返回上一页 文章阅读 登录

高秦伟:个人信息概念之反思和重塑

——立法与实践的理论起点

更新时间:2019-11-18 20:16:04
作者: 高秦伟  

  

   内容摘要:“个人信息”概念的界定是个人信息保护立法的核心和前提。识别说以信息与主体之间是否存在某种客观、可识别的可能性来界定个人信息。随着科技发展与信息种类的多样化,这种静态的定义在实践中受到严峻挑战。如何协调法律的确定性与科技发展带来的不确定性、如何平衡个人信息保护与信息之间的流动、如何在概念适用中根据信息存在的语境调整个人信息保护的强度,成为个人信息立法与实践的理论起点。通过对传统学说的反思,未来中国个人信息保护立法应以识别说和关联说为基础,重塑更具有包容性的个人信息概念及相应的个人信息保护机制,实现有效保护个人信息的立法目的。

  

   关键词:个人信息  可识别信息  敏感信息  识别说  关联说  保护强度

  

一、问题意识

  

   在个人信息的收集、处理、利用中如何有效地保护个人信息无疑是当前以及未来一段时间的热点问题,中国虽无一部个人信息保护法,但是相关的法律规范仍然存在。不过,从全球个人信息保护立法的发展趋势来看,中国现行立法无论是在立法模式、权利建构、实施执行等层面,均有较大的改进空间,需要进一步强化立法并加强实施。在这些问题之中,有关“个人信息”概念的讨论构成了立法与实践的理论起点,系最为根本的议题。究其原因在于:首先,个人信息保护法的实施,以判断某类信息是否为个人信息为前提。只有当信息被视为个人信息时,才会受到个人信息保护法的规范与保障,信息主体方可享有法律规定的权利,信息管理者或侵权者才会承担法律规定的义务。因此,对个人信息概念界定不同,将直接影响个人信息保护的范围。例如,由于立法不够清晰,有些国家的法院在解释个人信息概念时,采取了较为宽泛的方法,将移动电话号码后四位视为个人信息,因为其较容易与其他信息(生日、电话记录)比对而识别出个人身份。然而,这种做法引发了学界对个人信息概念使用上的争议。

  

   其次,个人信息概念的界定直接反映出个人信息保护立法的价值取向,如何在个人信息保护与信息利用或数据流动之间达致适当的平衡,是各国个人信息保护立法所需解决的主要矛盾。网络和信息技术发展依赖于大量的信息,高科技促进了市场发展和创新,甚至是民主治理的长足发展。如果无限扩张个人信息的范围,会对信息自由流动、大数据发展等造成阻碍。例如,在实践中,有关IP地址是否被视为个人信息,各国和地区立法便有所不同,西班牙和瑞典将其视为个人信息,德国、法国、英国、中国香港特区则并不视为个人信息,而美国联邦及其各州的作法亦是迥然各异。这体现出各国家或地区对产业发展秉持的不同理念。

  

   再次,由于网络和信息技术的持续发展,个人信息概念是否有必要存在也受到质疑。一些原本被认为无法识别的信息在一定条件下可以转变为个人信息,间接识别的信息可以转换为直接识别的信息,技术发展对传统概念和学说提出严峻挑战。[[5]]换言之,现有立法的概念经常会在实践中面临着适用时无法确定个人信息保护范围的难题,一些观点认为只要相关保障机制、利用规则建构充分,就可以有效实现个人信息保护的目的。然而,法学理论告诉我们:“特定法律概念是引发特定法律后果的前提,而不是相反”,“法律概念的语义构成目的论证的界限,有时也会对目的论证施加论证负担。认为法律概念在法律推理中是可被对消的中项,完全由包含它们的法律规范来决定和穷尽的观点,是站不住脚的。”如何化解这种认知上的冲突,如何科学界定个人信息的概念,如何有效保护个人信息,这似乎面临着技术与法律、道德和进步之间的抵牾与抉择。因此,有必要以更为清晰的理论回应目前实践中的难题。

