個人信息保護的法律定位

文/周漢華

民事立法的矛盾與糾結

《中華人民共和國民法總則（草案）》初次審議稿并沒有個人信息保護的內容，徐玉玉案促使二次審議稿以及最終版本增加了個人信息保護的條款。這既體現了民法的人文關懷，當然也埋下了倉促上陣的烙印，在包括個人信息保護的定性等重大問題上未能給出明確的答案。個人信息保護是否屬于權利，以及個人信息保護是否屬于具體人格權等，都不甚明確，由此導致對文本的多種不同解讀。個人信息保護的屬性問題在《中華人民共和國民法典（草案）》〔以下簡稱《民法典（草案）》〕中仍然無法明確，存在多重難以協調的內在矛盾。

個人信息保護是一項獨立的法律制度

民事立法之所以會出現各種矛盾和糾結，根源在于人格權（隱私權）保護與個人信息保護是根本不同的兩項制度。人格權是一項傳統的民事權利，個人信息權是完全獨立的一項新型公法權利。以傳統民事權利話語體系界定個人信息權利，將個人信息保護納入私法人格權范疇，與隱私權并列在一節中，必然會出現邏輯上的矛盾與實踐中的沖突。

國際上，隱私保護與個人信息保護兩個概念的關系也經歷了發展變化的過程，也存在相互關系不清晰、概念混用的現象。但是，歐盟2000年制定《歐盟基本權利憲章》時，就已經在第7條和第8條分別規定尊重私人和家庭生活（傳統意義上的隱私權）以及保護個人數據，個人數據保護開始被作為一項獨立的權利。2007年歐盟各國首腦簽署《里斯本條約》，要求盡快制定歐盟個人數據保護規則，就完全采用了個人數據概念，不再提及隱私概念。經過20多年探索，到2016年制定《保護自然人有關個人數據處理及該種數據自由流動的條例》時，通篇只有數據保護概念，不再使用隱私保護概念，數據保護完全成為一個獨立的領域，不同于傳統的隱私權保護。

個人信息保護作為一項獨立的法律制度，體現在如下幾個主要方面：

1.保護客體的特殊性

隱私與個人信息保護的保護客體在我國法律中經歷了一個非常明顯的三階段發展過程。我國20世紀50年代立法中最早出現的概念既不是隱私，也不是個人信息，而是民間與歷史傳統中使用得更多的“陰私”概念，法律的保護客體主要是當事人訴訟程序上不公開審理的權利。

從20世紀80年代、尤其是90年代初以后，不論是政府文件、立法還是民間，普遍以“隱私”概念代替了習慣的“陰私”概念。這個時期，就法律保護的客體而言，已經從過去的訴訟程序權利進入到了主要是民事實體權利的領域。然而，由于所有使用了隱私概念的法律都沒有給該概念下一個定義，也沒有界定或者描述這種權利的范圍，因此，多年來，實體權利的邊界不論在立法還是實踐中實際上一直處于某種模糊狀態。一直到司法實踐中逐步明確侵犯隱私權案件的核心判斷標準在于披露以后會導致權利人的“社會評價降低”。

自20世紀90年代末開始，尤其是進入21世紀以來，由于信息化的迅猛發展與權利觀念的進一步提升，首先從信息化和消費者權利保護這兩個領域的地方立法開始，逐步出現了中性的個人信息概念，并逐步進入到國家立法中。個人信息的范圍非常廣，通常包括任何已識別或者可識別特定個人的信息，范圍遠遠大于個人不愿為人所知，披露后會導致社會評價降低的私密信息（隱私）。如果僅僅依據個人信息的定義這一個維度來界定保護客體，要求所有采集或者處理個人信息的行為均必須知情同意，并滿足個人信息保護法的其他要求，整個正常的社會交往幾乎完全無法進行。因此，個人信息保護法保護的客體并不是所有的個人信息，而是數據控制者以自動方式處理的個人信息。不屬于數據控制者的數據處理活動中的個人信息，不屬于保護客體。

我國民事立法設計個人信息保護規定，很長時期脫離了制度運行的背景要求，《中華人民共和國民法總則》與《民法典》人格權編起草過程中，類似處理與控制者等概念都很晚才出現，即使出現也并未影響整個立法架構與基本走向。實際上是以隱私權保護同樣的思路設計個人信息保護條款，將全部個人信息都作為保護客體。

2.義務主體的特殊性

數據控制者概念表明，個人信息保護法的義務主體具有特殊性，不是“任何組織或者個人”這樣的一般主體。人格權性質上屬于對世權，對應的義務主體是普遍的，任何組織或者個人都是義務主體，都不得侵犯他人的人格權。由于隱私具有不愿為人知曉的特點，任何組織或個人都不得傳播他人的隱私，都是義務主體，沒有排除或者克減適用之說。相反，個人信息保護法的義務主體往往是特定的、分層的，是個人信息控制者，不是一般的義務主體，通常不可能是個人，性質上類似于對人權。

