一、个人信息与隐私权的基本定义

（一）个人信息的“可识别性”

个人信息指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息。与《网络安全法》以及《个人信息安全规范》[2]中的定义一致，其强调个人信息的“可识别性”，这无疑是个人信息最本质、核心的特征。

一般而言，“可识别”区别于“已经”识别到某一自然人个体，指具有识别的可能性，或者说能够识别到个人。也因此，定义明确需注意“间接”识别特定自然人的情形，此时即使企业没有直接向用户收集个人信息，也无法避免承担个人信息保护的相关义务。GDPR也表明了间接识别的重要性，认为应当考虑“所有合理可能的方法(All the means likely reasonably)”[3]。因此，只要在合理的范围内，特定的信息可以通过采取某种方法与其他信息结合后能够识别个人的，这类同样构成个人信息。

但值得注意的是，个人信息采取的识别手段是以“合理”为标准进行认定的，对于 “合理”认定标准，现实中很难有整齐划一的法律定义而且似乎也无此必要。比如是一般大众凭简单检索即可识别到个人为合理，还是使用专业技术手段可识别到个人为合理，要根据具体情况具体分析。在企业级别的运营中，即使企业已经采取一定的技术手段，比如去标识化等，但仍有可能被其他技术人员用以识别到个人，借助技术手段的可识别性似乎也不能说不合理，这在所用技术在特定行业中普遍使用时尤其如此。那么又该如何认定是否属于“合理”的范围？有学者参考WP29小组相关意见，指出个人信息的认定会随着拥有数据的主体、使用的场景、数据保存的期限、技术的发展等多种影响因素而发生变化。因此，“合理”的判断涉及到至少包括技术和现实两方面的因素考量，而在此基础上进行个人信息“可识别性”的判定，实际上具有“动态性”和“场景性”，[4]需根据实际情况加以明确并根据实践总结相应原则，以便于在执法及合规中提供更为明确的指引，节约法律实施成本。。

此外，在列举情形中，《民法典》明确将近年来在实践中产生较多争议与关注的生物识别信息、电子邮箱、行踪信息、健康信息纳入个人信息保护的范围，响应对某一具体类型的个人信息保护的实践需求。不过，《民法典》并未进一步区分“一般个人信息”和“个人敏感信息”。

（二）隐私权与个人信息的区分保护

相较于个人信息，“隐私”更强调个人生活的安宁，其所涵盖的客体包括了私密的信息、活动和空间。长期以来， 由于“隐私”这一法律概念强调了私人和个性化的生活的安宁状态，对于隐私的边界难以有整齐划一的界定，因此隐私的法律定义和范围一直存在争议。此次《民法典》采取了通过一般定义加举例的方式，试图通过对实践中具体场景（包括如电话骚扰、广告、私密场所偷拍等行为的归纳总结）明确侵犯隐私的情形，。这一做法的实际效果有待进一步考量。

《民法典》在对个人信息和隐私作出定义的基础上，也意识到二者存在重合的部分。因此，《民法典》还制定了对个人信息与隐私保护的衔接规则，明确个人信息中的私密信息，适用有关隐私权的规定；没有规定的，则适用有关个人信息保护的规定。不过这一解决思路本质上仍然依赖于对二者范围，特别是对隐私，的有效识别和界定。

因此，实践中相关企业合规的出发点，应是梳理其收集了何种信息，其中是否收集了“个人信息”，是否涉及收集自然人私密信息，在此基础上才能有效评估企业信息收集行为的合规性或相关风险。由于隐私的识别涉及到一般常识和对特定主体的个性化认知，因此可以认为《民法典》对于企业的合规提出了更高的要求。

二、《民法典》就隐私权和个人信息保护的主要规定及简要评析

（一）构建个人信息全生命周期的基本保护体系

1. 首先，《民法典》采纳了《网络安全法》设立的个人信息保护三大基本原则，即“合法、正当、必要”。

2. 其次，在确立基本原则的基础上，《民法典》明确了“合法” “处理”个人信息的条件，主要包括两种：其一，以获得“知情同意”为基础，通过公开“处理信息的规则，处理信息的目的、范围和方式”进而获得“个人信息主体或其监护人的同意”；其二，承认“法律、行政法规规定的其他方式”作为个人信息处理的合法性基础。这体现了《民法典》与其他个人信息相关法律法规的体系衔接。这意味着企业并非全然依赖用户同意才能获得信息收集的合法性，可根据自身情况，评估、选择其适用的处理个人信息的合法性。

