區分于隱私的個人信息分級保護研究

裴俊暉 劉 柳

隨著科學技術的發展，隱私及個人信息泄漏問題越發頻繁，人們對各類能夠單獨或合并識別自己身份的個人信息以及自己不愿公開的個人隱私的保護意識不斷增強?！吨腥A人民共和國民法典》（以下簡稱《民法典》）和《中華人民共和國個人信息保護法》（以下簡稱《個保法》）對隱私權和個人信息進行了分級保護?！睹穹ǖ洹返?034 條第3 款規定：“個人信息中的私密信息，適用有關隱私權的規定；沒有規定的，適用有關個人信息保護的規定?！倍秱€保法》中又在第二章的第一、二節對個人信息保護作出了一般規定和敏感個人信息的處理規則。如此，我國構成了對公民隱私及個人信息的“隱私—敏感個人信息—一般個人信息”三級保護模式。這種將隱私與個人信息熔于一爐進行三級分級的保護模式易造成兩個問題：一是概念混淆。三者之間的界限模糊，導致某些個人信息級別定位模棱兩可，勢必會造成保護模式適用的兩難境地。特別是隱私和個人信息還在“私密信息”范疇交叉，易造成隱私與個人信息之間的概念混淆。二是單層模式。這一問題源自于界限模糊，忽視各類個人信息間，甚至個人信息與隱私之間的差距而采取“一刀切”的保護模式，使法律規定的正確保護方式被閑置。①如何解決這些問題，完善我國的隱私及個人信息的保護模式就是本文所要探討的內容。

一、隱私及個人信息區分模糊與個人信息保護不周延問題

隱私和個人信息在“私密信息”這一范疇中形成交叉，易導致隱私和個人信息之間區分模糊。加之個人信息的二級分級結構簡單，易造成分級保護不周延的問題。

（一）《民法典》規定導致的隱私及個人信息區分模糊

目前我國《民法典》在第110 條和第111 條中分別規定了隱私權與個人信息受法律保護②，雖均規定在民事權利一章，但個人信息是否應視為權利尚存在爭議，學界對此也是眾說紛紜。其中主要包括：法益說、近似人格權說以及人格權說三種學說觀點。③由于本文主要討論的是區分隱私及個人信息而非對個人信息的權利或權益性質進行定性，因此該爭議問題本文不做贅述。但至少可以確定的是，《民法典》第110 條與第111 條已經將隱私與個人信息列為兩種不同的權利或權益。同時，《民法典》通過第1032 條和第1034 條第2 款分別對“隱私”和“個人信息”進行區分定義。④然而，第1032 條中隱私定義所包含的“私密信息”以及第1034 條第二款規定的“個人信息中的私密信息，適用有關隱私權的規定；沒有規定的，適用有關個人信息保護的規定”，卻又使二者形成了隱私和個人信息兩相區分又在“私密信息”這一部分相互交融的局面。⑤如此，《民法典》對隱私及個人信息的規定，無法明確二者之間的區分，易造成司法實踐中“一刀切”的錯誤操作。

（二）《個保法》規定帶來的個人信息保護不周延

《個保法》第二章個人信息處理規則共分為三節，分別是一般規定、敏感個人信息的處理規則以及國家機關處理個人信息的特別規定。從該分節方式中不難看出，作為我國對個人信息進行保護的特別法，《個保法》對個人信息作出了兩級劃分，即“一般個人信息—敏感個人信息”，并對二者的處理規則進行了區分規定?！秱€保法》第4 條對個人信息作出一般性的定義，其中“不包括匿名化處理后的信息”也說明我國所保護的個人信息只限于可單獨識別或可合并識別的內容。⑥而《個保法》第28條通過可識別程度將“敏感個人信息”定義為一旦泄漏或者非法使用，容易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害的個人信息。但由于以下兩點原因，這一分級模式容易使司法實務陷入混淆適用的泥潭。

1.二級保護模式帶來個人信息保護泛化

《個保法》作為我國個人信息保護領域最高位階的專門立法，它對個人信息的界定與分級勢必具有深遠的指導意義。然而對個人信息僅做二級區分是遠遠不夠的，如此二級區分易造成：（1）對可識別程度極高的敏感信息保護不周延。敏感個人信息中有些信息對行為人的可識別性是極高的，不將這類個人信息區別于其他敏感個人信息，易造成保護泛化而不周延不精細。（2）對可識別程度處于中位的個人信息認定模糊。對于這類個人信息若認定為敏感信息則保護力度過大不利于信息流動，認定為一般個人信息則保護力度過輕不利于行為人維護自己的合法權益。二級保護模式易造成對個人信息級別認定非此即彼，保護力度不周延的問題。

