大数据时代，互联网的快速发展带来便民平台的运用的同时，也带来了个人信息的泄露问题，让个人人格利益受到了损害，这无疑是对人们基本权利的一种挑衅。某些“人肉搜索”更是能将人们原先平静的生活被打破，只要在网络上留下足迹，就会被扒出真实的个人信息，因此，个人信息权的保护时代必行^[1]。自2021年1月1日起施行的《中华人民共和国民法典》，将个人信息作为一种民事权益归入人格权编，但从目前的实际情况来看，个人信息保护法还有很多内容需要完善。

一、个人信息泄露的原因

(一)个人信息具有商业价值

信息管理者或者持有者将大量的个人信息汇集在一起进行非法出售。在当代，拥有更多的个人信息资源就意味着拥有巨大的消费潜力，其商业价值非常大。近几年，越来越多的人看重了这一块“灰色领域”，售卖个人信息的问题非常严重^[2]。

(二)企业和机构在收集个人信息存在不足

(1)没有告知用户收集个人信息的用途；(2)收集的个人信息和办理的相关业务没有直接关系；(3)个人在办理业务的时候处于被动地位，详细的单位信息、家庭信息等私密的个人信息的填写是办理业务的前提；(4)没有根据约定来使用收集到的个人信息；(5)机构针对个人信息的保密机制还不是很完善^[3]。

(三)企业没有履行好保护用户个人信息的业务

比如说，电子商务企业将收集到的客户联系方式、家庭住址等信息随意放在员工的电脑桌面，导致被盗的情况。还有医院将患者的个人信息直接放在公共区域的情况。这样保管信息的方式就属于个人信息保管不善的情况^[4]。

(四)个人信息容易被擅自披露

在现实生活中，很多个人信息都有可能是在我们无主动泄露意识状态下透漏出去的，如下载一个APP的时候需要实名认证，买房买车的时候需要填写一系列详细个人信息。如此情况导致了个人信息被占有。而那些掌握了大量个人信息的企业、机构在没有经过客户的同意或是超出客户授权范围的时候，将个人信息作为企业之间沟通和交流的工具，也是导致个人信息容易泄露的主要原因^[5]。

(五)现行的法律制度和理论还不是很完善

在大数据时代，个人信息权利主体是个人，而数据持有者通常是大型公司和政府机构，双方地位不对等，力量悬殊，《民法典》下的保护保护模式是通过限制某行为来对信息主体者进行间接保护，这种权益保护模式无疑会让不对等状态更悬殊^[6]。那些我们在填写申请表时所资源提供的信息，从现行法律的角度上来说已经不属于我们的隐私信息，某些商家或是企业、个人滥用者侵犯了我们的个人隐私的话，能否得到法律的支持处于未知状态，就产生了个人信息经济的灰色产业。当个人信息被大规模使用甚至滥用，加之当前法律的滞后性及不完善，个人信息权益保护难以落实到位。

(六)民众的个人信息保护意识不高

民众对于机构或其他单位需要收集的个人信息、收集的目的等不是很重视，对个人信息的了解进行处理的相关规定有所了解的人还比较少。与此同时，对个人信息泄露情况的监管情况有所欠缺，个人信息的管理者在对个人信息进行管理的时候即便是出现了信息泄露的情况，只要没有发生重大的事故，通常也不需要承担任何法律责任，犯罪成本极低^[7]。

二、《民法典》个人信息权保护现状及存在的问题

(一)《民法典》个人信息权保护的立法现状

《民法典·人格权编》中的个人信息保护规定与隐私权共同作为一个章节，认为个人信息不是独立的权利客体，赋予的是一种权益保护。尽管《民法典》对公民的个人信息及人格权基本权利进行了规定，但是权益保护终究不是权利保护，其存在的不足之处使个人信息保护始终难以落实到位。

(二)《民法典》个人信息权保护现存的问题

1.力度不足

《民法典》中对个人信息保护采用权益保护模式，通过对他人行为的限制来保护权益者的利益，此种保护模式力度仍不足，例如人格权编第一千零三十八条中列明了信息处理者的限制行为，它并没有直接赋予信息权利者自主权，这是一种间接的保障，但作为信息权利者对个人信息拥有自主支配的权利，间接的保障相对于直接的保障权益保护力度相对弱势。个人家庭住址、身份号码、工作单位等信息是个人信息权重要的权利客体，但是又与肖像权、名誉权等不同，它很难列举成具体的人格权来保护，故在《民法典》进行权益的保障而归纳入人格权编之中。对个人信息的保护，仍不能上升到像保护人格权一样的高度。

