个人信息及法律保护——“民商法前沿”系列讲座现场实录第328期刘德良北京邮电大学文法经济学院教授上传时间:2008-12-21内容提要:2008年10月22日晚,在明德法学楼708报告厅举行了中国人民大学民商法前沿论坛讲座。主讲人为中英法学研究会顾问、亚太网络法律研究中心创始人、主任、北京邮电大学网络法律研究中心主任、文法学院特聘教授、英国伦敦政经济学院、爱丁堡大学、伦敦大学高级法律研究所访问学者刘德良教授。对外经贸大学法学院梅夏英教授、北京航空航天大学法学院丁海俊副教授到场评议。讲座由我院博士研究生沈云樵主持。讲座从个人信息的分类、确权规则、各国保护现状和我国立法思路四个方面,分析了个人信息及私法保护问题,尤其是个人信息的财产权保护。首先,关于个人信息的概念及其分类。刘教授将个人信息的概念定义为:据以能够直接或间接识别自然人的身份而又与公共利益没有直接关系的一条或一组信息的集合。个人信息可以由各种符号来表达,在不同背景下还可以是动态的。而根据不同标准可以对个人信息进行不同分类。基本的分类有直接个人信息与间接个人信息、再现个人信息与非再现个人信息、敏感个人信息与非敏感个人信息。刘教授并提出了自己的分类标准,以个人信息是否与人格尊严有关,将其分为与人格尊严有直接关系的个人信息、与人格尊严无直接关系的个人信息,前者是指一般主体不愿他人知道的、与人格尊严有直接关系的、法律给予其双重保护的个人信息,后者是指可以公布的、与人格尊严无直接关系的、法律不对其特别保护、而只给予财产权保护的个人信息。该分类的意义在于体现的个人价值不同。第二部分是关于个人信息保护的确权规则。该问题包含两方面,一是应该给个人信息赋予何种权利,或者说给与何种保护;二是该权利应该归属于何主体。刘教授首先区分了权利客体与权利对象这两个概念,认为:权利客体是一个抽象的概念,体现一种利益;而权利对象是一个具体的概念。本讲座的“个人信息”是权利对象,而非权利客体,其上既可体现财产利益,又可体现人格利益。与人格尊严有直接关系的个人信息体现了这两种利益,所以要对其进行双重保护。而个人信息上的人格利益和财产利益都应该归属该信息主体。第三部分是关于个人信息的法律保护现状。透过理论层面,目前各国与个人信息相关的立法模式有两种,一是以欧盟为代表的本体主体,从基本人权和隐私权的角度对个人信息进行保护;二是以美国为代表的实用主义,从经济的角度、在考虑成本和收益的基础上,对个人信息进行保护。从我国的立法和理论看,我国归于欧盟模式。最后是关于我国完善个人信息保护的对策。刘教授提出了三条基本思路:一是处理好个人信息上的各种利益关系;二是对财产利益和人格利益进行全面保护;三是促进信息产业和电子商务的发展。在立法上要对个人信息和隐私做明确区分。之后,梅教授和丁副教授对讲座进行了精彩评议,刘教授还与评议人、同学们进行积极互动。讲座在同学们的热烈掌声中结束。(文/石晓倩)2主讲人:刘德良教授中英法学研究会顾问亚太网络法律研究中心创始人、主任法学博士、北京邮电大学网络法律研究中心主任、文法学院特聘教授英国伦敦政经济学院、爱丁堡大学、伦敦大学高级法律研究所访问学者主持人:沈云樵中国人民大学法学院民商法博士研究生时间:10月22日(周三)晚6:30地点:明德法学楼708室一、个人信息及其分类(一)个人信息的界定何谓个人信息、其具体范围如何?目前在理论、立法和司法上存在歧见。在立法上,就存在个人信息、个人数据和隐私之别。欧盟1995年《个人数据保护指令》以个人数据作为其基本范畴,其所谓的个人数据,是指任何与一个明确的自然人或可识别的自然人(数据主体)身份有关的信息,其中,“可识别的人”是指可以直接或间接识别的人,尤其是借助于身份证号码或其他一些有关身体、心理、精神、经济、文化或社会身份等特定因素可以直接或间接识别其身份的信息。按照OECD理事会1980年《关于规制个人隐私保护与跨境个人数据流通的建议》的规定,所谓个人数据,是指任何可以或能够辨别出来与某一个人有关的信息。