保障个人生活不受外界侵扰是个人尊严的重要部分,对这种权益的保护最初由两位美国学者在《论隐私权》的文章中提出,其被描述为“独处的权利(the right to be alone)”,后来在美国的司法实践中,“隐私权”的外延不断扩大,涵盖了个人生活自治、物理性隐私、信息性隐私等众多方面。
在我国,1987年起施行的《民法通则》没有明确提出“隐私权”的概念,对隐私权的保护主要通过对名誉权的解释来实现;2009年的《侵权责任法》明确了对隐私权保护;后来的《民法总则》在第110条规定:隐私权是“民事主体人格权”的一部分,而在第111条规定了对个人信息的保护;最终在2021年实行的《民法典》中,隐私权和个人信息保护被同时写入“人格权编”,其中“隐私权”作为一种权利存在,而“个人信息保护”则被规定为一种“权益”。从中我们可以看出两个趋势:第一,随着现代社会电子信息技术的发展以及互联网的进一步应用,个人信息的保护越来越受到重视;第二,我国对二者的保护实行双轨制,对“隐私权”和“个人信息保护”进行区分。
那么问题来了,对于二者边界模糊的部分要如何进行区分和辨别?《民法典》第1034条第二款中规定“个人信息中的私密信息,适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定”,何为“私密信息”?在隐私权和个人信息保护的适用方面,“权利”与“权益”又有什么具体的差异?
一、“私密信息”的概念理解
个人信息中属于私密信息的部分适用对隐私权保护的规定,也就是说该部分“私密信息”具有隐私的属性,与普通个人信息(敏感个人信息、一般个人信息)相区别。从这一角度来看,重点在于阐释何为“隐私”。
第一,“隐”意为“不为他人知晓”,在主观上要具备“不愿为他人知晓”的心理意愿,在客观上要有表现此种主观追求的外在表象;“私”即“私人”,重点在于关涉私人利益,与公共利益和公众福祉无关;以上任何一点不具备都不构成所谓的“隐私”。具体来说,当事人应在其行为中表现某种保护此种“私密信息”的努力以使其避免在公共目光之下,Katz v. United States案中Harlan大法官指出:“暴露给其他人目光所及的物品、活动或谈话,是不受保护的,因为没有一个要保护的意图被表现出来。”对此种情形的判断需要综合考虑多种因素,例如活动、谈话发生的对象、情景、环境等,例如,“场景化隐私理论”认为,因为信息的交往都发生在给定的场景中,因而判断信息是否为隐私以及隐私是否受到破坏的标准在于场景的构成、变化以及场景是否受到破坏。再如,“信息分享的动机理论”将重点放在了“信任场景(context)”,该理论认为隐私的本质是信任,破坏行为人的此种信任即侵害了隐私权。在以上的理论中,即使行为人将其信息小范围、有选择性的公开给第三方,该信息仍然可能构成私密信息。
第二,从“隐私权”和“个人信息保护”的本质和保护对象的角度来切入,隐私权的保护更偏重于人格利益,强调人个人尊严和人格价值,其法理基础最早可追溯至罗马法,带有“基础人权”的特点;而个人信息的保护是随着信息社会和电子技术的发展而愈加凸显,近几十年逐步受到重视,虽然其亦带有某种“人格利益”的属性,但更为突出的是经济价值,即个人信息的侵害方往往能够通过不法利用个人信息获取某种经济利益,最为典型的问题是当今经济活动中对于“大数据”的利用。
二、“权利”与“权益”视角下规则具体适用的区分
《民法典》第990条第一款:“人格权是民事主体享有的生命权、身体权......荣誉权、隐私权的权利”,第二款“除前款规定的人格权外,自然人享有基于人身自由、人格尊严产生的其他人格权益”;《民法典》在表述上做出此种选择意在将个人信息的保护限制在“权益”的层面,与“权利”相区分,而对权利的保护应当高于权益。“对于权利的保护,通常按照一般的侵权规则来进行,但是利益的保护是有限制的,以防止利益保护过于宽泛而影响他人的行为自由”,一方面这种考虑是为第1034条隐私权规则的优先适用提供理论基础;另一方面,也可以更好地发挥个人信息所具备的经济价值。因此,关于具体规则适用问题讨论的一个焦点在于,对于隐私权这一“权利”的某些具体保护规则能否同样适用于个人信息保护这一“权益”。
首先,《民法典》第995条规定了“人格保护请求权”,人格权利受到侵害的,受害人可要求行为人承担停止侵害、排除妨碍、消除危险、消除影响、恢复名誉、赔礼道歉的民事责任;第997条规定了关于人格权的诉前禁令,实质上为一种非诉程序,即“有证据证明行为人正在实施或即将实施侵害其人格权的违法行为,不及时制止将使其合法权益受到难以弥补的损害的,有权向人民法院申请责令行为人停止有关行为的措施”,该两个条款的适用的前提条件都限定在“人格权”,有学者认为根据此种规定,受害人不能够以个人信息受保护为基础提出“人格保护请求权”或申请非诉程序,但也有观点提出此处可做扩大解释。王利明教授认为,“不及时制止将使其合法权益受到难以弥补的损害的”表述,也说明该条致力于保护的是包括人格权益在内的各种人格权,也包括个人信息权益;在相关规则不明确时,除了法律明确规定不宜适用某一种权益的规则之外,应当统一适用人格权编的一般性保护规则。
有学者提出,隐私权的优先保护原则可能在适用中产生某种矛盾,即被害人的利益可能在《个人信息保护法》下得到更充分的救济,却因优先适用隐私权的保护原则而使这种救济受到损害。较为明显的一点是《个人信息保护法》的规定更为完备且详尽,且隐私权的侵权认定适用过错原则,而对个人信息保护的侵权适用过错推定原则,这使得对后者的认定更加容易。
在此,笔者认为需要考虑的主要有两点。首先,隐私权与个人信息保护的性质不同,如上文所述,前者强调个人尊严的人格利益而后者侧重经济利益,个人信息保护的侵权人在很大程度上是法人组织的对不特定对象的侵权,考虑到侵权人与被侵权人之间寻求法律救济的实力差距,其适用过错推定原则更加合理;而对一不法行为的处置是否合理的判断不仅仅是直观比较经济上的法律后果,更要考虑行为性质,这也是法理的基本要求。其次,既然对权利的保护高于权益,那么在认定对二者的侵权时,对权利侵权的认定也应当比权益侵权的认定采取更为谨慎的态度和更高的证明标准,这对于行为人来说也更为公平。
总体而言,隐私权和个人信息保护具有天然的重合部分,各国立法态度也各有不同,我国的立法发展和《民法典》出台明确了我们采用双轨制的方法,这就需要对两者在法律适用和法律后果上做出更为明显的区分,这也有待在司法实践中的进一步发展。