张璐:何为私密信息?——基于《民法典》隐私权与个人信息保护交叉部分的探讨
张璐,清华大学法学院博士研究生。
本文原载《甘肃政法大学学报》2021年第1期,转载对注释与参考文献进行了省略。
内容摘要
《民法典》第一次对隐私的概念作出界定,同时定义了个人信息的含义,并明确“私密信息适用有关隐私权的规定”,但是没有对私密信息与一般个人信息的界分做进一步说明。私密信息属于个人信息的范畴,首先须满足可以识别至特定自然人的“识别性”。将私密信息与一般个人信息相区分的关键是对“隐私利益”的判断,根据隐私权的发展历史和权利性质,“隐私利益”可以拆分为“隐”和“私”两种属性。前者强调不为他人所知的秘密性,既包括不愿为他人所知的主观期待,也需要具有未公开的客观事实;后者则突出与公共利益和他人利益无关的私人性。遵循识别性、秘密性、私人性的思路可以界定私密信息,并给予其隐私权的高位阶保护。
关键词
隐私权;个人信息;私密信息;可识别性;民法典
一、提出问题
《民法典》人格权编共六章,立法者将具有相似性的人身权利合为一章,比如姓名权和名称权、名誉权和荣誉权。隐私与个人信息有很多联系,后者因可识别到特定自然人而常具有侵犯个人隐私的风险,我国司法实践往往采取隐私权保护的途径为遭受侵害的信息主体提供救济。同时,个人信息与隐私在客体上存在交叉,有些个人信息属于隐私,比如私密信息适用有关隐私权的规定;但有些个人信息不属于隐私,例如姓名、性别等一些已经公开的信息,其被保护的法益受制于个人信息条款的规范。随着数字经济的不断发展,个人信息的内容日益丰富而且还将不断发展,对不同类型个人信息的立法提出了新的挑战。
虽然隐私和个人信息都属于人格权保护的范畴,但是从第六章的标题“隐私权与个人信息保护”可以看出,立法者对两者进行了不同的法益位阶排序。隐私之上成立具体人格权———隐私权,但立法者对“个人信息”的属性却一直比较含糊。《民法典》立法过程中曾出现“个人信息权”的提法,比如最初《人格权编》(征求意见稿)规定个人信息是一种可以支配的人格权利,第4条规定“民事主体对其名称、肖像、个人信息等具有经济利益内容的人格权益享有支配的权利,可以许可他人使用,但根据其性质或者依照法律规定不得许可的除外”。其后的草案稿和最终的《民法典》都仅规定“自然人的个人信息受法律保护”,由于立法者对个人信息的属性尚不确定,最终没有将个人信息上升为一项民事权利。我国立法区分民事权利和利益,权利乃享受特定利益的法律之力,法益为法律所保护之利益,权利较之于法益受到法律更强和全面的保护。权利受到法律完全的保护,兼具法律正面规范和反面救济,而法益相比于权利处于弱势的地位,法律承认法益的合法性,但不对内涵、外延作出正面规范,保护力度也更弱。权利需要法律的明确规定,而法益之所以无法当然地成为权利,是因它没有充分经过历史上典型权利为获得制定法命名而经历的历史检验,原则上它们不受法律保护,只有在严格条件下才可能就特定当事人例外地上升为权利。从我国隐私权演变的历史可以看出,是否赋予个人信息具体人格权地位,并不具有当然性。
《民法典》第1034条对个人信息的定义,沿用了《网络安全法》和《电信和互联网用户个人信息保护规定》等法律法规“概括定义+列举式”的方式,将“识别特定自然人”作为个人信息的特征,并列举了姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息这九类个人信息。《民法典》第1034条第3款同时明确“个人信息中的私密信息,适用有关隐私权的规定”,这表明立法者将个人信息区分为私密信息和非私密信息,但是对于区分这两者的标准却并没有更多的规定。有学者提出“三分法”来区分隐私与信息,即纯粹的个人隐私、隐私性信息、纯粹的个人信息,但对于区分的标准和实际应用仍比较模糊,尤其是“纯粹的个人隐私与隐私性信息”的界分对司法实务的指导性并不强。实践中出现了很多介于这两者之间的信息,比如在线评价平台收集和发布的用户评价信息、社交网站上公开的个人教育信息和职业信息等,如何保护这些个人信息恰恰是司法机关在实践中无法规避的难题。
王庆辉诉青岛天一精英人才培训学校隐私权纠纷上诉案(以下简称“王庆辉案”)中,被告(上诉人)作为一家司法考试的培训学校,在向社会发布《重磅!天一教育法考烟台考点创造98.3%的通过奇迹!》具有商业推广性质的广告内容中,涉及了原告(被上诉人)的姓名和考试成绩(“115,王庆辉,男,90,91,181”)。原告以其隐私权受侵害为由向法院提起诉讼,二审法院审理认为,姓名、考试成绩均非私生活中绝对自我空间的范畴,不属于隐私的范围。姓名和司法考试成绩是否属于私密信息从而获得隐私权的保护成为本案的争议焦点,也是本文想要讨论的核心问题。类似的案件中,如庞理鹏诉东方航空公司、北京趣拿信息技术有限公司隐私权纠纷案中,法院却认为姓名、电话号码以及行程安全属于可以匹配识别特定个人的信息,原告的这些信息被泄露的,可以通过隐私权寻求救济。在《民法典》通过之前,很多对个人信息的案件都企图通过隐私权寻求救济,但因为法律未对隐私作出界定而导致隐私的范畴模糊,也因为法律没有明确对隐私和个人信息的关系作出规定,导致实践中原告常陷入维权困难的境地。《民法典》第一次对隐私的内容作出界定,同时定义了个人信息的概念,并明确提到“私密信息适用有关隐私权的规定”,似乎给类似王庆辉的案件提出了指导。理清个人信息、个人私密信息、隐私之间的关系,为司法实践提供审判依据,将具有重要的理论和实践意义。
