【內容摘要】:對網絡用戶��,乃至非網絡用戶而言,他們都有可能既享受信息電子化帶來的便利,同時也會因為個人信息的電子化而帶來困擾��。在我國尚未出臺《個人信息保護法》以及確立個人信息權的今天��,要實現網絡環境下個人信息的有力保護及規制����,首先需要對網絡環境下個人信息的概念進行合理界定,只有在明晰了個人信息與傳統個人權內容上的差別之后,才有可能創設個人信息權����,或者說才能更為有效地實現合理保護網絡環境下個人信息之目的���。
【關鍵詞】:網絡環境 個人信息 厘定
個人信息����、個人數據����、隱私乃至于傳統的具體人格權等內容,在它們的概念范域中有著交叉與重疊的部分。而要明晰網絡環境下個人信息的基本內涵����,或者說給其下一個合理的定義。就有必要對這些基本概念進行討論。
一、個人信息概念的提出
(一)網絡環境下個人信息概念的甄選
梅紹祖先生在2005年發表的《個人信息保護的基礎性問題研究》中認為“個人信息”和“個人數據”可以通用 ,并在其2006年發表的《個人信息保護立法的兩個問題》一文中則認為“進行隱私權的立法更為妥善” 。齊愛民先生在2004年出版的《個人資料保護法原理及其跨國流通法律問題研究》一書中明確區別了“個人資料”與“個人信息”��,堅持采“個人資料”的稱謂 ��;在其2005年發表的《論個人信息的法律保護》一文中����,雖然也詳細地區別了“個人資料”與“個人信息”���,但卻指出“保護個人資料的目的在于保護個人信息����,使用‘個人信息’更能體現立法的目的”,同時又說“個人資料和個人信息應該是可以通用的概念” ��。周漢華先生認為“概念的不同主要是源于不同的法律傳統和使用習慣���,實質上并不影響法律的內容”����,因此建議采用“個人信息”的概念,其理由有三:首先����,數據這一概念在我國法律中比較生僻����,它主要適用于技術領域���;其次���,采用個人信息的概念���,不但與信息化和信息化法律體系建設的大背景符合���,也可以與政府信息公開條例相呼應����;再次���,使用個人信息的概念��,可以避開歐盟和美國在這一問題上的分歧���,體現一種獨立的聲音����。
顯然��,在涉及自然人信息電子化資料如何確定其名稱的問題上��,國內的主要學者存在不同的觀點��,而即使是同一學者在不同的時期也給出了截然不同的看法。事實上��,一方面考慮到網絡信息化的不斷發展和強大����,另一方面考慮到國內語言使用習慣以及人們的理解力上看考慮,采用“個人信息”這個名詞來定位與自然人信息電子化資料具備較好的可行性����,應當作為首選。
(二)傳統視野下個人信息的定義
個人信息概念濫觴于1968年聯合國“國際人權會議”中提出的“資料保護”(data protection)��,是年被稱為“資料革命年”����。最早的國內個人信息保護立法是德國黑森州《個人資料保護法》(1970年),而最早的國家個人信息保護立法則是瑞典的《資料法》(1973年)����。然而���,這些最早的會議和立法文件對“個人資料”這一稱謂的界定����,并未得到國際社會普遍的承認和遵從���,各國學界和立法對個人信息的認識也不一致��,最直接的表現就是個人信息這一概念在各國立法被冠以不同的稱謂����。
個人信息的定義在理論界通常有如下三種:第一種是個人信息關聯型定義����,有學者認為:“所謂個人信息,包括人之內心、身體����、身份��、地位以及其他關于個人一切事項之事實、判斷評價等之所有信息在內����,換言之,有關個人之信息并不僅限于與個人之人格或私生活有關者���,個人之社會文化活動、為團體組織中成員之活動���,及其他與個人有關聯之信息,全部包括在內���。” 第二種是隱私型定義���,認為“個人信息系指社會中多數所不愿向外透露者(除對家人朋友之外);或個人極敏感而不愿為他人知道者(如多數人不在意他人知道自己的身高���,但有人則對其身高極其敏感,不欲為外人知道)”��。 第三種是美德兩國選擇的識別 型定義��。這種定義的優勢是可以借助一種客觀標準—識別而同時彌補以上兩種定義的不足���。
觀點一認為����,“個人信息”(information relating to individuals)����,是一切可以識別本人的信息的總和,這些信息包括了一個人的生理的、心理的���、智力的���、個體的���、社會的、經濟的��、文化的���、家庭的等等方面����。
觀點二認為,“個人信息包括所有與個人有關的信息����,具體包括:身體物理特征���;感情���、思想與觀點;經濟與財產狀況��;生活方式;身份信息���;家庭與社會關系;職業經歷���、簡歷和個人檔案資料;健康狀況與病歷���;個人通信、日記和其他私人文件;其他所有純屬私人內容的個人數據資料”���。
觀點三認為��,“個人信息則是指那些能夠據此直接或間接識別出特定自然人身份的信息,在現實生活中它往往需要通過諸如姓名、肖像��、聲音(聲紋)����、指紋、基因編碼��、身份證號碼、各種與特定主體身份緊密相關的通信號碼等各種符號���、標識和載體而表現出來�������!
