潘 裕

（华东政法大学，上海200042）

一、问题的引出

《民法总则》第111 条：自然人的个人信息受法律保护。该条文从基本法的层面对个人信息的保护作了宣示，不过对于个人信息的内涵并未予以澄清，其究竟是一种权利还是一种法益？与其他人格权的区别为何？还未有清晰的结论。然而私法上纠纷却不会等待，有关个人信息的案件已经大量涌现。

笔者以“个人信息”为关键词，在无讼案例中搜索了相关民事判例，剔除与个人信息无实质关联，仅是在正文中一笔带过略微提及的案件，共得相关案件663 件（截止日期：2019 年12 月30日）。结果显示，在当前的司法实践中，面对个人信息类的纠纷，法院往往将其化为某种具体人格权处理。在上述案件中，占比最大的就是案由为隐私权的案件，接下来是名誉权类案件，至于案由为其他具体人格权的案件则相对较少。由此，不禁产生如此疑问，法院为何采取如此裁判路径？疑问一：是因为当前有关个人信息的妥适立法实在欠缺，难以找到合适的请求权规范吗？疑问二：是采用此种判案路径足以解决纠纷，无需再从个人信息的裁判路径出发进行审判？疑问三：是个人信息的客体范围与其他人格权难以划分，导致法官采取谨慎立场进行裁判？此中缘由不可不察。

虽然我国还未制定专门的个人信息保护法，但与个人信息相关的立法与司法解释已经不少，笔者略作整理，选取其中明确提及个人信息并可能有助于民事纠纷裁判的法律规范，见表一。

由表一可知在当前的个人信息立法之下，法官要想找到合适的指向个人信息的裁判规范，难度不小――完全性法条缺失，多为引致性法条。即便恰好是完全性法条，比如消费者保护法50 条规定了经营者侵害消费者个人信息依法得到保护的权利的，应当停止侵害、恢复名誉、消除影响、赔礼道歉，并赔偿损失。但此处的“消费者个人信息依法得到保护的权利”究竟指的是什么？是与其他具体人格权衔接，而在裁判时进行转向，还是泛化而采用一般人格权的路径进行处理？问题多多，使得法官适用时颇为棘手。由此，可印证笔者在上文中提出的疑问一。

如若从具体人格权的裁判路径出发，能够得到妥当的裁判结果，那么无妨如此裁判，但事实果真如此？个人信息这一产物并不是近年才出现，进入新世纪以来，大陆法学界对于个人信息的讨论从未停歇。持续的讨论，使得个人信息这一概念已经被普罗大众所熟知。个人信息受侵害的主体因而不断提起诉讼、新浪诉脉脉案、朱烨诉百度案、庞理鹏诉去哪儿网案等有较大影响力的案件不断将个人信息保护问题拉入大众视野。然而，分析案件中当事人各方的诉求，以及法官的裁判思路，便会发现，因为个人信息的特殊性，尤其是在混入技术处理手段之后，采用隐私权、名誉权等的裁判路径，会使得法官陷入概念的泥沼，往往将过多精力投入隐私权、名誉权的区分判断之中，而对真正受到侵害的个人信息则无法作出合理保护，由此可以否定上述疑问二，印证疑问三。

表一 与个人信息相关的法律规范

通过上述分析可知，当前法官之所以采用具体人格权的路径来处理个人信息侵权纠纷，一是因为当前缺乏个人信息侵权的妥适的裁判规范；二是因为个人信息的客体范围与其他具体人格权难以区分。对于原因一，只能由立法机构作出完善，因此本文专注于原因二的处理，又因为法官多采用隐私权的路径处理，同时，其他具体人格权的客体范围较易划分，唯独隐私权本身较难划定范围，所以本文主要讨论个人信息与隐私的区别，通过讨论两者区别，达到标识个人信息范围的目的，以此为审判实务提供一定参考。

二、立法之解释梳理

从逻辑上看，个人信息与隐私的关系不外乎四种：A. 个人信息与隐私完全相互独立；B. 个人信息与隐私存在交叉；C. 隐私包含个人信息；D.个人信息包含隐私。

在当前的立法中，从法律层面对于个人信息的范围进行明确划定的尚不多见，有的仅仅只是概念上的列举，笔者进行了搜集，分析如下。

2012 年颁布的《关于加强网络信息保护的决定》开启了我国个人信息保护制度的建构。其开宗明义，在第一条指出受保护的电子信息包括两种，一为能够识别公民个人身份的信息，一为涉及公民个人隐私的个人信息。如此，其是采取个人信息与隐私两者完全相互独立的态度。与之相似的是《电子商务法》，该法在第25 条规定个人信息、隐私和商业秘密应该被严格保密，将个人信息与隐私分开提供保护。

