许可、孙铭溪：个人私密信息的再厘清——从隐私和个人信息的关系切入

　　为积极回应数字时代的挑战，《中华人民共和国民法典》（以下简称《民法典》）第四编“人格权”专设“隐私权和个人信息保护”一章，由此确立了我国特有的“隐私”与“个人信息”二元法律架构。然而，正如《民法典》1032条第2款和1034条第3款所表明的，作为隐私和个人信息的交叉区域，“个人私密信息”引发了规范冲突与选择难题，并衍生出种种司法疑难。

　　案例一：法学博士诉“抖音”侵害隐私权及个人信息权益。2019年，凌某在其手机通讯录中除本人外没有任何联系人的情况下，注册登录抖音app，在“关注”列表中发现大量好友被推荐为“可能认识的人”，大部分是其微信好友，还有多年未联系的朋友等。凌某称，其从未使用微信账号登录抖音app，也从未在抖音app注册和上传其信息，更未许可抖音app使用其好友关系等。凌某认为，抖音的运营者打扰了其个人生活安宁、窥探其社交关系，给其造成心理压力和精神紧张，故诉至法院，请求抖音运营方披露相关算法、赔偿精神损害抚慰金、赔偿主张经济损失等。

　　案例二：微信读书记录向好友公开，用户起诉侵害隐私权及个人信息权益。2019年4月，黄某在使用“微信读书”软件时，发现由于微信将微信好友关系的数据交与微信读书，在微信读书的“关注”栏目下出现了使用该软件的原告微信好友名单。此外，软件向“关注我的”好友及没有关注的微信好友默认公开黄某的读书想法、书架、正在阅读的书籍等信息。黄某认为微信读书及微信的上述产品设计侵害了其隐私权及个人信息权益，诉至法院。

　　案例三：观影记录被平台作为证据提交，用户认为侵害隐私权。2020年6月，北京互联网法院公开审理并宣判了吴某诉北京爱奇艺科技有限公司“《庆余年》超前点播”一案。案件宣判后，吴某在微博中表示，爱奇艺公司在庭审中拿出了其观影记录作为证据，侵害了其隐私权。

　　在上述纠纷中，原告就好友关系、阅读记录、观影记录等信息，或主张隐私权，或主张个人信息权益，其关键在于“何为个人私密信息”。鉴于不论是隐私还是个人信息，均为法律移植产物，本文首先对隐私和个人信息的关系进行了比较法的梳理，接着回顾了我国的发展路径，最后以“隐私和个人信息二元化”为背景，构造出个人私密信息的解释论架构，以期有裨于《民法典》实施和《个人信息保护法》的制定。　

　　作为隐私权的概念发源地，美国法是隐私和个人信息一元化的典型代表。自沃伦和布兰迪斯在《论隐私权》一文中首次提出“隐私权”以来，美国的隐私权范围不断拓展，其不仅涵盖了“身体上的独处权”，还将姓名、名誉、肖像都一并覆盖，甚至连个人作出使用避孕药等个人秘密决定的权利和思想自由亦囊括其中。20世纪70年代以来，随着信息技术的出现，美国法院在隐私权传统四分法的基础上，通过司法判例建立了一系列新的隐私权，从此形成了“自治性隐私权”（right to decisional privacy）、“物理性隐私权”（ right to physical pricacy）和“信息性隐私权”（right to informationalprivacy）的三分法。其中，“信息性隐私权”即“个人所享有的对其信息获取、披露和使用予以控制的权利”。在后续的发展中，信息性隐私权日益重要，甚至成为隐私权的核心内容。在某种意义上，隐私权并不是简单地要求他人对我们的信息一无所知，而是由自己来控制这些信息，是决定其信息在何时、何种程度以何种方式与他人交流的权利。

　　1995年，美国政府信息基础设施特别工作组（IITF）发布《个人隐私和国家信息基础设施：个人信息的使用和提供原则（Information Infrastructure Task Force:Principles for Providing and Using Personal Information）》，将“可识别的个人信息”（personally identifiable information）与“隐私”联系起来。在正式的法律文件中，美国《儿童网络隐私法（Children’s Online Privacy Act）》、《用于经济和临床健康的健康信息技术法案（Health Information Technology for Economic and Clinical Health）》《录像带隐私保护法（The Video Privacy Protection Act）》等均将“个人信息”作为立法基础。需要指出，鉴于隐私权的当然限制，这里的个人信息不包括个人已经被行政机关依法公开的信息。在美国的影响下，日本和我国台湾地区也将个人信息的自主置于隐私权的保护之下。按照日本判例及理论，侵害隐私权的情形包括：（1）对私生活的侵入，包括窥视居住、侵入住宅、私生活安宁受到侵害（如骚扰电话、传单等）；（2）窃听、秘密录音；（3）公开私事，如公开日记与信件、犯罪前科公开、夫妻生活或者异性关系或者性隐私、医疗信息、其他私事的公开（如大学学习成绩、出身、经历、纠纷等）；（4）个人信息。我国台湾地区司法主管机关释字第603号解释谓隐私权在于保障个人生活私密领域免于他人侵扰及个人资料之自主控制，前者乃传统古典意义上的隐私权，后者乃在肯认信息社会中个人的自主权利。　

