【作者】张新宝（中国人民大学法学院）

【来源】《中外法学》2019年第1期，北大法宝法学期刊库。因篇幅较长，已略去原文注释，建议登录北大法宝法学期刊库阅读原文。

【声明】本文仅限学习交流使用，如遇侵权，我们会及时删除。

引言

人类进入信息社会之后，如何在利用信息（数据）和保护自然人的个人信息权益之间取得平衡？这一问题在世界范围内引起了广泛的关注。《民法总则》111条规定了对于个人信息的保护，使得这一议题正式进入民法主流关注视域。如何理解该条的规定，该条的规定对于后续的立法又会产生何种影响，成为后民法总则时代民法学者研究个人信息保护问题时必须回答的两个问题。

《民法总则》颁布以来，111条引起了学界的广泛关注，几部有影响力的民法总则释义书籍都对第111条进行了较详细的解读，一些学术论文也专门针对第111条的规定进行了研讨。从目前学界对于第111条的研究来看，问题主要集中于以下几方面：一是讨论个人信息保护的权益层级问题，即个人信息究竟是一项独立的“个人信息权”还是仅仅为一项受法律保护的民事利益。对于这一问题，学者间意见并不统一，不过这更多的是一种理论层面的争鸣，对于个人信息权（权益）的具体保护而言影响并不大。

二是讨论个人信息权（权益）的权益属性问题，即个人信息权（权益）究竟是一项人格权，还是一项财产权，还是说二者兼而有之。这一问题的讨论，对于个人信息保护立法具有较为重大的影响。总体来说，民法学者较为强调个人信息权（权益）的人格利益属性；而知识产权法、信息法等其他部门法的学者则更为强调个人信息权（权益）的财产利益属性，或者说，至少强调个人信息保护立法中不应忽视其中的财产利益。对这一问题的不同认识，会直接影响对于整个个人信息保护法律架构之建立的认识。强调人格利益，则势必强调信息主体对于其个人信息的“支配性”，留给信息业者“利用”个人信息的空间就较小；反之，如果较为强调财产利益，则势必要在一定程度上限制信息主体对其个人信息的“支配程度”。支配程度与利用空间之间如何平衡，会直接决定个人信息收集、处理和使用者的义务内容。

三是探讨个人信息的概念内涵以及其与隐私权之间的关系。目前，越来越多的学者认识到个人信息与隐私之间所存在区别，对于个人信息与隐私分别予以法律保护也日益成为学界的主流观点。将个人信息划分为个人敏感信息与一般个人信息似乎已经成为未来立法与研究的方向。但是，对于“个人信息”这一概念本身的研究却还未能迈向深入。虽然学者间使用的都是“个人信息”这一表述，也都认同其“可识别性”这一核心内涵，但是对于其具体的类型、范围等却未能予以相当的厘清，也未形成广泛的共识。

四是梳理信息义务者的义务类型。对此，学者们已经粗线条地取得了广泛共识，即都认可第111条规定的依法取得、确保信息安全、不得非法利用这三大块内容。但是在一些细节问题上还有待进一步的研究。

本文将对以上四个方面的问题给出自己的观点。不过，本文探讨的议题范围相对要更为广泛一些：除了对条文本身进行解读研讨之外，还将回溯我国学界对于个人信息保护进行研究的历程，并细致梳理第111条出台的详细细节，以期厘清该条条文产生的“前因”；并且在分析第111条文意的基础上，讨论如何更好地以民事途径保护自然人的个人信息以及在未来的立法中如何贯彻第111条的规定，以期展望该条规定的“后果”。

本文在研究方法上一方面采用近乎考据的方式对于第111条的出台作细致的考察，另一方面采用法解释学的方法对于第111条的法律文本进行严谨的解析。同时也结合对于法律的实际运行情况（司法实务）的大数据考察，思考未来立法应当注意的问题。希望本文的研究能够为目前正在进行的民法典分编以及《个人信息保护法》的起草工作提供有益的参考建议。

一、学术研究与知识储备

（一）民法典草案建议稿

2002年12月23日，九届全国人大常委会第三十一次会议讨论了《中华人民共和国民法（草案）》。这一立法活动极大地推进了我国法学界尤其是民法学界对于民法典立法的理论研究工作，为党的十八届四中全会以后展开的第五次民法法典化运动储备了相应的知识。相关研究的标志性成果，首推两部具有重要影响的“中国民法典草案建议稿”：一是中国社会科学院法学研究所梁慧星主持的《中国民法典草案建议稿附理由》（以下简称“社科院稿”）；二是中国人民大学法学院王利明主持的《中国民法典草案建议稿及说明》（以下简称“人大法学院稿”）。此外，徐国栋出版了其主持的“绿色民法典”草案建议稿。这些民法典草案建议稿或直接或间接、或多或少地涉及到了个人信息（隐私）保护的问题，为后来《民法总则》规定个人信息保护储备了一定的知识。

1.社科院稿

社科院稿反对在民法典中设独立的“人格权”编，因此其所设计的民法典分则并没有人格权编，有关人格权保护的条文规定在总则编第二章“自然人”第二节“人格权”中。该节从第16条到第26条分别对一般人格权、人格权的保护、生命权、身体权、健康权、姓名权、肖像权、名誉权、隐私权等作出了规定，也规定了对死者遗体以及死者姓名、肖像和名誉的保护。该稿中没有专门条文涉及对个人信息的保护，与个人信息保护有一定关联的是第24条。该条规定：“自然人享有隐私权，禁止窃取、窃听、偷录、偷拍他人隐私。未经本人同意，不得披露或者利用他人私生活秘密，或者实施其他损害他人隐私的行为。但在为保护他人权利或者公共利益所必要的限度内，由法律规定可以披露或者利用他人隐私的，依照其规定。”

该条文的作者在相关说明和理由阐述上，没有直接将本条规定的“隐私”与个人信息挂钩，但是从个人信息保护法理论的角度看，部分个人信息尤其是所谓敏感个人信息也是属于个人隐私的，因此该条对自然人隐私的保护也必然涵盖对部分个人信息的保护。《民法总则》111条在语言措辞和层次结构等表述方式上与该条也颇为相似。二者之间似存在某种知识上的联系。

2.人大法学院稿

与社科院稿不同，人大法学院稿主张“人格权”应当在民法典中独立成编。该稿中设第二编“人格权”，共计6章98个条文。该稿并没有使用“个人信息”的概念，而是使用“个人资料”的表述，并认为二者具有一定的不同。该稿对于个人资料保护的规定具有以下几个特点：

