王利明:民法典与个人信息保护法的关系
——中国法学会民法学研究会2021年年会会议简报第六期
主办单位:中国法学会民法学研究会
承办单位:山西大学法学院
时间:2021年10月23日
主会场——第三单元:大会主题发言
主持人:王轶(中国法学会民法学研究会副会长兼秘书长,中国人民大学法学院教授、博士生导师)
下面,我们有请中国法学会副会长、中国法学会民法学研究会会长,中国人民大学一级教授,博士生导师王利明作报告,报告的题目是:《民法典与个人信息保护法的关系》,有请王老师!
王利明(中国法学会副会长,中国法学会民法学研究会会长,中国人民大学一级教授、博士生导师):好,谢谢,尊敬的各位嘉宾、各位老师、各位同学,大家上午好!我今天想就刚刚通过的,并且将要在今年11月1日实施的《个人信息保护法》和《民法典》关系,谈一点个人的看法。
个人信息保护法是我们国家在个人信息保护领域的一个重要立法,它必将全面维护个人信息权益,促进数字经济有序发展。但是,这部法律究竟与《民法典》是什么关系?对这个问题,现在好像仍然有不同看法,我想谈几点意见。
第一点,我认为《个人信息保护法》是一个综合性法律,是一个领域法,既有公法又有私法,但其中关于个人信息保护的相关规定是《民法典》的组成部分。《个人信息保护法》第一条中明示“根据宪法,制定本法”,有学者据此认为个人信息保护法是在宪法之下自成体系的一部法律,它与《民法典》是平行的、独立的。我认为这种观点值得商榷。我粗略统计了《个人信息保护法》中关于私法的规范大约有28条,所以我们不能说整个《个人信息保护法》是《民法典》的组成部分,但是就《个人信息保护法》中的私法规范,也就是个人信息保护的相关规范而言,是民法的组成部分,也是《民法典》人格权编的配套规定。
《民法典》是基础性法律,基础性法律本身就意味着它和《个人信息保护法》等单行法之间是一般法和特别法的关系。同时,《民法典》具有基础性地位,具有指导特别法的功能,当特别法与《民法典》发生冲突的时候,也要以基础性法律所体现的价值为依据来进行解释。至于所谓“根据宪法,制定本法”,我理解主要是强调要依据宪法的所规定的基本价值理念,将其贯彻于特别法中。但绝不是说《个人信息保护法》作为特别法就能自成体系,与《民法典》互相独立。《个人信息保护法》的基本价值就是要维护人格尊严,保护个人信息,这一价值理念是从宪法第38条关于维护人格尊严这个理念产生出来的。所以我们说“根据宪法”,主要是指根据宪法的价值理念,但是不能从这“根据宪法”来推导出它和《民法典》相互独立的结论。
第二点,我们刚才谈到了《个人信息保护法》本身是一个领域法,既有公法规范,也有私法规范,但是现在不少人认为个人信息应该是一种公法上的权利,不是私法权利,认为《个人信息保护法》对个人信息的规定,实际上是给予了信息主体一种对抗信息控制者、信息处理的权利,包括对抗国家机关信息处理行为的一种公法上的权利,所以其性质主要是公法上的权利,应该把它归入到公法的范畴,这个看法我认为不妥。应该说,个人信息是一种私法上的权益,而且它是《民法典》人格权编规定的重要权益。只有这样理解,才能充分保护好此种权益。为什么这么讲?
