摘要

《网络安全法》第七十六条中采用“概括+列举”的方式对个人信息作出了界定,但是操作性存在争议,如何对“包括但不限于”“结合”“识别”等用语的界定,需要进一步厘清。本文结合个人信息保护的立法宗旨,以及文义分析,寻求有效划分个人信息和非个人信息界限的路径,从推动权利保护和产业发展平衡的角度,以实践运用场景为分析基础,确立《网络安全法》对个人信息的边界范围。

《网络安全法》第七十六条第五项规定:个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证号码、个人生物识别信息、住址、电话号码等。该定义明确了《网络安全法》中个人信息保护规则的调整范围。一般来说,“个人信息”的定义和具体规则是个人信息保护的关键,合理界定个人信息的范围是一部个人信息保护法规实施的根本。本文即探讨如何理解《网络安全法》第七十六条关于个人信息的定义,以寻求实施《网络安全法》有关个人信息保护规定的有效路径。

一、对《网络安全法》七十六条第五项的一般理解

从文义看,《网络安全法》第七十六条第五项可以拆分为“个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息”和“个人信息包括但不限于自然人的姓名、出生日期、身份证号码、个人生物识别信息、住址、电话号码等”。根据后半部分理解,“姓名、出生日期、身份证号码、个人生物识别信息、住址、电话号码等”都属于个人信息。列举出的这六种信息类型符合一般意义上对个人信息的理解。美国[2]、欧盟[3]、法国[4]、韩国[5]、日本[6]、俄罗斯[7]均采取了“概括+列举”的界定方式,德国[8]、英国[9]、澳大利亚[10]、印度[11]、香港地区[12]、澳门地区[13]则采用了“直接概括”的界定方式。“直接概括”和“概括+列举”两种方式符合国际上对“个人信息”进行界定的常见方式。不过具体看各国的界定,也并非一律将列举的信息类型完全纳入个人信息保护范围。美国1974年《隐私权法》中将个人信息界定为“指行政机关根据公民的姓名或其他标识记载的一项或一组信息。‘其他标识’包括别名、照片、指纹、音纹、社会保障号码、护照号码、汽车执照号码以及其他一切能够用于识别某一特定个人的标识。”根据该定义,个人信息是指“一项或一组信息”。由此推论,对于一组信息中的一项信息,不应当视为个人信息,否则就没有区分“一项”和“一组”的必要了。

大多数国家对个人信息的列举范围都很宽泛,如欧盟规定“个人数据”是指与确定的或可识别的自然人(数据主体)相关的所有信息,法国规定“个人数据”指与能够被或可能被直接或间接识别的特定自然人相关的任何信息,巴西《通用数据保护法》直接将“个人数据”定义为“与已识别或者可以识别的自然人有关的信息”。虽然使用了“所有信息”“任何信息”等用词,但大多数国家的立法都有强调个人信息可识别性的态度,即通过相关信息能够直接或间接识别个人身份。比如,印度《个人数据保护法(草案)》中定义“个人数据”时,要考虑身份特征、特点、属性等,以能够直接或者间接识别自然人。

因此,对于个人信息定义的理解,不在于信息类型本身,而在于能够“特定化”自然人的身份。也就是说,单独的“住址”信息,并不直接构成个人信息,而是一项可能成为个人信息的信息类型。“住址”信息和“身份证号码”信息结合可以构成一项个人信息,因为可以识别出个人身份,但是其中的“住址”信息不直接构成个人信息。

