一、隐私权和个人信息的由来与立法演变 

      隐私权最初由美国学者沃伦与布伦迪斯在《哈佛法律评论》发表的《隐私权》一文中提 出，他认为，隐私权之所以值得保护，是因为它体现了个人的自决、自我控制、尊重个性和 人格发展的价值【1】。因此，隐私权最初创设的目的是为了维护人格尊严和生活的安定，主 要表现为某些信息不希望公开从而被他人打扰。从这个角度讲，隐私权是带有精神属性的人 格权，财产属性不突出。

      关于什么是隐私权，全国人民代表大会常务委员会法制工作委员会在其编辑的《侵权责 任法立法背景与观点全集》[M]一书中指出，所谓隐私权，是指自然人享有的生活安宁和个 人信息保密的权利，个人生活不被他人非法侵扰、知悉、搜集、利用和公开【2】。《民法总 则》第五章“民事权利”第一百一十条虽然明确自然人享有隐私权，但没有对隐私权作出定 义。民法典第一千零三十二条规定，“自然人享有隐私权。任何组织或者个人不得以刺探、 侵扰、泄露、公开等方式侵害他人的隐私权。隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。” 个人信息则系大数据时代的产物。个人信息的法律保护最初产生于德国【3】。因为通过个人信息可以确定自然人身份，因此个人信息最初与人格利益密切相关。国对个人信息的保 护，最早见于《消费者权益保护法》(2013 年修正)【4】，其与人格尊严、人身自由等人格 利益相并列，但未单独设权。《民法总则》第一百一十一条规定，“自然人的个人信息受法律 保护”，但对个人信息并无明确定义。2017 年 6 月 1 日施行的《网络安全法》第七十六条 将个人信息定义为“以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个 人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别 信息、住址、电话号码等”。

 二、隐私权与个人信息权的区别与交叉 

    民法典第一千零三十四条第三款规定，“个人信息中的私密信息，适用有关隐私权 的规定;没有规定的，适用有关个人信息保护的规定。”由此可见，隐私权与个人信息权既 有区别，又有交叉。

    1、隐私权与个人信息权的区别

 两者的区别具体表现为如下方面: 

     (1)两者的内涵和表现形态不同。隐私权定义重点在于“自然人的私人生活安宁和不 愿为他人知晓的私密空间、私密活动、私密信息”，其核心在于“私密性”，隐私不限于信 息的形态，它还可以以个人活动、个人私生活等方式体现，且并不需要记载下来;而个人信 息定义重点在于“以电子或其他方式记录的能够单独或者与其他信息结合识别特定自然人 的各种信息”, 它必须以固定化的信息方式表现出来，通常需要记载下来，或者以数字化的 形式表现出来，其核心在于“可识别性”【5】。

     (2)两者的精神属性不同。隐私权主要是一种精神性的人格权，虽然可被利用，但其 财产价值并非十分突出。因隐私权主要体现的是人格利益，故侵害隐私权也主要导致的是精 神损害;而个人信息权在性质上属于一种集人格利益与财产利益于一体的综合性权利，并不 完全是精神性的人格权，既包括精神价值，也包括财产价值。对于一些名人的个人信息而言， 甚至主要体现为财产价值【6】

     (3)两者的能动性不同。隐私权是一种消极的、防御性的权利，在权利遭到侵害之前， 权利人无法积极主动地行使权利，而只能在遭受侵害的情况下请求他人排除妨害、赔偿损失; 而个人信息权除被动防御之外，个人信息即使未受到侵害，权利人也有权请求行为人更改或 删除其个人信息，因此，个人信息权也是一种能动的、积极的控制权和利用权【7】。

     (4)两者的权利内容不同。隐私权的权利内容主要是维护个人生活的安宁和个人的秘 密不被公开，而个人信息权的权利内容主要是维护个人信息的支配和自主决定权。

     (5)两者的侵权行为表现不同。侵犯隐私权的行为方式主要表现在对私人生活安宁的 侵扰(如骚扰电话、私闯住宅)和对私人秘密的侵犯(如窃听他人隐私、处理他人的私密信 息);侵犯个人信息权的行为主要表现在未依法处理个人信息(如未按约定的方式和范围获 取、使用个人信息，未按要求删除或修改个人信息)及信息处理者违反安全保障义务，导致 个人信息被泄露、篡改或丢失【8】。

