第一千零三十九条

第一千零三十九条

国家机关、承担行政职能的法定机构及其工作人员对于履行职责过程中知悉的自然人的隐私和个人信息，应当予以保密，不得泄露或者向他人非法提供。

【条文主旨】

本条是关于国家机关及其工作人员的个人信息保密义务的规定。

【条文理解】

自二审稿开始，本法对国家机关及其工作人员的个人信息保密义务进行了规定，此后条文基本予以沿用，在最后的修改中，增加了“承担行政职能的法定机构”这一承担保密义务主体，更加全面科学。现将本条内容解读如下：

在现代社会，国家机关基于履行职务需要，同时也是基于工作上的便利，往往会大规模收集个人信息，其收集的个人信息数量较大，精确度较高。因此，一旦国家机关及其工作人员泄露、出售或者非法提供个人信息，造成的后果会非常严重。有鉴于此，《全国人民代表大会常务委员会关于加强网络信息保护的决定》第10条第2款规定：“国家机关及其工作人员对在履行职责中知悉的公民个人电子信息应当予以保密，不得泄露、篡改、毁损，不得出售或者非法向他人提供。”《网络安全法》第44条规定：“任何个人和组织不得窃取或者以其他非法方式获取个人信息，不得非法出售或者非法向他人提供个人信息。”第45条规定：“依法负有网络安全监督管理职责的部门及其工作人员，必须对在履行职责中知悉的个人信息、隐私和商业秘密严格保密，不得泄露、出售或者非法向他人提供。”一些特别法也进行了规定，如《监察法》第18条第2款就规定了监察机关及工作人员的保密义务，即违反相关义务侵害公民、法人和其他组织的合法权益造成损害的，依照该法第67条应当适用国家赔偿的规定。本条延续上述规定，将国家机关及其工作人员对于履行职责过程中知悉的自然人的隐私与个人信息的保密义务在《民法典》中予以明确。

【审判实践中应注意的问题】

审判实践中，对本条的适用需要注意的是：国家机关及其工作人员违反本条规定义务是否需要承担民事侵权责任的问题。对此，存在不同意见，一种意见认为，此为国家机关履行职务行为产生，应当适用国家赔偿责任；另一种意见认为，在《民法典》中确认了国家机关及其工作人员的信息保密义务，此义务的违反就意味着应当承担《民法典》上规定的相应责任，即侵权责任，甚至还有观点认为，大数据的应用强化了国家机关和信息主体之间既有的力量强弱差序格局，而非国家机关由于缺乏公权力行使的便利而掌握的资源相对少，因此，应当对国家机关和非国家机关分别课予合理的注意义务和责任。国家机关对此应当承担更重的注意义务。上述见解在法理上都有一定道理。

我们对此的研究意见是，对此有必要区分不同情形予以考虑：（1）在国家机关及其工作人员在履职过程中侵害他人个人信息的，我们认为，国家机关履职行为系行使国家公权力，这时已经不是平等主体之间的法律关系，此时造成的对个人信息的侵害系因国家机关及其工作人员履行职务所致，应适用国家赔偿责任。（2）国家机关作为民事主体从事民事活动侵害个人信息的，应属于民事侵权行为，承担民事赔偿责任。（3）若国家机关及其工作人员侵害个人信息的行为不属于《国家赔偿法》所规定的范畴，或是侵害的行为并不属于行使职权，也不具有行使职权的外观，那么应当单独适用侵权责任编的规定对国家机关及其工作人员的民事责任予以判断。（4）若存在国家机关的不作为与第三人作为行为导致共同侵害个人信息，例如他人侵入国家机关的个人信息存储系统，而国家机关并未及时尽到保障个人信息安全的义务之时，国家机关的不作为侵权与第三人的作为侵权结合导致了侵权行为的发生，此时应考虑国家赔偿责任与民事侵权责任的并合。

实践中，国家机关履职涉及个人信息侵害问题的情形往往较为复杂，目前学理上对此究竟属于民事赔偿责任还是国家赔偿责任存有较大的争议，《信息网络规定》第12条第2款就规定：“国家机关行使职权公开个人信息的，不适用本条规定。”有鉴于此，对于本条规定的责任承担问题，还有必要继续研究探讨，适时通过司法解释予以明确。