个人信息这一概念并非新生词汇,相关的法律问题也产生已久。因为无论是采用何种技术——传统技术或是计算机网络技术——对个人信息进行处理都有可能导致个人信息的泄露扭曲和滥用,只是在信息社会,发展迅猛的计算机网络为个人信息的收集和处理提供了前所未有的便捷,使得个人信息的法律问题被迅速的放大,个人信息笼罩在前所未有的危险之中。[1]
(一)个人信息称谓之争议
据不完全统计,世界上制定了个人信息保护法律的国家或地区已经超过50个。[2]从各国立法上看,个人信息的法律概念称谓并不统一,不同的国家使用不同的称谓,主要有以下三种:
1. 个人数据(个人资料)。使用个人数据(个人资料)这一称谓的主要是欧洲理事会、欧盟、欧盟成员国以及其他受欧盟1995年指令影响而立法的其他大多数国家。[3]
2. 个人隐私。这一称谓主要出现在普通法国家(英国作为欧盟成员国除外)的立法中,如美国1974年颁布的《隐私权法》、澳大利亚的1988年《隐私权法》、加拿大的1987年《隐私权法》等,以及受美国影响较大的APEC。[4]
3. 个人信息。这一称谓在亚洲国家出现较多,譬如日本、韩国、俄罗斯等国,使用“个人信息”的概念。[5]
在我国,尚未就个人信息保护进行立法,我国学界对个人信息的称谓也并未达成一致共识,有学者称为“个人信息”[6]有学者称为“个人隐私”[7]也有学者一律称为“个人资料”。[8]
对于个人信息概念称谓出现的相关争议,周汉华教授认为,概念称谓的不同主要是源于不同的法律传统和使用习惯,实质上并不影响法律的内容。[9]与之相反,齐爱民教授认为,“数据”、“资料”、“信息”和“隐私”不仅仅是称谓不同,而是各有独立外延和内涵的不同概念。[10]从这个角度看,对称谓的选择,体现的是对个人信息性质的认定,同时也反映出立法保护的价值倾向,因此有必要对个人信息的不同概念称谓进行探讨。
第一,对于“个人资料”与“个人数据”,二者实际上并无本质差异,英文均为“personal data”,是指有意义的、可以识别的符号对客观事物加以表示得到的符号序列,是代表人、事、时、地的一种符号序列(不以文字为限)。因此二者在信息保护法领域可以看作是同一概念,区别仅是来源于中文翻译的不同。[11]
第二,对于“个人信息”与“个人隐私”,二者不仅仅是概念称谓的不同,二者在范围上有着本质的区别。如齐爱民教授认为,个人隐私与个人信息是包含关系,个人隐私是个人信息的下位概念,是个人信息的一部分。个人隐私这一概念称谓事实上将不涉及隐私的个人信息排除在保护范围之外。王利明教授也持相同观点,他认为隐私主要是私密性的信息或私人活动,且不限于信息的形态,可以以个人活动、个人私生活等方式体现。[12]必须在一定范围内为社会特定人或者不特定人所周知的个人信息难以看作是隐私,[13]因此个人信息与个人隐私在信息保护法领域只发生部分重合,二者在范围上并不是完全等同的关系。
第三,对于“个人信息”与“个人资料”,齐爱民教授认为,两个称谓有着一定的区别,但是在个人信息保护法领域是可以通用的。从二者的联系上讲,个人信息是个人资料所反映的内容,个人资料是个人信息的表现形式。许多国家和国际组织在其法律文件中将“个人资料”与“个人信息”通用,如联合国指南、英国1998年《个人资料保护法》绪言、美国《美国-欧盟的隐私安全港原则与常涉问题》等。从二者的区别上讲,资料侧重于客观的形式,不以资料反映的内容与人的互动关系为着眼点。而信息的着眼点恰恰在于其作用于人的大脑形成的认识,因此,“个人信息”比起“个人资料”更具人文关怀。立法的目的在于保护个人,而不停留在个人资料本身,因此齐爱民教授认为应提倡在我国立法上使用“个人信息”的概念称谓。[14]对于这个问题,德国汉堡大学法学院博士研究生谢远扬持不同的观点,他认为,“个人信息”和“个人资料”之间仅仅在于表述角度的不同,区别并不显著。[15]