　　与美国不同，欧洲采取了隐私与个人信息区分的进路。1981年，欧洲委员会发布《个人数据自动化之个人保护公约》（Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data）（“第108号公约”），使之成为首部有关隐私和数据保护的具有法律约束力的国际条约。从1995年的《个人数据保护指令》（Directive on the protection of individuals with regard to the processing of personal data and on the free movement of such data）到2002年《电子通讯个人数据处理及隐私保护指令》（Directive on privacy and electronic communications），再到2018年的《一般数据保护条例》（General Data Protection Regulation, GDPR），“个人数据受保护权”已经成为独立于隐私权的重要权利。在宪法层面，《欧洲人权公约》（European Convention on Human Rights）和《基本权利宪章》（Charter of Fundamental Rights of the European Union）亦对隐私和个人数据加以区隔。前者体现在《欧洲人权公约》第8条、《基本权利宪章》第7条之中，其规定人人有权享有使自己的私人和家庭生活、家庭和通信得到尊重的权利；后者则出现在《基本权利宪章》第8条中，其规定“人人均有权享有个人数据保护，此等数据应仅得于特定明确目的，且于数据主体同意或其他法律规定之正当依据下，公平地被处理。人人均有权了解并删除其个人数据。上述原则应由独立主管机关监督其确实遵守”。基于个人数据保护和隐私权的不同规定，可以认为欧盟将两者视为不同的权利，而非仅是纯粹象征性的区别。

　　首先，两者的权利客体不同。个人数据的外延十分宽泛，包括了与已识别或可识别的个人相关的所有信息。但是，并非所有的个人信息都有必要划入隐私的范畴，私生活也不一定含有已识别或可识别人的信息。其次，两者的权利主体大相径庭。在欧盟，法人可以是隐私权的主体，但却被第108号公约、《数据保护指令》和《一般数据保护条例》排除在数据保护之外。再次，两者的义务主体存在差异。隐私权作为基本人权，主要是对抗公权力机关的主张，而就个人数据保护而言，自然人或法人、公共机构、规制机构或其他实体均负有积极或消极义务。最后，两者在权利限制上亦有所区别。根据《基本权利宪章》第52条第（1）款“行使本宪章承认的权利和自由的任何限制必须由法律规定，并尊重这些权利和自由的实质。在不违反比例原则的情况下，只有在必要且确实达到欧盟认可的普遍关心的目标或需要保护他人的权利和自由的情况下，才可以对本宪章承认的权利和自由进行限制”，只有在满足法律保留和比例原则下，才能限制隐私权和个人数据受保护权。其中，隐私权的干预条件是“依照法律规定的干预以及基于在民主社会中为了国家安全、公共安全或者国家经济福利的利益考虑，为了防止混乱或者犯罪，为了保护健康或者道德，为了保护他人的权利与自由而有必要”，而个人数据的权利的干预则应结合考虑其社会功能并与其他基本权利保持平衡即可。　　

　　尽管欧盟在立法层面区分了隐私权与个人数据受保护权，但由于隐私和个人数据的内在关联，两者在实践中往往难以泾渭分明地适用。

　　例如，欧洲人权法院根据《欧洲人权公约》第8条“隐私权”的规定来保护个人数据，从而令个人数据落入隐私的范畴。这是因为，该法院基于“收集、存储或披露与私人生活有关的信息会侵犯隐私权”的观点，认为隐私权是数据保护的核心。在M. M.案中，欧洲人权法院解释说，鉴于有关定罪或警告的信息已成为该人私人生活的一部分，政府记录系统的范围越广，其所持有和可用于披露的数据的数量和敏感性就越大，在后续处理过程中各个关键阶段应采用的保障措施的内容就越重要。

