第六章隐私权和个人信息保护_民法典重点修改及新条文解读（下册）：人格权编·婚姻家庭编·继承编·侵权责任编-QQ阅读男生都市网

书名：民法典重点修改及新条文解读（下册）：人格权编·婚姻家庭编·继承编·侵权责任编
作者名：江必新主编
本章字数：11177字
更新时间：2022-08-01 19:25:49

第六章隐私权和个人信息保护

第一千零三十二条【隐私权】

自然人享有隐私权。任何组织或者个人不得以刺探、侵扰、泄露、公开等方式侵害他人的隐私权。

隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。

【法条链接】

《民通意见》第140条；《精神损害赔偿解释》第1条；《利用信息网络侵害人身权益规定》第12条

【立法背景】

《民法通则》并没有对隐私权作出明确规定，司法实践中主要是通过名誉权对隐私进行保护，《民通意见》第140条第1款规定：“以书面、口头等形式宣扬他人的隐私，或者捏造事实公然丑化他人人格，以及用侮辱、诽谤等方式损害他人名誉，造成一定影响的，应当认定为侵害公民名誉权的行为。”该司法解释即是通过名誉权保护个人隐私权，并将名誉权的规定类推适用于隐私保护中。《精神损害赔偿解释》第1条第2款规定：“违反社会公共利益、社会公德侵害他人隐私或者其他人格利益，受害人以侵权为由向人民法院起诉请求赔偿精神损害的，人民法院应当依法予以受理。”该项规定实际上是将通过名誉权间接保护的模式改为对隐私利益直接进行保护。同时，该项司法解释中将违反社会公共利益、社会公德作为侵害隐私侵权责任的构成要件，相较于其他人格权提高了隐私保护的条件。《妇女权益保护法》第42条规定，妇女的名誉权、荣誉权、隐私权、肖像权等人格权受法律保护。该法将隐私权与名誉权、肖像权等并列作为一项独立的人格权，但是适用范围上仅限于妇女。隐私权作为一项具体人格权在民事基本法中获得承认是2009年颁布的《侵权责任法》，该法第2条在列举所保护的权益范围时，明确使用了“隐私权”的表述，这是我国民事基本法中第一次确认隐私权的概念。《民法总则》第110条第1款在列举自然人所享有的各项具体人格权时，明确规定了隐私权，从正面对隐私权作出了规定。《民法总则》的隐私权规定只是确认了隐私权的概念，并没有对隐私权的内涵、类型、保护方式等作出详细规定。本条对隐私权的概念、内涵、效力、范围等作出了详细规定。《人格权编（草案）》（三审稿）曾规定，隐私是自然人不愿为他人知晓的私密空间、私密活动和私密信息等。审议中有观点提出，维护私人生活安宁、排除他人非法侵扰是隐私权的一项重要内容，建议在隐私的定义中增加这一内容。《人格权编》采纳了这一意见，规定在本条中。

【条文解读与法律适用】

一、隐私权的客体

本条第2款规定，隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。根据这一规定，隐私权的客体包括私生活安宁、私生活秘密、私人空间和私密信息。隐私权的客体具有三个方面的特征：一是具有私密性，对此应当注意，如果行为人违反权利人的意愿擅自扩大权利人隐私的暴露范围，仍应当构成对他人隐私权的侵害；二是具有私人性，主要是指隐私与公共利益是相区别的，尊重个人对其生活方式、私人事务处分的权利，从而维护人格尊严；三是包括私人空间、私人活动和私人信息以及私生活安宁等内容。

二、隐私权客体的具体内容

一是私生活的安宁。包括：（1）日常生活安宁，禁止非法跟踪、骚扰他人比如雇用私家侦探对他人进行盯梢，上述行为即是影响了他人的日常生活安宁。（2）住宅安宁，比如在泄露业主住址案中，法院指出“自然人的住址属于自然人的个人信息，在本人不愿意公开的情况下属于个人隐私的范畴”。（3）通信安宁，电话骚扰、短信骚扰即属于侵害私生活安宁的行为。

