个人信息“可识别性”规则的适用困境与破解
编者按:本文为“娱乐圈涉法问题有奖征文大赛”的二等奖作品,欢迎各位读者阅读并针对相关问题在留言区留下您的高见!
作者简介:包文蕾,吉林大学法本法硕。
摘要:“可识别性”作为个人信息概念的核心特征,对于准确界定个人信息,发挥着关键作用。“可识别性”虽然在有关规范中均被提及,但是其内涵并未得到进一步的解释和发展,直接识别和间接识别两种方式不能解决“可识别性”内涵模糊所遗留的问题,同时自身在司法适用中也带有一定的局限性。确定识别主体、识别目的和识别成本作为“可识别性”内涵的核心要素,明晰个人信息保护的立法目的,结合利益衡量原则,能够规范“可识别性”的认定标准,以期破解个人信息“可识别性”规则的适用困境。
关键词:可识别性;个人信息;识别能力;直接识别;间接识别
引言
当今是信息爆炸的大数据时代,个人作为独立的信息生产主体,不断生成带有“个人标识”的信息,并不断传播到各个领域。个人信息承载着相关个人的人格利益,甚至是财产利益。但是在当今信息化高速发展的情况下,个人信息所涵盖的利益不止如此。信息的流通和共享对于各类社会主体来说,都有其特殊意义。对于政府机关而言,对信息处理和分析,进行大数据统计,有利于帮助政府更有针对性地制定公共政策;对于企业而言,获取大量数据并分析,有利于其更精准地提供服务。这和个人信息保护就形成了矛盾。如何平衡好信息流通及利用与个人信息保护之间的关系,脱离不了对个人信息的界定,也不能对“可识别性”的这一特征避而不提。
从学者对“可识别性”的讨论来看,许多学者是将“可识别性”这一特征作为媒介,通过对“可识别性”加以解释,为个人信息的界定提供方法论。例如,有的学者通过对“可识别性”进行狭义的解释,并且狭义解释的限定因素是与特定人事实上相连接[1];有的学者是对“可识别性”背后所蕴含的风险进行分析,进而对个人信息分类[2];有的学者关注到“可识别性”的标准界限模糊,但并未对此进一步剖析[3];有的学者对直接识别和间接识别两种方式的局限性进行了反思,但没有发现这种局限性产生的根源是未对“可识别性”内涵进行解释[4]。“可识别性”作为个人信息概念的核心特征,其内涵对于把握何为个人信息至关重要。若仅仅为个人信息的认定提供解决方法,忽视“可识别性”的内涵,模糊“可识别性”的认定标准,“可识别性”作为个人信息概念的核心特征将形同虚设。随着大数据时代的到来,有关个人信息边界的新问题会不断应运而生,只有明晰“可识别性”概念的内涵,规范“可识别性”的认定标准,才能从根本上解决这一问题。
一、“可识别性”规则的规范内涵
早在2012年,全国人大常委会通过《关于加强网络信息保护的决定》宣布,国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息,由此开启了我国的个人数据保护的立法之路。[5]个人信息的相关规范,如工信部的《电信和互联网用户个人信息保护规定》[6]、全国人大《中华人民共和国网络安全法》[7]、公安部《互联网个人信息安全保护指南》[8]、《民法典》[9]等都指出“识别”这一概念。可见,对个人信息的认定采用“识别”要素已为共识。在《个人信息保护法》[10]中,“已识别”与“可识别”为两种识别方式被首次提及,这种识别方式是从“可识别性”的程度角度进行划分的。“可识别”是指可能识别,对从无到有的识别风险的表述,“已识别”即确定可以识别,可以被包括于“可识别”内涵之中。因此,本文将采用“可识别性”这一概念进行论述,并以《民法典》第1034条为出发点,对“可识别性”内涵进行解读。
(一)对《民法典》第1034条“可识别性”内涵的解读
