《个人信息保护法》视野下隐私权与个人信息权益的相互关系
——以私密信息的法律适用为中心

张建文 时 诚

(西南政法大学 民商法学院，重庆 401120)

一、问题的提出

正确认识隐私权与个人信息权益的相互关系，既是构建和阐释个人信息保护制度的逻辑起点，又是破解私密信息的法律适用难题的关键所在。个人信息权益究竟是一项独立于隐私权的权益，还是附属于隐私权保护的子权利，在理论上尚存争议。在比较法上，以美国为代表的国家采纳宽泛的隐私定义，其通过“信息隐私”(information privacy)的概念包容对个人信息权益的保护；(1)See Jessica Litman,Information Privacy/Information Property,52 Stanford Law Review,No.5(2000),pp.1283-1314.而欧洲则对隐私权与个人数据权益的保护呈现形式上的分离趋势，但无论采用何种保护模式，美国和欧洲国家都无意于在整体上大幅降低乃至放弃对私密信息以外的个人信息权益之保护。

与上述两种模式不同，我国《民法典》似乎在有意无意地宣誓隐私权与个人信息权益的独立性：首先，在章节设置上，《民法典》人格权编第六章为“隐私权和个人信息保护”，这两项权益之间用“和”连接，似乎表明二者具有相互独立性；其次，在规范设计上，《民法典》第110条第1款和第111条分别确立自然人享有隐私权和个人信息权益，并在人格权编第六章分别规定了二者的内涵外延、侵害方式、处理规则等；最后，在法律适用上，对于隐私权与个人信息权益的交叉问题，《民法典》第1034条第3款规定：“个人信息中的私密信息，适用有关隐私权的规定；没有规定的，适用有关个人信息保护的规定。”该条款标志着实务上应对隐私权与个人信息权益保护适用不同的裁判规则，也就是对隐私权与个人信息权益实行严格的区分保护。2021年8月20日，《个人信息保护法》正式通过。该法以宪法为立法依据，将保护个人信息权益与促进个人信息合理利用作为立法基点，其全文并未提及隐私权的概念，也未明确规定私密信息的法律适用问题。由此产生的问题是：在《个人信息保护法》时代，隐私权与个人信息权益的相互关系是否延续了《民法典》的严格区分保护模式？《民法典》第1034条第3款关于私密信息的裁判规则能否适用于《个人信息保护法》时代的个人信息保护纠纷？换言之，个人信息中的私密信息究竟适用《民法典》隐私权的保护规则，抑或适用《个人信息保护法》的相关规定？

为回答上述问题，本文拟从隐私权与个人信息权益的保护源头出发，通过探讨国内外隐私权与个人信息权益保护模式的制度变迁，揭示《民法典》对隐私权与个人信息权益采取严格区分保护所面临的解释难题，探索《个人信息保护法》时代隐私权与个人信息权益相互关系的应然路径。

二、比较法上隐私权与个人信息权益的两种保护模式

(一)美国模式：一体化保护模式

美国是通过隐私权包容对个人信息权益保护的典型代表。自沃伦、布兰代斯提出隐私权的概念以来，(2)See Samuel D.Warren,Louis D.Brandeis,Right to Privacy,4 Harvard Law Review,No.5(1890),pp.193-220.其保护范围随着时代的更迭而不断扩展。起初，古典隐私权作为与世界隔离的个人权利，通常被界定为“保持独处的权利”(the right to be let alone)，意在保障个人能够依据其意愿使得行动或思想从社群中暂时抽离，(3)See Alan F.Westin,Privacy and Freedom,New York:Atheneum,1968,p.7.其所保护的个人信息仅仅包含“不欲为他人所知的隐私信息”(4)赵宏：《从信息公开到信息保护：公法上信息权保护研究的风向流转与核心问题》，《比较法研究》2017年第2期，第32页。。20世纪70年代以来，计算机技术的迅速发展改变了人们获取和传输信息的能力，美国在古典隐私权的地基上逐渐发展出现代隐私权的概念及其类型，其中就包含了以个人信息为保护对象的信息隐私权。自此，通过隐私权包容对个人信息权益的保护逐渐成为美国立法上的主流做法。以隐私权对个人信息的保护范围为分界点，美国信息隐私权的立法可大致分为两个阶段。

其一，部分保护阶段。从20世纪70年代到20世纪80年代中期，美国法并未将信息的可识别性作为判断其是否应受隐私权保护的基准，而是仅保护特定种类的个人信息，由此导致信息隐私权的保护范围十分狭窄。1970年，国会通过了《公平信用报告法》(FCRA)，这是美国联邦层面上第一部有关计算机和数字化记录的隐私法，旨在要求收集和使用个人信息的信用报告机构遵守公平信息实践，避免消费者的私人信息被持有该信息的信用报告机构所滥用。但由于该法的适用范围仅限于披露消费者的性格、名声、私人特征等调查性报告，且获取这些报告须是出于辨识消费者申请保险或政府福利资格之目的，其对很多场景中的个人信息无法起到保护作用。(5)参见阿丽塔·L.艾伦、理查德·C.托克音顿：《美国隐私法：学说、判例与立法》，冯建妹等译，中国民主法制出版社2019年版，第229页。1974年，国会通过了《家庭教育权和隐私法》(FERPA)，该法首次提出了“个人可识别信息”(personally identifiable information)的概念，但其并未将规制重点放在信息的可识别性上，而是仅适用于由教育机构首次收集并存储的家长的财务情况、学生的保密推荐信和成绩记录等，教育机构仍可向外界披露学生的联系方式等个人信息。(6)See Paul M.Schwartz,Daniel J.Solove,The PII Problem:Privacy and a New Concept of Personally Identifiable Information,86 New York University Law Review,No.6(2011),pp.1814-1894.在同一时期通过的1974年美国《隐私法》也是将信息记录的内容作为立法规制的重点，其仅仅适用于在计算机中通过姓名、社保号码等特定识别符检索到具体个人的情形。

