自然人的个人信息受法律保护

《民法总则》第一百一十一条自然人的个人信息受法律保护

自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的，应当依法取得并确保信息安全，不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息。

【相关规定】

1.《最高人民法院关于贯彻执行〈中华人民共和国民法通则〉若干问题的意见（试行）》

第一百四十二条以营利为目的，未经公民同意利用其肖像做广告、商标、装饰橱窗等，应当认定为侵犯公民肖像权的行为。

2.《电信和互联网用户个人信息保护规定》

第九条未经用户同意，电信业务经营者、互联网信息服务提供者不得收集、使用用户个人信息。

电信业务经营者、互联网信息服务提供者收集、使用用户个人信息的，应当明确告知用户收集、使用信息的目的、方式和范围，查询、更正信息的渠道以及拒绝提供信息的后果等事项。

电信业务经营者、互联网信息服务提供者不得收集其提供服务所必需以外的用户个人信息或者将信息用于提供服务之外的目的，不得以欺骗、误导或者强迫等方式或者违反法律、行政法规以及双方的约定收集、使用信息。

电信业务经营者、互联网信息服务提供者在用户终止使用电信服务或者互联网信息服务后，应当停止对用户个人信息的收集和使用，并为用户提供注销号码或者账号的服务。

法律、行政法规对本条第一款至第四款规定的情形另有规定的，从其规定。

第十条电信业务经营者、互联网信息服务提供者及其工作人员对在提供服务过程中收集、使用的用户个人信息应当严格保密，不得泄露、篡改或者毁损，不得出售或者非法向他人提供。

3.《全国人大常委会关于加强网络信息保护的决定》（2012年12月28曰第十一届全国人民代表大会常务委员会第三十次会议通过）

为了保护网络信息安全，保障公民、法人和其他组织的合法权益，维护国家安全和社会公共利益，特作如下决定：

一、国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息。

任何组织和个人不得窃取或者以其他非法方式获取公民个人电子信息，不得出售或者非法向他人提供公民个人电子信息。

二、网络服务提供者和其他企业事业单位在业务活动中收集、使用公民个人电子信息，应当遵循合法、正当、必要的原则，明示收集、使用信息的目的、方式和范围，并经被收集者同意，不得违反法律、法规的规定和双方的约定收集、使用信息。

网络服务提供者和其他企业事业单位收集、使用公民个人电子信息，应当公开其收集、使用规则。

三、网络服务提供者和其他企业事业单位及其工作人员对在业务活动中收集的公民个人电子信息必须严格保密，不得泄露、篡改、毁损，不得出售或者非法向他人提供。

四、网络服务提供者和其他企业事业单位应当采取技术措施和其他必要措施，确保信息安全，防止在业务活动中收集的公民个人电子信息泄露、毁损、丢失。在发生或者可能发生信息泄露、毁损、丢失的情况时，应当立即采取补救措施。

五、网络服务提供者应当加强对其用户发布的信息的管理，发现法律、法规禁止发布或者传输的信息的，应当立即停止传输该信息，采取消除等处置措施，保存有关记录，并向有关主管部门报告。

六、网络服务提供者为用户办理网站接人服务，办理固定电话、移动电话等人网手续，或者为用户提供信息发布服务，应当在与用户签订协议或者确认提供服务时，要求用户提供真实身份信息。

七、任何组织和个人未经电子信息接收者同意或者请求，或者电子信息接收者明确表示拒绝的，不得向其固定电话、移动电话或者个人电子邮箱发送商业性电子信息。

八、公民发现泄露个人身份、散布个人隐私等侵害其合法权益的网络信息，或者受到商业性电子信息侵扰的，有权要求网络服务提供者删除有关信息或者采取其他必要措施予以制止。

九、任何组织和个人对窃取或者以其他非法方式获取、出售或者非法向他人提供公民个人电子信息的违法犯罪行为以及其他网络信息违法犯罪行为，有权向有关主管部门举报、控告；接到举报、控告的部门应当依法及时处理。被侵权人可以依法提起诉讼。

