查找:                      转第 显示法宝之窗 隐藏相关资料 下载下载 收藏收藏 打印打印 转发转发 小字 小字 大字 大字
【期刊名称】 《重庆大学学报(社会科学版)》
识别与再识别:个人信息的概念界定与立法选择
【英文标题】 Identification and reidentification: The definition of personal information and the legislative choice
【作者】 齐爱民张哲【作者单位】 重庆大学法学院重庆大学法学院
【分类】 公民权利【中文关键词】 个人信息;再识别;匿名化;个人信息权
【英文关键词】 personal information; re - identification; anonymization; right to personal information
【文章编码】 1008-5831(2018)02-0119-13
【文献标识码】 A doi:10.11835/j.issn.1008-5831.2018.02.011
【期刊年份】 2018年【期号】 2
【页码】 119
【摘要】

大数据时代,数据已成为社会生产和经济发展的关键要素,个人信息在提高政府决策水平、企业精准营销、社会管理创新等方面具有巨大的潜在利用价值。纵观全球,以欧盟为代表的个人信息保护单行立法模式成为当前世界各国的主流做法。国际社会在个人信息的界定上基本形成了以可识别性为核心判定标准的共识;但个人信息界定的动态性和场景性不仅带来了司法认定上的困难,也使企业在匿名化处理问题上无所适从。充分借鉴国外立法,以加强个人信息权顶层设计为核心,通过事前同意、事中风险评估和事后个案认定机制来弥补个人信息界定的固有缺陷,是提升中国未来民法典人格权编和个人信息保护法科学性的应有之义。

【英文摘要】

In big data era, data has become a key element in social production and economic development, and there is enormous potential value in personal information in improving government decision - making, enterprise’ s precision marketing, innovation of social management and so on. Globally, the legislation of personal information protection law represented by the European Union has become the mainstream practice in the international community. As for the definition of personal information, the international community has basically formed an approach based on identifiability. But the dynamicity and contextual nature of the definition of personal information not only leads to the difficulty of judicial application, but also makes the enterprise not be able to deal with the problem of anonymization appropriately. In order to make up for the inherent defects of personal information definition, it is necessary to take full advantage of foreign legislation, strengthen the top - down design of personal information rights and construct a prior consent, risk evaluation and case - based mechanism, which constitute the proper meaning of promoting the rationality of civil code and personal information protection law in the future.

