現行法律中，個人信息的保護存在碎片化、層級低、可操作性差的問題。鑒於現在個人信息在民法上定位於權利還是法益還存在爭議，另一條思路是搞個人信息單行立法。但保護個人信息不應隻想著制定新法，還要注重現有法律的解釋。

　　近日，由中國法學會網絡與信息法學研究會主辦，清華大學法學院、阿裡巴巴集團法務部承辦的中國法學會網絡與信息法學研究會2018年年會在杭州隆重召開，年會主題為“改革開放40年與網絡信息法治發展”。會上，中國人民大學法學院姚輝教授以“個人信息的民法保護路徑”為題，就個人信息保護闡述了看法。他認為，現行法中個人信息的保護存在碎片化、層級低、可操作性差的問題。鑒於現在個人信息在民法上定位於權利還是法益還存在爭議，另一條思路是搞個人信息單行立法。但保護個人信息不應隻想著制定新法，還要注重現有法律的解釋。

　　當前個人信息立法的三個問題

　　姚輝認為，關於個人信息的立法，看上去挺熱鬧的，法條也都有，但是存在三個問題。

　　首先是已有的這些立法，碎片化的痕跡非常重，東一下、西一下不成體系，都夾雜在不同的法律部門裡有那麼一兩條，這是很明顯能看出來的碎片化。

　　第二就是法律的位階都很低，大量的是部門規章。從監管的層面上來說，這個不成問題，部門規章肯定也管用。但是，從民法、實體法的角度，從訴訟的角度看問題，如果站在法院裁判和仲裁裁決的角度來說，這些東西可能就沒大用了。在說理部分可以拿它支撐你的裁判理由，但是最后在判決主文部分是不能直接援引的。

　　第三是，這些法律法規其實很空，基本上都是一些宣示性、口號性的東西，最多也就是下了一個定義，且這個定義還不是太清晰。

　　總之看上去也很美，做一個PPT能將脈絡梳理出一大堆，但是仔細咀嚼發現問題還是很多的，這些問題是很現實地擺在我們面前。

　　通過民法立法保護個人信息的困難

　　姚輝認為，從民法的角度上如何構建保護路徑也存在問題。

　　一個是很基礎的問題。當我們講“個人信息”時，到底是在說個人信息，還是在說個人信息權。最近的進展是2017年《民法總則》中的第111條，使我們終於在民事基本法中看到了有關個人信息的規定，說的是自然人的個人信息受法律保護，但這裡隻說了個人信息，沒有說個人信息權。我們知道，如果不是一項法定的權利，那麼在物權法上、侵權法上保護是有問題的，合同法是另外一回事。“權利先於救濟”，如果不是一項法定權利，如何實現對其保護？這是我們值得探討的疑惑，個人信息現在說得這麼熱鬧，它在民法上到底算不算是一項權利，當我起訴到法院時請求權基礎到底落在哪裡？按照權利救濟的保護模式來說如何救濟？

　　這也構成了目前學界的各種爭論，有人仍然堅持說這是一種權利﹔但是還有一種說法說個人信息就是一個法益，所謂法益，按照《侵權法》第二條同樣可以解釋，同樣可以予以救濟。關於《民法總則》第111條，我們現在並不知道這個立法本意到底是什麼，立法者在這個地方為什麼很吝惜“權”字，將來怎麼解釋，是個問題。

　　第二個問題是立法問題，個人信息的保護如果在民法上要試圖追求一種完備的話，究竟是放在民法典的總則或者未來的民法分則當中，還是單獨搞一個法律，這個路徑怎麼規劃。

　　關於民法分則，估計有人注意到了近日的新聞，8月底就要開人大常委會。這個當中有一個引人注目的議項就是關於提請審議民法分則的各個草案的決議，這也就意味著我們的民法典當中，繼民法總則出台之后后面的各個分編就要正式進入實質性的審議階段了。從現在看到的草案，個人信息在其中並沒有取得很獨立的位置，所以未來法律的構筑上來講，恐怕在民法典當中的地位也就這樣了，恐怕再試圖要在民法典的分則當中再搞一個獨立的一編或者一章已經不太現實了。

