个人信息与隐私权保护

　　欧盟的《一般数据保护条例》(general data protection regulation，以下简称“GDPR”)在2018年5月25日生效实施之前，Facebook5000千万用户信息被泄露，在国际上引起了轩然大波，为GDPR的生效实施创造了极好的舆论基础，也引起了国内司法实务界和理论界对个人信息保护的大讨论。对于我国接下来的个人信息保护立法模式是走欧盟模式、美国模式，还是另辟蹊径，创造一套中国模式，理论界和实务界也多有讨论，但并未达成一致意见。在笔者看来，在讨论我国未来对于个人信息保护的立法模式之前，对个人信息的概念、个人信息保护的法理基础等基础性理论问题做充分的讨论和研究是非常必要的，故本文对个人信息保护与隐私权保护从概念、法理基础等方面做一比较，以希望能在比较中呈现出个人信息保护的一些法律属性，从而对于我国个人信息保护立法有所裨益。

　　一、个人信息保护与隐私权保护的关系

　　2017年10月1日生效的《中华人民共和国民法总则》(以下简称：《民法总则》)第一百一十一条规定“自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的，应当依法取得并确保信息安全，不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息。”同时《民法总则》第一百一十条第一款又规定：“自然人享有生命权、身体权、健康权、姓名权、肖像权、名誉权、荣誉权、隐私权、婚姻自主权等权利。”从《民法总则》的上述规定来看，显然立法者认为个人信息和自然人的隐私都需要受法律保护应该是毫无疑问的。进一步的，个人信息保护与隐私权保护是两种互不相关的两种权利的保护，两者不存在隶属的关系，否则难以解释为什么个人信息保护与隐私权保护分列来惜字如金的《民法总则》的两个条文中。而且从《民法总则》第一百一十条第一款中将“隐私权”与“生命权”、“身体权”、“健康权”、“姓名权”等传统民法理论中的具体人格权并列在一起可以看出，对于“隐私权”的保护我国是尊崇了德国民法中将“隐私权”作为人格权进行保护的模式，而非美国法中将隐私权作为宪法性权利进行保护的模式，因为将其(隐私权)归结为宪法权利本身并无助于隐私权的全面保护，也无法替代关于隐私权的民法规范。[1]

　　对于将个人信息保护与隐私权保护作为两种权利进行保护在《网络安全法》中也有体现，《网络安全法》第四十五条规定：“依法负有网络安全监督管理职责的部门及其工作人员，必须对在履行职责中知悉的个人信息、隐私和商业秘密严格保密，不得泄露、出售或者非法向他人提供。”从该条文的规定也可以看出立法者认为“个人信息”与“个人隐私”属于自然人完全不同的两种信息，而且应该作为两种不同的权利进行保护，否则没有必要在一个条文中将“个人信息”与“隐私”并列。

　　因此笔者认为“个人信息”与“个人隐私”属于不同的自然人信息，两者是相斥关系，而不是包含关系或者交叉关系[2]，如果两者呈包含或者交叉关系，则对两者保护制度的设计将会出现困境和混乱。既然“个人信息”与“个人隐私”属于两种不同的自然人信息，那么两者的内涵与外延如何界定呢?

　　二、个人信息与隐私权保护的法理基础

　　在对“个人信息”与“个人隐私”概念的内涵与外延作出界定之前，笔者认为有必要对“个人信息”与“个人隐私”为什么值得保护做一梳理。

　　首先来看“隐私权”的保护。美国学者沃伦(Wallen)和布兰代斯(Brandeis)在1980年发表的《论隐私权》[3]一文，在该文中将隐私界定为一种“免受外界干扰的、独处的权利”。后大陆法系国家在人格权发展的过程中借鉴了美国法上有关隐私权的概念，将隐私权发展成了人格权中的重要内容。在近百年的发展过程中，隐私权的内容不断的发展和扩张，但无论如何发展都大致围绕着生活安宁和私人生活秘密这两个方面进行扩张和发展。生活安宁是指，自然人对于自己的正常生活所享有的不受他人干扰、妨碍的权利。[4]沃伦(Wallen)和布兰代斯(Brandeis)在《论隐私权》一文中就是将隐私权界定为“一种个人信息免受刺探的权利”，即“独处权”。对于个人来说，既具有自然属性，又具有社会属性，其为了发展自己的个性以及自主决定自己的私生活事务，有权暂时抽离社会，获得必要的安宁和清静。

