韩新远
郑州大学法学院 河南郑州 450001
高速发展的网络信息技术使生产、收集、存储、整理、分析个人信息比以往任何时候都更广泛、快捷和深入,人类开启了全景记录镜头,世界进入了记忆模式[1],个人信息的法律保护问题逐渐成为理论研究的热点和实务争议的焦点。目前,学术界从个人信息的法律属性、权属权能、保护进路等多种角度进行了讨论,产生了诸多优秀成果,推动了相关立法实践,呈现百家争鸣之势。易言之,一门新兴的法学—数据法学正在蓬勃发展。然而,对数据法学尤其是对个人信息权利/权益核心范畴的个人信息概念本身的研究,却长期受到法学界的忽视[2],这直接导致“个人信息的范畴与边界存在不确定性”[3]。在技术驱动和认知迭代的加持下,个人信息似乎成了一个规范性稀薄的流动概念,这既不利于个人信息权利/权益的科学设定,又对司法裁判中的法律论证造成困扰。
概念是一切认识的逻辑前提,也是一切知识的结构基石。为了避免个人信息概念陷入相对主义的氤氲,本文从域内外定义建构类型的考察入手,分析个人信息概念认定的困境和问题症结,继而提出个人信息内涵的二元架构理论,并剖析其运行逻辑,以追寻特定时空条件下法律术语边界划定的客观性,明晰个人信息概念家族图式的内在理路和明朗个人信息内部区分的风险考量,期望为个人信息保护的相关学术研究提供更加坚实的法理基础。
在社会分工越来越精细、社会连带越来越紧密、人际关系越来越复杂的社会生活条件下,对个人信息的保护成为人们的一种现代性需求。据统计,截至2021 年1 月,世界上拥有个人信息保护法规的国家和地区已增至145 个[4]。一些国家的正式规范性文件,抑或一些国际组织的框架性协议,均对个人信息做了相应定义。目前虽然在个人信息概念的语词上呈现出一种趋同态势,但从形式结构、要素结构和风险结构等层面来看,域内外对个人信息定义的建构却体现了不同维度的考量和相异角度的取舍。
(一)形式结构:“概括式”与“概括+列举式”
从定义的形式结构来看,当前个人信息定义模式可以划分为“概括式”和“概括+列举式”两种[5]。也有学者称之为“单纯定义”模式和“定义加列举”模式,前者仅仅指出构成个人信息的核心要素,如自然人、记录、可识别等,并进行抽象概括,没有明确将姓名、身份证号、社保号、邮箱地址、IP 地址等含有明显识别符的信息列为个人信息,也没有将特定的信息类型排除在外;
后者在对个人信息的本质特征进行一般概括后,将明显符合概念标准的信息类型或明显不符合概念标准的信息类型予以列举,进行典型示例,从而强化个人信息的具体性、降低范围的模糊性和增强司法适用的可操作性[6]。
从域内外现行规范来看,并无统一做法,上述两种立法模式均有被普遍采用。采取概括式方案的有:澳大利亚《隐私法》(2016)、芬兰《个人数据法》(1999)、瑞典《个人数据法》(1998)、欧盟《有关个人数据自动化处理的个人数据保护协定》(1981)、经济合作组织《OECD 隐私框架》(2013)、中国工信部《规范互联网信息服务市场秩序若干规定》(2011)、中国《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)(2021)等。采取“概括+列举式”方案的有:德国《联邦个人数据保护法》(1977)、加拿大《信息自由和隐私保护法》(1990)、中国《中华人民共和国网络安全法》(以下简称《网络安全法》)(2016)、中国《中华人民共和国民法典》(以下简称《民法典》)(2020)等[7]。
(二)要素结构:“识别效用式”与“关联关系式”
欧盟委员会内部咨询机构第29 条工作组(WP29)在《关于个人数据概念的意见》中指出了个人数据有四大要素,即自然人、相关性、可识别性和任何信息。这四个要素成为“识别+关联型”定义模式不可或缺的组件,然而,在进一步的区分下,不同的规范文件却呈现相异的要素结构,主要分为以下两类。其一,功用定义之识别效用式。此种定义模式以是否具有识别效用作为个人信息的本质要求,只要能够单独识别或与其他信息结合能够识别自然人的信息就认定为个人信息。其二,关系定义之关联关系式。此种定义模式以与自然人相关的任何(各种)信息为个人信息的本质要求,只要该自然人能被识别出来或可能被识别出来,有关该自然人的任何(各种)信息就可归为个人信息。
识别效用式的典型立法实践为中国的《民法典》,其规定“个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息”;
