作者:高秦伟,中山大学法学院教授、博士生导师
内容摘要:“个人信息”概念的界定是个人信息保护立法的核心和前提。识别说以信息与主体之间是否存在某种客观、可识别的可能性来界定个人信息。随着科技发展与信息种类的多样化,这种静态的定义在实践中受到严峻挑战。如何协调法律的确定性与科技发展带来的不确定性、如何平衡个人信息保护与信息之间的流动、如何在概念适用中根据信息存在的语境调整个人信息保护的强度,成为个人信息立法与实践的理论起点。通过对传统学说的反思,未来中国个人信息保护立法应以识别说和关联说为基础,重塑更具有包容性的个人信息概念及相应的个人信息保护机制,实现有效保护个人信息的立法目的。
关键词:个人信息 可识别信息 敏感信息 识别说 关联说 保护强度
一、问题意识
在个人信息的收集、处理、利用中如何有效地保护个人信息无疑是当前以及未来一段时间的热点问题,中国虽无一部个人信息保护法,但是相关的法律规范仍然存在。不过,从全球个人信息保护立法的发展趋势来看,中国现行立法无论是在立法模式、权利建构、实施执行等层面,均有较大的改进空间,需要进一步强化立法并加强实施。在这些问题之中,有关“个人信息”概念的讨论构成了立法与实践的理论起点,系最为根本的议题。究其原因在于:首先,个人信息保护法的实施,以判断某类信息是否为个人信息为前提。只有当信息被视为个人信息时,才会受到个人信息保护法的规范与保障,信息主体方可享有法律规定的权利,信息管理者或侵权者才会承担法律规定的义务。因此,对个人信息概念界定不同,将直接影响个人信息保护的范围。例如,由于立法不够清晰,有些国家的法院在解释个人信息概念时,采取了较为宽泛的方法,将移动电话号码后四位视为个人信息,因为其较容易与其他信息(生日、电话记录)比对而识别出个人身份。然而,这种做法引发了学界对个人信息概念使用上的争议。
其次,个人信息概念的界定直接反映出个人信息保护立法的价值取向,如何在个人信息保护与信息利用或数据流动之间达致适当的平衡,是各国个人信息保护立法所需解决的主要矛盾。网络和信息技术发展依赖于大量的信息,高科技促进了市场发展和创新,甚至是民主治理的长足发展。如果无限扩张个人信息的范围,会对信息自由流动、大数据发展等造成阻碍。例如,在实践中,有关IP地址是否被视为个人信息,各国和地区立法便有所不同,西班牙和瑞典将其视为个人信息,德国、法国、英国、中国香港特区则并不视为个人信息,而美国联邦及其各州的作法亦是迥然各异。这体现出各国家或地区对产业发展秉持的不同理念。
再次,由于网络和信息技术的持续发展,个人信息概念是否有必要存在也受到质疑。一些原本被认为无法识别的信息在一定条件下可以转变为个人信息,间接识别的信息可以转换为直接识别的信息,技术发展对传统概念和学说提出严峻挑战。[[5]]换言之,现有立法的概念经常会在实践中面临着适用时无法确定个人信息保护范围的难题,一些观点认为只要相关保障机制、利用规则建构充分,就可以有效实现个人信息保护的目的。然而,法学理论告诉我们:“特定法律概念是引发特定法律后果的前提,而不是相反”,“法律概念的语义构成目的论证的界限,有时也会对目的论证施加论证负担。认为法律概念在法律推理中是可被对消的中项,完全由包含它们的法律规范来决定和穷尽的观点,是站不住脚的。”如何化解这种认知上的冲突,如何科学界定个人信息的概念,如何有效保护个人信息,这似乎面临着技术与法律、道德和进步之间的抵牾与抉择。因此,有必要以更为清晰的理论回应目前实践中的难题。
二、个人信息概念的理论发展
对于个人信息概念的理论认知,要结合个人信息保护法形成的历史背景来探讨。个人信息保护立法肇端于1970年代计算机技术应用之时。彼时,计算机处理信息的方式给传统依靠纸质媒介人工处理信息的方式带来极大冲击,各种机构均可以批量处理信息,并任意改变信息组成和利用方式,对个人信息及其权属于产生了较大的影响。在此背景下,个人信息保护立法旨在通过界定个人信息概念,区分个人信息与非个人信息,进而明确法律保护的边界。可识别性成为操作传统二分法的核心,由此产生的识别说是界定个人信息概念最早期的理论学说。
(一)识别说
按照识别说,涉人信息可以分为个人信息和非个人信息,欧美理论一般将前者称为个人可识别信息(Personally Identifiable Information,PII)。由此可见,“可识别性”是个人信息最为重要的特征,即个人信息与信息主体存在某一客观确定的可能性。识别说在各国个人信息保护立法中一直占据通说地位,其认为只有当个人信息被收集、处理或者利用时,个人隐私才会受到损害。而判断信息是否属于个人信息,关键就在于该信息是否可以识别出个人的身份。识别说存在的前提条件在于假设立法者有能力从信息的分类中评估内在风险,从而确定需要规制的信息类型。识别说的目的在于平衡个人信息保护和信息流动之间的张力,在于通过法律机制回应技术的发展。基于识别说各国展开了各自不同的立法,典型如欧盟《个人数据保护指令》,但从当时的技术环境来看,其采取了较为开放的定义,强调信息可识别的可能性和合理性因素,避免个人信息保护范围无限扩张。而有些国家和地区的立法则略显不足,如美国马萨诸塞州个人信息保护法采取了较为狭窄的列举式立法(包括姓名、社会保障号码、驾驶证号码、金融账号、信用卡或借记卡号码),在识别之时就产生了保护不足的问题。因为尚有一些信息结合姓名、社会保障号码就可以识别出个人身份。同时,该法将个人可识别信息视为静态的,导致个人信息的保护缺乏灵活性。
