基于《民法典》人格权编背景个人信息保护法律制度探析

丁 玎

(河北北方学院 教务处，河北 张家口 075000)

人格权是关系到每个自然人的人格尊严的民事权利，是民事主体享有的最基本和最重要的权利。《中华人民共和国民法典》(下文简称《民法典》)于2020年5月公布，2021年1月1日起开始实施。《民法典》的第四编为“人格权编”，该编从民事法律规范的角度，以相关法律和司法解释为依据，规定了人格权的相关内容与保护方式。人格权独立成编被视为《民法典》相关规定的一大亮点，个人信息保护也相应地成为人格权编中人格权保护的重要内容。基于人格权的法定性，《民法典》在其总则中明确要求任何组织和个人都应当依法获取他人个人信息并确保其信息安全。进入数据化时代，个人信息保护法律制度运行的基石是信息主体使自己的信息不被其他信息控制者违法滥用的权利[1]。《民法典》基于总则的规定基础，又在第四编第六章中对个人信息保护作了详细规定，至此隐私权和个人信息保护的法律框架基本得到构建，这对个人信息权利的民事法律保护具有重要的作用与意义。中国的《民法典》对个人信息权利的保护规定既奠定了个人信息保护的正当性基础，又为个人信息保护法律制度的建立提供了依据[2]。因此，在数字化和信息化快速发展的大背景下，基于《民法典》第四编人格权编对个人信息保护相关规定的指导原则，研究个人信息保护法律制度的建立与完善具有现实意义。

一、个人信息与隐私权界定

现代社会的发展，特别是信息产业的发展建立在信息可以自由流通和自由获取的基础上。只有正确认识和理解个人信息与隐私权的含义，才能达到保护个人信息的目的。

(一)个人信息及其构成要件

厘清个人信息保护概念、特征及其构成要件是完善个人信息保护制度的前提条件。

1.个人信息的概念界定

个人信息的含义建立在人格权的基础上，中国《民法典》人格权概念应该包含新型人格利益和新型人格权，同时与相关的法律规则和制度体系相契合[3]。中国《民法典》将人格权独立成编，并基于社会现实的需要系统地确立了个人信息保护制度[4]。“个人信息”在有些国家也表述为“个人数据”或“个人资料”。从权利内容来看，个人信息是一种积极主动的请求权，不仅包括个人信息不被非法收集、处理和利用，也包括权利主体对其个人信息的积极控制。从比较法的角度来看，中国台湾地区个人信息的含义包括个人资料与个人数据两个概念，欧盟国家个人信息的含义多指个人数据，日本、韩国和俄罗斯等国家个人信息的含义指个人资料。

中国《民法典》将个人信息界定为是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息，并列举了个人信息所包括的自然人的信息范围①。《民法典》将《网络安全法》中规定的“识别自然人个人身份”改为“识别特定自然人”，其中的个人信息保护制度在明确自然人的个人信息权益性质、区分私密信息与其他个人信息、统一使用“处理”涵盖个人信息的相关行为、明确个人信息权益的具体内容和确立侵害个人信息的免责事由[4]等方面体现出创新。《民法典》对个人信息的界定以及对个人信息保护制度的发展与创新为个人信息保护法律制度的进一步完善提供了依据。

2.个人信息特征与构成要件

个人信息特征是将自然人放在信息社会中来看，自然人的信息特征表现为本身生物体特征与社会文化信息特征。自然人本身生物体特征信息包括身高、性别、肤色和体重等；社会文化信息特征包括姓名、宗教信仰、职业、生活习惯和消费倾向等。

依据上述对个人信息特征和个人信息概念的界定，构成个人信息需要满足以下3个要件。第一个要件是个人信息具有识别性，这是个人信息的核心要件。识别就是通过信息可以直接或间接地将某一自然人认出来。直接识别指不需要其他信息的辅助就可以直接确认某一自然人的身份，如利用某人的身份证号或基因信息等。间接识别指通过该信息虽不能直接确定某人的身份，但可以借助其他信息确定某人的身份。第二个要件是要有一定的载体，这是个人信息的形式要件。依托电子形式或者其他方式记录下来的信息才是法律意义上的个人信息。第三个要件是个人信息的主体只能是自然人，其他组织不能作为个人信息的主体。因此，自然人的信息只要具备上述构成要件并以某种形式存储，就可以认定为是个人信息。

