鄭曉劍

一、問題的提出

作為世界第二大經濟體，我國擁有規(guī)模龐大的信息網絡產業(yè)，每年因個人信息被侵害所引發(fā)的案例也多到了令人觸目驚心的地步。為了妥善規(guī)范個人信息處理活動，提升我國的個人信息保護水平，同時也為了與域外相關立法接軌，近年來，我國密集出臺了相關法律予以應對。例如，2012年12月，全國人大常委會通過《關于加強網絡信息保護的決定》，這是我國立法機關首次以決定的形式對個人信息保護作出專門規(guī)定，奠定了我國個人信息保護的制度框架，具有十分重要的意義。此外，《刑法》《消費者權益保護法》《網絡安全法》《電子商務法》《數(shù)據(jù)安全法》等也從不同角度對個人信息保護作出了相應規(guī)定。不過，由于不同的部門法均有其不同的立法目標、規(guī)范視角及調整手段，使得個人信息保護方面的法律規(guī)范十分零散、不成體系，個人信息保護的實踐狀況仍不盡如人意。在民法典編纂過程中，很多學者呼吁應在《民法典》中對個人信息保護作出體系化的規(guī)定。我國立法機關順應學界呼聲和社會需求，先是在原《民法總則》第111條(現(xiàn)為《民法典》第111條)對個人信息保護作出原則性規(guī)定，繼而在人格權編通過六個條文對其作出了更為具體的細化規(guī)定，初步構建了個人信息保護及利用的法律規(guī)范體系。通過民法的手段保護個人信息，賦予信息主體一定的民事權益并為其提供相應的民法救濟，有助于確保信息主體的個人信息權益不被他人任意侵害。不過，在個人信息處理的實踐活動中，大量的信息處理行為是由公權力機關依職權實施的，其與信息主體之間顯然處于不平等的法律地位。不僅如此，在那些由私主體實施的信息處理活動中，信息處理者與信息主體之間在專業(yè)知識、經濟條件、信息能力等方面同樣處于不對等的地位，而這種不對等地位隨著自動化信息處理技術的廣泛適用愈發(fā)明顯和嚴重。在這種情形下，講求人格平等、奉行私法自治的民法在個人信息保護方面不可避免地存在一定的局限。

《民法典》通過后，《個人信息保護法》的立法進程明顯提速：2020年10月，全國人大常委會對《個人信息保護法(草案)》進行了第一次審議；2021年4月，全國人大常委會對草案進行了第二次審議；2021年8月，全國人大常委會正式通過《個人信息保護法》。通過上述時間線可以看出，《個人信息保護法》從首次審議到正式通過其間尚不足一年時間。如此緊湊、迅捷的立法進程，一方面反映了制定一部專門的個人信息保護法存在廣泛共識，另一方面也表明個人信息保護的立法現(xiàn)狀并不能令人滿意，個人信息保護水平有待提高?！秱€人信息保護法》的出臺，改變了我國長期以來通過分散立法的方式對個人信息進行保護的現(xiàn)狀，構建了體系完整、內容豐富、規(guī)范科學的個人信息保護法律規(guī)范體系，標志著我國關于個人信息保護方面的法治建設日益完備。當然，指望《個人信息保護法》這樣一部單行法解決個人信息保護方面的所有問題并不現(xiàn)實，其也不可能取代《民法典》等部門法中已經確立的個人信息保護規(guī)則或制度，(1)參見程嘯：《論我國個人信息保護法中的個人信息處理規(guī)則》，載《清華法學》2021年第3期，第57頁。因而在客觀上對其與相關立法之間的銜接和協(xié)調提出了更高要求。否則，立法“碎片化”問題不僅沒有得到及時、妥善之解決，而且由此所產生的不系統(tǒng)、不協(xié)調等問題勢必將更加突出，(2)參見張勇：《公民個人信息刑法保護的碎片化與體系解釋》，載《社會科學輯刊》2018年第2期，第86頁。最終將會損及法治的權威和尊嚴。

在具體的立法協(xié)調方面，《個人信息保護法》與《民法典》之間在規(guī)范及價值層面能否實現(xiàn)有機銜接，對于確保相關法律的正確實施可謂至關重要。原因有三：其一，民法的調整對象和適用范圍十分廣泛，平等主體之間實施的個人信息處理活動應當受到民法規(guī)制；其二，《民法典》對個人信息保護及利用作出了較為詳細之規(guī)定，其中很多內容與《個人信息保護法》存在交叉；其三，相較于刑法、行政法等公法而言，民法對于個人信息保護法律體系之形成具有基礎性作用。(3)參見王成：《個人信息民法保護的模式選擇》，載《中國社會科學》2019年第6期，第127-128頁。