关联关系式立法的代表是欧盟的《通用数据保护条例》(以下简称GDPR),其认为“个人数据指的是任何已识别或可识别的自然人相关的信息”,可识别的自然人是能够被直接或间接识别的个体,随后列举了一些典型的识别符或识别要素。通过对语词表述的辨析可发现,若去除修饰语,识别效用式可化约为“具有识别自然人效用的信息为个人信息”,关联关系式则可化约为“被识别后的自然人有关的信息为个人信息”。两种类型虽然均指向“各种信息”或“所有信息”,但前者落脚于识别要素,后者着眼于关联要素,相较前者,后者的识别要素在逻辑上前置于关联要素,识别效用直接作用于自然人,当特定自然人被“捕捉”后,个人信息的范围便得以确定。这样一来,关联关系式的个人信息概念要比识别效用式在范围上更为广泛,申言之,不管以任何信息、任何方式和手段达至识别自然人的状态后,该自然人的相关信息就属于个人信息,这种逻辑安排使个人信息的概念内涵具有强韧的开放性张力,可以在特定的时空条件下拥有长期的规范稳定度①。
(三)风险结构:一般类型与特殊类型
一般类型与特殊类型是对个人信息概念的内部区分。欧盟的个人数据保护立法以风险预防为原则,而且是一种以人格尊严为核心的风险预防[8]。自GDPR 生效后,风险进路成为个人信息保护立法的重要趋势。与欧盟“高度意识形态化的个人数据被保护权”立法不同,“中国的《个人信息保护法》更具实用主义倾向,其防范的风险也更加多元化和贴近实际”[9]。风险控制的实践需求决定了对个人信息进行分类分级保护成为一种可欲措施[10]。依照不同的风险等级,可以区分出个人信息的一般类型和特殊类型。
虽然域内外规范性文件大多采用了“一般与特殊”的个人信息二分法,但各国采取了不同的称谓,甚至做出了更精细的划分。比如有的采用似乎带有更强客观评价色彩的“特殊类型”,如欧盟GDPR 第二章的前3 条和后4 条内容分别对应了个人信息的一般类型和特殊类型②。有的则采用主观评价空间更为宽泛的“敏感”数据,如美国《数据隐私和保护法》(草案2022)采用消费者基本数据隐私权利的保护路径,将消费者数据区分为涵盖数据和敏感涵盖数据③。在中国法律体系之内,除了敏感信息还有私密信息的概念④,虽然两者的内涵和外延并不相同[11]。总之,相比一般类型,特殊类型的个人信息更容易导致自然人的人格尊严受到侵害或人身、财产安全受到危害,故法律给予了信息处理者更严格的告知义务和更严厉的责任负担,形成了个人信息内部基于风险等级的差序评价格局。
不同的定义结构却面临共同的定义困境。“在定义一个术语或是词语的过程中,我们要尽可能严格地划定它所代表的事物的边界。”[12]然而,通过前文对域内外个人信息定义结构的考察可以看出,作为一个较为晚近产生的法律概念,无论从外部视角定义的形式结构和要素结构入手,还是从内部视角定义的风险结构着眼,个人信息都面临着准确认定的诸多困境。造成这种状况,既有技术遮蔽因素,又有认知迭代缘由,对此,我们有必要予以深入解析。
(一)现实困境:个人信息边界模糊
1. 识别标准难以认定
绝大多数规范性文件中个人信息的定义都含有“识别”这个关键要素。“识别”指的是通过信息将特定个人认出来,是自然人的一个“显名”过程[13]。对识别要素的表述均采用“复合识别”结构,一类是“已识别+可识别”[14],另一类是“单独识别+结合识别”或“直接识别+间接识别”。其中“单独识别”和“直接识别”是一种同步状态,意味着凭借该信息可以直接将特定个人从其所处的群体中“区分”出来;
“可识别”是一种潜在状态,意味着通过该信息能够在人群中“追索”到特定个人的预判。由此可见,区别于其他信息的“特殊性”构成了识别的标准,而“可识别”则是识别标准的重点和难点,所有关于识别标准的解释空间和分歧争议均系于此。
从信息识别者的视角出发,“可识别”标准便可分为三类,且均存在异议。其一,具体处理者视角,即以信息处理者自身的条件和能力作为识别标准[15];
其二,一般公众视角,即认为应从普通大众、一般人的角度出发判断个人信息的识别性[16];
其三,任意主体视角,即以该信息是否能够被世界上任何一个人或机构所识别为标准。前两种标准主观性明显,难以把握和量化,比如具体处理者视角,是仅仅依据其当时当地的能力,还是要兼顾其信息收集的规模和时长?一般公众视角是否忽视了不同主体识别能力的差异性?即使被称为绝对标准的任意主体视角,也难以预留技术发展对识别能力突破的空间。识别标准的繁杂导致了个人信息外延的伸缩。
2. 风险等级难以界分
诚然,基于风险等级可以将个人信息划分为一般和特殊两个类别,但是区分的依据,即基于什么样的理由确定何为特殊信息、敏感信息抑或私密信息却缺乏一个明晰的标准。各国法规中要么直接例举特殊信息类型,要么以“容易导致自然人人格尊严受到侵害或者人身财产安全受到危害”这种富有评价弹性的语词进行说明。以敏感信息为例,其“敏感性”是依据信息主体自身的心理感受,侧重个体差异性,还是基于社会一般合理认知的客观评判,甚至综合考量国别地域、文化传统、法治理念、宗教信仰、风俗习惯、经济发展状况、主流价值观等因素影响?
