程啸：论《民法典》与《个人信息保护法》的关系 - 民事法学 - 学术前沿

一、《民法典》与《个人信息保护法》适用关系的不同类型

关于个人信息权益的保护，《民法典》与《个人信息保护法》在调整范围与调整方法上存在明显差异。在调整范围方面，《民法典》中的个人信息保护制度调整的应是平等主体的自然人、法人与非法人组织之间的个人信息处理关系。而《个人信息保护法》调整的是个人信息处理者处理自然人的个人信息的活动。在调整方法方面，《民法典》对个人信息保护的规定集中于人格权编，主要规定个人信息权益的享有和保护。但《个人信息保护法》是对个人信息处理活动进行全过程、全方位的规范，不同于《民法典》主要从事后补救的角度作出规定。

基于《民法典》与《个人信息保护法》在个人信息保护方面的共性与差异，不能片面地将《个人信息保护法》看作《民法典》的民事特别法，或是认为它们都属于基本法，而应从类型化分析的角度，将它们之间的关系分为不同类型。

二、《个人信息保护法》中丰富发展《民法典》相关规定的规范

第一，对个人信息处理基本原则的丰富发展与告知同意规则的细化。《个人信息保护法》对正当性原则进行了细化，新增了数项个人信息处理的基本原则并将《民法典》中的“不得过度处理”细化为“应当限于实现处理目的的最小范围”。对告知同意规则中告知的方式、告知的事项、免于告知的情形、个人同意的有效要件、同意的方式、同意的撤回等，亦作了细致完备的规定。

第二，对个人信息含义的丰富发展。《民法典》与《个人信息保护法》对个人信息的界定不同，前者采取的是“识别说”，后者采取的是“关联说”。二者实质相同，不存在矛盾冲突。从识别说的角度界定个人信息，是从信息本身出发，看能否从中找到与特定自然人的关联性。以关联说界定个人信息则是从信息主体出发，更强调个人信息的相对性，认为只有与已识别或可识别的自然人相关的信息才是个人信息。

第三，个人信息处理类型的丰富与个人信息处理者的界定。《个人信息保护法》新增了“删除”这一典型的信息处理活动；从能够自主决定 “处理目的”与“处理方式”的角度对个人信息处理者作出明确界定；进一步区分个人信息的处理者与受委托处理个人信息的受托人。

第四，对个人信息处理的合法根据的具体规定。就合法的个人信息处理，《民法典》一方面规定了其应具备的条件，另一方面又分别从个人信息的合理使用与免责事由的角度作出规定。《个人信息保护法》第13条第1款则在《民法典》上述规定的基础上，从处理规则的角度，根据是否经由“个人同意”，对个人信息处理的合法根据做了系统全面的规定。

第五，丰富发展了个人在个人信息处理活动中的权利。《个人信息保护法》在《民法典》的基础上，专章详尽规定了个人在个人信息处理活动中的权利，不仅明确了这些权利的请求权性质，而且新增了四种权利，并对权利行使的具体情形以及救济程序作了规定。

三、《个人信息保护法》通过转介条款指向《民法典》的相应规定

第一，个人信息处理规则与格式条款的规制。个人信息处理者单方面制定的个人信息处理规则，可能包括个人信息处理者对于其与个人之间的权利义务的规定，此时，须适用《民法典》关于格式条款的规定来评价个人信息处理规则中处理者单方面就其与个人之间的权利义务责任关系作出的规定。

第二，个人信息共同处理者的连带责任。数个处理者在共同处理个人信息时，若侵害了公民个人信息权益并造成损害，依《个人信息保护法》第20条第2款规定，“应当依法承担连带责任”。其中“依法”即指依据《民法典》关于连带责任的规定，如共同加害行为、教唆帮助行为、共同危险行为以及无意思联络的数人侵权的相关规定。

第三，个人信息委托处理中的委托合同与相应的民事责任。对于个人信息委托处理，除适用《个人信息保护法》第21条外，还须适用《民法典》。包括委托人与受托人的主要权利义务、紧急情况下的个人信息处理的转委托以及受托人侵害自然人的个人信息权益的情形下，委托人与受托人之间的责任承担。

四、《民法典》与《个人信息保护法》中因规范目的不同而分别适用的规定

第一，私密信息与敏感的个人信息。私密和非私密的个人信息是《民法典》从民事权益保护和法律适用的角度对个人信息进行的分类。因为私密信息属于隐私，所以既可以适用隐私权保护的规定，也可以适用个人信息保护的规定。敏感的个人信息与非敏感的个人信息是《个人信息保护法》从个人信息处理者的义务角度作出的区分，该分类仅适用于个人信息保护法所调整的个人信息处理行为，而不适用于自然人因个人或者家庭事务而处理个人信息的活动。

第二，合法公开的个人信息的处理。《民法典》第1036条第2项与《个人信息保护法》第13条、第27条都对合法公开的个人信息作了规定。《民法典》是从处理个人信息民事责任免责事由的角度加以规定的，《个人信息保护法》则是从个人信息处理规则的角度加以规定的。故前者未明确处理者在处理合理公开的个人信息时是否需要取得个人同意，而由个人负有证明处理者侵害其重大利益的举证责任；后者则要求处理者在处理合法公开的个人信息前须对该处理活动是否对个人权益有重大影响进行评估判断，据此决定是否需要取得个人同意，故由个人信息处理者负担相应的举证责任。

第三，死者的个人信息。《民法典》第994条与《个人信息保护法》第49条均为死者个人信息的保护提供了规范依据。《民法典》提供的是一种消极、被动的保护，《个人信息保护法》则赋予了死者近亲属针对死者的个人信息可以积极行使相应权利，是一种积极、主动的保护。

五、《个人信息保护法》中属于《民法典》的特别规定的规范

当《个人信息保护法》的规定相对于《民法典》而言是特别规定时，应当优先适用《个人信息保护法》的规定。如《个人信息保护法》第69条第1款关于侵害个人信息权益的侵权责任归责原则为过错推定的规定，第2款在《民法典》第1182条的基础上将“按照被侵权人因此受到的损失或侵权人因此获得的利益赔偿”的规则扩张适用于包括财产损失与精神损害在内的所有损害的规定。

六、结语

调整范围和调整方法的差别使得《民法典》与《个人信息保护法》的关系变得复杂，不能简单地以一般法与特别法的关系或者并存的基本法的关系加以概括，而应当从上述四种类型的角度逐一考察：《个人信息保护法》中丰富发展《民法典》相关规定的规范；《个人信息保护法》通过转介条款指向《民法典》的相应规定；《民法典》与《个人信息保护法》中因规范目的不同而分别适用的规定；《个人信息保护法》中属于《民法典》的特别规定的规范。

（本文文字编辑唐子航。本文未经原文作者审核。本文为中国民商法律网“原创标识”作品。凡未在“中国民商法律网”微信公众号正式发布的文章，一律不得转载。）

文献链接：《论〈民法典〉与〈个人信息保护法〉的关系》

栏目

关于

合作

关注我们