·个人信息保护法专题·


内容摘要：正确理解个人信息权益与隐私权的关系，需要解决两个核心问题：一是，隐私权与个人信息权益在法律保护上的强弱关系；二是，隐私权规则与个人信息保护规则的适用关系。无论从现行法律规范来看，还是从与维护人格尊严的紧密程度来分析，都无法得出法律对隐私权保护的强度要大于个人信息权益的结论。隐私权规则与个人信息保护规则在适用的范围和规范的属性方面都存在明显的区别，故此，不应当存在所谓隐私权优先适用的规则。就《民法典》第1034条第3款，应做如下理解：首先，隐私权规则仅适用于平等主体的自然人、法人及非法人组织之间涉及个人信息中私密信息保护的情形；其次，私密信息在适用隐私权规则的同时，对其所进行的处理活动也应适用个人信息保护规则，除非是自然人之间因个人或家庭事务处理个人信息的情形；再次，隐私权规则与个人信息保护规则存在规范适用上的冲突时，应当根据各自的适用范围、规范目的予以解决。
关键词：私密信息；个人信息；个人信息权益；隐私权；民法典；个人信息保护法
一、问题的提出
　　隐私权和个人信息权益究竟是何种关系，是隐私权包含了个人信息权益，还是隐私权与个人信息权益应当并行适用、互不干扰，抑或它们存在重叠关系，应当交叉适用？对此，理论界与实务界一直存在争议。在我国理论界，除个别观点主张用隐私权涵盖个人信息权益，甚至将隐私看做是保护个人信息的唯一理由外，〔1〕绝大多数的学者都认为，隐私权与个人信息权益属于两项独立的具体人格权益，二者既非相互替代，也不能互相包涵。〔2〕事实上，在我国法律中，长期以来也是非常注意区分隐私与个人信息的。例如，早在2012年12月8日全国人大常委会出台的《关于加强网络信息保护的决定》第1条第1款中，最高立法机关就将电子信息区分为：能够识别公民个人身份的电子信息（即个人信息）与涉及公民个人隐私的电子信息（即隐私）。此后，在《网络安全法》《电子商务法》《反恐怖主义法》《刑事诉讼法》等诸多法律中，立法机关也将个人信息与隐私并列规定，予以保护。《电子商务法》第25条第2句规定：“有关主管部门应当采取必要措施保护电子商务经营者提供的数据信息的安全，并对其中的个人信息、隐私和商业秘密严格保密，不得泄露、出售或者非法向他人提供。”《网络安全法》第45条规定：“依法负有网络安全监督管理职责的部门及其工作人员，必须对在履行职责中知悉的个人信息、隐私和商业秘密严格保密，不得泄露、出售或者非法向他人提供。”在2017年颁布的《民法总则》中，最高立法机关既规定了隐私权等具体人格权（第110条），又对个人信息保护作出了专门规定（第111条）。《民法总则》第110条与第111条最终被编纂进入《民法典》，成为《民法典》第110条与第111条。不仅如此，《民法典》还在人格权编中专章（第6章）对“隐私权和个人信息保护”作出了规定。尽管立法机关出于谨慎的考虑，为了“避免不必要的误解，避免妨碍数据的共享、利用以及大数据产业在我国的发展”，〔3〕没有在《民法典》中采用“个人信息权”的概念，而仅使用比较笼统的表述——“个人信息保护”。但是，由于《民法典》是将“个人信息保护”的规定与隐私权合并规定在人格权编当中的，这就已经非常清楚地表明了隐私权与个人信息权益是两类并列的人格权益。它们虽然在个人信息的私密信息部分存在重叠交叉，但既不能相互替代，也无法相互包含。此外，为了进一步明确隐私权规则与个人信息保护规则的关系，《民法典》第1034条第3款规定：“个人信息中的私密信息，适用有关隐私权的规定；没有规定的，适用有关个人信息保护的规定。”〔4〕《民法典》施行10个月后，《个人信息保护法》施行。该法在《民法典》的基础上更进一步，首次提出了“个人信息权益”的概念。《个人信息保护法》第1条将“保护个人信息权益”作为首要的立法目的，同时在第2条规定：“自然人的个人信息受法律保护，任何组织、个人不得侵害自然人的个人信息权益。”此外，《个人信息保护法》第69条还专门对于处理者侵害个人信息权益造成损害的侵权赔偿责任的归责原则及损害赔偿计算方法作出了具体规定。
