天津市白癜风医院 http://pf.39.net/bdfyy/bdfzd/210826/9366626.html个人信息的定义是个人信息保护的起点,但理解起来反而比较困难。本文通过对我国个人信息保护立法、欧盟《通用数据保护条例》(GDPR)、GDPR前身95/46/EC指令、第29条工作组解读、欧盟判例、中国判例的梳理,尝试给出一些相对全面的解读。
一、个人信息与个人数据
个人数据与个人信息是法律同义词,没有实质差别。尽管学术上可能有一些区分,但是法律上的关系可类比知识产权领域的著作权和版权,做出区分的意义不大。所以不同的国家在数据保护立法时,主要采取了数据派和信息派二选一的方式。根据具体的场景,本文会同时使用个人信息和个人数据的表述方式,二者视为同义词。
欧盟是数据派,在欧盟层面,年生效的《通用数据保护条例》(GeneralDataProtectionRegulation,简称GDPR)在全世界范围内对数据保护产生了极为重大的影响,GDPR在其成员国具有直接适用的法律效力。欧盟成员国立法也多以数据为表述方式,例如德国的《联邦数据保护法》(FederalDataProtectionAction),法国的《数字共和国法案》(DigitalRepublicLaw)等。除了欧盟,其他国家和地区也有数据派,例如新加坡的《个人数据保护法》(PersonalDataProtectionAct)。
我国是信息派,《民法典》、《网络安全法》、《个人信息保护法(草案)》采用了个人信息的表述方式,并且早在年,就有《中华人民共和国个人信息保护法(专家建议稿)及立法研究报告》出现。同为信息派的国家例如加拿大的《个人信息保护法》(PersonalInformationProtectionAct),韩国的《个人信息保护法》(PersonalInformationProtectionAct),日本的《个人信息保护法》(PersonalInformationProtectionAct)等。
无论是信息派还是数据派,其代表了个人信息或数据保护的一种主要模式,即集中单独立法。还有一种模式是美国的隐私权保护模式,将个人信息或数据视为隐私的下位概念。
二、中欧立法
(一)中国
年,《网络安全法》第七十六条规定,“个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证号码、个人生物识别信息、住址、电话号码等。”
年,《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第一条规定,“公民个人信息”,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。
年,《信息安全技术个人信息安全规范》对个人信息的定义是,以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。
年,《民法典》第一千零三十四条规定,“个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。”
年,《个人信息保护法(草案)》第四条规定,“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。”
(二)欧盟
由于我国的个人信息保护立法高度参考借鉴欧盟立法,而欧盟立法主要开始于95/46/EC指令,因为本文对95/46/EC指令和随后的GDPR同时摘录原文:
95/46/EC指令第二条,personaldatashallmeananyinformationrelatingtoanidentifiedoridentifiablenaturalperson(datasubject);anidentifiablepersonisonewhocanbeidentified,directlyorindirectly,inparticularbyreferencetoanidentificationnumberortooneormorefactorsspecifictohisphysical,physiological,mental,economic,culturalorsocialidentity;(原文无标记)
本文翻译为:“个人数据”是指与已识别或可识别的自然人(“数据主体”)相关的任何信息。可识别的自然人是能够被直接或间接地识别的人,特别是通过一个标识符实现识别,或者是通过自然人的一个或多个物理个性、生理个性、遗传个性、心理个性、经济个性、文化个性或社会个性这样的要素实现识别。
GDPR第四条,‘personaldata’meansanyinformationrelatingtoanidentifiedoridentifiablenaturalperson(‘datasubject’);anidentifiablenaturalpersonisonewhocanbeidentified,directlyorindirectly,inparticularbyreferencetoanidentifiersuchasaname,anidentificationnumber,locationdata,anonlineidentifierortooneormorefactorsspecifictothephysical,physiological,genetic,mental,economic,culturalorsocialidentityofthatnaturalperson;(原文无标记)
