上政学报 网络首发 | 石佳友:隐私权与个人信息关系的再思考——兼论私密信息的法律适用
点击蓝字
关注我们
聚焦即将出台的“个人信息保护法”
本篇系《上海政法学院学报》2021年7月份的网络首发文章
特约主持人
石佳友
主持人按语
备受瞩目的《个人信息保护法》草案即将迎来立法机关的第三次审议。《个人信息保护法》是我国以集中和体系化的方式全面规定个人信息保护各个环节的专门性立法,是对《网络安全法》《民法典》等法律中个人信息保护制度的细化、完善与发展,也是继《网络安全法》《数据安全法》等立法之后夯实数据与信息安全、贯彻总体国家安全观的又一标志性立法成果。中国的个人信息立法工作虽然起步略晚,但起点高,进展快。立法机关充分发挥“后发优势”,立足于我国国情,深入研究借鉴比较法的先进经验,在此基础上创立了中国的个人信息保护模式:在调整对象上,《个人信息保护法》采纳了一般个人信息和敏感个人信息的二元分类;在规制对象上,《个人信息保护法》既调整平台企业等私法主体的信息处理活动,也对国家机关处理个人信息作出了特别规定;在监管模式上,《个人信息保护法》采取了统筹协调和分散监管相结合的模式。为深入剖析《个人信息保护法》草案,本期刊载了多篇专题研究成果,聚焦于《个人信息保护法》草案的立法创新(告知义务、个人信息处理的限度)、立法争议(个人信息的匿名化处理)、与其他民事权利制度的关系(隐私权、数据权等)等层面。这些成果以草案文本为基础,结合比较法经验,从不同视角对草案相关条文提出了深入的分析,以期进一步深化对立法草案相关制度及条文的思考,也期待在相关主题上学术界能有更多的深入思考、讨论和争鸣。
隐私权与个人信息关系的再思考
——兼论私密信息的法律适用
作者:石佳友,中国人民大学民商事法律科学研究中心和法学院教授,博士生导师。
内容摘要
隐私与个人信息之间存在密切的内在联系,个人信息是在隐私权的框架下发展起来的。隐私权的本质在于权利人保持其个别特性的“差异权”,其立法宗旨在于确保个人对其私人事务的决定权,排斥他人的不合理关注或干预。个人信息的本质则在于确保个人对其信息的控制权,其立法宗旨在于确保信息处理过程的透明度。《民法典》关于私密信息的法条竞合模式未能厘清二者的本质及功能差异,未来应通过法解释技术来实现符合立法目的的司法适用。为此,需强调个人信息规则的特别法属性及优先适用地位,并将隐私权中的私密信息限定为身份识别信息之外的其他信息。
关键词
隐私权;个人信息;私密信息;合理期待;法条竞合
隐私与个人信息之间存在着紧密的内在联系,二者在范围上也通常被认为存在重叠。长期以来,“信息隐私”(或称数据隐私,Data Privacy)这样的提法在比较法文献中被广泛使用,而且,个人信息保护被视为是隐私保护的手段和重要支撑。这些在相当程度上增加了区分隐私与个人信息两个基本范畴的困难。
一、隐私权与个人信息的立法沿革
隐私概念的出现与历史、文化和技术发展密切相关。隐私概念最早源于古希腊著名思想家亚里士多德所提出的公共生活(城邦)与私人生活(家庭)之间的界分。这一区分后来为英国的思想家洛克和密尔所采纳,用以强调私人领域的自我决定来对抗政治权力对市民生活的干预。“隐私并非是一个一开始就给定的自然现实;它是一个历史的概念,由特定的社会以不同的方式建构而成。并不存在一个范围一成不变的隐私,其内涵随着人类活动在公共领域和私人领域界限之间的变化而不断变动。隐私只有相对于公共生活来说才具有意义,隐私的历史首先是其定义的历史。”隐私是随着对个人权利保护的不断增强、公共生活范围的不断缩小这一历史发展进程而逐渐形成的。众所周知,在美国,沃伦与布兰代斯在1890年发表于《哈佛法学评论》的《论隐私权》(The Right to Privacy)一文中首次提出了隐私权理论。隐私权后来被归结为所谓“独处权”(Right to Be Left Alone)。隐私权是西方自由主义传统和个人主义哲学的产物,其本质是私生活受到尊重的权利,也即私生活受保护的权利。在早期,隐私主要是指对个人私生活或财产的侵入(类似于Trespass);但在当代,隐私权的涵义已从早期的“独处权”发展为应对经济和技术条件变革的人权保护挑战。
1948年联合国《世界人权宣言》(以下简称“《宣言》”)是首部规定隐私权的国际法文献。《宣言》第12条规定:“任何人的私生活、家庭、住宅和通信不得任意干涉,其荣誉和名誉不得受到侵害。人人有权享受法律保护,以免受这种干涉或侵害。”随后,1950年的《欧洲人权公约》第8条也对隐私权作了规定:“1.人人有权享有使自己的私人和家庭生活、家庭和通信得到尊重的权利。2.公共机构不得干预上述权利的行使,但是,依照法律规定的干预以及基于在民主社会中为了国家安全、公共安全或者国家的经济福利的利益考虑,为了防止混乱或者犯罪,为了保护健康或者道德,为了保护他人的权利与自由而有必要进行干预的,不受此限。”1966年联合国《公民权利和政治权利国际公约》第17条就隐私权作了类似的规定:“1.任何人的私生活、家庭、住宅或通信不得加以任意或非法干涉,其荣誉和名誉不得加以非法侵害。2.人人有权享受法律保护,以免受这种干涉或侵害。”2000年《欧盟基本权利宪章》第7条也规定了隐私权,包括私生活、家庭生活、住宅、通信等受尊重的权利。
受国际法的影响,隐私权也逐渐进入国内法秩序之中。例如,法国巴黎上诉法院在1970年的一个判决中指出,隐私权“是一个人可以自由决定其生存,受到最小限度的外界干预(Ingérence Extérieure)”;而法国1970年7月17日的法律进一步对《法国民法典》和《法国刑法典》进行了修订。修订后的《法国民法典》第9条规定:“每个人都有私生活受到尊重的权利。法官在不影响受害人获得损害赔偿的前提下,可采取一切必要措施,包括查封、扣押等,以防止和制止对私生活私密性(Intimité)的侵害。在紧急情况下,法官可对这些措施以紧急审理的方式作出裁定。”另外,修订后的《法国刑法典》以第226条及以下各条规定了侵害隐私罪。第226条规定:“故意以任何手段侵害他人隐私的,处一年监禁,并处45000欧元罚金。”1991年加拿大《魁北克民法典》第36条列举了对私生活的侵害手段:1)侵入他人住宅或从其中取走任何物件;2)故意监听或使用他人的私人通信;3)偷拍或者使用他人处于私人场合下的照片或声音;4)使用任何手段监视他人的私生活;5)基于满足公众获取合法信息之外的其他目的,使用他人的姓名、照片、画像或声音;6)使用他人的信件、手稿或者其他私人文件。
就个人信息制度的发展演变而言,对个人信息的收集、存储和处理其实在历史上早有先例。早期的政府通过签发各类证明、文书、护照等文件来对人口进行管理,并建立相应的档案系统,对人口进行清点统计等。但早期的个人资料的收集存储并不直接服务于监控目的,更多地是基于统计、税收、行政管理等考虑。就个人信息保护的立法而言,源于20世纪70年代的欧洲大陆,其原因在于该时期文档的信息化处理技术开始发展,这对个人信息保护提出了严峻挑战,电子化的方式使得对个人信息的大规模和自动化处理在技术上成为可能。另外,数字化手段也使得对个人的识别变得十分容易。对于经历了“二战”噩梦的欧洲,这是极其敏感的问题,勾起其惨痛的记忆:20世纪30年代“纳粹”德国曾经通过人种识别手段来查找犹太人,并将其大规模流放至集中营进行种族灭绝。
