韓旭至

DOI：10.3969/j.issn.16738268.2017.04.010

摘要：個人信息可依三種不同標(biāo)準(zhǔn)作類型化劃分。依能否直接識別特定自然人的標(biāo)準(zhǔn)可分為直接個人信息與間接個人信息。一切需要借助其他信息確定特定自然人身份的信息均屬間接個人信息。依敏感度的標(biāo)準(zhǔn)可分為敏感個人信息與一般個人信息。敏感個人信息應(yīng)包括醫(yī)療及健康信息、性生活及性取向信息、身份識別號碼、個人生物識別信息。依信息主體身份的標(biāo)準(zhǔn)可分為普通人的個人信息與特殊群體的個人信息。特殊群體的個人信息指的是未成年人、公眾人物、公務(wù)員、企業(yè)高級管理人員及控制人的個人信息。

關(guān)鍵詞：

個人信息；隱私；人格權(quán)；類型化

中圖分類號：D923

文獻標(biāo)識碼：A

文章編號：16738268（2017）04006407

目前，我國法律法規(guī)中列舉了種類繁多的個人信息，在司法實踐中也出現(xiàn)了各種各樣的個人信息。面對如此龐雜的個人信息內(nèi)容，以類型化的思維對其進行研究確有必要。

《網(wǎng)絡(luò)安全法》第76條第5款采取了“概括+列舉”的模式定義個人信息，然而在不同的法律法規(guī)中，列舉的個人信息內(nèi)容卻不盡相同。除了《網(wǎng)絡(luò)安全法》第76條第5款列舉的“姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼”六項個人信息外，健康信息、財產(chǎn)信息、犯罪記錄等也常被列舉如《征信業(yè)管理條例》第14條列舉了“宗教信仰、基因、指紋、血型、疾病和病史信息”以及“個人的收入、存款、有價證券、商業(yè)保險、不動產(chǎn)的信息和納稅數(shù)額信息”；《最高人民法院關(guān)于審理利用信息網(wǎng)絡(luò)侵害人身權(quán)益民事糾紛案件適用法律若干問題的規(guī)定》（法釋[2014]11號）第12條列舉了“自然人基因信息、病歷資料、健康檢查資料、犯罪記錄、家庭住址、私人活動等個人隱私和其他個人信息”；《最高人民法院關(guān)于人民法院在互聯(lián)網(wǎng)公布裁判文書的規(guī)定》（法釋[2016]19號）第10條列舉了“家庭住址、通訊方式、身份證號碼、銀行賬號、健康狀況、車牌號碼、動產(chǎn)或不動產(chǎn)權(quán)屬證書編號”。 。

一方面，法律法規(guī)中列舉的個人信息內(nèi)容繁多、雜亂，不利于司法實踐中的理解適用；另一方面，司法實踐中又出現(xiàn)了更多的個人信息內(nèi)容。通過“中國裁判文書網(wǎng)”檢索，僅以援引法釋[2014]11號第12條的判決書為分析對象，截至2017年2月6日共有19份判決書，其中涉及個人信息的有17份。這些判決書便涉及包括戶籍資料、身份證號碼、家庭住址、婚姻狀況、工作單位、IP地址、健康信息、購物信息、照片記錄等各種個人信息。

在如此繁雜的個人信息種類中，有些顯而易見而有些則難以確定，有些對人威脅極大而有些則影響甚微，有些信息還可能因?qū)儆诓煌男畔⒅黧w而適用不同的規(guī)則。根據(jù)不同的類型化標(biāo)準(zhǔn)，個人信息可分為不同的類型。

一、個人信息類型化標(biāo)準(zhǔn)

關(guān)于個人信息的類型化標(biāo)準(zhǔn)存在多種學(xué)說，主要可分為微觀與宏觀兩個尺度。所謂微觀的尺度，即從法律法規(guī)列舉以及未列舉的各種具體的個人信息出發(fā)，對這些信息本身運用歸納法作的內(nèi)容種類描述。所謂宏觀的尺度，即從作為一個法律概念的抽象個人信息角度出發(fā)，根據(jù)特定的屬性對抽象個人信息進行類型劃分。

