文/石佳友

2021年8月20日全国人大常委会审议通过了《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》），这是我国在信息网络时代保障个人权利的基本立法。由于《个人信息保护法》中设置了大量的私法规范，而作为我国私法基本法的《中华人民共和国民法典》（以下简称《民法典》）在其总则编及人格权编亦均对个人信息保护作出了规定，因此，需要厘清它们之间的逻辑关系，以便于法律实施过程中的准确适用。

个人信息保护立法使命的转向

个人信息保护的立法肇端于20世纪70年代的欧洲。在当时，收集和处理个人信息的多为公权力机构；因此，早期个人信息立法的主要使命在于规制公共机构的信息处理行为。但是，在进入21世纪以后，随着信息网络技术的突飞猛进，无以数计的大企业、超级平台的收集处理个人信息的能力大大突破此前所可能达到的限度；私立部门信息处理机构的数量、处理能力和规模、处理的深度和广度等都远超传统的公立部门。这一现象的重要背景是，个人信息的商业价值也日益凸显，数据成为企业的核心资产。在当代，人工智能技术的应用尤其对个人信息保护带来了新的挑战；当代个人信息保护法的主要使命从约束公权力机构的传统目标转向约束超级平台等私法主体，以规制互联网企业等私法主体为主要任务，而对国家机关处理个人信息设定某些特别法规则；这也是当代个人信息保护立法所必须秉持的“问题导向”。

正是基于这样的考虑，我国个人信息保护法从规范的数量来看，明显以私法规范为主，占比大于三分之二；而公法性质的规范约占三分之一。这些公法规范主要涉及国家保护义务、国家机关处理个人信息的特别规定、个人信息跨境提供的规则、履行个人信息保护职责的部门以及法律责任中的行政责任、刑事责任等条款。无论从何种角度切入，都无法否认《个人信息保护法》同时包含了公法规范与私法规范，具有公法与私法的“混合法”属性。不过，在这种混合体制中，公法与私法规范并非等量齐观：如前所述，私法规范显然是主体，公法规范的体量较小。还需要指出的是，作为主体的私法规范大多为完全法条，具有很强的可操作性，可以在司法中直接援引适用；而其中的公法规范大多为不完全法条，在未来有赖于行政法规和规章予以具体贯彻落实，本身难以在司法中直接适用。

当然，还必须强调的是，《个人信息保护法》第1条明确宣告“根据宪法，制定本法”。“根据宪法，制定本法”的措辞相当于以间接方式承认个人信息权具有宪法价值；这一条款具有重要意义。从个人信息立法的当代最新发展来看，承认个人信息权的基本权利属性是一个十分显著的趋势。本条所提到的宪法依据，应该是我国宪法第38条所规定的人格尊严、第39条住宅不受侵犯、第40条通信秘密等条款；基于人格尊严，个人对其个人信息享有决定权；基于通信秘密，其姓名、住址等身份信息应受保护。考虑到个人信息处理者中很多是国家机关，因此，强调个人信息权的基本权利属性，承认其具有可以对抗公权力机构的效力，在当前尤其具有重要的现实意义。

不过，也需要注意的是，对“根据宪法，制定本法”的宣示措辞并无必要进行过分解读或夸大。事实上，文本中有“根据宪法，制定本法”措辞的立法并不在少数，不能据此就推断出这部立法必然具有基本法律的性质。根据我国《立法法》第7条，基本法律的制定权属于全国人大，而其他法律的制定权属于全国人大常委会；因此，《个人信息保护法》并不具有基本法律的地位与属性，而只是一部一般性法律。另外，在法律部门划分的意义上，作为专门规范个人信息保护事项的单行法，个人信息保护法本身并不构成一个独立的法律部门，而属于民法与行政法的交叉型法律。从我国个人信息保护法的体例结构来看，关于个人信息处理合法性基础，立法所采取的是“个人同意—法定职责”的二元架构模式，也正是对应于私法处理者—公法处理者的二元范式；前者是基于私益因此需要信息主体的知情同意，而后者是基于公益因而无须其同意。前者是原则，属于普通法规则；而后者是例外，是特别法性质。因此，该法第二章个人信息处理规则的基本架构可以概括如下：同意（一般个人信息）—单独同意（敏感个人信息）—同意例外（国家机关处理个人信息）。以同意为构建法律关系的基础，这体现出主体之间关系的双边性，这是私法关系的典型表征。而在公法关系中，法律关系则表现出明显的单边性。从规范配置的角度来看，《个人信息保护法》的主体是私法规范，其余的为公法性质的规范；这种公私法混合的特征也是当代法律的普遍趋势。《个人信息保护法》所采取的公法与私法的协同规制，正是为了有效对公民的个人信息进行保护，这是我国网络治理体系现代化的重要表征。

