| 标题 | 个人信息类型化研究 |
| 范文 | 韩旭至 DOI:10.3969/j.issn.16738268.2017.04.010 摘要:个人信息可依三种不同标准作类型化划分。依能否直接识别特定自然人的标准可分为直接个人信息与间接个人信息。一切需要借助其他信息确定特定自然人身份的信息均属间接个人信息。依敏感度的标准可分为敏感个人信息与一般个人信息。敏感个人信息应包括医疗及健康信息、性生活及性取向信息、身份识别号码、个人生物识别信息。依信息主体身份的标准可分为普通人的个人信息与特殊群体的个人信息。特殊群体的个人信息指的是未成年人、公众人物、公务员、企业高级管理人员及控制人的个人信息。 关键词: 个人信息;隐私;人格权;类型化 中图分类号:D923 文献标识码:A 文章编号:16738268(2017)04006407 目前,我国法律法规中列举了种类繁多的个人信息,在司法实践中也出现了各种各样的个人信息。面对如此庞杂的个人信息内容,以类型化的思维对其进行研究确有必要。 《网络安全法》第76条第5款采取了“概括+列举”的模式定义个人信息,然而在不同的法律法规中,列举的个人信息内容却不尽相同。除了《网络安全法》第76条第5款列举的“姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码”六项个人信息外,健康信息、财产信息、犯罪记录等也常被列举如《征信业管理条例》第14条列举了“宗教信仰、基因、指纹、血型、疾病和病史信息”以及“个人的收入、存款、有价证券、商业保险、不动产的信息和纳税数额信息”;《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》(法释[2014]11号)第12条列举了“自然人基因信息、病历资料、健康检查资料、犯罪记录、家庭住址、私人活动等个人隐私和其他个人信息”;《最高人民法院关于人民法院在互联网公布裁判文书的规定》(法释[2016]19号)第10条列举了“家庭住址、通讯方式、身份证号码、银行账号、健康状况、车牌号码、动产或不动产权属证书编号”。 。 一方面,法律法规中列举的个人信息内容繁多、杂乱,不利于司法实践中的理解适用;另一方面,司法实践中又出现了更多的个人信息内容。通过“中国裁判文书网”检索,仅以援引法释[2014]11号第12条的判决书为分析对象,截至2017年2月6日共有19份判决书,其中涉及个人信息的有17份。这些判决书便涉及包括户籍资料、身份证号码、家庭住址、婚姻状况、工作单位、IP地址、健康信息、购物信息、照片记录等各种个人信息。 在如此繁杂的个人信息种类中,有些显而易见而有些则难以确定,有些对人威胁极大而有些则影响甚微,有些信息还可能因属于不同的信息主体而适用不同的规则。根据不同的类型化标准,个人信息可分为不同的类型。 一、个人信息类型化标准 关于个人信息的类型化标准存在多种学说,主要可分为微观与宏观两个尺度。所谓微观的尺度,即从法律法规列举以及未列举的各种具体的个人信息出发,对这些信息本身运用归纳法作的内容种类描述。所谓宏观的尺度,即从作为一个法律概念的抽象个人信息角度出发,根据特定的属性对抽象个人信息进行类型划分。 (一)个人信息的微观分类 根据各具体个人信息本身的内容,许多学者对个人信息作出了微观分类。如刘德良认为,从内容上看,个人信息可分为“通信信息、财务信息、医疗健康等身体和生理方面的信息、教育信息、信仰信息、基因信息及特定社会关系等方面的信息”[1]。郭瑜认为,个人信息类别有“生物信息、身份识别信息、通讯联络方式、活动记录、自我表达、外在评价”[2]。刘雅琦则主张“基本身份信息、身份延伸信息、个人社会关系信息、个人财产信息、个人行为信息”的类型划分[3]。 学者们对个人信息的这些微观分类无疑有利于理解个人信息的内涵和外延,但却未能回答在个人信息保护的法律意义上这些不同类型的个人信息之间是否有区别的问题。个人信息的微观分类实质上仅是个人信息范畴的附属问题。如《网络安全法》第76条第5款中的“个人生物识别信息”便能包括《征信业管理条例》第14条中的“基因、指纹、血型”。这实际上仅仅是对具体的各种个人信息的客观归类的过程。因此,个人信息的微观分类并非本文所讨论的个人信息类型化问题。 (二)个人信息的宏观分类 在宏观层面上,根据不同标准,学者们划分出个人信息的各种类型。齐爱民归纳得出“直接/间接”“敏感/非敏感”“电脑处理/非电脑处理”“公开/隐秘”“属人/属事”“专业/普通”六种类型标准[4]。谢永志主张根据“属人/属事”“敏感/非敏感”“直接/间接”“国家机关持有/非国家机关持有”“普通群体/特殊群体”“计算机处理/非计算机处理”划分[5]。洪海林认为有“自动处理/手动处理”“敏感/一般”“普通群体/特别群体”三种分类[6]。蒋坡主张“直接/间接”“隐私/公开”“计算机处理/非计算机处理”“自然属性/社会属性”四大分类[7]。另外,还有学者也提出了包括“原始/传来”[8]181“涉及人格尊严/无涉人格尊严”[9]“主观/客观”[10]在内的其他各种分类标准。 诚然,类型化的标准千差万别,根据不同標准可以将个人信息的类型进行不同的分类。然而,类型化研究不是为了分类而分类,而应受分类的必要性与合理性约束。也就是说,个人信息的类型化不仅应具有类型学上的意义,更应具有法学上的意义。抽象分类的法学意义在于,不同类型的个人信息受保护的方式、程度有所不同。唯有符合此意义的类型划分才是必要且合理的。 然而,许多个人信息分类并不符合此类型化标准:(1)“国家机关持有/非国家机关持有”“计算机处理/非计算机处理”的划分实际上对应的是早期的个人信息保护立法。以韩国为例,虽然1993年《公共机关个人信息保护法》(已失效)曾针对的是公共机关持有的个人信息,而2011年《个人信息保护法》却取消了这一限制[11]。又如我国台湾地区1995年《电脑处理个人资料保护法》(已失效)针对的是计算机处理的个人信息,而2010年《个人资料保护法》也取消了对该计算机处理的限制。(2)就“公开/隐秘”的分类而言,个人信息不是隐私,其不以秘密性为要件,即便是公开的信息也受保护。只是在当信息经合法公开时,处理者可在公共领域中进行收集。该分类的法学意义有限。(3)“原始/传来”“主观/客观”的划分并不能体现个人信息受保护方式或程度的区别。无论个人信息是否直接来源于信息主体,都受同等的保护。即便是对个人的主观评价,只要具有识别性都属于个人信息,与反映客观状况的信息一样受到保护[12]。(4)“涉及人格尊严/无涉人格尊严”的划分实际上属于对个人信息属性的理解有误。个人信息属于人格权客体,没有不涉及人格尊严的个人信息,即便是个人财产信息也与个人的存在与发展休戚相关[13]。 在此认识上,笔者认为个人信息可划分为:直接个人信息与间接个人信息、敏感个人信息与一般个人信息、普通人的个人信息与特殊群体的个人信息。 二、直接个人信息与间接个人信息 根据识别性强弱可分为直接个人信息与间接个人信息。这一分类不仅为学界主流学说所认可[9,1416],也普遍体现在国内外立法之中。 (一)法律依据及划分标准 《网络安全法》第76条第5款指出:“个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息。”其中,具有单独识别能力的信息为直接个人信息,需与其他信息结合识别自然人的信息为间接个人信息。这一分类亦普遍存在于国外个人信息立法之中。如欧盟2016年《统一数据保护条例》第4条指出,个人信息包括“通过姓名、身份证号、定位数据、网络标识符号以及特定的身体、心理、基因、精神状态、经济、文化、社会身份等识别符能够被直接或间接识别到身份”的信息[17]129。 能否直接识别特定自然人是二者的划分标准[14]。这也就是个人信息识别中的直接识别与间接识别。具有强识别性的直接个人信息能一目了然地识别出特定个人,而具有弱识别性的间接个人信息则必须经过信息拼图、比对的过程才能完成识别[18]。间接个人信息虽不直接指向特定个人,但通过指向与特定个人有关的事物[19],在借助其他“辅助信息”后最终能起到识别的作用[20]。 基于二者的区别,有学者认为直接个人信息才是传统个人信息保护研究的对象[15],也有学者认为“人格权商品化”问题是针对直接个人信息而言的[16]。诚然,在前网络时代,凭一个间接信息识别个人较为困难,对间接信息的利用也非常少见。但是在大数据时代的今天,仅凭在网络上留下的蛛丝马迹,就能轻易识别出特定个人。如消费记录、GPS位置信息、IP信息等更常被网络服务提供商所抓取记录,甚至用于商业活动之中[9]。