文/石佳友

2021年8月20日全國人大常委會審議通過了《中華人民共和國個人信息保護法》（以下簡稱《個人信息保護法》），這是我國在信息網(wǎng)絡時代保障個人權(quán)利的基本立法。由于《個人信息保護法》中設置了大量的私法規(guī)范，而作為我國私法基本法的《中華人民共和國民法典》（以下簡稱《民法典》）在其總則編及人格權(quán)編亦均對個人信息保護作出了規(guī)定，因此，需要厘清它們之間的邏輯關(guān)系，以便于法律實施過程中的準確適用。

個人信息保護立法使命的轉(zhuǎn)向

個人信息保護的立法肇端于20世紀70年代的歐洲。在當時，收集和處理個人信息的多為公權(quán)力機構(gòu)；因此，早期個人信息立法的主要使命在于規(guī)制公共機構(gòu)的信息處理行為。但是，在進入21世紀以后，隨著信息網(wǎng)絡技術(shù)的突飛猛進，無以數(shù)計的大企業(yè)、超級平臺的收集處理個人信息的能力大大突破此前所可能達到的限度；私立部門信息處理機構(gòu)的數(shù)量、處理能力和規(guī)模、處理的深度和廣度等都遠超傳統(tǒng)的公立部門。這一現(xiàn)象的重要背景是，個人信息的商業(yè)價值也日益凸顯，數(shù)據(jù)成為企業(yè)的核心資產(chǎn)。在當代，人工智能技術(shù)的應用尤其對個人信息保護帶來了新的挑戰(zhàn)；當代個人信息保護法的主要使命從約束公權(quán)力機構(gòu)的傳統(tǒng)目標轉(zhuǎn)向約束超級平臺等私法主體，以規(guī)制互聯(lián)網(wǎng)企業(yè)等私法主體為主要任務，而對國家機關(guān)處理個人信息設定某些特別法規(guī)則；這也是當代個人信息保護立法所必須秉持的“問題導向”。

正是基于這樣的考慮，我國個人信息保護法從規(guī)范的數(shù)量來看，明顯以私法規(guī)范為主，占比大于三分之二；而公法性質(zhì)的規(guī)范約占三分之一。這些公法規(guī)范主要涉及國家保護義務、國家機關(guān)處理個人信息的特別規(guī)定、個人信息跨境提供的規(guī)則、履行個人信息保護職責的部門以及法律責任中的行政責任、刑事責任等條款。無論從何種角度切入，都無法否認《個人信息保護法》同時包含了公法規(guī)范與私法規(guī)范，具有公法與私法的“混合法”屬性。不過，在這種混合體制中，公法與私法規(guī)范并非等量齊觀：如前所述，私法規(guī)范顯然是主體，公法規(guī)范的體量較小。還需要指出的是，作為主體的私法規(guī)范大多為完全法條，具有很強的可操作性，可以在司法中直接援引適用；而其中的公法規(guī)范大多為不完全法條，在未來有賴于行政法規(guī)和規(guī)章予以具體貫徹落實，本身難以在司法中直接適用。

當然，還必須強調(diào)的是，《個人信息保護法》第1條明確宣告“根據(jù)憲法，制定本法”?！案鶕?jù)憲法，制定本法”的措辭相當于以間接方式承認個人信息權(quán)具有憲法價值；這一條款具有重要意義。從個人信息立法的當代最新發(fā)展來看，承認個人信息權(quán)的基本權(quán)利屬性是一個十分顯著的趨勢。本條所提到的憲法依據(jù)，應該是我國憲法第38條所規(guī)定的人格尊嚴、第39條住宅不受侵犯、第40條通信秘密等條款；基于人格尊嚴，個人對其個人信息享有決定權(quán)；基于通信秘密，其姓名、住址等身份信息應受保護?？紤]到個人信息處理者中很多是國家機關(guān)，因此，強調(diào)個人信息權(quán)的基本權(quán)利屬性，承認其具有可以對抗公權(quán)力機構(gòu)的效力，在當前尤其具有重要的現(xiàn)實意義。

