1. 引言

随着科学技术的不断发展，互联网已经完全融入了人们的生活中，各种新兴技术手段接踵而至，毋庸置疑，互联网给人们的生活提供了极大的便利，但是根据相关统计，我国有50%以上的互联网用户都遭受过个人信息安全的问题，更是有将近30%的互联网用户个人信息已经被泄露 [1] 。由此可见，对我国公民个人信息的保护亟需加强。

2. 个人信息概念辨析及其法律属性

2.1. 个人信息概念辨析

对于个人信息概念的界定，目前学界仍然存在一定的争议，综合参考学界目前的主流观点以及境外、其他地区的法律法规。个人信息的定义主要包括“识别说”和“关联说”两种。“识别说”是从信息本身出发来判断是否能从该信息识别到特定的个人，而“关联说”是从信息的主体出发，由已知的特定主体而收集或了解该特定主体的信息。欧盟的指令中规定，个人资料是指任何可以识别自然人(资料主体)的信息;可以识别的自然人是指直接或间接识别一个个体，特别是通过他的身份证号码或者其身体、生理、精神等一系列特殊因素 [2] 。由此可见，境外以及其他地区的立法中主要还是采用识别说的个人信息定义。而关联说的个人信息定义可能导致个人信息的范围过于宽泛，在实务中会出现案件数量过多从而导致法办案机关效率过低，无论是从学界还是各国各地区立法来看，使用较多的学说还是“识别说”，我国也是如此。

2.2. 个人信息的法律属性

《民法典》并未明确个人信息的法律属性，学界也对此存在争议。《民法典》中将“隐私权和个人信息保护”列入到第四编人格权之下，因此目前学界通说观点认为公民个人信息属于人格权的范畴。另一种观点认为，随着社会的进步，互联网的快速发展，个人信息已经体现出财产属性，并且因其财产属性而衍生出的财产利益也为其主体所享有，因而该部分学者认为其属于财产权益。彭诚信教授认为个人信息权的本质属性是人格权益，人格权的特点是利益由个人专属，且不能让渡 [3] 。笔者认同此观点，从《民法典》的体系解释中来看，《民法典》在第四编人格权下各章中列举了各种权利，然而在第四编最后一章是“隐私权和个人信息保护”，由此可见，立法者还是将个人信息作为一种民事权益来加以保护，而非认为是民事权利。

3. 我国公民个人信息保护的问题

3.1. “个人信息”的认定范围不明晰

目前，在立法上关于个人信息的定义主要适用《个人信息保护法》、《民法典》和《网络安全法》。《个人信息保护法》第四条，《民法典》第一千零三十四条以及《网络安全法》第七十六条第五项均对个人信息的概念、范围作出了规定。通过法条原文我们不难发现，立法上对于“个人信息”的判断标准主要还是采用“识别说”。从现有的生效判决来看，对于《个人信息保护法》、《民法典》和《网络安全法》中已经明确的属于个人信息范围不存在过多争议，一般应直接认定为个人信息，例如姓名、身份证件号码、出生日期等，而就未以法律形式明确的信息内容是否构成个人信息，如车架号、车辆基本行驶数据等历史车况信息，微信头像、昵称，用户身份识别代码等，实践中存在一定争议，仍需结合具体场景作进一步论证，并且在理论界对个人信息尚欠缺相对统一的概念，人们对其内涵与外延并未明晰，缺乏一致的认识，在司法实践中各个法院对于个人信息的定义也并不相同，因此有关部门应当尽快起草有关个人信息的法律规范，对“个人信息”的内涵及其外延进行具体界定，对侵犯公民个人信息行为的认定才能更加准确 [4] ，在法官审理案件时能够提供更精准的判断依据。

3.2. 实践中“个人信息”的法律属性存在分歧

在实践中对于“个人信息”法律属性认定的不同对于法官所作出的最终判决存在着重要影响，也与当事人的诉讼利益息息相关，然而在司法实践中，各法院对于“个人信息”属于民事权益还是民事权利并没有达成一致，通过搜索“中国裁判文书网”，我们可以发现相关案例，部分法院认为个人信息权属于民事权益，例如胡利明与北京体育大学（国家体育总局教练员学院）等个人信息保护纠纷案¹，李向前、中国建设银行股份有限公司湛江市分行一般人格权纠纷案²，许林琳、中国银行股份有限公司辽宁省分行等民事纠纷案³；也有部分法院认为个人信息权属于民事权利，例如李永卓与北京抖音信息服务有限公司网络侵权责任纠纷案⁴，崔冬、广发银行股份有限公司大连经济技术开发区支行等个人信息保护纠纷案⁵，刘成明、福建省鼎衡建筑劳务有限公司隐私权纠纷民事纠纷案⁶。如上文所述，《民法典》中对于个人信息的权利属性的界定尚未明确，因为个人信息是包含着财产属性的人格权，既具有人格属性也具有财产属性，因此在司法实践中各法院在不同场景中会将个人信息认定为民事权利或者民事权益，而在司法实践中，对于客体的权利属性的界定属于案件的核心要点之一，若各法院对于案件客体权利属性的认定不一致，则会各法院间的司法裁判尺度无法统一，甚至会影响司法公正，降低司法机关的权威和公信力。

