《民法典》第一千零三十四条：

自然⼈的个人信息受法律保护。

个人信息是以电⼦或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息，包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。

个人信息中的私密信息，适用有关隐私权的规定；没有规定的，适用有关个人信息保护的规定。

▣ 法条主旨：本条是关于个⼈信息的规定。

▣ 解读：

(⼀)⽴法背景

信息社会，⼈的存在不仅涉及⽣物体征⽅⾯的信息(如⾝⾼、性别等)，也涉及⼈作为社会成员的基本社会⽂化信息(如姓名、职业、宗教信仰、消费倾向、⽣活习惯等)。有的专家提出，⼏乎所有的⼈类活动都具有信息形式的记录，当个⼈信息累积到⼀定程度，就构成与实际⼈格相似的“信息⼈格”或者“数据⼈格”。近年来，⽹络技术、信息技术的发展和经济全球化的趋势在⼀定程度上改变了传统的营销⽅式和消费⽅式，传统条件下，由于信息搜集技术的限制，经营者⽆法有效获取消费者有关消费需求、消费倾向等⽅⾯的信息，其商品或者服务的提供带有很⼤的盲⽬性。⽽在当前信息技术发达、个⼈信息流通便捷的情况下，经营者可以低成本、⾼效率地利⽤各种信息搜集⽅式获取并分析消费者的消费习惯、消费倾向，从⽽有效地为特定消费者提供个性化服务，进⽽取得市场竞争优势。例如，某公司推⾏的最典型的个性化服务⽅式是直邮，即收集明确同意接收公司营销信息的消费者名单，向其邮寄优惠券和产品样品，这类⽅式也被称为⽬标⼴告，这种个性化服务⽅式不仅避免了盲⽬投放⼴告带来的资源浪费，⽽且为经营者发展更多忠诚的消费者群体进⽽⼤幅提升其销售额提供了可能。个⼈信息在⾦融领域发挥的作⽤更为巨⼤。通过掌握个⼈信⽤信息，使⽤个⼈信⽤评分技术，银⾏业可以更加有的放⽮地发放贷款。对个⼈信息的有效利⽤，不仅给经营者带来了利益，对消费者也带来了诸多便利：消费倾向和消费兴趣被商家掌握的消费者，在选择商品和服务时可以节省更多搜索成本；经营者对消费信息的有效掌握可以使其不再向没有该类消费倾向的消费者滥发邮件，减少众多消费者收到垃圾邮件的数量；有良好信⽤记录的消费者可以更⽅便取得贷款。个⼈信息的利⽤节约社会发展成本，固然能为经济社会带来巨⼤的利益，但如果对其不作任何限制，利⽤技术⼿段滥⽤个⼈信息侵犯个⼈利益的事件必然增多。在我国，个⼈信息被滥用的问题也⽇益严重，主要表现为四类情形：

■ ⼀是⼀些经营者对经营活动中收集的消费者个⼈信息在管理上存在诸多安全漏洞，如某航空公司乘客信息泄露事件、连锁酒店顾客信息管理存在安全⻛险事件；

■ ⼆是⼀些经营者将经营活动中掌握的个⼈信息进⾏买卖⽽谋取⾮法利益，形成个⼈信息买卖的地下产业，如某快递公司承认客⼾信息遭内部⾼层⼈员倒卖事件；

■ 三是经营者对采集到的个⼈信息进⾏未经许可的⼆次开发利⽤，为细分市场、制定营销战略提供依据，进⽽实施对重点⼈群或者重点客⼾的定向强制推销，侵扰消费者⽣活安宁；

■四是经营者擅⾃公开、传播敏感性个⼈信息，造成侵害他⼈⼈格尊严或者利⽤⾮法收集到的消费者个⼈信息实施诈骗等违法犯罪活动。

上述情形给消费者带来的侵害主要有三个⽅⾯：

■ ⼀是侵犯消费者⼈格权益。经营者没有合法依据或者不经消费者同意收集、存储、传输、加⼯和利⽤消费者个⼈信息，可能导致对消费者个⼈⼈格的错误描述，如影响消费者能否得到⼀份⼯作、能否获得特定贷款等。

