作者 | 王融 腾讯研究院资深专家

引 言

《人格权编》独立成编是我国民法典的一大创新和亮点。随着民法典的正式颁布，作为其重要的组成部分，《人格权编》将对社会生活产生积极影响。

近期“杭州健康变色码”事件引发巨大争议与隐忧，将公民个体异化为数据测量评估对象并给予工具性评价，似乎成为一场大型社会试验，但我们始终仍需心存对人格尊严的敬畏，对该类实验的必要性、正当性多打几个问号。

此时《民法典》通过恰如其时，《人格权编》呼应时代要求，对隐私和个人信息保护予以专章规定。作为基本民事法律，它将带来哪些影响和改变？

长期以来，学界对“隐私权”和“个人信息保护”之间的关系充满争议。《人格权编》吸收了其中的基本共识。

关于“隐私”，《人格权编》吸收了 “不愿为他人知晓”“私密”等关键特征表述，对“隐私权”的界定更为科学合理：隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。个人信息中的私密信息,适用有关隐私权的规定;没有规定的，适用有关个人信息保护的规定。为实践中处理“隐私”和“个人信息”的关系提供了更为明确的指引。

关于“个人信息保护”，学界主要有“权利说”和“利益说”两种观点。但从法解释说来看，难以得出《民法总则》第111条确立了自然人对个人信息享有民事权利即个人信息权的结论。[1]《人格权编》最终将第六章的标题从“隐私权与个人信息权”调整为“隐私权与个人信息保护”，显然也是采纳了后者意见。

 “个人信息”与“隐私”确有差异。与“隐私”更多归属于私人领域不同，“个人信息”兼具保护和利用两种属性，需要对个人利益和公共利益加以调和。因此在近现代立法中，个人信息保护逐步从私权领域的隐私权中分离出来，形成相对独立的公法体系，[2]其立法目标也旨在于实现个体利益与信息自由流动之间的平衡。正如欧盟GDPR开篇即表明：本条例制定关于处理个人数据中对自然人进行保护的规则，以及个人数据自由流动的规则。

个人信息定义是个人信息保护法律制度的基石，如果定义过于泛化将导致法律难以施行。从2012年《全国人大常委会关于加强网络信息安全的决定》到2016年《网络安全法》，我国立法对个人信息的界定都坚持了“识别说”，将个人信息限定为能够识别特定个人的信息。但在针对个人信息违法行为刑事打击力度不断加强的背景下，2017年两高发布的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（法释〔2017〕10号）对个人信息进行了扩展，除了传统“识别身份信息”以外，还增加了“反映特定个人活动情况的信息”。该定义后来又影响到2017年版《个人信息安全标准》（GB/T 35273-2017），其对个人信息作出了进一步扩展解释。

各国个人数据保护法规对于个人数据的界定，基本上采纳“识别说”。欧盟GDPR中进一步区分为“已识别”和“可识别”两种类型，但核心仍然是围绕“识别身份”。

即使相关信息由特定个人产生，但如果该特定个人的身份无法识别，相关的信息处理并不会对特定自然人的权益造成侵害或产生侵害的危险，也没有必要对其予以规范。这与欧盟GDPR将“匿名化信息”排除在个人信息之外，以及我国《网络安全法》、《人格权编》将“无法识别特定个人且不能复原的”排除在非法提供之外的基本逻辑是自洽的。

2009年《侵权责任法》首次明确规定了隐私权，但并不涉及个人信息保护。2014年《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》,对于公开个人信息不构成侵权的情形作出了如下规定：

（一）经自然人书面同意且在约定范围内公开；

（二）为促进社会公共利益且在必要范围内；

（三）学校、科研机构等基于公共利益为学术研究或者统计的目的，经自然人书面同意，且公开的方式不足以识别特定自然人；

（四）自然人自行在网络上公开的信息或者其他已合法公开的个人信息；

（五）以合法渠道获取的个人信息；

（六）法律或者行政法规另有规定。

同时，司法解释对以上免责事由又作出了一个总体的除外规定，即：以违反公序良俗的方式公开上述第四项、第五项的个人信息（即自行公开、合法公开、合法获得），或者公开该信息侵害权利人值得保护的重大利益，权利人寻求侵权救济的，人民法院应予支持。典型例子即当年盛行的“人肉搜索”，尽管人肉搜索中获取的许多信息是公开可获得的信息，但其使用方式仍然构成了对特定自然人生活安宁的打扰，此种情形下将不再享受民事责任的豁免。

此次《人格权编》吸收了司法实践的有益总结，并结合《网络安全法》相关行政法规范，提出了个人信息处理民事责任免责事由，包括了：1，用户同意；2，维护公共利益或本人利益的需要；3.合法公开信息（但以自然人明确拒绝或者处理该信息侵害其重大利益的除外），这些规定圆满地衔接了民事规范和行政法规范。

