民法典來了|程嘯:《民法典》與個人信息權益保護

11月6日下午，海澱法院「丹稜論壇•專家委員解讀《民法典》」系列活動第七場講座在院本部三層大法庭舉行。

本場活動由清華大學法學院副院長、教授、博士生導師程嘯以「民法典與個人信息權益保護」為題舉行講座。活動採取「線下+線上」形式，海澱法院在院黨組成員、院領導，各審判部門中層正職、負責人、副職及部門代表現場參加，部分人大代表、政協委員、解放軍總直屬軍事法院及解放軍直屬軍事法院部分法官同步在線觀看，北京市各級法院部分幹警、海澱法院全院員額法官、法官助理及部分專家委員會委員一千餘人通過「小魚易連」APP在線聽課。活動由海澱法院黨組成員、副院長張弓主持。

首先，海澱法院黨組書記、院長邵明豔為主講人程嘯教授頒發專家諮詢委員會委員聘書。

講座環節，程嘯教授結合海澱法院一線審判人員提供的真實判例及實務問題，分別從個人信息保護的意義、我國個人信息保護法律的發展、個人信息的界定與類型、個人信息權益的性質、個人信息權益的內容、個人信息的處理規則、個人信息的合理使用以及侵害個人信息權益的民事責任八個方面進行解讀，並結合《個人信息保護法（草案）》《網絡安全法》《數據安全法（草案）》《一般數據保護條例（GDPR）》等國內外相關法律法規，詳細探討了私密、敏感、公開的個人信息界定標準、權益內容、處理規則、法律適用、歸責原則等重點內容。

一、個人信息保護的意義

在進入現代網絡信息社會之前，自然人的姓名、身份證號碼、電話號碼、家庭住址、肖像、財產信息、病歷資料等個人信息，就已經存在，並被政府、企業等主體收集、保管、分析和使用。但是，此前，網絡信息社會中的個人信息不僅類型相對簡單、產生的渠道有限，而且收集處理的手段和方法也較為單一。因此，通過姓名權、名譽權、隱私權、肖像權等傳統的人格權就足以適應對之加以保護的需要。例如，未經同意公開或披露自然人的隱私信息(如病歷資料、銀行存款信息等)的，構成對隱私權或名譽權的侵害；擅自使用他人姓名的行為是侵害姓名權的行為；未經同意製作他人的肖像，構成侵害肖像權。

隨著信息網絡科技尤其是大數據與人工智慧的發展，個人信息的產生、收集、存儲和利用等方面發生了巨大的變化。

1．個人信息的種類越來越多。

一方面，除了傳統的那些能夠直接識別特定自然人的信息，如姓名、身份證號碼、家庭地址、電話號碼等，還有一些雖然本身不足以識別特定自然人但與其他信息結合後就能識別出特定自然人的信息，如愛好、習慣、興趣、性別、年齡、職業等，如果被匯聚組合後能夠識別特定人的身份，也可能成為個人信息。

另一方面，現代科技的發展也促使了各種新型個人信息的產生，如通信記錄和內容、個人生物識別信息、網絡交易信息、上網瀏覽痕跡、網絡社交媒體留言、行蹤軌跡等。在進入網絡信息社會前，這些信息要麼根本不存在，要麼即使存在也無法被收集和處理。但是，在現代社會因網絡科技的發展，這些信息可以很容易地通過數據收集技術或無處不在的智能設備加以收集和保存。由此也導致了個人信息的範圍越來越廣，甚至在許多情況下，連界定哪些信息屬於個人信息都存在困難。

2．個人信息的處理方式越來越多。

進入信息社會之前，個人信息的收集方式多是由自然人主動填報並提交，政府、企業等主體收集後手工記載在紙質文檔或錄入電子檔案中加以存儲，不僅信息收集的效率、數量和範圍有限，且因缺乏算法技術和足夠的算力，也難以對其進行分析利用。然而，現代網絡信息技術已將現代社會生活高度數位化(或數據化)，數據收集技術和各種傳感器可以自動地收集與存儲個人信息。這種個人信息被大規模、自動化地收集和存儲、使用的情形變得越來越普遍，幾乎無處不在、無時不在。一方面，如果不處理個人信息，則現代社會中的自然人幾乎難以在網絡科技高度發展的今天正常生活下去；另一方面，究竟是誰在收集其個人信息，如何處理、基於何種目的處理其個人信息，自然人對此難以知悉和加以掌控。

3.個人信息的處理帶來了巨大的風險。

大數據與人工智慧技術的發展使得對海量數據的分析與使用變得非常簡單，個人信息被濫用的可能性被極大地增加。現代社會中的個人信息處理產生各種巨大的風險，如海量的個人信息因保管不善被洩露甚至被非法出售或利用，進而出現犯罪分子利用非法取得的個人信息對受害人進行精準詐騙，甚至實施侵害生命健康權等其他違法犯罪行為的問題。例如，我國發生的「大學生徐玉玉因信息洩露而被騙學費引發急病發作死亡」、「清華大學教師被電信詐騙1700多萬元」等。

再如，2018年在浙江省寧波市發生的，民警詹某擅自利用公安信息系統幫人查住址，導致女子趙某被前男友況某找上門並殺死在暫住地內。詹某後被法院以侵犯公民個人信息罪判處有期徒刑1年3個月，緩刑1年6個月。

2018年，公安部、最高人民檢察院督辦了數據堂公司特大侵犯個人信息專案，根據公安部門的偵查，數據堂公司在8個月時間內，日均傳輸公民個人信息1.3億餘條，累計傳輸數據壓縮後約為4000GB左右，公民個人信息達數百億條，數據量特別巨大。

德國學者Winfried歸納了10種法律應當規範的數據處理的風險類型：

(1)使個人更容易遭受犯罪侵害；

(2)對公眾形象的羞辱和損害；

(3)造成選擇性目標損害(歧視與羞辱)；

(4)信息永久性：信息的永久存儲以及獲得和檢索的可能能夠不斷重建個體行為，從而減少集體社交遺忘的機會；

(5)去情境化的風險；

(6)信息產生階段的風險：自動從各種來源獲得新知識的可能性產生了新的危險，例如使用數據分析方法所獲得的個人信息；

(7)信息的不準確，即非結構化的數據源、不受控制和不透明的處理程序和數據偽造產生的數據質量差的風險，而數據質量差又會引起不同的風險；

(8)把人僅僅當作物體來對待：特別是通過完全自動化的個人決定將產生把人降格為物體的危險；

(9)他律，即對個人行為的操縱既可以在微觀上對人類的行為自由產生的消極影響，也可以在宏觀上對政治進程產生消極的影響；

(10)對合理的保密期望的落實感到失望。

正因如此，各國都高度重視個人信息的保護。以往單純的通過隱私權保護個人信息的做法已經不適應現代網絡信息社會發展的需要。

首先，隱私權保護的是私密信息，而個人信息並非都是私密信息，因此無法全部通過隱私權加以保護；其次，隱私權的保護往往是事後的救濟，即構成侵害隱私權的行為後再追究法律責任，而個人信息的保護需要的是全方位的規範，即從個人信息的收集、存儲、加工、使用、提供、公開等方面進行系統的規範，涉及到公法與私法、國內法與國際法等多個法律領域。再次，個人信息的處理是現代科技發展的必然要求，如果沒有包括個人信息在內的信息的自由流動和共享，網絡信息科技和數字經濟的發展也會受到很大的妨礙。因此，自然人不僅可以自己使用個人信息，還可以許可他人使用自己的信息。而且，為了公共利益也需要允許對個人信息的合理使用。

