浅论个人信息的保护法（王利明等七位学者论评）

以下文章来源于民主与法制周刊 ，作者王利明、张新宝等

来源 | 《民主与法制》周刊2022年第12期

编者按：2021年10月，李某某嫖娼案件的通报行为引发了关于行政处罚决定公开范围的讨论，其处理结果并未实现立法考官与民众考官的双重满意，原因之一是未对个人信息与隐私进行区分处理。杭州野生动物世界人脸识别“第一案”，成都新冠肺炎病例女子个人信息泄露事件，此类案件背后均涉及个人信息与隐私保护问题。如何厘清个人信息与隐私之间的关系？个人信息保护与隐私权二者如何适用法律？如何看待《个人信息保护法》与《民法典》之间的关系？引发了理论和实务界的热烈讨论。本期分别选取王利明、张新宝、周汉华、沈红雨、程啸、石佳友、冉克平等七位专家学者的论述，围绕“如何分清个人信息与隐私之间的关系”展开讨论。

争议一：如何界分个人信息与隐私之间的关系？

王利明：个人信息与隐私的区分适用

（王利明，中国人民大学一级教授、博士生导师、中国法学会副会长、民法学研究会会长）

从概念上来看，隐私权与个人信息权益虽然在外延上存在重合，但是二者的内涵仍然可以予以澄清和界分。依据《民法典》的规定，在未来的立法或司法解释中，主要可以从以下角度区分个人信息与隐私的概念。

首先，个人信息权是一种主动性的、能够积极行使利用的权利，其体现为对个人信息的支配和自主决定，而隐私权则是一种被动性的、消极的排他性权利，例如《民法典》第993条规定了对于属于个人信息的姓名、名称、肖像等可以许可他人使用，但并不包括隐私。当然，该条采用“等”的表述，其中是否可包括隐私仍值得探讨。无论如何，隐私不如个人信息那样可以许可他人利用。

其次，隐私权的客体强调“隐”这一属性，表现为个人不愿意公开的私密性，且单个私密信息并不必然指向权利主体的身份；而个人信息则强调身份的识别性，即能够直接或经组合后，被信息控制人或他人合理利用以识别权利主体身份。根据《民法典》第1034条第2款，个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息，以“可识别性”为核心特征，其包括仅凭该信息本身即可直接锁定某特定自然人的“单独识别性信息”和需结合其他信息方可将某自然人与一切其他人区分开来的“间接识别性信息”。

第三，从侵害的形态来看，隐私主要包括了非法披露他人不愿为他人知晓的私密信息以及采用非法拍摄、私闯民宅、非法窃听、非法窥视等方式侵害他人的隐私，但一般并不包括非法利用他人的私密信息。而对个人信息而言，其侵害的形态除了非法收集、买卖等外，主要强调的是对于个人信息的非法利用。

最后，在责任形态上，隐私作为一种精神性人格权，主要适用的是侵害人格权的一般保护方法与精神损害赔偿，而由于个人信息具有可利用性，因此对其侵害，更加注重实际损失的发生与财产损害赔偿。

总之，《民法典》的规定为界分个人信息与隐私提供了基本标准，通过上述的基本界分，可以将隐私与个人信息进行区分，作为分别适用不同保护规则的前提，并在此基础上设置不同的保护规则。未来我国立法和司法解释仍然应以《民法典》的界分为基本依据，从而完善我国个人信息与隐私的制度。

张新宝：个人信息与隐私的交叉关系

（张新宝 ，中国人民大学法学院教授、博士生导师）

个人隐私又称私人生活秘密或私生活秘密，是指私人生活安宁不受他人非法干扰，私人信息保密不受他人非法收集、刺探和公开。隐私包括私生活安宁和私生活秘密两个方面。个人信息是指与一个身份已经被识别或者身份可以被识别的自然人相关的任何信息，包括个人姓名、住址、出生日期、身份证号码、医疗记录、人事记录、照片等单独或与其他信息对照可以识别特定的个人的信息。个人隐私与个人信息呈交叉关系，即有的个人隐私属于个人信息，而有的个人隐私则不属于个人信息；有的个人信息特别是涉及个人私生活的敏感信息属于个人隐私，但也有一些个人信息因高度公开而不属于隐私。传统隐私法（或保护隐私权的民法制度）将隐私权作为人格权之一种进行保护，所侧重的是个人的人格利益尤其是人格尊严和人格自由方面的利益。人类进入信息社会后，与个人信息相关的利益主体及其利益关系变得多样和复杂，对个人信息采取了保护与利用并重的基本立法政策，信息业者（即从事个人信息收集、处理、储存、传输和利用等相关活动的自然人、法人和其他组织）作为独立的利益相关者出现，国家不仅是超然的法律规则制定者和执行者，同时也是个人信息最大的收集、处理、储存和利用者。

