王阿敏

（郑州旅游职业学院 思想政治理论课教学部， 河南 郑州 450000）

一、民法典对隐私权及个人信息保护的二元法律架构

大数据时代信息技术的勃兴使得隐私权和个人信息保护问题异常突出，隐私与个人信息之间的天然联系导致两者在理论界和实务界的争论不断。由于各界对两者都应划归人格权范畴争议较少，故2021年开始施行的《民法典》将人格权独立成编，专门设立了“隐私权和个人信息保护”一章，首次设立了我国特有的“隐私权”与“个人信息保护”二元法律架构，分别对两者进行了概念界定，回应了时代命题，完善了民法体系，有助于在初步厘清关系的基础上对两者进行及时有效的民法保护。

关于隐私权保护，《民法典》第1032 条和第1033条首次界定了隐私权的概念，即“自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息”；扩充了个人私密空间的范围，即除了物理实体空间外，还包括个人的网络虚拟空间；并且明确了隐私权的各种侵害行为，如“刺探、侵扰、泄露、公开”等，还载明了6种非经法律规定或权利人同意不能实施的行为。关于个人信息权益保护，体现在《民法典》第1034至1038条，界定了个人信息的内涵，即“以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息”；明确了处理个人信息的原则、条件和方式；载明了信息处理者确保个人信息安全的相关义务；第1039条特别规定了国家机关、法定机构及其工作人员的保密义务等。这是一个突破，因为以前司法中都是将个人信息纳入到隐私权保护范围内，而《民法典》无疑是认可了公民在大数据时代的数字人格，实现了从“一元”到“二元”的与时俱进。不过由于个人信息的法律属性尚无定论，故《民法典》并未最终使用“个人信息权”概念，但同时又赋予了信息主体防御性的信息自决权或控制权等具体权项。

当传统民法在大数据时代的网络隐私侵权现象和个人信息安全问题面前受到挑战时，我国《民法典》响应时代呼唤，设专章对两者进行分别保护的二元法律架构无疑具有重要意义，既填补了当下立法空窗期的缺失，也为将来的专门立法留下了衔接空间。但“二元”法律架构同时也说明了隐私权与个人信息权益保护二者之间的“不解之缘”。如经过仔细研究发现，第1032条和1034条关于个人私密信息的规定存在“最大公约数”，而对两者如何界分并无更多明确规定。学界对两者区分的标准目前比较模糊，对司法实践的指导性也不强。

二、隐私权与个人信息权益的关系

《民法典》将隐私权和个人信息保护同纳入人格权编，并且规定了在两者发生重复情形下应优先适用隐私规则，但因为个人信息和隐私具有重合性，因此必须在法律上对其进行区分。［1］也有观点认为隐私和个人信息不只是概念之别，更有着法律后果的差异。［2］王利明教授认为，隐私权和个人信息保护两者之间应该是“和而不同”的关系。

（一）隐私权与个人信息权益的交叉重合

经过对两大法系的对比研究可知，在现有诸多立法中隐私权和个人信息权益两者之间的关系一直未能得到明确界分。我国也不例外，《民法典》虽然对这些争议予以了一定程度的回应，但从第1032条至第1038条的具体规则来看，两者在何为“私密信息”的界定问题上仍存在交叉重合。其主要原因有：

第一，在权利主体方面，二者都属于民事主体中的自然人所享有的人格权益范畴，且此前司法界一直存在交叉混用情况，《民法典》将两者同置于一章，应当也是出于两者之间具有天然联系的考虑。

第二，在权利客体方面，两者本身在外延上具有一定交叉重合性，尤其体现在前述“私密信息”的界定上。个人信息的范围非常广，通常包括任何已识别或者可识别特定个人的信息，范围远远大于个人不愿为人所知、披露后会导致社会评价降低的私密信息（隐私）。［3］个人信息中既包括了可公开的特定主体识别信息，也包括了不可公开的私密信息。而隐私本身就具有个人信息的性质。

