹤與歸類用戶特定網絡興趣或所需網絡信息內容之功能的軟件）、oil change program（記錄用戶硬盤詳細內容的軟件）。以Cookies為例，cookies服務器暫時存放在用戶的電腦里（.txt格式的文本文件），好讓服務器用來辨認計算機,當用戶在瀏覽網站的時候，Web服務器會先將一些資料放在用戶的計算機上，跟蹤統計用戶訪問該網站的習慣，比如什么時間訪問，訪問了哪些頁面，在每個網頁的停留時間等。當下次再訪問同一個網站，服務器會先看看有沒有它上次留下的Cookies資料，并依據Cookies里的內容來判斷使用者，送出特定的網頁內容。這些技術工具的應用使得收集、記錄、處理和利用信息更加地方便、快速，成本低廉。并且通過隱秘的方式將上述工具植入用戶使用的程序中，如果沒有明確提示，普通的網絡使用者往往無從知曉，更難以控制行為所載的信息被收集和獲取。

此外，大多數網站公布隱私政策的方式是在網頁的上方或下方的非顯著位置置入隱私政策的鏈接，例如某知名社交軟件隱私政策文本中將用戶的接受方式表述為“您使用或繼續使用我們的服務，都表示您同意我們按照本《隱私政策》收集、使用、儲存和分享您的信息”，即采用用戶默示同意的方式授權服務商處理個人信息。但所謂的默示同意實際上是一種被動式的消極同意，多數用戶并不會在使用網站服務之前先去尋找并點擊閱讀冗長的隱私政策，更不用說為了要獲取網站的服務而對此提出反對意見并要求服務商進行修改。“不反對即推定為同意”的規則，其實造成一種現象，即用戶為了獲取必要的網絡服務而對個人信息控制乏力。

第四，大數據分析處理能力、云計算對個人信息保護帶來新的影響和風險。通過技術獲得的海量信息絕大多數都是碎片化的信息，只有通過分析才能獲取智能的、深入的、有價值的信息。越來越多的應用涉及到大數據，而這些大數據的屬性，包括數量，速度，多樣性等等都是呈現了大數據不斷增長的復雜性，所以大數據的分析方法就顯得尤為重要，可以說是決定這些信息最終是否有價值的重要因素。而通過一定的方式，對實時數據和歷史數據進行適當的分析，可以很容易的發現用戶規律性的行動軌跡、常用移動終端應用軟件種類、不同終端在位置和時間上的耦合關系等，進而對用戶的生活習慣、興趣愛好、職業特點、消費及投資偏好等在一定程度上作出推斷，甚至可以還原出用戶的身份和人格面貌。

互聯網以及與之相關的產業發展日新月異，除大數據外，云計算(CloudComputing)作為一種新的服務模式近年來發展也十分迅速。云計算簡單地說是指通過互聯網可以獲取的、由處于遠端的計算機所提供的數據存儲、處理和使用。它將計算任務分布到大量由計算機構成的資源池上，從而使用戶能夠根據需要獲取計算力、存儲空間和信息服務；這種資源池就稱為“云”?！霸啤笔且恍┛梢宰晕揖S護和管理的虛擬計算資源，通常是一些大型服務器集群，包括計算服務器、存儲服務器和寬帶資源等。由此，用戶可以幾乎無限地獲取計算能力，他們自身不必進行大規模投資以滿足這些需求，而可以通過網絡連接在任何地點都獲得信息。云計算可以極大地使用戶節省成本，提高效率，實現技術創新，這對中小企業尤其重要。云計算具有高動態、高可靠性的特點，數據的存儲和安全完全由云計算提供商負責。這對于用戶的個人信息保護來說比傳統的信息儲存方式存在更大的風險。一方面，用戶將數據托管給云服務商后，對數據享有優先訪問權的不是用戶，而是云服務提供商。云服務提供商能夠對用戶數據進行直接獲取、收集和分析，挖掘出用戶的各種數據，因此難以排除內部人員對云端信息的不良使用、惡意泄露等問題；另一方面，由于云服務提供商擁有的海量用戶數據具有極大商業價值，因此也面臨系統技術安全問題以及被黑客攻擊的潛在風險。2011年3月，谷歌郵箱發生大規模用戶信息泄露事件；同年，黑客利用亞馬遜EC2云計算服務，對索尼PlayStation網站進行了攻擊，造成用戶信息大規模泄露；2012年，盛大云服務器因磁盤損壞而導致部分用戶個人信息丟失。

