摘 要：《個人信息保護法》擴大個人信息的保護范圍，細化敏感個人信息的處理規(guī)則，規(guī)定國家機關的個人信息處理行為，暢通法律救濟途徑，這些都是其相較于《民法典》所做的創(chuàng)新。在《個人信息保護法》與《民法典》均對個人信息保護有所規(guī)定的前提下，有必要厘清二者的邏輯關系以破解協(xié)調(diào)適用難題。兩者并不為普通法與特別法之關系，究其原因在于普通法與特別法界分的相對性、法適用范圍的差異性以及《個人信息保護法》的憲法性。在《民法典》與《個人信息保護法》界定標準、類型劃分等方面規(guī)定不一時，應具體問題具體分析，立足于法的規(guī)范目的與價值取向，著眼于個人信息保護與利用的平衡協(xié)調(diào)，并以利益衡量為基本方法，在此基礎上做出較為合理的選擇。

關鍵詞：個人信息;《個人信息保護法》;《民法典》;協(xié)調(diào)適用;利益衡量

中圖分類號：D923? ?文獻標志碼：A? ?文章編號：1002-2589（2022）06-0077-04

隨著大數(shù)據(jù)、云計算、人工智能等新型數(shù)字技術的快速發(fā)展與廣泛應用，個人信息安全面臨前所未有之挑戰(zhàn)，強制使用人臉識別、手機APP非法獲取用戶個人信息、大數(shù)據(jù)“殺熟”等問題屢見不鮮。越來越多的人對其個人信息安全感到擔憂，如何有效規(guī)制個人信息處理活動，加強個人信息保護亟待解決。

一、問題的提出

《個人信息保護法》歷經(jīng)三次審議，終于在2021年8月20日正式通過。作為我國首部個人信息保護專門立法，《個人信息保護法》的出臺結束了個人信息保護立法“各自為政”的窘迫局面，既為公民個人信息權益提供充足保障，又為個人信息處理活動提供明確的法律指引。盡管過往非專業(yè)性分散式立法的缺陷明顯，但試圖通過一部單行法達到一勞永逸之效果，解決個人信息保護領域的所有問題是不切實際的，較為妥適之法便是加強《個人信息保護法》與相關法律之間的密切配合，形成對公民個人信息的全方位保護。這其中《個人信息保護法》與《民法典》的銜接適用問題頗具爭議。就《個人信息保護法》的法律屬性而言，該法屬于“領域法”的范疇，也就是說，其既涉及私法規(guī)范，也涉及公法規(guī)范[1]。不過，從《個人信息保護法》的整體內(nèi)容來看，私法規(guī)范顯然占據(jù)主體地位，公法規(guī)范的體量較小。與此同時，作為我國的私法基本法，《民法典》亦在其總則編與人格權編中對個人信息保護做了規(guī)定?；诖耍瑸橄簟秱€人信息保護法》與《民法典》在法律適用中可能存在的矛盾與混亂，有必要厘清《個人信息保護法》與《民法典》之間的邏輯關系，以期實現(xiàn)法律秩序的和諧統(tǒng)一。

二、《個人信息保護法》較《民法典》之創(chuàng)新

應當說，《個人信息保護法》的制定是適應信息時代飛速發(fā)展的必然結果，是增強個人信息保護規(guī)范性、系統(tǒng)性與可操作性的必然要求，亦是實現(xiàn)個人信息保護與利用有機平衡的必然選擇。《個人信息保護法》標志著我國對于個人信息的保護進入新階段，對我國信息社會構建和數(shù)字經(jīng)濟發(fā)展具有里程碑意義[2]。從內(nèi)容來看，盡管《民法典》與《個人信息保護法》在概念術語之選擇、個人信息的權屬定位和保護模式、個人信息處理原則及具體規(guī)則等諸多領域存在著密切協(xié)同[3]，但總體而言，《個人信息保護法》對《民法典》做了大量的補充和例外性規(guī)定，存在諸多創(chuàng)新之處。

