北京白癜风医院哪家最好 http://pf.39.net/bdfyy/bdfzj/index.html编者按
个人信息法律保护日益深入人心。但是,无论在理论界还是在司法实践中,个人信息的概念并不明确,甚至存在重大争议。
《互联网法律评论》特约专家、中国人民大学教授丁晓东指出,个人信息高度依附于场景,特别是在大数据时代,某一信息在某种视角和某种场景下可能不是个人信息,但如果换一视角和场景,可能就会成为个人信息。
丁晓东教授认为,通过场景化个人信息界定与制度的功能性适用,可以实现信息属性的合理界定,保护某一信息行为中的合法权益、预防相关风险。同时,为了解决场景化理论等不确定性问题,可以在行政规制层面引入个人信息的三分法,在司法裁判层面引入案例制度,建立模块化与颗粒化的个人信息保护制度。
今日,《互联网法律评论》转载丁晓东教授的论文,对个人信息概念的不确定性及其法律应对进行深入分析。本文原载于《比较法学》年第五期,获作者授权转载。
摘要:个人信息概念是个人信息保护制度的基础。但个人信息概念面临范围不确定、去标识化信息性质不明、匿名化信息是否受保护等难题。个人信息概念之所以不确定,是因为个人信息高度依赖场景,因个人信息识别目标、识别主体、识别概率、识别风险的不同而不同。在技术与产品飞速发展的今天,更难找到确定不变的个人信息界定规则。应放弃个人信息与非个人信息的绝对化区分,将个人信息视为规制信息关系的制度工具,根据具体场景与制度功能确定个人信息的范围及其规制方式。在监管层面,可以采取个人信息、可识别个人信息、非个人信息的三分法而进行功能性的分类规制;在司法层面,可以进一步进行场景化规制,利用自下而上的案例确定个人信息的范围和保护制度。通过规制三分法与司法案例法,可以建立模块化的个人信息分类保护制度。
关键词:个人信息;识别;去标识;匿名化;场景化
1
问题的提出:个人信息概念界定的难题
个人信息的概念与范围是个人信息法律保护的基础问题。目前,各国都采取了个人信息/非个人信息的二元法律保护机制。一旦某一信息被划入个人信息的范围,此类信息就将受到个人信息保护法的管辖与约束;相反,一旦某一信息被认定为非个人信息,则有关主体对此类信息的收集与处理就不必承担相关义务。以我国为例,个人信息保护法等法律法规对个人信息进行严格保护,但对非个人信息或匿名化的个人信息则提倡数据要素市场交易与流通。欧盟亦是如此,欧盟在个人信息/数据领域制定了严格的《一般数据保护条例》,对其处理与流通施加了严格限制,但也同时制定了《非个人数据自由流动条例》,对非个人数据采取完全不同的法律框架。
但个人信息的概念并不明确,甚至存在重大争议。首先,如何理解识别这一概念?目前,各国普遍以是否识别来界定个人信息。例如,《中华人民共和国个人信息保护法》(以下简称“《个人信息保护法》”)第4条规定:“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。”欧盟《一般数据保护条例》第4条第(1)款将个人数据界定为“任何已识别或可识别的自然人(‘数据主体’)相关的信息”。美国加州影响甚广的《加州消费者隐私法》将个人信息界定为“直接或间接地识别、关联、描述、能够合理地与某一特定消费者或家庭相关联或可以合理地与之相关联的信息”。但识别如何界定?识别是否意味着某一信息必须能够直接联系到某一个体?假如某一信息只能联系到特定设备,例如联系到某部手机、某台电脑、某台空调、某件物品,此时这一信息是否属于个人信息?再比如年各大平台上线IP属地公开,显示网名所属的国家或省份,此类IP地址是否属于个人信息?
