本文结合个人信息保护的立法宗旨,以及文义分析,寻求有效划分个人信息和非个人信息界限的路径,从推动权利保护和产业发展平衡的角度,以实践运用场景为分析基础,确立《网络安全法》对个人信息的边界范围。
摘要
《网络安全法》第七十六条中采用“概括+列举”的方式对个人信息作出了界定,但是操作性存在争议,如何
对“包括但不限于”“结合”“识别”等用语的界定,需要进一步厘清。本文结合个人信息保护的立法宗旨,以及文义分析,寻求有效划分个人信息和非个人信息界限的路径,从推动权利保护和产业发展平衡的角度,以实践运用场景为分析基础,确立《网络安全法》对个人信息的边界范围。
《网络安全法》第七十六条第五项规定:个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证号码、个人生物识别信息、住址、电话号码等。该定义明确了《网络安全法》中个人信息保护规则的调整范围。一般来说,“个人信息”的定义和具体规则是个人信息保护的关键,合理界定个人信息的范围是一部个人信息保护法规实施的根本。本文即探讨如何理解《网络安全法》第七十六条关于个人信息的定义,以寻求实施《网络安全法》有关个人信息保护规定的有效路径。
一、对《网络安全法》七十六条第五项的一般理解
从文义看,《网络安全法》第七十六条第五项可以拆分为“个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息”和“个人信息包括但不限于自然人的姓名、出生日期、身份证号码、个人生物识别信息、住址、电话号码等”。根据后半部分理解,“姓名、出生日期、身份证号码、个人生物识别信息、住址、电话号码等”都属于个人信息。列举出的这六种信息类型符合一般意义上对个人信息的理解。美国、欧盟、法国、韩国、日本、俄罗斯均采取了“概括+列举”的界定
方式,德国、英国、澳大利亚、印度、香港地区、澳门地区则采用了“直接概括”的界定方式。“直接概括”和“概括+列举”两种方式符合国际上对“个人信息”进行界定的常见方式。不过具体看各国的界定,也并非一律将列举的信息类型完全纳入个人信息保护范围。美国1974年《隐私权法》中将个人信息界定为“指行政机关根据公民的姓名或其他标识记载的一项或一组信息。‘其他标识’包
括别名、照片、指纹、音纹、社会保障号码、护照号码、汽车执照号码以及其他一切能够用于识别某一特定个人的标识。”根据该定义,个人信息是指“一项或一组信息”。由此推论,对于一组信息中的一项信息,不应当视为个人信息,否则就没有区分“一项”和“一组”的必要了。
大多数国家对个人信息的列举范围都很宽泛,如欧盟规定“个人数据”是指与确定的或可识别的自然人(数据主体)相关的所有信息,法国规定“个人数据”指与能够被或可能被直接或间接识别的特定自然人相关的任何信息,巴西《通用数据保护法》直接将“个人数据”定义为“与已识别或者可以识别的自然人有关的信息”。虽然使用了“所有信息”“任何信息”等用词,但大多数国家的立法都有强调个人信息可识别性的态度,即通过相关信息能够直接或间接识别个人身份。比如,印度《个人数据保护法(草案)》中定义“个人数据”时,要考虑身份特征、特点、属性等,以能够直接或者间接识别自然人。
因此,对于个人信息定义的理解,不在于信息类型本身,而在于能够“特定化”自然人的身份。也就是说,单独的“住址”信息,并不直接构成个人信息,而是一项可能成为个人信息的信息类型。“住址”信息和
“身份证号码”信息结合可以构成一项个人信息,因为可以识别出个人身份,但是其中的“住址”信息不直接构成个人信息。
二、具体对“包括但不限于”的理解
“包括但不限于”并非常用的立法词汇,主要见于合同条款,源自于英文的“including,but not limited to:”。从中文字面意思和英文意思理解,A 包括但不限于B、C、D……,意思是指至少包括B、C、D,此外还可能包括
限于
发布评论