2018, Vol. 24
党的十九大报告提出了“网络强国”的建设目标。众所周知,网络社会的治理离不开个人信息保护,而在个人信息保护中最根本的问题便是个人信息概念的判定。从《网络安全法》第76条第5款的规定看,个人信息的概念还须作进一步解释。具体而言,究竟什么属于中国法律中的个人信息,应采取何种解释方式,由何种要素构成,其与个人数据、个人资料、个人隐私之间又有何关系,这些问题均亟需解答。本文将以法教义学的分析方法为主,辅之以比较研究的方法,力图从个人信息称谓选择、概念界定、构成要素三个方面回答上述问题。
一、称谓选择及相关概念个人信息是一个较为晚近产生的法律概念。长期以来,法律体系中存在个人隐私、个人数据、个人资料、个人信息这几个相关的概念。1969年联合国国际人权会议首次提出“数据保护”(data protection)的概念[1]。在早期的立法中,“个人数据”(或译“个人资料”)用法普遍。从1970年德国《黑森州个人数据保护法》、1973年瑞典《个人数据法》到1995年欧盟《数据保护指令》,“个人数据”的称谓在欧洲得到广泛认可。在亚洲,许多国家采取“个人信息”(personal information)的称谓,如1994年韩国《公共机关个人信息保护法》、2003年日本《个人信息保护法》。在普通法系地区中,则将个人信息的内涵纳入“个人隐私”(privacy)之中,如1974年美国《隐私权法》、1996年中国香港《个人资料(隐私)条例》。
“个人信息”是中国在法律层面明确采纳的称谓。《网络安全法》第76条第5款以法律形式界定了个人信息的概念。除此之外,采用“个人信息”称谓的法律有《刑法》《刑事诉讼法》《反恐怖主义法》《社会保险法》《消费者权益保护法》《旅游法》《统计法》《护照法》《身份证法》《出入境管理法》。另外,虽然中国法律层面上并没有出现“个人数据(资料)”的概念,但此概念却散见于众多纲领性文件、行政法规、部门规章之中。如《国家“十三五”规划纲要》《互联网行业“十二五”规划》,以及《国家信息化发展战略纲要》等文件均采取了“个人数据”的称谓;《人体器官移植条例》《全国经济普查条例》《涉及人的生物医学研究伦理审查办法》《就业服务与就业管理规定》等则采取了“个人资料”的称谓。
(一) “个人信息”与“个人数据”采取“个人数据”称谓的学者认为,个人信息与个人数据是内容与物化表现形式的关系[2]。如同知识产权保护表达形式而非思想,受法律保护的是作为表现形式的个人数据而非作为表达内容的个人信息。同时,个人信息所体现的内容常受主观因素的影响,而个人数据是客观的,具有较强的确定性[3]。另外,也有学者采用香农(Claude Elwood Shannon)的信息论理论认为,信息的本质是不确定性的消除与知识的增加,因此不是数据保护的对象。值得注意的是,1998年英国《数据保护法》第1条第1款明确区分了“数据”(data)与“信息”(information),根据该规定,数据范围窄于信息,其仅指自动处理、存档系统组成部分的信息[4]343-345。
采取“个人信息”称谓的学者认为,正因为个人信息范围比个人数据广,既不限于自动化处理的信息[5],也不限于物化的形式,因此更符合现代信息保护的需求。以齐爱民教授为代表的许多早年采取“个人数据(资料)”称谓的学者[6],后来也转而采用“个人信息”的称谓,认为“个人信息更具人文关怀”,更能体现保护个人信息本身的立法目的。法律所要保护的是蕴含于数据中的个人信息[7]。另外,也有学者通过信息论的观点论证个人信息称谓的合理性[8]。从中国当前立法与理论研究看,个人信息的称谓获得了较高程度的认可。
不少学者指出,两个概念的出现是法律传统和使用习惯的地域差别所致[9],并无本质区别[10],只存在表述方式的差异[11]6,可以相互替换使用[12]。实践中,“个人信息”与“个人数据”也常被混用[13]。联合国《关于自动数据档案中个人数据指南》、英国《数据保护法》《美国-欧盟的隐私安全港原则与常涉问题(FAQ)》均在文本中将“信息”(information)与“数据”(data)等同使用。
诚如考夫曼所言,法律语言是“法律人彼此约定一种特定的语言使用方式”[14]。虽然,从词源上看,“信息”确实更多强调实质的内容,而“数据”则更能体现中立的形式载体,二者是实质与表现的关系[15]。然而,在语言学上的区分并没有得到中国立法的充分认可。从中国现行法律体系看,个人信息的法律语言显然已被确立。在行政法规以及其他规范性文件中的个人数据(资料)事实上也等同于个人信息。《网络安全法》中个人信息的称谓并无与其他规范性文件中个人数据(资料)区分的必要,事实上也无区分的可能。目前,真正应予以注意的是在法律体系中个人信息的内涵与外延问题[16]。
(二) “个人信息”与“个人隐私”受英美相关立法及理论的影响,“个人信息”与“个人隐私”在称谓、界定、关系上常常纠缠不清。关于二者的关系,主要有“个人隐私包含说”“交叉说”“个人信息包含说”三种学说。
“个人隐私包含说”认为,隐私内涵的扩展使其包含个人信息[17]。日本的芦部信喜教授指出,隐私权已发展为“控制有关自己的信息之权利”[17]。美国学者艾伦(Anita L.Allen)与托克音顿(Richard C.Turkington)认为,“隐私就是我们对自己所有的信息的控制”[18]13。不少国内学者也认为,隐私包括个人信息、个人私事、个人领域三项基本内容[19]。其中,“个人信息隐私”还可细分为个人属性的隐私、个人信息的隐私、通讯内容的隐私、匿名的隐私[20]。就比较法而言,该说不仅主要为英美法系国家采取,也为德国法所采纳。德国继受美国的隐私权理论后建立了“领域理论”,通过“同心圆”的形式划分出秘密领域、私人领域、公共领域三个不同程度的保护范畴[11]26。德国宪法法院在1983年著名的“人口普查案”中即将“信息自决权”作为隐私权的内容①。
① See Volkszählungsurteil,BVerfG 65, 1.