本文认为,私密信息首先属于个人信息,因此必须满足可以识别至特定自然人的“识别性”,在此基础上需具备隐私利益,这是将私密信息与一般个人信息相区分的关键。根据隐私权的发展历史和权利性质,隐私利益可以拆分为“隐”和“私”两种属性,前者强调不为他人所知的秘密性,既包括不愿为他人所知的主观期待,也需要具有未公开的客观事实;后者则突出与公共利益和他人利益无关的私人性。因此,遵循识别性、秘密性、私人性的思路,可以作为判断私密信息的方法,本文也将从这个三点逐一展开讨论。
二、个人信息:已识别(identified)与可识别(identical)
(一)“识别至特定人的信息”的发展历史
除了《民法典》,我国目前对个人信息保护的法律法规和规范性文件等有近50部,个人信息的定义多采用和《民法典》相同的“概括定义+列举”模式,即除了给出个人信息的一般定义外,还列举典型的个人信息类型及排除类型,这也是世界上大多数国家对于个人信息的定义方法。因为个人信息是一个比较抽象的法律概念,除了明确界定概念的本质特征外,通过列明典型类型,可以减少法律适用上的不确定性,增加个人信息概念的具体性和可预期性。国际上关于个人信息规范的另一通行做法是,将个人信息的最核心特征认定为“识别至特定自然人”。美国是采取分散式立法的国家,使用“个人可识别信息(personaly identifiable information,以下简称PI)”的概念;欧盟是采取统一立法的地区,采用个人数据(personal data)概念,指与一个身份已识别(identified)或可识别(identifiable)的自然人相关的任何信息;澳大利亚采用个人信息(personal information)的表述,定义个人信息是指关于已识别的个人或可合理识别个人的信息或意见 (information or an opinion)。由此可见,“识别性”通常是判断个人信息的第一步。
在过去的50年间,随着电脑技术的进步、个人信息保护的需要,“识别至特定人”经历了一个从与隐私没有任何关联的短语到逐渐变为隐私法保护最核心概念的过程。“识别性”最初发源于美国,美国隐私法上“识别性”的历史最具有代表性,可考究的文献也最详实,故本部分选择以美国隐私法的发展为例展开论述。1890年,在Waren和Brandeis著名的《论隐私权》一文中,隐私权被定义为“独处的权利”(the right to be alone),是一种不受侵害的人格权 (a right of an inviolate personality)。此后,Proser教授总结实践中的三百多个案例,将隐私侵权区分为四种类型,并强调隐私侵权仅应用于可识别至特定人之情形(an identified person)。根据美国隐私权专家Solove教授的研究,“个人可识别信息”(PII)在1960年左右第一次在美国被提出,那时候随着电脑等科技的发展,私人公司和政府机构被允许处理个人信息,改变了数据收集、组织、使用和搜查的方式,电脑记录信息系统和数据搜集分析技术让很多数据能直接指向个人。最初美国隐私保护研究委员会(The Privacy Protection Study Commision)并没有直接讨论“个人可识别信息”的概念,而是使用“被覆盖的人和事”(who and what is to be covered)来指代,隐私也仅仅指向与个人姓名或肖像相关的信息。直到1974年,美国联邦政府在《家庭教育权利和隐私法案》(Family Education Rights and Privacy Act, FERPA)中第一次提出“个人可识别信息”(personal identifiable information),法案用这个概念禁止教育机构公开或提供关于个人可识别的教育信息记录。虽然法案提到了“个人可识别信息”,但是这个法案的关键概念是教育记录 (education record),即法案定义信息是被教育机构以文件或其他形式记录的“直接与学生相关的信息”(information directly related to a student),法案强调是否属于由学校首先组织并存储的教育记录,而不是是否可识别至特定学生。因此,学校仍然可以将学生联系方式等信息卖给信用卡公司,因为这些信息虽然被认为是直接的信息(directory information),但这些信息并没有被教育机构保存,不属于“教育记录”(educational record),学校不需要承担法律责任。
