第二节 个人信息的立法界定
在个人信息的定义上,有概括型、概括列举混合型和识别型三种模式。概括型定义就是单独使用概括的方法描述个人信息的定义方式,列举型是单独使用列举的方法界定个人信息的定义模式。单独使用列举型定义的立法十分少见,而大部分采取混合型定义模式或者概括型定义模式。所谓混合型,是指兼采概括和列举模式的定义方式,既有关于“识别”的概括,也兼有关于一般个人信息或特殊个人信息的列举。识别型就是以识别为核心要素对个人信息进行界定的定义方式。
在理论界,还有两种个人信息的定义较有代表性。第一种为关联型定义方式。此种定义方式从个人信息与信息主体的关联性出发,将凡与个人相关联的所有信息均认定为个人信息。“所谓个人信息,包括人之内心、身体、身份、地位及其他关于个人之一切事项之事实、判断、评价等之所有信息在内。换言之,有关个人之信息并不仅限于与个人之人格或私生活有关者,个人之社会文化活动、为团体组织中成员之活动,及其他与个人有关联性之信息,全部包括在内。”[10]第二种为隐私型定义方式。此种定义方式从个人信息和个人隐私的关系出发,认为凡与个人隐私相关联的信息才构成个人信息。美国Parent教授认为,“个人信息系指社会中多数所不愿向外透露者(除了对朋友、家人等之外);或是个人极敏感而不愿他人知道者(如多数人不在意他人知道自己的身高,但有人则对其身高极为敏感,不欲外人知道)”。[11]关联型定义方式失之过宽,将不具有识别性的个人信息也纳入了个人信息保护法;而隐私型定义方式失之过窄,将应由个人信息保护法保护的部分个人信息排除在保护范围之外,且混淆了个人信息与隐私之间的关系,各有不足。
一、概括型定义
采用概括型模式的有德国、美国、荷兰、欧洲议会、OECD和我国香港。
德国法采取了概括型的定义方式。根据德国90资料保护法第二条的规定,个人资料是指“凡涉及特定或可得特定的自然人的所有属人或属事的个人资料”。美国商务部签发的《安全港隐私保护原则》(2000年7月21日)亦采用概括型定义模式。该规则规定,“个人数据”和“个人信息”是指在指令的覆盖范围内,关于某一确定的人的数据或用以确定某人的数据。美国联邦贸易委员会为实施《儿童在线隐私保护法》而制定的《儿童在线隐私保护规则》中对个人信息作了一个概况性的定义:个人信息指有关可以在线收集的个人的所有识别信息。随后,它详细地列举了网上主要的个人信息,这些个人信息有:
(a)姓名;
(b)物理地址:家庭或其他所在地址,包括所处的城镇和街道等;
(c)网络地址:电子邮件地址、能显示电子邮件地址的昵称等其他在线联络地址;
(d)电话号码;
(e)社会保险号码;
(f)网上识别标志:诸如cookie等权利管理软件中所保存的用户的号码和处理器的序列号等,只要这些标志能与用户联系在一起;或者将某人的姓名或照片与个人的其他信息相结合的标志等。
荷兰资料保护法第一条的规定,个人数据是指涉及个人的已被识别或可被识别的任何资料。
采用概括型定义方式的还有欧洲议会公约和OECD指针。
欧洲议会公约第二条(a)款规定:“个人资料”是指任何可识别或可得识别个人(即“资料本人”)的信息。
OECD指针第一条(b)规定,“个人资料”是指任何关于一个可识别或可得识别自然人(本人)的信息。
我国香港96条例也采取了概括型定义模式。条例第2条规定:
“个人资料”(personal data)指符合以下说明的任何资料——
(a)直接或间接与一名在世的个人有关的;
(b)从该等资料直接或间接地确定有关的个人的身份是切实可行的;及
(c)该等资料的存在形式令予以查阅及处理均是切实可行的;
二、概括列举混合型定义
采用混合型模式的代表国家和地区有英国和我国台湾省。
