杨楠:个人信息“可识别性”扩张之反思与限缩
作
者
简
介
杨楠:陕西洋县人,东南大学法学院刑法学博士研究生,柏林洪堡大学(Humboldt-Universität zu Berlin)联合培养博士研究生。
本文原载《大连理工大学学报(社会科学版)》2021年第2期,转载对注释与参考文献进行了省略。
摘 要
公民个人信息范围的不断扩张不仅会消减个人信息法律保护的效果,也使信息使用的空间备受挤压,而这与“可识别性”标准不无关系。“可识别性”标准的泛化,既源于其固有的理论缺陷,也与立法上的疏漏有关,由此导致了实践中“可识别性”无限递归、对识别能力判断存疑、实质违法性认定偏差等一系列问题。在现行法律框架下,用规范目的校准“可识别性”不失为一条进路。将个人信息与特定自然人的人格利益对应,并将“识别”作为虚拟人格对现实人格的指征,不仅可以化解上述问题,而且能最大限度消弭过度安全本位对法治的危害。
关键词
个人信息;可识别性;规范目的;限制解释
公民个人信息范围的不断扩张虽然强化了对信息权利的保护,但法律的过分介入也对信息共享以及数据聚集效应的产生形成掣肘。作为判断公民个人信息的基本标准,“可识别性”与个人信息外延的扩张不无关系。因此,从理论和司法实践角度反思“可识别性”标准扩张的路径,并运用法教义学方法对之进行限缩,就成为亟待解决的现实问题。
一、个人信息“可识别性”标准的确立与扩张
1.“可识别性”标准的流变
在我国,个人信息的“可识别性”最早可追溯到2005年8月18日中国人民银行《个人信用信息基础数据库管理暂行办法》(以下简称《办法》)第4条第2款之规定。该规定所涵盖的个人信息范围较宽泛,它将个人信息定义为关于自然人的所有信息,并分为身份信息、职业信息和居住信息等类型,而“识别性”仅用于对身份信息的判定中,其他信息只要与特定自然人发生关联即可。此后,对“可识别性”标准的使用逐渐扩大至对所有类型个人信息的认定中,相关规定也根据信息识别特定自然人的可能性,分离出更多类型。在2011年12月29日工信部《规范互联网信息服务市场秩序若干规定》第11条中,“用户个人信息”被归纳为具备“相关性”和“识别性”的信息。“相关性”是在信息主体确定的基础上,对信息属性进行判断的依据;而“可识别性”则是确定相关信息是否能清晰指向特定主体的规则。但是,由于规定要求个人信息须同时满足上述特征,且判断“相关性”的先决条件是信息主体的明确性,故“相关性”也必须以信息“可识别”为前提。至此,我国认定个人信息的标准大致确立,即以信息可否识别特定自然人为基底,以信息的“独立识别”与“结合识别”为主要类型。
此后,全国人大常委会以法律的形式对收集和使用个人信息的活动做了规定,并对“可识别性”予以确认。2012年12月28日全国人大常委会《关于加强网络信息保护的决定》第1条规定:“国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息。”根据上述规定,个人信息分为可识别的身份信息和私密个人信息。这一分类在2013年4月23日最高人民法院、最高人民检察院、公安部(以下简称“两高一部”)《关于依法惩处侵害公民个人信息犯罪活动的通知》(以下简称《通知》)第2条中得以贯彻。至此,认定个人信息的“可识别性”标准已确立于立法、行政和司法活动的各个方面。前述规范虽然涉及个人信息,但无一例外地将其作为附带法益保护,也通常见之于维护金融信息安全、数据库管理以及网络运营秩序的规范中。然而,随着数据科技的发展,附带性地保护个人信息愈见乏力,规制内容也难成体系。因此,个人信息开始被作为独立的法益加以保护。2013年6月28日工信部《电信和互联网用户个人信息保护规定》第4条对“用户个人信息”做了进一步明确。这一概念在沿用《规范互联网信息服务市场秩序若干规定》定义模式的基础上,还对信息类型做了较为详尽地罗列,使其界限更加明确。
2016年11月7日颁行的《网络安全法》是在我国尚未制定专门法的前提下,关于个人信息保护最全面的法律。《网络安全法》第76条规定:“个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。”此后,2017年3月20日最高人民法院、最高人民检察院(以下简称“两高”)《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《信息解释》)也改变了“两高一部”《通知》中的个人信息类型二分法,与《网络安全法》的定义模式基本一致。为填补技术实操空白、提升国家监管水平,2017年12月29日国家质检总局、国家标准化管理委员会还发布了《信息安全技术———个人信息安全规范》(以下简称《信息规范》)。其第三章的第一节对个人信息的“识别性”和“关联性”做了明确规定,附录中还对“识别”与“关联”的判定方式进行了阐明。
