网络环境下的个人信息保护

【引言】

本文节选《网络环境下的个人信息保护》论文的部分内容，写于《民法典》、《个人信息保护法》颁布之前。其对个人信息的概述与特点分析在今天看来仍有参考意义，关于个人信息的比较法分析也为我国个人信息保护立法奠定了基础。值得注意的是，文中提到的个人信息保护的立法现状指的是我国在2017年对个人信息立法保护的情况介绍，这对我们了解我国个人信息立法保护的历史有一定价值。同时，再回顾文中提到的当时个人信息保护立法存在的问题，我们发现随着学界对个人信息保护探讨的发展与《个人信息保护法》的出台，大部分问题如今已经迎刃而解，而当今的个人信息保护与利用，仍在不断出现新的问题需要我们去解决。

目录

一、 网络环境下的个人信息概述

（一）什么是个人信息

（二）个人信息与个人隐私辨析

（三）网络时代个人信息的特点

二、 个人信息保护的比较法分析

（一）欧盟

（二）美国

（三）我国个人信息保护的立法现状

（四）对我国个人信息保护立法模式选择的启示

三、中国个人信息法律保护的立法考量

（一）平衡法律规制的立足点——寻求个人信息的自由流动和人格保护二者的平衡

（二）个人信息的多次利用对“目的明确原则”的再诠释

（三）树立以风险控制为导向的信息管理理念

（四）应重视个人信息使用环节的监管

（五）遵循从设计着手保护隐私（Privacy by Design，PbD）等针对大数据、云计算服务的立法趋势

【摘  要】商国务院信息化发展纲领性文件《2006-2020年国家信息化发展战略》将信息资源称为“日益成为重要生产要素、无形资产和社会财富”。在信息产业飞速发展的时代，个人信息存在着巨大价值，这使得侵犯信息主体对个人信息享有的合法权益的现象愈演愈烈。面对信息技术和互联网日新月异的飞速发展，个人信息保护又面临一些新的挑战，为应对这些新旧挑战，我们应当立足于在个人信息的自由流动和人格保护之间寻求动态平衡，并广泛参考国外成熟的立法经验，构建适合我国国情的个人信息保护法律体系。

【关键词】个人信息 人格权 立法模式 互联网 大数据

一、网络环境下的个人信息概述

（一）什么是个人信息

在个人信息的定义上，从各国的立法表述看，《德国个人资料保护法》第2条将“个人信息”定义为:“凡涉及特定或可得特定的自然人的所有属人或属事的个人资料”。根据《英国资料保护法》第1条的规定,个人信息是指可以直接或者间接识别一个生存的人所有资料,包括个人观点的表达、个人意图的表达等。我国台湾地区《电脑处理个人资料保护法》第3条第1款规定:“个人资料是指自然人姓名、出生年月日、身份证统一编号、特征、指纹、婚姻、家庭、教育、职业、健康、病历、财务情况、社会活动等足以识别该个人之资料”。

从以上表述中可以看出，并不是所有有关个人的数据、信息都可以纳入法律意义上的“个人信息”，该信息必须能够综合分析出专属于某个人。因此，“可识别性”是判断是否属于个人信息的关键。如果能够运用合理的方法将某个人从一群人中选择出来，就可认为这个人被识别了。因此，需要从各方面综合分析，对个人信息进行甄别。如果从对个人信息的记载中可以较为明显地推出某个人时，也就说明此类信息具有识别个人的标志性特征。我国的首个个人信息保护国家标准《信息安全技术公共及商用服务信息系统个人信息保护指南》将“个人信息”表述为“可为信息系统所处理、与特定自然人相关、能够单独或通过与其他信息结合识别该特定自然人的数据。”

然而，个人信息的属性是动态变化的，即同一条信息可能在此时不被视为个人信息，但在另一个场景中，其属性可能发生变化。个人信息的属性判断取决于其收集和使用的场景，需结合具体获取方式、使用方式等因素综合认定，而不是对信息的性质预先作出判断。进一步而言，个人信息的处理是否给用户带来隐私风险的原因并非来自其是否构成个人信息，而是在具体场景中被如何使用以及是否符合用户在相应场景中的合理期待。换言之，信息性质的判断远非目的，信息处理行为的隐私风险方为衡量机构责任的最终标准。