英国资料保护法采取了识别型定义,同时并用概括与列举的立法技术,特别将“观点的表达”和“意图的表达”规定为个人信息。根据该法第一条的规定,“个人资料”是指可以直接或者间接识别一个活着的人所有资料,包括个人观点的表达、个人意图的表达等。
我国台湾省采取概括和列举并重的混合型定义模式。我国台湾“资料法”第三条第一款规定,“个人资料指自然人之姓名、出生年月日、身份证同意编号、特征、指纹、婚姻、家庭、教育、职业、健康、病历、财务情况、社会活动等足资识别该个人之资料。”欧盟指令也采用了混合型定义模式,第2条(a)规定:“个人资料”是指任何识别或可得识别自然人(资料主体)的任何信息;可识别的自然人是指直接或间接特别是通过他的身份证号码或他的身体、生理、精神、经济、文化和社会识别等一个或多个特有因素,从而被识别的人。
三、识别型定义
(一)定义
识别型定义是目前国际和国内立法采用较多的个人信息定义方式。按照这种方式,个人信息是指个人的姓名、性别、年龄、血型、健康状况、身高、人种、地址、头衔、职业、学位、生日、特征等可以直接或间接识别该个人的信息。
(二)识别
识别型定义中,关键词汇为“识别”。
1.识别的定义
所谓“识别”,就是指个人信息与信息主体存在某一客观确定的可能性,简单说就是通过这些个人信息能够把信息主体直接或间接“认出来”。识别包括直接识别和间接识别,直接识别就是通过直接确认本人身份的个人信息来识别,比如身份证号码、基因等;间接识别是指现有信息虽然不能直接确认当事人的身份,但借助其他信息或者对信息进行综合分析,仍可以确定当事人的身份。一般而言,姓名可以构成“直接识别”,但在有几个相同姓名的人的情况下,还要依靠生日、地址、职业、身高等信息才能识别。APEC隐私保护架构所称的个人信息主要是指可以识别个人的信息,此种识别包括直接识别和间接识别两种类型。其保护的个人信息包括了不能用以直接识别个人,但经过和其他档案信息“串档”对比之后可以识别该个人的信息。统计分析或以代号出现的个人信息,属于不能辨识信息主体的信息,因此不属于个人信息保护法的调整范围。
2.识别的标准
在判断信息是否能够识别个人时,应着重考虑以下几个方面的问题:
(1)识别能力的确定。个人信息保护法上的识别,实质上是一定的信息将一个人与其他人区别开来的能力。可以说,识别不一定需要有关一个人的名字或者身份证号码信息,但一定是需要一人不同于其他人的典型特征信息。欧盟指令对“识别”采取了“可能”和“合理”标准,既而判断一个人是否可被识别,不是简单机械地就一个或者一组信息而论,而要考虑信息管理者或其他需要进行识别的人所采取的一切可能和合理的手段。“可能(likely)”侧重于识别的几率,一个不可能识别个人的信息不是个人信息;而“合理(reasonably)”则侧重于识别的难易程度,一个需要付出不成比例的费用,或者需要克服过分之困难才能进行的识别,往往不构成个人信息保护法上的“识别”。但也有人主张,欧盟以有关识别的规定,实际上侧重的是识别的能力(capability)或潜在性(potentiality)可能性,而非识别所实际达到的效果。因此,仅仅由于信息管理者拒绝或者不愿意将个人信息与特定个人联系起来,不会使个人信息丧失识别能力。