　　姚輝認為，即使不是現在這個狀態也很難。個人信息本身的定義還是不清晰的，如果放在分則當中的話，不要忘記我們的分則是有很多獨創的東西的。比方說，侵權法在世界上是沒有獨立成編的，我們的民法把侵權法獨立出來了，這已經足夠突破了。我們又再往前突破了一次：把人格權法也獨立了，這對個人信息的民法保護就出現了問題。人格權法裡有很多本來就是侵權的內容，個人信息的保護也有相當多是侵權法和人格權法的內容，已經把人格權法從侵權法當中剝離出來了，若是再把個人信息法也在民法典裡剝離出來，這個疊床架屋重復就太高了。我們現在知道的是，六個分編其中增加了一編人格權，基本上已經獨立成編了，那麼剩下的問題就是個人信息在人格權裡究竟放在哪裡，比方說是放在隱私權裡還是怎麼樣，如何確定個人信息的獨特屬性？有沒有其獨有的民法保護方式？

　　單行的個人信息保護法或許是一個路徑

　　從純粹民法的部門法立場上講，個人信息保護會存在上面的問題，因此，可能另外一種觀點會佔上風，就是搞一個個人信息保護法的單行法。但是，因為現在講的是個人信息的民法規制，所以，如果真要出來這個法的話，它並不是一個純粹的民法。這種作為單行法的“個人信息保護法”如何定位？

　　姚輝認為，我們有很多這樣的法律，很難給它定位，比如說消保法，比如說產品質量法，裡面有民事責任、行政責任甚至還有刑事責任，不知道應該算是什麼部門的法。這個個人信息保護法如果真的照這條路徑走下去也會是這麼一個小而全的東西，什麼責任都在裡面，這個倒也好。

　　但這裡面還是有一些學理上的問題要解決，比如回到個人信息到底算什麼這個問題上，不管將來搞單行法還是現在放到民法典當中去，這個問題都回避不了。姚輝說，有演講者提到，在歐洲會側重於說個人信息是人格權的東西，在美國則側重於說它是財產權的東西，這個在我們國家也需要討論。個人信息到底是什麼？

　　保護個人信息也要注重運用法律解釋

　　姚輝最后還強調了一個觀點，講個人信息的保護不要光想到立法，還要注重法律解釋的工作，通過解釋好現有法律來進行。

　　姚輝說，阿裡巴巴的技術委員會主席，他不懂法律，他上來就講現象、講IT，我聽來就覺得很有意思。比方他舉的那個例子，馬航發動機的實時數據在英國的那個制造商那裡是全部都有的，包括失聯前的那段時間的所有數據。那就有一個問題，這個數據歸誰，這個數據算什麼？這個不是個人信息，但是我覺得本質是一樣的，這些東西在我看來跟人格權當然有關。但是，聽了以后，我覺得這更像財產權的東西，這個發動機制造商企業拿著這堆數據可以發揮得更多的是財產價值。那麼一系列的問題就都出來了：這個數據歸誰？這架飛機是馬航的，好像這個當然是馬航的了？但是我覺得更像是制造商的甚至是數據的採集者的，如果這個概念成立就顛覆民法的觀念了，數據所有權不歸於產生數據的這個東西的所有者，而是歸於這個數據的採集者，這個會顛覆傳統觀念。

　　講民法規制，我個人覺得有一個誤區，一講民法保護路徑時往往就講到兩個詞，第一是監管，第二是立法，但是這兩個我個人都不太贊同。

　　姚輝說，我個人傾向於，從強化監管的導向走向以訴訟為導向。我們現在還是習慣一上來就搞一堆部門規章監管起來再說，在一個搞民法的眼裡看起來，不是太苟同。我也不贊成全靠立法，不要一說法律保護就呼吁立法，我們的法律已經夠多夠亂的了。我想強調的是解釋，我們有法律，法條夠多的了，把已有的法律用好就行。很多學者上電視回答社會問題的對策，第一句話就是“呼吁加強立法”，我對此頗不以為然。

　　姚輝認為，我們應更多強調解釋而不是動輒呼吁立法。真正需要的是把已有的立法用好。比如剛才講到數據所有權，個人信息的所有權是立法問題嗎？關於所有權的規則，物權法等現有法律都已經講得很清楚了，立法還能立到哪去？我們要做的是解釋的工作，這不是立法的問題，是解釋的問題，解釋好了這個就管用了。

分享讓更多人看到