【《大数据下个人信息的民法保护研究》16000字（论文）】

大数据下个人信息的民法保护研究摘要在科学技术不断的迅猛发展下，人们进入到前所未有的信息时代——大数据信息时代。同时，人们享受着信息自由化和数据化带来的社会交流的巨大便利和经济发展的新动力，也面临着信息泄露的严重安全问题。而对于个人信息的保护我国起步比较晚，到目前为止，我国还没有关于个人信息保护的专门立法。目前，我国对个人信息保护的研究大多基于宪法和刑法的角度，很少涉及民法。因此，从民法典的角度研究大数据下的个人信息保护具有重要意义。本文通过对“大数据”及“个人信息”的概念和特征进行研究，对我国当前构建个人信息民法保护体系的必要性进行分析。通过收集相关的案例得出我国个人信息保护的民法现状和司法实践情况。并针对前文中提出的司法实践中存在的具体问题，提出完善侵权责任方式，进一步完善个人信息的救济程序，提升我国公民个人的法律意识，切实解决信息安全问题。。关键词：大数据个人信息民法保护目录TOC\o"1-3"\h\u110591.绪论 页绪论1.1选题背景及意义1.1.1选题背景伴随着大数据时代科技的进步和信息技术的不断发展，大数据的应用渗透在生活中的各个方面，可以认为大数据创造了一个全新的时代。大数据发挥重要的作用，它不仅改变了人类的思维方式和商业模式，而且对人们的日常生活也产生了很大的影响。就像维克多·迈尔-舍恩伯格在《大数据时代》一书中提到的，“运用大数据带来创造经济价值的同时，大数据还影响了商业、金融、传媒、医疗、教育等各个社会领域”。个人信息作为大数据最直接最主要的来源，具有巨大的经济价值和社会价值。在生活中我们离不开与大数据的接触，我们的所接触过的活动才会被记录下来，当我们购物、打车、骑共享单车等各种软件的时候都需要通过认证个人信息，收验证码才能进行使用，但在操作过程中信息就被收集起来，接下来被不断复制和利用，这会让我们的信息遭受到很大的危机。为了一些利益，不法分子非法获取、储存、贩卖和滥用个人信息，使得个人信息面临一系列危机。不管在哪个领域内，对于信息保护的力度不是很大，个人信息泄露的事件也经常发生，这对于个人来说，信息的泄露会给被害人带来人身和财产方面的损失；对国家来说不利于社会秩序的稳定发展，严重的会危及国家经济发展和国家安全。因此，在大数据时代下对个人信息的保护成为了重要的问题。1.1.2研究意义现如今科技发达，许多花样圈套在等待着人们跳进，我们需要时刻保持冷静、清醒的头脑，对一切事物都保持警惕之心。发展大数据是时代所趋，个人信息安全的重要性也不能忽视。在这个时代背景下，个人信息的安全问题面临着前所未有的威胁，对个人信息保护的难度也日益增大。首先，大数据时代下个人信息的的民法是保障公民人格权的要求。个人信息属于人格权的一部分，我们应该对个人信息进行保护。大数据时代个人信息侵权的现象经常发生，对于侵权现象发生的救济手段不了解，应该在立法中加强保护。目前，我国对于个人信息保护的立法分散在各个体系中，对于个人信息的保护应该制定一个专门的法律。域外国家对于个人信息的保护相比较成熟，我们应该结合大数据时代下个人信息民法保护现状的分析和特点，加强个人信息的保护的理论研究具有较强的理论意义。其次，完善个人信息的保护立法，更好保护个人信息个隐私的安全，减小个人信息侵害的可能性。规规企业和其他部门完善个人信息保护力度，规范个人信息的的收集和利用。有效解决个人信息的泄露和非法收集的利用等现象制定相应的措施。通过对个人信息侵权中存在的问题，提出民事救济的维权途径，具有一定的实践意义。1.2国内外研究现状1.2.1国内研究现状大数据时代的背景下，由于个人信息侵权的案件不断发生，学术界对个人信息保护的问题也越来越重视。针对个人信息享有怎样权利，不同学者有不同的观点。王利明认为个人信息与隐私有着不同的区别，个人信息的概念远远超出了隐私的范围,个人信息的权利应该在中国未来的民法中另行规定，并且不能归于隐私的子公司。也就是说，个人信息的权利可以作为独立的人格权受到法律保护，应该制定个人信息保护法。王秀哲认为在大数据时代，利用个人信息要面对数据人格塑造和现代权力控制的双重挑战，必须注重大数据时代个人信息法律保护的整体制度的多元化和动态化。陈龙认为应该加强对公民个人信息的民法保护，在民法中加强个人信息的立法保护和完善个人信息民法保护的法律体系，应在确立个人信息民事权利主体的基础上，明确个人信息民事责任的认定和财产损失赔偿标准，探索个人信息民事公益诉讼之司法救济渠道，实现公民个人信息的民法保护。