【条文主旨】
本条是关于个人信息的概念及处理个人信息行为类型的规定。
【条文理解】
个人信息的准确界定以及处理个人信息行为类型的科学划分,是明晰个人信息保护规则、确定信息处理者法律责任的基础,是《个人信息保护法》必须解决的基本问题。相较《个人信息保护法(草案二次审议稿)》的规定,本条就处理个人信息的行为类型增加或者说明确列明了“删除”这一种情形。现就本条规定的理解与适用作以下解读。
一、个人信息的界定
(一)个人信息法律保护概述
随着大数据时代的到来,信息技术的广泛应用和互联网的不断普及,个人信息在社会、经济活动中的地位日益凸显,信息资源成为重要的生产要素和社会财富。与此同时,个人信息泄露问题给社会秩序和个人切身利益带来了危害,个人信息安全成为一个全社会高度关注的问题。为促进个人信息的合理利用,各发达国家或者地区均越来越重视个人信息的保护。《德国联邦个人资料保护法》第2条规定:个人资料是指“凡涉及特定或可得特定的自然人的所有属人或属事的个人资料”;我国台湾地区“电脑处理个人资料保护法”第3条第1款规定“个人资料指自然人之姓名、出生年月、身份证编号、特征、指纹、婚姻、家庭、教育、职业、健康、病历、财务情况、社会活动等足资识别该个人之资料”。[1]特别是在欧盟层面,从1995年发布《个人信息保护指令》,到2009年欧盟
宪法确立个人信息保护的基本人权地位,再到2016年出台、2018年在欧盟成员国强制实施的GDPR,对个人信息的保护逐渐加强,同时也展现出了欧洲国家在个人信息保护领域标准化、一体化的立法和执法特点。
我国个人信息的法律保护经历了从以公法保护为主到同时重视私法保护的发展历程。2005年,第十届全国人大常委会第十四次会议通过的《
刑法修正案(五)》中增设的“窃取、收买、非法提供信用卡信息罪”(第177条之一第2款)是我国法律上第一个关于侵害公民个人信息犯罪的法律规定。2009年,第十一届全国人大常委会第七次会议审议通过的《刑法修正案(七)》在《刑法》中新增第253条之一,首次将窃取或以其他方式非法获取公民个人信息、出售或非法提供公民个人信息情节严重的行为规定为犯罪行为,从而纳入刑事打击的范围。在民事领域,2013年十二届全国人大常委会第二次会议修订《
消费者权益保护法》时,在原第14条中新增了消费者“享有个人信息依法得到保护的权利”,并在第50条就侵害该权利的民事责任作出了规定,这是我国法律首次从民事权利的角度对个人信息作出的规定。通过对个人信息的民法保护,赋予自然人对个人信息相应的民事权益,能够使广大自然人更加重视该权益,让他们真正认识到“线上平台的免费午餐券需要用我们的个人信息来换取”,而这种免费的成本已经变得越来越高了。[2]这样就能促使人们在日常生活中“认真对待个人信息”,积极保护个人信息。[3]2017年10月1日起施行的《民法总则》第111条规定:“自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。”此外,该法第127条还规定:“法律对数据、网络虚拟财产的保护有规定的,依照其规定。”《
民法典》总则编沿袭了这一规定,并在第1034条强调个人信息受法律保护的前提下专门规定了个人信息的定义及主要类型。
(二)个人信息的定义
我国立法上对于“个人信息”的概念界定主要体现在《
网络安全法》上。该法第76条第5项规定:“个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。”《民法典》第1034条第2款规定:“个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。”这种定义方式延续了此前《全国人民代表大会常务委员会关于加强网络信息保护的决定》中对于个人信息的定义方式,并借鉴了其他国家和地区的相关立法例。