由此可見，個人信息的保護並非一個單純的禁止他人使用或排除他人侵害的問題，而是需要在自然人的權益保護與信息自由之間進行協調。顯然，這與隱私權主要是禁止他人侵害隱私，不存在對隱私進行使用的規範路徑有所不同。

二、我國個人信息保護法律的發展

我國最早對個人信息收集、利用和保護加以規範的法律是刑法。2005年十屆全國人大常委會第十四次會議通過的《刑法修正案（五）》增設了「竊取、收買、非法提供信用卡信息罪」（第177條之一第2款），這是我國法律上第一個關於侵害公民個人信息犯罪的法律規定。

2009年，十一屆全國人大常委會第七次會議審議通過的《刑法修正案（七）》在《刑法》中新增第253條之一，首次將竊取或以其他方式非法獲取公民個人信息、出售或非法提供公民個人信息的行為情節嚴重的規定為犯罪行為，從而納入刑事打擊的範圍。

2012年，《全國人民代表大會常務委員會關於加強網絡信息保護的決定》首次對網絡服務提供者和其他企業事業單位、國家機關及其工作人員在收集、使用、保管公民個人電子信息中應當遵循的原則、承擔的義務及法律責任作出了較為具體的規定。

2013年，十二屆全國人大常委會第二次會議修訂《消費者權益保護法》時，在原第14條中新增了消費者「享有個人信息依法得到保護的權利」，並在第50條就侵害該權利的民事責任作出了規定，這是我國法律首次從民事權利的角度對個人信息作出的規定。

2017年6月1日起施行的《網絡安全法》於第四章「網絡信息安全」中對個人信息的收集、存儲、保管和使用進行了更全面細緻的規範。

2017年10月1日起施行的《民法總則》第111條規定：「自然人的個人信息受法律保護。任何組織和個人需要獲取他人個人信息的，應當依法取得並確保信息安全，不得非法收集、使用、加工、傳輸他人個人信息，不得非法買賣、提供或者公開他人個人信息。」

2020年5月28日頒布的《民法典》在人格權編的第六章「隱私權和個人信息保護」中對個人信息保護作出了詳細的規定。

2020年6月28日，第十三屆全國人大常委會第二十次會議對《數據安全法（草案）》進行了第一次審議。該法專章規定了「數據安全保護義務」。

2020年10月17日，第十三屆全國人民代表大會常務委員會第二十二次會議修訂了《未成年人保護法》。該法專章規定了「網絡保護」，對信息處理者通過網絡處理未成年人個人信息作出了專門規定。

2020年10月13-17日，第十三屆全國人民代表大會常務委員會第二十二次會議對《個人信息保護法（草案）》進行了第一次審議。

三、個人信息的界定與類型

（一）個人信息的界定

在《民法典》頒布前，我國也有一些法律、司法解釋和技術標準對個人信息進行了界定。例如：

《網絡安全法》第76條第5項規定：「個人信息，是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別自然人個人身份的各種信息，包括但不限於自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等。」

《最高人民法院、最高人民檢察院關於辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》第1條規定：「刑法第二百五十三條之一規定的『公民個人信息』，是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人身份或者反映特定自然人活動情況的各種信息，包括姓名、身份證件號碼、通信通訊聯繫方式、住址、帳號密碼、財產狀況、行蹤軌跡等。」

《最高人民法院關於審理利用信息網絡侵害人身權益民事糾紛案件適用法律若干問題的規定》第12條規定：「網絡用戶或者網絡服務提供者利用網絡公開自然人基因信息、病歷資料、健康檢查資料、犯罪記錄、家庭住址、私人活動等個人隱私和其他個人信息，造成他人損害，被侵權人請求其承擔侵權責任的，人民法院應予支持。」

《最高人民法院關於人民法院在網際網路公布裁判文書的規定》第10條第1項規定，人民法院在網際網路公布裁判文書時，應當刪除「自然人的家庭住址、通訊方式、身份證號碼、銀行帳號、健康狀況、車牌號碼、動產或不動產權屬證書編號等個人信息。」

《信息安全技術 個人信息安全規範》（GB/T 35273-2020）第3.1條將個人信息界定為：「以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人身份或者反映特定自然人活動情況的各種信息。」

該界定的注釋1中列舉了以下個人信息的具體種類：「包括姓名、出生日期、身份證件號碼、個人生物識別信息、住址、通信通訊聯繫方式、通信記錄和內容、帳號密碼、財產信息、徵信信息、行蹤軌跡、住宿信息、健康生理信息、交易信息等。」

《電信和網際網路用戶個人信息保護規定》第4條規定：「本規定所稱用戶個人信息，是指電信業務經營者和網際網路信息服務提供者在提供服務的過程中收集的用戶姓名、出生日期、身份證件號碼、住址、電話號碼、帳號和密碼等能夠單獨或者與其他信息結合識別用戶的信息以及用戶使用服務的時間、地點等信息。」

《民法典》第1034條規定：「自然人的個人信息受法律保護。個人信息是以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人的各種信息，包括自然人的姓名、出生日期、身份證件號碼、生物識別信息、住址、電話號碼、電子郵箱、健康信息、行蹤信息等。個人信息中的私密信息，適用有關隱私權的規定；沒有規定的，適用有關個人信息保護的規定。」

從這一界定可以看出，個人信息具有以下兩項重要特徵：

1.個人信息是指活著的自然人的信息。

個人信息中的「個人」本身指的就是自然人，不包括法人、非法人組織。個人信息作為自然人的信息，僅僅是指活著即生存著的自然人的個人信息，而不包括已故人士的信息。例如，歐盟《一般數據保護條例》「鑑於條款」的第27條就明確規定：「本條例不適用於已故人士的個人數據。成員國可以對已故人士個人數據的處理進行規定。」

2.個人信息是可以識別特定自然人的信息。

個人信息的核心特徵就在於「可識別性」，即能夠單獨或者與其他信息結合相結合識別特定的自然人。如果某些信息根本無法識別特定的自然人，那麼對於這些信息的收集、存儲、使用、共享等就不會對特定自然人的民事權益造成損害或產生侵害的危險，也沒有必要基於維護自然人的權益的考慮而通過個人信息保護制度對這些信息的處理加以規範。

例如，天氣變化、潮汐情況、地質演變等物理信息；再如，通過採取匿名化技術處理後無法識別特定的自然人且不能復原的信息，如抽樣調查統計數據中僅僅顯示被調查的人數、地域分布、年齡、男女比例等信息，這些信息無法識別出具體的被調查的人是誰，也不屬於個人信息。

《民法典》第1034條第2款將個人信息的可識別性區分兩類，即單獨識別與間接識別。

（1）單獨識別，也稱直接識別，是指僅憑該信息本身就完全可以識別出特定的自然人，在我國最典型的此類個人信息如居民身份證件號碼。我國以往因為戶籍管理中存在的問題，導致居民身份證號碼的重號情況較為普遍，在2009年時全國曾有171萬人的身份證號碼重合，但是公安機關開展戶口清理整頓工作以來，到2017年全國居民身份證重號人數已經減少為8人。

