张芷维｜隐私和个人信息的界分：私密信息的司法判定标准

原创 张芷维 上海市法学会 东方法学 收录于合集 #上海法学研究 952个

张芷维

哈尔滨工程大学法学系学生

要目

一、问题提出：私密信息司法判定的困境

二、域外视野：隐私和个人信息的体系分化

三、中国进路：从一元到二元的路径抉择

四、要件构造：“私密信息”的判定标准

结语

随着信息化社会的发展，个人信息的流动性逐渐加强，隐私和个人信息的交叠在所难免，而二者的交叠部分即为私密信息。民法典在人格权编的“隐私权和个人信息保护”中规定了自然人的私密信息是隐私的一部分，同时也规定了个人信息中的私密信息，适用有关隐私权的规定，没有规定的，适用有关个人信息保护的规定。同时，个人信息保护法对个人信息权益加以特别保护，从而正式构建了隐私权和个人信息权益的二元保护体系。但司法实践中对于私密信息的界定存在困难，可能导致隐私权保护体系和个人信息权益保护体系的不当适用。这一问题的关键就在于如何界定二者交叠部分的“私密信息”。通过对美国和欧盟的隐私和个人信息保护体系的比较法梳理，结合我国从一元到二元的进路，对“私密信息”进行从主观到客观、从内到外的既具有相对稳定性又保持弹性空间的解释论的要件构造，以期回应司法实践的要求。一、问题提出：私密信息司法判定的困境

随着数据挖掘技术、物联网、云计算的高速发展，附属于个人信息之上的人格利益被暴露在外，极易受到侵害。在此基础上，隐私人格利益逐渐被信息技术的发展和算法功能的深化所侵害。而隐私与个人信息之间存在密切的内在联系，个人信息是在隐私权的框架下发展起来的。个人信息保护与隐私权是两个既有联系又不完全相同的范畴，相互关系本就复杂。其复杂的关系以在不同的法律体系下得以体现。比较两大法系的经验可以看出，隐私和个人信息之间的界限一直未能得到准确区分。民法典规定了自然人的私密信息属于隐私的范畴，同时也明确了自然人的个人信息包括个人私密信息，且私密信息适用有关隐私权的规定，而没有规定的，则适用有关个人信息保护的规定。民法典关于私密信息的法条竞合模式未能厘清二者的本质及功能差异。作为隐私和个人信息的交叉区域，“个人私密信息”引发了规范冲突与选择难题，并衍生出种种司法疑难。由于隐私权保护体系和个人信息权益保护体系下规定了不同的保护规则，因此私密信息受到正确的司法判定，从而归入适当的保护体系中就尤为重要。然而在隐私和个人信息侵权纠纷中，往往难以判断其侵犯的客体是否属于私密信息。因此，当侵害的客体处于隐私和个人信息交界地带时，其司法判定极易徘徊和游离在二者之间，从而容易导致司法判定错误造成体系适用不当，减损当事人权益。下面将以案例对比为表征，揭示私密信息司法判定的困境。

表1 王庆辉案和庞理鹏案

在互联网时代，随着信息技术的纵深发展，信息的抓取成本变低，原本处于孤立和分散状态的个人信息极易被筛选、收集和整合，从而形成具有系统性、识别性的私密信息，导致与特定自然人进行匹配，或导致隐私侵权，或导致个人信息权益侵权。由此观之，当个人信息附着了隐私利益时，便吸收了隐私的特征，在一定程度上具备了双重属性。因此，具备了隐私和个人信息双重属性的“私密信息”就需要法律明确其适用的保护体系，从而为司法提供指引，使当事人的利益得到应有的保护。民法典应此要求，将“私密信息”纳入隐私范畴，从而使其受到了隐私权体系更加完善的保护，避免使附着在个人信息之上的隐私人格利益落入个人信息保护体系的规制之中，造成法益保护不当。这也体现了立法者在肯定个人信息流动价值的基础上坚守着隐私权人格利益底线的价值权衡，即个人信息流动所带来的经济利益不能以牺牲个人隐私人格利益为代价。在庞理鹏案中，二审法院认定姓名、手机号以及行程信息可以结合识别特定自然人，因而认定其属于隐私信息（即民法典规定的私密信息）；相反，王庆辉案中，二审法院认为姓名以及司法考试成绩不具有可识别性，也非私人绝对空间，不构成隐私信息。除此之外，凌某诉抖音侵害隐私权及人信息权益案、黄某诉微信读书侵害隐私及个人信息案等都向司法实践传达出一个讯息：隐私和个人信息如何界分？其中间部分的私密信息到底如何界定？如果界定不清晰，易导致保护体系错位，原本应当受隐私权更高阶保护的私密信息落入个人信息权益保护体系，导致当事人权利不能得到充分的保护。亦可能本该是一般个人信息而被认定为私密信息，错误地受到了更高阶的隐私权体系的保护，造成相对人责任加重。