對比《個人信息保護法》與《民法典》人格權編所規(guī)定的個人信息保護制度，可以發(fā)現(xiàn)，二者在概念術語之選擇、個人信息的權屬定位和保護模式、個人信息處理原則及具體規(guī)則等諸多領域存在著密切協(xié)同，(4)關于《個人信息保護法》與《民法典》之間的立法協(xié)同，筆者將專文探討，本文不再展開分析。這有利于維護法律秩序的統(tǒng)一性。當然，二者也在個人信息的概念界定及其類型劃分、已公開的個人信息處理規(guī)則等方面存在一定的差異，因而對于如何妥當適用法律提出了難題和挑戰(zhàn)。對此，我國有不少學者主張，作為全面規(guī)范個人信息保護及處理的單行法，《個人信息保護法》既對《民法典》作出了大量的補充和例外規(guī)定，也對《民法典》的一般性規(guī)定作出了若干變通和突破，因而其構成了《民法典》的特別法。(5)參見王利明：《論個人信息權的法律保護》，載《現(xiàn)代法學》2013年第4期，第70頁。將《個人信息保護法》定位為《民法典》的特別法，那么二者在實踐中可能出現(xiàn)的規(guī)范沖突及由此引發(fā)的復雜的法律適用關系似乎可以迎刃而解：在“一般法—特別法”的關系定位下，凡是《個人信息保護法》有規(guī)定的，則優(yōu)先適用該法的相關規(guī)定；若《個人信息保護法》沒有規(guī)定的，則應適用作為一般法的民法典的相關規(guī)定。如此一來，《個人信息保護法》與《民法典》之間的立法協(xié)調似乎不成問題。不過，這種解讀未免過于簡單，無法深刻說明《個人信息保護法》緣何要就相同內容作出與《民法典》不同的規(guī)定，而且可能導致《民法典》所規(guī)定的個人信息保護制度淪為具文。有鑒于此，本文擬對《個人信息保護法》與《民法典》之間的關系定位及規(guī)范協(xié)調進行初步探討，以期消除二者在規(guī)范構造及法律適用中可能存在的矛盾及混亂，維護法律秩序的和諧、統(tǒng)一。

二、《個人信息保護法》與《民法典》之關系定位

探討《個人信息保護法》與《民法典》之間的立法銜接及規(guī)范協(xié)調，需要先對這兩部法律之間的總體關系進行準確定位。

(一)一般法與特別法的法理意涵

前已述及，在我國民法學界，一種頗有影響的觀點認為，《個人信息保護法》相對于《民法典》而言系屬特別法，當然可以作出與《民法典》不同的規(guī)定。(6)參見劉士國：《信息控制權法理與我國個人信息保護立法》，載《政法論叢》2021年第3期，第86頁。不過，這種理解或許并不符合法理學關于一般法與特別法的相關知識。在法學領域，一般法與特別法的區(qū)分可謂一個“老生常談”的話題，幾乎每一本法理學教材都會在“法的分類”部分對這一知識點進行或多或少的介紹，而這一區(qū)分對于法律適用同樣具有重要意義。在發(fā)生規(guī)范沖突或競合的場合，若能準確地區(qū)分孰為一般法、孰為特別法，那么個案中的法律適用問題往往能夠得到妥善解決。(7)我國《立法法》第92條規(guī)定：“同一機關制定的法律、行政法規(guī)、地方性法規(guī)、自治條例和單行條例、規(guī)章，特別規(guī)定與一般規(guī)定不一致的，適用特別規(guī)定；新的規(guī)定與舊的規(guī)定不一致的，適用新的規(guī)定?！?/p>

那么，一般法與特別法到底應該如何界定和區(qū)分？對此，學界并不存在統(tǒng)一的認識和看法。例如，有的學者主張從時間、空間、對象和立法事項等四個具體的法律效力維度對一般法和特別法進行區(qū)分。(8)參見汪全勝：《“特別法”與“一般法”之關系及適用問題探討》，載《法律科學》2006年第6期，第51頁。也有學者認為，所謂一般法和特別法，并不是就法的效力范圍而言的，而是針對法律規(guī)范之間的關系而言的，故而主張從法律規(guī)范本身入手，研究特殊社會關系(特殊事項)與一般社會關系(一般事項)在法律規(guī)范結構上的反映，以此來對二者作出有效甄別。(9)參見楊登峰：《選擇適用一般法與特別法的幾個問題》，載《寧夏社會科學》2008年第3期，第19-20頁。

事實上，一般法和特別法并非只有一種面向，而是具有多面且相對的特性。按照法理學的主流觀點，所謂“一般法”，是指對一般主體、一般事項、一般時間、一般空間范圍有效的法；所謂“特別法”，是指對特定主體、特定事項有效，或在特定區(qū)域、特定時間有效的法。(10)參見張文顯主編：《法理學》，高等教育出版社、北京大學出版社2007年版，第103頁。由于“一般主體”與“特定主體”、“一般事項”與“特定事項”等只有與具體個案相結合才能予以準確的識別和判定，故而上述界定只是一般性地描述了一般法和特別法的基本特征，并沒有揭示出二者的本質區(qū)別。當然，要從法理層面一般性地揭示二者的本質區(qū)別，似乎是一個不可能完成的任務。因為，從根本上來說，“一般法”和“特別法”之區(qū)分，往往只具有相對的意義：若面臨的“參照系”不同，那么“一般法”和“特別法”的定位往往也會隨之發(fā)生轉化。例如，《高等教育法》相對于《教育法》而言是特別法，但是其相對于高等教育方面的法律、法規(guī)和規(guī)章來說，顯然又是一般法。因此，“一般法和特別法是相對而言的，在不同的參照物面前，同一項法既可能是一般法，也可能是特別法?！?11)周永坤：《法理學——全球視野》，法律出版社2010年版，第75頁。由是觀之，一般法和特別法之區(qū)分并非絕對：只有明確了“參照系”為何，這項區(qū)分才有其理論上的意義和實踐上的價值。作為調整民事關系的基本法，《民法典》無疑具有一般法的地位和屬性，那么《個人信息保護法》可否就此被定位為《民法典》的特別法呢？對此之探討，將在下文展開。