再如，電話號碼在有些國家或地區因為沒有強制要求實名登記，故此，僅僅憑藉手機號碼無法識別出特定自然人。但是，我國法律規定電話號碼必須實名登記。《全國人民代表大會常務委員會關於加強網絡信息保護的決定》第6條規定：「網絡服務提供者為用戶辦理網站接入服務，辦理固定電話、行動電話等入網手續，或者為用戶提供信息發布服務，應當在與用戶籤訂協議或者確認提供服務時，要求用戶提供真實身份信息。」《網絡安全法》第24條第1款規定：「網絡運營者為用戶辦理網絡接入、域名註冊服務，辦理固定電話、行動電話等入網手續，或者為用戶提供信息發布、即時通訊等服務，在與用戶籤訂協議或者確認提供服務時，應當要求用戶提供真實身份信息。用戶不提供真實身份信息的，網絡運營者不得為其提供相關服務。」故此，電話號碼這一信息本身就足以識別出特定的自然人。

（2）間接識別，就是指與其他信息結合後能夠識別，即僅憑該信息本身尚無法識別出特定的自然人，但是只要將該信息與其他信息進行結合就可以識別出特定的自然人。例如，僅僅憑藉Cookie收集的網頁瀏覽痕跡信息是無法識別出究竟是誰瀏覽的相應的網頁，但是只要將這些瀏覽痕跡與IP位址信息加以結合，就很容易識別出特定的自然人。識別的可能性會隨著科技的發展而提高，故此，需要考慮識別所需的成本和時間；處理個人信息時可用的技術；處理的目的等因素。總之，凡是可以更快、更容易地識別出一個特定的自然人的信息，就更有可能屬於個人信息。

在「朱燁與北京百度網訊科技有限公司隱私權糾紛案」中，原告在通過被告的搜尋引擎進行了一些關鍵詞檢索，而被告依據這些關鍵詞檢索向原告進行了定向廣告推送，原告認為被告侵害了其隱私權。這種情形就涉及到被告收集和處理的原告的關鍵詞記錄是否屬於原告的個人信息。應當說，單純的關鍵詞檢索記錄是無法識別出特定自然人的，但是，如果和IP位址結合起來尤其是考慮到現在的IP位址多為靜態IP位址，且原告是在自己家中的個人電腦上進行檢索的，因此這些信息結合起來就很容易識別出特定自然人。

（二）個人信息的類型

個人信息的種類很多，《民法典》第1034條第2款只是對個人信息做出了列舉，即：自然人的姓名、出生日期、身份證件號碼、生物識別信息、住址、電話號碼、電子郵箱、健康信息、行蹤信息等。

個人信息有不同的分類。例如，根據是否數據化可以分為數據化的個人信息和非數據化的個人信息。所謂數據化的個人信息就是指以電子形式或者其他非電子形式記錄的個人信息，而非數據化的個人信息就是未被記載在數據載體上的個人信息，如日常生活中人們的語言交流、行動等。

在個人信息分類中，最為重要的分類有三種：

（1）依據個人信息是否屬於隱私權所保護的範疇，可分為私密信息和非私密信息；

（2）依據個人信息對自然人人身財產安全的敏感程度，可將之分為敏感個人信息與非敏感個人信息；

（3）依據個人信息是否已經合法公開，可以分為公開的個人信息與非公開的個人信息。

1.私密信息和非私密信息

這是我國《民法典》採取的分類。在我國以往的法律和司法解釋中，也採取了這一分類方法。

《民法典》第1034條規定：「自然人的個人信息受法律保護。

個人信息是以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人的各種信息，包括自然人的姓名、出生日期、身份證件號碼、生物識別信息、住址、電話號碼、電子郵箱、健康信息、行蹤信息等。

個人信息中的私密信息，適用有關隱私權的規定；沒有規定的，適用有關個人信息保護的規定。」

《民法典》第1033條第5項將沒有法律規定或者未取得權利人明確同意，處理他人的私密信息，作為侵害隱私權的行為。

由此可見，區分私密信息與非私密信息很重要，直接涉及到原告被侵害的權益類型的不同以及適用不同的法律規範。

就私密信息的認定，有些是沒有爭議的，如個人的健康信息、犯罪記錄、財產狀況、性取向等，肯定是屬於私密信息；自然人的姓名、容貌、性別等，肯定不屬於私密信息。尤其是有些個人信息實際上也被其他的人格權所包括，如姓名、容貌、聲音等可以為姓名權、肖像權所保護。但有些存在爭議，如讀書記錄、網頁瀏覽信息、社交關係等等。

由於我國法上對於私密信息和非私密信息採取不同的保護方法，故此不能由權利人單方面決定該信息的分類，而需要結合案件具體情況，從社會公眾的一般認知和價值權衡的角度出發去認定案涉個人信息是否屬於私密信息，核心考慮因素為：

（1）該信息對於維護自然人的人身財產權益、人格尊嚴和人格自由的重要程度；

（2）該信息對於維護社會正常交往、信息自由的重要程度如何；

（3）一般社會公眾對該信息作為私密信息的認知如何。

私密信息和非私密信息的區別在於以下兩大方面：

第一，二者的處理規則不同。

依據《民法典》第1033條第5項，處理他人的私密信息要麼是取得隱私權人的「明確同意」，要麼是依據法律的規定，否則，任何組織或者個人實施的處理他人私密信息的行為都構成侵害隱私權的行為。然而，《民法典》第1035條規定，處理個人信息，要麼是依據法律、行政法規的規定，要麼是得到該自然人或者其監護的「同意」。

由此可見，《民法典》對私密信息和非私密的個人信息處理規則的區別在於：

其一，處理私密信息必須取得權利人的同意，而處理非私密的個人信息可以取得自然人或者其監護人的同意。也就是說，監護人也不能擅自同意他人處理被監護人的私密信息；

其二，處理私密信息必須取得的是權利人的「明確同意」，而處理非私密的個人信息是取得自然人或者其監護人的同意。

「明確同意」與「同意」的涵義是不同的。明確同意，一方面意味著自然人依法作出了同意的意思表示，即處理者應當明示處理私密信息的目的、方式和範圍以及處理的規則，自然人或者其監護人作出了清晰、明確的允許處理的意思表示。另一方面，明確的同意應當是針對該私密信息被處理而單獨作出的意思表示。同意，則不要求必須是單獨的同意，也不要求僅針對被處理的特定個人信息作出的同意，而可以是一種概括性的同意（如通過APP的隱私政策取得對自然人對某些非私密的個人信息處理的同意）。

第二，二者的法律適用不同。

《民法典》第1034條第3款規定：「個人信息中的私密信息，適用有關隱私權的規定；沒有規定的，適用有關個人信息保護的規定。」之所以作此規定，就是因為立法機關充分認識到了隱私權和個人信息保護之間的差異及聯繫。簡單的說，依據該款，作為隱私的私密信息，首先應當適用有關隱私權的規定。所謂「有關隱私權的規定」是一個範圍很廣的概念，不僅包括《民法典》第1032條和第1033條這兩個直接針對隱私權的法律條文，還包括《民法典》中其他可以適用於隱私權的規定，如第991、992，995-997，998、1000條等，還包括其他法律中有關隱私權的規定，如《婦女權益保障法》《未成年人保護法》及有關行政法規的規定如《人類遺傳資源管理條例》和有關司法解釋。因為隱私權對於私密信息的保護的強度和密度更高，力度更大。其次，如果現行法律法規和司法解釋中關於隱私權的規定沒有對私密信息保護作出規定的話，由於私密信息也是個人信息，故此，應當適用有關個人信息保護的規定。