而2016 年颁布的《网络安全法》对个人信息作出了定义，采用的是概括加列举的方式：以可识别个人身份作为个人信息的本质性特征，同时进行非封闭性的列举。在被列举的各项信息中，有些信息明显带有隐私的特征，比如个人生物识别信息，而且由于采取的是开放式的列举，自然在所列事项之外，还存在一些落入隐私范畴的信息。因而可以看出，《网络安全法》认为个人信息与隐私之间存在交叉之处，两者并非完全相互独立，也并非包含关系。而在其他一些行政性立法中，也能见到对两者关系的规定，比如在《图书馆法》（2018 年修正）中，认为读者的个人信息、借阅信息均与读者个人隐私相关，由此是将隐私作为个人信息的上位概念，认为隐私包含个人信息。

值得注意的是，在司法解释层面，《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》第十二条作了如此规定：“网络用户或者网络服务提供者利用网络公开自然人基因信息、病历资料、健康检查资料、犯罪记录、家庭住址、私人活动等个人隐私和其他个人信息，造成他人损害，被侵权人请求其承担侵权责任的，人民法院应予支持。”此处采用列举式的规定，显然在最高院看来：个人信息=个人隐私+其他个人信息，其认为个人信息为个人隐私的上位概念，个人信息包含隐私。

经过上述梳理，可知当前有关个人信息和隐私关系的立法，观点并未统一，二者的关系在上述四种逻辑范式中流转往复，由此势必造成整个法律体系的不自洽，影响法律体系的安定性。于此，也能够明晓法官在具体适用法律进行个人信息纠纷裁判时的困难度了。

三、学界争论

其实，对于个人信息与隐私两者的关系，学界早有讨论。代表性的观点认为应承认个人信息为一种具体人格权，并认为从概念上，个人信息超出了隐私的范畴，个人信息权并非附属于隐私权之下的权利。[1]该代表性观点从个人信息与隐私两者对应的权利出发，从权利属性、权利客体、权利内容、保护方式四个方面对两者的区别进行了梳理。总结出隐私重人格利益、个人信息重财产利益；隐私具被动性、个人信息偏主动性；隐私以私密性为特征、个人信息以可识别性为特征；隐私信息形态多样、个人信息信息形态固定化；隐私与国家安全无直接关联、个人信息与国家安全联系紧密；隐私专注于个人私生活、个人信息专注于个人信息支配；隐私保护注重预防、个人信息保护注重事后救济；隐私保护以精神损害赔偿为主、个人信息保护通过精神损害加财产损害赔偿；隐私保护主要采取法律保护、个人信息保护方式不限法律保护，还可以通过行政手段，总共九种区别。粗看之下，通过此九种区别，隐私与个人信息的关系已经昭然若揭，清楚明白了。然而，往深处探寻，便会发现这种“蔚然大观”的分类对于个人信息与隐私的区别作用不大。隐私重人格利益，个人信息重财产利益？但其中程度究竟如何？难以确定。个人信息与隐私相比更具主动性，此种观点其实是以个人信息控制论[2]为其论述基础，即便忽视当前越来越多的国家放弃此种“信息控制论”的态势，也不得不注意到，判断其主动与被动的程度，几乎是一种主观上的评价，难以作客观化的确定描述。个人信息与隐私的特征不同，一者为私密性，一者为可识别性？此种分类，是在不同的层面进行比较，是从结果推原因，颠倒了逻辑关系。隐私与个人信息相比，其保护方式更注重事前预防，而个人信息更注重事后救济？如此分类，还是有些偏离区别的逻辑顺序。至于其他的分类，笔者认为也并未收到更好的效果。