二是私生活秘密。个人不愿公开的信息并非法律要求公开的，个人隐匿这些信息并不违法也不违反公序良俗则属于私生活秘密。私生活秘密包含的范围非常广泛，包括个人的生理信息、身体隐私、健康隐私、家庭隐私、基因隐私、谈话隐私、其他有关个人生活的私人信息。权利人在一定范围内公开其私生活秘密，该信息仍然具有相对的非公开性，仍然受到隐私权的保护。

三是私人空间。私人空间是指私人支配的空间场所，例如房屋内的空间就是典型的私人空间隐私。私人领域不限于住宅，还可能及于住宅之外的公共空间，比如个人办公室、汽车后备厢、行李箱等。随着个人生活所能够支配的私人空间范围的扩大，在住宅空间之外也发展出来了其他的私人空间类型，如网络虚拟空间。例如，个人的邮箱，不对外公开的微信朋友圈、QQ空间等，即属于个人私人网络虚拟空间，属于个人隐私的范围。

四是通讯秘密。通讯秘密主要保护的是通讯过程和通讯内容不受他人的监听、截取的权利，也属于一种隐私权。

五是私生活的自主。隐私权不仅包括消极地保护自己的权利不受侵害的内容，还包括权利人自主决定自己的隐私，以及对隐私进行积极利用的内容。

三、侵害隐私权抗辩事由

一是国家机关合法行使职权。政府出于国家安全、调查犯罪、公共利益等需要，有权对个人隐私予以限制。例如，国家有关机关基于揭露犯罪和违法事实对财产情况进行调查和了解，对犯罪行为人进行监视等。

二是公共利益和公共安全。《利用信息网络侵害人身权益规定》第12条规定，为促进社会公共利益且在必要范围内公开他人隐私和个人信息，或者学校、科研机构等基于公共利益为学术研究或者统计的目的，经自然人书面同意，且公开的方式不足以识别特定自然人，行为人不承担责任。上述规定表明公共利益和公共安全构成对隐私权的一种限制。

三是自然人依法行使知情权。例如，自然人在选举国家机关工作人员时，有权对候选人的有关信息及活动加以了解，选举机构也有义务对此加以披露。

四是正当行使舆论监督权。新闻媒体的舆论监督权与个人的隐私权经常发生冲突。新闻媒体从事舆论监督，应当尊重自然人的隐私权，但是如果是正当行使舆论监督权，因此造成对隐私权的侵害，行为人可以以正当的舆论监督为由进行抗辩。

五是公众人物。对明星等公众人物而言，常常推定其默许同意媒体对其私生活的报道，这是由其本身的社会角色决定的。对官员财产状态进行披露，对其行为进行必要的监督，可以在一定程度上防止官员腐败。但是需要注意所谓“公众人物无隐私”仅指公众人物的隐私权应当基于公共利益等需要而受到限制，而不是否定公众人物享有隐私权。对公众人物隐私权的限制，不能将公众人物正当、合理的隐私内容予以公开。

