论个人信息概念的不确定性及其法律应对.docx
论个人信息概念的不确定性及其法律应对摘要:个人信息概念是个人信息保护制度的基础。但个 人信息概念面临范围不确定、去标识化信息性质不明、匿名 化信息是否受保护等难题。个人信息概念之所以不确定,是 因为个人信息高度依赖场景,因个人信息识别目标、识别主 体、识别概率、识别风险的不同而不同。在技术与产品飞速 发展的今天,更难找到确定不变的个人信息界定规则。应放 弃个人信息与非个人信息的绝对化区分,将个人信息视为规 制信息关系的制度工具,根据具体场景与制度功能确定个人 信息的范围及其规制方式。在监管层面,可以采取个人信息、 可识别个人信息、非个人信息的三分法而进行功能性的分类 规制;在司法层面,可以进一步进行场景化规制,利用自下 而上的案例确定个人信息的范围和保护制度。通过规制三分 法与司法案例法,可以建立模块化的个人信息分类保护制度。关键词:个人信息;识别;去标识;匿名化;场景化1问题的提出:个人信息概念界定的难题个人信息的概念与范围是个人信息法律保护的基础问 题。目前,各国都采取了个人信息/非个人信息的二元法律保 护机制。一旦某一信息被划入个人信息的范围,此类信息就 将受到个人信息保护法的管辖与约束;相反,一旦某一信息 被认定为非个人信息,则有关主体对此类信息的收集与处理 就不必承担相关义务。以我国为例,个人信息保护法等法律 法规对个人信息进行严格保护,但对非个人信息或匿名化的 个人信息则提倡数据要素市场交易与流通。欧盟亦是如此, 欧盟在个人信息/数据领域制定了严格的一般数据保护条 例,对其处理与流通施加了严格限制,但也同时制定了非 个人数据自由流动条例,对非个人数据采取完全不同的法 律框架。但个人信息的概念并不明确,甚至存在重大争议。首先, 如何理解识别这一概念?目前,各国普遍以是否识别来界定 个人信息。例如,中华人民共和国个人信息保护法(以下 简称“个人信息保护法")第4条规定:“个人信息是以电 子或者其他方式记录的与已识别或者可识别的自然人有关 的各种信息,不包括匿名化处理后的信息J欧盟一般数据 保护条例第4条第(1)款将个人数据界定为“任何已识别 或可识别的自然人('数据主体')相关的信息”。美国加州影 响甚广的加州消费者隐私法将个人信息界定为“直接或 间接地识别、关联、描述、能够合理地与某一特定消费者或 家庭相关联或可以合理地与之相关联的信息:但识别如何 界定?识别是否意味着某一信息必须能够直接联系到某一 个体?假如某一信息只能联系到特定设备,例如联系到某部 手机、某台电脑、某台空调、某件物品,此时这一信息是否 属于个人信息?再比如2022年各大平台上线IP属地公开, 显示网名所属的国家或省份,此类IP地址是否属于个人信 息?其次,如何理解去标识化、假名化信息?目前,各国都 在其法律中对此类行为或信息类型进行了规定。例如,我国 个人信息保护法第73条第3款规定,去标识化是“指个人 信息经过处理,使其在不借助额外信息的情况下无法识别特 定自然人的过程”。欧盟一般数据保护条例第4条第(5) 款规定,假名化“指的是在采取某种方式对个人数据进行处 理后,如果没有额外信息就不能将某一信息归于某一特定主 体”。但经过“去标识化”“假名化”后的信息应当如何归类? 应将其视为个人信息、非个人信息?还是介于个人信息与非 个人信息之间的第三类信息?在当前的信息实践中,企业等 信息处理者所收集的信息常常不包含个人姓名、身份证号, 或者在收集了此类信息后常常采取去标识化、假名化、加密 等手段。对于此类信息如何理解,适用何种法律框架,需要进一步探讨。最后,如何理解匿名化信息、群体性信息等信息传统上 认定为非个人信息?目前,我国和各国法律都将匿名化信息 排除在个人信息之外,因为这种信息被认为无法识别特定自 然人。例如,我国个人信息保护法第73条第4款规定:“匿 名化,是指个人信息经过处理无法识别特定自然人且不能复 原的过程。”欧盟一般数据保护条例也在其“重述 (recital)”第26条中明确,其不适用于匿名化的数据。对 于群体性信息,各国法律也大都没有将其囊括到个人信息范 畴,例如,加州消费者隐私法规定:“与一组或一类消费 者有关的信息有关的汇总消费者信息(aggregate consumer information),如果个人消费者身份已从这些信息中去标 识”,则此类信息不属于个人信息。