原标题：以人民为中心高度重视个人信息保护 

访清华大学法学院教授程啸 

个人信息保护已经成为互联网时代的重大法律问题之一。民法典人格权编草案专门对隐私权和个人信息保护进行规定，这也被视为民法典编纂中的一大进步，意味着我国个人信息保护立法将迎来历史性突破，标志着以民事基本法与行政单行法构筑的我国个人信息保护法律制度体系将基本形成。

围绕民法典编纂中的个人信息保护问题，清华大学法学院教授程啸近日接受了《法制日报》记者采访。

顺应时代对人格权保护迫切需求

记者：在网络社会和信息时代，自然人的个人信息被以各种方式不停地加以收集、存储、共享、传输和使用，这极大促进了数字经济新业态新模式蓬勃发展。但与此同时，非法收集、泄露、买卖个人信息甚至各种电信诈骗活动的危险引发了社会普遍关注。此次民法典编纂过程当中是如何回应社会关切的？有哪些突破？

程啸：加强个人信息保护，是广大人民群众的迫切需要，也是世界各国都高度关注的问题。此次民法典编纂始终坚持以人民为中心，顺应人民群众对人格权保护的迫切需求，高度重视对个人信息的保护。在吸收《全国人民代表大会常务委员会关于加强网络信息保护的决定》、网络安全法、消费者权益保护法、电子商务法等对个人信息保护规定的基础上，民法典草案作了基本规范，主要有以下四大亮点：

首先，确定了自然人对个人信息享有的民事权益属于人格权益。在人格权编草案中对个人信息保护进行规定，充分表明了自然人对个人信息享有的民事权益属于人格权益，也彰显了民法典保护个人信息的根本目的在于维护自然人的人格尊严和自由。

其次，强化了对私密信息的保护力度。个人信息中的私密信息既受到隐私权的保护，也受到个人信息保护相关规范的保护，从而极大增加了对私密信息的保护力度。

再次，细化了自然人个人信息权益的内容。草案明确赋予自然人对其个人信息享有三项权利，即向信息控制者依法查询、抄录或者复制其个人信息的权利；发现信息错误时，提出异议并请求采取及时更正等必要措施的权利；发现信息控制者违反法律、行政法规的规定或者双方的约定收集、处理其个人信息时，请求及时删除的权利。

最后，明确了对个人信息的合理使用规则，有利于协调权益保护与信息自由流动的关系。一方面，规定在实施新闻报道、舆论监督等行为时可以合理使用自然人的个人信息；另一方面，又明确了在征得自然人或其监护人的同意且不超越该同意的范围，处理自然人自行公开或其他合法公开的信息且自然人没有明确拒绝或者处理该信息不侵害其重大利益，以及为了维护公共利益或该自然人的合法权益等情形下，可以收集、处理自然人的个人信息，不需要承担民事责任。

坚持以人为本回应人民群众关切

记者：近些年，实践中大量发生个人信息泄露和非法买卖个人信息的典型案例，比如山东徐玉玉案等。这些事件牵动公众神经，立法保护个人信息的呼声高涨。那么，此次民法典编纂是如何回应人民关切的？

程啸：以人为本是此次民法典编纂始终坚持的一个原则。对于个人信息保护的立法呼声，草案从四个方面作出回应。

首先，明确了个人信息概念，即个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息。

其次，明确收集和处理个人信息必须遵循合法、正当、必要的原则，不得过度收集。同时规定，要取得自然人或其监护人的同意，公开收集、处理信息的规则，明示收集、处理信息的目的、方式和范围，收集与处理个人信息不得违反法律法规的规定和当事人的约定。

再次，明确信息收集者和控制者不得泄露、篡改其收集、存储的个人信息，不得在没有取得自然人同意的情况下，向他人非法提供个人信息。信息收集者、控制者应当采取相应的技术措施和其他必要措施来确保个人信息的安全，防止信息泄露、篡改、丢失。在发生或可能发生个人信息泄露、篡改、丢失时要及时采取补救措施并告知被收集者和向有关主管部门报告。

此外，为了更好地保护未成年人的合法权益，预防和制止各种非法收集处理未成年人个人信息的侵权行为，草案专门规定，收集、处理限制民事行为能力人和无民事行为能力人的个人信息的，应当取得其监护人的同意。同时，草案还专门规定，国家机关及其工作人员对于履行职责过程中知悉的自然人的隐私和个人信息，应当予以保密，不得泄露或者向他人非法提供。

