你了解个人信息吗?
1 你了解个人信息吗?
网络时代的到来,数字技术的飞速发展,连接了虚拟空间和现实社会。为了占据在大数据时代的优势地位,个人信息是不同互联网公司争抢的资源。我们下载一个App可能会被要求必须填写姓名、手机号,进公园参观也会被要求必须参与人脸识别,这些强制收集个人信息的行为让很多人感觉到不满。同时,信息泄露、网络诈骗等侵害个人信息安全的各种问题频发,让人们对于自己个人信息的安全感到担忧。个人信息的保护成了大众关心的热点话题。但是你真的了解个人信息吗?到底哪些信息属于个人信息,需要什么样程度的保护?个人信息和个人隐私是什么样的关系呢?
一、什么是个人信息?
确定个人信息的范围对于个人信息保护来说至关重要,目前我国不同的法律对于个人信息的定义各有不同。《民法典》第1034条对个人信息作出规定,个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。《民法典》对于个人信息的定义采取了概括加列举的方式。个人信息需要满足三个要件:一是个人信息是自然人的各种信息,企业和各类组织的信息不属于个人信息;二是个人信息是以电子或其他方式记录的;三是能够单独或与其他信息结合识别特定自然人。这强调个人信息是可以直接或间接识别出特定个人的,比如姓名或者身份证号码可以直接识别出特定的个人,而学生的学号却难以直接识别出特定个人,但是一个学生的学号与所处的学校这一信息相结合就可以间接识别出特定的个人,因此这些信息也属于个人信息。由此可见,《民法典》对于个人信息的判断采用的是“识别”这一路径。
《个人信息保护法》第4条规定,个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。个人信息需要满足三个要件:一是个人信息是自然人的各种信息;二是个人信息是以电子或其他方式记录的;三是可识别的自然人有关的信息或已识别的自然人的相关信息。其中,“可识别的自然人相关的信息”指的是可以直接或间接识别出自然人的信息,一个信息如果可以识别出特定的个人,那么该信息必然是与该自然人相关,这一部分强调了个人信息的识别性;“已识别的自然人的有关信息”指的是已知特定的自然人,与该自然人相关的各种信息属于个人信息。这一部分强调了个人信息的关联性,也就是说,《个人信息保护法》采用了“识别+关联”的路径。推荐性国家标准GB/T 35273-2020《信息安全技术 个人信息安全规范》(以下简称《个人信息安全规范》)同样采用“识别+关联”的路径,根据《个人信息安全规范》,判定是否属于个人信息的路径有两种:一是识别,即从信息到个人,由信息本身的特殊性识别出特定自然人,个人信息应有助于识别出特定个人。二是关联,即从个人到信息,如已知特定自然人,由该特定自然人在其活动中产生的信息(如个人位置信息、个人通话记录、个人浏览记录等)即为个人信息。相较于单一的识别路径,识别和关联相结合的路径大大扩大了个人信息的范围,比如一个人的网站浏览记录,要根据一个人的网站浏览记录识别出特定的个人十分困难,难以用识别路径将该信息归为个人信息。但是如果采用关联路径,网站浏览记录与已知特定个人相关,可以属于个人信息。《个人信息保护法》对于个人信息范围的扩大,将原来难以被认定为个人信息的个人通信记录、好友列表、住宿信息、病历记录等纳入个人信息的保护范围,更加有利于个人信息的保护。
二、个人信息的分类
(1)个人信息与非个人信息
《个人信息保护法》第4条规定,个人信息不包括匿名化处理后的个人信息。匿名化(anonymization)是指通过对个人信息的技术处理,使得个人信息主体无法被识别或者关联,且处理后的信息不能被复原的过程。由于难以确定到特定的个人,难以损害到信息主体,因此匿名化后的信息属于非个人信息。但哪些信息属于匿名化处理后的个人信息呢?在现实生活中,例如淘宝公司公布的“00后年轻人最爱买的10个商品”之类的统计类信息,由于难以确定到某个人,属于非个人信息。除此之外,《个人信息安全规范》规定,通过匿名化技术处理后的信息也属于非个人信息。在使用这些匿名化的信息时,个人信息处理者不必遵守《个人信息保护法》中对于个人信息处理者的诸多要求,比如知情同意原则、最小化原则、目的限制原则等。对于个人信息处理者来说,非个人信息的流动更加自由,处理非个人信息时需要遵守的要求也更少。