值得注意的是,2020年5月28日颁布的《民法典》是迄今为止涉及个人信息保护的位阶最高的法律规范。该法第1034条第2款规定:“个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。”《民法典》不仅对“可识别性”予以确认,还廓清了个人信息与个人隐私之间的关系。
我国对个人信息专门保护的立法进程也在加快。2020年10月21日,全国人大法工委公开就《中华人民共和国个人信息保护法(草案)》征求意见,其中第4条明确规定:“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。”不难发现,这种“已识别”与“可识别”相结合的定义模式,与《民法典》以及《网络安全法》中关于个人信息内涵和外延的规定近乎相同。至此,认定个人信息的“可识别性”标准已经被完全确立,“可识别性”标准实现了从与个人隐私纠缠不清到彻底摆脱其束缚、从标准的原则性和规范性向具体化和类型化的转变。
2.个人信息外延不断扩张
首先,根据《个人信用信息基础数据库管理暂行办法》,并采用同类解释的方法,身份识别信息与自然人的关联程度必须与职业信息和居住信息保持一致、具备高度可识别性。由于无法满足现实需要,从《规范互联网信息服务市场秩序若干规定》开始,间接识别信息就被纳入个人信息的范畴中。虽然“两高一部”《通知》并未对结合识别予以明确规定,但通过其列举的信息类型不难发现,仅凭学历、年龄和婚姻状况等无法指向特定个人,必须与其他信息结合才具有识别可能,亦即结合识别信息被实质性地纳入其中。然而,这样的扩张仍然无法满足实践需要,“两高”在《信息解释》中又加入了“活动情况”信息。这一类型的信息也被国家质检总局和标准化管理委员会以规范性法律文件的形式确定下来。“活动情况”信息同样是在已知自然人的情况下由该特定人产生的信息,它摆脱了“可识别性”的约束,与个人信息扩张的趋势一致。
其次,相关规范还通过增加信息载体扩张个人信息外延。如“两高一部”《通知》中增加的“数据资料”、“两高”《信息解释》中载明的“账号”“密码”、《信息规范》附录中的“IP地址”“游戏兑换码”“硬件序列号”等。虽然存在对特定自然人的识别可能性,但信息和数据资料存在本质上的区别。一般认为,信息与数据是内容与物化表现形式的关系,数据本身对人没有实际意义,但信息则指人对存在的事物经其认知后所解读、传达的讯息;描述事物的存在数据如果被人收集经过认知转化为讯息予以利用或传递时,即成为信息。数据是信息的载体,而信息是数据的实质意涵。在此,我们不能认同香农所建构的将信息与数据完全等同的形式定义模式(或者说技术定义模式)。因为,作为关系实体的数据,完全消解了信息语义层面的基本内涵。这不仅不实用,而且在任何情况下我们都无法想象现实中所接收的所有信息都不具有具体的意义成分。因此,应当采用语境的观点,将信息解读为“数据”和“意义”的总成,将其作为表征了事实的数据。此外,《民法典》第111条规定了对“个人信息”收集、使用、加工、传输的保护,而该法第127条又对数据和网络虚拟财产做了规制,这也表明《民法典》未将信息和数据等同视之。
最后,以“相关性”标准补充“可识别性”标准。域外国家对个人信息(数据)的界定大都采取“可识别性”原则。例如,1995年欧盟通过的《数据保护指令》(95/46/EC)和2016年《欧盟信息保护通用条例》(GD-PR),2010年4月美国《个人身份信息保护指南》(PII),2012年新加坡《个人信息保护法案》,以及2015年日本修正的《新个人信息保护法》。然而,在我国对个人信息的规定中,不但包含“识别性”信息,还用“关联性”信息补充“可识别性”的不足。这在《规范互联网信息服务市场秩序若干规定》《信息解释》以及《信息规范》附录中均有体现。事实上,“关联性”信息的范围远大于“识别性”信息。以《信息规范》附录A中的“游戏兑换码”和“软件列表”为例,虽然这些信息与人相关,但却无法识别特定自然人。“游戏兑换码”指向游戏账户的交易情况,“软件列表”指向电子设备,不结合游戏账户的注册信息或电子设备使用者的注册信息无法将个人特定化。上述两类信息与自然人的关联性远未及“可识别”的程度,这大大扩张了个人信息的外延。
综上,在对公民个人信息的认定问题上,我国主要采用“可识别性”标准。这一标准从发端到确立,历经了多次修正,其划定的个人信息范围也持续扩张。纵使这一趋势迎合了我国现阶段保护个人信息的需要,但其实质合理性却值得检省。
二、“可识别性”的理论误区与实践困境