张继红从行业自律的角度分析了大数据时代下个人信息保护目前存在的问题和不足。齐爱明认为个人信息应以一般人格权的模式予以保护，且个人信息保护的实质就在于保护信息之上的全部人格利益。他还通过对域外个人信息保护立法的比较分析，提出适合我国国情的立法模式。张茂月认为对于信息的保护采用“隐私权”的保护是不足以应对的，对于个人信息的泄露出现的各种状况，我国必须加快构建“综合治理模式”。在信息时代的今天，我们不仅要制定专门的个人信息保护法律文件，还要在收集和使用的时候征得信息被收集者的同意，也就是要确定“告知一同意原则”。对于违法获取个人信息的行为进行严厉的打击，只有这样下能更好地保护个人信息安全。1.2.2国外研究现状在保护个人信息方面，国外对其研究的时间比较久远，相关立马也比较完善。在美国是通过隐私权来对个人信息进行保护的，美国学着瓦伦和布兰代在著作中呼吁，在日常生活中应该重视个人的隐私权，国家应该制定相关法律保障个人的隐私。因此在1974年颁布的《隐私权法》，该部法律将个人信息纳入到隐私权的保护范围内。随着时代的发展和网络的兴起，传统的隐私权不足以保护个人信息所遭遇的风险，因此美国采用分散立法加行业自律的模式来保护个人信息。美国法官托马斯•库雷认为：“隐私权应该被看作是一种‘不被打扰的权利’”，是指个人每个人都会有自己独立的空间，对于自己的隐私有权选择不被公众知晓。纽约大学的海伦·尼森鲍姆(HelenNissenbaum)教授研究的是信息的收集与传播，他认为信息的收集与传播不能因为和最初保留信息的区域不同而发生改变。乔治·华盛顿大学的教授丹尼尔·沙勒夫(DanielSolove)研究的是信息保护与个人名誉，他认为不能因为个人的名誉受到破坏而泄露个人的信息。Gostin等学者提出在公共卫生领域内应加强个人信息的安全问题，要想获取个人信息，首先应该取得被收集者的同意。这种理论多用于在多用于解决患者的隐私问题。1.2.3文献评析总而言之，国内外对于信息基础性理已建立立法模式，但观点各异。但对于个人信息的私法保护很少，比如对个人信息的侵权责任规则，构成要件等还没有研究。本文通过从民法的角度，将个人信息和大数据的结合，提出适合我国国情的个人信息立法模式和体系。通过借鉴国外的成功经验，对个人信息进行全面的保护。大数据时代下个人信息概述2.1大数据的基本内涵2.1.1大数界据的定义何为大数据，大数据又被称为海量数据，概括的说就是很庞大的数据。大数据就是把很多数据收集起来，然后在进行层层的筛选和分析，提起对人们有用的数据，之后在估量个人、市场和各行业在生活中的动向，满足社会所需要的各种需求。于我们而言，对大数据的理解是模糊的，不知道他是用来做什么的，会与我们产生哪些连接。对这一概念是由著名未来学家阿尔文·托夫勒在他的著作《第三次浪潮》提出来的，他将“大数据”称颂为“第三次浪潮的华彩乐章”。2.1.2大数据的特点在大数据时代，无论多么小的数据都能有着无可估量的价值。因此，大数据有四项明显的特征，符合这四项特征的数据才能称为大数据。这就是著名的“4V”理论，其特点有：（1）Volume（体量），它指的是我们所搜集到的，可以用来供分析的数据规模是庞大的，不可估量的，主要体现为“大”这一明显特征。伴随着信息技术的发展，大数据在爆发式的增长，各式各样的社交网站，购物网站，拍摄网站，智能工具等等，都成了数据的来源。现如今，淘宝网有近7亿的注册用户，每天有几千万的用户在看淘宝直播，每年的淘宝在双11，双12的交易在不断的增长。由此可想数据的增长是我们信息所被忽略的必然结果。（2）Velocity（速度），指的是大数据的产生非常的快速，是具有高速流动性的数据，最主要的是通过互联网传输，因而对大数据技术进行数据处理的速度要求非常快。4G高速无线通讯技术才慢慢的普及，紧接着5G时代的到来，每人每天产生的大量的资料都要通过网络及时在线处理。基于该情况，对大数据的处理速度有非常严格的要求，要让大数据呈现出快速、持续实施处理的特点。（3）Variety（多样性），它指的是数据的来源是复杂且多样性，在社会生活中是丰富多样。在智能化的时代，我们打开自己手机里应用商店，就会看见视频、生活、旅游、教育等形形色色的APP，在我们下载注册的时候就会搜集用户的信息进行分析，然后根据用户的喜好和习惯进行推送和宣传里面的内容。可以说抖音是一个让人放松的地方，但我们如果仔细发现，它就是在偷偷的收集我们信息，例如我们在搜一个关于相声的，接下来我们在它就会不停的给推送相关的视频，这样限制了用户其他的喜好。