【文章编号】1002—6274（2020）04—003—12




【内容摘要】从信息社会的基本内涵、特征出发，处理个人信息问题时需协调个人信息保护与信息流动的关系，构建政府、信息处理者以及信息主体之间共生共存关系。首先，《民法典》第1034条规定了比较窄的个人信息范围，没有完全反映技术的发展，也没有完全覆盖信息主体的核心利益。其次，《民法典》将个人信息分为私密信息、公开信息以及一般个人信息，对于私密信息，通过隐私法与个人信息保护法双重保护，但双重保护会带来规则之间的冲突，也没有必要性。依据《民法典》，信息主体享有查询、复印、更正以及删除等权利。这些权利均不构成对信息的收集、处理与流动的障碍，属于信息主体的核心利益。最后，《民法典》第1035条规定了收集、处理个人信息应当遵循的原则。适用该规则的主体既包括信息收集者，也包括信息处理者，甚至包括信息处理各个环节的主体。信息处理者在收集、处理个人信息时，应当合法、正当、必要且最小够用。最为重要的是，信息处理者在收集、处理个人信息时，须取得信息主体的同意。知情同意是信息主体的核心利益，不可让渡。
【关键词】个人信息　信息主体　私密信息　信息控制者　信息处理者
【中图分类号】DF51　【文献标识码】A
　　当今社会，电子信息技术蓬勃发展，数据挖掘、处理能力极大地增长。基于信息技术的智能工具日益成为表征性的社会工具，信息产业成为基本社会产业，信息产品越来越成为表征性的社会产品，信息、知识成为重要的生产力要素，人类社会已经从工业社会转向信息社会。［1］
　　信息技术处理的“原料”是数据、信息、知识，信息成为社会发展的基本资源，通过信息的创新、共享、传播和创造性使用，大幅度地提高知识生产率和生产力水平。［2］一方面，传统产业经营者大量收集和处理个人信息，以把握市场需求、提高生产能力、获得高额回报；另一方面，还出现了专门收集、处理信息的信息服务提供者。而信息资源主要来自于个人，个人信息对于社会发展、经济发展起到了基础性作用。
　　信息社会的核心价值理念是“自由、开放与共享”，［3］其天然地要求个人信息向社会输出。但个人信息本身又是个人人格的组成部分，与人不可分离，其本质要求封闭式的保护，最理想的保护模式就是隐私权保护模式。由此形成了个人信息保护与个人信息收集、处理与流动之间的矛盾。个人信息法的主要任务就是处理这一对矛盾。比较新近的欧盟《一般数据保护条例》在“鉴于条款”第2条就做了这样的规定：“本条例致力于实现自由、安全、公平和经济联盟，致力于经济和社会进步，加强并聚集内部市场的经济，实现个人的幸福”。《民法典》关于个人信息保护规则也是建立在个人信息保护与数据流动之间的平衡的基础之上。［4］P203
　　信息社会中，对于个人信息享有独立利益的主体日益多元化。信息业者在个人信息的收集与处理中享有巨大的商业利益，而国家也不是超然的法律规则制定者和执行者，同时也是个人信息最大的收集、处理、储存和利用者。［5］政府之所以收集处理个人信息，一方面是为了社会管理与社会福利的增进，另一方面是为了提高行政能力与行政效率。有意思的是，自然人个人、信息业者与政府之间，在个人信息收集、处理、利用方面处于共生关系之中，相互依存。个人信息的收集、处理、利用往往对彼此都有利。比如，企业收集处理数据，固然存在独立的经济利益，但个人也具有利用信息包括利用他人个人信息的需求。［5］所以，在个人信息保护与利用方面，需要平衡个人对个人信息保护的利益、信息业者对个人信息利用的利益和国家管理社会的公共利益。个人信息保护法要保护各利益主体的核心利益，但相应地各利益主体也需要让渡其非核心利益。［5］
　　《民法典》总则编中规定了个人信息保护的一般原则，与此同时人格权编第六章“隐私权和个人信息保护”中规定了个人信息保护的基本框架规则，具体包括个人信息的界定、个人信息处理的原则、个人信息保护的边界等。这些规范构建了未来个人信息保护法的制度框架与基础。不过，需要解释的是，在信息社会基本价值理念下，个人信息的范围有多大，个人信息中含有何种利益，其权利边界何在，对于个人信息的收集与处理的前提是什么。
一、信息社会中个人信息的界定
