十二届全国人大五次会议表决通过了《中华人民共和国民法总则》（以下称“民法总则”），民法总则是民法典编纂首期工程，在我国民事立法史上具有里程碑式的意义。民法是市场经济的基本法，是社会生活的基本法，也是公民权利的保障法。按照全国人大的立法计划，民法总则通过之后，将编纂民法分则各编。

　　作为民法典的总纲，民法总则规定了民法基本原则和适用于民法典各分编的一般规则。实际上“民法”（Civil Law）最准确的定义应该是“市民法”，我国一直沿用“民法”的称谓基本上是沿用日本学者不确切的翻译所致。如果用一句话来描述民法总则，可以概括为：民法总则是一部以民事权利为核心的市民法总规则。

　　民法最基本的法律功能在于对公民民事权利的确认和保护，即强调对私权的充分保护。民法总则确认了民事主体所享有的人格权，通过对人格权的保护而实现对民事主体人格的充分尊重，同时民法赋予了主体广泛的财产权利，如债权、物权、知识产权、继承权等等，并为这些权利提供了充分保护。笔者认为，民法总则是一部公民权利法的总纲，其中一个突出的亮点是首次从民事权利的层面提出个人信息权，并明确了个人信息权保护的基本行为规范。

　　民事权利的基本分类

　　民事权利是民事主体依法享有并受法律保护的利益范围或者实施某一行为以实现某种利益的可能性。一项民事权利大致有三层含义：一是民事权利是民事法律关系的主体享有的利益范围或者为某种行为的可能性；二是民事权利是权利主体要求他人实施某种行为或者不实施某种行为，以实现其利益的可能性；三是在其权利受到侵害时，权利主体有权请求国家机关予以救济。

　　民法总则中的民事权利主要设定为财产权和人身权两大类，其中财产权主要涉及直接体现财产利益的民事权利，比如物权、债权、继承权，以及知识产权中的财产权利等；人身权一般不直接具有财产内容，主要是与民事主体人身不可分离的权利，包括人格权和身份权。人格权主要指民事主体依法享有的维护其人格尊严不受侵犯的一种民事权利；身份权是指民事主体基于特定的身份而享有的维护一定社会地位和社会关系的权利。两者最大的区别在于，人格权不仅可以由自然人享有，法人也可以享有，如民法总则第110条规定，自然人享有生命权、身体权、健康权、姓名权、肖像权、名誉权、荣誉权、隐私权、婚姻自主权等权利。法人、非法人组织享有名称权、名誉权、荣誉权等权利；而身份权主要是基于亲属法上的身份关系所产生的，因此，只有自然人才能享有，如民法总则第112条规定，自然人因婚姻、家庭关系等产生的人身权利受法律保护。

　　公民信息权的法律属性

　　关于个人信息权的法律属性一直存在较大争议，主要有三种观点，即个人信息权人格权说、个人信息权财产权说和个人信息权人格权与财产权混合说。笔者以为，以上三种观点均不能说明网络时代公民信息权的法律属性。

　　首先，人格权作为基于人的存在而产生的权利，只要自然人出生、法人成立，无需任何意思表示或经过特别授权，就当然取得并受到法律保护，其实质是国家通过法律赋予的一种资格。

　　其次，财产权是与人身权相对应的权利，广义的财产权，包括物权、债权和知识产权，但一般意义上的财产权主要指物权。民法总则第113条规定，民事主体的财产权利受法律平等保护；第114条规定，民事主体依法享有物权，权利人依法对特定的物享有直接支配和排他的权利，包括所有权、用益物权和担保物权。

　　网络时代，海量的数据和信息以聚合形式存在于社交网络、电子商务、移动智能终端等网络平台，特别是一些大型的网络运营商已经形成对个人数据和信息的实际控制和垄断，公民作为数据内容的主体完全不能控制自己的个人数据和信息，根本无法了解自己的信息和数据在何时、何地、被何人、以何种方式非法收集、使用、加工、传输。对此，民法总则第111条规定，自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的，应当依法取得并确保信息安全，不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息。尽管民法总则并没有就“个人信息权”作出法律定义，但可以清晰地看出民法总则确定的“个人信息权”，其保护的核心不在于“个人信息”本身，而重点在于如何规制第三人对公民个人信息的收集、使用、加工、传输等行为。因此，公民行使信息权利的基础，是基于公民作为信息内容的主体有权决定其个人信息在何时、何地及以何种方式被何人收集、使用、加工和传输。