在德国,1976年《联邦个人资料保护法》(全称为“《防止个人资料处理滥用法》”)经表决通过,于1977年生效实施。在法国,1974年经《世界报》所曝光的Safari案揭露有关当局通过为每个个人赋予唯一编号的方式对个人的不同档案信息进行串并拼接的事实,这立即引发了公众对于个人信息电子化处理风险的担忧,公众认识到这尤其可能威胁到个人自由及隐私。最终,法国于1978年通过了《信息、档案与自由法》。该法第1条规定:“信息技术应当服务于每一个公民。其发展应当在国际合作的框架内进行。信息技术不得损害人的身份、人的权利、隐私或个人自由。”该法还设立了著名的“全国信息化与自由委员会(CNIL)”来负责个人信息保护。
受欧洲地区立法的影响,自20世纪90年代起,其他地区也相继通过了个人信息保护的相关立法。例如,1991年的加拿大《魁北克民法典》就对个人信息作了规定——这也使得它可能是最早对个人信息作出规定的民法典。该法典以第37条至第41条等5个条文规定了个人就其身份信息所享有的权利。根据《魁北克民法典》第38条,信息主体所享有的权利有:免费查询其信息的权利;免费更正信息错误的权利;以合理价格复制其信息的权利;获取可以辨识的信息复制品的权利;纠正不准确、不完整或不明确信息的权利;删除过期或者缺乏合理性的信息的权利;就其个人信息发表书面评论的权利。2018年的美国《加州消费者隐私法案》(California Consumer Privacy Act)是加州最新的全面规定个人信息的立法,为消费者规定了个人信息的知情权、查询权、删除权、退出权等重要权利。在该法中,个人信息的定义为可以直接或间接地联系或合理关联到特定的消费者或家庭的识别、关联、描述的信息。很少为人所注意到的是,这部法律本身的性质是加州民法典的一部单行法。该法开篇就说明该法是美国《加州民法典》第3编债法第4部分“特定交易之债”(Obligations Arising from Particular Transactions)的第1.81.5分编,列入加州民法典的目录之下。另外,该法所规定的责任也是民事责任。根据第1798.150条,侵害消费者个人信息的,消费者可以提起民事诉讼,消费者可以请求损害赔偿,金额最低为100美元最高不超过750美元;消费者还可以请求禁止性或宣告性的救济措施(Injunctive or Declaratory Relief)以及任何其他法院认为合适的救济措施。
同样值得注意的是,在早期,就个人信息保护而言,核心的关注点主要是国家收集和处理不同类型的个人信息的能力,因此,法律所针对的主要是国家处理个人信息的行为。但是,到了20世纪90年代,随着互联网时代的到来,网络平台基于商业目的大规模收集处理个人信息、进行商业化利用,这给个人信息带来了新的威胁:电商平台的卖家可以通过自动化处理方式生成其客户的大量个人信息(姓名、地址、电话、支付账号、购物偏好等)。而这在线下的销售模式中基本上是不可能做到的。由此,个人信息不仅具有行政管理上的价值,而且还具有巨大的经济利益。在电商产业发展的初期,电商企业对其所收集的客户个人信息进行商业化利用并未遭遇后者的明显反对。但是,随着一些电商企业将其所收集的个人信息与第三方进行分享甚至转售、互联网大规模侵入的个人信息收集与处理技术手段的发展,公众舆论开始产生焦虑。与此同时,网络诈骗、垃圾信息和邮件大量产生,“大数据杀熟”、算法歧视等现象也开始出现。个人在互联网上所留下的“行迹”(偏好、行为模式、社交媒体等)也越来越受到互联网企业的追踪,个人在网络世界中的“虚拟身份”被互联网企业成功地进行网络画像。至此,个人信息早已超出早期的社会人口学意义上的客观价值(如年龄、籍贯、职业等),呈现出越来越强的主观性价值。在这样的语境下,新的个人信息处理技术可以有效地克服个人的“私人空间”(家庭、朋友圈、兴趣团体)的区隔。譬如,雇主在招聘雇员的时候越来越多地借助互联网来核实雇员的简历信息的真实性;对于经济或行政机构而言,互联网成为融汇所有类型信息的宝库。
就国际法层面的立法而言,如前所述,隐私权的立法是首先发端于国际法,而后才进入国内法秩序之中。而就个人信息而言,正好历经了相反的历程:个人信息保护首先是由于国内立法的推动,而后才进入国际法文件之中。受法国等欧洲国家的推动,欧洲理事会1981年1月28日的《个人信息保护公约》(全称为“《关于个人信息自动化处理过程中保护个人的公约》”,又被称为“欧洲第108号公约”)(以下简称“《公约》”)是第一部对个人信息保护作出规定的国际公约。该《公约》明确了个人信息(Personal Data)的概念,强调其为与已经识别或者可以识别的特定个人相关的所有信息;《公约》还规定了个人信息质量、敏感信息、信息安全、信息保护与限制、个人信息跨境传输等制度。
此后,欧盟于1995年通过了著名的第95/46号《个人信息保护指令》(又称“《数据保护指令》”)(以下简称“《指令》”),全面规定了个人信息保护的相关制度。值得注意的是,该《指令》的多个条文明确提到了隐私权,在措辞上强调保护与个人信息处理相关的基本权利和自由的同时,对隐私权给予特别强调。《指令》在隐私权之前专门使用了“Notably(值得特别注意的是)”“InParticular(尤其)”等措辞以加以明显突出。譬如,《指令》第1条第1款规定:“在符合本指令规定的前提下,成员国必须对自然人的基本权利和自由,尤其是与处理其个人信息相关的隐私权进行保护。”这充分说明在《指令》看来二者之间有密切的联系。以1995年数据指令等法律文件为基础,欧盟于2016年通过了《一般数据保护条例》(General Data Protection Regulation)(以下简称“《条例》”),对指令进行了重大的修订和完善。该条例已于2018年起生效实施,目前成为世界上最有影响力的个人信息保护立法。
就个人信息制度而言,总体上看,立法体例可以分为两大类。一类是所谓的“完整式体例”(Comprehensive Regimes),既包括私立部门,也包括公立部门,二者有较为类似的规则,由独立机构负责规则的执行。欧盟显然是这一体例的代表。这一体例的内在逻辑是立足于信息处理者和信息主体之间的非对称地位,认为信息处理的过程通常是不透明的,因此,必须通过立法确保个人的知情以及对信息处理、转让的同意。另一类是所谓的“有限式体例”(Limited Regimes),仅针对公立部门,为其设置了相应的信息处理规则,特别是针对公权力机构收集、处理和分析公民个人信息作出了规定。但这些规则对于私立部门的信息处理不能套用,因为私立部门更多地适用市场和自律机制(尤其是合同机制),立法仅针对个别敏感领域(如卫生领域、通信领域等)作出规定。在此种立法体例下,一般不存在一个专门的个人信息保护的执法部门(也有国家设立隐私专员专门监督政府的个人信息处理)。美国是这一立法体例的代表。例如,2018年《加州消费者隐私法》就是从企业—消费者关系的私法角度来规定消费者的个人信息保护制度的,包括知情权、删除权、退出权、禁止歧视权等权利。该法规定,侵害个人信息所应承担的责任也是民事责任。从世界范围内的发展趋势来看,完整式的立法体例成为越来越多国家的立法选择,包括加拿大、澳大利亚、新西兰等普通法国家,以及日本、瑞士、捷克等大陆法国家。以瑞士2020年修订后的《联邦数据保护法》为例,该法第2条第1款明确规定,本法适用于以下主体所从事的个人信息处理活动:私法人(Personnes Privées)以及联邦机构。此外,该法第5章为“私法人处理个人信息的特殊规定”;第6章为“联邦机构处理个人信息的特殊规定”。
