个人信息保护法与民法

第四节　个人信息保护法与民法

一、特别法与普通法

个人信息保护法的一半是民法。

民法是调整平等主体之间财产关系和人身关系法律规范的总称。民法的调整对象也不是一成不变的，在与公法分离而成为独立法律部门之初，古罗马的民法所调整的是以实现私人利益为目的的社会关系（包括抢劫、盗窃和民事诉讼制度）。古罗马法学家乌尔比安称:“规定罗马国家事务的是公法，规定私人利益的是私法。”近现代资本主义国家民法将国家权力不能直接介入的各种财产关系和人身关系作为民法的调整对象，而将盗窃、抢劫和民事诉讼制度从民法中分离出来由公法调整。民法所调整的社会关系可以分为财产关系和人身关系，其中财产关系又可以分为财产所有关系和财产流转关系。平等主体之间的人身关系是指平等主体之间基于人格利益和身份利益而发生的不具有直接财产内容的人格关系和身份关系。人格关系是民事主体基于人格利益而享有的权利义务关系。自然人的人格利益可以分为一般人格利益和具体人格利益。一般人格权以一般人格利益为基础；而具体人格权以具体人格利益为基础，又可以分为生命权、身体权、健康权、名誉权、隐私权、肖像权、姓名权等。自然人基于特定身份利益而享有的权利为身份权，包括配偶权、亲属权、监护权、荣誉权等。

个人信息保护法的“一半”是调整横向的信息处理关系的，且以个人信息为客体的，而个人信息体现的是一种人格利益，属于人身利益的一种，这都说明个人信息保护法是民法的特别法。民法就全部承载有人格利益的私人信息给予保护，而个人信息保护法仅就符合个人信息保护法规定的“个人信息”提供保护。民法保护的全部承载人格利益的信息，笔者称为“私人信息”。私人信息是指一切可以识别自然人的信息。区分“个人信息”与“私人信息”不是文字游戏，而是十分必要的。民法对私人信息的保护分别纳入人格权法的不同领域，如隐私、名誉等。而个人信息保护法仅保护形成记录的、储存于档案内的个人信息。在美国，有学者将电子处理个人信息保护法被归入贸易法学科^[49]，从美国贸易法的主要内容来看，合同法占据了很大篇幅，其主要内容是民事法律规范。我国台湾省学者也将个人信息保护法作为债法的特别法对待。^[50]而立足于个人信息的人格利益属性，我们认为个人信息保护法是人格权法，而非贸易法或者债权法。

二、适用规则

（一）特别法优于普通法原则

关于属性冲突法律适用的一般原则是特别法优于普通法。个人信息保护法和民法在适用上的冲突，属于属性冲突，即同一性质的法律的冲突。特别法优于普通法原则是指同一属性的法律规范发生适用上的冲突，应优先适用特别法。普通法是在普遍范围内适用的法律，如民法；而特别法是在特定范围内适用的法律，是对特定的人、特定的事项做出专门的、特别的规定的法律，如个人信息保护法。从世界范围看，无论在学理上，还是在法律实践中，一般都确认了“特别法优于普通法”的适用原则:凡对于同一事项，若同一属性的两种法律都有规定，且其规定又彼此不同的，应优先适用特别法的规定，此种情况下，若个人信息保护法和民法发生冲突，应优先适用个人信息保护法的规定，而排斥民法的优先适用。

必须注意，特别法优于普通法是针对于一部法律内的具体法律规范的而言，而不是就整个法律而言的。比如说，个人信息保护法中，约有一半的法律规范是行政法规范，这些规范就不会和民法发生“特别法优于普通法”而适用的问题，而只能和行政法发生属性冲突的法律适用问题（详见本章第五节）。

（二）选择适用原则

所谓选择适用原则是个人信息保护法上为解决属性冲突而明确规定的一个法律适用原则。在民事主体发生侵权后，当事人可以选择依据个人信息保护法，还是民法的一般规定主张损害赔偿。

