试论《个人信息保护法》与《民法典》的协调适用

2022-06-15赵迟迟

学理论·下 2022年6期

摘要：《个人信息保护法》扩大个人信息的保护范围，细化敏感个人信息的处理规则，规定国家机关的个人信息处理行为，畅通法律救济途径，这些都是其相较于《民法典》所做的创新。在《个人信息保护法》与《民法典》均对个人信息保护有所规定的前提下，有必要厘清二者的逻辑关系以破解协调适用难题。两者并不为普通法与特别法之关系，究其原因在于普通法与特别法界分的相对性、法适用范围的差异性以及《个人信息保护法》的宪法性。在《民法典》与《个人信息保护法》界定标准、类型划分等方面规定不一时，应具体问题具体分析，立足于法的规范目的与价值取向，着眼于个人信息保护与利用的平衡协调，并以利益衡量为基本方法，在此基础上做出较为合理的选择。

关键词：个人信息;《个人信息保护法》;《民法典》;协调适用;利益衡量

中图分类号：D923 文献标志码：A 文章编号：1002-2589（2022）06-0077-04

随着大数据、云计算、人工智能等新型数字技术的快速发展与广泛应用，个人信息安全面临前所未有之挑战，强制使用人脸识别、手机APP非法获取用户个人信息、大数据“杀熟”等问题屡见不鲜。越来越多的人对其个人信息安全感到担忧，如何有效规制个人信息处理活动，加强个人信息保护亟待解决。

一、问题的提出

《个人信息保护法》历经三次审议，终于在2021年8月20日正式通过。作为我国首部个人信息保护专门立法，《个人信息保护法》的出台结束了个人信息保护立法“各自为政”的窘迫局面，既为公民个人信息权益提供充足保障，又为个人信息处理活动提供明确的法律指引。尽管过往非专业性分散式立法的缺陷明显，但试图通过一部单行法达到一劳永逸之效果，解决个人信息保护领域的所有问题是不切实际的，较为妥适之法便是加强《个人信息保护法》与相关法律之间的密切配合，形成对公民个人信息的全方位保护。这其中《个人信息保护法》与《民法典》的衔接适用问题颇具争议。就《个人信息保护法》的法律属性而言，该法属于“领域法”的范畴，也就是说，其既涉及私法规范，也涉及公法规范[1]。不过，从《个人信息保护法》的整体内容来看，私法规范显然占据主体地位，公法规范的体量较小。与此同时，作為我国的私法基本法，《民法典》亦在其总则编与人格权编中对个人信息保护做了规定。基于此，为消弭《个人信息保护法》与《民法典》在法律适用中可能存在的矛盾与混乱，有必要厘清《个人信息保护法》与《民法典》之间的逻辑关系，以期实现法律秩序的和谐统一。

二、《个人信息保护法》较《民法典》之创新

应当说，《个人信息保护法》的制定是适应信息时代飞速发展的必然结果，是增强个人信息保护规范性、系统性与可操作性的必然要求，亦是实现个人信息保护与利用有机平衡的必然选择。《个人信息保护法》标志着我国对于个人信息的保护进入新阶段，对我国信息社会构建和数字经济发展具有里程碑意义[2]。从内容来看，尽管《民法典》与《个人信息保护法》在概念术语之选择、个人信息的权属定位和保护模式、个人信息处理原则及具体规则等诸多领域存在着密切协同[3]，但总体而言，《个人信息保护法》对《民法典》做了大量的补充和例外性规定，存在诸多创新之处。

（一）扩大个人信息的保护范围

在个人信息的概念界定上，《民法典》采行“概括+列举”之方式，既规定个人信息“是什么”，又详细列举个人信息的具体类型。而由《个人信息保护法》第4条第1款可知，该法选择直接为个人信息下定义，并未明确个人信息“有什么”。实际上，《个人信息保护法》与《民法典》在概念界定方面的差异不仅体现在立法技术上，更在于界定标准的选择上。总体而言，学界针对该问题共形成了三种不同的学说，分别为“识别说”“关联说”与“隐私说”，三者的区别在于界定依据不同所引致的保护范围略有差异。“关联说”以“关联性”为依据，对个人信息的保护最为宽泛;“识别说”注重个人信息的“识别性”，保护范围较“关联说”有所限缩;“隐私说”则着眼于个人信息的“私密性”，保护范围最为狭窄。应当说，“隐私说”混淆个人信息与个人隐私之区别，显然不利于公民个人信息权益之保障，自应排除。

