查找:                      转第 显示法宝之窗 隐藏相关资料 下载下载 收藏收藏 打印打印 转发转发 小字 小字 大字 大字
【期刊名称】 《重庆大学学报(社会科学版)》
个人信息概念的法教义学分析
【副标题】 以《网络安全法》第76条第5款为中心
【英文标题】 The concept of personal information in legal dogmatics angle: Focusing on Article 76(5) of the Cybersecurity Law
【作者】 韩旭至【作者单位】 武汉大学法学院
【分类】 公民权利【中文关键词】 个人信息;隐私;识别;《网络安全法》
【英文关键词】 personal information; privacy; identification; the Cybersecurity Law
【文章编码】 1008-5831(2018)02-0154-12
【文献标识码】 A doi:10.11835/j.issn.1008-5831.2018.02.013
【期刊年份】 2018年【期号】 2
【页码】 154
【摘要】

从个人信息的称谓看,个人信息与个人数据(资料)概念可以等同,而个人信息与个人隐私之间存在较大区别。《网络安全法》第76条第5款采用个人信息的称谓,并以“识别型”及“概括列举型”的立法模式定义个人信息。对这一定义亦应作广义解释。具体而言,个人信息具有“识别”与“记录”两个要素。其中,“识别”属于实质要素,需结合识别的判断基准、信息相关性、识别可能性三个方面予以判断。而“记录”属于形式要素,没有记录在载体之中的信息不是个人信息。

【英文摘要】

The concepts of personal information and personal data have no significant difference, while there is a huge distinction between the concepts of personal information and personal privacy. Article 76(5) of the Cybersecurity Law takes the name of personal information and defines personal information in the form of “identification type” and “generalization & enumeration type”. This definition should be broadly interpreted. Specifically, personal information has two elements, which are “identification” and “record”.“Identification” is a substantive element, to be combined with the criteria for judgments, the relevance of information, the possibilities of identification.“Record” is a formal element, and unrecorded information is not personal information.