■ ⼆是侵犯消费者财产权益。如经营者将收集到的消费者个⼈信息⾮法出售或者不当泄露给第三⽅，可能导致⾮法获取上述信息的主体冒充消费者进⾏诈骗，如盗⽤消费者⾝份申请信⽤卡并透⽀等。

■ 三是破坏消费信⼼。近年来由于信息数据处理技术的⻜速发展，通过⽹络等途径⾮法收集、存储、传输、加⼯和利⽤个⼈信息的现象屡⻅不鲜，众多调查显⽰，电⼦商务⽹络⽤⼾最⼤忧虑是个⼈信息泄露。因此，采取适当的个⼈信息保护措施，对恢复消费信⼼、维护市场秩序的正常运⾏具有极其重要的意义。

现代社会的发展，特别是信息产业的发展建⽴在信息的⾃由流通上，但是个⼈信息⼜与⾃然⼈的⼈格尊严密切相关，需要对⾃然⼈的个⼈信息进⾏保护。因此，如何在促进信息⾃由流通和保护⾃然⼈个⼈信息之间取得平衡⼀直是各个国家和地区⾯临的重要问题。基于上述原因，个⼈信息保护⽴法在全球范围内受到了⼴泛关注，越来越多的国际组织、国家和地区着眼于个⼈信息安全，相继⽴法。近三⼗年来，世界上兴起了个⼈信息保护⽴法的热潮。例如，⽇本、韩国等国制定了《个⼈信息保护法》，德国制定了《联邦个⼈资料保护法》，英国制定了《个⼈资料保护法》，我国⾹港特别⾏政区和台湾地区分别制定了个⼈资料保护法和“个⼈资料(私隐)条例”；欧盟1995年出台了《个⼈数据保护指令》，2016年在此基础上制定了《欧盟⼀般数据保护条例》，该条例于2018年5⽉25⽇正式开始实施；美国将个⼈信息纳⼊隐私权的范畴加以保护，制定了⼀系列相关法律，如《美国隐私法》《电脑对⽐和隐私保护法》等；联合国经合组织于1990年还出台了《数据保护指导原则》。上述⽴法中的个⼈信息保护，除涉及⾮公共机构(包括企业经营者及第三⽅征信机构等)在处理公众个⼈信息上的权利义务外，还涉及公共机构(包括⾏政机关)在信息处理⽅⾯的职责。因此，个⼈信息保护⽴法的内容不局限于某⼀特定部⻔法，但信息主体的⼈格利益及财产权益的维护等与⺠法直接相关的问题成为个⼈信息保护⽴法的基点。

近年来，我国⾼度重视个⼈信息相关⽴法，从⺠事、⾏政、刑事各⽅⾯加强个⼈信息保护，保障个⼈信息安全。2012年《全国⼈⺠代表⼤会常务委员会关于加强⽹络信息保护的决定》、2013年修正的《消费者权益保护法》、2016年通过的《⽹络安全法》和2018年通过的《电⼦商务法》等法律，确⽴了个⼈信息保护的规则及⽹络运营者保障个⼈信息安全的义务与责任，明确了个⼈对其信息收集、使⽤的知情权、删除权、更正权。2017年通过的《⺠法总则》，将个⼈信息受法律保护作为⺠事权利的重要内容予以规定，并对数据作为财产权的客体作出原则规定。关于个⼈信息的刑事保护，《刑法》第285条第2款规定了⾮法获取计算机信息系统数据、⾮法控制计算机信息系统罪，第253条之⼀规定了侵犯公⺠个⼈信息罪。总的来看，《刑法》现有规定能够满⾜打击⾮法获取数据犯罪⾏为的实践需要。制定个⼈信息保护法也已列⼊第⼗三届全国⼈⼤常委会⽴法规划和2020年度⽴法⼯作计划。⽴法机关正在抓紧开展个⼈信息保护法的研究起草⼯作。此外，⼀些司法解释和规范性⽂件对个⼈信息保护问题作了规定。在《民法典》编纂过程中，各⽅提出，随着信息技术的快速发展，⾮法获取、⾮法公开或者⾮法向他⼈提供个⼈信息的违法⾏为泛滥，社会危害严重，加强对个⼈信息的保护对保护公⺠的⼈格尊严，使公⺠免受⾮法侵扰，维护正常的社会秩序具有重要的现实意义。建议在⼈格权编中确⽴个⼈信息⺠事保护的基本规则，以进⼀步加强对个⼈信息的保护。基于此，在我国现有规定的基础上，借鉴境外⽴法经验，总则编第111条对个⼈信息保护作了原则性规定，《民法典》在总则编规定的基础上确⽴了个⼈信息保护的基本原则和规则。本条第1款即开宗明义地规定，⾃然⼈的个⼈信息受法律保护。就《⺠法典》与单⾏⽴法在个⼈信息保护上的关系问题，既要有分⼯，⼜要有衔接协调。《⺠法典》⼈格权编关于个⼈信息保护的规定是⽴⾜于现⾏法律法规所作的修改完善。同时，考虑到将来还有专⻔的个⼈信息保护法，所以就《⺠法典》这⼀⻓期稳定适⽤的⺠事基本⽴法⽽⾔，不能作出太多细致具体的规定，⽽只需作出基础性、原则性的规定。这样⼀来，既可以对其他的⽴法有所指引，⼜为将来的发展留有空间。

