一米说法 丨 《民法典》对个人信息保护开出私法处方

“新房需要购置家具吗？”

“需要办理个人无担保贷款吗？”



相信阅读到本文的市民都接到过类似的陌生人来电或者短信。并且内容从推销房产、介绍贷款，到育儿养老、教育培训，可以说是花样百出，时间也是从早到晚，令人不堪其扰。在信息化时代，大家在购物、出行、住宿之时都可能用到个人信息，拍照、晒照也是家常便饭。围绕个人信息而产生的纠纷和侵权行为也与日俱增，个人信息的保护越来越受关注。

《民法典》的颁布

01
法条及解读
《民法典》第一编 总则
第五章 民事权利


【个人信息保护】
第一百一十一条 自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的，应当依法取得并确保信息安全，不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息。


解读：《民法典》总则编第一百一十一条延续了《中华人民共和国民法总则》（简称“《民法总则》”）第一百一十一条的规定，对个人信息保护做出了概括性规定。





《民法典》第四编 人格权
第六章 民事权利


【个人信息的定义】
第一千零三十四条 个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息，包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。


解读：《民法典》对于个人信息的定义没有实质性变化，仍以识别性作为判断个人信息的标准。相比《网络安全法》第七十六条的规定，《民法典》第一千零三十四条在个人信息定义的列举部分增加了电子邮箱、健康信息和行踪信息，明确这三类信息属于个人信息。不过这一新增并不算实质性修改，主要是对目前社会上比较关切的问题进行回应。




【个人信息处理的限制】
第一千零三十五条 处理个人信息的，应当遵循合法、正当、必要原则，不得过度处理，并符合下列条件：
（一）征得该自然人或者其监护人同意，但是法律、行政法规另有规定的除外；
（二）公开处理信息的规则；
（三）明示处理信息的目的、方式和范围；
（四）不违反法律、行政法规的规定和双方的约定。
个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等。


解读：本条是由《网络安全法》第四十一条演化而来，基本继承了前者的主要精神，尤其是个人信息处理活动中需遵循的合法、正当、必要原则。同时，对有能力处理个人信息的主体对象的加以扩张。




【处理个人信息的免责事由】
第一千零三十六条 处理个人信息，有下列情形之一的，行为人不承担民事责任：
（一）在该自然人或者其监护人同意的范围内合理实施的行为；
（二）合理处理该自然人自行公开的或者其他已经合法公开的信息，但是该自然人明确拒绝或者处理该信息侵害其重大利益的除外；
（三）为维护公共利益或者该自然人合法权益，合理实施的其他行为。


解读：本条所规定的是对个人信息处理者在处理个人信息过程中的免责，而免责的前提应当是其行为本身存在违法性。




【个人信息决定权】
第一千零三十七条 自然人可以依法向信息处理者查阅或者复制其个人信息；发现信息有错误的，有权提出异议并请求及时采取更正等必要措施。
自然人发现信息处理者违反法律、行政法规的规定或者双方的约定处理其个人信息的，有权请求信息处理者及时删除。


解读：该条将个人信息重要的查询权、复制权、更正权及删除权集合成了“决定权”。




【个人信息安全】
第一千零三十八条 信息处理者不得泄露或者篡改其收集、存储的个人信息；未经自然人同意，不得向他人非法提供其个人信息，但是经过加工无法识别特定个人且不能复原的除外。
信息处理者应当采取技术措施和其他必要措施，确保其收集、存储的个人信息安全，防止信息泄露、篡改、丢失；发生或者可能发生个人信息泄露、篡改、丢失的，应当及时采取补救措施，按照规定告知自然人并向有关主管部门报告。


解读：本条同《网络安全法》第四十二条内容基本一致，就行文中的某些词眼进行了调整，更加符合个人信息的数据本质；在发生个人信息安全事件时，《民法典》则要求及时采取，容许采取补救措施前合理的反应时间及协调时间，一定程度上减轻了信息处理者的报送负担。同时，信息处理者负有告知和报告义务。




【国家机关及其工作人员对个人信息的保密义务】
第一千零三十九条 国家机关、承担行政职能的法定机构及其工作人员对于履行职责过程中知悉的自然人的隐私和个人信息，应当予以保密，不得泄露或者向他人非法提供。


解读：增加了适用主体，即承担行政职能的法定机构及其工作人员。但本条款并未说明国家机关、承担行政职能的法定机构及其工作人员违反本条规定应当承担的相应责任。




02
案例参考


【案例】
2015年12月至2019年7月，大米通过其设立的网站，以自学考试、成人高考等名义获取公民的姓名、手机号码等信息，进而将公民8000余条信息提供给某外国语进修学院，从中获利70余万元。


【原判决结果】
公诉机关暨附带民事公益诉讼起诉人上海市徐汇区人民检察院认为，被告人大米的行为已触犯《中华人民共和国刑法》第二百五十三条之一第一款、第三款之规定，应当以侵犯公民个人信息罪追究其刑事责任。法院认为，被告人大米违反国家有关规定，向其他单位提供公民个人信息，其中部分系非法获取，情节特别严重，其行为已构成侵犯公民个人信息罪。被告人大米侵犯公民个人信息的行为，损害了不特定社会公众的利益，应当承担相应的民事责任。附带民事公益诉讼起诉人代表社会公众向本院提起公益诉讼，其诉讼请求符合法律规定，法院予以支持。徐某某的行为损害社会公共利益，请求判令徐某某在省级媒体公开向社会公众赔礼道歉。


【评析】
由上述案件的处理结果来看，被告人所承受的惩罚依据仅仅是来自刑法与行政法。虽然，侵权行为人已经受到了惩处，但是被侵权人在私法领域主张相关的合法权益和救济还没有明确的私法依据。在2019年的司法案例中，由于在私法领域针对公民信息被侵权，公民个人主张权益还没有明确的民法依据。检察院提起的附带民事公益诉讼请求也不是依据“私法”而提出的请求。但是，《民法典》颁布之后，侵权人不止需要被追究刑事责任，被侵权人还可以依据民法要求侵权人承担相应的民事赔偿责任。




03
结语
《民法典》作为“公民权利的宣言书”，直面时代挑战，针对个人信息的保护开出私法“处方”。在其他立法领域，我国在教育公民保护公民信息安全，建设文明、合法的互联网秩序方面做出了巨大努力。自2000年以来，我国制定了《中华人民共和国电信条例》、《中华人民共和国互联网信息服务管理办法》、《中华人民共和国互联网新闻信息服务管理规定》等一系列涉及互联网的法律、行政法规和部门规章。同时，《中华人民共和国刑法修正案（七）》、《中华人民共和国刑法修正案（九）》、《中华人民共和国民法通则》、《中华人民共和国侵权责任法》、《中华人民共和国未成年人保护法》、《中华人民共和国行政诉讼法》等法律的相关条款也涉及或适用于互联网管理。




《民法典》的出台，完成了各类部门法保护公民个人信息形成了最后一块拼图。可见我国对于公民，特别是对于民生的关注更加扩大化，更加贴合公民的实际生活。展望未来的法治进程，完善我国公民个人信息安全法律体系将是指日可待的。