【我国个人信息保护的民事立法现状分析6000字】

我国个人信息保护的民事立法现状分析

目录

TOC\o"1-3"\h\u

14594

我国个人信息保护的民事立法现状分析

1

5515

（一）宪法的规定

1

32328

（二）法律的规定

2

27895

1．《民法典》的规定

3

31333

2．《消费者权益保护法》的规定

3

2331

3．《电子商务法》的规定

4

11685

4．《网络安全法》的规定

4

11511

5．其他法律的规定

6

2914

（三）行政法规的规定

8

12649

1．《征信业管理条例》的规定

8

14383

2．其他行政法规的规定

9

17216

（四）部门规章的规定

10

26133

1．《个人信用信息基础数据库管理暂行办法》的规定

11

2798

2．《电信和互联网用户个人信息保护规定》的规定

11

10247

3．其他部门规章的规定

12

21183

（五）司法解释的规定

15

《二〇二〇中国网络安全报告》显示个人信息泄露事件频繁发生，受影响的用户少则数千万，多达上亿，涉及包括金融、教育、医疗、科技等方面的信息。例如有七千多名武汉返乡人员的身份证号、手机号、户籍详细地址等信息遭泄露；中国电信超两亿条用户个人信息被卖；六千余名胶州市民出入中心医院的姓名、住址、联系方式、身份证号码等信息在微信群里传播[[]瑞星2020年中国网络安全报告[J].信息安全研究,2021,7(02):102.

]。根据最新的《中国互联网络发展状况统计报告》我国网民规模已达九点八六亿，接近四分之一的网民遭遇过个人信息泄露[[]该报告由中共中央网络安全和信息化委员会办公室、中国互联网络信息中心、中华人民共和国国家互联网信息办公室联合于2021年2月发布。

]。与此同时，我国个人信息保护的民事立法现状如何？下文将按照效力等级逐项分析。

宪法的规定

宪法是根本大法，《中华人民共和国宪法》（以下简称《宪法》）并没有直接规定“个人信息保护”的规定。但因个人信息具有与个人信息主体密切相关的精神利益，受社会和他人尊重是人的基本需要，是自然人作为法律关系主体所享有的重要的人格利益之一[[]宋亚辉.个人信息的私法保护模式研究——《民法总则》第111条的解释论[J].比较法研究,2019(02):95.

]。个人信息主体维护自己个人信息的准确性、控制自己个人信息的利用范围是保证自己个人尊严得到社会认可的表现，在收集时希望他人合理收集以保证内心的安宁，在流转时希望他人尊重其对信息的支配以维护个人的自由，在利用时希望他人合理利用以保障人格的完整。在这方面，《宪法》第三十八条“公民的人格尊严不受侵犯”可以为个人信息保护提供宪法依据。

另外，《宪法》第四十条“通信自由与通信秘密受法律保护”也可以为个人信息保护提供宪法依据。保护通信自由和通信秘密，自然人可以自由决定和谁、在什么时间、用什么方式自由表达自己的想法与意愿，不受任何人限制，也不受任何人的监控、刺探和侵扰。通信过程中必然会留下电子或其他方式的记录，而这些记录如短信内容、通话记录既可能识别到自然人主体，又可以反映自然人的通信情况，仍然属于《宪法》通信自由和通信秘密的保护。总的来说，任何组织或者个人不得侵犯公民的通信自由和通信秘密的规定也为个人信息提供了间接保护的宪法依据。

法律的规定

在“国家法律法规数据库”检索到涉及个人信息保护的法律有二十余部[[]国家法律法规数据库（/）是全国人大常委会联合有关国家机关共同组建运行的，于2021年2月24日正式开通。

]，其中只有《民法典》、《中华人民共和国消费者权益保护法》（以下简称《消费者权益保护法》）、《中华人民共和国电子商务法》（以下简称《电子商务法》）、《中华人民共和国网络安全法》（以下简称《网络安全法》）有较为详细的个人信息保护规定。其余的《中华人民共和国档案法》、《中华人民共和国公共图书馆法》、《中华人民共和国居民身份证法》等大多只有个别条款规定相关法律主体应当保护个人信息，对所接触、收集的个人信息负有保密义务，不得泄露或滥用。目前仍有一些如《中华人民共和国保险法》、《中华人民共和国信托法》没有明文规定保险公司、信托机构及其工作人员对个人信息的保护义务，尤其是几乎与自然人都息息相关的《中华人民共和国保险法》（以下简称《保险法》）只规定了“不得泄露在业务活动中知悉的投保人、被保险人的商业秘密”[[]《中华人民共和国保险法》第一百一十六条：保险公司及其工作人员在保险业务活动中不得有下列行为：(十二)泄露在业务活动中知悉的投保人、被保险人的商业秘密。第一百五十六条：保险监督管理机构工作人员应当忠于职守，依法办事，公正廉洁，不得利用职务便利牟取不正当利益，不得泄露所知悉的有关单位和个人的商业秘密。