免责事由一方面恰当地保护了个人利益，同时也兼顾了数字经济发展中对于个人数据的合理使用需求，数据处理者在获取用户同意后，在与其约定的范围内处理个人信息，将享有民事责任豁免；对于已经公开的个人信息，在用户并不明确反对的情形下，数据处理者可以用于合法正当目的，这将积极鼓励大数据、人工智能的开发利用，释放以数据为核心生产资料的数字经济发展潜力。

《人格权编》继续保留了《网络安全法》以来我国关于个人信息保护的法律原则：合理，正当，必要原则；公示信息处理规则；个人可提出查阅、异议、删除等请求；保证数据安全义务，匿名化对外提供的例外规定，数据泄露通知等规定，并从民事角度再次强调了国家机关及其工作人员对个人信息的保密义务，这意味着公权机构对个人信息的侵害也可被纳入民事责任追究。

同时，《人格权编》填补了《网络安全法》中关于数据处理中除了“同意”之外的其他合法性基础的空白，用“法律、行政法规另有规定的除外”作为兜底，为数据处理的多种可能场景以及与其他正当利益的平衡提供了空间，如：数据控制者为了履行法律职责的需要；为了保护数据主体或另一个自然人的重要利益等等。

相比欧美从上世纪六七十年代开始个人信息保护立法，我国针对个人信息保护的立法起步较晚，在早期主要体现在刑事立法领域。2009年《刑法修正案（七）》首次将窃取或以其他方式非法获取公民个人信息、出售或非法提供公民个人信息的行为情节严重的规定为犯罪行为，将其纳入刑事打击范围。自此，尽管我国陆续在相关立法中加快了个人信息保护制度建设，但总体上仍然保留了“刑事立法先行，倚重刑事手段”的特征。通过刑法积极适用防止侵犯公民个人信息违法犯罪持续蔓延，是不得已而为之的举措，刑法只能治标，尚难治本[3]。再加上我国个人信息保护刑事立法适用主体广、入刑门槛低、适用刑罚严厉的特点突出，[4]“刑法先行”的现象亟待克服。

《人格权编》作为民事基本法律，确认了自然人的隐私权和个人信息保护，结合后续《个人信息保护法》专门立法，将有助于我国构建起公民个人信息民事、行政、刑事的全方位保护体系。

《人格权编》借鉴了欧盟GDPR立法技术，将数据处理环节的各类行为统一为广义的“处理”行为，包括了收集、使用、加工、传输、提供、公开等具体行为。但《人格权编》并没有对数据处理者进行定义，这将导致个人信息保护所指向的义务主体存在模糊性和争议，留待后续《个人信息保护法》予以明确。

在数字经济生态中，参与数据处理的机构复杂多样，如云计算行业中的云服务提供者，提供专业化的数据存储、传输、访问等计算资源服务；人工智能领域的数据标注服务，为AI机器学习提供数据的分类和标注等基础服务；物联网领域更是包含了从芯片提供商、传感器供应商、无线模组(含天线)厂商、到网络运营商、平台服务商、智能硬件厂商等种类繁多的服务提供者。在数字化时代，这些服务样态或多或少地都涉及到个人数据处理。

如何对这些形态各异的服务提供者，予以法律定性和分类，并设置相应的法律义务，是近年来个人信息保护立法的重要议题。从欧盟GDPR(《欧盟个人数据保护条例》到美国CCPA（《美国加州消费者隐私保护法案》），大部分立法采取了二分法。

以GDPR为例，将规制主体区分为数据控制者（data controller）和数据处理者（data processor）, 前者（数据控制者）决定了数据处理的目的和方式，因此是法律问责的主要对象，其需要保证数据处理的合法性基础，并直接承担向个人提供查询、修正、删除的义务，因此，GDPR第二章原则（可问责，获取个体同意）和第三章数据主体的权利中，义务主体仅指向数据控制者，并不涉及数据处理者；后者（数据处理者）是接受控制者的委托而开展数据处理，因此，对于处理者的法律约束主要着眼于委托关系的正当性，严格按照委托的边界处理数据，保证数据安全等。

即使其他国家采用的具体表述不同，但实质上都反映了主体的二分划法，如新加坡《个人信息保护法》中的组织（organization）和数据中介（data intermediary）概念，印度《个人信息保护法（草案）》中的   “数据信托者”（data fiduciary）和“数据处理者”（data processor）概念，美国CCPA中的经营机构（organization）和仅提供数据服务的机构(processor)都意在区分两种主体在法律适用上的差异性。

结 语

隐私和个人信息保护仅仅是《人格权编》的一小部分，但它从人格利益的高度，确认了基本法治原则，将推动形成尊重人格利益的社会文化，防止“健康变色码”进一步异化。但对于全面的个人信息保护制度构造来说，如何结合数字时代的新特点，进行更为科学合理的设计，将留给下一步的《个人信息保护法》。