首先,个人信息权益本身是一项民事权益,它是《民法典》所明确确认的人格权益,并且侵害个人信息的相关法律责任也是为《民法典》所全面确认和规定。
其次,个人信息和隐私等这些人格权益具有天然的不可分割的联系,而且《民法典》也设置了在两者发生冲突和矛盾的前提下应当如何选择法律适用的相关规则。从美国法来看,就是采用“大隐私”的概念,个人信息、个人数据均包含在隐私里面,受到隐私法的保护。欧洲虽然把两者分开了,但是实际上这两者之间并没有截然分离。《个人信息保护法》里面所讲的敏感个人信息,其实很大程度上,就是个人的核心隐私,实际和隐私也无法分开。
再次,《个人信息保护法》所确立的有关个人信息处理的规则,实质上均是在《民法典》所确定的信息处理规则之下的具体展开。只不过《民法典》所确立的信息处理规则,较为原则抽象,而《个人信息保护法》把它更加具体化了。从这个意义上讲,《个人信息保护法》中信息处理这些规则也是《民法典》人格权编的组成部分。当然《个人信息保护法》也不仅仅和人格权编发生密切联系,其实仔细来看,它和《民法典》其他各编都有密切关系。比如说有关个人信息的利用,就需要订立合同,这就涉及到合同编的相关规则。比如说因为侵害个人信息而产生的侵权责任,《个人信息保护法》里面规定了侵权获利返还规则,这些都必须要和《民法典》侵权责任编的相关规定结合起来。所以把《个人信息保护法》看作是公法,我认为是不妥当的,而且也不利于保障《个人信息保护法》的准确适用。
虽然我们不可否认个人信息权益也受到公法保护,因为侵害个人信息也要产生公法上的行政责任等等,甚至刑事责任,但是我们想一想,哪一项民事权利在遭受侵害的情况下,不会产生行政责任甚至刑事责任?侵害财产权、侵害人格权,都有可能产生行政责任甚至刑事责任的问题,但这并不能因此而改变它属于民事权益的本质属性。
第三点,我认为《个人信息保护法》的适用应当与《民法典》相结合,才能够形成一个相对完备、科学的规则体系。这里面有好几种情形:一种情形就是《民法典》作出了规定但《个人信息保护法》没有规定的情形,比如精神损害赔偿等等,这些显然应当直接适用《民法典》规定。也就是说针对《个人信息保护法》未作出规定,而《民法典》作出规定的,我们必须回到《民法典》来找寻规范。另一种情形是,如果《个人信息保护法》作出了规定,《民法典》没有作出规定,此时就要根据具体情形,按照特别法优先于普通法的规则来确定法律适用,比如说刚才谈到了《个人信息保护法》是对《民法典》的具体化,还有《个人信息保护法》里面设置一些保护个人信息的特殊规则,例如个人信息保护的公益诉讼等等,这些是《民法典》没有规定的,可以适用《个人信息保护法》的规定。还有一些是《个人信息保护法》和《民法典》虽然都有规定,但是《个人信息保护法》规定不清晰,需要和《民法典》结合起来,来共同适用。比如说刚刚我们谈到了获利返还规则,这个规则在《个人信息保护法》中就没有《民法典》那么完整,比如法院酌定的相关规则就没有规定,所以适用这个规则的时候,恐怕还要和《民法典》侵权责任编有关获利返还的规则,共同结合起来,否则会很难实施,或者实施中难以产生应有的效果。
最后,我想强调的,在《个人信息保护法》适用中,一定要特别重视《民法典》的兜底保护作用。现在我们有一种观点,认为好像《个人信息保护法》是自成体系,与《民法典》没有关系,似乎《个人信息保护法》通过后,有关个人信息保护规则已经全部囊括其中,足以保护个人信息,这个理解是值得商榷的。事实上《个人信息保护法》对于个人信息保护规则是非常有限的,还有大量的规则,必须要从《民法典》里去寻找,所以《民法典》才是兜底性法律。凡是在《个人信息保护法》里面找不到,都得回归到《民法典》去寻找。比如说刚才我们讲到的精神损害赔偿,《个人信息保护法》就没有具体规定。还有比如刚才郭锋主任介绍的禁令制度,《个人信息保护法》就没有规定。这个将来适用禁令怎么办?还得回到《民法典》中找法。还有比如说涉及到停止侵害、排除妨碍等这些规则,这是我们所说的人格权请求权制度,《个人信息保护法》也没有规定,这些还要回到《民法典》去,所以说《民法典》才是一个兜底性的保护个人信息的法律。如果就个人信息的保护,仅仅只是从《个人信息保护法》里面找法,认为《个人信息保护法》已经足以满足对个人信息保护的规定,那这个理解显然是不妥当的,不利于对个人信息的全面有效保护。
总之,我认为《个人信息保护法》关于个人信息保护的规定,应为民法的组成部分,是《民法典》人格权编的组成部分,两者必须密切结合起来,才能有效保护个人信息权益,促进数字经济发展。
我的发言到这里,谢谢大家!
主持人王轶教授:好的,感谢王利明老师!
【以上整理的发言内容未经各位发言人审阅】