但问题在于,即使是匿名 化数据,也经常可以被重新识别,给个体带来风险。在大数 据时代,匿名化在一定程度上已经成为失败的承诺(broken promise)o而对于群体性信息,大量运用群体信息进行追踪、 营销和群体识别的情形也日益引起了重视。在实践中,信息 处理者往往对一个群体而非一个个体进行识别、投放广告, 带来所谓的群体个人信息保护或群体隐私(group privacy) 问题。因此,无论是匿名化信息还是群体信息,这类信息是否完全不属于个人信息、不受保护,也需要进一步分析。上述问题相互勾连,而且仅仅是个人信息概念问题的一 部分。回答这些问题,需要对个人信息的概念与范围进行合 理把握,对个人信息的概念进行较为全面的分析与反思。本 文将在分析个人信息概念在制定法与司法案例层面的不确 定性的基础上,进一步探明个人信息概念不确定性的深层原 因,并从原理层面重构个人信息概念,在规制与司法层面提 出个人信息界定的操作性方案。本文的核心论点是,个人信 息高度依附于场景,特别是在大数据时代,某一信息在某种 视角和某种场景下可能不是个人信息,但如果换一视角和场 景,可能就会成为个人信息。同样,去标识化信息与假名化 信息也难以进行完全确定性划分。因此,对个人信息进行界 定,应避免个人信息/非个人信息二元界定,应转而采取场景 化的弹性界定思路,根据某一信息所处的具体场景以及规制 必要性而对其进行性质界定。如果某一信息与具体场景中的 个人权益相关,有必要通过个人信息保护法进行调整,则应 当将此类信息纳入个人信息范围。反之,则应将其界定为非 个人信息或特殊类型的信息。法律对个人信息进行保护,其 本质在于通过个人信息这一概念规制相关的信息实践,而非 保护个人信息本身。通过场景化个人信息界定与制度的功能 性适用,可以实现信息属性的合理界定,保护某一信息行为 中的合法权益、预防相关风险。同时,为了解决场景化理论 等不确定性问题,可以在行政规制层面引入个人信息的三分 法,在司法裁判层面引入案例制度,建立模块化与颗粒化的 个人信息保护制度。个人信息的不确定性及其分析分析个人信息的概念与范围,可以先从我国与欧美等主 要国家和地区的实证法出发。通过分析相关法条与案例,可 以发现不同国家与地区采取了不同的个人信息界定,但也呈 现趋同性,不同国家与地区所面对的问题尤为相似。(一)法律解释及其分析如上所述,我国个人信息保护法将个人信息界定为“已 识别或者可识别的自然人有关”的信息,这一进路也常常被 概括为“识别说” + “关联说”。相比我国网络安全法与民法 典,在“识别”的基础上,其对个人信息概念作了宽泛的界 定。同时,与网络安全法、民法典不同,个人信息保护法 也不再对个人信息的类型进行列举性规定。从立法目的与立 法技术来说,个人信息概念的这一界定意图非常明显,意在 扩充或强调个人信息的保护范围,防范对个人信息作较窄理 解。在实践中,有的信息处理者主张,企业对于没有用户姓 名、不能直接识别的用户画像信息的收集并不直接识别个人, 企业可能“懂你”,但不“认识(识别)你”。如果采取这种 进路,则大量匿名化的行为信息将被排除在个人信息保护法 之外。在我国个人信息保护法起草与讨论的过程中,立法者 对于这一现象高度警惕。尽管网络安全法与民法典等法律也 不宜作如此狭义的理解,将不具姓名但和个人相关的各类行 为信息排除在保护范围之外,但个人信息保护法还是对 此进行了重申,再次强调其保护信息范围的宽泛性。在互联 网与大数据时代个人信息的存在方式已经非常多元,保护个 人信息不能仅仅将保护范围局限于个人档案或类似个人档 案的信息。我国个人信息保护法的这一规定与欧盟的一般数据保 护条例具有相似性。一般数据保护条例第4条除了同样 以“识别” + “相关”的表述界定个人信息,对个人信息的范 围与类型进行了宽泛性的列举,还明确将“姓名、身份编号、 地址数据、网上标识或者自然人所特有的一项或多项的身体 性、生理性、遗传性、精神性、经济性、文化性或社会性身 份”也纳入个人信息范围。在对这一条文的“重述”第30条 中,欧盟还特地明确列举了 “通过设备、应用程序、工具和 协议提供的在线标识符,例如互联网协议地址、COokie标识 符或其他标识符”,将各类与设备或物品相关的信息纳入其 保护范围。甚至对于经常用于各类物品标签的无线射频识别 即射频识别技术(Radio Frequency Identification, RFID), “重述”也将其列举为个人信息。