个人信息保护的法律定位

文/周汉华

民事立法的矛盾与纠结

《中华人民共和国民法总则（草案）》初次审议稿并没有个人信息保护的内容，徐玉玉案促使二次审议稿以及最终版本增加了个人信息保护的条款。这既体现了民法的人文关怀，当然也埋下了仓促上阵的烙印，在包括个人信息保护的定性等重大问题上未能给出明确的答案。个人信息保护是否属于权利，以及个人信息保护是否属于具体人格权等，都不甚明确，由此导致对文本的多种不同解读。个人信息保护的属性问题在《中华人民共和国民法典（草案）》〔以下简称《民法典（草案）》〕中仍然无法明确，存在多重难以协调的内在矛盾。

个人信息保护是一项独立的法律制度

民事立法之所以会出现各种矛盾和纠结，根源在于人格权（隐私权）保护与个人信息保护是根本不同的两项制度。人格权是一项传统的民事权利，个人信息权是完全独立的一项新型公法权利。以传统民事权利话语体系界定个人信息权利，将个人信息保护纳入私法人格权范畴，与隐私权并列在一节中，必然会出现逻辑上的矛盾与实践中的冲突。

国际上，隐私保护与个人信息保护两个概念的关系也经历了发展变化的过程，也存在相互关系不清晰、概念混用的现象。但是，欧盟2000年制定《欧盟基本权利宪章》时，就已经在第7条和第8条分别规定尊重私人和家庭生活（传统意义上的隐私权）以及保护个人数据，个人数据保护开始被作为一项独立的权利。2007年欧盟各国首脑签署《里斯本条约》，要求尽快制定欧盟个人数据保护规则，就完全采用了个人数据概念，不再提及隐私概念。经过20多年探索，到2016年制定《保护自然人有关个人数据处理及该种数据自由流动的条例》时，通篇只有数据保护概念，不再使用隐私保护概念，数据保护完全成为一个独立的领域，不同于传统的隐私权保护。

个人信息保护作为一项独立的法律制度，体现在如下几个主要方面：

1.保护客体的特殊性

隐私与个人信息保护的保护客体在我国法律中经历了一个非常明显的三阶段发展过程。我国20世纪50年代立法中最早出现的概念既不是隐私，也不是个人信息，而是民间与历史传统中使用得更多的“阴私”概念，法律的保护客体主要是当事人诉讼程序上不公开审理的权利。

从20世纪80年代、尤其是90年代初以后，不论是政府文件、立法还是民间，普遍以“隐私”概念代替了习惯的“阴私”概念。这个时期，就法律保护的客体而言，已经从过去的诉讼程序权利进入到了主要是民事实体权利的领域。然而，由于所有使用了隐私概念的法律都没有给该概念下一个定义，也没有界定或者描述这种权利的范围，因此，多年来，实体权利的边界不论在立法还是实践中实际上一直处于某种模糊状态。一直到司法实践中逐步明确侵犯隐私权案件的核心判断标准在于披露以后会导致权利人的“社会评价降低”。

自20世纪90年代末开始，尤其是进入21世纪以来，由于信息化的迅猛发展与权利观念的进一步提升，首先从信息化和消费者权利保护这两个领域的地方立法开始，逐步出现了中性的个人信息概念，并逐步进入到国家立法中。个人信息的范围非常广，通常包括任何已识别或者可识别特定个人的信息，范围远远大于个人不愿为人所知，披露后会导致社会评价降低的私密信息（隐私）。如果仅仅依据个人信息的定义这一个维度来界定保护客体，要求所有采集或者处理个人信息的行为均必须知情同意，并满足个人信息保护法的其他要求，整个正常的社会交往几乎完全无法进行。因此，个人信息保护法保护的客体并不是所有的个人信息，而是数据控制者以自动方式处理的个人信息。不属于数据控制者的数据处理活动中的个人信息，不属于保护客体。

我国民事立法设计个人信息保护规定，很长时期脱离了制度运行的背景要求，《中华人民共和国民法总则》与《民法典》人格权编起草过程中，类似处理与控制者等概念都很晚才出现，即使出现也并未影响整个立法架构与基本走向。实际上是以隐私权保护同样的思路设计个人信息保护条款，将全部个人信息都作为保护客体。

2.义务主体的特殊性

数据控制者概念表明，个人信息保护法的义务主体具有特殊性，不是“任何组织或者个人”这样的一般主体。人格权性质上属于对世权，对应的义务主体是普遍的，任何组织或者个人都是义务主体，都不得侵犯他人的人格权。由于隐私具有不愿为人知晓的特点，任何组织或个人都不得传播他人的隐私，都是义务主体，没有排除或者克减适用之说。相反，个人信息保护法的义务主体往往是特定的、分层的，是个人信息控制者，不是一般的义务主体，通常不可能是个人，性质上类似于对人权。