  

二、个人信息概念的理论发展

  

   对于个人信息概念的理论认知,要结合个人信息保护法形成的历史背景来探讨。个人信息保护立法肇端于1970年代计算机技术应用之时。彼时,计算机处理信息的方式给传统依靠纸质媒介人工处理信息的方式带来极大冲击,各种机构均可以批量处理信息,并任意改变信息组成和利用方式,对个人信息及其权属于产生了较大的影响。在此背景下,个人信息保护立法旨在通过界定个人信息概念,区分个人信息与非个人信息,进而明确法律保护的边界。可识别性成为操作传统二分法的核心,由此产生的识别说是界定个人信息概念最早期的理论学说。

  

   (一)识别说

  

   按照识别说,涉人信息可以分为个人信息和非个人信息,欧美理论一般将前者称为个人可识别信息(Personally Identifiable Information,PII)。由此可见,“可识别性”是个人信息最为重要的特征,即个人信息与信息主体存在某一客观确定的可能性。识别说在各国个人信息保护立法中一直占据通说地位,其认为只有当个人信息被收集、处理或者利用时,个人隐私才会受到损害。而判断信息是否属于个人信息,关键就在于该信息是否可以识别出个人的身份。识别说存在的前提条件在于假设立法者有能力从信息的分类中评估内在风险,从而确定需要规制的信息类型。识别说的目的在于平衡个人信息保护和信息流动之间的张力,在于通过法律机制回应技术的发展。基于识别说各国展开了各自不同的立法,典型如欧盟《个人数据保护指令》,但从当时的技术环境来看,其采取了较为开放的定义,强调信息可识别的可能性和合理性因素,避免个人信息保护范围无限扩张。而有些国家和地区的立法则略显不足,如美国马萨诸塞州个人信息保护法采取了较为狭窄的列举式立法(包括姓名、社会保障号码、驾驶证号码、金融账号、信用卡或借记卡号码),在识别之时就产生了保护不足的问题。因为尚有一些信息结合姓名、社会保障号码就可以识别出个人身份。同时,该法将个人可识别信息视为静态的,导致个人信息的保护缺乏灵活性。

  

   识别性依据识别程度分为直接识别和间接识别:直接识别是指通过单个信息能够直接确认某人身份,如姓名、身份证号码、住址信息;间接识别是指单个信息固然不能直接分辨出个人,如性别、出生日期、电子邮箱等信息,但是同其它信息相结合或者通过信息比对分析,可能可以确定某人身份。OECD、亚太经济合作组织、[[10]]欧盟及其部分成员国、亚洲一些国家的立法中均规定了这两种信息类型。欧盟1995年《个人数据保护指令》对间接识别进行了定义,指出一个“可识别”的个人信息需要考虑诸多的因素,诸如与其身体、生理、精神、经济、文化或者社会身份有关的特定因素。由于操作缺少具体的指南,相关的争议不断产生。如前述IP地址是否为个人信息,赞成者认为其可以单独或者结全其他信息而识别出个人,反对者认为应该依赖语境来加以讨论。对此,欧盟个人数据保护工作小组认为间接识别须考量信息管理者或任何其他人为识别特定个人所合理、可能使用的方式,并斟酌多种因素综合判断;查询所需要花费的成本、该信息的使用目的、该信息的处理方式、信息管理者的预期利益、所涉及的个人利益、相关组织或技术上的风险,以及若将长时间储存信息,并应预计保存期间因科技进步或其他原因而导致识别的可能性,一并纳入评估。

  

   自1970年代世界范围内兴起个人信息保护立法,识别说一直作为界定个人信息概念的理论而长期存在,且在实践中发挥了重要的作用。然而,该理论有时囿于立法列举的个人信息类型,而使个人信息保护不足;有时过于强调技术的作用,而忽略法律意义上的“识别”之意蕴,导致个人信息概念呈现出静态化的特征。这两个层面的问题,对于中国均具有借鉴意义。当前中国个人信息保护工作刚刚起步,无论是行政机关还是企业,均可能会出现仅仅考虑对立法中例示或者列举的个人信息加以保护的情况;即使是运用间接识别方法,结合其他因素展开法律解释之时,仍然拘泥于对信息识别与否的争论,以至于忽略了个人信息保护事实上应该以人为中心的初衷。基于此,有必要关注其他的理论学说。

