文章来源:本文首发于《中国法律评论》2023年第1期观察栏目(第161-178页)。
目次
一、隐私权概念的既有界定及反思
(一)隐私权概念的既有界定
(二)对隐私权概念既有界定的反思
二、隐私权与个人信息权益关系的既有理解及反思
(一)隐私权与个人信息权益两个概念关系的既有理解及反思
(二)隐私权与个人信息权益两套保护规则关系之既有理解及反思
三、隐私权与个人信息权益关系的妥适界定
本文是2020年度国家社科基金青年项目“失信联合惩戒制度的法治困境及对策研究”(20CFX019)、国家社科基金重大项目“社会信用体系的法律保障机制研究”(21&ZD199)和国家社会科学基金重大项目“大数据、人工智能背景下的公安法治建设研究”(19ZDA165)的阶段性成果。
近年来,隐私权和个人信息权益研究成为我国法学界的“显学”。尽管相关成果汗牛充栋,但一个基础性问题始终存在争议:二者关系究竟为何?为回答此问题,本文首先澄清中国法上的隐私权概念,继而分析隐私权与个人信息权益概念和保护规则之间的关系。
一、隐私权概念的既有界定及反思
(一)隐私权概念的既有界定
自2020年《民法典》生效后,至少在私法领域,隐私权有了明确的法律定义,即自然人对其“私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息”享有的免于“刺探、侵扰、泄露、公开等方式侵害”的权利。然而,在《民法典》“一锤定音”前,自20世纪80年代起,我国学者曾提出过三个版本的私法上隐私权定义。
版本一为“私密”。早在1981年,我国就有学者将隐私解释为“不愿告人或者不愿公开的个人的事”。20世纪80年代后,有学者指出隐私是“公民个人身体和日常私生活中不愿告人或不愿公开的个人秘密”。版本二为“私密+自由”。1985年,有学者将隐私界定为“个人私生活的自由和秘密”。90年代后,有学者将“私生活的自由”阐释为“个人生活不受外界非法侵扰、个人私事的决定不受非法干涉”。王泽鉴先生将“私密”界定为“自主决定是否及如何公开关于其个人的数据”,将“自由”界定为“个人得自主决定如何形成其私领域的生活”。版本三为“私密+安宁”。90年代初,有学者把隐私权界定为“公民的安宁居住不受他人侵扰以及保有内心世界、财产状况、社会关系、性生活、过去和现在其他纯个人的不愿为外界知悉事务的秘密的权利”。21世纪后,有学者将“安宁居住权”扩展为“私生活安宁权”,指“私生活不受干扰、打搅、窥视、调查或公开的权利”。
除上述私法领域的讨论外,21世纪以降,我国公法学界也开始关注隐私权,视其为一种宪法基本权利,提出四种定义。一为“自由”,指出宪法隐私权“保护个人活动的自由,通过赋予公民在一定范围内决定其个人活动的自由权而对其加以保护”。二为“自由+私密”,认为宪法隐私权指“自然人对于私人空间和通讯秘密自主支配、不受侵扰,私人生活和家庭生活自主决定、不被侵犯秘密,私人信息自我控制、不被非法利用”。三为“自由+安宁”,主张宪法隐私权“是指公民排除公权力的干扰或过度干预,保护个人私生活的安宁、自由和自决的权利”。四为“自由+私密+安宁”,提出宪法隐私权是“公民的私生活不受窥测、监视、公开、侵扰和干涉的权利,即公民有选择、控制和决定自己私生活事务、保持私生活安宁和处置私生活……的自主、独立与安宁”。
可见,四十年来,无论私法抑或公法领域,隐私权概念在我国虽言人人殊,但归根结底是由“自由”、“私密”和“安宁”三大“核心部件”排列组合而成。这种“拼图式”隐私权概念并非本土独创。美国学者就归纳过六种隐私权定义,欧洲学者列举了八种隐私权类型,我国台湾地区学者更是总结出二十一种隐私权界定方式。这表明不同法律文化下的隐私权概念不尽相同,但都内涵复杂。所以,要深入理解和准确评价中国法上形形色色的隐私权定义,就不能简单拿着域外概念对照、比附或移植(尽管我国研究深受域外法影响),或是试着解说“隐”“私”这两个本就歧义丛生的语词(尽管这种解字法一度颇为流行),而须立足本土学理论说,逐项检视三大核心部件。
首先,关于“自由”。(1)范围。私法学者主张作为隐私权内容的“个人私事的自主决定权”主要是指对个人私生活事务的自主决定权,例如公民决定何时结婚、分娩的自由,患者自主决定权,都属于隐私权。与此类似,公法学者也认为作为宪法隐私权内涵的自由权本质上是“个人领域事务内的控制权”,是“开放性和扩展性的基本权利”,“具有高度的概括性和抽象性”,“处于不断扩张的趋势”。可见,尽管有公法学者认为民法隐私权和宪法隐私权的重要差别之一在于前者更多关注私密,而后者“更多地与自主权相关联”,但宽泛界定作为隐私权内容的自由权却是我国公法和私法学界的共识。(2)标准。私法学者强调个人享有自主决定权的私事必须是“纯属个人的、与他人无关、不危害社会的”;公法学者亦指出宪法隐私权关注“私人领域免于公共权力的无端干预”及“公共领域的私人行动免于公共权力的干预”。
其次,关于“私密”。(1)范围。私法领域,有学者提出隐私权涵盖私人信息、私人活动、私人空间/领域。其中,私人信息指“有关个人的一切情报资料和资讯”,私人活动指“一切个人的、与公共利益无关的活动”,私人空间/领域指“个人的隐秘范围,如身体的隐秘部位、个人居所、旅客行李、员工的书包、日记、通信等”。也有学者曾主张隐私权仅包括私密信息和私密空间,理由是私人活动“范围过于宽泛”,“私人所从事的一切民事行为、非民事行为均可以纳入‘私人活动’的范畴,隐私只能涉及其中有关人格利益部分的内容,其内容通常是相对较为狭窄的”,但其随后调整立场,主张个人活动也属于隐私的范围。公法学者持类似观点,认为宪法隐私权包括空间隐私和信息隐私,或私密空间、私人事务和私密信息。在此背景下,2015年后公布的民法典民间和官方草案中,除2017年6月民法学研究会《中华人民共和国民法典·人格权法编专家建议稿(征求意见稿)》仅规定私人信息秘密外,其他各版本均规定隐私包括私人/私密信息、活动、空间。(2)标准。学界早期有两种观点:一是主观标准,主张隐私的范围应以当事人认定为标准,凡其不愿公开的私人生活秘密均属隐私;二是客观标准,主张隐私范围应由法律规定,不以当事人意愿为转移。主客观标准之对立很快被隐私和隐私权二分法所打消,因为“隐私权虽以隐私存在为前提,但并不意味着有隐私必然有隐私权,因为隐私权只是针对那些有必要以法律保护的隐私。特定公民主观上可把任何事视为隐私,但主张隐私权时,则应审查是否值得法律保护。此后,有学者明确隐私权“必须纯粹是由与公共利益、群体利益无关的个人‘私事’构成。任何公共的、群体的或与之有关的事情都不能成为某个人的隐私权”。