由此，个人信息究竟“是什么”存在“识别说”与“关联说”之选择。相较于《民法典》对“识别说”之肯定，《个人信息保护法》的创新之一在于在原有“识别说”的框架内肯认“关联说”的合理之处，增添“有关”之表述对个人信息的内涵予以适度扩张，进一步扩大个人信息保护范围以筑牢个人信息安全防线。

（二）细化敏感个人信息的处理规则

所谓敏感个人信息，即是指一旦处理不当，容易害及个人人格尊严或者人身、财产安全之信息，欧盟、日本、美国等的个人信息保护法均对该类信息加以特别规定。然对于特殊类型的个人信息保护，《民法典》仅对私密信息有所提及且规定得过于简单，并无敏感个人信息之内容。《个人信息保护法》较《民法典》的创新之二在于细化敏感个人信息的处理规则以加强对该种信息的保护。首先，《个人信息保护法》以“概括+列举”的方式明确界定敏感个人信息，既赋予足够的张力与弹性，使其能够应对新种类信息对传统概念的冲击，又确保可操作性，使敏感个人信息之保护不至于流于形式。其次，信息处理者欲处理敏感个人信息须满足一定的前提条件，包括目的之特定性、充分之必要性与保护之严格性。如若条件尚有不足，自无法取得处理敏感个人信息之正当性。再次，区别于普通个人信息，敏感个人信息的处理务必要取得个人的单独同意，且在书面同意为法定要件的情况下口头同意并不生效力。最后，在无例外的情况下，信息处理者负有明确的告知义务，涉及处理行为的必要性与对个人权益的影响等内容。

（三）对国家机关处理个人信息予以特别规定

从比较法的角度来看，个人信息保护立法缘起于对国家机关等公权力主体个人信息处理行为的规制，只不过随着互联网技术的突飞猛进，各种私主体的个人信息处理能力远超公权力主体，个人信息保护法的侧重点方才发生转移。然即便如此，现阶段国家机关作为信息处理者处理个人信息依旧占据一定比重，这一点在此次疫情防控过程中体现得尤为明显。《个人信息保护法》较《民法典》所做的又一创新就在于专设一节对国家机关处理个人信息予以特别规定。第一，国家机关处理个人信息必须具有正当性与法定性。所谓正当性，即国家机关唯履行法定职责方有权处理个人信息。至于法定性，则是指国家机关的处理行为须以“法”为界，意在规制公权力扩张所造成的消极影响。第二，相较于处理普通个人信息所遵循的“知情—同意”原则，鉴于国家机关处理行为的公益性，其只需履行告知义务即可，否则势必会影响公共职能的行使。第三，根据《个人信息保护法》第36条之规定，国家机关处理的个人信息应当在我国境内存储，唯有在安全评估后方能向境外提供所处理的个人信息。

（四）多渠道畅通法律救济途径

“权利的存在和得到保护的程度，只有诉诸民法和刑法的一般规则才能得到保障。”[4]保护个人信息权益，一方面需要规范个人信息处理活动，加强事前预防机制;另一方面则需要在权益遭受侵害之时为其指明救济途径，确立事后惩罚机制。《个人信息保护法》较《民法典》的创新之四在于多渠道畅通法律救济途径，实现事前预防与事后惩罚的有机结合。首先，对于信息处理者在处理个人信息过程中所存在的各种失范现象，涉及违法处理个人信息的行为与未履行法定义务的行为，《个人信息保护法》根据情节轻重要求违法行为人承担行政责任、刑事责任和民事责任，为受害人提供多重保护。其次，在侵犯公民个人信息案件中，受害人举证困难、成本较高的问题尤为突出，亟待解决。又因个人信息处理者较受害人专业性强，距离证据更近，《个人信息保护法》确立了个人信息处理者的过错推定责任。再次，在损害赔偿问题上，《民法典》第1182条所确立的赔偿规则仅适用于人身权益损害，至于个人信息权益损害则不置可否，在实践中尚存诸多争议。《个人信息保护法》第69条第2款则将之予以明确，对于损害赔偿责任之确定同样需要根据受害人所受损失或个人信息处理者所获利益抑或是实际情况加以考量。最后，《个人信息保护法》的另一大亮点在于引入个人信息权益侵害的公益诉讼制度。公益诉讼具有延伸性的制度张力，可以调动诸多手段，协同多个部门，通过具有更强纠纷解决能力的组织和机关介入，对个人信息的保护更具专业性、权威性和便利性，有助于克服实践中个人起诉存在的举证困难以及成本过高等问题[5]。

