《论个人信息概念的不确定性及其法律应对.docx》由会员分享,可在线阅读,更多相关《论个人信息概念的不确定性及其法律应对.docx(40页珍藏版)》请在第壹文秘上搜索。
1、论个人信息概念的不确定性及其法律应对摘要:个人信息概念是个人信息保护制度的基础。但个 人信息概念面临范围不确定、去标识化信息性质不明、匿名 化信息是否受保护等难题。个人信息概念之所以不确定,是 因为个人信息高度依赖场景,因个人信息识别目标、识别主 体、识别概率、识别风险的不同而不同。在技术与产品飞速 发展的今天,更难找到确定不变的个人信息界定规则。应放 弃个人信息与非个人信息的绝对化区分,将个人信息视为规 制信息关系的制度工具,根据具体场景与制度功能确定个人 信息的范围及其规制方式。在监管层面,可以采取个人信息、 可识别个人信息、非个人信息的三分法而进行功能性的分类 规制;在司法层面,可以进一
2、步进行场景化规制,利用自下 而上的案例确定个人信息的范围和保护制度。通过规制三分 法与司法案例法,可以建立模块化的个人信息分类保护制度。关键词:个人信息;识别;去标识;匿名化;场景化1问题的提出:个人信息概念界定的难题个人信息的概念与范围是个人信息法律保护的基础问 题。目前,各国都采取了个人信息/非个人信息的二元法律保 护机制。一旦某一信息被划入个人信息的范围,此类信息就 将受到个人信息保护法的管辖与约束;相反,一旦某一信息 被认定为非个人信息,则有关主体对此类信息的收集与处理 就不必承担相关义务。以我国为例,个人信息保护法等法律 法规对个人信息进行严格保护,但对非个人信息或匿名化的 个人信息
3、则提倡数据要素市场交易与流通。欧盟亦是如此, 欧盟在个人信息/数据领域制定了严格的一般数据保护条 例,对其处理与流通施加了严格限制,但也同时制定了非 个人数据自由流动条例,对非个人数据采取完全不同的法 律框架。但个人信息的概念并不明确,甚至存在重大争议。首先, 如何理解识别这一概念?目前,各国普遍以是否识别来界定 个人信息。例如,中华人民共和国个人信息保护法(以下 简称“个人信息保护法)第4条规定:“个人信息是以电 子或者其他方式记录的与已识别或者可识别的自然人有关 的各种信息,不包括匿名化处理后的信息J欧盟一般数据 保护条例第4条第(1)款将个人数据界定为“任何已识别 或可识别的自然人(数据
4、主体)相关的信息”。美国加州影 响甚广的加州消费者隐私法将个人信息界定为“直接或 间接地识别、关联、描述、能够合理地与某一特定消费者或 家庭相关联或可以合理地与之相关联的信息:但识别如何 界定?识别是否意味着某一信息必须能够直接联系到某一 个体?假如某一信息只能联系到特定设备,例如联系到某部 手机、某台电脑、某台空调、某件物品,此时这一信息是否 属于个人信息?再比如2022年各大平台上线IP属地公开, 显示网名所属的国家或省份,此类IP地址是否属于个人信 息?其次,如何理解去标识化、假名化信息?目前,各国都 在其法律中对此类行为或信息类型进行了规定。例如,我国 个人信息保护法第73条第3款规定
5、,去标识化是“指个人 信息经过处理,使其在不借助额外信息的情况下无法识别特 定自然人的过程”。欧盟一般数据保护条例第4条第(5) 款规定,假名化“指的是在采取某种方式对个人数据进行处 理后,如果没有额外信息就不能将某一信息归于某一特定主 体”。但经过“去标识化”“假名化”后的信息应当如何归类? 应将其视为个人信息、非个人信息?还是介于个人信息与非 个人信息之间的第三类信息?在当前的信息实践中,企业等 信息处理者所收集的信息常常不包含个人姓名、身份证号, 或者在收集了此类信息后常常采取去标识化、假名化、加密 等手段。对于此类信息如何理解,适用何种法律框架,需要进一步探讨。最后,如何理解匿名化信息