还有学者认为，应用“三分法”来区分隐私与个人信息，即将两者区分为纯粹的个人隐私、隐私性信息、纯粹的个人信息。[3]对于纯粹的个人隐私，该观点认为这是隐私权保护的主要部分，乃是个人生活最私密、与个人人格尊严与自由最紧密的部分，只要侵入便会直接使被侵害人受损害，尤其是精神损害。主要包括两类，一是空间隐私权（个人的私密空间）；二是私生活秘密，包括身体隐私、生活隐私（如恋爱史、情人关系、夫妻生活、日记等）。而对于隐私性信息，其认为这是隐私与纯粹的个人信息交叉的部分，并认为这种隐私性信息与纯粹的个人信息的区别就在于其与个人的人格尊严更为接近。而纯粹的个人信息则是由《网络安全法》第76 条所规范，包括姓名、性别、住址、出生日期、电话、身份证号码、婚姻状况、家庭成员、职务或者职称、工作单位、教育背景等。并认为此类信息虽然与个人相关，但个人对其敏感程度远没有隐私和隐私性信息高，相比前两者与个人的人格尊严离得较远。此种观点，在遵循通说观点的基础之上，将隐私一分为二，努力将隐私中与个人信息交叉的部分区别开来，而不是通过列举其中颇为模糊的区别来辨别二者，颇有可取之处。不过纵观此种观点，其运用的区分工具仍旧是“敏感度”，所谓的“敏感度”正如该词本身所表达的含义，颇为“敏感”，因为其仍旧是主观上的感觉，因人而异，难以确定。同时，笔者也不赞同其观点，《网络安全法》第76 条所规定的全部都是纯粹的个人信息，比如其中的个人生物识别信息。总之以敏感度作为区分标准，浮动不定，只能对某些极具共同性的对象进行划定，而对一些新兴的、不断发展的对象，则需要进行复杂的敏感度判断，由此难以取得较好的效果。

分门别类地对两者进行学理化的区别，难以得到良好效果，于是有学者便从利益衡量的角度，来对两者进行区分。其认为在传统隐私权保护法上，利益衡量所指向的主要是作为权利人的隐私权人与作为义务人的其他人，在隐私保护与言论表达自由方面的问题。此时，国家还并非利益主体，因此在立法政策上赋予隐私绝对权的保护。而在个人信息保护法之下，国家已经不再超脱于利益关系之外，而是成为了个人信息利用链条中最大的参与者。同时，以信息经营为业者也开始以独立的利益主体出现，因而，在利益衡量中，所要考虑到的将不仅仅是个人信息主体与其他义务人，还要考虑到国家和信息业者。[4]此种理论采用不同于传统学理的分类标准，确有其可取之处，相比上述类型化分类的做法，该理论转换思路，从更宏观的角度，从利益衡量这种法官裁判时最常运用的思维出发，避免了分门别类所带来交叉混乱。然而，跳出深奥概念所营造的场域，便会发现，此种理论并未从根本上将个人信息与隐私区分开，因为利益衡量是区分所采纳的手段，而并非两者的区分标准。

由此，个人信息与隐私的区分极度困难，然而区分必要性的存在促使我们不得不思考这个问题。依笔者看来，两者的区分之所以如此困难，主要存在两个方面的原因，一是因为隐私的规范体系乃是舶来品，因为法律传统不同，在不同法系之下其概念涵射范围也就不同，由此导致继受过程发生曲变，使得概念理解不统一；二是因为隐私本身呈动态发展态势，内涵与外延浮动不定，而个人信息也随着时代科技的发展而不断扩张其内涵。因而，要真正将两者区分开，必须回到隐私规范体系的源头，从比较法角度追本溯源，理清概念。

四、比较法分析及其评价

隐私的规范概念起源于美国，而在大陆法的德国，其相关研究也比较繁盛，作为大陆多年的法律传输来源，我国台湾地区的隐私规范体系吸收美德两国理论，也具有自己的特色，因此，以下主要以这三者为讨论对象。

（一）美国法

在美国法上，对隐私权的讨论，分为侵权法上的隐私权和宪法上的隐私权。

在侵权法上，Warren 和Brandeis 二人的论文“the right to privacy”[5]开启普通法下关于隐私权的讨论。在二人论文发表后，美国各州法院及联邦法院作成为数不少的判决，对隐私权的客体范围进行了论述，但并未形成统一的观点。为了维护法律适用的安定性，William L. Prosser 整理分析实务上的判例，于1960 年发表了“Privacy”[6]的论文，将隐私权的侵害类型化，分为四个侵权行为：侵犯原告的隐居、独处，或者侵入其私事；公开披露有关原告的令人尴尬的私人事实；在公众视线中使原告处于虚假的宣传之中；为被告的利益而侵占原告的姓名或肖像。此种类型化的尝试，为美国法院实务和学说所接受，而构成美国侵权法上隐私权的基本框架体系。