2.“場景化”立法保護不周延

我國對個人信息的分級以可識別程度為分級標準，但各項個人信息帶有的可識別程度在不同的場景下可能存在變化。由于這種變化，我國現有的個人信息保護相關的法律文件對各項個人信息的分級認定持有不同的觀點，形成了表1 所示的個人信息分級認定結果。

表1 我國一般性法律文本對個人信息的分級認定⑦

由表1 可見，在大部分類型的個人信息的分級認定上，國內的法律文本達成了共識，只是在某些法律文本中形成了特別規定；但在某些信息的分級認定問題上，《個保法》和其他的一些法律文本的觀點產生了矛盾。例如銀行賬戶信息，《個保法》在第28 條明確規定為敏感個人信息，而在其他的一些法律文本中卻認定為一般個人信息。這都是場景化特別立法模式下的正?，F象。但需要注意的是由于某些法律文件發布時間較早，《個保法》作為最新立法其分級標準是否能夠對其進行取代。

綜上所述，《民法典》對隱私和個人信息的定義以及私密信息保護條文的表述易導致隱私及個人信息之間存在難以區分的問題；而《個保法》中對個人信息等級認定的規定與我國其他先行的關于個人信息等級認定的一般性法律文本產生了矛盾，該矛盾又與“可識別”標準帶來的“場景化”差異一同導致了個人信息分級認定不明的問題。這兩個問題就是我國隱私及個人信息的區分分級保護模式構建所面臨的問題。

二、隱私及個人信息的概念厘定與區分之必要性

隱私與個人信息之間存在概念上的易混淆性，二者存在相聯系之處，但也同樣存在差異。本部分擬從二者的概念入手，厘清二者概念之間的聯系與差異；再從對二者的保護價值差異入手，分析區分二者的必要性。

（一）隱私及個人信息的概念厘定

1.隱私：不愿為他人知曉

從詞語意思的角度上來看，“隱私”一詞的中文含義為：不愿告訴人的或不愿公開的個人的事；其在英文中的含義為：“Facts one wishes to hide”。兩種語言中該詞均包含著極為強烈的個人主觀色彩，都強調“不愿意”這一主觀態度。從《民法典》第1032 條對“隱私”的定義來看，“隱私”是指自然人的私人生活安寧和不愿為他人知曉的私密空間、私密活動、私密信息。這一定義可以解讀為：隱私權在我國法律體系中實則包含兩種不同的實體權利，一是自然人的私人生活安寧權；⑧二是狹義的隱私權，即不愿他人知曉的私人活動及信息等。前一層含義的法理來源是“貼身禁忌”這一規范性觀念，“貼身”一詞中的身體不僅是生理態的而且是溝通態的⑨，溝通態身體的“貼身禁忌”就形成了私人生活安寧不受他人侵害這一對世權。而后一層含義實則表述了狹義隱私權的兩項特性：一是本質特性，即不愿為他人知曉；二是外延特性，即滿足本質特性的私密空間、私密活動、私密信息。該定義雖然將“私密信息”這一個人信息類型設置于隱私的外延特性之中，但該定義的關鍵在于承認“不愿為他人知曉”這一本質特性。也就是說，即使是“私密信息”，但只要自然人愿意讓他人知曉那它就不再是隱私。只要獲得了自然人的同意，那么該“私密信息”的性質就發生了從“隱私”到“非隱私”的變化。但該“私密信息”本身并沒有因此而發生屬性的變化，依舊還是私密信息。在此語境中，“隱私”成為了“私密信息”的性質而非一個獨立的概念。冉克平教授和丁超俊學者也持有類似的觀點，“隱私的內容一旦被公開后其不再具有隱私的屬性，而個人信息被公開或者利用后其仍然屬于個人信息，不存在性質的改變?！雹庥纱丝梢?，我國《民法典》對“隱私”的定義中雖然將不愿為他人知曉的“私密信息”作為其外延之一，但該定義更加強調的應是“不愿為他人知曉”這一主觀態度與本質特性。因為行為人不愿他人知曉，私密信息才能被認定為其隱私的一部分。

