一、民法典对个人信息的定义

民法典第一千零三十四条第二款规定：“个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等”。

可以看到，与《中华人民共和国网络安全法》中“以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等”仅包含个人静态信息的个人信息定义不同，民法典借鉴了《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》中对于个人信息的定义，将动态信息即行踪信息（行踪轨迹）纳入个人信息的范畴。

同时，就个人信息的定义而言，应注意以下三点：

1、个人信息是能够单独、或者结合其他信息识别特定自然人的各种信息。

“单独识别”比较好理解，一般是指具有唯一指向性的身份证号码、社保号码、个人肖像、生物识别信息（如基因、指纹）等；而至于自然人的姓名是否属于单独可识别自然人的信息，应具体情况具体分析。笔者认为，一般情况下，在中国存在同名同姓概率较高的情况下，仅仅姓名是无法识别特定个人的，因此，姓名一般不属于单独可识别自然人的信息。

而何为“结合其他信息可识别”特定自然人的信息，民法典并未进一步解读；目前为止，我国最为具体规范个人信息保护的国标《信息技术安全 个人信息安全规范》亦未涉及对该含义的解读，而是以举例的方式进行了说明。如下表：

为便于探讨，本文将可单独识别自然人的个人信息称为“直接识别信息”，需要与其他信息结合而识别特定个人的信息称为“间接识别信息”。从笔者此前对十二国/地区的个人信息保护制度的研究来看¹，对于间接识别信息的内涵各国/地区对此掌握不尽相同。

比如在日本，《个人信息保护法》中的间接识别信息是指通过简单借助其他信息即能够识别特定个人的信息。同时，根据其个人信息保护监督中央机构个人信息保护委员会的指引，“简单借助”是指经营者可以通过日常公开方式而轻易获取。如果一个经营者需要向他人查询以获得“其他信息”，但这种查询如果很难被做到，则不会被认为是“简单借助”。

而根据欧盟的《一般数据保护条例》（GDPR）第四条，间接识别信息的范围则更为笼统：如果采用所有合理可能被使用的方法即能对自然人予以识别的，就属于间接个人信息。不过，这一范围如何适用，尚需进一步的实践观察。

2、对是否属于个人信息的判断依赖于特定场景，其核心为信息是否具有主体（可）指向性；不具有主体（可）指向性的信息不属于个人信息。

从笔者此前研究的十二国/地区的个人信息保护制度来看，对个人信息的定义大致可分为两大类，其一是“识别说”，其二为 “关联说”。

“识别说”强调只有可（单独或结合其他信息）识别出特定个人的信息才属于个人信息，如新西兰，新加坡采此说；“关联说”则认为直接或间接与特定个人有关的信息就应被视为个人信息，如俄罗斯、印度就采此说。不过，目前有不少国家或地区兼采了“识别说”与“关联说”，认为关于特定的个人或可合理识别特定个人的信息都属于个人信息。如澳大利亚、欧盟的GDPR、中国香港地区和美国加州。如加州《消费者隐私法案》（CCPA）将个人信息定义为任何能够识别、关联、描述与特定消费者或家庭有关的信息。

民法典的定义采纳了“识别说”。但有意思的是，国标《信息技术安全 个人信息安全规范》（下简称《个人信息安全规范》）将个人信息定义为：“以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。”相应的，其将“个人信息主体”定义为“个人信息所标识或者关联的自然人”。很显然，国标是兼采了识别说与关联说。

识别说与关联说之间的边界或有不同，但实质核心是相同的，即任何信息必须具有主体指向性（直接或间接）。如果穷尽合理手段也无法将某项信息与特定个人相关联，则不能被认定为个人信息。这也是不少国家直接将已匿名化的信息即无法指向具体个人的信息排除在个人信息的定义之外的原因。如CCPA认为“个人信息不包括已被去标识化的消费者信息以及消费者综合信息”。

我国的cookie隐私第一案2013年北京百度网讯科技公司与朱烨隐私权纠纷中（2015年终审判决），二审法院即以“用户通过搜索引擎形成的检索关键词记录，虽然反映了网络用户的网络活动轨迹及上网偏好，具有隐私属性，但这种网络活动轨迹及上网偏好一旦与网络用户身份相分离，便无法确定具体的信息归属主体，不再属于个人信息范畴”²为由，认为没有主体指向性的信息（即便具备私密属性）也不属于个人信息，从而作出了和一审判决截然不同的判决结果。虽然随着大数据应用场景及各项技术高速演进，在一台私人电脑或者企业固定电脑中的浏览记录，将很容易与其他信息结合而指向特定个人，如此一来，浏览记录也很可能被认定为个人信息（如《个人信息安全规范》中举例浏览记录为个人信息），但单从案件关注的核心来看，5年前的观点是与现今对个人信息的基本共识一致的。

