1. 引言

在科技迅猛发展的今天，我们已置身于信息爆炸的时代。网络与信息技术的进步，尤其是大数据与云计算的广泛应用，极大地便利和丰富了我们的日常生活。然而，这些技术进步也带来了一系列涉及个人信息权和隐私权的纠纷与矛盾。技术滥用侵犯公民个人信息和个人隐私的案件屡见不鲜，导致其遭受网络暴力，甚至有人以此为名进行直播寻人，涉嫌侵犯公民个人隐私。此事件凸显了当前个人信息保护的严峻问题，信息时代下用户个人隐私安全面临前所未有的挑战[1]。

《民法典》的生效标志着个人信息权与隐私权被纳入人格权编统一保护，体现了立法机关对个人信息保护的重视。然而，这种立法安排在一定程度上模糊了两者的界限，加之信息技术的快速发展，个人信息与隐私权保护客体的相似性日益增加，导致司法实践中对这两项权利的混用。在此背景下，我国立法机关为了促进经济增长和保护公民权益，对公民隐私和个人信息法律进行了优化和调整，通过《个人信息保护法》的颁布，明确了个人信息的重要性并加强了其保护。这标志着个人信息从隐私权体系中独立出来，成为一项新型权利。然而，这种独立是否过于急迫，以及两法并行下如何界定两者的界限，仍是值得深思的问题。私法保护是否足以保障公民个人信息的安全，亦需进一步探讨。

本文主张，关键在于明确区分隐私权与个人信息交叉部分的界限，并在法律适用上确立权利适用原则。通过对基本概念的界定和司法适用的明确，可以更有效地实现个人信息的权利保护。

2. 个人信息的交叉性和法律界定

2.1. 个人信息的特殊性

个人信息的交叉性是其首要特殊属性。本文探讨的个人信息并非全新概念，部分个人信息如健康信息和行踪信息属于隐私范畴，而个人电话号码和工作单位等信息在一定范围内的公开则不属于隐私保护的范畴[2]。《民法典》中明确区分了私密信息和非私密信息，同样，《个人信息保护法》中也将个人信息划分为敏感信息和非敏感信息[3]。信息技术的发展使得这些信息能够以数据形式保存和流动，进一步凸显了其特殊性。理解个人信息的这一特殊性是对其进行有效保护的基础。

笔者认为，个人信息中的敏感个人信息属于敏感信息和私密信息的交集，是互联网时代下公民个人信息权和隐私权相互交叉的部分。敏感个人信息既具有私密性，又呈现数据化特征，因此具有隐私权与个人信息权的双重属性，即可识别性和私密性。敏感个人信息可以定义为个人不愿公开的私密信息。当个人信息作为隐私权的客体时，可以根据其可识别性的强弱来判断是否属于隐私权的保护范围。例如，银行账户信息和个人身份信息在现代信息技术的辅助下，其可识别性得到增强，需要进行区分。在实践中，这些信息常被误认为是单纯的个人信息，但实际上仍属于隐私权的保护范畴。由此可见，信息技术的快速发展不仅增加了权利客体的种类，也使得两项权利客体的交叉和相互转化愈发频繁。

《民法典》确立了隐私权与个人信息权的交叉关系，并在第六章专章规定了隐私权与个人信息权。该章内容基于《网络信息安全法》，并纳入了《信息安全技术个人信息安全规范》[4]。《民法典》第一千零三十二条[5]和《个人信息保护法》第四条均对隐私权和个人信息权给出了明确定义。个人信息最显著的特征是其可识别性，即能够指向特定个人。无法指向特定自然人的信息不属于法律保护的个人信息范畴。在信息时代，与人相关的数据都有可能被记录或利用，这意味着在侵害发生时，信息权利人可以根据某些信息的指向性确定受害者的身份，例如通过电脑的ID、IP地址锁定特定个人的身份信息。

可识别性在个人信息立法中占据重要位置，是个人信息权最本质的特征。可识别的相关信息包括自然人的姓名、出生日期、电子邮箱地址、个人身份信息、身份证号码、手机号码、健康信息、位置信息等。可以看出，隐私权与个人信息权在私密信息和敏感信息部分存在重合关系[6]，非重合部分则可以根据私密性程度和识别性进行区分[5]。因此，有必要进一步探讨隐私权关于个人信息和个人信息权关于敏感个人信息的规定。

