【我国个人信息民法保护存在的问题分析12000字】

导论

我国个人信息民法保护存在的问题分析

目录

TOC\o"1-3"\h\u

14073

我国个人信息民法保护存在的问题分析

1

29470

（一）个人信息保护欠缺权利基础

1

24198

（二）个人信息的分类保护规则不完善

3

25401

1．个人私密信息概念及判断标准未规定

3

19725

2．个人敏感信息概念及判断标准模糊

4

440

3．分类适用的同意要求混乱

6

16242

（三）缺少有关撤回同意的规定

7

7297

（四）缺乏格式条款公平与否的明确指引

8

1614

（五）侵权行为难以认定

10

15086

1．侵权行为归责原则单一

10

10282

2．缺少因果关系推定规则

11

23440

（六）赔偿救济不充足

13

15037

1．财产损失赔偿数额低

13

12552

2．精神损害赔偿要求高

14

21218

3．欠缺惩罚性赔偿制度

15

整体来看，现行民事立法所能提供的保护力度明显较弱，分散的立法没能使法律之间形成有效的衔接，而且很多规定散落在公法性质的法律中。目前的立法现状无法有效应对个人信息保护的困境，难以满足数据时代个人信息权益保护的丰富需求，无法为个人信息主体提供较为全面的保护。

个人信息保护欠缺权利基础

个人信息是自然人与生俱来并在社会发展中不断形成的各种信息，其“可识别性”与个人人格密不可分[[]秦倩.个人信息保护的权利基础探析[J/OL].重庆大学学报(社会科学版):8[2021-05-20]./kcms/detail/50.1023.C.20210506.0912.002.html.

]。目前法律并未确立个人信息权，欠缺保护基础使个人信息无法受到人格权请求权等多项制度的保护，不利于保护自然人的尊严与自由。

《民法典》第一百一十一条和一千一百三十四条仅以“自然人的个人信息受法律保护”这一原则性规范确立个人信息受法律保护的地位，其他民事立法中也没有采用“个人信息权”的表述，可见目前民事立法上没有使用保护“利益”最有力的方案保护个人信息。事实上，个人信息需要平衡的利益关系比隐私权、肖像权等具体人格权更为复杂，因为个人信息不仅涉及人格利益、财产利益，还与技术发展利益、社会公共利益等息息相关。与生命、姓名、肖像、名誉、隐私等方面利益采取权利保护模式相比，个人信息欠缺权利保护基础，保护强度相对较弱，具体体现在：

首先，人格权请求权依附于人格权存在，不具有独立性，仅将个人信息作为合法利益进行保护，个人信息主体无法依据人格权请求权请求保护。根据《民法典》第九百九十五条规定[[]《中华人民共和国民法典》第九百九十五条：人格权受到侵害的，受害人有权依照本法和其他法律的规定请求行为人承担民事责任。受害人的停止侵害、排除妨碍、消除危险、消除影响、恢复名誉、赔礼道歉请求权，不适用诉讼时效的规定。

]，行使人格权请求权可以排除他人对人格权现实或潜在的侵害或妨碍，预防损害结果发生或及时停止侵害行为继续侵害，维护人格权保持圆满状态[[]张红.论《民法典》之人格权请求权体系[J].广东社会科学,2021(03):237.

]。而且与侵权保护相比，依据人格权请求权寻求保护更为积极有利，因为人格权请求权构成要件相对宽松，不仅在适用时不需要考虑加害人是否存在过错，而且明确排除适用诉讼时效。个人信息保护根本在于维护人格利益，由于个人信息欠缺人格权的权利基础，不具有绝对权所享有的排他权利，个人信息主体不能依据人格权请求权随时主张去除妨碍行为，不能在损害后果尚未发生时获得保护。

其次，个人信息主体不仅无法行使人格权请求权，亦无法向人民法院申请保护禁令，责令行为人停止正在实施或者即将实施的侵害个人信息行为，不利于避免合法利益受到难以弥补的损害。《民法典》第九百九十七条规定的人格权行为禁令是人格权请求权的制度创新与程序保障，可以进一步增强人格权的保护功能[[]《中华人民共和国民法典》第九百九十七条：民事主体有证据证明行为人正在实施或者即将实施侵害其人格权的违法行为，不及时制止将使其合法权益受到难以弥补的损害的，有权依法向人民法院申请采取责令行为人停止有关行为的措施。

]。个人信息主体的人格利益一旦受到侵害，做到完全消除影响、挽回损害是非常困难的。由于个人信息仅为一项人格权益，不能在侵权初期就适用人格权行为禁令制度这项强有力的法律保障措施对侵害个人信息的违法行为加以禁止，防范于未然。

