文/程嘯

問題的提出

《民法典》與《個人信息保護法》（以下簡稱《個保法》）作為我國個人信息保護法律體系中最重要也是最核心的法律，都對個人信息保護作出了規(guī)定。對于二者是何種關系以及司法和執(zhí)法中應當如何適用，存在著爭議，因此本文將就此進行研究，以供理論界與實務界參考。

《民法典》與《個保法》適用關系的四種類型

要正確認識二者的關系，就有必要了解其在個人信息保護的目的、調整范圍與保護方法等方面的異同。一方面，在調整范圍上，《民法典》作為民事領域的基本性、綜合性法律，調整的是平等主體的自然人、法人和非法人組織之間的人身關系和財產(chǎn)關系。不平等的主體之間的個人信息處理關系，如國家機關為履行法定職責而處理自然人的個人信息不在其調整范圍內。而《個保法》調整的是個人信息處理者處理自然人的個人信息的活動。只要是信息能力不平等的主體之間的個人信息處理活動，都要受到《個保法》的規(guī)范。因此作為信息能力平等的主體之間即自然人之間因個人或家庭事務而處理個人信息的情形，仍由《民法典》調整。另一方面，二者所采取的調整方法有異。《民法典》對個人信息保護的規(guī)定集中于人格權編，主要規(guī)定個人信息權益的享有和保護，主要是事后補救，即從侵權責任的角度作出規(guī)定。而《個保法》是對個人信息處理活動進行全過程、全方位的規(guī)范，側重從預防的角度作出規(guī)定。

正是因為《民法典》與《個保法》對個人信息保護的規(guī)定既有共性也有差異，應當對二者之間的關系采取類型化的思考方法，下文將逐一加以論述。

《個保法》中豐富發(fā)展《民法典》相關規(guī)定的規(guī)范

《個保法》中有相當多的規(guī)定是對《民法典》規(guī)定的豐富發(fā)展，主要體現(xiàn)在以下幾個方面：

（一）對個人信息處理基本原則的豐富發(fā)展與告知同意規(guī)則的細化

《民法典》明確規(guī)定的個人信息處理的基本原則有合法、正當與必要原則，《個保法》在此基礎上進行了全面詳盡的規(guī)定。首先，對合法原則、正當原則進行了細化?！秱€保法》第5條規(guī)定處理者“不得通過誤導、欺詐、脅迫等方式處理個人信息”；第10條規(guī)定：“任何組織、個人不得非法收集、使用、加工、傳輸他人個人信息，不得非法買賣、提供或者公開他人個人信息；不得從事危害國家安全、公共利益的個人信息處理活動”。其次，新增公開透明原則、誠信原則、目的限制原則、質量原則以及責任原則作為個人信息處理的基本原則。再次，《個保法》第6條第1款將《民法典》第1035條中的“不得過度處理”細化為“收集個人信息，應當限于實現(xiàn)處理目的的最小范圍，不得過度收集個人信息”。同時，作為個人信息處理中最基本的規(guī)則，告知同意規(guī)則在《民法典》第1035條中已被蘊含，《個保法》第二章與第三章對此予以了更加詳細的規(guī)定。

（二）對個人信息含義的豐富發(fā)展

《民法典》第1034條第2款對個人信息采取了“識別說”，《個保法》并未逐一列舉個人信息的類型，對其界定采取了“關聯(lián)說”。筆者認為《個保法》對個人信息的界定是對《民法典》規(guī)定的發(fā)展和完善，無論是采取識別說還是關聯(lián)說，所界定的個人信息的范圍都是相同的，不存在矛盾沖突。識別說是從信息本身出發(fā)，看能否從中找到與特定自然人的關聯(lián)性。關聯(lián)說則是從信息主體出發(fā)，更強調個人信息的相對性，認為只有與已識別或可識別的自然人相關的信息才是個人信息。

（三）個人信息處理類型的豐富與個人信息處理者的界定

《民法典》對個人信息處理作了規(guī)定，同時采取統(tǒng)一使用“個人信息處理者”概念的立法模式，沒有區(qū)分處理者與控制者?！秱€保法》則在此基礎上作出了更細致的規(guī)定。首先，《個保法》第4條第2款在《民法典》第1035條第2款的基礎上新增了“刪除”這一典型的處理情形。其次，《個保法》第73條第1項對個人信息處理者作了明確界定，即能夠自主決定處理目的、處理方式的組織和個人就是個人信息處理者。再次，《個保法》區(qū)分個人信息的處理者與受委托處理個人信息的受托人，后者并不是自主決定個人信息處理目的和處理方式的人。

