針對隱私權和個人信息保護領域存在的突出問題，在現(xiàn)行法律規(guī)定基礎上，我國民法典各分編草案在“人格權編”中進一步強化對隱私權的保護。2019年8月22日，第十三屆全國人民代表大會常務委員會召開第十二次會議，《民法典人格權編(草案)》(三次審議稿)(下稱草案三審稿)提請審議。草案三審稿中對“隱私權和個人信息保護”章節(jié)進行了部分改動，進一步升級了對隱私權和個人信息保護，比如:將自然人的“電子郵箱地址”和“行蹤信息”納入個人信息的范圍等。筆者認為，對于“個人信息保護”中的相關內(nèi)容仍有待進一步完善，囿于篇幅本文僅談三點問題。

　　完善個人信息的定義

　　“個人信息”在我國若干立法中均有定義，草案三審稿第813條將“個人信息”定義為:“個人信息是以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人的各種信息，包括自然人的姓名、出生日期、身份證件號碼、生物識別信息、住址、電話號碼、電子郵箱地址、行蹤信息等。”與第二次審議稿不同，此次將自然人的“電子郵箱地址”和“行蹤信息”納入了個人信息的范疇。

　　筆者以為，草案三審稿有關“個人信息”的定義應當進一步加大對個人隱私信息的描述，尤其應當增加自然人的“賬號和密碼以及財產(chǎn)狀況”。賬號是數(shù)字時代的代表，公民發(fā)送郵件、網(wǎng)上購物、網(wǎng)絡游戲、電子支付等都要注冊賬號，賬號是網(wǎng)絡時代公民重要的隱私空間和信息，密碼則是自然人為了維護自己的賬戶安全，將可識別的信息轉(zhuǎn)變?yōu)闊o法識別的信息，是公民開啟其個人隱私空間的一把鑰匙。

　　網(wǎng)絡時代，大多數(shù)人的消費選擇了電子支付的方式，據(jù)中國人民銀行的數(shù)據(jù)顯示，2018年，僅銀行業(yè)金融機構處理的電子支付業(yè)務就達到了1751.92億筆，總金額達到了2539.70萬億元。網(wǎng)絡時代的電子賬號密碼就像一把金鎖，封住了公民的私密空間，幾乎成為保障公民各類賬戶安全的唯一手段，是公民最重要的隱私信息之一�？梢姡�“賬號和密碼”，尤其是涉及到金錢(財產(chǎn))的賬戶和密碼，已經(jīng)不僅僅是自然人“不愿為他人知曉”的信息，而是絕對拒絕和排斥他人知曉的私人空間和信息，這是網(wǎng)絡時代的一項絕對隱私權，應當納入“個人信息”的定義。

　　明確個人信息處理的內(nèi)涵

　　草案三審稿第814條規(guī)定:收集、處理自然人個人信息的，應當遵循合法、正當、必要原則，并應當符合下列條件:(一)征得該自然人或者其監(jiān)護人同意，但是法律、行政法規(guī)另有規(guī)定的除外;(二)公開收集、處理信息的規(guī)則;(三)明示收集、處理信息的目的、方式和范圍;(四)不違反法律、行政法規(guī)的規(guī)定和雙方的約定。

　　筆者注意到，草案三審稿中的“收集、處理自然人個人信息”的表述主要參照了網(wǎng)絡安全法第41條的規(guī)定:“網(wǎng)絡運營者收集、使用個人信息。”筆者以為，上述規(guī)定中的“收集”具有兩層含義，首先側重于“收”，其次才是“集”，“收”的含義是收攏，是一種主動的行為，對象是個人信息。

　　事實上，多數(shù)個人信息是由于個人使用數(shù)據(jù)信息平臺而在電子信息系統(tǒng)載體上留下的客觀事物的記錄，這些記錄有些是具有語意特征的“信息”，有些是沒有語意特征的“數(shù)據(jù)”。因此，建議刪除“收集”，只保留“處理”，即“處理自然人個人信息”。因為“處理”是一個過程，本身包括“收集”，即收攏和聚合個人在電子信息系統(tǒng)載體上已經(jīng)留下的個人信息(數(shù)據(jù))，同時還涵蓋了“加工、傳輸、提供、公開”等內(nèi)容。

　　筆者注意到，草案三審稿第六章專門增加了“個人信息處理”的內(nèi)容，并對具體外延進行了例舉，即“個人信息的處理包括個人信息的使用、加工、傳輸、提供、公開等”。為此，建議將第814條中的“收集”一詞并入“處理”的范疇，即“個人信息的處理包括個人信息的收集、使用、加工、傳輸、提供、公開等”。

　　完善個人信息保護的原則

　　目前，關于個人信息保護的原則基本都采用“合法、正當、必要”原則，這個原則最早以法律形式出現(xiàn)在工信部于2013年7月出臺的《電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定》第5條:“電信業(yè)務經(jīng)營者、互聯(lián)網(wǎng)信息服務提供者在提供服務的過程中收集、使用用戶個人信息，應當遵循合法、正當、必要的原則。”之后，2017年6月1日起施行的網(wǎng)絡安全法第42條采納了這一原則:“網(wǎng)絡運營者收集、使用個人信息，應當遵循合法、正當、必要的原則。”草案三審稿第814條也使用了“合法、正當、必要原則”的表述。

　　當前，移動互聯(lián)網(wǎng)應用程序(App)已經(jīng)成為移動互聯(lián)網(wǎng)信息服務的主要載體。令人遺憾的是，絕大多數(shù)App控制和處理的個人信息明顯違反“合法、正當、必要”原則，特別是觸碰了公民隱私的紅線，比如有些App在條款中稱，需要的個人信息包括用戶姓名、性別、電話號碼、郵箱、出生日期、地理位置、身份證號碼、可識別生物信息和財務信息(如信用卡卡號或銀行賬號、微信支付或支付寶賬號信息等)。

　　實踐中，我國法律確定的“合法、正當、必要”這項個人信息保護的原則，只要信息(數(shù)據(jù))主體接受了信息(數(shù)據(jù))控制者或處理者的“隱私條款”就完成了所謂的“合法”環(huán)節(jié)。事實上，多數(shù)App設置的所謂“隱私條款”完全超出“正當、必要”的范圍，尤其令人不能接受的是，如果用戶不接受其隱私條款，App的發(fā)布者則拒絕用戶安裝或使用其App。此種“只能被迫接受，否則沒法使用”的行為嚴重侵犯用戶的選擇權。

　　筆者呼吁，個人隱私和信息保護的民法原則，應當彰顯私法中的契約精神在個人信息(數(shù)據(jù))保護中的法律地位，且信息(數(shù)據(jù))控制者或處理者提供的隱私格式條款應當進行合法性審查。為此，建議草案三審稿第814條在“遵循合法、正當、必要的原則”之前增加“遵照雙方的約定”的規(guī)定，表述為:“處理自然人個人信息的，應當遵照雙方的約定，并遵循合法、正當、必要原則。草案三審稿第814條第(四)規(guī)定，“不違反法律、行政法規(guī)的規(guī)定和雙方的約定”中已經(jīng)明確了不得違反“雙方的約定”。同時，鑒于多數(shù)信息控制者“隱私條款”具有免除其責任和排除信息(數(shù)據(jù))主體主要權利的情形，建議在814條中增加一款:“信息(數(shù)據(jù))控制者或處理者提供的隱私格式條款應當進行合法性審查。”

　　(作者為南京郵電大學信息產(chǎn)業(yè)發(fā)展戰(zhàn)略研究院首席專家)