《民法典》与《个人信息保护法》关系的厘清

民法与个人信息保护法之间存在极为密切的内在关联，这是比较法上的普遍现象。从比较法的经验来看，立法者选择通过人格权制度来保护个人信息，这一决策绝非偶然，因为人格权制度与个人信息保护之间存在密切的逻辑联系：个人信息由于其与特定主体的身份相关，属于人格要素；基于人格尊严和人格自由发展，个人对其身份信息享有决定权，有权控制其信息的收集、使用和分享。这也是我国《民法典》在其第四编人格权编规定个人信息保护制度的根本原因所在。而《民法典》中所规定的个人信息保护制度，对《个人信息保护法》也有重要的影响与价值。《个人信息保护法》在整体上沿袭了《民法典》对个人信息保护制度所确立的基本范畴和基本架构。

结合比较法的经验来看，《民法典》与《个人信息保护法》中的私法规范构成普通法与特别法的关系；而《个人信息保护法》中公法规范，则可以视为是行政基本法典的特别法。根据特别法优于普通法的原则，特别法有具体规定时应优先于普通法适用；而在特别法没有规定的情况下，可以适用普通法的规则。需要特别强调的是，特别法不是部门法、附属法，普通法/特别法不是法律部门的划分标准；因此，强调《个人信息保护法》中私法规范的特别法性质，不等于《个人信息保护法》是《民法典》的附属法，因此，并不存在对其地位的贬低或矮化。特别法与普通法也不存在位阶上的等级关系，很多时候普通法与特别法可能处于法律位阶的同一等级，譬如民法与商法。厘清普通法/特别法的逻辑关系，仅仅是用来解决法律适用上的冲突问题，因为在两部法律均有规定的情况下，二者的不同规定无法同时进行平行适用，而只能相互补充：特别法有规定的时候适用特别法，特别法无规定的时候以普通法规范作为补充。因此，将《个人信息保护法》视为《民法典》的特别法，并非所谓的“民法霸权主义”：真正的“民法霸权主义”是将民法规则的适用领域不当扩张至其他法律部门；正好与之相反的是，将《个人信息保护法》视为《民法典》的特别法恰恰是赋予《个人信息保护法》以优先适用的地位，确保《个人信息保护法》的具体规则的优先适用，而阻断了民法的一般性规则的适用；这正好体现的是对作为普通法地位的民法规则的一种抑制和约束，而完全不是所谓民法企图“毕其功于一役”的“包打天下”思路。

更具体地说，民法与个人信息保护法的关系类似于民法与消费者保护法的关系。消费者权益保护法与个人信息保护法都属于保护性规范，旨在保护特定的群体或利益，整体上都立足于国家保护义务：个人信息保护基于国家对人格尊严的保护义务，而消费者保护基于国家对平等、社会正义等价值的保护义务。在比较法上，消费者保护法也同样被认为具有宪法意义，同样具有宪法依据。在整体上，消费者保护法被普遍视为是民法的民事平等和契约自由原则的例外，包含了大量的补充性和例外性规则。值得指出的是，个人信息保护常常是发生在经营者与消费者之间的框架内。在当代，对于互联网企业特别是超级平台来说，其与用户之间的关系构成经营者与消费者之间的关系；作为经营者，平台在对消费者所负担的义务中即包含了个人信息保护的义务。还值得注意的是，除了立法名称和目标中鲜明的保护性特征之外，从法律文本的结构与内容来看，我国消费者权益保护法与个人信息保护法也十分相近。

在明确了《民法典》与《个人信息保护法》中的私法规范的普通法—特别法关系之后，就比较容易进行正确的法律适用。《个人信息保护法》有大量不同于《民法典》的特殊规定，这些特别法规则显然应该优先适用。在这些特殊规则中，有一些是原则层面的特别规则，另一些则是规则层面的特殊规则。以原则层面为例，《个人信息保护法》在《民法典》所规定的合法、正当、必要原则之外，特别增加规定了公开、透明原则；这是对《民法典》个人信息保护制度的重要发展，有重要的理论意义与实践价值。就规则层面的特别法而言，首先是基本范畴层面的特殊规则。就此而言，值得特别注意的是，《个人信息保护法》采纳了“敏感个人信息”的概念，而未采纳《民法典》的“私密信息”概念，此种做法对于为相关信息处理者确立清楚的法律预期、合理控制其合规成本、增强法律的安定性价值均具有积极意义。另外，《个人信息保护法》在规则层面具有较多的特别法制度创新，譬如告知同意规则、自动化处理、对公共视频监控设备的规制、删除权范围的扩张、携带权、个人信息保护影响评估制度、死者的个人信息保护等。值得注意的是，死者个人信息保护的条件比《民法典》中死者人格利益保护更为严苛，法律仅许可在特定情形下近亲属可以代为行使死者的某些个人信息权利，且法律允许通过事先的特别约定来排除这些权利，其原因在于：较之于一般人格利益而言，个人信息具有更强的公共性和社会性，与社会交往和表达自由的关系也更为密切，因此，个人信息在个人死后保护的必要性相对较弱。显然，《个人信息保护法》的这些特别法规则应当优先于《民法典》的规定而得到适用。

