齐爱民：论个人资料

　　「内容摘要」个人资料是指可以直接或间接识别该个人的资料。个人资料不同于个人信息和个人隐私，个人资料上有独立的法律利益。个人资料所体现的法律利益属于人格利益的一种，并不等同于或局限于隐私利益。个人资料保护应采取直接保护模式。

　　「关键词」 个人资料、个人隐私、人格利益、本人资料权

　　对新生领域发生的问题进行专门立法，是世界各国立法的一个较为普遍的特色。个人资料的保护也是如此。自1973年瑞典政府制定《资料法》以后，各发达国家普遍开展了个人资料的专门立法。由于个人资料是一个崭新的法律现象，各国学界和立法对个人资料的认识也并不一致，最直接的表现是个人资料在各国立法上被分别冠以不同的称谓。采用“个人隐私”称谓的立法例主要有：1974年美国《隐私权法》、1981年以色列《隐私保护法》、1987年加拿大《隐私权法》、1988年澳大利亚《隐私权法》、1992年比利时《个人资料处理时保护隐私法》等；采用“个人信息”称谓的立法例主要有：1978年奥地利《信息保护法》、1984年英国《自动化处理个人信息的利用与将其提供于公务规范法》等；采用“个人资料”称谓的立法例主要有：1978年法国《资料保护法》、1981年冰岛《有关个人资料处理法》、1978年挪威《个人资料登录法》、1987年芬兰《资料保护法》、1988年日本《有关行政机关电子计算机自动化处理个人资料保护法》等。中国政府已经将个人资料保护问题列入立法计划[1].对个人资料进行科学定性不仅仅是法学研究所应该解决的一个理论问题，也是立法的迫切需要。

　　从法学的视野出发对个人资料进行科学定性是进行个人资料保护立法的基础。

　　一、个人资料的概念选择

　　关于个人资料，我国学界也有不同的称谓。有学者将个人资料称为“个人信息”[2]，也有学者称为“个人隐私”[3].其实，“资料”、“信息”和“隐私”不仅仅是称谓不同，而是有独立的外延和内涵的不同概念。从信息科学的角度看，“资料”（Data）是指用有意义的、可以识别的符号对客观事物加以表示得到的符号序列，是代表人、事、时、地的一种符号序列（不以文字为限）。信息（Information）是指资料经过处理后可以提供为人所用的内容。从资料与信息的关系看，数据是信息的载体，信息是数据的内容。[4]个人信息是个人资料的内容，个人资料是个人信息的物化形式。个人信息的表现和存在方式是多种多样的，并不一定表现为个人资料，没有物化成个人资料的信息大量存在，比如一个人自然表现出的个人属性。对个人资料进行立法保护的目的在于保护以个人资料形式存在的个人信息，而并不是所有的个人信息。个人资料的最基本单位是资料元素，由文字、数字和符号构成。由资料元素的组成资料单位，如生日中的年、月、日构成一个资料单位。几个资料单位组成资料组，由资料组组成资料档案[5].个人资料这一概念具有确定性，而个人信息往往因收集者的主观目的不同而有差别。“个人资料”和“个人隐私”也是不同的概念。很多个人资料并不涉及个人隐私，比如公开资料和琐细资料。法律对个人资料的保护，是对满足一定条件的全部个人资料进行全面保护，并不仅限于保护本人的隐私利益。

　　关于个人资料的定义在理论界较有代表性的有两种：（1）个人信息型定义。有学者认为“所谓个人信息，包括人之内心、身体、身份、地位及其它关于个人之一切事项之事实、判断、评价等之所有信息在内。换言之，有关个人之信息并不仅限于与个人之人格或私生活有关者，个人之社会文化活动、为团体组织中成员之活动，及其它与个人有关联性之信息，全部包括在内。”[6]；（2）隐私型定义。美国Parent教授认为，“个人信息系指社会中多数所不愿向外透露者（除了对朋友、家人等之外）；或是个人极敏感而不愿他人知道者（如多数人不在意他人知道自己的身高，但有人则对其身高极为敏感，不欲外人知道）。”[7]关联型定义失之过宽；隐私权型定义不但混淆了个人资料与隐私的概念，而且失之过窄。笔者主张“识别型”定义：个人资料是指个人的姓名、性别、年龄、血型、健康状况、身高、人种、地址、头衔、职业、学位、生日、特征等可以直接或间接识别该个人的资料。所谓“识别”，就是指资料与资料本人存在某一客观确定的可能性，简单说就是通过这些资料能够把当事人直接或间接“认出来”。识别包括直接识别和间接识别，直接识别就是通过直接确认本人身份的个人资料来识别，比如身份证号码、基因等；间接识别是指现有资料虽然不能直接确认当事人的身份，但借助其它资料或者对资料进行综合分析，仍可以确定当事人的身份。一般而言，姓名可以构成“直接识别”，但在有几个相同姓名的人的情况下，还要依靠生日、地址、职业、身高等资料才能识别。在国外的立法上，关于个人资料的定义方式有两种。《德国联邦个人资料保护法》第二条规定，个人资料是指“凡涉及特定或可得特定的自然人的所有属人或属事的个人资料。”有人称之为概括型。我国台湾《电脑处理个人资料保护法》第三条第一款规定，“个人资料指自然人之姓名、出生年月日、身份证同意编号、特征、指纹、婚姻、家庭、教育、职业、健康、病历、财务情况、社会活动等足资识别该个人之资料。”有人称之为列举环境概括并用型。这两种定义方式都是从资料与资料本人的关系出发，明确界定法律应保护的个人资料的范围，虽然定义方式不一样，但同属“识别型”定义。

