日本《个人信息保护法》对个人信息的界定

2020-09-02 07:06钟文博
大经贸 2020年6期
关键词:个人信息保护法界定个人信息

【摘 要】 日本在个人信息保护方面的研究肇始于上世纪70年代,在2003年颁布了专门的《个人信息保护法》,并于2015年公布了修正案。日本个人信息的概念脱胎于隐私,并与隐私相区别,在立法时创造性地引入了识别性标准,个人信息被界定为与活着的个人相关联的且能识别出特定个人的东西。在修律的过程中,结合大数据技术的发展现实,增添了“个人识别符号”的概念以扩展个人信息的范围。

【关键词】 日本 个人信息 界定

界定个人信息,首先是要给它下一个定义,明确个人信息的概念,再以一定的标准来判断某事物是否是个人信息,这是适用《个人信息保护法》的前提。日本在个人信息方面的研究起步早、成效显著,且日本的《个人信息保护法》实施已有15年,较成熟的个人信息界定方法与标准对于文化相近的中国很有借鉴意义。本文主要分析日本《个人信息保护法》是如何界定“个人信息”的,希望能对我国将来立法时的“个人信息”界定有所裨益。

一、日本《个人信息保护法》对“个人信息”的界定

(一)界定的基础:区分个人信息与个人隐私

1890年,美国的两位法学家布兰蒂斯和沃伦在哈佛大学《法学评论》上发表了一篇题为《隐私权》的文章,这是“隐私权”一词首次问世。在日本,隐私权作为私法上的权利得到确认的标志性案件是1964年的“盛宴之后案件”,被作为公民基本权利对待的司法案例是1969年的“京都府学联”案件。而“个人信息”之概念是伴随着计算机网络技术的应用而诞生的,1988年出台的《关于对行政机关持有的计算机处理的个人信息加以保护的法律》,这是专门针对个人信息保护的首次国家层面的立法。可见,个人信息较个人隐私的产生要晚,但立法更早。在日本宪法学界,把隐私当作“自我信息管控权”的见解居于通说地位,日本宪法学者奥平康弘认为,隐私通常是指个人自由决定何时、何种方式、何种程度来向他人传递与自己有关信息的权利,宪法学者芦部信喜在其著作《宪法》中这样写道:隐私权是消极的,不允许他人擅自干涉私人领域的自由;但信息化社会的进步,这项权利已经被认作是“对自己信息的控制权”。

但在民法领域,把保护私人法益的隐私当作“自我信息管控权”的见解却受到强烈批评。隐私权从产生起主要就是一种精神上的人格权,对权利人隐私的侵犯往往也表现为精神上的打击与痛苦,而个人信息既包括精神价值也包括财产价值,并且后者是主要的。虽然日本至今尚未制定有关隐私保护的专门法律,对隐私的概念、内涵没有法定的释义与界定,学者们在该领域也长期存在争议,但是一个基本的共识已经形成:即隐私与个人信息的内涵有重合部分,个人信息内涵更宽广。当时还是筑波大学图书馆信息系副教授的新保史生在其專著《隐私权与个人信息保护》中,以一张图表精炼地概括出隐私与个人信息的关系。

(二)界定的核心:识别性

2000年9月战略本部设置的“个人信息保护法制化专门委员会”提出了《关于个人信息保护基本法大纲草案》,2003年日本联合执政三党完成修正案,在个人信息的定义上引入了核心要素——识别性,只有能够识别出对应的特定个人的信息,才属于该法的调整范围。换言之,即使某信息足够重要,若无法识别到特定的人,那么该信息也就没有权利人,也就不能对特定的人造成侵害,也就不属于《个人信息保护法》所调整的范围。基于此规定,一时甚嚣尘上的日本最大电信企业都科摩向第三方提供用户信息的丑闻,因为无法识别到具体的个人,尽管遭到了广大用户的强烈反对和谴责,但并不违反“识别性”的要求,最后也未将都科摩的行为认定为侵权。

为了促进信息化时代产业的发展,2015年版的《个人信息保护法》引入了信息匿名加工的概念。匿名加工的目的是去“识别性”,本来就不具备识别性的个人信息自然不在此列,而个人信息处理业者对获取的具备识别性的个人信息匿名加工,加工后的个人信息不再具备“识别性”,但可以通过计算机检索为需要的第三者提供有益的数据。因此,原本就不具备识别性的信息与经过加工后丧失识别性的信息都不属于《个人信息保护法》中个人信息的范围。

