法学网站(论法学上的个人信息与个人数据)(1)

余筱兰 安徽师范大学教授,上海交通大学凯原法学院博士后

内容摘要:数据与信息的价值不仅仅体现在人格利益上,在数据经济时代,更突出体现在其财产利益上。法学上有个人信息”与“个人数据”之概念,二者有何区别?如何从法学上准确界定二者?有无必要区分二者的法学含义?从数据与信息的财产价值分析引入,深入分析个人信息和个人数据的法学定位,并最终论证了个人信息与个人数据作为法学概念,其所指向的保护对象是一致的,并无严格区分的必要。

关键词:个人信息 个人数据 法学界定 保护对象 人格权 数字法治

一、信息与数据的进化

在人工智能、大数据和云计算等新技术驱动下,数据的价值被充分挖掘。数据成为经济增长的生产要素,数字经济成为全球经济的新贵族。大数据时代是信息社会的高级阶段。从二十世纪七十年代人们读到丹尼尔·贝尔《后工业社会的来临》一书开始,信息社会的概念迅速引起西方国家的热烈讨论。信息社会是人类社会继农业社会、工业社会之后的第三次社会变革,而大数据、人工智能的应用是信息社会经历了信息化和互联网之后的又一次信息革命,是人类在经历了蒸汽机和电力两次工业革命之后的第三次革命,可以称为信息革命。从“信息成为社会资源”到“数据成为社会资源”,反映的均是信息社会一种新型的财富的出现,数据成为财富。数据被认为是新的石油,因它通过微信和脸书等社交平台创造巨大利润,同时它也为百度和谷歌等网站以广告形式获得巨大收益。

数据蕴含着丰富的潜在价值,已成为核心资源、数据平台的依托性资源、数字经济发展的支撑。数据已成为核心谋生手段。控制了更多的数据,便掌握了更多的无形资产、更多的财富。有个公认的观点:数据被称为“21世纪的石油”。数据是信息社会的一种特殊资源,是与物质、能源并列的基础性资源,但数据的获得与物质和能源的获得所依赖的工具不同,它依赖互联网、存储、传输、接收和利用。大数据等信息资源日益成为重要的生产要素和社会财富。通过数据平台的应用,人们的生产和生活成本大大降低;通过数据分析,利用数据与实体经济的融合,促进实体经济发展,形成新的经济增长点,已成为近五年来我国各省市拉动经济增长的新引擎。个人数据的使用价值被充分挖掘,创造财富。非法获取个人数据谋取暴利的案例,诸如倒卖个人数据的非法行为从国内到国外屡禁不止。快递小哥非法销售客户个人信息等是因为数据财富价值而爆发的案例。在Radio Shack Bankruptcy Case中,律师反对出售消费者个人信息,并获得了其他州的赞同。

二、法学上的个人信息

(一)“个人信息”法学概念综合说的提出

对个人信息的概念,从立法上,世界范围内主要有三种模式的规定。第一种是概括式立法,以总括式方式规定个人信息是权利客体;第二种是列举式,尽可能具体地列举个人信息的范围和类型作为权利保护的客体;第三种是折中式,即通过概括式和列举式结合的方式来界定个人信息的范围。选用哪种立法模式以及采用哪种学说在理论上对“个人信息”进行法学概念界定,需要科学考究。

在我国民法典人格权编中,个人信息和隐私权放在一起予以规定。法学界在普遍认可“个人信息”概念之前,用“个人隐私”或“隐私权”概念来包含个人信息的内容。何谓个人信息,法学理论界主流观点有以下三种学说:隐私说、关联说、识别说。隐私说没有区分私密信息和非私密信息。民法典第1032条对隐私进行了具体规定“隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。”第1034条对个人信息进行了规定“个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。个人信息中的私密信息,适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定。”从民法典的立法条文,可以明确地肯定,隐私说已经不符合大数据时代“个人信息”的概念所应包括的内涵。关联说认为凡是与个人相关的信息均是个人信息。此定义范围又显过于宽泛,不利于个人信息保护的落实。例如某人上午坐了某车牌号的出租车,与之产生了关联,下午坐了另一车牌号的出租车,与此车也产生了关联,如若按关联说,这两辆出租车信息均应属于该人的个人信息,显然不合情理,不合法意。关联说不仅不会保护个人信息,相反会给自然人带来极大的麻烦。识别说在学术界的认可度高于隐私说和关联说。识别说是指通过客观的信息可以具体地确定到某一自然人。1990年的联邦个人资料保护法和我国台湾地区所谓“个人资料保护法”便是采用识别说。根据识别标准的不同,分为间接识别和直接识别。间接识别是指需要借助其他信息辅助才能识别出信息主体,该信息单独无法识别出信息主体,例如身高、体重、学历。直接识别是指能够通过该信息单独直接地识别出信息主体,而不需要其他信息辅助,例如指纹,照片。本文认为直接识别说是狭义的识别说,间接识别说是通过关联性信息识别信息主体。所以,法学上的个人信息应采取“识别说”和“关联说”相结合的综合说。从民法典第1034条对个人信息的定义也可以判断出,我国立法上采取的是“狭义的识别说 关联说”的综合说。