虽然“重述”不具有法定 效力,但其对一般数据保护条例的解释有着毋庸置疑的 权威性。相比中国和欧盟,美国联邦与各州对个人信息的界定略 有不同。首先,美国法的个人信息界定往往不区分“已识别” 与“可识别”,而仅仅以“个人可识别信息”(PerSonany identifiable information)作为个人信息或个人数据的同 义词。例如,美国儿童在线隐私保护法(Childrers Online Privacy Protection Act, COPPA)将“个人信息”定义为 “关于个人的个人可识别信息二其次,美国对个人信息的界 定方式往往较为多元。有的法律采取列举式的界定,将个人 信息限定于特定类型。例如马萨诸塞州对于个人信息泄露的 立法将个人信息定义为个人的名字和姓氏,或首字母和姓氏 与社会保险号码、驾驶执照号码、金融账户号码或信用卡或 借记卡号码的组合。有的法律采取排除式方法,例如,1984 年的有线电视通信政策法案(CabIe Communications Policy Act, CCPA)将个人可识别信息定义为“聚合数据” 以外的内容,对“未识别特定人员的任何聚合数据记录”以 外的用户数据进行保护;1999年格拉姆-里奇-布莱利法案 (Gramm-Leach-BIiley Act, GLBA)将“个人可识别金融信 息”定义为“非公开的个人信息”。还有的法律则采取同义反 复的方法,例如,1988年制定视频隐私保护法(Video Privacy Protection Act, VPPA)将“个人可识别信息”定 义为“识别个人的信息”(information which identifies a person)o当然,也有很多法律采取了综合性定义方法,例如 加州消费者隐私法,既采取了开放式列举与排除式列举, 也同时借鉴了欧盟的定义方式。比较中国、欧盟与美国的个人信息定义,会发现虽有差 异和各自的优缺点,但其面临的问题却具有相似性。就中国、 欧盟而言,个人信息统一界定模式的优点在于保持法律的形 式统一性,同时将更多信息类型纳入保护范围,但其缺点也 非常明显,这就是它们可能将越来越多的信息都纳入其保护 范围,无法区分真正需要保护的信息类型。从原理上说,一 个社会所产生的信息,只要它和人类行为具有任何一点联系, 就可能帮助某个主体在某种情形下识别个人。信息从最本质 上说是人类和世界所留下的信息轨迹,只要人类直接或间接 影响到某一信息轨迹,则该轨迹就可能成为识别个人的信息。 例如,一瓶喝过的水、一辆停在街边的车都可能帮助某些主 体识别某个人。就此而言,如果从最广义的角度理解个人信 息,则如某些学者所言,任何信息都可能成为个人信息,欧 盟的通用数据保护法会成为“无所不包的法”。就美国而言,美国分散式与多元化立法的好处是可以对 个人信息进行分类保护,在不少情形下更清晰,更具有操作 性。以上文提到的列举式定义为例,很多州有关数据安全与 个人信息泄漏的立法都采取这一模式,这一模式使得信息处 理者可以更为准确地进行合规操作。而排除式的列举或同义 反复式的个人信息界定模式,由于这类立法往往针对某一个 行业或领域,其个人信息范围也相对欧盟模式更为清晰。当 然,其缺点也非常明显,由于统一界定,信息处理者可能需 要在不同的情形中遵循不同的法律规定,增加其合规成本。 对于个人信息保护而言,这种模式也可能使很多与个人相关 或可以间接识别个人的信息无法得到保护。正如施瓦茨与索 洛夫二位学者所言,如果说欧盟模式的保护范围可能过宽,那么美国模式的界定则有可能过窄。中国、欧盟与美国的个人信息界定模式虽然问题各异, 但所面对的问题具有一致性。其问题核心在于,在互联网与 大数据时代,个人信息与非个人信息的界分极为困难,大量 信息介于个人信息与非个人信息之间。个人信息作为一个法 律概念,其兴起大概起源20世纪的60、70年代,当时,由 于计算机技术的兴起,西方很多国家的公共规制机构与企业 实体开始利用计算机对个人信息进行系统化存储,而此类信 息往往包括姓名、出生日期、身份证号码、住址、电话号码 等档案类信息。这引起了学术界的普遍担忧,在法律与政策 层面诞生了以个人信息为核心的制度框架。时至今日,这一 存档信息还在有的法律制度中被保留下来,例如,欧盟的一 般数据保护条例所提到的“存档系统”(filing system)o 但在互联网与大数据时代,与个人信息相关的个人信息主要 不是以计算机档案或类似档案的形式存在。