二、具体对 “包括但不限于”的理解

“包括但不限于”并非常用的立法词汇,主要见于合同条款,源自于英文的“including,but not limited to:”。从中文字面意思和英文意思理解,A包括但不限于B、C、D……,意思是指至少包括B、C、D,此外还可能包括B、C、D以外的其他项。《网络安全法》是唯一使用“包括但不限于”的法律。少数规范性文件中使用了这一词语,《全国人大常委会关于批准<移动设备国际利益公约>和<移动设备国际利益公约关于航空器设备特定问题的议定书>的决定》(2008年10月28日第十一届全国人民代表大会常务委员会第五次会议通过),其中使用了“包括但不限于”[14]。行政法规中未发现使用“包括但不限于”的条款,只有国务院办公厅的一些文件中使用该词汇,如《国务院办公厅关于印发“互联网+政务服务”技术体系建设指南的通知》(国办函[2016]108号),《国务院办公厅关于印发地方政府性债务风险应急处置预案的通知》(国办函[2016]88号),《国务院关于“先照后证”改革后加强事中事后监管的意见》(国发[2015]62号)等。司法解释中有一些使用了“包括但不限于”,如《最高人民法院关于认真做好网络司法拍卖与网络司法变卖衔接工作的通知》(法明传[2017]455号)中,“变卖公告应当包括但不限于变卖财产、变卖价、变卖期、变卖期开始时间、变卖流程、保证金数额、加价幅度等内容……”;《最高人民法院、最高人民检察院、公安部印发<关于办理刑事案件收集提取和审查判断电子数据若干问题的规定>的通知》中,“电子数据包括但不限于下列信息、电子文件:(一)网页、博客、微博客、朋友圈、贴吧、网盘等网络平台发布的信息;(二)手机短信、电子邮件、即时通信、通讯群组等网络应用服务的通信信息;(三)用户注册信息、身份认证信息、电子交易记录、通信记录、登录日志等信息;(四)文档、图片、音视频、数字证书、计算机程序等电子文件。”此外,在部门规章中也有使用,如《证券登记结算管理办法》(中国证券监督管理委员会令第29号,根据2017年12月7日中国证券监督管理委员会《关于修改<证券登记结算管理办法>等七部规章的决定》修改)中,“证券登记结算机构应当制定和公布证券交易、托管与结算协议中与证券登记结算业务有关的必备条款。必备条款应当包括但不限于以下内容:……”[15]

通过既有的一些规定来分析,“包括但不限于”前后部分的内容应该属于等同的状态,如法明传[2017]455号中,“变卖财产、变卖价、变卖期、变卖期开始时间、变卖流程、保证金数额、加价幅度”等均为“变卖公告”的必备内容;《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》中,(一)(二)(三)(四)所列信息、电子文件,均为“电子数据”的具体表现形式。按照这种理解对《网络安全法》第七十六条第五项进行解释,“自然人的姓名、出生日期、身份证号码、个人生物识别信息、住址、电话号码等”,应当等同于“以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息”。那么“自然人的姓名、出生日期、身份证号码、个人生物识别信息、住址、电话号码等”应当能够同时符合“以电子或者其他方式记录的能够单独识别自然人个人身份的个人信息”和“以电子或者其他方式记录的能够与其他信息结合识别自然人个人身份的各种信息”。严格来说,《网络安全法》第七十六条第五项列举的这六种信息,只有姓名能够“单独识别自然人个人身份”[16]。其他五种信息均需与其他信息结合才能识别个人身份。欧盟实践中,将手机号码、社会保障号码等都视为间接识别自然人身份的数据,因为仅仅通过手机号码或者社会保障号码,无法识别出一个自然人的身份。

结合“包括但不限于”的语义分析,以及《网络安全法》所列举的个人信息类型的实际效果来看,如果将《网络安全法》第七十六条第五项所列举的信息类型全部视为个人信息,与“能够识别自然人个人身份”的界定就存在匹配性的问题,实际上扩大了《网络安全法》本应规范的“个人信息”的范围。

三、具体对“结合”的理解

“结合”一词是《网络安全法》第七十六条第五项中个人信息定义的关键要素之一。“单独能够识别自然人身份的各种信息”比较好理解,单一类型的信息可以直接识别出自然人身份。而“结合能够识别自然人身份的各种信息”就存在理解的空间,两个及两个以上的信息结合构成的个人信息,其中单项的信息是否是个人信息?如果说个人信息界定的目标是保证信息本身的可控性和安全性,那么单项的信息均应视为个人信息。如果说个人信息界定的目标是保证目标自然人身份的可控性和安全性,那么单项信息就不应视为个人信息。正如前述的例子,单独“住址”信息和单独“身份证号码”信息都不能识别个人身份,只有进行结合以后,“身份证号码+住址”才构成一项个人信息。