最后，个人信息作为一项人格权益，个人信息主体可以根据《民法典》第九百九十三条规定将自己的个人信息许可他人使用，但由于欠缺权利地位，其无法在违约之诉要求合同相对方承担精神损害赔偿责任。《民法典》第九百九十六条规定的违约侵害人格权的精神损害赔偿请求权，其适用条件中明确规定“损害人格权”，也即仅适用于违约行为导致人格权受到侵害的情形[[]《中华人民共和国民法典》第九百九十六条：因当事人一方的违约行为，损害对方人格权并造成严重精神损害，受损害方选择请求其承担违约责任的，不影响受损害方请求精神损害赔偿。

]。许可他人使用个人信息，如果合同相对方违约，且违约行为给个人信息主体造成严重侵害，个人信息主体不能在违约之诉中请求精神损害赔偿，需要另行起诉进行救济，相较于可以一律在违约纠纷中请求不仅增加了救济难度，还额外增加救济成本，欠缺简便性与经济性[[]张红.《民法典（人格权编）》一般规定的体系构建[J].武汉大学学报(哲学社会科学版),2020,73(05):171.

]。除了救济难度和成本方面的差异，还有保护范围的不同，侵权保护主要是维持权利主体的固有利益，而自然人将自己的个人信息许可他人使用，其在许可履行完毕后还可获得履行利益。如个人信息主体无法在违约纠纷中一并请求精神损害赔偿，就无法对因期待利益损害造成的精神损失进行救济，对个人信息主体的保护不全面[[]李慧.论我国违约精神损害赔偿制度的构建[J].商业研究,2015(08):184.

]。

综上，没有确立个人信息权，个人信息的保护力度明显降低，作为一项法律承认的人格权益，缺少人格权请求权、行为禁令等积极防御的保护手段，仅可依据侵权请求权要求加害人承担民事责任，不能在侵权初期防止个人信息实际损害的发生，而且不能适用违约精神损害赔偿制度，对个人信息主体的合同保护尤其是精神方面利益保护不足。

个人信息的分类保护规则不完善

个人信息的分类保护是将个人信息按照一定的标准进行界分，然后对个人信息区分适用不同的行为规则[[]袁泉.个人信息分类保护制度的理论基础[J].上海政法学院学报(法治论丛),2018,33(03):29.

]。个人信息的分类保护能够明确不同信息之间的根本差异，再通过立法技术的巧妙处理，可以同时满足自然人保护个人信息和个人信息处理者利用个人信息的期待，保持个人信息保护体系的周延性[[]袁泉.个人信息分类保护制度的理论基础[J].上海政法学院学报(法治论丛),2018,33(03):34.

]。目前我国立法已经直接或间接对个人信息进行分类，但是分类欠缺整体性考虑，缺乏详细具体的规定，分类适用的同意要求混乱，未能实现个人信息分类保护的制度功能。

个人私密信息概念及判断标准未规定

现行法律虽将个人私密信息类型化，但并没有对个人私密信息的概念和判断标准加以规定。个人私密信息首次出现在《民法典》一千零三十四条[[]《中华人民共和国民法典》第一千零三十四条：自然人的个人信息受法律保护。个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息，包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。个人信息中的私密信息，适用有关隐私权的规定；没有规定的，适用有关个人信息保护的规定。

]，该法没有对个人私密信息进行界定。《民法典》发布后修订的《中华人民共和国未成年人保护法》增加了“网络服务提供者发现未成年人通过网络发布私密信息的，应当及时提示，并采取必要的保护措施”的规定，针对未成年人的私密信息进行特别保护，给网络服务提供者设置了提示和采取必要保护措施的义务，但也没有给出个人私密信息的概念及定义。目前个人私密信息仅在前述两部法律中有所规定，但均没有对个人私密信息进行界定，也没有提供个人私密信息的判断标准，使得个人私密信息保护的可操作性差。

其一，个人私密信息的概念与判断标准未规定，不利于保护权利人的隐私权。根据民法典第一千零三十二条和一千零三十四条规定[[]《中华人民共和国民法典》第一千零三十二条第二款：隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。第一千零三十四条第三款：个人信息中的私密信息，适用有关隐私权的规定；没有规定的，适用有关个人信息保护的规定。

]，个人私密信息是隐私与个人信息的交叉内容，所谓个人私密信息，即本身就是隐私的个人信息，是个人不愿意公开披露且不涉及公共利益的信息[[]张建文.在尊严性和资源性之间:《民法典》时代个人信息私密性检验难题[J].苏州大学学报(哲学社会科学版),2021,42(01):65.

]。实际上个人私密信息既是隐私又是个人信息，无法准确判断是否为个人私密信息，则很有可能侵犯自然人的隐私权，使其不愿为人所知的信息被他人知悉或加以利用，对个人生活安宁造成难以弥补的破坏[[]王利明.论个人信息权的法律保护——以个人信息权与隐私权的界分为中心[J].现代法学,2013,35(04):66.