2.敏感的與非敏感的個人信息

敏感的個人信息（personal sensitive information），也被稱為特殊的個人信息。對於何為敏感的個人信息，各國法上有不同的界定。

歐盟《一般數據保護條例》第9條第1款將之界定為「揭示種族或者民族出身，政治觀點、宗教或者哲學信仰，工會成員的個人數據，以及以唯一識別自然人為目的的基因數據、生物特徵數據，健康數據，自然人的性生活或者性取向的數據」。《德國聯邦數據保護法》則界定為「有關個人種族血統、政治觀點、宗教或哲學信仰、工會成員資格、健康狀況或者性生活的信息。」

《個人信息保護法草案（一審稿）》第29條第2款規定：「敏感個人信息是一旦洩露或者非法使用,可能導致個人受到歧視或者人身、財產安全受到嚴重危害的個人信息,包括種族、民族、宗教信仰、個人生物特徵、醫療健康、金融帳戶、個人行蹤等信息」。

《信息安全技術 個人信息安全規範》的界定是「一旦洩露、非法提供或濫用可能危害人身和財產安全，極易導致個人名譽、身心健康受到損害或歧視性待遇等的個人信息。」

該規範認為，個人敏感信息包括身份證件號碼、個人生物識別信息、銀行帳戶、通信記錄和內容、財產信息、徵信信息、行蹤軌跡、住宿信息、健康生理信息、交易信息、14 歲以下（含）兒童的個人信息等。

所謂敏感的個人信息主要是指，那些涉及自然人人格尊嚴、人格自由或者其他重大權益的個人信息，這些個人信息倘若被非法處理，將會對所涉自然人的人格尊嚴、人格自由或者其他重大的人身權益、財產權益造成嚴重的威脅或損害。

依據這一界定，以下個人信息應當歸入敏感的個人信息：（1）種族或民族信息；（2）宗教信仰信息；（3）政治主張信息；（4）生物識別信息；（5）基因信息；（6）醫療健康信息；（7）性生活與性取向信息；（6）儲蓄、證券等金融帳戶信息。

敏感個人信息與非敏感個人信息在處理上的要求不同。主要表現在：

首先，為了更好的保護敏感的個人信息，對於敏感的個人信息的處理不僅要取得自然人的同意而且這種同意必須是明示的、單獨的同意，不能是默示的或者概括的同意。但是，非敏感的個人信息無需如此嚴格。

其次，個人信息處理者對於敏感的個人信息負有更高的注意義務，否則，就會出現因為處理者的安全防護措施不足而造成敏感的個人信息洩露的，則對自然人會造成很大的損害或風險。

敏感的個人信息與作為私密信息的個人信息之間存在交叉的關係，有些個人信息既是私密的個人信息也是敏感的個人信息，如醫療健康信息、性生活與性取向信息；有些個人信息雖然是私密的個人信息，但卻並不是敏感的個人信息，如個人的嗜好、被他人性騷擾的個人信息；有些信息是敏感的個人信息卻未必是私密的個人信息，如種族或民族信息、宗教信仰信息或政治主張信息等。

3.公開的個人信息與非公開的個人信息

公開的個人信息是指已經合法公開的個人信息，至於那些因他人洩露或非法公開的個人信息，雖然客觀上確實處於公開的狀態，但不屬於法律上所謂的公開的個人信息。

依據《民法典》第1036條第2項，合法公開的個人信息包括「該自然人自行公開的或者其他已經合法公開的信息」兩大類型：

其一，自然人自行公開的個人信息，如某教授將自己的辦公室電話、手機號、電子郵箱、通信地址等在自己的個人網頁上加以公開，從而使得這些個人信息進入了公共領域，任何人都可以獲得；

其二，其他已經合法公開的個人信息，這主要包括兩種情形：

一是，依據行政行為而公開的個人信息，即因政府機關履行職責而依法加以公開的個人信息依據國務院頒布的《企業信息公示條例》的規定，企業通過企業信用信息公示系統向工商行政管理部門報送上一年度年度報告，並向社會公示。企業的年度報告中涉及個人信息的內容如「企業為有限責任公司或者股份有限公司的，其股東或者發起人認繳和實繳的出資額、出資時間、出資方式等信息」、「有限責任公司股東股權轉讓等股權變更信息」等。

二是，依據司法行為而公開的個人信息，即因為法院的司法行為而公開法律文書，其中涉及到的應當公開的個人信息。例如，依據《最高人民法院關於人民法院在網際網路公布裁判文書的規定》，人民法院作出的裁判文書除涉及國家秘密、未成年人犯罪等不應公開的情形外，都應當在網際網路上公開。

區分公開的個人信息和非公開的個人信息的最主要的意義在於：處理這些個人信息是否需要得到自然人的同意上的不同。除非法律、行政法規另有規定，對於非公開的個人信息，必須告知且得到自然人或者其監護人的同意。

但是，依據《民法典》第1036條，處理已經合法公開的個人信息，原則上是無需告知並得到自然人同意的，除非「該自然人明確拒絕或者處理該信息侵害其重大利益」，否則該處理行為不構成侵害個人信息的侵權行為。由此可見，即便是已經公開的個人信息也是受到法律保護的，只是在保護的強度和密度上要明顯弱於非公開的個人信息。

四、個人信息權益的性質

（一）個人信息權益屬於民事權益而非公權利

個人信息的核心特點在於識別性，即只有能夠識別特定自然人的信息才屬於個人信息。這一特點決定了，保護個人信息本身不是目的，而是要防止因個人信息的處理而產生的對自然人人身財產權益乃至人格尊嚴、人格自由的侵害的風險。

因此，從作為個人信息主體的自然人這一方來說，其主要的利益是一種防禦性利益，即自然人針對個人信息享有的防止因個人信息被非法處理而致人身財產權益遭受侵害甚至人格尊嚴與人格自由受到侵害或損害的利益。

雖然在保護個人信息問題上需要協調多方利益，包括自然人權益的保護、合理行為自由的維護、公共利益，但不能將自然人個人信息權益的確認與圍繞個人信息的各種利益的協調這兩個問題對立起來。法律上對自然人個人信息權益的確認和保護本身就是對圍繞著個人信息而產生的其他主體的自由或利益邊界的界定。「如果法律規定某人的利益需要給予保護，那麼法律同時也是在規定其他人都需要尊重該利益而不得侵犯它。因此，承認對某一領域的保護必然導致對他人行為自由的限制。確定保護範圍需要權衡雙方的利益：一方面是對利益的全面保護，另一方面是不受限制的自由。」

（二）個人信息權益保護的是自然人的人格利益

我國民法學界主流觀點認為，個人信息涉及到自然人的人格尊嚴和人格自由。因此，無論將自然人對其個人信息界定為權利還是利益，都不影響法律將其確定為自然人的人格權益。主要理由在於：個人信息是能夠識別特定自然人的信息，這種可識別性就體現了人格特徵。

