《民法总则》中个人信息的界定及保护

路成华



《民法总则》中个人信息的界定及保护

路成华

（华东政法大学，上海 200042）

在《民法总则》就隐私和个人信息分别规定和保护的情况下，可以将个人信息界定为以各种形式存在的、单独或与其他信息结合能够指向特定自然人，且可以为他人所知的非隐私性信息。个人信息作为纳入法律体系保护的利益，承载着人格价值属性。至于所谓的财产价值属性，是体现于信息收集加工者的使用和交换中的，基本上与作为信息主体的个人无关。《民法总则》将个人信息置于人格权益范畴，采取了行为规制而非权利化的保护模式。信息主体对于其个人信息的权益可分为：同意提供个人信息以及信息收集者能否对外再提供、要求修正或更正个人信息、要求信息收集者合理使用、要求信息收集者采取保密或安全措施并于信息泄露、丢失时进行补救等几个方面。

个人信息；界定；利益；保护

随着大数据时代的到来，以及计算机、云计算等互联网科技的不断发展，人们的日常生活、工作和学习等各方面对互联网的依赖日益加深。通过使用智能手机、电脑、WiFi等，人们在网络上留下了浏览记录、购物记录、地址信息、联系方式、通讯记录等海量的个人信息。这些个人信息涉及个人生活的方方面面，能对个人生活造成重大影响[1]。同时，在以互联网+大数据为核心的工业信息化大潮中，企业为实现智能化生产、个性化定制需要掌握海量的个人信息数据，同时与信息收集、加工和传输相关的数据产业得到空前的发展。各种组织或个人通过互联网获取、使用、加工和传输信息的能力也日趋强大。与之相伴生的是，个人信息被非法取得、提供、使用、加工甚至买卖、公开的风险也不断加大，个人信息的滥用、非法传播、贩卖屡见不鲜。从“清华大学教师被骗房贷案”到“徐玉玉案”，通过侵犯个人信息所带来的影响已由最初的“个人生活安宁”扩展到了信息主体的人身和财产安全，甚至酿成严重的后果[2]。

为正面回应大数据时代个人信息保护的迫切需求和民众关切，《民法总则》第111条规定：“自然人的个人信息受法律保护。任何组织或个人需要获取他人个人信息的，应当依法取得并确保信息安全，不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息”。《民法总则》的这一规定，被称为本次立法的最大亮点之一，是“较具时代特征与前瞻性的规定”[3]。但是，对于该条规定中的“个人信息”如何界定，是否明确了“个人信息权”，以及“个人信息”所谓人格和财产属性等问题，仍然存在各种不同的理解和争议。

一、关于民法总则中“个人信息”概念的界定

（一）我国法律对“个人信息”概念的已有规定

一般认为，无论内容和体现形式如何，任何与特定自然人个人有关的所有信息，从广义上讲，都是个人信息。而狭义上的个人信息，则是指对特定个人状况进行描述和介绍的信息，即通常意义上的身份信息。

我国法律中对“个人信息”概念首次较为明确完整的规定，是2016年《网络安全法》第76条，规定“个人信息，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等”，显然是在广义上对个人信息进行的界定。

我国《网络安全法》关于个人信息的定义采取了识别性的标准，符合国际上对个人信息界定的一般标准。《德国联邦个人资料保护法》第2条规定，个人资料指“凡涉及特定或可得特定的自然人的所有属人或属事的个人资料”。欧盟《数据保护指令》第2条规定“个人信息指有关任何的识别或能识别自然人的信息”。2007年，欧盟《数据保护指令》第29条工作组进一步指出，任何人只要有凭特定信息识别特定自然人的可能性，该信息便属于个人信息[1]。

按照《网络安全法》第76条的上述规定，对个人信息可以做出如下理解：

1.个人信息的记录方式具有多样性，包括电子或其他记录方式等。易言之，记录方式并不是构成个人信息的限制条件，即无论何种方式记录的或者体现的信息均可构成个人信息。

2.个人信息是能够单独或者与其他信息结合识别自然人个人身份的各种信息。对此可以理解为，个人信息就是单独或者与其他信息结合而指向特定自然人的信息，即通说所称的具有身份识别性的信息。