对“可识别性”标准的应用并非一帆风顺,不仅其理论上的抵牾难消,司法实践中也往往无所适从。正是这些误区与困境,导致公民个人信息的外延不当扩张。
1.“可识别性”标准的原生理论误区
(1)独立(直接)识别可能性存疑
独立(直接)识别性信息是指,仅通过单一的信息,而不需要与其他信息结合,就可以直接指向某一特定自然人的信息。独立识别信息因与特定自然人关联度高,故识别度也较高。一般体现为信息具有独特性、唯一性或敏感性,在客观上几乎不可能与其他特定自然人发生混淆。但是,某一具体信息往往对应多个主体或一个概括的主体,通过某一单独的信息很难(甚至无法)识别出特定自然人。
通常认为,可独立识别的信息为自然人姓名、家庭住址、身份证件编码、电话号码、指纹和DNA序列等。但是,上述信息是否具备独立识别特定自然人的能力值得推敲。首先,自然人姓名很难具备唯一性,即使是在较小的社群内,也不能完全肯定姓名的识别效果。因此,一些学者一面主张姓名属于直接识别信息,另一面又不得不承认“只要资料与特定个人的姓名结合,通常即属于识别资料”。那么,问题在于,对于公众人物,其姓名(或笔名、艺名)是否具有直接识别性呢?答案同样是否定的。通过公众人物的姓名能直接指向特定个人,是由于公众已经结合性别、籍贯、职业等对其做出过识别并已将对应结果存储于记忆中,当日后一旦涉及该自然人的姓名时,就会反映出其人格特征。易言之,姓名对公众人物的识别并不是因为其具有独立识别性,而是作为该特定人的关联要素而提示识别主体回溯先前已被识别的特定自然人而发挥锚定作用的信息。同样地,再详尽的住址也对特定个人的识别无能为力。即使住址所对应的自然人唯一且不变,那也只能确信住址信息背后存在一个模糊且抽象的主体;不通过其他信息予以框定,该主体无法被具体化。身份证编码、电话号码甚至指纹、DNA序列也是如此,尽管这类信息均具有唯一性,看似可以指向某一对象,但这种识别只能提供一种简单且空洞的指向性,只表明认识主体在信息背后存在抽象的个人,但对于其他情况亦无从知晓,这远未达到将自然人特定化的程度。况且,身份证编码中包含籍贯、出生日期和性别在内的诸多信息,这很难说其具有单独指向特定自然人的能力。即使通过在数据库中检索,将身份证编码、手机号码或DNA信息的主体特定化,那也是与其他各类信息相结合而产生的识别效果,而且一般公民也难以通过正常途径获知。
因此,独立识别信息或许只是一种理论构想,它在实践中难以存在。任何信息都只能表征自然人的某方面特征或对某一自然人做出概括的认识,这种模糊的认知无法达到可以独立识别特定主体的程度。
(2)结合(间接)识别信息的泛化
间接识别信息,是指仅依据该资料无法识别特定个人,但将其与其他资料进行对照、组合、联结等,始能识别该特定个人的信息类型。需要结合识别的信息不仅不具有唯一性,而且与特定自然人的关联不甚紧密,凡具有识别可能性的信息均在此列,故结合识别的信息外延极易扩张。
首先,识别主体模糊使个人信息的边界不明。这涉及间接识别能力人判断标准,与当事人有亲缘关系或存在地缘、工作、学习或其他交往关系的人,所掌握的信息相对充分,因而推知特定自然人的能力较强;而对于一般人,通过比对、结合而识别特定个人的能力较弱。因此,在这个意义上,“可识别性”就具备相对性,倘若以关系密切人为标准,则划定的个人信息范围较大。其次,识别方式的不确定导致间接识别信息界限不清。这涉及获取信息途径、工具以及成本等一系列客观因素。社会一般人与掌握相关数据资源和特定搜索引擎的人在识别能力上存在明显差别,如果以特别方式为标准会大大扩张个人信息的范围。再次,大数据应用使个人信息范围日趋含混。可以认为,在工业时代看似不具有识别性的信息,在大数据时代就存在识别的可能。但是,“识别性”对数据科技的依赖导致对个人信息范围的划定被科技绑架,这不仅使判断个人信息的既定标准失去存在的价值,也导致对个人信息范围的界定丧失独立性。对此,有学者指出,“(个人信息)概念的扩张已经不可避免。事实上,我们已经可以将任何信息纳入其中”,“将间接识别性纳入个人资料保护法的范围,造成个人资料保护对象之扩张,不仅无法达到个人资料保护之目的,亦造成社会活动动辄侵犯个人资料之疑义”。同时,如果结合识别的信息范围过于扩张,还会使得去识别化的信息重新成为可识别信息,这将严重阻滞匿名化信息的使用,影响信息价值的发挥。
(3)可识别性的递归
可识别性的递归主要涉及是否将可识别性信息的其他信息作为个人信息的外延,以及可回溯的层级问题。详言之,在识别特定自然人的过程中,有些可识别的信息也需要被其他一项或数项信息单独或结合识别。如果允许可识别性的递归,则其识别过程中所使用的所有信息都会被纳入个人信息之列;反之,如果不允许可识别性递归,则只有最终识别特定自然人的信息才会被认定为个人信息。不难看出,即使是有限递归,前者认定的个人信息范围也远超后者。
