《民法典》强化隐私权和个人信息的民法保护

2018年8月，《中华人民共和国民法典（草案）》首次对外公布，并经过第十三届全国人大常委会多次审议，不断的修改、完善。2019年12月，经第十三届全国人大常委会第十五次会议审议，全国人大常委会决定将《中华人民共和国民法典（草案）》提交第十三届全国人民代表大会第三次会议审议。2020年5月28日，第十三届全国人大三次会议表决通过《中华人民共和国民法典》（简称“《民法典》”），其中人格权独立成编，成为亮点之一 （简称“《民法典人格权编》”）。《民法典人格权编》以专章八个条款，对隐私权和个人信息保护的定义范围、个人信息保护要求、责任主体和相对自然人的权利义务进行规定，将于2021年1月1日起实施。

一、 区分、明确个人信息与隐私权的边界

在《民法典人格权编》生效之前，《民法总则》第110条明确自然人享有隐私权，第111条明确规定个人信息受法律保护，但《民法总则》并未对“个人信息”、“隐私”作出定义。《民法典人格权编》在现行法律规定的基础上，首次对“隐私”的定义作出了规定，进一步明确了个人信息与隐私权的边界和范围。

《民法典人格权编》第1032条基本采纳了目前关于隐私权界定的通说，规定“隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息”，第1034条明确：“个人信息中的私密信息，适用有关隐私权的规定；没有规定的，适用有关个人信息保护的规定”。

二、 明确个人信息的范围

在《民法典人格权编》生效之前，个人信息的定义分别在《电信和互联网用户个人信息保护规定》、《侵害消费者权益行为处罚办法》、《中华人民共和国网络安全法》（简称“《网络安全法》”）等法律法规之中均有规定。相较于《网络安全法》第76条的规定，《民法典人格权编》第1034条在个人信息定义的列举部分增加了“电子邮箱、健康信息、行踪信息”，其规定，“个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息，包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。”在《民法典人格权编》草案三审稿审议的过程中，部分委员建议应当区分一般信息和敏感信息、对可能影响人身财产安全的个人隐私敏感信息的内涵和范围适度扩大 ，但《民法典人格权编》最终并没有在草案三审稿的基础上进一步区分一般信息和个人敏感信息。这也可能留待《民法典》生效后在民事司法实践之中的进一步解释和应用。

三、 引入个人信息保护要求

《民法典人格权编》第1035条重申了合法、正当、必要的原则并规定了处理个人信息的具体要求：（1）征得自然人或监护人同意，但是法律、行政法规另有规定的除外；（2）公开处理信息的规则；（3）明示处理目的、方式和范围；（4）不违反法律、行政法规的规定和双方的约定。

相较于《网络安全法》等以往的法律法规，《民法典人格权编》在获取信息主体同意时，强调了对于未成年人等无民事行为能力人或者限制民事行为能力人的个人信息收集需要征得监护人同意。关于未成年人个人信息保护，《民法典》规定不满18周岁的自然人为未成年人，属于无民事行为能力人或限制行为能力人¹。处理未成年人个人信息的，应获得监护人同意。而《儿童个人信息网络保护规定》规定收集、使用不满14周岁的未成年人个人信息的，应当征得儿童监护人的同意。关于处理已满14周岁但未满18周岁未成年人的个人信息是否需要取得监护人同意，需要在实践中进一步明确。并且，该条还适用于其他无民事行为能力或限制行为能力人的情形，如处理辨别能力不足的老年人的个人信息等，具体如何实施也需要明确。

此外，《民法典人格权编》删除了个人信息收集的概念，而将收集视为个人信息处理的一部分，规定“个人信息处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等”。相较于《民法典人格权编》草案三审稿，该条额外强调了“不得过度处理”个人信息。

《民法典人格权编》第1037条明确了自然人对其个人信息所享有的权利。除《网络安全法》明确的更正权、删除权之外，《民法典人格权编》进一步规定了自然人可以依法查阅或者复制其个人信息的权利。根据《信息安全技术 个人信息安全规范》规定，个人信息主体可向个人信息控制者请求实现个人信息主体的权利，委托处理者、相关个人信息接收方协助个人信息控制者响应个人信息权利的请求²。而《民法典人格权编》第1037条则规定自然人有权向信息处理者依法行使其个人信息主体权利，则似乎是意味着自然人有权向收集、存储、使用、加工其个人信息的各方主体请求行使个人信息主体权利。这一点还待在实践之中明确。

四、 规定个人信息保护的责任义务及例外情形

《民法典人格权编》第1036条首次明确规定了行为人处理个人信息不承担民事责任的三种情形：（1）在自然人或者其监护人同意的合理范围内；（2）合理处理该自然人自行公开的或者其他已经合法公开的信息，但是该自然人明确拒绝或者处理该信息侵害其重大利益的除外；（3）为了维护公共利益或者该自然人合法权益，合理实施的其他行为。

《民法典人格权编》第1038条规定，信息处理者不得泄露或者篡改其收集、存储的个人信息；未经自然人同意，不得向他人非法提供个人信息，但是经过加工无法识别特定个人且不能复原的除外。

另外，《民法典》第999条也规定，为公共利益实施新闻报道、舆论监督等行为的，可以合理使用民事主体的姓名、名称、肖像、个人信息等；使用不合理侵害民事主体人格权的，应当依法承担民事责任。

五、 增加了国家机关及其工作人员保护个人信息的义务

《民法典人格权编》第1039条明确规定国家机关、承担行政职能的法定机构及其工作人员对于履行职责过程中知悉的自然人的隐私和个人信息，应当予以保密, 不得泄露或者向他人非法提供自然人隐私和个人信息。

在《民法典人格权编》草案三审稿审议过程中，部分委员指出，建议增加关于泄露、篡改、非法提供个人信息以及国家机关及其工作人员泄露或者向他人非法提供自然人隐私和个人信息的责任条款 ，但《民法典人格权编》最终并未明确非法提供个人信息的相关责任。

六、 其他个人信息和隐私保护条款

《民法典》之中也对两类特殊情形下的个人信息保护要求作出了特别规定。

第一，特别规定了患者隐私和个人信息保护，1226条规定，医疗机构及其医务人员应当对患者的隐私和个人信息保密。泄露患者的隐私和个人信息，或者未经患者同意公开其病历资料的，应当承担侵权责任。

第二，1030条规定，民事主体与征信机构等信用信息处理者之间的关系，适用《民法典人格权编》有关个人信息保护的规定和其他法律、行政法规的有关规定。

七、 我们的观察

《民法典》经过多次审议、修改最终定稿，在民法体系下区分、确定了个人信息与隐私权的边界、明确了个人信息的范围，引入了个人信息保护的要求，规定了个人信息保护的责任与义务，并为下一步制定个人信息保护法留下了空间。该等条款在未来的司法实践之中将如何具体运用，在隐私权之外，“个人信息”保护之诉如何成为个人的救济途径，都非常值得关注。

1.《民法典》第17、18、19、20条

2.GB/T 35273—2020 《信息安全技术 个人信息安全规范》第8、9.1、9.2条