文/程嘯

問(wèn)題的提出

《民法典》與《個(gè)人信息保護(hù)法》（以下簡(jiǎn)稱《個(gè)保法》）作為我國(guó)個(gè)人信息保護(hù)法律體系中最重要也是最核心的法律，都對(duì)個(gè)人信息保護(hù)作出了規(guī)定。對(duì)于二者是何種關(guān)系以及司法和執(zhí)法中應(yīng)當(dāng)如何適用，存在著爭(zhēng)議，因此本文將就此進(jìn)行研究，以供理論界與實(shí)務(wù)界參考。

《民法典》與《個(gè)保法》適用關(guān)系的四種類型

要正確認(rèn)識(shí)二者的關(guān)系，就有必要了解其在個(gè)人信息保護(hù)的目的、調(diào)整范圍與保護(hù)方法等方面的異同。一方面，在調(diào)整范圍上，《民法典》作為民事領(lǐng)域的基本性、綜合性法律，調(diào)整的是平等主體的自然人、法人和非法人組織之間的人身關(guān)系和財(cái)產(chǎn)關(guān)系。不平等的主體之間的個(gè)人信息處理關(guān)系，如國(guó)家機(jī)關(guān)為履行法定職責(zé)而處理自然人的個(gè)人信息不在其調(diào)整范圍內(nèi)。而《個(gè)保法》調(diào)整的是個(gè)人信息處理者處理自然人的個(gè)人信息的活動(dòng)。只要是信息能力不平等的主體之間的個(gè)人信息處理活動(dòng)，都要受到《個(gè)保法》的規(guī)范。因此作為信息能力平等的主體之間即自然人之間因個(gè)人或家庭事務(wù)而處理個(gè)人信息的情形，仍由《民法典》調(diào)整。另一方面，二者所采取的調(diào)整方法有異?！睹穹ǖ洹穼?duì)個(gè)人信息保護(hù)的規(guī)定集中于人格權(quán)編，主要規(guī)定個(gè)人信息權(quán)益的享有和保護(hù)，主要是事后補(bǔ)救，即從侵權(quán)責(zé)任的角度作出規(guī)定。而《個(gè)保法》是對(duì)個(gè)人信息處理活動(dòng)進(jìn)行全過(guò)程、全方位的規(guī)范，側(cè)重從預(yù)防的角度作出規(guī)定。

正是因?yàn)椤睹穹ǖ洹放c《個(gè)保法》對(duì)個(gè)人信息保護(hù)的規(guī)定既有共性也有差異，應(yīng)當(dāng)對(duì)二者之間的關(guān)系采取類型化的思考方法，下文將逐一加以論述。

《個(gè)保法》中豐富發(fā)展《民法典》相關(guān)規(guī)定的規(guī)范

《個(gè)保法》中有相當(dāng)多的規(guī)定是對(duì)《民法典》規(guī)定的豐富發(fā)展，主要體現(xiàn)在以下幾個(gè)方面：

（一）對(duì)個(gè)人信息處理基本原則的豐富發(fā)展與告知同意規(guī)則的細(xì)化

《民法典》明確規(guī)定的個(gè)人信息處理的基本原則有合法、正當(dāng)與必要原則，《個(gè)保法》在此基礎(chǔ)上進(jìn)行了全面詳盡的規(guī)定。首先，對(duì)合法原則、正當(dāng)原則進(jìn)行了細(xì)化。《個(gè)保法》第5條規(guī)定處理者“不得通過(guò)誤導(dǎo)、欺詐、脅迫等方式處理個(gè)人信息”；第10條規(guī)定：“任何組織、個(gè)人不得非法收集、使用、加工、傳輸他人個(gè)人信息，不得非法買賣、提供或者公開(kāi)他人個(gè)人信息；不得從事危害國(guó)家安全、公共利益的個(gè)人信息處理活動(dòng)”。其次，新增公開(kāi)透明原則、誠(chéng)信原則、目的限制原則、質(zhì)量原則以及責(zé)任原則作為個(gè)人信息處理的基本原則。再次，《個(gè)保法》第6條第1款將《民法典》第1035條中的“不得過(guò)度處理”細(xì)化為“收集個(gè)人信息，應(yīng)當(dāng)限于實(shí)現(xiàn)處理目的的最小范圍，不得過(guò)度收集個(gè)人信息”。同時(shí)，作為個(gè)人信息處理中最基本的規(guī)則，告知同意規(guī)則在《民法典》第1035條中已被蘊(yùn)含，《個(gè)保法》第二章與第三章對(duì)此予以了更加詳細(xì)的規(guī)定。