（4）Value（价值），它指的是大数据的价值密度低，在迅猛增长的海量数据中寻找有利用价值的数据是非常难得。随着互联网的应用，大数据在不管在何一个地方都得到了广泛的使用，大到行业，小到个人，信息无处不在。大数据中大部分是没有经过处理的各类数据，有大批量错误甚至伪造的信息，在运用这些数据的时候就对数据进行层层筛选，从中提取对自己有用、有利的信息，相比较而言，这些数据的价值密度是比较低的。例如我们在查看很长一段段视频监控的过程中，可能提取到的有用数据仅仅几秒钟。2.2个人信息的基本内涵2.2.1个人信息的定义对于个人信息的定义，不同国家对个人信息称谓不同，但在法学界主流观点承认的是以下三种：“个人信息”、“个人数据”和“个人资料”。个人信息是一项重要的社会资源，人类每天的生产生活中都会产生大量信息。所谓个人信息，指的是能通过设备或者其他方式记录的，任何可识别或者已识别的与特定人相关的各种各样的信息。2.2.2个人信息的特征对个人信息的法律定义没给出明确的答复，我国学术界对个人信息的定义没有统一的观点。当前理论界主要有三种代表性的学说：关联说、隐私权说、识别说。（1）识别说。每个人的是独立的个体，各自具有独特的身份特征。根据每个人身上的独特特征在庞大的信息里快速的将每一个人识别出来。这种定义方式下个人信息的识别性是重要的，具有识别性的信息可以根据不同的需求主快速的、准确进行区分，从而方便信息的查找，因此这些信息具有较强的指向性和关联性。根据个人信息是否容易识别，还可以将分为间接个人信息和直接个人信息。只需要个人自身就能被识别出来的被称为直接个人信息，而需要结合借助外部的其他信息才能识别出来的信息被称为间接个人信息。不论是通过直接识别还是间接识别的方式，这都属于个人信息的范围，都应该受到法律的保护。（2）隐私权说。隐私权是自然人享有的私人生活安宁与私人信息秘密依法受到保护，不被他人非法侵扰、知悉、搜集、利用和公开的一种人格权。个人信息依据信息内容是否私密，可以将个人信息分为一般和敏感性个人信息两种类型。隐私权说主要源自美国。在美国，个人信息保护是以隐私权为权利基础的。隐私权的概念最早由Warren和Brandeis在侵权行为法领域提出。隐私权就是我们的个人信息，在个人的领域内不受他们的打扰，侵犯的权利。我们的隐私一旦被公开出来就失去了私密性，就会受到侵害。（3）关联说。该理论认为“所谓个人信息，包括与人相关的所有的一切信息，而不是紧紧局限于其人格或私生活有关者。亦即，有关自然人的个人信息从其生物性之身体到社会性之地位，及至个人之活动、外界评价等等，凡与其相关联之信息，均在所属。”在大数据时代的背景下，由于信息技术的快速发展与数据挖掘技术的进步，与信息主体相关联的信息产生了爆炸式的膨胀，越来越多的信息能够被发掘出来。因此，关联说理论作为个人信息界定的理论之一，在大数据时代已经不再适用。2.3大数据时代个人信息民法保护的必要性对个人信息的保护成为近年来学界研究的一大热点，刑事法律保护以及行政法方面的规范更是讨论得如火如荼。然而在笔者看来，想要更为全面的保护个人信息，必须重视个人信息民法保护的价值。有利于践行国家互联网发展战略。在大数据下，个人信息有着巨大的商业价值。商业机构对个人信息进行开发和利用，从中体现商业的价值，依次来体现互联网下的经济价值。就目前最火爆电商来说，有一些消费者不愿意选择这种交易方式，原因就是电子商务交易中个别信息收集者泄露了用户信息甚至恶意收集用户个人信息进行传播，造成一部分人丧失信任度。这显然与国家互联网发展战略的精神是不相吻合的。对个人信息的充分利用促进经济的发展的同时，还要保证对信息的保护。通过采取民法保护方式，能够对相对轻微的侵害行为进行调整，从而实现保护力度的最大化。有利于保障自然人的人格尊严与自由不受侵犯。便捷的网络，碎片化的信息，一张图片，一段视频，就会对一个人有了新的定义。这些信息他真能代表这个人吗？我们是信息的接受者，在大数据前，这些信息是如何产生的？然而有些人选择相信冰借题发挥，可悲的是，网络暴力就开始了。党的十九大报告指出，必须在我国建设完善的社会治安防控体系，对个人信心全进行全面的保护，以此来实现对人民人格尊严、人格自由和人格独立的保护。有利于协调个人信息安全与维护公用利益这两者之间的关系。我们在收集信息的过程中虽然有违法的情况。但在实际的生活当中，大数据时代下的信息话也给我们带来了好处。