《個人信息保護(hù)法》的基本法定位與保護(hù)功能

《個人信息保護(hù)法》的基本法定位與保護(hù)功能

一、導(dǎo)言：《個人信息保護(hù)法》作為數(shù)字

化時代重要的現(xiàn)實(shí)立法

《中華人民共和國個人信息保護(hù)法》（以

下簡稱《個人信息保護(hù)法》）于2021年8月

20日頒布，貼合了我國數(shù)字化發(fā)展背景下每

個人最直接最現(xiàn)實(shí)的利益保護(hù)需要。個人信

息本身是網(wǎng)絡(luò)信息化時代開始凸顯的一種新

型的頗具基礎(chǔ)性的重要個人利益。早在2020

年10月13日提請首次審議時，《關(guān)于〈中

華人民共和國個人信息保護(hù)法（草案）〉的

說明》（以下簡稱《關(guān)于〈個人信息保護(hù)法

（草案）〉的說明》）就指出，“在信息化

時代，個人信息保護(hù)已成為廣大人民群眾最

關(guān)心最直接最現(xiàn)實(shí)的利益問題之一”，“制

定一部個人信息保護(hù)方面的專門法律，將廣

大人民群眾的個人信息權(quán)益實(shí)現(xiàn)好、維護(hù)好、

發(fā)展好，具有重要意義”?？梢?，《個人信

息保護(hù)法》是我國置身數(shù)字化時代不可或缺

的一項基礎(chǔ)性立法。

《個人信息保護(hù)法》在整個網(wǎng)絡(luò)信息法

律體系中占據(jù)最基礎(chǔ)的位置，個人信息保護(hù)

在網(wǎng)絡(luò)領(lǐng)域應(yīng)優(yōu)先受到關(guān)注，是網(wǎng)絡(luò)信息領(lǐng)

域法律形成和發(fā)展的重要體現(xiàn)。我國在《個

人信息保護(hù)法》出臺之前就制定了《網(wǎng)絡(luò)安

全法》《電子商務(wù)法》《數(shù)據(jù)安全法》等法

律，這些法律體現(xiàn)了網(wǎng)絡(luò)信息空間不同的規(guī)

范重點(diǎn)，但都沒有成為網(wǎng)絡(luò)信息領(lǐng)域法律的

體系基礎(chǔ)，《個人信息保護(hù)法》的出臺才填

補(bǔ)了這個空白。雖然對網(wǎng)絡(luò)信息空間的言論

自由、網(wǎng)絡(luò)安全、知識產(chǎn)權(quán)、電子商務(wù)等利

益的保護(hù)和規(guī)制也應(yīng)是網(wǎng)絡(luò)空間的規(guī)范重點(diǎn),

但從人本主義角度出發(fā)，由于個人信息保護(hù)

的需要最為基礎(chǔ)，所以《個人信息保護(hù)法》

是最重要、最必要的法律。

認(rèn)識《個人信息保護(hù)法》的基礎(chǔ)意義，

必須緊貼數(shù)字化時代背景，把握其蘊(yùn)含的最

基本需求和根本矛盾。近十年來，隨著網(wǎng)絡(luò)

信息科技的顛覆性發(fā)展，互聯(lián)網(wǎng)從簡單信息

化階段過渡到復(fù)雜數(shù)字化階段，大數(shù)據(jù)成為

了我們世界最主要的特點(diǎn)之一。早期互聯(lián)網(wǎng)

追求的是信息交互意義上的互聯(lián)互通，當(dāng)下

互聯(lián)網(wǎng)則更加追求基于移動手機(jī)、大數(shù)據(jù)、

云計算、人工智能、物聯(lián)網(wǎng)等新技術(shù)的數(shù)字

資源化實(shí)踐演化出的數(shù)字經(jīng)濟(jì)、數(shù)字社會和

數(shù)字管理的繁榮前景。一方面，數(shù)據(jù)變得吸

其重要，世界大國開始圍繞數(shù)據(jù)展開博弈，

數(shù)據(jù)資源成為新的戰(zhàn)略資源，大數(shù)據(jù)戰(zhàn)略上

升為國家戰(zhàn)略，我國也不例外；另一方面，

大數(shù)據(jù)戰(zhàn)略驅(qū)動下的網(wǎng)絡(luò)和數(shù)字的創(chuàng)新和應(yīng)

用，也衍生出層出不窮的問題，其中顯著問

題之一就是數(shù)字化發(fā)展和個人信息保護(hù)日益

陷入復(fù)雜的矛盾關(guān)系。個人信息因數(shù)字化發(fā)

展得以大量顯現(xiàn)和形成，并因其具有極高數(shù)

據(jù)化價值而備受產(chǎn)業(yè)和管理機(jī)構(gòu)的青睞，，'旦

同時也伴生了大量的對個人的負(fù)面效應(yīng)，特

別是未經(jīng)同意的個人信息處理和愈演愈烈的

濫用行為對個人帶來的損害或風(fēng)險。著名隱

私和個人信息法專家丹尼爾?索羅夫(Daniel

J.Solove)和保羅?斯瓦茨(Pau1M.

Schwartz)指出，“我們生活在一個由技術(shù)