另外,随着理论研究的深入和认知水平的迭代,个人信息逐渐实现了从身份识别到行为识别或特征识别。有学者提出了行为识别(Activity recognition)和认知型识别(recognition identifiability)的概念。行为识别指的是基于计算机科技的发展而产生的一种对于用户行为方式的一种识别,通过一个未知主体某种行为的时间、地点和活动场景等能推断出其真实身份[17];
认知型识别在于不与显名的个人产生联系的情况下对其进行认知[18]。也有学者认为“识别”除身份识别外还包括步态、语音等个体特征识别[19]。这种识别路径的更新,更让不同信息风险等级之间的界线更加模糊和游移。
(二)问题症结:技术驱动和认知迭代对个人信息范围的持续拓展
1. 全景记忆—信息来源的范围突破
缘于传统社会生产力水平的低下和社会关系的简单,对个人信息的关注和记录的动因稀缺,除去有限的档案和文学记载,绝大部分将在当事人的记忆中自然消退。即使在信息社会,其初期,公众已然成为信息主体,但由于收集条件的限制、存储成本的高昂和信息价值的稀薄,很多在线交互的信息(如搜索关键词、购物记录)在完成它的功能使命后,就被丢进了数据坟墓,普通人可以轻易做到“大隐隐于世”[20]。然而,随着互联网技术的发展、数据技术的普及和硬件成本的降低,个人信息电子化、可存储越来越便捷,这使获得整体样本的全数据模式得以实现,数据在理论上得以永存和沉积,每一个自然人都成为信息的不竭源泉,并且该自然人产生的信息可以无限期叠加,使其拥有一份趋向“透明化”和“永久化”的电子档案。
2. 多元识别—标签信息的身份突破
随着个人信息保护力度的不断增强和保护机制的不断完善,我国规范性文件对个人信息的认定,除了身份识别之外,还出现了行为识别、特征识别等新识别路径,识别的对象已经超越了自然人的“具体身份”,只要确定一个特定主体的存在即可⑤。之所以出现这种多元识别态势,缘于技术升级和认知迭代,譬如Cookie 技术以及其升级版本,如Flash Cookie、Ever Cookie 的出现,甚至出现了与Cookie 技术机理完全不同的通过交叉比对关键信息验证来识别计算机的Fingerprinting 技术[21]。另外,还有 web beacon(网站信标)、Log files(日志文件)、ET Tag(实体标签)、JavaScript 等技术。在这些技术的加持下,诸如国际移动设备身份码IMEI、网络设备硬件地址MAC、广告标识符IDFA 或其他任意标注,在无须识别特定主体下就可进行信息的标签化,使这些之前不具有身份识别的信息具有了识别性,或者几类不具有身份识别的信息经过交叉验证具有了可识别性(交叉验证的联结点也可以说是一种标识信息),使匿名化的信息被再次识别[22]。
3. 数据分析—痕迹信息的识别突破
网络用户在使用计算机和网络的行为过程中被计算机硬件或软件记录下来的行为事件或过程数据是个人在网络空间留下的痕迹信息[23]。在模拟数据时代和信息技术发展初期阶段,这类瞬时性的痕迹信息很难说具有独立的身份识别功能。但是,随着信息的电子化、可存储越来越便捷,在大数据强大的聚合、分析能力前,在数据运用利益驱动下,痕迹信息的“可识别性”不断增强。这些痕迹信息起初表现为静态的孤立信息点,随着行为的重复、事件的叠加,由点成线,呈现出一个动态过程,标记相应主体的购买记录、行踪信息、搜索历史等,勾勒出用户的网络行为痕迹,完成数字画像[24]。就这样,“依技术本身的处理及其结合的可能性,可能使一项无关紧要的数据获得新价值”[25],痕迹信息实现了从不可识别到可识别的突破。