例如去年爆出的新冠疫情，有些人乘坐飞机，火车等出行，只要你所乘坐的车中某一患者有此种情况，就会通过收集到信息进行核实和处理，就是通过这种信息化的方式使疫情得到了有效的控制。大数据时代下我国个人信息民法保护的现状3.1我国个人信息的民法保护现状个人信息关系着社会生活的各个领域，国家机关可以通过个人信息对社会进行有效的管理，其他机构和企业等也可利用个人信息提升自己的收益，个人也可以通过维护自己的信息安全来更大程度的享受权利和义务。侵害个人信息的案例时常发生，这些事件的发生加剧了人们对个人信息保护问题的担忧，也带来了巨大的信任危机和潜在的社会危机。目前学界已有两部具有代表性的专家建议稿，一是周汉华教授带领编撰的《个人信息保护法(专家建议稿)及立法研究报告》，二是齐爱民教授的《个人信息保护法示范法草案学者》建议稿。这些建议稿在个人信息的立法实践上充当了探路者的角色，有很大的指导意义。虽然我国没有个人信息保护的专门法律，但仍有相关法律将其分为个人信息的法律间接保护和个人信息的法律直接保护。3.1.1对个人信息的间接保护个人信息的间接保护是指法律没有明确指出“个人信息”，但通过对“隐私权、姓名权、肖像权等具体人格权与个人信息相关的范畴”进行保护来保护个人信息。例如：《宪法》第38、39、40条对公民人格尊严、住宅、通信自由和通信秘密的保护作出了规定，这些为公民的隐私权和个人信息权利的保护提供了宪法依据。《侵权责任法》第2条指出了应依法保护公民的隐私权以及姓名权；同时，第15、21、25条明确了损害赔偿制度，列明了应承担的侵权责任。3.1.2对个人信息的直接保护个人信息的直接保护就是法律对“个人信息”做出的规定。例如：《消费者权益保护法》中第14条规定，经营者有义务为客户的个人信息保密，不得随意泄露已经获得的客户信息；第29条中，对于商家采集、应用个人信息也进行了规定，明确了商家必须依法承担的义务；同时，第50条还明确了侵犯消费者个人信息的侵权责任。《网络安全法》第22条第3款规定了收集用户信息的“告知同意”规则以及第74条对侵犯个人信息的行为规定了责任依据。2021年1月1日，《民法典》正式实施。该法典中规定了个人信息的定义（1034条）、保护原则（111条、1035条）、权利（1037条）以及信息处理者对个人信息的保护责任（1038条）、行政机关工作人员的个人信息保护责任（1039条）、个人信息保护民事责任的例外情形（999条、1036条）。3.2我国个人信息保护的司法现状3.2.1个人举证困难为确保论述的充分性，本文基于多种渠道整理并分析了多个与个人信息相关的民事判决案件，分析结果发现，在当前国内的司法实践中，个人举证困难是当前普遍存在的问题。例如：庞某委托鲁某通过航空公司（东航公司）网络平台（趣拿）订购了机票，但在第二天收到一条诈骗信息说航班取消了，于是打电话向航空公司客服核实后确认该航班正常，并提示说庞某可能收到了诈骗信息。庞某认为航空公司泄露了他自己的个人信息，其个人隐私权遭到了侵犯，于是将航空公司起诉到法院要求赔礼道歉，并赔偿精神损害抚慰金1000元。在一审中，北京市海淀区人民法院驳回了庞某的全部诉讼请求。趣拿公司和东航公司在订购机票的时候没有直接获取庞某手机号为由，而且还向信息主体发送谨防上当受骗的消息，尽到了通知的义务。庞某因为没有充分的证据证明自己的信息是被航空公司和趣拿平台泄露公司泄露，因而不存在侵犯隐私权的行为。于是庞某不服该判决，遂向北京市第一中级人民法院提出上诉。在二审中，法院认为姓名和手机号属于庞某的个人信息，航空公司作为信息管理者，在安全管理方面没有存在漏洞，且没有证据证明自己采取了有效的措施。综合双方的证据，认定航空公司有消费者的个人信息存在泄露具有过错，判决东航和趣拿公司向庞某赔礼道歉。此外，因没有证据证明庞某因为隐私被泄露而给自己造成精神上的痛苦，所以法院对于其精神损害的赔偿不予支持。从本案来看，法院在二审中支持了其中的一部分诉讼请求，但庞某的案件也暴露了目前我国个人信息民法保护中存在的问题，即个人信息泄露原告举证的困难。这一裁判的创新也在我们的司法实践中处理案件的一个范例。3.2.2强调收集与使用均须获得信息主体同意在目前的司法工作中，关于个人信息的民事判断理由通常引用《关于加强网络信息保护的决定》的规定以及《关于通信和互联网用户个人信息保护的规定》，只有在用户明确批准的情况下，才能收集和使用个人信息，并且事先不向用户明确表示使用。