（一）擴大個人信息的保護范圍

在個人信息的概念界定上，《民法典》采行“概括+列舉”之方式，既規(guī)定個人信息“是什么”，又詳細列舉個人信息的具體類型。而由《個人信息保護法》第4條第1款可知，該法選擇直接為個人信息下定義，并未明確個人信息“有什么”。實際上，《個人信息保護法》與《民法典》在概念界定方面的差異不僅體現(xiàn)在立法技術上，更在于界定標準的選擇上?？傮w而言，學界針對該問題共形成了三種不同的學說，分別為“識別說”“關聯(lián)說”與“隱私說”，三者的區(qū)別在于界定依據(jù)不同所引致的保護范圍略有差異?！瓣P聯(lián)說”以“關聯(lián)性”為依據(jù)，對個人信息的保護最為寬泛;“識別說”注重個人信息的“識別性”，保護范圍較“關聯(lián)說”有所限縮;“隱私說”則著眼于個人信息的“私密性”，保護范圍最為狹窄。應當說，“隱私說”混淆個人信息與個人隱私之區(qū)別，顯然不利于公民個人信息權益之保障，自應排除。

由此，個人信息究竟“是什么”存在“識別說”與“關聯(lián)說”之選擇。相較于《民法典》對“識別說”之肯定，《個人信息保護法》的創(chuàng)新之一在于在原有“識別說”的框架內(nèi)肯認“關聯(lián)說”的合理之處，增添“有關”之表述對個人信息的內(nèi)涵予以適度擴張，進一步擴大個人信息保護范圍以筑牢個人信息安全防線。

（二）細化敏感個人信息的處理規(guī)則

所謂敏感個人信息，即是指一旦處理不當，容易害及個人人格尊嚴或者人身、財產(chǎn)安全之信息，歐盟、日本、美國等的個人信息保護法均對該類信息加以特別規(guī)定。然對于特殊類型的個人信息保護，《民法典》僅對私密信息有所提及且規(guī)定得過于簡單，并無敏感個人信息之內(nèi)容?！秱€人信息保護法》較《民法典》的創(chuàng)新之二在于細化敏感個人信息的處理規(guī)則以加強對該種信息的保護。首先，《個人信息保護法》以“概括+列舉”的方式明確界定敏感個人信息，既賦予足夠的張力與彈性，使其能夠應對新種類信息對傳統(tǒng)概念的沖擊，又確保可操作性，使敏感個人信息之保護不至于流于形式。其次，信息處理者欲處理敏感個人信息須滿足一定的前提條件，包括目的之特定性、充分之必要性與保護之嚴格性。如若條件尚有不足，自無法取得處理敏感個人信息之正當性。再次，區(qū)別于普通個人信息，敏感個人信息的處理務必要取得個人的單獨同意，且在書面同意為法定要件的情況下口頭同意并不生效力。最后，在無例外的情況下，信息處理者負有明確的告知義務，涉及處理行為的必要性與對個人權益的影響等內(nèi)容。

（三）對國家機關處理個人信息予以特別規(guī)定

從比較法的角度來看，個人信息保護立法緣起于對國家機關等公權力主體個人信息處理行為的規(guī)制，只不過隨著互聯(lián)網(wǎng)技術的突飛猛進，各種私主體的個人信息處理能力遠超公權力主體，個人信息保護法的側重點方才發(fā)生轉移。然即便如此，現(xiàn)階段國家機關作為信息處理者處理個人信息依舊占據(jù)一定比重，這一點在此次疫情防控過程中體現(xiàn)得尤為明顯?！秱€人信息保護法》較《民法典》所做的又一創(chuàng)新就在于專設一節(jié)對國家機關處理個人信息予以特別規(guī)定。第一，國家機關處理個人信息必須具有正當性與法定性。所謂正當性，即國家機關唯履行法定職責方有權處理個人信息。至于法定性，則是指國家機關的處理行為須以“法”為界，意在規(guī)制公權力擴張所造成的消極影響。第二，相較于處理普通個人信息所遵循的“知情—同意”原則，鑒于國家機關處理行為的公益性，其只需履行告知義務即可，否則勢必會影響公共職能的行使。第三，根據(jù)《個人信息保護法》第36條之規(guī)定，國家機關處理的個人信息應當在我國境內(nèi)存儲，唯有在安全評估后方能向境外提供所處理的個人信息。