【全文】法宝引证码CLI.A.1254207    
  
  党的十九大报告提出了“网络强国”的建设目标。众所周知,网络社会的治理离不开个人信息保护,而在个人信息保护中最根本的问题便是个人信息概念的判定。从《网络安全法》76条第5款的规定看,个人信息的概念还须作进一步解释。具体而言,究竟什么属于中国法律中的个人信息,应采取何种解释方式,由何种要素构成,其与个人数据、个人资料、个人隐私之间又有何关系,这些问题均亟需解答。本文将以法教义学的分析方法为主,辅之以比较研究的方法,力图从个人信息称谓选择、概念界定、构成要素三个方面回答上述问题。
  一、称谓选择及相关概念
  个人信息是一个较为晚近产生的法律概念。长期以来,法律体系中存在个人隐私、个人数据、个人资料、个人信息这几个相关的概念。1969年联合国国际人权会议首次提出“数据保护”(data protection)的概念{1}。在早期的立法中,“个人数据”(或译“个人资料”)用法普遍。从1970年德国《黑森州个人数据保护法》、1973年瑞典《个人数据法》到1995年欧盟《数据保护指令》,“个人数据”的称谓在欧洲得到广泛认可。在亚洲,许多国家采取“个人信息”(personal information)的称谓,如1994年韩国《公共机关个人信息保护法》、2003年日本《个人信息保护法》。在普通法系地区中,则将个人信息的内涵纳入“个人隐私”(privacy)之中,如1974年美国《隐私权法》、1996年中国香港《个人资料(隐私)条例》。
  “个人信息”是中国在法律层面明确采纳的称谓。《网络安全法》第76条第5款以法律形式界定了个人信息的概念。除此之外,采用“个人信息”称谓的法律有《刑法》《刑事诉讼法》《反恐怖主义法》《社会保险法》《消费者权益保护法》《旅游法》《统计法》《护照法》《身份证法》《出入境管理法》。另外,虽然中国法律层面上并没有出现“个人数据(资料)”的概念,但此概念却散见于众多纲领性文件、行政法规、部门规章之中。如《国家“十三五”规划纲要》《互联网行业“十二五”规划》,以及《国家信息化发展战略纲要》等文件均采取了“个人数据”的称谓;《人体器官移植条例》《全国经济普查条例》《涉及人的生物医学研究伦理审查办法》《就业服务与就业管理规定》等则采取了“个人资料”的称谓。
  (一)“个人信息”与“个人数据”
  采取“个人数据”称谓的学者认为,个人信息与个人数据是内容与物化表现形式的关系{2}。如同知识产权保护表达形式而非思想,受法律保护的是作为表现形式的个人数据而非作为表达内容的个人信息。同时,个人信息所体现的内容常受主观因素的影响,而个人数据是客观的,具有较强的确定性{3}。另外,也有学者采用香农(Claude Elwood Shannon)的信息论理论认为,信息的本质是不确定性的消除与知识的增加,因此不是数据保护的对象。值得注意的是,1998年英国《数据保护法》第1条第1款明确区分了“数据”(data)与“信息”(information),根据该规定,数据范围窄于信息,其仅指自动处理、存档系统组成部分的信息{4}343-345。
  采取“个人信息”称谓的学者认为,正因为个人信息范围比个人数据广,既不限于自动化处理的信息{5},也不限于物化的形式,因此更符合现代信息保护的需求。以齐爱民教授为代表的许多早年采取“个人数据(资料)”称谓的学者{6},后来也转而采用“个人信息”的称谓,认为“个人信息更具人文关怀”,更能体现保护个人信息本身的立法目的。法律所要保护的是蕴含于数据中的个人信息{7}。另外,也有学者通过信息论的观点论证个人信息称谓的合理性{8}。从中国当前立法与理论研究看,个人信息的称谓获得了较高程度的认可。
  不少学者指出,两个概念的出现是法律传统和使用习惯的地域差别所致{9},并无本质区别{10},只存在表述方式的差异{11}6,可以相互替换使用{12}。实践中,“个人信息”与“个人数据”也常被混用{13}。联合国《关于自动数据档案中个人数据指南》、英国《数据保护法》《美国-欧盟的隐私安全港原则与常涉问题(FAQ)》均在文本中将“信息”(information)与“数据”(data)等同使用。