尽管同一时代美国还颁布了一系列法案,比如 《公平信用报告法案》(Fair credit reporting act, FCRA, 1970)、《隐私法案》(Privacy act of 1974)等,但是都和《家庭教育权利和隐私法案》没有太大的差别。直到1984年,《有线通信政策法案》(简称通信法案)(Cable Communications Policy Act)是一个重要的里程碑。这个法案不仅提到了PII,而且对PII作为法律适用的前提条件作出了明确规定。通信法案和之前法案的重要不同在于,不再强调保护的范围限定于与如何收集信息有关 (比如是否通过信用卡记录、是否属于教育记录、是否是系统记录等),而是将保护的重点落在判断信息控制者是否收集与个人识别性有关的信息。通信法案颁布之后,信息隐私法就开始使用PI这个概念作为开启法律保护的按钮,并被认为是隐私的“守护者”(gate keper of privacy)。自20世纪90年代中期以来,PI成为首选的术语,之后的政府和州发展的很多法律法规都围绕着PI概念展开。
当前,各国立法虽然都强调识别特定个人信息的概念非常重要,其散见于各国的个人信息保护立法中,但均未对PI形成一个统一认可的定义。Solove教授总结了目前对PI的定义,主要有三种方法:同义反复(tautological);“非公共”(non-public);特别类型(special-types)。定义的方式虽然不同,但是对个人信息最主要的特征“识别至特定自然人”已达成了共识,并衍生出已识别性(identified)与可识别性(identical)的两种情形。
(二)已识别性(identified)与可识别性(identical)
针对不同类型的个人信息应采取不同的保护举措,因此对个人信息进行细化分类研究是《民法典》通过之后的一个重要议题。根据上文对个人信息的定义,本文认为个人信息可以分成三类:已识别信息、可识别信息、非可识别信息。已识别信息能从多数人中识别出一个特别的自然人,即通过这一信息能将这个人从其他人中区别开来的信息,比如姓名、身份证号、生物识别信息等。可识别信息,是具有将来识别可能性的一类信息,即使当前还未能直接识别至特定的人,但是这种识别的可能性是存在的,因此信息和特定自然人之间存在着联系。可识别信息可以和已识别信息同等对待,因为在大数据时代,信息的收集和匹配成本越来越低,原来单个的、孤立的个人信息一旦被收集、提取和综合,就完全可以与特定的个人相匹配,从而形成某一特定人详细而准确的整体信息。而非可识别信息(non-identifiable)构成对识别性很遥远的风险,这些信息不会和特定人有联系,比如密码。由于保密性的要求,一般的密码都是不可以识别至特定个人的,因此不能算是个人信息。事实上,大多数国家都会通过其他法律来保护,比如在我国有专门的《密码法》规范密码应用和管理。
欧盟《一般数据保护条例》(GDPR)被称为最严格个人数据保护条例,采用个人数据(personal data)概念,其规定“个人数据”是指与已识别(identified)或可识别(identifiable)的自然人(数据主体)相关的任何信息。“可被识别的自然人”是指通过姓名、识别号码、位置数据、在线身份识别码等标识符,或通过针对该自然人的身体、生理、遗传、心理、经济、文化或社会身份等特定相关的一个或多个要素,能够直接或间接地被识别出的个人,并指出判断自然人是否可被识别,应考虑可能合理使用的所有方式。经济合作和发展组织(Organization for Economic Cooperation and Development, OECD)对于识别性的规定也区分已识别(identified)或可识别(identifiable)这两种情况。但也有国家只规定了可识别信息,比如2000年颁布的加拿大《个人信息保护和电子文件法案》(Personal Information Protection and Electronic Documentact, PIPEDA),将PI简单定义为可识别信息(identifiable information)。我国《民法典》第1034条规定个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息。这种定义和美国加州消费者隐私保护法案(California Consumer Privacy Act, CCPA)类似,后者将个人信息(personal information)定义为能够合理地与特定消费者或家庭直接或间接(directly or indirectly)相联系的信息。本文认为,单独识别特定自然人的信息可以视为“已识别信息”,即已经可以直接识别特定自然人的信息;而与其他信息结合识别特定自然人的信息,则可以视为“可识别信息”,是具有识别可能性的信息。可以看出,我国规定的个人信息可以被解读为一种含义较广的信息范围,这种定义符合大数据时代的特征和趋势,也赋予法官在判断个人信息时更大的自由度。
事实上,可识别性的判断并不是一件容易的事情,比如美国Pinedav.Williams-Sonoma案,针对邮政编码这一信息两审法院体现了不同的态度。被告商场的收银员让原告Pineda在付款时提供了邮政编码,因此商场在数据库中保存了原告信用卡账号、姓名和邮政编码等信息。原告向被告提起集体诉讼,认为原告商场违法了《Song-Beverly信用卡法案》(Song-Beverly Credit Card Act of 1971)和《不公平竞争法》(Unfair Competition Law, UCL),对隐私权造成了侵害。初审法院审理认为,邮编号码并不属于个人识别性(personal identification information)的信息,并不是一个人所有的,而是大家共享的一种信息。而上诉法院则认为,邮编是地址的组成部分,邮编和地址、电话号码一样,是从属于个人的,都是法律规定的个人信息的组成部分。法院认为应该扩大解释本条文信息的内容,判决邮编属于个人识别性信息的范围。同时,邮编并不是这个交易完成的必要信息,它的缺失并不会影响交易的进行,因此收集邮编的行为侵害了原告的隐私权。