两种理解都符合字面意思,但是采用后者的理解,具有现实的意义。把单独不能识别自然人身份的信息划在个人信息范围以外,能够促进对信息的开发和利用。数字经济时代,数据的价值都是围绕人展开,有价值的信息往往都与个人相关。以前者的理解,会使得“与个人相关的信息”都成为了个人信息,因为不论何种类型的个人信息,经过一定的结合都能识别个人身份。极端地说,任何一种类型的信息,与姓名信息或者身份证信息结合,都可以识别出个人身份,这样就导致几乎所有的信息都成为了个人信息。有可能泛化个人信息保护的范围,增加保护成本,也未必符合个人信息保护的初衷。然而以后者的理解,结合适当的制度设计,能够更为精确地划定个人信息保护范围,合理界定个人信息的定义,更有利于实现个人信息保护的目标。韩国《个人信息保护法》[17]中就规定,与其他信息进行简单结合后特定个人即可得以识别的信息属于个人信息。其中对“结合”进行了限定,即“简单结合”。美国加州《消费者隐私保护法案》(CCPA)[18]修订过程中在定义里增加了“合理地”表述,将“能够识别”改变为”能够合理地识别”,以限缩个人信息定义的范围,修改后其定义更为科学。

《网络安全法》中没有对“敏感个人信息”的界定,但实践中对个人信息作敏感性和非敏感性的划分,可以作为对“结合”的衍生理解。信息结合的过程中,有些信息具有强识别性,一旦与其他信息结合后能够有效识别自然人身份,比如姓名,考虑到重名的情况,仅仅一项姓名信息,脱离熟人环境之后,并不能直接识别自然人身份,然而姓名信息一旦与其他信息结合,如家庭住址、手机号码、就职单位等,就具有了高识别性,相对敏感性较高。其他一些信息具有弱识别性,简单与其他信息结合后未必能够马上识别自然人身份,比如位置信息、账号密码等,即使与其他信息进行结合,也不能有效地识别出自然人身份,相对敏感性就不高,即便这些信息具有主观上的敏感性。对此,《信息安全技术 个人信息安全规范》(GB/T 35273-2020)中对“个人敏感信息”进行了界定,是指“一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息”[19],采取了结果导向的判断标准。这一定义与此前版本(GB/T 35273 2017)相比并无变化,可以理解为实践中取得了一致的认识。一般来说,具有高识别性的信息,结合识别效率高,容易给自然人造成名誉、身心健康等方面的困扰。但是敏感性高的信息未必具有高识别性,以结果为导向判断敏感性。由此反诸《网络安全法》,之所以没有区分敏感个人信息和一般个人信息,可能是因为《网络安全法》定义个人信息的基础是“可识别性”,而非“敏感性”。因此,实践中对信息进行是否属于个人信息的判定,以结合性强弱为标准更为合适。

“结合”的方式应该适用于何种主体范围,也值得探讨。假定一个实践的场景,电信和互联网诈骗之泛滥愈发激烈,诈骗形式不断翻新,手段趋于隐蔽。传统监管手段应付新型诈骗往往效率不高,通过运营商和银行之间的合作,提供了一种解决思路,运营商基于电信服务掌握用户的位置信息,银行基于金融服务掌握用户的手机号码信息,当用户通过ATM机操作取款时,银行将该用户的手机号码信息发送给运营商,运营商反馈位置信息给银行,银行将用户位置信息与ATM机所在位置进行匹配,如果匹配不一致,就可以推定存在盗刷的行为。此举能够有效应对盗刷行为,但是产生了数据使用的合规问题。单独的手机号码信息或者单独的位置信息,都不足以识别用户身份,但是两项信息进行结合以后就有可能识别用户的身份。虽然运营商和银行都不可能只掌握用户的一项信息,但是如果我们在理想前提下做分析,运营商只掌握位置信息,银行只掌握手机号码信息,两者都是《网络安全法》框架下的“网络运营者”,那么各自均未收集和使用《网络安全法》意义下的个人信息。然而,两个网络运营者进行信息结合之后,形成了一项可以识别的个人信息,也就是《网络安全法》所规范的个人信息。这种场景下的个人信息是否是《网络安全法》所规范的对象,履行义务的主体应当是哪一个网络运营者呢?从法理上说,只有刑事法律体系中存在共同犯罪主体的情形,《网络安全法》对网络运营者的规范,不适宜引入共同主体的概念。从《网络安全法》第四章“网络信息安全”的立法逻辑来看,“网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息……”[20],“任何个人和组织……不得非法出售或者非法向他人提供个人信息。”[21],个人信息控制主体[22]对其掌握的个人信息负有保管义务,不得非法转移给他人。因此,网络运营者应当指独立的主体,信息“结合”的场景只适用于独立的网络运营者,而不适用于不同的网络运营者之间。2020年疫情防控期间,这一情况更为典型。比如,铁路系统发现某涉疫情防控人员,铁路系统掌握其手机号码信息,而运营商基于该手机号码可以找到其行踪轨迹信息。单独的“手机号码”或者“行踪轨迹”都不足以识别单个自然人的身份信息,但是结合后可以识别自然人身份信息。而结合后所产生的信息对于疫情防控具有重要作用。