周汉华：个人信息与隐私的并列关系

（周汉华，中国社科院法学研究所副所长、研究员，博士生导师，中国法学会网络信息法学研究会负责人）

在行政法与行政管理领域，不少立法一直不是非常严格界定隐私与个人信息两个概念的使用场景，有时候单用，有时候并用，有时候互换使用。比如，《行政处罚法》《政府信息公开条例》等属于第一类，将个人隐私、商业秘密并列，不专门列举个人信息。相反，《国家情报法》《消费者权益保护法》等属于第二类，将个人信息、商业秘密并列，不专门列举个人隐私。《数据安全法》《电子商务法》等属于第三类，将个人信息、个人隐私、商业秘密一并予以列举。实际上，这三类不同的列举方式要实现的立法目的是一样的，以不同的方式列举表明立法者对于隐私与个人信息两个概念的内涵以及使用场景缺乏统一的标准。

由于行政管理行为均属于管理机关的要式行为，建立在对可识别特定个人信息“处理”的基础之上，即使涉及个人隐私也是以“处理”个人信息的方式进行（隐私被个人信息包含），并且，行政执法机关既无法也没有必要在每个行政决定中去判断是否构成对特定个人隐私权的侵犯。因此，单独列举个人信息就完全可以实现立法与行政管理的目的，实现对个人权利的保护。这一点上，不同于民事生活中个人偷窥、披露、散布、宣扬他人隐私等不需要处理个人信息的非要式行为。可见，上述第一类列举范围不够宽，只用隐私概念不能涵盖全部个人信息；第三类列举有重复和交叉，人为增加法律适用中辨析两个概念的难度；只有第二类列举方式比较合适，既避免两个不同概念的交叉，也有效地界定概念的适用范围。

争议二：个人信息保护与隐私权二者如何适用法律？

王利明：个人信息保护与隐私权的区别保护

（王利明，中国人民大学一级教授、博士生导师、中国法学会副会长、民法学研究会会长）

个人信息不同于隐私，需要通过特别立法予以规范和保护之处在于：

第一，个人信息具有集合性，隐私通常很难具有集合性，其本身是单个主体享有的权益。基于人权保护的原因，许多国家将隐私作为基本人权对待。

第二，个人信息具有可利用性。与数据具有流通价值不同，隐私原则上不能利用。隐私权更强调私密性，故隐私权规则对隐私的保护程度要更强。而一般的个人信息可以为他人知晓，但是强调的是不能未经个人信息权利人同意而收集、利用个人信息。《民法典》第993条在人格权的商业化利用上刻意未将隐私权纳入，因此原则上隐私权不得进行商业化利用。

第三，个人信息具有自动处理性。隐私通常不涉及大规模处理的问题，侵犯隐私通常具有个别性。因为对个人信息处理有集合性与自动化的特点，个人信息的保护还会涉及跨境流动的问题。根据有关国家法律规定，如果个人信息的处理者需要向境外进行传输个人信息，应当向个人告知境外接收方相关身份信息以及处理方式、处理目的等，以更好地保护个人的合法权益。而隐私权一般不涉及跨境流动与跨境处理的问题，因为隐私权禁止大规模收集，更难以进行大规模处理，如果将隐私进行大规模处理，后果将是不可想象的。

第四，个人信息泄露的程序法应对具有特殊性。由于个人信息往往以集合的方式出现，一旦其泄露可能会涉及大规模侵权问题，因而需要进行特殊的诉讼制度与行政的介入来处理，这也是为防止个人信息的泄露需要行政介入的原因。

因此，在法律上应当有专门的规则来应对个人信息的特殊管理与保护可能产生的大规模侵权问题，建立相应的集体诉讼规则。因为信息具有集合性，会将涉及某个人的个人信息进行用户画像特点；因为个人信息具有可利用性，故需要涉及数据流通的问题；因为个人信息具有规模性，所以要涉及个人信息的行政管理以及特殊诉讼处理的问题；因为个人信息具有自动处理性，所以会涉及对于算法体制的规制问题，甚至可以考虑在具体规则上做特殊安排，并且有必要对自动处理与非自动处理进行区分。如果利用个人信息进行自动化处理的，应当保证此自动化处理的透明度与处理结果本身要公平合理。通过自动化处理以营利性目的向个人进行商业化信息推送的，应当同时提供不具有特定性的个人特征的选项，以充分保障其权利。而隐私在一般情形下不具有上述特点，对其处理一般具有个别性和非自动处理性。故对隐私的保护需要行政介入的程度相较个人信息更小。因为个人信息具有上述特殊性，难以在单一部门法中完全实现，故需要民法与行政法的结合来进行保护，这就产生了《个人信息保护法》，它在本质上属于领域立法。