　　私人生活秘密是个人私生活的重要组成部分，凡是与公共利益和他人利益无关或者相关度很小的个人信息，无论对本人是否有利，隐私权人都有权加以保持和隐匿，不让他人得知。[5]私生活秘密之所以需要纳入隐私权的保护范围是因为，首先私人生活秘密是与公共利益和他人利益无关的信息，这些信息的公开对于社会没有任何的利益增进。其次，公民个人的私生活秘密如果向外公开，将会对公民个人带来巨大的影响，而且绝大时候都是负面的影响，而个人作为社会中的一员，将会受到来自社会不当的贬损评价，严重时甚至使个人在社会中难以立足。需要说明的是，即使一些私人生活秘密公开对社会利益有所增进，但是当对社会利益的增进远远小于公民个人利益的损失时，也应该优先保护公民个人的私人生活秘密。

　　综上，可以给隐私权下一个定义：隐私权是指自然人享有的私人生活安宁与私人信息秘密依法受到保护，不被他人非法侵扰、知悉、搜集、利用和公开的一种人格权。[6]其次来看个人信息保护。在前互联网时代或者互联网初期，受到法律保护的个人信息的范围几乎是可以与个人隐私的范围划等号的。因为一方面当时的单个公民的个人信息例如性别、消费水平、航班信息、地理位置等还不能被现在的诸如大数据、云计算、物联网、人工智能等先进的技术利用，因此对于社会价值是非常小的。另一方面，公民个人的这些信息被收集，也不会造成现在诸如公民个人被大数据“杀熟”、被精准投放广告等困扰，因此公民个人也不会太关心。但是到了现在，随着大数据、人工智能、云计算、物联网等技术的发展，一方面个人信息对于上述技术的发展是一种基础性的资源，从国家层面来说，谁掌握的个人信息多，谁将在未来的科技发展中占的先机，从企业层面来说亦然。正如时任全国人大财经委副主任委员、央行原副行长吴晓灵在“第一界中国金融科技大会2016”上所指出的，数据资源与土地、劳动力、资本等生产要素一样，已成为促进经济增长和社会发展的基本要素。[7]另一方面，个人信息经过上述先进技术的处理之后，将会造成公民个人被大数据“杀熟”、被精准投放广告、被贴标签、被数据画像，公民个人已经深入了“天下谁人不识君”的尴尬境地。再者说，个人信息是产生于公民个人，那么产生于公民个人的信息是否就理所当然属于公民个人所有呢?数据能带来价值，是一种资产，明晰产权是建立数据流通规则和秩序的前提条件[8]。这时，公民的个人信息需要法律进行保护就提上了立法日程，而且是一种不同于个人隐私的个人信息的保护。

　　个人信息从零碎的价值非常小的不值得进行法律保护的单条信息到个人信息作为一种数据资源，甚至与土地、劳动力、资本等一样的生产要素从而需要制定相应的个人信息保护的法律法规的进行规制的过程可以得出以下结论：第一，个人信息是一种不同于个人隐私的信息，个人信息虽然是“个人”的，但是这种信息离公民个人的人格利益更远。第二，个人信息之所以需要纳入法律规则的运行之中，是科技发展的结果。第三，个人信息兼有人格属性和财产属性，而且与个人隐私相比，人格属性要弱于财产属性。第四，个人信息是一种与社会公共利益相涉的战略资源。

　　三、个人信息与隐私权保护范围界定方法

　　如上所述，对公民个人的隐私进行保护，是因为公民个人为了发展自己的个性以及自主决定自己的私生活事务有必要获得安宁和清静，同时作为个人与生俱来的羞耻感也要求公民个人有权对于自己的私人生活秘密保持和隐匿。个人隐私是与公民个人密切相关的人格权益，而与公民个人的财产权益关涉不大或者不相关。个人信息之所以应该纳入法律的规制范围，则是因为随着科技的发展，个人信息一方面作为一种战略资源和生产要素需要明晰产权，另一方面也要避免个人信息的滥用给公民个人带来困扰，甚至侵害到公民的人格权益和财产权益。

