个人信息侵权责任的规范构造

《个人信息保护法》中的个人信息权益可作为民事权益受到侵权责任的保护,无论其被理解为民事权利抑或民事利益,对其侵权责任构成并不产生影响。由于个人信息中的部分内容同时也属于隐私权、肖像权、姓名权等具体人格权的保护对象,个人信息权益和具体人格权不可避免地会发生重叠保护。其中对于私密信息的保护应优先适用《民法典》的规定,但为最大程度化解立法上的冲突,应降低信息主体对过错要件的证明标准,而对于肖像、姓名等个人信息的保护,则产生请求权竞合,信息主体可择一主张。个人信息侵害具备筛选受保护法益的功能,与损害有区分的必要。无论个人信息是否被非法利用,都可能产生财产损害和非财产损害。侵害个人信息权益造成的既有人身或财产权益的损害与个人信息权益自身被侵害而产生的损害应当各自获得单独赔偿。     

个人信息侵权的损害赔偿责任

侵害个人信息权益造成的损害包括财产损失与精神损害,因个人信息泄露而增加的未来遭受不法侵害的风险不属于损害,但个人为了避免因个人信息泄露而遭受电信网络诈骗或者其他侵权行为而支出的费用属于应当赔偿的财产损失。因个人信息权益被侵害而造成的财产损害,既包括合理的维权成本与下游损害,也包括因侵权行为导致信息主体丧失了对个人信息进行商业化利用的损失。侵害个人信息权益造成的精神损害分为两类：一是同时侵害姓名权、名誉权、隐私权等其他人格权而造成的精神损害,二是单纯地因侵害个人信息权益而给自然人造成的精神损害。对于后一种损害,即便没有达到严重的程度,也可以适用《个人信息保护法》第69条第2款。在《国家赔偿法》没有作出特别规定前,国家机关侵害个人信息权益的侵权赔偿责任性质上属于民事责任。     

论《民法总则》第111条个人信息保护的法益立场

《民法总则》第111条对个人信息保护的文本表述缺乏法定权利的规范外观,其司法适用样态也反映出个人信息侵权难以独立发生。与德国个人信息自决权的“目的性权利”理念不同,我国个人信息的完全私权化既不现实且不必要,应通过保护个人信息这一“工具性法益”,实现《民法总则》第111条中的“信息安全”价值。该条的核心内容“非法”是违反保护他人法律过错认定一般理论向该个别条款的逃逸,《民法总则》第111条由此成为“空心”转介条款,但同时更具包容性与前瞻性。民法典分编相关内容应承接《民法总则》第111条确立的法益保护路径,以信息安全为目标,结合我国信息利用与保护现状,细化个人信息保护标准。     

个人信息权益侵权损害赔偿应然范围探讨：基于数字社会的场景

个人信息权益侵权损害赔偿范围的确定应与数字社会相契合。《中华人民共和国个人信息保护法》第69条规定的个人信息权益侵权损害赔偿范围应包括精神损害，且个人信息权益侵权精神损害赔偿应适度淡化“严重精神损害”的程度要件，降低证明标准。数字社会的个人信息具有显著的财产利益，如个人信息处理者擅自利用个人信息，个人将遭受个人信息财产利益损失，理应获得相应的赔偿。个人信息权益侵权损害往往具有潜伏性、未知性等特征，如个人未来遭受实际损害具有“客观合理可能性”，应将个人为防止未来损害发生所支出的预防费用纳入个人信息权益侵权损害赔偿范围，以契合数字社会中风险规制的需要。     

论图像采集设备安装行为的合法性边界

《个人信息保护法》第26条在法律层面上,首次对图像采集设备的安装设定严苛的合法性依据。图像采集设备的安装,不仅构成个人信息处理行为,还因部分个人信息之上承载人格利益,同时受到《民法典》人格权编,尤其是其中肖像权和隐私权规则的规范。两部法律在合法性判定上标准不同,被《民法典》评价为合法的行为极大可能被《个人信息保护法》第26条所禁止。人脸识别技术对个人信息权益存在较大的潜在加害风险,故人脸识别设备之安装应当直接适用《个人信息保护法》第26条。对于其他类型图像采集设备之安装,应当宽松解释《个人信息保护法》第72条的“私人事务例外规则”,构成私人事务的,排除《个人信息保护法》第26条的适用,依据《民法典》隐私保护路径判定其合法性：引入“公共空间的合理隐私期待”新型隐私观念,并于个案中衡量安装者对立利益。     