2.個人信息：可識別特定個人

從詞語意思的角度上來看，“個人信息”一詞中“個人”是相對于公家和他人而言的一個概念，而“信息”是指：（1）音信；消息；（2）通信系統傳輸和處理的對象，一般指事件或資料數據。此處應對“信息”一詞作第二層含義的狹義理解，即“個人信息”這一詞組的含義應是：相對于公家和他人而言，屬于個人的通信系統傳輸和處理的對象。其英文含義為“Personal Information”。無論是中文還是英文含義，個人信息概念都不包含主觀色彩，可見該概念描述的是一個純粹的客觀事物。

從《民法典》第1034 條第2 款對“個人信息”的定義來看?，該定義可以區分為兩個部分，分別描述了個人信息概念的本質特性和外延特性。其中本質特性可表述為“可單獨或合并識別特定個人”，而外延特性則是逗號之后被包括的內容。而“以電子或者其他方式記錄的”是對個人信息可能載體的表述。從其本質特性的表述可以看出我國在個人信息保護上借鑒了“可識別說”。該學說由美國學者提出，他們將個人信息分為可識別個人信息（Personally Identifiable Information,PII）和不可識別個人信息（non-PII）。?在這種區分下，個人信息被依照“是否可以單獨或與其他信息結合識別出特定個人”這一標準分成了兩類，而只有PII 類個人信息才是美國個人信息保護的重要對象。?這一分類也一度被認為是美國與歐盟在信息保護上的最大分野。美國還將PII 依據違反保密性的后果依次分級為高級、中級和低級。低級為有限的不良影響，中級為嚴重的不良影響，高級為特別嚴重或災難性的不良影響。由此可見，“個人信息”不論是在中英文中的語詞含義，還是在我國法律體系中的定義，均不包含主觀色彩，而是指可單獨或合并識別特定個人的，相對于公家和他人而言屬于個人的信息客體。

3.私密信息：隱私及個人信息的保護交叉地

從詞語意思的角度上來看，“私密信息”一詞中“私密”的中文含義為：一是屬于個人而比較隱秘的；二是個人的秘密、隱私。其中第一層含義為形容詞性，而第二層則為名詞性質，結合“私密信息”這一詞組本身，不難得出此處應當適用第一層含義的結論。英文含義為“Private”。二者表述含義均為屬于個人比較隱秘的信息。我國現行法律文件中并沒有對“私密信息”作特別定義。依照詞義，私密信息的本質特性即為：屬于個人而比較隱秘?？梢?，“私密信息”和“隱私”在本質特性上存在較大區別，而由于其本身就屬于個人信息的一類，因而其本質特性和“個人信息”之間只多出了“比較隱秘”一點。且《民法典》第六章第1034 條中也指出“個人信息中的私密信息，適用有關隱私權的規定”?，該法條雖然指出“私密信息”可以適用有關隱私權的規定，但同時也承認了“私密信息”和“隱私”之間存在可以進行區別規定和保護的空間。

更需要注意區分的是私密信息與敏感個人信息這兩個概念。對于個人信息的分級，我國現行法律中存在兩套分級標準?！睹穹ǖ洹芬詡€人信息是否足夠隱秘為標準將個人信息分級為一般個人信息與私密（個人）信息；《個保法》將敏感個人信息表述為被泄露或非法使用后行為人易受到人格尊嚴侵害或人身、財產安全危害的各種個人信息。?這實際上是以信息的可識別程度對個人信息分級的結果，可識別程度低的為一般個人信息，程度高的則為敏感個人信息。對于敏感個人信息與私密（個人）信息之間究竟存在怎樣的關系，學界存在三種觀點：（1）同質說：認為二者之間并無實質區別，并強調其隱私性；?（2）交叉說：認為二者之間存在交叉重合；?（3）獨立說：認為二者之間不存在任何交叉的可能。其中以第二種觀點為主流，認為二者之間存在交叉關系，且認定為私密信息即具有隱私的屬性。筆者也認同兩者存在交叉重合的關系，因為兩個概念是不同的分級標準下的產物，自然易存在內容上的重合。但對私密信息一定具有隱私屬性這一觀點存保留態度，認定為私密信息并不是認定隱私的充分條件，該部分留待下文詳細闡述。如此，“隱私”具有較強的主觀色彩，強調“不愿為他人知曉”這一本質特性；而“個人信息”包括“私密信息”都只具有客觀屬性而并不隨自然人的意愿而發生性質上的變化?？梢姟半[私”與“個人信息”之間具有明顯的本質特性區別，這就為我們明確二者之區分提供了概念層面的理論基礎。

