7月30日，北京互联网法院对黄某与腾讯科技（深圳）有限公司广州分公司、腾讯科技（北京）有限公司隐私权、个人信息权益网络侵权纠纷（以下简称“微信读书案”）及凌某某与北京微播视界科技有限公司隐私权、个人信息权益网络侵权纠纷（以下简称“抖音案”）于同日作出一审判决，认定抖音、微信读书两款App均存在侵害用户个人信息行为，需承担相应的侵权责任。[i]

7月22日，中央网信办、工业和信息化部、公安部、国家市场监管总局四部门召开会议，宣布启动2020年App违法违规收集使用个人信息治理工作。会议指出，当前App数量已超500万款，违法违规收集使用个人信息问题还未根本解决，2020年治理工作将在去年基础上，进一步加大整治工作力度。[ii]App违法违规收集使用个人信息问题日益受到重视，研究前述两个案例能为App运营者如何合法合规收集使用个人信息提供借鉴。

一 个人信息与隐私的区别与联系

个人信息不同于隐私这一观点已逐渐成为共识，《民法典》第一百一十条与第一百一十一条将隐私权与个人信息分别予以规定即体现了这一点。在抖音案与微信读书案中，法官也对原告的姓名、手机号码和微信好友列表、读书信息是否属于个人信息及隐私，被告收集使用前述信息是否侵害个人信息权益及隐私权等分别予以论证。最终认定原告的姓名、手机号码和微信好友列表、读书信息属于个人信息，但在这两个案件的具体场景中并不属于隐私。收集使用前述信息构成对原告个人信息权益的侵害，而未侵害原告的隐私权。

根据《民法典》第一千零三十二条，隐私权包括两方面的内容：一是自然人的生活安宁，二是不愿为他人知晓的私密空间、私密活动、私密信息。而根据《民法典》第一千零三十四条，个人信息具有两个构成要件：一是具有可识别性，二是有一定的载体，需以电子或其他方式记录。在微信读书案的一审判决书中，法官清晰地论述了隐私权与个人信息权益的区别：

但不可否认的是，个人信息与隐私之间确实存在交叉，保护隐私权和个人信息权益根本上都在于保护自然人的人格尊严免受侵害。《民法典》第一千零三十四条即规定，个人信息中的私密信息，适用有关隐私权的规定。但法院认为，《民法典》所规定私密信息并不等同于《信息安全技术 个人信息安全规范》（以下简称“《个人信息安全规范》”）中所规定的个人敏感信息。比如《个人信息安全规范》在附录B中将通讯录、好友列表明确作为个人敏感信息进行列举，但在抖音案与微信读书案的具体案件场景中，法官并不认为通讯录与好友列表属于私密信息。一般个人信息、个人敏感信息以及私密信息的界定，还有待法律的进一步明确。

二 场景化观点的引入与运用

（一）场景完整性理论

在抖音案与微信读书案的判决书中，“场景”“合理预期”是法官论述的两大关键词。在抖音案中，法官指出，在考量某一信息是否具有可识别性时，应结合具体场景，以信息处理者处理的相关信息组合进行判断，而非脱离信息收集使用的现实情况，机械、割裂地对每一个单独的信息进行判断。在微信读书案中，法官亦指出，将用户隐私期待强烈程度不同的信息笼统划入某相对固定的概念，并不是有效保护权利或权益的最优选择，而应深入实际应用场景，以“场景化模式”探讨该场景中是否存在侵害隐私的行为。

上述以场景化观点厘清个人信息与隐私边界的做法或许是受到了“场景完整性理论”（Contextual Integrity）的影响。这一理论对欧美个人信息保护立法产生了重要影响[iii]，美国学者海伦·尼森鲍姆是该理论的典型代表。尼森鲍姆认为，“场景”指具体的社会生活（Social Domain）。[iv]人们生活在社会之中，不断经历各种社会场景，比如去医院治疗，在商场购物，在写字楼办公等等，不同场景涉及不同规范，包括个人在场景中扮演的角色，所承担的义务和期待得到的结果等等。[v]

某项具体社会活动通常由信息主体发起，其出于特定目的提供自身个人信息，信息处理者按照信息主体希望达到的目的，即在信息主体的合理预期范围内对个人信息进行处理。换言之，信息处理行为超出信息主体在提供该个人信息时对具体场景的合理预期时，即可能构成违法违规行为。