其二，全面保护阶段。随着数据挖掘技术的迅速发展，各种个人信息之间的关联性不断增强，只要个人信息的收集、存储积累到一定程度，任何个人信息的处理都可能会构成对隐私的威胁。(7)See Kate Crawford,Jason Schultz,Big Data and Due Process:Toward a Framework to Redress Predictive Privacy Harms,55 Boston College Law Review,No.1(2014),pp.93-128.20世纪80年代中期以来，美国不再将信息隐私权的保护范围限定在特殊种类的个人信息上，而是逐渐认可所有类型的个人信息之保护。这一点在很大程度上得益于1984年《有线通讯隐私权法案》(Cable Communications Policy Act)的颁布。该法不仅将“个人可识别信息”作为立法的基石性概念，而且明确将其与公平信息实践联系起来，极大地扩展了信息隐私权的覆盖空间。该法与前述法律的不同之处在于：其并未将适用范围限定于信息收集的特定方法或某种类型的个人信息(如信用记录、教育记录、系统记录等)，一旦有线通讯的操纵者收集个人可识别信息，其就负有《有线通讯隐私权法案》所规定的义务。(8)See Paul M.Schwartz,Daniel J.Solove,The PII Problem:Privacy and a New Concept of Personally Identifiable Information,86 New York University Law Review,No.6(2011),pp.1814-1894.自《有线通讯隐私权法案》颁布后，个人可识别信息或个人信息逐渐成为美国制定信息隐私法的首选概念，无论联邦层面的《视频隐私保护法》(VPPA)、《儿童网络隐私保护法》(COPPA)，抑或州层面的《加利福尼亚州消费者隐私法》(CCPA)等，都旨在对特定领域的所有个人可识别信息进行保护。

总体上看，美国法上的隐私权源于对个人自由的保障。隐私权不仅包括了避免泄露私人事务的个体利益，而且涵盖了个人独立作出某种重大决策的利益；不仅包含了防止个人信息被非法使用的消极利益，而且涵盖了个人对其个人信息的控制利益。(9)参见阿丽塔·L.艾伦、理查德·C.托克音顿：《美国隐私法：学说、判例与立法》，冯建妹等译，中国民主法制出版社2019年版，第254页。在这种宽泛的隐私概念下，隐私权的边界须结合特定社群和场景进行确定，(10)See Daniel J.Solove,A Taxonomy of Privacy,154 University of Pennsylvania Law Review,No.3(2006),pp.477-564；丁晓东：《个人信息保护：原理与实践》，法律出版社2021年版，第17页。这也导致美国始终无法建立统一的个人信息保护制度，而只能在特定行业或领域建立个人信息保护的特殊规则。

(二)欧洲模式：从一体化保护到形式分离的保护模式

欧洲隐私权与个人数据权益保护植根于公民的人格尊严等基本权利，其经历了从一体化保护到逐渐分离的发展趋势。

其一，一体化保护阶段。21世纪初期以前，欧洲通常将个人数据权益纳入私人生活受尊重权的保护之中。1953年生效的《欧洲人权公约》第8条第1款确立了基本权利意义上的私人生活受尊重权。在利安德诉瑞典(Leander v. Sweden)案中，欧洲人权法院首次确立了《欧洲人权公约》第8条涵盖个人数据权益保护的一般原则，其明确将存储、公开私人生活的数据纳入私人生活受尊重权的保护范畴。(11)See Leander v.Sweden [1987] ECtHR 9248/81.在随后的判决中，《欧洲人权公约》第8条不仅被应用于在公共空间收集或构成公共(或公开)数据的个人数据保护，而且其适用范围还包括“与个人身份关联较弱的数据”(12)参见玛农·奥斯特芬：《数据的边界：隐私与个人数据保护》，曹博译，上海人民出版社2020年版，第80页。，如计量记录、电子邮件的元数据、位置数据等。受《欧洲人权公约》影响，在这一阶段的其他个人数据保护立法中，欧洲也是将隐私权与个人数据权益保护做一体化处理的。例如，欧洲理事会各成员国于1981年签署《关于个人数据自动化处理的个人保护公约》，其在前言部分将扩大对个人基本权利与自由，特别是隐私权的保护、协调，尊重隐私与保障信息自由流通的基本价值作为签署该公约的重要理由。(13)See Cecile de Terwangne,The Work of Revision of the Council of Europe Convention 108 for the Protection of Individuals as Regards the Automatic Processing of Personal Data,28 International Review of Law,Computers & Technology,No.2(2014),pp.118-130.1995年欧盟《关于个人数据处理保护与自由流动指令》第1条明确将保护自然人的基本权利与自由，尤其是个人数据处理中的隐私权作为指令的立法目的。当然，隐私权与个人数据权益的一体化保护并不意味着所有的个人数据处理都会构成对隐私权的侵害，而仍须考虑人们对隐私的合理期待。通常而言，在处理敏感个人数据时，如果该数据处理行为缺乏相应的正当性基础，则会构成对隐私权的侵害；而在处理公开或公共的个人数据时，则须综合考虑数据控制者有无专门处理特定个人的数据、该数据在后续使用中是如何被处理的、是否采取超出合理预见的手段或范围公布该数据等因素，判断该个人数据处理是否构成对隐私权的侵害。(14)See Uzun v.Germany [2010] ECtHR 35623/05.

