隐私权和个人信息权益究竟是何种关系,是隐私权包含了个人信息权益,还是隐私权与个人信息权益应当并行适用、互不干扰,抑或它们存在重叠关系,应当交叉适用?回答这个问题,对于正确理解适用《民法典》、《个人信息保护法》的规定,妥当裁判相关纠纷,更好地保护隐私权和个人信息权益,至关重要。厘清隐私权与个人信息权益的关系,核心是正确理解《民法典》第1034条第3款,该款规定:“个人信息中的私密信息,适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定。”
有一种影响较大的观点认为,《民法典》之所以规定第1034条第3款,原因在于:私密信息既属于隐私,又属于个人信息,从法律规范适用的角度而言,隐私权与个人信息权益的保护必定会发生法律规范的竞合。有鉴于此,由于个人信息受保护的权利并非要替代隐私权对私密信息的保护,而是对其保护的补充,故原则上若个人信息可以为隐私权等具体权利所保护时,可以优先适用这些人格权的规则,在这些具体人格权没有规定的情况下,可以适用个人信息的相关规定。而且,隐私权中的私密信息与信息主体的人格尊严联系更为紧密,故此,《民法典》对隐私权的保护更高一些,对私密信息的处理要求更高一些。应该说,这样的理解并不恰当。
隐私权的保护强度并不大于个人信息保护
在《民法典》中,对隐私权保护的强度大于个人信息之处主要体现在以下几点:(1)无论《民法典》第110条第1款还是第990条第1款,列举自然人享有的具体人格权时,都只包括了隐私权而没有个人信息权益。(2)《民法典》第999条在规定人格要素的合理使用时,没有规定合理使用自然人的隐私。也就是说,可以合理使用的个人信息不应包括作为隐私的个人信息中的私密信息。(3)《民法典》第1033条关于隐私权侵害行为禁止规则中,采用的是“权利人明确同意”方可免责的表述,而第1035条在规定个人信息收集处理时,只要求征得该自然人或者其监护人的“同意”即可。(4)《民法典》第1033条所规定的阻却侵害隐私权行为的不法性的理由包括法律的规定与权利人的明确同意。但是,依据《民法典》第1035条第1款第1项,阻却侵害个人信息的行为的不法性的理由则是征得该自然人或者其监护人同意以及法律、行政法规另有规定。然而,如果我们不仅仅局限于《民法典》,而是从我国法律规范体系尤其是结合《个人信息保护法》的规定来看,则无法得出我国现行法对隐私权的保护要强于对个人信息权益的保护的结论。
首先,《民法典》只是调整平等的民事主体之间的隐私权享有与保护的关系,从《民法典》第1032条第1款、第1033条来看,隐私权主要是防御性的或事后救济性的权利。除了人格权请求权、人格权禁令程序和侵权损害赔偿请求权之外,《民法典》没有为隐私权提供其他的预防性保护方法。《个人信息保护法》的调整范围包括除了自然人因个人或者家庭事务处理个人信息的活动以外的所有个人信息处理活动。对此,《个人信息保护法》在区分不同的个人信息处理活动、不同的个人信息以及不同的处理者的基础上,分别规定处理者在个人信息处理活动中的各种法定义务,并赋予个人在个人信息处理活动中的各种权利,同时还通过确立严格的法律责任来保证上述义务的实现。法律对个人信息权益采取的是预防性与救济性措施相结合、公法义务和私法权利相协力的全方位的保护方法。
其次,从隐私权和个人信息权益的内容来看,法律对隐私权的保护强度也完全没有超过个人信息权益。就隐私权的内容,《民法典》只是从消极的角度作出规定,即详细列举出禁止行为人实施的侵害他人隐私权的行为。但是,对个人信息权益的内容,《民法典》、《个人信息保护法》却从积极的层面作出了规定,赋予了自然人对其个人信息享有的知情权、决定权、查阅权、复制权、可携带权、更正补充权、删除权以及解释说明权等各项权利。
再次,仅从《民法典》第1033条关于“明确同意”的规定就得出法律对隐私权的保护强于个人信息的结论,也不准确。根据《个人信息保护法》第14条第1款第1句,“明确”是法律对个人信息处理中个人同意的一般性要求,即无论是书面的或非书面的,单独的或非单独的同意,都应当是明确的同意。《个人信息保护法》第14条第1款第2句还规定:“法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的,从其规定。”故此,单独同意、书面同意是比明确同意要求更高的两类同意。《个人信息保护法》特别规定了需要取得单独同意的个人信息处理活动的五种情形,这是为了更好地保护个人信息权益以及公共利益、国家安全。根据《个人信息保护法》第29条的规定,法律、行政法规可能要求在处理某些敏感个人信息时应取得个人的“书面的单独同意”。
最后,侵权法对个人信息权益的保护实际上强于隐私权。因为《民法典》第1165条第1款规定了侵权损害赔偿责任的基本归责原则为过错责任,侵害隐私权只适用过错责任;而根据《个人信息保护法》第69条第1款,侵害个人信息权益的侵权赔偿责任适用过错推定责任。
有观点认为,隐私权的保护强度大于且应当大于对个人信息的保护强度,根
