黃 江 李 靜

（甘肅政法大學民商經(jīng)濟法學院 甘肅 蘭州 730070）

一、《民法典》規(guī)定的個人信息保護規(guī)則與《民法總則》第111 條等相關法律規(guī)定的比較

（一）《民法典》規(guī)定與《民法總則》第111 條規(guī)定的關系

《民法總則》第111 條明確規(guī)定自然人的個人信息受法律保護。想要獲取他人個人信息的，應當依法取得同時要確保信息安全，任何個人或者組織均不得非法收集、使用、加工、傳輸、買賣、提供或者公開他人個人信息[1]。

《民法典》規(guī)定的個人信息保護規(guī)則與《民法總則》相比，內(nèi)容更加豐富、細致、具體?！睹穹ǖ洹返?034 條以列舉和概括的方式明確了個人信息的定義，在第2 款中明確規(guī)定私密信息屬于個人信息的一部分，私密信息的保護同樣可以適用隱私權規(guī)制。第1035 條規(guī)定了收集、處理自然人個人信息，應當遵循合法、正當、必要原則，不得過度收集、處理，并且要符合一定的條件。第1036 條規(guī)定了自然人有權依法查閱、抄錄或者復制其個人信息；發(fā)現(xiàn)信息有誤時有權提出異議并請求及時采取更正等必要措施，發(fā)現(xiàn)信息控制者違反法律、行政法規(guī)的規(guī)定或者雙方的約定收集、處理其個人信息的，有權請求信息控制者刪除。第1037 條規(guī)定了行為人的免責事由。第1038 條規(guī)定了信息收集者、控制者負有不得泄露、篡改和保證信息安全的義務。第1039 條規(guī)定了國家機關及其工作人員在工作過程中掌握的個人信息負有保密，不得泄露、非法提供的義務。

將我國《民法典》規(guī)定的個人信息保護規(guī)則與2017 年10 月1 日實施的《民法總則》第111 條相比，增加的內(nèi)容主要表現(xiàn)在以下幾個方面：

1.明確了“個人信息”的定義，同時規(guī)定個人信息中的私密信息也適用隱私權保護的有關規(guī)定。

2.對個人信息收集、處理規(guī)則的完善?！睹穹倓t》只規(guī)定了個人信息的收集、處理應當依照法律的規(guī)定，不得非法收集、處理他人個人信息，其并未對應該以何種方式收集處理個人信息，何種收集、處理個人信息的方式是違反法律予以禁止的作出規(guī)定?！睹穹ǖ洹吩谠撘?guī)則的基礎上增加規(guī)定了正當、必要原則，同時規(guī)定了收集、處理個人信息的，除法律、行政法規(guī)另有規(guī)定外，還應當征得信息主或其監(jiān)護人的同意，并且在收集、處理信息時需要向信息主體公開收集、處理規(guī)則，同時還應明示收集、處理信息的目的、方式和范圍，并且不得違反法律規(guī)定和雙方的約定。

3.《民法典》規(guī)定了自然人對其自己的信息有權依法查閱、抄錄和復制，當發(fā)現(xiàn)個人信息有誤時有權提出異議并且請求更正；在發(fā)現(xiàn)信息控制者違反法律的規(guī)定或者雙方的約定收集、處理個人信息的，該信息主體有權請求信息控制者及時刪除。

4.列舉了收集、處理個人信息的行為人不承擔民事責任的三種情形：一是在征得信息主體或其監(jiān)護人同意的范圍內(nèi)收集、處理個人信息；二是除了自然人明確拒絕或者處理該信息侵害其重大利益，收集、處理自然人自行公開的或者其他已經(jīng)合法公開的信息不承擔責任；三是為維護公共利益或者該自然人合法權益。

5.對信息收集者、控制者注意義務和安全保障義務規(guī)則的完善。《民法總則》第111 條規(guī)定了信息收集者負有確保信息安全的義務，《民法典》擴展了信息收集者、控制者對個人信息負有的義務，增加規(guī)定了信息收集者、控制者的特定義務，更好地保護了個人信息的安全。

6. 規(guī)定了國家機關及其公職人員的信息安全注意義務。國家機關及其公職人員對在履行職責過程中掌握的個人信息負有保密、不得非法提供、泄露等義務。

（二）《民法典》規(guī)定與《網(wǎng)絡安全法》規(guī)定的關系

《網(wǎng)絡安全法》第40 條—45 條規(guī)定了個人信息保護的基本法律制度，第76 條明確了個人信息的含義，確立了網(wǎng)絡空間領域內(nèi)的個人信息保護規(guī)則。充分體現(xiàn)了法律始終秉承維護公民合法權利的立法原則，為保護公民個人信息奠定了堅實的法律基礎[2]?！睹穹ǖ洹穫€人信息保護規(guī)則中的許多規(guī)定是在借鑒《網(wǎng)絡安全法》中個人信息保護規(guī)則基礎上作出的進一步修改與完善。兩者有關個人信息保護規(guī)則的規(guī)定基本類似，均對個人信息的概念，收集、處理個人信息應遵循的規(guī)則，收集、使用者的安全保障義務，個人對其信息享有的權利，國家工作人員對其履行職責過程中知悉的個人信息負有的特定義務作出了規(guī)定。