其二，形式分离阶段。21世纪初期以来，为应对计算机技术用于个人数据处理而对人格尊严所带来的潜在风险，欧洲逐渐重视个人数据处理中的个人权益保护问题，并从隐私权中演绎出一项独立的基本权利——个人数据权益。2009年全面生效的《欧盟基本权利宪章》在充分考察关于个人数据保护的次级立法和非欧盟文本的基础上，在第7条规定私生活与家庭生活受尊重权后，又在第8条规定了个人数据权益。这是欧盟首次将个人数据权益确立为一项独立的基本权利，宣告了隐私权与个人数据权益的分离。然而，这种分离在欧盟法院看来似乎仅具有形式意义，其在判例中通常将第7条与第8条结合适用，从而在实质上构建了“在处理个人数据时尊重私生活的权利”(15)参见玛农·奥斯特芬：《数据的边界：隐私与个人数据保护》，曹博译，上海人民出版社2020年版，第91页。。这一方面是由于《欧盟基本权利宪章》第52条第3款和第53条规定，该宪章规定的权利与相对应的《欧洲人权公约》上的权利应具有相同的内涵和外延，因此对《欧盟基本权利宪章》第7条应进行广义上的理解，包含对所有类型的个人数据之保护；另一方面，该宪章第8条并未明确界定个人数据权益的边界，而对个人数据权益的侵害通常会使得受害人的隐私权遭受减损，从而引发该宪章第7条的适用。(16)See Rapha⊇l Gellert,Serge Gutwirth,The Legal Construction of Privacy and Data Protection,29 Computer law & security report,No.5(2013),pp.522-530.只有在涉及互联网服务提供商的身份识别、IP地址等少数案件中，由于对个人数据权益侵害的门槛要低于对隐私权的侵害，欧盟法院据此认定某种个人数据处理行为侵害个人数据权益而不构成对隐私权的侵害。可见，隐私权与个人数据权益的区别是“微小且难以识别的”(17)Orla Lynskey,Deconstructing Data Protection:The Added-Value of a Right to Data Protection in the EU Legal Order,63 International and Comparative Law Quarterly,No.3(2014),pp.569-598.。2018年5月25日生效的《欧盟一般数据保护条例》贯彻了隐私权与个人数据权益的形式分离，其第1条将《关于个人数据处理保护与自由流动指令》第1条中的“尤其是个人数据处理中的隐私权”替换成“尤其是个人数据保护的权利”，彰显了个人数据权益保护的独立价值。不过，尽管该条例并未提及隐私的概念，但其无意于降低对隐私数据以外的个人数据之保护，相反其仍将最具一般性的个人数据作为法律保护的基本对象。

综合来看，欧洲和美国的隐私权与个人信息权益的保护模式具有“形异神似”的特点：从形式上看，美国坚持以隐私权保护体系包容对个人信息权益的保护，而欧洲则在隐私权外创设了独立的个人数据权益；但就实质而言，欧洲和美国都将个人信息保护定位于隐私权在数字化时代的延伸，只是欧洲将个人数据保护从隐私权中独立出来，将其称之为个人数据权益。(18)高富平：《制定一部促进个人信息流通利用的〈个人信息保护法〉》，《探索与争鸣》2020年第11期，第12页。正如2016年12月联合国大会在《数字时代的隐私权》中所强调的，“隐私与数据保护是内在地相互联结……数据保护是通过调整个人数据处理行为保障我们基本隐私权”(19)高富平：《论个人信息处理中的个人权益保护——“个保法”立法定位》，《学术月刊》2021年第2期，第109页。。

三、我国隐私权与个人信息权益保护模式的立法变迁

与比较法上的两种模式不同，在《个人信息保护法》生效前，我国主要是通过民法对隐私权与个人信息权益进行保护的。我国关于隐私权和个人信息权益保护模式的民事立法进程，大致可分为以下三个阶段。

(一)《民法总则》生效前：一体化保护模式

在《民法总则》生效前，我国民事立法上尚不存在一般意义的个人信息保护规范，个人信息权益通常附属于隐私权进行保护。而这又可分为两个阶段。

1.非实在法意义上的一体化保护模式

长期以来，我国一般民事立法缺乏对隐私权和个人信息保护的规定。《民法通则》第五章第四节“人身权”虽规定了肖像权、名誉权等精神性人格权，但其并未规定隐私权之保护。为填补立法漏洞，1988年最高人民法院印发《关于贯彻执行〈中华人民共和国民法通则〉若干问题的意见(试行)》的通知，其第140条将“以书面、口头等形式宣扬他人的隐私”作为认定侵害公民名誉权的侵权行为之一。2001年《最高人民法院关于确定民事侵权精神损害赔偿责任若干问题的解释》第1条第2款又将“违反社会公共利益、社会公德侵害他人隐私”作为精神损害赔偿的具体情形。但是，这一阶段的民事立法并未提及个人信息权益的概念，隐私权与个人信息权益是共同附属于名誉权进行保护的，而不存在个人信息权益与隐私权的独立性问题。

2.实在法意义上的一体化保护模式

《侵权责任法》终结了隐私权的非实在法保护模式，其明确将隐私权纳入第2条第2款所确立的该法保护的民事权益范畴。但是，面对与日俱增的个人信息保护诉求，该条款仍对个人信息权益未置一词。2012年《全国人民代表大会常务委员会关于加强网络信息保护的决定》明确规定了对电子信息的保护，其第1条将“识别公民个人身份的电子信息”与“涉及公民个人隐私的电子信息”相并列，表明隐私权与个人信息权益在本质上具有相似性，从而对二者采取实在法意义上的一体化保护。在实践中，有的法院指出，“隐私权是指自然人享有的对其个人的与公共利益无关的个人信息、私人活动和私有领域进行支配的一种人格权”(20)施某庭等诉徐锦尧网络举报行为侵权被判驳回案，江苏省南京市江宁区(县)人民法院(2015)江宁少民初字第7号民事判决书。。有的法院判决认为，“张某某在披露王某婚姻不忠行为的同时，披露王某的姓名、工作单位名称，家庭住址等个人信息，亦构成了对王某隐私权的侵害”(21)王菲诉张乐奕名誉权纠纷案，北京市第二中级人民法院(2009)二中民终字第5603号民事判决书。。