时至今日,“与公共利益无关”已成民法学界隐私权私密性标准之通说,亦为公法学界沿用。这直接反映到立法上。在《民法典》起草过程中,曾有单位建议将隐私界定为“具有私密性的、与公共利益无关的私人空间、私人活动和私人信息等”,但《民法典》第1032条第2款最终没有写入“与公共利益无关”的客观标准,仅明文规定“不愿为他人知晓”的主观标准。相关权威解释则指出隐私权“具有主客观相结合性”,并援用美国法上的“合理隐私期待”原则来解说:“自然人主观上具有隐私期待利益,客观上社会认为该种期待利益是合理的。”简言之,是否“私密”看主观意愿,“私密”是否值得法律保护则取决于是否“与公共利益无关”。
最后,关于“安宁”。(1)范围。学界有两派观点。一派认为私生活安宁并非隐私权的下位概念,二者是交叠关系。私生活安宁权既部分与隐私权重合(如以电话、短信、邮件等信息媒介骚扰他人同时侵犯两种权利),也有内容超出隐私权,例如,欺诈性或错误性告知(如虚报中奖信息)、不可量物侵入(如噪声、烟尘、震动、气味等侵入)、观念妨害(如在相邻不动产上从事开设殡葬场所等令人反感的行为)、凶宅侵害(如出租房内病逝导致房产价值下降)、惊吓损害(如恶作剧惊吓)等就只侵害私生活安宁权,不侵犯隐私权。
另一派观点主张私生活安宁的范围小于隐私,是隐私的组成部分,具体又有三种理解。最广义说认为私人生活安宁有三点内容:一是“排除对私人正常生活的骚扰”,如非法跟踪、窥探他人行踪、以信息媒介骚扰;二是“禁止非法侵入私人空间”,如非法侵入私人合法支配的空间,包括住宅、电话亭、工棚、邮箱等;三是“免于对个人自主决定的妨碍”,即不当干预“对个人私生活事务的自主决定”,包括结婚、分娩的自主决定权和患者的医疗方案选择权等。如此定义的“私生活安宁的概念较为笼统、高度抽象,是对个人隐私权提供概括性保护的一项兜底性内容”。较广义说亦认为私生活安宁权有三点内容,前两点与最广义说相同,第三点从“对个人自主决定的妨碍”变为“通讯自由”,指个人通信免受非法拆阅和干扰。狭义说则认为私人生活安宁仅有一种含义,即《民法典》第1033条规定的免受“以电话、短信、即时通信工具、电子邮件、传单等方式侵扰”。
(2)标准。与“自由”和“私密”类似,“安宁”的学界通说同样是“与公共利益无关”,认为个人生活“与重要公共利益发生联系时,就不是一般意义上的私事,而是属于政治的一部分”。
四十余年来我国隐私权概念的学说史明显呈现“私法先行、公法跟进”的规律。尽管隐私权早已为公法所“俘获”,即便《民法典》第1039条被广泛认为是在规定公法上的隐私权,但迄今为止,无论是在实定法还是学理上,我国还未出现显著区别于私法隐私权概念的公法隐私权概念。《民法典》生效后,公法学者更是普遍援引其第1032条来讨论宪法、行政法、刑事诉讼法上的隐私权保护,这被称为“《民法典》为宪法基本权利的扩充输送给养”。在此背景下,再论“中国法上的隐私权”将不可避免地围绕我国民法上的讨论及法规范展开。若民法上的隐私权概念和保护制度不能满足公法领域的现实需求,则须进一步调整完善。
(二)对隐私权概念既有界定的反思
对比上述学理论说与《民法典》第1032条,可以发现学理上的“自由”并未明文体现在立法中,而“私密”和“安宁”则被“照单全收”。由此,“再论”中国法上的隐私权可转化为三个问题。
首先,隐私权究竟应否包含“自由”?从字面上看,《民法典》第1032条并未写入相关内容,但这恐怕只是表象,因为权威解释仍将“日常生活、家庭活动、婚姻活动、性生活”等“与公共利益无关的个人活动”纳入该条所称的“私密活动”,并强调“自然人都享有私密活动不受他人侵扰的权利”。所以,我国公法、私法学界曾达成共识的“自由”,即宽泛的“个人私事自主决定权”,或许依旧可被视为隐私权的内容。
然而,如此理解明显受美国法影响,试图将“决定性隐私”(decisional privacy)植入本土。可问题是:美国法视自由为隐私有极强的地域性,可谓是比较法之特例,也被英国学者批评为把自由混入隐私。事实上,美国学者亦承认作为自由代名词的隐私权范围“几近无限”(almost limitless),已成为“一个在许多互不关联的场合中有力的修辞性口号”。美、德两国学者都指出美国法上宽泛的隐私权概念类似德国法的一般人格权(Allgemeines Persönlichkeitsrecht),本质上是一种“源权利”(quellerecht)。
对此,中国民法学者早有清醒认识:我国立法和司法上都已确立隐私权作为具体人格权的地位,若再将其作为一般人格权,就会使其承担人格权法的兜底功能,反而造成隐私权体系的混乱。更何况《民法典》第990条第2款已然确立了兜底性的一般人格权,无须隐私权“越俎代庖”。近年来,曾深受美国宪法学影响的我国公法学界也开始转而借鉴德国法,主张“自主决定权”(Rechtder Selbstbestimmung)应通过宪法上一般人格权而非隐私权保护。鉴于此,将指向个人私生活自主决定权的“自由”排除出中国法上的隐私权概念,当无疑义。
其次,隐私权中的“私密”究竟应当有何范围和标准?前已述及,《民法典》第1032条列举私密空间、活动、信息,是对学界前期共识的反映。问题是:有无必要将空间、活动和信息并列?对此,法理学者给出了否定的答案,理由是就隐私权概念而言,信息隐私已然足够,空间隐私、活动隐私没有分析意义上的增量,无须额外单列。这当然不是说个人不应拥有不受他人侵扰的空间或活动,而是说对空间、活动的侵扰若不具有信息面向,便不构成隐私侵权,例如,撕碎他人画作、截留他人信件、击打他人头部、阻止他人出行,就只侵犯其财产权、人格权,不侵犯隐私权。反过来,只有对空间、活动的侵扰具有信息面向,才会触及隐私权,例如,窥探他人藏画、私拆他人信件、揭露他人头戴假发、偷录他人行踪。
