在當今生產(chǎn)生活均高度信息化的社會中，個人信息的產(chǎn)生、流通、利用不可避免，構(gòu)建個人信息的秩序是各國法律必須直面的急切問題。民法總則第一百一十一條將個人信息的保護提升到了民事基本法的高度，近期歐盟《通用數(shù)據(jù)保護條例》（GDPR）開始正式施行，對個人信息施以有力的保護，已成為不可阻擋的歷史趨勢。如何在民法體系以及民事訴訟中保護個人信息權(quán)益，殊值探討。

　　一、個人信息權(quán)難以證成

　　對于侵害個人信息權(quán)益的行為，數(shù)據(jù)主體（自然人）可以向法院提起訴訟。就個人起訴而言，其主要形式是民事訴訟，民事訴訟的基礎(chǔ)是自然人對其個人信息享有權(quán)益。作為個人信息保護領(lǐng)域的領(lǐng)先立法，歐盟GDPR設(shè)定了六種權(quán)利，分別是獲得權(quán)、更正權(quán)、刪除權(quán)（被遺忘權(quán)）、限制處理權(quán)、數(shù)據(jù)可攜權(quán)和反對權(quán)，這些權(quán)利的性質(zhì)值得探究：它們是憲法意義上的基本權(quán)利，還是民法意義上的私權(quán)利，或是皆而有之帶有雙重屬性？上述權(quán)利可以通過民事訴訟獲得救濟，首先至少應(yīng)屬私權(quán)利，同時可能也屬于憲法意義上的基本權(quán)利。

　　民法總則第一百一十一條規(guī)定，“自然人的個人信息受法律保護。任何組織和個人需要獲取他人個人信息的，應(yīng)當依法取得并確保信息安全，不得非法收集、使用、加工、傳輸他人個人信息，不得非法買賣、提供或者公開他人個人信息”。民法總則第一百二十七條規(guī)定，“法律對數(shù)據(jù)、網(wǎng)絡(luò)虛擬財產(chǎn)的保護有規(guī)定的，依照其規(guī)定”。有觀點認為，依據(jù)上述規(guī)定，自然人已經(jīng)享有個人信息權(quán)、數(shù)據(jù)主體已經(jīng)享有數(shù)據(jù)權(quán)。這種觀點并不正確，根據(jù)第一百二十七條的文義不能解讀出數(shù)據(jù)權(quán)是顯而易見的，也不能依據(jù)第一百一十一條解讀出個人信息權(quán)。個人信息基本可分為四大類：第一類生活記錄信息，是個人生活相關(guān)的客觀記錄；第二類觀察者信息，包括外部對個人的評價；第三類檢測信息，這也是客觀紀錄，但涉及科學檢測；第四類自我報告信息，是個人的自我評價。個人信息總體上可區(qū)分為以上四類，從這些信息可以分析出個人的人格。法律意義上的個人信息，大體上不會超出上述范圍。歐盟GDPR強調(diào)用戶畫像、個人特征分析的概念，因為從個人信息可以大體確定一個自然人是什么樣的人。但是，個人信息是否屬于民法上的客體，值得疑問。

