就法律视域下的个人信息,曾有学者主张关联说,认为“个人信息是指与个人有关联性的全部信息”。[11]笔者认为颇为不妥,就个人信息保护的兴起而言,其无法脱离信息价值激增的大数据时代背景,本质上法律需要在全社会数据流动与信息主体利益保护之间进行价值平衡,如果所有与个体相关的信息都当然地成为法律保护的“个人信息”,必然会严重挤压社会整体信息自由的空间,而最终代价仍是由信息个体承担。就法律自身而言,其重要目标为保护特定价值,作为某种值得保护价值载体的信息亦是如此。对个人信息给予法律上保护的根源在于,其指向了信息主体的人格权益及由此关联的财产权益。就个人信息自身含义而言,世间不变之物唯有变化,作为一种动态发展概念,我们在前置立法中对其定义往往也局限在相当性的标准下的不完全列举;而在后置的司法救济中,对个人信息侵害的判定还需要结合具体案情。
当前我国学者在界定个人信息概念时有所不同,主要体现在列举的内容存在差别。在《个人信息保护法(草案)》的定义中,周汉华教授列明了个人姓名、住址、身份证号码、医疗记录信息,并且以识别特定个人为标准作出归结。[12]齐爱民教授在《中华人民共和国个人信息保护法示范法草案学者建议稿》中以不完全列举的方式指出了包括自然人的姓名、遗传特征、指纹、教育、职业、健康财务情况、社会活动等在内的14项内容。[13]姜明安教授赞同认定应把握特定利益与人身关联的标准,并排除性提出该信息应当与公益无关。[14]王利明教授认为关联性、识别性是重要的判定因素,列举认为身份、职业、家庭、财富、健康等内容当属个人信息。[15]刘德良教授明确个人信息具有直接或者间接的识别性、私有性、与公共利益无直接关联性。[16]郭瑜教授考虑到“在法律概念上,个人数据保护与电脑、网络等信息技术的使用密不可分”,主张采用“个人数据”进行立法更为准确、稳妥,但回避了对个人数据作出明确定义。[17]
学者们的主张虽存在差异,但基本没有脱离“识别”的判断标准,这也与当前各世界主要国家和相关地区的传统倾向相一致。然欧美立法中基于风险防控和数据利用下的个人信息定义趋向新发展值得关注,《欧盟数据保护通用条例》在遵循传统指令“直接或间接识别特定自然人”界定的基础上,对匿名、化名信息及特殊种类的信息等内容也予以规范,《美国消费者隐私权利法案(草案)》则特别关注“关联性”方面,并对排除情形进行大量规定。[18](www.xing528.com)
实际上,我国当前诸多直接相关的立法规范已经对个人信息的定义加以确认,采用了概念定义加具体列举的混合型模式,大多体现为既有关于“识别”的概括,也有关于一般个人信息与特殊个人信息的列举。《全国人民代表大会常务委员会关于加强网络信息保护的决定》(2012年)中相关的表述为“识别公民个人身份和涉及公民个人隐私的电子信息”。此后2013年出台的《电信和互联网用户个人信息保护规定》《信息安全技术公共及商用服务信息系统个人信息保护指南》就个人信息内容、类别、来源等作出了进一步规范认定。《中华人民共和国网络安全法》(2016年)第76条第5项明确规定:“个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。”
故笔者认为,进入法律规范层面的个人信息应当是能够识别特定个人的信息,其最基本的特征是具有识别性,即通过直接或间接,单一或组合信息,据此可以判断出特定个人。此外,个人信息不可与公共利益关切,其保护应受到一定限制;个人信息范围广于个人隐私;个人信息主体应为自然人,兼具人格利益与财产利益。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