（二）个人信息与个人隐私辨析

个人信息保护权常常与隐私权相联系，因为二者之间的确存在着紧密联系。某些个人信息，如个人的健康状况、手术记录、宗教信仰等，同样是属于隐私的范畴。对这些个人信息的侵犯，其后果常常也是对其隐私的侵犯。正因为二者之间的密切联系，很多人将个人信息保护权与隐私权等同，或者认为通过确立隐私权制度，即足以实现对个人信息的保护。

但其实，个人信息受保护权是一项与隐私权所不同的独立权利。隐私权作为一项具体人格权，是指自然人享有的私人生活安宁与私人信息秘密依法受到保护，不被他人非法侵扰、知悉、搜集、利用和公开的一种人格权。个人隐私始终是公民不愿意让外界所知晓的敏感信息，对其保护的重点是保护个人的私密空间不受侵害；而个人信息的内涵则强调“识别”，即他人可通过个人信息认出信息主体，个人信息概念远远超出了隐私信息的范围。具体的不同点体现在：第一，个人信息保护是一项独立的基本权利，不是隐私权范畴内的某种权益。第二，某些个人信息并不具有隐秘性，可能已经在一定范围内公开，但并不排除权利主体对自身信息的控制权，而隐私一旦被披露，其私密性就难以通过救济途径予以恢复，损害后果往往不可逆。而个人信息可以被反复利用，信息主体可以授权不同机构利用其个人信息，造成的损害也通常具有可恢复性。例如对个人信息的非法收集、非法储存等行为，权利人有权请求行为人删除信息，恢复权利原状。第三，个人信息权必须通过载体予以固定，在大数据环境下，个人信息通常以数字化形式表现出来，而隐私不限于信息形态，可以是私人活动、私人空间等不需要通过某种数字化载体体现的。第四，二者的保护范围和方式也不完全相同。个人信息的保护范围，往往被认为包括但不限于对隐私的保护。另外，隐私在很多时候采取的是主观标准，如果当事人不认为所涉事实是隐私的，往往可能不被认定为隐私；而个人信息的认定则有客观标准，并不完全遵照当事人的主观认知。

从我国既有的人格权立法体系看，隐私权作为人格权的一种，其内涵有一定界限，不能简单用“隐私权”来代替“个人信息权”。

（三）网络时代个人信息的特点

计算机通信技术与互联网的发展不仅带来了生产方式的变革，更导致了人类生活方式前所未有的信息化嬗变。在这一进程中，技术与社会相互型塑，两者间的影响往往难以预料，致使社会信息化的后果更为复杂多变。近年来，随着互联网、信息存储、云计算、物联网、社交网络、移动智能终端突飞猛进的发展，数据的信息处理与应用进入大数据时代。大数据技术，尤其是大数据挖掘技术的迅速普及给社会商业模式、政府行为模式带来了新的发展。

同时，网络与大数据的发展也引发了一系列价值冲突，迫使人们在法律层面予以回应。特别是鉴于大数据直接涉及对个人信息及行为数据的收集、处理与使用，给新环境下个人信息保护带来新的挑战。

网络时代的个人信息呈现出不同于传统社会中个人信息的一些特点：

第一，信息来源的广泛性、内容的多维度。互联网、大数据技术使关于个人信息的海量数据被记录和处理。一方面，很多信息空间中存储和处理的数据已经超过TB与PB量级；另一方面，有关个人信息的数据类型包括文本、音频、视频、网络点击数据流、博客、微博等多种多样的形式。包括互联网服务提供者、电信运营商在内的主体提供互联网或通信服务，每时每刻都要获取海量的来自终端和用户的信息。比如用户日常在网络和移动终端上留下的浏览记录、购物消费记录、送货地址、通信信息，微博、微信图片、文字、地理位置、留言评论，网络通信所储存的邮件、账单，通信设备GPS 系统所留下的位置地址信息、日常运动轨迹等。

