個(gè)人信息類型化研究

韓旭至

DOI：10.3969/j.issn.16738268.2017.04.010

摘要：個(gè)人信息可依三種不同標(biāo)準(zhǔn)作類型化劃分。依能否直接識(shí)別特定自然人的標(biāo)準(zhǔn)可分為直接個(gè)人信息與間接個(gè)人信息。一切需要借助其他信息確定特定自然人身份的信息均屬間接個(gè)人信息。依敏感度的標(biāo)準(zhǔn)可分為敏感個(gè)人信息與一般個(gè)人信息。敏感個(gè)人信息應(yīng)包括醫(yī)療及健康信息、性生活及性取向信息、身份識(shí)別號(hào)碼、個(gè)人生物識(shí)別信息。依信息主體身份的標(biāo)準(zhǔn)可分為普通人的個(gè)人信息與特殊群體的個(gè)人信息。特殊群體的個(gè)人信息指的是未成年人、公眾人物、公務(wù)員、企業(yè)高級(jí)管理人員及控制人的個(gè)人信息。

關(guān)鍵詞：

個(gè)人信息；隱私；人格權(quán)；類型化

中圖分類號(hào)：D923

文獻(xiàn)標(biāo)識(shí)碼：A

文章編號(hào)：16738268（2017）04006407

目前，我國法律法規(guī)中列舉了種類繁多的個(gè)人信息，在司法實(shí)踐中也出現(xiàn)了各種各樣的個(gè)人信息。面對(duì)如此龐雜的個(gè)人信息內(nèi)容，以類型化的思維對(duì)其進(jìn)行研究確有必要。

《網(wǎng)絡(luò)安全法》第76條第5款采取了“概括+列舉”的模式定義個(gè)人信息，然而在不同的法律法規(guī)中，列舉的個(gè)人信息內(nèi)容卻不盡相同。除了《網(wǎng)絡(luò)安全法》第76條第5款列舉的“姓名、出生日期、身份證件號(hào)碼、個(gè)人生物識(shí)別信息、住址、電話號(hào)碼”六項(xiàng)個(gè)人信息外，健康信息、財(cái)產(chǎn)信息、犯罪記錄等也常被列舉如《征信業(yè)管理?xiàng)l例》第14條列舉了“宗教信仰、基因、指紋、血型、疾病和病史信息”以及“個(gè)人的收入、存款、有價(jià)證券、商業(yè)保險(xiǎn)、不動(dòng)產(chǎn)的信息和納稅數(shù)額信息”；《最高人民法院關(guān)于審理利用信息網(wǎng)絡(luò)侵害人身權(quán)益民事糾紛案件適用法律若干問題的規(guī)定》（法釋[2014]11號(hào)）第12條列舉了“自然人基因信息、病歷資料、健康檢查資料、犯罪記錄、家庭住址、私人活動(dòng)等個(gè)人隱私和其他個(gè)人信息”；《最高人民法院關(guān)于人民法院在互聯(lián)網(wǎng)公布裁判文書的規(guī)定》（法釋[2016]19號(hào)）第10條列舉了“家庭住址、通訊方式、身份證號(hào)碼、銀行賬號(hào)、健康狀況、車牌號(hào)碼、動(dòng)產(chǎn)或不動(dòng)產(chǎn)權(quán)屬證書編號(hào)”。 。

一方面，法律法規(guī)中列舉的個(gè)人信息內(nèi)容繁多、雜亂，不利于司法實(shí)踐中的理解適用；另一方面，司法實(shí)踐中又出現(xiàn)了更多的個(gè)人信息內(nèi)容。通過“中國裁判文書網(wǎng)”檢索，僅以援引法釋[2014]11號(hào)第12條的判決書為分析對(duì)象，截至2017年2月6日共有19份判決書，其中涉及個(gè)人信息的有17份。這些判決書便涉及包括戶籍資料、身份證號(hào)碼、家庭住址、婚姻狀況、工作單位、IP地址、健康信息、購物信息、照片記錄等各種個(gè)人信息。

在如此繁雜的個(gè)人信息種類中，有些顯而易見而有些則難以確定，有些對(duì)人威脅極大而有些則影響甚微，有些信息還可能因?qū)儆诓煌男畔⒅黧w而適用不同的規(guī)則。根據(jù)不同的類型化標(biāo)準(zhǔn)，個(gè)人信息可分為不同的類型。

