整体性视角下民法保护个人信息的外部边界研究

周君丽

伴随云计算等信息技术的广泛应用，信息成为大数据时代的重要资源。人们在享受大数据技术迅猛发展带来的便捷、高效、智慧化生活的同时，也面临信息化“生存危机”。因此，个人信息安全成为当下人们较为关注的公共议题之一。

2021年11月1日，我国首部个人信息保护专门性法律——《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）正式施行，标志着我国已经构建起较为完善、立体化、多层次的个人信息法律保护体系。整体性原则是马克思主义的一项基本原则，研究个人信息的民法保护问题，首先需要从整体性视角考察民法在个人信息保护方面的角色定位，尽可能廓清其外部边界，即应当明确民法在个人信息保护问题上的价值定位、民法在我国个人信息法律体系中作用的限度及其他外部考量因素。对以上问题的分析是民法领域探讨个人信息法律保护的重要前提。

一、价值选择：侧重私权保护，同时兼顾社会公共利益

大数据时代个人信息价值不断被挖掘、放大和利用，已经成为一种重要的资源。个人信息之上承载着多方主体的利益诉求。对于自然人个体而言，个人信息兼具人身和财产双重属性；对于信息企业而言，关涉个人信息的制度设计中具体保护方式与保护程度直接关系到企业发展方向和战略规划；对于整个社会而言，个人信息在流转中权利与义务配置格局直接关系到社会信息化的发展路径。从整体性视角研究民法保护个人信息的限度和界限，应当立足国家治理现代化的全局，从价值取向层面在个人利益、企业利益与社会整体利益之间作出衡平和选择。

作为社会基本法的民法要践行“以人民为中心”的发展理念。私法自治的意义在于法律提供给个人一种权力手段，以实现个人的意思。然而，在某种程度上，私法自治和公法管制往往存在价值冲突，民法典应剔除公法规范，使公法私法各归其位。权衡私法能否包容公法、包容到何种程度是民法体系构建的重要前提，也是民法关涉个人信息的利益攸关方作出价值衡平的关键问题。民法对个人信息的保护应当侧重于保护自然人个体的信息权益，但又不应当仅仅局限于私权保护，而应当顺应世界范围内大数据产业发展的历史潮流，立足于我国数字化强国发展战略，通过规范个人信息流转全过程、各环节，在侧重私权保护的同时，兼顾社会公共利益，在个人信息合理开发与有效保护之间找到最佳平衡点，从而消解个人信息权益保护与大数据产业发展、政府公共管理之间的矛盾。

当今时代，数据资源价值不断被开发和利用，使得个人信息权益保护问题更加凸显。党的十九届四中全会第一次将数据列为生产要素，2020年4月，中共中央、国务院《关于构建更加完善的要素市场化配置体制机制的意见》明确将数据市场列入五大核心生产要素市场，随后发布的《关于新时代加快完善社会主义市场经济体制的意见》《建设高标准市场体系行动方案》对于加快推进数据要素市场化作出战略部署。我国民法典采用行为规范模式，将个人信息定位为“弱支配”程度的人格权益，加以原则性保护。有鉴于此，在探讨民法保护个人信息的价值定位时，应当注意两个基本问题：一是大数据时代任何人都难以实现对个人信息的完全控制；二是个人信息已经成为新型生产要素资源，具有较强公共利益属性。明确民法保护个人信息的价值取向问题，需要在坚守以人民为中心的基础上，在“个人弱控制”与“社会强需求”之间找到最佳平衡点，从而更好地维护个人信息权益，促进信息要素有序流动，推动大数据产业发展，为全面建设中国特色社会主义数字强国提供制度保障。

二、协调与配合：宪法和其他部门法的作用不可替代

当今世界人格权的法律保护包括：宪法保护、刑法保护、民法保护、行政法保护。当前，我国已逐渐形成涵盖宪法、刑法、行政法及民法等基本法律在内的比较完整的个人信息法律保护体系。我国宪法尊重和保障人权的规定，以及公民的人格尊严、住宅、通信自由和通信秘密保护性规定，为民法保护个人信息提供了根本法保障。总体上讲，我国个人信息保护立法，具有刑法和行政法先行、民事立法相对滞后的特点。在我国，最早研究个人信息保护的主要是行政法学者，早期研究也取得了一定进展，相对而言，刑法针对个人信息的保护性规定比较成熟。行政法、刑法相关规定为个人信息的民法保护提供了有益参考和借鉴。探究个人信息民法保护边界问题，应当充分考量其他部门法中民法不能忽视也不能替代的功能和作用，这也正是民法保护个人信息难以逾越的界限。