（二）隱私及個人信息區分的必要性

上文通過對隱私與個人信息概念的界定，論述了二者本質特性上的差別。隱私權和個人信息權（或權益）雖然在客體上存在著交錯性，在侵害后果上存在著競合性?，但二者在立法目的上依然存在差異。因此，厘清二者的立法目的差異對明確二者之區分十分必要。

首先，關于對隱私的保護。隱私保護更側重于對當事人獨處的生活狀態的保護，因此隱私僅具有私密性?！睹穹ǖ洹吠ㄟ^第990 條第1 款將隱私權設立為一項法定人格權，其立法目的是保護公民的私人生活安寧不受侵犯和保持不欲為他人所知之事物的私密性質，是一種消極的對世保護性權利。其次，關于對個人信息的保護。個人信息與隱私不同，并非人天生就存在的權利，其產生與完善的過程是伴隨著人類生長而推進的，主要價值就在于社會交往中的可識別性。?也并非所有個人信息權益都會得到保護，只有國家法律規定范圍內的個人信息權益才是法律保護的對象?！睹穹ǖ洹吠ㄟ^第990條第2 款將個人信息設置為一項人格權益，并沒有冠以“權”的稱謂，注定了其應當適用權益的保護模式而非權利保護模式。?個人信息是通過數據收集、加工等步驟編排而成，這種生成路徑使個人信息在保留了一定私密性的同時也獲得了社會流動這一價值特性。因此，在立法目的層面，個人信息不像隱私只強調消極保護，而是更加強調其能夠被合法地積極使用。綜上所述，隱私及個人信息保護之間，不論是從概念出發還是從立法目的上考慮都存在較為明顯的區別，存在明確二者之區分的空間。但我國現行法律對其區分較為模糊，還有著“私密信息”這一保護交叉地的存在，容易造成司法實務過程中的法律適用混淆等問題。

三、域外關于隱私及個人信息保護的規定

我國互聯網等科技領域的發展起步較晚，國民對個人信息安全的重要性認識逐步提升。筆者擬從歐盟和美國的保護模式入手，分析兩國家或地區對隱私及個人信息的區分分級保護，以借鑒其立法經驗完善我國保護模式。

（一）歐盟：依處理程度分級保護

歐盟通過《基本權利憲章》（Charter of Fundamental Rights of the European Union）對隱私與個人信息進行了區分。其中第7 條對私人生活、家庭生活以及通信等提供保障?，該條被認為是歐盟對隱私權的賦權；而第8 條則對個人數據的保護、收集處理以及更正等提供保障?，數據是個人信息的載體，因此這條被認為是歐盟對個人信息權的賦權。通過《基本權利憲章》，歐盟將隱私權與個人信息權均賦權為公民的基本權利，并作出區分形成了其形式上的二元保護模式。然而，由于《基本權利憲章》第8 條未明確個人數據的權益邊界，導致第7 條和第8 條規定的權利存在交叉。這導致歐盟的隱私及個人信息保護模式與美國只存在形式上的差異：歐盟將個人信息權從隱私權中分離而出，但在實質上卻依舊共通，即均將個人信息權視作隱私權在信息數字時代的延伸。?不同于美國分散式立法現狀，歐盟在隱私及個人信息保護方面已經采取統一立法的模式?！兑话銛祿Ｗo法案》（General Data Protection Regulation,GDPR）于2016 年通過并于2018 年正式實施。該法案對隱私與個人信息提供了一般性的保護，是歐盟對各領域進行個人數據的收集、處理、流動等行為的一般準則。其下還有《電子隱私指令》（Directive on Privacy and Electronic Communications,DPEC）等指令進行補充保障。

