程啸:论《民法典》与《个人信息保护法》的关系
2022年4月18日      ( 正文字号: )
[ 导语 ]
     《民法典》与《个人信息保护法》是我国个人信息保护法律体系中最重要最基本的法律,它们均以保护个人信息权益,协调个人信息的保护与利用为目的。但在《民法典》与《个人信息保护法》都对个人信息保护作出规定的情形下,二者是何种关系,司法和执法中应当如何适用,不无疑问。正确界定《民法典》与《个人信息保护法》的关系,不仅有利于建构科学合理的个人信息保护法律体系,而且对于司法与执法实践中法院与履行个人信息保护职责的部门正确适用法律处理个人信息纠纷至关重要。对此,清华大学法学院程啸教授在《论〈民法典〉与〈个人信息保护法〉的关系》一文中,在类型化分析《民法典》与《个人信息保护法》相关联的具体规则的基础上,对上述问题进行了探讨。
一、《民法典》与《个人信息保护法》适用关系的不同类型

关于个人信息权益的保护,《民法典》与《个人信息保护法》在调整范围与调整方法上存在明显差异。在调整范围方面,《民法典》中的个人信息保护制度调整的应是平等主体的自然人、法人与非法人组织之间的个人信息处理关系。而《个人信息保护法》调整的是个人信息处理者处理自然人的个人信息的活动。在调整方法方面,《民法典》对个人信息保护的规定集中于人格权编,主要规定个人信息权益的享有和保护。但《个人信息保护法》是对个人信息处理活动进行全过程、全方位的规范,不同于《民法典》主要从事后补救的角度作出规定。

基于《民法典》与《个人信息保护法》在个人信息保护方面的共性与差异,不能片面地将《个人信息保护法》看作《民法典》的民事特别法,或是认为它们都属于基本法,而应从类型化分析的角度,将它们之间的关系分为不同类型。

二、《个人信息保护法》中丰富发展《民法典》相关规定的规范

第一,对个人信息处理基本原则的丰富发展与告知同意规则的细化。《个人信息保护法》对正当性原则进行了细化,新增了数项个人信息处理的基本原则并将《民法典》中的“不得过度处理”细化为“应当限于实现处理目的的最小范围”。对告知同意规则中告知的方式、告知的事项、免于告知的情形、个人同意的有效要件、同意的方式、同意的撤回等,亦作了细致完备的规定。

第二,对个人信息含义的丰富发展。《民法典》与《个人信息保护法》对个人信息的界定不同,前者采取的是“识别说”,后者采取的是“关联说”。二者实质相同,不存在矛盾冲突。从识别说的角度界定个人信息,是从信息本身出发,看能否从中找到与特定自然人的关联性。以关联说界定个人信息则是从信息主体出发,更强调个人信息的相对性,认为只有与已识别或可识别的自然人相关的信息才是个人信息。

第三,个人信息处理类型的丰富与个人信息处理者的界定。《个人信息保护法》新增了“删除”这一典型的信息处理活动;从能够自主决定 “处理目的”与“处理方式”的角度对个人信息处理者作出明确界定;进一步区分个人信息的处理者与受委托处理个人信息的受托人。

第四,对个人信息处理的合法根据的具体规定。就合法的个人信息处理,《民法典》一方面规定了其应具备的条件,另一方面又分别从个人信息的合理使用与免责事由的角度作出规定。《个人信息保护法》第13条第1款则在《民法典》上述规定的基础上,从处理规则的角度,根据是否经由“个人同意”,对个人信息处理的合法根据做了系统全面的规定。

第五,丰富发展了个人在个人信息处理活动中的权利。《个人信息保护法》在《民法典》的基础上,专章详尽规定了个人在个人信息处理活动中的权利,不仅明确了这些权利的请求权性质,而且新增了四种权利,并对权利行使的具体情形以及救济程序作了规定。

三、《个人信息保护法》通过转介条款指向《民法典》的相应规定

第一,个人信息处理规则与格式条款的规制。个人信息处理者单方面制定的个人信息处理规则,可能包括个人信息处理者对于其与个人之间的权利义务的规定,此时,须适用《民法典》关于格式条款的规定来评价个人信息处理规则中处理者单方面就其与个人之间的权利义务责任关系作出的规定。

第二,个人信息共同处理者的连带责任。数个处理者在共同处理个人信息时,若侵害了公民个人信息权益并造成损害,依《个人信息保护法》第20条第2款规定,“应当依法承担连带责任”。其中“依法”即指依据《民法典》关于连带责任的规定,如共同加害行为、教唆帮助行为、共同危险行为以及无意思联络的数人侵权的相关规定。