这个问题在我国同样存在争议。上文提到的王庆辉案中二审法院认为,姓名、考试成绩均非私生活中绝对自我空间的范畴,不属于隐私的范围。天一学校发布的“115,王庆辉,男,90,91,181”的信息内容仅涉及王庆辉姓名和成绩,并未涉及其他私人信息,该过关学员名单面向社会不特定公众发布,社会公众并不必然能凭此条信息与王庆辉本人建立特定联系,故不构成法律概念上的特指,不具备识别性。而庞理鹏与北京趣拿信息技术有限公司等隐私权纠纷中,针对案件涉及的姓名、电话号码及行程安排(包括起落时间、地点、航班信息)等信息,二审法院认为,虽然单纯的庞理鹏的姓名和手机号不构成隐私信息,但姓名、手机号和庞理鹏的行程信息(隐私信息)结合之后的整体信息则因包含了隐私信息(行程信息)而整体上成为隐私信息。法院最终判决支持原告的诉讼请求,姓名、电话号码及行程安排等事项可以通过隐私权纠纷而寻求救济。本文认为,承认姓名、个人信息和行程信息等结合可以识别至特定人的事实,是符合信息时代科技发展水平和趋势的。而王庆辉案中法院否定姓名和司考成绩的可识别性的做法,有失偏颇;后文也将提到,法院的做法其实是混淆了识别性与私密性,是否受到隐私权的保护需要分步骤分条件进行,简单地否定姓名可识别性的做法并不符合法律和事实。
(三)识别性问题的延伸
可识别性是个人信息的关键特征,因此在信息利用的过程中,降低个人隐私风险最容易想到的做法就是“去个人化”“去识别性”,其中信息的匿名化处理成为去除数据中可直接或间接识别个人身份信息标识的一种重要渠道,可以有效地降低个人信息利用的风险。根据个人信息特征的反向推导,法律语义上的匿名化至少需要满足两个标准:第一,仅从信息本身无法指向特定的个人;第二,即使结合其他信息也无法指向特定个人。各国关于个人信息的立法也对匿名化问题作出了规定,比如欧盟GDPR第4条规定,“匿名化”指的是在采取某种方式对个人数据进行处理后,如果没有额外的信息就不能识别数据主体的处理方式。此类额外信息应当单独保存,并且已有技术与组织方式确保个人数据不能关联到某个已识别或可识别的自然人。美国《健康保险可转移及责任法案》(HIPAA)提出另一个相似的概念———去身份化(de-identification):“通过处理使得数据不能识别特定个人,或者没有合理的基础能够认为该数据可以被用来识别特定个人”。日本2015年通过《个人信息保护法》修正案要求,匿名后的数据不能与其他信息进行比对、参照,以实现身份识别的功能,且不能复原。《民法典》第1038条指出可以向他人提供“经过加工无法识别特定个人且不能复原的信息”,这是对匿名化信息的另一种规定和说明。
除了正向匿名化之外,个人信息的识别性也禁止反向推定。在企业提供大数据分析趋势的时候,不能让个人通过大数据反推出特定的自然人,不然就会存在泄漏个人信息的风险。比如企业收集了100个人的学历背景,其中大专学历占30%,本科学历占60%,硕士学历占20%,博士学历占另外10%,如果从100个人当中移除了A这个人,则呈现的比例立刻发生了变化,博士学历所占比下降了,则可以反推出A是博士生。如此一来,也可能造成A学历信息的泄露。因此,企业为了防止这种逆向地反推行为,在数据中使用“数学噪声”即混入其他数据,让结果的呈现不能直接和个体的变化相连,这就是“差分隐私”技术的应用,这是一种使数据查询准确性提高而减少识别其记录机会的一种技术。这些都是个人信息识别性对企业提出的更高要求,也是保护个人信息的趋势所在。
三、私密信息:秘密性与私人性
判断一类信息具有识别性,即落入了个人信息的范畴。根据《民法典》关于个人信息的规定,个人信息进一步可以区分为私密信息与非私密信息,并强调个人信息中的私密信息适用关于隐私权保护。虽然目前《民法典》没有提出具体区分私密信息与非私密信息的方法,但是从适用隐私权保护的规定可以反推出,私密信息是具有隐私利益的信息。何为隐私利益?这个问题可以从隐私权的发展历史和实践案例中探寻。
(一)隐私权的发展与隐私利益
公认法律上隐私权的开端是1890年《论隐私权》一文,最初隐私权被定义为一种独处的权利(the right to be alone),在随后一百多年的发展中,其内涵不断变化和丰富。其发展与历史、文化、社会环境、科技进步息息相关。个人信息中蕴含着双重的人格权益,隐私利益和信息自决利益。其中,个人信息隐私利益与隐私权存在重合。探求隐私利益可以从当前隐私权与个人信息的保护存在着的两种典型模式入手,即美国模式和欧洲模式。美国选择大隐私权模式,隐私的内容包括信息自决权和私生活不受干扰的权利。基于个人自由的隐私权被演绎成一个宽泛的财产权,隐私的财产(经济)价值为个人信息控制理论提供了论证基础,美国的隐私保护依赖普通法救济,以个人利益(包括自由)受到侵害为前提。而在欧洲,隐私则更关注个人的尊严,欧洲个人数据保护的逻辑是:个人数据由个人自主控制,源于个人独立和自治,保障数据主体对个人数据的处理事务的自主、自治、自觉,是个人数据保护的应有之义。
