文/周漢華

民事立法的矛盾與糾結(jié)

《中華人民共和國民法總則（草案）》初次審議稿并沒有個(gè)人信息保護(hù)的內(nèi)容，徐玉玉案促使二次審議稿以及最終版本增加了個(gè)人信息保護(hù)的條款。這既體現(xiàn)了民法的人文關(guān)懷，當(dāng)然也埋下了倉促上陣的烙印，在包括個(gè)人信息保護(hù)的定性等重大問題上未能給出明確的答案。個(gè)人信息保護(hù)是否屬于權(quán)利，以及個(gè)人信息保護(hù)是否屬于具體人格權(quán)等，都不甚明確，由此導(dǎo)致對文本的多種不同解讀。個(gè)人信息保護(hù)的屬性問題在《中華人民共和國民法典（草案）》〔以下簡稱《民法典（草案）》〕中仍然無法明確，存在多重難以協(xié)調(diào)的內(nèi)在矛盾。

個(gè)人信息保護(hù)是一項(xiàng)獨(dú)立的法律制度

民事立法之所以會(huì)出現(xiàn)各種矛盾和糾結(jié)，根源在于人格權(quán)（隱私權(quán)）保護(hù)與個(gè)人信息保護(hù)是根本不同的兩項(xiàng)制度。人格權(quán)是一項(xiàng)傳統(tǒng)的民事權(quán)利，個(gè)人信息權(quán)是完全獨(dú)立的一項(xiàng)新型公法權(quán)利。以傳統(tǒng)民事權(quán)利話語體系界定個(gè)人信息權(quán)利，將個(gè)人信息保護(hù)納入私法人格權(quán)范疇，與隱私權(quán)并列在一節(jié)中，必然會(huì)出現(xiàn)邏輯上的矛盾與實(shí)踐中的沖突。

國際上，隱私保護(hù)與個(gè)人信息保護(hù)兩個(gè)概念的關(guān)系也經(jīng)歷了發(fā)展變化的過程，也存在相互關(guān)系不清晰、概念混用的現(xiàn)象。但是，歐盟2000年制定《歐盟基本權(quán)利憲章》時(shí)，就已經(jīng)在第7條和第8條分別規(guī)定尊重私人和家庭生活（傳統(tǒng)意義上的隱私權(quán)）以及保護(hù)個(gè)人數(shù)據(jù)，個(gè)人數(shù)據(jù)保護(hù)開始被作為一項(xiàng)獨(dú)立的權(quán)利。2007年歐盟各國首腦簽署《里斯本條約》，要求盡快制定歐盟個(gè)人數(shù)據(jù)保護(hù)規(guī)則，就完全采用了個(gè)人數(shù)據(jù)概念，不再提及隱私概念。經(jīng)過20多年探索，到2016年制定《保護(hù)自然人有關(guān)個(gè)人數(shù)據(jù)處理及該種數(shù)據(jù)自由流動(dòng)的條例》時(shí)，通篇只有數(shù)據(jù)保護(hù)概念，不再使用隱私保護(hù)概念，數(shù)據(jù)保護(hù)完全成為一個(gè)獨(dú)立的領(lǐng)域，不同于傳統(tǒng)的隱私權(quán)保護(hù)。

個(gè)人信息保護(hù)作為一項(xiàng)獨(dú)立的法律制度，體現(xiàn)在如下幾個(gè)主要方面：

1.保護(hù)客體的特殊性

隱私與個(gè)人信息保護(hù)的保護(hù)客體在我國法律中經(jīng)歷了一個(gè)非常明顯的三階段發(fā)展過程。我國20世紀(jì)50年代立法中最早出現(xiàn)的概念既不是隱私，也不是個(gè)人信息，而是民間與歷史傳統(tǒng)中使用得更多的“陰私”概念，法律的保護(hù)客體主要是當(dāng)事人訴訟程序上不公開審理的權(quán)利。