(2)识别机构。在识别机构的认定问题上,有两种不同的主张,英国资料法主张,只有信息管理者是识别机构,而考虑信息是否能够被识别时,只考虑信息管理者的识别能力。欧盟指令却认为任何一个人和组织都可以成为识别机构。欧盟指令陈述26指出,任何人都可能成为合法的识别机构。换言之,指令的立法决定不仅是信息管理者具有将个人信息与个人相联系进行识别的能力,而且是任何人具有实施此行为的能力。欧盟指令关于识别机构的规定,被认为降低了判断信息是否满足识别条件而构成个人信息的门槛。笔者认为,这两种立法例并不矛盾,但欧盟指令的规定对信息主体更加有利,对信息管理者科以了严格的义务和责任,甚至有可能使信息管理者面临不可预测的诉讼风险。鉴于欧盟指令的目标是鼓励广泛和灵活的识别方法的应用,从而为个人信息保护提供更为广泛的基础,而任何人可以成为识别机构的规定,是符合这个精神的。在个人信息保护实践中,也经常会遇到信息管理者之外的人或者组织,未经授权非法获取这些个人信息的情况,如果把这些人排除在识别机构之外,将不能全面保护信息主体的权益。
由此,笔者主张,我国未来立法应借欧盟指令的规定,以不特定的一切人和组织为识别机构,而不把识别机构仅仅限制于信息管理者,并以此来判断一个或者一组信息是否构成个人信息。
(3)信息与个人的相关性。信息与个人的相关性是判断信息是否构成个人信息的另一核心主题。这个主题的重要性主要是体现在主观信息是否构成个人信息方面。根据个人信息保护法的基本原理,一个信息和一个特定个人相联系,指向的是一种客观联系呢,还是包括所谓的主观联系?很多国家的个人信息保护法要求信息和个人之间的联系必须是客观有效的,基于错误的评价不能建立此种个人信息保护法上认可的联系,即不能借此判定信息构成个人信息。
然而,也有很多国家的个人信息保护立法,如澳大利亚的个人信息保护法,允许评价(opinions)成为个人信息,澳大利亚的立法甚至认为错误的评价仍然构成个人信息。欧盟指令第2条对“个人资料”的定义,是否包含评价尚不十分明确,但是欧盟是指令并未特别将评价予以排除。但本着最大范围保护“个人信息”的理念,以及欧盟指令确立的高水平保护标准,笔者主张,个人信息的定义应被理解为包括评价甚至是错误的评价信息。
(4)辅助信息。个人信息分为直接个人信息和间接个人信息,间接个人信息不能直接识别个人,要通过和其他信息一起进行识别,能辅助其他信息进行识别的信息称为辅助信息(auxiliary information)。只要国家立法允许识别可以间接发生,就会出现辅助信息的问题。“个人信息”定义中的“可识别的(identifiable)”应被理解为“允许使用一些辅助信息来识别”。
笔者主张我国个人信息保护立法应该采取识别型定义和混合型相结合的立法模式。识别是界定个人信息的核心法律要素,而混合型模式可以兼顾概括型和列举型的长处,既对个人信息做出了概括性规定,避免挂一漏万;又突出了个人信息的重点内容,符合立法明确化的要求。
四、扩展与限制:个人信息概念的进一步解读
在理论上,个人信息的定义可以被理解为大量信息的汇集,其中包括与特定个人并无直接联系,但的确存在一种联系的地理信息和环境信息,这和一般情况下的人们的基本观念似乎相违背,人们一般认为这些不是“个人的”,而是公共的,和个人无关。这个事实说明,个人信息保护有可能自身进行扩展和膨胀,以至于影响到其他法律或者威胁其他利益。因此,应对“个人信息”这个概念给予必要的限制,也就是说,并不是在所有情况下都对符合个人信息定义的所有信息给予个人信息保护法的保护。例如发生在继承案件中的一辆汽车的信息,记载在相关的继承文件中,包括汽车的颜色、结构和车主,这些为了继承目的而记载的汽车信息,不被认为构成个人信息保护法上的“个人信息”,尽管这些信息的确与一个特定的个人相关。在这一点上,挪威《个人资料法》做出了明确说明,肯定一些符合“个人信息”字面定义的信息可能得不到个人信息保护法的保护。对于这个问题的理解和另外一个看似不相关的问题直接联系,那就是个人信息处理环节中的“收集”。笔者认为,在个人信息保护法上,收集并不是一个仅仅反映客观现象的概念,而是一个包含主观意图的概念。只有当信息管理者为了识别某特定个人,或者企图寻找识别某特定个人的信息之时的信息汇集才构成个人信息保护法上的收集。因此,不是为了“识别”目的而使用个人信息,在很大程度上和个人信息保护法无关。这样,可以使非识别目的的使用脱离个人信息保护法的掣肘,解放人类的社会生活。