　　信息社会中，随着技术发展，越来越多的个人信息作为国家、社会与经济的原材料，［6］而相应地，法律对于个人信息的界定也随之不断发展。比如，在房地产交易中，国家要求当事人进行网签，对于当事人的个人信息、交易信息乃至财产信息均予以采集、处理。在防疫阶段，社会组织也搜集了大量个人身份信息与个人行为轨迹。在经济上，国家电网通过用电量、用电习惯也可以进行精准分析个人消费习惯乃至进行环境保护分析。
（一）个人信息内涵的沿革
　　早在2000年12月28日，全国人大常委会《关于维护互联网安全的决定》第4条规定“非法截获、篡改、删除他人电子邮件或者其他数据资料，侵犯公民通信自由和通信秘密”可构成犯罪，其中仅列举规定了电子邮件和其他数据材料等个人信息，既不全面，也没有抓住个人信息内涵的本质。2012年全国人大常委会《关于加强网络信息保护的决定》第1条以抽象概括的模式规定了个人信息，即能够识别公民个人身份和涉及公民个人隐私的电子信息的权益。这一规定抓住了个人信息内涵的本质，但不完全。
　　2013年，《电信和互联网用户个人信息保护规定》第4条采取了比较全面的列举与概括的模式规定了个人信息的内涵。所谓个人信息，是指电信业务经营者和互联网信息服务提供者在提供服务的过程中收集的用户姓名、出生日期、身份证件号码、住址、电话号码、账号和密码等能够单独或者与其他信息结合识别用户的信息以及用户使用服务的时间、地点等信息。2017年6月实施的《网络安全法》第76条也采纳了这种定义的模式，其规定的个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。至此，现行法比较准确地界定了个人信息的内涵，并且基本上能够与现代信息技术的发展相适应。
（二）《民法典》中个人信息的新发展
　　《民法典》第1034条规定：“个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息，包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱地址、行踪信息等。”
　　首先，有疑问的是，个人信息的形式是否限于电子形式。全国人大常委会《关于加强网络信息保护的决定》中明确使用的是“公民个人电子信息”的概念，而《电信和互联网用户个人信息保护规定》则没有明确限制个人信息的表现形式，《网络安全法》更是明确了个人信息可以是电子或其他形式记录的。《民法典》第1034条也明确了个人信息可以是电子的，也可以是其他方式记录的。一些采用传统形式处理的有关个人的信息也应当在个人信息概念的涵摄之下，比如纸版呈现的个人信息。
　　其次，在个人信息列举的层面，与《网络安全法》第76条相比，《民法典》第1034条增加了电子邮箱地址和行踪信息两个新的类型。［4］P209但该条并没有穷尽目前技术手段下可能的个人信息类型，比如IP地址等网络日志信息、手机广告标识符或者如mac等永久标识符等设备地址、浏览记录等无法直接识别用户身份，但可与其他信息结合识别用户身份的信息。根据欧盟《一般数据保护条例》第4条第1款的定义，个人数据是指关于已经识别或可识别的自然人（或称数据主体，Data Subject）的任何信息，可识别的个人是指可以直接或间接、特别是通过姓名、身份证号码、位置数据、在线标识（Online Identifier）或身体、生理、基因、精神、经济、文化或社会身份之一或若干特定因素而可识别的人。相较于欧盟《个人数据保护指令》，［7］《一般数据保护条例》关于个人信息的界定增加了个人位置数据、在线标识等具体的类型，反映了现实中信息技术发展带来的新问题，使得个人信息的概念更加清晰、更加便于判断。
　　再次，“可识别”所指向的应当并非是自然人的整体，而是针对自然人的身份或者某一身份要素，甚至针对的是用户所使用的设备标识。［8］随着科学技术的发展，只要能通过大数据分析，识别自然人的某一身份，就可以带来巨大商业利益。从反面讲，也可能通过某一身份的识别对个人人格形成侵害。所以，《民法典》第1034条应当全面列举个人信息自然属性以外的精神、经济、文化以及社会等属性。［9］欧盟《一般数据保护条例》第4条第1款即明确列举了身体、生理、基因、精神、经济、文化或社会等因素。
　　最后，个人的信息核心要件是个人信息的可识别性，［4］P209对于不可识别的个人信息，并不受《民法典》中个人信息保护法的保护。
