黃 江 李 靜

（甘肅政法大學(xué)民商經(jīng)濟(jì)法學(xué)院 甘肅 蘭州 730070）

一、《民法典》規(guī)定的個(gè)人信息保護(hù)規(guī)則與《民法總則》第111 條等相關(guān)法律規(guī)定的比較

（一）《民法典》規(guī)定與《民法總則》第111 條規(guī)定的關(guān)系

《民法總則》第111 條明確規(guī)定自然人的個(gè)人信息受法律保護(hù)。想要獲取他人個(gè)人信息的，應(yīng)當(dāng)依法取得同時(shí)要確保信息安全，任何個(gè)人或者組織均不得非法收集、使用、加工、傳輸、買賣、提供或者公開他人個(gè)人信息[1]。

《民法典》規(guī)定的個(gè)人信息保護(hù)規(guī)則與《民法總則》相比，內(nèi)容更加豐富、細(xì)致、具體。《民法典》第1034 條以列舉和概括的方式明確了個(gè)人信息的定義，在第2 款中明確規(guī)定私密信息屬于個(gè)人信息的一部分，私密信息的保護(hù)同樣可以適用隱私權(quán)規(guī)制。第1035 條規(guī)定了收集、處理自然人個(gè)人信息，應(yīng)當(dāng)遵循合法、正當(dāng)、必要原則，不得過度收集、處理，并且要符合一定的條件。第1036 條規(guī)定了自然人有權(quán)依法查閱、抄錄或者復(fù)制其個(gè)人信息；發(fā)現(xiàn)信息有誤時(shí)有權(quán)提出異議并請(qǐng)求及時(shí)采取更正等必要措施，發(fā)現(xiàn)信息控制者違反法律、行政法規(guī)的規(guī)定或者雙方的約定收集、處理其個(gè)人信息的，有權(quán)請(qǐng)求信息控制者刪除。第1037 條規(guī)定了行為人的免責(zé)事由。第1038 條規(guī)定了信息收集者、控制者負(fù)有不得泄露、篡改和保證信息安全的義務(wù)。第1039 條規(guī)定了國家機(jī)關(guān)及其工作人員在工作過程中掌握的個(gè)人信息負(fù)有保密，不得泄露、非法提供的義務(wù)。

將我國《民法典》規(guī)定的個(gè)人信息保護(hù)規(guī)則與2017 年10 月1 日實(shí)施的《民法總則》第111 條相比，增加的內(nèi)容主要表現(xiàn)在以下幾個(gè)方面：

1.明確了“個(gè)人信息”的定義，同時(shí)規(guī)定個(gè)人信息中的私密信息也適用隱私權(quán)保護(hù)的有關(guān)規(guī)定。

2.對(duì)個(gè)人信息收集、處理規(guī)則的完善?！睹穹倓t》只規(guī)定了個(gè)人信息的收集、處理應(yīng)當(dāng)依照法律的規(guī)定，不得非法收集、處理他人個(gè)人信息，其并未對(duì)應(yīng)該以何種方式收集處理個(gè)人信息，何種收集、處理個(gè)人信息的方式是違反法律予以禁止的作出規(guī)定。《民法典》在該規(guī)則的基礎(chǔ)上增加規(guī)定了正當(dāng)、必要原則，同時(shí)規(guī)定了收集、處理個(gè)人信息的，除法律、行政法規(guī)另有規(guī)定外，還應(yīng)當(dāng)征得信息主或其監(jiān)護(hù)人的同意，并且在收集、處理信息時(shí)需要向信息主體公開收集、處理規(guī)則，同時(shí)還應(yīng)明示收集、處理信息的目的、方式和范圍，并且不得違反法律規(guī)定和雙方的約定。

3.《民法典》規(guī)定了自然人對(duì)其自己的信息有權(quán)依法查閱、抄錄和復(fù)制，當(dāng)發(fā)現(xiàn)個(gè)人信息有誤時(shí)有權(quán)提出異議并且請(qǐng)求更正；在發(fā)現(xiàn)信息控制者違反法律的規(guī)定或者雙方的約定收集、處理個(gè)人信息的，該信息主體有權(quán)請(qǐng)求信息控制者及時(shí)刪除。

