个人信息中的私密信息之私密性界定:规范意图与司法实践

张建文

(西南政法大学,重庆 400031)

一、问题的提出

在《中华人民共和国民法典》(以下简称“民法典”)第1032条第2款中,首次以“私密”作为标准,界定隐私的概念[1]。而在此之前,尽管在民法学理论上和司法实践中都试图为隐私提供一个适当的定义,但是在民事立法上却并不存在具有规范性质的隐私的立法定义,因而在此问题上饱受学者批评。在民法典编纂过程中,隐私的立法定义问题被解决,民法典第1032条第2款给出了立法上的隐私概念,如果仅仅单纯的是一个具有规范价值的立法定义,还并不能引起笔者的兴趣,其令笔者感兴趣的地方在于,当该定义与民法典第1034条第2款的个人信息的定义结合起来,解决第1034条第3款所提出的问题时,也就是说,如何确定“个人信息中的私密信息”,以确定该个人信息究竟是适用于民法典有关隐私权的规定,还是适用个人信息保护的规定时,就会凸显出该定义所遭遇的复杂境况。

这种复杂境况又需要结合民法典在立法设计上对隐私权和个人信息保护所作的严格的甚至可以说是近乎绝对性的区分,才能够凸显出这个以私密性为标准的隐私立法定义的司法实践价值。需要追问:在民法典中,隐私权与个人信息区分保护到达了何种程度?与之前有关隐私和个人信息保护的民事立法有何区别?在今后民法典的司法适用中,民法典对隐私和个人信息的立法区分,是否达到了会导致不同法律后果的程度?民法典对隐私和个人信息区分保护的新规定,是否会改变之前所形成的隐私权或个人信息保护的司法实践?

笔者认为,这个问题构成了一个中国特色的民法典适用难题,带着这种疑惑或者假定,试图追寻我国民法典时代隐私与个人信息保护司法所可能——甚至也可以说是必然要遇到的难题的根源,并不奢求一定能够提供一种解决方案,更不用说要追寻终极性的最终解决方案。在笔者眼中,毋宁说,能够把这个难题本身的特征乃至本质认识清楚可能更重要,认清楚了这一点,可能会令司法实践想到更多样的解决方案,以便从中找到最为正确的方案。

二、民法典上隐私定义的古典概念与现代元素

基于人工智能的隐私问题的考虑,专家呼吁“对隐私应该有明确且可操作的定义”[2],民法典试图完成这个任务,其第1032条第2款规定的隐私的定义,包含了古典的隐私观念和现代的隐私观念。隐私仅限于自然人拥有。隐私观念孕育在近现代科技发展与强大的物质文明之中,其目的和意图并无新的内容,不外是保持和维护人的尊严与自由。正如有学者恰如其分地告诫:“伴随着经济与科技的发展,在强大的物质文明面前,人的尊严与自由容易被边缘化,我们仍生活在法治理念与现实的冲突之中”[3]。隐私与个人信息保护法律制度作为“现代社会最重要的正式制度”[4],不外乎就是要阻止或者拯救即将亦或已经处在边缘化的自然人的人性尊严与自由,尽力减小并降低这种理想与现实的冲突。

