席 斌 汪淵智

(山西大學(xué)，山西 太原 030006)

一、引言

大數(shù)據(jù)開啟了重大的時(shí)代轉(zhuǎn)型，對(duì)大數(shù)據(jù)的掌握程度可以轉(zhuǎn)化為經(jīng)濟(jì)價(jià)值的來源并撼動(dòng)了世界的方方面面。[1]信息作為大數(shù)據(jù)的重要因子，對(duì)產(chǎn)業(yè)經(jīng)濟(jì)、科學(xué)發(fā)展和商業(yè)利益做出巨大貢獻(xiàn)的同時(shí)，也因其規(guī)模的快速膨脹及價(jià)值性的特征，而提高了被不當(dāng)披露、盜用的風(fēng)險(xiǎn)，特別是有關(guān)信息的安全、權(quán)利、秩序等問題愈加凸顯，需要對(duì)信息進(jìn)行治理。[2]2020年5月28日，十三屆全國人大三次會(huì)議通過了《中華人民共和國民法典》(下稱“《民法典》”)，其人格權(quán)編專章規(guī)定了“隱私權(quán)與個(gè)人信息保護(hù)”，在原《民法總則》的基礎(chǔ)上對(duì)個(gè)人信息進(jìn)一步作了界定并在私法上設(shè)定了個(gè)人信息的收集、處理規(guī)則。就個(gè)人信息的概念，《民法典》第1034條第1款規(guī)定：“個(gè)人信息是以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識(shí)別特定自然人的各種信息，包括自然人的姓名、出生日期、身份證件號(hào)碼、生物識(shí)別信息、住址、電話號(hào)碼、電子郵箱地址、行蹤信息等。”從形式上看，這一界定方式從內(nèi)涵到外延整體上是清晰的。但是，大數(shù)據(jù)時(shí)代信息快速聚合導(dǎo)致個(gè)人信息的邊界日漸擴(kuò)大，相對(duì)性、流動(dòng)性以及結(jié)合識(shí)別本身的不確定性，使得個(gè)人信息成為一種“不確定的法律概念”。個(gè)人信息保護(hù)的邏輯基礎(chǔ)應(yīng)是對(duì)個(gè)人信息準(zhǔn)確理解并劃定其范圍，故如何界定個(gè)人信息既是法釋義學(xué)的任務(wù)，也是法律適用的要求。依賴合理的解釋路徑，才能減少個(gè)人信息保護(hù)爭端，增進(jìn)個(gè)人信息使用效率，維護(hù)人格尊嚴(yán)與人格利益。

二、對(duì)《民法典》個(gè)人信息進(jìn)行解釋的必要性

法諺有云：“法無解釋，不得適用”。在私法領(lǐng)域內(nèi)，個(gè)人信息是一個(gè)新的概念，尚需一個(gè)逐步理解的過程。能否合理解釋個(gè)人信息、平衡關(guān)聯(lián)的價(jià)值沖突對(duì)于《民法典》的適用是非常必要的。

(一)民法典時(shí)代民事法律制度適用的基本前提

“個(gè)人信息”不是《民法典》原生的法律概念，它存在于我國不同的法律部門，也存在著不同的外延表述。不同法律規(guī)范對(duì)同一概念，可以給出不同的解釋、配置不同的權(quán)利義務(wù)并應(yīng)遵循著不同的制度邏輯。[3]為因應(yīng)大數(shù)據(jù)時(shí)代的新挑戰(zhàn)，《民法典》將個(gè)人信息作為一種新的人格利益進(jìn)行保護(hù)具有重大意義。而在法律規(guī)范構(gòu)成要件內(nèi)，對(duì)“個(gè)人信息”這個(gè)核心概念進(jìn)行解釋是激活《民法典》適用的“啟動(dòng)鍵”。《民法典》對(duì)個(gè)人信息的概念界定遵循著這樣一種邏輯：一般法律概念，在概念中應(yīng)指出其本質(zhì)特征；對(duì)于抽象的法律概念，還應(yīng)當(dāng)列明其典型類型；這是實(shí)現(xiàn)法律確定性并為社會(huì)民眾提供相應(yīng)預(yù)期的重要方式。[4]法律適用需要建立在以概念界定為前提的規(guī)范構(gòu)成要件的確定性基礎(chǔ)之上。裁判者通過法釋義學(xué)將作為大前提的法律規(guī)范適用到具體的案件當(dāng)中，當(dāng)一個(gè)待決案件擺放在裁判者面前時(shí)，首先做出反應(yīng)的是事實(shí)上已經(jīng)融為裁判者“常識(shí)”的基本涵攝關(guān)系。[5]在處理個(gè)人信息侵害的具體案件糾紛中，演繹推理的過程必須基于裁判者對(duì)法律規(guī)范的準(zhǔn)確認(rèn)知，并洞察每一個(gè)核心概念的真義?！睹穹ǖ洹穼?duì)個(gè)人信息采行“概要性加示例性”的概念界定方式，似為一種常見且相對(duì)周延的做法，但仍未解決其內(nèi)涵及外延的模糊性問題。作為民事權(quán)利基本法，《民法典》如果對(duì)個(gè)人信息的基本構(gòu)成要素界定不清、個(gè)人信息保護(hù)規(guī)則除外適用不明，恐將造成未來法律適用上的極大困擾。