识别性依据识别程度分为直接识别和间接识别:直接识别是指通过单个信息能够直接确认某人身份,如姓名、身份证号码、住址信息;间接识别是指单个信息固然不能直接分辨出个人,如性别、出生日期、电子邮箱等信息,但是同其它信息相结合或者通过信息比对分析,可能可以确定某人身份。OECD、亚太经济合作组织、[[10]]欧盟及其部分成员国、亚洲一些国家的立法中均规定了这两种信息类型。欧盟1995年《个人数据保护指令》对间接识别进行了定义,指出一个“可识别”的个人信息需要考虑诸多的因素,诸如与其身体、生理、精神、经济、文化或者社会身份有关的特定因素。由于操作缺少具体的指南,相关的争议不断产生。如前述IP地址是否为个人信息,赞成者认为其可以单独或者结全其他信息而识别出个人,反对者认为应该依赖语境来加以讨论。对此,欧盟个人数据保护工作小组认为间接识别须考量信息管理者或任何其他人为识别特定个人所合理、可能使用的方式,并斟酌多种因素综合判断;查询所需要花费的成本、该信息的使用目的、该信息的处理方式、信息管理者的预期利益、所涉及的个人利益、相关组织或技术上的风险,以及若将长时间储存信息,并应预计保存期间因科技进步或其他原因而导致识别的可能性,一并纳入评估。
自1970年代世界范围内兴起个人信息保护立法,识别说一直作为界定个人信息概念的理论而长期存在,且在实践中发挥了重要的作用。然而,该理论有时囿于立法列举的个人信息类型,而使个人信息保护不足;有时过于强调技术的作用,而忽略法律意义上的“识别”之意蕴,导致个人信息概念呈现出静态化的特征。这两个层面的问题,对于中国均具有借鉴意义。当前中国个人信息保护工作刚刚起步,无论是行政机关还是企业,均可能会出现仅仅考虑对立法中例示或者列举的个人信息加以保护的情况;即使是运用间接识别方法,结合其他因素展开法律解释之时,仍然拘泥于对信息识别与否的争论,以至于忽略了个人信息保护事实上应该以人为中心的初衷。基于此,有必要关注其他的理论学说。
(二)关联说
美国国家标准与技术研究院在“识别说”之外提出了“关联说”。识别说主张从信息到个人的识别,一般是指可以明确直接辨识的信息;而关联说则主张从信息到个人的识别,即已知既定个人而知晓或者收集关于该个人的其他信息。关联说旨在突破传统二分法的局限,强调个人信息界定的动态性。理解这一点,对于信息匿名化处理时若仅移除直接辨识因子而不移除信息之间的“关联”,仍然会因关联而推知该信息与个人的关系便有了深刻的认识和警惕,即依然能回溯到特定个人的信息,不得视为有效的匿名化处理。同时,能够关联到特定个人的信息并不以特殊性为前提,而是通过双向度关联个人和信息,丰富给定个人既有的画像,使信息收集者知晓更多关于某个人的信息。关联说告诉我们,那种为个人信息圈定一个固定范围并以此等同于隐私保护的观念过于抽象化、类型化,要把握信息运作的动态性、场景化、周期性特点,全面把控风险。界定是否构成个人信息并非立法与实施的“目的”,只是界定信息运作的“媒介手段”。在界定个人信息概念时,既保障个人隐私,又促进信息合理使用。
应该讲,关联说并非全面替代识别说,两者关系密切,如有中国学者就将关联说与识别说中的间接识别相等同,同时认为关联识别时需考量个人信息概念高度依赖的语境,个人信息的概念并不是一个“预先”的精准界定,而是一个动态的判断过程。尤其是随着信息识别技术的进步,非个人信息也可能逐渐倾向被确定为个人信息。因此,信息的敏感度、数量、收集者、收集方式、信息接收者的状况、信息的使用目的与后果影响、与外部信息的比对情况、科技发展水平、社会人文认知等均构成了关联时应当考量的因素。抽象界定某些信息是否属于个人信息并无实质意义,台湾地区学者更指出:“所谓个人信息,包括人之内心、身体、身份、地位及其他关于个人之一切事项、判断、评价等之所有信息在内。换言之,有关个人之信息并不仅限于与个人之人格或私生活有关者,个人之社会文化活动、为团体组织中成员之活动,及其他与个人有关联性之信息,全部包括在内。”关联说与间接识别的不同在于,一改后者过于强调技术的做法,关联说不仅强调双向度比对信息,而且还要考虑其他更为广泛的因素,进行多方面的风险评估,并在此基础之上,作出价值判断和抉择。有学者对此的总结是:“大数据时代,个人信息的使用场景纷繁复杂,超出立法所能规范与预见的能力,以用户为中心、结果为导向进行动态界定的思路由此日益为国际上所倡导,其核心在于考察个人信息的处理行为给用户带来的后果及隐私影响。”
(三)废除静态概念说
随着网络和信息技术的发展,传统个人信息保护法的适用环境发生了很大的变化。如今信息搜集很难实现对用户一一告知,信息利用的目的难以在收集时加以确定,信息使用者多元化,规制政策需要在个人权利保护与促进创新之间达致平衡等,使得传统的知情同意、收集限制、目的特定、利用限制、责任原则等难以找到有效的落实方案。更为重要的是,技术发展带来的直接后果正是个人信息概念的模糊化,大量非个人信息在数据充分的前提下也可以转换为个人信息。个人信息的属性动态变化,导致人们逐渐意识到信息具有高度的动态性,无法脱离相应场景和语境作抽象判断。如美国联邦贸易委员会指出,隐私保护的范围已远超出严格定义的“个人信息”,一切有关个人或者由个人产生的信息均可能造成隐私风险,因此均需要得到相应程度的保护。有学者指出传统二分法已无意义,个人信息不断扩张,直到其涵盖所有的信息。以往从来没有将电影分级、搜索查询等作为个人可识别的信息,然而现在的去识别化技术不断提升,任何信息可能都会识别出个人身份,成为个人信息。立法者会不断增加个人信息的列举类型,但是又会出现新的问题。传统个人信息概念容易让规制者忽略信息处理的所有环节,而处于中间环节的信息管理者会利用去识别化技术给个人信息带来更大的风险。基于此,其主张应当从法律制度体系中放弃和废除个人信息这一概念。