]，保险公司、保险监督管理机构及其工作人员可以接触到大量缔结人身保险和财产保险关系时投保人提供的个人信息，没有将自然人的个人信息纳入保护范围反映了目前个别法律对个人信息保护的意识还所有欠缺。

《民法典》的规定

《民法典》从民事基本法的高度明确规定了个人信息保护的基本原则、个人信息处理规则等内容，在个人信息民法保护方面具有统领作用。其中直接保护的规范主要集中在总则编和人格权编。总则编第一百一十一条明确规定自然人的个人信息受法律保护。人格权编“一般规定”第九百九十九条规定个人信息的合理使用情形，“隐私权与个人信息保护”一章中具体规定个人信息的保护规则。第一千一百三十四条明确了“个人信息”的定义，同时规定了个人信息中的私密信息优先适用隐私权保护，隐私权无规定时才适用个人信息保护。第一千一百三十五条规定了个人信息处理应当遵循“合法、正当、必要”原则，不得过度处理个人信息，个人信息处理者应当通过制定个人信息处理规则向个人信息主体明确告知个人信息的处理目的、处理方式与处理范围。第一千一百三十六条规定了处理个人信息的三种免责事由[[]《中华人民共和国民法典》第一千零三十六条：处理个人信息有下列情形之一的，行为人不承担民事责任：（一）在该自然人或者其监护人同意的范围内合理实施的行为；（二）合理处理该自然人自行公开的或者其他已经合法公开的信息，但是该自然人明确拒绝或者处理该信息侵害其重大利益的除外；（三）为维护公共利益或者该自然人合法权益，合理实施的其他行为。

]。随后第一千一百三十七条规定了自然人对其自己的信息有权依法查阅、抄录和复制，对有误的信息有权提出异议并且请求更正，对违反法律规定或者双方约定而处理的个人信息有权请求及时删除。第一千一百三十八条规定了个人信息处理者应确保信息的安全，负有安全保障义务。最后第一千一百三十九条特别规定了国家机关及其工作人员的保密义务，不得泄露或向他人非法提供履行职责过程中掌握的个人信息。

间接保护方面，主要涉及到合同编和侵权编。首先，合同编第四百九十六条至四百九十八条格式条款的特殊规定能够对个人信息处理者通过制式合同获取自然人同意进行一定的限制。其次，合同的效力、权利义务、违约责任等规定可以对涉及个人信息的合同进行保护。再次，侵权编的一般规定为个人信息主体寻求保护提供了侵权请求权基础，并且第一千二百二十六条还规定了医疗机构及其医务人员对患者隐私和个人信息的保密义务，如违反需要承担侵权责任。最后，侵权编网络责任主体的特殊规定可在涉及互联网的个人信息侵权案件中提供具体的认定规则[[]《中华人民共和国民法典》第一千一百九十四条至一千一百九十七条。

]。

《消费者权益保护法》的规定

《消费者权益保护法》立足于消费者权益的保护，有关个人信息保护的规定也贯穿始终。首先，第十四条规定了消费者享有个人信息依法受保护的权利。其次，第二十九条对经营者收集、使用、持有、披露消费者个人信息应遵循的原则作了详细规定，除要求经营者对收集、使用的消费者个人信息严格保密外，还要求其采取必要的措施保障个人信息安全，如发生泄露丢失应立即采取补救措施。该条与《民法典》的规定大致相同，两者仅在个别词语使用上略有不同，例如《民法典》使用的是“处理个人信息”，而《消费者权益保护法》则具体规定为“收集、使用个人信息”。最后，第五十条明确规定了经营者侵害消费者个人信息的民事非财产性责任[[]《消费者权益保护法》第五十条：经营者侵害消费者的人格尊严、侵犯消费者人身自由或者侵害消费者个人信息依法得到保护的权利的，应当停止侵害、恢复名誉、消除影响、赔礼道歉，并赔偿损失。

]，这一内容是其他法律、行政法规中没有详细规定的，体现了《消费者权益保护法》对个人信息周全的保护。

《电子商务法》的规定

电子商务的发展离不开对个人信息的收集与利用，个人信息早已发展成为电子商务的基础性资源[[]袁泉.电子商务法视野下的个人信息保护[J].人民司法,2019(01):13.