科学协调保护与合理利用之间关系

记者：对于个人信息一直有一个争议的焦点，就是如何处理好保护和合理使用之间的关系。一方面，个人信息确实需要保护，随意收集、处理和使用个人信息会给广大人民群众的人身财产安全造成严重威胁和侵害。另一方面，信息化社会的发展又离不开收集和使用个人信息，个人信息本身在交流中也才有意义和价值。那么，此次民法典编纂过程当中，对于这个问题是如何规定的？

程啸：如何确认自然人对其个人信息的权益，是整个民法典关于个人信息保护规则构建中最为核心的问题。围绕这一核心问题，此次民法典编纂过程中，学界也一直有争论，主要是围绕如何确定自然人对个人信息享有的民事权益的性质。具体而言，自然人对其个人信息享有哪些具体权能？哪些情形下可以收集、处理自然人的个人信息而不需要承担民事责任？信息收集者、控制者对于个人信息安全负有何种注意义务？是否需要规定侵害个人信息的惩罚性赔偿等。

针对这些争议，立法机关态度明确地规定自然人的个人信息受到法律保护，并将个人信息保护规定在民法典人格权编草案中。鉴于目前对个人信息权仍然存在争议，故草案并没有明确规定个人信息权。

需要指出的是，由于个人信息保护法已经纳入本届人大常委会立法规划，因此，民法典草案只是对个人信息保护中最重大、最基本的规则作出了规定，更具体详细的规定则交由未来的专门的个人信息保护法加以规定。

听取各方意见不断作出完善

记者：民法典人格权编草案已经全国人大常委会会议多次审议，目前草案有关个人信息保护方面的规定中，有哪些内容是经过不断调整和完善的？

程啸：民法典编纂过程中，人格权编草案不断吸收各方面的合理意见而加以完善。比如，在关于隐私权的规定中，规定了没有取得权利人明确同意收集、处理他人的私密信息属于侵害隐私权的行为，同时在个人信息保护部分，又进一步规定个人信息中的私密信息也同时适用隐私权保护的有关规定。这样就很好地协调隐私权与个人信息保护之间的关系。

还有一个明显的例子，是关于个人信息的界定和分类，草案一直在根据各方面的意见不断作出完善，目的是实现对个人信息的全方位保护与规范。比如，目前草案将同样具有识别特定自然人功能的个人的电子邮箱地址、行踪信息等都纳入保护范围。而此前仅仅是对收集、使用个人信息的行为作出了规范。

隐私权与个人信息保护不能相互替代

记者：关于隐私与个人信息的关系，一直是争议比较大的问题。有观点认为，应当扩张隐私权的适用范围，通过确立信息隐私权来实现对个人信息的保护。如何看待这一观点？

程啸：隐私权与个人信息保护之间存在密切的联系，但是二者不能相互替代。我们认为，隐私权保护的“隐私”包含两个方面：一是私人生活安宁，二是私生活秘密。个人信息中的“私密信息”属于私生活秘密的范畴，可以受到隐私权的保护。但是，个人信息既包括私密信息，也包括其他不属于私密信息的个人信息。例如，自然人的姓名、职务、工作单位、办公室电话、工作邮箱、邮政编码等，这些虽然属于个人信息，但往往都是自然人对外交往和进行生产生活时必须要公开的信息。这些信息由于不具有私密性，因此也就不属于私密信息。然而，由于它们可以直接或间接识别特定的自然人，故依然属于个人信息，对于这些信息的收集和处理就需要适用个人信息保护的法律规定。

此外，隐私权侧重的是保护自然人的隐私不受他人侵害，而个人信息保护不仅要保护自然人的个人信息不受侵害，还要实现对个人信息的合理利用。正因如此，人格权编草案虽然将隐私权和个人信息保护规定在同一章，但是也通过对隐私和个人信息的界定明确了二者的区别；而通过将非法收集、处理私密信息作为侵害隐私权的典型行为以及明确个人信息中的私密信息同时适用隐私权保护的规定，使得私密的个人信息受到隐私权和个人信息的双重保护。这样就很好处理了隐私权和个人信息保护的关系。 （朱宁宁）