如同很多学者指 出,互联网、大数据与新科技所需要获取的信息往往是非档 案性信息,这类信息与传统的个人信息与非个人信息都具有 重要区别,因为它们往往不能直接识别个人,但又常常能问 接识别个人,并且对个人权益造成重大影响。在这样的背景 下,沿用五六十年前的个人信息概念,就会存在保护过宽与保护不足的困境。(-)司法案例及其分析司法实践中对于个案的判决进一步显示了个人信息概 念的不确定性。以我国为例,我国已经在若干判决中对个人 信息的概念与范围进行了界定,这些判决不少都引起了较大 争议,进一步说明个人信息并非一个非黑即白、容易清晰界 定的问题。早在2014年,南京市法院就曾经在判决中进行过分析。 在该案中,原告在百度公司搜索“减肥”“丰胸”等关键词后, 百度利用cookies技术,在浏览相应的网页时推送诸如“减 肥,“丰胸,“人工流产”等广告。该案虽然发生在我国个人 信息保护法、民法典、网络安全法等法律生效之前,但其时 工信部制定的电信和互联网用户个人信息保护规定已经 对个人信息进行了规定,因此,法院也结合这一规定对 cookie信息是否属于个人信息进行了分析。根据法院的论述, cookie信息不能被认定为个人信息,因为“cookie信息无法 与特定的人相联系”,百度“所搜集的仅是不可识别的网络行 为碎片化信息,而非现实世界中具体的个人信息,根本不可 能与朱某发生对应识别关系”。我国网络安全法、民法典生效后,我国法院又在一系列 案件中对个人信息进行了界定。首先是引起社会广泛关注的 北京互联网法院判决的微信读书案和凌某某诉抖音APP侵犯 个人信息案,在前一个案件中,微信读书产品向共同使用微 信读书的微信好友默认开放其读书信息,北京互联网法院在 经过审理后,认定个人的读书信息属于个人信息,因为“正 在阅读的读物、推荐的读物、读书时长、读书想法”,“可能 勾勒刻画一个人的人格侧面”。在后一个案件中,法院认定凌 某某的社交关系和“地理位置”均属于个人信息。而在深圳 市南山法院所作出的“微视案”判决中,法院认定微信所收 集的头像、性别、好友关系属于个人信息,但认为微信的信 息收集与处理行为不构成对隐私权或个人信息权益的侵害。 此外,在余某某诉北京某网络科技公司隐私权、个人信息保 护纠纷案中,法院认定,经有效脱敏化处理的历史车况信息 不属于个人信息或隐私。在陈婷与百度公司人格权纠纷一案 中,百度公司通过IP字段(非单个IP地址)向群体用户投 放广告,法院经过初步审理,认定IP字段所形成的地址信息并不能和用户形成一对一的对应关系,因此不属于个人信息。欧盟的判例对于个人信息的界定较宽,但也显示出个人 信息概念的不确定性。早在1995年的数据保护指令中, 欧盟就在其中作出了和一般数据保护条例近乎一致的个 人信息定义,欧盟正义法院等司法机构也据此在一系列案件 中对个人信息进行界定。例如,在NoWak案中,一名考生试 图访问自己的考卷,法院经审理后认为考试试卷属于个人数 据,并且强调欧盟所采取的个人数据定义是一种广义的界定, 突出了个人数据界定中的“任何”(any) 一词。但在此前的 YS案判决中,法院又作出了相对较窄的界定。在该案中,有 三人的居留许可被拒绝,他们因此申请对于行政文件分析的 查询访问权。但法院经过分析后认为,虽然文件中与个人相 关的数据属于个人数据,但行政文件本身不能被视为欧盟法 所规定的个人数据。欧盟法院对于网络交互类数据的性质认定同样表明了 这一点。欧盟法院曾在SCarlet EXtended案中认定,静态 IP地址属于个人数据。在DigitaI Rights IreIand 一案中, 欧盟法院(Court of Justice of the European Union)认 定,位置数据、IP地址与检索到的网页上的日志文件相结合 的数据属于个人数据,因为尽管这类数据仅能间接识别数据 主体,但它可能“知道订阅或注册用户与之通信的人的身份 以及通信方式,并确定通信时间以及通信发生的地点“。但在 影响极大的Breyer 一案中,法院尽管认定动态IP属于个人 数据,但对这一界定进行了很多限定。该案的难点在于,动 态IP地址经常会发生变化,并不像永久性的静态IP地址固 定不变。