  诚如考夫曼所言,法律语言是“法律人彼此约定一种特定的语言使用方式”{14}。虽然,从词源上看,“信息”确实更多强调实质的内容,而“数据”则更能体现中立的形式载体,二者是实质与表现的关系{15}。然而,在语言学上的区分并没有得到中国立法的充分认可。从中国现行法律体系看,个人信息的法律语言显然已被确立。在行政法规以及其他规范性文件中的个人数据(资料)事实上也等同于个人信息。《网络安全法》中个人信息的称谓并无与其他规范性文件中个人数据(资料)区分的必要,事实上也无区分的可能。目前,真正应予以注意的是在法律体系中个人信息的内涵与外延问题{16}。
  (二)“个人信息”与“个人隐私”
  受英美相关立法及理论的影响,“个人信息”与“个人隐私”在称谓、界定、关系上常常纠缠不清。关于二者的关系,主要有“个人隐私包含说”“交叉说”“个人信息包含说”三种学说。
  “个人隐私包含说”认为,隐私内涵的扩展使其包含个人信息{17}。日本的芦部信喜教授指出,隐私权已发展为“控制有关自己的信息之权利”{17}。美国学者艾伦(Anita L. Allen)与托克音顿(Richard C. Turkington)认为,“隐私就是我们对自己所有的信息的控制”{18}13。不少国内学者也认为,隐私包括个人信息、个人私事、个人领域三项基本内容{19}。其中,“个人信息隐私”还可细分为个人属性的隐私、个人信息的隐私、通讯内容的隐私、匿名的隐私{20}。就比较法而言,该说不仅主要为英美法系国家采取,也为德国法所采纳。德国继受美国的隐私权理论后建立了“领域理论”,通过“同心圆”的形式划分出秘密领域、私人领域、公共领域三个不同程度的保护范畴{11}26。德国宪法法院在1983年著名的“人口普查案”中即将“信息自决权”作为隐私权的内容[1]。
  “交叉说”认为,一方面未公开的个人信息属于隐私,另一方面具有身份识别特征的隐私属于个人信息{21}。“隐私包括私生活安宁和私生活秘密两个方面”{22}。其中,私生活安宁不涉及个人信息内容,公开的个人信息不涉及私生活秘密不是隐私{23}128。可见,个人信息与隐私属于交叉关系{24}。除此之外,学者们还指出了个人信息与隐私相比的众多特殊之处,如个人信息强调信息载体、个人信息与国家安全关系更密切、个人信息具有财产价值等{21}。
  “个人信息包含说”认为,“‘个人隐私’是‘个人信息’的下位概念”{25}。个人信息在范围上广于个人隐私{1},其包括但不限于个人隐私{26}。较而言之,持该观点的学者缺乏深入的学理论证。
  笔者认为,个人信息与个人隐私存在本质上的区别,是两个完全不同的法律概念。
  (1)“个人信息包含说”无法解释个人信息何以包含属于生活安宁范畴的个人隐私。自沃伦(Samuel D. Warren)和布兰代斯(Louis D. Brandeis)的经典论述以来,隐私权从未失去“独处权”(the right to let alone)的制度内涵{27}。生活安宁为隐私不可或缺的一部分。
  (2)“隐私权包含说”采取英美法上的隐私权概念,然而英美法上的隐私权相当于一般人格权。从《欧洲基本权利宪章》所规定的权利类型看,个人信息权被规定在隐私权之外,是一项独立的基本权利。即便是主张该说的学者也不得不赞同,个人信息保护具有独立价值{28}。
  (3)“交叉说”注意到个人信息与隐私的区别。然而,必须进一步指出,二者的区别不仅是表面的、客体范围上的区别,而且还是根本上的实质区别。隐私保护重在保密,其本质是限制信息流动的。而个人信息关注的是识别,个人信息保护的前提恰恰就是信息自由流动。个人信息处理要求的是符合信息处理原则的合法处理,唯有涉及敏感信息时才强调知情同意。具体而言,个人信息保护关注的是信息处理中对信息主体可能带来的威胁{10}。也正因如此,个人信息权具有隐私权所没有的进入权、修改权、删除权等积极权能{29}。
  (4)从中国法律体系看,虽然中国司法实践常通过隐私权保护个人信息,但在中国法律文本中个人隐私与个人信息存在相对区分。法律文本中常将二者并列,强调对个人隐私的保密以及对个人信息的保护。2012年《全国人民代表大会常务委员会关于加强网络信息保护的决定》第1条即指出“国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息”。《网络安全法》第45条亦将个人信息与隐私并列。在《民法总则》中,个人信息保护与隐私权保护更是被分别规定在第111条与110条之中。另外,立法语言常常将“国家秘密、商业秘密、个人隐私”一同表述,也体现了个人隐私的秘密性要件。《反恐怖主义法》便分别在48条规定了个人隐私保密,第76条规定了保护个人信息。可见,以《网络安全法夫妻本是同林鸟》为代表的中国法律在个人隐私之外选择采纳个人信息的称谓,具有法律与理论基础。