例如,依据GDPR第4条第1项的规定,“个人数据”指的是任何已识别或可识别的自然人相关的信息:一个可识别的自然人是一个能够被直接或间接识别的个人,特别是通过诸如行为、身份编号、地址数据、网上标识或自然人所特有的一项或多项的身体性、生理性、遗传性、精神性、经济性、文化性或社会性身份而识别的个体。《民法典》第1034条第2款采取的定义方式,一方面,通过直接或者间接可识别性的认定体现个人信息这一概念的根本特征;另一方面,通过列举典型内容来指导司法适用,区别于单纯的抽象定义以及纯粹的列举,能够更加清晰地展现个人信息保护的内涵和外延。[4]此外,《民法典》第1034条第2款在列举个人信息类型中,明确了电子邮箱地址和行踪信息属于个人信息的范畴,也是为了让信息的定义更适合互联网时代的需要,也更能适应大数据产业的发展。[5]电子邮箱地址和行踪信息同样具有识别特定自然人的功能,电子邮件地址属于个人基本资料,而行踪轨迹信息系事关人身安全的高度敏感信息,二者亦能反映特定自然人活动情况的信息。《个人信息保护法》在总结以往经验做法的基础上,采取了直指个人信息核心要义的做法,通过下定义的方式,对个人信息作了规定。同时,考虑到个人信息类型的多样性,以及个人信息外延上的抽象性,且在体系上在后面的章节对敏感个人信息作了明确规定,在定义当中并未如同《民法典》一样再具体列举个人信息的种类。
依据本条规定,个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。该定义不同于《民法典》等法律的规定。《民法典》采用的是“识别说”,即将“单独或与其他信息结合识别特定自然人”作为判断个人信息的标准。《个人信息保护法》借鉴了GDPR的规定,采用的是“关联说”,将个人信息定义为“已识别或者可识别的自然人有关的各种信息”。“识别说”从信息本身出发,看能否从中找出与特定自然人的关联性。“关联说”则从信息主体出发,认为只有已识别或者可识别的自然人有关的信息才属于个人信息。“关联说”更加强调个人信息的相对性,某信息对一些处理者来说可能是个人信息,但对另外一些处理者来说则不是个人信息。[6]根据本条规定,构成个人信息的要件有三:一是个人信息的主体只能是自然人,而其他民事主体,比如法人或者非法人组织都不是享有个人信息的主体。二是需要一定的载体记录。个人信息必须以电子或者其他方式记录下来,没有以一定载体记录的信息不能认定为个人信息。三是已识别或可识别到特定自然人。已识别,指特定自然人已经被识别出来;可识别,是指存在识别出特定自然人的可能性。凡是与已识别或可识别的自然人无关的信息,都不属于个人信息。
本条第1款在对个人信息的界定中,较《民法典》第1034条第2款的规定,还增加了“不包括匿名化处理后的信息”的要求。这一变化是个人信息保护实践经验的总结,鲜明体现了个人信息保护与促进数据流通、数字经济发展的有机平衡。此前,《民法典》从信息处理的要求角度对匿名化处理作出了规定,其第1038条第1款规定:“信息处理者不得泄露或者篡改其收集、存储的个人信息;未经自然人同意,不得向他人非法提供其个人信息,但是经过加工无法识别特定个人且不能复原的除外。”《个人信息保护法》的这一规定则直接从信息的内涵角度,将此作为区别于“已识别或者可识别”的特征予以规定,明确此类情形不属于个人信息的范畴。我们认为,这两者规定不但不相冲突,而且相得益彰。一方面,《民法典》强调了信息处理者在收集个人信息后,应当对个人信息进行匿名化处理。信息控制者之所以必须将个人信息进行匿名化处理,理由在于:(1)个人信息用于定向营销、数据库营销和商务智能分析的场景,信息业者关注的是消费者的群体特征,因此去除单个人的明确身份识别要素,并不影响信息业者对消费者群体特征的分析。(2)对个人信息进行匿名化处理,可以避免个人信息泄漏时信息主体被识别的可能性,降低个人信息使用、传输和共享时对信息主体造成损害的风险。[7]另一方面,本条第1款将此作为个人信息的排除性规定,则是由于这类信息已经丧失个人信息所要求的直接或者间接可识别性的特征,已不再属于个人信息,其流动不再受到权利人同意等的限制。
