第三,个人信息可以直接或间接识别本人。个人信息是能够识别主体特征的信息,只要足以构成对个人识别的信息都属于个人信息。可识别性是个人信息最核心的特征,可识别性是指通过资料中所反映的各种信息加上人们的判断就可以确定这些资料是有关某个人的,或者说通过资料中的信息可以确认特定个人的身份。只有可识别的信息才有保护的必要和意义,也就是说,当这些信息可以直接识别或者与其他资料组合分析后,可以勾勒出特定某个人的某种形象,产生某种价值,满足信息使用者的某种需求,那么这些个人信息就应当受到保护。反之,某些信息单独或者综合分析均无法识别特定的个人,那就排除在个人信息的保护范围之外。
第四,个人信息具有人格和财产双重属性。所谓人格,就是公民之所以为人所必须具有的资格,是公民作为一个人所应有的最起码的社会地位,并应受到社会和他人的尊重,是人对自己作为主体存在的一种认知。个人信息可以勾勒出信息主体的“信息形象”,是信息主体个人身份的接反映,可以全面反映个人信息本人的个人属性,具有很强的人身依附性。同时个人信息是一种社会资源,可以用于交换并产生财富。对于信息利用者来说,个人信息本身并不具有直接的财产内容,获取个人信息并不是目的,仅仅是一种手段,是获取收益、扩展财源的一种途径。因此,个人信息权既是人身权又是财产权。
四、个人信息与相关概念的区别
1、个人信息与个人资料
我们常将英文中的“information”译为“信息”,信息是指资料经过处理后可以提供为人所用的内容,能够直接起到识别的功能。而将“data”译为“资料”,在信息论中资料是指用有意义的、可以识别的符号对客观事物加以表示得到的符号序列,是代表人、事、时、地的一种符号序列(不以文字为限),是一种客观事实状态。个人资料最基本的单位是资料元素,由文字、数字或符号构成。资料元素组成资料单位,几个资料单位组成资料组,再由资料组组成资料档案。从个人信从信息科学的角度看,信息是指用符号传递的报道,而报道的内容是接收者预先不知道的,只有通过数据加工处理后才能得到。因此,信息对于信息接收者来说是一种知识。信息作为一种资源,是有价值的,因而是法律保护的对象。但并非所有的资料都能够成为法律保护的对象,只有具有价值的能够为人所用的资料才能成为法律保护的对象。资料和信息的区别首先在于,资料侧重于客观形式,而信息着眼于资料反映的内容及其与人的互动关系。“无数客观事物的信息,正是通过人的眼、鼻、耳、舌、身这五个官能,传递给人们,经过人们的大脑进行去粗取精、去伪存真的加工,人们方才认识了世界,又反过来改变世界。”其次,从资料和信息的内在关系来看,资料是信息的物化形式,是信息的载体,而信息则是资料的内容。因此,从个人信息和个人资料的关系来看,个人信息是个人资料的内容,个人资料是个人信息的载体。此外,个人信息有多种表现和存在方式,并不必然表现为个人资料,两者并非一一对应关系,还有许多没有物化成个人资料的信息,比如一个人自然表现出的个人属性,因此个人信息的范畴要大于个人资料。
2、个人信息与个人数据
“数据”在英文中也叫“data”。在信息论中,数据是一组表示数量行动和目标的非随机的可鉴别的信号。在数学中数据是进行各种统计、计算、科学研究或技术设计等所依据的数值。而在法律上,对于个人数据的理解,不同的国家有着不同的界定。英国在1984年制定的《数据保护法》规定,“个人数据是由有关一个活着的人的信息组成的数据,对于这个人,可以通过该信息(或者通过数据用户拥有的该信息的其他信息)识别出来,该信息包括对有关该个人的评价,但不包括对个人数据用户表示的意图。”1992年欧洲理事会在《理事会数据保护条例》的修改建议稿中规定,“个人数据是指有关一个可识别的自然人的任何信息,不局限于以可处理形式存在的信息,它包括任何种类和任何形式的信息,只要这种信息是有关个人的,不论是活着的人或死去的人;并且只要这个人或这些人是可以识别的。”1995年7月26日在布鲁塞尔部长级会议上通过的《欧洲联盟数据保护规章》对个人数据下的定义是“有关一个被识别或可识别的自然人(数据主体)的任何信息;可以识别的自然人是指一个可以被证明,即可以直接或间接地,特别是通过对其身体的、生理的、经济的、文化的或生活身份的一项或多项的识别。”如前所述,“信息”的英文是“information”,是指资料经过处理后可以提供为人所用的内容,能够直接起到识别的功能。数据和信息具有密切相关性,在探讨个人数据保护问题时,涉及数据处理过程中的许多问题,而数据处理的结果将会产生一系列新的信息,而这些信息也在个人数据保护范围之内。此外,由于个人信息的表现和存在方式是多种多样的,个人信息并不一定表现为个人数据,没有物化成个人数据的信息也大量存在。因此个人信息的范围要大于个人数据的范围。
3、个人信息和个人隐私