]。

其二，无明确的概念和判断标准，不能准确识别出个人私密信息并对其适用更为严格的保护规定。《民法典》规定“任何组织或者个人不得以刺探、侵扰、泄露、公开等方式侵害他人的隐私”，并在第一千零三十三条通过“除法律另有规定或者权利人明确同意外，任何组织或者个人不得处理他人的私密信息”更加明确禁止处理个人私密信息的原则。个人私密信息优先受隐私权保护，只有当隐私权没有规定时，个人私密信息才适用个人信息保护的规定。根据《民法典》的规定个人私密信息比其他非个人私密信息受到了更严格的保护，具体体现在：（1）个人私密信息仅可由法律作出例外规定，而其他非个人私密信息可以由法律、行政法规作出例外规定[[]隐私权例外规定在《中华人民共和国民法典》第一千零三十三条，个人信息例外规定在第一千一百三十五条。

]；（2）为实现公共利益实施新闻报告、舆论监督，可以合理使用其他非个人私密信息，而个人私密信息作为隐私的一种被排除在合理适用的范围外[[]《中华人民共和国民法典》第九百九十九条：为公共利益实施新闻报道、舆论监督等行为的，可以合理使用民事主体的姓名、名称、肖像、个人信息等；使用不合理侵害民事主体人格权的，应当依法承担民事责任。

]；（3）处理个人私密信息需要征得个人信息主体明确同意，而其他个人信息仅需同意即可[[]《中华人民共和国民法典》第一千零三十三条除法律另有规定或者权利人明确同意外，任何组织或者个人不得实施下列行为：（五）处理他人的私密信息。第一千零三十五条：处理个人信息的，应当遵循合法、正当、必要原则，不得过度处理，并符合下列条件：（一）征得该自然人或者其监护人同意，但是法律、行政法规另有规定的除外。

]。

综上，法律没有明确规定个人私密信息的概念及判断标准，不能准确地将其识别出适用较为严格的保护规定，不利于隐私利益等人格利益的保护。

个人敏感信息概念及判断标准模糊

到目前为止，生效的法律中没有对个人敏感信息进行明确界定的先例，有学者认为《征信业管理条例》所列举的“禁止采集的个人信息”实际上就是个人敏感信息[[]程啸.论我国个人信息保护法中的个人信息处理规则[J].清华法学,2021,15(03):68.

]，可见个人敏感信息的概念及判断标准处于极为模糊的状态。目前仅有《信息安全技术公共及商用服务信息系统个人信息保护指南》(GB/Z28828-2012)、《信息安全技术个人信息安全规范》（GB/T35273-2020）两个国家指导性、推荐性标准明确将个人信息分为个人敏感信息和个人一般信息，并对个人敏感信息内涵和范围作了规定，但两个国家标准的界定不仅模糊存在歧义，而且相互间也不一致。

《信息安全技术公共及商用服务信息系统个人信息保护指南》将个人敏感信息界定为“一旦遭到泄露或修改，会对标识的个人信息主体造成不良影响的个人信息，各行业个人敏感信息的具体内容根据接受服务的个人信息主体意愿和各自业务特点确定。例如个人敏感信息可以包括身份证号码、手机号码、种族、政治观点、宗教信仰、基因、指纹等”。该界定以“不良影响”极其不确定的概念不能明确影响的内容，而且该指南赋予行业自主考虑该行业接受服务群体的个人意愿，扩大了个人敏感信息的范围，极大增加了个人敏感信息的不确定性。

《信息安全技术个人信息安全规范》界定个人敏感信息为“个人敏感信息是指一旦泄露、非法提供或滥用可能危害人身和财产安全，极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息，包括身份证件号码、个人生物识别信息、银行账户、通信记录和内容、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息、十四岁以下（含）儿童的个人信息等”，并且该规范还在附录中对个人敏感信息进行详细地列举[[]《信息安全技术———个人信息安全规范》(GB/T35273—2017)附录B。

]。此国家标准的界定亦存在不妥之处，其一，十四岁以下（含）儿童的全部个人信息列举作为敏感信息进行保护，实际上并非儿童的个人信息就全部具有较高的敏感度，而且通过其概念本身也无法推导出此结论，例如一个婴儿的姓名泄露后一般很难想到如何利用该婴儿的姓名危害其人身安全和财产安全，如何导致该婴儿的名誉、身心健康受到损害或歧视性待遇。对十四周岁以下儿童的个人信息的确应当进行特殊保护，主要因为儿童缺少必要的认知和判断能力，不能准确估量个人信息被收集处理后产生的风险[[]潘林青.我国个人敏感信息的界分基础及其立法表达——兼评《民法典(草案)》第一千零三十四条[J].北京邮电大学学报(社会科学版),2020,22(02):35.

