「研循·探域」四月知产特辑④·个人信息认定|试论个人信息保护的基础-个人信息的概念和判断
- 浏览:95
“研循·探域”系列专业文章是京师律所内部专业内容体系化建设的重要探索,依托12个专业委员会轮值机制,以每月一专委、聚焦一主题的方式,通过专业文章及整合电子刊的形式,持续产出兼具理论厚度与实务价值的专业成果。
四月是知识产权月,京师律所特推出知识产权特辑,旨在沉淀所内知识资产,强化专业品牌辨识度,以精准、深度的内容实现专业价值的有效传递。本期文章由京师律所(全国)知产委主任黄熊撰写,聚焦个人信息保护的基础-个人信息的概念和判断。
黄熊
中国政法大学法律硕士
中国人民大学法律博士生
京师律所权益合伙人、京师律所(全国)知识产权专业委员会主任、IP诉讼法律事务部主任、京师律所日本东京合作办公室创始合伙人、黄熊创新工作室领军人,京师律所新联会常务副会长
北京市律师协会专利法律委员会委员、北京市朝阳区律师协会知识产权委员会委员;
北京互联网法院、广州互联网法院特邀调解员、中国中小企业协会调解中心调解律师;
北京市信访办信访诉求调解委员会人民调解员;
中央电视台CCTV公益律师、CCTV“十大人气律师”,中央电视台社会与法频道、农业农村频道特邀嘉宾,中央电视台《一线》栏目、中央人民广播电台《这里有说法》栏目特邀嘉宾,北京电视台《第三调解室》特邀嘉宾;
法治网、沸点视频等媒体优秀合作律师;
核心业务领域:数字法治和知识产权、合同、侵权、婚姻家事等民商事领域,重点刑事案件辩护以及集团诉讼、行政诉讼。
(点击跳转,阅读电子刊)
摘要
个人信息保护的核心前提是明确个人信息的概念与判别标准。本文梳理了我国个人信息概念的法律发展演化历程,从仅针对信用卡信息资料的局部保护,到初步明确识别性与关联性特征,最终在《民法典》和《个人信息保护法》中形成完善且精准的概念。个人信息概念的发展是信息化社会推进的缩影、公民社会权利本位觉醒的体现、对法律概念精准性追求的结果,也是与隐私等相似法律术语不断明确边界的产物。在判别标准上,结合国家标准和司法指引,明确个人信息需满足“特定化自然人”与“法益保护必要”两大核心,通过识别路径和关联路径可具体判定,同时需兼顾普遍性与特殊性、动态化与静态性的辩证关系。本文的研究为理解个人信息法律保护体系、运用法律维护合法权益提供了基础性支撑。
关键词:个人信息 识别判断 权利本位 法益保护
一、引言
2021年11月1日起实施《个人信息保护法》,是个人信息保护领域的首部专门立法,是继2005年刑法修正(五)开启个人信息保护以来,经历《刑法修正案(七)》《刑法修正案(九)》《全国人大关于加强网络信息保护的决定》《网络安全法》等之后,在个人信息保护方面的“集大成者”和“终极版本”。该法对个人信息保护涉及的“三大主体”即权利主体、处理主体、履行保护职责主体的权利、义务、职责进行了“总结性”的明确,对个人信息处理的规则进行了“可操作性”的规定,必将成为个人信息保护大路上的“里程碑”。前述法律层面的规定以及各种规范性文件,已形成当前个人信息保护的完整体系。理解个人信息的法律保护体系,并运用法律武器维护个人信息遭受侵犯者的合法权益,其基础在于明确个人信息的概念以及合理有效地对其进行判别。本文将重点讨论这两个基础性问题,即个人信息的概念和个人信息的判断。
二、个人信息概念的发展演化过程
“个人信息”概念本身,内涵广阔、边界模糊。如何来界定?国家相关法律法规经历了一个长期的探索过程。
2005年2月28日公布实施的《刑法修正案(五)》增设“窃取、收买、非法提供信用卡信息罪”(第177条之一第2款),该罪规定“窃取、收买或者非法提供他人信用卡信息资料的,依照前款(即第1款)规定处罚”,罪状中的“信用卡信息资料”,显然属于个人信息。尽管这是我国法律上第一个关于侵害公民个人信息犯罪的法律规定,但是,该规定也仅仅是具有局部性质的、针对特定的一类公民个人信息进行的保护,未形成全面而清晰的个人信息概念以及全方位保护的立法态势,更未推而广之地在“信用卡信息资料”基础上去明确“个人信息”的概念。由此,自然未能遏制个人信息被侵犯的泛滥之势。
