2018论个人资料
「内容摘要」个人资料是指可以直接或间接识别该个人的资料。个人资料不同于个人信息和个人隐私,个人资料上有独立的法律利益。个人资料所体现的法律利益属于人格利益的一种,并不等同于或局限于隐私利益。个人资料保护应采取直接保护模式。 「关键词」 个人资料、个人隐私、人格利益、本人资料权对新生领域发生的问题进行专门立法,是世界各国立法的一个较为普遍的特色。个人资料的保护也是如此。自1973年瑞典政府制定《资料法》以后,各发达国家普遍开展了个人资料的专门立法。由于个人资料是一个崭新的法律现象,各国学界和立法对个人资料的认识也并不一致,最直接的表现是个人资料在各国立法上被分别冠以不同的称谓。采用“个人隐私”称谓的立法例主要有:1974年美国《隐私权法》、1981年以色列《隐私保护法》、1987年加拿大《隐私权法》、1988年澳大利亚《隐私权法》、1992年比利时《个人资料处理时保护隐私法》等;采用“个人信息”称谓的立法例主要有:1978年奥地利《信息保护法》、1984年英国《自动化处理个人信息的利用与将其提供于公务规范法》等;采用“个人资料”称谓的立法例主要有:1978年法国《资料保护法》、1981年冰岛《有关个人资料处理法》、1978年挪威《个人资料登录法》、1987年芬兰《资料保护法》、1988年日本《有关行政机关电子计算机自动化处理个人资料保护法》等。中国政府已经将个人资料保护问题列入立法计划.对个人资料进行科学定性不仅仅是法学研究所应该解决的一个理论问题,也是立法的迫切需要。
从法学的视野出发对个人资料进行科学定性是进行个人资料保护立法的基础。
一、个人资料的概念选择
关于个人资料,我国学界也有不同的称谓。有学者将个人资料称为“个人信息”,也有学者称为“个人隐私”.其实,“资料”、“信息”和“隐私”不仅仅是称谓不同,而是有独立的外延和内涵的不同概念。从信息科学的角度看,“资料”(Data)是指用有意义的、可以识别的符号对客观事物加以表示得到的符号序列,是代表人、事、时、地的一种符号序列(不以文字为限)。信息(Information)是指资料经过处理后可以提供为人所用的内容。从资料与信息的关系看,数据是信息的载体,信息是数据的内容。个人信息是个人资料的内容,个人资料是个人信息的物化形式。个人信息的表现和存在方式是多种多样的,并不一定表现为个人资料,没有物化成个人资料的信息大量存在,比如一个人自然表现出的个人属性。对个人资料进行立法保护的目的在于保护以个人资料形式存在的个人信息,而并不是所有的个人信息。个人资料的最基本单位是资料元素,由文字、数字和符号构成。由资料元素的组成资料单位,如生日中的年、月、日构成一个资料单位。几个资料单位组成资料组,由资料组组成资料档案.个人资料这一概念具有确定性,而个人信息往往因收集者的主观目的不同而有差别。“个人资料”和“个人隐私”也是不同的概念。很多个人资料并不涉及个人隐私,比如公开资料和琐细资料。法律对个人资料的保护,是对满足一定条件的全部个人资料进行全面保护,并不仅限于保护本人的隐私利益。
关于个人资料的定义在理论界较有代表性的有两种:(1)个人信息型定义。有学者认为“所谓个人信息,包括人之内心、身体、身份、地位及其它关于个人之一切事项之事实、判断、评价等之所有信息在内。换言之,有关个人之信息并不仅限于与个人之人格或私生活有关者,个人之社会文化活动、为团体组织中成员之活动,及其它与个人有关联性之信息,全部包括在内。”;(2)隐私型定义。美国Parent教授认为,“个人信息系指社会中多数所不愿向外透露者(除了对朋友、家人等之外);或是个人极敏感而不愿他人知道者(如多数人不在意他人知道自己的身高,但有人则对其身高极为敏感,不欲外人知道)。”关联型定义失之过宽;隐私权型定义不但混淆了个人资料与隐私的概念,而且失之过窄。笔者主张“识别型”定义:个人资料是指个人的姓名、性别、年龄、血型、健康状况、身高、人种、地址、头衔、职业、学位、生日、特征等可以直接或间接识别该个人的资料。所谓“识别”,就是指资料与资料本人存在某一客观确定的可能性,简单说就是通过这些资料能够把当事人直接或间接“认出来”。识别包括直接识别和间接识别,直接识别就是通过直接确认本人身份的个人资料来识别,比如身份证号码、基因等;间接识别是指现有资料虽然不能直接确认当事人的身份,但借助其它资料或者对资料进行综合分析,仍可以确定当事人的身份。一般而言,姓名可以构成“直接识别”,但在有几个相同姓名的人的情况下,还要依靠生日、地址、职业、身高等资料才能识别。在国外的立法上,关于个人资料的定义方式有两种。《德国联邦个人资料保护法》第二条规定,个人资料是指“凡涉及特定或可得特定的自然人的所有属人或属事的个人资料。”有人称之为概括型。我国台湾《电脑处理个人资料保护法》第三条第一款规定,“个人资料指自然人之姓名、出生年月日、身份证同意编号、特征、指纹、婚姻、家庭、教育、职业、健康、病历、财务情况、社会活动等足资识别该个人之资料。”有人称之为列举环境概括并用型。这两种定义方式都是从资料与资料本人的关系出发,明确界定法律应保护的个人资料的范围,虽然定义方式不一样,但同属“识别型”定义。