对于此类IP,网络服务提供商出于收费与监管目的 会将个人与特定时间的动态IP地址联系起来,但网站的运 营者(在本案中为德国联邦政府)本身不会做这种联系。欧 盟法院在判决结果中,虽然最终将动态IP地址也纳入个人 数据范围,但也意识到网站运营者并不能识别个人。O O O ,3个人信息的场景依附性上文已经初步分析个人信息的不确定性,以下进一步的 深入分析将从更多层面揭示其根源所在。界定个人信息的核 心在于识别,但信息的个人可识别性并不存在一个客观的刚 性规则,而是取决于识别的目标、被谁识别、识别的概率、 识别的风险等多种因素。在信息技术飞速发展与产品商业日 新月异的背景下,这些因素更变得日益多元,使得个人信息 更难界定。首先,识别目标是什么?不同识别目标将影响某一信息 的性质。识别可能是为了在一个国家或地区查询或定位到某 个人;也可能是为了了解某个已知个体的信息;或者是为了 和某个设备建立对话。荷兰蒂尔堡大学法学院的罗纳德李 恩斯(Ronald Leenes)教授将识别分为四类,即L型查找型 识别(look-up); R型确认型识别(recognition); C型归类 型识别(classification); S型会话型识别(session)。所 谓L型查找型识别,指的是通过诸如姓名、电话或护照号码 等标识符对特定个人进行查找,将该标识符连接到指定个人 (即其公民身份)的注册表、目录或表格,以确定公民身份。R型确认型识别指的是在不涉及公民身份的情况下,对某些 已经具有联系或接触场景的对象进行确认,例如利用人脸识 别对某人进行确认,利用CoOkies、IP地址、IDFA广告标识 码等进行身份确认。C型归类型识别指的是其目的是对某人 进行群体归类,例如将某人归入高消费群体,这类识别常常 通过长时间追踪和观察一个人而实现,例如通过L型查找型 识别或R型确认型识别来实现,但也可以独立存在,比如通 过智能广告牌对路过的观众进行归类。S型会话型识别则指 的是为了设备或技术的交互对话而进行的识别,例如利用 cookie使得网站记录顾客的购买记录、购物篮。李恩斯教授 的识别目标分类可能未必完整,但此类分析已经足以说明, 识别可能具有完全不同的识别目标;即使同一种识别手段, 也可能具有不同目标。从不同的识别目标出发,可以发现某 种信息在某一识别目标下可能成为个人信息,但在另一种识 别目的下则不能。例如,身份证号码可以帮助公安机关实现 查找个体功能,可能被划入个人信息的范围;但对于消费归 类或对话识别而言,没有其他信息的身份证号码只是一串数 字。第二,谁来识别个人信息?不同识别主体会影响信息的 归类。对于身份证号码、指纹信息而言,公安机关可以凭借 此类信息而精准识别个人,但普通个人却常常难以识别。对 于较为常见的姓名、微信头像、网络昵称,一个小群体可以 通过它们而快速识别或联想到某人,但陌生人则很难进行识 别,除非此类信息和其他信息结合,才有可能具体定位到某 个具体个人。对于IP、MAC地址、IMEl码等网络与设备信息 而言,具有交互性的技术人员可以对设备进行识别,进而在 一定程度上识别个人,但对于非技术人员或非交互方来说, 这些网络与设备信息很难进行识别。目前,各国法律实务与 法学研究对“谁来识别”这一问题恰巧没有作出明确界定, 或者采取了不同界定。例如,我国个人信息保护法对此未进 行明确界定,欧盟一般数据保护条例“重述”第26条认 为,识别的主体包括“控制者或其他人(the controller or by another person)”;英国的信息委员会(ICO)将识别主 体想象为一个“有动机的侵入者”(motivated intruder)o 欧盟地区不同的法院也对此有不同的解读。在学术界,对于 识别主体究竟主要是数据控制者,还是包括第三方在内的所 有主体,也存在持续性的争议。第三,何种概率的识别才算识别?不同识别程度或概率 将影响信息的性质界定。个人信息概念中“已识别”与“可 识别”信息的分类已表明,个人信息概念包括了识别难度不 同的信息。如果说“已识别”表明了一种难度为零或接近为 零的信息,那么“可识别”则包含了识别难度不一的各种信 息。如果当事人采取非常专业的手段,对相关信息进行追踪、 比对,那么很多加密信息或看似与个人无关的信息都可能被 识别而成为个人信息,就像侦探或黑客对相关信息的“破译” 一样。反之,如果当事人没有采取积极主动的识别方法,也 没有利用相关技术,那么即使一般的去标识化信息或假名化 信息,也可能无法识别。