利益平衡視域下個人信息分類保護研究

姜愛茹

內蒙古農業大學人文社會科學學院，內蒙古 呼和浩特 010018

一、個人信息保護的難題

當今社會信息技術革命已深入到人們生活的各個方面，人們之間的聯系比以往更加緊密，相互依賴日益增強，基于社會交往的需要會產生和留存大量信息。每一個人都是信息產生的源頭，同時又是信息的消費者和利用者，個人信息的商業利用價值彰顯，海量的信息被挖掘利用后形成大數據，掌握了大數據對于國家機關和信息從業者來說能更好地做出決策和布局，從而使決策更加智能化、精準化。因此，信息的價值日益凸顯，信息成為一種重要的資源，數據甚至成為重要的生產資料。

在數據成為生產資料的同時，有學者提出了數據財產權的概念。[1]數據財產權是企業對經過其創造性勞動編輯、加工、處理的數據產品享有的一種財產性權利，數據產品是經過技術加工處理后的數據庫或各種數據畫像，[2]其中蘊含了有獨創性的、有價值的勞動。個人信息是數據產品之源，個人信息是數據的原材料，但不論個人信息經過了何種形態的變化，自然人對因自身行為而產生的個人信息始終具有專屬性的權利。數據財產權與個人信息權的權屬不同，但企業對其數據財產權的處理應受信息主體最初同意許可范圍的限制。

信息主體可以自由決定是否以及如何對其個人信息進行處理、查詢被處理的個人信息以及維護個人信息的完整與正確，當個人信息出現錯誤時要求更正或刪除個人信息等，個人信息利益體現了更多的人格屬性，體現了維護人格尊嚴和自由的價值。基于個人信息在產生和流轉的過程中發生的形態和權屬的變化，個人信息保護的難點在于如何平衡人格利益和信息的流動，如何在信息保護和信息利用之間尋求平衡。信息主體對個人信息的控制支配權與數據主體的數據權是一對天然的矛盾，如何實現信息主體與數據主體之間的利益平衡是當前個人信息保護法及數據保護立法的關鍵和難點。

《中華人民共和國民法典》（以下簡稱《民法典》）與《中華人民共和國個人信息保護法》（以下簡稱《個人信息保護法》）都規定了“自然人的個人信息受法律保護”，且通篇沒有提到“個人信息權”。盡管學界關于“個人信息權益”與“個人信息權”的爭議仍然存在，但侵害個人信息利益后承擔的侵權責任并無區別，至少從《民法典》第一百二十條能得出這樣的結論，加之2021年11月1日生效的《個人信息保護法》對個人信息保護的規定，本文認為，不論定位為個人信息權益還是個人信息權，對個人信息的保護力度和范圍不會因此而受到影響。

二、個人信息分類保護的必要性

（一）實現對個人信息多重利益格局的保護

個人信息之上存在諸多利益主體，涉及多種利益形態，這些利益主體是一個有機聯系的整體。具體來說，個人信息承載和體現了以下利益：1．人格尊嚴和自由價值?！皞€人作為目的性的存在，只有消除個人對‘信息化形象’被他人操控的疑慮和恐慌，保持其信息化人格與其自身的一致性而不被扭曲，才能有自尊并受到他人尊重地生存與生活。因此，個人信息對于信息主體的人格尊嚴和自由價值，應當是個人信息保護立法中首要考慮的因素”[3]；2．商業價值。企業利益大數據時代，個人信息成為了最有價值的商業資源，數據以驚人的速度被聚合及分析成為大數據，企業如果能夠利用好大數據，將會引領商業變革?；ヂ摼W的興起，幾乎每一個人都全面地參與到信息交流與分享中來，商家比以往更能便捷和全方位地獲取消費者的各種信息。然后，即可精準地了解消費者需求和偏好，個人信息已經變得越來越透明。個人的購買習慣、財務信息、金融信用、身體健康情況和社交互動情況等信息被企業分析和預測后，成為公司是否聘用你、金融機構是否愿意給你貸款、保險公司是否愿意接受你的投保的重要因素；3．社會公共利益。為更好地提供公共服務，收集和處理個人信息成為各國政府掌握國情國力進而提供科學決策和管理的最基本的調查方法。借助于現代信息技術，個人信息可以充分發揮其公共服務價值。在信息技術與統計學、數據分析技術結合的背景下，政府收集個人信息進行整合后，為正確制定社會管理方針和提供科學決策提供依據。[4]此次新冠肺炎疫情防控過程中，政府就廣泛收集了公民個人的健康信息及行蹤信息，做好了大數據上的準備和防范，避免了疫情的擴大，取得了防疫抗疫的階段性勝利。

