个人信息保护的困境

为保护个人在网络时代的基本权利，我国《刑法修正案（七）》、2011年修订的《居民身份证法》和2013年修订的《消费者权益保护法》，构筑了包括民事责任、行政责任和刑事责任三位一体的个人信息保护法律框架。但是，我们不得不面临这样一个尴尬事实：刑事责任和行政责任不断强化，个人信息安全的环境却不断恶化。究其原因，主要是民事保护手段特别是损害赔偿责任未能发挥其应有的作用。

首先，损害赔偿数额难以计算。《居民身份证法》和《全国人大常委会关于加强网络信息保护的决定》规定个人信息受到侵害后，权利人可以请求损害赔偿，^[2]但未明确损害赔偿的性质（精神损害赔偿还是财产损害赔偿）及赔偿数额。德国司法实践采用实际损害赔偿的方式，^[3]但在侵害个人信息控制权案件中权利人证明和计算实际损害的难度非常大。法律不仅仅是解决问题的一套制度安排，而且是一套据以决定行动的行为准则，不仅影响法律主体的交易、经营、社交等行为，也影响受害人是否请求公力救济的决定。依照实际损害计算赔偿数额，权利人获得赔偿的几率很小，这势必影响权利人维权的积极性。

其次，举证责任制度不利于网民维权。网络环境下，信息收集主体众多，且诸多收集行为是在网民不知情的情况下进行。信息被他人收集后，权利人失去了对信息的物理控制。个人信息被侵害后，权利人难以确定信息泄露源和恰当的诉讼对象，^[4]受害人败诉的几率很大。损害及因果关系举证上的困难足以让多数受害者望而却步：依照现行民事诉讼“谁主张，谁举证”的原则，网民很难证明侵权主体是谁。即使能够确定侵权人，也难以证明具体的侵权行为（出卖、过失泄露等）以及损害事实与个人信息滥用行为存在因果关系。现行的举证责任规则成为网民通过诉讼手段维权的“拦路虎”，国内至今未有受害人通过诉讼手段获得赔偿的公开案例。

最后，缺乏集体诉讼机制。在个人权利意识较强的欧洲，因个人信息受到侵害而提起诉讼的案件也很少，一个主要原因是个人似乎不愿投入足够的时间和精力来维护自己的信息隐私权。^[5]个人维权不仅要面临上述损害赔偿额难以计算、举证不能的风险，诉讼程序的旷日持久更使得“远水解不了近渴”，受害人难以及时获得救济。可以预见，如果网民的个人信息被非法利用后没有造成其他人身或财产损失，即使胜诉，权利人获得的赔偿也会远远小于其耗费的时间和金钱成本。基于上述因素考虑，权利人单独起诉的可能性很小，最终只能求助于集体诉讼。而我国民事诉讼实践在法律没有明确规定的前提下，法院不受理集体诉讼，这又成为个人信息维权的制度障碍。

个人信息控制权为私权已被学界认可。既然个人信息控制权是一种私权，那么在权利遭受侵害的情况下，应当首先通过民事责任的方式对权利人进行保护。^[6]但现行立法中无论是实体法还是程序法，均无法满足网民维权的需要。为调动网民维护自身权益的积极性，应在厘清个人信息控制权性质的基础上，“扫清”网民通过诉讼手段维权的实体法和程序法障碍。