事实上，该隐私权第一案体现的不仅仅是个人信息的核心——“主体指向性”，也涉及到了如今业界对于“间接识别信息”的边界探索问题，限于本文主旨和篇幅，此处不再展开。

可以想见，企业如何在全球日益急迫的个人信息保护呼声和个人信息内涵扩大化的趋势下，以最低的合规成本实现对数据的最大化利用，在很大程度上会依赖于立法或司法层面对间接识别信息之边界的探讨。

3、个人信息权利与个人隐私权交叉

民法典第一千零三十四条第三款规定：“个人信息中的私密信息,适用有关隐私权的规定；没有规定的，适用有关个人信息保护的规定。”

第一千零三十二条第二款规定：“隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。”

个人信息权利与个人隐私权的客体存在交叉，但并非相互包含，如隐私权客体中的“私密空间”通常情况下就不属于个人信息保护范畴。从条款内容来说，二者之间存在交叉的部分是个人信息中的“私密信息”。不过，鉴于个人信息的范畴不仅包含了自然人的静态信息，也包含“行踪信息”，与隐私权中所称的“私密活动”的范畴亦应有所交叠，因此，不仅仅是个人信息中的私密信息，对于个人信息中的行踪信息，具备一定条件时也会成为隐私权的保护客体、适用隐私保护的有关规定。

笔者团队就个人数据保护制度在全球范围内选取了12个国家及地区进行了翻译和研究，部分成果已经发表，其余国家或地区制度陆续整理发表中。

《上诉人北京百度网讯科技有限公司与被上诉人朱烨隐私权纠纷一案的民事判决书》；无讼案例网https://www.itslaw.com/detail?initialization=%7B%22category%22%3A%22CASE%22%2C%22id%22%3A%228d4586b9-6677-4ab3-83d9-9e58b3f3c9df%22%2C%22anchor%22%3Anull%2C%22detailKeyWords%22%3A%5B%22%E6%9C%B1%E7%83%A8%E9%9A%90%E7%A7%81%E6%9D%83%22%5D%7D#content_null

二、个人信息取得与处理原则

民法典分别在第一编总则“民事权利”章及第四编人格权的“隐私权与个人信息保护”章，就个人信息的取得、处理原则予以了规定。

（一）依法获取原则

 民法典第一百一十一条规定：“自然人的个人信息受法律保护。任何组织或者个人需要获取他人个人信息的,应当依法取得……”

民法典中的依法获取原则是指任何组织或个人获取个人信息应具有法律上的依据，在法律的框架下进行。作为我国首部法典——民法典对于个人权利的保护原则予以了私法保护确认，而“依法获取原则”则同时也强调对国家公权力的限制——这一原则与刚刚颁布的《中华人民共和国数据安全法》（草案）第三十五条“国家机关为履行法定职责的需要收集、使用数据，应当在其履行法定职责的范围内，依照法律、行政法规规定的条件和程序进行”是相呼应的。

（二）合法原则

民法典第一千零三十五条第一款规定：“处理个人信息的,应当遵循合法、正当、必要原则，不得过度处理……”

合法原则，是指信息处理人应当在收集、存储、使用、加工、传输、提供个人信息的过程中符合法律、行政法规等法律文件的规定，或者符合当事人之间的约定。笔者认为，合法原则与依法获取原则虽均强调依法依规，但侧重点不同，前者着重关注私法领域的具体行为合法性，后者则着重强调对个人信息的保护尤其是对公权力的合理限制。

（三）正当原则

正当原则是指信息处理人应当基于正当目的而处理个人信息，不得为了实施违法、犯罪或者有违公序良俗之目的而处理个人信息，比如不得为了兜售犯罪工具或教授犯罪方法而收集、处理具有潜在犯罪倾向的个人信息。

（四）必要原则

民法典第一千零三十五条要求信息处理人应遵循必要原则，不得过度处理个人信息。个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等。

“必要原则”在有的国家或地区如欧盟GDPR，也被称为“数据最小化原则"（Data Minimization Principle）"，即信息控制人仅应该为其正当业务经营或履行职责所需的适当的、且最少必要的范围内收集、处理个人信息。

事实上，根据国家互联网办公室等四部门联合于5月25日发布的《App违法违规收集使用个人信息专项治理报告(2019)》，违反必要原则、超范围收集与功能无关个人信息是目前排在首位的APP违法违规行为。