　　个人资料是一切可以识别本人的资料的总和，这些资料包括了一个人的生理的、心理的、智力的、个体的、社会的、经济的、文化的、家庭的等等方面。这些方面包括健康情况、犯罪记录、性活动、名誉等涉及人格权的事项，也包括了著作和财产等涉及财产权的事项。个人资料主要具有如下特征：

　　1、个人资料的主体是个人。个人指基于“出生”的法律事实而取得民事主体资格的自然人。

　　2、个人资料可以直接或间接识别本人。能直接识别本人的个人资料，如肖像、姓名、身份证号码、社会保险号码等；不能单独识别本人，但与其他资料相结合才能识别本人的资料称之为间接个人资料，如性别、爱好、兴趣、习惯、职业、收入、学历等等。

　　3、个人资料并不必然为个人资料本人所知。个人资料保护法保护的不仅是本人知道的个人资料，而且也保护本人不知道的个人资料，如被网络服务提供商非法收集的个人资料、医生掌握的绝症患者未知的医疗资料等等。

　　4、个人资料既有人格属性，同时也具有财产属性。作为属人或属事之个人资料，可以全面反映个人资料本人的个人属性，所谓可以构成本人的“资料形象”。同时，个人资料是一种社会资源，可以产生财富并用以交换。个人资料数据库一旦被利用将会给利用者带来丰厚的收益。

　　二、个人资料的基本法律类别

　　根据不同的标准，个人资料可以划分为不同的类别：

　　1、根据能否直接识别自然人为标准，个人资料可以分为直接个人资料和间接个人资料。所谓直接个人资料是指可以单独识别本人的个人资料。间接个人资料是指不能单独识别本人但和其他资料结合可以识别本人的个人资料。挪威《个人资料保护法》明确地将间接个人资料纳入保护法的范围，其第一条规定：“能间接地确认本人的资料构成个人资料。”德国和丹麦等大多国家立法均将间接个人资料视为个人资料。法律划分直接个人资料和间接个人资料的目的在于一般而言，对直接个人资料的侵害后果比间接个人资料更为严重。

　　2、以个人资料是否涉及个人隐私为标准，个人资料可以分为敏感个人资料和琐细个人资料（trivial data）。敏感个人资料，是涉及个人隐私的资料。英国1998年《资料保护条例》规定：敏感个人资料是“由资料客体的种族或道德起源，政治观点，宗教信仰或与此类似的其他信仰，工会所属关系，生理或心理状况，性生活，代理或宣称的代理关系，或与此有关的诉讼等诸如此类的信息组成的个人资料”。琐细个人资料是指不涉及个人隐私的资料。瑞典《资料法》规定“很明显的没有导致被记录者的隐私权受到不当侵害的资料”，为琐细资料。琐细资料同样应该受到保护法的保护。许多看上去是相当不重要的个人资料，如果经过用心收集整理，亦能结合成一个资料人格图，就如同利用许多各色散碎的纸片拼成一幅完整的图案。因此不应该简单以个人的某种利益（如隐私）为指针确定保护法的范围，而应该对个人资料给予全面保护。德国联邦法院在1983年的《人口普查法》判决中宣称，“在自动化资料处理的条件下，不再有所谓不重要的资料”。法律划分琐细个人资料和敏感个人资料的目的在于二者的保护方式与程度不同。一般而言，对琐细资料的收集和处理可以不经过许可制度。挪威《个人资料保护法》规定，收集和处理不需要经过国王许可的资料为琐细资料。瑞典《资料法》在1979年修正后规定（第二条），琐细资料的处理不需要经过资料检察院的许可。与此相反，法律对敏感个人资料的收集和处理，一般需要给予特殊保护。1995年欧盟个人资料保护指南第8条规定，对于敏感的个人信息，要给以特殊的保护。在处理这些敏感信息的过程中，要采取特殊的保护措施。[8]