一、個(gè)人信息類型化標(biāo)準(zhǔn)

關(guān)于個(gè)人信息的類型化標(biāo)準(zhǔn)存在多種學(xué)說，主要可分為微觀與宏觀兩個(gè)尺度。所謂微觀的尺度，即從法律法規(guī)列舉以及未列舉的各種具體的個(gè)人信息出發(fā)，對(duì)這些信息本身運(yùn)用歸納法作的內(nèi)容種類描述。所謂宏觀的尺度，即從作為一個(gè)法律概念的抽象個(gè)人信息角度出發(fā)，根據(jù)特定的屬性對(duì)抽象個(gè)人信息進(jìn)行類型劃分。

（一）個(gè)人信息的微觀分類

根據(jù)各具體個(gè)人信息本身的內(nèi)容，許多學(xué)者對(duì)個(gè)人信息作出了微觀分類。如劉德良認(rèn)為，從內(nèi)容上看，個(gè)人信息可分為“通信信息、財(cái)務(wù)信息、醫(yī)療健康等身體和生理方面的信息、教育信息、信仰信息、基因信息及特定社會(huì)關(guān)系等方面的信息”[1]。郭瑜認(rèn)為，個(gè)人信息類別有“生物信息、身份識(shí)別信息、通訊聯(lián)絡(luò)方式、活動(dòng)記錄、自我表達(dá)、外在評(píng)價(jià)”[2]。劉雅琦則主張“基本身份信息、身份延伸信息、個(gè)人社會(huì)關(guān)系信息、個(gè)人財(cái)產(chǎn)信息、個(gè)人行為信息”的類型劃分[3]。

學(xué)者們對(duì)個(gè)人信息的這些微觀分類無疑有利于理解個(gè)人信息的內(nèi)涵和外延，但卻未能回答在個(gè)人信息保護(hù)的法律意義上這些不同類型的個(gè)人信息之間是否有區(qū)別的問題。個(gè)人信息的微觀分類實(shí)質(zhì)上僅是個(gè)人信息范疇的附屬問題。如《網(wǎng)絡(luò)安全法》第76條第5款中的“個(gè)人生物識(shí)別信息”便能包括《征信業(yè)管理?xiàng)l例》第14條中的“基因、指紋、血型”。這實(shí)際上僅僅是對(duì)具體的各種個(gè)人信息的客觀歸類的過程。因此，個(gè)人信息的微觀分類并非本文所討論的個(gè)人信息類型化問題。

（二）個(gè)人信息的宏觀分類

在宏觀層面上，根據(jù)不同標(biāo)準(zhǔn)，學(xué)者們劃分出個(gè)人信息的各種類型。齊愛民歸納得出“直接/間接”“敏感/非敏感”“電腦處理/非電腦處理”“公開/隱秘”“屬人/屬事”“專業(yè)/普通”六種類型標(biāo)準(zhǔn)[4]。謝永志主張根據(jù)“屬人/屬事”“敏感/非敏感”“直接/間接”“國家機(jī)關(guān)持有/非國家機(jī)關(guān)持有”“普通群體/特殊群體”“計(jì)算機(jī)處理/非計(jì)算機(jī)處理”劃分[5]。洪海林認(rèn)為有“自動(dòng)處理/手動(dòng)處理”“敏感/一般”“普通群體/特別群體”三種分類[6]。蔣坡主張“直接/間接”“隱私/公開”“計(jì)算機(jī)處理/非計(jì)算機(jī)處理”“自然屬性/社會(huì)屬性”四大分類[7]。另外，還有學(xué)者也提出了包括“原始/傳來”[8]181“涉及人格尊嚴(yán)/無涉人格尊嚴(yán)”[9]“主觀/客觀”[10]在內(nèi)的其他各種分類標(biāo)準(zhǔn)。