第一，将“个人资料”纳入“隐私”的范畴。与社科院稿相同，该稿没有将个人资料作为一种独立的权利或者利益加以单独保护，而是将“个人资料”纳入“隐私”项下进行保护，有关个人资料保护的条文均列于“隐私权”一节项下。

第二，对于个人资料保护进行了较为全面的规定。该稿第369-371条分别规定了个人资料的收集、保护以及资料收集者的保密义务。具体条文如下：

第369条禁止非法收集、储存、转让、传播和公开他人的个人资料。

收集、储存、披露、或超出收集目的而使用涉及自然人隐私的个人资料，须征得其本人的同意，若本人死亡或丧失民事行为能力，则必须得到其亲属同意，但法律另有规定的除外。

个人资料指自然人的姓名、性别、年龄、民族、婚姻、家庭、教育、职业、住址、健康、病历、个人经历、社会活动等足以识别该人的资料。

第370条个人资料的收集必须基于与收集者本身职能有关的合法目的，以合法、公平的方法实施，并保证所收集资料的真实性。

被收集人享有知情权，收集者应当采取合理的措施告知当事人：其是否有义务提供资料；收集该资料的目的；该资料可能移转和披露的范围；其查阅、修改资料的权利。

被收集人享有查阅、修改、更新其个人资料的权利，法律另有规定或当事人特别约定的除外。

第371条依法可以收集自然人个人资料的机构或者个人，对其所收集的个人资料负有保密的义务，未经本人同意，不得公开披露或者提供给他人使用。但法律另有规定的除外。

从上述第369条第1款和第2款的规定来看，该稿起草者似乎已经注意区分“涉及自然人隐私的个人资料”与其他个人资料，并且采用了不同的法律保护措施。

第三，同时规定“个人资料”和“私人信息”，并对二者予以分别保护。在上述个人资料的规定之外，该稿第363条还规定了对于自然人私人信息的法律保护。该条规定：“（第1款）自然人的私人信息受法律保护。（第2款）未经本人同意，禁止以非法窃视、窃听、刺探、窃取、偷录、偷拍、披露他人的私人信息。但法律另有规定的除外。（第3款）私人信息可以向特定的人披露，并准许特定人利用，或向社会公众公开，视为放弃私人信息。（第4款）私人信息的公开和利用不得违反公序良俗。”

对于二者之间的关系，该稿在条文中并未予以明确。但是，该稿起草者在相关立法理由的阐述中，对于隐私、私人信息、个人资料之间的关系作了如下认定：隐私，就其范围而言，包括私人信息、私人活动和私人空间；私人信息，包括所有的个人情况、资料。个人资料则指自然人的足以识别该人的资料。信息是资料的内容，资料是信息的存在形式。个人资料，是以资料形式存在的个人信息。该稿第363条规定的是对私人信息的保护，第369-371条规定的是对个人资料的保护。

第四，规定了对于“生命信息”的特别保护。该稿第373条规定：“自然人的生命信息和遗传基因密码受法律保护，未经本人同意，禁止任何人以非法手段获取、公开自然人的生命信息和遗传基因密码。”生命信息和遗传基因密码同样可以识别不同的自然人，应当也属于个人信息（资料）的范畴，该条对此进行特别规定，强调对于此类个人信息（资料）只有信息主体本人才享有决定权利。

3.其他建议稿

徐国栋主持的绿色民法典建议稿没有明确规定对于个人信息的保护。考察该稿相关条文，可以认为该稿同样依循将个人信息纳入隐私（该稿称“私生活权”）的范畴之内予以保护的路径。具体来说，体现在以下两个方面：第一，将个人信息纳入“私生活”的范畴。该稿第一编第一分编第385条规定：“私生活权是自然人控制关于自己的资料之流转的权利。”第386条规定，“未经同意，擅自披露他人私生活资料的行为”构成对他人私生活的侵犯。第二，从规制“档案”的角度规定了对于个人信息的部分保护。该分编第394-396条分别规定了档案的设立（设立理由、目的范围内收集、不得泄露）、档案属主的知情权、档案属主的更正权。

（二）个人信息保护法立法研究

在民法典立法研究之外，我国学者针对个人信息保护的专门立法问题也展开了一定的研究。目前，有两部较有影响的“个人信息保护法专家建议稿”，由周汉华和齐爱民分别提出（以下简称“周汉华稿”“齐爱民稿”）。周汉华稿计6章72条，齐爱民稿计4节32条。与前述各民法典建议稿相比，这两部“个人信息保护法专家建议稿”体现出以下特点。

第一，在强调保护个人信息的同时，也强调要促进个人信息的合法有效利用。周汉华稿在第1条规定：“为规范政府机关或其他个人信息处理者对个人信息的处理，保护个人权利，促进个人信息的有序流动，根据宪法制定本法。”齐爱民稿在第1条规定：“为规范个人信息的处理，保护自然人的人格权，保障个人信息的合法利用，特制定本法。”

第二，都将个人信息处理者划分为“政府（国家）机关”和“其他个人信息处理者”两类，并分别规定不同的规制方式。总体来讲，两稿对于政府机关的规制程度要弱于对其他个人信息处理者的规制程度。“这主要是因为，政府机关处理个人信息是履行法定职责、实施行政管理的必然要求，从法律性质上看属于行政法律关系。相反，其他个人信息处理者处理个人信息是一种民事主体的自主活动，从法律性质上看属于民事法律关系。”

第三，所规制的“处理”之行为类型较为广泛，既包括增量行为，也包括减量行为。不同于民事立法及相关建议稿中主要关注于对个人信息的收集、储存、使用、加工、传输、买卖、提供、公开等“增量”行为，两部“个人信息保护法专家建议稿”的规制范围还拓展到了诸如修改、删除、销毁等“减量”行为。周汉华稿第9条规定：“‘处理’指政府机关或其他个人信息处理者根据一定的编排标准或检索方式，以自动或非自动方法对个人信息的收集、存储、使用、交换、公开、修改、删除、销毁等行为。”齐爱民稿第3条规定：“‘处理’指以自动化方式或以人工方式对个人信息进行的操作，包括储存、编辑、变更、检索、删除、传输、封锁以及其他操作。”

第四，扬弃传统的隐私权模式，明确信息主体享有“个人信息权利”。周汉华在其立法研究报告中提出，个人信息权利是指个人对于与自己有关的各种信息进行收集、储存、传播、修改等所享有的决定权和控制权。个人信息权利是一项宪法上的基本权利。齐爱民稿则将信息主体的这一权利界定为一种具体的人格权（见该稿第1条）。