  二、概念界定及解释适用
  具体到个人信息的概念界定与解释问题上,《网络安全法》76条第5款采取了“识别型”的通说以及“概括列举型”的立法模式。在具体适用中,该条款对个人信息的定义应作广义解释。
  (一)个人信息的界定模式
  从定义的内涵看,主要有“隐私型”“关联型”“识别型”三种个人信息定义模式。
  “隐私型”定义即以隐私定义个人信息。帕郎教授(Parent)指出,个人信息指不愿为他人知道的内容{30}。此定义实际上便是前文所述的“个人隐私包含说”所采取的定义。其实质混淆了个人信息与个人隐私,对非属个人隐私的公开个人信息无法有效保护{31}。
  “关联型”定义认为,凡是与个人相关的一切事项均为个人信息{32-33}。表面上看,部分国家立法采取了这一定义模式。如瑞典《个人数据法》第3条规定,个人数据指“各种可直接或间接地和某一活着的自然人相关联的信息”{4}481。《保加利亚个人数据保护法》第2条第1款规定,“个人数据指的是涉及自然人的身体状况、心理状况、精神状况、家庭状况、经济状况、文化教育状况与社会背景的信息”{34}117。该定义模式因过于宽泛而受到批评。
  目前,学界通说采取的是“识别型”定义,该定义模式也是世界主流的立法模式。该定义强调的是信息与信息主体之间被直接或间接“认出来”的可能性{23}136。信息不仅需要与具体个人关联,最为关键的是需凭信息识别到具体个人{11}7。王利明{35}、张新宝、周汉华{36}、刘德良、蒋坡{37}3、齐爱民{38}等学者均采取了“识别型”的个人信息定义。其中,张新宝教授指出,“个人信息是指与一个身份已经被识别或者身份可以被识别的自然人相关的任何信息”{22}。
  欧盟及其绝大多数成员国以及加拿大、日本、中国港澳台地区均明确采取了“识别型”的个人信息定义。欧盟《统一数据保护条例》第4条即指出,“个人数据:是指与已识别或者可识别的自然人(数据主体)相关的任何数据”{39}。即便是英美法系大本营的英国,也早已放弃了“隐私型”的定义模式,在司法实践中采取了“识别型”定义。2003年“Durant诉金融监管局案”中英国法院曾认为,无关于个人隐私以及对个人无不利影响的信息不属于个人信息[2]。这一判决作出后即受到广泛批评。2008年英国上议院即通过“SCA诉苏格兰信息专员案”澄清,不能以“Durant诉金融监管局案”的判决限制个人信息的定义,其只能在信息不能明显识别特定个人的案件中作为参考[3]。
  另外,从界定的具体形式上看,存在“概括型”与“概况列举混合型”两种模式{40}83-84。采取“概括型”模式的代表有德国、荷兰、经合组织等。采取“概括列举混合型”的代表有美国、日本、中国台湾地区等。其中,姓名、出生日期、身份证号是最常被列举的信息。部分立法例还对教育背景、金融交易、医疗病史、犯罪前科、工作履历等进行了列举{4}308。从《网络安全法》76条第5款的界定来看,无疑属于“识别型”及“概况列举混合型”定义。
  (二)概念的广义解释
  诚如阿尔希波夫(Vladislav Arkhipov)所指,“平衡法律概念的形式确定性与技术发展的问题是个人信息界定中的核心问题”{41}。对个人信息定义的阐释离不开当下大数据时代背景。在大数据时代中,信息处理具有“4V”的特点,即海量性(Volume)、时效性(Velocity)、多变性(Variety)、可疑性(Veracity){42}。现代技术的进步,使得信息越来越容易识别个人。即便是碎片化的信息,通过信息比对与处理,与其他信息结合后将产生“聚合效应”。积累到一定程度后甚至构成了一个人的“数字人格”{18}207。
  早在1983年德国宪法法院即在“人口普查案”的经典判决中指出,“在现代化信息处理的环境下,已经不存在‘不重要’的信息”[4]。面对现代信息风险,许多学者

