個人信息這一概念并非新生詞匯,相關的法律問題也產生已久。因為無論是采用何種技術——傳統技術或是計算機網絡技術——對個人信息進行處理都有可能導致個人信息的泄露扭曲和濫用,只是在信息社會,發展迅猛的計算機網絡為個人信息的收集和處理提供了前所未有的便捷,使得個人信息的法律問題被迅速的放大,個人信息籠罩在前所未有的危險之中。[1]
(一)個人信息稱謂之爭議
據不完全統計,世界上制定了個人信息保護法律的國家或地區已經超過50個。[2]從各國立法上看,個人信息的法律概念稱謂并不統一,不同的國家使用不同的稱謂,主要有以下三種:
1. 個人數據(個人資料)。使用個人數據(個人資料)這一稱謂的主要是歐洲理事會、歐盟、歐盟成員國以及其他受歐盟1995年指令影響而立法的其他大多數國家。[3]
2. 個人隱私。這一稱謂主要出現在普通法國家(英國作為歐盟成員國除外)的立法中,如美國1974年頒布的《隱私權法》、澳大利亞的1988年《隱私權法》、加拿大的1987年《隱私權法》等,以及受美國影響較大的APEC。[4]
3. 個人信息。這一稱謂在亞洲國家出現較多,譬如日本、韓國、俄羅斯等國,使用“個人信息”的概念。[5]
在我國,尚未就個人信息保護進行立法,我國學界對個人信息的稱謂也并未達成一致共識,有學者稱為“個人信息”[6]有學者稱為“個人隱私”[7]也有學者一律稱為“個人資料”。[8]
對于個人信息概念稱謂出現的相關爭議,周漢華教授認為,概念稱謂的不同主要是源于不同的法律傳統和使用習慣,實質上并不影響法律的內容。[9]與之相反,齊愛民教授認為,“數據”、“資料”、“信息”和“隱私”不僅僅是稱謂不同,而是各有獨立外延和內涵的不同概念。[10]從這個角度看,對稱謂的選擇,體現的是對個人信息性質的認定,同時也反映出立法保護的價值傾向,因此有必要對個人信息的不同概念稱謂進行探討。
第一,對于“個人資料”與“個人數據”,二者實際上并無本質差異,英文均為“personal data”,是指有意義的、可以識別的符號對客觀事物加以表示得到的符號序列,是代表人、事、時、地的一種符號序列(不以文字為限)。因此二者在信息保護法領域可以看作是同一概念,區別僅是來源于中文翻譯的不同。[11]
第二,對于“個人信息”與“個人隱私”,二者不僅僅是概念稱謂的不同,二者在范圍上有著本質的區別。如齊愛民教授認為,個人隱私與個人信息是包含關系,個人隱私是個人信息的下位概念,是個人信息的一部分。個人隱私這一概念稱謂事實上將不涉及隱私的個人信息排除在保護范圍之外。王利明教授也持相同觀點,他認為隱私主要是私密性的信息或私人活動,且不限于信息的形態,可以以個人活動、個人私生活等方式體現。[12]必須在一定范圍內為社會特定人或者不特定人所周知的個人信息難以看作是隱私,[13]因此個人信息與個人隱私在信息保護法領域只發生部分重合,二者在范圍上并不是完全等同的關系。
第三,對于“個人信息”與“個人資料”,齊愛民教授認為,兩個稱謂有著一定的區別,但是在個人信息保護法領域是可以通用的。從二者的聯系上講,個人信息是個人資料所反映的內容,個人資料是個人信息的表現形式。許多國家和國際組織在其法律文件中將“個人資料”與“個人信息”通用,如聯合國指南、英國1998年《個人資料保護法》緒言、美國《美國-歐盟的隱私安全港原則與常涉問題》等。從二者的區別上講,資料側重于客觀的形式,不以資料反映的內容與人的互動關系為著眼點。而信息的著眼點恰恰在于其作用于人的大腦形成的認識,因此,“個人信息”比起“個人資料”更具人文關懷。立法的目的在于保護個人,而不停留在個人資料本身,因此齊愛民教授認為應提倡在我國立法上使用“個人信息”的概念稱謂。[14]對于這個問題,德國漢堡大學法學院博士研究生謝遠揚持不同的觀點,他認為,“個人信息”和“個人資料”之間僅僅在于表述角度的不同,區別并不顯著。[15]