对此也许会有人反驳:一个既聋又盲且未携带任何录制设备的人闯入澡堂,一个朝向邻居家门口但实际上从未接电工作的摄像头,是否就不侵犯隐私权,因其不具有信息面向?如此反驳是一种误解,因为隐私侵权不要求实际受损,而只要求受损的风险,“仅仅是注意本身就能导致隐私权受损,即便没有任何新的信息被获知”。面对闯入澡堂的不幸者和朝向自家的摄像头,当事人完全可以基于对方可能获取信息而主张隐私侵权,无须证明对方实际获得信息。这也能解释为何人们不会认为邻家小猫跑入自家侵犯了隐私权(尽管可能认为侵犯财产权甚或人格权,比如当小猫闯入造成身体或精神损害),因为小猫(跟摄像头不一样)完全不可能侵扰信息隐私权。简言之,个人空间也好,活动也罢,若无信息面向,则通过财产权、人格权保护即可。只有当该空间、活动所承载的信息遭到侵扰或有被侵扰的风险,才牵涉隐私权。就隐私权而言,空间、活动并无独立于相关信息的增量价值。
《民法典》将空间、活动和信息并举,违背了“如无必要,勿增实体”的概念简洁性要求。当然,这种“概念上冗余”(conceptually redundant)的并列仍然可以是“实操上有用”(practically functional)的,因为明文举出私密空间和活动,能提示执法者、司法者关注这些信息载体(container of information),围绕其划出法律红线,但前提是不能遮蔽如下认识:隐私权归根结底是关于信息而非信息载体的。
关于“私密”的标准,学界现有共识是“不愿为他人知晓”的主观标准和“与公共利益无关”的客观标准相结合。但二者都存在问题。主观标准的问题有二:一是“他人”可能被解释得过宽。其既可指“特定他人”,也能指“全体他人”。有权威学者持后一种理解,认为若某信息是“必须在一定范围内为社会特定人或者不特定人所周知的”,例如,个人姓名、身份证号、电话号码,那就不属于隐私权。这混淆了隐私和绝密。某信息并不因为当事人愿意让一定范围内特定人或不特定人所知晓就彻底逸出隐私权范畴,因为其在该范围外仍应受隐私权保护,正所谓“不足为外人道也”。因此,《民法典》第1032条第2款的“他人”应解释为“当事人不愿为其所知晓的他人”,而非“全体他人”。
二是“知晓”可能被理解得过窄。《民法典》第1033条第5项规定“处理他人的私密信息”属于一种隐私侵权形式。这里的“处理”,根据体系解释的原理,当与《个人信息保护法》第4条第2款同义,即“收集、存储、使用、加工、传输、提供、公开、删除等”。这意味着哪怕某信息是当事人愿意让他人知晓,也不能用来拨打骚扰电话,否则构成隐私侵权。所以,用狭义的“知晓”来界定隐私是不充分的,隐私的私密性不仅指向“不愿为他人知晓”,而且指向更广义的“不愿为他人非法处理”,知晓只是处理方式之一种。
客观标准的问题在“无关”二字。这一表述源于密尔对“涉己”(self-regarding)和“涉他”(other-regarding)行为的著名区分,前者“仅关涉自身”,属于社会无权强制干预的个人主权范畴,后者“关涉他人”,才是社会权威的适当领地。据此,只有那些“仅关涉自身”的空间、活动、信息才应纳入隐私权。然而,西方思想史上长期存在对此两分法的批评:无人乃孤岛,任何人的任何行为都会影响他人,“试图区分涉己行为和涉他行为就如同试图区分发生在时间中的行为和发生在空间中的行为”。
要界定某种与公共利益无关之私,不啻于要求在公私之间划出清晰界限,反给认定隐私权造成过高门槛。事实上,密尔本人就不赞同这种原子式个人的理解,而是强调所谓“仅关涉自身”之事,并非完全与世无关,因为“任何影响个人的事都会通过该个人影响他人”,而是指他人对之“仅有间接的利害关系”(only an indirect interest),即不会对他人造成损害。申言之,隐私权的客观标准并非“与公共利益无关”,而是“与公共利益仅有间接的利害关系”,或者更准确地说,“对信息不进行特定处理无损公共利益”。
这也是为什么《民法典》第999条规定“为公共利益实施新闻报道、舆论监督等行为的,可以合理使用民事主体的姓名、名称、肖像、个人信息等”,此处的“个人信息”当然包括作为隐私权内容的私密信息。据此,若对某信息不进行特定处理有损公共利益,则此时基于公共利益对其进行特定处理不构成隐私侵权,只要这种处理限于维护公共利益所必需的范围内。在此视野下,隐私权的本质在于最大程度地尊重当事人关于其信息如何被处理的主观意愿,除非该意愿有损公共利益且干预手段符合满足公共利益所必需的程度。用成本收益分析的语言来说,当且仅当违背个人主观意愿以特定方式处理其信息的成本大于收益时,才涉及隐私权保护,否则不保护当事人的主观隐私期待。如此界定隐私权,就能破解西方理论界关于隐私权到底是“控制”(control)还是“受限访问”(restricted/limited access)之争。
两种视角都难以回答给裸奔者盖上衣服到底有没有侵犯隐私权:从“控制”的角度看,裸奔者完全控制其信息如何传递给他人,给其盖上衣服干涉这种信息控制,侵犯隐私权;从“受限访问”的角度看,给裸奔者盖上衣服使其信息不被人访问,维护隐私权。
本文提出的隐私权概念能消弭此例貌似吊诡之处:裸奔者希望其信息被他人看见,法律不应尊重这种“信息被处理”的主观愿望;裸奔者同时有“信息不被处理”(不被遮挡)的主观愿望,法律也不应尊重;因为尊重这两种主观意愿的收益要小于“体面”(decency)受损之成本。给其盖上衣服不侵犯隐私权。隐私权的客观标准不是在信息与公共利益有关或无关之间二选一的“是非题”,而是权衡特定信息处理行为成本和收益的“比较题”。