在孙某诉平安银行及鑫富源公司隐私权纠纷一案中，原告孙某声称在2016年10月11日接到号码电话，被询问是否需要贷款时，被告确切的说出了原告的姓名、以及在平安银行贷款的事实和准确数额，而且被告张伟聪还称自己是被告鑫福源的员工。孙某认为平安银行向新富源公司披露了个人信息，并以侵犯“隐私权”为由，将平安公司和鑫富源公司诉至深圳福田区人民法院。法院认为，"通知和授权原则"是在互联网领域保护公民个人电子信息的基本原则。为更好地发展目标客户，被告公司新富源在未经原告同意的情况下，使用"启信宝"等软件对原告的个人信息进行核实和调查，违反了"通知和授权原则"的规定，构成了原告的隐私权的侵害，应当依法承担侵权责任。被告鑫富源拨打的手机号码是用排列组合而成的，在与手机所有者建立具体联系之前，手机号码本身只是一系列数字字符，被告鑫富源持有手机号码，但不一定知道手机持有人的个人信息。因此，这种行为并不侵犯原告的隐私权。在本案中，被告鑫富源公司通过数据验证和确认向手机发送应用程序获取个人信息。通过启信宝、企查查等手机应用对大数据分析进行二次处理后形成新的数据产品。关于这类数据产品的使用，法院显然非常谨慎，因为未经信息主体同意使用其他数据产品获取个人信息的隐私权是违法的。在大数据时代，注重个人信息保护是很有必要，我们在重复使用个人信息时，均需征求信息主体的同意，对大量的数据产品而言，必然背离了其创设的原始初衷，不能让它丧失其原本存在的意义和初衷。大数据下我时代下我国个人信息民法保护存在问题4.1个人信息保护欠缺权利基础个人信息是自然人与生俱来并在社会发展中不断形成的各种信息，其“可识别性”与个人人格密不可分。目前法律并未确立个人信息权，欠缺保护基础使个人信息无法受到人格权请求权等多项制度的保护，不利于保护自然人的尊严与自由。《民法典》第一百一十一条和一千一百三十四条仅以“自然人的个人信息受法律保护”这一原则性规范确立个人信息受法律保护的地位，其他民事立法中也没有采用“个人信息权”的表述，可见目前民事立法上没有使用保护“利益”最有力的方案保护个人信息。事实上，个人信息需要平衡的利益关系比隐私权、肖像权等具体人格权更为复杂，因为个人信息不仅涉及人格利益、财产利益，还与技术发展利益、社会公共利益等息息相关。与生命、姓名、肖像、名誉、隐私等方面利益采取权利保护模式相比，个人信息欠缺权利保护基础，保护强度相对较弱，具体体现在：首先，人格权请求权依附于人格权存在，不具有独立性，仅将个人信息作为合法利益进行保护，个人信息主体无法依据人格权请求权请求保护。根据《民法典》第九百九十五条规定，行使人格权请求权可以排除他人对人格权现实或潜在的侵害或妨碍，预防损害结果发生或及时停止侵害行为，维护人格权保持圆满状态。而且与侵权保护相比，依据人格权请求权寻求保护更为积极有利，因为人格权请求权构成要件相对宽松，不仅在适用时不需要考虑加害人是否存在过错，而且明确排除适用诉讼时效。个人信息保护根本在于维护人格利益，由于个人信息欠缺人格权的权利基础，不具有绝对权所享有的排他权利，个人信息主体不能依据人格权请求权随时主张去除妨碍行为，不能在损害后果尚未完全发生时获得保护。其次，个人信息主体不仅无法行使人格权请求权，亦无法向人民法院申请保护禁令，责令行为人停止正在实施或者即将实施的侵害个人信息行为，不利于避免合法利益受到难以弥补的损害。《民法典》第九百九十七条规定的人格权行为禁令是人格权请求权的制度创新与程序保障，可以进一步增强人格权的保护功能。个人信息主体的人格利益一旦受到侵害，做到完全消除影响、挽回损害是非常困难的。由于个人信息仅为一项人格权益，不能在侵权初期就适用人格权行为禁令制度这项强有力的法律保障措施对侵害个人信息的违法行为加以禁止，防范于未然。最后，个人信息作为一项人格权益，个人信息主体可以根据《民法典》第九百九十三条的规定将自己的个人信息许可他人使用，但由于欠缺权利地位，其无法在违约之诉要求合同相对方承担精神损害赔偿责任。《民法典》第九百九十六条规定的违约侵害人格权的精神损害赔偿请求权，其适用条件中明确规定“损害人格权”，也即仅适用于违约行为导致人格权受到侵害的情形。许可他人使用个人信息，如果合同相对方违约，且违约行为给个人信息主体造成严重侵害，个人信息主体不能在违约之诉中请求精神损害赔偿，需要另行起诉进行救济，相较于可以一律在违约纠纷中请求不仅增加了救济难度，还额外增加救济成本，欠缺简便性与经济性。除了救济难度和成本方面的差异，还有保护范围的不同，侵权保护主要是维持权利主体的固有利益，而自然人将自己的个人信息许可他人使用，其在许可履行完毕后还可获得履行利益。