前者意味着“自然人的私人生活安宁”。在我国民法典上被视为“一种特殊的隐私权”,是隐私权的重要组成部分[5]。这是典型的古典式隐私的概念,最初被定义为一种与世界隔离和对抗的个人权利概念,即个体“保持独处的权利”(right to be let alone)[6],或者称之为“不受干扰的权利”,它意味着“从个人与社会参与的关系着眼,私密就是个人按照自己意愿在行动或思想上从社群中暂时抽离出来,让自己可以离群独处,或自组小圈子交往,或(假如身处于较大群体之中)让自己可以隐藏身份或冷眼旁观”[7]。直到上个世纪六十年代,古典式的隐私定义仍然具有强大的影响,被界定为“一个人因不希望他人知道他的过去和现在的经历和行动以及他对将来的打算而出现的境况”[8]。古典式隐私观念与个人自由关联密切,意味着“在最少干涉的情况下按照自己意愿过生活”[9],所需要保障的是使得个人免于被侵扰、偷录、偷拍、偷听等,极具自主性与防御式色彩。尽管“自然人的私人生活安宁”具有古典隐私的意味,但是对于何谓“私人生活安宁”并没有明确的界定,仍然处于有待司法实践进一步界定和积累的状态(1)目前国内学者对这一般概念的理解多局限于“安宁、和谐的生活环境”。参见张红:《基本权利与私法(2版)》,法律出版社,2020年版第249页,尚未顾及对古典隐私概念中的犯罪前科的保护,我国司法实践已经多次遇到要求予以保护的主张,但是我国司法实践对该问题持否定性立场,参见张建文等:《被遗忘权的法教义学钩沉》,商务印书馆2020年版第6页。笔者认为,这一概念将来可能最具有开发空间的领域将会是对具有往事不许再提意义的“犯罪前科”的保护问题,参见林鸿文:《个人资料保护法(2版)》,台北:书泉出版社,2018年版第17页。。

后者包含两层含义。一是私生活的含义,即相对于古典的隐私概念的静止的“保持独处的权利”,转变为较为灵活和全面的“私生活”概念,说明人们除了需要受保护的宁静孤岛来选择他们的目标之外,还需要一些私人空间与其他有相同目标的人一起追求目标和表达自己的想法[10]。如在日本,上个世纪六十年代中期,隐私权被定义为“私生活不被随便公开的法上之保障或权利”[11]。这个私生活的概念相当于我国民法典上第1032条第2款之“私密空间、私密活动”的含义。二是个人信息的含义。随着信息化社会的发展,“控制关于自己信息的权利”(信息隐私权)逐渐被纳入隐私权的含义之中,增加了积极请求公权力予以保护的意涵。这一变化始自上个世纪六七十年,到目前为止,由于互联网技术和大数据技术的发展,使得个人信息的保护更加令人关注。[12]

现代隐私的概念,不是对古典隐私的对立和反叛,而是在古典隐私的“地基”上,因应新的科学技术与社会经济发展做的扩张,其存在着代际兼容的特征,也就是说现代隐私必然兼容而且以古典隐私为基础[13]。现代隐私本质上仍然是在维持或者说是力图维持“人作为人的本质”,帮助人在新的科技与社会经济境遇中坚守宝贵的自由,尽管这种努力的效果饱受批评或者否定,但是不能以此就否定这种努力和意图的价值,更不容忽视“隐私是人作为人的本质”[14]2这一命题和论断在理论上和实践上极具重要性。我国著名宪法学家韩大元教授就极其清醒、清晰且正义地呼吁“将法治理念融入科技发展,以审慎的态度对待科技发展,并积极回应文明社会维护人性尊严的关切”[14]4。

特别值得注意的是,包括个人信息保护在内的广义的(也就是现代的)隐私保护问题,在今天不是像古典隐私时代那样更多地局限于非商业环境中,而是逐渐扩展并渗透乃至更多地弥漫发生在商业环境领域之中,作为隐私和个人信息载体的数据,成为独立的而且存在于所有商业领域中的被称之为“新经济资源”[15]110的市场——“一场发生在决策、消费者行为以及几乎所有领域的颠覆性革命”,导致“个人隐私权受到前所未有的挑战”,如何“既可以保证个人保护好自己的隐私,又有利于数据市场的繁荣昌盛”的隐私保护任务[16]287成为隐私保护的时代难题。欧盟《一般数据保护条例(GDPR)》也正是为此目的而生(2)从该条例对其目的的表述——“本条例致力于实现自由、安全、公平和经济联盟,致力于经济和社会进步,加强并聚集内部市场的经济,实现个人幸福”(参见京东法律研究院《欧盟数据宪章:〈一般数据保护条例〉GDPR评述及实务指引》,法律出版社2018年版第189页)——中,可以看到该条例所诞生的经济与社会环境,以及其力图在市场与个人之间进行调和,平衡整体进步与个人幸福的意图。此外,从我国工商业界和法律服务界对GDPR的关注程度之高与研究程度之深,也可以看出个人信息法律保护制度本身与全体自然人和整个商业领域的相关联程度之深。,美国联邦贸易委员会的主要职责也被认为是“保护美国人的隐私权不受侵犯”[16]262。