從20世紀(jì)80年代、尤其是90年代初以后，不論是政府文件、立法還是民間，普遍以“隱私”概念代替了習(xí)慣的“陰私”概念。這個(gè)時(shí)期，就法律保護(hù)的客體而言，已經(jīng)從過去的訴訟程序權(quán)利進(jìn)入到了主要是民事實(shí)體權(quán)利的領(lǐng)域。然而，由于所有使用了隱私概念的法律都沒有給該概念下一個(gè)定義，也沒有界定或者描述這種權(quán)利的范圍，因此，多年來，實(shí)體權(quán)利的邊界不論在立法還是實(shí)踐中實(shí)際上一直處于某種模糊狀態(tài)。一直到司法實(shí)踐中逐步明確侵犯隱私權(quán)案件的核心判斷標(biāo)準(zhǔn)在于披露以后會(huì)導(dǎo)致權(quán)利人的“社會(huì)評價(jià)降低”。

自20世紀(jì)90年代末開始，尤其是進(jìn)入21世紀(jì)以來，由于信息化的迅猛發(fā)展與權(quán)利觀念的進(jìn)一步提升，首先從信息化和消費(fèi)者權(quán)利保護(hù)這兩個(gè)領(lǐng)域的地方立法開始，逐步出現(xiàn)了中性的個(gè)人信息概念，并逐步進(jìn)入到國家立法中。個(gè)人信息的范圍非常廣，通常包括任何已識(shí)別或者可識(shí)別特定個(gè)人的信息，范圍遠(yuǎn)遠(yuǎn)大于個(gè)人不愿為人所知，披露后會(huì)導(dǎo)致社會(huì)評價(jià)降低的私密信息（隱私）。如果僅僅依據(jù)個(gè)人信息的定義這一個(gè)維度來界定保護(hù)客體，要求所有采集或者處理個(gè)人信息的行為均必須知情同意，并滿足個(gè)人信息保護(hù)法的其他要求，整個(gè)正常的社會(huì)交往幾乎完全無法進(jìn)行。因此，個(gè)人信息保護(hù)法保護(hù)的客體并不是所有的個(gè)人信息，而是數(shù)據(jù)控制者以自動(dòng)方式處理的個(gè)人信息。不屬于數(shù)據(jù)控制者的數(shù)據(jù)處理活動(dòng)中的個(gè)人信息，不屬于保護(hù)客體。

我國民事立法設(shè)計(jì)個(gè)人信息保護(hù)規(guī)定，很長時(shí)期脫離了制度運(yùn)行的背景要求，《中華人民共和國民法總則》與《民法典》人格權(quán)編起草過程中，類似處理與控制者等概念都很晚才出現(xiàn)，即使出現(xiàn)也并未影響整個(gè)立法架構(gòu)與基本走向。實(shí)際上是以隱私權(quán)保護(hù)同樣的思路設(shè)計(jì)個(gè)人信息保護(hù)條款，將全部個(gè)人信息都作為保護(hù)客體。

2.義務(wù)主體的特殊性

數(shù)據(jù)控制者概念表明，個(gè)人信息保護(hù)法的義務(wù)主體具有特殊性，不是“任何組織或者個(gè)人”這樣的一般主體。人格權(quán)性質(zhì)上屬于對世權(quán)，對應(yīng)的義務(wù)主體是普遍的，任何組織或者個(gè)人都是義務(wù)主體，都不得侵犯他人的人格權(quán)。由于隱私具有不愿為人知曉的特點(diǎn)，任何組織或個(gè)人都不得傳播他人的隱私，都是義務(wù)主體，沒有排除或者克減適用之說。相反，個(gè)人信息保護(hù)法的義務(wù)主體往往是特定的、分層的，是個(gè)人信息控制者，不是一般的義務(wù)主體，通常不可能是個(gè)人，性質(zhì)上類似于對人權(quán)。