【全文】法宝引证码CLI.A.1254211    
  信息社会中,随着全球网络基础设施的不断完善,移动互联网、物联网、云计算服务的普及,世界数据总量迎来了爆炸式增长。据IDC报告,未来全球数据总量年增长率将维持在50%左右,到2020年,全球数据总量将达到40ZB。其中,中国数据量将达到8.6ZB,占全球的21%左右{1}。在这其中,大部分是与互联网用户有关的个人信息。与此同时,以谷歌、微软、阿里、腾讯为代表的互联网企业在数据挖掘、人脸识别、机器学习等领域的技术也日臻成熟,大大提高了网络服务的个性化和智能化。
  数据分析技术的进步和数据量的增长在便捷生活、创造经济价值的同时,也造成公民隐私的担忧。美国以隐私权为核心的保护模式已无法抵御现代信息技术对私密生活的侵袭,于是有学者提出了“信息隐私法(Information Privacy Law)”和“个人可识别信息(Personal Identifiable Information)”等概念来进一步扩张隐私权的内涵。欧盟也通过颁布《一般数据保护条例(GDPR)》(以下简称“GDPR”)来进一步规制数据控制者和处理者的数据处理行为,以在促进信息自由流动的同时增强个人的数据控制力。纵观世界范围内的个人信息保护立法,虽然可识别性标准已经得到了绝大多数国家的认可,但在具体的外延界定上仍存在一定的差异。作为个人信息保护法中最为核心的概念,对其进行学理上的界定对于立法、司法和执法都至关重要,过窄的范围无法充分保护信息主体的合法利益,而过宽的范围也将阻碍信息的自由流动。以当前的社会发展状况为背景,通过对现有个人信息界定模式的反思,提出相应的解决对策对于中国未来个人信息保护法的制定具有重要意义。
  一、个人信息概念界定现状
  所谓个人信息,是指自然人的姓名、出生年月日、身份证号码、户籍、遗传特征、指纹、婚姻、家庭、教育、职业、健康、病历、财务情况、社会活动,以及其他可以识别该个人的信息{2}。纵观世界范围内的个人信息保护立法,主要存在两种模式。欧盟等采取统一立法的国家和地区普遍采用了“个人数据(PersonalData)”的概念,其是指与一个身份已识别或可识别的自然人(数据主体)相关的任何信息[1]。美国等采取分散式立法的国家则使用“个人可识别信息(PII)”的概念。从概念上看,两大法系在个人信息内涵的界定上呈现出趋同的倾向,但其外延却并不相同。为此,有必要对当前个人信息界定模式和外延予以梳理,以期为中国个人信息概念的确定提供借鉴和参考。
  (一)个人信息界定模式
  据不完全统计,当前世界上拥有个人信息保护法的国家(地区)近90个{3},它们在个人信息界定模式上主要体现为两种:一是以美国《儿童在线隐私保护法(COPPA)》(以下简称“COPPA”)、欧盟GDPR、中国台湾“个人资料保护有关规定”、中国澳门《个人资料保护法》为代表的定义加列举的方式;另一种为单纯定义方式,如英国《数据保护法案(DPA)》(以下简称“DPA”)、法国《信息、档案与自由法》、德国《联邦数据保护法(BDSG)》(以下简称“BDSG”)、新加坡《个人数据保护法》,以及中国香港《个人资料(私隐)条例》均采用了此种界定模式。除此之外,相关国际组织亦在其官方文件中对个人信息进行了界定,如经济合作组织(OECD)在其《OECD隐私框架》中就指出,个人数据是指任何与一个已识别或可识别的个人(数据主体)相关的信息[2]。亚太经合组织(APEC)发布的《APEC隐私框架》认为,个人信息是指任何与一个已识别或可识别的个人相关的信息[3]。上述国家(地区)在个人信息界定模式上均采取了单纯定义的方式,没有明确肯定或者将特定信息排除在个人信息保护范围之外。
  可见,采用单纯界定的方式居多,立法者仅仅指出构成个人信息的核心要素,如自然人、可识别性等,而没有明确将姓名、身份证号、电话号码、社会安全码、基因信息等列为个人信息,也没有将特定的信息排除在外,从而保持了概念的开放性。