（四）多渠道暢通法律救濟途徑

“權利的存在和得到保護的程度，只有訴諸民法和刑法的一般規(guī)則才能得到保障?！盵4]保護個人信息權益，一方面需要規(guī)范個人信息處理活動，加強事前預防機制;另一方面則需要在權益遭受侵害之時為其指明救濟途徑，確立事后懲罰機制?！秱€人信息保護法》較《民法典》的創(chuàng)新之四在于多渠道暢通法律救濟途徑，實現(xiàn)事前預防與事后懲罰的有機結合。首先，對于信息處理者在處理個人信息過程中所存在的各種失范現(xiàn)象，涉及違法處理個人信息的行為與未履行法定義務的行為，《個人信息保護法》根據(jù)情節(jié)輕重要求違法行為人承擔行政責任、刑事責任和民事責任，為受害人提供多重保護。其次，在侵犯公民個人信息案件中，受害人舉證困難、成本較高的問題尤為突出，亟待解決。又因個人信息處理者較受害人專業(yè)性強，距離證據(jù)更近，《個人信息保護法》確立了個人信息處理者的過錯推定責任。再次，在損害賠償問題上，《民法典》第1182條所確立的賠償規(guī)則僅適用于人身權益損害，至于個人信息權益損害則不置可否，在實踐中尚存諸多爭議?！秱€人信息保護法》第69條第2款則將之予以明確，對于損害賠償責任之確定同樣需要根據(jù)受害人所受損失或個人信息處理者所獲利益抑或是實際情況加以考量。最后，《個人信息保護法》的另一大亮點在于引入個人信息權益侵害的公益訴訟制度。公益訴訟具有延伸性的制度張力，可以調(diào)動諸多手段，協(xié)同多個部門，通過具有更強糾紛解決能力的組織和機關介入，對個人信息的保護更具專業(yè)性、權威性和便利性，有助于克服實踐中個人起訴存在的舉證困難以及成本過高等問題[5]。

三、《個人信息保護法》與《民法典》邏輯關系之厘清

正如前文所述，鑒于《民法典》亦對個人信息保護有所涉及，由此引發(fā)《個人信息保護法》與《民法典》的法律適用問題，而該問題的解決關鍵在于對二者邏輯關系的厘清。有論者認為，《個人信息保護法》實為《民法典》之特別法，需遵循普通法與特別法之適用規(guī)則。易言之，《個人信息保護法》有規(guī)定的，應優(yōu)先適用《個人信息保護法》之相關規(guī)定;《個人信息保護法》尚未有規(guī)定的，《民法典》方有適用空間。不可否認，普通法與特別法之界分確有使復雜的法律適用難題簡單化之效，然此種關系定位卻有失偏頗，顯然欠缺法理依據(jù)。具體而言，主要包括如下幾方面。

（一）普通法與特別法之界分具有相對性

在法理上，普通法與特別法之界分重要且必要，不僅在于對復雜凌亂的法律予以分類，更為在法律適用過程中通過引用具體規(guī)則以避免沖突和矛盾。所謂具體規(guī)則，即以《立法法》第92條為準。然關鍵問題在于以何為依據(jù)對普通法與特別法加以明確區(qū)分。對于這一問題，學界存在多種不同的答案。有學者以法的效力范圍為依據(jù)，認為特別法是適用于特定時間、特定空間、特定主體（或?qū)ο螅?、特定事項（或行為）的法律?guī)范[6]。另有學者從法律規(guī)范本身著手，研究特殊社會關系與一般社會關系在法律規(guī)范結構上的反映[7]，以此將普通法與特別法區(qū)別開來。學者們之所以無法形成一致意見，究其原因主要在于普通法與特別法之分界具有相對性。即便是同一部法律，倘若選取的參照物不同，得出的結果亦有差異。例如，《著作權法》相對于《民法典》是特別法，但相對于其他關乎著作權保護的法律法規(guī)而言，《著作權法》顯然又是普通法?！睹穹ǖ洹分胀ǚ▽傩晕阌怪靡?，但受制于參照物的不確定性，并不能徑直得出《個人信息保護法》為《民法典》之特別法的結論，尚需通過其他途徑予以明晰。