周汉华：个人信息保护与隐私权的平行适用

（周汉华，中国社科院法学研究所副所长、研究员，博士生导师，中国法学会网络信息法学研究会负责人）

坚持平行适用，可以避免交叉适用带来的法律关系交织与冲突，降低执法与守法成本，增强法律实施的可预期性。同样重要的是，坚持平行适用，确立《个人信息保护法》的独立法律地位，使不同法律分别发挥各自作用，有利于形成公法私法合力，事前、事中机制与事后机制结合，以预防为主，辅之以有效的执法威慑，法律手段与其他手段互补，多主体参与的多元治理结构。个人信息保护与隐私权的关系以及《个人信息保护法》与民法的关系，只有在这个大视野下，才能明确定位，找准方向。

坚持平行适用，需要澄清《个人信息保护法》是民法特别法的模糊认识，更明确体现《个人信息保护法》作为个人信息保护基本法律的宪法地位。笔者在立法机关召开的几次专家座谈会上，均建议在《个人信息保护法》第１条中增加规定“根据宪法，制定本法”。这样，既体现个人信息权益源自于宪法对于人格尊严与自由的规定，而不是民法上的其他人格权益，又权威、鲜明地表明《个人信息保护法》的立法依据。《个人信息保护法》与《民法典》是公法与私法的关系，一个规定公法权利与制度，一个规定民事权利与制度，共同构筑个人信息保护的规则体系。宪法依据的确立，也为《民法典》与《个人信息保护法》的平行适用奠定基础，在处理疑难问题时，提供终极的适用指南。

坚持平行适用，需要“两条腿走路”，使公法、私法有机协调，形成合力。当务之急，是要提升公法法治化水平，解决规定无法落地的现象。如何规定履行个人信息保护职责的部门，并配置以相关的手段，一直是《个人信息保护法》起草过程中的重要问题，也是难点问题，事实上存在主体缺位现象，并对制度与规范设计产生影响。《个人信息保护法》通过后，如何划分履行个人信息保护职责不同部门的职能，如何使其真正聚焦于个人信息保护，如何丰富其履职手段，提高其履职能力，防止懒政、怠政或者武断作为，如何协调行政权与司法权的关系等，都将会是长期挑战，不可能一蹴而就。相比之下，私法制度与机制更为成熟，能力更强，队伍更大。在这种格局之下，各方都应保持谦抑，保持耐心，兼顾短期目标与长远目标的关系，既解决眼前问题，又致力于多元治理结构的培育。缺位不能成为错位与越位的理由，错位与越位也无法从根本上解决缺位带来的问题。

坚持平行适用，必须处理好《个人信息保护法》与《民法典》尤其是人格权编的关系，将事前事中的行政执法优势与事后的司法救济优势充分发挥，既立足于风险预防，又有效制裁违法行为。为此，应坚持司法是社会公正的最后一道防线的基本原则，使司法权与民事诉讼机制既不越位、错位，也不缺位。鉴于人格权编对于个人信息保护的内容大多源自《网络安全法》，而《个人信息保护法》既是个人信息保护的基本法，毫无疑问也是《网络安全法》个人信息保护相关规定的升级版（新法）。因此，如果人格权编（交叉适用）规定与《个人信息保护法》（平行适用）规定不一致，实体规定应以《个人信息保护法》为准，然后衔接侵权责任编，并在《个人信息保护法》中为个人信息保护量身定做专门的赔偿标准，解决侵权责任适用于个人信息保护威慑力度不足问题，构筑有效的法律闭环（可称之为“淡化人格权编、强化侵权责任编”）。这样，既能明确法律适用基本原则，也间接解决人格权编对于个人信息保护定位所存在的各种问题。为此，要准确理解并适用《民法典》在人格权编与侵权责任编中对于个人信息权益的不同定位，尽量弥补立法漏洞。

沈红雨：个人信息与隐私权的多元综合治理保护

（沈红雨，最高人民法院民四庭副庭长、二级高级法官）

第一，构建开放、安全的数据流通体系。随着我国数字经济、数字社会、数字政府的交融发展，互联网整合线上线下资源，推进数字产业化和产业化数字，个人信息的收集、处理和使用必然更为广泛。在互联网模式下，大数据的价值并不在于某个个体的独特信息，而在于大批量具有共同特点的个人信息所反映出的某种共性。创建严格的个人信息保护制度并不是禁止利用个人信息，而是创造安全的信息环境，增强消费者参与数字经济的信心，使个人更倾向于允许他人出于公共利益目的使用其私人数据，改善政策制定和公共服务，使数据驱动创新真正给国家、社会与公民带来巨大利益。个人敏感信息进行匿名化、假名化处理后的数据具有较强的公共属性，原则上运营商不再需要经过本人同意，可以与第三人进行交易、共享，即以促进自由流通为原则，以特殊保护为例外。