（四）對個人信息處理的合法根據(jù)的具體規(guī)定

《民法典》從兩方面對個人信息處理活動合法與否作了回答。一方面，第1035條第1款規(guī)定了合法的個人信息處理應具備的條件，即應當遵循合法、正當、必要原則，不得過度處理，并應征得該自然人或其監(jiān)護人同意。另一方面，第999條和第1036條分別從個人信息的合理使用與免責事由的角度對合法的個人信息處理作了規(guī)定。而《個保法》第13條第1款列舉了所有的合法處理個人信息的情形，在《民法典》的基礎上從處理規(guī)則的角度對個人信息處理的合法根據(jù)作了系統(tǒng)全面的規(guī)定。

（五）豐富發(fā)展了個人在個人信息處理活動中的權利

《民法典》規(guī)定了個人針對個人信息處理者的知情同意權、查閱復制權、更正權和刪除權?！秱€保法》則在此基礎上明確這些權利的性質，并豐富了權利的類型及救濟程序：（1）《個保法》第四章明確了這些權利在性質上屬于請求權；（2）《個保法》為這些權利建立了實現(xiàn)和保障機制（第50條）；（3）新增了知情權與決定權（第44條）、可攜帶權（第45條第3款）、補充權（第46條）以及對于處理規(guī)則的解釋說明權（第48條）；（4）對權利行使的具體情形作了規(guī)定，包括個人不得行使查閱復制權的情形（第45條第1款）和行使刪除權的五種具體情形；（5）規(guī)定了自然人死亡的，其近親屬為了自身合法、正當利益，可以對死者相關個人信息所行使的權利。

《個保法》通過轉介條款指向《民法典》的相應規(guī)定

對個人信息處理活動中的格式條款的規(guī)范等問題，《個保法》無需重復《民法典》的規(guī)定，只需通過相應的轉介條款或規(guī)范指向《民法典》即可。

（一）個人信息處理規(guī)則與格式條款的規(guī)制

個人信息處理規(guī)則是個人信息處理者單方面制定的，可能包括個人信息處理者對于其與個人之間的權利義務的規(guī)定。一方面，對個人信息處理者要求個人表示同意的個人信息處理規(guī)則，因個人同意使得該處理規(guī)則納入雙方網(wǎng)絡服務合同中的，必須適用《民法典》第496條第2款的規(guī)定，即處理者應當遵循公平原則確定當事人之間的權利和義務，并采取合理的方式提示個人注意免除或者減輕其責任等與個人有重大利害關系的條款，按照個人的要求，對該條款予以說明。另一方面，對于不需要取得個人同意的個人信息處理規(guī)則，如果存在《民法典》第一編第六章第3節(jié)和第506條規(guī)定的無效情形，或處理者通過個人信息處理規(guī)則不合理地免除或者減輕其責任、加重個人的責任、限制個人的主要權利，或處理者排除個人的主要權利的，這些處理規(guī)則就是無效的。

（二）個人信息處理者的連帶責任

對于數(shù)個處理者在共同處理個人信息，對個人信息權益造成損害時應當承擔的責任，《個保法》第20條第2款規(guī)定“應當依法承擔連帶責任”。“依法”指的就是《民法典》第1168條至第1171條對多數(shù)人侵權的連帶責任的規(guī)定。

就構成共同加害行為的共同處理個人信息的侵權行為而言，處理者一開始就是以追求侵害自然人個人信息權益為目的，應承擔連帶責任。還有可能是共同處理者并非一開始就追求侵害個人信息權益的非法目的，但在處理活動中都沒有盡到個人信息安全保護義務導致個人信息被他人竊取或篡改，從而侵害個人信息權益并造成損害。在這種情況下，可以適用《民法典》第1170條規(guī)定的共同危險行為，共同處理者要向遭受損害的自然人承擔連帶賠償責任，如果某個處理者能夠證明并非其處理行為實際造成了損害，則可以免責。又如，當共同處理者的某些行為足以造成信息主體的全部同一損害，某些只能造成信息主體的部分同一損害，依據(jù)《民法典》第1172條，這些處理者應承擔按份責任。

（三）個人信息委托處理中的委托合同與相應的民事責任

《個保法》第21條對個人信息的委托處理作了規(guī)定，除此之外，對個人信息委托處理的民法規(guī)范必須適用《民法典》。（1）委托人與受托人的權利義務適用委托合同的規(guī)定。“委托處理的目的、期限、處理方式、個人信息的種類、保護措施”屬于個人信息處理委托合同中的必備條款，至于“雙方的權利義務”，有約定的時候適用約定，沒有約定或約定不明的，應適用《民法典》合同編第二十三章關于委托合同中委托人和受托人主要權利義務的規(guī)定。（2）緊急情況下的個人信息處理的轉委托適用《民法典》第923條的規(guī)定。在個人信息的委托處理中，受托人不能隨意轉委托，除非是緊急情況下受托人為了維護作為委托人的個人信息處理者的利益時。對于責任的承擔，一方面，受托人因處理行為侵害個人信息權益造成損害的屬于定作人責任，應適用《民法典》第1193條；另一方面，受托人在向受害人賠償后，可以依據(jù)委托合同的約定向受托人進行追償。

