民法典如何保护个人信息？

　　现代社会中个人信息保护受到高度重视，我国民法典不仅在总则编的“民事权利”章在第一百一十一条对个人信息保护作出了规定，更重要的是在独立成编的“人格权编”中，专章就个人信息保护作出了具体而又详细的规定。详言之：第一，明确了自然人的个人信息权益的性质，将之界定为人格权益；第二，区分私密信息与其他个人信息，明确私密信息的保护中，隐私权保护规则与个人信息保护规则的适用关系；第三，明确了个人信息权益的具体内容，有利于充分实现对自然人的人格尊严和人格自由的保护；第四，明确侵害个人信息的免责事由，有助于很好地实现权益保护与自由维护的协调。

　　我国民法典在个人信息保护上的创新与发展，勾勒出一个完整的个人信息保护框架，必将对个人信息保护制度的完善和发展产生深远影响。

　　民法典第一百一十一条第1句与第一千零三十四条第1款明文规定：“自然人的个人信息受法律保护。”自然人对其个人信息享有的是何种民事权益呢？对此，理论界一直存在很大的争议，有民事权利说与合法利益说（民事利益说）两种不同的看法。在我国民法典编纂过程中，也有学者不断呼吁民法典中应当明确规定“个人信息权”，而不应当仅使用“个人信息保护”这样的表述。不过，民法典没有使用“个人信息权”的表述，根本原因还在于：对于是否规定“个人信息权”的问题，存在很大的争议。部分理论界和实务界的人士和有关部门担心将自然人对个人信息的权益，直接确定为“个人信息权”，会导致自然人对其个人信息享有过于绝对的支配权和控制权，以致影响信息自由流动，不利于网络信息社会和数字经济的发展。这种争议使得立法机关在是否规定个人信息权的问题上，决定采取比较稳健的态度。

　　事实上，自然人对个人信息的权益的名称如何并不重要，重要的是对于该权益的性质、内容和保护方式加以明确，而正是后者决定了这种权益究竟是权利还是利益，如果是权利，究竟是效力多强的权利。因此，从这个角度上，立法者在民法典中回避关于个人信息权益的争议而采取“个人信息保护”的表述，不失为明智之举！

　　虽然民法典没有使用“个人信息权”的表述，但是依然从以下三方面明确了个人信息权益的性质：（1）明确了自然人对其个人信息的权益属于民事权益。民法典调整的是平等主体之间的人身关系和财产关系，无论处理个人信息的是国家机关，还是企业、事业单位，也无论处理个人信息的目的是行政管理、公共服务还是营利目的，信息处理者与自然人都属于平等的民事主体。它们之间的法律关系属于民事权利义务关系，自然人对其个人信息享有的也是民事权益，而非公法上的权利。（2）明确了自然人的个人信息权益属于人格权益。民法典将个人信息保护的具体内容放在人格权编当中，与隐私权在同一章加以规定。故此，自然人对其个人信息享有的民事权益在性质上属于人格权益。（3）民法典人格权编第6章将“隐私权与个人信息保护”作为章名并依次规定，同时还就个人信息中的私密信息优先适用隐私权保护作出了规定，这都表明了我国已经明确区分了隐私权与个人信息。

　　

　　区分了不同类型的个人信息予以相应的规范

　　（一）私密信息与非私密信息及隐私权和个人信息保护的适用关系

　　现代社会是信息社会，要维护自然人的隐私权不受侵害，就必须保护自然人的私密信息不被随意收集、公开或者被滥用。自然人的私密信息的范围十分广泛，凡是自然人不愿意为他人知晓的信息，无论是婚姻信息、财产信息、健康信息、家庭住址、病历资料、犯罪记录、个人人生经历、嗜好、性取向、日记、私人信件以及其他个人不愿公开的信息等，都可以纳入私密信息。至于信息的内容，并非一定都是高尚的、道德所允许的，也包括那些为道德所谴责的、为人所不齿的内容。非私密的个人信息也属于个人信息，可并不是自然人不愿意为他人知晓的信息，这些信息有些已经处于公开状态，有些是自然人愿意且往往必须为他人所知的信息，才能使得自然人更好地参与社会交往活动。

