區(qū)分于隱私的個(gè)人信息分級(jí)保護(hù)研究

裴俊暉 劉 柳

隨著科學(xué)技術(shù)的發(fā)展，隱私及個(gè)人信息泄漏問題越發(fā)頻繁，人們對(duì)各類能夠單獨(dú)或合并識(shí)別自己身份的個(gè)人信息以及自己不愿公開的個(gè)人隱私的保護(hù)意識(shí)不斷增強(qiáng)。《中華人民共和國(guó)民法典》（以下簡(jiǎn)稱《民法典》）和《中華人民共和國(guó)個(gè)人信息保護(hù)法》（以下簡(jiǎn)稱《個(gè)保法》）對(duì)隱私權(quán)和個(gè)人信息進(jìn)行了分級(jí)保護(hù)。《民法典》第1034 條第3 款規(guī)定：“個(gè)人信息中的私密信息，適用有關(guān)隱私權(quán)的規(guī)定；沒有規(guī)定的，適用有關(guān)個(gè)人信息保護(hù)的規(guī)定。”而《個(gè)保法》中又在第二章的第一、二節(jié)對(duì)個(gè)人信息保護(hù)作出了一般規(guī)定和敏感個(gè)人信息的處理規(guī)則。如此，我國(guó)構(gòu)成了對(duì)公民隱私及個(gè)人信息的“隱私—敏感個(gè)人信息—一般個(gè)人信息”三級(jí)保護(hù)模式。這種將隱私與個(gè)人信息熔于一爐進(jìn)行三級(jí)分級(jí)的保護(hù)模式易造成兩個(gè)問題：一是概念混淆。三者之間的界限模糊，導(dǎo)致某些個(gè)人信息級(jí)別定位模棱兩可，勢(shì)必會(huì)造成保護(hù)模式適用的兩難境地。特別是隱私和個(gè)人信息還在“私密信息”范疇交叉，易造成隱私與個(gè)人信息之間的概念混淆。二是單層模式。這一問題源自于界限模糊，忽視各類個(gè)人信息間，甚至個(gè)人信息與隱私之間的差距而采取“一刀切”的保護(hù)模式，使法律規(guī)定的正確保護(hù)方式被閑置。①如何解決這些問題，完善我國(guó)的隱私及個(gè)人信息的保護(hù)模式就是本文所要探討的內(nèi)容。

一、隱私及個(gè)人信息區(qū)分模糊與個(gè)人信息保護(hù)不周延問題

隱私和個(gè)人信息在“私密信息”這一范疇中形成交叉，易導(dǎo)致隱私和個(gè)人信息之間區(qū)分模糊。加之個(gè)人信息的二級(jí)分級(jí)結(jié)構(gòu)簡(jiǎn)單，易造成分級(jí)保護(hù)不周延的問題。

（一）《民法典》規(guī)定導(dǎo)致的隱私及個(gè)人信息區(qū)分模糊

目前我國(guó)《民法典》在第110 條和第111 條中分別規(guī)定了隱私權(quán)與個(gè)人信息受法律保護(hù)②，雖均規(guī)定在民事權(quán)利一章，但個(gè)人信息是否應(yīng)視為權(quán)利尚存在爭(zhēng)議，學(xué)界對(duì)此也是眾說(shuō)紛紜。其中主要包括：法益說(shuō)、近似人格權(quán)說(shuō)以及人格權(quán)說(shuō)三種學(xué)說(shuō)觀點(diǎn)。③由于本文主要討論的是區(qū)分隱私及個(gè)人信息而非對(duì)個(gè)人信息的權(quán)利或權(quán)益性質(zhì)進(jìn)行定性，因此該爭(zhēng)議問題本文不做贅述。但至少可以確定的是，《民法典》第110 條與第111 條已經(jīng)將隱私與個(gè)人信息列為兩種不同的權(quán)利或權(quán)益。同時(shí)，《民法典》通過第1032 條和第1034 條第2 款分別對(duì)“隱私”和“個(gè)人信息”進(jìn)行區(qū)分定義。④然而，第1032 條中隱私定義所包含的“私密信息”以及第1034 條第二款規(guī)定的“個(gè)人信息中的私密信息，適用有關(guān)隱私權(quán)的規(guī)定；沒有規(guī)定的，適用有關(guān)個(gè)人信息保護(hù)的規(guī)定”，卻又使二者形成了隱私和個(gè)人信息兩相區(qū)分又在“私密信息”這一部分相互交融的局面。⑤如此，《民法典》對(duì)隱私及個(gè)人信息的規(guī)定，無(wú)法明確二者之間的區(qū)分，易造成司法實(shí)踐中“一刀切”的錯(cuò)誤操作。

（二）《個(gè)保法》規(guī)定帶來(lái)的個(gè)人信息保護(hù)不周延

《個(gè)保法》第二章個(gè)人信息處理規(guī)則共分為三節(jié)，分別是一般規(guī)定、敏感個(gè)人信息的處理規(guī)則以及國(guó)家機(jī)關(guān)處理個(gè)人信息的特別規(guī)定。從該分節(jié)方式中不難看出，作為我國(guó)對(duì)個(gè)人信息進(jìn)行保護(hù)的特別法，《個(gè)保法》對(duì)個(gè)人信息作出了兩級(jí)劃分，即“一般個(gè)人信息—敏感個(gè)人信息”，并對(duì)二者的處理規(guī)則進(jìn)行了區(qū)分規(guī)定。《個(gè)保法》第4 條對(duì)個(gè)人信息作出一般性的定義，其中“不包括匿名化處理后的信息”也說(shuō)明我國(guó)所保護(hù)的個(gè)人信息只限于可單獨(dú)識(shí)別或可合并識(shí)別的內(nèi)容。⑥而《個(gè)保法》第28條通過可識(shí)別程度將“敏感個(gè)人信息”定義為一旦泄漏或者非法使用，容易導(dǎo)致自然人的人格尊嚴(yán)受到侵害或者人身、財(cái)產(chǎn)安全受到危害的個(gè)人信息。但由于以下兩點(diǎn)原因，這一分級(jí)模式容易使司法實(shí)務(wù)陷入混淆適用的泥潭。