]。其二，《征信业管理条例》明确列举了“禁止采集的个人信息”，如果认为“禁止采集的个人信息”实际上就是个人敏感信息，又将征信信息作为个人敏感信息保护，间接把自然人全部的个人信息都视为个人敏感信息，失去了分类的意义。总之，概念与列举的个人信息难以自洽。

立法中没有清晰界定个人敏感信息概念和判断因素，司法裁判也因缺乏统一标准而呈现裁判观点混乱的状态。例如“曾海威诉交通银行股份有限公司太平洋信用卡中心深圳分中心案”法院认为“密码、签名、卡面信息、磁条或芯片信息、个人私密信息等属于个人敏感信息”[[]（2020）粤03民终15720号判决书。

]，将个人私密信息等同于个人敏感信息。“安娜诉浙江淘宝网络有限公司案”法院认为“真实姓名、身份证号码、手机号码等属于个人敏感信息”[[]（2019）浙0192民初5468号判决书。

]，将真实姓名也纳入个人敏感信息进行保护。“夏某诉佛山市东顺行汽车销售有限公司案”法院认为“身份信息、姓名、身份证号码、电话号码、QQ号只是一般性的个人信息，不属于个人敏感信息”[[]（2018）粤06民终3318号判决书。

]，与前述两案观点恰恰相反。由列举的既有判例就可以看到，目前缺乏清晰的个人敏感信息概念和判断因素，个人敏感信息的认定标准参差不齐，裁判尺度各不相同，这些现实问题凸显我国统一立法进行明确界定的迫切性[[]胡文涛.我国个人敏感信息界定之构想[J].中国法学,2018(05):239.

]。

综上，目前个人敏感信息概念与判断因素模糊，法院没有明确的裁判指引，个人信息处理者和个人信息主体对个人敏感信息的保护也没有明确的预期，不利于个人信息主体权益的保护，而且不确定的保护范围还违背了个人信息类型化保护的初衷。

分类适用的同意要求混乱

征得个人信息主体同意是个人信息处理的合法性基础[[]徐丽枝.个人信息处理中同意原则适用的困境与破解思路[J].图书情报知识,2017(01):110.

]，对于不同种类的个人信息适用不同强度要求的告知同意规则能够在个人信息保护与个人信息利用中找到平衡点，在对个人信息主体进行充足保护的同时，又能满足个人信息利用的社会需求。然而目前有限的规定分散且混乱，不能为司法实践提供清晰而统一的指引。

其一，大多数法律法规并没有体现出分类适用的具体规则。《民法典》第一千一百三十五条处理个人信息只需要个人信息主体同意，根据第一百四十条规定同意可以明示作出也可以默示作出[[]《中华人民共和国民法典》第一百四十条：行为人可以明示或者默示作出意思表示。沉默只有在有法律规定、当事人约定或者符合当事人之间的交易习惯时，才可以视为意思表示。

]。《网络安全法》以法律的形式仅明确规定应取得个人信息主体的同意，亦对同意并未加以任何区分[[]《中华人民共和国网络安全法》第四十一条：网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。

]。《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》要求个人信息主体的同意需要全部以书面形式作出，也没有规定不同情形下对同意具有不同的要求。

其二，国家标准中虽有分类适用规则，但标准之间的规定并不相同。《信息安全技术公共及商用服务信息系统个人信息保护指南》要求处理个人信息前要征得个人信息主体的同意，同意包括“默许同意”或“明示同意”。处理个人一般信息获得个人信息主体“默许同意”即可，如处理个人敏感信息，则需要得到个人信息主体的“明示同意”。该指南所使用的“默许同意”并没有其他生效的法律使用，没有明确的法律概念。而《信息安全技术个人信息安全规范》规定处理个人敏感信息需要获得明示同意，处理个人生物识别信息不仅需要获得明示同意还需要该同意是单独的同意。只明确规定了“明示同意”与“授权同意”[[]《信息安全技术个人信息安全规范》3.6：明示同意是指个人信息主体通过书面、口头等方式主动作出纸质或电子形式的声明，或者自主作出肯定性动作，对其个人信息进行特定处理作出明确授权的行为。3.7：授权同意是指个人信息主体对其个人信息进行特定处理作出明确授权的行为。

]，并没有如《信息安全技术公共及商用服务信息系统个人信息保护指南》一样明确规定“明示同意”与“默许同意”[[]《信息安全技术公共及商用服务信息系统个人信息保护指南》3.10默许同意：在个人信息主体没有明确反对的情况下，认为个人信息主体同意。3.11明示同意：个人信息主体明确授权同意，并保留证据。

]。

综上，分类适用的同意要求分散地规定在法律、司法解释和国家标准中，要求缺乏整体性与系统性，混乱的规则不仅不能妥善解决个人信息分类保护的问题，还给法律适用制造了困难，未能实现分类保护的制度目标。

缺少有关撤回同意的规定

自然人享有撤回同意的自由有助于改善个人信息主体天然的弱势地位[[]李浩然,何冰玉等.民法语境下消费者撤回权的正当性:意思表示的瑕疵与救济[J].行政与法,2017(04):111.