个人信息保护领域中《民法典》规则的适用

《民法典》和《个人信息保护法》之间的普通法与特别法关系意味着，在《个人信息保护法》没有特殊规定的时候，可以适用《民法典》的一般性规则；将二者对立起来的观点，是对个人信息保护制度过于偏狭的理解，对于个人信息保护的实践也是有害的。《民法典》的诸多制度和规则，对于有效保护信息主体的个人信息权益，具有不可替代的重要功用。

首先，就《民法典》第一编总则编而言，必须强调的是，第111条“自然人的个人信息受法律保护”是个人信息民法保护的“一般条款”，在《个人信息保护法》和《民法典》缺乏相关具体规定的时候，可以作为“兜底条款”来援引。另外，总则编第179条关于惩罚性赔偿的规定、第186条关于责任竞合的规定等条文可以适用于个人信息保护领域。

其次，就《民法典》第四编人格权编而言，其与个人信息保护的关联尤其密切，诸多一般性规则均可以直接适用。就《民法典》第993条人格权许可使用制度而言，一般性的个人信息可以成为许可使用的对象；但对于敏感个人信息，不应成为许可他人使用的对象。关于《民法典》第995条人格权请求权，对个人信息保护同样适用。《民法典》第997条人格权禁令同样亦可适用于个人信息保护，这也是个人信息保护的预防性功能的重要内容。人格权禁令在性质上属于针对紧急情况的例外措施，适用于无法容忍的严重侵害行为；为此，申请人须证明损害的迫在眉睫，侵权行为可能造成无法修复、不可弥补、无法逆转的损害。因此，信息主体如援引本条需证明其个人信息权益损害的紧急性、严重性和不可逆性。就《民法典》第998条所规定的合比例性原则而言，该原则意味着所采取的手段必须与所希望达到的目标之间相称，在认定是否侵害个人信息权益的场景下，应特别考虑“合理期待”理论，考察个人与信息处理者之间的特定关系以及前者据此对其个人信息保护所持有的合理期待。至于《民法典》第999条的合理使用制度，由于在适用对象中明确列举了个人信息，因此无疑可适用于个人信息保护领域。《民法典》第1000条规定了侵犯人格权的民事责任的范围及其执行方式，对于侵犯个人信息的行为显然也可以适用。鉴于征信过程中需要收集和处理大量个人信息，《民法典》第1029—1030条信用权的规定显然可以适用于个人信息保护领域。

再次，《民法典》第七编侵权责任编的诸多规定同样适用于个人信息保护领域。《个人信息保护法》第69条第1款显然是《民法典》第1165条第2款在个人信息保护领域的直接适用。显然，判定信息处理者是否可通过举证推翻其过错推定继而免除责任，必须回到民法侵权责任法的普通法框架中去探讨。欧盟法上“确保且能够证明信息处理的合规性”，对未来我国个人信息保护法第69条过错推定责任的免责认定，具有参考价值；对于信息处理者证明自己没有过错的判定，应当采取较为严格的标准。

另外，《民法典》第1183条所规定的精神损害赔偿制度对于个人信息保护领域亦可适用。关于《民法典》第1195—1196条所规定的网络侵权规则是否可适用于网络侵害个人信息的问题，从欧盟法经验来看，《民法典》的网络侵权规则原则上不应适用于个人信息保护领域，因为在一般情况下，网络服务提供者对于引发争议的个人信息处理行为并不知情且缺乏足够的控制能力，无法决定其处理个人信息的目的、方式及范围，因此，其不构成《个人信息保护法》上的“信息处理者”。

结语

个人信息的私法保护规范及机制对于有效保障民事主体的个人信息权益十分重要。基于构建现代化的网络治理体系，《个人信息保护法》同时包含了公法与私法性质的规范，尤其设立了大量的私法规则、制度和原则，具有明显的私法面向，因此，有必要从体系化的角度与《民法典》作关联解读与适用。为准确适用法律，需要正确看待《民法典》与《个人信息保护法》的私法规范之间的逻辑关系：总体上，二者之间构成普通法与特别法之间的关系；在《个人信息保护法》有明确规定的情况下，应优先适用其规定；而当《个人信息保护法》没有具体规定的时候，可以适用《民法典》。作为民事领域最为基础和全面的立法，《民法典》除了其人格权编的规范可直接适用于个人信息保护领域之外，其总则编、合同编、侵权责任编等部分的相关规范对个人信息的保护也不可或缺。在个人信息保护的法律适用中将二者进行割裂甚至对立起来的观点，或者对《民法典》采取封闭排斥的态度，都可能会破坏法律体系的和谐和法律适用的统一，对个人信息保护来说也是有害的。个人信息的有效保护，需要包括个人信息保护法、民法典、刑法及其他相关立法在内的不同法律的协同规制，共同为数字时代的个人构筑起坚实缜密的法律保护屏障。