倪蕴帷

(南京大学法学院,江苏南京210007)

隐私权自诞生以来，其内涵与边界素有争议。在受到信息自决权的影响后，隐私权逐渐被认为包含了“私人独处”与“信息的自我控制”之双重意旨。①宮下紘,プライバシー·個人情報保護の新世代,駿河台法学第25巻1号,2011年,111頁。然而，不论隐私还是个人信息保护，都被视为公开价值的对立面，②Melville B.Nimmer,The Right of Publicity,19 Law and Contemporary Problems,1954,203～223.体现了个人对其私人生活的自主决定。③参见王利明：《论个人信息权的法律保护——以个人信息权与隐私权的界分为中心》,《现代法学》2013年第4期。如此“公开—私密”的二元划分，使隐私权区别于广泛的社会利益，以一种纯粹意义上个人利益的形式存在，即个人对私领域的自主权利。④参见王泽鉴：《人格权法》,北京大学出版社2014年版,第208页。即便将其看作“信息的自我控制权”或“自我决定权”，对隐私的侵害，必然是已经侵入了私人领域才会发生。⑤参见[日]五十岚清：《人格权法》,铃木贤、葛敏译,北京大学出版社2009年版,第160页。因而隐私应当被严格限制在独处领域及秘密状态之下。⑥参见[西]布兰卡·R·瑞兹：《电子通信中的隐私权——欧洲法与美国法的比较视角》,林喜芬等译,上海交通大学出版社2017年版,第50页。按照这样的逻辑推演下去，个人依其自由意志将私人事务暴露于外部者，就当然不继续对此拥有隐私利益。这便是美国法在Smith v.Maryland案中确立的第三方原则(Third Party Doctrine)的由来。按照该原则，自愿泄露给第三方的个人资料或信息被认为丧失了隐私的合理期待，不再享有美国宪法第四修正案的保护。

然而，互联网时代社交网络、大数据、云计算等应用的不断扩张，让私人与公共空间的界限愈加模糊。传播仪式观的消解，使私人领域面临被挤压和侵蚀的危险，“隐私过时”、“隐私已死”的呼声从未停歇。网络平台是否为第三方，网络数据的利用又是否具有公共性，这需要考量信息价值与个人保护之间的衡平。在阅读、转发、评论、分享的浪潮之下，不仅埋藏着非理性的群体性狂欢，还意味着经典公共理论的崩塌与割裂。从美国法中隐私理论的演进历程来看，主流观点已逐渐抛弃以单一要素作为隐私的完整定义，转向了一种基于情境的多元框架。隐私权以人性尊严为锚点，互联网这一新兴传播媒介，却有可能从根本上改变人际联结方式和社会组织形态。这种基于信息时代的情境异化，将对传统隐私学说带来怎样的冲击?代表了公私二分逻辑延伸的第三方原则又应当如何回应?笔者于本文中将从美国法中的第三方原则出发，通过体系内的解释路径对该问题进行解构，最终走向Helen Nissenbaum提出的情境脉络完整性理论(Contextual Integrity)，以动态的、场景导向的方式重新构建数字经济帷幕下隐私权的权利属性及其映射范围。

一、第三方原则的缘起与现代迷思

美国法中的隐私规则，由对美国宪法第四修正案的解读与阐释而来。在诞生之初，其主要是为了对抗公权力的监察和侵入威胁。随着通信技术的发展，这些规则已越来越多地转向了保障基本权利不受私人干涉的面向。隐私的定义在学理上并未形成统一观点，但大多数理论都以私人属性为共同要素，第三方原则便是基于这种公私对立之下的朴素推论。所谓第三方原则，即自愿泄露私人事务于第三方就不再享有隐私保护的思想，其最初见于20世纪中期的一系列秘密探员搜查案件。⑦On Lee v.United States,343 U.S.747(1952)；Lopez v.United States,373 U.S.427(1963)；Lewis v.United States,385 U.S.206(1966)；Hoffa v.United States,385 U.S.293(1966).在Lewis和Hoffa案中，法院认为通过线人诱使被告吐露真言，即便采用了窃听器进行记录，亦不构成对通信秘密的侵害。因为“被告错误地相信第三方不会揭露其行为”的想法，不应受到美国宪法第四修正案的保护。在White案中，法院将上述思想与Katz案确立的隐私保护一般规则相融合。⑧此 即美国联邦最高法院在Katz v.United States案中确立的隐私合理期待规则,包括个人对其主张的隐私应具有真正的主观期待以及该期待必须是社会认可的客观合理的期待两方面的内涵。这一裁判依据随后被规范的表述为，个人应当承担交谈者将对话内容告知他人的风险，因而他们就不再对该对话享有隐私的合理期待(the reasonable expectation of privacy)。⑨White v.United States,401 U.S.745(1971).

White案确立的裁判规则主要限于对话记录的场合，因而缺乏对第三方的一般性解释，它的适用空间就较为狭窄。自Couch案起，揭露对话内容被扩大化解释，第三方原则随后转向了更为广泛的商业记录案件类型。在Couch案中，被告将税务文件交给了会计师，这意味着“赋予会计师揭露其收入与税负信息的可能性”，当事人对该信息的隐私期待就会受到大幅减损。⑩Couch v.United States,409 U.S.335(1973).在Miller案中，由于涉嫌违规开办威士忌酒厂，被告所涉银行被要求出具与之相关的全部商业记录。“储户在银行办理相关业务的同时，也应当承担这些事务被公开的风险。”Miller v.United States,425 U.S.442(1976).在Smith案中，法院将这一原理应用至拨号记录器取得的个人信息上，第三方原则随之成为确定隐私权边界的一般性规则。Smith v.Maryland,442 U.S.735(1979).拨号记录器是一种安装在电话公司并记录特定通话状况的仪器，用以监控和确定被告的不法行为。通过类比前述判例，法院认为用户对其电话号码不具备主客观上的隐私期待。因为自愿将号码信息暴露于电话公司的日常经营活动中，用户就丧失了与之相关的隐私利益，并应承担该信息被进一步暴露的风险。Smith案的扩大解释，让第三方原则不仅从对话记录拓展至私人事务，而且延伸至与人类行为相对的自动化设备之上。这使网络时代不断涌现的第三方介质也被纳入了适用范围，信息流转与隐私保护之间的矛盾便愈加不可调和。

