“有了民法典以后，應當說個人信息保護的頂層立法設計就基本完成了

　　“有了民法典以后，應當說個人信息保護的頂層立法設計就基本完成了。”參與了民法典編纂的專家程嘯如是說。2000年左右，程嘯就參與到民法典草案學者建議稿的起草工作中。近年來真實但奇怪的冷知識，他也全程參與了全國會法工委組織的民法典草案人格權編和侵權責任編草案的相關討論。在程嘯看來，保護個人信息的根本出發點在于落實《憲法》的規定，維護自然人的人格尊嚴和自由。

　　近日，全國會法工委相關負責人介紹，個人信息保草案稿已形成。那么，即將提請十三屆全國三次會議審議的民法典草案，將如何在更基礎的權利層面對個人信息保護進行規制？民法典和個人信息保的內容將如何協調？對此，南都記者專訪了清華大學法學院教授、副院長程嘯。

　　程嘯：一個是個人信息的范圍問題。民法典人格權編草案一直在根據各方面的意見不斷做出完善。現行法中，《網絡安全法》對個人信息的概念做了界定，人格權編在此基礎上進行了完善，基本的標準還是采取識別標準，即凡是可以直接或間接識別出特定自然人的信息作為個人信息，同時對于個人信息的范圍做了更多的列舉，包括自然人的姓名、出生日期、身份證號、住址、電話號碼等。因為無法窮盡，所以最后定義中用了一個“等”字來兜底真實但奇怪的冷知識。

　　在討論過程中，不少代表、專家提出來行蹤軌跡、電子郵箱地址、生物識別信息也應納入保護范圍，比如GPS定位可以對他人進行跟蹤，郵箱地址泄露可能會導致人身財產受損的風險，這些都是對近年實踐出現的各種問題和人民群眾關切的立法回應。

　　另一個爭論點是關于隱私權和個人信息保護的關系。根據目前人格權編草案中對“隱私”的定義，它包括兩方面，一是私人生活安寧，二是私生活秘密。私生活秘密還包括了私密空間，私密活動和私密信息。這里面爭議最大的就是私密信息，因為它既是個人信息，又屬于隱私范圍，所以就涉及到隱私權和個人信息保護兩個制度相協調的問題。

　　程嘯：隱私權和個人信息保護的關系，在比較法上有不同的規定。在有的國家如美國，隱私權的范圍非常廣，大體相當于我國法律中的人格權，比如肖像權、姓名權等都被放在隱私權中進行保護，因此，在美國是擴張隱私權的范圍，通過確立所謂信息隱私的概念來實現對個人信息的保護。

　　但是，在我國的法律體系中，隱私的概念相對沒有那么大，肖像權、姓名權、名譽權和隱私權等也都屬于具體的人格權。因此，在人格權編草案中，隱私權與個人信息保護是兩個不同的人格權益，它們既存在密切的聯系，又是分別獨立的，不能相互替代。

　　民法典人格權編關于隱私權的規定很清楚，即未經隱私權人的明確同意，收集、處理他人私密信息的行為屬于侵害他人隱私權；同時，在個人信息保護部分，人格權編又規定個人信息中的私密信息也適用隱私權保護的有關規定。這樣就很好地協調了隱私權與個人信息保護之間的關系。

　　此外，隱私權側重的是保護自然人的隱私不受他人侵害，而個人信息保護不僅要保護自然人的個人信息不受侵害，還要實現對個人信息的合理使用。正因如此，人格權編草案雖然將隱私權和個人信息保護規定在同一章，但也通過對隱私和個人信息的界定明確了二者的區別。

　　南都：有專家認為，應將個人的健康信息也納入法律保護范圍。民法典草案是否還會對個人信息保護的范圍做調整？

　　程嘯：一方面，處理個人信息的主要是醫療機構，民法典侵權責任編中已經對醫療信息的保護作出了規定。民法典草案第一千二百二十六條規定，醫療機構及其醫務人員應當對患者的隱私和個人信息保密關于女生的生理知識。泄露患者的隱私和個人信息，或者未經患者同意公開其病歷資料的，應當承擔侵權責任。