2.2. 个人信息权与隐私权的界定

在我国2021年《个人信息保护法》出台之前，隐私权与个人信息权均统一规定于《民法典》的人格权编下。隐私权作为一项传统的人格权，这种立法安排是适宜的，并且符合现实需求。然而，将个人信息权与隐私权并列，可能并不完全妥当。个人信息权不仅具有人身属性，还具有财产属性，而传统的人格权体系难以对这种财产属性提供理论上的充分解释。以下，笔者将从权利的性质、主体和特点三方面对这两项权利进行界定。

2.2.1. 权利主体特定

根据我国现行法律，隐私权的主体是特定的，仅限于自然人，不包括法人和非法人组织。隐私权的设立旨在保护个人的独处权和私生活秘密，因此主体限于自然人。法人仅具有法律意义上的人格，不涉及独处的问题。自然人是私密事务的唯一处理者，任何他人的侵犯均构成侵权。

然而，个人信息权具有其特殊性，因为个人信息不仅涉及权利人，还涉及信息接收者。个人信息处理者常通过大数据平台获得“数据权力”，并可能过度收集个人信息，利用算法对用户进行区别对待，从而容易成为侵犯隐私的主体[7]。个人信息权的主体并非唯一，未经同意的收集和利用即构成对权利的侵犯，违反了法律规定的知情权和选择权。

张新宝教授指出，个人信息的保护应通过国家主导、行业自律和个人参与[8]，实现个人、企业和社会公共利益的三方平衡[9]。这一观点也体现了权利主体的不确定性。

2.2.2. 权利性质不同

隐私权是一项传统性的权利，其最重要的性质是秘密性，秘密性正是隐私权的核心内涵¹。在此内涵之下，最高人民法院出台了相关司法解释，用以指导实务中对隐私权的保护。例如，2014年6月23日出台的《关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》第12条规定，自然人同意或自行公开的信息将不再受隐私权的保护。由此可见，秘密性是隐私权的核心内涵。秘密性首先体现在权利主体的私生活秘密上，即权利主体有不为他人知悉的权利，有对隐私秘密保持沉默的权利，个人健康、感情生活、宗教及政治信仰、家庭、财产、私人习惯等信息有权保持不公开。隐私权受侵害的形式多表现为人格利益受损，受到他人的评价、打击使其精神陷于痛苦，承受心理折磨。其次，还体现在隐私保护请求权上，即出现违法的侵犯隐私权行为时，权利人有权请求司法保护，请求排除他人的干涉。个人隐私还具有不可利用性、非营利性，个人隐私一旦被利用，具有了经济属性，那么隐私性就消失了，人格利益保护的法理基础便不再存在。

与此相对，个人信息权是一种将财产利益与人格利益结合在一起的权利[10]。个人信息权是科技进步下数据时代的产物，其表现形式多为数据编码信息。个人信息涉及到多个方面，如信息的保密、控制、访问、更正、删除以及补充等权利。这些权利体现出数据时代的特点，体现出个人信息的权利多样性，同时也面临着侵犯手段的多样化。由于信息技术的传递性较强，违法行为发生较快，证据的收集更加困难，因为现阶段收集证据的手段还不能达到与犯罪记录同时。非侵权行为很容易删除和隐藏，这也给受害者维权造成了很大障碍。与隐私权相比，个人信息权的财产性体现得更为明显。在数字经济中，个人信息的商业价值日益凸显，不仅涉及明星和网红，也包括普通公民。例如，通过数据挖掘和分析，企业能够从用户行为中提取价值，进而进行精准营销。这种个人信息的商业化利用，使得个人信息权的财产属性变得尤为重要。同时，这也带来了新的挑战，如何在保护个人信息权的同时，合理利用个人信息以促进经济发展，成为法律和政策制定者需要解决的问题。

2.2.3. 权利特点不同

王利明教授将隐私权的特点归纳为私人生活空间、私人生活秘密和私生活的安宁三个方面[11]，这些方面几乎覆盖了个人生活的各个领域。隐私权主要保护的是个人不愿为他人所知的信息，强调了“私人性”或“不公开性”。隐私权设立的目的在于保护隐私不被非法披露，其特点是被动性，主要侧重于事后的法律救济。