再进一步探讨,即便是单个的网络运营者内部,也存在信息隔绝的可能。我们做一个理想模型的假设,同一网络运营者内部设有不同的业务线,每个业务线掌握不同类型的信息,单独的信息无法识别自然人身份。该网络运营者实行严格的内部管理,业务线之间严格禁止信息流转,彼此相互独立。此种情形下,该网络运营者所掌握的不同类型信息,经过结合后可以识别自然人身份,成为《网络安全法》语境下的个人信息。然而由于信息的内部隔绝,使得结合无法发生,那么是否仍然认为该网络运营者掌握了个人信息呢?虽然只是理论探讨,但也具备实践意义。比如,很多互联网企业都有复杂的体系架构,涉及众多的关联方公司(有可能实际处于同一集团控制之下),不同关联方掌握不同的信息类型,但是一般公众认为,关联方之间并无信息共享的障碍。而实际上,这些关联方之间往往采取严格的限制,来避免不同关联方之间的数据转移。

随着技术发展和监管手段的完善,未来有可能通过标准制定和认证体系来证明同一网络运营者能够实现内部的信息隔绝,确保信息的结合行为不会发生。这无疑又会形成对《网络安全法》第七十六条第五项个人信息定义的挑战。同一网络运营者分散收集信息,但不进行结合,个人信息的构成要件发生缺失,此类活动理论上就不需要纳入《网络安全法》的监管框架。

四、具体对“识别”的理解

有学者指出识别自然人身份有主观说和客观说两种主张[23]。笔者认为,识别具有更强的主观性,身份属于自然人的社会属性,区别于自然属性,难以量化标准来评判。身份是社会活动中对自然人的标签化,反映了其他社会主体对该自然人的认识。需要注意的是,《网络安全法》中所指的身份应以狭义理解,即能够特定化自然人的身份信息,而非职业信息等统计概念的信息。例如,某个自然人是老师,其中的“老师”能够明确这个自然人的职业身份是老师,但是无法确定具体的自然人个体。反之,有一个老师叫张三,就属于个人信息,因为能够特定化到张三这个自然人。

网络运营者能够识别自然人身份的能力需要普适性的一般标准,但是基于不同网络运营者的技术能力高低不同、业务类型不同、业务覆盖面不同,会影响其识别能力,例如大型企业较之中小型企业,具有更高的技术水平;金融服务类等企业较之普通生活服务类企业,更有可能取得识别性较高的信息;业务范围较广的企业能够收集更大规模的信息,更容易通过信息结合、分析识别自然人身份。然而,这些因素都是在动态变化,制定出宽严适中、普世通用、长久有效的标准,难度很大。

对此有两种解决方案,一个是相应地动态制定标准或指南作为法规配套,另一个是通过注意义务来进行具体裁量。《网络安全法》中对“个人信息”进行界定时使用的词语是“能够”,而参考《网络安全法》中对“关键信息基础设施”的界定,“一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的”,[24]使用的词语是“可能”。对比来看,“可能”的注意义务似乎要高于“能够”。同一部立法中,对不同的界定采用不同的词语,是值得注意的。对于关键信息基础设施,义务主体的注意义务较高,即使没有直接、现实的威胁,也应纳入调整范围。而“个人信息”的识别,则应该是直接、显然能够实现的。因此,可以推论,适用《网络安全法》规定时,个人信息保护的义务主体的注意义务相对较低,“可能”识别自然人身份的信息,也不应视为个人信息。