因此，判定隐私和个人信息的法律边界，为其重合部分“私密信息”提供司法认定标准，就成为一个极为重要的问题。本文先从域外视野，对欧洲及美国保护体系建构的差异进行比较法的研究，然后从纵向维度追溯我国有关隐私和个人信息从一元到二元的体系选择，最后结合中外视域以及司法实践的需求对私密信息进行要件构造，回应私密信息的司法判定困境。

二、域外视野：隐私和个人信息的体系分化

美国的一元化体系：大隐私权架构

美国是隐私权的滥觞之处，其在隐私与个人信息的权利体系架构方面采取的是一元化的顶层设计。在19世纪90年代，沃伦和布兰迪斯发表的《论隐私权》标志着隐私权理论的初步提出。在此后的理论发展进程中，隐私权的内涵不断深化，外延也逐渐扩展。20世纪70年代以来，随着信息技术的出现，美国法院在隐私权传统四分法的基础上，通过司法判例建立了一系列新的隐私权，从此形成了“自治性隐私权”“物理性隐私权”和“信息性隐私权”的三分法。其中，“信息性隐私权”即“个人享有的对其信息获取、披露和使用予以控制的权利”。随着信息社会的发展，信息技术使得整个社会的信息流动加速，于是“信息性隐私权”的保护变得日益重要，就其发展而言，甚至在某种程度上被纳入了隐私权的核心范畴。随着实践的发展，美国将隐私的保护以及个人信息保护笼统地搁置在隐私法之中，建立了美国大隐私权的一元体系架构。而美国建立的此种一元化的大隐私权架构并不具有隐私和个人信息实质性的独立保护的制度效能。

欧盟的二元化体系：隐私权和个人信息受保护权的二分架构

与美国的一元化体系架构不同，欧盟选择了隐私与个人信息二元化的保护架构。在二元化的保护体系下，隐私和个人信息享有不同的法律保护规则和法律效果，其二元化体系的建立和发展体现在其逐步推进的立法活动中。1981年《个人信息自动化处理保护公约》，标志着保护个人信息的国际公约初步确立。此后，保护个人信息权益的立法在法律体系中不断扩充和完善，2018年的《一般数据保护条例》更加表明了“个人信息受保护权”已经基本独立于隐私权成为一项新型权利。欧盟法建构了独立的个人信息保护法体系，而GDPR就是迄今为止在全球范围内对个人信息保护层次最高、最全面的法律制度。类似地，《基本权利宪章》（以下简称“宪章”）也将二者的保护在宪法的层面进行了极其明确的区分。在《宪章》第7条中规定了对公民隐私的独立保护；与此同时，宪章第8条则规定“个人有权享有个人信息保护”。基于个人信息保护和隐私权的不同规定，可以认为欧盟将两者视为不同的权利，而非仅是纯粹象征性的区别。欧盟的二元化保护体系下隐私权和个人信息权的实质性区别主要体现在以下几个方面。

第一，权利主体不同。在欧盟，法人主体被排除在个人信息权保护体系之外，相反，隐私权的权利主体却可以是法人；第二，权利的客体不同。个人信息的外延范围很广，在识别性上，公民个人信息既包括已识别的个人信息也包括可识别的个人信息，但是在这些信息中，必须满足特定条件的信息才能归入隐私之中。换言之，隐私并不当然包含全部的个人信息。同时，隐私的侵犯也未必需要通过揭露公民个人信息来实现；第三，权利行使的限制不同。根据宪章第52条可知，隐私权和个人信息受保护权的行使必须符合比例原则。与此不同，个人信息受保护权的干预则是综合权衡个人信息流动所产生的社会经济效益与其他基本权利的相对平衡。隐私权的干预条件要比个人信息受保护权的干预条件更加严格。从此也可以推定，在权利限制上，隐私利益被置于更高的保护位阶。

