随着数据挖掘技术、物联网、云计算的高速发展,附属于个人信息之上的人格利益被暴露在外,极易受到侵害。为顺应时代潮流并回应现实需要,民法典将隐私权与个人信息合并置于人格权编的第六章进行保护。就二者的关系而言,理论界与实务界均存在一定的争议,司法实践并未对二者进行有效区分,正确理解隐私与个人信息的关系具有重要意义。

笔者认为,理解隐私与个人信息关系应当把握以下三个要点:

第一,从概念上来说,隐私与个人信息的范围存在交叉重合。首先是因为在数字时代,隐私权的保护客体与个人信息的保护客体发生了重叠,诸如个人健康信息、身份证号码、银行卡号码等私密信息既是个人信息的载体,又是隐私权的保护对象,因此在民法典颁布前就有法院通过扩大解释隐私概念的方式保护个人信息。其次是因为隐私权与个人信息保护制度的对象都是人格利益,且存在极高的相似性。隐私权所保护的核心利益包含私人生活安宁以及私密空间、私密活动、私密信息不被他人知晓,核心特征是“不被打扰”,而个人信息指的是以电子或其他方式记录的能够单独或者与其他信息相结合识别特定自然人的各种信息,核心特征是识别性。通过个人信息的收集与处理,信息处理者能够与信息主体建立某种联系,一旦个人信息被非法获取或者滥用,将极易对被识别个人的生活安宁及私密空间、私密活动和私密信息的安全产生侵害。可以说,个人信息与隐私之间存在某种天然的紧密关联。最后,隐私权与个人信息保护都不是绝对的权利,而是要在私人利益和公共利益之间进行衡平。

第二,当隐私权与个人信息保护重合时优先适用隐私权规则。民法典第1034条第3款规定,个人信息中的私密信息,适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定。换句话说,对同属于个人信息的私密信息,由于其同时也是个人隐私的一部分,因此要优先适用隐私权保护规则。隐私权保护之所以优先于个人信息保护,笔者认为,这是因为在民法典的语境下,其所使用的是单一个人信息的概念。民法典第1034条第3款有关隐私和个人信息产生重合的情况,实质是就个人信息概念内部根据对信息主体产生影响的作用力大小进行的“一对一”价值衡量过程。举例来说,某人的姓名在不结合其他信息的情况下,其被保护的必要性是弱于“某人患有艾滋病”这一私密信息的,甚至还可以说,如果不与其他信息相结合,单一的、非私密信息的个人信息在面对较为传统的隐私概念时并没有值得特殊保护的价值,因为个人信息的保护价值来自于强大的信息聚合能力与信息识别能力,而绝非单一的个人信息。

第三,应避免陷入私密性检验难题的泥潭之中。民法典第1034条第3款将个人信息严格区分为私密信息和一般个人信息,使法官在裁判中必须逐一衡量其所面对的个人信息之上的人格利益,判断到底属于私密信息抑或一般个人信息,忽视了个人信息因聚合性与识别性产生的巨大威力,不仅使法官面临棘手的论证难题,而且降低了个人信息的保护力度,产生了始料未及的私密性检验难题。笔者认为,为解决上述问题,使民法典视野下的个人信息保护不至于偏离保护信息主体人格权利的“航道”,可能的路径之一是绕过个人私密信息概念的牢笼,转而将目光投向民法典个人信息保护其他条款以及即将施行的个人信息保护法,在隐私权与个人信息保护差序格局已经形成的背景下,尽可能缩小非私密性个人信息与个人信息中的私密信息在保护力度、保护范围上的差别,以彰显民法典第1034条第1款所宣誓的“自然人的个人信息受法律保护”的立法价值。可能的路径之二则是回到“个人信息中的私密信息”这个表述上来,将其立法目的解释为:并非严格要求法官对所面临的所有个人信息进行逐一的私密性检验,也并非意图将个人信息区分为具有尊严性的与仅具有资源性的,而毋宁是说,对于那些具有尊严性特征以至于在性质上属于隐私的个人信息,即“个人信息中的私密信息”,民法典对其提供了双重保护,即较为严格的隐私权保护标准与较为宽松的个人信息保护标准;而对于非私密性的个人信息,则并非否认了其人格价值,而毋宁是说,即使非私密性个人信息背后无法被认为具有类似于隐私权所保护的那种被立法所确定的人格利益,也因其具有数字化社会的某种数字化人格权基础而具有应当被保护的价值,只是此种价值因其特殊性不同于隐私权而在立法上给予不同的保护方式。而可能的路径之三则是通过将民法典第1034条第3款解释为事实判断条款,即对个人信息内部按照单一个人信息可能对信息主体产生负面影响的大小进行影响力排序,而非价值判断性条款,进而消减由于将个人信息与隐私进行区分保护所产生的个人信息合理使用的扩大化效应,真正使民法典成为新时代保护人民权利的法典。