程嘯

>>視覺中國供圖

現(xiàn)代社會(huì)中個(gè)人信息保護(hù)受到高度重視，我國民法典不僅在總則編的“民事權(quán)利”章在第一百一十一條對個(gè)人信息保護(hù)作出了規(guī)定，更重要的是在獨(dú)立成編的“人格權(quán)編”中，專章就個(gè)人信息保護(hù)作出了具體而又詳細(xì)的規(guī)定。詳言之：第一，明確了自然人的個(gè)人信息權(quán)益的性質(zhì)，將之界定為人格權(quán)益；第二，區(qū)分私密信息與其他個(gè)人信息，明確私密信息的保護(hù)中，隱私權(quán)保護(hù)規(guī)則與個(gè)人信息保護(hù)規(guī)則的適用關(guān)系；第三，明確了個(gè)人信息權(quán)益的具體內(nèi)容，有利于充分實(shí)現(xiàn)對自然人的人格尊嚴(yán)和人格自由的保護(hù)；第四，明確侵害個(gè)人信息的免責(zé)事由，有助于很好地實(shí)現(xiàn)權(quán)益保護(hù)與自由維護(hù)的協(xié)調(diào)。

我國民法典在個(gè)人信息保護(hù)上的創(chuàng)新與發(fā)展，勾勒出一個(gè)完整的個(gè)人信息保護(hù)框架，必將對個(gè)人信息保護(hù)制度的完善和發(fā)展產(chǎn)生深遠(yuǎn)影響。

確認(rèn)了自然人對其個(gè)人信息享有人格權(quán)益

>>視覺中國供圖

民法典第一百一十一條第1句與第一千零三十四條第1款明文規(guī)定：“自然人的個(gè)人信息受法律保護(hù)?！弊匀蝗藢ζ鋫€(gè)人信息享有的是何種民事權(quán)益呢？對此，理論界一直存在很大的爭議，有民事權(quán)利說與合法利益說（民事利益說）兩種不同的看法。在我國民法典編纂過程中，也有學(xué)者不斷呼吁民法典中應(yīng)當(dāng)明確規(guī)定“個(gè)人信息權(quán)”，而不應(yīng)當(dāng)僅使用“個(gè)人信息保護(hù)”這樣的表述。不過，民法典沒有使用“個(gè)人信息權(quán)”的表述，根本原因還在于：對于是否規(guī)定“個(gè)人信息權(quán)”的問題，存在很大的爭議。部分理論界和實(shí)務(wù)界的人士和有關(guān)部門擔(dān)心將自然人對個(gè)人信息的權(quán)益，直接確定為“個(gè)人信息權(quán)”，會(huì)導(dǎo)致自然人對其個(gè)人信息享有過于絕對的支配權(quán)和控制權(quán)，以致影響信息自由流動(dòng)，不利于網(wǎng)絡(luò)信息社會(huì)和數(shù)字經(jīng)濟(jì)的發(fā)展。這種爭議使得立法機(jī)關(guān)在是否規(guī)定個(gè)人信息權(quán)的問題上，決定采取比較穩(wěn)健的態(tài)度。

事實(shí)上，自然人對個(gè)人信息的權(quán)益的名稱如何并不重要，重要的是對于該權(quán)益的性質(zhì)、內(nèi)容和保護(hù)方式加以明確，而正是后者決定了這種權(quán)益究竟是權(quán)利還是利益，如果是權(quán)利，究竟是效力多強(qiáng)的權(quán)利。因此，從這個(gè)角度上，立法者在民法典中回避關(guān)于個(gè)人信息權(quán)益的爭議而采取“個(gè)人信息保護(hù)”的表述，不失為明智之舉！