(⼆)对本条含义的理解

1.个⼈信息的定义

对于个⼈信息的表述，有的建议⽤“个⼈数据”，有的建议⽤“个⼈资料”，有的建议⽤“个⼈信息”。从⽐较法的⻆度看，欧盟国家多采⽤“个⼈数据”，⽇本、俄罗斯、韩国采⽤“个⼈信息”，我国台湾地区“个⼈资料”与“个⼈数据”两个概念并⽤。虽然“个⼈信息”“个⼈资料”与“个⼈数据”名称有所不同，但实质含义基本类似，都侧重信息的“可识别性”。如《欧盟⼀般数据保护条例》，将其界定为“已识别或可识别的与个⼈相关的任何信息”。《⽇本个⼈信息保护法》第2条规定，个⼈信息指活着的⾃然⼈的相关信息，根据该信息所包含的姓名、出⽣年⽉及其他内容，能够识别出该特定⾃然⼈。我国台湾地区“电脑处理个⼈资料保护法”第3条第1款规定，个⼈资料，指⾃然⼈之姓名、出⽣年⽉⽇、⾝份证统⼀编号、特征、指纹、婚姻、家庭、教育、职业、健康、病例、财务情况、社会活动及其他⾜以识别该个⼈之资料。本法采⽤了“个⼈信息”的表述，主要是基于以下两点考虑：

■ ⼀是与已有的⽴法保持⼀致。⽆论是我国现⾏的⽹络安全法、电⼦商务法、消费者权益保护法、刑法等相关法律，还是国务院的⾏政法规、部⻔规章以及司法解释，基本都使⽤“个⼈信息”的表述。

■ ⼆是“个⼈信息”的表述更为准确。个⼈数据只是个⼈信息内容的载体，就个⼈信息保护的实质⽽⾔，法律保护的并⾮数据这个载体，⽽是载体所承载的内容，⽤“个⼈信息”的表述更能准确反映个⼈信息保护的本质，虽说欧盟以及⼀些国家和地区使⽤了“个⼈数据”的表述，但是从欧盟及这些国家和地区的相关规定看，其实质保护的是个⼈数据的内容，即个⼈信息，并⾮数据这个载体。

对于个⼈信息的含义，也即如何判断某⼀信息是否构成个⼈信息，境外有三种不同的⽴法例，理论界和实务界也有三种主要观点：

■ ⼀是关联型定义。根据这种定义，个⼈信息是所有与个⼈相关联的信息。⽬前北欧和东欧的⼀些国家采⽤这种⽴法例，例如《保加利亚个⼈数据保护法》规定，个⼈数据是指涉及⾃然⼈的⾝体状况、⼼理状况、精神状况、家庭状况、经济状况、⽂化教育状况与社会背景的信息。《最⾼⼈⺠法院、最⾼⼈⺠检察院关于办理侵犯公⺠个⼈信息刑事案件适⽤法律若⼲问题的解释》以及国务院信息标准化办公室公布的《个⼈信息安全规范》也基本上采纳了这种定义模式，例如后者在《⽹络安全法》第76条的基础上增加“或者反映特定⾃然⼈活动情况”的规定界定个⼈信息，这⼀规定事实上⼤⼤扩张了个⼈信息的范围，与关联型定义异曲同⼯。

