1、信息安全研究第9 卷第10 期2 0 2 3 年10 月Journalof Information Security ResearchVol.9No.10Oct.2023DOl:10.12379/j.issn.2096-1057.2023.10.14论个人信息的“生前保护”刘康辉(武汉大学网络治理研究院武汉43 0 0 7 2)(18621330385163.c0m)On the“Protection of Personal Information During GenerationLiu Kanghui(Wuhan University Institute of Cybers pace Go
2、vernance,Wuhan 430072)Abstract The release of“Data 2o indicates that China is about to usher in a wide range of datacirculation and utilization practices,and personal data,as the most valuable data,will become theobject pursued by various subjects under the drive of interests,resulting in the issue
3、of personalinformation protection.The existing Personal Information Protection Law of the Peoples Republicof China does not cover the“generation phase of personal information,which can be filled bymeans of legal fiction,so as to realize the information subjects control over the generation ofpersonal
4、 information,avoid various risks caused by excessive generation of personal information,achieve the goal of complete protection,and help the development of digital economy.Key words personal information;record;legal fiction;generation phase;complete protection摘要“数据二十条”的发布预示着我国即将迎来广泛的数据流通利用实践,而个人数据作为
5、最有价值的数据必将成为各方主体在利益驱使下所追逐的对象,由此伴生出个人信息保护的议题,既有的中华人民共和国个人信息保护法未能涵盖到个人信息的“生成环节”,可以通过法律拟制的方式弥补这一漏洞,实现信息主体对于个人信息生成与否的控制,避免个人信息过度生成带来的各项风险,达至完全保护的目标,进而助力数字经济的发展,关键词个人信息;记录;法律拟制;生成环节;完全保护中图法分类号TP309录的各种信息”从中不难看出,记录是个人信1问题的提出依照中华人民共和国个人信息保护法(以下简称个人信息保护法)第4条第1款对个人信息的定义:“个人信息是以电子或者其他方式记收稿日期:2 0 2 3-0 3-16引用格式
6、:刘康辉.论个人信息的“生前保护”J.信息安全研究,2 0 2 3,9(10):10 2 8-10 3 210281息的生成方式,也是其构成要素,未经记录的与已识别或者可识别的自然人有关的各种信息并不构成个人信息,其先于个人信息而存在,经由“记录”这一生成方式之后,方能成为我国个人信息保护法所保护的个人信息,此即本文所称个人信息的专家视点.ExpertViewpoint“生前”形态.然而,个人信息保护法不仅未在对“个人信息”的定义处将此等“生前形态”包含在保护的客体之内,而且在“个人信息的处理”之定义中,也没有就个人信息的生成(“记录”)作出特别的保护规定.通说认为,由于个人信息处理的每个环节
7、都存在侵害自然人民事权益的风险11-13,为了最大化保护信息主体的个人信息权益,我国个人信息保护法没有将对“个人信息处理活动”的规制范围局限于“以识别分析为目的”的特定处理行为2,而是涵盖从个人信息的收集到最终删除的全生命周期的各个环节3.概括式的界定增加了概念本身的弹性4,个人信息全生命周期中的其他处理环节即使未在本条列明,仍应被视为个人信息处理行为5.然而,全“生命周期保护之表达固然意在扩大个人信息的保护范围,但是与此同时也不可避免地形成了对个人信息保护范围的限定,从反面推断出:在个人信息没有“生命”的时候,是不受个人信息保护法保护的,而此种“没有生命”的状态也当然地包含“正在生成的过程”