随着Smith案的扩大解释，公私二分的隐私概念在第三方原则的路径上继续展开，并被应用至一系列互联网情境下。在Forrester案中，美国最高法院第九巡回法庭认为用户对其IP和Email地址不具备隐私的合理期待，因为此类地址不过是电话号码在网络时代的等价物。网络服务商所使用的设备与Smith案中的拨号记录器并无本质的不同，互联网用户“应当知晓这些信息将借由第三方设备进行传播”。Forrester v.United States,512 F.3d 509(2008).在Hambrick案等一系列案件中，当事人使用网络供应商的联网服务，被视为向其雇员自愿揭露了相关的IP地址与用户信息，隐私利益也就因此不复存在。Hambrick v.United States,No.99-4793(2000)；Freedman v.Am.Online,Inc.,412 F.Supp.2d 174(2005)；Perrine v.United States,518 F.3d 1196(2008).顺着这一逻辑推导下去，法院甚至得出了电子邮件的内容部分亦不受保护的结论，因为电子邮件“需经由第三方计算机发送”，并以“物理的方式存储于网络供应商的服务器之中”。Rehberg v.Paulk,598 F.3d 1268(2010).在使用Gmail服务时，由于谷歌公司的隐私政策保留了特殊情形下公布用户信息的权利，这就意味着用户自愿将邮件内容置于第三方的控制，因而自愿承担进一步暴露的风险。In re United States,665 F.Supp.2d 1210(2009).第三方原则在自动化设备上的扩张恰逢网络时代传播方式的巨大变革，使其应用范围远远超越了传统场景。于是，任何暴露于第三方视线内的私密行为都被剥除了隐私期待的可能性，这引发了学界及实务界的激烈争论。

隐私一词通常具有多义性，如果仅将其视为保护私人领域和私人价值的法学概念，那么第三方原则便是按照如此观念推导下的必然产物。它的成立至少包含了对隐私的三点假设。第一，公共领域无隐私，隐私的内涵只存在于私人领域和私人控制之下。第二，无论相关场景如何变化，隐私和公共性的界限都可以通过私人领域与公共领域的抽象判断加以分辨。第三，一旦个人的信息或资讯依其自由意志流入公共领域，隐私价值便不复存在。传统理论和裁判实践很大程度上依赖这些假设来确定隐私概念的边界，并与公共利益相区分。例如，日本最高法院将隐私归纳为关于私生活(私事性)，未公开的信息(非公知性)以及因个人原因不愿公开等三个要件。岡村久道,個人情報保護法の基礎知識,日本経済新聞社,2010年,102頁。然而，如果隐私只存在于完全的私密情境中，就无法解释为何谷歌街景服务会引起人们对隐私的担忧。Kanako Kawaguchi&Yukiko Kawaguchi,What Does Google Street View Bring about?Privacy,Discomfort and The Problem of Paradoxical Others,4 Contemporary and Applied Philosophy,2012,19-34.在现代社会，对隐私的侵害往往不是发生在私密场所，而是以监视、信息挖掘、记录保管、数据泄露等形式在公共领域进行的。Helen Nissenbaum,Protecting Privacy in an Information Age:The Problems of Privacy in Public,17 Law and Philosophy,1998,559-596.保护隐私并不等同于阻断信息的流动，更不是将公共空间作为对立面，追求纯粹个人化的隐私，其结果只能是无隐私。Joshua A.T.Fairfield&Christoph Engel,Privacy as a Public Good,65 Duke L.J,2015,385-456.传统的隐私定义未必拥有不容置疑的正当性，这从第三方原则的反对观点中也能略窥一二。

对第三方原则的批评分为两类，即教义上的质疑和效果上的检讨。Orin S.Kerr,The Case for the Third-Party Doctrine,107 Mich.L.Rev,2009,570.对第三方原则的第一类批判来自教义上的质疑，其认为，第三方原则建立在错误的隐私概念之上，个人往往对银行账户、电话信息以及其他第三方记录享有隐私期待。Christopher Slobogin&Joseph E.Schumacher,Reasonable Expectations of Privacy and Autonomy in Fourth Amendment Cases,42 Duke L.J,1993,727-732.因为隐私权并不是一个全有或全无的开关(on/off switch)，将暴露于一人等同于暴露于全体公共领域会忽略很多介于两者之间的利益形态。正如Richard Posner所言，“资讯隐私并不意味着不与任何人分享资讯”，非公即私的二元区分是将独处意义上的隐私与绝对的私密划等号。Richard A.Posner,Not A Suicide Pact:The Constitution in a Time of National Emergency,Oxford University Press,2006,140.在这种观念中，隐私不过是精心藏匿于衣柜里的恐怖头骨，是一种一经暴露就声销迹灭的权利构造。第三方原则正是按照如此逻辑延伸下去的错误推论，它把个人主义式的隐私定义作为前提，而忽略了隐私权在现代社会中所具有的流动性质和多重维度。Daniel J.Solove,Digital Dossiers and the Dissipation of Fourth Amendment Privacy,75 S.Cal.L.Rev,2002,1086-1137.对第三方原则的第二类批判来自效果上的检讨，其认为第三方原则过度收缩了隐私边界，会导致政府与其他权利侵害者获得更多肆意的空间。特别是在互联网的情境下，资讯的传播、存储都要借由第三方进行，该原则的继续适用将使个人资料被不受限制地收集利用。许多学者据此指出，为维持足够的网络隐私保护，第三方原则应当被推翻或受到严格的限缩解释。Patricia L.Bellia,Surveillance Law Through Cyberlaw's Lens,72 Geo.Wash.L.Rev,2004,1375-1403.