（一）個人信息的微觀分類

根據(jù)各具體個人信息本身的內(nèi)容，許多學(xué)者對個人信息作出了微觀分類。如劉德良認為，從內(nèi)容上看，個人信息可分為“通信信息、財務(wù)信息、醫(yī)療健康等身體和生理方面的信息、教育信息、信仰信息、基因信息及特定社會關(guān)系等方面的信息”[1]。郭瑜認為，個人信息類別有“生物信息、身份識別信息、通訊聯(lián)絡(luò)方式、活動記錄、自我表達、外在評價”[2]。劉雅琦則主張“基本身份信息、身份延伸信息、個人社會關(guān)系信息、個人財產(chǎn)信息、個人行為信息”的類型劃分[3]。

學(xué)者們對個人信息的這些微觀分類無疑有利于理解個人信息的內(nèi)涵和外延，但卻未能回答在個人信息保護的法律意義上這些不同類型的個人信息之間是否有區(qū)別的問題。個人信息的微觀分類實質(zhì)上僅是個人信息范疇的附屬問題。如《網(wǎng)絡(luò)安全法》第76條第5款中的“個人生物識別信息”便能包括《征信業(yè)管理條例》第14條中的“基因、指紋、血型”。這實際上僅僅是對具體的各種個人信息的客觀歸類的過程。因此，個人信息的微觀分類并非本文所討論的個人信息類型化問題。

（二）個人信息的宏觀分類

在宏觀層面上，根據(jù)不同標(biāo)準(zhǔn)，學(xué)者們劃分出個人信息的各種類型。齊愛民歸納得出“直接/間接”“敏感/非敏感”“電腦處理/非電腦處理”“公開/隱秘”“屬人/屬事”“專業(yè)/普通”六種類型標(biāo)準(zhǔn)[4]。謝永志主張根據(jù)“屬人/屬事”“敏感/非敏感”“直接/間接”“國家機關(guān)持有/非國家機關(guān)持有”“普通群體/特殊群體”“計算機處理/非計算機處理”劃分[5]。洪海林認為有“自動處理/手動處理”“敏感/一般”“普通群體/特別群體”三種分類[6]。蔣坡主張“直接/間接”“隱私/公開”“計算機處理/非計算機處理”“自然屬性/社會屬性”四大分類[7]。另外，還有學(xué)者也提出了包括“原始/傳來”[8]181“涉及人格尊嚴(yán)/無涉人格尊嚴(yán)”[9]“主觀/客觀”[10]在內(nèi)的其他各種分類標(biāo)準(zhǔn)。

誠然，類型化的標(biāo)準(zhǔn)千差萬別，根據(jù)不同標(biāo)準(zhǔn)可以將個人信息的類型進行不同的分類。然而，類型化研究不是為了分類而分類，而應(yīng)受分類的必要性與合理性約束。也就是說，個人信息的類型化不僅應(yīng)具有類型學(xué)上的意義，更應(yīng)具有法學(xué)上的意義。抽象分類的法學(xué)意義在于，不同類型的個人信息受保護的方式、程度有所不同。唯有符合此意義的類型劃分才是必要且合理的。

然而，許多個人信息分類并不符合此類型化標(biāo)準(zhǔn)：（1）“國家機關(guān)持有/非國家機關(guān)持有”“計算機處理/非計算機處理”的劃分實際上對應(yīng)的是早期的個人信息保護立法。以韓國為例，雖然1993年《公共機關(guān)個人信息保護法》（已失效）曾針對的是公共機關(guān)持有的個人信息，而2011年《個人信息保護法》卻取消了這一限制[11]。又如我國臺灣地區(qū)1995年《電腦處理個人資料保護法》（已失效）針對的是計算機處理的個人信息，而2010年《個人資料保護法》也取消了對該計算機處理的限制。（2）就“公開/隱秘”的分類而言，個人信息不是隱私，其不以秘密性為要件，即便是公開的信息也受保護。只是在當(dāng)信息經(jīng)合法公開時，處理者可在公共領(lǐng)域中進行收集。該分類的法學(xué)意義有限。（3）“原始/傳來”“主觀/客觀”的劃分并不能體現(xiàn)個人信息受保護方式或程度的區(qū)別。無論個人信息是否直接來源于信息主體，都受同等的保護。即便是對個人的主觀評價，只要具有識別性都屬于個人信息，與反映客觀狀況的信息一樣受到保護[12]。（4）“涉及人格尊嚴(yán)/無涉人格尊嚴(yán)”的劃分實際上屬于對個人信息屬性的理解有誤。個人信息屬于人格權(quán)客體，沒有不涉及人格尊嚴(yán)的個人信息，即便是個人財產(chǎn)信息也與個人的存在與發(fā)展休戚相關(guān)[13]。endprint