4.列舉了收集、處理個(gè)人信息的行為人不承擔(dān)民事責(zé)任的三種情形：一是在征得信息主體或其監(jiān)護(hù)人同意的范圍內(nèi)收集、處理個(gè)人信息；二是除了自然人明確拒絕或者處理該信息侵害其重大利益，收集、處理自然人自行公開的或者其他已經(jīng)合法公開的信息不承擔(dān)責(zé)任；三是為維護(hù)公共利益或者該自然人合法權(quán)益。

5.對(duì)信息收集者、控制者注意義務(wù)和安全保障義務(wù)規(guī)則的完善?！睹穹倓t》第111 條規(guī)定了信息收集者負(fù)有確保信息安全的義務(wù)，《民法典》擴(kuò)展了信息收集者、控制者對(duì)個(gè)人信息負(fù)有的義務(wù)，增加規(guī)定了信息收集者、控制者的特定義務(wù)，更好地保護(hù)了個(gè)人信息的安全。

6. 規(guī)定了國家機(jī)關(guān)及其公職人員的信息安全注意義務(wù)。國家機(jī)關(guān)及其公職人員對(duì)在履行職責(zé)過程中掌握的個(gè)人信息負(fù)有保密、不得非法提供、泄露等義務(wù)。

（二）《民法典》規(guī)定與《網(wǎng)絡(luò)安全法》規(guī)定的關(guān)系

《網(wǎng)絡(luò)安全法》第40 條—45 條規(guī)定了個(gè)人信息保護(hù)的基本法律制度，第76 條明確了個(gè)人信息的含義，確立了網(wǎng)絡(luò)空間領(lǐng)域內(nèi)的個(gè)人信息保護(hù)規(guī)則。充分體現(xiàn)了法律始終秉承維護(hù)公民合法權(quán)利的立法原則，為保護(hù)公民個(gè)人信息奠定了堅(jiān)實(shí)的法律基礎(chǔ)[2]?！睹穹ǖ洹穫€(gè)人信息保護(hù)規(guī)則中的許多規(guī)定是在借鑒《網(wǎng)絡(luò)安全法》中個(gè)人信息保護(hù)規(guī)則基礎(chǔ)上作出的進(jìn)一步修改與完善。兩者有關(guān)個(gè)人信息保護(hù)規(guī)則的規(guī)定基本類似，均對(duì)個(gè)人信息的概念，收集、處理個(gè)人信息應(yīng)遵循的規(guī)則，收集、使用者的安全保障義務(wù)，個(gè)人對(duì)其信息享有的權(quán)利，國家工作人員對(duì)其履行職責(zé)過程中知悉的個(gè)人信息負(fù)有的特定義務(wù)作出了規(guī)定。

（三）《民法典》規(guī)定與《消費(fèi)者權(quán)益保護(hù)法》第29 條規(guī)定的關(guān)系

《消費(fèi)者權(quán)益保護(hù)法》第29 條也是對(duì)個(gè)人信息保護(hù)的規(guī)定，與《民法典》規(guī)定的個(gè)人信息保護(hù)規(guī)則相比，兩者的主要部分基本相同，存在的不同有：一是規(guī)制主體的不同?！断M(fèi)者權(quán)益保護(hù)法》第29 條主要是對(duì)經(jīng)營者在收集、使用個(gè)人信息過程中作出的規(guī)定，而《民法典》的規(guī)定可以適用于一切收集、處理個(gè)人信息的主體。二是采取的補(bǔ)救措施不同?！睹穹ǖ洹芬?guī)定除及時(shí)采取補(bǔ)救措施外，責(zé)任主體還應(yīng)依照規(guī)定告知被收集者并向有關(guān)主管部門報(bào)告；《消費(fèi)者權(quán)益保護(hù)法》第29 條未規(guī)定經(jīng)營者負(fù)有向有關(guān)主管部門報(bào)告的義務(wù)。三是《民法典》規(guī)定了個(gè)人對(duì)其信息享有查閱、抄錄和復(fù)制等權(quán)利，在發(fā)現(xiàn)個(gè)人信息有錯(cuò)誤時(shí)有提出異議、申請(qǐng)更正刪除的權(quán)利，《消費(fèi)者權(quán)益保護(hù)法》第29 條未對(duì)消費(fèi)者享有這些權(quán)利作出規(guī)定。四是《民法典》規(guī)定了信息收集者、控制者在符合法律規(guī)定的情形下收集、處理個(gè)人信息享有豁免權(quán)，《消費(fèi)者權(quán)益保護(hù)法》第29 條對(duì)此未作規(guī)定。