个人信息权则具有不同的特征。它通常可以转化为数据形式，而数据的最重要特征在于其可传播性和共享性。个人信息权不仅包含人格利益，还涉及财产和安全利益[2]，体现了个人信息的多重权益。个人信息权更加强调个人对信息的控制和自主决策，更多地采取主动性的预防措施。这包括个人对个人信息被收集、使用等的知情权，以及个人使用和授权他人使用信息的自主权。个人信息权的保护范围不仅包括敏感信息，也涵盖了个人公开的一般信息，因此保护范围更为广泛。

这种区分对个人信息保护具有重要意义。隐私权的被动性保护可能导致在信息技术快速发展的今天，个人隐私的保护措施滞后于技术发展。而个人信息权的主动性预防则要求法律和政策制定者在个人信息被收集和使用之前就制定相应的保护措施，以减少个人信息被滥用的风险。这种主动性的预防措施有助于在个人信息保护中实现更加平衡和有效的法律框架。

3. 中外个人信息保护模式分析

在深入分析了个人信息权与隐私权的区分及其对个人信息保护的影响之后，本节将转向对德国和中国个人信息保护模式的比较分析。选择德国作为对比的起点，不仅因为其在数据保护领域的先进立法和实践，而且因为德国的《联邦数据保护法》(Bundesdatenschutzgesetz, BDSG)对全球个人信息保护立法产生了深远影响，包括对欧盟《通用数据保护条例》(GDPR)的制定。通过比较德国的法律框架与中国的现行法律，我们可以识别两种模式的优势与挑战，并探讨它们对我国个人信息保护法律体系的启示。

在接下来的部分中，我们将首先详细分析德国的个人信息保护法律框架、监管机制以及个人权利保护措施。随后，我们将对比中国的个人信息保护实践，以期揭示两种模式在保护个人信息方面的异同，并为中国个人信息保护法律体系的完善提供切实可行的建议。

3.1. 德国个人信息权立法模式

德国，作为大陆法系的典型代表，以其立法的严谨性和先进性在全球隐私信息保护领域占据领先地位。随着经济的发展，德国逐渐形成了独具特色的立法模式，并对整个欧盟立法体系产生了深远的影响。分析德国的个人信息保护模式，我们可以汲取宝贵的经验。

1970年，德国黑森州颁布了全球首部保护个人信息权利的立法——《数据保护法》，这标志着保护个人信息权益时代的开启[12]。随后，瑞士、法国、挪威等国也相继颁布了个人信息保护法，形成了个人信息保护的立法浪潮。德国《联邦数据保护法》于1977年通过，并经过数十年的多次修订[13]。1983年，德国联邦宪法法院在“人口普查案”中首次将“信息自决权”作为一般人格权确认[14]，这是宪法层面对个人信息权的重要肯定[15]。为适应2018年5月生效的欧盟《通用数据保护条例》(GDPR)，德国国会于2019年11月修订了《德国联邦数据保护法》，这次修订对于规范行政机关和市场主体在个人信息处理方面具有重要意义。

除了专项立法，德国在《刑事诉讼法》《个人信息法》中也将个人数据信息纳入保护范围，对个人隐私权给予充分保护。德国通过构建以个人信息权为一般人格权的制度体系，实现了对隐私权的体系保护。德国个人信息权的理论基础源于人们对自己信息的控制需求，其保护范围宽广，体现了对公民个人信息权的高度重视。

3.2. 中国个人信息保护的立法模式

中国的个人信息保护立法经历了两个主要的发展阶段，逐步从隐私权的保护向个人信息权的独立立法过渡。这一过程反映了随着信息技术的发展，社会对个人信息保护需求的变化，也揭示了在隐私权与个人信息权之间进行权责划分和法律适用的复杂性。