2.举证责任机制设置不当

举证责任机制在民事诉讼中占有重要地位。在我国，民事诉讼中普遍采用原告证明规则。同时，由于被害人个人信息的特殊性，即使采用上述原则也难以取得良好的效果。另一方面，侵权者通常不是单个个人，而主要是一个收集和盗用公民个人信息的集团组织，这一过程涉及大量成员，甚至两三个或更多的信息交流，这使司法机关难以追究犯罪者的责任，难以确定谁应负责，难以最终为受害者伸张正义，难以一劳永逸地惩罚犯罪者。

3.与人格权分类保护存在冲突

个人信息权和隐私权既重合又有区别，如个人不愿被人知晓的私密信息，《民法典》第1034条第3款将私密信息作了特别保护措施。将隐私权作为独立的权利客体作了权利保护，但个人隐私信息又是个人信息权的一部分，这种分类保护就会产生冲突。《民法典》第1035条，个人信息的收集、处理、转让的同意是一种持续性的同意，不得过度处理，如要处理或改变，需要再次取得权利人或者监护人的同意，但隐私权而言，只有一次性同意公开，可知，此时适用个人信息保护规定比适用隐私权规定有着更强的保护力度。因为存在重叠，私密信息可同时适用隐私权和个人信息保护，但是《民法典》第1034条阻断了同时适用的可能性。

三、《民法典》个人信息权保护的优化路径分析

(一)确定个人信息权保护立法的基本理念

将个人信息明确为独立的权利客体，在《民法典》中，赋予了组织和个人禁止侵害的一般性义务，也包括了特殊主体的义务，但上述义务过于单薄，又不够系统，与人格权存在重叠交叉，缺少了与个人信息主体者权利的相对应关系。

对公民的个人信息进行法律保护，就是尊重公民的人格尊严、维护其合法利益。与此同时，对于社会和国家来说，个人信息是一种非常重要的经济资源，对于促进经济发展有着非常重要的作用，故对个人信息权进行明确的立法保护非常重要。笔者认为，对个人信息权进行优化保护，首先在立法时就要确定好个人信息权保护立法的基本理念，在赋予个人信息权的同时，应当明确个人信息独立的权利客体，系统的安排义务主体的义务，如此才能全面地保障个人信息权。

(二)明确侵害个人信息权的民事责任

想要对个人信息权进行保护，笔者认为最有效最根本的一点就是明确侵犯个人信息权的法律责任，这样才有可能对侵权行为起到一定的震慑作用，明确侵权的责任能够对个人信息权起到良好的保护作用。

1.强化信息自决权

《民法典》第一千零三十五条规定，处理个人信息需要征得本人或其监护人同意，但何种状态下由谁来行使同意权却并没有说明。现实操作中，很多APP往往以格式条款协议的形式向使用主体征求全部同意，如不同意就无法安装，实际上其中只有部分个人信息是使用软件所必备的。因此，《民法典》应当予以细化限制，进一步完善条款，强化信息自决，至少应赋予权利主体全部同意还是分别同意的选择权，来限制此类型全面搜集信息的征得同意行为。由此，商家和个人在签订合同的时候，要在合同中注明个人信息收集的用途和适用范围以及未来可能会使用到的一些情况来进行明确的规定和说明，对于出现违反上述规定的行为，则可以而通过合同上的违约责任制度来让侵权者承担赔偿。

2.侵权责任

我国现在所实行的法律中，针对侵害个人信息权的责任还有很多种，这些责任方式根据实际情况来进行确定和选择，主要分为以下五种：

第一、财产损害赔偿责任。个人信息也属于个人财产的一种，对个人信息造成侵权就会对个人造成财产损失。当个人信息权被侵害，并被当做商业用途的时候，一旦出现对个人的经济利益价值造成减少情况的时候，也可以对其要求赔偿也可以对其要求赔偿，这一点在公众人物的身上表现得非常突出。而在现实生活中，大多数人都不是公众人物，个人信息的商业价值很难进行确定。针对侵犯个人信息权并造成被侵害人财产损失的赔偿机制可以借鉴国外一些比较成熟的惩罚性责任制度，也可以根据在法律条文中明确规定的赔偿标准，由受害人自己来确定赔偿金。