（二）《個人信息保護法》之適用范圍較《民法典》為寬

倘若《個人信息保護法》與《民法典》為普通法與特別法之關系，那么《民法典》之適用范圍必然較《個人信息保護法》為寬，必然將《個人信息保護法》所欲調(diào)整對象全部囊括其中，然事實恰恰相反。作為我國民事領域的基本法，《民法典》僅適用于平等主體之間的個人信息處理行為。盡管該法在第1039條對國家機關、承擔行政職能的法定機構有所提及，但僅是對其保密義務的確認，并未涉及個人信息處理行為的具體規(guī)制措施。與之不同的是，《個人信息保護法》適用于在我國境內(nèi)所謂的任何個人信息處理活動，相較于《民法典》顯然更加寬泛。一方面，《個人信息保護法》的調(diào)整對象不僅包括同《民法典》如出一轍的私權利主體，還涉及國家機關等公權力主體;另一方面，《個人信息保護法》所規(guī)定的救濟手段既包括民事救濟，還包括行政處罰與刑事懲罰等。在這一點上，《個人信息保護法》與《民法典》并不為“普通法—特別法”之關系。

（三）《個人信息保護法》之憲法性決定其基本法地位

就我國立法現(xiàn)狀而言，“根據(jù)憲法，制定本法”的立法表述使得《個人信息保護法》是第一部亦是唯一一部“依憲而定”的網(wǎng)絡法。保護個人信息，究其本質(zhì)源于人權之保障，源于人格尊嚴之不受侵犯，源于通信自由和通信秘密之保護，而這些全為憲法所明定。應當說，立法者賦予《個人信息保護法》憲法性除程序意義外，更具實質(zhì)意義，決定了該法所具有的基本法地位。然有學者援引《立法法》第7條之規(guī)定，以《個人信息保護法》為全國人大常委會制定為由對其基本法地位予以否定。筆者認為，判斷一部法律是否為基本法的關鍵在于該法是否直接源于憲法條文或為實施憲法而設，不能簡單地以立法主體作為判斷依據(jù)。有鑒于此，《個人信息保護法》不僅為我國個人信息保護領域的基本法與整個網(wǎng)絡信息法律體系的基本法，亦是與刑法、民法等基本法具有同等、并存地位的基本法[8]。于是乎，顯然并不能將《個人信息保護法》界定為《民法典》之特別法。

四、《個人信息保護法》與《民法典》適用規(guī)則之協(xié)調(diào)

不可否認，《個人信息保護法》自起草時就在一定程度上注重與《民法典》的協(xié)調(diào)配合，充分尊重《民法典》的基礎性法律地位。但鑒于《個人信息保護法》亦是個人信息保護領域的基本法，其對《民法典》的尊重應是有限的。在邏輯關系上，《個人信息保護法》與《民法典》實為交叉并存而非“普通法—特別法”之關系，二者在內(nèi)容上既具一致性，又存差異性。對于密切協(xié)同之處，自無適用困境，關鍵在于如何協(xié)調(diào)二者針對同一法律事實所做的差異化規(guī)定。總的來說，在“特別法優(yōu)先”規(guī)則無適用余地的情況下，妥善化解《個人信息保護法》與《民法典》在個人信息保護領域的沖突與矛盾之應然路徑應回歸到具體個案，以法的規(guī)范目的與價值取向為立足點，著眼于個人信息保護與利用的平衡協(xié)調(diào)，并以利益衡量為基本方法，繼而做出較為合理的選擇。具體而言，《個人信息保護法》與《民法典》適用規(guī)則之協(xié)調(diào)主要體現(xiàn)在如下三個方面。