綜上,由于實定法在納入個人信息這一全新概念時尚不成熟,因此出現了“個人信息”,“個人隱私”和“個人數據”等概念稱謂相互通用的這種并不常見的法律現象。而對于尚未進行個人信息保護立法的我國來說,確定個人信息的概念稱謂是基礎且必要的。鄭成思教授曾說:“無數的客觀事物的信息,正是通過人的眼、耳、鼻、舌、身這五個官能,‘傳遞’給人們,經過人們的大腦進行‘去粗取精、去偽存真’地加工,人們方才認識了世界,又轉過來改造世界”。[16]由于“信息是資料反映的內容”,[17]因此資料接收者的不同會使得出的信息不同,使用“個人信息”的概念稱謂似乎更能體現個人信息法律保護中“人”的地位。隨著個人的權利意識增強,[18]法律需要突出對個人權利的關注。[19]在個人信息保護領域,無論是立法例還是學界,“個人信息”的概念稱謂被越來越多的采用。因此我國相關立法可以將其作為個人信息保護立法的基礎概念予以采納。[20]
(二)個人信息定義之爭議
對于個人信息的內涵界定,無論是國內還是國外、無論是立法例還是學界觀點,都有著一定的爭議。拋開形式上分為列舉式和概括式的不同,學界和立法例對個人信息的界定主要分為關聯型和識別型,二者強調的重點不同。
1. 關聯型:
關聯型的個人信息定義,強調的是該信息與個人的關聯性。所謂個人信息就是和自然人有關的信息。[21]如我國香港96條例規定,個人資料是直接或間接與一名在世的個人有關的。[22]
范江真微教授認為,所謂個人信息,包括認知內心身體身份地位以及其他關于個人之一切事項之事實判斷評價等所有信息在內。換言之,有關個人之信息并不限于與個人之人格或私生活有關者,個人之社會文化活動、為團體組織中成員之活動,及其他與個人有關聯之信息,全部包括在內。[23]
2. 識別型:
與關聯型不同,識別型個人信息的定義強調可識別性。
王利明教授認為,個人信息是指與特定個人相關聯的、反映個體特征的具有可識別性的符號系統,包括個人身份、工作、家庭、財產、健康等各方面的信息。個人信息注重的是身份識別性。此種信息與個人人格、個人身份有一定的聯系,無論是直接指向個人,還是在信息組合之后指向個人,都可以認為其具有身份識別性。例如,一個人可能有多個手機號碼、車牌號等,此種信息并不像姓名、身份證號碼等具有唯一性,但此種信息與其他信息結合在一起,可以指向個人,從而與個人身份的識別具有一定的聯系。某一信息必須能夠指向特定的個人,才能被稱作個人信息。[24]
劉德良教授同樣主張識別型個人信息定義,他認為,個人信息是指那些據此能夠直接或間接推斷出特定自然人身份而又與公共利益沒有直接關系的私有信息。[25]其在識別性之外,又強調了個人信息需與公共利益無關。
國內的立法例采用識別型個人信息的定義有臺灣相關法律的規定,《臺灣資料法》規定,個人資料指自然人之姓名、出生年月日、身份證統一編號、特征、指紋、婚姻、家庭、教育、職業、健康、病歷、財務狀況、社會活動等足以識別該個人之資料。[26]
放眼國外立法例,英國《資料保護法》規定,個人信息是指可以直接或間接識別一個活著的人的所有資料,包括個人觀點的表達、個人意圖的表達等。歐盟指令規定,個人資料是指任何識別或可得識別自然人(資料主體)的任何信息;可識別的自然人是指直接或間接特別是通過他的身份證號碼或他的身體、生理、精神、經濟、文化和社會識別等一個或多個特有因素,從而被識別的人。[27]
國外學界也有學者持有識別型個人信息定義觀點,有學者認為,對于與個人相關的信息而言,其存在于一定的載體之上,且被記錄下來,并能直接或者間接指向該特定個人,可以被稱為個人信息。[28]這一觀點同時強調了信息必須以載體的形式出現。
除了上述關聯型和識別型的個人信息定義之外,美國Parent學者認為,個人信息系指社會中多數所不愿向外透露者(除對朋友、家人之外);或是個人極敏感而不愿他人知道者(如多數人不在意,但有人則對其身高極為敏感,不欲外人知道)。[29]此種定義,有將個人信息的內涵限制得過于狹窄之嫌,并且有與隱私相混淆的可能,故較少被采用。
有上述可知,關聯型個人信息定義有定義過寬的可能。而識別型個人信息定義,無論是從學界還是從立法例上,都是采用較多的個人信息定義方式。