《民法典》第1034条规定:“个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。”本条文采用的是列举加之概括的方式对个人信息进行定义的,这是世界各国的主流做法。因为个人信息是一个比较抽象的法律概念,除了明确界定概念的本质特征外,通过列明具有特点的具体类型,可以减少法律适用上的不确定性,增加个人信息概念的具体性和可预期性。[11]个人信息具有“识别”和“记录”两个要素,前者为实质要素,后者为形式要素。[12]“可识别性”是个人信息的核心要素,记载方式则为个人信息的形式要素。个人信息具有两种识别方式,即直接识别和间接识别。间接识别中的“其他信息”定位为何值得思考。不可否认的是,“其他信息”与特定自然人存在一定的关联,对某项信息达到“可识别性”程度起到辅助作用,进而对个人信息的认定产生影响。不难发现,“其他信息”纵使与特定自然人的关联程度低,也无法否认其具有结合其他信息进行识别的能力。[13]但“其他信息”不宜认定为个人信息。“其他信息”若进行回溯,则可能也是由更详细的信息构成,这些信息同样具备一定的“识别”可能性,认定“其他信息”为个人信息,则会陷入不断回溯之中,“可识别性”则失去其应发挥的作用。所以“其他信息”不应当认定为个人信息。除此之外,“可识别性”作为个人信息认定的一环,立法并未对内涵进行解释,外延没有明确规定,还需进一步讨论。
那么,已经出台的《个人信息保护法》是否对“可识别性”的内涵作出了规定呢?显然答案是否定的。正如上文所提及的,《个人信息保护法》对个人信息的定义仅对识别方式进行重新划分,这种划分方式对个人信息保护的范围加以扩张,通过“与自然人有关的”这一条件加以限制。个人信息保护范围扩张的趋势,一方面是因为时代的变化的需要,另一方面是因为《个人信息保护法》总体来看是规范信息处理者处理信息的行为进而达到保护个人信息权益的一部法律,其立足于处于信息不平等的弱势地位的自然人无法与强大的信息处理者以及公权力机关抗衡。出于这一需要,《个人信息保护法》对所规范的对象会苛以更多的注意义务和职责,其性质更类似于《消费者权益保护法》。因此,《个人信息保护法》不会对“可识别性”内涵进行过多关注,其定义虽然与《民法典》关于个人信息的定义有所不同,但该定义的内涵可以囊括《民法典》对个人信息的定义。所以,对作为一般法的《民法典》这一条款的具体分析,也是为作为特别法的《个人信息保护法》的适用提供帮助。
(二)“可识别性”内涵的相关要素
首先,以何人的标准以及采取何种方式认为可以识别到特定自然人,即识别能力是“可识别性”内涵的要素之一。识别能力分为识别主体和识别方式。对于识别主体而言,有的学者主张“控制者标准说”,指以掌握信息的主体本身的识别能力和水平来判断其是否能够识别;有学者主张“社会多数人说”,认为应该从“社会一般人”的角度出发来判断信息是否具有“可识别性”,社会一般人的认定又要以何种知识水平为基准;也有学者主张“任一主体说”[14],主张只要社会中的任一主体能够识别出信息所归属的特定人,该信息就具备“可识别性”。识别方式即以何种方式进行识别特定自然人的活动,是采用所有合理能够为个人信息管理者所利用来识别信息主体的方式,还是社会上现有的所有识别方式,还是社会一般人所能利用的识别方式。《民法典》1034条并未对识别能力加以规范。从域外立法来看,尽管处于不同的文化背景和个人信息保护的立法目的,一些国家均对识别能力的认定标准有所规定。
欧盟通过的《通用数据保护条例》(以下简称“《条例》”)引入“场景分析”方法来判断该信息是否足以构成“可识别性”,提出个人身份识别号码、位置信息、互联网识别信息,以及其他特殊种类信息在所有的场合下,并不一定被视为个人信息,呈现了一定的灵活性。[15]《指令》引言的第26条指出,在判定已有的信息是否足以识别他人时,所有合理的能够为个人信息管理者所利用来识别信息主体的方式都应当纳入考察当中。[16]欧盟并非僵化对信息“可识别性”适用,而是区别对待不同的识别主体、识别能力和识别方式。明显的是欧盟倾向于扩大“可识别性”的外延,对个人信息进行保护,甚至可以牺牲信息流通带来的经济效益。这植根于欧洲的人文传统、法律价值理念等因素,体现了对自然人权利和自由的保护。美国的三种界定模式都要求个人信息中包含公民的姓名或者姓名的首个字母,其对于个人信息的定义要求过于狭窄,很多间接可识别的身份信息得不到保护。[17]美国虽然热衷隐私的保护,但是当与其他自由发生冲突时,这一权利是可以让渡的。然而,随着技术的进步,美国借鉴欧盟的经验,开始加强对个人信息的保护。如《加利福尼亚州消费者隐私保护法案》(简称为CCPA),被视为美国历史上“最严”的数据保护立法。该法案不仅承认“识别”要素,而且承认“关联”要素。[18]CCPA提出“情景完整性”理论,个人信息需结合具体的动态情景进行认定。
