大数据时代个人信息的法律保护研究
一、 概述
(一)大数据时代个人信息的危机
随着互联网技术的不断进步,我们从互联网时代进入了大数据时代。大数据是指基于海量、多样化的数据集合,通过云计算的数据处理与应用模式,快速获取、处理、分析等手段形成的智力资源知识服务能力。这意味着当今时代的数据规模更大、数据种类更多、处理速度更快、价值密度更低。当我们欣喜地体验着高科技带来的信息传播的便利,我们也同时面临着个人信息的危机与风险。
在大数据时代的背景下,技术的限制被打破,个人信息面临一系列的危机。第一,尊严的危机。大量信息在不知不觉中被收集传播,个人隐私被侵犯,生活安宁难以维持。第二,信息失控的危机。个人信息储存后,可能因为系统漏洞而被不法访问、使用甚至篡改。在此基础上可能引起个人信息在流转过程中产生财产与人身层面的风险。
(二) 个人信息的法律保护的价值
个人信息承载着信息主体的精神利益,也体现着主体的人格和自由。而对其他不同的主体来说,个人信息则具有不同的价值。首先,对一般自然人而言具有社会交往的价值。自然人会在社会交往中把个人信息主动传❣递给他人,也会获取他人的个人信息,因此个人信息具有保障社会交往的功能。其次,个人信息对国家等公权力主体而言具有管理价值,国家通过收集主权范围内的公民的个人信息,不仅可以清楚地把握社会生产的状况,而且还可以据此制定修改相关制度,使上层建筑更加适应经济基础,人口普查便是国家对个人信息收集的一种重要方式。最后,对于商家等非公权利主体而言个人信息则具有商业价值。个½人信息不仅是信息主体的一种精神权益,个人信息还蕴含着财产利益,具有商业价值,在特定情况下可以用于交易,参与市场流通,成为市场中的商品。当然,并不是一般的个人信息都具有商业价值,经过统计、整理、加工后的具有共同特征的个人信息往往具有较大的商业价值。
(三) 个人信息的法律保护的现状
自上世纪六七十年代开始,随着电子信息技术的发展,我们进入了数据化的时代。1970年德国黑森州通过了世界上第一部直接以“资料保护法”命名的《黑森州资料保护法》,虽然不是国家层面的法律,但却具有重要历史意义。随后瑞典、联邦德国、法国、奥地利、挪威、冰岛、芬兰、英国、美国等国也纷纷颁布相关法律。各国的法律都体现了相同的立法目的,即信息化数据化背景下保护公民的人身权益不受侵犯、生活安宁不被侵扰的基本价值诉求,部分国家甚至制定了专门保护个人信息的单行法。
虽然在我国的《中华人民共和国民法总则》中新增了对个人信息保护的单独条款,但是2003年我国就开始起草的《个人信息保护法》,却至今都尚未出台。对于个人信息的保护主要依据民法、行政法、刑法等法律法规的相关条款进行处理,而这些法律的相关条款存在过于原则、不够具体、操作性不强等缺陷,无法应对信息化数据化发展产生的个人信息保护的问题。
二、个人信息的界定
(一)个人信息的内涵
我国民法未对个人信息作出明确定义。法学理论界对个人信息的学说主要包括关联型学说、隐私型学°说、识别型学说。目前国际和国内立法上比较倾向于采用识别型学说,即通过利用个人信息所提供的信号是否可以直接或间接识别出信息主体的一种识别定义方法。其中具体包括信息主体的姓名、性别、年龄、民族、身高、血型、联系方式、身份证号、家庭住址、身体健康状况、宗教信仰以及网络使用的I P地址和网银支付信息等。这种以“识别”作为基本要素的个人信息定义方法在我国学术界和立法界得到了普ช遍认可和适用。而在《个人信息保护法》(专家建议稿)中采用概括加列举的模式规定: 所谓个人信息,是指现实生活中“能够识别信息主体的一切信息”,按照定义其范围很广,除公认的基本信息外,还包括档案、医疗记录、收入及消费和购买习惯、婚姻状况、教育背景等。概括了个人信息的重要内涵,也强调了个人信息的可识别性。
(二) 个人信息概念辨析
从各国对个人信息的法律称谓上便可看出,世界各国对该概念的认识并不一致。目前,世界各国、各地区和组织在个人信息保护法上所使用的称谓通常有:个人信息、个人数据、个人资料和个人隐私。这些概念内涵与外延既有重叠又有差别,有必要进行辨析。
个人信息、个人资料与个人数据并无绝对差别。个人资料和个人数据均译于“personal data”,所以二者并无本质❤区别,只是经由中文翻译而产生。而我国采用个人信息是因为,“数据”一词主要用于技术领域,法律领域适用较少。而且个人信息的概念更符合信息化和数据化时代的发展需求。
个人信息与个人隐私紧密联系但并不能等同。如前所述,个人信息是指可以识别信息主体的一切信息,而个人隐私则是自然人不愿被他人所知悉的、尚未公开的私人信息、私人空间和私人事务。有些学者认为个人信息可以包含个人隐私,个人隐私只是个人不愿公开的私人秘密和私人信息,是人信息的一部分,个人信息涉及的范围更广。此外,有的学者则从法律对个人隐私和个人信息的保护视角不同出发,认为个人信息和个人隐私虽然在形式逻辑上有交叉但并非包含关系,二者的侧重点不同。
但总体上来看,根据我国的立法习惯与传统,采用个人信息的法律称谓更符合我国的国情。
(三) 个人信息的具体类型
个人信息种类繁多,按照不同的标准可以划分为以下类别:
第一,将个人信息划分为一般信息和敏感信息。其目的是为了区分对二者的保护力度。敏感信息可以包括身份证号码、手机号码、性生活、基因、犯罪记录、指纹等,除了敏感信息以外的便是一般信息。这是欧盟和欧洲国家个人敏感信息比较通用的一种做法,然而却鲜有对敏感信息的具体界定,尽管欧洲各国统一了敏感信息的范围,但是基于敏感信息本身的特殊性在各国实际上存在差异。
第二,根据是否可以直接识别信息主体为标准可以划分为直接个人信息和间接个人信息。直接个人信息是指可以直接识别信息主体的信息,如姓名、身份证号等;而间接个人信息则是需要借助其它信息、知识才能识别信息主体的信息,如身高体重、学历学位等。如此划分将不能识别信息主体的个人信息排除在法律保护范围之外,从而减少法律保护成本。