誠然，類型化的標(biāo)準(zhǔn)千差萬別，根據(jù)不同標(biāo)準(zhǔn)可以將個(gè)人信息的類型進(jìn)行不同的分類。然而，類型化研究不是為了分類而分類，而應(yīng)受分類的必要性與合理性約束。也就是說，個(gè)人信息的類型化不僅應(yīng)具有類型學(xué)上的意義，更應(yīng)具有法學(xué)上的意義。抽象分類的法學(xué)意義在于，不同類型的個(gè)人信息受保護(hù)的方式、程度有所不同。唯有符合此意義的類型劃分才是必要且合理的。

然而，許多個(gè)人信息分類并不符合此類型化標(biāo)準(zhǔn)：（1）“國家機(jī)關(guān)持有/非國家機(jī)關(guān)持有”“計(jì)算機(jī)處理/非計(jì)算機(jī)處理”的劃分實(shí)際上對(duì)應(yīng)的是早期的個(gè)人信息保護(hù)立法。以韓國為例，雖然1993年《公共機(jī)關(guān)個(gè)人信息保護(hù)法》（已失效）曾針對(duì)的是公共機(jī)關(guān)持有的個(gè)人信息，而2011年《個(gè)人信息保護(hù)法》卻取消了這一限制[11]。又如我國臺(tái)灣地區(qū)1995年《電腦處理個(gè)人資料保護(hù)法》（已失效）針對(duì)的是計(jì)算機(jī)處理的個(gè)人信息，而2010年《個(gè)人資料保護(hù)法》也取消了對(duì)該計(jì)算機(jī)處理的限制。（2）就“公開/隱秘”的分類而言，個(gè)人信息不是隱私，其不以秘密性為要件，即便是公開的信息也受保護(hù)。只是在當(dāng)信息經(jīng)合法公開時(shí)，處理者可在公共領(lǐng)域中進(jìn)行收集。該分類的法學(xué)意義有限。（3）“原始/傳來”“主觀/客觀”的劃分并不能體現(xiàn)個(gè)人信息受保護(hù)方式或程度的區(qū)別。無論個(gè)人信息是否直接來源于信息主體，都受同等的保護(hù)。即便是對(duì)個(gè)人的主觀評(píng)價(jià)，只要具有識(shí)別性都屬于個(gè)人信息，與反映客觀狀況的信息一樣受到保護(hù)[12]。（4）“涉及人格尊嚴(yán)/無涉人格尊嚴(yán)”的劃分實(shí)際上屬于對(duì)個(gè)人信息屬性的理解有誤。個(gè)人信息屬于人格權(quán)客體，沒有不涉及人格尊嚴(yán)的個(gè)人信息，即便是個(gè)人財(cái)產(chǎn)信息也與個(gè)人的存在與發(fā)展休戚相關(guān)[13]。endprint

在此認(rèn)識(shí)上，筆者認(rèn)為個(gè)人信息可劃分為：直接個(gè)人信息與間接個(gè)人信息、敏感個(gè)人信息與一般個(gè)人信息、普通人的個(gè)人信息與特殊群體的個(gè)人信息。

二、直接個(gè)人信息與間接個(gè)人信息

根據(jù)識(shí)別性強(qiáng)弱可分為直接個(gè)人信息與間接個(gè)人信息。這一分類不僅為學(xué)界主流學(xué)說所認(rèn)可[9，1416]，也普遍體現(xiàn)在國內(nèi)外立法之中。

（一）法律依據(jù)及劃分標(biāo)準(zhǔn)

《網(wǎng)絡(luò)安全法》第76條第5款指出：“個(gè)人信息，是指以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識(shí)別自然人個(gè)人身份的各種信息。”其中，具有單獨(dú)識(shí)別能力的信息為直接個(gè)人信息，需與其他信息結(jié)合識(shí)別自然人的信息為間接個(gè)人信息。這一分類亦普遍存在于國外個(gè)人信息立法之中。如歐盟2016年《統(tǒng)一數(shù)據(jù)保護(hù)條例》第4條指出，個(gè)人信息包括“通過姓名、身份證號(hào)、定位數(shù)據(jù)、網(wǎng)絡(luò)標(biāo)識(shí)符號(hào)以及特定的身體、心理、基因、精神狀態(tài)、經(jīng)濟(jì)、文化、社會(huì)身份等識(shí)別符能夠被直接或間接識(shí)別到身份”的信息[17]129。

