(西南政法大學民商法學院，重慶 401120)

一、問題的提出

我國《民法總則》第111條確立了對個人信息的保護，2019年4月26日全國人大公布的《民法典人格權編(草案二次審議稿)》(以下簡稱：人格權編二審稿)更為全面地規(guī)定了個人信息的保護體系。[注]參見《中華人民共和國民法典人格權編(草案二次審議稿)》，http://www.npc.gov.cn/COBRS_LFYJNEW/user/UserIndex1.jsp？ID=13240477，2019年5月1日訪問。然而，兩者均未對不同類型個人信息的保護規(guī)則作出區(qū)分。學界通說根據(jù)是否涉及個人隱私將個人信息分為敏感信息與一般信息。[注]參見齊愛民：《拯救信息社會中的人格》，北京大學出版社2009年版，第103～104頁。由此個人信息與隱私權的保護范圍在敏感信息部分存在交叉。[注]參見張新寶：《從隱私到個人信息：利益再衡量的理論與制度安排》，《中國法學》2015年第3期。我國《民法總則》同時規(guī)定了隱私權與個人信息，卻未明確兩者的關系，從兩者條款并置的體系架構及其不同的功能定位出發(fā)，可在解釋論上將敏感信息納入隱私權保護范圍，將一般信息交由個人信息條款予以專門保護。敏感信息具有高度私密性，保護程度相應較高；一般信息更側重于保護與利用之間的利益平衡。[注]See Paul M.Schwartz,Daniel J Solove, Reconciling Personal Information in the United States and European Union, California Law Review,2014,102 (4):879.對一般信息的非法收集、使用等給權利人造成的侵害也不容小覷。近年來大量的個人一般信息泄露事件頻發(fā)，如華住酒店5億條個人信息外泄，[注]參見蔡文清：《華住酒店被曝5億條個人信息泄露，網絡安全問題怎么解決？》，http://www.takefoto.cn/viewnews-1558266.html，2019年2月20日訪問。2018年Facebook泄露5000萬用戶數(shù)據(jù)等。[注]參見大成數(shù)據(jù)保護團隊：《泄露5000萬用戶數(shù)據(jù)，F(xiàn)acebook面臨2萬億美元罰款》，https://mp.weixin.qq.com/s/MUqnsmOhchyxQeT8-RaNxg， 2019年2月20日訪問。這些事件凸顯出個人一般信息亦亟需得到保護，具體規(guī)則如何展開尚待研究，有必要在總結相關理論研究成果與司法實踐經驗的基礎上予以合理設計。

大量的司法案件反映出裁判者對個人一般信息項下的不同類型亦存在侵權保護程度與保護方式上的客觀差異，為個人一般信息的保護規(guī)則提供了區(qū)分設計的思路，目前理論上對此種信息項下的具體分類鮮有涉及。[注]既有的個人信息類型化研究要么遵循傳統(tǒng)分類標準將個人信息分為“直接個人信息與間接個人信息”或“敏感信息與一般信息”(參見韓旭至:《個人信息類型化研究》，《重慶郵電大學學報(社會科學版)》2017年第4期)，要么在此基礎上作出突破，嘗試提出新的分類形式——人格緊密型個人信息與人格疏遠型個人信息(參見項定宜、申建平：《個人信息商業(yè)利用同意要件研究——以個人信息類型化為視角》，《北方法學》2017年第5期)。在此情況下，司法實踐累積的經驗可作為分析樣本。區(qū)分標準的確定是類型化工作的關鍵問題。[注]參見黃茂榮：《法學方法與現(xiàn)代民法》，法律出版社2007年版，第577頁。司法實務中對個人一般信息的區(qū)分保護可能系基于對信息與主體關聯(lián)度差別的直接觀察，此種差別較為準確地表現(xiàn)出每種信息類型在以信息主體為中心的同心圓上所處的位置，并從民事權利主體與民事權利對象的關系角度，[注]民事權利客體、民事權利對象、民事權利標的等與客體相關的概念在民法學界的使用較為混亂，其各自間的聯(lián)系與區(qū)別亦未有定論，筆者于本文中采用“民事權利對象”系民事利益(即民事權利客體)之載體的觀點。參見冷傳莉：《“人格物”的司法困境與理論突圍》，《中國法學》2018年第5期。反映了不同信息類型的本質區(qū)別。再者，以不同信息距離“圓心”的遠近區(qū)分保護層次的做法也具有較強的可操作性。因此，可借鑒司法實踐的經驗將信息與主體的關聯(lián)程度作為個人一般信息類型化之標準。

然而，這一標準仍較為模糊，需要在理論上進一步明確。實際上，個人信息與信息主體的關聯(lián)程度具體可由信息是否具有唯一性、信息識別個人的可能性、信息濫用等行為對個人的影響程度這三項因素綜合決定。上述因素又受到不同類型個人信息所承擔功能的直接影響，具體包括區(qū)分功能、聯(lián)絡功能、標識功能與描述功能。根據(jù)對上述因素的綜合考量，按信息與主體的關聯(lián)程度高低可將個人一般信息劃分為區(qū)分性信息、聯(lián)絡性信息及關聯(lián)性信息。主要承擔區(qū)分功能的個人信息為區(qū)分性信息，其識別個人的可能性以及對個人的影響程度均較高且具有唯一性，因此與信息主體之間具有很強的關聯(lián)度。承擔聯(lián)絡功能的個人信息為聯(lián)絡性信息，其雖不具有可識別性，但具有唯一性，對個人生活的影響度也較高，因此與信息主體關聯(lián)較大。主要承擔描述功能與標識功能的個人信息為關聯(lián)性信息，一般不具有唯一性，識別個人的可能性與對個人的影響度均較低，因此與信息主體的關聯(lián)最弱。據(jù)此，筆者將司法實踐中較具代表性的68件相關案例對應地分為三類，其中，區(qū)分性信息類案件占樣本總量的28.57%，聯(lián)絡性信息類案件占樣本總量的30.36%，關聯(lián)性信息類案件占樣本總量的19.64%。[注]筆者本文所用裁判文書均來自“北大法寶數(shù)據(jù)庫”與“威科先行法律信息庫”。筆者以“個人信息”和“隱私”為關鍵詞，以2000年至2018年為時間跨度進行檢索，并剔除同院多判、錯誤適用或實質上涉及個人隱私與敏感信息的案件。需要說明的是，在我國《民法總則》施行前后，司法實踐中普遍未將隱私與個人信息嚴格區(qū)分。在我國《民法總則》施行前，由于私法領域未明確對個人信息的保護，司法實踐多采隱私權保護模式(參見冷傳莉、李怡：《司法保護視角下的隱私權類型化》，《法律科學》2017年第5期)。即使在我國《民法總則》施行后，多數(shù)判決仍體現(xiàn)了以隱私權保護個人信息的做法，部分判決中還出現(xiàn)將兩者混用不予區(qū)分的做法。因此，為保證樣本完整性，筆者在檢索案件時將“個人信息”和“隱私權”均列為關鍵詞。在此基礎上，筆者將于本文中具體分析每一類信息的屬性定位、侵權判定、責任承擔等裁判規(guī)則，既呈現(xiàn)司法實踐的客觀規(guī)律，又對具體的裁判觀點進行研判，以期為民法典編纂中個人信息保護體系的完善提供規(guī)范類型的參考，防范因忽視類型差異而“一刀切”的規(guī)則設置可能帶來的弊端。

