摘要:
相较于我国对于个人信息的规定,GDPR对于个人信息的类别有更为细致的规定,根据GDPR第九条... 从立法层面,各法域关于个人信息的定义大致相同:
1、《网络安全法》第七十六条第五款,个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。
2、《欧盟数据保护条例》(General Date Protection Regulation)(以下简称“GDPR”)第四条,个人数据(Personal Data)指任何指向一个已识别或可识别的自然人(“数据主体”)的信息。该可识别的自然人能够被直接或间接地识别,尤其是通过参照诸如姓名、身份证号码、定位数据、在线身份识别这类标识,或者通过参照对该自然人一个或多个如物理、生理、遗传、心理、经济、文化或社会身份的要素。[1]
3、《加州消费者隐私法案》(California Consumer Privacy Act)(以下简称“CCPA”)作为美国第一个应对在线隐私危机的法律,将个人信息(Personal Information)定义为能够识别、涉及、描述、能够与特定消费者或者家庭直接或间接地合理关联的信息。[2]
综合上述规定,我国《网络安全法》对于个人信息的定义更接近于GDPR,主要强调了“可识别性”(Identifiable),只要该信息单独或与其他信息相结合可以识别到自然人,则为个人信息。 CCPA用 “合理关联”(reasonably be linked)对个人信息的范围进行了限制,相比之下,在GDPR的框架下,个人信息的范围更为广泛。相较于我国对于个人信息的规定,GDPR对于个人信息的类别有更为细致的规定,根据GDPR第九条,对于特殊类别的信息(Special Categories of personal data)有更为严格的要求,包括显示种族或民族背景、政治观念、宗教或哲学信仰或工会成员的个人数据、基因数据、为了特定识别自然人的生物性识别数据、以及和自然人健康、个人性生活或性取向相关的数据,这种特殊类别的个人信息也就是敏感信息(Sensitive Data)。目前,我国在立法层面仅将信息分为非个人信息与个人信息,并未对个人信息再进行细化分类,而GDPR则是将敏感信息归为特殊类别的个人信息,并对其的使用提出了更高的要求。
在司法实践层面,鉴于法律对处理不同信息的要求不同,法院在界定某种行为是否侵犯公民作为信息主体享有的权利时,首先要确定该信息是否属于个人信息。在安徽美景信息科技有限公司与淘宝(中国)软件有限公司商业贿赂不正当竞争纠纷中,法院认为个人信息指单独或与其他信息结合识别自然人个人身份的各种信息和敏感信息,案涉“生意参谋”数据产品所涉网络用户信息主要表现为网络用户浏览、搜索、收藏、加购、交易等行为痕迹信息以及由行为痕迹信息推测所得出的行为人的性别、职业、所在区域、个人偏好等标签信息。这些行为痕迹信息与标签信息并不具备能够单独或者与其他信息结合识别自然人个人身份的可能性,故其不属于网络安全法中的网络用户个人信息,而属于网络用户非个人信息。由于《网络安全法》并未对个人信进行完全列举,法院主要依据“是否具有可识别性”来判断是否为用户个人信息,因此,在法院认为案涉数据不具备可识别自然人身份的可能性时,法院则应用《网络安全法》中对于非用户个人数据的相关规定来界定网络运营者使用该数据行为的合法性。
对于这类痕迹信息,比如Cookies,GDPR明确指出,网络设备、应用、工具、协议中留存的cookie痕迹如果具有唯一指向性,这些cookie痕迹可生成个人画像或档案从而识别到具体自然人,即具有身份识别性,此时识别到特定自然人的cookies数据即为个人数据[3]。在GDPR的框架下,大部分cookies将会视为个人数据,包括用于分析、广告及功能性服务。在上述案例中,虽然法院认为用户的行为痕迹信息与标签信息不具备能够识别个人身份的可能性,但是同步收集的IP地址、访问时间、设备信息等,仍然具有结合起来指向特定用户的可能性。
虽然《网络安全法》对于个人信息仅作出了宽泛的规定,并未对不同种类的个人信息进行逐一列举,在司法实践中,法院主要依据“身份识别性”来判断是否为个人信息。但随着立法层面对于个人信息保护制度的逐步完善,企业将会面临更高的数据合规成本,本文将对个人信息进行较为全面的列举,企业需要根据其所收集的信息种类,在现行法律框架下,确保信息收集、使用的合法化。
[1] ‘personal data’ means any information relating to an identified or identifiable natural person (‘data subject’); an identifiable natural person is one who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, an online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that natural person;
[2] information that identifies, relates to, describes, is capable of being associated with, or could reasonably be linked, directly or indirectly, with a particular consumer or household.”
[3] GDPR Recital 30 “Online Identifiers for Profiling and Identification” 1. Natural persons may be associated with online identifiers provided by their devices, applications, tools and protocols, such as internet protocol addresses, cookie identifiers or other identifiers such as radio frequency identification tags. 2.This may leave traces which, in particular when combined with unique identifiers and other information received by the servers, may be used to create profiles of the natural persons and identify them.
附件:个人信息列举表