总体上看，一体化保护模式符合学界对隐私权和个人信息保护制度发展历程的认识，即伴随信息技术的发展，隐私权的内涵，由独处的权利演变为个人信息处理的支配权；(22)参见王毅纯：《论隐私权保护范围的界定》，《苏州大学学报(法学版)》2016年第2期，第92页。隐私权的权能，从仅仅是一项消极防御性权利发展为同时包含消极权能和积极权能(如个人信息自决权)的复合性权利；隐私权的功能，从集合或个体隐私情境中的公民身份功能演化为大数据时代的信息身份功能等。(23)参见郭旨龙：《从公民身份到信息身份：隐私功能的理论重述与制度安排》，《法制与社会发展》2020年第5期，第143页。但一体化保护模式也并非完美无瑕：如果不加区分地将“自然人的姓名、婚姻状况、住址、联系电话”等所有的个人信息纳入隐私权的保护客体，(24)谢薇诉华润置地(成都)物业服务有限公司隐私权案，四川省成都市锦江区人民法院(2011)锦江民初字第2071号民事判决书。则容易加剧隐私权边界的模糊性，混淆隐私权与其他具体人格权的关系，增加了“法律适用的不确定性”(25)王泽鉴：《人格权法：法释义学、比较法、案例研究》，北京大学出版社2013年版，第204页。。

(二)《民法总则》生效后到《民法典》生效前：区分保护模式的雏形

为回应大数据时代自然人个人信息保护的需求，《民法总则》首次以民事基本法的形式确立了隐私权与个人信息权益的并列结构，(26)参见张新宝：《〈民法总则〉个人信息保护条文研究》，《中外法学》2019年第1期，第69页。即在第110条第1款确立隐私权后，又于第111条规定了“自然人的个人信息受法律保护”。尽管多数学者认为，《民法总则》已经采取了隐私权与个人信息权益的区分保护模式，(27)参见李永军：《论〈民法总则〉中个人隐私与信息的“二元制”保护及请求权基础》，《浙江工商大学学报》2017年第3期，第15页。但《民法总则》毕竟没有明确隐私权与个人信息权益的具体差别，更未建立作为隐私与个人信息交集的私密信息的适用规则，因此也有学者持有不同看法，“第111条是对隐私权内容的宣示性规定，而非确立独立的个人信息权”(28)房绍坤、曹相见：《论个人信息人格利益的隐私本质》，《法制与社会发展》2019年第4期，第120页。。可见，《民法总则》对隐私权与个人信息权益的区分是不彻底、不全面的，可谓区分保护模式之雏形。

从这一阶段的司法实践来看，《民法总则》对隐私权与个人信息权益的区分也确实没有产生直接和刚性的约束力。很多法院并未回应系争案件究竟涉及隐私权抑或个人信息权益，而是充分发挥其司法能动性，自主地决定个人信息的保护方式。例如，有的法院认为，隐私权与个人信息权益的保护模式问题仅具有专业争鸣的性质，“专业的争鸣本是为了更好地服务于权利保护的实践，如果因为专业争鸣未能达成共识就放弃对民事权益进行保护，岂非本末倒置？因此，无论对于个人信息的保护思路有何种分歧，都不应妨碍对个人信息在个案中进行具体的保护”(29)庞某某与北京趣拿信息技术有限公司等隐私权纠纷案，北京市第一中级人民法院(2017)京01民终509号民事判决书。。最终，该法院“将姓名、手机号码和行程信息结合起来的信息归入个人隐私进行一体保护”，并认为这种一体化保护“符合信息时代个人隐私、个人信息电子化的趋势”。在另一起个人信息泄露侵权责任纠纷案件中，二审法院认为，“在面对个人信息和隐私信息的区分及保护路径上，理论界虽存争鸣，但对于两者均应予以妥当的法律保护当是共识”，“故将一审法院所认定的‘侵权责任纠纷’纠正为‘隐私权纠纷’”。(30)邓立荣与顺丰公司侵权责任纠纷案，北京市第三中级人民法院(2020)京03民终2049号民事判决书。

(三)《民法典》时代：区分保护模式的强化

如果说《民法总则》关于隐私权与个人信息权益保护模式的探讨仅具有专业争鸣的性质，那么《民法典》则正式确立了对隐私权与个人信息权益的区分保护的刚性约束力。与《民法总则》相比，《民法典》不仅在第1032条第2款和第1034条第2款分别规定了隐私和个人信息的涵义，表明隐私权与个人信息权益在保护客体上存在差异；更是在第1034条第3款确立了个人信息中的私密信息应当优先适用隐私权保护之规则。该规则意味着：其一，在对隐私权与个人信息权益采取严格区分保护的前提下，“将个人信息保护与隐私权两个概念以及两项制度交织在一起”(31)周汉华：《平行还是交叉——个人信息保护与隐私权的关系》，《中外法学》2021年第5期，第1171页。，并将其分为纯粹隐私权之保护、纯粹个人信息之保护、私密信息之保护等三种具体类型；其二，修正此前法院可自由选择适用隐私权或个人信息保护的规定处理个人信息保护纠纷的观点，明确只有当个人信息经过私密性检验而成为所谓的私密信息后，才能成为隐私权的保护客体；其三，处理私密信息与非私密信息应分别根据《民法典》第1033条和第1035条适用不同的法律规则，对私密信息的处理应征得权利人的明确同意，且只有全国人大及其常委会制定的法律才可创设私密信息的处理规则，而对非私密信息的处理则只需征得自然人或其监护人的同意，法律、行政法规都可以创设非私密信息的处理规则；其四，该规范作为对法院具有直接和刚性约束力的裁判规范，“既是积极确定对个人信息中的私密信息适用有关隐私权之规定的法律适用规则，也是消极排除对个人信息中的私密信息适用有关个人信息保护之规定的法律适用规则”(32)张建文：《在尊严性和资源性之间：〈民法典〉时代个人信息私密性检验难题》，《苏州大学学报(哲学社会科学版)》2021年第1期，第65页。。