第五，個人信息的公共價值和商業價值正在被充分挖掘。移動互聯網、搜索引擎、在線社區、電子商務平臺、社交網站等大型的聯機系統及其它先進的技術手段提供了個人社會行為的真實、詳細的記錄，使得政府部門可以全面地了解個人信息所反映的某種社會行為或現象背后的規律，并通過分析把這些規律運用到醫療、交通、城市規劃、公共安全等不同的領域，以幫助推進建立一個更高效的社會運行機制。個人的網絡瀏覽、網絡搜索、網絡互動、網絡交易等行為產生了大量的實時數據，依據大規模真實的個人數據，政府部門和公共機構得以深度探索社會、經濟運行的現象、規律和趨勢，通過預警和提前介入的方式進行管理，以此使政府的管理和決策更加精細化、科學化，促進公共服務水平的全面提高。

大數據商業應用深挖用戶個人信息的潛在價值，在商業領域的典型應用體現為通過對用戶行為的精準分析，提升用戶體驗，增強用戶黏性，開展個性化營銷。在互聯網時代，來自個人的碎片化的信息被收集起來，通過對個人數據的拼接、整合以及進一步的數據挖掘與知識發現，生成各種主題性個人信息，這些生成性的信息旨在描述和評價個人在某個方面的記錄及其所顯示出的可能傾向，從而為個性化服務提供數據支撐。通過智能化的聯想和分析，可以在用戶意識到自己的需求前就主動發現、引導用戶的需求，將用戶的潛在需求現實化、模糊需求明確化。技術發展為挖掘用戶個人信息潛在價值提供條件。比如利用cookies獲取的用戶信息，一方面是可以為用戶提供個性化的服務，另一方面，也可以作為了解所有用戶行為的工具，對于網站經營策略的改進有一定參考價值。Cookies可匹配網站廣告和訪問的網站地址，或匹配某次網上購物與購物前看過的網站廣告，可跟蹤瀏覽了網站的哪些網頁，累計訪問某個特定網頁的次數，還能記錄搜索引擎中輸入的字符串等。此外，信息獲取和存儲成本的降低，使大規模信息的聚集變成可能。數據挖掘和數據分析技術，為用戶個人信息二次開發提供了機會和條件，信息的潛在價值得到釋放。實踐中，擁有豐富個人信息資源的社交網絡、電商公司紛紛通過挖掘信息價值，創新自身業務模式，并向第三方開放相關數據，提供數據支撐。比如淘寶“數據魔方”，開放淘寶網站所有的交易數據，通過其“數據魔方”平臺，商家可以直接獲取包括行業宏觀情況、消費者行為情況等在內的數據。即通過對個人行為、信用信息的分析，建立個人行為或信用數據庫，向第三方輸出數據，為其提供決策支持。

正是商業利益的驅動，使得越來越多的企業對大數據中有價值的個人信息趨之若鶩。目前，企業應用的場景主要包括運營決策支持、策略制定和客戶服務，主要是基于用戶需求發現而形成的應用場景，在購物行為分析、廣告推介、多媒體分析、金融反欺詐等商業領域已得到廣泛應用。大數據的商業應用場景還在不斷拓展。

