王春暉

　　十二屆全國人大五次會議表決通過了《中華人民共和國民法總則》（以下稱“民法總則”），民法總則是民法典編纂首期工程，在我國民事立法史上具有里程碑式的意義。民法是市場經濟的基本法，是社會生活的基本法，也是公民權利的保障法。按照全國人大的立法計劃，民法總則通過之后，將編纂民法分則各編。

　　作為民法典的總綱，民法總則規定了民法基本原則和適用于民法典各分編的一般規則。實際上“民法”（Civil Law）最準確的定義應該是“市民法”，我國一直沿用“民法”的稱謂基本上是沿用日本學者不確切的翻譯所致。如果用一句話來描述民法總則，可以概括為：民法總則是一部以民事權利為核心的市民法總規則。

　　民法最基本的法律功能在于對公民民事權利的確認和保護，即強調對私權的充分保護。民法總則確認了民事主體所享有的人格權，通過對人格權的保護而實現對民事主體人格的充分尊重，同時民法賦予了主體廣泛的財產權利，如債權、物權、知識產權、繼承權等等，并為這些權利提供了充分保護。筆者認為，民法總則是一部公民權利法的總綱，其中一個突出的亮點是首次從民事權利的層面提出個人信息權，并明確了個人信息權保護的基本行為規范。

　　民事權利的基本分類

　　民事權利是民事主體依法享有并受法律保護的利益范圍或者實施某一行為以實現某種利益的可能性。一項民事權利大致有三層含義：一是民事權利是民事法律關系的主體享有的利益范圍或者為某種行為的可能性；二是民事權利是權利主體要求他人實施某種行為或者不實施某種行為，以實現其利益的可能性；三是在其權利受到侵害時，權利主體有權請求國家機關予以救濟。

　　民法總則中的民事權利主要設定為財產權和人身權兩大類，其中財產權主要涉及直接體現財產利益的民事權利，比如物權、債權、繼承權，以及知識產權中的財產權利等；人身權一般不直接具有財產內容，主要是與民事主體人身不可分離的權利，包括人格權和身份權。人格權主要指民事主體依法享有的維護其人格尊嚴不受侵犯的一種民事權利；身份權是指民事主體基于特定的身份而享有的維護一定社會地位和社會關系的權利。兩者最大的區別在于，人格權不僅可以由自然人享有，法人也可以享有，如民法總則第110條規定，自然人享有生命權、身體權、健康權、姓名權、肖像權、名譽權、榮譽權、隱私權、婚姻自主權等權利。法人、非法人組織享有名稱權、名譽權、榮譽權等權利；而身份權主要是基于親屬法上的身份關系所產生的，因此，只有自然人才能享有，如民法總則第112條規定，自然人因婚姻、家庭關系等產生的人身權利受法律保護。

　　公民信息權的法律屬性

　　關于個人信息權的法律屬性一直存在較大爭議，主要有三種觀點，即個人信息權人格權說、個人信息權財產權說和個人信息權人格權與財產權混合說。筆者以為，以上三種觀點均不能說明網絡時代公民信息權的法律屬性。

　　首先，人格權作為基于人的存在而產生的權利，只要自然人出生、法人成立，無需任何意思表示或經過特別授權，就當然取得并受到法律保護，其實質是國家通過法律賦予的一種資格。

　　其次，財產權是與人身權相對應的權利，廣義的財產權，包括物權、債權和知識產權，但一般意義上的財產權主要指物權。民法總則第113條規定，民事主體的財產權利受法律平等保護；第114條規定，民事主體依法享有物權，權利人依法對特定的物享有直接支配和排他的權利，包括所有權、用益物權和擔保物權。

　　網絡時代，海量的數據和信息以聚合形式存在于社交網絡、電子商務、移動智能終端等網絡平臺，特別是一些大型的網絡運營商已經形成對個人數據和信息的實際控制和壟斷，公民作為數據內容的主體完全不能控制自己的個人數據和信息，根本無法了解自己的信息和數據在何時、何地、被何人、以何種方式非法收集、使用、加工、傳輸。對此，民法總則第111條規定，自然人的個人信息受法律保護。任何組織和個人需要獲取他人個人信息的，應當依法取得并確保信息安全，不得非法收集、使用、加工、傳輸他人個人信息，不得非法買賣、提供或者公開他人個人信息。盡管民法總則并沒有就“個人信息權”作出法律定義，但可以清晰地看出民法總則確定的“個人信息權”，其保護的核心不在于“個人信息”本身，而重點在于如何規制第三人對公民個人信息的收集、使用、加工、傳輸等行為。因此，公民行使信息權利的基礎，是基于公民作為信息內容的主體有權決定其個人信息在何時、何地及以何種方式被何人收集、使用、加工和傳輸。

