個人信息保護

第一百一十一條 【個人信息保護】
自然人的個人信息受法律保護。任何組織和個人需要獲取他人個人信息的，應當依法取得并確保信息安全，不得非法收集、使用、加工、傳輸他人個人信息，不得非法買賣、提供或者公開他人個人信息。
一、歷史由來
本條屬于新增規定。對個人信息的保護，傳統民法主要通過保護個人隱私、設置隱私權的方式進行。2002年12月《民法（草案）》第一編（總則）第90條規定中明確了自然人享有隱私權?！吧缈圃焊濉眻猿謧鹘y民法的通過隱私權保護個人信息的做法，并未對個人信息保護作出單獨的規定。其第24條規定：“自然人享有隱私權。禁止竊取、竊聽、偷錄、偷拍他人隱私。未經本人同意，不得披露或者利用他人私生活秘密，或者實施其他損害他人隱私的行為。但在為保護他人權利或者公共利益所必要的限度內，由法律規定可以披露或者利用他人隱私的，依照其規定?！?br> 但是，從嚴格意義上講，“個人信息”是一個較為寬泛的概念，其中包括了涉及隱私或者涉及私生活的信息。而受到計算機和網絡技術的影響，資訊發達、信息共享及虛擬網絡空間生活等，使包括隱私在內的個人信息安全成為高度敏感的議題；與此伴生的，是與個人信息相關的人格利益受損現象日益嚴重，為此，在法學理論界和司法實務界，除了用“隱私”之外，與人格利益相關的自由、自決和自治等內容模糊、外延寬泛的概念，也被用來描述個人數據、數據處理或者個人信息數字化問題，并成為一種不確定性的法律救濟途徑。事實上，雖然涉及私生活的信息也是一種隱私，但個人信息的范圍要大得多，通隱私權的保護，并不能完成對個人信息的完整保護。
為此，《民法總則》起草之初，人們想到了通過新增設知識產權的客體類型，相應地增加一類知識產權權利類型即“數據信息權”，加強對數據信息的保護。在《民法總則（草案）》（一審稿）中，第108條是關于知識產權的條款，其第2款第8項增設了“數據信息”這一客體，與著作權、專利權、商標權等權利所對應的客體（如作品、專利、商標等），并行列舉。這種設計，旨在透過人格屬
性明確的隱私權和具有知識產權屬性的“數據信息權”，達到保護個人信息的
目的。
然而，“數據信息”能夠成為一類知識產權的客體嗎？相應地，“數據信息權”是一種獨立的知識產權類型嗎？數據庫的保護、信息網絡傳播權等是基于傳統著作權的延伸，注重的是數字化及其傳播行為的保護與限制，雖有人格利益存在，但更側重保護其財產性權利。這一點，與個人信息保護側重于人格性質的權利有所不同。因此，《民法總則（草案）》二審稿、三審稿單設一條，規定了個人信息保護：“自然人的個人信息受法律保護。任何組織和個人不得非法收集、利用、加工、傳輸個人信息，不得非法提供、公開或者出售個人信息?！蓖瑫r，對于知識產權屬性尚不確定的“數據信息”也設專門條文，進行了授權立法規定：“法律對數據、網絡虛擬財產的保護有規定的，依照其規定?！弊源?，《民法總則》開啟了對個人信息專門保護模式的設計。事實上，這一模式，也是諸多學者建議所采取的一種模式。
“人民大學稿”設立了“私人信息”“個人資料收集”和“個人資料保護”三個條款，對個人信息加以保護。該建議稿第二編“人格權”設第五章第二節“隱私權”，其中第363條規定關于“私人信息”的，有四款規定。
第363條（私人信息）規定：
“自然人的私人信息受法律保護。
未經本人同意，禁止非法窺視、竊聽、刺探、竊取、偷錄、偷拍、披露他人的私人信息。但法律另有規定的除外。
私人信息可以向特定的人披露，并準許特定人利用，或向社會公眾公開，視為放棄私人信息。
私人信息的公開和利用不得違反公序良俗?！?br> 關于“個人資料收集”，設專門條文（第369條），分三款規定。
