智仁原创 | 论隐私权和个人信息的关系及规则适用交叉问题

摘 要：《个人信息保护建起个人信息保护规则体系，隐私权和个人信息的界限逐渐明晰。通过对二者的权利内在属性、权利保护模式和权利保护规则三个方面对比分析，以澄清二者的关联及界分关系，同时也发现，个人信息保护在分别适用《个人信息保护法》和《民法典》上存在一些交叉问题，应从整体的角度进行区分和解决。

关键词：个人信息；隐私权；保护规则

一、问题的提出

2021年颁布的《民法典》首次将人格权独立成编，并将隐私权和个人信息置于人格权编第六章中加以统一规范。《民法典》第1032条和第1034条分别对隐私和个人信息进行了定义，第1034条又规定，“个人信息中的私密信息，适用有关隐私权的规定；没有规定的，适用有关个人信息保护的规定。”这种立法模式似在表明，隐私权和个人信息不仅具有极为密切的关联，同时二者也是不同的法律概念，应当适用不同的法律规则。

在以往的民事司法实践中，由于人格权保护体系较为成熟，而有关个人信息保护的规定并不十分完善，法院常常将个人信息限缩至隐私权范畴，并通过援引隐私权相关规定为个人信息的权利人提供保护【1】。但是本文认为，自《个人信息保护法》出台后，个人信息保护实现了有法可依，其与《民法典》形成制度衔接，共同构建起个人信息保护规则体系，隐私权和个人信息的边界愈渐明晰。在全新的隐私权和个人信息关系格局下，对二者开展研究不能仅局限于讨论形式、内容上的异同，或者简单地认为二者是包含还是被包含关系，而应当考量两种保护体系在规则具体适用过程中，是否存在龃龉之处，如有则尝试提出解决方法。

二、隐私权和个人信息的关系

学界对隐私权和个人信息的关系主要有四种说法：一是隐私权包含说，认为隐私权的范畴大于个人信息，个人信息是隐私权的一种扩张，是个人对隐私权中的生活安宁进行自主支配的权利【2】。二是个人信息包含说，该观点认为个人信息的外延大于隐私权，隐私权只是个人信息当中的私密信息部分，非私密信息不属于隐私权调整的范围，且对个人信息控制支配的自决利益是隐私权没有的【3】。三是平行说，认为法律对于个人信息保护与隐私权关系的处理应坚持平行适用、互不交叉的原则，并以此构筑起有效治理结构【4】。三是交叉说，主张个人信息与隐私权在权利内容、权利边界等方面存在一定交叉，个人信息保护的问题较隐私权更为复杂多样，未来立法应尽可能在概念及保护规则上区分二者【5】。

本文认为，隐私权和个人信息存在一定交叉，但在规则适用上应当具有明显的边界。主要从权利内在属性、权利保护模式和权利保护规则三个方面，对二者关系进行分析。

（一）权利内在属性

第一，隐私权以主观精神属性为主，个人信息具有财产属性。隐私权表现的最主要特征为“私密”和“不愿为他人所知”，更多关注人格利益而非财产价值，隐私权保护除私密信息外，还包括私人生活安宁或私密空间、活动，这样会使不同人对隐私的理解有所不同，在主观精神层面赋予隐私不同的意义。而个人信息是以电子或其他形式记录的能识别自然人身份或行踪的信息，其不仅能够体现精神价值，也具有一定的财产价值，广义来讲，如个人征信记录良好与否是银行贷款评估的重要依据；企业可以通过收集和分析个人信息作出富有商业价值的决策；网络科技型公司合并与收购中，交易内容一般会包括个人信息的数据集合【6】。以上举例均体现了个人信息的财产属性。