其中值得关注的是《民法典》借鉴了GDPR，引入了广义的个人信息“处理”概念。“处理”不仅限于一般情形下所理解的对数据的加工行为，而是涵盖了个人信息的“收集、存储、使用、加工、传输、提供、公开等”，意在对个人信息的全生命周期中涉及的所有活动进行规制。

另一个值得关注的规定是，《民法典》虽然使用了 “信息处理者”这一概念，但对这一概念得界定有别于GDPR。根据《民法典》的规定，我们理解， “信息处理者”并非是与“信息控制者”相对应的个人信息责任主体，而是对应信息主体的在个人信息全生命周期中采取各种活动的主体，覆盖了GDPR项下“信息控制者“和”信息处理者”的一个具有中国特色的创新概念。

这样的规定是为了呼应“处理“的界定，但这样的行文显然与信安标委此前制定并公布的个人信息相关规范的做法不同。对于企业而言，由此产生的问题是如何解决《民法典》和相关国家规范对信息处理主体设定上的不一致，避免冲突与疑义确保在合规中做到《民法典》与现有的个人信息相关规范的衔接。这似乎需要信安标委根据《民法典》对现有的个人信息相关的具体规则进行进一步调整。

3. 最后，就信息主体而言，《民法典》赋予自然人对其个人信息的查阅、复制、请求更正以及删除的权利；就信息处理者而言，其负有不得泄露、篡改、非法提供自然人个人信息，并且采取必要措施确保个人信息安全的相关义务，包括在发生个人信息安全事件时及时采取补救措施等。这些规定，总体上还是在现有的个人信息保护的框架内进行的规定，并没有修改或补充相关具体规则。

（二）规定特殊保护义务

除了前述一般信息处理者的义务，我们注意到，《民法典》还增加了一些对特殊主体或特殊数据类型保护义务的原则性规定。主要包括：

1. 法定机构及其工作人员对个人信息的保密义务；

2. 医疗机构及其工作人员对患者隐私及个人信息的保护；

3. 征信机构及其工作人员对信用信息的保护，尤其强调民事主体有权要求对不当的信用评价进行更正、删除等必要措施。

对于这些特殊数据类型，实际上均有相关部门规章就本行业内的相关个人信息保护提出具体且往往是更高的要求。比如就信用信息有《征信业管理条例》、《中国人民银行关于进一步加强征信信息安全管理的通知》等相关规定。涉及收集相关信息的企业应特别关注行业内法规是否相关特殊要求，或主管部门是否有监管指南可供参考。

（三）侵权责任及免责情形

《民法典》并没有就个人信息受到侵害时的民事责任及救济措施予以特别规定。当隐私权和个人信息保护的权利受到侵害时，将适用侵权责任编下受害人对于人格权侵权的请求权以及一般侵权损害的赔偿责任（在符合法律规定的情形下，包括精神损害赔偿）。

《民法典》还明确了个人信息处理行为的免责情形。具体而言，仅限于在“主体或其监护人同意范围内”处理、“处理公开个人信息”以及基于“公共利益及自然人合法权益”三种情形。此外，《民法典》第999条规定，仅限于为公共利益而实施新闻报道、舆论监督等行为，可以合理使用民事主体的姓名、名称、肖像、个人信息等。但因不合理使用而侵害民事主体人格权的，仍然应当依法承担民事责任。

前述责任免除条款均强调应以对个人信息的“合理”使用为前提。但目前《民法典》的相关规定以及具体法规中似乎无法为“合理”提供一个明确的解释标准。可以预见，相关条款对于企业信息处理合规实践将会产生影响，但如何适用该条进行判定不无疑问，有待实践的进一步检验。

三、 其他相关规定：网络侵权中网络服务提供者的责任界定

除了前述隐私与个人信息保护的相关规定，《民法典》还完善了与网络服务相关的个人信息和隐私侵权的规定，比如：明确规定数据和网络虚拟财产受法律保护；在名誉、荣誉权保护方面，关注对网络媒体侵犯相关权利的情形，并为责任承担设置了法律依据。

