内容提要：《民法典》第一次对隐私的概念作出界定，同时定义了个人信息的含义，并明确“私密信息适用有关隐私权的规定”，但是没有对私密信息与一般个人信息的界分做进一步说明。私密信息属于个人信息的范畴，首先须满足可以识别至特定自然人的“识别性”。将私密信息与一般个人信息相区分的关键是对“隐私利益”的判断，根据隐私权的发展历史和权利性质，“隐私利益”可以拆分为“隐”和“私”两种属性。前者强调不为他人所知的秘密性，既包括不愿为他人所知的主观期待，也需要具有未公开的客观事实；后者则突出与公共利益和他人利益无关的私人性。遵循识别性、秘密性、私人性的思路可以界定私密信息，并给予其隐私权的高位阶保护。
关键词：隐私权；个人信息；私密信息；可识别性；民法典
一、提出问题
　　《民法典》人格权编共六章，立法者将具有相似性的人身权利合为一章，比如姓名权和名称权、名誉权和荣誉权。隐私与个人信息有很多联系，后者因可识别到特定自然人而常具有侵犯个人隐私的风险，我国司法实践往往采取隐私权保护的途径为遭受侵害的信息主体提供救济。〔1〕同时，个人信息与隐私在客体上存在交叉，有些个人信息属于隐私，比如私密信息适用有关隐私权的规定；但有些个人信息不属于隐私，例如姓名、性别等一些已经公开的信息，其被保护的法益受制于个人信息条款的规范。随着数字经济的不断发展，个人信息的内容日益丰富而且还将不断发展，对不同类型个人信息的立法提出了新的挑战。
　　虽然隐私和个人信息都属于人格权保护的范畴，但是从第六章的标题“隐私权与个人信息保护”可以看出，立法者对两者进行了不同的法益位阶排序。隐私之上成立具体人格权——隐私权，但立法者对“个人信息”的属性却一直比较含糊。《民法典》立法过程中曾出现“个人信息权”的提法，比如最初《人格权编》（征求意见稿）规定个人信息是一种可以支配的人格权利，第4条规定“民事主体对其名称、肖像、个人信息等具有经济利益内容的人格权益享有支配的权利，可以许可他人使用，但根据其性质或者依照法律规定不得许可的除外”。其后的草案稿和最终的《民法典》都仅规定“自然人的个人信息受法律保护”，由于立法者对个人信息的属性尚不确定，最终没有将个人信息上升为一项民事权利。我国立法区分民事权利和利益，权利乃享受特定利益的法律之力，法益为法律所保护之利益，权利较之于法益受到法律更强和全面的保护。权利受到法律完全的保护，兼具法律正面规范和反面救济，而法益相比于权利处于弱势的地位，法律承认法益的合法性，但不对内涵、外延作出正面规范，保护力度也更弱。〔2〕权利需要法律的明确规定，而法益之所以无法当然地成为权利，是因它没有充分经过历史上典型权利为获得制定法命名而经历的历史检验，原则上它们不受法律保护，只有在严格条件下才可能就特定当事人例外地上升为权利。〔3〕从我国隐私权演变的历史可以看出，是否赋予个人信息具体人格权地位，并不具有当然性。
　　《民法典》第1034条对个人信息的定义，沿用了《网络安全法》和《电信和互联网用户个人信息保护规定》等法律法规“概括定义+列举式”的方式，〔4〕将“识别特定自然人”作为个人信息的特征，并列举了姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息这九类个人信息。《民法典》第1034条第3款同时明确“个人信息中的私密信息，适用有关隐私权的规定”，这表明立法者将个人信息区分为私密信息和非私密信息，但是对于区分这两者的标准却并没有更多的规定。有学者提出“三分法”来区分隐私与信息，即纯粹的个人隐私、隐私性信息、纯粹的个人信息，〔5〕但对于区分的标准和实际应用仍比较模糊，尤其是“纯粹的个人隐私与隐私性信息”的界分对司法实务的指导性并不强。实践中出现了很多介于这两者之间的信息，比如在线评价平台收集和发布的用户评价信息、社交网站上公开的个人教育信息和职业信息等，如何保护这些个人信息恰恰是司法机关在实践中无法规避的难题。