8、从历史解释的角度来看,在个人信息保护法的审议过程中,一些委员、代表和专家提出应当增加对个人信息处理活动的列举,如增加“记录”“删除”“检索”等,但最终只增加了“删除”这一类处理活动,而没有增加“记录”.虽然有学者解释道:个人信息处理活动的类型很多,对于不是特别典型和重要的处理活动,可以用“等”字涵盖17 0.然而,任何一条个人信息都要经过“记录”这一生成过程,该处理活动难谓不典型,难谓不重要.而且其仅仅是学者观点,无法影响到历史解释的认定过程;另一方面,就“记录”而言,也难以通过对“等”字进行文义解释的方式引出“个人信息的处理定位于个人信息处理者的主体视角,而并非以作为客体的个人信息为视角,由
9、于语义逻辑上应当先存在个人信息,而后才有对其的处理,即便是对“等”字作再大的扩张解释,由于生命周期的限制以及定位视角的原因,始终难以涵盖个人信息的生成环节.最后,记录也无法为“收集”所涵盖.信息安全技术个人信息安全规范明确指出,收集是获得个人信息的控制权的行为,离线导航中的位置信息如果不回传软件提供者则不构成收集.收集不过是个人信息在不同主体间的流转,而生成则关乎个人信息从无到有的过程,21问题成因:个人信息有体性使然2.1上比较法上个人信息及其处理的组合方式欧盟最早在19 9 5年通过的欧盟个人数据保护指令中,将个人数据定义为“与已识别或可识别的自然人有关的任何信息”其中并未强调信息的载体形
10、式.该指令后来由2 0 16 年4月通过的通用数据保护条例(GDPR)所取代,新的条例对于个人数据同样没有限定其须以何种方式存在进而载体化.相反,其将原本指令中个人数据处理中的“录制”置换成了“记录”,显然是扩大了个人数据生成方式的范围.由此,欧盟所采取的组合方式是对于个人信息不作形式上的要求,所称的个人信息是一种抽象的观念表达,然后将对个人信息的记录归人个人信息的处理活动,其虽然在法案标题使用“data”一词,但是就其内涵而言,更加符合 information的定义,并且在对个人信息的定义处也采用的是“any information的表达.就二者的区分而言,信息是数据的内容,数据是信息的形式
11、17 4.由此便实现了通用数据保护条例对个人信息不仅全生命周期而且完全的保护,个人信息不存在“生前生后”的问题.美国加州消费者隐私法案(CCPA)将个人信息定义为“直接或间接地识别、关联、描述,或能够合理地联系到一个特定的消费者或家庭的信息”一方面并未对个人信息作出形式上的要求;另一方面,它还通过列举的方式,明确地将“网络活动信息:浏览历史、搜索历史.”等具有数字化特征的信息归入个人信息的范畴.关于个人信息的处理,定义为对个人信息或多组个人信息进行的任何操作,无论是否以自动化的方式.虽然没有明确地指出记录这一操作行为,但是“任何操作”的用语显然是将“记录”包括其中的.日本个人信息保护法虽然在个
12、人信息定义条款中强调了“记载或记录的这一形式要件6 ,但是却并没有将此作为判别个人信息的唯一构成路径,与之并列的还包含“或者以声音、动作或其他方式所表示的所有事项”之表达,由此不能说日本的个人信息必须经由“记录或者记载”,只要是能够表示出来的,在满足识别要件后均可成为个人信网址http:/11029信息安全研究第9 卷第10 期2 0 2 3 年10 月Journal of information Security ResearchVol.9No.10Oct.2023息“表示”相较于“记录或者记载”有更为广阔的语义内涵,所有的信息均是可以表示出来的,由此日本对于个人信息的定义,并没有形式上的限
13、制.英国、韩国、新加坡、德国、俄罗斯、巴西、印度等国家对于个人信息的定义中,亦没有出现个人信息必须载体化或者形式化的要求3 18-19,其所保护的对象也都是定位于作为内容层面的信息,而不是聚焦于其外在表示形式的数据.对于这些国家而言,个人信息的出生始于其具有识别性,某些个人信息可能在未被人们发觉之时便早已生成,所称的“生前”几乎不存在适用空间,也难谓在此期间对个人信息进行特别保护的问题2.2个人信息有体性造就“生前保护”问题我国无论是在最早的全国人民代表大会常务委员会关于加强网络信息保护的决定中将个人信息局限于“电子信息”,还是在后续的中华人民共和国网络安全法中华人民共和国民法典直至个人信息保