最后,隐私权究竟应否包含“安宁”?如前所述,学界对“安宁”有不同理解。一派认为“安宁”与隐私权部分重合,不重合的部分为欺诈性或错误性告知、不可量物侵入、观念妨害、凶宅侵害、惊吓损害等。这部分内容不应也无须塞入隐私权,因为即便我国现行法未设立该意义上的私生活安宁权,此类侵权行为通过《民法典》第148条、第149条、第288条、第293条、第294条、第1165条、第1184条等即可处理。重合的部分为以信息媒介骚扰他人,这与另一派主张“安宁”属隐私权下位概念且持狭义说的观点相同,也为《民法典》第1033条第1项所规定。
那么,关于“安宁”的广义说和中义说所提及的“排除对私人正常生活的骚扰”、“禁止非法侵入私人空间”、“免于对个人自主决定的妨碍”及“通讯自由”,应否纳入隐私权范畴?首先可排除“免于对个人自主决定的妨碍”,因为如前所言,这实际上是应通过一般人格权而非隐私权来保护的行为自由。而“排除对私人正常生活的骚扰”、“禁止非法侵入私人空间”和“通讯自由”,亦不必然属于隐私权范围,因为如前所言,不具有信息面向的私人活动、空间、通讯用人格权、财产权保护即可,唯当其所承载的信息受侵扰或有被侵扰的风险,才牵涉隐私权。
但此时也就无须再表达为“安宁”,而可径直纳入《民法典》第1033条第5项规定的违法“处理他人的私密信息”。同理,第1033条第1项规定的以信息媒介侵扰他人生活安宁亦不必放置在“安宁”的帽子下,而应透过表象看本质,纳入第5项的违法处理私密信息,因其本质上就是对他人私密信息(包括手机号码、即时通信工具账号、电子邮件地址、家庭住址等)的不当使用。
综上,中国法上隐私权概念的恰切定义是:任何公、私主体皆不得违背个人关于其私密信息如何被处理的主观愿望,除非基于正当目的采取合理手段。隐私权概念本质上指且仅指信息隐私权;指向个人自治的“自由”和不具有信息面向的“安宁”,均不属于隐私权的范畴;私密空间和私密活动,都不具有独立于私密信息的分析价值;判断私密性的客观标准不是信息同公共利益有无关系,而是比较权衡尊重个人主观意愿的成本和收益。
当然,这不是说《民法典》就写错了。前已述及,“概念上冗余”完全可在“实操上有用”,立法语言并不以简洁为唯一鹄的,直击要害的理论提炼写成法条未必能最大限度地便利法律适用。上述理论分析的真正意义在于提示理解《民法典》相关条文时,须准确把握隐私权的范围和标准,既避免不当扩充其范围以至于同临近概念混淆,也避免认定标准过高以至于压缩其保护功能。当然,此处的定义仍不完整,更完整的隐私权概念需要通过与个人信息权益对比来揭示。
二、隐私权与个人信息权益关系的既有理解及反思
要讨论“隐私权与个人信息权益之关系”,就须区分其所蕴含的两个子命题,即隐私权和个人信息权益两个概念的关系,隐私权和个人信息权益两套保护规则的关系。
(一)隐私权与个人信息权益两个概念关系的既有理解及反思
第一,关于权利性质。既有研究分歧显著。(1)公、私法学者之间的分歧在于公法学者主张个人信息权益是“新型公法权利”,不同于作为民事权利的隐私权,理由是个人信息权益不像作为“对世权”的隐私权那样能对抗所有人,而只能对抗特定情形下的信息处理者,“类似于对人权”。民法学者认为个人信息权益只能是民事权利,不是公法权利,理由在于国家机关和非国家机关均负有不得侵害自然人民事权益的义务,它们与自然人之间的法律地位平等,公权机关不比私主体更加优位,即便《个人信息保护法》采用公法机制,也无法否认个人信息权益的民法性质。(2)私法学者之间的分歧是有的认为隐私权是人格权,个人信息权益不是人格权而只是法益,因为《民法典》没用“个人信息权”的表述;有的则认为二者同为人格权,因其受法律保护的必要性没有区别。
第二,关于权利范围。既有研究有两点共识。一是隐私无须记载,而个人信息必须记载,例如,个人谈话若未以一定方式(如录制、拍摄)固定,就非个人信息而是隐私。二是隐私权和个人信息权益“重叠但不重合”,重叠部分是私密信息,不重合部分从隐私权角度看为私人生活安宁、私密空间和私密活动,从个人信息权益角度看为非私密个人信息。
就如何区分私密和非私密信息,既有研究提出六项标准:(1)是否公开,已公开事项不再是私密信息,但仍是个人信息;(2)是否披露,“凡必须在一定范围内为特定人或者不特定人所周知的个人信息”不是私密信息,只是个人信息;(3)是否少有人知,“个人信息处于未被不特定或多数人获知的状态”才是私密信息,否则只是个人信息;(4)是否处于“隐私领域”和“私人领域”,“关涉个人内在情感与思想世界”,“与人格尊严存在重要关联、一经泄露即能引起信息主体人格尊严重大损害的信息”才是私密信息,那些处于“社会领域”,有关“个人社会关联”的信息只是个人信息;(5)是否“性质上为了社会交往、经济活动、政府管制之目的”且“固有的功能系于流通”,若否则非私密信息而只是个人信息;(6)是否“与公共、他人利益无关”,有关则非私密信息,仅为个人信息。
第三,关于权利特征。既有研究共识与分歧并存。共识是:(1)隐私不可重复利用,个人信息可反复利用;(2)个人信息具有集合性,隐私没有,它只是单个主体享有的权益;(3)个人信息经常面临大规模、自动化处理、跨境流动,隐私权通常不涉及此;(4)个人信息与国家安全联系更密切,除部分特殊主体如国家公职人员,隐私权一般与国家安全无关;(5)隐私侵权方式主要是非法披露和骚扰,个人信息侵权方式为非法收集、利用、存储、加工、倒卖、篡改。
分歧是:(1)有学者认为隐私权是精神性人格权,财产价值不突出,不能商业化利用或合理使用,如《民法典》第993条就没有规定隐私许可使用,个人信息权益兼具人格与财产利益,特别是名人的个人信息主要具有财产价值,能许可使用;有学者则认为隐私处分权包括公开权和许可权,隐私权人亦可授权他人使用隐私。(2)有学者认为隐私权是消极、防御性的,受侵害前无法积极主动行使,只能在事后请求排除妨害、赔偿损失,个人信息权益是主动性的,具有积极、能动控制权;有学者则认为隐私权同样有积极权能,如允许他人将自己隐私写成小说或网络直播私人生活等。
第四,关于权利目的。既有研究兼具分歧与共识。共识是隐私权和个人信息权益都维护自然人人格利益。分歧在于有学者认为隐私权主要体现人格尊严,不可放弃,提供单一向度的权利保护,个人信息主要体现私人自治,兼顾保护和利用;有学者则认为二者都为了维护人格尊严,个人信息权益不是为了实现私法自治。