　　在区分私密信息和非私密信息的基础上，民法典第一千零三十四条第3款对隐私权和个人信息保护的关系作出了以下规定：（1）私密信息既受到隐私权保护，也受到个人信息保护规则的保护。（2）个人信息中的私密信息和非私密的处理规则存在区别。其一，在未经权利人同意的情形下，处理私密信息只能依据法律的规定，而处理非私密的个人信息可以依据法律和行政法规的规定。其二，处理私密信息必须取得权利人的同意，而处理非私密的个人信息可以取得自然人或者其监护人的同意。其三，处理私密信息必须取得的是权利人的“明确同意”，而处理非私密的个人信息是取得自然人或者其监护人的同意。所谓明确同意，是指自然人在被告知私密信息将被处理的前提下而作出的清晰、明确的允许处理的意思表示。此外，明确的同意应当是针对该私密信息被处理而单独作出的同意的意思表示。（3）许可他人使用上的不同。隐私本身原则上是不能许可他人使用或商业化利用的。但是自然人完全可以许可他人使用个人信息尤其是非私密信息。

　　（二）公开的个人信息与非公开的个人信息

　　依据民法典第一千零三十六条第2项，合法公开的个人信息包括“该自然人自行公开的或者其他已经合法公开的信息”两大类型：其一，自然人自行公开的个人信息，如某教授将自己的办公室电话、手机号等在网页上公开。其二，其他已经合法公开的个人信息，这主要包括两种情形：一是依据行政行为而公开的个人信息，即因政府机关履行职责而依法加以公开的个人信息；二是依据司法行为而公开的个人信息，即因为法院的司法行为而公开法律文书，其中涉及的应当公开的个人信息。

　　区分公开的和非公开的个人信息的最主要的意义在于，处理这些个人信息是否需要得到自然人的同意上的不同。除非法律、行政法规另有规定，对于非公开的个人信息，必须告知且得到自然人或者其监护人的同意。然而，依据民法典第一千零三十六条第2项，合理处理已经合法公开的个人信息，原则上是无需告知并得到自然人同意的，除非“该自然人明确拒绝或者处理该信息侵害其重大利益”，否则该处理行为不构成侵害个人信息的侵权行为。

　　（三）关于敏感的与非敏感的个人信息的区分问题

　　个人信息中还有另外一个重要的分类：敏感的个人信息与非敏感的个人信息。我国民法典以及网络安全法等法律都没有对敏感的个人信息作出界定，只有一些标准中有相应的规定。虽然民法典没有规定敏感的和非敏感的个人信息，但这并不意味着该分类就是不重要的。因为，民法典主要规定的是个人信息保护中的重大基本的问题，且区分敏感的和非敏感的个人信息主要是体现对个人信息的处理规则上，故此，可以交由个人信息保护法作出规定。

　　所谓敏感的个人信息主要是指，那些涉及自然人人格尊严、人格自由或者其他重大权益的个人信息，这些个人信息倘若被非法处理，将会对所涉自然人的人格尊严、人格自由或者其他重大的人身权益、财产权益造成严重的威胁或损害。依据这一界定，以下个人信息应当归入敏感的个人信息：（1）种族或民族信息；（2）宗教信仰信息；（3）政治主张信息；（4）生物识别信息；（5）基因信息；（6）医疗健康信息；（7）性生活与性取向信息；（8）储蓄、证券等金融账户信息。

　　在个人信息保护法中，敏感个人信息的处理规则，应有别于非敏感个人信息的处理规则。一方面，为了更好地保护敏感的个人信息，对于这些个人信息采取的是原则上禁止处理，除非存在法定的例外情形，例如经过自然人的单独同意，或者为了维护公共利益等。至于非敏感的个人信息，只要遵循告知同意规则即可。另一方面，即使信息处理者根据法律规定处理敏感信息的，也应当承担更严格的注意义务。例如，对于敏感的个人信息的保管，信息处理者负有更高的注意义务，如必须进行风险评估等。

