姬蕾蕾
(上海交通大学 凯原法学院,上海 200240)
《中华人民共和国民法典》(简称《民法典》)第一百一十一条规定了对个人信息的保护。该条文因并未使用“权利”字眼,引发了学者的不同解读。就个人信息保护的规范意旨,有学者认为,该条虽然没有直接规定自然人享有个人信息权,但对自然人而言,既是个人具有民事权利的宣示性规定,也是确权性的规定。[1]该条是对自然人享有的个人信息权,以及义务人负有不得侵害个人信息权义务的规定。[2]有些学者则持不同意见:从法解释的角度而言,第一百一十一条难以得出《民法典》确立自然人对个人信息享有民事权利即个人信息权的结论,[3]该条只是对个人信息进行保护,并未将其上升作为一种具体人格权的权利。[4]第一百一十一条并未使用“个人信息权”这一术语蕴含了个人信息并未具备权利化的特征,可见,立法者目前尚未承认个人信息是一项独立权利,而个人信息保护是否权利化的一个根本性问题就是个人信息权利的客体范围,[5]22-23个人信息外延不清导致在实践中对其保护的混乱局面。[6]
在人类文明的长河中,信息一旦被公开即被认为处于公共领域,是任何人可以自由利用的公共资源,任何利用者也不能排他性支配或独享。[7]因此,无论是个人信息抑或隐私,均站在公共价值的对立面,[8]体现的是个人对其思想、情感、情绪以及智识自主的保护,属于私人事务的一部分。《民法典》在第一百一十条与第一百一十一条以及第四编第六章对隐私与个人信息作区分保护,均体现出立法采用二元区分保护的态度。然而《民法典》对隐私权与个人信息概念的规定却增加了两者范围界定的模糊性,具体而言,第一千零三十二条规定隐私主要包括私密空间、私密活动和私密信息,第一千零三十四条规定个人信息的内涵,其中涉及私密信息的部分适用有关隐私权的规定,就两条款的规范意旨解读,个人信息与隐私之间存在交叉关系,交叉的范围聚焦于私密信息。由此引发的问题是,私密信息到底属于隐私还是个人信息,如何解释隐私、私密信息与个人信息之间的关系,进一步推演,私密信息的范围与适用是区分个人信息保护与隐私保护的关键。基于此,本文从2009年至2021年关于私密信息(隐私)纠纷中挑选较为典型的十则案例(见下表),①为与《民法典》中私密信息的术语保持一致,本文将“隐私信息”与“私密信息”等同,有关私密空间与私密活动暂不纳入本文案例研究的范畴。旨在通过实证研究的方式归纳隐私权(个人信息)纠纷的裁判思路,这有助于我们在实践层面探索私密信息的判断标准,同时检视出司法实践中对私密信息认定的局限所在。
通过案例对比可发现,早期法院主要从个人是否同意、信息敏感性、同意范围以及损害后果综合检视行为人的行为是否构成侵权。随着大数据时代的到来,为顺应立法潮流,《民法典》将隐私权与个人信息保护作有意区分,法院也依此意旨逐步呈现出对两者区分适用的态度,但就如何区分并没有给出明确答案,对私密信息的具体范围更是避而不谈。然而,通过对裁判思路的分析,遵循“案件起因—裁判路径—司法局限”的递进方式可找寻私密信息界定的真正困境。
通过案例可见,早期隐私权纠纷的争议点聚焦于“信息的公开或使用是否征得个人同意”,传统保护个人信息的方式主要依赖隐私权或一般人格权保护方式。然而,随着数据技术的研发与应用,个人信息的财产价值在互联网时代达到前所未有的高度。自2014年以来,我国发生多起企业与个人之间关于个人信息的纠纷,原被告双方就个人信息的保护与利用展开激烈争论,企业利用自动化技术处理个人信息,成为隐私权(个人信息)纠纷发生的起因,而深层原因在于个人信息的人格利益与财产利益如何调衡。针对不同的权益,法院大致遵循以下解释路
径:首先,涉案信息的利用或者公开是否经过个人同意是判定个人信息是否侵权的首要考量因素。其次,在确定个人信息的利用或公开经过本人同意时,再根据个人信息的功能、信息的敏感性、同意的范围综合考量是否侵权。由此可以看出,法院调整的重心从个人隐私安全转向对个人自主控制权益的保护。
私密信息界定的司法立场