第369條（個人資料收集）規定：
“禁止非法收集、儲存、轉讓、傳播和公開他人的個人資料。
收集、儲存、披露、或超出收集目的而使用涉及自然人隱私的個人資料，須征得其本人的同意，若本人死亡或喪失民事行為能力，則必須得到其親屬同意，但法律另有規定的除外。
個人資料指自然人的姓名、性別、年齡、民族、婚姻、家庭、教育、職業、住址、健康、病歷、個人經歷、社會活動等足以識別該人的資料?！?br> 關于“個人資料保護”，設專門條文（第370條），分三款規定：
“個人資料的收集必須基于與收集者本身職能有關的合法目的，以合法、公平的方法實施，并保證所收集資料的真實性。
收集者應當采取合理的措施告知當事人：其是否有義務提供資料；收集該資料的目的；該資料可能轉移和披露的范圍；其查閱、修改資料的權利。
被收集人享有查閱、修改、更新其個人資料的權利，法律另有規定或者當事人特別約定的除外?！?br> “人民大學稿”更加注重人格權，設立了人格權專編。不過，這三個條文都納入了“隱私權”的范疇。擬定者認為，在范圍上，隱私包括私人信息、私人活動和私人空間。其中，私人信息，也稱為個人情報資料、個人資訊，包括所有的個人情況、資料。但事實上，對“私人活動”或者“私人空間”的刺探、了解和掌握等行為，也屬于第369條“個人資料收集”的范圍（特別是該條第四款所定義的“社會活動”部分），應該作為“私人信息”予以保護。不過，結合這一建議稿的立法理由，我們發現，擬定者在相同意義上使用了“私人信息”和“個人信息”的概念，并認為隱私權人對于個人信息享有支配權。而且，這種隱私權人的支配權被定義為：自然人對于自己的隱私有權按照自己的意愿進行支配，主要內容包括：一是公開部分隱私；二是準許對個人活動和個人領域進行察知；三是準許人利用自己的隱私。從傳統意義上講，這種支配權的核心在于自然人對個人信息的不公開、不愿意為他人所知悉。但王利明主持這一建議稿，轉而開始強調了對個人信息可利用性之掌控。
事實上，對于網絡環境下個人信息的保護，我國已經有了相關立法?！蛾P于加強網絡信息保護的決定》（2012年12月28日）對于能夠識別公民個人身份和涉及公民個人隱私的電子信息如何收集、使用、傳輸和提供等，進行了專門規定。在司法實踐中，《最高人民法院關于審理利用信息網絡侵害人身權益民事糾紛案件適用法律若干問題的規定》（2014年）第12條第1款規定：“網絡用戶或者網絡服務提供者利用網絡公開自然人基因信息、病歷資料、健康檢查資料、犯罪記錄、家庭住址、私人活動等個人隱私和其他個人信息，造成他人損害，被侵權人請求其承擔侵權責任的，人民法院應予支持?！辈贿^，因為對權利主體享有個人信息的權利屬性認識不一，司法實踐中法院的做法也各不相同。有的法院認為個人信息權益屬于隱私權，有的法院認為屬于名譽權．有的法院則直接表述為個人信息權。
《網絡安全法》（2017年6月1日起施行）將《關于加強網絡信息保護的決定》中涉及個人網絡信息保護的內容，基本上納入了該法的規范體系?！毒W絡安全法》是《關于加強網絡信息保護的決定》的具體化和規范化?！蛾P于加強網絡信息保護的決定》第4條規定了網絡服務提供者及其他掌握個人信息主體的“確保信息安全”的責任，條文內容為：“網絡服務提供者和其他企業事業單位應當采取技術措施和其他必要措施，確保信息安全，防止在業務活動中收集的公民個人電子信息泄露、毀損、丟失。在發生或者可能發生信息泄露、毀損、丟失的情況時，應當立即采取補救措施?！薄毒W絡安全法》第42條第2款規定承襲此條規定：“網絡運營者應當采取技術措施和其他必要措施，確保其收集的個人信息安全，防止信息泄露、毀損、丟失。