第二，获取信息的主体范围扩大化。网络时代能够获取用户个人信息的主体远不止电信运营商和互联网服务提供者。随着人们生活方式和社会组织运行方式的互联网化，通过互联网获取个人信息的主体也越来越多样化。以网购行为为例，除了电信运营商、网购平台之外，能获取个人信息的至少还包括卖家、物流公司，甚至包括提供运费险的保险公司。从行业来看，包括电信和互联网、商贸流通、物流配送、保险等多个行业。

第三，网络技术导致信息主体对自身信息的控制力减弱。在信息社会，个人信息的收集与处理大多是通过计算机等自动化设备进行的，这种收集往往是在信息主体不知情的情况下进行的。信息获取者借助技术手段，在信息主体不知情或不能控制的情形下暗中实施数据的收集、分析，这些网络技术工具可能包括system administrator(服务器系统管理员、可详细记录访问息)、cookies（跟踪软件）、new visitor counting（对造访者进行再度造访次数的记录软件）、push technology（追踪与归类用户特定网络兴趣或所需网络信息内容之功能的软件）、oil change program（记录用户硬盘详细内容的软件）。以Cookies为例，cookies服务器暂时存放在用户的电脑里（.txt格式的文本文件），好让服务器用来辨认计算机,当用户在浏览网站的时候，Web服务器会先将一些资料放在用户的计算机上，跟踪统计用户访问该网站的习惯，比如什么时间访问，访问了哪些页面，在每个网页的停留时间等。当下次再访问同一个网站，服务器会先看看有没有它上次留下的Cookies资料，并依据Cookies里的内容来判断使用者，送出特定的网页内容。这些技术工具的应用使得收集、记录、处理和利用信息更加地方便、快速，成本低廉。并且通过隐秘的方式将上述工具植入用户使用的程序中，如果没有明确提示，普通的网络使用者往往无从知晓，更难以控制行为所载的信息被收集和获取。

此外，大多数网站公布隐私政策的方式是在网页的上方或下方的非显著位置置入隐私政策的链接，例如某知名社交软件隐私政策文本中将用户的接受方式表述为“您使用或继续使用我们的服务，都表示您同意我们按照本《隐私政策》收集、使用、储存和分享您的信息”，即采用用户默示同意的方式授权服务商处理个人信息。但所谓的默示同意实际上是一种被动式的消极同意，多数用户并不会在使用网站服务之前先去寻找并点击阅读冗长的隐私政策，更不用说为了要获取网站的服务而对此提出反对意见并要求服务商进行修改。“不反对即推定为同意”的规则，其实造成一种现象，即用户为了获取必要的网络服务而对个人信息控制乏力。

第四，大数据分析处理能力、云计算对个人信息保护带来新的影响和风险。通过技术获得的海量信息绝大多数都是碎片化的信息，只有通过分析才能获取智能的、深入的、有价值的信息。越来越多的应用涉及到大数据，而这些大数据的属性，包括数量，速度，多样性等等都是呈现了大数据不断增长的复杂性，所以大数据的分析方法就显得尤为重要，可以说是决定这些信息最终是否有价值的重要因素。而通过一定的方式，对实时数据和历史数据进行适当的分析，可以很容易的发现用户规律性的行动轨迹、常用移动终端应用软件种类、不同终端在位置和时间上的耦合关系等，进而对用户的生活习惯、兴趣爱好、职业特点、消费及投资偏好等在一定程度上作出推断，甚至可以还原出用户的身份和人格面貌。