     (6)承担民事责任的方式有不同之处。两者均属人格权，因此侵犯隐私权和个人信息 权均可要求侵权行为人停止侵害、排除妨碍、消除危险、消除影响、恢复名誉、赔礼道歉等。 对权利人造成精神损害的，无论是违约行为还是侵权行为，都应承担精神损害赔偿责任，遭 成损失的，还应赔偿经济损失。但是具体到隐私权和个人信息权的案件中，侵犯隐私权的行 为一般不涉及经济损失的赔偿责任，但是对个人信息的侵犯通常会涉及到经济损害的赔偿。

     2、隐私权与个人信息权的相似、交叉

 隐私权与个人信息权的相似、交叉表现在如下方面: 

     (1)两者都是人格权，权利主体都仅限于自然人，不包括法人。从权利功能来看，隐 私权主要是为了保护公民私人生活的私密性和安宁。因此，隐私权的主体应当仅限于自然人。 法人所享有的商业秘密是作为财产权的内容加以保护的，法人不享有隐私权。个人信息指自 然人的姓名、性别、年龄、民族、婚姻、家庭、教育、职业、住址、健康、病历、个人经历、 社会活动、个人信用等足以识别该自然人的信息，这些信息能直接或间接指向某个特定的个 人，即具有可识别性，因此，个人信息的权利主体也仅限于自然人。尽管法人可能实际控制 个人的相关信息，但是其并非个人信息权的权利主体。另外，法人作为权利主体的信息资料 不具有人格属性，侵害法人信息资料不是通过个人信息权而应通过知识产权法或反不正当竞 争法予以保护。【9】

     (2)两者在客体上具有交叉性。一方面，许多未公开的个人信息本身就属于隐私的范 畴。事实上，很多个人信息都是人们不愿对外公布的私人信息，是个人不愿他人介入的私人 空间，不论其是否具有财产价值，都体现了一种人格利益。另一方面，部分隐私权保护的客 体也属于个人信息的范畴。数字化技术的发展使得许多隐私同时具有个人信息的特征，如个人通讯隐私甚至谈话的隐私等，都可以通过技术的处理而被数字化，从而可能因具有身份识 别的特征而被纳入个人信息的范畴。因此，民法典第一千零三十四条第三款才规定“个 人信息中的私密信息，适用有关隐私权的规定;没有规定的，适用有关个人信息保护的规定”。

     (3)两者侵害后果存在竞合。一方面，随意散播具有私密性特征的个人信息，可能也 会同时侵犯隐私权。另一方面，侵权人多采用披露的方式侵害个人信息，这与侵害隐私权的 方式非常类似。

     (4)两者民事责任存在竞合。侵犯隐私权和个人信息权都侵犯了自然人的人格权，因 此人格权的侵权责任对两者均适用。此外，根据民法典第九百九十七条的规定，权利人 还可依法向人民法院申请采取责令行为人停止有关侵权行为的措施。

      三、司法实践由“一元化”向“二元化”转变及对用人单位劳动用工的影响

      1、隐私权和个人信息的“一元化”时代

在 2017 年《民法总则》施行以前，劳动法司法实践中个人信息权是纳入隐私权进行一 元化保护的。例如，在(2015)二中保民终字第 65 号判决中法院认为，“隐私权是指自然 人享有的对于私人生活和活动领域的信息等内容不受他人干涉的人格权，法律保护的公民的 隐私权需与公共利益、群体利益无关。本案中，黄培因刑事犯罪行为被判处刑罚是客观事实， 该事实已被人民法院的刑事判决书所确认。人民法院的生效法律文书不但具有法律拘束力， 同时也具有向不特定的社会公众公开的法律公示力，是与公共利益和群体利益相关的信息， 因此该信息不属于隐私范畴。”【10】又如在(2016)皖 0191 民初 3181 号判决中法院认为， “集友包装公司在新安晚报刊登的声明中注明了胡龙旵的身份证号码、手机号码、住所，该 行为确有不当，公民的身份证号码、电话、住址属公民广义隐私权的一部分，集友包装公司 不当使用其掌握的胡龙旵的个人信息，确有可能构成侵犯胡龙旵的隐私权。”【11】可见，身 份证号等个人信息是作为隐私来保护的。