3.2.1. 第一阶段：隐私权单独保护阶段

在这一阶段，隐私权的保护并未专门针对个人信息，而是将其视为人格权的一部分进行综合保护。我国最早在1982年《宪法》中通过通信自由和秘密的规定，隐含性地保护了公民的隐私权，尽管此时的立法未明确涉及隐私权的概念。1988年，最高法院通过司法解释将隐私权按照名誉权进行处理，进一步确立了隐私的法律保护框架。进入21世纪后，尤其是2001年，最高法院在司法解释中进一步规定了隐私权应参照其他人格利益进行保护，为隐私权的独立保护奠定了基础。

2005年，《妇女权益保护法》首次明确提出“隐私权”概念，并与名誉权、荣誉权一同纳入保护范围。2010年，《侵权责任法》进一步规定隐私权为独立的人格权，标志着隐私权作为一项独立法律保护权利的初步形成。2019年，《民法典(草案)》明确将私人生活安宁纳入隐私权保护的范围，进一步细化了隐私权的法律定义和保护内容[16]。

在这一阶段，个人信息的保护通常是通过隐私权来实现的。司法实践中，个人信息权的保护多参照人格权的相关规定，主要通过隐私权保护框架来进行法律适用。例如，个人信息的泄露、非法收集或滥用问题，往往依赖于隐私权的侵害来进行追责。

3.2.2. 第二阶段：个人信息权的独立立法

随着互联网技术的发展，个人信息的产生、传播和利用方式发生了剧变。特别是大数据、云计算、人工智能等新兴技术的应用，使得个人信息的收集、存储、处理和共享变得更加广泛和复杂，传统的隐私保护框架难以满足新的法律需求。在此背景下，个人信息权的独立立法变得愈发迫切。

2016年，《网络安全法》首次在法律层面明确了个人信息的定义，并规定了信息收集、存储、使用的基本原则，为后续个人信息保护立法提供了基础[17]。2021年，《个人信息保护法》的出台，则标志着我国个人信息保护进入了全新的阶段。这部法律不仅独立规定了个人信息的保护措施，还将个人信息权作为与隐私权并行的独立权利进行立法，形成了隐私权与个人信息权二元化的法律体系[18]。这一立法为加强公民个人信息的保护提供了更加具体和有力的法律保障。

3.2.3. 《民法典》第1034条第3款的争议与立法选择

《个人信息保护法》出台之前，《民法典》第1034条第3款的规定引发了较大的争议。该条款明确规定：个人信息中的私密信息适用隐私权规定；在无相关规定的情况下，则适用个人信息保护的相关规定。支持者认为，这一条款通过明确隐私权和个人信息保护的适用区分，有助于进一步厘清两者的法律适用界限，从而为司法实践提供更加清晰的指导。反对者则认为，个人信息本身是隐私的一部分，隐私权的保护已经能够涵盖个人信息的保护，因此无需在法律上进行单独区分。

经过激烈的辩论，最终《民法典》第1034条第3款得以保留，体现了立法者在隐私权和个人信息权之间进行区分的立场[19]。这一立法选择表明，立法者认识到随着信息技术的发展，个人信息的保护已不再局限于传统的隐私权范畴，而应当赋予个人信息独立的法律地位。同时，这也反映了我国立法在适应新时代技术变革的过程中，试图逐步完善并细化两者之间的界限与适用范围。

总体而言，中国个人信息保护立法的发展经历了隐私权的单独保护到个人信息权独立保护的过程，体现了随着技术进步和社会需求的变化，法律体系的逐步完善。虽然目前我国的个人信息保护法律体系已初步形成，但在隐私权与个人信息权的区分、法律适用的明确性等方面仍然存在不少挑战。未来的立法应进一步明确两者的边界，提升法律的适用性和执行力，以应对日益复杂的个人信息保护问题。

3.3. 我国个人信息保护模式的不足之处

随着信息技术的飞速发展，尤其是大数据、人工智能等新兴技术的广泛应用，个人信息的收集、存储与处理已渗透到社会生活的方方面面。面对个人信息侵权案件的日益增加，我国不断出台相关法律以应对隐私权和个人信息权保护的挑战。然而，在法律适用与实际操作过程中，依然存在一些亟待解决的问题，尤其是在权利界定、立法进程与实践应用之间的不协调。