（高瞳辉撰写）

第一千零三十三条【侵害隐私权的行为】

除法律另有规定或者权利人明确同意外，任何组织或者个人不得实施下列行为：

（一）以电话、短信、即时通讯工具、电子邮件、传单等方式侵扰他人的私人生活安宁；

（二）进入、拍摄、窥视他人的住宅、宾馆房间等私密空间；

（三）拍摄、窥视、窃听、公开他人的私密活动；

（四）拍摄、窥视他人身体的私密部位；

（五）处理他人的私密信息；

（六）以其他方式侵害他人的隐私权。

【法条链接】

《侵权责任法》第62条；《治安管理处罚法》第42条；《刑法》第245条、第252条

【立法背景】

本条为新增条款。《民法总则》第110条第1款明确规定了隐私权，但并未对侵害隐私权的典型行为作出系统规定。在相关民事、行政、刑事法律规范中散见有侵害隐私权行为的规定。比如，《侵权责任法》第62条规定，医疗机构及其医务人员应当对患者的隐私保密。泄露患者隐私或者未经患者同意公开其病历资料，造成患者损害的，应当承担侵权责任。《治安管理处罚法》第42条规定，偷窥、偷拍、窃听、散布他人隐私的，处5日以下拘留或者500元以下罚款；情节较重的，处5日以上10日以下拘留，可以并处500元以下罚款。《刑法》第245条第1款规定：“非法搜查他人身体、住宅，或者非法侵入他人住宅的，处三年以下有期徒刑或者拘役。”第252条规定：“隐匿、毁弃或者非法开拆他人信件，侵犯公民通信自由权利，情节严重的，处一年以下有期徒刑或者拘役。”本条对于侵害隐私权的行为作出了列举性规定，特别是在互联网、高科技爆炸的时代，个人隐私保护面临巨大威胁，在民事基本法中对侵害隐私权的行为作出明确列举，有利于在民事司法审判中对相关行为的性质作出准确认定。在《人格权编（草案）》审议过程中，有观点提出，应当对在宾馆房间私装摄像头进行偷拍、侵害公民隐私权的行为作出有针对性的规定，该项建议最终规定在本条中。

【条文解读与法律适用】

1.以电话、短信、即时通讯工具、电子邮件、传单等方式侵扰他人的私人生活安宁。私人生活安宁属于隐私权的重要内容，在互联网时代下，私人生活的边界不断拓宽，除了线下的现实生活，更应当涵盖线上的虚拟社区生活。随着移动电话和移动互联网的普及和应用，电话、短信、邮件等骚扰问题逐渐为社会关注，比如垃圾短信难以退订，层出不穷的电话诈骗，“呼死你”软件的电话骚扰，都对互联网线上的私人生活安宁造成严重影响。本条对于上述行为作出了明确列举。

2.进入、拍摄、窥视他人的住宅、宾馆房间等私密空间。私密空间不仅包括他人的住宅，还包括私人的工作场所、办公室、厕所、更衣室等。空间隐私权概念的发展突破了传统上仅把空间作为有形财产保护的模式，使对于私人空间的保护方式从财产权保护延及隐私权保护。针对宾馆房间私装摄像头进行偷拍等行为即可以适用本条进行规制。

3.拍摄、窥视、窃听、公开他人的私密活动。非法拍摄，是指未经权利人许可而拍摄他人的私人活动。在实践中，行为人可能是在自己私人空间安装摄像头等拍摄装置，但如果因此拍摄了他人的私人活动，也构成对他人隐私权的侵害。比如在自家住宅大门安装摄像监控装置，但如果因此拍摄了他人的私人活动，也可能构成对他人隐私权的侵害。

4.拍摄、窥视他人身体的私密部位。未经他人许可，偷拍他人，如非法拍摄他人裸体照片，不仅侵害他人的隐私权，而且可能会对他人的名誉造成损害。非法窥视他人身体，如在手术中允许他人观看病人身体，即使是出于教学的需要，也需征得病人同意。

5.处理他人的私密信息。隐私权理论中存在争议的问题是仅收集、处理他人的私密信息而不进行披露，是否构成侵犯隐私权。本条规定表明处理他人信息，只要他人信息是私密性的，权利人不愿意让他人知道，就构成隐私权的侵害，即使没有造成权利人的现实损害，也构成对其隐私权的侵害。本条规定对于日常提供服务过程中可能获取大量个人私密信息的互联网企业、电子商务企业建立有效的数据隔离制度，防止对个人私密信息的不正当处理提出了要求。

（高瞳辉撰写）

第一千零三十四条【个人信息的定义】

自然人的个人信息受法律保护。

个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息，包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。

个人信息中的私密信息，适用有关隐私权的规定；没有规定的，适用有关个人信息保护的规定。

【法条链接】

《关于维护互联网安全的决定》；《关于加强网络信息保护的决定》；《消费者权益保护法》第14条、第29条、第56条；《网络安全法》第44条、第74条、第76条；《刑法》第253条之一

