隐私权保护问题的讨论

最近在做某项目的过程中，发现一些国外同仁对《民法典》的隐私权与个人信息保护的区分和具体的内容有一些疑惑。部分国外同仁称，在其他的部分司法管辖区里，隐私和个人信息基本上是一样的，包括我也经常说自己是做隐私保护的，在专业人士眼里多多少少有些不太严谨。对于个人信息保护合规的律师来言，很多时候不会主动地去考虑隐私权的问题，除非出现交叉重叠时考虑额外的合规义务，但从隐私与个人信息的争议角度，隐私的认定问题，以及侵犯隐私权行为的认定问题，值得去讨论。
 
由于不是专门做隐私权合规或争议解决的专业人士，讨论隐私权难免会漏洞百出，也请方家批评指正。
 

1. 隐私权

 
中国法下的隐私权，是人格权的一种，在民事法律调整的法律关系范畴内。此前，《民法通则》中有规定有肖像权、名誉权、荣誉权，但没有直接规定隐私权。《侵权责任法》中第二条规定的民事权益中包括了隐私权。《民法总则》中第一百一十条规定的自然人民事权利中也包括了隐私权。
 
《民法典》在第四编第一千零三十二条和第一千零三十三条中规定了隐私权以及侵犯隐私权的具体表现。根据《民法典》第一千零三十二条规定，自然人享有隐私权。任何组织或者个人不得以刺探、侵扰、泄露、公开等方式侵害他人的隐私权。隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息[1]。第一千零三十三条规定了具体的侵犯隐私权的表现。
 
由于隐私权的规定所保护的是私人生活安宁的状态和不为人所知的私密性，隐私权更体现纯粹的人格权利益保护。侵扰隐私权的行为如需正当化，必然需要有更强的合法性支撑，所以从第一千零三十三条中找到了两个合法性支撑，即法律的规定，或权利人明确同意。需要看到的是，《民法典》中对个人信息的规定中的“同意”并没有规定必须“明确”，但在隐私权的规定中使用了“明确”同意，也表明了对隐私权采用的是强保护。
 

2. 隐私权和个人信息权益的关系

 
仅从中国这一司法管辖区来说，在民法典以前，《民法总则》中其实已经有体现出两者之间的区别。《民法总则》一百一十条中规定的隐私权，在一百一十一条中规定的个人信息权利。二者在民事法律体系下并非一致。
 
在案例黄某诉微信读书一案中，北京互联网法院对隐私权和个人信息做区分：
 
“从权利类型看，隐私权具有绝对权属性，个人信息是受法律保护的法益，尚未上升至权利。从立法价值取向看，隐私权与个人信息权益根本上都体现自然人的人格尊严和人格自由价值，但个人信息权益同时涉及信息利用、流通价值。从利益内容看，隐私权主要体现精神利益，而个人信息权益可能同时包括精神利益及财产利益。从保护客体和损害后果来看，隐私权保护具有私密性的信息，一经泄露即易导致个人人格利益受到损害；而非私密信息的个人信息，仅在被过度处理的情形下才可能使得信息主体受到人格或财产损害。从权利特点和保护方式上看，隐私权更注重消极性、防御性，保护更为严格；而个人信息权益保护在注重预防侵害的同时，还强调信息主体积极、自决的利用权益，如选择、访问、更正、删除等。”
 
事实上，目前我国的多部法律中，有提及个人隐私和个人信息的法律，例如《出口管制法》中规定有关国家机关及其工作人员对调查中知悉的国家秘密、商业秘密、个人隐私和个人信息依法负有保密义务；也有仅提及个人隐私的法律，例如，2021年新修订的《行政诉讼法》中规定行政机关及其工作人员对实施行政处罚过程中知悉的国家秘密、商业秘密或者个人隐私，应当依法予以保密；《基本医疗卫生与健康促进法》中规定，公民接受医疗卫生服务，应当受到尊重。医疗卫生机构、医疗卫生人员应当关心爱护、平等对待患者，尊重患者人格尊严，保护患者隐私。
 
如果仅从狭义理解字面意思，那是否涉及个人信息的证据就不需要保密？涉及患者的个人信息需不需要保护呢？在上述两个法律中不能说明这个问题，需要从《民法典》出发寻求解释。
 
