传统认知框架下,借助法律保护个人信息,必须首先明确何谓个人信息,因此,对个人信息的清晰界定便成为通过法律手段对个人信息进行保护的前提与边界。它成为个人信息保护法中的核心概念。就此而言,确定所涉信息是否为个人信息构成个人信息保护法适用的首要前提。在个人信息的定义方面,理论界有三种较具代表性的观点:第一,关联型定义法。此种定义法将所有与个人相关联的信息均认定为个人信息。基于此种认知,个人信息被界定如下:“人之内心、身体、身份、地位及其他关于个人之一切事项之事实、判断、评价等之所有信息在内……”[40]第二,隐私权说型定义法。据此,个人信息被界定为:“社会中多数所不愿向外透露者(除了对朋友、家人等之外);或是个人极敏感而不愿他人知道者(如多数人不在意他人知道自己的身高,但有人则对其身高极为敏感,不欲外人知道)。”[41]第三,识别型定义法。此种定义方式将个人信息定义为能直接或间接识别出个人的信息,例如《OECD个人资料保护指南》第1条(b)的规定。上述三种定义方式,关联说定义方式失之过宽,隐私权说定义方式失之过窄,而识别型定义模式被较多国家与国际组织采用。
就传统的识别型定义法而言,“识别”构成判定个人信息的核心标准。“可识别性”是个人信息最为重要的特征,包括直接的识别及间接识别。虽然这一法律上的界定足够开放,但在个人信息保护法诞生之初,即20世纪70年代,除姓名、身份证号码、家庭住址和电话号码之外,能被归入“身份识别性”信息之列的信息种类还相当有限。然而,个人信息的保护范围在不断扩展。针对这一发展趋势及其带来的影响,1995年欧盟出台的《数据保护指令》在个人信息保护范围的界定方面做出两方面的限定:一是强调数据可识别的可能性,二是强调数据可识别的合理性。基于上述限制,那些需要支出高额费用或克服较大困难才能被识别的信息,不应纳入保护范围,这一限制是从比例原则的角度进行的考量。事实上,《数据保护指令》的这一范围限制是极有必要的,因为它避免了个人信息保护范围不适当的扩大化。
然而,随着互联网技术的迅猛发展,个人信息保护法的适用环境发生重大改变。而大数据的出现,也不断地扩展着个人信息的保护边界。当下,人们可以轻易、便捷地获取网络中大量可资利用的多重数据源,这些来源不同的多重数据,可以通过新兴信息分析技术被有效地关联和聚合起来,人们将非个人信息转化成个人信息,识别出信息主体的能力已大为提升。与数十年前不同,获取信息及从信息中恢复身份属性的成本已不再是一个高不可攀的门槛;相反,随着大数据的蓬勃兴起,此类成本正在急速下降。对于已经进行的匿名化操作,去除掉身份特征的姓名,可通过数据分析,重新恢复数据的身份属性。(www.xing528.com)
鉴于信息技术和大数据正在飞速发展的事实,在如何合理有效推进个人信息保护方面,将不得不面对如下两个难题:倘若固守个人信息保护法的传统思维,严格界定“个人信息”,那么如何规制大数据环境下数据利用的安全风险?倘若扩大个人信息的边界,顺应时代发展的浪潮,那么这一边界止于何处,才能在法律上重新寻获保护公民个人权利与促进技术发展之间新的平衡点?
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