　　王庆辉诉青岛天一精英人才培训学校隐私权纠纷上诉案〔6〕（以下简称“王庆辉案”）中，被告（上诉人）作为一家司法考试的培训学校，在向社会发布《重磅！天一教育法考烟台考点创造98.3%的通过奇迹！》具有商业推广性质的广告内容中，涉及了原告（被上诉人）的姓名和考试成绩（“115，王庆辉，男，90，91，181”）。原告以其隐私权受侵害为由向法院提起诉讼，二审法院审理认为，姓名、考试成绩均非私生活中绝对自我空间的范畴，不属于隐私的范围。姓名和司法考试成绩是否属于私密信息从而获得隐私权的保护成为本案的争议焦点，也是本文想要讨论的核心问题。类似的案件中，如庞理鹏诉东方航空公司、北京趣拿信息技术有限公司隐私权纠纷案中，法院却认为姓名、电话号码以及行程安全属于可以匹配识别特定个人的信息，原告的这些信息被泄露的，可以通过隐私权寻求救济。〔7〕在《民法典》通过之前，很多对个人信息的案件都企图通过隐私权寻求救济，但因为法律未对隐私作出界定而导致隐私的范畴模糊，也因为法律没有明确对隐私和个人信息的关系作出规定，导致实践中原告常陷入维权困难的境地。《民法典》第一次对隐私的内容作出界定，同时定义了个人信息的概念，并明确提到“私密信息适用有关隐私权的规定”，似乎给类似王庆辉的案件提出了指导。理清个人信息、个人私密信息、隐私之间的关系，为司法实践提供审判依据，将具有重要的理论和实践意义。
　　本文认为，私密信息首先属于个人信息，因此必须满足可以识别至特定自然人的“识别性”，在此基础上需具备隐私利益，这是将私密信息与一般个人信息相区分的关键。根据隐私权的发展历史和权利性质，隐私利益可以拆分为“隐”和“私”两种属性，前者强调不为他人所知的秘密性，既包括不愿为他人所知的主观期待，也需要具有未公开的客观事实；后者则突出与公共利益和他人利益无关的私人性。因此，遵循识别性、秘密性、私人性的思路，可以作为判断私密信息的方法，本文也将从这个三点逐一展开讨论。
二、个人信息：已识别（identified）与可识别（identical）
　　（一）“识别至特定人的信息”的发展历史
　　除了《民法典》，我国目前对个人信息保护的法律法规和规范性文件等有近50部，〔8〕个人信息的定义多采用和《民法典》相同的“概括定义+列举”模式，即除了给出个人信息的一般定义外，还列举典型的个人信息类型及排除类型，这也是世界上大多数国家对于个人信息的定义方法。因为个人信息是一个比较抽象的法律概念，除了明确界定概念的本质特征外，通过列明典型类型，可以减少法律适用上的不确定性，增加个人信息概念的具体性和可预期性。国际上关于个人信息规范的另一通行做法是，将个人信息的最核心特征认定为“识别至特定自然人”。美国是采取分散式立法的国家，使用“个人可识别信息（personally identifiable information，以下简称PII）”的概念；〔9〕欧盟是采取统一立法的地区，采用个人数据（personal data）概念，指与一个身份已识别（identified）或可识别（identifiable）的自然人相关的任何信息；〔10〕澳大利亚采用个人信息（personal information）的表述，定义个人信息是指关于已识别的个人或可合理识别个人的信息或意见（information or an opinion）。〔11〕由此可见，“识别性”通常是判断个人信息的第一步。
　　在过去的50年间，随着电脑技术的进步、个人信息保护的需要，“识别至特定人”经历了一个从与隐私没有任何关联的短语到逐渐变为隐私法保护最核心概念的过程。“识别性”最初发源于美国，美国隐私法上“识别性”的历史最具有代表性，可考究的文献也最详实，故本部分选择以美国隐私法的发展为例展开论述。1890年，在Warren和Brandeis著名的《论隐私权》一文中，隐私权被定义为“独处的权利”（the right to be alone），是一种不受侵害的人格权（a right of an inviolate personality）。〔12〕此后，Prosser教授总结实践中的三百多个案例，将隐私侵权区分为四种类型，并强调隐私侵权仅应用于可识别至特定人之情形（an identified person）。〔13〕根据美国隐私权专家Solove教授的研究，“个人可识别信息”（PII）在1960年左右第一次在美国被提出，那时候随着电脑等科技的发展，私人公司和政府机构被允许处理个人信息，改变了数据收集、组织、使用和搜查的方式，电脑记录信息系统和数据搜集分析技术让很多数据能直接指向个人。〔14〕最初美国隐私保护研究委员会（The Privacy Protection Study Commission）并没有直接讨论“个人可识别信息”的概念，而是使用“被覆盖的人和事”（who and what is to be covered）来指代，隐私也仅仅指向与个人姓名或肖像相关的信息。