从美国立法和学者关于隐私的有关论述看,在美国,传统上是将个人信息作为隐私看待的。在网络时代和信息时代,学者们则多将传统的隐私称为“信息隐私”。值得注意的是,理论上有不少学者在讨论个人信息的法律保护时并没有采用上述任何一种叫法,而是采用另外一类概念,如个人身份要素、个人形象、角色等。在我国,理论上,关于个人信息的称谓,有叫个人资料的,也有叫个人资讯的,还有叫个人数据的,也有把私人信息和个人资料同时使用的,更有叫个人数据信息的。关于个人信息的称谓问题,笔者以为,所谓的个人数据、个人资料,其区别仅在于对英文data的不同翻译而已,故而没有本质的不同。不过,如果从信息技术的历史发展和准确性方面讲,由于在法律上使用的“个人数据”是与计算机技术密切相关的一个范畴,它只是个人信息的一种特定表现形式,具有载体上的特定性或技术上的特定化倾向。从立法对个人信息的保护而言,如果采取个人数据这个范畴,既容易使其他类型的个人信息无法纳入其中,也容易使人产生误解。所谓个人资讯,实际上是对personalinformation的另外一种中文翻译而已。而美国的“隐私”或“信息隐私”虽然在内容上都与个人信息相近,但是,其叫法与大陆法系和我国对隐私的一般理解相冲突,既不科学也容易使人误解。而“个人信息”则是一个上位概念,它在技术和载体上具有中立性,包括但不限于以电子介质在内的各种媒介为载体的和3各种符号所表示的各种形式的个人信息;同时,个人信息也是一个中国人习惯使用的概念。因此,个人信息是一个科学的概念,就立法称谓而言,采取此概念最为合理、妥当。鉴于个人信息是对个人身份的描述与反映,他人据此应该可以直接或间接识别出某一特定的自然人身份。考虑到各国及有关立法对个人信息的界定,笔者认为,个人信息应该是指那些能够据此直接指明或间接推断出自然人身份而又与公共利益没有直接关系的私人信息。值得注意的是,在目前的认识上,由于对信息这一范畴的认识存在分歧,很多人把个人名字、声音、形象或肖像等排除在个人信息范围之外,而是仅仅把以文字或文本形式存在的个人信息作为研究的对象。笔者认为,这种观念不利于从立法上统一规范这些个人信息,因此,本文所谓的个人信息包括但不限于以文本或数据形式存在的个人信息,还包括个人名字、声音、形象或肖像,乃至对个人行为的跟踪、记录。申言之,本文是在技术中立的情况下使用信息这一范畴的。(二)个人信息的分类信息是由符号表现出来的,符号是信息的具体表达形式。作为信息的一种形式,个人信息也是通过不同的符号表达出来的。按照表现个人信息的存在形式或表达符号不同,个人信息可以分为视觉个人信息、听觉个人信息、嗅觉个人信息、触觉个人信息等不同的形式。其中,我们一般所谓的个人信息大多是通过视觉和听觉形式表现出来的,由于这类个人信息是以纸张、胶片、磁盘等有形物质为载体的,因此,我们可以从视觉上感知这些信息的存在。鉴于目前大多数的信息技术又多是与这些有形介质密切相关的,因此,这种(存在)形式的个人信息是我们最常见和常用的个人信息;而嗅觉个人信息则由于其传播和固定技术难度上的原因而相对使用的较少。也正是由于这个方面的原因,目前出现的各种关于个人信息的分类,基本上都是对视觉个人信息所作的分类。因此,本文关于个人信息的分类,也同样是建立在对视觉个人信息的分类基础之上的。从既有的立法和理论上看,个人信息的分类方法很多,归结起来,主要有以下几种分类:1、按照个人信息的内容进行的分类按照这种分类方法,个人信息主要包括个人在通信信息、财务信息、医疗健康等身体、生理方面的信息、教育信息、信仰信息、基因信息及特定社会关系等方面的信息。这种分类虽然具有直观、具体的优点,但是,由于这种分类方法过于复杂,导致其分类标准往往不够统一,进而导致各种不同的分类之间在界限上并不十分清晰,彼此之间可能存在重叠之处。同时,更为重要的是,由于这种分类撇开了个人信息的本质属性,因此,这种分类的法律意义不大。