（三）《民法典》規(guī)定與《消費者權益保護法》第29 條規(guī)定的關系

《消費者權益保護法》第29 條也是對個人信息保護的規(guī)定，與《民法典》規(guī)定的個人信息保護規(guī)則相比，兩者的主要部分基本相同，存在的不同有：一是規(guī)制主體的不同?！断M者權益保護法》第29 條主要是對經(jīng)營者在收集、使用個人信息過程中作出的規(guī)定，而《民法典》的規(guī)定可以適用于一切收集、處理個人信息的主體。二是采取的補救措施不同?！睹穹ǖ洹芬?guī)定除及時采取補救措施外，責任主體還應依照規(guī)定告知被收集者并向有關主管部門報告；《消費者權益保護法》第29 條未規(guī)定經(jīng)營者負有向有關主管部門報告的義務。三是《民法典》規(guī)定了個人對其信息享有查閱、抄錄和復制等權利，在發(fā)現(xiàn)個人信息有錯誤時有提出異議、申請更正刪除的權利，《消費者權益保護法》第29 條未對消費者享有這些權利作出規(guī)定。四是《民法典》規(guī)定了信息收集者、控制者在符合法律規(guī)定的情形下收集、處理個人信息享有豁免權，《消費者權益保護法》第29 條對此未作規(guī)定。

（四）《民法典》規(guī)定與《電子商務法》第23條—25 條規(guī)定的不同

《電子商務法》第23 條—25 條是對電子商務經(jīng)營者就個人信息保護作出的規(guī)定。與《民法典》規(guī)定的個人信息保護規(guī)則相比，其對信息的收集、使用采用的是引致性規(guī)范，如《電子商務法》第23條的規(guī)定。同時，在信息主體請求查閱、申請更正、刪除信息方面，兩者規(guī)定有所不同：《電子商務法》規(guī)定電子商務經(jīng)營者在收到用戶信息查詢或者更正、刪除的申請時，應該首先核實其身份。在這里有一個核實身份的規(guī)定，這是考慮到電子商務的虛擬性特征，增加電子商務經(jīng)營者核實身份的義務可以更好地保護用戶信息?！睹穹ǖ洹穼Σ殚?、抄錄、復制、提出異議、采取更正、刪除其個人信息時，沒有增加核實信息主體身份這一環(huán)節(jié)。

二、《民法典》規(guī)定的個人信息保護規(guī)則的重大進展

《民法典》第1034 條—1039 條規(guī)定個人信息保護規(guī)則，經(jīng)過以上與現(xiàn)行相關法律特別是《民法總則》第111 條的比較，可以看到已經(jīng)形成了相對比較完善的個人信息保護規(guī)范體系，其對個人信息保護規(guī)則的重大進展主要體現(xiàn)在以下方面：

（一）對個人信息定義的完善

《民法典》通過概括加列舉的方式明確了個人信息的定義，在《網(wǎng)絡安全法》個人信息定義列舉的基礎上明確增加了“電子郵箱”和“行蹤信息”兩類比較常見的關涉?zhèn)€人信息的種類，這種規(guī)定符合目前國際上相應立法如歐盟的《通用數(shù)據(jù)保護條例》（簡稱GDPR）的趨勢[3]。

（二）完善了個人信息收集處理規(guī)則

《民法典》進一步明確了收集、處理自然人的個人信息，除應當遵循合法、正當、必要原則外，還應符合以下四個條件：第一，收集、處理信息前應征得信息主體或其監(jiān)護人的同意，除非法律、行政法規(guī)另有規(guī)定；第二，需要向信息主體公開收集、處理信息的規(guī)則；第三，需要向信息主體明示收集、處理信息的目的、方式和范圍；第四，不能違反法律、行政法規(guī)的規(guī)定和雙方的約定。這些具體化的操作規(guī)則一方面為信息收集者、處理者提供了合法利用個人信息的標準，另一方面更有助于對自然人個人信息的保護[4]。

（三）增加規(guī)定了自然人對其信息享有的權利

《民法典》第1036 條規(guī)定了自然人有權依法查閱、抄錄、或者復制其個人信息，在發(fā)現(xiàn)信息有誤時，有權提出異議并請求及時更正，發(fā)現(xiàn)信息控制者違反法律、行政法規(guī)的規(guī)定或者雙方的約定收集、處理其個人信息的，有權請求及時刪除。該條規(guī)定實際上是對自然人個人作為其信息的主體，享有維護其個人信息不受侵犯的權利。

（四）增加規(guī)定信息收集處理者的責任豁免情形

《民法典》明確列舉了三種情形下收集、處理自然人個人信息的行為不承擔民事責任，第一，經(jīng)信息主體或其監(jiān)護人同意的；第二，除自然人明確拒絕或者處理該信息侵害其重大利益，已經(jīng)合法公開的信息；第三，為維護公共利益或者信息主體本人合法權益。該規(guī)定為個人信息利用提供了合法化基礎，有助于實現(xiàn)個人信息利用價值的最大化。

