《民法典》术语“个人信息”的名与实:“个人信息/数据/资料”辨析
摘 要:比较个人信息、个人数据和个人资料这三个近义术语才能厘清《民法典》术语“个人信息”的名称与内涵。“个人信息”之“实”主要反映在立法文本中“个人信息”的定义之中,作者分析了个人信息的权利属性、定义方式、定义要素以及主体权利的内容,从词典、立法文本以及中文法学著作和论文三个层面考察“个人信息”之“名”,发现信息/数据/资料的名称在《民法典》中有着统一且有规律的表述,且在通用汉语词典释义中未造成混淆。个人信息、个人数据和个人资料在中国大陆立法文本中具有一定使用规律,但是在中文法学著作和论文中三个术语彼此干扰、互相混淆的情况较为明显。文章总结出干扰原因主要有三个,同时挖掘出这类术语在中文立法文本中的使用规律,为中国地方立法以及中国大陆学者在著作和论文中引用域外法规提供指引。
关键词:中文变体;个人数据;个人资料;权利属性;个人信息权益
On Name and Nature of Personal Information as a Legal Term in The Civil Code:Discrimination of Chinese Synonyms Personal Xinxi/Shuju/Ziliao//YE Xiang
收稿日期:2021-05-05
基金項目:国家社会科学基金重大项目“一带一路沿线国家法律文本翻译、研究及数据库建设”(18ZDA157);山东省社会科学规划研究项目“《毛泽东选集》平行语料库的中国政治制度特色话语英译研究”(19CWZJ36);山东省高等学校人文社会科学研究项目“基于语料库的《毛泽东选集(1-5卷)》汉英翻译量化分析与对比研究”(J18RB202)
引言
习总书记在中共中央第十四个五年规划和二〇三五年远景目标的建议中提出“加快数字化发展”战略规划[1]。数字化战略和信息科技改变社会生态,个人信息在网络空间易获取,个人信息权益亟须得到保护。《民法典》第一编总则第111条、第127条和第四编人格权编第999条、第1029条、第1030条、第1034条至第1039条共11个条文回应了自然人、法人和非法人该如何在法律框架内合规处理网络空间中泛在的个人信息。为了保护个人信息权益,近年各国掀起不断修订个人信息/数据/资料保护法的热潮,我国也不例外。2020年10月21日公布的《个人信息保护法(草案)》衔接《民法典》,对个人信息保护做了细化规定,由此,“个人信息”之“实”得以框定。
然而,“个人信息”之“名”却因为法律术语“个人信息”“个人数据”和“个人资料”界限不清,给中国大陆推进相关的地方立法、海内外就个人信息/数据/资料保护为主题进行的学术交流造成较大的困扰。在中国大陆中文语境的日常语域中,“信息”“数据”“资料”三个术语在通用汉语词典中界限分明,而合成词“个人信息”“个人数据”“个人资料”属于法律术语,也属于新词,多数通用汉语词典尚未收录。在中国大陆的中文立法文本中,已区分“信息”“数据”“资料”;中国港澳台地区的立法文本,高频使用“個人资料”,中等频率使用“个人资讯”,很少使用“个人数据”。再者,“信息”“数据”“资料”在中文法学论著与论文中纠缠不清,尤其是中国大陆法学学者之间术语使用不统一,个别学者早年和现在使用同一术语时前后期不统一;同时中国台湾地区的法学学者之间术语使用不统一。而两岸法学学者彼此进行学理切磋时,又加剧了这种术语混用的局面。造成这一局面的根本原因是翻译在法律引介和移植过程中规范性(prescriptive)功能不足,描述性(descriptive)功能溢出。
有学者从易于遵循法律、实现保护人格权法益目的、扩大保护效果优于立法术语的字斟句酌等善意的角度,提醒“立法时不宜严格区分数据与信息”[2]。这从最合理地利用有限的立法资源角度来说很恰切。但是,如果能探寻出“个人信息”“个人数据”和“个人资料”在中文法学论著与论文中纠缠不清的原因,在中文立法文本中呈现出来的渐趋清晰的使用规律,实现术语的界清名正、名实两得,这或许让人们更易于遵循法律、实现保护人格权法益的目的。名不正,则言不顺,所以从语言学和法学角度厘清术语“个人信息/数据/资料”名称和定义的内涵、外延的区别以及造成区别的原因,具有学理意义。我们以《民法典》“个人信息”术语的名称和定义为考察中心,以我国大陆和台湾、香港、澳门地区个人信息保护法、新加坡2012年《个人数据保护法令》、欧盟2018年《通用数据保护条例》(GDPR)、美国1974年《隐私权法》等特别法中的“个人信息”或相近的术语为对比参照物,探究中文法学著作与论文中术语纠缠不清的原因,中文立法文本中术语的使用规律,为后续立法、修法扩张中定名正名提供依据。
1 “个人信息”之实
1.1 《民法典》中的个人信息权益
《民法典》作为法律语域中的一个独立语篇,从权利属性上对“信息”和“数据”做了区分,即从“信息”和“数据”语义结构的社会意义上区分了这两个名称的语言形式。从《民法典》的框架来看,在总则编中,“信息”和“数据”分别放在第111条和第127条,分属人格权和财产权之下的具体权利,那么个人信息涉及一种具体的人格权,数据财产涉及一种具体的财产权,个人数据财产也有财产权属性。从是否涉及用益物权的角度,“个人信息”并不必然涉及用益权,也不强调该权益,而“个人数据”的落脚点则在用益物权上。区分“信息”与“数据”涉及的法律权利就可以界定“个人信息”与“个人数据”在用益物权上的不同导向。数据用益权包括控制、开发、许可、转让四项积极权能和相应的消极防御权能,在公平、合理、非歧视原则下行使各项权能可以平衡数据财产权保护与数据充分利用两种价值[3]。
《民法典》第111条关于个人信息和第127条关于数据的条款对自然人而言,是民事权利的宣誓性规定,更是确权性规定[4]。尽管《民法总则》自2017年10月1日起施行后,有学者呼吁在立法中规定个人信息权,“出于维护民事权利理论与制度体系完整性与一贯性的考虑,我国宜采用大陆法系国家的通行做法,在民法等部门法中设立独立的具体人格权实现对人格利益的保护”;《民法典》生效前,学者对个人信息权的定位有三种看法:人格权、财产权或双重属性权利,但“多数学者认同其是一项独立的民事权利”[4]。虽然我国《民法典》和《个人信息保护法(草案)》(仍在公开征集意见过程中)未明确规定“个人信息权”,但是围绕个人信息和数据分别独立确权,而不是停留在权能层面的思路已渐趋清晰,探索性的操作路径也逐渐明晰:个人利益为主、财产利益为辅的二元结构个人信息权;所有权与用益权分离的二元结构数据财产权;个人数据的权利不是可积极利用的绝对权,而数据企业的数据权是绝对权[3-5]。
《民法典》适应新的数字化经济业态,将数据看作独立权利客体,往数据财产权贴合,使个人数据从个人信息中剥离出来。《民法总则》未区分“个人数据”和“个人信息”,《民法典》首次从立法上区分“个人数据”和“个人信息”,实际上是将涉财产权的个人数据从个人信息中独立出来,建构个人数据财产权并予以确权的第一步。《民法典》将个人信息与数据(不是个人数据)分置于体系位置稍远的两个条款的设计构成了“差序结构”,以权利属性区分信息与数据具有建构权利新样态雏形的初始意义[3]。
虽然《民法典》没有规定个人信息权,但是法典却从权利属性这一内涵上区分了“个人信息”和“个人数据”,又从外延的涵盖范围确定了“个人信息”与“个人数据”是包含和被包含关系;体现在权利属性上,个人信息权益处兼有具体人格权和具体财产权的双重属性,这种区分实际上不仅扩张了“个人信息”的权属内涵,而且还扩张了其外延。《民法典》对个人信息含义做扩张处理的法律意义体现在个人信息损害赔偿立法及其理论上可谓比较重大。《民法典》出台前,我国“个人信息保护立法未明确侵害个人信息控制权的损害赔偿额,个人信息控制权的法律属性为人格权”,个人信息遭受侵害后“只能依照《侵权责任法》第20条和第22条的规定确定损害赔偿额”[6]。“个人信息权直接保护的利益是个人利益,因而个人信息权是人格权的一种”,也是“新型的精神性具体人格权”[7]。王利明教授主张的精神损害赔偿加财产救济的方法在2020年10月发布的我国《个人信息保护法(草案)》第65条已实现[8]。该条明确了因个人信息处理活动侵害个人信息权益的,按照个人因此受到的损失或者个人信息处理者因此获得的利益承担赔偿责任;个人因此受到的损失和个人信息处理者因此获得的利益难以确定的,由人民法院根据实际情况确定赔偿数额。“高度可能性”的证明标准可用来证明侵害个人信息的行为,由法官结合案件事实并综合考虑相应的因素加以确定;侵害个人信息给受害人造成的财产损失无法证明时,应当适用法定数额的赔偿[9]。
1.2 “个人信息”定义的互文性
“个人信息”的定义出现在多部法律法规中,构成篇际互文,分析互文性(intertextuality)对理解“个人信息”定义内涵的历时变化具有重要意义,便于了解《民法典》的“个人信息”定义从其他法规中借鉴了哪些元素。任何文本都有其他文本的痕迹(traces),一个文本中的其他文本就是互文本(an intertext)[10]。“文本间相互对话、置换”,“个人信息”的定义出现在不同法律法规中,这是法律文本的一种对话方式,也是法律文本译入译出时以法律移植、置换表现出的文本的“本质特征”[11-12]。《民法典》第四编第六章中的“个人信息”定义汲取之前法律法规的痕迹非常明显,是一种立法推进过程中意义的“建构”,也是法律文本的另一种本质特征[12]。
篇际互文性(interdiscursivity)强调对语篇资源的混合、内嵌和移植[13]。我国《民法典》和《个人信息保护法(草案)》中的“个人信息”与各国英文版法律法规中的personal information/data/material,恰好符合广义互文性与篇际互文性对文本内外身份、主体、意义、社会历史现实以及不同法系和中英双语间的动态联系与转换。
在中文法律文本中,《民法典》“个人信息”定义借鉴了其他法条中“个人信息”的定义或表述,通过对比不同的定义,找寻《民法典》定义中的互文本并分析法律借鉴背后的原因,探究互文性对把握“个人信息”定义中语义要素的作用,对理解该定义的文本内涵有着非比寻常的意义。
规定有“个人信息”的法律、全国人民代表大会常务委员会的决定、行政法规、部门规章、部门规范性文件、国家标准、最高人民法院和最高人民检察院的司法解释及规范性文件多达数十部(个),计数百个条文[14-16]。经过逐一梳理对比,《民法典》“个人信息”的定义从内容相似度来看,亲缘关系最近的有2016年11月7日出台的《网络安全法》和2017年6月1日施行的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》。《网络安全法》兼有公法私法性质,司法解释针对公民,而《民法典》保护客体为自然人。《民法典》第1034条对个人信息的定义是“自然人的个人信息受法律保护。个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等”。在《民法典》颁布之前个人信息的界定,“最为权威的当属(2016年11月7日出台的)《网络安全法》”第76条的规定:“个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。”司法解释中的定义:“公民个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者和反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。”
与《网络安全法》相比较,《民法典》的定义增加了“特定、电子邮箱、健康信息、行踪信息”共14个字,删掉了“但不限于”4个字。删除“但不限于”是出于精简考虑,因为立法技术上“等”字已实现兜底目的。“特定”自然人是指自然人个体的确定性,也指个体的可识别性,反映了该定义内涵的本质要素:可识别。该定义是概括加列举式结构,列举项中增加了“电子邮箱、健康信息、行踪信息”3项,反映了从《网络安全法》到《民法典》4年期间识别自然人的新增要项,也反映了社会生态的变化,侧面实录了新冠肺炎公共防疫大背景下让渡部分个人利益确保社会公共利益的关系。从内涵的要素扩张上看,健康信息、行踪信息从事关个人身体状况、人身安全的信息多增了一项要素:事关社会公共卫生安全的信息;数年前“行踪轨迹信息显然难以纳入狭义的‘身份识别信息’的范畴”,现在已成为通过个人行为习惯识别个人身份的一块信息肖像拼图[16]。
对比该司法解释,《民法典》上述增添的其中2项信息“电子邮箱”“行踪信息”,已在司法解释的定义中以略微不同的表述但内涵大不相同的“通信联系方式”“行踪轨迹”出现。《民法典》的定义对通信联系方式从种类上进行了限缩,对行踪轨迹从内涵上进行了扩张。当前基于高速互联信息技术的通信联系方式纷繁多样,视频即时交互、一对多直播、不指定对象约附近陌生人以及自动搜索批量加好友的通信联系方式很受当下各个年龄段群体青睐,但是《民法典》将其限缩至正式程度高、联系目的明确的电子邮箱,体现了《民法典》第1032条保护自然人私人生活安宁和不愿为他人知晓的私密性用意,也反映了第1034条保护信息主体免受识别的用意,避免其身份被信息科技、数据挖掘加工技术轻易识别出来。扩张行踪轨迹为行踪信息,也同样包含了保护信息主体安宁、私密、免受识别的三层用意。两相比较,行踪信息样态中增加了虚拟空间、虚拟加现实交叉印证的混合空间。虚拟空间和混合空间样态的行踪信息最典型的是“个人网络行为轨迹信息”,包括但不限于浏览器搜索關键词,用户操作记录(网站登录记录、软件使用记录、点击记录),通过互联网观看、收听、阅读一切视听内容的记录,支付软件的交易记录,软件翻译记录,位置踪迹,网购足迹,智能穿戴设备收集的身体体征信息,系统错误报告信息,用户改善计划等[17]。这些样态的行踪信息与个人信息权益相关,与刑法上出于保护主体人身财产安全的行踪轨迹在保护信息主体的权利属性上非常不同。
1.3 术语的定义方式、要素及主体权利
中英文法条中“个人信息/数据/资料”定义方式、定义要素以及个人信息/数据/资料的主体权利会有差别。首先,定义方式或定义的结构是定义内涵的一部分。《民法典》的定义方式采用概括加列举式,与欧盟《通用数据保护条例》等4部法律法规的定义方式相同。概括方式可以确保定义的框架架构和内涵的开放性,法律适用时可以将社会生态变化的部分纳入定义的释义。而列举方式可以明确定义的重点。《民法典》作为一般法采用这种定义方式可以发挥与时俱进、明晰重点的优势。
其次,可识别是表1中各部法律法规定义中都包含的定义要素,也是必备要素,表明可识别性是衡量人格尊严价值和个人信息/数据/资料权益是否受损的首要要素。此外,表1定义中包含个人信息/数据/资料主体权利的有《个人资料(私隐)条例》(中国香港)和《个人数据保护法令》(新加坡),前者包含了所有的权利,后者仅包含了查阅权。表1中其他法律法规是在定义以外的法条中列明主体权利的。《民法典》的个人信息主体权利全部是基于请求权,而特别法《个人信息保护法(草案)》接续《民法典》加以补充,增加了知情、决定、限制和拒绝4项权能。两部法律共同编织了保护个人信息权益的严密法网。
2 “个人信息”之名
2.1 从词典释义出发
中国大陆的汉语词典构成了观察日常生活语境中大陆普通人是否混用、如何区分“信息”“数据”“资料”的日常语域。依据《汉语大词典》,信息在现代科学中指“事物发出的消息、指令、数据、符号等所包含的内容”;“人通过获得、识别自然界和社会的不同信息来区别不同事物,得以认识和改造世界;在一切通讯和控制系统中,信息是一种普遍联系的形式”。由此,信息既是一种载体承载的内容,也是识别、认识、改造世界的手段,更是普遍联系的形式。同样依据《汉语大词典》,数据指“进行各种统计、计算、科学研究或技术设计等所依据的数值”。资料指“用做依据的材料”。
中国大陆的另一部词典《现代汉语词典(第6版)》并没有混用“信息”“数据”“资料”。对数据的定义与《汉语大词典》的定义一字不差,但对信息的定义范围很窄,仅从信息论视角出发,指“用符号传送的报道,报道的内容是接受符号者预先不知道的”,只强调符号传送过程中接受方对新内容的需求,远远未包含信息产业中泛在的符号生产、流通、应用方面。而“资料”指“用作参考或依据的材料”,比《汉语大词典》的定义在资料的功能上多了“参考”这一功能。分别基于两个语素的“信息”与“数据”衍生的复合合成词“信息库”与“数据库”在《汉语大词典》中未列出,但在《现代汉语词典》中列出并予以定义①。信息库指“储存某类信息,供查检分析用的资料库(多用计算机存储)”,该定义强调储存分门别类的内容,还强调了常见的存储方式。数据库指“存放在计算机存储器中,按照一定格式编成的相互关联的各种数据的集合,供用户迅速有效地进行数据处理”,该定义强调存储载体。尽管“资料库”概念出现在“信息库”定义中,会造成混用的可能,但资料库在中文语境中使用频率非常低,而且资料库的存储方式是传统的纸本、微缩胶片等形式,与现代科学疏离感很强,所以定义中以资料库解释信息库造成“资料”与“信息”在中文语境中混用的可能性极低。
简而言之,在中国大陆的中文语境中,信息是现代科学范畴中的内容,具有识别、认识、改造和联系功能。数据是与现代科学和技术相关的数值。资料是弱化时代特征、去科学技术属性、隐去载体形式的、用于构建因果逻辑关系的宽泛材料。“信息”“数据”“资料”三者界限分明。主流汉语词典没有用一个概念(术语)定义另一个概念(术语),即术语定义中没有出现近义的另外两个术语。这两本权威且流行的汉语词典为普通人在日常语域中正确使用“信息”“数据”“资料”起到了该有的正名划界的作用。
2.2 从立法文本出发
