隐私作为一项重要的人格权，主要是通过《民法典》人格权编的规则予以保护，并辅之以相应的单行法和司法解释，形成周延的保护。对于个人信息而言，由于对此种权益的保护具有公法与私法的双重属性，完全通过私法的保护是不全面的，其中涉及公法的管理性规范，需要公法上的协同。因此，有必要制定一部集公法规范与私法规范于一体、全面保护个人信息的法律。2021年8月20日，十三届全国人大常委会第三十次会议表决通过《个人信息保护法》，并将于2021年11月1日起施行。《个人信息保护法》是我国第一部系统、全面保护个人信息的专门性法律，其在性质上属于公法、私法的组合。但就《个人信息保护法》的内容而言，大多是关于民事权利和义务的规定，就民事规范而言，《个人信息保护法》和民法典之间的关系就是特别法与基础法的关系，或者说是特别法与普通法的关系。

　　个人信息与隐私确实存在交叉重合关系。《民法典》在第1032条关于隐私概念的规定中，已经明确提出了私密信息的概念，并将其作为隐私权保护的重要内容之一。而《个人信息保护法》第二章专门规定了敏感信息处理的特殊规则，其实，敏感信息大多属于私密信息。虽然如此，个人信息不同于隐私，需要通过特别立法予以规范和保护。

　　二者的范围并非完全等同。依据《民法典》第1032条第2款，“隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。”除私密信息涉及敏感个人信息以外，其他类型的隐私不涉及个人信息。即使就部分敏感个人信息而言，权利人可能出于特定的目的而愿意公开，或已经进行了公开。这些信息可能已经不再构成隐私，但仍然属于敏感个人信息。

　　个人信息具有集合性。隐私通常很难具有集合性，其本身是单个主体享有的权益。基于人权保护的原因，许多国家将隐私作为基本人权对待，故一般不允许将隐私作集合化处理。而个人信息通常可以集合在一起形成数据，无论是匿名化还是非匿名化处理，个人信息都可成为数据。这就决定了个人信息与大数据的关联非常密切。从全球范围来看，许多法律文件均采用的是个人数据权的表述，且这一术语的使用已基本在欧盟层面的立法中达成了一致。故对于个人信息也要强调数据的流通与共享，因此，也会出现对个人信息的匿名化处理，此时会形成纯粹的数据。

　　个人信息具有可利用性。与数据具有流通价值不同，隐私原则上不能利用，即使实践中已经产生了利用隐私的情况，但利用范围极其狭窄，并且一般也不得违背公序良俗。隐私权更强调私密性，故隐私权规则对隐私的保护程度要更强。而对于个人信息而言，法律对于其保护与应用是并重的，既强调保护，也要注重利用和流通，故在个人信息保护的场合利益权衡的空间要大得多。所以，对个人信息的规范，法律要注重规范的收集、利用、储存等处理行为。《民法典》第993条的规定中，有关人格权的商业化利用刻意未将隐私权纳入，因此，原则上隐私权不得进行商业化利用。

　　个人信息具有自动处理性。隐私通常不涉及大规模处理的问题，侵犯隐私通常具有个别性。现代社会中，为了社会组织、运行与管理现代化，个人信息的大规模收集和自动处理是必须的，而社会的良序运行不以隐私的收集与自动化处理为必要。这种个人信息的自动化处理又可能会出现算法歧视、算法黑箱、网络画像的滥用等问题。有的企业采集、获取消费者的浏览偏好、消费习惯等信息，利用大数据分析、用户画像等方式，向消费者推送相关信息，支配甚至误导消费者。此类行为违反了诚实信用原则，损害了公平交易，因此，《个人信息保护法》第24条规定，利用个人信息进行自动化决策，不得对个人在交易价格等交易条件上实行不合理的差别待遇。通过自动化决策方式向个人进行信息推送、商业营销，应当同时提供不针对其个人特征的选项，或者向个人提供便捷的拒绝方式。这就明确规定了禁止“大数据杀熟”。但隐私在一般情形下不具有上述特点，对其处理一般具有个别性和非自动处理性。故对隐私的保护需要行政介入的程度相较个人信息更小。

　　个人信息泄露的程序法应对具有特殊性。由于个人信息往往以集合的方式出现，一旦其泄露可能会涉及大规模侵权问题，因而需要进行特殊的诉讼制度与行政的介入来处理。正是由于个人信息具有规模性，所以个人信息的诉讼可能会采取集体诉讼的方式来处理，也可以通过公益诉讼方式解决个人诉讼动因不足的问题，我国《个人信息保护法》第71条专门规定了公益诉讼。

　　总之，由于个人信息具有上述特殊性，难以在单一部门法中完全实现，故需要民法与行政法的结合来进行保护，这就产生了《个人信息保护法》，它在本质上属于领域立法。虽然隐私与个人信息天然具有重合性，但是，这两者具有明显的区别，《民法典》和《个人信息保护法》对它们进行了明确的规则界分，设置了不同的保护规则，并在适用中将产生不同的法律效果。正确理解并适用隐私权和个人信息的规则界分，对保护人民群众的切身利益，维护个人人格尊严具有重要意义。

　　（作者为中国人民大学一级教授）