2、按照个人信息的敏感程度将个人信息区分为敏感个人信息和琐碎个人信息并据此采取不同程度的保护措施是欧盟等许多国家和地区立法的做法。所谓的敏感信息,一般是指那些对个人有重要影响的个人信息。一般来说,敏感个人信息包括主体的种族起源、政治观点、宗教与道德信仰、、工会组织、代理关系及与此有关的诉讼、性生活等方面的个人信息。由此可见,它与个人隐私有很多的重合或重叠之处,但却又与人们一般意义上的隐私范围有所不同。而所谓的琐碎个人信息,是指个人信息中除了敏感信息之外的其他信息。由于这些信息对个人的影响不如敏4感信息那么大,因此,被称为琐碎个人信息。从有关立法的规定来看,之所以对个人信息作如此区分,乃是根据二者的敏感度不同而实行不同宽严程度的保护措施。一般来说,对于敏感个人信息,对其收集、加工和利用必需经过主体的明确同意,并需要采取严格和特殊的保护措施;对于琐碎个人信息,则往往不需要经过主体的明确许可,也不需要采取特殊、严格的保护措施。3、按照能否直接识别出主体身份按照能否直接识别出特定自然人身份、或者按照信息与主体之间的关联程度,个人信息可以分为直接个人信息和间接个人信息。前者是指那些据此可以直接识别自然人主体的个人信息,它一般包括姓名、肖像或形象、声音等;后者则是指那些必须借助于其他方法方能识别特定自然人身份的信息,它一般包括身份证号码、(如英国或美国等某些国家的)个人社会保障号码、基因信息等。另外,对于电子邮件信箱、电话号码等一般也可以作为间接个人信息标志。显然,这种分类具有相对性。毕竟直接和间接总是与识别的主体及其范围联系在一起的。比如,对于某一范围的群体来讲,大家都知道某一自然人的电话号码,因此,该号码对于该特定群体的人来讲就可以作为该自然人的直接标志;而对于其他不熟悉该自然人与该电话号码之间的特定联系的人而言,其电话号码对于该特定自然人就只能是其间接个人信息标志,因为,他们可以据此通过电信服务机构的信息登记处查询而获悉该号码的使用者就是该自然人,或者,虽然电信服务机构登记的电话使用人和实际的电话使用人不一致,但是,我们仍然可以从实际使用人那里获悉登记人的身份。由于直接个人信息和间接个人信息的分类具有相对性,而且没有从个人信息的功能、性质等基本属性方面出发,因此,该种分类在对不同类型的个人信息的确权和保护上不具有法律意义。4、按照与人格尊严是否有直接关系本文认为,虽然像欧盟《指令》等立法采取“敏感个人信息”和“琐碎个人信息”的分类方法有利于根据不同的个人信息分别给予强弱不同的法律保护,但是,其缺点也是非常明显的:首先,由于“敏感”一词的主观性太强,对于同样类型的个人信息,其敏感度完全可能因不同的主体又完全不同。因此,与将个人信息分为直接个人信息和间接个人信息一样,该种分类也具有相对性和不确定性。其次,“敏感”既不是一个严格的法律范畴,也无法从法律上对其进行界定。它与我们所谓的隐私虽有重合之处,但与我们法学上和日常生活中理解的隐私存在着很多不同。同时,更为重要的是,敏感与否不是对个人信息从本质属性上的区分,因此,该种分类无法从法律上对不同类型的个人信息提供不同性质的权利保护。本文认为,法律对于(权利)对象的分类,其主要目的就是根据其对主体的不同价值或功能而分别给予不同性质的权利保护。从根本上讲,权利对象对主体的价值或功能无非包括两个方面,即维护主体的人格尊严(或利益)和维护主体的财产利益。理论上讲,民法对于与人格尊严有直接关系的某种对象应该给予人格权保护,对于那些与人格尊严没有直接关系但却具有维护主体财产利益的对象应该给予财产权保护,对于那些兼有维护主体人格利益和财产利益的对象,则应该同时给予人格权和财产权保护。鉴于目前存在的各种分类方法都存在一个共同的缺陷,即不是根据个人信息的不同价值或功能进行分类,无法为法律针对不同类型的个人信息分别提供不同性质的权利保护提供理论依据。因此,科学、合理的分类方5法应该是根据信息与主体人格尊严是否有直接关系,将个人信息分为与人格尊严有直接关系的个人信息和与人格尊严没有直接关系的一般个人信息。其中,