在《民法典》时代的个人信息保护案件中，法院已经深刻认识到隐私权与个人信息权益在规范意义上的差别。甚至有的法院在《民法典》尚未生效的情况下，就已经参照《民法典》的相关精神对隐私权与个人信息权益进行区分保护，并主动对涉案个人信息是否构成私密信息的问题作出了回应。例如，“原告的姓名、手机号码、社交关系、地理位置属于原告的个人信息，被告未征得同意处理上述个人信息的行为构成对原告个人信息权益的侵害；原告的上述信息不属于隐私，被告的使用行为不构成对原告隐私权的侵害”(33)凌某某诉北京微播视界科技有限公司隐私权、个人信息权益网络侵权责任纠纷案，北京互联网法院(2019)京0491民初6694号民事判决书。。“原告所主张的微信好友关系既未包含其不愿为他人知晓的私密关系，他人也无法通过其微信好友关系对其人格作出判断从而导致其遭受负面或不当评价，故本院认定原告所主张的微信好友关系也不属于原告的隐私。”(34)王某与深圳市腾讯计算机系统有限公司网络侵权责任纠纷上诉案，广东省深圳市南山区人民法院(2020)粤0305民初825号民事判决书。2020年12月29日，最高人民法院发布了《最高人民法院关于印发修改后的〈民事案件案由规定〉的通知(2020)》，在该通知的“人格权纠纷”中，有关隐私权和个人信息保护的部分由原来的第6条“隐私权纠纷”修改为第8条“隐私权、个人信息保护纠纷”，并设置了独立的第1款“隐私权纠纷”和第2款“个人信息保护纠纷”。可见，我国司法机关已经充分考虑并落实了《民法典》对隐私权与个人信息权益的严格区分保护。

四、隐私权与个人信息权益区分保护的解释难题

《个人信息保护法》是否延续了《民法典》隐私权与个人信息权益的严格区分保护模式？这要从《民法典》和《个人信息保护法》生效后司法机关对区分保护模式的解释难题开始谈起。

(一)个人信息的私密性检验难题

《民法典》第1034条第3款确立了私密信息应优先适用隐私权保护的适用规则，这一规定“导致司法实践在具体的个人信息保护案件中，不得不追问所遇到的信息是否为个人信息，是否具有私密性，以便区分是用隐私权去保护还是用个人信息去保护”(35)张建文：《在尊严性和资源性之间：〈民法典〉时代个人信息私密性检验难题》，《苏州大学学报(哲学社会科学版)》2021年第1期，第63页。。如何确立个人信息的私密性检验标准，将属于隐私权保护的具备私密性的个人信息从所有具有可识别性的信息中分离出来，是司法机关面临的重要难题。

对此，有的法院将社会一般认知和自然人的合理隐私期待作为个人信息的私密性检验标准，并认为：“将用户隐私期待强烈程度不同的信息笼统划入某相对固定的概念，并不是有效保护权利或权益的最优选择，而有必要深入实际应用场景，以‘场景化模式’探讨该场景中是否存在侵害隐私的行为。”(36)黄某诉腾讯科技(深圳)有限公司等隐私权、个人信息权益网络侵权责任纠纷案，北京互联网法院(2019)京0491民初16142号民事判决书。还有些法院将其区分为“私人生活安宁”和“不愿为他人知晓”这两种私密性检验标准，其中前者“应考量其个人生活状态是否有因被诉行为介入而产生变化，以及该变化是否对个人生活安宁造成一定程度的侵扰”；而对后者的判断则存在两种不同意见。一种意见认为，“就不愿为他人知晓的私密空间、私密活动、私密信息来说，可以综合考量社会一般合理认知以及有无采取相应保密措施等因素进行判断”；而另一种意见指出，“就私人信息秘密而言，主要考量个人具有私密性的信息是否被非法刺探、泄露、公开等而导致个人人格利益受到损害”。

上述观点通过揭示影响个人信息私密性的各项因素，意在于具体场景中实现个人信息的私密性检验，在一定程度上增加了《民法典》第1032条第2款“不愿为他人知晓”的内涵，有利于实现隐私权实质标准的具体化。然而，上述观点也存在不足：一方面，社会一般合理认知“可能受到地域、文化传统、法律传统、风俗习惯、经济发展状况、社会普遍价值观等因素的影响”，而“不同用户就个人信息的期待也可能存在消极防御与积极利用的差异”。当社会一般合理认知与个案中自然人的合理隐私期待发生冲突时，如何实现二者之间的协调是实务上亟待解决的问题。另一方面，场景化模式接纳了隐私的相对标准，并主张采用个案评判的方式“实现‘场景性公正’，即在具体场景中实现信息的合理流通”(37)丁晓东：《个人信息私法保护的困境与出路》，《法学研究》2018年第6期，第205页。。然而，场景化模式的实际操作效果却“难谓令人满意”(38)张建文：《在尊严性和资源性之间：〈民法典〉时代个人信息私密性检验难题》，《苏州大学学报(哲学社会科学版)》2021年第1期，第70页。。在《民法典》生效后或参照其立法精神作出的判决中，无论通常被认为是属于私密信息的用户通讯录、社交关系信息(微信好友列表、微信好友关系等)、地理位置信息，(39)参见黄某诉腾讯科技(深圳)有限公司等隐私权、个人信息权益网络侵权责任纠纷案，北京互联网法院(2019)京0491民初16142号民事判决书；王某与深圳市腾讯计算机系统有限公司网络侵权责任纠纷上诉案，广东省深圳市南山区人民法院(2020)粤0305民初825号民事判决书。抑或自然人的姓名、手机号码等，(40)凌某某诉北京微播视界科技有限公司隐私权、个人信息权益网络侵权责任纠纷案，北京互联网法院(2019)京0491民初6694号民事判决书。全部被判定为不具有私密性。

(二)个人私密信息与敏感个人信息的关系难题

除私密信息与非私密信息的分类外，《个人信息保护法》还规定了另外一种个人信息的分类方法，即将个人信息分为敏感个人信息与一般个人信息。该法第28条第1款规定，所谓敏感个人信息，是指一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息。不同国家或地区规定的敏感个人信息之类型，因其“历史发展、文化背景、意识形态互不相同”(41)胡文涛：《我国个人敏感信息界定之构想》，《中国法学》2018年第5期，第244页。而存在差别。例如，《欧盟一般数据保护条例》第9条规定，敏感个人信息包括种族、民族、政治观点、宗教或哲学信仰、工会成员资格、基因、生物特征、健康信息、与刑事定罪相关的信息、性生活或性取向信息等。我国《个人信息保护法》第28条第2款则将生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满14周岁未成年人的个人信息纳入敏感个人信息的范畴。