形塑和信息推動的世界，技術(shù)設(shè)備一一如移

動電話、視頻和音頻記錄設(shè)備、計算機(jī)和互

聯(lián)網(wǎng)——已經(jīng)徹底改變了我們捕捉世界信息

和相互溝通的能力。信息是當(dāng)今社會的生命

線。我們的日常活動越來越多地涉及信息的

傳遞和記錄。政府在與個人出生、婚姻、財

產(chǎn)、法院訴訟、機(jī)動車輛、投票活動、犯罪

違規(guī)、專業(yè)許可和其他活動中記錄并收集了

大量的個人信息。私營部門還建立了龐大的

個人信息數(shù)據(jù)庫，用于營銷或準(zhǔn)備信用無

錄……這些新技術(shù)，加上政府和企業(yè)越來越

多地使用個人信息，對隱私保護(hù)提出了新的

挑戰(zhàn)?！睋Q言之，個人信息對個人具有越來

越重大的利益，個人信息也因此需要一種全

新的保護(hù)。

在此背景下，重視個人信息保護(hù)，將個

人信息保護(hù)立法確立為一種新型領(lǐng)域立法，

并系統(tǒng)性地加以規(guī)定，逐漸成為數(shù)字化時代

法律的新發(fā)展趨勢。據(jù)不完全統(tǒng)計，從上世

紀(jì)70年代至今，有關(guān)國際組織和歐盟等先后

出臺了關(guān)于個人信息保護(hù)的準(zhǔn)則、指導(dǎo)原則

和法規(guī)，全世界有140多個國家或地區(qū)出臺

了關(guān)于個人信息保護(hù)的法律。其中，歐盟、

日本、美國的個人信息保護(hù)立法最受關(guān)注，

影響較大。歐盟和日本呈現(xiàn)出制定個人信息

保護(hù)綜合基本法的趨勢，而美國個人信息保

護(hù)的立法發(fā)展雖然也非常顯著，但是從制定

法而言，美國聯(lián)邦層面因受到自身立法體制

影響，目前仍然是碎片化地推進(jìn)，不過州法

出現(xiàn)了制定綜合基本法的趨勢。與相關(guān)國家

或地區(qū)相比，我國《個人信息保護(hù)法》似乎

有些姍姍來遲。究其原因，不是我們忽視個

人信息保護(hù)的重要性，而是我國更追求水到

渠成的效果。正如全國人民代表大會憲法和

法律委員會在《關(guān)于〈中華人民共和國個人

信息保護(hù)法（草案）〉審議結(jié)果的報告》（以

下簡稱《關(guān)于〈個人信息保護(hù)法（草案））

審議結(jié)果報告》）中所言：“為加強(qiáng)個人信

息保護(hù)，維護(hù)人民群眾在網(wǎng)絡(luò)空間的合法權(quán)

益，并促進(jìn)信息合理利用，制定本法是必要

的，草案經(jīng)過兩次審議修改，已經(jīng)比較成熟J

此前，我國也存在應(yīng)對數(shù)字經(jīng)濟(jì)采取謹(jǐn)慎立

法的呼聲，希望以包容創(chuàng)新、漸進(jìn)規(guī)范的做

法，給予網(wǎng)絡(luò)和數(shù)字創(chuàng)新必要的窗口期。一

種頗具代表性的觀點(diǎn)認(rèn)為，盡管加強(qiáng)個人信

息保護(hù)已經(jīng)成為社會共識，但個人信息保護(hù)

極具爭議，其基本理論問題難以定論，因此

應(yīng)當(dāng)保持立法上的謹(jǐn)慎。上述呼聲反映到個

人信息保護(hù)上，就是希望立法不要過于嚴(yán)格，

而應(yīng)當(dāng)在充分甚至優(yōu)先支持網(wǎng)絡(luò)數(shù)字化快速

繁榮的條件下處理個人信息保護(hù)的需求。

此次《個人信息保護(hù)法》的面世，意味

著我國對數(shù)字化背景下個人信息保護(hù)的要求、

范圍、方式等做出了重要且系統(tǒng)的立法決斷。

當(dāng)然，此前在對個人信息保護(hù)系統(tǒng)立法存在

猶豫的情況下，我國仍針對現(xiàn)實(shí)突出的、亟

待解決的個人信息保護(hù)問題不斷適時修改或

者制定相關(guān)法律，階段性地跟進(jìn)，在刑法、

民法等基本法方面，都作出了相應(yīng)的規(guī)定。

刑事立法方面，2009年通過的《刑法修正案

（七）》增加了第253條之一，規(guī)定了出售、

非法提供公民個人信息罪和非法獲取公民個

人信息罪兩個罪名；2015年通過的《刑法修

正案（九）》第17條對刑法第253條之一再

次修改，取消了原來的兩個罪名，確立了侵

犯公民個人信息罪。民事立法方面，2020年

5月28日出臺的《民法典》，在第一編“總

則''第111條明確規(guī)定個人信息受法律保護(hù)，

同時在第四編“人格權(quán)”第六章專章規(guī)定“隱

私權(quán)和個人信息保護(hù)”，確立了個人信息保

護(hù)的基本私法制度。比較重要的涉及個人信

息保護(hù)的專門立法，則包括2012年《全國人

民代表大會常務(wù)委員會關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保

護(hù)的決定》、2016年《網(wǎng)絡(luò)安全法》、2018

年《電子商務(wù)法》、2021年《數(shù)據(jù)安全法》

等。

新出臺的《個人信息保護(hù)法》具有劃時

代的意義，其與此前階段性的努力存在重要

差異。《關(guān)于〈個人信息保護(hù)法（草案））

的說明》第一部分“制定本法的必要性”第

三點(diǎn)對此進(jìn)行了充分說明。詳言之，即不再

只突出支持?jǐn)?shù)字化創(chuàng)新發(fā)展，而是明確以“促

進(jìn)數(shù)字經(jīng)濟(jì)健康發(fā)展”為目標(biāo)，要求“應(yīng)當(dāng)

統(tǒng)籌個人信息保護(hù)與利用，通過立法建立權(quán)

責(zé)明確、保護(hù)有效、利用規(guī)范的制度規(guī)則，

在保障個人信息權(quán)益的基礎(chǔ)上，促進(jìn)信息數(shù)