　　3、以个人资料的处理技术为标准将个人资料划分为电脑处理个人资料与非电脑处理个人资料。电脑处理，是指使用电脑或自动化机器为资料输入、储存、编辑、更正、检索、删除、输出、传输或其他处理。将个人资料划分为电脑处理的个人资料和非电脑处理的法律意义在于，电脑处理的个人资料更容易受到侵害。有很多国际组织和国家的个人资料保护法仅保护电脑处理的个人资料，将非电脑处理的个人资料排除在保护法的范围之外。欧盟1981年《自动化处理中个人资料保护公约》所下的定义：“（资料保护是）指对于个人在面临关于其个人资料之自动化处理时，所给予之法律上保护”。我国台湾的立法更直接以《电脑处理的个人资料保护法》来命名。笔者主张，应该对个人资料进行同等保护，而不以其采用的技术不同而有区别。非电脑处理的个人资料，如指纹、声音、照片等有与电脑处理的个人资料具有同等的保护价值，并不能因为信息社会的到来而忽视传统的个人资料。

　　4、以个人资料是否公开为标准，可以分为公开个人资料和隐秘个人资料。公开个人资料，是指通过特定、合法的途径可以了解和掌握的个人资料。我国台湾《电脑处理个人资料保护法》施行细则第32条3项规定：“电脑处理个人资料保护法第十八条第三款所称已公开之资料，指不特定之第三人得合法取得或知悉之个人资料。”隐秘个人资料和公开个人资料对应，是指不为社会公开的个人资料。将个人资料划分为公开个人资料和隐秘个人资料的意义在于公开个人资料，无论是否属于敏感个人资料，都已经丧失了隐私利益，不能取得敏感个人资料的特殊保护。

　　5、以个人资料的内容为标准，个人资料可以分为属人的个人资料和属事的个人资料。属人的个人资料反映的是个人资料本人的自然属性和自然关系，它主要包括本人的生物信息。属事的个人资料反映的是本人的社会属性和社会关系，它反映出资料本人在社会中所处的地位和扮演的角色。将个人资料划分为属人的个人资料和属事的个人资料

　　个人资料还可以分为纳税资料、福利资料、医疗资料、刑事资料、人事资料、和户籍资料等，不同的资料，具体的保护方式不同。

　　三、个人资料的主体

　　在个人资料主体的概念上，立法例将主体称为“个人资料当事人”[9].笔者主张采用“个人资料本人”的概念。“当事人”通常是指在诉讼中以自己名义，向国家司法机关请求确定其权利的人及其相对人。个人资料当事人的概念，应该指在个人资料收集、处理或利用过程中，以自己名义，向国家机关主张保护其权利之人。在未进入国家权利救济程序之前，似不宜称为当事人。另外，个人资料当事人可能涉及个人资料本人以及拥有个人资料档案权利的人（比如，个人资料合法持有者）。而个人资料保护的目的在于保护个人资料本人的权利，不包括其他个人资料合法持有者。因此应选择个人资料本人的概念。

　　个人资料的主体在立法上的分歧主要表现在以下几个方面：

　　1、关于法人。有观点认为，法人资料应该与个人资料一并保护。他们认为法人也有一般人格权，法人的一般人格权应该受到平等保护；并且，对法人资料和个人资料的一并保护，可以防止竞争对手掌握法人营业资料；奥地利政府还主张，法人资料由自然人组成，保护法人就是保护自然人。主张将法人资料与个人资料一并保护的立法例还有挪威与卢森堡等少数国家。笔者主张资料保护主体（data subjects）应以“自然人”（individuals）为限，反对将法人资料一并保护。首先，个人资料保护的法理渊源于一般人格权理论，而一般认为法人不存在一般人格权；其次，法人资料的价值和功用和自然人不同，法人资料和个人资料应该由不同的法律分别保护。法人资料应该由民法和反不正当竞争法分别就商业秘密技术诀窍以及商业信誉进行保护；最后，法人欲使起资料获得资料保护法的保护，其必须同意将法人信息（包括商业秘密）记录为资料、制作为档案并向主管机关申报。这样做反而不利于保护法人商业秘密。从各国立法例来看，大部分国家采否定的立场，对保护主体做狭义的解释，将法人等社会团体的资料排除在资料保护法的范围之外。