2.2.1 《民法典》中术语的能指与所指
以《民法典》中文语篇为分析对象,可考察中文名称的能指与所指关系;以《民法典》中英双语语篇为分析对象,可考察中文名称到英文名称翻译过程中,中文语境中的能指与所指的对应关系在英文语境中是否会发生变化。法条中术语名称的法律内容和语言形式通过翻译移植;而在法律术语移植中,翻译通过重新搭建能指(形式)与所指(内容)的连接关系,能起到法律术语的内容在新的语言形式下的调适(adaptation)作用。我们以《民法典》中文本及其英译本(全国人大法工委译本、北大法宝译本)为考察对象,探索跨语言借鉴过程中,信息、数据、资料、information、data、material 6个术语,能指(形式)与所指(内容)的对应关系。
我们将能指和所指关系的讨论范围限缩在特定语篇《民法典》中,甄别上述中英文6个术语的本质要素就更加具有针对性,区分术语内涵(connotation)的目的就能够实现。从表2中可以发现中文能指与中文所指的对应关系有一对一(信息)、一对二(数据)、一对四(资料)的情形,《民法典》在区分中文术语信息、数据、资料的内涵上,逻辑清晰程度由高至低排序分别为“信息”“数据”和“资料”。
2.2.2 中国大陆法规对个人信息/数据的区分
包含“个人信息”名称并设专条予以定义的中国大陆重要的法律法规有以下几类。第一,《刑法》第253条之一规定的“公民个人信息”以及2017年6月1日施行的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第1条列明的“公民个人信息”范围,这是从公法意义上界定涉及人身财产安全、隐私的公民个人信息。第二,《民法典》第111条从民法意义上界定关乎人格权的自然人个人信息。第三,特别法对个人信息的界定,例如《个人信息保护法(草案)》第4条以及《网络安全法》第76条。此外,部门规章从部门或行业类别角度界定个人信息,包括《电信和互聯网用户个人信息保护规定》第4条“用户个人信息”,部门规范性文件有《寄递服务用户个人信息安全管理规定》第3条“寄递用户个人信息”,国家标准有《信息安全技术个人信息安全规范(GB/T 35273—2017)》第3条之一“个人信息”和《信息安全技术公共及商用服务信息系统个人信息保护指南(GB/Z 28828—2012)》第3条之二“个人信息”。
在中国大陆立法文本中涉及“个人数据”的法规主要有2020年7月15日发布的地方性法规《深圳经济特区数据条例(征求意见稿)》,兼及“个人信息的数据活动”的法规有2020年8月30日发布的《数据安全法(草案)》。前者第101条第2款规定“个人数据包括个人信息数据和隐私数据”,即包括识别自然人身份的数据和关乎自然人安宁与私密的数据,将“个人信息”做了限缩解释,框定在识别个人身份的内容范围内。后者以国家主权、安全、发展为立法目的,未出现术语“个人数据”,但在第49条规定“涉及国家秘密或个人信息的数据活动,遵守相关法律法规的规定”。
2.2.3 术语译入对名称的形塑作用
我们有必要考察各国家/地区/组织“个人信息/数据/资料”在特别法中的名称(表3),探索立法文件翻译对术语名称的规范性或描述性形塑作用。个人信息保护法所保护的客体,其名称仅在中文、英文表述上可谓形形色色,但背后并非无规律可循。
从表3中,可以发现地域惯习、大国或重要组织的影响力、译者的选词以及法律语域之外语言的影响是名称表述得以固定下来的四大重要因素。首先,特别法中个人信息保护法所保护的客体的名称呈现出较为明显的地域特征。欧洲倾向使用data(但俄罗斯使用information),北美、大洋洲使用privacy,亚洲主要使用information(中国大陆、日、韩)和data(中国港澳台、新加坡使用data;但菲律宾使用privacy)。其次,可以看到美国对经济合作与发展组织、以色列、菲律宾立法名称上的影响。
再者,法律移植过程中,术语译入中国大陆对术语的中文名称定名影响较大。我们利用翻译引介了数十部个人信息/数据/资料法规,国内立法服务③。以德国联邦层面Datenschutzgesetz (Data Protection Act)的名称为例,1977年制定,1994、1997年分别修正,2001年5月再次修正(旧版BDSG,Bundesdatenschutzgesetz),2018年5月25日生效的新版BDSG。2002月1月,旧版BDSG全文由冉德勇译为中文,译者选择《德国联邦数据保护法》这一名称[19]。新版BDSG的中文名继续沿用《联邦数据保护法》,其中第46条即为“个人数据(personenbezogene Daten)”的定义④。不过,2004年学者齐爱民撰文时选择了《德国联邦个人资料保护法》的名称,还介绍该法的正式名称是《防止个人资料处理滥用法》,人们习惯称其为《个人资料保护法》[20]。2005年开始,齐爱民以“个人信息”指称中国大陆的personal information,以“个人资料”指称“personal data”,改变之前仅以“个人资料”笼统指称对应的多个外文术语[21-23]。此外,翻译规范性不足使得不同近义名称之间的界限变得模糊,降低了法律名称的严谨性。欧盟官网下的“欧盟法律”多语数据库收录了多达24个语种的General Data Protection Regulation(GDPR)全文,但是未收录中文译本,所以这部法律被随意指称,尽管data被统一译为“数据”,但是中文译名有3个:通用数据保护条例(维基百科和百度百科;也是学界常用译名)、一般数据保护条例(知乎)、一般数据保护法(国家金融IC卡安全检测中心安全实验室提供了GDPR全文译文)[15]。
2.2.4 港澳台中文变体与外文对照本对名称的影响
中国大陆、台湾、香港、澳门的中文立法文件中,与术语名称的简繁体相对应的是四个地域衍生出不同的中文变体,这对术语跨地域、跨法域互通互用造成很大的干扰。从特别法立法文本术语内涵来看,大陆简体中文双语素合成词“信息”对应中国台湾地区繁体的双语素合成词“資訊”。此外,中国港澳台地区使用的繁体字“資料”(如表4)与大陆使用的简体字“资料”反而在法律效应上不等效,在大陆与之等效的是简体字“信息”和“数据”。
港澳台地区个人资料保护法的官方外文文本作为中文本的对照文本,虽然为法律翻译提供了便捷的参考来源,但是却赋予了翻译描述性功能在立法文本翻译中扩张适用的正当理由。术语名称英译中呈现一对多情形,“data”可译为“资料”“数据”,“information”可译为“资讯”“信息”,造成大陆中文立法术语在名称上负荷过重,增添干扰名称。
2.3 从中文法学著作和论文出发
2.3.1 中国大陆学者基于信息论区分术语
中国大陆中文法学著作和论文中流行的术语名称有三个:个人信息、个人资料和个人数据,代表性学者分别为梅绍祖与周汉华、(2004年以前的)齐爱民和程啸[5,23,25-27]。由于我国学界关于个人信息保护问题的研究起步较晚,21世纪头十年仍是初始阶段,所以部分代表性学者肩负引介并翻译国外个人信息/数据/资料保护法及理论的同时,一直在法学著作和论文中修正、调适自己对个人信息/数据/资料内涵、外延的认识。齐爱民继详细区分“个人资料”与“个人信息”后,扬前一个名称抑后一个名称,后来又认为“个人资料和个人信息应该是可以通用的概念”,重新兼用二者[22,27]。梅绍祖先使用“个人数据”,认为个人数据就属于个人信息;一年后的2005年以是否加工处理区分两个名称,倾向使用“个人信息”[25,28]。1950年,信息论和控制论的创始人之一维纳(Norbert Wiener)在论文《时间序列的内插、外推和平滑化》和著作《控制论》确定“信息”的当代含义:“信息是人们在适应客观世界,并使这种适应被客观世界感受的过程中与客观世界进行交换的内容的名称。[1]”维纳定义中的“适应”与“感受客观世界”、主体人与客体世界“交换的内容”,包含了传播学语域中的主观与客观、主体与客体、内容与形式、某种加工处理的适应方式等要素,成为后来众多法学学者借鉴用来区分“信息”“数据”和“资料”的类型范式。郎庆斌等从加工处理维度区分“个人信息”与“个人数据”[29]。徐丽枝、申卫星从内容与形式加以区分[30-31]。肖登辉从主观与客观来区分[7]。归纳以上几位法学学者的论点,可以辨析出:信息是加工处理过的、具有主观性的内容;数据是未加工处理过的、具有客观性的形式。资料的主观和客观属性兼有,记录在有形(tangible)或无形媒介上,有时仅特指记录在有形媒介上的内容。
2.3.2 中国台湾地区的学者对术语的区分
中国大陆、台湾、香港、澳门的中文构成了中文的变体(variations),中国港澳台地区的中文变体对大陆中文中的法律术语的使用造成了一定影响。我们以台湾地区为例,在该地区法学著作和论文中,低频次术语“个人资讯(information)”对高频次术语“个人资料(data)”构成一定的干扰;“个人数据”几乎未造成干扰。由于中国台湾地区有多达261个法律法规包含术语“个人资料”,所以台湾学者在著作和论文中引用这些法律法规时,频繁使用术语“个人资料”。中国台湾地区的月旦知识库主要收录在台湾发行的期刊和出版的著作,依据该库,“个人资料”在期刊中出现频次达305次、在论著中达48次;“个人资讯”在期刊和论著中出现频次分别为75次、6次;“个人数据”在期刊和论著中出现频次分別为4次、1次。
具体来说,中国台湾地区许文义倾向区分“资料(data)”与“资讯(information)”,资讯是资料经过处理后的产物,只有被人认为具有意义时资料才会成为资讯,立法应当采取“个人资料”名称[32]。范姜真媺支持“个人资讯”,周惠莲与陈起行主张使用“资讯隐私”[33-35]。
3 结语
在《民法典》第四编第六章中放置“个人信息”条款及其前后条款的放置逻辑,加上《个人信息保护法(草案)》,已经在立法文本中对“个人信息”之“实”做了清晰的释义。而“个人信息”之“名”则是在与“个人数据”“个人资料”辨析后得以正名划界的。在中国大陆中文语境中,术语“个人信息”“个人数据”和“个人资料”在通用汉语词典释义中未造成混淆,在中国大陆立法文本中具有一定使用规律,但是在中文法学著作和论文中三个术语彼此干扰、互相混淆的情况较为明显。在局部的法律语域中造成干扰的原因有三个:中文变体的影响;翻译在法律引介和移植过程中规范性功能不足,描述性功能溢出;法学学者区分术语的角度不同。
我们分析了干扰术语划界定名的原因后,挖掘出术语在立法文本中具有一定的使用规律,希冀对中国地方立法以及中国大陆学者著作、论文中引用域外法规时有所助益。首先,保护人格权和隐私权为主,兼及财产权,可使用术语“个人信息”,中华人民共和国《民法典》与《个人信息保护法(草案)立法》文本的名称为地方立法树立典范,形成隐性规范。其次,中国港澳台以中文为立法语言,在大陆引用港澳台的中文特别法,可使用术语“个人资料”“政府资讯”。再次,引用各国、组织的相关特别法,由于中文不是立法语言,引用外译中的立法文本时,可使用“个人数据”。中英文为官方语言、英语为立法语言的新加坡,尽管新加坡个人资料保护委员会(Personal Data Protection Commission, PDPC)使用“个人资料”引称2012年《个人资料保护法令》,但是出于立法语言考量,在中国大陆中文语境使用“个人数据”可能比“个人资料”更合适[36]。从事立法文本翻译的学者已经关注到这点,引介新加坡法律进入中国大陆中文语境时,慎重地以《个人数据保护法令》《个人数据保护规例》来处理[18,37]。此外,复合合成词“个人信息”与“个人数据”之间的使用规律比双语素合成词“信息”与“数据”之间的使用规律要明晰。最后,涉及网络空间安全类立法,“数据安全”比“信息安全”更加贴近法律语域,立法中“数据安全”往往与国家安全和国家数据主权挂钩,“信息安全”偏向于计算机、通信语域。
注释
① 罗培新援引了《现代汉语词典》(第5版),对比了“信息”与“数据”的定义,同时捕捉到“信息库”与“数据库”混用的现象,但未深入挖掘定义强调的要素、复合合成词混用是否影响合成词的混用[2]。
② 特别法的部分中文译名参见周汉华:《域外个人信息保护法名录》,载《个人信息保护法(专家建议稿)及立法研究报告》,法律出版社2006年版,96-103页。
③ 1970年10月7日德国黑森州(Land of Hesse)出台的Datenschutzgesetz(Data Protection Act)问世,成为全球个人信息保护立法的嚆矢。该法较早的中文译名为《德国黑森州资料保护法》,参见齐爱民:《大数据时代个人信息保护法国际比较研究》,法律出版社2015年版封底页。紧跟其后颁布的国家和地区有瑞典(1973世界上第一部国家层面的立法,1998)、美国(1974)、德国(1977、2001、2018)、法国(1978,2018)、挪威(1978)、卢森堡(1979)、以色列(1981)、加拿大(1982,2001)、荷兰(1988,2000)、爱尔兰(1988)、澳大利亚(1988)、比利时(1992)、瑞士(1992)、匈牙利(1992)、新西兰(1993、2000)、韩国(1994)、欧盟(1995,2016)、中国台湾地区(1995)、俄罗斯(1995)、中国香港(1996)、希腊(1997,欧盟最后一个制定)、葡萄牙(1998)、英国(1998)、芬兰(1999)、智利(1999,拉美第一个制定)、冰岛(2000)、奥地利(2000)、丹麦(2000)、日本(2003)、突尼斯(2004,非洲第一个制定)、新加坡(2012,2020年5月14日公布修订草案)等。
④ 第46条“个人数据”的德文定义:personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (betroffene Person) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identitt dieser Person sind, identifiziert werden kann。笔者译为中文:“个人数据”是指与已识别或可识别的自然人(数据主体)相关的任何信息,而可识别是指可以直接或间接识别自然人,特别是指通过诸如姓名、识别号、位置数据、在线识别符以及一个或多个表征该自然人的身体、生理、遗传、心理、经济、文化或社会身份的特定特征來识别自然人。
参考文献
[1] 习近平.中共中央关于制定国民经济和社会发展第十四个五年规划和二〇三五年远景目标的建议[EB/OL]. (2020-11-03)[2021-03-08]. http://www.xinhuanet.com/politics/2020-11/03/c_1126693293.html.
[2] 罗培新.数据立法的基本范畴:数据权属及数据处理的头部、中部及尾部规则[EB/OL]. 中国法律评论微信公众号(2021-04-29)[2021-04-29].
[3] 申卫星.论数据用益权[J].中国社会科学,2020(11):110,112,118.
[4] 叶名怡.论个人信息权的基本范畴[J].清华法学,2018,12(5):149-150.
[5] 程啸.论大数据时代的个人数据权利[J].中国社会科学,2018(3):102.
[6] 崔聪聪,巩姗姗,李仪,等.个人信息保护法研究[M].北京:北京邮电大学出版社,2015:25.
[7] 肖登辉.行政法中的个人信息保护问题探究[M].武汉:湖北人民出版社,2011:16-17,39.
[8] 王利明.论个人信息权的法律保护:以个人信息权与隐私权的界分为中心[J].现代法学,2013,35(4):62.
[9] 程啸.论侵害个人信息的民事责任[J].暨南学报:哲学社会科学版,2020,42(2):39.
[10] 童明.互文性[J].外国文学,2015(3):86.
[11] 李正亚.孔帕尼翁“引用”互文性理论与汉英翻译作品研究[J].上海翻译,2016(1):65.
[12] 何瑞清.翻译研究中的互文性误读、误用与滥用[J].上海翻译,2018(6):2-3.
[13] 甄晓非.篇际互文性研究的动态系统理论进路[J].外语学刊,2016(6):46.
[14] 王秀哲.信息社会公法保护研究[M].北京:中国民主法制出版社,2016:170-172.
[15] 皮勇,王肃之.智慧社会环境下个人信息的刑法保护[M].北京:人民出版社,2018:246-283.
[16] 喻海松.侵犯公民个人信息罪司法解释:理解与适用[M].北京:中国法制出版社,2018:19.
[17] 韩新远.个人网络行为轨迹信息的民法典定位与分类保护[N].人民法院报,2020-10-15(005).
[18] 屈文生,万立.新加坡个人数据保护法令(2012年)[C]//上海市法学会.《上海法学研究》集刊(2020年第10卷 总第34卷):华东政法大学文集.上海:上海市法学会,2020:285.
[19] 冉德勇.德国联邦数据保护法[EB/OL]. (2014-12-17)[2021-01-09]. http://blog.sina.com.cn/s/blog_663a8b800102vlln.html.
[20] 齐爱民.德国个人资料保护法简论[J].武汉大学学报(人文科学版),2004(4):465.
[21] 齐爱民.大数据时代个人信息保护法国际比较研究[M].法律出版社,2015:6,195,201.
[22] 齐爱民.论个人信息的法律保护[J].苏州大学学报,2005(2):30,35-36.
[23] 齐爱民.论个人资料[J].法学,2003(8):80.