“交叉说”认为,一方面未公开的个人信息属于隐私,另一方面具有身份识别特征的隐私属于个人信息[21]。“隐私包括私生活安宁和私生活秘密两个方面”[22]。其中,私生活安宁不涉及个人信息内容,公开的个人信息不涉及私生活秘密不是隐私[23]128。可见,个人信息与隐私属于交叉关系[24]。除此之外,学者们还指出了个人信息与隐私相比的众多特殊之处,如个人信息强调信息载体、个人信息与国家安全关系更密切、个人信息具有财产价值等[21]。
“个人信息包含说”认为,“‘个人隐私’是‘个人信息’的下位概念”[25]。个人信息在范围上广于个人隐私[1],其包括但不限于个人隐私[26]。较而言之,持该观点的学者缺乏深入的学理论证。
笔者认为,个人信息与个人隐私存在本质上的区别,是两个完全不同的法律概念。
(1)“个人信息包含说”无法解释个人信息何以包含属于生活安宁范畴的个人隐私。自沃伦(Samuel D. Warren)和布兰代斯(Louis D. Brandeis)的经典论述以来,隐私权从未失去“独处权”(the right to let alone)的制度内涵[27]。生活安宁为隐私不可或缺的一部分。
(2)“隐私权包含说”采取英美法上的隐私权概念,然而英美法上的隐私权相当于一般人格权。从《欧洲基本权利宪章》所规定的权利类型看,个人信息权被规定在隐私权之外,是一项独立的基本权利。即便是主张该说的学者也不得不赞同,个人信息保护具有独立价值[28]。
(3)“交叉说”注意到个人信息与隐私的区别。然而,必须进一步指出,二者的区别不仅是表面的、客体范围上的区别,而且还是根本上的实质区别。隐私保护重在保密,其本质是限制信息流动的。而个人信息关注的是识别,个人信息保护的前提恰恰就是信息自由流动。个人信息处理要求的是符合信息处理原则的合法处理,唯有涉及敏感信息时才强调知情同意。具体而言,个人信息保护关注的是信息处理中对信息主体可能带来的威胁[10]。也正因如此,个人信息权具有隐私权所没有的进入权、修改权、删除权等积极权能[29]。
(4) 从中国法律体系看,虽然中国司法实践常通过隐私权保护个人信息,但在中国法律文本中个人隐私与个人信息存在相对区分。法律文本中常将二者并列,强调对个人隐私的保密以及对个人信息的保护。2012年《全国人民代表大会常务委员会关于加强网络信息保护的决定》第1条即指出“国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息”。《网络安全法》第45条亦将个人信息与隐私并列。在《民法总则》中,个人信息保护与隐私权保护更是被分别规定在第111条与110条之中。另外,立法语言常常将“国家秘密、商业秘密、个人隐私”一同表述,也体现了个人隐私的秘密性要件。《反恐怖主义法》便分别在第48条规定了个人隐私保密,第76条规定了保护个人信息。可见,以《网络安全法》为代表的中国法律在个人隐私之外选择采纳个人信息的称谓,具有法律与理论基础。
二、概念界定及解释适用具体到个人信息的概念界定与解释问题上,《网络安全法》第76条第5款采取了“识别型”的通说以及“概括列举型”的立法模式。在具体适用中,该条款对个人信息的定义应作广义解释。
(一) 个人信息的界定模式从定义的内涵看,主要有“隐私型”“关联型”“识别型”三种个人信息定义模式。
“隐私型”定义即以隐私定义个人信息。帕郎教授(Parent)指出,个人信息指不愿为他人知道的内容[30]。此定义实际上便是前文所述的“个人隐私包含说”所采取的定义。其实质混淆了个人信息与个人隐私,对非属个人隐私的公开个人信息无法有效保护[31]。
“关联型”定义认为,凡是与个人相关的一切事项均为个人信息[32-33]。表面上看,部分国家立法采取了这一定义模式。如瑞典《个人数据法》第3条规定,个人数据指“各种可直接或间接地和某一活着的自然人相关联的信息”[4]481。《保加利亚个人数据保护法》第2条第1款规定,“个人数据指的是涉及自然人的身体状况、心理状况、精神状况、家庭状况、经济状况、文化教育状况与社会背景的信息”[34]117。该定义模式因过于宽泛而受到批评。
目前,学界通说采取的是“识别型”定义,该定义模式也是世界主流的立法模式。该定义强调的是信息与信息主体之间被直接或间接“认出来”的可能性[23]136。信息不仅需要与具体个人关联,最为关键的是需凭信息识别到具体个人[11]7。王利明[35]、张新宝、周汉华[36]、刘德良、蒋坡[37]3、齐爱民[38]等学者均采取了“识别型”的个人信息定义。其中,张新宝教授指出,“个人信息是指与一个身份已经被识别或者身份可以被识别的自然人相关的任何信息”[22]。