如果說以上對個人信息的應用都是在合法獲取、使用的前提下，那么，通過爬蟲技術、第三方插件、惡意程序、非法后門、商業購買等其它手段獲取個人信息的情況則更為常見。APP是獲取用戶移動端數據的一種有效手段，在APP中預埋SDK(Software DevelopmentKit, 即軟件開發工具包)插件，用戶使用APP內容時就能及時將信息匯總給指定服務器，實際上用戶沒有訪問時，APP也能獲知用戶終端的相關信息，包括安裝了多少個應用，什么樣的應用。單個APP用戶規模有限，數據量有限，但如某數據公司將自身SDK內置到數萬數十萬APP中，獲取的用戶終端數據和部分行為數據也會達到數億的量級。此外，一種稱為敲鍵記錄器(Key logger)的間諜軟件，可隱藏在用戶計算機里記錄用戶在一些特殊網站（如某些銀行網站）上輸入的內容，如銀行帳號、口令和姓名等，再將這些信息偷偷傳送給黑客，導致身份盜竊和其它犯罪行為。類似的隱秘手段數不勝數。

可見，互聯網和大數據的快速發展使得現代社會中的個人與個人之間、商家與消費者之間的利益依存關系變得更加緊密。通過互聯網的開放性、交互性、技術性和數字化等特征極大地提升了信息在社會經濟生活中的地位和作用?？梢哉f，在網絡環境下，隨著大數據的深入發展，不論我們主觀上是否愿意，個人信息已以更大范圍、更深程度、更快速度，以超出我們自身意愿和控制的方式暴露于第三方甚至公眾的視野之中。有鑒于此，進一步探究和完善個人信息規范及保護機制，已經迫在眉睫。

二、個人信息保護的比較法分析

個人信息體現的是公民的人格利益，個人信息的收集、處理和利用直接關系到個人信息主體的人格尊嚴。大陸法系的人格權理論認為，凡與人格形成與發展有關的情事，本人有權自己決定。從20世紀60年代開始，世界各國開始制定個人信息保護法。在全球個人信息保護立法例中，美國信息隱私立法與歐盟的個人信息立法有著典型意義。美國信息隱私法以隱私權作為個人信息保護的權利基礎，而歐盟個人信息保護法以人格權為基礎。這兩種立法例分別代表了以美國和德國為首的英美法系和大陸法系的迥異特色。

（一）歐盟

歐盟關于個人信息保護采用的是統一立法的方式，1995年《關于個人數據處理的個人保護以及數據自由流動的指令》（以下簡稱1995年《個人信息保護指令》）對個人數據的收集、處理、使用、轉移等各個層面進行了比較全面的規定。1995年《個人信息保護指令》不直接約束成員國，但成員國有義務將指令轉換為法律。此外，《一般數據保護法規》（General DataProtection Regulation）將于2018年5月25日生效。

歐盟的立法模式的立足點在于其認為個人信息權是一項基本權利，是一項具體人格權，對個人信息的保護亦屬于對人格尊嚴的保護，并且歐洲國家相信以公權力為主導，通過統一的立法可以為個人信息提供明確、規范的保護標準和強有力的事后救濟。作為大陸法系國家典型代表的德國法上的人格權制度，包括民法典規定的具體人格權，也包括依據判例形成的一般人格權。一般人格權以其內容的補充性和擴展性彌補姓名權、肖像權等具體人格權的不足。因此在德國，人格權是保護個人信息的基礎權利?！兜聡穹ǖ洹凡]有一般人格權的明文規定，只有一些被認為是具體人格權的規定，如第12條姓名權的規定及第823條生命、身體、健康和自由的“生活權益”的規定。另外德國的一些單行法中也規定了一些具體的人格權利。然而，上述具體人格權的一大缺陷就是其保護范圍不足以涵蓋人格權益的各個方面。德國聯邦最高法院以1954年的“讀者投書案”為契機，強調人的尊嚴和人性的發展是法律的最高價值，把一般人格權作為被憲法合理承認了的并于民法典第823條第1款中的“其他權利”中體現的權利，從而以司法實踐填補了立法的重大空白，使得除了對人的生命、身體、健康和自由提供外在的保護外，內在的、精神的人格也通過一條普遍適用的一般性條款予以保護。