因此,必须承认的是,加拿大、美国加州等国家和地区是以民法典的框架来规定个人信息制度,将个人信息制度视为民法典的特别制度。将个人信息保护法视为民法典的特别法,确实是一些国家或地区的立法模式,此种立法模式选择丝毫不会贬低或抑制个人信息保护法的地位或功能。即便是对此种观点持批评意见的论者也承认,“个人信息保护法是为了平衡主体之间的强弱地位”“是类似于《消保法》和《劳动法》的政策型特别民法,追求‘作为公平的平等’”。不容否认的是,在价值取向上,个人信息保护法与消费者保护法、劳动法一样,同属于典型的“保护性立法”。根据德国法院的判例,当一项法律规范的作用在于针对法益损害而对个人或某一类人实施保护时,此项规范即为《德国民法典》第823条第2款所针对的“保护性法律”(Schutzgesetz)。此外,在一般情况下,民法对个人信息所确立的有关规则并未将其义务主体仅仅限定为私法主体,而是涵盖包括国家机关在内的所有类型的信息处理者。因此,民法规范为信息处理者所设定的义务,同样适用于作为公法主体的国家机关。正是基于这样的考虑,《中华人民共和国民法典》(以下简称“《民法典》”)第1039条特别为国家机关、承担行政职能的法定机构及其工作人员在履行职责过程中所知悉的个人信息规定了保密义务。同理,《民法典》第1035条所规定的合法、正当、必要原则等规定同样适用于国家机关处理个人信息的活动。必须看到,对个人信息给予民法的救济是很多国家的做法。例如,瑞士2020年《联邦数据保护法》第30条规定,个人信息处理不得侵害信息主体的人格。以下情形视为侵害信息主体的人格:违反第6条(合法、必要、信息准确、知情同意等)和第8条(信息安全)的原则;违反信息主体所明示表达的意愿;将敏感信息与第三人分享。如信息主体公开其个人信息且对处理公开信息未表示反对,则不构成侵害其人格。第32条第2款规定:对于不实信息,除了可以要求更正之外,信息主体还可援引《瑞士民法典》第28、第28a及第28g至第28l条关于人格权保护的条文。原告尤其可以请求:a.禁止对其个人信息的特定处理;b.禁止与第三方分享其个人信息;c.删除或销毁其个人信息。这就是说,信息主体可以援用《瑞士民法典》中关于人格权救济的相关手段。基于同样的考虑,我国《民法典》在第四编人格权编的框架之下以第六章规定了个人信息保护,而作为该编“小总则”的第一章“一般规定”中所设立的人格权保护措施(人格权请求权、禁令),显然可以为信息主体所援引。另外,《中华人民共和国个人信息保护法(草案二审稿)》(以下简称“《草案二审稿》”)第68条也为信息主体规定了侵权责任的救济手段;对于受害人的救济而言,民事责任的保护路径往往是真正可以充分弥补其损害的法律手段。
二、隐私权与个人信息的统一与分化
隐私权与个人信息之间存在天然的联系,在相当长的时期内,个人信息被隐私权的框架所囊括,个人信息被视为是隐私权在信息时代所发展出的新维度。由此,在《欧洲人权公约》及欧盟1995年《数据保护指令》的法律框架下,欧洲人权法院一直对隐私权采取宽泛式的解释路径。根据欧洲人权法院所发布的《欧洲人权公约》第8条适用指南,该条“包含了某种形式的信息自决的权利,授权个人就其信息的收集、处理和传播援引隐私权保护,并可主张第8条的适用。如果针对特定个人信息编辑、处理或使用、公开的方式或程度超出了‘正常可预见’(Normally Foreseeable)的限度,就必须考虑隐私保护的问题”。而欧盟法院在早先的判例中也沿袭了这一方法论,将个人信息保护纳入到隐私权的框架之下。例如,欧盟法院在一起案件中认为,特定个人的犯罪记录以及警方当时对雇主所发出的警示,属于个人私生活的范围。在另一起案件的判决中,欧盟法院指出,个人信息保护与隐私权密切相关,个人信息保护直接源于《欧洲人权公约》第8条关于私生活保护的规定,对于尊重隐私权具有特殊重要的意义。欧盟法院还认为,披露特定个人的财产收入信息构成对其私生活的侵害。值得注意的是,在欧洲法上,隐私权的主体并不限于自然人,法人在某些情形下亦可享有隐私权,例如,法人对其未公开信息即可享有此类权利。沿袭上述隐私权保护的思路,欧盟法院撤销了2006年关于保存电子数据的2006/24号指令。
欧盟法院在2014年的一起判决中指出,关于个人信息处理的有关规范应当依据1995年第95/46号数据保护指令第1条第1款的措辞来进行解释:“依据本指令,就处理自然人个人信息而言,缔约国确保其基本权利和自由特别是隐私权受到尊重”。欧盟法院还指出,1995年《指令》调整有可能对基本权利尤其是隐私权造成侵害的个人信息处理活动,应当依据基本权利来进行解释。而根据欧盟法院的判例,基本权利构成欧盟法上的一般法律原则,法院应当确保其得到保护,这亦由《欧盟基本权利宪章》加以确认。在欧盟法院看来,在某些情形下,对个人信息的处理有可能会损害权利人的隐私权,构成对其私生活的侵犯。同理,法国法院也从隐私权保护的角度来审查对于特定类型的个人信息的处理是否符合比例性原则的要求。例如,对某些生物信息的处理,以及在未经权利人同意的情况下,创设某些档案注明特定人群的性取向。
在欧盟法院2013年著名的“被遗忘权”案例中,原告曾由于欠付社会保险费用,其房屋被司法机关强制拍卖;在某报刊所发布的拍卖公告中,注明了作为债务人的原告的姓名等信息;报刊的这些信息在网上也被公布;在数年之后,通过搜索引擎谷歌,仍然可以查询到拍卖公告的内容;原告于是起诉谷歌,要求删除网页链接,避免他人通过输入其姓名查询到其曾经因欠付社保费用而被拍卖房屋等负面信息。在此案中,如果从隐私权保护的角度分析,首先需要回答的问题是已在网上合法公开的相关历史信息是否构成“私生活”的内容。从所谓合理期待的角度来说,难以期待他人未经同意能查询此类信息。因此,不能认为谷歌侵害了原告的隐私权。但毫无疑问,本案涉及个人信息处理:当搜索引擎指向特定链接中所刊载的原告的特定信息并可生成信息摘要的时候,谷歌从事了对原告个人信息的处理行为。报刊网站刊载拍卖信息显然有其合法基础。但是,在拍卖结束的数年之后,谷歌还允许通过链接查询到此类信息,其合法性不无疑问。在欧盟法院看来,就所谓被遗忘权而言,权利人的隐私与个人信息保护的必要性,优先于搜索引擎企业的经济利益以及公众获得已合法公开的过时信息的知情权。欧盟法院在本案中所创设的“被遗忘权”,构成对公众知情权的一项限制。该制度后来为欧盟《条例》所吸收(第17条删除权)。欧洲法上这一富有特色的被遗忘权在美国法上并不被承认,这个案例被一些欧洲论者认为是欧洲法上关于隐私权与个人信息保护权二者之间存在联系的生动案例。另外,隐私权与个人信息的保护在当今的信息化时代面临着共同的挑战与威胁:信息与网络技术在为现代生活带来极大便利的同时,也给个人的隐私和个人信息带来了严峻的挑战,因为个人的私生活如今越来越多地被窥视、追踪,受到越来越多的入侵与威胁。如何有效地应对信息网络技术的挑战,是隐私权和个人信息保护在当代所共同面临的紧迫任务。