　　可以说，到《个人信息保护法》颁行为止，我国现行法已非常明确地将隐私权与个人信息权益规定为两种并存的民事权益。虽然理论界有些学者对个人信息权益的性质仍然存在不同的看法，如有的认为该权利属于公法权利，〔5〕有的认为个人信息权益可分为宪法、民法和行政法等维度，而民法维度的个人信息权益包含了民法上的隐私、名誉等个人信息关联权益。〔6〕然而，这些观点既不符合个人信息权益的本质和内容，亦有悖于《民法典》和《个人信息保护法》的规定，难以令人赞同。〔7〕在《民法典》《个人信息保护法》已经承认个人信息权益属于独立的人格权益的前提下，更重要的是真正厘清隐私权与个人信息权益的关系。因为，这对于正确理解适用《民法典》《个人信息保护法》的规定，妥当裁判相关纠纷，更好地保护隐私权和个人信息权益，至关重要！笔者认为，要厘清隐私权与个人信息权益的关系，核心就是分析研究《民法典》第1034条第3款。因为到目前为止围绕着隐私权与个人权益关系的争议主要就是由对该款的理解所引起的。而要正确理解该款，需要解决两个基本问题：其一，隐私权与个人信息权益保护的强弱关系问题；其二，隐私权规则与个人信息保护规则的适用关系问题。本文将依次对上述问题进行粗浅的探讨，以供理论界与实务界参考。
二、《民法典》第1034条第3款的规范目的与前提
（一）立法演变与规范目的
　　《民法典》第1034条第3款规定：“个人信息中的私密信息，适用有关隐私权的规定；没有规定的，适用有关个人信息保护的规定。”从民法典编纂的各次草案来看，该款的出现时间较晚。无论是在2017年11月的《中华人民共和国民法人格权编（草案）（民法室室内稿）》、2018年9月的《民法典各分编（草案）》，还是在2019年4月的《民法典人格权编（草案二次审议稿）》以及2019年9月的《民法典人格权编（草案三次审议稿）》中，都没有出现该规定。〔8〕直到2019年12月的《中华人民共和国民法典（草案）》，立法机关才在第1034条下增加了第3款：“个人信息中的私密信息，同时适用隐私权保护的有关规定。”2020年5月22日，《中华人民共和国民法典（草案）》提交大会审议时，该款被修改为“个人信息中的私密信息，适用有关隐私权的规定；没有规定的，适用有关个人信息保护的规定。”
　　《中华人民共和国民法典（草案）》向理论界和实务界征求意见时，就是否保留第1034条第3款，曾经存在分歧。肯定的观点认为，该款对个人信息中的私密信息保护和隐私权保护的关系问题作出规定，很有必要，但应当规定的更明确具体，以便于操作适用。然而，否定的观点认为，私密信息就是隐私，相应的保护就是隐私权的保护，与个人信息保护无关，故此，应当删除第1034条第3款。〔9〕最终，立法机关采取了肯定说，正式通过的《民法典》第1034条第3款依然保留下来，维持不变。
　　从最高立法机关有关人士撰写的《民法典》释义书来看，其之所以认为，个人信息中的私密信息除适用隐私权的规定外，还要适用有关个人信息保护的规定，根本原因在于：私密信息既属于隐私，又属于个人信息，因此隐私权与个人信息权益的保护必定在一定范围内发生重合，而从法律规范适用的角度上说，就是法律规范的竞合。不仅如此，个人信息保护还会与其他的具体人格权的保护发生重合。例如，自然人的姓名既属于姓名权的客体，也是个人信息，因此个人信息权益与姓名权会发生重合；〔10〕再如，自然人的肖像既受到肖像权保护，而由于肖像也往往就是人脸信息，属于生物识别信息，也是个人信息保护法重点保护的敏感个人信息。〔11〕有鉴于此，“个人信息受保护的权利并非要替代隐私权对秘密信息的保护，而是对其保护的补充。