《个人信息保护法》的亮点与创新

《个人信息保护法》是一部全面保护个人信息的专门性立法.作为公法和私法的混合,该法的私法部分作为《民法典》的特别法,进一步丰富和发展了《民法典》的个人信息保护规则.《个人信息保护法》在总结《民法典》等的立法经验基础上,借鉴了欧盟《一般数据保护条例》等比较法的经验,形成了诸多的亮点和创新之处.包括进一步扩张了个人信息的保护范围,构建了以"告知—同意"为核心的个人信息处理规则,对自动化决策的全面规范,严格保护敏感个人信息,确认个人在个人信息处理活动中的各项权利,强化个人信息处理者义务,规范国家机关的个人信息处理行为以及个人信息跨境流动,完善了侵害个人信息的法律责任,这些内容都充分彰显了这部法律的时代性、国际性和本土性.     

敏感个人信息精神损害赔偿之检视与制度建构——以《个人信息保护法》生效前45例已决样本分析

《个人信息保护法》对敏感个人信息首次予以立法规定,并专节规定敏感个人信息处理原则,确立了更为严格的过错推定责任,关于精神损害赔偿未置可否而引发学界的审视与思考。以检索到2018 2021年侵犯敏感个人信息的45例已决样本为分析对象,发现司法实践中优先采取《民法典》私密信息隐私权的保护路径,并导致敏感个人信息的精神损害赔偿支持率低、赔偿标准适用及赔偿金额确定随意等问题。这反映出《个人信息保护法》与《民法典》隐私权保护路径的竞合与冲突,敏感个人信息精神损害赔偿条款缺位,设定损害后果须“严重”的赔偿门槛较高以及赔偿金额的自由裁量权失范等困境。对敏感个人信息受侵的案件,应优先适用《个人信息保护法》的保护路径,应设定敏感个人信息精神损害条款,将精神损害赔偿损害门槛从“严重”降为“一般”,并通过司法解释设置赔偿数额区间和引入新的衡量因素以限缩法官的自由裁量权。     

论个人信息权：定位纷争、权利证成与规范构造

《民法典》和《个人信息保护法》对于个人信息权未能明文规定,留下数字时代个人信息保护领域一份未完成的答卷,并引发个人信息是否应当赋权之争、个人信息“法益”或“权利”保护模式之辨、法教义学上个人信息“权益”或“权利”之分歧及“个人信息权”司法认定与立法之反差。个人信息权可从学理上证成：个人信息利益赋权具有内在正当性,赋权的价值基础在于“人的尊严”,赋权符合数字时代重大法益保护需求,且个人信息利益是一项足以赋权的独立人格利益,该项利益同时具备归属效能、排除效能和社会典型公开性三项标准,达到传统学理上判断一项利益成为权利的条件。个人信息权可从解释论上进行“三维六位”构造：宪法维度为个人信息权确立提供根本依据,民法维度为个人信息权保护搭建框架体系,个人信息保护法维度为个人信息权构造细化具体内容;个人信息权包括知情决定、限制拒绝、查阅复制、更正补充、迁移、删除等“六位权能”。     

论个人信息法律体系下的基因信息保护

《民法典》和《个人信息保护法》构成我国个人信息保护的基本法律体系。然而，高度敏感、特异性显著的基因信息之于人格尊严关系重大，亟待特殊制度保护，但抽象概括的现行法缺少针对性，无法全面因应个人基因信息权益保护及社会实践的制度需求，有必要开展专门立法，构建民法典、个人信息保护法、基因信息法三层制度体系。基因信息保护应以基因信息隐私自决与安全为先，兼顾流动利用；以自然人基因权益为本，衡平多重利益；实行法律与伦理共治，融合宽容及责任原则。据此，在基因信息类型化及可处理性分级的前提下，立足通用个人信息法律制度，明晰个人基因信息权益，厘清特定的目的、充分的必要性和严格保护措施等处理前置条件，重点围绕基因信息处理告知同意，开展差异化制度设计，构造非完全行为能力人同意、以书面为原则的同意方式、同意的无条件撤回、基于基因信息类型的同意豁免事由等特殊规则。     