[24] EU.General Data Protection Regulation[EB/OL].(2016-04-27)[2021-01-09]. https://eur-lex.europa.eu/legal-content/EN/TXT/?qid=1552662547490&uri=CELEX%3A32016R0679.
[25] 梅绍祖.个人信息保护的基础性问题研究[J].苏州大学学报,2005(2):25-26.
[26] 周汉华.个人信息保护法(专家建议稿)及立法研究报告[M].北京:法律出版社,2006:1.
[27] 齊爱民.个人资料保护法原理及其跨国流通法律问题研究[M].武汉:武汉大学出版社,2004:3-4,6.
[28] 梅绍祖.中国信息化趋势报告(十六)中国隐私权和个人数据保护的现状与原则[J].中国信息界,2004(11):10.
[29] 郎庆斌,孙毅,杨莉.个人信息保护概论[M].北京:北京邮电大学出版社,2008:11-12.
[30] 徐丽枝.政府信息公开中的个人隐私保护问题研究[M].北京:法律出版社,2019:44.
[31] 申卫星.论数据用益权[J].中国社会科学,2020(11):110.
[32] 许文义.个人资料保护法论[M].台北:三民书局,2001:18-20.
[33] 范姜真媺.政府资讯公开法与个人资讯保护法之交错适用[J].铭传大学法学论丛,2005(4):105.
[34] 周惠莲.资讯隐私保护争议之国际化[J].月旦法学杂志,2004(104):112.
[35] 陈起行.资讯隐私权法理探讨:以美国法为中心[J].政大法学评论,2000(64):297.
[36] 新加坡个人资料保护委员会及新加坡资讯通信发展管理局. 资料保护自查核对表[EB/OL]. [2021-01-10].https://www.pdpc.gov.sg/-/media/Files/PDPC/PDF%20Files/Resource%20for%20Organisation/Business-Checklist-v20-Chi.
[37] 屈文生.新加坡个人数据保护规例(2014年)[C]//上海市法学会.《上海法学研究》集刊(2020年第10卷 总第34卷):华东政法大学文集.上海:上海市法学会, 2020:317.
作者简介:叶湘(1980—),男,华东政法大学法律学院博士研究生,山东理工大学外国语学院英语系副教授。主持山东省社会科学规划研究项目、教育部人文社会科学研究规划基金项目子课题、山东省高等学校人文社会科学研究项目、上海市自贸区项目等15个法学与翻译学项目,在《中国流通经济》《中国外语》等CSSCI期刊发表论文3篇,在美国纽约市华尔街金融区佩斯大学任教2年。主要研究方向为法律翻译、网络空间法、自贸区外国法查明、欧盟语言政策、中美条约史。通信方式:yexianghello@126.com。
作者:叶湘
摘要:在智能社会,刑法对个人信息的保护是以个人信息权入法为基础,将信息的私权保障与利用作为基本原则,导致了人工智能算法个人信息利用刑法规制的错位和提前。当人工智能利用个人信息进行算法分析,一方面,信息主体拥有个人信息权,另一方面,信息使用者也应当拥有信息用益权。个人信息的刑法保护必须从权利说出发并超越权利说,重新回到信息主体和信息使用者共同拥有个人信息安全法益的轨道。然而,刑法尚未明确规定个人信息安全法益,人工智能算法个人信息利用刑法规制与个人信息刑法保护应考虑信息主体和信息使用者对个人信息各自拥有的利益,从场景化行为主义规制的进路出发,对人工智能算法个人信息进行刑法保护和刑法规制。
关键词:人工智能;个人信息;刑法保护;刑法规制
文獻标识码:A
为了达到监管和改造罪犯的目的,1785年,英国哲学家杰里米·边沁设计并提出了新型监狱——“圆形监狱”。在这种圆形监狱中,狱警处在中心望塔,犯人却在中心望塔外围环形建筑之中,警察能够完全监视犯人的一举一动,犯人无隐私可言。虽然边沁的此一监狱设计未被当时的英国政府所采纳,但是并不能说边沁的此种想法在现实社会就不能实现。因为20世纪70年代,福柯在《规训与惩罚》中就提到“全景敞视主义”,认为“圆形监狱”理论应该适用在整个当代社会范围之中[1]。随着智能社会的到来,算法成为了驱动人工智能的驱动器[2],算法应用早已无处不在。但是,正如英国科学家贝尔纳所指出:“科学技术的发展本身既为我们揭开了改善人类生活的前景,也为我们开辟了毁灭人类的可能。”[3]人们通过海量数据的智能算法分析,实现了海量数据的智能挖掘,得到了高效、便捷和经济的决策根据。与此同时,人工智能算法的应用也产生了一系列法律和社会治理问题。其中,人工智能算法个人信息利用与个人信息安全的保护问题最为典型。
一、人工智能算法应用表征:法益增长与危机
英国科学家霍金断言:“人工智能也有可能是人类文明史的终结,除非我们学会如何避免危险。”[4]自人工智能算法在我国使用以来,其凭借技术优势迅速抢占了用户的注意力市场,远远超过了人工算法,相继在新闻领域、社交平台、短视频平台中被广泛运用。但是,人工智能算法的应用在为用户提供便捷的同时,也引发了人们对个人信息安全问题的大讨论。因为人工智能算法的应用使人“无往不在枷锁之中”。例如,“今日头条”向用户推荐的新闻界面是根据用户注册时使用的姓名、手机号等基本信息和用户点击浏览的相关类新闻的次数、停留时间等数据推算出用户的爱好后推荐的私人订制式新闻界面。也就是说,人工智能算法的实质是算法系统处理、利用用户存在于网络之中的个人信息。从这种意义上讲,算法系统类似于一座圆形监狱,算法作为中心望塔无时无刻不在读取并挖掘着个人信息。用户作为环形建筑中不断被监视下的犯人,面临着“天下谁人不识君”的尴尬场面,用户个人信息权益遭受损害,用户个人隐私也受到了极大的威胁。因此,有必要在理论上对人工智能算法个人信息利用刑法规制与个人信息安全的刑法保护进行前瞻性的研究。
(一)人工智能算法应用的价值剖析与法益的增长
人类社会的发展在进入21世纪之后呈现出了加速变革的态势,其表现就是人们在几乎没有做好准备之前就被迅速地推入智能社会。虽然智能社会借用“智能”来命名,但是,智能社会标志性的先进生产力是人工智能算法。那么,人工智能算法应用的巨大价值是如何体现的呢?从本质上讲,人工智能算法是智能社会中的超级力量,是智能社会的驱动器[2]。在智能社会,信息和数据是最重要的资源[5]。但是,互联网中海量的数据使有价值的信息变得极为分散,不能在有限的时间内抓取用户全面的数据。随着人工智能算法的广泛应用,蕴藏在网络空间中的海量个人信息(浏览记录、阅读兴趣、行为习惯、位置信息和消费记录等)像滚雪球般地急速增加,人工智能能够在极短的时间内通过算法统计挖掘分析信息,使数据成为了具有高度应用价值和商业价值的“数据黄金”[6]。其中,人工智能的商业价值尤为凸显。对商业环境的健康运行而言,个人信息至关重要[7]。例如,网站为了扩展自己的商业机会,通过算法推荐技术分析网站用户的个人消费习惯数据;网络购物网站通过算法对消费者以往的消费习惯进行分析后推荐同类的商品,这已经成为了各大购物网站的促销手段。再比如,在购物网站浏览图书或商品之后,紧接着登录“今日头条”等新闻平台时,平台会自动推荐之前浏览过的图书或商品甚至相关或类似的书籍。可以发现,人工智能算法应用已经充分发挥了个人信息在我们日常生活中的经济价值和社会价值。鉴于此,人工智能算法不仅推动了电子商务的变革,而且也转变了商业运营模式甚至有学者断言:“个人信息已经成为现代商业和政府运行的基础动力。”(参见Perri Six, Private Life and Public Policy, The Future o f Privacy,Vol.1, 1998,pp23)“在商业运行中,个人信息已经成为营销之目的而被广泛使用。”(参见戴恩·罗兰德、伊丽莎白·麦克唐纳德:《信息技术法》,武汉大学出版社2004年版,第298页),个人信息的经济价值和商业价值急剧膨胀,引发了个人信息使用者财产性法益的扩张。
(二)人工智能算法应用的危机与刑法关切
人工智能算法的本质是解决问题的数学过程[8]。人工智能算法独特的运行逻辑导致法律赖以存在和生存的社会场景发生变化[9],使人们日益被数据化和算法化[10],可能对个人权益甚至对公共安全法益带来风险。尤其是人工智能算法的应用提升了个人信息所具有的经济价值,使得针对个人信息的违法犯罪行为与日俱增。
1.个人信息整合后的不当利用造成隐私风险
对于大多数用户而言,人工智能算法如同一个“技术黑箱”[11],难以看清庐山真面目。根据2017年5月8日最高人民法院和最高人民检察院联合发布的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《解释》)第1条的规定《解释》第1条规定:“刑法第二百五十三条之一规定的‘公民个人信息’,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。”,公民个人信息是身份识别信息,身份识别的标准分为“单独识别”与“结合识别”。对于人工智能算法而言,任何可数字化的事物,都是信息[12],即涉及个人的可数字化的分散单一信息或行为痕迹,经过应用人工智能算法就会形成具有指向性的身份识别信息,故通过应用人工智能算法结合识别出来的个人信息就是信息性隐私根据我国民法学界通说,隐私大致可分为安宁性隐私和信息性隐私两大类。安宁性隐私要求私人住宅不被侵犯、秘密活动不被他人偷窥或监控;信息性隐私则要求个人秘密不被他人随意公开或滥用。(参见程啸:《侵权责任法》,法律出版社2015年版,第168-173页)。这种整合形成的整合型信息性隐私已经成为了隐私信息的常态现象[5]。例如,用户在购物平台中所点击、浏览或者购买过的各类商品都会被人工智能记录下来。虽然这些记录简单粗糙,但是,人工智能通过算法来推算出用户的兴趣。因此,人工智能算法在此就会被看作用户行为信息的收集器和分析器[13]。客观而言,这些通过应用人工智能算法整合后取得的信息,如果合理运用可以带来很多便利。例如,从用户对算法新闻认可度的调查来看,约40%的参与者认可人工智能算法应用在新闻分发领域;42%的参与者认为人工智能算法可以为用户提供全新的阅读习惯和信息获取模式;约41%的参与者认为人工智能算法节省了用户大量时间[14]。
智能社会多领域人工智能算法的创新应用对个人信息性隐私构成了严峻的冲击。根据学者的研究可知,约67%的参与者认为其隐私通过个人信息收集或浏览记录被披露并被他人利用[14]。人工智能在用户不知晓的情况下对用户信息进行追踪和密集收集,并对这些数据进行算法分析,挖掘了用户不愿为他人知晓的敏感信息,构建出了用户完整的人格图像[15]。更为严重的是,用户个人信息被许多企业二次或多次利用获取了一定的经济价值,例如广告投放等。传统个人信息保护架构其机制建构在“知情同意”(notice-and-consent framework)架构的基础上,其立法模式通常是“强同意”。但是,正如学者所言,“隐私声明远非为人类使用而设计”[16]。用户对信息获取者提供的冗长隐私声明仅仅是一瞥而过并点击“同意”,使隐私声明沦为一纸空文相关研究表明,用户仅阅读一年中使用的网络服务的隐私声明就要花费244小时的时间。(参见范为:《大数据时代个人信息保护的路径重构》,《环球法律评论》2016年第5期,第93页)。与此同时,“知情同意”架构在司法实践中也表现出了鲜明的弱化倾向。例如,在“百度公司与朱某隐私侵权纠纷案”中,法院根据“场景和风险导向”模式认为,网络服务提供者通过算法向用户提供的个性化推荐服务,并未是个人信息直接向第三方或公众展示或公开,不符合侵害个人信息隐私的行为。可见,此种现实和司法实践使得数据获得使用者逃脱了传统“知情同意”架构[17]。然而,这种告知义务和同意形式的放宽本身就存在个人信息被滥用的风险。
2.信息主体的控制力减弱
人工智能算法应用使个人信息作为基础性的生产资料,个人信息日益成为了企业提升竞争力的核心。人工智能在收集个人信息,通過算法使个人信息成为价值创造的源泉的同时,也重构了向去中心化方向发展的个人信息生态系统(personal data ecosystem)[18]。与此同时,在人工智能算法中,算法定义的对象逐渐变成被数据化和计算化的个人,客体个人可以被计算、被预测和被控制[19]。这种技术的异化导致的最终结果就是个人对自身信息的控制能力日益削弱,人与人之间的信任逐渐转向对机器和算法的信任[20]。
二、问题的提出:个人信息利用与刑法保护再平衡
人工智能算法是智能社会及其法律秩序的核心[2]。在智能社会,整个社会对人工智能算法的应用依赖和应用需求不断在增强,人工智能算法利用个人信息在不断增进个人和社会福祉的同时,也可能引起信息主体的权益受到威胁和侵害。由此,个人乃至整个社会都催生了个人信息保护的需要。但是,人工智能算法在利用个人信息时却又增加了信息使用者的利益,即增加了信息使用者合法、合理和安全使用个人信息的法益。面对彼此冲突化的个人信息生产者和信息使用者本文中的信息生产者是信息主体,信息使用者是信息企业。的利益,刑法必须在无限需求和有限资源之间寻求平衡的最佳机制,实现不同利益上下位阶的合理安排[7],而目前我国刑法尚未完成此种合理安排。
(一)信息私权化使人工智能算法个人信息利用刑法规制错位
人们已经从互联网、大数据时代进入到了智能时代。在智能时代,信息的开发和利用在很大程度上依赖于信息的共享,而信息使用者盈利的主要模式也是信息的共享。所以,智能时代信息采集和共享的方式在发生日新月异的变化。在智能时代,应用人工智能算法最大限度地获取了个人信息,既节省了成本,又创造了更大的社会效益,成为信息共享利用的一种重要方式。但是,现阶段信息刑法立法是以信息权入法为基础,将信息的私权保障与利用作为基本原则,轻信息使用者的利益、重信息主体的保护。所以,如不对个人信息私权化进行调整,除了抹杀信息的共享之外,更为严重的是会扼杀人工智能算法技术的继续发展,不利于合作、共享、繁荣社会的构建。
法律是时代的产物[21]。随着信息技术的发展,刑法作为“后置法”也开始回应信息和隐私威胁的持续蔓延[22]。我国以《刑法修正案(七)》《刑法修正案(九)》和《解释》为标志,正式设立了“侵犯公民个人信息罪”并扩大了犯罪主体和侵犯行为的范围,初步建立了个人信息的刑法保护体系。由此可知,目前我国刑事立法对大数据(信息)保护等方面的表现就是犯罪化[23]。除此之外,侵犯公民个人信息罪的法条设置属于典型的空白罪状立法模式,为了确保统一法秩序下公民个人信息的有效保护,法条中“个人信息”的认定无疑应以《民法典》在内的前置法为基础[24]。然而,一方面,我国《民法典》总则第五章第111条规定,“自然人的个人信息受法律保护”;另一方面,第四编人格权第六章第1034条至第1039条则对个人信息保护做了详细的规定。所以,在民法领域出现了个人信息是隐私权还是新型个人信息权之争。而我国民事司法实践则更倾向于在隐私权的框架内对公民个人信息的保护参见北京市第三中级人民法院(2016)京03民终9992号民事判决书;北京市第一中级人民法院(2017)京01民终509号民事判决书;广西壮族自治区百色市人民法院(2015)百中民一终字第1199号民事判决书。。但是,随着个人信息内容的不断扩充,“隐私性”不再是个人信息的构成要素2016年11月7日发布的《网络安全法》对个人信息的定义删除了“隐私信息”的描述,不再区分“能够识别公民个人身份”的信息与“涉及公民个人隐私”的信息,统称为“能够识别公民个人身份”的信息。(参见商希雪:《个人信息隐私利益与自决权益的权利实现路径》,《法律科学》2020年第3期,第72页)。与此同时,除了《民法典》明确并列规定个人信息保护和隐私权保护[25]之外,在网络信息技术迅猛发展之下,个人信息财产利益的保护需求也愈发强烈[17]。所以,个人信息权益在性质上属于一种集人格利益与财产利益于一体的综合性权利[26],即个人信息权。个人信息权起源于德国,作为不同类型和性质[27]的新型权利本文中的新型权利和新兴权利是同一概念。,个人信息权是指“个人依照法律控制自己的个人信息并决定是否收集和利用的权利”[28]。根据当今民法通说观点,“权利就是为了满足个人利益,由法律规范授予人的意思力”[29]。所以,个人信息权的基础是个人的自决权,权利人同意他人收集、利用都是权利人控制权的具体表现[30],其本身体现的就是一种私益[28]。所以,为了保护个人自身信息利益而产生的权利是个人信息权,由当事人决定个人信息权的行使和利用,其是当事人的一项私法权利[31],即绝对控制权。