第二，区分普通信息和敏感信息。《个人信息保护法》已经区别普通信息和敏感信息的保护。为避免大规模数据处理对个人的权益及自主性造成损害，有学者提出，可以借鉴网络著作权治理领域的“选择排除规则（opt-out）”，即用户享有简单明确、实际可行的拒绝网络运营商获取和使用网络行为数据的途径。日本《次世代医疗基础法》允许认定制作者使用选择排除方式获得医疗信息。即默认患者只要没有表示拒绝即为同意提供医疗数据，以提升医疗信息匿名加工处理的效率。此外，“隐私标识”（privacy mark）认证也是区分普通信息和敏感信息值得借鉴的经验。

第三，加大个人信息保护的行业自律。在市场竞争机制下，除了企业自身的合规审查，倡导行业自律也有助于创造有序的产业环境。目前，在云服务领域已经兴起了云服务等级协议。美国的非营利性网络隐私认证机构TRUSTe、BBBonline（Better BusinessBureausonline）实行网络隐私认证计划，对企业的隐私保护随时进行测评。我国应当加强对隐私认证机构的建设，形成隐私保护等级和认证体系，鼓励互联网平台企业就信息保护水平和范围展开竞争，根据消费者对个人信息保护的重视程度，选择提供符合其偏好的互联网平台。

第四，加快与数据跨境传输国际规则的衔接。从各国白名单制度的评价体系来看，较为共性的要求为：（1）法律法规对于个人信息保护有相应的立法规范；（2）明确商业运营商处理个人信息应当遵守的义务；（3）相关政策、程序和制度是可识别的；（4）有独立的个人数据保护权力机构保障必须的执行；（5）有相互理解、合作和可操作的可能性；（6）有执行框架保障数据的相互平稳传输。我国应当积极参与数据跨境传输国际规则的磋商与制定，提供数字经济治理方面的司法经验与案例，促进跨境数据流动所涉规则和标准的协调统一。

冉克平：个人信息保护与隐私权存在一定的交叉重合

（冉克平，武汉大学法学院教授、博士生导师）

从体系上看，隐私权与个人信息均规定在《民法典》人格权编第六章。前者系指自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动和私密信息等此类抽象的状态不受他人不法刺探、侵扰、泄露、公开的具体人格权。隐私因具有私密性因而通常不具有交互性或者公开性，因而对于已经公开的内容进行更加广泛的传播通常并不认为构成对隐私权的侵犯。但是，对于日常交往范围内的特定人之间的隐私仍然存在必要程度的公开性，例如夫妻之间、医生与诊疗的患者之间等。因此，对于相关侵害隐私权行为的判定，应该超过正常社会交往的程度，达到高度冒犯（highly offensive）的标准。隐私权是一种典型的精神性人格权，其所保护的是自然人的消极性权利，原则上不涉及大规模的流通与利用，《民法典》第993条规定的人格权的商业化利用刻意未将隐私权纳入。隐私权的设计重点在于私密性及其保密性，主要通过民法尤其是侵权责任编为自然人提供必要的救济。

与之不同的是，个人信息通常可集合在一起形成数据，数据的重要特征是流通与共享。个人信息并非具体的人格权，而是包含自然人的人格利益、财产利益和安全利益等在内的多重权益。在大数据时代，用户的个人数据本身并无价值。个人信息保护的是自然人对于个人信息的积极性权利，发挥制度功能的空间依赖于自然人与外界的信息交互，涉及对信息主体的保护、信息业者的利用以及政府公共利益之间的平衡。个人信息的规范对象，是具有专业性和商业性收集能力的个人或组织的不法收集和利用行为，个人信息保护立法依赖于公私法交融的法律保护方式，涵盖公共监管与私权损害救济双管齐下的综合治理体系，信息主体不仅可以消极防御或者排除他人的侵害，还可以积极进行商业化利用，在私法保护上更依赖于合同法的保护，而非如同隐私权依赖于侵权法的保护。

尽管个人信息在适用范围、保护法益以及部门法框架上均与传统的隐私权保护有重大区别，但是两者仍然存在交叉或者一定程度的重合。一些个人信息例如有关个人的健康信息、行踪轨迹等属于隐私权的客体，但是也有一些个人信息例如个人的电话号码、工作单位等信息因在一定范围内被公开而不属于个人隐私权的范畴。《民法典》第1032条第2款在对隐私进行定义时，将不愿为他人知悉的私密信息定义为隐私，而私密信息本身作为个人信息的组成部分，其和《民法典》第1034条第2款所规定的个人的生物识别信息、健康信息、行踪信息等形成了交叉和重叠，属于“信息化隐私”，可以称之为“隐私信息”，兼具可识别性与私密性。