(二)《個人信息保護法》與《民法典》關系之厘定

《民法典》第2條規(guī)定：“民法調整平等主體的自然人、法人和非法人組織之間的人身關系和財產關系?！睋?jù)此，凡是平等主體之間的人身關系和財產關系，均屬民法的調整范疇。因此，若主張《個人信息保護法》乃《民法典》的特別法，那么，該法勢必只能適用于特定的民事主體，抑或只能適用于特定的民事關系。否則，上述論斷就無從成立。

關于《個人信息保護法》的適用范圍，該法第3條第1款作出了明確規(guī)定：“在中華人民共和國境內處理自然人個人信息的活動，適用本法。”據(jù)此，只要是在我國境內實施的個人信息處理活動，均要受到該法的調整及規(guī)范。相應地，該法不僅調整私法上的組織和個人實施的個人信息處理行為，而且還調整國家機關實施的個人信息處理行為；(12)《個人信息保護法》第33條規(guī)定：“國家機關處理個人信息的活動，適用本法?！痹摲ú粌H規(guī)定了相應的民事救濟手段，而且還包括大量的行政管理措施和行政處罰規(guī)定。由是觀之，《個人信息保護法》既非僅適用于特定的民事主體，亦非僅調整特定領域的民事關系。就此而言，《個人信息保護法》并不構成《民法典》的特別法，而是一個超越公私部門法屬性的、綜合性的法律架構。

當然，上文主要是依據(jù)特別法與一般法的基本知識，論證《個人信息保護法》并非民法的特別法。此外，周漢華教授也從三個不同維度提出了質疑：其一，如果將《個人信息保護法》定位為民法的特別法，將直接沖擊作為體系化立法成果的《民法典》的存在價值，可能導致民事立法再次進入分散狀態(tài)，有損《民法典》的統(tǒng)一和權威；其二，個人信息保護與民法上的人格權保護是兩個完全不同的領域，不宜強行混合在一起；其三，從已有的相關立法觀察，都是先由單行法對新型權利的基本制度進行明確，然后才由民事立法等與之銜接，而不是倒轉過來，先由民事立法確立新型權利，然后再由單行法進行銜接。(13)參見周漢華：《個人信息保護的法律定位》，載《法商研究》2020年第3期，第54頁。

事實上，考量《個人信息保護法》的立法目的、適用對象和調整方式，“民法的特別法說”之主張亦難以成立：《個人信息保護法》以保護個人信息權益為目的，以規(guī)范個人信息處理活動為核心，以促進個人信息合理利用為導向，這就決定了其應當采用綜合性的法律調整手段，而個人信息保護及處理方面的一切活動——不論是平等主體之間實施的個人信息處理行為，還是不平等主體之間實施的個人信息處理行為，均應納入該法的調整范疇。一言以蔽之，“個人信息保護法是個人信息保護領域的基本法律，旨在實現(xiàn)個人信息權益保護與個人信息合理利用之間的協(xié)調?！?14)程嘯：《論我國個人信息保護法中的個人信息處理規(guī)則》，載《清華法學》2021年第3期，第55-56頁。這是因為，“個人信息不僅僅與個人利益有關，同時還是大數(shù)據(jù)時代的重要社會資源，它對企業(yè)的技術創(chuàng)新、商業(yè)模式創(chuàng)新及政府的治理方式創(chuàng)新均是至關重要的。”(15)郭春鎮(zhèn)、馬磊：《大數(shù)據(jù)時代個人信息問題的回應型治理》，載《法制與社會發(fā)展》2020年第2期，第184頁。因此，個人信息不僅具有個人屬性，同時其也具有鮮明的公共屬性或共享屬性。這就決定了“簡單地強調個人信息的某一種屬性均不足以闡述個人信息的本質特征，也不足以為個人信息保護搭建合理的法律框架”(16)丁曉東：《個人信息的雙重屬性與行為主義規(guī)制》，載《法學家》2020年第1期，第65頁。。就此而言，以《民法典》為代表的個人信息的私法保護模式固然十分重要，但是由于其“并非個人信息保護的專門法，不可能針對個人信息保護問題規(guī)定得面面俱到”(17)李鈺：《利益平衡視角下個人信息問題的治理進路》，載《現(xiàn)代法治研究》2021年第1期，第119頁。，因而存在如下“先天不足”：