本文翻译为:“个人数据”是指与已识别或可识别的自然人(“数据主体”)相关的任何信息。可识别的自然人是能够被直接或间接地识别的人,特别是通过一个标识符实现识别,例如姓名、身份号码、定位数据、在线身份标记,或者是通过自然人的一个或多个物理个性、生理个性、遗传个性、心理个性、经济个性、文化个性或社会个性这样的要素实现识别。
通过阅读不同的翻译版本,笔者发现上述“any”和“identity”往往没有被准确的翻译出来,特别是identity,不宜翻译为身份,更妥的办法是采用identity的第二含义:个性。有译文将其翻译为特征项,也比较准确。原因是,身份与识别关系太紧密了,使用不当容易引起误解,其次,这里的identity明显是对从physical到social的全部对应,而不仅仅是对social,所以翻译为身份的话,从语义上很难对应physical,physiological,genetic,mental,economic,cultural。
三、个人信息定义解读
一项信息是否属于个人信息保护法上的个人信息,其判断的标准主要有识别说、关联说和隐私说三种。识别说是国内外的主流观点,且明确被我国的法律法规采用。因此,本书对关联说和隐私说予以简单介绍,重点对识别说予以分析。
(一)关于个人信息定义的不同学说
1、关联说
关联说,即与自然人相关的一切信息均为个人信息。例如瑞典《个人数据法》第三条规定,“个人数据指各种可以直接或间接地和某一活着的自然人相关联的信息。”我国《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》和《信息安全技术个人信息安全规范》中对于“反映特定自然人活动情况的各种信息”就是与关联性有关的内容。关联说的主要弊端在于,对于个人信息的保护过于宽泛,将个人信息的保护绝对化。个人信息本身通常并没有价值,个人信息的收集和处理则使得个人信息发挥集合优势,*府可以对社会进行更好的管理,企业可以为消费者提供更好的服务,从而使得社会整体收益,但是滥用个人信息则可能带来负面的效果,例如人肉搜索、垃圾短信、信息诈骗等。因此,对于个人信息的法律规制导向应当是既要鼓励收集和处理,例如在知情同意环节,允许选择退出(optout)方式,而不是强求选择加入(optin)方式,又要规范收集和处理的方式。关联说明显相悖与鼓励个人信息收集和处理的导向,例如*府或者企业收集的信息很多时候并不能识别个人,此时允许个人对此实施个人信息自决权则阻碍*府或企业目的实现,最终受损的是社会整体。
2、隐私说
隐私说,即认为构成个人隐私的信息才可以作为个人信息。美国Patent教授认为,“个人信息系指社会中多数所不愿向外透露者(除了对朋友、家人等之外);或者是个人极敏感而不愿他人知道者。”这种观点在现在看来可能不合时宜,但是在信息技术发展到一定程度之前,绝大多数个人信息并没有保护的实际需求。目前,已经鲜有国家采用隐私说定义个人信息。
3、识别说
识别说是通过建立信息与个人之间的识别关系而作为判断个人信息的标准。我国《民法典》和《网络安全法》即采用识别说。类似的做法比如,新加坡《个人数据保护法》第二条规定,“个人数据是指一个通过以下资料可以识别的个人数据,而不必考虑其真实性:该数据或该数据以及机构已经或可能获得的数据和其他资料。”
4、识别说+关联说
欧盟95/46/EC指令和GDPR采用的就是识别说+关联说的做法,简单是就是与已识别或可识别的人有关的任何信息都属于个人数据。我国的《个人信息保护法(草案)》第四条规定,“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。”类似的做法例如,韩国《个人信息保护法》第二条规定,“个人信息是指与任何存在的人有关的,可以通过他/她的姓名和居民登记号码、图像等来识别这些个人(包括那些不能单独用来确定具体个人但可与其他信息结合来识别个人)的信息。”德国《联邦数据法》第三条规定,“个人数据是指已识别或可识别个人的个人情况或实质情况的任何信息。”加拿大《个人信息保护法》第一条规定,“个人信息是指有关可识别个人的信息,包括员工个人信息,但不包括联系信息或工作产品信息。”
可以说,我国的《个人信息保护法(草案)》采用了识别说+关联说的做法非常突然,与采用识别说的《网络安全法》和《民法典》存在很大不同,但与欧盟95/46/EC指令和GDPR很接近。与识别说相比,识别说+关联说无论是理解还是落地执行都要更加困难。即便如此,笔者认为我国个人信息保护法最终也很难回归识别说。年11月,东盟十国以及中国、日本、韩国、澳大利亚、新西兰共15个国家签署了《区域全面经济伙伴关系协定》(RCEP)。RCEP中对个人信息的定义为,“personalinformation”meansanyinformation,includingdata,aboutanidentifiedoridentifiableindividual.这个定义就是高度浓缩版的GDPR第四条。
即便是识别说+关联说,也是以识别为基础,可视为识别说的PLUS版本,其核心仍在于识别,但是识别也面临着挑战。随着新技术的发展,例如大数据下,几乎所有信息在技术上都可以识别个人,所有的信息也就成为了个人信息。甚至,不必考虑技术的因素,通过对任何信息的不计成本的、不放过蛛丝马迹的追踪,往往都能识别到个人,但这并不是法律工作的方式,这是警察或者侦探的工作方式。因此,识别仍然是界定个人信息的最好手段。
(二)识别+关联学说下个人信息定义的理解
1、欧盟关于个人数据定义的案例
案例:PatrickBreyer诉德意志联邦共和国案