欧盟及其绝大多数成员国以及加拿大、日本、中国港澳台地区均明确采取了“识别型”的个人信息定义。欧盟《统一数据保护条例》第4条即指出,“个人数据:是指与已识别或者可识别的自然人(数据主体)相关的任何数据”[39]。即便是英美法系大本营的英国,也早已放弃了“隐私型”的定义模式,在司法实践中采取了“识别型”定义。2003年“Durant诉金融监管局案”中英国法院曾认为,无关于个人隐私以及对个人无不利影响的信息不属于个人信息②。这一判决作出后即受到广泛批评。2008年英国上议院即通过“SCA诉苏格兰信息专员案”澄清,不能以“Durant诉金融监管局案”的判决限制个人信息的定义,其只能在信息不能明显识别特定个人的案件中作为参考③。
② See Durant v. Financial Services Authority [2003] EWCA Civ 1746,Court of Appeal (Civil Division).
③ See Common Services Agency v. Scottish Information Commissioner [2008] UKHL 47 Court House of Lords.
另外,从界定的具体形式上看,存在“概括型”与“概况列举混合型”两种模式[40]83-84。采取“概括型”模式的代表有德国、荷兰、经合组织等。采取“概括列举混合型”的代表有美国、日本、中国台湾地区等。其中,姓名、出生日期、身份证号是最常被列举的信息。部分立法例还对教育背景、金融交易、医疗病史、犯罪前科、工作履历等进行了列举[4]308。从《网络安全法》第76条第5款的界定来看,无疑属于“识别型”及“概况列举混合型”定义。
(二) 概念的广义解释诚如阿尔希波夫(Vladislav Arkhipov)所指,“平衡法律概念的形式确定性与技术发展的问题是个人信息界定中的核心问题”[41]。对个人信息定义的阐释离不开当下大数据时代背景。在大数据时代中,信息处理具有“4V”的特点, 即海量性(Volume)、时效性(Velocity)、多变性(Variety)、可疑性(Veracity)[42]。现代技术的进步,使得信息越来越容易识别个人。即便是碎片化的信息,通过信息比对与处理,与其他信息结合后将产生“聚合效应”。积累到一定程度后甚至构成了一个人的“数字人格”[18]207。
早在1983年德国宪法法院即在“人口普查案”的经典判决中指出,“在现代化信息处理的环境下,已经不存在‘不重要’的信息”④。面对现代信息风险,许多学者提出,应在“识别型”定义的基础上对个人信息作扩大解释[9]。欧盟第29条工作组第4/2007号意见书亦指出,对个人信息的含义应作广义理解⑤。
④ Volkszählungsurteil,BVerfG 65, 1.
⑤ See Article 29 Data Protection Working Party. Opinion 4/2007 on the concept of personal data,01248/07/EN WP 136.
然而,也有学者认为,大数据时代下几乎所有信息都成为具有识别性的个人信息,体现了“识别型”定义的不妥之处[42]。对个人信息进行广义解释不可行[41]。一方面,过于宽泛的个人信息定义,容易导致权利滥用,最终限制信息自由流通[28],最终“人们只能三缄其口,停止交谈,甚至无法思考”[43]。另一方面,在法律资源有限的情况下,法律也无法保护广泛的个人信息[28]。因此,许多学者在“识别型”定义外,对个人信息另外附之以各种限制。张素华教授认为,具有价值的个人信息才是法律保护的客体。刘德良教授认为,受人格权法保护的只有“与人格尊严相关”的个人信息[44]。蒋坡教授认为,个人不良信息不受法律保护[37]90。另外,还有以信息重要性[45]、“社会一般多数人”为标准[46]对个人信息进行限制的理论学说。
笔者认为,《网络安全法》第76条第5款应在“识别”的限制下作广义解释,理由有三:(1)无可否认大数据时代对个人信息概念带来许多挑战。法律中个人信息定义是技术中立的,无疑在面对新技术时需要结合法律文本中所规定的个人信息构成要素进行具体分析。如IP地址信息、云计算中个人信息、“匿名信息”的可识别性等都是需要从个人信息概念进行解释的具体问题。(2)在“识别型”定义以外再加以信息价值、真实性等其他限制并不合理,其实质是混淆了个人信息的定义与具体保护规范。个人信息与人格利益密切相关,不存在与人格尊严无关的个人信息。对个人信息的范围进行广义解释,正是全面保护自然人人格的需要。诚然,不同种类的个人信息存在不一样的保护价值与保护程度,但并不能以价值或重要性来衡量是否属于个人信息,更不能以信息所反映的内容是否良好来进行衡量。另外,“社会一般多数人”标准较具迷惑性,但该标准却并不科学。如基因信息、指纹信息等生物识别信息,多数人凭一般手段确实难以识别,但事实上又应属《网络安全法》第76条第5款所指的“个人生物识别信息”,各国一般也认定这些信息属个人信息。(3)反对一个宽泛的个人信息定义,不等于反对“识别型”定义的广义解释。其反对的是“关联型”的定义。个人信息的广义解释指个人信息范畴、类型本身的广义解释,但仍必需在法定个人信息概念内进行解释,最为关键的是不能舍弃“识别”的限制。现代技术发展确实大大提升了许多信息的识别程度[45],对个人信息识别,尤其是个人信息匿名,提出了新的问题与挑战。但其并没有也不可能使所有信息都成为具有识别性的个人信息。个人信息广义解释的仍是在“识别”限制下的解释。