早期对个人信息的保护援引隐私权的保护规范足以达到救济的效果。后为适应数字时代的发展需求,实现个人信息保护与利用的双重功效,《民法典》将隐私权与个人信息保护作有意区分,将有关隐私的信息定性为私密信息,作为隐私权规范的范畴,非私密信息则由个人信息规范调整。法院也依此意旨逐步呈现出对两者区分适用的态度,然而如何区分并没有给出明确答案,一般仅从内容和功能上考量信息的私密性,遵循“涉案信息是否是个人信息”,进而再考察“涉案信息是否具有私密性”这种推理程序,判定行为人是个人信息侵权抑或隐私侵权。例如,在“凌某诉抖音案”与“黄某诉腾讯案”中,法院均采取了类似的解释路径。
通过上述案例可知,由于现行立法的抽象规范,法院对私密信息的界定可以反映出司法机关对上述问题解决的基本倾向,虽然回应了个人信息与隐私二元区分的立法规范,然而,这种强行适用的方式显示出个人信息的规定仅成为“替换隐私权规范而作为裁判依据的功能”,在结果上两者似乎并未呈现实质性差别,隐私与个人信息的区分“囿于一种概念性差别”的僵化状态,法院并未做出事实上的区分标准,“私密信息仅能在隐私权框架下获得防御性保护”。[9]尽管立法者有意将个人信息与隐私权区分规定以确保个人信息的流通与共享,但在实践中,法院对涉案个人信息是否属于私密信息的判定附带主观意志,同样的个人信息在不同案件中对私密性的认定并未保持一致。在肯定隐私侵权的案件中,法院主要从侵权行为与损害后果之间的因果关系的角度考量个人信息的私密性,例如在“庞某诉趣拿公司隐私权纠纷案”“邓某诉顺丰隐私权纠纷案”中即遵循类似解释路径。在认定个人信息侵权成立而否定隐私侵权成立的案件中,法院以识别性作为个人信息的判断标准,与此同时,在认定涉案信息属于个人信息时,直接以信息不具有私密性的主观价值判断作为否定私密信息的缘由,这种预先设定私密性的方式直接将非法性因素纳入考量范围,通过主观判断而进行先验式分配无异于以果寻因,导致私密信息定义的逻辑混乱。由此可知,隐私与个人信息难以区分的缘由在于私密的主观性使然,同样的个人信息/隐私对不同主体的主观感受存在差异,由此产生个人信息与隐私难以区分的困境。彭诚信认为,隐私的实质内涵仅停留在法理概念上,在实践中,隐私的具体范围很难确定,此为不同主体的个体差异性与主观性所决定。[10]再向深层推究可知,在大数据时代背景下,这种主观性认知的背后是个人信息在不同情境中所呈现的利益类型与价值元素的差异,尤其在复杂多变的网络环境中,个人信息类型的丰富化与传播方式的多样化更暴露了以主观感知秘密性的局限性,由此导致个人信息与隐私权难以区分。
随着大数据、人工智能等信息技术的研发与应用,个人信息共享集中在网络领域,信息流动的复杂化与信息内容的丰富化使得私密信息的界定愈发困难,其折射的正是传统确定隐私范围的理论失效。
第三方原则是通过对美国宪法第四修正案的解读产生的。隐私权制度诞生于美国,自萌芽时期其内涵素有争议,包括私人独处与信息自决的双重含义。在西方文明史上一直存在着公私领域的划分,公共领域是指在开放环境中所生活的世界,而私人领域在于家庭,是个体不受公共生活规则约束的领域,[11]87隐私利益正是在这种背景下产生,即防止他人非法对自己物理空间入侵的一种利益,主要针对美国政府。因此,最初隐私规则与政府极权主义对立,是美国宪法第四修正案中延伸出来而后逐渐为法院认可。[12]1886年,Boyd v.United States案被认为是美国公民对抗政府非法入侵私人领域的标杆性案件,①参见Boyd v.United States.116 U.S.616(1886)。最终在Katz v.United States案中正式确立物理性隐私权(Right to Physical Privacy)。②参见Katz v.United States 389 U.S.347(1967)。John Harlan大法官确立了合理隐私期待理论即个人对隐私具有主观期待,且该期待应符合社会大众认可的合理标准。宪法第四修正案禁止任何以非法方式入侵私人领域的行为,构成了公私领域划分的基本原则,第三方原则正是在公私领域二分的背景下产生的。