（二）對(duì)個(gè)人信息含義的豐富發(fā)展

《民法典》第1034條第2款對(duì)個(gè)人信息采取了“識(shí)別說(shuō)”，《個(gè)保法》并未逐一列舉個(gè)人信息的類型，對(duì)其界定采取了“關(guān)聯(lián)說(shuō)”。筆者認(rèn)為《個(gè)保法》對(duì)個(gè)人信息的界定是對(duì)《民法典》規(guī)定的發(fā)展和完善，無(wú)論是采取識(shí)別說(shuō)還是關(guān)聯(lián)說(shuō)，所界定的個(gè)人信息的范圍都是相同的，不存在矛盾沖突。識(shí)別說(shuō)是從信息本身出發(fā)，看能否從中找到與特定自然人的關(guān)聯(lián)性。關(guān)聯(lián)說(shuō)則是從信息主體出發(fā)，更強(qiáng)調(diào)個(gè)人信息的相對(duì)性，認(rèn)為只有與已識(shí)別或可識(shí)別的自然人相關(guān)的信息才是個(gè)人信息。

（三）個(gè)人信息處理類型的豐富與個(gè)人信息處理者的界定

《民法典》對(duì)個(gè)人信息處理作了規(guī)定，同時(shí)采取統(tǒng)一使用“個(gè)人信息處理者”概念的立法模式，沒(méi)有區(qū)分處理者與控制者?！秱€(gè)保法》則在此基礎(chǔ)上作出了更細(xì)致的規(guī)定。首先，《個(gè)保法》第4條第2款在《民法典》第1035條第2款的基礎(chǔ)上新增了“刪除”這一典型的處理情形。其次，《個(gè)保法》第73條第1項(xiàng)對(duì)個(gè)人信息處理者作了明確界定，即能夠自主決定處理目的、處理方式的組織和個(gè)人就是個(gè)人信息處理者。再次，《個(gè)保法》區(qū)分個(gè)人信息的處理者與受委托處理個(gè)人信息的受托人，后者并不是自主決定個(gè)人信息處理目的和處理方式的人。

（四）對(duì)個(gè)人信息處理的合法根據(jù)的具體規(guī)定

《民法典》從兩方面對(duì)個(gè)人信息處理活動(dòng)合法與否作了回答。一方面，第1035條第1款規(guī)定了合法的個(gè)人信息處理應(yīng)具備的條件，即應(yīng)當(dāng)遵循合法、正當(dāng)、必要原則，不得過(guò)度處理，并應(yīng)征得該自然人或其監(jiān)護(hù)人同意。另一方面，第999條和第1036條分別從個(gè)人信息的合理使用與免責(zé)事由的角度對(duì)合法的個(gè)人信息處理作了規(guī)定。而《個(gè)保法》第13條第1款列舉了所有的合法處理個(gè)人信息的情形，在《民法典》的基礎(chǔ)上從處理規(guī)則的角度對(duì)個(gè)人信息處理的合法根據(jù)作了系統(tǒng)全面的規(guī)定。

（五）豐富發(fā)展了個(gè)人在個(gè)人信息處理活動(dòng)中的權(quán)利

《民法典》規(guī)定了個(gè)人針對(duì)個(gè)人信息處理者的知情同意權(quán)、查閱復(fù)制權(quán)、更正權(quán)和刪除權(quán)?！秱€(gè)保法》則在此基礎(chǔ)上明確這些權(quán)利的性質(zhì)，并豐富了權(quán)利的類型及救濟(jì)程序：（1）《個(gè)保法》第四章明確了這些權(quán)利在性質(zhì)上屬于請(qǐng)求權(quán)；（2）《個(gè)保法》為這些權(quán)利建立了實(shí)現(xiàn)和保障機(jī)制（第50條）；（3）新增了知情權(quán)與決定權(quán)（第44條）、可攜帶權(quán)（第45條第3款）、補(bǔ)充權(quán)（第46條）以及對(duì)于處理規(guī)則的解釋說(shuō)明權(quán)（第48條）；（4）對(duì)權(quán)利行使的具體情形作了規(guī)定，包括個(gè)人不得行使查閱復(fù)制權(quán)的情形（第45條第1款）和行使刪除權(quán)的五種具體情形；（5）規(guī)定了自然人死亡的，其近親屬為了自身合法、正當(dāng)利益，可以對(duì)死者相關(guān)個(gè)人信息所行使的權(quán)利。