在我国,隐私权的发展经历了几个明显的阶段。1986年的《民法通则》并没有将隐私权纳入其中,仅规定了生命健康权、姓名权、名称权、肖像权、名誉权、荣誉权等人身权,但1988年,在最高人民法院印发的《关于贯彻执行<中华人民共和国民法通则>若干问题的意见(试行)》中提出,侵害他人隐私的,认定为侵害他人名誉权的行为。2001年,最高院在《关于确定民事侵权精神损害赔偿责任若干问题的解释》才正式承认了隐私的法律地位,尽管隐私仅仅被认为是一种“其他人格利益”。直到2009年,随着《侵权责任法》的颁布,隐私权第一次明确作为一种独立的人格权,和生命权、健康权、姓名权、名誉权等并列在民事基本法中。2017年《民法总则》在第五章“民事权利”中再次明确“自然人享有隐私权”。《民法典》更进一步,在人格权编的第六章“隐私权与个人信息保护”中专章对隐私权的具体内容作出规范。
从隐私权的演变发展,并结合《民法典》对隐私的定义来看,隐私包括私密空间、私密活动、私密信息和私人生活安宁,其中“私人生活安宁”被看做是隐私内容的兜底条款,具备了隐私的核心属性。由此可见,隐私保护的是一种安定宁静、不受干扰、自我决定的生活状态,强调精神性的安宁利益,体现了人格独立、人格自由、人格尊严的全部内容,也体现了民法对人的终极关怀。有学者认为,隐私权的确立是在纷繁复杂的社会生活中合理划定了私生活与社会外界之间的必要界限,表达了对人们内心追求独立安宁愿望的尊重。享受隐私的能力是一种非常重要的能力,这是让个人去拥有一个富有尊严、满足感、安全感和自治的生活的核心,这是我们能独立享受自由的基础。本文认为,隐私利益是一种具体的人格利益,集中体现了人格尊严和人身自由,是民法价值的重要体现。但是隐私权也具有克减性,并不是绝对的,需要受到一定的限制。因此,隐私利益可以拆分为两个方面:不愿为他人所知的“隐”和与公共利益、他人利益无关的“私”,由此,私密信息可以理解为秘密的私人的信息,判断私密信息的标准可以简化为“秘密性”和“私人性”。
(二)隐——秘密性:不愿为他人所知
1.不愿为他人所知的合理期待
隐私权保护的关键在于确定和保护社会交往的基本界限,并要求人们相互尊重各自的基本界限。其中,秘密的关键在于权利人有一个合理的期待,即其隐私会被保持私密。在隐私概念之前,“秘密”这一概念就一直是人际交往中一个非常核心的部分,早在1890年提出隐私权之前,已经有很多关于维护保密关系的法条和规定,比如法律规定,律师和客户之间的保密协议能阻止律师在代理期间向法庭泄露客户提供给他的信息。
“隐私的合理期待理论”最早是美国联邦最高法院在1967年Katev.UnitedStates中确立的,在世界多个国家被适用并证明是比较可行的隐私权判定方法。成立“合理的隐私期待”(reasonable expectation of privacy)需要具备两个条件:一是权利人主观上对隐私的保护已经形成了合理的预期,期望其内容不为他人所知;二是此种预期具有“正当性”,即这种期待符合一般观念,能得到社会的客观认可。私密信息的判断上,同样适用合理的隐私期待理论,在上文提到的“王庆辉案”中,原告不希望自己的姓名和司考成绩向社会公布,可以判断其对这两个信息享有主观的隐私期待,而问题在于这种期待是否符合社会的一般观念。本文认为,司考考试官网从报名、考试到成绩查询一直都是一个需要账号和密码才能登陆的封闭式系统,这本身可反推考试组织方对考生个人信息的保护和对成绩私密性的维护,可以判断社会一般人是认可这种期待正当性的。尤其是若一个人没有顺利通过司法考试,他的成绩将更不愿意为人所知晓,所以这种保密性也不应该被苛责,法院的判决并不合理。
2.主动公开的信息与例外
关于合理隐私期待中“主观期待”的判断上,有一个例外——“第三方原则”(third party doctrine),这是在美国Miler案中确定的,即如果一个人已经自愿向第三方披露了信息,那么这些已经披露的信息就缺乏“合理的隐私期待”。随着信息科技和生命科技的发展,市场经济和商业模式的改变,个人信息的搜集和公开的方式发生了变化,在私密性的判断上也面临着新的挑战。
研究隐私权的学者提到过Nader v. General Moters案,原告纳德是一名消费者维权倡导者,公开出版了针对通用汽车的一本书,名为《任何速度下的不安全:美国汽车的设计危险》(Unsafe at any speed: the designed-indangers of the American Automobile)。通用汽车试图在公众中抹黑原告,于是就用虚假借口采访纳德的朋友和同事,寻找关于他犯罪的信息。原告起诉,认为被告从其朋友、同事那里获得的信息是自己私下告知的,属于小范围内的信息,原告对信息的保密享有合理的期待。但是法院判决被告获得的信息是已经为他人所知的(already known to others),因此不再具有私密性(private),故未侵害原告的隐私权。这种思路难免引发争议,类似的情形还包括我们对周围的邻居公开自己的秘密、向医生公开自己的病情,是否期待他所倾诉的人不会进一步透露他的病情和秘密,这样公开的内容是否还享有隐私利益?