综上,民法典有关隐私的定义,既包括了古典隐私的内容,也试图将现代隐私的内容囊括进去,特别是将可能包含个人信息在内的信息纳入其中,意味着隐私的外延必然会与个人信息之一部分产生交集,暗示了如果要采取将隐私保护与个人信息保护二元化结构的情况下,在对个人信息进行界定时必然涉及对此做出明确区分的问题,这也是我国司法实践在民法典时代个人信息中私密信息之私密性检定问题的根源,立法者对个人信息中私密信息之隐私保护优先(第一位)而非个人信息保护优先的意图构成了该问题产生的必要且充分条件。

三、重新认识民法典信息隐私界定的私密性标准之中国特色

笔者认为,我国民法典对于隐私权与个人信息保护的建构本身以及由此所衍生的信息隐私界定的问题是我国民法典起草者在民法典总则编中有意栽下“种子”而在人格权编中最终长成的问题,它不是一个可以在比较法上具有定论并进行交流,以获得解决该问题之启发的问题,它将会成为我国司法实践所要面临并为之困惑的(3)参见北京互联网法院(2019)京0491民初16142号民事判决书。来源:中国裁判文书网。,也是前所未有的需要我国法学理论去思考和尝试解决的问题[17]。

民法典第1034条第3款的规定,符合之前有学者所提出的鉴于个人隐私与个人信息呈交叉关系[18],而要求“两头强化、三方平衡”的理念,即一方面强化作为个人隐私与个人信息交叉之部分的个人敏感信息的保护,另一方面强化一般信息的利用。前者意味着对所谓的“个人信息中的私密信息”适用隐私权保护,而后者意味着对除此之外的个人一般信息“需要从保护和利用两个角度兼得的视角加以考虑”[19],如何考虑则语焉不详,从该论者认为“公众并不太在意敏感隐私信息意以外的个人信息”的表述推断,不外乎就是应该便利企业的利用。[20]

根据力主在民法典编纂过程中将人格权独立成编(4)参见王利明:《人格权法新论》,吉林人民出版社1994年版第62-63页;王利明、杨立新:《人格权与新闻侵权》,中国方正出版社1995年版第46-49页,等。并且实际参与民法典人格权编之编纂的著名学者的观点,之所以规定民法典第1034条第3款,有四个要点概述并评价如下:

第一,该论者认为,隐私是独立的人格权而个人信息则不是独立的人格权,只是一项人格权益而已(5)在这一问题上,与之前的观点相比,该论者坚持了将个人信息保护非附属于隐私权,也就是把隐私与个人信息界分并区别保护的基本立场,但是放弃了将个人信息作为具体的人格权予以单独规定的观点,尤其是彻底放弃了极具独立的具体人格权色彩的“个人信息资料权”“个人信息权”的提法。参见王利明:《怎样理解和保护新形态的人格权》,载《北京日报》2012年3月31日第018版;王利明:《人格权法制定中的几个问题》载《暨南学报(哲学社会科学版)2012年第3期等。。其在民法典中的标志就是“隐私后面加了‘权’字”,“而个人信息后面没有‘权’字”。

根据该论者的意见,其区分的实际价值在于“对权利的保护程度应该高于权益”,权利就按照通常的侵权予以保护,而对权益的保护则追随德国法之做法,附加一定的主观要件,“如只有在故意或者重大过失的情形下才能追究加害人责任;或者用是否违反善良风俗等标准限制对加害人的追责”[21]13。此种做法,意在以区分隐私与个人信息之保护贬低或者放松甚至放弃对个人信息之保护,而最终可能加强对认定个人信息保护之必要性与正当性之难度,进而可能导致将来诸多个人信息的类型或者个人信息处理之情形被排斥在个人信息法律保护之外。