　　另一方面，我們現在也正在制定個人信息保，這屆全國會也把個人信息保納入了立法規劃。在正在制定的個人信息保中，可以進一步列舉出這類敏感的個人信息并對其處理作出特別規范。

　　南都：有專家學者建議，應該為“個人信息”加一個“權”字，為個人信息保提供上位法依據。你怎么看？

　　程嘯：我覺得寫不寫“權”字并不是特別重要。所謂權利，就是由所保護的利益和提供的救濟措施構成的。因此，重要的是怎么規定個人信息的民事權益內容，以及侵害個人信息的救濟措施。明確這一點之后，加不加“權”字只是一個學術上的分歧而已。

　　比如，我們現在說民法典草案規定了個人信息權也沒問題，因為它規定了個人信息的刪除權、更正權等內容，這些都是對于個人信息權利內容或權能的規定。我們把個人信息保護的問題放在民法典中規定，很重要。因為這意味著：一方面，自然人對個人信息享有的是民事權益，具體來說就是人格權益，而非什么公法上的權利。另一方面，人格權編規定的人格權請求權和侵權責任編中的侵權賠償責任等救濟方式，都可以用于個人信息的保護。

　　所以，我覺得不必糾結于這一點。在民法學界，學者們可能普遍希望規定個人信息權，但也有一些研究法理或者行政法的學者是比較抗拒把個人信息規定為權利的。他們擔心會造成信息孤島的問題，認為確權可能會導致信息主體對個人信息的絕對支配，以至于產生信息無法自由流動等弊端。

　　其實，就算稱個人信息為“個人信息權”，它也絕不可能與所有權一樣，是對個人信息的絕對地、排他地支配。事實上也做不到，因為信息本身就具有無形性和共享性的特點，可以在不同的地點、由不同的人同時加以利用，根本沒辦法像作為有體物的動產或不動產那樣進行絕對的和排他的支配控制。因此，這些擔憂是完全沒有必要的。

　　所以，關鍵的問題是在于怎么協調自然利的保護和信息的自由流動、合理使用。其實，這種協調的方式有很多，比如區分私密信息、非私密信息等不同類型的個人信息，區分不同的個人信息處理行為，如收集、提供、公開等而分別加以規范。

　　程嘯：第一個創新點，也是最重要的一點，就是把自然人的個人信息作為一項民事權益，而且明確規定成“人格權益”關于女生的生理知識。

　　我們以前保護個人信息關于女生的生理知識，有一些人老是忘了一個基本的出發點，就是保護個人信息的根本目的是什么。我認為，個人信息與自然人切身權益息息相關，保護個人信息的目的絕非單純地管理，而是在于貫徹落實《憲法》的規定，維護自然人的人格尊嚴和自由。

　　民法典之前，《網絡安全法》中有個人信息保護的規定，但主要是從網絡安全管理的角度來規定的；《消費者權益保》中也提及了消費者“享有個人信息依法得到保護的權利”，但其性質是什么并不明確。民法典草案解決了這個問題。

　　最后一點是，明確了對個人信息的合理使用規則，有利于自然人合法權益的保護與公共利益的協調。比如民法典對侵害個人信息免責事由的規定就很重要。依據這一規定，為了維護公共利益或自然人的合法權益等情形下，可以不經過自然人的同意關于女生的生理知識，就處理自然人的個人信息，行為人不需要為此承擔民事責任。

　　程嘯：中國的個人信息保護問題一開始出現很突然，也很必然，它是我國網絡信息產業和數字經濟發展的必然產物。在初期網絡經濟“野蠻生長”的過程中，出現了很多的問題，大家意識到問題的嚴重性。因此，整體的趨勢是從實踐產生問題，到理論上研究，最后進行立法規范的過程。而且立法也是一個從低階位的立法慢慢往高位階立法發展的進程，實際上，這也是一個摸著石頭過河的過程。

　　民法典作為民商事領域的基本法，其對個人信息保護的規定，應當說只能是確立大的原則方向和規定最基本的問題。實踐中要具體適用的話，肯定還是要有更多具體細致的規定的。但是，有了民法典，既可以對其他立法提供基本依據，同時又為將來的發展留有空間真實但奇怪的冷知識。

