您的位置: 法学院 >> 科学研究 >> 学术刊物 >> 正文
您的位置: 法学院 >> 科学研究 >> 学术刊物 >> 正文

湖湘法学评论|王利明: 论《个人信息保护法》与《民法典》的适用关系

时间:2021-12-11 浏览量:

王利明

(中国人民大学法学院教授,中国人民大学民商事法律科学研究中心研究员)


摘要:《个人信息保护法》是一部保护个人信息的综合性立法,其所包含的个人信息的私法规则与《民法典》构成特别法与一般法的关系,《民法典》确立了个人信息的性质及其在民事权利体系中的位置,是解释、适用《个人信息保护法》相关规则的基础和依据。《个人信息保护法》的适用需要在《民法典》的框架体系中展开,其适用应当贯彻《民法典》确认的人格尊严价值,并结合《民法典》确认的人格权保护一般规则。《个人信息保护法》还需要注重与《民法典》相关条款的体系协调,从而实现对个人信息的体系化保护。

关键词:个人信息保护法;民法典;人格尊严;体系化


《个人信息保护法》的颁行是我国个人信息保护立法领域的里程碑。该法适应互联网、大数据发展的需要,系统、全面地规定了个人信息保护规则,有效协调了个人信息权利保护与信息合理利用的关系,确立了一整套权责合理、保护有效的信息处理规则,必将全面维护信息主体的合法权益,促进数字经济的有序发展。然而,《个人信息保护法》在具体适用中遇到的一个重大而基础的理论问题,即:其与《民法典》有关个人信息保护规则的关系如何?理顺《个人信息保护法》与《民法典》在价值理念、框架体系、一般规则和具体条款之间的关联关系,有助于更好地定位和发挥《个人信息保护法》在个人信息保护中的应有作用。相反,如果将《个人信息保护法》与《民法典》的适用相分离,必然会极大地妨碍《个人信息保护法》的准确实施。有鉴于此,笔者就《个人信息保护法》与《民法典》的适用关系谈几点看法。


一、《个人信息保护法》的适用应在《民法典》的框架体系中展开


《民法典》是关于民事权益的基本法,是确认和保护一切民事权益的基础性法律,个人信息权益也不例外。《个人信息保护法》作为全面、系统地规定个人信息保护规则的一部立法,其在性质上属于“领域法”的范畴,也就是说,其既涉及私法规范,也涉及公法规范。据粗略统计,其中所涉及的个人信息保护的私法规范约有53条,这些规范在性质上应当属于民法规范。个人信息权益作为由《民法典》所确认的重要民事权益类型,自然也受到《民法典》的调整和规范,需要以《民法典》为基础来 展开。因此,《个人信息保护法》中有关个人信息保护的私法规范应当属于民法的组成部分,其解释、 适用应在《民法典》的框架体系中展开。有观点认为,个人信息是一种公法上的权利,其属于信息主体对抗信息控制者信息处理行为的新型公法权利,属于一种法定的权利类型,而且侵害该权利主要产生公法上的法律责任。因而,《个人信息保护法》在性质上属于公法,与《民法典》的私法规则不存在关系。此种观点是值得商榷的。原因在于:第一,个人信息本质上是一项人格权益,是《民法典》所确认的民事权益的组成部分,明确受到《民法典》的调整与保护。《民法典》在总则编第五章关于民事权利体系的构建中,于第111条明确规定:“自然人的个人信息受法律保护。”此外,《民法典》在人格权编第六章“隐私权和个人信息保护”章中采8个条文对个人信息保护的基本规则作出了明确规定。这就意味着,虽然侵害个人信息可能产生公法上的责任,但并不能据此否定个人信息的私权属性。换言之,纵使个人信息权益可以获得公法上的保护,但并不影响个人信息权益可以成为一项民事权益。第二,个人信息与隐私权具有密切的联系,我国《民法典》之所以在人格权编第六章中将二者并列规定,就是考虑到二者很难截然分离,尤其是《民法典》第1032条规定了私密信息隐私,其包含了大量的个人信息,而个人信息尤其是敏感个人信息,又可能属于私密信息隐私的范畴。从比较法上来看,美国法采用大隐私的概念,以隐私权的规则来保护个人信息,而欧盟法虽然将二者进行了区分,但实际上在立法文件中,考虑到二者存在密切关联,并没有做非常严格的界分。正是因为个人信息与隐私权所具有的密切联系性,因此不能否定个人信息的民事权益属性。第三,诚 然,个人信息权益同时受到公法与私法的保护,但对个人信息权益的确认是由《民法典》完成的。几乎所有的民事权利在受到民法调整的同时,也会受到诸如行政法、刑法等公法的保护,由此不能因为其受到公法的保护而一概否认其私权的属性。第四,虽然个人信息既可以是公法的保护对象,也可以是私法的保护对象,但二者所采用的保护方式与路径是不同的,完全通过公法是不可能实现对个人信息的充分保护的。公法对于保护个人信息具有很重要的作用,但并不能因此忽视甚至否定个人信息私法保护的作用和意义,因为《个人信息保护法》不仅要保护公共利益、维护公共秩序,也要维护自然人的合法权益,而且公法上的制裁不意味着受害人的损害得到了填补、实现了对受害人的救济。例如,即便仅就侵害个人信息的法律责任而言,公法只能对信息处理者的违规行为进行公法 制裁,如追究侵权者的行政责任或者刑事责任,但无法对信息主体的私法权益提供直接、充分的救济,对信息主体的权益救济只能由民法完成。可以说,公法的保护与私法的救济不可偏废,相得益彰,不能因为存在公法的保护而否定个人信息作为民事权益的属性。