匿名化往往与去标识化相对,去标识化(de-identification)是指通过对个人信息的技术处理,使其在不借助额外信息的情况下,无法识别或者关联个人信息主体的过程。匿名化和去标识化这两种技术手段都可以使得处理后的信息无法指向特定个人,但是匿名化后的信息结合其他信息也无法指向特定个人,永远不能被复原为个人信息。而去标识化后的信息却可以,因此去标识化后的信息仍旧属于个人信息,信息处理者需要遵守个人信息保护的规定。去标识化的技术包括假名、加密、哈希函数等。比如假名指的是将“张伟、男、上海市徐汇区”这一个人信息转变为“A、男、上海市徐汇区”,假名后的个人信息在没有技术帮助下难以直接识别到具体某个人,可以用于个人信息处理者的信息储存、交换等场景。
(2)个人信息与敏感个人信息
除了对个人信息和非个人信息作区分之外,《个人信息保护法》专门在第二章第二节中规定了敏感个人信息的处理规则。处理个人信息时,个人信息处理者需要满足取得个人同意、具有明确合理目的等要求;处理敏感个人信息的,个人信息处理者需要满足取得个人的单独同意、具有特定的目的和充分的必要性的要求。可见,处理敏感个人信息时对于个人信息处理者的要求更加严格。
《个人信息保护法》第28条规定,敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。敏感与否是一个非常主观的概念,但是《个人信息保护法》对于敏感个人信息的定义却采取从客观的角度,从该个人信息被非法处置可能对于其产生的危害性来进行判断。对于个人的危害性可以分为两种:一种是使得个人受到歧视,也就是使得个人受到不平等不公平的待遇,使得个人的人格尊严和基本权利受到损害。哪些信息容易使得个人受到歧视,与整个社会的文化传统、普遍价值观、风俗习惯都有着相关性。根据《个人信息安全规范》附录B的列举,比如个人病症、检验报告等个人健康生理信息或者宗教信仰、性取向、未公开的违法犯罪记录等,这些个人信息的非法使用可能导致个人在社会生活中遭受歧视。第二种是指可能导致个人人身、财产安全受到严重危害的个人信息。一些个人信息与个人财产安全密切相关,比如银行账户、存款信息、房产信息、信贷记录等个人财产信息;另外一些个人信息与人身安全密切相关,比如身份证、驾驶证、社保卡等个人身份信息,又比如基因、指纹、面部识别特征等个人生物识别信息。
由此可见,敏感个人信息对于保护个人人格尊严、基本权利和自由以及财产安全方面至关重要。区分一般个人信息与敏感个人信息,可以使得企业在进行个人信息保护时采取不同程度的措施。企业在处理一般个人信息时可以更加自由地流通和利用,而对于个人权利至关重要的个人敏感信息则更加注重信息安全的保护,需要采取更加严格的保护措施。这样的区分既可以减轻个人信息处理者的负担,同时也兼顾了个人信息保护,以实现个人信息处理者与个人利益的平衡。
三、个人信息与隐私
在现实生活中,个人信息与隐私的范围常常有所交叉,比如一个人的住所信息,属于个人信息,同时也属于个人隐私,我们经常把个人信息和隐私混淆,但这二者其实是独立的法律概念。《民法典》第1032条规定,隐私是自然人的私人生活安宁和不愿为他人知晓的私人空间、私密活动、私密信息。隐私的定义强调了隐私对于私人生活安宁的重要性,是个人不愿为他人知晓的空间、活动、信息。隐私并不一定是个人信息,它还包括私人空间、私密活动,比如擅自偷拍私人住宅、私人活动都属于侵害个人隐私,却不属于侵犯个人信息。个人信息也不一定是隐私,姓名属于个人信息,但是在大部分社会交往情况下,个人愿意披露自己的姓名,此时姓名并不属于隐私。
隐私权和个人信息权都属于人格权益,但是二者同时也有所不同。个人隐私权的重心在于防止个人秘密不被披露,属于消极的防御权利,权利人可以在隐私受到侵害的时候要求停止侵害或排除妨碍。法律对于隐私权的保护在于防止隐私的侵害,强调保护人格尊严。个人信息权除了意味着可以抵抗他人对于个人信息的侵害外,还意味着个人也可以更加主动地主张自己的权利,可以对个人信息进行利用,比如个人可以与App运营者签订用户协议授权对方使用个人信息,也可以要求更改、撤回、删除个人信息,个人有权利对于个人信息进行控制。法律对于个人信息的保护主要在于自然人对于个人信息的自决权。由此可见,法律对于个人的隐私和个人信息的保护重点并不相同。因此,在法律面对隐私和个人信息的重叠部分,也就是个人的私密信息时,《民法典》第1034条规定:“个人信息中的私密信息,适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定。”可见当信息同时属于隐私和个人信息的私密信息时,《民法典》优先适用关于隐私权的规定,这体现了法律对于人格尊严的重视。