个人资料是一切可以识别本人的资料的总和,这些资料包括了一个人的生理的、心理的、智力的、个体的、社会的、经济的、文化的、家庭的等等方面。这些方面包括健康情况、犯罪记录、性活动、名誉等涉及人格权的事项,也包括了著作和财产等涉及财产权的事项。个人资料主要具有如下特征:
1、个人资料的主体是个人。个人指基于“出生”的法律事实而取得民事主体资格的自然人。
2、个人资料可以直接或间接识别本人。能直接识别本人的个人资料,如肖像、姓名、身份证号码、社会保险号码等;不能单独识别本人,但与其他资料相结合才能识别本人的资料称之为间接个人资料,如性别、爱好、兴趣、习惯、职业、收入、学历等等。
3、个人资料并不必然为个人资料本人所知。个人资料保护法保护的不仅是本人知道的个人资料,而且也保护本人不知道的个人资料,如被网络服务提供商非法收集的个人资料、医生掌握的绝症患者未知的医疗资料等等。
4、个人资料既有人格属性,同时也具有财产属性。作为属人或属事之个人资料,可以全面反映个人资料本人的个人属性,所谓可以构成本人的“资料形象”。同时,个人资料是一种社会资源,可以产生财富并用以交换。个人资料数据库一旦被利用将会给利用者带来丰厚的收益。
二、个人资料的基本法律类别
根据不同的标准,个人资料可以划分为不同的类别:
1、根据能否直接识别自然人为标准,个人资料可以分为直接个人资料和间接个人资料。所谓直接个人资料是指可以单独识别本人的个人资料。间接个人资料是指不能单独识别本人但和其他资料结合可以识别本人的个人资料。挪威《个人资料保护法》明确地将间接个人资料纳入保护法的范围,其第一条规定:“能间接地确认本人的资料构成个人资料。”德国和丹麦等大多国家立法均将间接个人资料视为个人资料。法律划分直接个人资料和间接个人资料的目的在于一般而言,对直接个人资料的侵害后果比间接个人资料更为严重。
2、以个人资料是否涉及个人隐私为标准,个人资料可以分为敏感个人资料和琐细个人资料(trivial data)。敏感个人资料,是涉及个人隐私的资料。英国1998年《资料保护条例》规定:敏感个人资料是“由资料客体的种族或道德起源,政治观点,宗教信仰或与此类似的其他信仰,工会所属关系,生理或心理状况,性生活,代理或宣称的代理关系,或与此有关的诉讼等诸如此类的信息组成的个人资料”。琐细个人资料是指不涉及个人隐私的资料。瑞典《资料法》规定“很明显的没有导致被记录者的隐私权受到不当侵害的资料”,为琐细资料。琐细资料同样应该受到保护法的保护。许多看上去是相当不重要的个人资料,如果经过用心收集整理,亦能结合成一个资料人格图,就如同利用许多各色散碎的纸片拼成一幅完整的图案。因此不应该简单以个人的某种利益(如隐私)为指针确定保护法的范围,而应该对个人资料给予全面保护。德国联邦法院在1983年的《人口普查法》判决中宣称,“在自动化资料处理的条件下,不再有所谓不重要的资料”。法律划分琐细个人资料和敏感个人资料的目的在于二者的保护方式与程度不同。一般而言,对琐细资料的收集和处理可以不经过许可制度。挪威《个人资料保护法》规定,收集和处理不需要经过国王许可的资料为琐细资料。瑞典《资料法》在1979年修正后规定(第二条),琐细资料的处理不需要经过资料检察院的许可。与此相反,法律对敏感个人资料的收集和处理,一般需要给予特殊保护。1995年欧盟个人资料保护指南第8条规定,对于敏感的个人信息,要给以特殊的保护。在处理这些敏感信息的过程中,要采取特殊的保护措施。
3、以个人资料的处理技术为标准将个人资料划分为电脑处理个人资料与非电脑处理个人资料。电脑处理,是指使用电脑或自动化机器为资料输入、储存、编辑、更正、检索、删除、输出、传输或其他处理。将个人资料划分为电脑处理的个人资料和非电脑处理的法律意义在于,电脑处理的个人资料更容易受到侵害。有很多国际组织和国家的个人资料保护法仅保护电脑处理的个人资料,将非电脑处理的个人资料排除在保护法的范围之外。欧盟1981年《自动化处理中个人资料保护公约》所下的定义:“(资料保护是)指对于个人在面临关于其个人资料之自动化处理时,所给予之法律上保护”。我国台湾的立法更直接以《电脑处理的个人资料保护法》来命名。笔者主张,应该对个人资料进行同等保护,而不以其采用的技术不同而有区别。非电脑处理的个人资料,如指纹、声音、照片等有与电脑处理的个人资料具有同等的保护价值,并不能因为信息社会的到来而忽视传统的个人资料。
页:
[1]