《個(gè)保法》通過(guò)轉(zhuǎn)介條款指向《民法典》的相應(yīng)規(guī)定

對(duì)個(gè)人信息處理活動(dòng)中的格式條款的規(guī)范等問(wèn)題，《個(gè)保法》無(wú)需重復(fù)《民法典》的規(guī)定，只需通過(guò)相應(yīng)的轉(zhuǎn)介條款或規(guī)范指向《民法典》即可。

（一）個(gè)人信息處理規(guī)則與格式條款的規(guī)制

個(gè)人信息處理規(guī)則是個(gè)人信息處理者單方面制定的，可能包括個(gè)人信息處理者對(duì)于其與個(gè)人之間的權(quán)利義務(wù)的規(guī)定。一方面，對(duì)個(gè)人信息處理者要求個(gè)人表示同意的個(gè)人信息處理規(guī)則，因個(gè)人同意使得該處理規(guī)則納入雙方網(wǎng)絡(luò)服務(wù)合同中的，必須適用《民法典》第496條第2款的規(guī)定，即處理者應(yīng)當(dāng)遵循公平原則確定當(dāng)事人之間的權(quán)利和義務(wù)，并采取合理的方式提示個(gè)人注意免除或者減輕其責(zé)任等與個(gè)人有重大利害關(guān)系的條款，按照個(gè)人的要求，對(duì)該條款予以說(shuō)明。另一方面，對(duì)于不需要取得個(gè)人同意的個(gè)人信息處理規(guī)則，如果存在《民法典》第一編第六章第3節(jié)和第506條規(guī)定的無(wú)效情形，或處理者通過(guò)個(gè)人信息處理規(guī)則不合理地免除或者減輕其責(zé)任、加重個(gè)人的責(zé)任、限制個(gè)人的主要權(quán)利，或處理者排除個(gè)人的主要權(quán)利的，這些處理規(guī)則就是無(wú)效的。

（二）個(gè)人信息處理者的連帶責(zé)任

對(duì)于數(shù)個(gè)處理者在共同處理個(gè)人信息，對(duì)個(gè)人信息權(quán)益造成損害時(shí)應(yīng)當(dāng)承擔(dān)的責(zé)任，《個(gè)保法》第20條第2款規(guī)定“應(yīng)當(dāng)依法承擔(dān)連帶責(zé)任”。“依法”指的就是《民法典》第1168條至第1171條對(duì)多數(shù)人侵權(quán)的連帶責(zé)任的規(guī)定。

就構(gòu)成共同加害行為的共同處理個(gè)人信息的侵權(quán)行為而言，處理者一開(kāi)始就是以追求侵害自然人個(gè)人信息權(quán)益為目的，應(yīng)承擔(dān)連帶責(zé)任。還有可能是共同處理者并非一開(kāi)始就追求侵害個(gè)人信息權(quán)益的非法目的，但在處理活動(dòng)中都沒(méi)有盡到個(gè)人信息安全保護(hù)義務(wù)導(dǎo)致個(gè)人信息被他人竊取或篡改，從而侵害個(gè)人信息權(quán)益并造成損害。在這種情況下，可以適用《民法典》第1170條規(guī)定的共同危險(xiǎn)行為，共同處理者要向遭受損害的自然人承擔(dān)連帶賠償責(zé)任，如果某個(gè)處理者能夠證明并非其處理行為實(shí)際造成了損害，則可以免責(zé)。又如，當(dāng)共同處理者的某些行為足以造成信息主體的全部同一損害，某些只能造成信息主體的部分同一損害，依據(jù)《民法典》第1172條，這些處理者應(yīng)承擔(dān)按份責(zé)任。