虽然欧盟建立了隐私和个人信息二元化的保护体系，但由于隐私和个人信息依然存在着内涵和外延上的不同程度的重合与交叠，司法实践中私密信息的判定仍是困难重重，这导致欧盟的司法实践并没有严格适用其二元化的保护体系，出现了二元化的理论体系下的一元化实践的困境，体系适应的不当也导致了法益保护错位。例如，Schecke案件中，政府对农民补贴进行公开，引起了非法处理个人信息的争议。德国法院建议欧洲法院适用个人信息保护体系对此进行裁判，不再适用隐私权保护体系。但是欧洲法院并未采取德国法院的建议，最终的归宿还是落在隐私权。由此可见，欧洲法院和德国法院在对“公开农民补贴”属于私密信息还是一般的个人信息产生了争议，而不同的判决结果下就会适用不同的保护体系，导致权利人或义务人权益的减损。由此可见，私密信息的司法界定在二元体系下的欧洲不能进行清晰的界定，导致了隐私权保护体系和个人信息保护体系的错误适用，进而影响了权利人或相对人的利益实现。

根据对美国和欧盟的比较法梳理，无论是美国的一元化保护体系抑或是欧盟的二元化保护体系都各具利弊。美国的一元化保护体系下，对私密信息的界定不需要过多的要求，这在一定程度上确实提高了司法运行的效率，但弊端却也明显，因为绝对意义上的隐私和个人信息适用相同保护体系容易抹平不同法益的价值位阶；欧盟的二元化保护体系下，处于不同价值位阶的隐私利益和个人信息利益得到了不同体系的保护，也会产生不同的法律效果，符合保护力度与价值位阶相协调的原则，但同时对私密信息的界定提出了更为严格的要求。

显然，私密信息的判定是适用二元化保护体系无法回避的问题。欧盟二元化保护体系下私密信息的司法判定存在着争议，与其说这种争议是源于体系的弊端，毋宁是说，这是由于隐私和个人信息的交叠所导致私密信息的司法标准不能得到准确的认定。可以肯定的是，私密信息的判定对适用二元化保护体系的国家带来了困扰，已经成为了国际化难题。为此，在域外不能准确界定私密信息的情况下，应当回归中国在此问题上的困境，根据域外的规制体系和我国的理论进路，结合目前法律体系和实践经验，去明晰、辨别和区分隐私和个人信息的交叠和界分，去厘清私密信息的构成要件，更好地发挥我国二元化保护体系的作用。

三、中国进路：从一元到二元的路径抉择

中国隐私和个人信息保护的一元化道路

隐私权作为以人格尊严为价值基础的权利先于个人信息权益被纳入我国的私法体系之中，其发展经历了如下表的几个明显的阶段。

表2 隐私权从无到有的历程

与隐私权不同，我国个人信息保护的基本转向是从公法的自上而下到私法的自下而上。我国早期个人信息的保护是源于公权力机构开始对个人数据进行收集和处理，因此早期的个人信息保护的相关立法旨在规制公共机构处理个人信息的行为。但随着大数据、人工智能的异军突起，数以万计的超级平台在处理个人数据方面的能力达到前所未有的程度，私立机构对于个人信息的收集、处理和利用的动机和能力远超于传统公共机构。我们很难同意具有自主性和自动学习功能的人工智能会成为个人信息的保护者，这其实是在创造利维坦，谁也无法保证他们不会成为个人信息的贪婪收集者而是变身为保护神。因而，个人信息保护的使命逐渐向私法靠拢。在实践中，我国法院亦经常采取隐私权保护为个人信息的权利人提供救济，从而构建了我国的一元化保护体系。

中国隐私和个人信息保护的二元化道路

民法典人格权编对隐私和个人信息的法律概念进行了明确，同时，个人信息保护法也对个人信息权益加以特别保护，从而在制度层面正式构建了隐私权和个人信息权益的二元化保护体系。正如上文所述，民法典规定私密信息适用隐私权保护的规定，没有规定的，适用有关个人信息保护的规定。

民法典和个人信息保护法构建的二元化保护架构赋予了隐私和个人信息不同的概念，同时也赋予了其不同的保护规则。由此，二者的法律效果也有所不同，其主要区别如下所述。

第一，二者的性质不同。隐私权是以人格尊严为基础而建构的权利，集中体现精神性人格利益；而个人信息权益则是包含人身利益和财产利益的综合性人身权益，具有一定的衡平性质。

第二，二者的动力不同。隐私权的启动动力是被动型动力，沃伦和布兰迪斯认为，隐私权是“远离世事纷扰”“个人独处”的权利。故而，隐私权是为了防止个人独处的状态被外界干扰，保护内心的安宁，而不是为了获得隐私财产化流通和商业化利用所带来的经济价值，所以一般只有在受到侵害时提出，用以自卫；相反，个人信息具有有价性和可处分性，因此可以商业化利用。因此，个人信息权益作为一种主动型人格权益，主体享有对信息利用的决策权。“信息自决”应有之意是个体能够决定自身信息的使用。因而，自然人除了被动地防御和抵制他人侵害，还可以进行“信息自决”，对个人信息的处理和使用进行积极能动的自治。在信息化时代，个人信息的经济价值逐渐凸显，尤其是对个人信息进行整合和处理所形成的具有数据库性质的信息合集，是互联网时代培育新经济增长点的重要生产要素。因此，赋予个人信息决策主动权是符合时代要求的。