如果要保護個人信息就要保護個人信息所承載的各種利益，包括個人利益、企業利益、社會利益。多種利益形態構成的多元利益格局決定了個人信息保護既不能搞一刀切用同一標準保護，也不能搞單向度保護僅著眼于個人利益，而要設計具體的、分類的個人信息保護機制。

（二）保證個人信息的流動性，為多元利益主體指明行動守則

個人信息前的定語“個人”，很容易讓人認為個人信息只關乎個人，個人信息保護就是對個人利益進行保護。毫無疑問個人信息來源于自然人，但在個人信息的流轉過程中，個人信息也被賦予了社會屬性和公共屬性。簡單來看，個人信息是與自然人有關的一切信息，包括個人身份信息、財產信息、家庭成員組成、健康狀況、工作單位、行蹤軌跡等各方面的信息，其內核與實質關聯的是人格，即個人的尊嚴和自由，它反映人的天然不同和精神旨趣的差異。個人信息是信息主體的外在符號，它具有標簽作用、表征作用、記錄作用和象征意義，它往往不是個人用來孤芳自賞的鏡子，而是在社會交往中用于區別于他人甚至向外界展示的名片，例如個人的姓名、電話、郵箱、位置信息等信息。與其說個人信息是以個人為描述對象的，毋寧講是社會成員溝通交流的紐帶。一方面，需要大量用戶個人信息的信息處理者（或者說“信息從業者”）在處理信息的過程中可能會侵害到用戶的隱私權或者個人信息權益；另一方面，用戶有提高生活便捷度、提升消費體驗的需求，也很難不依賴信息從業者基于大數據的應用提供的各項服務。

當我們談及個人信息保護時，要對利益主體進行區分，在對個人信息進行分類的前提下為個人、企業甚至政府管理機構劃定行為邊界，進行具體的行為指引。個人信息范圍過寬，個人信息具有載體依賴性，作為權利對象的個人信息之上存在諸多利益主體，涉及多種利益形態，這些利益主體是一個有機聯系的整體。如果不對個人信息進行類型化、場景化、示例化的規制，可能會導致信息在流通環節失控，也可能會對行政機關執法以及法院適用法律的確定性造成干擾。

三、怎樣分類 如何保護

從個人信息的類型化著手揭示個人信息的外延，進而區分不同的個人信息，進而匹配不同的個人信息保護機制，將信息類型與保護強度相匹配，將信息類型與信息處理機構的義務相匹配。

（一）私密信息與非私密信息

首先，要區分隱私和個人信息。自從1890年美國的薩穆埃爾·?瓦倫和路易斯·?布蘭代斯的《論隱私權》首次提出隱私權的概念以來，[5]隱私權的保護就強調要保護人們“獨處的權利”，即私人生活不被打擾的權利。雖然隱私權制度已經深深植根于美國法律體系中，但不論是實務界還是理論界對于隱私概念的外延邊界，仍然模糊不清，存在爭議。威廉·?L·?普羅瑟教授在其《論隱私》一文中，認為以下四種行為將構成對隱私權（即獨處權）的侵害：[6]第一，侵害原告的隱居獨處，或私人事務；第二，公開有關會使得原告尷尬的私人事實；第三，會使得原告造成公眾誤解的宣傳；第四，為了被告自己的利益將原告的姓名或者肖像占為己用。這是美國學者從行為方式的角度對隱私的外延做出的界定，而且該四種侵害隱私權的類型被美國第二次侵權法重述所繼承。透過美國學者對隱私的上述界定，我們不難看出，盡管其核心內涵是保護人們獨處的權利，但不論其內涵還是外延都十分的抽象。例如，如何理解“獨處”，如何理解“私人事務”和“私人生活”還要結合個案進行具體判斷，這顯然屬于價值判斷的過程。