（一）尊崇宪法，以宪法为根本准则

我国宪法第三十三条、第三十八条、第三十九条以及第四十条以根本法形式确立了对人格权的法律保护。宪法第三十三条规定：“国家尊重和保障人权”，这是对公民基本权利的最强有力保障；第三十八条明确对公民人格尊严的保护，禁止“进行侮辱、诽谤和诬告陷害”；第三十九条规定对公民住宅的保护，即禁止“非法搜查或者非法侵入”；第四十条明确规定公民通信自由和通信秘密不受侵犯。根据以上规定，个人信息保护可以纳入基本权利范围，为我国民法保护个人信息提供了根本前提和基础。就宪法和民法的关系而言，一方面从中国特色社会主义法律体系整体来看，宪法居于至高无上的地位，它高于民法；另一方面，宪法需要部门法的补充和细化。关于宪法优位与私法自治的关系，有学者提出，宪法的最高法地位源自于宪法是公法，可以约束民事立法者的属性。同时，宪法的公法属性也决定了宪法不可能在调整民事关系上发挥主要作用，由此得出结论《中华人民共和国民法典》（以下简称《民法典》）第一条所规定的“根据宪法、制定本法”，主要是指宪法为民法介入私人自治设定框架或者界限。因此，一方面，依据宪法及相关规定，个人信息是公民享有的一项基本权利；另一方面，民法对个人信息的保护性规定必须遵从宪法规定，不能超出宪法所设定的框架和界限。

（二）止步于犯罪与刑罚之下

我国刑事立法及司法实践在保护个人信息方面卓有成效。从刑法修正案（七）确立出售、非法提供个人信息罪、非法获取个人信息罪，到刑法修正案（九）将前述两罪名整合为侵犯个人信息罪，再到《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》进一步明确侵犯公民个人信息罪的具体法律适用问题，刑法对个人信息的保护性规定更趋成熟，在司法实践上也积累了许多宝贵经验。刑法和民法在中国特色社会主义法律体系中承担着不同的使命和责任，对于个人信息保护而言，二者发挥着不同作用。对于侵害个人信息的行为，危害不大的，由民法调整；具有严重社会危害性的，则要由刑法介入调整，构成犯罪的，要依法追究行为人的刑事责任。同时，随着信息化与经济社会融合程度不断加深，涉及个人信息的入罪标准将会发生变化，刑法与民法的界分也将随之作出动态调整。行为的社会危害性是否严重，是否构成刑法上所规定的侵犯公民个人信息罪，这一入罪标准的界定对于个人信息民法保护具有较大的参考价值，也是我国对侵犯个人信息行为进行规制需要考量的重要因素。此外，我国刑法关于公民个人信息范围的界定、侵犯公民个人信息的行为方式、情节严重程度对应的刑事责任等规定，都为个人信息民法保护划定了底线标准，这般行为都构成犯罪，需要处以刑罚，民法自然难以在其中发挥应有作用。从个人信息法律保护体系的整体构建与完善而言，随着经济社会的发展，不同部门法因其立法目的和调整手段不同，调整范围也将发生一定变化，进而呈现出此消彼长的动态平衡关系。

（三）不能替代行政法的独特作用

全面依法治国要求加快推进依法行政，打造法治政府，让权力在阳光下运行，实行政务公开成为应然。最早研究个人信息保护的多是行政法学者，其研究基于适应政府信息公开、提高政府行政能力的客观需要而产生。个人信息的行政法保护主要体现在《中华人民共和国居民身份证法》《中华人民共和国执业医师法》《中华人民共和国政府信息公开条例》《中华人民共和国治安管理处罚法》《中华人民共和国律师法》《中华人民共和国未成年人保护法》等法律法规之中。行政法基于国家行政管理的需要而产生，而民法的基本理念则是强调当事人意思自治，注重的是私权保护，二者的逻辑起点和落脚点有着根本差别。因此，民法不能替代行政法在个人信息保护方面的独特作用。有学者指出，个人信息保护立法不能够仅仅局限于私利保护，而应当侧重调整个人信息在开发、利用过程中的个人利益和社会公共利益的平衡，从而更好地平衡个人信息在促进个人全面发展和推动社会进步中的公共产品作用。该观点充分表明大数据时代民法的私权保护和行政法的规范开发对于个人信息保护作用是互为支撑、互为补充的，二者的作用和功能不能互相替代。

目前，我国个人信息保护性规定涵盖宪法、刑法、民法、行政法等多个不同法律部门，这就决定了个人信息法律保护体系的构建需要权衡和考量不同法律部门的功能和作用，也决定了“个人信息保护法的立法工作不可能一蹴而就，其完成端赖于扎实的实证研究和精深的理论研究”。个人信息保护立法日益走向综合性立法，这就决定了民法不可能解决个人信息保护所面临的一切问题，更不可能代替专门的个人信息保护法而单独发挥作用。