　　传统的保护隐私的方法是不允许第三人对外披露，但对于个人信息不能作如此简单的处理。在个人信息处理上，信息的流动带来了巨大的商业利益，并拓展了人类决策能力。将个人信息投入商业利用，就必须在一定程度上向第三人公开。而如果一旦向第三人公开，就有可能侵害个人信息自决权。所以，为了平衡个人信息的利益与商业利益，只有可直接或间接识别的个人信息才是确立法律保护的个人信息。通过可识别性这一概念，兼顾了信息流动的好处和对个人信息的有力保护。
　　为了达到个人信息不可识别的目的，网络经营者要对个人信息进行匿名化处理，匿名化有助于在保护个人信息的同时，促进个人信息的自由流通。［10］具体而言，匿名化是对个人数据的修改，匿名化后，该信息与个人就不再相关联。采用的具体手段有泛化、压缩、分解、置换以及干扰等。
　　除了匿名化方式，还有假名化处理方式。假名化是指不附加信息即无法将个人数据归属到特定数据主体，可以是以特定的标志替代姓名或其他特征。与匿名化的常用工具不同，假名化无需将个人数据移除或隐藏起来，更多地是将一个直白的文字转化为令人无法理解的密码。例如：真实的个人数据是“王大明，65岁，糖尿病患者”，而假名数据可能是“00108，65岁，糖尿病患者”。［8］而且，假名化需要额外的技术与组织手段保障。必须加密信息，并由少数人保有密匙。假名化下识别个人信息的风险要大于匿名化下识别个人信息的风险，因此，通常情况下，假名化的个人信息是可识别的，至少是可间接识别的。只有在假名构成通过技术保障数据适当方法使个人信息不可识别的情况下，假名化的个人信息才是不受保护的信息，不适用个人信息保护法下的各种规则。［11］P15
　　值得注意的是，在计算机信息技术发达的社会，匿名化是相对的。在大数据时代，由于信息量庞大，通过再识别技术以及去识别化技术，将匿名的记录与外部信息相联系起来，即可以发现隐私数据，挖掘数据主体的真实身份。所以绝对的匿名化是做不到的，只能在一定程度上避免数据信息被特定到个人。［12］
　　在个人信息的判断上，《民法典》采取了绝对标准与相对标准相互结合的方式，如果数据本身即可以指向个人身份，即构成受保护的个人信息，即绝对性标准，只要任何人可能将处理的数据与个人联系在一起，即构成受保护的个人数据。［13］除此之外，如果信息与其他信息结合可以识别自然人个人身份的各种信息，也是受保护的个人信息，而且，这里的其他信息未必是信息控制者或者处理者所占有的信息。对于可识别的个人信息，采取的是相对标准，即如果对控制人或处理人而言，基于其无须不成比例的努力可接入其他额外信息的机会，识别数据主体是可能的，那么就是可识别的数据，受保护的数据。综合来看，《民法典》保护的可识别个人信息有两种：一种是通过该个人信息可以直接“认出来”自然人。另一种是，该个人信息要结合其他信息，间接地可以“认出来”自然人。进一步来看，认出来“自然人”的含义，主要是指“认出来”自然人身份，而且，未必是全面“认出来”自然人各种身份，也可以是“认出来”自然人社会、经济、文化等身份中的一个身份，甚至是设备终端。
　　在“北京百度网讯科技有限公司与朱烨隐私权纠纷案”中，百度网讯公司利用cookie技术收集朱烨信息，并在朱烨不知情和不愿意的情形下进行商业利用，问题的焦点在于，该个人信息是否具有可识别性。对此，二审法院认为：百度网讯公司在提供个性化推荐服务中运用网络技术收集、利用的是未能与网络用户个人身份对应识别的数据信息，该数据信息的匿名化特征不符合“个人信息”的可识别性要求。[2]不过，值得质疑的是，法院在这里使用的可能是直接识别的概念，若将个人信息保护范围扩展到间接识别的范畴内，法院的处理就不恰当了。在该案中，百度网讯公司可以精准销售，已经意味着间接识别到了原告的身份或使用的设备。
　　之所以将可识别性扩大到间接识别，主要原因在于：在现实中，如果需要在时间、成本与人力上花费不成比例的努力才可能识别个人数据的情况下，识别的风险似乎是微不足道的。［11］P12因此，如果识别到个人所缺失的信息很容易获得的情况下，如在网络上或者商业信息服务中可获得或者很容易获得的情况下，即可以认定可识别的个人信息。所以，在确认可识别性上，首先考虑识别所需的时间与成本，除此之外还需考虑在处理时可能的技术以及技术发展，但并不要求控制与处理人在做出决断处理过程中考虑可预见的或可能的技术发展，只是对各种数据处理技术进行风险评级，定性定量；再次，需要考虑处理的目的，区分为了研究目的、商业目的以及某些具有恶意主观目的等；最后，还要考虑个人信息公开的范围，如果数据匿名化之后被公布，则除了数据控制者之外，还要考虑能够获得该数据的第三方，其所能够获得的数据资源，数据能力，以及在此基础上对匿名化数据重新恢复身份的可能性。［8］