14、护法中,扩充“电子信息”的范围为“以电子或者其他方式记录的”,始终贯穿着对个人信息“载体化”的要求,由此可以看出我国不保护处于内容层面观念上的信息,而聚焦于客观载体化的个人数据.个人信息必须以电子或者其他方式记录下来,没有以一定载体记录的信息不能认定为个人信息7 个人信息保护法不规制纯粹的“信息”无可厚非,毕竟,唯有载体化的事物方能借助其外在形式大范围传播,进而构成对信息主体人身或者财产上的潜在威胁以及人格尊严、自由的侵犯.但是在纯粹的识别性信息和载体化的“个人信息”之间,还存在“载体化”这一处理过程。我国也没有通过特别的法律拟制(类似于胎儿利益保护和设立中的法人权利能力规则),将“记录”归人
15、个人信息的处理范畴.由此形成了在个人信息定义处和个人信息处理的定义处的双重缺位,造成个人信息完全缺乏“生前保护”的局面.3个人信息“生前保护”的必要性3.1扶控制“生成”是个人信息自决权的应有之义个人信息是能够识别特定自然人的信息,这种可识别性就体现了人格特征8.个人信息之上承载着信息主体的人格利益,无论是基因数据等隐私信息,还是姓名、cookies(一种利用网站服务器10301保存特定信息至用户计算机,并从中读取相关信息的技术9)等一般信息,均与人格形成与发展有关,皆为人格要素,均构成个人整体人格之一部10.法律保护自然人的个人信息,目的就是保护基本人权和自由,关涉到人性的尊严与人格的自由发
16、展13 3.个人信息权便是为了保护此等人格利益发展而来的一种新型的人格权,也称个人信息自决权,是指自然人对其个人信息享有支配和自主决定的权利11.我国个人信息保护法的一系列制度设计均是围绕保障个人信息主体的自决权展开的,如“知情同意规则”“个人信息权利束”等.控制个人信息的生成与否,同样关涉到信息主体的人格尊严与自由,未对信息主体予以告知并征得其同意,擅自生成个人信息的行为实则是破坏了个人信息主体享有的自我决定的权利,进而构成对于个人信息主体人格自由的侵犯。个人信息生成的本质是其载体化的过程,与个人信息的删除或者被遗忘权具有同质的内核.个人信息的“出生”与“死亡”共同体现了个人信息主体对其个人
17、信息命运归宿的支配和自主决定利益,但是个人信息保护法单就删除行为归入到个人信息的处理中,并且在此基础上对个人信息处理者苛以一定的处理义务以及对个人信息主体赋予相应的工具权利,却将个人信息的生成全然排除在个人信息保护法一系列旨在维护个人信息自决权的规则体系之外,实则是减损了个人信息主体所享有的基本人权和自由.并且,个人信息的“出生”较之“死亡”而言,实则更加具有呕需法律保护的迫切需要.无论是给个人信息处理者设定义务还是给信息主体赋予权利,本质上是实现个人对其个人信息自主的支配,进而防范个人信息处理活动中伴生的诸多风险.然而个人信息的“出生”对于个人信息处理者而言是未经利用的、充满价值的,而对于个
18、人信息的“死亡”而言,则是已经利用过的、价值不饱满的,由此个人信息处理者会更加倾向于不断地生成个人信息而不是固守已经处理过的个人信息.个人信息的风险始于个人信息处理者基于利益驱动的处理活动,由此相较于个人信息的“死亡”而言,规制“出生”环节更加具有紧迫性个人信息保护法在终审稿唯独增设“删除”而忘却“生成”不具有正当性,控制“生成”应当是个人信息自决权的应有之义.专家视点.ExpertViewpoint3.2“生成”个人信息创设了法益侵害风险个人信息的“生成”具有独立性.在个人信息处理者利用其编写的应用程序辅助个人信息主体进行记录而未回传至个人信息处理者的场合,由于个人信息处理者并未实现对个人信
19、息的控制权,载体化的个人信息仍旧存储于个人信息主体所持有的设备中,由此不能算作个人信息处理中的处理行为.例如,离线导航软件在终端获取个人信息主体位置信息后,如果不回传至软件提供者,则不属于个人信息主体对位置信息的收集.此时个人信息处理者仅存在生成个人信息的行为,但是却不构成对个人信息的收集,即为本文所述的个人信息“生前保护”的实例空间.然而,此种辅助记录行为虽然暂时没有进入个人信息处理的环节,但是仍旧创设了侵害个人信息权益的巨大风险,对个人信息的滥用可能给个人信息主体带来财产和人身损害12,一方面,此等“生成行为”使得个人信息载体化并处于随时可被收集处理的状态,利益驱使下必将引发个人信息的过度
20、生成.在实践中,此等“生成行为”可能是在无声无息之间发生的,用户甚至都不知晓自己的位置信息、浏览信息等个人信息被记录了,即便是载体化的个人信息仍旧处于自已持有的终端设备中,用户也很难去实现对个人信息的支配和控制(如加以删除).此外,个人信息处理者所记录的个人信息往往多于其所收集的个人信息,毕竟其收集的目的是加以分析利用,具有一定的筛选性.个人信息保护法只对收集行为规定了最小范围原则,而不对“记录”行为加以规制,那么其所创设的这种随时可被收集利用的状态,使得即便个人信息存储于用户一端,个人信息处理者仍旧可以在有需求时尽来取之即可,收集环节最小必要规则被个人信息处理者以记录在用户本地的方式架空了.