前述既有研究值得反思。其一,关于权利性质。(1)公、私法学者就个人信息权益是公法还是私法权利之辩实属无谓争论,因为个人信息权益具有宪法基础,同时是公法和私法权利,以对抗公主体和私主体。尽管中国法上的个人信息权益的确不是对抗所有人,而是对抗特定情形下的信息处理者,但信息处理者既可是私主体,也可是国家机关,个人信息权益因此兼具私法和公法性质,不因不像隐私权那样对世而丧失其私法属性。反过来,肯认其公法权利性质,不是让处理个人信息的国家机关相对于私人信息处理者占什么优位,而恰是为了在公法上设置不同要求,避免公法遁入私法。同理,隐私权也是一种宪法权利,兼具公法和私法权利性质。
有民法学者主张隐私权不宜作为宪法权利,理由为:一是我国宪法文本没有隐私二字,纳入隐私权需要修宪;二是宪法过于抽象,不利于隐私权救济;三是我国没有宪法诉讼,难以保护宪法隐私权;四是作为民法权利的隐私权也能对抗公权机关。前三点混淆了实然和应然,不能因为宪法文本抽象、实施困难,就放弃在我国通过宪法解释、合宪性审查来确认和保护宪法隐私权;第四点混淆了公法和私法权利,因为对抗以非民事主体身份行使公权力的国家机关的,只能是公法上的隐私权。隐私权并不因为《民法典》有规定,就丧失其公法性质。中国法上还有大量公法隐私权规范,如《护照法》第12条、《居民身份证法》第6条等。简言之,中国法上的隐私权和个人信息权益均横跨公、私法,不为任一所垄断,尽管这不代表二者的公法和私法保护规则就(应)相同。(2)私法学者之间就个人信息权益是权利还是法益之辩也无实际意义,因为二者在《民法典》上均已法定化、类型化,都受保护,保护强度也无根本差异。
其二,关于权利范围。两点既有共识均不准确。比较《民法典》第1032条和《个人信息保护法》第4条,不难看出个人信息比隐私信息多了“以电子或者其他方式记录”,但不能就此推论隐私权保护范围遍及记录或未记录的个人信息,而个人信息权益保护范围只涵盖已记录的个人信息,不包括未记录的信息。《个人信息保护法》第13条明确只有符合七项法定情形方能采集个人信息,第26条对在公共场所安装图像采集、个人身份识别设备之目的和方式作出限制,都涉及还未记录的个人信息。个人信息权益的保护对象不是个人信息,而是对个人信息处理的合理期待,故须从信息还未被实际记载时就开始规制处理者行为。所以,尽管“个人信息的范围”的确不包括未记载的个人信息,比如个人谈话若未记录就不是个人信息,但“个人信息权益的范围”则涵盖未记载的个人信息,比如无合法性基础不得记录他人谈话。在此意义上,个人信息权益和隐私权二者范围没有区别,前者不比后者少未记录的信息。
认为二者“重叠但不重合”也不准确。一方面,如前所言,中国法上的隐私权本质上指且仅指信息隐私权。作为其内涵的个人生活安宁实际上也是指个人信息的非法处理;作为其内涵的私密空间和私密活动同样如此。故从范围上讲,隐私权并不比个人信息权益多出“安宁”、“空间”或“活动”,二者都指向个人信息。另一方面,认为个人信息权益范围要比隐私权多出非私密个人信息也不准确。诚然,根据《个人信息保护法》第4条,与已识别或者可识别的自然人有关的各种信息是个人信息,并非所有个人信息都是私密信息,个人信息范围大于私密信息,但正如个人信息权益的保护对象不是个人信息,而是对个人信息处理的合理期待,隐私权保护的亦非私密信息,而是对个人信息私密性的合理期待。“个人信息权益的范围”和“隐私权的范围”的真正差异在于各自所保护的合理期待内容不同,而非保护的信息不同。
更重要的是,非私密信息和私密信息之间并无天然、先在、本质的界线。前文已说明“与公共利益无关”并非私密信息的客观标准,既有研究提出的其他区分标准亦不成立:
(1)无论是公开、披露抑或少有人知,都不决定个人信息是不是私密信息,因为这些都是非此即彼的二元状态变量,个人信息的实际状态并不决定其私密性。披露、少有人知的个人信息,若被不当扩大披露、知晓范围,仍受隐私权保护。即便是已对世公开的个人信息,依然可构成私密信息,受隐私权保护。例如,某人事经理为招聘目的网上发布个人电话号码,若他人借此拨打推销电话,便侵害其隐私权。
(2)无论在语词上如何区分不同信息处于何种生活领域或界定信息有何种固有功能,都是围绕信息本身的性质特点做文章,而信息是否私密并不取决于信息本身,而是“功夫在诗外”。以姓名为例,通常情况下,它无疑直接涉及个人社会关联,性质上服务于社会交往,固有功能是流通,但在特定情形下,比如犯罪受害人、举报人或做好事不愿留名者的姓名就属于不得披露的私密信息,受隐私权保护,尽管这毫不影响求职问诊时姓名对雇主和医生不具私密性。申言之,任何个人信息在特定情境下都可以是私密信息,无法被事先、抽象地排除出私密信息的范围。故不能抽象、先定、脱离语境地说个人信息权益保护所有个人信息,隐私权只保护私密个人信息,因为没有任何个人信息天然、先在、本质性地专属于某一类别。更准确的说法是:二者保护范围都涵盖所有个人信息,只是保护的对信息处理的合理期待有所不同。
须澄清的是,这并非说中国法上就不应再区分私密信息和非私密信息,而是说此区分不由信息本身决定,而是由具体情境下对信息处理的合理期待决定。事实上,西方隐私学界多年来提出的文明规则(privacy as civility rules)理论、场景一致性(privacy as contextual privacy)理论、信任理论(privacy as trust),都揭示同一个道理:隐私权不指向信息本身有什么特性,而指向信息处理的行为规范。相较之下,我国学界从信息本身入手界定隐私权,是传统乃至过时的理解。这当然不是说我国学者未能译介域外理论,但将其与传统理解并列,反映出我们对此缺乏清晰认识。