综上,由于实定法在纳入个人信息这一全新概念时尚不成熟,因此出现了“个人信息”,“个人隐私”和“个人数据”等概念称谓相互通用的这种并不常见的法律现象。而对于尚未进行个人信息保护立法的我国来说,确定个人信息的概念称谓是基础且必要的。郑成思教授曾说:“无数的客观事物的信息,正是通过人的眼、耳、鼻、舌、身这五个官能,‘传递’给人们,经过人们的大脑进行‘去粗取精、去伪存真’地加工,人们方才认识了世界,又转过来改造世界”。[16]由于“信息是资料反映的内容”,[17]因此资料接收者的不同会使得出的信息不同,使用“个人信息”的概念称谓似乎更能体现个人信息法律保护中“人”的地位。随着个人的权利意识增强,[18]法律需要突出对个人权利的关注。[19]在个人信息保护领域,无论是立法例还是学界,“个人信息”的概念称谓被越来越多的采用。因此我国相关立法可以将其作为个人信息保护立法的基础概念予以采纳。[20]
(二)个人信息定义之争议
对于个人信息的内涵界定,无论是国内还是国外、无论是立法例还是学界观点,都有着一定的争议。抛开形式上分为列举式和概括式的不同,学界和立法例对个人信息的界定主要分为关联型和识别型,二者强调的重点不同。
1. 关联型:
关联型的个人信息定义,强调的是该信息与个人的关联性。所谓个人信息就是和自然人有关的信息。[21]如我国香港96条例规定,个人资料是直接或间接与一名在世的个人有关的。[22]
范江真微教授认为,所谓个人信息,包括认知内心身体身份地位以及其他关于个人之一切事项之事实判断评价等所有信息在内。换言之,有关个人之信息并不限于与个人之人格或私生活有关者,个人之社会文化活动、为团体组织中成员之活动,及其他与个人有关联之信息,全部包括在内。[23]
2. 识别型:
与关联型不同,识别型个人信息的定义强调可识别性。
王利明教授认为,个人信息是指与特定个人相关联的、反映个体特征的具有可识别性的符号系统,包括个人身份、工作、家庭、财产、健康等各方面的信息。个人信息注重的是身份识别性。此种信息与个人人格、个人身份有一定的联系,无论是直接指向个人,还是在信息组合之后指向个人,都可以认为其具有身份识别性。例如,一个人可能有多个手机号码、车牌号等,此种信息并不像姓名、身份证号码等具有唯一性,但此种信息与其他信息结合在一起,可以指向个人,从而与个人身份的识别具有一定的联系。某一信息必须能够指向特定的个人,才能被称作个人信息。[24]
刘德良教授同样主张识别型个人信息定义,他认为,个人信息是指那些据此能够直接或间接推断出特定自然人身份而又与公共利益没有直接关系的私有信息。[25]其在识别性之外,又强调了个人信息需与公共利益无关。
国内的立法例采用识别型个人信息的定义有台湾相关法律的规定,《台湾资料法》规定,个人资料指自然人之姓名、出生年月日、身份证统一编号、特征、指纹、婚姻、家庭、教育、职业、健康、病历、财务状况、社会活动等足以识别该个人之资料。[26]
放眼国外立法例,英国《资料保护法》规定,个人信息是指可以直接或间接识别一个活着的人的所有资料,包括个人观点的表达、个人意图的表达等。欧盟指令规定,个人资料是指任何识别或可得识别自然人(资料主体)的任何信息;可识别的自然人是指直接或间接特别是通过他的身份证号码或他的身体、生理、精神、经济、文化和社会识别等一个或多个特有因素,从而被识别的人。[27]
国外学界也有学者持有识别型个人信息定义观点,有学者认为,对于与个人相关的信息而言,其存在于一定的载体之上,且被记录下来,并能直接或者间接指向该特定个人,可以被称为个人信息。[28]这一观点同时强调了信息必须以载体的形式出现。
除了上述关联型和识别型的个人信息定义之外,美国Parent学者认为,个人信息系指社会中多数所不愿向外透露者(除对朋友、家人之外);或是个人极敏感而不愿他人知道者(如多数人不在意,但有人则对其身高极为敏感,不欲外人知道)。[29]此种定义,有将个人信息的内涵限制得过于狭窄之嫌,并且有与隐私相混淆的可能,故较少被采用。
有上述可知,关联型个人信息定义有定义过宽的可能。而识别型个人信息定义,无论是从学界还是从立法例上,都是采用较多的个人信息定义方式。