第三，在侵害方式方面，随着计算机网络新技术发展，两者的侵害方式中都包括了非法收集获取、不当泄露，甚至非法转让等形式，在侵害后果、侵害责任等方面也有一定竞合性。个人信息权益保护问题作为网络和大数据时代一项新的挑战，在《个人信息保护法》尚未正式出台之前，只能先纳入《民法典》人格权编，和隐私权并行加以保护。

第四，在功能行使的交互性上，信息主体的权益在于依据个人意愿对个人信息与外界进行合理交互利用，隐私权则主要是消极防御性地保护个人私密信息不被非法收集和不当泄露，仅在特定情境下与外界进行交互使用，如患者在就医时就不能讳疾忌医。故此，个人信息和隐私都具有信息的交互性，只是二者的交互范围并不相同［1］，前者的交互范围更大。

从以上原因可见，《民法典》的现行规定依然存在着两者之间如何界分的问题，需要进一步厘清区别，以确立各自适用的保护规则。

（二）隐私权与个人信息权益的界分

隐私权概念产生于互联网的诞生地美国，早在19世纪末就由美国学者提出，个人信息保护则产生于20世纪60至70年代欧洲的法学界，主要是为了应对大数据时代所带来的信息泄露问题，是一种新型的法律权益。在《民法典》出台之前，我国法律和学界已经开始倾向于将两者作为不同的权益分别加以保护，特别是2016年8月的“徐玉玉案”进一步促使《民法总则》中首次加入了个人信息保护的内容。《民法典》虽将两者同放在一章，但亦对两者分别进行了规定，这说明两者之间是有区别的。其区别主要在于以下四个方面：

第一，在权利性质方面，隐私权作为一种法定人格权，系绝对权，也是支配权和排他权，只具有人身属性而不具有财产属性。而与此不同的是，学界普遍认为个人信息权益不仅存在人格利益的属性，也存在财产利益问题，属于一种综合性权益。故此，《民法典》并未将个人信息当作一项具体的人格权而使用“个人信息权”的表述。

第二，在权利内容方面，隐私权主要在于维护自然人的私人生活安宁、私密空间不被侵犯、私密活动不被打扰、私密信息不被披露等，具有被动的消极防御性，即只有在隐私权被侵犯时才能主张。而个人信息权益则是对个人信息的支配和决定权，除了被动防御外，还可以积极自主地支配利用。

第三，从保护力度方面，《民法典》第1033条在规定关于隐私权侵害行为的免责事由时，要求“除法律另有规定或者权利人明确同意”，而第1038条在规定个人信息处理者的信息安全保障义务及免责事由时，则表述为“未经自然人同意”，没有“明确”二字。王利明教授认为，这是立法者经过反复研究的结果，表明隐私信息的披露、收集和使用只能获得权利人的明示同意才可进行，而个人信息则可以采用默示同意或者概括同意。

第四，从权利救济方面，隐私权作为一种消极防御性权利，多采用事后救济手段，如要求停止侵害、排除妨害、赔偿损失等，且造成严重精神损害的，被侵权人还有权请求精神损害赔偿。而侵害个人信息权益的救济方式还包括事前预防、要求更新更正等。同时，在举证方面，侵害隐私权的救济只需要证明行为人实施了非法行为且无法定免责事由即可，而侵害个人信息权益，通常还需要证明实际损害的存在。

基于以上两者之间“和而不同”的关系，我国《民法典》首次设立了特有的二元法律架构，初步构建了隐私权保护和个人信息权益保护的私法框架，为当下正确处理相关法律纠纷提供了基本的民法依据。

三、未来隐私权与个人信息保护“公私并行”的路径完善

《民法典·人格权编》为隐私权与个人信息权益保护构建了一个相对完善又具有弹性的规则框架，具有极为重要的意义，但仍不足以应对大数据驱动的信息时代给隐私与个人信息保护带来的安全风险。如有学者认为个人信息的保护非私法所能承受之重，通过刑法等公法手段予以保护必不可少。［4］现代法律对个人信息的保护，应当采取公法与私法并重的综合性保护方法，二者不可偏废。［5］笔者认为未来立法应以《民法典》中隐私概念与个人信息的界分为基本标准和依据，并进一步对个人信息予以权利化设置，在此基础上构建“公私并行”的保护路径。下文亦在此语境下进行论述。

