【 条文主旨 】

　　本条是关于个人信息权及义务人对自然人个人信息权所负 有义务的规定。

　　【 条文理解 】

　　一 、关于民法规定个人信息权的必要性

　　个人信息权是《民法总则》中新增加的规定，在《民法通则》中 并无规定，此次《民法典》编纂将之完全吸收了进来。个人信息权与 自然人的日常生活、工作密切相关，在过去信息传播并不是特别发达 的时代，自然人的个人信息权并未受到足够的注意，也 一 直没有成为 法律学科包括民法重点研究的对象。随着现代信息技术的发展，信息 交流空前简单化和便捷化，不仅带来了社会生活的巨变，还给个人信 息安全带来了威胁。自然人个人从事社会交往、工作、生活、出行、 娱乐等各项活动均涉及个人信息的收集问题，有关个人和组织根据自 然人个人的意愿依法采集和使用个人信息是正常的，但现代社会是信 息社会，信息的收集、使用和传播都极为迅速也极为简单，由于个人 信息的泄露、使用、公开等问题缺乏必要的限制，很大程度上损害了 自然人的合法权益。个人信息泄露和不当使用，从最初的技术问题，到现在的社会问 题、法律问题，逐渐成为全社会关注的焦点问题。个人信息资料被非 法利用，不仅给人民群众造成了巨大的财产损失，还带来了严重的人 身安全隐患。互联网和大数据对自然人个人信息的收集，有时是合法 的合同行为，是征得个人同意的，但也有很多是在个人不知晓的情况 下的盗用、滥用。主要体现在过度收集个人信息，擅自披露个人信息 和擅自提供个人信息，也包括擅自加工、使用个人信息，如有关单位 和个人根据相关交易行为或者授权获取了自然人的通讯号码、电子邮 箱等联系信息，在未取得自然人同意的情况下，擅自向自然人的手 机、邮箱发送广告或者其他无关信息，这就构成了对个人信息权的 侵害。 2011年，国内 一 大批网站的用户名、密码信息遭黑客泄露，对互 联网行业造成了不小的冲击，许多网民的网络数据信息丢失或遭到曝 光，网络个人信息安全的重要性日益凸显。这也促使全国人民代表大 会常务委员会出台了《关于加强网络信息保护的决定》，这项法律性 文件主要针对电子信息的收集、使用以及泄露等相关问题进行规定， 在我国起到了电子信息保护法的作用。2016年，我国又出台了《网络 安全法》，其中涉及的个人信息保护的内容大体与前述决定相同。但 前述立法在施行多年以来并未完全发挥预期作用，重要原因在于，前 述立法更多是行政管理性法规，更侧重于由公权力机关通过发挥其管 理职能来规制个人信息保护，而给予个人的保护手段则并不充分，未 能充分发挥个人在保护其信息利益上的主动性和积极性。 一 段时间以来，理论界很多学者都强烈呼吁我国在人格权立法中 将个人信息权单独作为 一 项具体人格权或作为 一 项人格权益加以规 定，明确个人信息权的人格权属性以及民法上的可诉性。但是由于个 人信息权还是 一 项比较新的民事权利，其他国家的理论及立法都不尽 相同，国内对于个人信息权是否能够明确作为 一 项具体人格权还存在 一 定的争议，《民法典》最终釆取折中的办法，未明确规定个人信息 权这个概念，而是明确规定自然人的个人信息权受法律保护，义务人 不得实施违反法律规定和侵害个人信息的行为。