《民法典》第992条的法理阐释与规范意蕴

人格权的本质在于其伦理性与社会性，由此包含个体人格和社会人格的双重面相，既强调人格利益中的精神利益，也承认其中的财产利益。“人格权不得放弃、转让与继承”表现出权利专属性的特点，但其本质在于伦理性而非社会性。《民法典》第992条居于重要的体系地位，外在体系上衔接《民法典》总则编和人格权编，内在体系上提供人格权规范体系构建的价值指引。该项规范属于行为规范、效力性的禁止性规范，由此“人格权放弃、转让与继承”的行为效力需要结合《民法典》第153条做出判断，且在物质性人格权和精神性人格权的适用上存在分野。《民法典》第992条的适用范围及于具体人格权和一般人格权，对人格利益的适用应当坚持以精神利益为主导的原则。商事人格权作为民法的人格权类型，其本质在于获得市场的公正评价，在权利转让和继承方面存在特殊性，但仍应遵循人格权的本质属性。     

从分类到分级：我国公民个人信息的刑法保护

《关于办理公民个人信息刑事案件适用法律若干问题的解释》对公民个人信息进行分类并对不同种类的信息设定不同的适用数量，再将不同的数量与侵犯公民个人信息罪的“情节严重”挂钩，以刑法和司法解释的联动方式，形成了我国刑事立法中特有的公民个人信息分类保护的双层次模式。《民法典》《个人信息保护法》和我国学术界亦对公民个人信息进行了不同的分类。但上述分类在多个方面均存在缺陷，以至于无法对公民个人信息提供充足和合理的保护。有必要吸取相关经验教训，先确立公民个人信息的分类根据，再据此将其分为三级信息，以该新型分类法重构双层次模式的分类并修正《解释》第5条第1款第3-5项，在刑法层面充分、合理地保护我国公民的个人信息。     

论私密信息隐私权保护优先规则的困局与破解——以《民法典》第1034条第3款为中心

在私密信息的侵权责任构成上,隐私权保护规则适用的是过错责任,个人信息保护规则适用的是过错推定责任,《民法典》第1034条第3款确立的私密信息隐私权保护优先规则导致两种保护规则在侵权责任构成的过错要件上存在冲突。由于限缩适用《民法典》第1034条第3款前半句或《个人信息保护法》适用范围均难以彻底化解这种冲突,不妨考虑隐私权保护规则优先性的缓和化方案：隐私权保护规则下私密信息的侵权责任构成,应降低信息主体对过错要件的证明标准,这可通过事实推定规则确定侵权事实及个人信息处理者在此基础上是否违反成文法义务来实现。     

健康码应用中个人信息权益受损风险与救济

健康码是政府通过数据治理的个案典范,在疫情防控中发挥了重要作用,但同时也存在导致个人信息权益受损的风险。在健康码的应用中,政府依靠企业的技术进行个人信息处理,政府是个人信息处理者,企业是受托人。对于政府而言,政府依职权处理个人信息的行为违法,权利人可以根据《行政诉讼法》和《国家赔偿法》获得救济。对于企业而言,作为受托人原则上不对外承担责任,除非违反《个人信息保护法》第21条和第59条明确规定的个人信息保护义务,受托人就该处理行为应被视为个人信息处理者,并承担《个人信息保护法》所规定的相关责任形式。     

个人信息侵权的理论反思与规范构建

个人信息侵权规则体系对于发挥私法在个人信息利益保护中的作用、确保法律规范的准确适用具有重要意义。“可识别规则”将可能识别个人身份的信息均纳入规制范围,体现了公法对信息处理全过程的关注,与公法全面保障信息安全、经济安全和国家安全的功能相匹配。但私法对“可识别规则”的借鉴则造成了保护的信息范围过广,与私法关注个人信息人格利益的定位不符。故而需要对侵权责任法保护的个人信息范围进行限缩,在具体侵权样态中进行具体化判定。个人信息侵害造成的实际损害并不明确,差额说在适用上存在一定的障碍,而风险损害说则面临风险不确定与风险多样等问题,亦难被采纳。较为妥适的办法是采取规范损害说,将个人信息侵权损害认定为法律保护的利益状态之变化以及给个人造成的精神损害两方面。而在归责原则方面,应当将《个人信息保护法》第69条确立的过错推定原则的适用范围限制在采用自动化处理技术的场合,对于普通公民之间的个人信息侵权则应回归一般过错原则。     

信息处理者侵害个人信息权益的民法救济

我国《个人信息保护法》以实现个人信息处理中信息权益保护与合理利用之平衡为规范意旨,并赋予自然人对自我信息的决定、查阅、复制、更正、删除等权能,构成法律保护个人信息权益的前提基础,成为相对人处理个人信息与自动化决策的合法性依据。立法设计以“知情同意-同意例外”规则为个人信息合规处理的架构基础。当个人信息权益被侵害时,法官应充分运用动态系统论厘清信息权益损害的要素层次,适用过错推定原则认定信息处理者损害赔偿责任。为实现充分有效救济,权利人可考量行使人格权请求权和侵权请求权二元救济路径,明确损害赔偿具体范围,保障其人格权益和人格尊严不受侵犯。     