无可否认,间接个人信息与直接个人信息一样,均具有人格利益与商业价值。二者在保护程度上并无外观上的差异如在“熊文郁与杨婧瑶名誉权纠纷案”中,南京市中级人民法院确认了被告恶意公开原告ID账号、IP地址的行为侵权,并未因ID账号、IP地址非直接个人信息而给予差别保护。(参见(2015)宁民终字第322号判决书) 。只是在保护方式上,间接信息常需经过识别性判断后才能受到保护。 (二)范围内涵 一般认为,姓名属于直接个人信息。但在重名的情况下,也需要借助辅助信息进行识别。至于身份证号、社保号、个人生物识别信息等具有唯一性的信息是否属于直接个人信息则存在不同观点。有学者认为,由于其直接指向个人且具有唯一性,无疑属于直接个人信息[4,14,21]。也有学者认为,虽然身份证号、社保号也具有唯一性,但其缺乏“外显性”,需要结合其他辅助信息,因此属于间接个人信息[16]。 笔者认为,唯一性信息不能等同于直接个人信息。一切需要借助其他信息才能确定特定自然人身份的信息都属于间接个人信息。以身份证号信息为例,一串单纯的数字组合若没有结合个人姓名、肖像是无法直接将一个人认出来的。即便是将身份证号输入电脑系统进行查询,也必须以电脑数据库存在与身份证号相连的特定自然人姓名等信息作为前提才能将其认出来。 三、敏感个人信息与一般个人信息 根据敏感度高低可分为敏感个人信息与一般个人信息。关于这一类型划分存在一定学术争议,各国立法也不尽相同。 (一)法律依据及划分标准 我国法律层面上并未对敏感个人信息与一般个人信息进行明确区分,仅在部分指导性文件中采纳了这一区分。如《信息安全技术公共及商用服务信息系统个人信息保护指南》(以下简称《保护指南》)第3.7条及3.8条《信息安全技术公共及商用服务信息系统个人信息保护指南》第3.7条规定:“个人敏感信息:一旦遭到泄露或修改,会对标识的个人信息主体造成不良影响的个人信息。各行业个人敏感信息的具体内容根据接受服务的个人信息主体意愿和各自业务特点确定。例如个人敏感信息可以包括身份证号码、手机号码、种族、政治观点、宗教信仰、基因、指纹等。”第3.8条规定:“个人一般信息:除个人敏感信息以外的个人信息。” 、《湖南保险机构客户个人信息保护工作监管指引》第3条第2款对二者进行了区分《湖南保险机构客户个人信息保护工作监管指引》第3条第2款规定:“保险机构应当区分一般个人信息和敏感个人信息,实行分类区别保护。对敏感个人信息,应实行更高的权限管理,采取更严格的管理措施。” 。 从域外法规定来看,包括欧盟及其成员国、经合组织及其成员国、俄罗斯、阿根廷、我国澳门地区以及我国台湾地区在内的许多国家、地区及国际组织均规定了敏感个人信息与一般个人信息的区分。但也有许多国家和地区并未采取这一区分,如我国香港地区在2012年修订《个人资料(隐私)条例》时,便曾就是否引入这一区分进行过讨论,最终也没采纳这一区分方式[22]。 对于我国在将来的个人信息立法中是否采取“敏感个人信息与一般个人信息”的分类,学界存在争议。以齐爱民、蒋坡为代表的学者采取“肯定说”,认同这一分类的立法意义[7,23]。以周汉华、洪海林为代表的学者则采取“否定说”,认为对此无需在法律上进行统一分类,仅需对高敏感度的信息保护进行单行立法即可[5,2425]。可见,对于高敏感度的敏感个人信息予以特别保护的理念学界并无争议,争议仅在于立法模式的问题上。 具体而言,就是否以隐私为标准划分敏感与一般个人信息存在两种观点。以王忠、谢永志、齐爱民为代表的学者主张以隐私定义敏感个人信息。他们认为,敏感个人信息即涉及隐私的个人信息[45,2629]。范德斯洛特(B. Van Der Sloot)亦指出,“敏感個人信息关注的是隐私问题”[30]。另一方面,刘德良、郭瑜、孔令杰等学者则认为,敏感与否并不取决于是否关涉隐私。他们认为,即便隐私与敏感信息有重合之处也不能等同,敏感个人信息与一般个人信息的划分标准是信息的敏感度[12][8]172[3133]。这一观点亦为《保护指南》第3.7条所采纳。根据该条,敏感个人信息强调的是对“信息主体造成不良影响”的可能性。 |
| 随便看 |
|
科学优质学术资源、百科知识分享平台,免费提供知识科普、生活经验分享、中外学术论文、各类范文、学术文献、教学资料、学术期刊、会议、报纸、杂志、工具书等各类资源检索、在线阅读和软件app下载服务。