隐私信息具有隐私权与个人信息的双重特征。可识别个人的信息并不一定都具有隐私利益，但是，私密性程度越高的个人信息其可识别性就越高。个人信息中的高度敏感信息通常属于隐私权的客体范畴。隐私信息必须按照保护隐私的方法予以保护，不被泄露或公开，否则构成隐私侵权。在网络化、数据化的时代，个人的一切行为过程、行为时间地点甚至目的都可能被收集和分析。尽管静态的个人信息可能并不构成隐私信息，如个人所处某一个公共位置，但是连续性或者动态的个人信息就属于隐私权的客体范畴，如个人行踪轨迹。简言之，保护隐私是个人隐私信息被采集和利用的前提，个人隐私信息附着了信息主体的人格尊严和自由价值，对于个人隐私信息的收集和利用通常应当征求隐私信息主体的同意，并防止隐私信息的公开或者泄露。

争议三：如何看待《个人信息保护法》与《民法典》之间的关系？

王利明：《个人信息保护法》与《民法典》是特别法与一般法的关系

（王利明，中国人民大学一级教授、博士生导师、中国法学会副会长、民法学研究会会长）

《个人信息保护法》是一部保护个人信息的综合性立法，其所包含的个人信息的私法规则与《民法典》构成特别法与一般法的关系，《民法典》确立了个人信息的性质及其在民事权利体系中的位置，是解释、适用《个人信息保护法》相关规则的基础和依据。《个人信息保护法》的适用需要在《民法典》的框架体系中展开，其适用应当贯彻《民法典》确认的人格尊严价值，并结合《民法典》确认的人格权保护一般规则。《个人信息保护法》还需要注重与《民法典》相关条款的体系协调，从而实现对个人信息的体系化保护。

《民法典》是基础性法律，是私法的基本法，有学者将民法典与单行法的关系比喻为太阳与行星的关系，即民法典是“太阳”，而单行法则构成围绕“太阳”公转的“行星”；“行星”根据“太阳”所投射的“光芒”来进行解释。就《民法典》与《个人信息保护法》的关系而言，《民法典》确定了个人信息保护的基本框架、原则和理念、价值，界分了个人信息与隐私权等其他人格权的关系，为个人信息保护法确立了最基础的规则。《民法典》所确立的保护人格尊严、保障民事权利等价值，是解释《个人信息保护法》的基础。《民法典》关于个人信息处理等规则的规定，不仅提供了个人信息保护的正当性基础，也为个人信息保护立法提供了基本法律依据。《个人信息保护法》对个人信息的保护，也基本上是围绕《民法典》的规则而展开的。

《个人信息保护法》的适用应当在《民法典》的框架下展开。具体而言：

第一，《民法典》明确了个人信息的性质及其在民事权利体系中的位置。《民法典》总则编第五章在规定民事权利体系时，虽然专门规定了自然人的个人信息受保护，但并没有将其规定为一项具体人格权，人格权编第六章仍然延续了这一做法。《个人信息保护法》也遵循了此种制度模式。个人信息是整个民事权益体系中的重要组成部分，是其中的重要环节。从基本的民事权利出发，如果将基本的民事权利分为合同债权、物权、人格权和身份权，那么，个人信息就属于人格权益的重要组成部分，全面保护个人信息也就是保护个人在数字化时代所享有的基本民事权益。由于《民法典》将个人信息界定为一项人格利益，而非具体人格权，因而，在民事权利位阶中，按照权利优先于利益的规则，原则上除了一些特殊的敏感个人信息外，依据《民法典》第1034条第3款，一般个人信息与隐私权发生冲突时，应当优先保护隐私权。

第二，《民法典》将个人信息自主决定作为个人信息保护的价值基础，即个人对其个人信息的自主决定。个人信息保护的价值基础是个人的自决权，即个人自主决定其事务的权利，该概念由Wilhelm Steinmüller和Bernd Lutterbeck在1971年提出，并得到了普遍认可。作为私人自治的一项具体表现，个人信息自决权获得了广泛的承认。我国《民法典》在规定个人信息保护规则时，也是以个人信息的自我决定为基础而展开的。《个人信息保护法》内容庞杂，但是这些制度仍然是围绕着个人信息自主决定这条主线展开的。无论是第二章“个人信息处理规则”还是第三章“个人信息跨境提供规则”，都是对个人自主决定的落实。而第四章“个人在个人信息处理活动中的权利”和第五章“个人信息处理者的义务”，则是立法者对个人自主决定过程中的个人和处理者的权益和义务进行分配。《个人信息保护法》紧紧围绕规范个人信息处理活动、保障个人信息权益，构建了以“告知—同意”为核心的个人信息处理规则。严格地说，“告知—同意”实际上是平等主体之间私法自治内核的集中体现，也是《民法典》所确认的自愿原则的具体化，在以命令和服从为基础的公法关系中是不可能存在“告知—同意”规则的价值基础。《个人信息保护法》将个人在个人信息处理活动中的各项权利，包括知悉个人信息处理规则和处理事项、同意和撤回同意，以及个人信息的查询、复制、更正、删除等总结提升为知情权、决定权，明确个人有权限制其个人信息的处理，这都体现了对个人信息自主决定的尊重与保护。这些权利本质上都是个人信息自决权的具体展开，而此种自决权既是民法私法自治理念的彰显，也是作为绝对权益的个人信息权益所具有的支配效力的体现。如果不能从这种支配效力出发解释自主决定权，就很难准确把握该权益的性质和特点。