（四）《民法典》規(guī)定與《電子商務(wù)法》第23條—25 條規(guī)定的不同

《電子商務(wù)法》第23 條—25 條是對(duì)電子商務(wù)經(jīng)營者就個(gè)人信息保護(hù)作出的規(guī)定。與《民法典》規(guī)定的個(gè)人信息保護(hù)規(guī)則相比，其對(duì)信息的收集、使用采用的是引致性規(guī)范，如《電子商務(wù)法》第23條的規(guī)定。同時(shí)，在信息主體請(qǐng)求查閱、申請(qǐng)更正、刪除信息方面，兩者規(guī)定有所不同：《電子商務(wù)法》規(guī)定電子商務(wù)經(jīng)營者在收到用戶信息查詢或者更正、刪除的申請(qǐng)時(shí)，應(yīng)該首先核實(shí)其身份。在這里有一個(gè)核實(shí)身份的規(guī)定，這是考慮到電子商務(wù)的虛擬性特征，增加電子商務(wù)經(jīng)營者核實(shí)身份的義務(wù)可以更好地保護(hù)用戶信息?！睹穹ǖ洹穼?duì)查閱、抄錄、復(fù)制、提出異議、采取更正、刪除其個(gè)人信息時(shí)，沒有增加核實(shí)信息主體身份這一環(huán)節(jié)。

二、《民法典》規(guī)定的個(gè)人信息保護(hù)規(guī)則的重大進(jìn)展

《民法典》第1034 條—1039 條規(guī)定個(gè)人信息保護(hù)規(guī)則，經(jīng)過以上與現(xiàn)行相關(guān)法律特別是《民法總則》第111 條的比較，可以看到已經(jīng)形成了相對(duì)比較完善的個(gè)人信息保護(hù)規(guī)范體系，其對(duì)個(gè)人信息保護(hù)規(guī)則的重大進(jìn)展主要體現(xiàn)在以下方面：

（一）對(duì)個(gè)人信息定義的完善

《民法典》通過概括加列舉的方式明確了個(gè)人信息的定義，在《網(wǎng)絡(luò)安全法》個(gè)人信息定義列舉的基礎(chǔ)上明確增加了“電子郵箱”和“行蹤信息”兩類比較常見的關(guān)涉?zhèn)€人信息的種類，這種規(guī)定符合目前國際上相應(yīng)立法如歐盟的《通用數(shù)據(jù)保護(hù)條例》（簡稱GDPR）的趨勢(shì)[3]。

（二）完善了個(gè)人信息收集處理規(guī)則

《民法典》進(jìn)一步明確了收集、處理自然人的個(gè)人信息，除應(yīng)當(dāng)遵循合法、正當(dāng)、必要原則外，還應(yīng)符合以下四個(gè)條件：第一，收集、處理信息前應(yīng)征得信息主體或其監(jiān)護(hù)人的同意，除非法律、行政法規(guī)另有規(guī)定；第二，需要向信息主體公開收集、處理信息的規(guī)則；第三，需要向信息主體明示收集、處理信息的目的、方式和范圍；第四，不能違反法律、行政法規(guī)的規(guī)定和雙方的約定。這些具體化的操作規(guī)則一方面為信息收集者、處理者提供了合法利用個(gè)人信息的標(biāo)準(zhǔn)，另一方面更有助于對(duì)自然人個(gè)人信息的保護(hù)[4]。

