郑晓剑 | 论《个人信息保护法》与《民法典》之关系定位及规范协调
作者简介
郑晓剑,厦门大学法学院教授、博士生导师。
内容摘要:《民法典》和《个人信息保护法》均对个人信息保护制度作出了较为系统之规定,这既提升了个人信息保护的规范密度,又对二者的衔接及协调提出了较高要求。对此,一种颇有影响的学术观点认为,《个人信息保护法》乃《民法典》的特别法,因此,当二者发生规范冲突或竞合的时候,应当优先适用作为特别法的《个人信息保护法》。不过,这种观点值得商榷:其一,一般法与特别法之区分具有相对性,不可一概而论;其二,按照这种观点,《民法典》所规定的个人信息保护制度势必将沦为具文,显非合理。在实践中,若《民法典》和《个人信息保护法》针对同一事项作出了不同的规定,应在个案中作妥善调适,结合个案具体情况和相关立法的规范目的,进行深入的利益权衡和价值判断,以确定如何适用法律,获取较为妥适的法律适用效果。
关键词:个人信息;个人信息处理;个人信息权益;个人信息保护法;民法典
DOI:10.19563/j.cnki.sdfx.2021.04.005
一、问题的提出
作为世界第二大经济体,我国拥有规模庞大的信息网络产业,每年因个人信息被侵害所引发的案例也多到了令人触目惊心的地步。为了妥善规范个人信息处理活动,提升我国的个人信息保护水平,同时也为了与域外相关立法接轨,近年来,我国密集出台了相关法律予以应对。例如,2012年12月,全国人大常委会通过《关于加强网络信息保护的决定》,这是我国立法机关首次以决定的形式对个人信息保护作出专门规定,奠定了我国个人信息保护的制度框架,具有十分重要的意义。此外,《刑法》《消费者权益保护法》《网络安全法》《电子商务法》《数据安全法》等也从不同角度对个人信息保护作出了相应规定。不过,由于不同的部门法均有其不同的立法目标、规范视角及调整手段,使得个人信息保护方面的法律规范十分零散、不成体系,个人信息保护的实践状况仍不尽如人意。在民法典编纂过程中,很多学者呼吁应在《民法典》中对个人信息保护作出体系化的规定。我国立法机关顺应学界呼声和社会需求,先是在原《民法总则》第111条(现为《民法典》第111条)对个人信息保护作出原则性规定,继而在人格权编通过六个条文对其作出了更为具体的细化规定,初步构建了个人信息保护及利用的法律规范体系。通过民法的手段保护个人信息,赋予信息主体一定的民事权益并为其提供相应的民法救济,有助于确保信息主体的个人信息权益不被他人任意侵害。不过,在个人信息处理的实践活动中,大量的信息处理行为是由公权力机关依职权实施的,其与信息主体之间显然处于不平等的法律地位。不仅如此,在那些由私主体实施的信息处理活动中,信息处理者与信息主体之间在专业知识、经济条件、信息能力等方面同样处于不对等的地位,而这种不对等地位随着自动化信息处理技术的广泛适用愈发明显和严重。在这种情形下,讲求人格平等、奉行私法自治的民法在个人信息保护方面不可避免地存在一定的局限。
《民法典》通过后,《个人信息保护法》的立法进程明显提速:2020年10月,全国人大常委会对《个人信息保护法(草案)》进行了第一次审议;2021年4月,全国人大常委会对草案进行了第二次审议;2021年8月,全国人大常委会正式通过《个人信息保护法》。通过上述时间线可以看出,《个人信息保护法》从首次审议到正式通过其间尚不足一年时间。如此紧凑、迅捷的立法进程,一方面反映了制定一部专门的个人信息保护法存在广泛共识,另一方面也表明个人信息保护的立法现状并不能令人满意,个人信息保护水平有待提高。《个人信息保护法》的出台,改变了我国长期以来通过分散立法的方式对个人信息进行保护的现状,构建了体系完整、内容丰富、规范科学的个人信息保护法律规范体系,标志着我国关于个人信息保护方面的法治建设日益完备。