前言
近期,“好友关系不是隐私”又引发了热议。作为《民法典》中的“新料”, “隐私”和“个人信息”被一并列入人格权编以专章保护,两者经常被混同,那它们之间究竟是什么关系呢?
简单粗暴地说,在《民法典》下,这两者都被用于保护大数据时代的信息主体人格权益且但分别对应两个请求权基础,只是各自保护的对象有重叠部分——
隐私≠个人信息
01
模糊的边界:
构成私密信息的个人信息
02
如前所说,作为隐私权和个人信息重叠保护对象的“私密信息”是《民法典》下一个重要的新生术语,也是最难界定的人格权客体之一。如果一项信息同时具备“能够识别自然人”和“主体不愿为他人知晓”两个要件,才是“构成私密信息的个人信息” 。
但在个人信息处理和司法实践中,对某一信息属性的认定难点往往不在于 “可识别性”,而在于难以判断“私密性”,即构成个人信息的同时是否还会进一步构成私密信息。然而,是否构成私密信息不仅是一项主观认定,而需要同时兼顾考虑三重视角:
(1)信息主体个人的合理隐私期待,即,作为信息主体个人的内心感觉、想法、诉求、期待、愿景。
(2)普通人的一般合理认知,即,作为一个普通人通常会作出的预期判断与根据正常人的社会经历和认知水平会作出的内心反应。
(3)实际的信息收集和处理场景,即,在特定情况下并结合当时的具体情境会做出的心理判断与暗示。
如果以上三者任何一因素发生变化,对于个人信息的“私密性”判断都可能出现不同结果。例如,极端来讲,即使 “性取向”系敏感个人信息、公众亦一般认知为隐私,但是否绝对属于“隐私”,也要看主体自身的性格、认知、理解力与抗压性、主体所在环境的包容性与开放性、是否有主动意愿公开、是否为实现特定诉求、是否因此会遭受歧视性待遇等。例如在一些较为传统的社区环境,个人一般不愿意公开同性取向,而在开放程度大的城市,愿意公开同性伴侣关系的人越来越多,而一些公众人物公开表明自己的性取向,就更难以构成其隐私了。当发生隐私权与个人信息认定的争议时,法律应当同时考虑以上三点、不可偏废一端,才能保证其公平公正。
在北京互联网法院的“抖音”案中,判决从用户合理隐私期待的纬度将个人信息兼具的隐私属性划分为三个层次:一是符合社会一般合理认知下共识的私密信息;二是不具备私密性的一般信息;三是兼具防御性期待及积极利用期待的个人信息,是否侵权就需要结合信息内容、处理场景、处理方式等进行符合社会一般合理认知的判断。4另一民事判决中从场景化角度来分析,指出社交应用的好友关系在一定范围内已公开,并非不愿为他人知晓的私密信息。当然,这些诉争标的兼具个人信息与隐私权争议的案件还比较零星、尚未形成普遍共识。虽然对于社交软件中的虚拟社交关系、电话通讯录等构成个人信息的分歧不大,但这些信息是否同时仍然具有“私密性”的属性,则在企业和用户产生很大分歧。因不同社交软件对社交关系的公开模式多有差异,因此用户的合理隐私期待也应该场景化识别,即不应脱离具体软件的适用场景概括出过于抽象的论断。
此外需要注意,并没有法律规定隐私必须是“被他人知晓后会导致个人主体遭受负面或不当评价”的信息。隐私指向的私密性如果遭到破坏,会导致主体无法实现其合理隐私期待、精神或客观上受到一些伤害,但却并不意味着一定会受到名誉毁损。如果以他人如何评价该等信息来作为隐私的构成要件,将会极大缩减隐私权的适用范围,变相抬高了该权利的保护阈值。
区分隐私权保护和个人信息保护的核心意义:处理者5可适用的正当性事由不同
03
01
处理隐私的正当性事由
基于法律规定;
基于权利人明确同意。
02
处理个人信息的正当性事由
法律、行政法规的规定; 在该自然人本人或者其监护人同意的范围内合理实施的行为; 合理处理该自然人自行公开的或者其他已经合法公开的信息,但是该自然人明确拒绝或者处理该信息侵害其重大利益的除外; 为维护公共利益或者该自然人合法权益,合理实施的其他行为; 为公共利益实施新闻报道、舆论监督等行为而合理使用。 以后《个人信息保护法》还可能进一步增加其他正当性事由,如为订立或者履行合同所必需、为履行法定职责或者法定义务所必需等。
不受隐私权保护不等于不受个人信息保护
04
近期大众针对个别司法判决产生的朴素观点认为某项信息“不属于隐私就不受保护,企业可以肆意使用”,其实是个巨大误解。虽然隐私权客体之一的私密信息和个人信息的边界因在一定程度上相互交织而带来了可解释空间,但《民法典》仍以专章形式给出了隐私权和个人信息两种并存的保护路径:
(1)即使与自然人相关联的某一信息不属于隐私权保护的范畴,但如果具有“可识别性”,仍然可以作为个人信息保护
(2)如果该等信息既具有隐私权属性,也构成个人信息,则应当采用“隐私权保护优先+个人信息保护补充”的叠加保护方式:优先适用处理隐私的正当性事由和获得隐私权侵权救济,同时也应该遵守个人信息保护的其他要求9,包括不仅应当遵守《民法典》中关于个人信息保护的六字箴言“正当/合法/必要”、告知透明(第1035条)、确保安全(第111和1038条)和实现主体权利(第1037条)等规定,还应该遵守《网络安全法》等相关法律法规中对个人信息保护的规定。当然,侵害方因同一行为同时承担民事责任、行政责任和刑事责任的,财产应优先用于承担民事责任10。
上述复杂的保护路径背后体现了大数据时代对传统的隐私权保护框架产生了冲击,而民法则不得不作出相应的回应。在大数据和网络化时代,几乎自然人的所有行为都可以被数字化表征和处理,无论是互联网还是物联网企业,都离不开数据(包括私密信息)来提高效率和产能,数据也成为了很多企业向个人用户提供服务的基础,所以产生了从用户让渡个人信息的绝对权转化为个人要求企业合理利用个人信息的诉求变化。
但即使如此,仍然需要企业处理个人信息时尊重主体的最低信任水平和满足其基本的隐私期待,以期达到一种平衡:对于可积极利用而不会对基本人身自由和尊严造成重要影响的可识别性信息予以“个人信息保护”以替代“隐私权保护”,以遵循一定规则下的可利用性来代替纯粹的防御性;对于其他构成隐私的个人信息仍然受到隐私权保护,隐私权仍然是人之为人的尊严和自由所不可分割的人格利益,不会因为大数据时代的到来而磨灭。
苹果CEO库克在2021年1月的一次演讲中提到“如果我们接受生活中的一切都可以被汇总和出售,并且认为这是正常的、不可避免的,那么我们失去的不仅仅是数据,而是失去了做人的自由”。综上来看,“隐私”和“个人信息”都是保护我们在大数据时代人身尊严和自由的法律武器,《民法典》也基于对于两种权益的不同诉求制定了相应的保护路径,信息主体则应该根据信息的不同属性搭配适用相应的请求权基础。
最后还要说明一下:把“隐私”和“个人信息”做上述精细的区分是基于我国《民法典》的规定,而在日常生活、企业数据合规治理、大众媒体、跨境交流等语境下时刻都进行上述区分则未必有必要或可行,比如你看库克这次演讲中通篇都在说的“隐私”其实大部分都是我国《民法典》说的“个人信息”,但也不妨碍在大家都理解这里以保护隐私之名来保护个人信息或反之亦然……你懂的。
(作者个人观点,不代表所在单位立场)
来源:M姐 数据合规评论
1《民法典》第1032条 自然人享有隐私权。任何组织或者个人不得以刺探、侵扰、泄露、公开等方式侵害他人的隐私权。隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。
2《民法典》第1034条。
3 在“庞先生诉趣拿公司”一案中,二审法院明确指出,“在当今的大数据时代,信息的收集和匹配成本越来越低,原来单个的、孤立的、可以公示的个人信息一旦被收集、提取和综合,就完全可以与特定的个人相匹配,从而形成某一特定个人的详细而准确的整体信息。这些整体信息一旦被泄露扩散,任何人都将没有自己的私人空间,个人的隐私将遭到巨大威胁,任何他人未经权利人的允许,都不得扩散和不当利用能够指向特定个人的整体信息。”
4 黄某诉微信读书案(2019)京0491民初16142号。
5 这里采用《民法典》项下的一元主体规定,未区分“数据控制者”和“数据处理者”。
6《民法典》第1033条 除法律另有规定或者权利人明确同意外,任何组织或者个人不得实施下列行为:……(五)处理他人的私密信息。
7《民法典》第1026条。
8《民法典》第1035条 、第1036条、999条。
9《民法典》第1034条:“ ……个人信息中的私密信息,适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定。”对这条中的“没有规定”应做宽泛理解,即个人信息保护和隐私权保护有冲突的,应优先适用隐私权规定;没有冲突的或隐私权没有规定相应内容的,还应当遵守个人信息保护的规定。
10《民法典》第187条:民事主体因同一行为应当承担民事责任、行政责任和刑事责任的,承担行政责任或者刑事责任不影响承担民事责任;民事主体的财产不足以支付的,优先用于承担民事责任。
责任编辑:研究会秘书处
公众号二维码