目前,有的国家和地区试图界定可 识别性的判定规则。例如,欧盟在一般数据保护条例“重 述”第26条规定,个人信息的可识别性“应考虑所有合理可 能使用的手段”,“为了确定是否有合理可能使用手段来识别 自然人,应考虑到所有客观因素,例如识别的成本和所需的 时间,同时考虑到处理和技术开发时的现有技术“。这一规定 试图以“合理可能性"(reasonably likely)来界定难度, 但留下了很多不确定性,仍然需要解释者结合多种因素对其 进行判断。第四,个人信息被识别的后续风险有多大?不同的后续 风险与风险认知将影响信息的性质界定。目前,各国往往对 侵害法益较为严重或风险较大的信息进行特殊保护,将其界 定为敏感信息。例如,我国个人信息保护法第28条规定,敏 感个人信息是“一旦泄露或者非法使用,容易导致自然人的 人格尊严受到侵害或者人身、财产安全受到危害的个人信 息”。欧盟一般数据保护条例将这类信息界定为“特殊类 型的个人数据”。就个人信息与非个人信息而言,风险的不同 也会影响二者的区分。一方面,如果采取零风险或接近零风 险要求的法律规则,则无论多高层级的加密化个人信息都将 属于个人信息,因为加密信息虽然无法直接识别个体,但一 旦被破译,就可能给个人带来风险。甚至完全匿名化的信息, 由于此类信息仍然存在被重新识别和给个人带来风险的可 能,也可能成为个人信息。另一方面,如果要求个人信息被 识别必须具备一定的风险,则很多信息都可能成为非个人信 息。例如,具备安全保障能力的加密化信息,或者通过隐私 多方安全计算而处理的个人信息,就可能因为其风险的相对 可控性而被视为非个人信息。以上四点仅仅是影响个人信息界定的一部分因素,其他 因素或分类也同样会影响个人信息的界定或范围。例如,个 人信息被何种方式处理和利用?当IP属地地址被用于群体 识别与信息发送,此时IP属地未必能识别个体,但如果IP 属地被网络平台实名公开,就可能暴露某些网民的行踪轨迹, 成为可识别的个人信息。个人信息的识别应当按照个人的主 观感受进行判断,还是按照客观情况进行判断?在很多场景 下,个人可能感觉自己已经被识别或很可能被识别,但客观 上其实很难被识别。个人信息的识别性应当在多长时间内有 效?有的个人信息,可能在一定的时间段内很难被识别,但 如果放在更长的时间段内,随着相关信息的增加和技术的进 步,原先很难被识别的个人信息就有可能被识别。此外,文 化与国情因素也会影响个人信息的界定,例如在欧盟,个人 的身份性因素往往被认为具有高度识别性,欧盟对“特殊种 类个人数据”的界定就包括了“种族、民族背景、政治观念、 宗教或哲学信仰或工会成员的个人数据、基因数据、为了特 定识别自然人的生物性识别数据,以及和自然人健康、个人 性生活或性取向相关的数据“。相较之下,我国的敏感信息则 主要包括“生物识别、宗教信仰、特定身份、医疗健康、金 融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个 人信息”,并未将种族、民族背景纳入其中。上述分析说明,个人信息具有高度的场景依附性。个人 信息并不像土地、石油、电脑等有形物体一样,这些有形物 无论身处何处,被何人使用,其价值都有一定的稳定性,也 可以在一定程度上标准化。个人信息甚至不像知识产权等无 形财产,知识产权也可以通过市场而进行较为标准化的确权。 个人信息或数据则不同,相关信息的属性如何界定,往往取决于这一信息是被用于何种用途,被谁识别、多大概率被识 别、被识别的风险等场景性因素。目前,个人信息界定的场景性特征几乎已经成为一个共 识。例如,欧盟第29工作组发布的“关于个人数据概念的意 见”指出,某些标识符是否“实现识别,这取决于特定情况 的场景(the context of particular situation)o 一个非 常普通的姓氏不足以从一个国家的全体人口中识别出某个 人,即从中筛选出某个人,但很可能在教室中识别出某个学 生。而即使是辅助信息,如穿黑色西装的人',也可能从站 在红绿灯处的行人中识别出某人”。在学界,个人信息界定的 这一场景性特征也得到了欧美学者的一致认可。美国信息隐 私法的两位最权威的学者施瓦茨与索洛夫都指出,个人信息 与非个人信息的界分“经常是场景化”的。