(二)大數(shù)據(jù)時(shí)代消弭個(gè)人信息不確定性的必然要求

大數(shù)據(jù)時(shí)代，技術(shù)本身的不可預(yù)測性及其適用環(huán)境的復(fù)雜性導(dǎo)致了“個(gè)人信息”法律概念的不確定性。“不確定性”之一表現(xiàn)為個(gè)人信息具有流動(dòng)性。得益于科技進(jìn)步，特別是人工智能及其算法技術(shù)的應(yīng)用，使得原先無法想象的信息均可能單獨(dú)或者與其他信息結(jié)合識(shí)別出特定個(gè)人，比如人類基因、人臉、虹膜、活動(dòng)軌跡等，故個(gè)人信息的范圍始終是動(dòng)態(tài)拓展的。[6]這種流動(dòng)性使我們對(duì)個(gè)人信息的認(rèn)識(shí)往往會(huì)滯后于社會(huì)現(xiàn)實(shí)?！安淮_定性”之二表現(xiàn)為個(gè)人信息具有相對(duì)性。每個(gè)人因其與信息主體的親疏遠(yuǎn)近、地緣關(guān)系、所從事的職業(yè)、擁有的技術(shù)及認(rèn)知能力有所差異，對(duì)個(gè)人信息的識(shí)別必然有所差異，某一筆信息對(duì)甲而言屬于個(gè)人信息，而對(duì)乙而言并不當(dāng)然都成個(gè)人信息，它是一個(gè)高度依賴于語境的概念。個(gè)人信息在部分條件下不具備可識(shí)別性，并不意味著在所有條件下都不具備識(shí)別能力，更何況信息業(yè)者的信息資源及識(shí)別特定個(gè)人潛在技術(shù)的可能性又是無法判斷的。[7]“不確定性”之三表現(xiàn)為“與其他信息結(jié)合識(shí)別特定自然人”表述的含混性。鑒于部分單一信息識(shí)別出特定個(gè)人的能力有限，但若與其他信息組合、比照也可還原出特定個(gè)人，《民法典》將這種“可間接識(shí)別”的個(gè)人信息作為調(diào)整對(duì)象實(shí)有必要。但這一標(biāo)準(zhǔn)過于抽象，該種識(shí)別應(yīng)當(dāng)如何判斷、以誰的標(biāo)準(zhǔn)判斷多有爭論。同時(shí)，這樣的規(guī)定也難以窮盡大數(shù)據(jù)時(shí)代極大豐富的信息類型。[8]故個(gè)人信息的流動(dòng)性、相對(duì)性、含混性使個(gè)人信息成為了一個(gè)不確定的法律概念。這或許是一個(gè)技術(shù)問題，但為消彌“不確定性”對(duì)法安定性的沖擊，對(duì)個(gè)人信息的構(gòu)成、范圍及保護(hù)規(guī)則的除外適用等內(nèi)容盡可能地進(jìn)行解釋應(yīng)屬必要。

(三)信息保護(hù)立法潮流下平衡價(jià)值沖突的重要方式

個(gè)人信息保護(hù)立法已成為普遍的國際趨勢。從世界主要國家(地區(qū))的立法目的來看，因應(yīng)科技快速發(fā)展及全球化對(duì)于個(gè)人信息保護(hù)的新挑戰(zhàn)，保障個(gè)人的基本權(quán)利并促進(jìn)個(gè)人信息的自由流通已經(jīng)成為立法的共識(shí)。(1)參見OECD《隱私保護(hù)與個(gè)人數(shù)據(jù)跨境流通指南》前言部分、APEC《隱私保護(hù)綱領(lǐng)》前言部分、歐盟《統(tǒng)一數(shù)據(jù)保護(hù)條例(GDPR)》鑒于條款第3段及第6段、我國臺(tái)灣地區(qū)《個(gè)人資料保護(hù)法》第1條，等等。換言之，大數(shù)據(jù)應(yīng)用本質(zhì)上系追求信息開發(fā)的價(jià)值最大化，而個(gè)人信息保護(hù)的最終目的在于保障個(gè)人對(duì)于個(gè)人信息的自主控制，這兩者價(jià)值各異，然倘若這兩者價(jià)值間產(chǎn)生交錯(cuò)時(shí)，孰輕孰重就會(huì)產(chǎn)生價(jià)值的衡量問題。同時(shí)，公民的基本權(quán)利和自由中，多項(xiàng)權(quán)利和自由可能會(huì)對(duì)隱私權(quán)以及個(gè)人信息保護(hù)的權(quán)利產(chǎn)生沖突，例如言論和信息自由、藝術(shù)和科學(xué)自由、查閱信息的權(quán)利，以及例如保障人身自由和安全的權(quán)利，思想、良知和宗教自由、開展業(yè)務(wù)的自由、財(cái)產(chǎn)權(quán)、有效救濟(jì)和公平審判的權(quán)利，以及無罪推定和辯護(hù)權(quán)。(2)See Article 29 - Data Protection Working Party. (2014) Opinion 06/2014 on the notion of legitimate interests of the data controller under Article 7 of Directive 95/46/EC.844/14/EN WP 217.故如何衡平權(quán)利和自由的價(jià)值沖突對(duì)于當(dāng)前個(gè)人信息保護(hù)立法乃至法律解釋而言也是一個(gè)不小的挑戰(zhàn)：如果對(duì)個(gè)人信息的范圍從寬解釋，則人民的各項(xiàng)行為將被大幅度納入到法律制度的保護(hù)網(wǎng)絡(luò)之中，個(gè)人人格保護(hù)與前述各種價(jià)值的沖突將會(huì)白熱化，更將轉(zhuǎn)化為一種繁瑣且不可行的規(guī)則[9]；如果從窄解釋，則人民的權(quán)益又自始無法獲得充分的法律保護(hù)。合理解釋個(gè)人信息保護(hù)邊界的目的和動(dòng)機(jī)應(yīng)包括平衡上述各類價(jià)值之間的利益沖突，使得最大限度發(fā)揮《民法典》作為民事權(quán)益保障基本法的功效。

三、《民法典》個(gè)人信息的解釋標(biāo)準(zhǔn)及路徑

《民法典》所保護(hù)的個(gè)人信息須以“特定個(gè)人識(shí)別”為解釋標(biāo)準(zhǔn)，無法識(shí)別個(gè)人的信息不會(huì)產(chǎn)生權(quán)益保護(hù)的問題。對(duì)個(gè)人信息的概念進(jìn)行解釋，應(yīng)在符合基本構(gòu)成要素的前提下，從寬解釋個(gè)人信息的范圍，經(jīng)特定法益權(quán)衡后對(duì)無必要受法律保護(hù)的個(gè)人信息排除法典保護(hù)規(guī)則的適用。