第三，二者的价值定位不同。隐私权的价值在于人格尊严，个人信息权益的价值在于意思自治。从人的法律保护价值导向来看，对人格尊严的保护高于私法自治。这种价值导向同时也是隐私权保护体系和个人信息保护体系二分的重要法理学依据。

第四，二者的处理对当事人意思表示的要求不同。这集中体现在二者“知情同意”内涵的差别上。由民法典第1033条可知，隐私的处理要取得个人的“明确同意”，而第1035条规定了个人信息的处理要取得个人或者监护人的“同意”。“明确同意”和“同意”并非是因为立法疏漏，而是有着实质的差别。从语义解释来看，“明确”一词实际是对“同意”方式的限制。“同意”包括两种方式，一是明示同意，即明确的意思表示，另一种是默示同意，并非明确的意思表示。但“明确同意”实际上是排除了“默示同意”的情形，权利人只能采取明示同意的方式。因而，从二者的免责事由下的“知情同意”的实质差别出发，可以对此进行一定的目的解释：之于隐私权和个人信息权益的价值位阶、社会功能的差别，法律对当事人的意思表示状态的要求有所差别，体现了意思自治程度的差别。

第五，二者的保护力度不同。隐私权具有绝对性、控制性和自主支配性，个体对其隐私享有广泛而充分的权利。隐私权作为法定人格权，权利人的隐私受到侵害时，可以行使人格权请求权，依据民法典第995的种方式进行隐私维权，并可以适用侵权责任编要求损害赔偿；而个人信息权益主体只享有几项法定权利，个人信息保护法在明确了民法典赋予自然人查阅权、复制权、更正权和删除权的基础上，明确了几项其他权利，即第44条明确的个人的知情权和决定权，除此之外再无法定权利。而且个人信息权益并非人格权编所明确承认的法定权利，因而在“能否适用人格权请求权”的问题上仍存在争议，所以个人信息权益的保护仍需要诉诸于上述的有限的几项权利。虽然个人信息保护法第69条规定了损害赔偿的侵权责任，在一定程度上加强了对个人信息权益的保护和救济，但因为在适用人格权请求权方面存在障碍，所以对于法益救济仍有所欠缺。

综上所述，二元化保护体系下隐私权和个人信息权益具有不同的保护规则，由此会产生不同的法律后果。基于此，司法实践必须严格适用二者各自的保护体系。我国构建了隐私和个人信息的二元化保护体系，并且民法典也对隐私和个人信息进行了概念界定。同时也引入了“私密信息”的概念，并将其归入隐私权保护体系，意图是使隐私和个人信息交叠的部分有确定的保护体系的适用。但究竟什么是私密信息，什么又是一般个人信息？这个问题是私密信息保护体系适用的前提。私密信息判定不清会产生司法裁判的困扰，可能本该被隐私权体系保护的私密信息被错误地认定为其他个人信息，导致当事人权益的减损。抑或本该是一般个人信息而被认定为私密信息，错误地受到了更高阶的隐私权保护体系，造成相对人责任加重。所以，如若不能对私密信息进行准确的司法判定，那么当事人在选择请求权基础的问题上会存在很大风险，导致权利和义务的不确定性。因此，确定“私密信息”的司法判定标准尤为重要。

四、要件构造：“私密信息”的判定标准

依照黑格尔的逻辑哲学的方法论，何为“私密信息”实际谈论的就是“私密信息”的抽象本质。本文将以主客观要件的解释论去揭示私密信息的抽象本质，为私密信息的司法判定提供合理可循的判定标准，从而使真正符合私密信息构成标准的个人信息能够真正受到隐私权体系的保护，同时也避免不属于私密信息的个人信息不当地归入其中，造成法益保护错位。

主观要件：不愿为他人知晓

从民法典第1032条可以推定“不愿为他人知晓”是隐私的主观构成要件，而此条第2款将私密信息纳入其中，故而可推定“不愿为他人知晓”亦为私密信息的主观构成要件。因而，愿意抑或是不愿意让他人知晓，直接决定着目标客体是否真正具有私密信息的本质。而对于“愿意”和“不愿意”，应当通过两个方面进行判定：一是对当事人的外显行为进行探寻；二是从社会认知共同体中推定。之于第一方面的“当事人的外显行为”，可以采取“场景融入”的方法进行探寻；之于第二方面的“社会认知共同体”，可以采取“场景抽离”的方法进行推定。由此，从两个方面对“不愿为人知晓”的权利人主观形态进行全面的考察，从而形成较为完善的主观构成要件判定体系。