　　与此类似，欧洲法院也采纳了欧洲人权法院关于“私人生活”包含个人数据保护的主张，将数据保护等同于隐私权：侵犯隐私权的行为即构成《个人数据保护指令》下的“非法处理”，反之，未侵犯隐私权就不视为违反《个人数据保护指令》。在Österreichischer Rundfunk案中，面对雇主发布含有雇员姓名及薪酬信息报告的争议，法院并未将数据保护视为一项独立权利，而是从隐私权的角度指出将该数据传输给第三方构成了侵犯隐私。在Schecke案中，针对数据保护如何作为一项基本权利这一问题，欧洲法院首次有机会来表明其立场。该案涉及政府公开农民个人农业补贴是否属于个人数据合法处理，对此，德国法院建议欧洲法院在不援引隐私权的前提下根据数据保护原则作出判断。然而，欧洲法院并未遵循这个路径，而是将数据保护与隐私权合二为一，合称“《基本权利宪章》第7条和第8条承认在处理个人数据方面尊重私人生活的权利”。在Promusicae案中，原告怀疑一群特定人利用Telefónica提供的网络服务侵害Promusicae会员的著作权，因此代表其会员请求法院提供这群特定人于真实世界的身份与地址，以利原告提起著作权侵害的民事诉讼。由于法院无法确知，欧盟法律是否要求会员国以信息持有人在民事诉讼程序中负担提供个人数据的义务，于是移请（referred）欧洲法院就此问题作出初步判决。对此，欧洲法院指出：一方面，包括知识产权在内的财产权和受司法保护权是公民的基本权利；另一方面，“保护个人数据从而保护私人生活”亦是另一基本权利。因此，会员国无须以法律强制信息持有人提供他人信息，但在兼顾相关基本权保障且不违背比例原则的前提下，著作权人仍有权取得疑似侵权人的个人数据。在该案中，虽然欧洲法院参照了《基本权利宪章》第8条，但最终落脚点依然是隐私权。

　　总之，无论是在隐私和个人信息一元化的美国，还是在隐私和个人信息二元化的欧盟，在实践中均未能有效区分隐私权和个人信息保护。为此，我们有必要回归我国法律体系中，从既有脉络中探索隐私和个人信息的内涵所在，以辨明个人私密信息的意蕴。　

　　从法律概念的形成历史来看，我国隐私权作为一种具体人格权，先于个人信息被纳入我国民法之中。由于1986年的《民法通则》并无隐私权的规定，为了回应技术和社会生活的变迁，2001年《最高人民法院关于确定民事侵权精神损害赔偿责任若干问题的解释》，以司法解释的形式将侵害隐私归入违反公序良俗致人损害的侵权类型。2009年，我国《侵权责任法》2条第2款首次在法律上将隐私权与生命权、健康权、姓名权、名誉权、荣誉权、肖像权、婚姻自主权等具体人格权并列。由于个人信息保护在我国立法中多年付之阙如，学界多沿袭美国和台湾地区的一元化做法，从信息控制权出发，将使用个人信息内化于隐私。在实践中，我国法院亦经常采取隐私权保护为个人信息的权利人提供救济。在“张某诉被告上海市某卫生中心隐私权纠纷”、“孙伟国诉中国联合网络通信有限公司上海市分公司隐私权纠纷”、“物业公司泄露业主住址纠纷”、“冒凤军诉中国电信集团黄页信息有限公司南通分公司等隐私侵权纠纷”等中，法院相继认定：未经允许泄露、公开或向第三方提供自然人的病例、家庭住址、电话号码、手机号码、姓名、家庭住址、出生日期以及其他消费信息，构成隐私权侵害。　　

　　伴随着《民法总则》和《网络安全法》在2017年的实施，隐私权和个人信息的二元化体系予以确立。但由于缺乏对隐私权的定义，对于二者的界分仍然缺乏依据。直至《民法典》颁布，才明确将隐私权与个人信息权益归入人格权编，并对隐私、个人信息及其保护方式予以界定。《民法典》1032条第2款规定：“隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。”第1034条规定：“个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息，包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。个人信息中的私密信息，适用有关隐私权的规定；没有规定的，适用有关个人信息保护的规定。”

