《民法典》对个人信息保护制度的完善

黄 江 李 静

（甘肃政法大学民商经济法学院 甘肃 兰州 730070）

一、《民法典》规定的个人信息保护规则与《民法总则》第111 条等相关法律规定的比较

（一）《民法典》规定与《民法总则》第111 条规定的关系

《民法总则》第111 条明确规定自然人的个人信息受法律保护。想要获取他人个人信息的，应当依法取得同时要确保信息安全，任何个人或者组织均不得非法收集、使用、加工、传输、买卖、提供或者公开他人个人信息[1]。

《民法典》规定的个人信息保护规则与《民法总则》相比，内容更加丰富、细致、具体。《民法典》第1034 条以列举和概括的方式明确了个人信息的定义，在第2 款中明确规定私密信息属于个人信息的一部分，私密信息的保护同样可以适用隐私权规制。第1035 条规定了收集、处理自然人个人信息，应当遵循合法、正当、必要原则，不得过度收集、处理，并且要符合一定的条件。第1036 条规定了自然人有权依法查阅、抄录或者复制其个人信息；发现信息有误时有权提出异议并请求及时采取更正等必要措施，发现信息控制者违反法律、行政法规的规定或者双方的约定收集、处理其个人信息的，有权请求信息控制者删除。第1037 条规定了行为人的免责事由。第1038 条规定了信息收集者、控制者负有不得泄露、篡改和保证信息安全的义务。第1039 条规定了国家机关及其工作人员在工作过程中掌握的个人信息负有保密，不得泄露、非法提供的义务。

将我国《民法典》规定的个人信息保护规则与2017 年10 月1 日实施的《民法总则》第111 条相比，增加的内容主要表现在以下几个方面：

1.明确了“个人信息”的定义，同时规定个人信息中的私密信息也适用隐私权保护的有关规定。

2.对个人信息收集、处理规则的完善。《民法总则》只规定了个人信息的收集、处理应当依照法律的规定，不得非法收集、处理他人个人信息，其并未对应该以何种方式收集处理个人信息，何种收集、处理个人信息的方式是违反法律予以禁止的作出规定。《民法典》在该规则的基础上增加规定了正当、必要原则，同时规定了收集、处理个人信息的，除法律、行政法规另有规定外，还应当征得信息主或其监护人的同意，并且在收集、处理信息时需要向信息主体公开收集、处理规则，同时还应明示收集、处理信息的目的、方式和范围，并且不得违反法律规定和双方的约定。

3.《民法典》规定了自然人对其自己的信息有权依法查阅、抄录和复制，当发现个人信息有误时有权提出异议并且请求更正；在发现信息控制者违反法律的规定或者双方的约定收集、处理个人信息的，该信息主体有权请求信息控制者及时删除。

4.列举了收集、处理个人信息的行为人不承担民事责任的三种情形：一是在征得信息主体或其监护人同意的范围内收集、处理个人信息；二是除了自然人明确拒绝或者处理该信息侵害其重大利益，收集、处理自然人自行公开的或者其他已经合法公开的信息不承担责任；三是为维护公共利益或者该自然人合法权益。

5.对信息收集者、控制者注意义务和安全保障义务规则的完善。《民法总则》第111 条规定了信息收集者负有确保信息安全的义务，《民法典》扩展了信息收集者、控制者对个人信息负有的义务，增加规定了信息收集者、控制者的特定义务，更好地保护了个人信息的安全。

6. 规定了国家机关及其公职人员的信息安全注意义务。国家机关及其公职人员对在履行职责过程中掌握的个人信息负有保密、不得非法提供、泄露等义务。

（二）《民法典》规定与《网络安全法》规定的关系

《网络安全法》第40 条—45 条规定了个人信息保护的基本法律制度，第76 条明确了个人信息的含义，确立了网络空间领域内的个人信息保护规则。充分体现了法律始终秉承维护公民合法权利的立法原则，为保护公民个人信息奠定了坚实的法律基础[2]。《民法典》个人信息保护规则中的许多规定是在借鉴《网络安全法》中个人信息保护规则基础上作出的进一步修改与完善。两者有关个人信息保护规则的规定基本类似，均对个人信息的概念，收集、处理个人信息应遵循的规则，收集、使用者的安全保障义务，个人对其信息享有的权利，国家工作人员对其履行职责过程中知悉的个人信息负有的特定义务作出了规定。