  据统计,中国目前的个人信息保护规范已近100部,在规范制定主体上,除了全国人大常委会外,还包括国务院有关部委、地方政府、行业协会、科研机构等;在规制范围上则涵盖了互联网、电信、征信、证券、银行、保险、医疗等行业,可谓范围广泛,内容繁杂。尽管如此,多数学者仍指出中国个人信息保护规范存在着碎片化、保护利益不清晰、效力层级低、执法部门定位和权限不明确等问题{4},{5}33。纵观中国现行规范,同样存在单纯定义和定义加列举两种模式。
  (1)定义加列举模式。工信部《电信和互联网用户个人信息保护规定》《电信和互联网服务用户个人信息保护定义和分类》、中国科学技术法学会与北京大学互联网法律中心《互联网企业个人信息保护测评标准》、中国互联网协会《互联网终端安全服务自律公约》《互联网终端软件服务行业自律公约》、中国广告协会互动网络分会《中国互联网定向广告用户信息保护框架标准释义和基本指引》等均采取此种界定模式,除了给出个人信息的一般定义外,还列举典型的个人信息类型以及排除类型。
  (2)单纯定义模式。工信部《规范互联网信息服务市场秩序若干规定》、国家质检总局与国家标准委《信息安全技术公共及商用服务信息系统个人信息保护指南》、中国广告协会互动网络分会《互联网定向广告个人信息保护声明》、国家质检总局与国家标准委《健康信息学推动个人健康信息跨国流动的数据保护指南》、中国人民银行《中国金融移动支付检测规范第8部分:个人信息保护》等均使用了单纯定义的方式,并未列举典型的个人信息类型。从现行规范的定义模式看,采用单纯定义和定义加列举的做法数量相当,并没有体现出一致性的倾向。
  关于个人信息界定模式,从世界范围以及中国现行规范看,并不存在统一的做法。仅从数量上看,采用单纯定义的方式居多,但这并不意味着单纯定义的方式就是最合理的界定模式。作为个人信息保护法中的核心概念,如何精确地界定其范围在很大程度上决定了个人信息保护立法的科学性和合理性。笔者认为,按照一般的法律概念界定方式,除了在概念中指出其本质特征外,对于过于抽象的法律概念,还应当列明典型类型,以实现法律概念的确定性并为社会民众提供相应的行为预期。从欧美先进国家的立法和司法经验看,由于个人信息概念的抽象性,如果仅仅规定其内涵,无疑会增加法律适用上的不确定性。因此,有必要将明确符合个人信息概念的信息,如身份证号码、社会安全码、基因信息等可以唯一识别到某个自然人的信息予以列举,从而增强个人信息概念的具体性和可适用性。
  (二)个人信息外延界定
  无论是美国的个人可识别信息还是欧盟的个人数据,二者在内涵上呈现出一致化的倾向,都以“可识别性”为其核心构成要件。尽管如此,要想清晰地界定个人信息的范围仍是一件十分复杂和困难的事情。个人信息保护法是调整发生在信息主体和信息管理者之间的,在个人信息收集、处理和利用等活动过程中,因保护信息主体的权益而发生的社会关系的法律规范的总称{5}66。随着信息处理技术日臻成熟,越来越多的行为,包括收集、存储、打标签、用户画像、数据分享、跨境传输等行为均被确立为数据处理行为。因此,个人信息范围的界定将在根本上决定什么样的处理行为要受到法律的约束。对此,世界上大多数国家和地区均对个人信息的范围进行了一定程度的界定。
  在美国,由于不存在统一的个人信息保护法,个人信息的定义也仅仅体现在COPPA、《视频隐私保护法(VPPA)》《金融服务现代化法案》,以及各州的数据泄露通知法之中。在范围上,COPPA规定,个人信息是指关于某个人的个人可识别性信息。《视频隐私保护法(VPPA)》采取同义反复的方式界定个人信息,即个人可识别信息是可以识别某个人的信息。《金融服务现代化法案(Gramm - Leach - Bliley Act)》采取反向排除法,即将非公共性(Nonpublic)的信息认定为个人信息,而各州的数据泄露通知法均采取了列举方式来界定个人信息范围,并且各州的规定并不相同。此外,比较有代表性的是,美国《消费者隐私权法案(草案)》规定,个人数据指处于受管辖实体控制之下的,通过合法方式无法被公众获取的,而且链接到或切实可由受管辖实体链接到特定个人的,或链接到个人相关的或常规使用的设备的任何数据。应当指出的是,美国不仅没有形成统一的个人信息范围,并且由于各州多采用列举的方式,导致个人信息局限于“已识别(identified)”信息,对于“可识别(identifiable)”信息则无法提供有效的法律保护{6}。法小宝
