第二条 【个人信息受法律保护】

自然人的个人信息受法律保护，任何组织、个人不得侵害自然人的个人信息权益。

【释义】

本条开宗明义地宣示了个人信息受法律保护、个人信息权益不受侵害的基本原则，奠定了整部《个人信息保护法》的规范基础和逻辑起点。个人信息保护是世界各国高度关注的问题，在我国历来也受到高度重视。继2012年12月28日第十一届全国人民代表大会常务委员会第三十次会议通过全国人民代表大会常务委员会《关于加强网络信息保护的决定》之后，2013年修订的《消费者权益保护法》、2017年施行的《网络安全法》、2019年施行的《电子商务法》以及2021年施行的《民法典》均对个人信息保护作出了规定。《个人信息保护法》以专门立法的形式作出系统性具体规范，并提纲挈领地重申了个人信息保护的原则。

随着信息技术的发展和信息社会的到来，个人信息的收集、存储、加工、使用和传输能够以更加便捷高效的手段实现，这在给社会带来巨大便利的同时也给个人信息保护带来了巨大的挑战。通过个人信息可以识别自然人的身份隐私、财产状况、兴趣偏好以及其他敏感信息，个人信息的过度收集、不当使用、随意公开甚至非法转卖，都严重威胁着公民的财产利益和人格权益。将个人信息纳入法律保护，规范个人信息处理活动，确保个人信息权益不被侵犯，既是维护信息时代社会秩序的必要手段，也是保护私权的应有之义。

首先，本条的表述既是《民法典》第111条、第1034条“自然人的个人信息受法律保护”之规定的继承与延续，也是对个人信息法律保护模式的正本清源和体系拓展。在《民法典》的立法过程中，对于个人信息保护的规定一直存在“民事权利说”和“民事利益说”两种不同的看法。理论界有学者认为自然人对个人信息享有“个人信息权”，并将其视为一种新型的具体人格权。[4]但是最终《民法典》仅规定“自然人的个人信息受法律保护”，没有将个人信息上升为一项民事权利，而是将其定位为一种受保护的人格权益予以规范。[5]即从《民法典》的规定来看，自然人对其个人享有的是一种人格权益，而非公法上的权利。[6]《个人信息保护法》作为特别法并未对此进行突破，没有直接规定个人信息权，而是直接沿用了《民法典》中“自然人的个人信息受法律保护”的表述，并且明确了“个人信息权益”的概念，可以视为一种继承与延续。但是从《个人信息保护法》的立法定位来看，其在义务主体、调整范围和执行机制等方面均超越了《民法典》对个人信息作为私法权益的保护模式，[7]而是以兼具公法属性和私法属性的制度规范对个人信息予以直接且具体的保护。虽然《个人信息保护法》依然未直接确认个人信息权，但通过个人信息处理规则、个人在个人信息处理活动中的权利、个人信息处理者的义务等规范明确了个人信息处理中相关主体的行为模式和法律后果，从而能够确保自然人的个人信息权益不受侵犯。

其次，本条将个人信息保护的范围限定为自然人。个人信息概念中的“个人”即是指自然人，从语义上即将法人和非法人组织排除在外。尽管法人和非法人组织也会存在各种信息，如工商登记信息、经营信息、财务信息、技术信息等，但其中大部分信息都属于依法应予公开或自身就有必要公开的信息，例如企业的相关信息均可在企业信用信息公示系统中公开查询，公众和其他主体可以处理已进入公共领域的相关已公开信息。即便相关主体的有些信息如技术信息、客户名单等无需公开甚至相关主体采取了保密措施的可能也有受侵害之虞，但都可以通过商业秘密保护等既有规范体系予以保护，而无需将其纳入《个人信息保护法》的范畴。另外，个人信息权益属于人格权益，且为自然人所享有的具体人格权益，《民法典》并未承认法人和非法人组织也享有个人信息权益。从个人信息保护的规范意旨来看，法律对个人信息的保护旨在避免专属于自然人的人身自由、人格尊严等人格权益受到侵害。将法人和非法人组织纳入个人信息保护的范畴既不现实，也无必要。

再次，“任何组织、个人不得侵害自然人的个人信息权益”强调的是法律对个人信息权益的普遍性保护，即禁止任何权利/权力属性的主体以任何理由对自然人的个人信息权益实施不法侵害。在现实中，自然人参与社会活动或使用相关主体提供的产品或服务时需要提供个人信息，这些个人信息的提供是否必要、个人信息是否可以收集和存储、个人信息将在何种程度和多长期间被使用、个人信息是否会被提供给第三方等，往往超出了自然人知悉和控制的范畴，从而会损害自然人的个人信息权益。保护个人信息，必须要对加害个人信息权益的行为予以禁止。一方面，任何性质的组织和个人都不得侵害个人信息权益。不论是政府这样的公权力主体，还是社会组织这样的团体权力主体，以及企业、个人这样的私权利主体，都不得超出法律规定的限度，以履行职权、提供服务或其他理由侵害个人信息权益。另一方面，任何组织和个人既不能公开地侵害个人信息权益，也不得暗地私下侵害个人信息权益。禁止明目张胆地公开实施加害行为自不待言，以不为个人信息权益主体所知悉的方式和手段暗地私下地实施加害行为也必须予以禁止。在大数据时代，个人信息数据的处理通常具有较强的隐蔽性，这就导致自然人对其个人信息权益加害行为的感知不足，但这并不能成为放任这种违法加害行为的理由，只要是发现存在侵害个人信息权益的行为，都应该予以坚决禁止并要求加害主体承担相应的法律责任。再一方面，任何组织和个人都不能基于其优势地位强制或者诱导自然人让渡或放弃个人信息权益。实践中大量存在有些主体借助其与作为规制对象或服务对象的自然人之间的不对等地位，要求自然人超出必要范围提供个人信息或者对个人信息处理进行概括授权的现象，如App在隐私协议中设置霸王条款，若用户不概括同意即拒绝提供服务，同时也存在有些主体在个人信息处理授权中采用模糊性表达或者不突出显示的方式诱导缺乏相关知识和意识的用户进行盲目授权的现象。这些行为都构成了对个人信息权益的侵害。

最后，本条规定是个人信息保护的原则性规定，构成了个人信息保护的“一般条款”。从立法体系上看，本条规定是整部《个人信息保护法》的核心意旨和基本原则，《个人信息保护法》中相关规范都是围绕本条规定所作的具体设置，其目的均为对个人信息提供充足且有力的法律保护。从法律适用上看，本条规定可以作为一般条款为个人信息的法律保护提供底线支撑。不得否认，立法的滞后性与侵害个人信息权益行为的不可预见性之间存在矛盾，随着时代的发展以及技术的变迁，未来社会将出现何种形式的侵害个人信息权益的行为并不总是能够完全地提前预判。当《个人信息保护法》中的具体规范不足以有效规制侵害个人信息权益的行为时，本条规定可以发挥其原则性和灵活性的优势，结合司法机关和执法机关的自由裁量权，通过其适用为个人信息保护筑起最后一道防线。

【关联规定】

《中华人民共和国民法典》第111条、第1034条

（撰稿人：袁康）