欧盟法的“个人数据”的意思是“识别与自然人相关的信息”,主要有两个修饰符“相关”和“识别”。“相关”表示特定数据和特定个人之间的链接。对数据是否与特定个人“相关”,欧盟法律提出从数据的内容、目的和结果三方面分析。
首先,根据与特定用户相关的内容,可以直接确定一些数据。人事文件中的资料,需要根据目的来判断一些数据,如何使用这些数据,以确定与人们相关的所有者的经济状况。还有的为了判断记录所有者的行动,从结果中判断需要判断的数据,如以判断车辆状态为目的的交通监视录像等。
其次,为了判断是否相关,有些数据需要根据目的进行判断。英国法院认为,不一定所有可以使用名字或特定标准从计算机中检索的信息都是个人数据。数据处理控制者的文件中记载了数据是否是个人数据取决于数据与特定人之间的关系有多接近。
最后,在上述两种方法不可行的情况下,我们直接使用数据的公开结果进行相关性的判定。在某个事件中,collidi先生要求医疗机构提供相关信息,用来探查核设施活动的风险性与该地区的儿童白血病发病是否有关系。在受到拒绝之后,苏格兰信息委员会使用数字技术不能被识别后,提供给collidi先生。对于这一事件,法官认为,即使采用识别数据主体的数字技术,但是与发生儿童白血病相关的一系列信息仍然被认作是与儿童健康有关联的信息,并与这些儿童在正常意义上是“相关”的。
数据在不影响个人数据地位的情况下可以用于公用。“在个人数据公开的情况下,数据主体无论是规则的制定还是自身的权限,都不会被夺取受保护的权利。”
“认识”表明了其他人认识数据和个人的关系。个人的名字、肖像、指纹、声音、身份证书编号、驾驶执照编号等容易识别的主要原因有时是直观的,也有根据数据存在的状况来判断间接的数据。欧盟1995年的命令序文26节指出,确定识别可能性,应最大限度地利用可识别信息。这意味着,即使数据处理控制者无法以正当方法确定特定的个人,只要其他任何人有可能这样做,就将该数据视为个人数据。
例如,电子邮件地址是电子邮件运营商知道的接收者的地址,但并不一定是真正的名字,只是能够识别的个人数据。另外,动态IP地址不一定与特定个人有关。但是,第29条工作组(数据保护研究机构)认为是与能够识别IP地址的个人相关的个人数据。这是因为互联网访问提供商和本地网络运营商应用适当的方法,以便在文件中记录日期、实践、持续实践和动态IP给网络用户,从而决定将IP地址分配给哪个网络用户。在特定情况下,IP地址和特定个人无法通过逻辑手段相关联,IP地址无法识别个人。(www.xing528.com)
欧盟于1995年将“个人数据”的定义尽可能包含与个人相关的所有数据,这也从其指示的制作过程以及各种解释中反映出来。这在确保个人数据的权利方面具有很大的优点。
美国喜欢“个人识别信息”这一概念,它比1995年欧洲指令中的“个人数据”这一概念小,一般指的是直接识别个人的数据。对于不受特定法律保护的普通个人数据,不应该保护或者不值得保护,而应遵守各行业的独特规则。一般个人数据被滥用、个人权利受到损害时,会被隐私法、合同等其他法律保护。
日本的“个人信息保护法”规定了个人数据、个人信息、持有的个人数据三种数据。“个人信息”的是范围非常广泛的,包括邮件雇佣信息、电话簿和电子邮件地址、工作地址、照片、公开的杂志和人事列表、名字、出生日期等所有信息。根据贸易、经济、工业部门发布的指南,部分地址本身是个人信息;部分电子邮件地址是个人信息,但可以识别员工属于哪家公司;有些电子邮件地址可能不能识别特定的个人,这不是个人信息。“个人数据”是存储在数据库中的个人信息。数据库被定义为计算机可以搜索的信息集合,同时可以根据信息结构轻松地进行搜索。处理个人信息的企业公开、追加、删除、变更、停止使用或提供的个人数据就是所谓的“持有个人数据”。
从这个定义中,我们排除的主要是政府的禁止令,公开了会损害公共利益的个人数据等的情况。个人数据处理者对三种信息分别有不同的义务。
在亚太经济合作公司的个人隐私系统中,个人信息可以定义为与特定的个人或者与特定个人相关的所有信息。但是,“可公开的信息”在APEC的“隐私框架”中是有限的。通知和选择等要求一般来说是冗长的。个人在知情的情况下允许公开,允许公开的个人信息就是“可公开的信息”,又或者说是合法得到或者可以取得的个人信息。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。