中文字幕影视,欧美一级二级在线观看,av在线激情,亚洲国产福利视频,国产精品久久久久久亚洲影视,亚洲午夜视频在线,日本在线不卡二区

淺析我國個人信息定義與歐盟個人數(shù)據(jù)定義的不同

2020年第10期    作者:胡智俊    閱讀 10,135 次

信息時代，如何在保障個人信息安全的前提下，利用信息技術(shù)帶來的流轉(zhuǎn)便捷、分析精準(zhǔn)的優(yōu)勢大幅提高生產(chǎn)力，不僅關(guān)系到每個人的切身利益和安全，也關(guān)系到一國未來的競爭力。為此，各國一方面在加快制定大數(shù)據(jù)發(fā)展戰(zhàn)略，另一方面也在尋求強(qiáng)化對個人信息的保護(hù)，力求在個人信息安全與發(fā)展生產(chǎn)力之間尋求新的平衡。作為互聯(lián)網(wǎng)大國，我國的個人信息保護(hù)近年來也愈發(fā)得到重視，本屆人大已將個人信息保護(hù)法列入立法規(guī)劃。

“概念乃是解決法律問題所必需的和必不可少的工具。沒有精確界定的專門概念，我們便不能清楚而理性地思考法律問題，也無法將我們對法律的思考轉(zhuǎn)變?yōu)檎Z言，同時也無法以一種可理解的方式將這些思想傳遞給他人”。就法律名稱使用的概念而言，當(dāng)前世界各國和地區(qū)，主要有“個人數(shù)據(jù)”“個人資料”“個人信息”和“隱私”四種稱謂。歐盟成員國多使用個人數(shù)據(jù)。美國、加拿大則使用隱私。日本、韓國、俄羅斯等國使用個人信息。中國港澳臺地區(qū)均使用“個人資料”。隨著《民法典》中個人信息定義的出臺，中國大陸地區(qū)已確定使用“個人信息”這一法律概念。

2017年施行的《網(wǎng)絡(luò)安全法》第76條首次對個人信息作出了法律上的定義：個人信息是指以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別自然人個人身份的各種信息，包括但不限于自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等。該定義采取了概括列舉式加識別型定義方法，對指向個人的信息采取了識別型的單一路徑。識別的客體“自然人個人身份”依據(jù)其后列舉的范圍來看，是一種僅包含核心身份信息，而不包含廣義社會特征的狹義身份概念?！睹穹ǖ洹返?/span>1034條中關(guān)于個人信息的定義基本延續(xù)了《網(wǎng)安法》中的定義方法，僅是列舉的范圍有所增加。

《信息安全技術(shù)——個人信息安全規(guī)范》（以下簡稱《安全規(guī)范》）中個人信息的定義方法與《網(wǎng)安法》相同，但列舉的范圍更廣。其以資料性附錄的形式給出了個人信息、個人敏感信息的范圍和類型，并將網(wǎng)絡(luò)身份標(biāo)識信息、個人上網(wǎng)記錄、個人常用設(shè)備等信息均納入個人信息范圍，可謂我國現(xiàn)階段最為全面的個人信息標(biāo)準(zhǔn)。

歐盟地區(qū)將個人信息稱為個人數(shù)據(jù)(personal data)。在《通用數(shù)據(jù)保護(hù)條例》（以下簡稱GDPR）中， “個人數(shù)據(jù)”是指與一個已識別或者可識別的自然人相關(guān)聯(lián)的任何信息?？勺R別的自然人指借助標(biāo)識符，例如姓名、識別號碼、位置數(shù)據(jù)、網(wǎng)上標(biāo)識符，或借助與該個人生理、心理、基因、精神、經(jīng)濟(jì)、文化或社會特征相關(guān)的一個或多個因素，可被直接或間接識別出的自然人。其范圍包括：（1）姓名；（2）家庭地址；（3）電子郵件地址；（4）各種身份識別號碼；（5）位置信息；（6）IP地址；（7）cookie ID；（8）移動電話的廣告應(yīng)用標(biāo)識符；（9）特定場景下可以識別個人的識別符等。

該定義延續(xù)了歐盟95指令中關(guān)于個人數(shù)據(jù)的定義。歐盟第29條工作組曾對95指令中的個人數(shù)據(jù)定義發(fā)布過一份解釋(Opinion 4/2007 on the concept of personal data)，也可看作對于GDPR中個人數(shù)據(jù)定義的補(bǔ)充。與我國《網(wǎng)安法》中的個人信息相比，歐盟關(guān)于個人數(shù)據(jù)的定義有三個不同：

（一）識別客體的路徑不同

GDPR中指向個人數(shù)據(jù)的路徑有兩種，一是識別，二是關(guān)聯(lián)。個人數(shù)據(jù)既包括已識別和可識別的數(shù)據(jù)，也包括關(guān)聯(lián)到已識別和可識別的數(shù)據(jù)。但不論在哪種路徑下，數(shù)據(jù)是否屬于個人數(shù)據(jù)，并非僅是一個客觀事實，而是須結(jié)合數(shù)據(jù)處理者是否有識別的目的而定，對于可識別數(shù)據(jù)與關(guān)聯(lián)路徑數(shù)據(jù)尤為如此。這些數(shù)據(jù)更多地是一種主客觀交織的法律事實，并非僅是客觀存在的數(shù)據(jù)。描述客觀物體的、與數(shù)據(jù)主體無關(guān)的數(shù)據(jù)，如因某種語境、某個目的或某種結(jié)果與數(shù)據(jù)主體發(fā)生了關(guān)聯(lián)，即可被視為個人數(shù)據(jù)。如房屋價格，當(dāng)被用作統(tǒng)計地方房屋均價時不屬于個人數(shù)據(jù)，但當(dāng)被用作財產(chǎn)稅的計稅依據(jù)時即是納稅人的個人數(shù)據(jù)。因此GDPR指向個人數(shù)據(jù)的識別/關(guān)聯(lián)兩種路徑均采取了一種主客觀交織的認(rèn)定方法。相較之下，我國《網(wǎng)安法》和《安全規(guī)范》中的識別僅采用客觀主義標(biāo)準(zhǔn)，即客觀存在的信息是否可能通過技術(shù)手段聚合識別特定自然人，并未似歐盟以數(shù)據(jù)處理者是否具有識別目的的主觀主義標(biāo)準(zhǔn)來認(rèn)定個人信范圍息。

