刘练军:个人信息与个人数据辨析

选择字号:   本文共阅读 2451 次 更新时间:2022-11-25 00:05

进入专题: 个人信息保护   个人数据  

刘练军  

摘要:在法学研究中,个人信息和个人数据两个概念常常被相互混用。实际上,两者在具体内涵、权利话语等方面存在较为明显的差别,不应等同视之。个人信息是一种知识,而个人数据则是一种载体。个人信息是“神”而个人数据则为其“形”。个人信息的权利话语主要有个人信息的自主决定权和控制权,以及个人信息的知情权、查阅复制权、更正补充权、删除权、要求解释说明权等。而个人数据的权利话语主要包括访问权、更正权、擦除权(被遗忘权)、限制处理权、数据携带权等。


随着计算机和互联网的普及,人类社会已进入以数据为原材料的“信息时代”。于是,个人信息和个人数据成为炙手可热的立法及法学概念,相关立法和法学研究呈显著的增长态势。然而,在法学研究中忽视个人信息和个人数据之间的差别,将二者混为一谈,视为可以相互指代的同质概念的现象较为普遍,这可能会对实务界的立法实践造成一定消极影响。毕竟,既有理论研究成果能够为立法工作提供十分重要的参考,是立法工作不可或缺的基础性条件,而没有任何理论依据的立法是难以想象的。从这个意义上说,对这两个概念予以辨析,厘清它们各自的内涵及相互关系,是今日法学界的急迫任务,亦为相关立法与法学精准表达之前提。

概言之,对个人信息和个人数据予以辨析的必要性主要体现在三个方面。首先,防范混淆财产与尊严的需要。个人数据实质上是一种无体物,重点是市场财产价值,而个人信息的重点在于人之人格尊严。对个人数据与个人信息不予辨析,难免会导致将人格尊严价值与财产价值等同视之。其次,对个人信息、个人数据分别实施有效保护的需要。两者的权利话语不同,只有严格区分它们各自的权利客体,才能准确地诉诸对应的权利话语,以有效开展相应的权利救济。再次,完善相关立法的需要。部分法律对个人信息与个人数据两个概念不予区分,为法律的适用留下了模糊与争议空间,不利于相关权利的私法救济。为此,法学界应认真对待这两个概念,揭示它们之间的区别与联系,为当下的法律适用及未来的法律修订提供足够的法学理论支撑。


一、被忽视的普遍现象:个人信息和个人数据不予辨析地使用


个人信息与个人数据之间有联系,但更有区别,如果对两者不予辨析地使用,就难以清晰地传达法律规范之旨意与法学思想之精髓。事实上,在法学研究中,人们经常对二者不加辨析地使用,具体表现如下两种情形。

(一)明确断定个人信息与个人数据两者之间并无差别

在法学研究中,有的提出个人信息与个人数据没有差别的“等同论”观点,研究中有观点认为个人信息从属于(个人)数据,实际上是在个人信息与(个人)数据之间建立了“种—属”关系,用(个人)数据(属)来诠释个人信息(种)。这种将个人信息与个人数据无差别使用的认知,在法学界具有一定的代表性。然而,法学研究需要强化对法律概念、法学概念的区分和精准化运用。本文的研究表明,在法学研究中不宜将个人信息与个人数据等同视之,法律人需要为不同立法概念的有效区分提供应有的学理基础。

(二)无意识地将个人信息与个人数据混为一谈

与明确断定个人信息与个人数据两者之间没有差别相比,将两者混为一谈的现象似乎更为普遍。如有观点认为,应该将个人数据信息作为公共物品来规制。这里的“个人数据信息”未充分意识到个人信息与个人数据之间的差别。还有观点认为,数据共享也可能是一种个人信息的收集、储存、利用问题。这里的数据共享自然包括个人数据,该观点同样忽略了个人数据与个人信息之间的差别。