其一，個人信息之上負載了眾多利益主體的利益需求，其不僅包括信息主體的人格尊嚴和自由利益，還包括使用者的利益和公共利益，(18)參見高富平：《個人信息使用的合法性基礎》，載《比較法研究》2019年第2期，第80頁。而民法、刑法等傳統(tǒng)的部門法無法單獨應對這種多元化的利益格局，(19)參見程嘯：《論我國個人信息保護法中的個人信息處理規(guī)則》，載《清華法學》2021年第3期，第59頁。由此產生了對個人信息保護進行專門立法之必要。

其二，信息主體與信息處理者在知識、信息、技術和經濟等方面完全處在不同層次，對于主體之間存在的這種事實上的不平等，以個體維權和訴訟為核心的民法機制顯然無力糾偏，而亟需以公共監(jiān)管、執(zhí)法和處罰為主要手段的行政法和刑法機制的協(xié)助。(20)參見王錫鋅、彭錞：《個人信息保護法律體系的憲法基礎》，載《清華法學》2021年第3期，第10頁。

其三，以平等和自治為內核的私法保護模式不足以防范公權力機關對信息主體的侵犯，而公權力機關實際上才是最大的個人信息處理者。(21)參見張新寶：《從隱私到個人信息：利益再衡量的理論與制度安排》，載《中國法學》2015年第3期，第48頁。

因此，為了妥當規(guī)范個人信息保護及處理活動、妥善協(xié)調個人信息保護及利用之間的張力，作為個人信息保護的專門立法，《個人信息保護法》需要超越傳統(tǒng)的公法和私法二元對立的立法模式，而有必要采取包括民事保護、行政管理和刑事制裁等在內的綜合性的法律調整手段。只有通過綜合性的個人信息保護立法，才能夠“妥善處理個人、企業(yè)和國家三方關系，通過國家主導、行業(yè)自律和個人參與，實現(xiàn)個人對個人信息保護的利益、企業(yè)對個人信息利用的利益和國家管理社會的公共利益之間的三方平衡”(22)張新寶：《我國個人信息保護法立法主要矛盾研討》，載《吉林大學社會科學學報》2018年第5期，第50頁。。

由于《個人信息保護法》乃個人信息保護領域的基礎性法律，其對個人信息處理的基本原則、信息主體所享有的各項權利、信息處理者所負有的各項義務等基本事項均作出了明確規(guī)定，(23)參見張新寶：《互聯(lián)網生態(tài)“守門人”個人信息保護特別義務設置研究》，載《比較法研究》2021年第3期，第23頁。故而作為一個整體而言，其并非《民法典》的特別法。當然，作為一個綜合性、基礎性的法律架構，《個人信息保護法》不僅包括了大量的公法規(guī)則，而且涵括了很多具有私法屬性的規(guī)則，這些規(guī)則相對于《民法典》所確立的一般規(guī)則而言，當屬特別規(guī)則。(24)參見王苑：《個人信息保護在民法中的表達》，載《華東政法大學學報》2021年第2期，第78-79頁。在具體的法律適用中，若《個人信息保護法》中的私法規(guī)則與《民法典》中的個人信息保護規(guī)則發(fā)生抵觸，此時應當優(yōu)先適用作為特別規(guī)則的《個人信息保護法》中的私法規(guī)則，自不待言。除此之外的規(guī)范沖突，則應在個案中作妥善調適，不可一概而論。

三、《個人信息保護法》與《民法典》之規(guī)范協(xié)調

《個人信息保護法》與《民法典》不僅在諸多領域保持了密切協(xié)同，也在很多方面存在著較為明顯的差異，由此對法律適用的明確性和可預期性造成隱患，亟須協(xié)調。對此，下文將從個人信息之概念界定及其類型劃分、已公開的個人信息處理規(guī)則等三個方面，剖析二者展開規(guī)范協(xié)調的具體方式及應然路徑，以期拋磚引玉。

(一)個人信息之概念界定

在大陸法系，以民法典為代表的諸多法律主要是依照形式邏輯規(guī)則建構抽象、一般概念式的體系作為體系基礎。(25)參見[德]卡爾·拉倫茨：《法學方法論》，陳愛娥譯，商務印書館2003年版，第316頁。在這樣一個充滿邏輯性的體系結構中，法律概念可謂其中最為重要的組成“細胞”。因此，構建個人信息保護的法律體系，其首要任務便是需要明確何謂“個人信息”。對此，《個人信息保護法》與《民法典》均在較為顯著的體系位置對這一術語的涵義作出了明確界定。不過，二者所作之界定并不全然一致，有可能對具體的法律適用產生影響，故而有專門研討之必要。(26)《個人信息保護法》第4條第1款規(guī)定：“個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息，不包括匿名化處理后的信息?！薄睹穹ǖ洹返?034條第2款規(guī)定：“個人信息是以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人的各種信息，包括自然人的姓名、出生日期、身份證件號碼、生物識別信息、住址、電話號碼、電子郵箱、健康信息、行蹤信息等。”