三、个人信息的构成要素关于个人信息构成要素存在多种学说。齐爱民教授认为,个人信息由实质要素“识别”以及形式要素“得以固定”“可以处理”组成[47]。范姜真媺教授认为,个人信息构成要素乃“有关自然人”“生存自然人”“识别性”[48]。另外,还有学者认为,个人信息三要素为“自然人信息”“客观实在”“识别”[49]。也有学者认为三要素应为“生存自然人”“识别”“为控制者掌握”[41]。
实际上,对个人信息构成要素的考察离不开对具体法律文本的分析。根据《数据保护指令》第2条(a)款的定义,欧盟第29条工作组第4/2007号意见书指出,个人信息有“任何信息”“关于”“识别或可被识别”“自然人”四个要素⑥。从《网络安全法》第76条第5款的规定来看,个人信息应具有“识别”与“记录”两个要素。其中,“识别”属于实质要素,“记录”属于形式要素。
⑥ See Article 29 Data Protection Working Party. Opinion 4/2007 on the concept of personal data,01248/07/EN WP 136.
(一) 实质要素:“识别”“识别”乃个人信息的实质要素,也称为一般要素或不可或缺的要素[40]97,是个人信息概念界定中的重中之重。所谓“识别”,即通过信息将特定个人认出来[50]。具体而言,有直接识别与间接识别两种方式,也就是《网络安全法》第76条第5款所称的“单独或者与其他信息结合识别”。关于识别,需结合识别的判断基准、信息相关性、识别可能性三个方面予以判断。
(1) 识别判断基准。依识别的主体不同,识别判断基准可分为“主观说”“客观说”“任一主体说”三种学说。“主观说”又称为“信息控制者标准说”,其认为信息管理者自身的条件应作为识别的标准[40]86。“客观说”又称为“社会一般多数人说”,其认为应从普通大众、一般人的角度出发判断个人信息的识别性[10]。“任一主体说”认为,识别应通过只要社会中任何人识别的可能性判断⑦。
⑦ See Article 29 Data Protection Working Party. Opinion 4/2007 on the concept of personal data,01248/07/EN WP 136.
其中,“客观说”因忽视了不同主体识别能力的相对性而受到批评。某些匿名数据虽然一般人难以识别,但信息控制者却能轻易恢复。如在“记名悠游卡”的判断上,中国台湾“法务主管部门”便采取“主观说”,虽然该卡号对于一般人而言不属个人信息,但对于悠游卡公司而言应属于个人信息⑧。
⑧ 参见中国台湾“法务主管部门”第0999051927号函(2011/5/13)函释。
“在主观说”中,依照控制者识别的素材是否限于其自身掌握的信息又可分为“限定说”与“非限定说”。以范姜真媺为代表的学者主张,为了避免造成过重负担应采取限定说[51]。另外,更有学者认为,若控制者已通过其他信息掌握相关内容,信息对控制者而言不属于新的信息,则不属于个人信息[46]。
然而,无论是“主观说”还是“客观说”均存在一定矛盾。若依“客观说”的社会一般人标准,如前所述,实在无法解释指纹等“个人生物识别信息”的个人信息属性。若依“主观说”的判断标准,参照中国台湾地区对“记名悠游卡号”的区分方式,对非电话公司、医院、银行的一般公众而言,电话号码、病历号、银行卡号难道也属于非个人信息?另外,若进一步采取“限定说”更是人为地限制了间接识别的内涵,容易导致诸多个人信息不受保护。认为新信息才属于个人信息的理论,显然已经脱离了解释法定个人信息概念的范畴,创设了新的概念。上述两种学说均容易得出与法定个人信息范畴不符的矛盾结论。这些理论显然混淆了信息是否属于个人信息与个人信息应如何保护这两个问题[45]。
笔者认为,根据前述个人信息应作广义解释的解释规则,其判断基准宜采取“任一主体说”。诚如欧盟第29条工作组所指,“所谓识别应是被控制者或任何其他人采取所有合理的方法去识别这个人”⑨。
⑨ Article 29 Data Protection Working Party. Opinion 4/2007 on the concept of personal data,01248/07/EN WP 136.