（二）美國

美國的個人信息保護無統一的個人信息立法，采用分散立法的模式，對個人信息的保護針對醫療、金融服務、電信、消費者保護等不同的行業進行分別立法，并針對特定行為，如消費者信用信息、兒童網上隱私等領域進行特別保護。

該模式的基礎在于對一個具有廣泛意義的“隱私權”的保護。美國隱私法擔負著保護個人全部人格的任務，包括對姓名、肖像及其他個人特征信息的保護，對刺探和公布個人隱私信息的禁止，對歪曲個人信息的禁止，及其他對個人信息自決的權利的保護等。隱私權包括自由概念下個人基本的或固有的權利：關于婚姻、生殖、避孕、家庭關系、撫育和教育子女的權利。在侵權行為法上，隱私侵權涵蓋了從人身威脅、毆打、錯誤關押到所有的侮辱、誹謗等，包括任何侮辱人類尊嚴的行為。

總體而言，美國對個人信息的保護立足于以行業自律和自治性規范來實現對個人信息的保護，如果私領域的自行保護已經足夠，就沒有必要讓公權力介入干預，反對依靠強硬的法律規范體系去規范個人信息處理行為，因為這將不可避免地阻礙商業活動，阻礙信息的自由流動、抑制創新和限制市場自由，而除了有確切的證據證明存在無可爭辯的風險和“市場失靈”，否則，公權力的過早介入可能限制信息科技的自由發展，并使國家的權力擴大，這是美國這樣的憲政國家的敏感之處，也是美國的信息產業遠遠領先全球其他國家的重要原因之一。

美國侵權法上的隱私權觀念經由判例不斷擴張，德國法從具體人格權發展出一般人格權，不同名稱的兩類法律最后都承擔了對全部人格利益進行保護的任務。無論從內涵還是從功能上，美國法上的隱私權所保護的權益范圍其實相當于德國法上的人格權的保護范圍。而在以德國為代表的大陸法系國家，隱私僅僅是一種具體的人格利益，或者作為一般人格利益的一個部分而已。

（三）我國個人信息保護的立法現狀

我國關于個人信息保護的立法沒有形成一個完整的體系，相關規定散見于法律層面主要有《憲法》、《刑法》、《侵權責任法》、《消費者權益保護法》等的相關規定中；行政法規層面國務院于2013年頒布了規范征信行業的《征信業管理條例》，針對涉及個人信用信息的征信活動進行了規制；部門規章主要有工信部、中國人民銀行等政府部門頒布實施的《電信和互聯網用戶個人信息保護規定》、《個人信用信息基礎數據庫管理暫行辦法》等；另有全國人大常委會發布的《全國人大加強網絡信息保護的決定》等。2016年在網絡安全領域的最重要事件，即新的《網絡安全法》出臺并將于2017年6月正式實施，其中關于網絡個人信息保護的條款與以往法律法規相比，保護原則沒有實質性的改變，但增加了一些保護內容，比如個人信息主體的刪除權和更正權等，并再一次在法律層面明確了對公民個人信息的保護。2017年3月15日新公布并即將于10月1日施行的《民法總則》第111條規定了個人信息保護規則，首次從民事基本法層面提出個人信息權，并明確了個人信息保護的基本行為規范。

此外，值得一提的是由工信部編制、并經國家標準化管理委員會批準后發布的《信息安全技術公共及商用服務信息系統個人信息保護指南》（以下簡稱2013年《指南》），這是我國關于個人信息保護的第一個國家標準，它規范了通過信息系統進行個人信息處理的過程，為信息系統中個人信息處理不同階段的個人信息保護提供指導。盡管僅屬于指導性、示范性文件，它在內容上充分借鑒了國外立法的先進經驗，實操性比較強，未來在制定我國的《個人信息保護法》時應當也有一定的參考意義。

通過分析目前我國現行個人信息相關立法現狀及司法實踐中的典型案例，我們認為，我國現有的個人信息保護立法存在以下幾個問題:

第一，權利基礎不明確，因缺乏權威、統一的界定，目前理論界、司法界、實務界往往將個人信息所載之權益與個人隱私權等同；也有觀點認為信息主體對個人信息的權利是所有權。齊愛民教授在《論個人信息的法律屬性與構成要素》中認為，關于個人信息的法律屬性，有四種比較典型的觀點，一般將其歸納為“所有權客體說”、“隱私權客體說”、“人格權客體說”和“基本人權客體說”。其中“所有權客體說”認為個人信息具有一定的經濟價值，商業機構廣泛收集個人信息就是看重個人信息的經濟價值。但“所有權客體說”其實混淆了人格利益和財產利益、信息主體的權利和信息處理者的權利。信息受到保護的具體原因有很多，歸納起來大致有兩類：財產性因素和人格性因素。有的信息是由勞動創造出來的，并且可以用來交換，如專利、著作等，保護此類信息的法律為知識產權。法律主要保護這些信息的財產性因素。有的信息是與自然人相關的，在信息社會被作為信息資源進行開發和利用的，這類信息就是個人信息，法律主要保護此類信息的人格性因素。個人信息含有財產性因素，并具有稀缺性。然而，這種現象卻不能說明個人信息是所有權客體。個人信息數據庫一旦被利用將會給利用者帶來豐厚的收益。但個人信息的法律屬性不是直接財產利益。從屬性上看，個人信息屬于人格利益。不能僅僅因為個人信息具有財產利益就將個人信息歸入所有權的客體。人格權的客體同樣具有財產利益，如隱私、姓名、肖像等。

第二，大多數規范只是零散地針對特定領域的個人信息，沒有專門的個人信息保護法，法律規范之間缺乏內在的體系性，缺乏對個人信息權利的全面、體系化的直接保護。法律層面在《憲法》《民法通則》《侵權責任法》等中有個別涉及公民人格尊嚴、個人隱私權、名譽權、肖像權保護的條款，而直接以“個人信息”進行立法保護的有《消費者權益保護法》、《刑法》的個別條款和2017年10月1日即將施行的《民法總則》第111條以及個別行政法規、部門規章，如《征信業管理條例》、《電信和互聯網用戶個人信息保護規定》等。2005年啟動個人信息保護法立法研究后，至今未見正式的《個人信息保護法》出臺。

第三，偏重刑事處罰與行政管理，大多規范偏重宣示性地規定義務，但缺乏法律后果和責任承擔的具體規定。除刑事責任外，行政責任主要為數額不大的罰款，民事上雖然《民法總則》明確了對個人信息的法律保護，但具體保護和救濟手段如何落實尚不明確，特別是損害賠償責任發揮作用有限，集中體現在損害賠償數額沒有確定標準，《全國人大加強網絡信息保護的決定》規定個人信息受到侵害后，權利人可以請求賠償，但未明確損害賠償的性質，是屬于精神損害賠償還是財產損害賠償，以及賠償的數額如何確定。此外，如何確定適當的舉證責任規則尚待論證。如按一般舉證責任原則，將證明責任完全加諸于信息主體身上，可能不利于個人維權。網絡環境下，個人往往難以知曉和控制自身信息被各種主體收集、利用，個人信息被侵害后，權利人可能難以確定信息泄露源和適格的訴訟對象，尤其難以證明侵權人和侵權行為之間的關聯關系，從而使對個人信息的私法保護在司法實踐中難以實現。

（后略。全文請參閱《互聯網金融法律評論》（第九輯，法律出版社）實體出版物。）

聲明：

1、“互聯網金融法律評論”微信公眾號登載信息僅供學習和研究參考素材，并不能直接適用于具體案例或投資參考。雖然本平臺已致力于提供準確和及時的資料和信息，但本平臺不能保證每條信息的準確度，亦不對其中任何觀點、內容或版式給閣下造成的任何損失承擔責任。

2、如果您認為本公眾號的內容對您的知識產權造成了侵權，請立即告知，我們將在第一時間核實并處理。

引言|鐵伊然編輯|吳蔚網絡法前沿編輯部