当然,废除静态概念说并不止于完全废除个人信息的概念界定,而是提出了个人信息概念界定的新思路。持此论的学者指出立法者不仅仅要从信息本身来考量风险的问题,还要从更为广阔的视角来探究问题,如信息管理者对降低去识别化的风险作了什么的措施;更要从社会、心理、制度等层面去思考问题。与之相同的观点是隐私权的情境脉络完整性理论,该理论由美国学者海伦·尼森鲍姆(Helen Nissenbaum)教授提出。其主张隐私权尤其是受到新兴科技影响的隐私权,不应仅是讨论对于个人信息控制与存取的问题,而且也应考虑到隐私的期待不仅是因个人习惯或习俗,且基于道德与政治原则所产生的整体信任而产生。尼森鲍姆教授将之称为“情境脉络完整性”(contextual integrity),认为必须通过社会规则或规范,当地与整体的价值、目的等等而实现。尼森鲍姆教授提出该理论的基础在于:传统隐私权概念乃受限于“敏感性与非敏感性”、“公与私”、“政府与私人”等传统二分法的界定,[[22]]但现实很难作出非此即彼的区分,因此不如去关注语境——收集者是谁?处理者是谁?利用者是谁?信息主体与收集、处理、利用信息者之间关系如何?有时也要对组织整体、社会加以观察考量。废除个人信息概念的问题在于,其可能导致个人信息保护法的范围难以确定。学者建议要对每个信息的收集、披露进行成本收益分析,不过许多的成本收益很难提前获知。对此,有学者认为必须限制此类难以展开成本收益分析的信息的收集或披露。然而此举亦会限制信息流动和增值。同时,废除个人信息概念,也可能导致公私机构放弃对信息采取去识别化的操作,致使信息面临到更大的风险。
(四)新识别说
新识别说是在坚持传统识别说的基础上,将有关个人的信息理解为“光谱”,一端是不可识别的信息,依次为间接识别的个人信息,再次为直接识别的个人信息。[[25]]技术的发展,使得个人信息与非个人信息的区分极为困难,许多企业对非个人信息展开收集,实际也造成了个人隐私和信息的损害或者影响,因此,必须依赖语境、情景作出判断。实践中这三个子信息也不存在绝对的界线。
直接识别的个人信息单独可以确定某个个人,也就是说可以确定他或她的身份。关于这一点,目前各国并无差别。关于间接识别,美国联邦贸易委员会《在急遽变化的时代保护消费者隐私》报告中使用了“合理关联”一词,用以界定个人信息的概念。报告中指出企业有时会对非个人可识别信息进行再识别技术,但如果采取以下三个步骤所处理的信息将不被视为个人信息。首先企业要采取合理的措施防止这些信息被去识别化;其次,企业必须公开对这些去识别化的信息的储存和使用情况,并不得重新识别这些信息。如果打算重新识别的话,必须依据《联邦贸易委员会法》第五节的规定(主要针对不不公平的竞争方法的规制)。再次,如果企业要将信息提供给其他企业使用,必须以合同方式禁止这些企业重新识别这些信息。从这一方式来看,该委员会是将信息使者的意图、阻止重新识别的义务作为规制对象,而不是以信息是否可否被识别为标准。这种作法的益处在于,一方面保护了个人信息,另一方面促进了信息流动。在风险光谱的另一端,不可识别信息一般不与个人相联结,无法确定个人的身份。例如有关各国的人口数量统计信息。但是由于去识别化技术的发展,使得信息所有者不得不随时评估信息安全及其风险。
在这个理论之中,许多学者建议应该考虑到信息潜在的识别风险,进而打破二分法的不足。二分法运用简单的、非此即彼的思路来保护个人信息,但是学者的建议则是一种动态的保护方式,于整个信息运作过程中贯彻个人信息保护的相关原则和机制。对于诸如美国的《公正信息实践原则》,适用于直接识别的信息;而对于间接识别的信息则不适宜于同等对待。告知、访问获取、更正的权利、信息使用限制、数据最小化、信息公开的限制等不得施加于这类信息。这些限制可能会不当地影响信息的使用和增值,而事实上这些信息未必会对个人隐私产生明显的损害。但是,安全原则(保护未经授权的信息被获取、使用、删除、修改、公开)、透明度要求(公开信息使用情况)、信息品质原则(要求个人信息必须与使用目的相关联)则是间接识别的信息必须遵守的原则。总之,间接识别的信息也可以识别出个人身份,只不过风险不够突出而已。信息管理者并不能够简单地利用或者无监督地让其他方获取,而应采取“追踪和审计”等方式来应对一些间接识别信息所产生的问题。
(五)小结
