返回上一页 文章阅读 登录

刘练军:个人信息与个人数据辨析

更新时间:2022-11-25 00:05:24
作者: 刘练军  

   摘要:在法学研究中,个人信息和个人数据两个概念常常被相互混用。实际上,两者在具体内涵、权利话语等方面存在较为明显的差别,不应等同视之。个人信息是一种知识,而个人数据则是一种载体。个人信息是“神”而个人数据则为其“形”。个人信息的权利话语主要有个人信息的自主决定权和控制权,以及个人信息的知情权、查阅复制权、更正补充权、删除权、要求解释说明权等。而个人数据的权利话语主要包括访问权、更正权、擦除权(被遗忘权)、限制处理权、数据携带权等。

  

   随着计算机和互联网的普及,人类社会已进入以数据为原材料的“信息时代”。于是,个人信息和个人数据成为炙手可热的立法及法学概念,相关立法和法学研究呈显著的增长态势。然而,在法学研究中忽视个人信息和个人数据之间的差别,将二者混为一谈,视为可以相互指代的同质概念的现象较为普遍,这可能会对实务界的立法实践造成一定消极影响。毕竟,既有理论研究成果能够为立法工作提供十分重要的参考,是立法工作不可或缺的基础性条件,而没有任何理论依据的立法是难以想象的。从这个意义上说,对这两个概念予以辨析,厘清它们各自的内涵及相互关系,是今日法学界的急迫任务,亦为相关立法与法学精准表达之前提。

   概言之,对个人信息和个人数据予以辨析的必要性主要体现在三个方面。首先,防范混淆财产与尊严的需要。个人数据实质上是一种无体物,重点是市场财产价值,而个人信息的重点在于人之人格尊严。对个人数据与个人信息不予辨析,难免会导致将人格尊严价值与财产价值等同视之。其次,对个人信息、个人数据分别实施有效保护的需要。两者的权利话语不同,只有严格区分它们各自的权利客体,才能准确地诉诸对应的权利话语,以有效开展相应的权利救济。再次,完善相关立法的需要。部分法律对个人信息与个人数据两个概念不予区分,为法律的适用留下了模糊与争议空间,不利于相关权利的私法救济。为此,法学界应认真对待这两个概念,揭示它们之间的区别与联系,为当下的法律适用及未来的法律修订提供足够的法学理论支撑。

  

   一、被忽视的普遍现象:个人信息和个人数据不予辨析地使用

  

   个人信息与个人数据之间有联系,但更有区别,如果对两者不予辨析地使用,就难以清晰地传达法律规范之旨意与法学思想之精髓。事实上,在法学研究中,人们经常对二者不加辨析地使用,具体表现如下两种情形。

   (一)明确断定个人信息与个人数据两者之间并无差别

   在法学研究中,有的提出个人信息与个人数据没有差别的“等同论”观点,研究中有观点认为个人信息从属于(个人)数据,实际上是在个人信息与(个人)数据之间建立了“种—属”关系,用(个人)数据(属)来诠释个人信息(种)。这种将个人信息与个人数据无差别使用的认知,在法学界具有一定的代表性。然而,法学研究需要强化对法律概念、法学概念的区分和精准化运用。本文的研究表明,在法学研究中不宜将个人信息与个人数据等同视之,法律人需要为不同立法概念的有效区分提供应有的学理基础。

   (二)无意识地将个人信息与个人数据混为一谈

   与明确断定个人信息与个人数据两者之间没有差别相比,将两者混为一谈的现象似乎更为普遍。如有观点认为,应该将个人数据信息作为公共物品来规制。这里的“个人数据信息”未充分意识到个人信息与个人数据之间的差别。还有观点认为,数据共享也可能是一种个人信息的收集、储存、利用问题。这里的数据共享自然包括个人数据,该观点同样忽略了个人数据与个人信息之间的差别。