　　民法處理人與人之間的人身和財產(chǎn)關(guān)系，和個人信息相關(guān)的也不外乎人身和財產(chǎn)關(guān)系。把個人信息單獨作為一種權(quán)利客體，會沖擊現(xiàn)行民事權(quán)利保護體系。如果將個人信息權(quán)類型化并賦予它類似于所有權(quán)的權(quán)能，包括占有、使用、收益和處分，實際上和現(xiàn)實并不相符，因為有相當部分的個人信息允許企業(yè)采集、使用，收集和分析。個人信息本身具有很高的經(jīng)濟和社會價值，互聯(lián)網(wǎng)產(chǎn)業(yè)、數(shù)據(jù)產(chǎn)業(yè)發(fā)展都有賴于此，只是必須在投資激勵和人格權(quán)保護之間取得平衡。有的個人信息公開后個人無權(quán)要求刪除，比如生效判決書依法上網(wǎng)公布，除了法定情形個人不能要求法院刪除。在個人信息上設(shè)定類似于所有權(quán)的絕對權(quán)，可行性微乎其微。即使將個人信息權(quán)類型化，這種權(quán)利也不可能像物權(quán)、知識產(chǎn)權(quán)一樣成為全面的絕對權(quán)，而是一種基于政策考量和利益衡量并經(jīng)特別制度設(shè)計的民事權(quán)利，目的是確保自然人利益受到侵害后有救濟手段，如此則通過侵權(quán)法即可實現(xiàn)。社會實踐中，關(guān)于個人信息的采集和使用已經(jīng)形成綜合性的法律關(guān)系，民事、行政、刑事問題交織在一起，必須進行分解處理：事前、事中應(yīng)該以行政管理、自我管理為主，從源頭上治理；事后以民事救濟、刑事保護為主，主要以訴訟的方式進行。

　　二、個人信息利益屬一般人格權(quán)范疇

　　從數(shù)據(jù)主體角度看，基于個人信息的實質(zhì)利益可以納入民法的形式化權(quán)利體系，基于個人信息的權(quán)利屬于一般人格權(quán)，歐盟GDPR列舉的六類權(quán)利都可以歸類于此，然后通過侵權(quán)法進行保護。比如就更正權(quán)、反對權(quán)而言，責任承擔方式是排除妨礙，針對刪除權(quán)（被遺忘權(quán)）、限制處理權(quán)，責任承擔方式實際是消除危險。被遺忘權(quán)（刪除權(quán)）糾紛實際上通過現(xiàn)有的隱私權(quán)、一般人格權(quán)制度就可以解決問題，沒必要新造法律名詞。

　　以歐盟關(guān)于個人信息刪除權(quán)的著名案例——岡薩雷斯案為例，上世紀九十年代末，岡薩雷斯的房產(chǎn)由于沒有繳納社會保險金而被拍賣，拍賣信息被有關(guān)機關(guān)刊登在當?shù)貓蠹埳稀５�過了十年左右，岡薩雷斯在google網(wǎng)站搜索他自己的名字時發(fā)現(xiàn)了房產(chǎn)拍賣信息，于是就向西班牙數(shù)據(jù)管理機關(guān)（AEPD）提出請求，要求把Google網(wǎng)站鏈接以及報紙信息都刪除。AEPD認為Google網(wǎng)站鏈接應(yīng)刪除而報紙信息無須刪除，Google公司將案件一路訴至歐盟法院，歐盟法院的觀點和AEPD一致。此案中岡薩雷斯的訴求基礎(chǔ)是一般人格權(quán)，他實際上認為其人格尊嚴、個人聲譽因為房產(chǎn)拍賣公告的持續(xù)存在而受到損害，如果沒有這種損害他并不會提起訴訟，因此表面上看該案是刪除權(quán)案件，實質(zhì)上是一般人格權(quán)案件。

　　歐盟立法機構(gòu)設(shè)計出被遺忘權(quán)等私權(quán)利，是為了彌合歐盟成員國的法系差異而作出的特殊安排（新造法律名詞）。歐盟內(nèi)部既有判例法國家又有成文法國家，成文法國家也有差異，比如德國和法國的民法體系就有很大區(qū)別，但不管有多大的區(qū)別，這些區(qū)別都是形式上的區(qū)別，即權(quán)利體系不同，其中的實質(zhì)性權(quán)利仍相同。GDPR規(guī)定的權(quán)利都是經(jīng)過細化分解的實質(zhì)權(quán)利，這些實質(zhì)權(quán)利可以被不同法系、不同國家的形式化權(quán)利體系所涵蓋，如此安排使每個成員國的法律都可以符合歐盟的要求。值得注意的是，GDPR沒有規(guī)定個人信息權(quán)，而是規(guī)定了個人信息保護權(quán)，這兩者存在差別，表明在歐盟內(nèi)個人信息權(quán)也并不成立。歐盟GDPR的做法是迫不得已的創(chuàng)新，它必須進行這種新造法律名詞的創(chuàng)新，但中國從立法上、理論上均不需要引進這種不成熟的中間權(quán)利概念。關(guān)于個人信息保護的實質(zhì)權(quán)益應(yīng)納入現(xiàn)行法體系，在中國法語境中，仍應(yīng)采用民法/刑法/行政法的思維處理個人信息數(shù)據(jù)保護的問題。