第二，隐私权具有被动性和消极性，个人信息具有主动性和积极性。由于隐私权具有浓重的精神属性，通常情况下隐私是不愿意被披露的，是排他的，权利人无法积极主动地行使隐私权，只有在遭受侵害的情况下才能向侵权人主张，这体现了一种事后的防御性救济。而个人信息权益是个人对于自身信息资料的一种控制权，并不完全消极地排除他人利用【7】。个人信息因其具有财产属性，在算法技术加持下可以不断增强商业价值和流转性，对于个人而言，亦可以主动利用个人信息与其他主体进行交互。也正是因为个人信息具有主动性和积极性，国家对处理个人信息行为的行政监管及刑法规制显得更为严格，体现了一种事前的预防，目的在于减少和避免相关问题的发生。对此，亦有观点认为个人信息是一种信息主体对抗信息控制者信息处理行为的新型公法权利，侵害该权利主要产生公法上的法律责任【8】。

（二）权利保护模式

第一，民法对隐私权保护的位阶高于个人信息。《民法典》第990条明确规定隐私权属于具体人格权范畴，个人信息只被认为是一种人格权益。此外，第1033条在规定侵害隐私权的免责事由时，要求必须经过“权利人明确同意”；第1038条关于个人信息的处理免责事由里，须经自然人或者其监护人“同意”，没有“明确”两个字。说明对个人信息的收集，不一定必须取得权利人同意，也不一定必须是明示的同意，默示的也可以。而对隐私信息的收集必须是明示的，不能采用默示同意的方法【9】。又如《民法典》第995条、第996条、第997条等条文均是保护具体人格权的规定，个人信息保护能否适用这些条款尚有争议。由此，可知民法中隐私权保护的位阶高于个人信息，隐私权受到优先保护。

第二，隐私权保护以民事救济为主，个人信息保护以综合治理为主。隐私权关注的重点是获取和公开他人隐私是否导致了损害结果，这表明隐私不宜流转或共享，非法流转或共享隐私即可能构成隐私权侵权，实践中隐私权保护主要通过民事途径救济。如构成治安管理违法行为，可依据《治安管理处罚法》有关规定处理；构成犯罪的，可以侮辱罪、诽谤罪论处。个人信息保护主要关注有关主体处理个人信息的过程是否合法，个人信息处理包括收集、存储、使用、加工、传输、提供、公开等，这表明个人信息本身具有流动的可能性，甚至可以是跨境流动，因此对个人信息保护需要综合运用多种法律手段，除民法保护外，还应借助行政、刑事等手段进行系统性规范。即，个人信息保护应当是一种公共监管与私权损害救济双管齐下的综合治理体系【10】。经梳理发现，有关个人信息的基本立法除《民法典》外，还可以见诸于2003年《居民身份证法》、2006年《护照法》、2016年《网络安全法》、2018年《电子商务法》和2021年《个人信息保护法》等，这为有关部门推进个人信息执法工作提供了行政法律依据。在刑事法律层面，2009年《刑法修正案（七）》增设了侵犯公民个人信息罪，2017年《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》中将个人信息定义为：“以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。”可见，我国在诸多领域都设置了个人信息保护规则，且从整体上看，正逐步形成一种边界分明、相互补缺的个人信息保护综合治理体系。

（三）权利保护规则

权利保护的关键在于权利救济。隐私权侵权归责适用过错原则，司法实践中隐私权侵权的救济主要有两种方式，一是主张人格权请求权，包括《民法典》第995条请求行为人停止侵害、排除妨碍、消除危险【11】，第997条人格权禁令制度，以及行使异议、更正、删除权【12】；二是主张损害赔偿请求权，隐私权损害通常有财产损害和精神损害，赔偿数额可以依照《民法典》第1182条来确定，造成精神损害的也可以适用精神损害赔偿规则加以救济。如果是违约行为造成隐私权损害的，权利人请求对方承担违约责任的同时，也可以请求精神损害赔偿【13】。