據(jù)依法合理有效利用”，實(shí)現(xiàn)了從促進(jìn)數(shù)字

化創(chuàng)新發(fā)展到個人信息保護(hù)與利用并重的重

要跨越。那么，應(yīng)當(dāng)如何解讀這部立法做出

的重要跨越呢？或者說如何準(zhǔn)確認(rèn)識它的基

本體系和主要制度呢？與過去比較，有哪些

重要的發(fā)展和變化？與其他國家比較又存在

哪些重要的相同和不同之處呢？就此可謂仁

者見仁，智者見智。本文擬從《個人信息保

護(hù)法》的定位、功能預(yù)設(shè)等角度對其加以審

視，旨在彰顯其主要體系的基礎(chǔ)，并借此反

映法律體系及其功能正在發(fā)生的急劇演化歷

程。

二、《個人信息保護(hù)法》的基本法定位及

其與《民法典》的關(guān)系

(-)作為與其他基本法具有并存地位

的新型領(lǐng)域基本法

《個人信息保護(hù)法》第1條開宗明義池

規(guī)定了自己的基本宗旨和制定根據(jù)，”為了

保護(hù)個人信息權(quán)益，規(guī)范個人信息處理活動，

促進(jìn)個人信息合理利用，根據(jù)憲法，制定本

法”。這一宣示明確將《個人信息保護(hù)法》

定位為個人信息新型領(lǐng)域的專門法暨基本法。

首先，該法的基本宗旨明確了其是個人

信息領(lǐng)域的專門法，即屬于“為了保護(hù)個人

信息權(quán)益，規(guī)范個人信息處理活動，促進(jìn)個

人信息合理利用”的法律。個人信息領(lǐng)域是

否具有制定專門法的必要，過去并非沒有爭

議。網(wǎng)絡(luò)立法早期，美國曾經(jīng)出現(xiàn)過所謂的

“馬法之爭”，以知名學(xué)者因斯布魯克(Frank

H.Easterbrook)為代表的一種觀點(diǎn)認(rèn)為，

對網(wǎng)絡(luò)領(lǐng)域像勞動法那樣進(jìn)行專門立法毫無

必要，無論是從調(diào)整對象還是調(diào)整手段上看，

網(wǎng)絡(luò)法都不具備成為獨(dú)立法律部門的條件，

所謂網(wǎng)絡(luò)法不過是將相關(guān)部門法的某些部分

合起來罷了。這種觀點(diǎn)遭到了網(wǎng)絡(luò)法領(lǐng)域?qū)W

者的反對，后者更有力地論證了網(wǎng)絡(luò)法單獨(dú)

立法的必要性。后種觀點(diǎn)認(rèn)為，網(wǎng)絡(luò)空間是

一個正在快速成長的特殊空間，涌現(xiàn)出許多

傳統(tǒng)領(lǐng)域所不具有但又經(jīng)常出現(xiàn)的法律問題，

傳統(tǒng)法律并不能調(diào)整，因此應(yīng)該將網(wǎng)絡(luò)法創(chuàng)

設(shè)為一個新的有機(jī)整體，而不能是憲法、民

事訴訟法、合同法以及行政法等法律法規(guī)中

的相關(guān)內(nèi)容的簡單混合。隨著大數(shù)據(jù)背景下

信息化、數(shù)字化的不斷發(fā)展，個人信息保護(hù)

等問題作為需要規(guī)制的新型問題顯示出越來

越迫切而重大的獨(dú)立立法需求，上述爭議才

逐漸消失了?，F(xiàn)在，各國已不再猶豫是否出

臺包括個人信息保護(hù)法在內(nèi)的網(wǎng)絡(luò)信息立法,

需要考慮的已變成應(yīng)該如何確保相關(guān)專門立

法具有適時性和合理性等新問題。歐盟在

2000年的《基本權(quán)利憲章》專門設(shè)定第8條，

賦予個人數(shù)據(jù)保護(hù)具有獨(dú)立基本權(quán)利的品格,

甚至為個人信息保護(hù)確立了憲法上的直接依

據(jù)，并在此基礎(chǔ)上制定了專門的《歐盟一般

數(shù)據(jù)保護(hù)條例》（以下簡稱GDPR）o美國聯(lián)

邦和州的法律實(shí)踐則采取了積極解釋憲法并

將其作為個人信息保護(hù)基礎(chǔ)的做法，主流觀

點(diǎn)和判例認(rèn)為美國聯(lián)邦憲法第四修正案體現(xiàn)

的隱私權(quán)應(yīng)當(dāng)包括對個人信息的保護(hù)，可以

將個人信息歸入信息隱私的范疇。我國2020

年出臺的《民法典》，以追求合乎“時代性”

為要求，在第四編“人格權(quán)”第六章創(chuàng)設(shè)“個

人信息保護(hù)”，確立了有關(guān)個人信息保護(hù)的

基本私法制度，但很快發(fā)現(xiàn)依靠部門法對個

人信息保護(hù)進(jìn)行調(diào)整存在巨大不足，無論是

從調(diào)整對象還是調(diào)整方法上看，都有必要針

對個人信息保護(hù)制定一部專門的更加系統(tǒng)的

法律，為此我國又出臺了《個人信息保護(hù)法》。

可見，《個人信息保護(hù)法》是對個人信息保

護(hù)這一新型領(lǐng)域獨(dú)立立法需求的積極回應(yīng)。

其次，該條明確規(guī)定“根據(jù)憲法，制定

本法”，這是我國現(xiàn)行網(wǎng)絡(luò)法律中唯一一部

直接表明“根據(jù)憲法”制定的法律。此處“限

據(jù)憲法”的表述，不僅具有程序意義，而且

也具有實(shí)質(zhì)意義。全國人民代表大會憲法和

法律委員在《關(guān)于〈個人信息保護(hù)法（草案））

審議結(jié)果報告》中做出了說明，指出個人信

息保護(hù)法直接依據(jù)于《憲法》所確立的保障

公民的人格尊嚴(yán)和其他權(quán)益的要求，即國家

尊重和保障人權(quán)、公民的人格尊嚴(yán)不受侵犯、

公民的通信自由和通信秘密受法律保護(hù)三項

規(guī)定。這表明，該法不僅是個人信息保護(hù)領(lǐng)

域的基本法，也是整個網(wǎng)絡(luò)信息法律體系的

基本法，同時也是與刑法、民法等基本法具

有并存地位的基本法。在立法過程中，有過

關(guān)于個人信息保護(hù)法與現(xiàn)行刑法、民法關(guān)系

的討論。有觀點(diǎn)建議將之設(shè)計為民法典的單

行法，作為《民法典》中有關(guān)個人信息保護(hù)

基本私法制度的具體化法律。但相反的觀點(diǎn)