表面上看，《個人信息保護法》和《民法典》在界定“個人信息”這一術語時所采取的立法技術并不一致：前者單純采用“定義”的方式，即直接規(guī)定個人信息“是”什么；后者則采用“定義+列舉”的方式，即不僅規(guī)定個人信息“是”什么，還明確個人信息“有”什么。當然，立法技術方面的不同并不能說明什么問題，如《個人信息保護法》第28條對于敏感個人信息的界定就采用了“定義+列舉”的方式。真正值得關注的是，二者在立法內容方面的差異。詳言之，《個人信息保護法》第4條采納了“識別+關聯(lián)”的判斷標準對個人信息進行界定，而《民法典》第1034條則規(guī)定了“識別”標準。這兩種標準對于個人信息的辨識路徑并不相同：“識別”標準采取的是“從信息到個人”的辨識路徑，即凡是有助于識別特定自然人的信息均為個人信息，而不論是直接識別抑或間接識別；“識別+關聯(lián)”標準則不僅包括“從信息到個人”的辨識路徑，其還包括“從個人到信息”的辨識路徑，即在識別出特定自然人后，該自然人在活動中產生的相關信息均為個人信息。(27)參見王錫鋅、彭錞：《個人信息保護法律體系的憲法基礎》，載《清華法學》2021年第3期，第16頁。由此可見，在“識別+關聯(lián)”標準之下，個人信息的范圍將更為寬泛。

這里需要說明的是，關于個人信息的認定標準，在我國的法律體系中存在一個變化的過程：2012年《全國人大常委會關于加強網絡信息保護的決定》規(guī)定了“識別”標準；2016年通過的《網絡安全法》第76條承襲了這一標準，同時進一步明確“識別”包括“直接識別”和“間接識別”兩種情形；2017年兩高發(fā)布的《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》和2020年通過的《民法典》，大體上沿襲了《網絡安全法》第76條對于個人信息的立法界定；2021年通過的《個人信息保護法》則突破了這一傳統(tǒng)，規(guī)定了“識別+關聯(lián)”的認定標準。《個人信息保護法》作出上述突破并非毫無來由，而是深受域外法的影響，尤其是歐盟《一般數(shù)據(jù)保護條例》(GDPR)的影響——GDPR第4條就采用“識別+關聯(lián)”的標準對“個人數(shù)據(jù)”進行了界定。關于個人信息的認定和判斷，之所以需要規(guī)定“關聯(lián)”標準，是因為若僅規(guī)定“識別”標準，在實踐中對于信息主體的保護可能并不周全，存在一定的漏洞。隨著大數(shù)據(jù)分析技術深度嵌入社會生活以及共享技術的廣泛運用，大量不具有可識別性的信息能夠按照特定的算法被關聯(lián)、融合，進而能夠將相關信息與特定的個人相聯(lián)系。對此，若僅依據(jù)傳統(tǒng)的“識別”標準進行判斷，將無法予以妥善的應對和規(guī)制。(28)參見鄭曉劍：《個人信息的民法定位及保護模式》，載《法學》2021年第3期，第120頁。

在大數(shù)據(jù)分析處理技術并不發(fā)達的時代條件下，通過傳統(tǒng)的“識別”標準對個人信息進行認定和保護，較為公平合理，同時也具有效率方面的優(yōu)勢。但是，“在大數(shù)據(jù)時代，通過對數(shù)據(jù)進行融合與交叉驗證，可以通過多重不能識別信息主體的信息識別信息主體?！?29)劉迎霜：《大數(shù)據(jù)時代個人信息保護再思考》，載《社會科學》2019年第3期，第103頁。因此，在大數(shù)據(jù)時代，“識別”標準的不足開始顯現(xiàn)，而納入“關聯(lián)”標準的重要意義就在于：與可被識別的特定自然人有關的各種信息，都有可能被認定為是“個人信息”，從而可以恰當?shù)貜浹a“識別”標準之不足，能夠為信息主體提供更為周全、更具有針對性的法律保護。因此，從單一的“識別”標準走向“識別+關聯(lián)”標準，不僅標志著個人信息的認定范圍不斷擴大，而且也意味著個人信息保護水平漸趨提高。

由于《個人信息保護法》和《民法典》對于個人信息規(guī)定了兩種不同的認定標準，那么在實踐中難免會出現(xiàn)這樣的情況：依據(jù)《個人信息保護法》，有的信息依據(jù)“關聯(lián)”標準有可能被認定為屬于“個人信息”，而依據(jù)《民法典》，這樣的信息可能并不符合個人信息的認定“門檻”，從而只能被歸為一般信息或者普通信息而非個人信息的范疇。相關的信息能否被認定為是“個人信息”，對于信息處理者的行為自由以及具體的法律適用效果具有重大影響：若相關信息被認定為是個人信息，那么信息處理者就應當遵循《個人信息保護法》所規(guī)定的個人信息處理原則和基本規(guī)則對這類信息進行妥善處理；若相關信息被認定為是一般信息或者普通信息，那么信息處理者在對其進行處理時就享有較大的行為自由空間。