上述个人信息的分类在实践中产生了另一难题，即个人私密信息与敏感个人信息的关系厘定问题。在理论上，不同学者对敏感个人信息与个人私密信息之关系的看法并不一致。一种意见认为，敏感个人信息与个人私密信息并无本质区别，二者是同质关系，是“关涉个人隐私核心领域、具有高度私密性、对其公开或利用将会对个人造成重大影响的个人信息”，并主张应“强化个人敏感隐私信息的保护”(42)张新宝：《从隐私到个人信息：利益再衡量的理论与制度安排》，《中国法学》2015年第3期，第51页；叶名怡：《论个人信息权的基本范畴》，《清华法学》2018年第5期，第144页。。另一种意见认为，敏感个人信息与一般个人信息、私密信息与非私密信息是基于不同视角对个人信息作出的两种不同的分类，敏感个人信息与个人私密信息存在交叉重合关系。(43)王利明：《敏感个人信息保护的基本问题——以〈民法典〉和〈个人信息保护法〉的解释为背景》，《当代法学》2022年第1期，第6页。敏感个人信息“主要是从该信息被非法处理可能产生的危害后果这一客观的角度来认定的”，而私密信息则是从“该信息被侵害是否影响私人生活的安宁等角度”(44)程啸：《个人信息保护中的敏感信息与私密信息》，《人民法院报》2020年11月19日。进行判断的。

事实上，敏感个人信息与个人私密信息的关系并非简单的概念分歧，其关键在于当个人信息符合私密性和敏感性的要求时，此类个人信息的保护究竟应适用《民法典》第1033条的规定抑或《个人信息保护法》第二章第二节“敏感个人信息的处理规则”的规定。在实践中，有的原告主张“网页浏览信息属于敏感信息，敏感信息应为隐私信息”。对此，法院更倾向于敏感个人信息与个人私密信息是交叉关系的观点，“个人敏感信息更强调不当利用给信息主体带来的客观风险，该风险包括人身、财产风险；私密信息更强调因信息涉及人格利益而不愿为他人知晓的主观意愿”(45)黄某诉腾讯科技(深圳)有限公司等隐私权、个人信息权益网络侵权责任纠纷案，北京互联网法院(2019)京0491民初16142号民事判决书。。但与此同时，该法院也承认，“目前，对于一般个人信息、个人敏感信息、私密信息还缺乏清晰的界分，有待法律进一步明确”。如何正确处理敏感个人信息与个人私密信息的关系，已经成为困扰司法机关的重要难题。

(三)非私密信息保护强度和力度的降低问题

由于《民法典》和《个人信息保护法》并未采用“个人信息权”的表述，学界主流观点认为，个人信息权益属于民事利益的范畴，非私密信息的保护强度和力度应低于作为绝对权的隐私权或对私密信息享有的权利。对此，有的学者认为，侵害私密信息与非私密信息在侵权责任认定上存在以下区别：其一，在主观要件上，隐私权或个人私密信息的保护应适用一般侵权规则；而为避免利益保护范围过于宽泛，影响他人行为自由，对非私密信息的保护“通常还要求满足一定的主观要件，如只有在故意或重大过失的情形下，才能追究加害人的责任；或者用是否违反善良风俗等标准限制对加害人的追责”(46)王利明：《和而不同：隐私权与个人信息的规则界分和适用》，《法学评论》2021年第2期，第19页。。其二，在损害认定上，侵害隐私权的责任构成不以权利人证明实际损害为必要；而侵害个人信息的侵权责任则要求自然人证明其遭受财产损害或精神损害。其三，在责任方式上，隐私权被侵害的受害人既可以依据《民法典》第995条的人格权请求权寻求救济，也可以请求行为人承担精神损害赔偿责任，“而个人信息权益的保护则包含要求更新、更正等救济方式”(47)王利明：《〈民法典〉人格权编的立法亮点、特色与适用》，《法律适用》2020年第17期，第14页。，其能否适用《民法典》第995条的规定尚存争议。

上述观点符合权利与利益的区分保护原则，并旨在根据该原则落实《民法典》对隐私权与个人信息权益在保护力度上的区分，对于强化私密信息的保护、促进非私密信息的利用具有重要意义。然而，无论是在一般侵权规则的基础上强化非私密信息侵权责任构成的主观要件和受害人的损害证明义务，抑或限制人格权请求权的适用，都在一定程度上放松了对非私密信息之保护，其不仅不利于个人信息自决权的实现，而且容易将非私密信息在特定情况下排除在法律的保护范围之外。例如，有的法院出于“对个人信息绝对化的保护，可能会导致个人信息处理和数据利用的成本过高，甚至阻碍信息产业的健康发展”的考虑，认为“需要在具体应用场景中考察是否存在个人信息合理使用的情形”，“在没有对信息主体造成不合理损害的前提下，认定某些个人信息的利用行为可以不必征得信息主体的同意”。(48)凌某某诉北京微播视界科技有限公司隐私权、个人信息权益网络侵权责任纠纷案，北京互联网法院(2019)京0491民初6694号民事判决书。这种做法将“没有对信息主体造成不合理损害”作为非私密信息合理使用的判断标准，“诱惑裁判者倾向于将在实践中难以证明的或者是对个人而言本来就是不那么重要的损害，都认定为合理使用”(49)张建文：《个人信息合理使用的立法创新与裁判立场》，《求是学刊》2021年第6期，第112页。，从而降低了对非私密信息的保护力度，不符合“自然人的个人信息受法律保护”的立法目的。由此观之，如何防止因隐私权与个人信息权益的区分保护而大幅降低对非私密信息的保护强度和力度，是司法机关所面临的另一难题。

五、隐私权与个人信息权益相互关系的重新思考

鉴于《民法典》对隐私权与个人信息权益的区分保护存在上述难题，在《个人信息保护法》已经制定了详细的个人信息保护规则的背景下，有必要重新思考隐私权与个人信息权益的区分实意，正确处理私密信息的法律适用问题。