还值得关注的是,“合理期待”(Reasonable Expectations)理论也是隐私权与个人信息制度之间存在密切联系的典型例证。合理期待理论源于美国最高法院1967年的Katz 案件。在该案中,Charles Katz通过公用电话亭进行非法的赌博押注,FBI则对电话亭的通话进行了监听和录音,并以此作为控告其犯罪的依据。FBI认为,电话亭本身是公用的,因此他们有权进行监听。但美国最高法院不同意此种观点,认为用户期待电话亭是私密场所,因此,FBI不得对其通话进行监听和录音。Stewart法官指出,某些细节譬如通话人关闭了电话亭的门的举动,则可以确认其是否将通话视为私密性的意愿。因此,在公共场所也可以进行私人通话。自此,法官发展出了“隐私合理期待测试”,来检验特定行为是否违反了美国第四宪法修正案所规定的隐私保护。首先,权利人必须具有真实(Actual)的隐私期待(主观标准);其次,这一期待必须是在社会看来是合理的(客观标准)。这一理论为后来的许多立法所采纳。美国法院所创立的这一隐私合理期待标准影响了全球的立法与司法。譬如,欧洲人权法院在其判例中也适用了合理期待标准来判定成员国是否侵犯了《欧洲人权公约》第8条所规定的隐私权。在近期的判例中,欧洲人权法院在适用隐私合理期待测试的时候,似乎更侧重主观标准。在该案中,2007年原告Bărbulescu被雇主解雇,理由是其违反了公司的内部规定。其负责公司销售业务,使用公司的Yahoo Messenger账号,公司要求账号只能用于跟客户的联系,回复客户的报价等问题,但公司发现他使用该账号与其女友和兄弟联系。在公司调查过程中,他一直谎称其只用于跟工作相关的联系,后来公司提交了相关的联系记录,并解雇了他。他随后将雇主告到罗马尼亚法庭,认为公司侵害了其依据《欧洲人权公约》第8条所享有的隐私权。一审和二审法院均认为解雇是合法的,他随后到欧洲人权法院起诉罗马尼亚政府。在该案中,欧洲人权法院将其与典型的雇员享有隐私合理期待的情形进行了区分。法院认为,将企业的技术设备用于个人用途应当被允许,或至少应被容忍。如果企业事先没有对雇员给予警示,告知后者其使用单位设备的通话可能被监听,员工应该对其隐私具有合理期待,使用公司网络设备查询个人邮件的情况亦是同理。
隐私权合理期待理论后来也为个人信息制度所借鉴和引入。就个人信息制度而言,合理期待理论的核心是,在信息主体与信息处理者之间设定权利义务关系时,需考虑信息主体在特定场景下所可以合法享有的期待。这一理论体现了“用户中心主义”(User-centric),要求信息处理制度必须有意识地围绕个人用户的利益和需求来进行构建。合理期待理论可以帮助人们更好地理解个人信息处理过程的合法性、是否基于合法的利益以及在设计时起即采取了合理的措施。不过,“必须指出的是,只有一项技术及其对隐私的直接或间接影响对于信息主体来说是可以理解的时候,合理期待才会存在。对于合理期待概念的应用来说,透明度和可理解性是个人信息处理系统十分重要的前提条件。”合理期待理论在个人信息立法中的应用尤其体现于所谓的“设计时起的隐私保护”(Privacyby Design)原则。例如,美国2011年《商业隐私权利法案》(Commercial Privacy Bill of RightsAct)第103条规定了“设计时起的隐私保护”原则。根据该原则,该法所涉及的每一实体须采取与其所收集信息的规模、类型和性质相适应的方式,通过以下手段实施广泛的信息隐私方案。⑴在数据全生命周期中纳入必要的发展过程和实践,以基于以下因素保护个人的可识别信息:(A)个人关于隐私的“合理期待”,以及(B)为满足这些期待所需要应对的相关威胁;⑵在数据全生命周期中保持适当的管理程序与实践,以确保信息系统符合以下条件,包括:(A)本法的规定,(B)所涉实体的隐私政策,以及(C)个人与第202条所规定的同意选项及相关的个人参与机制相一致的隐私偏好。2018年《加州消费者隐私法》第1798.105条d项也规定:“如果商业机构或服务提供者基于以下目的有必要保存消费者的个人信息,则可以拒绝消费者删除信息的要求,包括为完成收集个人信息所要实现的交易,提供消费者所要求的或在经营者与消费者的关系中可以合理期待”的货物或服务,或为履行与消费者的其他合同。2019年《商业人脸识别隐私法》(Commercial FacialRecognition Privacy Act)第3条第⑶项规定:第1(B)条不得被解释为授权在终端用户对使用人脸识别技术没有“合理期待”的场所使用“大规模人脸扫描”(Mass Scanning of Faces)措施。
合理期待理论同样影响了欧洲的个人信息立法和司法实践。欧盟《条例》在其序言的“鉴于”(Whereas)部分第47段明确提到了“合理期待”理论。根据该段,在充分考虑信息主体基于其与信息控制者的关系所享有的合理期待的前提下,如果信息主体的基本权利和自由并不具有优先性地位,则信息的控制者可以提供处理信息的“合法基础”(Legal Basis)。譬如,若信息主体和信息控制者之间存在适当的关系,如前者是后者的客户或者享用后者的服务,则可以认为存在信息处理的合法利益。是否存在合法利益需要细致的评估,包括:在收集个人信息的特定时间和环境下,信息主体是否可以合理期待基于特定目的的信息处理是否会发生。如果信息主体无法合理期待未来的信息处理,那么,其利益和基本权利尤其可以排除信息控制者的利益。立法者应以法律规定公权力机构处理个人信息的法律基础,这一法律基础不得适用于公权力机构履行职责过程中对个人信息的处理。信息控制者为防止欺诈而必须处理个人信息的行为,也可以构成处理者的一项合法利益;基于直接的市场目的而处理个人信息也可以被视为具有合法利益。分析认为,就该段中的“合理期待”措辞而言,与美国法类似,它同样包含了主观与客观两层涵义。不过,《条例》显然更强调主观层面的涵义。所谓“合理”,是指所持有的期望至少能得到部分群体的支持,为此必须考虑在案件具体的场景下信息主体与信息控制者之间的关系。另外,《条例》第25条规定了“通过设计的信息保护和默认的信息保护”(Data Protection by Design and by Default)。该条第1款规定,在考虑技术水平、实施成本、处理性质及范围、处理的语境与目的,以及处理给自然人权利与自由带来的侵害可能性与严重性之后,信息控制者应当在决定处理方式时和决定处理时,采取合适的技术与组织措施,并在处理中整合必要的保障措施。例如,控制者可以采取“假名化”(Pseudonymisation)的措施。该条第2款规定,控制者有责任采取适当的技术与组织措施,以保障在默认情况下,只有某个特定处理目的所必要的个人数据被处理。同样,瑞士2020年《联邦数据保护法》第7条也规定了“自设计时和默认的信息保护”原则。根据该条规定,信息处理者应采取技术和组织措施,以使得信息处理遵守相关规定尤其是第6条的原则。处理者必须自设计信息处理时采取上述措施,而且这些技术和组织措施从技术水准、处理类型与范围、处理对自然人的人格和基本权利所带来的风险角度来看,必须是适当的。信息处理者必须通过预调等手段确保处理限于其目的所要求的最少信息。该法第8条规定了信息安全原则:信息处理者及分包商必须确保个人信息相对于可能引发的风险而言具有足够的安全性;所采取的措施必须能够避免对信息安全的一切侵害。