侵犯公民个人信息罪中,“个人信息”所包括的内容成为侵犯公民个人信息罪的构成要件之一,所以,民法中对“个人信息”权利的私权性认定则成为侵犯公民个人信息罪的违法性根据[32]。这也决定了侵犯公民个人信息罪是法定犯[33]。对于法定犯而言,要确定行为违法性的前提是确定行为人是否实施了违反前置法的行为[34]。根据民法关于个人信息控制权属性的认定,个人信息权与物权一样属于民法中的绝对权[28],信息使用者在收集、利用个人信息时必须尽到最大的注意义务[34]。鉴于此,为了明确“个人信息”所包含的内容,使信息收集、利用者能够更好地履行注意义务,刑法在不断扩大“个人信息”的范围。根据《刑法》第253条“违反国家有关规定”此表述,该条文的前置法并不仅仅局限于民法,作为行政法的《网络安全法》可以是另一个前置法。我国2017年颁布实施的《网络安全法》第76条规定了个人信息的范围《网络安全法》第76条第5款规定:“个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。”公民个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。。与此同时,《解释》第1条也明确规定了个人信息的范围。但是,个人信息的范围大于《网络安全法》的规定,即增加了“账号密码、财产状况、行踪轨迹等”。然而,刑法中的个人信息概念与《网络安全法》规定的不一致的现象,已经违背了法定犯的立法初衷[33]。所以,如果刑法在保护个人信息中完全以个人信息主体对信息的私权保护为原则,则极有可能造成对人工智能算法行为处罚范围的扩大就《刑法》适用而言,办理侵犯公民个人信息刑事案件,特别是对相关获取、提供公民个人信息行为定性时,要对标《民法典》的相关规定,坚决防止将符合《民法典》规定的行为认定为“违反国家有关规定”,甚至按照犯罪处罚。,导致应用人工智能算法只要分析个人任何一类信息就有可能构成犯罪,此为刑法规制的错位。如果此种趋势继续发展,则必然导致个人信息的共享利用会遇到根本上的难题首先,信息越关联越有价值,但是,“个人信息”内容的扩大不利于破解地域性、狭隘性、封闭式的运营模式;其次,信息不能被独占,不能有绝对排他性状态存在,如果“个人信息”内容不断扩大,则必然导致信息领域新型“公地悲剧”的出现。(参见任颖:《数据立法转向:从数据权利入法到数据法益保护》,《政治与法律》2020年第6期,第136页)。
(二)信息私权化使人工智能算法个人信息利用刑法规制提前
如前所述,在信息已经成为“黄金”的时代,人工智能算法将从以能源、资本为核心的工业时代的经济发展模式转变为以网络信息为核心的经济发展模式,其正在成为一种创造财富的手段。特别是信息使用者(数据控制者)信息控制者又称为数据控制者,数据控制者来源于欧洲委员会的《个人数据自动化处理中的个人保护公约》,其使用“档案控制人”,之后的《个人数据保护令》《通用数据保护条例》都采用了数据控制人,用来涵盖所有可以决定数据处理或使用目的的主体,并非实际控制个人数据者。因此,信息使用者和数据控制者可以互换使用。通过人工智能算法增长着自己对数据的财产权益数据经济是一种双向动态结构,且在生产重要经济价值的数据收集、存储、加工、利用等环节中,用户授权或协议同意数据经营者进行数据采集,数据经营者则通过开展集合加工等活动实现数据的资产化。(参见刘新宇:《大数据时代数据权属分析及其体系构建》,《上海大学学报(社会科学版)》2019年第6期,第20页)。然而,《刑法》第253条“侵犯公民个人信息罪”的空白罪状特征,使得民法领域对个人信息作为一种新型权利即个人信息权的认定影响到了刑法对个人信息的保护,其结果就是除了扩大侵犯对象“个人信息”所包含的内容之外,更为重要的是又导致侵犯公民个人信息罪客观构成要件行为的扩大化。
根据我国《刑法》第253条第1款的规定,侵犯公民个人信息罪的客观构成要件是“违反国家有关规定,向他人出售或者提供公民个人信息”。民法作为前置法,个人信息权在民法领域不断被承认导致我国《刑法》对个人信息的保护从以转移型侵害为核心的刑法规制思路当前,个人信息专门刑法规定只对非法提供(出售)、获取、泄露个人信息的转移信息型行为处以刑事责任。扩大到包括信息滥用在内的行为的刑法规制上。尤其是我国《刑法》对“合法取得,不当滥用”个人信息行为尚未作明确规定,难以通过刑法规制加以有效防范,导致刑法的严重失灵。所以,《解释》第3条就规定:“未经被收集者同意,将合法收集的公民个人信息向他人提供的,属于刑法253条之一规定的‘提供公民个人信息’。”但是,《解釋》无法适应数据流动和利用的巨大市场需求,除了抬高个人信息使用的门槛之外,还加速了侵犯公民个人信息罪的成立,即只要信息使用者(数据控制者)未经信息主体同意而使用他人信息,就能认定信息主体的信息自决权受到侵犯,信息使用者(数据控制者)的行为构成侵犯个人信息罪。进一步说,“同意规则”一般化的法律效果就是个人信息被刑法所保护,其目的就是防范因个人信息被滥用而可能产生的抽象危险,因为侵犯个人信息的行为具有造成个人隐私权受侵害、名誉受损或财产损失的潜在危险性。可以说,在刑法犯罪构成要件中规定行为与结果之间具有典型的危险关系,不考察行为是否实际侵犯了法益或制造了法益侵害
危险的犯罪就是抽象危险犯。所以,侵犯个人信息罪是一种抽象危险犯。在刑法学界,刑法为什么规定抽象危险犯?笔者认为,除了体系内因素,即“抽象危险犯是对法益保护的前置化措施”[35]之外,还有一个体系外因素,就是现代性风险控制逻辑与抽象危险犯理论结构相互暗合。具体到信息时代,网络技术的发展使得个人信息生态系统朝着去中心化方向发展,个人信息主体除了与服务提供者之间产生直接的联系之外,还要面对信息间接使用者和信息后续利用者对信息的使用。因此,信息主体对个人信息的控制能力日益削弱。更为严重的是,随着人工智能算法技术的出现,信息使用者(数据控制者)通过算法更容易获得他人不愿让人知晓的明暗信息,为个人带来了不安、困扰,乃至造成财产损失。所以,为了让个人能更好地控制自身个人信息,在积极的个人信息支配权的影响下,刑法秉承了大数据时代个人信息利用的严格控制,并制定了相关规定。但是,这些规定在信息主体利益保护方面具有严重的规制超前性《解释》意在强调,侵犯公民个人信息罪不是针对结果,而是对行为人进行非难,只要求行为人明知自己提供或购买个人信息就构成犯罪。,其极容易忽视数据使用者(数据控制者)的合法利益。
三、新型法益的证成:人工智能算法个人信息利用与个人信息刑法保护之法益
侵犯公民个人信息罪作为刑法分则侵犯公民人身权利、民主权利罪中的具体罪名,其侵犯的是公民最基本、最重要的个人专属权利。就目前来讲,在新型权利——个人信息权的影响下,刑法对信息主体赋予了权利,对信息使用者(数据控制者)则增加了义务。但是,这种脱胎于隐私保护、以个人自决为核心的个人信息权,其强调个人对自身信息的控制美国学者认为,隐私必须被重新界定为“个人、群体或机构对自身信息在何时、何地以及在什么程度与他人沟通的主张,导致个人对自身信息控制的独立意义”。(参见Alan Westin,Privacy and Freedom,Atheneum Press,1967,pp7)德国理论界认为,通过“小普查案”和“人口普查案”等案例,德国已经确立了个人信息自决权。(参见彭礼堂、饶传平:《网络隐私权的属性:从传统人格权到资讯自决权》,《法学评论》2006年第1期,第60页),在理论上有一定的缺陷。
首先,个人信息权不具有周延性。从个人信息权在西方提出的社会背景和立法轨迹来看,电子计算机出现并广泛应用是个人信息权出现的前提,即个人信息权是电子计算机技术的产物。所以,个人信息权仅仅适用于电子网络环境下的个人信息的控制,并不能适用于日常生活和传统媒体的信息控制,也不能成为一种普遍适用的权利。
其次,在以个人信息权为基础的个人信息保护规则中,并不能找到个人信息为个人所独占《通用数据保护条例》第1条第2款明确规定:“本条例保护自然人的基本权利和自由,特别是保护自然人享有的个人数据保护的权利。”该条文明确表明了个人享有个人数据而非独占。,并能排除他人合理使用、分享和流通的相关规则。立法确立个人信息权的目的似乎更多倾向于有效阻止个人信息被非法滥用。
最后,个人信息权忽视了大量个人信息已经被他人分享的现实,无法保证信息使用者(数据控制者)的利益。在智能社会,个人信息使用者(数据控制者)利用算法对个人信息进行分析,从而生产出更受大众欢迎的产品,如果个人信息再依“权利说”成为信息主体的“专属品”,则不能刺激个人信息使用者(数据控制者)保护个人信息安全的积极性,不利于个人信息使用者(数据控制者)利益的保护。
法律是为保护利益而生,法所保护的利益即为法益,在立法中,保护利益的手段之一是创设权利。所以,有些学者指出,现今新型权利的研究“仅仅将重心放在外在经验的生活化描述上”[36],少有本质的探讨。具体到人工智能算法技术下个人信息的刑法保护,其本质是共同保护信息主体和信息使用者(数据控制者)的利益,所以,必须从权利说出发并超越权利说,即从作为权利上位概念的法益[37]角度来平衡人工智能算法个人信息利用与个人信息刑法保护之间的利益冲突。
(一)信息用益权是人工智能算法信息使用者利益的基础
在物理世界,个人特征与特定主体不可分离,即个人特征必须依附着某个特定主体。但是,在互联网时代,个人特征的表现形式则转换成为数据并广泛存在于网络世界中[38]。当下,随着互联网和新一代信息技术的发展,人类又进入了网络信息时代,数据已经成为创造和捕获价值的新经济资源,成为财产权的客体。例如,我国《民法典》第127条明确规定:“法律对数据、网络虚拟财产的保护有规定的,依照其规定。”但是,我国《民法典》对数据和个人信息做了明确的区分,即上述表明个人特征的数据在《民法典》第四编人格权中称为个人信息,并通过第1034条至第1039条对个人信息权进行了较为详尽的保护。所以,在我国《民法典》中,表述个人特征的个人数据被称为个人信息,这与其他类型的数据是相互区分的,具有不同的权利属性。当下,民法作为前置法深深地影响着刑法,特别是对我国《刑法》第253条之一“侵犯公民个人信息罪”的影响尤为深刻。民法中数据与个人信息两者权利属性的不同认定,在《刑法》第253条之一“侵犯公民个人信息罪”中出现了单一赋权思维模式,即侵犯公民个人信息罪仅保护人格权下信息主体的个人信息权,并造成了信息主体与信息使用者之间利益的失衡。为此,刑法必须调整思路,重新构建个人信息权利体系,以便信息使用者利益的有效保护。
刑法在保护个人信息时出现信息使用者和信息主体利益的失衡,其问题的根本在于对个人信息属性的认定。根据我国《民法典》的规定,无论是隐私权还是新型个人信息权,都属于人格权下的權利我国《民法典》中个人信息的保护条款体现在第四编人格权编中。,所以,其不具有财产权属性。其中,隐私权倡导者认为,对任何数据的控制都会对个人信息控制造成风险,如果信息使用者通过财产权来控制个人数据,则不可能保护隐私权。此种推理的结果就是个人数据等于个人信息[39]。但是,笔者认为,个人信息并不等同于个人数据,因为:一是数据是人类发明的一种符号,而信息是人对这种符号的认识,具有一定的主观性,信息是经过加工处理后的数据[40]。除此之外,在互联网信息时代,许多单个零星的个人数据并不必然是个人信息。尤其是通过人工智能算法应用取得的相关个人信息更不是简单的个人数据。如果把侵犯公民个人信息罪中的个人信息简单等同于个人数据,那么,不属于个人信息的个人数据就不能被纳入到保护范围中。二是通过人工智能算法应用取得的个人信息。根据洛克所倡导的劳动论,利用人工智能算法的信息使用者在对个人数据进行分析的过程中付出了劳动,享有劳动产品的财产权。有鉴于此,个人信息的实际控制者是信息使用者,那么,在人工智能技术下,信息使用者对个人信息的实际控制其权利属性是什么?笔者认为,在网络信息时代,大多数信息使用者通过授权协议取得相关个人数据并通过人工智能算法分析出所需要的个人信息。所以,信息使用者除了具有使用该信息的权利,还拥有通过信息获益的权利。此种具有利用和收益两种权能的权利就是一种用益权[41]。
用益权制度发端于罗马法,并对后世民法典产生了重大影响。在大陆法系的传统意义上,用益权属于人役权的范畴,是为了特定人的利益而设立。所以,对权利主体、权利行使等方面作了较大的限制,其体现在“人役权不可转移原则”上。但是,网络信息时代,特别是当下与数字经济相结合的网络信息时代,作为信息所有人的信息主体只能支配着作为信息基础的数据,尚不发生网络信息时代意义上的信息的利用和收益问题。所以,为促进信息权益的畅通流转并确保各方的交易安全,构建信息用益权制度尤为重要。与此同时,信息用益权显然不能等同于我国立法上的“用益物权”。信息用益权是围绕着信息管理和利用所形成的一种兼容性财产权[39]。信息用益权的出现并不违反物权法定原则。根据《民法典》第三分编用益物权第323条的规定,对“他人所有的不动产或者动产都可以设定占有、使用和收益的权利”。所以,对他人个人数据权可以设定信息使用者对信息使用和收益的用益权。有鉴于此,在民法领域应该确认信息使用者所拥有的信息用益权,其中,个人信息权属于作为信息来源的信息主体,而用益权则属于信息使用者。只有民法中信息用益权的确立,才能使刑法中形成个人信息保护的“个人信息权+用益权”的两权分立模式。当信息使用者对信息具有控制、开发、许可和转让等用益权时,刑法才能保护信息使用者的合法权益,侵犯公民个人信息罪才能在保护信息使用者和信息主体利益方面达到平衡。
(二)个人信息安全是侵犯公民个人信息罪中保护的法益
随着信息用益权的提出而形成的对个人信息保护的“个人信息权+用益权”的两权分立模式,使得刑法在侵犯公民个人信息罪中所要保护的不仅仅是信息主体的利益,而且也应该包括合法拥有公民个人信息的信息使用者(数据控制者)的利益。而要达到这一目的,就必须对刑法中公民个人信息罪保护的法益进行重新定义,以使其能够促成个人信息刑法保护体系的形成。
1.刑法应从局部特殊保护到整体同等保护
德国宪法法院的相关判决指出,为了实现国家赋予的保护责任,立法者有义务动用刑法手段来保护人民共同有效的生活。但是,立法者动用刑罚必须具有宪法上的正当性,即当刑法是共同生活保护的最后手段时才能允许动用刑罚[42]。这明确确立并形成了刑法与其他部门法之间的规范分工和结构安排,即在宪法价值秩序的指引下,刑法之外的前置法确立了法律保护的生活利益即法益,所以,前置法应作为调整性规范调整性规范以法律权利和义务的设定为内容,以假定和处理为形式。。而刑法包含着责任和制裁形式,对调整性规范确立的法益给予了保护,所以,刑法应该具有保护性规范保护性规范以法律责任的设定为内容,以假定和制裁为形式。的任务。虽然前置法也包含着一定的保护性规范,即第一保护性规范,但是,通过第一保护性规范来实现责任的强度和严厉性终究有限,难以有效恢复重要的调整性法益,通过刑事责任的追究与制裁的实施来对第一保护性规范予以强力增援就只能是作为第二保护性规范的刑法的任务。具体到人工智能算法技術下个人信息的刑法保护问题而言,作为前置法第一保护性规范的我国民法对信息用益权尚未作明确规定我国《民法典》规定,用益物权包括土地承包经营权、建设用地使用权、宅基地使用权、居住权和地役权等。,导致了作为前置法的民法对信息使用者信息用益权的保护滞后。同时,作为最严厉、对前置法的利益保护起到增援作用的刑法,在前置法的影响下也同样不能保护信息使用者的利益。所以,在刑法对前置法起到增援作用的同时,必须把保护的范围从仅仅保护信息主体利益的局部特殊保护扩大到包含信息使用的利益的范围,以便达到信息主体和信息使用者利益整体的同等保护。
2.刑法应从权利保护转变为信息安全法益的保护
利益作为事实概念,是法益的“前生”,而法益是规范概念,是利益的“来世”[43]。刑法法益的来源是经验事实,即利益,而刑法保护利益的手段之一就是在立法中创设权利。但是,刑法并非保护权利,而是保护利益,即在刑法中通过规范评价被称为法益的利益。有鉴于此,《刑法》第253条之一“侵犯公民个人信息罪”中刑法保护的利益是信息主体的法益和信息使用者的法益,而两者的法益都涉及信息利用、使用和收益等有关信息安全的问题。所以,重视个人信息自身安全或许能够满足信息主体个人信息权利和信息使用者信息用益权保护的双重需求。所以,刑法对个人信息的保护应从新型权利转变为新型法益,即个人信息安全法益。
个人信息安全法益是法律所识别、确认、保护的信息安全利益。个人信息安全法益不同于个人信息权利,两者之间的差异是刑法信息立法从新型权利保障转向新型法益保护,并为个人信息安全法益的保护奠定了法理基础。从功能方面看,个人信息安全法益的刑法保障是刑法对特定主体(信息使用者和信息主体)信息利益的认可。正如哈赛默所说:
“构成合法法益基础的是单个的个人利益,而非群体的和国家的利益。”[44]“刑法的任务是法益保护”[45],这是现代刑法学的核心概念。而个人信息权利则强调的是信息权利人(信息主体)的自由意志以及由此而来的选择自由[46]不被非法干预。从价值方面看,个人信息安全法益既保护公益又保护私益,而个人信息权以信息私益保护为侧重点,忽视了社会共同信息秩序的维护。从应用方面看,个人信息安全法益除了可以保护信息主体和信息使用者的利益之外,还可以保护信息间接使用者等多主体的利益。因此,个人信息安全法益的适用前提是多样化的信息利益的衡量。而信息权利的适用则是单向度的,即仅仅保护信息主体的利益。从总体上看,刑法中个人信息安全法益的确立不仅具备现实基础,而且还有深刻的理论基础。首先,刑法确立个人信息安全法益源于刑法对多样化的信息利益保护的现实需求。作为社会的实在利益,个人信息安全法益的存在对个人乃至社会具有有用性和有益性。特别是在人工智能算法技术下,对于信息主体而言,个人信息安全的保障有利于个人人身权和财产权的保障,而对信息使用者而言,其通过算法使个人信息成为争夺市场占有率的新型手段参见山东省泰安市中级人民法院(2014)泰刑终字第27号刑事裁决书。。在此基础上,个人信息安全法益应当成为独立的法律保护对象,“个人信息法益可以成为刑法法益的新内容,并成为独立的刑法保护对象”[47]。其次,个人信息安全法益应成为刑法信息保护立法的核心。一是个人信息安全法益在刑法信息保护中的确立可以破解刑法个人信息保护的私权化,避免刑法规制错位现象的出现。个人信息安全法益是数字经济背景下的新型法益[48]。正如有些学者指出的,信息“不能归入表彰民事权利的客体”“也不宜将其独立视作财产”。但是,随着前置法民法对个人信息权利的不断承认,片面认为个人信息是个人信息权的客体,个人对自身个人信息具有绝对排他权,使刑法个人信息保护私权化,导致了刑法个人信息规制的错位,即不管什么原因,未经信息生产者同意使用个人信息都受刑法的追究。个人信息安全法益的确立赋予了信息使用者刑法法益保障,形成了二元刑法保护模式,避免了刑法规制错位的出现。二是个人信息安全法益在刑法中的确立使侵犯公民个人信息犯罪成为具体危险犯。“刑法是以强制措施来威慑危害社会的行为,从而维系社会秩序的重要手段。”[49]但是,刑法介入并成为维系社会秩序的重要手段必须具有正当性。即,刑法“除了维系社会秩序之外,在规范保护层面还有规制的必要性”[50]。所以,刑法在规范层面规定,只要有“出售或者提供”行为,就构成侵犯公民个人信息罪,使侵犯个人信息罪成了抽象危险犯。但是,刑法中个人信息安全法益的确立给予了信息使用者使用和收益的利益,信息使用者只有通过非法收集信息、非法交易信息获取利益时,才能受到刑法否定性评价。即只有信息使用者的行为产生具体的危险时,才能承担侵犯公民个人信息罪的刑事责任。
四、场景化行为主义规制:个人信息安全刑法保护与人工智能算法个人信息利用刑法规制
“刑法在国家对公民权利的所有干涉中是最严厉的一种,只有在比较轻缓的手段不能充分保证效果的情况下,才允许适用刑法。”[51]有鉴于此,刑法并不保护所有的法益,刑法只保护其他前置法不能给予充分保护的法益,即刑法向前置法保护法益提供增援。所以,根据罪刑法定原则,刑法所保护的法益必须在刑法中明文规定。现阶段,我国刑法在侵犯公民个人信息罪中承认的遭到破坏的法益是个人的人身权利。对新型个人信息安全法益,刑法尚未给予承认。虽然如此,但是这不能成为我们坐以待毙的理由,出现问题必须勇敢面对并予以解决。通过对人工智能个人信息利用与个人信息刑法保护之间紧张关系的分析了解到,两者之间的主要问题在于个人信息主体与信息使用者在个人信息利用和收益方面的利益冲突。所以,笔者认为,首先,刑法个人信息安全问题不能通过个人信息权来解决。侵犯公民个人信息罪的核心是通过重点防控个人信息非法获取、泄露的行为来保护个人信息本身的保密性、完整性和可用性等静态安全问题[52]。但是,随着人工智能算法技术的迅猛发展,个人信息安全在形式、内容上均有了不断的异化,尤其是信息使用者通过算法分析个人信息,不断提供各类新产品,推动着数字经济乃至社会经济的发展。信息使用者与个人信息之间有密切的财产联系,此种趋势给现行刑法对侵犯公民个人信息罪的评价治理模式带来了新的挑战。其次,人工智能算法技术承认个人信息使用者在个人信息方面的利用和收益的用益权,如不做好监管,则必然会导致过度采集目标用户的基本信息、上网习惯、消费记录、位置信息等,给个人信息生产者的个人信息安全带来风险。例如,2018年的美国Facebook数据泄露事件等。由此可见,大数据信息的庞大性、复杂性容易造成信息的泄露和受损,一旦作为信息使用者的企业等对信息利用安全的控制力度不足,就会带来信息的滥用风险[53]。所以,必须对信息使用者设定大量的数据安全保障义务,确立信息使用者的保证人地位。总之,互联网信息时代,人工智能算法技术下个人信息的刑法保护问题的来源及出现的各类问题的根源都在于人们对信息使用者利用个人信息的恐惧,其解决问题的路径是在不损害信息使用者合法利益的前提下,合理规制信息利用的算法行为,不对信息主体的个人信息安全造成损害。笔者认为,考虑到信息主体和信息使用者对个人信息各自具有的利益,从行为主义规制的进路出发,在个人信息使用的不同阶段和不同场景分不同的情况进行刑法规制和保护。场景化行为主义规制不同于刑法上的行为主义规制,刑法上某些行为被确定为犯罪之后,该行为在任何一类场景中都会被认定为犯罪。场景化行为主义规制是指对行为进行规制的必要性和合理性完全取决于不同的场景,即行为的规制高度场景化。人工智能算法个人信息利用的刑法规制和个人信息的刑法保护都与个人信息安全有关,使得个人信息方面存有多重权益。正因为这种多重权益的存在,使人工智能算法个人信息利用刑法规制和个人信息刑法保护不能制定出统一或单一的规制和保护标准。为了保护个人信息和促进信息使用者的权益,刑法必定要重点考虑行为实施的场景变化。
(一)个人信息安全的刑法行为主义保护
人工智能算法是指“网络服务提供者对网络用户在一定时间内已经做出的历史选择记录、评论以及相关辅助信息进行分析后发现网络用户所关注的信息并进行个性化推送信息的技术”[54]。所以,在人工智能算法中,信息(数据)成为了基础原料,信息(数据)在人工智能算法下得到了进一步的分析并产生出了新的信息(数据)。但是,随着人工智能算法的不断推广应用,个人信息保护方面的风险在日益增加。例如,信息使用者未经个人信息生产者同意,擅自使用他们的信息,侵犯信息主体个人信息权的行为不断出现。因此,个人信息的刑法保护应根据不同行为所可能侵犯的信息主体与信息使用者的权益而进行不同程度的规制。
信息收集阶段,对个人信息的保护应采取相对宽松的刑事政策。侵犯个人信息罪的源头是信息的收集行为。但是,在智能社会,个人大量信息已经被他人分享,个人信息被他人所收集已成为普遍行為。为此,如若在个人信息的收集阶段,刑法采取的是严格保护个人信息的刑事政策,那么,必然会阻碍个人信息的合理使用、分享和流通,造成信息使用者法益受损。所以,在信息收集阶段,信息收集者只要不使用欺诈或胁迫等刑法禁止的行为,其收集信息的行为则不构成犯罪。即使在信息收集阶段个人信息拥有者和收集者之间发生争议,也要尽量使用前置法(民法或行政法)来解决争议。
相比起个人信息的收集,个人信息的处理会直接造成信息主体法益的受损,所以,在个人信息的分析处理阶段应采取严格、区分的刑事政策。信息使用者具有合理使用、分享和流通信息的权益,但此种权益不能滥用。所以,刑法必须在保护信息使用者合法权益的同时,也要严格限制并处罚信息使用者的滥用权益行为。为此,必须对我国《刑法》第253条之一“侵犯公民个人信息罪”进行修订。根据我国《刑法》第253条之一“侵犯公民个人信息罪”的规定,该条文并没有明确“向他人出售或者提供的公民个人信息”是经过算法分析的可识别性个人信息还是原始取得的非可识别性个人信息。这种不区分直接导致的结果就是只要向他人提供任何一类个人信息都可能构成“侵犯公民个人信息罪”。所以,为了保护信息使用者的合法权益,同时又不失去权益滥用行为的刑法处罚,《刑法》第253条之一“侵犯公民个人信息罪”就要进一步明确“向他人提供的个人信息”的类型。
(二)人工智能算法个人信息利用的刑法行为主义规制
2019年发布的《数据安全管理办法(征求意见稿)》第17条规定:“网络运营者以营利为目的收集重要数据或个人敏感信息的,应当明确数据安全责任人。”人工智能从某种意义上说是一种能够自主学习、判断的算法[55]。智能社会,人类把选择权和决策权让渡于算法,算法取得了决策权和控制权。但是,算法的高度技术性,使算法的运行往往掌握在专业人士手中,这使得技术中立原则早已消失,算法并非绝对中立。在信息利用者通过人工智能算法分析信息生产者的个人信息时,刑法规制的中心应当立足于人工智能算法利用者的主观故意或过失。
具有主观故意并实施行为是构成侵犯公民个人信息罪的重要构成要件。信息使用者利用人工智能算法技术分析他人个人信息时,不得有故意侵犯信息主体个人信息的主观故意并实施行为,如果明知是属于他人敏感个人信息还继续使用并进行算法分析,应构成侵犯公民个人信息罪。如果因过错利用了他人敏感信息并进行分析,在收到他人的通知之后应立即停止对个人信息的进一步算法分析,收到通知之后仍不停止算法分析行为,信息使用者的行为应构成侵犯公民个人信息罪。
我国《刑法》第253条之一“侵犯公民个人信息罪”的规定并没有区分行为人在实施行为时是故意、过失还是过错,即“向他人提供公民个人信息时”对信息使用者的主观条件没有进行区分。此种对信息使用者主观条件的不区分直接导致的结果就是只要向他人提供了公民个人信息,即提供行为不管是故意、过失还是过错都构成侵犯公民个人信息罪。在智能社会,为了算法技术的发展和信息使用者信息利用权益的保护,不应扩大信息使用者行为的处罚范围。所以,我国《刑法》第253条之一“侵犯公民个人信息罪”应明确主观条件。
五、结语
智能社会,算法早已是社会发展的驱动器。人工智能算法的应用除创造了新的法益之外,还对个人信息安全造成了恐惧和不安。
所以,“加强个人信息保护已成为社会共识”[56]。
刑法作为最严厉的法,对人工智能算法技术下个人信息的保护问题也作出了回应。但是,我国刑法侵犯公民个人信息罪以个人信息权入法为基础,以信息的私权保障与利用为基本原则,导致了人工智能算法个人信息利用刑法规制的错位和刑法规制的提前。笔者认为,人工智能算法个人信息利用与个人信息安全刑法保护之间的此种紧张关系可通过以下路径加以解决。
第一,人工智能算法技术下个人信息的刑法保护,其本质是共同保护信息主体和信息使用者的利益。
第二,个人信息的拥有并非信息主体的绝对控制权,信息使用者也有安全使用信息的权益。所以,侵犯个人信息罪的传统法益应从权利转变为法益,即个人信息安全法益。
第三,刑法中的法益应在刑法中明文规定,在刑法尚未对个人信息安全法益作明文规定的情况下,考虑到信息主体和信息使用者对个人信息具有的利益,对人工智能算法个人信息利用的刑法规制和个人信息安全的刑法保护应从行为主义规制的进路出发,在个人信息利用的不同阶段和不同场景分不同的情况进行刑法规制。
首先,在信息利用的不同阶段,刑法应采取不同的刑事政策。在个人信息的收集阶段,为了使个人信息合理使用、分享和流通,进而保护信息使用者的合法权益,刑法应采取相对宽松的刑事政策。在个人信息的分析和处理阶段,刑法应采取严格、区分的刑事政策,即除了限制信息使用者滥用权益行为之外,还要保护信息使用者的合法权益。为此,对《刑法》第253条之一“侵犯公民个人信息”中的“向他人提供的个人信息”的类型进行进一步明确。
其次,根据信息利用的不同场景,区分信息使用者的故意或过失。但是,《刑法》第253条之一“侵犯公民个人信息罪”的规定并没有区分行为人在实施行为时是故意、过失还是过错,即“向他人提供公民个人信息时”对信息使用者的主观条件没有进行区分。所以,我国《刑法》第253条之一“侵犯公民个人信息罪”应明确主观条件。
参考文献:
[1]米歇尔·福柯.规训与惩罚[M].刘北成,杨远婴,译.北京:生活·读书·新知三联书店,2013:2.
[2]张文显.构建智能社会的法律秩序[J].东方法学,2020(5):7.
[3]贝尔纳 J D.科学的社会功能[M].陈体芳,译.北京:商务印书馆,1982:317.
[4]霍金.让人工智能造福人类及其赖以生存的家园[J].科技中国,2017(6):87.
[5]顾理平.无感伤害:大数据时代隐私侵权的新特点[J].新闻大学,2019(2):25.
[6]维克托·迈尔-舍恩伯格,肯尼思·库克耶.大数据时代:生活、工作与思维的大变革[M].盛杨燕,周涛,译.杭州:浙江人民出版社,2013:57.
[7]张宝新.从隐私到个人信息:利益再衡量的理论与制度安排[J].中国法学,2015(3):46.
[8]VALENTINE S. Impoverished Algorithms: Misguided Governments, Flawed Technologies, and Social Control[J]. Fordham Urban Law Journal,2019(2):365.
[9]齐延平.论人工智能时代法律场景的变迁[J].法律科学,2018(4):38.
[10]郑智航.人工智能算法的伦理危机与法律规制[J].法律科学,2021(1):15.
[11]陈昌凤,霍婕.权力迁移与人本精神:算法式新闻分发的技术伦理[J].新闻与写作,2018(1):63.
[12]卡尔·夏皮罗,哈尔·R·范里安.信息规则:网络经济的策略指导[M].孟邵莉,牛露晴,译.北京:中国人民大学出版社,2017:2.
[13]莫雅娴.算法推荐新闻与个人信息保护的冲突和平衡[J].编辑学刊,2019(5):41.
[14]黄忻渊.用户对于算法新闻的认知与态度研究——基于1075名算法推荐资讯平台使用者的实证调查[J].编辑之友,2019(6):65.
[15]范为.大数据时代個人信息保护的路径重构[J].环球法律评论,2016(5):93.
[16]LANDAU S. Control use of data to protect privacy[J].Science,2015(6221):504-506.
[17]张忆然.大数据时代“个人信息”的权利变迁与刑法保护的教义学限缩——以“数据财产权”与“信息自决权”的二分为视角[J].政治与法律,2020(6):63.
[18]The World Economic Forum. Rethinking Personal Data: Trust and Context in User-Centred Data Ecosystems[R/OL] (2014-05-01)[2020-01-12].http://www3.weforum.org/docs/WEF_Rethinking Personal Data_Trustand Context_Report_2014.pdf.
[19]CHENEY-LIPPOLD J. We Are Data: Algorithms and the Making of Our Digital Selves[M]. New York: New York University Press,2017:141.
[20]LUSTIG C,NARDI B. Algorithmic Authority: The Case of Bitcoin [J].Hawaii International Conference on System Sciences,2015(48):743.
[21]喻海松.《民法典》視域下侵犯公民个人信息罪的司法适用[J].北京航空航天大学学报,2020(11):2.
[22]DODD J D. Data Security Law-State Statutory Requirements for Protecting Personal Data[J].American Journal of Trial Advocacy,2015(38):623.
[23]刘艳红.以科学立法促进刑法话语体系发展[J].学术月刊,2019(4):94.
[24]程啸.民法典编纂视野下的个人信息保护[J].社会科学文摘,2019(11):71-73.
[25]李永军.论《民法总则》中个人隐私与信息的“二元制”保护及请求权基础[J].浙江工商大学学报,2017(3):10.
[26]王利明.论个人信息权的法律保护——以个人信息权与隐私权的界分为中心[J].现代法学,2013(7):66.
[27]姚建宗.新兴权利研究[M].北京:中国人民大学出版社,2011:7.
[28]王利明.论个人信息权在人格权法中的地位[J].苏州大学学报(哲学社会科学版),2012(6):70.
[29]程啸.论大数据时代的个人数据权利[J].中国社会科学,2018(3):111.
[30]李震山.人性尊严与人权保障[M].台北:元照出版有限公司,2000:288.
[31]严鸿雁.论个人信息权益的民事权利性质与立法路径——兼评《个人信息保护法》(专家建议稿)的不足[J].情报理论与实践,2013(4):44.
[32]刘艳红.侵犯公民个人信息罪法益:个人法益及新型权利之确证[J].中国刑事法杂志,2019(5):24.
[33]李怀胜.公民个人信息保护的刑法扩展路径及策略转变[J].江淮论坛,2020(3):118.
[34]蒋玲.刑法中“违反国家规定”的理解与适用[J].中国刑事杂志,2012(7):30-37.
[35]王皇玉.论贩卖毒品罪[J].正大法学评论,2005(84):225-275.
[36]周赟.新兴权利的逻辑基础[J].江汉论坛,2017(5):115.
[37]孙山.寻找被遗忘的法益[J].法律科学,2011(1):60.