二、區(qū)分性信息侵權糾紛的裁判規(guī)則評析

(一)區(qū)分性信息屬性與外延的裁判立場考察

1.區(qū)分性信息是否屬于個人信息或隱私權的保護范圍

區(qū)分性信息是指可以將特定個人與其所在群體中的其他人“區(qū)分”開來的信息，雖然其識別個人的可能性較高，但它的主要功能不在于標識主體身份，而在于給予信息主體一個明確、專屬的定位，這樣的信息包括居民身份證號碼、護照信息、車牌號碼等。實踐中，法院多認可該類信息受隱私權或個人信息保護。如孫蕾訴學集教育咨詢(北京)有限公司隱私權、名譽權糾紛案(以下簡稱：“孫蕾案”)中，法院認為身份證號系與個人身份密切相關的信息，學集教育咨詢(北京)有限公司作為孫蕾的用人單位應合理合法地持有和使用該身份信息。[注]參見北京市朝陽區(qū)人民法院(2018)京0105民初2738號民事判決書。然而，亦存在個別未將身份證號碼等區(qū)分性信息作為個人隱私或信息保護的裁判。此種裁判認定大多出現(xiàn)在將針對他人的生效裁判文書公開的案件中。如湯嘉欣與佛山市南海區(qū)大瀝鎮(zhèn)河東村聯(lián)勝一股份合作經濟社、曾福堂隱私權糾紛案中，法院認為被告未經原告同意張貼的判決書中原告的身份證號等個人信息不具有明顯的隱私性質，不過法院也指出應對所張貼文書中的身份證號碼等信息進行一定遮蔽。[注]參見廣東省佛山市南海區(qū)人民法院(2017)粵0605民初1231號民事判決書。可見，法院其實也認為不經處理地公開裁判文書中的當事人身份信息確有不妥，但認定該行為不構成侵權的原因是上述信息不屬于隱私。這種認識實際上秉持的是隱私權與個人信息嚴格區(qū)分的保護模式。如前所述，以擴張隱私權外延的方式保護個人信息不但是我國《民法總則》施行前的權宜之計，甚至在我國《民法總則》施行后仍繼續(xù)廣泛地運用于個人信息的司法保護中。這可能源于當事人對個人信息概念的陌生以及對訴諸隱私權案由來保護個人信息的路徑依賴。然而，無論如何，解釋論上對個人信息保護路徑的不同解讀不應妨礙個案中對個人信息的保護，司法實踐中的混同保護模式或隱私權保護模式都是功能導向的務實選擇，不妨作為當前理論爭議未決與立法不明背景下的暫行方案。與此同時，在學理上仍須對區(qū)分性信息的內涵與性質予以厘清，區(qū)分性信息系能夠直接定位到個體的個人一般信息，對其進行非法收集、使用、公開等構成侵犯個人信息。因此，前述案件中的身份證號碼等信息無論在個人信息的何種保護模式下都可以作為區(qū)分性信息受到個人信息或隱私權的保護。

2.區(qū)分性信息是否包括MAC編碼

判定區(qū)分性信息的標準在于其能否表征出特定個人與其所在群體中其他個人的區(qū)別。在當今網絡時代，個人通過互聯(lián)網進行活動時也需要一種類似于身份證號的MAC編碼(計算機終端網卡物理地址)。其作為硬件身份的唯一證明，承擔著區(qū)分虛擬主體的功能。實踐中法院對其未予保護。例如，在何濤與上海很棒信息技術有限公司隱私權糾紛案中，法院認為用戶的電腦網卡物理地址不屬于隱私，網站在記錄用戶的MAC編碼和其鍵入的關鍵詞等信息時并不能判斷出用戶身份，故其收集上述信息并提供給廣告商的行為未侵犯用戶隱私。[注]參見上海市第一中級人民法院(2007)滬一中民一(民)終1797號民事判決書。實際上，該判決的結論略顯武斷，MAC編碼能否定位到信息主體應區(qū)分不同情況加以討論。MAC編碼作為每臺計算機終端的專屬身份證明具有唯一性，但其與現(xiàn)實操控主體的對應關系既不顯見亦不確定，可能存在“一對一”、“一對多”甚至“多對一”、“多對多”的情形。在計算機為個人所有、使用的情況下，MAC編碼就與信息主體一一對應，雖然僅通過單獨的MAC編碼不能直接識別出個人的現(xiàn)實身份，但卻足以將特定個人與其他使用計算機網絡的個人相區(qū)分。在一人使用多部計算機的情況下，多個MAC編碼對應同一個信息主體，通過每個MAC編碼都能定位到該信息主體。在多人使用單臺計算機或多人使用多臺計算機時，情況則有所不同。多人使用單臺計算機時，單個MAC編碼對應著多個信息主體，因此其并不能區(qū)分出特定個人。多人使用多臺計算機時，單個MAC編碼對應多個信息主體，同一信息主體也使用著多個MAC編碼，憑借MAC編碼并不能定位到信息主體。由此可見，按照信息能否區(qū)分出特定個人的標準，在單臺或多臺計算機僅為一人使用的情況下，MAC編碼應作為區(qū)分性信息；在單臺或多臺計算機為多人使用的情況下，MAC編碼不屬于區(qū)分性信息。

