民法典时代，个人信息如何保护？

刘昊钰

当前，我国正值工业社会向信息社会的转型期，市场经济体制已经确立，经济发展进入新常态，社会生活进入全面依法治国新时期，尤其是人工智能、大数据、云计算的出现正改变着信息的收集与使用方式，无论是公共领域还是私人领域，个人信息的泄露与滥用逐渐成为常态，对个人信息保护带来巨大挑战。

2020年1月27日，《南方都市报》的一篇报道揭露有大量的湖北武汉返乡者的信息遭到泄露，部分以表格形式在社交群组中被公布、转发，这些信息不仅精确到个人姓名、身份证号，而且还涵盖其电话号码、列车信息、家庭住址等敏感信息。

个人信息的泄露不仅会导致个人隐私等人格权被侵犯，也会造成个人财产的损失。在日益强大的信息技术与个人信息大量泄露的现实面前，如何保护个人信息的立法提上日程，我国新发布的民法典对隐私权与个人信息保护的相关内容做出更多细节的规定，推动了个人信息保护顶层立法的完善。

民法典对个人信息保护有哪些新规定？

自2012年起，我国先后制定发布了《关于加强网络信息保护的决定》、消费者权益保护法、网络安全法等保护个人信息的法律法规。2020年民法典颁布，对个人信息保护作了更加细致的规定，其在“人格权编”专设“隐私和个人信息保护编”，突出了新时代对个人信息保护立法的重视。民法典的制定，对个人信息保护主要有五个方面的新变化：

第一，明确了自然人对其个人信息的权益属于民事权益。处理自然人个人信息的主体无论是国家机关还是非国家机关（如企事业单位），也无论其处理的目的是行政管理、公共服务还是营利，处理者与自然人之间都属于平等的民事主体。它们之间的权利义务关系属于民事权利义务关系，自然人对其个人信息享有的属于民事权益，而非公法上的权利。这对于后续制定个人信息保护法中解决政府数据处理活动的制度设计具有重要意义。

第二，明确了自然人的个人信息权益属于人格权益。一直以来，学界对个人信息权属性的法理基础一直存在争议。比如，宪法人权说认为个人信息权利应当被认为是一种“宪法基本权”；一般人格权说认为，个人信息权应当属于一般人格权范畴；财产权说认为应以财产权保护个人信息；新型权利说认为个人信息权既不是人格权，也不是财产权，而是一种新型复合型权利；隐私权说认为个人信息权是隐私权的一种延伸；独立人格权说认为个人信息权是一种独立的人格权。民法典虽然没有明确规定个人信息权的概念，但其明确了自然人的个人信息权益在性质上属于人格权益，而非财产权益，明确地规定个人信息权益属性的法理依据是对个人信息保护的重大进步。

第三，重新定义了隐私权与个人信息保护制度的关系。民法典人格权编将隐私权与个人信息保护合并规定在一起，同时还明确了个人信息中私密信息适用隐私权和个人信息保护的规定。这表明了我国法律明确区分了隐私权与个人信息，它们不是互相取代的关系，而是既有区别又密切联系的两种制度。如此一来，就更好地实现了保护自然人隐私权和个人信息的目的，贯彻了以人为本的立法精神。

第四，明确了处理个人信息的原则、条件以及免责事由。民法典对于处理个人信息的原则、条件、免责事由的规定使得产业发展与权益保护取得了一定的平衡，留下了更多的弹性空间。过于严苛的法律必然对当前大数据信息技术革命带来的产业升级产生一定的冲击，而过于空洞的法律规定也无法有效地保护个人信息权益。个人信息行为规制模式的规定有效弥补了个人信息人格权益的弱支配程度，同时这种侧重于事后的行为规制模式也对数据企业使用个人信息画出了红线，为信息产业的发展提供了诸多可能性。

第五，阐明了自然人、数据收集者与控制者、国家机关及其工作人员的权利义务分配边界。自然人具有查阅、抄录、复制、请求更正、删除个人信息的权利；数据收集者、控制者必须履行保护数据安全的义务；国家机关及其工作人员必须履行对个人隐私和个人信息的保密义务。

我国采用统一立法的模式保护个人信息，通过探究国外个人信息保护的制度模式，充分认识中国与他国个人信息保护制度的异同与制度的适用性。

国外怎么保护个人信息？

目前，世界上已有50多个国家和地区相继建立了比较完善的个人信息保护法律制度体系。不同的法律体系和法律理念，使各国形成了不同的个人信息保护制度模式。一些国家由于相似的指导思想、法学理论和制度路径，在具体制度存在差异的基础上，总体上又形成了相似的保护模式。下面对具有代表性的美国、德国和日本三国的个人信息保护制度模式进行探析。

第一，美国采用分散立法和行业自律相结合的模式保护个人信息。1890年路易斯·布兰代斯和塞缪尔·沃伦发表的《隐私权》一文中，把隐私定义为“免受外界干扰的、独处的”权利，隐私权成为一个正式的法律概念并对美国立法产生了巨大影响。二十世纪六七十年代后，美国隐私权不断向立法领域扩张。但美国并没有形成一部保护个人信息的隐私权的综合性法典，对个人信息的隐私权的保护仍散见于联邦和州政府制定的各类隐私和安全条例中，如在儿童信息、医疗健康、金融数据等敏感领域，制定了《儿童在线隐私权保护法案》《健康保险携带和责任法》《金融服务现代化法案》等法律保护个人信息安全。除了分散立法保护个人信息之外，美国还采取行业自律的方式对个人信息提供保护，以满足立法滞后于现实的需要，目前美国的行业自律形式有建议性的行业指引、网络隐私认证、技术保护模式这三类。