1.二級(jí)保護(hù)模式帶來(lái)個(gè)人信息保護(hù)泛化

《個(gè)保法》作為我國(guó)個(gè)人信息保護(hù)領(lǐng)域最高位階的專門立法，它對(duì)個(gè)人信息的界定與分級(jí)勢(shì)必具有深遠(yuǎn)的指導(dǎo)意義。然而對(duì)個(gè)人信息僅做二級(jí)區(qū)分是遠(yuǎn)遠(yuǎn)不夠的，如此二級(jí)區(qū)分易造成：（1）對(duì)可識(shí)別程度極高的敏感信息保護(hù)不周延。敏感個(gè)人信息中有些信息對(duì)行為人的可識(shí)別性是極高的，不將這類個(gè)人信息區(qū)別于其他敏感個(gè)人信息，易造成保護(hù)泛化而不周延不精細(xì)。（2）對(duì)可識(shí)別程度處于中位的個(gè)人信息認(rèn)定模糊。對(duì)于這類個(gè)人信息若認(rèn)定為敏感信息則保護(hù)力度過大不利于信息流動(dòng)，認(rèn)定為一般個(gè)人信息則保護(hù)力度過輕不利于行為人維護(hù)自己的合法權(quán)益。二級(jí)保護(hù)模式易造成對(duì)個(gè)人信息級(jí)別認(rèn)定非此即彼，保護(hù)力度不周延的問題。

2.“場(chǎng)景化”立法保護(hù)不周延

我國(guó)對(duì)個(gè)人信息的分級(jí)以可識(shí)別程度為分級(jí)標(biāo)準(zhǔn)，但各項(xiàng)個(gè)人信息帶有的可識(shí)別程度在不同的場(chǎng)景下可能存在變化。由于這種變化，我國(guó)現(xiàn)有的個(gè)人信息保護(hù)相關(guān)的法律文件對(duì)各項(xiàng)個(gè)人信息的分級(jí)認(rèn)定持有不同的觀點(diǎn)，形成了表1 所示的個(gè)人信息分級(jí)認(rèn)定結(jié)果。

表1 我國(guó)一般性法律文本對(duì)個(gè)人信息的分級(jí)認(rèn)定⑦

由表1 可見，在大部分類型的個(gè)人信息的分級(jí)認(rèn)定上，國(guó)內(nèi)的法律文本達(dá)成了共識(shí)，只是在某些法律文本中形成了特別規(guī)定；但在某些信息的分級(jí)認(rèn)定問題上，《個(gè)保法》和其他的一些法律文本的觀點(diǎn)產(chǎn)生了矛盾。例如銀行賬戶信息，《個(gè)保法》在第28 條明確規(guī)定為敏感個(gè)人信息，而在其他的一些法律文本中卻認(rèn)定為一般個(gè)人信息。這都是場(chǎng)景化特別立法模式下的正常現(xiàn)象。但需要注意的是由于某些法律文件發(fā)布時(shí)間較早，《個(gè)保法》作為最新立法其分級(jí)標(biāo)準(zhǔn)是否能夠?qū)ζ溥M(jìn)行取代。

綜上所述，《民法典》對(duì)隱私和個(gè)人信息的定義以及私密信息保護(hù)條文的表述易導(dǎo)致隱私及個(gè)人信息之間存在難以區(qū)分的問題；而《個(gè)保法》中對(duì)個(gè)人信息等級(jí)認(rèn)定的規(guī)定與我國(guó)其他先行的關(guān)于個(gè)人信息等級(jí)認(rèn)定的一般性法律文本產(chǎn)生了矛盾，該矛盾又與“可識(shí)別”標(biāo)準(zhǔn)帶來(lái)的“場(chǎng)景化”差異一同導(dǎo)致了個(gè)人信息分級(jí)認(rèn)定不明的問題。這兩個(gè)問題就是我國(guó)隱私及個(gè)人信息的區(qū)分分級(jí)保護(hù)模式構(gòu)建所面臨的問題。

二、隱私及個(gè)人信息的概念厘定與區(qū)分之必要性

隱私與個(gè)人信息之間存在概念上的易混淆性，二者存在相聯(lián)系之處，但也同樣存在差異。本部分?jǐn)M從二者的概念入手，厘清二者概念之間的聯(lián)系與差異；再?gòu)膶?duì)二者的保護(hù)價(jià)值差異入手，分析區(qū)分二者的必要性。