雖然民法典沒有使用“個(gè)人信息權(quán)”的表述，但是依然從以下三方面明確了個(gè)人信息權(quán)益的性質(zhì)：（1）明確了自然人對其個(gè)人信息的權(quán)益屬于民事權(quán)益。民法典調(diào)整的是平等主體之間的人身關(guān)系和財(cái)產(chǎn)關(guān)系，無論處理個(gè)人信息的是國家機(jī)關(guān)，還是企業(yè)、事業(yè)單位，也無論處理個(gè)人信息的目的是行政管理、公共服務(wù)還是營利目的，信息處理者與自然人都屬于平等的民事主體。它們之間的法律關(guān)系屬于民事權(quán)利義務(wù)關(guān)系，自然人對其個(gè)人信息享有的也是民事權(quán)益，而非公法上的權(quán)利。（2）明確了自然人的個(gè)人信息權(quán)益屬于人格權(quán)益。民法典將個(gè)人信息保護(hù)的具體內(nèi)容放在人格權(quán)編當(dāng)中，與隱私權(quán)在同一章加以規(guī)定。故此，自然人對其個(gè)人信息享有的民事權(quán)益在性質(zhì)上屬于人格權(quán)益。（3）民法典人格權(quán)編第6章將“隱私權(quán)與個(gè)人信息保護(hù)”作為章名并依次規(guī)定，同時(shí)還就個(gè)人信息中的私密信息優(yōu)先適用隱私權(quán)保護(hù)作出了規(guī)定，這都表明了我國已經(jīng)明確區(qū)分了隱私權(quán)與個(gè)人信息。

區(qū)分了不同類型的個(gè)人信息予以相應(yīng)的規(guī)范

（一）私密信息與非私密信息及隱私權(quán)和個(gè)人信息保護(hù)的適用關(guān)系

>>資料圖

現(xiàn)代社會(huì)是信息社會(huì)，要維護(hù)自然人的隱私權(quán)不受侵害，就必須保護(hù)自然人的私密信息不被隨意收集、公開或者被濫用。自然人的私密信息的范圍十分廣泛，凡是自然人不愿意為他人知曉的信息，無論是婚姻信息、財(cái)產(chǎn)信息、健康信息、家庭住址、病歷資料、犯罪記錄、個(gè)人人生經(jīng)歷、嗜好、性取向、日記、私人信件以及其他個(gè)人不愿公開的信息等，都可以納入私密信息。至于信息的內(nèi)容，并非一定都是高尚的、道德所允許的，也包括那些為道德所譴責(zé)的、為人所不齒的內(nèi)容。非私密的個(gè)人信息也屬于個(gè)人信息，可并不是自然人不愿意為他人知曉的信息，這些信息有些已經(jīng)處于公開狀態(tài)，有些是自然人愿意且往往必須為他人所知的信息，才能使得自然人更好地參與社會(huì)交往活動(dòng)。

在區(qū)分私密信息和非私密信息的基礎(chǔ)上，民法典第一千零三十四條第3款對隱私權(quán)和個(gè)人信息保護(hù)的關(guān)系作出了以下規(guī)定：（1）私密信息既受到隱私權(quán)保護(hù)，也受到個(gè)人信息保護(hù)規(guī)則的保護(hù)。（2）個(gè)人信息中的私密信息和非私密的處理規(guī)則存在區(qū)別。其一，在未經(jīng)權(quán)利人同意的情形下，處理私密信息只能依據(jù)法律的規(guī)定，而處理非私密的個(gè)人信息可以依據(jù)法律和行政法規(guī)的規(guī)定。其二，處理私密信息必須取得權(quán)利人的同意，而處理非私密的個(gè)人信息可以取得自然人或者其監(jiān)護(hù)人的同意。其三，處理私密信息必須取得的是權(quán)利人的“明確同意”，而處理非私密的個(gè)人信息是取得自然人或者其監(jiān)護(hù)人的同意。所謂明確同意，是指自然人在被告知私密信息將被處理的前提下而作出的清晰、明確的允許處理的意思表示。此外，明確的同意應(yīng)當(dāng)是針對該私密信息被處理而單獨(dú)作出的同意的意思表示。（3）許可他人使用上的不同。隱私本身原則上是不能許可他人使用或商業(yè)化利用的。但是自然人完全可以許可他人使用個(gè)人信息尤其是非私密信息。