按照人格权套用并泛化界定个人信息保护法的义务主体，就会出现比较荒谬的结果。《民法典（草案）》第1035条移植了《网络安全法》第41条的规定，要求收集、处理个人信息的，应当遵循合法、正当、必要原则，并明确了相应的条件。问题在于，《网络安全法》的义务主体是网络运营者（等于个人信息保护法中的个人信息控制者），是特定义务主体，而《民法典（草案）》本条的义务主体并不明确，按照通常理解应该是总则规定的一般义务主体（任何组织或者个人）。将适用于特定义务主体的要求推广到一般义务主体，结果就会非常荒谬，与生活常识不符，导致的首先是义务主体错位，以及连锁的各种错位。

民事立法一直用传统隐私权观念来构筑个人信息保护法律制度，一是直接将个人信息作为保护客体，二是将义务主体界定为“任何组织或者个人”，存在明显的保护客体泛化与义务主体泛化双重弊端。这样，既使个人信息究竟是权利还是权益陷入无休止的争论之中，不可能有确定的答案，也使事后加上的诸如“收集者”“控制者”等概念与传统的“任何组织或者个人”概念并列，相互关系无法理顺，并产生与常识相悖的推理结果。

3.权利性质的特殊性

人格权属于消极权利，权项并不需要列明，以不受非法侵犯造成损害后果为权利边界，遭受损害后通过侵权赔偿加以救济。人格权的第一个特殊性是“防御性”。即法律将侵害人格权的加害行为纳入侵权责任法的适用范围，以便对加害人追究侵权责任。人格权的第二个特性是它的“先在性”，人格权的存在先于法律规定，不因法律规定或者不规定、承认或者不承认而受影响。

相反，信息控制者以不同方式处理海量的个人信息，难以衡量具体处理行为是否对信息主体造成侵害。因此，个人信息权作为信息主体对抗信息控制者信息处理行为的新型公法权利，必须有法律依据，并由法律对具体权项进行列明。这样，信息主体的权利就转变为信息控制者的相应法律义务，违反法律义务就等于是对信息主体权利的侵犯，由此实现信息主体控制自己信息不被非法处理的权利保护目标。违反公法义务会导致公法上的法律责任，同时导致权利人损害的，当然也要承担民事侵权责任。不仅欧盟与受欧盟影响国家的立法广泛规定了信息主体的各项具体权项，即使与欧盟模式差别非常大的美国，也体现了消费者控制自己信息不被非法处理的相同立法思路。

从救济效果上看，构成人格权民事侵权必须满足侵权赔偿的法定构成要件，尤其是必须以造成实际损害为前提条件，被侵权人还需要承担举证责任。但是，在网络环境下，不同于对于人格权的侵犯，侵犯个人信息权往往很难证明对信息主体实际造成了什么损害，信息主体要承担举证责任也同样困难。因此，如果仅仅依靠民事侵权赔偿机制保护个人信息，会遇到很大的困难，存在激励不足问题。相反，作为公法权利，并不以信息主体的实际损害作为认定违法与否的必要条件，也不需要信息主体承担举证责任。只要数据控制者违反法定义务，不论是否造成信息主体实际损害，都可以认定违法，个人信息保护执法机构就可以通过公法执法发现并制裁违法，维护法律秩序。个人信息被违法处理并不必然导致信息主体遭受损害，甚至可能会带来利益，但信息控制者仍然要承担公法责任。正因为如此，当代各国普遍将个人信息权界定为新型公法权利，为数据控制者规定广泛的法律义务，并通过设立专门、独立、权威的个人信息保护执法机构来提供有效的保护。不论欧盟模式还是美国模式，个人信息权均是一个权利簇，范围究竟多大由立法加以界定，各国未必完全一样，但核心在于信息主体对于自己信息的控制权。只要个人信息保护法加以明确规定，权利主体就享有这些具体的控制权利。

作为公法权利重要的意义还在于，信息主体不但可以对抗平等的民事主体，也可以对抗公权力部门，国家机关同样要尊重和保护个人的信息控制权。同时，作为公法权利，国家有义务建立有效的事前事中政府监管与行政执法制度，有效预防损害的发生，保护公民所享有的权利。至于民事救济机制，在公法权利框架之下同样也可以发挥应有的作用。

随着社会的发展，个人权利的种类不断丰富，权利的边界越来越广，既超出传统的民事权利范畴，更横跨公私法边界，成为新型公法权利。诸如环境权、受教育权、社会保障权、消费者权利、可交易许可权等，均是典型的新类型权利。这些新型权利是去法典化时代的产物，具有跨法律部门、多元特征混合、公法私法融合等特点，不宜简单“一刀切”定性。必须根据每项权利本身的运行规律，由环境法、消费者权益保护法、社会保障法、行政许可法等单行法界定其权利边界，设计权利保障机制，再由民法、行政法、刑法等进行相应的衔接，对侵害权利的行为进行制裁，构成完整的权利保障体系。我国的环境权、受教育权、消费者权利等均未在《民法典（草案）》中加以规定，而是先由相关单行法分别予以确认，再通过包括民法典在内的法律，共同制裁侵犯这些权利的行为。个人信息权也是这种新型权利，同样应该首先由个人信息保护法界定其权利基础，再由包括民法典在内的相关法律追究侵权行为应该承担的法律责任。

