第141页_中国民法典释评·人格权编第141章

    《电子商务法》第32条规定：“电子商务平台经营者应当遵循公开、公平、公正的原则，制定平台服务协议和交易规则，明确进入和退出平台、商品和服务质量保障、消费者权益保护、个人信息保护等方面的权利和义务。”
    《旅游法》第52条规定：“旅游经营者对其在经营活动中知悉的旅游者个人信息，应当予以保密。”
    《公共图书馆法》第43条规定：“公共图书馆应当妥善保护读者的个人信息、借阅信息以及其他可能涉及读者隐私的信息，不得出售或者以其他方式非法向他人提供。”
    《刑法》第253条之一规定：“违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。违反国家有关规定，将在履行职责或者提供服务过程中获得的公民个人信息，出售或者提供给他人的，依照前款的规定从重处罚。窃取或者以其他方法非法获取公民个人信息的，依照第一款的规定处罚。单位犯前三款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照各该款的规定处罚。”


    理解与适用

    一、个人信息受法律保护

    （一）保护个人信息的必要性
    《民法典》第1034条第1款规定：“自然人的个人信息受法律保护。”在进入现代网络信息社会前，个人信息如自然人的姓名、身份证号码、电话号码、家庭住址、肖像、财产信息、病历资料等就已经存在，并被政府、企业等主体收集、保管、分析和使用。然而，前网络信息社会中的个人信息不仅类型相对简单、产生的渠道有限，而且收集处理的手段和方法也较为单一。此时，通过传统的人格权如姓名权、名誉权、隐私权、肖像权等完全可以满足对之加以保护的需要。例如，未经同意公开或披露自然人的隐私信息（如病历资料、银行存款信息等）的，构成对隐私权或名誉权的侵害；擅自使用他人姓名的行为是侵害姓名权的行为。但是，随着信息网络科技，尤其是大数据与人工智能的发展，个人信息的产生、收集、存储和利用等方面发生了巨大的变化。
    1.个人信息的范围越来越广，种类也越来越多
    一方面，除了传统的那些能够直接识别特定自然人的信息，如姓名、身份证号码、家庭地址、电话号码等，还有一些虽然本身不足以识别特定自然人，但与其他信息结合后就能识别出特定自然人的信息，如爱好、习惯、兴趣、性别、年龄、职业等，这些如果被汇聚组合后能够识别特定人的身份，也可能成为个人信息；另一方面，现代科技的发展也促使各种新型个人信息的产生，如通信记录和内容、个人生物基因信息、网络交易信息、上网浏览痕迹、网络社交媒体留言、行踪轨迹等。在进入网络信息社会前，这些信息要么根本不存在，要么即使存在也无法被收集和处理。但现在，这些信息可以很容易地被网站通过数据收集技术或智能设备加以收集和保存。这也导致需要保护的个人信息的范围越来越广，甚至在许多情况下，连界定哪些信息属于个人信息都存在困难。
    2.个人信息的处理方式越来越多，由此可能对自然人的人身财产安全，甚至社会公共利益、国家利益产生相关风险
    进入信息社会之前，个人信息的收集方式多是由自然人主动填报并提交，政府、企业等主体收集后手工记载在纸质文档或录入电子档案中加以存储，不仅信息收集的效率、数量和范围有限，而且因缺乏算法技术和足够的算力，也难以对其进行分析利用。然而，现代网络信息技术已将现代社会生活高度数字化（或数据化），数据收集技术和各种传感器可以自动收集与存储个人信息。这种个人信息被大规模、自动化地收集和存储、使用的情形变得越来越普遍，几乎无处不在、无时不在。由此，产生了个人信息保护上的各种新情况和新问题，如海量的个人信息因保管不善而被泄露，甚至被非法出售或利用，进而出现犯罪分子利用非法取得的个人信息对受害人进行精准诈骗或者实施其他违法犯罪行为的问题。大数据与人工智能技术的发展使得对海量数据的分析与使用变得非常简单，个人信息被滥用的可能性被极大地增加。例如，在2019年披露出来的脸书（Facebook）丑闻事件中，第三方应用通过各种网络平台，分析和利用脸书平台上海量的个人信息，对目标群体做人格画像，实施精准的政治广告营销甚至行为操纵，严重危害自然人的人格尊严，妨害人格的自由发展。[1]此外，个人信息，尤其是个人生物识别信息、基因信息等还涉及国家安全，因此，对于这些信息的跨境转移也需要进行严格的规范。
    正因如此，各国都高度重视对个人信息的保护。而以往单纯地通过隐私权保护个人信息的做法已经不适应现代网络信息社会发展的需要。因为，一方面，隐私权保护的是私密信息，而个人信息并非都是私密信息，所以无法全部通过隐私权加以保护；另一方面，个人信息的收集和处理是现代科技发展的必然要求，如果没有包括个人信息在内的信息的自由流动和共享，网络信息科技和数字经济的发展也会受到很大的妨碍。因此，自然人不仅可以自己使用个人信息，还可以许可他人使用自己的信息。此外，为了实施新闻报道和舆论监督，也应当允许对个人信息的合理使用。由此可见，个人信息的保护并非一个单纯地禁止他人使用或排除他人侵害的问题，而是需要在自然人的权益保护与信息自由之间进行协调。显然，这与隐私权主要是禁止他人侵害隐私，不存在对隐私进行使用的规范路径有所不同。故此，就个人信息的保护而言，采取的是公法与私法相结合的方法，而并非单纯的私法赋权或民事责任保护的路径。有鉴于此，各国除了保护隐私权，扩张隐私权的内涵以保护私密信息外，还针对个人信息保护单独立法。
    （二）我国个人信息保护立法
    我国最早对个人信息收集、利用和保护加以规范的法律是《刑法》。2005年第十届全国人大常委会第十四次会议通过的《刑法修正案（五）》增设了“窃取、收买、非法提供信用卡信息罪”（第177条之一第2款），这是我国法律上第一个关于侵害公民个人信息犯罪的法律规定。[2]2009年第十一届全国人大常委会第七次会议审议通过的《刑法修正案（七）》在《刑法》中新增第253条之一，首次将窃取或以其他方式非法