如前所述,“信息”的英文是“information”,是指资料经过处理后可以提供为人所用的内容,能够直接起到识别的功能。而“隐私”的英文是“privacy”。隐私权的概念是由美国著名法学家萨缪尔·D·沃伦(Warren)和路易斯·D·布兰戴斯(Brandeis)首先提出来的。他们在《哈佛法律评论》1890年第4期上发表了著名的《隐私权》(The Right to Privacy)一文中,将隐私界定为“不受干涉”或“免于侵害”的“独处”的权利。《现代汉语词典》(商务印书馆1996年修订第3版)将隐私解释为“不愿告人的或不愿公开的个人的事”。而在我国,将隐私作为一个严格法学意义的词汇,不过是近十年的事情。我国法学界对隐私也有不同的见解。例如“隐私即私人生活中不欲人知的信息,因而也称生活秘密。”;“隐私,又称私人生活秘密或私生活秘密,是指私人生活安宁不受他人非法干扰,私人信息保密不受他人非法搜集、刺探和公开。隐私包括私生活安宁和私生活秘密两个方面。”;“乃是一种与公共利益、群众利益无关的,当事人不愿他人干涉的个人私事和当事人不愿他人侵入或不便侵入的个人领域。”;“隐私是个人不愿为他人所知和干涉的私人生活,其内容应包括三个方面:个人信息的保密、个人生活的不受干扰和个人私事决定的自由。”;“隐私的基本涵义是指当事人不愿或不便让他人知道的个人信息,当事人不愿或不便他人干涉的私事,或者当事人不愿或不便他人侵入的领域。”,等等。“个人信息”与“个人隐私”是不同的概念,很多个人信息并不涉及个人隐私,比如公开的信息和琐细信息。在这里我们有必要看一下个人信息的分类。首先,按信息是否涉及个人隐私为标准,个人信息可以分为敏感个人信息和琐细个人信息。敏感个人信息是涉及个人隐私的信息,如个人的私生活。琐细个人信息是指不涉及个人隐私的个人信息,如身高、体重等,但琐细的个人信息同样受法律保护。其次,按信息是否公开为标准,个人信息可以划分为公开的个人信息和隐秘的个人信息。公开的个人信息,是指通过特定、合法的途径可以了解和掌握的个人信息。隐秘个人信息是指不为社会公开的个人信息。公开的个人信息,无论是否属于敏感个人信息,都已经失去了隐私利益,不能取得敏感个人信息的特殊保护。由此可以看出“个人信息”与“个人隐私”是不同的概念,两者的交集是涉及隐私的个人信息。同时,二者的联系也是十分紧密的,个人信息和个人隐私是一种包含关系,具体来讲就是个人信息包含了个人隐私,个人隐私只是个人信息的一部分。也就是说,个人信息的范围要比个人信息的范围大得多。因此法律应对个人信息而非仅对个人隐私进行保护。
五、个人信息保护法的概念
个人信息如此重要,就需要法律对其加以调整。个人信息保护法就是专门调整个人信息的法规。目前,世界上已经有50多个国家制定了个人信息法体系。虽然我国目前还没有出台专门的个人信息保护法,但是,我国的《个人信息保护法》已于2005年完成了专家建议稿,并启动了立法程序。由此我国的《个人信息保护法》的出台应该指日可待。目前,学者们已经对个人信息保护法的概念进行了一些理论探讨。
对于个人信息保护法的概念,齐爱民认为,“个人信息保护法,是调整发生在信息主体和信息处理者之间的,在个人信息收集、处理和利用等活动过程中因保护信息主体的权益而产生的社会关系的法律规范的总称。这个概念说明,个人信息保护法上的两类主体为信息主体和信息处理主体;两类主体之间的关系是围绕个人信息收集、处理和利用等活动发生的社会关系;个人信息保护法的立法目的在于保护信息主体的合法权益;个人信息保护法调整的社会关系包括横向的民事主体之间的信息处理关系,也包括纵向的信息主体与行政机关之间发生的信息处理关系。”
也有学者认为,个人信息保护法是调整个人信息在保有、使用及维护过程中所发生的法律关系的法律规范。其应是规范个人信息所有者、个人信息持有者和个人信息使用者之间在保有、利用及维护个人信息中遵循的行为准则以及违反了该行为准则承担的法律责任。
六、国外个人信息保护立法概况
由于个人信息的极端重要性,世界许多国家和地区都制定了个人信息保护方面的法规。
1、经济合作与发展组织(Organization for Economic Co-operation and Development,简称OECD)。1980年9月23日,经济合作与发展组织理事会通过了《关于隐私保护与个人数据跨国流通的指针》(Recommendation of the Council Concerning Guidelines Governing the Protection of Privacy and Trans border Flows of Personal Data)。该文件分为五章,主要内容包括:第一章(第1条-第6条):总则、特定用语的定义与适用范围。在本指针中“个人数据”是指任何有关一个被识别或者可以被识别的自然人(本人)的信息;第二章(第7条-第14条)国内适用的基本原则,规定了个人数据保护的八大原则(限制收集原则、资料质量原则、特定目的原则、限制利用原则、安全保障原则、公开原则、个人参与原则、责任原则);第三章(第15条-第18条)国际间适用的基本原则——自由流通与法律限制,规定成员国应该采取一切适当的措施确保个人数据国际流通的自由以及对自由流通进行限制的条件;第四章(第19条)国内实施,规定为确保第二章的原则在各国内的实施,成员国应该通过制定国内法、设立机构等方式来保护关于个人数据的隐私和个人自由;第五章(第20条-第22条)国际合作,规定国际间的相互合作。该文件中确立的国内个人数据保护八大原则及资料国际自由流通的方向,已成为当今世界各国相关立法的重要参考。