《民法典》第一千零三十四条规定，个人信息中的私密信息，适用有关隐私权的规定；没有规定的，适用有关个人信息保护的规定。按照这样的规定，其实就分成了三个部分：
 
仅属于隐私权的部分：由隐私权的规定来保护，例如私密空间、私密身体部位这些。仅属于个人信息的部分，不涉及隐私的，由个人信息的规定来保护。二者交叉的部分，即个人信息中的私密信息，先适用隐私权的规定，再考虑个人信息保护的适用问题。
 
基于上述规定，医院中患者隐私的部分用隐私权优先保护了，那么患者的个人信息由《民法典》的个人信息部分保护，待我国《个人信息保护法》正式出台后，个人信息保护的法律关系也会受《个人信息保护法》调整。
 

3. 近期的相关案例

 
以下述两个近期案例来看法院在司法裁判中的关注：
 
（1）凌某某诉北京微播视界科技有限公司隐私权、个人信息权益网络侵权责任纠纷案
 
本案中凌某某认为其在使用抖音App的过程中，被告未经其同意，收集使用了其姓名、手机号码、社交关系、地理位置、手机通讯录等信息，向其推送其可能认识的好友，侵犯了其隐私及个人信息权利。案件于2020年7月30日审结。
 
北京互联网法院的判决书中写道：“就私人生活安宁来说，在判断是否构成侵害隐私权时，应考量其个人生活状态是否有因被诉行为介入而产生变化，以及该变化是否对个人生活安宁造成一定程度的侵扰；就不愿为他人知晓的私密空间、私密活动、私密信息来说，可以综合考量社会一般合理认知以及有无采取相应保密措施等因素进行判断。因不同类型人群的隐私偏好不同，且互联网具有开放、互联和共享的特点，在网络环境中对隐私的界定及判断是否构成侵权需要结合具体场景具体分析。”
 
由于整篇判决的说理部分很长，关于是否构成侵犯隐私的说理，法院基本上在从两个角度入手解释使用上述信息是否侵犯隐私：其一，是否构成私密信息，一般是从社会一般认知的角度；其二，如不构成私密信息，其行为是否侵扰个人生活安宁。举其中一个说理部分为例：
 
“原告的姓名和手机号码是否属于私密信息。在日常社会交往中，姓名和手机号码发挥着身份识别和信息交流的重要作用，通常会向他人告知，一般不属于私密信息。”
 
“被告的行为是否侵扰原告的私人生活安宁。如前所述，被告行为分为三个阶段，第一个阶段是向其他用户中请授权读取手机通讯录，收集并存储了原告的姓名和手机号码，虽未得到原告明确同意，但并未侵扰到原告的生活安宁；第二个阶段是原告主动使用手机号码注册、登录抖音App，亦不存在侵扰其私人生活安宁的情形；第三个阶段是根据手机号码进行匹配后推荐“可能认识的人”。抖音App作为短视频分享平台，具有个性化音视频推荐、网络直播、发布信息、互动交流等功能，原告登录抖音App时，对上述功能包括互动交流应当有合理预期，被告向原告推荐有限的“可能认识的人”，并不构成对原告生活安宁的侵扰。”
 
（2）黄某诉腾讯科技(深圳)有限公司等隐私权、个人信息权益网络侵权责任纠纷案
 
本案中，黄某认为被告微信将原告的微信好友关系交予微信读书，微信读书获取原告的微信好友关系，为原告自动关注微信好友，且这些好友可看到被默认公开的原告的读书信息，微信读书在原告与其微信好友并无任何微信读书关注关系的前提下，原告的微信好友可以在微信读书软件查看原告的读书信息，侵犯了原告的个人信息权益和隐私权。
 
北京互联网法院认为：划入隐私的个人信息，应强调其“私密性”，进而与其他层级的个人信息在收集、存储、使用、加工、传输、提供、公开等方面形成相区别的授权同意规范、技术安全规范、信息处理规范等。
 