第三，《个人信息保护法》关于个人信息处理的制度和规则，是以《民法典》个人信息保护规范为基础而展开的。《民法典》在个人信息保护的相关规范中，确立了个人信息处理的各项基本规则，并规定了个人信息权利人的基本权利和处理人的义务及免责等基本问题，《个人信息保护法》在此基础上对上述制度和规则作出了细化规定。例如，《民法典》确立了个人信息处理的基本规则，《个人信息保护法》同样详细规定了个人信息处理规则，严格地说，《个人信息保护法》中的个人信息“处理”的概念范畴，来源于《民法典》第1035条第2款，只不过《个人信息保护法》第4条增加了“删除”二字，而有关个人信息处理的基本原则和框架仍然是由《民法典》所确定的。再如，《民法典》第1035条规定了个人信息处理需要取得个人同意的规则，《个人信息保护法》借鉴GDPR的经验，对人格权编规定的个人同意规则进行类型化处理，作出了更细致明确的规定，明确规定了透明化原则，即要求信息处理者处理个人信息前，必须以显著方式，清晰易懂的语言，真实、准确、完整地向个人告知法律规定的事项（第7条、第17条）；如果信息处理者是基于个人同意而处理个人信息，必须是由信息主体在充分知情的前提下，自愿明确地作出同意（第14条）。个人信息处理者不得以个人拒绝处理其个人信息为由，拒绝提供产品和服务（第16条）。无疑，这些规定可以看作是《民法典》个人信息保护规则的具体化。

第四，《个人信息保护法》关于相关国家机关保护个人信息义务的规定也是围绕《民法典》相关规则而具体展开的。《民法典》第1039条规定了国家机关、承担行政职能的法定机构及其工作人员的保密义务。严格地说，依据其职权处理个人信息的国家机关与信息主体之间并不是完全平等的民事关系，但是我国《民法典》第1039条为了全面保护个人信息，对国家机关以及承担行政职能的法定机构及其工作人员因依法履行职责处理他人个人信息作出了明确规定，要求信息处理者应当对信息予以保密，不得泄露或者向他人非法提供。虽然这些机构与个人并非平等交往的主体，但在前者履行职责过程中，可能掌握了他人的大量个人信息，且大多属于敏感、私密的个人信息，一旦泄露，将给他人造成重大损害。因此，从全面保护个人信息的角度出发，《民法典》对其保护个人信息的义务作出了规定。确认相关国家机关保护个人信息义务的规定，也表明个人信息权利可以对抗信息主体之外的任何组织和个人的不法侵害。《个人信息保护法》在第二章个人信息处理规则中，单设一节专门规定了国家机关处理个人信息的规则，正是对《民法典》上述规定的具体展开。这就表明，《个人信息保护法》对个人信息处理的规则不仅适用于平等主体之间的关系，还适用于国家机关以及法律、法规授权的具有公共事务管理职能的组织为了履行法定职责而处理个人信息的情形。

总之，《民法典》和《个人信息保护法》在性质上属于一般法与特别法的关系，二者在个人信息保护方面既有分工协同，又有衔接协调，《个人信息保护法》的解释与适用应当在《民法典》的框架下展开。

周汉华：《个人信息保护法》与《民法典》不是特别法与一般法的关系

（周汉华，中国社科院法学研究所副所长、研究员，博士生导师，中国法学会网络信息法学研究会负责人）

民法学界有很多专家认为，《民法典》对个人信息权在人格权编中首先加以规定，明确个人信息权的法律地位，然后再制定《个人信息保护法》，是比较合理的选择。也就是说，《个人信息保护法》是民法的特别法。笔者认为，这种观点值得商榷。

首先，将《个人信息保护法》视为民法的特别法，明显会使编纂民法典这一体系化立法的意义受到直接冲击。依此类推，还可能会使民事立法再次进入到分散化状态，影响民法典的统一和权威。