3.个人信息权与隐私权的关系

要分析个人信息权与隐私权的关系，这需要了解隐私的含义。《民法典》中把隐私含义界定为自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动以及私密信息等。同时，《民法典》中明确规定了享有隐私权的相关问题②。依据《民法典》中对隐私和个人信息概念的规定，个人信息与隐私是两个不同的概念，两者的判断标准、范围和保护方式等都不完全相同。但隐私与个人信息有一定的交叉，个人信息包括私密信息和非私密信息，私密信息既属于个人信息也属于隐私。而隐私除私密信息外，还包括私密空间、私密活动和私人生活安宁。因此，按照中国现行法律规范和国际惯例，个人信息中的私密信息属于隐私的一部分，其受保护的程度要比一般的个人信息更强。

基于个人信息与隐私含义的不同，隐私权与个人信息权利也不尽相同。普遍的观点认为，隐私权是指自然人享有不被他人非法侵扰、知悉、搜集、利用和公开的私人生活安宁以及私人信息依法受到保护的一种人格权力。个人信息与隐私权的共同点是个人信息与隐私权享有者均有权要求信息处理者修改不正确不完整的个人信息。有专家提出可以从技术路径及信息主体的自主控制出发，加强对个人私密信息的保护，以实现信息主体个人权益与信息业经营者的利益平衡[5]。《民法典》对隐私权和个人信息保护的适用分别作出规定，适用有关隐私权规定的个人信息是自然人的私密信息，其他没有规定的信息保护则适用个人信息保护的相关规定。

二、个人信息法律保护制度现状

中国立法高度重视对自然人个人信息的保护，多部相关法律从不同角度对各自领域的自然人隐私权和个人信息保护作出了规定。

(一)个人信息保护现状

近年来，中国从民事、行政和刑事各方面加强个人信息保护相关立法，保障个人信息安全。

1.民法对个人信息的保护

2017年制定实施的《民法总则》将对个人信息的法律保护作为民事权利的重要内容。全国人大常委会通过的《侵权责任法》对自然人个人相关权利作了规定，如明确规定了自然人的姓名权、名誉权、肖像权和隐私权等民事权利，并规定侵犯上述相关民事权利的行为应当依法承担侵权责任。同时，《执业医师法》和《居民身份证法》也从不同角度对保护公民的个人身份信息作出了法律规定。

2.对消费者个人信息的法律保护

自然人作为消费者在购买、使用商品和接受服务时应当依法享有个人信息受保护的权利。中国在2013年修正的《消费者权益保护法》中规定，消费者个人信息受到侵害的，经营者应当承担民事责任，并规定侵害消费者个人信息的经营者除承担民事责任外，还要承担行政责任，此外还加大了对违法行为的惩罚力度，如警告、没收违法所得、罚款及吊销营业执照等。2018年出台的《电子商务法》确立了个人信息的保护规则，明确了自然人对个人信息收集与使用的知情权、删除权和更正权，并明确了网络运营者保障个人信息安全的义务与责任。

3.自然人个人信息公开的相关法律规定

中国法律对保护互联网上的自然人信息作了较为系统和全面的规定，2012年全国人大常委会通过的《关于加强网络信息保护的决定》对使用公民个人电子信息遵循的原则、保密义务及法律责任作出规定，2016年实施的《网络安全法》针对网络运营者对个人信息保护的义务和责任也作了具体规定。此外，《商业银行法》也规定了银行对存款人存款信息的保护。

4.刑法对个人信息的保护

信息时代，个人信息的泄露经常和计算机信息系统数据的泄露有紧密关系，《刑法》第二百八十五条第二款对非法获取计算机信息系统数据和非法控制计算机信息系统等行为进行量刑规定，这在一定程度上对个人信息也提供了法律保护。此外，第二百五十三条之一规定了侵犯公民个人信息罪，明确了在侵犯自然人隐私权和个人信息较为严重的领域，情节严重构成犯罪的要依法承担刑事责任。

(二)个人信息保护法律制度的构建与完善

《民法典》关于隐私权和个人信息保护的法律规定为构建中国个人信息保护法律制度奠定了基础。

1.《民法典》中关于个人信息保护的法律规定

《民法典》中除了明确个人信息的含义之外，对个人信息的处理原则也作出了规定，即合法、正当和必要原则。此外，还规定了个人信息处理的限制、处理个人信息的免责事由、自然人的个人信息决定权、信息处理者对个人信息的安全保障义务和国家机关及其工作人员对个人信息的保密义务等相关内容③。