]，可以为个人信息主体提供最为直接的保护方式，但目前我国的民事立法未赋予个人信息主体同意撤回权，因缺少明确且具体的规定，个人信息主体撤回同意无法得到保护。

首先，个人信息主体享有撤回同意的自由是行使同意权的应有之义。决定自由是人格自由发展的前提，如何使用个人信息的自我决定是实现人格自由发展的关键，个人信息主体可以撤回先前作出的同意当然是自主进行决定的题中之义[[]田野.大数据时代知情同意原则的困境与出路——以生物资料库的个人信息保护为例[J].法制与社会发展,2018,24(06):135.

]。自然人对已授权的同意处理作出全部或部分的否定，是保护个人信息主体对其个人信息决定权与控制权的必要手段。通过撤回使个人信息主体摆脱之前作出同意的束缚，实现人格自由发展。但由于立法中同意撤回规定的缺失，个人信息主体无法在不受限的情况下撤回同意，变相使其在个人信息处理过程中丧失了对其个人信息的最终控制，陷入了“同意即终身同意”的困境。

其次，实践中个人信息处理者即便告知个人信息处理中享有此项权利但未明确告知行使撤回同意的具体方式和程序。例如百度通过《隐私政策》向用户告知百度对个人信息处理情况以及保护规定，其隐私政策中规定了“您可以随时给予或收回您的授权同意”，然而对于行使方式和程序仅以“个人中心中的多个设置（如语音搜索设置、历史记录设置等）来关闭部分功能选项从而撤回部分授权”的含糊表述一概而过[[]隐私政策.[EB/OL].[2021-04-14]./policy.

]。仅具有简单的搜索功能的软件都需要个人信息主体在多个未完全列举的设置中去寻找，自然人着实难以实现自由的撤回同意。

最后，由于法律没有明确规定撤回权的行使条件，个人信息处理者会额外设置不合理的撤回条件，限制个人信息主体的自由。例如在京东的《隐私政策》中规定“您也可以通过注销账户的方式，撤回我们继续收集您个人信息的全部授权”，然后通过“关于您注销账户的方式以及您应满足的条件，请详见《京东账户注销须知》”将撤回条件引到《京东账户注销须知》，在该须知中规定了注销账户需要满足“在最近一个月内，账户没有进行更改密码、更改绑定信息等敏感操作”这一条件[[]京东隐私政策.[EB/OL].(2020-10-13)[2021-04-14]./privacy/.

京东账户注销须知.[EB/OL].(2020-10-13)[2021-04-14]./user/issue/165-3979.html.

]。在国内账户全部实名制的背景下，通常更改密码是需要通过绑定的手机接收验证码进行验证甚至以身份证号码、面部识别信息等进行核对，京东以最近一个月进行过密码更改就不予撤回授权实际上是对个人信息主体进行不公平的限制。

综上，撤回同意对个人信息主体不可或缺，个人信息主体享有作出同意的自由，并以此作为保护人格利益的主要手段，那么个人信息主体也应享有撤回同意的自由，目前法律欠缺撤回同意的规定，自然人的人格尊严可能会受到其之前同意表示的拘束，妨碍其人格的自由塑造[[]陆青.个人信息保护中“同意”规则的规范构造[J].武汉大学学报(哲学社会科学版),2019,72(05):122.

]。

缺乏格式条款公平与否的明确指引

目前立法仅以“公平”、“合理”的抽象概念规范格式条款，个人信息领域缺乏“不公平”、“不合理”的明确指引，个人信息处理者常滥用其优势地位，设置不公平的格式条款对个人信息主体进行限制，导致法律虽明确赋予个人信息主体删除权，但其依然面临个人信息删除难的困境。

个人信息主体享删除权首次明文确定在全国人大常委会通过的《关于加强网络信息保护的决定》[[]徐航.《个人信息保护法(草案)》视域下信息删除权的建构[J].学习论坛,2021(03):132.