　　隐私和个人信息不只是概念之别，更有着法律后果的差异。其一，作为《民法典》990条第1款下的法定人格权，隐私权系支配权和排他权，即个人对其隐私享有宽泛的、自主决定的权利，未经权利人明确同意不得侵害其隐私。与此不同，作为《民法典》990条第2款下的人格权益，个人信息除《民法典》1037条确认个人信息主体享有查阅权、复制权、更正权及删除权四种请求权外，不享有其他法定权利。其二，隐私权是绝对权，任何组织或个人不得加以侵害或妨碍，因而隐私权保护无论是发生在商业或公务活动场合，还是家庭社交活动中，均可适用。个人信息保护限于不平等关系中的专业或商业信息处理者与个人之间，因个人或家庭事务而处理个人信息一般不包括在内。其三，在知情同意的框架下，处理个人隐私应当事前获得权利人清晰、明确的同意，处理个人信息一般取得权利人或其监护人的同意即可。并且，这里的“同意”不必然是明示同意和单独同意，而可以是默示同意或概括同意，例如，通过app的隐私政策可以取得对所有非私密的个人信息的同意。其四，根据《民法典》993条，隐私权依其私密性的本质，无法许可他用，而在大数据背景下的个人信息具有有价性和可处分性，因此可以商业化利用，当然这种“许可”仅有债权上的效果，此时相对人并不会因被权利人许可而成为权利主体。其五，隐私权与人身自由和人格尊严密切相关，其不允许合理使用。相反，因个人信息负载着企业利益和公共价值，《民法典》999条、1036条均规定了合理使用个人信息的情形，包括维护国家利益和社会公共利益，保护个人信息权益主体的合法权益以及合理处理已经合法公开的个人信息。其六，在权利和利益的区分原则下，个人信息权益侵权责任的认定，有必要在隐私权侵权的一般构成要件的基础上，综合考虑“侵权行为的违法性”，《民法典》111条和1038条特别规定：不得“非法”收集、使用、加工、传输他人个人信息，不得“非法”买卖、提供或者公开他人个人信息。这意味着，合法的收集、使用、加工、传输他人个人信息的行为以及合法地买卖、提供或者公开他人个人信息的行为，并不受到限制或者禁止。最后，根据《民法典》1033条、1025条，对隐私权的苛减必须经由法律才能作出，对个人信息权益的限制通过法律、行政法规即可。　

　　虽然《民法典》采取了隐私权和个人信息二元化的架构，但1034条第2款“个人信息中的私密信息，适用有关隐私权的规定；没有规定的，适用有关个人信息保护的规定”却表明，其并未完全解决两者的区分难题，而交叠所在就是“私密信息”。然则何为“私密信息”？

　　首先可以想到的是一个既有概念的“敏感个人信息”。国家质量监督检验检疫总局和国家标准委员会于2012年和2017年分别发布了关于个人信息保护的两个国家标准：《信息安全技术公共及商用服务信息系统个人信息保护指南》（以下简称《个人信息保护指南》）、《信息安全技术个人信息安全规范》（以下简称《个人信息安全规范》）中，均规定了“个人敏感信息”，前者规定为“一旦遭到泄露或修改，会对标识的个人信息主体造成不良影响的个人信息”，后者规定为“一旦泄露、非法提供或滥用可能危害人身和财产安全，极易导致个人名誉、身心健康受到损害或歧视性待遇的个人信息”。在《个人信息安全规范》中，列举的个人敏感信息包括身份证件号码、个人生物识别信息、银行账号、通信记录和内容、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息、14岁以下（含）儿童的个人信息等，并且在附录中列举了财产信息、健康生理信息、生物识别信息、网络标识身份信息等作为敏感信息的具体类型，其中，“其他信息”中列举了“个人电话号码、性取向、婚史、宗教信仰、未公开的违法犯罪记录、通信记录和内容、行踪轨迹、网页浏览记录、住宿信息、精准定位信息等”，上述内容使得敏感信息内容似乎与私密信息的联系更加紧密。在2020年发布的《个人信息保护法（草案）》中，“敏感个人信息”被界定为是一旦泄露或者非法使用，可能导致个人受到歧视或者人身、财产安全受到严重危害的个人信息，包括种族、民族、宗教信仰、个人生物特征、医疗健康、金融账户、个人行踪等信息。

　　能否将“敏感信息”等同于“私密信息”，目前尚无定论。张新宝教授认为：“个人敏感隐私信息是指关涉个人隐私核心领域、具有高度私密性、对其公开或利用将会对个人造成重大影响的个人信息。”因此，私密信息与敏感信息同义。与此不同，程啸教授认为：私密信息和非私密信息区分的侧重点在于民事权益的类型与保护方法的差异，而非如敏感信息与非敏感信息那样基于对信息处理者处理个人信息的行为规范的不同所做的分类，两种划分的规范目的存在明显的区别。但他同时也承认：敏感信息与私密信息之间存在交叉的关系。总之，从《民法典》观察，隐私与个人信息在事实上形成了一种交叉、嵌套关系：