法律是在无限需求和有限资源之间寻求平衡的最佳机制,个人信息是否具有值得法律保护的价值,又有哪些方面的价值,我国学界有着各自不同的观点,综合学者的观点,可以看出学界对于个人信息具有相当高的价值已无异议,对于个人信息具有哪些价值略有分歧,但基本在以下三个方面可以认为达成了共识。
(一)人格尊严价值
张新宝教授认为,“个人信息对于信息主体的人格尊严和自由价值,应当是个人信息保护立法中首要考虑的因素”,因为“个人信息指向信息主体,能够显现个人的生活轨迹,勾勒出个人人格形象,而现代化信息技术可以实现对个人碎片化信息的整合,随着信息质和量的累积,可以形成个人‘信息化形象’。只有消除个人对‘信息化形象’被他人操控的疑虑和恐慌,保持其信息化人格与其自身的一致性而不被扭曲,才能有自尊并受到他人尊重地生存与生活。”[30]中华人民共和国工业和信息化部信息安全协调司副司长欧阳武也认同个人信息的价值包括人格尊严。[31]
德国汉堡大学法学院博士研究生谢远扬认为,个人信息的价值类型主要可以分为两个方面:自主价值和使用价值。对于自主价值,鲁曼教授认为,人格只有通过自身的行为表现体现出来,也只有在社会交往的过程中才存在。[32]马尔曼教授认为,自我表现是个人和外界交流的唯一手段,而自我表现的实质是对个人信息使用。因此谢远扬博士认为,个人信息的自主价值,首要的就是“通过对个人信息的自主使用以实现人格自由发展的价值”。[33]此自主价值实际指的也就是人格尊严价值。
齐爱民教授认为,个人信息的价值涉及到信息社会基本人权的全面实现,他认为个人信息之上的权利是一项基本人权,包括公民的基本权利、自由、人格和隐私利益。而对于保护个人权利,其认为包括自然人人格权和自然人财产权两方面。[34]与之类似,周汉华教授认为,确立个人信息保护是保护个人权利的需要。[35]两位学者对于人格权利的主张,核心也就是人格尊严。
(二)经济价值
对于个人信息的经济价值,张新宝教授将其概括为商业价值,认为主要表现在三个方面。在商业营销方面,通过个人信息可以“帮助经营者以消费者整体需求为导向”,经营者可以享受“营销回应比率提升带来的经济回报”;在整个商业环境的健康运行方面,利用大规模的个人信用信息来“建立健全完善的社会信用体系关系到整个社会的经济运行”;在产业方面,“信息资源成为重要的生产要素、无形资产和社会财富”。[36]齐爱民教授认为,个人信息保护有助于促进电子商务、信息产业和国际贸易的发展。[37]周汉华教授认为,确立个人信息保护有利于促进信息的共享和自由流动,促进电子商务的发展,促进国际交往。[38]
但是考虑到个人信息的价值中还有个人直接许可使用而获得直接经济利益的部分,[39]如德国汉堡大学法学院博士研究生谢远扬认为个人信息价值在自主价值之外还有使用价值,即“个人信息可以通过在社会交往过程中公开并流转的方式为本人带来的各种利益的价值”。因此个人信息的使用价值大致包括获得经济利益和获得某种社会评价和服务。[40]
(三)公共管理价值
电子政务、政府信息公开、公共服务和公共安全的价值都可以归为公共管理的价值。如张新宝教授认为,“公共秩序、公共安全和公共福利的推进,都离不开以个人信息为基本单位的数据库的支撑”,推行作为信息化发展重点的电子政务,进一步推进我国数字政府建设,“离不开对个人信息资源的充分正当利用”。[41]齐爱民教授和周汉华教授也都认为个人信息有利于促进电子政务的发展和进一步推进政府信息公开。
(一)域外个人信息立法保护模式
个人信息的保护机制是有关国家利用何种资源保护个人信息的问题。可供选择有三种:1. 通过立法建立法律保护机制;2. 建立以自律为主导的保护机制简称自律机制;3. 立法和自律相结合简称为综合保护机制。例如美国对个人信息的保护就有两个层面:第一层面是立法保护,主要适用于公共领域,即通过立法来控制政府机关收集、处理和利用个人信息,以隐私权的保护来维护个人信息的自由;另一层面则适用于私领域,即以行业自律的方式在个人信息保护与个人信息流动之间取得平衡。[42]由于目前,国际社会对个人信息保护的主要是借由法律手段来进行的[43]。因此我们主要对个人信息法律保护机制的立法保护模式进行梳理和对比。