認(rèn)為，個人信息保護(hù)法是嶄新的法律部門，

作為正在興起的網(wǎng)絡(luò)信息法的核心組成部分,

不能將《個人信息保護(hù)法》簡單地理解為《民

法典》的下勺法，個人信息保護(hù)與人格權(quán)保

護(hù)是兩個不同的問題，”將傳統(tǒng)的人格權(quán)理

論和制度套用到個人信息保護(hù)領(lǐng)域，必然出

現(xiàn)各種不適配問題”，“只有科學(xué)認(rèn)識這兩

部法律的關(guān)系，才能使個人信息保護(hù)法針對

信息時代個人信息保護(hù)所面臨的現(xiàn)實(shí)問題，

設(shè)計相應(yīng)有針對性的制度，而不是被傳統(tǒng)民

事法律制度所束縛”?！秱€人信息保護(hù)法》

放棄了作為《民法典》下位單行法的定位，

通過直接標(biāo)示“根據(jù)憲法，制定本法”，將

自身設(shè)定為與刑法、民法基本法具有同等地

位的個人信息保護(hù)領(lǐng)域的基本法。由此，《個

人信息保護(hù)法》和刑民基本法形成一種并存

交叉關(guān)系，而非隸屬關(guān)系?！秱€人信息保護(hù)

法》與刑民基本法之間的相互關(guān)系，不能通

過一般法和特殊法的模式來處理，而應(yīng)通過

相互的轉(zhuǎn)介條款來進(jìn)行指引或銜接。

在此意義上，《個人信息保護(hù)法》對現(xiàn)

行法律體系具有一種不可忽視的新的體系建

構(gòu)作用，并形成了重要的體系發(fā)展。首先，

這意味著在數(shù)字化時代，我們既有的法律體

系發(fā)展出一個新的獨(dú)立部分，即個人信息保

護(hù)法以及以之為基礎(chǔ)的網(wǎng)絡(luò)法。在該獨(dú)立法

域，《個人信息保護(hù)法》居于最基礎(chǔ)的地位，

比《網(wǎng)絡(luò)安全法》《電子商務(wù)法》《數(shù)據(jù)安

全法》等其他網(wǎng)絡(luò)法律具有更高的地位，其

不僅僅是個人信息保護(hù)領(lǐng)域的基本法，也是

整個網(wǎng)絡(luò)信息法或者網(wǎng)絡(luò)空間法的基本法。

作為領(lǐng)域基本法，它與其他網(wǎng)絡(luò)法律的關(guān)系，

既有一般法與特殊法的關(guān)系，也有新法與舊

法的關(guān)系，還存在上位法與下位法的關(guān)系。

其次，這也意味著在數(shù)字化時代，個人信息

保護(hù)法作為本領(lǐng)域基本法，具有獨(dú)立地位，

與刑民基本法具有平等的法律地位，不能被

看成是這些基本法的下位法。它雖然與刑法、

民法難免發(fā)生交叉關(guān)系，但是其作為獨(dú)立法

律的核心內(nèi)容，即體現(xiàn)在《個人信息保護(hù)法》

中的主要制度，卻是根源于自身領(lǐng)域的特殊

規(guī)范需求，體現(xiàn)著自身特殊的調(diào)整特點(diǎn)，有

自己獨(dú)立的范疇和邏輯訴求。

（二）作為新型領(lǐng)域基本法與《民法典》

相關(guān)規(guī)定的體系關(guān)系

《民法典》作為我國當(dāng)前法律體系中唯

一一部冠以“法典”之名的民事基本法，《個

人信息保護(hù)法》必須對其予以充分尊重。這

不僅是法律之間必須保持基本協(xié)調(diào)之要求，

也是由《民法典》“固根本、穩(wěn)預(yù)期、利長

遠(yuǎn)的基礎(chǔ)性法律”地位所決定的。事實(shí)上，

《個人信息保護(hù)法》在起草過程中，就已經(jīng)

與《民法典》的相關(guān)規(guī)定進(jìn)行了一定程度的

協(xié)調(diào)。但是又應(yīng)當(dāng)注意，《個人信息保護(hù)法》

是“根據(jù)憲法”制定的具有基本法地位的法

律，應(yīng)當(dāng)維護(hù)其獨(dú)立地位，在充分尊重民法

典而對相關(guān)規(guī)定進(jìn)行協(xié)調(diào)的同時，也必須明

確這種尊重是有限度的，不得違背并存關(guān)系

的基本要求。

首先，作為并存的基本法，兩部法律在

適用于相同主題事項上時應(yīng)該保持體系融貫。

這種融貫的基礎(chǔ)不是依據(jù)一般法與特殊單行

法的關(guān)系，而是以二者之間的并存地位為基

礎(chǔ)，二者的立法與適用應(yīng)平等協(xié)調(diào)、互為補(bǔ)

充?！睹穹ǖ洹穼€人信息保護(hù)作出了基本

規(guī)定，我們可以將之定性為關(guān)于個人信息保

護(hù)的基本民事制度，主要體現(xiàn)在第一編“總

則”第五章“民事權(quán)利”的第111條、第127

條和第四編“人格權(quán)”第六章“隱私權(quán)和個

人信息保護(hù)”的有關(guān)規(guī)定?！睹穹ǖ洹吩?/p>

計劃從人格權(quán)益角度確立個人信息保護(hù)制度，

但在“個人信息保護(hù)”名義下，第六章第1034

條到1039條的規(guī)范內(nèi)容卻包括了關(guān)于個人

信息的權(quán)利、個人信息處理者的義務(wù)以及相

關(guān)處理行為規(guī)范、免責(zé)事由和國家機(jī)關(guān)等具

有公共職能主體的特殊義務(wù)。從體系角度而

言，《民法典》第六章相關(guān)基礎(chǔ)規(guī)范沒有特

殊規(guī)定的，都要回溯到人格權(quán)和民事權(quán)利的

一般規(guī)定加以補(bǔ)全，相關(guān)民事責(zé)任和保護(hù)方

式?jīng)]有特殊規(guī)范的，則要與侵權(quán)責(zé)任編相關(guān)