（三）涉及个人信息保护的其他研究成果

在前述各立法建议稿之外，随着我国学者对于个人信息保护研究的不断展开，一些重要研究成果也不断涌现，主要体现在以下方面：

第一，对隐私与个人信息予以区别日益成为学界主流观点。王利明对于隐私权与个人信息权（权益）之间关系的观点发生了较大变化。在其较近发表的文章中，王利明主张个人信息的概念已经超越传统隐私权的范畴，二者之间也存在诸多不同，因此在未来民法典中应当单独规定个人信息权，将其作为一种具体人格权加以保护。作者也曾撰文阐述了二者之间的不同，并系统提出个人信息保护应当构建“三方平衡、两头强化”的理论体系。

第二，个人信息保护的部门法维度日益广泛。在民法之外，刑法等领域的学者也日益关注个人信息保护问题。2009年，《刑法修正案（七）》确立了全面保护公民个人信息的刑法规范。2015年，《刑法修正案（九）》进一步扩大了对于侵害公民个人信息犯罪的打击范围与程度，将侵害个人信息犯罪的主体从特定单位的工作人员扩大到所有主体。刑法学者们针对侵害个人信息犯罪也展开了广泛的研究。通过刑事手段保护公民个人信息的具体思路也不断厘清。

第三，个人信息的权利内涵不断丰富。在人格权商业利用这一研究背景之下，个人信息的商业化利用问题日益获得关注。已经有学者针对个人信息的财产权保护问题展开了一定的研究。

（四）小结

在我国法学界中对个人信息保护研究进行的主要有三支力量：一支以民法学者为主，其基本主张和成果是将个人信息视作民事权利（权益），特别是人格权的重要组成部分。因此，有些民法学者主张在民法典中规定对个人信息的保护，甚至在民法分则中设立人格权编，对隐私权和个人信息保护作出更为具体的规定。第二支力量主要以部分行政法、知识产权法和少量民法学者为主，他们的研究进路是制定类似于欧盟法制的独立的个人信息（数据）保护法，其所设计的个人信息保护法草案建议稿具有综合性、跨法律部门与跨法学学科的特征。第三支力量主要是刑事法律方面的学者，他们对于包含有个人信息保护的《刑法修正案（七）》和《刑法修正案（九）》的形成和理解适用作出了相应的理论贡献。

以上三支力量对于个人信息保护的研究成果为《民法总则》111条的立法形成以及目前正在审议的民法分则第三编第六章“隐私权与个人信息”的立法奠定了必要的理论基础。同时也应当认识到：①现有理论研究成果与立法形成的直接对应性并不十分显著；②部分观点仍然存在较大争议，如有些学者主张法人和非法人组织也应该享有信息保护权，有些学者过分强调个人信息权（权益）的财产性质。这些观点，或者是将个人信息保护与企业的信息类财产保护相混淆，或者是将作为人格权（权益）客体的个人信息与作为经营者数据权（权益）客体的数据或大数据相混淆。这样的观点并不利于作为人格权编重要组成部分的个人信息保护制度在民法领域的建立和完善。

二、《民法总则》第111条的立法形成过程

（一）从一审稿到二审稿（第109条）：个人信息保护从无到有

2015年9月中旬法工委第一次组织民法学及相关学科的学者讨论民法总则草案室内稿，正文文本里没有“民事权利”和“民事责任”两章，但是在附件里附加了这两章的草拟条文。这表明立法工作部门最初对于是否在民法总则中规定“民事权利”和“民事责任”并没有拿定主意。而作为附件的“民事权利”草案条文也没有对个人信息保护加以规定。但是，这一状况到立法部门正式审议民法总则草案一审稿时发生了变化。2016年6月下旬，十二届全国人大常委会第22次会议审议的民法总则草案第一次审议稿（以下简称“一审稿”）增加了“民事权利”和“民事责任”两章。

一审稿并没有规定对个人信息的保护。但是，立法部门、学界和社会舆论中都存在着较高的呼声，要求增加个人信息保护的规定。2016年10月10日，全国人大常委会委员长张德江在京主持“民法总则（草案）座谈会”，多位与会人员对增加个人信息保护提出了建议。杜万华（代表最高人民法院，审判委员会专职委员）建议增加“民事主体依法享有信息资源权”的规定。李培林（代表中国社会科学院，副院长）提出“要特别强化对个人信息的保护，对于非法获取、非法利用他人的个人信息的，法律要予以禁止，并给予制裁”。张鸣起（代表中国法学会，副会长；全国人大常委会委员、法律委员会副主任委员）提出在民法总则草案中增加一条专门规定个人信息受法律保护：“自然人的个人信息受法律保护，任何组织和个人不得非法收集、处理、利用、出售和传输个人信息。”李大进（北京市全国人大代表）建议增加“信息资源权”。贾春梅（河北省全国人大代表）建议增加个人信息的“被遗忘权”。马翠兰（河北省人大常委会副主任）建议增加“安宁生活权”：“自然人依法享有的安宁生活权受法律保护。”伍枝勤（江西省景德镇市人大常委会副主任）“建议在草案第一百条第一款增加个人信息权”。

2016年10月11日，全国人大法律委员会召开会议，讨论前一日座谈会的各种意见和建议，落实张德江委员长关于民法总则（草案）修改的重要讲话精神。这次会议以及此后的几次会议，对于在民法总则中增加个人信息保护条文形成了一致意见。

有的常委、委员、部门、法学教学研究机构和社会公众提出，一段时间以来，非法获取、非法出售或者非法向他人提供公民个人信息的违法行为泛滥，社会危害严重，建议进一步强化对个人信息的保护。法律委员会经研究认为，个人信息权利是公民在现代社会享有的重要权利，明确对个人信息的保护对于保护公民人格尊严，使公民免受非法侵扰，维护正常的社会秩序具有现实意义。法律委员会经研究，建议增加规定：“自然人的个人信息受法律保护。任何组织和个人不得非法收集、利用、加工、传输个人信息，不得非法提供、公开或者出售个人信息。（草案二次审议稿第109条）”至此，个人信息保护在民法总则草案中有了正式的地位。

（二）从二审稿（第109条）到三审稿（第110条）：个别文字修改

2016年10月31日第十二届全国人大常委会第24次会议审议了《民法总则（草案）》第二次审议稿（以下简称“二审稿”），其中第109条关于个人信息保护的条文获得通过。此后，法律委员会及法工委在参考第二次审议意见和社会各方建议的基础上，提出了民法总则草案关于个人信息保护条文的修改意见。其中，2016年12月1日法律委员会审议稿第109条规定了两款：“自然人的个人信息受法律保护。任何组织和个人不得非法收集、使用、加工、传输个人信息，不得非法买卖、提供或者公开个人信息。”“个人信息，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物信息、住址、电话号码等。”