我国《网络安全法》对个人信息含义的上述界定，基本上被2017年6月实施的《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》所沿用，其第1条将《刑法》第253条之一规定的“公民个人信息”，解释明确为“以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等”。稍有不同的是，在其概括性表示中将个人信息明确为“识别特定自然人身份或反映特定自然人活动情况的各种信息”，“特定”及“反映特定自然人活动情况”的加入，使表述更为规范明确。而且，笔者认为，该司法解释并未将个人信息局限于特定自然人的“身份信息”和“活动情况”，否则与其后半段列举的“账号密码”、“财产状况”就不兼容了，所以，仍应当理解为指向特定自然人的信息，这是其一。其二，该司法解释关于个人信息的含义表述列举了更多的内容，如“财号密码”、“财产状况”、“行踪轨迹”等，更加全面。

（二）民法总则中“个人信息”与“隐私”概念的界分

《民法总则》在于第111条规定个人信息保护的同时，其第110条还规定了隐私权。隐私的概念在美国法中十分宽泛，其所保护的范围包括个人信息。因此，有学者将美国隐私与个人信息的保护称为“一元制”方式，而将我国《民法总则》分别规定和保护隐私和个人信息的方式称为“二元制”[4]。所以，十分有必要对隐私与个人信息的关系进行梳理，以便于更加明确地认识在《民法总则》对两者分别保护下的个人信息范围。

一般认为，个人隐私包括私生活空间与私生活秘密两个方面。对于隐私与个人信息的关系，王利明教授做了较为详细的分析，他认为，二者的联系是：（A）权利主体都是自然人；（B）都体现了个人对其私生活的自主决定；（C）客体上有交错。二者的主要区分在于：（A）权利属性方面的界分，隐私权主要是一种精神人格权，而信息权则集人格属性与财产属性于一身，隐私权基本上是一种防御性权利，而信息权是主动性权利；（B）权利客体方面的区别：隐私主要是私密性的信息和个人活动，而信息则注重身份识别性，隐私不限于信息形态，还可以是个人活动，个人私生活方式等不需要记载，而信息通常是被记载下来的；（C）权利内容方面的区分在于，隐私权的主要内容是防止不正当地公开，而个人信息则侧重于支配和管理[5]。

但是，个人隐私中的私生活秘密往往会以“信息”的形式存在。因此，一般认为，个人信息与个人隐私之间存在一定的交叉关系。即使如此，李永军教授认为，在《民法总则》对隐私和个人信息采取“二元制”保护的立法模式下，仍有必要将两者进行明确的区分，并提出了自己的区分的“三分法”，即使分为纯粹的个人隐私、隐私性信息、纯粹的个人信息。其中，纯粹的个人隐私，是隐私权保护的主要部分，是指个人生活最私密、直接涉及到个人人格尊严与自由的部分，一旦侵入，直接会造成受害人的损害，特别是精神损害，主要包括空间隐私权与私生活秘密两个方面。隐私性信息，实际上就是隐私与纯粹的个人信息交叉的部分，但其与纯粹个人信息不同的是，它们对于个人的人格尊严“离得较近”，每个人对于这一部分信息的敏感程度，更接近于个人隐私，如医疗信息、财产存款信息等，因而其保护更接近于隐私权保护。至于纯粹的个人信息，李永军教授认为，就是《网络安全法》第76条中所列举的自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等，该等信息距离个人尊严较远，人们对它们的敏感程度远不及隐私和隐私信息[4]。

上述区分方式在于强调隐私的传统定义，并对《网络安全法》第76条中个人信息的定义作限缩解释的同时，特别是加入“个人尊严距离”的衡量标准，的确有助于我们大体厘清个人隐私与个人信息之间的区别，具有借鉴意义。同时，也可以看到，两者之间的交叉部分仍不免存在。对于该等交叉部分，可以借鉴“个人尊严距离”的方法，结合具体案件的情形进行衡量判断。

（三）关于《民法总则》中“个人信息”的初步界定

基于以上论述，笔者认为，在民事法律或民事司法解释对个人信息的含义做出更为明确的规定之前，基于法律规范一致性的要求，对于《民法总则》第111条中个人信息的界定，应当以《网络安全法》第76条和《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第1条的规定为依据，以身份识别性为标准，即单独或与其他信息结合能够指向特定自然人的信息。同时，在《民法总则》对隐私与个人信息进行分别规定和分别保护的情况下，个人信息的范围中应当不包括上述“纯粹的个人隐私”和“隐私性信息”。