      2、隐私权和个人信息由“一元化”向“二元化”的转变趋势

《民法总则》施行后，司法实践中开始区分隐私权和个人信息，呈现出由“一元化”向 “二元化”转变的趋势。例如，在(2019)浙 0206 民初 1570 号判决书中法院认为，“自然 人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的，应当依法取得并确保 信息安全，不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开 他人个人信息。本案中，被告未经原告同意，擅自将原告的个人信息录入在税收系统中，被 告通过非正常途径收集、使用原告个人信息的行为侵犯了原告的民事权利”，并据此判决被告用人单位赔偿劳动者经济损失 5000 元。【12】。又如在(2019)苏 08 民终 3198 号判决书 中法院认为， “隐私权是自然人享有的对其个人的、与公共利益无关的个人信息、私人活 动和私有领域进行支配并排除他人干涉的一种人格权。而公民身份号码是每个公民唯一的、 终身不变的身份代码，属于一般性的个人信息。在无其他特殊规定的情况下，一般性的个人 信息不属于隐私权的保护范围。本案中，被上诉人在公告中刊登公民身份号码的目的是确定 被解除劳动关系以及领取经济补偿金的对象，并非侵犯上诉人隐私权的行为。故上诉人主张 被上诉人在公告中刊登其公民身份号码、侵犯其隐私权的上诉理由，本院不予支持。”【13】 可见，司法实践已将个人信息从隐私中分离开来。

      3、司法实践中隐私权和个人信息向“二元化”转变对用人单位劳动用工的影响

《民法总则》只是原则性地规定了隐私权和个人信息受保护，但对个人信息的处理、个 人信息与隐私权的关系、主体对个人信息的权利以及侵犯个人信息和隐私权的法律责任等都 没有作进一步的规定。《网络安全法》虽对隐私权和个人信息保护有较为详细的规定，但主 要指向网络运营者或网络服务提供者，其主体范围有限。而民法典列明了隐私权和个人 信息的定义及禁止侵害他人隐私权的行为，明确了处理个人信息应遵循的原则和条件，构建 了自然人与信息处理者之间的基本权利义务框架，确立了处理个人信息不承担责任的情形， 合理平衡了保护个人信息与维护公共利益之间的关系，做出了对隐私权和个人信息保护的具 体明确规定。从用人单位劳动用工管理角度看，这些规定为用人单位提供了个人信息保护的 准则，但同时也是用人单位用工管理的红线，一旦逾越就有可能引发人格权民事争议。

一般而言，个人信息的范围较隐私广，与侵犯隐私权相比，劳动者对用人单位个人信息 泄露侵权的举证相对简单容易。随着个人信息保护的强化，因个人信息泄露等而引发争议的 数量必然会在人格权纠纷案件中大幅上升，也将会成为用人单位劳动用工管理上的新风险 点。因是劳动合同的履行引起的争议，且有可能涉及财产请求事项，今后有无可能成为诉讼 成本最低的劳动争议的受理范围，也值得研究和关注。

此外，尽管 2017 年后，司法实践中出现隐私权和个人信息向“二元话”转化的趋势， 但一些法院仍存在将个人信息纳入隐私权进行保护的做法，特别是针对某些个人信息与隐私 不易区分的案件，有些法院仍将未合理处理个人信息的行为认定为侵犯劳动者隐私权。例如， 在(2018)京 0105 民初 2738 号判决书中法院认为:“身份证号系与个人的身份密切相关的 信息，学集公司作为孙蕾的用人单位应合理合法的持有和使用该身份信息。其向孙蕾寄送相 关的函件已经在封面的快递单上记载了文件的具体名称，完全没有必要将含有个人信息的通 知原件粘贴与信封外部，该种邮寄方式显属不当，已经侵犯了孙蕾的隐私权......”。【14】另外，针对用人单位是否合理使用其依法获取的劳动者个人信息，法院通常不会考虑劳动者的 职位、信息处理的规则、双方协商一致等因素，认定偏向笼统和原则，有待民法典生效 后，在司法实践中形成更为细致、全面的认定规则，通过司法解释的出台使裁判口径更趋向一致。