（一）個人信息界定標準的選擇

前已述及，《民法典》在個人信息的界定標準上以“識別說”作為立法依據(jù)，而《個人信息保護法》則選擇“識別+關聯(lián)”標準。前者是“從信息到個人”，由信息本身的特殊性識別出特定自然人，凡有助于識別出特定個人的信息都是個人信息;后者則還要加上“從個人到信息”，在識別出特定自然人后，該特定個人在其活動中產(chǎn)生的信息均為個人信息[9]。從立法的發(fā)展歷程來看，對個人信息的概念界定經(jīng)歷了一個范圍逐漸擴大的過程，由最初的“直接識別”標準到之后《網(wǎng)絡安全法》《民法典》所確立的“直接識別+間接識別”標準再到如今《個人信息保護法》所推行的“識別+關聯(lián)”標準。為保證個人信息概念上的確定性，避免由此而給法律適用帶來的消極影響，有必要在界定標準上做出選擇。筆者認為，在個人信息處理過程中，信息主體相較于信息處理者在多數(shù)情況下處于劣勢地位，自應獲得更多保護。因此，選擇何種界定標準應立足于信息主體之權益保障?；诖?，“識別+關聯(lián)”標準顯然更符合要求。隨著時代發(fā)展與科技進步，大量不具有“可識別性”的信息能夠通過特定算法與特定個人產(chǎn)生密切聯(lián)系。倘若嚴格適用“識別”標準，該類信息便因不符合標準而只能被稱之為一般信息。但若對此類信息的利用持放任態(tài)度而不加以約束，又勢必因無法獲得相應的法律保護而對信息主體之合法權益造成消極影響。應當說，《個人信息保護法》所確立的“識別+關聯(lián)”標準是對個人信息保護范圍的進一步擴大，是對傳統(tǒng)“識別說”觀點的優(yōu)化與完善，更是為順應時代發(fā)展而做出的必然選擇。

（二）敏感個人信息與私密信息之關系界定

基于各自不同的規(guī)范目的，《個人信息保護法》與《民法典》在個人信息的類型劃分上亦有明顯區(qū)別。具體而言，《民法典》規(guī)定隱私信息與非隱私信息之界分，實為加強民事權益保護，正確處理隱私權與個人信息權益之關系。與之不同，《個人信息保護法》為規(guī)范個人信息處理行為以實現(xiàn)保護與利用之有機平衡而將個人信息區(qū)分為敏感個人信息與非敏感個人信息。盡管隱私信息與非隱私信息、敏感個人信息與非敏感個人信息之適用規(guī)則皆為法律所明定，但現(xiàn)行立法并未對敏感個人信息與私密信息之關系加以界定。對于這一問題，學者們亦有不同看法。有學者將敏感個人信息限縮在私密信息的范圍內(nèi)，認為二者應構成包含與被包含之關系;另有學者認為盡管在概念上面可能不統(tǒng)一，但敏感個人信息與私密信息實際上表述的意思都是一致的，都是指信息主體不愿意為他人知曉的信息[10]，二者并無本質(zhì)區(qū)別。筆者認為，欲對敏感個人信息與私密信息之關系做出抽象的、一般性的論定實難以為之，蓋因二者所依據(jù)的劃分標準以及欲實現(xiàn)之目的不盡相同。易言之，敏感個人信息與私密信息僅可從形式上界定為交叉關系，基于此，對于私密信息之保護規(guī)則與敏感個人信息之處理規(guī)則可否互用之問題唯有在某種信息既為敏感個人信息又為私密信息的情況下方有討論之空間。而對個人信息自身性質(zhì)之判斷尚且需要立足于具體情況并結合法律的明確規(guī)定與立法規(guī)范目的予以審慎判斷。

（三）已公開的個人信息之處理規(guī)則

《個人信息保護法》與《民法典》所需調(diào)和之處，不僅體現(xiàn)在個人信息界定標準的選擇上和敏感個人信息與私密信息的關系界定上，已公開的個人信息之處理規(guī)則亦有待調(diào)適。盡管《個人信息保護法》與《民法典》對此類信息有所規(guī)定，但二者在處理規(guī)則上卻存在著明顯的沖突。根據(jù)《個人信息保護法》第27條之規(guī)定，如若信息處理者處理已公開的個人信息將會對信息主體的個人權益造成重大影響，那么其應當取得信息主體同意。反觀《民法典》第1036條，只要信息處理者的處理行為侵害信息主體的重大利益，其便應承擔民事責任，至于是否獲得信息主體同意則在所不問。兩部法律之所以會有截然不同的規(guī)定，究其根本依然在于二者不同的價值取向?！睹穹ǖ洹分塾谛畔⒅黧w個人權益之保障，而《個人信息保護法》并不止于此，個人信息的合理利用亦是其關注重點。為此，在處理已公開的個人信息時，法律協(xié)調(diào)適用的關鍵就在于如何衡量信息主體的個人信息權益與信息處理者的處理利益，而這則需要借助于利益衡量之法。筆者認為，在司法實踐中，法官應當在比例原則的指導下合理行使自由裁量權，對信息主體與信息處理者之兩方利益之重要性進行充分權衡與比較。如若信息主體之個人信息權益更值得保護，則優(yōu)先適用《個人信息保護法》之有關規(guī)定，反之則以《民法典》為裁判依據(jù)。唯有如此行事，方能獲得妥適之結果。