其后公布的《民法总则（草案）》第三次审议稿（以下简称“三审稿”）删除了关于个人信息定义的规定，该稿第110条仅保留了一款：“自然人的个人信息受法律保护。任何组织和个人不得非法收集、使用、加工、传输个人信息，不得非法买卖、提供或者公开个人信息。”相比较二次审议稿，有三处改动：一是条文序号从第109条变化为第110条；二是将非法“利用”修改为非法“使用”；三是将非法“出售”修改为非法“买卖”。后两处改动使得条文更趋于完善。但是，直到三审稿，民法总则草案尚未对依法取得和确保个人信息安全作出规定。

（三）从三审稿（第110条）到大会审议稿（第114条）：确立依法取得和确保安全的规则

在法律草案的讨论过程中，增加“应当确保依法取得的个人信息安全”逐渐形成共识。在2016年11月的一个“过路稿”上就曾出现过以下表述：“任何组织都应该采取技术措施和其他必要措施，确保依法取得的个人信息安全，防止信息泄露。在发生信息泄露时，应当立即采取补救措施。”第十二届全国人大常委会第25次会议对《中华人民共和国民法总则（草案三次审议稿）》提出的修改意见，可能对最终增加“应当确保依法取得的个人信息安全”具有重要关联性。比如列席常委会的杨震（黑龙江省全国人大代表）提出：“我国现在还没有个人信息保护法，有些规定散落在各种法律法规里。有的组织并不是有意地非法干这些事，而是没有保护好个人信息，泄露了，如山东教育机构被非法植入了木马。建议参考工信部《电信和互联网用户个人信息保护规定》的规定，在本条后增加规定‘业务经营者、服务提供者对其在提供服务过程中收集、使用的用户个人信息的安全负责’，经营者和服务提供者有责任保护用户的个人信息。”《电信和互联网用户个人信息保护规定》第6条规定：“电信业务经营者、互联网信息服务提供者对其在提供服务过程中收集、使用的用户个人信息的安全负责。”其第三章对“安全保障措施”作出了具体规定。

（四）从大会审议稿（第114条）到《民法总则》第111条：个人信息民法保护的精准表达

全国人大常委会2016年12月25日以《关于提请审议<中华人民共和国民法总则（草案）的议案>》提请全国人民代表大会审议《中华人民共和国民法总则（草案）》，李建国副委员长在2017年3月8日《关于<中华人民共和国民法总则（草案）>的说明》中指出：“在信息化社会，自然人的个人信息保护尤其重要，草案对此作了有针对性的规定（草案第一百一十四条）。”提交给第十二届全国人民代表大会第五次会议审议的民法总则草案第114条规定如下：“自然人的个人信息受法律保护。任何组织和个人应当确保依法取得的个人信息安全，不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息。”这是在三审稿的基础上修改整理出来的条文。与三审稿比较，最突出的变化是吸收了常委会审议期间提出的意见，增加了“应当确保依法取得的个人信息安全”的内容。

由于其他条文的增减，在大会最终通过的民法总则文本中，保护个人信息的条文是第111条：“自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的，应当依法取得并确保信息安全，不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息。”与提交审议的条文文本比较，最终通过的法律条文没有实质性改动，仅增加“任何组织和个人需要获取他人个人信息的”，作为“应当依法取得并确保信息安全”的前提条件。这样的调整使得法律条文的文字表达更为精准。

（五）小结

《民法总则》111条作为保护个人信息的条文，在立法中经历了一个从无到有、从粗放表达到精准表达的过程。在此过程中，对个人信息概念进行界定的考虑被排除出去，关于依法取得和确保信息安全的理念被吸收进来，并在大会审议期间增加了其适用的前提条件。社会公众和学界的“院外”讨论与呼吁，以及地方人大代表和全国人大常务委员会组成人员、参与民法典起草工作的五个单位等公共机关机构的建议和具体意见，对于这一规定的形成都起到了积极作用。在2016年10月10日张德江委员长主持的座谈会上，多位与会者关于增加个人信息保护条文的意见，无疑在立法政策的决策层面上对于在二次审议稿中增加第109条（二审稿中的条文编号）保护个人信息起到了重要的推进作用。从这个条文形成的微观角度研究我国立法过程，观察政治决策、常委会组成人员以及人大代表的意见、社会公众的民意期待等对法律条文形成的影响，也是一个颇有价值的实例。

作为保护个人信息的条文，第111条最终没有对个人信息的概念加以规定，也没有对个人信息是民事权利还是“受法律保护的合法权益”作出明确的界定。对于前者，大概可以认为，其他法律已经作出规定，可以参照；对于后者，本文将在第三部分进行更深入的讨论。

欧洲经典民法典，无论是《法国民法典》《德国民法典》《瑞士民法典》还是《荷兰民法典》都受制于当时的社会需求，没有也不可能对个人信息保护作出规定。在欧盟国家，个人信息保护形成了专门的法律体系，基本上游离在民法体系之外。从比较法的角度来看，我国《民法总则》111条从民事权利（权益）的角度保护自然人的个人信息，还规定了其他人的相关作为和不作为义务，不失为民事立法反映社会需求的一个创新之举。

三、条文理解：个人信息概念与个人信息权（权益）解读

（一）个人信息的概念

虽然《民法总则（草案）》曾试图对个人信息的概念进行规定，但是《民法总则》第111条还是删除了草案的相关内容，不对“个人信息”进行界定。这大致可以从两个方面找到相关理由：其一，比《民法总则》稍早颁布的《网络安全法》第七章“附则”第76条第5项对个人信息的概念作出了明确规定，在理解和适用上参照即可，民法无需再作出规定。其二，将个人信息的概念留给后来将要制定的民法分则进行规定——2018年8月底讨论的《民法典各分编（草案）》（第一次审议稿）第三编“人格权”第六章第813条果然对个人信息的概念进行了规定。

尽管《民法总则》第111条没有对个人信息的概念进行界定，但是它在民事立法中第一次使用了“个人信息”的概念，而且是该条最核心最基础的概念，因此有必要对个人信息的概念进行揭示。

从更广的部门法视域考察，可以发现在我国个人信息保护立法的早期阶段，对于“个人信息”的概念界定经历了一个变化的过程。《全国人大常委会关于加强网络信息保护的决定》以及最高人民法院的相关司法解释，对于“个人信息”的概念作出了略为不同的规定。不过，《网络安全法》对于“个人信息”的概念界定，似乎具有更高的权威性与更大的影响力，目前《民法典各分编（草案）》（第一次审议稿）关于“个人信息”概念界定的表述，深受该法的影响。