本文认为,作为立法和法学概念的个人信息与个人数据,其产生的条件并不相同,其蕴涵的权利话语更是差异明显。在法学研究过程中,我们理应自觉加强辨析它们之间的异同。个人数据是人类发明的一种符号,不以人的认知不同而不同,因此客观性强;而个人信息则是符号所反映的内容,强调的是主体之人对于个人数据的认识,因而具有一定的主观性。同一个人数据对于不同的主体来说始终是个人数据,但同一种个人数据是不是个人信息,不同的主体可能有不同的认识。个人信息的主观性与个人数据的客观性,是个人信息与个人数据的重要差别之一,对此下文还将进一步展开分析。

在互联网时代,个人信息保护和个人数据安全,都是人人高度关注的社会热点议题。《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)和《中华人民共和国数据安全法》(以下简称《数据安全法》)的有效实施,不仅仅依赖于立法者和执法者的努力,同时也需要法学学术共同体的积极参与。法学是一门运用性非常强的社会科学,能否为实践中的个人信息保护和个人数据安全提供理论支撑,是权衡个人信息和个人数据研究是否成功的标尺。为此,有必要在法学研究中正视个人信息和个人数据不予辨析地使用的混乱状态,并进一步厘清个人信息与个人数据之间的异同。


二、起源之辨:个人信息与个人数据的概念生成


作为一个法学概念,个人信息与个人数据得以形成的根本原因并不相同。追溯其概念生成过程,对之展开起源之辨,无疑大有裨益。

(一)个人信息是一种知识,它起源于超大规模的对个人知识的收集与利用

个人信息作为一个学术概念委实是现代社会的产物,其产生的历史非常之短。第二次世界大战后,随着现代科学技术的高歌猛进,大多数西方国家为了方便对社会的管控,而纷纷建立有关公民个人信息的巨型数据库。面对政府借助科技手段扩张自身权力的举措,西方社会基于历史的经验教训而出现了种种担忧。例如,谁能看到这些信息,这些信息将被用于何种目的,信息被转化为数据后进行储存本身是否安全,等等。正是这样的担忧促使从20世纪70年代开始,瑞典、德国、法国等国家纷纷制定个人信息保护法,并最终形成了全球性个人信息保护立法浪潮。1970年世界上第一部个人信息保护法——《黑森州个人信息保护法》(The Hesse Data Protection Act of1970)在德国黑森州诞生。1973年,瑞典议会通过了世界第一部国家级个人信息保护法。国家立法的出现,使得个人信息开始受到了法学界的广泛关注。因而,作为法学概念的个人信息诞生于1970年代。

自从作为一个立法术语问世之后,个人信息受到的关注便与日俱增。其中的一个重要原因是,除各国政府的巨型数据库外,不少的新兴互联网科技公司也开始收集并处理其用户的个人信息,而且这些科技公司还有不少是跨国公司,用户不限于本国而是全球性的,用户数量不是几千几万,而是多达几亿甚至几十亿。就其个人信息的占有量来说,不少科技公司可能与其所在国政府相比都毫不逊色。所以,各国的个人信息保护立法,不仅仅是针对政府的个人信息收集与处理行为,它还要规制各类企业平台的类似行为。

就其所处理的个人信息内容而言,政府机构和公司企业之间或许存在一定的差别。前者主要处理的是个人的基本信息,如姓名、性别、民族、政治面貌、出生年月、身份证号码、住址、电话号码等;而后者在对这些传统的基本信息进行收集的基础上,可能更关注个人的平台账号及密码、消费信息、医疗信息、遗传信息、位置信息、行踪信息、网站访问及浏览信息等与各类平台紧密相关的数字信息。与基本信息相比,公司企业都热衷于收集个人数字信息,因为这些数字信息更具有可观的商业价值。不管是基本信息还是数字信息,其要达到处理之目的,就必须经过大规模的收集。运用传统的人工和纸笔,不可能实现这种大规模个人信息收集。即便通过人海战术完成了这种大规模收集,也不可能继续通过“人海战术”来实现信息分析,以达到信息整合利用之目标。简言之,超大规模的个人信息的收集和利用现象日益普遍,是个人信息得以作为一个立法术语和法学概念问世的根本原因。