关于个人信息匿名化处理的具体标准,从域外法上看,欧盟第29条工作组认为一项有效的匿名化措施应当防止任何人从数据集中或从数据集中两项数据(或是两个独立数据集)中识别出单个个人或推断出任何信息。[8]依据GDPR第4条第5项的规定,“匿名化”指的是在采取某种方式对个人数据进行处理后,如果没有额外的信息就不能识别数据主体的处理方式。此类额外信息应当单独保存,并且以已有技术与组织方式确保个人数据不能关联到某个已识别或可识别的自然人。根据我国《网络安全法》第42条第1款的规定以及本条第1款的规定,匿名化处理应该达到经过加工无法识别特定个人且不能复原的要求。
在此需要注意的是,在《民法总则》明确个人信息并非法定权利的情况下,人格权编对这一态度作了延续,虽然学界对于这一问题仍存有争议。有观点认为,《民法总则》规定的个人信息是指个人身份信息,与隐私权保护的私人隐私信息有明确的界限,在实践上作为一个权利保护没有障碍,在比较法上没有对个人信息作为法益保护的立法例,因此,应当认定《民法总则》第111条规定的个人信息,就是规定的自然人享有的具体人格权之一,即个人信息权。[9]我们认为,从长远发展看,明确个人信息为一确定的实体权利具有积极意义。但目前就规范分析而言,个人信息本身的外延比较广阔,与隐私权、商业秘密权等都存在一定程度的交叉,既有人身权属性,又具有财产权属性,在人格权领域内确定其为法定权利,还需要进一步研究探索和积累实践经验。
二、个人信息的分类
虽然本条未采取列举的方式对个人信息的类型予以规定。但是明晰个人信息的具体类型在理论上也多有研究,《民法典》等法律、
司法解释等对此也都有所体现,对于审判实践具有积极指导意义。关于个人信息的分类,按照不同标准有不同分类。比如以个人参与的社会活动为参照,可分为购物信息、教育信息、交通信息、医疗信息、金融信息、社保信息等。这种分类通俗易懂,有利于直观地把握个人信息,但是不能穷尽所有个人信息。我们认为,从法律适用的角度讲,较有意义的分类是以信息敏感程度为标准所进行的分类。
学界通说认为,以个人信息与个人是否具有直接相关性,将个人信息区分为敏感信息与非敏感信息。我国已颁布的国家标准《个人信息保护指南》和《个人信息安全规范》对个人敏感信息均采取界定内涵加列举类型的方式,即先依据个人信息的内容或性质定义敏感信息,进而对其种类予以列举。具体而言,个人敏感信息是“一旦遭到泄露或修改,会对标识的个人信息主体造成不良影响的个人信息”,[10]或者界定为“一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇的个人信息”。[11]也有观点将个人敏感信息定义为“一旦泄露或滥用,极易危及人身、财产安全或导致人格尊严受到损害、歧视性待遇的个人信息”。《个人信息保护法》也遵循了这一思路,对敏感个人信息作出了规定,而且列举敏感个人信息的主要类型,其第28条规定:“敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。”同时,在第2章第2节对敏感个人信息的处理规则作了明确规定。在审判实践中,我们建议根据《个人信息保护法》的有关规定,综合考虑泄露该信息是否会导致重大伤害、给信息主体带来伤害的概率、社会大多数人对某类信息的敏感度等因素,除了上面明确列举的情形外,将性生活和性取向、身份证件号码、通讯信息等明确界定为敏感个人信息,人脸信息、基因信息、指纹、掌纹等属于生物识别信息。
