在當今生產生活均高度信息化的社會中，個人信息的產生、流通、利用不可避免，構建個人信息的秩序是各國法律必須直面的急切問題。民法總則第一百一十一條將個人信息的保護提升到了民事基本法的高度，近期歐盟《通用數據保護條例》（GDPR）開始正式施行，對個人信息施以有力的保護，已成為不可阻擋的歷史趨勢。如何在民法體系以及民事訴訟中保護個人信息權益，殊值探討。

　　一、個人信息權難以證成

　　對于侵害個人信息權益的行為，數據主體（自然人）可以向法院提起訴訟。就個人起訴而言，其主要形式是民事訴訟，民事訴訟的基礎是自然人對其個人信息享有權益。作為個人信息保護領域的領先立法，歐盟GDPR設定了六種權利，分別是獲得權、更正權、刪除權（被遺忘權）、限制處理權、數據可攜權和反對權，這些權利的性質值得探究：它們是憲法意義上的基本權利，還是民法意義上的私權利，或是皆而有之帶有雙重屬性？上述權利可以通過民事訴訟獲得救濟，首先至少應屬私權利，同時可能也屬于憲法意義上的基本權利。

　　民法總則第一百一十一條規(guī)定，“自然人的個人信息受法律保護。任何組織和個人需要獲取他人個人信息的，應當依法取得并確保信息安全，不得非法收集、使用、加工、傳輸他人個人信息，不得非法買賣、提供或者公開他人個人信息”。民法總則第一百二十七條規(guī)定，“法律對數據、網絡虛擬財產的保護有規(guī)定的，依照其規(guī)定”。有觀點認為，依據上述規(guī)定，自然人已經享有個人信息權、數據主體已經享有數據權。這種觀點并不正確，根據第一百二十七條的文義不能解讀出數據權是顯而易見的，也不能依據第一百一十一條解讀出個人信息權。個人信息基本可分為四大類：第一類生活記錄信息，是個人生活相關的客觀記錄；第二類觀察者信息，包括外部對個人的評價；第三類檢測信息，這也是客觀紀錄，但涉及科學檢測；第四類自我報告信息，是個人的自我評價。個人信息總體上可區(qū)分為以上四類，從這些信息可以分析出個人的人格。法律意義上的個人信息，大體上不會超出上述范圍。歐盟GDPR強調用戶畫像、個人特征分析的概念，因為從個人信息可以大體確定一個自然人是什么樣的人。但是，個人信息是否屬于民法上的客體，值得疑問。

　　民法處理人與人之間的人身和財產關系，和個人信息相關的也不外乎人身和財產關系。把個人信息單獨作為一種權利客體，會沖擊現(xiàn)行民事權利保護體系。如果將個人信息權類型化并賦予它類似于所有權的權能，包括占有、使用、收益和處分，實際上和現(xiàn)實并不相符，因為有相當部分的個人信息允許企業(yè)采集、使用，收集和分析。個人信息本身具有很高的經濟和社會價值，互聯(lián)網產業(yè)、數據產業(yè)發(fā)展都有賴于此，只是必須在投資激勵和人格權保護之間取得平衡。有的個人信息公開后個人無權要求刪除，比如生效判決書依法上網公布，除了法定情形個人不能要求法院刪除。在個人信息上設定類似于所有權的絕對權，可行性微乎其微。即使將個人信息權類型化，這種權利也不可能像物權、知識產權一樣成為全面的絕對權，而是一種基于政策考量和利益衡量并經特別制度設計的民事權利，目的是確保自然人利益受到侵害后有救濟手段，如此則通過侵權法即可實現(xiàn)。社會實踐中，關于個人信息的采集和使用已經形成綜合性的法律關系，民事、行政、刑事問題交織在一起，必須進行分解處理：事前、事中應該以行政管理、自我管理為主，從源頭上治理；事后以民事救濟、刑事保護為主，主要以訴訟的方式進行。

　　二、個人信息利益屬一般人格權范疇

　　從數據主體角度看，基于個人信息的實質利益可以納入民法的形式化權利體系，基于個人信息的權利屬于一般人格權，歐盟GDPR列舉的六類權利都可以歸類于此，然后通過侵權法進行保護。比如就更正權、反對權而言，責任承擔方式是排除妨礙，針對刪除權（被遺忘權）、限制處理權，責任承擔方式實際是消除危險。被遺忘權（刪除權）糾紛實際上通過現(xiàn)有的隱私權、一般人格權制度就可以解決問題，沒必要新造法律名詞。