当然,指望《个人信息保护法》这样一部单行法解决个人信息保护方面的所有问题并不现实,其也不可能取代《民法典》等部门法中已经确立的个人信息保护规则或制度,因而在客观上对其与相关立法之间的衔接和协调提出了更高要求。否则,立法“碎片化”问题不仅没有得到及时、妥善之解决,而且由此所产生的不系统、不协调等问题势必将更加突出,最终将会损及法治的权威和尊严。 在具体的立法协调方面,《个人信息保护法》与《民法典》之间在规范及价值层面能否实现有机衔接,对于确保相关法律的正确实施可谓至关重要。原因有三:其一,民法的调整对象和适用范围十分广泛,平等主体之间实施的个人信息处理活动应当受到民法规制;其二,《民法典》对个人信息保护及利用作出了较为详细之规定,其中很多内容与《个人信息保护法》存在交叉;其三,相较于刑法、行政法等公法而言,民法对于个人信息保护法律体系之形成具有基础性作用。 对比《个人信息保护法》与《民法典》人格权编所规定的个人信息保护制度,可以发现,二者在概念术语之选择、个人信息的权属定位和保护模式、个人信息处理原则及具体规则等诸多领域存在着密切协同,这有利于维护法律秩序的统一性。当然,二者也在个人信息的概念界定及其类型划分、已公开的个人信息处理规则等方面存在一定的差异,因而对于如何妥当适用法律提出了难题和挑战。对此,我国有不少学者主张,作为全面规范个人信息保护及处理的单行法,《个人信息保护法》既对《民法典》作出了大量的补充和例外规定,也对《民法典》的一般性规定作出了若干变通和突破,因而其构成了《民法典》的特别法。将《个人信息保护法》定位为《民法典》的特别法,那么二者在实践中可能出现的规范冲突及由此引发的复杂的法律适用关系似乎可以迎刃而解:在“一般法—特别法”的关系定位下,凡是《个人信息保护法》有规定的,则优先适用该法的相关规定;若《个人信息保护法》没有规定的,则应适用作为一般法的民法典的相关规定。如此一来,《个人信息保护法》与《民法典》之间的立法协调似乎不成问题。不过,这种解读未免过于简单,无法深刻说明《个人信息保护法》缘何要就相同内容作出与《民法典》不同的规定,而且可能导致《民法典》所规定的个人信息保护制度沦为具文。有鉴于此,本文拟对《个人信息保护法》与《民法典》之间的关系定位及规范协调进行初步探讨,以期消除二者在规范构造及法律适用中可能存在的矛盾及混乱,维护法律秩序的和谐、统一。二、《个人信息保护法》与《民法典》
之关系定位
探讨《个人信息保护法》与《民法典》之间的立法衔接及规范协调,需要先对这两部法律之间的总体关系进行准确定位。
(二)《个人信息保护法》与《民法典》关系之厘定 《民法典》第2条规定:“民法调整平等主体的自然人、法人和非法人组织之间的人身关系和财产关系。”据此,凡是平等主体之间的人身关系和财产关系,均属民法的调整范畴。因此,若主张《个人信息保护法》乃《民法典》的特别法,那么,该法势必只能适用于特定的民事主体,抑或只能适用于特定的民事关系。否则,上述论断就无从成立。 关于《个人信息保护法》的适用范围,该法第3条第1款作出了明确规定:“在中华人民共和国境内处理自然人个人信息的活动,适用本法。”据此,只要是在我国境内实施的个人信息处理活动,均要受到该法的调整及规范。相应地,该法不仅调整私法上的组织和个人实施的个人信息处理行为,而且还调整国家机关实施的个人信息处理行为;该法不仅规定了相应的民事救济手段,而且还包括大量的行政管理措施和行政处罚规定。由是观之,《个人信息保护法》既非仅适用于特定的民事主体,亦非仅调整特定领域的民事关系。就此而言,《个人信息保护法》并不构成《民法典》的特别法,而是一个超越公私部门法属性的、综合性的法律架构。 当然,上文主要是依据特别法与一般法的基本知识,论证《个人信息保护法》并非民法的特别法。