五、对个人信息保护合理目标的考量

个人信息旨在保护人,而非信息本身。[25]无论是《网络安全法》框架下的个人信息保护,还是未来制定《个人信息保护法》,个人信息保护的目标是什么?国际上,个人信息保护立法大致有两种思路,一种是以美国为代表的侧重产业发展的分散立法模式,强调数据的自由流动,同时通过消费者权益保护来实现个人信息保护。另一种是以欧盟为代表的侧重权利保护的统一立法模式,大多数国家都采用了类似方法,强调用户对个人信息的控制权来实现个人信息保护。不过即便是欧盟的个人信息保护立法中,也强调了数据自由流动的重要性,欧盟1995年出台的数据保护指令被简称为《数据保护指令》或欧盟95指令,而其全称是《欧洲议会和欧盟理事会关于涉及个人数据处理的个人保护以及此类数据自由流动的指令》[26],从标题全称中可以看出“数据安全”不是该指令的唯一目标。2016年欧盟出台的《通用数据保护指令》[27],被视为一部严格保护个人信息的立法文件,而在GDPR的前言部分,关键词“自由流动”(free flow)出现了很多次。GDPR在前言中具体指出,个人信息保护是一项基本权利,但是并非绝对权利,需要结合个人信息本身在社会活动中的作用来实施对其保护。欧盟始终在致力于建设内部单一市场(internal market)。欧盟95指令的出台,就是旨在协调个人信息保护与欧盟成员国之间个人信息自由流动之间的关系。科技的发展改变了经济生活和社会生活,因此GDPR有必要在打造高水平个人信息保护环境的同时,进一步促进个人信息跨境自由流动。GDPR之所以在欧盟95指令的基础上进一步构建强壮、持续的个人信息保护体系,就是要明确构建信任(trust)基础的重要性,以促进欧盟内部市场的数字经济(digital)发展。

由此可见,权利保护并非唯一的个人信息保护目的。平衡数据自由流动和个人权利保护是个人信息保护的双重立法目标。过度强调权利保护的个人信息保护法规,虽然能够在一定程度上提升个人信息保护水平,用户对自身数据的控制权将大为提高,产生权利保护侧的积极效果。但是在整体数字经济发展环境下,未必会形成良好的长期效果。数据是数字经济发展的基本要素,严苛的数据保护规则,无疑会影响对数据的挖掘和利用,产业和技术发展都会受到限制。特别是由于GDPR的合规成本过高,作为创新主力军的中小企业,可能会大受影响。用户侧的长期影响也是存在的,互联网服务往往以免费为主要模式,用户让渡的是自己的数据。互联网企业通过获取、挖掘数据来实现经济补偿和收益。企业面对高代价的违规成本,或许不得不调整免费服务的模式,转向收费服务模式。

《网络安全法》中也同样规定国家保障网络信息依法有序自由流动[28]。个人信息保护的制度设计应当同时符合产业发展和权利保护的需要,实现双重立法宗旨。建立个人信息保护法律制度,关键是确定两点:一是个人信息的范围,另一个是具体保护规则。个人信息的范围可宽可窄,具体保护规则可松可严。如果要兼顾双重立法目标,逻辑上就应当对两个关键因素进行合理匹配,较宽的个人信息范围适用宽松的保护规则,较窄的个人信息范围适用严格的保护规则。如果已经建立了较为严格的保护规则,就应该缩窄个人信息的范围,从而有利于双重目标的实现。笔者认为,以“用户同意”为基础的个人信息保护法规往往偏严。数字经济时代,数据的收集和使用已经成为经济生活的常态活动,过于强调用户的授权,往往会抑制产业发展的活力,以免费服务为基础的互联网业态,在严格适用用户同意规则时,可能大幅提高合规成本。在特定场景下,甚至导致法的实施面临现实困难。《网络安全法》中规定“网络运营者收集、使用个人信息,应当……明示收集、使用信息的目的、方式和范围,并经被收集者同意”[29],确立了“用户同意”的制度基础。按照前述的匹配逻辑,适用较窄的个人信息范围更为合适。

六、对个人信息与非个人信息界限的考量

个人信息保护的对象是个人信息。个人信息适用相对较严的保护规则,同时也要促进其合理流动。而非个人信息自然就应当完全自由流动,不适用个人信息保护规则。欧盟GDPR在引言中指出:匿名化数据不属于个人数据,因此无须适用条例的相关要求,机构可以自由的处理匿名化数据。欧洲议会、理事会和欧盟委员会于2018年6月达成一项政治协议[30],允许非个人数据在欧盟成员国内各处进行存储和处理,而不受不合理的限制。这是一个简单的法律逻辑,只有符合个人信息定义的信息才是个人信息,才应当被纳入个人信息保护法律框架,不能被界定为个人信息的信息就不属于个人信息保护法规的调整范围。