就个人信息中的合理期待内容而言,根据美国法的经验,其判定往往需要借助跨学科的经验性实证研究。值得注意的是,近年来已有美国的隐私研究学者对合理期待说进行了批评。譬如,有论者为强调信息隐私的“场景依赖”(Context-dependent)特点,提出了所谓“场景完整”(Contextual Integrity)理论。根据该理论,个人与社会对隐私的理解都深刻地植根于社会的规范和价值;而社会规范或价值根据信息传播的具体场景,其内涵有所不同。通过对“合理期待”理论及其影响进行批判性解读,该论者认为,必须结合特定的场景来进行判断;在认定某些特殊的信息技术的使用、个人信息的收集及其处理是否侵犯信息主体的隐私期待时,不能仅仅评估该技术应用有多普遍、人们有多么熟悉它,而是要评估在具体的场景中这些技术有多普及、人们在多大程度上熟悉它;在此基础上,再评估所涉的特定应用到底是侵犯还是遵守了相应场景的相关信息规范。这也进一步划定了“合理期待”方法论的运作框架,并要求对具体的场景进行深度的经验性研究。
合理期待理论也影响了我国的相关司法实践。在北京互联网法院2020年审理的“微信读书案”中,法院指出,用户对于其读书信息可能存在不愿被他人知晓的期待,也可能存在知识共享、文化交流等积极利用的期待,不同用户对于读书信息的隐私期待有所不同。但该判决同时认为,原告阅读的两本涉案书籍不具有“不愿为他人知晓”的“私密性”,故该案中对原告主张腾讯公司侵害其隐私权的诉求,法院不予支持。另外,针对个人信息处理中普遍存在的“同意即终身”的长期困扰,合理期待理论亦有相当的借鉴与参考价值。例如,笔者曾提出,针对人脸识别中的个人信息保护问题,应采纳动态同意模式,保障信息主体享有同意撤回权,将信息主体置于中心地位,允许其根据所了解到的事实决定进入或退出,使相关处理符合情境理论中合理预期的需求。以新冠肺炎疫情的防控为例,部分社区管理机构执行严格的人员出入政策,采用人脸识别门禁,以限制非本社区人员的流动并追踪社区内人员的进出记录。在疫情防控的场景下,社区居民对于其人脸信息处理的合理期待是保护公众健康,但在疫情逐渐缓解之后,公众的合理期待即发生变化,在此种情景之下,信息主体应有权根据更新后的处理目的(社区日常进出管理等),自由地选择继续给予或撤回其人脸识别的同意。
不过,仍然需要强调指出的是,隐私权与个人信息之间的天然联系并不能否认二者之间所存在的区别。近年来,一些立法开始逐渐将个人信息从隐私权的框架下剥离出来,对个人信息给予独立的法律地位。就此而言,2000年《欧盟基本权利宪章》(以下简称“《宪章》”)是一个具有历史意义的重要文献。《宪章》第8条在隐私权(第7条)之外,单独将个人信息保护确认为一项基本权利。第8条规定:“1.任何人享有就与其相关的个人信息获得保护的权利。2.上述信息必须基于相关个人的同意或法律规定的其他‘合法基础’(Legitimate Basis)得到公平处理。任何人均有权查询其个人信息,并有权责令更正。3.上述规则的合规须由一个独立的机构负责。”显然,《宪章》同时规定了隐私权与个人信息保护两种基本权利,为其分别规定了不同的权利内涵,有意将二者加以区分。与隐私权不同,个人信息的权利主体只能是自然人,法人不得主张享有个人信息。2009年《欧盟运行条约(TFEU)》第16条第1款规定:“每个人享有就其个人信息受保护的权利”。
欧盟《条例》是目前内容最完备的个人信息立法。值得特别注意的是,《条例》与1995年“数据保护指令”多处援引隐私权的做法明显不同,《条例》通篇均未提及隐私权;反之,《条例》明显以“个人信息保护权”(Right to the Protection of Personal Data)替代了隐私权。例如,《条例》在序言的“鉴于”部分的第2段指出:“就个人信息处理中对自然人的保护而言,无论自然人的国籍为何,其原则与规则都应尊重自然人的基本权利与自由,尤其是其个人信息受保护的权利”。另外,《条例》第1条规定了该法的“调整对象”(Subject-matter)及立法目的(Objectives)。该条第2款规定:“本条例保护自然人的基本权利与自由,特别是其个人信息受保护的权利(In Particular Their Right to the Protection of Personal Data)”。显而易见,《条例》特意将个人信息保护权与隐私权加以区分,在为个人信息处理规定相应法律保护制度的时候,不再参考和援引隐私权,避免引起不必要的混淆。而这一点是很多论者所未注意到的。
就权利限制与克减的事由而言,根据《欧洲人权公约》第8条,对隐私权可以基于如下理由进行克减和限制:法律规定;基于公共利益或保护其他人的权利;为民主社会的运行所必需,譬如与其他基本权利发生冲突时可遵循比例性原则对隐私权予以克减。而就个人信息而言,前引《欧盟基本权利宪章》第8条第2款为个人信息处理获得设定了合法要件:基于信息主体的同意,或者法律规定的其他合法基础。以此为基础,《条例》第6条第1款规定了个人信息处理的合法条件:(a)信息主体已经同意基于一项或多项目的而对其个人信息进行处理;(b)处理对于完成某项信息主体所参与的合同是必要的,或者在签订合同前基于信息主体的请求而进行的处理;(c)处理是信息控制者履行其法定义务所必需的;(d)处理对于保护信息主体或另一个自然人的核心利益所必要的;(e)处理是信息控制者为了公共利益或基于官方职责而履行某项任务而进行的;(f)处理对于控制者或第三方所追求的合法利益是必要的。根据欧盟法院的判例,对个人信息权设定限制而言,处理者仅仅援引公共利益是不够的,还必须对权利所设定的限制进行清晰的界定,并说明其必要性及符合比例性原则。从这个角度来说,立法对隐私权的限制设定了严格的法定事由,而对个人信息所规定的克减与限制事由更多,如可以基于合同或者他人(信息处理者)的法定义务等理由。
三、隐私权与个人信息制度关系的重新定位