立法和法学研究中的个人信息本质上是什么呢?《中华人民共和国民法典》(以下简称《民法典》)、《中华人民共和国网络安全法》及《个人信息保护法》等法律对个人信息都有定义性规定。国际标准化组织(ISO)将信息定义为“关于在特定语境下具有特定含义之客体——例如事实、事件、东西、过程或思想包括理念——的知识(knowledge)”。本文认为,个人信息就是在特定语境下有关具体某个人的具有特定含义之客体——如姓名、身份证号码、平台会员、医疗就诊等等——的知识,它不但包括有关个人满足社会交往需要的基本知识如姓名、性别等,更包括个人心理偏好、行为习惯、遗传基因、身体疾病等诸多不宜对外公开的特定知识。透过个人信息所承载的知识,就可以较为全面地认识一个人。不言而喻,绝大多数人都不希望有关自己的知识被他人或社会了如指掌,有穿有戴而不是赤身裸体地呈现在他人和社会面前,此乃人之尊严的基本要求。不可恣意地泄露个人信息,其中有些个人信息还务必严格保密,其原因就在于此。

追溯历史,对作为知识的个人信息的收集并非现代社会的产物。国家以户籍登记、人口普查等形式掌握相关知识,在人类历史上早已具有较为成熟的经验实践。但过去尚未在此基础上提炼出个人信息的概念,其主要原因在于:在前计算机和互联网科技时代,无论是掌握公权力的国家还是拥有私权力的公司,一方面对这些个人知识的收集和处理都是在有限的时空范围内进行的;另一方面,它一般不会造成相关个人知识的大规模泄露,尤其是其他组织机构或个人利用相关知识,去打扰或侵害具体个人的现象相当罕见。然而,具有最强记忆及计算功能的计算机和互联网对社会生活的冲击是颠覆性的,它不但使得有关个人知识的大规模泄露成为可能,而且更主要的是,它使得利用这些个人知识实施侵权变得易如反掌,并且成本低廉。于是,人类在总结经验的基础上,提炼出了一个足以容纳所有个人知识的新概念——个人信息。质言之,超大规模的个人知识的收集与利用,是20世纪中叶以后个人信息这一概念首先在德国、瑞典等国家产生并作为立法术语,而后迅速“冲出欧洲,走向世界”的重要推动力。

(二)个人数据是一种载体,它起源于网络科技的发达与运用

个人数据与个人信息一样,都是一种新兴的立法术语,它们几乎都是从20世纪70年代开始慢慢进入法学研究者的视野。个人信息本质上是一种有关个人的知识,那个人数据又该如何理解呢?毫无疑问,该问题对于个人数据为何可以且应当成为一个立法术语非常关键。《数据安全法》第3条规定“本法所称数据,是指任何以电子或者其他方式对信息的记录”,而《现代汉语词典》对数据的解释是“进行各种统计、计算、科学研究或技术设计等所依据的数值”。从这两个具有权威性的有关数据的定义与解释可知,数据与信息之间的差别明显,数据是一种可视性较低的静态化存在的记录或数值,它本质上是一种知识的载体,是知识的一种形式化的存在形态,但不是知识本身。

在传统社会,数据主要是通过用笔书写记载于有形的纸张之上,即在传统社会数据是一种容易看得见、摸得着的物理性、书面化存在。而在现代社会,数据则主要通过计算机来记录,它是借助独特的计算机语言——二进制编码(0和1)方式所进行的一种记录。与传统的书面式记录相比,计算机记录具有方便、快捷、易储存、易传输、易保密、低成本等诸多优势。在传统社会,不管是个人数据还是公司企业的数据,都不需要运用专门的法律来予以保护。因为那时候数据被书面化了,不管是窃取还是毁坏数据,都只能通过窃取书本或毁坏纸张的方式为之,通过传统的物权或财产权来保护纸张或书本,即可“间接”但又非常有效地保护那些攸关个人或企业权益的数据。