对IP地址是否能作为个人信息的判定即是其例。通常情况下,即使将同一时空中使用的IP地址指向特定的计算机,也无法将其与特定用户直接匹配起来。因此,IP地址用以指向特定的计算机,而综合计算机的位置、上网时长、访问情况等其他一系列信息才有可能识别出特定个人。如果允许可识别性递归,则IP地址无疑可作为个人信息,反之则不然。个人账户亦是如此。互联网注册账号无非两类。一类是必须与相关身份信息绑定的账号,如网上铁路购票系统、支付宝账号。这类账号在注册时需要提供包括姓名、性别、身份证号等在内的一系列身份信息。另一类账户则无须与个人身份信息绑定,如电子邮箱。当注册账号需要提供包括姓名、身份证号以及手机号码在内的一系列身份信息时,通过网络服务提供商可以识别特定自然人。但是,在注册时只绑定了手机号、邮箱号、微信号或者完全匿名登陆时,通过账号和密码要么只能获得某项个人信息,要么根本无法获得相关身份信息。在这种情况下要对特定人做出识别,还必须综合其他信息。以匿名身份注册的账号为例,虽然通过网络服务提供商能得知某人的账号注册时间、使用时长以及访问页面等关联性信息,但这远不及将自然人特定化的程度,还需借助其他信息辅助上述信息的识别能力。所以,如果允许可识别性的递归,则上述由账户直接获得的信息也属于个人信息,反之则不然。
不难发现,每回溯一个层级,个人信息的外延就成倍扩张。纵使其与特定自然人的关联程度越来越弱,也无法否认其具有结合其他信息进行识别的能力。在大数据科技的辅助下,可识别性的无限递归会将能获取到的一切信息纳入个人信息项下保护,而保护对象泛滥的窘境也将动摇个人信息保护的法治根基。
2.“可识别性”标准的实践困境
理论上的疏漏导致实践中疑窦重生。“可识别性”的理论缺陷不仅未能在司法实践中得以有效克服,反而在诸多方面被放大。
首先,界限不清致使对信息的规范属性难于判别。案例一:在“孙某某等侵犯公民个人信息案”中,被告人违反国家有关规定,通过电子邮箱、微信等工具,向他人出售或者提供公民个人信息。对此,法院一审认定,被告人犯侵犯公民个人信息罪。庭审中,程某某辩护人辩称,程某某发送的公民个人信息有的只是手机号,无法识别特定自然人身份。对此,合议庭指出:“虽然有的涉案表格的内容中仅有电话号码,但结合该表格的名称,可以确定特定手机机主的子女就学情况、教育培训需求以及购买物业情况等个人隐私,本案被告人未经被收集者同意向他人提供上述信息,属于上述司法解释规定的非法向他人提供能够与其他信息结合反映特定自然人活动情况的信息。”本案争议焦点是手机号能否认定为个人信息。法官虽然主张手机号不具有对特定自然人的可识别性,但却通过手机号衍生的其他信息属于“活动情况”信息而将其纳入个人信息中。可见,其论证逻辑中暗含了对可识别性的递归。因为,个人并不是通过手机号本身特定的,而是通过其蕴含的教育信息和物业信息特定的。而这种溯回的认定思路正是因为个人信息的边界模糊导致的。类似本案中的关联思路会导致判定个人信息的“可识别性”被虚置,进一步使个人信息的外延难以捉摸,由此形成恶性循环。
其次,立场偏误导致对识别能力认定失准。案例二:在“赵某某等侵犯公民个人信息案”中,被告人赵某某等人为提高公司业绩,通过购买、向熟人收受等途径,非法获取各类公民个人信息。被告人辩称,单纯的手机号码不能认定为公民个人信息。对此,合议庭指出,根据《电话用户真实身份信息登记规定》,电信业务经营者在与用户签订协议时,会登记用户真实身份。因此,“手机号码与公民个人身份一一对应,通过手机号码也可以单独识别公民个人身份,故应当将单纯的手机号码纳入侵犯公民个人信息的数量之中”。本案的争议焦点涉及对识别能力和识别手段的认定,本案法官显然是以特殊主体用专门手段可识别特定个人为标准的。但是,通常情况下,有权限的内部人员在利用不予公开的数据库或采用特定技术手段才能识别出特定个人的信息对于一般人并无识别可能性。亦即,该特定自然人的信息很难受到他人的窥探,其法益难以遭受损害。而这种“特定人可得识别”的立场,极易触发“寒蝉效应”。