《网络安全法》76条第5项规定：“个人信息，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。”《民法典各分编（草案）》（第一次审议稿）第三编第六章第813条第2款规定：“本法所称个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。”二者除了在句首的语法措辞上稍有不同外，内容几乎完全一致。

另外，我国还有涉及个人信息的各类法律法规、规章文件100余件。在制定主体上除全国人大常委会外还包括国务院各部委、地方政府、行业协会、科研机构等，涵盖的行业范围遍布互联网、电信、征信、证券、银行、保险、医疗等各领域。

从比较法上看，2018年5月25日正式实施的《欧盟通用数据保护条例》第4条也对于“个人数据”作出了定义，该条规定：“‘个人数据’是指与任何已识别的或可识别的自然人（‘信息主体’）有关的信息；一个可识别的自然人是指一个或直接、或间接地可被识别的人，尤其是指参照例如姓名、身份证号码、定位信息、网络身份标识或者一项或多项该自然人所特有的物理性、生理性、遗传性、心理性、经济性、文化性或社会性的身份标识。”

对以上立法进行考察可以明确，个人信息是指能够单独或者与其他信息结合识别自然人个人身份的各种信息，既包括法律明确列举的自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码，也包括法律没有列举但具有此种识别功能的其他信息。“个人信息”这一法律概念的核心内涵在于“能够单独或者与其他信息结合识别自然人个人身份”。有学者将需要与其他信息结合方可识别自然人个人身份的个人信息称为“间接个人信息”。不过应当注意到，“个人信息”概念的内涵和外延并非如其表述那样简洁明了。目前学界对于个人信息之概念的研究还是处于一个较为表面的阶段。对于这一新概念，至少在以下方面仍然有待后续研究作深入地剖析：

第一，“个人信息”这一概念在静态维度之内涵，即其“可识别性”已经基本形成了通说，但是对于其动态维度之内涵的研究则明显未引起足够的重视。也已经有学者注意到了这一问题，提出了个人信息概念界定的“场景性与动态性”问题。

第二，对于“可识别性”而言，那些能够单独识别自然人个人信息的部分似乎较容易确定，例如自然人的身份证件号码、个人生物识别信息、电话号码（因我国已经采用电话号码实名制）。但是如何理解“与其他信息结合识别”，则有待进一步的探讨。“其他信息”是否也是“个人信息”？“其他信息”是否包括能够单独识别个人身份的个人信息？如何划分信息的“单位”（因为是否单独识别总是基于一定的信息单位的划分而决定的）？这些问题似乎都尚未得到厘清。例如，在《网络安全法》对于个人信息的列举中，如果要通过“出生日期”来识别一个自然人的身份，可以通过结合精确的出生地点（一个足够小的地点在一个特定的时刻只可能降生一个婴儿）来对特定自然人的身份加以识别，这是否意味着一个人的出生地点也是其个人信息呢？由此引出的进一步问题是，个人信息向外扩展的范围究竟应该限定在何种程度；以及对于不同的自然人主体来说，其是否具有不同种类的个人信息类型。

第三，为何“可识别性”成为个人信息概念的判断标准，其背后的法理为何。为何这些信息因其“可识别性”的特点而被法律纳入“个人信息”的概念之下统一加以保护。这些基础理论都需要作进一步的研究。只有深入分析了个人信息保护背后的法理原理，未来的个人信息保护立法才能有一条主轴得以依循前进。

（二）个人信息保护：民事权利或者合法民事权益性质

个人信息作为民法保护的客体，当无疑问。但是民法对自然人的个人信息提供保护，所保护的是一种民事权利（人格权之一种）还是“其他合法权益”（可以简称为“民事权益”）则存在疑问。

1.民事权利说

有学者认为，《民法总则》111条已经在一定程度上明确了“个人信息权”。虽然第111条的条文本身并没有直接出现“个人信息权”的表述，但是该条文既是对自然人这一民事主体对于其个人信息享有民事权利的宣示性规定，同时也是对此的确权性规定。持个人信息为民事权利之观点的学者进一步主张，关于“个人信息权”的权利边界、权利行使及法律责任，需要在制定民法典分则或者在制定相应的配套立法（如《个人信息保护法》）时，再加以配套和完善。

2.民事权益说

有学者认为，《民法总则》111条没有使用“个人信息权”这一表述，表明《民法总则》并没有将个人信息作为一项具体人格权利，但本条的相关规定为保护自然人个人信息提供了基本的法律依据。

还有学者认为，第111条采用了行为规制模式而非权利化模式来保护个人信息。所谓“行为规制模式”，是指从他人行为控制的角度，来构建利益空间，通过对他人特定行为的控制来维护利益享有者的利益。相较于权利化模式，行为规制模式的保护力度较弱。

3.基于文义和体系分析的结论

对《民法总则》111条进行文义分析以及对该条文在整个《民法总则》和正在起草的民法典分则中进行体系内的解释，得不出唯一解：民法对自然人个人信息提供的保护既可能是一项民事权利，也可能仅仅是一项民事权益。就“民事权利说”而言，支持的理由至少有：①《民法总则》第五章的标题就是“民事权利”，该章规定的对个人信息的保护也当然就是对一项民事权利的保护；②该条确实赋予了自然人以支配性权利，同时设定了特定和不特定的其他主体之作为与不作为的义务；③该条是紧跟着确认与保护人身权的条文之后的，表明立法者对个人信息的保护是从保护人身权的角度加以规定的。

相反的解释，即不承认民法对个人信息的保护已经上升为民事权利而是将其作为民事权益予以保护，也能够获得一定的理论分析支持：①《民法总则》110条对于几种人身权利进行了明确的确认与列举，都使用了“权”字，如生命权、身体权、健康权、姓名权、肖像权、名誉权等，但是对于个人信息的保护既没有被纳入第110条关于人身权利之列举和确认的范围，也没有在第111条中使用“个人信息权”的概念。②民法确实可以对民事权利和“其他合法权益”（民事权益）予以分别保护，这一点在《民法总则》3条有明确规定。因此，在第五章“民事权利”章名下，既可以有列举与确认民事权利的规定，也可以有列举与确认“其他合法权益”（民事权益）的规定。③立法机关刻意不使用“权”字并非一个不经意之举；在其后提出的民法分则第三编人格权编中草案以专门一章规定隐私权与个人信息保护，也没有使用“个人信息权”的概念，而是一直谨慎使用“个人信息”和“个人信息保护”“保护个人信息”等表述。