但在现代互联网科技时代,这种间接保护方式近乎无效。因为储存于计算机和互联网上的数据,不会像传统的纸张数据那样与纸张自身“同生死、共存亡”。计算机数据非常方便携带和传输,例如储存在国内某台电脑中的数据,传输到万里之外的国外,通过另一台电脑照样可以一字不差地读取,时空和终端的变换丝毫不影响数据本身蕴含的信息与价值。质言之,在互联网科技时代,身为一种记录的数据不再是物理性的存在,而是无形的电子化的代码式存在。对于这种符号性、代码式存在的数据,传统的物权或财产权保护模式就显得“英雄无用武之地”,数据由此成为一项独立的法律规制对象与保护客体。而信息的数据化储存模式越来越普遍,导致数据越来越重要,甚至被称为互联网科技时代的黄金或石油,其商业价值有增无已。是故,作为一种新兴法学门类的数据法学正呈强势崛起之姿。

所谓个人数据就是与具体个人挂钩的数据,是直接涉及具体某个人的知识的记录或数值。在传统社会,有关具体个人的数据较为稀少,往往只有那些有关社会精英的知识才有机会被记录于书本之中,有关其他芸芸众生的知识即便在书本中能找到,也常常是信息量稀薄的片言只语。而在计算机和互联网科技时代,在有关个人知识的记载、储存、传播及利用方面,普罗大众与社会精英是一样的。正是这种平等的记载、储存、传播及利用,使得我们今天进入了一个所谓“数据为王”的大数据时代。

大数据时代全面形成的主要标志,是人类生活方式的网络化及其智能形态——手机化。我们人类业已进入了生活手机化和工作网络化的数字时代,而手机化生活模式和网络化工作模式,为各级政府、平台企业及其他人收集、传播及利用个人数据提供了极大便利。然而,这种便利是一把双刃剑,它同样可能为个人数据的泄露、滥用以及蓄意侵权提供了前所未有的“方便”,而且所耗成本异常低廉。因此,在大数据时代,必须以法律的方式对个人数据实施严格保护,以惩治随时可能发生的通过个人数据实施的侵权行为。故而,从20世纪70年代开始,作为个人知识载体的个人数据,就与个人信息一起成为一个备受关注的立法术语和法学概念。简言之,互联网科技的兴起与普及,是个人数据概念形成的“催化剂”。


三、形神之辨:个人信息是“神”而个人数据为其“形”


个人信息与个人数据常被混用的一个重要原因在于,这两个概念有着共同的认识论根基,而法律必须保护个人信息和个人数据,也都是源于该认识论。具体而言,就是要保障“人的尊严”。“尊严是人类所具有的一种状态,这不是基于他们在特定社会中所具有的地位,而仅仅是因为他们拥有的普遍人性”。“人的尊严”在法律价值体系中具有极为重要的地位,被誉为现代宪法的核心价值和实质规范,任何人的尊严都应得到法律的平等保护,这是个人信息与个人数据法律保护的认识论根基。无论何等事项,只要攸关人的尊严,都应纳入法律的保护框架之中。

在如今互联网科技时代,个人信息和个人数据与人的尊严息息相关。尊严本质上是一种内在的认知。在现代社会,尊严是以个人对有关自身的个人信息和个人数据的占有及控制为基本条件。如果不能主宰自身个人信息和个人数据,在当今社会则不能真正成为一个享有人格尊严的社会主体。当个人信息尤其是一些涉及隐私的个人信息在社会上传播,当个人数据尤其是一些有关自身隐私的数据被储存在众多公共电脑上被不加限制地查阅,个人信息和个人数据的权利主体就会有丧失人格尊严之感。总之,个人信息和个人数据是个人尊严的一个有机组成部分。恣意披露他人的个人信息或个人数据,难免会对他人的尊严构成一定的侵害。