[38]周斯佳.个人数据权与个人信息权关系的厘清[J].华东政法大学学报,2020(2):89.
[39]申卫星.论数据用益权[J].中国社会科学,2020(11):110-131,207.
[40]李建新.两岸四地的个人信息保护与行政信息公开[J].法学,2013(7):95-104.
[41]李永军.论我国民法典上用益物权的内涵与外延[J].清华法学,2020(3):85.
[42]徐凯.抽象危险犯正当性问题研究——以德国法为视角[M].北京:中国政法大学出版社,2014:135.
[43]田宏杰.刑法法益:现代刑法的正当根基和规制边界[J].法商研究,2020(6):78.
[44]京特·雅各布斯.保护法益?——论刑法的合法性[G]//当代德国刑事法研究:第1卷.赵书鸿,译.北京:法律出版社,2016:13.
[45]伊沃·阿佩尔.通过刑法进行法益保护?——以宪法为视角的评注[G]//当代德国刑事法研究:第1卷.马寅翔,译.北京:法律出版社,2016:49.
[46]陈景辉.权利的规范力:一个对利益论的批判[J].中外法学,2019(3):585.
[47]赵秉志.中国刑法改革与适用研究:上册[M].北京:中国人民公安大学出版社,2016:454.
[48]任颖.数据立法转向:从数据权利入法到数据法益保护[J].政治与法律,2020(6):140.
[49]凯尔森.法与国家的一般理论[M].沈宗灵,译.北京:商务印书馆,2013:49.
[50]姚万勤.高利转贷除罪化实证研究[J].政治与法律,2018(3):39.
[51]克劳斯·罗克辛.德国刑法学 总论:第1卷——犯罪原理的基础构造[M].王世洲,译.北京:法律出版社,2005:23.
[52]于冲.数据安全犯罪的迭代异化与刑法规制路径——以刑事合规计划的引入为视角[J].西北大学学报(哲学社会科学版),2020(5):94.
[53]张尼,张云勇,胡坤.大数据安全:技术与应用[M].北京:人民邮电出版社,2014:62-72.
[54]熊琦.“算法推送”与网络服务提供者共同侵权认定规则[J].中国应用法学,2020(4):126.
[55]郑戈.算法的法律与法律的算法[J].中国法律评论,2018(2):77.
[56]张力,黄鑫.大数据背景下个人信息保护的公私法衔接[J].重庆邮电大学学报(社会科学版),2021(1):47.
Artificial Intelligence Algorithm Personal Information Utilization Criminal
Regulations and Personal Information Security Criminal Law Protection:
From New Rights to New Legal Interests
MAIMAITI Usman1, ABUDUMIJITI Wumaier2
(1. School of Management, Xinjiang Agricultural University, Urumqi 830052, China;
2. School of Politics and Law, Xinjiang Normal University, Urumqi 830054, China)
In the intelligent society, the protection of personal information in criminal law is based on the entry of personal information right into the law, and takes the protection and utilization of private rights of information as the basic principle, which leads to the dislocation and advance of the regulation of criminal law on the utilization of personal information by artificial intelligence algorithm. When artificial intelligence uses personal information for algorithm analysis, in addition to the personal information right, the information user should also have the information usufruct. Therefore, the criminal protection of personal information must start from the right theory and go beyond the right theory, and return to the personal information security legal interests shared by the information subject and the information user. However, the criminal law has not clearly stipulated the legal interests of personal information security. The criminal law regulation and criminal law protection of artificial intelligence algorithm personal information utilization should consider the respective interests of information subjects and information users on personal information, and carry out criminal law protection and criminal law regulation on personal information and artificial intelligence algorithm personal information utilization from the perspective of situational behaviorism regulation.
(編辑:刘仲秋)
收稿日期:2021-02-21修订日期:2021-06-15
基金项目:新疆维吾尔自治区文科基地重点项目:新疆未成年人犯罪早期预防机制研究(XJEDU2017RI014)
作者简介:
麦买提·乌斯曼,副教授,法学博士(博士后),主要从事人权法和刑法学研究,E-mail:mamat2002@163.com;
阿不都米吉提·吾买尔,副教授,法学博士,主要从事刑事诉讼法研究,E-mail:23600348@qq.com。
作者:麦买提·乌斯曼,阿不都米吉提·吾买尔
摘要:随着信息化时代的到来,个人资料频频遭滥用,如何保障权利主体的合法权益已成为当务之急。有必要从行政公开的角度厘清个人资料、个人信息与隐私权三者之间的关系,进而建立我国行政公开法上的个人资料保护制度。
关键词:个人资料;个人信息;隐私权
随着电脑及电子通信技术的发展,信息的处理更加大量化、便捷化及低成本化。这些信息内容极其广泛,既包括政府公文、企业经营信息,也包括个人资料。其中,与个人利益最为密切相关的就是个人资料。可以说,个人资料的收集利用对社会的发展意义非凡。但不容忽视的是,随着信息革命的深入进行,我们在享有个人资料的收集、传输、利用等所带来的利益时,也不得不面对个人资料频频被滥用的事实,并承担由此带来的不利后果。于是,在保障权利主体合法权益的前提下,促进个人资料的安全流通、正当利用等相关法律秩序的建立,就成为当今各国的重要课题之一。
一、缘起与界定:个人资料的概念
自1973年瑞典政府率先制定资料法以来,个人资料保护立法的浪潮在全球迅速蔓延开来。从立法名称来看,有些国家采用了“个人信息”,如奥地利、英国;有些国家采用“个人隐私”,如美国、以色列、加拿大、澳大利亚;还有些国家采用了“个人资料”,如法国、挪威、芬兰等。而在学术界,学者们观点也不一致,分歧较大。因此有必要首先界定个人资料的内涵与外延。
个人资料的立法定义,各国目前尚无统一标准。德国联邦资料保护法(BDSG)第2条将个人资料规定为“涉及特定或可得特定自然人之所有属人或属事之个别资料”。英国1984年制定的《资料保护法》将个人资料表述为“由有关一个或者多个的人的信息组成的资料”。此外,1995年欧盟通过的《欧盟数据保护指令》对个人资料下的定义为:“有关被识别或可被识别的自然人的任何信息”。我国台湾地区《电脑处理个人资料保护法》第3条第1款规定:“个人资料,指自然人之姓名、出生年月日、身份证统一编号、特征、指纹、婚姻、家庭、教育、职业、健康、病历、财务状况、社会活动及其他足资识别该个人之资料。”我国香港地区1996年颁布的《个人资料(私隐)条例》对个人资料的定义为:“个人资料指符合以下说明的任何资料:(a)直接或间接与一名在世的个人有关的;(b)从该等资料直接或间接地确定有关个人的身份是切实可行的;(c)该等资料的存在形式令予以查阅及处理均是切实可行的。”由上述定义分析可知,个人资料具有以下特征:(1)与个人有关,即通过该资料可直接或间接地识别个人或确定个人有关信息;(2)范围广泛,“总之就某个人作为存在而言的所有信息都可以被作为个人资料。”①
以立法定义为基础,学术界对个人资料的定义也进行了广泛而深入的讨论。综合起来,主要有以下三种较为典型的看法:(1)个人信息型定义。有学者认为:“所谓个人信息,包括人之内心、身体、身份、地位及其他关于个人之一切事项之事实、判断、评价等之所有信息在内。”② 持这种观点的学者,多将个人资料与个人信息相等同,认定个人资料的标准为与该个人有关。(2)隐私权型定义。美国Parent教授认为,个人信息指社会中多数所不愿向外透露者(除了对朋友、家人等之外);或是个人极敏感而不愿他人知道者(如多数人不在意他人知道自己的身高,但有人则对身高极为敏感,不欲外人知道)。③ 持这种观点的学者多直接将个人资料称为隐私权或资讯隐私权。(3)识别型定义。主张这种定义的学者一般将个人资料定义为可识别个人的资料,如“个人资料是指个人的姓名、性别、年龄、血型、健康状况、身高、人种、地址、头衔、职业、学位、生日、特征等可以直接或间接识别该个人的资料”④。再如,“个人资料的定义是:涉及自然人的已被识别或可被识别的资料。就其内容而言,包括个人的自然情况(身高、体重、出生年月、性别、种族)、社会与政治背景(教育程度、工作经历、宗教信仰、哲学观点、政治主张)、生活经历与习惯(恋爱经历、消费习惯等等)和家庭基本情况(婚姻状况、配偶、父母及孩子的情况等)。”⑤
作者主张“识别型定义”。原因有二:(1)从范围上来说,个人信息型定义过于宽泛。个人信息是一个内涵极为丰富的概念。任何有关个人的只字片语,只要对某人具有一定的意义,都有可能构成个人信息。而隐私权型定义范围稍显狭窄。对个人资料的保护固然以隐私权为基础,但个人资料与隐私权并不等同。很多个人资料并不涉及个人隐私,如公开资料。此时若以隐私权作为衡量个人资料的标准,难免有些偏颇。相较之下,识别型定义更为合理,能够从资料与资料主体的关系出发,明确界定法律应保护的个人资料的范围。(2)识别型定义更易于操作。定义的作用更多的在于确定内涵与外延。以识别为标准,能准确地确定个人资料的范围,在实践中易于操作。
因此,作者认为个人资料的定义是:一切可直接或间接识别本人的资料的总和,包括个人的生理的、心理的、智力的、个体的、社会的、经济的、文化的、家庭的等方面的资料。
二、区别与联系:个人资料与相关概念
(一)个人资料与个人信息
首先,资料和信息是两个不同的概念。资料(data)一词,在电子学上指“用来表示数字、文字和符号中的任一个或所有这些事实,或者用来表示或描述一种事物、想法、条件、状况或其他因素”⑥。另有人认为,资料包含两层意思:其一,“泛指所有描述事物的形貌、特性、状态或任何其他属性的数字、文字或符号”。其二,“一般指原始、未经处理过的资料”。⑦ 而对于信息(information),人们多将其与电脑或通信相联系。在专业术语上,信息指“向接收者传递一些有意义的并非是预知的信号或消息”⑧ 。也有人认为“其定义为人类将指定之原始资料应用各种有关变换方法而得之有效资料”⑨。
从以上分析我们可以看出,资料与信息是一对相互联系而又相互区别的概念。从联系上来看,“信息是指经过处理后可以提供为人所用的内容。”⑩ 可以说,“信息可定义为经过加工后的数据(data),它对接收者有用,对决策或行为有现实或潜在的价值。”{11} 更有学者将二者的关系直接表述为,“个人信息是个人资料的内容,个人资料是个人信息的物化形式。”{12}
就区别来说,主要有以下几个方面:(1)落脚点不同。资料的落脚点在于它是数字、文字和符号。也就是说,它代表或传达了知识,是一个较为客观的概念。而信息则不同,它强调“有效”、“有意义”或“有用”,即信息着眼于对人的意义。这也就意味着信息加入了人的主观因素,对甲而言是资料的东西,对乙来说,由于适合了其某种需求,资料就成为信息。此外,信息往往因收集者的主观目的不同而有差别。因此,信息是一个主观色彩较为浓厚的概念。(2)性质和状态不同。资料经过各种方法处理后可转换为信息,以是否经过处理为标准,可以将资料与信息区别开来。资料是未经处理的原始数字、文字和符号,也就是指一定事实或状态的存在或记录,其在性质上是静态的,而信息则是基于特定目的、经由各种方法对资料加以处理而形成的,经过了动态处理。
总而言之,资料与信息是一对不可分离而又有一定区别的概念。资料经过收集者的处理即成为有价值的信息,从而供决策者参考。决策者决策后采取行动,进而产生新的资料,这些资料经过处理后又生成新的信息。可以说,资料与信息就这样不断转换。以是否经过处理,既可以将二者相区别也能将二者相联系。
在探究了资料与信息的区别与联系之后,个人资料与个人信息的关系也就不言自明了。简言之,个人信息是个人资料经过处理后可以为人所用的内容。需言明的是,个人资料与个人信息不仅仅是从语词角度所作的区分,其更深刻的意义在于界定法律保护的范围。一方面,在行政公开法上,各国多冠以“信息公开”之名。原因在于,行政机关所收集的个人资料,往往基于特定的行政目的进行了处理,从而个人资料成为个人信息,将这些信息予以公开时称其为“信息公开”实则名实相符。 另一方面,作为客观事实与状态存在的记录,个人资料显然不同于个人信息。资料收集者基于不同的目的而对个人资料进行不同的处理,因而形成不同的个人信息。也就是说,不同的个人信息很可能来自同一个人资料。显然,在行政公开法上,以静态的个人资料来划定保护的范围更为合理。
(二)个人资料与隐私权
隐私权一词源于英文privacy。“有时,这个词被解释为不受他人干扰的权利、关于人的私生活不受侵犯或不得将人的私生活非法公开的权力要求。”{13} 按照《韦氏大辞典》的解释,其含义主要有三:一是指独立于其他公司或其他人的性质或状态;二是指不受未经批准的监视或观察;三是可以解释为隐居、私宅、私人事务、私密环境等。从定义中可以看出,隐私权的落脚点在“私”,即强调私人生活的隐秘性。这与个人资料的概念是完全不同的。但个人资料与隐私权又有着千丝万缕的联系。
第一,隐私权是进行个人资料保护的法律基础之一。要对个人资料进行法律保护,首先必须追索其法律基础。我国《宪法》第38条规定:“中华人民共和国公民的人格尊严不受侵犯。禁止用任何方法对公民进行侮辱、诽谤和诬告陷害。”这是宪法对人格尊严的规定,也是对个人资料进行保护的宪法基础。具体到民法来说,个人资料保护的法律基础是一般人格权。一般人格权的内容较为广泛,包括人格独立、人格自由与人格尊严。从现行法的具体规定来看,我国《民法通则》第101条规定:“公民、法人享有名誉权,公民的人格尊严受法律保护,禁止用侮辱、诽谤等方式损害公民、法人的名誉。”《最高人民法院关于贯彻执行〈中华人民共和国民法通则〉若干问题的意见》第140条规定:“以书面、口头等形式宣扬他人的隐私,或者捏造事实公然丑化他人人格,以及用侮辱、诽谤等方式损害他人名誉,造成一定影响的,应当认定为侵害公民名誉权的行为。”按照学者们的普遍观点,我国对隐私权的保护是以名誉权之名进行的,但这并不意味着隐私权不存在。作为具体人格权的内容之一,隐私权是进行个人资料保护的重要法律基础之一。而且,将隐私权作为个人资料保护的法律基础在学界早已达成共识。可以说,隐私权是个人资料保护最为直接的法律基础。
第二,个人资料与隐私的范围存在一定的交叉。在实践中,侵害个人资料的行为往往会导致与侵害隐私的法律竞合。这说明个人资料与隐私确实存在着交叉。但这并不意味着个人资料与隐私可以直接划上等号。二者是不同的范畴。以个人资料是否涉及隐私为标准,可将个人资料分为敏感个人资料和琐细个人资料(trivial data)。{14} 敏感个人资料是涉及隐私的资料,而琐细个人资料则是未涉及个人隐私的资料。英国1998年《资料保护法》规定,敏感个人资料“是由资料客体的种族或道德起源,政治观点,宗教信仰或与此类似的其他信仰,工会所属关系,生理或心理状况,性生活,代理或宣称的代理关系,或与此有关的诉讼等诸如此类的信息组成的个人资料”。瑞典资料法将琐细个人资料定义为“很明显的没有导致被记录者的隐私权受到不当侵害的资料”。由此可见,个人资料与个人隐私只是存在着部分交叉。一部分个人资料内含个人隐私,还有一部分个人资料则与个人隐私无关,如各种媒体上随处可见的名人的有关资料,这些资料由于公开早已与个人隐私无关,但仍以个人资料的形式存在。此外,一部分个人隐私表现为个人资料,还有一部分个人隐私尽管具有个人属性,却不表现为个人资料,而是表现为其他形式,如个人生活的私密空间。因而可以说,个人资料与个人隐私相关,但不必然相关。
由上述分析可知,个人资料与隐私既相互联系又相互区别。作此番比较,目的在于说明选择个人资料作为议题的意义。一方面,隐私的内容较难确定;另一方面,个人资料所体现的人格利益不仅限于隐私,隐私是无法完全涵盖个人资料所体现的全部人格利益的。因此,选择个人资料作为法律保护对象显然更为合适。
三、互嵌与互动:行政公开与三者之间