揆诸通常关于合法利益保护之理念,是要司法机关对此等利益的合法性,即直接相关性、非类型性、正当性、必要性等予以评判,从而决定是否以司法手段予以保护[22],从民法典的立法文本来看,民法典总则编第111条第1句与人格权编第1034条第1句的表述——“自然人的个人信息受法律保护”——完全一致,已经没有再给司法机关对构成个人信息者多少自由裁量是否予以保护之余地,也就是说,对于司法机关来说,只要认定某项信息具有个人信息的属性,即必须按照个人信息法律保护制度的规则进行处理,是否将个人信息之法律保护表述为“个人信息权”并无实质差别。总之,个人信息在民法典总则编和人格权编已经明确要求予以保护的情况下,“个人信息”之后是否加上“权”字并无实质意义[23],不能否认个人信息受法律保护即作为权利予以保护的裁判价值,但是,在这种权利保护与权益保护之争的背后,所蕴含的差别对待隐私与个人信息,意图加重个人信息获得法律保护之难度的理念才是值得清醒对待的。

第二,该论者专门提到民法典和其他法律对权益的保护没有明确限制,但民法典之内部却是对隐私和个人信息作了明确区别对待的。

该论者明确指出,在免责事由问题上,第1033条侵害隐私权的免责事由要求必须经“权利人明确同意”,而1038条对个人信息处理的免责事由,则只需要自然人或者其监护人“同意”即可,特别强调“这不是立法疏漏,而是经过反复讨论的结果”[22]14。此种做法放宽了对个人信息收集的限制,即:不一定必须取得权利人同意,也不一定必须是明示的同意,默示的也可以。但是对隐私信息的收集必须是明示的,不能采用默示同意的方法,这意味着对于个人信息处理(特别是在个人信息处理整个流程和环节中最关键最主要也最具实践价值的个人信息收集)管制的宽松化。这种宽松意味着对司法实践而言将会把司法的天平向处理者(也就是收集者)倾斜,从而放松对个人信息处理中自然人的保护。个人信息具有强烈的人格属性,关涉人之为人的自由生活本质,个人信息实质上并不在具体自然人的掌控之下,毋宁说是在处理者的实际管领控制之下,立法之所以必须以诸种权利束的方式,加强个人对处理者行为的控制,实际上具有强烈的公共利益在其中,其中之一就是要建立在科学技术发展与社会经济演进的环境中,社会大众对科技企业的公众信任,此种信任一旦丧失,必将阻滞乃至摧毁社会之信任。从其微观而言,侵害具体的自然人之个人信息对该人之影响相对于无数之人群似乎不大,实则可能导致自然人对处理者乃至整个个人信息保护法律制度之信任的丧失;从宏观而言,个人信息处理者将无数之自然人之个人信息聚合起来,聚沙成丘,成为所谓的新经济资源、新时代的战略资源[15]110-111,亦或所谓“新型石油”[24]——“我们所有人就都是数据油井,而且有可能是储藏量丰富的油井”[16]285,国家若不加以控制,“巨无霸”式的现代高科技企业必将成为新的利维坦。由此观之,无端放松乃至放弃对个人信息处理者的管制,必将进一步加强本就具有强势的技术和市场垄断地位的互联网企业的垄断优势,难保自然人不成为“鱼肉”。

第三,该论者认为,对侵害隐私和个人信息所要求的构成要件各不同。简而言之,那就是说,“侵害隐私权并不必然要求受害人必须证明有损害的发生”,“只要证明行为人实施了该行为,且没有法定免责事由,就应当承担责任”,而对于个人信息的侵害,“受害人还是要应该证明实际损害的发生。财产的损害也好,精神的损害也好,应该伴随着有损害发生的证明”[22]14。这一点才是主张将隐私与个人信息区别保护论者的最具本质性特征的观点之一。