现实困境呼唤新的分析视角。依照本体论信息说,任何物体都成为一个直接存在和间接存在的统一体,既是物质体又是信息体[26]。当个人作为信源,被自己、他人或类人的各类机器所观察、感知、分析,其中有关存在方式、运动状态、交互效应的信息类型构成痕迹信息,而对作为信源的自然人进行“区分识别”的信息类型则构成标识信息。当前的个人信息保护主要采取的是以“识别”为抓手,将具有标识自然人身份功效的标识信息纳入个人信息范畴进行法律保护的进路,其落脚点在于对标识信息的处理,与此同时,痕迹信息却在规范制定之初就被排除在评价之外。由此可见,现有的个人信息保护对痕迹信息与标识信息的二元隔离是一种人为的制度设计。传统个人信息保护制度的原理是从割裂标识信息与痕迹信息的联系切入的,易言之,是通过对法律意义上的个人信息—标识信息的模糊、掩盖即匿名化来实现对个人信息(隐私)的保护,重心在于通过确保“标识信息”不被识别来实现与“痕迹信息”的“脱钩”。当前人们所争议的个人信息范围扩张难以界定以及从之前的“身份识别”到如今的“行为识别”“认知型识别”或“特征识别”等困惑和难题,其产生原因正是计算机在信息处理的速度、精度和深度上的能力极大提升,“可能产生‘新’的个人信息”,“使得原来不具有意义的信息片段同样具有了意义”[27],使在既有机制环境下被隔离的痕迹信息与标识信息再度勾连起来,使数据控制者知道了痕迹信息的“信源”。如此,个人信息内涵的模糊和个人信息范围的飘忽导致了以标识信息为保护重心的二元隔离制度设计失灵。
作为一个法律专业术语,个人信息应归为一个“描述性概念”[28],但是既有的定义却使用了涉及判断的语词,形成了带有规范色彩的陈述。“当维特根斯坦(L. Wittgenstein)从零开始重新研究语言时,他把注意力集中在话语的作用上,将通过这种方法找到的各种陈述叫做语言游戏。”[29]受此启发,笔者尝试用不同的陈述类型对个人信息概念开展一次架构解剖,剖析其底层逻辑。其实,被人为隔离的标识信息和痕迹信息同为有关个人的信息,两者相伴相生,申言之,自被信息主体生产出来的那一刻起,这两类信息就作为一个统一体而共同呈现。如果类比使用语言游戏中陈述类型的话,标识信息和痕迹信息分别对应了个人信息概念的指称性构件和描述性构件,由此形成个人信息内涵的二元架构。
(一)以标识信息为主体的指称性构件
个人标识信息(诸如姓名、身份证号码、电话号码、邮箱、IP 地址等是通常意义上的个人信息)构成了个人信息内涵的指称性构件,即通过指称性陈述将某个特定的自然人安放并暴露在“信源”位置。孤立的指称性陈述对自然人仅仅起到标识作用,并无信源的描述性信息,不附带任何价值判断,如同一个中立的识别符号。譬如姓名与称号,还包括字号、外号、昵称、用户名等;
身份证号码与其他身份编码,包括护照号码、驾驶证号码、社会保障号码、医疗记录号、学号、工作证号等;
住址、邮政编码、电话号码与电子邮件地址;
固定IP 地址,还包括IMEI、MAC、IDFA 等;
个人生物识别信息,包括个人基因、指纹、声纹、掌纹、耳廓、虹膜等。某个具体的标识信息可归为单独概念类型[30],其外延是一个独一无二的事物—某个特定的自然人。作为形式符号的指称性构件在语词上具有可替代性,并非是恒定的,用以标记和表达特定自然人的符号可以包罗万象,无法穷尽⑥。若未与其他信息关联,指称性构件不具有直接的意义和价值,无法作为个人信息、敏感信息或私密信息的法律评价依据。
(二)以痕迹信息为主体的描述性构件
痕迹信息是个人信息内涵的描述性构件,它是特定自然人在这个物质世界以数字化方式或其他方式记录和存储的一切活动的证据(证明、迹象),在数字化社会里呈现为“电子脚印”。痕迹信息或体现自然人区别于其他主体的个体特征(自然属性),或展现自我与他者接触产生的社会关系(社会属性),包括公共管理关系、社会交往关系和商业消费关系[3],总之是对属性或关系的一种描述。根据是否以认识主体的条件为转移,描述性构件可分为客观描述和主观描述,前者指被传感器、智能终端、软件程序、视频监控等感官化的工具手段(间接信宿)机械性地收集和记录的镜像信息或将其综合分析后的衍生信息,后者指个体内在思想的外化表达、有关该个体的任何意见表达和信息处理者或任意其他人有关该个体的意图表示。描述性构件是个人信息的价值源泉:一方面其关乎信息主体的外在形象、精神安宁和决策自由;