最后,规范目的不明导致对实质违法性判断发生偏差。案例三:在“王某某侵犯公民个人信息案”中,被告人为谋取私利,利用工作便利,为他人查询QQ和微信好友提取注册信息、婚姻记录、住宿记录等公民个人信息,并将查询的信息予以出售。辩护人认为,QQ和微信提取好友信息、注册信息不属于公民个人信息。合议庭在援引“两高”《信息解释》第1条之规定后直接认定其确属公民个人信息,却对此未予释明。但是,辩护人在对信息属性提出质疑时,法官理应根据案情,对账号和密码是如何结合其他信息具体指向个人的方法进行释明。仅援引司法解释的规定而未做实质上的阐明,使判决欠缺合理性。《信息规定》中列举的账号和密码绝不是指一切形式上属于网络身份认证的登陆凭证,而必须具备可识别特定自然人的特性。我们虽不敢断言法官的判决有失偏颇,但至少可以肯定其说理存在瑕疵。法官疏于释明当然有其他层面的因素,但在个人信息的标准模糊、内涵不清、外延不明而导致对谁来识别、怎么识别以及何为“特定人”等核心问题无章可循时,直接援引司法解释恐怕是最“稳妥”的选择。
上述案例是法官忽略了规范目的,而下面的案件则是对规范目的的误读。案例四:在“吴某某等侵犯公民个人信息案”中,被告人利用职务之便,长期向他人提供H省工商企业注册信息中的相关公民个人信息,并从中获利。法院一审判处吴某某等人侵犯公民个人信息罪。庭审中,被告人辩称,提供的可通过计算机公共网络查询到的部分信息,不应被认定为公民个人信息。合议庭指出:“本案各被告人获取的信息无论是否合法收集,其未经被收集者同意将获取的公民个人信息进行交换、出售,都属于侵犯公民个人信息的情形。”案例五:在“邢某等侵犯公民个人信息案”中,被告人邢某将收集到的开房记录、QQ号码及邮箱账号密码等个人信息打包出售。法院一审判处被告人犯侵犯公民个人信息罪。庭审过程中,辩护人辩称QQ和电子邮箱等网络虚拟账号密码不属于公民个人信息,应予剔除。合议庭指出:“网络虚拟账号密码往往绑定身份证号码、手机号码等特定自然人信息,与特定自然人相关联,通过网络虚拟账号密码可以识别特定自然人身份,即使未绑定,网络虚拟账号密码被他人非法获取后也可能发生危及自然人财产、人身安全等情形,故QQ、电子邮箱等账号密码属于公民个人信息中账号密码范畴。”
上述两个案例的争论点虽有差异,但本质相同。案例四是关于可公开查询信息是否可以作为个人信息的问题,这主要源于对侵犯公民个人信息罪的规范保护目的认识存在分歧。如果认为本罪保护公民的隐私权,则公开可查询的信息不存在对公民的私生活的干预;如果本罪是为了保障公民的个人信息控制权,则关于自然人的任何信息,无论是否公开,均需保护。可遗憾的是,合议庭虽做了有罪判决,其释明却存在瑕疵。被告人是针对信息属性进行的辩护,而法官却忽略了对公开信息性质的判定,直接肯定获取、出售和交换行为的刑事违法性,这一论证逻辑并不周延。案例五中,对于被告人主张的,QQ以及邮箱的账号与密码不属于个人信息的抗辩,合议庭认为即使未绑定身份信息,账号密码也存在危及他人人身和财产安全的可能,所以也应被视为个人信息。用规范保护目的解读法律并无不妥,但如果存在认识上的偏差,则必然导致对条文解释失准。“人身和财产安全”并非本罪的直接法益,强调这一规范目的不仅使侵犯公民个人信息罪失去独立的规范意义,而且极易扩张本罪处罚范围,还存在类推解释的嫌疑。
综上,“可识别性”标准不仅存在类型化的疏漏,识别的递归和结合识别的开放性也透射出该理论潜藏着扩张个人信息范围的基因。实践中,个人信息界限不明致使司法人员对某项信息性质的判定莫衷一是,立场错位导致控辩双方对识别能力的判断各执一端,而规范目的含混则引发对实质违法性的认识聚讼难休。因此,对上述困境的求解势在必行。
三、规范目的对“可识别性”的限缩
上述诸多问题导致判断个人信息的“可识别性”标准越来越受到质疑。但是,在规范业已确认“可识别性”标准的前提下,对其断然舍去未免更加危险。因此,如何通过解释进行合理地定界才是解决关键。
1.修正的“可识别性”标准
为了化解上述矛盾,许多学者对“可识别性”标准做出了相应的修正。其路径有二,要么在结构上重新划归个人信息的类型,以期用更详尽的类型化克制个人信息的扩张;要么加入具有限缩功能的原则,强化实质判断。
(1)重新类型化
由于“可识别性”标准忽略了对“已识别信息”与“可识别信息”的区别保护,而且“可识别”与否会因科技的发展和识别主体的变化而变化,因此,有学者主张以识别特定个人风险的层级为标准,将个人信息分为“已识别信息”“可识别信息”和“不可识别信息”。“已识别信息”具有高识别风险,这一类信息可以直接将特定个人从某一人群里中分离出来;“不可识别信息”具有低识别风险,这些信息无法通过合理手段识别出特定个人;而“可识别信息”的风险正是介于上述二者之间。
虽然上述分类使得个人信息的种类更加明细,但未对科技干扰可识别性做出有效回应。“信息科技正在寻找更有创意的方法,将各种不具有识别性的信息碎片组合起来,将其制作成可识别信息,而在将去识别化信息又重新识别的示例中被充分证明。”而且,界限越多,则难以界定的情况愈多;难以界定的情况愈多,则争论的问题愈多。它不仅无法防止“不可识别信息”闯入“可识别信息”的领域、“可识别信息”升格为“已识别信息”的可能,而且会催生有关界分标准的诸多疑问。传统的二分法也是根据可识别风险的高低确立的,其被诟病的原因正是风险的属性和程度难于把握,因此,这一路径难免重蹈覆辙。