觀點四是以我國臺灣地區有學者為代表,認為���,“所謂個人信息����,包括人之內心��、身體��、身份����、地位及其他關于個人之一切事項之事實��、判斷���、評價等之所有信息在內��。換言之,有關個人之信息并不僅限于與個人之人格或私生活有關者��,個人之社會文化活動��、為團體組織中成員之活動��,及其他與個人有關聯性之信息����,全部包括在內����。
觀點一和觀點三雖然在描述上有所差別��,但二者的共同之處在于主要以能否識別出自然人身份為主要標準來加以概括����。觀點二則采用聯系性標準��,即所有與個人身體����、生活���、身份等有關的內容���,都應當認定為個人信息����;而觀點四的定義則于前三者差別較大����,不僅包括個人的所有事實事項����,同時包含了一切與特定自然人有關的判斷��,乃至評價���。筆者以為��,在關于個人信息內涵的界定上應該是客觀的��,而不應包括人為的判斷��,乃至評價的部分��,因此����,結合前三者的觀點���,有利于我們科學客觀的理解和界定個人信息的內涵��。
二���、個人信息����、個人數據��、隱私范域的交叉與重疊
(一)個人信息與個人數據之辨析
與個人信息概念上最為接近的是“個人數據”一詞���。個人數據概念使用的較多的主要是歐盟成員國以及其他受1995年歐盟《個人數據保護指令》影響而立法的其他大多數國家���。在普通法國家(英國作為歐盟成員國除外),如美國��、澳大利亞��、新西蘭���、加拿大等,以及受美國影響較大的亞太經濟合作組織(APEC)��,則大多使用隱私法概念��。在日本����、韓國����、俄羅斯等國���,則使用“個人信息法”概念���。
歐洲理事會在1992年的《理事會數據保護條例》修改建議稿中規定:個人數據是指有關一個可識別的自然人的任何信息����,不局限于以可處理形式存在的信息��,它包括任何種類和任何形式的信息��,只要這種信息是有關個人的,不論是活著的人或死去的人,并且只要這個人或者這些人是可以識別的��。
我國臺灣地區于1995年8月21日正式實施的《電腦處理個人資料保護法》及《計算機處理個人數據保護法實施細則》對法律應當保護的個人數據作了詳細的界定����。依據該《電腦處理個人資料保護法》及《計算機處理個人數據保護法實施細則》,個人數據是尚生存的自然人的足以識別該個人的資料,包括自然人姓名���、出生年月日、身份證號碼、特征���、指紋、婚姻���、家庭、教育��、職業���、健康���、病歷���、財務狀況���、社會活動及其他足以識別該個人的資料��。
從個人數據較為統一的概念上理解���,我們可以看出����,個人信息與個人數據兩個概念的基本內涵是相同的����,區別在于提法的不同��,在國內一般習慣將其概括為個人信息(personal information)��,而西方國家或者說國際立法上則更習慣于稱其為個人數據(personal data)。
(二)個人信息與隱私之辨析
與個人信息在內容上有較多重合之處的另一個概念是隱私。從對隱私權保護最早���,也相對比較全面和成功的美國經驗來看,隱私權是相對名譽���、姓名、肖像等基本權利更晚出現的����。據考證1868年法國亞爾薩斯曾有過一條“私生活應嚴加保護”的法律��, 但學術界的通說認為,在1890年美國人布蘭戴斯(Louls. D. Brandeis)和沃倫(Samuel D. Warren)發表《The Right to Privacy》之前��,沒有人提出過隱私權的理論���,也無相應的立法和判例��。傳統的觀點認為“隱私是一種更為一般的權利”可以是“個人豁免權利”���、“獨處的權利”以及“保持自己個性的權利”���。
我國臺灣學者呂光認為���,“隱私權是對個人私生活的保護����,使每個人能安寧生活����,不受干擾,未經本人同意����,其與公眾無關的私人事務���,不得刊布或討論���,其個人姓名����、照片���、肖像等非事前獲得本人同意不得擅自使用或刊布��,尤不得做商業上的用途��。”
我國大陸學者比較有代表性的觀點有如下幾種:佟柔認為���,“隱私權是指公民對自己的個人私生活秘密和個人生活自由為內容,禁止他人干涉的一種人格權���。” 王利明認為��,“隱私權是自然人享有的對其個人的��、與公共利益無關的個人信息����、私人活動和私有領域進行支配的一種人格權�������! 楊立新認為����,“隱私權是指自然人依法享有的其對個人的、與公共利益無關的私人信息��、私人活動和私人空間自主進行支配的具體人格權�����! 張新寶認為���,“隱私權是指私人生活安寧不受他人非法干擾���,私人信息保密不受他人非法搜集��、刺探和公開的權利。
