民法保护现状-侵权责任法与个人数据保护法立法建议

通观我国的法律制度，目前对个人数据权尚未形成统一的制度规范，甚至没有明确的对个人数据权保护的条文表述。涉及个人数据保护的法律规范分散于多部门的立法之中，但是现有的法律规定还存在一些问题，无法切合个人数据权的特征，不能满足个人数据权的保护。

（一）法律保护现状

1.侵权责任法

与个人数据密切相关的隐私权被作为一项独立的民事权利在我国基本法律中予以正式确认是经历了一个漫长过程的。1986年的《民法通则》并没有提及隐私权或是个人信息保护，其后在1988年4月发布施行的《民通意见》中，该意见第140条在保护名誉权的同时间接为公民的隐私权提供了保护，2001年3月最高法公布的《精神损害赔偿解释》中提到了“隐私”二字。2009年，我国通过了《侵权责任法》，该法第2条明确提出：“本法所称民事权益，包括……隐私权等人身、财产权益”，正式确认了隐私权。虽明文规定了隐化权，但该法没有一般性地规定个人数据保护问题，只是对持定个人数据的保护有所提及。如《侵权责任法》第61条、第62条之规定，都只是对个人医疗数据的规制。

2.民法典草案

关于《中华人民共和国民法典》，现在已经有了多部专家建议案、建议稿，这些建议案、建议稿中的多半都在专口条款中规定了对个人数据的保护。首次尝试在民事立法中对个人资料直接进行规范的是2002年12月17日提请审议的《中华人民共和国民法典（草案）》，该草案第29条规定：“收集、储存、公布涉及自然人的隐私资料，应当征得本人的同意，但法律另有规定的除外。”除了类似上述的正式建议案，一些民法典专家建议稿中也提及了个人数据保护问题，比如中国人民大学民商事法律科学研究中心起草的《中华人民共和国民法典草案建议稿》。

3.个人数据（信息）保护法的起草

2006年完成的《中华人民共和国个人信息保护法（专家建议稿）》共六章72条，分别为总则、政府机关的个人信息处理、其他个人信息处理者的个人信息处理、法律的实施保障与救济、法律责任、附则。在立法模式的选择上，建议稿采用了类似于欧盟的统一立法模式，但在具体的制度安排上，建议稿仿效日本做法，力图将欧盟模式与美国模式的长处兼收并蓄。该建议稿虽早在2006年就已经提交国务院审议，但由于种种原因，全国性的个人信息保护立法却迟迟未能出台。2014年的两会上，有人大代表再次提交关于加快制定《中华人民共和国个人信息保护法》的立法建议。

《个人信息保护法（建议稿）》包含很多行政法乃至刑法上的条款，民法性质的规范极少，具有非常浓厚的公法性质，个人数据信息权也被建议稿定性为公法上的权利。但实际上，个人数据保护法应是保护个人权利为主要目标，以如何规制个人数据处理为主要内容，个人数据权利保护的基础是赋予个人数据主体民事上的权利，其调整的主要是个人数据主体与个人数据处理者之间围绕个人数据处理而产生的权利义务关系，其规则应主要是任意性的而非强制性的，其救济手段也主要应为民事上的救济，因此宜将个人数据保护法视为民商法而非行政法。如果个人数据保护法不是以民事规范为重点，那么个人数据主体将很难通过自己的行为真正享有个人数据权益。此外，对于恶意滥用个人数据等行为，其处罚可以是行政甚至刑事上的，但如同隐私权也有行政和刑事上的保护，其主旨仍是为了保护主体在民事上的权利，但建议稿第五章仅仅规定了侵害个人数据信息的行政责任及刑事责任，相关民事责任只用了一个条文予笼统规范，无法实际弥补个人数据信息主体的损害。总而言之，在我国这种行政权力过分渗透的社会背景下，将个人数据保护法主要作为民商法的组成部分才能更好地实现其对个人数据的保护。

（二）大数据背景下个人数据民法保护学说概述

在探讨我国个人数据的民法保护之前，我们有必要对目前学界已形成的有关学说予以梳理，在对比分析的基础上结合我国实际予以摒弃或者加吸收、拓展。现存学说虽较为繁杂，但总结起来主要有以下几种：

1.加强个人数据控制者责任说(www.xing528.com)

面对大数据对个人数据安全带来的冲击，有一部分观点认为应在已有个人数据保护立法的基础上继续强化个人数据控制者的职责，即个人数据控者（只要是公司）的个人数据收集、应用行为应符合更高程度的告知与许可规则以及透明度要求。“同意不仅仅是可以到达的、可以通知到的，而且必须是极其明确的，沉默式的或者不是很确定的都不能算作同意，甚至个人数据控制者必须承担着能证明个人数据主体己同意数据处理的责任。”

这种学说观点在西方学者中并不鲜见，但是笔者以为其并不具备可操作性，如上文所述，大数据的价值更多是源于它的二次利用，大数据挖掘分析的结果是个人数据收集者在一开始无法预料的，很难对这种再收集之初时未能想到的用途提供足够的告知并获得相应同意，这会耗费较大的成本且不利于个人数据信息的自由流动。

2.消费者（个人数据主体）授权管理说

该种学说认为：在个人数据管理中应建立一种新的商业规则，即由传统的以个人数据应用者为主导的个人数据管理体系转向以个人数据主体为主导的管理体系，即个人数据主体有权根据其自我意志来管理其数据，其有权通过分享其个人数据来获取经济利益。“消费者们自控制他们的个人数据管理系统中解放出来，转而在个人数据市场中充当一种自由、独立的角色，其有权在任何时候任何地点以任何方式向数据供应商要求获知个人数据。”这种模式被称为VRM模式，个人数据主体能够依此模式来表明其愿意释放什么样的个人数据，以及在何种情况下向何人释放。

3.个人数据财产利益共享说

此学说认为：应设立这样一种可行的模式，即个人数据控制者应该允许个人数据主体以—种可行的方式访问他们的个人数据并且有权分享个人数据创造的经济利益。这种模式要既能促进个人数据的自由流动，又能使个人数据主体产生重视并合理利用其个人数据的动力，增强其权利意识。笔者以为此学说适应了大数据背景下的个人数据市场发展潮流，是完全可以在我国个人数据保护立法中加以借鉴吸收的。

4.个人数据销售许可说

个人数据销售许可，是指“授予许可的企业将可以进行个人数据交易，没有授予的则不允许进行个人交易”。这里的许可可以来自于政府，也可来自于行业自律组织，具体视情况而定。通过这种许可机制，可以对个人数据控制者予以约束，最大程度地保护数据安全。

5.确立个人数据权说

这种学说认为：个人数据保护的就是数据个体在信息时代下的新权利，赋予个人数据主体以个人数据权才能保证个人在大数据环境下的实际参与者地位。在具体操作中，此学说在究竟是以个人数据人格权还是以个人数据财产权来对个人数据主体予以保护产生了分歧。前者认为个人数据负载着明显的人格利益，其被确立为一项独立的具体人格权来予以规范更为妥当，后者则以为个人数据的财产属性在个人数据权中的地位越来越重要，故不能仅仅将之看作是个人数据人格权的附属。