(2)识别重要性原则
确定识别的重要性是为界定信息与特定人之间具有足以连结的相关性,由此保障因公共利益而对信息收集和利用行为的过度干预。识别的重要性原则主要是针对结合识别信息提出的,它是指用识别特定自然人的关键性或重要性的多少来确定结合识别信息对特定的个人是否关键或重要。如果经由判断,该特定个人欠缺关键或重要价值时则是无用的个人资料,因而不属于适格的保护对象。
这一观点也存在疏漏。首先,信息与人之间关联性的强弱是一种客观实在,而信息的重要程度则是主观判断,用主观决定客观并不符合存在论的一般规律。其次,重要性和关键性是对信息价值的描述,而价值并不是恒定的,它会因受用主体的改变而改变,若个人信息的范围因人而异的话更显荒诞。另外,这一理论既未阐明判别“重要性”的方法,也未确定重要性的对应主体,可操作性较弱。
(3)合理识别原则
美国联邦贸易委员会在《快速变化时代的消费者隐私保护》中提出“合理链接原则”,这一框架应用于能够合理链接到特定客户、计算机或者设备的数据。据此,如果不能通过合理手段链接到特定客户的信息则不被这一框架保护,亦即只有通过合理手段可识别的信息才属于个人信息。对于此处的“合理性”,有学者认为,一般应由识别的合规性、时耗以及花费综合评价,而GDPR也要求判断间接识别所使用的方法是否合理,考虑诸如时间和成本,所使用的技术以及未来科技的发展。
合理性原则为识别能力的判定提供了依据,也能在一定程度上防范个人信息的泛化,但这一标准也值得商榷。首先,并非能合理获得的可识别的信息都应纳入个人信息进行保护,例如,计算机硬盘编码易于获得,但能否作为个人信息尚存疑问。另外,合理性与否同样会因时、因事而易,这种变动性也会对个人信息的认定带来较大的不确定性。
此外,上述3种路径存在共通的缺陷。重新类型化是为了堵截传统分类的漏洞,以期将不同识别风险的信息区别对待;识别重要性是为了扎紧结合识别信息的藩篱,防止关联程度不强且没有保护价值的信息被纳入规制范围;识别合理性则是为了回应识别主体和识别方法的问题,为不同主体的识别结果差异化提供思路。虽然上述3种观点均有其合理性,但均未触及问题的本质,因此也未能消弭其固有缺陷。本文认为,借助规范的保护目的匡正“可识别性”标准或许是一条合理的进路。在明确规范目的的基础上,既可以通过目的性解释明确个人信息的法律属性,又能判定识别方式与结果是否为法规范所不容,还可为法官的实质判断提供理论依据。因此,厘清规范保护目的不仅可以避免治丝益棼,而且能将可识别性中存在的问题一一解决。
2.个人信息规范保护目的廓清
对个人信息的权属存在不同的学说,而且即使在同一观点内部也不无分歧。主要存在基本人权说、财产权(所有权)说以及人格权说3类观点。
基本人权说主张,国际上许多国家的个人信息保护都源于宪法上的人权保护要求,因此我国的个人信息权也应是宪法上的基本人权。但是有学者并不赞同,认为我国宪法中的通信自由权并不可能衍生出个人信息权利保护的内涵。财产权(所有权)说主张,个人信息权是所有权的一种新形式,即公民对自己信息所享有的占有、使用、收益和处分的权利;信息数据“作为一种重要的财产,符合权利客体的规范要求,具有法律上的特定性和独立性”。我们虽不否认个人信息的财产价值,但对财产权保护模式加速个人信息交易的后果表示担忧。这不仅不能使侵犯个人信息的行为得以遏制,反而会使其持续恶化。另外,信息是关于人的信息,其价值伴生于人的尊严。在财产权保护模式下,除非对信息的价值做出统一的认定,否则有损人格。但是,由于信息主体和使用场域的差异,不同人的信息、甚至同一人的信息的价值都会发生变化,无法实现一应均等地保护。人格权说内部又存在隐私权说和独立人格权说的争论。隐私权说将个人信息作为隐私权的一部分加以保护,但这不无问题。首先,隐私信息与个人信息的范围并不重合,虽然对二者的范围存在交叉与包含的争议,但至少可以肯定,有一部分个人信息无法作为隐私信息进行保护,这会导致规范漏洞。其次,在大数据的助推下,信息的来源、类型以及价值会大大增加,固守个人私生活不受干扰的保护路径不仅不利于对信息资源的充分保护,而且会导致信息的收集和利用行为失范。同时,信息的财产价值已经体现出来,其财产权属性也渐露端倪,隐私权保护模式无法保障信息经济价值的发挥。最后,被遗忘权的兴起必然带来公民对网络上个人信息的删除权,而这也无法被隐私权概括。独立人格权主张,个人信息权是自然人依法对本人的个人身份信息所享有的支配并排除他人侵害的人格权,详言之,它是自然人以自我决定为基础,对自己的个人信息自我占有、控制、支配,他人不得非法干涉的权利,是一种排他的支配权,是绝对权。