个人信息和个人数据之所以能够作为立法术语问世,并受到法学研究的高度关注,是因为它们在某种程度上都是现代人的存在形态和生活方式。换言之,在当今互联网科技时代,每个人都已然被转化为数不胜数的个人信息和个人数据,成为由个人信息和个人数据组合而成的“数字人”。现实中的人是由生物细胞组成的,而“数字人”则是由个人信息和个人数据组成的,个人信息和个人数据就是构成数字人的“数字细胞”。法律要保护每个现实中的人的生物细胞,同理,在互联网科技时代,法律也不得不保护每个数字人的数字细胞,即个人信息和个人数据。因为每个“数字人”背后都有一个对应的现实中的社会人。个人信息和个人数据的受法律保护程度,直接攸关每个社会人的人格尊严尤其是其隐私权益。法律认真对待个人信息和个人数据,就是在认真对待每个“数字人”,就是在认真对待每个“数字人”背后的社会人,也就是在认真对待每个人。

正是因为个人信息和个人数据有共同的认识论根基,以及共同的上位概念——人格尊严及作为其典型形态的隐私,使得部分法学研究者可能忽视了它们之间的差别,甚至常常把个人信息和个人数据互换使用,直接被当成同一个概念。然而,从概念内涵上分析,个人信息和个人数据之间的差异还是较为明显的,它们是“形”与“神”的关系。这种关系用一句话来概括就是:个人数据是个人信息的一种数字化存在形态,个人数据是“形”,个人信息则为其“神”。对于它们之间的“形—神”关系,可以从两个方面来予以详细阐述。

(一)在当今的互联网科技时代,个人数据是个人信息最主要的存在形态,离开了个人数据,个人信息就失去基本的依附而难以存在

如上所述,个人数据是一种载体,而个人信息是一种知识。所有的知识都需要借助于某种载体来呈现,因而,作为知识的个人信息离不开作为载体的个人数据。尽管传统的书本等载体在当今时代能够继续作为个人信息的载体而存在,但毫无疑问,在互联网科技时代,它们已经不再像前互联网科技时代那样属于最主要的个人信息载体。

在当今世界,个人信息最基本、最主要的载体是个人数据,通过这个现代化的载体,个人信息从收集、储存、加工、公开到分享都异常便捷高效,这是书本等传统载体所无法比拟的。而数字化的个人数据日益成为个人信息最基本的存在形态,其原因亦在于此。显而易见,物理性存在的书本逐渐失去作为个人信息重要载体的传统地位,取而代之的是个人数据。作为个人信息载体的个人数据尽管属于数字化的无体性存在,而非传统的直接可视的物理性存在,但相对于个人信息而言,它是不可或缺的载体,依然是一种有“形”的存在。一旦失去个人数据这个“形”,个人信息在很大程度上就失去了存在的载体。

(二)个人信息是作为“形”而存在的个人数据的“神”,没有了个人信息这个“神”,个人数据这个“形”就失去存在的价值和意义

如果从个人数据这种“形”中读不出任何的个人信息,即这种个人数据属于失去实质价值的无“神”存在,那这种个人数据也就是不受法律保护的真正个人数据。当然,这种个人数据事实上也是无需法律保护的伪个人数据。个人数据之所以具有价值,根本原因在于它是个人信息的电子化存在形态。如果在电脑终端上读不出个人数据中的个人信息,那这种个人数据就是徒有其“形”而无其“神”的伪个人数据。相对于个人数据,个人信息是一种本体性的、目的性的存在。个人数据则是一种工具性的存在,它是个人信息的一种数字化存在形态,是为了个人信息而存在的,它自身不是目的,这是个人信息与个人数据的重要差别所在。可以说,个人数据的价值主要决定于其所承载的个人信息。那些非重要个人信息载体的个人数据,价值就非常有限,是否需要保护都值得商榷。如何对待个人数据这个“形”只是其表,其里是如何对待个人信息这个“神”。