包括欧盟在内,各国法规中并未对“非个人信息”作出界定,如何划定“个人信息”与“非个人信息”成为了实践中的难题。实际上,个人信息与非个人信息的划分具有模糊性,二者之间可以相互转换[31]。由行业组织制定行业指南或者个人信息控制主体制定行为准则,并经个人信息保护主管机构认可实施,实现“统一规则+动态认定”,才是确定个人信息与非个人信息边界的思路之一。

七、结论

《网络安全法》第七十六条第五项中的“个人信息”的定义,应当理解为并列包含的关系,包括两种情形,一是个人信息是指以电子或者其他方式记录的能够单独识别自然人个人身份的各种信息,包括但不限于……(假定该处列举信息集为A);二是个人信息是指以电子或者其他方式记录的能够与其他信息结合识别自然人个人身份的各种信息,包括但不限于……(假定该处列举信息集为B)。A集和B集结合构成第七十六条中的“自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等”。

A集全部是个人信息。B集中单一的信息不属于个人信息,至少两个以上信息结合后形成的信息才成为个人信息。A集范围较窄,能够通过单一信息就能识别自然人身份的信息比较有限,严格意义上来说,只有身份证件号码信息,在多数规定中都已经被列举为个人信息。B集范围较宽,但B集中的信息并不具有个人信息的应然性,而是要根据结合、识别的情况来认定其是否符合个人信息定义的构成要件。从而,通过A集和B集的拆分,能够在实践层面缩小个人信息的范围,以匹配《网络安全法》有关个人信息保护规则的严格程度。其中,对B集中的信息建立科学的界定规则,有效划分个人信息与非个人信息的范围,是《网络安全法》有关个人信息保护的规定得以合理实施的重点。

对于B集中的信息的进一步界定,需要综合考虑“结合”和“识别”的构成要素,根据信息本身的识别性强弱,来建立区分个人信息和非个人信息的判断标准。这种标准应当具备行业属性,由行业组织或企业联合提出,经监管部门认可或指导,形成统一共识,成为守法的具体依据和执法的有效参考。这种标准同时也应当具有动态调整性,根据业务发展的变化、技术发展的更替来适时进行修订完善,不断适应产业发展和权利保护的需要。

下一步制定《个人信息保护法》,可对“个人信息”的定义做进一步明确,规定为:个人信息是指以电子或者其他方式记录的能够单独识别特定自然人身份的信息,或者能够通过简单结合后识别特定自然人身份的信息集。将“结合”的情形由“信息”改为“信息集”,以更明确定义的范围,从而使得该定义更强调个人信息的识别性,以能否有效识别为基础来界定个人信息的范围。

(本文原载于《网络信息法学研究》2020年第1期(总第7期))

参考文献:

①于良芝:《“个人信息世界”——一个信息不平等概念的发现及阐释》,《中国图书馆学报》2013年1月,总第39卷第203期

②范为:《大数据时代个人信息定义的再审视》,《信息安全与通信秘密》2016年10月

③朱芸阳:《定向广告中个人信息的法律保护研究——兼评“Cookie隐私第一案”两审判决》,《社会科学》2016年第1期

④汤敏:《个人敏感信息保护的欧美经验及其启示》,《图书馆建设》2018年第2期/总第284期

⑤项定宜:《个人信息的类型化分析及区分保护》,《重庆邮电大学学报(社会科学版)》2017年1月

⑥岳林:《个人信息的身份识别标准》,《上海大学学报(社会科学版)》2017年11月/第34卷第6期

⑦韩旭至:《个人信息概念的法教义学分析——以<网络安全法>第76条第5款为中心,《重庆大学学报(社会科学版)》2018年第24卷第2期

⑧韩旭至:《个人信息类型化研究》,《重庆大学学报(社会科学版)》2017年7月/第29卷第4期

⑨金耀:《个人信息去身份的法理基础与规范重塑》,《法学评论(双月刊)》,2017年第3期(总第203期)

⑩杨芳:《个人信息自决权理论及其检讨——兼论个人信息保护法之保护客体》,《比较法研究》2015年第6期

⑪郭明龙:《论个人信息之商品化》,《法学论坛》2012年11月/第6期(第27卷,总第144期)