歐盟依照信息的被處理程度對個人信息的載體——數據進行了細化的分級保護，將其分級為：原始數據、預處理數據、經過處理的數據、數據驅動的見解四個等級。?這四類數據附加值依次遞增，而保護強度依次遞減。簡單來說，原始數據是沒有經過或經過較少處理的，零散的信息數據。但同時由于其內容可能涉及個人、企業甚至是行業的隱私、敏感信息或秘密，其所需要的保護力度往往是最大的。預處理數據是指經過初步處理，將原始數據中錯誤、冗余部分篩除、歸類，方便下一步處理的信息。雖然該類數據已經進行了一定的處理，但此類數據所具有的敏感性依舊很強，因此保護力度依舊很高。在預處理數據的基礎上再進行提煉和脫敏等程序，就形成了經過處理的數據，此類數據已經可以進入商業交易領域，自身的敏感度大大降低，具有了其獨立的商業價值，故保護力度也隨之減弱。數據驅動的見解是在對經過處理的數據進一步分析后形成的具有獨特商業價值的建議和見解，該類數據已與原始數據關系不大，自身敏感性也大大降低，故保護力度也最低。歐盟將隱私與個人信息區分為不同的權利種類，從而區分對二者的保護。雖然因未明確個人信息的權利邊界而導致二者依舊存在交叉，但依舊為我國明確二者之區分提供了思路。同時，對個人信息進行四級分級保護，保障可識別程度最高的原始數據不受侵犯的同時，也保持了脫敏數據的市場流動性。這種以賦權區分隱私權及個人信息權，并以被處理程度作為個人信息數據的分級標準的立法經驗值得我國借鑒。

（二）美國：場景化特別立法保護

美國自布蘭代斯和沃倫提出隱私權的概念以來?，美國隱私權的外延被不斷擴充。例如Jerry Kang 教授就指出隱私權可以包括：（1）物理空間：個人獨處的領域不受不歡迎的侵擾；（2）自主選擇：個人重大選擇不受侵擾；（3）個人信息流動：自己對個人信息的處理的可控制。?而Erwin Chemerinsky 也認為隱私權主要用于描述三種不同的權利：（1）與防止政府入侵個人家庭或個人人格相關；（2）與自主決定權相關；（3）保障個人能夠擁有控制與自身有關的信息傳播的能力。?可見，美國對隱私權的認定是較為寬泛的，隱私權在美國是一個更高層級的權利表述，類似于一個權利集合，個人信息權被包含于隱私權的集合之內。鑒于此，可以認定美國對隱私及個人信息在形式上采取的是一元保護的模式，個人信息權作為隱私權的一部分，受到隱私相關法案的保護。

美國與隱私權保護相關的法案十分繁雜，甚至可以說較為碎片化。聯邦層面，1974 年美國國會通過了《個人隱私法案》，明確規定公民的隱私權受法律保護。?后通過《駕駛員隱私保護法》（Drivers Privacy Protection Act,DPPA）對各州機動車部門收集、處理駕駛員個人信息進行規制。?通過《電子通訊隱私法》（Electronic Communications Privacy Act，ECPA）禁止未經授權的第三方截取或泄露通訊信息。?通過《兒童在線隱私保護法》（Childrens’ Online Privacy Protection Act,COPPA）禁止各州收集13 歲以下兒童的個人信息，并要求在收集兒童個人信息時征求父母的同意。?還通過《金融隱私權法案》（Right to Financial Privacy Act,RFPA）規制金融交易過程中的信息收集、處理、披露等行為。?至于州層面的相關立法更是龐雜，涉及各行各業的具體隱私與個人信息的保護規則。美國如此碎片式的立法帶有場景化的考量，這種重視“場景”導向的隱私及個人信息保護模式，能夠根據用戶的個人需求進行數據從業者的責任制度構建，對飛速發展的用戶個人信息保護的不同需求響應極快。?通過對不同場景不同需求的特別規制，也較好地嚴密了隱私及個人信息的保護法網。同時，美國的隱私及個人信息的統一立法也已經處于萌芽階段，2022 年美國聯邦就《美國數據隱私保護法》（American Data Privacy and Protection Act,ADPPA）草案展開聽證，可見美國希冀通過該法案統一自己隱私權保護相關的眾多法案。這種前期通過各領域分散立法，待法網編制嚴密之后再統一整合各領域立法的方案值得我國參考。具體而言：一是可以針對各領域需求對癥下藥，嚴密法網；二是對新興領域需求響應迅速，而不需如統一立法模式一般大動干戈。