■ 二是隐私权定义。根据这种定义，个⼈信息是个⼈不愿向外透露或者较为敏感不愿为他⼈所知的信息。这种观点实际上是以隐私来界定个⼈信息。美国、澳⼤利亚、新西兰、加拿⼤等英美法系国家多以此理论为基础进⾏⽴法。

■ 三是识别型定义。根据这种定义，个⼈信息是指能够直接或者间接地与已识别或者可识别的特定⾃然⼈相关的信息。

⽬前这是理论界和实务界的主流观点，也为不少国家和地区的⽴法所采⽤，例如《欧盟⼀般数据保护条例》、⽇本修改后的《个⼈信息保护法》、韩国的《个⼈信息保护法》等均采⽤了识别型定义。《民法典》采⽤了第三种观点，即识别型定义。在以识别型定义对个⼈信息进⾏界定时，是采⽤概括定义的⽅式还是采⽤列举定义的⽅式，在编纂过程中也有不同意⻅。概括型定义的⽅式具有⾜够的弹性和开放性，但过于抽象，不利于操作；列举型定义的⽅式具体，可操作性强，但过于僵化，且个⼈信息种类众多，很难⼀⼀列举，难免挂⼀漏万。本编对个⼈信息的界定既有抽象的概括，也有具体的列举，可以说较好地处理了开放性和可操作性的关系。基于此，本条第2款规定，个⼈信息是以电⼦或者其他⽅式记录的能够单独或者与其他信息结合识别特定⾃然⼈的各种信息，包括⾃然⼈的姓名、出⽣⽇期、⾝份证件号码、⽣物识别信息、住址、电话号码、电⼦邮箱、健康信息、⾏踪信息等。根据本款的规定，构成个⼈信息要满⾜三个要件：

■ ⼀是具有识别性，这是核⼼要件。所谓识别，就是通过该信息可以直接或者间接地将某⼀⾃然⼈“认出来”。识别包括直接识别和间接识别，所谓直接识别，是指通过该信息可以直接确认某⼀⾃然⼈的⾝份，不需要其他信息的辅助，如某⼈的⾝份证号、基因信息等；所谓间接识别，是指通过该信息虽不能直接确定某⼈的⾝份，但可以借助其他信息确定某⼈的⾝份。任何可以直接或者间接识别特定⾃然⼈的信息都是个⼈信息。

■ ⼆是要有⼀定的载体，这是个⼈信息的形式要件。个⼈信息必须以电⼦或者其他⽅式记录下来，没有以⼀定载体记录的信息不是个⼈信息。

■ 三是个⼈信息的主体只能是⾃然⼈，法⼈或者⾮法⼈组织不是个⼈信息的主体。

个⼈信息类型众多，包括但不限于⾃然⼈的⾝份信息、⽣理信息、社会信息、财产信息等，本款列举的具体个⼈信息只是最为典型也最为常⻅的类型，现实⽣活中的具体个⼈信息远不⽌列举的类型。与现⾏⽹络安全法列举的个⼈信息的情形相⽐，本条增加了电⼦邮箱、⾏踪信息、健康信息等类型，这是为了让个⼈信息的定义能够更加适应互联⽹时代和⼤数据时代的发展需要。对于某⼀类本款没有列举到的信息是否为个⼈信息，可以根据前述三个要件进⾏判断。