(2) 信息的相关性。“相关”要件实质上蕴含在中国个人信息概念的“识别”要件之中。具有识别性则必与自然人相关,不具相关性必无法识别自然人[52]。具体而言,相关性的判断涉及两个层面的问题:一是相关的具体含义;二是这种相关是客观的还是主观的。
一方面,参照欧盟第29条工作组第4/2007号意见书,信息的相关可分别从内容(content)、目的(purpose)、结果(result)三个方面予以判断,在任一方面相关信息便具有相关性。从内容上看,一些信息的内容直接关乎自然人,如身份证信息、病历信息、客户档案。从目的上看,识别自然人目的的信息是相关的。如房屋的价值信息,在用于衡量地区房地产价格的时候不是个人信息,但用于衡量屋主的缴税义务时便属于个人信息。又如机动车维修记录,在用于车主付款时是关于车主的信息,在维修检查时显然是关于机器的信息。从结果上看,很可能会对特定的个人权利或利益造成影响的信息具有相关性。如出租车公司出于节省汽油的目的监控出租车的GPS位置信息,采集的也是出租车的数据而非司机的数据,但是监控系统在结果上起到了监控司机的作用,也应被视为关乎于自然人的信息⑩。
⑩ See Article 29 Data Protection Working Party. Opinion 4/2007 on the concept of personal data,01248/07/EN WP 136.
另一方面,所谓主观相关还是客观相关的关键问题是,是否允许主观性的评价成为个人信息,错误的评价能否包括在其中。“客观说”并不赞同与主观相关的信息成为个人信息,其认为个人信息只能是客观的信息[52]。“主观说”认为评价和判断在经过信息比对后往往具有识别性[53]。信息主体的主观表达及他人对其的评价,都应属于个人信息[54]。评价的正确与否尚且不论[40]87。欧盟第29条工作组亦认为,“个人信息既包括客观的信息如血型,也包括主观的信息如意见或陈述,且不要求信息必须是真实的”⑪。
⑪ Article 29 Data Protection Working Party. Opinion 4/2007 on the concept of personal data,01248/07/EN WP 136.
值得注意的是,2014年欧洲法院在C-141/12、C-372/12案件中认为,法律分析并非个人信息。该案关于三个申请尼德兰居住证的申请人以获取自身个人信息为由要求移民局向其提供“minuut”(一份初步决定性质的行政文件)复印件,而移民局拒绝其请求,只向其提供了一份包含其个人信息的概要。欧洲法院总法律顾问夏普敦女士(Sharpston)认为,只有与事实相关的信息才是个人信息。反映客观状况的主观评价属于个人信息,而单纯的分析性说理并非个人信息。欧洲法院采纳了夏普敦的观点,判决认为“法律分析虽然包含个人信息,但其本身并不构成个人信息”⑫。
⑫ oined Cases C-141/12 and C-372/12 YS v. Minister voor Immigratie, Integratie en Asiel and Minister voor Immigratie,Integratie en Asiel v. M,S [2014].
笔者认为,欧洲法院的判决思路可资借鉴。一方面,反映个人客观状况表达及评价应属于个人信息。典型如信用评价者显然应属个人信息的一部分。德国联邦最高法院分别于2009年、2014年“评师案”“评医案”判决,针对的便是相关在线评价系统中包括评价在内的个人信息[55]。无论评价本身正确与否,这些评价针对的都是信息主体的客观状况。另一方面,主观的个人信息并非毫无边界,与个人客观状况无关的分析说理,对识别个人没有意义,不属于个人信息的范畴[56]。
(3) 识别的可能性。识别强调的是通过一个或多个身体、生理、精神、经济、社会身份特征认出特定个人⑬。身高、肤色、衣服等一切能助益于认出特定个人的信息都具有识别的可能性。“一个穿了黑色衬衫站在交通灯下的人”这一信息便很可能具有识别出特定个人的信息[57]。
⑬ See Article 29 Data Protection Working Party. Opinion 4/2007 on the concept of personal data,01248/07/EN WP 136.
根据识别可能性的强弱,个人信息可分为直接识别信息与间接识别信息。在直接识别中,信息内容通常直接指向信息主体。间接识别中,信息内容通常指向物或事件,但通过结合、比对其他信息重新建立起与自然人的联系[58]。可见,间接识别是需要通过辅助信息进行的识别[40]87。
识别的可能性问题主要就间接识别信息而言。所谓可能性强调的是以合理的方式进行识别。虽然如前所述,大数据技术的发展使得许多细琐信息在经过比对结合后具有识别的可能性;但这种间接识别绝非毫无边界,通过间接识别知晓特定个人必须不存在不合理的困难。识别的成本、数据处理技术的发展都是衡量识别是否存在合理可能性的标准⑭。诚如阿尔希波夫(Vladislav Arkhipov)所指,“有足够的精力和时间,蛛丝马迹都能识别到个人,这就是世界上私家侦探的工作方式,但并不应当是法律的工作方式”[41]。
⑭ See Article 29 Data Protection Working Party. Opinion 4/2007 on the concept of personal data,01248/07/EN WP 136.