]，该决定第八条规定了“公民发现泄露个人身份、散布个人隐私等侵害其合法权益的网络信息，或者受到商业性电子信息侵扰的，有权要求网络服务提供者删除有关信息或者采取其他必要措施予以制止”。此后制定的《网络安全法》、《民法典》均在法律层面对自然人享有的删除权进行规定，个人信息处理者违反法律、行政法规规定或违反双方关于个人信息处理的约定，自然人有权要求其删除信息[[]《中华人民共和国网络安全法》第四十三条。《中华人民共和国民法典》第一千零三十七条第二款：自然人发现信息处理者违反法律、行政法规的规定或者双方的约定处理其个人信息的，有权请求信息处理者及时删除。

]。

“周某诉阿里巴巴（中国）有限公司合同纠纷案”就是一个典型案例[[](2015)杭西知民初字第667号判决书。

]。该案中，原告周某起诉阿里巴巴认为其《隐私政策》中的“对于使用许可软件时提供的资料及数据信息，您授予阿里巴巴及其关联公司独家的、全球通用的、永久的、免费的许可使用权利（并有权在多个层面对该权利进行再授权）”违反了法律规定，将全国超过两亿人的数据向全球发布损害社会公共利益，要求删除其个人信息。法院经审理认为“该协议第六条第五款规定的协议终止后阿里巴巴公司有权继续保留原告的信息，阿里巴巴公司在该协议终止后保留原告的信息并未违反法律、法规的规定和双方收集、使用信息的约定”没有支持原告周某的诉讼请求。除了裁判结果，在事实调查部分看到阿里巴巴还规定了“阿里巴巴有权随时修改本协议，并以淘宝网公示的方式通知您，无须单独通知您”，并且阿里巴巴在答辩时还以“为优化该协议内容和构架，提升用户体验感，阿里巴巴公司已修改了该协议的涉案条款，原条款已不存在”作为免责的理由。

从该案中可以窥见目前自然人删除其个人信息所面临的困难：第一，个人信息处理者通过格式条款约定其有权永久保存个人信息；第二，个人信息处理者通过格式条款约定其可以对个人信息进行再授权，而且并不需要向个人信息主体进行告知任何信息也不需要获取个人信息主体的同意，个人信息主体根本获知所有个人信息处理者，更无法要求其删除个人信息；第三，个人信息主体通过格式条款为自己设置单方变更合同的权利，并且合同变更无需单独通知仅进行公示即可，导致个人信息主体难以准确获知合同具体的约定，进而难以判断是否存在违反合同约定要求，无法行使删除权要求个人信息处理者删除其个人信息。

由此分析，个人信息主体现在面临的删除难的困境与个人信息处理格式条款的效力判断紧密相关。我国《民法典》第四百九十六条、《电子商务法》第三十二条规定应当“公平地确定双方权利义务”，《民法典》第四百九十七条[[]《中华人民共和国民法典》第四百九十七条：有下列情形之一的，该格式条款无效：（一）具有本法第一编第六章第三节和本法第五百零六条规定的无效情形；（二）提供格式条款一方不合理地免除或者减轻其责任、加重对方责任、限制对方主要权利；（三）提供格式条款一方排除对方主要权利。

]、《消费者权益保护法》第二十六条[[]《中华人民共和国消费者权益保护法》第二十六条第二款：经营者不得以格式条款、通知、声明、店堂告示等方式，作出排除或者限制消费者权利、减轻或者免除经营者责任、加重消费者责任等对消费者不公平、不合理的规定，不得利用格式条款并借助技术手段强制交易。

]等又从反面禁止“不公平地”、“不合理地”免除、减轻己方责任，加重对方责任、排除或限制对方权利，但公平、合理是一个较为主观的判断，仅以公平、合理原则作为衡量标准，立法和司法难以对该原则形成统一的认识，而且裁判者在个案判断时也会产生尺度不一的现象。没有明确具体的示例规则将何为“不公平”、何为“不合理”告诉法官，导致类似前文所列虽未直接豁免个人信息处理者义务，但实质上排除或限制个人信息主体权利的格式条款认定有效，使个人信息主体无法行使删除权要求个人信息处理者删除其个人信息。

综上，个人信息格式条款效力审查缺少明确的指引，法官机械地适用“免除、减轻己方责任，加重对方责任、排除或限制对方权利”，不能公平、公正地评价格式条款的效力，不能在个人信息处理者滥用格式条款进行不公平限制时，为个人信息主体提供充足的保护。

侵权行为难以认定

侵权行为归责原则单一

侵权责任制度的核心是归责原则，归责原则是行为人是否承担以及如何承担法律责任的基本原则[[]房绍坤,张玉东.论《民法典》中侵权责任规范的新发展[J].法制与社会发展,2020,26(04):146.

]。目前现行有效的立法中，没有规定侵害个人信息适用无过错或过错推定责任原则，应仅适用过错责任原则。然而现实与立法更加复杂，单一的归责原则不足以应对个人信息侵权的现实挑战，仅适用过错责任原则不能充分对自然人进行保护。

首先，自然人欠缺对个人信息处理行为的掌握与了解，由其证明各类个人信息处理者在复杂多样的处理行为中存在过错较为困难。与个人信息处理者相比，个人信息主体因掌握信息少、处理信息技术能力弱等原因处于劣势地位[[]李勇.论消费者个人信息之保护——以告知后同意为中心[J].理论月刊,2014(08):125.