3.3.1. 个人信息权与隐私权的界限模糊

我国个人信息保护立法经历了从行政法规到《民法典》实施，再到《个人信息保护法》出台的发展过程，逐步推动了个人信息权从人格权范畴的独立。然而，尽管立法进程有所推进，隐私权与个人信息权的界限在理论界与实践中仍然不明确，且这一模糊性在法律适用中常引发混淆。理论上，隐私权强调对公民私人生活领域的保护，旨在维护其人格尊严与自由；而个人信息权则侧重于保护个人信息的私密性与安全性[16]。随着信息化时代的到来，两者的重合部分不断增加，特别是在敏感个人信息的保护领域，既涉及个人的隐私利益，也牵涉到财产安全、社会安全等更广泛的层面。

例如，在处理生物识别信息、金融数据等敏感数据时，既要考虑到信息主体的隐私保护，也需要关注数据泄露可能带来的财产损失与社会安全风险。司法实践中，许多案件在处理隐私权与个人信息权冲突时，往往难以明确界定适用哪一项权利，这不仅增加了法院裁判的难度，也导致了不同司法机关在处理类似案件时的标准不统一。以疫情期间的政府公开个人信息为例，在未对信息进行脱敏处理的情况下，个人隐私泄露事件时有发生，暴露出隐私权与个人信息权交织下，立法与实践中仍然存在较大的操作难度。这一问题的根源在于，立法未能充分清晰地区分两者的边界，导致在特定情境下，如何平衡公民隐私保护与公共安全需求成为难点。

因此，理论界亟需对隐私权与个人信息权的边界进行进一步梳理与明确，尤其是在敏感个人信息的界定、处理规则与司法解释上，必须确保两者的关系能够清晰反映其不同的保护目标，避免法律适用上的混乱。

3.3.2. 立法进展与实践挑战

《个人信息保护法》的出台标志着我国个人信息保护立法的重大进展，不仅明确了个人信息处理活动的基本规则，也规定了信息主体的知情同意权、删除权、纠正权等权利，并对个人信息的跨境传输与处理进行了严格规范。此外，作为与《网络安全法》互补的法律，《个人信息保护法》进一步加强了对个人信息收集者的合规要求，要求企业和政府部门在处理个人信息时，必须确保其合法性、正当性和必要性。然而，尽管立法进程取得显著进展，实践中的挑战仍然十分严峻。

首先，快速的立法进程引发了关于法律稳定性与体系性的担忧。从行政法规到刑法，再到民法人格权，直至《个人信息保护法》的独立立法，这一过程过于急功近利可能导致不同法律条文之间的衔接与协调问题，甚至在不同领域的立法中可能出现冲突或重叠。立法者在推动隐私权与个人信息权分离的过程中，应当注重两者之间的内在联系，避免在理论与实践中产生新的混淆。例如，在不同法域中，对于“个人信息”的定义、保护方式以及责任归属可能存在差异，这就要求在立法时保持整体性与系统性，确保不同法律条文在具体操作中的一致性和协调性。

其次，实践中的一些挑战也暴露了立法与实际操作之间的差距。在公共卫生事件如疫情期间，政府在搜寻密切接触者时公开个人信息，未进行脱敏处理，导致了大量个人隐私泄露。这不仅是对个人隐私的直接侵害，也引发了公众对政府处理个人信息方式的信任危机。类似事件凸显了在应急情况下，如何平衡公共安全与个人隐私的保护问题，并要求立法与行政部门在面对突发公共事件时，提供更为明确和细化的操作性指导。此外，尽管《个人信息保护法》对企业在数据处理方面提出了更高要求，但在实际操作中，许多企业仍存在信息收集、存储与传输环节中的合规隐患，尤其是在数据跨境传输、第三方数据共享等复杂情境下，仍缺乏完善的监管机制和执行力度。

因此，面对这些实践挑战，立法需要进一步细化和完善，特别是在数据处理的具体标准、行政监管的实施细则以及突发事件中对个人信息保护的应急措施等方面。与此同时，司法机关与行政部门也应当加强法律适用的灵活性与透明度，确保法律能在各种情境下提供合理的指导和保障。

综上所述，我国个人信息保护模式亟待在明确权责界定、细化保护规则、加强法律适用与实践操作的协调性等方面进行改进。通过进一步完善法律框架和提高法律实施的精准度，可以更有效地平衡信息自由流通与个人隐私保护之间的关系，从而更好地保障公民的个人信息权益。