另一方面其成为互联网企业精准广告投放、个性化推荐以及其他增值服务的数据支撑,是互联网“依靠广告提供免费服务”这一商业模式的基本条件[31]。
(三)指称性构件与描述性构件之间的关联与熔断
个人信息内涵的二元构件在自然状态下彼此关联,但是为了实现保密或隐私保护,人类社会往往将两种构件之一进行遮蔽,以熔断两者之间的自然关联。比如传统社会的纸质信件采取的是对描述性构件的遮蔽方式,而对收发信件主体的姓名、邮政编码和地址等指称性构件却予以显名;
在信息社会的当下,个人信息保护采取的是把指称性构件评价为规范意义上的个人信息,并将其遮蔽以实现匿名化,从而阻断其与描述性构件的关联,或者阻止不同的描述性构件之间混合交叉形成新的指称性构件。大数据时代下,数据最重要的价值核心便是两类构件之间的关联,即将描述性构件所蕴含的各种属性和关系与特定个人对应起来,获得特定自然人的电子档案,如此,政府才能更高效地实现公共治理,企业才能更好地发展电子商务和数字经济。毕竟,个人数据要么是高价值的,要么是两要件熔断后匿名的,但绝不可能两者兼得。
概念是思维之网的纽结,内涵清晰的概念有助于确认和巩固我们对世界的认识成果。理清个人信息内涵的二元架构,对明确个人信息认定的客观依据、明晰个人信息概念家族图式的内在理路、明朗个人信息内部区分的风险考量以及尝试区分个人信息与个人数据等具有不可或缺的实践价值。
(一)明确个人信息认定的客观依据
法律并非是一种固定和永久的可以超越时空局限的实体,而是一种能动的人类文明现象,因此并不存在一种可以放之四海而皆准的普世性的法律制度和法律规则,但是在某个时间段内,法律规范必须具有稳定性,否则将会陷入虚无主义[32]。由此,在特定时空之文明条件下,我们不能放弃对作为法律规范和法律制度建筑材料的法律概念的客观性追寻。为了更正部分学者认为个人信息界定具有动态性、相对性和场景性的观点[33],避免个人信息的认定上演一场无限循环的“猫捉老鼠”游戏,笔者认为应摒弃标识信息中心主义的理念,从本体论信息说出发,依托指称性构件和描述性构件的二元架构,用两者之间的熔断与关联状态来构造个人信息定义的底层逻辑,即个人信息在本质上是标识信息与痕迹信息发生关联时的一种信息形态。要运行这种底层逻辑,依托现有的规范表述便可实现,并不需要另起炉灶重构个人信息的概念定义。通过前文的梳理,我们可以发现“关联关系式”定义模式可以很好地容纳个人信息的新概念蕴涵,即只要该自然人被识别出来或可能被识别出来,有关该自然人的任何信息就可归为个人信息。与“识别效用式”定义模式由信息到个人不同,“关联关系式”定义模式采取的是从个人到信息的识别路径,后者将识别的重心放在“知晓”特定个人之上,故能否被纳入个人信息范畴的焦点就落在了能否“识别”特定主体之上(已经超越了对具体身份的识别),而是否能识别特定主体就可转换为标识信息与痕迹信息是否能发生匹配这一关联关系上。
通过上述逻辑递归,个人信息的认定,抑或识别标准的确定就化约为对指称性构件与描述性构件的关联判断上,而这种关联判断可以尽量避免法律上的价值评判,即采用绝对标准的任意主体视角,如欧盟的“所有合理可能的方法”,具体为GDPR 鉴于条款26 条所称的“应考虑所有客观因素,如识别所需的成本和时间,并考虑处理时的现有技术和技术发展”。这种看似颇受争议的绝对标准⑦恰恰可以将个人信息的认定转化为对既有技术的考察,即确认两构件之间是否存在链接锚点(关系接触点),以及抓取该锚点所承担的代价,从而在个人信息的认定上挣脱相对主义的泥淖,实现当前技术水平下语言游戏规则的“局部决定论”⑧。申言之,作为一个普遍概念,个人信息外延所包含的分子必然是多数的,虽然不能穷举,但在特定时空的技术条件和可量化的技术成本下是能够把握的,有一个明确的范围边界。
(二)明晰个人信息概念家族图式的内在理路
为了说明不同语言游戏之间有无共同本质,维特根斯坦引入了“家族相似”的概念。“相似性”与“亲缘关系”是家族相似概念之间的关联特征,一组相互关联的家族相似概念构成一个概念图式[34]。匿名信息和假名信息与个人信息共同绘制了语言组织体中的一个图案,而采用个人信息的二元架构分析视角,可以很好地阐释这些家族相似概念的内在理路。