]，如要求其证明个人信息处理者的处理行为不具有充分的安全性、证明个人信息处理者在处理行为中存在过错并不现实。相比之下，如果要求由个人信息处理者提出相应证据证明自己的处理行为具有足够的安全性，难度较低，其只须向法院出示其保护个人信息处理的相关资料，令法院确信其不具有主观过错即可。

其次，适用单一过错责任原则无法平衡个人信息保护与个人信息利用之间的关系，不仅不能给予个人信息主体救济，还会加剧双方地位的不平等。网络信息技术迅猛发展背景下，个人信息主体在个人信息处理中本就处于劣势，如不能适用更为严格的归责原则，个人信息处理者就可以利用侵权行为的隐蔽性更加肆无忌惮地给个人信息主体造成侵害。而且新兴技术的应用已经使个人信息滥用变得异常容易，例如随着人工智能技术的发展出现了“深度伪造”技术，利用这项技术可以轻松通过换脸、表情迁移、动作迁移制作虚假的视频或音频。例如二〇二一年火爆的短视频软件“蚂蚁呀嘿”，还有二〇一九年红极一时的换脸软件“ZAO”，核心都是深度伪造技术。如果该项技术被不法分子利用，其轻易就可以将某一自然人的形象非常逼真地克隆出来，通过诈骗等手段侵害个人信息主体的财产利益，或通过制作不雅视频等手段侵害个人信息主体的人格利益。并且目前还没有相关标准检测视频或音频是否为深度伪造技术制作出来的，个人信息主体一旦遭受侵害，视频或音频的真假其都难以举证[[]程啸.谨防深度伪造技术侵害公众利益[N].法治日报,2021-03-24(007).

]。

最后，司法裁判中也没有合法方式可在个案中降低适用单一过错责任原则的不利影响。裁判者不能拒绝裁判，更不会置正义于不顾。实践中，裁判者意识到目前个人信息侵权案件适用单一过错责任原则不利于保障个人信息主体的合法权益，因此各地法院在个案中将举证责任倒置，降低个人信息主体的证明责任[[]解正山.数据泄露损害问题研究[J].清华法学,2020,14(04):153.

]。但仅因个人信息侵权的特性，就利用裁量权在个案中转换个人信息主体和个人信息处理者之间的证明责任似乎并不妥当。虽然重新分配证明责任的方法顾及了实质正义，但这种证明责任的转换在实体法和程序法中均找不到任何依据，根据《最高人民法院关于民事诉讼证据的若干规定》，仅在法律没有具体规定的情况下，法官才享有确定过错要件证明责任承担的自由裁量权[[]《最高人民法院关于民事诉讼证据的若干规定》第七条：在法律没有具体规定，依本规定及其他司法解释无法确定举证责任承担时，人民法院可以根据公平原则和诚实信用原则，综合当事人举证能力等因素确定举证责任的承担。

]。如果裁判者脱离“法律没有具体规定”这一前提，只考虑个人信息主体与个人信息处理者举证能力的差距，就适用公平原则、诚实信用等基本原则改变证明责任的承担，是严重违反法律规定的行为。现实中存在裁判者在个案中违法调整举证责任承担，恰恰证明单一过错责任原则的局限性，体现了个人信息侵权归责原则完善的迫切性。

综上，归责原则对举证责任及侵权责任的承担具有重要意义，若个人信息侵权仅采取过错责任原则，容易导致处于弱势地位的个人信息主体寻求权益救济的目的落空，难以对侵害个人信息的行为进行有效惩治，而且可能变相放纵了个人信息处理者的违法行为。

缺少因果关系推定规则

大数据时代，个人信息处理大多同时存在数个不同的个人信息处理者，个人信息处理者数量的增加客观上加剧了自然人与个人信息处理者间信息的不对称性，将个人信息主体推向更加劣势的地位，其难以证明实施侵害的个人信息处理者是谁以及何种处理行为是侵害结果发生的原因。

自然人与个人信息处理者间本就存在着经济、技术、信息处理能力等多方面的差距，大数据、互联网等领域高速发展，数个不同个人信息处理者参与同一处理行为成为普遍现象。一方面是社会产业分工细化的结果，信息的处理需要多方处理者参与，例如远程客服与销售、云计算、大数据分析等业务的外包已经成为现代企业经营的常用手段[[]朱宣烨.新时代个人信息民事保护路径研究——以存在第三方信息处理者情况下的民事责任分配为视角[J].法学杂志,2018,39(11):134.

