导语

民法典独创性地将人格权独立成编，明确区分了隐私权和个人信息保护，闪烁着新时代民法典人文关怀的光辉，具有划时代的里程碑式的意义。

本文结合数字经济时代人们对隐私和个人信息保护的迫切需求，阐述民法典隐私和个人信息保护部分的立法原旨、个人信息保护与隐私权区分的司法价值以及对人们生活工作可能带来的影响。

一、时代转型需要民法典加强隐私权和个人信息保护

信息技术的高速发展促使我们向数字经济社会转型，而数字社会的运转需要大规模的个人信息来支撑，也带来了新的社会治理问题，即大范围自动化处理个人信息所引发的隐私和个人信息侵权行为，如计算机自动化处理技术导致的“算法”歧视、各种隐蔽摄像头、大量精准诈骗和骚扰电话、无处不在的定向推送广告骚扰等。

随着群众权利意识进一步加强，逐渐注意隐私和个人信息的保护，将大量侵犯隐私和个人信息纠纷诉诸于司法。

但民法典颁布前，我国个人信息保护的立法比较碎片和凌乱，零散分布在《网络安全法》《消费者权益保护法》《电子商务法》等法律法规及规章等，主要由公法和公权力机关提供保护，私法上缺乏有效救济。

在此背景下，民法典人格权编单独成章规定隐私权和个人信息保护，在民事私法领域为隐私权和个人信息保护提供救济基础，弥补公法保护的不足，也为司法审判提供了基本裁判规则和原理，契合了新时代人们的司法需求，具有重大意义。

二、民法典隐私权和个人信息保护规定的亮点及对实践的影响

（一）明确区分隐私权和个人信息

个人信息既有私密信息，如个人健康信息、性取向等，也有非私密信息，如邮箱地址等。侵犯个人信息与隐私权的情况可能同时发生，难以区分。如一款社交软件未经用户同意捕抓了用户私密聊天内容，收集用户的个人健康信息，并向用户推送特定的医疗广告。

在民法典颁布前，法院一般不会具体区分侵犯个人信息和隐私权，而是直接按照隐私权保护的规定进行裁判，一定程度上忽略对个人信息的保护。

民法典第一千零三十二条规定：隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。第一千零三十四条规定个人信息的定义，明确个人信息包含个人私密信息，对于个人信息中的私密信息，适用有关隐私权的规定，隐私权保护没有规定的，适用有关个人信息保护的规定。

可见，隐私权和个人信息两者存在重叠和交叉，但两者功能不同。隐私权保护的是人们私生活安宁，重点在不被他人知晓；而个人信息保护的是人们在社会交往过程中对个人信息的控制权，侧重于控制，并不排斥个人信息的合法转移。

因此，在前述例子中，处理个人生理健康信息导致私生活受到侵犯的，首先适用隐私权规定进行保护；不涉及隐私权的，如其生理健康信息的存储、转移、公开披露、删除、更正等全生命周期产生的侵权责任，即可适用个人信息保护规定。

据此，若在日常生活中同时被侵犯了隐私和个人信息权利，受害者可视情况适用隐私权规定和个人信息保护规定，个人信息日后将获得更周全的保护。

（二）加强隐私权的保护力度

民法典首次明确了隐私的定义，并在此基础上规定：任何组织或者个人不得以刺探、侵扰、泄露、公开等方式侵害他人的隐私权，明确禁止以电话、短信、即时通讯工具、电子邮件、传单等方式侵扰他人私人生活安宁；禁止进入、拍摄、窥视他人的住宅、宾馆房间等私密空间；禁止拍摄、窥视、窃听、公开他人的私密活动；禁止拍摄、窥视他人身体的私密部位。

因此，在生活中遇到骚扰电话、短信、邮件，偷拍、偷录、偷窥等侵犯隐私的行为，受害者可以直接诉诸司法，适用人格请求权，请求侵权人承担停止侵害、排除妨碍、消除危险等侵权责任。

民法典明确禁止上述几类典型隐私侵权行为，凸显民法典在数字经济时代加强隐私权保护的态度，将有望改变目前肆意侵犯隐私的社会现状，具有强大的震慑作用和公共效应。

（三）规定个人信息的权利内容

长期以来，我国个人信息保护主要由公法规定，且停留在宣示规则层面。如《网络安全法》《消费者权益保护法》等仅规定处理者处理个人信息所遵循的原则和方式，在私法层面缺乏民事主体享有个人信息的权的规定，在具体适用上，常常参照《个人信息安全规范》这一推荐性国家标准。

而民法典第一千零三十五条规定：处理个人信息应当遵循合法、正当、必要原则，不得过度处理，除法律或行政法律另有规定外，需征得该自然人或者其监护人同意。第一千零三十七条规定：自然人可以依法向信息处理者查阅或者复制其个人信息，发现信息有错误的，有权提出异议并请求及时采取更正等必要措施。发现信息处理者违反法律、行政法规的规定或者双方的约定处理其个人信息的，有权请求信息处理者及时删除。