从行政法上看,给予个人资料以保护十分必要。一方面,随着福利国家的逐步建立,政府为公民提供从摇篮到坟墓的各式服务。这些服务的提供意味着社会福利制度的建立健全,也意味着个人终生无法“摆脱”政府。从出生到死亡,每个人的个人资料一直处于政府的管理和监控之下。可以说,政府因行政的需要,以其庞大的人力、物力得以坐拥大量的个人资料。这些资料为政府管理提供了重要依据,使行政得以高效进行。另一方面,政府对个人资料的不当收集、传输与利用也会给个人的合法权益造成严重损害,且此种情形在实践中也是屡见不鲜。尤其是近年来,随着各国行政公开法的纷纷出台,政府信息公开由例外变为常态,使得对个人资料予以法律保护的呼声愈响愈烈。当然,不可否认的是,行政公开制度在相当大的程度上满足了公众知的权利,在促进行政朝着公开、高效、廉洁的方向发展方面功不可没。但是,行政公开的内容中夹杂着大量的个人资料,处理不当往往会给权利人的利益带来损害。与此同时,对政府机关而言,因个人惧怕个人资料被公开从而使自己利益受损,极有可能在提供个人资料时产生踌躇,甚至因此提供不完全、不确实的资料给政府,这将严重损害政府收集有用个人资料的能力及收集到的个人资料的品质,从而反过来阻碍行政公开制度的推行。因此公开行政机关所持的个人资料从而实现公众知的权利,与保护个人资料的安全之间如何寻找平衡点,成为各国制定行政公开法时必然要面对的一个重要课题。
基于上述考虑,美国在其1966年制定的《信息自由法》中确立了行政信息公开为原则,并规定了九项免除公开的事由,其中涉及个人资料保护的规定有两项:一是公开后可能明显侵犯个人隐私的人事的、医疗的及类似的档案;二是不正当的侵犯个人隐私权的执行法律的记录和信息。规定该除外事由的立法目的,在于保护政府能获得有用及可信赖资料的利益,同时保证提供者存在于资料当中的利益不致因行政公开而受损害。
而基于相同理由,日本于1999年公布、2001年施行的《行政机关拥有信息法》从正面规定了作为公开请求对象的行政信息的范围,同时在第5条第1款中明确规定:“有公开请求时,除被公开请求的行政文件中记载有下列各项信息的,行政机关的首长,应向公开请求人公开该行政文件:(一)与个人相关的信息(不包括经营业务的个人所从事业务的信息)中,包含姓名、生日以及其他可以识别特定的个人的信息(包含与其他信息相互对照时可以识别特定个人的信息)或虽不能识别特定的个人但因公开可能损害个人权利利益的信息。……”{15}
同样的,荷兰《政府信息(公共查询)法》第10条第2款中亦规定:“如果信息的重要性小于以下各项,也不得公布、泄露该信息:……e、对个人隐私权的尊重;f、第一信息接收人的权利;g、防止对有关自然人或法人及第三方的不均利益或不利……”{16}
总之,纵观世界各国行政公开立法,正由于个人资料与个人信息和隐私权三者之间的互嵌与互动关系,即你中有我,我中有你的关系,绝大多数国家一方面肯定了行政信息公开原则,另一方面又出于保护个人权益的需要,纷纷对个人资料的公开作了限制性规定。虽然我国尚未制定行政公开法,但毋庸置疑的是,在各国均将个人隐私列为限制公开事由之一的今天,我国未来完成行政公开立法时,也必将对个人资料予以保护。本文主要是从行政公开的角度对个人资料及其保护问题从理论上作一简要分析,以期有助于有识者了解个人资料保护与行政公开之间的关系,并引起更多的学者对这一问题的关注及深入研究,从而推动建立我国行政公开法上的个人资料保护制度。
注释:
①⑤ 屈昆鹏:《论网络环境下个人资料隐私权的法律保护》,《江南社会学院学报》2004年第1期。
② 范姜真薇:《政府资讯公开与个人隐私之保护》,台湾《法令月刊》第52卷第5期,2001年。
③ 陈起行:《资讯隐私权法理探讨——以美国法为中心》,台湾《政大法律评论》第64期,2000年。
④{14} 齐爱民:《个人资料保护法原理及其跨国流通法律问题研究》,武汉大学出版社2004年版,第4、6页。
⑥⑧[美]R·F·格拉夫:《现代电子学辞典》,北京邮电学院《现代电子学辞典》翻译组译,人民邮电出版社1982年版,第171、632页。
⑦⑨范光陵:《电脑科学百科全书》,台湾五南图书出版公司1987年版,第335、632页。
⑩ 张淑奇、王齐庄:《电子商务环境的信息系统》,武汉大学出版社2000年版,第13页。
{11} 白英彩:《英汉计算机技术大辞典》,上海交通大学出版社2001年版,第908页。
{12} 齐爱民:《论个人资料》,《法学》2003年第8期。
{13}[英]戴维·M·沃克:《牛津法律大辞典》,光明日报出版社1988年版,第719页。
{15}{16}周汉华主编《外国政府信息公开制度比较》,中国法制出版社2003年版,第124、612页。
作者简介:陈波,男,1965年生,湖北松滋人,武汉理工大学文法学院教授,湖北武汉,430070;周小莉,女,1982年生,湖北钟祥人,中国银行湖北省分行法律与合规部,湖北武汉,430013。
(责任编辑 刘龙伏)
作者:陈波 周小莉
摘要:信息备份是信息处理周期中一个特别重要的环节。通常良好的信息备份、组织和管理将使用户能够在将来需要重用信息时更快地复制所需信息。信息用户经常会遇到信息丢失和信息破坏。发生这种情况时,它将反映备份已保存信息的重要性。随着计算机和网络技术的飞速发展以及信息的爆炸式增长,信息丢失的发生频率越来越高,成为一种不可忽视的信息现象。通过对组织信息的备份,它成为用户管理信息中不可替代的一部分。本文研究了信息用户的信息备份行为,分析了用户在信息备份中遇到的问题,试图找到一种帮助用户更好地备份信息的方法。虽然本文的数据样本量很小,但是他们都有不同的教育背景和工作背景,所以他们在个人信息备份问题上仍然具有代表性。
关键词:个人信息;信息备份;管理研究
引言
当代的每个公民每天都会接触到大量的信息,为了确保他存储的信息不会丢失,有必要进行信息备份。其信息备份的目的就是防止信息丢失、损坏和篡改,以造成不必要的损失。
一、研究设计与数据分析
(一)研究设计
此次研究将选取8位访谈者,其男女比例为4:4,且均是本科以上。访谈为半结构式,并为保证访谈的有效性被,访谈者都在接受访谈已经签署参与研究知情同意书。此次的访谈大纲总体会分成3个部分,与速研究内容有关经历、个人手机信息备份及个人电脑信息备份。最后对访谈中所获得相关研究数据会进行整理分析,汇集成有关个人信息备份当前现状。
(二)数据分析
1.手机信息备份
在备份方式方面,8位受访者均简述,由于手机移动终端的特性,一般会利用在线上传备份信息形式,该种备份形式相对简易、方便。在备份工具方面,在线上传的个人信息常会使用“云存储”工具,如百度云网盘、360云盘、阿里云盘及迅雷云盘等。在备份频率方面,受访者们所采用的方式就显现了较大差异性,其中4位受访者表定期进示会行备份,备份频率有所浮动,没有明确时间;2位受访者表示,每2-3周会进行1次备份;1位受访者表示,每2-3月进行1次信息备份。最后1位受访者则表示,在正常情况下,并不进行信息备份,但其会在文件或信息较为重要时,进行备份预留,或是会在更换、维修手机前会对部分重要信息实施备份处理。
2.电脑信息备份
在备份方法方面,综合8为受访者,总结为个人电脑中的信息备份常用方法2种,在线、离线。在备份工具方面,在线时,与手机上传信息备份资料相似,通常也会使“云存储”工具,而离线时,多会利用U盘或移动硬盘进行拷贝备份。两种方式U盘或移动硬盘频率相对更高,方法常用、便捷,在无网络连接情况下也能使用。针对电脑备份频率方面,与手机备份相比,电脑信息备份频率更高,其中对重要学习或工作资料会使用实时备份方式,谨防资料意外丢失。
二、个人信息备份存在的问题
(一)用户对信息备份重视程度较为欠缺
经过此次访谈后总结分析得出,大众对于个人信息备份关注度较原先有了显著性提高,然取重视程度依据需要进一步增强。个别受访者表示,大多时候他们认为没有必要进行个人或是数据信息备份,多是由于他们没有充足时间,或是条件不允许实施信息备份行为,还有小部分则表示不想在备份上花费太多时间和精力。
(二)用户对信息备份的风险存在疑虑
受访者对于信息备份这一行为,会存在一些担忧,比如经常通过“云存储”工具,多次、反复备份会不会在无意间泄露个人信息隐私或是重要的工作资料等。因此,这也是导致受访者对鲜少进行个人信息备份的重要原因之一。
(三)用户信息备份的工具使用较为混乱
随着科学进步,网络信息技术的发展日益强大,因此,在市面上出现了各式各样的“云存储”工具,有时用户对工具的性能或是安全程度缺乏一定的了解,致使他们经常更换或尝试各类备份工作,时间一长,不仅备份工具产生了混乱,也同样使得备份信息散乱,如此用户的对个人信息备份的主动性便逐渐降低。
(四)用户感知信息备份工具使用便利性不够
不管是“云存储”工具还是U盘或移动硬盘备份形式,他们都存在一些便捷性制约,针对云存储,主要联通互联网,而U盘或移动硬盘需通过特定的媒介来进行,加之部分为科技不太接触的大众可能并不能完全进行备份操作,也使得信息备份的想法被打消。此外,U盘或移动硬盘工具或是手机的信息备份,其过程相对复杂使用复杂,若没有相对清晰、完整的使用说明,会使用户花费较多的个人精力或时间成本,也是鲜少备份的原因所在。
三、对策与建议
(一)增强用户的信息备份意识
在这个被各种信息充斥的时代,数字信息在个人信息中所占据的比例不断变大,因此,对于个人信息归纳、分类以及备份行为已显的至关重要。提高大众信息备份意识将能帮助他们更好地管理个人信息。更重要的是,大众有必要学习怎样选取相对关键的信息予以备份操作,通过知晓自己的信息需求来增加信息的价值度。
(二)提高信息备份工具的安全性和便捷性
在访谈中,8位受訪者都对信息备份工具的安全性显示出了一些烦恼、担忧的情绪。他们担心因对此使用信息备份工具而使得个人隐私信息外泄事件发生。基于此,信息备份工具制造商需尽量在最大程度上能够保障使用备份工具用户的信息安全与稳定性。另外,鉴于受访者提出的使用过程过于复杂的问题,信息备份工具制造商也需提高关注度,尽快提升备份工具的便利性,以增加用户使用率。
(三)提高信息备份工具的专业性
市场上有许多不同种类、不同性能的信息备份工具,不同的用户会选择使用相适合信息备份工具。大众多会使用如U盘、硬盘类的简单工具实施备份。然而,由于这些工具安全性低、易丢失、易损坏,信息备份有着较大风险。因此,提升信息备份工具的专业性的问题迫在眉睫,如引入FBackup等专业软件进行备份,以提升个人信息备份率。
四、结束语
在信息时代,个人信息备份的重要性显而易见。随着时代的发展和科学技术的不断进步,信息备份工具也迎来了新的局面。在数字时代,个人管理自己的信息变得越来越方便,但同时也使个人信息更容易丢失。受访者认为,备份个人信息后,对丢失信息的恐惧感有所降低。通过调查,总结了个人信息备份的基本概况、个人信息备份的方式、个人信息备份过程中遇到的问题以及个人信息备份的效果,对提高个人信息备份水平具有重要意义,并得出结论,个人信息备份有利于提高个人信息管理的信息备份水平,减少信息丢失、损坏造成的损害等。在下一个研究过程中,我们将主要针对信息备份中遇到的问题提出相关的解决方案,为了进一步提高个人信息备份的水平。
作者:唐雄伟
摘要:在知识经济时代,信息早已成为珍贵的资源,个人面临的信息资源呈爆炸式增长。社保卡中的个人信息愈来愈丰富和繁杂。怎样有效运用社会保险卡中的个人信息,怎样有效储存社会保险卡中的个人信息,本文将以此进行探讨。
关键词:信息管理;社保卡;个人信息
一、社保卡个人信息管理的过程
(一)社保卡个人信息采集
社会保险卡信息采集是符合要求的群众通过电话与本地服务站约定,或是直接向服务站申请办理社会保险卡。申请者在电話预定时,必须告诉自己的身份证号和名字。接着,服务站通过信息互换平台从信息服务中心下载有关信息。确定下载的信息,与申请者电话沟通身份证号和名字信息一致后,服务站和申请者约好正式申请办理时间。申请者向便民服务站申请办理时,填好《社保卡申请办理备案表》,进行社保卡信息收集步骤。在搜集社保卡信息时,要特别注意防止搜集不正确,提升社保卡信息采集质量。针对社保卡持卡人来说,完成信息的“被采集”,也是针对个人信息进行管理的过程,如何将自己的个人信息准确无误地“被采集”,这就需要持卡人具有一定的个人信息管理意识,具有一定的信息素养能力,能够准确有效有组织地将个人的身份证号、图像信息、参加工作时间、婚姻状况等信息反映到《社保卡申领登记表》上,进而人社主管部门能够将个人的与社保卡相关的个人信息准确有效地加载到个人的社保卡上。
(二)社保卡个人信息组织
组织社保卡信息,首先将《社保卡申请办理表》的相关内容与申请者核查的身份證件、户口簿或居住证明信息对比公安机关人口数量基本信息。其中,社会保险卡的基本信息卡的名称、身份证号、性別是至关重要的数据项目,在比较过程中,第一,在结果一致的情形下,将搜集到无误的信息上传到社会保险卡的官方数据库,第二,关键的数据一致,非关键的数据不一致,有照片。需要升级社会保险的非关键数据项目,获取照片,最后传送到社会保险卡的官方数据库,第三,关键数据和非关键数据一致,但没有照片。此时,为了更好地处理社会保险卡问题,需要将其迁移到临时性数据库。经人工认证后,保证数据恰当准确无误后,可转到社保卡正式数据库;第四,当关键数据和非关键数据不一致时,也会将其传送到临时性数据库,便于处理社保卡问题。假如这些数据在人工认证后依然不确定性,则需要在人工认证后传送到数据库开展处理。
(三)社保卡个人信息存储
社保卡信息的储存不但能够便捷查找和增加社保卡信息资源的使用使用寿命,还能够提升社保卡信息的使用效率,有利于共享资源和管理。因此,储存社保卡收集的信息具有关键的实际意义。
(四)社保卡个人信息开发利用
社保卡在采集、组织、存储的基础上还需要被更好的开发利用。社保卡信息资源开发利用是指将经过采集、加工并存储的社保卡个人信息资源提供给相关组织或者个人,以满足其信息需求的过程。社保卡是劳动者在劳动保障领域办事的电子凭证,持卡人可以凭卡就医,进行医疗保险个人账户结算;可以凭卡办理养老保险事务;可以凭卡申请劳动能力鉴定和申领享受工伤保险待遇:可以凭卡到相关部门办理求职登记和失业登记手续,申领失业保险金,申请参加就业培训等。
二、社保卡持卡人个人信息管理存在的问题
(一)社保卡持卡人缺乏对社保卡相关的个人信息分类整理意识
部分社保卡持卡人未能就社保卡中加载的基础信息(如公民的身份证号码、姓名、性别等信息)和相关的业务信息(如持卡人的养老保险费、失业保险费、医疗保险费、住房公积金缴纳情况等信息)进行有效的分类和整理。社保卡持卡人对社保卡中相关的个人信息分类和整理意识的缺乏会直接导致社保卡个人信息管理的低效率和混乱无序,不利于实现有效的个人信息管理。
(二)社保卡中相关的个人信息“二次回收利用”现象严重
部分社保卡持卡人以及一些非营利性的公益团体在使用持卡人个人信息时未能做到合理有效的保护,例如在公开一些个人的社会保险费用的缴纳或者领取信息时,连带公布了过多的附加信息,如身份证号码、工作单位等信息。此外,部分社保中心的橱窗上展示有招领的遗失社保卡,上面的个人社保编码,身份证号码等信息可以一览无余,在社保证明打印自助终端机旁边的垃圾袋中装满了被丢弃的社保单据:社保卡持卡人在使用公用电脑登陆社保卡个人查询界面时未能及时退出已经登陆的界面或者保存了个人的账号和密码信息等,这些现象都有可能造成持卡人的相关个人信息被不法分子“二次回收利用”,将这些“二次回收”回来的持卡人个人信息当做商品,出售给买家。持卡人的个人信息被“二次回收利用”严重损害了持卡人的利益,也是当前社保卡中相关的个人信息保护面临的一大难题。
(三)社保卡持卡人对社保卡相关的个人信息安全保护观念淡薄
许多调查者经常遭遇或偶尔遭遇关于社保卡的个人信息安全危机。遭遇过社保卡个人信息危机,并没有能够引起社保卡持卡人对社保卡中相关的个人信息安全的重视,社保卡持卡人对社保卡中相关的个人信息安全的保护观念淡薄。社保卡中加载了许多关于持卡人的个人信息,其信息价值也在不断增加,如何维护持卡人的社保卡中相关的个人信息的安全性需要引起所有社保卡持卡人的重视。只有持卡人在十分安全地使用社保卡中个人信息的前提下才能实现社保卡个人信息的有效使用和管理。
三、建议对策
(一)加强对社保卡中相关的个人信息的分级分类保护
社保卡中加载的有姓名、性别、身份证号码、社保缴费记录等等众多个人信息,要对这些个人信息进行高效的管理,就要对社保卡中相关的个人信息进行合理的分类和整理。首先要对社保卡中相关的个人信息依据内容进行分类,再根据各类信息的价值和安全风险给予不同程度的保护。一方面,公民可以根据社保卡中相关的个人信息类别将其划分为卡面基本信息和卡内加载信息。卡面基本信息为持卡人基本信息、性别、公民身份证号码等,开内记载了持卡人的个人状态、社会保险缴费情况等信息。持卡人可以根据卡面基本信息和卡内记载信息对社保卡的个人信息进行分类和整理,这能够有效地提高社保卡个人信息管理的效率。另一方面,持卡人可以根据社保卡中各类信息的价值和安全风险对社保卡的个人信息进行分类,主要考虑一下四个方面的因素:能否依据该信息直接识别出特定的持卡人;与持卡人线下工作生活的紧密程度;能否通过该信息获得其他相关联的信息以及信息安全风险。综合以上四个方面的因素对社保卡中个人信息保护程度进行分级,对身份信息的保护要优先于卡内缴费记录等相关日志信息。
(二)把握好社保卡中相关的个人信息公开的尺度
信息二次回收利用的主要原因是信息没有获得合理适度的披露,不应该披露的信息水平被不由自主地披露,違法者被有机运用。合理、适度地披露社会保障卡信息,不但能够大大的缓解人力资源和社会保障单位员工的工作量,并且能够有效地保护持卡人的个人信息。因此,有意或不经意披露社会保障卡个人信息的个人和机构应该马上给予关心和教育,并在披露信息时坚持客观和合理的原则。不需要披露的信息始终不可能被披露,也不会披露过多多余的信息。
(三)全面增强社保卡持卡人的个人信息管理意识
要全面增强社保卡持卡人的个人信息管理意识,首先需要加强对社保卡持卡人关于个人信息管理(PIM) 一般理论知识的学习,主要包括个人信息和个人信息管理的基本概念和内涵,个入信息管理的过程、技术和方法、个入信息安全管理、
移动环境下的个人信息管理等。社会保险卡所有者能够使用一般的个人信息管理知识来指导社会保险卡的个人信息管理实践。社会保险卡所有者能够有效使用、共享资源、管理很多混乱、有价值、分散化的社会保险卡个人信息,提升所有者对社会保险卡个人信息的应对能力和应对速率,有效保护与社会保险卡有关的个人信息。其次,持卡人务必提升社会保障卡个人信息管理的关键宣传教育。使所有社会保险卡所有者恰当有效地认识到社会保险卡个人信息管理的必要性,明确社会保险卡个人信息管理的目标和企业愿景。推动各社会保险卡所有者积极主动管理社会保险卡的个人信息。社会保障卡个人信息管理关系到每一个持卡人的合法权益。高效的社会保险卡个人信息管理有有助于每一个社会保险卡所有者能够更好地维护保养自己的社会安全权益。社会保障卡安装金融作用后,也将对持卡人的经济权益产生积极影响。
参考文献
[1]毛洪参保人员的贴身伴侣一社保卡[J].天津社会保险.2011 (02) .