6、、群体性信息等信息传统上 认定为非个人信息?目前,我国和各国法律都将匿名化信息 排除在个人信息之外,因为这种信息被认为无法识别特定自 然人。例如,我国个人信息保护法第73条第4款规定:“匿 名化,是指个人信息经过处理无法识别特定自然人且不能复 原的过程。”欧盟一般数据保护条例也在其“重述 (recital)”第26条中明确,其不适用于匿名化的数据。对 于群体性信息,各国法律也大都没有将其囊括到个人信息范 畴,例如,加州消费者隐私法规定:“与一组或一类消费 者有关的信息有关的汇总消费者信息(aggregate consumer information),如果个人消费者身份已从这些信息中去标 识”
7、,则此类信息不属于个人信息。但问题在于,即使是匿名 化数据,也经常可以被重新识别,给个体带来风险。在大数 据时代,匿名化在一定程度上已经成为失败的承诺(broken promise)o而对于群体性信息,大量运用群体信息进行追踪、 营销和群体识别的情形也日益引起了重视。在实践中,信息 处理者往往对一个群体而非一个个体进行识别、投放广告, 带来所谓的群体个人信息保护或群体隐私(group privacy) 问题。因此,无论是匿名化信息还是群体信息,这类信息是否完全不属于个人信息、不受保护,也需要进一步分析。上述问题相互勾连,而且仅仅是个人信息概念问题的一 部分。回答这些问题,需要对个人信息的概念与
8、范围进行合 理把握,对个人信息的概念进行较为全面的分析与反思。本 文将在分析个人信息概念在制定法与司法案例层面的不确 定性的基础上,进一步探明个人信息概念不确定性的深层原 因,并从原理层面重构个人信息概念,在规制与司法层面提 出个人信息界定的操作性方案。本文的核心论点是,个人信 息高度依附于场景,特别是在大数据时代,某一信息在某种 视角和某种场景下可能不是个人信息,但如果换一视角和场 景,可能就会成为个人信息。同样,去标识化信息与假名化 信息也难以进行完全确定性划分。因此,对个人信息进行界 定,应避免个人信息/非个人信息二元界定,应转而采取场景 化的弹性界定思路,根据某一信息所处的具体场景以及
9、规制 必要性而对其进行性质界定。如果某一信息与具体场景中的 个人权益相关,有必要通过个人信息保护法进行调整,则应 当将此类信息纳入个人信息范围。反之,则应将其界定为非 个人信息或特殊类型的信息。法律对个人信息进行保护,其 本质在于通过个人信息这一概念规制相关的信息实践,而非 保护个人信息本身。通过场景化个人信息界定与制度的功能 性适用,可以实现信息属性的合理界定,保护某一信息行为 中的合法权益、预防相关风险。同时,为了解决场景化理论 等不确定性问题,可以在行政规制层面引入个人信息的三分 法,在司法裁判层面引入案例制度,建立模块化与颗粒化的 个人信息保护制度。个人信息的不确定性及其分析分析个人信
10、息的概念与范围,可以先从我国与欧美等主 要国家和地区的实证法出发。通过分析相关法条与案例,可 以发现不同国家与地区采取了不同的个人信息界定,但也呈 现趋同性,不同国家与地区所面对的问题尤为相似。(一)法律解释及其分析如上所述,我国个人信息保护法将个人信息界定为“已 识别或者可识别的自然人有关”的信息,这一进路也常常被 概括为“识别说” + “关联说”。相比我国网络安全法与民法 典,在“识别”的基础上,其对个人信息概念作了宽泛的界 定。同时,与网络安全法、民法典不同,个人信息保护法 也不再对个人信息的类型进行列举性规定。从立法目的与立 法技术来说,个人信息概念的这一界定意图非常明显,意在 扩充或
11、强调个人信息的保护范围,防范对个人信息作较窄理 解。在实践中,有的信息处理者主张,企业对于没有用户姓 名、不能直接识别的用户画像信息的收集并不直接识别个人, 企业可能“懂你”,但不“认识(识别)你”。如果采取这种 进路,则大量匿名化的行为信息将被排除在个人信息保护法 之外。在我国个人信息保护法起草与讨论的过程中,立法者 对于这一现象高度警惕。尽管网络安全法与民法典等法律也 不宜作如此狭义的理解,将不具姓名但和个人相关的各类行 为信息排除在保护范围之外,但个人信息保护法还是对 此进行了重申,再次强调其保护信息范围的宽泛性。在互联 网与大数据时代个人信息的存在方式已经非常多元,保护个 人信息不能仅