此外,也有学者根据个人信息是否可以被直接地识别,将其分为“直接可识别个人信息”与“间接可识别个人信息”。[12]直接可识别个人信息,是指能够较容易地识别特定个人的信息,主要包括姓名、性别、身高、体重、三围、身体缺陷、出生日期、住址、身份证号、护照号码、电话号码、邮箱地址、基因、指纹、财产状况、家庭情况、婚恋情况、犯罪记录、病历记录等。此类信息是单独或与其他信息简单结合后就可以指向特定个人的身份识别性信息,是传统的个人信息权理论研究的对象。间接可识别个人信息,是指通过互联网或移动通信技术手段等综合分析和核对相关个人信息内容后,可以间接识别该特定个人或者特定群体的信息。目前受到关注的主要包括个人消费信息、生活信息、行踪记录、网络浏览记录、上网时间记录、网络聊天记录等匿名化信息。这类信息的特点是,虽然不能直接体现具体的信息主体是谁,但可以反映出该信息主体何时何地以何种方式从事了何种行为,还可以由此分析其兴趣爱好、活动范围、消费能力、消费需求、行为方式等,并通过数据分析为个人提供个性化的服务,如互联网定向广告服务、个人生活记录服务、个人定位服务等。此类信息也具有身份识别属性,与个人人格、身份有一定的联系。[13]这一分类对区别不同个人信息的保护要求和保护方法具有重要意义。
三、处理个人信息的行为类型
依据本条第2款的规定,处理个人信息的行为类型包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。《民法典》第1035条第2款对此规定为:“个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等。”立法机关认为,《民法典》之所以这样规定,主要是为了表述上的方便,与国际上的通行的做法也能基本保持一致。[14]比较法上,GDPR第4条第2项将“处理”界定为“任何一项或多项对个人数据或一系列个人数据的操作,无论是否通过自动化方式,如收集、记录、组织、构造、存储、调整、更改、检索、咨询、使用、通过传输而公开、散布或其他方式对他人公开、排列、组合、限制、删除或销毁而公开”。其规定的信息类型更加丰富,值得我们参考借鉴。就我国《民法典》和《个人信息保护法》而言,二者相较,在立法技术及列举内容上高度一致,只是本条第2款明确增加了“删除”这一类型。在此需要注意的是,一方面,处理个人信息的行为类型遵照其条文规定文义予以理解即可;另一方面,这里的行为类型侧重于信息处理者处理个人信息的情形,并非是从自然人享有权利的角度作出的规定。比如,就“删除”的情形而言,本条第2款的规定与《民法典》第1037条等规定的“自然人发现信息处理者违反法律、行政法规的规定或者双方的约定处理其个人信息的,有权请求信息处理者及时删除”,并不相同。本条第2款列举相应的行为类型,其法律意义就在于,这些行为类型就要遵循《个人信息保护法》后面所规定的信息处理规则,否则将构成侵权行为。
【条文适用】
关于本条的适用,要注意以下问题:
一是要明确本条规定的个人信息的内涵及有关行为的处理类型与《民法典》的有关规定构成特别法与一般法的关系。一方面,因《个人信息保护法》规定在后,又是关于个人信息保护的专门法律,其在《民法典》规定基础上对有关个人信息的处理及保护作了更加全面细致的规定,但从内容上讲二者规定并不冲突,也不宜将《个人信息保护法》与《民法典》关于个人信息的规定之间的关系认定为后法与先法的关系;另一方面,要遵循特别法优先适用的规则,涉及个人信息处理及保护的有关法律适用问题,要优先适用《个人信息保护法》的规定,比如关于匿名化处理后的信息不属于个人信息的规定。但是,对于《个人信息保护法》未明确规定的,比如《民法典》所列举的有关个人信息的内容,具有一般适用的效力。
二是要明确个人信息保护与隐私权规则的衔接适用关系。对此,《民法典》第1034条第3款规定:“个人信息中的私密信息,适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定。”适用本条需要注意的是,在鉴别侵害个人信息所带来的损害时,除要考量个人信息是否为不愿意为他人知晓的私密信息,还要考虑是否为敏感信息,要与《个人信息保护法》第28条等规定相衔接。个人敏感信息一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇。对于能够构成私密信息的个人信息,包括敏感个人信息,要适用隐私权的规定给予相应的绝对权保护。