在實踐中，如何妥善應對上述問題，頗費思量。筆者以為，在通常情形下，無論是采納“識別”標準抑或“識別+關聯(lián)”標準，對于個人信息的認定及保護并無太大影響。但是，在具體的個案中，若采用“識別+關聯(lián)”標準更有利于保護信息主體的個人信息權益，那么就應優(yōu)先適用《個人信息保護法》。這種做法也符合強化個人信息保護的時代潮流和新法應當優(yōu)先適用的法律原則。

(二)個人信息之類型劃分

《個人信息保護法》將個人信息區(qū)分為敏感個人信息和非敏感個人信息兩類，并對敏感個人信息的處理設置特別規(guī)則。與之不同，《民法典》第1034條第3款則將個人信息區(qū)分為私密信息和非私密信息兩類，并規(guī)定私密信息適用有關隱私權的規(guī)定，只有在欠缺隱私權保護規(guī)定的情況下，才適用有關個人信息保護的規(guī)定。對此，人們難免產生這樣的疑惑：同樣是個人信息，為何要在立法上作出如此不同的類型區(qū)分？敏感個人信息與私密信息之間是什么樣的關系？可以說，這兩個問題若不能及時得到妥善回應及解答，將對個人信息保護法律體系產生直接沖擊，進而影響法律適用的明確性和安定性。

就上述第一個問題而言，立法者之所以要在《個人信息保護法》和《民法典》中對個人信息作出不同的類型區(qū)分，主要是因為相關立法的規(guī)范目的并不相同：敏感個人信息和非敏感個人信息是《個人信息保護法》從規(guī)范個人信息處理行為的角度所作的分類，其目的是提高信息處理者在處理敏感個人信息時的法定義務，同時也為了促進非敏感個人信息的合理利用；私密信息和非私密信息則是《民法典》從民事權益保護的角度對個人信息所作的分類，其目的是為了正確區(qū)分隱私權和個人信息權益的保護方法。(30)參見程嘯：《論我國個人信息保護法中的個人信息處理規(guī)則》，載《清華法學》2021年第3期，第70頁。由此可見，正是因為《個人信息保護法》和《民法典》具有不同的規(guī)范目的及價值取向，才有必要對個人信息作出不同的類型區(qū)分和法律調整。具體言之，在《民法典》中規(guī)定個人信息保護制度，面臨的首要問題是如何妥善協(xié)調其與隱私權之間的關系，因為傳統(tǒng)做法主要是通過隱私權的方式來保護個人信息。因此，要在隱私權制度之外，另行確立專門的個人信息保護制度，必須要明確二者的規(guī)范邏輯和法律適用關系。鑒于個人信息與隱私在判斷標準、范圍和保護方式等方面并不完全相同，但是二者在范圍上又確實存在一定的交叉，(31)參見黃薇主編：《中華人民共和國民法典人格權編釋義》，法律出版社2020年版，第196頁。為了明確交叉地帶的法律適用，《民法典》第1034條第3款規(guī)定，私密信息適用隱私權制度的相關規(guī)定，非私密信息則適用個人信息保護制度的相關規(guī)定，從而較好地解決了上述問題。

與《民法典》規(guī)定個人信息保護制度所面臨的上述問題不同，《個人信息保護法》的規(guī)范目的和價值取向在于妥善協(xié)調個人信息保護及利用之間的張力。也就是說，既要對個人信息給予妥善保護，同時又要促進個人信息得到合理利用。為此，有學者提出了“兩頭強化，三方平衡”的理論構想：所謂“兩頭強化”，是指強化個人敏感信息的保護和強化個人一般信息的利用；所謂“三方平衡”，是指實現(xiàn)個人對個人信息保護的利益、信息業(yè)者對個人信息利用的利益和國家管理社會的公共利益之間的平衡。(32)參見張新寶：《從隱私到個人信息：利益再衡量的理論與制度安排》，載《中國法學》2015年第3期，第50-52頁。這種構想對于《個人信息保護法》的立法目標和體系構造產生了重大影響，在一定程度上可以說，《個人信息保護法》就是上述理論構想的立法實踐，這也體現(xiàn)了立法與學說之間的良性互動。

就上述第二個問題而言，既然立法者基于不同的規(guī)范目的，針對個人信息作出了不同的類型區(qū)分，那么就需要對敏感個人信息與私密信息之間的關系進行妥善定位和解讀。對此，學者存在不同的理解。有的學者認為，基于我國文化傳統(tǒng)、社會普遍價值觀、法律傳統(tǒng)、風俗習慣等多重因素，個人敏感信息應被限縮為“個人敏感隱私信息”，即“關涉?zhèn)€人隱私核心領域、具有高度私密性、對其公開或利用將會對個人造成重大影響的個人信息”。(33)參見王洪亮：《〈民法典〉與信息社會》，載《政法論叢》2020年第4期，第7頁。按照這種解讀，敏感個人信息與私密信息之間是包含與被包含的關系，即私密信息包含敏感個人信息。也有學者認為，所謂的“敏感信息”“私密信息”，都是指那些信息主體不愿意為他人知曉的個人信息，雖然相關的概念稱謂可能不統(tǒng)一，但是其表述的意思并無二致。(34)參見張新寶：《個人信息收集：告知同意原則適用的限制》，載《比較法研究》2019年第6期，第9頁。按照這種解讀，敏感個人信息與私密信息之間沒有本質區(qū)別，二者是同義詞，在范圍上是重合關系。