12、仅将保护范围局限于个人档案或类似个人档 案的信息。我国个人信息保护法的这一规定与欧盟的一般数据保 护条例具有相似性。一般数据保护条例第4条除了同样 以“识别” + “相关”的表述界定个人信息,对个人信息的范 围与类型进行了宽泛性的列举,还明确将“姓名、身份编号、 地址数据、网上标识或者自然人所特有的一项或多项的身体 性、生理性、遗传性、精神性、经济性、文化性或社会性身 份”也纳入个人信息范围。在对这一条文的“重述”第30条 中,欧盟还特地明确列举了 “通过设备、应用程序、工具和 协议提供的在线标识符,例如互联网协议地址、COokie标识 符或其他标识符”,将各类与设备或物品相关的信息纳入其 保
13、护范围。甚至对于经常用于各类物品标签的无线射频识别 即射频识别技术(Radio Frequency Identification, RFID), “重述”也将其列举为个人信息。虽然“重述”不具有法定 效力,但其对一般数据保护条例的解释有着毋庸置疑的 权威性。相比中国和欧盟,美国联邦与各州对个人信息的界定略 有不同。首先,美国法的个人信息界定往往不区分“已识别” 与“可识别”,而仅仅以“个人可识别信息”(PerSonany identifiable information)作为个人信息或个人数据的同 义词。例如,美国儿童在线隐私保护法(Childrers Online Privacy Prote
14、ction Act, COPPA)将“个人信息”定义为 “关于个人的个人可识别信息二其次,美国对个人信息的界 定方式往往较为多元。有的法律采取列举式的界定,将个人 信息限定于特定类型。例如马萨诸塞州对于个人信息泄露的 立法将个人信息定义为个人的名字和姓氏,或首字母和姓氏 与社会保险号码、驾驶执照号码、金融账户号码或信用卡或 借记卡号码的组合。有的法律采取排除式方法,例如,1984 年的有线电视通信政策法案(CabIe Communications Policy Act, CCPA)将个人可识别信息定义为“聚合数据” 以外的内容,对“未识别特定人员的任何聚合数据记录”以 外的用户数据进行保护;1
15、999年格拉姆-里奇-布莱利法案 (Gramm-Leach-BIiley Act, GLBA)将“个人可识别金融信 息”定义为“非公开的个人信息”。还有的法律则采取同义反 复的方法,例如,1988年制定视频隐私保护法(Video Privacy Protection Act, VPPA)将“个人可识别信息”定 义为“识别个人的信息”(information which identifies a person)o当然,也有很多法律采取了综合性定义方法,例如 加州消费者隐私法,既采取了开放式列举与排除式列举, 也同时借鉴了欧盟的定义方式。比较中国、欧盟与美国的个人信息定义,会发现虽有差 异和各自的
16、优缺点,但其面临的问题却具有相似性。就中国、 欧盟而言,个人信息统一界定模式的优点在于保持法律的形 式统一性,同时将更多信息类型纳入保护范围,但其缺点也 非常明显,这就是它们可能将越来越多的信息都纳入其保护 范围,无法区分真正需要保护的信息类型。从原理上说,一 个社会所产生的信息,只要它和人类行为具有任何一点联系, 就可能帮助某个主体在某种情形下识别个人。信息从最本质 上说是人类和世界所留下的信息轨迹,只要人类直接或间接 影响到某一信息轨迹,则该轨迹就可能成为识别个人的信息。 例如,一瓶喝过的水、一辆停在街边的车都可能帮助某些主 体识别某个人。就此而言,如果从最广义的角度理解个人信 息,则如某些学者所言,任何信息都可能成为个人信息,欧 盟的通用数据保护法会成为“无所不包的法”。就美国而言,美国分散式与多元化立法的好处是可以对 个人信息进行分类保护,在不少情形下更清晰,更具有操作 性。以上文提到的列举式定义为例,很多州有关数据安全