規(guī)定和民事責(zé)任的一般規(guī)定相銜接。具體而

言：

其一，應(yīng)注意《民法典》提出了將個人

信息保護(hù)和數(shù)據(jù)保護(hù)并置的原則思路（第111

條和第127條）。這些在《個人信息保護(hù)法》

中并沒有被排除，在適用中也應(yīng)該成為個人

信息保護(hù)的更高體系架構(gòu)?！睹穹ǖ洹返?11

條第一句話宣示個人信息受法律保護(hù)，第二

句話對需要獲取他人個人信息的任何組織或

個人的活動設(shè)定了行為規(guī)范，可以將其解釋

為個人信息獲取者的三項行為義務(wù)，包括一

項“應(yīng)為”的作為義務(wù)（應(yīng)當(dāng)依法取得并確

保信息安全）和兩項“禁止”的不作為義務(wù)

（不得非法收集、使用、加工、傳輸他人的

個人信息，不得非法買賣、提供或者公開他

人個人信息）?！睹穹ǖ洹返?27條與第111

條并存而立，規(guī)定“法律對數(shù)據(jù)、網(wǎng)絡(luò)虛擬

財產(chǎn)的保護(hù)有規(guī)定的，依照其規(guī)定”，明確

了數(shù)據(jù)與個人信息具有保護(hù)上的并置關(guān)系。

立法部門在未來也有制定數(shù)據(jù)保護(hù)法的可能。

其二，應(yīng)注意《民法典》區(qū)分規(guī)定了隱

私權(quán)和個人信息保護(hù)。《民法典》第四編第

六章明確將隱私權(quán)和個人信息保護(hù)區(qū)分開來。

這種做法形式上與歐盟相似，而不同于美國

將個人信息納入隱私權(quán)的信息隱私范疇加以

保護(hù)的做法c《民法典》第1032條確立隱私

權(quán)及隱私范疇，第1034條則確立個人信息保

護(hù)及個人信息范疇。這里，作為隱私權(quán)保護(hù)

對象的隱私，指向的是私人生活安寧和相關(guān)

私密領(lǐng)域，顯然不僅僅是私密信息，其既有

物理意義的身體隱私和社會意義的空間隱私，

也有信息意義的隱私。而作為個人信息保護(hù)

對象的個人信息，則被界定為可識別個人的

各種信息?？梢钥吹剑瑑烧呒扔忻黠@的區(qū)分，

同時也有交叉，在信息隱私領(lǐng)域，個人信息

涵蓋了信息隱私。也就是說，個人不愿為他人

知曉的私密信息雖然應(yīng)當(dāng)劃入隱私權(quán)的范疇，

但同時也屬于個人信息保護(hù)的對象。《民法

典》第1034條第3款明確二者的法律適用關(guān)

系是，將隱私權(quán)規(guī)定視為特殊規(guī)定，個人信

息保護(hù)規(guī)定視為一般規(guī)定，沒有特殊規(guī)定的，

適用個人信息保護(hù)的規(guī)定。上述區(qū)分隱私權(quán)

和個人信息以及處理二者交叉關(guān)系的規(guī)則當(dāng)

然也應(yīng)該為《個人信息保護(hù)法》所尊重。

其三，《個人信息保護(hù)法》和《民法典》

有意通過設(shè)計相關(guān)不完全規(guī)定或引介規(guī)定，

連接相互體系，對接各自的規(guī)定。比如，《個

人信息保護(hù)法》第69條規(guī)定，”處理個人信

息侵害個人信息權(quán)益造成損害，個人信息處

理者不能證明自己沒有過錯的，應(yīng)當(dāng)承擔(dān)損

害賠償?shù)惹謾?quán)責(zé)任”。除了將過錯推定作為

歸責(zé)原則外，該條還通過指向侵權(quán)責(zé)任的方

式使自己與《民法典》有關(guān)侵權(quán)責(zé)任的規(guī)定

聯(lián)系起來?！睹穹ǖ洹芬灿蓄愃频囊?guī)定，例

如，第1037條第2款規(guī)定：“自然人發(fā)現(xiàn)信

息處理者違反法律、行政法規(guī)的規(guī)定或者雙

方的約定處理其個人信息的，有權(quán)請求信息

處理者及時刪除?！逼渲?，“法律”當(dāng)然也

包括現(xiàn)在出臺的《個人信息保護(hù)法》。另外，

《個人信息保護(hù)法》不僅通過引介規(guī)定與《民

法典》相關(guān)規(guī)定對接，也通過引介規(guī)定與刑

法、治安管理處罰法或行政法對接。例如，

《個人信息保護(hù)法》第71條直接將違法責(zé)任

與《治安管理處罰法》和《刑法》對接起來。

其次，《個人信息保護(hù)法》與《民典法》

作為并存基本法，在個人信息保護(hù)制度設(shè)計

上存在明顯差異，對此應(yīng)當(dāng)從維護(hù)《個人信

息保護(hù)法》作為具有獨(dú)立并存地位的基本法

的角度來處理這些差異規(guī)定的適用問題，對

差異規(guī)定應(yīng)適用功能評價原則進(jìn)行區(qū)分。鑒

于《個人信息保護(hù)法》屬于本領(lǐng)域新法，相

較于《民法典》，如果屬于修補(bǔ)的差異，應(yīng)

優(yōu)先適用修補(bǔ)規(guī)定；如果不屬于修補(bǔ)的差異，

則互補(bǔ)適用。兩部法律的差異，很大部分是

由二者的功能差異決定的，筆者將在后文展

開具體研究?！秱€人信息保護(hù)法》不僅在調(diào)

整方法上具有綜合立法的特點(diǎn)，而且在具體

規(guī)則設(shè)計上也存在較為明顯的功能差異面向。

從調(diào)整方法上看，相比作為部門法的民法，

個人信息保護(hù)法融合了多種不同性質(zhì)的調(diào)整

方法，其保護(hù)制度不只是民事的，而是多種

面向的，包括行政的、刑事的甚至訴訟程序

方面的保護(hù)制度，也包括涉外的保護(hù)規(guī)則。

從功能差異來看，《個人信息保護(hù)法》的保

護(hù)制度顯然不是相關(guān)部門法規(guī)則的具體化和

特殊化，而是基于自身復(fù)雜的特殊調(diào)整功能

進(jìn)行的新的體系規(guī)則建構(gòu)。比如，針對個人

信息處理者的義務(wù)，《個人信息保護(hù)法》除

規(guī)定了私法義務(wù)外，還增加了管理義務(wù)；并

涉及履行個人信息保護(hù)職責(zé)的部門規(guī)范（涉

及部門分工、職責(zé)、管理、執(zhí)法等管理規(guī)定），

這實(shí)際上屬于《個人信息保護(hù)法》為充分體

現(xiàn)其管理保護(hù)功能的增強(qiáng)制度。這些都旨在

建構(gòu)個人信息保護(hù)的新機(jī)制，是《民法典》

所沒有的。對此，當(dāng)然應(yīng)從功能評價的角度

加以適用，不能因?yàn)椤睹穹ǖ洹窙]有規(guī)定就

予以否定。

當(dāng)然，有些差異可能與功能預(yù)設(shè)無關(guān)，

而純屬于兩部法律之間的體系矛盾。對此，

原則上應(yīng)該首先堅持并存協(xié)調(diào)的原則加以調(diào)