关于“不愿为他人知晓”的“私密性”，强调主观意愿，该主观意愿不完全取决于隐私诉求者的个体意志，应符合社会一般合理认知。社会一般合理认知，可能受到地域、文化传统、法律传统、习惯风俗、经济发展状况、社会普遍价值观等因素的影响。在数字时代，许多原来仅发生在物理空间内不易为他人所知的生活轨迹成为可被收集的信息，此类信息是否属于符合社会一般合理认知的私密信息成为当今时代特有的问题，并且可能随着科技、经济社会的发展而有所变化，甚至加速变化。
 
从合理隐私期待维度上，个人信息基本可以划分为几个层次：一是符合社会一般合理认知下共识的私密信息，如有关性取向、性生活、疾病史、未公开的违法犯罪记录等，此类信息要强化其防御性保护，非特定情形不得处理；二是不具备私密性的一般信息，在征得信息主体的一般同意后，即可正当处理； 三是兼具防御性期待及积极利用期待的个人信息，此类信息的处理是否侵权，需要结合信息内容、处理场景、处理方式等，进行符合社会一般合理认知的判断。
 
该判决书内论证隐私的部分包括分析该等信息是否构成私密信息，以及如不构成私密信息，该等行为是否侵扰生活安宁，法院在判决中拆解分析私密信息：其一是从社会一般合理认知角度看“不愿为他人所知晓”，其二是综合考虑虽不属于共识的私密信息，但在特定场景以主体的特定身份是否会达到相应的人格刻画程度而导致人格利益的损害。举其中一个例子：
 
按照场景化原则，首先仍应判断原告主张的个人信息在本案场景下是否属于私密信息。结合前述微信读书对读书信息的处理方式，本院认为，在以下情形，用户的读书信息具有私密性，符合社会一般合理认知下“不愿为他人知晓”的标准：一是某些特定阅读信息落入了共识的私密信息范畴，二是虽然各阅读信息分别不属于共识的私密信息，但在积累到一定数量时，结合主体的身份，该信息组合可以达到对信息主体人格刻画的程度，则一经泄露可能造成其人格利益损害。
 
具体到本案场景，原告被公开的阅读信息，包括《好妈妈胜过好老师》《所谓情商高，就是会说话》两本图书本身的内容以及原告阅读了这两本书的事实。从两本图书的内容来看，本身并无社会一般合理认知下不宜公开的私密信息；从原告阅读了这两本图书的事实来看，前者易让人认为原告对育儿方面有一定兴趣,但并不足以让人判断其婚育状况；后者的内容亦为一般性的社交书籍，可能会让他人知晓原告在职场上的部分价值理念。综合原告被公开的全部信息，不足以达到因阅读该两本书籍而形成对原告人格的刻画，进而可能对其人格利益造成损害的程度。因此，原告的读书信息未达到私密性标准。
 
原告亦未在本案中主张因读书信息公开导致其生活安宁受到侵扰，故而，对原告的隐私侵权主张，本院不予支持。
 

4. 一些理解

 
对于比较难去判断的“不愿为人所知晓”的私密，如果纯从主观角度理解，可能会将“私密”变得过于不确定，例如很多人认为自己的身份证、手机号是不是隐私，因为自己主观上不愿被别人知道。但纯从客观角度，又有可能会变得狭窄，例如手机号会因其社交目的和应用而被认为不够私密，当然干扰生活安宁是另一个问题。此时，不愿为人所知晓的原因或心理状态也很重要，一般人的普遍合理认知上，一些活动、空间、信息不愿被人知晓或不愿被公开，可能是因为担心：（1）羞耻感；（2）引发歧视、或不公正对待的后果；（3）被道德谴责或被法律追究的后果；（4）引发干扰正常生活安宁；（5）因人格刻画带来的其他负面影响；（6）其他。但其实这些因素在不同的场景下，结合个人的具体情况可能会有所不同。法院在上述案件的说理部分中也花费了大量篇幅来讨论这个问题，场景化地论证“私密性”和“不愿为人所知晓”，即需要考虑结合具体的场景、个人的身份、具体的情况来进行判断。
 
对于企业而言，从合规的角度，认定隐私权的适用以及隐私权的保护措施的差异性，也有助于企业在个人信息方面的合规。然而，关于隐私权的上述问题，仍然需要一些解释、指南或权威的典型案例对相关问题和解决思路进行进一步地明晰。