然而，根据场景的差别予以区分保护并非没有比较法上的支持。在德国法中，早期的领域理论(Sphrentheorie)延续了公私二分的思想，私领域被进一步细化为隐秘领域、秘密领域和个人领域，依其距离核心部分的远近来确定保护程度。参见前注④,王泽鉴书,第198页。第三方原则同样试图在公开与非公开的二元对立之间划出一道清晰界限，相比类型化的做法，它则是以风险负担为由将信息扩散的可能性视作实然的状态。不过，对于隐私保护而言，这些判断标准往往与实践需求是相背离的，因为实务中很难以一种抽象的方式对不同领域进行区分。特别是互联网情境下，信息的爆炸式增长及传播方式的改变，使传统领域的边界愈加模糊。“私人生活的本质，在于它不仅穿透了公私二分法，更在各个细分领域间伸缩和移动。”Helen Nissenbaum,Privacy as Contextual Integrity,79 Wash.L.Rev,2004,114.还有，第三方原则将公共领域无隐私作为逻辑前提，即便能够严格分割公私场景，隐私范围是否据此确定不无疑问。如果隐私权只存在于纯粹的私密空间，那么一个人想保有它就只能躲在自己的家里。Daniel J.Solove,The Future of Reputation:Gossip,Rumor,and Privacy on the Internet,Yale University Press,2008,161.新兴技术的增长不仅影响着资讯流动规范，还使二元对立的隐私观念日趋萎缩，隐私保护也因而流于形式。鉴于以上困难，领域理论最终被德国联邦法院所扬弃，学界逐渐转向了强调控制功能的信息自决权等学说。

相对于二分法下复杂的利益衡量、个案分析与违法性判断，信息自决权的理论回应却无比简洁。在其倡导者看来，没有不重要的个人信息，任何违背当事人意志进行的资讯收集活动都侵犯了他的信息自主和人格利益，隐私范围也就不再成为难题。美国法中的隐私控制论(Privacy as Control)Alan F.Westin,Privacy and Freedom,New York:Atheneum,1967,7.，以及《欧洲人权公约》都一定程度上体现了这种思想，个人信息保护逐步取代隐私判断成为现代立法的选择。然而，就隐私保护客体而言，这种判断上的极端简化并没有足够的说服力，人的社会性决定了对个人信息无边际的支配根本不能存在。因为没有边界的权利意味着没有限制的自由，刻意制造个人信息的稀缺性无疑于禁锢思想，阻碍交流，参见杨芳：《个人信息自决权理论及其检讨——兼论个人信息保护法之保护客体》,《比较法研究》2015年第6期。是将对自己信息的支配上升为对他人行为的支配。个人信息还具有一定的公共属性和社会功能，无法被排他保护所涵盖。参见高富平：《个人信息保护：从个人控制到社会控制》,《法学研究》2018年第3期。尽管信息自决权理论在德国和日本的支持者众多，但就世界范围来看，将隐私视为自我信息控制权的做法未必是主流。阪本昌成,プライバシー保護および個人情報保護をめぐる日米の法理論および判例理論——その顕著な違い,2007年日中公法学シンポジウム報告集,2007年10月。自决权理论在实践效果上同样力有未逮，面对冗长繁杂的隐私权政策，资讯主体往往难以在充分了解的基础上做出有意义的决定。Jay P.Kesan,Carol M.Hayes,Masooda N.Bashir,A Comprehensive Empirical Study of Data Privacy,Trust,and Consumer Autonomy,91 Ind.L.J,2016,287.个人信息利用方式的事前确认，与信息价值的后续挖掘相悖，使“目的限定”原则沦为一纸空文。点击同意作为服务对价，又在实质上架空了用户的选择权，“知情同意”框架的现实效用就会受到大幅削弱。

从二分法到信息自决权的学说演进，与其说是一种理论上的进化，不如说是逃避。它以人的资讯自主为由，淡化了探寻隐私边界的需要，使隐私究竟是什么这一根本疑问依旧悬而未决。一方面，这些理论无法解释如下矛盾：“为何人们在强调隐私保护的同时又在实践中轻易放弃个人信息。”Helen Nissenbaum,Privacy in Context:Technology,Policy,and the Integrity of Social Life,Stanford University Press,2010,104-108.另一方面，它们也难以处理不同价值序列之间的冲突和龃龉。Helen Nissenbaum,Privacy in Context:Technology,Policy,and the Integrity of Social Life,Stanford University Press,2010,108-113.这都导致以用户意志为核心的传统构架不仅救济效率低下，而且阻碍了数据应用与信息流通。归根结底，重要的不是“私人空间”与“公共领域”的差异，或“个人信息”与“公共信息”的区分，而是信息价值能否按照特定社会规范在不同情境中被合理使用。因为信息不是属于个人，而是关于个人，隐私的轮廓也应当由其社会性所勾勒(socially varied)。在信息流动愈发复杂化的今天，人们不能简单地将适当性判断交给用户与格式条款，而应重新审视隐私权的权属范围及其外延，以实现隐私与公共性之间的平衡。对于不断变化和增长的资讯形态，第三方原则如何通过具体化解释完成自我修正?公私领域怎样通过更为细分的判断标准加以辨别?在传统体系之外，又是否存在一条动态的、场景导向的路径以实现隐私概念的重构?这些问题都值得进一步探索与思考。

二、基于信息二分的体系内解释

“新技术不一定会创造新的法学术语与原则，因为它们的基础构架往往没有根本性的改变。”Frank H.Easterbrook,Cyberspace and the Law of the Horse,U.Chi.Legal F,1996,207.隐私这一概念由来已久，它根植于人们对公私领域的朴素区分，要对其做出重大更正就必须有相当的理由。信息技术的革新在物理层次上大幅改变了资讯传播方式，但这是否意味着规范意义上的隐私价值也应随之改变，不无讨论空间。从美国法对第三方原则的演绎过程来看，绝大多数判例及学说均遵循了技术中立论(technology neutrality)的进路，即技术进步可以内化在法律规则的框架内进行阐释和解读。正如第三方原则在说理过程中所使用的一系列类比方法，隐私概念在面对新情事时首先应作体系内的思考，以探寻传统法理在新环境下的嫁接路径。按照技术中立论，互联网情境下的隐私保护程度应与现实世界相匹配，隐私法在新型场景下的应用也应当与其在传统环境下的取向相吻合。因此，体系内的解释方法，就是承认公私二分的前提下，寻求如何将隐私权对物理空间的保护合理地映射至网络空间之上。