如前所述,个人信息权益是《民法典》所确认的基本民事权益,《个人信息保护法》中的私法规范 与《民法典》的规范之间应当是特别法与一般法的关系。《民法典》是基础性法律,是私法的基本法,有学者将民法典与单行法的关系比喻为太阳与行星的关系,即民法典是“太阳”,而单行法则构成围 绕“太阳”公转的“行星”;“行星”根据“太阳”所投射的“光芒”来进行解释。就《民法典》与《个人信息保护法》的关系而言,《民法典》确定了个人信息保护的基本框架、原则和理念、价值,界分了个人信息与隐私权等其他人格权的关系,为个人信息保护法确立了最基础的规则。《民法典》所确立的保护人格尊严、保障民事权利等价值,是解释《个人信息保护法》的基础。《民法典》关于个人信息处理等规则的规定,不仅提供了个人信息保护的正当性基础,也为个人信息保护立法提供了基本法律依据。《个人信息保护法》对个人信息的保护也基本上是围绕《民法典》的规则而展开的。

《个人信息保护法》的适用应在《民法典》的框架体系中展开,因为从立法目的来看,《民法典》与《个人信息保护法》的立法目的是基本相同的。一方面,《民法典》保护个人信息的基本目的就是全面保障私权,保护人民群众在数字化时代所享有的各项民事权益,这也正是《个人信息保护法》第1条所确认的立法目的之所在。另一方面,《民法典》规范个人信息也旨在促进个人信息的合理利用。从比较法上来看,就个人信息的保护和利用两种价值之间的关系而言,各国个人信息保护法都是在平衡二者之间的关系,并进行有效协调,即既不能因个人信息的过度保护而忽视个人信息的有效利用,也不能完全为了个人信息的有效利用而忽视个人信息的保护,而是力图兼顾这两种价值,实现两者之间的动态平衡。《民法典》之所以未将个人信息确认为一项具体人格权,一个重要的原因就是为了防止因此而过度妨碍数据的共享、利用以及大数据产业在我国的发展,而“个人信息”的概念就 适当地平衡了信息主体的利益与数据共享、利用之间的关系。我国《个人信息保护法》兼顾个人信息的保护与利用,不仅全面强化对个人信息的保护,而且将促进个人信息合理利用作为其立法目的,多个条款都贯彻了促进个人信息合理利用的理念。例如,《个人信息保护法》第13条列举的不需要取得个人同意的情形中,就包括了依照法律规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息,其目的即在于保障个人信息的有效利用。

正是因为二者具有相同的立法目的,所以二者在具体的制度、规则设计方面具有相似性,因而,《个人信息保护法》的适用应当在《民法典》的框架下展开。具体而言:

第一,《民法典》明确了个人信息的性质及其在民事权利体系中的位置。《民法典》总则编第五章在规定民事权利体系时,虽然专门规定了自然人的个人信息受保护,但并没有将其规定为一项具体人格权,人格权编第六章仍然延续了这一做法。《个人信息保护法》也遵循了此种制度模式。个人信息是整个民事权益体系中的重要组成部分,是其中的重要环节。从基本的民事权利出发,如果将基本的民事权利分为合同债权、物权、人格权和身份权,那么,个人信息就属于人格权益的重要组成部分,全面保护个人信息也就是保护个人在数字化时代所享有的基本民事权益。由于《民法典》将个人信息界定为一项人格利益,而非具体人格权,因而,在民事权利位阶中,按照权利优先于利益的规 则,原则上除了一些特殊的敏感个人信息外,依据《民法典》第1034条第3款,一般个人信息与隐私权发生冲突时,应当优先保护隐私权。