(一)隐私权与个人信息权益的区分实意

综合上述分析，《民法典》对隐私权与个人信息权益的区分立基于二者在保护强度和力度上的区别，即“法律对隐私权给予了更加严格的保护”(50)张璐：《何为私密信息？——基于〈民法典〉隐私权与个人信息保护交叉部分的探讨》，《甘肃政法大学学报》2021年第1期，第100页。。然而，这一判断并不符合隐私权和个人信息保护制度的发展历程。自罗马法以降，传统民法就对个人信息上的姓名、肖像等人格利益进行保护。(51)参见王苑：《个人信息保护在民法中的表达——兼论民法与个人信息保护法之关系》，《华东政法大学学报》2021年第2期，第68页。近代以来，随着人类文明的进步，社会交往的复杂性日渐增强，人们在文化的提炼中对公开性变得越来越敏感，孤独与隐私对个人而言变得越来越重要。为确保个人能够以某种方式从社会交往的公共领域中剥离出来，(52)See Samuel D.Warren,Louis D.Brandeis,The Right to Privacy,4 Harvard Law review,No.5(2014),pp.193-220.各国立法上逐渐认可了已经形成规范群的隐私权。而个人信息权益作为一项相对独立的民事权益，则起源于计算机技术的广泛应用所带来的个人信息电子化处理风险，使得个人在个人信息处理中的隐私权保护成为必要。(53)参见高富平：《个人信息处理：我国个人信息保护法的规范对象》，《法商研究》2021年第2期，第77页。在迈入大数据时代后，伴随社会数字化进程的不断推进，融入机器学习的自动化处理成为了个人信息处理的核心技术。自动化处理技术能够将预先收集的个人信息大量存储于数据库中，通过整合各种个人信息片断对个人进行识别分析，从而对其人身权益和财产权益造成不确定的侵害风险。由此，法律在传统隐私权的地基上发展出个人信息保护的权益类型，但传统隐私权并未因此消亡，而是以一种崭新的形式与个人信息权益同时存在，并要求建立个人信息保护的公共监督机制。(54)参见张建文：《被遗忘权的场域思考及与隐私权、个人信息权的关系》，《重庆邮电大学学报(社会科学版)》2017年第1期，第29页。个人信息权益的保护客体并非个人信息本身，而是个人在个人信息处理中的人格尊严、安全和自由价值。个人信息权益作为保护个人的人身权益、财产权益的法律屏障，具有跨越个人与个人信息处理者之间的数字鸿沟、保护个人整体性权利的工具价值。因此，《个人信息保护法》的调整对象是在知识、经济、技术等层面具有不平等性的个人与个人信息处理者的个人信息处理关系，其并不包括以社会交往关系为典型的自然人因个人或家庭事务处理个人信息的情形(《个人信息保护法》第72条)，而后者正是划定隐私权边界的重要工具。

就此而言，隐私权与个人信息权益的区分实意不在于保护强度和力度的划分，而在于对二者采取不同的保护理念与保护方式。隐私权的主要目的在于保障人格尊严和个人自由，具有强烈的人格尊严性；而个人信息权益则具有尊严性与资源性的双重价值或属性，其既是人格尊严的集中表达，又是工具理性的产物。(55)See Robert C.Post,Data Privacy and Dignitary Privacy:Google Spain,the Right to Be Forgotten,and the Construction of the Public Sphere,67 Duke Law Journal,No.5(2018),pp.981-1072.这种工具理性源于个人信息处理中个人与个人信息处理者的“持续性的信息不平等关系”(56)丁晓东：《个人信息权利的反思与重塑——论个人信息保护的适用前提与法益基础》，《中外法学》2020年第2期，第339页。或“非对称权力结构”(57)蔡培如：《欧盟法上的个人数据受保护权研究——兼议对我国个人信息权利构建的启示》，《法学家》2021年第5期，第16页。，为个人信息权益增添了限制个人信息处理者的信息获取和增强个人对个人信息的控制权的色彩。(58)See Lee A.Bygrave,Data Privacy Law:An International Perspective,Oxford:Oxford University Press,2014,p.3.为扭转个人与个人信息处理者的持续不平等性或非对称权力格局，个人信息权益应转变传统隐私权以事后救济为主的保护思路，构建以风险预防和安全评估等事前预防为主、事后救济和惩罚为辅的综合保护方式；转变国家在传统隐私权中承担消极义务的角色定位，要求国家积极履行个人信息保护义务，并通过“个人信息受保护权-国家保护义务”(59)王锡锌：《个人信息国家保护义务及展开》，《中国法学》2021年第1期，第145页。的规范架构，确立个人信息处理的行为规范与监督机制。这种保护方式上的区别并不意味着隐私权的保护强度和力度当然高于个人信息权益。例如，为顺应个人信息权益从事后救济到事前预防的保护思路，《个人信息保护法》第四章规定了个人在个人信息处理活动中的权利，包括知情权、决定权、拒绝权、查阅权、复制权、可携权、更正权、补充权、删除权、解释说明权等，这些权利作为保障个人信息权益“本权”的程序性或手段性权利，(60)参见韩强、吴涛：《个人信息权的内涵、逻辑与体系建构》，《北京航空航天大学学报(社会科学版)》2022年第1期，第40页。其明显比对隐私权的保护更加周全。(61)石佳友教授指出，“在发生他人不当泄漏的情形时，对于隐私而言权利人只能请求损害赔偿，因为隐私一旦被公开就无法再恢复原状，进入公开信息的范畴，不再属于当事人的隐私。但是，对于个人信息而言，权利人有权要求删除所公开的信息，恢复到信息公开前的初始状态。从这个意义上来讲，援引删除权这一个人信息制度所独有的权利，其效果显然比主张隐私权保护更为强大。”石佳友：《隐私权与个人信息关系的再思考》，《上海政法学院学报(法治论丛)》2021年第5期，第95页。又如，《个人信息保护法》第69条第1款规定了侵害个人信息权益的过错推定责任，其在权利救济的效果上明显优于《民法典》规定的侵害隐私权的一般过错责任。

