网络环境下个人信息概念的厘定
发布日期:2010-09-23 文章来源:互联网
【内容摘要】:对网络用户,乃至非网络用户而言,他们都有可能既享受信息电子化带来的便利,同时也会因为个人信息的电子化而带来困扰。在我国尚未出台《个人信息保护法》以及确立个人信息权的今天,要实现网络环境下个人信息的有力保护及规制,首先需要对网络环境下个人信息的概念进行合理界定,只有在明晰了个人信息与传统个人权内容上的差别之后,才有可能创设个人信息权,或者说才能更为有效地实现合理保护网络环境下个人信息之目的。
【关键词】:网络环境 个人信息 厘定
个人信息、个人数据、隐私乃至于传统的具体人格权等内容,在它们的概念范域中有着交叉与重叠的部分。而要明晰网络环境下个人信息的基本内涵,或者说给其下一个合理的定义。就有必要对这些基本概念进行讨论。
一、个人信息概念的提出
(一)网络环境下个人信息概念的甄选
梅绍祖先生在2005年发表的《个人信息保护的基础性问题研究》中认为“个人信息”和“个人数据”可以通用 ,并在其2006年发表的《个人信息保护立法的两个问题》一文中则认为“进行隐私权的立法更为妥善” 。齐爱民先生在2004年出版的《个人资料保护法原理及其跨国流通法律问题研究》一书中明确区别了“个人资料”与“个人信息”,坚持采“个人资料”的称谓 ;在其2005年发表的《论个人信息的法律保护》一文中,虽然也详细地区别了“个人资料”与“个人信息”,但却指出“保护个人资料的目的在于保护个人信息,使用‘个人信息’更能体现立法的目的”,同时又说“个人资料和个人信息应该是可以通用的概念” 。周汉华先生认为“概念的不同主要是源于不同的法律传统和使用习惯,实质上并不影响法律的内容”,因此建议采用“个人信息”的概念,其理由有三:首先,数据这一概念在我国法律中比较生僻,它主要适用于技术领域;其次,采用个人信息的概念,不但与信息化和信息化法律体系建设的大背景符合,也可以与政府信息公开条例相呼应;再次,使用个人信息的概念,可以避开欧盟和美国在这一问题上的分歧,体现一种独立的声音。
显然,在涉及自然人信息电子化资料如何确定其名称的问题上,国内的主要学者存在不同的观点,而即使是同一学者在不同的时期也给出了截然不同的看法。事实上,一方面考虑到网络信息化的不断发展和强大,另一方面考虑到国内语言使用习惯以及人们的理解力上看考虑,采用“个人信息”这个名词来定位与自然人信息电子化资料具备较好的可行性,应当作为首选。
(二)传统视野下个人信息的定义
个人信息概念滥觞于1968年联合国“国际人权会议”中提出的“资料保护”(data protection),是年被称为“资料革命年”。最早的国内个人信息保护立法是德国黑森州《个人资料保护法》(1970年),而最早的国家个人信息保护立法则是瑞典的《资料法》(1973年)。然而,这些最早的会议和立法文件对“个人资料”这一称谓的界定,并未得到国际社会普遍的承认和遵从,各国学界和立法对个人信息的认识也不一致,最直接的表现就是个人信息这一概念在各国立法被冠以不同的称谓。
个人信息的定义在理论界通常有如下三种:第一种是个人信息关联型定义,有学者认为:“所谓个人信息,包括人之内心、身体、身份、地位以及其他关于个人一切事项之事实、判断评价等之所有信息在内,换言之,有关个人之信息并不仅限于与个人之人格或私生活有关者,个人之社会文化活动、为团体组织中成员之活动,及其他与个人有关联之信息,全部包括在内。” 第二种是隐私型定义,认为“个人信息系指社会中多数所不愿向外透露者(除对家人朋友之外);或个人极敏感而不愿为他人知道者(如多数人不在意他人知道自己的身高,但有人则对其身高极其敏感,不欲为外人知道)”。 第三种是美德两国选择的识别 型定义。这种定义的优势是可以借助一种客观标准—识别而同时弥补以上两种定义的不足。
观点一认为,“个人信息”(information relating to individuals),是一切可以识别本人的信息的总和,这些信息包括了一个人的生理的、心理的、智力的、个体的、社会的、经济的、文化的、家庭的等等方面。