第二,《民法典》将个人信息自主决定作为个人信息保护的价值基础,即个人对其个人信息的自主决定。个人信息保护的价值基础是个人的自决权,即个人自主决定其事务的权利,该概念由Wilhelm  Steinmüller和Bernd Lutterbeck在1971年提出,并得到了普遍认可。作为私人自治的一项具体表现,个人信息自决权获得了广泛的承认。我国《民法典》在规定个人信息保护规则时,也是以个人信息的自我决定为基础而展开的。《个人信息保护法》内容庞杂,但是这些制度仍然是围绕着个 人信息自主决定这条主线展开的。无论是第二章“个人信息处理规则”还是第三章“个人信息跨境提供规则”都是对个人自主决定的落实。而第四章“个人在个人信息处理活动中的权利”和第五章“个 人信息处理者的义务”则是立法者对个人自主决定过程中的个人和处理者的权益和义务进行分配。《个人信息保护法》紧紧围绕规范个人信息处理活动、保障个人信息权益,构建了以“告知—同意”为核心的个人信息处理规则。严格地说,“告知—同意”实际上是平等主体之间私法自治内核的集中体现,也是《民法典》所确认的自愿原则的具体化,在以命令和服从为基础的公法关系中是不可能存在 “告知—同意”规则的价值基础。《个人信息保护法》将个人在个人信息处理活动中的各项权利,包括知悉个人信息处理规则和处理事项、同意和撤回同意,以及个人信息的查询、复制、更正、删除等总结提升为知情权、决定权,明确个人有权限制其个人信息的处理,这都体现了对个人信息自主决定的尊重与保护。这些权利本质上都是个人信息自决权的具体展开,而此种自决权既是民法私法自治理念的彰显,也是作为绝对权益的个人信息权益所具有的支配效力的体现。如果不能从这种支配效力出发解释自主决定权,就很难准确把握该权益的性质和特点。

第三,《个人信息保护法》关于个人信息处理的制度和规则是以《民法典》个人信息保护规范为基础而展开的。《民法典》在个人信息保护的相关规范中,确立了个人信息处理的各项基本规则,并规定了个人信息权利人的基本权利和处理人的义务及免责等基本问题,《个人信息保护法》在此基础上对上述制度和规则作出了细化规定。例如,《民法典》确立了个人信息处理的基本规则,《个人信息保护法》同样详细规定了个人信息处理规则,严格地说,《个人信息保护法》中的个人信息“处理”的概念范畴来源于《民法典》第1035条第2款,只不过《个人信息保护法》第4条增加了“删除”二字,而有关个人信息处理的基本原则和框架仍然是由《民法典》所确定的。再如,《民法典》第1035条规定了个人信息处理需要取得个人同意的规则,《个人信息保护法》借鉴GDPR的经验,对人格权编规定的个人同意规则进行类型化处理、作出了更细致明确的规定,明确规定了透明化原则,即要求信息处理者处理个人信息前,必须以显著方式,清晰易懂的语言,真实、准确、完整地向个人告知法律规定的事项(第7条、第17条);如果信息处理者是基于个人同意而处理个人信息,必须是由信 息主体在充分知情的前提下,自愿明确地作出同意(第14条)。个人信息处理者不得以个人拒绝处理其个人信息为由,拒绝提供产品和服务(第16条)。无疑,这些规定可以看作是《民法典》个人信息保护规则的具体化。

第四,《个人信息保护法》关于相关国家机关保护个人信息义务的规定也是围绕《民法典》相关规则而具体展开的。《民法典》第1039条规定了国家机关、承担行政职能的法定机构及其工作人员的保密义务。严格地说,依据其职权处理个人信息的国家机关与信息主体之间并不是完全平等的民事关系,但是我国《民法典》第1039条为了全面保护个人信息,对国家机关以及承担行政职能的法定机构及其工作人员因依法履行职责处理他人个人信息做出了明确规定,要求信息处理者应当对信息予以保密,不得泄露或者向他人非法提供。虽然这些机构与个人并非平等交往的主体,但在前 者履行职责过程中可能掌握了他人的大量个人信息,且大多属于敏感、私密的个人信息,一旦泄露,将给他人造成重大损害,因此,从全面保护个人信息的角度出发,《民法典》对其保护个人信息的义务作出了规定。确认相关国家机关保护个人信息义务的规定,也表明个人信息权利可以对抗信息主体之外的任何组织和个人的不法侵害。《个人信息保护法》在第二章个人信息处理规则中单设一节专门规定了国家机关处理个人信息的规则,该规则正是对《民法典》上述规定的具体展开。这就表明,《个人信息保护法》对个人信息处理的规则不仅适用于平等主体之间的关系,还适用于国家机关以及法律、法规授权的具有公共事务管理职能的组织为了履行法定职责而处理个人信息的情形。

总之,《民法典》和《个人信息保护法》在性质上属于一般法与特别法的关系,二者在个人信息保护方面既有分工协同,又有衔接协调,《个人信息保护法》的解释与适用应当在《民法典》的框架下展开。


二、《个人信息保护法》的适用必须贯彻《民法典》确认的人格尊严价值


价值的融贯性是法律具有体系性和逻辑性的前提与基础。《个人信息保护法》第1条开宗明义地强调了“保护个人信息权益”这一重要的立法目的,但并未就“个人信息权益保护”目的背后的价值取向作明确表达。换言之,这一规定并未明确《个人信息保护法》对个人信息权益进行保护、对信息处理行为进行规范的主导的价值取向,是为了保护个人信息主体的物质利益,还是为了保护其精神利益,抑或其他目的?在大量涉及人格利益具体争议问题时,理解和回答个人信息利益保护背后的价值取向至关重要。特别是在个人信息权益和财产权益之间发生重大冲突时,需要特别考虑个人信息权益保护背后的价值导向。严格地说,必须从《民法典》人格权编关于保护人格尊严的价值出发,才能准确理解《个人信息保护法》的价值。