其次,识别程度即需要识别到抽象、概括的个体还是需要识别到具体的“你是谁”,换言之,识别程度具象化就是被学者所讨论的身份识别标准和行为识别标准的问题。有的观点认为,对不能识别具体个体身份的行为识别信息,不需要做出强制保护需求。[19]有的观点认为,身份识别标准不能满足司法实践的需要,无涉身份的“行为识别”某种程度上对信息主体可能造成侵扰,当这种侵扰未达到隐私权的保护范畴时,应该纳入个人信息的保护范围。这种观点映射出“行为识别”对信息掌握者的重要价值,信息利用者从此类信息中汲取利益时,很有可能对个人的人格利益甚至财产利益造成侵害,所以“行为识别”被一些人指出应该受到限制。此外,信息技术的革新,让一些本不具有身份属性的信息具有了识别到特定自然人的机会,如碎片化信息的重新组合即可能定位到个人,去身份化信息在突破技术壁垒后,可能再次识别个人的身份信息;互联网的日益普及使得个人具有多重的“数字身份”,“数字身份”所产生的“数字行为”是个人行为轨迹的一种体现,也应该纳入个人信息保护的考量之中。识别程度这一要素将直接影响上述情况是否具有“可识别性”的判断,是“可识别性”内涵不可缺少的组成部分。
“身份识别”和“行为识别”争论是对识别程度尚未明晰的有力说明。就域外立法来看,原有的“身份识别”标准无法涵盖所需保护的个人信息的范围,识别所要求的程度已经逐渐放宽。通过欧盟对条例的规定,不难发现,欧盟注重对个人信息的保护,呈现出个人信息保护范围扩大的趋势,“行为识别”被纳入个人信息保护的范围之中。对个人信息的定义在身份识别与行为识别的基础上,加入了基于个人生理、心理因素及社会文化因素等利益的综合考量。[20]美国将原来法案中要求个人信息必须可用于身份或行为识别的标准,扩大为无论是否可以识别身份,均属于一般的个人信息。[21]“行为识别”纳入个人信息保护是对“身份识别”标准不能满足于现实问题的弥补;也是对信息时代日益更新可能带来新的问题的解决方案。目前我国的法律实践对“身份”的理解是泛化的,只要某一特定个体能够通过某一信息被与其他个体区分,不论其呈现何种外在形式,该信息就有可能被划入个人信息之列。[22]“行为识别”被涵盖于认定个人“身份”的方式之一。虽然《民法典》1034条未对识别程度加以规定,但是识别程度所达到的标准变得宽松是时代发展的趋势,具体限度为何将在下文进行展开。
二、“可识别性”规则的适用困境
通过对《民法典》1034条的解读,该规范对“可识别性”内涵没有进一步的解释,对识别能力要素没有提及,识别程度问题有所显现但尚未明确,导致了“可识别性”内涵的模糊化。司法实践中对“可识别性”内涵把握不一,没有统一的标准;直接识别和间接识别本身存在局限;直接识别与间接识别无法摆脱“可识别性”相关要素模糊的桎梏;这些都导致了“可识别性”规则的适用出现了困境。
(一)“可识别性”内涵模糊化
在“威科先行·法律数据库[23]”中,截止到2021年5月10日,以“识别”“个人信息”为关键词,以“民事”“判决书”和“二审”为限定,案由选择“隐私权、个人信息保护纠纷”,检索得到相关二审民事判决书共27份。这些判决书绝大多数均论及了个人信息的识别问题,或者虽未用“识别”字样表述,但实质也指向了个人信息的判定问题。在这些判决中,二审改判率达到了22.22%[24],这样充分说明了“可识别性”的判断上,实务中存在较大争议。从上述的27份判决书中,选择一个案例进行详细说明。