(二)區(qū)分性信息侵權構成要件的裁判立場考察

1.認定區(qū)分性信息侵權是否要求實際損害發(fā)生

關于侵害此類信息的損害后果認定，法院往往只考慮行為是否導致信息處于不當公開的事實狀態(tài)，而不要求行為造成權利人的社會評價降低、精神損害等。實際上，與信息主體因隱私曝光而遭受精神損害、財產損害這類典型的損害形式相比，信息泄露是一類侵犯個人信息的新型損害形式。司法實踐中基于對區(qū)分性信息的高度保護而認可此種新型損害，對傳統(tǒng)意義上的實際損害后果不作要求的做法，值得肯定。

2.認定區(qū)分性信息侵權是否要求行為人存在主觀過錯

對于行為人的主觀過錯，法院大多未予考察，部分法院則根據(jù)行為人在公開時是否盡到謹慎注意義務、公開的目是否合理正當?shù)纫剡M行綜合考察。如楊大虎與北京微夢創(chuàng)科網絡技術有限公司等名譽權糾紛案中，法院認為，胡鼎宸在網上公布楊大虎的汽車牌號、身份證號碼等信息，雖然是出于幫助涉案交通事故受害人尋找肇事逃逸者的正當目的，但因沒有限制信息傳播的范圍而存在過錯，構成侵權。[注]參見北京市海淀區(qū)人民法院(2013)海民初18653號民事判決書。盡管在大數(shù)據(jù)技術被廣泛應用的情況下，個人一般信息侵權適用一般過錯責任對信息主體的保護力度不足，但無過錯責任與過錯推定責任的適用應有其特殊條件，有學者認為對個人信息侵權應采三元歸責體系，根據(jù)信息處理者的處理能力高低課以相應的注意義務標準。[注]參見葉名怡：《個人信息的侵權法保護》，《法學研究》2018年第4期。筆者認為此種方案可資借鑒，但亦應結合信息與主體的關聯(lián)程度綜合考慮，對于區(qū)分性信息這類與主體高度關聯(lián)的信息，信息處理者的注意義務應相對更高。

(三)區(qū)分性信息侵權抗辯事由的裁判立場考察

在區(qū)分性信息侵權案件中為法院認可的免責事由有權利人主動公開，即信息已經處于公開狀態(tài)且此種公開得到了權利人的同意。然而，值得注意的是，造成他人已在一定范圍內公開的信息的公開范圍不當擴大依然構成個人信息侵權。因此，在以信息已公開或權利人主動公開作為免責事由時，應當將權利人意圖公開的范圍及其已公開的范圍作為考量因素。對于權利人的同意這一免責事由，實踐中為法院認可的同意方式既包括明示同意亦包括默示同意。明示同意是指權利人通過書面或口頭的方式明確表示同意。如夏欣與北京電視臺隱私權糾紛案中，法院認為，被告對原告進行報道并拍攝其身份證件等均經其同意，如果原告主張其曾提出對攝制內容進行特別處理的要求，應對此負舉證責任。[注]參見北京市朝陽區(qū)人民法院(2014)朝民初28219號民事判決書。默示同意系指通過權利人的積極行為推知其具有同意的意思。如陳A與上海教育電視臺隱私權糾紛上訴案中，法院認為，陳A作為一名意思能力完備的成年人，在明確知曉被上訴人記者身份和來訪緣由后應當對自己被采訪時的言談后果與影響有清楚的認知。因此，可以推斷陳A同意在被上訴人的節(jié)目上公布含有其個人信息的采訪內容。[注]參見上海市第二中級人民法院(2012)滬二中民一(民)終374號民事判決書。知情同意原則在個人信息保護中至關重要，但上述兩則案例卻反映出法院對知情同意要件的判定較為粗糙，就知情要件而言，法院未考察權利人是否知曉信息處理人使用信息的范圍、目的、持續(xù)期間等；就同意要件而言，法院未查明權利人同意他人處理其個人信息的程度、公開的范圍等。另外，法院認可經權利人的默示同意即可收集、利用區(qū)分性信息的做法也值得商榷，筆者認為，對于區(qū)分性信息這類與主體關系緊密，其泄露可能對主體影響較大的個人信息，應更多地將信息處理的控制權賦予當事人而非信息處理者。[注]See Christophe Lazaro,Daniel le Metayer, Consent to Personal Data Processing: A Comparative Perspective on Data Subject's Autonomy, Revue Juridique Themis, 2014,48 (3):765～ 816.這就要求當事人對信息處理的授權更為明確和直接。處理信息前應征得當事人明確、具體的同意且該意思表示應以明示的方式作出，都是確保這類信息受信息主體控制的手段，既能避免后續(xù)環(huán)節(jié)容易產生的風險，也不會占用信息主體過多的處理成本。

(四)區(qū)分性信息侵權責任方式的裁判立場考察

司法實踐中，此類信息的侵權責任方式主要包括賠禮道歉、停止侵害、精神損害賠償、消除影響等。其中前兩者適用得較多，精神損害賠償適用得較少。因為按照我國《侵權責任法》第22條之規(guī)定，當事人關于精神損害賠償?shù)恼埱笾挥性谄渌芫駬p害達到“嚴重”程度時才能得到支持。實踐中，法院大多認為個人信息的泄露并不會導致被害人嚴重的精神損害；個別裁判認定侵犯個人區(qū)分性信息造成精神損害的，也是因為在公開個人信息的同時侵犯了名譽權等其他人格權。前者如在龐理鵬與北京趣拿信息技術有限公司等隱私權糾紛案中，法院認為龐理鵬未因此次隱私信息被泄露而引發(fā)明顯的精神痛苦，故不支持其精神損害賠償請求。[注]參見北京市第一中級人民法院(2017)京01民終509號民事判決書。后者如在前述“孫蕾案”中，法院認為學集教育咨詢(北京)有限公司的隱私侵權行為給孫某的情感和精神造成了一定傷害，酌情判令學集公司賠償2000元。[注]參見北京市第一中級人民法院(2017)京01民終509號民事判決書。實際上，侵犯區(qū)分性信息是否造成權利人嚴重精神損害不能僅僅根據(jù)信息的性質本身判斷，而應在個案中結合侵權情節(jié)、過錯程度、損害后果等因素綜合考量。基于個人信息一經公開即難以恢復的特性，賠禮道歉、消除影響的執(zhí)行方式亦有其特殊性，法院大多判決侵權人在侵權行為的原公開范圍內履行，以免公開范圍的再次擴大。如在吳朝偉訴陸攀攀一般人格權糾紛案中，法院判決吳朝偉在其發(fā)布侵害陸攀攀隱私的微信朋友圈內發(fā)表向陸攀攀道歉的聲明。[注]參見浙江省寧波市中級人民法院(2017)浙02民終1527號民事判決書。