人格尊严,是指人作为法律主体应当得到承认和尊重。人格尊严是人作为社会关系主体的基本前提,应当受到法律的平等保护。人格权关乎每个人的人格尊严,《民法典》人格权编的立法目的就是“为了贯彻党的十九大和十九届二中全会关于‘保护人民人身权、财产权、人格权’的精神,落实宪法关于‘公民的人格尊严不受侵犯’的要求”,《民法典》第109条明确宣告自然人的人身自由、人格尊严受法律保护,《民法典》第990条第2款将人身自由、人格尊严作为一般人格权的内容,并在此基础上确立了对各种新型人格权益进行兜底保护的条款。这表明,《民法典》人格权编所规定的各项具体人格权与一般人格权,实际上均是对人格尊严保护的制度反映。而《民法典》所确立的人格尊严保护的价值,也为《个人信息保护法》提供了价值基础,因为侵害他人的个人信息实质上是侵害了他人的尊严和自由,通过保护个人信息不受信息数据处理等技术的侵害,就可以发挥保护个人人格尊严和人格自由的效果。《个人信息保护法》对个人信息的保护实际上是《民法典》所确立的人格尊严保护价值在个人信息保护领域中的延伸。

人格尊严保护原则作为《个人信息保护法》的价值基础,主要体现在以下几个方面:

第一,《个人信息保护法》的立法目的就在于维护人格尊严。《个人信息保护法》第1条将其立法目的表述为“保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用”。这一直接目的的背后实质上是对于人格尊严的维护。该条同时规定,“根据宪法,制定本法”,其实,所谓“根据宪法”,就是指《个人信息保护法》基本体系和根本制度应当以宪法为基础,符合宪法的基本精神和价值取向。《宪法》第38条规定了“维护人格尊严”原则,据此将维护人格尊严作为宪法的基本价值。《宪法》确立的这一基本原则,需要通过《个人信息保护法》对个人信息保护的具体规定而予以落实。因此,以人格尊严作为《个人信息保护法》的基本原则,也是落实宪法保护人权、维护人格尊严的要求。《个人信息保护法》对个人信息的保护,根本目的也在于对个人信息所彰显的人格尊严进行保护。

第二,《个人信息保护法》的保护对象与人格尊严联系紧密。《个人信息保护法》以个人信息作为保护对象,该法第4条第1款规定了个人信息的概念。依据该规定,“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息”。第4条在界定个人信息的概念时虽然没有明确提及人格尊严,但第28条将敏感个人信息界定为“一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息”。第28条将人格尊严作为敏感信息的判断标准。当然,这并不意味着,只有敏感个人信息才涉及人格尊严。事实上,一般的个人信息也同样关系到人格尊严,如果不当收集和利用个人信息(如借助大数据、算法等技术形成社会分选、歧视性对待等),将损害信息主体的人格尊严,尤其是数据画像行为,其借助大数据和人工智能技术,可能会不当地处理个人的敏感信息,损害人格自由。立法者之所以区分敏感信息与一般信息,其原因在于敏感信息与人格尊严的联系更为密切。《民法典》之所以将个人信息作为一项人格权益,也正是基于其与人格尊严的联系,《个人信息保护法》对个人信息进行系统保护,也旨在维护个人的人格尊严。

在此需要讨论,《个人信息保护法》第28条将金融账户作为敏感个人信息对待,因而要严格保护,原因何在。之所以要保护个人的财务信息,并非单纯为了个人的财产利益,其仍然涉及对个人人格尊严的保护。因为一方面,这是为了保护个人的物质利益,即为了防止因他人盗用或者冒用账号密码或者处置权限而直接损及个人的财产权。另一方面,个人财务信息与个人的人格尊严之间也存在一定的联系,个人是否对外公开其财务信息,是否维持其财务信息的私密状态,属于个人的自我决策和自主安排,也是人之为人、享有作为社会主体的自由和尊严的重要表现。还应当看到,对他人 财务信息的侵害也可能使他人遭受人格性利益的伤害,例如,在非法公开他人的财务信息后,受害人可能因财务信息被公开而人身安全面临威胁,甚至可能遭受一定的人身损害,这也会影响个人人格尊严的实现。

第三,《个人信息保护法》的具体制度设计贯彻了人格尊严的价值理念。《个人信息保护法》的许多具体制度也强调对个人人格尊严的保护。例如,《个人信息保护法》第13条第1款第4项规定,在“紧急情况下为保护自然人的生命健康和财产安全所必需”时,个人信息处理者可以处理个人信息。《个人信息保护法》第18条第2款规定:“紧急情况下为保护自然人的生命健康和财产安全无法及 时向个人告知的,个人信息处理者应当在紧急情况消除后及时告知。”上述规定均意在强化对个人生命健康的保护,其目的也在于保护个人的人格尊严。再如,即便当事人之间已经达成了个人信息的许可使用合同,为了保护个人的人格尊严,也要对信息主体提供特殊保护。《个人信息保护法》第15条规定:“基于个人同意处理个人信息的,个人有权撤回其同意。”该条赋予个人撤回其同意的权利,实际上赋予信息主体任意解除个人信息许可使用合同的权利。法律作出此种规定,主要是为了 保护个人的人格尊严,因为合同债权在性质上属于财产权,而对个人信息的保护体现了对个人人格利益和人格尊严的保护。