      四、隐私权和个人信息界分对企业用工管理的深刻影响 

任何权利都应当受到限制，隐私权和个人信息权也不例外。用人单位的经营管理权受《公 司法》保护，且《劳动合同法》第八条也明确规定，“用人单位有权了解劳动者与劳动合同 直接相关的基本情况，劳动者应当如实说明”。从劳动者提交简历、资料、面试、发录用通 知到签劳动合同，双方建立劳动关系，劳动者主观上都愿意服从用人单位的管理，让渡自己 的部分隐私权和个人信息权。在用工管理过程中，用人单位不可避免地会获取、使用劳动者 的一些隐私和个人信息，这在法律上也有正当性。但是，用人单位的这种权利是受《民法总 则》(2021 年 1 月 1 日废止)、民法典(2021 年 1 月 1 日起施行)限制的，如果滥用劳 动者隐私和个人信息或疏于管理泄露，都会引发民事法律责任。民法典对隐私权与个人 信息的界分和详细规定，会加速司法实践中隐私权与个人信息由“一元化”至“二元化”的 转化，也必将对用人单位处理和保护个人信息的行为产生影响。对此，企业应采取什么举措 降低风险呢?

      1、健全个人信息保护制度和管理流程

      民法典第一千零三十五条规定，“处理个人信息的，应当遵循合法、正当、必要原 则，不得过度处理，并符合下列条件:(一)征得该自然人或者其监护人同意，但是法律、 行政法规另有规定的除外;(二)公开处理信息的规则;(三)明示处理信息的目的、方式和 范围;(四)不违反法律、行政法规的规定和双方的约定。个人信息的处理包括个人信息的 收集、存储、使用、加工、传输、提供、公开等。”

      建立劳动关系后，用人单位在管理过程中会收集许多与劳动者相关的个人信息，如出勤 记录、病假信息、工资记录、处分记录、行踪信息、指纹或头像等生物信息、手机号、家庭 成员信息等。用人单位对以上这些信息进行加工，又会产生二次信息。这些信息有些与隐私 有关(如手机号、健康状况)，有些虽不涉及个人隐私，但根据民法典的规定，即结合 起来也能够确认劳动者的身份，就属于个人信息的保护对象(如姓名、性别、办公用电话号 码等)。那么用人单位在收集、存储、使用、提供或公开这些信息时，是否均需要向劳动者 说明收集目的、处理方式、范围、规则，经过劳动者的同意呢?这无疑是对用人单位整个用 工管理秩序的一个巨大挑战。试想，因业务需要为劳动者制作工卡、印制名片等均需说明目 的、征得同意会增加多少管理成本。第三方介入的绩效评估等服务、派遣公司向第三方派遣 劳动者涉及个人信息提供的行为也会受到以上原则和条件的限制。因此，为了降低管理成本 和法律风险，建立和完善劳动者个人信息保护管理制度可以说迫在眉睫。就此，我们建议如下: (1)对本单位在经营管理中(包括但不限于人力资源管理)收集、使用、提供、公开劳动者信息的情形进行全面梳理和具体分类，对个人信息和隐私的信息进行界定，列明清单; (2)劳动者个人信息收集、存储、使用、加工、传输、提供、公开等处理行为的原则、目的、方式和范围等作出明确规定; (3)让劳动者定期签署个人信息收集及使用确认书，由劳动者确认本人提交至用人单位以及用人单位通过合法渠道获取的个人信息中哪些属于隐私信息，个人信息及隐私信息的 授权使用目的、方式、范围、方式及免责;      

      (4)为避免引发争议，用人单位在使用劳动者个人信息时需确认是否超出劳动者确认 书授权范围及是否违反法律禁止性规定，避免引发争议【15】;

      (5)为降低规章制度制定程序上的合规风险，劳动者个人信息保护管理制度的制定和 修改按《劳动合同法》第四条二款规定的程序履行，进行民主协商、公示并由劳动者签收。

      2、强化对劳动者个人信息安全保护及技术措施

      民法典第一千零三十八条的规定，“信息处理者不得泄露或者篡改其收集、存储的 个人信息;未经自然人同意，不得向他人非法提供其个人信息，但是经过加工无法识别特定 个人且不能复原的除外。”民法典拓展了个人信息安全保护义务的主体范围，用人单位作 为信息处理者应当履行该义务，建立相应的信息安全保护制度，并确保个人信息不被泄露、 篡改、丢失，在加强个人信息安全保护管理措施的同时强化个人信息保护的技术措施和其他 必要措施，确保劳动者个人信息的安全。