不過，也需要注意的是，對“根據(jù)憲法，制定本法”的宣示措辭并無必要進行過分解讀或夸大。事實上，文本中有“根據(jù)憲法，制定本法”措辭的立法并不在少數(shù)，不能據(jù)此就推斷出這部立法必然具有基本法律的性質(zhì)。根據(jù)我國《立法法》第7條，基本法律的制定權(quán)屬于全國人大，而其他法律的制定權(quán)屬于全國人大常委會；因此，《個人信息保護法》并不具有基本法律的地位與屬性，而只是一部一般性法律。另外，在法律部門劃分的意義上，作為專門規(guī)范個人信息保護事項的單行法，個人信息保護法本身并不構(gòu)成一個獨立的法律部門，而屬于民法與行政法的交叉型法律。從我國個人信息保護法的體例結(jié)構(gòu)來看，關(guān)于個人信息處理合法性基礎(chǔ)，立法所采取的是“個人同意—法定職責”的二元架構(gòu)模式，也正是對應于私法處理者—公法處理者的二元范式；前者是基于私益因此需要信息主體的知情同意，而后者是基于公益因而無須其同意。前者是原則，屬于普通法規(guī)則；而后者是例外，是特別法性質(zhì)。因此，該法第二章個人信息處理規(guī)則的基本架構(gòu)可以概括如下：同意（一般個人信息）—單獨同意（敏感個人信息）—同意例外（國家機關(guān)處理個人信息）。以同意為構(gòu)建法律關(guān)系的基礎(chǔ)，這體現(xiàn)出主體之間關(guān)系的雙邊性，這是私法關(guān)系的典型表征。而在公法關(guān)系中，法律關(guān)系則表現(xiàn)出明顯的單邊性。從規(guī)范配置的角度來看，《個人信息保護法》的主體是私法規(guī)范，其余的為公法性質(zhì)的規(guī)范；這種公私法混合的特征也是當代法律的普遍趨勢?！秱€人信息保護法》所采取的公法與私法的協(xié)同規(guī)制，正是為了有效對公民的個人信息進行保護，這是我國網(wǎng)絡治理體系現(xiàn)代化的重要表征。

《民法典》與《個人信息保護法》關(guān)系的厘清

民法與個人信息保護法之間存在極為密切的內(nèi)在關(guān)聯(lián)，這是比較法上的普遍現(xiàn)象。從比較法的經(jīng)驗來看，立法者選擇通過人格權(quán)制度來保護個人信息，這一決策絕非偶然，因為人格權(quán)制度與個人信息保護之間存在密切的邏輯聯(lián)系：個人信息由于其與特定主體的身份相關(guān)，屬于人格要素；基于人格尊嚴和人格自由發(fā)展，個人對其身份信息享有決定權(quán)，有權(quán)控制其信息的收集、使用和分享。這也是我國《民法典》在其第四編人格權(quán)編規(guī)定個人信息保護制度的根本原因所在。而《民法典》中所規(guī)定的個人信息保護制度，對《個人信息保護法》也有重要的影響與價值。《個人信息保護法》在整體上沿襲了《民法典》對個人信息保護制度所確立的基本范疇和基本架構(gòu)。

結(jié)合比較法的經(jīng)驗來看，《民法典》與《個人信息保護法》中的私法規(guī)范構(gòu)成普通法與特別法的關(guān)系；而《個人信息保護法》中公法規(guī)范，則可以視為是行政基本法典的特別法。根據(jù)特別法優(yōu)于普通法的原則，特別法有具體規(guī)定時應優(yōu)先于普通法適用；而在特別法沒有規(guī)定的情況下，可以適用普通法的規(guī)則。需要特別強調(diào)的是，特別法不是部門法、附屬法，普通法/特別法不是法律部門的劃分標準；因此，強調(diào)《個人信息保護法》中私法規(guī)范的特別法性質(zhì)，不等于《個人信息保護法》是《民法典》的附屬法，因此，并不存在對其地位的貶低或矮化。特別法與普通法也不存在位階上的等級關(guān)系，很多時候普通法與特別法可能處于法律位階的同一等級，譬如民法與商法。厘清普通法/特別法的邏輯關(guān)系，僅僅是用來解決法律適用上的沖突問題，因為在兩部法律均有規(guī)定的情況下，二者的不同規(guī)定無法同時進行平行適用，而只能相互補充：特別法有規(guī)定的時候適用特別法，特別法無規(guī)定的時候以普通法規(guī)范作為補充。因此，將《個人信息保護法》視為《民法典》的特別法，并非所謂的“民法霸權(quán)主義”：真正的“民法霸權(quán)主義”是將民法規(guī)則的適用領(lǐng)域不當擴張至其他法律部門；正好與之相反的是，將《個人信息保護法》視為《民法典》的特別法恰恰是賦予《個人信息保護法》以優(yōu)先適用的地位，確?！秱€人信息保護法》的具體規(guī)則的優(yōu)先適用，而阻斷了民法的一般性規(guī)則的適用；這正好體現(xiàn)的是對作為普通法地位的民法規(guī)則的一種抑制和約束，而完全不是所謂民法企圖“畢其功于一役”的“包打天下”思路。

