《物聯網時代下個人信息權利的法律保護》論文發表期刊：《現代商業》；發表周期：2021年13期

《物聯網時代下個人信息權利的法律保護》論文作者信息：1.戴麗霞，海南政法職業學院，副教授，法學碩士，國浩律師（海南）事務所律師，研究方向：經濟法學。 2.林靜儀，國浩律師（海南）事務所實習律師，管理學學士，法學學士。

　　摘要：個人信息權利應當作為一個獨立的人格權被法律保護，《民法典》人格權編規定了個人信息保護條款，是物聯網時代發展所需。本文探討物聯網三個層次中對個人信息的侵害因素，借鑒美國和歐洲國家的相關經驗，結合《民法典》及《個人信息保護法(草案》，提出可行性的法律保護措施。

　　關鍵詞：物聯網;個人信息權保護

　　雖然物聯網給日常生活帶來了極大的便利，但也帶來了極大的隱患，其中個人信息的保護是值得密切關注的領域。日常生產生活便利的代價是我們允許服務提供方通過協議或者其他方式獲取我們的個人信息，在這個披露的過程中會產生多少隱藏的危機，以及信息是否會在未知的領域被他人運用等都為我們作為信息持有者所擔憂。在2021年生效的《民法典》人格權編中對個人信息保護作了單獨規定，這不僅體現了國家對人的尊嚴和自由的保障，更體現了隨著物聯網時代的到來，無論是公民還是國家都對如何有效的保護個人信息權利有著極大的關注。

　　本文通過分析個人信息權的法理學理論，結合美國和歐洲相關的個人信息權法律保護的實踐經驗，對物聯網時代下個人信息權利的法律保護提出措施建議。

　　一、個人信息權的理論研究

　　根據目前學界關于個人信息權概念應如何界定的討論，較為主流的法理學理論有財產權說、隱私權說以及獨立人格權說。

　　財產權說是指個人信息權是一個經濟利益性質的權利，因在如今的大數據時代，絕大多數的個人信息都可以進行商業性質的交易，如將其設定為人格權，會否定其商業價值。本文認為此說法不妥。首先，個人信息的內涵包括了姓名、住址、身份證號、聯系方式、肖像等，而個人對這些信息擁有的是所有權。如果將個人信息視為財產性的利益，那么個人信息一旦經過交易則所有權便可轉移，這與理不合。之所以能夠稱為個人信息，是因為這些信息與個體不可分離，即使通過交易也是個人授予了對方一個短暫的使用權。因此個人信息權還是傾向于人格權，個人基于人格尊嚴和人格自由而使用此項權利。其次，人格權可以具有財產性利益。美國從一般隱私權中創設出具有財產性利益的人格權：公開權，該項權利是指每個人都可以控制個人特征在商業上使用的固有權利，特征是指個人的肖像、聲音、姓名等。雖然此項權利目前并沒有得到廣泛的認可，但是也說明了人格權并不是單純的精神性權利，也可以具有物質性的特點。

　　隱私權說認為個人信息權屬于隱私權的范圍。此學說主要是參考了美國的隱私權法模式，即將個人信息權歸于隱私權加以保護。但是本文認為此學說也不適合我國。美國對隱私權的保護最開始的定義是“保護私人領域的信息不受外界侵擾”。但是這種定義過于狹窄，于是通過判例的發展和對隱私權外延解釋的不斷擴大，到如今已經隱私權的范圍已經擴大到個人對其主體所有的人身權益，包括肖像、姓名、名譽等，因此美國才將個人信息權歸屬于隱私權保護。但是我國的隱私權范圍至今都未超出其原始范圍，而隱私權已經與肖像權、名譽權等構建了相應的制度體系，這些權利之間是相互并列的關系，因此若是將個人信息權列入隱私權之下，就會出現對權利保護不夠全面的現象。且在《民法典》第六章中已經將隱私權與個人信息保護作出區別，因此該學說在我國已不適用。

　　獨立人格權說是將個人信息權視為一項獨立的人格權，且應該是具體人格權。將個人信息權確立為一項獨立人格權，有助于將其與隱私權的內涵相區別，也有助于對個人信息權的保護范圍進行更加明確的界定。歐洲法目前流行的觀點仍是將個人信息權作為一項獨立的權利，美國也有部分學者認為個人信息權可以作為一項獨立權利存在。本文也傾向于此觀點。在個人信息數字化的今天，它不再僅僅是無法進行交易的一種精神性的人格權，其財產價值不斷顯現，信息主體可以將其個人信息通過商品化的方式獲得財產利益，這是隱私權所不具有的特征，因此對個人信息的定義、保護范圍等都需要進行重新界定，就權力屬性而言，將個人信息定義為一項獨立的權利更有利于對其的保護。二、個人信息的特點