其三,关于权利特征。五点既有共识均不准确:(1)隐私指向的信息和个人信息都可重复利用,因为这就是信息的核心特点;(2)作为信息,个人信息和隐私都有集合性,而个人信息权益和隐私权都是单个主体的权益;(3)个人信息和隐私指向的信息都涉及跨境及可被大规模处理;(4)特定情境下,无论规模大小,隐私侵权和个人信息侵权都可能危及国家安全;(5)隐私侵权和个人信息侵权方式存在重合,如非法收集私密信息就同时侵犯二者。两点既有分歧也值得澄清。此处关键在于区分作为信息的隐私和个人信息与作为权利的隐私权和个人信息权益。作为人格权,隐私权和个人信息权益都不能转让、放弃;但作为信息,隐私和个人信息都可商业化授权使用。当然,这种授权仅有债权上的效果,被授权人不会成为隐私权或个人信息权益主体。非名人也能靠许可他人使用隐私信息获得财产收益,比如撰写“我和某某不得不说的故事”或直播日常生活。因此,隐私权也具有积极、能动性,并非只能事后救济。
其四,关于权利目的。既有研究准确地看到隐私权和个人信息权益都维护人格利益,在此意义上,二者都是为了维护人格尊严。二者亦皆有实现私人自治之目的,都反映对个人就如何处理其信息之意愿的尊重。
综上,两种权利在性质、范围、特征、目的四个方面均无本质差异。
(二)隐私权与个人信息权益两套保护规则关系之既有理解及反思
第一,关于保护目的。既有主流观点是:(1)隐私权保护只需平衡隐私利益与他人言论表达自由、知情权,而个人信息保护所涉利益主体更多元,尤其涉及信息业者;(2)国家对隐私权是中立超然的裁判者,对个人信息则兼具管理者和利用者双重身份;(3)隐私权只考虑保护,个人信息要兼顾保护和利用。
第二,关于保护场合。既有主流观点是:隐私权保护只涉及平等主体之间关系,个人信息保护兼及不平等主体和平等主体之间,自然人因个人或家庭事务处理个人信息除外,二者总体上适用于不同关系的主体之间。唯私人信息业者处理个人私密信息这一种情形下,二者才有竞合。
第三,关于保护手段。既有共识是:隐私权主要采民法保护,相关规则是私法规则,个人信息保护公、私法规则兼具,且主要应由公法规制和行政手段保护。
第四,关于保护强度。既有研究有三种观点。一是认为隐私权保护强度高于个人信息权益:(1)个人信息并非权利,只是利益;(2)《民法典》第1033条规定隐私侵权的免责事由为“明确同意”,第1038条就个人信息处理免责事由仅规定“同意”,无“明确”二字,表明处理隐私信息必须取得明示同意,个人信息处理默示同意即可;(3)对比《民法典》第1033条和《个人信息保护法》第13条,干预隐私权必须有法律依据,限制个人信息权益有法律、行政法规依据皆可。二是认为个人信息权益保护强度高于隐私权,理由是《刑法》至今没有规定隐私,侵犯隐私不单独构成犯罪,侵犯隐私行为最高只是治安管理处罚,而侵犯个人信息行为由刑法制裁。三是认为个人信息权益保护强度不低于隐私权:(1)《刑法》虽未写隐私二字,但仍保护隐私权,比如侮辱罪、传播淫秽物品罪、非法侵入住宅罪等;(2)《个人信息保护法》第14条规定同意要明确作出,与《民法典》第1033条没有差异,更何况第14条还规定敏感个人信息处理需单独或书面同意;(3)隐私权主要是防御性、事后救济性权利,除人格权禁令外,没有其他预防性保护方法,《个人信息保护法》则对个人信息权益提供消极加积极的保护。
第五,关于保护方式。既有主流观点是:(1)使用隐私信息必须知情同意,个人信息则无须,否则“整个正常的社会交往几乎完全无法进行”;(2)隐私侵权不要求证明实际损害,个人信息侵权应当证明;(3)过错与因果关系要件在隐私侵权中相对容易证明,个人信息侵权很难证明;(4)隐私侵权中违法性要件可被过错吸收,个人信息侵权中违法性必不可少;(5)隐私侵权适用过错原则,个人信息侵权适用过错推定原则;(6)隐私侵权财产损害赔偿按照《民法典》第1182条,精神损害赔偿按照第1183条,严重精神损害才赔偿,个人信息侵权损害赔偿依据《个人信息保护法》第69条,不严格区分财产损害和精神损害,也未规定严重精神损害才赔偿;(7)隐私侵权主要采用精神损害赔偿方式救济,个人信息侵权除精神损害赔偿救济外还可用财产救济。
第六,关于保护规则适用。既有研究有三种观点。
一是“分层适用说”,主张在隐私权和个人信息权益共同适用人格权保护规则的前提下,对私密个人信息和非私密个人信息分层适用不同保护规则:(1)人格权一般保护规则统一适用于隐私权和个人信息权益保护,包括《民法典》第997条规定的人格权保护禁令制度以及第995条规定的停止侵害、排除妨碍、消除危险、消除影响、恢复名誉、赔礼道歉等绝对权请求权。(2)私密信息优先适用隐私权规则,“没有规定的”才适用个人信息保护规则,依据是《民法典》第1034条。(3)非私密信息适用个人信息保护规则。
二是“平行适用说”,主张隐私权和个人信息权益两套保护规则互不交叉,除隐私信息外的隐私权才适用人格权保护规则,个人信息一律适用个人信息保护规则,私密信息不再适用隐私权保护规则,从而“桥归桥,路归路”,避免私密信息适用两套不同保护规则。
三是“区分适用说”,主张基于不同场合区分适用隐私权和个人信息权益保护规则,竞合时适用个人信息保护规则,而非隐私权规则:(1)隐私权规则只在平等主体之间适用,个人信息保护规则同时适用于不平等主体和平等主体之间,除非自然人因个人或家庭事务处理个人信息。此时两套规则没有一般法和特别法关系,不存在一般性的“隐私权优先适用”。(2)私人信息业者处理私密信息时,两套保护规则竞合,适用后者,因为据《民法典》第11条,《个人信息保护法》属优先适用的特别规定。
既有研究值得反思。其一,关于保护目的。既有主流观点难以成立:(1)信息时代下,私人信息业者不仅威胁个人信息,也构成隐私侵权的重要风险源,隐私权也涉及多元利益主体。(2)在隐私问题上,国家从来不是中立超然的裁判者,而一直是隐私信息的利用者和风险源,迄今还没有一个私人信息业者能像现代国家那样深入公民生活的各个角落。宪法隐私权之意义前所未有地凸显。(3)隐私权和个人信息权益都只有保护的问题,不存在利用;隐私信息和个人信息则都需兼顾保护和利用,即便私密信息也可合理利用,典型如《民法典》第999条。