在不过度区分甚至不加区分隐私与个人信息保护的情况下,对于损害的证明责任可采用推定(6)国际法律专家委员会英国分会的报告书认为,法律应该推定私隐受侵犯的人有实际损害,因为很多侵害私隐权的个案难于证明原告人有实际损失(JUSTICE, Privacy and the Law (London: Stevens and Sons, 1970),para 144)。爱尔兰法律改革委员会亦建议,原告人毋须证明他蒙受任何损害。该委员会认为,令被告人须向受害者作出赔偿的过错,主要在于侵犯私隐行为冒犯了人的尊严,而不在于这种行为所可能造成的损害。参见Law Reform Commission of Ireland, Consultation Paper on Privacy : Surveillance and the Interception of Communications (1996), para 9.32。,也可以采用客观化,或者干脆委诸司法机关的判断(7)正如欧洲人权法庭所指出的:“某些非金钱上的损害(包括感情伤害)因为它们的性质而不能有真凭实据。然而,如果法庭认为假定申请人遭受需要金钱赔偿的伤害是合理的做法,这点不会阻止法庭作出判决”。参见Peck v UK, No.44647/98, date of judgment : 28.1.2003, at paras 118-119。等,尚不构成对个人信息保护的障碍,而在严格区分论者看来,损害成为个人信息侵权构成要件中必要性且本质性的要件,若然不能证明财产的损害或者精神的损害存在,必然不能获得法律保护。更重要的是,损害要件极有可能在司法实践中异化为司法裁判中的政策性工具,用以限制对自然人的保护或者实现对处理者的超级保护。

第四,该论者认为,隐私和个人信息所体现的价值理念不同,即隐私体现的是人格尊严,而个人信息所体现的则是个人对自己信息的自决权。换句话说,那就是隐私体现了人格尊严,而个人信息体现的是在“信息自决”基础上的私法自治,由此导致在人格权编中,私法自治和人格尊严发生冲突时,优先保护人格尊严,这一点被用于解释为什么民法典要优先适用隐私权的原因[21]14。

笔者认为,将隐私与个人信息的价值理念说成是水火不容或者截然对立,是不符合隐私权法和个人信息保护的基本理念的。特别是将个人信息保护的价值趋向归结为“信息自决”进而等同于“私法自治”是不妥当的。个人信息保护问题源自于隐私权的理念,也可以说,是隐私权为应对计算机化和网络化处理数据而扩张其保护范围所致,其本质性价值理念仍然在于对信息主体的人格尊严和自由价值[24]45,如果全然否定个人信息保护中的人格尊严因素又把作为个人信息的私密信息纳入体现“人格尊严”的隐私权保护范围之中,岂不是自相矛盾。人格尊严或者说人性尊严构成了人权的效力基础[25]。全国人大常委会法律委员会也认为:“个人信息权利是公民在现代社会享有的重要权利,明确对个人信息的保护对于保护公民人格尊严……具有现实意义”[26]。私法自治在个人信息保护立法中有其地位,但是并非是整体性的,在个人信息保护法律制度中具有私法自治性质的规范也非全部规范,毋宁说大部分规范更具强制性色彩。

此外,传统的隐私与个人信息保护概念将个人信息纳入隐私的范畴之中,尽管试图在理论上将隐私与个人信息进行区分,但是并没有在立法或者司法实践上将二者完全割裂,而是将其作为相等同的事物予以保护,在研究方法上认为,由于难以找到一个令人满意的隐私定义[27],通常更倾向于不是给隐私下定义,而是将其所通常包括的各项权益分别出来和加以界定,并探讨它们应在多大程度上受到法律保障;在研究对象上,将隐私中的“私隐”——等同于“个人信息”。此类传统观点并非不承认类似于我国民法典所提到的“个人信息中的私密信息”,比如有关个人私生活中隐秘事宜的信息,则会成为敏感信息,但并不是为了追求将隐私和个人信息差别对待与区别保护,乃至于放松甚至放弃对个人信息的保护,毋宁说,这是在均予以保护的普通水平上,对其中的私密信息即敏感信息予以更高的保护。