和，如果確實(shí)存在難以調(diào)和的矛盾，則宜采

取新法優(yōu)于舊法的原則（而非特別法優(yōu)于一

般法或上位法優(yōu)于下位法的規(guī)則）進(jìn)行體系

平衡。在此，《個人信息保護(hù)法》即為新法。

三、《個人信息保護(hù)法》對《民法典》個

人信息保護(hù)私法制度的重要修補(bǔ)

立法者從《個人信息保護(hù)法》是與刑民

基本法具有并存地位的領(lǐng)域基本法這一定位

出發(fā)，結(jié)合現(xiàn)實(shí)需求，對《個人信息保護(hù)法》

作出了兩方面的建構(gòu)：一方面，從領(lǐng)域法的

全功能體系出發(fā)，建立了系統(tǒng)化的個人信息

保護(hù)制度；另一方面，對《民法典》中個人

信息保護(hù)的相關(guān)私法制度作出了更加完善的

規(guī)定。如果發(fā)現(xiàn)《民法典》的規(guī)定存在不足

應(yīng)當(dāng)修補(bǔ)的，就果斷予以修補(bǔ)。具體而言，

《個人信息保護(hù)法》無論是在個人信息等概

念上，還是在相關(guān)權(quán)利和義務(wù)的規(guī)定上都對

《民法典》的相關(guān)規(guī)定進(jìn)行了重要的修補(bǔ)，

而不只是簡單細(xì)化和補(bǔ)充。這些修補(bǔ)不能被

視為是對《民法典》的違反或抵觸，而應(yīng)該

被視為是有效的合理的修改和完善。

(-)關(guān)于個人信息等概念的修補(bǔ)

《民法典》通過第1034條第2款闡釋了

個人信息的內(nèi)涵，即“個人信息是以電子或

者其他方式記錄的能夠單獨(dú)或者與其他信息

結(jié)合識別特定自然人的各種信息，包括自然

人的姓名、出生日期、身份證件號碼、生物

識別信息、住址、電話號碼、電子郵箱、健

康信息、行蹤信息等”?！秱€人信息保護(hù)法》

第4條第1款也對“個人信息”進(jìn)行了界定：

“個人信息是以電子或者其他方式記錄的與

已識別或者可識別的自然人有關(guān)的各種信息,

不包括匿名化處理后的信息?！毕噍^而言，

后者不僅表述更加簡潔，而且在范圍上也有

明顯變化，明確排除了“匿名化處理后的信

息”，也就是說匿名化處理后的信息不再屬

于個人信息的范疇，自然也就不再適用《個

人信息保護(hù)法》。關(guān)于匿名化，《個人信息

保護(hù)法》第73條第3項作了嚴(yán)格界定，”匿

名化，是指個人信息經(jīng)過處理無法識別特定

自然人且不能復(fù)原的過程”，與程度較低的

第4項規(guī)定的“去標(biāo)識化”相區(qū)別，“去標(biāo)

識化，是指個人信息經(jīng)過處理，使其在不借

助額外信息的情況下無法識別特定自然人的

過程”?？梢?，《個人信息保護(hù)法》關(guān)于個

人信息的概念界定，對《民法典》個人信息

的定義做出了不可忽略的修補(bǔ)。

由于《個人信息保護(hù)法》對個人信息的

概念界定僅僅進(jìn)行抽象說明而沒有采取列舉

加概括的定義方式，此項修補(bǔ)一方面與《民

法典》相比顯得更為模糊；但另一方面，明

確將匿名化處理后的信息排除在個人信息的

保護(hù)范圍外，對執(zhí)行匿名化的個人信息處理

者是極大的利好，鼓勵了他們積極開發(fā)和應(yīng)

用符合要求的匿名化處理技術(shù)?！秱€人信息

保護(hù)法》第4條第2款還重新界定了個人信

息的處理范圍，包括“個人信息的收集、存

儲、使用、加工、傳輸、提供、公開、刪除

等”，對比《民法典》第1035條第2款的養(yǎng)

定，即“個人信息的處理包括個人信息的收

集、存儲、使用、加工、傳輸、提供、公開

等”，明顯增加了對“刪除”的列舉，這就

使得“刪除”明確進(jìn)入應(yīng)當(dāng)受到規(guī)范的個人

信息處理活動的范圍。

（二）關(guān)于對自然人個人信息的權(quán)利的

修補(bǔ)和增加

《民法典》第1037條規(guī)定了自然人對其

個人信息享有的相關(guān)權(quán)利，其中第1款規(guī)定

了查閱或者復(fù)制的權(quán)利、針對錯誤信息提出

異議并請求及時更正的權(quán)利；第2款規(guī)定了

在信息處理者違法或違反約定處理個人信息

情形下的請求刪除的權(quán)利。對比而言，《個

人信息保護(hù)法》規(guī)定的個人信息的權(quán)利范圍

有了明顯的擴(kuò)展。一方面，《個人信息保護(hù)