观点二认为,“个人信息包括所有与个人有关的信息,具体包括:身体物理特征;感情、思想与观点;经济与财产状况;生活方式;身份信息;家庭与社会关系;职业经历、简历和个人档案资料;健康状况与病历;个人通信、日记和其他私人文件;其他所有纯属私人内容的个人数据资料”。
观点三认为,“个人信息则是指那些能够据此直接或间接识别出特定自然人身份的信息,在现实生活中它往往需要通过诸如姓名、肖像、声音(声纹)、指纹、基因编码、身份证号码、各种与特定主体身份紧密相关的通信号码等各种符号、标识和载体而表现出来。”
观点四是以我国台湾地区有学者为代表,认为,“所谓个人信息,包括人之内心、身体、身份、地位及其他关于个人之一切事项之事实、判断、评价等之所有信息在内。换言之,有关个人之信息并不仅限于与个人之人格或私生活有关者,个人之社会文化活动、为团体组织中成员之活动,及其他与个人有关联性之信息,全部包括在内。
观点一和观点三虽然在描述上有所差别,但二者的共同之处在于主要以能否识别出自然人身份为主要标准来加以概括。观点二则采用联系性标准,即所有与个人身体、生活、身份等有关的内容,都应当认定为个人信息;而观点四的定义则于前三者差别较大,不仅包括个人的所有事实事项,同时包含了一切与特定自然人有关的判断,乃至评价。笔者以为,在关于个人信息内涵的界定上应该是客观的,而不应包括人为的判断,乃至评价的部分,因此,结合前三者的观点,有利于我们科学客观的理解和界定个人信息的内涵。
二、个人信息、个人数据、隐私范域的交叉与重叠
(一)个人信息与个人数据之辨析
与个人信息概念上最为接近的是“个人数据”一词。个人数据概念使用的较多的主要是欧盟成员国以及其他受1995年欧盟《个人数据保护指令》影响而立法的其他大多数国家。在普通法国家(英国作为欧盟成员国除外),如美国、澳大利亚、新西兰、加拿大等,以及受美国影响较大的亚太经济合作组织(APEC),则大多使用隐私法概念。在日本、韩国、俄罗斯等国,则使用“个人信息法”概念。
欧洲理事会在1992年的《理事会数据保护条例》修改建议稿中规定:个人数据是指有关一个可识别的自然人的任何信息,不局限于以可处理形式存在的信息,它包括任何种类和任何形式的信息,只要这种信息是有关个人的,不论是活着的人或死去的人,并且只要这个人或者这些人是可以识别的。
我国台湾地区于1995年8月21日正式实施的《电脑处理个人资料保护法》及《计算机处理个人数据保护法实施细则》对法律应当保护的个人数据作了详细的界定。依据该《电脑处理个人资料保护法》及《计算机处理个人数据保护法实施细则》,个人数据是尚生存的自然人的足以识别该个人的资料,包括自然人姓名、出生年月日、身份证号码、特征、指纹、婚姻、家庭、教育、职业、健康、病历、财务状况、社会活动及其他足以识别该个人的资料。
从个人数据较为统一的概念上理解,我们可以看出,个人信息与个人数据两个概念的基本内涵是相同的,区别在于提法的不同,在国内一般习惯将其概括为个人信息(personal information),而西方国家或者说国际立法上则更习惯于称其为个人数据(personal data)。
(二)个人信息与隐私之辨析
与个人信息在内容上有较多重合之处的另一个概念是隐私。从对隐私权保护最早,也相对比较全面和成功的美国经验来看,隐私权是相对名誉、姓名、肖像等基本权利更晚出现的。据考证1868年法国亚尔萨斯曾有过一条“私生活应严加保护”的法律, 但学术界的通说认为,在1890年美国人布兰戴斯(Louls. D. Brandeis)和沃伦(Samuel D. Warren)发表《The Right to Privacy》之前,没有人提出过隐私权的理论,也无相应的立法和判例。传统的观点认为“隐私是一种更为一般的权利”可以是“个人豁免权利”、“独处的权利”以及“保持自己个性的权利”。
我国台湾学者吕光认为,“隐私权是对个人私生活的保护,使每个人能安宁生活,不受干扰,未经本人同意,其与公众无关的私人事务,不得刊布或讨论,其个人姓名、照片、肖像等非事前获得本人同意不得擅自使用或刊布,尤不得做商业上的用途。”