在第三方原则的相关判例、立法和学说演进中，逐渐形成了这样的有力观点：以内容信息(content)与非内容信息(non-content)的区分取代公私判断，作为互联网场景下的具体化标准。Orin S.Kerr,Applying the Fourth Amendment to the Internet:A General Approach,62 Stan.L.Rev,2010,1017.每一个现代社会的个体都生活在共同体内，同时又拥有一定的内在空间，隐私的价值就来源于这种社会感知上的内外之别。物理空间的分野相对清晰，公共场合通常具有较低的隐私保护水平，对私人生活的侵入则将危及自主决定与人性尊严。然而，类似标准对网络空间却不能成立，互联网所具有的复杂性和异质性使其无法被简单地归于私人领域或公共领域。信息区分说认为，应当将内容信息与非内容信息作为公私对立的替代物，以实现传统隐私判断在互联网情境下的准确转译。因为非内容信息一般是关于身份、时间和方位的信息，正如同在物理世界的外部可监测和收集到的信息；内容信息则是关于私密想法、对话的信息，正如同在现实的私人空间内所产生的相关信息。Orin S.Kerr,Applying the Fourth Amendment to the Internet:A General Approach,62 Stan.L.Rev,2010,1018.与公私二分的应用障碍相比，根据信息性质的不同予以区别保护更符合网络资讯传播的特性与方式，对非内容信息的使用原则上不影响用户隐私，将内容信息暴露于第三方服务商也就不会直接抹去资讯主体的隐私期待。

内容信息与非内容信息之分源自美国最高法院在数个案件中发展而来的“信封”类比。Ex parte Jackson,96 U.S.727(1877)；Walter v.United States,447 U.S.649(1980)；Illinois v.Andreas,463 U.S.765 n.1(1983).按照该类比，信封上的资讯属于公之于众的非内容信息，而信件的内容则“完全排除了任何形式的审阅和检查”，就犹如当事人一直将其保留在自己的家里。通信网络的传播模式具有相似的构造，数据信息的流转通常需要“信封”中的地址信息和“信件”内的内容信息共同完成，惟有后者才与隐私保护客体相重叠。Orin S.Kerr,Internet Surveillance Law After the USA Patriot Act:The Big Brother That Isn't,97 NW.U.L.Rev,2003,611-614.在信息区分说的倡导者看来，内容信息和非内容信息的根本区别在于揭露实质内容的程度不同，这也是它们作为隐私标准的理由所在。对实质文本或主题的揭露程度越高，就越接近于内容信息，也就越能触及人的自我表达和内在价值，这种信息区分方式被称为“内容揭露规则”(content-revealing principle)。Matthew J.Tokson,The Content/Envelope Distinction in Internet Law,50 WM.&Mary L.Rev,2009,2135-2137.内容揭露规则使构架和背景相异的信息形态摆脱了技术语言的束缚，而置于同一规范层面进行比对，公私二分从而以信息二分的形式被嫁接至通信网络环境之中。具体判断方法可以结合确认实质内容所需要的额外信息量，以及最终揭露的信息量等因素，进行综合考量。无论信息构成如何复杂，URL、IP、Email地址或其他资讯形态之间的性质差异都能够据此确定，并被赋予不同层次的隐私保护。Matthew J.Tokson,The Content/Envelope Distinction in Internet Law,50 WM.&Mary L.Rev,2009,2151-2154.

信息二分的思想在相关隐私立法和判例之中同样有所体现。美国电子通信隐私法(Electronic Communications Privacy Act，ECPA)主要为防止私人通讯信息被不正当监听利用而制定，共分为三章。其中，Wiretap章规制的是传输中的内容信息，其责任负担远高于规制非内容信息的Pen Register章。在规定传输过程以外的存储通讯(Stored Communications Act，SCA)章节，内容信息被定义为：“关于目的要旨、实质内容或通讯内涵的信息。”U.S.C.§2703(a)-(b),2711(1).非内容信息则是关于用户名、通讯时长或方式的资讯类型。U.S.C.§2703(c)(2).有学者据此指出，对内容与非内容信息的法规保护存在本质上的不同。Susan Freiwald,Online Surveillance:Remembering the Lessons of the Wiretap Act,56 Ala.L.Rev,2004,9-48.第三方原则的系列判例中也隐含了类似的逻辑，Smith案针对的是通话记录器所采集到的电话号码，而非通话内容本身。无论资讯形式如何变化，信封信息的公开并不影响对信件内容的保护，这已逐渐成为各级法院的裁判共识。在2007年的Warshak案中，法院很大程度上依赖信息区分说作为理论依据，将Email内容排除在第三方原则的适用范围之外。通过回顾Katz案和Smith案，法院对不同通讯形态间的差别进行比较分析，进而确认了一种“基于内容信息的隐私”(content-based privacy)概念。Warshak v.United States,490 F.3d 470-474(6th Cir.2007).

其他一些互联网背景的案件也采用了相似的解释路径。在Forrester案中，法院认为“不受保护的地址信息与受保护的内容信息间存在一条明确而清晰的界限”，隐私的边界即可据此推导而出。Forrester v.United States,512 F.3d 510(2008).在一起涉及著名社交网站Twitter的案件中，法院拒绝保护用户访问网站服务所使用的IP地址及相关信息，因为对企业而言，这些信息是商业往来和服务提供过程中不可或缺的非内容信息。In re Application,830 F.Supp.2d 139(2011).信息二分的根本理由，在于分离信息中的私人属性和社会价值，使隐私和公共性尽可能处于平衡状态，这也是它与强调个人控制的信息自决权理论最大的区别所在。然而，繁芜丛杂的信息形态能否通过这种简单的二元区分确定利益归属，仍不无讨论余地。在关于如何处理移动电话生成的位置信息等问题上，美国法院的裁判产生了严重的分歧。地方法院及美国最高法院第三巡回法庭认为，位置信息关乎私人的独处利益和内在价值，远比普通信息更具揭露性。State v.Earls,70 A.3d 630(N.J.2013)；In re Application,620 F.3d 317(3d Cir.2010).美国最高法院第四、第六、第十一巡回法庭却将其视为非内容信息，认为它是基站运行中的必然产物，因第三方原则而丧失了隐私内涵。Graham v.United States,824 F.3d 421(4th Cir.2016)；Carpenter v.United States,819 F.3d 880(6th Cir.2016)；Davis v.United States,785 F.3d 498(11th Cir.2015).同一信息通常拥有多种功能和使用途径，不同的使用途径又具有相异的价值取向和资讯流动规范，这使得它们往往难以被某种单一的信息类型所定义。