通常而言,姓名与其他信息相结合具有较强的识别可能性。以信函为例,由于载明个人姓名、地址,美国法院便将其认定为个人信息⑮。欧洲法院在2003年“林奎斯特案”中亦指出,一个人的名字与其电话坐标或工作情况或兴趣相连,无疑属于个人信息⑯。
⑮ See Compare Reuber v. United States,829 F. 2d 133,142 (D. C. Cir. 1987).
⑯ See ECJ, case C-101-01, Criminal proceedings v. Bodil Lindqvist, 2003.
然而,有时即便是没有显示个人姓名的信息,也可间接识别个人。如“现任美国总统”这一信息的所指毫无疑问是特定的。事实上,通过生活中碎片的信息常常也可能识别特定的自然人。尤其是随着网络大数据信息比对技术的发展,一些学者甚至宣称“匿名已死”[59]。1997年的美国马塞诸塞州保险协会在去识别化处理后公布了医院州雇员的信息并保证信息不可能被识别,然而斯威尼教授(Latanya Sweeney)却轻易地根据这些信息识别到了具体个人[58]。2013年怀特海德研究机构的研究员们只是利用了公开的网络数据以及志愿者提供的基因信息,就将这些志愿者成功地识别了出来[60]。2016年一位俄罗斯摄影师仅利用一款名为“findface”的网络程序,便成功地把在地铁内随机拍摄的人从社交网络中识别了出来[41]。
对此,欧盟法中将这种虽然没有显示姓名但仍可与个人相联系的信息称为化名信息,将经处理后不可能再识别一个人的信息称为匿名信息,唯有匿名信息不属于个人信息[61]。匿名本身就是为了保护个人信息,若匿名的后果使得信息不受个人信息保护体制约束,显然是矛盾的[24]。显然,达到匿名信息的标准非常严格。
一些信息即便经过加密,但加密者仍掌握加密程序,不排除解密的可能性,其便仍属于个人信息[51]。使相关信息不属于个人信息的匿名必须是不可逆的。2013年俄罗斯信息监管局指出,应从内容完整性、系统完整性两个方面判断匿名的可逆与否[41]。若不能完全排除识别特定自然人的可能,化名相关处理后的信息也应属于个人信息。如病历编码虽然没有自然人姓名,但医疗机构却能通过该编码轻易识别到自然人,无疑属于个人信息。又如在2012年英国“信息专员诉马拉费尔地区议会案”中,一个记者要求地方议会披露关于雇员惩罚状况的《简明进度表》,遭议会拒绝。法院认为,虽然《简明进度表》作了化名处理,但一个积极的主体可以通过走访这个地区而轻易识别出其中的自然人,因此仍属于个人信息,不得公布⑰。
⑰ See Information Commissioner v. Magherafelt District Council[2012] UKUT 263 (AAC) (14 June 2012).
(二) 形式要素:“记录”《网络安全法》法律文本要求个人信息必须是“以电子或者其他方式记录的”。“记录”通常被称为个人信息的形式要素,又称为特别要素[47]。也就是说,个人信息必须是有载体的,固定化的信息[11]17。个人信息固定化的要求在一些国家的立法中也有体现,如在美国《隐私权法》中规定为“档案”、英国《数据保护法》中为“记录”、日本《个人信息保护法》中为“记述”。在“记录”要件之外,一些国家和地区还规定了“可以处理”作为并列的形式要件。典型的是中国香港地区《个人资料(隐私)条例》第2条c款明确规定,个人信息需满足“该等资料的存在形式令予以查阅及处理均是切实可行的”[34]412。然而,也有一些国家和地区并没有规定个人信息的任何形式要件。典型的是中国澳门地区《个人资料保护法》第4条第1款第1项规定个人信息“不管其性质如何以及是否拥有载体”[62]。
以齐爱民教授为代表的学者认为,个人信息的形式要素是必要的,这样的要求能满足数据保护的需要,能够避免给传统人格权法带来不必要的冲击,避免造成信息禁锢,可促进信息自由流通[40]100。
笔者认为,中国法律规定中的“记录”要素应作以下理解:首先,虽然没有物化的信息大量存在,但充其量只是个人信息来源,其本身并不构成个人信息。如指纹被记录之前仅属于自然人身体的一部分。只有当其被记录下来,才形成了指纹信息。其次,个人信息保护应对的是个人信息在数据处理中所面临的风险,而非私生活秘密的泄露或个人形象的非法利用,后者已为传统人格权所涵盖。中国澳门地区的立法模式并不可取。再次,“记录”与“处理”已经融合,“记录”已经成了“处理”的充分必要条件。现代信息技术发展已经使得一切被记录的信息都能被处理,而没有被处理的信息也并不可能形成个人信息保护问题。具体而言,在“记录”形式要素要求下,没有固定的信息不能成为个人信息。如没被记录的口述信息以及没有进行录影的闭路电视实时监控,由于没有被记录下来,所以不属于个人信息。
四、结论通过对个人信息称谓选择、概念界定、构成要素三方面的分析,本文得出以下结论。
(1) 从个人信息的称谓看,个人信息与个人数据(资料)概念可以等同,而个人信息与个人隐私之间存在较大区别。隐私针对的是保密层面的内容,个人信息关注的则是信息处理层面的范畴。二者不是包含或被包含的关系。舍弃隐私的称谓而采取个人信息称谓是正确的。
(2) 法律条文采取了“识别型”的通说以及“概括列举型”的立法模式。在具体解释适用上,为回应现代技术发展对个人信息保护带来的冲击与挑战,应对个人信息概念作广义解释。
(3) 个人信息具有“识别”与“记录”两个要素。一方面,“识别”属于实质要素,需结合识别的判断基准、信息相关性、识别可能性三个方面予以判断。具体而言,应以“任何人”的角度作为判断基准出发,分别从内容、目的、结果三个方面对具有识别意义的主客观信息的相关性予以判断,并以合理性标准对识别的可能性进行分析。另一方面,“记录”属于形式要素,没有记录在载体之中的信息不是法律中的个人信息。
