第一章 网络个人信息权利概述
第一节 网络环境下的个人信息
一、个人信息的概念与分类
(一)个人信息的概念
个人信息这一法律用语,在世界各国和各地区有不同的称谓,不同的学者对其所作的定义也是互不相同。虽有相同或者类似的意思,但个人信息的其他几个常见的名称有"个人数据"、"个人隐私"、 "个人资料"、"个人档案"等等。
在个人信息的定义上, 各个国家和地区略有不同。《德国个人资料保护法》第2 条将个人信息定义为:"凡涉及特定或可得特定的自然人的所有属人或属事的个人资料". 根据《英国资料保护法》第 1 条的规定, 个人信息是指可以直接或者间接识别一个活着的人所有资料, 包括个人观点的表达、个人意图的表达等。我国台湾地区"电脑处理个人资料保护法"第 3 条第 1 款规定:"个人资料是指自然人姓名、出生年月日、身份证统一编号、特征、指纹、婚姻、家庭、教育、职业、健康、病历、财务情况、社会活动等足资识别该个人之资料".
,韩国《个人信息保护法》对个人信息的含义作出明确的界定,即个人信息是关于自然人的信息,是指可以通过姓名、居民身份证号码及影像等能够识别个人(包括即使根据相应信息不能识别特定个人但与其他信息结合后易于识别的信息)的信息。从以上界定中可以看出,个人信息包含两个范围的信息:一是易于识别的自然人信息,即通过姓名、身份证号码等能够识别个人的信息;二是不易于识别的自然人信息,即虽然属于个人信息但因匿名性难以识别个人的信息,但是即使是这样的信息,如能够与其他有关的个人信息结合起来识别个人的情况下,就属于个人信息保护的范围。可见,韩国《个人信息保护法》对个人信息作出较为宽泛的界定,从而进一步扩大了个人信息保护的范围。
我国学者齐爱民认为:"个人信息" (information relating to individuals),是一切可以识别本人的信息的总和,这些信息包括了一个人的生理的、心理的、智力的、个体的、社会的、经济的、文化的、家庭的等等方面。个人信息的收集和利用自古有之,但是在社会信息化转型的今天表现得尤为突出。
而网络时代的个人信息除上述信息经过数据加工处理后留存外,还涵盖个人在网上活动、网上空间等方面的信息资料。商家甚至可以根据个人在虚拟空间的活动轨迹的描述,来分析有关个人购物心理、消费习惯等信息。
对个人信息概念的正确定义以及准确确定其概念内涵与外延,直接关系到一国对个人信息保护范围的界定。因此,笔者认为,我们应该在广泛借鉴各国现行立法中所使用的定义的基础上,参考学者的建议,制定符合中国国情和现实状况的定义。
(二)个人信息的分类
以个人信息是否公开为标准,可以分为公开的个人信息和未公开的个人信息。
其中,公开的个人信息,又可以进一步分为个人信息主体同意公开或者信息控制者有权公开的合法公开信息。对公开的个人信息,法律一般不对其使用和加工处理加以限制,但若可能对当事人的重大合法利益造成损害的,则不得使用或加工处理。对于未公开的个人信息,信息主体一般有权决定是否公开、何时公开以及以何种方式公开,除非信息管理人有权自行决定公开而无须得到信息主体的事先同意。对个人信息作这样的分类,其意义在于法律对于个人信息的保护必须考虑信息主体是否对该信息的公开采取同意或者默认态度之因素。不是所有的个人信息都是隐私,是否是作为不可以公开的隐私信息,也是因人而异,因场合而异的。