第三方原则是指,隐私具有秘密性,但当这一信息被第三方知晓或泄露之后,个人就不再享有隐私权的保护。[13]1107这一思想最初源于一系列个人私密事务被其朋友泄露给警方线人或便衣警察的事件。在Lee v.United States案、Hoffa v.United States案以及United States v.White案中,法院认为当个人将其私密信息泄露给他人时,就不再属于宪法第四修正案的保护范围,因为该条并不禁止他人将其获知的秘密提供给第三人的自由。③参见Lee v.United States,343 U.S 747(1952);Hoffa v.United States,385 U.S 293(1966);United States v.White,401 U.S745(1971)。因此,法院以Miller v.United States案为先例,以Smith v.Maryland案为契机,以公私二分理论为基线,围绕宪法第四修正案形成了著名的第三方原则,即隐私一经披露被第三方知晓,就不再具有私密性,故不再属于隐私范畴,之后法院遵循同一解释路径对类似案件进行裁判。
然而,随着计算机技术的创新与发展,第三方原则形成的隐私边界开始暴露缺陷。首先,宪法第四修正案保护的范围仅限于私人的有限领域,而随着技术手段的革新,政府收集信息的方式开始依靠先进技术手段,不再单一依赖传统物理入侵的方式即可达到监听、调查的目的。[14]1010-1012其次,信息时代的到来促进了新闻媒体产业的发展,信息共享成为一种常态,新闻媒体成为信息收集的主力军,且新闻行业信息传播的广泛性与快速性,决定了其较政府对私人信息的收集更具有侵入性与骚扰性。[11]135有学者认为,在信息时代,公开披露个人隐私事务的隐私侵权类型已经死亡。[15]信息自动化技术使得个人信息收集与共享成为一种必然,传统私人领域的隐私事务开始主动或者被动地溢到公共领域,个人对其隐私的保护逐渐失控,而受第三方原则的扩大解释,公共领域的隐私很难受到隐私权的保护,隐私保护与信息流转之间的矛盾愈发难以调和,由此导致学界与实务界争议不断。
在第三方原则的相关学说与判例的演绎过程中,第三方原则的实用性开始受到学者的质疑。Solove认为,隐私不是一个抽象的事实,它不是一种空间距离、信息、监视,而应该是一种具体的行为规范。[13]1129在信息爆炸的大数据时代,信息技术的发展使得监视不再具有独特性,全民生活在被监视的环境中。[16]Helen Nissenbaum认为,公私对立的领域之间并没有一条清晰的界限划分,公私二分法则只是案件纠纷解决的基准,而不是案件解决的结果,尤其当涉及信息技术的相关案件时,如何对第三方原则进行适用并不精确。[17]这种解释路径只是将信息共享导致风险的偶然事件视作应然状态,这种经验性的假设往往与现实需求相悖,因为现实中并没有一种普遍的标准对公私领域进行严格区分。在不同的社会背景下,隐私内容也随之变化,第三方原则对隐私权范围的单一场景划分显得捉襟见肘,如何对传统定义隐私的规则进行重塑值得进一步探讨。
因网络环境的复杂性和技术性,传统基于物理空间划分的公私领域难以涵盖信息社会中个人信息的多重利益和价值表达,美国法进行了诸多有益尝试,力求在网络空间中准确合理地划分隐私,以适应网络环境的需求。Orin S.Kerr认为,在网络环境中,宪法第四修正案应该扮演“技术中立”的角色,并以信息内容二分代替公私领域二分作为从物理空间过渡到网络空间的准确转嫁。信息内容二分与公私领域二分相对应,内容二分包括内容信息与非内容信息。内容信息是私人信息的网络替代,指的是个人在网络空间的自我反思与自主表达,以及与个人认知的他人之间的私密交流,Orin S.Kerr将这类信息类比为信件内容,是信封承载的内容,属于个人私人信息,符合合理的隐私期待。而非内容信息是公共领域的网络替代,Orin S.Kerr将这类信息比作信封,是个人与他人交流所必须呈现的身份表征以及个人在公共领域的行动轨迹,这些信息是传递内容信息的工具。这种区分可以折射出宪法第四修正案在物理空间的界线,对于内容信息的保护应当符合合理隐私期待,对于非内容信息则不再属于该修正案的保护范畴。[14]1010-1012Orin S.Kerr尝试在网络空间对公私领域进行划分,从内容的角度对隐私进行实质判断,认为这种划分更符合网络环境的基本动态。
