作者：刘明　　新闻来源：检察日报　 

 

 

得益于信息处理技术的不断发展和成熟，个人信息的法律概念在20世纪70年代首次出现。如今，40年已经过去，个人信息保护立法在全球范围内蓬勃发展，与此同时，信息技术也有了长足进步，人类社会逐步迈入大数据时代。在这种巨大的技术变革过程中，如何始终保持个人信息保护与信息资源优化配置之间的和谐关系，是我国当下建构个人信息保护法律规范时应重点考量的问题，而一个准确、清晰的个人信息保护范围，将是解决问题的关键所在。

 

　　现行法对于个人信息保护范围的界定标准 

 

　　通过综合对比我国网络安全法、欧盟《一般数据保护条例》、德国《联邦数据保护法》、英国《数据保护法》等世界主要国家的个人信息保护法律规范，可以从中提炼出三个方面具有共通性的界定标准：

 

　　一是与信息主体的相关性。所谓与信息主体具有相关性的信息，主要包括三类：（1）信息源自于对信息主体生物特征或社会属性的描述，如姓名、年龄、种族、健康情况、工作履历等均属此类；（2）信息被主要用于对信息主体的行为或其他状况进行评价，以财产状况、信用记录等为典型代表；（3）信息内容能够使信息主体与他人相互区别，如行踪轨迹信息，即属此类。

 

　　二是对信息主体身份的识别性。个人信息保护制度的核心目的在于对信息主体权益的保护，因此只有当某项信息能够对具体个人的利益产生实质影响时，方才具有受法律保护的价值和必要，这决定了身份的可识别性在个人信息法律概念中的基础性地位。其中，根据特定信息是否需要与其他信息相互结合方可对信息主体身份进行识别，信息的可识别性又分为直接识别与间接识别两类。

 

　　三是信息的系统化处理。所谓系统化处理，是指信息控制者采用一定方式对收集到的个人信息进行记载，并通过必要的整理和编排，使之可以通过结构化方法进行查询、检索或用作他途。如果某项信息只是以无规律的零散形式进行存储，那么即使其符合个人信息的相关性和识别性标准，也不能被视为个人信息。

 

　　大数据技术对现行个人信息保护范围判断标准的挑战 

 

　　在信息技术环境经历如此巨大变迁的过程中，既有个人信息范围的界定方法面临严峻挑战，有必要作出调整。

 

　　一是大数据技术所引发个人信息类型膨胀。大数据技术的出现，标志着人类社会的信息化程度达到了一个新的高度，在此种技术条件下，若依然采取现行的“三要素”判断标准，将可能使个人信息保护的范围迅速扩张。具体来说，此种变化主要来源于以下两方面：

 

　　其一，信息的数字化程度大幅提升。大数据技术的发展，使得以数字化方式收集和存储信息的限制被一一突破，通过各类先进的传感技术，包括语言、图像、声音、地理位置、行为习惯、人际关系，甚至味觉、触觉、情绪等各种信息，都已经可以被转化为数字形态进行存储和使用。再加之信息存储成本的大幅降低，对于信息随时、全面的记录逐渐成为一种常态，信息主体所蕴含的信息储量正被不断发掘。总而言之，在大数据时代，信息的全面数字化已成为一种现实，而其直接后果就是与个人具有相关性的信息数量大幅增加。

 

　　其二，大数据技术强大的信息系统化处理能力，使得信息控制者对于信息的检索、提取和整合能力，在信息数量和类型均大幅提升的情况下不降反升，而藉由更加灵活、便利的信息整合架构，很多原本看似毫不相关的信息将可能在交叉关联后获得新生，信息对于个人身份的间接识别几率因此大增。

 

　　二是现行个人信息保护范围判断标准有调整必要。根据唯物辩证法，量的持续积累将引发质的改变。当大数据技术的发展，使得符合三要素判断标准的个人信息数量不断激增时，既有法律规范在相关主体之间创造的权利义务平衡关系，也将可能因此受到影响，并对立法目标的实现造成阻碍。

 