(一)“特定個(gè)人識(shí)別”解釋標(biāo)準(zhǔn)的源流與確證

身份識(shí)別標(biāo)準(zhǔn)大約形成于上世紀(jì)六十年代，并由學(xué)者從隱私與行為研究的角度提出，認(rèn)為數(shù)據(jù)如果能夠識(shí)別個(gè)人身份，對(duì)其獲取及研究應(yīng)當(dāng)征得當(dāng)事人的同意并主張匿名化是數(shù)據(jù)進(jìn)行處理的主要措施。受“水門”事件影響，美國日益重視自動(dòng)化信息科技所帶來的風(fēng)險(xiǎn)及相應(yīng)的權(quán)益保障。1972年，由當(dāng)時(shí)的健康、教育與福利部成立了自動(dòng)化個(gè)人數(shù)據(jù)系統(tǒng)咨詢委員會(huì)，該委員會(huì)于1973年出臺(tái)了《記錄、電腦與公民權(quán)利》的報(bào)告(下稱《1973年報(bào)告》)。該報(bào)告標(biāo)志著隱私保護(hù)領(lǐng)域內(nèi)的“特定個(gè)人識(shí)別標(biāo)準(zhǔn)”的形成。同時(shí)，這一報(bào)告也直接促成了美國1974年《家庭教育權(quán)利和隱私法案》的出臺(tái)，法案沿襲了《1973年報(bào)告》確定的識(shí)別標(biāo)準(zhǔn)并加以細(xì)化。《1973年報(bào)告》確定的“特定個(gè)人識(shí)別標(biāo)準(zhǔn)”是指“自然個(gè)體的個(gè)人隱私受到一份記錄中與其相關(guān)之可識(shí)別信息的披露與運(yùn)用的直接影響。一份記錄如包含可識(shí)別形式之有關(guān)個(gè)人的信息，就必須受這樣一種程序約束：賦予該個(gè)體參與程序以決定記錄內(nèi)容為何、如何披露與使用其中的可識(shí)別信息?！盵7]基于上述兩個(gè)文件，美國后來的理論及立法發(fā)展基本都沿著隱私權(quán)的進(jìn)路來展開對(duì)個(gè)人信息的保護(hù)，將個(gè)人識(shí)別信息(Personal Identifiable Information ，簡稱PII)視為隱私權(quán)保護(hù)的“觸發(fā)器”，并被譽(yù)為個(gè)人信息與隱私保護(hù)領(lǐng)域的“重大里程碑”。[9]

不同于美國對(duì)個(gè)人信息的隱私權(quán)保護(hù)進(jìn)路，德國以“信息自決權(quán)”為理論基礎(chǔ)率先在世界范圍內(nèi)展開了個(gè)人數(shù)據(jù)保護(hù)的立法活動(dòng)。(3)歐盟法固定使用個(gè)人數(shù)據(jù)(Personal Data)的表述，本文重點(diǎn)不在于區(qū)分?jǐn)?shù)據(jù)與信息的概念，故將其作等同理解。1970年，德國黑森州頒布了世界第一部個(gè)人數(shù)據(jù)保護(hù)的法律。[10]1977年，德國又頒布了全國通行的《德國聯(lián)邦數(shù)據(jù)保護(hù)法》。德國在立法層面確認(rèn)了“特定個(gè)人識(shí)別”標(biāo)準(zhǔn)。1980年，OECD頒布《隱私保護(hù)與個(gè)人數(shù)據(jù)跨境流通指南》，將個(gè)人數(shù)據(jù)界定為：“任何與已識(shí)別或可識(shí)別的個(gè)人有關(guān)的信息”。[10]其將個(gè)人數(shù)據(jù)的識(shí)別標(biāo)準(zhǔn)界分為“已識(shí)別”和“可識(shí)別”兩個(gè)層面，通過擴(kuò)大識(shí)別范圍以滿足周全應(yīng)對(duì)信息時(shí)代個(gè)人信息保護(hù)的要求。后續(xù)的相關(guān)立法中，不論普通法系國家抑或大陸法系國家，均無一例外地將“特定個(gè)人識(shí)別”標(biāo)準(zhǔn)奉為圭臬，只是在具體的概念表述上有別而已。需要指出的是，1995年歐盟《關(guān)于涉及個(gè)人數(shù)據(jù)處理的個(gè)人保護(hù)以及此類數(shù)據(jù)自由流通的第95/46/EC號(hào)指令》(下稱《歐盟數(shù)據(jù)保護(hù)指令》)關(guān)于“個(gè)人數(shù)據(jù)”的定義進(jìn)一步將“特定個(gè)人識(shí)別”標(biāo)準(zhǔn)中的“可識(shí)別”數(shù)據(jù)具體類型化為“可直接識(shí)別”數(shù)據(jù)和“可間接識(shí)別”數(shù)據(jù)，同時(shí)也對(duì)個(gè)人信息作了示例性規(guī)定。2016年，歐盟新頒布的《統(tǒng)一數(shù)據(jù)保護(hù)條例(GDPR)》也基本沿用了這一概念的界定，其第4條規(guī)定：“個(gè)人數(shù)據(jù)是指有關(guān)識(shí)別或可得識(shí)別自然人的任何信息；可識(shí)別自然人系指得以直接或間接地識(shí)別該自然人，特別是參考例如姓名、身份證編號(hào)、位置資料、網(wǎng)絡(luò)識(shí)別碼或一個(gè)或多個(gè)該自然人的身體、生理、基因、心理、經(jīng)濟(jì)、文化或社會(huì)認(rèn)同等具體因素之識(shí)別工具?！苯刂巩?dāng)前，各國立法例中，“特定個(gè)人識(shí)別”標(biāo)準(zhǔn)成為立法共識(shí)。同時(shí)，由于受歐盟立法影響，“已識(shí)別”和“可識(shí)別”，特別是特定個(gè)人的“可直接識(shí)別”和“可間接識(shí)別”已成為各國界定個(gè)人信息概念的習(xí)慣性表述。