（一）隐私权保护“公私并行”的路径完善

传统隐私权的保护主要在民法层面，《民法典》人格权编设专章首次对隐私权概念和保护范围作出明确规定，并列举了侵犯隐私权的行为类别，可谓一大进步，体现了以人为本的法治理念。但大数据时代隐私权被侵犯时受害者不仅难以察觉，且因技术不对等而难以举证、难以维权，甚至无法救济。因此隐私权的公法保护体系建构亦非常必要。首先，需要在作为上位法的《宪法》条文中将隐私权确定为一项基本权利。目前《宪法》第37至39条规定了公民的人身自由、人格尊严、住宅及通信秘密不受侵犯，可视为宪法对隐私权保护的体现，但从规范网络服务商、防止公权力异化和建立隐私权边界［6］出发，保护力度还不够。其次，建议在行政立法中对公民隐私权相关的行政权力进行规制，将宪法精神转化为更具有技术性和操作性的行政法保护规范，明确行政权力行使的隐私权边界。［7］再次，我国刑法及修正案当中对隐私权的保护主要体现在有关侵犯公民人身权利、非法获取出售公民个人信息等相关的各种犯罪及刑罚当中。最后，三大诉讼法当中都规定了涉及个人隐私的案件予以不公开审理的制度，但还需要在《行政诉讼法》中明确，在处理案件时所涉公民个人隐私不得随意公开等规范公权力的条款。通过以上规定为隐私权构建起不同层次、不同方面的公法保护。

（二）个人信息权保护“公私并行”的路径完善

首次将个人信息作为自然人的一项民事权益进行了私法上的保护是《民法典》的一个重大创新和亮点，不但首次载入个人信息概念，而且规定了收集、使用个人信息应当遵循的原则，顺应了“工业4.0”时代的要求，但也并未直接将个人信息确立为一项“权利”，而仅是初步搭建起一个私法制度框架，关于责任追究和权利救济的具体路径还有待完善。除了私法保护之外，基于大数据时代个人信息易呈几何级数扩散的风险，个人信息还有必要由公法进行自上而下地规制和协同保护。首先，在作为上位法的《宪法》中将个人信息权作为一项宪法上的基本权利予以认可和确立，为公法上的个人信息保护提供最权威的法理基础。［8］明确国家的法定职责和保护义务，对国家机关自身的信息处理行为也能进行宪法约束，对抗政府滥用权力侵害个人信息基本权利的行为。其次，推进专门性的特别立法，设置独立的信息保护专门机构，通过纳入责任要求、明确行为规范、完善行政责任和刑事责任的有效衔接、加大违法成本、提高违法行为被发现的可能性等方式，构筑有效的责任追究和执法威慑的外部机制。［9］在个人信息安全和行业发展之间、公权力行使和私权利保障之间寻找平衡点，争取做到激励相容。2021年4月29日，《个人信息保护法（草案二审审议稿）》和《数据安全法（二审审议稿）》已向全社会公布并公开征求意见，该审议稿针对当前社会普遍关心的个人信息过度收集和滥用等焦点作出明确回应，还在第四章中明确了个人在个人信息处理活动中的各项具体权能。可见，我国个人信息保护和数据安全的系统法律框架正在逐步形成，将对数字经济发展、个人信息保护与企业数据合规等产生深刻影响，但该审议稿在总则中依然沿用了“个人信息权益”概念而未对个人信息进行权利化处理。最后，结合《消费者权益保护法》《反垄断法》等法律对企业主体侵害消费者权益的定价算法、垄断行为等予以规制，打造健康规范有序的市场法律环境，协力保护公民个人信息安全。