刘德良:个人信息法律制度构建应该区分个人信息和个人数据
大数据时代,数据流通是互联网和大数据产业发展的必要条件,强调个人信息保护的同时也应该注重对个人数据的利用,不要混淆了个人数据和个人信息的概念。个人信息是指足以识别出某一特定自然人的信息(数据)或信息(数据)组合。在网络环境下,个人信息则往往是呈碎片化的(N个)数据形态,这些碎片化的数据就是我们所谓与个人有关的数据(简称个人数据)。因此,只有这些N个与(个人有关的)数据片段组合在一起的总和才可以通过数据加工和分析技术由计算机识别出某一特定的自然人,才能算是个人信息;相应地,任何N-1个或N-M(M<N)个与个人有关的数据或数据总和都不能算是个人信息。
比如肖像来说,由于它本身就可以识别出我们,因此对于我们人来说,它本身就是我们的个人信息;而对于计算机而言,它又是我们的个人数据。而对于所谓的行为轨迹、消费偏好等,如果仅仅是孤立的行为轨迹或消费偏好,而没有其他数据相呼应,由于它们本身是不能识别出特定主体的,因此它们仅仅是与我们有关的个人数据,但却不是我们的个人信息。其实,当很多人认为“行为轨迹是我们的个人信息”时,其潜意识里已经在“行为轨迹”前加上了特定的“我们”这个身份;而一般来说,商家出于商业目的是不会在意行为轨迹或消费偏好的主体叫张三还是叫李四,它所在意的只是某个用户经常会从某处到某处或有某种消费偏好,以便于为其提供有关服务。因此,一般来说,商家是不会对特定的消费者的主体是谁而感兴趣,它只对于那些能够为其后续提供服务或销售商品有帮助的(与个人有关的)数据感兴趣。这就是个人信息与个人数据的本质区别和相互联系。
目前包括欧盟立法以及照抄欧盟立法的中国立法在内的主流观点恰恰是混淆了个人信息与个人数据的区别,把个人数据完全等同于个人信息对待。按照这种观点,个人对所有与其有关的数据都拥有自主权(即所谓的个人信息权),任何收集、加工和处理与个人有关的数据(不管这些数据能否识别出某一特定自然人)都应该征得个人同意,否则都是违法的,都应该追究其法律责任。在实际中,企业为了所谓的“合规”而不得不制定形式合法的所谓的“隐私政策”。这些所谓“合规”的隐私政策即使在欧盟内部的成员国也只有少数情况得到真正落实,更不用说在国情完全不同的中国了!倘若真的持续不断地严格执行目前的法律及所谓合规的隐私政策,那么,其执行成本将会使几乎所有的企业都无法长期承受。因此,目前欧盟立法以及深受欧盟立法影响的中国立法不仅根本无法保障互联网和大数据产业健康发展,而且还会是其健康发展的制度障碍。
在谈到个人信息保护时,刘德良教授认为,个人信息的保护应该包括三层含义:一是要确保那些直接攸关个人名誉和尊严同时又与社会和公共利益无关的少数个人信息(我国86年之前法律上的阴私,即真正法律意义上的隐私)不被非法收集、刺探、公开和利用;二是要注意区分个人信息的公开、披露与对个人信息的滥用行为:只有那些直接攸关主体名誉和尊严而又与公共利益和社会利益无关的个人信息才需要保密、防止公开和披露;而对于其他个人信息,由于公开或披露行为本身是不会对主体造成伤害的,因此,立法努力的方向应该是如何防止被滥用,而不是要求保密、防止泄露。三是要承认个人信息(而不是不能识别出特定个人的个人数据)之上的商业价值属于个人而不是商家;而那些不能识别出特定自然人的与个人有关的(个人)数据的商业价值则属于合法收集和拥有的商家。这样,商家如果想合法拥有(那些不能识别出特定自然人的)个人数据的商业价值的话,其势必会有动力确保个人数据的非识别性(匿名性),因为(可以识别特定自然人个人的)个人信息的商业价值属于个人,而不属于商家;否则商家就很可能构成侵权,更何况商家一般是不会对特定自然人是张三还是李四感兴趣的。
刘德良教授最后指出,我们在构建个人信息法律制度前应首先明确一点:我们为什么要保护个人信息?对于个人信息而言,我们究竟担忧什么、害怕什么?刘德良教授认为,实际上,对于我们一般的个人而言,除了那些直接攸关名誉或尊严而又与公共利益、社会利益无关的个人信息需要保密外,我们真正担忧和害怕的不是公开或披露个人信息,而是担心、害怕诸如骚扰电话、垃圾短信、身份假冒和盗用、电信诈骗等问题;而这些恰恰是对个人信息的滥用问题。如果不被用来拨打骚扰电话和发送垃圾短信的话,相信我们是不会介意别人公开或知悉我们的电话号码的;如果没有人滥用我们的身份证信息去开通电话、开立银行账户、注册公司和上网账户等的话,我们同样也不会介意别人知道我们的身份证信息的。如果我们明白了问题的真正所在的话,我们就应该去努力构建有效的垃圾信息防治法、骚扰电话防治法、身份假冒和滥用防治法,而不是去强调对这些信息保密、禁止披露和公开。因为公开和披露这些信息本身并不一定会导致滥用(可能还会有合理使用),而强调保密、禁止披露和公开事实上也做不到(因为我们上学、就业、出行等无数情形都需要提供这些信息,所以这些信息已经存在于无数个地方了),毕竟这些信息是与我们的社会生活密切相关;如果一定要强调保密、禁止披露和公开,不仅成本巨大,也会收效甚微。这就是我们目前立法和实际相脱节所面临的问题所在!
欧盟以所谓的个人自由发展为依据来建构个人数据保护制度的做法是不切实际的,是应该被批判的,而不应该被我们照抄的!我们目前个人信息保护所面临的诸多实际问题恰恰是照抄欧盟立法的恶果,是值得反思和纠正的。简言之,我们目前的立法和观念混淆了个人信息和个人数据这两个概念,没有区分对(隐私之外的)个人信息(数据)的公开、正当利用行为和滥用行为。这种以虚假和不切实际的道德旗帜、道德口号为基础的立法不仅会严重束缚我国互联网企业和大数据产业的健康发展,而且在客观上也不利于个人利益的保护,反而纵容了侵权行为的发生。