（一）隱私及個(gè)人信息的概念厘定

1.隱私：不愿為他人知曉

從詞語(yǔ)意思的角度上來(lái)看，“隱私”一詞的中文含義為：不愿告訴人的或不愿公開的個(gè)人的事；其在英文中的含義為：“Facts one wishes to hide”。兩種語(yǔ)言中該詞均包含著極為強(qiáng)烈的個(gè)人主觀色彩，都強(qiáng)調(diào)“不愿意”這一主觀態(tài)度。從《民法典》第1032 條對(duì)“隱私”的定義來(lái)看，“隱私”是指自然人的私人生活安寧和不愿為他人知曉的私密空間、私密活動(dòng)、私密信息。這一定義可以解讀為：隱私權(quán)在我國(guó)法律體系中實(shí)則包含兩種不同的實(shí)體權(quán)利，一是自然人的私人生活安寧權(quán)；⑧二是狹義的隱私權(quán)，即不愿他人知曉的私人活動(dòng)及信息等。前一層含義的法理來(lái)源是“貼身禁忌”這一規(guī)范性觀念，“貼身”一詞中的身體不僅是生理態(tài)的而且是溝通態(tài)的⑨，溝通態(tài)身體的“貼身禁忌”就形成了私人生活安寧不受他人侵害這一對(duì)世權(quán)。而后一層含義實(shí)則表述了狹義隱私權(quán)的兩項(xiàng)特性：一是本質(zhì)特性，即不愿為他人知曉；二是外延特性，即滿足本質(zhì)特性的私密空間、私密活動(dòng)、私密信息。該定義雖然將“私密信息”這一個(gè)人信息類型設(shè)置于隱私的外延特性之中，但該定義的關(guān)鍵在于承認(rèn)“不愿為他人知曉”這一本質(zhì)特性。也就是說(shuō)，即使是“私密信息”，但只要自然人愿意讓他人知曉那它就不再是隱私。只要獲得了自然人的同意，那么該“私密信息”的性質(zhì)就發(fā)生了從“隱私”到“非隱私”的變化。但該“私密信息”本身并沒有因此而發(fā)生屬性的變化，依舊還是私密信息。在此語(yǔ)境中，“隱私”成為了“私密信息”的性質(zhì)而非一個(gè)獨(dú)立的概念。冉克平教授和丁超俊學(xué)者也持有類似的觀點(diǎn)，“隱私的內(nèi)容一旦被公開后其不再具有隱私的屬性，而個(gè)人信息被公開或者利用后其仍然屬于個(gè)人信息，不存在性質(zhì)的改變。”⑩由此可見，我國(guó)《民法典》對(duì)“隱私”的定義中雖然將不愿為他人知曉的“私密信息”作為其外延之一，但該定義更加強(qiáng)調(diào)的應(yīng)是“不愿為他人知曉”這一主觀態(tài)度與本質(zhì)特性。因?yàn)樾袨槿瞬辉杆酥獣裕矫苄畔⒉拍鼙徽J(rèn)定為其隱私的一部分。

2.個(gè)人信息：可識(shí)別特定個(gè)人

從詞語(yǔ)意思的角度上來(lái)看，“個(gè)人信息”一詞中“個(gè)人”是相對(duì)于公家和他人而言的一個(gè)概念，而“信息”是指：（1）音信；消息；（2）通信系統(tǒng)傳輸和處理的對(duì)象，一般指事件或資料數(shù)據(jù)。此處應(yīng)對(duì)“信息”一詞作第二層含義的狹義理解，即“個(gè)人信息”這一詞組的含義應(yīng)是：相對(duì)于公家和他人而言，屬于個(gè)人的通信系統(tǒng)傳輸和處理的對(duì)象。其英文含義為“Personal Information”。無(wú)論是中文還是英文含義，個(gè)人信息概念都不包含主觀色彩，可見該概念描述的是一個(gè)純粹的客觀事物。

從《民法典》第1034 條第2 款對(duì)“個(gè)人信息”的定義來(lái)看?，該定義可以區(qū)分為兩個(gè)部分，分別描述了個(gè)人信息概念的本質(zhì)特性和外延特性。其中本質(zhì)特性可表述為“可單獨(dú)或合并識(shí)別特定個(gè)人”，而外延特性則是逗號(hào)之后被包括的內(nèi)容。而“以電子或者其他方式記錄的”是對(duì)個(gè)人信息可能載體的表述。從其本質(zhì)特性的表述可以看出我國(guó)在個(gè)人信息保護(hù)上借鑒了“可識(shí)別說(shuō)”。該學(xué)說(shuō)由美國(guó)學(xué)者提出，他們將個(gè)人信息分為可識(shí)別個(gè)人信息（Personally Identifiable Information,PII）和不可識(shí)別個(gè)人信息（non-PII）。?在這種區(qū)分下，個(gè)人信息被依照“是否可以單獨(dú)或與其他信息結(jié)合識(shí)別出特定個(gè)人”這一標(biāo)準(zhǔn)分成了兩類，而只有PII 類個(gè)人信息才是美國(guó)個(gè)人信息保護(hù)的重要對(duì)象。?這一分類也一度被認(rèn)為是美國(guó)與歐盟在信息保護(hù)上的最大分野。美國(guó)還將PII 依據(jù)違反保密性的后果依次分級(jí)為高級(jí)、中級(jí)和低級(jí)。低級(jí)為有限的不良影響，中級(jí)為嚴(yán)重的不良影響，高級(jí)為特別嚴(yán)重或?yàn)?zāi)難性的不良影響。由此可見，“個(gè)人信息”不論是在中英文中的語(yǔ)詞含義，還是在我國(guó)法律體系中的定義，均不包含主觀色彩，而是指可單獨(dú)或合并識(shí)別特定個(gè)人的，相對(duì)于公家和他人而言屬于個(gè)人的信息客體。

3.私密信息：隱私及個(gè)人信息的保護(hù)交叉地

從詞語(yǔ)意思的角度上來(lái)看，“私密信息”一詞中“私密”的中文含義為：一是屬于個(gè)人而比較隱秘的；二是個(gè)人的秘密、隱私。其中第一層含義為形容詞性，而第二層則為名詞性質(zhì)，結(jié)合“私密信息”這一詞組本身，不難得出此處應(yīng)當(dāng)適用第一層含義的結(jié)論。英文含義為“Private”。二者表述含義均為屬于個(gè)人比較隱秘的信息。我國(guó)現(xiàn)行法律文件中并沒有對(duì)“私密信息”作特別定義。依照詞義，私密信息的本質(zhì)特性即為：屬于個(gè)人而比較隱秘。可見，“私密信息”和“隱私”在本質(zhì)特性上存在較大區(qū)別，而由于其本身就屬于個(gè)人信息的一類，因而其本質(zhì)特性和“個(gè)人信息”之間只多出了“比較隱秘”一點(diǎn)。且《民法典》第六章第1034 條中也指出“個(gè)人信息中的私密信息，適用有關(guān)隱私權(quán)的規(guī)定”?，該法條雖然指出“私密信息”可以適用有關(guān)隱私權(quán)的規(guī)定，但同時(shí)也承認(rèn)了“私密信息”和“隱私”之間存在可以進(jìn)行區(qū)別規(guī)定和保護(hù)的空間。