3.3. 行政监管部门主体多元、能力不足

在《个人信息保护法》出台前，《网络安全法》规定的个人信息的保护部门繁多，不仅规定了几类具体的保护部门，还运用了“其他有关机关”的字眼，对个人信息呈现分散式保护的局面 [5] 。在《个人信息保护法》出台后，根据其第六十条的规定，我们可以发现，对于公民个人信息的保护，我国目前的行政监管部门仍然是呈现出多头执法、分散执法的局面。行政主体权限范围划定不清、行政权力边界分配不清就可能会产生多头多层重复执法的情况，不仅损害当事人的合法权益，也会导致国家对于侵犯个人信息的违法行为的行政监管难以起到应有的效果，降低政府的公信力。此外，在如今大数据的背景下，互联网技术层出不穷，因而导致法律法规对于个人信息的保护范围不断扩大，同时个人信息泄露所面临的现实危险性和广泛性也会不断提高，这就使得在实践中对于违法犯罪行为的调查、执法、监管变得极为复杂和困难，这就需要行政监管部门不断地提升自己的法律素养和行政水平，正确理解并运用相关的法律法规进行行政执法和监管。然而，在实践中，行政监管部门针对侵害个人信息权益的行为，暂且不能有效地运用《个人信息保护法》实施行政处罚 [6] 。行政监管部门如果不能做到有效执法、正确执法，对公民的个人信息保护就难以落到实处，甚至可能会在行政监管过程中侵犯公民的合法权益。

3.4. 公民的法律意识薄弱

调查“群众是否了解我国有关个人信息保护的法律法规”这一问题数据显示，17.57%的群众都不了解，16.22%的群众表明自己了解相关的法律法规，还有大多数群众选择了了解一点，占比66.22%，数据说明大多数人对于相关的法律法规都不太了解 [7] 。随着科学技术的不断发展，互联网普及程度也在迅速提高，“大数据”、“互联网+”、“人工智能”等新兴技术正在渗透进人们的生活中。互联网等新兴企业利用新技术等手段最大程度地收集、使用并存储用户的个人信息，在这个过程当中，公民的个人信息安全也随时面临着被侵害的危险。在生活中我们经常会发现，推销电话总会及时推销你曾经搜索过的某样商品，手机APP中的广告总会推送你近期感兴趣的某样商品，甚至个人信息被竞争对手所知晓等等侵犯公民个人信息的行为。此类现象如今已经非常普遍，并且随着科学技术的不断发展而增多。究其原因，一部分是因为不法分子对公民个人信息的非法收集、使用、存储以及贩卖，还有一部分原因则是因为我国公民普遍对于法律法规不够了解，也不够重视，具体来说当公民的个人信息遭到侵犯后，公民一方面对于相关的法律法规不甚了解，另一方面公民在个人信息权益被侵犯后也不清楚采取何种法律途径去维护自己的权益，这在一定程度上放纵了不法分子的不法行为。

4. 完善我国公民个人信息保护的建议和对策

4.1. 推进前置立法工作，明晰“个人信息”内涵与外延

《个人信息保护法》的出台已经在相当程度上通过法律的形式填补并完善了个人信息前置立法的空白，在司法实践中司法机关可以根据相关前置性立法对其内涵的规定直接进行司法裁判，但是根据目前的立法现状来看，还存在着相当空间范围的个人信息并未得到法律的明确承认，在学界和实务中还存在分歧。因此，加强前置性立法工作是必要的，在前置立法层面对“个人信息”的概念和范围进行周延性的考虑。具体来说，首先，从整个立法体系上来看，对于“个人信息”的内涵，各个相关的法律之间表述并不一致，需使《个人信息保护法》、《民法典》、《网络安全法》中“个人信息”的内涵保持一致性从而明确“个人信息”的内涵，使各个法律规范之间达成整体的协调性，不致于产生矛盾和冲突，使实践中产生疑问；第二，对“个人信息”的外延进行周延性的定义。“个人信息”的外延既包括“个人信息”的内涵，即通过法律形式进行明确规定并列举的个人信息，也包括并未通过法律形式明确列举但符合其内涵要求的个人信息。对于外延的个人信息应当进行周延性的考虑，将可能的潜在的法律无法全部列举的个人信息尽可能地涵盖在内，建议参考德国《著作权法》中对于“合理使用”的立法例所形成的“一般概括式”与“法定情形列举”分开适用的立法技术，用此种立法技术对“个人信息”进行定义，不仅可以加强完善个人信息的前置性立法工作，使其内涵和外延更加周延性，更具有可操作性，还可以有效提升实务中司法机关的办案效率，减少在适用法律过程中所产生的不必要的矛盾的争议。