在發生或者可能發生個人信息泄露、毀損、丟失的情況時，應當立即采取補救措施，按照規定及時告知用戶并向有關主管部門報告?！?017年2月16日，全國人大常委會法律委員會在《民法總則（草案）》提交給全國人民代表大會第五次全體會議最后審議前時，在原來三審稿基礎上，增加了“任何組織和個人應當確保依法取得的個人信息安全”的規定，更加強調了在依法獲取個人信息之后的民事主體所具有的積極義務，即確保個人信息的安全。此間尚作如此修改，可謂用心良苦也。由此形成的《民法總則（草案）》第110條規定：“自然人的個人信息受法律保護。任何組織和個人應當確保依法取得的個人信息安全，不得非法收集、使用、加工、傳輸個人信息，不得非法買賣、提供或者公開個人信息?！?br> 在第十二屆全國人民代表大會第五次全體會議審議中，本條順序號被調整為第111條，基本內容沒有什么實質性變化，但具體文字進行了調整，使表述更為精確。本條規定：“自然人的個人信息受法律保護。任何組織和個人需要獲取他人個人信息的，應當依法取得并確保信息安全，不得非法收集、使用、加工、傳輸他人個人信息，不得非法買賣、提供或者公開他人個人信息?！?br> 二、規范目的與含義
（一）規范目的
本條規定個人信息的保護。一方面，在隱私權之外，確立自然人對其個人信息享有的民事權利，一定程度上明確了“個人信息權”，透過權利設計保護個人信息的安全及其不可侵犯的特征；另一方面，因應信息社會之需求，定分止爭，促進數據的自由流通和利用，即可以依法取得他人個人信息，但同時負有確保他人個人信息安全的義務。本條文雖然沒有直接規定自然人享有“個人信息權”，但對自然人而言，本條既是其具有民事權利的宣示性規定，也是確權性規定。同時，本條規定實則賦予了相關機關或者組織進行特別立法或者規定的權力，又是一種授權性的規范。法律如何保護個人信息、如何確保依法取得的個人信息之安全以及如何“依法取得”而不是“非法”之收集、使用、加工、傳輸、買賣、提供或者公開等，都有待下一步的立法配套與司法適用。
隨著互聯網、智能手機、傳感器等新科技的不斷普及與發展，越來越多的個人數據被采集和存儲下來，個人信息日漸數字化、網絡化和透明化。在大數 據時代，數據的價值更多的源自其二次利用。當這些數據被技術整合后，大數據能夠把人的行為進行放大分析，并逐漸還原個人生活全貌，使個人隱私無所遁形。大數據的應用，在一定程度上使個人信息泄露現象更加嚴重。例如，2013年2月中國人壽保險股份有限公司80萬名客戶信息泄露事件，引起軒然大波。經調查，由于該公司合作網站存在漏洞，導致保險客戶信息泄露，泄露的信息包括險種、手機號、身份證號、密碼等，造成了嚴重的后果和不良影響。
另外，由于大數據技術突飛猛進及其廣泛應用，個人信息也逐漸與公共利益或者國家利益關聯起來，保護個人信息已成為一種廣泛的社會需要，并面臨更為嚴峻的形勢。
（二）規范含義
《民法總則》第111條并未直截了當地提出“個人信息權”，也沒有界定“個人信息”的范圍?！毒W絡安全法》第七章（附則）界定了該法背景下的“個人信息”的含義?！毒W絡安全法》第76條規定：“個人信息，是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別自然人個人身份的各種信息，