从以上理论梳理来观察,技术的高速发展导致个人信息概念作为法律适用的“门槛”性作用将逐渐弱化,国际立法及实践中越来越倾向基于场景中的动态风险而非静态的信息类型来界定相关的权利义务。许多立法认为应更多地转向控制信息使用环节中的动态“风险”来豁免义务,而非在是否构成个人信息的界定方面耗费过多精力。因此,传统的识别说受到了一定程度地批评:首先,该理论将信息不合理地分为个人信息和非个人信息,但是由于技术发展以及其处于不同主体控制之下,两种类型的信息转换极为快速,如果处理不当,将产生规制过度或者不足的问题,给个人以及企业均产生不利的影响。其次,该理论将个人信息又分别直接识别信息和间接识别信息,且在实践将两种信息予以同等对待。但是由于识别的程度、隐私受到损害的风险不尽相同,处理不当之时,亦可能对个人和企业带来不利的影响。再次,该理论仅仅基于去识别化技术来区分个人信息和非个人信息,然而再识别化技术的高速发展,致使个人信息概念的界定面临困境。最后,该理论并没有对行为主体加以界定,可能导致在界定个人信息的概念时会将识别的主体视为信息的管理者或者公众等等。但是问题在于对于有些行为主体而言可能是个人信息,对于有些则未必是个人信息;信息性质因不同主体而发生变化。不过,批评虽然很多,作为改进的新学说依然基于识别说而展开讨论,即使是废除静态概念说也并非彻底抛弃“个人信息”的概念,而是主张通过语境、风险评估的考量来识别个人。从本质来看三种新的界定个人信息概念的学说有诸多的共通之处,如对语境、风险等的关注和强调,认为个人信息概念的界定应该是基于动态场景而非静态信息的活动,这种思路与网络和信息技术发展相得益彰。但是,由于各种学说侧重点不同,导致理论并未形成一致的意见,这势必影响立法和实践的效果。如关联说意在突出识别的路径在于经由个人到信息,废除说主张语境考量的重要性,而新识别说强调不同信息保护强度的差异。中国立法和实践需要整合这些理念,对个人信息概念的界定加以重塑。
三、中国个人信息概念的立法和实践
目前,国内关于个人信息的界定,最为全面的当属2016年颁布的《网络安全法》第76条规定:“个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。”同时,第42条规定:“经过处理无法识别特定个人且不能复原”的信息不属于个人信息之列。最高人民法院、最高人民检察院2017年颁布的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第1条进一步明确“公民个人信息”包括身份识别信息和活动情况信息,即“是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。”这个定义包括了能够识别出特定自然人身份的信息,也包括了体现特定自然人活动情况的信息。[[30]]此种模式构成了中国立法的第一种模式,即概括加例示式。概括部分的语言中使用了“识别”的术语,正是个人信息概念界定时使用的关键词,与国外“个人可识别信息”的相关提法内涵基本一致。类似的立法和司法解释还有2013年《电信和互联网用户个人信息保护规定》第4条、2014年《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》第12条等规定,不过这些规范在例示列举方面与前述两个规范有一定的差异,且随着时间的推移,新增的例示个人信息类型势必会愈来愈多。
第二种立法模式是概括式,与第一种立法模式的差异在于并未列举或者例示说明具体哪些信息属于个人信息。如2012年《规范互联网信息服务市场秩序若干规定》第11条即规定为:“未经用户同意,互联网信息服务提供者不得收集与用户相关、能够单独或者与其他信息结合识别用户的信息(以下简称‘用户个人信息’),不得将用户个人信息提供给他人,但是法律、行政法规另有规定的除外。”该立法技术与第一种并无多大差别。特别需要指出的是全国人民代表大会常务委员会2012年《关于加强网络信息保护的决定》第1条的规定,所采立法技术属于概括式,但是范围仅限于“公民个人电子信息”。
第三种立法模式是具名式,即在立法中仅仅提及“个人信息”的术语,但并未对什么是个人信息作出任何解释,个人信息保护的范畴也无从得知。一般情况之下,需要由行政机关、司法机关在具体的执行和适用中加以细化。比如2013年修订的《消费者权益保护法》第29条第1款规定,仅仅提及“个人信息”概念,内涵未作具体规定。2015年国家工商行政管理总局颁行《侵害消费者权益行为处罚办法》第11条细化了个人信息的概念和范畴。特别值得关注的是2017年《民法总则》第111条引入个人信息的概念,同样也未定义,这种立法技术似乎表明个人信息的概念和范围尚需要依赖其他的法律规范。类似立法包括2015年修订的《刑法》第253条、2013年《征信业管理条例》第13条等规定。
第四种立法模式是区分式,即在界定个人信息的概念时区分了个人一般信息和个人敏感信息。《信息安全技术公共及商用服务信息系统个人信息保护指南》指出个人信息是“可为信息系统所处理、与特定自然人相关、能够单独或通过与其他信息结合识别该特定自然人的计算机数据。个人信息可以分为个人敏感信息和个人一般信息。”个人敏感信息是指“一旦遭到泄露或修改,会对标识的个人信息主体造成不良影响的个人信息。各行业个人敏感信息的具体内容根据接受服务的个人信息主体意愿和各自业务特点确定。例如个人敏感信息可以包括身份证号码、手机号码、种族、政治观点、宗教信仰、基因、指纹等。”除个人敏感信息以外的个人信息为个人一般信息。基于此区分,该指南指出:“处理个人信息前要征得个人信息主体的同意,包括默许同意或明示同意。收集个人一般信息时,可认为个人信息主体默许同意,如果个人信息主体明确反对,要停止收集或删除个人信息;收集个人敏感信息时,要得到个人信息主体的明示同意。”值得注意的是,在一些地方有关征信、信用立法中,虽然未使用“个人敏感信息”的术语,但是从内容及相关禁止性的规定可以看出意在保护敏感性信息。