我國受歐盟法影響深遠(yuǎn)。[11]“特定個(gè)人識(shí)別”已成為網(wǎng)絡(luò)及個(gè)人信息安全法律規(guī)范對(duì)“個(gè)人信息”界定的唯一標(biāo)準(zhǔn)。例如，2013年制定的《電信和互聯(lián)網(wǎng)用戶個(gè)人信息保護(hù)規(guī)定》第4條、2016年制定的《網(wǎng)絡(luò)安全法》第76條以及后續(xù)的立法、司法解釋、國家標(biāo)準(zhǔn)一以貫之地堅(jiān)持了“特定個(gè)人識(shí)別”標(biāo)準(zhǔn)。

作為通行的國際慣例，并經(jīng)過長期的理論發(fā)展、立法及司法實(shí)踐，“特定個(gè)人識(shí)別”解釋標(biāo)準(zhǔn)的主導(dǎo)地位是不可撼動(dòng)的。曾有國外學(xué)者認(rèn)為，基于技術(shù)的發(fā)展，匿名化技術(shù)已經(jīng)打破了信息之間的邊界，個(gè)人識(shí)別信息已經(jīng)成為了一個(gè)無所不包的概念，主張放棄個(gè)人識(shí)別信息這一標(biāo)準(zhǔn)，重新設(shè)計(jì)更為有效的信息隱私保護(hù)工具。[12]但筆者認(rèn)為，即使信息對(duì)個(gè)人身份的識(shí)別似乎因?yàn)榧夹g(shù)的無限進(jìn)步而顯得其意義并不如從前那樣突出，但是如果放棄這一概念將使得個(gè)人信息保護(hù)的法律失去立法根基。同時(shí)，個(gè)人信息保護(hù)的立法本以保障個(gè)人人格尊嚴(yán)為立法目標(biāo)之一，如果信息不與特定個(gè)人相關(guān)聯(lián)或者信息行為根本無礙于個(gè)人人格利益，那就沒有立法保護(hù)的必要，故《民法典》的“個(gè)人信息”堅(jiān)持了“特定個(gè)人識(shí)別”的解釋標(biāo)準(zhǔn)。

(二)個(gè)人信息概念的解釋路徑

誠如上述，《民法典》沿襲了國內(nèi)外主要立法例對(duì)個(gè)人信息界定的標(biāo)準(zhǔn)：“可直接識(shí)別(能夠單獨(dú)識(shí)別)”和“可間接識(shí)別(與其他信息結(jié)合識(shí)別)”。直接識(shí)別信息的語義是清楚的，即直接通過信息內(nèi)容反映出信息主體的直觀特征，如姓名、肖像、身份證號(hào)碼等。[13]

但正如本文第一部分所言，“可間接識(shí)別”構(gòu)成個(gè)人信息概念不確定性的誘因，其“內(nèi)涵”并不確定，《民法典》亦缺乏說明。學(xué)界爭論的焦點(diǎn)集中于對(duì)“可間接識(shí)別”的判斷基準(zhǔn)，即應(yīng)當(dāng)以“何人”的識(shí)別能力作為判斷的基準(zhǔn)。有“社會(huì)一般多數(shù)人說(一般人基準(zhǔn)說)”認(rèn)為，考慮到個(gè)人信息屬于表現(xiàn)個(gè)人自由的材料，為保證信息的合理流通及利用，應(yīng)當(dāng)站在社會(huì)一般多數(shù)人的視角來判斷信息之結(jié)合能否推知特定個(gè)人；(4)“社會(huì)一般多數(shù)人說(一般人基準(zhǔn)說)”的觀點(diǎn)參見邱忠義《談個(gè)人資料保護(hù)法之間接識(shí)別》，載《月旦裁判時(shí)報(bào)》2014年第12 期；范姜真媺《個(gè)人資料保護(hù)法關(guān)于個(gè)人資料保護(hù)范圍之檢討》，載《東海大學(xué)法學(xué)研究》2013年第41期。有“信息控制者說(個(gè)人信息處理事業(yè)基準(zhǔn)說)”認(rèn)為，個(gè)人信息是否受保護(hù)取決于信息控制者是否有能力降低信息不確定性，并有效提升身份識(shí)別。換言之，個(gè)人信息是否容易與其他信息比對(duì)、組合而具有特定的個(gè)人識(shí)別性應(yīng)當(dāng)依照收集、處理個(gè)人信息的業(yè)者所具備的條件、技術(shù)及處理狀況等進(jìn)行判斷。(5)“信息控制者說(個(gè)人信息處理事業(yè)基準(zhǔn)說)”參見梅夏英、劉明《大數(shù)據(jù)時(shí)代的個(gè)人信息范圍界定》，載徐漢明主編《社會(huì)治理法治前沿年刊》，湖北人民出版社2013年版，第33-58頁；日本理論及實(shí)務(wù)均采此說，參見范姜真媺《數(shù)據(jù)時(shí)代下個(gè)人資料范圍之再檢討—以日本為借鏡》，載《東吳法律學(xué)報(bào)》2017年第2期；另英國資料法也有主張：“只有信息管理者是信息識(shí)別機(jī)構(gòu)，考慮信息是否能夠被識(shí)別時(shí)，只考慮信息識(shí)別者的識(shí)別能力?！眳⒁婟R愛民《拯救信息社會(huì)的人格：個(gè)人信息保護(hù)法總論》，北京大學(xué)出版社，2009年版第86頁。兩種主要學(xué)說有其合理性，目的均在于限縮個(gè)人信息的保護(hù)范圍，以使個(gè)人信息獲得有經(jīng)濟(jì)效益的運(yùn)用。[14]