  欧盟作为世界个人数据保护法的领路人,早在1995年就通过了《数据保护指令(95/46/EC)》(以下简称“95指令”),第2条明确规定,个人数据是指任何与已识别或可识别的自然人(“数据主体”)相关的信息[4]。而作为欧盟委员会的内部咨询机构,第29条工作组(以下简称“WP29”)就曾在2007年针对欧盟各成员国认定个人数据标准不一致的问题作出了《关于个人数据概念的意见》。该意见对个人数据的四大要素,即自然人、相关性、可识别性、任何信息进行了细致的分析,并列举了相关例子。最后,WP29认为,在个人信息范围的界定上,应当结合指令的目的,即保护自然人在个人数据处理过程中的隐私权,来予以综合认定,同时考虑“所有可能的合理方法”{7}。2012年之后,为构建欧盟一体化的数据保护规则并推动数字化单一市场的形成,欧盟委员会发起了数据保护改革,并于2016年通过了GDPR,在个人数据定义上依然沿袭了95指令的规定,同时也界定了可识别的标准,即通过参照诸如姓名、身份证号码、定位数据、网络标识符等一项标识,或者是通过参照一个或多个针对该自然人的诸如身体、生理、基因、心理、经济、文化或社会身份因素来识别个人[5]。此外,GDPR还在第9条规定了特殊种类个人数据的保护,对于揭示种族或民族出身、政治观点、宗教或哲学信仰、工会成员的个人数据,以及以唯一识别自然人为目的的基因数据、生物特征数据,还有健康、自然人的性生活或性取向数据的处理应当被禁止[6]。在GDPR的序言部分,欧盟再次指出,应当考虑所有合理可能的因素来认定个人数据,并明确区分了假名化和匿名化数据,前者可以通过其他额外信息来识别一个人,因此可以成为个人数据;而匿名化数据不再识别一个人,故不受GDPR约束[7]。从其法律规定可以看出,欧盟地区的个人数据范围相对抽象和宽泛,这也与其最大限度地保护人格利益的立法目的相契合。
  英国曾于1998年通过了DPA,与欧盟WP29不同的是,英国信息委员会办公室(以下简称“ICO”)在判断什么是个人数据的方式上采取了相反的方式,即首先判断何种处理行为下的数据是法案目的下的数据,然后在此基础上判断这些数据是否是个人数据。在个人数据的认定上,ICO同样采取了四要素分析法,并采取宽泛的保护方式。在2017年9月14日发布的《数据保护法令(Data Protection Bill)》中,个人数据被界定为任何与已识别或可识别的在世的人相关的信息[8]。虽然在表达上与欧盟略有不同,但二者的实质内涵一致。
  德国在个人数据保护上具有其自身特色,其调整对象包含了公务部门和非公务部门的个人数据处理。在个人数据保护立法上,德国联邦宪法法院通过判例创设的“信息自决权”为其个人数据保护提供了理论基础,并于2003年制定了BDSG,而在欧盟通过GDPR之后,又在2017年6月30日通过了新的数据保护法案,成为欧盟地区第一个将GDPR本土化的成员国{8}。在个人数据的界定上,法案完全采纳了GDPR的规定[9],以保持与欧盟在未来执法上的一致性。
  新加坡于2013年1月起正式施行《个人数据保护法(PDPA)》,其中在概念解释部分规定,个人信息是指,无论真实与否,能通过该信息识别或通过该信息与其他企业已经或能够获取的信息结合后识别出个人的信息[10]。
  澳大利亚于1988年颁布实施《隐私法》,在2016年的修订版本中,个人信息被界定为关于一个已识别或可合理识别的人的信息或观点,无论该信息或观点是否真实,也无论该信息或观点是否以有形形式记录[11]。
  俄罗斯于2006年通过了《个人资料法》,该法案在2014年经过了较大调整,在2017年最新修改的《个人资料法》中个人资料(亦即个人信息)是指能直接或间接地识别出或可识别出自然人(个人资料主体)的任何信息[12]。