以上的立法模式仅仅是为了研究方便而采取的分类。毫无疑问,这些立法模式受到了国内学者对于个人信息保护法研究的影响,更受到域外立法技术的影响。从立法技术来看,域外关于个人信息概念的界定可以分为三种模式:概括型、列举型和混合型。概括型是使用概括的方法描述个人信息的定义方式,与中国第二种立法模式类似,混合型与第一种立法模式类似,目前单独使用列举的方向来描述个人信息的定义方式已极为鲜见。在定义时,以欧盟为代表的个人信息保护立法主要基于已识别(an identified natural person)或可识别(an identifiable natural person)的术语来界定个人信息的概念和范围。“所谓已识别就是判断信息是否直接能够识别用户个人身份;可识别是判断信息是否与其他信息结合识别用户个人身份。”一些国家和地区立法则使用了“直接识别和间接识别”的术语。中国使用了“能够单独或者与其他信息结合识别”的术语,在内涵上与直接识别和间接识别并无二致。相较而言,美国并无统一的个人信息保护立法,而是在诸如金融、公共健康等部门领域展开立法,同时由联邦贸易委员会(英文全称,FTC)所要求的企业自愿性隐私政策也发挥了重要的作用。从美国分散的立法来看,虽然法律明确性与特定性不如欧盟及其成员国,但是可以看出“个人可识别信息”仍然是界定个人信息概念的关键。借鉴和移植是立法的开始,如何有效回应中国实践才是科学立法的关键。结合以上几种立法模式以及中国个人信息保护的实践,未来中国个人信息保护立法需要考量和解决以下几项重点问题:
第一,现行立法技术导致“个人信息”概念过于模糊,导致概念的统一性、适用的一致性层面明显存在不足。
目前中国没有统一的个人信息保护法,各领域的立法中对于个人信息概念的理解不同,导致个人信息保护的范围、落实的程度也不同。《网络安全法》主要针对自然人个人身份来界定个人信息的概念,然而《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》明显突破了这一框架,将行为活动(行踪轨迹)、财产状况等纳入到个人信息范围之内。这种情况在前述第一种模式中有所体现,多种法律规范之间就列举内容存在着一定的差异。之所以会出现如此的情况,与法律位阶不同而导致的规范详细程度差异有关,也与行业特殊需求不同有关。更为重要的是,中国相关立法虽然在技术层面借鉴了国外的“识别”术语,但是既没有充分地回应中国实践的需求,更没有提供法律解释上的方法,导致实践中引发了许多的争议,这为有效保护个人信息带来了不必要的障碍。虽然立法从以往通过保护人格和隐私转向直接针对个人信息提供保护,但是依然没有厘清中国语境下隐私与个人信息概念之间关系。从前述立法对个人信息概念的界定来看,概念的不统一性还体现在:有些概念针对个人身份,而有些概念则会考虑财产、行为等信息。这也使得适用者不仅会产生疑问:个人信息究意是与个人身份相关,还是与个人行为相关,抑或是与行为结果相关?进一步分析,可以发现各种法律规范在界定个人信息概念之时,并没有充分考量是否可以在民法、刑法、行政法规范上达致法律概念的统一性要求,这为适用的衔接也带来问题。这些可能是未来中国进行统一的个人信息保护立法时必须注意的问题。同时,前述有三种模式中提及“识别”一词,但究竟如何合理地识别?相关的理论论据是什么?究竟是能够和头脑中的某个“既定”的人物形象对应,还是知道其属于特定的“某一个人”,即使并不“认识”他是谁、不知晓其“身份”?特别是间接识别时,需要考量什么样的因素?实践中争议不少,如网络识别号和密码、电子邮箱和密码、手机定位信息究竟是否为个人信息,观点差异较大。概念的不一致性,导致在解释和适用之时也出现了较多的不一致性,结果会影响到相关规范的整体实施效果。
第二,现行立法对“个人信息”概念的界定时使用的分类,影响了概念逻辑的自洽性和法的安定性。
从“个人信息”概念出发,一般可以分为个人信息和非个人信息,而个人信息又进而可分为直接识别信息和间接识别信息。应该讲如此分类在逻辑上具有一定的自洽性。然而,第四种模式则又从个人信息中区分出个人敏感信息,原因在于其与个人具有绝对密切关系,必须受到重点保护。从其内容来看,与“个人信息”有重叠之处,容易使人产生疑问。当然,在立法中规定敏感性信息的做法在国外是存在的,但问题在于这种信息与前述的直接识别信息、间接识别信息是何种关系?如何处理其与个人信息的关系呢?进一步,敏感信息的内容如何确定也是问题。从各国的情况来看,各国对于特殊敏感性信息范围的认定大致可分为七大类,分别为种族或血缘、政治意向、宗教或哲学信仰、性生活、工会会员身份、犯罪记录、健康信息。但是关于敏感信息是否存在以及是否需要独立列举的问题,立法界一直就有两种不同的观点:一是直接定义敏感性个人信息,并将其与收集限制原则连结,认为应禁止收集特别敏感的个人信息。二是将信息视为中性,即信息本质上都不具有敏感性,只有在信息处于特定的语境或使用时,方具备隐私或敏感性,方可定义为敏感性个人信息。第一种观点较为直观,无须判断信息使用情形,只要该信息显示或记载的信息,符合所列种类,即加以限制,此见解影响多国的立法,可谓通说。此类立法模式以列举方式规定敏感性个人信息,认为基于某些信息的特性,一旦公开后,可能对个人隐私产生极大伤害,包括引起恣意歧视。一般情况下,信息处理会对人产生伤害,并非基于该信息的内容,而是使用方式。但是某些特殊类型信息,其本质很可能伤害个人的权利与权益。