另外，必要原则除了强调“范围”外，笔者认为“期限”的必要也为题中之义。这在GDPR中被称之为“存储限制”原则。即个人信息的存储时间不应长于信息处理目的所需的时间。比如目前尚在疫情防控阶段，不少防疫应用程序持有个人信息具备合理性，但一旦疫情结束，所有因为疫情防控而取得的数据应当予以删除或者进行匿名化处理，否则就违反了必要原则。

（五）明示公开原则

民法典第一千零三十五条第一款设将“公开处理信息的规则”和 “明示处理信息的目的、方式和范围”作为信息处理的前提条件予以确认，体现了明示公开原则。实践中，此前具体的操作多是通过《隐私政策》予以公开和明示，不过，基于民法典中隐私与个人信息的差异化，此类政策更名为《个人信息政策》或《个人信息保护规则》等名称更为贴切。

（六）自愿同意原则

民法典第一千零三十六条规定：“处理个人信息，有下列情形之一的，行为人不承担民事责任：（一）在该自然人或者其监护人同意的范围合理实施的行为;……”

第一千零三十五条规定：“处理个人信息的,应当遵循合法、正当、必要原则，不得过度处理，并符合下列条件：（一）征得该自然人或者其监护人同意，但是法律、行政法规另有规定的除外；……” 

如上规定均强调了对个人信息处理的自愿同意原则。

在自愿同意的基础上，民法典亦设立了例外条款，即“法律、行政法规另有规定的除外”，如民法典第九百九十九条规定的“为公共利益实施新闻报道、舆论监督等行为的，可以合理使用民事主体的姓名、名称、肖像、个人信息等”；民法典第一千零三十六条规定的“为维护公共利益或者该自然人合法权益，合理实施的其他行为”；再如国家机关履行职能的行为，如公安部门依据《中华人民共和国居民身份证法》处理个人身份信息。

三、民法典首次确立了个人信息主体的复制权和拒绝权

民法典第一千零三十七条规定：“自然人可以依法向信息处理者查阅或者复制其个人信息；发现信息有错误的，有权提出异议并请求及时采取更正等必要措施。

自然人发现信息处理者违反法律、行政法规的规定或者双方的约定处理其个人信息的,有权请求信息处理者及时删除。”

据此，除了在此前的《中华人民共和国网络安全法》、《中华人民共和国电子商务法》、《中华人民共和国消费者保护法》等法律中已经体现的查询权、更正、删除权以外，民法典还首次确立了个人信息主体的“复制权”和“拒绝权”。

（一）复制权VS可携带权

自然人可以向信息控制者依法查阅或者复制其个人信息。这是我国首次立法明确自然人对个人信息享有的复制权。可以认为，民法典对个人信息复制权的确认具有重大意义，是实现未来“公民信息自决”的基础。但很明显，此处的“复制权”与GDPR第20条规定的“数据可携带权”对于公民信息自决权的响应程度还是有较大差距的。GDPR规定的“数据可携带权”，还包括数据主体有权要求将个人数据直接从一个控制者传输到另一个控制者。

（二）拒绝权VS被遗忘权

民法典第一千零三十六条规定：“处理个人信息，有下列情形之一的，行为人不承担民事责任：（一）在该自然人或者其监护人同意的范围内合理实施的行为；（二）合理处理该自然人自行公开的或者其他已经合法公开的信息，但是该自然人明确拒绝或者处理该信息侵害其重大利益的除外；（三）为维护公共利益或者该自然人合法权益，合理实施的其他行为。”

本条明确了自然人对处理个人信息的“拒绝权”，即，对于已经合法或自愿公开的个人信息，除非该处理行为是出于维护公共利益或该自然人的合法权益，否则，自然人有权拒绝他人对其信息进行处理。可以说，该条是对2016年任甲玉诉百度“被遗忘权第一案”的积极回应，对于个人信息保护具有十分重大的意义³。

不过，民法典规定的“拒绝权”是建立在处理行为未经同意的情况下；如果处理人通过“隐私政策”等已经获得自然人的在先同意，那其在后的拒绝表示能否成立，则取决于个人是否享有对同意的任意撤回权。