　　公民信息權保護的法律邊界

　　在網絡時代，“信息”（Information）和“數據”（Data）是使用頻率最高的兩個詞匯，經常被許多政府規范性文件甚至法律視為同一概念。目前在各國的個人信息保護立法中，多數國家將“個人信息”視為“個人數據”。如歐盟《個人數據保護指令》第2條（a）規定，個人數據，指“與一個人身份已被識別或者身份可以識別的自然人（數據主體）相關的任何信息”；法國《數據處理、數據文件及個人自由法》第2條第1款規定，個人數據，指“可以通過身份證號碼、一項或多項個人特有因素被肢解或間接識別的自然人相關的任何信息”；德國《聯邦數據保護法》第3節規定，個人數據，指“任何關于一個已識別的或者可識別的個人（數據主體）的私人或者具體狀態的信息”?？梢?，以上國家立法中的所謂“個人數據”實質上是個人的“網絡信息”或“電子信息”。

　　筆者認為，網絡法中的“個人數據”與“個人信息”有所不同，前者是附著在電子信息系統載體的客觀事物記錄，是未經過處理的個人原始記錄，其不能脫離電子信息系統載體而獨立存在，如個人體檢在醫院電子信息系統留下的原始記錄；后者是指數據經過加工處理后，形成的具有使用價值的內容——信息，可以脫離電子信息載體而獨立存在，如個人體檢的電子數據經過醫生的分析和系統的處理，形成的具有使用價值的體檢報告，其存在的形式可以是電子狀態，也可以是紙質狀態。由此可以得出：個人信息＝個人數據＋分析處理。

　　個人信息保護的目的，在于保護具有使用價值的個人信息，而不是所有的個人數據。因此，我國網絡安全法和民法總則均采用了“個人信息”的表述，特別是網絡安全法第76條中對“網絡數據”和“個人信息”的含義專門進行了文意解釋：“網絡數據，是指通過網絡收集、存儲、傳輸、處理和產生的各種電子數據”；“個人信息，是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別自然人個人身份的各種信息，包括但不限于自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等?！?/p>

　　筆者認為，在個人信息權的內涵中，國家重點保護的是涉及公民隱私權的個人信息，《全國人民代表大會常務委員會關于加強網絡信息保護的決定》（下稱《決定》）第1條明確規定，國家保護能夠識別公民個人身份和涉及公民個人隱私的電子信息。但是這類個人信息權保護的基礎一定要體現“合法性”，而“合法性”的前提應該是“個人知情和同意”。對此，我國民法總則并沒有明確提出個人信息收集、使用、加工、傳輸以“同意”為前提，只是禁止性規定“不得非法收集、使用、加工、傳輸他人個人信息，不得非法買賣、提供或者公開他人個人信息”。

　　筆者以為，民法總則中的“非法”主要指違反網絡安全法、《決定》等有關保護個人信息的專門規定，比如以上法律規定均明確要求收集、使用個人信息必須經被收集者“同意”。網絡安全法第41條規定，網絡運營者收集、使用個人信息，應當遵循合法、正當、必要的原則，公開收集、使用規則，明示收集、使用信息的目的、方式和范圍，并經被收集者同意；《決定》第2條規定，網絡服務提供者和其他企業事業單位在業務活動中收集、使用公民個人電子信息，應當遵循合法、正當、必要的原則，明示收集、使用信息的目的、方式和范圍，并經被收集者同意，不得違反法律、法規的規定和雙方的約定收集、使用信息。由此，我國民法總則對個人信息權保護的基礎是合法原則，而“合法”的前提也充分體現了“個人同意”原則。筆者以為，個人信息權保護邊界的基本要義是在確保公民人格權和隱私權不受非法侵害的基礎上，促進個人信息資源在合法、正當、必要的法定原則基礎上進行合情、合理、合法的開發和利用。

　　民法總則明確對個人信息權的保護，這對于保護公民的人格尊嚴，使公民免受非法侵擾，維護正常的社會秩序具有重要的現實意義，網絡運營者和其他商業機構必須嚴格尊法、守法。目前，網絡運營者和其他商業機構對個人信息的收集、使用、加工、傳輸，已經到了公開化、常態化、系統化階段，且具有明顯的經濟目的，違反了合法、正當、必要的法定原則，侵犯了公民的信息權和隱私權。因此，個人信息權是公民在網絡時代享有的一項重要民事權利，任何組織和個人均不得非法收集、使用、加工、傳輸他人個人信息，不得非法買賣、提供或者公開他人的個人信息。

　?。ㄗ髡邽槟暇┼]電大學信息產業發展戰略研究院院長、教授）

責任編輯：韓希宇