綜上所述，歐盟與美國對隱私及個人信息是否需要區分采取了不同的態度。歐盟通過《基本權利憲章》在不否定二者之聯系的同時，明確了二者之區分。美國則認為個人信息是隱私權這一權利集合內的一項子權利。至于對二者的保護，美國雖尚處于分散立法的階段，但也在嘗試進行統一。歐盟已經通過GDPR 完成了統一立法?？梢哉f從分散立法走向統一立法是隱私及個人保護立法模式的國際大趨勢。

四、區分于隱私的個人信息分級保護之立法完善

通過上文的論述，隱私與個人信息在定義上就存在區分的空間。當行為人不希望某項帶有可識別性的個人信息被他人知曉時，該個人信息同時也具有了隱私的性質。此時該信息如果被他人非法收集、處理，便同時侵犯了該行為人的隱私權與個人信息權益兩項權益。而當行為人同意他人收集、處理自己某項帶有可識別性的個人信息時，該個人信息對于被同意者而言就不屬于隱私的范疇。但是被同意者如果在收集、處理此項個人信息時存在違反《個保法》或其他個人信息保護相關的法律文件的行為，則依舊構成對行為人個人信息權益的侵犯。簡言之，隱私與個人信息雖然存在千絲萬縷的關系，筆者依舊認為應當明確區分兩項權益或權利，因為二者并非每種情形都糾纏不清。個人信息也需要對分級進行明確，區分各級別之間的保護力度。

（一）以《民法典》明確隱私及個人信息之區分

《民法典》作為我國的民事基本法，其在私法領域擁有絕對的引導地位，其第1032 條第2 款及第1034 條第3 款造成的隱私及個人信息易混淆的問題應當通過法律解釋或修改法條表述予以解決。其中第1032 條第2 款可能存在的問題是將私密信息這一個人信息類型放置于隱私的定義范圍之內，該問題可以通過法律解釋的方式來解決。前文已述，私密信息是否屬于隱私需要看行為人主觀上是否愿意讓他人知曉，只需在法律解釋中強調隱私的本質特性——不愿為他人知曉即可。

《民法典》第1034 條第3 款所存在的問題較之前者顯得更為嚴重。該條款將私密信息的保護完全歸于隱私權保護之下。筆者認為對私密信息的保護應當分情況討論，因為私密信息較之普通個人信息在本質特性上只多出了較為隱秘，該特性并不能排除行為人同意讓特定的人收集或處理自己的私密信息的可能。誠然，在行為人不愿任何人知曉自己的私密信息時，該私密信息擁有隱私的屬性，對該信息應當采取隱私權的私法保護模式。但由于此時私密信息的個人信息屬性并沒有被消滅，當他人對該信息的收集、處理等行為違反了《個保法》等個人信息保護相關的法律規定時，理應對該行為在采取隱私的私法保護模式的同時，追加個人信息的公法保護。但是，如果行為人同意了某特定的人知曉、收集甚至處理自己的某項私密信息，此項私密信息對于該特定的人就不再擁有隱私屬性，自然也就不應當以隱私的保護模式加以保護。不過此時的私密信息依舊擁有個人信息的屬性，所以該特定的人的收集或加工行為如果違反了行為人的同意（如超范圍或超期限等）或《個保法》等個人信息保護相關的法律規定，則即使是對該特定的人也應當采取《民法典》對個人信息權益的保護模式?，通過人格權請求權或侵權請求權尋求法律救濟，并加以個人信息權益的公法保護。而同樣是行為人同意某特定的人知曉、收集甚至處理自己的某項私密信息的情況下，該特定人以外的第三人對該私密信息存在侵犯行為，其處理方式應當與行為人未作出同意的情形一致，即采取隱私的私法保護模式以及個人信息的公法保護。

因此，筆者認為私密信息在私法上是適用隱私的權利保護模式還是個人信息的權益保護模式，需要視行為人是否作出同意的意思表示，收集、處理該私密信息者是否為獲得同意的第三人，以及收集、處理等行為是否超出行為人同意等因素而定?！睹穹ǖ洹返?034 條第3 款的條文表述容易造成“一刀切”的實務亂象，應當基于以上論述作出合理的法律解釋或立法修改。如此，對于存在爭議的私密信息就能較好地在私法層面上區分適用隱私權與個人信息權益的保護模式。