在个人信息保护方面，《个人信息保护法》对我国个人信息保护的格局产生了重大影响。《民法典》主要调整平等主体之间的人身和财产关系，对不平等主体之间个人信息处理关系的调整力度有限，《个人信息保护法》对不平等主体之间的个人信息处理活动进行了细化规范，成为个人信息保护规则体系中极其重要的一部分。该法不仅明确规定国家建立健全个人信息保护制度，为有关行政执法部门提供了立法指引，同时也蕴含了很多私法条款。如《个人信息保护法》第69条第1款规定，个人信息侵权归责采用过错推定原则，即举证责任倒置，个人信息处理者无法证明自己没有过错的，应当承担损害赔偿等侵权责任。这有助于平衡个人信息处理活动中的不平等关系，同时也和《民法典》第1165条第2款构成了精密衔接。《个人信息保护法》与《民法典》的衔接还体现在其他方面，如《民法典》第1035条确立了个人信息处理的同意规则，《个人信息保护法》第二章和第三章对同意规则作了详细规定；《民法典》规定个人信息权利人具有知情同意权、查阅复制权、更正权和删除权，《个人信息保护法》在此基础上明确了这些权利的性质，并丰富了权利的类型及救济程序【14】；《个人信息保护法》第20条规定了两个以上个人信息处理者共同处理个人信息，侵害个人信息权益应当承担连带责任，是对《民法典》第1168条的衔接。此外，在侵权损害赔偿认定上，《个人信息保护法》第69条第2款与《民法典》第1182条衔接，但是《个人信息保护法》第69条第2款用的是“损失”而非“财产损失”，故此处的损失应当包括财产损失和精神损失。通过以上举例，可以意识到《个人信息保护法》在一定程度上是《民法典》个人信息保护制度的具态化，两部法律通过规则衔接，共同构建起个人信息保护规则体系。

三、隐私权和个人信息保护的规则适用交叉问题

《民法典》视域下个人信息保护的位阶低于隐私权，且对个人信息保护需要参考隐私权规则，即使已有《个人信息保护法》对一些问题作出具体规定，但也会衍生出一个问题：即隐私权和个人信息保护规则在适用过程中，可能会存在交叉情形，如何正确看待规则适用交叉问题，以及是否能提供解决的思路或方法，已成为当前重要命题。本文归纳总结了三种交叉情形，以下展开具体论述。

（一）私密信息侵权归责：过错还是过错推定

《民法典》第1032条规定隐私包括私密信息，第1034条第3款规定个人信息中的私密信息适用有关隐私权的规定。这表明私密信息侵权责任适用过错原则，但私密信息同时也是个人信息的组成部分，这与《个人信息保护法》第69条规定的过错推定原则冲突。

然而，《民法典》第1034条与《个人信息保护法》第69条其实并不冲突。首先，根据《民法典》第1032条和第1034条规定，私密信息被划分为隐私中的私密信息和个人信息中的私密信息。其次，第1034条第3款后半句规定，个人信息中的私密信息在没有规定的情况下，可以适用有关个人信息保护的规定。再次，《民法典》主要调整平等主体之间的人身和财产关系，《个人信息保护法》调整不平等主体之间的信息处理活动。最后，通过对上述各要素的重组，可以解释为，私密信息侵权归责分为两种情况：一是涉及平等主体的个人信息侵权，应优先依据《民法典》第1034条第3款前半句规定，适用过错原则。对于平等主体的理解，可见于《个人信息保护法》第72条规定：自然人因个人或者家庭事务处理个人信息的行为不属于个人信息处理行为，欧盟《一般数据保护条例》也将自然人不因商业、职业的纯个人或者家庭事务的数据处理活动排除在法案的适用范围之外【15】。审判实践的做法也是如此，在“曹某某名誉权纠纷案”中，法院就采用了过错原则【16】。二是涉及不平等主体的个人信息侵权，则可以根据《民法典》第1034条第3款后半句规范，转而适用《个人信息保护法》第69条，采用过错推定原则，这样能在很大程度上减轻作为弱势方的个人信息权利人的举证责任，有助于个人信息处理者更加谨慎、规范地处理个人信息，平衡双方主体之间的利害关系。

