隐私作为一项重要的人格权,主要是通过《民法典》人格权编的规则予以保护,并辅之以相应的单行法和司法解释,形成周延的保护。对于个人信息而言,由于对此种权益的保护具有公法与私法的双重属性,完全通过私法的保护是不全面的,其中涉及公法的管理性规范,需要公法上的协同。因此,有必要制定一部集公法规范与私法规范于一体、全面保护个人信息的法律。2021年8月20日,十三届全国人大常委会第三十次会议表决通过《个人信息保护法》,并将于2021年11月1日起施行。《个人信息保护法》是我国第一部系统、全面保护个人信息的专门性法律,其在性质上属于公法、私法的组合。但就《个人信息保护法》的内容而言,大多是关于民事权利和义务的规定,就民事规范而言,《个人信息保护法》和民法典之间的关系就是特别法与基础法的关系,或者说是特别法与普通法的关系。
个人信息与隐私确实存在交叉重合关系。《民法典》在第1032条关于隐私概念的规定中,已经明确提出了私密信息的概念,并将其作为隐私权保护的重要内容之一。而《个人信息保护法》第二章专门规定了敏感信息处理的特殊规则,其实,敏感信息大多属于私密信息。虽然如此,个人信息不同于隐私,需要通过特别立法予以规范和保护。
二者的范围并非完全等同。依据《民法典》第1032条第2款,“隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。”除私密信息涉及敏感个人信息以外,其他类型的隐私不涉及个人信息。即使就部分敏感个人信息而言,权利人可能出于特定的目的而愿意公开,或已经进行了公开。这些信息可能已经不再构成隐私,但仍然属于敏感个人信息。
个人信息具有集合性。隐私通常很难具有集合性,其本身是单个主体享有的权益。基于人权保护的原因,许多国家将隐私作为基本人权对待,故一般不允许将隐私作集合化处理。而个人信息通常可以集合在一起形成数据,无论是匿名化还是非匿名化处理,个人信息都可成为数据。这就决定了个人信息与大数据的关联非常密切。从全球范围来看,许多法律文件均采用的是个人数据权的表述,且这一术语的使用已基本在欧盟层面的立法中达成了一致。故对于个人信息也要强调数据的流通与共享,因此,也会出现对个人信息的匿名化处理,此时会形成纯粹的数据。
个人信息具有可利用性。与数据具有流通价值不同,隐私原则上不能利用,即使实践中已经产生了利用隐私的情况,但利用范围极其狭窄,并且一般也不得违背公序良俗。隐私权更强调私密性,故隐私权规则对隐私的保护程度要更强。而对于个人信息而言,法律对于其保护与应用是并重的,既强调保护,也要注重利用和流通,故在个人信息保护的场合利益权衡的空间要大得多。所以,对个人信息的规范,法律要注重规范的收集、利用、储存等处理行为。《民法典》第993条的规定中,有关人格权的商业化利用刻意未将隐私权纳入,因此,原则上隐私权不得进行商业化利用。
个人信息具有自动处理性。隐私通常不涉及大规模处理的问题,侵犯隐私通常具有个别性。现代社会中,为了社会组织、运行与管理现代化,个人信息的大规模收集和自动处理是必须的,而社会的良序运行不以隐私的收集与自动化处理为必要。这种个人信息的自动化处理又可能会出现算法歧视、算法黑箱、网络画像的滥用等问题。有的企业采集、获取消费者的浏览偏好、消费习惯等信息,利用大数据分析、用户画像等方式,向消费者推送相关信息,支配甚至误导消费者。此类行为违反了诚实信用原则,损害了公平交易,因此,《个人信息保护法》第24条规定,利用个人信息进行自动化决策,不得对个人在交易价格等交易条件上实行不合理的差别待遇。通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式。这就明确规定了禁止“大数据杀熟”。但隐私在一般情形下不具有上述特点,对其处理一般具有个别性和非自动处理性。故对隐私的保护需要行政介入的程度相较个人信息更小。
个人信息泄露的程序法应对具有特殊性。由于个人信息往往以集合的方式出现,一旦其泄露可能会涉及大规模侵权问题,因而需要进行特殊的诉讼制度与行政的介入来处理。正是由于个人信息具有规模性,所以个人信息的诉讼可能会采取集体诉讼的方式来处理,也可以通过公益诉讼方式解决个人诉讼动因不足的问题,我国《个人信息保护法》第71条专门规定了公益诉讼。
总之,由于个人信息具有上述特殊性,难以在单一部门法中完全实现,故需要民法与行政法的结合来进行保护,这就产生了《个人信息保护法》,它在本质上属于领域立法。虽然隐私与个人信息天然具有重合性,但是,这两者具有明显的区别,《民法典》和《个人信息保护法》对它们进行了明确的规则界分,设置了不同的保护规则,并在适用中将产生不同的法律效果。正确理解并适用隐私权和个人信息的规则界分,对保护人民群众的切身利益,维护个人人格尊严具有重要意义。
(作者为中国人民大学一级教授)