如个人信息主体无法在违约纠纷中一并请求精神损害赔偿，就无法对因期待利益损害造成的精神损失进行救济，对个人信息主体的保护不全面。综上，没有确立个人信息权，个人信息的保护力度明显降低，作为一项法律承认的人格权益，缺少人格权请求权、行为禁令等积极防御的保护手段，仅可依据侵权请求权要求加害人承担民事责任，不能在侵权初期防止个人信息实际损害的发生，而且不能适用违约精神损害赔偿制度，对个人信息主体的合同保护尤其是精神方面利益保护不足。4.2侵权行为难以认定侵权责任制度的核心是归责原则，归责原则是行为人是否承担以及如何承担法律责任的基本原则。目前现行有效的立法中，没有规定侵害个人信息适用无过错或过错推定责任原则，应仅适用过错责任原则。然而现实与立法更加复杂，单一的归责原则不足以应对个人信息侵权的现实挑战，仅适用过错责任原则不能充分对自然人进行保护。首先，自然人欠缺对个人信息处理行为的掌握与了解，由其证明各类个人信息处理者在复杂多样的处理行为中存在过错较为困难。与个人信息处理者相比，个人信息主体因掌握信息少、处理信息技术能力弱的原因处于劣势地位，如要求其证明个人信息处理者的处理行为不具有充分的安全性、证明个人信息处理者在处理行为中存在过错并不现实。相比之下，如果要求由个人信息处理者提出相应证据证明自己的处理行为具有足够的安全性，难度较低，其只须向法院出示其保护个人信息的相关资料，令法院确信其不具有主观过错即可。其次，适用单一过错责任原则无法平衡个人信息保护与个人信息利用之间的关系，不仅不能给予个人信息主体救济，还会加剧双方地位的不平等。网络信息技术迅猛发展背景下，个人信息主体在个人信息处理中本就处于劣势，如不能适用更为严格的归责原则，个人信息处理者就可以利用侵权行为的隐蔽性更加肆无忌惮地给个人信息主体造成侵害。而且新兴技术的应用已经使个人信息滥用变得异常容易，例如随着人工智能技术的发展出现了“深度伪造”技术，利用这项技术可以轻松通过换脸、表情迁移、动作迁移制作虚假的视频或音频。例如二〇二一年火爆的短视频软件“蚂蚁呀嘿”，还有二〇一九年红极一时的换脸软件“ZAO”，核心都是深度伪造技术。如果该项技术被不法分子利用，其轻易就可以将某一自然人的形象非常逼真地克隆出来，通过诈骗等手段侵害个人信息主体的财产利益，或通过制作不雅视频等手段侵害个人信息主体的人格利益。并且目前还没有相关标准检测视频或音频是否为深度伪造技术制作出来的，个人信息主体一旦遭受侵害，视频或音频的真假其都难以举证。4.3赔偿救济不充足目前个人信息民事立法未规定侵害个人信息案件可适用惩罚性赔偿，遭受侵害的个人信息主体可依据《民法典》、《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》等法律请求个人信息处理者承担财产损失赔偿责任，如造成严重精神损害，还可请求其承担精神损害赔偿责任，但无论是精神损害赔偿还是财产损失赔偿均不能够为个人信息主体提供充足的救济。4.3.1财产损失赔偿数额低《民法典》等法律明确了确定财产损失赔偿额的三种标准，即“实际损失”、“侵权人获利”、“法院酌定”，具体而言，损失赔偿额一般参照个人信息主体的全部损失确定，如损失难以确定，则比照侵权行为人实际获利确定，若两者均不能确定则由双方协商，协商不成的诉至法院由法院根据实际情况确定赔偿额。首先，财产损失赔偿秉持的是填平原则，个人信息主体可获得的赔偿金最多不超过所遭受的全部损失，而且网络信息技术的广泛应用，使个人信息侵权具有较强的隐蔽性，个人信息主体在遭受侵害后无法立即了解到所有的侵权主体与具体的侵权行为，需要花费大量成本获取证据寻求救济。司法实践的大量案件中，个人信息主体都因无法举证侵权事实而被驳回起诉，无法获得任何赔偿，即使得到支持获得的赔偿金额也非常有限。学者对此进行实证研究，抽样的案件中胜诉率只有百分之六十，赔偿金获得法院支持的仅九人，赔偿金最高不过五万元。其次，个人信息主体一般很难通过举证个人信息处理者的实际收益主张赔偿金，而通过举证自己的损失主张赔偿金通常只有显性成本可以举证，常见的有律师费、公证费、保全费，还有一部分隐性成本因无法举证而不能得到赔偿。最后，个人信息主体未举证或不能举证时，需要法院根据“实际情况”确定赔偿额，现有规定中法院酌定赔偿标准最高仅为五十万元，而现实中的“实际情况”又是千变万化，法律也并未明确规定损害赔偿的具体考虑因素，不仅个人信息主体对损失赔偿金没有稳定的预期，裁判者也没有明确的指引，过分依赖裁判者的自由裁量还可能出现同案不同判的不公平现象。