在个人数据和个人信息关系问题上,个人数据只是现象,个人信息才是本质。保护个人数据其实是为了保护个人信息,作为载体的个人数据本身并不重要,与隐藏其中的个人信息不可相提并论。在法学研究中,我们应该认真对待个人信息与个人数据之间“形—神”关系。既不能无视它们之间的联系,而将它们视为两个完全独立的概念,也不能无视它们之间的区别而将它们视为同一个概念。同时,这种“形—神”关系还可以从它们各自的权利话语之不同予以进一步佐证。


四、权利之辨:个人信息与个人数据的权利话语


法学界在讨论个人信息和个人数据时,重点在于如何通过立法和司法的手段,来正当有效地保护每个人的个人信息与个人数据。所以,诸如个人信息权和个人数据权等权利话语甚为流行。不少学者经常把个人信息权和个人数据权这两种权利等同视之,这背后还是对个人信息和个人数据不予辨析地混用所致。从其隐含的权利话语上看,个人信息与个人数据的差别亦显而易见。

(一)个人信息的权利话语

关于个人信息保护,大多数民法学者都主张权利论,把个人信息受法律保护解读为一种民法上的个人信息权。由此可见,个人信息权堪称法学界对个人信息受法律保护的主流诠释。此权利论当然也是最传统且最有效的法律保护模式。

不过,个人信息权只是一个统称,它由自然人在其个人信息被种种公法人、私法人处理过程中所享有的一系列权利集合而成。正是为了防范公私法人在个人信息处理过程中,可能存在的任性或滥权行为,《民法典》《个人信息保护法》等法律才赋予自然人相应的权利,以维护或救济其在个人信息上所享有或保留的权益。自然人在个人信息方面的权益既有原生性的,也有次生性的。

1.原生性个人信息权。

主要是指任何个人对于其个人信息都享有一定的自主决定权和控制权。这种自主决定权和控制权之所以不是绝对的,是因为各级政府机关等公法人出于公共管理的需要,对于管辖范围内的所有人的个人信息都可以依法行使收集、储存、使用和加工等权力,对此任何人都无拒绝的权利。比如,薪资收入信息一般都属于个人敏感信息,但面对政府税务部门查询和核实此等收入信息行为,任何人都不得以个人信息受法律保护为由而不予配合,否则,就会面临着涉嫌隐瞒收入逃避个人所得税等违法责任,法律后果严重。不过,根据《民法典》第1035条和《个人信息保护法》第5、6条之规定,公法人对个人信息的处理同样要遵循合法、正当、必要和诚信等原则,不得过度收集个人信息,同时要采取对个人权益影响最小的方式为之。公法人在处理个人信息时如果违反上述原则规定,任何人都可以通过提起行政复议、行政诉讼等方式,来捍卫其原生性个人信息权。

在私法人及非法人组织处理个人信息过程中,原生性个人信息权表现得更为圆满和彻底,甚至有些敏感个人信息如基因信息、行踪轨迹等等,可以完全排除任何私法人和非法人组织的处理行为,从而享有最为完整的控制权。当然,从日常生活中的有效沟通到经贸往来的顺利展开,都不离开基础性个人信息的提供与公开。私法人和非法人组织对基础性个人信息的处理,是时刻都在进行着的不间断过程。而这种对基础性个人信息的处理行为,往往都须经过个人同意。任何人在现实生活中都只能是社会人,“根本不存在什么个别化的人,个人从其所有关系和特征上看都是社会化的人”。而有意识地向他人和社会提供或公开自己的基础性个人信息,则是人之成为社会人的一项基本条件。