　　图1　隐私与个人信息概念关系图

　　在司法实践中，信息技术的发展增加了隐私和个人信息区分的困难。在朱烨诉北京百度隐私权纠纷中，一审法院认为网络浏览偏好构成隐私信息，而二审法院则判定该信息不具有识别性，不构成个人信息。在顾俊与奇智公司和奇虎科技公司隐私权纠纷中，法院认为网页访问记录不具个人属性，并非隐私，也无法识别真实身份，不属个人信息。在庞理鹏诉去哪儿网、中国东方航空隐私权纠纷中，法院首先认定，姓名、手机号码和行程信息属个人信息，而姓名和手机号码不构成隐私，但两者与形成信息结合则成为隐私。鉴于《民法典》给隐私和个人信息赋予迥异的法律效果，如何在二元化框架下引导原本“一元化”司法实践作出调整，是一个亟待解决的问题。　　

　　无论是比较法的观察，还是我国法的梳理，均表明隐私和个人信息的交叠难以避免，究其实质，皆因两者均体现着人格尊严和人格自由。在传统社会，大部分私人信息稳定处于亲密关系之中，隐私的主要价值在于抵御外界的侵入及不当利用。正因如此，长久以来，普通法通过“违反保密义务”（breach of confidence）来保护隐私，而保密义务的产生则依据先存关系（pre-existing relationship）来评断。进入信息社会之中，个人信息的流通和共享成为常态，信息因而“溢出”传统领域，进入非本社区的“陌生人关系”中。在个人生活无法避免地被记录并有可能展示的现实情况下，只有消除对个人“信息化形象”被他人操控的疑虑和恐慌，保持信息化人格与其自身的一致性而不被扭曲，才能有自尊并受到他人尊重地生存与生活。人格尊严和人格自由，由此成为隐私与个人信息的价值公约数。

　　尽管如此，两者在规范目的、保护原则、权能范围和侵权责任承担等方面迥然有异，在我国法律明确区分隐私权和个人信息保护的背景下，应避免机械的、僵化的划分标准，导致一个概念对另一个概念的实际侵蚀，重回“一元化”体系的窠臼。一方面，大量个人信息蕴含个人自主、社会交往、公共利益价值上的交融，如果把所有与公共事务无关的私人领域信息都纳入隐私范畴，不利于正常的信息利用与流动，因此应对个人信息进行相对合理的层级划分，进而在信息收集、存储、使用、加工、传输、提供、公开等方面形成相区别的技术安全规范、处理规范等。而另一方面，也必须正视大量信息“人格化”带来的隐私侵权问题。例如，虽然位置信息可以带来出行服务的便利，看似与人格尊严并无直接关联，但行踪轨迹的收集就可能构成对私密生活的窥探；再如，网页浏览记录、购物记录等可能带来更便捷精准的服务，但精准营销亦可能带来歧视性待遇及生活安宁的侵扰。为此，我们有必要深入《民法典》的相关条文之中，用解释论的工具剖析私密信息的边界。　　

　　2019年8月《民法典》三审稿在隐私权的界定上特别增加“自然人不愿为他人知晓”的描述，以强调权利主体意愿的重要性，这意味着，一旦自然人没有了让其保持隐秘的意愿，即使其客观上仍然处于隐秘状态，也不属于私密信息。在司法实践中，对当事人意愿的探知，可以采取两种进路：一是从当事人外部行为，作出具体判断；二是从社会一般合理认知标准，作出抽象判断。

　　1.“不愿为他人知晓”的具体判断

　　一个人主观内心的意愿，终究必须透过外在的行为显现出来才能被他人知悉。正如美国Harlan大法官在著名的Katz v. United States案的协同意见书中所指出的：“暴露给其他人目光所及的物品、活动或谈话，是不受保护的，因为没有一个要保护的意图被表现出来。”基于此，当判断一项信息是否属于私密信息时，我们首先需要明确：当事人是否付出了将之保密的努力？是否已利用相当环境或采取适当设备维护信息的隐秘性？