　　三、企業(yè)收集個人信息構(gòu)成民法上的占有

　　關(guān)于個人信息保護有一個重要的問題是如何看待企業(yè)收集個人信息數(shù)據(jù)，企業(yè)對這些數(shù)據(jù)是否享有權(quán)利？歐盟GDPR定義收集數(shù)據(jù)的企業(yè)是數(shù)據(jù)控制者（controller），這也是新造法律名詞，民法上該如何定位？筆者認為，數(shù)據(jù)企業(yè)是個人信息數(shù)據(jù)的占有者，形成一種民法意義上的占有關(guān)系，可以沿用或準用占有制度解決相關(guān)法律問題。關(guān)于個人信息收集、使用的規(guī)則是GDPR的主要內(nèi)容，也是中國全國人大常委會2012年發(fā)布的《關(guān)于加強網(wǎng)絡(luò)信息保護的決定》的主要內(nèi)容，這些法律規(guī)定主要解決個人信息保護的基本制度設(shè)計問題。法律制度都是利益分配機制（成本分配、風險分配）而非利益產(chǎn)生機制，但會對主體產(chǎn)生激勵效應(yīng)（正向、反向），進而影響利益生產(chǎn)環(huán)節(jié)（數(shù)據(jù)相關(guān)產(chǎn)業(yè)的投資、研發(fā)等），因此制度設(shè)計必須進行利益平衡，要同時考量個人利益、產(chǎn)業(yè)利益和社會利益，很多時候要進行經(jīng)濟學上的分析。但從個人權(quán)益司法保護角度看，這些規(guī)則實際上設(shè)定了相關(guān)方的注意義務(wù)，對于確定訴訟相關(guān)方的過錯具有重要作用，不管在侵權(quán)之訴還是在違約之訴中，過錯如何確定均具有重要法律意義。GDPR或《關(guān)于加強網(wǎng)絡(luò)信息保護的決定》的規(guī)定，可以作為企業(yè)在保護個人信息時所負注意義務(wù)如何確定的標桿，違反法律規(guī)定在民事訴訟中可能被認定為違反注意義務(wù)，從而認定具有過錯，進而認定侵權(quán)成立。

　　四、小結(jié)

　　個人信息的民法保護應(yīng)當在現(xiàn)行法律制度體系下展開。從民法角度看，企業(yè)收集個人信息構(gòu)成占有，自然人就個人信息并不享有個人信息權(quán)，個人信息體現(xiàn)人格利益，主張個人信息權(quán)益的糾紛實質(zhì)是人格權(quán)糾紛，應(yīng)當通過侵權(quán)責任法進行保護，責任承擔方式是排除妨礙、消除危險、停止侵害，有的情況下可以賠償損失，企業(yè)的合規(guī)情況將作為是否違反注意義務(wù)并進而確定過錯的依據(jù)。企業(yè)收集的個人信息如何進行保護，與個人如何保護其信息權(quán)益是不同層面的問題，自然人通過一般人格權(quán)制度保護個人信息權(quán)益，企業(yè)則應(yīng)當通過競爭法保護其基于數(shù)據(jù)的權(quán)益，兩者的權(quán)利基礎(chǔ)、請求權(quán)基礎(chǔ)均不同，在訴訟實務(wù)中前者是人格權(quán)糾紛，后者是不正當競爭糾紛或是壟斷糾紛。

　�。ㄗ髡邌挝唬荷虾Ｊ懈呒壢嗣穹ㄔ海