此外,在对敏感个人信息认定所运用的“场景”理论中同样也需要贯彻人格尊严保护的理念。所 谓“场景理论”,是指应当根据个人信息处理行为发生的具体场景,对围绕该行为的各个元素(如行为人、信息主体的身份,处理的目的,处理的场所及其影响的后果等)进行综合评价,以判断某信息 处理行为的对象是否属于敏感个人信息。该理论最早由美国学者Nissenbaum教授提出,并为许多国家和地区的学者所采纳。在依据场景理论作出判断时,同样也需要考虑人格尊严的价值。一方面,依据《个人信息保护法》第4条,个人信息是已识别或可识别的自然人有关的各种信息,如何判断“有关”,仍然需要运用人格尊严的标准予以判断,即看其是否涉及个人的人格尊严。另一方面,在判断敏感个人信息时,也应当以人格尊严为标准。例如,人体基因的泄露会导致个人在就业、保险等社会活动中遭受各种不公正的歧视。再如,个人的行踪信息若被公之于众或其人脸等生物识别信息被他人不法收集或处理的,将使信息主体的人身安全受到威胁、人格尊严受到侵害。因此,应当将这些信息纳入敏感个人信息的范畴。

综上所述,维护人格尊严是《个人信息保护法》的核心价值,也是理解、解释《个人信息保护法》相关制度和规则的基础。


三、《个人信息保护法》的适用应结合《民法典》 所规定的人格权保护一般规则来展开


“权利的存在和得到保护的程度,只有诉诸民法和刑法的一般规则才能得到保障。”对个人信息的保护同样如此。如前所述,虽然对个人信息保护采用综合手段,但民事责任仍然具有其独特性,也是保护个人信息的重要方式。我国《民法典》确认了对各种民事权益的保护方法,这些方法同样可以适用于个人信息保护。《个人信息保护法》明确规定了侵害个人信息的侵权责任(第69、70条),此种责任的性质就是民事责任,因此,应当将《个人信息保护法》的规范作为《民法典》的特别规范,将其与《民法典》有关保护人格权以及侵权的一般规则衔接起来,形成对个人信息的全面保护体系。具体而言,在确定侵害个人信息的侵权责任时应从如下方面与《民法典》的相关规定相结合。

第一,关于侵害个人信息侵权责任的归责原则。《民法典》侵权责任编确立了过错责任为一般归则原则。而《个人信息保护法》第69条第1款规定:“处理个人信息侵害个人信息权益造成损害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。”依据这一规则,在处理个人信息的侵权责任成立上,应当采用过错推定原则。该规则的适用与《民法典》第1165条第2款关于过错推定的条款相结合,构成了完整的侵害个人信息侵权责任的归责原则。《民法典》第1165条第2款规定:“依照法律规定推定行为人有过错,其不能证明自己没有过错的,应当承担侵权责任。”因此,《个人信息保护法》第69条第1款即构成了此处的“依照法律规定”,从而可以适用《民法典》中的过错推定原则。在适用过错推定原则认定侵害个人信息的侵权责任时,由于过错推定原则只是过错责任原则在证明责任分配上的变异,因此,在关于其他责任成立要件的认定上,仍然需要遵循《民法典》侵权责任编的相关规定。

第二,关于预防性责任承担方式的适用。现代侵权法除了具有补偿功能之外,其“重要机能在于填补损害及预防损害”。侵害个人信息的责任同样如此,《个人信息保护法》第69条只规定了信息 处理者侵害个人信息造成损害的损害赔偿责任,但是没有规定个人信息是否受到停止侵害、排除妨碍和消除危险请求权的保护,而这些责任承担方式恰好是预防损害发生的重要方式,欠缺这些责任承担方式,将难以发挥损害预防的效果。笔者认为,虽然《个人信息保护法》没有规定侵害个人信息情形下预防性的责任承担方式,但《民法典》关于预防性责任承担方式的规定也应当可以适用于个人信息保护。具体而言:一是人格权请求权的适用。《民法典》第995条规定了人格权请求权,并明确规定人格权请求权的行使不适用诉讼时效规则。虽然该条使用的是“人格权受到侵害”的表述,但在个人信息保护领域中,应当认为该条可以适用于所有个人信息权益。即在人格权益遭受侵害或有侵害之虞时,个人信息权利人可以行使《民法典》所规定的各种人格权请求权,且不受诉讼时效的限制。二是《民法典》第1167条规定,“侵权行为危及他人人身、财产安全的,被侵权人有权请求侵权人承担停止侵害、排除妨碍、消除危险等侵权责任”。该条关于预防性侵权责任承担方式的规定同样可以适用于个人信息的保护。此外,对于其他责任形式的适用,也应当依据《民法典》的规定,例如,《民法典》所规定的消除影响、恢复名誉、赔礼道歉等责任形式,在个人信息权益的侵害中均有适用的余地。对于这些责任形式的成立要件和承担方式,也同样应当适用《民法典》的规则。