1. 匿名信息
匿名化本身是指一种隐私增强技术,要求具有不可逆转性。GDPR 鉴于条款第26 条指出匿名数据指“与已识别的或可识别的自然人无关的信息,或以使数据主体不可识别或不再可识别的方式进行匿名化的个人数据”,美国和中国的法律中也有相关表述⑨。如果采用包含指称性构件和描述性构件的二元架构分析视角,就可以清晰地辨识出匿名信息的内在理路,即匿名信息是个人信息两类构件发生熔断状态下的信息类型。通过数据随机化和数据概括化的技术处理⑩,指称性构件和描述性构件之间不能或很难产生对应关系;
而描述性构件之间,不管多种类型的痕迹信息如何汇合交叉,均不能或很难对痕迹信息的“信源”进行回溯从而与个人产生关联。如此,只知道标识信息而不知晓与之关联的痕迹信息,或单知晓痕迹信息而不知晓与之对应的标识信息,个人信息就实现了匿名状态。
2. 假名信息(去标识化信息)
欧盟数据保护法规中出现了“假名”(Pseudonymization)的称谓,但并未给出假名信息的概念。德国《联邦数据保护法》第3.6(a)中规定:假名指用其他标志替代姓名或者识别符号,以便无法确认数据当事人或者实质性增加确认数据当事人的困难⑪。假名化不同于匿名化,其只是运用轻度去标识化的技术手段,对信息主体身份进行伪装,如使用加密、哈希函数等方式为特定自然人创建一个新的形式符号以替代原先的标识符,以弱化指称性构件与描述性构件的关联度或增加其关联成本,降低所涉信息主体的风险。当假名信息在不利用额外信息无法指向特定信息主体,且该额外信息被分别存储,并附加了相应的技术和组织措施的情况下,便实现了个人信息两大构件之间的熔断,成为匿名信息。然而,这种熔断比较脆弱,往往可以被复原,故除了达到匿名程度的部分类型,大部分假名化是一种较为初级的安全措施,此类假名信息仍然受到数据保护原则的约束⑫。我国《个人信息保护法》第七十三条提出的“去标识化”与GDPR 的“假名化”是相同概念。
采用个人信息概念的二元架构分析框架,可恰当地诠释最高人民法院发布的第35 批指导性案例195 号《罗某、瞿某侵犯公民个人信息刑事附带民事公益诉讼案》的裁判要点。该案例裁判认为服务提供者专门发给特定手机号码的数字、字母等单独或者其组合构成的验证码具有独特性、隐秘性,能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的,属于刑法规定的公民个人信息⑬。手机验证码可视为个人信息的描述性构件,其只有与对应的手机号码即指称性构件相关联时才构成个人信息,若两者通过其他信息可轻易实现关联,验证码归为假名(去标识化)信息,若两者发生了当前技术条件下难以关联的熔断,则验证码归为匿名信息。
(三)明朗个人信息内部区分的风险考量
从概念关系来看,匿名信息与个人信息是全异关系,而敏感信息或私密信息等特殊信息类型则是个人信息的内部划分,与后者是从属关系,易言之,特殊信息类型的指称性构件和描述性构件处于对应和关联状态。之所以将敏感信息或私密信息归入个人信息定义的特殊类型,其原因正如有的学者指出的那样,不管是“特殊”还是“敏感”,都并非单纯个体的心理特征,而是指法律规制基于风险意识的高反应度,将某些信息类型从一般中区分出来予以特殊对待,是基于其客观的法律基准—权益侵害风险基准,即该类特殊信息更容易引起违法处理主体的关注,其泄露和滥用对信息主体将造成更为严重的权益侵害[35]。
通过二元概念架构来进行穿透式解析,我们可以发现个人信息特殊类型的风险系数与其内涵构件特性密切相关:首先,特殊个人信息的指称性构件具有更强的标识能力,如在公共管理关系中的公民身份信息(姓名、身份证号码、护照号码等)和生物识别信息(指纹、声纹、虹膜、基因序列等),前者的强“显名”效力来源于信息主体对政府社会管理的权利让渡,后者的强“显名”效力来源于自然人生物特征的唯一与极难更改;