　　在信息透明的时代，匿名化有时也会带来人格权保护的窘境，比如匿名者或者假名者侮辱、诽谤他人的情况，匿名保护了匿名者或假名者自己的自由，却使得相对人无法追究匿名人的责任。［14］通过可识别标准，保护信息主体的核心利益，而信息主体也让渡了不可识别的个人信息这一非核心利益。匿名化处理的个人信息，无法直接或间接地识别个人，所以就丧失了个人信息的最本质特征，因而也就已经不再属于个人信息。信息处理者即可以进行自由处理，包括不经信息主体同意而向他人提供（《民法典》第1038条第1款后段）。［4］P227
二、信息社会中个人信息的赋权
　　在《民法典》制定过程中，个人信息是一种权利，还是一种权益，是一种什么样的权利，是一个争论最多的问题。肯定论者认为，个人信息是一种权利，而且是一种具体人格权。［9］［15］［16］个人信息权是指自然人依法对其本人的个人身份信息所享有的支配并排除他人侵害的人格权，包括保有、决定、知情、更正、锁定等权利内容。［17］［18］P137反对论者则认为，个人信息的若被界定为绝对权和支配权，会造成信息无法自由地流动，将每个人变成一座孤岛而无法进行正常的社会交往。［19］而且，绝对权模式下无法承载不同价值和利益的平衡。
　　对此问题，《民法典》总则编第111条只是笼统地规定了个人信息受法律保护，没有具体规定“个人信息权”受法律保护。《民法典》人格权编第六章的标题是“隐私权和个人信息保护”，同样也没有规定个人信息权。由此可见，《民法典》的起草人经过研究比较，最终还是采用了个人信息保护的表述，这主要是因为个人信息的保护中要适当平衡信息主体的利益与数据共享利用之间的关系，并且不会形成绝对权的误解，从而有利于数据的共享、利用以及大数据产业的发展。［4］P213
　　其实，个人信息到底是不是权利，涉及对权利的界定。权利既有利益的内容，也具有个人意志支配力量的内容。［20］P499个人信息本身是符合权利这两个内涵的：其一，个人信息具有利益的内容，主要体现为个人自决的利益以及可被利用的利益，其二，个人信息中也含有支配的力量，《民法典》人格权编就规定了个人信息的查询权以及删除权等。所以，不可否认个人信息是一种权利。但这种权利，不同于私法上的权利。私法上权利，一经同意转让，即权利用尽，不能再请求返还或者更正，受让人再利用时，也无须在内容、范围、转让对象上受制于原权利人。但在个人信息权情况下，经过个人信息权利人同意而收集之人，再次利用或者扩大范围利用时，还是需要经过个人信息权人的再次同意，而且，个人信息权人一定条件下可以请求更正或者删除，甚至可以行使携带权。
　　另外，个人信息也不是一种人格权。对于人格权，一般认为是一种绝对权，具有排他性。［20］P512个人信息权往往不具有排他性，民事主体可以收集、处理个人信息，但要经过个人信息权人同意，并遵守公开、合理等原则。而且，个人信息也不一定含有任意处分的内容，如对姓名、头衔、学历、家庭住址等个人信息，没有完全自决的可能性。［21］另外，并非所有的违反个人信息保护法的信息处理行为都侵害了他人的人格权，比如故意错误传递信用信息，并不会使信息主体的名誉当然受到侵害。［21］个人信息只是中含有一定的利益，如知悉个人信息被处理的利益、个人信息正确和完整的利益、个人信息处理须符合特定目的的利益以及隐私利益，［21］并含有查询、更正等法律之力。所以，个人信息权只能是一种独立的权利。
（一）个人信息的分类保护
　　《民法典》中区分了一般个人信息、私密信息以及公开信息，对于私密个人信息加强保护，对于公开信息则采取了弱化的保护。
　　1.属于私密信息的个人信息
　　在人格权保护体系思路下，《民法典》并列规定了隐私权与个人信息。《民法典》第1032条第2款将隐私区分为三类：私密空间、私密活动以及私密信息。而《民法典》第1034条第3款规定了“个人信息中的私密信息”，也就是说，有些私密信息可能属于个人信息，对于个人信息中的私密信息要特殊保护。