| [1] | 侯富强. 我国个人信息保护立法模式研究[J]. 深圳大学学报(人文社会科学版), 2015(3): 144–148. |
| [2] | 齐爱民. 个人资料保护法原理及其跨国流通法律问题研究[M]. 武汉: 武汉大学出版社, 2004: 4. |
| [3] | 李建新. 两岸四地(海峡两岸暨香港、澳门)的个人信息保护与行政信息公开[J]. 法学, 2013(7): 95–104. |
| [4] | 陈飞. 个人数据保护:欧盟指令及成员国法律、经合组织指导方针[M]. 北京: 法律出版社, 2006. |
| [5] | 刘德良. 论个人信息的财产权保护[M]. 北京: 人民法院出版社, 2008: 20. |
| [6] | 齐爱民. 论个人资料[J]. 法学, 2003(8): 80–85. |
| [7] | 张振亮. 个人信息权及其民法保护[J]. 南京邮电大学学报(社会科学版), 2007(1): 41–46. |
| [8] | 谢远扬. 信息论视角下个人信息的价值——兼对隐私权保护模式的检讨[J]. 清华法学, 2015(3): 94–110. |
| [9] | 妖岳绒. 宪法视野中的个人信息保护[D]. 上海: 华东政法大学, 2011. http://cdmd.cnki.com.cn/Article/CDMD-10276-1012306928.htm |
| [10] | 杨咏婕. 个人信息的私法保护研究[D]. 长春: 吉林大学, 2013. http://cdmd.cnki.com.cn/Article/CDMD-10183-1013193690.htm |
| [11] | 谢远扬. 个人信息的私法保护[M]. 北京: 中国法制出版社, 2016. |
| [12] | 马改然. 个人信息犯罪研究[M]. 北京: 法律出版社, 2015: 10. |
| [13] | 郎庆斌, 孙毅, 杨莉. 个人信息保护概论[M]. 北京: 人民出版社, 2008: 12. |
| [14] | 林立. 法学方法论与德沃金[M]. 北京: 中国政法大学出版社, 2002: 151. |
| [15] | 杨惟钦. 价值维度中的个人信息权属模式考察——以利益属性分析切入[J]. 法学评论, 2016(4): 66–75. |
| [16] | 郭明龙. 个人信息权利的侵权法保护[M]. 北京: 中国法制出版社, 2012: 19. |
| [17] | 谢青. 日本的个人信息保护法制及启示[J]. 政治与法律, 2006(6): 152–157. |
| [18] | 阿丽塔. L. 艾伦, 理查德. C. 托克音顿. 美国隐私法: 学说、判例与立法[M]. 冯建妹, 石宏, 郝倩, 等, 译. 北京: 中国民主法制出版社, 2004. |
| [19] | 汤啸天. 网络空间的个人数据与隐私权保护[J]. 政法论坛(中国政法大学学报), 2000(1): 8–12. |
| [20] | 张娟. 个人信息的公法保护研究——宪法行政法视角[D]. 北京: 中国政法大学, 2011. |
| [21] | 王利明. 论个人信息权的法律保护——以个人信息权与隐私权的界分为中心[J]. 现代法学, 2013(7): 62–72. |
| [22] | 张新宝. 从隐私到个人信息:利益再衡量的理论与制度安排[J]. 中国法学, 2015(3): 38–59. |
| [23] | 齐爱民. 大数据时代个人信息保护法国际比较研究[M]. 北京: 法律出版社, 2015. |
| [24] | RAPHAЁL GELLERT, GUTWIRTH S. The legal construction of privacy and data protection[J]. Computer Law & Security Review the International Journal of Technology Law & Practice, 2013, 29: 522–530. |
| [25] | 文立彬. 个人信息犯罪的刑法规制——以内地和澳门为比较[J]. 北京邮电大学学报(社会科学版), 2015(3): 50–58. |
| [26] | 石佳友. 网络环境下的个人信息保护立法[J]. 苏州大学学报(哲学社会科学版), 2012(6): 85–96. |
| [27] | SAMUEL D. WARREN, LOUIS D. BRANDEIS. The right to privacy[J]. Harvard Law Review, 1980, 4: 193. |
| [28] | 井慧宝, 常秀娇. 个人信息概念的厘定[J]. 法律适用, 2011(3): 90–93. |
| [29] | 王利明. 隐私权概念的再界定[J]. 法学家, 2012(1): 108–120. |
| [30] | 谢永志. 个人数据保护法立法研究[M]. 北京: 人民法院出版社, 2013: 5. |
| [31] | 聂生奎. 个人信息保护法律问题研究[D]. 北京: 中国政法大学, 2009. http://cdmd.cnki.com.cn/Article/CDMD-10053-2009087072.htm |
| [32] | 吴苌弘. 个人信息的刑法保护[M]. 上海: 上海社会科学院出版社, 2014: 13-14. |
| [33] | 范江真微. 政府信息公开与个人隐私之保护[J]. 法令月刊, 2008(5): 12–45. |
| [34] | 周汉华. 域外个人数据保护法汇编[M]. 北京: 法律出版社, 2016. |
| [35] | 王利明. 人格权法的发展与完善——以人格尊严的保护为视角[J]. 法律科学(西北政法大学学报), 2012(4): 167–175. |