互联网以及与之相关的产业发展日新月异，除大数据外，云计算(CloudComputing)作为一种新的服务模式近年来发展也十分迅速。云计算简单地说是指通过互联网可以获取的、由处于远端的计算机所提供的数据存储、处理和使用。它将计算任务分布到大量由计算机构成的资源池上，从而使用户能够根据需要获取计算力、存储空间和信息服务；这种资源池就称为“云”。“云”是一些可以自我维护和管理的虚拟计算资源，通常是一些大型服务器集群，包括计算服务器、存储服务器和宽带资源等。由此，用户可以几乎无限地获取计算能力，他们自身不必进行大规模投资以满足这些需求，而可以通过网络连接在任何地点都获得信息。云计算可以极大地使用户节省成本，提高效率，实现技术创新，这对中小企业尤其重要。云计算具有高动态、高可靠性的特点，数据的存储和安全完全由云计算提供商负责。这对于用户的个人信息保护来说比传统的信息储存方式存在更大的风险。一方面，用户将数据托管给云服务商后，对数据享有优先访问权的不是用户，而是云服务提供商。云服务提供商能够对用户数据进行直接获取、收集和分析，挖掘出用户的各种数据，因此难以排除内部人员对云端信息的不良使用、恶意泄露等问题；另一方面，由于云服务提供商拥有的海量用户数据具有极大商业价值，因此也面临系统技术安全问题以及被黑客攻击的潜在风险。2011年3月，谷歌邮箱发生大规模用户信息泄露事件；同年，黑客利用亚马逊EC2云计算服务，对索尼PlayStation网站进行了攻击，造成用户信息大规模泄露；2012年，盛大云服务器因磁盘损坏而导致部分用户个人信息丢失。

第五，个人信息的公共价值和商业价值正在被充分挖掘。移动互联网、搜索引擎、在线社区、电子商务平台、社交网站等大型的联机系统及其它先进的技术手段提供了个人社会行为的真实、详细的记录，使得政府部门可以全面地了解个人信息所反映的某种社会行为或现象背后的规律，并通过分析把这些规律运用到医疗、交通、城市规划、公共安全等不同的领域，以帮助推进建立一个更高效的社会运行机制。个人的网络浏览、网络搜索、网络互动、网络交易等行为产生了大量的实时数据，依据大规模真实的个人数据，政府部门和公共机构得以深度探索社会、经济运行的现象、规律和趋势，通过预警和提前介入的方式进行管理，以此使政府的管理和决策更加精细化、科学化，促进公共服务水平的全面提高。

大数据商业应用深挖用户个人信息的潜在价值，在商业领域的典型应用体现为通过对用户行为的精准分析，提升用户体验，增强用户黏性，开展个性化营销。在互联网时代，来自个人的碎片化的信息被收集起来，通过对个人数据的拼接、整合以及进一步的数据挖掘与知识发现，生成各种主题性个人信息，这些生成性的信息旨在描述和评价个人在某个方面的记录及其所显示出的可能倾向，从而为个性化服务提供数据支撑。通过智能化的联想和分析，可以在用户意识到自己的需求前就主动发现、引导用户的需求，将用户的潜在需求现实化、模糊需求明确化。技术发展为挖掘用户个人信息潜在价值提供条件。比如利用cookies获取的用户信息，一方面是可以为用户提供个性化的服务，另一方面，也可以作为了解所有用户行为的工具，对于网站经营策略的改进有一定参考价值。Cookies可匹配网站广告和访问的网站地址，或匹配某次网上购物与购物前看过的网站广告，可跟踪浏览了网站的哪些网页，累计访问某个特定网页的次数，还能记录搜索引擎中输入的字符串等。此外，信息获取和存储成本的降低，使大规模信息的聚集变成可能。数据挖掘和数据分析技术，为用户个人信息二次开发提供了机会和条件，信息的潜在价值得到释放。实践中，拥有丰富个人信息资源的社交网络、电商公司纷纷通过挖掘信息价值，创新自身业务模式，并向第三方开放相关数据，提供数据支撑。比如淘宝“数据魔方”，开放淘宝网站所有的交易数据，通过其“数据魔方”平台，商家可以直接获取包括行业宏观情况、消费者行为情况等在内的数据。即通过对个人行为、信用信息的分析，建立个人行为或信用数据库，向第三方输出数据，为其提供决策支持。