我国大陆学者比较有代表性的观点有如下几种:佟柔认为,“隐私权是指公民对自己的个人私生活秘密和个人生活自由为内容,禁止他人干涉的一种人格权。” 王利明认为,“隐私权是自然人享有的对其个人的、与公共利益无关的个人信息、私人活动和私有领域进行支配的一种人格权。” 杨立新认为,“隐私权是指自然人依法享有的其对个人的、与公共利益无关的私人信息、私人活动和私人空间自主进行支配的具体人格权。” 张新宝认为,“隐私权是指私人生活安宁不受他人非法干扰,私人信息保密不受他人非法搜集、刺探和公开的权利。
通过比较以上诸多观点,基本上反映出对“个人私生活秘密”、“个人生活自由”,或者“个人信息、个人空间、个人活动”之类的可以归为“隐私”加以保护的隐私权制度,所主要实现的目标有以下层次:一为控制;二为处分;三为精神上的安宁;四为自由。它们对隐私权保护所要达到的目标的要求是逐层提高的。
而对于个人信息与隐私之间的范域重叠与差别究竟在哪些方面呢?其实我们可以这样来简单的论述和举例。对于隐私而言,所达到的四个目标是由浅及深,逐步扩大。当它的目标要求达到了精神上的安宁、甚至于自由的时候,隐私权的范域就可能会随着个人的主观感受的不同而有所不同,而如果一味的强调这种权利的保护,那么隐私权的边界就会显得遥不可及——因为它有可能随时地延伸和变化。笔者以为这种性质主要是由于“隐私”一词本身就具有一定的主观感受性,所以要想得到一个普遍的或者说精确的定义可能比较困难。而个人信息则相对来说可能更加容易概括一些,因为对于那些能够直接或间接地识别自然人的信息,就可以界定为个人信息。而问题在于那些与隐私以及个人信息相重叠的内容,如何界定?
美国学者的观点认为个人信息隐私表示现实生活中只有个别熟人知悉的个人私事的实施状况。个人信息隐私可能是平常生活中个人最常为关注的事实,如给文件柜、文件桌上锁、穿衣服、使用百叶窗以及关上卧室的门,这些基本的社会行为反映出我们每个人都很在意个人信息隐私。 保护个人信息就要限制接近私人及获取私人消息的方式。
事实上,个人信息与隐私相互重叠的内容上,还是有据可循的,从日本学者划分的观点来看,主要可以从下图所示来进行简易的划分。(见图一)
图一:个人信息与个人隐私关系
从上图不难看出来,个人信息的内容既包括依据法律可以公开的内容(而此部分隐私是不被包括的),也包括那些不公开的,甚至于隐秘的内容(而此部分主要可以被隐私所包容);而个人信息的内容上原则上不包括社会地位与私生活的部分,那些是完全归属于隐私的内容。而事实也是如此,如果隐私权能够良好的保护私生活的内容,那么就没有必要将个人信息的范围涉及到现有权利已经能良好得到保护的公民利益。这是从隐私与个人信息所涉及的范围广度上进行考察的。
然而事实上,对于自然人基于的个人信息所应当享有的权利与自然人基于隐私所享有的权利,是不同的。显然,对于隐私来说,之所以创设隐私权来对权利主体之隐私利益进行保护,其最主要的目的应当是为了实现权利主体能对涉及自己信息进行合理掌控,进而实现精神上的安静,乃至于自由的最大化实现。正是基于这种权利基础,所以就决定了隐私权将是一种相对消极而保守的权利形态,换句话说,隐私权的功能在于“防护”。个人信息则于隐私有所不同,个人信息在涉及的内容上,包括不被公开的部分,却也当然的包括已经被公开的部分,而个人信息权之创设,与隐私权最大的不同在于不仅在于“防护”,也包括利用,尤其是在网络化、信息化的当今,信息成为了重要的资源和极具商业价值的“商品”,个人信息也不例外。而如果有人提议将隐私进行商业化利用,恐怕是闻所未闻,更不被大众所接受和认可的,这也就是认可个人信息,并创设个人信息的重要原因之一。
三、网络环境下个人信息概念的厘定
(一)网络环境下个人信息的内涵分析
对网络环境下的个人信息而言,虽然是在网络环境下进行具体的分析,但它的基本落脚点仍然在个人信息一词上,一般还是将其理解为能够直接或间接识别自然人的数据、资料。而网络环境下的个人信息区别于传统的个人信息的最主要特点在于,它是以数据流为载体,以网络为主要传输渠道的,主要体现为个人信息的电子化。