  

   (二)关联说

  

   美国国家标准与技术研究院在“识别说”之外提出了“关联说”。识别说主张从信息到个人的识别,一般是指可以明确直接辨识的信息;而关联说则主张从信息到个人的识别,即已知既定个人而知晓或者收集关于该个人的其他信息。关联说旨在突破传统二分法的局限,强调个人信息界定的动态性。理解这一点,对于信息匿名化处理时若仅移除直接辨识因子而不移除信息之间的“关联”,仍然会因关联而推知该信息与个人的关系便有了深刻的认识和警惕,即依然能回溯到特定个人的信息,不得视为有效的匿名化处理。同时,能够关联到特定个人的信息并不以特殊性为前提,而是通过双向度关联个人和信息,丰富给定个人既有的画像,使信息收集者知晓更多关于某个人的信息。关联说告诉我们,那种为个人信息圈定一个固定范围并以此等同于隐私保护的观念过于抽象化、类型化,要把握信息运作的动态性、场景化、周期性特点,全面把控风险。界定是否构成个人信息并非立法与实施的“目的”,只是界定信息运作的“媒介手段”。在界定个人信息概念时,既保障个人隐私,又促进信息合理使用。

  

   应该讲,关联说并非全面替代识别说,两者关系密切,如有中国学者就将关联说与识别说中的间接识别相等同,同时认为关联识别时需考量个人信息概念高度依赖的语境,个人信息的概念并不是一个“预先”的精准界定,而是一个动态的判断过程。尤其是随着信息识别技术的进步,非个人信息也可能逐渐倾向被确定为个人信息。因此,信息的敏感度、数量、收集者、收集方式、信息接收者的状况、信息的使用目的与后果影响、与外部信息的比对情况、科技发展水平、社会人文认知等均构成了关联时应当考量的因素。抽象界定某些信息是否属于个人信息并无实质意义,台湾地区学者更指出:“所谓个人信息,包括人之内心、身体、身份、地位及其他关于个人之一切事项、判断、评价等之所有信息在内。换言之,有关个人之信息并不仅限于与个人之人格或私生活有关者,个人之社会文化活动、为团体组织中成员之活动,及其他与个人有关联性之信息,全部包括在内。”关联说与间接识别的不同在于,一改后者过于强调技术的做法,关联说不仅强调双向度比对信息,而且还要考虑其他更为广泛的因素,进行多方面的风险评估,并在此基础之上,作出价值判断和抉择。有学者对此的总结是:“大数据时代,个人信息的使用场景纷繁复杂,超出立法所能规范与预见的能力,以用户为中心、结果为导向进行动态界定的思路由此日益为国际上所倡导,其核心在于考察个人信息的处理行为给用户带来的后果及隐私影响。”

  

   (三)废除静态概念说

  

随着网络和信息技术的发展,传统个人信息保护法的适用环境发生了很大的变化。如今信息搜集很难实现对用户一一告知,信息利用的目的难以在收集时加以确定,信息使用者多元化,规制政策需要在个人权利保护与促进创新之间达致平衡等,使得传统的知情同意、收集限制、目的特定、利用限制、责任原则等难以找到有效的落实方案。更为重要的是,技术发展带来的直接后果正是个人信息概念的模糊化,大量非个人信息在数据充分的前提下也可以转换为个人信息。(点击此处阅读下一页)

本文责编:limei
发信站:爱思想(http://m.aisixiang.com)
本文链接:http://m.aisixiang.com/data/119081.html
文章来源:《人大法律评论》2019年卷第1辑(总第29辑)
收藏