个人信息保护“入典”：体系功能及其与专门立法的关系

个人信息保护"入典"是我国民事立法的创举。在专门立法之外,将个人信息保护的核心规范写入《民法典》,不仅可为个人信息的私法保护提供明确依据,还具有价值指引功能、体系解释功能和权利孵化功能。《民法典》人格权益保护的价值取向为个人信息的私法保护提供了根本性的评价基准,在其指引下,个人信息保护的具体规则可在《民法典》中得以体系化的解释和适用。《民法典》围绕个人信息自决,针对个人信息处理行为,初步形成了具体权利内容,为个人信息权利的体系化发展奠定了基础。与《民法典》的个人信息保护规范相比,《个人信息保护法》在调整对象上大同小异,但在保护方式上存在递增,其通过公法手段保护的个人权利仍然具有私权属性。该项专门法律属于领域立法,兼具公法和私法属性。个人信息的公法保护与私法保护同等重要,个人信息保护的体系性也将在两者联动中得以加强。     

个人信息拒绝权的界定与适用

《个人信息保护法》第44条规定了一般性的个人信息拒绝权，从法律中拒绝概念的内涵、《个人信息保护法》第24条3款、第27条中所规定的两种具体拒绝权来看，个人信息拒绝权就是在选择退出的逻辑下，由个人所享有的针对法定权限、无溯及效力的终止形成权。这一内涵理解也与比较法上个人信息拒绝权的内涵特征相契合。个人信息拒绝权的外延则不仅包括了《个人信息保护法》第24条3款、第27条中的具体拒绝权，而且包括了针对第13条（四）项下无因管理型合法权限的具体拒绝权。此外，第13条（二）项下是否存在具体拒绝权也有解释的空间。个人信息拒绝权作为形成权，其生效时点的认定应当采取到达标准，其行使原则上不得附条件和期限。拒绝权的例外实际指明了限制个人信息拒绝权的三种思路和方法，但这三种方法的适用本身也受到限制。在第24条3款、第27条下具体拒绝权适用的特殊问题则主要体现为特别的构成要求。     

比较法视角下个人信息删除权的法律适用

欧盟GDPR在“谷歌案”后逐步确立了被遗忘权的概念，我国《个人信息保护法》第47条在借鉴GDPR被遗忘权理论的同时对个人信息删除权进行了较为具体的规定，但其在具体内涵上与欧盟被遗忘权的概念存在分野与辨析空间。在司法实践的应用之中，各法院对第47条的理解与适用存在一定分歧，需要在解释论上进行统一。在判断处理目的是否实现以及处理目的必要性时，需要通过公众知情权与个人信息删除权的利益平衡进行判断，并结合不同场景划定信息删除义务主体的范围；对于删除权的实现，实质性的物理删除应优先于匿名化的形式，以最大程度消除个人信息之上可能的信息聚合风险。     

侵害个人信息权益精神损害赔偿的制度建构

在侵权法保护路径之下,个人信息权益受到侵害是否应该以及如何获得精神损害赔偿的问题面临正当性质疑、认定标准严格、损害赔偿数额难以计算等困境,导致个人信息主体的合法权益难以获得有效保护。个人信息权益具有明显的人格属性,与个人信息主体的人格尊严、人格自由密切相关,因此个人信息权益遭受侵害时,被侵权人应获得精神损害赔偿具有一定的理论根基与实践需求。对被侵权人的精神损害赔偿的认定应该适度淡化“严重精神损害”的标准。在具体的损害赔偿数额计算方面,应以个人信息主体的实际损害或者个人信息处理者(侵权主体)的实际获利为基本依据,并构建法定赔偿数额制度。     

论基因信息的二阶人格权形态

基因信息是运用基因技术方法从包括基因在内的人体生物材料中提取的反映自然人遗传特征的个人信息，具有显著的身份识别性、预测性，呈现私密性、高度敏感性，非普通个人信息以及一般生物识别信息、医疗健康信息等敏感信息可比拟。《中华人民共和国民法典》就私密信息保护采取隐私权与个人信息权益双重进路，基因信息作为私密信息，权利适宜认定为隐私权与个人信息权二阶形态，基因信息隐私权更为基础，二者具有利益一体性、功能互补性、适用接续性等特征。