由此可見，敏感個人信息與私密信息之間究竟是什么關系，學者間存在不同的解讀，相關立法亦未予以明確。這個問題的實踐價值在于：對于敏感個人信息可否適用民法上的隱私權制度給予保護以及處理私密信息的時候是否需要遵循《個人信息保護法》針對敏感個人信息所確立的處理規(guī)則。筆者以為，敏感個人信息與私密信息并非依據(jù)同一標準進行劃分，故而難以對二者的關系作出抽象的、一般性的論定，應當回歸到個案的具體情境，結合各自的概念文義及規(guī)范目的予以妥善判斷。具體言之，針對敏感個人信息可否適用隱私權制度給予保護這個問題，應當依據(jù)隱私權保護的相關規(guī)定，判斷相關敏感個人信息是否符合隱私權保護規(guī)定對于私密信息的立法界定及隱私制度的規(guī)范目的：若符合，當然可以適用隱私權的相關規(guī)定；反之，則只能適用民法和其他法律關于個人信息保護的規(guī)定。同理，信息處理者在處理私密信息的時候，除了需要遵循隱私權保護的相關規(guī)定，至于其是否還需要遵循《個人信息保護法》針對敏感個人信息所確立的處理規(guī)則，則要具體分析相關私密信息是否符合《個人信息保護法》針對敏感個人信息所作的立法界定及相應的規(guī)范目的。

(三)已公開的個人信息處理規(guī)則

所謂已公開的個人信息，是指那些經由信息主體自行公開或者其他方式合法公開的個人信息。據(jù)此，只要不是信息主體自行公開的個人信息以及不是合法公開的個人信息，均不能被視為已公開的個人信息。對于已公開的個人信息處理規(guī)則，《個人信息保護法》和《民法典》均作出了明確規(guī)定，不過二者并不完全一致，需要妥善協(xié)調。

依據(jù)《個人信息保護法》第27條之規(guī)定，在個人信息已經通過信息主體自行公開或者依法公開的情況下，信息處理者可以在合理范圍內對其進行處理，但是個人明確拒絕的除外；若處理已公開的個人信息將會對信息主體的個人權益造成重大影響的，則需要取得信息主體同意。在這里，《個人信息保護法》針對已公開的個人信息確立了如下處理規(guī)則：原則上信息處理者不必取得信息主體同意，即可在合理范圍內處理已公開的個人信息，但是如果信息主體對此明確表示拒絕的，則不得處理；若處理已公開的個人信息將會損及信息主體的個人權益時，則必須取得信息主體的明確同意。

《民法典》第1036條規(guī)定，合理處理自然人自行公開的或者其他已經合法公開的信息，行為人不必承擔民事責任，但是該自然人明確拒絕或者處理該信息侵害其重大利益的除外。在這里，《民法典》為已公開的個人信息處理規(guī)則確立了兩項除外條件：若該自然人明確拒絕的，不得處理；若處理該信息侵害其重大利益的，不得處理。否則，行為人將要承擔相應的民事責任。這意味著在處理公開信息侵害信息主體重大利益的情形下，處理者即便取得了信息主體同意，其也不得進行處理。(35)參見石佳友：《個人信息保護法與民法典如何銜接協(xié)調》，載《人民論壇》2021年第2期，第93頁。

對比上述規(guī)定可以發(fā)現(xiàn)，《個人信息保護法》第27條和《民法典》第1036條存在著較為明顯的體系沖突：依據(jù)前者，若信息處理者利用已公開的個人信息從事對信息主體的個人權益有重大影響的活動，只要其能夠依法取得信息主體同意，則相關的信息處理行為便具有了合法性，處理者可不必承擔法律責任；依據(jù)后者，只要處理已公開的個人信息侵害信息主體重大利益的，信息處理者即不得實施相關行為，也不能通過取得信息主體同意的方式使相關行為具有合法性。

上述體系沖突的背后隱含著價值評價上的矛盾：在信息主體的個人權益和信息處理者的行為自由發(fā)生沖突的時候，《民法典》第1036條選擇的是優(yōu)先保護信息主體的個人權益，而《個人信息保護法》第27條則試圖調和這兩項法律價值之間的緊張關系，在尊重信息主體自主決定(同意)的基礎上，適當保護信息處理者的行為自由。在實踐中，如何妥善解決上述體系沖突和價值評價矛盾，值得認真研究。本來，對于立法上形成的體系沖突和價值評價矛盾，最佳的解決方案是通過立法的途徑予以徹底消除，以維護法律秩序的統(tǒng)一性。但是，考慮到《個人信息保護法》剛剛通過，馬上就對其進行修改并不現(xiàn)實，只能在司法適用中對其加以適當緩和。