根据独立人格说的立场,个人信息权包含精神性人格利益和财产性人格利益两个层面,前者旨在消除个人的信息化形象被他人操纵的恐慌,而后者保障个人信息在市场中的商业利益。精神性人格利益居于主导地位,而财产性人格利益处于从属地位。例如,有学者认为:“个人信息权是一项含有隐私权内容但又超越隐私权的权利,它是兼有精神性权利与物质性权利的综合权利。”可以认为,这一观点较之其他论说更为合理。将个人信息权作为独立的人格权有规范依据。我国《刑法》第253条之一规定了侵犯公民个人信息罪,本罪归于“侵犯公民人身权利、民主权利罪”一章,因此,本罪的保护法益为人格权。虽然本罪被安排在第252条“侵犯通信自由罪”和第253条“私自开拆、隐匿、毁弃邮件、电报罪”之后,但也不必然能解释出本罪的规范保护目的为隐私权。在人身权利和民主权利的框架下,以人格权为具体权属进行解释,都具有可行性,还不至于重新调整罪名体例。况且,“刑法典中并不存在所谓的‘以同类法益排列’的基本原理,同类法益的结构化只是相对的”。此外,从《民法典》的体例来看,“隐私权和个人信息保护”被列入人格权编;《民法典》总则编第五章“民事权利”遵循从人身权益到财产权益的顺序对所有的民事权利类型进行罗列,其中虽没有明确提出个人信息权,但可以肯定其并非财产权益,而属于人身权益。同时,认定公民个人信息的“可识别性”标准直接表明了自然人的人格特征。个人发展离不开社交活动,这便涉及在必要的情况下披露自己个人信息的问题。如果人不能决定自己的信息是否被收集和处理,也无权禁止他人在未经同意的情况下使用自己信息,那么独立人格也将无从体现。总之,将个人信息权作为一项独立的人格权不仅摆脱了传统隐私权保护模式的束缚,而且兼顾了个人信息的财产价值。
或许有人质疑,不同的法规范存在不同的保护目的,这是否导致“可识别性”存在不同的认定标准,这样一来,个人信息的范围也因法而异?我们认为,这种担忧是多余的。首先,在划定个人信息范围时,应保证法秩序的统一,即任何具体法律规范都必须被理解为是整个法律制度的一部分,都必须在这个统一的法律体系中来规定。而法律概念是法律体系的基石,如果某一法律概念,特别是相对确定性的法律概念在不同法律部门之间来回摇摆,很难使法的安定性不受影响,这也有悖于公民朴素的正义观。同时,法秩序统一性要求任何规范都应根据其调整目的来解释。虽然各个法律领域的目的并不相同,其法律效果也存在差异,但这种差异主要是行为违法性上的差异,与保护客体无关。其次,虽然我国尚未颁布专门的个人信息保护法,主要依靠《刑法》《民法典》《网络安全法》的相关条规定加以保护,但不同法律部门规范保护目的的差异也不会影响对个人信息的认定。民法学者主张个人信息权是一项独立人格权,刑法学者对此存在不同的认识。信息自决权说主张,公民有决定是否揭露其个人信息,以及在何种范围内、于何时、以何种方式、向何人揭露个人信息的决定权;同时,法律应当保障公民对其个人资料之使用有知悉与控制权,并对记载错误的信息有更正权。信息专有权说作为保护个人信息自决权的间接保护和中间进路,是指法定主体对个人信息的积极处分权限。还有观点主张,侵犯公民个人信息罪的保护法益为个人信息决定权、保密权和报酬请求权。可见,信息自决权与作为独立人格权的个人信息权在内容上并无太大差异,而其他两种观点也都是关于信息主体对信息收集、交易以及使用的同意权限及效力,是对信息自决权权能的拆分。所以,至少可以形成的共识是,无论民法抑或刑法对个人信息的规制,均是为了保护公民不限于隐私权的人格利益免遭不法侵害。同时,信息能否识别自然人,是在考察信息所构建的虚拟人格可否与现实中特定自然人的人格相对应,而信息主体只有对信息所构建的虚拟人格与特定自然人人格相符的个人信息享有法定权利。在此过程中,需要用整体的人格利益做出判断,无涉权能的拆分问题,也无涉违法性程度。即使将信息自决权限缩至信息专有权或处分权会影响刑法对侵犯公民个人信息行为的处罚范围,但这种犯罪圈的缩小并不是因为收紧保护对象的范围实现的。
3.规范目的的限缩路径
由于个人信息权是一种独立的人格权,因此,个人信息也必须是有关自然人人格利益的信息。无论是何种识别类型的信息,都必须将刻画特定自然人的具体人格奉为圭臬。