因此，《民法总则》第111条所规定的个人信息，是指以各种形式存在的、单独或与其他信息结合能够指向特定自然人，且可以为他人所知的非隐私性信息。

二、个人信息的属性

（一）个人信息的固有属性

作为信息的一种，个人信息自然具有信息的一切属性。而信息的属性，可以从其普遍接受的定义中解析出来。一般认为，信息是指音讯、消息、通讯系统传输和处理的对象，泛指人类社会传播的一切内容。1948年，数学家香农在其《通讯的数学理论》一文中对信息的定义是“信息是用来消除随机不定性的东西”。人通过获得、识别自然界和社会的不同信息来区别不同事物，得以认识和改造世界。在一切通讯和控制系统中，信息是一种普遍联系的形式①。从信息的该等定义中，我们可以大体归纳出信息的三个基本属性：无形性、传播性及社会联系的形式。

就自然人而言，其个人信息自出生即发生，至死亡而仍存，如同人的名誉。自然人是其个人信息的制造者，或者说是触发者。但是，作为社会联系的形式，从某种角度讲，个人信息是自然人与他人互动的产物，所以个人往往并非其个人信息唯一的制造者和知悉者。个人对其自己制造的信息，可以决定是否提供或传播给他人。个人与他人共同制造的信息，一经产生即已为他人所知，如交易信息、联系信息、旅行信息等。因此，自然人对其绝大多数个人信息往往并不具有控制力。

自然人基于自己的意志而对其个人信息的传播或提供，以及提供给谁或传播到什么范围，属于其个人自由范围，法律无需过多干预。法律需要重点规制的是在社会联系与互动中，依法取得他人个人信息的单位和个人的再次对外提供行为（包括传播、公开等，以下统称“再提供行为”），并禁止非法取得他人个人信息的行为。因为，这两种行为均非基于信息主体个人意志而做出，且一般与信息主体意志不符，甚至相悖。

（二）个人信息的人格价值属性

法律之所以将个人信息纳入其调整体系，显然并非基于其所具有的固有属性，而应当是其所承载的价值属性。因为，法律作为一种社会规制仅调整特定的社会关系，如Lawson言，任何法律体系的首要目标皆为保护于人类社会而言具有保护价值的特定事物[6]。而人格利益的承载，基本上是各国将个人信息纳入法律保护范围的基础。

在以宽泛的“隐私权”进行个人信息保护的美国，其主流学术观点认为隐私对个人生活免受打扰、个人秘密免受侵害及公开的权利，应扩及于个人信息的控制与自我决定，这是社会交往中的人的基本权利。即基于社会的普遍价值观念和伦理道德，个人信息生成者应当享有自己个人信息如何被收集、整理、传播、利用等自我决定的权利，这应当属于隐私权保护的内涵。基于信息隐私权的确认，使得美国的隐私权体系从防御性的权利向进取性的权利发展，强调主体对自身信息的支配、控制与决定[6]。可见，个人尊严和人格自由是美国法将隐私权的保护范围扩大至个人信息，进而赋予自然人信息控制权的价值基础。而作为大陆法系代表的德国同样如此，因为在德国，作为影响人格权制度走势的权利，一般人格权是探究个人信息保护基础无法绕开的节点。一般人格权是德国联邦最高法院以判例的形式援引德国基本法而形成的框架性权利，它的突出特点是“不确定性”。由于个人信息外延极广，故而亦具有“不确定性”，因此，将个人信息作为一般人格权客体对之进行保护似无不妥。由此可见，基于个人信息关乎人格尊严，因而应当受到法律的保护，对此无论是大陆法系的人格权说还是英美法系的隐私权说，都并无异议[7]。

我国《民法总则》第111条明确了自然人的个人信息受法律保护。而且不同于其他人身权益简单的列举性规定，第111条还具体规定了“任何组织和个人需要获得他人的个人信息的，应当依法取得并确保信息安全，不得非法收集、使用、加工、传输个人信息，不得非法买卖、提供或者公开个人信息”[3]。而且，《民法总则》将个人信息保护置于人格权益保护的范畴，同样体现了对其所承载的人格价值属性的重视。