包括但不限于自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等?！?br> 此前，國務院有關行政機關對個人信息也進行了定義。國家質量監督檢驗檢疫總局、國家標準化管理委員會2012年發布的《信息安全技術公共及商用服務信息系統個人信息保護指南》第3.2條規定，個人信息指“可為信息系統所處理、與特定自然人相關、能夠單獨或通過與其他信息結合識別該特定自然人的計算機數據。個人信息可以分為個人敏感信息和個人一般信息”。國家工業與信息化部2013年發布的《電信和互聯網用戶個人信息保護規定》第4條指出，“本規定所稱用戶個人信息，是指電信業務經營者和互聯網信息服務提供者在提供服務的過程中收集的用戶姓名、出生日期、身份證件號碼、住址、電話號碼、賬號和密碼等能夠單獨或者與其他信息結合識別用戶的信息以及用戶使用服務人的姓名、性別、出生時間、民族、婚姻狀況、家庭狀況、教育背景、工作履歷、健
康信息、財務狀況等信息，也包括需要借助一定技術手段才能識別的基因信
息、電子指紋等信息。只要是任何單獨或者與其他信息比對即可識別特定自然人個人的客觀信息，都是受到法律保護的個人信息。
本條文規定的個人信息之權利主體，是指自然人，并不包括法人或者非法人組織。本條是憲法規定的古典基本權利在民法中確立之后，為適應現代社會發展所增設的人格利益延伸的基本條款。本條文也是旨在拓展作為自然人一般人格的人格尊嚴與自由，實現并維護作為自然人的“個人”所具有的獨立人格和自由精神。與自然人不同，法人或者非法人組織是一種社會的組織形式，除自身商業秘密或者機密之外，還在于以登記、公示等公開形式參與商業活動或者社會活動。因此，在現代社會，法人或者非法人組織公開相關信息，才符合交易安全和公眾利益。誠然，法人或者非法人組織也存在一定的人格利益如名譽、商譽等，但與此相關的客觀信息只要存在，毀譽自存，實乃有利于大眾識別與社會整體利益之提升。至于涉及法人或者非法人組織的名稱、名譽、榮譽等受到損害的情形，則適用保護法人或者非法人組織的名稱權、名譽權、榮譽權等相關規定。
本條文規定個人信息受法律保護，但沒有從正面確立個人信息的民事權利內容，而是從權利相對方即任何組織和個人所負有的義務進行規定的。在面對他人的個人信息時，任何組織或者個人都負有三項主要的義務：第一，應當確保依法取得的個人信息安全；第二，不得非法收集、使用、加工、傳輸個人信息；第三，不得非法買賣、提供或者公開個人信息。這三項義務中，前者是積極義務，要求依法獲取他人個人信息的特定義務主體積極作為，確保他人個人信息的安全；后兩者是消極義務，是一種禁止性規定，即對他人的個人信息，任何組織或者其他任何人，只要不去收集、使用、加工、傳輸、買賣、提供或者公開，就可以了。
然而，客觀上，盡管自然人對其個人信息所享有的權利是人格性質的，但也存在商業利用的現象。但是，個人信息商業利用的前提就是界定權利的邊界，由此可以厘清具體的權利形態及其交易方式。因此，如何因應技術進步與時代發展去采集與利用他人的個人信息，《民法總則》在這方面并未關上禁止的時間、地點等信息”。
綜合來看，個人信息就是指那些能夠識別自然人個人身份的信息。某些信息是否納入個人信息法律保護框架，重點在于信息所具有的識別性及其與特定自然人的關聯性。這些個人信息，既包括我們能夠簡單識別的有關自然人的姓名、性別、出生時間、民族、婚姻狀況、家庭狀況、教育背景、工作履歷、健康信息、財務狀況等信息，也包括需要借助一定技術手段才能識別的基因信息、電子指紋等信息。只要是任何單獨或者與其他信息比對即可識別特定自然人個人的客觀信息，都是受到法律保護的個人信息。