1.“场景融入”：当事人外显行为的探寻

心理学中行为主义理论的创始人华生认为，研究一个人的意识，就应当把人的意识当作一个黑箱，不管里面装的是什么，只需要考察在刺激影响下的反映活动，行为就是由这些反应活动构成的。因此，想要判定当事人的意愿，可以从其外显行为中去探寻。而通过行为去判断当事人的意愿必须明确一个问题：当事人是否为了自己的隐私保护作出了一定的外显行为？

根据波兰尼、格兰诺维斯的“嵌入”理论，科技正在以绝对强势地位嵌入、颠覆乃至重塑人类的行为模式。在大数据时代，个人的外显行为和生活被多样化地承载，个体表征偏好的价值序列有如“万花筒”理论般呈现着各种样态，个体对于隐私价值的主观期待产生了不同程度的分化，换言之，对于相同性质的个人隐私，不同的个体会依据自身的价值判断作出不同的价值选择。例如，在抖音等短视频平台上，部分社会个体渴求“可能认识的人”的功能推送，想凭借此功能模块构建互联网和现实生活中社交关系的统一，而有的社会个体则认为“可能认识的人”的功能打扰了其私人生活的安宁，违背了自己的隐私意愿。所以对这部分隐私具有期待的人会关闭这个功能以求得私生活不被打扰，而另一部分人则积极地利用此功能进行社交。再如，微信读书功能中，有的人渴求将自己的读书信息分享给他人，但有的人认为自己的读书记录承载着自己的读书偏好、民族情绪、性取向甚至宗教信仰等，因此不愿被他人知晓。由此，本文引入“场景融入”的方法，即在具体场景中去判断当事人愿不愿意为人知晓的隐私主观期待。国内场景融入方法主要是受到美国学者尼森鲍姆“场景完整性理论”的启发。引入此种方法是为了解决价值偏好存在剧烈分化的时代个体对于隐私期待的差异性态度。由此，不同的态度通过不同的行为表现出来，直接影响了私密信息主观构成要件的成立与否。如果当事人主动公布原本具有隐私性质的信息，主动构建“信息化人设”，向社会和公众进行选择性的袒露，则表明其主观愿意将自己的信息暴露于公众的目光之下，此时当事人已经用其自身的外显行为主动消灭了“隐私期待”，凭借意思自治瓦解了私密信息的主观要件，此时其信息便不再属于私密信息，而顺延归入“一般个人信息”之中。相反，如若当事人的外显行为表现出较为明确的隐私期待，不公布自己的隐私，如设置“仅自己可见”，表明通过功能性设置这一外显行为去宣誓自己的隐私期待，那么在这个具体场景之中，其信息当然满足“不愿为他人知晓”的主观要件。此外，个人信息处理者的处理目的也会影响私密信息的判定，例如GPS定位信息若用于叫车服务则不构成私密信息，若用于追踪司机的行踪则构成私密信息。

应当注意的是，通过“场景融入”的方法去探知当事人的主观意愿的方法属于相对“弹性”的判断标准，不可避免地具有一定的规定性缺陷。首先，通过外显行为表达隐私期待对当事人的能力要求较高，由于信息的不对称，当事人很难知道私密信息是否会被处理或者会被何人何时以何种方式处理，很难要求所有的权利人通过外显行为积极表现自己的隐私期待；其次，弹性的场景融入诉诸当事人的自我意志，在一定程度上影响权利和义务的确定性，因此在法理也存在一定的需要探讨的空间。因此，在“场景融入”的弹性判断对“不愿为他人知晓”的推定不具备充分效力的时候，可引入了“场景抽离”的路径，结合社会认知共同体去推定当事人的主观意愿，从而弥补“场景融入”方法的弊端。

2.“场景抽离”：社会认知共同体的推定

在当事人没有进行积极能动的隐私期待宣誓的行为时，无法通过“场景融入”作具体判断，此时“场景抽离”意味着不需要对具体场景进行分析，而凭借普遍性的社会期待进行主观推定。而社会认知共同体应当结合普遍的社会价值观、社会伦理观、善良风俗和习惯等进行客观化标准的综合性考量。由此，“场景抽离”意味着凭借普世性价值对“不愿为他人知晓”进行抽象判断。值得注意的是，凭借社会认知共同体的“场景抽离”仅仅是“场景融入”不存在时的效力推定方式，如果在具体场景之中，当事人通过外显行为表明隐私公开，则“场景抽离”的推定则不应当优先适用。