應(yīng)當(dāng)說明的是，對(duì)“可間接識(shí)別”這一不確定的法律概念，原則上應(yīng)通過合理的解釋加以克服。但令人困惑的是，按照《民法典》所列舉的個(gè)人信息種類，例如生物識(shí)別信息，如果以“社會(huì)一般多數(shù)人說(一般人基準(zhǔn)說)”為判斷基準(zhǔn)，社會(huì)一般多數(shù)人就算掌握了生物識(shí)別信息，也無法通過其識(shí)別出特定個(gè)人，難道因此來否定諸如基因、指紋、虹膜等生物識(shí)別信息屬于個(gè)人信息？如果以“信息控制者說(個(gè)人信息處理事業(yè)基準(zhǔn)說)”為判斷基準(zhǔn)，只有特定生物醫(yī)療行業(yè)有能力通過技術(shù)手段識(shí)別到特定個(gè)人，而對(duì)于其他行業(yè)，或其他一般個(gè)人或社會(huì)組織而言根本無法做出識(shí)別，由此會(huì)出現(xiàn)法律中的同一生物識(shí)別信息對(duì)甲而言不是個(gè)人信息，而對(duì)乙而言又屬于個(gè)人信息的窘境。上述的解釋只能是讓不確定的法律概念更加模糊，也會(huì)嚴(yán)重?fù)p害法制之安定。

《民法典》個(gè)人信息的概念的內(nèi)涵及外延應(yīng)當(dāng)采取怎樣的解釋路徑？筆者認(rèn)為，為克服以上困難，對(duì)個(gè)人信息的概念，包括圍繞這一概念所形成的保護(hù)范圍和保護(hù)規(guī)則可以考慮這樣一種解釋路徑：首先，堅(jiān)持以“特定個(gè)人識(shí)別”作為個(gè)人信息概念的解釋標(biāo)準(zhǔn)；其次，在明確個(gè)人信息的基本構(gòu)成(概念內(nèi)涵)的基礎(chǔ)上，從寬解釋個(gè)人信息的范圍(概念外延)；再次，經(jīng)特定法益權(quán)衡后對(duì)無必要受法律保護(hù)的個(gè)人信息排除法典保護(hù)規(guī)則的適用：

1.以“特定個(gè)人識(shí)別”作為個(gè)人信息概念的解釋標(biāo)準(zhǔn)在本文第一部分已經(jīng)述及。

2.“在明確個(gè)人信息的基本構(gòu)成(概念內(nèi)涵)的基礎(chǔ)上，從寬解釋個(gè)人信息的范圍(概念外延)”是指個(gè)人信息作為一個(gè)法律概念，其內(nèi)涵應(yīng)當(dāng)由一些特定要素組成，這些要素應(yīng)當(dāng)是實(shí)際的、可被理解、能夠消除歧義的內(nèi)容，本文將在后文具體闡述。在此基礎(chǔ)上，只要經(jīng)初步判斷符合要素的信息均應(yīng)被視為《民法典》中的個(gè)人信息。其實(shí)從《統(tǒng)一數(shù)據(jù)保護(hù)條例(GDPR)》第4條(1)項(xiàng)對(duì)個(gè)人數(shù)據(jù)定義“任何信息”之表述也可以得出“從寬解釋”類似的思考方式。

3.“經(jīng)特定法益權(quán)衡后對(duì)不受法律保護(hù)的個(gè)人信息排除法典保護(hù)規(guī)則的適用”意即，按照前述思路“從寬解釋”必定會(huì)使越來越多的信息進(jìn)入到《民法典》的個(gè)人信息范圍之內(nèi)，這些紛繁復(fù)雜的信息是否均要受法律保護(hù)？筆者認(rèn)為這就必須考慮到法律的經(jīng)濟(jì)成本及價(jià)值衡量，其中部分個(gè)人信息實(shí)無保護(hù)必要，也就無需對(duì)其適用個(gè)人信息的保護(hù)規(guī)則。

上述解釋的本質(zhì)是先將符合構(gòu)成要素的信息納入到個(gè)人信息范圍之內(nèi)，經(jīng)法益權(quán)衡后，再將不必受法律保護(hù)的個(gè)人信息排除在《民法典》的保護(hù)規(guī)則之外，否則一旦自始就認(rèn)定某項(xiàng)信息不屬于個(gè)人信息，受條件所限，恐有權(quán)益保護(hù)疏漏之虞。選擇這一解釋路徑的原因在于：首先，大陸法系對(duì)于基本權(quán)利的考慮，基本上沿襲了德國法的對(duì)權(quán)利保護(hù)的分析方法，德國優(yōu)勢學(xué)說認(rèn)為，就憲法基本權(quán)條款所宣示的原則，依概念分析的結(jié)果，其所涵蓋的構(gòu)成事項(xiàng)，應(yīng)皆屬于各基本權(quán)的保障范圍，至于發(fā)生具體基本權(quán)事件是否與受保障的構(gòu)成事實(shí)相當(dāng)，換言之，法律對(duì)此等基本權(quán)事件所為的限制合憲與否，應(yīng)從相關(guān)法益均衡保障的觀點(diǎn)出發(fā)，予以判斷，亦即運(yùn)用比例原則審查其合憲性；[14]其次，不必讓立法者、裁判者及其他法律工作者困擾于自始就需要準(zhǔn)確判斷某項(xiàng)信息是否屬于個(gè)人信息，這樣的判斷因人、因事、因時(shí)都不可能是絕對(duì)的，也是不必要的。

四、《民法典》個(gè)人信息的基本構(gòu)成要素

盡管《民法典》明確了定義本身的“特定個(gè)人識(shí)別”標(biāo)準(zhǔn)，但是針對(duì)個(gè)人信息的構(gòu)成要素仍不明晰。2007年，歐盟第29條數(shù)據(jù)保護(hù)工作小組(Article 29 Data Protection Working Party)專門就如何理解《歐盟數(shù)據(jù)保護(hù)指令中》的“個(gè)人數(shù)據(jù)”概念發(fā)布了《關(guān)于個(gè)人數(shù)據(jù)概念的第4/2007號(hào)意見書》(下稱《意見書》)，該文件專門就個(gè)人數(shù)據(jù)的基本構(gòu)成要素作了詳盡的梳理。(6)歐盟第29條數(shù)據(jù)保護(hù)工作小組系依據(jù)《歐盟數(shù)據(jù)保護(hù)指令》第29條所設(shè)立，作為歐盟個(gè)人數(shù)據(jù)保護(hù)咨詢的獨(dú)立機(jī)關(guān)，其職責(zé)在于提升成員國對(duì)于指令的遵循程度、給予成員國個(gè)人數(shù)據(jù)保護(hù)相關(guān)專業(yè)建議及提供歐盟委員會(huì)資料保護(hù)指令修訂意見等，依指令第 30 條規(guī)定，工作組應(yīng)將意見書或建議書提交給委員會(huì)及歐盟委員會(huì)，后者則須依工作組要求采取相關(guān)措施、作成報(bào)告書提交至歐洲議會(huì)及理事會(huì)并予以公開。因GDPR正式生效，該工作組自2018年5月25日起，已改制為歐洲數(shù)據(jù)保護(hù)委員會(huì)。既然我國互聯(lián)網(wǎng)與信息安全立法與歐盟個(gè)人數(shù)據(jù)保護(hù)立法有著深厚的歷史淵源，故歐盟立法之立法解釋可予參考。