（三）《民法典》规定与《消费者权益保护法》第29 条规定的关系

《消费者权益保护法》第29 条也是对个人信息保护的规定，与《民法典》规定的个人信息保护规则相比，两者的主要部分基本相同，存在的不同有：一是规制主体的不同。《消费者权益保护法》第29 条主要是对经营者在收集、使用个人信息过程中作出的规定，而《民法典》的规定可以适用于一切收集、处理个人信息的主体。二是采取的补救措施不同。《民法典》规定除及时采取补救措施外，责任主体还应依照规定告知被收集者并向有关主管部门报告；《消费者权益保护法》第29 条未规定经营者负有向有关主管部门报告的义务。三是《民法典》规定了个人对其信息享有查阅、抄录和复制等权利，在发现个人信息有错误时有提出异议、申请更正删除的权利，《消费者权益保护法》第29 条未对消费者享有这些权利作出规定。四是《民法典》规定了信息收集者、控制者在符合法律规定的情形下收集、处理个人信息享有豁免权，《消费者权益保护法》第29 条对此未作规定。

（四）《民法典》规定与《电子商务法》第23条—25 条规定的不同

《电子商务法》第23 条—25 条是对电子商务经营者就个人信息保护作出的规定。与《民法典》规定的个人信息保护规则相比，其对信息的收集、使用采用的是引致性规范，如《电子商务法》第23条的规定。同时，在信息主体请求查阅、申请更正、删除信息方面，两者规定有所不同：《电子商务法》规定电子商务经营者在收到用户信息查询或者更正、删除的申请时，应该首先核实其身份。在这里有一个核实身份的规定，这是考虑到电子商务的虚拟性特征，增加电子商务经营者核实身份的义务可以更好地保护用户信息。《民法典》对查阅、抄录、复制、提出异议、采取更正、删除其个人信息时，没有增加核实信息主体身份这一环节。

二、《民法典》规定的个人信息保护规则的重大进展

《民法典》第1034 条—1039 条规定个人信息保护规则，经过以上与现行相关法律特别是《民法总则》第111 条的比较，可以看到已经形成了相对比较完善的个人信息保护规范体系，其对个人信息保护规则的重大进展主要体现在以下方面：

（一）对个人信息定义的完善

《民法典》通过概括加列举的方式明确了个人信息的定义，在《网络安全法》个人信息定义列举的基础上明确增加了“电子邮箱”和“行踪信息”两类比较常见的关涉个人信息的种类，这种规定符合目前国际上相应立法如欧盟的《通用数据保护条例》（简称GDPR）的趋势[3]。

（二）完善了个人信息收集处理规则

《民法典》进一步明确了收集、处理自然人的个人信息，除应当遵循合法、正当、必要原则外，还应符合以下四个条件：第一，收集、处理信息前应征得信息主体或其监护人的同意，除非法律、行政法规另有规定；第二，需要向信息主体公开收集、处理信息的规则；第三，需要向信息主体明示收集、处理信息的目的、方式和范围；第四，不能违反法律、行政法规的规定和双方的约定。这些具体化的操作规则一方面为信息收集者、处理者提供了合法利用个人信息的标准，另一方面更有助于对自然人个人信息的保护[4]。

（三）增加规定了自然人对其信息享有的权利

《民法典》第1036 条规定了自然人有权依法查阅、抄录、或者复制其个人信息，在发现信息有误时，有权提出异议并请求及时更正，发现信息控制者违反法律、行政法规的规定或者双方的约定收集、处理其个人信息的，有权请求及时删除。该条规定实际上是对自然人个人作为其信息的主体，享有维护其个人信息不受侵犯的权利。

（四）增加规定信息收集处理者的责任豁免情形

《民法典》明确列举了三种情形下收集、处理自然人个人信息的行为不承担民事责任，第一，经信息主体或其监护人同意的；第二，除自然人明确拒绝或者处理该信息侵害其重大利益，已经合法公开的信息；第三，为维护公共利益或者信息主体本人合法权益。该规定为个人信息利用提供了合法化基础，有助于实现个人信息利用价值的最大化。