(三)界定的考量因素:个人信息的区别对待

日本《个人信息保护法》第23条规定:个人信息处理业者除了下面列举的情形,没有事先获得本人的同意,不得将个人资料提供给第三者:一是基于法令的规定;二是为了保护人命、身体及财产,有必要但又很难获得本人的同意时;三是为了提高公共卫生、促进儿童的健康成长,极有必要却难以获得本人的同意时;四是国家机关、地方公共团体或接受其委托的人实施法令规定的事务,确有必要配合但如果取得本人同意可能妨碍事务的进展时。即上述四种情形下,因为涉及到的个人信息可能违法、与违法行为相关或关系社会公共利益,这时依据价值位阶原则,对个人信息的保护要受到限制,所以个人信息处理业者可以未经本人的同意将获取的个人资料提供给第三者。

再者,未公开的个人信息自然属于保护范围,对于已公开的个人信息日本《个人信息保护法》并没有明确规定适应条件,笔者认为,已公开的个人信息不可一刀切,而要区别对待。依法公开的个人信息,大众自然可以获取,但不能违法利用,个人信息权利人主动公开的信息,也应当参照依法公开类信息进行规定;而非法公开的个人信息,大众自然也能知悉,不可能禁止人们去获悉已经公开的信息,信息一旦泄露就失去了秘密性,这是无法挽回的,只能对非法公布者予以惩戒。

二、《个人信息保护法》中“个人信息”的界定标准

(一)主体是活着的自然人

“个人信息”顾名思义首先是以“个人”、即“自然人”为主体,这是毋庸置疑的,但对自然人的生存状态要求,一直存在争议。否定说主张个人信息的主体只能是活着的自然人,1984年英国《资料保护法》规定:个人资料是由有关一个活着的人的信息组成的资料,对于这个人,可以通过该信息识别出来。英国1998年的《资料保护条例》也坚持了“活着的人”的规定。1998年瑞典《个人数据法》规定:各种可以直接或间接地和某一个在世自然人相关联的信息。肯定说主张个人信息的主体是自然人且不论死活,如1992年欧洲理事会的《理事会数据保护条例》认为,只要这种信息与个人有关,不论是死活。日本立法采取的是第一种意见,只有活着的自然人才能是个人信息的主体,对于死者的信息,如果造成了侵权,则通过民法、侵权责任法或刑法来维权。

(二)个人信息要具备识别性

日本《个人信息保护法》将“个人信息”定义为:与活着的个人相关联的,一切可以识别出特定个人的东西。个人信息有很强的识别性,单一的信息(如电话号码、身份证号、指纹、血型)或者信息组合(如姓名、照片、病例、学历、职业),只要能够识别到具体的个人,那么就应该被界定为个人信息,就应该受到保护。在此基础上,日本《个人信息保护法》第四章第二节特别规定了匿名加工制度,第36条第一款:个人信息处理业者在将个人信息匿名化时,为了无法识别到特定的个人以及无法恢复操作中用到的个人信息,必须根据个人信息保护委员会的规则制定的基准,加工个人信息。

识别性是个人信息保护的关键,具备识别性才能对应到特定的权利人,而各行各业的发展同样会利用到海量的信息,在保护个人信息时同样也要确保行业的平稳运行。进一步,对匿名加工的方法细化,明确权责,确保个人信息能够充分地去识别化,又能保留有益成分为行业所利用。当个人信息还能识别到特定个人时当然是《个人信息保护法》的调整对象,当其经过匿名加工后不再具备识别性,也就不再属于个人信息的范围。

(三)个人信息与隐私相区分

同时满足上诉两个判断标准后,也不一定就是个人信息,还要注意与隐私区分。之前已经讲了个人信息与隐私的关系,两者交叉的部分自然可以认定为个人信息加以保护,但专属于隐私的部分则不能界定为个人信息。隐私权更倾向于消极、防御的权利,具有不愿为他人知悉的私密性,于是其利用价值也较低,比如说私生活,在救济上也是以“亡羊补牢”为主,相比而言个人信息的范围就宽广得多,只要能够识别出特定个人的身份,不论是私密的或一般性的信息都属于其调整范围,信息本身的属性使其利用价值突出,于是它更多的是积极的、控制性的权利,对信息的保护也以预防为主;隐私权的内容主要包括个人的私生活安宁、个人秘密不被公开、个人私生活自主决定等,重点在一个“隐”上,而个人信息则侧重于支配与利用,且与国家安全、公共利益的联系更加紧密。