  ······

法宝用户,请登录后查看全部内容。
还不是用户?点击单篇购买;单位用户可在线填写“申请试用表”申请试用或直接致电400-810-8266成为法宝付费用户。
【注释】                                                                                                     
【参考文献】

{1}侯富强.我国个人信息保护立法模式研究[J].深圳大学学报(人文社会科学版),2015(3):144-148.

{2}齐爱民.个人资料保护法原理及其跨国流通法律问题研究[M].武汉:武汉大学出版社,2004:4.

{3}李建新.两岸四地(海峡两岸暨香港、澳门)的个人信息保护与行政信息公开[J].法学,2013(7):95-104.

{4}陈飞.个人数据保护:欧盟指令及成员国法律、经合组织指导方针[M].北京:法律出版社,2006.

{5}刘德良.论个人信息的财产权保护[M].北京:人民法院出版社,2008:20.

{6}齐爱民.论个人资料[J].法学,2003(8):80-85.

{7}张振亮.个人信息权及其民法保护[J].南京邮电大学学报(社会科学版),2007(1):41-46.

{8}谢远扬.信息论视角下个人信息的价值——兼对隐私权保护模式的检讨[J].清华法学,2015(3):94-110.

{9}妖岳绒.宪法视野中的个人信息保护[D].上海:华东政法大学,2011.

{10}杨咏婕.个人信息的私法保护研究[D].长春:吉林大学,2013.

{11}谢远扬.个人信息的私法保护[M].北京:中国法制出版社,2016.

{12}马改然.个人信息犯罪研究[M].北京:法律出版社,2015:10.

{13}郎庆斌,孙毅,杨莉.个人信息保护概论[M].北京:人民出版社,2008:12.

{14}林立.法学方法论与德沃金[M].北京:中国政法大学出版社,2002:151.

{15}杨惟钦.价值维度中的个人信息权属模式考察——以利益属性分析切入[J].法学评论,2016(4):66-75.

{16}郭明龙.个人信息权利的侵权法保护[M].北京:中国法制出版社,2012:19.

{17}谢青.日本的个人信息保护法制及启示[J].政治与法律,2006(6):152-157.

{18}阿丽塔. L.艾伦,理查德. C.托克音顿.美国隐私法:学说、判例与立法[M].冯建妹,石宏,郝倩,等,译.北京:中国民主法制出版社,2004.

{19}汤啸天.网络空间的个人数据与隐私权保护[J].政法论坛(中国政法大学学报),2000(1):8-12.

{20}张娟.个人信息的公法保护研究——宪法行政法视角[D].北京:中国政法大学,2011.

{21}王利明.论个人信息权的法律保护——以个人信息权与隐私权的界分为中心[J].现代法学,2013(7):62-72.

{22}张新宝.从隐私到个人信息:利益再衡量的理论与制度安排[J].中国法学,2015(3):38-59.老婆觉得我剪头发浪费钱

{23}齐爱民.大数据时代个人信息保护法国际比较研究[M].北京:法律出版社,2015.

{24} RAPHAЁL GELLERT, GUTWIRTH S. The legal construction of privacy and data protection[J]. Computer Law & Security Review the International Journal of Technology Law & Practice, 2013,29:522-530.

{25}文立彬.个人信息犯罪的刑法规制——以内地和澳门为比较[J].北京邮电大学学报(社会科学版),2015(3):50-58.

{26}石佳友.网络环境下的个人信息保护立法[J].苏州大学学报(哲学社会科学版),2012(6):85-96.

{27} SAMUEL D. WARREN, LOUIS D. BRANDEIS. The right to privacy[J]. Harvard Law Review, 1980,4:193.

{28}井慧宝,常秀娇.个人信息概念的厘定[J].法律适用,2011(3):90-93.

{29}王利明.隐私权概念的再界定[J].法学家,2012(1):108-120.

{30}谢永志.个人数据保护法立法研究[M].北京:人民法院出版社,2013:5.

{31}聂生奎.个人信息保护法律问题研究[D].北京:中国政法大学,2009.

{32}吴苌弘.个人信息的刑法保护[M].上海:上海社会科学院出版社,2014:13-14.

{33}范江真微.政府信息公开与个人隐私之保护[J].法令月刊,2008(5):12-45.

{34}周汉华.域外个人数据保护法汇编[M].北京:法律出版社,2016.

{35}王利明.人格权法的发展与完善——以人格尊严的保护为视角[J].法律科学(西北政法大学学报),2012(4):167-175.

{36}周汉华.个人信息保护法(专家意见稿)及立法研究报告[M].北京:法律出版社,2006.

{37}蒋坡.个人数据信息的法律保护[M].北京:中国政法大学出版社,2008:3.

