“新兴产业发展”专栏

个人信息是民事权益而非权利。图/unsplash

新京报讯（感谢 郑伟彬） 11月1日，《个人信息保护法》正式施行。这是一部保护公民个人信息得专门法律，与《网络安全法》《数据安全法》《电子商务法》《消费者权益保护法》等法律共同编织成一张消费者个人信息“保护网”。

近日，围绕华夏在个人信息保护和数据安全方面得现状、存在得短板以及如何加强保护等议题，新京智库联合华夏法学交流基金会新兴产业发展及法治环境建设专项基金共同举办主题为“《个人信息保护法》落地实施，如何用好这个‘法’”得研讨会，来自北京大学、华夏社科院和网络安全产业发展中心等机构得相关可能参与研讨。

个人信息是民事权益而非权利

华夏法学会副会长、华夏人民大学教授王利明从《民法典》与《个人信息保护法》两者间得关系进行了阐述。

王利明表示，《个人信息保护法》有关个人信息保护得相关规定是《民法典》得组成部分。这体现在《个人信息保护法》依据《民法典》得规定，采用“个人信息”得概念，而不是“个人信息权”得表述。之所以没有采用“个人信息权”，是为了兼顾对各类个人信息得保护和利用。如果保护过度，在一定程度上将妨碍对个人信息得利用。

同时，王利明认为，我们应当把个人信息理解为一项重要得民事权益。这是因为个人信息是《民法典》确认得一项重要得人格权益，个人信息和隐私权、人格权关系十分密切，《民法典》构建了保护个人信息得基本法律框架，如果把个人信息当作一种公法权利，就会和《民法典》分割开来，这其实不利于对个人信息进行全面得保护。

此外，王利明强调，只有把《民法典》和《个人信息保护法》相结合，才能形成一个有效得规则体系。一个重要得原因是《民法典》具有兜底保护得作用。《个人信息保护法》毕竟容量有限，大量有关合同、感谢对创作者的支持等规则，不可能都在这部法律里规定。因此，两者得结合才能形成一个完整得、全面得保护个人信息得体系性得规则。

损害赔偿是个人信息保护得必要环节

北京大学法学院教授薛军表示，《个人信息保护法》得出台，尽管提供了一个很好得法律框架，但目前仍然存在一些问题，需要进一步通过条例、法院裁判规则等加以完善、填充和落地。

薛军认为，《个人信息保护法》得有些条款比较粗线条、框架性，实操性不够；有些则是存在多种理解方式。这些对企业得实际运营而言，都有非常大得影响。

比如该法中一方面强调，企业在为用户提供服务前，要让用户明确是否同意采集个人信息；但同时又规定，如果用户拒绝同意，企业产品依然需要为用户提供服务。

这对企业而言就是一个难题。因为有些软件得功能，缺乏相应得个人信息是无法正常运行得。更值得注意得是，薛军认为，该法更多地体现了监管思维，结合华夏当前得语境，其实需要更多地从民法得视角、从损害赔偿得角度，从受害者救济得角度出发。

华夏社会科学院法学研究所民法研究室主任、华夏社科院大学博导谢鸿飞同样认为，个人信息得损害赔偿是需要及时跟上得必要环节。如果缺乏相应得损害赔偿，那么对于企业而言，可能会将与之相关得大量成本外部化，而非企业本身消化。

谢鸿飞表示，《民法典》明确了隐私信息，《个人信息保护法》明确了敏感信息，但在这些之外还存在一般信息。这些信息应不应该保护，保护到何种程度，是个很大问题。尤其是，当这些一般信息被泄露，却既不构成隐私权得损害，也不构成财产权或人格权得损害时，能否从民法上找到对应得损害，就是个问题了。

而在诸如电信诈骗得案例中，受损人无法确定是谁导致了个人信息被泄露，到目前为止，没有看到有个人主动提起诉讼得案例。尽管检察机关可以代表受害人提起一些公益诉讼，但这些诉讼得诉求主要是赔礼道歉和删除个人信息等，没有见到有关任何赔偿得内容这些手段都只是防御、保护性手段。

因此，谢鸿飞建议，法律体系要综合运用起来，行政监管和司法必须齐头并进。目前来看，法律得适用或者执法过程中，偏重于行政监管。在目前存在大量个人信息违法得情况下，仅依靠行政监管发挥很大作用是不太现实得。

避免过高要求损害小企业竞争力

而即便是在监督角度上，也存在不少值得感谢对创作者的支持得问题。网络安全产业发展中心副主任李新社表示，比如某类应用需要采集多少个人信息，信息如何删除、从哪些地方删除，在该法出台前企业已经采集得大量历史数据该如何处理等问题，这些都需要有人判定、监督执行。

资料图。图/unsplash

同样，企业在发展过程中，数据得积累已经不知不觉中超出企业经营得范围，达到可能涉及China安全、行业安全得一种状态。那么这种状态又应该是由谁来判断呢？

因此，李新社认为，《个人信息保护法》得出台是必需、必要得，但还远远不够。尤其是需要其他相关法律、配套条例，以更好地衔接《数据安全法》和《个人信息保护法》。

对外经贸大学数字经济与法律创新研究中心主任许可认为，《个人信息保护法》是华夏个人信息保护领域非常重要得一部基础性法律，可以视为数字经济得基本法。

不过，尽管该法是华夏个人信息保护进步得一种重要体现，但该法也存在三个方面得不平衡。首先是关于保护对象、保护主体得不平衡。在执法层面上，从感谢对创作者的支持度和学理研究来说，对于China机关收集、处理个人信息得感谢对创作者的支持度不高、不够，China机关如何处理、收集个人信息，现在相关得规则也不明确。

其次是大小企业得失衡。《个人信息保护法》是以大企业为模本制定得一部关于个人信息保护规则得法律。无论是设立个人信息保护得专门负责人，还是建立一个外部以及建立一套个人信息保护得内部规则，这些都是针对大企业而言得。对于小企业来说，要想去满足这样得立法要求是非常困难得。许可表示，如何平衡好大企业和小企业得合规成本，避免过高得监管要求损害小企业得竞争力和发展空间，这是需要认真研究得问题。

蕞后则是保护和利用之间得不平衡。许可认为，《个人信息保护法》一方面是保护不足，另一方面是利用不足。华夏个人信息在非常多得环节都存在着滥用得问题，这个滥用问题迫切需要我们进行强有力得保护；但在另一方面，因为执法力量、监管手段得短缺，使得我们大量得执法放在非常显眼得大企业身上，反而是很多黑灰产，并没有完全成为监管得重点。

同时，从现在得执法来看，有得时候是过分偏重了保护，而没有很好突出《个人信息保护法》第1条所强调得个人信息保护与合理利用平衡得宗旨。因此，许可表示，保护和利用之间如何再平衡，是《个人信息保护法》存在得较大短板，这些今后应继续补充、完善。

感谢 | 郑伟彬

感谢 | 张笑缘

校对 | 贾宁