在區(qū)分性信息類案件中，法院判決侵權的有17件，占此類案件總數(shù)的70.83%，可在一定程度上說明司法實踐對此類信息的保護程度較高。認定為不構成侵權的判決大多并非否認此類信息應受保護，而是根據(jù)獲取信息的手段、公開的范圍與程度、公開的目的、處理信息時是否盡到合理的注意義務、損害后果等因素作出的綜合判斷。

三、聯(lián)絡性信息侵權糾紛的裁判規(guī)則評析

(一)聯(lián)絡性信息性質與范圍的裁判立場考察

1.聯(lián)絡性信息是否屬于個人信息

聯(lián)絡性信息是指電話號碼、微信二維碼、電子郵箱、住址等可以聯(lián)絡到特定個人的信息。我國《網絡安全法》第72條及人格權編二審稿第813條均規(guī)定個人信息是可以直接或間接識別個人身份的信息。單獨的聯(lián)絡性信息卻往往難以定位到特定個人，不過他人可以通過該信息聯(lián)絡到個人從而對其產生直接影響，這就給個體的生活安寧、經濟安全甚至人身安全都帶來了潛在威脅，如強制推銷、電信詐騙等。可見，以識別標準界定個人信息難以回應聯(lián)絡性信息保護的緊迫需求，而應以信息濫用是否會影響個人生活為標準判斷個人信息的保護范圍。[注]參見范為：《大數(shù)據(jù)時代個人信息定義的再審視》，《信息安全與通信保密》2016年第10期。部分司法判決也采取了這一立場。如在黃立紅與付麗麗隱私權糾紛案中，法院認為，付麗麗未經黃立紅許可在一些微信群中發(fā)布黃立紅不愿公開的微信二維碼、聯(lián)系電話等個人信息，使社會不特定人得以知曉并對黃立紅的個人生活產生了影響，構成侵權。[注]參見江蘇省蘇州市姑蘇區(qū)人民法院(2018)蘇0508民初1860號民事判決書。為數(shù)較多的司法裁判甚至將聯(lián)絡性信息納入隱私權保護。在筆者檢索到的32件相關案件中，僅有3件案例的裁判認為聯(lián)絡性信息不屬于隱私或個人信息，其理由如下。其一，手機號碼只是一串數(shù)字，當其與特定個人相關聯(lián)后才成為個人信息。[注]參見廣東省深圳市中級人民法院(2017)粵03民終7378號民事判決書。其二，聯(lián)絡性信息在日常民事交往中發(fā)揮著信息交流的重要作用。因此，孤立來看，手機號等信息不但不應保密，反而是需要向他人告示的。理由一局限于狹隘的個人信息識別標準，理由二錯誤適用隱私的判定標準來界定個人信息。這兩點理由均忽視了聯(lián)絡性信息的泄露、濫用可能給權利人生活帶來的負面影響，實際上聯(lián)絡性信息不僅對個人生活安寧影響較大，而且一般情況下具有專屬性，因此其不僅屬于個人信息的保護范圍，而且是與信息主體關聯(lián)度較高的信息類型。

2.聯(lián)絡性信息是否包括IP地址(Internet Protocol Address)

個體展開網絡活動時亦需要類似于電話號碼和住址的IP地址信息，其一方面具有唯一性從而與個體高度關聯(lián)，另一方面又因承擔著網絡交互功能而具有較大的受侵害風險。[注]See Frederick Lah, Are IP Addresses "Personally Identifiable Information"?,A Journal of Law and Policy for the Information Society, 2008,4 (3):682.然而，司法實踐中普遍對其重視不足，實際上IP地址的功能定位符合聯(lián)絡性信息的特征，生活中普遍發(fā)生的濫用、出售他人IP地址的行為亦亟待規(guī)制，因此宜將其納入聯(lián)絡性信息的范疇受個人信息保護。[注]See Joshua J. McIntyre , Balancing Expectations of Online Privacy:Why Internet Protocol(IP) Addresses Should Be Protected as Personally Identifiable Information,DePaul Law Review, 2011,60 (3):897.

(二)聯(lián)絡性信息侵權構成要件的裁判立場考察

1.單獨地獲取他人聯(lián)絡性信息是否構成侵權行為[注]參見上海市青浦區(qū)人民法院(2017)滬0118民初6453號民事判決書。

對于單純獲取他人聯(lián)絡性信息而未進行公開或濫用的行為，實踐中大多認為不構成侵犯隱私權或個人信息。[注]參見北京市大興區(qū)人民法院(2017)京0115民初1958號民事判決書。這種立場值得肯定，聯(lián)絡性信息因其承擔著社交功能，在人際交往中極易為他人獲知，因此單獨的獲取行為一般難以認定為侵權，除非獲取的途徑不法。不過，對獲取行為與收集行為應作出區(qū)分，收集是指較大規(guī)模地取得他人聯(lián)系方式的行為，法律重點規(guī)制的是非法收集他人聯(lián)系方式以及取得他人聯(lián)系方式后的擅自泄露、不當公開、濫用等行為。

2.公開他人聯(lián)絡性信息達到何種程度構成侵權

司法實踐中一般認為須向多數(shù)人或不特定第三人公布他人聯(lián)絡信息才構成侵權行為。如在焦洋與徐萍等隱私權糾紛案中，法院認為，悠恩齒科公司轉發(fā)公布焦洋的病歷上載有焦洋的電話號碼、工作單位、家庭住址等信息，造成焦洋的身份信息為不特定第三人所知，該行為侵犯了焦洋的隱私權。[注]參見北京市第三中級人民法院(2018)京03民終3553號民事判決書。相反，若公開范圍較為有限則往往不認定為侵權，如高淑琴與中國政法大學隱私權糾紛案中，法院認為，被告將印制有高淑琴姓名、電話、電子郵件和聯(lián)系單位等信息的會議手冊在僅50人左右的參會者中發(fā)放，未向不特定社會公眾公開，不構成侵犯隱私。[注]參見北京市第一中級人民法院(2015)一中民終06880號民事判決書。