法》通過第45條第1款和第2款（查閱權(quán)、

復(fù)制權(quán)）、第46條第1款和第2款（從更正

權(quán)發(fā)展為更正補(bǔ)充權(quán)）和第47條（刪除權(quán)）

的規(guī)定，確認(rèn)《民法典》已經(jīng)明確的有關(guān)個

人信息的權(quán)利，并且做出了進(jìn)一步完善；另

一方面，還通過第44條增加規(guī)定了知情權(quán)、

決定權(quán)、限制和拒絕他人處理權(quán)，通過第45

條第3款增加了可攜帶權(quán)，通過第48條增加

了請求解釋權(quán)?！吨腥A人民共和國個人信息

保護(hù)法（草案）》（二次審議稿）［以下簡

稱為《個人信息保護(hù)法（草案）》（二次審

議稿）］還規(guī)定了對死者個人信息的保護(hù)，

《中華人民共和國個人信息保護(hù)法（草案）》

（三次審議稿）［以下簡稱為《個人信息保

護(hù)法（草案）》（三次審議稿）1完善為自

然人死后個人信息由其近親屬在一定范圍獲

得保護(hù)，并尊重死者生前的安排。值得說明

的是可攜帶權(quán)，《個人信息保護(hù)法（草案）》

（三次審議稿）才對該項權(quán)利的增設(shè)做出決

斷，《關(guān)于〈個人信息保護(hù)法（草案）〉審

議結(jié)果報告》第七項對確立可攜帶權(quán)的由來

進(jìn)行了詳細(xì)說明。立法過程曲折的主要原因

是學(xué)界和產(chǎn)業(yè)界對是否引入歐美國家的可攜

帶權(quán)存在疑慮，其中反對觀點(diǎn)認(rèn)為如果引入

會給我國個人信息處理者帶來巨大負(fù)擔(dān)，不

利于產(chǎn)業(yè)發(fā)展。立法者最終決定引入數(shù)據(jù)可

攜帶權(quán)，這對于維護(hù)數(shù)據(jù)市場的公平競爭具

有積極意義。數(shù)據(jù)企業(yè)特別是頭部企業(yè)任意

進(jìn)行數(shù)據(jù)封鎖，阻斷數(shù)據(jù)流通，甚至進(jìn)行數(shù)

據(jù)壟斷，從反不當(dāng)競爭和反壟斷的角度看業(yè)

已成為一種現(xiàn)實(shí)危害。國家市場監(jiān)督管理總

局于2021年8月17日發(fā)布了《禁止網(wǎng)絡(luò)不

正當(dāng)競爭行為規(guī)定（公開征求意見稿）》，

對互聯(lián)網(wǎng)經(jīng)營者利用技術(shù)手段影響用戶選擇,

包括實(shí)施平臺封禁、大數(shù)據(jù)殺熟、向用戶頻

繁彈窗等新型網(wǎng)絡(luò)不正當(dāng)競爭行為進(jìn)行了分

類規(guī)制，以期增強(qiáng)《反不正當(dāng)競爭法》的適

用性。從司法實(shí)踐來看，目前一些典型判決

也確立了結(jié)合數(shù)據(jù)封鎖來分析是否構(gòu)成不正

當(dāng)競爭的觀點(diǎn)?？蓴y帶權(quán)有利于破除這種封

鎖，所以極有必要對其進(jìn)行規(guī)定。

關(guān)于個人信息保護(hù)的性質(zhì)及其基礎(chǔ)，一

直存在爭議。從比較法上看，不一而論。有

觀點(diǎn)從人格尊嚴(yán)與自由的角度出發(fā)，支持個

人信息自決權(quán)理論。但也有學(xué)者兼從社會功

能角度出發(fā)，認(rèn)為個人信息的權(quán)利不是絕對

的，而應(yīng)該結(jié)合其社會功能來理解，這種觀

點(diǎn)支持個人信息相關(guān)權(quán)利的分叉和具體功能

化，傾向兼顧人格價值和社會功能，從維護(hù)

個人在數(shù)字化時代的必要人格尊嚴(yán)和自由以

及維護(hù)公平實(shí)踐等角度，綜合設(shè)定和理解個

人信息權(quán)利°目前后一種觀點(diǎn)逐漸占據(jù)優(yōu)勢。

在美國，2018年《加利福尼亞州消費(fèi)者隱私

保護(hù)法》和2021年的《弗吉尼亞州消費(fèi)者數(shù)

據(jù)保護(hù)法》甚至把個人信息權(quán)利的重心轉(zhuǎn)移

到了公平實(shí)踐之上。在這種情況下，個人就

個人信息應(yīng)受保護(hù)的權(quán)益體現(xiàn)為在合理范圍

內(nèi)不受干涉和應(yīng)受公平利用對待的各種利益,

既包括對相關(guān)處理活動的必要知情權(quán)、同意

權(quán)或自主決定權(quán)等與尊嚴(yán)自由相關(guān)的一般人

格利益，也包括應(yīng)受公平和平等對待等的特

殊人格利益，甚至還包括因個人信息的經(jīng)濟(jì)

功能產(chǎn)生的財產(chǎn)化、可公開化的合理要求。

（三）關(guān)于個人信息處理者義務(wù)的修補(bǔ)

和增加

《民法典》第1038條設(shè)定了個人信息處

理者的一般私法義務(wù)，該條第1款規(guī)定了個

人信息處理者的兩項不作為義務(wù)，即禁止泄

露或篡改的義務(wù)和禁止未經(jīng)同意向他人非法

提供的義務(wù)；第2款規(guī)定了兩項作為義務(wù)，

即應(yīng)當(dāng)采取必要措施確保個人信息安全的義

務(wù)，以及在發(fā)生或者可能發(fā)生個人信息損害

時應(yīng)當(dāng)及時采取補(bǔ)救措施并按規(guī)定告知和報

告的義務(wù)。相比《民法典》這一規(guī)定，《個

人信息保護(hù)法》關(guān)于個人信息處理者義務(wù)的

規(guī)定，顯然有了巨大的完善，具有相當(dāng)范圍

的增量，既有私法義務(wù)規(guī)范，也有《民法典》

未規(guī)定的管理義務(wù)規(guī)范，形成了一個更加復(fù)