能否直接識(shí)別特定自然人是二者的劃分標(biāo)準(zhǔn)[14]。這也就是個(gè)人信息識(shí)別中的直接識(shí)別與間接識(shí)別。具有強(qiáng)識(shí)別性的直接個(gè)人信息能一目了然地識(shí)別出特定個(gè)人，而具有弱識(shí)別性的間接個(gè)人信息則必須經(jīng)過信息拼圖、比對(duì)的過程才能完成識(shí)別[18]。間接個(gè)人信息雖不直接指向特定個(gè)人，但通過指向與特定個(gè)人有關(guān)的事物[19]，在借助其他“輔助信息”后最終能起到識(shí)別的作用[20]。

基于二者的區(qū)別，有學(xué)者認(rèn)為直接個(gè)人信息才是傳統(tǒng)個(gè)人信息保護(hù)研究的對(duì)象[15]，也有學(xué)者認(rèn)為“人格權(quán)商品化”問題是針對(duì)直接個(gè)人信息而言的[16]。誠然，在前網(wǎng)絡(luò)時(shí)代，憑一個(gè)間接信息識(shí)別個(gè)人較為困難，對(duì)間接信息的利用也非常少見。但是在大數(shù)據(jù)時(shí)代的今天，僅憑在網(wǎng)絡(luò)上留下的蛛絲馬跡，就能輕易識(shí)別出特定個(gè)人。如消費(fèi)記錄、GPS位置信息、IP信息等更常被網(wǎng)絡(luò)服務(wù)提供商所抓取記錄，甚至用于商業(yè)活動(dòng)之中[9]。無可否認(rèn)，間接個(gè)人信息與直接個(gè)人信息一樣，均具有人格利益與商業(yè)價(jià)值。二者在保護(hù)程度上并無外觀上的差異如在“熊文郁與楊婧瑤名譽(yù)權(quán)糾紛案”中，南京市中級(jí)人民法院確認(rèn)了被告惡意公開原告ID賬號(hào)、IP地址的行為侵權(quán)，并未因ID賬號(hào)、IP地址非直接個(gè)人信息而給予差別保護(hù)。（參見（2015）寧民終字第322號(hào)判決書） 。只是在保護(hù)方式上，間接信息常需經(jīng)過識(shí)別性判斷后才能受到保護(hù)。

（二）范圍內(nèi)涵

一般認(rèn)為，姓名屬于直接個(gè)人信息。但在重名的情況下，也需要借助輔助信息進(jìn)行識(shí)別。至于身份證號(hào)、社保號(hào)、個(gè)人生物識(shí)別信息等具有唯一性的信息是否屬于直接個(gè)人信息則存在不同觀點(diǎn)。有學(xué)者認(rèn)為，由于其直接指向個(gè)人且具有唯一性，無疑屬于直接個(gè)人信息[4，14，21]。也有學(xué)者認(rèn)為，雖然身份證號(hào)、社保號(hào)也具有唯一性，但其缺乏“外顯性”，需要結(jié)合其他輔助信息，因此屬于間接個(gè)人信息[16]。

筆者認(rèn)為，唯一性信息不能等同于直接個(gè)人信息。一切需要借助其他信息才能確定特定自然人身份的信息都屬于間接個(gè)人信息。以身份證號(hào)信息為例，一串單純的數(shù)字組合若沒有結(jié)合個(gè)人姓名、肖像是無法直接將一個(gè)人認(rèn)出來的。即便是將身份證號(hào)輸入電腦系統(tǒng)進(jìn)行查詢，也必須以電腦數(shù)據(jù)庫存在與身份證號(hào)相連的特定自然人姓名等信息作為前提才能將其認(rèn)出來。

三、敏感個(gè)人信息與一般個(gè)人信息

根據(jù)敏感度高低可分為敏感個(gè)人信息與一般個(gè)人信息。關(guān)于這一類型劃分存在一定學(xué)術(shù)爭議，各國立法也不盡相同。

（一）法律依據(jù)及劃分標(biāo)準(zhǔn)