（二）公開的個(gè)人信息與非公開的個(gè)人信息

依據(jù)民法典第一千零三十六條第2項(xiàng)，合法公開的個(gè)人信息包括“該自然人自行公開的或者其他已經(jīng)合法公開的信息”兩大類型：其一，自然人自行公開的個(gè)人信息，如某教授將自己的辦公室電話、手機(jī)號(hào)等在網(wǎng)頁上公開。其二，其他已經(jīng)合法公開的個(gè)人信息，這主要包括兩種情形：一是依據(jù)行政行為而公開的個(gè)人信息，即因政府機(jī)關(guān)履行職責(zé)而依法加以公開的個(gè)人信息；二是依據(jù)司法行為而公開的個(gè)人信息，即因?yàn)榉ㄔ旱乃痉ㄐ袨槎_法律文書，其中涉及的應(yīng)當(dāng)公開的個(gè)人信息。

區(qū)分公開的和非公開的個(gè)人信息的最主要的意義在于，處理這些個(gè)人信息是否需要得到自然人的同意上的不同。除非法律、行政法規(guī)另有規(guī)定，對于非公開的個(gè)人信息，必須告知且得到自然人或者其監(jiān)護(hù)人的同意。然而，依據(jù)民法典第一千零三十六條第2項(xiàng)，合理處理已經(jīng)合法公開的個(gè)人信息，原則上是無需告知并得到自然人同意的，除非“該自然人明確拒絕或者處理該信息侵害其重大利益”，否則該處理行為不構(gòu)成侵害個(gè)人信息的侵權(quán)行為。

（三）關(guān)于敏感的與非敏感的個(gè)人信息的區(qū)分問題

個(gè)人信息中還有另外一個(gè)重要的分類：敏感的個(gè)人信息與非敏感的個(gè)人信息。我國民法典以及網(wǎng)絡(luò)安全法等法律都沒有對敏感的個(gè)人信息作出界定，只有一些標(biāo)準(zhǔn)中有相應(yīng)的規(guī)定。雖然民法典沒有規(guī)定敏感的和非敏感的個(gè)人信息，但這并不意味著該分類就是不重要的。因?yàn)椋穹ǖ渲饕?guī)定的是個(gè)人信息保護(hù)中的重大基本的問題，且區(qū)分敏感的和非敏感的個(gè)人信息主要是體現(xiàn)對個(gè)人信息的處理規(guī)則上，故此，可以交由個(gè)人信息保護(hù)法作出規(guī)定。

所謂敏感的個(gè)人信息主要是指，那些涉及自然人人格尊嚴(yán)、人格自由或者其他重大權(quán)益的個(gè)人信息，這些個(gè)人信息倘若被非法處理，將會(huì)對所涉自然人的人格尊嚴(yán)、人格自由或者其他重大的人身權(quán)益、財(cái)產(chǎn)權(quán)益造成嚴(yán)重的威脅或損害。依據(jù)這一界定，以下個(gè)人信息應(yīng)當(dāng)歸入敏感的個(gè)人信息：（1）種族或民族信息；（2）宗教信仰信息；（3）政治主張信息；（4）生物識(shí)別信息；（5）基因信息；（6）醫(yī)療健康信息；（7）性生活與性取向信息；（8）儲(chǔ)蓄、證券等金融賬戶信息。

>>資料圖

在個(gè)人信息保護(hù)法中，敏感個(gè)人信息的處理規(guī)則，應(yīng)有別于非敏感個(gè)人信息的處理規(guī)則。一方面，為了更好地保護(hù)敏感的個(gè)人信息，對于這些個(gè)人信息采取的是原則上禁止處理，除非存在法定的例外情形，例如經(jīng)過自然人的單獨(dú)同意，或者為了維護(hù)公共利益等。至于非敏感的個(gè)人信息，只要遵循告知同意規(guī)則即可。另一方面，即使信息處理者根據(jù)法律規(guī)定處理敏感信息的，也應(yīng)當(dāng)承擔(dān)更嚴(yán)格的注意義務(wù)。例如，對于敏感的個(gè)人信息的保管，信息處理者負(fù)有更高的注意義務(wù)，如必須進(jìn)行風(fēng)險(xiǎn)評估等。