在此認識上，筆者認為個人信息可劃分為：直接個人信息與間接個人信息、敏感個人信息與一般個人信息、普通人的個人信息與特殊群體的個人信息。

二、直接個人信息與間接個人信息

根據(jù)識別性強弱可分為直接個人信息與間接個人信息。這一分類不僅為學(xué)界主流學(xué)說所認可[9，1416]，也普遍體現(xiàn)在國內(nèi)外立法之中。

（一）法律依據(jù)及劃分標(biāo)準(zhǔn)

《網(wǎng)絡(luò)安全法》第76條第5款指出：“個人信息，是指以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別自然人個人身份的各種信息?！逼渲?，具有單獨識別能力的信息為直接個人信息，需與其他信息結(jié)合識別自然人的信息為間接個人信息。這一分類亦普遍存在于國外個人信息立法之中。如歐盟2016年《統(tǒng)一數(shù)據(jù)保護條例》第4條指出，個人信息包括“通過姓名、身份證號、定位數(shù)據(jù)、網(wǎng)絡(luò)標(biāo)識符號以及特定的身體、心理、基因、精神狀態(tài)、經(jīng)濟、文化、社會身份等識別符能夠被直接或間接識別到身份”的信息[17]129。

能否直接識別特定自然人是二者的劃分標(biāo)準(zhǔn)[14]。這也就是個人信息識別中的直接識別與間接識別。具有強識別性的直接個人信息能一目了然地識別出特定個人，而具有弱識別性的間接個人信息則必須經(jīng)過信息拼圖、比對的過程才能完成識別[18]。間接個人信息雖不直接指向特定個人，但通過指向與特定個人有關(guān)的事物[19]，在借助其他“輔助信息”后最終能起到識別的作用[20]。

基于二者的區(qū)別，有學(xué)者認為直接個人信息才是傳統(tǒng)個人信息保護研究的對象[15]，也有學(xué)者認為“人格權(quán)商品化”問題是針對直接個人信息而言的[16]。誠然，在前網(wǎng)絡(luò)時代，憑一個間接信息識別個人較為困難，對間接信息的利用也非常少見。但是在大數(shù)據(jù)時代的今天，僅憑在網(wǎng)絡(luò)上留下的蛛絲馬跡，就能輕易識別出特定個人。如消費記錄、GPS位置信息、IP信息等更常被網(wǎng)絡(luò)服務(wù)提供商所抓取記錄，甚至用于商業(yè)活動之中[9]。無可否認，間接個人信息與直接個人信息一樣，均具有人格利益與商業(yè)價值。二者在保護程度上并無外觀上的差異如在“熊文郁與楊婧瑤名譽權(quán)糾紛案”中，南京市中級人民法院確認了被告惡意公開原告ID賬號、IP地址的行為侵權(quán)，并未因ID賬號、IP地址非直接個人信息而給予差別保護。（參見（2015）寧民終字第322號判決書） 。只是在保護方式上，間接信息常需經(jīng)過識別性判斷后才能受到保護。

（二）范圍內(nèi)涵

一般認為，姓名屬于直接個人信息。但在重名的情況下，也需要借助輔助信息進行識別。至于身份證號、社保號、個人生物識別信息等具有唯一性的信息是否屬于直接個人信息則存在不同觀點。有學(xué)者認為，由于其直接指向個人且具有唯一性，無疑屬于直接個人信息[4，14，21]。也有學(xué)者認為，雖然身份證號、社保號也具有唯一性，但其缺乏“外顯性”，需要結(jié)合其他輔助信息，因此屬于間接個人信息[16]。