]。另一方面是共享个人信息的结果，共享经济快速发展，富含丰富利益的个人信息迅速成为共享的对象之一。虽然社会分工、信息共享的产生可以降低个人信息处理者的信息处理成本、满足不同主体间相互协作的需求，但数个信息处理者的共同参与也加剧了个人信息主体与个人信息处理者在信息水平、技术能力方面的不平等，加剧了个人信息收集的隐蔽性与流转的复杂性。因欠缺信息控制、转移等方面的知识和技能，个人信息主体通常只能证明个人信息处理者具有实施加害行为的机会和能力[[]刘海安.个人信息泄露因果关系的证明责任——评庞某某与东航、趣拿公司人格权纠纷案[J].交大法学,2019(01):191.

]，查明数个不同的个人信息处理者究竟是谁实施了侵权行为的可能性极小，因果关系的证明面临巨大困难，而且最终需要自己承担无法辨别真正加害人所产生的不利后果，这对处于天然劣势的个人信息主体极不公平。

“庞理鹏诉北京趣拿信息技术有限公司、中国东方航空股份有限公司案”（以下简称“庞理鹏诉趣拿、东航案”）是数个不同的个人信息处理者参与同一个人信息处理的典型案例[[]北京市高级人民法院（2017）京民申3835号民事裁定书。

]，该案中庞理鹏在“去哪儿网”上购买东航的机票后发生了个人信息泄露，随后其收到航班取消的诈骗信息。遭受个人信息侵害的庞理鹏寻求救济，然而其只知道“去哪儿网”与东航之间会就有关机票订购的信息进行共享，至于他的个人信息是如何在东航和“去哪儿网”之间于何时以何种方式进行传输，除了这两个主体之外是不是还有其他主体能够接触到该信息，以及到底是谁泄露了他的个人信息均无从得知。最终一审法院以庞理鹏不能提出证据证明二被告与个人信息泄露之间存在因果关系，驳回了其要求被告“去哪儿网”和东航承担连带侵权责任的诉讼请求。

目前民事立法欠缺因果关系推定规则对个人信息主体提供救济。虽然共同危险行为制度可以在特定条件下推定因果关系成立，减轻受害人的举证难度，解决因果关系等要件事实不确定带来的不公平现象[[]《中华人民共和国民法典》第一千一百七十条：二人以上实施危及他人人身、财产安全的行为，其中一人或者数人的行为造成他人损害，能够确定具体侵权人的，由侵权人承担责任；不能确定具体侵权人的，行为人承担连带责任。

]，但适用于多个个人信息处理者的案件存在一定障碍。首先，适用共同危险行为制度需要受害人证明二人以上实施危及其人身、财产安全的行为，但个人信息主体无法具体证明单个个人信息处理者是否实施了危及他人人身财产安全行为，更无法满足“二人以上”的要求，通过共同危险行为制度推定因果关系存在具有明显困难。其次，共同危险制度的适用要件是各行为主体均实施特定危险行为，虽然个人信息的处理势必会给个人信息主体带来风险，但这种风险是一种抽象的风险，是由于当前信息安全技术的限制而难以完全避免的风险。故个人信息主体只能证明数个个人信息处理者曾经处理其个人信息，无法证明究竟是谁实施了具体行为，无法通过适用共同危险制度推定因果关系存在，进而解决因事实不确定带来的不公平现象。

“庞理鹏诉趣拿、东航案”较为幸运，该案的二审法院基于生活经验推定因果关系存在，绕开了因果关系的证明难题，认为东航和“去哪儿网”存在泄露庞理鹏个人隐私信息的高度可能性，改判支持了庞理鹏的诉讼请求。虽然此案中的庞理鹏获得了救济，但是由于缺少明确的因果关系推定规则，司法实践中还有大量个人信息主体因难以证明存在因果关系，无法得到有效救济[[]相关案例有：（2019）京民申3070号、（2016）苏0102民初1123号、（2016）闽06民终1050号、（2014）郴北民二初字第947号等。

]。

综上，存在数个信息处理者的案件中因果关系的举证困难是一种客观的现实存在，没有因果关系推定规则，仅依靠在个案利用生活经验进行司法推定不能根本解决问题，个人信息主体无法辨别真正加害人、难以证明因果关系而无法获得救济的不公平现象还会继续出现。

赔偿救济不充足

目前个人信息民事立法未规定侵害个人信息案件可适用惩罚性赔偿，遭受侵害的个人信息主体可依据《民法典》、《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》等法律请求个人信息处理者承担财产损失赔偿责任，如造成严重精神损害，还可请求承担精神损害赔偿责任，但无论是精神损害赔偿还是财产损失赔偿均不能够弥补个人信息主体的损失。

财产损失赔偿数额低

《民法典》明确了财产损失赔偿额的三种标准，即“实际损失”“侵权人获利”“法院酌定”，具体而言，损失赔偿额一般参照个人信息主体的全部损失确定，如损失难以确定，则比照侵权行为人实际获利确定，若两者均不能确定则由双方协商，协商不成的由法院根据实际情况确定赔偿额。首先，财产