下载掌阅APP,畅读海量书库
立即打开
在个人数据保护研究初期,个人数据与个人信息乃至与隐私之间的关系,是立法规范和学术研究的重要议题,辨清相近概念对于开放银行模式下共享客体的范围划定及类型化分析具有基础性意义。境外一些国家和地区在对个人数据、信息和消费者隐私保护的立法探索中,形成了符合社会发展且具有地域特色的立法表述,可以为我国数据保护立法工作提供有益经验。
欧洲理事会成员国于1981年签署了《关于个人数据自动化处理的个人保护公约》
(Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data,以下简称《数据自动化处理公约》)。该公约在第2条界定了基础性概念,个人数据被定义为与某个已识别或可识别的个人(数据主体)有关的任何信息。在国际立法层面,《数据自动化处理公约》率先提出了个人数据“可识别”(identifiable)的标准,这一标准逐渐为多数国家和地区所接受,在国际范围内成为一定的共同认知,并成为各国数据保护立法在定义个人数据时效仿的对象。欧盟成立后,于1995年发布了《关于涉及个人数据处理的个人保护以及此类数据自由流动的指令》
(Directive 95/46/EC,以下简称《数据保护指令》)。该指令第2条a项延续了《数据自动化处理公约》对个人数据的定义,只是为了法律术语的规范将“个人”(individual)变更为“自然人”(natural person)。同时,该指令第2条还增加了对可识别自然人含义的具体阐释:可识别的自然人是指能够被直接或间接识别的个人,其标志符号不仅包括常见的物理、生理特征如血型、身高等。该指令特别提到了精神性、文化性或者社会性标志特征,此类特征与人格、身份、社会关系密切关联。2018年施行的《一般数据保护条例》
(General Data Protection Regulation,GDPR)是一部具有里程碑意义的立法文件。在趋于成熟的个人数据保护体系和立法技术的加持下,《一般数据保护条例》对世界范围内的数据保护立法产生引领和示范效应。《一般数据保护条例》第4条第1款对个人数据概念的界定同《数据保护指令》并无差别,其仅在指令的文本基础上,对姓名、身份编号等常见的标志符号进行了提示补充,使表述更为完整。欧盟立法中对个人数据的定义相当宽泛:即便经过匿名处理,只要该数据可以与具体的自然人进行对应,即可以识别出特定自然人,该数据就应当被视为个人数据。欧盟第29工作组曾于2007年发布《关于个人数据概念的意见》
(Opinion 4/2007 on the Concept of Personal Data),对这一立法立场作出了回应:“需注意,在整个立法过程中,欧盟立法者在个人数据定义(意见中专指《数据保护指令》中对个人数据的定义)上采纳了宽泛的概念(wide notion)……目的是覆盖所有可能与个体关联的信息。欧盟委员会的修改提案指出,修改提案是为了迎合议会的心愿,让个人数据的定义尽可能地笼统(general),理事会也持有相同的立场。”
在欧盟积极推进数据保护立法的同时,欧洲各国也在逐步探索国内版本的个人数据保护法案。如英国:在时间节点上,英国《数据保护法》(Data Protection Act)的出台时间及数次修订,均与《数据自动化处理公约》《数据保护指令》《一般数据保护条例》等欧盟重要数据保护立法文件的出台时间相距不远;其对法律概念的界定和在文本中的具体表述也受到上述立法文件的影响。1984年《数据保护法》第1条规定,个人数据是指“由可以从信息中识别出的在世的个体相关的信息所构成的数据,包括任何对该个体的意见表达(expression of opinion),但不包括数据用户有关该个体的任何意图表示”
。该法对个人数据的定义承接了《数据自动化处理公约》提出的可识别标准,并在此基础上独创性地将其他人对该人的意见表达纳入个人数据的外延中,同时明确将意图表示排除在外。这意味着个人数据虽然可能不具有实体,但至少不是存在于想法或观念中,而是客观留存于介质或载体之中。1998年修订后的《数据保护法》对个人数据的概念界定则更依赖数据概念本身,其第1条第1款规定,个人数据是指“可以从数据中识别出的与在世的个体相关的数据,这些数据包括上述数据以及数据控制者拥有或很可能要拥有的数据和其他信息”。其中,“上述数据”指的是第1款对数据的具体表述,包括四种类型:响应指令而由设备自动化处理的信息、为由该种设备处理而记录的信息、作为或者应当作为文件编排系统(filing system)的一部分被记录的信息,以及不落入前面三项但是构成第68条所界定的可获得记录(accessible record)的信息。从修订后的内容来看,该法关于个人数据概念来源的表述更多体现了计算机技术学科的特色,作为兜底的“可获得记录”实质上对数据概念的外延进行了适当扩张。同时,“可获得”的要求让个人数据的具体规制回归现实,而非仅就空想或泛化的数据进行概念上的讨论。2018年修订后的《数据保护法》对个人数据的定义与《一般数据保护条例》没有差别,难见本国的立法特色。原因可能在于,英国“脱欧”后,通过国内的《数据保护、隐私与电子通讯条例》