【立法背景】

随着我国互联网的兴起，立法部门逐步意识到自然人个人信息保护的重要性。2000年通过、2009年修正的《全国人民代表大会常务委员会关于维护互联网安全的决定》（以下简称《关于维护互联网安全的决定》），将信息安全纳入互联网安全的内容，采用刑事制裁手段维护个人的信息权益，规定了非法截获、篡改、删除他人电子邮件或者其他数据资料，侵犯公民通信自由和通信秘密，可构成犯罪，追究行为人的刑事责任。2009年，全国人大常委会通过《刑法修正案（七）》，新增“非法获取公民个人信息罪”和“出售、非法提供公民个人信息罪”，加强对自然人个人信息的刑法保护。2012年通过的《全国人民代表大会常务委员会关于加强网络信息保护的决定》（以下简称《关于加强网络信息保护的决定》）明确规定，国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息，规定收集个人信息的要求以及侵害个人信息的侵权责任。2013年修订的《消费者权益保护法》在第14条、第29条及第56条强调对消费者个人信息予以保护，规定经营者对个人信息的保护义务以及侵害消费者个人信息的侵权责任。2016年通过的《网络安全法》第44条规定，任何个人和组织不得窃取或者以其他非法方式获取个人信息，不得非法出售或者非法向他人提供个人信息。第74条规定，违反本法规定，给他人造成损害的，依法承担民事责任。第76条第5项规定，个人信息，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。另外，该法还规定了网络运营者收集、使用个人信息应当遵循的原则等。《民法总则》第111条规定，自然人的个人信息受法律保护。该规定被《民法典》完整吸纳，成为《民法典》第111条。《民法典》第1034条规定的个人信息定义与《网络安全法》的个人信息定义存在细微的差别，前者将“识别自然人个人身份”修改为“识别特定自然人”，含义更为精确，并增加列举电子邮箱、健康信息、行踪信息作为个人信息，表述也进行了微小的改动。

【条文解读与法律适用】

一、个人信息的定义

本条第1款明确规定自然人的个人信息受法律保护，该款属于宣示性的规定，同时也是总括性的规定，起到统领性的作用。该款没有使用“个人信息权”的字样，故个人信息作为一种权益受到保护，但并不意味着其保护的力度要低于权利的保护力度。

本条第2款系对个人信息的定义，其采取了概括加列举的方式下定义。根据该定义可知，可识别性是个人信息的基本特征，人们可以通过个人信息直接或者间接识别出某一特定信息主体。该款规定中的“单独识别”可以理解为直接识别；“与其他信息结合识别”可以理解为间接识别，是指须与其他信息对照、组合或者联系，才能识别特定的自然人。该款规定中的“身份证件号码”是指能够证明身份的证件的号码，包括身份证号码、港澳通行证号码、护照号码、驾驶证号码等。“生物识别信息”是指自然人的脸部特征、指纹、掌纹、虹膜、声音、基因、步态等可识别特定自然人的生理与行为特征信息。目前，随着人工智能、大数据技术的发展，生物识别信息的收集与处理越发显得重要。与电话号码、电子邮箱等相对易于改变的个人信息相比，生物识别信息基本不可改变。生物识别信息一旦被非法收集、泄露或者被非法买卖，无法通过改变的方式来避免后续损害的发生。“健康信息”包括因体检或者医疗等获得的有关个人身体及精神状况的信息。按照该定义，除列举的部分个人信息外，常见的个人信息还包括：家庭亲属信息、财务信息等。个人信息的内容和范围具有开放性的特点，技术的发展促成了个人信息的深度挖掘，个人信息的内容和范围呈现出扩大的趋势。实践中，某一信息是否属于个人信息应当围绕定义，抓住可识别性的基本特征进行判断。同时，应当考虑技术发展的特点。

二、个人信息与私密信息的关系

结合《民法典》第1032条第2款关于隐私的定义可见，个人信息与个人隐私存在交叉关系，个人信息中的私密信息同时属于个人隐私。对于哪些个人信息属于私密信息，哪些不属于私密信息，实践中存在一定的争议。一般而言，对于涉及公共管理需要，在一定范围内已经公开，为该范围内特定人或者不特定人所周知的个人姓名、办公电话、电子邮箱等，不宜归入隐私的范畴。根据本条规定，个人信息中的私密信息，适用有关隐私权的规定；没有规定的，适用有关个人信息保护的规定。实践中，当事人为了避免界定个人信息与个人隐私中私密信息界限的困难，防止出现因界限不清而导致可能产生保护落空的情况，极有可能针对某一个人信息同时提出隐私权保护和个人信息保护的请求。此种情况下不宜强求当事人只能选择其一，而应当分析个人信息是否构成私密信息，是否适用有关隐私权的规定进行审理，并在此基础上作出裁判。