三、《个人信息保护法》与《民法典》逻辑关系之厘清

正如前文所述，鉴于《民法典》亦对个人信息保护有所涉及，由此引发《个人信息保护法》与《民法典》的法律适用问题，而该问题的解决关键在于对二者逻辑关系的厘清。有论者认为，《个人信息保护法》实为《民法典》之特别法，需遵循普通法与特别法之适用规则。易言之，《个人信息保护法》有规定的，应优先适用《个人信息保护法》之相关规定;《个人信息保护法》尚未有规定的，《民法典》方有适用空间。不可否认，普通法与特别法之界分確有使复杂的法律适用难题简单化之效，然此种关系定位却有失偏颇，显然欠缺法理依据。具体而言，主要包括如下几方面。

（一）普通法与特别法之界分具有相对性

在法理上，普通法与特别法之界分重要且必要，不仅在于对复杂凌乱的法律予以分类，更为在法律适用过程中通过引用具体规则以避免冲突和矛盾。所谓具体规则，即以《立法法》第92条为准。然关键问题在于以何为依据对普通法与特别法加以明确区分。对于这一问题，学界存在多种不同的答案。有学者以法的效力范围为依据，认为特别法是适用于特定时间、特定空间、特定主体（或对象）、特定事项（或行为）的法律规范[6]。另有学者从法律规范本身着手，研究特殊社会关系与一般社会关系在法律规范结构上的反映[7]，以此将普通法与特别法区别开来。学者们之所以无法形成一致意见，究其原因主要在于普通法与特别法之分界具有相对性。即便是同一部法律，倘若选取的参照物不同，得出的结果亦有差异。例如，《著作权法》相对于《民法典》是特别法，但相对于其他关乎著作权保护的法律法规而言，《著作权法》显然又是普通法。《民法典》之普通法属性毋庸置疑，但受制于参照物的不确定性，并不能径直得出《个人信息保护法》为《民法典》之特别法的结论，尚需通过其他途径予以明晰。

（二）《个人信息保护法》之适用范围较《民法典》为宽

倘若《个人信息保护法》与《民法典》为普通法与特别法之关系，那么《民法典》之适用范围必然较《个人信息保护法》为宽，必然将《个人信息保护法》所欲调整对象全部囊括其中，然事实恰恰相反。作为我国民事领域的基本法，《民法典》仅适用于平等主体之间的个人信息处理行为。尽管该法在第1039条对国家机关、承担行政职能的法定机构有所提及，但仅是对其保密义务的确认，并未涉及个人信息处理行为的具体规制措施。与之不同的是，《个人信息保护法》适用于在我国境内所谓的任何个人信息处理活动，相较于《民法典》显然更加宽泛。一方面，《个人信息保护法》的调整对象不仅包括同《民法典》如出一辙的私权利主体，还涉及国家机关等公权力主体;另一方面，《个人信息保护法》所规定的救济手段既包括民事救济，还包括行政处罚与刑事惩罚等。在这一点上，《个人信息保护法》与《民法典》并不为“普通法—特别法”之关系。

（三）《个人信息保护法》之宪法性决定其基本法地位

就我国立法现状而言，“根据宪法，制定本法”的立法表述使得《个人信息保护法》是第一部亦是唯一一部“依宪而定”的网络法。保护个人信息，究其本质源于人权之保障，源于人格尊严之不受侵犯，源于通信自由和通信秘密之保护，而这些全为宪法所明定。应当说，立法者赋予《个人信息保护法》宪法性除程序意义外，更具实质意义，决定了该法所具有的基本法地位。然有学者援引《立法法》第7条之规定，以《个人信息保护法》为全国人大常委会制定为由对其基本法地位予以否定。笔者认为，判断一部法律是否为基本法的关键在于该法是否直接源于宪法条文或为实施宪法而设，不能简单地以立法主体作为判断依据。有鉴于此，《个人信息保护法》不仅为我国个人信息保护领域的基本法与整个网络信息法律体系的基本法，亦是与刑法、民法等基本法具有同等、并存地位的基本法[8]。于是乎，显然并不能将《个人信息保护法》界定为《民法典》之特别法。