《民法典》雖然沒有規定個人信息權，但《民法典》第990第2款規定：「除前款規定的人格權外，自然人享有基於人身自由、人格尊嚴產生的其他人格權益。」因此，可以將自然人的個人信息權益歸入自然人基於人身自由、人格尊嚴產生的其他人格權益。

值得注意的是，《個人信息保護法草案（一審稿）》明確承認了個人信息權益的概念。一方面，該草案第1條明確規定了個人信息保護法的立法目的是「保護個人信息權益，規範個人信息處理活動，保障個人信息依法有序自由流動，促進個人信息合理利用」。另一方面，其第2條明確規定：「自然人的個人信息受法律保護，任何組織、個人不得侵害自然人的個人信息權益」。

（三）個人信息權益可以涵蓋精神利益和經濟利益

我國民事立法和司法實踐始終堅持的是人格權一元保護模式，即通過人格權制度同時實現對精神利益和經濟利益的保護，無需如美國那樣通過隱私權保護精神利益，通過公開權（商品化權）來保護經濟利益。

《民法典》第1182條：「侵害他人人身權益造成財產損失的，按照被侵權人因此受到的損失或者侵權人因此獲得的利益賠償；被侵權人因此受到的損失以及侵權人因此獲得的利益難以確定，被侵權人和侵權人就賠償數額協商不一致，向人民法院提起訴訟的，由人民法院根據實際情況確定賠償數額。」

第1183條第1款：「侵害自然人人身權益造成嚴重精神損害的，被侵權人有權請求精神損害賠償。」

目前，自然人對其個人信息的經濟利益還很不明顯，主要體現的還是精神利益。

五、個人信息權益的內容

（一）查閱複製權

《民法典》第1037條第1款第1句：「自然人可以依法向信息處理者查閱或者複製其個人信息」，這是對自然人查閱複製個人信息的權利的規定。

《民法典》還特別在第1029條第1句規定了「民事主體可以依法查詢自己的信用評價」。

查閱複製權在某種程度上意味著承認自然人可以通過該權利而取得自己的個人數據，並加以處分。但沒有承認自然人可以請求信息處理者直接將自己的個人數據轉移給其他的信息處理者。

（二）異議更正權

《民法典》第1037條第1款第2句：「發現信息有錯誤的，有權提出異議並請求及時採取更正等必要措施。」

《網絡安全法》第43條也規定，個人發現網絡運營者收集、存儲的其個人信息有錯誤的，有權要求網絡運營者予以更正，網絡運營者應當採取措施予以更正。

《民法典》第1029條規定了民事主體發現信用評價錯誤時，有權提出異議並請求採取更正、刪除等必要措施。不過，此種採取更正刪除的權利是基於名譽權產生的，權利主體不限於自然人，還包括法人、非法人組織

（三）刪除權

《民法典》第1037條第2款規定：「自然人發現信息處理者違反法律、行政法規的規定或者雙方的約定處理其個人信息的，有權請求信息處理者及時刪除。」

1.作為自然人個人信息權益內容的刪除權與網絡侵權中的「通知刪除規則」是不同的。我國《民法典》第1194-1997條對網絡侵權行為作出了規定，其中確立的一項最基本的規則就是所謂「通知刪除規則」。

首先，性質不同。作為自然人的個人信息權益內容即其中一項權能的刪除權，該權利適用於所有的個人信息處理者，無論其是否為網絡服務提供者。但是，《民法典》第1195條規定的刪除則是法律施加給網絡服務提供者預防和制止網絡侵權行為的一項義務，僅適用於網絡服務提供者。

其次，適用條件不同。依據《民法典》第1037條第2款，刪除權的行使要件為「自然人發現信息處理者違反法律、行政法規的規定或者雙方的約定收集、處理其個人信息」，即信息處理者存在違法處理個人信息或違反約定處理個人信息的行為，故此自然人有權行使刪除權。而通知刪除規則是因為有網絡用戶利用網絡服務實施了侵權行為，而權利人通知網絡服務提供者採取刪除等必要措施，網絡服務提供者本身並未直接從事對權利人的侵權行為。

再次，法律後果不同。信息處理者違反《民法典》第1037條第2款的規定拒絕自然人的刪除請求的，則自然人有權依法提起訴訟，請求法院判決處理者履行刪除義務，如果因為沒有及時刪除而造成損害的，有權要求信息處理者承擔賠償責任。然而，網絡服務提供者在接到權利人的通知後沒有及時採取刪除等必要措施的，依據《民法典》第1195條第2款，網路服務提供者要就損害的擴大部分與實施侵權行為的網絡用戶承擔連帶責任。

最後，自然人行使作為個人信息權益的權能的刪除權，不存在因錯誤行使該權利而承擔賠償責任的問題。但是，依據《民法典》第1195條第3款，因錯誤通知造成網絡用戶或者網絡服務提供者損害的，發出通知的權利人應當承擔侵權責任。

值得討論的是，是否應當規定被遺忘權？筆者認為，在我國法上，沒有必要單獨規定被遺忘權，理由在於：

其一，如果網絡上發布的信息涉及侵害自然人的名譽權、隱私權等人格權益時，自然人基於名譽權、隱私權當然有權行使停止侵害、排除妨礙等人格權請求權，要求發布相關信息的網絡用戶刪除該等信息，也有權依據《民法典》第1195條要求網絡服務提供者採取刪除、屏蔽、斷開連結等必要措施。

其二，如果自然人發現信息控制者違反法律、行政法規的規定或者雙方的約定收集、處理其個人信息的，依據《民法典》第1037條第2款有權請求信息控制者及時刪除。這裡面就包括《民法典》第1036條第2項規定的。

應當說，上述兩種情形的刪除權的適用已經涵蓋了全部的自然人有權要刪除個人信息的全部正當情形，除此之外，自然人已無正當的利益要求網絡服務提供者或信息控制者刪除相關個人信息。

其三，如果允許自然人可以沒有任何正當性理由就要求刪除相關信息，勢必會出現歪曲真相，損害公眾的知情權，甚至構成對公眾的欺騙的不良後果。

六、個人信息的處理規則

（一）統一使用「處理」來表述圍繞個人信息展開的所有活動

2012年頒布的《全國人民代表大會常務委員會關於加強網絡信息保護的決定》中使用的就是「收集、使用公民個人電子信息」。《網絡安全法》與《電子商務法》也都延續了「收集、使用」個人信息這樣的表述。《民法典》第1035條第2款：「個人信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開等。」此次，《民法典》借鑑GDPR的規定，用「處理」涵蓋了圍繞著個人信息展開的所有的活動，非常方便。

（二）統一使用「處理者」來指稱從事個人信息處理的主體

在我國《民法典》頒布之前，這些個人信息處理行為的主體的稱謂，各不相同。基本上是由各個法律從自身調整範圍出發分別使用的。

《全國人民代表大會常務委員會關於加強網絡信息保護的決定》採取的是「網絡服務提供者和其他企業事業單位」的表述。

《網絡安全法》則使用了「網絡運營者」的概念（第40條至第43條）。依據該法第76條第3項，所謂網絡運營者，是指網絡的所有者、管理者和網絡服務提供者。

《消費者權益保護法》與《電子商務法》又分別採取了「經營者」、「電子商務平臺經營者」的表述。

《民法典》草案曾先後使用過：個人信息「控制者」、個人信息「持有者」等表述，最後還是借鑑歐盟《一般數據保護條例》統一為「處理者」 （Processor），藉此涵蓋圍繞個人信息開展的各種活動的參與者。由此可知：