不仅如此，由于缺少明确的考虑因素和设置了较低酌定赔偿限额，法官在酌定赔偿数额时立场较为保守，普遍存在酌定数额偏低的问题，在个案中不能给遭受侵害的个人信息主体充足的赔偿，不利于对个人信息主体进行充分救济。4.3.2欠缺惩罚性赔偿制度事实上，侵害个人信息的损害结果具有潜伏性、持续性和放大性，个人信息侵害的赔偿救济不应只关注损害发生后的补偿，还应侧重于损害发生前的遏制。个人信息受到侵害的后果并不必然马上显现，可能具有较长的潜伏期。而且个人信息的泄露或者不当利用等侵权行为产生的危害可能是一种隐形、潜在的危险，再加上个人信息具有可复制性、非消耗性的特点，新的损害结果仍有可能继续发生、持续放大，甚至可能危害公共利益、公共安全。例如前文所提及的“庞理鹏诉趣拿、东航案”，如果庞理鹏没有收到取消航班的诈骗短信，其很难知道自己的个人信息已被泄露，危险并不会因为泄露未被发现就自行消失，而且此案泄露的信息不止航班信息，还有身份证号、手机号码等其他个人信息，除了可进行电信诈骗外，被泄露的个人信息还可用于其他类型的精准推销、信息破解与盗取，如果只进行单纯的补偿性救济无法避免个人信息主体陷入难以被彻底排除的骚扰。如个人信息领域也适用惩罚性赔偿，则类似东航、去哪儿网等个人信息处理者可能惧于远超收益的惩罚，而不去实施侵害个人信息的行为，个人信息处理者也可因此免受侵扰。我国个人信息民法保护的完善建议5.1确立个人信息权目前个人信息保护的立法没有赋予个人信息以权利地位，即便是二〇二一年刚刚生效的《民法典》也仅以原则性规范表明自然人的个人信息受法律保护，对个人信息进行权益化保护。如前文分析，个人信息保护没有权利基础，缺乏积极防御的保护手段，不利于个人信息主体权益的保护，综合考量新时代个人信息所彰显的利益内涵，本文认为应当在《民法典》中明确其具体人格权的地位，对个人信息进行权利化保护。首先，比较法上，通过权利方式保护个人信息是一种世界趋势。世界上发展较为成熟的是美国和欧盟，美国以宽泛的隐私权保护个人信息，欧盟则将个人信息作为独立的宪法性基本权利保护，虽然不同权利方式的赋权程度有所不同，但权利化保护模式皆能实现授权自然人控制其个人信息，防止不当收集与利用给个人信息主体人格权益与财产权益带来侵害的目的。整体上，个人信息的确权保护已成为现代社会发展的主流趋势。其次，权利化保护模式为个人信息主体提供更高强度的保护。第一，虽然《民法典》第一百二十六条表明民事权利与依法享有的利益都受法律保护，但并不意味着对民事权利与民事权益的保护强度是平等的。德国学者冯·图尔曾指出：“权利是私法的核心概念，同时也是对法律生活多样性的最后抽象”。将特定利益经立法程序赋予法律之力不仅是各类利益平衡的有效机制，更是确保民事主体利益保护最大化的有效手段。第二，通过法律确权的方式对个人信息加以认可，可以使个人信息的内容、类型更加清晰明确，使个人信息的收集者、利用者可以根据既有的法律规范做出合理的行为预测，尽可能不实施侵犯个人信息主体权益的行为。第三，随着信息网络技术快速的发展与应用，仅依靠事后救济的方式已难以有效地保护个人信息，个人信息权确立后可适用人格权请求权、人格权行为禁令制度实现尽量将个人信息的保护提前，防范于未然。第四，赋予个人信息以人格权的地位后，还可以适用违约侵害人格权精神损害赔偿请求权制度保护信息，该制度突破了传统的违约责任与精神损害赔偿不能一并主张的一般原则，可以为个人信息侵害的违约精神损害赔偿提供法律依据，能够强化对个人信息主体的合同保护。最后，个人信息由民事权益升级为民事权利的理论条件也已成就。民法确认某种民事权利时，需要满足两个条件：（1）该民事利益自身具有独立性；（2）该民事利益可以与其他利益明确界分。最易与个人信息发生混淆的是隐私，第一，《民法典》单章规定“隐私权与个人信息保护”，说明法律已明文对个人信息利益和隐私利益的独立性进行确定。第二，虽然隐私与个人信息仍存在一定的交叉但并不能以此否认个人信息缺乏独立性，就像隐私权依然与名誉权存在交叉，但这并不妨碍隐私权具有独立人格权的地位。第三，个人信息和隐私关联较为紧密，但在性质方面仍存在明确的界分。隐私中的信息主要是指个人不愿意公开披露且不涉及公共利益的私密信息，例如个人身体状况、家庭状况、婚姻状况等，但这些信息多数并不直接指向自然人的主体身份，而构成个人信息的本质要求就是需要具有身份的可识别性，否则不管该信息私密与否均不属于个人信息。