(一)生存自然人的信息

環(huán)顧個(gè)人數(shù)據(jù)保護(hù)法制，促進(jìn)個(gè)人人格發(fā)展、維護(hù)人格尊嚴(yán)同時(shí)發(fā)揮數(shù)據(jù)利用的價(jià)值是各國數(shù)據(jù)保護(hù)共同的立法旨意。在民事主體中，只有生存自然人才能對(duì)其隱私被不當(dāng)刺探、侵?jǐn)_、泄露或?qū)π畔⒈徊划?dāng)收集、處理、使用、加工、傳輸、提供、公開產(chǎn)生不安的心理情緒并根據(jù)《民法典》第1036條依法享有查閱、抄錄、復(fù)制、更正、刪除等權(quán)利。因法人或非法人組織不存在人格利益且上述權(quán)利或人格尊嚴(yán)只有生存的自然人才可真正享有和行使，故個(gè)人信息當(dāng)以生存自然人的信息為準(zhǔn)，特定個(gè)人即為生存的自然人。

關(guān)于法人或非法人組織信息的保護(hù)問題。按通說及《民法典》的規(guī)定，法人或非法人組織的信息因不具備人格屬性而不能被納入到個(gè)人信息范圍之內(nèi)。(7)參見王利明《論個(gè)人信息權(quán)的法律保護(hù)——以個(gè)人信息權(quán)與隱私權(quán)的界分為中心》，載《現(xiàn)代法學(xué)》，2013年第4期；劉定基《個(gè)人資料的定義、保護(hù)原則與個(gè)人資料保護(hù)法適用的例外——以監(jiān)視錄像為例(上)》，載《月旦法學(xué)教室》2012年第5期。然而，法人或非法人組織的信息尚包括法人或非法人組織控制的、并與特定個(gè)人相關(guān)聯(lián)的信息，換言之，在法人或非法人組織的信息中，可以根據(jù)信息本身的特性而視為與自然人“有關(guān)”，例如法人的名稱可以反映某個(gè)自然人的名字。又或者關(guān)于小型企業(yè)的信息(法律上稱之為“客體”，而不是“法人”)，可能會(huì)展現(xiàn)出企業(yè)主的行為。(8)See Article 29 - Data Protection Working Party. (2007) Opinion 4/2007 on the concept of personal data. 01248/07/EN WP 136.只要能夠識(shí)別出特定個(gè)人，有關(guān)法人或非法人組織的信息可以視為與自然人“相關(guān)”，則該信息應(yīng)視為《民法典》中的個(gè)人信息，并適用個(gè)人信息保護(hù)制度。

關(guān)于胎兒信息的保護(hù)問題。原則上，與胎兒相關(guān)的信息是否應(yīng)受保護(hù)及受到何種程度的保護(hù)應(yīng)當(dāng)依照各國的法制情況來確定。要判定信息保護(hù)制度是否涵蓋與胎兒有關(guān)的信息，應(yīng)結(jié)合信息保護(hù)制度的立法目的，與本國法律體系的一般原則一并作出考慮。(9)See Article 29 - Data Protection Working Party. (2007) Opinion 4/2007 on the concept of personal data. 01248/07/EN WP 136.我國《民法典》第16條對(duì)胎兒的保護(hù)系采取“個(gè)別保護(hù)主義”，即胎兒原則上無權(quán)利能力，但于特定情況下，視為有權(quán)利能力，即在遺產(chǎn)繼承、接受贈(zèng)予等情況下胎兒權(quán)利受保護(hù)。[15]筆者認(rèn)為，胎兒在孕育期間，醫(yī)院出具的胎兒超聲檢查報(bào)告單上的影像等信息往往能夠反映胎兒的健康、發(fā)育等情況，其與個(gè)人人格緊密相關(guān)。胎兒若出生非死體，就有權(quán)自主控制這些信息，故應(yīng)當(dāng)對(duì)本條的“等”進(jìn)行擴(kuò)大解釋，包含個(gè)人信息保護(hù)的權(quán)利。同時(shí)，應(yīng)當(dāng)將胎兒孕育期間與個(gè)人人格相關(guān)的信息視為《民法典》中的個(gè)人信息。

關(guān)于已死亡自然人生前信息的保護(hù)問題。死亡自然人生前的信息可能存在以下四種情況：首先，對(duì)信息業(yè)者而言將存活自然人和已死亡自然人的信息一視同仁地加以處理，也許更為方便容易。其次，已死亡自然人的信息也許與某個(gè)生存自然人有關(guān)，例如，已故的甲患有某種嚴(yán)重的基因遺傳性疾病，往往可以說明其子乙亦患有該種疾病。(10)See Article 29 - Data Protection Working Party. (2007) Opinion 4/2007 on the concept of personal data. 01248/07/EN WP 136.再次，部分已死亡自然人生前信息可能關(guān)乎撫養(yǎng)義務(wù)的履行、繼承制度的需要或因侵權(quán)死亡為便于親屬行使侵權(quán)損害賠償請(qǐng)求權(quán)，依社會(huì)普遍觀念，其親屬在必要時(shí)可以進(jìn)行處理或利用。[16]故筆者認(rèn)為，已死亡自然人生前信息在上述特定條件下，經(jīng)過合理解釋，可以依據(jù)《民法典》中的個(gè)人信息保護(hù)規(guī)定予以保護(hù)，因?yàn)槠浯_有保護(hù)必要。