三、需要注意的问题

根据本条第3款的规定，个人信息并非全部属于隐私，只是其中的私密信息属于隐私。在当事人针对某些个人信息同时主张属于隐私的情况下，需要对其主张是否成立进行判断，但在决定损害赔偿时，只能根据权利人所受的损失、精神损害或者侵权人获利的情况，给予一份损害赔偿。

（江建中撰写）

第一千零三十五条【个人信息处理的原则和条件】

处理个人信息的，应当遵循合法、正当、必要原则，不得过度处理，并符合下列条件：

（一）征得该自然人或者其监护人同意，但是法律、行政法规另有规定的除外；

（二）公开处理信息的规则；

（三）明示处理信息的目的、方式和范围；

（四）不违反法律、行政法规的规定和双方的约定。

个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等。

【法条链接】

《民法典》第1036条；《关于加强网络信息保护的决定》第2条、第9条；《网络安全法》第41条

【立法背景】

2012年《关于加强网络信息保护的决定》第2条规定，网络服务提供者和其他企业事业单位在业务活动中收集、使用公民个人电子信息，应当遵循合法、正当、必要的原则，明示收集、使用信息的目的、方式和范围，并经被收集者同意，不得违反法律、法规的规定和双方的约定收集、使用信息。网络服务提供者和其他企业事业单位收集、使用公民个人电子信息，应当公开其收集、使用规则。第9条规定，任何组织和个人对窃取或者以其他非法方式获取、出售或者非法向他人提供公民个人电子信息的违法犯罪行为以及其他网络信息违法犯罪行为，有权向有关主管部门举报、控告；接到举报、控告的部门应当依法及时处理。被侵权人可以依法提起诉讼。2016年《网络安全法》第41条规定，网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。网络运营者不得收集与其提供的服务无关的个人信息，不得违反法律、行政法规的规定和双方的约定收集、使用个人信息，并应当依照法律、行政法规的规定和与用户的约定，处理其保存的个人信息。《民法典》第1035条吸收了前述规定并作了优化。

【条文解读与法律适用】

一、处理个人信息应当遵循的原则

本条第1款规定，处理个人信息的，应当遵循合法、正当、必要原则，该三项原则系处理个人信息的基本原则。

合法原则，是指处理个人信息应当具有法律依据，符合法律要求，不得违法处理个人信息。合法原则要求处理个人信息的目的、方式、范围及规则等不仅应当符合法律、行政法规的规定，也应当符合双方的约定。目的合法要求处理个人信息的目的是履行职责、保护公共利益或者自然人的利益。方式合法要求处理个人信息的程序和方法应当符合法律、行政法规的规定。范围合法要求处理个人信息的范围属于处理者职责或者业务范围必需的信息，禁止超出职责或业务范围处理个人信息。规则合法要求处理个人信息的规则不能违反法律、法规的规定。

正当原则，是指处理个人信息应尊重社会公德，遵守商业道德，不能使用不正当的手段处理个人信息。正当原则要求处理个人信息的方式与手段要合适，不能不适当地加重信息提供人的负担，处理个人信息的目的要正当。违反正当原则处理个人信息的例子包括：利用个人信息对新、老顾客进行区别对待；收集、利用个人健康方面诸如 “大三阳”“小三阳”的信息，然后找其他借口对申请从事普通职业的人不予聘用等。处理个人信息是否符合正当原则，通常要基于诚实信用原则作出判断，判断者具有一定的自由裁量权。

必要原则，是指不能超出合法、正当目的所必需的范围处理个人信息，即个人信息处理的范围以能够实现合法、正当目的为限。超出合法、正当目的的限度处理个人信息构成过度处理，违反本条第1款的规定。