其次，要判斷何為私密信息。私密信息包括兩方面：一為“私”，二為“密”?！八健本褪侵杆饺恕⑺揭?，即與公共利益和他人利益無關的私人信息，法律保護個人的私益信息不受他人打擾、不被他人知曉的一種安寧利益。但這種保護也是有邊界的，那就是不損害他人利益、同時向公共利益讓步。在實務中，公共利益的范圍和邊界也有些模糊，但至少在數量上應當指更多數人的利益、核心應當在公共健康和公共安全領域。“密”強調不為他人所知的秘密性，既包括不愿為他人所知的主觀期待，也需要具有未公開的客觀事實。[7]其中，性隱私和疾病隱私是自然人最核心的隱私之一。

從隱私權的演變發展以及《民法典》對隱私權的定義來看，隱私包括私人生活安寧、私密空間、私密活動和私密信息。①《民法典》第一千零三十二條。如果從權利對象的角度來看，個人信息包含私密信息，隱私也包括私密信息，因此個人信息和隱私是存在一定范圍的交叉的，而這個交叉部分就是私密信息。隱私權具有更強烈的人格尊嚴性，而個人信息則同時具有尊嚴性和資源性的雙重價值。②《個人信息保護法》第二十九條。在權利保護的順序上，私密信息如果能夠識別到特定自然人時首先屬于個人信息，應當給予個人信息的保護，這是一個事實判斷過程；然后再通過價值判斷，判斷私密信息是否屬于隱私，給予隱私權的保護，涉及私密信息保護時，應當采取強保護模式，禁止非法獲取和使用。對于私密信息來說，隱私權的保護更為嚴格，那么就優先給予隱私權的保護，如果不屬于隱私權的范疇，再考慮給予個人信息權益的保護。

（二）敏感信息與非敏感信息

《個人信息保護法》第二十九條首次單獨規定了“敏感信息”，敏感個人信息是一旦泄露或者非法使用，容易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害的個人信息。包括生物識別、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌跡等信息，以及不滿十四周歲未成年人的個人信息。相比于《個人信息保護法（草案二次審議稿）》（以下簡稱《草案》）關于敏感信息的定義，《個人信息保護法》的例舉性規定里增加了“特定身份信息”和“不滿十四周歲未成年人的個人信息”，這種改變體現了對特殊身份人員以及未成年人的重點保護；刪去了“種族”“民族”信息，這符合我國多民族統一國家的國情以及我國的傳統文化特點。行蹤軌跡信息被納入敏感信息的范疇也是《個人信息保護法》的一個亮點。

區分敏感信息和非敏感信息是因為對不同信息的處理規則是不一樣的，敏感信息關乎個人的核心利益，應該受到最嚴格的保護，原則上是禁止處理的，《個人信息保護法》第二十九條規定即使處理也要經過個人的單獨同意。而且，即使在符合法律規定的前提下處理敏感信息，信息處理者的注意義務也更高，只有在具有特定的目的和充分的必要性，并采取嚴格保護措施的情形下，個人信息處理者方可處理敏感個人信息，處理時還應當向個人告知處理敏感個人信息的必要性以及對個人權益的影響。③《個人信息保護法》第二十八條。

《個人信息保護法》劃定敏感信息與非敏感信息，目的是界定個人信息處理者的行為邊界，在處理敏感信息時信息處理者要遵循更高的注意義務。處理敏感個人信息前要進行個人信息保護影響評估，在具備特定的目的前提下評估處理行為的充分必要性，并對處理情況進行記錄，應當取得個人的單獨同意或者法律、行政法規規定的書面同意，還應當向個人告知處理敏感個人信息的必要性以及對個人權益的影響；處理不滿十四周歲未成年人個人信息的，應當取得未成年人的父母或者其他監護人的同意。