3.錯誤標記手機號碼是否構成侵權行為

實踐中還出現(xiàn)因軟件標記手機號碼信息引起的訴訟，在王刃與北京奇虎科技有限公司隱私權糾紛案中，原告作為公司負責人將其個人手機號碼作為企業(yè)辦公電話登記，被告運營的360手機衛(wèi)士軟件將該號碼標記為企業(yè)號碼，并在原告以該號碼主叫或被叫時顯示標記信息。法院以被告無侵權故意，標記信息無誤，獲取信息渠道合法，訴訟時標記已取消等理由判定被告行為不構成侵權。不過法院也對360手機衛(wèi)士軟件主動標記企業(yè)信息的功能提出了改進意見，建議其在標記號碼時應向號碼所有人發(fā)送短信進行確認。[注]參見北京市西城區(qū)人民法院(2015)西民初28460號民事判決書。該案被告系按照案涉號碼的登記信息進行標記，因此并非錯誤標記，但倘若軟件確實將個人所有的電話號碼錯誤標記為企業(yè)電話，則行為人具有主觀過錯且該行為可能導致當事人遭受與其無關的電話或短信的騷擾，應當認定為侵權。

4.認定侵犯聯(lián)絡性信息是否要求行為人具有主觀過錯

關于聯(lián)絡性信息的侵權認定，法院大多未考察行為人的主觀過錯，認為鑒于個人信息的私密屬性，只要存在未經權利人許可向他人披露其個人信息的事實就構成侵權。[注]參見山東省淄博市臨淄區(qū)人民法院(2014)臨民初2429號民事判決書。然而，這種認識有失偏頗。與區(qū)分性信息相比，聯(lián)絡性信息與主體的關聯(lián)程度較低，因此對信息處理人的注意義務要求也相對較低，同時還應結合信息處理人的資源掌握范圍、信息處理能力等進行綜合考察。實踐中也有部分法院根據(jù)行為人管理或公布他人聯(lián)系方式時是否盡到注意義務、管理義務，公開聯(lián)絡性信息的目的是否正當?shù)确矫婵疾煨袨槿说闹饔^過錯狀態(tài)以判定侵權與否，[注]參見北京市海淀區(qū)人民法院(2013)海民初26952號民事判決書；北京市朝陽區(qū)人民法院(2014)朝民初00008號民事判決書。此種態(tài)度較為可取。

5.認定侵犯聯(lián)絡性信息是否要求實際損害發(fā)生

與區(qū)分性信息侵權僅要求信息處于公開的事實狀態(tài)即構成損害不同，實踐中對侵犯聯(lián)絡性信息的損害要件存在爭議。大多數(shù)法院認為應具有泄露、濫用聯(lián)絡性信息引發(fā)的生活受到騷擾、精神受到傷害等實際后果。[注]參見湖南省郴州市北湖區(qū)人民法院(2014)郴北民二初947號民事判決書。然而，在個別判決中，法院認為只要行為人致使他人的聯(lián)絡信息被不確定的第三人知悉或處于不特定第三人可獲知的狀態(tài)，損害即成立。[注]參見北京市順義區(qū)人民法院(2017)京0113民初2770號民事判決書；四川省成都市錦江區(qū)人民法院(2011)錦江民初2071號民事判決書。這一觀點存在一定的合理性，雖然聯(lián)絡性信息尤其是聯(lián)系電話、電子郵箱等作為現(xiàn)代人的通訊方式，基于社會交往的需要具有較高的公開程度和使用頻率，僅僅為特定第三人獲知難以認定為侵權，但是如果行為導致聯(lián)絡性信息為不特定第三人獲知，會令權利人的生活安寧有受侵擾之虞，可能導致其遭受生活的不確定性帶來的困擾。我國香港特別行政區(qū)的“香港法律改革委員會”建議，對于侵犯“私隱”的行為，原告無須證明有任何損害便可提起訴訟。[注]參見香港法律改革委員會：《侵犯私隱的民事責任報告書(2004)》，http://www.hkreform.gov.hk，2019年2月20日訪問。雖然該建議針對的是保護程度較高的隱私受侵害時的起訴條件，但對個人一般信息的侵權保護也具有借鑒意義。當然，對于保護程度相對較低的聯(lián)絡性信息不必如此絕對，受害人雖無須證明侵害行為造成的實際損害，但應證明存在侵害行為被使聯(lián)絡性信息處于可為不特定第三人獲知的事實狀態(tài)。

(三)聯(lián)絡性信息侵權抗辯事由與責任形式的裁判立場考察

聯(lián)絡性信息的侵權抗辯事由包括權利人的主動公開及權利人的同意，在同意授權公開的對象上應予以明確。隨著微信這一社交軟件的普及，越來越多的隱私或個人信息侵權行為通過微信朋友圈、微信公眾號、微信群等媒介予以實施。因此，該平臺的運行機理對于侵權判定也會產生影響，比如在同意對象的界分上就應如此。在李蕾與上海映迪貿易商行、中視創(chuàng)藝(北京)影視文化傳媒有限公司肖像權糾紛案中，法院認為，原告在“小小紅領巾”訂閱號上傳個人信息并勾選“需要通過平臺免費推廣”的行為，應視為僅允許該訂閱號獲取、保存并對外推送原告?zhèn)€人信息。該訂閱號與“小小紅領巾”服務號的注冊主體分別為企業(yè)和個人，原告對前者的授權不能當然視為對“小小紅領巾”服務號的授權，因此，后者擅自抓取、保存原告?zhèn)€人信息并對外推送的行為構成侵權。[注]參見上注，香港法律改革委員會文。與區(qū)分性信息類似，聯(lián)絡性信息的侵權責任形式亦多為停止侵害和賠禮道歉，精神損害賠償?shù)倪m用較少，在筆者檢索到的32件案例中僅有3件，且要求被侵權人受到嚴重的精神痛苦。如在趙圣祥與新麗傳媒股份有限公司、山東影視傳媒集團有限公司等隱私權糾紛案中，法院認為被告的行為致使原告在生活上長期受到困擾，且隨著電視劇的播出，公開的電話號碼信息已為不確定的大眾獲知，不能排除原告將來還會接到電話及短信等騷擾的可能，給原告的生活及精神造成了一定的傷害，應進行精神損害賠償。[注]參見前注，香港法律改革委員會文。