鉴于本文之主要目的不在于彻底廓清这一问题，本文将用“个人信息权（权益）”来表达这一存在学术分歧的概念。

（三）个人信息权（权益）的特征

《民法总则》111条和相关法律的规定可以揭示出民法保护的个人信息权（权益）的基本特征。

1.个人信息权（权益）的主体是自然人

个人信息的主体仅限于自然人，而不包括法人和非法人组织。自然人、法人和非法人组织享有受法律保护的数据及网络虚拟财产权益，但是法人和非法人组织不是个人信息的主体，不享有个人信息权（权益）。个人信息经过去个人化或者去可识别化处理成为数据或者大数据，可以成为财产权益客体，受《民法总则》127条和其他相关法律规定的保护。与自然人不同，法人或者非法人组织是一种组织，其需要通过进行登记、公示等形式来参与民事活动。现代社会对于交易安全和公众利益的考量要求法人或者非法人组织原则上应当公开其相关信息。当然，法人或者非法人组织也依法享有一定的人格利益，例如名誉、商誉等。但是应当认识到，个人信息是一项由自然人独特享有的人格权（利益）。

2.个人信息权（权益）所保护的法益是自然人的人格利益

有学者正确指出，个人信息作为可识别的自然人的信息，“既是自然人参与社会交往的载体，也是个人人格表现和人格发展的工具……因此，信息主体对个人信息流转范围和流转方式的掌握，和个人人格的发展密切联系，这也是在现实社会中保护个人信息相关权益的价值基础”。在《欧盟通用数据保护条例》中，个人信息权（权益）更是作为一项基本权利被提出。法律对自然人个人信息予以保护，本质上是保护其人格利益，包括人的尊严和自由。自然人对于其自身的个人信息，无论是单一的还是集合的，其直接经济价值是可以忽略不计的。

还有学者认为，个人信息包含人格利益、商业化利益和社会公共利益。但是就自然人而言，其所在意并应当得到保护的是人格利益。商业化利益通常只有通过大量的个人信息（数据）收集加工后进行利用才能实现，此时的信息（数据）往往已经不是个人信息，或者其商业化价值不依赖于个别个人的个人信息而实现，故而作为个人信息主体的自然人往往无法从自己的个人信息中直接得到经济（商业）利益。至于个人信息衍生出来的社会公共利益，主要是社会治理方面的利益，更不直接归属于个人而为国家或社会所享有。

3.个人信息权（权益）是支配性的民事权利（权益）

保护自然人的个人信息，主要是保护其对自己的个人信息进行支配的权利（权益）。依据这一支配性民事权利（权益），自然人可以同意或不同意他人收集其个人信息，可以请求他人对其个人信息予以删除、屏蔽或断开链接，有权保护其个人信息的真实性、完整性和安全性。个人信息权（权益）主要是支配性的民事权利（权益），通过这种支配实现自然人的自由意志，保护其人格尊严。而这种支配，是相对弱的支配而非强支配，表现在：依据特定法律法规的规定，个人信息可能依法不需要经个人同意而被强制收集；在公共场所，某些个人信息无需个人同意也可能被他人主动收集或被动记录；某些“同意”，无需作出明示的意思表示，只要收集者进行了提示、告知，个人未作出明示反对即可。

与物权等绝对权利不同，个人信息权（权益）并不包含独占性和排他属性，这与著作权等知识产权有相似之处。简而言之，自然人可以同意多个他人收集和持有其个人信息；多个他人持有这些合法收集到的内容相同的个人信息并进行处理和使用，相互之间并不排斥。

四、条文理解：权利（利益）赋予与义务设定

（一）权利（权益）赋予：自然人的个人信息受民法保护

尽管第111条没有明确将个人信息保护作为民事权利，但是该条明确规定了对个人权利的保护，首次将个人信息纳入民法的保护范围，赋予自然人以个人信息权（权益）。

我国民法对人格权的确认与保护经历了一个不断发展的过程。1986年颁布的《民法通则》没有对隐私权予以确认和保护，后来最高人民法院通过一系列司法解释，起初是将隐私纳入名誉权的保护范围，然后又将其作为独立的受到保护的民事权益加以规定。直到2009年，《侵权责任法》（2条第2款）将隐私权作为独立于名誉权的人格权加以规定。《民法总则》（110条）则再次将隐私权作为与名誉权并列的人格权予以确认与保护，完成了隐私权民法保护的基本制度构建。

尽管其他法律和立法性决定在此之前对个人信息保护作出过规定，但《民法总则》111条的规定具有特殊重要的意义：首先，它从民事基本法的高度赋予了自然人个人信息保护的权利（权益），为个人信息保护在民法分则里进一步细化规定提供了基础。其次，它将个人信息保护与隐私权保护区别开来，使得个人信息保护获得独立的地位。个人信息保护在民法领域的这一“成长”过程，与隐私权在我国立法和司法实践中的发展轨迹是极为相似的。我们应该认识到，尽管个人信息与隐私特别是私人信息类隐私有诸多重合和交叉之处，个人信息中的敏感信息往往也是隐私权保护的客体，但是隐私权制度和个人信息保护制度毕竟有实质的差异性，这一差异主要体现在个人信息经过去个人化处理后的合理利用问题，以及与此关联的数据财产保护问题之上。对于个人信息的保护与利用，需要平衡个人、国家和信息业者之间的利益。

（二）合法收集义务与积极作为义务设定：依法取得与确保个人信息安全

在赋予自然人个人信息权利（权益），将个人信息保护纳入民法范围之后，第111条紧接着规定“任何组织和个人需要获得他人个人信息的，应当依法取得并确保信息安全”。

这里含有三层文义：

①权利（权益）限制。自然人的个人信息有可能被他人（任何组织和个人）取得，这表明个人信息即使是一项人格权利（权益）也并非像生命权等权利一样绝对，而是在合法合规的条件下能够被他人获得并持有、处理、使用。这可以理解为个人信息权（权益）具有可克减性。

②合法性要求。获得他人个人信息应当是“依法”获得。尽管这条法律没有规定如何依法获得他人个人信息，但是依据其他法律规定和理论以及比较法上的经验，合法获得个人信息的途径一般包括两种情形，一是依据法律行政法规的授权直接收集（如国家机关收集个人信息），二是经自然人同意而收集其个人信息。

③积极作为义务。对于依法取得的他人之个人信息，持有者负有确保其安全的积极作为义务。所谓确保安全，有两层要求：一是确保个人信息不被损坏、遗失、丢失，不发生物理上的损失；二是个人信息不被泄露、侵入或者发生其他类似情形。所谓“确保”是指采取一切必要的软件硬件措施包括规章制度建设等，达到法定标准、行业标准或理性人（reasonableman）标准所要求的注意程度，使得其所持有的个人信息处于此等安全保障状态。《关于加强网络信息保护的决定》4条、《网络安全法》42条第2款也都对于确保所收集的个人信息安全进行了规定。

