杨会永:个人信息概念的界定及其法律分析

作者 :宪法与行政法研究中心   访问次数:次   发布时间:2014-03-27

 

    2009年2月28日第十一届全国人大常委会通过了《中华人民共和国刑法修正案(七)》将“出售或者非法提供”以及“窃取或者以其他方法非法获取”公民个人信息等行为定性为犯罪行为。个人信息的界定成为确定法律保护范围,以及判断罪与非罪、此罪与彼罪的关键问题。该概念的澄清是构建我国个人信息保护法制体系的基石。然而由于立法并没有对之作出界定疑义在所难免。从境外个人信息保护司法实践看对个人信息的解释仍存争议。
 
一、个人信息概念的界定
 
    考虑到个人信息保护法制的成熟度对个人信息概念的分析更多需要借鉴欧洲法的经验。在此个人信息与个人数据是通用的。根据欧盟1995 年《数据保护指令》第2(a)条“个人数据是指与一个身份已被识别或者可被识别的自然人相关的任何信息身份可被识别的人是指其身份可以直接或者间接特别是通过身份证号码或者一个或多个与其身体、生理、精神、经济、文化或社会身份有关的特殊因素来确认的人。”欧盟成员国的个人信息保护法完全采纳了上述定义其他国家和地区也基本仿效了该界定方法。
    欧洲多数立法对个人数据采取的是抽象概括的方式未对概念外延予以明确列举。这反映出欧洲立法者的意图是设定一个宽泛的个人数据概念。欧盟委员会在提出数据保护指令草案时指出,“ 为满足欧洲议会的愿望即为了囊括与一个可识别的个人相关的所有信息‘个人数据’的定义应当尽可能概括”。该方法有助于涵盖立法的适用范围同时为新技术条件下个人信息保护规则的运用提供灵活的解释空间。当然其不足在于过于抽象容易在判断某类信息是否属于个人信息时出现争议。为避免此类缺陷一些国家和地区采取了抽象概括和部分列举相结合的方法既概括出个人信息的基本内涵又列举其外在形式。例如我国合湾地区的《计算机处理个人资料保护法》以及周汉华主持拟定的《中华人民共和国个人信息保护法专家建议稿》。不过由于信息的类型多样列举难免挂一漏万,且无论采取何种方法在某些情况下均会存在“灰色地带”。对个人信息的错误理解会不当扩张或者限制个人信息保护法的调整范围。
 
二、司法判例对个人信息的阐释
 
    根据目前境外司法实践有三个关键问题影响着个人信息的判断
    (一)信息收集者是否必须有识别身份的主观目的
    根据对概念的界定个人身份的“可识别性” 是判断某种信息是否属于个人信息的关键点。但问题是法律是否要求信息收集者在收集信息时必须有识别个人身份的主观目的或意图吗? 在我国香港地区2000年的“东周刊督印有限公司诉个人资料私隐专员”案对此作了肯定回答。法庭认为东周刊及其摄影师和记者并无识别该投诉人的意图因而相关数据不属于《个人资料条例》所保护的“个人资料” 。批评者指出《个人资料条例》并未要求必须有识别意图该案判决实质上限制或缩小了个人信息保障的范围。
    (二)如何判断信息与个人是否有关
    2003年12月在“杜兰特诉金融监管局” 案中英国的上诉法院对“个人数据” 采用了狭窄的解释。在该案中法院需要判断文件中其他人的名字是否属于杜兰特的“ 个人数据” 而它们是否与杜兰特“相关” 是其中的关键。在判决中上诉法院将“ 隐私”作为个人数据的核心要素裁定“凡影响当事人隐私的信息 均属‘个人数据’而不论该信息是否影响其个人、业务或专业身份。”为了判断何种信息会影响个人隐私法院提出了两个验证方法。第一、相关信息是否对个人具重要意义且为一种传记性的、具有“个人内涵”的记述也就是说它们并非单纯地记载个人的一举一动。第二数据当事人必须是数据的“焦点” 此即“焦点” 标准亦即信息的焦点应当是该个人本身而非涉及到他的其他人或者他所参与或具有利益的社会活动或者事件。冈有评论者认为法院的狭义解释误解了“个人数据”的定义因为在处理任何数据的过程中一旦识别出或能够识别出数据当事人的身份则不论有关信息属何性质都将威胁到数据当事人的隐私或个人信息权。[3]
    (三)如何确定个人身份的可识别性
    个人身份的“ 可识别性”为是否构成个人信息的核心要件。通过合理方法仍不能识别个人身份的信息不属于受个人信息保护法保护的个入信息。如果在一群人中某个人可以从其他所有人中被“ 区分” 出来那么这个自然人就是“ 已被识别的” 。相应地尽管某个人还未被识别出来但如果这种识别是能够实现的那么这个自然人就是“可被识别的” 。其中“可被识别的”是判断个人信息的关键。但是个人可识别性的认定往往需要在具体个案中考虑所有合理的因素这不但需要填密的逻辑推理更会涉及高度复杂的专业技术问题例如需掌握身份识别技术的最新进展等。而目前法官对此并不熟知 由此要么可能故意回避对个人可识别性的判断 要么对不同案件的判断标准掌握不一。
 