（五）完善了信息收集处理者的安全保护义务

《民法典》在《民法总则》否定式列举的收集、处理个人信息需要遵守特定的规则基础上，修改完善了信息收集者、控制者对收集的个人信息负有特定的安全保护义务。同时规定了相关责任主体负有及时采取补救措施、告知被收集者和有关主管部门的义务。增加信息收集者、处理者对个人信息安全保护的规定，尤其是对告知和报告义务的规定，可以更好地实现保障个人信息的目的[5]。

（六）明确规定国家机关及其工作人员的安全保护义务

《民法典》明确规定了国家机关及其工作人员对在工作过程中掌握的自然人信息，应当保密，不得非法提供、泄露。这条规定是专门针对公职人员在履职过程中对于知悉的个人信息作出的规范，明确了国家公职人员作为信息收集、处理主体负有的义务，有助于防止个人信息被国家机关及其工作人员滥用。

三、中国个人信息保护制度的进一步完善

《民法典》人格权编第六章专门用六条法律条文规定了个人信息保护制度，在《民法总则》第111条规定的基础上有了重大进展，将使我国的个人信息保护规则形成完善的规范体系[6]。但遗憾的是《民法典》第1034 条—1039 条对个人信息保护范围的界定、个人信息的法律属性、个人信息保护与隐私权之间的界限、个人信息侵权如何救济等问题仍然未作出规定，有待将来《个人信息保护法》等法律法规进一步作出更加细化的规定。

（一）在比例原则基础上坚持多方利益的动态平衡

随着经济社会的不断发展进步，个人信息已不再仅仅体现个人利益，还同时负载了重大社会公共利益和经济价值[7]。尤其是在大数据时代的当下，个人信息的商业利用价值已经越来越凸显，整合分析个人信息并进而向终端用户推荐产品已经成为数据产业发展的重要手段之一[8]。因此，立法在建构个人信息保护规则时，不能仅单单从个人信息保护的角度出发，还应同时考虑信息主体权利保护和数据产业发展之间的协调[9]，一方面既要防止个人信息被非法收集、处理，切实保护信息主体依法享有的权利；另一方面也要兼顾大数据时代的个人信息利用给人类带来的福祉与便捷，在个人信息保护与利用上寻找最大程度的平衡。

（二）确立个人信息权

《民法典》在《民法总则》第111 条的基础上对个人信息保护作出了比较完善的规定，例如规定了收集、处理自然人个人信息需要遵循一定的规则，补充规定了自然人对其信息享有依法查阅、抄录或者复制的权利，并对当自然人发现自己的信息有错误时，有权提出异议并请求采取更正措施等作出具体规定，但遗憾的是，《民法典》依然未对个人信息权益性质作出界定，即个人信息究竟是被作为一项民事权利来保护，抑或是被当作一种民事利益来保护[6]。从《民法典》个人信息保护规则的设置来看，第1035 条—1038 条均赋予了自然人个人对其信息享有受法律保护的权利。因此，笔者认为立法应该明确规定个人信息权，通过确立个人信息权可以更好地保障《民法典》所赋予的这些权利。

（三）明确个人信息保护与隐私权保护的区分

《民法典》人格权编第六章将隐私权和个人信息保护放在同一章，虽然法律条文设置上区分了隐私和个人信息是两种不同利益，但是一定程度上也造成了个人信息与隐私之间的界限不清晰。笔者认为，鉴于个人信息和隐私的包含关系，对侵犯隐私和个人信息应区别处理，为不同种类的个人信息提供不同的法律保障，以便为我国个人信息保护夯实法律依据。

（四）完善个人信息的侵权责任救济机制

《民法典》个人信息保护规则规定了信息收集者、控制者在信息收集、处理过程中应当遵循的义务，例如应当遵循一定的原则，负有安全保障义务以及及时通知和报告的义务，但是对未履行这些义务却没有规定责任规范，这些细化的规则有待将来的《个人信息保护法》等法律法规进一步规定，例如，明确规定个人信息民事侵权行为的类型、个人信息侵权的归责原则、个人信息侵权的损害赔偿责任等，如此方能创建我国完善的个人信息保护规则体系，为大数据时代的个人信息保护奠定坚实的法律基础。