（三）個(gè)人信息委托處理中的委托合同與相應(yīng)的民事責(zé)任

《個(gè)保法》第21條對(duì)個(gè)人信息的委托處理作了規(guī)定，除此之外，對(duì)個(gè)人信息委托處理的民法規(guī)范必須適用《民法典》。（1）委托人與受托人的權(quán)利義務(wù)適用委托合同的規(guī)定。“委托處理的目的、期限、處理方式、個(gè)人信息的種類、保護(hù)措施”屬于個(gè)人信息處理委托合同中的必備條款，至于“雙方的權(quán)利義務(wù)”，有約定的時(shí)候適用約定，沒(méi)有約定或約定不明的，應(yīng)適用《民法典》合同編第二十三章關(guān)于委托合同中委托人和受托人主要權(quán)利義務(wù)的規(guī)定。（2）緊急情況下的個(gè)人信息處理的轉(zhuǎn)委托適用《民法典》第923條的規(guī)定。在個(gè)人信息的委托處理中，受托人不能隨意轉(zhuǎn)委托，除非是緊急情況下受托人為了維護(hù)作為委托人的個(gè)人信息處理者的利益時(shí)。對(duì)于責(zé)任的承擔(dān)，一方面，受托人因處理行為侵害個(gè)人信息權(quán)益造成損害的屬于定作人責(zé)任，應(yīng)適用《民法典》第1193條；另一方面，受托人在向受害人賠償后，可以依據(jù)委托合同的約定向受托人進(jìn)行追償。

《民法典》與《個(gè)保法》中因規(guī)范目的不同而分別適用的規(guī)定

（一）私密信息與敏感的個(gè)人信息

私密和非私密的個(gè)人信息是《民法典》從民事權(quán)益保護(hù)和法律適用的角度對(duì)個(gè)人信息進(jìn)行的分類，僅僅在平等民事主體的侵權(quán)糾紛中有意義。對(duì)于私密信息的判斷也必須從社會(huì)公眾的一般認(rèn)知和價(jià)值權(quán)衡的角度出發(fā)，根據(jù)案件具體事實(shí)逐一認(rèn)定。而敏感與非敏感個(gè)人信息是從個(gè)人信息處理者的義務(wù)角度，為了確定不同的個(gè)人信息處理規(guī)則而作出的區(qū)分，不適用于自然人因個(gè)人或家庭事務(wù)而處理個(gè)人信息的活動(dòng)。

（二）合法公開(kāi)的個(gè)人信息的處理

《民法典》第1036條第2項(xiàng)與《個(gè)保法》第13條、第27條都對(duì)合法公開(kāi)的個(gè)人信息作了規(guī)定，但前者是從處理個(gè)人信息民事責(zé)任免責(zé)事由的角度加以規(guī)定的，后者則從個(gè)人信息處理規(guī)則的角度出發(fā)。一方面，《個(gè)保法》將《民法典》中的“合理處理”細(xì)化為“依照本法規(guī)定在合理的范圍內(nèi)處理”；另一方面，《個(gè)保法》中采用了“對(duì)個(gè)人權(quán)益有重大影響”的表述，不同于《民法典》中“侵害其重大利益”，原因在于前者的規(guī)范對(duì)象是個(gè)人信息處理者，屬于預(yù)防性或事先的規(guī)范，即處理者在處理合法公開(kāi)的個(gè)人信息之前就必須對(duì)該處理活動(dòng)是否對(duì)個(gè)人權(quán)益有重大影響進(jìn)行判斷，據(jù)此決定是否需要取得個(gè)人同意，自身要對(duì)此負(fù)擔(dān)舉證責(zé)任。而后者是從個(gè)人信息合理使用的角度作出的規(guī)定，只有在行為人處理合法公開(kāi)的個(gè)人信息已經(jīng)侵害了自然人重大利益的情形下，才能基于比例原則的考慮，優(yōu)先保護(hù)重大利益，認(rèn)定處理者不得以此免責(zé)，個(gè)人負(fù)有證明處理者已經(jīng)侵害其重大利益的舉證責(zé)任。