筆者以為，在處理已公開的個人信息的時候，究竟應適用《民法典》第1036條抑或《個人信息保護法》第27條，不能簡單地按照“新法優(yōu)于舊法”或者“特別規(guī)則優(yōu)于一般規(guī)則”的法律適用方法進行一般化的確定。因為，一方面，這兩個條款難以確定孰為一般規(guī)則、孰為特別規(guī)則；另一方面，若徑行適用作為“新法”的《個人信息保護法》第27條，那么意味著《民法典》第1036條的規(guī)范意旨將會被完全掏空，顯非合理。本文主張，較為妥善的應對方案是回歸個案的具體情境，運用“個案中之法益衡量”方法，以確定在個案中究竟應適用《民法典》第1036條抑或《個人信息保護法》第27條，以期獲得較為妥當?shù)姆蛇m用結果?！皞€案中之法益衡量”方法是拉倫茨提出的一種妥善協(xié)調個案中之法益沖突的法律方法，其在法學理論和法律實踐層面具有廣泛的適用余地和適用價值。由于資源有限而人的欲求無窮，故而不同主體在主張各自的權利或利益時往往存在著競爭乃至沖突，此乃法治社會的普遍現(xiàn)象。對此，拉倫茨指出：“一旦(權利或利益)沖突發(fā)生，為重建法律和平狀態(tài)，或者一種權利必須向另一種權利(或有關的利益)讓步，或者兩者在某一程度上必須各自讓步。于此，司法裁判根據(jù)它在具體情況下賦予各該法益的‘重要性’，來從事權利或法益的‘衡量’?！?36)[德]卡爾·拉倫茨：《法學方法論》，陳愛娥譯，商務印書館2003年版，第279頁。就本文而言，依據(jù)“個案中之法益衡量”方法，法官在個案中應當對相沖突的信息主體的個人信息權益和信息處理者的行為自由利益進行妥當權衡。權衡之結果，或者是信息主體的個人信息權益應當予以優(yōu)先保護，或者通過賦予信息主體同意權的方式對二者予以妥善調和。在此基礎上，選擇適當?shù)姆梢罁?jù)對個案作出妥當裁判。這樣一來，規(guī)范沖突即可得到妥善解決，法律秩序便可恢復和平。

當然，“個案中之法益衡量”方法也存在一定的不足之處：其不能為法官提供較為明確的指引，也不能對法官的裁量過程和結果作出較為有效的控制，因而法官不可避免地享有過大的自由裁量權。(37)參見鄭曉劍：《侵權損害賠償效果的彈性化構造》，載《武漢大學學報》2019年第4期，第141頁。因此，這一方法在具體適用的時候需要其他的知識資源尤其是比例原則的支持與配合。因為，比例原則的教義學功能就在于其可使權衡過程合理化和權衡內容具體化，(38)Vgl. Hans Hanau, Der Grundsatz der Verh?ltnism??igkeit als Schranke privater Gestaltungsmacht, Verlag Mohr Siebeck 2004, S.95.從而能夠促使諸種相互沖突的利益及法益和諧均衡。(39)Vgl. Harald Kreuz, Der Grundsatz der Ver?ltnism?ssigkeit im Arbeitskampfrecht, Verlag Duncker & Humblot 1988, S.35.對此，筆者已有相關探討，本文不再展開。

四、結論

現(xiàn)代以來，隨著信息技術的不斷發(fā)展，個人信息被他人非法侵害的現(xiàn)象愈演愈烈。雖然立法機關在《刑法》《消費者權益保護法》《網絡安全法》等諸多的部門法中對個人信息保護作出過一些規(guī)定，但是相關規(guī)定過于零散、不成體系。為此，《民法典》在人格權編通過六個條文初步構建了個人信息的民法保護體系。2021年8月，更為全面、系統(tǒng)的《個人信息保護法》順利通過，標志著我國建立起了一套內容科學、系統(tǒng)完備、體系嚴謹?shù)膫€人信息保護制度。當然，要妥善保護自然人的個人信息權益、促進個人信息的合理利用，不僅需要構建一個科學合理、系統(tǒng)完備的個人信息保護法律體系，而且需要相關立法之間能夠妥善協(xié)調，不能相互抵牾。因為，“《民法典》和《個人信息保護法》只有和其他法律有效協(xié)同，才能讓個人信息保護制度穩(wěn)定性和開放性兼?zhèn)??！?40)張彤：《論民法典編纂視角下的個人信息保護立法》，載《行政管理改革》2020年第2期，第34頁。為此，本文主要圍繞《個人信息保護法》與《民法典》之間的關系定位和立法協(xié)調展開探討，論證《個人信息保護法》并非《民法典》的特別法，同時從個人信息之概念界定、個人信息之類型劃分和已公開的個人信息處理規(guī)則等三個方面，對二者應予協(xié)調之具體內容及其路徑進行了初步探討，以期維護法律秩序的和諧、統(tǒng)一。