　　在明确了隐私权和个人信息保护的法理基础之后，在判断来自于公民个人的信息是属于隐私信息还是个人信息时，就可以遵从以下步骤进行判断：第一步：该来自于个人的信息是关涉公民的人格利益、财产利益还是两种利益均关涉。如果只关涉公民个人的人格利益，则属于隐私信息，属于隐私权保护的范围。反之则是个人信息保护的范围，结束判断。第二步：如果来自于个人的信息既关涉公民个人的人格利益，也关涉财产利益，则进一步假设该信息一旦被泄漏，是否会对公民个人的人格造成常人所认为的损毁从而影响到公民个人的安宁和引起公民个人的羞耻感。如果是，则属于隐私权保护的范围，反之则是个人信息保护的范围。对于第二步中来自个人的信息也可以从法经济学的角度进行判定，如果该来自于个人的信息的披露所带来的公共收益大于公民个人利益的损失，则应该趋向于将该信息判定为个人信息，而非隐私信息。

　　四、对我国相关法律法规及行业规范中对个人信息界定的反思

　　从《民法总则》以及《网络安全法》中可以知道，立法者对于隐私信息以及个人信息是作为两种不同的权利客体进行保护的，但是在国家质量监督检验检疫总局和中国国家标准化管理委员会2017年12月29日年联合制定发布，并于2018年5月1日实施的GB/T 35273-2017《信息安全技术 个人信息安全规范》中却有将隐私信息和个人信息混合在一起，不分彼此的现象出现。GB/T 35273-2017《信息安全技术 个人信息安全规范》第3.1规定：“个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息”“注1:个人信息包括姓名、出生日期、身份证件号码、个人生物识别信息、住址、通信通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。”GB/T 35273-2017《信息安全技术 个人信息安全规范》第3.2规定：“个人敏感信息是指一旦泄露、非法提供或滥用可能危害人身和财产安全，极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。”

　　“注1：个人敏感信息包括身份证件号码、个人生物识别信息、银行账号、通信记录和内容、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息、14 岁以下(含)儿童 的个人信息等。”

　　上述规定中将公民的个人生物识别信息、健康生理信息等与公民个人人格利益密切相关的信息包括在个人信息之中，这些信息无疑应该是隐私权保护的范围，但却出现在个人信息中，那么在对这些信息进行保护的时候是应该按照隐私权进行保护还是个人信息进行保护呢?这两者保护的力度显然是不相同的。所以这种混淆个人信息与隐私信息的规定将会造成司法实践中执法部门和司法部门在实施过程中倚轻倚重，甚至无所适从。

　　在此不得不提，GB/T 35273-2017《信息安全技术 个人信息安全规范》在制定过程中事实上是借鉴了GDPR对个人信息的定义[9]，但是欧盟对个人信息的强保护模式是否适合我国的实际是成问题的，所以这也同时提醒我国在未来的个人信息立法过程中要充分吸收国外的立法经验的同时，也要注意与我国的实际情况相结合。这样才能制定出良法，从而实现良法之治。

　　[1] 参见王利明：《隐私权概念的再界定》，载《法学家》2012年第1期。

　　[2] 在张新宝教授的《从隐私到个人信息：利益再衡量的理论与制度安排》一文中认为“个人隐私与个人信息呈交叉关系，即有的个人隐私属于个人信息，而有的个人隐私则不属于个人信息;有的个人信息特别是涉及个人私生活的敏感信息属于个人隐私，但也有一些个人信息因高度公开而不属于隐私。”载《中国法学》2015年第3期。

　　[3] See Samuel D. Warren & Louis D. Brandeis, “The Right to Privacy”,4 Harv. L. Rev. ,1890, p 193.

　　[4]参见王利明：《隐私权概念的再界定》，载《法学家》2012年第1期。

　　[5] 参见郭峰：《论隐私权的法律属性》，载《商丘师范学院》2004年第20期。

　　[6]参见王利明：《隐私权概念的再界定》，载《法学家》2012年第1期。

　　[7] 参见京东法律研究院：《欧盟数据宪章——<一般数据保护条例>GDPR评述及实务指引》，法律出版社2018年版，第9页。

　　[8] 吴晓灵：《谁的数据谁做主》，载中国证券网：http：//news.cnstock.com/news/sns_bwkx/201607/3838818.htm,最后访问日期：2018年8月12日。

　　[9]GDPR第4条：个人数据是指一个被识别或可识别的自然人(“数据主体”)的任何信息。一个可识别的自然人，是指通过姓名、身份证号码、位置数据、在线身份识别码这类标识，或通过针对该自然人的一个或多个身体、生理、遗传、心理、经济、文化或社会等要素，能够直接或间接地被识别。