此次在侵权责任中，还特别针对网络服务提供者的侵权责任进行了细化，即解决在网络用户利用网络服务实施侵权行为的情形下，网络服务提供者的义务与责任分配。

实际上这并不是一个新问题，但在立法选择中平衡主体之间的利益以及在复杂的网络环境中判断责任的归属并非易事，随着技术的不断发展，一直以来产生了各种新问题与争议。而本次《民法典》可以看作对以《侵权责任法》第36条为基础的网络侵权法律责任体系的整合与完善。具体而言：

1. 优化“通知—删除”制度。明确权利人的“通知”应当包括构成侵权的初步证据以及权利人的真实信息，若因通知错误造成网络用户或网络服务提供者损害的，应当承担侵权责任。该条借鉴了信息网络传播权保护的具体规则[5]，一方面要求提供构成侵权的初步证据，另一方面特别强调权利人应当提供其真实信息，实际上回应了现实中不时发生的滥用“通知—删除”制度进行不正当竞争、恶意投诉等情形，避免权利人提供虚假信息、滥用权利给网络用户造成损害，对网络服务提供者造成流量、广告收入损失。

2. 网络服务提供者在接到权利人“通知”后，应采取必要措施，否则应就损害的扩大部分承担连带责任；还应该及时将前述“通知”转送相关网络用户。这一规定并未就“必要措施”做出具体要求，因此不同服务提供者可以根据服务类型“合理“采取不同的必要措施，这主要是为使用新技术的网络服务提供者进行网络侵权处理留出与其新技术相适应的余地。

3. 增加网络用户的声明权。网络用户在接到前述转送的通知后，可以向网络服务提供者提交不存在侵权行为的声明。声明应当包括不存在侵权行为的初步证据。实际上是为被投诉的网络用户提供了对抗权利人通知的权利，为其提供了有效的救济渠道。

4. 终止措施的合理期限。网络服务提供者接到声明后，应当将该声明转送发出通知的权利人，并告知其可以向有关部门投诉或者向提起诉讼。网络服务提供者在转送声明到达权利人后的“合理期限”内，未收到权利人已经投诉或者提起诉讼通知的，应当及时终止所采取的措施。

除侵害信息网络传播权的相关规定，前述规则实际上还参考了较为晚近出台的《电子商务法》第42、43条，即电子商务平台知识产权保护的相关规定。但相比于《电子商务法》固定的15日起诉期间，《民法典》将其改为“合理期限内”，使其成为较为宽泛的原则性规则，更加具有弹性和选择性。有利于囊括实践中电商行业之外的其他企业就相关问题进行具体判断可能面临的不同情形。

四、 我国个人信息保护的法律定位与规制路径

如前文所述，尽管《民法典》在法律层面确立了自然人的个人信息与隐私权应得到保护，并且构建了基本保护框架；但也有一些待进一步解决的问题。

探讨诸多的一个基本问题是“个人信息保护”的法律定位，因其某种程度上关系到立法者对于“个人信息保护”规制路径的选择。虽然个人信息与隐私权共同规定在人格权编中，但对于这一问题，长期以来众说纷纭，主要分歧在于个人信息究竟应属于一种人格权利还是一种人格利益。

1. “利益说”认为，《民法典》相关法律条文并没有明确采用“个人信息权”的这一概念，在文义上即表明立法者的态度，并未将其作为一种权利，这或与传统民事权利具有的的“绝对性”与“支配性”不符。[6]

2. “权利说”的主要理由则在于，自然人的姓名和肖像仅仅具有微弱的可能识别个人的属性，仍然属于个人权利，那么内涵更为广泛、重要的个人信息，也应当属于个人权利。此外，《民法典》及相关法律法规所确立的个人信息主体的同意权、更正权、删除权等，本质上是基于自然人对其个人信息的控制，即所谓的“信息自决”理论，否则何来前述权利之说。[7]

笔者也较为赞成后一种观点。事实上，2013年的《消费者权益保护法》第50条，即明确规定经营者“侵害消费者个人信息依法得到保护的权利的”，应当停止侵害、恢复名誉、消除影响、赔礼道歉，并赔偿损失。