　　公民信息权保护的法律边界

　　在网络时代，“信息”（Information）和“数据”（Data）是使用频率最高的两个词汇，经常被许多政府规范性文件甚至法律视为同一概念。目前在各国的个人信息保护立法中，多数国家将“个人信息”视为“个人数据”。如欧盟《个人数据保护指令》第2条（a）规定，个人数据，指“与一个人身份已被识别或者身份可以识别的自然人（数据主体）相关的任何信息”；法国《数据处理、数据文件及个人自由法》第2条第1款规定，个人数据，指“可以通过身份证号码、一项或多项个人特有因素被肢解或间接识别的自然人相关的任何信息”；德国《联邦数据保护法》第3节规定，个人数据，指“任何关于一个已识别的或者可识别的个人（数据主体）的私人或者具体状态的信息”。可见，以上国家立法中的所谓“个人数据”实质上是个人的“网络信息”或“电子信息”。

　　笔者认为，网络法中的“个人数据”与“个人信息”有所不同，前者是附着在电子信息系统载体的客观事物记录，是未经过处理的个人原始记录，其不能脱离电子信息系统载体而独立存在，如个人体检在医院电子信息系统留下的原始记录；后者是指数据经过加工处理后，形成的具有使用价值的内容——信息，可以脱离电子信息载体而独立存在，如个人体检的电子数据经过医生的分析和系统的处理，形成的具有使用价值的体检报告，其存在的形式可以是电子状态，也可以是纸质状态。由此可以得出：个人信息＝个人数据＋分析处理。

　　个人信息保护的目的，在于保护具有使用价值的个人信息，而不是所有的个人数据。因此，我国网络安全法和民法总则均采用了“个人信息”的表述，特别是网络安全法第76条中对“网络数据”和“个人信息”的含义专门进行了文意解释：“网络数据，是指通过网络收集、存储、传输、处理和产生的各种电子数据”；“个人信息，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。”

　　笔者认为，在个人信息权的内涵中，国家重点保护的是涉及公民隐私权的个人信息，《全国人民代表大会常务委员会关于加强网络信息保护的决定》（下称《决定》）第1条明确规定，国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息。但是这类个人信息权保护的基础一定要体现“合法性”，而“合法性”的前提应该是“个人知情和同意”。对此，我国民法总则并没有明确提出个人信息收集、使用、加工、传输以“同意”为前提，只是禁止性规定“不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息”。

　　笔者以为，民法总则中的“非法”主要指违反网络安全法、《决定》等有关保护个人信息的专门规定，比如以上法律规定均明确要求收集、使用个人信息必须经被收集者“同意”。网络安全法第41条规定，网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意；《决定》第2条规定，网络服务提供者和其他企业事业单位在业务活动中收集、使用公民个人电子信息，应当遵循合法、正当、必要的原则，明示收集、使用信息的目的、方式和范围，并经被收集者同意，不得违反法律、法规的规定和双方的约定收集、使用信息。由此，我国民法总则对个人信息权保护的基础是合法原则，而“合法”的前提也充分体现了“个人同意”原则。笔者以为，个人信息权保护边界的基本要义是在确保公民人格权和隐私权不受非法侵害的基础上，促进个人信息资源在合法、正当、必要的法定原则基础上进行合情、合理、合法的开发和利用。

　　民法总则明确对个人信息权的保护，这对于保护公民的人格尊严，使公民免受非法侵扰，维护正常的社会秩序具有重要的现实意义，网络运营者和其他商业机构必须严格尊法、守法。目前，网络运营者和其他商业机构对个人信息的收集、使用、加工、传输，已经到了公开化、常态化、系统化阶段，且具有明显的经济目的，违反了合法、正当、必要的法定原则，侵犯了公民的信息权和隐私权。因此，个人信息权是公民在网络时代享有的一项重要民事权利，任何组织和个人均不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人的个人信息。

　　（作者为南京邮电大学信息产业发展战略研究院院长、教授）