“朱烨与百度隐私权纠纷案”中,就信息是否具有“可识别性”判定,一审和二审结果截然相反。[25]一审法院认为,私人活动、私有领域属于个人隐私。朱烨使用特定的几个词汇进行网络搜索的行为,已经在互联网留下了个人的行为轨迹,这一行为轨迹显示出个人需求、兴趣等私人信息,体现出个人特定的上网偏好,已经标识出个体的基本情况和私人生活情况,符合个人隐私的范围。故在认定上,一审法院认为涉案的特定信息已经符合了个人信息的“可识别性”,可以连接到特定的人,属于个人信息,被告百度公司存在侵权行为。但在二审中,法院认为,案中特定的数据信息已经被匿名化,没有到达可识别的程度,不能归入个人信息的范畴,百度公司不存在侵权行为。一审法院认为特定信息具有私密性而达到了“可识别性”的标准,是对私密性和“可识别性”的混淆,未能厘清“可识别性”的内涵。二审法院认为数据信息因为匿名化而不具有可识别性,不能识别到特定个人。实则并未解决互联网的个人行为轨迹即“行为识别”是否具有“可识别性”这一问题。“可识别性”内涵过于模糊,影响了司法中对个人信息的判定。
(二)直接识别适用有限
直接识别性信息是指能单独识别到特定自然人的各种信息,如身份证号码、生物识别信息等。此类信息无需与其他信息结合即可将个人独立于社会群体中的他人。然而,实践中适用直接识别的情况是有限的,部分直接识别性信息还需依靠其他条件。看似可以指向某一对象的信息,可能只是识别到一个抽象的个体或者概括的范围。[26]一些学者认定姓名为直接识别性信息,但是在重名的情况下,姓名不能独立识别到特定自然人,只是提供了概括的范围。住址与特定个人相关联,但其背后是抽象的个体,并非具体的个人。这些“直接识别性”信息在某种情况下不能联系到特定自然人,不具有独立识别性,而是标识性强的体现。某种直接识别性信息在严格适用后是否存在特定条件下就转变为标识性强的信息是值得商榷的。此外,身份证号等信息能独立识别到特定自然人,是限定在特殊识别主体这一条件下的。对于一般公众来说,很难凭借一己之力通过身份证号等信息直接联系到特定人。可见,识别主体的识别能力在一定程度上也影响了特定信息是否具有直接性别性的判断,影响了直接识别的适用。在所检索到的案例中,直接识别的适用情况有限,加之相关要素的认定标准未统一,对其适用也并不准确,直接识别不能发挥其应有的作用。
(三)间接识别外延泛化
间接识别性信息是指需要结合其他信息才能识别到特定自然人的信息,如行踪信息等。同样,间接识别性信息的认定也无法摆脱识别主体的识别能力这一条件去考量,否则,个人信息的范围会变得模糊。间接识别的方式使个人信息的边界动态化,高度依赖所处的“场景”,在不同的条件下,原本不能辨识个人的信息具备了辨识的可能性,导致间接识别的外延泛化。如检索到的庞理鹏与北京趣拿信息技术有限公司等隐私权纠纷”一案[27],行程信息是否为个人信息的认定则依赖于不同的条件,本案中,如果诈骗分子仅仅知道庞理鹏的姓名或手机号,则无法发送关于航班取消的诈骗短信;如果诈骗分子仅仅知道庞理鹏的行程信息,则亦无法发送关于航班取消的诈骗短信。而恰恰是诈骗分子掌握了庞理鹏的姓名、手机号和行程信息,从而形成了一定程度上的整体信息,所以才能够成功发送诈骗短信。姓名和手机号为个人信息是毋庸置疑的,但是行程信息在本案中因为与姓名和手机号结合被认定为个人信息,若脱离此情景后,行程信息则可能不是个人信息。
此外,大数据技术的运用也是对间接识别外延泛化的反映。信息技术的运用提高了识别能力,“可识别性”扩张成为可能。如匿名化信息等经过处理的信息伴随科技的进步有被再识别的可能性,亦或结合碎片化信息能够定位到特定个人。“可识别性”扩张带来的负面影响不可小觑,一方面,与特定自然人有关联的信息都会被纳入个人信息保护的范围之内,任何举动都会有侵犯个人信息的可能,社会活动将无法正常进行;另一方面,间接识别的外延会不断扩展,个人信息的认定将处于不明确的状态。
三、“可识别性”规则适用困境的破解
(一)规范“可识别性”的认定标准
通过对《民法典》1034条规范的解读和梳理以及域外立法的分析,“可识别性”内涵的相关要素得以分离,但哪些是得以确立的要素,具体采用何种标准,还需充分回应中国实践的要求,为司法适用提供一套具有操作性的认定标准。