筆者認為，唯一性信息不能等同于直接個人信息。一切需要借助其他信息才能確定特定自然人身份的信息都屬于間接個人信息。以身份證號信息為例，一串單純的數(shù)字組合若沒有結(jié)合個人姓名、肖像是無法直接將一個人認出來的。即便是將身份證號輸入電腦系統(tǒng)進行查詢，也必須以電腦數(shù)據(jù)庫存在與身份證號相連的特定自然人姓名等信息作為前提才能將其認出來。

三、敏感個人信息與一般個人信息

根據(jù)敏感度高低可分為敏感個人信息與一般個人信息。關(guān)于這一類型劃分存在一定學(xué)術(shù)爭議，各國立法也不盡相同。

（一）法律依據(jù)及劃分標(biāo)準(zhǔn)

我國法律層面上并未對敏感個人信息與一般個人信息進行明確區(qū)分，僅在部分指導(dǎo)性文件中采納了這一區(qū)分。如《信息安全技術(shù)公共及商用服務(wù)信息系統(tǒng)個人信息保護指南》（以下簡稱《保護指南》）第3.7條及3.8條《信息安全技術(shù)公共及商用服務(wù)信息系統(tǒng)個人信息保護指南》第3.7條規(guī)定：“個人敏感信息：一旦遭到泄露或修改，會對標(biāo)識的個人信息主體造成不良影響的個人信息。各行業(yè)個人敏感信息的具體內(nèi)容根據(jù)接受服務(wù)的個人信息主體意愿和各自業(yè)務(wù)特點確定。例如個人敏感信息可以包括身份證號碼、手機號碼、種族、政治觀點、宗教信仰、基因、指紋等?！钡?.8條規(guī)定：“個人一般信息：除個人敏感信息以外的個人信息?！?、《湖南保險機構(gòu)客戶個人信息保護工作監(jiān)管指引》第3條第2款對二者進行了區(qū)分《湖南保險機構(gòu)客戶個人信息保護工作監(jiān)管指引》第3條第2款規(guī)定：“保險機構(gòu)應(yīng)當(dāng)區(qū)分一般個人信息和敏感個人信息，實行分類區(qū)別保護。對敏感個人信息，應(yīng)實行更高的權(quán)限管理，采取更嚴(yán)格的管理措施?！?。

從域外法規(guī)定來看，包括歐盟及其成員國、經(jīng)合組織及其成員國、俄羅斯、阿根廷、我國澳門地區(qū)以及我國臺灣地區(qū)在內(nèi)的許多國家、地區(qū)及國際組織均規(guī)定了敏感個人信息與一般個人信息的區(qū)分。但也有許多國家和地區(qū)并未采取這一區(qū)分，如我國香港地區(qū)在2012年修訂《個人資料（隱私）條例》時，便曾就是否引入這一區(qū)分進行過討論，最終也沒采納這一區(qū)分方式[22]。

對于我國在將來的個人信息立法中是否采取“敏感個人信息與一般個人信息”的分類，學(xué)界存在爭議。以齊愛民、蔣坡為代表的學(xué)者采取“肯定說”，認同這一分類的立法意義[7，23]。以周漢華、洪海林為代表的學(xué)者則采取“否定說”，認為對此無需在法律上進行統(tǒng)一分類，僅需對高敏感度的信息保護進行單行立法即可[5，2425]?？梢姡瑢τ诟呙舾卸鹊拿舾袀€人信息予以特別保護的理念學(xué)界并無爭議，爭議僅在于立法模式的問題上。

具體而言，就是否以隱私為標(biāo)準(zhǔn)劃分敏感與一般個人信息存在兩種觀點。以王忠、謝永志、齊愛民為代表的學(xué)者主張以隱私定義敏感個人信息。他們認為，敏感個人信息即涉及隱私的個人信息[45，2629]。范德斯洛特（B. Van Der Sloot）亦指出，“敏感個人信息關(guān)注的是隱私問題”[30]。另一方面，劉德良、郭瑜、孔令杰等學(xué)者則認為，敏感與否并不取決于是否關(guān)涉隱私。他們認為，即便隱私與敏感信息有重合之處也不能等同，敏感個人信息與一般個人信息的劃分標(biāo)準(zhǔn)是信息的敏感度[12][8]172[3133]。這一觀點亦為《保護指南》第3.7條所采納。根據(jù)該條，敏感個人信息強調(diào)的是對“信息主體造成不良影響”的可能性。endprint