第二、精神损害赔偿责任。精神损害指的是由于个人信息被侵权，导致受害人受到了精神上的刺激，给受害人精神上的安慰。合理的金钱赔偿只是某一个角度的赔偿，这不代表着严格意义上赔偿，因为很多非财产性的损害不能够用金钱这一度量衡来进行计划。但是受害人在收到抚慰金之后，内心的创伤会在一定程度上减少，对于受害人来说，这是一种形式赔偿。与此同时，侵权人在赔偿标准下支付足额的精神损害赔偿金之后，侵权人为自己的违法行为承担了必要的法律责任，受害人在心理上也得到了满足，这是对受害人在精神方面的补偿。在司法实践的过程中，对受害人造成精神损害的赔偿金额一般都比较少，这也是导致个人信息侵权的情况总是发生的主要原因。所以，在规定精神损害赔偿的时候，法律应该要确定一个阶梯精神损害赔偿数额。在正式起诉的过程中，根据受害人的实际情况和实际损失来确定赔偿的金额。

第三、停止侵害。由于目前的侵权行为大多数是通过互联网进行传播的，具有传播速度快和传播范围广的特点。一旦出现侵权行为，如果不立即停止侵害的话，就会对受害人产生更加严重的影响，所以应在现有法律规定上增加立刻停止侵害相关条款。

第四、恢复名誉、消除影响。个人的名誉权、荣誉权、一般人格权等只要涉及到关于社会评价的权利，就应依法享受维护此类社会评价，请求侵权行为人消除影响、恢复名誉的权利。个人信息权作为人格权中的一种，一旦个人信息权受到了侵害，同样可以要求恢复个人名誉，消除消极影响。在现行法律中，需加大对于非法占有个人信息的申请销毁和消除影响以及恢复个人名誉等保障措施的实施。

第五、赔礼道歉。针对那些已经构成个人信息权的侵权行为，判定赔礼道歉的行为，可以交由法院来进行执行，所产生的费用全部由责任人来承担。原则来说，赔礼道歉应该要采取公开的方式进行，但是如果对个人人格尊严或是隐私产生影响在征得被侵害人同意的情况下，也可酌情选择不公开的形式。

3.不当得利请求权

因为个人信息具备一定的商业价值，侵犯个人信息除了会给受害人带去一定的损失之外，还有可能会让侵权人获得不合法的经济收入。比如说，兜售个人信息、向个人信息推销产品和商业广告、擅自使用肖像、姓名或其他隐私信息来谋取商业利益等不法侵权行为都是以获得经济利益为前提。因此，针对个人信息不正确的使用情况，也可以根据受害人的要求来判定侵害人返还所获得的利益。这样不仅可以让侵权人的侵权成本大大增加，还能够对受害人的损失做出客观的对价弥补性赔偿。

五、结论

总而言之，个人信息权在大数据时代中对社会和个人来说都是非常重要的一种信息资源，要坚决杜绝那种为了一己私利将个人信息资源变成一种无道德底线的牟利工具违法侵权行为。从个人信息权法律保护优化路径来看，应该在《民法典》中更加明确信息权利主体的内涵和外延，让个人信息主体拥有自主支配权，并进一步完善人格权请求权，使其与侵权责任有效衔接，从而震慑侵权者，提高其侵权成本，最终达到有力震慑不法行为的目的，使大数据环境更为有序。

参考文献

[1]陆小娟.大数据时代个人信息权的法律保护研究[D].吉林大学,2020.

[2]张永明.大数据时代个人信息权的民法保护[D].安徽财经大学,2020.

[3]余泽浩.大数据时代我国消费者个人信息权的法律保护[D].南昌大学,2019.

[4]陈亚婷.论大数据时代个人信息权的法律保护[D].河北经贸大学,2019.

[5]李增辉.大数据时代个人信息的法律保护[D].湖北大学,2018.

[6]张里安,韩旭至.大数据时代下个人信息权的私法属性[J].法学论坛,2016,31(03):119-129.

[7]陈江.大数据时代下个人信息权的法律保护[D].复旦大学,2014.