　　2、关于死者与胎儿。英国1984年《资料保护法》规定：“个人资料是由有关一个活着的人的信息组成的资料，对于这个人，可以通过该信息（或通过资料用户拥有的该信息的其它信息）识别出来，该信息包括对有关个人的评价，但不包括对个人资料用户表示的意图。”其1998年《资料保护条例》也坚持了“活着的人”的规定。我国台湾《电脑处理个人资料保护法》的施行细则也明确规定，个人资料是指有生命的自然人的资料，不包括已死亡之人。这种观点的理由是，个人资料保护的是自然人的一般人格权，已死亡之人的人格权已不存在。笔者认为，因为死者虽然已没有主体资格，但是死者遗留的个人资料应受到同样的尊重和保护。对死者遗留个人资料保护的一方面是为了保护正常的社会秩序和尊重善良风俗，另一方面是保护死者遗留个人资料涉及到的人。欧洲理事会对1992年《理事会资料保护条例》的修改建议稿规定：“个人资料是指有关一个可识别的自然人的任何信息，不局限于以可处理形式存在的信息，它包括任何种类和任何形式的信息，只要这种信息是有关个人的，不论是活着的人还是死去的人；并且只要这个人或这些人可以识别。”

　　胎儿分娩前的诊断资料，一般不认为是“胎儿”个人资料，而应该作为该胎儿母亲的个人资料，因为自然人始于出生。

　　3、关于家庭。有观点认为，个人资料的主体“个人”既包括“既包括自然人，也包括自然人组成的家庭”[10].笔者认为，个人资料的主体范围不应该包括家庭，也没有必要包括。从名称上讲，“个人”是一个排除组织体（包括家庭）的概念，更为重要的以自然人为主体就可以达到保护目的。所谓的“家庭资料”可以分解为家庭成员的个人资料，把家庭纳入个人资料主体不仅仅和‘个人'矛盾，而且没有任何现实和法律意义。从各国立法上一般是不包括家庭的。美国《隐私权法》在定义中规定：“'个人'是指美国公民或者在美国的永久居住权得到合法承认的外国人。”[11]

　　4、关于外国人。有人认为个人资料保护法的主体应包括外国人，其主要理由是：网络具有无国界的特色，因此在电脑处理个人资料时外国人的个人资料应得到保护法的保护。《欧盟个人数据保护指令》将外国人适用于本国法与否视为符不符合指令第25所谓的‘适当程度'之一。[12]笔者认为，保护法应该对外国人的个人资料实施同等保护。但是，并不是说个人资料本人就包含“外国人”。个人资料保护法是内国法，不能将外国人包含在“本人”的范畴，而是通过涉外条款对外国人的个人资料实行平等保护。

　　四、个人资料的保护模式

　　有观点认为，个人资料是一种财产利益，法律应采取所有权模式保护个人资料。这种观点认为：“在市场经济条件下，个人资料采集者将成千上万的个人资料采集起来的目的并不是为了了解个体，而是要把整个具有某种共同特征的主体的个人资料按一定的方式组成资料库，以该资料库所反映的某种群体的共性来满足其自身或其它资料库使用人的需要”。“对于资料采集者来说，获得个人资料不是目的，而是一种手段，是建立和扩展财源的一种途径。”并由此得出结论：“根据所有权原理，只要不与法律和公共利益相抵触，所有权人均享有对个人资料的占有、使用、收益、处分权”；并认为“个人资料的所有者是该资料的生成体个人，无论他人对主体个人资料的获取方式与知悉程度如何，都不能改变个人资料的所有权归属” [13].笔者认为，对个人资料的保护不应采所有权模式。首先，个人资料具有财产价值，但不能因此认为个人资料就是财产权的客体。人格权的客体同样具有财产价值，如隐私、姓名、肖像等。其次，从各国立法上看，个人资料保护的价值取向主要在于保护个人资料表现的人格利益，弥补侵害个人资料带来的精神损害。一般认为，对所有权的侵害不发生人格损害，因此所有权保护模式不能达到保护本人人格利益的目的。