Paul Ohm与Orin S.Kerr的观点类似,Paul Ohm认为,与其凭主观感受和个人直觉界定信息的隐私内涵,不如直接设计侵犯隐私的类型。他将个人信息保护的法律分为敏感信息法(sensitive information law)与保护通道法(protected channel law),敏感信息涉及个人隐私,具有高度敏感性,非敏感信息涉及个人通信渠道的信息。[18]这种区分为个人信息商业化理论提供了解释路径,即对于敏感信息的利用必须征得信息主体的同意且采取匿名化措施,而对于非敏感信息的利用原则上不影响个人隐私即可。然而,这种区分标准仍然是从个人主观角度判断隐私内涵,单个信息的性质并不能确定,因为不同个体可能拥有不同的解释路径。[19]
为应对信息技术对隐私保护带来的挑战,美国学者对传统隐私进行类型化解释,具有一定的借鉴意义。Paul Ohm与Orin S.Kerr试图在网络环境中划定个人信息涵盖的隐私范围,并赋予更精确的判断标准,以调衡信息保护与信息利用之间的对立关系,但这种方式遭到了很多学者的质疑。Daniel J.Solove认为这种划分并不精确,在信息化社会,非内容信息比内容信息的隐私程度更高,而且在网络环境中,内容信息与非内容信息很难精准区分,因为在不同的场景中信息的性质也在变化,例如指向特定线索的IP地址,很难划分清晰的界线来匹配不同性质的信息。[20]这种预先设定的信息类型并没有意义,信息在不同情境中随着不同的利用方式而呈现出不同价值。[21]而且,一旦个人将内容信息与非内容信息提供给网络服务商,那么按照第三方原则的解释路径,个人对这些信息就不再享有合理的隐私期待,依此逻辑推演,所有的信息将不再受到宪法第四修正案的保护。[14]1037这种预先设定的方式脱离具体情境的抽象考量,仍根植于以知情同意为核心的传统保护框架,以全有或全无二元判断的方法僵硬地划分私人信息(敏感信息)与公共信息(非敏感信息)之间的范围,难以有效解决信息在利用过程中的利益冲突。归根究底,隐私的本质是社会成员在某一特定社会群体中应当享有的独占信息利益,[22]52人们对相同的信息在不同情境中分享和控制的偏好是不断变化的,信息二分的扩大解释仍旧没有跳脱出传统定义隐私的体系框架。
随着信息利用的方式愈发频繁与复杂,传统精确界定隐私的方式逐步为学者与立法者放弃,一种更为灵活动态的方式方能适应信息流动的价值需求。由此,以具体场景为导向,以风险管理为方式的情境完整性理论应运而生。总体而言,该理论从提出到发展再到实践逐渐完善,成为全球平衡信息保护与利用的理论基础。
情境理论由西米提斯教授在衡量敏感信息合理使用边界时提出,他认为信息敏感性不是与生俱来的,任何信息基于具体情境都可能具有敏感性,该观点后被学者们所提倡。[23]
Daniel J.Solove注意到隐私在不同情境中的不同价值表达,因此,他并不尝试精确定义隐私,而是主张对隐私内涵的确定应该视实际情形而定。[13]108他从风险角度按照个人信息生命周期提炼出个人信息的侵权类型,即个人信息在收集、利用、传播与入侵阶段,分别产生不同的损害风险,因此法律应该按信息在各个阶段出现的可能风险适用不同的保护规则。[24]随后Daniel J.Solove与Paul M.Schwartz对比欧美以识别路径定义个人信息的方式,认为由于网络技术的复杂性与信息内容的丰富性,在不同的场景中,信息的性质可能会转化,所以简单列举个人信息的方式并不能映射个人信息的所有价值,故提出“个人识别信息2.0”,根据信息利用过程中识别个人风险的程度,将个人信息分为已识别的个人信息、可识别的个人信息和不可识别的个人信息。鉴于个人信息在网络环境中的异质性与繁杂性,他认为这三种类型之间并没有清晰的界线,故应该采用动态开放性标准进行界定,并对不同类别的个人信息采取不同的监管规则,实现信息保护与信息利用的利益平衡。[25]Daniel J.Solove与Paul M.Schwartz认识到,由于在不同情境中信息风险等级存在不同,这超出立法所能调整的范围,故舍弃传统对信息二元划分的判断模式,转而以“程度性标准”评估信息风险等级,试图在具体情境中测评信息利用的风险,进而对信息生命周期进行全程动态风险控制。Daniel J.Solove与Paul M.Schwartz在具体情境中以风险路径为导向对个人信息利用进行控制的方式值得肯定,但对于情境理念的引入仍停留在零碎化的起步阶段,尚未充分厘清情境导向路径与风险导向路径之间的关系,故未能系统构建出以具体情境为依托,以风险管理为手段的制度框架。