　　随着社会的数字化转型，个人生活被以前所未有的维度和样态记载，人们对隐私的主观期待也发生了剧烈分化。例如，在具有社交功能的应用软件中，有的用户厌烦“可能认识的人”的推送，有的用户则欢迎基于此迅速建立的另一层的社交关系，而在购物应用软件中，有用户反感基于用户购物习惯的产品推送，有用户则享受该推送带来的便捷。就以文首提到的阅读信息为例，一些用户可能因为读书信息上承载着其习惯、偏好、品位等不愿让他人获知此信息，而一些文化领域的名人可以通过公开及分享自己的阅读兴趣而获得商业利益，而这同时也成为相关互联网产品吸引用户关注的方式。因此，如果当事人试图使用个人信息用于社会交往和经济活动，主动地建立“数字人设”，则表明其知道相关信息将暴露在大众面前，该等信息自然不再属于“私密信息”。相反，若当事人对于某应用有了明确或可推定的隐私期待宣誓，如将具体信息导入网盘或文档应用中的“私密文件夹”，则在互联网上形成了一种类似“私密空间”区域，或对某一具体信息设定为“仅自己可见”，则此类信息应纳入具体场景中的私密信息范畴。

　　不过，这种具体判断的路径也存在不足。首先，在技术和信息不对等的背景下，个体可能无法确切知晓何种个人信息被处理，也无法预见个人信息处理是否造成以及造成何种损害，从而无法做出有意义的回应。其次，在很多情形下，我们自行假设不会任意遭到他人侵害，因此可能并未通过行为积极展现自己的意志。最后，这一路径完全诉诸隐私诉求者的个人意愿，将影响权利的确定性。为此，在具体判断不足以充分认定“当事人的主观要件”之时，我们还可经由客观化路径予以判断。

　　2.“不愿为他人知晓”的抽象判断

　　从具体向抽象的转变，意味着当个人不但没有充分显现其对所主张之隐私有真正期待的情形下，我们可以从社会认定的客观合理之期待推知“不愿为他人知晓”的范围。不过，这一方法与美国“隐私合理期待（Reasonable Expectation of Privacy）”理论有所不同。在美国，法院将审查重点放在社会客观隐私期待，而非个体主观期待，甚至有学者指出：“一个人的主观隐私期待，对于增修条文第4条权利的主张，不生任何正面或负面的影响。”相反，本文则主张，作为一种“主权主义权利”，隐私边界在根本上由个体所塑造，抽象判断仅有“推定”的效力，即它允许反驳，如果有个体已明确揭示其意愿（无论是保守隐私还是公开隐私），则该抽象判断应当被推翻。

　　（1）核心私密信息

　　“不愿为他人知晓”的抽象判断固然要将我国文化传统、社会普遍价值观、法律传统、风俗习惯等作为考量因素，但从法律的确定性和可预见性出发，我们首先可以将已形成社会共识、居于核心地位的“私密信息”予以明确。在此意义上的私密信息植根于隐私的本质，即人格尊严，即保障个人不被贬抑为物或客体、不被视为手段或可代替之数值，此为德国法上杜立希物体公式的要求，也是隐私权作为防御性权利的当然之意。基于此，我们不妨借鉴德国法“领域理论”（Sphärentheorie），以辨明“核心私密信息”。在领域理论下，个人人格开展于不同的领域，从内到外分为隐私领域（Intimsphäre）、私人领域（Privatsphäre）与社会领域（Sozialsphäre）。所谓“隐私领域”，即关涉个人内在情感与思想世界，尤其是性生活的领域。所谓“私人领域”，即一般的居家或家庭生活，其涵盖私人对话、信件或日记等。由于此领域的活动与外界产生一定的程度接触，因此并不受绝对保护，而是必须视该活动向外公开的程度而定。所谓“社会领域”，即个人的社会关联，尤其是关于其职业及一般公开的活动，在此领域中，个人因展现出的人格特性则受到最少保护。

　　根据上述，“核心私密信息”系“隐私领域”中与人格尊严存在重要关联、一经泄露即能引起信息主体人格尊严重大损害的信息，其绝对禁止受到任何来自公权力或他人之侵害。就此而言，它指向了可能引发“歧视”的“个人敏感信息”。“非歧视”是人权保护的支柱，歧视剥夺了个人本期望获得的利益、机会和评价，并在根本上否定和贬损了人的内在价值。因此，联合国《计算机处理的个人数据文档规范指南（Guidelines for the Regulation of Computerized Personal Data Flies）》第5条特别规定个人敏感信息的使用将导致歧视和差别化待遇的风险。就此而言，种族、民族、政治观点、宗教信仰、性生活、性取向、生物特征信息、健康医疗信息、未公开的违法犯罪记录等均属于核心私密信息。对比我国《个人信息保护法（草案）》第29条，不难发现，敏感个人信息除了引发歧视的信息外，还包括了可能导致人身、财产安全受到严重危害的信息，如金融账户、个人行踪信息。这是因为，倘若说隐私权主要体现精神利益，那么个人信息则兼具人格利益与财产利益。一些与人格尊严关系较远、与财产属性或其他权利较近的信息，如网络身份标识信息（系统账号、IP地址、口令等）、电话号码、财产信息等信息由此从核心私密信息中剥离。然而，这并不意味着这些信息都不构成私密信息，也要结合其他信息并在具体情境在下文予以判断。

