[摘要] 个人信息保护已经成为互联网时代的重大法律问题之一。个人信息保护涉及多个法律领域、多种法律手段，因此必须采取综合治理的方式来解决个人信息保护问题，构建个人信息保护的多元法律体系。十三届全国人大三次会议将于2020年3月审议表决《民法典》，还将计划制定《个人信息保护法》。因此，我国个人信息保护立法将迎来历史性突破，以民事基本法与行政单行法构筑的我国个人信息保护法律体系将基本形成。

　　[关键词] 个人信息；《民法典》；《个人信息保护法》

　　如何在互联网经济飞速发展的今天，加强个人信息的法律保护是世界各国高度关注的问题。它既涉及个人人格在社会中的发展，也涉及互联网本身的利用和扩展。党的十九大报告一方面强调保护个人的人格权益，另一方面也多次强调发展和建设互联网的重要意义，其中个人信息的保护和利用问题显得尤为关键。围绕着个人信息的保护与利用，信息主体、企业和国家各有诉求，人格尊严和自由、商业价值、公共管理价值在个人信息上彼此交织。个人信息保护立法就是认识利益、表达利益的过程，意味着应当妥善处理个人、企业和国家三方关系，实现个人对个人信息保护的利益、企业对个人信息利用的利益和国家管理社会的公共利益之间的三方平衡。建立我国个人信息保护体系，需在充分保护信息主体的个人尊严和自由价值的基础上实现信息控制者对信息的合理使用，设计与目前我国社会核心价值和互联网经济发展规律相契合的多元个人信息权利保护体系，为实现国家产业升级及网络强国战略助力。[1] 

　　从域外立法源流来看，个人信息保护制度本质上是个人信息正当利用的一套规则，是个人信息上的主体权利受保护，而不是个人对信息的支配权受保护。由于个人信息保护具有横跨私人空间和公共领域的特质，因此，超越私法和公法二元对立的立法模式已经成为世界潮流。我国在制定个人信息保护法和建构保护体系时，既要借鉴域外的经验，接轨国际规则，又要从我国实际出发，构建既适应时代需要，又解决中国现实问题的制度规则。2019年12月28日向社会各界公布征集意见的《中华人民共和国民法典（草案）》（以下简称《民法典》），将由全国人大常委会提请十三届全国人大三次会议于2020年3月审议，同时《个人信息保护法》也将进入立法快车道。这意味我国个人信息保护立法将有质的飞跃。在此背景下，本文将以目前《民法典》的编纂为核心，结合其他个人信息保护立法，对我国个人信息保护立法的思路、模式等进行分析和阐释。

　　一、个人信息保护的立法现状及其问题

　　近年来，个人信息的法律保护越来越受到国家重视。在立法方面，“自然人的个人信息受法律保护”已被写入2017年的《民法总则》第111条，① 《侵权责任法》《网络安全法》《消费者权益保护法》和《刑法》等法律、法规也对个人信息的收集、使用、保护规则以及侵害个人信息的处罚作出规定。②除此之外，《消费者权益保护法》《居民身份证法》《商业银行法》《未成年人保护法》《电信条例》以及《互联网电子公告服务管理规定》《计算机信息网络国际联网安全保护管理办法》《互联网安全保护技术措施规定》等法律法规都对涉及个人信息保护和管理问题有所涉及。

　　从立法形式上看，我国有关个人信息保护的法律法规在数量上似乎形成了一定的规模，但不足之处在于还没有构成一个完整、系统、条理清晰的体系。立法层级、领域的不统一导致各项规定散见于众多的法律、规章甚至标准文件中，表现出分散化、碎片化的特征。从内容上分析，许多条文规定的内容过于抽象，操作性差，难以有效执行，且存在重复、交叉，形成多头执法和多头管理的局面，导致执法资源和司法资源的浪费。

　　二、个人信息的界定与法律属性

　　（一）个人数据与个人信息的界定

　　在各国立法和学理中，常有 “个人数据”（personal data）和 “个人信息”（personal information）的表达。从比较法的角度而言，欧盟《一般数据保护条例》③ （以下简称“欧盟GDPR”）第4条对个人数据进行了定义：“‘个人数据’指任何已识别或可识别的自然人（数据主体）相关的信息；可识别的自然人是能够被直接或间接识别的个体，特别是通过诸如姓名、ID 号、位置数据、网上标识，或者与该自然人的身体、生理、遗传、心理、经济、文化或社会身份有关的一个或多个因素。”由上述定义可以看出，“个人数据”的核心内涵在于两个方面：一是“已识别或可识别”，识别是指通过一些因素可以直接或间接辨别出特定的个人数据，表明他人对特定个人数据和数据主体之间的联系因素的辨认；二是“相关信息”，指的是特定的个人数据与特定的数据主体之间具有的联系因素，可以从个人数据的内容、目的或者结果三方面来判断是否具有相关性。由此可以看出，欧盟对于个人数据的定义比较宽泛，意图尽量将与个人有关的数据都纳入保护范围，体现了欧盟对于个人数据保护的重视。[2]