在聯(lián)絡性信息類案件中，法院判決侵權的有18件，占此類案件總數(shù)的56.25%，這在一定意義上反映出其相對于區(qū)分性信息的司法保護程度較低，其原因在于，其一，部分法院對聯(lián)絡性信息的定位不清，認為其屬于應公開的信息范疇，不作為個人信息受法律保護；其二，聯(lián)絡性信息承擔的社會交往功能使其保密性應有所縮減，有限范圍內的公開不一定構成侵權，這需要法院在個案中綜合權衡。

四、關聯(lián)性信息侵權糾紛的裁判規(guī)則評析

(一)關聯(lián)性信息屬性定位的裁判立場考察

1.單獨的關聯(lián)性信息是否屬于個人一般信息

關聯(lián)性信息包括以下兩種。其一，無法直接識別到特定個人，但與其他信息結合后可以使人格圖像更為清晰以提升識別個人可能性的信息，[注]此類信息可統(tǒng)攝于歐盟2018年5月生效的《一般數(shù)據(jù)保護條例》(General Data Protection Regulation，GDPR)所采用的較為寬泛的個人可識別信息定義中。如微信頭像等。其二，能夠使某個已知主體的人格圖像更為豐滿的信息，[注]這類信息可為美國法所采用的個人可識別信息概念所囊括。See Paul M.Schwartz,Daniel J.Solove,The PII Problem:Privacy and a New Concept of Personally Identifiable Information,New York University Law Review,2011,86(6):1873.例如，興趣愛好、婚姻狀況、性別、年齡、網絡活動信息、購物偏好等均屬此類?？梢姡P聯(lián)性信息內部亦存在分類，上述前一種關聯(lián)性信息主要承擔標識主體的功能，后一種關聯(lián)性信息主要發(fā)揮描述主體特征的功能。兩者的共性在于，其單獨存在都不符合個人一般信息的識別要件，只有在與其他信息結合后才能識別出特定個人或提供關于某個已知個人更為豐富的特征時才屬于個人一般信息。因此，單獨判斷某個關聯(lián)性信息是否屬于個人信息不具有實際意義，而應將其性質置于動態(tài)變化的環(huán)境中考察。傳統(tǒng)的關聯(lián)性信息如肖鎮(zhèn)訴陜西《收藏》雜志社侵害隱私權案中肖鎮(zhèn)收藏佛像的愛好。被告在對當事人進行報道時擅自公布了其姓名、住址及上述興趣愛好等信息。[注]參見江蘇省徐州市中級人民法院(2000)徐民初1430號民事判決書。通過姓名與家庭住址實際上已能夠識別或聯(lián)絡到特定個人，而其興趣愛好若單獨呈現(xiàn)尚不足以定位到特定個人，但在與上述信息相結合后卻使得人物形象更加豐滿，而恰恰是這一關鍵信息的公布使得全國各地佛像經銷商或佛像愛好者向原告寄送大量的推銷或咨詢信件，極大地干擾了原告晚年生活的安寧。

2.網絡空間中的關聯(lián)性信息是否屬于個人信息

隨著互聯(lián)網日益融入個人生活，個體在網絡空間活動時留下的網絡活動信息(如購物方式、訪問次數(shù))、社交賬號頭像與名稱等信息塑造著個人在網絡空間中的形象，其是否作為個人信息受到保護，既關系到個人在網絡空間的安全性與自由度，又涉及網絡中其他主體的行為邊界，需要理論與立法的明確回應。司法實務中，當此類信息滿足前述的關聯(lián)性信息上升為個人一般信息之條件時，其受個人信息保護一般不存爭議。如在張昊與張珊妮、王秀玲一般人格權糾紛案中，法院認為被告在其微信朋友圈公開張昊的微信頭像、身份證信息、車牌號碼等個人信息構成侵權。[注]參見安徽省淮北市相山區(qū)人民法院(2018)皖0603民初154號民事判決書。該案中當事人的身份證信息、車牌號碼等作為區(qū)分性信息已經足以識別其身份。微信頭像則系關聯(lián)性信息，單獨公布這一信息一般無法識別到特定個人，難以構成侵權，但其與上述區(qū)分性信息相結合能夠構建出更為完整的人格圖像，甚至能起到將虛擬人格形象與現(xiàn)實人格形象相連接的功能。此時，這些信息作為整體信息就應當受到個人信息保護。然而，單獨的網絡空間關聯(lián)性信息是否屬于個人信息或隱私在司法實踐中存在爭議。在朱燁與北京百度網訊科技有限公司(以下簡稱：“百度”)隱私權糾紛案中，一審法院認為，網絡用戶在互聯(lián)網空間留下的私人活動軌跡是對其上網偏好、消費興趣與需求等私人信息的折射，能夠反映其人格圖像與私人生活狀況，屬于個人隱私。[注]參見江蘇省南京市鼓樓區(qū)人民法院(2013)鼓民初3031號民事判決書。該案二審法院則認為，網絡活動軌跡信息不能與網絡用戶個人身份相對應，其匿名化特征不滿足個人信息的可識別性要求，因此，其雖然反映了用戶的上網偏好具有隱私屬性，但一旦脫離用戶身份就難以識別出信息背后的個人，因此不再屬于個人信息。[注]參見江蘇省南京市中級人民法院(2014)寧民終5028號民事判決書。還有法院直接否定此類信息的隱私屬性，如在顧俊與奇智軟件(北京)有限公司等隱私權糾紛案中，法院認為，個人是否安裝計算機軟件的信息難以認定為隱私。[注]參見浙江省杭州市中級人民法院(2014)浙杭民終字1813號民事判決書。上述案件發(fā)生于我國《民法總則》施行前，法院將個人信息納入隱私權保護，故在判定此類信息屬性時錯誤采用了隱私的界定標準。然而，拋開概念之分，大多數(shù)法院仍然認為單獨的個人網絡活動信息不屬于隱私或個人信息。這一判斷符合關聯(lián)性信息動態(tài)定性的標準，孤立的網絡活動信息通常不具備識別性，但其與其他信息相結合可以增加個人的可識別性或者豐富已知個人的特征。因此，網絡活動信息的定性亦應根據(jù)其所處的環(huán)境和所結合的信息進行綜合判斷。