三、判断个人信息的法律要件
 
    为澄清其中的争议问题2007年欧盟个人数据保护第29 条工作组颁布了一份工作文件提出“个人信息” 判定的四个基本法律要件试图为执法机关提供指导。
    (一)信息的类型
    对个人信息的理解应是广义的。第一从信息的性质来看个人信息的概念涉及到关于一个人任何类型的描述既包括“客观的”信息如某人血液中存在某种物质也包括“ 主观的”信息、看法、意见或评价。而且既然这些信息可以是主观的它们就不必是真实的或者可被证明的。正是如此个人信息保护法为信息当事人提供了修改、补充或更正错误信息的权利。第二从信息的内容来看“个人信息”与“隐私”既有联系又有区别它既包含与严格意义上之私人生活和家庭生活有关的信息也包含与个人所开展的各种活动相关的信息如有关个人的劳动关系或经济、社会行为的信息。个人信息保护规则超出了对“私人和家庭生活受尊重权利”之广义概念的保护。第三从信息存在的形式或载体来看个人信息包括以字母、数字、图像、照片及声音等各种形式存在的信息。
    (二)被识别对象的性质
    一般情况下个人信息保护法保护的对象仅限于自然人法人或组织的信息不受法律调整。因此与公司等组织有关的信息不属于个人信息即使是关于一人公司的信息仍然如此。同时原则上死者的信息不属于个人信息因为死者不再是法律意义上的自然人而胎儿的个人信息保护法的适用问题取决于一国法律制度的态度。当然国家可以行使立法裁量权将个人信息保护法的适用范围扩张至死者、胎儿、法人或其他组织。就我国而言现有立法均明确保护的是“公民”个人信息。《刑法修正案(七)》所保护的对象也是“在履行职责或者提供服务过程中获得的公民个人信息” 。因此可以确定的是我国现有法律不保护死者、胎儿、法人或其他组织的信息。
    (三)信息与个人的相关性
    信息必须与个人“相关”是构成个人信息的关键要素它有助于准确判断个人与信息之间存在何种关系或联系以及如何辨识个人身份。但是在特殊情况下确定信息是否与个人“相关”是困难的。有时 数据所传达的信息首先涉及到的是客观物体而不是个人。这些实物往往属于某个人或者受个人特殊影响的支配或者与个人或其他实物保持某种物理上或地理上的近邻关系。此时可认为这些信息仅仅是与个人或实物间接相关。不过法院经常狭义理解该要素的内涵从而否认信息与个人的相关性。为了统一解释第29条工作组指出应该从信息的“内容”“目的”或“结果”因素加以考虑。需注意的是这三个要素应当属于选择性而不是复加性的只要信息满足其中的一个判断因素,就应认定是与个人“相关的” 。
    第一只要某项信息是与某个特定的个人有关就满足了“内容”因素。而且应宽泛地解释何谓“关于”某个人英国杜兰特案所提出的“焦点”标准阵于严格而有违背立法原意之嫌。第二就“目的”因素而言在综合考虑了具体场合下的所有情况之后如果认为使用或可能使用数据的目的是为了评价、以某种方式对待、影响个人的状态或行为那么该因素就满足了。第三,“结果’因素的内涵是在综合考虑相关情况后如果认为数据的使用可能会对某个人的权利或利益产生某种影响那么尽管不存在“内容”或“目的”因素数据也可能被认为是与个人“相关的”。
    (四)个人身份的可识别性
    如上所述个人身份的“可识别性”是判断“个人信息”的核心要件。它主要受两个因素的影响处理个人信息所使用的方法和识别个人身份的方法。当初之所以制定个人信息保护法是因为这样一个事实在存取个人信息方面以电子信息处理为表现形式的新技术较之传统的信息处理形式更便捷、更广泛。个人信息立法的目的在于保护那些具有“易于获取个人数据”的较大风险的处理形式。根据杜兰特案的判决英国信息专员得出结论实践中绝大多数人工记录的信息不属于个人信息保护的范畴。网制约“可识别性”的另一个因素是识别数据当事人所采用的方法是否是“可能合理的”。根据(数据保护指令》序言第26段“为确定某人的身份是否可识别应当考虑数据控制者或者任何其他为了识别该人身份的人所采取的一切可能合理的方法。”识别个人身份有两种途径即直接识别和间接识别。就已被“直接”识别或可被“ 直接”识别的人而言姓名是最普通的识别码而且事实上“可被识别的人”的概念通常意味着获知了该人的姓名。为了确定某人的身份有时必须将该人的姓名与其它信息结合起来考虑如出生日期、父母姓名、地址等以防止与可能的同名之人相混淆。至于“间接”识别或可被“ 间接”识别的人其判断标准是信息类型之间的“独特结合”而非信息量的多少。虽然识别码表面上不足以让人辨别出某个特定人但是该人仍是“可被识别的” 因为该信息可以与其他信息相结合从而使该人被辨别出来。因而指令明确规定个人能否可被识别应考虑“一个或多个与其身体、生理、精神、经济、文化或社会身份有关的特殊因素”。显然对识别方法或手段合理性的判断具有高度的裁量空间它需要司法实践的不断细化。

参考文献:
[l]Amended poposal for a Council Dircetive on the Protetion Of individual swith regard to the Pmeessing of personal data an donthe free movemenr Of suehdata,COM(92)422 final,2 8.10.1992
[2](德)Christopher Kuner:《欧洲数据保护法》,旷野、杨会永等译,法律出版社,2008年, 第105页
[3] David Lins, Misunderstanding Personalil information:Durantv Financial Serviees Authority,Privaet law and Poliey RePorter [2004]PLPR 13
[4]Artiele 29 Data Proteetion Working Party,WP 136:opinion 4/2007 on the concept of Pers onal data,adopted donn0th June 2007
[5]UK Information Commissioner Data Proteetion Act 1998 legal Guidanee,11.8.2008

文章来源:《重庆社会科学》2009年第9期

 

最新动态

近期热点