其次,如何理解去标识化、假名化信息?目前,各国都在其法律中对此类行为或信息类型进行了规定。例如,我国个人信息保护法第73条第3款规定,去标识化是“指个人信息经过处理,使其在不借助额外信息的情况下无法识别特定自然人的过程”。欧盟《一般数据保护条例》第4条第(5)款规定,假名化“指的是在采取某种方式对个人数据进行处理后,如果没有额外信息就不能将某一信息归于某一特定主体”。但经过“去标识化”“假名化”后的信息应当如何归类?应将其视为个人信息、非个人信息?还是介于个人信息与非个人信息之间的第三类信息?在当前的信息实践中,企业等信息处理者所收集的信息常常不包含个人姓名、身份证号,或者在收集了此类信息后常常采取去标识化、假名化、加密等手段。对于此类信息如何理解,适用何种法律框架,需要进一步探讨。
最后,如何理解匿名化信息、群体性信息等信息传统上认定为非个人信息?目前,我国和各国法律都将匿名化信息排除在个人信息之外,因为这种信息被认为无法识别特定自然人。例如,我国个人信息保护法第73条第4款规定:“匿名化,是指个人信息经过处理无法识别特定自然人且不能复原的过程。”欧盟《一般数据保护条例》也在其“重述(recital)”第26条中明确,其不适用于匿名化的数据。对于群体性信息,各国法律也大都没有将其囊括到个人信息范畴,例如,《加州消费者隐私法》规定:“与一组或一类消费者有关的信息有关的汇总消费者信息(aggregateconsumerinformation),如果个人消费者身份已从这些信息中去标识”,则此类信息不属于个人信息。但问题在于,即使是匿名化数据,也经常可以被重新识别,给个体带来风险。在大数据时代,匿名化在一定程度上已经成为失败的承诺(brokenpromise)。而对于群体性信息,大量运用群体信息进行追踪、营销和群体识别的情形也日益引起了重视。在实践中,信息处理者往往对一个群体而非一个个体进行识别、投放广告,带来所谓的群体个人信息保护或群体隐私(groupprivacy)问题。因此,无论是匿名化信息还是群体信息,这类信息是否完全不属于个人信息、不受保护,也需要进一步分析。
上述问题相互勾连,而且仅仅是个人信息概念问题的一部分。回答这些问题,需要对个人信息的概念与范围进行合理把握,对个人信息的概念进行较为全面的分析与反思。本文将在分析个人信息概念在制定法与司法案例层面的不确定性的基础上,进一步探明个人信息概念不确定性的深层原因,并从原理层面重构个人信息概念,在规制与司法层面提出个人信息界定的操作性方案。本文的核心论点是,个人信息高度依附于场景,特别是在大数据时代,某一信息在某种视角和某种场景下可能不是个人信息,但如果换一视角和场景,可能就会成为个人信息。同样,去标识化信息与假名化信息也难以进行完全确定性划分。因此,对个人信息进行界定,应避免个人信息/非个人信息二元界定,应转而采取场景化的弹性界定思路,根据某一信息所处的具体场景以及规制必要性而对其进行性质界定。如果某一信息与具体场景中的个人权益相关,有必要通过个人信息保护法进行调整,则应当将此类信息纳入个人信息范围。反之,则应将其界定为非个人信息或特殊类型的信息。法律对个人信息进行保护,其本质在于通过个人信息这一概念规制相关的信息实践,而非保护个人信息本身。通过场景化个人信息界定与制度的功能性适用,可以实现信息属性的合理界定,保护某一信息行为中的合法权益、预防相关风险。同时,为了解决场景化理论等不确定性问题,可以在行政规制层面引入个人信息的三分法,在司法裁判层面引入案例制度,建立模块化与颗粒化的个人信息保护制度。
2
个人信息的不确定性及其分析
分析个人信息的概念与范围,可以先从我国与欧美等主要国家和地区的实证法出发。通过分析相关法条与案例,可以发现不同国家与地区采取了不同的个人信息界定,但也呈现趋同性,不同国家与地区所面对的问题尤为相似。
(一)法律解释及其分析