正是商业利益的驱动，使得越来越多的企业对大数据中有价值的个人信息趋之若鹜。目前，企业应用的场景主要包括运营决策支持、策略制定和客户服务，主要是基于用户需求发现而形成的应用场景，在购物行为分析、广告推介、多媒体分析、金融反欺诈等商业领域已得到广泛应用。大数据的商业应用场景还在不断拓展。

如果说以上对个人信息的应用都是在合法获取、使用的前提下，那么，通过爬虫技术、第三方插件、恶意程序、非法后门、商业购买等其它手段获取个人信息的情况则更为常见。APP是获取用户移动端数据的一种有效手段，在APP中预埋SDK(Software DevelopmentKit, 即软件开发工具包)插件，用户使用APP内容时就能及时将信息汇总给指定服务器，实际上用户没有访问时，APP也能获知用户终端的相关信息，包括安装了多少个应用，什么样的应用。单个APP用户规模有限，数据量有限，但如某数据公司将自身SDK内置到数万数十万APP中，获取的用户终端数据和部分行为数据也会达到数亿的量级。此外，一种称为敲键记录器(Key logger)的间谍软件，可隐藏在用户计算机里记录用户在一些特殊网站（如某些银行网站）上输入的内容，如银行帐号、口令和姓名等，再将这些信息偷偷传送给黑客，导致身份盗窃和其它犯罪行为。类似的隐秘手段数不胜数。

可见，互联网和大数据的快速发展使得现代社会中的个人与个人之间、商家与消费者之间的利益依存关系变得更加紧密。通过互联网的开放性、交互性、技术性和数字化等特征极大地提升了信息在社会经济生活中的地位和作用。可以说，在网络环境下，随着大数据的深入发展，不论我们主观上是否愿意，个人信息已以更大范围、更深程度、更快速度，以超出我们自身意愿和控制的方式暴露于第三方甚至公众的视野之中。有鉴于此，进一步探究和完善个人信息规范及保护机制，已经迫在眉睫。

二、个人信息保护的比较法分析

个人信息体现的是公民的人格利益，个人信息的收集、处理和利用直接关系到个人信息主体的人格尊严。大陆法系的人格权理论认为，凡与人格形成与发展有关的情事，本人有权自己决定。从20世纪60年代开始，世界各国开始制定个人信息保护法。在全球个人信息保护立法例中，美国信息隐私立法与欧盟的个人信息立法有着典型意义。美国信息隐私法以隐私权作为个人信息保护的权利基础，而欧盟个人信息保护法以人格权为基础。这两种立法例分别代表了以美国和德国为首的英美法系和大陆法系的迥异特色。

（一）欧盟

欧盟关于个人信息保护采用的是统一立法的方式，1995年《关于个人数据处理的个人保护以及数据自由流动的指令》（以下简称1995年《个人信息保护指令》）对个人数据的收集、处理、使用、转移等各个层面进行了比较全面的规定。1995年《个人信息保护指令》不直接约束成员国，但成员国有义务将指令转换为法律。此外，《一般数据保护法规》（General DataProtection Regulation）将于2018年5月25日生效。

欧盟的立法模式的立足点在于其认为个人信息权是一项基本权利，是一项具体人格权，对个人信息的保护亦属于对人格尊严的保护，并且欧洲国家相信以公权力为主导，通过统一的立法可以为个人信息提供明确、规范的保护标准和强有力的事后救济。作为大陆法系国家典型代表的德国法上的人格权制度，包括民法典规定的具体人格权，也包括依据判例形成的一般人格权。一般人格权以其内容的补充性和扩展性弥补姓名权、肖像权等具体人格权的不足。因此在德国，人格权是保护个人信息的基础权利。《德国民法典》并没有一般人格权的明文规定，只有一些被认为是具体人格权的规定，如第12条姓名权的规定及第823条生命、身体、健康和自由的“生活权益”的规定。另外德国的一些单行法中也规定了一些具体的人格权利。然而，上述具体人格权的一大缺陷就是其保护范围不足以涵盖人格权益的各个方面。德国联邦最高法院以1954年的“读者投书案”为契机，强调人的尊严和人性的发展是法律的最高价值，把一般人格权作为被宪法合理承认了的并于民法典第823条第1款中的“其他权利”中体现的权利，从而以司法实践填补了立法的重大空白，使得除了对人的生命、身体、健康和自由提供外在的保护外，内在的、精神的人格也通过一条普遍适用的一般性条款予以保护。