十、有关主管部门应当在各自职权范围内依法履行职责，采取技术措施和其他必要措施，防范、制止和查处窃取或者以其他非法方式获取、出售或者非法向他人提供公民个人电子信息的违法犯罪行为以及其他网络信息违法犯罪行为。有关主管部门依法履行职责时，网络服务提供者应当予以配合，提供技术支持。

国家机关及其工作人员对在履行职责中知悉的公民个人电子信息应当予以保密，不得泄露、篡改、毁损，不得出售或者非法向他人提供。

十一、对有违反本决定行为的，依法给予警告、罚款、没收违法所得、吊销许可证或者取消备案、关闭网站、禁止有关责任人员从事网络服务业务等处罚，记人社会信用档案并予以公布；构成违反治安管理行为的，依法给予治安管理处罚。构成犯罪的，依法追究刑事责任。侵害他人民事权益的，依法承担民事责任。

十二、本决定自公布之日起施行。

4.《网络交易服务规范》

保证账户和资金安全

网络支付平台提供商应根据网络交易的特点，采取合理有力的措施保证用户身份信息、账户以及密码的安全，保证交易资金的安全。

网络支付平台提供商不得以任何方式恶意占压资金、非法套现、挪用或转移资金以及非法融资等。

5.《网络交易管理办法》

第十八条网络商品经营者、有关服务经营者在经营活动中收集、使用消费者或者经营者信息，应当遵循合法、正当、必要的原则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。网络商品经营者、有关服务经营者收集、使用消费者或者经营者信息，应当公开其收集、使用规则，不得违反法律、法规的规定和双方的约定收集、使用信息。

网络商品经营者、有关服务经营者及其工作人员对收集的消费者个人信息或者经营者商业秘密的数据信息必须严格保密，不得泄露、出售或者非法向他人提供。网络商品经营者、有关服务经营者应当采取技术措施和其他必要措施，确保信息安全，防止信息泄露、丢失。在发生或者可能发生信息泄露、丢失的情况时，应当立即采取补救措施。

网络商品经营者、有关服务经营者未经消费者同意或者请求，或者消费者明确表示拒绝的，不得向其发送商业性电子信息。

6.《中华人民共和国网络安全法》

第四十条网络运营者应当对其收集的用户信息严格保密，并建立健全用户信息保护制度。

第四十一条网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。

网络运营者不得收集与其提供的服务无关的个人信息，不得违反法律、行政法规的规定和双方的约定收集、使用个人信息，并应当依照法律、行政

法规的规定和与用户的约定，处理其保存的个人信息。

第四十二条网络运营者不得泄露、篡改、毁损其收集的个人信息；未经被收集者同意，不得向他人提供个人信息。但是，经过处理无法识别特定个人且不能复原的除外。

网络运营者应当采取技术措施和其他必要措施，确保其收集的个人信息安全，防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告。

【相关观点】

一、《民法总则》第一百一十一条条文理解

自然人对其于特定关系体的地位或身份的权利，为身份权。关于身份权的制度大都存于亲属法中，身份权制度确立的目的是人们身份利益的圆满实现以及家庭秩序的和谐稳定，并最终实现整个社会的和谐稳定，这既是社会个体的现实需求也是社会整体的发展需要。身份权请求权的构建是法律良知在社会现实需求下正义的价值取向，是法律在社会不断进步过程中的必然选择，此制度的构建对于现代身份权的保护具有重要的理论价值和现实价值，必将为身份权的保护起到基础性的作用。