]。在个人信息保护的大背景下，《电子商务法》也作出了相关规定。首先，《电子商务法》在具体权能方面作出了规定，第二十四条增加了《消费者权益保护法》未规定的消费者享有查阅、抄录、复制、异议申请、错误更正的权利。其次，考虑到电子商务的虚拟性，《电子商务法》在提供、更正、删除个人信息之前规定了核实个人信息主体身份的要求，意图通过核实身份确保准确无误的保护个人信息，该规定具有合理性不构成对个人信息主体不公平的限制。最后，《电子商务法》第三十八条还规定，如果电商平台知道或应当知道平台内经营者或其他用户侵犯消费者合法权益而不采取必要措施的，应与平台内用户承担连带责任，与《民法典》侵权责任编关于网络服务提供者的规定一脉相承，也可以为个人信息提供间接保护。

《网络安全法》的规定

二〇一六年颁布的《网络安全法》是我国第一部对网络空间安全管理的法律[[]邓若伊,余梦珑等.以法制保障网络空间安全构筑网络强国——《网络安全法》和《国家网络空间安全战略》解读[J].电子政务,2017(02):2.

]，该法在第四十条至第四十五条对个人信息保护作了专门规定，为网络运营商、网络产品和网络服务提供者设置了安全保障义务，进一步完善了个人信息安全保护的规定。首先，第四十条明确规定了网络运营者负有保密义务，应当建立健全的个人信息保护制度。其次，第四十一条明确要求网络运营者建章立制，确保在不泄露的前提下利用个人信息，强化了个人信息收集者的告知要求，明确了个人信息收集原则，强调了个人信息收集者应当合法运用和保存个人信息[[]《中华人民共和国网络安全法》第四十一条：网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。网络运营者不得收集与其提供的服务无关的个人信息，不得违反法律、行政法规的规定和双方的约定收集、使用个人信息，并应当依照法律、行政法规的规定和与用户的约定，处理其保存的个人信息。

]。再次，第四十二条规定了网络运营者对个人信息维护责任，其应当采取必要措施维护与保障网络用户的个人信息安全[[]《中华人民共和国网络安全法》第四十二条：网络运营者不得泄露、篡改、毁损其收集的个人信息；未经被收集者同意，不得向他人提供个人信息。但是，经过处理无法识别特定个人且不能复原的除外。网络运营者应当采取技术措施和其他必要措施，确保其收集的个人信息安全，防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告。

]。再次，第四十三条规定了个人信息主体的更正权和删除权[[]《中华人民共和国网络安全法》第四十三条：个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的，有权要求网络运营者删除其个人信息；发现网络运营者收集、存储的其个人信息有错误的，有权要求网络运营者予以更正。网络运营者应当采取措施予以删除或者更正。

]。最后，第四十四条与四十五条明确规定了任何个人和组织不得不合法获取、不合法出售和提供个人信息。虽然《网络安全法》已经作了较为详细的规定，但是遗憾的是该法并没有对网络运营者、网络服务提供者的告知义务、同意方式进行明确说明，也没有关于同意撤回的规定，略显不足。

其他法律的规定

表

SEQ表\*ARABIC

1

其他法律的规定

表

SEQ表\*ARABIC

1

其他法律的规定（续表）

表

SEQ表\*ARABIC

1

其他法律的规定（续表）

行政法规的规定

行政法规方面，直接规定个人信息保护的数量有限，主要包括《缺陷汽车产品召回管理条例》、《残疾人教育条例》、《全国经济普查条例》、《人力资源市场暂行条例》等十余个。间接保护方面的行政法规主要是从个人隐私保护角度间接保护个人信息，包括《外国律师事务所驻华代表机构管理条例》、《地方志工作条例》、《乡村医生从业管理条例》、《保安服务管理条例》等。行政法规中对个人信息保护规定得较为详细的仅有《征信业管理条例》。

《征信业管理条例》的规定

《征信业管理条例》对保护个人信息主体合法权益，促进征信业健康发展具有重要意义[[]赵锋.《征信业管理条例》述评[J].征信,2013,31(04):51.