《个人信息安全规范》规定了处理人应提供个人信息主体撤回授权的途径，但该标准并非强制性标准；《数据安全管理办法》征求意见稿中也对个人撤回同意予以了规定，但同样，该办法尚非有效的法律规定；因此，由于民法典没有规定自然人的任意撤回同意权，在这一点上，“拒绝权”和GDPR第17条规定的：“数据主体有权要求控制者及时删除其个人数据，当具有如下情形之一时，控制者有责任及时删除个人数据：……数据主体撤回在此类处理中的同意……”的删除权（被遗忘权）规定的内涵存在不确定性差异。不过从目前国内外的立法（趋势）来看，任意撤回同意权应当是一项基本权利，虽民法典未予确认有所遗憾，但应无悬念。

《任甲玉与北京百度网讯科技有限公司名誉权纠纷二审民事判决书》，来自无讼案例网https://www.itslaw.com/detail?initialization=%7B%22category%22%3A%22CASE%22%2C%22id%22%3A%22188743ac-4bfe-4e3a-94eb-3e6c9b655374%22%2C%22anchor%22%3Anull%2C%22detailKeyWords%22%3A%5B%22%E4%BB%BB%E7%94%B2%E7%8E%89%22%5D%7D#content_null

任甲玉因为多次受到前雇主不良口碑的影响，向法院申请要求百度删除与前任雇主的关键词匹配和链接。但法院最后判决认为任甲玉主张百度侵害其名誉权、姓名权及一般人格权中所谓“被遗忘权”均缺乏相应的事实与法律依据，判其败诉。

四、信息处理者的个人信息保护义务

民法典第一百一十一条规定：“自然人的个人信息受法律保护。任何组织或者个人需要获取他人个人信息的，应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息。”

第一千零三十八条规定：“信息处理者不得泄露或者篡改其收集、存储的个人信息；未经自然人同意，不得向他人非法提供个人信息，但是经过加工无法识别特定个人且不能复原的除外。

信息处理者应当采取技术措施和其他必要措施，确保其收集、存储的个人信息安全，防止信息泄露、篡改、丢失；发生或者可能发生个人信息泄露、篡改、丢失的，应当及时采取补救措施，按照规定告知被自然人并向有关主管部门报告。”

上述条款集中规定了信息处理者对于个人信息的保护义务。民法典规定个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等。由此可见，民法典的信息处理者并未参考欧盟GDPR将义务人划分为处理者、控制者，可以说对参与个人信息全生命流程的每一过程性主体都提出了程度相当的义务合规要求。

（一）网络、数据安全合规义务

个人信息处理者的基本义务就是确保信息安全，包含网络安全和数据安全两方面。现阶段，应重点落实以《中华人民共和国网络安全法》为核心的网络安全合规制度，同时也需结合尚未出台的包括《数据安全法》、《数据安全管理办法》等数据安全制度体系在内的近、中期监管规划，从长计议，合法、合理建立网络安全和数据安全合规风险控制体系。主要包括：

（1）依据网络安全法及配套制度体系的规定，落实网络安全保护制度。尤其按照《网络安全等级保护基本要求》及配套制度体系，落实网络安全技术措施和安全管理制度体系等合规模块。

（2）宜适时提前布局，未雨绸缪，参考尚未正式出台的《数据安全法》、《数据安全管理办法》及相应的配套制度的要求，建立数据分类管理制度以及以数据全生命周期为核心的数据安全保护合规风险评估体系等等。如结合业务发展，适时引入数据分类技术措施、建立对第三方接入平台的合规审查制度，等等。

（3）若涉及关键信息基础设施运营，应按照关键信息基础设施合规要求，建立关键信息基础设施的安全检测评估制度、年检制度、关键基础设施建设、变化报告制度，落实数据存储本地化以及设施运维本地化原则等；遵循《网络安全审查办法》的规定，建立企业网络安全审查申报制度和供应商审核督促制度等等。

（二）个人信息保护义务

现阶段可主要参考即将于10月1日施行的推荐性国标《个人信息安全规范》等要求，围绕数据采集、数据处理（如数据清洗、分类、去标识化等）、数据共享与转让、数据使用、数据删除、数据销毁等数据全生命周期进行个人信息保护合规建设。

（三）个人信息安全事件处置制度

现阶段应主要依据《中华人民共和国网络安全法》《国家网络安全事件应急预案》、《公共互联网网络安全突发事件应急预案》的规定，并参考《个人信息安全规范》，制定突发安全事件的应急预案，定期演练、出现安全事件时按照规定向有关部门报告、告知受影响个人，并采取相应的补救措施等。

（四）特殊领域的个人信息保护

民法典还对三类个人信息保护予以了特别提及：分别是民法典第一千零三十条所涉及的信用信息领域、第一千零三十九条规定的国家机关及其工作人员的法定保密义务、和第一千二百二十六条规定的医疗机构及其医务人员对患者隐私和个人信息的保密义务。