社会认知共同体推定的实质就是界定出必然性的、应然性的私密信息，以此指导司法实践中对于“不愿为人知晓”的主观形态的判定。必然性的私密信息可以称为“核心私密信息”，这部分可以将社会共识下的、核心范畴的私密信息进行明确。“核心私密信息”植根于私密信息的人格尊严价值的本质，是私密信息中最特殊、最稳定、最应当保护的部分。逻辑学的词项概念特征下，内涵越深，外延越窄，集合内满足词项要求的数量就相对较少。因此，明确“核心私密信息”是具有可行性的。

德国法“领域理论”下的“核心私密信息”属于“隐私领域”的范畴，向外辐射的部分是“私人领域”以及“社会领域”（这两个部分将在客观要件部分的社会距离性部分进行探讨），“隐私领域”内私密信息与人格尊严密切相关，一经泄露可能对当事人的人格尊严造成极大的损害。由此，可联想到个人信息保护法中规定的“敏感个人信息”，其指一旦泄露或者遭到非法使用，极易导致自然人的人格尊严或者人身、财产安全受到危害的个人信息。通过比较可以看出，核心私密信息和敏感个人信息具有很强的相似性，它们都与权利人的人格尊严密切相关。但敏感个人信息的客观权益侵害风险基准使其区别于私密信息。也就是说只有信息的处理能产生更高权益侵害风险时才属于敏感个人信息。比如个人不愿意为人知晓的考试成绩（不涉及公共利益），属于私密信息，但不满足敏感个人信息的客观风险基准。再如个人信息保护法中规定了金融账户属于敏感个人信息，但金融账户主要强调财产权益，距离人身权益较远，一般不会侵害当事人的人身权益，因此一般情况下不宜认定为核心私密信息。因此，核心私密信息和敏感个人信息在外延上存在交叉，本文认为应当把敏感个人信息中与人身权益较近的部分认定为核心私密信息，如医疗健康、特定身份、宗教信仰等，而金融账户等财产信息应当从核心私密信息中排除。但是这并不意味着被核心私密信息排除就一定不是私密信息，而是不在核心私密信息中明确。

客观要件：“隐秘性”“私人性”“可识别性”与“记录方式特定性”

无论从法律概念的界定上还是从语义主义上寻求依据，私密信息都具有隐私和个人信息性质上的二重性，因此私密信息的客观表征形式也应吸收二者的特殊性，即私密信息的客观要件既包含隐私的“隐秘性”“私人性”也应包含个人信息的“可识别性”以及“记录方式特定性”。

1.私密信息具有“隐秘性”

“隐秘性”主要强调的是个人信息所处的状态。当个人信息构成“私密信息”时，首先此个人信息必须处于“没有被不特定的多数人”知道的状态，也就是说，如果相关信息处于公开状态，则不具备“隐秘性”的特征，也就当然不构成私密信息。我国民法典第1036条规定的个人信息处理者的免责事由包括了“合理处理”以及“合法公开”。这表明私密信息应当处于“隐秘性”的状态之下。值得注意的是，特定的人知晓的个人信息满不满足“隐秘性”的特征？美国法院对此采取的是“第三人理论”：只要当事人将相关信息提交给第三人就丧失了“隐秘性”的特征。但是本文认为，当事人将个人信息提交给第三方是出于特定的目的，应当具有合理的隐私期待利益的，即认为自己的个人信息应当不会被第三方以外的其他人知晓，例如将个人的病例提交给医疗机构，即是向医疗机构袒露隐私，并非凭此排除其状态的“隐秘性”。因此，个人信息被少数特定的、被当事人信赖的第三方知晓并不影响个人信息的“隐秘性”。

2.私密信息具有“私人性”

“私人性”与“公共性”相对应，包括了两个方面的内容：一是“私人利益性”，即私密信息所包含的私人利益应在比例原则下适当地让步于公共利益。二是“私人距离性”，即私密信息的私密程度应当靠近个人而非公众或群体。

（1）“私人利益性”

法律是社会利益的调整器，法律的主要作用之一就是调整及调和种种相互冲突的利益，无论是个人的利益还是社会的利益。“私人利益性”是对隐私利益的正当性考量，即如果个人信息中的隐私利益与公共利益发生冲突则不属于私密信息，但利益让步也应符合比例原则。民法典第1037条规定的免责事由中包括“为维护公共利益或者该自然人合法权益，合理实施的其他行为”。公共利益的价值位阶要高于私人利益，因此在个人信息保护领域，私人利益也应适当让步于公共利益和他人合法权益。因此，私密信息必须具有“私人利益性”这一客观要件，否则，即使是意思自治下的“不愿为他人知晓”也必然不能与公共利益抗衡。