乱象催生法律。2009年2月28日公布实施的《刑法修正案(七)》首次明确规定侵犯公民个人信息罪和出售、非法提供公民个人信罪,将窃取或以其他方式获取公民个人信息、违反国家规定向他人出售或者提供公民个人信息情节严重的行为,纳入刑事打击范围。这是对个人信息进行刑事保护的明确依据,首次将针对特定个人信息(即国家机关或者金融、电信、交通、教育、医疗等单位的工作人员在履行职责或者提供服务过程中获得的公民个人信息)的特定行为(即出售或者非法提供)扩及到侵犯前述特定个人信息的一般性行为(即窃取或非法获取)。但是,遗憾的是,刑法虽然增加了行为类型,但仍然没有对“个人信息”概念本身进行界定,也没有在普遍意义上保护个人信息。
个人信息的刑法保护,其转折点在2015年的刑法修正案(九)。2015年11月1日实施的刑法修正案(九)第十七条规定:“违反国家有关规定,向他人出售或者提供公民个人信息”“窃取或者以其他方法非法获取公民个人信息”构成“侵犯公民个人信息罪”,由此,一个专门性的、普遍意义上的保护公民个人信息的罪名出现。该修正案内容至今沿用。尽管个人信息的保护一路发展,但一个基础性的问题是,什么是个人信息?如果不能明确并且较好地判别个人信息,只会带来刑事手段的空置或者滥用两个极端。在前述三个刑法修正案中,均未回答何为个人信息。实务界亟待个人信息概念的理清和有效判别方法。
个人信息概念在实务中逐渐萌芽,以至被完全呼唤出来。2012年12月28日全国人大常务委员会通过《关于加强网络信息保护的决定》。该决定规定:“国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息。任何组织和个人不得窃取或者以其他非法方式获取公民个人电子信息,不得出售或者非法向他人提供公民个人电子信息”。从这个规定中可以看出,公民“个人信息”被初步明确为“能够识别公民个人身份和涉及公民个人隐私的电子信息”,即包含两方面的内容:一是个人信息是具有识别性的信息:能够识别公民个人身份;二是个人信息是具有关联性的信息:涉及公民个人隐私的电子信息。同时,要求该信息必须是“电子”的,这是对载体形式的限定。虽然这个概念是粗糙的,甚至是较为狭隘的,但已经使得“个人信息”的完整概念前进一步,呼之欲出。
在法律上首次正式明确规定“个人信息”概念的是2017年6月1日实施的《网络安全法》。该法第76条规定:“个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证号码、个人生物识别信息、住址、电话号码等”。与此同步,为了明确刑事司法实践中遇到的如何执行“侵犯公民个人信息罪”的相关问题,2017年5月最高人民法院会同最高人民检察院发布并同样于2017年6月1日起实施的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》出台。该解释根据法律规定和立法精神,对侵犯公民个人信息犯罪的定罪量刑标准和有关法律适用问题作出了全面、系统的规定。在该司法解释的第一条中,对刑法中侵犯公民个人信息罪中的“个人信息”也给出了自己的定义:是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。