从前文对比较法的梳理中可以看出,个人信息是从隐私权的框架中发展起来的。因此,隐私权属于普通法制度,而个人信息属于特别法制度(典型的例证是欧盟1995年《指令》在规定个人信息保护制度的同时,将隐私权的保护列为其重要的目的和考虑因素,而作为其替代和发展的《条例》彻底将隐私权的相关表述删除)。这也正是个人信息制度的理论与立法均明显晚于隐私权的原因所在。自20世纪70年代起,随着个人信息保护立法的发展,隐私权的内容中开始增加了个人信息保护的维度。在我国亦是如此,隐私权的立法明显早于个人信息制度。1988年最高人民法院在《关于贯彻执行〈中华人民共和国民法通则〉若干问题的意见(试行)》第140条最早提及了隐私保护;2009年《侵权责任法》第2条首次以立法形式规定了隐私权。而我国关于个人信息保护的立法则源于全国人大常委会2012年《关于加强网络信息保护的决定》(该“决定”使用的措辞是“电子信息”);2016年《网络安全法》对个人信息保护制度首次作了较为全面的规定。最终,2020年《民法典》第四编“人格权”以第六章的专章,对隐私权和个人信息保护均作了系统的规定;而《个人信息保护法》草案已完成二审并将在年内颁行。按照权威论者的解释,《民法典》以同一章来对隐私和个人信息作出规定,“就是考虑到了其天然的联系”。但是,在强调二者之间存在密切的内在联系的同时,也不能否认两项制度之间所存在的本质差异,立法和司法不能对此进行混淆。
归根结底,隐私权与个人信息在权利内涵上存在着诸多差异,包括权利性质、权利内容、侵权手段、保护方式、举证内容等方面。二者主要的区别在于其权利内涵与功能定位不同。个人信息显然是客观的,其内涵十分特定,不存在争议,仅针对与个人身份直接或间接联系的信息。个人信息保护制度的宗旨在于保持个人对其身份信息的控制和决定权。由此,个人信息保护法的立法目的在很大程度上是为了保证信息处理过程的透明(如瑞士2020年《联邦数据保护法》第20条;我国《草案二审稿》第7条亦规定:“处理个人信息应当遵循公开、透明的原则”),因此,必须赋予信息主体以知情同意权、查询权等权利。然而,隐私权具有明显的主观性,其内容非常宽泛,其核心在于强调个人保持其独特性和个别性的“差异权(Right to Difference)”(包括其独特的个人空间、生活方式等),避开他人的关注。在笔者看来,隐私权的实质可以被形象地界定为“独享(私人空间)”“独处(避免他人关注的安宁)”“独断(独立决定私生活事务)”。有论者指出,隐私包含三个方面的内容:1)做出个人选择方面的隐私;2)私生活信息方面的隐私;3)与个人空间和身体相关的隐私。隐私所保护的价值是隐秘(Secrecy)、匿名(Anonymity)和独处(Solitude)。因此,侵害隐私的行为包含以下典型类型:1)对他人私人信息的不当使用(Misuse);2)侵入住宅,包括未经授权的搜查和扣押私人物品;3)偷拍、监控或者电话窃听;4)对私人事务的其他侵害行为,包括未经许可使用他人肖像、干预他人的性取向、性认同以及变性问题。
有法国论者剖析了隐私的三重维度:秘密(Secret)、安宁(Quiétude)和自治(Autonomie)。首先,就秘密而言,隐私权强调个人对他人收集和使用其信息的控制能力,个人对于其私生活在不同程度上具有保持其私密性的能力,尤其是防止他人对其私人信息的泄漏。其次,就安宁而言,是指其日常生活免受他人的打扰。通过构建和管理个人远离社会的安宁空间,个人可以避免他人的骚扰或者入侵,包括未预料的侵入,收到未要求的信息,私人行动被骚扰或被打断,私密交流空间被侵犯。安宁的涵义与秘密的内涵有所不同,安宁强调对其个人空间的控制,排除他人的干预,即所谓的独处权。因此,隐私在相当程度上表现为他人不得干预的私人空间,这一空间也是私人自由的领域,可以对抗国家和他人的干预(譬如,根据欧洲人权法院的判例,个人在接受变性手术后,要求国家相关的民事状况登记部门改变其性别登记;如果后者拒绝承认其新的性别身份,则构成对其隐私权的侵害)。由此,隐私超越了纯粹的个人领域的视角,它同时也包含了关系视域(例如与他人的通信、会面)和交往视域(例如媒体、他人分享的涉及自我的信息等)。因此,除了传统的“物理隐私(物理上与他人的隔离而独处)”和“信息隐私(免受他人的评价)”之外,还有“关注隐私”(Attentional Privacy)(免受他人的关注、打扰尤其是商业目的的骚扰)。在当代,随着科技的发展,隐私的内涵中增加了禁止他人的监听、监控、偷拍、跟踪等。最后,就个人自治而言,相当程度上表现为“信息自我决定权”(Informational Self-determination),包括决定其个人事务、生活方式的权利。因此,隐私也被认为是个人相对于他人的控制(譬如监视、监听)保持其独立性的权利,个人享有控制其人身及支配其时间的权利,这一权利可以对抗他人,具有绝对性。因此,自治性也可以归结为就其个人的生活、身份、偏好、价值观、个人选择的决定、关于决定构建自我及私密关系的表达方式的能力。在这个意义上,很容易理解的是,隐私权具有基本权利和公共自由的属性。从我国《民法典》第1033条所列举的隐私权侵害行为类型来看,更侧重对其中的“独享”和“独处”权利的保护,而对“独断”权未有关注,这是未来在隐私权条文的解释和司法适用方面所要着力加强的维度。
还必须看到的是,就权利属性而言,个人信息具有相当的公共性,因为个人信息主要用于与他人的社会交往;个人信息还具有经济维度,可以成为企业进行商业化利用的对象。正因为如此,《草案二审稿》第1条规定了三重立法目的:保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用。而就隐私权而言,显然不具有公共性。《民法典》第1032条关于隐私权定义的核心要素是私密性,私密性的第一维度即是其私有性和私人性。在比较法上,隐私往往与自由相关联,所谓“无隐私即无自由”,隐私权许可权利人可以自由决定与他人分享或者隐瞒其观点、倾向、行为等。此外,隐私本身不具有商业性,这就决定了《民法典》第993条所规定的人格要素许可使用制度不可能适用于隐私权。因此,有学者指出,隐私权具有更强烈的人格尊严性,而个人信息则同时具有尊严性和资源性的双重价值。现有关于个人信息保护的有关制度设计似乎更多地服务于“为互联网企业或者大数据产业的发展提供更多的数据原料”。