民法典规定民事主体享有知情同意权、查阅权（访问）、复制权（获取副本）、更正权、删除权。这些规定已基本涵盖民事主体在个人信息全生命周期过程中所享的权利，确立了民事主体对其个人信息使用和流转中的控制权，而不仅仅停留在宣示规则层面。

（四）规定“合理”处理个人信息可免责

民法典在人格权编中将个人信息保护与隐私权一并规定，且赋予民事主体对其自身的个人信息具有控制权，其背后出发点在于保护民事主体的人格尊严和个人自由。

但这却引来较多人的担心，因有一部分自然人的个人信息本身是公开的，如姓名、长相等，确立个人信息的人格权属性是否要求所有处理个人信息的行为都需通过信息主体的知情同意，如此整个正常的社会交往会深受影响。

笔者在此提醒，这担心完全是多虑了。民法典第一千零三十三条规定：经权利人同意或法律另有规定的可以处理他人个人私密信息。一千零三十六条规定：权利人同意，自行或已公开信息和为维护公共利益或该自然人的合法权益可免责，无需担心正常社会交往必须开展处理个人信息的行为。

民法典上述规定兼顾个人信息保护和合理使用、自由流动关系，具有重要实践意义。其亮点还在于，即便同意或具备其他合法处理个人信息的事由，要在“合理”范围内处理，不能“过度”。

三、民法典隐私权和个人信息保护规定有待进一步细化的地方

作为民商事领域的基本法，民法典对隐私权和个人信息保护的具体规定只有八条，确立了基本规则，既可为其他立法提供基本依据，又为将来的发展留有空间，较为灵活。

但法律终须要实践适用，从目前来说，民法典隐私权和个人信息保护的规定要从“书本中的法”到“行动中的法”，尚需在后续相关立法中重点考虑几点：

（一）明确侵害个人信息民事责任的具体规定

所谓没有救济，就没有权利。在司法实践中，个人信息侵权责任具有特殊性，如当个人信息被非法泄露，受害人无法证明泄露者身份等，参照具体人格权和一般侵权责任往往导致民事主体难以维护自身利益。如个人信息侵权能否适用人格权保护请求权，请求侵权人承担停止侵害、排除妨碍、消除危险等侵权责任。

目前仅《消费者权益保护法》第五十条规定：经营者侵害消费者的人格尊严、侵犯消费者人身自由或者侵害消费者个人信息依法得到保护的权利的，应当停止侵害、恢复名誉、消除影响、赔礼道歉，并赔偿损失，没有消除危险责任。

作为新型侵权行为，民法典没有规定侵害个人信息的民事责任的归责原则、构成要件、侵权责任的承担方式等，需要后续配套立法中进一步完善。

（二）如何判断个人信息的“合理”处理？

民法典一千零三十六条规定：处理个人信息可免责的情形，兼顾了个人信息保护和合理使用及自由流动间的平衡。那应该如何判断是否“合理”？为不“过度”？

如一家便利店经营者在店内安装监控视频，假设经过客户的明确同意收集其个人信息，为检查店内当日是否有偷窃行为，经营者将视频交由第三方处理和分析，该便利店经营者这样的处理行为是否合理？

一般来说，“合理”相当于目的限制原则，超出原始处理个人信息的目的处理行为就是不合理，不再免责，但民法典未置一词，留待实践进一步完善。

（三）如何理解个人信息“处理者”？

民法典规定承担个人信息保护的义务主体为“信息处理者”，而非“任何组织或者个人”。并进一步规定个人信息处理包括收集、存储、使用、加工、传输、提供、公开等全生命周期过程。

那是否任何一项涉及个人信息收集动作，如一个人在公共场所出现，自然而然获取关于他长相相关信息是否属于民法典规定的处理行为？如家长在家庭处理子女的个人信息是否信息处理者？

在各国立法上，如欧盟《一般数据保护条例》（ＧＤＰＲ）规定信息处理者并不包括普通自然人，纯粹在个人或家庭活动中所进行的个人信息处理并不在法律调整范围内，民法典未进行规定，有待民法典适用时进一步明确。

同时，信息处理者也分为自动化和非自动化两种类型，其权利义务也存在区别，这些问题有待进一步立法来细化。

结语

民法典作为市民社会权利的宣言书，已基本完成个人信息保护的顶层立法设计，将与《网络安全法》及后续个人信息保护法等法律法规一起构筑保护隐私权和个人信息的法律基础，形成既反映实际需要，又整体统一的法律保护体系，能更全面和有效保护我们每个人的隐私权和个人信息，维护数字社会中每个人的人格尊严和自由，影响深远。

责任编辑：柠杉