　　（2）场景性私密信息

　　针对核心私密信息以外暨“私人领域”和“社会领域”中的信息是否属于私密信息，我们无法做出非黑即白的绝对划定，而应诉诸信息的私人性或社会性、个人对信息的支配程度以及与人格权相冲突的其他权益等因素，开展权衡式思考。在根本上，作为理性人，权利主体在作出保密还是公开信息的决定时，无法离开风险考量。故此，客观损害风险标准，由此成为推断个体意愿的关键。这种统合性的进路，意味着跳脱出“信息内容”，转向“处理行为”，从处理信息的类型、处理信息的场合、处理信息的后果三个因素，在特定场景下予以判断。遵循动态系统论，以上三种因素中的任一因素均不具有决定性影响力，在不同的个案中，法院应交互分析以上三者。还需要指出，这并不意味着要课以原告就事实上损害的证明责任。事实上，若具体信息被划入私密信息范畴，不必表现为实在的损害结果，只要隐私被侵害的事实存在，即具备侵害隐私权的损害事实要件，就构成侵权责任。

　　其一，处理信息的类型。处在动态、模糊地带的非核心私密信息，可以“人格利益距离”及“公共利益距离”来判断。在美国的一系列判例中，法院指出：处理一个人的声音物理特征、指纹、笔迹等并不构成侵害隐私，因为仅凭这些信息并不会揭示个人私生活与想法。再以地理位置信息为例，虽然其可能构成隐私信息，但一般情况下地理位置信息与公共交通、公共安全强相关，所以在具体判断时，要辨明该信息使用确给信息主体带来的人格损害，审慎作出以隐私侵权保护还是以个人信息权益保护即可的结论。此外，如同“马赛克理论”（mosaic thoery）所揭示的，那些看起来琐碎的微不足道的信息，当聚在一起时会呈现出一个宽广视角。哥伦比亚特区巡回上诉法院在援引该理论后指出：即使个人对于个别零碎的信息欠缺合理隐私期待，但大量资讯的累积仍旧会对个人的隐私造成相当危害。在文首所举的例子中，阅读记录、观影记录、购物记录以及网页浏览记录的组合，可以彰显一个人的兴趣、爱好、审美情趣、文化修养，可能勾勒刻画出一个人的人格特点即“数字人格”，在特定的使用方式下，则可能给信息主体带来困扰、不安、尴尬甚至羞耻感等。必须说明，在此情形下，尚待一并考虑信息的数量和使用的目的。

　　其二，处理信息的场合。在传统分析中，信息处理是发生在家庭或是旷野，还是公共场所具有重大意义。但在互联网的环境下，相关场合的性质分析被互联网产品的功能定位分析所取代。互联网产品的多样态、丰富性以及用户的广泛性和差异性，导致功能定位的多元化。需要强调的是，这里指的功能定位，是可被一般用户合理期待的功能定位。比如，同样是电子阅读应用，一般性的阅读应用并不当然包含社交功能，而读书记录与人格利益较近，则若未明示征得用户同意不应公开其读书记录；但若明确定位为分享育儿、教育心得的阅读应用，则一般同意下公开书架、阅读心得等，并不违反用户隐私期待。

　　其三，处理目的和方式。对同样的信息，采取肉眼观察、物理侵入还是高科技手段获取，其效果迥异。同样，对相同的信息，处理目的不同，对个体的影响也千差万别。例如，对于出租车的GPS定位信息，当其用于提供近叫车服务系统或车辆被盗找寻功能时，无关个人权益，但当其用于追踪司机行踪，监督车辆行驶路线，并评估司机工作效率时，就构成了个人信息处理。再如，购物网站汇集消费者购买各类宗教图书的数据，若目的或使用方式为揭露消费者的宗教信仰偏好，则可能构成隐私侵权；若目的或使用方式只在收集并统计各类购书比例，则并无实质后果。　　