更具體地說，民法與個人信息保護法的關(guān)系類似于民法與消費者保護法的關(guān)系。消費者權(quán)益保護法與個人信息保護法都屬于保護性規(guī)范，旨在保護特定的群體或利益，整體上都立足于國家保護義務：個人信息保護基于國家對人格尊嚴的保護義務，而消費者保護基于國家對平等、社會正義等價值的保護義務。在比較法上，消費者保護法也同樣被認為具有憲法意義，同樣具有憲法依據(jù)。在整體上，消費者保護法被普遍視為是民法的民事平等和契約自由原則的例外，包含了大量的補充性和例外性規(guī)則。值得指出的是，個人信息保護常常是發(fā)生在經(jīng)營者與消費者之間的框架內(nèi)。在當代，對于互聯(lián)網(wǎng)企業(yè)特別是超級平臺來說，其與用戶之間的關(guān)系構(gòu)成經(jīng)營者與消費者之間的關(guān)系；作為經(jīng)營者，平臺在對消費者所負擔的義務中即包含了個人信息保護的義務。還值得注意的是，除了立法名稱和目標中鮮明的保護性特征之外，從法律文本的結(jié)構(gòu)與內(nèi)容來看，我國消費者權(quán)益保護法與個人信息保護法也十分相近。

在明確了《民法典》與《個人信息保護法》中的私法規(guī)范的普通法—特別法關(guān)系之后，就比較容易進行正確的法律適用?！秱€人信息保護法》有大量不同于《民法典》的特殊規(guī)定，這些特別法規(guī)則顯然應該優(yōu)先適用。在這些特殊規(guī)則中，有一些是原則層面的特別規(guī)則，另一些則是規(guī)則層面的特殊規(guī)則。以原則層面為例，《個人信息保護法》在《民法典》所規(guī)定的合法、正當、必要原則之外，特別增加規(guī)定了公開、透明原則；這是對《民法典》個人信息保護制度的重要發(fā)展，有重要的理論意義與實踐價值。就規(guī)則層面的特別法而言，首先是基本范疇層面的特殊規(guī)則。就此而言，值得特別注意的是，《個人信息保護法》采納了“敏感個人信息”的概念，而未采納《民法典》的“私密信息”概念，此種做法對于為相關(guān)信息處理者確立清楚的法律預期、合理控制其合規(guī)成本、增強法律的安定性價值均具有積極意義。另外，《個人信息保護法》在規(guī)則層面具有較多的特別法制度創(chuàng)新，譬如告知同意規(guī)則、自動化處理、對公共視頻監(jiān)控設備的規(guī)制、刪除權(quán)范圍的擴張、攜帶權(quán)、個人信息保護影響評估制度、死者的個人信息保護等。值得注意的是，死者個人信息保護的條件比《民法典》中死者人格利益保護更為嚴苛，法律僅許可在特定情形下近親屬可以代為行使死者的某些個人信息權(quán)利，且法律允許通過事先的特別約定來排除這些權(quán)利，其原因在于：較之于一般人格利益而言，個人信息具有更強的公共性和社會性，與社會交往和表達自由的關(guān)系也更為密切，因此，個人信息在個人死后保護的必要性相對較弱。顯然，《個人信息保護法》的這些特別法規(guī)則應當優(yōu)先于《民法典》的規(guī)定而得到適用。

個人信息保護領(lǐng)域中《民法典》規(guī)則的適用

《民法典》和《個人信息保護法》之間的普通法與特別法關(guān)系意味著，在《個人信息保護法》沒有特殊規(guī)定的時候，可以適用《民法典》的一般性規(guī)則；將二者對立起來的觀點，是對個人信息保護制度過于偏狹的理解，對于個人信息保護的實踐也是有害的?！睹穹ǖ洹返闹T多制度和規(guī)則，對于有效保護信息主體的個人信息權(quán)益，具有不可替代的重要功用。

首先，就《民法典》第一編總則編而言，必須強調(diào)的是，第111條“自然人的個人信息受法律保護”是個人信息民法保護的“一般條款”，在《個人信息保護法》和《民法典》缺乏相關(guān)具體規(guī)定的時候，可以作為“兜底條款”來援引。另外，總則編第179條關(guān)于懲罰性賠償?shù)囊?guī)定、第186條關(guān)于責任競合的規(guī)定等條文可以適用于個人信息保護領(lǐng)域。