五、互联网上的个人信息:个人信息的实证分析
(一)网络空间中的信息与识别
在网络空间中产生了一些有别于现实世界的新的信息,按照识别型定义,这些信息是否构成个人信息,值得探讨。
可识别并不是一个绝对的标准。个人信息通常是由个人信息保护法确定的一个具有广泛性和灵活性的概念。绝大部分国家和国际立法都采取识别型定义来描述个人信息,却不为个人信息这个概念提供具体的判定标准。一个个人信息不需要直接涉及“个人”,但却要求是和个人有关的。
在网络空间形成的新的有关个人的信息主要有电子邮件(E-mail)、账号(Username)和与之对应的密码(Password)、IP地址(IP address)、域名(Domain Name)、不变资源定器(UniformResource Locator,URL)以及cookies。①电子邮件地址(e-mail address)。电子邮件构成可识别的个人信息。我国台湾省对此有专门的规定,在我国台湾省“法务部”会同“财政部”等目的事业主管机关所公布的“电脑处理个人资料保护法之个人资料之类别”中,将个人资料类别分为10大类133项。而电子邮件地址被归于识别类中代号C001“辨识个人者”一类,属于资料法保护的个人资料。②账号(Username)和密码(password)。关于电子邮件和网络论坛等用户注册的账号和密码,如果用户是以真实名称注册,当然属于我国台湾省规定的识别类代号C001“辨识个人者”或C073“安全细节”,如果用户使用的是假名,如果配合密码等相关资料一起处理,仍然可以识别个人,因此,应属于个人信息。③IP地址(IP address)。一台个人电脑的IP地址,构成某个人的个人信息,但这个IP地址没有直接涉及“人”。即便是在数人共享使用一个用户名和IP地址的情况下,也是如此,这种共享并不必然使该IP地址丧失被作为个人信息的资格。这一点在网络营销公司派发广告到一个IP地址的情况下,显得尤其重要。计算机互联的目的在于信息的传递,而信息的传递是通过一定的硬件和软件得以实现的,TCP/IP协议就是互联网通行的通讯协议。在TCP/IP协议下,每一台计算机都处于不同的地址,这个地址就是IP地址。因此,可以说IP地址实际上是指计算机在网络空间上的位置。为确保IP地址的唯一性,专门机构负责分配IP地址,其为上述机构分配的、从000.000.000.000到255.255.255.255的一个数字组合。因此,在IP地址的主要目的在于辨识电脑在网络上的位置,似乎并未涉及个人。网络地址虽然长度较长,一般人不容易记忆,但一般而言,一个IP地址对应一台计算机,而一台计算机对应着一个固定用户,因此,IP地址浏览的内容就是其固定的用户浏览的内容,根据我国许多城市颁布的网络实名制的规定,这个用户是很容易被确定的。[12]有鉴于此,笔者认为IP地址构成个人信息。④域名(Domain Name)。域名是Internet发展到一定阶段才出现的,是在二进制代码的基础上发展起来的。在Internet上每一台计算机都有一个特定的二进制代码为识别标识符,这种代码是由“0”和“1”组成的系列。为了克服二进制代码的难以记忆,人们开发了“主机名(HostName)”和一种介于二进制代码与主机名之间的标识符Internet地址——IP地址(Internet Protocol Address)。在此基础上,加利福尼亚大学的波斯特尔(Jonathan Postel)博士开发了域名系统。给每一个IPA起一个人眼和人脑便于识别和记忆的名字,每一个这样的名字对应一个IP地址,这种名字就是域名。