二、个人信息的法律属性及其保护

所谓个人信息，一般是指与公共利益没有直接关系但与个人相关的、并且能够借此识别自然人的身份的信息。所谓“识别”，就是指个人信息与信息主体存在某一客观确定的可能性，简单说就是通过这些个人信息能够把信息主体直接或间接“认出来”。识別包括直接识别和间接识别，直接识別，是指通过直接确认本人身份的个人信息来识别，比如身份证号码、基因等；间接识别，是指现有信息虽然不能直接确认当事人的身份，但借助其他信息或者对信息进行综合分析，仍可以确定当事人的身份。一般而言，姓名可以构成“直接识别”，但在有几个相同姓名的人的情况下，还要依靠生日、地址、职业、身高等信息才能识别。®其主要内容包括：（1）姓名、年龄、休重、身高；（2）医疗记录；（3）收人及消费和购买习惯；（4）种族、血统、肤色；（5）血型、DNA、手印；（6）婚姻状况和宗教信仰；（7）教育背景；（8）家庭住址与电话号码等。由上可见，个人信息内容广泛。这也直接导致了理论上对其法律属性认识并不一致。具体而言，学界对个人信息的法律属性主要有三种典型观点：

1.隐私权客体说。该学说主张个人信息是一种隐私利益，个人信息保护立法可适用隐私权保护模式。这里将不愿意他人知悉的个人信息归为隐私范畴。只要未经许可或违反主体意愿擅向刺探、公布主体个人信息的行为，都是一种侵犯隐私权的行为。在这种观点看来，判断是否构成隐私的关键就是主体的主观愿望。凡是主体不愿意让他人知悉的个人信息都是隐私。因此，如果其他人未经主体许可擅自公布其个人信息的，仍然构成隐私侵权。由此，未经允许擅自买卖、公布或知悉他人的姓名、肖像、住址、手机号码、工作单位等个人信息的行为都是一种侵犯隐私权的行为。从个人信息角度而言，隐私不仅是保障私密，而是人们应该有控制其个人信息的权利。信息隐私权的出现，代表着隐私权的发展进人另一个时代。随着现代信息处理技术的进步，信息隐私权渐渐显现岀自己的特点，其中心思想在于：个人不仅是个人资料产出的最初来源，也是其正确性、完整性的最后审查者，以及该个人数据使用范围的最后决定者。其保护客体可分为四个方面：个人属性的隐私权；个人资料的隐私权；通讯内容的隐私权；匿名的隐私权。

2.所有权客体说。在个人信息的属性界定方面，“所有权客体说”认为，个人信息是一种财产利益。关于个人信息的保护应该采取所有权模式。这种观点认为，“在市场经济条件下，个人资料采集者将成千上万的个人资料采集起来的目的并不是为了了解个体，而是要把整个具有某种共同特征的主体的个人资料按一定的方式组成资料库，以该资料库所反映的某种群体的共性来满足其自身或其他资料库使用人的需要”，并且“对于资料采集者来说，获得个人资料不是目的，而是一种手段，是建立和扩展财源的一种途径。并由此得出结论：“根据所有权原理，只要不与法律和公共利益相抵触，所有权人均享有对个人资料的占有、使用、收益、处分权”；并认为“个人资料的所有者是该资料的生成体个人，无论他人对主体个人资料的获取方式与知悉程度如何，都不能改变个人资料的所有权归属”。

3.人格权客体说。“人格权客体说”认为，个人信息体现的是一般人格利益，个人信息的保护应该采取人格权的保护模式。

法律保护个人信息，很大程度上是对个人信息中蕴涵的人格利益的保护，该人格利益是个人信息保护的终极目标和核心价值取向。个人信息所承载的人格利益内涵丰富，泄露或不当公开个人信息以致侵害人格利益也有多种表现。

比如，对个人信息的不当公开，可能侵害隐私权；对个人信息的不当更改或歪曲，可能损寄人格之形象；对个人信息的非法商业利用，使人格商品化，将对人格造成侮辱；删除个人信息，可能侵害信息权利人对其个人信息的支配和控制权；对个人肖像资料的利用，可能会侵害肖像权。由此可见，个人信息保护涉及多方面的人格利益，与传统某种单一的具体人格权保护的人格利益不一致。根据具体人格权的构建方式，应当以一般人格权为依据，赋予信息主体以新的具体人格权，从而全面直接地保护信息主体的人格利益。如此构建的个人信息权利，一方面能够顺应社会的发展需要；另一方面也体现了一般人格权所包括的人格独立，人格自由、人格尊严等内涵。