综上所述,主张将隐私与个人信息严格区分的观点,并非没有可取之处,这种可取之处在于,其看到了尽管也是众说纷纭但经过一百多年无数法学家在理论上进行思考并整理司法实践所积累的裁判立场形成相对确定的隐私内容,从而将隐私的内容进行类型化并试图加以固定,姑且不论这种类型化和固定的效果,而个人信息尽管在最近六十多年时间内被诸多法学家在理论上进行建构和实践上进行整理,却反而由于互联网、大数据、人工智能的蓬勃发展而导致个人信息的范围和类型更加多样更加不易把握,特别是在司法实践中引起诸多争议。此种论者力图将二者予以区分,在理论上并无不当。但是,这种试图将这种区分进一步绝对化的做法,与保护所谓互联网等数据产业发展的意图结合起来,就诞生了民法典个人信息中私密信息保护的“畸形物”,其在立法上的标志就是通过将个人信息保护排除在具体人格权之外,额外强加对个人信息权益保护的所谓主观要件(如将故意或重大过失作为追究加害人责任的要件,或者用是否违反善良风俗等标准限制对加害人的追责),以及强化个人信息侵权构成要件中的损害要件,在实质上达到将私密信息之外的个人信息保护降等乃至在特定情况下将其排除在保护范围之外(如民法典第999条将个人信息纳入可以为公共利益而合理使用的范围之列,但是隐私就不能被纳入)。这种个人信息保护理念,在司法实践上极有可能造成司法机关面对无限多样且层出不穷的新的个人信息时,迫于民法典第1034条第3款作为裁判规则之刚性约束,不得不进行“西叙福斯式的”(sisyphean)工作,期待在这种裁判规则的刚性约束下“法官也要像立法者一样界定利益,并对利益冲突进行判决”[28]并不是现实的。

这种做法的背景在于,有种观点认为,对隐私规则的关注点应当是数据的使用而不是数据的收集,这种观点在本质上属于将个人信息归属于资产或者资源之列的观点,认为数据是信息经济的流通货币,因此数据就像钱一样,只有自由流动才能创造最大的价值。2013年,世界经济论坛发表了题为“释放个人数据的价值:从数据收集到数据使用”的报告,认为“对个人数据的使用加以管控,集合新型的隐私权保护工具,既可以保证个人保护好自己的隐私,又有利于数据市场的繁荣尝试”[16]287。老实说,尽管有这种所谓的“从数据收集到数据使用”的观点,这种观点容易给人造成一种错觉,即可以放弃对个人信息收集的规范,只要做好对个人信息使用的规范就足以有效实现对个人信息法律保护的任务。从立法实践上看,包括个人信息使用在内的个人信息流通的概念日益重要,个人信息流通有望成为与个人信息处理近乎同等重要的个人信息立法保护对象[29],但是,到目前为止欧盟也好,美国也好,独联体成员国也好,还没有哪个国家在立法上真的就放弃更不用说完全放弃对个人信息的收集的限制与规范。

四、个人信息中的私密信息界定的私密性标准问题并未构成比较隐私权立法和比较个人信息立法上的问题

通常有关隐私和个人信息的关系的学术讨论,主要体现为两个方向,一种观点认为,个人信息就可以归入隐私,不需要对个人信息作出单独规定,因为个人信息本质上是一种隐私,法律上将其作为一种隐私加以保护,可以界定其权利范围[30];另一种观点认为,二者存在明显的界分,也存在部分重合,因而交叉部分(私密信息)既要受到个人信息的保护,还要受到隐私权的保护[31]。在学术探讨与理论建构的层面上,将隐私权和个人信息保护进行区分主要局限在对隐私和个人信息保护的范围(外延)进行的探讨,尽管学者们认识到对于隐私和个人信息保护范围、保护法益、保护的途径(公私法交融的方式,还是合同法或者侵权法)等“非常不同”,有“重大区别”[32]4-7,但这并非本质性的区别,是否达到了需要对二者予以差别对待的问题,并无定论,这并不影响在实践中信息隐私(数据隐私)与个人信息(个人数据)保护可以交替适用。