更需要注意區(qū)分的是私密信息與敏感個(gè)人信息這兩個(gè)概念。對(duì)于個(gè)人信息的分級(jí)，我國(guó)現(xiàn)行法律中存在兩套分級(jí)標(biāo)準(zhǔn)。《民法典》以個(gè)人信息是否足夠隱秘為標(biāo)準(zhǔn)將個(gè)人信息分級(jí)為一般個(gè)人信息與私密（個(gè)人）信息；《個(gè)保法》將敏感個(gè)人信息表述為被泄露或非法使用后行為人易受到人格尊嚴(yán)侵害或人身、財(cái)產(chǎn)安全危害的各種個(gè)人信息。?這實(shí)際上是以信息的可識(shí)別程度對(duì)個(gè)人信息分級(jí)的結(jié)果，可識(shí)別程度低的為一般個(gè)人信息，程度高的則為敏感個(gè)人信息。對(duì)于敏感個(gè)人信息與私密（個(gè)人）信息之間究竟存在怎樣的關(guān)系，學(xué)界存在三種觀點(diǎn)：（1）同質(zhì)說(shuō)：認(rèn)為二者之間并無(wú)實(shí)質(zhì)區(qū)別，并強(qiáng)調(diào)其隱私性；?（2）交叉說(shuō)：認(rèn)為二者之間存在交叉重合；?（3）獨(dú)立說(shuō)：認(rèn)為二者之間不存在任何交叉的可能。其中以第二種觀點(diǎn)為主流，認(rèn)為二者之間存在交叉關(guān)系，且認(rèn)定為私密信息即具有隱私的屬性。筆者也認(rèn)同兩者存在交叉重合的關(guān)系，因?yàn)閮蓚€(gè)概念是不同的分級(jí)標(biāo)準(zhǔn)下的產(chǎn)物，自然易存在內(nèi)容上的重合。但對(duì)私密信息一定具有隱私屬性這一觀點(diǎn)存保留態(tài)度，認(rèn)定為私密信息并不是認(rèn)定隱私的充分條件，該部分留待下文詳細(xì)闡述。如此，“隱私”具有較強(qiáng)的主觀色彩，強(qiáng)調(diào)“不愿為他人知曉”這一本質(zhì)特性；而“個(gè)人信息”包括“私密信息”都只具有客觀屬性而并不隨自然人的意愿而發(fā)生性質(zhì)上的變化。可見“隱私”與“個(gè)人信息”之間具有明顯的本質(zhì)特性區(qū)別，這就為我們明確二者之區(qū)分提供了概念層面的理論基礎(chǔ)。

（二）隱私及個(gè)人信息區(qū)分的必要性

上文通過對(duì)隱私與個(gè)人信息概念的界定，論述了二者本質(zhì)特性上的差別。隱私權(quán)和個(gè)人信息權(quán)（或權(quán)益）雖然在客體上存在著交錯(cuò)性，在侵害后果上存在著競(jìng)合性?，但二者在立法目的上依然存在差異。因此，厘清二者的立法目的差異對(duì)明確二者之區(qū)分十分必要。

首先，關(guān)于對(duì)隱私的保護(hù)。隱私保護(hù)更側(cè)重于對(duì)當(dāng)事人獨(dú)處的生活狀態(tài)的保護(hù)，因此隱私僅具有私密性。《民法典》通過第990 條第1 款將隱私權(quán)設(shè)立為一項(xiàng)法定人格權(quán)，其立法目的是保護(hù)公民的私人生活安寧不受侵犯和保持不欲為他人所知之事物的私密性質(zhì)，是一種消極的對(duì)世保護(hù)性權(quán)利。其次，關(guān)于對(duì)個(gè)人信息的保護(hù)。個(gè)人信息與隱私不同，并非人天生就存在的權(quán)利，其產(chǎn)生與完善的過程是伴隨著人類生長(zhǎng)而推進(jìn)的，主要價(jià)值就在于社會(huì)交往中的可識(shí)別性。?也并非所有個(gè)人信息權(quán)益都會(huì)得到保護(hù)，只有國(guó)家法律規(guī)定范圍內(nèi)的個(gè)人信息權(quán)益才是法律保護(hù)的對(duì)象。《民法典》通過第990條第2 款將個(gè)人信息設(shè)置為一項(xiàng)人格權(quán)益，并沒有冠以“權(quán)”的稱謂，注定了其應(yīng)當(dāng)適用權(quán)益的保護(hù)模式而非權(quán)利保護(hù)模式。?個(gè)人信息是通過數(shù)據(jù)收集、加工等步驟編排而成，這種生成路徑使個(gè)人信息在保留了一定私密性的同時(shí)也獲得了社會(huì)流動(dòng)這一價(jià)值特性。因此，在立法目的層面，個(gè)人信息不像隱私只強(qiáng)調(diào)消極保護(hù)，而是更加強(qiáng)調(diào)其能夠被合法地積極使用。綜上所述，隱私及個(gè)人信息保護(hù)之間，不論是從概念出發(fā)還是從立法目的上考慮都存在較為明顯的區(qū)別，存在明確二者之區(qū)分的空間。但我國(guó)現(xiàn)行法律對(duì)其區(qū)分較為模糊，還有著“私密信息”這一保護(hù)交叉地的存在，容易造成司法實(shí)務(wù)過程中的法律適用混淆等問題。

三、域外關(guān)于隱私及個(gè)人信息保護(hù)的規(guī)定

我國(guó)互聯(lián)網(wǎng)等科技領(lǐng)域的發(fā)展起步較晚，國(guó)民對(duì)個(gè)人信息安全的重要性認(rèn)識(shí)逐步提升。筆者擬從歐盟和美國(guó)的保護(hù)模式入手，分析兩國(guó)家或地區(qū)對(duì)隱私及個(gè)人信息的區(qū)分分級(jí)保護(hù)，以借鑒其立法經(jīng)驗(yàn)完善我國(guó)保護(hù)模式。