　　二、其他国家和地区有关个人信息权的立法例

　　其他国家和地区开展个人信息保护方面的立法和研究相对较早, 这与其工业化比较发达以及较早进入现代信息社会不无关联。个人信 息保护最早的是瑞典政府在1973年制定的《资料法》，随后在全球范 围内开始个人资料保护的专门立法。德国联邦议会自1970年起开始 着手制定《联邦个人资料保护法草案》，最后于1976年通过并于1977 年生效。法国1978年颁布了《信息技术与自由法案》，其中规定收集 和处理、使用个人数据，不得损害数据主体的人格和身份以及私生活 等。英国1984年颁布了《数据保护法》，规定获取个人信息必须取得 有关个人的同意，必须采取安全措施，防止个人数据未经允许而被公 开。亚洲范围内，《日本个人信息保护法》于2005年颁布施行，此外 还制定了《行政机关持有的个人信息保护法》《独立行政法人等持有 的个人信息保护法》《信息公开、个人信息保护审查会设置法》等相 关法律。韩国1994年制定了《公开机关个人信息保护法》，我国台湾 地区于2010年修订 “ 个人资料保护法 ” ，新加坡2012年制定《个人 数据保护法》，对个人信息的使用与保护进行了全面规范和保护。国 际组织关于这方面的法律主要有，经济合作发展组织(OECD )于 1980年制定了《个人数据的隐私保护和跨国界流动的指导原则》。欧 洲委员会于1981年签署和发布了《个人自动文档保护公约》。欧盟 1995年制定《关于涉及个人数据处理的个人保护以及此类数据自由流 动的95/46/EC指令》，并于2002年颁布了《关于电子通信领域个人数 据处理和隐私保护的2002/58/EC指令》。1990年联合国签署了《个人 数据自动化档案指导原则》。上述三个国际性公约的基本目的和基本 内容大致相同，旨在保护个人隐私权和人权自由。2007年颁布的《欧 洲联盟基本权利宪章》第8条规定： “ 1. 人人均有权享有个人信息之 保护。2.此等信息应仅得于特定明确目的，且于信息所有人同意或其 他法律规定之正当依据下，公平地被处理。人人均有权了解其个人信 息，并有权要求销毁其个人信息。3. 应由独立之主管机关监督这些原 则之确实遵守。 ” 纵观世界范围内有关个人信息的立法，对于个人信息的概念的称 谓不尽相同，包括资料、数据、资讯、档案、文档等，但其本质上均 是关于附着于自然人个人主体上的关于身份、家庭、行为、健康、职 业、喜好、交际等方方面面的信息，虽然相关立法对于信息的规范化 称谓不同，但其目的均是对个人信息权进行规制。各国对于信息权的 保护体现在，合法手段取得的个人信息要在合法范围内依据取得的目 的使用，不得非法买卖、提供或者公开。同时，还要制裁非法手段收 集、使用、加工、传输个人信息的行为。

　　三、自然人的个人信息的概念

　　个人信息是 一 个比较宽泛的概念，从语义上理解是有关个人的信 息，但在法律上如何准确界定其概念是 一 个值得重视的问题。 从个人信息的内容来划分，有关个人信息定义有三种观点：第 一 种观点认为所谓个人信息就是与个人生产生活相关的描述其客观事实 及评价等情况的所有信息。根据这种观点，个人信息是以个人为中心 所延伸的庞大信息网，只要与个人相关就属于个人信息。这种观点的 缺点在于个人信息的外延过于宽泛，基本没有边界，缺乏实用指导意 义;第二种观点认为，所谓个人信息就是个人隐私，就是那些对于个 人具有人格价值的信息，除此之外的信息不能作为个人信息。这种观 点将个人信息与个人隐私等同， 一 定程度上缩小了个人信息的范围, 极易导致诸多个人信息无法得到相应的保护;第三种观点认为个人信 息是能够通过文字、图片、语音、视频等载体直接识别或与其他信息 结合识别特定主体身份的信息。这种观点是当前学术界的通说，但也 有批评认为即使有些信息不能识别，但其对于个人也具有利益，不能 因此而否认其也是个人信息。 从各国家和地区立法例上来看，对个人信息概念界定存在两种类 型： 一 种是概括式，另 一 种是列举加概括式。概括式定义，如《德国联邦个人资料保护法》第2条规定，个人资料是指 “ 凡涉及特定或可得 特定的自然人的所有属人或属事的个人资料 ” 。列举加概括式如我国台 湾地区 “ 个人资料保护法 ” 第3条第1款规定 “ 个人资料指自然人之 姓名、出生年月、身份证编号、特征、指纹、婚姻、家庭、教育、职 业、健康、病历、财务情况、社会活动等足资识别该个人之资料 ” 。 我国《民法典》在总则编中并未对个人信息的概念进行阐释，但 在人格权编的隐私权和个人信息保护 一 章中则明确规定，个人信息是 以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自 然人的各种信息，包括自然人的姓名、出生日期、身份证号码、生物 识别信息、住址、电话号码、电子邮箱地址、行踪信息等。由此可以 认为，我国《民法典》采用的是概括加列举式的立法例。根据我国 《民法典》的规定，自然人个人信息应当据以识别特定自然人身份的 任何生物性、物理性的数据、文件、档案等资料，范围不仅包括自然 人的身份证信息、户籍信息、家庭构成、职业情况、社会交往、网络 交易数据等物理性数据，还包括自然人机体基因组成、生物学、遗传 学密码等信息，任何与特定自然人相关的，可以据此将该自然人特定 化的信息均属于个人信息。任何对该类信息的侵害，均侵害自然人的 信息权。可见，我国《民法典》对于个人信息从内容上强调信息与个 人之间的联系及可识别性。事实上，如果相关的信息与信息主体之间 缺乏必要的关联及识别性，信息主体就难以主张其对于该信息享有相 关权益，也就难以主张该信息为个人信息。当然，无法识别身份的信 息遭到不当使用，公民可以向有关机关反映，由有关机关根据自身职 权采取相应的管理措施以保护信息使用的合法性。