   本文认为,作为立法和法学概念的个人信息与个人数据,其产生的条件并不相同,其蕴涵的权利话语更是差异明显。在法学研究过程中,我们理应自觉加强辨析它们之间的异同。个人数据是人类发明的一种符号,不以人的认知不同而不同,因此客观性强;而个人信息则是符号所反映的内容,强调的是主体之人对于个人数据的认识,因而具有一定的主观性。同一个人数据对于不同的主体来说始终是个人数据,但同一种个人数据是不是个人信息,不同的主体可能有不同的认识。个人信息的主观性与个人数据的客观性,是个人信息与个人数据的重要差别之一,对此下文还将进一步展开分析。

   在互联网时代,个人信息保护和个人数据安全,都是人人高度关注的社会热点议题。《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)和《中华人民共和国数据安全法》(以下简称《数据安全法》)的有效实施,不仅仅依赖于立法者和执法者的努力,同时也需要法学学术共同体的积极参与。法学是一门运用性非常强的社会科学,能否为实践中的个人信息保护和个人数据安全提供理论支撑,是权衡个人信息和个人数据研究是否成功的标尺。为此,有必要在法学研究中正视个人信息和个人数据不予辨析地使用的混乱状态,并进一步厘清个人信息与个人数据之间的异同。

  

   二、起源之辨:个人信息与个人数据的概念生成

  

   作为一个法学概念,个人信息与个人数据得以形成的根本原因并不相同。追溯其概念生成过程,对之展开起源之辨,无疑大有裨益。

   (一)个人信息是一种知识,它起源于超大规模的对个人知识的收集与利用

   个人信息作为一个学术概念委实是现代社会的产物,其产生的历史非常之短。第二次世界大战后,随着现代科学技术的高歌猛进,大多数西方国家为了方便对社会的管控,而纷纷建立有关公民个人信息的巨型数据库。面对政府借助科技手段扩张自身权力的举措,西方社会基于历史的经验教训而出现了种种担忧。例如,谁能看到这些信息,这些信息将被用于何种目的,信息被转化为数据后进行储存本身是否安全,等等。正是这样的担忧促使从20世纪70年代开始,瑞典、德国、法国等国家纷纷制定个人信息保护法,并最终形成了全球性个人信息保护立法浪潮。1970年世界上第一部个人信息保护法——《黑森州个人信息保护法》(The Hesse Data Protection Act of1970)在德国黑森州诞生。1973年,瑞典议会通过了世界第一部国家级个人信息保护法。国家立法的出现,使得个人信息开始受到了法学界的广泛关注。因而,作为法学概念的个人信息诞生于1970年代。

   自从作为一个立法术语问世之后,个人信息受到的关注便与日俱增。其中的一个重要原因是,除各国政府的巨型数据库外,不少的新兴互联网科技公司也开始收集并处理其用户的个人信息,而且这些科技公司还有不少是跨国公司,用户不限于本国而是全球性的,用户数量不是几千几万,而是多达几亿甚至几十亿。就其个人信息的占有量来说,不少科技公司可能与其所在国政府相比都毫不逊色。所以,各国的个人信息保护立法,不仅仅是针对政府的个人信息收集与处理行为,它还要规制各类企业平台的类似行为。

   就其所处理的个人信息内容而言,政府机构和公司企业之间或许存在一定的差别。前者主要处理的是个人的基本信息,如姓名、性别、民族、政治面貌、出生年月、身份证号码、住址、电话号码等;而后者在对这些传统的基本信息进行收集的基础上,可能更关注个人的平台账号及密码、消费信息、医疗信息、遗传信息、位置信息、行踪信息、网站访问及浏览信息等与各类平台紧密相关的数字信息。与基本信息相比,公司企业都热衷于收集个人数字信息,因为这些数字信息更具有可观的商业价值。不管是基本信息还是数字信息,其要达到处理之目的,就必须经过大规模的收集。运用传统的人工和纸笔,不可能实现这种大规模个人信息收集。即便通过人海战术完成了这种大规模收集,也不可能继续通过“人海战术”来实现信息分析,以达到信息整合利用之目标。简言之,超大规模的个人信息的收集和利用现象日益普遍,是个人信息得以作为一个立法术语和法学概念问世的根本原因。