直到1974年，美国联邦政府在《家庭教育权利和隐私法案》（Family Education Rights and Privacy Act，FERPA）中第一次提出“个人可识别信息”（personal identifiable information），法案用这个概念禁止教育机构公开或提供关于个人可识别的教育信息记录。〔15〕虽然法案提到了“个人可识别信息”，但是这个法案的关键概念是教育记录（education record），即法案定义信息是被教育机构以文件或其他形式记录的“直接与学生相关的信息”（information directly related to a student），法案强调是否属于由学校首先组织并存储的教育记录，而不是是否可识别至特定学生。因此，学校仍然可以将学生联系方式等信息卖给信用卡公司，因为这些信息虽然被认为是直接的信息（directory information），但这些信息并没有被教育机构保存，不属于“教育记录”（educational record），学校不需要承担法律责任。〔16〕
　　尽管同一时代美国还颁布了一系列法案，比如《公平信用报告法案》（Fair credit reporting act，FCRA，1970）、《隐私法案》（Privacy act of 1974）等，但是都和《家庭教育权利和隐私法案》没有太大的差别。直到1984年，《有线通信政策法案》（简称通信法案）（Cable Communications Policy Act）是一个重要的里程碑。这个法案不仅提到了PII，而且对PII作为法律适用的前提条件作出了明确规定。通信法案和之前法案的重要不同在于，不再强调保护的范围限定于与如何收集信息有关（比如是否通过信用卡记录、是否属于教育记录、是否是系统记录等），而是将保护的重点落在判断信息控制者是否收集与个人识别性有关的信息。通信法案颁布之后，信息隐私法就开始使用PII这个概念作为开启法律保护的按钮，并被认为是隐私的“守护者”（gatekeeper of privacy）。〔17〕自20世纪90年代中期以来，PII成为首选的术语，之后的政府和州发展的很多法律法规都围绕着PII概念展开。
　　当前，各国立法虽然都强调识别特定个人信息的概念非常重要，其散见于各国的个人信息保护立法中，但均未对PII形成一个统一认可的定义。Solove教授总结了目前对PII的定义，主要有三种方法：同义反复（tautological）；“非公共”（non—public）；特别类型（special—types）。〔18〕定义的方式虽然不同，但是对个人信息最主要的特征“识别至特定自然人”已达成了共识，并衍生出已识别性（identified）与可识别性（identical）的两种情形。
　　（二）已识别性（identified）与可识别性（identical）
　　针对不同类型的个人信息应采取不同的保护举措，因此对个人信息进行细化分类研究是《民法典》通过之后的一个重要议题。根据上文对个人信息的定义，本文认为个人信息可以分成三类：已识别信息、可识别信息、非可识别信息。已识别信息能从多数人中识别出一个特别的自然人，即通过这一信息能将这个人从其他人中区别开来的信息，比如姓名、身份证号、生物识别信息等。可识别信息，是具有将来识别可能性的一类信息，即使当前还未能直接识别至特定的人，但是这种识别的可能性是存在的，因此信息和特定自然人之间存在着联系。可识别信息可以和已识别信息同等对待，因为在大数据时代，信息的收集和匹配成本越来越低，原来单个的、孤立的个人信息一旦被收集、提取和综合，就完全可以与特定的个人相匹配，从而形成某一特定人详细而准确的整体信息。而非可识别信息（non—identifiable）构成对识别性很遥远的风险，这些信息不会和特定人有联系，比如密码。由于保密性的要求，一般的密码都是不可以识别至特定个人的，因此不能算是个人信息。事实上，大多数国家都会通过其他法律来保护，比如在我国有专门的《密码法》规范密码应用和管理。