第三,关于禁令制度的适用。禁令是指申请人为及时制止正在实施或即将实施的侵权行为,或有侵害之虞的行为,在起诉前或诉讼中请求法院作出的禁止或限制被申请人从事某种行为的强制命令。《民法典》第997条规定了侵害人格权的禁令制度,该条将其适用范围限定为人格权,但此处所说的“人格权”应当进行扩张解释,因为既然该条规定在人格权编一般规定之中,其当然应当适用于人格权编分则各项人格权益遭受侵害时的情形,其中就包括个人信息受侵害在内。在实践中,个人信息也可能遭受现实、紧迫的不法侵害行为,在此情形下,如果不及时采取禁令措施,放任侵害个人信息的行为继续进行,就会进一步扩大其造成的损害,甚至使得权利人遭受的损害超出经济损失 的范畴(如精神损害、商誉的减损等)。

第四,关于精神损害赔偿的适用。《个人信息保护法》中并没有直接针对侵害个人信息的精神损 害赔偿问题的规定,只是在该法第69条第1款提及了损害赔偿的责任形式。从《个人信息保护法》 第69条第1款规定来看,其虽然采用了“损害赔偿等侵权责任”这一表述,但该条第2款解释损害赔偿时,实际上主要限定为财产损害赔偿。笔者认为,个人信息受侵害后产生的损害赔偿虽然主要 是财产损害赔偿,但也可能适用精神损害赔偿责任。这是因为:一方面,在侵害个人信息尤其是敏感 个人信息时,可能严重侵害他人的人格尊严以及人身、财产安全,并由此可能使个人遭受严重的精神损害。例如,非法泄露个人身患某种疾病的健康信息,使个人遭受歧视,严重影响个人的正常生活,并使其遭受严重的精神痛苦,此时就有必要通过精神损害赔偿责任对受害人进行救济。另一方面,对于精神损害赔偿而言,《民法典》第1183条规定,只有在侵害人身权益导致被侵害人严重精神损害时,被侵权人才有权请求精神损害赔偿。个人信息本身属于人格权益,受侵害后应当可以适用精神损害赔偿责任。

第五,关于获利返还规则的适用。所谓获利返还,也称为“利润剥夺”,它是指在行为人因侵害他人人身权益而获利的情形下,对方当事人有权请求行为人返还因此所获得的利益。在适用损害赔 偿责任方面,《个人信息保护法》第69条第2款规定了获利返还的责任。不过,这一规范可能并不能 单独地适用。在适用获利返还时,还需要与《民法典》的侵权责任编的规定相结合。例如,该条规定“个人因此受到的损失”可能是财产损失,也可能是人身伤害。如果是财产损失,就应当按照《民法典》第1184条的规定按照损失发生时的市场价格或者其他合理方式计算;如果是人身伤害,就应当按照《民法典》第1179条以下关于人身损害的规定进行计算。再如,依据《个人信息保护法》第69条第2款规定,在损失或获益难以确定时,要“根据实际情况”确定赔偿数额,但究竟应当由哪一主体根据实际情况确定赔偿数额,该条并没有作出明确规定,这就需要结合《民法典》第1182条的规定, 由人民法院根据实际情况确定赔偿数额,即应当适用《民法典》第1182条所规定的法院酌定规则。 还需要注意的是,《个人信息保护法》第69条第2款并未规定在损失或获益难以确定时双方当事人 可以协商确定赔偿数额,这与《民法典》第1182条规定并不一致,能否据此认为,《个人信息保护法》改变了《民法典》的规则?在笔者看来,《个人信息保护法》虽然没有规定当事人可以协商确定赔偿数额,但是基于意思自治原则和私权的可处分性,仍然应当认为,当事人可以通过协商确定损害赔偿数额。

第六,关于多个信息处理者的责任。在多个信息处理者侵害他人个人信息的情形下,除《个人信息保护法》第69条规定外,还应当适用《民法典》侵权责任编的相关规定。例如,《个人信息保护法》第20条第2款对“共同处理者”的民事责任作了规定,依据该款规定,个人信息处理者共同处理个人信息,侵害个人信息权益造成损害的,应当依法承担连带责任。其中“依法”承担连带责任的表述表明,第20条第2款实质上是“指引性规范”。法官在判断共同处理者是否需要承担连带责任时,需要根据《民法典》侵权责任编对连带责任的规定进行判断。因此,当共同处理者对于个人信息的侵害具有共同过错的,应当根据《民法典》第1168条的规定承担连带责任,而教唆、帮助他人侵害个人信息的,应当根据《民法典》第1169条的规定承担连带责任。数个共同处理者实施危及他人个人信息的行为,其中一人或者数人的行为造成他人损害,但是无法确定具体侵权人的,应当根据《民法典》第1170条的规定,由数个共同处理者承担连带责任。