五、結語

在信息時代，個人信息的重要性毋庸置疑，如何加強個人信息保護業(yè)已成為理論與實務界的研究熱點。雖然立法機關在《刑法》《消費者權益保護法》《網(wǎng)絡安全法》等諸多的部門法中對個人信息保護做出過一些規(guī)定，但是相關規(guī)定過于零散、不成體系。為此，《民法典》與《個人信息保護法》的相繼出臺，標志著我國已然構建起一套系統(tǒng)完備、科學合理的個人信息保護法律體系。作為我國首部個人信息保護專門立法，《個人信息保護法》在個人信息保護的適用范圍、敏感個人信息的處理規(guī)則以及個人信息權益受損時的救濟渠道等方面存在諸多創(chuàng)新之處，顯然通過立法的方式加強了對公民個人信息的保護。盡管《個人信息保護法》同時包含了公法與私法性質(zhì)的規(guī)范，但明顯以私法規(guī)范為主，占比三分之二多，而公法性質(zhì)的規(guī)范約三分之一[11]?；诖?，在個人信息保護領域，即便《民法典》亦對之有所規(guī)定，但其與《個人信息保護法》在規(guī)范目的與價值取向上存在較大差異。為確保法律體系的執(zhí)行順暢與運行有效，有必要對兩部法律在適用過程中存在的相互抵牾之處加以規(guī)范協(xié)調(diào)?？傮w而言，基于普通法與特別法之界分的相對性、適用范圍上的差異性與《個人信息保護法》的憲法性，《個人信息保護法》并非《民法典》之特別法，二者應為交叉并存關系。在此基礎上，則需要對概念界定、類型劃分與已公開的個人信息等三個方面予以明晰。當然，隨著時代的進一步發(fā)展，在法律的協(xié)調(diào)適用問題上還會面臨諸多新的挑戰(zhàn)，唯有持續(xù)且深入探索，方能最終實現(xiàn)法律秩序的和諧統(tǒng)一。

參考文獻：

[1]王利明.《個人信息保護法》的亮點與創(chuàng)新[J].重慶郵電大學學報（社會科學版），2021（6）：1.

[2]申衛(wèi)星.論個人信息保護與利用的平衡[J].中國法律評論，2021（5）：28.

[3]鄭曉劍.論《個人信息保護法》與《民法典》之關系定位及規(guī)范協(xié)調(diào)[J].蘇州大學學報（法學版），2021（4）：56.

[4][美]彼得·斯坦，約翰·香德.西方社會的法律價值[M].北京：中國人民公安大學出版社，1989：41.

[5]王利明，丁曉東.論《個人信息保護法》的亮點、特色與適用[J].法學家，2021（6）：10.

[6]汪全勝.“特別法”與“一般法”之關系及適用問題探討[J].法律科學，2006（6）：51.

[7]楊登峰.選擇適用一般法與特別法的幾個問題[J].寧夏社會科學，2008（3）：19-20.

[8]龍衛(wèi)球.《個人信息保護法》的基本法定位與保護功能[J].現(xiàn)代法學，2021（5）：89.

[9]王錫鋅，彭.個人信息保護法律體系的憲法基礎[J].清華法學，2021（3）：16.

[10]張新寶.個人信息收集：告知同意原則適用的限制[J].比較法研究，2019（6）：9.

[11]石佳友.個人信息保護的私法維度——兼論《民法典》與《個人信息保護法》的關系[J].比較法研究，2021（5）：15.

收稿日期：2022-01-11

基金項目：國家社會科學基金一般項目“土地功能區(qū)分視角下農(nóng)地權利配置的理論反思和體系重構研究”（17BFX111）

作者簡介：趙遲遲，碩士研究生，從事民商法研究。