法律是在無限需求和有限資源之間尋求平衡的最佳機制,個人信息是否具有值得法律保護的價值,又有哪些方面的價值,我國學界有著各自不同的觀點,綜合學者的觀點,可以看出學界對于個人信息具有相當高的價值已無異議,對于個人信息具有哪些價值略有分歧,但基本在以下三個方面可以認為達成了共識。
(一)人格尊嚴價值
張新寶教授認為,“個人信息對于信息主體的人格尊嚴和自由價值,應當是個人信息保護立法中首要考慮的因素”,因為“個人信息指向信息主體,能夠顯現個人的生活軌跡,勾勒出個人人格形象,而現代化信息技術可以實現對個人碎片化信息的整合,隨著信息質和量的累積,可以形成個人‘信息化形象’。只有消除個人對‘信息化形象’被他人操控的疑慮和恐慌,保持其信息化人格與其自身的一致性而不被扭曲,才能有自尊并受到他人尊重地生存與生活。”[30]中華人民共和國工業和信息化部信息安全協調司副司長歐陽武也認同個人信息的價值包括人格尊嚴。[31]
德國漢堡大學法學院博士研究生謝遠揚認為,個人信息的價值類型主要可以分為兩個方面:自主價值和使用價值。對于自主價值,魯曼教授認為,人格只有通過自身的行為表現體現出來,也只有在社會交往的過程中才存在。[32]馬爾曼教授認為,自我表現是個人和外界交流的唯一手段,而自我表現的實質是對個人信息使用。因此謝遠揚博士認為,個人信息的自主價值,首要的就是“通過對個人信息的自主使用以實現人格自由發展的價值”。[33]此自主價值實際指的也就是人格尊嚴價值。
齊愛民教授認為,個人信息的價值涉及到信息社會基本人權的全面實現,他認為個人信息之上的權利是一項基本人權,包括公民的基本權利、自由、人格和隱私利益。而對于保護個人權利,其認為包括自然人人格權和自然人財產權兩方面。[34]與之類似,周漢華教授認為,確立個人信息保護是保護個人權利的需要。[35]兩位學者對于人格權利的主張,核心也就是人格尊嚴。
(二)經濟價值
對于個人信息的經濟價值,張新寶教授將其概括為商業價值,認為主要表現在三個方面。在商業營銷方面,通過個人信息可以“幫助經營者以消費者整體需求為導向”,經營者可以享受“營銷回應比率提升帶來的經濟回報”;在整個商業環境的健康運行方面,利用大規模的個人信用信息來“建立健全完善的社會信用體系關系到整個社會的經濟運行”;在產業方面,“信息資源成為重要的生產要素、無形資產和社會財富”。[36]齊愛民教授認為,個人信息保護有助于促進電子商務、信息產業和國際貿易的發展。[37]周漢華教授認為,確立個人信息保護有利于促進信息的共享和自由流動,促進電子商務的發展,促進國際交往。[38]
但是考慮到個人信息的價值中還有個人直接許可使用而獲得直接經濟利益的部分,[39]如德國漢堡大學法學院博士研究生謝遠揚認為個人信息價值在自主價值之外還有使用價值,即“個人信息可以通過在社會交往過程中公開并流轉的方式為本人帶來的各種利益的價值”。因此個人信息的使用價值大致包括獲得經濟利益和獲得某種社會評價和服務。[40]
(三)公共管理價值
電子政務、政府信息公開、公共服務和公共安全的價值都可以歸為公共管理的價值。如張新寶教授認為,“公共秩序、公共安全和公共福利的推進,都離不開以個人信息為基本單位的數據庫的支撐”,推行作為信息化發展重點的電子政務,進一步推進我國數字政府建設,“離不開對個人信息資源的充分正當利用”。[41]齊愛民教授和周漢華教授也都認為個人信息有利于促進電子政務的發展和進一步推進政府信息公開。
(一)域外個人信息立法保護模式
個人信息的保護機制是有關國家利用何種資源保護個人信息的問題。可供選擇有三種:1. 通過立法建立法律保護機制;2. 建立以自律為主導的保護機制簡稱自律機制;3. 立法和自律相結合簡稱為綜合保護機制。例如美國對個人信息的保護就有兩個層面:第一層面是立法保護,主要適用于公共領域,即通過立法來控制政府機關收集、處理和利用個人信息,以隱私權的保護來維護個人信息的自由;另一層面則適用于私領域,即以行業自律的方式在個人信息保護與個人信息流動之間取得平衡。[42]由于目前,國際社會對個人信息保護的主要是借由法律手段來進行的[43]。因此我們主要對個人信息法律保護機制的立法保護模式進行梳理和對比。