4. 个人信息保护的解决路径

4.1. 完善隐私权与个人信息权相关立法

完善现有立法是解决隐私信息保护问题的现实路径。目前，相关法律对敏感个人信息采用了“抽象定义 + 概括列举”的方式进行规定[20]，尤其在《民法典》和《个人信息保护法》中有所体现，但两者的适用范围和界限尚未明确。例如，《个人信息保护法》对敏感个人信息的列举较为详细，但对于隐私权与个人信息权的竞合关系和优先适用标准未作充分界定。因此，立法机关应出台相关法律或司法解释，明确隐私信息的定义，并进一步阐明隐私权与个人信息权的关系，特别是在两者发生冲突时的适用标准。

此外，人大应审视当前法律体系下隐私权与个人信息权并行的适用问题，明确两者的关系是“特别法与一般法”的优先级，还是“新法与旧法”的适用问题。这不仅涉及立法技术的完善，更牵涉到法律背后的法理支撑，特别是在扩展传统隐私权保护范围与确认个人信息权独立性方面。因此，立法机关应积极推动现有法律的完善，填补隐私信息保护中的空白，确保相关法律在操作上的有效性和可行性。

4.2. 明确最强力权利适用原则

另一种路径是采用“最强力权利适用原则”。该原则最早源于国际法，指当两个或多个法律规范发生冲突时，应优先适用具有更高法律效力的规则。在隐私权与其他权利发生冲突时，若两者具有类似的保护效力，应优先选择保护力度更强的权利。以美国为例，在隐私权与新闻自由发生冲突时，法院通常会优先保护隐私权，因为隐私权对公民人格利益的保护优于新闻自由的保障。

在我国，类似冲突情形也时有发生。例如，当隐私权与个人信息权发生冲突时，法院可以根据两者的法律效力与保护对象的优先级，优先适用隐私权保护。这将有助于解决司法实践中两者的适用问题，特别是在隐私侵权案件中，公民可以根据《民法典》的人格权条款或《个人信息保护法》寻求救济。考虑到人格权的保护力度通常较强[21]，明确适用最强力权利原则，有助于确保隐私权在司法适用中的优先性，提供更加有效的法律保障。

5. 结语

有效定位个人信息的保护方向是当前亟待解决的重要课题。随着科技进步的加速，个人信息的侵权方式日益多样化，相关侵权案件不断增加。日常生活中，用户常面临“手机APP强制要求权限”、“应用程序读取电话权限”、“访问通讯录”、“获取相册信息”、“使用麦克风权限”以及“小区强制人脸识别”等问题，个人信息在潜移默化中受到侵害。

根据我国《个人信息保护法》第三条，个人信息定义为以电子或其他方式记录的、能够单独或与其他信息结合识别特定自然人身份的各种信息，包括姓名、出生日期、身份证号码、个人生物识别信息等。然而，个人信息的交叉性使其保护变得复杂，传统保护措施难以适应新挑战。尽管对个人信息保护的需求日益增长，我国法律在执行及实施方面仍面临挑战，尤其是在落实《个人信息保护法》及对违法行为的监督和惩罚方面。此外，个人信息权的迅速独立以及与隐私权之间界限的模糊，进一步加剧了此问题。

应对这一困境，必须通过完善个人信息保护的立法，为信息保护提供坚实的法律基础。近年来的研究表明，加强对信息主权的认知与政策需求，明确适用最强权力原则，以确保在信息使用中充分尊重和保障个人权益，显得尤为重要。同时，针对现有法律架构的不足，需积极推进制度建设，借鉴国际成功案例，以增强我国法律在实践中的适应性。

随着数字化时代的深入，完善个人信息保护不仅是维护公民基本权益的必要措施，也是促进社会信任与稳定发展的重要保障。通过上述努力，能够有效保护公民个人信息，维护其合法权益，积极应对信息时代带来的挑战。

NOTES

¹在此内涵之下，最高人民法院曾出台相关司法解释，用以指导实务中对隐私权的保护。如在2014年6月23日出台的《关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》的第12条规定，自然人同意或自行公开的信息将不再受隐私权的保护。由此可见秘密性系隐私权的核心内涵所在。

参考文献