（2）“私人距离性”

按照德国法的“领域理论”，“私密性”不是非黑即白、泾渭分明的属性，而是具有辐射和发散的过渡性质的属性。在“社会认知共同体”的主观要件的论证中已经把该理论下的核心领域即“隐私领域”认定为需要明确的“核心私密信息”。同时，在该理论的“核心领域”的外部还有“私人领域”和“社会领域”，可以把德国法下的“私人领域”和“社会领域”重新整合并界定为一个独立的领域，本文界定其为“过渡式动态领域”。这个“过渡式动态领域”可以被看成一个光谱，光谱左侧是“私人领域”，光谱右侧是“社会领域”，某种个人信息是否属于私密信息就看其在光谱中的位置。例如地理位置信息便不是一个绝对静态的概念，既可能构成私密信息也可能仅仅属于一般个人信息。一般来看，个人的位置信息与公共交通、公共场所、公共安全密切相关，此时，个人地理位置信息与光谱左侧“私人性”相距较远，而与右侧的“社会领域”相距较近；但也存在某些场景，个人地理位置信息与人格尊严息息相关，更加偏向“私人性”。例如某人因为某些具有敏感性的疾病去特定的科室看病，或者因为宗教信仰偏好、性取向等出入了特定场所，这些地理位置信息在某种程度上反映了一个人的私生活和人格尊严，更加偏向“私人性”，根据光谱距离的判断标准，应当构成私密信息。所以，客观的“私人利益距离性”也属于私密信息的客观构成要件，这种动态的判断标准弥补了上文对“核心私密信息”加以明确的静态性的弊端。由此，从内而外的判断和界定标准基本可以完成对于“私密性检验”的体系建构。

3.私密信息具有“识别性”

在法律语义上，私密信息除了属于隐私的范畴，还属于个人信息的范畴，因而当然具有个人信息的固有属性，而“识别性”则是个人信息的必要特征。“识别”包括“识”和“别”两个方面，“识”可理解为“认识”，“别”可以理解为“区别”。美国使用的是“个人可识别信息（PII）”的概念；欧盟则采用个人数据概念，指与一个身份已识别或可识别的自然人相关的任何信息。我国民法典对个人信息识别性的表述是“单独或者与其他信息结合识别特定自然人”，而个人信息保护法对个人信息识别性的表述是“已识别或可识别”。由此可知，通过对国际上法律体系和国内法的比较法梳理，可以认为“识别性”是“个人信息”的核心属性和本质特征。因此，可以从“已识别”和“可识别”两个方面对私密信息的“识别性”客观要件进行层次性构建。

顾名思义，“已识别”就是凭借此私密信息已经足够且随时能够单独识别特定的自然人，不需要任何其他信息的辅助就能完成识别的整个过程。“已识别”应具备“充分性”特征以及“独立性”特征，即在性质上能充分识别特定自然人，在识别条件上对其他信息不具备任何程度的依赖性。

“可识别”意味着当前并不能直接且独立地识别特定自然人，但将来经过与其他个人信息的结合而在整体上具备了识别特定自然人的可能性。“可识别”的个人信息既不需要具备识别特定自然人的“充分性”特征，也不需要具备识别特定自然人“必要性”特征。不需要具备“充分性”特征是因为“可识别”不同于“已识别”，不能仅通过“可识别”信息就识别特定自然人。而从逻辑学上引入的“必要性”是指“可识别”的个人信息在逻辑上并非是识别特定自然人所必不可少的条件，即“可识别”的个人信息的地位是可以被替代的。这是因为在大数据时代，每个人的信息、数据被技术所撕裂和重组，每个人的面貌都能通过不特定某些方面的信息被揭露。可以用数字逻辑对此进行表述：A+B+C→甲；D+E+F→甲；A+C+F→甲（ABCDEF等字母代表某些承载着自然人甲的某方面特征的个人信息）。因此，“可识别的个人信息”并非是识别特定自然人的必要条件。这正如“马赛克理论”的观点：若干非重大的信息或信息片段，结合起来可以形成有重要价值的信息。