  中国台湾地区采用个人资料的概念,并在“个人资料保护有关规定”第2条采取列举和归纳的方式界定了个人资料的内涵[13],同样采取可识别说。中国香港地区的《个人资料(私隐)条例》第2条对个人资料的内涵进行了列举,即直接或间接与一名在世的个人有关的或从该资料直接或间接地确定有关的个人的身份是切实可行的,该数据的存在形式令予以查阅及处理均是切实可行的。中国澳门地区由于历史缘故,在个人资料保护立法上更接近欧盟地区,第4条将个人资料界定为与某个身份已确定或身份可确定的自然人(“数据当事人”)有关的任何信息,包括声音和影像,不管其性质如何以及是否拥有载体。
  总结其他国家(地区)个人信息保护法规发现,在个人信息概念的界定上,几乎所有国家(地区)都采取了可识别说,并且从全球影响力看,欧盟地区采取的宽范围保护模式得到了其他国家(地区)的效仿,尤其是亚太地区。作为英美法系国家的代表,英国虽然至今都没有承认一般的隐私权{9},但是其直接跳过隐私权,而采用更有包容性和时代性的个人数据保护法模式也使其立法受到关注。美国作为最早提出隐私权的国家,一直致力于隐私权的扩张,以此来保护各种人格利益,但是此种做法也具有明显的局限性,尤其是在保护范围上过于狭窄,并且呈现出分散化特点。在网络与现实生活联系日益紧密,个人信息的商业价值日益凸显的今天,此种固守传统隐私路径的做法似乎难以为个人提供充分的保障。
  在中国,《民法总则》第111条的规定为个人信息保护奠定了基础。而关于个人信息范围的界定,目前基本上形成了以可识别说为核心的概念。其中,最具代表性的莫过于2016年通过并在2017年6月起实施的《网络安全法》。该法第76条对个人信息进行了界定,即以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。该定义也与目前国际社会,尤其是欧盟地区的定义基本一致。
  除此之外,中国其他部门规章以及国家标准等也对个人信息进行了界定。比如工信部2013年发布的《电信和互联网用户个人信息保护规定》第4条就使用了“用户个人信息”的概念,将其限定在电信业务经营者和互联网信息服务提供者在提供服务的过程中所收集的能够识别用户的信息,并采取列举的方式,将用户使用服务的时间、地点等信息纳入其中。应当指出的是,用户使用的时间和地点并非严格意义上的个人信息,只有在与其他信息结合能够识别用户身份时才能被认定为个人信息,该规定直接将其与其他可识别信息并列的做法也不符合个人信息的基本理论。此后,工信部于2014年又发布《电信和互联网服务用户个人信息保护定义和分类》,将用户个人信息界定为电信业务经营者和互联网信息服务提供者在提供服务过程中收集的能够单独或者与其他信息结合识别用户和涉及用户个人隐私的信息。该定义也反映出中国政府部门对个人信息与隐私在认识上的混淆;但是,该标准还指出,用户个人信息经脱敏处理后不纳入本标准规定的电信和互联网服务用户个人信息范围。此外,该标准还根据属性和类型特征,将电信和互联网用户个人信息分为用户身份和鉴权信息、用户数据和内容信息、用户服务相关信息三大类,相较于其他国家(地区)的个人数据与特殊类型个人数据二分法,此种做法相对复杂,也缺乏一定的逻辑性。
  国家质检总局与国家标准委员会于2013年发布的中国首个个人信息保护国家标准《信息安全技术公共及商用服务信息系统个人信息保护指南》在个人信息的界定上就更加科学,即可为信息系统所处理、与特定自然人相关、能够单独或通过与其他信息结合识别该特定自然人的计算机数据。从其定义看出,该定义基本上遵循了WP29的观点,并且还采取了分类保护的模式,将个人信息区分为个人敏感信息和个人一般信息,这种界定也被其他政府部门所采纳[14]。国家质检总局、国家标准委员会《健康信息学推动个人健康信息跨国流动的数据保护指南》则采用了个人数据的概念,在内容上也采取直接定义方式,即任何涉及已标识或可标识自然人的信息,没有列举典型的个人