信息二分的批评者认为，通过先验式的信息分类来分配隐私利益是没有意义的，因为信息的规范价值会随着使用途径的变化而改变。信封信息在很多情形下具有透露实质内容的可能，非内容信息的累积也会产生揭示内容信息的叠加效应。Olivier Sylvain,Failing Expectations:Fourth Amendment Doctrine in the Era of Total Surveillance,49 Wake Forest L.Rev,2014,511.例如，Email地址在资讯传播过程中一般被视为非内容信息，但在非法出售个人资料的场合又应当归为内容信息。大数据技术的应用，使对于无关资讯的挖掘和汇集也可探知当事人的真意。根据应用场景的不同，某一层面的非内容信息会成为另一层面的内容信息，同一信息的实质内容和外在形式之间也可能相互转换。信息中的私人性和公共成分无法由其性质决定，而是伴随着信息的流动在不断变化。究竟该信息拥有怎样的隐私内涵很大程度上取决于它们在不同情境中的使用方式，而非资讯类别的事先区分，信息二分因而无法作为隐私判断的主要依据。Steven M.Bellovin,Matt Blaze,Susan Landau et al,It's Too Complicated:How the Internet Upends Katz,Smith,and Electronic Surveillance Law,30 Harvard Tech.L.J,2017,7.学理上的一组类似的信息分类规则即敏感信息与非敏感信息，同样具有这种缺陷。敏感信息被认为可衡量资讯披露造成的客观危害，对其应施以更高级别的隐私保护标准。Paul Ohm,Sensitive Information,88 S.Cal.L.Rev,2015,1125.然而，任何信息在特定场景中都有可能具备敏感性和私密性，不同情境和使用方式下的隐私价值就无法为这种静态的信息分类方法所囊括。正如学者指出的那样：“当信息的某一要素被视为一种客观类别，并在公共政策和研究中具体化时，隐私利益与相关情境之间的依赖性便极易被忽略。”Kirsten E.Martin&Helen Nissenbaum,Measuring Privacy:An Empirical Test Using Context to Expose Confounding Variables,18 Colum.Sci.&Tech.L.Rev,2016,185.

基于内容信息与非内容信息之分的信息区分说，是对传统隐私概念的类型化阐释，具有一定借鉴意义。它将公私对立置于通信网络场景中，赋予了更为细分的判断标准，以实现信息利用与信息保护之间的平衡。然而，这种细分标准针对的仅是第三方原则所衍生的问题之一，即如何确定私人领域与公共领域的分野。对于其余两个问题，信息区分说仍然没有跳出传统理论的框架之外。隐私的经典定义起源于网络技术尚未萌芽的“前信息时代”，资讯传播的方式较为简单，公私二分便足以涵盖绝大多数情形下的价值冲突与利益归属。随着大数据、云计算、社交网络等应用的普及，信息流动的形式越来越复杂化和多样化，信息的性质愈发难以脱离实际使用场景做抽象分析，隐私的价值也就越来越无法通过简单的二元对立得到完整表达。在第三方原则和“公共领域无隐私”的假设逐渐走向失灵之际，人们不得不反思这种隐私定义上的困难，究竟源自网络情境的特殊性，还是由于传统理论的固有缺陷所致。从美国法上的学说演进和立法动向来看，主流观点已逐步放弃对隐私权或个人信息保护范围的精确界定，而转向了一种更加关注信息使用过程、以场景为导向的动态框架，即情境脉络完整性理论。

三、隐私的动态框架：情境脉络完整性理论

由Helen Nissenbaum提出的情境脉络完整性理论(Contextual Integrity Theovy，以下简称：CI理论)，其核心思想是将隐私概念与信息交换时的情境脉络(context)联系起来。CI理论认为，信息的传播和使用受制于特定社会时空下的资讯流动规范(norms)，且无法脱离政治、经济、文化等诸多因素构成的价值序列作抽象判断，保护隐私就是保护情境脉络的完整性不受破坏，以及个人信息在相关情境中的合理流动。Helen Nissenbaum,Privacy as Contextual Integrity,79 Wash.L.Rev,2004,119-157.CI理论将控制资讯传播的情境脉络与社会规范作为理解隐私的起点，不再试图进行概念的定义或特征化，而是着眼于信息的使用过程和适当性标准(appropriateness)。因此，CI理论不是关于隐私的完整定义，而是作为评估当事人之间信息交换的一种规范性模型和框架，以确定为何某一类型的信息流动方式会以隐私之名对个人造成侵害。Adam Barth,Anupam Datta,John C.Mitchell,Helen Nissenbaum,Privacy and Contextual Integrity:Framework and Applications,2006 IEEE Symposium on Security and Privacy,2006,185.它既蕴含了对隐私价值的一种全新的抽象认知，也包括了以资讯主体、信息属性和传播原则等三个要素共同组成的具体判断方法。在该方法下，不论公私二分、第三方原则或信息自决权等理论及其涵盖的法学价值都能够和谐共处，并得到恰当的阐释。

CI理论首先建立在这样一组对信息传播的基本假设之上：社会生活中没有一处信息流动不受特定情境脉络的约束。在每个特定的情境脉络下，信息又分别拥有各自不同的、显著或隐匿的社会规范，人们扮演的角色、采取的行动与保有的期望都被这些规范所塑造和制约。信息的使用方式与不同场景下的价值判断息息相关，隐私的内涵也就无法独立于这些情境关联的资讯规范(context-relative information norms)进行解读。在这里，情境脉络被定义为由典型的活动、关系、权利、内在价值、目标和目的等共同构建的结构化的社会状况，资讯规范则是支配和指导信息流动状况的法律、习惯或共识。这些规范在某些情境下是明确而具体的，在其他情境下则可能是隐含及可变的。不同的情境脉络具有不同的资讯流动规范，不同的资讯流动规范又规制着信息的使用方式与适当性标准。人们对隐私内涵的认定，实际上是依据这些行为规范产生的。“规范定义了特定角色的职责、义务、可接受或不可接受的行为。”Helen Nissenbaum,Privacy in Context:Technology,Policy,and the Integrity of Social Life,Stanford University Press,2010,133.当规范遭到违反时，隐私便面临被侵害的风险。CI理论通过与情境脉络和资讯规范的连接，巧妙地解释了隐私的多义性。这使得它既不同于追求共同要素的隐私整合论(coherentism)，也不同于将隐私价值归于其他权利的隐私还原论(reductionism)，而是基于一种动态的、场景导向的方式进行评价。隐私整合论认为,不同学者虽然论述隐私的角度有差异,但这些学说和观念中具有某种基本的、独特的、共通的价值。隐私还原论则认为隐私权的本质不过是一系列权利集合,这一集合中的内涵总是可以还原至其他财产权利或人身权利之上,因而隐私权是一种“衍生性”权利,没有独立的存在价值。See Judith DeCew,Privacy,Stanford Encyclopedia of Philosophy,2018,https://plato.stanford.edu/entries/privacy,2019年3月25日访问。