四、《个人信息保护法》与《民法典》适用规则之协调

不可否认，《个人信息保护法》自起草时就在一定程度上注重与《民法典》的协调配合，充分尊重《民法典》的基础性法律地位。但鉴于《个人信息保护法》亦是个人信息保护领域的基本法，其对《民法典》的尊重应是有限的。在逻辑关系上，《个人信息保护法》与《民法典》实为交叉并存而非“普通法—特别法”之关系，二者在内容上既具一致性，又存差异性。对于密切协同之处，自无适用困境，关键在于如何协调二者针对同一法律事实所做的差异化规定。总的来说，在“特别法优先”规则无适用余地的情况下，妥善化解《个人信息保护法》与《民法典》在个人信息保护领域的冲突与矛盾之应然路径应回归到具体个案，以法的规范目的与价值取向为立足点，着眼于个人信息保护与利用的平衡协调，并以利益衡量为基本方法，继而做出较为合理的选择。具体而言，《个人信息保护法》与《民法典》适用规则之协调主要体现在如下三个方面。

（一）个人信息界定标准的选择

前已述及，《民法典》在个人信息的界定标准上以“识别说”作为立法依据，而《个人信息保护法》则选择“识别+关联”标准。前者是“从信息到个人”，由信息本身的特殊性识别出特定自然人，凡有助于识别出特定个人的信息都是个人信息;后者则还要加上“从个人到信息”，在识别出特定自然人后，该特定个人在其活动中产生的信息均为个人信息[9]。从立法的发展历程来看，对个人信息的概念界定经历了一个范围逐渐扩大的过程，由最初的“直接识别”标准到之后《网络安全法》《民法典》所确立的“直接识别+间接识别”标准再到如今《个人信息保护法》所推行的“识别+关联”标准。为保证个人信息概念上的确定性，避免由此而给法律适用带来的消极影响，有必要在界定标准上做出选择。笔者认为，在个人信息处理过程中，信息主体相较于信息处理者在多数情况下处于劣势地位，自应获得更多保护。因此，选择何种界定标准应立足于信息主体之权益保障。基于此，“识别+关联”标准显然更符合要求。随着时代发展与科技进步，大量不具有“可识别性”的信息能够通过特定算法与特定个人产生密切联系。倘若严格适用“识别”标准，该类信息便因不符合标准而只能被称之为一般信息。但若对此类信息的利用持放任态度而不加以约束，又势必因无法获得相应的法律保护而对信息主体之合法权益造成消极影响。应当说，《个人信息保护法》所确立的“识别+关联”标准是对个人信息保护范围的进一步扩大，是对传统“识别说”观点的优化与完善，更是为顺应时代发展而做出的必然选择。

（二）敏感个人信息与私密信息之关系界定

基于各自不同的规范目的，《个人信息保护法》与《民法典》在个人信息的类型划分上亦有明显区别。具体而言，《民法典》规定隐私信息与非隐私信息之界分，实为加强民事权益保护，正确处理隐私权与个人信息权益之关系。与之不同，《个人信息保护法》为规范个人信息处理行为以实现保护与利用之有机平衡而将个人信息区分为敏感个人信息与非敏感个人信息。尽管隐私信息与非隐私信息、敏感个人信息与非敏感个人信息之适用规则皆为法律所明定，但现行立法并未对敏感个人信息与私密信息之关系加以界定。对于这一问题，学者们亦有不同看法。有学者将敏感个人信息限缩在私密信息的范围内，认为二者应构成包含与被包含之关系;另有学者认为尽管在概念上面可能不统一，但敏感个人信息与私密信息实际上表述的意思都是一致的，都是指信息主体不愿意为他人知晓的信息[10]，二者并无本质区别。笔者认为，欲对敏感个人信息与私密信息之关系做出抽象的、一般性的论定实难以为之，盖因二者所依据的划分标准以及欲实现之目的不尽相同。易言之，敏感个人信息与私密信息仅可从形式上界定为交叉关系，基于此，对于私密信息之保护规则与敏感个人信息之处理规则可否互用之问题唯有在某种信息既为敏感个人信息又为私密信息的情况下方有讨论之空间。而对个人信息自身性质之判断尚且需要立足于具体情况并结合法律的明确规定与立法规范目的予以审慎判断。