本文所提及的“网络环境”并不是指狭义上的万维网。文章所要设定的“网络环境”主要包括两个方面内容:一方面包括为实现信息交互目的,用物理链路将各个孤立的工作站或主机相连在一起而组成数据链路 ;另一方面也包括那些可能被用来实现信息交互的设备终端。简单的说,只要实现了个人信息资料的电子化,就可以理解为网络环境。
网络环境下个人信息的内涵,笔者以为与传统意义上的个人信息内容在范围和存在形式上存在着差别。具体而言,网络环境下的个人信息应当理解为,以电子形式保存,在网络环境下传播或有可能传播于网络的涉及特定自然人的数据资料。具体来看包括个人姓名、身份证号码、肖像、手机号码、住宅电话、住址、基因、指纹、不动产等可以直接识别特定自然人的直接个人信息;也包括出生年月、年龄、通讯地址、文化程度、爱好、职业、消费倾向、网络联系方式、民族、种族、家庭出身、宗教信仰、所属党派、身体形态、血型、疾病、病史、收入数额、存款、有价证券、纳税数额、信用交易信息、行政处罚信息、法院强制执行信息等可以间接识别或强化识别,乃至于涉及部分隐私内容的间接个人信息。
事实上,对网络环境下的个人信息而言,主要包括两大类,一类是现实个人信息的电子化,凡是现实生活中属于个人信息范畴的,一旦被人为地输入(包括文字和其他多媒体格式)电子化设备,就成为网络环境下之个人信息;二是网络中特有的个人信息,譬如QQ号、E-MAIL等 。因此,对网络环境下的个人信息保护而言,基于网络环境的复杂性和易传播性等特点,探讨现实个人信息的电子化趋势以及网络特有之个人信息的特殊保护规则是有其必要的。
(二)网络环境下个人信息的特征分析
网络环境下的个人信息不仅具有个人信息的一般特征,同时也具有与网络相结合的典型特征。具体来看,网络环境下的个人信息区别于普通环境下个人信息具有以下特征:
第一,非有形介质性。网络环境下的个人信息一般以电子信息数据流的形式加以保存,而非传统的纸质或其他载体,而电子信息数据流可以被相对较容易的进行复制并得以被多数电子设备的媒体格式所兼容,如计算机硬盘、移动硬盘、优盘、DVD光碟、网络服务器等等,以电子信息数据流的形式存在是网络环境下个人信息的一个主要特征之一。
第二,易传播性。在现实环境下,个人信息的记录载体一般为有形介质,主要如纸类。有形介质的传递形式比较有限,通常需要实体介质的物理传递来实现信息交互,因此这也就决定了现实环境下个人信息的传播具有相对的稳定性。而网络环境下个人信息在信息交互上体现出的易传播性正是由网络环境下的非介质性所决定的,因为网络环境下的个人信息以电子数据(数据流)的形式存在,因此它的传输和传播也就主要以电子数据的形式进行,而当今社会信息化、网络化的快速发展也更加促进了网络环境下的个人信息的易传播性特征的显现。
第三,易采集性。传统的现实环境下的个人信息采集,一般要个人信息所有者的配合来加以完成,其中包括个人信息采集前的事由告知、得到个人信息所有者的确认(同意)以及由个人信息所有者提供其个人信息等内容。而在网络环境下则有所不同,网络中的个人信息采集过程一般只要通过特定的网络设备对个人信息资料进行输入即可,但笔者以为虽然在网络环境下实现个人信息采集有明显的易采集性特征,便捷度大大提高,但在网络环境下实现个人信息采集的常态表现应当需要与现实环境下个人信息的采集过程类似,也就是说,即使在采集形式上有所差别,但器实质性的环节应当都是必不可少的,包括采集前的事由告知、得到个人信息所有者的确认(同意)以及由个人信息所有者提供其个人信息等为代表的主要环节。而从网络环境的现状来看,网络环境下个人信息采集的异态表现仍然大量存在。具体表现在两个方面:一方面是由于网络环境所特有的操作系统漏洞、软件漏洞、黑客程序、木马程序等情况的存在,使得个人信息所有者的个人信息在不知情的情况下被采集;另一方面是由于网络环境下新出现的一种“网络钓鱼”方式来获取他人之个人信息,主要表现是利用某些类似系统提示或软件提示等具有诱导性的提示框来“欺骗”网络用户,导致其主动点击特定网络窗口,以个人信息所有者的主动行为来激活特定的信息采集程序,并获取他人之个人信息。
俞信吉