此外,《民法典》具有兜底保护的功能,而《个人信息保护法》作为“领域法”,其不可能对侵害个人信息的责任作出全面、系统的规定,因此,有必要发挥《民法典》的兜底保护功能。例如,《民法典》在人格权编对个人信息的收集和利用作了原则规定,在侵权责任编中对侵害人身权益的损害赔偿包括惩罚性赔偿等作了具体规定,这些规定都可以在保护个人信息方面发挥兜底功能。因此,在个人信息遭受侵害的情形下,在适用《个人信息保护法》的规则时,应当注重结合《民法典》的规则,以更好地发挥其保护个人信息的功能。


四、《个人信息保护法》的适用应注重与《民法典》相关条款的体系协调性


法典化就是体系化。《民法典》是一个完整的体系,《个人信息保护法》与《民法典》关于个人信息保护的规则相结合,共同构成了完整的个人信息保护规则体系。只有将《个人信息保护法》置入整个规则体系中,才能加以准确理解和适用。在个人信息保护方面,《个人信息保护法》作为民法的重要组成部分,以《民法典》为基础,并以《民法典》的价值为遵循,与《民法典》相互配合、相辅相成,共同构建了针对个人信息保护的较为完整的价值体系和规则体系。只有在准确理解和把握这个体系的基础上,才能在保护个人信息方面充分发挥体系的功能。为此,需要梳理、整合既有的法律规范,消除其间的矛盾。在《个人信息保护法》适用过程中,不仅要结合《民法典》的规定,准确理解、解释《个人信息保护法》的相关规则,还要充分发挥民法保护个人信息的体系化的效应。具体而言,有如下几点:

第一,要充分发挥《民法典》的规范储备功能,并与《个人信息保护法》相结合,形成保护个人信息的严密体系。上文已经探讨了《个人信息保护法》与《民法典》侵权责任编的关系,但严格地说,其不仅与侵权责任编存在关系,而且与《民法典》其他各编存在密切的联系。对于个人信息的许可和利用,往往都是通过合同作出安排的,这些行为均需要受到《民法典》合同编的调整。例如,《民法典》 合同编对于格式条款的规制(第496条、第497条和第498条)以及特殊合同的解除规则等均填补了《个人信息保护法》的空白。又如,个人与信息处理者通过订立合同对个人信息的许可和利用作出约定的,该许可使用合同的订立与生效,应当适用《民法典》第469条以下的规定。当信息处理者违反合同约定处理个人信息时,信息主体还可以根据《民法典》第577条以下的规定要求信息处理者承担违约责任。因此,在保护个人信息时,不能仅从《个人信息保护法》出发,孤立地适用规则,而应当具有更加宏大的、体系化的视野,将其与《民法典》的规则相结合,使《民法典》在个人信息保护方面发挥规范储备效应,从而形成对个人信息的周延保护。

第二,要与《民法典》的相关规定相结合,发挥《民法典》的查漏补缺功能。《个人信息保护法》虽然设置了较为全面的个人信息保护规则,但毕竟个人信息保护涉及的问题较为广泛,《个人信息保护法》不可能将个人信息保护所涉及的民事规则全部囊括其中,在无法从《个人信息保护法》中寻找相关的规范时,就应当从《民法典》中寻找相关的规范。如前述,关于禁令制度、人格权请求权、精神损害赔偿、违约责任的认定等一系列问题,仍然应当从《民法典》中寻找相关的规范依据。即使《个人信息保护法》中对相关问题作出了规定,但其许多规则仍然是不完善的,因此需要结合《民法典》的规定,形成完整的规则体系。通过与《民法典》相关规定的结合适用,既可以查漏补缺,同时,也可以借助于直接适用、类推适用,或者参照适用等方式,援引《民法典》的相关规定,以弥补《个人信息保护法》规定的不足。例如,《个人信息保护法》第49条关于死者个人信息保护的问题,其只是规定了近亲属为了自身的合法、正当利益而对死者相关个人信息享有查阅、复制、更正、删除等权利,但是死者个人信息遭受他人侵害,其近亲属是否有权请求行为人承担民事责任,如何要求行为人承担责任,则必须依据《民法典》第994条规定予以认定。再如,《个人信息保护法》第69条虽然规定了侵害个人信息的获利返还规则,但该条规定仍然很不完整,必须结合《民法典》第1182条予以适用。