[The Data Protection, Privacy and Electronic Communications(Amendments etc.)(EU Exit)Regulations 2019]将《一般数据保护条例》转化为国内法,在法律文本中以“UK GDPR”表示。为保证法秩序的统一,立法在概念界定时自然也采取一致的表述。
在德国自黑森州(Hessian)于1970年率先颁布《数据保护法》后,在联邦层面就已着手制定《联邦数据保护法》(Bundesdatenschutzgesetz,BDSG;Federal Data Protection Act)。于1977年生效的德国《联邦数据保护法》率先在国内立法中提出了个人数据的“可识别”判断标准。该法第3条规定,“个人数据是指与已识别或可识别的自然人个人关系与事实有关的信息,具体而言,个人关系如姓名、地址、邮箱、IP地址或个人编号;事实情况如收入、税收、财产;特殊个人数据如种族或民族的起源、政治观点、宗教或哲学信仰、贸易联盟、健康或性生活,这些数据是受特殊保护的”。初版《联邦数据保护法》采用了概括加列举的方式来说明个人数据的内涵和外延。可见,立法者已经关注到了部分与人身关联度高的数据存在特殊保护的需要,这也成为日后“敏感个人信息”区分处理和保护制度的渊源之一。随着对数据保护立法认识的不断深化,《联邦数据保护法》经历了数次修订。为执行《数据保护指令》,2002年修订的《联邦数据保护法》对个人数据的定义采取了更为简洁的表述:该法第3条第1款规定个人数据是指“关于个人或已识别、能识别的个人(数据主体)的客观情况的信息”。从该定义可以发现,德国立法的表述在不断向欧盟数据保护立法文件的表述靠近。2017年修订通过的德国《联邦数据保护法》
增删了部分内容以确保适应欧盟《一般数据保护条例》,关于个人概念的定义也与条例相统一,不再另行定义。
除英国与德国外,芬兰和瑞典关于个人数据的国内立法也具有代表性和自身特色。在芬兰于1999年通过的《个人数据法》
(Personal Data Act)将个人信息的识别标准延伸至家庭成员,进一步扩张了《数据保护指令》规定的个人数据范围。在瑞典《个人数据法》
(Personal Data Act)第3条规定,个人数据是指“任何私主体的信息与他/她的特征或私人环境的信息,并且可以从这些信息中识别出他/她或者他/她的家庭成员”。值得注意的是,芬兰《个人数据法》单独对个人数据档案、个人信用数据和信用数据档案的定义进行了规定。这体现了芬兰立法对个人数据相关概念的严格区分以及对个人社会信用的特殊关注。此外,在其他国家和地区普遍采用“可识别”标准的情况下,1998年通过的瑞典《个人数据法》对个人数据概念使用了“可涉及”(referable)的表述,其第3条规定个人数据是指“各种直接或间接可涉及在世的自然人的信息”。虽然“可涉及”与“可识别”看起来似乎是两种不同的标准,但透视其实质内涵可以发现,二者均要求数据与某个具体的人产生对应,即个人数据应当具有指向性,进而可以与某个人匹配。因此,这两种表述在某种程度上是共通的。
在“高速通讯网络将电脑连接在一起并且电脑成为产生、储存和使用个人记录的主要媒介成为不可避免的趋势”背景下,美国健康教育与福利部(U.S.Department of Health, Education & Welfare)下设的咨询委员会于1973年发布了一份名为《记录、电脑和公民权利》
(Records, Computers and the Rights of Citizen)的报告,期望为因电脑技术应用产生的个人数据保护问题提供通用的解决路径和具体的建议举措。该报告并未就个人数据或记录作出概括性定义,但具体阐释了行政记录(administrative records)、情报记录(intelligence records)、统计记录(statistical records)这三类在历史发展中脱颖而出(distinguished historically)的记录类型。在这份报告的影响与推动下,1974年美国国会通过的《隐私法》