　　(一)可識別性

　　根據我國《民法典》人格權編第1034條第2款的規定可知，個人信息是以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人的各種信息，包括自然人的姓名、住址、電話號碼、電子郵箱地址、行蹤信息等。從這個定義中可以看出，個人信息與人的生活密不可分，體現了人格要素。而如何去定義“識別”，目前尚有爭論，主要有兩個觀點：“擴張主義”和“簡化主義”。以Patrick Breyer訴德國聯邦政府案件為例進行分析，本案中，歐盟法院認為動態的IP地址會不斷地發生變化，因此沒有辦法根據它去識別到一個用戶。但是連接到互聯網時，互聯網服務提供者會隨時保留這種變化的IP地址的記錄，因此，雖然沒有辦法通過動態IP地址去識別用戶，但是如果結合互聯網服務提供者存儲保留的數據后能夠識別到Breyer，那么這個動態IP地址也屬于個人信息。這是“擴張主義”的觀點，而“簡化主義”則會認為動態IP地址本身并沒有和特定的個人相關聯，因此它不屬于個人信息。本文認為之后個人信息保護法的出臺也是需要對這一核心特征進行相應的界定。

　　(二)既具有精神屬性也具有財產屬性

　　這個特征是對比隱私權而言的，在《民法典》尚未出臺之前，因無法明晰地劃分隱私與個人信息之間地界限，因此在司法實踐中經常會發生將個人信息視為隱私加以保護，但是這種做法是有所爭議的，因兩者的權利屬性和權利內容都存在著區別：隱私的內涵主要是自然人的生活安寧和不愿為他人知曉的私密，因而隱私權是一種消極的權利;但自然人可以支配和自主決定其個人信息是否允許他人使用和收集，具有一定的積極性。因為個人信息具有這種積極性，在當前物聯網時代下，企業多會收集個人信息以形成“數據庫”，分析信息主體的喜好，提供更加優質的服務，從這一點看，個人信息具有財產屬性，又因其與人格的尊嚴和自由相關，因此其也具有精神屬性。三、物聯網時代下個人信息權的侵害分析物聯網環境下個人信息的泄露風險相較于傳統互聯網的環境大，在物聯網的架構中，感知層、傳輸層、處理層會因其設備和發揮的作用不同而有不同的個人信息權的侵害原因，本文將從物聯網的三個層次進行個人信息權的侵害分析。

　　(一)感知層

　　物聯網感知層的功能是通過傳感系統收集外界的信息，起主要作用的設備主要有傳感器(溫度、濕度、紅外線等)、監控類設備、全球定位系統等。他們通過識別信息主體攜帶的能夠被識別的電子芯片從而將信息收集并進行傳輸。該層次的侵害包括個人賬戶、位置和喜好等信息泄露。

　　在交通領域，在乘坐公交車時可以用支付寶支付公交費;在物流領域，掃碼支付快遞費可以進行網上預約下單;在偵查領域，通過調取各個位置的監控圖像從而查明不法分子可疑的犯罪路線;在日常出行時，要查詢去往目的地的出行路線通常都需要我們打開手機中的GPS開關，從而定位我們的位置信息，給出方便快捷的出行方案;智能手機中的APP甚至自動能推出符合手機主體的喜好的物品信息。

　　以網上支付為例，此種支付手段方便快捷，但同時也伴隨著個人賬戶信息泄露的風險。畢竟物體上的二維碼只是一張圖片，信息主體無法識別支付的對方是商家，還是心圖不軌、惡意竊取個人信息的罪犯，只不過基于合同基本的信賴原則，信息主體相信在此支付環境下對方是自己所認定的“商家”。

　　2018年，倪建飛盜竊案一案中，被告人倪建飛在各個不同的交易場所將商家的二維碼偷換成自己的微信二維碼，將掃碼付款的客戶的資金全攬入自己的賬戶中。雖然此案例中倪建飛的目的只是竊取資金，但是用此種相似的手段獲取個人信息的風險也是存在的，應引起相關部門的注意。