欧盟地区的两位 学者也指出,数据高度“依赖场景”(COntext-dependent), 数据的个人性“不应被视为数据的属性,而应被视为数据所 处场景的属性二个人信息的定义重构从个人信息的不确定性与场景依附性出发,可以对个人 信息概念进行重构。应避免概念本质主义的立场,避免将个 人信息与非个人信息视为一种可以脱离具体场景的不变实 体。相反,应将个人信息视为一种把握相关场景下信息关系 与信息实践的制度工具,这一制度工具的范围应根据个人信 息保护的目的而确定。当某一信息在具体场景下可能对个人 的相关权益产生影响,或者需要通过个人信息保护法进行调 整时,此时就应当将这一信息纳入个人信息的范畴。反之, 当某一信息与个人权益没有或几乎没有关联,难以通过个人 信息保护法进行规制,此时则不应将其纳入保护范围。与此 相适应,在制度适用上,应结合信息实践的具体场景,根据 个人信息保护的不同制度功能而对不同信息实践进行不同 保护。对于具有争议性的某类信息,应避免对其进行全有或 全无的保护。即使某一信息被认定为个人信息,此时个人信 息保护法的一系列制度也不一定全部适用。(一)个人信息二元界定的困境个人信息概念的界定应首先放弃“范围二元界定一制度 二元适用”的分析进路。试图把握个人信息的边界,就像试 图确定某个人的周围空间是否受到侵犯,无法把握问题的实 质。个人空间是否受到侵犯,与具体场景密切相关。例如, 拥挤地铁里的个人,其个人空间权利非常狭小;而在空旷地 带,陌生人对于个人临近空间的逼近就会让人感到威胁。对 个人空间进行保护,本质上是为了保护人与人之间的合理关 系。个人信息的概念与范围也一样,个人信息的界定本质是 为了规制信息关系,而非为了保护个人信息本身。因此,应 更多通过这一概念理解具体场景的相关信息实践,而非脱离 场景来界定个人信息的范围,就像脱离物理空间场景来确定 个人空间权利。个人信息的制度设计强化了二元界定与二元适用的问 题。目前,各国对个人信息保护普遍采取基于“公平信息实 践”的制度框架,例如,我国个人信息保护法提出了处理个 人信息的“合法、正当、必要和诚信原则”,对个人赋予了知 情决定权,查阅复制权、携带转移权、更正补充权、删除权、 解释说明权等权利,对信息处理者赋予了安全保障、合规审 计、影响评估、泄漏补救措施等责任。如果采取个人信息/非 个人信息的二元划分,就意味着某些信息要么受个人信息保 护法的全部保护,要么完全不受法律保护。但正如很多研究 指出的,个人信息保护法的框架更接近于一种治理型框架, 其中不同制度所实现的目标并不相同,其制度的刚性程度也 不相同。以个人消极性信息权利与积极性信息权利区分为例, 个人信息保护制度中的消极性权利/权益更接近于个人隐私 性权利/权益,其刚性程度相对较高。而个人信息保护制度中 的积极性信息权利/权益有的是为了保障个人知情权,有的 是为了保护与个人信息相关的权益,有的是为了防范相关风 险,有的则纯属为了个人便利,其权利属性具有程序性权利 或请求权的性质。因此,有的信息即使被归入个人信息,也 未必都适用个人信息保护法中的所有权利义务;反之,有的 信息即使被认定为非个人信息,也应享有个人信息保护法中 某些制度的保护,例如享有不被轻易重新识别和安全保障的 权利。(-)场景化界定与功能性规制为了避免个人信息二元划分带来的问题,个人信息概念 界定应采取场景化的界定方式。首先,应将某一信息还原到 具体场景的信息关系与信息实践中,弹性解释信息的个人与 非个人属性,从而实现对信息关系进行“场景化控制”(contextual control)o以前一部分提到的四个因素为例: 第一,就个人信息识别目标而言,应对符合识别目标的信息 做更广的界定,对不符合识别目标的信息做更窄界定。以IP 地址段为例,此类信息难以直接识别个体,只能从概率上反 映某个人位于哪个区域。如果相关行为试图通过IP地址段 进行区域营销,则此类信息更宜归入非个人信息;但如果IP 地址段是为了追踪某个人的大致轨迹,则此类信息更宜被归 入个人信息。第二,应分析识别的可能主体,根据较为可能 识别的主体而判断个人信息的可识别性。例如对于加密的个 人金融账户信息,应根据所有可能的侵害者而判断,只要此 类信息能够被侵害者破解,此时就更应认定为个人信息。相 反,对于加密的非风险性信息,则只要其不能为一般用户轻 易破解,此时更应认定为非个人信息。第三,应分析个人信 息被识别的概率,结合非技术人员预期与技术人员预期而判 断信息被识别的可能性。