域外关于个人信息法律保护的典型模式主要是美国的“隐私权+分散立法”模式和欧盟的“独立人格权+统一立法”模式。美国之所以采取“隐私权+分散立法”模式与其关于隐私权产生发展的渊源及美国“隐私”概念长期以来处于内在模糊性与外延主观性的状态密切相关。[ 关于美国学界和司法界对于隐私概念的争议可参见[澳]胡·贝弗利-史密斯:《人格的商业利用》,李志刚、缪因知译,北京大学出版社2007年版,第145-225页。]现代信息技术的发展强化个人信息法律保护机制建立的必然性,对原本具有弹性的、非确定性的“隐私”概念而言,美国自然将个人信息纳入隐私的范畴。欧盟则以“信息自决权”为理论基点,以个人数据处理为核心,不区分政府或商业机构,视个人数据为基本人权,并设立独立个人数据保护机构的统一立法模式。[ 郭瑜. 个人数据保护法研究[M]. 北京:北京大学出版社,2012:48.]此模式之下,欧盟各成员国着力构建以“行业准则+法律强制性规范”的规范体系及“数据控制者自律+政府数据监管机构的监督管理”的管理体系对个人数据进行保护。[ 高富平. 个人数据保护和利用国际规则:源流与趋势[M]. 北京:法律出版社2016:5.]当然,作为权利救济的方式之一,并不排除个人主动维权之效能,而是更强调权利相对方义务规则之设定,进而强化对个人信息的事前保护。欧盟各国之所以将个人数据权利保护的重点放在对数据控制者的行为规范和管理上,主要原因在于:一是权利保护和数据流通是当前个人数据保护立法的并行理念;二是大数据背景下相较于信息控制者而言,个人处于相对弱势的地位。主体的社会性决定了个人信息的分散性,并进而导致举证难成为互联网大数据背景下制约个人通过诉讼途径进行个人信息侵权救济的最大障碍。因此,加强对数据控制者和数据处理者的义务性规定,并通过行业行为规范、政府部门监管的方式来对个人信息进行保护成为当前欧盟各国数据处理中个人信息保护的通行办法。
我国当前已将个人信息确定为民法所保护的一项基本的民事权利,并与隐私权区分保护。关于隐私与个人信息,王利明先生认为,其二者均属于人格权,但在权利属性、权利内容、权利客体及权利保护方式上存在界分;[ 王利明. 论个人信息权的法律保护——以个人信息权与隐私权的界分为中心[J] . 现代法学,2013,(4):62-72. ]刘德良先生认为法律上的个人隐私是与公共利益无直接关系而直接攸关人格尊严的个人信息,而个人信息与人格尊严无直接关系;[ 刘德良. 让网络信息保护更具可操作性[N]. 中国纪检监察报,2013 -01 -14(004).]齐爱民先生认为个人信息包含个人隐私,隐私是个人信息的下位概念。[ 齐爱民. 论个人信息的法律保护[J]. 苏州大学学报,2005,(02):30-35.]对此,法院有观点认为隐私和个人信息的界限和区别是:①不超过一个“一般人”的“社会容忍度”;②不涉及敏感的信息;③已经公开的个人信息。只要具备这三个特征之一即不再具有隐私的特点,不属于个人隐私。[ 参见“丁芝玲与汪锡奎隐私权纠纷民纠纷案”德阳市旌阳区人民法院民事判决书(2017)川0603民初4743号。]笔者认为,隐私和个人信息的核心在于“人”本身,由人之固有社会属性所决定,具有人身依附性,故此二者皆属于人格的范畴;在范围上,隐私对个人的识别性更强,故个人信息的范围大于个人隐私。由于我国对于隐私的界定与美国法上关于隐私的概念有所不同,因此,美国法以扩大隐私概念、内涵、外延的方式对个人信息进行保护的做法并不适合我国。并且鉴于《民法总则》第111条对个人信息保护立法是一种宏观性的立法,缺乏具体权利义务的分配。当前的个人信息立法状态与大数据背景下个人信息层出不穷的利用方式不相匹配,面对纷繁复杂的个人信息侵权纠纷,抽象性规则下的自由裁量权过大势必会招致同案不同判的风险。因此,我们应当以细化的单行立法来弥补《民法总则》第111条之不足,当然亦可采取司法解释的形式来弥补该缺陷,但是这种方式会导致民法总则的立法体系过于臃肿,并不符合《民法总则》历来的立法技术之要求。