欧盟、英国、德国、澳大利亚、台湾地区采取第一种方法定义敏感信息。此模式优点在于使信息控制人或信息主体得以迅速自信息内容具体判断,何者须禁止收集、处理或利用,须遵循不同的信息保护原则,有益于个人信息保护的落实。缺点在于信息内容与形式会随着社会、历史与文化有所变动,且无须考量信息主体的意见。结果可能产生过度保护的现象,也有可能保护不足。对此困境,各国或者修改法律,增加敏感性个人信息的种类,并就特殊事项如医疗信息制定特别法;或者授权行政机关制定相关细则。这里要讨论的仍然与个人信息概念界定系同样的问题,例示会因社会发展而受到限制,不断修法又会产生法安定性不足的质疑。第二种观点是对个人敏感性信息立法的否定,一些国家和地区如部分欧盟成员国、澳大利亚、新西兰、香港特区等均未加以规定。中国也有反对的意见,认为加以规定会导致个人信息保护法与中国宪法和根本政治制度的冲突,可通过单行立法的方式加以解决。
第三,支撑现行立法的理论讨论不够充分,导致个人信息概念的界定在保护强度的合比例性、保障的有效性层面有所欠缺。
从现行立法来看,个人直接识别信息和间接识别信息保护强度基本相同,即有些需要重点保护的信息与不需要点保护的信息同样对待,这在一定程度上会导致个人信息保护范围层面呈现出不合比例的情形。这也是中国只有在出现极端个人信息侵害案件后才会受到执法者高度关注的主要原因,因为执法资源有限,所有个人信息全面且同等保护既不现实也不可能。在国外,将利用已识别和可识别的方法确定的个人信息并同等对待的立法实践也受到了学者的批评。对于前者,已识别的个人信息可以确定某个特定的人,面临最高的风险,因此个人信息保护的公正信息原则与实践应该完全适用于这些信息。与之相对的“非可识别”的信息无法确定特定的个人,即使后来技术发展有可能识别也是风险较低的信息,因此个人信息保护法并不适用于此类信息。而对于后者,可识别时需要考虑语境、信息的类型、信息收集的难易程度等因素,远比已识别的方法要复杂,因此不得统一对待。因为保护强度不合比例,各方主体无从把握个人信息保护的范围、强度,立法实效性也是大打折扣。这个问题随着中国网络和信息技术产业的高速发展而日益突出,因此未来立法必须予以回应。
第四,技术发展导致“个人信息”概念的界定和适用无限扩张,致使个人信息保护和信息流动之间不再具有均衡性的特征。
由于信息分析技术的发展,再识别技术不断提升,实践中就可能会存在无限扩大个人信息范畴的可能性,如Cookie、IP地址被纳入个人信息的场景越来越多。当然,相反的情况也可能出现,由于个人信息保护的范围增大,而政府资源有限、企业则因过分限制信息流动减少投入,个人信息与隐私保护亦将成为一纸空文。如有学者认为前述《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》扩大了个人信息的范畴,“尤其是它把反映自然人活动情况的各种信息也纳入个人信息范畴,混淆‘个人信息’和‘个人有关的信息’,不当地扩大了个人的范围。”该学者进一步分析认为身份的可识别性是个人信息概念的核心,而“反映自然人活动情况的各种信息”属于“与人有关的信息”,并不强调可识别性,而是强调“关联性”。重要的是,随着网络和信息技术的发展,如大数据背景下,界定个人信息仅仅具有理论意义,现实意义已所剩无几。所以未来关注点应该是个人信息利用的环节,而不是收集和加工的开始环节。这种观点与前述废除静态概念说有类似的之处,均主张隐私法要放弃对个人可识别信息的依赖,而应该寻找一种全新的、规制信息隐私的方式。但是,问题在于当一部立法没有了规制对象时,之后的规范框架结构又有何意义呢?
四、个人信息概念的重塑及立法建议
诸多涉及个人信息泄露、滥用的事件及其不良影响,使得中国迫切需要制定一部统一的个人信息保护法。当然这部法律的立法目的要在个人权利保障、信息增值和自由流动之间实现利益平衡。立法之时,界定个人信息的概念成为首要任务,其既影响到立法目的的全面实现,又影响到个人信息保护的具体机制的顺利运行。实践中,个人信息概念的清晰界定亦有助于各方主体合理展开信息的收集、处理和利用工作,有利于法律解释方法的合理适用,更有利于建立多元的利益协调和规制机制。基于上述立法、实践以及理论的梳理和分析,未来中国立法时应重塑个人信息的概念。
(一)理论学说的重塑
中国目前有关个人信息概念界定的立法中,如前述第一、二种立法模式,坚持了以识别说为主要的理论基础。考虑到中国行政、司法实践现状,未来应该首先继承这一立法思路。对于直接识别的问题,可以例示方式列举个人信息的范畴,从而体现法律概念的明确性要求。例如姓名、身份证号码、手机号码等,在收集可以直接识别个人的信息时,必须经过信息主体的同意,而在信息处理、利用等环节必须予以移除,其后则再依托信息利用的后续环节,进行基于风险评估的动态控制和保护。其次,对于间接识别的问题,应借鉴关联说的某些内容对传统识别说加以修正和重塑,要考量一个或多个与其身体、生理、精神、经济、文化或社会身份有关的特殊因素,动态评估信息所处的语境,进而界定个人信息的概念。欧盟将这些因素归结为三类,即应该从信息的内容、目的或者结果因素加以考虑。内容因素是指信息是“关于”某个特定人的信息,即使是条形码,但如果是与个人相关就构成个人信息,无论公开、隐秘与否,只要其能够识别出某个特定人的身份内容。目的因素是指信息加以使用能够了解特定个人的行为或者影响个人的地位、行为。例如电话记录,使用后可以确定电话使用者的信息。结果因素信息是指影响到特定个人的权利或利益的信息,如GPS信息,能够了解到司机的驾驶速度和路径。相关的国际组织则将认为有七项因素可能会影响到个人对使用其信息的态度和敏感性,均构成了关联说主要的考量因素。总之,应基于识别说和关联说的结合,借鉴相关立法经验,展开立法工作。