第三,个人信息委托处理中的委托合同与相应的民事责任。对于个人信息委托处理,除适用《个人信息保护法》第21条外,还须适用《民法典》。包括委托人与受托人的主要权利义务、紧急情况下的个人信息处理的转委托以及受托人侵害自然人的个人信息权益的情形下,委托人与受托人之间的责任承担。

四、《民法典》与《个人信息保护法》中因规范目的不同而分别适用的规定

第一,私密信息与敏感的个人信息。私密和非私密的个人信息是《民法典》从民事权益保护和法律适用的角度对个人信息进行的分类。因为私密信息属于隐私,所以既可以适用隐私权保护的规定,也可以适用个人信息保护的规定。敏感的个人信息与非敏感的个人信息是《个人信息保护法》从个人信息处理者的义务角度作出的区分,该分类仅适用于个人信息保护法所调整的个人信息处理行为,而不适用于自然人因个人或者家庭事务而处理个人信息的活动。

第二,合法公开的个人信息的处理。《民法典》第1036条第2项与《个人信息保护法》第13条、第27条都对合法公开的个人信息作了规定。《民法典》是从处理个人信息民事责任免责事由的角度加以规定的,《个人信息保护法》则是从个人信息处理规则的角度加以规定的。故前者未明确处理者在处理合理公开的个人信息时是否需要取得个人同意,而由个人负有证明处理者侵害其重大利益的举证责任;后者则要求处理者在处理合法公开的个人信息前须对该处理活动是否对个人权益有重大影响进行评估判断,据此决定是否需要取得个人同意,故由个人信息处理者负担相应的举证责任。

第三,死者的个人信息。《民法典》第994条与《个人信息保护法》第49条均为死者个人信息的保护提供了规范依据。《民法典》提供的是一种消极、被动的保护,《个人信息保护法》则赋予了死者近亲属针对死者的个人信息可以积极行使相应权利,是一种积极、主动的保护。

五、《个人信息保护法》中属于《民法典》的特别规定的规范

当《个人信息保护法》的规定相对于《民法典》而言是特别规定时,应当优先适用《个人信息保护法》的规定。如《个人信息保护法》第69条第1款关于侵害个人信息权益的侵权责任归责原则为过错推定的规定,第2款在《民法典》第1182条的基础上将“按照被侵权人因此受到的损失或侵权人因此获得的利益赔偿”的规则扩张适用于包括财产损失与精神损害在内的所有损害的规定。

六、结语

调整范围和调整方法的差别使得《民法典》与《个人信息保护法》的关系变得复杂,不能简单地以一般法与特别法的关系或者并存的基本法的关系加以概括,而应当从上述四种类型的角度逐一考察:《个人信息保护法》中丰富发展《民法典》相关规定的规范;《个人信息保护法》通过转介条款指向《民法典》的相应规定;《民法典》与《个人信息保护法》中因规范目的不同而分别适用的规定;《个人信息保护法》中属于《民法典》的特别规定的规范。



(本文文字编辑唐子航。本文未经原文作者审核。本文为中国民商法律网原创标识作品。凡未在中国民商法律网微信公众号正式发布的文章,一律不得转载。)



文献链接:《论〈民法典〉与〈个人信息保护法〉的关系

[ 参考文献 ]

本文选编自程啸:《论〈民法典〉与〈个人信息保护法〉的关系》,载《法律科学(西北政法大学学报)》2022年第3期。
【作者简介】程啸,清华大学法学院教授,中国民商法律网授权学者。

推荐阅读
王利明:论债权形式主义下的区分原则
在贯彻实施《民法典》时,不应按照物权行为理论来理解区分原则,必须在债权形式主义模式下准确理解和适用区分原则。
曹兴权、杨士民:论公司法定代表人与其他人员越权的差异
在判断表见代表/理时,相对人对公司法定代表人与其他人员越权的审查义务有差异,应提出具体化函数理论进一步明确。
李建伟:决议的法律行为属性论争与证成
决议的多数决意思形成机制体现私法自治,决议特殊规则不构成对决议的法律行为属性的否定和减损。
热门排行
学术公告
问答集锦
相关文章
本期评价
0个赞
0个踩
敬请关注中国法学会民法典编纂项目领导小组组织撰写的《中华人民共和国民法典•民法总则专家建议稿(征求意见稿)》

编辑:唐子航

向编辑提问:

分享

扫二维码
用手机看民商
用微信扫描
还可以分享至
好友和朋友圈

中国民法学研究会
教育部人文社会科学重点研究基地
中国人民大学民商事法律科学研究中心

本网站由王利明教授创办并提供全部运作资金 Copyright◎2000-2021 All Rights Reserved 京ICP备2022010855号  
E-mail: ccclarticles@126.com