　　信息控制者对于个人信息的收集、使用及其他处理行为，必须在信息主体的知情和同意的情况下进行，已经成为全球个人信息保护法律制度中的通行原则，同时也是对个人信息进行保护的最低要求。诚然，严格的同意标准能够在理论上给予信息主体更为全面的保护，但是，随着个人信息数量和类型的不断增长，信息主体想要全面了解各类个人信息，并对其的合理使用作出准确判断已非易事，为此消耗的成本甚至会促使信息主体放弃慎重考虑的机会，而草率地同意他人提出的信息收集和使用要求。事实上，在现实生活中，同意机制正在逐渐成为信息收集者豁免法律责任的工具，面对着内容日趋繁复庞杂的授权条款，信息主体作出有意义的选择的机会正在逐渐减少。

 

　　总而言之，在大数据时代背景下，现行的“三要素”判断标准如同一张网眼过密的网，将过多的信息纳入到了个人信息保护的范畴之内，在此种情况下，如果不加筛选地对所有这些个人信息执行统一的保护规则，将可能大幅提高相关主体的守法成本，并对信息资源的有效使用造成不必要的阻碍。

 

　　对个人信息保护范围判断标准的改进

 

　　在大数据技术逐渐普及的情况下，既有个人信息范围界定方法已经略显粗糙，过于宽泛的保护范围和依旧严格的保护规则，难以使保护个人尊严与优化信息资源配置这两大价值目标达致均衡状态。为解决这一问题，笔者认为，在判断某项信息是否属于应受法律保护的个人信息时，除了需要符合既有个人信息判断的“三要素”外，还应对以下要素进行重点考量：

 

　　一是信息的自身属性。（1）特定信息对于信息主体利益的影响程度。对于那些对信息主体的切身利益可能产生直接影响的信息类型，法律理应给予最为严密的保护。其中主要包括：涉及信息主体隐私的信息；一旦泄露就可能使信息主体的切身利益面临重大风险的敏感个人信息等等。（2）个人信息所处之状态。一般认为，如果某项个人信息已被信息主体主动公示，并使之处于公开可获得状态，那么其默示的同意表示将使法律对其的保护程度相应降低，信息控制者可以相对自由地收集和使用此等信息。（3）个人信息上附着的主体利益。在某些符合个人信息构成要件的信息之上，也可能同时存在着多方主体的正当利益需求，对于此类个人信息，应充分考量各方主体对信息的利益需求，以求实现信息主体人格保护与信息自由的平衡关系。

 

　　二是信息控制者对于个人信息的识别能力。在大数据技术条件下，绝对的匿名化信息已经难觅踪影，但理论上的可行性并不代表着现实中的可操作性，不同信息控制者对于相同信息的识别能力千差万别。有必要将特定信息控制者的信息识别能力，作为个人信息保护程度的考量要素之一。只有当信息控制者能够以合理的成本，根据特定信息对其主体的身份进行识别时，该信息才可能真正发挥个人信息的功效，从而受到法律相应的保护。

 

　　三是个人信息的用途。诚如美国数据库技术专家杰克·奥尔森所言，信息的价值在于它的用途而并不取决于其本身。因此，对于某项信息是否属于应受法律保护的个人信息范畴，也应从“信息用途与信息主体之间的关系”这一角度出发进行考量，否则仅凭“信息”本身属性就作出判断，难免有些教条。例如，当对某项个人信息的收集和使用系保护公共利益所必须，那么信息主体的权利范围理应进行必要的减让。

 

　　四是信息主体的身份。信息主体的身份在特定情况下，也可能成为界定个人信息保护范围的重要依据，其中又以未成年人的身份最为特殊。首先，对于未成年人个人信息的收集，必须获得其监护人的明确同意；其次，监护人应有权对未成年人提供其个人信息的行为进行纠正；再次，在特定的情况下，应赋予监护人对未成年人的某些个人信息，如在学校的行为记录、对有害信息网站的访问历史等进行查看。

 

　　不容否认，考量要素的增多会为个人信息的范围界定增加变数，使之存在一定的不确定性。但是，在大数据时代，信息的法律属性和使用方式时刻发生变化，个人信息保护与其他权利的行使之间时常存在交叉，想要通过立法途径彻底消除矛盾已不现实，倒不如转变立法功能，将其转化为化解纠纷的分析工具，从方法论而非结论角度给予个人信息以持续性的保护。

 

　　（作者单位：中国社会科