（一）歐盟：依處理程度分級(jí)保護(hù)

歐盟通過《基本權(quán)利憲章》（Charter of Fundamental Rights of the European Union）對(duì)隱私與個(gè)人信息進(jìn)行了區(qū)分。其中第7 條對(duì)私人生活、家庭生活以及通信等提供保障?，該條被認(rèn)為是歐盟對(duì)隱私權(quán)的賦權(quán)；而第8 條則對(duì)個(gè)人數(shù)據(jù)的保護(hù)、收集處理以及更正等提供保障?，數(shù)據(jù)是個(gè)人信息的載體，因此這條被認(rèn)為是歐盟對(duì)個(gè)人信息權(quán)的賦權(quán)。通過《基本權(quán)利憲章》，歐盟將隱私權(quán)與個(gè)人信息權(quán)均賦權(quán)為公民的基本權(quán)利，并作出區(qū)分形成了其形式上的二元保護(hù)模式。然而，由于《基本權(quán)利憲章》第8 條未明確個(gè)人數(shù)據(jù)的權(quán)益邊界，導(dǎo)致第7 條和第8 條規(guī)定的權(quán)利存在交叉。這導(dǎo)致歐盟的隱私及個(gè)人信息保護(hù)模式與美國(guó)只存在形式上的差異：歐盟將個(gè)人信息權(quán)從隱私權(quán)中分離而出，但在實(shí)質(zhì)上卻依舊共通，即均將個(gè)人信息權(quán)視作隱私權(quán)在信息數(shù)字時(shí)代的延伸。?不同于美國(guó)分散式立法現(xiàn)狀，歐盟在隱私及個(gè)人信息保護(hù)方面已經(jīng)采取統(tǒng)一立法的模式。《一般數(shù)據(jù)保護(hù)法案》（General Data Protection Regulation,GDPR）于2016 年通過并于2018 年正式實(shí)施。該法案對(duì)隱私與個(gè)人信息提供了一般性的保護(hù)，是歐盟對(duì)各領(lǐng)域進(jìn)行個(gè)人數(shù)據(jù)的收集、處理、流動(dòng)等行為的一般準(zhǔn)則。其下還有《電子隱私指令》（Directive on Privacy and Electronic Communications,DPEC）等指令進(jìn)行補(bǔ)充保障。

歐盟依照信息的被處理程度對(duì)個(gè)人信息的載體——數(shù)據(jù)進(jìn)行了細(xì)化的分級(jí)保護(hù)，將其分級(jí)為：原始數(shù)據(jù)、預(yù)處理數(shù)據(jù)、經(jīng)過處理的數(shù)據(jù)、數(shù)據(jù)驅(qū)動(dòng)的見解四個(gè)等級(jí)。?這四類數(shù)據(jù)附加值依次遞增，而保護(hù)強(qiáng)度依次遞減。簡(jiǎn)單來(lái)說(shuō)，原始數(shù)據(jù)是沒有經(jīng)過或經(jīng)過較少處理的，零散的信息數(shù)據(jù)。但同時(shí)由于其內(nèi)容可能涉及個(gè)人、企業(yè)甚至是行業(yè)的隱私、敏感信息或秘密，其所需要的保護(hù)力度往往是最大的。預(yù)處理數(shù)據(jù)是指經(jīng)過初步處理，將原始數(shù)據(jù)中錯(cuò)誤、冗余部分篩除、歸類，方便下一步處理的信息。雖然該類數(shù)據(jù)已經(jīng)進(jìn)行了一定的處理，但此類數(shù)據(jù)所具有的敏感性依舊很強(qiáng)，因此保護(hù)力度依舊很高。在預(yù)處理數(shù)據(jù)的基礎(chǔ)上再進(jìn)行提煉和脫敏等程序，就形成了經(jīng)過處理的數(shù)據(jù)，此類數(shù)據(jù)已經(jīng)可以進(jìn)入商業(yè)交易領(lǐng)域，自身的敏感度大大降低，具有了其獨(dú)立的商業(yè)價(jià)值，故保護(hù)力度也隨之減弱。數(shù)據(jù)驅(qū)動(dòng)的見解是在對(duì)經(jīng)過處理的數(shù)據(jù)進(jìn)一步分析后形成的具有獨(dú)特商業(yè)價(jià)值的建議和見解，該類數(shù)據(jù)已與原始數(shù)據(jù)關(guān)系不大，自身敏感性也大大降低，故保護(hù)力度也最低。歐盟將隱私與個(gè)人信息區(qū)分為不同的權(quán)利種類，從而區(qū)分對(duì)二者的保護(hù)。雖然因未明確個(gè)人信息的權(quán)利邊界而導(dǎo)致二者依舊存在交叉，但依舊為我國(guó)明確二者之區(qū)分提供了思路。同時(shí)，對(duì)個(gè)人信息進(jìn)行四級(jí)分級(jí)保護(hù)，保障可識(shí)別程度最高的原始數(shù)據(jù)不受侵犯的同時(shí)，也保持了脫敏數(shù)據(jù)的市場(chǎng)流動(dòng)性。這種以賦權(quán)區(qū)分隱私權(quán)及個(gè)人信息權(quán)，并以被處理程度作為個(gè)人信息數(shù)據(jù)的分級(jí)標(biāo)準(zhǔn)的立法經(jīng)驗(yàn)值得我國(guó)借鑒。

（二）美國(guó)：場(chǎng)景化特別立法保護(hù)