三、界分与衔接：个人信息保护法实施背景下民法定位的再省思

《个人信息保护法》的颁布实施，意味着具有中国特色的个人信息法律保护体系已经形成，为大数据时代保护个人信息安全夯实了法治根基。在此背景下，正确认识《民法典》与《个人信息保护法》的相互关系，从整体性视角理性省思《民法典》在个人信息保护方面的法律定位，关涉立法科学性与统一性，也关系到法律具体适用问题。研究民法保护个人信息的限度和界限，必须明晰这一关键性问题。

有学者认为，《个人信息保护法》属于民法的特别法。本文认为，这一观点有待商榷。《民法典》在中国特色社会主义法律体系中是仅次于宪法的民事领域的根本法，在整个民事法律体系中具有统摄性和总揽性作用。我国《民法典》将个人信息与隐私权并列，定性为人格权加以保护。《民法典》第一百一十一条对个人信息保护作出原则性规定，第一千零三十四条至一千零三十九条界定了个人信息的范围，规定了个人信息处理的原则和条件，明确了行为人免责的具体情形，赋予自然人查阅权、复制权以及更正权等信息权益，同时明确规定了信息处理者的相关义务。这些规定将个人信息的法律保护提升到基本法的高度，对于构建个人信息法律保护体系奠定了法理基础和实践基础。

进入新世纪以来，制定一部符合我国实际、彰显时代特色的个人信息保护法是法学界孜孜以求的重要目标，也是实现国家法治现代化的重大战略。2016年7月，中共中央办公厅、国务院办公厅联合印发的《国家信息化发展战略纲要》指出，要“有序推进信息化立法进程”“研究制定个人信息保护法”。同年12月，国务院印发的《“十三五”国家信息化规划》明确提出，要“完善信息化法律框架”，优先推进个人信息保护等重点领域相关立法工作。2018年9月，中国人大网发布的《十三届全国人大常委会立法规划》中，将个人信息保护法列入第一类项目，即“条件比较成熟、任期内拟提请审议的法律草案”。今年8月20日，《中华人民共和国个人信息保护法》审议通过。追溯《个人信息保护法》立法进程、研究其立法背景不难发现，在《个人信息保护法》中，个人信息一直都是作为一种新兴的权利类型——个人信息保护权而加以保护的。结合宪法对于个人信息的保护性规定以及《个人信息保护法》第一条规定中“根据宪法，制定本法”，个人信息也是公民享有的一项基本权利。

简言之，《民法典》是规定民事基本制度的私法，将个人信息定性为人格权加以原则性保护，救济方式相对单一，重在保护个人的信息权益；《个人信息保护法》是保护个人信息的专门性法律，也是“保护个人信息的基本立法”，将个人信息定性为一项新型权利、基本权利加以保护，相关保护性条款规定更加具体化、系统化，救济方式也更加多样化，旨在通过保护个人信息促进数据要素有序流转，为推进国家信息化、维护国家信息安全、建设数字强国提供法律支撑。因此，对于民法与《个人信息保护法》的关系，不能笼统地界定为一般法与特别法的关系，需要进行一定程度的界分。

《民法典》与《个人信息保护法》存在一定程度的交叉，二者的有效衔接不仅是重大理论问题，更是需要迫切解决的重大实践问题。《个人信息保护法》的制度设计和规则体系，对于切实保护个人信息权益，具有不可替代的作用和功能。

四、法律之外：难以逾越的技术鸿沟

大数据时代信息化洪流裹挟之下，在个人信息保护问题上，民法对个人信息的保护显然无法冲破技术的藩篱，先进且飞速更新迭代的信息技术已然成为一道难以逾越的鸿沟。要真正实现各方主体地位的平等，还需要在民法之外寻找救济手段。一方面，通过教育和宣传引导增强全民信息保护意识，提高全民信息素养；另一方面，数据企业要强化数据合规，切实承担起相应的社会责任。

民法作为社会基本法，在我国的个人信息法律保护体系中居于至关重要的地位。民法要坚守其“为民”初心，坚持侧重私权保护，同时兼顾社会公共利益的价值取向，应当尊崇宪法，与刑法、行政法等其他部门法协同发力，与《个人信息保护法》等相关专门法律法规有效衔接，共同构筑起牢固的个人信息保护屏障，为促进信息要素有序流转、建设高质量信息市场、全面建设数字强国提供有力支撑。