　　有人主张个人资料是一种隐私利益，因此，个人资料保护立法应采取隐私权保护模式。这种观点认为，从各国关于保护个人资料的立法或判例来看，大多有涉及隐私的情况，“‘个人资料'保护的目的，即在保护个人隐私”[14].美国1974年的个人资料保护立法冠以《隐私权法》的名称就是一个典型代表。隐私权只能保护一部分个人资料和个人资料上的一部分权利。侵害个人资料的行为常常会导致与侵害个人隐私的法律竟合，因为个人资料和个人隐私确有交叉，比如敏感个人资料就涉及个人隐私问题。但不能因此将个人资料保护限于个人隐私保护。个人资料与个人隐私是不同的范畴。个人资料不同于个人隐私，对个人资料的保护也并不限于隐私利益。个人资料与个人隐私外延不同。一部分个人隐私表现为个人资料，还有一部分个人隐私以个人属性的方式存在，这部分个人隐私的保护与个人资料保护无关。一部分个人资料表现有个人隐私，还有一部分个人资料与个人隐私无关，如所有的公开个人资料和琐细个人资料，这部分个人资料的保护与隐私权无关。但本人仍享有对这部分资料的收集、处理与删除的决定权，并且本人还享有查询并更正资料内容的等权利。

　　个人资料应采取个人资料自决权的保护模式（投稿后修改）。我国宪法关于人格尊严的规定见第三十八条，该条规定：“中华人民共和国公民的人格尊严不受侵犯。”人本身是目的，人应该自治、自决，凡是与人格形成与发展有关的情事，本人有权自己决定，并在此范围内，排除他决、他律或他治。谁可以接近我们的资料，谁就可以掌握、利用甚至歪曲我们的资料形象。个人资料的收集、处理或利用直接关系到个人资料本人的人格尊严，个人资料所体现的利益是公民的人格尊严的一部分，具体说就是本人对其个人资料所享有的全部利益。个人资料具有独立的法律利益，应赋予新的权利。这种权利就是“个人资料自决权”。个人资料自决权是指在个人资料收集、处理和利用过程中本人对其个人资料所享有的排他性的支配权或控制权，其权利内容包括资料决定权、资料保密权、资料查询权、资料更正权、资料封锁权和资料删除权。在国外判例上，德国联邦宪法法院于1983年12月15日做出的“人口普查法案”判决明确指出，“资料自决权”的法律基础是德国宪法第一条第一项规定的“人性尊严”和第二条第一项规定的“人格自由发展”等基本法律规定。个人资料自决权保护模式就是保护个人资料的全部利益，赋予本人对其个人资料收集、储存、处理的决定权。我国将来的个人资料立法，应摈弃隐私保护的狭隘观念和“隐私权”保护模式，以“个人资料自决权”为核心构建个人资料保护体系。

--------------------------------------------------------------------------------

　　* 齐爱民，法学博士、博士后，广西大学法学院副院长，副教授。

　　[1]《国务院信息化工作办公室副主任刘鹤发表的讲话（二）》，//inews.gzic.gd.cn/web/newsdetail.asp？news_sno=131

　　[2]范江真微：《政府信息公开与个人隐私之保护》，《法令月刊》第52卷第5期。

　　[3] 参见陈起行：《资讯隐私权法律探讨——以美国法为中心》，《政大法学评论》第64期。

　　[4]参见张淑奇、王齐庄编著：《电子商务环境的信息系统》，武汉大学出版社2000年版第13-14页。

　　[5]许文义：《个人资料保护法论》，三民书局股份有限公司2001年版，第27页。

　　[6] 范江真微：《政府信息公开与个人隐私之保护》，《法令月刊》第52卷第5期。

　　[7] 陈起行：《信息隐私权法理探讨——以美国法为中心》，《政大法律评论》2000年第64期。

　　[8] 国家保密局法规处编：《德国荷兰保密法律制度》，金城出版社，2001年版第39页。

　　[9] 参见我国台湾《电脑处理个人资料保护法》第三条第八款：“当事人：指个人资料之本人。”

　　[10]马秋枫等着：《计算机信息网络的法律问题》，人民邮电出版社，1998年版第176页。

　　[11]国家保密局法规处编：《美国保密法律制度》，金城出版社，2001年版第298页。

　　[12] 邱建勋：《从电子商务之面向探讨网络隐私权》，我国台湾中正大学电讯传播研究所研究生毕业论文。

　　[13]汤擎：《试论个人资料与相关法律关系》，《华东政法学院学报》2000年第5期。

　　[14] 王郁琦：《NII与个人数据保护》，《资讯法务透析》1996年1月刊。

　　中国公法网