第三,要保持《个人信息保护法》与《民法典》的体系完整性,努力消除矛盾。拉伦茨指出:“法律科学最为重要的任务之一就是发现单个的法规范之间和规则体相互之间,以及它们与法秩序的主导原则之间的意义脉络,并将该意义脉络以可被概观的方式,即以体系的形式表现出来。”可以说,法律解释的重要目的在于使法律相互之间形成一种有机的和谐。之所以要在体系的视角下考虑《个人信息保护法》的适用问题,其中很大的原因就是要通过体系化的考量,来努力消除《个人信息保护法》与《民法典》之间的不协调甚至矛盾现象。例如,就个人信息的概念而言,《民法典》第1034条规定,“个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息”。该条采纳了“识别说”,作为判断个人信息的标准。这也符合个人信息界定的通行做法。而《个人信息保护法》第4条规定,“个人信息是以电子或者其他方式记录的与已识别或者可 识别的自然人有关的各种信息”。从该规定来看,其不仅采纳了“识别说”,而且采纳了“关联说”,即 凡是能够识别自然人的各种相关联的信息,都可以作为个人信息。因此,《民法典》与《个人信息保护法》在个人信息定义方面似乎是存在矛盾的。但笔者认为,识别既包括对个人姓名、地址的直接识别,也包括对个人其他身份的识别,所谓“有关的”个人信息,实际上是《民法典》第1034条所规定的“与其他信息结合识别”自然人的信息,因此,《个人信息保护法》增加“关联说”,表面上看是突破了《民法典》的规定,但实际上仍然可以通过扩张解释“识别说”,而认为两者之间并不存在矛盾。

基于体系化的考量,在具体适用《个人信息保护法》的规则时,应当注重其与《民法典》的结合。这又要区分三种情形:一是在《民法典》有规定而《个人信息保护法》没有规定时,应当适用《民法典》的规定。如前述违反个人信息许可使用合同的违约责任的认定与适用,《个人信息保护法》并未作出规定,此时应当适用《民法典》的规定。二是《个人信息保护法》有规定而《民法典》没有规定,或者《个人信息保护法》与《民法典》均有规定而《个人信息保护法》对此作出了特别规定的,则需要单独援引《个人信息保护法》的规定。例如,从实践来看,侵害个人信息的行为可能构成大规模侵权,其损害具有范围广、程度深的特点,而对单个的受害人来说,损害又可能是轻微的。所以,它会形成一种集合性的、针对众多人的大规模损害。瓦格纳将此种行为称为“大规模的微型侵害”。对于此种损坏,由于其侵害的微小性,单个的受害人往往势单力薄,也往往不愿意要求加害人承担责任。对于此种诉讼动力不足的情况,需要由国家公权力机关作为公共利益的代言人去追究侵害人的责任、保护公共利益。《民法典》并没有就个人信息的大规模侵权作出规定,为解决这一问题,《个人信息保护法》 第70条规定了侵害个人信息的公益诉讼制度,此时,就需要单独适用《个人信息保护法》的规定。三是《民法典》与《个人信息保护法》均有规定,但《个人信息保护法》的规定不完整,需要结合《民法典》 的规则来适用。

总之,《个人信息保护法》的规则与《民法典》的规则相结合,形成了一种具有内在逻辑的制度体系、规则体系,只有从整体上把握这个体系,才能在适用中充分发挥体系化的规范储存、查漏补缺等效用,从而形成对个人信息的体系化的、全面的保护。


结语


《个人信息保护法》作为综合性的法律,其所包含的个人信息的私法规则与《民法典》构成特别法与一般法的关系,不能因为有了特别法,而否定《民法典》的基础性地位,更不能将《个人信息保护法》看作是自给自足、脱离民法典之外的体系,否则,将会极大地削弱《个人信息保护法》在保护个人信息方面的作用。尤其应当看到,就个人信息保护规则而言,《个人信息保护法》与《民法典》共同构成了一个完整的体系,只有准确把握好这个体系,才能准确理解和适用相关规则。也只有将《个人信息保护法》与《民法典》的贯彻实施结合起来,才能够充分、全面地维护好、保障好、发展好人民群众在网络空间中享有的合法权益,真正使广大人民群众在数字化时代享有更多的获得感、幸福感、安全感。


本文载《湖湘法学评论》2021年第1期,25-35页。注释从略,引用请核对原文。
图片来源:中国人民大学法学院官网。


《湖湘法学评论》是经国家新闻出版署批准,由教育部主管、湖南大学主办的法学学术期刊,于 2021 年创刊。本刊为中文版季刊,国际标准连续出版物号为 ISSN 2097-020X,国内统一连续出版物号为 CN 43-1556/D。      

本刊坚持正确的舆论导向和办刊方向,立足中国,借鉴域外经验,刊载法治建设理论和实践经验成果,突出实证研究特色,以服务法学理论创新和法治中国建设。      

本刊严格实行专家匿名审稿制度,充分尊重专家评审意见,结合刊物定位、宗旨、特色、学科等因素,以决定刊用稿件。本刊设置“马克思主义法学”“习近平法治思想研究”“名家特稿”“热点研讨”“智慧法治”“青年法苑”“域外法治”“法学教育”“交叉前沿”“数量与计算法学”“纪检与监察法学”等栏目,并根据选题规划灵活设置相关栏目(请关注“湖湘法学评论”微信公众号),欢迎作者针对栏目投稿。    

《湖湘法学评论》致力于成为一本倡导实证研究的高水平法学学术期刊,对基础理论话题与社会热点问题予以双重关注,强调问题性、思想性、科学性,勠力打造供海内外法学界展开学术交流与思想争鸣的高水平学术平台。




湖南大学法学院版权所有©2019年
地址:湖南省长沙市岳麓区麓山南路2号
邮编:410082   电话:0731-88821963