尊敬的各位线上的嘉宾:
大家上午好!
今天,我想就前不久刚刚通过的、并且已经在十一月一号正式实施的《个人信息保护法》,这部法律和《民法典》的相互关系谈一点个人的看法。
大家知道,《个人信息保护法》是我们国家在个人信息保护领域的一个非常重要的立法。这部法律系统、全面地规定了个人信息保护的规则,有效地协调了个人信息的保护权利和信息合理利用之间的关系。对全世界来说,有关个人信息的法律规范主要面临着如何在加强保护和注重利用之间实现有效协调这一难题。我国该部法律实现了有效协调,同时又确立了一整套责权合理、保护有效的信息利用规则。这部法律的通过必将全面维护个人信息权益,促进数字经济的有序发展。
但是,目前就这部法律与《民法典》之间处于何种关系,现在还有不同的看法和认识,我想就这个问题谈个人的几点意见。
首先,我认为《个人信息保护法》有关个人信息私法保护的相关规定是《民法典》的组成部分。《个人信息保护法》通常被认为是一部综合性的立法,也有人将其称为叫领域法。也就是说,在这部法律中既有公法规范,也有私法规范。我粗略统计了一下,有28个条款是关于私法的、关于保护私权的规定,这些规定可以说是《民法典》的组成部分。
有人指出,《个人信息保护法》第一条明确规定,根据《宪法》制定本法,而不是根据《民法典》制定本法,是否可以认为《个人信息保护法》是在《宪法》之下和《民法典》并列的、自成体系的一部法律?我觉得不能这么理解。严格地说,依据《宪法》制定本法,我个人理解的是,主要强调的是根据《宪法》的基本精神和基本原则制定《个人信息保护法》。如《宪法》第38条规定了维护人格尊严的原则,这一原则就在《个人信息保护法》中体现得非常全面;如关于敏感个人信息的保护,这类信息直接关系到个人的人格尊严,是与个人的财产、人身有重大关联的一种个人信息。当然,除了敏感个人信息外,一般个人信息的保护都涉及到对于人格尊严的维护。所以,这里强调依据《宪法》主要还是应该理解为根据《宪法》的精神、原则来制定《个人信息保护法》,这部法律和《民法典》应该是特别法和一般法之间的关系。
《民法典》是基础性的法律,习近平总书记对《民法典》做了非常精辟的概括:在社会主义法律体系中,《民法典》是一部固根本、稳预期、立长远的基础性法律。《民法典》作为基础性的法律就具有指导特别法的功能,所以在没有正当理由的情形下,处理有关民事权益的纠纷一般都要直接依据《民法典》,但是在个人信息领域,个人信息保护的特殊规则集中规定于《个人信息保护法》,所以涉及个人信息权益争议时,首先要使用《个人信息保护法》,但在《个人信息保护法》没有规定时,还是要回归《民法典》。这就是一般法和特别法之间的关系。
我要谈的第二个问题是,个人信息在《民法典》中是作为一项权益,还不能说是一项独立的权利。相比较于隐私——隐私权作为一项独立的人格权,个人信息在《民法典》中去掉了“权”字。这主要是考虑到为了促进个人信息的合理利用,对这类权益的保护门槛不能过高,如果后面加一个“权”字,可能对个人信息的保护门槛过高,在一定程度上妨碍个人信息的利用。所以为了兼顾对个人信息的保护和利用,《民法典》没有采用“个人信息权”的表述,而是表述为个人信息保护或者个人信息。《个人信息保护法》仍然依据《民法典》的规定采用了个人信息这个概念,而不是“个人信息权”。所以,对个人信息我们应该首先将其理解为一项重要的民事权益。当然,它不是独立的人格权,而是一项独立的、重要的民事权益。
现在也有学者认为,个人信息不应被看作是《民法典》的一项人格权益,而应当作为一种公法上的权利来对待。本质上,个人信息是给信息主体一种能够对抗信息控制者、处理者的权利,应当是公法上的权利。对于这种理解,我认为是不确切的。如果这样理解不仅是对个人信息的性质产生误解,而且不利于对《个人信息保护法》的使用。我们为什么说个人信息是一项民事权益?首先就是因为个人信息系《民法典》明确确认的人格权益,而且在《民法典》中人格权编设有专章专门规定个人信息的保护,《个人信息保护法》就是对《民法典》有关个人信息权益规定的一个具体化。
其次,个人信息和隐私权具有天然的、不可分割的联系。大家知道现在两大法系中,美国产生了“大隐私”的概念,在隐私权中包括个人信息。但是欧洲,特别是欧洲的一些大陆法国家,把隐私权和个人信息是分开的,但是两者具有天然、不可分割的联系。如健康信息、财务信息、有关个人生物识别和人脸识别等敏感信息,也是个人重要的核心隐私,它们既是信息,又是核心隐私,这两者很难截然分开。基于这个原因,《民法典》专门有一条规定,在个人信息和隐私发生并存的情况下优先适用隐私权的保护规定,这就可以看出个人信息和隐私权等人格权态关系十分密切,所以将其作为一种公法上权利,会使得个人信息和隐私权等权利分割开,这也不利于对个人信息的全面保护。