(Privacy Act)在定义中将“记录”(record)作为对个人信息的表述。鉴于《隐私法》主要的适用对象是政府部门、军队及国有公司等机构(agency),该法所调整的记录范围实际相当有限。其第503.1条规定:“记录是指由机构所持有的任何……信息,包括但不限于个人教育、金融交易、医疗历史……并且包含个人姓名或身份识别号码……指纹或声纹或照片”。然而,这类记录多与政府机构为履行职务而收集的内容相关。由于《隐私法》对记录概念定义的模糊,司法实践中对“记录”的范围产生了三种不同的理解:宽泛的定义认为信息是任何与个体可识别信息关联的记录;限缩的定义则认为记录必须反映个体的特性和特点;哥伦比亚特区巡回上诉法院提出折中观点,认为记录必须关于个人,但不必反映特性和特点。
1998年通过的《儿童网上隐私保护法》
(Children’s Online Privacy Protection Act,COPPA)关注个人信息保护的具体细分领域,着重规范收集、使用、披露网络上来自或关于儿童的个人信息问题。该法第312.2条规定,个人信息是指网上收集的关于个体的信息,依该类信息可以识别出该个体,包括个人名字、网上通信信息、足以识别街道名称和城镇名称的定位信息等等。1999年通过的《格雷姆-里奇-比利雷法》
(Gramm-Leach-Bliley Act,GLBA,以下简称《金融服务现代化法》)对于金融领域的个人信息保护作出了较为详尽的说明。该法案第509条规定“非公开个人信息是指可识别出个人的金融信息:(i)该信息由消费者向金融机构提供;(ii)产生自任何与消费者的交易或任何向消费者提供的服务;(iii)或金融机构从其他途径所获得的。不包括可以公开获得的信息”。同时,该条还规定非公开个人信息“应当包括使用任何除可以公开获得的信息外的非公开个人信息而获得的消费者的清单(list)、描述(description)或其他类群(以及附有可以公开获得的信息)”。《金融服务现代化法》为规范金融机构在处理个人金融信息时所涉及的权益保障问题,通过金融机构获得信息的渠道来定义个人金融信息,以消费者与服务之间的交互情况为标准界定该法规范体系下个人信息的外延。这与其立法目的相适应,同时也为个人数据概念的定义在具体领域立法中的展开开辟了新的思路。2010年通过的《多德-弗兰克华尔街改革和消费者保护法》
(Dodd-Frank Wall Street Reform and Consumer Protection Act of 2010,以下简称《多德-弗兰克法》)对数据及相近术语的使用则相当混乱,如在与消费者获得信息权利相关的第1033条中,交替出现了“信息”、“使用数据”(usage data)、“记录”、“数据”等多种表达;甚至彼此之间相互嵌套,例如,在说明所涉主体没有保存记录的义务(no duty to maintain records)时,该法采用了“保存或保留任何信息”(maintain or keep any information)的表述方式,而在强调数据格式标准化时,该法又以“信息标准化格式”(standardized formats for information)展开阐释。
此外,美国统一州法律委员会(Uniform Law Commission,ULC)于2021年审核通过了《统一个人数据保护法》
(The Uniform Personal Data Protection Act,UPDPA),旨在为美国各州提供个人数据保护的立法建议与参考文本。该法第2条第10项规定,个人数据是指通过直接标志符(direct identifier)识别或描述数据主体或者构成假名化(pseudonymized)数据的记录,不包含去识别化(deidentified)的数据。该法将个人数据的可识别标准提炼为“直接标志符”这一抽象概念,并在第2条第6项指出该种直接标志符包含名字、可识别的照片、电话号码等信息。与我国《个人信息保护法》类似,《统一个人数据保护法》对个人数据的定义同样采用了正向定义加反向排除的模式,并强调“可识别”这一重要标准。然而,对标志符的“直接”要求似乎对个人数据的外延进行了限缩,没有考虑到非直接标志的数据通过重组或交叉识别后也可能与特定个体对应的问题。值得注意的是,由于《隐私法》已经对相关政府机构的数据保护问题进行了规范,因此,《统一个人数据保护法》所建议适用的主体仅限于在本州开展业务或专门针对该州居民直接提供产品或服务的数据控制者或数据处理者,即企业实体。也就是说,该法律文本中的个人数据仅限于这些控制者或处理者在数据处理活动中所关涉的数据。