我國法律層面上并未對(duì)敏感個(gè)人信息與一般個(gè)人信息進(jìn)行明確區(qū)分，僅在部分指導(dǎo)性文件中采納了這一區(qū)分。如《信息安全技術(shù)公共及商用服務(wù)信息系統(tǒng)個(gè)人信息保護(hù)指南》（以下簡稱《保護(hù)指南》）第3.7條及3.8條《信息安全技術(shù)公共及商用服務(wù)信息系統(tǒng)個(gè)人信息保護(hù)指南》第3.7條規(guī)定：“個(gè)人敏感信息：一旦遭到泄露或修改，會(huì)對(duì)標(biāo)識(shí)的個(gè)人信息主體造成不良影響的個(gè)人信息。各行業(yè)個(gè)人敏感信息的具體內(nèi)容根據(jù)接受服務(wù)的個(gè)人信息主體意愿和各自業(yè)務(wù)特點(diǎn)確定。例如個(gè)人敏感信息可以包括身份證號(hào)碼、手機(jī)號(hào)碼、種族、政治觀點(diǎn)、宗教信仰、基因、指紋等?！钡?.8條規(guī)定：“個(gè)人一般信息：除個(gè)人敏感信息以外的個(gè)人信息?！?、《湖南保險(xiǎn)機(jī)構(gòu)客戶個(gè)人信息保護(hù)工作監(jiān)管指引》第3條第2款對(duì)二者進(jìn)行了區(qū)分《湖南保險(xiǎn)機(jī)構(gòu)客戶個(gè)人信息保護(hù)工作監(jiān)管指引》第3條第2款規(guī)定：“保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)區(qū)分一般個(gè)人信息和敏感個(gè)人信息，實(shí)行分類區(qū)別保護(hù)。對(duì)敏感個(gè)人信息，應(yīng)實(shí)行更高的權(quán)限管理，采取更嚴(yán)格的管理措施。” 。

從域外法規(guī)定來看，包括歐盟及其成員國、經(jīng)合組織及其成員國、俄羅斯、阿根廷、我國澳門地區(qū)以及我國臺(tái)灣地區(qū)在內(nèi)的許多國家、地區(qū)及國際組織均規(guī)定了敏感個(gè)人信息與一般個(gè)人信息的區(qū)分。但也有許多國家和地區(qū)并未采取這一區(qū)分，如我國香港地區(qū)在2012年修訂《個(gè)人資料（隱私）條例》時(shí)，便曾就是否引入這一區(qū)分進(jìn)行過討論，最終也沒采納這一區(qū)分方式[22]。

對(duì)于我國在將來的個(gè)人信息立法中是否采取“敏感個(gè)人信息與一般個(gè)人信息”的分類，學(xué)界存在爭議。以齊愛民、蔣坡為代表的學(xué)者采取“肯定說”，認(rèn)同這一分類的立法意義[7，23]。以周漢華、洪海林為代表的學(xué)者則采取“否定說”，認(rèn)為對(duì)此無需在法律上進(jìn)行統(tǒng)一分類，僅需對(duì)高敏感度的信息保護(hù)進(jìn)行單行立法即可[5，2425]?？梢?，對(duì)于高敏感度的敏感個(gè)人信息予以特別保護(hù)的理念學(xué)界并無爭議，爭議僅在于立法模式的問題上。

具體而言，就是否以隱私為標(biāo)準(zhǔn)劃分敏感與一般個(gè)人信息存在兩種觀點(diǎn)。以王忠、謝永志、齊愛民為代表的學(xué)者主張以隱私定義敏感個(gè)人信息。他們認(rèn)為，敏感個(gè)人信息即涉及隱私的個(gè)人信息[45，2629]。范德斯洛特（B. Van Der Sloot）亦指出，“敏感個(gè)人信息關(guān)注的是隱私問題”[30]。另一方面，劉德良、郭瑜、孔令杰等學(xué)者則認(rèn)為，敏感與否并不取決于是否關(guān)涉隱私。他們認(rèn)為，即便隱私與敏感信息有重合之處也不能等同，敏感個(gè)人信息與一般個(gè)人信息的劃分標(biāo)準(zhǔn)是信息的敏感度[12][8]172[3133]。這一觀點(diǎn)亦為《保護(hù)指南》第3.7條所采納。根據(jù)該條，敏感個(gè)人信息強(qiáng)調(diào)的是對(duì)“信息主體造成不良影響”的可能性。endprint