针对隐私权和个人信息保护领域存在的突出问题，在现行法律规定基础上，我国民法典各分编草案在“人格权编”中进一步强化对隐私权的保护。2019年8月22日，第十三届全国人民代表大会常务委员会召开第十二次会议，《民法典人格权编（草案）》（三次审议稿）（下称草案三审稿）提请审议。草案三审稿中对“隐私权和个人信息保护”章节进行了部分改动，进一步升级了对隐私权和个人信息保护，比如：将自然人的“电子邮箱地址”和“行踪信息”纳入个人信息的范围等。笔者认为，对于“个人信息保护”中的相关内容仍有待进一步完善，囿于篇幅本文仅谈三点问题。

南京邮电大学信息产业发展战略研究院首席专家 王春晖

完善个人信息的定义

明确个人信息处理的内涵

　　笔者注意到，草案三审稿中的“收集、处理自然人个人信息”的表述主要参照了网络安全法第41条的规定：“网络运营者收集、使用个人信息。”笔者以为，上述规定中的“收集”具有两层含义，首先侧重于“收”，其次才是“集”，“收”的含义是收拢，是一种主动的行为，对象是个人信息。

　　笔者注意到，草案三审稿第六章专门增加了“个人信息处理”的内容，并对具体外延进行了例举，即“个人信息的处理包括个人信息的使用、加工、传输、提供、公开等”。为此，建议将第814条中的“收集”一词并入“处理”的范畴，即“个人信息的处理包括个人信息的收集、使用、加工、传输、提供、公开等”。

　　完善个人信息保护的原则

　　当前，移动互联网应用程序（App）已经成为移动互联网信息服务的主要载体。令人遗憾的是，绝大多数App控制和处理的个人信息明显违反“合法、正当、必要”原则，特别是触碰了公民隐私的红线，比如有些App在条款中称，需要的个人信息包括用户姓名、性别、电话号码、邮箱、出生日期、地理位置、身份证号码、可识别生物信息和财务信息（如信用卡卡号或银行账号、微信支付或支付宝账号信息等）。

　　上海检察机关依法向10家APP运营商制发了检察建议，并要求加强用户个人信息保护。

       实践中，我国法律确定的“合法、正当、必要”这项个人信息保护的原则，只要信息（数据）主体接受了信息（数据）控制者或处理者的“隐私条款”就完成了所谓的“合法”环节。事实上，多数App设置的所谓“隐私条款”完全超出“正当、必要”的范围，尤其令人不能接受的是，如果用户不接受其隐私条款，App的发布者则拒绝用户安装或使用其App。此种“只能被迫接受，否则没法使用”的行为严重侵犯用户的选择权。

　   笔者呼吁，个人隐私和信息保护的民法原则，应当彰显私法中的契约精神在个人信息（数据）保护中的法律地位，且信息（数据）控制者或处理者提供的隐私格式条款应当进行合法性审查。为此，建议草案三审稿第814条在“遵循合法、正当、必要的原则”之前增加“遵照双方的约定”的规定，表述为：“处理自然人个人信息的，应当遵照双方的约定，并遵循合法、正当、必要原则。草案三审稿第814条第（四）规定，“不违反法律、行政法规的规定和双方的约定”中已经明确了不得违反“双方的约定”。同时，鉴于多数信息控制者“隐私条款”具有免除其责任和排除信息（数据）主体主要权利的情形，建议在814条中增加一款：“信息（数据）控制者或处理者提供的隐私格式条款应当进行合法性审查。”