(二)“个人信息权”具体人格权的提出

个人信息的法学属性是指个人信息所承载的利益的法学属性。抛开其承载的利益,单独谈个人信息的法学属性是没有意义的。法律保护的不是个人信息本身,而是个人信息上承载的利益。学术界主要观点有:财产权说,认为个人信息的价值体现在其承载的财产利益,而非人格利益,此学说以偏概全,过于注重个人信息的经济价值,而忽视了其本有的人格价值,将个人信息划分为财产权是本末倒置;一般人格权说,认为个人信息应当纳入一般人格权的保护范围,认为个人信息是自然人享有的人格上的独立、自由、平等和尊严,但此学说与财产权似乎背道而驰,走向了另外一个极端,难以保护个人信息上承载的财产利益;隐私权说,认为个人信息承载的利益属于具体人格权保护的对象,属于隐私内容,但随着人们对个人信息与隐私概念认识的加深,这种学说逐渐被抛弃;具体人格权说,认为个人信息可以权利化,个人信息权应为一种独立的具体人格权,将其作为具体人格权予以法律定位,并不会妨碍其财产价值的实现,例法人没有一般人格权,但法人有名称权、名誉权和荣誉权三项具体人格权,名称权尽管是一项具体人格权,却也承载着商业价值,有经济利益,由此类推,个人信息权可以被定为一项具体人格权并不会妨碍个人信息商业价值的实现,不妨碍个人信息经济利益的保护此外,根据人身权优先于财产权受保护,人格利益优先于财产利益受保护的法理精神和法学位阶,将个人信息从法律上定位为具体人格权是最优的保护模式。

三、法学上的个人数据

(一)“个人数据”概念的提出

“个人数据”与“个人信息”以及“个人资料”概念在不同国家、地区的立法中均有使用。香港地区对于个人数据的定义记载于“个人资料条例”,指的是“符合以下说明的任何数据:(a)直接或者间接与一名在世的个人有关的;(b)从这些数据直接或间接确定有关的人的身份是切实可行的;(c)此类数据的存在需要进行审查和处理。”我国台湾地区2010年所谓“个人资料保护法”以及1995年所谓“电脑处理个人资料保护法”规定个人资料是“指自然人的姓名,出生日期,身份证的统一编号,特征,指纹,婚姻,家庭,教育,职业,健康,病史,财务状况,社会活动和其他足以识别个人的数据。”英国、欧盟立法中更是直接使用“personal Data”。我国民法典和个人信息保护法使用的是“个人信息”概念,但其所表达的内容和欧盟GDPR中规定的“personal Data”是一致的。笔者认为个人数据概念的提出,是更严谨地符合翻译语义,但其内涵与个人信息并无实质区分的必要。

考虑将个人信息与个人数据区分开来的观点是受美国隐私权理论的影响。通说认为,美国立法中将个人数据保护放在隐私权中,但随着国际交流的广泛渗透和世界数据经济的猛势发展,美国学术界近年来也关注到个人数据的独立概念。尤其是个人数据中也有部分内容是数据主体愿意公开或用来交易换取商业利益的。数据不仅包括可以归类为个人信息的数据,即个人数据,还包括非个人的数据,如商业数据、公共数据等,所以,立法上在侧重私法权益保护时,将“个人数据”用“个人信息”替代,而在侧重公共利益保护时,使用“商业数据”和“公共数据”概念。个人数据概念的提出,是与商业数据、公共数据予以对应的需要。