其二,关于保护场合。既有共识需要完善,因为两套保护规则的竞合情形不止一种,而有三种:(1)双方法律地位平等且信息能力平等,既可能仅适用隐私权规则,比如自然人因个人或家庭事务处理私密信息,也可能同时适用隐私权和个人信息保护规则,比如自然人因非个人或家庭事务处理他人私密信息(如路边摊贩记录客户身份信息)。(2)双方法律地位平等但信息能力不平等,比如私人信息业者处理个人私密信息,据《民法典》第1034条第3款同时适用隐私权和个人信息保护规则。(3)双方法律地位不平等且信息能力不平等,如国家机关处理个人私密信息,同时适用公法隐私权规则和个人信息保护规则。
其三,关于保护手段。既有共识站不住脚,因为一旦把视野扩大到中国法而非中国民法上的隐私权,就会发现其与个人信息权益一样,都需公、私法规则协力保护,不能因为我国现行法上隐私权公法保护规范之缺漏,而忽视其必要性。同时,认为个人信息应主要以公法手段保护也不准确,私法保护固然有个人维权动力小、难度大的问题,公法保护同样面临行政执法资源有限之约束。比如在允许集团诉讼的美国,私人维权就对个人数据保护发挥重要作用。不能抽象说哪种手段天然更有力,而应齐头并进。
其四,关于保护强度。既有研究陷入无谓争论:(1)前已述及,权利和法益之别无法证明隐私权更受保护。(2)《民法典》第1033条的“明确同意”和《个人信息保护法》第13条的“同意”没有本质差别,都要明确作出。(3)《民法典》第1033条明确法律另有规定时可“处理他人私密信息”,《个人信息保护法》无疑是法律另有规定,其第13条明确在法律、行政法规规定的情形下可以处理个人信息,这意味着隐私权和个人信息权益皆可依据法律、行政法规来干预。(4)不能因《刑法》没写隐私而写个人信息就推论后者更受保护,因为不写不等于不保护。(5)如前所言,隐私权和个人信息权益保护都有事前和事后面向,前者保护程度并不更低。争论二者保护程度孰高孰低缺乏实际意义,因为保护二者都关乎人格尊严,亦都促进公共利益,并无天然高低之别。
其五,关于保护方式。既有主流观点有待商榷:
(1)隐私信息和个人信息处理都以知情同意为基本前提,除有法定例外,要求个人信息处理以知情同意为前提,不会导致“正常社会交往无法进行”,因为《个人信息保护法》适用范围有限,也在知情同意外确立了许多处理的合法性事由。
(2)隐私侵权和个人信息侵权都无须证明损害后果发生,即可适用人格权保护禁令制度和停止侵害、排除妨碍、消除危险、消除影响、恢复名誉、赔礼道歉等绝对权请求权;而一旦要求损害赔偿,二者均需证明实际损害后果。
(3)隐私侵权与个人信息侵权过错和因果关系的证明难度不取决于两种权利之分,而是由具体场景下的侵权主体和行为决定,不能抽象地说何者难度更高。
(4)隐私侵权和个人信息侵权中,违法性要件都不可少,亦都可被过错吸收。有公法学者认为由于隐私侵权中违法性要件能被过错吸收,可不单独将其作为侵权责任构成要件,而个人信息侵权则需基于信息处理者是否合规来判断侵权与否,套用隐私权逻辑会放弃个人信息保护最重要的法律武器。这种担忧并不成立。一方面,我国民法学者本就把违法性视为认定《个人信息保护法》第65条中过错之标准,主张“只要存在非法处理个人信息行为,基于此种违法性就可推定信息处理者具有过错,除非其能证明处理行为不违法”。另一方面,我国民法学界也并不像部分公法学者所理解的那样认为隐私侵权不考虑违法性要件。事实上,民法学界关于违法性是否独立构成侵权过错要件素有争议,不少民法学者视其为过错认定要件。最高人民法院司法解释也曾明确以行为违法性为认定过错要件。即便主张违法性不构成侵权责任构成要件的民法学者,也并非主张违法性不应成为过错认定要件,而是主张“过错吸收违法”,避免单列违法性导致违反注意义务但不违法的侵权行为无法追责。
(5)《民法典》和《个人信息保护法》确实规定了不同责任规则,但这仅对私法上的隐私侵权成立。公法上,国家机关隐私侵权依《国家赔偿法》适用违法归责原则,而非过错责任。目前,我国行政法学界对违法归责原则采广义理解,把未履行合理注意义务也纳入违法范畴。这与吸收了违法性的过错推定原则恐相差无几。故不能笼统地说中国法上,隐私侵权适用过错原则,个人信息侵权适用过错推定原则。
(6)隐私侵权和个人信息侵权造成财产损失,适用相同损害赔偿规则。《民法典》第1183条规定隐私侵权造成严重精神损害,被侵权人有权请求精神损害赔偿。按照《个人信息保护法》第69条,个人信息侵权造成精神损害,被侵权人有权请求精神损害赔偿。但这不代表隐私侵权损害赔偿的门槛就高于个人信息侵权,私密信息侵权求偿没理由要比非私密信息侵权求偿难度更大。依照权威解释,判断精神损害是否“严重”的标准为“超出社会一般人的容忍限度”。“超出容忍限度”显然不取决于因人而异的主观耐受力,而是某侵权行为是否严重到社会一般人无法容忍以至造成精神损害的地步,故可把突破当事人合理隐私期待的隐私侵权行为解释为造成严重精神损害。当然,无论隐私侵权还是个人信息侵权,请求精神损害赔偿都必须证明存在精神损害。
(7)隐私侵权和个人信息侵权都可采用精神赔偿和财产赔偿,两种方式无须择一。
其六,关于保护规则适用。以上分析表明:在保护目的、手段、强度和方式上,隐私权和个人信息权益并无天然、先在、本质的差异;在保护场合方面,二者在三种情形下竞合。鉴于此,关于保护规则适用的既有观点均有不足:(1)“分层适用说”表面上符合《民法典》第1034条第3款,但对何谓“没有规定”缺乏明晰界定。公法上的隐私权和个人信息权益保护是否适用相同的“隐私先于个人信息”规则也不清楚。更重要的是,无论公法还是私法领域,隐私权保护规则都无理由优先于个人信息保护规则适用。(2)“平行适用说”问题在于隐私权本质是信息隐私权,主张只有非信息隐私才适用隐私权规则而个人私密信息只适用个人信息保护规则,不符合隐私权本质。更何况这虽然绕开了个人私密信息上的规则竞合,但直接违反《民法典》第1034条第3款明文确立的适用次序。(3)“区分适用说”尝试以作为特别法的个人信息保护规则优先来解决私人信息业者处理个人私密信息情形下的规则竞合,但避而不谈《民法典》第1034条第3款规定的适用次序,也无法解答在自然人因非个人或家庭事务以及国家机关处理个人私密信息的情形下,究竟如何适用两套保护规则。三种学说均未妥适界定二者关系。