Helen Nissenbaum是系统构建情境完整性理论的第一人,他认为复杂的情境并没有一个普遍适用的隐私规则,隐私是对信息流动的适当限制,只要对信息的分享和利用与该情境中确定的流动原则性条件相一致,就不存在分享信息即侵犯隐私的悖论。他认为,隐私权的范围涉及三个维度:从主体行为的维度,可分为政府行为与私人行为;从物理空间的维度,可分为公共领域与私人领域;从信息内容的维度,可分为公共信息与私人信息。从不同的维度判断隐私利益范围可推动公私二分体系的发展,但其范围应该就活动参与者、活动的具体领域以及信息类型的变化而作出相应的调整,任何一个私人维度对信息流动的限制都不具有唯一性。基于此,Helen Nissenbaum以情境导向为路径,以风险管理贯穿个人信息生命周期,系统构架了情境完整性理论。该理论为隐私的确定提供了基准,这种评估路径映射出人们对隐私的共同情感与侵犯隐私的相似判断,主要包括四个基本论点,每一个论点均基于前一个论点加以延展。[26]150
第一,信息流动的适当性。情境完整性理论认为,隐私在不同领域可折射不同的价值面向,它不仅仅具有防御功能,而是个人为实现多元价值而对个人信息在特定范围流动的适当限制,是个人作为社会成员在特定环境中与特定成员的适当交流。
第二,信息流动是否适当取决于信息规范是否被遵守。在特定情境中,信息规范承载明示或者暗示的行为规范,从行为角度而言,这种规范直接约束或塑造人们在从事特定活动时的行为;从主观角度而言,信息规范直接影响着个人保留的期望,因此,人们对行为规范的违反会感到愤怒或震惊。[27]
第三,情境关联的信息规范,这是情境完整性理论的核心构架。信息规范是调整信息流动的法律、习惯或共识,主要由情境、参与者、信息性质以及传播原则四个要素共同构成,即特定情境,信息类型,作为参与者的信息主体、信息发送者、信息接收者,以及情境传播原则。情境关联的信息规范是根据情境传播原则调节关于信息主体的某类信息从一个主体向另一主体流动的规范。信息流动是否符合适当性标准取决于对这四个因素进行综合考量。首先,对具体情境进行考察,情境是由特定的活动、社会角色、活动目的、信息类型、价值观念、行为规范等共同构造的社会境况,是信息规范进行系统构架的基石。[26]140-150其次,对参与者进行标识,参与者是指信息流动的行为主体,主要包括信息产生者、信息发送者、信息接收者。参与者的活动能力、角色定位以及行为规范取决于具体情境,正如情境完整性理论将公私二分领域过渡到丰富多重的情境中一样,个人同样从单一的两面角色发展为百变的多元角色,参与者的角色定位影响人们对隐私是否被侵犯或尊重的共同情感,从而影响着对隐私内涵的确定。复次,信息类型是指信息的性质或属性,在不同的情境中信息的性质也会随之变化。Helen Nissenbaum并不对信息进行精确的概念化尝试,他认为信息概念的确定应由情境本体决定,而非脱离具体场景,从单一维度将信息作公私二分、内容或非内容的预设性区分。最后,对传播原则进行考察,传播原则是在具体情境中对信息流动的约束,是信息流动应该或者不应该发生的要件。主要包括秘密性原则,即禁止信息接收者向第三方以外的人传递信息;互惠原则,即信息双向性原则,指信息参与者对信息内容必须知晓,甚至需要对信息强制披露;以及自主决定原则,指信息传输需要通知信息主体或者获得信息主体同意。根据情境完整性理论,具体情境、信息参与者、信息类型、信息传播原则四个因素是由根深蒂固的社会实践和情境本体的价值目标共同塑造,最终在相关情境中形成普遍的信息流动规范。这四个要素相互独立,任何一个因素的缺失都会导致对情境完整性的破坏,因此,评估隐私的内涵需要同时对各个要素进行综合考量。