2.个⼈信息与隐私的关系

在编纂过程中，有的意⻅提出，隐私⽐个⼈信息范围更宽，包括私密信息、私密活动和私密空间，建议以隐私权的保护涵盖对个⼈信息的保护。经反复研究认为，个⼈信息与隐私确实有紧密联系，例如隐私中的私密信息就属于个⼈信息，侵犯个⼈信息和侵犯隐私权的最主要⽅式都是⾮法泄露或者公开，也正是因为隐私与个⼈信息的联系较为紧密，本编将⼆者放在同⼀章加以规定。但是，⼆者的区别也⾮常明显，尤其是考虑到《⺠法典》作为⺠事基本法律，既需要保护个⼈信息中体现的⼈格利益，⼜要促进信息作为信息社会⼀种重要资源的合理流通，因此，《民法典》并未采取传统⺠法以姓名权、肖像权及隐私权为框架保护个⼈信息的⽅式，⽽是明确将个⼈信息保护的权利在隐私权等具体⼈格权外单独加以规定，主要基于以下四点考虑：

■ 第⼀，⼆者的构成要件不同，隐私强调私密性，⽽个⼈信息强调识别性。

■ 第⼆，⼆者的范围有重合(重合部分可以称为隐私信息，即权利主体不愿为他⼈知晓的个⼈信息，如病史、犯罪记录等)，但“个⼈信息”不仅包括不愿为外⼈知晓的“隐私信息”，还包括可以公开的“⾮隐私信息”(如姓名、性别等)；并且，“隐私”带有主观⾊彩，如⾝⾼、住址、电话号码等个⼈信息，有些⼈视为隐私，有些⼈视为可公开信息。另外，我国现有法律制度中涉及的“隐私权”，是与“⽣命权、身体权、健康权、姓名权、名誉权、荣誉权、肖像权”等并列的概念，范围⽐美国法窄得多。美国法中的“隐私权”范围极⼴，⼏乎囊括了私⼈活动的各个领域，⽽不仅仅局限于私⽣活秘密，有学者认为该权利在美国已经发展为⼀般⼈格权。但是，在我国现有法律制度中的隐私权，范围要窄得多。⼀些侵犯个⼈信息的⾏为，未必构成侵犯“隐私”，如⾃然⼈的“姓名”，当然属于个⼈信息，但却不是“隐私权”的保护客体；再如肖像也属于个⼈信息，但不当利⽤他⼈肖像，构成对“肖像权”⽽⾮“隐私权”的侵害；再如不当删除、不完整记录或者错误记录他⼈信息，或者根据不实信息对他⼈信⽤作出错误评级等。这些都属于侵犯他⼈信息权利的⾏为，但⼀般不涉及侵犯隐私。法律既要保护⾃然⼈对其个⼈信息享有的⼈格权益，⼜要兼顾社会对个⼈信息的合理利⽤。鉴于信息⾃由流通具有的巨⼤社会效益和经济效益，《⺠法典》对个⼈信息权利的规定，应当兼顾⾃然⼈个⼈信息权益和信息资源有效利⽤的双重⽬的。⽽隐私权的保护，⼀般多着眼于权利主体的⼈格权益，更倾向于限制个⼈信息的搜集与利⽤。因此，“个⼈信息”⽐“隐私”更适宜现代信息社会⺠法所要调整的法律关系。

■ 第三，就权利内容和救济⽅式⽽⾔，隐私权作为⼀种私⽣活受尊重的权利，多表现为消极被动和防御性的特点，它以侵害⾏为或侵害可能为前提，以维护⼈格尊严为⽬的，⼀般不具有财产利益。⽽个⼈信息得到保护的权利，从世界主要国家和地区的⽴法来看，表现为⼀种积极主动的请求权，不仅包括个⼈信息不受⾮法收集、处理的内容，还包括权利主体对其个⼈信息的积极控制，如权利⼈有权决定其个⼈信息能否被他⼈处理以及如何处理，有权要求信息处理者修改不正确、不完整的个⼈信息以保证信息质量，有权针对商业⽬的的个⼈信息利⽤获取报酬等。从德国、⽇本等主要国家在有关个⼈信息保护⽴法⽅⾯的发展趋势来看，“个⼈信息得到保护的权利”兼顾权利⼈的⼈格尊严与信息资源的有效利⽤，⽐“隐私权”更符合现代信息社会的发展需求。