{38}齐爱民.中华人民共和国个人信息保护法示范法草案学者建议稿[J].河北法学,2005(6):2-5.

{39}高富平.个人数据保护和利用国际规则:源流与趋势[M].北京:法律出版社,2016:219.

{40}齐爱民.拯救信息社会中的人格—个人信息保护法总论[M].北京:北京大学出版社,2009.

{41} VLADISLAV ARKHIPOV, VICTOR NAUMOV, The legal definition of personal data in the regulatory environment of the Russian Federation: Between formal certainty and technological development[J]. Computer Law & Security Review, 2016,32:871-887.

{42}孙政伟.大数据时代个人信息的法律保护模式选择[J].图书馆学研究,2016(9):72-76.

{43}杨芳.个人信息自决权理论及其检讨[J].比较法研究,2015(6):22-33.

{44}刘德良.网络时代的民商法理论与实践[M].北京:人民法院出版社,2008:208.

{45}郭瑜.个人数据保护法研究[M].北京:北京大学出版社,2012:123-125.

{46}张陈弘.个人资料之认定—个人资料保护法适用之启动阀[J].法令月刊,2016(5):67-101,

{47}齐爱民.个人信息保护法研究[J].河北法学,2008(4):15-33.

{48}范姜真媺.个人资料保护法关于“个人资料”保护范围之检讨[C]//陈海帆、赵国强.个人资料的法律保护——放眼中国内地、香港、澳门及台湾.北京:社会科学文献出版社,2014:52-55.

{49}张涛.个人信息的法学证成:两种价值维度的统一[J].求索,2011(12):161-163.

{50}汤擎.试论个人数据与相关的法律关系[J].华东政法学院学报,2000(5):40-44.

{51}范姜真媺.他律与自律共构之个人资料保护法制—以日本有关民间法制为主[J].东吴法律学报,2009(1):163-200.

{52}洪海林.个人信息的民法保护研究[M].北京:法律出版社,2010:136.

{53}郑成思.个人信息保护立法——市场信息安全与信用制度的前提[J].河南省政法管理干部学院学报,2003(5):1-8.

{54}张才琴,齐爱民,李仪.大数据时代个人信息开发利用法律制度研究[M].北京:法律出版社,2015:18.

{55}李承亮.个人信息保护的界限——以在线评价平台为例[J].武汉大学学报(哲学社会科学版),2016(4):109-120.

{56} XAVIER TRACOL. Back to basics: The european court of justice further defined the concept of personal data and the scope of the right of data subjects to access it[J]. Computer Law & Security Review, 2015,31:116.

{57} SLOOT B V D. Do privacy and data protection rules apply to legal persons and should they? A proposal for a two - tiered system[J]. Computer Law & Security Review, 2015,31:28.

{58} FRANCIS ALDHOUSE. Data protection in Europe: Some thoughts on reading the academic manifesto[J]. Computer Law & Security Review, 2013,29:289.

{59} PAUL OHM. Broken promises of privacy: Responding to the surprising failure of anonymization[J]. UCLA Law Review, 2010,57:1701.

{60} FRANCIS ALDHOUSE. Anonymisation of personal data: A missed opportunity for the European Commission[J]. Computer Law & Security Review, 2014,30:403.

{61}克里斯托弗.库勒.欧洲数据保护法——公司遵守与管制[M].第2版.旷野,杨会永,译.北京:法律出版社,2008:69-70.

{62}陈海帆,赵国强.个人资料的法律保护——放眼中国内地、香港、澳门及台湾[M].北京:社会科学文献出版社,2014:326.

©北大法宝:(www.pkulaw.cn)专业提供法律信息、法学知识和法律软件领域各类解决方案。北大法宝为您提供丰富的参考资料,正式引用法规条文时请与标准文本核对
欢迎查看所有产品和服务。法宝快讯:如何快速找到您需要的检索结果?    法宝V5有何新特色?
扫码阅读
本篇【法宝引证码CLI.A.1254207      关注法宝动态:  

法宝联想
【相似文献】
【作者其他文献】

热门视频更多