　　欧盟《一般数据保护条例》（GDPR）被称为最严格个人数据保护条例，采用个人数据（personal data）概念，其规定“个人数据”是指与已识别（identified）或可识别（identifiable）的自然人（数据主体）相关的任何信息。“可被识别的自然人”是指通过姓名、识别号码、位置数据、在线身份识别码等标识符，或通过针对该自然人的身体、生理、遗传、心理、经济、文化或社会身份等特定相关的一个或多个要素，能够直接或间接地被识别出的个人，并指出判断自然人是否可被识别，应考虑可能合理使用的所有方式。〔19〕经济合作和发展组织（Organization for Economic Cooperation and Development，OECD）对于识别性的规定也区分已识别（identified）或可识别（identifiable）这两种情况。〔20〕但也有国家只规定了可识别信息，比如2000年颁布的加拿大《个人信息保护和电子文件法案》（Personal Information Protection and Electronic Document act，PIPEDA），将PII简单定义为可识别信息（identifiable information）。我国《民法典》第1034条规定个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息。这种定义和美国加州消费者隐私保护法案（California Consumer Privacy Act，CCPA）类似，后者将个人信息（personal information）定义为能够合理地与特定消费者或家庭直接或间接（directly or indirectly）相联系的信息。〔21〕本文认为，单独识别特定自然人的信息可以视为“已识别信息”，即已经可以直接识别特定自然人的信息；而与其他信息结合识别特定自然人的信息，则可以视为“可识别信息”，是具有识别可能性的信息。可以看出，我国规定的个人信息可以被解读为一种含义较广的信息范围，这种定义符合大数据时代的特征和趋势，也赋予法官在判断个人信息时更大的自由度。
　　事实上，可识别性的判断并不是一件容易的事情，比如美国Pineda v. Williams—Sonoma案，〔22〕针对邮政编码这一信息两审法院体现了不同的态度。被告商场的收银员让原告Pineda在付款时提供了邮政编码，因此商场在数据库中保存了原告信用卡账号、姓名和邮政编码等信息。原告向被告提起集体诉讼，认为原告商场违法了《Song—Beverly信用卡法案》（Song—Beverly Credit Card Act of 1971）和《不公平竞争法》（Unfair Competition Law，UCL），对隐私权造成了侵害。初审法院审理认为，邮编号码并不属于个人识别性（personal identification information）的信息，并不是一个人所有的，而是大家共享的一种信息。而上诉法院则认为，邮编是地址的组成部分，邮编和地址、电话号码一样，是从属于个人的，都是法律规定的个人信息的组成部分。法院认为应该扩大解释本条文信息的内容，判决邮编属于个人识别性信息的范围。同时，邮编并不是这个交易完的必要信息，它的缺失并不会影响交易的进行，因此收集邮编的行为侵害了原告的隐私权。〔23〕
　　这个问题在我国同样存在争议。上文提到的王庆辉案中二审法院认为，姓名、考试成绩均非私生活中绝对自我空间的范畴，不属于隐私的范围。天一学校发布的“115，王庆辉，男，90，91，181”的信息内容仅涉及王庆辉姓名和成绩，并未涉及其他私人信息，该过关学员名单面向社会不特定公众发布，社会公众并不必然能凭此条信息与王庆辉本人建立特定联系，故不构成法律概念上的特指，不具备识别性。〔24〕而庞理鹏与北京趣拿信息技术有限公司等隐私权纠纷中，针对案件涉及的姓名、电话号码及行程安排（包括起落时间、地点、航班信息）等信息，二审法院认为，虽然单纯的庞理鹏的姓名和手机号不构成隐私信息，但姓名、手机号和庞理鹏的行程信息（隐私信息）结合之后的整体信息则因包含了隐私信息（行程信息）而整体上成为隐私信息。法院最终判决支持原告的诉讼请求，姓名、电话号码及行程安排等事项可以通过隐私权纠纷而寻求救济。〔25〕本文认为，承认姓名、个人信息和行程信息等结合可以识别至特定人的事实，是符合信息时代科技发展水平和趋势的。而王庆辉案中法院否定姓名和司考成绩的可识别性的做法，有失偏颇；后文也将提到，法院的做法其实是混淆了识别性与私密性，是否受到隐私权的保护需要分步骤分条件进行，简单地否定姓名可识别性的做法并不符合法律和事实。
　　（三）识别性问题的延伸