（1）沒有區分公務機關和非公務機關適用不同的處理規則，雖然《民法典》第1039條特別對國家機關、承擔行政職能的法定機構及其工作人員的保密義務作出了規定。

（2）沒有區分個人信息的處理者與控制者。

歐盟《一般數據保護條例》區分了二者，並分別將之界定為：「控制者」，是能單獨或聯合決定個人數據的處理目的和方式的自然人、法人、公共機構、代理機構或其他組織。其中個人數據處理的目的和方式由歐盟或其成員國的法律予以規定，控制者或控制者資格的具體標準可以由歐盟或其成員國的法律予以規定；「處理者」，是指為控制者處理個人數據的自然人、法人、公共機構、代理機構或其他組織。

在我國，無論是對個人信息具有控制力的主體，還是受委託而直接從事個人信息的收集、存儲、加工、使用等處理活動的主體，都被作為處理者。二者都應當遵循個人信息處理的規則。

《個人信息保護法草案（一審稿）》第21條至第24條對於共同處理個人信息、委託他人處理信息等情形作出了規定。

（三）個人信息的處理原則

《民法典》第1035條第1款第1句規定：「處理個人信息的，應當遵循合法、正當、必要原則，不得過度處理」。確立了合法、正當與必要等三項原則。這些原則在《全國人民代表大會常務委員會關於加強網絡信息保護的決定》第2條和《網絡安全法》第41條第1款中也有明確的規定。

1．合法原則。所謂合法原則，就是指在對個人信息進行收集、存儲、加工、使用、提供、公開等活動時，行為人應當嚴格按照法律法規的規定，不得違法處理個人信息。

具體而言，合法原則體現在：

首先，除非法律、行政法規另有規定，否則處理個人信息必須得到自然人或其監護人的同意或者符合當事人之間的約定；其次，處理個人信息的方法（如目的、方式、範圍等）符合法律法規規定的，並且不違反雙方的約定。

2．正當原則。所謂正當原則，也稱公正原則，是指處理個人信息的行為必須是符合正當的目的，此種目的的「正當性」或在於信息主體所同意的收集處理個人信息的特定目的，或在於有關國家機關依據法律法規規定履行職責所必要的，或在於是維護公共利益或國家安全所必須的。

任何組織或者個人不能超出特定的目的或者為了不正當的目的去收集個人信息。正當原則也是世界各國個人信息保護立法中所確立的基本原則。例如，歐盟《一般數據保護條例》第5條規定：「為特定的、明確的、合法的目的收集，不符合以上目的不得以一定的方式進一步處理；為公共利益、科學或歷史研究或者統計目的而進一步處理，應符合本條例第89條第1款規定，不應被視為不符合初始目的。」2017年日本《個人信息保護法》第3條規定：「在尊重個人人格的理念下，個人信息應被慎重對待，鑑於此，應當實現個人信息之正當處理。」

3．必要原則。該原則也稱數據最小化或信息最小化原則，是指無論是收集還是處理個人信息，都必須只是收集和處理那些為了滿足個人信息處理目的之必要為限度的個人信息，不能超出這個限度去收集與滿足個人信息處理目的無關的個人信息。從基礎理論上說，個人信息處理中應當遵循的必要原則是比例原則（der Grundsatz der Verhaeltnismaessigkeit）的具體體現。

歐盟《一般數據保護條例》在「鑑於條款」的第39條指出：「個人數據應當充分、相關並且僅限於其處理目的所需的必要數據。這尤其要求確保對個人數據的存儲期限的必要限制。只有在處理目的不能通過其他方式合理實現的情況下，才能進行個人數據處理。為確保個人數據的保存時間不超過必要時間，應由控制者制定時間限制以進行刪除或定期審查。」該條例第5條將必要原則概括為「充分、相關，及以個人數據處理目的之必要為限度進行處理」「準確、必要、及時：以個人數據處理目的為限，應採取一切合理步驟確保不準確的個人數據被及時地處理、刪除或修正。」

國家標準《信息安全技術 個人信息安全規範》第5.2條認為，基於收集個人信息的最小必要這一原則，對個人信息控制者應提出如下要求：

（1）收集的個人信息的類型應與實現產品或服務的業務功能有直接關聯；直接關聯是指沒有上述個人信息的參與，產品或服務的功能無法實現；

（2）自動採集個人信息的頻率應是實現產品或服務的業務功能所必需的最低頻率；

（3）間接獲取個人信息的數量應是實現產品或服務的業務功能所必需的最少數量。

（四）告知同意規則

所謂告知同意規則，也被稱為「知情同意規則」，是指任何組織或個人在處理個人信息時都應當對信息主體即其個人信息被處理的自然人進行告知並取得同意，除非法律另有規定。

由此可見，告知同意規則包含了兩項規則：一是告知規則，二是同意規則。二者緊密聯繫，不可分割。沒有告知，自然人無法就其個人信息被處理作出同意與否的表示；即便告知了，但沒有充分的、清晰的告知，自然人即便作出了同意的表示，該同意也並非是真實有效的同意。反之，雖然告知了且充分、清晰的告知了，可並未取得自然人的同意，對個人信息的處理也是非法的，構成對自然人個人信息權益的侵害。告知同意的規則是世界各國個人信息保護立法中所普遍確立的一項基本規則，該規則被認為奠定了個人信息處理的正當性與和合法性的基礎。

之所以在個人信息保護制度中要以告知同意規則作為基本的規則，原因就在於自然人對其個人信息享有受到法律保護的民事權益，沒有得到自然人的同意而處理其個人信息就是對個人信息權益的侵害行為，具有非法性。自然人針對個人信息享有的民事權益決定了自然人可以處分其個人信息，包括許可他人收集、存儲、使用、加工、提供或公開其個人信息。

《民法典》第1035條第1款規定：「處理個人信息的，應當遵循合法、正當、必要原則，不得過度處理，並符合下列條件：（一）徵得該自然人或者其監護人同意，但是法律、行政法規另有規定的除外；（二）公開處理信息的規則；（三）明示處理信息的目的、方式和範圍；（四）不違反法律、行政法規的規定和雙方的約定。」

1.告知規則

任何組織或個人在進行收集、存儲、使用、加工、提供、公開等個人信息的處理行為時，都應當遵守告知規則，向信息主體即自然人履行告知義務。如果不經過充分合法的告知，則自然人無法作出真實的同意。《民法典》第1035條第1款要求收集、處理自然人的個人信息時必須公開收集、處理信息的規則並明示收集處理信息的目的、方式和範圍。《網絡安全法》第41條第1款和《全國人民代表大會常務委員會關於加強網絡信息保護的決定》第2條也規定，網絡服務提供者和其他企業事業單位收集、使用個人信息，應當公開收集、使用規則，明示收集、使用信息的目的、方式和範圍。