　　四、个人信息权的性质及内容

　　个人信息权是 一 项新兴的民事权利或者说民事权益，与隐私权 密切相关。我国《民法典》将个人信息与隐私权保护规定于同 一 章 节，可见两者之间的密切关系。 一 般认为个人信息权与隐私权尽管 关紧密，但两者在内容、客体、性质以及保护方式方面都存在区别。从性质方面看，自然人信息权涉及的都是自然人的身份、地位等 信息，具有人身属性，属于人格权范畴。隐私权也是人身性人格权的 一 种。两者之间具有 一 定的联系和交叉。表现在：两者都是自然人独 有的权利，法人和非法人组织并不具有。两者都是包含着 一 定个人独 有的，不愿意公开的资料。但两者也有显著的不同：隐私权包含的信 息类型较窄，只有那些自然人不愿意公之于众的自然人信息才受隐私 权的保护，而 一 般性的个人信息则不属于隐私权的保护范围，比如手 机号码，工作单位、家庭地址等，除非有特殊规定， 一 般的情况下， 不属于个人隐私。(2 从两者的救济手段看也不尽相同，隐私权的救 济往往是通过侵权法，而对于侵害自然人信息的行为，在本法规定之 前，往往是通过行政法或者刑法予以规制，救济手段上也多为惩罚性 或者管理性手段,而非民事法律归责救济。 对于个人信息权的性质，学界有不同的看法：(1 所有权客体 说，即个人信息能作为商品被利用、出让，为信息主体带来经济利 益，这种利益是 一 种财产利益，所以应采取所有权保护模式。(2 隐 私权客体说，即认为个人信息属于个人隐私范畴，个人隐私包括个人 信息，侵害个人信息就是侵害了信息主体个人隐私中的私人信息部 分。(3)人格权客体说，即个人信息不属于个人隐私的范围，个人信 息的收集、处理、利用，关系公民个人人格尊严，体现的利益是人格 利益，是人格尊严的 一 部分，因而应该采取 一 般人格权保护模式。 我们赞同第三种观点。所有权属于财产权，所有权的标的是物， 可以是有形物也可以是无形物,是特定的且具有 一 定的财产价值，而 个人信息权的标的是个人信息，其与传统物权法上的物存在较大不 同，且个人信息在经加工处理或商业化开发之前并不天然具有财产价 值，这也与物的天然的财产属性存在差别。将个人信息权作为人格权 予以保护，明确个人信息权的民事权利性质，有助于明晰个人信息权 的权利保护方式、唤醒公民的个人信息权保护意识，也能在更大程度 上促进人格尊严的保护和实现人格平等。我国《民法典》将个人信息 权与隐私权共同纳入人格权范畴内予以保护，说明我国立法上明确认为个人信息权属于人格权，但由于个人信息权在学理及实践中还需要 进 一 步研究和发展，因此，本法并没有明确规定个人信息权这种权利 类型，但自然人个人享有个人信息权益是毫无疑问的。 个人信息权作为 一 项具体人格权，具有不同于其他人格权的丰富 内涵，主要包括：(1 控制权或占有权，个人信息应当由信息主体即 个人享有，其他民事主体不能非法取得，即使经个人同意其他组织或 者个人获得了相关个><信息并事实上管理使用，也不能因此而影响信 息主体对个人信息的控制权;(2)自决权，即信息权人对于义务主体 能否获取、使用个人信息享有按照自己意愿的决定权，同时对于个人 信息的加工、传输、公开、授权、买卖等都享有决定权，其他人未经 许可不得擅自获取、使用、加工、传输、公开等;(3)保护权，保护 权是自决权的延伸，权利人对于在自身控制下的信息享有保护其不被 非法获取、使用的权利，同时对于已经合法使用的个人信息，也有权 进行保护和要求义务人依法进行保护;(4 査询权，对于不在权利人 直接控制范围内的个人信息，权利人有权要求管理控制信息的义务主 体告知个人信息的基本情况，包括信息的详细情况、是否完整、使用 状况等，有关义务主体应当予以答复;(5)更正权，信息权利人发现 信息管理控制人管理的相关个人信息不及时、不完整的，有权要求义 务人进行更正;(6 冻结权，当出现信息权利人担心个人信息的使 用、公开或者相关情况会影响其的生活安宁时，权利人有权要求相关 义务主体采取必要的措施对其个人信息予以冻结处理;(7)删除权， 也有学者称之为被遗忘权，即权利人有权要求相关义务主体对其掌握 的个人信息进行删除或销毁。