本條文規定的個人信息之權利主體，是指自然人，并不包括法人或者非法人組織。本條是憲法規定的古典基本權利在民法中確立之后，為適應現代社會發展所增設的人格利益延伸的基本條款。本條文也是旨在拓展作為自然人一般人格的人格尊嚴與自由，實現并維護作為自然人的“個人”所具有的獨立人格和自由精神。與自然人不同，法人或者非法人組織是一種社會的組織形式，除自身商業秘密或者機密之外，還在于以登記、公示等公開形式參與商業活動或者社會活動。因此，在現代社會，法人或者非法人組織公開相關信息，才符合交易安全和公眾利益。誠然，法人或者非法人組織也存在一定的人格利益如名譽、商譽等，但與此相關的客觀信息只要存在，毀譽自存，實乃有利于大眾識別與社會整體利益之提升。至于涉及法人或者非法人組織的名稱、名
譽、榮譽等受到損害的情形，則適用保護法人或者非法人組織的名稱權、名譽權、榮譽權等相關規定。
本條文規定個人信息受法律保護，但沒有從正面確立個人信息的民事權利內容，而是從權利相對方即任何組織和個人所負有的義務進行規定的。在面對他人的個人信息時，任何組織或者個人都負有三項主要的義務：第一，應當確保依法取得的個人信息安全；第二，不得非法收集、使用、加工、傳輸個人信息；第三，不得非法買賣、提供或者公開個人信息。這三項義務中，前者是積極義務，要求依法獲取他人個人信息的特定義務主體積極作為，確保他人個人信息的安全；后兩者是消極義務，是一種禁止性規定，即對他人的個人信息，任何組織或者其他任何人，只要不去收集、使用、加工、傳輸、買賣、提供或者公開，就可以了。
然而，客觀上，盡管自然人對其個人信息所享有的權利是人格性質的，但也存在商業利用的現象。但是，個人信息商業利用的前提就是界定權利的邊界，由此可以厘清具體的權利形態及其交易方式。因此，如何因應技術進步與時代發展去采集與利用他人的個人信息，《民法總則》在這方面并未關上禁止的大門，而是留給市場和司法去進一步探索。
三、舉證責任分配
本條確立了自然人對其個人信息的民事權利，也確立了兩種責任類型：侵害他人個人信息的侵權責任和違反合同義務的違約責任。對個人信息的侵害，主要有三種情形：一是侵權人利用技術手段，在他人不知情的情形下非法收集或者濫用他人個人信息的；二是侵權人采取欺騙或者引誘方式致使他人產生重大誤解，讓他人在重大誤解的情形下向其提供個人信息的；三是個人信息的控制者違反法律、法規的規定或者合同的約定，在收集、使用、加工、傳輸他人個人信息過程中導致他人個人信息泄露，給他人造成損害的。這三種情形，前兩種情形，都是針對不特定主體的侵權責任；第三種情形，則是特定主體違反合同義務的違約責任。
本條并未明確規定個人信息侵權糾紛中舉證責任的分配?？疾煊蛲饬⒎ù祟惽謾嗉m紛多采取過錯推定、甚至無過錯責任的歸責原則。以德國法為例，德國《聯邦資料保護法》第7條規定：“當公務機關在本法或其他資料保護規定下，由于未經許可或不正確的個人資料自動化處理對資料本人造成損害的，公務機關有責任賠償本人的損失，而不論其是否有過錯?！痹摲ǖ?條又明確規定：“非公務機關違反本法或其他資料保護規定，進行不合法或不正確的自動化資料處理，資料本人對其主張損害賠償請求權，而其損害的發生是否出自資料檔案控制者的存在狀況，發生爭執的，個人資料檔案控制舉證責任?！庇纱丝梢?，在德國法中，個人資料侵權糾紛的舉證責任分配因資料控制者的不同，而有所差異：對個人資料處理不當造成的損害，公務機關應承擔無過錯責任；非公務機關對其民事侵權行為，造成損害的，應承擔過錯責任，并實行舉證責任倒置。建議我國《侵權責任法》和司法實踐中進一步明確個人信息侵權糾紛案件中舉證責任的分配問題。筆者認為，應該采用過錯推定原則，并適用舉證責任倒置的規則，從而降低權利人的證明責任和維權成本，切實加 強對個人信息的法律保護。