在CI理论看来，并不存在放之四海而皆准的资讯流动规范，对隐私的定义也无法脱离实际场景作抽象分析。保护隐私意味着保护信息的合理流动，即保护信息在特定情境脉络下按照相应的资讯规范进行流动。保护隐私并不等同于保护信息的私密性，限制其向公共领域流动，也不是仅允许信息在资讯主体的同意之下才能够进行流动。Helen Nissenbaum,Respecting Context to Protect Privacy:Why Meaning Matters,24 Science and Engineering Ethics,2015,1-22.因为，尊重私密性或当事人的意志仅仅属于某些场景下构成资讯规范的要素之一，远非全部。不同情境中的资讯规范决定了信息应当以怎样的方式被收集、分享和使用，进而决定了隐私所具有的多重价值面向，而这些价值面向并不能通过简单的二元对立或类型化特征进行区分。按照CI理论，私密性、控制性或其他隐私内涵被统一至适当性标准之下，保护隐私就是保护个人信息的合理使用——不是不使用，或仅基于“知情同意”才得以使用。适当性标准以一种弹性的方式，将信息流转与信息保护从矛盾对立中解放了出来，隐私就不再被视为对个人资料的绝对控制，而是按照相应资讯规范进行的适当限制。所谓情境脉络完整性，就是尊重和遵守特定情境下的资讯流动规范，当这些规范被不正当地违反时，情境脉络的完整性便受到了破坏。

简言之，CI理论认为，不同的情境脉络塑造了不同场景下的资讯流动规范，这些规范又决定了什么样的信息使用行为能够被评价为是适当的。具体而言，情境关联的资讯规范由以下三个要素构成，即资讯主体(actor)、信息类型(information type)和传播原则(transmission principle)。根据CI理论，从一方到另一方的信息流动是否符合适当性标准取决于对这三个要素的考察：其一，所讨论的信息类型；其二，信息是关于谁、由谁和向谁流动的；其三，这一流动发生的条件或约束。在关于隐私的动态模型中，资讯规范相互叠加并通过连贯但差异化的情境脉络发挥作用，而这些要素便涵盖了由各自不同的应用场景所定义的相关变量。关于CI理论的具体模型,参见Adam Barth,Anupam Datta,John C.Mitchell,Helen Nissenbaum,Privacy and Contextual Integrity:Framework and Applications,2006 IEEE Symposium on Security and Privacy,2006,184-198。

资讯主体是指信息交换的行为人，包括信息的发送者、接受者和归属者。资讯主体在不同的情境脉络中被赋予了特定的能力、角色或行为准则，进而影响着隐私内涵在具体场景中的认定。例如，主治医师通常不允许分享患者的详细资料，但如果信息的接受对象是具有丰富经验的医学专家，此时人们对隐私被侵害的判断标准就可能有所变化。

信息类型是指有关信息的属性、类别或本质，且这一性质会随着情境脉络的转换而不断变化。CI理论在肯定信息类型重要性的同时，又拒绝使用静态的、二元对立的方式对其进行区分。内容信息、敏感信息或其他信息类型都必须从属于特定的情境脉络之下，并不存在一种普遍的、一般性的信息分类，能够脱离实际场景对隐私利益做先验式的分配。

传播原则是对信息流动的约束或限制，以确定信息在特定情境下所应具有的传递方式。一个常见的传播原则如私密性原则，禁止信息向公共领域流动，或控制性原则，当获得当事人的同意后才能进行信息传递。除此之外，在某些情形下传播原则还可能是双向性的，甚至强制要求信息的披露。隐私并不等于完全的私密或完全的控制，也不存在一个可以支配全部信息使用方式的普适性原则。

这三个要素由长期的社会实践和相关情境脉络所型塑，最终被固定为具体场景中的资讯流动规范，评估隐私是否被侵害就是评估这三个要素是否被不正当地扭曲。CI理论没有将信息的使用方式局限于某一种私法规则之下，而是把隐私内涵投射至不同情境中的利益归属和价值面向上，判断隐私的界限就是对这些价值面向的偏离程度进行衡量。因此，资讯流动规范是关于隐私预期的模型，通过参与者、信息类型和传播原则共同组成对适当性标准的规范评价。当信息流动的现实情形与规范要素不一致时，原则上该行为就违背了特定规范所构筑的隐私预期，从而也就破坏了情境脉络的完整性。需注意的是，这一结论被认为是初步的(prima facie)，并允许有例外。新技术与新情势可能会创造出全新的信息流动方式，只要这些信息流动方式符合特定情境下的目标或目的(contextual ends)，那么它们就仍然可以被视为适当的。Kirsten E.Martin&Helen Nissenbaum,Measuring Privacy:An Empirical Test Using Context to Expose Confounding Variables,18 Colum.Sci.&Tech.L.Rev,2016,190.

CI理论构造的隐私动态框架具有两个显著特征。第一，框架内的任意要素都是情境关联的，不能脱离实际场景作抽象评估。第二，每个要素之间是相互独立的，同一要素的内容不能缩减以致被其他要素所替代，任意一个要素也无法单独决定隐私的全部内涵。在对信息流动状况进行评价时，需要将全部要素相结合予以综合考量。Nissenbaum认为，这是CI理论优于传统隐私定义的根本原因所在。传统理论总是试图将隐私的概念归纳和缩减至某个单一的要素上，例如，缩减至一种信息类型(敏感信息)，或缩减至一种传播原则(对个人资料的控制)。然而，“这种缩减注定是失败的，并且造成了隐私定义在数十年间的混乱和模糊，限制着我们对它的理解与保护”。Helen Nissenbaum,Respecting Context to Protect Privacy:Why Meaning Matters,24 Science and Engineering Ethics,2015,10.私密性或控制性固然重要，但不能因此忽略了相关资讯主体和信息类型，不同的传播原则之间也并非排斥关系，而是要根据具体场景选择适用。传统理论往往将某一要素作为隐私的完整定义，这就是它们在一些情境中能得到自洽的解释，在另一些情境下却又显得捉襟见肘的原因。隐私的多义性源自不同情境脉络中的价值面向，通过将这些价值面向的公因子提取出来，并置于适当性标准和三要素框架下，CI理论真正实现了对隐私概念的重构。