4.2. 在法律上明确“个人信息”的法律属性

如前文所述，个人信息不同于《民法典》第四编中其他的人格权，《民法典》第四编中所列举的其他的人格权主要体现为精神方面的一种人格权，而个人信息则体现为一种既包含精神属性的人格利益，也包含着财产属性的财产利益，并且对于这两个方面的保护应当并重，同时，《民法典》在第四编第六章“隐私权和个人信息保护”当中也对隐私和个人信息加以区分，即对于个人信息当中“私密的”、“不愿为他人知晓的”个人信息上升到人格权的高度，对于个人信息中隐私部分以外的个人信息则定义为个人信息的范畴，且并没有通过法律条文规定为“个人信息权”。据此，笔者认为应当将“个人信息”的法律属性明确为民事权益，不仅能够在法律上承认主体对于个人信息所享有的财产权益，也能够发挥出个人信息对于主体所享有的财产权益的维护功能。

4.3. 健全行政监管机制，提升执法队伍素养

主体多元化的行政监管机制不仅效率低下，还将会降低政府公信力。需推进健全操作性强的行政监管机制，以去多元化为中心，明确各行政监管部门的权力义务界限，统筹兼顾，在行政监管尺度上尽可能做到统一。笔者建议设立专门的机构为个人信息保障机构，由此机构统一制定个人信息行政监管工作细则，统一行使保护个人信息的行政监管权，这样能够有效规避多层多头重复执法的风险，有利于行政监管部门效率的提升，避免在执法中出现矛盾和冲突。此外，针对行政监管政法队伍并不能够正确适用《个人信息保护法》的现状，需加强对行政监管政法队伍法学教育的培训，定期定时开展，形成一套常态化教育培训机制，提升行政监管政法队伍的法律素养以及执法水平，要使得其能够全面熟悉掌握《个人信息保护法》的法律规范，深刻把握《个人信息保护法》的内涵，能够在行政监管过程中正确适用法律规范，能够做到在行政监管过程中有效打击侵犯公民个人信息违法犯罪行为的同时保障公民的个人信息安全。

4.4. 加强普法宣传教育，提升公民法律意识

要想达到保护公民个人信息好的效果，不能光靠立法、执法、司法这三个层面，公民的守法也是非常关键的一环。公民的守法包含三个层面的含义，第一个层面即消极被动地守法，即不违法法律法规的要求；第二个层面即不仅不违法，还了解、熟悉法律法规的内容，当自己的权益受到不法侵害时能够运用法律途径维护自身的权益；第三个层面即是从行为到内心都信仰法律，不仅遵守有形的法律规范，更对法律规范背后的法治精神有着高度认同。我国的公民绝大多数仅能做到第一个层面的守法要求，但是通常对法律法规缺乏基本的了解，当自身的合法权益受到侵犯时也通常不会第一时间运用法律的途径维护自身的权益。因此，有关部门需要加强普法宣传教育，通过各种媒体途径，广泛开展普法教育活动，使得公民能够知法、懂法、守法、用法，提升公民保护个人信息的法律意识，使大多数公民的守法状态达到第二个层面的要求。如此，社会形成一种信仰法律，崇尚法治的社会氛围，才能够有效地降低公民个人信息遭受非法侵害的风险。

5. 结语

我国人口众多，幅员辽阔，作为信息产业大国，我国的个人信息保护工作起步较迟，需要相当长的一段时间进行不断完善，好在2021年《个人信息保护法》的出台已经在相当程度上加强了对我国公民个人信息的保护，但是在法律和实务层面都存在着一定的问题，我们需正确看待当前所存在的问题，稳步解决立法、司法、执法、守法中所存在的问题，加强对我国公民个人信息安全的保护。

NOTES

¹案号：(2022)京民申2299号。

²案号：(2020)粤民再202号。

³案号：(2023)辽03民终1358号。

⁴案号：(2023)京04民终39号。

⁵案号：(2022)辽02民终6450号。

⁶案号：(2021)闽01民终10705号。

参考文献