民法典人格權編的第六章名為“隱私權和個人信息保護”，本章總結我國既有立法經驗（如《網絡安全法》）和學界通說確立了隱私權和個人信息保護的基本規則。我國立法機關也正在起草個人信息保護法，未來的個人信息保護法將與民法典之中的規則配合起來，全面保護個人信息。

　　具體來說，第六章的主要內容包括：

　　宣示了自然人享有隱私權明確了隱私權的內涵

　　民法典第1032條第1款明確宣示“自然人享有隱私權”。同時，該條第2款對“隱私”的內涵進行了界定，即“自然人的私人生活安寧和不願為他人知曉的私密空間、私密活動、私密信息。”

　　隱私權的存在是為了合理劃分公共領域與私人生活，該制度的產生與發展反映了“從熟人社會到陌生人社會”的變遷。所以，在現代社會，隱私權日益重要，成為兩大法系都十分重視的權利類型。例如，法國於1970年修改民法典增加第9條規定，“每個人都享有其隱私獲得尊重的權利。”美國聯邦議會則於1974年制定了《隱私權法》。不過，在理論上，就如何界定“隱私”，存在不同的看法，包括：“獨處說”、“私密關系自治說”、“人性尊嚴說”、“資料保留權說”等不同的觀點。民法典第1032條第2款借鑒國際經驗，並總結我國理論研究成果，明確了隱私的內涵，即私生活安寧、私密空間、私密活動和私密信息。這裡突出強調了私生活安寧。因為私生活安寧是無法為私密空間、私密活動和私密信息所涵蓋的。我國甚至有學者提出，“生活安寧權”應當作為一種獨立的人格權。筆者認為，在“隱私”的概念中明確地指明“私生活安寧”，有助於解決實踐中出現的侵害私生活安寧的案件，如以電話、廣告、短信、垃圾郵件等干擾他人私生活的案件。

　　需要注意的是，在美國，其隱私權的重點逐漸向自我決定權轉移，大陸法系也出現了這樣的趨勢。從我國司法實踐來看，因妻子擅自墮胎而引發的“生育權”糾紛，實際上屬於私生活自主所要解決的問題。因此，筆者認為，隨著社會的發展，將來也可以考慮將私生活自主納入“隱私”的概念之中，從而有助於解決類似案件，也契合了隱私權制度發展的趨勢。

　　明確了侵害隱私權的具體表現

　　民法典第1032條第1款一般性地規定了侵害隱私權的方式，包括“刺探、侵擾、泄露、公開等”。同時，第1033條具體列舉了實踐中典型的侵害隱私權的行為，依據該條規定，包括如下類型：

　　一是以電話、短信、即時通訊工具、電子郵件、傳單等方式侵擾他人的私人生活安寧。例如，行為人常常在夜間給他人打騷擾電話，就屬於典型的侵害私人生活安寧。

　　二是進入、拍攝、窺視他人的住宅、賓館房間等私密空間。例如，有個別違法分子在鄰居的窗戶上安裝攝像頭，偷窺鄰居夫妻在房間內的活動，就屬於此種類型。再如，擅闖他人住宅，也可以構成對他人隱私權的侵害。

　　三是拍攝、窺視、竊聽、公開他人的私密活動。例如，實踐中的“盯梢”就屬於此種類型。

　　四是拍攝、窺視他人身體的私密部位。例如，行為人在他人浴室內違法安裝攝像頭，偷窺他人身體私密部位，就屬於此種類型。

　　五是處理他人的私密信息。例如，公司未經職工允許，通過一種APP收集職工的行蹤信息，就屬於此種類型。再如，在網絡上公布他人患有艾滋病的信息，也屬於此種類型。

　　本條規定既有利於法院裁判案件，又有利於為社會公眾提供行為指引，使人們知悉自己的行為邊界。

　　宣示了個人信息受法律保護明確了個人信息的內涵和外延

　　隨著社會的發展，個人信息保護日益受到重視，民法典第1034條第1款明確地宣示了“自然人的個人信息受法律保護。”這裡明確了，個人信息的權利主體限於自然人，而不包括法人和非法人組織。同時，本條沒有明確地使用“個人信息權”的表述，應當理解為立法機關將其界定為受法律保護的利益。從人格權的體系來觀察，可以認為，個人信息屬於一般人格權的范疇，這與聲音是類似的。

　　為了明確個人信息的保護范圍，第1034條第2款總結《網絡安全法》第76條的立法經驗，明確了個人信息的內涵和外延，該條規定“個人信息是以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人的各種信息，包括自然人的姓名、出生日期、身份証件號碼、生物識別信息、住址、電話號碼、電子郵箱、健康信息、行蹤信息等。”本條規定借鑒了國際上的立法經驗，也總結了我國實踐經驗。就個人信息的內涵界定，採用了比較法上通行的“可識別性”規則，即凡是能夠直接或間接地識別特定自然人的信息都屬於個人信息。此外，考慮到個人信息中的私密信息，同時也屬於隱私的范疇，民法典第1034條第3款規定：“個人信息中的私密信息，適用有關隱私權的規定﹔沒有規定的，適用有關個人信息保護的規定。”

　　處理個人信息應遵循的基本原則

　　民法典第1035條第2款明確了，“個人信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開等。”我國《網絡安全法》第41條就個人信息的處理確立了基本原則。民法典總結了這一立法經驗，在其第1035條第1款明確了處理自然人個人信息應遵循的基本原則，即合法原則、正當原則和必要原則。例如，在2019年發生的郭某起訴杭州野生動物世界案件中，被告告知原告“原指紋識別已取消，未注冊人臉識別的用戶將無法正常入園”。筆者認為，這可能違反了必要原則，因為野生動物世界並不必要求用戶“注冊人臉識別”。