三、对中国个人信息保护的启示

(一)兼顾个人信息权利人的利益与信息价值的发挥

在信息化时代,尤其是大数据技术突飞猛进的今天,信息就是资源,其商业价值、市场价值、社会价值、战略价值日益凸显并受到人們的重视,为了兼顾个人信息保护与产业发展,在界定个人信息时应尽量在二者间找寻平衡点。借鉴日本统筹兼顾、互利双赢的立法思想,也是我国的个人信息保护的可取之道。一些国家所谓的史上最严个人信息保护立法、比最严还严的个人信息保护立法,几乎都过于放大个人信息的范围 ,过犹不及的保护使得企业的发展、甚至居民的日常生活都束缚重重。要正确界定个人信息的范围,首先要坚持保护个人信息权益与发挥信息的有用性并重的宗旨,确保“信息保护”与“自由流通”相辅相成,不能偏废。若个人信息的范围过大则处处受限,若范围过窄则肆无忌惮,将个人信息的范围规定在一个适当的范围才能互利共赢。

(二)注意与个人隐私的关联

隐私权与个人信息存在着千丝万缕的关系,两者不是非此即彼的对立,日本最初的个人信息立法之初衷便是保护个人隐私,厘清两者的关系是正确定义个人信息的前提。个人信息的核心要义是自决,隐私的中心则是私密,前者更倾向于财产属性(如学历、身份、信用、工作、消费记录),后者则具有浓厚的人生属性(如私生活、日记、照相薄、生活习惯、通信秘密、身体缺陷),还有一些可归于两者间的重合地带(如姓名权、亲属关系、名誉权、肖像权等)。由于国内尚无专门的隐私权立法,且学界对隐私权的内涵及范围存在争议,那么在对个人信息界定时,有赖对隐私权的充分认识,正确厘清双方的界限,不可使交叉重合范围过大化。

(三)准确把握个人信息的识别性

在识别性界定模式中,个人信息是指根据信息与信息主体之间客观存在的某一可能性,进而确定特定人身份的信息。相对于隐私性界定模式,识别性界定模式以承载个人信息的客体是否能够被大众或者他人所识别作为判断个人信息的核心要素,对个人信息的界定标准亦更为明确,因此在立法上的应用更为普遍。依据识别需要的信息数量,单一的信息就能识别到特定个人的是直接识别,需要同其他信息组合才能识别到特定个人的是间接识别。大数据在运营中对个人信息的利用,为了保护权利人的利益,会通过基于数据失真的保护技术、基于数据加密的保护技术和基于数据匿名化的保护技术等技术处理,使得个人信息去识别化,保护权利人的信息不被泄露、买卖、非法使用。

结 语

个人信息保护是大数据时代与公民信息保护意识增强的迫切需要,目前我国尚无统一的个人信息保护立法,对个人信息的界定也分散,而明确“个人信息”的内涵与范围是首要解决的问题。文化基因近似的日本在个人信息保护上已经较为成熟,《个人信息保护法》第一条就确立了“兼顾个人信息权利人的利益与信息价值的发挥”的立法宗旨,并确定了个人信息界定标准,之后分则所规定的识别性、对已公开信息的保护、特殊情况下的个人信息保护让位都非常具有现实意义与操作性。在将来的立法中,既要借鉴日本的有益成果,也要争取后来者居上,进一步厘清与相关概念的关系,以减少司法实践中的歧义,在切实保护个人信息的同时也能促进产业发展。

作者简介:钟文博(1993—),男,汉族,四川省成都市人,法律硕士,单位:湘潭大学法学院,研究方向:行政法。湖南省湘潭市 邮编:411105

猜你喜欢
个人信息保护法界定个人信息
如何保护劳动者的个人信息?
个人信息保护进入“法时代”
警惕个人信息泄露
个人信息保护法域外效力研究
对“卫生公共服务”的界定仍有疑问
个人信息保护等6项通信行业标准征求意见