民法典时代个人信息的保护和开发

一、有关个人信息的规定

《民法典》对个人信息和隐私保护的详细规定，具有开创意义。此前，《民法通则》（1987年开始施行，将于2021年起失效）及其他民事单行法并无个人信息的概念。2017年施行的《民法总则》第一百一十条虽将“隐私权”纳入自然人的人格权范畴，但也未作进一步规定。

相比之前的民事法律法规，《民法典》是一个巨大进步。它在总则和分则当中对个人信息均有规定。《总则》部分第一百一十一条规定，自然人的个人信息受法律保护；第一百二十七条规定，数据、网络虚拟财产保护的法律适用。分则部分第四编第六章作为人格权编的一部分，专门规定个人信息和隐私权，从隐私和个人信息的定义开始，到个人信息处理的原则、条件和免责事由，再到个人信息主体的权利和与之对应的信息处理者的信息安全保障义务，和公权力机关及其工作人员的保密义务，环环相扣，思路清晰，勾勒出一个完整的个人信息制度框架轮廓。

除第四编第六章外，其他章节也对个人信息保护有所规定，譬如，第一千二百二十六条规定：“医疗机构及其医务人员应当对患者的隐私和个人信息保密。泄露患者的隐私和个人信息，或者未经患者同意公开其病历资料的，应当承担侵权责任。”

从整体上看，《民法典》对个人信息的规定，通过总则与分则呼应、集中与分散结合、原则和例外并举的方式，为个人信息法律制度的构建奠定了良好的私法基础。

二、完善对个人信息的保护

互联网时代，大数据、人工智能等各种先进技术的应用，在推动社会发展的同时，也加剧了个人信息暴露的风险。《民法典》作为“公民权利的宣言书”，直面时代挑战，针对个人信息的保护开出私法“处方”。

（一）明确个人信息的内涵和外延

《民法典》第一千零三十四条规定：“个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息，包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。”

这里叙述了个人信息三个方面的内涵：以电子或者其他方式记录；单独或者与其他信息结合；能够对特定自然人起到识别作用。这一叙述，从形式外观和实质效果两方面出发，完整有效地填充了个人信息的具体内容。

同时罗列了个人信息的外延，我们从中可见，既有生物信息，也有非生物信息；既有私密信息，也有非私密信息；既有客观信息，也有主观信息；既有历史信息，也有现时信息。这里的罗列涵盖了自然人生老病死的所有信息，为个人信息保护提供了边界指引。

《民法典》以定义和列举结合、内涵限制和外延拓展的形式，明确了个人信息的概念，为个人信息的法律保护提供相对合理的对象范畴。

（二）明确主体权利义务

个人信息涉及两大主体，一方是个人信息主体，另一方是信息处理主体。二者既是对立的双方，又是共享数据利益的双方。《民法典》从这两方面主体出发，划分二者权利义务。

第一千零三十七条规定了个人信息主体的权利，包括：（1）查阅复制权；（2）请求更正权；（3）请求删除权。从传统民法的视角看，这些权利均为请求权。其中查阅复制权是后两项权利的基础，如果不能查阅、复制，就无法发现信息错误或违法。对个人信息权利的规定，为公民个人信息权利的行使和权益损害的救济提供了依据。未来随着现实的变化，权利内容可能继续丰富。

第一千零三十八条规定了信息处理者的四大义务：（1）不得泄露或者篡改其收集、存储的个人信息；（2）未经自然人同意,不得向他人非法提供其个人信息；（3）确保个人信息安全的义务；（3）补救和告知、报告的义务。其中前两项属于消极义务，后两项属于积极义务。

此外，第一千零三十条规定，国家机关、承担行政职能的法定机构及其工作人员对于履行职责过程中知悉的自然人的隐私和个人信息，应当予以保密，不得泄露或者向他人非法提供。因为个人信息主体与企业、政府等信息处理主体相比力量弱小，处于弱势地位，所以《民法典》侧重于对个人信息主体的保护，对信息处理主体主要强调义务，从而规范其行为。在正面规定个人信息主体的权利之后，又从反方向的义务规定加强保护。

通过权利和义务的列举，《民法典》划明了个人信息主体和信息处理者这两大对立方的权益边界，既保护个人信息主体，又适当照顾信息处理者的利益，使其义务不至过重。

（三）重点规制群众反响强烈的侵权行为

《民法典》第一千零三十三条规定：“除权利人明确同意外，任何组织或者个人不得实施下列行为：（一）以短信、电话、即时通讯工具、电子邮件、传单等方式侵扰他人的私人生活安宁；（二）进入、窥视、拍摄他人的住宅、宾馆房间等私密空间；（三）拍摄、录制、公开、窥视、窃听他人的私密活动；（四）拍摄、窥视他人身体的私密部位；（五）收集、处理他人的私密信息；（六）以其他方式侵害他人的隐私权。”