其次，如前所述，个人信息保护与人格权保护是两个完全不同的领域，不宜强行混合在一起。个人信息保护是一个崭新的法律部门，是正在兴起的网络信息法的核心组成部分。将传统的人格权理论和制度套用到个人信息保护领域，必然出现各种不适配问题，既有损立法的科学性，也会导致法律适用中的各种冲突。

最后，从其他新型权利立法与民法的关系看，都是先由单行法明确新型权利及其运行的基本制度，然后再由民事立法等相关立法与之衔接，通过民事责任追究促进新型权利的实现，而不是先由民事立法确立每一项新型权利，然后再由单行法进行衔接。

因此，在认识上必须明确，《个人信息保护法》是保护个人信息的基本立法，任务是明确个人信息保护的基本原则和制度，明确实体规范与程序规范，然后再由相关单行立法根据不同行业领域的特点制定相应的规则，构成个人信息保护的完备法律体系。《个人信息保护法》的义务主体、调整范围、执行机制等均明显不同于《民法典》，不能将《个人信息保护法》视为民法特别法。只有违反《个人信息保护法》的行为造成权利人民事权益损害的，《民法典》才从民事责任追究方面进行衔接。

尽管《个人信息保护法》与《民法典》存在一定的交叉，但两者的性质和任务存在根本不同，前者旨在保护新型权利的公法，后者旨在确立民事基本制度的私法，在法律体系中分别发挥不同的作用。只有科学认识这两部法律的关系，才能使《个人信息保护法》针对信息时代个人信息保护所面临的现实问题，设计相应有针对性的制度，而不是被传统民事法律制度所束缚。

程啸：《个人信息保护法》与《民法典》不是简单的特别法与一般法的关系

（程啸，清华大学法学院副院长，教授、博士生导师）

《民法典》与《个人信息保护法》是我国个人信息保护法律体系中最重要最基本的法律，它们均以保护个人信息权益、协调个人信息的保护与利用为目的。由于《民法典》与《个人信息保护法》存在调整范围与调整方法上的差异，故此，不能简单地将它们的关系界定为一般法与特别法的关系或者并存的基本法，而应当进行类型化分析。具体而言，《民法典》与《个人信息保护法》的关系可以分为四种类型：

其一，《个人信息保护法》的规定对《民法典》相关规定进行了充实与丰富发展。主要体现在：对个人信息处理的基本原则的丰富发展，对告知同意规则的细致性规定，对个人信息含义的界定，对个人信息处理与个人信息处理者的规定，对个人信息处理的合法根据的细化规定，丰富发展个人在个人信息处理活动中的权利等。

其二，《个人信息保护法》通过转介条款或相关规定指向了《民法典》的相关规定。《个人信息保护法》是个人信息保护领域的综合性法律，其综合运用民法、行政法、国际法、刑法等多种部门法的方法对个人信息处理活动进行全方位的调整，从而保护个人信息权益，促进个人信息的合理利用。在我国已经颁布了系统性规范各类民事主体的人身关系和财产关系的《民法典》的情形下，《个人信息保护法》在运用民法的调整方法时，显然无需重复《民法典》的规定，而只需要通过相应的转介条款或规范指向《民法典》即可，由《民法典》的规定来实现对这些问题的具体调整。这些情形中比较典型的如对个人信息处理活动中的格式条款的规范、委托处理个人信息中对委托合同的规范以及共同处理个人信息的连带责任等。

其三，《个人信息保护法》与《民法典》有不同的规范目的而分别适用于不同的情形。《民法典》与《个人信息保护法》对个人信息保护的调整方法存在差异，《民法典》侧重的是对个人信息权益被侵害的民事责任的规定，即侵害行为发生后的保护与救济，而《个人信息保护法》由于对个人信息处理活动进行全方位的规范，尤其是可以有大量的公法性规范来确立个人信息处理者的义务，从而通过对个人信息处理活动的各种严格规范以及施加给个人信息处理者相应的义务来防止出现非法处理个人信息以及侵害个人信息权益的行为。所以，《个人信息保护法》在个人信息权益保护上更侧重防患于未然，而非亡羊补牢。这就使得《民法典》与《个人信息保护法》中的有些规范虽然都是解决相同的问题，但是由于规范目的不同，因此适用情形也不同，并行不悖。这种关系类型主要包括：《民法典》中的私密信息与《个人信息保护法》中的敏感信息、对合法公开的个人信息处理的规范以及关于死者的个人信息的规范。

