笔者认为,个人信息的判断采取重视实质标准。一方面,在判断的形式方面,信息本身的种类,是值得考虑的重点。《个人信息安全规范》对于个人信息种类的举例是不周延的,《安全规范》中所举的姓名、手机号码、面部信息等信息仅仅在一些情况下具有可识别性,却并非全部的情况,对个人信息的判断不能拘泥于《安全规范》所列举的种类。
另一方面,在个人信息判断的实质领域,《个人信息安全规范》要求我们从可识别性和关联性两条道路出发。“识别性”和“关联性”的判断可以借鉴欧盟数据法。在识别性方面,欧盟区分出两种情况。一是“已识别的”,二是“可识别”。当一名自然人在一群人之中被视为有别于群内的其他人,他便是“已识别”的。而当一名自然人尚未经识别,但其识别为可能时,则该自然人也属于“可识别”的人。这时,法官应当根据信息被应用的场景,在个案中判断某一信息是否足以将该自然人与其他人区分开来。在关联性方面,如果信息是关于一个人的某个方面,则可被认为与一个人“相关”。这样的概念显然有些宽泛,于是第 29 条工作组提出,相关性的判断需要满足“内容”要素、“目的”要素或“结果”要素,即满足内容的相关性、评价或对待的指向性或权利和权益的影响性三者之一69。笔者认为,对于新型类型的信息的识别性或关联性,可以采用上述标准在具体的场景进行逐个判断。
主要结论与展望
主要结论:
“大数据”不单单意味着数据量的堆砌,还意味着应用数据的方式的变革,这种变革为人们带来了更多的经济效益,但有时也让人无所适从——数据量的猛增,使得信息主体的保护与利用之间产生矛盾,使得数据的敏感度和可识别性增加,使得信息主体和信息处理者的沟通成本上升,使得数据的获取途径多种多样。因此,信息立法停滞不前,数据风险难以预测,源头治理不合时宜。
为了改善这一局面,有必要革新刑事立法,使其与最新的个人信息立法相适应;有必要在个人信息的保护范围与层级方面采取灵活的态度,而不是将数据风险无限夸大;有必要将非法利用、篡改、毁损、非法泄露等行为纳入刑法规制,以应对新时代的社会危害。
参考文献(略)