（三）公開的個人信息與非公開的個人信息

公開的個人信息是指被公之于眾的個人信息，包括1．個人自行主動公開的個人信息；2．因法律規定或公共利益需要而公開的個人信息。

《民法典》明確區分了公開的個人信息和非公開的個人信息，并為其設置了不同的處理規則：對于公開的個人信息，根據《民法典》第一千零三十六條第二項的規定，除自然人明確拒絕或者處理相關信息侵害其重大利益的外，合理處理相關信息不需要征得該自然人或者其監護人的同意；對于非公開的個人信息，根據《民法典》第一千零三十五條第一款的規定，除法律、行政法規另有規定外，處理相關信息需要征得該自然人或者其監護人同意?？梢?，《民法典》關于非公開的個人信息的保護強度要強于公開的個人信息?！皞€人信息處理者可以在合理的范圍內處理個人自行公開或者其他已經合法公開的個人信息；個人明確拒絕的除外。個人信息處理者處理已公開的個人信息，對個人權益有重大影響的，應當依照本法規定取得個人同意”。①《個人信息保護法》第二十七條。

根據上述法律的相關規定可知，處理公開的個人信息要在合理的范圍內，同時不能侵害到個人權益，即公開的個人信息可以合理使用。如何理解“合理使用”呢？《民法典》第九百九十九條規定：“為公共利益實施新聞報道、輿論監督等行為的，可以合理使用民事主體的姓名、名稱、肖像、個人信息等；使用不合理侵害民事主體人格權的，應當依法承擔民事責任?！雹凇睹穹ǖ洹返诰虐倬攀艞l。是否在合理的范圍內使用關鍵要看使用方式和目的，進行新聞報道、輿論監督等有利于社會公共利益的行為，可以合理使用民事主體的姓名、肖像等個人信息，如果以營利為目的未經信息權利人的同意而用作廣告推廣或者污損、丑化、不當評論了上述信息，都是不合理的使用。即使是基于新聞報道、輿論監督、公共利益而使用肖像等個人信息也不能任意處理個人信息，如果使用信息會侵害到權利人的人身或財產權益的，要承擔相應的侵權責任。

個人自行主動公開的個人信息不包括個人在有限、狹窄范圍內主動公開的個人信息。例如，在微信朋友圈展示的個人信息、在少數親朋好友聚集的聊天群里公開的個人信息不能視為公開的個人信息，只有在無限制的任意公眾都能瀏覽到的平臺上展示的個人信息才能視為公開的個人信息。例如，在微博上未設瀏覽權限的個人信息，在任何人都能瀏覽的旅游日志上展示的個人出游照片和信息，這些信息的處理不必經過信息權利人的專門同意，但也要合理使用。經個人同意后在一定范圍合法公開的信息，典型如基于合同關系而向合同當事人公開的信息，此類信息也不屬于公開的個人信息，即使合同未特別約定，當事人也應當承擔保密義務。而因為他人不當公開或者非法公開的個人信息，盡管在客觀上處于公開的狀態，但因為違法而不屬于合法公開的個人信息，對該類信息的使用屬于侵權，要承擔相應的侵權責任。

同時，基于社會征信和司法監督的需要，有些信息即使對當事人不利，當事人不想公開，也要公開，這種公開不侵犯當事人隱私，而且是依法公開。例如，人民法院在互聯網公布裁判文書時，應當刪除自然人的家庭住址、通信方式、身份證號碼、銀行賬號、健康狀況、車牌號碼、動產或不動產權屬證書編號等個人信息以及家事、人格權益等糾紛中涉及個人隱私的信息。③《最高人民法院關于人民法院在互聯網公布裁判文書的規定》第十條。例如，《最高人民法院關于人民法院在互聯網公布裁判文書的規定》第十條規定：“除上述自然人的信息外，當事人姓名（保留姓氏，名字以‘某’替代）、出生日期、性別、住所地所屬縣、區；以及法定代表人或主要負責人的姓名、職務；案情信息；判決結果等信息等都會公開。”《最高人民法院關于公布失信被執行人名單信息的若干規定》第六條規定：“除未成年人個人外，作為被執行人的自然人的姓名、性別、年齡、身份證號碼；生效法律文書確定的義務和被執行人的履行情況；被執行人失信行為的具體情形等信息都要依法公開?！?/p>