其四，《个人信息保护法》的规定相对于《民法典》的规定是特别规定而应当优先适用。《个人信息保护法》中有大量的民事法律规范，这些民事法律规范与《民法典》中保护个人信息的规范之间的关系除了前述的三种情形外，还有一种就是特别法与一般法的关系。申言之，立法机关基于特殊的考虑在《个人信息保护法》中对相关问题作了特别规定，这些规定相对于《民法典》的规定就是特别法。《立法法》第92条规定：“同一机关制定的法律、行政法规、地方性法规、自治条例和单行条例、规章，特别规定与一般规定不一致的，适用特别规定；新的规定与旧的规定不一致的，适用新的规定。”《民法典》第11条也规定：“其他法律对民事关系有特别规定的，依照其规定。”故此，当《个人信息保护法》的规定相对于《民法典》而言是特别规定时，应当优先适用《个人信息保护法》的规定。我国《个人信息保护法》中这种特别规定主要有两项：《个人信息保护法》第69条第1款关于侵害个人信息权益的侵权责任归责原则的规定与《个人信息保护法》第69条第2款关于侵害个人信息权益的损害赔偿计算方法的规定。

石佳友：《个人信息保护法》与《民法典》的关系具有多样性

（石佳友，中国人民大学法学院教授、民商事法律科学研究中心执行主任，中国人民大学国际学院副院长）

《民法典》与《个人信息保护法》中的私法规范构成普通法与特别法的关系，在后者有明确规定的时候应优先适用，而在其没有规定的时候应适用《民法典》的规则。在个人信息保护的法律适用中，将二者割裂甚至对立起来的观点或者对《民法典》采取排斥封闭的态度，都会破坏法律体系的和谐和法律适用的统一，对个人信息保护来说也是不利的。

《民法典》与《个人信息保护法》中的私法规范构成普通法与特别法的关系；而《个人信息保护法》中公法规范，则可以视为是行政基本法典的特别法（以生态损害赔偿法为例，由于环境法和《民法典》中均有相关规定，因此，生态损害赔偿法可以被视为是环境法和《民法典》的特别法）。根据特别法优于普通法（lex specialis derogat legi generali）的原则，特别法有具体规定时应优先于普通法适用；而在特别法没有规定的情况下，可以适用普通法的规则。需要特别强调的是，特别法不是部门法、附属法，普通法/特别法不是法律部门的划分标准；因此，强调《个人信息保护法》中私法规范的特别法性质，不等于《个人信息保护法》是《民法典》的附属法，因此，并不存在对其地位的贬低或矮化。特别法与普通法也不存在位阶上的等级关系，很多时候普通法与特别法可能处于法律位阶的同一等级，譬如民法与商法；《民法典》的总则与分则也可以被视为是普通法与特别法的关系。厘清普通法/特别法的逻辑关系，仅仅是用来解决法律适用上的冲突问题，因为在两部法律均有规定的情况下，二者的不同规定无法同时进行平行适用，而只能相互补充：特别法有规定的时候适用特别法，特别法无规定的时候以普通法规范作为补充。因此，将《个人信息保护法》（至少是其中的私法规范）视为《民法典》的特别法，并非是所谓的“民法霸权主义”：真正的“民法霸权主义”是将民法规则的适用领域不当扩张至其他法律部门。

正好与之相反的是，将《个人信息保护法》视为《民法典》的特别法，恰恰是赋予《个人信息保护法》以优先适用的地位，其后果是确保《个人信息保护法》的具体规则的优先适用，而阻断了民法的一般性规则的适用；这正好体现的是对作为普通法地位的民法规则的一种抑制和约束，而完全不是所谓民法企图“毕其功于一役”的“包打天下”思路。更具体地说，《民法典》与《个人信息保护法》的关系，类似于《民法典》与《消费者权益保护法》的关系。《消费者权益保护法》与《个人信息保护法》都属于保护性规范，旨在保护特定的群体或利益，整体上都立足于国家保护义务：个人信息保护基于国家对人格尊严的保护义务，而消费者保护基于国家对平等、社会正义等价值的保护义务。

【文献来源】

王利明：《和而不同：隐私权与个人信息的规则界分和适用》，载《法学评论》2021年第2期。

王利明：《论〈个人信息保护法〉与〈民法典〉的适用关系》，载《湖湘法学评论》2021年第1期。

张新宝：《从隐私到个人信息：利益再衡量的理论与制度安排》，载《中国法学》2015年第3期。

周汉华：《平行还是交叉：个人信息保护与隐私权的关系》，载《中外法学》2021年第5期。

沈红雨：《大数据流动背景下个人信息保护法律制度的挑战与对策——基于比较法的视角》，载《中国应用法学》2021年第2期。

程啸：《论〈民法典〉与〈个人信息保护法〉的关系》，载《法律科学（西北政法大学学报）》2022年第3期。

石佳友：《个人信息保护的私法维度——兼论〈民法典〉与〈个人信息保护法〉的关系》，载《比较法研究》2021年第5期。

冉克平：《论〈民法典〉视野下个人隐私信息的保护与利用》，载《社会科学辑刊》2021年第5期。

-END-

,