在宪法上，为了保护个人隐私不受国家权力的侵害，美国联邦最高法院创设出了“constitutional privacy”，首先以所谓晕影理论为其说理依据，[7]186认为“the first Amendment has a penumbra where privacy is protected from governmental intrusion”，形成“the zones of privacy”。之后由于此种理论受到极大批评，美国联邦最高法院转而以宪法第14 修正案所规定的“substantive due process”以及平等保护原则作为宪法上隐私权保护的基础。由此，将宪法上的隐私权划分四个方面：生育自主性；家庭自主性；个人自主性；信息隐私。关于信息隐私的保护，美国采用两种保护方式，一为制定保护信息隐私的特别法；二为由法院利用利益衡量的方式对国家公权力搜集、储存、利用个人信息的合法性进行判断。

综合上述，作为法律上的权利或者说概念的隐私发源于美国，由侵权法上的隐私权、宪法上的隐私权、特别法上的隐私权进行保障制度的构建。而有关信息隐私的保护，并非存在于侵权法上，而是由宪法和特别法协力保障。对于美国法上隐私权的规范体系，我国能够参照的并不多，首先美国法上并没有严格的“人格权”概念，而我国民法已经构筑了较为严密的人格权的规范体系，以一般人格权和具体人格权并举的方式对人格权进行保护。同时，对于其中的信息隐私，即个人信息，美国法上并没有侵权法的保护，这与美国发达的宪法审查制度有关，而在我国只有宪法和法律委员会能够对法律进行审查，法官只能够对规章以下的规范性文件进行附带性审查，这些都使得对于个人信息的侵害只能诉诸于侵权法来提供保障。因此，采用如此宽泛的“大隐私”概念在我国法上难以获得较好效果。

（二）德国法

在德国法上，无论是民法还是宪法，均没有规定所谓的隐私概念，与之相近的概念产生于德国的判例学说，称为Privatsphare（私领域），这一概念是德国判例学说对一般人格权在私生活上的具体化，是指个人得享有一个自我生活形成的自主领域，得排除他人的干预，而发展并实现其个人性，能够享有属于自我的领域。[7]198德国对于隐私权的保护同样分为宪法上的保护和侵权行为法上的保护，分别由德国联邦宪法法院和德国联邦法院进行创设和具体化。

对于侵权行为法上的保护，首要问题在于如何认定这种所谓私领域的范围，为此德国学界提出“核心领域理论”，将个人生活的领域分为社会领域和私人领域。私人领域能够使个人的人格自由发展，每一个人都有权保留一个内部空间。在这个内部空间中，个人得以保有自我，不让周边环境进入，享有安宁和寂静。德国联邦法院采纳了这种理论，并区分为隐秘领域、秘密领域、个人领域。对于隐秘领域，因为其来自于人格尊严的核心，享有绝对的保护，不被任何外力所侵入，包括私的和公的外力。对于秘密领域和个人领域则根据利益衡量的方法，来决定是否应该受到保护。

对于宪法上的保护，德国联邦宪法法院对领域理论进行了相对化。在著名的“人口普查案中”，联邦宪法法院通过一般人格权在私领域上的更进一步的具体化，创设了所谓的信息自决权，通过此种权利的创设，联邦宪法法院相对化了领域理论，不再将私领域划分为不同的阶层，而是以个人资料的使用结合可能性作为判定标准。[7]202

综上，德国法上的“隐私”称为私领域，是一般人格权在个人事务上的具体化，由所谓的领域理论来确定。德国联邦宪法法院将其予以相对化，弱化了隐秘领域保护的绝对性。需要说明的是，德国法上，对于隐私的保护，宪法保护显而易见地具有强大的作用，而上述已经说明我国当前还不具备此种条件，同时，德国法采用领域理论，用利益衡量的方法对个人信息进行有限度的保护，于此我国似乎也还不具备相应的条件。

（三）台湾地区法

我国台湾地区对上述两法域的理论作了继受，并在继受的基础上有了调和性的发展。

在台湾地区法上，隐私权乃是人格权的一种，与德国法上的私领域相近，由“台湾地区宪制性规定和“台湾地区民法性规定”以及特别性有关规定进行保护。其所谓司法实务认为隐私包含两个方面的内容，一是保障个人生活隐秘免于他人侵扰，二是个人资料之自主控制（隐私信息）。权威的台湾学者也赞同此种观点，比如有的学者指出在过去，隐私权保护个人私生活不受干扰，而现在则扩大到了自主决定权。[8]王泽鉴先生也赞同这种观点，将隐私权定义为个人对其私领域的自主权利，认为无需在“隐私”之外，另行创设一个独立的信息自主权，只需要将隐私作广义解释，将所谓的个人信息自主权（信息隐私）涵盖在内。[7]209