2.个人信息保护法律制度进一步完善的空间

欧美一些国家基于对人的尊严和对个人自由的保护，形成了个人信息的个人控制论，以实现个人自治，保护人的基本权利[6]。中国《民法典》在编纂过程中，对是否将个人信息作为一种权利加以规定存在一定分歧。有学者建议在《民法典》中对个人信息的法律属性进行清晰界定，在隐私权之外设置单独的个人信息权。《民法典》最终没有使用“个人信息权”而是用“个人信息保护”进行表述，这是基于以下考虑：一是个人信息保护权利与其他人格权在考量因素上有所不同，个人信息保护要适当平衡信息主体利益与数据共享之间的关系。用“个人信息保护”的表述既强调了对信息主体利益的保护，又可以避免不必要的误解，避免妨碍数据的共享、利用以及大数据产业在中国的发展；二是解决个人信息保护方面的问题，宜先从可行的务实的制度规范做起，将个人信息保护的基本民事规则在《民法典》中先确立起来，为建立个人信息保护法律制度提供依据。

三、完善个人信息法律制度的途径

加强个人信息保护对保护公民的人格尊严和使自然人的正常生活免受不法侵扰具有重大的现实意义。

1.不断完善个人信息保护法律规范

在互联网技术快速发展的今天，个人信息保护面临巨大挑战。数字与信息技术快速发展，利用个人信息能够节约社会成本与交易成本，进而带来更大的经济利益。但若不作任何限制，随意利用互联网技术手段滥用个人信息，侵犯个人利益的事件势必增加。甚至部分行为者基于非法营利的目的，通过不正当手段获取、公开或者向其他人提供自然人的个人信息，实施诈骗等违法犯罪活动，造成严重的社会危害。因此，必须完善与建立个人信息保护法律制度，将个人信息数据纳入法律制度框架中，才能在一定程度上杜绝个人信息被滥用[7]，才能保护个人信息数据安全，保障个人信息权利不受侵犯。

2.通过法律手段加强个人信息保护

世界各国都非常重视个人信息保护立法。日本和韩国等国家制定了《个人信息保护法》；德国制定了《联邦个人资料保护法》；英国制定了《个人资料保护法》；欧盟1995年出台了《个人数据保护指令》，2016年制定了《欧盟一般数据保护条例》，并于2018年5月25日正式开始实施；美国制定了《美国隐私法》和《电脑对比和隐私保护法》等，将个人信息纳入隐私权保护范畴。此外，中国的台湾和香港也分别制定了《个人资料(私隐)条例》和《个人资料保护法》。现代社会已进入信息时代，信息产业的迅猛发展建立在信息的自由流通之上，对个人信息的利用要在保护自然人个人信息和信息自由流通之间取得平衡，要加强对自然人个人信息资料的法律保护。制定《个人信息保护法》已列入第十三届全国人大常委会立法规划和立法计划。

3.构建以《民法典》为核心的个人信息保护法律体系

由于个人信息保护涉及多个法律领域和多种法律手段，因此必须构建个人信息保护的多元法律体系[8]。要建立符合中国经济和社会发展需要的个人信息保护制度，以达到产业发展和个人信息保护之间的利益平衡[9]。《民法典》第四编人格权编第六章的相关规定为依法完善个人信息保护法律制度奠定了坚实的基础。随着信息化的迅速发展，个人信息保护将面临新的问题，需要理论和实务界加强对个人信息保护法律制度的深入研究，不断建立和完善以《民法典》为核心的个人信息保护法律体系。

总之，基于《民法典》人格权编对个人信息保护的规定，在已有法律法规对个人信息保护相关规定的基础上，将个人信息保护纳入法律制度框架，构建完备的个人信息保护法律制度体系。这对保障自然人合法权益不受侵犯具有重大意义。

注 释：

① 《民法典》第1034条规定，个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息。个人信息的范围包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息和行踪信息等。

② 《民法典》第四编中第一千零三十二条第二款规定了隐私的含义，并明确规定“自然人享有隐私权”。第一千零三十三条规定了除权利人明确同意外，任何组织或者个人不得实施侵害隐私权的禁止行为。

③ 分别在《民法典》第一千零三十五条、第一千零三十六条、第一千零三十七条、第一千零三十八条和第一千零三十九条进行了详细规定。