　　可识别性是个人信息的关键特征，因此在信息利用的过程中，降低个人隐私风险最容易想到的做法就是“去个人化”“去识别性”，其中信息的匿名化处理成为去除数据中可直接或间接识别个人身份信息标识的一种重要渠道，可以有效地降低个人信息利用的风险。根据个人信息特征的反向推导，法律语义上的匿名化至少需要满足两个标准：第一，仅从信息本身无法指向特定的个人；第二，即使结合其他信息也无法指向特定个人。〔26〕各国关于个人信息的立法也对匿名化问题作出了规定，比如欧盟GDPR第4条规定，“匿名化”指的是在采取某种方式对个人数据进行处理后，如果没有额外的信息就不能识别数据主体的处理方式。此类额外信息应当单独保存，并且已有技术与组织方式确保个人数据不能关联到某个已识别或可识别的自然人。〔27〕美国《健康保险可转移及责任法案》（HIPAA）提出另一个相似的概念——去身份化（de-identification）：“通过处理使得数据不能识别特定个人，或者没有合理的基础能够认为该数据可以被用来识别特定个人”。〔28〕日本2015年通过《个人信息保护法》修正案要求，匿名后的数据不能与其他信息进行比对、参照，以实现身份识别的功能，且不能复原。〔29〕《民法典》第1038条指出可以向他人提供“经过加工无法识别特定个人且不能复原的信息”，这是对匿名化信息的另一种规定和说明。
　　除了正向匿名化之外，个人信息的识别性也禁止反向推定。在企业提供大数据分析趋势的时候，不能让个人通过大数据反推出特定的自然人，不然就会存在泄漏个人信息的风险。比如企业收集了100个人的学历背景，其中大专学历占30%，本科学历占60%，硕士学历占20%，博士学历占另外10%，如果从100个人当中移除了A这个人，则呈现的比例立刻发生了变化，博士学历所占比下降了，则可以反推出A是博士生。如此一来，也可能造成A学历信息的泄露。因此，企业为了防止这种逆向地反推行为，在数据中使用“数学噪声”即混入其他数据，让结果的呈现不能直接和个体的变化相连，这就是“差分隐私”技术的应用，这是一种使数据查询准确性提高而减少识别其记录机会的一种技术。这些都是个人信息识别性对企业提出的更高要求，也是保护个人信息的趋势所在。
三、私密信息：秘密性与私人性
　　判断一类信息具有识别性，即落入了个人信息的范畴。根据《民法典》关于个人信息的规定，个人信息进一步可以区分为私密信息与非私密信息，并强调个人信息中的私密信息适用关于隐私权保护。虽然目前《民法典》没有提出具体区分私密信息与非私密信息的方法，但是从适用隐私权保护的规定可以反推出，私密信息是具有隐私利益的信息。何为隐私利益？这个问题可以从隐私权的发展历史和实践案例中探寻。
　　（一）隐私权的发展与隐私利益
　　公认法律上隐私权的开端是1890年《论隐私权》一文，最初隐私权被定义为一种独处的权利（the right to be alone），在随后一百多年的发展中，其内涵不断变化和丰富。其发展与历史、文化、社会环境、科技进步息息相关。个人信息中蕴含着双重的人格权益，隐私利益和信息自决利益。其中，个人信息隐私利益与隐私权存在重合。〔30〕探求隐私利益可以从当前隐私权与个人信息的保护存在着的两种典型模式入手，即美国模式和欧洲模式。美国选择大隐私权模式，隐私的内容包括信息自决权和私生活不受干扰的权利。基于个人自由的隐私权被演绎成一个宽泛的财产权，隐私的财产（经济）价值为个人信息控制理论提供了论证基础，美国的隐私保护依赖普通法救济，以个人利益（包括自由）受到侵害为前提。〔31〕而在欧洲，隐私则更关注个人的尊严，欧洲个人数据保护的逻辑是：个人数据由个人自主控制，源于个人独立和自治，保障数据主体对个人数据的处理事务的自主、自治、自觉，是个人数据保护的应有之义。〔32〕
　　在我国，隐私权的发展经历了几个明显的阶段。1986年的《民法通则》并没有将隐私权纳入其中，仅规定了生命健康权、姓名权、名称权、肖像权、名誉权、荣誉权等人身权，但1988年，在最高人民法院印发的《关于贯彻执行〈中华人民共和国民法通则〉若干问题的意见（试行）》中提出，侵害他人隐私的，认定为侵害他人名誉权的行为。〔33〕2001年，最高院在《关于确定民事侵权精神损害赔偿责任若干问题的解释》才正式承认了隐私的法律地位，尽管隐私仅仅被认为是一种“其他人格利益”。〔34〕直到2009年，随着《侵权责任法》的颁布，隐私权第一次明确作为一种独立的人格权，和生命权、健康权、姓名权、名誉权等并列在民事基本法中。〔35〕2017年《民法总则》在第五章“民事权利”中再次明确“自然人享有隐私权”。《民法典