（三）增加規(guī)定了自然人對(duì)其信息享有的權(quán)利

《民法典》第1036 條規(guī)定了自然人有權(quán)依法查閱、抄錄、或者復(fù)制其個(gè)人信息，在發(fā)現(xiàn)信息有誤時(shí)，有權(quán)提出異議并請(qǐng)求及時(shí)更正，發(fā)現(xiàn)信息控制者違反法律、行政法規(guī)的規(guī)定或者雙方的約定收集、處理其個(gè)人信息的，有權(quán)請(qǐng)求及時(shí)刪除。該條規(guī)定實(shí)際上是對(duì)自然人個(gè)人作為其信息的主體，享有維護(hù)其個(gè)人信息不受侵犯的權(quán)利。

（四）增加規(guī)定信息收集處理者的責(zé)任豁免情形

《民法典》明確列舉了三種情形下收集、處理自然人個(gè)人信息的行為不承擔(dān)民事責(zé)任，第一，經(jīng)信息主體或其監(jiān)護(hù)人同意的；第二，除自然人明確拒絕或者處理該信息侵害其重大利益，已經(jīng)合法公開的信息；第三，為維護(hù)公共利益或者信息主體本人合法權(quán)益。該規(guī)定為個(gè)人信息利用提供了合法化基礎(chǔ)，有助于實(shí)現(xiàn)個(gè)人信息利用價(jià)值的最大化。

（五）完善了信息收集處理者的安全保護(hù)義務(wù)

《民法典》在《民法總則》否定式列舉的收集、處理個(gè)人信息需要遵守特定的規(guī)則基礎(chǔ)上，修改完善了信息收集者、控制者對(duì)收集的個(gè)人信息負(fù)有特定的安全保護(hù)義務(wù)。同時(shí)規(guī)定了相關(guān)責(zé)任主體負(fù)有及時(shí)采取補(bǔ)救措施、告知被收集者和有關(guān)主管部門的義務(wù)。增加信息收集者、處理者對(duì)個(gè)人信息安全保護(hù)的規(guī)定，尤其是對(duì)告知和報(bào)告義務(wù)的規(guī)定，可以更好地實(shí)現(xiàn)保障個(gè)人信息的目的[5]。

（六）明確規(guī)定國家機(jī)關(guān)及其工作人員的安全保護(hù)義務(wù)

《民法典》明確規(guī)定了國家機(jī)關(guān)及其工作人員對(duì)在工作過程中掌握的自然人信息，應(yīng)當(dāng)保密，不得非法提供、泄露。這條規(guī)定是專門針對(duì)公職人員在履職過程中對(duì)于知悉的個(gè)人信息作出的規(guī)范，明確了國家公職人員作為信息收集、處理主體負(fù)有的義務(wù)，有助于防止個(gè)人信息被國家機(jī)關(guān)及其工作人員濫用。

三、中國個(gè)人信息保護(hù)制度的進(jìn)一步完善

《民法典》人格權(quán)編第六章專門用六條法律條文規(guī)定了個(gè)人信息保護(hù)制度，在《民法總則》第111條規(guī)定的基礎(chǔ)上有了重大進(jìn)展，將使我國的個(gè)人信息保護(hù)規(guī)則形成完善的規(guī)范體系[6]。但遺憾的是《民法典》第1034 條—1039 條對(duì)個(gè)人信息保護(hù)范圍的界定、個(gè)人信息的法律屬性、個(gè)人信息保護(hù)與隱私權(quán)之間的界限、個(gè)人信息侵權(quán)如何救濟(jì)等問題仍然未作出規(guī)定，有待將來《個(gè)人信息保護(hù)法》等法律法規(guī)進(jìn)一步作出更加細(xì)化的規(guī)定。