再次,《个人信息保护法》所确定的有关个人信息处理的相关规则,实际上都是《民法典》有关个人信息处理基本规则的具体化。比如,大家可以看到《民法典》第1035条就详细规定了有关知情同意、合法正当必要等个人信息处理的原则。只不过这些原则比较抽象,《个人信息保护法》把这些原则具体化、做出了更加细化的规定。所以,我们只有把个人信息理解成《民法典》规定的个人信息的权益,作为一项人格权益对待,作为一项民法的权益对待,这样才能够通过强化民事责任以及运用民法的各项规则来进行全面保护。除了通过民事责任对其进行保护之外,个人信息还涉及到利用时合同的问题,如果因为合同发生争议,还是要适用《民法典》中合同编的规定。涉及合同效力的问题,比如说有关信息处理的规定违反了相关法律法规,还要根据《民法典》民事法律行为的效力规则来确定其效力。所以,个人信息必须和《民法典》的相关规定结合起来,这样才能保障它的正确使用。
第三点,我也想特别强调,《个人信息保护法》只有和《民法典》相结合,才能形成一个有效使用的规则体系。
这里面我们可以分几种情形。第一种情况就是《个人信息保护法》有规定,但是《民法典》没有规定。此时我们可以按照特别法优先于一般法的规则,优先适用《个人信息保护法》的相关规定。
第二种情况就是《民法典》有规定,但《个人信息保护法》没有规定,这种情况下当然要回归《民法典》。《个人信息保护法》之所以必须和《民法典》结合起来,其中一个重要的原因就是《民法典》具有兜底保护的作用。《个人信息保护法》毕竟容量有限,大量涉及到合同、侵权的规则不可能都在《个人信息保护法》中一览无余地全面规定。所以在《个人信息保护法》没有规定时,没关系,再回归到《民法典》中。比如我们刚才谈到了侵权,侵权对于《个人信息保护法》很重要的一条是要适用损害赔偿,特别是精神损害赔偿,但是《个人信息保护法》中对精神损害赔偿并没有明确做出规定。那么这个时候怎么办?这就要回到《民法典》有关精神损害赔偿的相关规则,来实现对个人信息的保护。
第三种情况就是《个人信息保护法》有规定,同时《民法典》中也有规定,这就要考虑是否有必要把二者结合起来。这首先要看《个人信息保护法》的规定是不是非常完整、非常全面。事实上,《个人信息保护法》有很多规定必须要和《民法典》结合起来才能形成一个完整的规则。比如《个人信息保护法》设置了损害赔偿的规则,特别是规定要以信息处理者的获利作为损害赔偿,赔偿信息主体的个人信息权利遭受侵害后的损失,这就是我们通常讲的获利返还规则。但是,这个规则在《个人信息保护法》中规定的还是很不完整、不全面,所以我们就需要考虑在适用该规则时回到《民法典》中寻找更加完整的规则。《民法典》侵权责任编对获利返还做出了更加详细、更加完备、更加全面的规定。前不久,杭州互联网法院判了一个案例,就是一违法犯罪行为人在网上倒卖个人信息,检察院提起了公益诉讼,杭州互联网法院判决被告要承担损害赔偿责任。这一案件如果放在现在来看,就要考虑要适用《个人信息保护法》同时也要适用《民法典》的相关规定,把两者结合起来才更有利于对个人信息的保护。
除了这些情况外,《民法典》还有大量的规则是《个人信息保护法》没有规定的,而这些规则都可以适用到个人信息保护领域以强化对个人信息的保护。比如禁令制度的使用,如果某个人在网上非法披露他人个人信息,或者非法处理他人个人信息,此时为了及时防止损害后果急剧扩大,防止损害蔓延,这时候信息主体可以在有证据证明侵权人将要侵害其个人信息的情况下,申请法院颁布一个禁令来对相关信息进行封锁、屏蔽、删除等,采取紧急措施来防止损害后果的扩大。禁令制度只是在《民法典》中做了规定,《个人信息保护法》并没有规定,这时候当然可以适用《民法典》的相关规定来对个人信息进行全面保护。再比如,有关个人信息遭受侵害的情况下,信息主体要求赔礼道歉、请求停止侵害、请求排除妨害等规则,《个人信息保护法》也没有规定,同样要适用《民法典》的规则。
总之,最后我想说的是,我们只有把个人信息理解成一种民事权益,把它看作是民法上民事权益的重要组成部分,同时把《个人信息保护法》有关保护个人信息的私权规定看作是《民法典》的组成部分,我们才能够把《个人信息保护法》和《民法典》结合起来,形成一个完整的、全面的、保护个人信息的体系性的规则,也只有这样理解,才能准确地、全面地实施好、运用好《个人信息保护法》来维护个人信息,促进数字经济的有序发展。
因为时间关系,我就谈这些意见,请大家批评指正,谢谢大家!
文稿整理:周嵩
审核:林洹民
图片:高兴就好团队