必须承认,从绝对权的角度来说,隐私权的排他性和对抗力确实比个人信息要更强,权利人对隐私信息的控制能力也强于个人信息。另外,《民法典》明确承认了隐私权,而对个人信息保护有意没有使用“权利”措辞。这是导致很多论者得出我国法律不承认“个人信息权”的原因。这一观点其实值得推敲。首先,以个人对其个人信息的占有与支配力度较弱为由否认“个人信息权”这一范畴合理性的观点并不能成立,个人对其信息所享有的权利完全符合民事权利的构造(主体—客体—内容),此种权利同样具有排他性,可以排除他人的不当干预。而“个人信息权”在国外的立法与理论中得到普遍的承认,欧盟《条例》在其“序言”第1段就开宗明义地使用了“个人信息权”(Right to the Protection of Personal Data)的措辞。从国外的经验看,认为一旦立法承认“个人信息权”就会导致个人对其信息的控制与支配力过强、从而阻碍信息流通的问题,是一种没有事实依据的虚拟想象。其次,承认个人信息权并不等于要赋予其具有类似于所有权那样强大的支配效力,因为信息主体对信息的控制显然不可能达到与所有权人对物的占有所产生的那种排他和支配效力。事实上,国外也没有立法或学说认为应该赋予信息主体对个人信息享有类似于所有权那样强大的支配力。另外,即便立法承认个人信息权并不必然等于要同时承认有争议的被遗忘权、携带权等制度。第三,套用19世纪的权利/利益二分说来解释21世纪互联网时代的个人信息权利属性,属于刻舟求剑式的方法论错误,其结论也缺乏足够的说服力。在法律史上,权利/利益二分说源于19世纪《德国民法典》制定时关于侵权法保护客体的争议,这一理论的宗旨在于保护行动自由,尽量将侵权法的保护对象限定为“权利”(第823条);而“利益”只有在例外的情况下(例如根据《德国民法典》第826条,限于故意以违反善良风俗的方式侵害情形)才予以保护,这体现了德国民法典极为鲜明的自由主义取向。因此,维亚克尔说德国民法典是一个“自由主义的晚生婴儿”。这种自由主义的立法价值在当代显然早就被摒弃。事实上,人格权特别是个人信息的立法取向明显是保护主义的价值:《草案二审稿》名称中的“保护”以及第1条就再清楚不过地宣告了立法的首要目的在于“保护个人信息权益”,防止大企业、大平台利用其优势地位,通过契约自由等市场主义逻辑,来任意收集和处理用户的个人信息。因此,反对承认个人信息权的观点其实或多或少是考虑到“为互联网企业或者大数据产业的发展提供更多的数据原料”的产业发展需要,更多地是站在互联网产业的视角。实际上,从权利的具体内涵(有些学者称之为权能)来看,仅以立法是否使用了“权”的文字措辞来判定其属性到底是权利还是利益、从而相应赋予不同的保护强度的观点,也是纯粹的形式主义或简约主义;更为可取的是从法律关系性质、权利内涵和法律效果来进行界定的功能主义方法论。
此外,认为“法律对隐私权给予了更加严格的保护”的论断同样也值得商榷。就二者的保护方式而言,恰如有法国论者所指出:“就隐私权而言,法律在最初是保护由于过错侵害隐私的行为所引发的损害赔偿。在这样的情形下,隐私保护属于民法的范畴……不过,对隐私权的保护是‘反应性’(Réactive)的,至少是事后方式的(A Posteriori),因为需要有侵害行为才能采取相应的措施。而对个人信息权而言,情况正好相反:对个人信息的保护是事前的(A Priori)。”这就是说,隐私权与其他人格权的模式一样,一般是针对侵害行为在事后采取保护措施,权利人必须提供存在侵害或侵害风险的证据;但个人信息保护制度则不同,它从一开始就应采取事前性的保护模式,预防可能发生的侵害。譬如,个人信息保护制度中强调信息收集之前必须获得信息主体的知情同意(《草案二审稿》第13条),对于敏感信息甚至要求取得信息主体的单独同意(《草案二审稿》第30条);信息处理者自设计时起即负有确保信息安全的义务(《草案二审稿》第9条);对于个人信息的跨境转移,需进行事先的安全评估(《草案二审稿》第38条);用户数量巨大、业务类型复杂的网络平台的特殊义务(《草案二审稿》第57条)。这些都体现了“自设计时起的信息保护”原则,明显较之于隐私权的预防效果更强。此外,在发生他人不当泄漏的情形时,对于隐私而言权利人只能请求损害赔偿,因为隐私一旦被公开就无法再恢复原状,进入到公开信息的范畴,不再属于当事人的隐私。但是,对于个人信息而言,权利人有权要求删除所公开的信息,恢复到信息公开前的初始状态。从这个意义上来讲,援引删除权这一个人信息制度所独有的权利,其效果显然比主张隐私权保护更为强大。正因为如此,欧盟法院在2010年的“巴伐利亚啤酒”(Bavarian Lager)案判决中指出,与隐私权相比,欧盟关于个人信息保护的法律规则创造了“一种独特和增强的保护体系”(A Specific and Reinforced System of Protection)。
从这个角度来说,有必要对《民法典》第1034条第3款规定进行重新检视,并对其司法适用的前景作出展望。该条规定:“个人信息中的私密信息,适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定。”这一条文的前身是2019年12月的《民法典人格权编(草案四审稿)》(以下简称“《草案四审稿》”)第1034条第3款:“个人信息中的私密信息,同时适用隐私权保护的有关规定。”《草案四审稿》“同时适用”的措辞曾受到笔者的批评。笔者曾明确指出,这是在隐私权与个人信息之间人为制造法条竞合的立法技术,将会给法律适用带来极大的困扰,因为法条竞合通常是立法者所竭力避免的“噩梦”。最终,《草案四审稿》中的“同时适用”措辞被立法者从《民法典》中删除,进而被改造为现行的二阶递进适用模式:私密信息首先适用隐私权的规定;隐私权没有规定的,适用有关个人信息保护的规定。这也即私密信息的“隐私权规则优先适用”制度。根据权威学者的解释,其立足于权利不得减损原则及人格尊严高于私法自治的保护原则。应当承认,此种解释论确实不无道理,在相当程度上揭示出隐私与个人信息在法律属性上的差异。但如何解释“(隐私权)没有规定的”,则引发理论界和实务界极大的困扰。事实上,《民法典》第1032条关于隐私权的定义中明确提及私密信息;第1033条侵害隐私权行为的第5项中明文列举了“处理他人的私密信息”这一类型。显而易见,隐私权的条文中已经对私密信息作出了明确规定。在这样的语境下,何谓隐私权“没有规定的”,的确令人费解。
另外,就私密信息的法律适用问题而言,首先需要解决的棘手问题是私密信息的界定。从《民法典》第1032条第2款关于隐私权的定义来看,私密信息的主要特征是“不愿为他人知晓”。这就是说,私密信息首先不为人知;第二,权利人不愿意让他人知晓。因此,从这个角度来说,私密信息必然是未公开的信息。但显而易见,未公开信息的范围实在太过宽泛。结合《民法典》第1032条第2款关于隐私权的定义,私密信息与私密空间、私密活动相并列,可以包括一切个人具有私密性的信息,譬如,不为人知的特殊经历、身世、身份、观点主张等。而根据《民法典》第1034条第2款,个人信息中的私密信息是一切能够单独或与其他信息结合识别特定自然人的、权利人不愿意为他人知晓的未公开信息。譬如,关于确定数字加密货币比特币创始人的“中本聪”的真实身份信息,就可以被认为是《民法典》第1034条所指的私密信息。显然,其范围十分宽泛。可以认为,具有私密性的个人信息都属于私密信息。鉴于这一概念的模糊性与宽泛性,有人将其等同于“敏感信息”,以尽可能缩小其边界,但这一解释欠缺法律依据,也不一定符合立法者的原意。还有论者提出将其划分为核心私密信息及场景性私密信息,但显然这一分类并不周延,而且欠缺可操作性。从这个意义上来说,相比较而言,《草案二审稿》所采纳的“敏感信息”这一比较法上通行的范畴,其内涵比较明确具体(如种族、政治与宗教信仰、生物识别信息、健康信息、性取向等);而《民法典》的“私密信息”在边界上则较为模糊,可涵盖所有未公开的个人信息,包括在特定范围内(如家庭成员、朋友间)分享的所有信息。从客体范围的确定性角度来看,《草案二审稿》的做法更为可取。这也意味着《草案二审稿》排除了《民法典》的私密信息概念,此种做法对于为相关主体确立清楚的法律预期、使得企业合理控制其合规成本、增强法律的安定性价值均具有积极意义。