PatrickBreyer访问了德国联邦机构的几个网站,这些网站对公众开放。出于防范网络攻击等目的,这些网站会通过日志储存访问信息,并且在访问者离开网站后仍然保存在日志中。保存的信息包括被访问的网页或文件、搜索的关键词、访问时长、传输的数据、访问是否成功的标记、访问者使用的电脑的IP地址。
IP地址相当于电脑在互联网上的铭牌,被访问网站的服务器通过IP地址识别电脑,并向电脑的访问请求作出响应。IP地址有静态IP地址,也就是固定不变的一串数字,也有IP地址,每次一台电脑跟互联网连接的时候,都会被分配一个IP地址,下次再跟互联网连接的时候,会被分配另外一个IP地址,每次IP地址使用完成都会被放回池中,以供别的电脑调用。动态IP地址显然很有实际作用,因为同一个动态IP地址可以在不同的时间被分配给不同的电脑,资源利用更充分。
PatrickBreyer向德国行*法院(GermanAdministrativeCourts)提出诉讼,请求禁止联邦德国在他访问联邦机构运营的提供在线媒体服务的网站结束后,仍然存储或者安排第三方存储他的动态IP地址。一审败诉后,PatrickBreyer提出了上诉。上诉法院最后判令,如果PatrickBreyer访问网站时提供了自己身份信息(identity)的情况下,在访问结束后,联邦德国不得自行或者安排第三将他的动态IP地址和访问的时间段信息存储。
上诉法院关于“如果PatrickBreyer访问网站时提供了自己身份信息的情况下”的限定很有意思。上诉法院的解释是,一个动态IP地址,结合访问日期,在访问者提供了个人身份信息(identity)的情况下,构成个人数据,因为网站的运营者可以通过将他的名字和他的动态IP地址联系起来而识别访问者。
上诉法院认为其他情况下动态IP地址不构成个人数据。上诉法院给出的理由是,如果PatrickBreyer访问网站时没有提供自己身份信息(identity),只有互联网络服务提供商(internetserviceprovider)可以将动态IP地址与一个可以识别的用户联系起来。但是,德国联邦是在线媒体服务的提供者(providerofonlinemediaservices),动态IP地址对德国联邦而言不是个人数据,哪怕是与访问日期组合,也不构成个人数据,因为对于德国联邦而言,访问者不是可识别的。
PatrickBreyer和联邦德国都提出了上诉至德国联邦最高法院。德国联邦最高法院将案件提交给欧盟法院,要求欧盟法院作出最初裁决。
德国联邦最高法院认为,网站的运营者(联邦德国)自己掌握的信息包括动态IP地址在内还不足以让联邦德国识别PatrickBreyer,但是第三方即PatrickBreyer的互联网服务提供商是可以通过动态IP地址识别PatrickBreyer的。因此,识别的标准是采用限定在联邦德国能否识别的客观标准(objectivecriterion)还是也包括任何第三方是否可以识别在内的相对标准(relativecriterion)是解决问题的关键。德国联邦最高法院对此无法确信,因此希望欧盟法院就这个问题作出初步裁决。
这个问题乍一听上去好像不合理,既然联邦德国自己掌握的信息动态IP地址在内还不足以识别PatrickBreyer,第三方即PatrickBreyer的互联网服务提供商可以通过动态IP地址识别PatrickBreyer,那么逻辑的自然结果是,对联邦德国而言,动态IP地址不构成个人数据,对互联网服务提供商而言,动态IP地址构成个人数据。这种逻辑忽略了一个重要问题,联邦德国是可以从PatrickBreyer的互联网服务提供商获得额外的信息的,获得之后就可以识别PatrickBreyer。因此,只要联邦德国从PatrickBreyer的互联网服务提供商获得额外信息的努力没有不成比例(withoutdisproportionateeffort,笔者认为,如果不考虑成本,通过对任何信息的不计成本的、不放过蛛丝马迹的追踪,往往都能识别到个人,但这并不是法律工作的方式,这是警察或者侦探的工作方式),那么动态IP地址仍可帮助联邦德国识别PatrickBreyer,进而构成个人数据。
考虑到欧盟法院有可能采用相对标准,德国联邦最高法院紧接着提出了第二个问题。这个问题与95/46/EC指令有关。95/46/EC指令第七条规定,联盟成员国应当规定只有在下列情况下,个人数据才可以被处理,(F)处理对于数据控制者或数据披露给的第三方的正当合理利益(legitimateinterest)是有必要的,例外情况是,当指令第一条所保护的数据主体的基本权利和自由比这种利益更重要时(不得处理数据)。德国的TMG(LawonTelemedia)第15条规定,服务提供商只能在便利(用户)使用媒体和向用户收费的情况下,才可以收集和使用用户的个人信息。德国联邦最高法院解释说,德国联邦规定个人数据是可以存储的,因为这对保证在线媒体服务的安全和稳定运行有必要,特别是对网络攻击的追踪定位很有必要。德国联邦最高法院认为,为了保证在线媒体服务的安全和稳定而存储个人数据,也属于TMG第15条的“便利用户使用媒体”。但是大多数学术观点持反对意见,他们认为收集和使用个人数据只能是用于(帮助用户)实现浏览网站的特定用途,而且一旦浏览结束,除非为了收费还要储存一段时间,否则应当立即删除个人数据。因此,德国联邦最高法院提出了第二个问题,询问欧盟法院出于保证在线媒体服务的安全和稳定运行目的,是否可以未经同意处理个人数据,毕竟TMG和95/46/EC指令的内容并不一致。
欧盟法院对第一个问题的评述:
动态IP地址不构成已识别的自然人的相关信息,因为动态IP地址不能直接揭示使用电脑的人的身份(sincesuchanaddressdoesnotdirectlyrevealtheidentityofthenaturalpersonwhoownsthe