界定了自然人個(gè)人信息權(quán)益的內(nèi)容

自然人對于個(gè)人信息享有相應(yīng)的民事權(quán)益，確切地說，就是自然人享有防范因非法處理其個(gè)人信息而使自身人身財(cái)產(chǎn)權(quán)益和人格尊嚴(yán)、人格自由遭受侵害或損害的受法律保護(hù)的人格權(quán)益。我國民法典信息主體享有以下四項(xiàng)權(quán)能：

1.許可他人使用個(gè)人信息。在信息處理者履行告知同意規(guī)則的基礎(chǔ)上，自然人享有許可他人使用其個(gè)人信息的法律權(quán)能。所謂告知同意規(guī)則，包含了告知規(guī)則與同意規(guī)則，二者緊密聯(lián)系，不可分割。沒有告知，自然人無法就其個(gè)人信息被處理作出同意與否的表示；即便告知了，但沒有充分的、清晰的告知，自然人即便作出了同意的表示，該同意也并非是真實(shí)有效的同意。反之，雖然充分、清晰地告知了，可是并未取得自然人的同意，對個(gè)人信息的處理也是非法的。

有的觀點(diǎn)認(rèn)為，建立在告知同意規(guī)則基礎(chǔ)上的個(gè)人信息保護(hù)和治理的框架，是不科學(xué)的也是無效的，而且還會(huì)阻礙數(shù)據(jù)的流轉(zhuǎn)和信息的流動(dòng)。筆者認(rèn)為，這些觀點(diǎn)是片面的。理由如下：首先，告知同意規(guī)則具體適用中的困難并不能改變該規(guī)則所蘊(yùn)含的精神實(shí)質(zhì)，即自然人有權(quán)決定對自己的個(gè)人信息的處理，信息的流動(dòng)或者利用必須在尊重個(gè)人信息權(quán)益的前提進(jìn)行。取消告知同意規(guī)則，勢必使得自然人對其個(gè)人信息完全失去控制力，自然人針對其個(gè)人信息的民事權(quán)益也不復(fù)存在。其次，告知同意規(guī)則的重心，不在于用戶是否真正了解個(gè)人信息處理的目的、方式或范圍等，而在于建立了處理個(gè)人信息的行為的合法性基礎(chǔ)。處理者遵循了告知同意的規(guī)則，并不意味著處理者的所有處理行為就一定是合法的，因?yàn)樘幚硇袨橹腥匀豢赡艹霈F(xiàn)各種違法或者違約的情形。但是，如果處理者沒有遵循該規(guī)則且沒有法律或者行政法規(guī)的特別規(guī)定，則該處理行為一定是非法的。最后，告知同意規(guī)則也為個(gè)人信息保護(hù)機(jī)構(gòu)對監(jiān)管提供了正當(dāng)性基礎(chǔ)，因?yàn)檫@種監(jiān)管的目的在于保護(hù)廣大自然人的個(gè)人信息權(quán)益，具有充足的正當(dāng)性。

2.查閱和復(fù)制個(gè)人信息的權(quán)利。我國民法典第一千零三十七條第1款第1句明確規(guī)定了自然人針對信息處理者享有依法查閱或者復(fù)制其個(gè)人信息的權(quán)利。該權(quán)利是自然人個(gè)人信息權(quán)益的重要組成部分。只不過，查閱和復(fù)制個(gè)人信息的權(quán)利具體的行使程序等，還需要由未來的個(gè)人信息保護(hù)法等法律法規(guī)作出更加細(xì)化的規(guī)定。其中特別值得注意的是：

一方面，關(guān)于信息處理者拒絕自然人查閱其個(gè)人信息時(shí)，自然人可以向法院提起訴訟的問題。一種觀點(diǎn)認(rèn)為，如果允許起訴，可能會(huì)造成訴訟爆炸，給法院增加很多工作量。另一種觀點(diǎn)認(rèn)為，查詢或者復(fù)制個(gè)人信息本來就是法律賦予自然人的權(quán)利，如果該權(quán)利受到侵害卻無法得到司法救濟(jì)，還不如不規(guī)定。對此，筆者認(rèn)為，原則上必須是先向信息控制者提出請求且被無正當(dāng)理由加以拒絕后，才能提起訴訟，否則容易導(dǎo)致自然人濫用該權(quán)利給信息控制者增加負(fù)擔(dān)。