值得注意的是,在这个提供和公开的过程中,任何人都有选择的空间和权限,对于特定的私法人及非法人组织,他既可以选择不提供、不公开,又可以选择附条件地提供和公开,还可以选择无条件地提供与公开。质言之,面对特定的他人、私法人及非法人组织,任何人对其个人信息都享有较为完整的控制权。正是这种控制权意味着原生性个人信息权掌握在每个自然人手中。这种原生性个人信息权,实际上是自然人对其个人信息最初的独自占有权。而当自然人向他人、公法人、私法人及非法人组织提供或公开其个人信息时,这种独自占有状态就被打破,自然人对其个人信息的原生性控制权也自然而然随之消失,伴随而来的就是次生性个人信息权的保护问题。

2.次生性个人信息权。

对在处理个人信息过程中,出现的种种不适当甚至明显违法情形,法律应该赋予自然人采取相应反制措施的权利,以避免类似不适当或违法行为给自然人造成个人信息方面的权益侵害。自然人在个人信息方面所享有的这些权益,主要是因在处理个人信息过程中的不适当或违法行为所引起的,因此,本文称之为次生性个人信息权。

个人信息处理者不适当地甚至违法地收集、存储、使用、加工、传输、提供、公开或删除个人信息的具体情形多种多样,相应地,次生性个人信息权在内容上也就显得丰富多元。根据《个人信息保护法》的相关规定,这种次生性个人信息权主要体现为自然人享有个人信息知情权、查阅复制权、更正补充权、删除权、要求解释说明权和诉讼权等。自然人享有这些权利,就能够保护他的个人信息不但是在其“同意”的情况下被处理,而且他还能够对整个处理过程进行全程监督,以及时纠正不适当或违法的处理行为。在积极赋权的同时,《个人信息保护法》还从消极方面作了原则性规定,即“任何组织、个人不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息;不得从事危害国家安全、公共利益的个人信息处理活动”。从功能上看,这种消极限权之规定与积极赋权之规定,对自然人的个人信息权益构成了双重保护格局。

(二)个人数据的权利话语

关于个人数据保护的权利话语,我国法学界主要有两种观点:财产权说和人格权说。在个人信息与个人数据两个概念不作区分的语境下,这两种观点当然都有一定的道理。但本文恰恰是要正视并厘清两者之间的异同,故在本文的语境中,个人数据保护的对象仅仅限于储存于计算机上、作为一种特殊无体物的个人数据,而不涉及通过计算机终端设备从个人数据中所读取出来的个人信息。一旦将后者也纳入个人数据的权利话语,有关个人信息的权利话语就成了累赘。职是之故,个人数据保护的权利话语既无关乎人格,亦不涉及财产。

在个人数据权利话语中,最能彰显个人数据特性的无疑是数据携带权。正是通过计算机磁盘介质而形成并存储的方式,数据可以零成本地从一个控制者转移(携带)至另一个控制者,而且对前者不会造成任何的个人数据损失。个人数据的无体化存在形态所创造的移动携带优势,绝不是个人信息所能比拟的,数据携带权堪称人类计算机技术造就的一种颠覆传统权利形态的权利“革命”。与访问权、更正权、擦除权、限制处理权等消极防御性权利不同,数据携带权是个人对其数据的积极利用性控制权,是个人自主权在个人数据掌控上的逻辑终点。它使得个人对自身数据的掌控和利用,不再受时空环境和地域文化所左右,个人自主权的实现程度达到了前所未有的新高度。