原则上，若个人信息可以为隐私权、名誉权、姓名权、肖像权等具体权所保护时，可以优先适用这些人格权的规则，在这些具体人格权没有规定的情况下，可以适用个人信息的相关规定。但隐私权中的私密信息与信息主体的人格尊严联系更为紧密，所以本法对隐私权的保护更高一些，对私密信息的处理要求更高一些，根据本法第1033条的规定，处理他人的私密信息需要获得隐私权人的明确同意。基于此，本条第3款规定，“个人信息中的私密信息，适用有关隐私权的规定；没有规定的，适用有关个人信息保护的规定。”〔12〕
（二）隐私权规则优先适用的理论前提
　　综上可见，《民法典》第1034条第3款在个人信息中的私密信息的法律适用上，确立了“优先适用隐私权的规则”。按照最高立法机关有关人士的前述解释，隐私权优先适用规则本身是建立在以下两个作为前提的认识的基础之上的，即其一，法律对于隐私权保护程度高于个人信息权益，所以应当遵循“就高不就低”的保护原则，优先适用隐私权规则。〔13〕其二，隐私权的法律规定是具体规则，而个人信息保护的法律规定是补充性规定，故此作为具体规定的隐私权规则应当优先适用。
　　就《民法典》第1034条第3款确立的隐私权优先适用规则，理论界有不同的看法。持肯定说的学者认为，《民法典》第1034条第3款明确了隐私权规则的优先适用，值得给予肯定。该规则充分贯彻落实了权利不得减损的原则与人格尊严高于私法自治的保护原则的要求。权利不得减损原则要求，在隐私权的保护强度高于个人信息的情况下，当然要优先适用隐私权保护规则，实现更高程度的保护；人格尊严高于私法自治的保护原则意味着，在以实现个人信息自决权为核心的个人信息权益与以人格尊严作为存在基础的隐私权发生交叉时，人格尊严相较于私法自治处于更高的位阶，故此，对于个人信息中的私密信息应当适用隐私权的保护规则。〔14〕
　　持否定说的学者则认为，《民法典》第1034条第3款的直接后果就是导致了隐私权与个人信息的交叉适用，人为制造了很多的问题。例如，有的学者认为，隐私权和个人信息权益应当平行适用，即个人信息保护与隐私权两项制度各自独立运行，相互不交织，依据各自内在逻辑独立进行判断。如果某一行为既侵犯隐私又侵犯个人信息，不会影响分别追究相应的法律责任。在《民法典》颁布前，我国法上隐私权与个人信息保护制度是平行适用的，互不交叉，同时在梯度上采取的递进方式，对于个人信息给予更高程度的保护。然而，《民法典》人格权编改采了交叉适用，这就意味着隐私权的保护高于个人信息，同时将隐私权保护逻辑适用于个人信息。此说认为，交叉适用导致了实践中将侵害隐私权的裁判规则引入到侵害个人信息案件，混淆了二者在构成要件上的区别，引发了诸多的不确定性。〔15〕故此，未来我国应当正确处理好《民法典》与《个人信息保护法》的关系，对于隐私权与个人信息权益的关系仍应坚持平行适用，从而使隐私权与个人信息保护各归其位。〔16〕
　　笔者认为，要解决上述争议，准确理解《民法典》第1034条第3款，就必须清楚所谓隐私权优先适用规则的两个认识前提是否成立。具体而言，一方面，法律上对于隐私权的保护强度是否真的大于个人信息权益？倘非如此，则难谓隐私权规则必须优先于个人信息权益规则而适用；另一方面，隐私权规则相对于个人信息保护规则是否属于具体规则与补充规则的关系？如果不是这样，那么优先适用隐私权规则的必要性何在？下文将逐一分析上述两个问题。
三、隐私权与个人信息权益保护的强弱关系
（一）从现行法规定看隐私权与个人信息权益的保护强弱