(二)關聯(lián)性信息侵權構成要件的裁判立場考察

1.認定侵犯關聯(lián)性信息是否要求公開行為

與區(qū)分性信息及聯(lián)絡性信息不同，侵犯關聯(lián)性信息的行為除了公開外，更多體現(xiàn)為非法收集、使用、傳輸、買賣、提供他人個人信息的行為，尤其在網絡活動信息上表現(xiàn)得更為明顯。然而，在朱燁與“百度”隱私權糾紛案中，二審法院認為，公開行為是隱私或個人信息侵權的構成要件之一，“百度”并未將其收集的用戶Cookie信息予以公開，故不構成侵權。[注]參見江蘇省南京市中級人民法院(2014)寧民終5028號民事判決書。該法院將公開行為作為侵犯個人信息的必備要件，卻未對“百度”收集用戶Cookie信息并進行商業(yè)利用的行為作出評價，有避重就輕之嫌。實際上公開行為只是侵犯個人信息的典型行為類型之一，我國《民法總則》第111條已對其他個人信息侵權行為進行了詳細列舉，糾正了理論與實務中的偏差。

2.認定侵犯關聯(lián)性信息是否要求行為人存在主觀過錯

大多數(shù)判決在考察此類侵權行為是否成立時，未專門就當事人是否存在過錯予以說明，個別法院對此作出了認定。如在施某庭、張傳霞、桂德聰訴徐錦堯肖像權、名譽權、隱私權糾紛案中，法院認為徐錦堯通過網絡發(fā)布原告施某庭年齡、照片等信息的目的是為了揭露其遭受虐待的事實，以維護作為未成年人的施某庭本人利益以及社會公共利益，結合行為的情節(jié)嚴重性、行為后果等因素，法院認定徐錦堯未侵犯施某庭的隱私權。[注]參見南京市江寧區(qū)人民法院(2015)江寧少民初7號民事判決書。實際上，關聯(lián)性信息與主體的關聯(lián)程度較低，行為人的注意義務標準相應較低，應適用一般過錯責任對行為人的過錯予以考察。

(三)關聯(lián)性信息侵權抗辯事由的裁判立場考察

侵犯關聯(lián)性信息的免責事由亦包括信息主體的知情同意，只是在知情的判斷與同意的方式上尚須厘清。

1.信息收集者承擔的告知義務在范圍與程度上有何要求

對于網絡服務提供商應承擔的告知義務的程度與范圍司法實務中存在爭議。在“百度”與朱燁隱私權糾紛案中，一審法院認為，網絡用戶在使用百度搜索引擎時可能并不知曉其個人信息被收集利用，更無從作出同意的意思表示，因此“百度”須承擔更多、更嚴苛的說明提示義務，但“百度”關于說明和提示的內容使用戶難以識別和引起注意，不足以保障其選擇同意的權利。該案二審法院則認為，“百度”放置《使用百度前必讀》鏈接的位置與行業(yè)通行設計位置相符，其字體雖小但足以引起網絡用戶注意。可見，告知義務的設置是為了保證信息被收集者在知情基礎上作出選擇，網絡服務提供者只要對個人信息的保護與退出機制作出明確說明就足以保障用戶的知情權。至于是否盡到該義務，應由法官綜合考量告知方式、行業(yè)習慣、網絡技術普及度等因素作出判斷。[注]參見江蘇省南京市中級人民法院(2014)寧民終5028號民事判決書。

2.收集、處理關聯(lián)性信息應經過被收集者的明示同意還是默示同意

我國《網絡安全法》第41條、全國人大法工委《關于加強網絡信息保護的決定》第2條與人格權編二審稿第814條均規(guī)定了收集、使用個人信息的同意原則，但未明確被收集者的同意應為明示還是默示。2018年5月1日實施的國家標準《信息安全技術——個人信息安全規(guī)范》(GB/T 35273—2017)第3.6條規(guī)定處理個人信息應經過信息主體的明示同意，但該條未針對信息與主體的關聯(lián)程度差異作出區(qū)別設計。可見，我國法與相關行業(yè)標準都未對處理關聯(lián)性信息的同意規(guī)則予以明確，需要理論上的及時回應。實踐中多數(shù)法院認為收集關聯(lián)性信息僅須經過被收集者的默示同意，即只要網絡服務提供商在用戶使用服務時盡到了明示告知的義務(告知內容包括收集用戶信息的范圍、目的、用途等)，用戶如果繼續(xù)使用該服務就視為同意。這一態(tài)度值得借鑒。孤立的關聯(lián)性信息因與信息主體的聯(lián)系較弱，在與信息主體分離時無法識別主體身份，其被收集與處理對信息主體的侵擾風險相對較小，采取默示同意并提供明確的拒絕途徑的方式足以保障信息主體的自主與安寧利益，是平衡互聯(lián)網產業(yè)的自由發(fā)展與信息主體權益保護的可取之道。

司法實踐對關聯(lián)性信息的保護程度較弱，對于該類案件，法院判決侵權的僅有3件，占其總數(shù)的25%。其原因主要在于關聯(lián)性信息一般不具有唯一性，識別個人的可能性與信息濫用給主體帶來的負面影響均相對較低，因此其與主體的關聯(lián)度相對較低，僅在與其他信息相結合并滿足特定條件時才作為個人信息受法律保護。

五、對相關案例或新規(guī)則的總結

綜上所述，個人一般信息可以進一步劃分為區(qū)分性信息、聯(lián)絡性信息與關聯(lián)性信息，這三類信息所涉案件法院判決侵權的比例懸殊較大，其中區(qū)分性信息類案件法院判決侵權的最多，聯(lián)絡性信息類案件次之，關聯(lián)性信息類案件最少。上述裁判規(guī)律在客觀上反映了裁判者對不同類型個人一般信息的區(qū)分保護傾向。這種傾向具體表現(xiàn)在不同類型信息的保護程度、保護范圍、侵權認定、抗辯事由的差異上。其中，區(qū)分性信息的受保護程度最高，在保護范圍上僅就裁判文書中的區(qū)分性信息是否受個人信息保護存在爭議，侵權行為大多表現(xiàn)為不當公開或公開范圍的擴大，侵權認定上僅要求信息被披露的事實狀態(tài)存在即可，而不要求具體的損害后果，法院認可的免責事由中知情同意的形式包括明示與默示同意；聯(lián)絡性信息的保護程度次之，個別法院對其個人信息屬性的質疑主要針對其具有的非識別性和社交功能，在侵權行為認定上，單純獲取聯(lián)絡性信息而未公開或濫用大多不構成侵權，公開亦須范圍達到一定的廣度，損害后果上多認為應造成實際損害后果；關聯(lián)性信息的保護程度最低，其與其他信息相結合時若滿足一定條件可作為整體中的一部分受到保護，但單獨的關聯(lián)性信息大多被認為不屬于個人信息，與其相關的侵權行為更多表現(xiàn)為不當利用，侵權免責事由中的知情同意大多要求明示告知與默示同意。