除了线下的秘密交流外,随着社交网站的兴起,人们越来越倾向于在有相对受众的在线空间内发布自己的信息,比如微信好友圈。在黄某某诉萍乡市维斯瑞国际体育发展有限公司肖像权、隐私权纠纷案中,原告的私教将原告发在微信好友圈的健身前后对比的照片发到公司群里,随后其所在健身房的销售顾问,未经原告同意,擅自将原告在好友圈内公开的瘦身照片发布于自己的好友圈内,为健身公司宣传减肥瘦身做广告。法院在判决中指出,原告在其微信好友圈发布个人瘦身前后的对比照片,是自主决定对其信息在一定范围内进行公开,根据一般的习惯和本案的具体情况,并不能推定原告同意他人转发其照片并进行营利活动,判决被告赔偿原告精神损失费1000元。与好友圈相对封闭的空间不同,社交网站个人首页的信息却是默认所有人通过浏览网页、不需要经过权利人同意、也不需要添加权利人为好友即可访问和获取的。在hiQ诉LinkedIn案件中,hiQ抓取LinkedIn用户公开的信息,包括姓名、职务、工作经历、技能等,法院认为这些数据是公开的(publicly available to viewers),是任何人通过浏览器都可见的信息,LinkedIn不得阻止hiQ进入、复制并使用LinkedIn网站的公开信息,也不得采取法律或技术措施进行阻碍,否则将造成信息垄断从而引发伤害公众利益的风险。
由此可以看出,信息的私密性可以区分为绝对秘密和相对秘密,在一定范围内的公开属于相对秘密,除了特定主体外,对社会公众而言仍然是秘密的,比如微信好友圈、邻里之间等。针对小范围内先前披露的信息不影响隐私利益,有学者提供了其他的理论支撑———分享信息的动机理论,认为隐私的本质是信任,信息分享的动机是基于特定的信任场景(context),因此,如果不具有相同环境的披露就破坏了这种信任关系,就是对隐私的侵害。
其实场景化隐私理论(contextual integrity)由来已久,代表学者Helen认为,情景化隐私权的核心在于,我们所有的信息交往都是发生在一个给定的场景中的,判断隐私的标准因而是情景化的,对隐私受到破坏的合理判断标准在于场景的变化和破坏。情景化理论认为,重要的不是在给定场景中信息是否合适(appropriate or inappropriate),而是信息的流动和分布(flow, distribution)是否尊重信息流动的场景化标准,是否合理或者是否符合流动的标准(norms of appropriateness or norms of flow),与其他隐私理论的不同在于,情景化要求对参数的设置更丰富、更复杂。因此判断在先已经公开信息秘密性的时候,结合具体公开的场景判断期待可能性将更为可行和合理。
还有学者根据保密性来类比商业秘密和隐私,从而对隐私的相对公开提出论据。Sanden教授认为商业秘密和隐私两种制度的设计目标都是保障社会合理的行为,保护有社会价值的信息,最主要的特征都是要保持保密性(confidentiality)。但是一项构成商业秘密的信息并不是除了合法持有人以外没有任何人知悉,而是该信息在本行业或本领域内不为公众所知。具体地说,公众是指同业竞争者,非竞争者如一般公民和组织被排除在外。即使竞争者也仅仅指同行业、同领域的能够凭借该信息取得经济利益的企业、科研机构或个人。但是从事与该信息有关的技术开发、经营管理活动的科技人员、生产人员、销售人员、管理人员知悉该信息不影响其秘密性。比如我国《关于禁止侵犯商业秘密行为的若干规定》第2条的规定,“本规定所称不为公众所知悉,是指该信息是不能从公开渠道直接获取的。”因此法院对于商业秘密的判断不仅仅是问这个信息是否对其他人公开,而是若在特定条件下公开,这种条件被认为在关系外的公开是不合适的。Sanden教授认为,隐私可以向商业秘密制度学习,隐私的测试不应该是完全的隐私(absolute privacy),而是仅仅相对的隐私(relatively privacy),即不应该局限于判断这个信息是否在先前被披露过(previously bend is closed),应该就信息为什么以及对谁披露作出讨论。协调侵害隐私公开与否的方法在于,应该允许个人在信息保持相对私密性的情况下自由地分享个人信息。
本文认为,隐私权是一种具体的人格权,保障人的尊严和人身自由,其中重要的内容即是赋予主体对他人在何种程度上可以介入自己私生活的控制权,以及对自己是否向他人公开隐私以及公开范围的决定权。因此,在一定范围内已经公开的个人信息也具有隐私利益,隐私权不仅包括自主决定是否将自己的个人信息公之于众的权利,也包括决定在多大范围内将自己的个人信息公之于众的内容。我国也已有案例在判决中提到这样的观点,比如在孙伟国诉中国联合网络通信有限公司上海市分公司隐私权纠纷案中,法院就认为违法扩大个人信息的公开范围也构成对隐私权的侵害。
3.平台采集信息的私密性判断