| [36] | 周汉华. 个人信息保护法(专家意见稿)及立法研究报告[M]. 北京: 法律出版社, 2006. |
| [37] | 蒋坡. 个人数据信息的法律保护[M]. 北京: 中国政法大学出版社, 2008: 3. |
| [38] | 齐爱民. 中华人民共和国个人信息保护法示范法草案学者建议稿[J]. 河北法学, 2005(6): 2–5. |
| [39] | 高富平. 个人数据保护和利用国际规则:源流与趋势[M]. 北京: 法律出版社, 2016: 219. |
| [40] | 齐爱民. 拯救信息社会中的人格-个人信息保护法总论[M]. 北京: 北京大学出版社, 2009. |
| [41] | VLADISLAV ARKHIPOV, VICTOR NAUMOV. The legal definition of personal data in the regulatory environment of the Russian Federation:Between formal certainty and technological development[J]. Computer Law & Security Review, 2016, 32: 871–887. |
| [42] | 孙政伟. 大数据时代个人信息的法律保护模式选择[J]. 图书馆学研究, 2016(9): 72–76. |
| [43] | 杨芳. 个人信息自决权理论及其检讨[J]. 比较法研究, 2015(6): 22–33. |
| [44] | 刘德良. 网络时代的民商法理论与实践[M]. 北京: 人民法院出版社, 2008: 208. |
| [45] | 郭瑜. 个人数据保护法研究[M]. 北京: 北京大学出版社, 2012: 123-125. |
| [46] | 张陈弘. 个人资料之认定-个人资料保护法适用之启动阀[J]. 法令月刊, 2016(5): 67–101. |
| [47] | 齐爱民. 个人信息保护法研究[J]. 河北法学, 2008(4): 15–33. |
| [48] | 范姜真媺. 个人资料保护法关于"个人资料"保护范围之检讨[C]//陈海帆、赵国强. 个人资料的法律保护——放眼中国内地、香港、澳门及台湾. 北京: 社会科学文献出版社, 2014: 52-55. |
| [49] | 张涛. 个人信息的法学证成:两种价值维度的统一[J]. 求索, 2011(12): 161–163. |
| [50] | 汤擎. 试论个人数据与相关的法律关系[J]. 华东政法学院学报, 2000(5): 40–44. |
| [51] | 范姜真媺. 他律与自律共构之个人资料保护法制-以日本有关民间法制为主[J]. 东吴法律学报, 2009(1): 163–200. |
| [52] | 洪海林. 个人信息的民法保护研究[M]. 北京: 法律出版社, 2010: 136. |
| [53] | 郑成思. 个人信息保护立法——市场信息安全与信用制度的前提[J]. 河南省政法管理干部学院学报, 2003(5): 1–8. |
| [54] | 张才琴, 齐爱民, 李仪. 大数据时代个人信息开发利用法律制度研究[M]. 北京: 法律出版社, 2015: 18. |
| [55] | 李承亮. 个人信息保护的界限——以在线评价平台为例[J]. 武汉大学学报(哲学社会科学版), 2016(4): 109–120. |
| [56] | XAVIER TRACOL. Back to basics:The european court of justice further defined the concept of personal data and the scope of the right of data subjects to access it[J]. Computer Law & Security Review, 2015, 31: 116. |
| [57] | SLOOT B V D. Do privacy and data protection rules apply to legal persons and should they? A proposal for a two-tiered system[J]. Computer Law & Security Review, 2015, 31: 28. |
| [58] | FRANCIS ALDHOUSE. Data protection in Europe:Some thoughts on reading the academic manifesto[J]. Computer Law & Security Review, 2013, 29: 289. |
| [59] | PAUL OHM. Broken promises of privacy:Responding to the surprising failure of anonymization[J]. UCLA Law Review, 2010, 57: 1701. |
| [60] | FRANCIS ALDHOUSE. Anonymisation of personal data:A missed opportunity for the European Commission[J]. Computer Law & Security Review, 2014, 30: 403. |
| [61] | 克里斯托弗. 库勒. 欧洲数据保护法——公司遵守与管制[M]. 第2版. 旷野, 杨会永, 译. 北京: 法律出版社, 2008: 69-70. |
| [62] | 陈海帆, 赵国强. 个人资料的法律保护——放眼中国内地、香港、澳门及台湾[M]. 北京: 社会科学文献出版社, 2014: 326. |