   立法和法学研究中的个人信息本质上是什么呢?《中华人民共和国民法典》(以下简称《民法典》)、《中华人民共和国网络安全法》及《个人信息保护法》等法律对个人信息都有定义性规定。国际标准化组织(ISO)将信息定义为“关于在特定语境下具有特定含义之客体——例如事实、事件、东西、过程或思想包括理念——的知识(knowledge)”。本文认为,个人信息就是在特定语境下有关具体某个人的具有特定含义之客体——如姓名、身份证号码、平台会员、医疗就诊等等——的知识,它不但包括有关个人满足社会交往需要的基本知识如姓名、性别等,更包括个人心理偏好、行为习惯、遗传基因、身体疾病等诸多不宜对外公开的特定知识。透过个人信息所承载的知识,就可以较为全面地认识一个人。不言而喻,绝大多数人都不希望有关自己的知识被他人或社会了如指掌,有穿有戴而不是赤身裸体地呈现在他人和社会面前,此乃人之尊严的基本要求。不可恣意地泄露个人信息,其中有些个人信息还务必严格保密,其原因就在于此。

   追溯历史,对作为知识的个人信息的收集并非现代社会的产物。国家以户籍登记、人口普查等形式掌握相关知识,在人类历史上早已具有较为成熟的经验实践。但过去尚未在此基础上提炼出个人信息的概念,其主要原因在于:在前计算机和互联网科技时代,无论是掌握公权力的国家还是拥有私权力的公司,一方面对这些个人知识的收集和处理都是在有限的时空范围内进行的;另一方面,它一般不会造成相关个人知识的大规模泄露,尤其是其他组织机构或个人利用相关知识,去打扰或侵害具体个人的现象相当罕见。然而,具有最强记忆及计算功能的计算机和互联网对社会生活的冲击是颠覆性的,它不但使得有关个人知识的大规模泄露成为可能,而且更主要的是,它使得利用这些个人知识实施侵权变得易如反掌,并且成本低廉。于是,人类在总结经验的基础上,提炼出了一个足以容纳所有个人知识的新概念——个人信息。质言之,超大规模的个人知识的收集与利用,是20世纪中叶以后个人信息这一概念首先在德国、瑞典等国家产生并作为立法术语,而后迅速“冲出欧洲,走向世界”的重要推动力。

   (二)个人数据是一种载体,它起源于网络科技的发达与运用

   个人数据与个人信息一样,都是一种新兴的立法术语,它们几乎都是从20世纪70年代开始慢慢进入法学研究者的视野。个人信息本质上是一种有关个人的知识,那个人数据又该如何理解呢?毫无疑问,该问题对于个人数据为何可以且应当成为一个立法术语非常关键。《数据安全法》第3条规定“本法所称数据,是指任何以电子或者其他方式对信息的记录”,而《现代汉语词典》对数据的解释是“进行各种统计、计算、科学研究或技术设计等所依据的数值”。从这两个具有权威性的有关数据的定义与解释可知,数据与信息之间的差别明显,数据是一种可视性较低的静态化存在的记录或数值,它本质上是一种知识的载体,是知识的一种形式化的存在形态,但不是知识本身。

   在传统社会,数据主要是通过用笔书写记载于有形的纸张之上,即在传统社会数据是一种容易看得见、摸得着的物理性、书面化存在。而在现代社会,数据则主要通过计算机来记录,它是借助独特的计算机语言——二进制编码(0和1)方式所进行的一种记录。与传统的书面式记录相比,计算机记录具有方便、快捷、易储存、易传输、易保密、低成本等诸多优势。在传统社会,不管是个人数据还是公司企业的数据,都不需要运用专门的法律来予以保护。因为那时候数据被书面化了,不管是窃取还是毁坏数据,都只能通过窃取书本或毁坏纸张的方式为之,通过传统的物权或财产权来保护纸张或书本,即可“间接”但又非常有效地保护那些攸关个人或企业权益的数据。

但在现代互联网科技时代,(点击此处阅读下一页)


爱思想关键词小程序
本文责编:陈冬冬
发信站:爱思想(http://m.aisixiang.com)
本文链接:http://m.aisixiang.com/data/138345.html
文章来源:《求索》2022年第5期
收藏