《民法典》與《個保法》中因規(guī)范目的不同而分別適用的規(guī)定

（一）私密信息與敏感的個人信息

私密和非私密的個人信息是《民法典》從民事權益保護和法律適用的角度對個人信息進行的分類，僅僅在平等民事主體的侵權糾紛中有意義。對于私密信息的判斷也必須從社會公眾的一般認知和價值權衡的角度出發(fā)，根據(jù)案件具體事實逐一認定。而敏感與非敏感個人信息是從個人信息處理者的義務角度，為了確定不同的個人信息處理規(guī)則而作出的區(qū)分，不適用于自然人因個人或家庭事務而處理個人信息的活動。

（二）合法公開的個人信息的處理

《民法典》第1036條第2項與《個保法》第13條、第27條都對合法公開的個人信息作了規(guī)定，但前者是從處理個人信息民事責任免責事由的角度加以規(guī)定的，后者則從個人信息處理規(guī)則的角度出發(fā)。一方面，《個保法》將《民法典》中的“合理處理”細化為“依照本法規(guī)定在合理的范圍內處理”；另一方面，《個保法》中采用了“對個人權益有重大影響”的表述，不同于《民法典》中“侵害其重大利益”，原因在于前者的規(guī)范對象是個人信息處理者，屬于預防性或事先的規(guī)范，即處理者在處理合法公開的個人信息之前就必須對該處理活動是否對個人權益有重大影響進行判斷，據(jù)此決定是否需要取得個人同意，自身要對此負擔舉證責任。而后者是從個人信息合理使用的角度作出的規(guī)定，只有在行為人處理合法公開的個人信息已經(jīng)侵害了自然人重大利益的情形下，才能基于比例原則的考慮，優(yōu)先保護重大利益，認定處理者不得以此免責，個人負有證明處理者已經(jīng)侵害其重大利益的舉證責任。

（三）死者的個人信息

《民法典》第994條沒有對死者的個人信息中那些并非死者的姓名、肖像或隱私的個人信息是否受到侵權法保護作出規(guī)定。筆者認為該條在列舉死者的人格要素時并未窮盡，而是使用了“等”字兜底，因此保護這些信息也可以適用該規(guī)定?！秱€保法》第49條則賦予了死者近親屬針對死者的個人信息可以積極行使的相應權利。首先，當死者的姓名、肖像、名譽、榮譽、隱私、遺體等受到侵害時，其配偶、子女、父母是第一順位的請求權人。而由于死者的近親屬只有在“為了自身的合法、正當利益”時，才能針對死者的相關個人信息行使查閱、復制、更正、刪除等權利，因此無需規(guī)定請求權人的順位。其次，只要是死者的個人信息遭受了侵害，近親屬就有權要求行為人承擔民事責任，而依《個保法》第49條，近親屬只可以針對死者的相關個人信息行使查閱、復制等權利。再次，死者可以通過遺囑等排除近親屬針對其個人信息行使相應的權利，但對于侵害死者個人信息的侵權責任而言，不存在預先排除的問題。

《個保法》中屬于《民法典》的特別規(guī)范

（一）侵害個人信息權益賠償責任的歸責原則

在《個保法》頒布之前，侵害個人信息權益的侵權賠償責任應當適用《民法典》第1165條過錯責任原則?？紤]到個人信息處理活動具有很強的專業(yè)性和技術性等原因，《個保法》第69條第1款明確采取了過錯推定責任，相對于《民法典》的過錯責任原則為特別法，應當優(yōu)先適用。

（二）侵害個人信息權益的損害賠償確定

在《個保法》頒布前，法院依據(jù)《民法典》第1182條和《最高院關于審理利用信息網(wǎng)絡侵害人身權益民事糾紛案件適用法律若干問題的規(guī)定》第12條處理了不少侵害個人信息權益的案件。而《個保法》第69條第2款在《民法典》的基礎上作了特別規(guī)定，用“損失”代替了“財產(chǎn)損失”的表述。所謂損失，既包括財產(chǎn)損失或財產(chǎn)損害，也包括精神損失或精神損害。也就是說，依據(jù)該條，只要侵害個人信息權益造成損害的，無論是財產(chǎn)損失還是精神損失，都可以按照個人因此受到的損失或者個人信息處理者因此獲得的利益確定，如果難以確定的，根據(jù)實際情況確定賠償數(shù)額。

結語

《民法典》與《個保法》都以保護個人信息權益、實現(xiàn)個人信息保護與利用的協(xié)調為目的，前者側重于權益的內容和侵害，后者調整信息能力不對等的個人信息處理者與個人之間的處理活動，注重于事先、預防性的保護。這種差別使二者的關系不能簡單地以一般法與特別法或并存的基本法的關系加以概括，而當從前述四種類型的角度逐一考察，方可在司法和執(zhí)法中準確適用，實現(xiàn)立法目的。