其次，就《民法典》第四編人格權(quán)編而言，其與個人信息保護的關(guān)聯(lián)尤其密切，諸多一般性規(guī)則均可以直接適用。就《民法典》第993條人格權(quán)許可使用制度而言，一般性的個人信息可以成為許可使用的對象；但對于敏感個人信息，不應成為許可他人使用的對象。關(guān)于《民法典》第995條人格權(quán)請求權(quán)，對個人信息保護同樣適用?！睹穹ǖ洹返?97條人格權(quán)禁令同樣亦可適用于個人信息保護，這也是個人信息保護的預防性功能的重要內(nèi)容。人格權(quán)禁令在性質(zhì)上屬于針對緊急情況的例外措施，適用于無法容忍的嚴重侵害行為；為此，申請人須證明損害的迫在眉睫，侵權(quán)行為可能造成無法修復、不可彌補、無法逆轉(zhuǎn)的損害。因此，信息主體如援引本條需證明其個人信息權(quán)益損害的緊急性、嚴重性和不可逆性。就《民法典》第998條所規(guī)定的合比例性原則而言，該原則意味著所采取的手段必須與所希望達到的目標之間相稱，在認定是否侵害個人信息權(quán)益的場景下，應特別考慮“合理期待”理論，考察個人與信息處理者之間的特定關(guān)系以及前者據(jù)此對其個人信息保護所持有的合理期待。至于《民法典》第999條的合理使用制度，由于在適用對象中明確列舉了個人信息，因此無疑可適用于個人信息保護領(lǐng)域?！睹穹ǖ洹返?000條規(guī)定了侵犯人格權(quán)的民事責任的范圍及其執(zhí)行方式，對于侵犯個人信息的行為顯然也可以適用。鑒于征信過程中需要收集和處理大量個人信息，《民法典》第1029—1030條信用權(quán)的規(guī)定顯然可以適用于個人信息保護領(lǐng)域。

再次，《民法典》第七編侵權(quán)責任編的諸多規(guī)定同樣適用于個人信息保護領(lǐng)域。《個人信息保護法》第69條第1款顯然是《民法典》第1165條第2款在個人信息保護領(lǐng)域的直接適用。顯然，判定信息處理者是否可通過舉證推翻其過錯推定繼而免除責任，必須回到民法侵權(quán)責任法的普通法框架中去探討。歐盟法上“確保且能夠證明信息處理的合規(guī)性”，對未來我國個人信息保護法第69條過錯推定責任的免責認定，具有參考價值；對于信息處理者證明自己沒有過錯的判定，應當采取較為嚴格的標準。

另外，《民法典》第1183條所規(guī)定的精神損害賠償制度對于個人信息保護領(lǐng)域亦可適用。關(guān)于《民法典》第1195—1196條所規(guī)定的網(wǎng)絡侵權(quán)規(guī)則是否可適用于網(wǎng)絡侵害個人信息的問題，從歐盟法經(jīng)驗來看，《民法典》的網(wǎng)絡侵權(quán)規(guī)則原則上不應適用于個人信息保護領(lǐng)域，因為在一般情況下，網(wǎng)絡服務提供者對于引發(fā)爭議的個人信息處理行為并不知情且缺乏足夠的控制能力，無法決定其處理個人信息的目的、方式及范圍，因此，其不構(gòu)成《個人信息保護法》上的“信息處理者”。

結(jié)語

個人信息的私法保護規(guī)范及機制對于有效保障民事主體的個人信息權(quán)益十分重要?；跇?gòu)建現(xiàn)代化的網(wǎng)絡治理體系，《個人信息保護法》同時包含了公法與私法性質(zhì)的規(guī)范，尤其設立了大量的私法規(guī)則、制度和原則，具有明顯的私法面向，因此，有必要從體系化的角度與《民法典》作關(guān)聯(lián)解讀與適用。為準確適用法律，需要正確看待《民法典》與《個人信息保護法》的私法規(guī)范之間的邏輯關(guān)系：總體上，二者之間構(gòu)成普通法與特別法之間的關(guān)系；在《個人信息保護法》有明確規(guī)定的情況下，應優(yōu)先適用其規(guī)定；而當《個人信息保護法》沒有具體規(guī)定的時候，可以適用《民法典》。作為民事領(lǐng)域最為基礎(chǔ)和全面的立法，《民法典》除了其人格權(quán)編的規(guī)范可直接適用于個人信息保護領(lǐng)域之外，其總則編、合同編、侵權(quán)責任編等部分的相關(guān)規(guī)范對個人信息的保護也不可或缺。在個人信息保護的法律適用中將二者進行割裂甚至對立起來的觀點，或者對《民法典》采取封閉排斥的態(tài)度，都可能會破壞法律體系的和諧和法律適用的統(tǒng)一，對個人信息保護來說也是有害的。個人信息的有效保護，需要包括個人信息保護法、民法典、刑法及其他相關(guān)立法在內(nèi)的不同法律的協(xié)同規(guī)制，共同為數(shù)字時代的個人構(gòu)筑起堅實縝密的法律保護屏障。