（三）个人信息的财产价值属性

有人认为，信息时代赋予了个人信息更丰富的价值内涵，个人信息之上所承载的价值已经不仅仅局限于人格自由和尊严，其在产业发展中具备的商业价值，在社会管理中凸显的公共管理价值等多重价值，都需要立法者予以充分考虑和利益衡量，这些对于不同价值的权衡也必将成为个人信息保护法律体系构建中的理论起点和基础[8]。

不可否认，个人信息越来越多地被收集、整理、加工和使用，从而被纳入商业运行之中，成为众多企业更加精准、有效地向社会提供优质产品和服务的基础，展现出单个信息主体所无法想象的商业价值。但是，能否据此就认为自然人的个人信息就具有了财产价值或财产属性呢？笔者认为，应当从两个层面上进行分析，即区分单个自然人的个人信息与信息收集加工使用者所持有的个人信息。就单个自然人自己的个人信息而言，其本身并不存在所谓的财产价值。因为，首先，如上所述，个人信息是自然人进行社会联系的形式，是与他人进行互动交往的产物，仅仅是自然人对外联系交往的“副产品”。其次，对于可为他人所知的单个自然人的个人信息，无论有多大的数量，都无法从中归纳出多数人的行为规律。反之，个人信息收集加工者只有收集众多不同自然人的信息，并进行统计分析，发现其中规律性的内容，才能发挥指导辅助生产经营决策的作用。如果仅定向收集加工某个特定自然人的信息，除了为此人制作日志和传记外，应该无法产生其他的经济效益上的作用。从信息收集加工者的角度而言，有价值的是基于众多个人的信息和个人的众多信息的收集、统计和分析，所得出的众多个人的共同性或特殊性的规律，以及将其服务或产品向众多个人进行推送的渠道价值。这应当属于个人信息的在商业上的使用价值，而非交换价值。如果信息收集加工者欲通过信息交换获得财产收益，则应当经所涉及信息主体的同意或进行处理使之无法识别特定个人，例如我国《网络信息安全法》第四十二条1款对此的规定。但是，个人信息在经过处理后不再具有“识别性”，就不再构成法律意义上的个人信息了。易言之，信息收集加工者对所收集加工个人信息的交换价值的取得，以信息主体的事先同意为前提。但是，在“去识别化”这一选项存在的情况下，信息收集加工者未必会以一定的代价换取信息主体的同意。因此，单个的信息主体于这样大量的、侧重于加工成果的信息集合交易中，能否取得财产收益，笔者对此持怀疑态度。

基于以上三方面可见，个人信息作为指向特定个人的信息，自然具有信息的无形性、传播性及联系形式的固有属性。同时，作为受法律保护的信息，个人信息突出的特性在于其人格价值属性，至于个人信息的财产价值属性在作为信息主体的层面上几乎不存在，而只是体现于信息收集加工者层面上的使用价值和少量的交换价值因素。个人信息的这些特点和属性，势必影响《民法总则》对个人信息的保护方式。

三、《民法总则》对个人信息的保护方式

（一）个人信息权还是信息行为规制？

关于《民法总则》第111条所规定的个人信息保护方式，可谓是众说纷纭。大体有这样几种观点，一是具体人格权说，认为《民法总则》在新增权利方面较引人瞩目的当属第111条关于个人信息权的规定，这一条款使“个人信息”终于以民事权利的形式被民法加以确认，不仅回应了近年来我国社会关于个人信息保护的期待，更是对公民权利的扩充与尊重，是民法典自身的完善和法治进步的表现[9]。一是框架性人格权说，认为“究个人信息之本质，是一种框架性权利，是类似于一般人格权，而非具体人格权的一种权利。它既为个人信息的保护提供‘兜底’作为，又可作为‘母权’产生具体的个人信息权利。这意味‘个人信息权’的概念只是指称一个以不同强度来保护的价值综合体”[7]。还有学者主张，《民法总则》第111条的规定只是一个保护规则，明确了通过债权责任法的路径来保护个人信息的思路，并没有设立一项新的具有绝对权特征的民事权利[10]。高富平教授则明确指出“《民法总则》虽然宣示个人信息受法律保护，但未明确其法律地位及性质，更未明确确立个人信息权作为一种具体的人格权”②。