“由此可见,从技术上来说,域名本身是在连入网络的计算机需要相互建立联系的背景下产生的,是连入网络的计算机在Internet中的技术标识符,是易被人记忆(Easy-remember or Human Friendly)的网络计算机标识符或者说是计算机IP地址的外部代码,而对计算机网络用户而言,域名是主体在网上相互寻找、了解、评价及认识网络及网页所有人的一种重要身份符号”[13]。Domain Name的英文含义是,“在域名系统(DNS)中为特定因特网主机所起的便于记忆的名字,它与难以记忆的数字式的IP地址相对[14]”。可以看出域名是IP地址的一个称谓由于IP地址系全部由数字所构成,一般人实在不容易记忆。因此为便于IP地址的记忆,便赋予每个IP地址有一包含文字的名称,而此名称即为网域名称(Domain Name)。和IP地址构成个人信息的原因一样,域名构成个人信息也是因为其可以间接识别用户。⑤不变资源定器(UniformResource Locator,简称URL)。URL可以说是网络上的命名系统,其作用在于为某计算机(一般为主机)寻找资料或参与论坛提供连接,以冒号(:)为标志,其大致分为两部分,冒号之前为连接的方式如FTP、Gopher、telnet、news等,最普遍和惯常使用的是http;而冒号后为主机的名称。基于主机和用户的对应性以及用户浏览内容本身属于个人信息等理由,笔者认为URL构成间接个人信息。⑥Cookies。Cookies是网站服务器(web server)储存在使用者浏览器中的一小段信息。Cookies的功能是使浏览器记下这些特定的信息,以方便网站服务器在未来使用。因为Cookies同时具有记录用户浏览时间、浏览网页、电子购物等多种跟踪功能,所以笔者认为Cookies构成个人信息。而另外的情况,比如域名的点击量资料和搜索引擎中关键词的使用量资料能否构成个人信息值得讨论。一方面,这些数据对拥有域名的人,或者关键词指向的人很重要,体现着他们的受欢迎度和知名度以及影响力等社会身份要素,也就是说,和“人”直接相连,但是这些“重要”,主要是对信息经济而言,不是针对个人信息保护而言,点击量这类信息不为个人信息保护法所直接关注。就个人信息保护法的立法目的而言,我们不能绝对得出结论说这些信息是“属于个人的”;另外一方面,我们也不能得出点击量不构成个人信息的绝对结论。随着信息科技的不断发展,我们的答案可能需要不停的修改;当前被认为可能与个人没有联系或者联系十分困难的资料,日后可能会变得相对容易。⑦地理信息系统中的城市居民的住宅图像。地理信息系统(Geographical Information System,简称GIS)是收集、处理和表达地理空间信息从而服务于土地利用等经济建设和政府管理的计算机信息系统。GIS和一般的管理信息系统不同,它处理的信息都和地理信息有关。地理信息是各种地理特征和现象间关系的符号化表示,包括空间位置、属性特征(简称属性)及时域特征三部分。根据我国2006年2月25日光明日报报道,我国国家基础地理信息系统1∶50 000数据库诞生。在此信息系统中,包含了每个大城市居民的住房图像。此种住房图像,配合门牌号码以及房产证明就可以对信息主体进行有效“识别”,因此,笔者认为这种存在于地理信息系统中的住房图像构成我国公民的个人信息。
(二)互联网上个人信息的适用
1.互联网与数据库
网络空间本质上说是一个数据库,它通过数据演绎人与人之间的关系。“网路空间是一个没有物理空间的领域,我们进入网际网路,其实就是透过一个界面,进入一个拥有自己向度和规则的相对独立的世界。”[15]。