⑫陈盼:欧盟网络隐私权保护模式研究——兼述欧盟对Facebook面部识别技术的调查》,《研究生法学》2013年8月/第28卷第4期

⑬李碧云:《网络视野下个人信息的定义研究》,《南方论刊》2017年第8期

14高富平:《数据流通理论——数据资源去案例配置的基础》,《中外法学》2019年第6期

[1]中国信息通信研究院互联网法律研究中心主任

[2]美国1794年《隐私权法》。

[3]欧盟2016年《通用数据保护条例》。

[4]法国1978年《信息技术、数据文件和公民自由法》。

[5]韩国2011年《个人信息保护法》。

[6]日本2003年《个人信息保护法》。

[7]俄罗斯1995年《联邦信息、信息化与信息保护法》。

[8]德国2009年修订《联邦数据保护法》。

[9]英国1998年《数据保护法》。

[10]澳大利亚1988年《联邦隐私法》。

[11]印度2019年《个人数据保护法(草案)》。

[12]香港1995年《个人资料(隐私)条例》。

[13]澳门2005年《个人资料保护法》。

[14]“ 一、对《公约》第三十九条第1款(a)项声明:依照中华人民共和国法律优先于有担保的债权人的全部非约定权利或者利益无须登记即可优先于已经登记的国际利益,包括但不限于破产费用和共益债务请求权,职工工资,产生于该民用航空器被抵押、质押或留置之前的税款,援救该民用航空器的报酬请求权,保管维护该民用航空器的必须费用请求权等。”

[15]《证券登记结算管理办法》第三十六条:投资者买卖证券,应当与证券公司签订证券交易、托管与结算协议。

证券登记结算机构应当制定和公布证券交易、托管与结算协议中与证券登记结算业务有关的必备条款。必备条款应当包括但不限于以下内容:

(一)证券公司根据客户的委托,按照证券交易规则提出交易申报,根据成交结果完成其与客户的证券和资金的交收,并承担相应的交收责任;客户应当同意集中交易结束后,由证券公司委托证券登记结算机构办理其证券账户与证券公司证券交收账户之间的证券划付;

(二)实行质押式回购交易的,投资者和证券公司应当按照业务规则的规定向证券登记结算机构提交用于回购的质押券。投资者和证券公司之间债权债务关系不影响证券登记结算机构按照业务规则对证券公司提交的质押券行使质押权;

(三)客户出现资金交收违约时,证券公司可以委托证券登记结算机构将客户净买入证券划付到其证券处置账户内,并要求客户在约定期限内补足资金。客户出现证券交收违约时,证券公司可以将相当于证券交收违约金额的资金暂不划付给该客户。

[16]即便是身份证号码,也仅限于特定主体才能识别个人身份。

[17]文案见http://www.law.go.kr/LSW/lsSc.do?menuId=0&p1=&subMenu=1&nwYn=1&section=&tabNo=&query=%EA%B0%9C%EC%9D%B8%EC%A0%95%EB%B3%B4%20%EB%B3%B4%ED%98%B8%EB%B2%95#undefined

[18]文案见http://leginfo.legislature.ca.gov/faces/codes_displayText.xhtml?lawCode=CIV&division=3.&title=1.81.5.&part=4.&chapter=&article=

[19]《信息安全技术 个人信息安全规范》(GB/T 35273-2020)3.2 个人敏感信息

[20]《网络安全法》第四十二条第一款。

[21]《网络安全法》第四十四条。

[22]《网络安全法》框架下,包括网络运营者以及任何个人和组织。

[23]韩旭志,《个人信息概念的法教义学分析——以<网络安全法>第76条第5款为中心》,《重庆大学学报(社会科学版)》,2018年第24卷第2期

[24]《网络安全法》第三十一条。

[25]范为,《大数据时代个人信息定义的再审视》,《信息安全与通信保密》,2016年第10期,P71

[26]Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data

[27]Regulation (EU) 2016 of the European Parliament and of the Council of on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC(General Data Protection Regulation)

[28]《网络安全法》第十二条。

[29]《网络安全法》第四十一条。

[30]http://europa.eu/rapid/press-release_IP-18-4227_en.htm,访问日期:2018年6月20日

[31]高富平,《数据流通理论——数据资源去案例配置的基础》,《中外法学》2019.06

作者:方禹 中国信息通信研究院互联网法律研究中心主任

声明:本文来自CAICT互联网法律研究中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。