如上所述,我国个人信息保护法将个人信息界定为“已识别或者可识别的自然人有关”的信息,这一进路也常常被概括为“识别说”+“关联说”。相比我国网络安全法与民法典,在“识别”的基础上,其对个人信息概念作了宽泛的界定。同时,与网络安全法、民法典不同,《个人信息保护法》也不再对个人信息的类型进行列举性规定。从立法目的与立法技术来说,个人信息概念的这一界定意图非常明显,意在扩充或强调个人信息的保护范围,防范对个人信息作较窄理解。在实践中,有的信息处理者主张,企业对于没有用户姓名、不能直接识别的用户画像信息的收集并不直接识别个人,企业可能“懂你”,但不“认识(识别)你”。如果采取这种进路,则大量匿名化的行为信息将被排除在个人信息保护法之外。在我国个人信息保护法起草与讨论的过程中,立法者对于这一现象高度警惕。尽管网络安全法与民法典等法律也不宜作如此狭义的理解,将不具姓名但和个人相关的各类行为信息排除在保护范围之外,但《个人信息保护法》还是对此进行了重申,再次强调其保护信息范围的宽泛性。在互联网与大数据时代个人信息的存在方式已经非常多元,保护个人信息不能仅仅将保护范围局限于个人档案或类似个人档案的信息。
我国个人信息保护法的这一规定与欧盟的《一般数据保护条例》具有相似性。《一般数据保护条例》第4条除了同样以“识别”+“相关”的表述界定个人信息,对个人信息的范围与类型进行了宽泛性的列举,还明确将“姓名、身份编号、地址数据、网上标识或者自然人所特有的一项或多项的身体性、生理性、遗传性、精神性、经济性、文化性或社会性身份”也纳入个人信息范围。在对这一条文的“重述”第30条中,欧盟还特地明确列举了“通过设备、应用程序、工具和协议提供的在线标识符,例如互联网协议地址、cookie标识符或其他标识符”,将各类与设备或物品相关的信息纳入其保护范围。甚至对于经常用于各类物品标签的无线射频识别即射频识别技术(RadioFrequencyIdentification,RFID),“重述”也将其列举为个人信息。虽然“重述”不具有法定效力,但其对《一般数据保护条例》的解释有着毋庸置疑的权威性。
相比中国和欧盟,美国联邦与各州对个人信息的界定略有不同。首先,美国法的个人信息界定往往不区分“已识别”与“可识别”,而仅仅以“个人可识别信息”(personallyidentifiableinformation)作为个人信息或个人数据的同义词。例如,美国《儿童在线隐私保护法》(ChildrensOnlinePrivacyProtectionAct,COPPA)将“个人信息”定义为“关于个人的个人可识别信息”。其次,美国对个人信息的界定方式往往较为多元。有的法律采取列举式的界定,将个人信息限定于特定类型。例如马萨诸塞州对于个人信息泄露的立法将个人信息定义为个人的名字和姓氏,或首字母和姓氏与社会保险号码、驾驶执照号码、金融账户号码或信用卡或借记卡号码的组合。有的法律采取排除式方法,例如,年的《有线电视通信政策法案》(CableCommunicationsPolicyAct,CCPA)将个人可识别信息定义为“聚合数据”以外的内容,对“未识别特定人员的任何聚合数据记录”以外的用户数据进行保护;年《格拉姆-里奇-布莱利法案》(Gramm-Leach-BlileyAct,GLBA)将“个人可识别金融信息”定义为“非公开的个人信息”。还有的法律则采取同义反复的方法,例如,年制定《视频隐私保护法》(VideoPrivacyProtectionAct,VPPA)将“个人可识别信息”定义为“识别个人的信息”(informationwhichidentifiesaperson)。当然,也有很多法律采取了综合性定义方法,例如《加州消费者隐私法》,既采取了开放式列举与排除式列举,也同时借鉴了欧盟的定义方式。