按照人格權(quán)套用并泛化界定個(gè)人信息保護(hù)法的義務(wù)主體，就會(huì)出現(xiàn)比較荒謬的結(jié)果。《民法典（草案）》第1035條移植了《網(wǎng)絡(luò)安全法》第41條的規(guī)定，要求收集、處理個(gè)人信息的，應(yīng)當(dāng)遵循合法、正當(dāng)、必要原則，并明確了相應(yīng)的條件。問題在于，《網(wǎng)絡(luò)安全法》的義務(wù)主體是網(wǎng)絡(luò)運(yùn)營者（等于個(gè)人信息保護(hù)法中的個(gè)人信息控制者），是特定義務(wù)主體，而《民法典（草案）》本條的義務(wù)主體并不明確，按照通常理解應(yīng)該是總則規(guī)定的一般義務(wù)主體（任何組織或者個(gè)人）。將適用于特定義務(wù)主體的要求推廣到一般義務(wù)主體，結(jié)果就會(huì)非常荒謬，與生活常識(shí)不符，導(dǎo)致的首先是義務(wù)主體錯(cuò)位，以及連鎖的各種錯(cuò)位。

民事立法一直用傳統(tǒng)隱私權(quán)觀念來構(gòu)筑個(gè)人信息保護(hù)法律制度，一是直接將個(gè)人信息作為保護(hù)客體，二是將義務(wù)主體界定為“任何組織或者個(gè)人”，存在明顯的保護(hù)客體泛化與義務(wù)主體泛化雙重弊端。這樣，既使個(gè)人信息究竟是權(quán)利還是權(quán)益陷入無休止的爭論之中，不可能有確定的答案，也使事后加上的諸如“收集者”“控制者”等概念與傳統(tǒng)的“任何組織或者個(gè)人”概念并列，相互關(guān)系無法理順，并產(chǎn)生與常識(shí)相悖的推理結(jié)果。

3.權(quán)利性質(zhì)的特殊性

人格權(quán)屬于消極權(quán)利，權(quán)項(xiàng)并不需要列明，以不受非法侵犯造成損害后果為權(quán)利邊界，遭受損害后通過侵權(quán)賠償加以救濟(jì)。人格權(quán)的第一個(gè)特殊性是“防御性”。即法律將侵害人格權(quán)的加害行為納入侵權(quán)責(zé)任法的適用范圍，以便對加害人追究侵權(quán)責(zé)任。人格權(quán)的第二個(gè)特性是它的“先在性”，人格權(quán)的存在先于法律規(guī)定，不因法律規(guī)定或者不規(guī)定、承認(rèn)或者不承認(rèn)而受影響。

相反，信息控制者以不同方式處理海量的個(gè)人信息，難以衡量具體處理行為是否對信息主體造成侵害。因此，個(gè)人信息權(quán)作為信息主體對抗信息控制者信息處理行為的新型公法權(quán)利，必須有法律依據(jù)，并由法律對具體權(quán)項(xiàng)進(jìn)行列明。這樣，信息主體的權(quán)利就轉(zhuǎn)變?yōu)樾畔⒖刂普叩南鄳?yīng)法律義務(wù)，違反法律義務(wù)就等于是對信息主體權(quán)利的侵犯，由此實(shí)現(xiàn)信息主體控制自己信息不被非法處理的權(quán)利保護(hù)目標(biāo)。違反公法義務(wù)會(huì)導(dǎo)致公法上的法律責(zé)任，同時(shí)導(dǎo)致權(quán)利人損害的，當(dāng)然也要承擔(dān)民事侵權(quán)責(zé)任。不僅歐盟與受歐盟影響國家的立法廣泛規(guī)定了信息主體的各項(xiàng)具體權(quán)項(xiàng)，即使與歐盟模式差別非常大的美國，也體現(xiàn)了消費(fèi)者控制自己信息不被非法處理的相同立法思路。