      3、区分情况，妥善应对来自劳动者的查阅、复制、删除个人信息的要求

      民法典第一千零三十七条规定，“自然人可以依法向信息处理者查阅或者复制其个 人信息;发现信息有错误的，有权提出异议并请求及时采取更正等必要措施。自然人发现信 息处理者违反法律、行政法规的规定或者双方的约定处理其个人信息的，有权请求信息处理 者及时删除。”劳动者提出查阅、复制、删除在劳动合同履行期间收集或形成的个人信息请 求时，用人单位应区分个人信息中是否涉及用人单位保密信息，分情况区别应对:如果不涉 及用人单位保密信息，应当配合劳动者，许可查阅、复制;如果涉及用人单位保密信息、第 三方保密信息或者其他劳动者的个人信息，应对这些保密信息或其他劳动者个人信息进行脱 密处理后许可查阅、复制。采取脱密处理措施将损坏信息完整性，或者脱密措施造成的损害 超过了劳动者查阅、复制信息的正当性、合理性、必要性，或劳动者拒绝采取脱密措施的， 用人单位有权拒绝劳动者的查阅、复制请求(最好将用人单位的该拒绝权写进用人单位个人 信息保护管理制度里)。用人单位对劳动者个人信息处理行为符合法律规定、规章制度规定 或双方约定的情形，劳动者要求删除个人信息的，用人单位当然也有权拒绝。

      五、强化隐私权和个人信息保护对互联网平台企业意义重大

      随着互联网和大数据技术的发展，数据共享逐渐成为一种重要的数据利用方式，也是数 据流通和数据产业发展的重要基础。数据共享概念主要是在机构、平台层面上使用，它是指 不同机构、平台之间的数据交换。因此，数据共享可能会造成个人信息被不当使用，甚至造 成信息的泄露，给信息权利人带来损害。这就使得强化个人信息保护，降低劳动用工风险显 得尤为重要。

      1、数据共享中强化个人信息保护的必要性

规范数据共享行为，强化对个人信息权利保护的必要性主要在于【16】: (1)大量共享数据中涉及个人的隐私和信息，甚至涉及个人的核心隐私和敏感信息; (2)数据共享必然包括个人信息的收集和传输行为，一旦运作不规范，就会出现数据

的收集、传输失控，其结果会导致大量的个人信息遭受不当使用，甚至是泄露、侵权; (3)共享本身是对个人信息的再利用，被共享者获得了这些信息数据后，还可能对信 息数据进行再次加工、利用，甚至再次进行共享，而数据共享中的个人信息仍然属于信息权利人，会使本来存在的潜在泄露侵权或违约风险进一步扩大。

      2、数据共享中个人信息泄露的风险防范

降低、避免个人信息共享法律风险的防火墙就是获得信息权利人的书面同意或授权，对 此，结合互联网企业的特点，参考著名法学家的见解17，我们建议如下:

      (1)要制定通俗易懂的个人信息保护政策及个人信息收集使用规则，并在用户访问 APP 或者网站上突出显示，在访问人提供个人信息前设置个人信息使用和必要限度内共享 的授权同意页面，最好能通过第三方认证机构进行电子签名存档留证;

      (2)既包括标准劳动关系劳动者，也包括非全日制、劳务派遣、借用、外包、专包、 众包等灵活用工对象，数据共享一旦涉及劳动者个人信息，则应当获得信息权利人的书面同 意，防止在数据共享及与第三方服务商就灵活用工的报酬发放、代缴税款等操作上的信息泄 露和侵权风险;

      (3)在收集、利用个人信息时应当取得信息权利人的授权，数据共享也应当取得信息 主体单位的特别授权;

      (4)在规范数据共享时应当严格限制概括授权条款的运用。个人信息与信息主体人格 利益之间联系紧密，概括授权委托可能会造成信息主体对于个人信息的完全失控，从而带来 超出其合理预期的影响;

      (5)数据共享行为应当严格限定在授权的范围内。除信息主体对被共享者有特别授权 外，被共享者对相关信息所享有的权利不得超出信息共享者权利的范围;要使信息权利人控制信息共享的过程，信息共享者应当在授权范围内共享信息; (6)数据共享遵循合法、正当、必要、最小化使用的原则，尤其是个人信息的搜集、使用和共享还应当遵循“最小化使用原则”，即在从事某一特定活动时可以使用、也可以不 使用个人信息时，要尽量不使用;在必须使用并征得权利人许可时，要尽量少使用。此外， 数据共享过程中还应当尊重信息权利人的其他相关权利;