司法實踐中按照不同類型個人一般信息與信息主體的關聯(lián)程度區(qū)分個人一般信息的保護程度具有一定的合理性，在此基礎上更為重要的是應當對個人一般信息的保護規(guī)則作出區(qū)分設計。根據(jù)筆者于本文中對裁判規(guī)則的逐一分析，實踐中對保護范圍、過錯要件、知情同意的裁判立場不盡適宜，且面對網絡時代涌現(xiàn)的新型個人一般信息也有些進退失據(jù)。實際上，應準確把握不同信息類型的特征進行有針對性的規(guī)制，并應注意到網絡環(huán)境中的MAC編碼、IP地址、Cookie信息、社交軟件用戶名頭像等信息與傳統(tǒng)的個人一般信息類型的同質性而將其納入對應的信息類型予以規(guī)范。

六、關于我國民法典中個人一般信息的保護規(guī)則的設計建議

我國民法典中個人一般信息的保護規(guī)則設計應堅持本土性與時代性的價值導向，一方面要總結司法裁判經驗并反思其不足之處，另一方面要反映高科技時代的特征，適應互聯(lián)網、大數(shù)據(jù)技術的發(fā)展。[注]參見王葉剛：《民法典人格權編的規(guī)則設計》，《政治與法律》2017年第8期。在此基礎上，筆者結合我國民法典編纂的實際情況提出完善個人信息保護規(guī)則的設計建議。

日前，人格權編二審稿提請全國人大常委會審議，“個人信息保護”仍然規(guī)定在該編第六章中，共6條(第813條至第817條之一)。其中，第813條以識別標準界定個人信息并區(qū)分了直接識別信息與間接識別信息，列舉的身份證件號碼、個人生物識別信息屬于區(qū)分性信息，姓名、出生日期屬于關聯(lián)性信息，住址、電話號碼屬于聯(lián)絡性信息。然而，如前所述，以能否識別個人身份作為個人信息的界定標準具有不周延性，直接識別與間接識別的分類標準也不盡科學。人格權編二審稿第814條第1項對收集使用無民事行為能力人或限制民事行為能力人個人信息的，增加了應當征得其監(jiān)護人同意的規(guī)定。這有利于加強對未成年人等意思能力有限的自然人個人信息的保護，但在免責事由等規(guī)定中卻未作出相應設計。有鑒于此，建議按照區(qū)分性信息、聯(lián)絡性信息、關聯(lián)性信息相區(qū)分的思路修改人格權編二審稿中有關個人信息的條文，并對未成年人等無民事行為能力人或限制民事行為能力人的個人信息予以特殊處理，進而在同意、收集等具體規(guī)則層面進行區(qū)分設計，具體方案如下。

建議將人格權編二審稿第813條第2款修改為：“本法所稱個人信息是以電子或者其他方式記錄的自然人的區(qū)分性信息、聯(lián)絡性信息與關聯(lián)性信息。區(qū)分性信息是能夠單獨區(qū)分特定自然人的個人信息，包括自然人的身份證件號碼、個人生物識別信息、MAC編碼等。聯(lián)絡性信息是能夠聯(lián)絡到特定自然人的個人信息，包括自然人的住址、電話號碼、IP地址等。關聯(lián)性信息是與其他信息結合能夠識別自然人個人身份或描述已識別的自然人特征的個人信息，包括自然人的姓名、出生日期、性別、年齡、社交軟件用戶名頭像等?！苯ㄗh將人格權編二審稿第814條修改為：“收集、使用自然人個人信息的，應當遵循合法、正當、必要原則，并應當符合下列條件：(一)區(qū)分性信息、聯(lián)絡性信息征得該自然人或者其監(jiān)護人的明示同意，關聯(lián)性信息征得該自然人或者其監(jiān)護人的默示同意，……”建議將人格權編二審稿第816條修改為：“收集、使用或者公開自然人個人信息，有下列情形之一的，行為人不承擔民事責任：(一)在該自然人或者其監(jiān)護人明示同意的范圍內實施的針對區(qū)分性信息及聯(lián)絡性信息的行為，在該自然人或者其監(jiān)護人默示同意的范圍內實施的針對關聯(lián)性信息的行為；……”建議將人格權編二審稿第817條第1款修改為：“信息收集者、持有人不得泄露、篡改、毀損其收集、存儲的個人信息。未經被收集者或者其監(jiān)護人明示同意，不得向他人非法提供個人的區(qū)分性信息和聯(lián)絡性信息；未經被收集者或者其監(jiān)護人默示同意，不得向他人非法提供個人的關聯(lián)性信息……”

當然，在人格權編二審稿基礎上修改的上述規(guī)范可能仍不足以應對司法實務中個人一般信息侵權的復雜情形，但將相關裁判規(guī)范全部納入也不符合民法典的體系性要求。如何在精細化與統(tǒng)攝性之間尋求平衡是民法典個人信息保護規(guī)則設計的關鍵。其折衷方法是在我國民法典人格權編編纂時將核心的侵權裁判規(guī)則納入隱私權與個人信息章節(jié)中，其他具體規(guī)則可納入正在制定的我國《個人信息保護法》，由此形成包括民法典和民事特別法在內的個人一般信息保護體系。當個人一般信息受到不法侵害時，首先適用我國民法典人格權編與我國《個人信息保護法》關于侵害個人信息的規(guī)定；當出現(xiàn)兩者未予規(guī)定的情形時，可以適用我國民法典侵權責任編的相關規(guī)定。這樣就可以既解決司法實務中的紛繁問題，又兼顧民法典的“提取公因式”要求，并形成個人一般信息完備性與開放性并舉的保護體系，切實保障自然人的個人信息權益。