　　(二)傳輸層

　　物聯網傳輸層是將感知層收集到的信息安全地傳輸到信息處理層，因此傳輸層中起核心作用的主要是網絡基礎的設施，如互聯網、移動網和一些專業的局域網等。在該層次的侵害包括惡意攻擊或者接入傳輸網絡，獲取個人信息。

　　由于在傳輸層起到核心作用的是互聯網，傳統的互聯網弊端也會在該層次顯現。私權領域，如從感知層收集到的信息在進行傳輸的過程中，犯罪分子利用黑客軟件、插件等攔截信息，并對信息的內容進行相應的處理后反饋至信息主體，信息主體出于信賴泄露自己的個人信息。2017年，張素靜等詐騙、提供侵入、非法控制計算機信息系統程序、工具、故意毀壞財物、信用卡詐騙案中，張素靜用能夠讀取手機系統內短信、聯系人信息等并將上述資料發送到指定郵箱的惡意程序，篡改了通知信息后將其發送至指定手機，被害人一旦點擊信息中的鏈接，木馬程序就會自動植入手機。張素靜利用此程序攔截下手機的短信、信用卡信息以及動態支付驗證碼信息等，非法獲取信息主體的個人信息。公權力領域，美國的棱鏡門事件也應警醒我們，某些國家機關采取強勢手段得到相關公司的授權后，接入信息系統對公民進行監聽、監視，截取、收集通話記錄、郵件內容等大量個人信息，此舉令人心寒的同時也讓眾多信息主體擔憂個人信息的法律保護問題。

　　(三)處理層

　　物聯網處理層主要是在智能處理平臺上對傳輸層的信息進行分析處理，在處理時最重要的問題是在龐大的信息群中如何識別惡意信息。智能處理平臺既有自動化的程序智能處理，也有人為干預。智能化處理是全自動的處理，惡意信息就有可能巧妙避開程序的處理從而沒有被過濾出去;在人為干預時，如工作人員素質不高，可能會出現工作人員惡意利用職務之便竊取處理平臺中的個人信息，損害信息主體的個人信息權的情形。以智能處理為例，面對海量的信息數據，如果光靠人工審核和篩查是不現實的，因此在物聯網處理層主要還是依靠計算機智能程序對大量的數據信息進行分析和處理。這樣的全自動化的處理模式雖然快速高效，但容易出現被外界非法分子用惡意程序攻擊從而進入數據庫竊取個人信息，或者一些惡意信息未被過濾處理而反饋至信息主體處，給其造成經濟損失等問題。這些問題的原因可能有對個人信息的加密程度不夠，智能處理程序仍存在漏洞，沒有及時更新等。

　　四、個人信息權的法律保護路徑基于目前我國物聯網各個層次存在的安全隱患以及存在個人信息保護法律法規體系不健全、信息主體缺乏信息安全意識等問題，本文結合國外建立個人信息保護法的相關經驗及《民法典》等現行法律規定探討個人信息權的法律保護路徑。

　　(一)明確個人信息權的獨立人格權地位個人信息應當作為一項獨立的權利加以保護。理由有三點：一是從《民法典》人格權編中可以看出已經將個人信息納入人格權范疇中予以保護，其與人格權的根源有著內在一致性，是人格權在信息時代發展中形成的一種新型的權利類型;二是體現了對人格尊嚴和自由的保障，能夠充分保護個人對其信息的自主決定權和支配權;三是信息主體可以通過維護個人信息權的理由，提出人格權訴訟。因此本文認為將個人信息定義為一項獨立權利是未來個人信息保護法需要完善的一部分。

　　(二)個人信息權的法律保護范圍應涵蓋公權和私權領域縱觀德國個人信息保護法的發展歷程，學界對個人信息權的保護是否涵蓋公權和私權領域的討論觀點是貫穿個人信息保護法發展的重要因素。學界對于個人信息保護法的討論層出不窮，隨著立法弊端的顯現主要形成了四種觀點：第一種觀點認為個人信息保護法只需要規制公權力領域即可;第二種觀點認為要側重規制非國家領域的侵害個人信息的行為，因公民不認為商家侵害個人信息權是由于消費者缺乏知情權，非國家機關基于此暗中建立了大規模的數據庫，長此以往會顯示出比國家機關的干預更為嚴重的弊端;第三種觀點認為公權力和私權力對侵害個人信息權都有影響，一部完整的個人信息保護法應該將兩個領域都涵蓋在內;第四種觀點承認第三種觀點的說法，但是在此之上他們認為公權力和私權力的影響個人信息權的方式不同，不能一概而論，立法在涵蓋兩個領域的同時應當再根據公權力和私權力特征的不同進行分別規制。