從救濟(jì)效果上看，構(gòu)成人格權(quán)民事侵權(quán)必須滿足侵權(quán)賠償?shù)姆ǘ?gòu)成要件，尤其是必須以造成實(shí)際損害為前提條件，被侵權(quán)人還需要承擔(dān)舉證責(zé)任。但是，在網(wǎng)絡(luò)環(huán)境下，不同于對于人格權(quán)的侵犯，侵犯個(gè)人信息權(quán)往往很難證明對信息主體實(shí)際造成了什么損害，信息主體要承擔(dān)舉證責(zé)任也同樣困難。因此，如果僅僅依靠民事侵權(quán)賠償機(jī)制保護(hù)個(gè)人信息，會(huì)遇到很大的困難，存在激勵(lì)不足問題。相反，作為公法權(quán)利，并不以信息主體的實(shí)際損害作為認(rèn)定違法與否的必要條件，也不需要信息主體承擔(dān)舉證責(zé)任。只要數(shù)據(jù)控制者違反法定義務(wù)，不論是否造成信息主體實(shí)際損害，都可以認(rèn)定違法，個(gè)人信息保護(hù)執(zhí)法機(jī)構(gòu)就可以通過公法執(zhí)法發(fā)現(xiàn)并制裁違法，維護(hù)法律秩序。個(gè)人信息被違法處理并不必然導(dǎo)致信息主體遭受損害，甚至可能會(huì)帶來利益，但信息控制者仍然要承擔(dān)公法責(zé)任。正因?yàn)槿绱?，?dāng)代各國普遍將個(gè)人信息權(quán)界定為新型公法權(quán)利，為數(shù)據(jù)控制者規(guī)定廣泛的法律義務(wù)，并通過設(shè)立專門、獨(dú)立、權(quán)威的個(gè)人信息保護(hù)執(zhí)法機(jī)構(gòu)來提供有效的保護(hù)。不論歐盟模式還是美國模式，個(gè)人信息權(quán)均是一個(gè)權(quán)利簇，范圍究竟多大由立法加以界定，各國未必完全一樣，但核心在于信息主體對于自己信息的控制權(quán)。只要個(gè)人信息保護(hù)法加以明確規(guī)定，權(quán)利主體就享有這些具體的控制權(quán)利。

作為公法權(quán)利重要的意義還在于，信息主體不但可以對抗平等的民事主體，也可以對抗公權(quán)力部門，國家機(jī)關(guān)同樣要尊重和保護(hù)個(gè)人的信息控制權(quán)。同時(shí)，作為公法權(quán)利，國家有義務(wù)建立有效的事前事中政府監(jiān)管與行政執(zhí)法制度，有效預(yù)防損害的發(fā)生，保護(hù)公民所享有的權(quán)利。至于民事救濟(jì)機(jī)制，在公法權(quán)利框架之下同樣也可以發(fā)揮應(yīng)有的作用。

隨著社會(huì)的發(fā)展，個(gè)人權(quán)利的種類不斷豐富，權(quán)利的邊界越來越廣，既超出傳統(tǒng)的民事權(quán)利范疇，更橫跨公私法邊界，成為新型公法權(quán)利。諸如環(huán)境權(quán)、受教育權(quán)、社會(huì)保障權(quán)、消費(fèi)者權(quán)利、可交易許可權(quán)等，均是典型的新類型權(quán)利。這些新型權(quán)利是去法典化時(shí)代的產(chǎn)物，具有跨法律部門、多元特征混合、公法私法融合等特點(diǎn)，不宜簡單“一刀切”定性。必須根據(jù)每項(xiàng)權(quán)利本身的運(yùn)行規(guī)律，由環(huán)境法、消費(fèi)者權(quán)益保護(hù)法、社會(huì)保障法、行政許可法等單行法界定其權(quán)利邊界，設(shè)計(jì)權(quán)利保障機(jī)制，再由民法、行政法、刑法等進(jìn)行相應(yīng)的銜接，對侵害權(quán)利的行為進(jìn)行制裁，構(gòu)成完整的權(quán)利保障體系。我國的環(huán)境權(quán)、受教育權(quán)、消費(fèi)者權(quán)利等均未在《民法典（草案）》中加以規(guī)定，而是先由相關(guān)單行法分別予以確認(rèn)，再通過包括民法典在內(nèi)的法律，共同制裁侵犯這些權(quán)利的行為。個(gè)人信息權(quán)也是這種新型權(quán)利，同樣應(yīng)該首先由個(gè)人信息保護(hù)法界定其權(quán)利基礎(chǔ)，再由包括民法典在內(nèi)的相關(guān)法律追究侵權(quán)行為應(yīng)該承擔(dān)的法律責(zé)任。