　　

　　界定了自然人个人信息权益的内容

　　自然人对于个人信息享有相应的民事权益，确切地说，就是自然人享有防范因非法处理其个人信息而使自身人身财产权益和人格尊严、人格自由遭受侵害或损害的受法律保护的人格权益。我国民法典信息主体享有以下四项权能：

　　1.许可他人使用个人信息。在信息处理者履行告知同意规则的基础上，自然人享有许可他人使用其个人信息的法律权能。所谓告知同意规则，包含了告知规则与同意规则，二者紧密联系，不可分割。没有告知，自然人无法就其个人信息被处理作出同意与否的表示；即便告知了，但没有充分的、清晰的告知，自然人即便作出了同意的表示，该同意也并非是真实有效的同意。反之，虽然充分、清晰地告知了，可是并未取得自然人的同意，对个人信息的处理也是非法的。

　　有的观点认为，建立在告知同意规则基础上的个人信息保护和治理的框架，是不科学的也是无效的，而且还会阻碍数据的流转和信息的流动。笔者认为，这些观点是片面的。理由如下：首先，告知同意规则具体适用中的困难并不能改变该规则所蕴含的精神实质，即自然人有权决定对自己的个人信息的处理，信息的流动或者利用必须在尊重个人信息权益的前提进行。取消告知同意规则，势必使得自然人对其个人信息完全失去控制力，自然人针对其个人信息的民事权益也不复存在。其次，告知同意规则的重心，不在于用户是否真正了解个人信息处理的目的、方式或范围等，而在于建立了处理个人信息的行为的合法性基础。处理者遵循了告知同意的规则，并不意味着处理者的所有处理行为就一定是合法的，因为处理行为中仍然可能出现各种违法或者违约的情形。但是，如果处理者没有遵循该规则且没有法律或者行政法规的特别规定，则该处理行为一定是非法的。最后，告知同意规则也为个人信息保护机构对监管提供了正当性基础，因为这种监管的目的在于保护广大自然人的个人信息权益，具有充足的正当性。

　　2.查阅和复制个人信息的权利。我国民法典第一千零三十七条第1款第1句明确规定了自然人针对信息处理者享有依法查阅或者复制其个人信息的权利。该权利是自然人个人信息权益的重要组成部分。只不过，查阅和复制个人信息的权利具体的行使程序等，还需要由未来的个人信息保护法等法律法规作出更加细化的规定。其中特别值得注意的是：

　　一方面，关于信息处理者拒绝自然人查阅其个人信息时，自然人可以向法院提起诉讼的问题。一种观点认为，如果允许起诉，可能会造成诉讼爆炸，给法院增加很多工作量。另一种观点认为，查询或者复制个人信息本来就是法律赋予自然人的权利，如果该权利受到侵害却无法得到司法救济，还不如不规定。对此，笔者认为，原则上必须是先向信息控制者提出请求且被无正当理由加以拒绝后，才能提起诉讼，否则容易导致自然人滥用该权利给信息控制者增加负担。

　　另一方面，自然人查阅、复制其个人信息的权利是否包含了个人信息的可携带权，或者是否可以从其中解释出该权利？这个问题在我国民法典编纂之前就已经存在很大的争论。笔者认为，自然人的复制权可以解释出个人信息的可携带权。这是因为，首先，既然自然人有权复制其个人信息，那么，信息处理者应当提供该自然人的个人信息的副本，其形式包括纸质也包括电子的，而电子的个人信息就是个人数据，其应当是结构化的、通用的、机器可读的。其次，自然人虽然同意处理者处理其个人信息，但并不因此丧失对其个人信息的支配。第三，在竞争中，网络企业等数字经济主体当然可以竭尽全力去吸引用户，将其在某个网络企业中的个人数据转移到自己这里来，这种竞争行为当然必须是合法的。如果是不正当竞争，自有反不正当竞争法加以规制。不能因为存在可能有人利用可携带权来进行不正当竞争，就反对这种权利本身。