当然,适用关联说之时应注意:第一,虽然关联说主张抽象界定某些信息是否属于个人信息并无实质意义,但这并不意味着关联说放弃了传统个人信息的概念,而是在坚持识别说基础之上,探讨个人信息的可识别性。第二,关联说的主要方法和路径是从个人到信息,即知道某特定个人而收集“关于”该人进一步的信息。这些信息有些涉及到个人身份的信息,有些则涉及个人行为的信息,有些则可能是与行为的结果相关的信息。不同语境有关不同的结果,导致相关的裁量权较大,这是特别需要注意的问题。以欧盟和美国在适用关联说呈现出的差异就足以说明问题,那么中国即使在立法明确的前提下,依然存在一个实践中的价值取舍问题。对于关联或者间接识别所产生的问题,学说重塑之时应考虑信息管理者主观上有无获取足以识别个人信息的其他信息、信息管理者本身技术上或经济上能否通过其他信息的对照、组合、联结而识别个人的要件。之所以如此理解,仍然在于强调其他信息(特别是信息碎片)的识别性,进而展开法律层面的规范。而这类信息是否具有识别性的考量,须以信息管理者的立场作为出发,判断其是否会带来识别个人信息的可能性。因此建议立法时要对“间接识别”作出进一步明确,指出以间接方式识别个人的信息是仅以该信息不能识别,须与其他信息对照、组合、联结等,方能识别该特定个人的信息。同时,也应对行为人无法取得此类其他信息,或有查询困难,或行为人在间接方式下成本过高予以排除适用。如此才能平衡立法原意、社会需求和现实生活的不同取向。
(二)界定个人信息概念的立法原则
按照废除静态概念说的理论,学者认为大数据背景下,所有的信息都可能是个人可识别的信息。但问题在于,无限扩张个人可识别信息的概念可能导致个人信息保护因为成本过高而不具有可操作性。为此,在立法原则上:一方面,应该对于目前一些中国立法中试图为个人信息划定基于类型的固定范围的思路予以反思和扬弃;另一方面则应意识到如果不对个人信息类型化、例示化的话,可能会对行政机关执法和法院的法律适用的确定性产生影响,更有可能因为立法不予界定个人信息而导致信息收集环节出现失控的局面。为此,未来中国的个人信息保护立法仍然要对个人信息的概念加以规定。在界定之时,应贯彻法律概念界定的一般原理,使“个人信息”这一概念既具规范价值又兼叙事价值,既有确定性又有开放性的特征。在界定时要考量个人信息的权利保障和数据流动两大价值之间的平衡;要与当下所处的时代经济、政治、社会、文化以及法学研究等叙事背景相契合。既要有确定的识别标准,又要具有一定的开放性,可使法律方法有适用的空间。
从立法技术层面来看,这里还需要回应几个问题:第一,如果统一的《个人信息保护法》中对个人信息概念进行了界定,其与既有的《网络安全法》中的定义是什么关系?《网络安全法》的立法目的在于“保障网络安全,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展”,虽然有学者将之视为网络安全领域的“基本法”,认为可以指导其他法律法规及其实施,然而,个人信息保护法及其制度设计是否完全属于《网络安全法》的调整范畴仍然值得商榷的,因为两法的立法目标具有一定的差异。基于此,未来个人信息保护立法可以在充分借鉴前述几种模式的基础之上,提出更有针对性的个人信息的概念,并建议以概括加例示方式为宜。第二,未来统一的个人信息保护法中的个人信息概念,可否适用于民法、行政法甚至刑法规范之中?中国在立法时很少探讨这个问题,但是实践中相关的争议大量存在,如行政法和刑法衔接时,因为个人信息概念并不明确,导致与刑法介入社会生活的“最后性”或者“迫不得已性”相违背。为了确保法制统一性,充分发挥民法、行政法、刑法各自不同的保障方式,建议统一的个人信息保护法中的个人信息概念能够贯穿于中国所有的法律规范体系当中,从而确保法律概念明确性、规范性和统一性的要求。当然,这也为立法提出了更高的要求。第三,中国还需要处理好一些基本的问题,才能够在展开语境考量或者风险评估时得出适当的答案。这些问题有些是基本理论的问题,如中国保护个人信息的权利基础究意是什么?有些则是立法之后具体实践的问题,如怎么样在市场、行政和司法实践中正确处理“个人隐私”与“个人信息”的关系,如何使其保障更为有效?如何发挥各种主体的作用等。
(三)与个人信息概念相适的制度构建
如今,因为网络和信息技术的快速发展,导致个人信息成为一个动态的概念,不再仅仅与网络服务提供者居于直接、单一的联系,而是会经过多方流转、比对、再识别、再利用等方式实现价值重造,实现了与数据中间商、数据后续利用者等主体之间的多重主体的关联。无所不在的信息收集,对个人形成密集追踪;个人信息的海量累积、分析、比对将可能构建出清晰无比的人格图像,挖掘出个人不愿为他人知晓的敏感信息。关联说虽然在理论上可以应对这些新的发展,但是可以预料到的是实践中对于某类信息是否属于个人信息的争议仍然持续存在。换言之,除包含一定的内容之外,信息本身还应当被视为是一个过程,不仅涉及信息从信息主体到信息管理者的传递过程,而且包括了信息处理和利用的过程。因此有必要考虑个人信息全程的界定以及保护问题,而这些机制运行中所考虑的因素均可以构成关联说所考虑的因素,也有益于将传统的事后救济转向事前预防层面,更有利于发挥信息管理者的自我规制作用。