根据《民法典》第1034条的规定,个人信息包括行踪信息,这种信息存在线上和线下两种形式和来源。最初《民法典》草案中只列举了自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等信息类型。后有常委委员、地方、部门、专家学者和企业提出,个人的电子邮箱地址和行踪信息同样具有识别特定自然人的功能,也属于重要的个人信息,建议纳入个人信息的范围。经宪法和法律委员会研究,建议采纳上述意见,在人格权编三审稿中将自然人的“电子邮箱地址”和“行踪信息”纳入个人信息的范围。Cookie收集的个人信息是一种电子的行踪信息,是个人浏览网页的记录等,是一种线上的行踪信息,这类信息是否属于私密信息呢?鉴于《民法典》已明确认定这种信息是个人信息的一种,识别性问题即无可争议。但在秘密性判断方面,这类活动踪迹信息(包括访问网页、访问时间、购物习惯等)具有特殊性,常常是用户自愿被采集、授权平台收集的,用户共享给服务商是为了获得免费的其他服务,比如定向广告推荐服务等,同时用户并没有拥有、使用、控制这些记录,主观期待和客观公开上都存在暧昧不清的境地。
美国法院在Carpenterv.United States案中的判决对这个问题的思考很有启发性。本案案情不复杂,美国联邦调查局FBI在没有法庭搜查令的情况下通过企业获得了犯罪嫌疑人Carpenter的蜂窝基站位置信息(celsite location information,即CSLI),并据此作为原告持枪抢劫的证据。案件的关键性问题是,个人的CSLI等信息通常被私营企业等第三方收集和维护,这种情形是否可以视为个人向第三方披露了自己的信息?此时所谓“第三方原则”(third party doctrine)是否仍然可以适用?由首席大法官罗伯茨(Roberts)撰写并获得五票赞成的多数意见认为,CSLI位置信息受到美国第四宪法修正案的保护,是一个人物理存在的“详细编年史”(detailed chronicle of a person’s physical presence),属于敏感信息(sensitive information),警方需要获取法庭的搜查令状才能要求企业数据库披露其客户信息。本案中,最高法院重新调整了“合理隐私期待”的判断标准,认为如果是敏感信息,即使已经被分享了(即使在电子服务中非自愿地),甚至被第三方所控制(controled by third parties),并不会减少其隐私期待。由此可知,平台收集的用户信息,即使不为用户所控制和使用,用户仍然对此类信息享有权利。
但是另一类被平台收集的信息——用户评价信息却不同。比如以大众点评网为代表的点评类网站,其点评信息是由网络用户自愿发布的,为潜在的消费者提供有关商家服务、价格等方面的真实信息并帮助其在同类商家中作出选择。这类用户评价信息的发布者并不具有合理的隐私期待,因为发布这类信息的目的就是希望能被潜在的其他消费者看到并提供参考,这些公开的评价信息能有效解决消费者和商家之间信息不对称的问题。即使有时候可以从信息提供者的昵称、资料中识别出特定的自然人,也不能肯定其信息的私密性。
(三)私——私人性:与公共利益、他人利益无关
隐私利益的第二个特征是私人性,即隐私利益是与公共利益和他人利益无关的私人活动、空间和信息,这一个特征主要是从反面对隐私权划定的界限。隐私权的目的是在“私人的”和“公共的”两种领域间做出明显的区隔,使个人在“私人的”领域中享有高度的自主。即使法律保护个人生活不受干扰的安宁利益,保护私密的信息不受侵害,但是这种保护却不是没有边界的,不能损害他人的合法利益,也需要向公共利益让步。纵观隐私权的发展历史,各国在通过宪法和其他法律明确规定保护隐私权,并通过判例完善隐私权规范的同时,也不断在修正特殊主体的隐私权制度,排除隐私权的情形。因为法律是社会利益的调整器,法律的主要作用之一就是调整及调和种种相互冲突的利益,无论是个人的利益还是社会的利益。
在识别性和私密性之后,私人性的判断是对隐私利益正当性的考量,如果私密信息涉及公共利益和他人合法利益,则不能完全属于隐私的范畴;反之,权利人享有对私密信息的自主和控制,并受到隐私权的保护。各国立法也都将公共利益和他人正当利益作为个人信息绝对保护的例外,比如我国《民法典》第1037条规定,为维护公共利益或自然人合法权益,合理实施的收集、处理自然人个人信息的行为,行为人不承担民事责任;欧盟《一般数据保护条例》第6条规定了为公共利益而执行任务、数据控制者履行赋予的公共职能、数据处理者为维护正当利益或第三方正当利益而必须处理个人数据时等情形,属于个人信息处理合法的事由;美国加州隐私权保护法案也规定了对公共利益作出让步的条款,比如当出于公共利益从事相关研究时对个人信息处理的放宽条件等。但“公共利益”是一个非常重要但又相当模糊的法律概念,其内涵的法律界定处于理论困惑与实践需求的矛盾之中。基于其自身的特性而无法厘清确切、绝对的边界,因此很多学者都试图对公共利益进行研究和分析。当前世界范围内对公共利益(public interest)的理解主要有两种模式,一种是在欧洲社会占主导地位的思路,即将公共利益和个人利益的总和相区别,认为公共利益是社会团结一致、保障组织健康的基础,比如法国定义公共利益为国家的利益(the good of the nation)。另一种理解认为公共利益和自由相联系,在美国更为流行,即公共利益是对利益集团的竞争和协商调节后的个人利益的总和,因为所有社会的价值来自于独立的原子的个人价值。