  ······

法宝用户,请登录后查看全部内容。
还不是用户?点击单篇购买;单位用户可在线填写“申请试用表”申请试用或直接致电400-810-8266成为法宝付费用户。
【注释】                                                                                                     
【参考文献】

{1}张山.全球信息数据量逐年猛增IDC产业迎来发展新机遇[N].中国证券报,2015-08-05.

{2}齐爱民.中华人民共和国个人信息保护法示范法草案学者建议稿[J].河北法学,2005(6):2-5.

{3}人民网.全球90个国家和地区制定个人信息保护法律[EB/OL].(2017-08-10)[2017-09-14].http://world.people.com.cn/n1/2017/0810/c1002-29463433.html.

{4}张新宝.从隐私到个人信息,利益再衡量的理论与制度安排[J].中国法学,2015(3):38-59.

{5}齐爱民.信息法原论[M].武汉:武汉大学出版社,2010.

{6} SCHWARTZ P M, SOLOVE D J. Reconciling rersonal information in the United States and European Union[J]. California Law Review, 2014,102:891.我反正不洗碗,我可以做饭

{7} ARTICLE 29 WORKING PARTY. Opinion 4/2007 on the concept of personal data[EB/OL].(2007-06-20)[2017-09-14].http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2007/wp136_en.pdf.

{8} BERND M W, LECHNER F. New German Federal Data Protection Act[EB/OL].(2017-08-07)[2017-09-14].https://www.paulhastings.com/publications - items/details? id =4dddec69-2334-6428-811c - ff00004cbded.

{9}王泽鉴.人格权的具体化及其保护范围·隐私权篇(上)[J].比较法研究,2008(6):1-21.

{10}王利明.论我国《民法总则》的颁行与民法典人格权编的设立[J].政治与法律,2017(8):2-11.

{11} PAUL M, SCHWARTZ D J S. Reconciling personal information in the United States and European Union[J]. California Law Review, 2014,102:905.

{12} WALDEN I. Anonymising personal data[J]. International Journal of Law and Information Technology, 2002(10):225.

{13} SCHWARTZ P M, SOLOVE D J. The PII problem: Privacy and a new concept of personally identifiable information[J]. New York University Law Review, 2011(86):1814.

{14}范为.大数据时代个人信息定义的再审视[J].通信保密,2016(10):70-80.

{15} ESAYAS S Y. The role of anonymisation and pseudonymisation under the EU data privacy rules: Beyond the‘all or nothing’ approach[J]. European Journal of Law and Technology, 2015(6):1-5.

{16} ARICLE 29 DATA PROTECTION WORKIING PARTY. Opinion 05/2014 on Anonymisation Techniques[EB/OL].(2014-04-10)[2017-09-16].http://ec.europa.eu/justice/data - protection/article -29/documentation/opinion - recommendation/files/2014/wp216_en.pdf.

{17} ARICLE 29 DATA PROTECTION WORKIING PARTY. Statement on the role of a risk - based approach in data protection legalframeworks[EB/OL].(2014-05-30)[2017-09-12].http://ec.europa.eu/justice/data - protection/article -29/documentation/opinion -recommendation/files/2014/wp218_en.pdf.

{18} STALLABOURDILLON S, KNIGHT A. Anonymous Data v.personal data - false debate: An EU perspective on anonymization, pseudonymization and personal Data[J]. Wisconsin International Law Journal, 2016(34):321.

{19}张哲.探微与启示:欧盟个人数据保护法上的数据可携权研究[J].广西政法管理干部学院学报,2016(6):43-48.

{20}张才琴,齐爱民,李仪.大数据时代个人信息开发利用法律制度研究[M].北京:法律出版社,2015:42.

{21}王林.菜鸟顺丰掐架敲响警钟个人信息怎么保护?[N].中国青年报,2017-06-06(09).

{22} UK ICO. Anonymisation: managing data protection risk code of practice[EB/OL].(2014-04-10)[2017-09-16].https://ico.org.uk/media/1061/anonymisation - code.pdf.

©北大法宝:(www.pkulaw.cn)专业提供法律信息、法学知识和法律软件领域各类解决方案。北大法宝为您提供丰富的参考资料,正式引用法规条文时请与标准文本核对
欢迎查看所有产品和服务。法宝快讯:如何快速找到您需要的检索结果?    法宝V5有何新特色?
扫码阅读
本篇【法宝引证码CLI.A.1254211      关注法宝动态:  

法宝联想
【相似文献】
【作者其他文献】

热门视频更多