直接识别的局限性和间接识别的外延泛化表明信息是否具有“可识别性”在某个场景下是可以转化的,并非所有的信息是否具备“可识别性”是确定的, 但是法律规范需具有安定性,不能朝令夕改。因此,“可识别性”的认定应该引入“场景化”分析方法。与个人有关的信息在不同的场景下是否可以识别到个人需要针对个案具体分析,这与上文所提及的识别主体和识别方式也是相联系的,如普通个体的无法识别不等于互联网平台做不到识别。尊重场景既可以满足法律形式的安定性,又可以避免僵化个人信息保护范围,使得个人受到侵害。“场景化”分析方法为法官提供了较大空间的自由裁量权,有必要适当增加认定“可识别性”的考量要素,规范对“可识别性”的认定。
第一,识别主体因素。在识别主体方面,“社会多数人说”不适合社会现实的情况,该种观点直接忽略掉社会中不同信息控制主体千差万别的识别能力,即便对一个没有专业能力和知识的人来说不能识别,但是一旦信息被有技术能力的主体控制,采用去匿名化等技术手段,整合看似不相关的信息,使其连接到特定人,也不是什么技术难题,存在识别到特定人的可能;而“任一主体说”的主张,使个人信息的“可识别性”过分宽泛之嫌,首先,这一标准并不是静态的。大数据技术的不断进步,识别能力的不断提高显而易见,以此为判断标准并不稳定。其次,只要存在能够识别信息至特定人的能力,那么这个信息即会被认定为个人信息,对于并未具备该种识别能力的主体,却认定其侵犯了他人的个人信息权益,实属不符常理。对于中小企业的发展以至于互联网产业的发展制造现实阻碍,也不利于信息的流通和数据使用,发挥其应有的价值。再次,即使识别能力很强的信息控制主体掌握信息,但并未采取技术手段识别特定个人,或者仅仅是利用信息作为商业用途并未给个人信息权益带来危险性,那么以此标准进行认定,显然过于狭隘。因此,识别主体应根据个案中不同的信息控制者的标准加以认定。在此基础上,该识别主体所能使用的识别方式的认定,可以借鉴欧盟的规定,分析信息控制主体是否采用合理或者自身可能存在的方式识别信息,进而与特定自然人相联系。采用此种识别方式,一方面避免上述标准可能引发的问题发生,另一方面与“场景化”分析方法相衔接,具有一致性。尽管“合理”等概括性的表达可能会使识别方式的认定存在模糊地带,但“可识别性”的认定标准得到了统一。在结合其他因素的判断后,认定识别方式模糊的困难性会大大降低。除此之外,“其他信息”未必是信息控制者或者处理者所占有的信息,换言之,信息控制者或者处理者通过何种方式获得的“其他信息”才能与所涉信息结合,这一问题也可以通过此种识别方式得以解决。
第二,识别目的因素。这一因素是在对不同信息控制主体采用不同的认定标准前提下进行考量的。识别目的即是信息控制者所掌握的识别方式具有识别到自然人的可能性时,其是否具有识别到特定自然人的目的或者动机。如上文提及的庞理鹏与北京趣拿信息技术有限公司等隐私权纠纷一案,航空公司对庞理鹏的行程信息具有识别到特定自然人的可能性,但是其并不具备识别目的,此时的行程信息则不宜认定为个人信息。识别目的不属于“可识别性”内涵的相关因素,但却影响如何平衡个人信息保护和信息处理与利用二者的关系。在信息控制者明显不具备识别目的的情况下,若严格规制其处理和利用信息的行为,显然对其不公亦不利于产业的发展。
第三,识别成本因素,也是认定“可识别性”的重要因素。此处的识别成本,应当包括获取信息的成本和识别信息的成本,这种信息是是社会一般人无需调 查还是巨大的成本支出才可获取的。对于某一特定的信息主体而言,认定其拥有的某项特定信息是否具备“可识别性”要考虑其实现“可识别性”的难度。即,“可识别性”不但要考虑是否存在可能,还有考虑实现识别的便捷程度,如果事实上具备识别某一信息的能力,但是识别该信息需要大量的、不成比例的高成本付出的话,那么是否视为具备“可识别性”,进而是否将信息界定为个人信息并进行保护,着实需要商榷一番。对于个人信息保护而言,成本的考量应当纳入“可识别性”内部要素之中,在现有情况下,虽然具备识别可能性,但是识别可能性极低,且实现可识别需要付出不成比例的成本的情况下,即使特定信息能实现“可识别”,但对特定的信息控制主体来讲,实际上与匿名化信息并无二致。