通過比較以上諸多觀點,基本上反映出對“個人私生活秘密”��、“個人生活自由”��,或者“個人信息����、個人空間��、個人活動”之類的可以歸為“隱私”加以保護的隱私權制度����,所主要實現的目標有以下層次:一為控制��;二為處分;三為精神上的安寧;四為自由。它們對隱私權保護所要達到的目標的要求是逐層提高的����。
而對于個人信息與隱私之間的范域重疊與差別究竟在哪些方面呢��?其實我們可以這樣來簡單的論述和舉例���。對于隱私而言���,所達到的四個目標是由淺及深����,逐步擴大��。當它的目標要求達到了精神上的安寧���、甚至于自由的時候��,隱私權的范域就可能會隨著個人的主觀感受的不同而有所不同,而如果一味的強調這種權利的保護,那么隱私權的邊界就會顯得遙不可及——因為它有可能隨時地延伸和變化���。筆者以為這種性質主要是由于“隱私”一詞本身就具有一定的主觀感受性,所以要想得到一個普遍的或者說精確的定義可能比較困難。而個人信息則相對來說可能更加容易概括一些���,因為對于那些能夠直接或間接地識別自然人的信息,就可以界定為個人信息。而問題在于那些與隱私以及個人信息相重疊的內容��,如何界定��?
美國學者的觀點認為個人信息隱私表示現實生活中只有個別熟人知悉的個人私事的實施狀況���。個人信息隱私可能是平常生活中個人最常為關注的事實,如給文件柜����、文件桌上鎖���、穿衣服��、使用百葉窗以及關上臥室的門,這些基本的社會行為反映出我們每個人都很在意個人信息隱私����。 保護個人信息就要限制接近私人及獲取私人消息的方式��。
事實上,個人信息與隱私相互重疊的內容上���,還是有據可循的,從日本學者劃分的觀點來看���,主要可以從下圖所示來進行簡易的劃分。(見圖一)
圖一:個人信息與個人隱私關系
從上圖不難看出來���,個人信息的內容既包括依據法律可以公開的內容(而此部分隱私是不被包括的),也包括那些不公開的��,甚至于隱秘的內容(而此部分主要可以被隱私所包容)����;而個人信息的內容上原則上不包括社會地位與私生活的部分,那些是完全歸屬于隱私的內容����。而事實也是如此����,如果隱私權能夠良好的保護私生活的內容���,那么就沒有必要將個人信息的范圍涉及到現有權利已經能良好得到保護的公民利益����。這是從隱私與個人信息所涉及的范圍廣度上進行考察的���。
然而事實上��,對于自然人基于的個人信息所應當享有的權利與自然人基于隱私所享有的權利����,是不同的。顯然����,對于隱私來說����,之所以創設隱私權來對權利主體之隱私利益進行保護��,其最主要的目的應當是為了實現權利主體能對涉及自己信息進行合理掌控��,進而實現精神上的安靜,乃至于自由的最大化實現����。正是基于這種權利基礎����,所以就決定了隱私權將是一種相對消極而保守的權利形態��,換句話說����,隱私權的功能在于“防護”��。個人信息則于隱私有所不同,個人信息在涉及的內容上,包括不被公開的部分��,卻也當然的包括已經被公開的部分���,而個人信息權之創設����,與隱私權最大的不同在于不僅在于“防護”,也包括利用,尤其是在網絡化、信息化的當今��,信息成為了重要的資源和極具商業價值的“商品”����,個人信息也不例外。而如果有人提議將隱私進行商業化利用,恐怕是聞所未聞,更不被大眾所接受和認可的,這也就是認可個人信息����,并創設個人信息的重要原因之一����。
三���、網絡環境下個人信息概念的厘定
(一)網絡環境下個人信息的內涵分析
對網絡環境下的個人信息而言��,雖然是在網絡環境下進行具體的分析����,但它的基本落腳點仍然在個人信息一詞上����,一般還是將其理解為能夠直接或間接識別自然人的數據��、資料����。而網絡環境下的個人信息區別于傳統的個人信息的最主要特點在于��,它是以數據流為載體���,以網絡為主要傳輸渠道的���,主要體現為個人信息的電子化��。
本文所提及的“網絡環境”并不是指狹義上的萬維網。文章所要設定的“網絡環境”主要包括兩個方面內容:一方面包括為實現信息交互目的���,用物理鏈路將各個孤立的工作站或主機相連在一起而組成數據鏈路 ;另一方面也包括那些可能被用來實現信息交互的設備終端��。簡單的說����,只要實現了個人信息資料的電子化��,就可以理解為網絡環境。