（二）美国

美国的个人信息保护无统一的个人信息立法，采用分散立法的模式，对个人信息的保护针对医疗、金融服务、电信、消费者保护等不同的行业进行分别立法，并针对特定行为，如消费者信用信息、儿童网上隐私等领域进行特别保护。

该模式的基础在于对一个具有广泛意义的“隐私权”的保护。美国隐私法担负着保护个人全部人格的任务，包括对姓名、肖像及其他个人特征信息的保护，对刺探和公布个人隐私信息的禁止，对歪曲个人信息的禁止，及其他对个人信息自决的权利的保护等。隐私权包括自由概念下个人基本的或固有的权利：关于婚姻、生殖、避孕、家庭关系、抚育和教育子女的权利。在侵权行为法上，隐私侵权涵盖了从人身威胁、殴打、错误关押到所有的侮辱、诽谤等，包括任何侮辱人类尊严的行为。

总体而言，美国对个人信息的保护立足于以行业自律和自治性规范来实现对个人信息的保护，如果私领域的自行保护已经足够，就没有必要让公权力介入干预，反对依靠强硬的法律规范体系去规范个人信息处理行为，因为这将不可避免地阻碍商业活动，阻碍信息的自由流动、抑制创新和限制市场自由，而除了有确切的证据证明存在无可争辩的风险和“市场失灵”，否则，公权力的过早介入可能限制信息科技的自由发展，并使国家的权力扩大，这是美国这样的宪政国家的敏感之处，也是美国的信息产业远远领先全球其他国家的重要原因之一。

美国侵权法上的隐私权观念经由判例不断扩张，德国法从具体人格权发展出一般人格权，不同名称的两类法律最后都承担了对全部人格利益进行保护的任务。无论从内涵还是从功能上，美国法上的隐私权所保护的权益范围其实相当于德国法上的人格权的保护范围。而在以德国为代表的大陆法系国家，隐私仅仅是一种具体的人格利益，或者作为一般人格利益的一个部分而已。

（三）我国个人信息保护的立法现状

我国关于个人信息保护的立法没有形成一个完整的体系，相关规定散见于法律层面主要有《宪法》、《刑法》、《侵权责任法》、《消费者权益保护法》等的相关规定中；行政法规层面国务院于2013年颁布了规范征信行业的《征信业管理条例》，针对涉及个人信用信息的征信活动进行了规制；部门规章主要有工信部、中国人民银行等政府部门颁布实施的《电信和互联网用户个人信息保护规定》、《个人信用信息基础数据库管理暂行办法》等；另有全国人大常委会发布的《全国人大加强网络信息保护的决定》等。2016年在网络安全领域的最重要事件，即新的《网络安全法》出台并将于2017年6月正式实施，其中关于网络个人信息保护的条款与以往法律法规相比，保护原则没有实质性的改变，但增加了一些保护内容，比如个人信息主体的删除权和更正权等，并再一次在法律层面明确了对公民个人信息的保护。2017年3月15日新公布并即将于10月1日施行的《民法总则》第111条规定了个人信息保护规则，首次从民事基本法层面提出个人信息权，并明确了个人信息保护的基本行为规范。

此外，值得一提的是由工信部编制、并经国家标准化管理委员会批准后发布的《信息安全技术公共及商用服务信息系统个人信息保护指南》（以下简称2013年《指南》），这是我国关于个人信息保护的第一个国家标准，它规范了通过信息系统进行个人信息处理的过程，为信息系统中个人信息处理不同阶段的个人信息保护提供指导。尽管仅属于指导性、示范性文件，它在内容上充分借鉴了国外立法的先进经验，实操性比较强，未来在制定我国的《个人信息保护法》时应当也有一定的参考意义。