　　由此來觀我國目前個人信息保護的發展現狀，就先前分析物聯網領域存在的個人信息權的安全隱患來看，有來自公權力領域的國家工作人員法律意識不高，利用職務之便竊取個人信息的侵害，也有市場上無良商家對個人信息加密程度不足，使得個人信息泄露的侵害。可以看出我國在公權力領域和私權領域都有對個人信息權的侵害，關乎到公民的經濟狀況、生活安寧等各方面，因此本文認為在個人信息保護法的立法進程中，涵蓋公權力領域和私權力領域的個人信息保護法是大勢所趨。并可以在基于我國發展現狀的同時，借鑒德國在個人信息保護法各個階段的立法動向，選擇適宜我國的其他立法舉措。

　　(三)明確“知情同意”的方式和內容

　　《民法典》第1035條及《個人信息保護法(草案)》(以下簡稱為“《草案》")第13，14條等都提到了處理個人信息需取得信息主體的同意，《草案》還提到了應當在個人充分知情的前提下獲取個人信息、如果其它法律和行政法規有規定應當取得個人單獨同意或者書面同意的要從其規定，但是就現行的《網絡安全法》《關于互聯網用戶個人信息保護規定》等相關規定中并未就個人何時需要單獨同意、哪些需要書面同意等作出細致的規定。由于信息主體需要同意的內容不同，不可能通過制定一種統一的方式獲得授權，如果采取格式合同來獲取授權也會有侵害信息主體利益的可能性。本文認為今后其它法律法規在制定個人知情同意的具體條款時，應當符合《草案》的精神，考慮個人信息的公共價值和信息主體的利益，遵守信息保護和信息合理正當使用平衡的原則。

　　(四)體現物聯網時代的前瞻性。

　　物聯網技術在不斷發展，數據也在無時無刻地收集，個人信息保護的邊界可能會進一步地模糊，物聯網時期的《個人信息保護法》需要對當下已經產生的個人信息實際爭議作出回應，要知悉個人信息對未來數字經濟發展的重要性，既要為個人信息保護作出宏觀的指引性規定，又要為物聯網時代的變革留下空間，同時也要平衡多方利益，從信息主體、物聯網行業、國家的角度多作考慮。

　　參考文獻：

　　[1]鄭維煒個人信息權的權利屬性、法理基礎與保護路徑[I法制與社會發展，2020，26(06)：12-139.

　　[2)程德理，趙麗麗個人信息保護中的“識別”要素研究1河北法學，2020，38(0)：44-54

　　[3]李海莢，徐小露人工智能時代中國個人信息保護法的選擇U.北京航空航天大學學報(社會科學版)，2020，33(03：17-24.

　　[4]王利明.論個人信息權的法律保護—以個人信息權與隱私權的界分為中心D.現代法學，2013，35(04)：62-72.

　　[5]張里安，韓旭至大數據時代下個人信息權的私法屬性1]法學論壇，016，31(03：19-120.

　　[6]楊惟欽價值維度中的個人信息權屬模式考察-以利益屬性分析切入1.法學評論，2016，34(04)：66-75.

　　[7]齊愛民，李儀.論利益平衡視野下的個人信息權制度-在人格利益與信息自由之間[].法學評論，2011，29(03)：37-44.

　　[8]鄭文明.新媒體時代個人信息保護的里程碑--“谷歌訴西班牙數據保護局”案解讀[1.新聞界，2014(23)：76-80.

　　[9]李欲曉，物聯網安全相關法律問題研究[J].法學論壇，2014，29 06)：2-24.

　　[10]陳奇偉，劉倩陽.大數據時代的個人信息權及其法律保護UJ.江西社會科學，2017，37(09)：187-194.

　　[11]蔣舸個人信息保護法立法模式的選擇-以德國經驗為視角]法律科學(西北政法大學學報)，2011，29(02)：113-120.

　　[12]呂艷濱，論完善個人信息保護法制的幾個問題U].當代法學，2006(01)：5-62.

　　[13]高啟耀，翟云嶺物聯網發展與隱私權保護的協調共進[1].甘肅社科學，2016(05：195-200.

　　[14]武傳坤，物聯網安全架構初探[J].中國科學院院1，2010，25(04)：411-419.

　　[15]王澤鑒著人格權法[M].北京：北京大學出版社，2013.