第四,信息规范的伦理合法性评估。Helen Nissenbaum认为信息流动的适当性是一种平衡,并非对某一主体利益的偏爱,而是对各方利益调衡和多元价值考量的初设,当新技术或新情境渗透到信息流动规范中,一般认为是对情境完整性的破坏,但如若塑造出一种新型信息流动模式,并与既有的信息规范在促进信息流动的价值、功能与目的方面一致,甚至更具优势,则情境仍保持其完整性,信息规范也需作相应的更新与修正。[28]190
情境完整性理论的提出逐渐成为美国隐私保护立法的理论基础,其中最典型的当属《消费者隐私权保护法案(草案)》。草案最大的亮点是借鉴情境完整性理论,从核心系统建立了以具体场景为基点、风险管理为手段的动态信息保护机制。传统个人信息保护体系建立在以知情同意为核心的构架基础上,随着大数据时代的到来,知情同意机制逐渐失去作为核心机能的基石。信息处理者出具的隐私声明条款一般冗长晦涩难懂,很少有信息主体完全阅读,导致隐私声明逐渐沦为僵尸条款。此外,信息主体对个人信息缺乏实际的控制权,相关权利的行使也举步维艰。[29]
《消费者隐私权保护法案(草案)》正式与传统的知情同意构架脱钩,将个人信息保护落实到实处。首先,个人信息定义层面,《消费者隐私权保护法案(草案)》一改过去以识别性定义个人信息的方式,转而以“关联性”对个人信息进行动态定义,这是具体场景理论在个人信息定义中的具体体现。其次,透明度层面,信息主体行使权利的前置性条件是透明度,而透明度在实现信息价值方面潜藏着巨大的潜力,[30]Tenel将其称为应对互联网+时代隐私挑战的最有力武器。[31]《消费者隐私权保护法案(草案)》加大第三方信息处理者的告知义务,同时基于具体场景更高效地帮助信息主体对自身信息的控制。最后,用户同意层面,《消费者隐私权保护法案(草案)》将同意条款作为补充性机制予以规定。第103条(b)款规定,在具体场景中,如果信息处理者处理个人信息的行为在合理阈值内,无需经过信息主体的授权;当信息处理者处理信息的行为超过信息主体的合理接受程度,危及其隐私时,信息处理者需要对该风险及时进行评估,并根据相应的风险程度采取合理的救济手段。至此,美国《消费者隐私权保护法案(草案)》建立起真正的以具体场景为依托来动态管理隐私风险的核心构架,这一改革在大数据时代背景下,对协调个人信息利用和保护极富指导意义。情境完整性理论从多个维度对隐私制度进行反思与重塑,完整而精准地把握了隐私内涵的多义性与隐私价值的多元性,微妙地化解了不同主体之间的利益冲突,适应了信息时代复杂多变的信息流动情境,蕴含强劲的生命力,既为网络环境中的信息共享与传播提供了理论基础,又可为后续形成的新型信息流动模式提供一定的延展空间,因此,情境完整性理论具有重要的实践价值与理论价值。
美国隐私权经历了从公私二元对立的消极防御权到多重场景融合的积极控制权的理论变迁,隐私内涵也完成了从僵硬的“公开即无隐私”的绝对形式标准到灵活的“具体情景动态判断”的相对实质标准的学理演化。我国学界关于私密信息的争议与美国法的学理发展趋势相似,也呈现出从公私场域的方式(公开与私密)到信息内容划分(私密与非私密)的路径变迁。基于此,可转化思路,立足我国国情,借鉴情境完整性理论的有益经验,尝试采用实质标准定义私密信息。
对于个人信息与隐私的界分,学界素来具有争议。隐私一般具有秘密性,主要包括私密性信息或私人活动,[32]隐私权被理解为个人私生活不受打扰、个人秘密不被泄露的一种消极权利,并以此为界限区分隐私与个人信息,认为两者形相似而质相异,个人信息因其社会属性,一般具有公开性特征。例如,张新宝认为,隐私包括私生活安宁和私生活秘密两个方面,个人信息是指与一个身份已经被识别或者身份可以被识别的自然人相关的任何信息,两者呈交叉关系。[33]李永军认为,单一的个人信息在正常使用时不会对个人构成侵犯,甚至在一个正常的社会中,正常的交往必须需要个人的姓名、性别甚至爱好等,只有当非正常搜集、使用时才会对人造成危害。但隐私不同,即使是正常的社会交往,人也有不愿意透露的秘密和内心的自由空间。[34]彭诚信认为,狭义的隐私权内涵与严格的人格权属性决定了隐私信息不能自由交易和公开。[35]由此可知,公开与否成为隐私与个人信息的区分标准,即私密部分受隐私权保护,私密信息一旦公开就属于信息自决的保护范畴。