由此可知，台湾地区法上的隐私权是具体人格权的一种，不过在概念范围上又将信息隐私含括在内。即，个人信息概念是隐私的下位概念。台湾法上将隐私分为两个方面，一为私人领域，一为信息自主，具有启示性。

（四）对比评价

综观上述美、德、台湾地区对于隐私概念范围的划定，可以知道美国采用泛化的隐私概念，其内涵十分广阔，其隐私权的功能相当于民法上的人格权，分为宪法保护、侵权法保护和特别法保护。而隐私概念之下与个人信息相接近的乃是所谓的“信息隐私”，对于信息隐私，美国法上并没有侵权法保护。德国法上，并无所谓“隐私”的概念，与之相近的乃是“私领域”的概念，由其判例学说所创设，是人格权在私人生活领域的具体化，以“领域理论”来确定其范围，而与个人信息概念接近的是所谓的信息自主权，包含于私领域概念之下。在台湾地区法上，隐私概念分为私人生活隐秘不被侵扰和个人信息自主控制两个方面，因此个人信息同样是隐私的下位概念。由此可知，无论是美国法、德国法还是台湾地区，个人信息这一概念都是隐私的下位概念，这与我国大陆法学界的通说不同。我国大陆法学界认为隐私是一种具体人格权，个人信息也是一种具体人格权，两者存在交叉，但在概念上都是人格权的具体化，两者并非上下包含关系，而是平行交叉关系，两者应该分开也能够分开。

五、行为区分标准

在我国现行法体系之下，对于个人信息与隐私进行范围划分具有现实而紧迫的意义。不过由于立法的不统一，学理的混乱，导致两者的划分难度较大。当前学者多以敏感度作为两者的区分标准，但敏感度概念过于不确定，使得适用时难度较大，因此在个人信息纠纷案件中，法院另辟蹊径，以其他具体人格权进行裁判，此种裁判方式具有不足。因为，在立法已经就个人信息予以明确规范的情况下，法官回避此种立法规范，将使得关于个人信息的法律条文空置，进而无法逐步发展完善个人信息的规范体系，更好地保护个人信息，同时也不利于个人信息的商业化使用，促进大数据产业的发展。

笔者认为，应以行为为区分标准，而非以敏感度作为区分标准。将隐私这一概念限缩，仅仅指私人领域和行为，而有关信息的内容则统一划分到个人信息概念之下，之所以采用这一划分标准，是因为个人信息与隐私的交叉部分，即所谓的信息隐私，难以确定，于此干脆将所有隐私以外的信息，同时与人格尊严相关的，全部从隐私概念中剥离，统一由个人信息概念统辖。这样做并不会对个人信息的保护产生不利影响，同时也不会对个人隐私的保护产生不利影响。

首先，由前文所述可知，当前我国无论是对于隐私，还是对于个人信息，都是采用侵权法的方式予以保护。而众所周知，对个人信息与隐私的侵害并不属于特殊侵权行为，因此，这两种权利客体的侵权法保护路径，都是采用一般侵权行为的保护方式，需要予以证明的构成要件，以及可以获得的赔偿，均没有区别，也就是说从举证责任，规制方式，以及规制效果来看，均没有差异。其次，采用此种区分方式，将使得法官在判案过程中，不需要再花费大量精力对敏感度进行划分，因而能够更加清晰地确定案件的案由，更好地适用个人信息的相关法律规范。再次，从个人信息法律规制体系的发展来看，正面应对个人信息的纠纷，以个人信息的法律规范解决其纠纷，有利于实现司法实践引领立法发展，通过实务中的裁判创新，促使立法者进行立法上的完善。

具体的思考路径如下：是否与人格相关：在当代社会，只要是围绕人而生成的领域，均与人格相关；判断是否具有人格上的重要性；能否具有可识别性；行为还是信息？若是行为，则归于隐私权保护，若是信息则归于个人信息规范体系进行保护。

六、结论

个人信息与隐私的区分具有必要性，关于两者的关系，我国当前的立法态度不一。在有关个人信息纠纷的案件中，法官多采用隐私权等具体人格权的方式进行裁判。当前学界对于隐私与个人信息的关系的论证中，多认为信息隐私是个人信息的下位概念，采用“敏感度”的区分标准，对于落入个人敏感领域的信息，采用隐私权的规范路径进行保护。对于这种区分标准，因为敏感度的主观性和不确定性，因此适用难度较大。应采用行为的区分标准，限缩隐私概念，将有关信息均归于个人信息之下，通过此种区分，将有助于裁判。