（五）完善了信息收集處理者的安全保護義務

《民法典》在《民法總則》否定式列舉的收集、處理個人信息需要遵守特定的規(guī)則基礎上，修改完善了信息收集者、控制者對收集的個人信息負有特定的安全保護義務。同時規(guī)定了相關責任主體負有及時采取補救措施、告知被收集者和有關主管部門的義務。增加信息收集者、處理者對個人信息安全保護的規(guī)定，尤其是對告知和報告義務的規(guī)定，可以更好地實現(xiàn)保障個人信息的目的[5]。

（六）明確規(guī)定國家機關及其工作人員的安全保護義務

《民法典》明確規(guī)定了國家機關及其工作人員對在工作過程中掌握的自然人信息，應當保密，不得非法提供、泄露。這條規(guī)定是專門針對公職人員在履職過程中對于知悉的個人信息作出的規(guī)范，明確了國家公職人員作為信息收集、處理主體負有的義務，有助于防止個人信息被國家機關及其工作人員濫用。

三、中國個人信息保護制度的進一步完善

《民法典》人格權編第六章專門用六條法律條文規(guī)定了個人信息保護制度，在《民法總則》第111條規(guī)定的基礎上有了重大進展，將使我國的個人信息保護規(guī)則形成完善的規(guī)范體系[6]。但遺憾的是《民法典》第1034 條—1039 條對個人信息保護范圍的界定、個人信息的法律屬性、個人信息保護與隱私權之間的界限、個人信息侵權如何救濟等問題仍然未作出規(guī)定，有待將來《個人信息保護法》等法律法規(guī)進一步作出更加細化的規(guī)定。

（一）在比例原則基礎上堅持多方利益的動態(tài)平衡

隨著經(jīng)濟社會的不斷發(fā)展進步，個人信息已不再僅僅體現(xiàn)個人利益，還同時負載了重大社會公共利益和經(jīng)濟價值[7]。尤其是在大數(shù)據(jù)時代的當下，個人信息的商業(yè)利用價值已經(jīng)越來越凸顯，整合分析個人信息并進而向終端用戶推薦產(chǎn)品已經(jīng)成為數(shù)據(jù)產(chǎn)業(yè)發(fā)展的重要手段之一[8]。因此，立法在建構個人信息保護規(guī)則時，不能僅單單從個人信息保護的角度出發(fā)，還應同時考慮信息主體權利保護和數(shù)據(jù)產(chǎn)業(yè)發(fā)展之間的協(xié)調(diào)[9]，一方面既要防止個人信息被非法收集、處理，切實保護信息主體依法享有的權利；另一方面也要兼顧大數(shù)據(jù)時代的個人信息利用給人類帶來的福祉與便捷，在個人信息保護與利用上尋找最大程度的平衡。

（二）確立個人信息權

《民法典》在《民法總則》第111 條的基礎上對個人信息保護作出了比較完善的規(guī)定，例如規(guī)定了收集、處理自然人個人信息需要遵循一定的規(guī)則，補充規(guī)定了自然人對其信息享有依法查閱、抄錄或者復制的權利，并對當自然人發(fā)現(xiàn)自己的信息有錯誤時，有權提出異議并請求采取更正措施等作出具體規(guī)定，但遺憾的是，《民法典》依然未對個人信息權益性質(zhì)作出界定，即個人信息究竟是被作為一項民事權利來保護，抑或是被當作一種民事利益來保護[6]。從《民法典》個人信息保護規(guī)則的設置來看，第1035 條—1038 條均賦予了自然人個人對其信息享有受法律保護的權利。因此，筆者認為立法應該明確規(guī)定個人信息權，通過確立個人信息權可以更好地保障《民法典》所賦予的這些權利。

（三）明確個人信息保護與隱私權保護的區(qū)分

《民法典》人格權編第六章將隱私權和個人信息保護放在同一章，雖然法律條文設置上區(qū)分了隱私和個人信息是兩種不同利益，但是一定程度上也造成了個人信息與隱私之間的界限不清晰。筆者認為，鑒于個人信息和隱私的包含關系，對侵犯隱私和個人信息應區(qū)別處理，為不同種類的個人信息提供不同的法律保障，以便為我國個人信息保護夯實法律依據(jù)。

（四）完善個人信息的侵權責任救濟機制

《民法典》個人信息保護規(guī)則規(guī)定了信息收集者、控制者在信息收集、處理過程中應當遵循的義務，例如應當遵循一定的原則，負有安全保障義務以及及時通知和報告的義務，但是對未履行這些義務卻沒有規(guī)定責任規(guī)范，這些細化的規(guī)則有待將來的《個人信息保護法》等法律法規(guī)進一步規(guī)定，例如，明確規(guī)定個人信息民事侵權行為的類型、個人信息侵權的歸責原則、個人信息侵權的損害賠償責任等，如此方能創(chuàng)建我國完善的個人信息保護規(guī)則體系，為大數(shù)據(jù)時代的個人信息保護奠定堅實的法律基礎。