(二)關(guān)聯(lián)性的個(gè)人信息

信息只有與特定個(gè)人相關(guān)才會(huì)落入“特定個(gè)人識(shí)別”的范圍，才會(huì)有法律保護(hù)的問題。按歐盟第29條數(shù)據(jù)保護(hù)工作小組的意見，要確認(rèn)某一信息是否與特定個(gè)人有關(guān)，該信息必須具有三類要素之一：“內(nèi)容”要素、“目的”要素及“結(jié)果”要素。具體而言，行政處罰決定書、疾病診斷報(bào)告等材料上所體現(xiàn)內(nèi)容可以直接反應(yīng)個(gè)人數(shù)據(jù)；若無法直接從數(shù)據(jù)內(nèi)容中直接辨明與個(gè)人相關(guān)，可以考慮信息的使用目的，如汽車維修數(shù)據(jù)用于評(píng)定維修人員工作效率，則該數(shù)據(jù)與維修人員相關(guān)；若既無法從信息內(nèi)容，也無法通過信息使用目的來辨明是否與個(gè)人相關(guān)，則可以通過對(duì)該信息進(jìn)行利用、處理的結(jié)果來判斷是否會(huì)對(duì)特定個(gè)人產(chǎn)生影響。(11)See Article 29 - Data Protection Working Party. (2007) Opinion 4/2007 on the concept of personal data. 01248/07/EN WP 136.例如，網(wǎng)約車公司為獲得該公司運(yùn)營的某車輛的實(shí)時(shí)具體位置而設(shè)置衛(wèi)星定位系統(tǒng)，通過調(diào)派與距離客戶最近的網(wǎng)約車前往，以提供更為快捷的服務(wù)，并節(jié)約燃油。從嚴(yán)格的意義上來說，定位系統(tǒng)所需的信息與車輛相關(guān)，而不是與駕駛員相關(guān)，信息處理的目的也不是評(píng)核駕駛員的工作效率，而是優(yōu)化駕駛路線。然而，鑒于定位系統(tǒng)的智能化，的確可以用于核查的駕駛員的工作效率，了解他們是否遵守車速限制，是否選擇合適的路線，甚至是正在行駛還是正在休息等等，因而對(duì)駕駛員構(gòu)成一定程度的影響。這樣的信息也可視為與駕駛員本人相關(guān)，因此有關(guān)的信息也屬于個(gè)人信息。這三個(gè)要素(內(nèi)容、目的和結(jié)果)必須視為具有相互代替性，而不是要求同時(shí)成立。

(三)特定個(gè)人識(shí)別的信息

前文已經(jīng)論及，界定個(gè)人信息范圍應(yīng)采“特定個(gè)人識(shí)別”的解釋標(biāo)準(zhǔn)。判斷標(biāo)準(zhǔn)其本身也應(yīng)成為最核心的構(gòu)成要素，二者并不發(fā)生矛盾。關(guān)于特定個(gè)人識(shí)別的方法，《歐盟數(shù)據(jù)保護(hù)指令》鑒于條款第26段、《統(tǒng)一歐盟數(shù)據(jù)保護(hù)條例(GDPR)》鑒于條款第26段均規(guī)定，為決定當(dāng)事人是否可被識(shí)別，應(yīng)考慮到所有可合理使用的方法，例如由信息管理者自己或通過他人指認(rèn)以直接或間接地識(shí)別該信息主體。為確認(rèn)何為可合理使用識(shí)別特定當(dāng)事人的方法，應(yīng)考慮所有客觀因素，例如，識(shí)別所需之成本與時(shí)間，并考慮到信息處理當(dāng)時(shí)現(xiàn)有的技術(shù)及科技發(fā)展。其他域外立法，例如，日本《個(gè)人信息保護(hù)法》第2條(1)項(xiàng)，我國香港特別行政區(qū)《個(gè)人資料 (私隱) 條例》第1部第2條C項(xiàng)也均有“容易與其他信息相對(duì)照”、“在形式令予以查閱及處理均是切實(shí)可行”等規(guī)定。為了不使個(gè)人信息的范圍被無限放大，如果經(jīng)信息業(yè)者或其他人為識(shí)別該人的而可能采取的一切可行、合理方法后，識(shí)別的可能性不存在或可被忽略時(shí)，則不應(yīng)理解為“可被識(shí)別”，因而也不應(yīng)認(rèn)為有關(guān)信息屬于《民法典》中的“個(gè)人信息”。(12)See Article 29 - Data Protection Working Party. (2007) Opinion 4/2007 on the concept of personal data. 01248/07/EN WP 136.

五、《民法典》個(gè)人信息保護(hù)規(guī)則的除外適用

“從寬解釋”不意味著所有個(gè)人信息都必須受到法律保護(hù)。經(jīng)過法益權(quán)衡后，同時(shí)兼顧法律的經(jīng)濟(jì)成本，對(duì)于不值得、無必要保護(hù)的個(gè)人信息在特定情形下應(yīng)予排除法典個(gè)人信息保護(hù)規(guī)則的適用，以阻卻信息業(yè)者未予告知便進(jìn)行個(gè)人信息處理所可能產(chǎn)生的民事責(zé)任、減輕信息業(yè)者的合規(guī)負(fù)擔(dān)并促進(jìn)個(gè)人信息的合理流動(dòng)。