比较《网络安全法》和上述司法解释给出的定义,两者既有联系,也有差别:两者均采取抽象定义与具体列举并重的定义模式。在抽象定义中,《网络安全法》仅强调个人信息是识别自然人个人身份的信息,但在司法解释中,不仅包括识别自然人的身份信息为个人信息,而且反映特定自然人活动情况的信息,也被认定为个人信息;在具体列举中,司法解释列举的项目比《网络安全法》更多,尤其包括了“行踪信息”。正是列举的“行踪信息”的存在,使得司法解释中对个人信息的定义,比《网络安全法》更多了一个内涵,即“反映特定自然人活动情况的信息”也为个人信息。为了使法律体系中对同一术语解释符合完满性的要求,将《网络安全法》对个人信息的定义,理解成广义的“个人信息”概念,而将不能随意扩大解释的刑法司法解释中的“个人信息”,理解为狭义的,更能协调两者的差异。这些差异,也正反映对“个人信息”概念的探索。实际上,在这司法解释出台后,国家质量监督检验检疫总局、国家标准化管理委员会于2017年12月29日发布、2018年5月1日实施的《信息安全技术 个人信息安全规范》(GB/T 35273-2017),完全继受了上述司法解释中对“个人信息”的定义。该标准在2020年改版中仍然保持了上述定义不变。
司法实践不断发展,法律概念的理解继续深化。上述对个人信息的定义,相比早期更为“精巧”,但仍然受着束缚,冲突这种制约的是2021年1月1日实施的《民法典》。《民法典》对先前“个人信息”的定义进行取舍扬弃。首先肯定了个人信息的载体性(即以电子或者其他方式记录的)、识别性(单独或者与其他信息结合识别特定自然人)等特征,同时,进一步发展了统一的“个人信息”定义。在前述提及的司法解释中,将个人信息定位为两类,即识别特定自然人身份的信息和反映特定自然人活动情况的信息,但在《民法典》中归一化为只要是识别特定自然人的信息,就是个人信息,而无论是识别身份信息,还是反映特定活动的信息。实际上,作为反映特定自然人活动的最突出例证“行踪信息”,在如今的互联网时代、大数据时代,同样能够识别特定自然人。由此,在《民法典》中,将个人信息定义为“以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息”,省却了“身份”限定,融合了“识别特定自然人身份”和“反映特定自然人活动”的两段式定义,使得个人信息的概念,更为完善。
《民法典》从法律层面,首次从个人信息作为民事权益的角度,对个人信息进行了专章专节规定。尽管如此,作为基本法典,不可能也没有必要对个人信息的保护进行全方位立体式规定。这个任务要交给《个人信息保护法》来完成。2021年11月1日实施的《个人信息保护法》在第4条中规定:“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息”。这个定义一方面进一步精准化,另一方面作出排除性规定。在《民法典》中,“个人信息”的定义没有“例外”,但《个人信息保护法》中,明确“匿名化处理后的信息”不属于个人信息,这是因为匿名化处理后已不能识别出特定的个人,即不具有识别特定的自然人的功能。由此,“个人信息”的概念展现出如今的“终极版”。
三、个人信息概念发展演化的特点
从前述梳理个人信息概念的发展过程中,我们能够感受到实践对法律概念的影响、公民社会权利本位发展的大势,以及立法者对精巧法律概念的不懈追求。个人信息概念的发展演化过程,表现出三个特点:
一是个人信息概念的发展完善是信息化社会推进的缩影。早期《刑法修正案(五)》仅对个人“信用卡信息资料”进行保护,是当时信用卡犯罪居多的现实反映。个人信息的全面泛滥还未成气候,人们重视程度还不够。而在全国人大常委会作出加强网络信息保护的决定时,信息网络促进经济发展、社会进步、科技创新的同时,信息安全的问题已十分突出,由此到了不得不对“个人信息”给予定义进而予以保护。随着信息化社会更加深入的发展,调整这些领域的法律,比如网络安全法、数据安全法、电子商务法等陆续出台,就有必要寻求更精准的个人信息概念,这便于包括刑法在内的法律落地实施,有利于精准打击侵害公民个人信息的犯罪。多管齐下之下,近年个人信息保护的成效,是显著的。