按照人格權套用并泛化界定個人信息保護法的義務主體，就會出現比較荒謬的結果?！睹穹ǖ洌ú莅福返?035條移植了《網絡安全法》第41條的規定，要求收集、處理個人信息的，應當遵循合法、正當、必要原則，并明確了相應的條件。問題在于，《網絡安全法》的義務主體是網絡運營者（等于個人信息保護法中的個人信息控制者），是特定義務主體，而《民法典（草案）》本條的義務主體并不明確，按照通常理解應該是總則規定的一般義務主體（任何組織或者個人）。將適用于特定義務主體的要求推廣到一般義務主體，結果就會非?；闹?，與生活常識不符，導致的首先是義務主體錯位，以及連鎖的各種錯位。

民事立法一直用傳統隱私權觀念來構筑個人信息保護法律制度，一是直接將個人信息作為保護客體，二是將義務主體界定為“任何組織或者個人”，存在明顯的保護客體泛化與義務主體泛化雙重弊端。這樣，既使個人信息究竟是權利還是權益陷入無休止的爭論之中，不可能有確定的答案，也使事后加上的諸如“收集者”“控制者”等概念與傳統的“任何組織或者個人”概念并列，相互關系無法理順，并產生與常識相悖的推理結果。

3.權利性質的特殊性

人格權屬于消極權利，權項并不需要列明，以不受非法侵犯造成損害后果為權利邊界，遭受損害后通過侵權賠償加以救濟。人格權的第一個特殊性是“防御性”。即法律將侵害人格權的加害行為納入侵權責任法的適用范圍，以便對加害人追究侵權責任。人格權的第二個特性是它的“先在性”，人格權的存在先于法律規定，不因法律規定或者不規定、承認或者不承認而受影響。

相反，信息控制者以不同方式處理海量的個人信息，難以衡量具體處理行為是否對信息主體造成侵害。因此，個人信息權作為信息主體對抗信息控制者信息處理行為的新型公法權利，必須有法律依據，并由法律對具體權項進行列明。這樣，信息主體的權利就轉變為信息控制者的相應法律義務，違反法律義務就等于是對信息主體權利的侵犯，由此實現信息主體控制自己信息不被非法處理的權利保護目標。違反公法義務會導致公法上的法律責任，同時導致權利人損害的，當然也要承擔民事侵權責任。不僅歐盟與受歐盟影響國家的立法廣泛規定了信息主體的各項具體權項，即使與歐盟模式差別非常大的美國，也體現了消費者控制自己信息不被非法處理的相同立法思路。

從救濟效果上看，構成人格權民事侵權必須滿足侵權賠償的法定構成要件，尤其是必須以造成實際損害為前提條件，被侵權人還需要承擔舉證責任。但是，在網絡環境下，不同于對于人格權的侵犯，侵犯個人信息權往往很難證明對信息主體實際造成了什么損害，信息主體要承擔舉證責任也同樣困難。因此，如果僅僅依靠民事侵權賠償機制保護個人信息，會遇到很大的困難，存在激勵不足問題。相反，作為公法權利，并不以信息主體的實際損害作為認定違法與否的必要條件，也不需要信息主體承擔舉證責任。只要數據控制者違反法定義務，不論是否造成信息主體實際損害，都可以認定違法，個人信息保護執法機構就可以通過公法執法發現并制裁違法，維護法律秩序。個人信息被違法處理并不必然導致信息主體遭受損害，甚至可能會帶來利益，但信息控制者仍然要承擔公法責任。正因為如此，當代各國普遍將個人信息權界定為新型公法權利，為數據控制者規定廣泛的法律義務，并通過設立專門、獨立、權威的個人信息保護執法機構來提供有效的保護。不論歐盟模式還是美國模式，個人信息權均是一個權利簇，范圍究竟多大由立法加以界定，各國未必完全一樣，但核心在于信息主體對于自己信息的控制權。只要個人信息保護法加以明確規定，權利主體就享有這些具體的控制權利。

作為公法權利重要的意義還在于，信息主體不但可以對抗平等的民事主體，也可以對抗公權力部門，國家機關同樣要尊重和保護個人的信息控制權。同時，作為公法權利，國家有義務建立有效的事前事中政府監管與行政執法制度，有效預防損害的發生，保護公民所享有的權利。至于民事救濟機制，在公法權利框架之下同樣也可以發揮應有的作用。

隨著社會的發展，個人權利的種類不斷豐富，權利的邊界越來越廣，既超出傳統的民事權利范疇，更橫跨公私法邊界，成為新型公法權利。諸如環境權、受教育權、社會保障權、消費者權利、可交易許可權等，均是典型的新類型權利。這些新型權利是去法典化時代的產物，具有跨法律部門、多元特征混合、公法私法融合等特點，不宜簡單“一刀切”定性。必須根據每項權利本身的運行規律，由環境法、消費者權益保護法、社會保障法、行政許可法等單行法界定其權利邊界，設計權利保障機制，再由民法、行政法、刑法等進行相應的銜接，對侵害權利的行為進行制裁，構成完整的權利保障體系。我國的環境權、受教育權、消費者權利等均未在《民法典（草案）》中加以規定，而是先由相關單行法分別予以確認，再通過包括民法典在內的法律，共同制裁侵犯這些權利的行為。個人信息權也是這種新型權利，同樣應該首先由個人信息保護法界定其權利基礎，再由包括民法典在內的相關法律追究侵權行為應該承擔的法律責任。