所謂個人信息立法保護模式是指一國政府在個人信息保護立法時所采取的、與調整范圍有關的法律形式。個人信息立法保護模式主要有兩種:統一立法模式和分散立法模式。1. 統一立法模式:是指由國家立法,統一規范國家機關和民事主體收集、處理和利用個人信息的立法模式。由歐盟倡導,后為多國采用,代表國家為德國。2. 分散立法模式:是指全國沒有保護個人信息的基本法,個人信息立法采取區分不同領域或事項分別立法的模式。代表國家為美國。[44]除此之外還有較為折衷的日本立法,可以稱為折衷立法模式。[45]
1. 德國模式:德國1990年修正后的《防止個人資料處理濫用法》既涉及非國家機構對個人資料的處理,又涉及非國家機構,將此兩種性質的法律關系納入個人資料保護法統一規制。
2. 美國模式:在美國憲法作為全面保護的根本法的前提下,區分不同領域或事項對個人信息分別制定單行法進行保護。在電子監聽和隱私保護方面有《聯邦通訊法》和《電子通訊隱私法》等;在形成記錄的信息隱私領域,根據具體記錄的不同給予不同的保護,相關法律多達十幾部之多;而關于聯邦政府處理個人記錄的法律主要有《隱私法》和《聯邦信息自由法》等。
3. 日本模式:日本模式又被稱為統分結合的立法模式。日本2005年實施的《個人情報保護法》為保護個人信息的基本法,同時根據此法,個別政府領域或者民間行業可以針對具體情況制定個別法或自律規范。[46]
(二)我國立法保護模式的選擇
因為我國尚未對個人信息進行系統的立法保護,因此對于我國個人信息立法保護模式的選擇,究竟是選擇統一立法模式還是分散立法模式,學界尚處于爭議中。齊愛民教授認為,統一立法的優勢有五:1. 保護明確化:自然人在其個人信息上的權利成為絕對權,有利于保護人權。2. 統一的法定保護標準。3. 標準、科學。4. 對損害提供充分的救濟。5. 高度權威性。6. 更容易得到普遍的遵從。但是統一立法也有可能阻礙個人信息自由流動、抑制創新和限制市場自由的弊端,同時還面臨著法律成本過高的問題。[47]
而分散立法模式也各有優勢和劣勢。優勢在于“可以為個人信息提供相對細膩的保護,可以針對不同性質的個人信息以及侵犯個人信息的不同行為分別設計制度進行保護。相對的,其缺點在于容易導致保護標準不一致,易導致司法上的不協調。”[49]
因此對于我國立法模式的選擇,齊愛民教授認為鑒于我國的法律體制和一貫的法律傳統,“立法目的明確、內容界定清晰”,有利于法治統一的統一立法模式,符合我國國情,應當予以采用。
與之相反,鄒平學教授認為我國應當采取分散立法模式,采用“一方面在現有各個部門法中專門立法,另一方面在各個部門法之間完善法律鏈接以確保可執行力的立法路徑”。原因在于,統一立法會帶來三方面的問題:1. 與現存立法體制融合難度大。2. 可操作性不強。從現有立法現狀看,對個人信息保護的權限已經被分散規定在近兩百部相關文件中,有著不同的規制模式,并且大量的個人信息已被公共部門和私營機構收集。統一立法模式“必然要求新的信息主管部門對已經收集的海量信息進行排查”,成本太大。3. 現有法律法規清理成本過高。[50]
而采用分散立法模式在控權方面有美國相關立法作為參照范本,與上述統一立法模式的缺陷相對應,分散立法可以更好的利用現有的立法資源。[51]
無論是統一立法模式還是分散立法模式,都有其合理的地方,都有各自的價值觀和社會基礎作為支撐,站在我國立法的角度,比較好的選擇是分別吸收其有益經驗,并結合本國的國情做出具體的制度設計。日本學者就曾毫不諱言的指出日本的個人信息保護立法形似歐盟立法模式,實質上采納了許多美國的做法。我國立法應充分吸收的經驗,借鑒美國、歐盟和德國的立法保護模式,在每個具體的制度設計上都充分考慮將兩者的長處結合到一起并反映中國社會生活的現實和長遠需要。[52]