与其他信息一样,个人信息具有生命周期,涉及到个人信息的收集、处理、利用等各个环节,每个阶段应该有着不同的保护机制。按照这一理论的要求,不仅仅要求在收集阶段,实现对“个人信息”概念的界定,以及设计收集限制、知情同意等机制之外,还要在处理、利用等各个环节加强对“个人信息”的识别,设计确保公开透明、信息质量、处理限制、安全责任等方面的运行机制。对此,未来中国个人信息保护立法应予以重视:第一,从目前的相关立法来看,个人信息的识别问题并没有完全贯穿于信息生命周期的所有环节,实践中亦是如此。以“新浪微博诉脉脉不正当竞争案”为例,二审法院除判决“脉脉”违法之外,进一步指出新浪微博在保护用户信息方面也存在不足,要求网络运营者在采集运用用户信息时应履行相应的管理义务。然而,对于信息销毁等环节的问题并没有提及,未来应该考虑建立相应的制度甚至是权利来加以回应。第二,OECD、欧盟、美国等均在立法中对信息管理者施加了“通过设计保护隐私”(Privacy by Design)的义务,要求其在信息生命周期的最开始就去思考个人信息和隐私保护的问题,而不是在事件发生之后。[[66]]其主要作法是将个人信息保护嵌入技术、商业准则和物理的基础设施的设计标准中加以保护。于是,信息管理者设计隐私保护机制时所考虑的业务结构、规模、数量和敏感度均构成个人信息概念界定时的关联因素。这种风险预防、技术与法律互动的思路克服了过去仅在信息收集时依赖个人信息概念界定的不足,让信息管理者甚至信息主体参与到企业运作和个人信息保护的全过程,有利于提升产业自身个人信息保护的能力和主动性,未来中国立法应予以关注。
(四)个人信息概念的类型化及保护强度
准确认知和把握个人信息概念的内涵,较为可行的办法还在于从分类上予以观察、对比,用以揭示概念的外延,进而在保护强度的分配上能够成比例性。域外立法从识别或关联方式上将个人信息分为直接识别信息和间接识别信息,但并没有就保护强度作出区分。前述新识别说认为要根据不同类型的信息成比例地匹配相应程度的保护机制。保护强度与保护机制相关联,一般可表现为禁止收集、禁止识别或者禁止处理、禁止披露等。以知情同意的保护机制而言,一方面因为大数据背景下知情同意很难完全做到,另一方面不同类型的信息均要求做到知情同意也不符合成本收益原则。因此,立法可以根据不同的信息类型或者要求信息主体同意或者由信息管理者提供法律规定的理由,进而展开不同层次的保护。后者是个人信息处理的“合法性原则”在立法中的体现,要求信息处理的目的必须合法,而且所使用的个人信息应当为实现该目的所必需、相适应,其范围、数量应当与该目的相匹配或成比例。进而,行政和司法实践可依据不同类型的信息,建构不同梯次的保护强度。
另外值得讨论的问题是,未来中国在界定个人信息概念之时,是否要规定敏感信息?如前所述,有学者建议在未来中国个人信息保护立法时不予规定,而在专门立法中加以规定。当然,亦有学者持赞成意见,认为虽然难以定义“敏感信息”,但作为个人信息中最为重要、与信息主体权利最相关的一类,不仅需要明示,而且需要特殊保护。在个人信息保护法中加以明确规定,不仅意在特殊保护,而且也会为其他相关单行立法提供保护的立法依据。“根本不设立敏感数据的概念,难以体现对特殊类型数据进行特殊保护的基本原则,难以完成个人数据保护法的基本职能。”从立法技术以及中国立法实践情况来看,如果要全面、体系性地保护个人信息,就有必要对敏感信息加以规定。至于名称,建议使用“特殊类型的个人信息”,既可以防止个人信息分类在逻辑上的不足,又避免对“敏感”内涵产生不同认识,同时结合中国国情考虑将有关个人的隐秘信息,如身体特征、健康信息或个人信念以及极可能用以作出歧视性决定的信息作为主要构成加以例示性规定。此外,还有必要规定14岁以下(含)儿童的个人信息和自然人的隐私信息属于特殊信息,在保护机制上可设计对此类信息的处理行为只有或至少在获得该儿童监护人的同意或授权时才是合法的。
五、结语
现代社会无不受到网络和信息技术的影响,每个人浏览网页的时间、登录时的IP地址、曾经搜索的关键词、信用卡消费情形等,甚至每天的一举一动,所有发生或正在发生的事情都持续地被记录与更新。同时,企业无不进行收集、处理、利用信息的工作,进行分析和统计行为,进而策划商业模式,进行商业行为与利润谋取工作。而我们现代人渐渐习惯并且融入,也将网络和信息技术的优势内化到我们的生活之中。在此便利下所带来的最大挑战莫过于对原应保有为个人领域的侵犯。即使有些个人信息可以采用去识别化技术加以处理,但是在现代技术之下,任何信息碎片均有可能经由连结、组合、比对而再次成为可识别的个人信息。网络和信息技术的不断发展导致个人信息保护面临着诸多的挑战:收集环节,移动互联网和物联网的广泛应用使个人信息的收集日益密集、隐蔽;处理环节,不同来源的个人信息多维组合,画像、实时追踪、数据挖掘等加剧了个人信息和隐私受损的风险;利用环节,多元主体参与、数据流转方式复杂。这一切均给个人信息保护及其立法带来了巨大的挑战。从目前各国的立法及实践来看,个人信息的概念是个人信息保护和信息隐私规制的起点,但目前的定义均不令人满意。完全放弃这个概念则意味着无法界定规制的边界,因此理论界提出了许多的建议,尤其主张应动态、弹性地理解个人信息的概念,这给立法和实践带来了一定的困难。中国的个人信息保护立法目前已经启动,研究认为应该坚持使用个人信息的概念,以识别说和关联说相结合为基础,将个人信息的识别贯穿整个信息生命周期,利用产业技术优势保护个人信息,利用类型化方法成比例地分配保护强度。希望这些相关的理论争议能够为立法及其实施带来智识。