从《民法总则》第111条前句的“自然人的个人信息受法律保护”的表述中，的确难以得出设定个人信息权的结论。因为，我国民事法律保护的不仅是权利，还包括各种利益，《侵权责任法》第2条对侵害民事权益应当承担侵权责任的规定，就是一个明显的例证。至于第111条后句对信息主体之外的其他组织或个人在取得、收集、使用、加工等行为的规制，显然与民事权利的内容也存在明显的差异。因此，将第111条的规定理解为确立了个人信息权，有违法条文义。这是其一。其次，如上所述，个人信息具有无形性、传播性，一经为他人所知，信息主体就无法控制和掌握。而且，作为社会联系互动的产物和形式，个人信息的产生恰恰就是为了使一定范围的他人知晓，或者一经产生即为他人所知，甚至与其他组织或个人的信息结合在一起。这些特点都会使权利的设置和界定存在极大的难度。最后，信息时代下各行业产业信息化对信息流动性的迫切需求，也使立法者在能否设置个人信息权方面心存疑虑。因为，整个民法典的编纂过程，就是围绕着被分配的利益或负担、接受分配之人、分配之标准设定权利规则的过程。利益保护可采权利化模式、也可采行为规制模式，前者给予全面的更高强度的保护，后者则限定于一定的范围，保护力度也相对较弱[11]。对利益的保护采取行为规制这种相对较弱的保护方式，实际上也体现了立法者试图寻找信息主体与信息收集使用者之间、信息保护与信息流动之间的平衡。因此，笔者赞同《民法总则》第111条没有设定个人信息权，而仅仅是采取了行为规制的方式进行个人信息保护。

（二）个人信息权益的具体内容

虽然，民法总则没有采取设定民事权利的方式保护个人信息，但是，作为受法律保护的利益，其内容并不单薄，根据相关法律的规定以及对个人信息属性的上述分析，笔者认为，信息主体对其个人信息的民事权益，大体包括以下四个方面：

1.自行决定是否同意提供个人信息以及信息收集者能否对外再提供

最高人民法院《审理旅游纠纷案件适用法律若干问题的规定》第9条、《消费者权益保护法》第29条第1款、《网络安全法》第41条，均明确规定了经营者、网络运营者收集、使用个人信息，需经过信息主体的同意。而且，《网络安全法》第42条进一步明确，未经被收集者即信息主体的同意，网络运营者不得将其收集的个人信息再向他人提供。最高人民法院《关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》第12条，则将经自然人书面同意且在约定范围内公开，作为网络用户或服务提供者公开个人信息侵权责任的除外情形，反向明确了个人信息收集者对外再提供及提供的范围，均需经信息主体的同意。

由于信息的无形性和传播性，信息一经提供便无法收回，接受即能知悉和拥有。因此，信息主体对其个人信息的支配是有限的，信息主体对其个人信息的益显然应当是始于信息源头上的自主决定。同时，无论信息主体独自产生的，还是其与他人互动所产生的个人信息，基于私法自治的原则，该自然人有权决定是否向外提供其个人信息，以及接受其个人信息的主体的范围。因此，决定是否同意提供个人信息，以及信息收集者能否对外再提供，是自然人对其个人信息权益的核心，也是平衡个人信息保护与维持信息流动及收集使用者权益的基点。

2.要求修正或更正个人信息

当个人信息发生变化，或者因为各种原因其所提供的、公开的个人信息存在错误，或者信息接受者、知悉者所了解和使用的个人信息发生错误时，信息主体有权通知信息接受者、知悉者，以及当时公开个人信息的媒介等进行修正。对此，《网络安全法》第43条明确规定，信息主体发现网络运营者收集、存储的其个人信息有错误的，有权要求网络运营者予以更正，网络运营者应当予以更正。