二是个人信息概念的发展完善是公民社会权利本位觉醒的体现。早期对个人信息保护的法律,几乎全是“公法”,主要着眼社会秩序、网络安全的社会公共利益本位,处罚的手段主要是行政方式(比如,警告、罚款、没收违法所得、吊销许可证或者取消备案、关闭网站、禁止从事网络服务业务)和刑事责任追究。在全国人大常委会加强网络信息保护的决定中,首次提出“被侵权人可以依法提起诉讼”的民事救济措施,由此开启个人信息权利主体的维权序幕。对此予以完全落地的是《消费者权益保护法》,该法第50条规定,经营者侵犯消费者个人信息依法得到保护的权利的,应当停止侵害、恢复名誉、消除影响、赔礼道歉,并赔偿损失。随后出台的《网络安全法》第74条规定:“违反本法规定,给他人造成损害的,依法承担民事责任。”到了《民法典》时代,公民社会形成,权利本位提升,以专章专节形式对个人信息进行了规定,作为人格权内容之一的个人信息,得以基本法典的清晰保护路径,固定下来。《个人信息保护法》甚至直接写明了自然人关于个人信息的十多项民事权利。由此,个人信息由最初公法保护为主,发展成私法保护为常态、为主要手段的态势,这是公民社会权利本位的觉醒和体现。
三是个人信息概念的发展完善是对法律概念精准性追求的结果。“个人信息”顾名思义的结果是,与个人有关的信息,但这个概念相当广泛。法律不能在没有边界的权利中前行,由此出现了对个人信息的特征限定:由最初强调载体性,再到强调识别性,最后到《个人信息保护法》中对过宽“个人信息”概念的“回拉”,强调其排除性,这是对法律概念理解的深化、精巧性的追求。
四是个人信息概念的发展完善是与其他相似法律术语不断区别不断边界化的结果。与个人信息概念最为接近的是隐私。“隐私”概念首次在《民法典》中明确,其第一千零三十二条规定:“隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息”。个人信息与隐私的相似在于以“自然人”为中心,即强调其“私”,且以信息为中心内容,即强调其内容的广泛性。但是,两者的相互区别是明显的,个人信息重在强调与特定的自然人的强关联,以至于担心被非法利用,始有保护之必要;而隐私重在强调自然人对该客体的“隐”,以至不愿意公开,保护人格之尊严。显然,个人信息可以包含隐私信息,也可以是公开信息,隐私中可能有个人信息,也可能有个人信息之外的非个人性的信息。这种交叉包含关系使得《民法典》规定保护措施时确定了适用的法律规则:个人信息中的私密信息,适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定。
四、个人信息的识别与判断
个人信息概念的明确,有利于更充分准确的理解什么是个人信息,为从形形色色的信息中确定个人信息提供了基本标尺。实务中,如何来具体判断某项信息是否属于个人信息?《民法典》、《网络安全法》以及《个人信息保护法》,都没有给出可行的操作方式。但在国家标准《信息安全技术 个人信息安全规范》(GB/T 35273-2020)中给出了具体操作。根据其规定,判定某项信息是否属于个人信息,有两条基本路径:
一是识别路径,即从信息到个人,由信息本身的特殊性识别出特定自然人,个人信息应有助于识别出特定个人。这正是个人信息概念中的“单独或者与其他信息结合识别特定自然人”。
二是关联,即从个人到信息,如已知特定自然人,由该特定自然人在其活动中产生的信息。比如个人位置信息,是现有特定自然人,然后才有的个人位置信息。还比如个人通话记录、个人浏览记录等。
通过这两个路径,符合上述两种情形之一的信息,均应判定为个人信息。