此外,周汉华教授也从三个不同维度提出了质疑:其一,如果将《个人信息保护法》定位为民法的特别法,将直接冲击作为体系化立法成果的《民法典》的存在价值,可能导致民事立法再次进入分散状态,有损《民法典》的统一和权威;其二,个人信息保护与民法上的人格权保护是两个完全不同的领域,不宜强行混合在一起;其三,从已有的相关立法观察,都是先由单行法对新型权利的基本制度进行明确,然后才由民事立法等与之衔接,而不是倒转过来,先由民事立法确立新型权利,然后再由单行法进行衔接。 事实上,考量《个人信息保护法》的立法目的、适用对象和调整方式,“民法的特别法说”之主张亦难以成立:《个人信息保护法》以保护个人信息权益为目的,以规范个人信息处理活动为核心,以促进个人信息合理利用为导向,这就决定了其应当采用综合性的法律调整手段,而个人信息保护及处理方面的一切活动——不论是平等主体之间实施的个人信息处理行为,还是不平等主体之间实施的个人信息处理行为,均应纳入该法的调整范畴。一言以蔽之,“个人信息保护法是个人信息保护领域的基本法律,旨在实现个人信息权益保护与个人信息合理利用之间的协调。”这是因为,“个人信息不仅仅与个人利益有关,同时还是大数据时代的重要社会资源,它对企业的技术创新、商业模式创新及政府的治理方式创新均是至关重要的。”因此,个人信息不仅具有个人属性,同时其也具有鲜明的公共属性或共享属性。这就决定了“简单地强调个人信息的某一种属性均不足以阐述个人信息的本质特征,也不足以为个人信息保护搭建合理的法律框架”。就此而言,以《民法典》为代表的个人信息的私法保护模式固然十分重要,但是由于其“并非个人信息保护的专门法,不可能针对个人信息保护问题规定得面面俱到”,因而存在如下“先天不足”: 其一,个人信息之上负载了众多利益主体的利益需求,其不仅包括信息主体的人格尊严和自由利益,还包括使用者的利益和公共利益,而民法、刑法等传统的部门法无法单独应对这种多元化的利益格局,由此产生了对个人信息保护进行专门立法之必要。 其二,信息主体与信息处理者在知识、信息、技术和经济等方面完全处在不同层次,对于主体之间存在的这种事实上的不平等,以个体维权和诉讼为核心的民法机制显然无力纠偏,而亟需以公共监管、执法和处罚为主要手段的行政法和刑法机制的协助。 其三,以平等和自治为内核的私法保护模式不足以防范公权力机关对信息主体的侵犯,而公权力机关实际上才是最大的个人信息处理者。 因此,为了妥当规范个人信息保护及处理活动、妥善协调个人信息保护及利用之间的张力,作为个人信息保护的专门立法,《个人信息保护法》需要超越传统的公法和私法二元对立的立法模式,而有必要采取包括民事保护、行政管理和刑事制裁等在内的综合性的法律调整手段。只有通过综合性的个人信息保护立法,才能够“妥善处理个人、企业和国家三方关系,通过国家主导、行业自律和个人参与,实现个人对个人信息保护的利益、企业对个人信息利用的利益和国家管理社会的公共利益之间的三方平衡”。 由于《个人信息保护法》乃个人信息保护领域的基础性法律,其对个人信息处理的基本原则、信息主体所享有的各项权利、信息处理者所负有的各项义务等基本事项均作出了明确规定,故而作为一个整体而言,其并非《民法典》的特别法。当然,作为一个综合性、基础性的法律架构,《个人信息保护法》不仅包括了大量的公法规则,而且涵括了很多具有私法属性的规则,这些规则相对于《民法典》所确立的一般规则而言,当属特别规则。在具体的法律适用中,若《个人信息保护法》中的私法规则与《民法典》中的个人信息保护规则发生抵触,此时应当优先适用作为特别规则的《个人信息保护法》中的私法规则,自不待言。除此之外的规范冲突,则应在个案中作妥善调适,不可一概而论。
三、《个人信息保护法》与《民法典》
之规范协调