二、处理个人信息应当符合的条件

本条第1款第1项规定了依法和依约定处理个人信息的方式。信息处理者主张其已经征得自然人或者其监护人同意的，负有举证责任，举证不能的，承担不利的后果。

本条第1款第2项规定要求信息的处理者将处理信息的规则公之于众，以使人周知，有利于促进信息处理者制定合法的规则，同时便于公众及相关监管机关的监督，发现相应的违法行为。公开的方式包括通知、协议、指南等。根据该规定，没有公开处理信息的规则构成违法，被侵权人能够提起民事诉讼。

根据本条第1款第3项的规定，个人信息处理者应当向信息提供人明示处理信息的目的、方式和范围。公开本身不构成明示。通常情况下，明示应当以书面的方式进行。

本条第2款对属于个人信息处理范围的具体行为进行了列举，并加了兜底的“等”字，其中的传输、提供行为发生在不同主体之间，不包括同一主体内部之间例如总公司与分公司之间的行为。

三、需要注意的问题

按照本条第1款规定，个人信息原则上应当从本人或者监护人处直接收集。鉴于监护人作为本人的法定代理人，从监护人处收集相当于从本人处收集。获得本人同意或者在法律、行政法规另有规定的情况下，可以从他人处收集。关于法律、行政法规另有规定的情况，根据《民法典》第1036条第3项规定，为维护公共利益或者该自然人合法权益，合理实施的其他处理个人信息的行为，不承担民事责任。因此，符合该规定从他人处收集并进一步处理个人信息并无不当。例如，为了防疫的需要或者为了紧急保护自然人的生命、身体及财产等从第三人处收集并进一步处理必要的个人信息。

（江建中撰写）

第一千零三十六条【处理个人信息的免责情形】

处理个人信息，有下列情形之一的，行为人不承担民事责任：

（一）在该自然人或者其监护人同意的范围内合理实施的行为；

（二）合理处理该自然人自行公开的或者其他已经合法公开的信息，但是该自然人明确拒绝或者处理该信息侵害其重大利益的除外；

（三）为维护公共利益或者该自然人合法权益，合理实施的其他行为。

【立法背景】

自然人个人信息同时具备人格权益和财产权益的属性，决定了其并非绝对性的权利。《欧盟通用数据保护条例》引言部分第4条规定，个人信息保护权并非一项绝对权利，必须根据比例原则，考虑它的社会功能，并与其他基本权利平衡。处理个人信息免除民事责任情形的设定，应当考虑权利人的利益以及其他利益如公共利益等的需求，在不同的利益之间取得平衡，以免出现过分保护一方利益而忽视另一方利益的情况。《人格权编（草案）》（一审稿）第816条规定：“实施收集、使用或者公开个人信息等行为，有下列情形之一的，行为人不承担民事责任：（一）在自然人同意的范围内实施的行为；（二）使用自然人自行公开的或者其他已合法公开的信息，但是使用该信息侵害该自然人重大利益或者自然人明确拒绝他人使用的除外；（三）为学术研究、课堂教学或者统计目的在合理范围内实施的行为；（四）为维护公序良俗而实施的必要行为；（五）法律、行政法规规定的其他适当实施情形。” 《人格权编（草案）》第二次及第三次审议稿主要将上述规定第3、4、5项修改为“为维护公共利益或者该自然人合法权益，合理实施的其他行为”。

【条文解读与法律适用】

一、尊重当事人处分的原则

根据本条第1项的规定，信息的处理是在该自然人或者其监护人同意的范围内实施的，不承担民事责任，体现了对自然人处分其个人信息的尊重。自然人个人信息同时具备人格权益和财产权益的属性，个人可以许可他人使用，约定使用的方式、目的、范围等。被许可人根据约定处理个人信息，无需承担民事责任。当然，若被许可人超出了约定的范围包括约定的目的、方式等处理个人信息，则应承担相应的民事责任。信息处理者主张本条第1项规定情形的，负有举证责任。

本条第2项同样体现了尊重当事人处分的原则。自然人自行公开或者其他已经合法公开的信息，推定信息的处理者可以合理处理。例外的情形为，该自然人明确拒绝或者处理该信息侵害其重大利益的，不得对其个人信息予以处理。