]。该条例不只声明了相关人员的个人信息保密义务，其还对个人信用信息的采集、整理、保存、加工进行明确、全面的规制[[]《征信业管理条例》第二条：在中国境内从事征信业务及相关活动，适用本条例。本条例所称征信业务，是指对企业、事业单位等组织（以下统称企业）的信用信息和个人的信用信息进行采集、整理、保存、加工，并向信息使用者提供的活动。国家设立的金融信用信息基础数据库进行信息的采集、整理、保存、加工和提供，适用本条例第五章规定。

]。采集、查询、使用个人信用信息须取得信息主体本人同意，并在第十四条具体规定了不得采集的信息和限制采集的信息。如采集限制采集的信息需要告知个人不利后果并获取个人的书面同意[[]《征信业管理条例》第十四条：禁止征信机构采集个人的宗教信仰、基因、指纹、血型、疾病和病史信息以及法律、行政法规规定禁止采集的其他个人信息。征信机构不得采集个人的收入、存款、有价证券、商业保险、不动产的信息和纳税数额信息。但是，征信机构明确告知信息主体提供该信息可能产生的不利后果，并取得其书面同意的除外。

]，在一定程度上体现了信息分类保护的思想。另外，该条例对于个人信息主体享有的权利也进行了规定，个人对其信用信息享有知情权[[]《征信业管理条例》第十七条：信息主体可以向征信机构查询自身信息。个人信息主体有权每年两次免费获取本人的信用报告。

]，个人信息主体享有纠错、异议和投诉等权利[[]《征信业管理条例》第二十五条、第二十六条规定。

]。最后，该条例在行政处罚与刑事责任之外还明确规定了“给个人信息主体造成损失的，依法承担民事责任”[[]《征信业管理条例》第三十八条：征信机构、金融信用信息基础数据库运行机构违反本条例规定，有下列行为之一的，由国务院征信业监督管理部门或者其派出机构责令限期改正，对单位处5万元以上50万元以下的罚款；对直接负责的主管人员和其他直接责任人员处1万元以上10万元以下的罚款；有违法所得的，没收违法所得。给信息主体造成损失的，依法承担民事责任；构成犯罪的，依法追究刑事责任。

]。

其他行政法规的规定

表

SEQ表\*ARABIC

2

其他行政法规的规定

表

SEQ表\*ARABIC

2

其他行政法规的规定（续表）

部门规章的规定

部门规章方面的个人信息保护规定更为分散。但与行政法规相比，详细规定个人信息保护规则的数量增多，例如《个人信用信息基础数据库管理暂行办法》、《电信和互联网用户个人信息保护规定》、《旅行社条例实施细则》、《规范互联网信息服务市场秩序若干规定》几个部门规章里都有相对较为详细的规定。下面主要介绍两部涉及保护规范最多的规章。

《个人信用信息基础数据库管理暂行办法》的规定

个人信用体系是整个社会信用体系中的重要组成部分，个人信用信息数据库正是个人信用体系的基础[[]姚佳.试析《个人信用信息基础数据库管理暂行办法》[J].理论月刊,2008(09):121.

]。为了防范和降低个人信用风险，二〇〇五年中国人民银行根据《中华人民共和国人民银行法》等相关法律的规定制定了《个人信用信息基础数据库管理暂行办法》（以下简称《数据库管理暂行办法》）[[]《个人信用信息基础数据库管理暂行办法》第一条：为维护金融稳定，防范和降低商业银行的信用风险，促进个人信贷业务的发展，保障个人信用信息的安全和合法使用，根据《中华人民共和国中国人民银行法》等有关法律规定，制定本办法。

]，主要针对个人信息用信息库进行了较为完善的规定。首先，《数据库管理暂行办法》第四条对个人信用信息进行了界定，个人信用信息包括个人基本信息（自然人身份识别信息、职业和居住地址等信息）、个人信贷交易信息（商业银行提供的自然人在个人贷款、贷记卡、准贷记卡、担保等信用活动中形成的交易记录）以及反映个人信用状况的其他信息。虽然这是为数不多对具体种类个人信息进行定义的条款，但该界定并未特别强调个人信息的核心“可识别性”，尤其是“其他信息”的概念较为模糊[[]李明和,李红杰.关于完善《个人信用信息基础数据库暂行管理办法》部分内容的思考[J].吉林金融研究,2009(04):37.