然而,在我国进入民法典时代后,对该问题的探讨已经发生了本质性的变化,主要是由于民法典人格权编有关隐私与个人信息保护的区分,具有了立法的强制性和规范性的功能,此类规范作为裁判规则,对司法机关的裁判提出必须遵从的义务。以民法典第1034条第3款为核心,以第1032条第2款、第1033条和第1034条第2款为基础的隐私与个人信息区别保护规范群,不仅意图在保护范围上界定隐私和个人信息的外延,而且意图提供终局性解决隐私和个人信息交叉部分的保护方案。并且在立法上还试图解决对隐私和个人信息的差别性保护问题,要求将隐私与个人信息在法律保护程度、侵权构成要件和保护手段方面进行差别性对待。

这在隐私权和个人信息保护比较立法史上是极其罕见的甚至可说是仅见的。以不甚精确的区分来说,在美国,更倾向于将隐私与个人信息保护作为整体性的一体保护,不加区分。以被广泛关注的美国《加州消费者隐私法案》和《加州消费者隐私法案条例》为例,消费者个人信息的保护与消费者隐私保护就是一体的,并无明显的区分[32]267,295。在欧盟,自GDPR开始,有将个人数据保护的权利做独立化处理的趋势。经济合作发展组织(OECD,其前身为欧洲经济合作组织)早在1974年就成立关于跨境个人信息传输和隐私权保护专家组,开始关注个人信息跨境传输中的数据保护问题,1980年9月23日OECD理事会发布的《保护个人数据跨境流动与隐私保护指导纲要》将隐私与个人信息保护作一体处理。108公约以及其附加议定书也是强调在对个人数据进行自动化处理时要充分尊重其隐私权。[33]GDPR无论是在鉴于条款还是在条例正文中并未谈到隐私权,而是称之为“自然人享有的个人数据保护的权利”,但是,尽管名称上不同,却并未降低个人信息保护的力度,尤其是对通常被视为隐私与个人信息的交叉部分(特种类型的个人数据)规定了更加严格保护,成为世界上最严格的个人信息保护立法,并产生全球性影响。尽管在GDPR在个人数据的内部区分特种类型的个人数据与其他个人数据,却无意降低更遑论放松乃至放弃对特种类型个人数据之外的其他个人数据的保护,相反将其他个人数据作为其保护的基本对象。《俄罗斯联邦个人资料法》第2条则明确其目的为“保障维护在处理个人资料时人和公民的权利与自由”,包括维护私生活(неприкосновенность частнойжизни)、个人和家庭秘密不可侵犯的权利[34]。

综上,尽管在学术理论上存在试图对隐私和个人信息保护范围的区分,以及对二者保护方式的差异的细致观察,尽管在立法表述上存在是否将隐私的表述适用于个人信息保护的差异,但是均无意要仅强化保护隐私和个人信息的交叉部分,降低或者放松对其他个人信息的保护强度。

五、个人信息中私密信息界定的私密性标准问题已经成为困扰司法实践的难题

如果说,在我国民法典实施之前,特别是在《民法总则》时代的司法实践中,司法机关试图区分个人信息和隐私的做法,要么是为了回应被侵害的对象是否为当事人主张的隐私权,以及能否以隐私权作为请求的基础(8)参见北京市第三中级人民法院(2020)京03民终字第2049号民事判决书。在该案中,二审法院就直言:”鉴于邓立荣于本案中主张其被侵犯的是隐私权,故上述个人信息是否构成隐私以及邓立荣能否以隐私权作为请求的基础尚需作出回应”。来源:中国裁判文书网。,要么是在当事人同时提出了侵犯隐私权和个人信息保护权的情况下(9)参见北京市海淀区人民法院(2018)京0108民初第13661号民事判决书。来源:中国裁判文书网。,司法机关主动对当事人的权利主张有所回应,但是对司法机关来说在此时使用隐私权或者是个人信息作为权利基础予以救济,并没有太大差别,因为此时对二者在保护强度和侵权构成要件上并无多大差别,司法机关尚有在规范适用上的选择空间。