这一争论本质上其实是“个人信息”具有其独立保护价值，同时其上承载的合法利益具有复杂性、特殊性。对个人信息的非法获取、利用等行为，不仅可能侵犯到当事人的人身自由、人格尊严，还可能侵犯到其财产利益，借助于发达的互联网以及其他技术手段，对个人信息的广泛入侵将够悄无声息地危害公共利益及安全。因此，传统民法中的隐私权与侵权责任保护不能完全覆盖个人信息可能产生的问题。在不能够完全满足保护公民合法权益需要的情况下，立法者必须对个人信息进行特殊规制，在完善基本法律和私法规则的同时，借助公法手段对利用个人信息的行为加以制约。因此，个人信息保护有其独立价值，并需由公法和私法合力予以规制。据此而言，为进一步加强对个人信息的保护，进行专门立法也势在必行。

从我国现有规定来看，目前仍然没有形成较为完善的个人信息法律保护体系，相关规定散落在各部法律规章之中，体现出碎片化、分散化等特征。近年来，各界不断呼吁应加快个人信息保护法立法进程，完善我国个人信息的规制体系。依据立法计划，《个人信息保护法》今年将会出台，企业等相关主体必须随时保持对相关动态的关注，不断提高个人信息保护的意识以及合规应对能力。

五、 小结

综上所述，《民法典》在法律层面明确自然人的个人信息与隐私权应得到保护，并且为此构建了基本规范框架，但尚有一些问题有待实践明确。比如个人信息保护的法律定位为何；“处理”、“信息处理者”等新概念如何进行解释及实践适用；如何与《网安法》等其他个人信息保护法律法规的进行体系融洽、衔接；对相关义务主体将会产生怎样的具体影响等等。

总体而言，作为基础性部门法，《民法典》仅仅停留在对个人信息保护的原则性规定，就具体保护制度以及相关法规的体系协调及构建，亟需《个人信息保护法》等个人信息具体配套制度的充盈。从实体法角度来看，《民法典》作为一部基本法律，并没有对现行的规则进行进一步细化或提供新的规范思路，因此，《民法典》的实施并不会给“信息处理者“产生一些新的实质性的负担。

注释

[1] 《民法典》关于个人信息和隐私权保护的基本框架参考全国人民代表大会常务委员会副委员长王晨在2020年5月22日在第十三届全国人民代表大会第三次会议上做出的《关于<中华人民共和国民法典(草案)>的说明》：“第四编第六章在现行有关法律规定的基础上，进一步强化对隐私权和个人信息的保护，并为下一步制定个人信息保护法留下空间：一是规定了隐私的定义，列明禁止侵害他人隐私权的具体行为（草案第一千零三十二条、第一千零三十三条）。二是界定了个人信息的定义，明确了处理个人信息应遵循的原则和条件（草案第一千零三十四条、第一千零三十五条）。三是构建自然人与信息处理者之间的基本权利义务框架，明确处理个人信息不承担责任的特定情形，合理平衡保护个人信息与维护公共利益之间的关系（草案第一千零三十六条至第一千零三十八条）。四是规定国家机关及其工作人员负有保护自然人的隐私和个人信息的义务（草案第一千零三十九条）。” 最终通过的《民法典》并未就相关框架进行修改。

[2] GB/T 35273 – 2020 《信息技术安全 个人信息安全规范》，将于2020年10月1日起正式实施。

[3] Article 29 Data Protection Working Party, Opinion 4/2007 on the Concept of Personal Data, 01248/07/EN WP 136.

[4] 齐爱民，张哲：《识别与再识别：个人信息的概念界定与立法选择》，载《重庆大学学报（社会科学版）》，2018年第2期。

[5] 主要包括《信息网络传播权保护条例(2013修订) 》、《最高人民法院关于审理侵害信息网络传播权民事纠纷案件适用法律若干问题的规定》（法释〔2012〕20号）、《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》（法释〔2014〕11号）。

[6] 程啸：《民法典编纂视野下的个人信息保护》，载《中国法学》，2019年第4期，第26-43页。

[7] 周汉华：《个人信息保护的法律定位》，载《法商研究》，2020年第3期，第44-56页。