]。其次，第六条规定商业银行应当准确、完整、及时地报送个人信用信息，征信服务中心有义务建立完善的规章制度、采取先进的技术手段确保个人信用信息安全，不得擅自进行变更。最后，为自然人设置了权利，保障其个人信用信息的准确与安全。根据该办法第十二条自然人作为被征信人享有知情同意权，商业银行查询个人信用报告也应当取得自然人的书面授权。自然人还享有异议权，如其认为本人信用报告中的信用信息存在错误，可以提出异议申请，该办法在第四章专门规定了异议处理程序以及征信中心的处理要求。但是，遗憾的是《数据库管理暂行办法》没有规定个人信用信息保存时限，如果个人信用信息可以较长时间的保存，会大大增加自然人信用重建的成本。

《电信和互联网用户个人信息保护规定》的规定

《电信和互联网用户个人信息保护规定》是电信和互联网领域保护个人信息非常重要的一个部门规章。该规定明确了个人信息的保护范围为“用户姓名、出生日期、身份证件号码、住址、电话号码、账号和密码等能够单独或者与其他信息结合识别用户的信息以及用户使用服务的时间、地点等信息”，个人信息的概念与《网络完全法》、《民法典》规定大致相同，但该概念不只限于识别出用户身份，还包括用户使用服务的时间、地点等内容，突破了个人信息可识别性的核心要件，保护范围相对更广。《电信和互联网用户个人信息保护规定》贯彻了全国人大常委会发布的《关于加强网络信息保护的决定》精神，明确规定了个人信息收集和使用的原则，电信业务经营者、互联网信息服务提供者收集、适用个人信息应当遵循合法、正当、必要的原则[[]《电信和互联网用户个人信息保护规定》第五条：电信业务经营者、互联网信息服务提供者在提供服务的过程中收集、使用用户个人信息，应当遵循合法、正当、必要的原则。

]，收集、利用过程中应对用户个人信息的安全负责[[]《电信和互联网用户个人信息保护规定》第六条：电信业务经营者、互联网信息服务提供者对其在提供服务过程中收集、使用的用户个人信息的安全负责。

]。具体的收集与处理规则与其他法律法规的规定并无太大差异，但在委托关系上，《电信和互联网用户个人信息保护规定》按照“谁委托、谁负责”的原则，规定了委托人应当对代理商的保护工作进行管理[[]《电信和互联网用户个人信息保护规定》第十一条：电信业务经营者、互联网信息服务提供者委托他人代理市场销售和技术服务等直接面向用户的服务性工作，涉及收集、使用用户个人信息的，应当对代理人的用户个人信息保护工作进行监督和管理，不得委托不符合本规定有关用户个人信息保护要求的代理人代办相关服务。

]。除此之外，该规定还详细的从岗位责任、管理制度、权限管理、存储介质、信息系统、操作记录、安全防护等多方面明确了电信业务经营者、互联网信息服务提供者应当采取的防止用户个人信息泄露、毁损、篡改或者丢失的措施[[]《电信和互联网用户个人信息保护规定》第十三条：电信业务经营者、互联网信息服务提供者应当采取以下措施防止用户个人信息泄露、毁损、篡改或者丢失：（一）确定各部门、岗位和分支机构的用户个人信息安全管理责任；（二）建立用户个人信息收集、使用及其相关活动的工作流程和安全管理制度；（三）对工作人员及代理人实行权限管理，对批量导出、复制、销毁信息实行审查，并采取防泄密措施；（四）妥善保管记录用户个人信息的纸介质、光介质、电磁介质等载体，并采取相应的安全储存措施；（五）对储存用户个人信息的信息系统实行接入审查，并采取防入侵、防病毒等措施；（六）记录对用户个人信息进行操作的人员、时间、地点、事项等信息；（七）按照电信管理机构的规定开展通信网络安全防护工作；（八）电信管理机构规定的其他必要措施。

]，此方面的内容是其他法律法规难以进行详细规定的。

其他部门规章的规定

表

SEQ表\*ARABIC

3

其他部门规章的规定

表

SEQ表\*ARABIC

3

其他部门规章的规定（续表）

表

SEQ表\*ARABIC

3

其他部门规章的规定（续表）

司法解释的规定

司法解释中有《最高人民法院关于审理利用信息网络侵害人身权益规定民事纠纷案件适用法律若干问题的规定》、《最高人民法院关于确定民事侵权精神损害赔偿责任若干问题的解释》、《最高人民法院关于人民法院在互联网公布裁判文书的规定