为化解传统界定隐私与数据经济发展的张力,我国学界也注意到场景在隐私判断中的核心力量。隐私是对个人信息流动的适当限制,秘密性并非其本质特征,其天然的社会属性决定了隐私在不同场景中的多重含义。国内的传统隐私权框架和个人信息权保护之所以处于失灵状态,在于它们都试图以一元化的视角来定义隐私,然而隐私权并非一成不变,而是具有丰富的涵义。[36]信息的现实流动无法按照公共和私人两大领域来简单定义,隐私的内涵也不能从私密性价值中得到完整表达。[37]对于个人信息流动的结构必须置于复杂的情景中考察,个人信息在信息社会中“遭遇”的是风险,形成的是由“际遇”或“境遇”构成的“事件”。“事件”是行为与环境的“相遇”,有些会脱离线性的“行为—结果”关系的原因力控制,挣脱个人同意的约束围,被信息流裹挟到个人未知的地方,也就打破了传统法学所筹划的“行为—因果关系—结果—责任”的规范结构。[5]22大数据时代纷繁复杂的个人信息处理场景中,前端的、静态的遵循知情同意的框架已经不足以应对严峻的隐私挑战,必须及时扭转思路,在个人信息处理所处的具体场景中进行动态的风险控制。[38]
维特根斯坦的家族相似性理论指出,给某一事物下定义,除了采用找出共同特征的方式之外,也可采用其他方式。[13]1087在大数据时代,信息构成各种情景互通的桥梁,信息的流动具有天然的社会属性,发挥多重公共管理职能,因此,隐私是个人在相应情景中对其信息流动的适当限制。隐私承载的多元利益类型和多重价值功能决定了私密性、自主性、敏感性均是个人信息在情景流动中的不同表现形式,任何单一维度的定义方式都无法涵盖隐私的全部内容。情境完整性理论将适当性标准置于以四要素共筑的信息规范中,根据不同情景动态把握信息的性质与使用程度,准确判断隐私内涵,全面实现隐私的每一个价值面向。
隐私权制度的本质在于通过协调社会群体成员的个人信息利益与共享信息利益之间所产生的冲突来实现双方利益的平衡。[22]54因此,信息隐私的内涵应依照特定社会群体在特定情景的信息传播规则加以判断,并结合情境完整性理论中确定信息规则的四个构成要件来加以确定。具体而言应遵循以下步骤。
1.信息参与者的特定关系
在判断某类信息是否具有私密性时,首先应基于信息参与者之间的特定关系来决定。不同的参与主体基于不同的目的而形成的社会关系也不尽相同。权利人与他人建立关系的行为分为两种:法律行为与事实行为。前者指的是个人按照自己的意愿与他人建立法律关系,达到预期的法律效果,但在此过程中个人只基于这一法律关系披露自己的相关信息,而双方仍处于一种陌生状态;后者指的是个人在公共场所或者基于公共行为与他人产生事实关系。
当前,基于法律行为产生的关系最典型的莫过于网络平台中企业与用户之间的关系,在网络环境下买卖合同中,用户、平台与商家围绕买卖形成临时社会群体,该特定群体因其存在的目的与功能而锁定共同利益,根据共同利益来确定所涉及的信息属于个人私密利益还是共享利益。具体而言,用户在注册账号、购买商品时需要填写的个人身份信息以及收货信息等都是平台或商家为保证交易顺利进行而对个人信息的初次使用,此为实现合同目的而进行的信息共享。当然,随着大数据、人工智能、区块链等一系列新技术的崛起,个人信息不仅限于初次利用,还会在其他情况下被重复利用,在这种陌生关系中,信息传播与利用方式的复杂化与范围的广泛化超出用户预期的合理隐私期待,由此引起个人对信息泄露和识别自己身份的恐慌与焦虑。[26]1可以看出,基于法律行为形成的关系中重在确保信息共享的适当性。
在基于事实行为形成的陌生关系中,个人为追求自由思想的表达与个性行为的展示,会在公共场合隐藏自己的身份而达到不被他人识别或监视的目的。在这种陌生领域中,个人可以融入情景中享受自由舒适的状态。[39]因此,基于事实行为形成的关系重在确保个人信息的匿名化。例如,在“朱某诉百度隐私权纠纷案”中,法院认为cookies未能识别具体个人,故未对朱某的隐私利益造成侵害。
2.具体情境中的共同利益