　　私密信息除具备主观要件外，还应具有“私密性”这一客观要件。2002年的《民法典草案（第一稿）》曾经将隐私划定为“包括私人信息、私人活动和私人空间”，这事实上采取了将隐私扩大至全部私人生活领域的“一元化”理论，王利明教授亦认为范围过于宽泛而予以否定。2018年《民法典各分编（草案）》中修改为“隐私是具有私密性的私人空间、私人活动和私人信息等”，而在《民法典》最终版中完全删除了“私人”，而强调了“私密”。据此而言，“私密”固然表明“私人”，但更强调“隐秘”。我们可以从两方面把握“隐秘”的含义：一方面，“隐秘”指该信息处在不为人知的隐秘状态；另一方面，“隐秘”指该信息具有不愿为人知的属性。还需要说明的是，在司法实践中，存在特定网络空间构成《民法典》1033条第（二）项下“私密空间”，进而将转化性适用“私密空间”的主张。我们不同意这一观点。作为物理、心理和社会等诸多层次相互叠加而构成的复杂形态，“网络空间”固然可以成为对互联网的形象描述，但究其实质，互联网是一个无界空间。不仅如此，《民法典》下“私密空间”指向了住宅、宾馆房间等物理空间，侵权行为指向“进入、拍摄、窥视”等物理侵入活动，与网络空间格格不入。退一步而言，在网络空间内的隐私也多以电子方式记录的形式呈现，即以信息形式呈现，“私密信息”足以涵盖所谓“网络私密空间”所保护的法益，不宜使用“私密空间”概念，避免重复和交叉引起的混乱。

　　1.信息处于隐秘状态

　　隐私以“隐秘”为前提，一旦相关信息在事实上处于公开的状态，那么就不再属于隐私。正因如此，美国《加州消费者隐私法（CCPA）》明确规定：其不保护联邦、州或地方政府记录中合法地向一般公众提供的可公开获得的信息。相反，已经公开的个人信息依然属于个人信息，甚至公开透明构成了个人信息处理的要求。我国《民法典》1036条将“合理处理该自然人自行公开的或者其他已经合法公开的信息，但是该自然人明确拒绝或者处理该信息侵害其重大利益的除外”作为不承担民事责任的事由。《个人信息保护法（草案）》第28条沿袭上述规定，同时在三个层面增强了公开信息处理的保护：用途相符、用途不明时的合理谨慎处理以及重大影响时的知情同意。

　　不过，在隐秘信息和公开信息之间，存在着与特定人共享信息的中间状态。传统上，美国法院坚持“第三人理论”，认为当事人既然已经同意将存款交易记录、电话拨号记录、信用卡账单、电量记录、汽车旅馆登记记录、雇佣记录等信息，提供给电信业者或商业组织等第三方，即丧失合理隐私期待。但是，正如人们所指出的，形成于20世纪70年代的第三人理论与数字社会已经脱节，其所依赖的个人信息和第三方信息、内容信息与非内容信息等二元对立的隐私范式，在当下情境根本无从适用。2018年，美国联邦最高法院在Carpenter v. United States案中，松动了“第三人理论”的若干解释，认定在政府常规性、持续性、累加堆叠和追溯特质的监控下，手机定位信息不适用第三人理论。回到我国，我们认为，只要个人信息处于未被不特定或多数人获知的状态，就符合“隐秘性”要求。

　　2.信息具有隐秘的属性

　　一项信息即便少有人知，也不必然属于隐私，比如姓名。其关键在于：该等信息在性质上是否为了社会交往、经济活动、政府管制之目的。在United States v. Miller案中，法院认为：银行支票不是秘密的通讯，而是在商业交易过程中可转让的票据。政府所调取的文件，包括财务报表及存款单，只涉及自愿传递给银行的，且在日常业务过程中暴露给员工知道的信息，不构成“隐私”。类似的，在New York v. Class案中，法院认为，车辆识别号码在政府管理汽车中扮演重要的角色，且联邦政府致力于确保车辆识别号码被安置在目光可及的地方，因此，对于车辆识别号码欠缺合理隐私期待。总之，当个人信息固有的功能系于信息流通之时，其自然地丧失了隐私的保护。　

　　由于隐私权和个人信息保护存在价值公约数，两者的区分显得困难重重。在《民法典》确立隐私和个人信息二元化的背景下，我们有必要妥善划定“私密信息”的边界。相关解释论的研究表明：与客观影响为主旨的个人敏感信息不同，私密信息应统合主观要件与客观要件，兼具核心外延和场景内容。面对这一不确定的法律概念，司法应特别注重在裁判中的谦抑性，避免僵化的标准设定对法律逻辑、产业发展、社会交往和公共利益的不良影响。放眼未来，如何将《民法典》与正在制定的《个人信息保护法》以及相关国家标准、行业标准予以衔接，将成为隐私和个人信息保护的实践难题，我们也期待立法、监管、司法、市场各自充分并适当发挥其作用，以在个人信息保护与利用中达至更好的衡平与共治。