三、隐私权与个人信息权益关系的妥适界定
上文分析表明:在概念和保护规则层面,隐私权与个人信息权益并不像既有研究所言,存在林林总总的差别。一旦跳脱视野的局限、穿透语词的迷雾、刺破思维的障碍,便能发现这些差别只是幻象。那么,为何不简单扩张隐私权概念和保护?难道增设个人信息保护制度是叠床架屋?答案是否定的,因为二者存在被既有研究忽略的重要差异。
如前所述,中国法上的隐私权本质是指最大程度尊重当事人关于其信息如何被处理的主观意愿,除非该意愿有损公共利益且干预手段符合满足公共利益所必需的程度。个人信息权益亦如此。二者的真正差异不在保护的信息不同,而在保护的期待不同,或者说应对的处理行为不同。据《民法典》第1033条第5项,违法“处理他人的私密信息”侵犯隐私权;据《个人信息保护法》第4条第2款规定,“处理”指“收集、存储、使用、加工、传输、提供、公开、删除等”;据《信息安全技术公共及商用服务信息系统个人信息保护指南》第5.1(b)项,“加工”指“录入、存储、修改、标注、比对、挖掘、屏蔽等”。并非任何处理行为都会侵犯隐私权。
具体有三种情形:(1)处理信息非但不侵犯隐私权,反而有利于保护隐私权,也不侵犯个人信息权益,典型的如对合法获得的他人信息作去标识化、匿名化处理。(2)处理信息不侵犯隐私权,但侵犯个人信息权益,典型的如用个人自愿提供的信息搞算法黑箱或歧视以及擅自修改、删除或屏蔽信息。(3)处理信息与隐私权和个人信息权益均无关,典型的如合法知情人未经同意“对信息主体不说破”。有学者称此为“隐私规范”。但这与隐私权无关,“善意的谎言”不维护隐私权。养父母隐瞒子女收养事实、医疗机构不向老人透露病情、朋友见面不提起对方人尽皆知的丑闻,都是有重要价值的行为规范,有利于维系亲子感情、减少病患负担、维持朋友交往,但都不是在保护隐私权,否则扁鹊和男孩就侵犯了皇帝们的隐私权。
那么,如何区分隐私侵权和个人信息侵权的处理行为?标准在于信息处理是否仅仅为了让信息主体保持“在他人心目中面目模糊的状态”,此即所谓私密性期待。隐私权的规范意义是让信息主体由面目清晰的“我”回到面目模糊的“人”的状态,从而要求他人以“我是人”而非“我是我”的方式对待自己。其价值目标在于每个人都面临两种对待方式:一是承认式的单纯基于我之为人而尊重;二是评价式的基于我这个人的特点而尊重。正因你我皆凡人且人无完人,只有排除了基于“我是我”而因人而异的评价式尊重,才能获得基于“我是人”(全体他人)而人人平等的承认式尊重。
在此视野下,凡是增大信息主体在他人心目中面目清晰可能性的处理行为,触及的就是隐私权。这就解释了为什么去标识化、匿名化、算法歧视及修改、删除、屏蔽信息不侵犯隐私权,而收集、录入、存储、传输、提供、公开信息就会侵犯。标注、比对、挖掘信息若不会使信息主体面目更加清晰,便不触及隐私权,反之就触及,典型的如拼凑信息片段给用户画像。以信息媒介骚扰他人也是因为会使信息主体被从人群中单拎出来,得不到人人平等的承认式尊重,所以侵犯隐私权。个人信息权益同样保护这种不愿在他人心目中面目更加清晰的主观期待,故包含知情决定权、拒绝权、删除权。
在此意义上,个人信息保护权益和隐私权交叠。但个人信息权益还额外保护隐私权不保护的相反意愿,即维护信息主体“在他人心目中面目清晰的状态”,从而要求基于“我是我”而非“我是人”获得尊重。这是因为大数据时代来临后,信息处理者关心的不再是因果关系而是相关关系。共享某些特点的个人被归入相应群体,基于“我是人”(部分而非全体他人)而非“我是我”被打包处理,人格尊严面临冲击。此时,为使个人免于被归类决策或依据不实信息被错误归类,个人信息保护权益就比隐私权更进一步,包含拒绝自动化决策权、算法可解释权及个人信息查阅权、复制权、更正权。算法黑箱或歧视以及擅自修改、删除、屏蔽信息也因此侵犯的是个人信息权益,而非隐私权。
一言以蔽之,隐私权和个人信息权益两个概念的真正区别在于前者保护信息主体保持面目模糊之期待,应对使其面目清晰之处理行为;后者在此基础上额外保护信息主体保持面目清晰之期待,应对使其面目模糊之处理行为。二者确有交叠,但不可混同。《民法典》第1034条第3款的“没有规定”既不是指隐私权规则优先于个人信息保护规则适用,也非两套规则适用于不同关系的主体之间,而是指当需要保护信息主体保持面目清晰之期待、应对使其面目模糊之处理行为时,隐私权规则没有规定,适用个人信息保护规则,反之则两套规则同时适用。
同时适用引发竞合。既有研究试图通过论证两个权利概念或两套保护规则的种种差异,引入特别法优先的法理,来绕开或解决竞合问题。本文已说明这些差异不成立,两套规则同时适用时也不存在孰为特别法的情形。两者不是简单二选一,而要根据实际情况适用更有利于保护当事人权益的规则:
(1)当自然人因非个人或家庭事务处理他人信息,如路边摊贩记录客户身份信息,处理者和信息主体之间法律地位和信息能力都平等,既适用隐私权规则,也适用个人信息保护规则,因为《个人信息保护法》不像欧盟《通用数据保护条例》(GDPR)那样部分豁免一定规模以下的信息处理者,而是适用于自然人因个人或家庭事务处理个人信息以外的所有信息处理者。但对没有信息权力势差的自然人处理者,就不能像对具有信息权力势差处理者那样搞过错推定,而应适用过错原则。
(2)当双方法律地位平等但信息能力不平等,如私人信息业者处理个人信息,应同时适用两套规则,信息主体既可援引《民法典》上的人格权禁令和绝对权请求权来维护隐私权,也可按照《个人信息保护法》确立的过错推定原则来请求损害赔偿。
(3)当双方法律地位和信息能力都不平等,如国家机关处理个人信息,两套规则同时适用,但须有所调整。一方面,我国公法上应考虑设立类似《民法典》上人格权禁令和绝对权请求权那样的抵御国家机关侵犯公民隐私权的制度;另一方面,国家机关隐私侵权按《国家赔偿法》适用违法归责,个人信息侵权按《个人信息保护法》第69条适用过错推定。由于我国行政诉讼实行举证责任倒置,故原告可同时主张隐私权和个人信息权益被行政机关侵害,由行政机关自证处理行为不违法。