■ 第四，对⼆者的保护程度不同。对隐私权的保护程度要⾼于对个⼈信息的保护程度。基于此，《民法典》虽将个⼈信息保护与隐私权放在⼈格权编同⼀章，但仍将两者作为两种不同的制度加以规定。

需要注意的是，私密信息既是隐私的重要组成部分，也是个⼈信息的重要组成部分，个⼈信息保护与隐私权等的保护范围具有⼀定的重合之处。个⼈信息受保护的权利并⾮要替代隐私权对秘密信息的保护，⽽是对其保护的补充。原则上，若个⼈信息可以为隐私权、名誉权、姓名权、肖像权等具体权所保护时，可以优先适⽤这些⼈格权的规则，在这些具体⼈格权没有规定的情况下，可以适⽤个⼈信息的相关规定。但隐私权中的私密信息与信息主体的⼈格尊严联系更为紧密，所以《民法典》对隐私权的保护更⾼⼀些，对私密信息的处理要求更⾼⼀些，根据《民法典》第1033条的规定，处理他⼈的私密信息需要获得隐私权⼈的明确同意。基于此，本条第3款规定，个⼈信息中的私密信息，适⽤有关隐私权的规定；没有规定的，适⽤有关个⼈信息保护的规定。

《民法典》并没有直接规定⾏为⼈侵犯⾃然⼈个⼈信息应承担的⺠事责任，有的建议在本章增加这⽅⾯的规定。对于这个问题，涉及整个⺠法典的⽴法体例。⼈格权编的重点是确权和明确各项具体⼈格权益的内容、边界和特殊的保护规则，⼀般的侵权责任条款主要规定在侵权责任编和将来的个⼈信息保护法等相关单⾏法中。第995条明确规定，⼈格权受到侵害的，受害⼈有权依照本法和其他法律的规定请求⾏为⼈承担⺠事责任。基于上述考虑，本章主要对个⼈信息定义、个⼈信息处理原则及要求、个⼈信息主体的权利和信息处理者的信息安全保障义务、国家机关和⼯作⼈员履职过程中对知悉的个⼈信息依法保密的义务等关于个⼈信息保护的基本规则作了规定。这有利于构建⼀个科学、合理的个⼈信息保护法律体系。

还有⼀个问题需要说明，在编纂过程中，对于是否将个⼈信息作为⼀种权利加以规定，各⽅的意⻅分歧较⼤。有的提出，在《⺠法典》中对个⼈信息的法律属性进⾏清晰界定，在隐私权之外设置单独的个⼈信息权。经研究认为，从理论上讲，个⼈信息与隐私确实是两个不同的概念，⼆者的判断标准、范围、保护⽅式等都不完全相同。就范围⽽⾔，个⼈信息与隐私存在⼀定的交叉，个⼈信息包括私密信息和⾮私密信息，私密信息既属于个⼈信息也属于隐私，但是隐私除私密信息之外，还包括私密空间、私密活动和私⼈⽣活安宁。按照我国现⾏规范和国际惯例，个⼈信息中的私密信息属于隐私的⼀部分，其受保护的程度也⽐⼀般的个⼈信息更强。正是基于⼆者的不同，⼈格权编中“隐私权和个⼈信息保护”⼀章对隐私权与个⼈信息保护分别作了规定。对于是否设置单独的个⼈信息权，⽬前，理论界和实务界还缺乏深⼊研究，尚未形成基本共识。在《⺠法典》⼈格权编的编纂过程中，⼈格权编草案对这⼀问题的规定也有过反复，但经过反复研究，最终未明确将个⼈信息规定为“个⼈信息权”⽽是采⽤了“个⼈信息保护”的表述，主要考虑是：个⼈信息受保护的权利与其他⼈格权在考量因素上有所不同，个⼈信息的保护要适当平衡信息主体的利益与数据共享利⽤之间的关系。⽤“个⼈信息保护”的表述既强调了对信息主体利益的保护，⼜可以避免不必要的误解，避免妨碍数据的共享、利⽤以及⼤数据产业在我国的发展。解决个⼈信息保护⽅⾯的问题，宜先从可⾏的、务实的制度规范做起，将个⼈信息保护的基本⺠事规则在《⺠法典》中先确⽴起来。