当然，尽管隐私权与个人信息权益能够在保护客体、保护理念、保护方式上大致区分，但是由于数字化时代的各种信息之间具有极强的关联性，即便是在形式上不具有私密性的个人信息，也能够通过与其他信息的相互关联而对公民的私生活造成困扰。准以此言，个人信息保护的初衷就在于抵御因个人信息的泄露或非法利用而引发的“潜在的对隐私利益的侵害风险”，其本质是对“风险不确定性的预防性保护”(62)李忠夏：《数字时代隐私权的宪法建构》，《华东政法大学学报》2021年第3期，第48页。。个人信息权益与隐私权具有天然的交织关系，无论是否将个人信息权益在隐私权保护体系中独立出来，二者都无法做到泾渭分明的二元划分，法律对二者的保护将会始终联系在一起。

(二)个人私密信息的法律适用

在明确隐私权与个人信息权益的区分实意后，随之而来的问题是：作为隐私权与个人信息权益在保护客体上重叠部分的私密信息应如何保护？在《个人信息保护法》时代，如果僵化地理解与适用《民法典》第1034条第3款私密信息优先适用隐私权保护的规则，则虽有利于彰显隐私权与个人信息权益在保护客体上的差异，但其将在本质上相近的私密信息与非私密信息完全割裂，容易降低对非私密信息的保护力度，引发实践中的诸多难题。鉴于传统隐私权与个人信息权益的调整领域分别是信息平等或权力结构对称的社会交往关系和持续性信息不平等或权力结构非对称的个人信息处理关系，个人私密信息保护也应遵循隐私权与个人信息权益在保护理念和保护方式上的区分思路。

其一，当涉及个人私密信息处理时，应适用个人信息保护的规定；构成敏感个人信息的，适用敏感个人信息保护的规定。个人信息权益的调整领域是个人信息处理关系，其目的是避免个人信息处理中的个人权益遭受侵害。而个人对私密信息享有的利益“作为信息处理法律关系中个人信息权益的核心法益之一”(63)王苑：《数据权力视野下个人信息保护的趋向——以个人信息保护与隐私权的分立为中心》，《北京航空航天大学学报(社会科学版)》2022年第1期，第48页。，其自然无法脱离持续性信息不平等或非对称权力结构的语境，应当适用个人信息保护制度。这一点有着深刻的历史和规范基础。个人信息权益是在传统隐私权的地基上发展而来的权利类型，是数字化时代隐私权保护的延伸。个人信息权益作为保护个人信息处理关系中的个人隐私和自由的新型权利，构成隐私权保护制度的特别规则。根据特别法优先于一般法的法理，只要个人私密信息进入个人信息处理关系，就应当优先适用个人信息保护的规定。例如，在侵害个人信息权益的归责原则上，人们无须纠结该个人信息是否具有私密性而对侵害私密信息与非私密信息的归责原则进行区分适用，(64)参见李昊：《个人信息侵权责任的规范构造》，《广东社会科学》2022年第1期，第254页。其关键在于个人信息处理关系中个人与个人信息处理者具有持续性的信息不平等性，导致个人无力证明个人信息处理者的过错，因此应当一概适用《个人信息保护法》第69条第1款的过错推定责任。不仅如此，个人信息保护制度的优先适用还回避了个人信息的私密性检验难题，因为私密信息与非私密信息的区分在信息处理关系中失去了规范意义，司法实践不再需要通过追问个人信息的私密性而区分适用隐私权与个人信息权益的保护规则。相反，敏感个人信息与一般个人信息是根据个人信息泄露或非法使用的侵害风险对个人信息处理规则作出的分类。无论私密信息抑或非私密信息，只要其构成敏感个人信息的，就应当优先适用《个人信息保护法》第二章第二节敏感个人信息处理的规定。

其二，作为隐私权保护客体的私密信息应限缩为自然人在个人或家庭事务场景中处理的私密信息。隐私权的调整领域是社会交往关系，其目的是确保个人能够从社会交往的公共领域中暂时剥离出来。自然人因个人或家庭事务处理个人信息的，由此形成的处理关系具有信息平等性和权力结构对称性，《个人信息保护法》第72条第1款将自然人实施的此类个人信息处理活动排除于个人信息保护制度的适用范围。但这并不意味着在个人或家庭事务场景中个人信息就完全不受法律保护。相反，自然人因个人或家庭事务实施的个人信息处理活动应当受到社会交往关系的调整，当该个人信息构成私密信息时，其应适用作为一般法的隐私权保护制度，如果自然人实施《民法典》第1033条侵害私密信息的侵权行为，则应当承担侵害隐私权的民事责任。相应地，在《个人信息保护法》与《民法典》并行的制度架构下，个人私密信息的适用规则应在解释论上予以更新：一是对《民法典》第1033条第5项作为隐私权保护范围的“处理他人的私密信息”进行目的性限缩，将其限定于自然人因个人或家庭事务处理他人的私密信息。如此一来，《民法典》第1034条第3款前半句中“适用有关隐私权的规定”的对象，仅包括自然人在社会交往关系中处理的私密信息，其处理者只能是自然人，而不包括国家机关、互联网平台等组织，且处理场景限于个人或家庭事务领域；而该条款后半句隐私权“没有规定的”，则是指自然人非因个人或家庭事务(如出于商业目的)，或者国家机关、互联网平台等组织处理的私密信息，即属于个人信息处理关系中的私密信息，应当适用个人信息保护的规定。二是从宽解释《个人信息保护法》第72条第1款“自然人因个人或者家庭事务处理个人信息”的个人信息保护例外规则，只要个人与作为自然人的个人信息处理者不具有持续性的信息不平等关系，如自然人在私人通信交流、电话号码存储、社交媒体网络中所实施的非职业和非商业的个人信息处理活动，“无论所涉个人信息是否被放置于人人皆可瞬间获取的公开场合，皆应当解释为自然人因个人或者家庭事务处理个人信息”(65)杨芳：《肖像权保护和个人信息保护规则之冲突与消融》，《清华法学》2021年第6期，第120页。。