另一方面，自然人查閱、復(fù)制其個(gè)人信息的權(quán)利是否包含了個(gè)人信息的可攜帶權(quán)，或者是否可以從其中解釋出該權(quán)利？這個(gè)問題在我國民法典編纂之前就已經(jīng)存在很大的爭論。筆者認(rèn)為，自然人的復(fù)制權(quán)可以解釋出個(gè)人信息的可攜帶權(quán)。這是因?yàn)?，首先，既然自然人有?quán)復(fù)制其個(gè)人信息，那么，信息處理者應(yīng)當(dāng)提供該自然人的個(gè)人信息的副本，其形式包括紙質(zhì)也包括電子的，而電子的個(gè)人信息就是個(gè)人數(shù)據(jù)，其應(yīng)當(dāng)是結(jié)構(gòu)化的、通用的、機(jī)器可讀的。其次，自然人雖然同意處理者處理其個(gè)人信息，但并不因此喪失對其個(gè)人信息的支配。第三，在競爭中，網(wǎng)絡(luò)企業(yè)等數(shù)字經(jīng)濟(jì)主體當(dāng)然可以竭盡全力去吸引用戶，將其在某個(gè)網(wǎng)絡(luò)企業(yè)中的個(gè)人數(shù)據(jù)轉(zhuǎn)移到自己這里來，這種競爭行為當(dāng)然必須是合法的。如果是不正當(dāng)競爭，自有反不正當(dāng)競爭法加以規(guī)制。不能因?yàn)榇嬖诳赡苡腥死每蓴y帶權(quán)來進(jìn)行不正當(dāng)競爭，就反對這種權(quán)利本身。

3.針對錯(cuò)誤信息提出異議及要求采取更正等必要措施的權(quán)利。依據(jù)民法典第一千零三十七條第1款第2句，自然人發(fā)現(xiàn)信息有錯(cuò)誤的，有權(quán)提出異議并請求及時(shí)采取更正等必要措施。因?yàn)橐坏﹤€(gè)人信息錯(cuò)誤而不及時(shí)更正，就會(huì)對自然人產(chǎn)生不利的影響，例如，基于錯(cuò)誤個(gè)人信息進(jìn)行的信用評價(jià)或自動(dòng)化決策，會(huì)對自然人的民事權(quán)益造成損害。故此，法律上允許自然人在發(fā)現(xiàn)個(gè)人信息有錯(cuò)誤后予以更正。

4.刪除個(gè)人信息的權(quán)利。民法典第一千零三十七條第2款規(guī)定了刪除權(quán)行使的具體情形：其一，信息處理者違反法律、行政法規(guī)的規(guī)定處理其個(gè)人信息的；其二，信息處理者違反雙方的約定使用其個(gè)人信息的。這兩種情形可以說涵蓋了需要?jiǎng)h除個(gè)人信息的全部情形。除此之外，是否還有必要規(guī)定被遺忘權(quán)？筆者認(rèn)為，在我國法上，沒有必要單獨(dú)規(guī)定被遺忘權(quán)，理由在于：其一，如果網(wǎng)絡(luò)上發(fā)布的信息涉及侵害自然人的名譽(yù)權(quán)、隱私權(quán)等人格權(quán)益時(shí)，自然人基于名譽(yù)權(quán)、隱私權(quán)當(dāng)然有權(quán)行使停止侵害、排除妨礙等人格權(quán)請求權(quán)，要求發(fā)布相關(guān)信息的網(wǎng)絡(luò)用戶刪除該等信息，同時(shí)也有權(quán)依據(jù)民法典第一千一百九十五條要求網(wǎng)絡(luò)服務(wù)提供者采取刪除、屏蔽、斷開鏈接等必要措施。其二，如果自然人發(fā)現(xiàn)信息控制者違反法律、行政法規(guī)的規(guī)定或者雙方的約定收集、處理其個(gè)人信息的，則依據(jù)民法典第一千零三十七條第2款有權(quán)請求信息控制者及時(shí)刪除。其三，如果允許自然人可以沒有任何正當(dāng)性理由就要求刪除相關(guān)信息，勢必會(huì)出現(xiàn)歪曲真相，損害公眾的知情權(quán)，甚至構(gòu)成對公眾的欺騙的不良后果。