網絡環境下個人信息的內涵,筆者以為與傳統意義上的個人信息內容在范圍和存在形式上存在著差別���。具體而言,網絡環境下的個人信息應當理解為,以電子形式保存��,在網絡環境下傳播或有可能傳播于網絡的涉及特定自然人的數據資料��。具體來看包括個人姓名��、身份證號碼、肖像、手機號碼��、住宅電話����、住址��、基因��、指紋、不動產等可以直接識別特定自然人的直接個人信息��;也包括出生年月��、年齡����、通訊地址���、文化程度����、愛好、職業���、消費傾向、網絡聯系方式���、民族、種族��、家庭出身��、宗教信仰���、所屬黨派����、身體形態����、血型��、疾病���、病史���、收入數額����、存款���、有價證券����、納稅數額、信用交易信息���、行政處罰信息、法院強制執行信息等可以間接識別或強化識別,乃至于涉及部分隱私內容的間接個人信息。
事實上��,對網絡環境下的個人信息而言���,主要包括兩大類,一類是現實個人信息的電子化����,凡是現實生活中屬于個人信息范疇的����,一旦被人為地輸入(包括文字和其他多媒體格式)電子化設備���,就成為網絡環境下之個人信息��;二是網絡中特有的個人信息,譬如QQ號、E-MAIL等 ��。因此���,對網絡環境下的個人信息保護而言,基于網絡環境的復雜性和易傳播性等特點��,探討現實個人信息的電子化趨勢以及網絡特有之個人信息的特殊保護規則是有其必要的����。
(二)網絡環境下個人信息的特征分析
網絡環境下的個人信息不僅具有個人信息的一般特征,同時也具有與網絡相結合的典型特征。具體來看���,網絡環境下的個人信息區別于普通環境下個人信息具有以下特征:
第一,非有形介質性。網絡環境下的個人信息一般以電子信息數據流的形式加以保存����,而非傳統的紙質或其他載體���,而電子信息數據流可以被相對較容易的進行復制并得以被多數電子設備的媒體格式所兼容���,如計算機硬盤���、移動硬盤����、優盤���、DVD光碟����、網絡服務器等等���,以電子信息數據流的形式存在是網絡環境下個人信息的一個主要特征之一��。
第二��,易傳播性。在現實環境下���,個人信息的記錄載體一般為有形介質,主要如紙類���。有形介質的傳遞形式比較有限,通常需要實體介質的物理傳遞來實現信息交互��,因此這也就決定了現實環境下個人信息的傳播具有相對的穩定性���。而網絡環境下個人信息在信息交互上體現出的易傳播性正是由網絡環境下的非介質性所決定的���,因為網絡環境下的個人信息以電子數據(數據流)的形式存在����,因此它的傳輸和傳播也就主要以電子數據的形式進行,而當今社會信息化��、網絡化的快速發展也更加促進了網絡環境下的個人信息的易傳播性特征的顯現����。
第三��,易采集性。傳統的現實環境下的個人信息采集��,一般要個人信息所有者的配合來加以完成���,其中包括個人信息采集前的事由告知����、得到個人信息所有者的確認(同意)以及由個人信息所有者提供其個人信息等內容����。而在網絡環境下則有所不同,網絡中的個人信息采集過程一般只要通過特定的網絡設備對個人信息資料進行輸入即可��,但筆者以為雖然在網絡環境下實現個人信息采集有明顯的易采集性特征����,便捷度大大提高,但在網絡環境下實現個人信息采集的常態表現應當需要與現實環境下個人信息的采集過程類似���,也就是說,即使在采集形式上有所差別����,但器實質性的環節應當都是必不可少的���,包括采集前的事由告知����、得到個人信息所有者的確認(同意)以及由個人信息所有者提供其個人信息等為代表的主要環節��。而從網絡環境的現狀來看���,網絡環境下個人信息采集的異態表現仍然大量存在����。具體表現在兩個方面:一方面是由于網絡環境所特有的操作系統漏洞��、軟件漏洞��、黑客程序、木馬程序等情況的存在����,使得個人信息所有者的個人信息在不知情的情況下被采集��;另一方面是由于網絡環境下新出現的一種“網絡釣魚”方式來獲取他人之個人信息,主要表現是利用某些類似系統提示或軟件提示等具有誘導性的提示框來“欺騙”網絡用戶,導致其主動點擊特定網絡窗口���,以個人信息所有者的主動行為來激活特定的信息采集程序,并獲取他人之個人信息。