《个人信息保护法》与《民法典》不仅在诸多领域保持了密切协同,也在很多方面存在着较为明显的差异,由此对法律适用的明确性和可预期性造成隐患,亟须协调。对此,下文将从个人信息之概念界定及其类型划分、已公开的个人信息处理规则等三个方面,剖析二者展开规范协调的具体方式及应然路径,以期抛砖引玉。
(二)个人信息之类型划分 《个人信息保护法》将个人信息区分为敏感个人信息和非敏感个人信息两类,并对敏感个人信息的处理设置特别规则。与之不同,《民法典》第1034条第3款则将个人信息区分为私密信息和非私密信息两类,并规定私密信息适用有关隐私权的规定,只有在欠缺隐私权保护规定的情况下,才适用有关个人信息保护的规定。对此,人们难免产生这样的疑惑:同样是个人信息,为何要在立法上作出如此不同的类型区分?敏感个人信息与私密信息之间是什么样的关系?可以说,这两个问题若不能及时得到妥善回应及解答,将对个人信息保护法律体系产生直接冲击,进而影响法律适用的明确性和安定性。 就上述第一个问题而言,立法者之所以要在《个人信息保护法》和《民法典》中对个人信息作出不同的类型区分,主要是因为相关立法的规范目的并不相同:敏感个人信息和非敏感个人信息是《个人信息保护法》从规范个人信息处理行为的角度所作的分类,其目的是提高信息处理者在处理敏感个人信息时的法定义务,同时也为了促进非敏感个人信息的合理利用;私密信息和非私密信息则是《民法典》从民事权益保护的角度对个人信息所作的分类,其目的是为了正确区分隐私权和个人信息权益的保护方法。由此可见,正是因为《个人信息保护法》和《民法典》具有不同的规范目的及价值取向,才有必要对个人信息作出不同的类型区分和法律调整。具体言之,在《民法典》中规定个人信息保护制度,面临的首要问题是如何妥善协调其与隐私权之间的关系,因为传统做法主要是通过隐私权的方式来保护个人信息。因此,要在隐私权制度之外,另行确立专门的个人信息保护制度,必须要明确二者的规范逻辑和法律适用关系。鉴于个人信息与隐私在判断标准、范围和保护方式等方面并不完全相同,但是二者在范围上又确实存在一定的交叉,为了明确交叉地带的法律适用,《民法典》第1034条第3款规定,私密信息适用隐私权制度的相关规定,非私密信息则适用个人信息保护制度的相关规定,从而较好地解决了上述问题。 与《民法典》规定个人信息保护制度所面临的上述问题不同,《个人信息保护法》的规范目的和价值取向在于妥善协调个人信息保护及利用之间的张力。也就是说,既要对个人信息给予妥善保护,同时又要促进个人信息得到合理利用。为此,有学者提出了“两头强化,三方平衡”的理论构想:所谓“两头强化”,是指强化个人敏感信息的保护和强化个人一般信息的利用;所谓“三方平衡”,是指实现个人对个人信息保护的利益、信息业者对个人信息利用的利益和国家管理社会的公共利益之间的平衡。这种构想对于《个人信息保护法》的立法目标和体系构造产生了重大影响,在一定程度上可以说,《个人信息保护法》就是上述理论构想的立法实践,这也体现了立法与学说之间的良性互动。 就上述第二个问题而言,既然立法者基于不同的规范目的,针对个人信息作出了不同的类型区分,那么就需要对敏感个人信息与私密信息之间的关系进行妥善定位和解读。对此,学者存在不同的理解。有的学者认为,基于我国文化传统、社会普遍价值观、法律传统、风俗习惯等多重因素,个人敏感信息应被限缩为“个人敏感隐私信息”,即“关涉个人隐私核心领域、具有高度私密性、对其公开或利用将会对个人造成重大影响的个人信息”。按照这种解读,敏感个人信息与私密信息之间是包含与被包含的关系,即私密信息包含敏感个人信息。也有学者认为,所谓的“敏感信息”“私密信息”,都是指那些信息主体不愿意为他人知晓的个人信息,虽然相关的概念称谓可能不统一,但是其表述的意思并无二致。按照这种解读,敏感个人信息与私密信息之间没有本质区别,二者是同义词,在范围上是重合关系。 