在确定参与主体之后,根据该特定群体的共同利益来确定权利人的隐私基础,即为具体情境的确定。特定群体的共同情感取决于具体场域,信息参与者在不同情境中的角色定位影响着对隐私内涵的确定。例如,个人可以作为医生、教师、警察、朋友等角色存在于不同的情景中,而不同的角色定位所期待的隐私内容也有所差异;反之,在国家、企业、家庭中的共同利益决定了每个信息参与者的隐私基础。而不同时代、不同国家的价值取向、历史背景、发展路径存在差异,由此决定了对私密性的理解和认定有所不同。在网络环境中,存在用户言行不一的矛盾现象:他们一边呼吁保护隐私,而另一边将自身信息上传至社交网络。事实上,这并非用户不重视隐私问题,而是在不同情景中个人行为经过了精细调整,“场景的转换会涉及信息传播方式、信息发送者、信息接收者的变化,这都成为影响人们对隐私合理期待的因素”。[28]183例如,当《数据安全法》将个人信息的安全利益作为国家与个人的利益时,那么个人私密信息便不再是个人利益,而属于国家的共享信息。
3.信息传播的范围限定
在确定参与主体与具体情境之后,再对权利人的隐私利益在共享利益中的范围加以确定。针对如何确定个人信息传播的有限范围,Lior Strahilevits提出了社交网络理论。根据Lior Strahilevits的观点,对于有限范围的认定不应该由知晓个人信息的人数决定,而应该关注知情人广泛传播个人信息的可能性,只要信息在有限的群体内,就应该被认为具有私密性。[40]然而,可能性或合理性如何确定?这就需要具体情景中根据参与主体选择适用情境完整性理论中提出的三项规则:秘密性原则、互惠原则、自主决定原则。例如,在医疗情境中,医生应该对患者健康信息保密,如若与第三方共享该信息则将引起患者内心的尴尬与恐慌,此即经过利益衡量与价值对比而采取秘密性原则的缘由,如若医生泄露患者信息,则视为对信息流动规范的初步违反。再比如,在微信朋友圈中发布的信息内容仅限于在权利人本人的朋友圈内共享,此时需要适用自主决定原则,第三方若想传播该信息则需要经过权利人同意。因此,在上述“黄某诉维斯瑞隐私权纠纷案”中,维斯瑞公司将黄某的信息公布于公众号显然超出信息共享的合理范畴,故维斯瑞公司的行为构成侵权。
4.利益冲突的价值判断
信息流动的适当性是一种平衡,并非对某一主体利益的偏爱,而是对各方利益调衡和多元价值考量的初设结果,信息规范并非一成不变,而是会随着社会现实的发展变化而不断演进,否则该理论会过于僵硬与保守,难以满足社会的发展需求,因此,相关情境中的信息流动规范只是初设的,对信息流动的评估还不止于此,因为有些新型的信息流动模式非常有益,是否“有利”的检验标准取决于是否符合具体信息流动规范的价值、功能与目的。[28]190当出现新的情境时,将利益关系、伦理价值以及情境目的等变量加入评估范畴,即可对初设的信息规范进行修正与约束。出于对具体情景目的与价值的实现,新的信息流动规范有时会与最初的信息流动规范相悖,损害信息主体的隐私利益。
法律既为社会力,则社会变迁,法现象不能不与之俱变。[41]数字社会的到来是我们讨论个人信息的前提,[42]数据技术变革传统界定隐私概念的方式,隐私的法律属性会随着个人所处的具体情景而相应变化。传统以“公开即无隐私”的绝对标准判断隐私内涵已不合时宜,对其界定的方式应该置于具体情景中进行动态考量,且回归到相对公开的实质标准确定保护范畴。《民法典》在第四编第六章设置“隐私权和个人信息保护”,在第一千零三十二条和第一千零三十四条分别就其定义作出规定,可以看出立法者有意将两者进行区分保护。但在第一千零三十四条第三款同时又规定“个人信息中的私密信息,适用隐私权的规定”,从文义解释的角度看,此时需要对私密信息进行定义,这无疑增加了对两者区分的难度,同时造成私密信息在司法适用上的解释困境。笔者认为,个人信息的人格利益是隐私本质,私密信息等同于隐私信息,信息在不同的语境中其内涵与性质不同,故应该抓住情境完整性理论的精髓对隐私信息进行动态判断。《民法典》区分隐私与个人信息作二元保护的模式,在解释上应认为第一千零三十四条仅包括个人一般信息,该条第三款关于“私密信息”的规定有画蛇添足之嫌,理应删除,以此减少在实践中对隐私、私密信息、个人信息、敏感信息等多个概念解释的不同论证以及概念混同使用的司法困境。