在隐私权法领域,有不少学者提醒到,虽然隐私利益需要和其他利益相平衡,但是个人隐私利益本身就是一种重要的公共利益,因此保护个人的自由、权利和利益被认为是一个公共的利益。在公共健康领域这种矛盾尤为突出,一般要求疾病预防控制机构、医疗机构不得泄露涉及个人隐私的有关信息、资料。但是当隐私涉及到公共利益和公共健康时,比如这种疾病是一种极易“人传人”的传染病时,知晓患者病情的知情权将成为不特定多数人的利益。在本次新型冠状病毒疫情期间,根据《国家突发公共卫生事件应急预案》规定,在发生传染性并有扩散趋势的情形下,国家启动一级响应,公众的知情权是实现病毒有效控制的关键,这涉及到不特定多数人的生命健康权。很多公共场合下,患者和普通人的姓名、身份证号码、电话号码、家庭住址、行踪轨迹、生理健康状况、家庭成员信息等个人信息在一定范围内被国家公权力机关收集和记录,具有正当性。
但是,这种对隐私权的限制也不是绝对的,仍然需要限定在一定的范围内,符合法律上的比例原则,即恰当性原则(明确性)、必要性原则(最小侵害原则)、狭义比例原则(均衡原则)。正如《关于做好个人信息保护利用大数据支撑联防联控工作的通知》中要求的,任何单位和个人未经被收集者同意,不得公开姓名、年龄、身份证号码、电话号码、家庭住址等个人信息,因联防联控工作需要,且经过脱敏处理的除外。对隐私权的限制还体现在对特殊主体的限制上,比如公众人物。一方面,公众人物的隐私权受到更多的约束,正如美国1964年“纽约时报公司诉沙利文案”确定了对政府官员或公众人物的诽谤比一般人更高的要求和证明标准,需要同时满足“虚假事实”和“主观恶意”。另一方面,公众人物与公共利益无关的私人信息和活动应受到同等的保护。比如在中贸圣佳国际拍卖有限公司与杨季康等著作权权属、侵权纠纷中涉案钱锺书、杨季康、钱瑗相关书信均为写给李国强的私人书信,内容包含学术讨论、生活事务、观点见解等,是与公共利益无关的个人信息、私人活动,属于隐私范畴,理应受法律的保护
四、私密信息适用隐私权保护规则
识别性、私密性、私人性是本文提出的区分私密信息与一般信息的“三步走”思路,识别性是判断是否属于个人信息的关键,而私密性和私人性共同构成“隐私利益”的两个方面,前者强调不为他人所知的秘密性,既包括不愿为他人所知的主观意向,也需要具有未公开的客观事实;后者则突出与公共利益和他人利益无关的私人性。遵循这样的先后判断顺序和思路,可以为实践中此类案例的审理提供一种可能的方案。回到本文最初提到的“王庆辉案件”中,本文认为,姓名、司法考试成绩属于可以识别至特定个人的信息,必然属于个人信息的范畴,同时原告明确表明不愿其司考成绩被他人所知,且司考成绩仅能通过账号密码登陆报名系统被个人所获知,满足未公开的秘密性。另外,被告公开姓名和成绩是为了商业目的的广告行为,与此紧密相连的利益是天一考试机构的商业利益,并不能优先于属于人格权的隐私利益,因此姓名和司考成绩的保密具有正当性。本文认为青岛天一精英人才培训学校通过互联网公开原告王庆辉考试成绩的行为,侵犯了原告王庆辉的隐私权。
《民法典》第1034—1039条对个人信息作出的规定,包括处理个人信息应当遵循的原则、自然人有权对个人信息进行查阅、抄录、复制和更正、删除等。根据上文分析,个人信息可以区分为私密信息与非私密信息,私密信息同时适用隐私权的保护,即私密信息也适用第1032条和第1033条的有关规定。从《民法典》人格权编第六章的规定来看,法律对隐私权给予了更加严格的保护,隐私权与个人信息保护的差别主要体现在:第一,权利人“同意”的程度和要求;第二,侵害隐私权的行为。《民法典》限缩了隐私权侵权例外的情形,第1032条仅规定了“法律另有规定或权利人明确同意”这两种情形。对比《民法典》第1037条收集、处理自然人个人信息时的例外情形,包括自然人的同意、自然人已经合法公开、为维护公共利益或自然人合法权益三种。而且就同意的程度而言,收集处理私密信息的同意需要“明确”,而一般个人信息收集和处理只需一般同意即可。
在侵害隐私权的构成要件上,根据侵权责任法的有关规定,一般侵权行为的判断包括侵犯隐私权行为、受害人受到损害、行为与后果的因果关系、加害人的主观过错。是否一定需要造成损害才能成立侵权责任,在实践中存在不同的做法。孙伟国诉中国联合网络通信有限公司上海市分公司侵害隐私权案中,法院判决认为,只要有未经许可向第三人披露他人个人信息的事实存在即可构成侵害,就侵害的成立而言无须考虑第三人给原告带来的究竟是利益还是损害,使得原告的信息被第三人所知悉,损害即成立。而在朱烨与百度公司隐私权纠纷中,二审法院就因原告未能证明个性化推荐服务对其生活安宁产生的实质性损害,而驳回了原告了诉讼请求。《民法典》对侵害隐私权的损害后果没有提出明确要求,是否可以解释为侵害私密信息并不需要以损害结果为构成要件,只需要存在收集、处理的事实和行为就应该承担责任?这些问题值得在理论和实践中进一步探讨。
相关阅读
推荐书目
微信号 : DigitalLaw_ECUPL
探寻数字法治逻辑
展望数字正义图景
数字法治战略合作伙伴:理财魔方
北京市竞天公诚律师事务所上海分所