　　我国目前对于个人信息比较明确的定义主要体现在《网络安全法》中。该法第76条第5款规定：“个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。” 2018年出台的《网络安全法》的配套规定《信息安全技术个人信息安全规范》中对个人信息做了更加详细的规定：“以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。个人信息包括姓名、出生日期、身份证件号码、个人生物识别信息、住址、通信通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。”与《网络安全法》中的定义相比，《个人信息安全规范》从技术层面对个人信息进行了更为清晰的定义，不仅对识别主体进行了“特定”的限定，还增加了对于能反应特定自然人活动情况信息的识别，列举也更加详尽。

　　根据我国法的规定，判定某项信息是否属于个人信息，应考虑以下两个方面：一是识别，即从信息到个人，由信息本身的特殊性识别出特定自然人，个人信息应有助于识别出特定个人；二是关联，即从个人到信息，如已知特定自然人，则由该特定自然人在其活动中产生的信息（如个人位置信息、个人通话记录、个人浏览记录等）即为个人信息。符合上述两种情形之一的信息，均应判定为个人信息。

　　由上分析可以看出，我国法的定义与欧盟在可识别和关联性方面基本一致，在学理上同样采取了识别型定义。从表面语义来看，“数据”更加侧重于可以被机器设备自动化处理的特点，而“信息”则更加强调传递的内容，但是个人信息与个人数据在内涵基本上是相同的。

　　（二）个人信息的法律属性

　　大数据时代中个人信息的商业运用，为个人信息保护提出了许多新问题。个人信息不仅仅与一个人的人格息息相关，也与财产、商业价值密不可分。个人信息不再被视为一种单纯的人格权，其看似具有了某些财产属性。

　　《民法总则》颁布以来，学界对于第111条有广泛的争议，问题主要集中于以下两个方面：

　　一是讨论个人信息保护的权益层级问题，即个人信息究竟是一项独立的“个人信息权”，还是仅仅为一项受法律保护的民事利益。对于这一问题，学者间意见虽不统一，实际上对于个人信息权（权益）的具体保护而言影响并不大。而在《民法典》编纂中，学者大都更倾向于《民法典》人格权编在“个人信息”之后加“权”。①因为，从与特别法的关系来看，《民法典》将个人信息确定为权利，能够给特别法提供上位法依据；从域外法来看，包括欧盟GDPR在内的域外法大多都规定了个人信息权；从权利内容来讲，如果个人信息本身不是权利，则权利内容无法展开；从权利法益区分现状来看，因为当下尚不明确采用法益保护时需要什么特殊要件，故如果不确定个人信息为权利就会导致司法实践中面临很多问题。①  

　　二是讨论个人信息权（权益）的属性问题，即个人信息权（权益）究竟是一项人格权，还是一项财产权，还是说二者兼而有之。这一问题的讨论，对于个人信息保护立法具有较为重大的影响。总体来说，民法学者较为强调个人信息权（权益）的人格利益属性；而知识产权法、信息法等其他部门法的学者则更为强调个人信息权（权益）的财产利益属性。对这一问题的不同认识，会直接影响对于整个个人信息保护法律架构建立的认识。强调人格利益，则势必强调信息主体对于其个人信息的“支配性”，留给信息业者“利用”个人信息的空间就较小；反之，如果较为强调财产利益，则势必要在一定程度上限制信息主体对其个人信息的“支配程度”。支配程度与利用空间之间如何平衡，会直接决定个人信息收集、处理和使用者的义务内容。[3]个人信息的本质在于其能够单独或者结合其他信息识别特定个人身份的属性。如果将个人信息作为一种人格权，那么信息当然属于个人，而不可能属于信息收集、加工者。但是这种保护似乎过于严格，与在大数据时代数据的合理流通与利用的潮流不符合，因此，对于个人信息赋予一定的财产权属性，兼具人格权与财产权的属性更为恰当。