而在民法典实施后,司法机关就不得不遵照民法典第1034条第3款的规定对个人信息进行私密性检验,以便确定是否构成私密信息,以确定最终适用隐私权或者是个人信息作为裁判的请求权基础。在民法典正式生效前,就有参考民法典第1034条第3款规定所作出的判决中,在裁判的逻辑和构成上,必须先行确定特定的信息是否构成个人信息,然后再确定该信息是否构成隐私权(10)参见北京互联网法院(2019)京0491民初第6694号民事判决书。来源:中国裁判文书网。,最终确定其适用的规范基础。

更为重要的是,在最近的为数不多的参照适用或者适用该规定所作的判决书中,通常被认为是具有私密信息的用户通讯录[18]5、行踪轨迹、社交关系信息(微信好友列表(11)参见北京互联网法院(2019)京0491民初16142号民事判决书、微信好友关系等(12)参见广东省深圳市南山区人民法院(2020)粤0305民初第825号民事判决书。来源:中国裁判文书网。)、地理位置信息等全部被判定为不具有私密性。

然而,目前我国个人信息保护的难题并未得到有效解决。根据中国消费者协会2018年开展的APP个人信息收集与隐私政策测评结果显示,59款涉嫌过度收集“位置信息”,28款涉嫌过度收集“通讯录信息”,22款涉嫌过度收集“手机号码”。正如国家四部委发布的正式报告所指出的:“数字时代,数据成为企业竞相争夺的战略资源,个人信息更是最具价值的核心资源,很多企业‘跑马圈地’、‘野蛮生长’,将获取和利用个人信息作为其核心商业目标”(13)中央网信办、工业和信息化部、公安部、市场监管总局APP违法违规收集使用个人信息专项治理工作组:APP违法违规收集使用个人信息专项治理报告(2019)2020,第1页。。

六、结束语

整体而言《民法典》人格权编解决了以往民事立法对隐私的内涵缺乏定义的不足,规定了具有古典和现代性内容的立法概念,承认隐私与个人信息保护的区分,延续并承袭《民法总则》的并立框架,然而,在立法上,《民法典》又更进一步地对隐私与个人信息的交叉部分提出了力图将隐私的保护与个人信息的保护完全区别开来的法律适用规则,一方面极力抬高私密信息的保护强度,而另一方面又尽力降低对非私密信息的保护力度,不无放松甚至放弃对某些非私密信息的法律保护之虞。

民法典的规则将会极大地改变我国个人信息保护的司法实践。在前民法典时代的司法实践中,尽管没有有关隐私的立法定义,但是司法机关可以借助于隐私权法和个人信息保护法的理论填补这个空白,基本上妥当地解决包含所谓私密信息在内的整个个人信息的保护问题,且无论是用隐私权的方式,还是个人信息保护的方式。

民法典时代,司法实践在个人信息的保护问题上,其裁判的逻辑结构与裁判所要实现的意图,也就是所谓的平衡个人信息保护与促进产业发展的利益,变成了向作为收集和处理者的企业的倾斜——“过度严格地保护个人信息未必会给个人带来利益,而适度允许互联网行业在安全的前提下合理使用个人信息,则可以促进互联网行业和数字经济的发展,增加整个社会的福祉”(14)参见北京互联网法院(2019)京0491民初第6694号民事判决书。来源:中国裁判文书网。!其判决思路贯彻了民法典人格权编相应规则的规范逻辑与规范意图,私密性界定标准在司法实践中完全被所谓的“场景化模式探讨”与“社会一般合理认知”架空,所谓的私密信息成为海市蜃楼,私密性的司法认定实践难以令人满意,且令人担忧。