民法典總則編規(guī)定的免責(zé)事由包括不可抗力、正當(dāng)防衛(wèi)、緊急避險(xiǎn)。侵權(quán)責(zé)任編還規(guī)定了受害人故意、自甘冒險(xiǎn)以及自助行為。這些免責(zé)事由也可以適用于侵害個(gè)人信息的民事責(zé)任。

明確了侵害個(gè)人信息的免責(zé)事由

民法典總則編規(guī)定的免責(zé)事由包括不可抗力、正當(dāng)防衛(wèi)、緊急避險(xiǎn)。侵權(quán)責(zé)任編還規(guī)定了受害人故意、自甘冒險(xiǎn)以及自助行為。這些免責(zé)事由也可以適用于侵害個(gè)人信息的民事責(zé)任。不過，因?yàn)檎?dāng)防衛(wèi)、緊急避險(xiǎn)而侵害個(gè)人信息的情形較為少見，比較有可能的是因?yàn)椴豢煽沽Χ鴮?dǎo)致處理者所儲(chǔ)存的個(gè)人信息丟失的情形，例如因?yàn)榈卣鸲鴮?dǎo)致存儲(chǔ)個(gè)人信息的設(shè)備損壞，此時(shí)處理者可以以不可抗力作為免責(zé)事由。

民法典第一千零三十六條對侵害個(gè)人信息的民事責(zé)任的免責(zé)事由作出了特別的規(guī)定，該規(guī)定用于違約責(zé)任也適用于侵權(quán)責(zé)任。具體闡述如下：

1.在該自然人或者其監(jiān)護(hù)人同意的范圍內(nèi)合理實(shí)施的行為。其個(gè)人信息被處理的自然人或者其監(jiān)護(hù)人的同意是個(gè)人信息處理的合法性基礎(chǔ)，如果依法取得自然人或者其監(jiān)護(hù)人的同意且在該同意的范圍內(nèi)實(shí)施的個(gè)人信息處理行為，屬于合法的個(gè)人信息處理行為，處理者自然無需承擔(dān)民事責(zé)任。但是，沒有取得同意或者雖然取得同意但是超出了同意的范圍，如改變了同意的處理目的或處理方式等，依然構(gòu)成侵害個(gè)人信息的違法行為，應(yīng)當(dāng)承擔(dān)民事責(zé)任。

2.合理處理該自然人自行公開的或者其他已經(jīng)合法公開的信息，但是該自然人明確拒絕或者處理該信息侵害其重大利益的除外。對于已經(jīng)合法公開的個(gè)人信息，無論是自然人自行公開的還是其他已經(jīng)合法公開的個(gè)人信息，原則上是可以無需告知并取得自然人的同意即能夠自由地進(jìn)行處理，因?yàn)檫@有利于促進(jìn)信息的流動(dòng)與利用，對于網(wǎng)絡(luò)信息社會(huì)和數(shù)字經(jīng)濟(jì)的發(fā)展是有利的。

3.為維護(hù)公共利益或者該自然人合法權(quán)益，合理實(shí)施的其他行為。所謂維護(hù)公共利益包括維護(hù)國家利益、社會(huì)利益等情形，例如，當(dāng)大規(guī)模疫情或?yàn)?zāi)難發(fā)生時(shí)，為了疫情防控和減災(zāi)的需要對個(gè)人信息進(jìn)行收集、使用等處理行為。所謂維護(hù)該自然人的合法權(quán)益，例如，甲突發(fā)疾病而生命垂危，急需在掌握其既往病史等個(gè)人信息的基礎(chǔ)上進(jìn)行治療，而又無法取得其本人或近親屬的同意。此時(shí)，為了挽救甲的生命，可以實(shí)施個(gè)人信息處理行為。當(dāng)然，無論是為了公共利益還是該自然人的合法權(quán)益，都必須是合理實(shí)施的行為，即不得違反個(gè)人信息處理的合法、正當(dāng)、必要的原則。