该条规定针对电话推销、垃圾邮件、宾馆偷拍、厕所偷窥、买卖公民信息等多年来公众反响强烈的侵害公民个人信息行为重点打击，深刻体现了时代特色，合理回应了社会关切。

三、推动个人信息（数据）的开发

数字经济背景下，数据成为经济社会发展的重要驱动力量和全新的市场要素。

2020年4月9日发布的《中共中央、国务院关于构建更加完善的要素市场化配置体制机制的意见》第一次将数据作为一种新型生产要素，明确了完善数据生产要素配置的相关举措。要推动经济社会发展，必须充分发掘数据价值，实现数据赋能。

个人信息蕴含于海量的个人数据之中，是大数据场景下数据所承载且被重点关注的具有人身性的可财产化的内容要素。欲实现数据赋能，须在合规合法的前提下充分开发个人（信息）数据。《民法典》顺应了这一发展趋势，立足于当下数字经济发展的现实需求，不仅强调对个人信息的保护，同时也支持在法治框架下将个人信息作为数据予以开发。

（一）明确数据保护法律适用

《民法典》第一百二十七条规定：“法律对数据、网络虚拟财产的保护有规定的，依照其规定。”

这条规定表明了数据保护的法律适用。这与我国目前的理论和实践实际相符。目前理论界和实务界对数据的法律性质、权属、流通等问题仍然莫衷一是，在相关理论和实务都不成熟的情况下，《民法典》采取谨慎态度，承认数据保护但并不具体规定，这是相对来说最为合理的选择。

同时，对数据已有行政法、经济法等多方面的法律规制，《民法典》直接与相关法律衔接，既可以避免体系过于庞杂的弊端，又有利于防止法律规定的矛盾和冲突，实现法律体系的完整统一，进而减少个人数据开发的法制阻力和障碍，为个人数据开发敞开大门。

（二）为信息开发行为提供法律依据

《民法典》第一千零三十五条规定了个人信息处理的原则和条件：

“处理个人信息的,应当遵循合法、正当、必要原则，不得过度处理，并符合下列条件：（一）征得该自然人或者其监护人同意,但是法律、行政法规另有规定的除外；（二）公开处理信息的规则；（三）明示处理信息的目的、方式和范围；（四）不违反法律、行政法规的规定和双方的约定。”

这表明，只要符合法定条件，遵循原则，信息处理者就有权充分利用公民个人信息。这为信息处理者的信息开发行为提供了法律依据。

信息处理者主要是各类企业，目前国内大数据和互联网行业的龙头企业又是腾讯、阿里等民营企业。《民法典》承认、允许企业开发个人数据以实现经济价值，不仅能推动大数据等高新技术产业和数字经济发展，也有助于扶持民营经济。

值得注意的是，该条规定中“正当、必要和不得过度处理”的具体内涵尚不明确，期待在接下来相关配套法规的增订或有关司法解释的出台中予以及时细化。

（三）合理界定开发者责任

个人信息保护是《民法典》的重要价值追求，但是如果过度保护个人信息，就会加重数据开发者的责任和义务，阻碍数据开发，妨碍数据价值的实现和数字经济的发展。

正是基于两者利益平衡的考虑，《民法典》第一千零三十六条规定了信息处理者的三类免责事由：（1）在该自然人或者其监护人同意的范围内合理实施的行为；（2）合理处理该自然人自行公开的或者其他已经合法公开的信息，但是该自然人明确拒绝，或者处理该信息侵害其重大利益的除外；（3）为维护公共利益或者该自然人合法权益，合理实施的其他行为。

这些免责事由使得信息处理者承担的责任处在一个合理区间内，防止因法律责任过重而打击信息开发者开发利用数据的积极性，从而可对信息开发起到积极的推动作用。

（四）提升数据质量促进价值共享

《民法典》对自然人的查阅复制权、请求更正权和请求删除权的规定，不仅是对个人数据权益的保护，同时也有助于数据的流通与开发。

首先，请求更正权有利于提高数据质量。个人发现信息有错误的，有权提出异议并请求及时采取更正，这有助于提高数据准确性，减少数据误差和错漏，从而提升数据质量。

其次，查阅复制权有助于数据流通。数据本身具有非竞争性，可以被无限次复制而不会损耗，法律赋予个人查阅复制权，有助于数据的传播和扩散，推动数据流通，促进数据共享，打破数据独占。

最后，请求删除权有助于降低法律风险。个人信息主体的删除请求有助于帮助发现并处理信息处理者潜在的法律问题，减少因个人数据信息采集、流通、使用等行为引起的纠纷，节省相关法治资源。

四、结语

数据作为重要的生产要素已经成为我国新经济发展、推动新基建的基础设施和核心动能。对数据价值及功能的再认知和深挖掘是中国经济发展的重要动力。《民法典》的出台，为构建统合数据保护与开发行为，兼顾各类数据主体多元利益动态平衡的法治系统奠定了基本法基础，有利于实现数据红利的进一步释放，切实有效推动数据治理法治化步入新时代。

[本文是教育部人文社会科学重点基地重大项目“全球数据竞争中人权基准的考量与促进研究”（19JJD820009）和天津市教委社会科学重大项目“天津市人工智能产业发展的经济法治保障”（2019JWZD20）的阶段性成果。]