按照个人信息的内容来分类的话,个人信息可以分为生理信息、社会关系信息、个人经历信息、个人通信信息、金融信息等。生理信息一般包括身高、体重、血型、性别、基因、肤色等等。社会关系信息包括父母姓名、兄弟姐妹工作单位、经常交往的朋友情况等信息。个人经历信息包括学校名称、学历状况、工作经历、接受培训经历等信息。个人通信信息包括家庭地址、电子邮件地址、手机电话号码、固定电话号码等信息。金融信息包括银行账户信息、金融资产数额与种类、债务人姓名、投保状况等信息。将个人信息按照内容来划分,比较容易理解,但缺点是分类标准不统一,彼此之间可能有重叠,因此这种分类方法对我们研究网络环境下个个人信息的实际意义并不大。
按照个人信息是否识别出主体身份进行分类,个人信息可以分为直接个人信息和间接个人信息。直接个人信息是指可以直接识别主体身份的个人信息,比如:
肖像、姓名、说话的声音等,凭借这些信息可以直接将主体身份加以识别。而间接个人信息则是指需要通过调查或者其他手段才能识别出主体身份的个人信息,比如:电话号码信息,必须是熟悉该号码的人才能识别出主体身份;手机号码信息,必须到移动通信公司查询后才能识别主体身份,如果没有作实名制登记的手机号码信息,则无法简单识别,必须借助其他手段才可能识别出来。对个人信息进行这样的分类,对个人的权利保护是有意义的,因为作为人格权保护对象的姓名权、肖像权等,都是以直接个人信息作为调整对象的。然而,随着网络的兴起和电子技术的高度发展,间接个人信息开始充斥我们的生活,更多的带有网络符号的个人信息如 QQ 号、微博账号、网名、网络用户名等间接个人信息在社会经济生活中的重要性日益增长,其财产权的保护问题成为我们必须加以研究的重要课题。存在于网络环境的间接个人信息值得我们加以重点关注。
以个人信息是否敏感为标准,个人信息可以分为敏感个人信息和一般个人信息。所谓敏感个人信息,是指对个人具有重大影响、具有特殊风险的信息,比如:
种族、宗教信仰、健康状况、性生活、政治观点、犯罪记录等。而一般个人信息,又称琐细个人信息,是指敏感个人信息以外的个人信息。对个人信息作如此划分,符合欧盟的立法特色,这种划分方式在 1995 年的欧盟《个人数据保护指令》中也得以体现。但敏感信息的具体内容,因民族历史文化背景和个人的差异而有不同,在某国只能作为一般个人信息的个人信息,到他国就可能变为高度敏感的个人信息。然而,目前世界各国对敏感个人信息的界定存在共识的内容包括:第一,有关种族、人种、宗教信仰内容的个人信息;第二,关于个人违法犯罪方面的信息;第三,有关健康状况、特殊体质、性行为的信息。对于敏感个人信息,法律一般是禁止其被自动收集和与加工处理的。因此,在社会生活的各个领域,只要涉及到个人的敏感信息,必须引起足够的注意,必须将其与一般个人信息明确区分,而不可以随意混合。
以个人信息的处理方式为标准,个人信息可以分为自动处理的个人信息和手动处理的个人信息。在计算机技术出现以前,所有的个人信息都是由手动,即凭借人自身的力量和智能对个人信息进行处理和加工,当然效率低下,且准确率差。
但计算机技术的出现,使个人信息可以被自动化处理,处理效率和准确程度也大大提高,伴随着网络的出现和发展,个人信息的自动处理达到了前人无法想象的水平。同时,也造成个人信息被侵害的可能性和严重程度都达到了登峰造极的地步。因此,对个人信息的这一分类方法对研究网络环境下的个人信息保护,具有积极的意义。
对于个人信息的分类,还可以有其他方法,比如:一般群体的个人信息与特殊群体的个人信息;属人的个人信息与属事的个人信息;客观个人信息和主观个人信息;等等,不一而足。由于这些区分标准与本文的研究主题关系不大,因此不展开论述了。
二、网络环境下个人信息的特点
(一)个人信息的形成与网络息息相关。