此外,在最高人民检察院2018年11月9日发布的《检察机关办理侵犯公民个人信息案件指引》(高检发侦监字〔2018〕13号)中提出了对“公民个人信息”的审查认定的两种情形:
一是经过处理无法识别特定自然人且不能复原的信息,虽然也可能反应自然人活动情况,但与特定自然人无直接关联,不属于公民个人信息的范畴。
二是企业工商登记等信息中包含的手机、电话号码等信息,依据号码用途的不同,对是否属于个人信息的结论不同:如果手机、电话号码等由公司购买,归公司使用,不属于个人信息的范畴;如果公司经办人在工商登记等活动中登记个人信息、电话号码,则属于个人信息。
由上述内容可以总结出个人信息识别的关键点之一在于是否“特定化某个自然人”,无论该自然人是已识别,还是未识别,无论该信息是单独识别,还是结合其他信息才能识别。比如,身份证号码与某自然人一一对应,能准确锁定特定自然人,因而身份证号码是个人信息;工作单位与个人不一一对应,只有在结合其他信息才能定位到某个自然人。当需要去框定某个自然人(未识别)或者在论及某个自然人(已识别)时,工作单位信息才构成个人信息。在“特定化自然人”的基础上,个人信息识别的另一个关键点在于存在对该特定自然人进行法益保护之必要,如没有保护之必要或不需要在法律下审视时,则其不应当构成个人信息。比如,当甲同学通过乙同学打听丙同学工作单位或家庭住址,这是情谊行为,其本身不导致对当事人的伤害,因而此种情形下,工作单位信息或家庭住址信息,就不是个人信息。前述两点(特定化自然人和法益保护必要)同时满足的规律,是鉴别个人信息的重要方法,运用时应当贯彻如下两点精神:
(1)在普遍性中把握特殊性,具体化(特定化某个自然人)的个体信息才有可能是个人信息。笔者以为,法律世界没有抽象的“个人信息”。当被问及“姓名”“出生日期”“身份证件号码”等是否是个人信息时,其不应当有“准确答案”,因为其没有“特定化”。尽管在《民法典》《个人信息保护法》中均将上述信息明确列举为个人信息,但这是在对“个人信息”定义之后进行的列举,因而在定义过程中已体现“特定化”,它们足以构成个人信息。当泛泛讨论某个信息是否是个人信息时,没有法律上的意义。正因为如此,在《个人信息保护法》对个人信息的定义时,才明确增加“(个人信息)不包括匿名化处理后的信息”,以示排除非定特化的信息内容。
(2)在动态化中把握静态性,静态的时间点是案发之时。某条信息与个人的关联(即特定化自然人)会随着科学技术的发展而发生变化。比如,浏览器中的“cookie”信息(举例而言)、人眼虹膜信息,在技术不发达(以当前当事为基准)的情况下,无法特定化到个人,则不应当称其为法律意义上的“个人信息”,但随着技术进步,通过“cookie”信息足以还原上网者的网络路径信息或上网行为时,通过虹膜信息足以定位某个自然人时,则其就变成了“个人信息”,应当按照法律规定的措施进行“个人信息”保护。
五、结语
个人信息的概念界定与判别标准,是构建个人信息保护法律体系的基石。我国历经十余年的立法探索与司法实践,逐步完成了个人信息概念从零散保护到系统定义、从公法主导到公私法协同保护的演进,既回应了信息化社会发展中个人信息保护的现实需求,也契合了公民权利意识觉醒的时代趋势。《民法典》与《个人信息保护法》的出台,标志着个人信息概念进入精准化、体系化的成熟阶段,为司法实践中认定个人信息、打击侵权行为提供了明确依据。
在大数据与互联网深度融合的当下,个人信息的形态与传播方式仍在不断演变,对其概念的理解和判别标准的适用也需保持动态调整。未来,应持续依托司法实践与技术发展,进一步细化个人信息的边界认定,平衡个人信息保护与信息合理利用的关系。同时,公民也需明确个人信息的法律界定,增强权利保护意识,共同推动形成规范有序的个人信息保护生态,让法律制度真正落地生根,为数字时代的个人权益保驾护航。