（二）識別的客體不同

GDPR中的social identity一般譯為社會身份，澳門地區(qū)個人資料定義中將其譯為社會特征。從該句句式看，social identity與physical, physiological, genetic, mental, economic, cultural等并列，此時譯為社會特征更為妥當(dāng)。由此可見，GDPR中識別的客體，是特定自然人廣泛意義上的社會特征，包括生理、心理、基因、精神、經(jīng)濟(jì)、文化等各領(lǐng)域?！毒W(wǎng)安法》中雖未闡釋個人身份包含哪些維度的信息，但在我國司法實務(wù)中，個人身份“主要是指那些經(jīng)過國家認(rèn)證的’核心身份’，例如姓名、身份證號碼、護(hù)照號碼等等”，香港地區(qū)即將識別的客體主要限定在香港身份證號及其他可以唯一確定個人的編號。因此《網(wǎng)安法》中的個人身份概念所包含的特征范圍比GDPR中的自然人所包含的特征范圍要小，如心理、精神、文化方面的特征均未在《網(wǎng)安法》列舉范圍內(nèi)。由此進(jìn)一步導(dǎo)致可識別到《網(wǎng)安法》中“個人身份”的信息范圍相較識別到GDPR中特定自然人的信息范圍要小。此外，GDPR中指向個人信息的路徑還包括關(guān)聯(lián)，使得GDPR項下已識別的客體范圍、可識別到已識別的客體的范圍、可關(guān)聯(lián)到已識別的客體的范圍均大于《網(wǎng)安法》。

（三）識別的主體不同

因為GDPR是為歐盟地區(qū)各成員國的政府與非政府組織在各種應(yīng)用場景下對個人數(shù)據(jù)的收集、使用制定規(guī)則，所以需考慮各種不同情況下，自然人被識別的可能。第29條工作組據(jù)此提出95指令中個人數(shù)據(jù)的識別主體為“either by the controller or by any other person”。 《網(wǎng)安法》中涉及個人信息部分的調(diào)整主體主要是網(wǎng)絡(luò)運營者、網(wǎng)絡(luò)產(chǎn)品或者服務(wù)的提供者，因此識別主體也僅限于前述主體。《安全規(guī)范》中則是針對主要業(yè)務(wù)涉及個人信息處理，且規(guī)模大于200人的企業(yè)而制定的標(biāo)準(zhǔn)，因此識別主體僅限大于200人且主業(yè)涉及個人信息的企業(yè)。因此GDPR中的識別主體遠(yuǎn)較《網(wǎng)安法》和《安全規(guī)范》中的識別主體寬泛。

歐盟成員國注重保護(hù)個人數(shù)據(jù)與隱私，并將其視為一種個人尊嚴(yán)，任何人都有享有在羅爾斯的“無知之幕”后被平等對待的權(quán)利。但這并非意味著歐盟地區(qū)只重視個人數(shù)據(jù)保護(hù)，不顧對其開發(fā)與利用。實務(wù)中，借助于各種豁免情形以及數(shù)據(jù)主體的同意，歐洲公司收集和處理的個人數(shù)據(jù)實則并不比世界其他地方的競爭者少。

現(xiàn)階段我國個人信息的外延小于歐盟成員國。個人信息保護(hù)事關(guān)國家的經(jīng)濟(jì)發(fā)展?jié)摿托畔踩?。我國的保護(hù)水準(zhǔn)如落后于他國，將影響我國的國際競爭力和國際地位，也不利于大數(shù)據(jù)產(chǎn)業(yè)的發(fā)展。

因此筆者建議：首先，盡快出臺《個人信息保護(hù)法》，對個人信息保護(hù)機(jī)制進(jìn)行頂層設(shè)計。其次，鑒于《個人信息保護(hù)法》可能仍較為原則，如無法指引各利益相關(guān)方實務(wù)操作，可通過修訂《安全規(guī)范》以擴(kuò)展個人信息涵蓋的范圍，同時在條件成熟時將《安全規(guī)范》上升為國家強(qiáng)制性標(biāo)準(zhǔn)，使其具有在實務(wù)中規(guī)范各利益相關(guān)方的強(qiáng)制效力。最后，在《個人信息保護(hù)法》出臺后制定與其配套的實施條例或細(xì)則，同時加快制定金融、醫(yī)療等特定行業(yè)的保護(hù)個人信息的單行法律法規(guī)。

胡智俊

上海申蘊(yùn)和律師事務(wù)所律師，上海律協(xié)互聯(lián)網(wǎng)與信息技術(shù)業(yè)務(wù)研究委員會委員

業(yè)務(wù)方向：競爭法、信息法、保險法