其次,特殊个人信息的描述性构件具有更强的描述能力,如自然人的某项面部特征、医疗健康记录、金融交易记录、通讯录、行为踪迹等,这类痕迹信息要么强烈显现其本体特征,要么清晰描绘其社会关系,对信息主体的自然属性和社会属性进行深度扫描,直接决定着个人在数字社会的“透明度”。总之,权益侵害风险考量既与个人信息本身的性质有关,譬如人脸信息、基因信息等,又和信息流动的场景相连。场景包含应用性场景和社会性场景[36],前者依托于信息主体和信息处理者的自由意志,后者强调兼顾既有法律的规定和社会共同认可的价值观念等。至于私密信息与敏感信息这两个具有交叉关系的概念的异同,是个杂糅主客观因素、富含价值色彩的论题,目前国内已有部分学者进行了有益探索⑭。
(四)尝试区分个人信息与个人数据
另外,目前学界对个人信息与个人数据的区分问题存在争议,有“等同说”“混同说”和“区别说”:“等同说”认为两者并无区别;
“混同说”在实践运用中将两者无意识地混为一谈;
“区别说”认为两者存在差别,但有关联,其认为前者是一种知识,后者是一种载体,前者是“神”,后者是其“形”,且分别具有不同的权利类型[37]。也有学者认为个人信息是个人数据经处理后的结果,乃至认为个人信息权是财产权,个人数据权是人格权等[38]。笔者认为本着实用主义精神,遵循平衡个人信息保护与流通的原则,依托个人信息内涵的二元分析架构,可以尝试区分个人信息与个人数据,将个人信息中与指称性构件发生熔断或经过适度隔离的描述性构件归为个人数据,以数据的“可用而不可见”来探索个人数据的财产化路径,从而促进个人信息的流通和共享。
蓬勃发展的数据法学奠基于内涵明确的法律概念,这些概念是数据法律规范和法律制度的建筑材料。在必须加强个人信息法律保护已成共识的当下,理论界对个人信息权利/权益核心范畴的个人信息概念本身的研究也须给予应有的重视。然而,无论从技术因素入手,还是从规范视角着眼,个人信息的定义都面临着准确界定的诸多困境,使得其成为一种“不确定的法律概念”。目前虽然在个人信息概念的称谓上呈现出一种趋同态势,但是通过解构分析可发现,这些个人信息定义在形式结构、要素结构和风险结构等层面存在诸多差异。要走出当前个人信息定义的困境,需要对基于标识信息与痕迹信息二元隔离且以标识信息为重心的既有进路进行检视,从而提出一种更契合个人信息本质的包含指称性构件与描述性构件的二元内涵架构,并解析其运行逻辑。厘清个人信息内涵的二元架构,对明确个人信息认定的客观依据、明晰个人信息概念家族图式的内在理路、明朗个人信息内部区分的风险考量以及尝试区分个人信息与个人数据等具有强烈的理论与实践意义。当然,人们对事物本质属性的认识是一个渐进过程,本文的一些观点还需要经进一步的理论萃取和实践检验,但是笔者坚持的一个理念是明确的,即“保护”是个人信息处理的第一原则,在充分尊重和保障信息主体运用自身理性的自由意志下,才能更好地推动个人信息的流动和共享,使数字化真正实现“技术归化”[39],切实做到造福人类。
注释:
① 例如从欧盟沿用德国1977 年制定的《联邦个人数据保护法》中关联关系类型的个人信息定义伊始,一直到2016 年的GDPR,条文的抽象概括部分近五十年没有发生变化,由此该定义类型愈加受到各国青睐。中国经过《网络安全法》《中华人民共和国民法通则》《民法典》等多部规范迭代,最终在《个人信息保护法》中采用了关联关系模式的概念定义。
② 欧盟GDPR 第二章前三条(第5、6、7 条)规定了与个人数据处理有关的原则、处理的合法性和同意的条件后,后四条(第8、9、10、11 条)分别涉及了儿童数据、特殊类别个人数据、有关刑事定罪与犯罪和无需识别数据的处理原则。参见李世刚, 包丁裕睿, 王峥. GDPR:欧盟一般数据保护条例:文本和实用工具[M]. 北京:人民日报出版社, 2018:142 - 152。
③ 参见美国《数据隐私和保护法》(草案2022)SEC.2(8)、(22)。
④ 中国《民法典》(2020)将个人信息区分为一般信息和私密信息;
中国《个人信息保护法》(2021)则区分出一般信息和敏感信息。