但是也需要注意的是,识别成本这一因素会随着时代的发展而逐渐降低,因此在衡量当时的识别成本时,只能参考当时特定信息控制主体的识别能力,而不能以之前的或者未来可能的识别能力来作为认定识别能力的依据。这也要求我们在把握识别成本这一要素时,注意到,识别成本越低,对于特定主体而言的识别可能性就会越高,这同样要求以动态、发展着的眼光来审视具体案件中的“可识别性”的争议问题,考虑不同的场景中的不同要素,综合对“可识别性”进行判断。
(二)限定“可识别性”的认定范围
引入“场景化”分析方法,加之“可识别性”内部考量因素,将为司法实践提供了一套具体的认定标准。不难发现的是,个人不断生成带有标识性的信息,技术手段不断突破能够识别信息到个人的壁垒,个人信息保护范围中的“信息”不得不随之扩展,若所有的“信息”都纳入个人信息保护范围,必然会对信息技术以及产业的发展有所限制。此外,识别程度虽然呈现宽松化的趋势,但其具体的限度并没有明确的标准。因此,需要对“可识别性”的认定范围加以限定。进行限缩解释的标准为何,首先从立法上回溯个人信息保护的目的或许有所裨益。
个人信息成为被保护的内容主要源于信息技术应用对个人权益保护的挑战。信息的收集、处理与利用频繁发生,在便利个人生活的同时也给侵犯个人权益带来风险。而个人相对于信息控制者而言,处于弱势地位,以一己之力难以保护自我权益。在这样的背景下,个人信息的保护通过立法加以规制,所要保护的个人权益是人格尊严等人格利益。理由如下。
人格尊严是人与生俱来拥有的权利,个人有权自主决定生活范围和方式,合法排除他人干预,有追求人格发展的自由。只有拥有人格自由,人才不会沦为工具,被他人操控和利用。从现实角度出发,个人信息与自然人的人格利益息息相关。无论是基因数据等隐私信息,还是姓名、cookies 等一般信息,均与人格形成和发展有关,皆为人格要素,均构成个人整体人格之一部。[28]信息控制者对个人信息的收集、处理与使用与人格的形成和发展密切相关。如果不对个人信息的收集、处理与使用行为加以控制,个人将处于一种没有秘密的“赤裸”状态下,人格的形成和发展会受到威胁。此外,信息控制者亦可能通过对个人信息的分析预测个体的偏好及行为,做出影响个人自主选择权的举动,个人的人格尊严和人格自由则会被侵害。立法正是基于此种考量,通过对个人信息的保护进而使个人权益免受侵害。
就个人信息的概念来看,个人信息是识别到特定自然人的信息,此种“识别”体现了自然人的人格特征。“识别”除了是个人信息的核心特征外,还代表着一种识别风险,换言之,该信息是否能定位到特定个人,进而影响其人格利益。可见,个人信息保护的并非是信息这种载体,而是信息背后所蕴含的人格利益。
从《民法典》的体例来看,个人信息保护的是人格利益。首先,个人信息保护被列入人格权编。其次,《民法典》总则第五章“民事权利”是依据人身权益到财产权益的顺序进行罗列,个人信息处于人身权益之中。第109条规定了自然人的人身自由、人格尊严受法律保护,可见,个人信息作为后续条款是关涉人格尊严这一法益被保护的。再次,在《民法典》第110条和第990条第1款列举的人格权中虽然没有个人信息权,但是,《民法典》第990第2款明确规定:“除前款规定的人格权外,自然人享有基于人身自由、人格尊严产生的其他人格权益。”因此,可以将自然人的个人信息权益归入自然人基于人身自由、人格尊严而产生的其他人格权益。[29]
个人信息保护的立法目的是保护个人的人格利益。对于“可识别性”的认定不应该脱离立法目的,尤其是在个人信息认定存在泛化可能的情况下,对立法目的所保护权益的考量有利于限缩“可识别性”的认定范围,避免这一判断标准的虚置。
其次,利益衡量原则有助于“可识别性”认定范围的厘清。个人信息之上所承载的利益是多元化的,对于社会不同主体来说,个人信息都有极其重要的价值。个人信息保护需要权衡自然人人格权益和信息流通与利用两大利益,之所以对信息流通与利用利益如此重视,是因为我国经济发展的需要。对利益的衡量可以通过对“可识别性”认定范围的限定来实现。