比较上述三种观点，各有其不足之处。隐私权客体说虽将个人信息归人隐私范畴，但事实上并非所有信息均为隐私权保护的对象。首先，虽然隐私权的内容和范围目前仍是学术争议的焦点，但将“不愿为他人所知晓”作为隐私的基本特征已成通说，而个人信息则无需具备此特征。例如，个人身份证号码、学号等作为识别性信息是个人信息，但却不是隐私。其次，保护方法不完全相同。隐私权的法律保护以事后救济为主，如消除影响、赔礼道歉、停止损害和赔偿损失等，但个人信息保护则以事前救济为主,其中删除、封存、变更等均是事前救济方法。再次，从比较法角度而言，尽管英美法体系中隐私权是个人信息保护的权利依据，但在大陆法系观念来看，美国法上的隐私权不但包括生命、身体、生育等物质性人格权的部分内容，而且包括姓名、肖像、隐私、知识产权中的人格权等精神性人格权的内容，甚至包括大陆法系部分身份权的内容。大陆法系的隐私则仅为人格权利益的一部分，仅限于不愿他人知道或他人不便知道的个人信息。因此，大陆法系中的隐私权法律制度只能保护个人信息上的一部分利益。故如将个人信息作为隐私权客体将可能导致隐私范畴的无限扩大。而就所有权客体说而言，虽然部分个人信息可以流通和交易，具有一定财产价值，但其与所有权仍有不同。第一，两者权能不同。所有权的权能以所有权人对物的可支配性为前提，包括占有、使用、收益和处分四种权能。而个人信息的不易控制性决定了个人对其个人信息的权能主要表现为知悉权、更正权、删除权、封锁权等积极性权能。第二，两者客体不同。所有权的客体为物，既可以是有体物也可以是无体物，但不具有人身属性；而个人信息权的客体是个人信息，个人的肖像、姓名、信用卡账号等均为无体物，而其中姓名、肖像、身份证号码等具有一定的人身性。第三，两者救济方法有所不同。尽管损害赔偿是二者的共同救济方法，但所有权的物权救济方法还包括所有物返还请求权、所有权妨害除去请求权和所有权妨害预防请求权等。而个人信息权的救济方法则包括消除影响、赔礼道歉等，并无所有权的上述权能。

至于人格权客体说，虽然从各国立法上看，个人信息保护所保护的法律利益主要是信息主体的人格利益。但这并不表示二者可以等同。事实上，两者之间仍有不同。（1）客体不完全相同。一般人格权既包括物质性人格利益又包括精神性人格利益，但不包括财产利益。在个人信息中，银行卡号码、个人缴纳税款额和存款数额等明显具有财产属性的内容不是人格利益，但却是个人信息。（2）保护方法不同。一般人格权的保护方法以事后救济为主，如消除影响、赔礼道歉、停止损害和赔偿损失等。但个人信息权则以事前救济为主，其中删除、封存、变更等均是事前救济方法。