美國(guó)自布蘭代斯和沃倫提出隱私權(quán)的概念以來(lái)?，美國(guó)隱私權(quán)的外延被不斷擴(kuò)充。例如Jerry Kang 教授就指出隱私權(quán)可以包括：（1）物理空間：個(gè)人獨(dú)處的領(lǐng)域不受不歡迎的侵?jǐn)_；（2）自主選擇：個(gè)人重大選擇不受侵?jǐn)_；（3）個(gè)人信息流動(dòng)：自己對(duì)個(gè)人信息的處理的可控制。?而Erwin Chemerinsky 也認(rèn)為隱私權(quán)主要用于描述三種不同的權(quán)利：（1）與防止政府入侵個(gè)人家庭或個(gè)人人格相關(guān)；（2）與自主決定權(quán)相關(guān)；（3）保障個(gè)人能夠擁有控制與自身有關(guān)的信息傳播的能力。?可見，美國(guó)對(duì)隱私權(quán)的認(rèn)定是較為寬泛的，隱私權(quán)在美國(guó)是一個(gè)更高層級(jí)的權(quán)利表述，類似于一個(gè)權(quán)利集合，個(gè)人信息權(quán)被包含于隱私權(quán)的集合之內(nèi)。鑒于此，可以認(rèn)定美國(guó)對(duì)隱私及個(gè)人信息在形式上采取的是一元保護(hù)的模式，個(gè)人信息權(quán)作為隱私權(quán)的一部分，受到隱私相關(guān)法案的保護(hù)。

美國(guó)與隱私權(quán)保護(hù)相關(guān)的法案十分繁雜，甚至可以說(shuō)較為碎片化。聯(lián)邦層面，1974 年美國(guó)國(guó)會(huì)通過了《個(gè)人隱私法案》，明確規(guī)定公民的隱私權(quán)受法律保護(hù)。?后通過《駕駛員隱私保護(hù)法》（Drivers Privacy Protection Act,DPPA）對(duì)各州機(jī)動(dòng)車部門收集、處理駕駛員個(gè)人信息進(jìn)行規(guī)制。?通過《電子通訊隱私法》（Electronic Communications Privacy Act，ECPA）禁止未經(jīng)授權(quán)的第三方截取或泄露通訊信息。?通過《兒童在線隱私保護(hù)法》（Childrens’ Online Privacy Protection Act,COPPA）禁止各州收集13 歲以下兒童的個(gè)人信息，并要求在收集兒童個(gè)人信息時(shí)征求父母的同意。?還通過《金融隱私權(quán)法案》（Right to Financial Privacy Act,RFPA）規(guī)制金融交易過程中的信息收集、處理、披露等行為。?至于州層面的相關(guān)立法更是龐雜，涉及各行各業(yè)的具體隱私與個(gè)人信息的保護(hù)規(guī)則。美國(guó)如此碎片式的立法帶有場(chǎng)景化的考量，這種重視“場(chǎng)景”導(dǎo)向的隱私及個(gè)人信息保護(hù)模式，能夠根據(jù)用戶的個(gè)人需求進(jìn)行數(shù)據(jù)從業(yè)者的責(zé)任制度構(gòu)建，對(duì)飛速發(fā)展的用戶個(gè)人信息保護(hù)的不同需求響應(yīng)極快。?通過對(duì)不同場(chǎng)景不同需求的特別規(guī)制，也較好地嚴(yán)密了隱私及個(gè)人信息的保護(hù)法網(wǎng)。同時(shí)，美國(guó)的隱私及個(gè)人信息的統(tǒng)一立法也已經(jīng)處于萌芽階段，2022 年美國(guó)聯(lián)邦就《美國(guó)數(shù)據(jù)隱私保護(hù)法》（American Data Privacy and Protection Act,ADPPA）草案展開聽證，可見美國(guó)希冀通過該法案統(tǒng)一自己隱私權(quán)保護(hù)相關(guān)的眾多法案。這種前期通過各領(lǐng)域分散立法，待法網(wǎng)編制嚴(yán)密之后再統(tǒng)一整合各領(lǐng)域立法的方案值得我國(guó)參考。具體而言：一是可以針對(duì)各領(lǐng)域需求對(duì)癥下藥，嚴(yán)密法網(wǎng)；二是對(duì)新興領(lǐng)域需求響應(yīng)迅速，而不需如統(tǒng)一立法模式一般大動(dòng)干戈。

綜上所述，歐盟與美國(guó)對(duì)隱私及個(gè)人信息是否需要區(qū)分采取了不同的態(tài)度。歐盟通過《基本權(quán)利憲章》在不否定二者之聯(lián)系的同時(shí)，明確了二者之區(qū)分。美國(guó)則認(rèn)為個(gè)人信息是隱私權(quán)這一權(quán)利集合內(nèi)的一項(xiàng)子權(quán)利。至于對(duì)二者的保護(hù)，美國(guó)雖尚處于分散立法的階段，但也在嘗試進(jìn)行統(tǒng)一。歐盟已經(jīng)通過GDPR 完成了統(tǒng)一立法。可以說(shuō)從分散立法走向統(tǒng)一立法是隱私及個(gè)人保護(hù)立法模式的國(guó)際大趨勢(shì)。

四、區(qū)分于隱私的個(gè)人信息分級(jí)保護(hù)之立法完善

通過上文的論述，隱私與個(gè)人信息在定義上就存在區(qū)分的空間。當(dāng)行為人不希望某項(xiàng)帶有可識(shí)別性的個(gè)人信息被他人知曉時(shí)，該個(gè)人信息同時(shí)也具有了隱私的性質(zhì)。此時(shí)該信息如果被他人非法收集、處理，便同時(shí)侵犯了該行為人的隱私權(quán)與個(gè)人信息權(quán)益兩項(xiàng)權(quán)益。而當(dāng)行為人同意他人收集、處理自己某項(xiàng)帶有可識(shí)別性的個(gè)人信息時(shí)，該個(gè)人信息對(duì)于被同意者而言就不屬于隱私的范疇。但是被同意者如果在收集、處理此項(xiàng)個(gè)人信息時(shí)存在違反《個(gè)保法》或其他個(gè)人信息保護(hù)相關(guān)的法律文件的行為，則依舊構(gòu)成對(duì)行為人個(gè)人信息權(quán)益的侵犯。簡(jiǎn)言之，隱私與個(gè)人信息雖然存在千絲萬(wàn)縷的關(guān)系，筆者依舊認(rèn)為應(yīng)當(dāng)明確區(qū)分兩項(xiàng)權(quán)益或權(quán)利，因?yàn)槎卟⒎敲糠N情形都糾纏不清。個(gè)人信息也需要對(duì)分級(jí)進(jìn)行明確，區(qū)分各級(jí)別之間的保護(hù)力度。