　　3.针对错误信息提出异议及要求采取更正等必要措施的权利。依据民法典第一千零三十七条第1款第2句，自然人发现信息有错误的,有权提出异议并请求及时采取更正等必要措施。因为一旦个人信息错误而不及时更正，就会对自然人产生不利的影响，例如，基于错误个人信息进行的信用评价或自动化决策，会对自然人的民事权益造成损害。故此，法律上允许自然人在发现个人信息有错误后予以更正。

　　4.删除个人信息的权利。民法典第一千零三十七条第2款规定了删除权行使的具体情形：其一，信息处理者违反法律、行政法规的规定处理其个人信息的；其二，信息处理者违反双方的约定使用其个人信息的。这两种情形可以说涵盖了需要删除个人信息的全部情形。除此之外，是否还有必要规定被遗忘权？笔者认为，在我国法上，没有必要单独规定被遗忘权，理由在于：其一，如果网络上发布的信息涉及侵害自然人的名誉权、隐私权等人格权益时，自然人基于名誉权、隐私权当然有权行使停止侵害、排除妨碍等人格权请求权，要求发布相关信息的网络用户删除该等信息，同时也有权依据民法典第一千一百九十五条要求网络服务提供者采取删除、屏蔽、断开链接等必要措施。其二，如果自然人发现信息控制者违反法律、行政法规的规定或者双方的约定收集、处理其个人信息的，则依据民法典第一千零三十七条第2款有权请求信息控制者及时删除。其三，如果允许自然人可以没有任何正当性理由就要求删除相关信息，势必会出现歪曲真相，损害公众的知情权，甚至构成对公众的欺骗的不良后果。

　　

　　明确了侵害个人信息的免责事由

　　民法典总则编规定的免责事由包括不可抗力、正当防卫、紧急避险。侵权责任编还规定了受害人故意、自甘冒险以及自助行为。这些免责事由也可以适用于侵害个人信息的民事责任。不过，因为正当防卫、紧急避险而侵害个人信息的情形较为少见，比较有可能的是因为不可抗力而导致处理者所储存的个人信息丢失的情形，例如因为地震而导致存储个人信息的设备损坏，此时处理者可以以不可抗力作为免责事由。

　　民法典第一千零三十六条对侵害个人信息的民事责任的免责事由作出了特别的规定，该规定用于违约责任也适用于侵权责任。具体阐述如下：

　　1.在该自然人或者其监护人同意的范围内合理实施的行为。其个人信息被处理的自然人或者其监护人的同意是个人信息处理的合法性基础，如果依法取得自然人或者其监护人的同意且在该同意的范围内实施的个人信息处理行为，属于合法的个人信息处理行为，处理者自然无需承担民事责任。但是，没有取得同意或者虽然取得同意但是超出了同意的范围，如改变了同意的处理目的或处理方式等，依然构成侵害个人信息的违法行为，应当承担民事责任。

　　2.合理处理该自然人自行公开的或者其他已经合法公开的信息，但是该自然人明确拒绝或者处理该信息侵害其重大利益的除外。对于已经合法公开的个人信息，无论是自然人自行公开的还是其他已经合法公开的个人信息，原则上是可以无需告知并取得自然人的同意即能够自由地进行处理，因为这有利于促进信息的流动与利用，对于网络信息社会和数字经济的发展是有利的。

　　3.为维护公共利益或者该自然人合法权益，合理实施的其他行为。所谓维护公共利益包括维护国家利益、社会利益等情形，例如，当大规模疫情或灾难发生时，为了疫情防控和减灾的需要对个人信息进行收集、使用等处理行为。所谓维护该自然人的合法权益，例如，甲突发疾病而生命垂危，急需在掌握其既往病史等个人信息的基础上进行治疗，而又无法取得其本人或近亲属的同意。此时，为了挽救甲的生命，可以实施个人信息处理行为。当然，无论是为了公共利益还是该自然人的合法权益，都必须是合理实施的行为，即不得违反个人信息处理的合法、正当、必要的原则。

　　（本文作者系清华大学法学院副院长、教授、博士生导师）

　　● 责任编辑：王健