⑤ 中国《网络安全法》第76 条认定个人信息是单一的身份识别;
《电信和互联网用户个人信息保护规定》第4 条将识别对象扩展为“用户信息以及用户使用服务的时间、地点等信息”;
《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第1 条将识别范围进一步扩展为“身份”和“活动情况”(行踪轨迹等)。
⑥ 需要注意的是,姓名、身份证号码等公民身份标识信息具有一定门槛的不可更改性;
生物识别信息在通常情况下具有唯一性;
面部识别特征兼具指称性陈述和描述性陈述双重信息特性;
出生日期、网络访问日期、图片拍摄日期、接受治疗日期、死亡日期等日期信息更多具有描述性构件的特征,单纯的日期信息则归为指称性构件类型。
⑦ 在欧盟2016 年Breyer 案中,虽然德国法院对判定路径的选择产生巨大争议,但欧洲法院最终支持了绝对标准。参见FREDERIK Zuiderveen Borgesius. The Breyer case of the court of justice of the European Union:IP addresses and the personal data definition [J]. European data protection law review, 2017(3):130 - 137。
⑧ 利奥塔的局部决定论认为,有关游戏规则的任何共识以及在游戏中可以走出的任何“走法”,都必须是局部的,都只是在一定的时间与空间范围内有效的,或者说,都必须是当时的游戏者所同意并且是可以最终取消的。参见陈嘉明, 吴开明, 李智, 等. 现代性与后现代性[M]. 北京:人民出版社, 2001:374。
⑨ 美国法律中与匿名数据相对应的表达是“去身份”或“去标识”,意味着所有可能与特定个人的身份相关联的信息已被从相关的报告、数据或其他信息中移除。例如美国政府2010 年发布的《个人信息保护指引》中,去身份指“通过移除足够的个人可识别信息以至于剩余的信息不能识别特定个人,以及没有合理的理由相信这些信息能被用于识别特定个人”。参见韩旭至. 大数据时代下匿名信息的法律规制[J]. 大连理工大学学报(社会科学版), 2018(4):64-75。我国法律条文中目前没有明确的匿名信息概念,只是或间接予以提及,或以“匿名化”进行说明。如我国《网络安全法》第四十二条规定“网络运营者不得泄露、篡改、毁损其收集的个人信息;
未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外”;
《个人信息保护法》第七十三条规定了匿名化,即个人信息经过处理无法识别特定自然人且不能复原的过程。
⑩ 前者包括“噪音添加”“属性交换”和“差分隐私”,后者包括“数据聚合”“K-匿名”和“L-多样性”(L-diversity),参见张涛. 欧盟个人数据匿名化治理:法律、技术与风险[J]. 图书馆论坛, 2019(12):90 - 101。
⑪ 欧盟GDPR 第4 条(5)规定:“‘假名化’是一种使得个人数据在不参照其他数据的情况下无法指向特定数据主体的个人数据处理方式。该处理方式将个人数据与其他数据分别存储,并会采取相应的技术和组织措施而使得个人数据无法指向一个已识别的或可识别的自然人。”
⑫ GDPR 鉴于条款(26)认为:“经假名化处理的个人数据,若通过使用额外信息即可指向某一自然人的,应被视为可被识别的自然人的信息。”
⑬ 参见(法〔2022〕265 号)《最高人民法院关于发布第35 批指导性案例的通知》。
⑭ 具体参见王利明. 敏感个人信息保护的基本问题—以《民法典》和《个人信息保护法》的解释为背景[J]. 当代法学, 2022(1):3 - 14;
申卫星.数字权利体系再造:迈向隐私、信息与数据的差序格局[J]. 政法论坛, 2022(3):89 - 102;
程啸. 论个人信息保护法中的个人信息处理规则[J].清华法学, 2021(3):55 - 73。