计算机网络的首要目标是使网络中的所有用户都可以有条件地利用网络中的全部或部分资源,包括网络中的各种硬件、软件和数据。所谓硬件,是指构成网络的物质实体;软件是指控制和管理网络运行的程序系统以及在网络中装载和应用的各种计算机程序;数据是指网络中各种设备存储的以及在网络中传输的各类信息的载体,是用二进制码表示的,其外在形式为文字、数字、声音、图形、图像等,信息则指数据表达的内容。在计算机传递的信息中,个人信息是最为引人关注。实现信息资源的共享,则可以使某台设备中的数据供全网使用,而且各个网络用户都能够及时地、不受地理位置限制地获取和交流信息,这是计算机网络所追求的最主要目标。人们对这个目标的过度追求,使得个人信息等一些需要保护的信息面临非法传输、泄露和滥用的危险。
互联网与万维网不同,互联网泛指全球范围内的由多个计算机网络相互连接而成的一个网络整体;“万维网(WorldWideWeb,简称WWW)”是名词审定委员会对“world wide web”的中文命名,其基本含义是基于超文本的,方便用户在因特网上搜索和浏览信息的信息服务系统。因此,万维网是互联网中的一种应用系统,和电子邮件(E-mail)、资料传递(FTP)以及远程登录(Telnet)等应用系统一起构成互联网的应用系统。之所以万维网也被称为“网”,是因为在现在的互联网中,绝大部分的应用都是WWW浏览,但并不等于说只有万维网一种浏览方式。
万维网是1989年由英国牛津大学的一名毕业生TimBerners-Lee发明的,然而,直到1994年万维网才引起了大众的注意并受到了广泛的欢迎。万维网使以前互联网上使用的纯文本界面和图形界面声音界面相互结合,让界面变得生动和充满吸引力。同时从历史上看,正是因为万维网的出现,才使互联网能够迅速地在世界范围内发展起来。万维网就是世界最大的分散型数据库(Distributed Data Base,简称DDB)。随着数据库技术的日趋成熟和计算机网络技术的快速发展和应用普及,数据库已经和计算机网络建立了普遍的联系。这时,集中式数据库系统丧失了发展的优势,而分散数据库得到了广泛的应用。
分散式数据库是一种物理上分散,但逻辑上集中的数据库,它存在于不同结点的主机之上,这些结点由通信网络相互连接,每一结点都享有对数据的自治处理能力并能完成局部性应用,而每一结点也至少参与一种全局性应用,其中,全局应用是通过计算机程序完成的。可以说,分散式数据库是计算机网络环境中各结点主机上数据库的逻辑集合。分散式数据库具有以下两个基本特点:第一,物理分散性。数据库并不是存储在一个主机之上,也并不是存放在一个结点上,而是存储在计算机网络的多个结点之上。第二,逻辑整体性。虽然数据库物理分布在各个结点,但逻辑上是一个整体,它们可被所有用户实现全局共享,并由一个系统统一管理。万维网就是这样一个分散式数据库。而对于互联网来说,搜索引擎和电子公告板也同样构成一个数据库。
2.网上信息与个人信息保护
因此,可以说,互联网上的个人信息受个人信息保护法调整和规范。根据日本2001年向国会提出的草案的规定,几乎所有的企业网站(拥有5 000人以上个人信息的网站)都将受到法案的约束。如果没有征得信息主体的同意,搜索引擎或许不能显示关于他的检索结果。地图网站中,则有可能不能显示某些属于个人的建筑物的名称。互联网上的所有“电子公告板(BBS)”也将纳入调整范围。
《世界人权宣言》第二条规定,“人人有资格享受本宣言所载的一切权利和自由,不分种族、肤色、性别、语言、宗教、政治或其他见解、国籍或社会出身、财产、出生或其他身份等任何区别”。个人信息保护法对上述个人信息的保护,是信息社会《世界人权宣言》保护人权的基本目标的实践。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。