　　【审判实践中应注意的问题 】

　　一 、如何判断哪些个人信息属于个人隐私信息

　　信息是否属于隐私权，在司法实践中是以其是否超出了 “ 社会的容忍度 ” 为标准进行侵权定，以 一 个 “一 般人 ” 的标准进行衡量 的，不会根据个案去判断。因此，对于那些不涉及敏感信息以及已经 公开的个人信息，因其不再具有隐秘的特点，只能寻求个人信息的保 护，而非隐私权的保护。但与隐私权救济有所区别的是，个人信息权 不仅可以主张精神损害赔偿，还可以主张财产性的赔偿，关于赔偿的 标准可以根据行为人所获得的利益来进行主张。

　　二、个人信息权益可以釆取民法上的哪些保护手段

　　首先，《民法典》将个人信息保护作为人格权范围内的 一 项重要 民事权益予以规定，这说明个人信息权的保护可以采取人格权的保护 方法，具体来说就是权利主体享有人格权请求权。 首先，采用人格权请求权保护的方法不限于个人信息权益受到侵 害或有妨害的可能，权利人可以根据个人信息的实际状况有权要求义 务人为 一 定行为或者不为 一 定行为，或者要求侵害人釆取 一 定的措施 恢复个人信息的圆满状态，比如在个人信息被篡改或损坏时，有权要 求义务人恢复个人信息的完整性。其次，个人信息权利人可以按照侵 权责任的规定享有损害赔偿请求权。个人信息权益受到民法的保护, 是 一 项独立的民事权利，当权益受到损害时，权利人可以根据侵权责 任规定向加害人主张损害赔偿要求加害人承担所造成损失的赔偿责 任，同时因个人信息权益是 一 项具体的人格权益，权利人也可以主张 精神损害赔偿。再次，考虑到在某些情况下个人信息的收集使用是基 于权利人的授权或者根据合同约定由义务人使用，因此，当出现个人 信息遭遇泄露或者被损害时，权利人依据合同约定主张违约责任请求 权也是其当然的权利。 在具体的民事审判实践中，个人信息权益受到侵害时可能会出现 多种请求权竞合的犹态，权利人应当根据权利受到侵害的状况以及最 有利于保护个人信息的目的主张相应的请求权。而且由于个人信息中 还包括了由法律明文规定的隐私信息，因此在两者出现竞合时，权利 人亦应明确主张是个人信息权益请求权还是隐私请求权。