（一）以《民法典》明確隱私及個(gè)人信息之區(qū)分

《民法典》作為我國(guó)的民事基本法，其在私法領(lǐng)域擁有絕對(duì)的引導(dǎo)地位，其第1032 條第2 款及第1034 條第3 款造成的隱私及個(gè)人信息易混淆的問題應(yīng)當(dāng)通過法律解釋或修改法條表述予以解決。其中第1032 條第2 款可能存在的問題是將私密信息這一個(gè)人信息類型放置于隱私的定義范圍之內(nèi)，該問題可以通過法律解釋的方式來(lái)解決。前文已述，私密信息是否屬于隱私需要看行為人主觀上是否愿意讓他人知曉，只需在法律解釋中強(qiáng)調(diào)隱私的本質(zhì)特性——不愿為他人知曉即可。

《民法典》第1034 條第3 款所存在的問題較之前者顯得更為嚴(yán)重。該條款將私密信息的保護(hù)完全歸于隱私權(quán)保護(hù)之下。筆者認(rèn)為對(duì)私密信息的保護(hù)應(yīng)當(dāng)分情況討論，因?yàn)樗矫苄畔⑤^之普通個(gè)人信息在本質(zhì)特性上只多出了較為隱秘，該特性并不能排除行為人同意讓特定的人收集或處理自己的私密信息的可能。誠(chéng)然，在行為人不愿任何人知曉自己的私密信息時(shí)，該私密信息擁有隱私的屬性，對(duì)該信息應(yīng)當(dāng)采取隱私權(quán)的私法保護(hù)模式。但由于此時(shí)私密信息的個(gè)人信息屬性并沒有被消滅，當(dāng)他人對(duì)該信息的收集、處理等行為違反了《個(gè)保法》等個(gè)人信息保護(hù)相關(guān)的法律規(guī)定時(shí)，理應(yīng)對(duì)該行為在采取隱私的私法保護(hù)模式的同時(shí)，追加個(gè)人信息的公法保護(hù)。但是，如果行為人同意了某特定的人知曉、收集甚至處理自己的某項(xiàng)私密信息，此項(xiàng)私密信息對(duì)于該特定的人就不再擁有隱私屬性，自然也就不應(yīng)當(dāng)以隱私的保護(hù)模式加以保護(hù)。不過此時(shí)的私密信息依舊擁有個(gè)人信息的屬性，所以該特定的人的收集或加工行為如果違反了行為人的同意（如超范圍或超期限等）或《個(gè)保法》等個(gè)人信息保護(hù)相關(guān)的法律規(guī)定，則即使是對(duì)該特定的人也應(yīng)當(dāng)采取《民法典》對(duì)個(gè)人信息權(quán)益的保護(hù)模式?，通過人格權(quán)請(qǐng)求權(quán)或侵權(quán)請(qǐng)求權(quán)尋求法律救濟(jì)，并加以個(gè)人信息權(quán)益的公法保護(hù)。而同樣是行為人同意某特定的人知曉、收集甚至處理自己的某項(xiàng)私密信息的情況下，該特定人以外的第三人對(duì)該私密信息存在侵犯行為，其處理方式應(yīng)當(dāng)與行為人未作出同意的情形一致，即采取隱私的私法保護(hù)模式以及個(gè)人信息的公法保護(hù)。

因此，筆者認(rèn)為私密信息在私法上是適用隱私的權(quán)利保護(hù)模式還是個(gè)人信息的權(quán)益保護(hù)模式，需要視行為人是否作出同意的意思表示，收集、處理該私密信息者是否為獲得同意的第三人，以及收集、處理等行為是否超出行為人同意等因素而定。《民法典》第1034 條第3 款的條文表述容易造成“一刀切”的實(shí)務(wù)亂象，應(yīng)當(dāng)基于以上論述作出合理的法律解釋或立法修改。如此，對(duì)于存在爭(zhēng)議的私密信息就能較好地在私法層面上區(qū)分適用隱私權(quán)與個(gè)人信息權(quán)益的保護(hù)模式。

（二）以可識(shí)別程度為標(biāo)準(zhǔn)細(xì)化個(gè)人信息之分級(jí)

上文中提到我國(guó)個(gè)人信息存在兩種分級(jí)標(biāo)準(zhǔn)，其一是《民法典》以隱秘程度對(duì)個(gè)人信息進(jìn)行分級(jí)，其二是《個(gè)保法》以可識(shí)別程度對(duì)個(gè)人信息進(jìn)行分級(jí)。受歐盟以被處理程度進(jìn)行分級(jí)并權(quán)衡各級(jí)別保護(hù)力度與市場(chǎng)流動(dòng)性的啟發(fā)，筆者認(rèn)為我國(guó)可以沿用《個(gè)保法》標(biāo)準(zhǔn)，以可識(shí)別程度作為標(biāo)準(zhǔn)并細(xì)化個(gè)人信息分級(jí)。因?yàn)楸惶幚沓潭扰c可識(shí)別程度實(shí)際上息息相關(guān)，往往被處理程度越高可識(shí)別程度也就越低。而可識(shí)別程度低（被處理程度高）的個(gè)人信息才是對(duì)信息網(wǎng)絡(luò)平臺(tái)最有價(jià)值的信息，需要保障其一定的市場(chǎng)流動(dòng)性；相反，可識(shí)別程度高（被處理程度低）的個(gè)人信息則更需要強(qiáng)調(diào)對(duì)信息安全的保護(hù)。