（二）个人信息侵权精神损害赔偿的相关问题

个人信息侵权精神损害赔偿主要有两个问题，一是个人信息侵权是否可以请求精神损害赔偿，二是个人信息侵权精神损害赔偿能否适用过错推定原则。关于第一个问题，《个人信息保护法》第69条第2款与《民法典》第1182条衔接，但《个人信息保护法》第69条第2款用的是“损失”而非“财产损失”，既然是损失，则应当包括财产损失和精神损失。个人信息特别是私密、敏感的个人信息受到侵害时容易使人遭受严重的精神损害，需要通过提请精神损害赔偿来定损赔偿。

关于第二个问题，《个人信息保护法》第69条第1款确定了个人信息处理者侵权的过错推定责任，《民法典》第1065条确定了民事主体侵权的过错责任，为避免法律适用的混乱，对财产损害与精神损害救济应当保持一致。因此，回答个人信息侵权是否可以请求精神损害赔偿的问题，也应作分类讨论：当个人信息处理者侵权时，权利人可以依据《个人信息保护法》第69条第1款主张精神损害赔偿，适用过错推定原则；当平等主体也就是非个人信息处理行为人侵权时，权利人可以依据《民法典》第1183条第1款主张精神损害赔偿，适用过错原则。因此，个人信息侵权是否可以请求精神损害赔偿的关键在于侵权人的身份。

（三）个人信息保护是否适用人格权请求权

个人信息保护是否可以适用《民法典》中的人格权请求权存在一定争议。从严格意义上讲，人格权请求权适用的前提应是该权利属于具体人格权范畴，而《个人信息保护法》第1条将个人信息界定为一种“权益”，《民法典》也未将个人信息定义为具体人格权。实践中个人信息侵权可以适用《民法典》第1167条：“侵权行为危及他人人身、财产安全的，被侵权人有权请求侵权人承担停止侵害、排除妨碍、消除危险等侵权责任。”还可以请求侵权人消除影响、恢复名誉、赔礼道歉等。既然已经有了一些救济规则，是否还有必要再适用人格权请求权？首先从立法体例来看，且不论其他人格权益是否可以适用人格权请求权，单看个人信息和隐私权被写在同一章就足以表达立法者的深意，个人信息权益同样是人尊严价值的体现，应当适用人格权编的规范，包括《民法典》第995条的人格权侵权请求停止侵害、排除妨碍、消除危险不受诉讼时效限制以及第997条的人格权禁令等人格权请求权规则，而不能仅仅因为其不是明文规定的具体人格权而影响人格权编相关规定的适用【17】。其次从侵害权利的性质来看，前文已有论述，隐私权保护体现一种事后的防御性救济，而事后救济在很多时候仅仅是法律上的弥补，更何况实践中法院判决侵权人赔偿精神损失较为谨慎，多为要求赔礼道歉、停止侵害等，并不能真正抵挡并消除权利人已经受到的心理伤害【18】，需要引入人格权请求权制度进行事前预防，以加强对隐私权的保护。同时，个人信息较隐私权更注重事前的预防，且在某些特定情形下，事前预防所取得的正面效果可能更为突出。因此，本文认为个人信息保护应适用人格权请求权，这不仅是制度需求，更是形势使然。

引用

【1】陈晨、李思頔.个人信息的司法救济——以1383份“App越界索权”裁判文书为分析样本[J].财经法学,2018(06):102-113.

【2】陈淇华.个人信息权与隐私权的关系——论个人信息包含说的科学性[J].上海法学研究,2021(01):275-286.

【3】商希雪.个人信息隐私利益与自决利益的权利实现路径[J].法律科学(西北政法大学学报),2020(03):71-85.