比较中国、欧盟与美国的个人信息定义,会发现虽有差异和各自的优缺点,但其面临的问题却具有相似性。就中国、欧盟而言,个人信息统一界定模式的优点在于保持法律的形式统一性,同时将更多信息类型纳入保护范围,但其缺点也非常明显,这就是它们可能将越来越多的信息都纳入其保护范围,无法区分真正需要保护的信息类型。从原理上说,一个社会所产生的信息,只要它和人类行为具有任何一点联系,就可能帮助某个主体在某种情形下识别个人。信息从最本质上说是人类和世界所留下的信息轨迹,只要人类直接或间接影响到某一信息轨迹,则该轨迹就可能成为识别个人的信息。例如,一瓶喝过的水、一辆停在街边的车都可能帮助某些主体识别某个人。就此而言,如果从最广义的角度理解个人信息,则如某些学者所言,任何信息都可能成为个人信息,欧盟的《通用数据保护法》会成为“无所不包的法”。
就美国而言,美国分散式与多元化立法的好处是可以对个人信息进行分类保护,在不少情形下更清晰,更具有操作性。以上文提到的列举式定义为例,很多州有关数据安全与个人信息泄漏的立法都采取这一模式,这一模式使得信息处理者可以更为准确地进行合规操作。而排除式的列举或同义反复式的个人信息界定模式,由于这类立法往往针对某一个行业或领域,其个人信息范围也相对欧盟模式更为清晰。当然,其缺点也非常明显,由于统一界定,信息处理者可能需要在不同的情形中遵循不同的法律规定,增加其合规成本。对于个人信息保护而言,这种模式也可能使很多与个人相关或可以间接识别个人的信息无法得到保护。正如施瓦茨与索洛夫二位学者所言,如果说欧盟模式的保护范围可能过宽,那么美国模式的界定则有可能过窄。
中国、欧盟与美国的个人信息界定模式虽然问题各异,但所面对的问题具有一致性。其问题核心在于,在互联网与大数据时代,个人信息与非个人信息的界分极为困难,大量信息介于个人信息与非个人信息之间。个人信息作为一个法律概念,其兴起大概起源20世纪的60、70年代,当时,由于计算机技术的兴起,西方很多国家的公共规制机构与企业实体开始利用计算机对个人信息进行系统化存储,而此类信息往往包括姓名、出生日期、身份证号码、住址、电话号码等档案类信息。这引起了学术界的普遍担忧,在法律与政策层面诞生了以个人信息为核心的制度框架。时至今日,这一存档信息还在有的法律制度中被保留下来,例如,欧盟的《一般数据保护条例》所提到的“存档系统”(filingsystem)。但在互联网与大数据时代,与个人信息相关的个人信息主要不是以计算机档案或类似档案的形式存在。如同很多学者指出,互联网、大数据与新科技所需要获取的信息往往是非档案性信息,这类信息与传统的个人信息与非个人信息都具有重要区别,因为它们往往不能直接识别个人,但又常常能间接识别个人,并且对个人权益造成重大影响。在这样的背景下,沿用五六十年前的个人信息概念,就会存在保护过宽与保护不足的困境。
(二)司法案例及其分析
司法实践中对于个案的判决进一步显示了个人信息概念的不确定性。以我国为例,我国已经在若干判决中对个人信息的概念与范围进行了界定,这些判决不少都引起了较大争议,进一步说明个人信息并非一个非黑即白、容易清晰界定的问题。
早在年,南京市法院就曾经在判决中进行过分析。在该案中,原告在百度公司搜索“减肥”“丰胸”等关键词后,百度利用cookies技术,在浏览相应的网页时推送诸如“减肥”“丰胸”“人工流产”等广告。该案虽然发生在我国个人信息保护法、民法典、网络安全法等法律生效之前,但其时工信部制定的《电信和互联网用户个人信息保护规定》已经对个人信息进行了规定,因此,法院也结合这一规定对cookie信息是否属于个人信息进行了分析。根据法院的论述,cookie信息不能被认定为个人信息,因为“cookie信息无法与特定的人相联系”,百度“所搜集的仅是不可识别的网络行为碎片化信息,而非现实世界中具体的个人信息,根本不可能与朱某发生对应识别关系”。
我国网络安全法、民法典生效后,我国法院又在一系列案件中对个人信息进行了界定。首先是引起社会广泛