　　如前所述，最高立法机关有关人士的释义书认为，《民法典》对隐私权的保护比对个人信息保护的更高一些。如果单就《民法典》的条文来看，这似乎有一定道理。在《民法典》中，隐私权保护的强度高于个人信息之处主要体现在以下几方面：（1）虽然同为人格权益，但无论《民法典》第110条第1款还是第990条第1款，列举自然人享有的具体人格权时，都只包括了隐私权而没有个人信息权益，甚至《民法典》都没有使用个人信息权益的概念，只是在第111条和第1034条规定“自然人的个人信息受法律保护”。（2）《民法典》第999条在规定人格要素的合理使用时，明确规定了行为人为公共利益实施新闻报道、舆论监督等行为时可以合理使用民事主体的姓名、名称、肖像、个人信息，却没有规定合理使用自然人的隐私。也就是说，该条中合理使用的个人信息不应包括作为隐私的个人信息中的私密信息。（3）《民法典》第1033条关于隐私权侵害行为禁止规则中，采用的是“权利人明确同意”方可免责的表述；而该法第1035条在规定个人信息收集处理时，只是要求征得该自然人或者其监护人的“同意”即可。（4）《民法典》第1033条所规定的阻却侵害隐私权行为的不法性的理由分为两类，即法律的规定与权利人的明确同意。但是，依据《民法典》第1035条第1款第1项，阻却侵害个人信息的行为的不法性的理由为：一是征得该自然人或者其监护人同意；二是法律、行政法规另有规定。
　　然而，笔者认为，如果不是仅仅局限于《民法典》的规定，而是从我国的法律规范体系尤其是结合《个人信息保护法》的规定来看，无法得出《民法典》《个人信息保护法》等我国现行法对隐私权的保护要强于对个人信息权益的保护的结论，〔17〕具体理由如下：
　　首先，在调整范围上，《民法典》调整的是平等主体的自然人、法人和非法人组织之间人身财产关系。具体到隐私权，《民法典》只是规范平等的民事主体之间的隐私权享有与保护的关系。由于隐私权本身不包括对隐私进行占有、使用、收益、处分等积极权能，所以《民法典》重点是从消极方面即对隐私权的保护角度加以规范。这一点突出的表现在《民法典》第1032条第1款之上，不仅如此，《民法典》第1033条还明确列举了除法律另有规定或者权利人明确同意外，任何组织或者个人不得实施的侵害隐私权的行为类型。由此可见，隐私权主要是防御性的或事后救济性的权利，即在隐私权被侵害后，法律上为权利人提供相应的救济措施。〔18〕《民法典》提供的就是人格权请求权（如第995条、第997条等）和侵权损害赔偿请求权（第1165条第1款、第1183条第1款等），其中，人格权请求权以及人格权禁令程序属于预防性保护措施，除此之外，《民法典》没有对于隐私权提供其他的预防性保护方法。然而，就个人信息权益而言，为了全面应对网络信息科技的发展而带来的风险，《个人信息保护法》通过大量的强行性法律规范对个人信息处理活动——即个人信息的收集、存储、使用、加工、传输、提供、公开、删除等——进行了全方位与全过程的规范。〔19〕《个人信息保护法》的调整范围既包括利用网络信息科技对个人信息进行的自动化处理，也包括人工方式的处理；既包括公司企业等民事主体为了生产经营等民事活动而处理个人信息，也包括国家机关等公权力主体为实现公共管理、履行法定职责而处理个人信息。总之，只要不是自然人因个人或者家庭事务处理个人信息的活动，所有的个人信息处理活动都要由《个人信息保护法》加以调整。针对范围如此广泛的个人信息处理行为，《个人信息保护法》不是单纯地从侵害个人信息权益的角度作出救济性规定的，而是在区分不同的个人信息处理活动、不同的个人信息以及不同的处理者的基础上，分别规定处理者在个人信息处理活动中的各种法定义务（如告知、取得同意、安全保护、报告、监管等义务），并赋予个人在个人信息处理活动中的各种权利（查阅、复制、更正、删除、可携带等权利），同时还通过确立严格的法律责任来保证上述义务的实现。由此可见，法律上对于个人信息权益采取的是预防性与救济性措施相结合、公法义务与私法权利相协力的全方位的保护方法。
　　其次，从隐私权和个人信息权益的内容来看，法律对于隐私权的保护强度也完全没有超过个人信息权益。如前所述，《民法典