（三）死者的個(gè)人信息

《民法典》第994條沒(méi)有對(duì)死者的個(gè)人信息中那些并非死者的姓名、肖像或隱私的個(gè)人信息是否受到侵權(quán)法保護(hù)作出規(guī)定。筆者認(rèn)為該條在列舉死者的人格要素時(shí)并未窮盡，而是使用了“等”字兜底，因此保護(hù)這些信息也可以適用該規(guī)定?！秱€(gè)保法》第49條則賦予了死者近親屬針對(duì)死者的個(gè)人信息可以積極行使的相應(yīng)權(quán)利。首先，當(dāng)死者的姓名、肖像、名譽(yù)、榮譽(yù)、隱私、遺體等受到侵害時(shí)，其配偶、子女、父母是第一順位的請(qǐng)求權(quán)人。而由于死者的近親屬只有在“為了自身的合法、正當(dāng)利益”時(shí)，才能針對(duì)死者的相關(guān)個(gè)人信息行使查閱、復(fù)制、更正、刪除等權(quán)利，因此無(wú)需規(guī)定請(qǐng)求權(quán)人的順位。其次，只要是死者的個(gè)人信息遭受了侵害，近親屬就有權(quán)要求行為人承擔(dān)民事責(zé)任，而依《個(gè)保法》第49條，近親屬只可以針對(duì)死者的相關(guān)個(gè)人信息行使查閱、復(fù)制等權(quán)利。再次，死者可以通過(guò)遺囑等排除近親屬針對(duì)其個(gè)人信息行使相應(yīng)的權(quán)利，但對(duì)于侵害死者個(gè)人信息的侵權(quán)責(zé)任而言，不存在預(yù)先排除的問(wèn)題。

《個(gè)保法》中屬于《民法典》的特別規(guī)范

（一）侵害個(gè)人信息權(quán)益賠償責(zé)任的歸責(zé)原則

在《個(gè)保法》頒布之前，侵害個(gè)人信息權(quán)益的侵權(quán)賠償責(zé)任應(yīng)當(dāng)適用《民法典》第1165條過(guò)錯(cuò)責(zé)任原則。考慮到個(gè)人信息處理活動(dòng)具有很強(qiáng)的專業(yè)性和技術(shù)性等原因，《個(gè)保法》第69條第1款明確采取了過(guò)錯(cuò)推定責(zé)任，相對(duì)于《民法典》的過(guò)錯(cuò)責(zé)任原則為特別法，應(yīng)當(dāng)優(yōu)先適用。

（二）侵害個(gè)人信息權(quán)益的損害賠償確定

在《個(gè)保法》頒布前，法院依據(jù)《民法典》第1182條和《最高院關(guān)于審理利用信息網(wǎng)絡(luò)侵害人身權(quán)益民事糾紛案件適用法律若干問(wèn)題的規(guī)定》第12條處理了不少侵害個(gè)人信息權(quán)益的案件。而《個(gè)保法》第69條第2款在《民法典》的基礎(chǔ)上作了特別規(guī)定，用“損失”代替了“財(cái)產(chǎn)損失”的表述。所謂損失，既包括財(cái)產(chǎn)損失或財(cái)產(chǎn)損害，也包括精神損失或精神損害。也就是說(shuō)，依據(jù)該條，只要侵害個(gè)人信息權(quán)益造成損害的，無(wú)論是財(cái)產(chǎn)損失還是精神損失，都可以按照個(gè)人因此受到的損失或者個(gè)人信息處理者因此獲得的利益確定，如果難以確定的，根據(jù)實(shí)際情況確定賠償數(shù)額。

結(jié)語(yǔ)

《民法典》與《個(gè)保法》都以保護(hù)個(gè)人信息權(quán)益、實(shí)現(xiàn)個(gè)人信息保護(hù)與利用的協(xié)調(diào)為目的，前者側(cè)重于權(quán)益的內(nèi)容和侵害，后者調(diào)整信息能力不對(duì)等的個(gè)人信息處理者與個(gè)人之間的處理活動(dòng)，注重于事先、預(yù)防性的保護(hù)。這種差別使二者的關(guān)系不能簡(jiǎn)單地以一般法與特別法或并存的基本法的關(guān)系加以概括，而當(dāng)從前述四種類型的角度逐一考察，方可在司法和執(zhí)法中準(zhǔn)確適用，實(shí)現(xiàn)立法目的。