　　個人信息保護的具體規則隨著網絡信息科技和數字經濟的發展，會有不斷的發展和變化。如果民法典規定得過于詳細甚至瑣碎，就會導致民法典的相關規定很快落伍于這個時代，而民法典又不可能經常去修訂。

　　個人信息保應當是公法和私法的混合體，其中既有個人信息保護機構如何通過行政手段加強個人信息保護、信息處理者如何在個人信息保護上進行自律規范等問題，也要遵循民法典的規定詳細規定處理個人信息的告知同意規則、自然人的個人信息權益內容以及侵害個人信息的民事責任（如歸責原則、賠償范圍、懲罰性賠償）等。

　　民法典是市民社會的基本法。有了民法典后，個人信息保護的頂層立法設計基本完成了，之后就可以依據民法典來制定個人信息保、數據安全法，未來也許還會出臺數據資產法、政府政務數據公開法等各種相關立法。從《憲法》保護人格尊嚴，到民法典《刑法》《網絡安全法》、個人信息保以及相關的行政法規、司法解釋以及部門規章，我國已經逐漸構建出了一個科學完善的個人信息保律體系。

　　程嘯：在我國，目前一個很大的問題是在于沒有專門、獨立的個人信息保護機構。對個人信息保護的監管，基本上是按照個人信息所涉及的領域來劃分的，比如網絡運營中的個人信息保護歸網信辦監管，而金融信息真實但奇怪的冷知識、醫療信息、市場交易信息等分別由其他不同的主管部門來監管。

　　我認為，將來我國建立專門的個人信息保護機構是很有必要的。有了這個機構之后，它的立法權關于女生的生理知識、執法權、具體的處罰等就能規定得比較詳細。這樣的話，執法依據不統一、法律責任適用不清晰等問題就能得到解決。

　　南都：有法官指出，在打擊侵犯個人信息犯罪的法律適用上，我國存在著刑法在先、民法及行政法在后的問題，你認為這個問題應該如何解決？

　　程嘯：不管是刑法還是民法，刑事責任還是民事責任，實際上都屬于事后的，即產生了違法犯罪或侵權行為之后，再追究行為人的責任。但是，目前更需要建立起一種事前、事中和事后的全方位的、動態的個人信息保護制度。

　　所以，建立個人信息保護機構之后，可以針對個人信息的收集、加工、使用、傳輸、提供等行為事先就加強監管，比如對App違法違規收集個人信息問題的日常監管，這樣很大程度上就可以未雨綢繆，起到防患于未然的作用。

　　另外，可以進一步明確個人信息保護的相關法律規范和執法尺度，這樣的話，也為追究刑事責任和民事責任提供了很大的便利。

　　一是黨和國家高度重視個人信息保護的問題，剛頒布的《中央國務院關于新時代加快完善社會主義市場經濟體制的意見》再次明確要求“依法保護個人信息”。網信辦等相關主管部門也不斷加大個人信息保護的執法力度；二是隨著民法典的頒布，我國的個人信息保護的法律體系正在不斷健全和完善；三是廣大人民群眾對個人信息保護的意識也在增強。

　　當然，在個人信息保護中也會不斷產生各種新問題，出現各種新情況，需要及時應對，同時，也要注意過猶不及的問題，目前我國的網絡經濟也在蓬勃發展，在保護個人信息的同時也要高度注意信息的合理使用和產業經濟的發展。

　　另外，我始終想強調的一點是，保護個人信息的基本出發點就是落實我國《憲法》的規定，充分保障自然人的人格尊嚴和自由。

　　重要的是怎么規定個人信息的民事權益內容，以及侵害個人信息的救濟措施。明確這一點之后，加不加“權”字只是一個學術上的分歧而已。

　　我認為，個人信息與自然人切身權益息息相關，保護個人信息的目的絕非單純地管理，而是在于貫徹落實《憲法》的規定，維護自然人的人格尊嚴和自由。