(三)个人信息与个人数据的权利话语辨析

上述分析表明,个人信息与个人数据之间的权利话语,存在较为显著的差别。对此,还可以从具体权利类型维度予以进一步的辨析。

如上所述,个人信息的权利类型主要有个人信息的自主决定权和控制权,以及个人信息的知情权、查阅复制权、更正补充权、删除权、要求解释说明权、诉讼权等;而个人数据的权利类型主要包括访问权、更正权、擦除权(被遗忘权)、限制处理权、数据携带权等。这些具体的权利名称,能够特别直观地提示我们在权利内涵上,个人信息权与个人数据权之间不可以画等号,个人信息与个人数据并非两个内涵与外延双双等量齐观的立法术语。

尽管储存于计算机中的个人数据读取出来就是个人信息,但在权利话语中它们两者完全可以彼此独立地存在。个人数据权的权利客体是个人数据,它是一种无体物,个人信息权的权利客体是个人信息,它是一种有关个人的知识。这两种权利客体不但各自独立,而且有时候它们之间甚至不存在任何的勾连关系。当然,有时候侵犯它们中的任何一个,可能会同时对另外一个构成侵犯。比如数据处理者如果恣意将掌握的张三的个人数据传输到办公室公用计算机上,致使办公室任何人都可以通过登录该计算机而读取到张三的个人信息,而所读取出来的恰恰又是张三写给其女友的情书这种隐私性个人信息。数据处理者的此等恣意之举直接侵犯了张三的个人数据权(限制处理权),同时还间接地侵犯了张三的个人信息权。有一定比例的侵权行为同时构成了对个人信息权和个人数据权的侵犯,但也有一部分侵权行为只对它们两个中的某一个构成了侵犯。在个人信息与个人数据的权利话语上,两者存在着联系和交叉,但它们又常常以各自的权利类型独立存在。重要的是,在实践中需要具体案例具体分析,而不是不加甄别地将个人信息权等同于个人数据权。合理辨析它们之间的权利关系,乃是有效实施权利救济的前提条件。


五、结语


计算机和互联网技术的出现,使得人类进入了史无前例的“记忆工业化”和“记忆客观化”时代。为了应对记忆工业化和客观化对人类隐私造成的亘古未有之冲击,人类创设了个人信息与个人数据这样两个立法术语,并随即使之成为备受关注的法学概念,以使日益被信息化、数据化的隐私能够获得更为充分的法律保护。不管是在法学理论研究中还是司法实务中,我们都应自觉注意个人信息和个人数据两者之间的区别,认识到个人信息是一种知识,而个人数据则是一种载体。个人信息是“神”,个人数据则为其“形”,彼此是“神”与“形”的关系。个人信息的权利话语主要有个人信息的自主决定权和控制权,以及个人信息的知情权、查阅复制权、更正补充权、删除权、要求解释说明权等。而个人数据的权利话语主要包括访问权、更正权、擦除权(被遗忘权)、限制处理权、数据携带权等。两个概念在具体内涵、权利话语等方面存在较为明显的差别,不应等同视之。



    进入专题: 个人信息保护   个人数据  

本文责编:陈冬冬
发信站:爱思想(https://www.aisixiang.com)
栏目: 学术 > 法学 > 宪法学与行政法学
本文链接:https://www.aisixiang.com/data/138345.html
文章来源:本文转自《求索》2022年第5期,转载请注明原始出处,并遵守该处的版权规定。

爱思想(aisixiang.com)网站为公益纯学术网站,旨在推动学术繁荣、塑造社会精神。
凡本网首发及经作者授权但非首发的所有作品,版权归作者本人所有。网络转载请注明作者、出处并保持完整,纸媒转载请经本网或作者本人书面授权。
凡本网注明“来源:XXX(非爱思想网)”的作品,均转载自其它媒体,转载目的在于分享信息、助推思想传播,并不代表本网赞同其观点和对其真实性负责。若作者或版权人不愿被使用,请来函指出,本网即予改正。
Powered by aisixiang.com Copyright © 2024 by aisixiang.com All Rights Reserved 爱思想 京ICP备12007865号-1 京公网安备11010602120014号.
工业和信息化部备案管理系统