从这个角度重新理解隐私，许多传统理论的应用困难便会迎刃而解，其中一个典型的例子就是对放弃个人资料和放弃隐私的区分。如果将隐私视为一种绝对的私密或控制，那么按照第三方原则和信息自决权理论，公开个人资料并允许他人使用就应当被视为自愿放弃了相关的隐私利益。然而，CI理论认为，保护隐私是保护信息在特定情境脉络下的合理流动，这一内涵不会随着信息的分享、暴露或控制力的削弱而有所变化。当人们接受网站的隐私权政策，或将个人信息上传至社交媒体时，隐私并没有因此凭空消失，放弃私密性或放弃对个人资料的控制也不能与放弃隐私相等同。因为，隐私是由具体情境中的具体使用方法所定义的，是对信息流动的客观判断，它所涵盖的规范价值无法脱离实际场景作预先分配。无论资讯主体具有怎样的信息使用偏好，无论信息是否被公开或授权使用，其他参与者对这些信息的利用方式仍需要遵循资讯流动规范的相应要求。适当性标准的引入，使数据资料的流转与信息保护不再处于对立紧张的关系之中，信息的不合理使用而不是不使用，才是决定隐私侵害的根本理由。CI理论将隐私的概念内涵与信息的私人控制相区分，这也符合大数据时代信息流通的现实需要。

互联网、大数据以及社交网络等引发的一系列隐私保护争议，一定程度上是由传统理论的内在缺陷所导致的。传统情境下，信息的传播和使用方式较为简单，不同价值序列之间的冲突能够凭借某种单一的私法规则加以平衡。然而，在互联网情境中，信息技术的革新使资讯交互方式呈现复杂化和多样化的特征，静态的隐私分配规则就极易导致保护目的与保护效果之间的错位。面对资讯形态的爆炸式增长，隐私越来越难以由二元利益归属所定义，而应当作为一种工具性的权利框架将不同场景下的价值维度囊括其中。在Nissenbaum看来，网络情境的异质性(heterogeneity)并不要求创设一套与之相匹配的隐私保护特殊规则。相反，信息在网络中的多样化传播恰恰暴露了传统隐私定义的局限性，这种局限性唯有通过对隐私概念的整体检讨才能够得以修正。资讯流动规范会随着通信技术的更替而扩张或收缩，人们对隐私观念的认知也会因实际场景的变迁而不断演进。Nissenbaum认为，互联网应用场景可大致分为两种情形，一种是对传统情境的网络化复制，另一种则是创造新的情境和新的信息流动方式。不论何种情形，隐私的内涵都深深嵌入特定情境脉络中，并无法与之分离。Helen Nissenbaum,A Contextual Approach to Privacy Online,Daedalus 140(4),2011,32-48.

CI理论自诞生以来，已逐渐成为美国学界中的一种主流观点，并得到了相关隐私立法者的青睐。在2015年的消费者隐私权法草案中，“情境”一词被赋予了详尽的含义，尊重情境(Respect for Context)作为其中一节被单独列出，且透明度、控制性规则等都必须依据具体情境的要求进行适用。Consumer Privacy Bill of Rights Act of 2015,Sec.4,Sec.101-104.在2018年提出的互联网权利法案中，个人信息也被要求按照情境适当的方式(context appropriate)进行收集和利用。Kara Swisher,Introducing the Internet Bill of Rights,New York Times,2018,https://www.nytimes.com/2018/10/04/opinion/ro-khanna-internet-bill-of-rights.html,2019年3月25日访问。这一理论同样被各类学术研究所吸收，并应用于处理不同的隐私保护问题。例如，在搜索引擎领域、Michael Zimmer,Privacy on Planet Google:Using the Theory of "Contextual Integrity" to Clarify the Privacy Threats of Google's Quest for the Perfect Search Engine,3 J.Bus.&Tech.L,2008,109-126.社交网站领域、Gordon Hull,Heather Richter Lipford,Celine Latulipe,Contextual Gaps:Privacy Issues on Facebook,13 Ethics and Information Technology,2011,289-302.云存储平台领域、Frances S.Grodzinsky,Herman T.Tavani,Privacy in "the Cloud":Applying Nissenbaum's Theory of Contextual Integrity,41 ACM SIGCAS Computers and Society,2011,38-47.智能手机应用、Primal Wijesekera,Arjun Baokar,Ashkan Hosseini et al.,Android Permissions Remystified:A Field Study on Contextual Integrity,USENIX Security 2015,2015,499-514.大数据分析领域，Michael Zimmer,Addressing Conceptual Gaps in Big Data Research Ethics:An Application of Contextual Integrity,Social Media+Society,2018,1-11.CI理论都被作为评估信息流动的基础性框架，以应对和解决新兴技术造成的隐私困境。在欧盟，CI理论被用于检验《欧盟通用数据保护条例》中具体规则的正当性和有效性。Audrey Guinchard,Taking Proportionality Seriously:The Use of Contextual Integrity for a More Informed and Transparent Analysis in EU Data Protection Law,24 European Law Journal,2018,434-457.日本学者将其视为隐私法学的最新发展方向予以阐述。大谷卓史,プライバシーの多義性と文脈依存性をいかに取り扱うべきか：Nissenbaumの文脈的完全性とSoloveのプラグマティズム的アプローチの検討,吉備国際大学研究紀要,2016年第26号,41～62页。在国内学界，虽然主流观点仍主张信息自决权，但已有部分学者开始尝试运用CI理论对传统学说进行概念反思。参见丁晓东：《个人信息私法保护的困境与出路》,《法学研究》2018年第6期。在未来，随着社会生活的进一步数字化、信息化和网络化，一个适应各类情境需要的多元隐私构造将不可或缺，而CI理论就能够为这一动态多元构成提供必要的理论支撑。