[2]朱纯朋.XX市社保卡安全系统设计[D].北京:北京邮电大学2009.
[3]王东岩.社保卡的应用与发展[J].中国信用卡.2001 (09) : 3-7.
[4]社保卡的管理结构及应用系统[J].中国防伪报道.2009 (04) :45-48.
作者简介:
第一作者:杨晨希 ,2000-12-07,男,黑龙江省黑河市,信息管理与信息系统
第二作者:杨宏光 ,1999-12-27 ,辽宁省大连市,信息管理与信息系统
作者:杨晨希 杨宏光
2011年4月索尼游戏主机网络遭黑客入侵,全球7700万用户资料被窃取,包含姓名、信用卡号等。这一黑客攻击事件导致索尼被迫关闭了该服务,损失达1.7亿美元。
7月底,在以实行网络实名制闻名的韩国,多个知名门户网站遭黑客攻击,约3500万名用户个人信息外泄,此事在韩国引发轩然大波。韩国行政安全部称,出于保护网络用户个人信息安全考虑,政府拟分阶段逐步取消网络实名。
中国政府决心推行网络实名制,其主要范本正是韩国,然而韩国的新动向,有关部门似乎视而未见。2011年12月16日,北京市多个政府部门联合制定了《北京市微博客发展管理若干规定》,要求任何组织或者个人注册微博客账号,应当使用真实身份信息。其后,广州、深圳、上海等地也正式实施微博实名认证制。
正是在这个当口,中国的互联网世界上演了一出史上规模最大的泄密事件。12月21日,国内最大的开发者社区CSDN600万用户账号和密码遭黑客泄露;旋即,天涯有4000万用户密码流出。“泄露门”从论坛社区很快蔓延到人人网、开心网等多个社交、游戏网站,再到京东、当当、淘宝等电子商务网站。传闻还波及支付宝、工商银行、民生银行及交通银行等支付和金融机构。政府网站也未能幸免,广东省出入境政务服务网站的444万条用户信息,在2011年12月30日被证实泄露。
金山网络反病毒工程师李铁军12月30日接受财新《新世纪》记者采访时则表示,根据他们从网上下载的数据库,剔除重复信息之后,有超过1亿条用户信息在此次事件中泄露。泄密已演化成席卷整个中国互联网的大事件。
此次“泄露门”暴露出中国互联网在网络安全上的多个“命门”:
首先,即使国内一些看似很大的网站,在安全防御上也漏洞百出,很难应付黑客攻击。例如,匪夷所思的是,大型网站居然采用明文存储密码,甚至像CSDN这样以程序员和开发者为核心的大型社区也犯这种低级错误,如此这般违背常识,如何指望能够保护用户安全?
其次,从用户方面来看,非常多的网民习惯为邮箱、微博、游戏、网上支付等账号设置相同密码,一旦密码被泄露,很有可能导致网上支付等重要账号一并失窃,从而遭到更大程度的泄密及财产损失。即使规模如此之大的泄密之后,用户的安全意识也未见有多大提高。CSDN董事长蒋涛说,在密码泄露事件后,经多次提醒,仅有30%用户修改了密码。
但最关键的是,用户信息大量泄露后,个人权益无法得到保障,也没有明确的用户赔偿机制。在索尼用户个人资料泄密事件中,索尼承诺为所有泄密的美国用户提供一项价值100万美元的身份盗用保险,用于防止被窃取用户信用卡和个人信息被滥用而造成损失。而中国用户提交个人信息既难以得到有效的保护,发生泄密后,也无法使用法律追究泄密责任。在缺乏强有力外在约束的情况下,那些互联网企业没有谁愿意花大量资金投入网络安全,从而给黑客留下了可乘之机。出事了,大家只有面面相觑,问:“下一个被黑的是谁?”
随着微博实名制规定的出台及实名制向其他网站扩大化的可能,用户私人信息大量泄漏的风险更加巨大,一旦出现这种情况,将不仅成为一场网络个人隐私灾难。而且,伴随电子商务在互联网经济中日渐突出的重要性,这样的个人隐私灾难也意味着一场经济上的重创。
大规模泄密事件,也暴露了互联网江湖中最为隐秘的黑色产业链——数据交易。有网络安全人士估算,目前互联网地下数据交易产业规模已达到上千亿元。个人隐私保护从来就非单纯的技术问题,而是事关利益的博弈。《个人信息保护法》迟迟不能出台,本身就与信息滥用业已形成巨大产业链,有关各方难以“忍痛割爱”相关。
在今天的中国社会,个人信息成了利益筹码被随意倒卖,滥用个人信息达到触目惊心的程度,滥用者包括形形色色的机构:银行、保险公司、汽车销售商、医院、学校和各种各样服务代理商都卷入其中。中国社会科学院发布的2009年《法治蓝皮书》指出,随着信息处理和存储技术的不断发展,我国个人信息滥用问题日趋严重,社会对个人信息保护立法的需求越来越迫切。但据调查,仅有4%左右的人对个人信息被滥用进行过投诉或提起过诉讼。究其根源,在于目前个人信息保护尚缺乏专门性规定。社科院认为,通过设定刑事责任来加大对滥用个人信息的打击力度固然重要,但如果不能确立个人信息保护的基本制度来对个人信息处理行为进行有效的管制,则很难从根本上遏制滥用个人信息的问题。为此,必须抓紧对隐私、个人数据保护进行专门立法。
作者:胡泳
【中文摘要】本文主要讨论网络个人信息隐私权的法律保护问题。首先,在绪论部分通过个人的经历引出对网络个人信息隐私权的关注。正文第一部分介绍网络个人信息隐私权的涵义和特点。正文第二部分是网络个人信息隐私权保护现状分析,即网络个人信息隐私存在不当收集和不当传播的问题,其主要原因是立法保护缺失和权利意识缺失。正文第三部分是对网络个人信息隐私权的保护提出的建议:要有权利基础——知情权、网络言论自由和信息流通自由,在此之上应当立法保护和司法保护网络个人信息隐私权。针对立法模式以及立法的内容提出了建议。结论重申了立法保护的重要性和必要性。
【英文摘要】The main idea of this article is to protect personal information privacy on net in law. First, in the part of introduction, an experience reflects the problem of personal information privacy protection on net. The first part of the text introduces definition and characteristics of personal information privacy on net. The second part of the text shows the present situation of personal information privacy protection on net: unsuitable collecting personal information privacy and unsuitable spreading personal information. The reason of the present situation is that we lack for statutes and sense of right. In the next part of the text, suggestion
comes: concerning about personal information privacy production,rights--right to know, freedom of speech and information currency-- should be basic, and statutes should be necessary, and judicial practice should be important. The law making mode and contents are also concerned. Conclusion comes in the end, the view of making law to protect net personal information privacy is repeated in this part. 【关键词】网络个人信息 隐私权 法律保护
【英文关键词】net personal information privacy law protection 【目录】论网络个人信息隐私权的法律保护3-4Abstract410-17
绪论
7-10
中文摘要
第一章 网络个人信息隐私权概述10-1
1第一节 网络个人信息隐私权的涵义
11-16
一、第二节 网络个人信息隐私权的特点网络个人信息隐私权的主体11-13客体13-15小结16-17
二、网络个人信息隐私权的
本章
三、网络个人信息隐私权的内容15-16
第二章 网络个人信息隐私权保护现状分析第一节 网络个人信息隐私权受侵害的现状
一、网络个人信息隐私的不当收集17-20
20-2
3二、网17-2517-23络个人信息隐私的不当传播权保护不足的原因权利意识缺失2
423-24
第二节 网络个人信息隐私
二、
一、法律保障缺失23-2
424-2
5本章小结第三章 网络个人信
息隐私权的法律救济保护的基础25-29自由保障26-28
25-33第一节 网络个人信息隐私权法律
25-26
二、网络言论28-29
第二节
一、知情权保障
三、信息流通自由保障
29-32网络个人信息隐私权的法律保护措施29-3133-3
4二、司法保护31-32参考文献34-36
一、立法保护
结论
本章小结32-33致谢36
:1-3-9-9.38-8-4-8 【备注】在线加好友索购全文同时提供论文写作一对一指导和论文发表委托服务。
本文由学术文献总库合作提供,无涉版权。作者如有异议请与总库或学校联系。
个人资料成为 “商品”被倒卖,莫名其妙接到推销人员的电话,收到诈骗短信等……近年来,个人信息频繁受到侵犯的现象已经屡见不鲜,引起社会公众的极大反感,但人们发现,自己对非法获取和提供私人资料的不法分子却无可奈何!
遭受威胁
2008新年伊始,由网友“奇拿”在天涯社区发布一系列照片所引发的“艳照门”事件震惊了香港和大陆娱乐圈。事件当事人为此苦恼不已,如日中天的事业嘎然而止,个人生活受到了严重的冲击。
据韩国《体育朝鲜》报道,韩国艺人个人信息泄露和隐私生活受侵犯的问题已经达到严重的地步。报道指,某艺人被殴打后,殴打人向警方供述说:“在门户网站查到了该艺人的住址。”不仅如此,韩国很多艺人的个人信息在网上为网民共享,其动向时时刻刻被关注,随时都有可能成为事件受害人。
2010年6月8日,首例移动、联通员工涉嫌非法出售公民个人信息案开庭,北京市朝阳区人民法院
审理此案。在整个案件中,供职于联通、移动的被告人在利益的驱使下,利用职务之便,将客户的通话时间、主叫号码、被叫号码等手机通话记录以邮件的方式发给买家,或应买家要求,通过内部系统修改客户全球通手机号的客服密码。
当个人信息具备了商业价值,其被不当收集、恶意泄露、随意篡改甚至非法出售的现象就屡见不鲜了。央视《今日说法》曾经披露,一些大城市已经出现了大量非法买卖公民个人信息的现象,并形成了一个“产业”。
面对个人信息泄露、隐私生活受侵害这一社会公害,喊打之声此起彼伏、日益高涨,人们却无奈地发现,个人信息保护处在法律的灰色地带,自己对非法获取和提供私人资料的不法分子无可奈何!
不再裸奔
“个人信息”是与个人密切相关的信息资料,其范围非常广泛,包括一切有关个人身份、生理、思想、生活习惯、社会关系等方面的信息,具有一定的隐私特性,因而不得随意公开。
2009年2月,我国刑法首次增设了侵犯个人信息安全犯罪的条文。
刑法修正案(七)第七条规定,“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员,违反国家规定,将本单位在履行职责或者提供服务过程中获得的公民个人信息,出售或者非法提供给他人,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金。”“窃取或者以其他方法非法获取上述信息,情节严重的,依照前款的规定处罚。”“单位犯前两款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。”
这一罪名的增加,顺应了信息时代对公民个人信息保护的需要,意味着中国将通过刑法保护公民身份信息的安全。
专家称,刑法修正案新增“非法获取公民个人信息罪”,意义重大。
首先,从立法的层面而言,该罪行的设立是对保护“个人信息”做出的积极探索,对于构建完善的个人信息保护法律体系、充分地保护个人的信息安全而言是一个良好的开端。
其次,触犯该罪最高可判处三年有期徒刑,这将对那些非法获取和利用个人信息的不法分子构成极大的威慑,某种程度上能减少非法获取和利用个人信息行为的发生。
最后,刑法新增该罪将有利于公安机关有法可依,有法必依,打击非法获取和利用个人信息的地下产业链。
2010年初,珠海市香洲区法院宣判了全国首例侵犯公民信息安全犯罪案,被告人周建平被判刑1年6个月,并处罚金2000元,而他也成为贩卖个人信息牟利被追究刑事责任的第一人。
差距在哪?
专家指出,刑法修正案新增“非法获取公民个人信息罪”仅仅是第一步,保护个人信息在实践过程中的难度很大。国家还需要对该罪名出台司法解释予以细化,使其更具操作性,不是依靠新增该罪名就能一劳永逸,包括如个人信息的范围、取证、举证责任分配等问题亟需明确。
同时,对比国外已经比较成熟的个人信息保护法律体系,我国的立法起步就显得比较晚,体系也十分单薄。
在“信息高速公路”上“个人信息”价值凸显,如何对其进行保护备受世界各国关注。
据不完全统计,世界上制定了个人信息保护法律的国家或地区已经超过50个。就使用的法律概念而言主要有三个,分别是:“个人数据”、“个人信息”与“个人隐私”。其中,使用“个人数据”概念的国家或地区最多,主要是欧盟成员国。而以美国为代表的普通法国家(英国作为欧盟成员除外)则大多使用“个人隐私”概念。在日本、韩国、俄罗斯等国,则使用“个人信息”概念。
1995年,欧盟制订了《关于个人信息运行和自由流动的保护指令》,该指令有二个基本目标:一是,保护个人信息所有者的个人信息以合法方式进行运行;二是,通过协调各国国内法以确保个人信息在欧盟范围内自由流动。
欧盟指令具有明显的价值倾向,覆盖范围广,规制程度深,执行机制健全。
而在美国,1974年的《隐私法案》是美国最重要的一部保护个人信息方面的法律,适用于美国公民和在美国取得永久居留权的外国人。
该法案对政府机构应当如何收集个人信息、什么内容的个人信息能够储存、收集到的个人信息如何向公众开放及信息主体的权利等都做出了比较详细的规定,以此规范联邦政府处理个人信息的行为,平衡隐私权保护与个人信息有效利用之间的紧张关系。
1998年《儿童网上隐私保护法》出台。美国社会认为,相对于一般的信息隐私保护,儿童网上隐私的保护应列为最优先的地位。
无论是欧盟模式,还是美国模式,都有其十分合理的地方,是目前较为先进的保护措施。
对于个人信息保护立法,两者的最大差别主要表现为:美国采取的是单独立法,即一部法律通常只规范某一特定对象,如1974年联邦《隐私法》,只规范了政府机构对个人信息的收集、使用、处理。至于来自私人组织的干涉,一般采取行业自律的方式,通过自我约束达到对个人信息予以保护的目的。而欧盟模式通常采取综合性的立法。即一部立法所规范的对象是多元的,即包括政府也包括各种组织和个人。
究其原因,导致这一差别的原因在于:欧洲对个人信息的保护视为保护人权的具体表现,因此其既可对抗政府也可对抗其他组织和个人。而美国一般对人权保护更关注于限制政府权力滥用,而不太关注来自私人组织的干涉,并且认为由于每个行业的不同特点很难运用统一的模式进行普遍性的规范,属于灵活立法的典范。
对比国外个人信息保护的立法现状,我们不难看出其中的差距。路漫漫其修远兮,吾将上下而求索!汲取精华,结合国情,作出具体的制度设计才是我们的当务之急。当然,这仅仅是从政府角度来说,之于个人而言,我们也应提升个人信息保护意识,行使和履行监督政府和民间组织行为的权利和义务,共同推动我国个人信息保护立法的完善和发展!
推荐阅读:
个人信息资料表107-01
信息化先进个人材料06-25
信息技术与学科融合个人研修计划06-22
现代信息工程职业技术个人求职简历06-07
计算机信息管理专业个人简历模版06-05
最新信息时代的个人知识管理心得体会06-15
电力信息化与信息安全06-08
1.2高中信息技术教案信息技术 及其发展05-26
信息化时代的初中信息技术教学方式探究06-14