（一）在比例原則基礎(chǔ)上堅(jiān)持多方利益的動(dòng)態(tài)平衡

隨著經(jīng)濟(jì)社會(huì)的不斷發(fā)展進(jìn)步，個(gè)人信息已不再僅僅體現(xiàn)個(gè)人利益，還同時(shí)負(fù)載了重大社會(huì)公共利益和經(jīng)濟(jì)價(jià)值[7]。尤其是在大數(shù)據(jù)時(shí)代的當(dāng)下，個(gè)人信息的商業(yè)利用價(jià)值已經(jīng)越來越凸顯，整合分析個(gè)人信息并進(jìn)而向終端用戶推薦產(chǎn)品已經(jīng)成為數(shù)據(jù)產(chǎn)業(yè)發(fā)展的重要手段之一[8]。因此，立法在建構(gòu)個(gè)人信息保護(hù)規(guī)則時(shí)，不能僅單單從個(gè)人信息保護(hù)的角度出發(fā)，還應(yīng)同時(shí)考慮信息主體權(quán)利保護(hù)和數(shù)據(jù)產(chǎn)業(yè)發(fā)展之間的協(xié)調(diào)[9]，一方面既要防止個(gè)人信息被非法收集、處理，切實(shí)保護(hù)信息主體依法享有的權(quán)利；另一方面也要兼顧大數(shù)據(jù)時(shí)代的個(gè)人信息利用給人類帶來的福祉與便捷，在個(gè)人信息保護(hù)與利用上尋找最大程度的平衡。

（二）確立個(gè)人信息權(quán)

《民法典》在《民法總則》第111 條的基礎(chǔ)上對(duì)個(gè)人信息保護(hù)作出了比較完善的規(guī)定，例如規(guī)定了收集、處理自然人個(gè)人信息需要遵循一定的規(guī)則，補(bǔ)充規(guī)定了自然人對(duì)其信息享有依法查閱、抄錄或者復(fù)制的權(quán)利，并對(duì)當(dāng)自然人發(fā)現(xiàn)自己的信息有錯(cuò)誤時(shí)，有權(quán)提出異議并請(qǐng)求采取更正措施等作出具體規(guī)定，但遺憾的是，《民法典》依然未對(duì)個(gè)人信息權(quán)益性質(zhì)作出界定，即個(gè)人信息究竟是被作為一項(xiàng)民事權(quán)利來保護(hù)，抑或是被當(dāng)作一種民事利益來保護(hù)[6]。從《民法典》個(gè)人信息保護(hù)規(guī)則的設(shè)置來看，第1035 條—1038 條均賦予了自然人個(gè)人對(duì)其信息享有受法律保護(hù)的權(quán)利。因此，筆者認(rèn)為立法應(yīng)該明確規(guī)定個(gè)人信息權(quán)，通過確立個(gè)人信息權(quán)可以更好地保障《民法典》所賦予的這些權(quán)利。

（三）明確個(gè)人信息保護(hù)與隱私權(quán)保護(hù)的區(qū)分

《民法典》人格權(quán)編第六章將隱私權(quán)和個(gè)人信息保護(hù)放在同一章，雖然法律條文設(shè)置上區(qū)分了隱私和個(gè)人信息是兩種不同利益，但是一定程度上也造成了個(gè)人信息與隱私之間的界限不清晰。筆者認(rèn)為，鑒于個(gè)人信息和隱私的包含關(guān)系，對(duì)侵犯隱私和個(gè)人信息應(yīng)區(qū)別處理，為不同種類的個(gè)人信息提供不同的法律保障，以便為我國個(gè)人信息保護(hù)夯實(shí)法律依據(jù)。

（四）完善個(gè)人信息的侵權(quán)責(zé)任救濟(jì)機(jī)制

《民法典》個(gè)人信息保護(hù)規(guī)則規(guī)定了信息收集者、控制者在信息收集、處理過程中應(yīng)當(dāng)遵循的義務(wù)，例如應(yīng)當(dāng)遵循一定的原則，負(fù)有安全保障義務(wù)以及及時(shí)通知和報(bào)告的義務(wù)，但是對(duì)未履行這些義務(wù)卻沒有規(guī)定責(zé)任規(guī)范，這些細(xì)化的規(guī)則有待將來的《個(gè)人信息保護(hù)法》等法律法規(guī)進(jìn)一步規(guī)定，例如，明確規(guī)定個(gè)人信息民事侵權(quán)行為的類型、個(gè)人信息侵權(quán)的歸責(zé)原則、個(gè)人信息侵權(quán)的損害賠償責(zé)任等，如此方能創(chuàng)建我國完善的個(gè)人信息保護(hù)規(guī)則體系，為大數(shù)據(jù)時(shí)代的個(gè)人信息保護(hù)奠定堅(jiān)實(shí)的法律基礎(chǔ)。