此外，涉及到私密信息识别性的问题可以延伸出另一个问题：“去识别性”。以匿名化为例，法律语义上的匿名化至少应该满足两个标准：第一，仅从信息本身无法指向特定人；第二，即使结合其他信息也无法指向特定个人。第一个标准可以理解为个人信息的“去已识别性”，第二个标准可以理解为个人信息的“去可识别性”。根据上述两个匿名化标准，匿名化处理过的信息如果仍能与其他信息结合识别特定自然人，便不能满足“去识别性”的要求。所以，只要匿名化没有达到上述两个标准，就应当推定其没有完成实质意义上的“去识别性”，则依然构成私密信息；反之，在其他条件不变的情况下，如若满足了标准的匿名化要求，可认定其完成了实质意义上的“去识别性”程序，则有理由认为其不具备私密信息的实质性构成要件。

4.私密信息应是“以特定方式记录”的信息

民法典和个人信息保护法对个人信息记录方式的要求是“电子方式”或“其他方式”，以此对个人信息的记录方式进行了“核心+开放”式的规定，核心要求是“电子方式”，开放的部分是“其他方式”。

“电子记录”方式在学界并没有系统性的定义，但可以肯定的是，电子记录是以计算机为系统依托，对信息进行创建和储存的信息记录方式。“其他方式”是指电子记录以外的传统的信息记载方式，如纸质承载的个人信息。

公民个人信息的记录方式是否限定为“电子记录”是衡量公民个人信息保护范围的重要尺度。《关于加强网络信息保护的决定》中规定的保护客体是以电子方式记录的公民个人信息，这意味着将传统的个人信息记录方式排除在外，而仅仅保护以电子方式记录的公民个人信息；与此不同的是，民法典和个人信息保护法中的个人信息概念并没有采取这种封闭式的界定方法，而是将“以传统记录方式记录的个人信息”也纳入了保护范围之中。由此，可以推定公民的私密信息的记录方式以“电子记录”为核心，但也不排斥其他信息记录方式。我国的二元化保护体系采用此种定义模式，一是体现了规制个人信息保护的时代特征，即互联网时代信息记录的主要方式；二是涵摄传统的信息记录方式以避免造成公民权利保护的缺失，体现了在立法层面上坚持了两点论和重点论统一的哲学方法论。

依据私密信息司法判定的主客观要件构造，回顾第一部分提出的“王庆辉案”。首先从“场景融入”角度去探寻当事人的外显行为，王庆辉对天一学校公布姓名及考试成绩的行为表示了明确的拒绝，这种隐私宣誓体现了“不愿为他人所知”的主观意愿，满足私密信息的主观要件。其次，从“隐秘性”角度看，王庆辉在知晓司法考试成绩之后并未对外公布，其成绩除考试主办方外只有天一学校知晓，满足“没有被不特定的多数人知晓”的“隐秘”的状态，具备“隐秘性”的客观要件。再次，从私人性角度看：第一，王庆辉的司法考试成绩具备“私人利益正当性”，并未牵涉到公共利益和他人合法权益；第二，从王庆辉的“私人距离性”看，考试成绩体现着一个人的人格尊严，靠近“光谱”左侧的“私人领域”，因此当然满足“私人距离性”的客观要件。最后，从“识别性”和“记录方式特定性”的角度看，虽然“姓名”和“司法考试”成绩并不能完全直接指向王庆辉，但是结合“姓名”“司法考试成绩”“培训机构”“公布地点”等完全具备“可识别性”特征，同时其成绩以电子方式记录，不存在信息表现形式上的任何阻却理由。综合私密信息的主客观要件，可以认定其公布的信息属私密信息，应当纳入隐私权保护范围。而二审法院认为其不属于私密信息的判决结果值得商榷。

结语

在信息化社会，个人信息的流动具有巨大的社会价值，但是由于隐私和个人信息在内涵、外延上呈现高度重合的特征，便天然地产生了处于二者模糊地带的“私密信息”。“私密信息”适用何种保护体系，民法典已经给出了答案，即适用隐私权保护体系。但是，适用的前提便是明确“私密信息”的司法判定标准。只有这样才能避免体系适用错误，致使本应受隐私权体系保护的私密信息被错误认定为其他个人信息，致使当事人的权利不能得到更高阶、更全面的保护，或不当地将一般个人信息认定为私密信息造成权益过度保护，使权益相对人责任过重。因此，本文对域外的立法、司法实践进行比较法的梳理，结合中国的法律实践的现状，统合“私密信息”的主客观要件，构建从主观到客观、从内到外的既具有相对稳定性又保持弹性空间的解释论架构。在将来，随着相关立法的进一步完善，期待个人信息能合理、合规、合法地流通，信息化市场能良性有序地运转，隐私权的保护和个人信息的流动能达到更加平衡的状态。

原标题：《张芷维｜隐私和个人信息的界分：私密信息的司法判定标准》

阅读原文