从法学上对数据予以定义,是保障数据成为法律概念的前提。法律只规范可以成为法学研究对象的现象。根据数据开放的流程,先分解数据产生的内在逻辑和外在表现,可以分为源生数据、衍生数据和数据产品三个进阶。源生数据是没有经过加工的数据,衍生数据是经过加工、匿名化处理的数据,数据产品是经过加工的数据最后向外界呈现的状态,该状态可能是有独创性的知识产权成果,也有可能仅仅是信息的再表达,并无独创性,不属于知识产权范畴。法学上的数据可被定义为:数据是指源生数据、衍生数据和数据产品的总称,具体是指,某种客观事物经过人的主观意识加工,以某种客观样态表达出来的信息。根据其是否具有独创性,有不同的法律属性,或是知识产权保护的客体,或是民法典中保护的一般民事法律关系客体。公共数据开放中的数据是指不具有独创性,不被归为知识产权客体,但可以被纳入民法典中民事法律关系客体的数据。而个人数据只是数据概念中的一个下位概念。个人数据概念的提出是建立在数据可以成为法学概念的基础上的。

(二)“个人数据”人格权属性的提出

学术界尚存在强调区分“个人信息”与“个人数据”的观点,并对“个人数据”的法律属性进行了分析,提出不同学说,如虚拟财产说,知识产权说,人格权说等。数据作为虚拟财产的学说观点在我国民法典第127条得以认可。在国外也有学者提出“个人数据财产权”概念,如美国有不少学者认为,数据主体所享有的关于个人数据的权利理所当然地包括数据的财产权,并且应该得到法律的保护。立法中规定的数据作为虚拟财产予以保护在我国司法实践中起到了指引作用,为法官判案提供了依据,但并不能认为个人数据从属性上讲是财产权。数据能够被归为财产权的客体是只商业数据和公共数据,不应保护个人数据。个人数据承载的首先是个人利益,是人格利益,个人数据与商业数据和公共数据不同在于其承载的利益属性不同。

笔者在上文已经提出了将个人信息权作为一项独立的具体人格权予以定位,鉴于个人数据与个人信息在法学概念上的同义性,笔者认为可以将个人数据定位为人格权保护的客体,但没有必要再提出“个人数据权”这样一个法律概念,有“个人信息权”一个法律概念足矣。

四、结论:个人信息与个人数据法学上的一致性

法学界对于“个人信息”和“个人数据”的区分依然纠结不清,其原因在于自然科学研究成果中对“信息”“数据”进行区分。信息和数据最早被认为是信息科学、计算机科学范畴的术语。但是,在大数据时代,数据早已不再是单纯的信息载体,数据本身就是具体的信息,如影像、图片、音频、表格等。二者保护的对象均是数据或信息承载的人格利益和财产利益,而并非数据或信息本身。故没有必要从法学概念上区分个人数据与个人信息。二者的区别是在应用场景中。在强调人格利益保护的场景中用“个人信息”更准确,例如姓名、身高、住所等。在强调财产利益保护的场景中用“个人数据”更准确,例如对个人数据的抓取,用于匿名化清晰,进而用于大数据分析,大数据交易。

无论是“信息”还是“数据”,在大数据时代,从财富形式的角度看,其区分的意义不大。尽管从情报学的角度分析,数据是一种原始的记录,本身不具有任何意义,而信息是对数据进行加工后的描述,是“相互关联的数据”,但随着大数据概念的提出,数据已经不仅仅是指一种记录,它不仅仅是数字,还包括文字、图片、影像等。从法学保护角度,“信息”与“数据”的概念几乎可以互换。从欧盟到美国、从日本到韩国等等国家或地区的数据保护立法,均没有在“信息”与“数据”的概念上过于纠缠。根据国际流行的用语,“DATA”一词更普遍。在信息社会的高级阶段,即大数据应用成为信息开发和利用的主要手段的阶段,用“数据”取代“信息”来描述新型的财富形式,更符合时代特征。例如,在GDPR中,立法者用“DATA”而不是“INFORMATION”;在美国,近几年各州立法均采用DATA;中国的互联网公司阿里巴巴创始人马云在2014年就提出观点,我们这个时代已经从IT(Information Time)步入DT(Data Time),也就是从信息技术时代步入数据技术时代,用数据创造财富价值,实现经济增长是未来经济发展的核心。

个人信息和个人数据在实质内容方面并无区别,之所以会出现文字上的区别,是由于我国学者在研读外文文献时翻译的不统一。在域外立法中,并无区分个人信息与个人数据的立法,例如欧盟对数据保护历史悠久,但并无一部法律保护个人信息,而是保护个人数据,但这不意味着个人信息在欧盟不受保护,而是因为在欧盟法中,个人数据就是个人信息。

来源:《上海法学研究》集刊2021年第19卷(网络治理与数据信息法学研究会卷)

,