雜的與處理場景和安全風(fēng)險密切結(jié)合的多組

不同性質(zhì)義務(wù)相配合的體系，體現(xiàn)出義務(wù)人

自主管理和非自主管理的雙重性。

《個人信息保護(hù)法》第51條涉及的是私

法義務(wù)規(guī)范，對《民法典》第1038條的規(guī)定

進(jìn)行了一定的擴(kuò)充，但不僅僅是《民法典》

第1038條的具體化、明確化?！秱€人信息保

護(hù)法》第51條規(guī)定，個人信息處理者應(yīng)當(dāng)根

據(jù)個人信息處理的具體情況，采取確定的六

項措施來確保個人信息處理活動合法合規(guī)，

并防止未經(jīng)授權(quán)的訪問和個人信息泄露、篡

改、丟失?！秱€人信息保護(hù)法》第52條到

58條都是關(guān)于管理義務(wù)的規(guī)定，是《民法典》

所沒有的，體現(xiàn)了《個人信息保護(hù)法》超出

一般私法治理的綜合治理的義務(wù)配置特點(diǎn)。

《個人信息保護(hù)法》第52條規(guī)定，規(guī)模化的

個人信息處理者具有設(shè)置個人信息保護(hù)負(fù)責(zé)

人并進(jìn)行報送備案的義務(wù)，這顯然是一項旨

在強(qiáng)化個人信息處理者自主管理的管理義務(wù)，

不僅有利于保護(hù)個人信息權(quán)益，而且也兼具

公共治理屬性，防范規(guī)模數(shù)據(jù)的安全風(fēng)險。

第53條對符合本法規(guī)定的境外個人信息處

理者設(shè)定了應(yīng)在中國設(shè)立個人信息保護(hù)專門

機(jī)構(gòu)或指定代表并報送備案的義務(wù)。第54條

規(guī)定，個人信息處理者對其個人信息處理活

動具有定期進(jìn)行合規(guī)審計的義務(wù)。第55條和

第56條規(guī)定，對處理敏感個人信息、利用自

動化決策、委托他人處理、向他人提供或公

開、向境外提供等其他對個人權(quán)益有重大影

響的個人信息處理活動，個人信息處理者具

有事先進(jìn)行影響評估和記錄處理結(jié)果的義務(wù)。

第57條規(guī)定，個人信息處理者在個人信息發(fā)

生泄露或可能泄露時，具有補(bǔ)救和通知義務(wù)。

第58條規(guī)定，重要互聯(lián)網(wǎng)平臺作為個人信息

處理者，具有引入外部監(jiān)管、正確制定平臺

規(guī)則、有效管控平臺內(nèi)違法違規(guī)產(chǎn)品和服務(wù)、

定期發(fā)布社會責(zé)任報告和接受社會監(jiān)督的加

強(qiáng)內(nèi)部管理和防范風(fēng)險的義務(wù)。其中，關(guān)于

重要互聯(lián)網(wǎng)平臺作為個人信息處理者的嚴(yán)格

管理和防范義務(wù)，是《個人信息保護(hù)法（草

案）》（二次審議稿）增加的，《個人信息

保護(hù)法（草案）》（三次審議稿）進(jìn)一步密

加了應(yīng)正確制定平臺規(guī)則以更好明確平臺產(chǎn)

品和服務(wù)處理個人信息活動規(guī)范的管理義務(wù)。

這是對現(xiàn)實(shí)中要求大互聯(lián)網(wǎng)平臺應(yīng)當(dāng)對個人

信息保護(hù)承擔(dān)更大責(zé)任的社會呼聲的回應(yīng)，

也順應(yīng)了國際上平臺治理規(guī)范的發(fā)展趨勢，

《關(guān)于〈個人信息保護(hù)法（草案）〉審議結(jié)

果報告》第九項對此進(jìn)行了詳細(xì)說明。第59

條規(guī)定，接受委托處理個人信息的受托人具

有保障個人信息安全等協(xié)助義務(wù)。上述義務(wù)

都是針對不具有公共職能的個人信息處理者

設(shè)定的。政府機(jī)關(guān)等承擔(dān)公共職能的機(jī)構(gòu)及

其工作人員則存在特殊性，《民法典》第1039

條規(guī)定，其作為個人信息處理者時，應(yīng)承擔(dān)

對隱私和個人信息的保密義務(wù)，以及禁止泄

露或非法向他人提供的義務(wù)。

（四）關(guān)于個人信息處理者對個人信息

處理規(guī)則的修補(bǔ)

《民法典》對個人信息保護(hù)的設(shè)計，突

出了“權(quán)利一義務(wù)一行為規(guī)范”的三層私法

保護(hù)體系，也就是說，在規(guī)定權(quán)利、義務(wù)的

同時，還設(shè)定了個人信息處理者從事處理活

動的行為規(guī)范。這種設(shè)計的復(fù)雜性已經(jīng)不同

于傳統(tǒng)人格權(quán)或者其他絕對權(quán)的保護(hù)模式。

《民法典》第1035條屬于積極規(guī)范，規(guī)定了

處理行為的原則和條件等。其中，原則為“處

理個人信息的，應(yīng)當(dāng)遵循合法、正當(dāng)、必要

原則，不得過度處理”。條件有四：除法律

法規(guī)有例外規(guī)定，應(yīng)征得該自然人或者其監(jiān)

護(hù)人同意；公開處理信息的規(guī)則；明示處理

信息的目的、方式和范圍；不違反法律、行

政法規(guī)的規(guī)定和雙方的約定。《民法典》第

1036條屬于消極規(guī)范，規(guī)定了行為免責(zé)事項，

即在三種情況下個人信息處理者可以不承擔(dān)

民事責(zé)任：在自然人或者其監(jiān)護(hù)人同意范圍

內(nèi)合理實(shí)施的行為；合理處理該自然人自行

公開的或者其他已經(jīng)合法公開的信息，但是

該自然人明確拒絕或者處理該信息侵害其重

大利益的除外；為維護(hù)公共利益或者該自然

人合法權(quán)益，合理實(shí)施的其他行為。

對《民法典》的個人信息處理行為規(guī)則，

《個人信息保護(hù)法》基于自身更加系統(tǒng)的設(shè)

計優(yōu)勢，做出了細(xì)化發(fā)展，也進(jìn)行了明顯的

修補(bǔ)。《個人信息保護(hù)法》注意原則與規(guī)則

的區(qū)分，第一章“總則”規(guī)定了有關(guān)個人信

息處理的原則，即通過第5條到第10條宣示

了個人信息處理的六項原則。第5條為遵循

合