在獲取他人個人信息之后，個人信息的控制者對他人個人信息安全是一種嚴格的合同責任。這種嚴格責任的具體表述，就是“確保信息安全”之“確?！倍��?。因此，凡未盡到“確?！彼�人個人信息安全的合同義務，就要承擔相應的合同責任。為確保他人個人信息的安全，個人信息的控制者應盡勤勉義務，任何未采取必要安全措施的行為，都將導致其承擔合同責任。
四、其他問題
關于個人信息權的法律屬性，主要有以下六種學說：(1)憲法人權說，即個人信息權是一種基本人權；(2)-般人格權說，即個人信息權屬于一般人格權的范疇；(3)隱私權說，即通過隱私權囊括對個人信息的保護；(4)財產說，即將個人信息權歸入無形財產權的范疇；(5)新型權利說，即主張個人信息權是一種新型的復合性權利，具有人格和財產的雙重屬性；(6)獨立人格權說，即認為個人信息權應成為一項獨立的具體人格權。各種學說中，核心問題就是個人信息權與隱私權的糾葛問題。在美國，隱私是一個相對寬泛的概念，個人信息權益已被納入隱私權的范疇之中。但是，在我國，隱私權是一個相對狹窄的概念，《民法總則》更是將兩者并行規定在前后兩個不同的條款之中，表明了二者之間的區別。
從客觀上講，隱私權與個人信息權具有一定的相似性。這種相似性，主要體現在以下三個方面：第一，二者的權利主體都僅限于自然人，而不包括法人；第二，二者都體現了個人對其私人生活的自主決定；第三，二者在客體上具有交錯性。具體而言，一方面，許多未公開的個人信息本身就屬于隱私的范疇；另一方面，部分隱私權保護客體也屬于個人信息的范疇。但是，個人信息權與隱私權之間，也存在較大的差異。具體而言，表現在以下幾個方面：
第一，在保護客體的范圍上，隱私權與個人信息權有交叉但并不重合?！皞�人隱私與個人信息呈交叉關系，即有的個人隱私屬于個人信息，而有的個人隱私則不屬于個人信息；有的個人信息特別是涉及個人私生活的敏感信息屬于個人隱私，但也有一些個人信息因高度公開而不屬于隱私?！崩��?，電話號碼、工作單位、家庭住址等信息，出于交流的需要，人們常常在一定范圍內予以公開。這些信息，難以納入隱私權的范疇。
第二，隱私權一般被認為是一項精神性人格權，隱私權雖可被利用，但其財產價值并非十分突顯，而個人信息權則兼具人格利益與財產利益。因此，隱私權無法適應人格權商品化的相關理論，而個人信息權則并不排除對個人信息的商業利用。
第三，隱私權難以涵蓋個人信息權的全部權能。隱私權的設計，重點在于保密；而個人信息權的設計，重點則在于信息的控制與利用。隱私權是一種消極的防御性權利，在該權利遭受侵害之前，個人無法積極主動地行使權利，而只能在遭受侵害的情況下請求他人排除妨害、賠償損失等。而個人信息權既有消極權能，也有積極權能，權利人除了被動防御第三人的侵害之外，還可以對其進行積極利用。又如，個人信息權通常包括對個人信息記載有誤時個人所享有的修改權，而這無法被隱私權理論所囊括。
因此，遵循《民法總則》的思路，建議將個人信息的保護具體化，更加明確地界定為一項獨立的人格權即“個人信息權”。至于個人信息權的權利邊界、權利行使及法律責任，需要在制定民法典分編或者在制定相應的配套立法（如《個人信息保護法》）時，再加以配套和完善。這既是完善個人信息保護法律規范體系的需要，也是適應網絡信息社會發展的時代需求。

摘自：民法總則評注（上下冊），法律出版社2017年5月出版，內容簡介：深度解讀《民法總則》，由梁慧星、孫憲忠擔當學術顧問。據中國社會科學院法學所、國際法所聯合黨委書記陳甦介紹，新書由中國社科院牽頭，集合來自社科院法學所及全國10余家知名高校的高水平民法學者，共同編著了這本《民法總則評注》。

微店鏈接：https://weidian.com/item.html?itemID=2112063996