3.要求信息收集者合理使用个人信息

作为社会联系的方式，信息主体对外提供其个人信息是基于一定的目的，或者是为了交往联系，或者是为了便于获取信息收集者提供的相关服务或产品。因此，信息主体有权要求信息收集者合理地、按照事先明确的目的使用个人信息。我国《消费者权益保护法》第29条规定，经营者未经消费者同意或者请求，或者消费者明确表示拒绝的，不得向其发出商业性信息。《网络安全法》第41条确定网络运营者应当按照信息主体同意的方式和目的使用个人信息，以及第42条对于网络运营者不得篡改、毁损个人信息的规定等。这此规定显然都是为了维护信息主体在要求信息收集者合理使用个人信息方面的权益。

4.要求信息收集者采取保密或安全措施，并于信息泄露、丢失时进行补救。

最高人民法院《审理旅游纠纷案件适用法律若干问题的规定》第9条、《消费者权益保护法》第29条第2款、《网络安全法》第42条第2款等，都规定了信息收集者对所收集信息的保密或保证安全的责任，以及于发生泄露、丢失时进行补救的法定责任。对此，信息主体在提供其个人信息，以及发现其个人信息被泄露、丢失时，自然可以向信息收集者提出采取相关措施的要求。

此外，根据《民法总则》以及上述相关司法解释和法律的规定，结合我国《侵权责任法》第2条的规定，如果个人信息的上述权益受到侵害，信息主体自然有权要求包括信息收集者在内的侵权人承担相应的侵权责任。

（三）对信息收集、使用、加工、转让传输等行为的规制

《民法总则》第111条除了首句宣示保护自然人个人信息外，其余大部分表述集中在对对信息收集、使用、加工、转让传输等行为的规制上。鉴于该等规制实际上就是信息主体权益内容的反面表述，两者犹如硬币的两面，为避免重复不再就其内容展开论述。但是，笔者认为，就此需要作出以下几个方面的说明：

1.《民法总则》第111条将内容集中于行为规制上的特点，也恰恰显示了对个人信息的保护所采取的是行为规制而非权利化模式。利益保护可采权利化模式、也可采行为规制模式。其中，权利化模式，设定具体权利类型以涵盖相应利益，并将相应利益划归权利人享有，赋予权利人一般性的排他可能性。而行为规制模式则是从他人行为控制的角度，来构建利益空间，通过他人特定行为的控制来维护利益享有者的利益[11]。按照该等权利化和行为规制模式区分的观点，《民法总则》第111条的文义内容恰恰表明其并未规定和设立所谓的“个人信息权”，尽管该条款位于《民法总则》“民事权利”一章之中。

需要说明的是，由于《民法总则》第111条采取的是行为规制模式，对个人信息进行收集、使用、加工、传输等的组织或个人负有遵守该等行为规制的法定义务，其履行并不以信息主体基于自身利益提出要求为前提。

2.《民法总则》是《民法典》的开篇之作，在《民法典》中起统领性作用。《民法总则》规定了民事活动必须遵循的基本原则和一般性规则。《民法总则》既构建了我国民事法律制度的基本框架，也为民法典各分编和民商事特别法律具体规定民事权利提供依据[3]。因此，《民法总则》第111条的规定可以被视为民事法律中个人信息保护的一般条款，对已有法律中保护个人信息的民事性规定，以及将来民法典分编或特别法律中可能制订的保护个人信息的内容，具有统帅指导作用，甚至是其制订的依据。2017年6月的《网络安全法》第64条中“网络运营者、网络产品或者服务的提供者违反本法第二十二条第三款、第四十一条至第四十三条规定，侵害个人信息依法得到保护的权利的，由有关主管部门责令改正，可以根据情节单处或者并处……”，其中“侵害个人信息依法得到保护的权利的”表述，似乎就是这一统帅指导功能的体现。但是，这一表述存在瑕疵，因为个人信息得到保护并不是一项权利，而是信息主体的利益。同时，《民法总则》第111条一般性条款的地位，也表明有必要就个人信息保护制订更为细致和统一的特别法律，以弥补相关已有法律规定的不周全。

3.我国现有的关于个人信息保护的民事法律及司法解释，无论是针对旅游经营者、与消费者相对应的经营者、网络运营者等，所适用的主体范围均有其特定的指向和一定的限制。《民法总则》第111条中“任何组织和个人”的表述，明显扩展了规制信息取得、收集、使用、加工、传输转让等行为的主体范围。对于其他信息行为主体，在其他民事法律和司法解释等没有详细规定的情况下，《民法总则》第111条可以直接进行规制，并作为裁判的依据[3]。