四、中国法的隐私权理论困境与情况脉络完整性理论的启示

中国法的隐私概念之争与美国法中的有关学术变迁过程有许多相近之处。在中国法中，对于隐私或个人信息保护的法律属性众说纷纭，但大体上都将这两者作为不同的概念进行论述。对传统隐私保护的批判，很大程度上是将其默认为一种基于公私二分之下的消极防御权，认为它在信息快速增长的数字经济时代无法积极应对个人数据遭受的威胁。例如，隐私权被视为一种消极的防御性权利，其指向的是私密性的信息或私人活动。参见王利明：《论个人信息权的法律保护——以个人信息权与隐私权的界分为中心》,《现代法学》2013年第4期。也有研究者认为隐私权的内涵无法覆盖个人信息权的全部权能，因为个人隐私为个人私生活中不愿公开的私密空间，个人信息权的重点则在于信息的控制与利用。参见张里安、韩旭至：《大数据时代下个人信息权的私法属性》,《法学论坛》2016年第3期。然而，将隐私限定在保护私人空间和私密性价值的范围内，就必然会像美国法中的第三方原则那样，得出“公共领域无隐私”这一片面结论。这样一种对于隐私权的窄化理解，既无实定法上的支撑，亦不具备理论上的正当性，是否应当继续作为我国理论和实践中的通行定义，不无疑问。以公共领域和私密领域之界分确定隐私利益的做法已在美国受到诸多批判。这些批判的论点及理由对我国传统隐私理论的完善同样具有参考价值和研究意义。

与此同时，作为国内主流观点的信息自决权或个人信息权理论，与美国法中的隐私控制论相类似，皆在强调个人对其资料的控制性利益。如果试图将这一控制性利益取代公私判断，作为隐私保护的全部内涵，就会推演出一项基于个人信息的绝对控制权。然而，信息天然具有社会性，“这么一项权利不可能是私法权利体系中的绝对权或者支配权，甚至不可能是法学意义上的权利”。杨芳：《个人信息自决权理论及其检讨——兼论个人信息保护法之保护客体》,《比较法研究》2015年第6期。就实证角度而言，强调个人控制的知情同意框架在大数据时代也面临全方位的适法性困境，不仅用户无法切实行使控制权和选择权，而且信息技术的应用使匿名化、目的限定原则、信息最小化原则等受到严峻的挑战。参见范为：《大数据时代个人信息保护的路径重构》,《环球法律评论》2016年第5期。正如我国台湾地区学者所言，太过狭隘的隐私概念，如强调“私密”要件，把所有个人已公开的私密事务排除在外，可能会产生隐私保护不足的忧虑。强调以“控制”个人信息为主的隐私概念，则可能赋予隐私权过强的保护，容易对他项权利或公共利益产生阻碍。张陈弘：《新兴科技下的信息隐私保护：“告知后同意原则”的局限性与修正方法之提出》,《台大法学论丛》(台北)2018年第1期。此外，也有学者以敏感、非敏感信息之分作为个人信息保护的判断标准。参见胡文涛：《我国个人敏感信息界定之构想》,《中国法学》2018年第5期。对此，恰如前述美国学界对近似观点的批判，同一信息在不同的情境下会具有多种用途和价值取向，这使得它们的隐私内涵往往难以被预先定义的信息类型所涵盖。

由此可见，中国法中的传统隐私权理论、信息自决权理论和信息类型之分与美国法上的理论路径存在一定的重合度，它们都是对于隐私多义性的阐释，因而能够置于同一框架下进行比较分析。对于这种概念上的多义性，两国学者也形成了趋同的理解。如徐明教授所言，隐私权本质上是一系列次级权利和利益的组合，这些权利和利益之间未必具有绝对的共同性，对于隐私定义的讨论也无法脱离具体语境下的习俗、惯例、文化等。在他看来，国内的传统隐私权框架和个人信息权保护之所以处于失灵状态，在于它们都试图以一元化的视角来定义隐私，而这种寻求共同性定义的做法不可避免地会走向失败。参见徐明：《大数据时代的隐私危机及其侵权法应对》,《中国法学》2017年第1期。CI理论同样认为，隐私概念天然具有多重含义，并且其无法通过精密的体系建构进行缩减，这些不同含义都是隐私内涵在具体情境下的价值折射。以多义性和动态的视角理解隐私，并不意味着隐私权没有必要或不可能概念化。一定程度的概念化，如CI理论中的适当性标准，对于系统的阐释及探究隐私内涵仍是必要的，只是在方法论上，宜采用由下而上、场景导向的方法来解读隐私权，而不应当试图以一个统一性的定义，由上而下地对隐私利益进行预先分配。Daniel J.Solove,Understanding Privacy,Harvard University Press,2010,171-173.私密性、控制性和信息类型等皆为隐私多义性的不同面向，将这些面向分配至特定的应用场景中，才能够真正形成动态适用的隐私构造。

纵观美国隐私权理论的演进历程，我国研究者不难得到某些启示。作为公私二分逻辑延伸的第三方原则，其实质是将隐私范围的界定归结于三个固定的假设之上，传统理论与裁判实践大多依赖这些假设对隐私利益进行预先划分。然而，信息的现实流动无法按照公共和私人两大领域来简单定义，隐私的内涵也不能从私密性价值中得到完整表达。从信息自决权和信息类型出发的解释路径，同样具有类似缺陷，它们都试图以某一项要素或私法价值作为隐私的全部内容，这使得应用中难以避免因具体情势的差异而产生的失灵现象。隐私的多义性是天然存在的，且无法透过精细的理论建构进行缩减，这种多义性来自于不同情境脉络下的价值维度和价值面向。传统理论通常将隐私视为保护私人价值的产物，但在现代社会，信息的流动具有多重公共属性和社会功能，并非由个人绝对支配。信息的内容、形式和性质还会随着使用场景的更替而不断变化，这都导致单一取向的静态隐私定义不仅不能适应实践需要，而且会阻碍数据应用与信息流通。情境脉络完整性理论通过与资讯流动规范和适当性标准的连接，将多义性置于三要素构成的动态框架内进行阐释，隐私就不再被视为维护特定信息规则的私法概念，而是作为一种多元价值构成根据实际场景和情势选择适用。如今，场景导向的动态隐私构造已得到越来越多的学者和相关立法者的认同，这一理论也必将为我国隐私法学的未来发展提供重要的参考。