4.简单的结论

正是因为个人信息保护的上述各种特殊性，使个人信息保护已经迅速成为一项独立的法律制度，有独立的法律渊源、程序设计、制度配置、执法机制、交流平台等，甚至已经形成了一个专门的复合型知识结构的职业共同体和不同于传统的隐私权保护的话语体系。与国际趋势相反，我国民法界一直推动将个人信息保护纳入人格权编，与隐私权并列在一起，并主张将个人信息保护法作为民法的特别法，由此强行将两项根本不同的制度熔于一炉。可见，个人信息保护在民事立法中出现定位困难和逻辑混乱，深层次根源在于权利定性错位，将一项新型公法权利简单归入传统民事权利范畴，忽略了个人信息保护与人格权两项权利的本质差别。

立法中需要明确的几个问题

民法典是基本法，将由全国人大通过，个人信息保护法属于一般法律，将由全国人大常委会通过。由于两部法律都会涉及个人信息保护内容，因此，立法中必须处理好相互关系，核心是明确以下几个重大问题：

1.民法典与个人信息保护法的关系

认识上必须明确，个人信息保护法是保护个人信息的基本立法，任务是明确个人信息保护的基本原则和制度，明确实体规范与程序规范，然后再由相关单行立法根据不同行业、领域的特点制定相应的规定，构成个人信息保护的完备法律体系。个人信息保护法的义务主体、调整范围、执行机制等均远远大于民法典，不能将个人信息保护法视为民法特别法。只有违反个人信息保护法的行为导致权利人民事权益损害的，民法典才从民事责任追究角度进行衔接。尽管个人信息保护法与民法典必然存在一定的交叉，但两者性质根本不同，一个是保护新型权利的公法，一个是确立民事基本制度的私法，分别发挥不同的作用。只有科学认识两部法律的关系，才能使个人信息保护法针对信息时代个人信息保护所面临的现实问题，设计相应有针对性的制度，而不是被传统民事法律制度所束缚。

2.个人信息保护法宜确立信息主体权利及信息控制者激励相容机制

大数据时代，信息主体控制自己信息不被信息控制者违法处理或滥用的权利，是整个个人信息保护制度运行的基石。因此，个人信息保护法首先必须明确确立信息主体的个人信息控制权。只有确立了这种权利，才能要求信息控制者履行相应的法律义务，以及确立有效的执法监督机制，预防和制止违反法律义务行为的发生。制定个人信息保护法，应该顺应国际发展趋势，明确确立个人信息控制权，作为整个制度的基础。这是个人信息保护法作为独立立法的意义与价值所在。

大数据时代，权利控制机制存在至少两个缺陷。一是由于信息不对称，信息处理活动越来越复杂，由信息主体控制极有可能流于形式，个人无法真正保护自己的个人信息不被违法处理。二是权利控制机制可能导致程序的过渡复杂化，不合理增加信息控制者的成本，最终影响社会的公共利益。

解决上述两个问题，一是需要对个人信息控制权的每个具体权项进行分解、分析、分类，在充分讨论的基础上明确哪些权项需要予以明确规定，哪些权项暂时还不宜规定。通过权项的类型化处理，使个人信息控制权既能发挥作用，又不至于脱离国情，影响数据的自由流动。二是需要调动信息控制者的积极性，设计激励相容的机制，促使信息控制者主动承担保护个人信息的义务，设计有效的个人信息安全管理制度，实现从单向的权利控制向权利控制与激励机制并行的多元治理机制转变。这也是个人信息保护法作为独立立法的意义与价值所在，民事立法不可能设计这种多元治理机制。

3.民法典与个人信息保护法宜尽量减少不一致规定

比较《民法典（草案）》与全国人大法工委已经在一定范围征求意见的《个人信息保护法（草案征求意见稿）》可以发现，二者存在比较明显的不一致，主要表现在两个方面：一是基本概念与范畴不对应，二是规定重复且不完全一致。

对于上述问题，如果能够按照先制定个人信息保护法，民法典随后衔接的方式，当然是最理想的解决方案。鉴于两部法律目前不同的立法进度，尤其是民法典出台已经箭在弦上，这种解决方案的现实可能性应该不会太大。但是，即使到目前这个阶段，类似基本概念与范畴的统一与科学性等问题（如对“处理”的定义），《民法典（草案）》还是应该尽量作出调整，以提高立法质量。

在《民法典（草案）》难以作出大的调整的情况下，次优的解决方案只能是在给定的条件下，通过个人信息保护法立法，确立法律适用规则，明确民法典是私法、一般法、旧法，个人信息保护法是公法、特别法、新法。对于个人信息保护，宜优先适用个人信息保护法，个人信息保护法没有规定的，再适用民法典。