由此可见,敏感个人信息与私密信息之间究竟是什么关系,学者间存在不同的解读,相关立法亦未予以明确。这个问题的实践价值在于:对于敏感个人信息可否适用民法上的隐私权制度给予保护以及处理私密信息的时候是否需要遵循《个人信息保护法》针对敏感个人信息所确立的处理规则。笔者以为,敏感个人信息与私密信息并非依据同一标准进行划分,故而难以对二者的关系作出抽象的、一般性的论定,应当回归到个案的具体情境,结合各自的概念文义及规范目的予以妥善判断。具体言之,针对敏感个人信息可否适用隐私权制度给予保护这个问题,应当依据隐私权保护的相关规定,判断相关敏感个人信息是否符合隐私权保护规定对于私密信息的立法界定及隐私制度的规范目的:若符合,当然可以适用隐私权的相关规定;反之,则只能适用民法和其他法律关于个人信息保护的规定。同理,信息处理者在处理私密信息的时候,除了需要遵循隐私权保护的相关规定,至于其是否还需要遵循《个人信息保护法》针对敏感个人信息所确立的处理规则,则要具体分析相关私密信息是否符合《个人信息保护法》针对敏感个人信息所作的立法界定及相应的规范目的。
(三)已公开的个人信息处理规则 所谓已公开的个人信息,是指那些经由信息主体自行公开或者其他方式合法公开的个人信息。据此,只要不是信息主体自行公开的个人信息以及不是合法公开的个人信息,均不能被视为已公开的个人信息。对于已公开的个人信息处理规则,《个人信息保护法》和《民法典》均作出了明确规定,不过二者并不完全一致,需要妥善协调。 依据《个人信息保护法》第27条之规定,在个人信息已经通过信息主体自行公开或者依法公开的情况下,信息处理者可以在合理范围内对其进行处理,但是个人明确拒绝的除外;若处理已公开的个人信息将会对信息主体的个人权益造成重大影响的,则需要取得信息主体同意。在这里,《个人信息保护法》针对已公开的个人信息确立了如下处理规则:原则上信息处理者不必取得信息主体同意,即可在合理范围内处理已公开的个人信息,但是如果信息主体对此明确表示拒绝的,则不得处理;若处理已公开的个人信息将会损及信息主体的个人权益时,则必须取得信息主体的明确同意。 《民法典》第1036条规定,合理处理自然人自行公开的或者其他已经合法公开的信息,行为人不必承担民事责任,但是该自然人明确拒绝或者处理该信息侵害其重大利益的除外。在这里,《民法典》为已公开的个人信息处理规则确立了两项除外条件:若该自然人明确拒绝的,不得处理;若处理该信息侵害其重大利益的,不得处理。否则,行为人将要承担相应的民事责任。这意味着在处理公开信息侵害信息主体重大利益的情形下,处理者即便取得了信息主体同意,其也不得进行处理。 对比上述规定可以发现,《个人信息保护法》第27条和《民法典》第1036条存在着较为明显的体系冲突:依据前者,若信息处理者利用已公开的个人信息从事对信息主体的个人权益有重大影响的活动,只要其能够依法取得信息主体同意,则相关的信息处理行为便具有了合法性,处理者可不必承担法律责任;依据后者,只要处理已公开的个人信息侵害信息主体重大利益的,信息处理者即不得实施相关行为,也不能通过取得信息主体同意的方式使相关行为具有合法性。 上述体系冲突的背后隐含着价值评价上的矛盾:在信息主体的个人权益和信息处理者的行为自由发生冲突的时候,《民法典》第1036条选择的是优先保护信息主体的个人权益,而《个人信息保护法》第27条则试图调和这两项法律价值之间的紧张关系,在尊重信息主体自主决定(同意)的基础上,适当保护信息处理者的行为自由。在实践中,如何妥善解决上述体系冲突和价值评价矛盾,值得认真研究。本来,对于立法上形成的体系冲突和价值评价矛盾,最佳的解决方案是通过立法的途径予以彻底消除,以维护法律秩序的统一性。