（三）消极不作为义务设定：禁止为一系列危害自然人个人信息权利（权益）的行为

在第111条后半段，法律规定了两组“不得”，即“不得非法收集、使用、加工、传输他人个人信息”和“不得非法买卖、提供或者公开他人个人信息”。两个“不得”都是禁止性规定，既是给任何个人和组织设定的具有对世性的普遍消极不作为义务，也是给特定主体（如已经依法取得他人个人信息的个人或者组织）设定的相对性的特别不作为义务。第一个“不得”针对的是非法收集、使用、加工、传输他人个人信息的行为，第二个“不得”针对的是非法有偿转让和无偿提供（给特定相对人）以及向不特定的第三人公开他人个人信息的行为。这两组禁止性行为的区别在于，前者仅发生在该行为人（收集、使用、加工、传输者）和信息主体之间，并不涉及第三方民事主体。换言之，这里所说的“收集、使用、加工、传输”的行为都是该行为人自身的（限于其内部）的行为。而后者禁止的则是数个行为人（非信息主体）之间的行为，这些行为都涉及到了第三方民事主体。所涉及的第三方主体或者是特定的（如买卖、提供），或者是不特定的（如公开）。这里的消极义务之设定是以该行为“非法”为前提，禁止的是非法行为；相反，合法的收集、使用、加工、传输他人个人信息的行为以及合法的买卖、提供或者公开他人个人信息的行为，并不受到限制或者禁止。

在《民法总则》之外，一些特别法也对于上述消极不作为义务的具体内容从各自的角度进行了规定。此外，《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》（法释[2014]11号）第12条对于互联网上侵害个人信息的情形作出了较为具体的规定。

五、司法适用以及对后续立法的影响

（一）司法适用

学界的主流观点认为，民法规范的实在意义在于其作为裁判规则的实用价值，甚至一切民法规范都要围绕请求权基础展开。但是我国民法却有着较大的特殊性：民法尤其是《民法总则》的许多条文并不是直接用来裁判案件的，或者说其主要功能不在于裁判规则方面，而是用来塑造民事社会即整体民事关系框架的。《民法总则》关于基本原则的规定如此，而非基本原则的许多条文也如此。《民法总则》111条作为民法规定个人信息保护的基本条文，其价值首先是权利（权益）确认与义务设定，其次是作为裁判规则为司法实践提供审判案件的法律依据。

在《民法总则》生效之前，我国司法实践对个人信息也是提供刑事和民事保护的。相较而言，目前刑事方法保护个人信息的力度更强，规范也更为完善。刑事保护的主要法律依据是《刑法修正案（七）》和《刑法修正案（九）》。此外，两高与公安部在2013年就联合发布了《最高人民法院、最高人民检察院、公安部关于依法惩处侵害公民个人信息犯罪活动的通知》（公通字[2013]12号）， 2017年两高还颁布了《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（法释[2017]10号）。这些都为公检法系统依法侦查、公诉、审判侵害个人信息犯罪活动提供了规范依据，大大提高了个人信息的刑事保护水平和力度。

个人信息的民事保护在法律适用上则比较曲折复杂一些：《侵权责任法》2条第2款所列举的受其保护的权利和权益并没有包括“个人信息权（权益）”，但是该条第2款留下了一个开放的接入口“等人身、财产权益”，即在列举的权利之外还有“等人身、财产权益”受到《侵权责任法》的保护。由于《关于加强网络信息保护的决定》规定了对个人信息的保护，特别是刑法修正案和《网络安全法》规定了对个人信息的保护，个人信息被解释为《侵权责任法》2条第2款所规定的“等人身、财产权益”之一，原则上不存在法律适用上的障碍。最高人民法院的一些司法解释似乎也遵循了这一思路。

《民法总则》生效后，111条成为民事诉讼保护个人信息的基本法律依据，结合《侵权责任法》2条第2款、第6条第1款、第21条和第22条等条文以及《民法总则》相关条文的规定，自然人个人对其个人信息保护既可以提起基于支配权（权益）的请求，也可以在个人信息受到侵害后提出损害赔偿请求。前者包括停止侵害（删除、屏蔽、断开链接等）、更正不实个人信息、保障个人信息的真实性、完整性和安全性等，后者包括精神损害赔偿和附带的财产损失赔偿（《侵权责任法》20条）。

但是司法大数据表明，相较于刑事手段，民事手段对个人信息的保护是比较有限的。本文以“北大法宝”数据库（http://www.pkulaw.com）为工具，查询了《刑法修正案（七）》生效以来，侵犯个人信息的刑事案件数据情况以及个人信息被侵害的民事案件数据情况。

1.刑事案件

目前在司法案例中与公民个人信息有关的刑事案由有三个，即“出售、非法提供公民个人信息罪”“非法获取公民个人信息罪”“侵犯公民个人信息罪”。北大法宝司法案例库中2009年2月28日至2018年9月28日的裁判文书总量为43405859篇，以该审结期限范围为限，分别对上述三个案由进行检索，检索结果为“出售、非法提供公民个人信息罪”143篇，“非法获取公民个人信息罪”1129篇，“侵犯公民个人信息罪”2571篇，共计3843篇，总占比0.0088%。

2.民事案件

《刑法修正案（七）》以来，由于已有的案由体系没有与个人信息相关的民事案由，无法利用案由直接限定检索，所以采用与“个人信息”相关的关键词例如“个人信息保护”“个人信息侵犯”“刑法修正案七”“二百五十三条之一”“253条之一”“刑法修正案九”等在民事案件分类下进行全文检索，经过逐篇标题核对最终查到32篇民事案例涉及到侵害个人信息，而认真研读这32篇法律文书后发现其中仅有23件真正与个人信息保护相关。

这些数据大致表明：我国目前对个人信息的司法保护主要还是刑事的保护。自然人个人请求法院对其受到侵害的个人信息提供民事司法保护的案件还比较少。笔者对这23个案件进行了深度挖掘，分析后发现，维权成本高、因果关系证明困难、赔偿数额低可能是民事诉讼途径保护个人信息不力的主要原因：

第一，23件案件中，被告为自然人的为0件，被告为法人的为22件，被告为法人与自然人的为1件。这大致可以说明对自然人的个人信息进行侵害需要相当的物质或技术基础，以至于这些物质和技术基础难以为单独的自然人所拥有。再对被告的行业分布进行分析发现，银行占10件（约43%），网络科技类公司占6件（26%），投资咨询公司占3件（13%），航空公司占2件（8.7%）。由此可见，在个人信息侵权案件中，原告与被告之间的“能力天平”是具有较大倾斜的，二者的实力差距悬殊。