（三）已公开的个人信息之处理规则

《个人信息保护法》与《民法典》所需调和之处，不仅体现在个人信息界定标准的选择上和敏感个人信息与私密信息的关系界定上，已公开的个人信息之处理规则亦有待调适。尽管《个人信息保护法》与《民法典》对此类信息有所规定，但二者在处理规则上却存在着明显的冲突。根据《个人信息保护法》第27条之规定，如若信息处理者处理已公开的个人信息将会对信息主体的个人权益造成重大影响，那么其应当取得信息主体同意。反观《民法典》第1036条，只要信息处理者的处理行为侵害信息主体的重大利益，其便应承担民事责任，至于是否获得信息主体同意则在所不问。两部法律之所以会有截然不同的规定，究其根本依然在于二者不同的价值取向。《民法典》着眼于信息主体个人权益之保障，而《个人信息保护法》并不止于此，个人信息的合理利用亦是其关注重点。为此，在处理已公开的个人信息时，法律协调适用的关键就在于如何衡量信息主体的个人信息权益与信息处理者的处理利益，而这则需要借助于利益衡量之法。笔者认为，在司法实践中，法官应当在比例原则的指导下合理行使自由裁量权，对信息主体与信息处理者之两方利益之重要性进行充分权衡与比较。如若信息主体之个人信息权益更值得保护，则优先适用《个人信息保护法》之有关规定，反之则以《民法典》为裁判依据。唯有如此行事，方能获得妥适之结果。

五、结语

在信息时代，个人信息的重要性毋庸置疑，如何加强个人信息保护业已成为理论与实务界的研究热点。虽然立法机关在《刑法》《消费者权益保护法》《网络安全法》等诸多的部门法中对个人信息保护做出过一些规定，但是相关规定过于零散、不成体系。为此，《民法典》与《个人信息保护法》的相继出台，标志着我国已然构建起一套系统完备、科学合理的个人信息保护法律体系。作为我国首部个人信息保护专门立法，《个人信息保护法》在个人信息保护的适用范围、敏感个人信息的处理规则以及个人信息权益受损时的救济渠道等方面存在诸多创新之处，显然通过立法的方式加强了对公民个人信息的保护。尽管《个人信息保护法》同时包含了公法与私法性质的规范，但明显以私法规范为主，占比三分之二多，而公法性质的规范约三分之一[11]。基于此，在个人信息保护领域，即便《民法典》亦对之有所规定，但其与《个人信息保护法》在规范目的与价值取向上存在较大差异。为确保法律体系的执行顺畅與运行有效，有必要对两部法律在适用过程中存在的相互抵牾之处加以规范协调。总体而言，基于普通法与特别法之界分的相对性、适用范围上的差异性与《个人信息保护法》的宪法性，《个人信息保护法》并非《民法典》之特别法，二者应为交叉并存关系。在此基础上，则需要对概念界定、类型划分与已公开的个人信息等三个方面予以明晰。当然，随着时代的进一步发展，在法律的协调适用问题上还会面临诸多新的挑战，唯有持续且深入探索，方能最终实现法律秩序的和谐统一。

参考文献：

[1]王利明.《个人信息保护法》的亮点与创新[J].重庆邮电大学学报（社会科学版），2021（6）：1.

[2]申卫星.论个人信息保护与利用的平衡[J].中国法律评论，2021（5）：28.

[3]郑晓剑.论《个人信息保护法》与《民法典》之关系定位及规范协调[J].苏州大学学报（法学版），2021（4）：56.

[4][美]彼得·斯坦，约翰·香德.西方社会的法律价值[M].北京：中国人民公安大学出版社，1989：41.

[5]王利明，丁晓东.论《个人信息保护法》的亮点、特色与适用[J].法学家，2021（6）：10.

[6]汪全胜.“特别法”与“一般法”之关系及适用问题探讨[J].法律科学，2006（6）：51.

[7]杨登峰.选择适用一般法与特别法的几个问题[J].宁夏社会科学，2008（3）：19-20.

[8]龙卫球.《个人信息保护法》的基本法定位与保护功能[J].现代法学，2021（5）：89.

[9]王锡锌，彭.个人信息保护法律体系的宪法基础[J].清华法学，2021（3）：16.

[10]张新宝.个人信息收集：告知同意原则适用的限制[J].比较法研究，2019（6）：9.

[11]石佳友.个人信息保护的私法维度——兼论《民法典》与《个人信息保护法》的关系[J].比较法研究，2021（5）：15.