我国立法也逐渐受到这一理论的影响，比较典型的是中国人民银行于2020年2月13日正式下发的《个人金融信息保护技术规范》（JR/T0171-2020）。该规范4.2指出，两种或两种以上的低敏感程度类别信息经过组合、关联和分析后可能产生高敏感程度的信息。同一信息在不同的服务场景中可能处于不同的类别，应依据服务场景以及该信息在其中的作用对信息的类别进行识别，并实施针对性的保护措施。这说明制定者已经认识到，个人金融信息的可识别性与敏感程度并不是一个静态的固定结果，而是一个动态的，受到多重因素影响的动态判定过程。因此，金融业机构对某一个人金融信息类别的判断并不是“一劳永逸”的，而需根据个人金融信息所处的具体场景进行综合评估。

（二）运用场景化观点协调利益平衡

场景完整性理论要求以动态视角来综合考虑个人信息处理的具体方式、具体目的、处理者身份等多元维度来判断个人信息处理的正当性和合理性，将利益衡量细化到具体场景之中。该观点并不赞同事先对个人信息进行明确的划分，其认为，相同信息，相似信息处理行为在不同的场景中会产生不同的法律后果。比如在北京市高级人民法院（2015）高民申字第00408号一案中，法院认为医院将患者资料发送至外国专家以讨论病情，符合患者对于治疗的合理预期，因此不构成侵权；而在驻马店市中级人民法院（2015）驻民三终字第00588号一案中，医院未经同意将患者资料给了与患者无关的卫生局工作人员，超出患者的合理预期，构成侵权。采取这一观点也可缓解前述提及的法律未对一般个人信息、个人敏感信息与私密信息进行明确划分的问题。

在微信读书案和抖音案中，法官均采用了场景化观点来判断原告的姓名、手机号码和微信好友列表、读书信息是否属于个人信息与隐私，以及收集使用前述信息是否构成侵权。

以微信读书案中的读书信息为例，根据《微信读书软件许可及服务协议》，该案中的读书信息包括但不限于用户的书架、正在阅读的读物、读书想法及读书时长等用户使用该App的主要痕迹。这些信息的组合，在一定程度上可勾勒出具体用户的人格侧面，影响其社会评价。在该场景中，读书信息属于个人信息。在未明确告知的情况下，App运营者向未主动关注的好友默认公开读书信息不符合用户的合理预期，构成对个人信息权益的侵害。

当读书信息积累到一定数量，汇集融合前述信息可能会暴露用户不愿为他人知晓的私密活动或私密信息，从而侵害用户的隐私权。但这一行为是否必然侵害隐私权亦需放置于具体场景中予以考量。在微信读书案中，由于原告被公开的阅读信息仅有《好妈妈胜过好老师》《所谓情商高，就是会说话》两本图书本身的内容以及原告阅读了这两本书的事实。综合这些信息尚不足以达到形成对原告人格的刻画，进而可能对其人格利益造成损害的程度，因而法院不支持原告的隐私侵权主张。但若原告使用微信读书App阅读了大量书籍，并对每一本书进行打分并发表多条点评，该案的判决结果或许会有所不同。这就是场景的变化对处理信息行为的定性所带来的影响。

而在抖音案中，法院认为，若要求在任何场景下都必须严格征得双重同意，可能会导致具体场景下的利益失衡。因此，需在具体场景中考察个人信息的处理风险，在不存在信息主体侵害风险的前提下，可认定某些个人信息处理行为不必征得信息主体的同意。这表明，个人信息权益保护不可过度干预企业商业模式的运行，导致个人信息保护与经济发展间的利益失衡。

结语

在北京互联网法院对上述案件进行宣判后，腾讯回应称将尊重法院判决，之前已对相关功能进行了迭代优化，对相关社交功能进行了强提示。而抖音则表示，将会对法院一审判决提起上诉，[vi]最终的判决结果还有待后续关注。“尊重场景”是这两个判决的一大亮点，不仅是裁判者在具体的案件审理中，App运营者进行信息处理活动时，也必须注意不可囿于事前确定的个人信息范围和分类而忽视个人信息处理风险在不同场景中的动态变化，应在具体场景基础上综合考量多元因素落实个人信息保护措施，从而在实质上提升个人信息保护水平。