　　首先需要澄清的是，私密信息与个人敏感信息的关系是什么。《信息安全技术：公共及商用服务信息系统个人信息保护指南》区分了个人敏感信息和个人一般信息。而所谓个人敏感信息，是指一旦遭到泄露或修改，会对标识的个人信息主体造成不良影响的个人信息。各行业个人敏感信息的具体内容根据接受服务的个人信息主体意愿和各自业务特点确定。例如个人敏感信息可以包括身份证号码、手机号码、种族、政治观点、宗教信仰、基因、指纹等。[3]对此，有学者认为，来自域外立法的敏感的个人信息所包含的范围非常广泛，但其中很多不适合我国国情。［22］还有学者认为，个人敏感信息界定为“会对个人信息主体造成不良影响”，过于宽泛，而且也折损了敏感信息与一般信息的区分意义。［5］对于个人敏感信息的界定应考虑我国文化传统、社会普遍价值观、法律传统、风俗习惯等因素。所以，应将个人敏感信息限缩为“个人敏感隐私信息”，即关涉个人隐私核心领域、具有高度私密性、对其公开或利用将会对个人造成重大影响的个人信息，如有关性生活、基因信息、遗传信息、医疗记录、财务信息等个人信息。［5］
　　2012年最高人民法院《关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》第12条首次采用了个人隐私信息的思路，其规定网络用户或者网络服务提供者利用网络公开自然人基因信息、病历资料、健康检查资料、犯罪记录、家庭住址、私人活动等个人隐私和其他个人信息，造成他人损害，被侵权人请求其承担侵权责任的，人民法院应予支持。
　　基于上述考虑，《民法典》没有采纳个人敏感信息的概念，而是使用了“个人信息中的私密信息”这一表述。欧盟《一般数据保护条例》在明确区分二者的基础上，原则上禁止个人敏感信息的收集和处理，但《民法典》并无类似的禁止规则，只是在保护上可以适用隐私权法规则，以加强保护。［4］P213《民法典》第1034条第3款规定：个人信息中的私密信息，适用有关隐私权的规定；没有规定的，适用有关个人信息保护的规定。实际上将个人信息区分为私密信息的个人信息以及一般的个人信息。对于私密信息的个人信息，进行特别保护。首先，私密信息是一种隐私，受隐私法保护，其次，隐私法中没有规定的，而个人信息保护法中有规定的，对私密信息也适用，比如同意规则、公开、明示等规则以及查询权、更正权等规则。实质上，这类个人信息处于双重保护的地位。
　　在权利性质上，隐私权与个人信息权益都是一种个人自主决定权，都是自然人专属的权利，都是人格尊严和个人自由的体现。［5］［15］而且，二者的客体上有交叉重叠之处。某些未公开的个人信息可能属于隐私，比如个人家庭住址、银行账户等；反过来某些隐私也属于个人信息的范畴，如个人通讯隐私、谈话的隐私等，都可以通过技术的处理而被数字化。［5］［15］其实，隐私与个人信息的载体是不一样的，这会导致二者保护的对象是不同的，前者是不愿意为他人所知的事实，而后者针对的是可识别的数据。但同一侵权行为可能会同时导致对隐私权与个人信息权的侵害，比如，随意传播个人病历资料，既会造成对个人隐私权的侵犯，也会侵犯个人信息权。［15］但在法律适用上，应区别适用，不应该将隐私权规则与个人信息保护规则同时适用于私密信息。
　　在规则适用上，如果同时适用隐私权规则与个人信息规则，会产生冲突，比如，经过匿名化处理的私密信息，在个人信息保护法上是不受保护的，那么在隐私法上，是否受保护呢？虽然别人无法识别到自然人个人，但该信息还是自然人的私密信息，如果因为个人信息保护法的原因，不保护，对隐私权规则是一个违反；反过来，若是保护，个人信息权利不就成为了绝对性权利了吗。再如，个人信息收集时须经自然人同意，而且，若再次转让或者扩大范围使用时，也需要经过自然人同意。而对于私密信息之隐私权，经过同意而公开，则不构成侵权，而且，一旦公开，就没有二次利用的可能。此时，私密信息的同意规则是否适用于再次利用的情况呢？
　　另外，通过cookie等技术手段收集、处理未公开的隐私范畴的信息，只要遵循知情同意以及公开、合理使用都能规则，就不会构成隐私权的侵害。［6］《民法典》第1033条