美国的数据立法采用双线并行的模式:除联邦层面的立法与示范立法外,各州也出台了相关法律文件。2018年公布的加利福尼亚州《消费者隐私法案》
(California Consumer Privacy Act,CCPA)于2020年1月起正式施行。该部州法第1798.140条o项规定“个人信息是指直接或间接识别出、关联、描述、能够联系或可以合理联系特定消费者或家庭的信息……”该规定力图通过繁复的表述方式将应当受到规范的个人信息都纳入其中。在o项之下,该法还列举了诸如音频(audio)信息、热量(thermal)信息、嗅觉(olfactory)信息等新颖的信息类型。此外,该法案还特别对生物信息进行了单独定义:生物信息是指个体的生理性、生物性或行为性的特征(characteristic)。这种定义与该法案中涉及生物信息特殊保护的内容相对应。与加利福尼亚州《消费者隐私法案》作繁复定义不同,2021年发布的弗吉尼亚州《消费者数据保护法案》
(Consumer Data Protection Act,CDPA)对个人数据的定义较为简洁,与欧盟的观点相近。该法第59.1—571条认为,个人数据是指任何与已识别或可识别的自然人联系或可合理联系的信息,个人数据不包括去标志化的数据或者公开可得的信息。在加利福尼亚州与弗吉尼亚州之后,科罗拉多州、犹他州、康涅狄格州也相继通过了冠以隐私、数据之名的州法律,这些州法律均采用了个人数据的概念,但在定义上与弗吉尼亚州立法相差不大。这也体现了数据保护立法在美国州立法层面存在某种程度的一致。
自欧盟《一般数据保护条例》通过以来,数据及所涉行为的法律规制在世界其他国家及地区的立法规划中都更具现实紧迫性。于2022年生效的日本《个人信息保护法》
(個人情報の保護に関する法律)在第2条对个人信息的概念进行了阐释:“个人信息是指与在世的个人有关的信息,包括通过含有的姓名、出生日期或者其他描述(指在文档、图画或是电磁记录之上通过声音、动作或其他方式陈述、记录或通过其他方式表达的所有事项)可以识别出特定人的信息,以及含有个人识别符的信息”。此处所提到的个人识别符主要是指计算机使用中或电磁化记录过程中所涉及的字母、数字、标志和其他代码等。除个人信息的概念外,日本《个人信息保护法》第四章“个人信息处理者的义务”中使用了个人数据(個人データ)这一概念并在第16条对该概念进行了定义:“本章中的个人数据是指构成个人数据库等(個人情報データベース)的个人信息”。个人信息处理者通常借助计算机的电子化形式来处理个人信息,这可能是日本《个人信息保护法》第四章在涉及与信息处理活动相关的概念时选用个人数据而非个人信息这一表述的原因所在。
韩国在数据保护立法上起步较早,在2011年就通过了《个人信息保护法》
(Personal Information Protection Act,PIPA)。其中,关于个人信息的定义同样突出了识别的重要性。根据该法第2条的规定,个人信息是指“在世的个人的相关信息,包括通过姓名、居民登记号码、图像识别特定个人的信息”。韩国立法者的匠心之处在于,在凭借某一信息无法单独识别,但与其他信息结合起来可以识别特定个人的情形下,要求“考虑结合的难易度、获取其他信息的可能性如所需时间、花费、技术”来判断该信息是否为个人信息。
新加坡在2020年修订的《个人数据保护法》
(Personal Data Protection Act)在第2条规定,“个人数据是指可以从该数据或者机构已经或很可能可以获得的数据或信息中识别个体的数据,不管数据是否真实”。由此可以发现,新加坡关于数据概念的定义还关注到了数据真实性对个人数据的影响。从立法文本解读,数据即便不真实,但是只要满足了识别的标准,就仍在个人数据的外延之内。这种观点实际上将数据视为中性的,认为个人数据的真实与否不影响个人数据的判断。但必须指出,虚假的个人数据是否有立法保护的价值,以及对其进行立法保护是否存在现实意义,仍是一个值得探讨的议题。
我国香港地区关于数据保护的立法受到英美国家的影响,以“私隐”保护统括个人数据保护的路径。根据《个人资料(私隐)条例》
[Cap.486 Personal Data(Privacy)Ordinance]第2条的规定,个人资料是指符合以下说明的任何资料:其一,直接或间接与一名在世的人有关;其二,从该资料直接或间接地确定个人的有关身份是切实可行的;其三,该资料的存在形式使查阅及处理均是切实可行的。尽管该条例的中文文本使用了个人资料的表述,但其英文文本所对应的词汇是“data”即数据。这反映出“个人资料”“私隐”之类的表述差别纯粹是历史翻译的问题,并不影响实质内容。