个人信息中的 QQ 号码、电子邮箱地址、用户名和密码、IP 地址、浏览过的网页地址记录等,都属于随着网络的产生而产生的。没有网络的出现和发展,这些个人信息便不复存在。网络世界中存在不少个人空间,比如:个人博客、个人网盘、个人网络论坛,等等。这些网络中的个人空间包含着大量的个人信息,这些信息依赖于网络而存在。
(二)通过电子形式存在,且具有可识别性。
网络环境下的个人信息是通过电子形式收集、储存、传输的。只有先作电子化处理的信息,才能成为网络中的个人信息。无论是姓名、肖像等直接个人信息,还是婚姻、健康状况等间接个人信息,网络个人信息必须具有可识别性,也只有具有可识别性的个人信息才具有商业价值。
(三)信息主体往往主动提供个人信息。
个人信息主体实施网络行为或者参与网络活动,是为了实现付款、申请开户、登陆认证、报名等目的。网络服务提供者往往要求信息主体将自己的姓名、年龄、性别、身份证号码、工作单位、家庭住址、手机号码等信息逐一提供。而信息主体并非受到任何胁迫,相反可能积极主动地提供自己的个人信息。然而,个人信息主体对网络服务提供者的收集是否超过必要的限度,以及是否对所收取的个人信息采取了保护措施,等等情况,往往是一无所知的。此外,个人在网上访问网页、收发邮件、网络购物时必然会留下网络活动踪迹,留下数据记录,这些自动生成的个人信息并非是信息主体愿意主动提供的,而且其中也必然包含部分网络隐私信息。
(四)网络环境下的个人信息往往与个人财产权有密不可分的关系。
网络时代的一个重要特征便是,个人信息的商业性利用。信息技术的发展,使个人信息的大规模收集、加工和迅速转移成为可能,利用网络信息技术可以使个人信息能高效地被用作商业用途。在许多行业,顾客可以在网上下订单,完全根据自己的意愿自由选择自己所需要的商品或者服务,商家也可以熟练地运用技术跟踪获取消费者的个人信息并对消费者展开个性化营销。这样,在传统条件下不具备商业价值的间接个人信息在网络时代便开始具有商业价值,其财产权也当然受到法律的保护,个人信息的商业价值具有独立的法律地位。而且,在网络时代,信息技术的发展使原本由于价值不大而无法获得财产权保护的个人信息的商业价值获得了极大的提升,财产权的保护变得极其必要。
(五)网络中的个人信息,始终处于信息主体极端不可控的状态。
在没有网络的时代,侵害个人数据的行为无外乎是采取监听监视、盗窃、招摇撞骗等方式,而且采取这些方式获取他人的个人信息,显然是违法行为,严重者甚至会受到刑事处罚,因此侵害者必须冒极大的法律风险,必须铤而走险才能得逞,可谓代价不菲。但是,一旦个人信息进入网络空间,它很容易被处理,然后利用。这种电子化储存方式的便利是物理空间的纸质储存无法比拟的。
计算机和网络的出现使原本不容易得到的他人信息变得"唾手可得".互联网的虚拟性虽然为网络环境展现出不同于现实环境的特征,但客观上也为不法行为或侵权行为提供了很好的隐蔽条件,进而成为其保护伞和避难所。
在网络环境下利用计算机收集和处理数据信息速度非常迅捷,侵害手段极其隐蔽,只要有一台联网的计算机,足不出户就可以轻松获取他人的个人信息,简直是易如反掌。网站采用隐蔽手段收集个人信息的最常用伎俩是使用网上活动跟踪器(Cookies)或类似技术来收集。当用户访问网站时,网站的服务器就会自动发送 Cookies 至用户的浏览器内,并储存到用户的硬盘上,这样一来,用户访问网站的所有活动都会被自动记录下来。而且,由于对个人信息数据库管理的不完善,导致数据库甚至可能被组织内部成员非法侵入,结果个人信息数据被篡改、不当使用或不当公开,直接导致个人信息安全事故的发生。