21、个人信息的非法处理往往是从过度收集个人信息开始的,过度收集来的个人信息又进一步面临被非法买卖或者泄露的风险192.另一方面,个人信息生成环节的缺位会显著地减轻个人信息处理者的安全保障义务,而用户通常不具有采取安全防护的能力.个人信息处理者完全可以将所记录的海量个人信息存储于用户本地,而在有处理需求之时收集特定的一小部分加以处理,如此其无需保障存储于用户本地的个人信息的安全,仅需对每次使用的个人信息负有安全保障义务.在此过程中,由于将个人信息存储于用户本地不构成个人信息的处理,属于个人信息保护的法外之地,个人信息处理者的安全保障义务大大减轻,而用户所面临的风险则显著增加.4个人信息“生前保护”的
22、应对策略如前所述,个人信息有体性的要求导致其欠缺“生前保护”,使得个人信息主体的自决权遭受威胁,进而侵害到个人信息背后所承载的人格利益.同时,由于个人信息处理者趋利避害的心理,会在过度生成个人信息于用户本地的同时,不断地降低个人信息保护法对自已苛加的各项个人信息处理义务,导致个人信息面临过度生成、降低安全保障义务等各类风险,因此需要直面个人信息欠缺“生前保护”的问题.由于个人信息保护法颁布不久,其所出现的各类问题应当秉持解释论优先的原则.我国可以通过出台个人信息保护法司法解释的方式,对个人信息的处理之定义中的“等”字,根据举轻以明重的当然解释(删除都归入个人信息的处理,记录更加在此语义范围之内
23、),将“记录”解释到个人信息的处理过程中,进而适用整个个人信息保护法有关规则的保护.并且对于“个人信息的处理”作被动语态的理解,即立足于个人信息的视角而非个人信息处理者的视角,论述可能涉及的各类处理活动.如此一来,即便是仍旧无法摆脱个人信息有体性的禁与语义逻辑上的先后顺序,但是基于我国的司法实践中司法解释具有一定的创制法律的功能,那么也可以将其视作为类似于胎儿利益保护及设立中的法人权利能力特别规则的一种法律拟制.最后,在个人信息保护法的保护范围界分问题上,亦应当采用“完全保护”的表达,而不是所谓的“全生命周期的保护”5结语个人信息的有体性导致了其生成时点延后至载体化的过程,而个人信息保护法的系
24、列保护规则仅适用于个人信息的全生命周期,对于其生成环节而言缺乏有效的法律保护.个人信息生成环网址http:/1 1031信息安全研究第9 卷第10 期2 0 2 3 年10 月Journalof Information Security BesearchVol.9No.10Oct.2023节与个人信息保护法中系列处理活动具有同质性,我国既有的个人信息保护法并未对这种生成环节作出有效的回应,从而使之沦为个人信息处理的法外之地,个人信息并未得到完全的保护。通过法律拟制的方式可以有效地解决这一问题,但长久之计仍要跟随国际主流趋势,从根源上取消个人信息有体性的规定.参考文献1程啸。个人信息保护法理解与
25、适用M.北京:中国法制出版社,2 0 2 12 高富平个人信息处理:我国个人信息保护法的规范对象J.法商研究,2 0 2 1,3 8(2):7 3-8 63 杨合庆.中华人民共和国个人保护法释义M.北京:法律出版社,2 0 2 24龙卫球.中华人民共和国共和国个人信息保护法释义M.北京:中国法制出版社,2 0 2 15孙莹.个人信息保护法条文解读与适用要点M.北京:法律出版社,2 0 2 16刘颖.日本个人信息保护法JI.北外法学,2 0 2 1(2):2 17-2567江必新,郭锋.中华人民共和国个人信息保护法条文理解与适用M.北京:人民法院出版社,2 0 2 18王利明.论个人信息权在人格权法中的地位J.苏州大学学报,2 0 12,3 3(6):6 8-7 59李伟.大数据时代Cookie技术滥用行为的法律规制J.南海法学,2 0 19,3(6):7 9-9110齐爱民。论个人信息的法律属性与构成要素J.情报理论与实践,2 0 0 9,3 2(10):2 6-2 911王利明.论个人信息的法律保护一一以个人信息权与隐私权的界分为中心J.现代法学,2 0 13,3 5(4):6 2-7 212李黎个人信息概念的反思:以“识别”要件为中心.信息安全研究,2 0 2 1,7(8):7 54-7 6 2刘康辉硕士研究生.主要研究方向为数据法学。10321
浙ICP备2021020529号-1 | 浙B2-20240490 