5.2完善侵权责任认定机制5.2.1个人信息侵权的归责原则对于侵权行为的规则原则，目前我国学界分为过错责任原则和无过错责任原则，过错责任原则又可细分为一般过错责任原则和过错推定责任原则。笔者认为，根据侵权主体的不同，对于侵犯个人信息的违法行为我们可以采用不同的规则原则。对于个人和非法机构来说，应该采用过错原则，因为他们对于信息的控制处于优势地位，他们需要通过对信息处理方式来实现举证责任的明确和处理，这种方式有利于保障受害者的公平制度。对于官方机构来说，应该采用无过错原则，因为他们在信息安全、技术、地位等方面有着绝对的优势，我们国家对于这种行业有相关的规定，他们会遵守管理规定和操作程序，也会留下相关的证据。5.2.2侵权责任构成（1）违法行为，一般包括作为与不作为两种。作为方式是指采取积极的行为侵害自然人的个人数据权，诸如日常生活中非法收集个人数据或者披露个人数据的行为；而不作为方式则指有义务保障个人数据权而不积极履行，比如数据收集者对自然人的个人数据负有安全保密义务，在个人数据发生泄漏情形时，数据收集者应当及时采取措施减少损失而未采取相应的补救手段。（2）过错。是指侵权人实施行为的时候具有主观上的故意和过失。信息侵权归责原则适用过错责任原则，信息处理者为企业时，侵权责任的举证责任适用过错推定原则。（3）损害事实。是指对被侵权人的个人信息造成人身和财产方面的损害。侵权责任的构成以发生损害事实为必要条件，无损害则无赔偿。损害的确定性与否并不取决于是否能用金钱衡量，即是无法确定具体的数额，法院也可自由裁量。（4）因果关系，侵权行为与损害结果存在直接的由因致果的联系。5.2.3个人信息侵权责任承担方式个人信息权是一种具有财产权属性的人格权,因此,按照我国《侵权责任法》第十五条规定，我们可确定个人信息侵权责任承担方式包括下列五种：（1）停止侵害。对于具有持续性的侵权行为而言，通常首要适用该责任承担方式。因为其具有阻止损害继续发生的积极功能，可以有效防止损失进一步扩大。相应地，如侵权行为业以结束，即彻底丧失适用的意义（2）消除危险。与停止侵害不同，消除危险针对的不是消极的事后弥补而是积极的事先防御。消除危险能够使信息主体避免损害后果的发生，因而具有十分重要的意义。一旦信息主体有证据证明掌握其个人信息的信息控制者对其信息的管理存在隐患，虽然实质性损害尚未出现，但信息主体仍然有权要求信息控制者采取措施消除这种危险。（3）赔偿损失。在大数据时代，个人信息商业化利用能够产生可观的财产收益，且精神损害赔偿的适用又十分严格，理应赔偿信息主体为此而遭受的财产损失。在充分适用救济性损害赔偿的基础上，引入惩罚性损害赔偿。大数据时代个人信息侵权行为人往往从中获得较大利益，众多受害者却常常难以发现或无法维权，因此仅有一般的救济性损害赔偿根本不足以“阻吓”此类侵权行为。而适用惩罚性损害赔偿，能够大大增加加害人的侵权成本，足以使其不敢肆无忌惮的实施个人信息侵权行为。（4）赔礼道歉。加害人向受害人表示歉意、承认错误，求得原谅，一般适用于人格权侵权纠纷。虽不会给侵害人带来物质利益上的影响，但反映了法律对侵权人行为的谴责，受害人也会因此而获得心理抚慰。对于个人信息侵权行为而言，由于个人信息关系到信息主体的人格利益，此类侵权行为往往会给受害人的内心造成痛苦与创伤，不是单纯的金钱赔偿能够补救的，赔礼道歉却能使得受害人得到心理平衡，从而释放心结。5.3完善个人信息保护的救济程序5.3.1倒置举证责任就目前存在的关于个人信息侵权民事纠纷的司法实践来看，大数据时代下个人信息侵权的举证难成为了最大的问题，无法举证或证据不足以证明侵权者泄露个人信息。在将个人信息进行转移给其他人的那一刻起，实际上我们就丧失了对信息的控制权，因此我们就处于相对比较弱势的地位。用户对于信息非法获取、泄露、利用指控证据是很难收集的，对于信息控制着来说他们毁灭信息是很快捷的。对于侵权行为，如果采用“谁主张谁举证”进行维权，就只能使信息主体的维权行为因举证困难而宣告失败，如果无法解决这一问题，那么信息主体的法律维权之路就会举步维艰，显然这样是很不公平的。生活中发生的每一个案件都不可能完全百分之百还原出来，都会有些瑕疵。例如，我们在某一种平台上注册了个人信息，当天你就会收到短息，电话。最常见的就是我们在淘宝网购的时候，你只要在店铺里买过一次东西就会有信息，遇到店铺搞活动的时候就会收到各种推销，“垃圾”的短信。在举证责任分配倒置的制度下，受害人只需向法官提交自己信息受侵害的初步证