但是,考虑到《个人信息保护法》刚刚通过,马上就对其进行修改并不现实,只能在司法适用中对其加以适当缓和。 笔者以为,在处理已公开的个人信息的时候,究竟应适用《民法典》第1036条抑或《个人信息保护法》第27条,不能简单地按照“新法优于旧法”或者“特别规则优于一般规则”的法律适用方法进行一般化的确定。因为,一方面,这两个条款难以确定孰为一般规则、孰为特别规则;另一方面,若径行适用作为“新法”的《个人信息保护法》第27条,那么意味着《民法典》第1036条的规范意旨将会被完全掏空,显非合理。本文主张,较为妥善的应对方案是回归个案的具体情境,运用“个案中之法益衡量”方法,以确定在个案中究竟应适用《民法典》第1036条抑或《个人信息保护法》第27条,以期获得较为妥当的法律适用结果。“个案中之法益衡量”方法是拉伦茨提出的一种妥善协调个案中之法益冲突的法律方法,其在法学理论和法律实践层面具有广泛的适用余地和适用价值。由于资源有限而人的欲求无穷,故而不同主体在主张各自的权利或利益时往往存在着竞争乃至冲突,此乃法治社会的普遍现象。对此,拉伦茨指出:“一旦(权利或利益)冲突发生,为重建法律和平状态,或者一种权利必须向另一种权利(或有关的利益)让步,或者两者在某一程度上必须各自让步。于此,司法裁判根据它在具体情况下赋予各该法益的‘重要性’,来从事权利或法益的‘衡量’。”就本文而言,依据“个案中之法益衡量”方法,法官在个案中应当对相冲突的信息主体的个人信息权益和信息处理者的行为自由利益进行妥当权衡。权衡之结果,或者是信息主体的个人信息权益应当予以优先保护,或者通过赋予信息主体同意权的方式对二者予以妥善调和。在此基础上,选择适当的法律依据对个案作出妥当裁判。这样一来,规范冲突即可得到妥善解决,法律秩序便可恢复和平。 当然,“个案中之法益衡量”方法也存在一定的不足之处:其不能为法官提供较为明确的指引,也不能对法官的裁量过程和结果作出较为有效的控制,因而法官不可避免地享有过大的自由裁量权。因此,这一方法在具体适用的时候需要其他的知识资源尤其是比例原则的支持与配合。因为,比例原则的教义学功能就在于其可使权衡过程合理化和权衡内容具体化,从而能够促使诸种相互冲突的利益及法益和谐均衡。对此,笔者已有相关探讨,本文不再展开。
四、结论
现代以来,随着信息技术的不断发展,个人信息被他人非法侵害的现象愈演愈烈。虽然立法机关在《刑法》《消费者权益保护法》《网络安全法》等诸多的部门法中对个人信息保护作出过一些规定,但是相关规定过于零散、不成体系。为此,《民法典》在人格权编通过六个条文初步构建了个人信息的民法保护体系。2021年8月,更为全面、系统的《个人信息保护法》顺利通过,标志着我国建立起了一套内容科学、系统完备、体系严谨的个人信息保护制度。当然,要妥善保护自然人的个人信息权益、促进个人信息的合理利用,不仅需要构建一个科学合理、系统完备的个人信息保护法律体系,而且需要相关立法之间能够妥善协调,不能相互抵牾。因为,“《民法典》和《个人信息保护法》只有和其他法律有效协同,才能让个人信息保护制度稳定性和开放性兼备。”为此,本文主要围绕《个人信息保护法》与《民法典》之间的关系定位和立法协调展开探讨,论证《个人信息保护法》并非《民法典》的特别法,同时从个人信息之概念界定、个人信息之类型划分和已公开的个人信息处理规则等三个方面,对二者应予协调之具体内容及其路径进行了初步探讨,以期维护法律秩序的和谐、统一。
责任编辑:瞿郑龙
图文编辑:张盼盼
审核:李中原
本文刊于《苏州大学学报(法学版)》2021年第4期“《个人信息保护法》专题研究”,第55—63页。为阅读方便,此处删去原文注释,如有媒体或其他机构转载,请注明文章出处。
苏州大学学报微信公众号矩阵
苏州大学学报
哲社版
苏州大学学报
教科版
苏州大学学报
法学版