4.簡單的結(jié)論

正是因?yàn)閭€(gè)人信息保護(hù)的上述各種特殊性，使個(gè)人信息保護(hù)已經(jīng)迅速成為一項(xiàng)獨(dú)立的法律制度，有獨(dú)立的法律淵源、程序設(shè)計(jì)、制度配置、執(zhí)法機(jī)制、交流平臺(tái)等，甚至已經(jīng)形成了一個(gè)專門的復(fù)合型知識(shí)結(jié)構(gòu)的職業(yè)共同體和不同于傳統(tǒng)的隱私權(quán)保護(hù)的話語體系。與國際趨勢相反，我國民法界一直推動(dòng)將個(gè)人信息保護(hù)納入人格權(quán)編，與隱私權(quán)并列在一起，并主張將個(gè)人信息保護(hù)法作為民法的特別法，由此強(qiáng)行將兩項(xiàng)根本不同的制度熔于一爐。可見，個(gè)人信息保護(hù)在民事立法中出現(xiàn)定位困難和邏輯混亂，深層次根源在于權(quán)利定性錯(cuò)位，將一項(xiàng)新型公法權(quán)利簡單歸入傳統(tǒng)民事權(quán)利范疇，忽略了個(gè)人信息保護(hù)與人格權(quán)兩項(xiàng)權(quán)利的本質(zhì)差別。

立法中需要明確的幾個(gè)問題

民法典是基本法，將由全國人大通過，個(gè)人信息保護(hù)法屬于一般法律，將由全國人大常委會(huì)通過。由于兩部法律都會(huì)涉及個(gè)人信息保護(hù)內(nèi)容，因此，立法中必須處理好相互關(guān)系，核心是明確以下幾個(gè)重大問題：

1.民法典與個(gè)人信息保護(hù)法的關(guān)系

認(rèn)識(shí)上必須明確，個(gè)人信息保護(hù)法是保護(hù)個(gè)人信息的基本立法，任務(wù)是明確個(gè)人信息保護(hù)的基本原則和制度，明確實(shí)體規(guī)范與程序規(guī)范，然后再由相關(guān)單行立法根據(jù)不同行業(yè)、領(lǐng)域的特點(diǎn)制定相應(yīng)的規(guī)定，構(gòu)成個(gè)人信息保護(hù)的完備法律體系。個(gè)人信息保護(hù)法的義務(wù)主體、調(diào)整范圍、執(zhí)行機(jī)制等均遠(yuǎn)遠(yuǎn)大于民法典，不能將個(gè)人信息保護(hù)法視為民法特別法。只有違反個(gè)人信息保護(hù)法的行為導(dǎo)致權(quán)利人民事權(quán)益損害的，民法典才從民事責(zé)任追究角度進(jìn)行銜接。盡管個(gè)人信息保護(hù)法與民法典必然存在一定的交叉，但兩者性質(zhì)根本不同，一個(gè)是保護(hù)新型權(quán)利的公法，一個(gè)是確立民事基本制度的私法，分別發(fā)揮不同的作用。只有科學(xué)認(rèn)識(shí)兩部法律的關(guān)系，才能使個(gè)人信息保護(hù)法針對信息時(shí)代個(gè)人信息保護(hù)所面臨的現(xiàn)實(shí)問題，設(shè)計(jì)相應(yīng)有針對性的制度，而不是被傳統(tǒng)民事法律制度所束縛。