4.簡單的結論

正是因為個人信息保護的上述各種特殊性，使個人信息保護已經迅速成為一項獨立的法律制度，有獨立的法律淵源、程序設計、制度配置、執法機制、交流平臺等，甚至已經形成了一個專門的復合型知識結構的職業共同體和不同于傳統的隱私權保護的話語體系。與國際趨勢相反，我國民法界一直推動將個人信息保護納入人格權編，與隱私權并列在一起，并主張將個人信息保護法作為民法的特別法，由此強行將兩項根本不同的制度熔于一爐。可見，個人信息保護在民事立法中出現定位困難和邏輯混亂，深層次根源在于權利定性錯位，將一項新型公法權利簡單歸入傳統民事權利范疇，忽略了個人信息保護與人格權兩項權利的本質差別。

立法中需要明確的幾個問題

民法典是基本法，將由全國人大通過，個人信息保護法屬于一般法律，將由全國人大常委會通過。由于兩部法律都會涉及個人信息保護內容，因此，立法中必須處理好相互關系，核心是明確以下幾個重大問題：

1.民法典與個人信息保護法的關系

認識上必須明確，個人信息保護法是保護個人信息的基本立法，任務是明確個人信息保護的基本原則和制度，明確實體規范與程序規范，然后再由相關單行立法根據不同行業、領域的特點制定相應的規定，構成個人信息保護的完備法律體系。個人信息保護法的義務主體、調整范圍、執行機制等均遠遠大于民法典，不能將個人信息保護法視為民法特別法。只有違反個人信息保護法的行為導致權利人民事權益損害的，民法典才從民事責任追究角度進行銜接。盡管個人信息保護法與民法典必然存在一定的交叉，但兩者性質根本不同，一個是保護新型權利的公法，一個是確立民事基本制度的私法，分別發揮不同的作用。只有科學認識兩部法律的關系，才能使個人信息保護法針對信息時代個人信息保護所面臨的現實問題，設計相應有針對性的制度，而不是被傳統民事法律制度所束縛。

2.個人信息保護法宜確立信息主體權利及信息控制者激勵相容機制

大數據時代，信息主體控制自己信息不被信息控制者違法處理或濫用的權利，是整個個人信息保護制度運行的基石。因此，個人信息保護法首先必須明確確立信息主體的個人信息控制權。只有確立了這種權利，才能要求信息控制者履行相應的法律義務，以及確立有效的執法監督機制，預防和制止違反法律義務行為的發生。制定個人信息保護法，應該順應國際發展趨勢，明確確立個人信息控制權，作為整個制度的基礎。這是個人信息保護法作為獨立立法的意義與價值所在。

大數據時代，權利控制機制存在至少兩個缺陷。一是由于信息不對稱，信息處理活動越來越復雜，由信息主體控制極有可能流于形式，個人無法真正保護自己的個人信息不被違法處理。二是權利控制機制可能導致程序的過渡復雜化，不合理增加信息控制者的成本，最終影響社會的公共利益。

解決上述兩個問題，一是需要對個人信息控制權的每個具體權項進行分解、分析、分類，在充分討論的基礎上明確哪些權項需要予以明確規定，哪些權項暫時還不宜規定。通過權項的類型化處理，使個人信息控制權既能發揮作用，又不至于脫離國情，影響數據的自由流動。二是需要調動信息控制者的積極性，設計激勵相容的機制，促使信息控制者主動承擔保護個人信息的義務，設計有效的個人信息安全管理制度，實現從單向的權利控制向權利控制與激勵機制并行的多元治理機制轉變。這也是個人信息保護法作為獨立立法的意義與價值所在，民事立法不可能設計這種多元治理機制。

3.民法典與個人信息保護法宜盡量減少不一致規定

比較《民法典（草案）》與全國人大法工委已經在一定范圍征求意見的《個人信息保護法（草案征求意見稿）》可以發現，二者存在比較明顯的不一致，主要表現在兩個方面：一是基本概念與范疇不對應，二是規定重復且不完全一致。

對于上述問題，如果能夠按照先制定個人信息保護法，民法典隨后銜接的方式，當然是最理想的解決方案。鑒于兩部法律目前不同的立法進度，尤其是民法典出臺已經箭在弦上，這種解決方案的現實可能性應該不會太大。但是，即使到目前這個階段，類似基本概念與范疇的統一與科學性等問題（如對“處理”的定義），《民法典（草案）》還是應該盡量作出調整，以提高立法質量。

在《民法典（草案）》難以作出大的調整的情況下，次優的解決方案只能是在給定的條件下，通過個人信息保護法立法，確立法律適用規則，明確民法典是私法、一般法、舊法，個人信息保護法是公法、特別法、新法。對于個人信息保護，宜優先適用個人信息保護法，個人信息保護法沒有規定的，再適用民法典。