刚刚过去的2020年,“个人信息保护”可谓是法学界的热点词汇:前有《民法典》设专章规定“隐私权和个人信息保护”,后有《个人信息保护法(草案)》的出台,还有《个人信息安全规范》标准的更新等。而随着2021年《民法典》的正式实施,数据安全法与个人信息保护法被明确列为全国人大重点立法项目,出台在即,【1】我们相信“个人信息保护”的热度将只增不减,也自然将成为企业合规和律师执业所不可忽视的法律领域。结合团队近期提供的相关法律服务,以及企业客户对该领域的实务咨询,我们拟从基础理论、法律适用与合规实务等几个角度对个人信息保护与企业数据合规进行梳理。以下为本系列之基础理论篇。
“个人信息”与“个人数据”在法律语境中并无实质差别,早期可能在翻译的过程中存在不同的译法,目前在我国立法体系中较为统一地采用“个人信息”的称谓。从上述定义中可以看出,《网络安全法》与《民法典》的定义较为一致,即采取了“识别说”,也即强调的是信息与信息主体之间能够被识别的可能性;而《个人信息保护法(草案)》的规定则有所区别,主体部分采取了“关联说”,即包含一切与个人相关的信息而不论是否与身份识别有关,在此基础上再将匿名化处理后的信息进行剔除。单从立法的字面含义上来理解,似乎《个人信息保护法(草案)》对个人信息的范围进行了进一步扩充;但考虑到随着科技手段的发展,“匿名化”处理后要使得数据达到“无法识别”自然人的程度已变得愈发困难,因此该两种定义在实践中的范围未必会存在很大差别。因此,这也使得“可识别性”这一标准始终是判断某个数据是否属于个人信息的关键。在企业合规实务中,更为详细的内容可以参考GB/T 35273—2020《信息安全技术个人信息安全规范》这一国家标准中的具体描述。尤其是在其附录A“个人信息示例”与附录B“个人敏感信息判定”中,以详细的附录表格对个人信息和敏感信息进行了列举说明。
与个人数据相对应地,存在并非个人信息保护法保护对象的“非个人数据”。根据“个人信息”的上述定义,那些无法识别出特定自然人的数据即非个人数据。由于这些数据不涉及自然人权益的特别保护,故法律上并没有给予过多限制的必要。
其中,非个人信息又可以包含以下几种不同类型:一是与组织体(非自然人)相关的数据,可以来自于法人、其他组织,也可以来自于自然环境、其他生物等;二是虽然来自于自然人但无法通过倒推识别出特定自然人的数据;三是对原始数据进行处理后形成的数据,即经过分析、清洗、建模后产生的数据,即所谓“增值数据”。【2】
另外一个与个人数据相关联的概念是所谓的“企业数据”,即数据企业在依法收集个人数据之后形成的“数据池”。大数据时代,人们通常认为单条个人信息的价值实际上是极为有限的,只有集合性的“数据池”才是真正具有利用价值的数据资产。【3】因此,承认并保护数据企业对数据享有的财产权利是非常重要的,但该种对企业数据进行保护的法律基础和对个人数据进行保护的法律基础则完全不同。实务中,虽然《民法典》等民事基本法律并未明确企业所享有的数据权利,但在大量与数据相关的不正当竞争案件中,法院都将侵害数据企业数据的行为认定为不正当竞争行为,从而间接认可了特定的平台企业对其服务数据所享有的财产性权利。【4】
有关个人信息的隐私权理论影响深远,并且在我国早期立法中,也的确存在个人信息与隐私权不分的弊病。但事实上,个人信息与隐私的概念各自独立,只是在所涵盖的信息范围上存在一定程度的交叉。隐私权侧重保护的是人们对其身体和家庭等私密空间或私生活安宁的决定自由,而个人信息保护关注的是人们就那些将对其个人自治产生扩张或者限制作用的信息应当如何使用的决定自由。【5】
近年来,我国在立法中已经越来越清晰地对个人信息和隐私进行区分,并且对两者的保护也采取了不同的路径。根据《民法典》对隐私和个人信息的定义,两者关系可以图示如下:
个人信息无疑具有一定程度上的财产价值,尤其是经过大数据整合后的企业数据,如前文所述,更是具有明显的财产权客体属性。但事实上,真正具有财产权属性的与其说是个人信息,不如说是数据。个人信息与数据本身是两个不同的概念,《民法典》也对两者分别进行了规定。通常认为,作为财产权客体的是经过匿名化处理后不具备可识别特征的数据,数据权主体则对数据享有占有、使用、收益、处分的权利。【6】
个人信息与知识产权都可能与数据相关,乍看之下似乎存在某些联系,但该两者之间实际上差别显著。所谓知识产权,指的是民事主体对其创造性的智力成果依法享有的专有权利。个人信息保护的法律基础来源于其可识别性,而知识产权的法律基础则来源于其创造性。根据我国《民法典》的现行体系,“个人信息保护”被规定在人格权编,故从广义的法律属性上看首先应属于人格权的范畴。但同时,与生命权、健康权、肖像权、名誉权、隐私权等这些民事权利有所区别的是,《民法典》并未直接规定“个人信息权”,而仅仅是对个人信息规定了“保护”的相关内容。之所以采取该种立法模式,主要是为了避免对信息自由、言论自由和其他自由的不合理限制,协调个人信息权益保护、信息自由以及公共利益的关系,对于自然人对个人信息的利益应当采取最低程度的保护,即将其仅仅作为一种民事利益给予保护。【7】个人信息的核心特征是可识别性,能够单独或者与其他信息结合识别特定自然人的信息即为个人信息。个人信息与隐私、数据等法律概念存在一定联系,但又有所区别。我国《民法典》并没有规定“个人信息权”这一民事权利,而是将其作为一种民事利益进行保护。正如《个人信息保护法(草案)》第一条所言,之所以要对个人信息进行保护,更重要的目的是为了“保障个人信息依法有序自由流动”和“促进个人信息合理利用”。如何在保护和促进之间取得平衡,是贯穿立法、司法、行政管理、行业自治等多个环节的永恒主题。【1】参见《数据安全法、个人信息保护法为2021年全国人大审议重点》,载2021年1月1日《人民邮电报》,网址http://paper.cnii.com.cn/article/rmydb_15811_298402.html,最后访问时间2021年1月20日。
【2】参见程啸:《论大数据时代的个人数据权利》,载《中国社会科学》2018年第3期,第109页。
【3】参见何渊主编:《数据法学》,北京大学出版社2020年7月版,第26-28页。
【4】例如“大众点评诉百度案”,上海知识产权法院(2016)沪73民终242号民事判决书。法院认为:“汉涛公司的大众点评网站通过长期经营,其网站上积累了大量的用户点评信息,这些点评信息可以为其网站带来流量,同时这些信息对于消费者的交易决定有着一定的影响,本身具有较高的经济价值。汉涛公司依据其网站上的用户点评信息获取利益并不违反反不正当竞争法的原则精神和禁止性规定,其以此谋求商业利益的行为应受保护,他人不得以不正当的方式侵害其正当权益。”
【5】参见程啸:《民法典编纂视野下的个人信息保护》,载《中国法学》2019年第4期,第40页。
【6】参见何渊主编:《数据法学》,北京大学出版社2020年7月版,第50-51页。
【7】参见程啸:《民法典编纂视野下的个人信息保护》,载《中国法学》2019年第4期,第39页。
专长领域:金融商事;企业合规;海事海商;跨境项目等
社会兼职:华东政法大学数字法治研究院特聘研究员
邮箱:eve.fang@sgla.com
专长领域:金融保险、涉外民商事诉讼、公司日常法律事务
邮箱:karen.gu@sgla.com
中联律师事务所 2008 年成立于上海,2020 年成为中世律所联盟发起创办的一体化全国性品牌所,是一家立足国内、面向全球的大型综合性律师事务所。
中联是中世律所联盟在中国首次以联盟做大方式,推动律师行业规模化、专业化、国际化发展的最新成果。中联秉持包容、合作、进取、开放的联盟文化理念,融合各地优秀成员所的丰富资源与荣誉,以高于同业的一体化知识管理体系与执业标准,全新诠释中国最好律所联盟成功发展的精神内核与事业追求。