2.個(gè)人信息保護(hù)法宜確立信息主體權(quán)利及信息控制者激勵(lì)相容機(jī)制

大數(shù)據(jù)時(shí)代，信息主體控制自己信息不被信息控制者違法處理或?yàn)E用的權(quán)利，是整個(gè)個(gè)人信息保護(hù)制度運(yùn)行的基石。因此，個(gè)人信息保護(hù)法首先必須明確確立信息主體的個(gè)人信息控制權(quán)。只有確立了這種權(quán)利，才能要求信息控制者履行相應(yīng)的法律義務(wù)，以及確立有效的執(zhí)法監(jiān)督機(jī)制，預(yù)防和制止違反法律義務(wù)行為的發(fā)生。制定個(gè)人信息保護(hù)法，應(yīng)該順應(yīng)國際發(fā)展趨勢，明確確立個(gè)人信息控制權(quán)，作為整個(gè)制度的基礎(chǔ)。這是個(gè)人信息保護(hù)法作為獨(dú)立立法的意義與價(jià)值所在。

大數(shù)據(jù)時(shí)代，權(quán)利控制機(jī)制存在至少兩個(gè)缺陷。一是由于信息不對稱，信息處理活動(dòng)越來越復(fù)雜，由信息主體控制極有可能流于形式，個(gè)人無法真正保護(hù)自己的個(gè)人信息不被違法處理。二是權(quán)利控制機(jī)制可能導(dǎo)致程序的過渡復(fù)雜化，不合理增加信息控制者的成本，最終影響社會(huì)的公共利益。

解決上述兩個(gè)問題，一是需要對個(gè)人信息控制權(quán)的每個(gè)具體權(quán)項(xiàng)進(jìn)行分解、分析、分類，在充分討論的基礎(chǔ)上明確哪些權(quán)項(xiàng)需要予以明確規(guī)定，哪些權(quán)項(xiàng)暫時(shí)還不宜規(guī)定。通過權(quán)項(xiàng)的類型化處理，使個(gè)人信息控制權(quán)既能發(fā)揮作用，又不至于脫離國情，影響數(shù)據(jù)的自由流動(dòng)。二是需要調(diào)動(dòng)信息控制者的積極性，設(shè)計(jì)激勵(lì)相容的機(jī)制，促使信息控制者主動(dòng)承擔(dān)保護(hù)個(gè)人信息的義務(wù)，設(shè)計(jì)有效的個(gè)人信息安全管理制度，實(shí)現(xiàn)從單向的權(quán)利控制向權(quán)利控制與激勵(lì)機(jī)制并行的多元治理機(jī)制轉(zhuǎn)變。這也是個(gè)人信息保護(hù)法作為獨(dú)立立法的意義與價(jià)值所在，民事立法不可能設(shè)計(jì)這種多元治理機(jī)制。

3.民法典與個(gè)人信息保護(hù)法宜盡量減少不一致規(guī)定

比較《民法典（草案）》與全國人大法工委已經(jīng)在一定范圍征求意見的《個(gè)人信息保護(hù)法（草案征求意見稿）》可以發(fā)現(xiàn)，二者存在比較明顯的不一致，主要表現(xiàn)在兩個(gè)方面：一是基本概念與范疇不對應(yīng)，二是規(guī)定重復(fù)且不完全一致。

對于上述問題，如果能夠按照先制定個(gè)人信息保護(hù)法，民法典隨后銜接的方式，當(dāng)然是最理想的解決方案。鑒于兩部法律目前不同的立法進(jìn)度，尤其是民法典出臺(tái)已經(jīng)箭在弦上，這種解決方案的現(xiàn)實(shí)可能性應(yīng)該不會(huì)太大。但是，即使到目前這個(gè)階段，類似基本概念與范疇的統(tǒng)一與科學(xué)性等問題（如對“處理”的定義），《民法典（草案）》還是應(yīng)該盡量作出調(diào)整，以提高立法質(zhì)量。

在《民法典（草案）》難以作出大的調(diào)整的情況下，次優(yōu)的解決方案只能是在給定的條件下，通過個(gè)人信息保護(hù)法立法，確立法律適用規(guī)則，明確民法典是私法、一般法、舊法，個(gè)人信息保護(hù)法是公法、特別法、新法。對于個(gè)人信息保護(hù)，宜優(yōu)先適用個(gè)人信息保護(hù)法，個(gè)人信息保護(hù)法沒有規(guī)定的，再適用民法典。