四、结语

在《民法总则》第110条、第111条就隐私和个人信息分别规定和保护的情况下，可以将个人信息界定为以各种形式存在的、单独或与其他信息结合能够指向特定自然人，且可以为他人所知的非隐私性信息。个人信息具有信息所固有无形性、传播性及社会联系方式的属性。作为纳入法律体系保护的利益，个人信息承载着信息主体的人格价值属性，至于所谓的财产价值属性应该是主要体现于信息收集加工者的使用交换上，基本上与单个的特定自然人无关。

《民法总则》对个人信息的保护是将之置于人格权益范畴的，采取了行为规制而非权利化模式。但是，信息主体对于其个人信息的权益可以细分为：决定是否同意提供个人信息以及信息收集者能否对外再提供、要求修正或更正个人信息、要求信息收集者合理使用、要求信息收集者采取保密或安全措施，并于信息泄露、丢失时进行补救等几个方面。而《民法总则》第111条对收集、使用、加工、传输个人信息等行为的规制，与信息主体前述权益相对应。

当然，《民法总则》第111条关于个人信息保护的规定，相当的简单和粗糙，既无权利性规范，也无正向且具体的行为指引，基本上是一个宣示性规定。因此，对于个人信息在民法中的界定、规范和保护，显然还需要投入更多的思考、探讨和努力，以期能够将之进一步地完善和明确。

[注释]

① 参看百度百科“信息词条”，网址：https://baike.baidu.com/item/%E4%BF%A1%E6%81%AF.

② 参看高富平“我国现行个人信息保护立法评估报告”一文，见2017年华东政法大学博士研究生民商法学专题研究课程。

[1] 韩旭至.个人信息权载入民法内刍议[J].武汉理工大学学报(社会科学版),2017(3):137-145.

[2] 郝思洋.个人信息权确立的双重价值—兼评《民法总则》第111条[J].河北法学,2017(10):128-139.

[3] 张鸣起.《中华人民共和国民法总则》的制定[J].中国法学,2017(2):5-24.

[4] 李永军.论《民法总则》中个人隐私与信息的“二元制”保护及请求权基础[J].浙江工商大学学报,2017(3):10-21.

[5] 王利明.论个人信息权的法律保护—以个人信息权与隐私权的界分为中心[J].现代法学,2013(4):62-72.

[6] 杨惟钦.价值维度中的个人信息权属模式考察—以利益属性分析切入[J].法学评论,2016(4):66-75.

[7] 任龙龙.个人信息民法保护的理论基础[J].河北法学,2017(4):181-192.

[8] 张新宝.从隐私到个人信息:利益再衡量的理论与制度安排[J].中国法学,2015(3):38-59.

[9] 郝思洋.个人信息权确立的双重价值—兼评《民法总则》第111条[J].河北法学,2017(10):128-139.

[10] 蓝蓝.个人信息权独立性再探讨—以《民法总则》的颁布为背景[J].昆明理工大学学报(社会科学版),2017(4):20-27.

[11] 叶金强.《民法总则》“民事权利章”的得与失[J].中外法学,2017(3):645-655.

本文推荐专家：

韩松，西北政法大学，教授，研究方向:民商经济法。

焦和平，西北政法大学，副教授，研究方向:民法和知识产权法。

The definition and protection of personal information in general rules of civil law

LU CHENGHUA

In general rules of civil law, personal information can be defined as exist in various forms, alone or combined with other information to point to specific natural person, and not privacy information known to others. As an interest in the protection of legal system, personal information bears the personality value. As to the property value, it is reflected in the use and exchange of the information collection processor, which is basically irrelevant to the individual as the subject of information. Personal information is put in the category of personality rights, and adopted the protection mode of behavior regulation rather than power. Information subject to the rights and interests of their personal information can be divided into: agree to provide personal information, and information collector can be foreign to provide, demands correction, information collection and reasonable use, request information collector confidentiality or security measures and in information disclosure, loss remedy.

personal information; defined; benefit; protection

D913.1

A

1008-472X(2018)01-0052-08

2018-01-15

路成华（1974-），男，山东济宁人，华东政法大学，博士研究生，研究方向：民商法。