非技术人员与技术人员的合理预期, 可以分别从个体主观感受与技术发展层面为个人信息识别 概率提供判断依据。第四,应分析信息使用不当或泄漏所带 来的风险。如果相关信息的处理可能给个人带来较大风险, 则此时宜将其视为个人信息;反之,如果相关信息的处理不 带来任何风险,则此时更宜将其视为非个人信息。其次,应结合个人信息保护中不同制度的不同功能,对 信息进行功能性规制。这里仅以知情同意权与查询权这两种 基础性权利为例,说明不同场景下的信息实践可能需要不同 的制度适用。就知情同意权而言,对于会话型识别,一般应 要求信息处理者履行告知义务,并获取对方同意,因为此类 识别具有信息处理者与个人的交互会话场景。而对于不具备 交互会话场景的某些归类型识别、查找型识别、确认型识别, 则未必要求信息处理者都履行此类义务。例如,对于公共场 所的视频监控,信息处理者一般只能进行提示或警示,而不 可能对每位行人进行告知并获得同意。如果强行要求信息处 理者获取个人同意,只会让信息处理者进一步识别个体,对 个体隐私权益产生更多威胁。同样,查询权也常常给个体带 来风险,查询权的实现不仅需要信息处理者验证与精确识别 个体,而且还可能导致他人冒用个体身份进行信息查询,给 个人隐私带来重大威胁。因此,个人信息查询权更宜在后续 风险较小的领域被适用;在风险较大领域,应当优先要求信 息处理者履行信息安全保障义务。个人信息的行政与司法界定个人信息的不确定性与场景依赖性曾经使有些学者主 张,应当彻底放弃这一概念。例如,美国的信息法学者欧姆 教授(Paul Ohm)曾主张,在大数据时代,个人信息与非个 人信息的区分已经没有意义,应当放弃个人信息这一概念, 改由风险规制的路径对相关信息实践进行规制。作为一名具有深厚技术与法律双重背景的专家,欧姆教 授的分析细致入微,其对个人信息不确定性的论述尤其具有 说服力,但其主张也存在操作层面的巨大难题。在个人信息 概念已经成为全球个人信息保护共识的背景下,全盘抛弃个 人信息这一概念并不现实。对于中国和欧盟这样已经制定统 一个人信息保护法律的国家和地区而言,这一方案尤其不具 有可行性。无论个人信息行政监管、个人信息司法诉讼还是 企业合规,个人信息都已经成为了一个绕不过的概念。因此,更为可行性的方案是,在承认与接受个人信息概 念不确定性的基础上,采取更具有操作性和贴近个人信息场 景化特征的保护模式。其中,在行政监管层面,可以采取自 上而下的个人信息类型化保护;在司法与行政裁决层面,可以采取自下而上的个人信息案例法保护O(一)行政监管中的个人信息三分法在行政监管层面,可以考虑借用施瓦茨与索洛夫提出的 个人信息2. O的分析进路,以个人信息三分的方法来进行个 人信息概念界定与法律保护。所谓个人信息的三分法,指的 是在可识别个人信息(identified personal information) 与不可 识别个 人信息(no-identifiable personal information)的二元区分之外,对可识别个人信息再进行区 分,将其作为特殊类型的信息进行保护。两位学者的理由是, 个人信息尽管具有不确定性,但这一概念仍是现存法律保护 最佳的工具和抓手。完全通过成本一收益与风险预防的进路 来保护个人信息,可能导致整个信息隐私法框架的重构,无 论是监管机构进行法律监管,还是个人信息的处理者进行合 规实践,可能都会面临无所适从的困境。而个人信息的三分 法则更具有操作性,既可以为监管机构和企业合规提供整体 稳定的制度框架,又可以对个人信息进行一定程度的场景化 界定。在制度方面,个人信息三分法主张对可识别信息部分适 用、部分不适用相应法律责任。在适用方面,个人应当享有 对个人可识别信息被收集与处理的知情权,信息处理者应当 承担保障收集与处理个人信息的透明性,保障个人的信息安 全、信息质量等责任。个人信息三分法认为,知情权与透明 性作为一种制度工具,有利于保障个体权益,同时强化消费 者隐私意识,推动企业的自我监管,为个人信息执法与司法 提供依据。而个人信息的信息安全与信息质量要求则可以督 促企业建立自我规制体系,消除个人可识别信息不当使用或 泄漏给个人可能带来的风险。信息处理者应当评估被收集信 息的潜在风险,建立起一套“跟踪一审查”模型,建立基于 信息生命周期的跟踪与保障机制。在责任免除方面,个人信息三分法主张豁免此类