随着各种信息处理规模的增加和自动化程度的增强,政府管理活动以及社会机构开展活动和人们的日常活动,都离不开信息的流通和利用,这些信息中必然存在着符合“可识别性”内涵的要素的信息,但是在其并未危及到人格尊严等人格利益时,为了保护公共利益或者为公共利益所需要,此类“个人信息”必然要做出让步,该种让步的实现则通过对“可识别性”的认定范围加以限定,是利益衡量原则适用的结果。
为了便利人们的日常生活以及发展大数据产业,在特殊情况下,信息主体无法作出是否允许他人使用其个人信息的决定,但对于该信息的使用是以保护信息主体自身利益为目的时,应允许信息控制者在未获同意的情况下直接使用此等信息。此种情况下,“可识别性”的认定范围因为利益衡量原则而被限定,但当信息主体认为该信息的使用导致人格利益受损,仍可以保护其个人信息权益。
对“可识别性”各要素进行分析时,司法实践应该对个人的相关利益、他人的相关利益、企业的相关利益、公共利益等因素进行考量,不能一味对所涉他方的要求过于严格,要结合个案的具体情形,对冲突利益衡量后作出判断。个人信息保护的范围限定在关涉个人的人格利益之内,在此范围外,良性的信息流通与利用不应被过度束缚,否则也违背了个人信息保护的立法初衷。
最后,个人信息保护的立法目的和利益衡量原则是从本质上限定“可识别性”的认定范围,而与隐私权保护的衔接从外界角度限定“可识别性”的认定范围。学界关于隐私权和个人信息的关系与区分已有较多文章,在此不再详述。显而易见的是,隐私权保护边界的清晰有利于个人信息“可识别性”认定范围明晰。此外,上述提及的“朱烨与百度隐私权纠纷案”通过隐私权加以保护个人生活安宁、免受侵犯,不失为一种路径,也避免了“可识别性”认定不一的情况发生。这也提醒我们在司法实践中需要灵活运用法律技术解决问题。
结语
“可识别性”作为个人信息的核心特征,把握好“可识别性”的认定,对于在理论上厘清个人信息保护的边界,以及在司法适用上提供更明确具体的理论支撑,确有助益。
在可识别性的判定上,通过对特定信息的识别主体、识别目的、识别成本来确定该信息是否具备“可识别性”的内涵,能够连接到特定的自然人,在限缩的个人信息保护立法目的和利益衡量原则的框架内,对上述几个核心要素逐一筛查,可以更好地把握“可识别性”的判定,以此促进信息保护与信息流通的平衡。在既不影响个人信息保护、捍卫人格权益的同时,又能够通过信息流通和利用最大程度地发挥信息的价值。通过构建“限缩的立法目的+‘可识别性’核心要素筛查”的模式,能够为司法适用提供更清晰具体的裁量依据。
此外,完善个人信息保护的预防机制,也是未来完整个人信息保护立法的重要议题。科学地规范个人信息处理使用行为,是促进信息产业持久健康发展的基础,推动科技在个人信息保护方面不断发展创新,以技术进步完善制度机制保障。对个人信息收集和使用行为的事前规范,也有助于提高对“可识别性”认定标准的把握,正确地界定特定信息性质,促进个人信息的保护,维护信息安全。
注释
[1] 参见程德理、赵丽丽:《个人信息保护中的“识别”要素研究》,《河北法学》2020年9月第38卷第9期。
[2] 刘洪岩、唐林:《基于“可识别性”风险的个人信息法律分类——以欧美个人信息立法比较为视角》,《上海政法学院学报》2020年第5期。
[3] 高秦伟:《个人信息概念之反思和重塑——立法与实践的理论起点》,《人大法律评论》2019年第1期。
[4] 参见杨楠:《个人信息“可识别性”扩张之反思与限缩》,《大连理工大学学报(社会科学版)》2021 年第2期。
[5] 陈子朝:《非可识别个人数据流通法律规则的理论构建》,《网络空间安全》2020年7月第7期,第49页。
[6] 《电信和互联网用户个人信息安全保护规定》第四条:本规定所称用户个人信息,是指电信业务经营者和互联网信息服务提供者在提供服务的过程中收集的用户姓名、出生日期、身份证件号码、住址、电话号码、账号和密码等能够单独或者与其他信息结合识别用户的信息以及用户使用服务的时间、地点等信息。