從我國《民法典》第1036條的規定來看，其中第2項和第3項的規定既屬於免於告知義務的例外情形，也屬於無需取得同意的例外情形。具體如下：

首先，當處理者處理的是某一自然人自行公開的或者其他已經合法公開的信息的，則處理者既不需要告知自然人更無須取得該自然人的同意，除非該自然人明確拒絕或者處理該信息侵害其重大利益；其次，為了維護公共利益合理實施的處理個人信息的行為，無需告知。

2.同意規則

（1）適用的情形

首先，個人信息處理者在處理個人信息之前，必須得到個人信息被收集的自然人或者其監護人的同意，除非法律、行政法規另有規定。對此，《民法典》本條第1款第1項有明確的規定。此外，《全國人民代表大會常務委員會關於加強網絡信息保護的決定》第2條和《網絡安全法》第41條也有規定。所謂取得監護人的同意是指，在處理不完全民事行為能力人的個人信息時，處理者應當取得其監護人的同意。為了更好的保護未成年人的健康成長，防止因個人信息的處理而對未成年人的身心健康產生危害或危害的可能，比較法上各國對於兒童的個人信息都採取更嚴格的保護措施。

其次，在自然人的個人信息已經被處理後，如果處理者個人信息的處理的規則或處理個人信息的目的、方式或範圍發生了變更，處理者也要取得自然人或者其監護人的同意。

再次，依據《民法典》第1038條第1款以及《網絡安全法》第42條第1款，如果個人信息處理者要將其處理的個人信息提供給他人的，則除非該信息是經過加工無法識別特定個人且不能復原的，否則需要取得自然人或其監護人的同意。

最後，法律規定的其他需要取得同意的情形。例如，對於個人信息的跨境轉移等處理活動，需要取得自然人或其監護人的同意。

（2）免於同意的情形

在法律有特別規定或者為了維護社會公共利益等情形，處理者可以不經過自然人或者其監護人的同意而處理個人信息，這就是免於同意的例外情形。我國《民法典》等法律規定的例外情形包括：

其一，為了實施新聞報導、輿論監督等行為而合理使用自然人的個人信息，此時無需告知並取得同意（《民法典》第999條）；

其二，處理該自然人自行公開的或者其他已經合法公開的信息，除非該自然人明確拒絕或者處理該信息侵害其重大利益（《民法典》第1037條第2項）。該規定來自於《最高人民法院利用信息網絡侵害人身權司法解釋》第12條第2款。

其三，為維護公共利益或者該自然人合法權益，合理實施的處理個人信息的其他行為（《民法典》第1037條第3項）。

七、個人信息的合理使用

（一）民法典中個人信息合理使用的規範體系

為合理平衡保護個人信息與維護公共利益之間的關係，協調權益保護與行為自由（經濟自由、信息自由等）的關係，我國《民法典》建立了個人信息的合理使用制度，分為三個層次：

第一，總則編的抽象規範，即公平原則、誠信原則、禁止權利濫用原則以及（正當防衛、緊急避險等）免責事由的規定。

第二，人格權編的一般性規範。

《民法典》第998條：「認定行為人承擔侵害除生命權、身體權和健康權外的人格權的民事責任，應當考慮行為人和受害人的職業、影響範圍、過錯程度，以及行為的目的、方式、後果等因素。」

《民法典》第999條：「為公共利益實施新聞報導、輿論監督等行為的，可以合理使用民事主體的姓名、名稱、肖像、個人信息等；使用不合理侵害民事主體人格權的，應當依法承擔民事責任。」

第三，明確處理個人信息的免責事由。

《民法典》第1036條：「處理個人信息，有下列情形之一的，行為人不承擔民事責任：（一）在該自然人或者其監護人同意的範圍內合理實施的行為；（二）合理處理該自然人自行公開的或者其他已經合法公開的信息，但是該自然人明確拒絕或者處理該信息侵害其重大利益的除外；（三）為維護公共利益或者該自然人合法權益，合理實施的其他行為。」

（二）維護公共利益

《民法典》第1036條第3項規定，為維護公共利益而合理實施的個人信息的處理行為，行為人不承擔民事責任。公共利益是很抽象的概念，具有很大的不確定性，因此，由法律來確認或者形成客觀的公共利益成為法治社會的普遍做法。

從《民法典》第132條來看，公共利益可以分為：國家利益與社會公共利益兩類。我國現行法律如《國家安全法》《反間諜法》《國家情報法》《突發事件應對法》《傳染病防治法》《網絡安全法》等，對於國家利益、社會公共利益的涵義也有相應的規定。依據這些法律的規定，可以合理使用個人信息的公共利益分為以下類型。

《個人信息保護法草案（一審稿）》第13條規定了兩類情形：其一，為應對突發公共衛生事件；其二，為公共利益實施新聞報導、輿論監督等行為在合理的範圍內處理個人信息。

（1）國家利益，主要包括國家的安全利益、外交利益、軍事利益以及意識形態利益等，具體又分為國家安全、經濟安全、文化安全與環境安全。例如，《國家情報法》第15條規定：「國家情報工作機構根據工作需要，按照國家有關規定，經過嚴格的批准手續，可以採取技術偵察措施和身份保護措施。」

（2）社會公共利益，也稱社會利益，不同於國家利益。社會利益主要側重於社會這一既與國家緊密聯繫又獨立於國家的自治共同體本身需要的安全利益、經濟利益、文化利益和道德利益。例如，《政府信息公開條例》第15條規定，「涉及商業秘密、個人隱私等公開會對第三方合法權益造成損害的政府信息，行政機關不得公開。但是，第三方同意公開或者行政機關認為不公開會對公共利益造成重大影響的，予以公開。」

（三）維護自然人的合法權益

依據《民法典》第1036條第3項，為了作為個人信息主體的「該自然人合法權益」，可以不經過自然人或其監護人的同意而合理實施個人信息的處理行為，行為人不承擔民事責任。

所謂維護該自然人的合法權益，是指為了維護作為個人信息主體的自然人的人身財產權益。例如，甲突發疾病而生命垂危，急需在掌握其既往病史等個人信息的基礎上進行對應的搶救治療，而又無法取得其本人或近親屬的同意。此外，為了維護自然人之外的其他民事主體的合法權益時，也可以針對該自然人的個人信息實施合理使用行為。此時，可以依據《民法典》第182條規定的緊急避險。《個人信息保護法草案（一審稿）》第13條第4項將之明確為：為應對突發公共衛生事件,或者緊急情況下為保護自然人的生命健康和財產安全所必需。

（四）處理已合法公開的個人信息

依據《民法典》第1036條第2項，合理處理該自然人自行公開的或者其他已經合法公開的信息，即便沒有得到該自然人的同意，行為人也不承擔民事責任，但是該自然人明確拒絕或者處理該信息侵害其重大利益的除外。合法公開的個人信息包括兩大類：

其一，自然人自行公開的個人信息，如某教授將自己的辦公室電話、手機號、電子郵箱、通信地址等在自己的個人網頁上加以公開，從而使得這些個人信息進入了公共領域，任何人都可以獲得；其二，其他已經合法公開的個人信息，這主要包括兩種情形：一是，依據行政行為而公開的個人信息，即因政府機關履行職責而依法加以公開的個人信息，二是，依據司法行為而公開的個人信息，即因為法院的司法行為而公開法律文書。