据此,我们首先反对可识别性的递归。这是因为,用来识别可识别性信息的信息一般不会与特定自然人的人格利益相关,若非如此,这类信息毫无疑问会被直接归入结合识别信息项下。而且,对于此类信息,权利主体很难实现有效地控制和处分。以上文述及的IP地址为例。IP地址所指向的是正在使用互联网的设备,并不针对具体的个人。而且,《网络安全法》第34条和第36条第1款均要求对用户信息严格保密,故未经许可一般人无权查阅网络使用人的具体信息。此外,电子设备每次被分配的IP地址都是随机的、浮动的,即IP地址与设备之间不存在恒定对应性,更遑论指向账户持有者或设备使用者了。同时,这种浮动性也决定了用户不能对其进行支配或处分。所以,IP地址不宜作为个人信息予以保护。此外,在案例一中,仅凭借电话号码不仅不能识别出特定个人,也无法与自然人的现实人格相关联;而对于本案的“活动情况”信息,也必须具备识别特定自然人的机能。我们既不认同司法解释超越《民法典》《网络安全法》对个人信息范围做扩大解释,也不赞成对个人信息的保护游离于规范目的之外。
由于个人信息权是一种绝对权,其义务主体是不特定的任何人,因此,对于识别主体和识别方法,应采取第三人标准。详言之,一般情况下,对认识能力的判断,以普通多数人能采取的、合法且通常的方法为限。而且通常情况下,需要通过特殊主体或特殊手段才能做出识别的信息与特定个人的关联程度较弱,也难以反映特定自然人的人格特征。在案例二中,根据工信部的行政规章规定,只有电信服务提供商根据特定需要才能对服务使用者的信息进行查阅。正因为如此,一般人无法采用合理手段将手机号与特定自然人相匹配,故本案中的手机号码不能作为个人信息。需要特别说明的是,对第三人标准的使用也存在例外。对于自然人的指纹、虹膜、DNA序列等生物特征信息,不能因为一般人无法识别就否定其属于个人信息。此类信息与上述应予剔除的信息在本质上存在差别。一方面,生物特征信息能直接指向特定自然人,其难以被一般人识别的原因并非与个人的关联度微弱,而是理解这类信息需要较高的专业知识和认知能力;但是,对于学号和电话号码,则需要通过其他强关联信息,如姓名、性别和住址等,才能将自然人特定化。另一方面,生物特征信息不仅属于个人信息的保护客体,也是隐私权的保护对象;而学界对于学号和电话号码是否能作为个人信息保护尚存争议。总之,在通常情况下,对识别能力的判定采第三人标准说;但对诸如指纹、DNA序列、病例、犯罪记录等有关个人隐私的身份信息,也应作为个人信息保护。
个人信息关涉人格利益,因此,侵犯个人信息行为的实质是对他人人格利益的损害。对个人信息的认定,不仅应明确其是否属于法定的信息类型,而且必须具体考察对这一信息的收集、使用和出售是否会侵犯他人人格利益。在案例三中,将QQ和微信的注册信息作为个人信息缺乏实质合理性。司法解释中规定的账号和密码以能识别到特定自然人为前提,而并非所有符合账号和密码这一外在形式的信息均属之。在通常情况下,不以身份信息作为账号的注册信息很难与特定自然人发生关联,纵使在注册时提供相关信息的情况下,一般人也无法获取。因此,上述信息无法识别特定自然人,也自始不存在对公民人格利益损害的可能,故不能认定为个人信息。据此,案例五中“即使未绑定(身份信息),网络虚拟账号密码被他人非法获取后可能发生危及自然人财产、人身安全等情形”的裁判也有失公允。这不仅误读了侵犯公民个人信息罪的保护法益,而且不当扩张了本罪的处罚范围。最后,案例四中关于已公开信息是否属于个人信息的争论,同样是未准确理解侵犯公民个人信息罪的规范保护目的;而在独立人格权保护的视阈中,上述争论被完全消弭,因为公开与否并不影响公民关于自己信息权的享有。法官以行为的违法性反驳保护客体不适格的论证并不妥当。
综上,将规范目的作为基调用以校准“可识别性”并由此控制个人信息的范围,是一条可行的进路。个人信息权是一项独立人格权,识别性则意味着虚拟人格与现实人格的对应性。据此,用来识别“可识别性”信息的下位信息一般不会与特定自然人的人格利益相关,故否认可识别的递归;个人信息权是一项对世权,其义务主体是不特定的任何人,故对于识别能力的判断一般采取第三人标准;个人信息关涉人格利益,故侵犯个人信息行为的实质违法性是对他人人格的损害。
四、结论
个人信息范围的不当扩张既根源于“可识别性”标准固有的理论缺陷,也归因于司法实践中对该标准的误读。在信息科技的助推下,这一标准恐更加形骸化,对个人信息的判断也会愈发困难。个人信息扩张化的趋势虽然符合社会治理需求,但法律的过度介入也必然压缩数据科技的发展空间。为了消弭冲突,使信息安全与信息使用之间保持足够张力,应根据规范保护目的对“可识别性”标准进行限缩。也只有通过实质解释的路径,将“识别性”定义为特定自然人虚拟人格与现实人格的对应,才能准确把握个人信息的基本意涵,保证对侵犯公民个人信息行为的法律规制具备合理性。
相关阅读
推荐书目
微信号 : DigitalLaw_ECUPL
探寻数字法治逻辑
展望数字正义图景
数字法治战略合作伙伴:理财魔方
北京市竞天公诚律师事务所上海分所