通过分析目前我国现行个人信息相关立法现状及司法实践中的典型案例，我们认为，我国现有的个人信息保护立法存在以下几个问题:

第一，权利基础不明确，因缺乏权威、统一的界定，目前理论界、司法界、实务界往往将个人信息所载之权益与个人隐私权等同；也有观点认为信息主体对个人信息的权利是所有权。齐爱民教授在《论个人信息的法律属性与构成要素》中认为，关于个人信息的法律属性，有四种比较典型的观点，一般将其归纳为“所有权客体说”、“隐私权客体说”、“人格权客体说”和“基本人权客体说”。其中“所有权客体说”认为个人信息具有一定的经济价值，商业机构广泛收集个人信息就是看重个人信息的经济价值。但“所有权客体说”其实混淆了人格利益和财产利益、信息主体的权利和信息处理者的权利。信息受到保护的具体原因有很多，归纳起来大致有两类：财产性因素和人格性因素。有的信息是由劳动创造出来的，并且可以用来交换，如专利、著作等，保护此类信息的法律为知识产权。法律主要保护这些信息的财产性因素。有的信息是与自然人相关的，在信息社会被作为信息资源进行开发和利用的，这类信息就是个人信息，法律主要保护此类信息的人格性因素。个人信息含有财产性因素，并具有稀缺性。然而，这种现象却不能说明个人信息是所有权客体。个人信息数据库一旦被利用将会给利用者带来丰厚的收益。但个人信息的法律属性不是直接财产利益。从属性上看，个人信息属于人格利益。不能仅仅因为个人信息具有财产利益就将个人信息归入所有权的客体。人格权的客体同样具有财产利益，如隐私、姓名、肖像等。

第二，大多数规范只是零散地针对特定领域的个人信息，没有专门的个人信息保护法，法律规范之间缺乏内在的体系性，缺乏对个人信息权利的全面、体系化的直接保护。法律层面在《宪法》《民法通则》《侵权责任法》等中有个别涉及公民人格尊严、个人隐私权、名誉权、肖像权保护的条款，而直接以“个人信息”进行立法保护的有《消费者权益保护法》、《刑法》的个别条款和2017年10月1日即将施行的《民法总则》第111条以及个别行政法规、部门规章，如《征信业管理条例》、《电信和互联网用户个人信息保护规定》等。2005年启动个人信息保护法立法研究后，至今未见正式的《个人信息保护法》出台。

第三，偏重刑事处罚与行政管理，大多规范偏重宣示性地规定义务，但缺乏法律后果和责任承担的具体规定。除刑事责任外，行政责任主要为数额不大的罚款，民事上虽然《民法总则》明确了对个人信息的法律保护，但具体保护和救济手段如何落实尚不明确，特别是损害赔偿责任发挥作用有限，集中体现在损害赔偿数额没有确定标准，《全国人大加强网络信息保护的决定》规定个人信息受到侵害后，权利人可以请求赔偿，但未明确损害赔偿的性质，是属于精神损害赔偿还是财产损害赔偿，以及赔偿的数额如何确定。此外，如何确定适当的举证责任规则尚待论证。如按一般举证责任原则，将证明责任完全加诸于信息主体身上，可能不利于个人维权。网络环境下，个人往往难以知晓和控制自身信息被各种主体收集、利用，个人信息被侵害后，权利人可能难以确定信息泄露源和适格的诉讼对象，尤其难以证明侵权人和侵权行为之间的关联关系，从而使对个人信息的私法保护在司法实践中难以实现。

（后略。全文请参阅《互联网金融法律评论》（第九辑，法律出版社）实体出版物。）

声明：

1、“互联网金融法律评论”微信公众号登载信息仅供学习和研究参考素材，并不能直接适用于具体案例或投资参考。虽然本平台已致力于提供准确和及时的资料和信息，但本平台不能保证每条信息的准确度，亦不对其中任何观点、内容或版式给阁下造成的任何损失承担责任。

2、如果您认为本公众号的内容对您的知识产权造成了侵权，请立即告知，我们将在第一时间核实并处理。