我国民法典对隐私权和个人信息的保护

我国民法典对隐私权和个人信息的保护

作者：程啸

现代社会中隐私权和个人信息的保护问题受到各国的高度重视。

为了更好地保护广大人民众的人格权，针对实践中隐私权与个人信

息领域存在的各种突出问题，我国民法典在现行法律规定的基础上，

对于隐私权和个人信息保护作出了专门规定。在民法典人格权编第六

章“隐私权和个人信息保护”中，不仅对于隐私、个人信息以及个人

信息的处理等基本概念作出了清晰的界定，同时明确了禁止实施的侵

害隐私权的行为类型，处理个人信息应遵循的原则与合法性要件、个

人信息的合理使用，还对隐私权和个人信息保护的关系问题作出了规

定。在理解和适用民法典中隐私权和个人信息保护的规定方面，有以

下三个问题需要重视。

一、隐私权与隐私的涵义

所谓隐私权（righttoprivacy）是指，自然人就其隐私所享有

的不受侵害的权利，是一种具体的人格权。民法典第一千零三十二条

第一款规定：“自然人享有隐私权。任何组织或者个人不得以刺探、

侵扰、泄露、公开等方式侵害他人的隐私权。”隐私权保护的是自然

人的隐私。从隐私这个词的本身就可以看出，有两方面的特点：一是

“隐”，即并非公开的状态，如果已经被自然人自行公开或者合法公

开的，就不是隐私；二是“私”，即私人的事情，与他人权益、公共

利益等无关。正是从这两方面出发，民法典第一千零三十二条第二款

将隐私界定为：“自然人的私人生活安宁和不愿为他人知晓的私密空

间、私密活动、私密信息。”由此可见：

1.隐私仅仅是自然人所拥有的。因为保护隐私是与自然人的

精神利益息息相关的，根本在于维护人格自由，保护人格尊严。也就

是说，只有自然人针对隐私才享有需要法律保护的精神利益。至于法

人、非法人组织并不存在隐私的问题。法人、非法人组织也存在不愿

意为他人所知的活动、信息，也存在工作活动的秩序不被打扰破坏的

需要，但这些要么属于国家秘密、商业秘密，要么属于生产经营秩序

或者公共活动秩序的范畴。

2.我国法上的隐私被分为：私人生活安宁以及不愿为他人知

晓的私密空间、私密活动、私密信息。（1）私人生活安宁，有广狭义

之分，广义的私人生活安宁实际上可以涵盖私密空间、私密活动和私

密信息。由于民法典第一千零三十二条第二款界定隐私时，将私人生

活安宁与私密空间等并列，故此，该款中的私人生活安宁是指狭义的

私人生活安宁，即自然人个人的生活不受他人非法侵扰的状态。（2）

不愿为他人知晓的私密空间、私密活动、私密信息。应当说，这三者

之间具有交叉重叠。因为私密空间往往进行的就是私密活动或存储私

密信息，如夫妻在住宅里的夫妻性生活，个人笔记本电脑或软件程序

中存储的私人日记等。但也不完全重叠，因为公共空间中也有私密活

动、私密信息，例如，在餐厅大堂中，两个朋友边吃饭边聊天，这也

是私密活动，不能被他人窃听或将谈话内容公开。私密空间是与公共

空间相对的，民法典第一千零三十三条第二项列举了“住宅、宾馆房

间”等私密空间，但不限于此，饭店、公园、银行、车站等公共场所

中也存在私密空间。此外，私密空间不仅包括物理上的空间，也包括

无形空间，如、、钉钉等，也属于私密空间。私密

活动是指，自然人不愿意为他人知晓的活动，如亲友的聚餐、朋友间

谈话等。

私密信息也称隐私信息。我国民法典没有采取敏感信息和非

敏感信息的划分，而是将个人信息分为私密信息和非私密信息。就私

密信息的认定问题，应当说，有些是没有争议的，如个人的健康信息、

犯罪记录、财产状况、性取向等，肯定属于私密信息。但是，自然人

的姓名、容貌、性别等，则不属于私密信息，因为这些信息尤其是姓

名本来就是社会交往使用的，不可能作为私密信息。有些个人信息是

否属于私密信息，存在争议，如个人在网上的读书记录、网页浏览信

息等。由于我国法上对于私密信息和非私密信息采取不同的保护方法，

故此，今后司法实践中区分二者就非常重要了。笔者认为，不能应权

利人单方面决定某一信息是否属于私密信息，即不能从权利人主观认

识出发界定私密信息，而应当首先依据法律法规的规定加以判断，在

没有规定时，则应当基于社会公众的一般认知和价值的权衡，综合考

虑以下两个因素，认定某一信息是否属于私密信息：（1）该信息对于

维护自然人的人身财产权益、人格尊严和人格自由的重要程度，越重

要的，越可能属于私密信息；（2）该信息对于维护社会正常交往、信

息自由的重要程度如何，越重要的，越不属于私密信息。

二、个人信息权益的性质

为了协调自然人的个人信息保护与信息的自由流动与利用

的关系，我国民法典没有规定个人信息权，而是使用了“个人信息保

护”的表述。尽管如此，从民法典对个人信息保护的相关规定可知：

首先，自然人对于个人信息享有的是民事权益而非公权利。个人信息

的核心特点在于识别性，即只有能够识别特定自然人的信息才属于个

人信息。这一特点决定了，保护个人信息本身不是目的，而是要防止

因个人信息的处理而产生的对自然人人身财产权益乃至人格尊严、人

格自由的侵害的风险。因此，从作为个人信息主体的自然人这一方来