如果該自然人明確拒絕對已合法公開的個人信息的處理或者處理該信息侵害其重大利益的除外。這就是說，一方面，即便是已經合法公開的個人信息依然受到法律的保護，自然人對這些個人信息並不因其公開而失去控制的權利，其有權決絕他人對這些信息進行處理。

另一方面，由於個人信息的保護對於維護自然人的人格尊嚴和人格自由具有很重要的意義，所以，即便是已經合法公開的個人信息，也不得任意進行處理，如果處理該信息將侵害自然人的重大利益的，也要承擔民事責任。所謂「侵害自然人重大利益」的情形，是指處理將有害於自然人的生命、身體、自由、財產或其他重大利益。

（五）合理實施

即便是符合上述三類情形，處理個人信息的行為也必須是合理實施的行為或合理處理行為。所謂合理實施，實際上就比例原則的要求。

在民法中，比例原則意味著「只有在以下情形當中，個人自由及其私法自治才能受到幹預，即對於維護更高的利益而言這是必要的，且此種幹預既適於實現預期的目標，也是實現該目的的最緩和的方式。」

個人信息合理使用作為基於公共利益等正當理由對自然人個人信息權益的限制，當然要符合比例原則。在個人信息的處理中所謂合理，就意味著無論是收集、加工、使用抑或提供、公開個人信息，都是在服務於法律規定合理使用所希望達到的目的的範圍內且手段和方式也沒有超過為實現該目的而可以採取的最緩和的方式。

如果使用不合理而侵害民事主體人格權的，應當依法承擔民事責任（《民法典》第999條第2句）。

八、侵害個人信息權益的民事責任

（一）侵害個人信息權益的侵權賠償責任的歸責原則

《民法典》沒有對此作出規定，《個人信息保護法草案（一審稿）》採取了過錯推定責任，該草案第65條第3句規定：「個人信息處理者能夠證明自己沒有過錯的,可以減輕或者免除責任。」

從比較法上來看，歐盟的《一般數據保護條例（GDPR）》對侵害個人信息的民事責任採取的是極為嚴格的責任，僅僅證明沒有過錯或者履行了法定的義務等，都不足以免責。該條例第82條第2款規定：「參與處理的任何控制者應當為違反本條例的數據處理所導致的損害負責。任何處理者，僅在其未遵守本條例對於處理者義務的特別規定或採取超出控制者的合法指令或者與控制者的指令相反的處理行為時，應為數據處理導致的損害負責。」該條第3款規定了控制者和處理者的免責事由，即如果能夠證明其無論如何都不應對造成損害的事件負責時（it is not in any way responsible for the event giving rise to the damage），才能免除第2款的責任。顯然這一免責事由比之前的歐盟《數據保護指令》的要求更高了。

德國《聯邦數據保護法》第83條區分自動化數據處理與非自動化數據處理分別規定了無過錯責任與過錯推定。具體來說，對於自動化的數據處理所產生的損害適用無過錯責任，即只要數據控制者處理他人數據的行為違反了《聯邦數據保護法》或其他法律並導致他人損害的，控制人或者其法人就負有損害賠償義務。但是，在非自動化的數據處理的情形下，如果損害並非是由於控制人的過錯所致，則其不負有賠償義務。

我國臺灣地區的「個人資料保護法」區分公務機關與非公務機關的信息侵權行為，分別規定了不同的責任。依據該法第28條，公務機關違反本法規定致個人資料遭不法收集、處理、利用或者其他侵害當事人權利的情形的，但是損害因為天災、事變或者其他不可抗力所致者除外。同法第29條規定，非公務機關違反本法規定致個人資料遭不法收集、處理、利用或者其他侵害當事人權利的情形的，負損害賠償責任，但是可以證明沒有故意或者過失的除外。由此可見，臺灣地區的公務機關與非公務機關侵害個人信息的侵權責任分別適用的是無過錯責任與過錯推定責任。

筆者認為，可以考慮在區分敏感的和非敏感的個人信息的基礎上確定不同的歸責原則。具體而言，對於侵害敏感的個人信息的權益的賠償責任，採取危險責任即無過錯責任，而對於侵害非敏感的個人信息的賠償責任可以採取過錯推定責任。這是因為，敏感的個人信息的處理更嚴格，對於處理者的要求更高，而敏感的個人信息的處理活動從性質上說也屬於一種危險活動，即很容易對自然人的人身財產和人格尊嚴造成損害，故此，應當適用無過錯責任。

（二）侵害個人信息權益的侵權責任的承擔方式

《民法典》第179條第1款規定了十一種民事責任承擔方式，其中，屬於侵權責任承擔方式的有八種，即停止侵害；排除妨礙；消除危險；返還財產；恢復原狀；賠償損失；消除影響、恢復名譽；賠禮道歉。在這種八種民事責任承擔方式中，屬於絕對權保護請求權的是：停止侵害；排除妨礙；消除危險；返還財產。而能夠適用於人身權益保護的是：停止侵害、排除妨礙、消除危險。至於賠償損失；消除影響、恢復名譽；賠禮道歉則屬於損害賠償請求權。

個人信息權益並未被《民法典》規定為具體的人格權，而是在性質上將之作為人格利益。但是，這並不意味著在侵害個人信息時不能要求停止侵害、排除妨礙和消除危險。因為，我國《民法典》第1167條規定：「侵權行為危及他人人身、財產安全的，被侵權人有權請求侵權人承擔停止侵害、排除妨礙、消除危險等侵權責任。」該條中的「人身、財產安全」不限於人格權、身份權和物權等絕對權，而包括具有類似法律地位的人格利益和經濟利益。

需要注意的是：其一，《民法典》第995條規定：「人格權受到侵害的，受害人有權依照本法和其他法律的規定請求行為人承擔民事責任。受害人的停止侵害、排除妨礙、消除危險、消除影響、恢復名譽、賠禮道歉請求權，不適用訴訟時效的規定。」該條並非是對人格權請求權的規定，而只是規定這五類請求權不適用訴訟時效。

其二，《民法典》第997條規定：「民事主體有證據證明行為人正在實施或者即將實施侵害其人格權的違法行為，不及時制止將使其合法權益受到難以彌補的損害的，有權依法向人民法院申請採取責令行為人停止有關行為的措施。」這一條是對人格權行為禁令制度的規定，從條文表述上僅限於「侵害人格權」的情形，是否適用於個人信息權益的保護，值得研究。

供稿：海澱法院

整理：王靜姝 韓筱

編輯：郭昕怡 汪希

推薦閱讀

民法典來了｜大咖雲集！海澱法院舉辦《民法典》系列解讀首場講座

2020-07-11

民法典來了｜龍翼飛：民法典婚姻家庭編新規理解與適用

2020-07-11

民法典來了｜高聖平： 民法典擔保新規則的解釋與適用

2020-07-19

民法典來了｜王欣新：《民法典》保證合同規定對破產法適用的影響

2020-07-25

民法典來了｜朱虎：合同編通則的功能和規則發展

2020-08-03

民法典來了｜姚輝：民法典人格權編規則的解釋與適用

2020-08-08

民法典來了｜姚歡慶：民法典侵權責任編司法適用的理念與邏輯

2020-08-23

民法典來了｜申衛星：民法典居住權制度的解釋與適用

2020-09-28

北京市高級人民法院

官方微信

原標題：《民法典來了｜程嘯：《民法典》與個人信息權益保護》

閱讀原文