　　同時，該條還明確，收集和處理自然人的個人信息，應當符合如下四項條件：一是征得該自然人或者其監護人同意，但是法律、行政法規另有規定的除外。二是公開處理信息的規則。例如，在很多購物網站上，都公示其收集消費者信息的規則。《歐盟數據保護通用條例》（GDPR）第8條強調，數據控制者必須能夠証明其從監護人那裡獲得了同意，我國民法典雖然沒有明確，但也可以如此解釋。三是明示處理信息的目的、方式和范圍。例如，學校因招生考試而要求學生提供身份証復印件，就要明示，收集到的身份信息僅用於此次招生考試活動。四是不違反法律、行政法規的規定和雙方的約定。

　　需要注意的是，就個人的敏感信息，其處理應當有更嚴格的法律規制。所謂敏感信息包括能夠揭示個人的種族、政治傾向、宗教和哲學信仰、個人健康、基因信息和生物信息等。《歐盟數據保護通用條例》強調了其處理要適用特殊的規則，要進行非常嚴格的限制。這一做法值得借鑒。

　　明確了個人信息權利人的權利

　　依據民法典的規定，個人信息權利人享有的權利（確切地說是權能）包括：

　　一是查詢權。民法典第1037條第1款規定，“自然人可以依法向信息處理者查閱或者復制其個人信息”。據此，自然人作為個人信息權利的主體，享有查詢個人信息的權利。

　　二是更正權。民法典第1037條第1款規定，個人信息權利人“發現信息有錯誤的,有權提出異議並請求及時採取更正等必要措施。”更正權可以理解為是人格權請求權中的排除妨害或停止侵礙。

　　三是刪除權。民法典第1037條第2款規定，“自然人發現信息處理者違反法律、行政法規的規定或者雙方的約定處理其個人信息的，有權請求信息處理者及時刪除。”刪除權也可以理解為是人格權請求權中的排除妨害或停止侵礙。

　　依據《歐盟數據保護通用條例》（GDPR）第17條和第20條的規定，個人信息權利人享有的權利還包括被遺忘權、信息可攜權（即將個人信息從一個信息服務提供者轉移到另一個信息服務提供者處的權利）等。我國民法典對此並沒有規定，我國未來的個人信息保護法可以考慮是否予以規定。

　　處理個人信息時的免責規則

　　為了避免因個人信息保護而損害社會公共利益，民法典確立了處理個人信息時的免責規則。依據第1036條的規定，處理自然人個人信息，有下列情形之一的，行為人不承擔民事責任：

　　一是在該自然人或者其監護人同意的范圍內合理實施的行為。這可以理解為是受害人同意規則的具體運用。

　　二是合理處理該自然人自行公開的或者其他已經合法公開的信息，但是該自然人明確拒絕或者處理該信息侵害其重大利益的除外。這一規定對於數據產業和數字經濟的發展具有重要意義，有助於平衡個人信息保護和數據共享之間的關系。

　　三是為維護公共利益或者該自然人合法權益,合理實施的其他行為。例如，為了通緝罪犯而公開其身份証號碼，就屬於為了維護公共利益而侵害個人信息。

　　信息處理者的義務

　　在個人信息保護中，信息處理者的義務非常重要。民法典第1038條明確了信息處理者的主要義務，包括：

　　一是“不得泄露、篡改其收集、存儲的個人信息”的義務。從實踐來看，泄露個人信息的事件時有發生，對個人信息造成嚴重威脅。電信詐騙往往都是因為個人信息被泄露引發的。

　　二是“不得向他人非法提供其個人信息”的義務。這就意味著，除非經過信息權利人同意，否則，不得向他人提供個人信息。不過，本條同時明確了，“經過加工無法識別特定個人且不能復原的”個人信息，可以向他人提供。這一規定對於信息的共享和信息產業的發展，具有重要意義。

　　三是確保其收集、存儲的個人信息安全的義務。信息處理者應當採取技術措施和其他必要措施，確保其收集、存儲的個人信息安全,防止信息泄露、篡改、丟失。

　　四是個人信息泄露、篡改、丟失后的報告義務。這就是說，在發生或者可能發生個人信息泄露、篡改、丟失的，應當及時採取補救措施，依照規定告知信息權利人並向有關主管部門報告。

　　機關法人及其工作人員

　　對自然人隱私和個人信息的保密義務

　　從實踐來看，國家機關、承擔行政職能的法定機構及其工作人員在履行職責過程中知悉了較多的自然人隱私和個人信息，在法律上確立其保密義務具有重要的現實意義。例如，教育行政部門掌握了考生的個人信息，如果泄露就可能為犯罪分子進行電信詐騙提供便利。因此，民法典第1039條特別強調，“國家機關、承擔行政職能的法定機構及其工作人員對於履行職責過程中知悉的自然人的隱私和個人信息，應當予以保密，不得泄露或者向他人非法提供。”國家機關和法定機構合成為機關法人。

　　法定機構指“根據特定的法律、法規或者規章設立，依法承擔公共事務管理職能或者公共服務職能，不列入行政機構序列，具有獨立法人地位的公共機構”。法定機構是在我國行政體制改革和事業單位改革大背景下引入並設立的公共組織。例如，深圳市城市規劃發展研究中心、南方科技大學等都屬於法定機構。本條適用於“承擔行政職能的法定機構”。雖然本條沒有明確機關法人及其工作人員違反保密義務的法律后果，但是，結合《國家賠償法》等法律的規定，其自然要承擔法律責任。

　　（作者為北京航空航天大學法學院教授）

分享讓更多人看到