所谓个人信息立法保护模式是指一国政府在个人信息保护立法时所采取的、与调整范围有关的法律形式。个人信息立法保护模式主要有两种:统一立法模式和分散立法模式。1. 统一立法模式:是指由国家立法,统一规范国家机关和民事主体收集、处理和利用个人信息的立法模式。由欧盟倡导,后为多国采用,代表国家为德国。2. 分散立法模式:是指全国没有保护个人信息的基本法,个人信息立法采取区分不同领域或事项分别立法的模式。代表国家为美国。[44]除此之外还有较为折衷的日本立法,可以称为折衷立法模式。[45]
1. 德国模式:德国1990年修正后的《防止个人资料处理滥用法》既涉及非国家机构对个人资料的处理,又涉及非国家机构,将此两种性质的法律关系纳入个人资料保护法统一规制。
2. 美国模式:在美国宪法作为全面保护的根本法的前提下,区分不同领域或事项对个人信息分别制定单行法进行保护。在电子监听和隐私保护方面有《联邦通讯法》和《电子通讯隐私法》等;在形成记录的信息隐私领域,根据具体记录的不同给予不同的保护,相关法律多达十几部之多;而关于联邦政府处理个人记录的法律主要有《隐私法》和《联邦信息自由法》等。
3. 日本模式:日本模式又被称为统分结合的立法模式。日本2005年实施的《个人情报保护法》为保护个人信息的基本法,同时根据此法,个别政府领域或者民间行业可以针对具体情况制定个别法或自律规范。[46]
(二)我国立法保护模式的选择
因为我国尚未对个人信息进行系统的立法保护,因此对于我国个人信息立法保护模式的选择,究竟是选择统一立法模式还是分散立法模式,学界尚处于争议中。齐爱民教授认为,统一立法的优势有五:1. 保护明确化:自然人在其个人信息上的权利成为绝对权,有利于保护人权。2. 统一的法定保护标准。3. 标准、科学。4. 对损害提供充分的救济。5. 高度权威性。6. 更容易得到普遍的遵从。但是统一立法也有可能阻碍个人信息自由流动、抑制创新和限制市场自由的弊端,同时还面临着法律成本过高的问题。[47]
而分散立法模式也各有优势和劣势。优势在于“可以为个人信息提供相对细腻的保护,可以针对不同性质的个人信息以及侵犯个人信息的不同行为分别设计制度进行保护。相对的,其缺点在于容易导致保护标准不一致,易导致司法上的不协调。”[49]
因此对于我国立法模式的选择,齐爱民教授认为鉴于我国的法律体制和一贯的法律传统,“立法目的明确、内容界定清晰”,有利于法治统一的统一立法模式,符合我国国情,应当予以采用。
与之相反,邹平学教授认为我国应当采取分散立法模式,采用“一方面在现有各个部门法中专门立法,另一方面在各个部门法之间完善法律链接以确保可执行力的立法路径”。原因在于,统一立法会带来三方面的问题:1. 与现存立法体制融合难度大。2. 可操作性不强。从现有立法现状看,对个人信息保护的权限已经被分散规定在近两百部相关文件中,有着不同的规制模式,并且大量的个人信息已被公共部门和私营机构收集。统一立法模式“必然要求新的信息主管部门对已经收集的海量信息进行排查”,成本太大。3. 现有法律法规清理成本过高。[50]
而采用分散立法模式在控权方面有美国相关立法作为参照范本,与上述统一立法模式的缺陷相对应,分散立法可以更好的利用现有的立法资源。[51]
无论是统一立法模式还是分散立法模式,都有其合理的地方,都有各自的价值观和社会基础作为支撑,站在我国立法的角度,比较好的选择是分别吸收其有益经验,并结合本国的国情做出具体的制度设计。日本学者就曾毫不讳言的指出日本的个人信息保护立法形似欧盟立法模式,实质上采纳了许多美国的做法。我国立法应充分吸收的经验,借鉴美国、欧盟和德国的立法保护模式,在每个具体的制度设计上都充分考虑将两者的长处结合到一起并反映中国社会生活的现实和长远需要。[52]