[7] 《中华人民共和国网络安全法》第七十六条第五项:个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。
[8] 《互联网个人信息安全保护指南》3.1 个人信息:以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。
[9] 《民法典》第1034条 个人信息:个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。
[10] 《个人信息保护法》第四条:个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。
[11] 张璐:《何为私密信息?——基于《民法典》隐私权与个人信息保护交叉部分的探讨》,《甘肃政法大学学报》2021年第1期,第88页。
[12] 齐爱民:《个人信息保护法研究》,《河北法学》2008年第4期,第17页。
[13] 杨楠:《个人信息“可识别性”扩张之反思与限缩》,《大连理工大学学报(社会科学版)》2021 年第
2 期,第101页。
[14] 参见韩旭至:《个人信息概念的法教义学分析——以网络安全法第76条第5款为中心》,《重庆大学学报》2018年第24卷第2期,第159-160页。
[15] 刘洪岩、唐林:《基于“可识别性”风险的个人信息法律分类——以欧美个人信息立法比较为视角》,《上海政法学院学报》2020年第5期,第33页。
[16] 同注2,第33页。
[17] 同注2,第36页。
[18] 程德理、赵丽丽:《个人信息保护中的“识别”要素研究》,《河北法学》2020年9月第38卷第9期,第47页。
[19] 苏今:《民法总则中个人信息的“可识别性”特征及其规范路径》,《大连理工大学学报(社会科学版)》第41卷第1期,第86页。
[20] GDPR对个人信息的定义为“任何指向一个已识别或可识别的自然人(‘数据主体’)的信息。该 可识别的自然人能够被直接或间接地识别,尤其是通过参照诸如姓名、身份证号码、定位数据、在线身份识别这类标识,或者是通过参照针对该自然人一个或多个如物理、生理、遗传、心理、经济、文化或社会身份的要素”。See GDPR Chapter 1,Article 4(1)。
[21]彭诚信、史晓宇:《个人信息识别标准的域外考察和在我国的转进——基于美欧国家制度互动的分析》,《河南社会科学》2020年第11期,第5页。
[22] 苏宇 高文英:《个人信息的身份识别标准:源流、实践与反思》,《交大法学》2019年第4期,第61页。
[23] “威科先行·法律信息库”网站地址:https://law.wkinfo.com.cn/?tip=
[24] 以文中条件为限制检索结果中的二审改判判决书:
(2020)豫09民终722号;
(2020)京02民终1641号;
(2020)京03民终2049号;
(2019)鲁02民终7482号;
(2017)京01民终509号;
(2014)宁民终字第5028号。
[25] 参见(2014)宁民终字判决书第5028号判决书。
[26] 杨楠:《个人信息“可识别性”扩张之反思与限缩》,《大连理工大学学报(社会科学版)》2021年第2期,第101页。
[27] 参见(2017)京01民终509号判决书。
[28] 程啸:《论我国民法典中个人信息权益的性质》,《政治与法律》2020年第8期,第7页。
[29] 程啸:《论我国民法典中个人信息权益的性质》,《政治与法律》2020年第8期,第7页。
本文责编 ✎ Zorro
本期编辑 ✎ Leila
推荐阅读
联系我们
长期收稿邮箱:qmfmbjb@163.com
社群交流请添加公共微信:
公共微信1:qmfmggwx
公共微信2:qmfmggwx2
付费咨询与讲座请添加小助手微信:qfxzsggwx
商务合作请添加微信:Fuermodian