说，其主要的利益是一种防御性利益，即自然人针对个人信息享有的

防止因个人信息被非法处理而致人身财产权益遭受侵害甚至人格尊

严与人格自由受到侵害或损害的利益。虽然在保护个人信息问题上需

要协调多方利益，包括自然人权益的保护、合理行为自由的维护、公

共利益，但不能将自然人个人信息权益的确认与围绕个人信息的各种

利益的协调这两个问题对立起来。法律上对自然人个人信息权益的确

认和保护本身就是对围绕着个人信息而产生的其他主体的自由或利

益边界的界定。

其次，个人信息权益保护的是自然人的人格利益。民法典虽

然没有规定个人信息权，但是，民法典第九百九十条第二款规定：“除

前款规定的人格权外，自然人享有基于人身自由、人格尊严产生的其

他人格权益。”因此，可以将自然人的个人信息权益归入自然人基于

人身自由、人格尊严产生的其他人格权益。民法典第一千零三十七条

和第一千零二十九条对个人信息权益的具体内容作出了规定。

再次，个人信息权益可以同时保护自然人对个人信息享有的

精神利益和经济利益。我国民事立法和司法实践始终坚持的是人格权

一元保护模式，即通过人格权制度同时实现对精神利益和经济利益的

保护。一方面，侵害个人信息权益造成财产损失的，被侵权人可依据

民法典第一千一百八十二条，要求侵权人按照被侵权人的损失或者侵

权人的获利赔偿；损失以及获利难以确定的，由人民法院根据实际情

况确定赔偿数额。另一方面，侵害个人信息权益造成严重精神损害的，

被侵权人有权依据民法典第一千一百八十三条第一款请求精神损害

赔偿。因此，我国法上无须创设单独的个人信息财产权来保护自然人

对个人信息的经济利益。

三、隐私权与个人信息权益的区别

隐私权和个人信息权益是我国民法典规定的两项不同的人

格权益，它们都是只有自然人才能享有的人格权益。二者的密切联系

表现在：私密信息既属于隐私，受到隐私权的保护，又属于个人信息，

可以适用个人信息保护的法律规定。故此，民法典第一千零三十四条

第二款规定：“个人信息中的私密信息，适用有关隐私权的规定；没

有规定的，适用有关个人信息保护的规定。”但是，隐私权和个人信

息保护也有存在以下明显的区别。

1.权益属性不同，受法律保护的强度存在差异。隐私权作为

一项具体的人格权，性质上属于绝对权和支配权，具有对世效力。任

何组织或个人都必须尊重隐私权，不得对之加以侵害或妨碍。个人信

息权益并非具体人格权，更非绝对权和支配权，只是一种受到法律保

护的人格利益。这一性质上的差异决定了二者在保护的强度和密度上

存在以下差异：（1）是否适用人格权保护禁令制度不同。隐私权受到

侵害时，权利人可以适用民法典第九百九十七条规定的人格权禁令制

度。但是，个人信息受到侵害时，不能适用。（2）是否适用合理使用

制度不同。虽然对于隐私权也有限制，但是，对于隐私权不存在合理

使用的问题。因为隐私权对于自然人的人格尊严非常重要。个人信息

的保护必须协调自然人权益的保护与信息自由与合理使用之间的关

系。故此，依据民法典第九百九十九条，为公共利益实施新闻报道、

舆论监督等行为的，可以合理使用个人信息，同时，第一千零三十六

条还专门规定了侵害个人信息的免责事由。这些规定都不适用隐私权。

（3）能否规定例外的法律位阶不同。依据民法典第一千零三十三条，

对于侵害隐私权的例外规定，只能由“法律”作出；而依据第一千零

三十五条第一项，“法律、行政法规”就可以对处理个人信息是否需

要取得自然人或者其监护人的同意作出另外的规定。

2.能否许可他人使用即商业化利用上不同。隐私权人可以自

行处分权利，如自行在网络上或向媒体公开其私密信息，但隐私是不

能许可他人使用的。因为隐私权主要是消极防御的功能，不具有积极

利用的权能。对于隐私的许可使用会出现违反法律、行政法规的强制

性规定或者公序良俗的后果。个人信息中则可以许可他人使用。

3.个人信息的处理规则不同。依据民法典第一千零三十三条

第五项，处理他人的私密信息要么是取得隐私权人的“明确同意”，

要么是依据法律的规定，否则，任何组织或者个人实施的处理他人私

密信息的行为都构成侵害隐私权的行为。但是，对于处理非私密信息

的个人信息，依据民法典第一千零三十五条，要么是依据法律、行政

法规的规定，要么是得到该自然人或者其监护的“同意”。由此可见，

民法典中私密信息和非私密的个人信息的处理规则有两点区别：其一，

处理私密信息必须取得权利人的同意，而处理非私密的个人信息可以

取得自然人或者其监护人的同意。也就是说，监护人也不能擅自同意

他人处理被监护人的私密信息。这是因为隐私对于权利人具有更为重

大的意义。其二，处理私密信息必须取得的是权利人的“明确同意”，

而处理非私密的个人信息是取得自然人或者其监护人的同意。明确同

意，意味着自然人不仅要依法作出了同意的意思表示，而且该同意应

当是针对该私密信息被处理而单独作出的意思表示。同意，则不要求

必须是单独的同意，也不要求仅针对被处理的特定个人信息作出的同

意，而可以是一种概括性的同意。

（作者系清华大学法学院教授）