第二，德国采用统一立法的模式保护个人信息。德国从“人格尊严”的视角来看待公民个人信息法律保护问题，将公民个人信息划归于人格权的基本权利范畴之中。德国联邦法院通过人口普查第一案和第二案，在实践中确认了公民个人信息的宪法权利地位。1970年德国黑森州颁布了《黑森州资料保护法》，这是一部关于公民个人信息法律保护的专门立法，但是这部法律没有确立独立的个人信息权，直到1978年生效的《联邦数据保护法》，才正式赋予个人一般性的个人信息权利。同时，该法对侵犯公民个人信息的违法犯罪行为进行了详细说明，并明确了对相关违法行为的处罚形式。统一立法模式通过国家在公私领域对公民个人信息进行统一保护，可以使公民个人信息权利成为一项具有绝对性的法律权利，同时有助于统一标准，又可以避免行业自律模式各行其是的弊端，更能助推公民权利的实现。

第三，日本采用统一立法和行业自控相结合的模式保护个人信息。日本政府对个人信息的保护始于日本推进政府办公电子化。2005年正式实施的《个人信息保护法》是日本保护个人信息安全的基本法，该法的主要目的是个人信息的有效利用和保护。日本在制定个人信息保护法律法规的同时，充分借鉴美国的行业自律模式，通过行业自控来实现自我规范、自主规制。经过长期的实践，日本形成了公共部门立法规制，非公共部门实行行业自控，特殊领域个别立法的个人信息保护基本原则。日本统一立法和行业自控相结合的个人信息保护制度模式在公民个人信息保护与公民个人信息流动之间找到了平衡点，既吸收了美国“隐私权”的内核，又尊重本国行业自律自控的特性，切实保护公民的个人信息。

我国采用统一立法的模式保护个人信息，通过探究国外个人信息保护的制度模式，充分认识中国与他国个人信息保护制度的异同与制度的适用性。目前，我国的信息市场处于快速发展壮大的阶段，市场主体良莠不齐且主体间力量不均衡，同时尚未建立相应的隐私权制度，统一立法模式可以充分发挥制度性优势，树立起个人信息保护的法律权威，规制市场主体的行为，弥补我国在个人信息民法保护方面的不足。

个人信息受侵害如何保护？

理论需要通过制度形成体系而显化，制度需要通过实践检验而发挥实效，合理适用是个人信息的民法保护制度充分发挥作用的关键所在。

第一，对个人信息的侵害可以适用侵害人格权的保护制度。根据民法相关规定，侵权民事责任的构成要件包括违法行为、主观过错、损害结果、因果关系四个方面。在适用个人信息保护制度追究侵害个人信息权益的民事责任时，也要满足以上四个方面。首先，要确定存在违法行为，违法行为是指侵害了信息权利人的个人信息权益或实施了会对信息权利人合法利益造成损害而被法律所禁止的行为。其次，行为人要存在主观过错，主观过错包括故意和过失，不管是故意还是过失，当侵犯个人信息权益时，都可能需要承担侵犯个人信息权益的民事责任；第三，存在损害结果，即侵害个人信息权益的行为给信息权利人造成了某种不利的状态或事实。最后，侵害个人信息权益的违法行为和损害结果之间要存在因果关系。个人信息保护的制度在此适用逻辑下，违法行为和损害结果存在因果关系，侵害个人信息权益的行为就成立，可追究相应的民事侵权责任。

第二，清晰界定个人信息权益保护和隐私权。民法典出台前，个人信息权益在民法上确权的缺失使得个人信息权益与隐私权混为一谈，导致我国法院对个人信息民事权益的法律属性认定不一，有的法院认为个人信息权益属于隐私权，有的法院认为属于名誉权，有的则直接表述为个人信息权。隐私权发源于美国，由于国情的不同，我国的隐私权在语境和内涵上与美国的隐私权存在出入，我国的隐私权更倾向于隐与私，即不为他人知晓的私密的信息。个人信息中关于私生活的个人信息归属于隐私，这是个人信息权益与隐私权交叉的部分，但个人信息还包括可以公开的个人信息，如姓名、电话号码等。所以，在适用个人信息保护规定的时候，要清晰界定个人信息权益保护和隐私权，依据民法典中“个人信息中的私密信息，适用有关隐私权的规定；没有规定的，适用有关个人信息保护的规定”条款，正确适用个人信息保护制度。

第三，立法主体、信息处理主体和信息权利主体需形成合力。立法主体紧扣时代的脉搏，在民法典中制定了个人信息保护的相关规定。首先，立法主体应联合其他相关部门，加强对个人信息保护制度的宣传和实际运用，切实让相关制度落到实处；在个人信息的民法保护制度的完善方面，应协调好经济社会发展状况和法律体系的关系；同时还要不断更新法律体系与法律理念，协调好有关法律法规之间的关系。此外，信息处理主体应当遵守相应的法律法规，不得泄露或者篡改其收集、存储的个人信息；采取技术措施和其他必要措施，确保其收集、存储的个人信息安全；发生或者可能发生个人信息泄露、篡改、丢失的，应当及时采取补救措施；还应充分发挥自主能动性，制定相应的行业规范，加强行业自律。另外，信息权利主体需要增强个人信息的保护意识，特别是在网络普及但安全技术措施缺乏、法律规范缺失的当下，信息权利主体的自我防范意识才是对个人信息最好的保护，在发现自己个人信息权益受到侵害时，要敢于运用个人信息的民法保护制度捍卫自己的合法权益。

唯其如此，个人信息安全才能得到真正的守护。