其次,《民法典》第1034条第3款所确立的二阶递进适用模式强调首先适用隐私权规则,隐私权无规定时才适用个人信息的有关规则。显而易见,隐私权规则被视为特别法,而个人信息规则则被视为普通法,仅具有补充适用的地位。这一做法正好与前述的比较法经验相反:在比较法上,个人信息制度是从隐私权的框架内发展起来的,个人信息长期被视为隐私权的一个维度,是隐私权在信息化时代的应用和逻辑延伸,因此,个人信息的规则属于特别法,具有直接针对性因而应当得到优先适用;而隐私权制度属于普通法,处于补充性渊源的地位。显然,针对具有身份识别功能的私密信息,应首先适用个人信息处理的规则,因为这些规则具有直接的针对性,更能适应这些信息在法律上的独特属性。鉴于《民法典》已生效实施,根据合法推定解释、尽量使之有效解释等法律解释方法,在未来的司法适用中,对于第1034条第3款后半句“没有规定的,适用有关个人信息保护的规定”应作如下解释:对于个人信息中的私密信息,鉴于个人信息处理的相关规则(查询、复制、异议、更正、删除、信息安全等)为个人信息保护制度所独有,隐私权对其未作出规定,因此,应得到优先适用;而在隐私权作出了规定、但个人信息制度没有规定的情形下,应适用隐私权制度,例如,主张私生活安宁受保护的权利。
最后,基于同样的考虑,就《民法典》第1033条第5项侵害隐私权中“处理他人的私密信息”而言,为实现与个人信息制度的有效区分,应避免法条适用上的交叠竞合。另外,结合前文所述的“合理期待”理论,如所处理的私密信息属于具有身份识别功能的个人信息,在认定信息处理行为是否构成侵权的时候,需具体考虑处理者与权利人在特定场景中的具体关系与相应角色,以此为基础来确定权利人在此种特定场景下对其信息所本来可以持有的合理期待。显然,就此而言,个人信息的处理规则(较之于隐私权规范来说)更具有直接相关性及针对性。由此,建议对第1033条第5项作为隐私权侵害情形的处理(尤其是非法获取或披露)他人的“私密信息”进行目的性限缩,将其限缩解释为与身份识别无关的私密性信息,如特殊经历(如遭受过性侵、做过变性手术等)、独特的观点或政治倾向、特定的社交关系(如与特定公众人物为关系密切的朋友、同学等)等私人信息。
往期推荐
●上政学报 | 段占朝 潘牧天:论党内法规制定中的专家参与——以提升党内法规制度执行力为视角
●上政学报 | 郭天武 朱紫芊:澳门特别行政区维护国家安全立法探析
●上政学报 | 魏枭枭:美国单边人权制裁的国内运行机制与中国对等法律反制研究
●上政学报 | 马更新:《公司法》修订语境下的监事会制度架构变革探析
●上政学报 | 傅穹 虞雅曌:我国控制股东信义义务的司法续造
关于本刊
《上海政法学院学报》创刊于1986 年,原名《法治论丛》(2003年改名为《上海政法学院学报》),至今已走过35年的发展历程。《上海政法学院学报》是我国最早以“法治”命名的法学专业学术期刊之一,立足于弘扬法治精神与当代中国法治实践,坚持理论与实践相结合的特色办刊方向。本刊践行“以法为基,寻社会治理之策;以文为器,求兴国安邦之道”的办刊理念,体现学术性、专业性、知识性的办刊宗旨。坚持正确的政治方向,坚持以高水平、高层次、高质量的学术研究成果,推动社会法治进步。欢迎确立学术命题,实现学术创新,达到学术标准,有理论深度,有历史重感,有广阔视野的作品。
《上海政法学院学报》积极倡导学术民主,坚持特色化、专业化发展道路,在法学研究领域大胆探索,不断总结办刊经验,逐步成长壮大,在学界享有较高的知名度和影响力。2006年底,《上海政法学院学报》被南开大学科研评价系统认定为政治、法律类核心期刊;在2008年3月15日《光明日报》公布的中国人民大学书报资料中心“复印报刊资料”全文转载量的统计排名中,《上海政法学院学报》在所属的政治法律类1269种报刊中排名第25名;根据2011年北京大学“中文核心期刊目录”的分析统计,《上海政法学院学报》在全部法学期刊中位居第31位。本刊已连续六届成为上海市优秀学报、连续四届成为全国高校优秀社科期刊,2018年11月入选中国人文社会科学期刊AMI综合评价报告核心期刊(扩展版)。本刊为国家哲学社会科学学术期刊数据库,CNKI中国期刊全文数据库、北大法律信息网、万方数据-数字化期刊群、超星数据库、龙源期刊网和中国学术期刊(光盘版)全文收录期刊,上网即可查阅到本刊创刊以来的全部稿件。
近些年,以创建一流法学学术期刊为目标,在学校领导及学界、学术期刊界等各方的大力支持下,经过编辑部全体人员的共同努力,《上海政法学院学报》的学术质量及学术影响力都有了明显的提高。影响因子从2016年的0.237上升到2020年的1.97;刊文被《新华文摘》《中国社会科学文摘》《人大复印报刊资料》《高等学校文科学术文摘》等权威二次文献转载和摘编的篇次也明显提高;法学期刊学科排名从2016年的57名上升到第36名。
本刊以“问题意识”为导向,聚焦社会、学术前沿和热点问题,并以此为支撑进行选题策划和栏目、专题设置。2021年第1期在中国人民大学王利明教授、杨立新教授、郭锋副主任等学界大咖及实务界专家和中青年才俊的大力支持下,成功地出版了《民法典》专刊。现已(拟)开设主要特色栏目及专题有“学术关注”“上合组织法治”“新兴权利法律问题研究”“党内法规研究”“域外借鉴”及“<民法典>的解释和适用"“<民法典>背景下的公司法修改”“生物安全法治”“刑事合规研究”“刑法修正案十一专论”“网络法治”“大数据法治”“人工智能法治化”“区块链法治化”“电子商务法治”,等等。
35年来 , 我刊虽然取得了一些进步,但同全国许多优质兄弟期刊相比还存在着很大差距和不足。我们诚挚地欢迎广大海内外科研工作者关注和支持上政学报并惠赐大作,也欢迎各界朋友积极建言献策、批评指正,以期共同办好《上海政法学院学报(法治论丛)》。来稿请通过《上海政法学院学报》编辑部网站(http://www.shupl.edu.cn/xbbjb/)投审稿系统进行投稿。本刊对来稿严格遵守三审(二审外审)定稿制度,以确保稿件选用公开公平公正。
本刊刊稿版权包括纸质版与网络版版权,属于《上海政法学院学报》编辑部, 任何形式 、媒介的转载、摘登译或结集出版均须标明来源于本刊。刊稿仅反映作者个人的观点并不必然代表编辑部或主办单位的立场, 本刊不以任何形式收取版面费。
以法为基,寻社会治理之策
○
以文为器,求兴国安邦之道
投稿邮箱:xuebao@shupl.edu.cn
微信公众号:law-review1986
网址:http://www.shupl.edu.cn/html/xbbjb
电话:021-39227617 39227619