【4】周汉华.平行还是交叉 个人信息保护与隐私权的关系[J].中外法学,2021(05):1167-1187.

【5】王利明.和而不同：隐私权和个人信息的规则界分和适用[J].法学评论,2021(02):15-24.

【6】彭诚信、史晓宇.个人信息财产价值外化路径新解——基于公开权路径的批判与超越[J].华东政法大学学报,2022(04):41-57.

【7】王利明.论个人信息权的法律保护——以个人信息权与隐私权的界分为中心[J].现代法学,2013(04):62-72.

【8】周汉华.个人信息保护的法律定位[J].法商研究,2020(03):44-56.

【9】王利明.《民法典》人格权编的立法亮点、特色与适用[J].法律适用,2020(17):3-21.

【10】王利明.和而不同：隐私权和个人信息的规则界分和适用[J].法学评论,2021(02):15-24.

【11】参见浙江省宁波市海曙区人民法院（2016）浙0203民初字第3907号民事判决书。

【12】张红.论《民法典》之人格权请求权体系[J].广东社会科学,2021(03):235-244.

【13】《民法典》第九百九十六条：因当事人一方的违约行为，损害对方人格权并造成严重精神损害，受损害方选择请求其承担违约责任的，不影响受损害方请求精神损害赔偿。

【14】程啸.论《民法典》与《个人信息保护法》的关系[J].社会科学文摘,2022(11):112-114.

【15】程啸.论我国个人信息保护法中的个人信息处理规则[J].清华法学,2021(03):55-73.

【16】参见福建省福州市长乐区人民法院(2018)闽0182民初5132号判决书。

【17】张璐.请求权基础下个人信息权益保护的规范体系[J].科技与法律(中英文),2022(02):78-87.

参考文献

【18】李怡.个人一般信息侵权裁判规则研究——基于68个案例样本的类型化分析[J].政治与法律,2019(06):150-161.

1、陈晨、李思頔.个人信息的司法救济——以1383份“App越界索权”裁判文书为分析样本[J].财经法学,2018(06):102-113.

2、陈淇华.个人信息权与隐私权的关系——论个人信息包含说的科学性[J].上海法学研究,2021(01):275-286.

3、商希雪.个人信息隐私利益与自决利益的权利实现路径[J].法律科学(西北政法大学学报),2020(03):71-85.

4、周汉华.平行还是交叉 个人信息保护与隐私权的关系[J].中外法学,2021(05):1167-1187.

5、王利明.和而不同：隐私权和个人信息的规则界分和适用[J].法学评论,2021(02):15-24.

6、彭诚信、史晓宇.个人信息财产价值外化路径新解——基于公开权路径的批判与超越[J].华东政法大学学报,2022(04):41-57.

7、王利明.论个人信息权的法律保护——以个人信息权与隐私权的界分为中心[J].现代法学,2013(04):62-72.

8、周汉华.个人信息保护的法律定位[J].法商研究,2020(03):44-56.

9、王利明.《民法典》人格权编的立法亮点、特色与适用[J].法律适用,2020(17):3-21.

10、陈晨、李思頔.个人信息的司法救济——以1383份“App越界索权”裁判文书为分析样本[J].财经法学,2018(06):102-113.

11、张红.论《民法典》之人格权请求权体系[J].广东社会科学,2021(03):235-244.

12、程啸.论《民法典》与《个人信息保护法》的关系[J].社会科学文摘,2022(11):112-114.

13、程啸.论我国个人信息保护法中的个人信息处理规则[J].清华法学,2021(03):55-73.

14、张璐.请求权基础下个人信息权益保护的规范体系[J].科技与法律(中英文),2022(02):78-87.

15、李怡.个人一般信息侵权裁判规则研究——基于68个案例样本的类型化分析[J].政治与法律,2019(06):150-161.

沈诩斐

浙江智仁律师事务所

专职律师

主要领域：

政府法律业务、合规业务