二、维护公共利益或者该自然人合法权益的需要

根据本条第3项规定，免除民事责任的情形还包括为维护公共利益或者该自然人合法权益合理实施的其他行为。“其他行为”仍然属于处理个人信息项下的行为，“处理”的含义按照《民法典》第1035条第2款的规定理解。本条虽没有明确列明“国家利益”，但“公共利益”一词已经包含了“国家利益”。为维护公共利益的典型情形包括为了防疫的需要、为了维护国家安全等。该规定中“该自然人合法权益”包括自然人享有的生命、身体、财产等权利及其他合法利益。

三、需要注意的问题

本条第3项规定中的“公共利益”属于不确定性的概念，具有开放性的特点，在理解“公共利益”时，应当严格把握，不宜将其范围不当扩大，导致将非公共利益认定为公共利益，从而损害自然人的权益。

（江建中撰写）

第一千零三十八条【信息处理者的信息安全保障义务】

信息处理者不得泄露或者篡改其收集、存储的个人信息；未经自然人同意，不得向他人非法提供其个人信息，但是经过加工无法识别特定个人且不能复原的除外。

信息处理者应当采取技术措施和其他必要措施，确保其收集、存储的个人信息安全，防止信息泄露、篡改、丢失；发生或者可能发生个人信息泄露、篡改、丢失的，应当及时采取补救措施，按照规定告知自然人并向有关主管部门报告。

【法条链接】

《关于加强网络信息保护的决定》第3条；《网络安全法》第21条、第42条

【立法背景】

2012年通过的《关于加强网络信息保护的决定》第3条规定，网络服务提供者和其他企业事业单位及其工作人员对在业务活动中收集的公民个人电子信息必须严格保密，不得泄露、篡改、毁损，不得出售或者非法向他人提供。第4条规定，网络服务提供者和其他企业事业单位应当采取技术措施和其他必要措施，确保信息安全，防止在业务活动中收集的公民个人电子信息泄露、毁损、丢失。在发生或者可能发生信息泄露、毁损、丢失的情况时，应当立即采取补救措施。2016年通过的《网络安全法》第42条规定，网络运营者不得泄露、篡改、毁损其收集的个人信息；未经被收集者同意，不得向他人提供个人信息。但是，经过处理无法识别特定个人且不能复原的除外。网络运营者应当采取技术措施和其他必要措施，确保其收集的个人信息安全，防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告。《民法典》在采纳上述规定的基础上，进行了综合和提炼，作出第1038条规定。

【条文解读与法律适用】

一、信息处理者不得泄露、篡改及向他人非法提供个人信息

信息处理者掌握着大量的个人信息，这些信息能够单独或者与其他信息结合识别特定的自然人，如果任由信息处理者泄露或者篡改，将会对自然人产生不利的影响，严重的话，甚至会影响到自然人的人身安全。因此，信息处理者不得泄露、篡改个人信息。另外，个人信息也不得非法扩散，即在未经自然人同意的情况下，不得向他人非法提供个人信息。但是，如果个人信息经过加工，无法识别特定个人且不能复原的除外。实际上，根据《民法典》第1034条的规定，个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息。经过加工，无法识别特定个人且不能复原的信息已经不属于该条规定的个人信息，故列为除外情形。

二、信息处理者应当采取措施确保个人信息安全

《网络安全法》第21条规定，网络运营者应当履行下列安全保护义务，防止网络数据泄露或者被窃取、篡改：（1）制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任；（2）采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施；（3）采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于6个月；（4）采取数据分类、重要数据备份和加密等措施；（5）法律、行政法规规定的其他义务。《民法典》第1038条仅规定信息处理者应当采取技术措施和其他必要措施，确保个人信息安全，而没有列举具体的措施。在具体案件中，对信息处理者是否采取了相应的技术措施和其他必要措施产生争议时，可以根据《网络安全法》第21条的规定，综合考虑案件的情况进行认定。

本条第2款规定的补救措施，个人信息泄露的，应当采取措施防止个人信息进一步泄露；信息被篡改的，应当予以更正；信息丢失的，尽可能予以找回。有发生个人信息泄露、篡改、丢失之虞的，应当加强技术措施或者其他措施，防止此类情况的发生。

（江建中撰写）