鉴于个人信息上的侵害，往往难以计算具体的数额，因此，个人信息保护法往往通过定额赔偿制度来计算损害；但计算机处理个人信息的规模宏大，由于限定了最高额赔偿，可能使得一些超过了最高赔偿额的损害无法得到赔偿。在此情况下，应允许当事人依据民法主张赔偿全部损害。我国台湾“资料法”第27条第3项规定“但能证明其所受之损害额高于该金额者，不在此限”，对于高出法定赔偿额的部分，当事人可以依据民法请求赔偿，但因此当事人应该承担民法规定的证明责任。

三、冲突与化解:以我国台湾省立法为例

（一）法律适用之复杂化与冲突

我国台湾省“资料法“对义务主体做了严格的限制，仅将与个人信息处理密切相关的八大行业纳入调整范围，它们是征信业及以搜集计算机处理个人信息为主要业务的团体或个人、医院、学校、电信业、金融业、证券业、保险业、大众传播业等八大大行业。其他行业，须由“法务部”会同“中央目的事业主管机关”指定，方受资料法调整。这就是所谓“八大行业”的限制，这种行业限制直接导致了资料法和民法适用关系的复杂化。就同一种违法行为而言，纳入资料法规范的行业与未纳入的行业，承担的法律责任可能不同。

首先，损害赔偿的法律规范。未纳入行业实施的侵权行为导致的损害赔偿适用我国台湾省“民法”第184条、第195条、第188条的规定；而违约行为应适用我国台湾省“民法”第245条、第226条或第227条、第224条的规定。而纳入资料法的行业的侵权行为将适用资料法第28条、第27条第2项至第5项；并依第30条适用民法的相关规定。

其次，归责原则。未纳入行业侵权行为的归责原则为过错责任原则，即承担损害赔偿责任须具备主观故意或过失；而纳入资料法调整范围的行业则适用推定过错责任原则，若纳入行业不能证明自己无过错则推定其有过错并承担损害赔偿责任。

第三，损害赔偿范围。未纳入的行业，法律并无损害赔偿总额的限制，包括下限限制和上限限制，依权利人所证明的实际损害确定赔偿范围。而对于纳入行业而言，权利人若能证明实际损害总额的，依实际所受损害总额确定赔偿范围；权利人若不能证明其损害总额的，依资料法第27条第2项的规定，“每人每一事件新台币二万元以上十万元以下计算”“但侵权行为人基于同一原因事实应对当事人负损害赔偿责任者，其合计最高总额以新台币二千万元为限”，不负证明责任。就损害赔偿范围总额而言，新台币十万元以下部分权利人无需举证，对超出新台币十万元以上的部分由权利人负证明责任。

第四，雇主责任。雇主责任是以雇佣关系为前提的一种民事责任。雇主责任包括两个方面的内容:一是雇主对雇员在从事雇佣活动时所受损害应承担的民事责任；二是雇主对雇员在从事雇佣活动时致第三人损害时应承担的民事责任。以下探讨的是第二种责任。在此情况下，若员工的行为是为完成事业、团体的工作而实施的行为，员工违反资料法的行为，应视为事业、团体本身的行为，侵权责任由事业、团体承担；若该员工的行为超出工作任务之外，不能构成事业、团体的行为时，依我国台湾省“民法”第224条及第188条的规定，事业、团体也应承担雇主责任，仍需对员工的行为承担赔偿责任，并且原则上为完全赔偿责任；在个案中确定致害者对损害负最终赔偿责任时，事业、团体可依其与员工之间的契约约定或民法第188条第3项的规定，向该违法员工行使求偿权。

（二）冲突之化解

第一，以计算机处理个人信息，并被纳入资料法调整范围的行业，可同时适用资料法和民法的规定。但是由于资料法和民法规定不同，资料法第28条采推定过错责任，对权利人有利。由于资料法为特别法，原则上应优先适用资料法的规定。但是若不构成资料法上的侵权，权利人仍有权援引民法救济权利。

第二，以计算机处理个人信息，但未被纳入资料法调整范围的行业，不受资料法调整，权利人仅能援引民法相关规范保护其权利。由于民法的规定，并非针对个人信息保护做出，应用在个人信息保护上，难免显得晦涩和抽象，在适用上给法官留下了过于广大的解释空间。

第三，非以计算机处理个人信息的任何行业都不适用于资料法的规定，因此只发生民法的适用问题。