（二）以可識別程度為標準細化個人信息之分級

上文中提到我國個人信息存在兩種分級標準，其一是《民法典》以隱秘程度對個人信息進行分級，其二是《個保法》以可識別程度對個人信息進行分級。受歐盟以被處理程度進行分級并權衡各級別保護力度與市場流動性的啟發，筆者認為我國可以沿用《個保法》標準，以可識別程度作為標準并細化個人信息分級。因為被處理程度與可識別程度實際上息息相關，往往被處理程度越高可識別程度也就越低。而可識別程度低（被處理程度高）的個人信息才是對信息網絡平臺最有價值的信息，需要保障其一定的市場流動性；相反，可識別程度高（被處理程度低）的個人信息則更需要強調對信息安全的保護。

個人信息僅作二級分級對個人信息的保護是不周延的。應當在最高保護力度與最低保護力度之間設置一個中間項，以避免陷入非此即彼的尷尬境地。譬如將敏感個人信息進行細化，將其中直接能夠單獨識別出特定個人或與特定個人的人格尊嚴、人身及財產安全強相關的一類信息設置為最高保護力度的特別敏感個人信息；而將與特定個人的人格尊嚴、人身及財產安全弱相關但又明顯需要設置比一般個人信息更高一級保護的一類信息設置為中位保護力度的普通敏感個人信息。如此，在“敏感個人信息—一般個人信息”二級分化內，將敏感個人信息又細化分為“特別敏感個人信息—普通敏感個人信息”二級，形成雙層三級的個人信息保護模型。此方案只需參考最高人民法院、最高人民檢察院發布的《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》第5 條第1 款第3、4、5項之區分?，通過法律解釋的方式明確三級個人信息的外延即可。

（三）以《個保法》為中心完善場景化個人信息保護

《個保法》的頒布施行標志著我國個人信息保護事業已經從分散立法時期跨入了統一立法的新階段，走在了世界前列。但作為個人信息統一立法的產物，《個保法》注定只能規定常態下的個人信息分級。面對特殊場景時，某些特殊個人信息的可識別程度或敏感度也許會出現變化。我國現行法律中不乏為適應不同場景需要特別制定的法律文件以修正某些特殊個人信息的保護力度，這些法律文件在上文中也有所提及。然而，這些文件亦存在局限。其一，有些文件頒布時間較早，在《個保法》頒布施行后應當及時修正。比如《征信業管理條例》發布實施于2013 年，遠早于《個保法》的立法規劃公布日。該場景下各項個人信息的保護力度需要視當今社會下的需求決定是否需要調整。其二，有些重點領域尚缺乏特殊立法對個人信息進行場景化保護。比如醫療領域內患者的各項個人信息應當放置在醫療這一特殊場景下進行級別檢視。統一立法模式與場景化特別立法并不矛盾，應當修訂現有下位法并根據特殊場景需求嚴密個人信息保護法網，從而形成以《個保法》分級為常態，各場景特別立法修正分級為例外的模型。如此既嚴密了個人信息保護法網，又滿足了各領域的特殊需求，從而實現對個人信息的全面保護。

五、結語

《個保法》的頒布施行代表著我國個人信息保護已經走在了世界前列，體現了我國對數字信息時代到來的快速響應?！睹穹ǖ洹穼㈦[私與個人信息相區分在一定程度上避免了二者概念帶來的混淆，但是由于我國對隱私及個人信息尤其是后者的研究較晚，法條中難免存在一些易引起爭議之處。不論如何，從民事基本法出發區分隱私與個人信息的方向沒有問題，以《個保法》對個人信息進行分級保護更實為必要。需要以法律解釋等方式明確隱私與個人信息尤其是其中私密信息之區分；對個人信息在現有分級基礎上，延續依可識別程度為標準分類的思路，細化其中敏感個人信息一級。同時針對個人信息，完善其場景化特殊立法，根據各場景特殊需求調整各項信息的保護力度。如此形成隱私與個人信息相區分，個人信息總體呈雙層三級的保護模型。至于《民法典》中所提及的私密信息則應先判斷其是否具有隱私屬性：如果具有隱私屬性則通過隱私權保護模式解決；如果不具有隱私性質則先通過個人信息權益的保護模式尋求私法保護，再從其個人信息的屬性出發加以行政法上的保護，并以刑法作為最后一道防線。