虽然上述三种学说均有不足，但从周全保护旅游者合法权益和现行法律制度出发，我们最终采用“隐私权客体说”作为起草本条文的理论基础。这是因为，首先，将个人信息归类为隐私权客体可以在专门法律规范阙如的情形下，使个人信息的保护从《侵权责任法》角度得到支持。我国《侵权责任法》第2条第2款规定：“本法所称民事权益，包括生命权、健康权、姓名权、名誉权、荣誉权、肖像权、隐私权、婚姻自主权、监护权、所有权、用益物权、担保物权、著作权、专利权、商标专用权、发现权、股权、继承权等人身、财产权益。”其次，个人信息收集、处理或利用得当与否与个人隐私权直接相关。一般认为，隐私权的客体包括：（1）身体秘密，指身体隐秘部位，即生殖器官和性敏感器官、身高、体重、健康状况、身体缺陷等；（2）私人空间，即个人住宅及周围居住环境、私人专用箱包、日记等；（3）个人事实，指个人生活经历、生活习惯、性格爱好、社会关系、学历、婚恋状况、家庭住址、电话、收人情况等；（4）私人生活，指一切与社会无关的个人生活，如日常生活、社交、性生活等。而个人信息的内容则主要属于隐私权的一部分，具体说主要就是本人的身体秘密、个人事实等。如果在涉及隐私的个人信息收集、处理或利用等问题上岀现不当，将严重侵犯个人的隐私权。再次，将个人信息归类为人格权客体可为旅游者合法权益提供更全面的保护。现实生活中，个人信息的泄露虽然不一定会招致个人财产权益的损害，但因个人信息外泄带来的精神损害则经常发生。因此，如果仅从财产权角度保护个人信息将难免有失周之处。

目前，我国关于个人信息保护的立法仍采用的是分别立法模式，仅仅针对姓名、肖像、隐私等部分个人信息分别进行立法，该类立法的主要特点是只对那些对于维护人格尊严有直接关系的个人信息给予人格权保护，基本上不承认主体对这些个人信息的财产利益。目前我国直接对“个人信息”加以保护的法律、法规、规章及司法解释的数量非常之少。其中，法律层面的仅有《护照法》《身份证法》直接规定了“个人信息”的保护问题。①行政法规、部门规章和司法解释直接提及“个人信息”保护问题的主要有以下儿项②：（1）《互联网电子公告服务管理规定》（2000年1（）月8日通过，同曰起施行）；（2）最高人民法院、最高人民检察院《关于切实保障司法人员依法履行职务的紧急通知》（2005年8月25日颁布，同日起施行）。另外，地方性法规中也有涉及个人信息保护的直接规定，例如，2003年修正的《北京市未成年人保护条例》第49条的规定。

三、个人隐私信息的保护范围

我国《侵权责任法》第2条明确将隐私权规定为一种人格权，但并未对隐私概念及其范围作出界定。多数观点认为，隐私，是私人生活安宁和个人信息的秘密，或者就是自然人的私生活秘密和私生活安宁。®但是，要看到，隐私信息这一概念具有价值判断的意蕴：一是隐私信息的标准会随着社会变迁而发生变化，以前被认为是隐私信息，随着社会的发展，从一般的标准看，已经不再是隐私。二是隐私信息的范围会随着主体的不同而变化。但是，无论怎样，要为个人隐私信息确定一个明确的范围，仍然比较困难。

【相关案例】

电信局经当事人同意印制电话号簿并发放的，其行为不构成对当事人隐私权的侵害

一冒凤军诉中国电信集团黄页信息有限公司南通分公司等隐私权纠纷案

案例要旨：隐私是一种与公共利益、群体利益无关，当事人不愿他人知道或他人不便知道的个人信息，当事人不愿他人干涉或他人不便干涉的个人私事，以及当事人不愿他人侵人或他人不便侵入的个人领域。隐私权作为一种基本人格权利，是指公民“享有的私人生活安宁与私人信息依法受到保护，不被他人非法侵扰、知悉、搜集、利用和公开的一种人格权。”我国相关法律规定，对未经他人同意，擅自公布他人的隐私材料或者以书面、口头形式宣扬他人隐私，致他人名誉受到损害的，按照侵害他人名誉权处理。认定行为构成侵权应当同时具备行为的不法性、损害结果、不法行为和损害结果之间的因果关系以及过错四要件。电信局经当事人同意印制电话号簿并发放的，不符合上述之四个要件，故其行为不构成对当事人隐私权的侵害。

案号：(2011)通中民终字第0952号

审理法院：江苏省南通市中级人民法院

来源：《人民法院案例选》2011第4辑(总第78辑)