個(gè)人信息僅作二級(jí)分級(jí)對(duì)個(gè)人信息的保護(hù)是不周延的。應(yīng)當(dāng)在最高保護(hù)力度與最低保護(hù)力度之間設(shè)置一個(gè)中間項(xiàng)，以避免陷入非此即彼的尷尬境地。譬如將敏感個(gè)人信息進(jìn)行細(xì)化，將其中直接能夠單獨(dú)識(shí)別出特定個(gè)人或與特定個(gè)人的人格尊嚴(yán)、人身及財(cái)產(chǎn)安全強(qiáng)相關(guān)的一類信息設(shè)置為最高保護(hù)力度的特別敏感個(gè)人信息；而將與特定個(gè)人的人格尊嚴(yán)、人身及財(cái)產(chǎn)安全弱相關(guān)但又明顯需要設(shè)置比一般個(gè)人信息更高一級(jí)保護(hù)的一類信息設(shè)置為中位保護(hù)力度的普通敏感個(gè)人信息。如此，在“敏感個(gè)人信息—一般個(gè)人信息”二級(jí)分化內(nèi)，將敏感個(gè)人信息又細(xì)化分為“特別敏感個(gè)人信息—普通敏感個(gè)人信息”二級(jí)，形成雙層三級(jí)的個(gè)人信息保護(hù)模型。此方案只需參考最高人民法院、最高人民檢察院發(fā)布的《關(guān)于辦理侵犯公民個(gè)人信息刑事案件適用法律若干問題的解釋》第5 條第1 款第3、4、5項(xiàng)之區(qū)分?，通過法律解釋的方式明確三級(jí)個(gè)人信息的外延即可。

（三）以《個(gè)保法》為中心完善場(chǎng)景化個(gè)人信息保護(hù)

《個(gè)保法》的頒布施行標(biāo)志著我國(guó)個(gè)人信息保護(hù)事業(yè)已經(jīng)從分散立法時(shí)期跨入了統(tǒng)一立法的新階段，走在了世界前列。但作為個(gè)人信息統(tǒng)一立法的產(chǎn)物，《個(gè)保法》注定只能規(guī)定常態(tài)下的個(gè)人信息分級(jí)。面對(duì)特殊場(chǎng)景時(shí)，某些特殊個(gè)人信息的可識(shí)別程度或敏感度也許會(huì)出現(xiàn)變化。我國(guó)現(xiàn)行法律中不乏為適應(yīng)不同場(chǎng)景需要特別制定的法律文件以修正某些特殊個(gè)人信息的保護(hù)力度，這些法律文件在上文中也有所提及。然而，這些文件亦存在局限。其一，有些文件頒布時(shí)間較早，在《個(gè)保法》頒布施行后應(yīng)當(dāng)及時(shí)修正。比如《征信業(yè)管理?xiàng)l例》發(fā)布實(shí)施于2013 年，遠(yuǎn)早于《個(gè)保法》的立法規(guī)劃公布日。該場(chǎng)景下各項(xiàng)個(gè)人信息的保護(hù)力度需要視當(dāng)今社會(huì)下的需求決定是否需要調(diào)整。其二，有些重點(diǎn)領(lǐng)域尚缺乏特殊立法對(duì)個(gè)人信息進(jìn)行場(chǎng)景化保護(hù)。比如醫(yī)療領(lǐng)域內(nèi)患者的各項(xiàng)個(gè)人信息應(yīng)當(dāng)放置在醫(yī)療這一特殊場(chǎng)景下進(jìn)行級(jí)別檢視。統(tǒng)一立法模式與場(chǎng)景化特別立法并不矛盾，應(yīng)當(dāng)修訂現(xiàn)有下位法并根據(jù)特殊場(chǎng)景需求嚴(yán)密個(gè)人信息保護(hù)法網(wǎng)，從而形成以《個(gè)保法》分級(jí)為常態(tài)，各場(chǎng)景特別立法修正分級(jí)為例外的模型。如此既嚴(yán)密了個(gè)人信息保護(hù)法網(wǎng)，又滿足了各領(lǐng)域的特殊需求，從而實(shí)現(xiàn)對(duì)個(gè)人信息的全面保護(hù)。

五、結(jié)語(yǔ)

《個(gè)保法》的頒布施行代表著我國(guó)個(gè)人信息保護(hù)已經(jīng)走在了世界前列，體現(xiàn)了我國(guó)對(duì)數(shù)字信息時(shí)代到來(lái)的快速響應(yīng)。《民法典》將隱私與個(gè)人信息相區(qū)分在一定程度上避免了二者概念帶來(lái)的混淆，但是由于我國(guó)對(duì)隱私及個(gè)人信息尤其是后者的研究較晚，法條中難免存在一些易引起爭(zhēng)議之處。不論如何，從民事基本法出發(fā)區(qū)分隱私與個(gè)人信息的方向沒有問題，以《個(gè)保法》對(duì)個(gè)人信息進(jìn)行分級(jí)保護(hù)更實(shí)為必要。需要以法律解釋等方式明確隱私與個(gè)人信息尤其是其中私密信息之區(qū)分；對(duì)個(gè)人信息在現(xiàn)有分級(jí)基礎(chǔ)上，延續(xù)依可識(shí)別程度為標(biāo)準(zhǔn)分類的思路，細(xì)化其中敏感個(gè)人信息一級(jí)。同時(shí)針對(duì)個(gè)人信息，完善其場(chǎng)景化特殊立法，根據(jù)各場(chǎng)景特殊需求調(diào)整各項(xiàng)信息的保護(hù)力度。如此形成隱私與個(gè)人信息相區(qū)分，個(gè)人信息總體呈雙層三級(jí)的保護(hù)模型。至于《民法典》中所提及的私密信息則應(yīng)先判斷其是否具有隱私屬性：如果具有隱私屬性則通過隱私權(quán)保護(hù)模式解決；如果不具有隱私性質(zhì)則先通過個(gè)人信息權(quán)益的保護(hù)模式尋求私法保護(hù)，再?gòu)钠鋫€(gè)人信息的屬性出發(fā)加以行政法上的保護(hù)，并以刑法作為最后一道防線。