　　以歐盟關于個人信息刪除權的著名案例——岡薩雷斯案為例，上世紀九十年代末，岡薩雷斯的房產由于沒有繳納社會保險金而被拍賣，拍賣信息被有關機關刊登在當地報紙上。但過了十年左右，岡薩雷斯在google網站搜索他自己的名字時發(fā)現(xiàn)了房產拍賣信息，于是就向西班牙數據管理機關（AEPD）提出請求，要求把Google網站鏈接以及報紙信息都刪除。AEPD認為Google網站鏈接應刪除而報紙信息無須刪除，Google公司將案件一路訴至歐盟法院，歐盟法院的觀點和AEPD一致。此案中岡薩雷斯的訴求基礎是一般人格權，他實際上認為其人格尊嚴、個人聲譽因為房產拍賣公告的持續(xù)存在而受到損害，如果沒有這種損害他并不會提起訴訟，因此表面上看該案是刪除權案件，實質上是一般人格權案件。

　　歐盟立法機構設計出被遺忘權等私權利，是為了彌合歐盟成員國的法系差異而作出的特殊安排（新造法律名詞）。歐盟內部既有判例法國家又有成文法國家，成文法國家也有差異，比如德國和法國的民法體系就有很大區(qū)別，但不管有多大的區(qū)別，這些區(qū)別都是形式上的區(qū)別，即權利體系不同，其中的實質性權利仍相同。GDPR規(guī)定的權利都是經過細化分解的實質權利，這些實質權利可以被不同法系、不同國家的形式化權利體系所涵蓋，如此安排使每個成員國的法律都可以符合歐盟的要求。值得注意的是，GDPR沒有規(guī)定個人信息權，而是規(guī)定了個人信息保護權，這兩者存在差別，表明在歐盟內個人信息權也并不成立。歐盟GDPR的做法是迫不得已的創(chuàng)新，它必須進行這種新造法律名詞的創(chuàng)新，但中國從立法上、理論上均不需要引進這種不成熟的中間權利概念。關于個人信息保護的實質權益應納入現(xiàn)行法體系，在中國法語境中，仍應采用民法/刑法/行政法的思維處理個人信息數據保護的問題。

　　三、企業(yè)收集個人信息構成民法上的占有

　　關于個人信息保護有一個重要的問題是如何看待企業(yè)收集個人信息數據，企業(yè)對這些數據是否享有權利？歐盟GDPR定義收集數據的企業(yè)是數據控制者（controller），這也是新造法律名詞，民法上該如何定位？筆者認為，數據企業(yè)是個人信息數據的占有者，形成一種民法意義上的占有關系，可以沿用或準用占有制度解決相關法律問題。關于個人信息收集、使用的規(guī)則是GDPR的主要內容，也是中國全國人大常委會2012年發(fā)布的《關于加強網絡信息保護的決定》的主要內容，這些法律規(guī)定主要解決個人信息保護的基本制度設計問題。法律制度都是利益分配機制（成本分配、風險分配）而非利益產生機制，但會對主體產生激勵效應（正向、反向），進而影響利益生產環(huán)節(jié)（數據相關產業(yè)的投資、研發(fā)等），因此制度設計必須進行利益平衡，要同時考量個人利益、產業(yè)利益和社會利益，很多時候要進行經濟學上的分析。但從個人權益司法保護角度看，這些規(guī)則實際上設定了相關方的注意義務，對于確定訴訟相關方的過錯具有重要作用，不管在侵權之訴還是在違約之訴中，過錯如何確定均具有重要法律意義。GDPR或《關于加強網絡信息保護的決定》的規(guī)定，可以作為企業(yè)在保護個人信息時所負注意義務如何確定的標桿，違反法律規(guī)定在民事訴訟中可能被認定為違反注意義務，從而認定具有過錯，進而認定侵權成立。

　　四、小結

　　個人信息的民法保護應當在現(xiàn)行法律制度體系下展開。從民法角度看，企業(yè)收集個人信息構成占有，自然人就個人信息并不享有個人信息權，個人信息體現(xiàn)人格利益，主張個人信息權益的糾紛實質是人格權糾紛，應當通過侵權責任法進行保護，責任承擔方式是排除妨礙、消除危險、停止侵害，有的情況下可以賠償損失，企業(yè)的合規(guī)情況將作為是否違反注意義務并進而確定過錯的依據。企業(yè)收集的個人信息如何進行保護，與個人如何保護其信息權益是不同層面的問題，自然人通過一般人格權制度保護個人信息權益，企業(yè)則應當通過競爭法保護其基于數據的權益，兩者的權利基礎、請求權基礎均不同，在訴訟實務中前者是人格權糾紛，后者是不正當競爭糾紛或是壟斷糾紛。

　�。ㄗ髡邌挝唬荷虾Ｊ懈呒壢嗣穹ㄔ海