(一)基于公共利益或信息主體合法權(quán)益之除外適用

《民法典》第1036條(3)項(xiàng)規(guī)定，為維護(hù)公共利益或者自然人合法權(quán)益，合理實(shí)施的其他行為，行為人不承擔(dān)民事責(zé)任。該項(xiàng)是指行為人收集、處理自然人的個(gè)人信息，如為公共利益或者該自然人合法權(quán)益，經(jīng)由法益權(quán)衡后，行為人可免除“告知同意、公開、明示”的義務(wù)，即便因?yàn)樾畔⑻幚磉m度侵害了自然人的人格利益，但只要實(shí)施行為合理，這種損害也應(yīng)讓位于公共利益和自然人的其他合法權(quán)益，行為人即可免責(zé)。此處的“公共利益”及“合法權(quán)益”應(yīng)如何理解？筆者認(rèn)為，當(dāng)行為人收集、處理個(gè)人信息，將使不特定人或者社會(huì)明顯地受有比未收集、處理個(gè)人信息前處于客觀上更為優(yōu)勢的狀態(tài)時(shí)，則此時(shí)進(jìn)行收集、處理，即符合“公共利益”。對(duì)于“合法權(quán)益”，歐盟在理論和實(shí)踐過程中曾產(chǎn)生過“嚴(yán)格解釋說”與“寬泛解釋說”兩種解釋的爭議。前者主要堅(jiān)持“合法權(quán)益”僅限于法定權(quán)利，后者認(rèn)為“合法權(quán)益”不應(yīng)僅限于法定權(quán)利，上至公共利益，下至私人利益，只要不違反法律規(guī)定即可。[17]筆者認(rèn)為，利益具有多元性并不是每一項(xiàng)利益均能及時(shí)上升為法定其權(quán)利，“寬泛解釋論”恰能平衡信息保護(hù)與信息活用之間的矛盾，本文采該解釋。但必須另加說明的是需充分考慮有無過度侵害信息主體利益的問題。即使基于公共利益或者自然人合法權(quán)益而收集、處理個(gè)人信息，但這些行為如果過度侵害個(gè)人權(quán)益，在權(quán)益衡量上仍有法律規(guī)制必要。這也應(yīng)當(dāng)是立法者明定“合理實(shí)施”條件的考量之一。

(二)基于個(gè)人信息處于公開領(lǐng)域之除外適用

《民法典》第1036條(2)項(xiàng)規(guī)定，處理自然人自行公開或其他已經(jīng)合法公開的信息，行為人不承擔(dān)民事責(zé)任，但該自然人明確拒絕或者處理該信息侵害其重大利益的除外。本條是指個(gè)人信息公開狀態(tài)下的信息保護(hù)規(guī)則除外適用，筆者認(rèn)為應(yīng)當(dāng)區(qū)分兩類情形。

1.信息主體自行披露或者依法公開的個(gè)人信息

信息主體自己將可以直接或間接識(shí)別的個(gè)人信息對(duì)外披露，本人應(yīng)當(dāng)預(yù)知其所產(chǎn)生的信害風(fēng)險(xiǎn)與后果，法律不需再予保護(hù)。此外，有些信息需依法公開，例如，按《企業(yè)信息公示暫行條例》的規(guī)定，法人應(yīng)依法通過“國家企業(yè)信用信息公示系統(tǒng)”對(duì)外公示的有關(guān)股東或者發(fā)起人的姓名、認(rèn)繳和實(shí)繳的出資額、出資時(shí)間、出資方式等信息。這些信息已屬于公共領(lǐng)域的信息，信息業(yè)者可以收集、處理，而無需再行獲得信息主體的同意。

2.一般皆可獲得的個(gè)人信息

按《德國個(gè)人數(shù)據(jù)保護(hù)法》第28條(3)的規(guī)定，如果個(gè)人信息屬于一般皆可獲得的，則可以被收集、儲(chǔ)存、修改、傳輸[18]，而無需獲得信息主體的同意。我國臺(tái)灣地區(qū)《個(gè)人資料保護(hù)法》第19條亦有類似規(guī)定。任何人都可以從平面、網(wǎng)絡(luò)、電視、移動(dòng)及廣播等媒體上刊載、披露、報(bào)道、傳播的信息中獲取個(gè)人信息，這些信息也存在于公開領(lǐng)域。同時(shí)，這些信息的來源是否合法，經(jīng)常無法求證或者求證需要耗費(fèi)大量的精力，為避免信息管理者或信息處理者動(dòng)輒觸法或者求證費(fèi)時(shí)，收集、利用、處理此類信息時(shí)無需要征得信息主體的同意。[19]

當(dāng)然信息業(yè)者對(duì)于公開領(lǐng)域個(gè)人信息的收集、處理并不是沒有限制的，如果信息主體在公開時(shí)已經(jīng)明確拒絕信息被收集、處理或者經(jīng)過權(quán)益衡量后，處理該公開信息將侵害信息主體重大利益，已為公開的個(gè)人信息仍應(yīng)受法律保護(hù)。

六、結(jié) 語

《民法典》回應(yīng)了大數(shù)據(jù)時(shí)代對(duì)隱私和個(gè)人信息保護(hù)的挑戰(zhàn)。個(gè)人信息保護(hù)的邏輯基礎(chǔ)應(yīng)是對(duì)個(gè)人信息這一概念進(jìn)行準(zhǔn)確地理解和把握，故如何界定個(gè)人信息既是法律解釋學(xué)的任務(wù)，也是法律適用的要求。對(duì)個(gè)人信息概念的解釋，應(yīng)當(dāng)始終堅(jiān)持“特定個(gè)人識(shí)別”的標(biāo)準(zhǔn)。同時(shí)，參考?xì)W盟立法，應(yīng)當(dāng)明確個(gè)人信息的構(gòu)成應(yīng)以生存自然人為主體，存在關(guān)聯(lián)性及可識(shí)別特定個(gè)人為基本要素，法人或非法人組織、胎兒、已死亡自然人在特定條件下所形成的信息亦可以被解釋為法典中的個(gè)人信息。為真正實(shí)現(xiàn)民事權(quán)利之保護(hù)，在從寬解釋個(gè)人信息范圍的基礎(chǔ)上，經(jīng)特定法益權(quán)衡后認(rèn)為，凡可認(rèn)定存在公共利益或信息主體合法權(quán)益和個(gè)人信息處于公開領(lǐng)域的情形，即便屬于法典中個(gè)人信息，亦可排除法典保護(hù)規(guī)則的適用。以上解釋路徑，期能對(duì)《民法典》的理解與適用有所助益。