“中午吃饭的时候，我和同事抱怨了几句最近脱发严重。当我再点进一些购物APP，就给我推荐防脱洗发水了。”北京姑娘王心雨吐槽道，有一种生活被“偷窥”的感觉，太没有安全感了。

疫情防控期间，为了及时追踪相关人员轨迹、精准防控，出入社区、车站、道路卡口以及商场、超市、药店等公共场所，扫码登记、填写个人信息成为常态。据公安部4月15日发布的统计数据，新冠肺炎疫情发生以来，全国公安机关已对1522名网上传播涉疫情公民个人信息的违法人员进行了治安处罚。

大数据时代，人们在感受便利的同时，常常觉得自己好像变成了“透明人”：源源不断的垃圾短信、APP的各种精准广告推送、不分昼夜的骚扰电话……只要你一接听，对方甚至能准确报出你的姓名、年龄和家庭住址。

“完善个人信息法律保护已经迫在眉睫。”全国人大代表、上海社会科学院副院长张兆安对记者说，随着现代网络信息技术的飞速发展，个人信息被大规模、自动化收集和存储变得越来越普遍，几乎无处不在、无时不在。“一旦这些海量的数据因保管不善被泄露，将有犯罪分子利用非法取得的个人信息对受害人进行精准诈骗或者实施其他违法犯罪行为，很容易对公民的人身、财产安全构成严重威胁。”

新颁布的民法典回应社会关切，在个人信息保护方面取得重大进步。总则编第111条规定：自然人的个人信息受法律保护。任何组织或者个人需要获取他人个人信息的，应当依法取得并确保信息安全，不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息。

除了在总则编作出原则性规定之外，民法典还在人格权编设立“隐私权和个人信息保护”专章，通过第1034条至第1039条6个条文对个人信息作出更加周全的保护。具体内容涵盖个人信息定义、处理原则和要求、权利人享有的权利和信息处理者的安全保障义务，以及国家机关及其工作人员的保密义务等多方面。

对隐私权和个人信息加以区分保护，是民法典的一大进步。根据民法典第1034条的规定，个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息，包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。

“可识别性是个人信息的核心要件。”权威部门相关负责人解释称，“可识别”意味着通过该信息可以直接或者间接将某一自然人“认出来”。此外，具有一定的载体是个人信息的形式要件，即个人信息必须以电子或者其他方式记录下来，并且个人信息的主体只能是自然人，法人或者非法人组织不是个人信息的主体。

现实生活中，除了法条列举的保护范围，个人消费信息、网络浏览记录、上网时间记录等是否属于受保护的个人信息类别呢？

最高人民法院相关业务庭室负责人表示，个人信息类型众多，法条中列举的具体个人信息只是最为典型也最为常见的类型，现实生活中的具体个人信息远不止法条列举的类型。个人消费信息、网络浏览记录、上网时间记录等信息虽然不能直接体现具体的信息主体是谁，但可以反映该信息主体以何种方式从事了何种行为，还可以分析其兴趣爱好、消费能力等，进而通过数据分析为个人提供个性化服务等，因此具有身份识别属性，属于新型个人信息类型。

那么，个人信息遭到泄露，自身利益受侵犯，我们将如何维权呢？

“民法典保护自然人对个人信息享有的精神利益和经济利益。”清华大学法学院副院长、教授程啸告诉记者，一方面，侵害个人信息权益造成财产损失的，被侵权人可依据民法典第1182条，要求侵权人按照被侵权人的损失或者侵权人的获利赔偿；损失以及获利难以确定的，由人民法院根据实际情况确定赔偿数额。另一方面，侵害个人信息权益造成严重精神损害的，被侵权人有权依据民法典第1183条第1款请求精神损害赔偿。

依据民法典主张权益之外，记者了解到，全国人大常委会关于加强网络信息保护的决定、消费者权益保护法、网络安全法、电子商务法、刑法等法律、决定均涉及个人信息保护，相关权利人还可以通过行政、刑事等手段保护自身合法权益。

民法典相关规定

第一百一十一条  自然人的个人信息受法律保护。任何组织或者个人需要获取他人个人信息的，应当依法取得并确保信息安全，不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息。

第一千零三十四条  自然人的个人信息受法律保护。

个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息，包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。

个人信息中的私密信息，适用有关隐私权的规定；没有规定的，适用有关个人信息保护的规定。

第一千零三十五条  处理个人信息的，应当遵循合法、正当、必要原则，不得过度处理，并符合下列条件：

（一）征得该自然人或者其监护人同意，但是法律、行政法规另有规定的除外；

（二）公开处理信息的规则；

（三）明示处理信息的目的、方式和范围；

（四）不违反法律、行政法规的规定和双方的约定。

个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等。

第一千零三十六条  处理个人信息，有下列情形之一的，行为人不承担民事责任：

（一）在该自然人或者其监护人同意的范围内合理实施的行为；

（二）合理处理该自然人自行公开的或者其他已经合法公开的信息，但是该自然人明确拒绝或者处理该信息侵害其重大利益的除外；

（三）为维护公共利益或者该自然人合法权益，合理实施的其他行为。

第一千零三十七条  自然人可以依法向信息处理者查阅或者复制其个人信息；发现信息有错误的，有权提出异议并请求及时采取更正等必要措施。

自然人发现信息处理者违反法律、行政法规的规定或者双方的约定处理其个人信息的，有权请求信息处理者及时删除。

第一千零三十八条  信息处理者不得泄露或者篡改其收集、存储的个人信息；未经自然人同意，不得向他人非法提供其个人信息，但是经过加工无法识别特定个人且不能复原的除外。

信息处理者应当采取技术措施和其他必要措施，确保其收集、存储的个人信息安全，防止信息泄露、篡改、丢失；发生或者可能发生个人信息泄露、篡改、丢失的，应当及时采取补救措施，按照规定告知自然人并向有关主管部门报告。

第一千零三十九条  国家机关、承担行政职能的法定机构及其工作人员对于履行职责过程中知悉的自然人的隐私和个人信息，应当予以保密，不得泄露或者向他人非法提供。