第二，原告胜诉的概率大致在60%左右，但是在23件案件中仅有9件获得了法院支持损害赔偿的判决。在这9件中赔偿额在1万元以下的有4件，1-5万元的有3件。比较前述个人信息侵权诉讼的“难度系数”，这一赔偿额度显然是偏低的，难以为自然人个人踊跃运用民事诉讼手段为自己的个人信息维权提供足够的激励。

在进行深度数据挖掘的23个案件中，仅有一个案件是援引《民法总则》111条作出判决的。这可能与《民法总则》生效时间较短有关。如何发挥第111条的作用，用民事司法手段保护个人信息仍然是一个未解的难题。也许，公益诉讼、集团诉讼等是可以尝试的破解之道。目前，最高人民法院的一些部门和同志也认识到了这一问题。一个民法制度或者规范，特别是那些本来就设计用于裁判的民法制度或者规范，只有在司法审判中得到充分适用，成为保护民事权益解决民事纠纷的利器，这一民法制度或者规范才可能被认为是重要的和成功的。如果以此为目标，《民法总则》111条则还有很远的路要走。

（二）后续的立法模式探讨

1.“《个人信息保护法》+民法典分则”的模式

通过进一步的立法加强对个人信息的保护已经成为共识。但是，建立一个什么样的个人信息保护模式，这仍然存在较大的争论。近期，立法部门在其正式公布的立法规划中明确宣布将制定一部《个人信息保护法》；与此同时，正在起草的《民法典各分编（草案）》（一审稿）第三编“人格权”第六章也将“隐私权与个人信息”作为专门一章进行规定。如何协调好《民法典》中的个人信息保护与未来的《个人信息保护法》的相互关系，是一个重要的立法问题。作者倾向于认为，在《民法总则》111条统领下的民法分则人格权编第六章（如果未来修改不发生章名和各章编排顺序变化）“隐私权与个人信息保护”，应侧重于从民事权利（权益）的人格权性质（即人身非财产性）展开个人信息保护的民法规范体系，并在侵权责任编中对侵害个人信息权利（权益）的损害赔偿包括精神损害赔偿、惩罚性赔偿等作出具体规定。而个人信息保护的行政法层面问题、社会公众（包括媒体）监督、业界自律、政府等公共机构在个人信息保护方面的特殊问题以及国际合作、专家作用、保护机构与机制、投诉程序等，则需要制定《个人信息保护法》作出专门规定。

2.对于《民法典各分编（草案）》（第一次审议稿）相关条文的解读与修改建议

《民法典各分编（草案）》（第一次审议稿）在第三编“人格权”第六章“隐私权与个人信息”中对于个人信息保护作了较为具体的规定，这些规定主要是对于《民法总则》第111条所规定的内容的细化。

（1）对于第111条中“不得非法”的细化规定

《民法典各分编（草案）》（第一次审议稿）第814条规定：“收集、使用自然人个人信息的，应当遵循合法、正当、必要原则，并应当符合以下条件：（一）征得被收集者同意；（二）公开收集、使用信息的规则；（三）明示收集、使用信息的目的、方式和范围；（四）不违反法律、行政法规的规定和当事人之间的约定。”同时，第816条还从抗辩事由的角度规定了不承担民事责任的情形：实施收集、使用或者公开个人信息等行为，有下列情形之一的，行为人不承担民事责任：（一）在自然人同意的范围内实施的行为；（二）使用自然人自行公开的或者其他已合法公开的信息，但是使用该信息侵害该自然人重大利益或者自然人明确拒绝他人使用的除外；（三）为学术研究、课堂教学或者统计目的在合理范围内实施的行为；（四）为维护公序良俗而实施的必要行为；（五）法律、行政法规规定的其他适当实施情形。

上述两个草案条文有进一步斟酌的必要。例如，草案第814条明确要求收集、使用自然人个人信息应当征得被收集者同意，由此可见被收集者的同意是收集个人信息的必要条件。但是第816条的抗辩事由中，在多种情况下都不需要征得被收集者的同意。在未来草案的审议、修改、完善的过程中应当进一步集思广益，努力使得分则的相关规定更为完善、自洽。不过，这并不影响以下这一结论的得出：个人信息的收集只能在法律所允许的框架下进行，不能肆意进行收集。

（2）保障信息主体的支配权：被收集者的同意

《民法典各分编（草案）》（第一次审议稿）第817条第1款规定：“信息收集人、持有人不得泄露、篡改、毁损其收集、存储的个人信息；未经被收集者同意，不得向他人提供个人信息。但是经过处理无法识别特定个人且不能复原的除外。”依据草案这一条文的规定，似乎可以得出以下结论：除经过不可回复性的去个人化处理的信息之外，任何对于个人信息的买卖、提供都需要征得被收集者的同意。

虽然第817条只规定了“提供”之情形，但是在买卖与提供之间，根据“举轻以明重”的法理，情节较轻之“提供”都需要经被收集者同意，那么情节更为严重的“买卖”就更需得到被收集者的同意。

在往后的研究中，随着《民法典各分编》中相关条文的最终审议，还有一些问题是需要进一步予以研究的，如“经被收集者同意”究竟是包括“事前同意”还是严格限制在“事后同意”等。

六、结论

通过对《民法总则》111条个人信息保护条文出台过程进行细致梳理，作者尝试从微观角度向读者描述我国立法的详细过程。从中可以发现法学学者的学术研究工作虽然能够为法律条文的最终出台提供理论基础，但是全国人大代表——这一真正的立法主体无疑对于立法的最终形成具有更大的、更具决定性的作用。这一作用不仅体现在法律（条文）是否最终出台上，也体现在条文的具体内容与侧重点上。

第111条首次在民事基本法中明确了对个人信息的保护，虽然对于其性质究属权利亦或利益仍有争论，但是都不妨碍法律将其确定为自然人的人身非财产性质的人格权（权益）且具有支配性特征，其义务主体负有相应的作为和不作为义务。民法典分则相关编章有关个人信息保护的条文，应当围绕着这一主题进行细化。在未来的立法中，民法典分则与《个人信息保护法》可以并行不悖、各有侧重地为个人信息保护提供法律制度的支持。但就通过民事途径保护个人信息这一角度看，在明确个人信息保护中各方权利义务的基础上，如何在诉讼制度中构建诸如公益诉讼、集体诉讼等行之有效的诉讼制度也许是下一步研究和立法的重点。

欢迎扫码获取法宝介绍和试用

—更多内容—