日本《個人信息保護法》對個人信息的界定

【摘 要】 日本在個人信息保護方面的研究肇始于上世紀70年代，在2003年頒布了專門的《個人信息保護法》，并于2015年公布了修正案。日本個人信息的概念脫胎于隱私，并與隱私相區別，在立法時創造性地引入了識別性標準，個人信息被界定為與活著的個人相關聯的且能識別出特定個人的東西。在修律的過程中，結合大數據技術的發展現實，增添了“個人識別符號”的概念以擴展個人信息的范圍。

【關鍵詞】 日本 個人信息 界定

界定個人信息，首先是要給它下一個定義，明確個人信息的概念，再以一定的標準來判斷某事物是否是個人信息，這是適用《個人信息保護法》的前提。日本在個人信息方面的研究起步早、成效顯著，且日本的《個人信息保護法》實施已有15年，較成熟的個人信息界定方法與標準對于文化相近的中國很有借鑒意義。本文主要分析日本《個人信息保護法》是如何界定“個人信息”的，希望能對我國將來立法時的“個人信息”界定有所裨益。

一、日本《個人信息保護法》對“個人信息”的界定

（一）界定的基礎：區分個人信息與個人隱私

1890年，美國的兩位法學家布蘭蒂斯和沃倫在哈佛大學《法學評論》上發表了一篇題為《隱私權》的文章，這是“隱私權”一詞首次問世。在日本，隱私權作為私法上的權利得到確認的標志性案件是1964年的“盛宴之后案件”，被作為公民基本權利對待的司法案例是1969年的“京都府學聯”案件。而“個人信息”之概念是伴隨著計算機網絡技術的應用而誕生的，1988年出臺的《關于對行政機關持有的計算機處理的個人信息加以保護的法律》，這是專門針對個人信息保護的首次國家層面的立法?？梢?，個人信息較個人隱私的產生要晚，但立法更早。在日本憲法學界，把隱私當作“自我信息管控權”的見解居于通說地位，日本憲法學者奧平康弘認為，隱私通常是指個人自由決定何時、何種方式、何種程度來向他人傳遞與自己有關信息的權利，憲法學者蘆部信喜在其著作《憲法》中這樣寫道：隱私權是消極的，不允許他人擅自干涉私人領域的自由;但信息化社會的進步，這項權利已經被認作是“對自己信息的控制權”。

但在民法領域，把保護私人法益的隱私當作“自我信息管控權”的見解卻受到強烈批評。隱私權從產生起主要就是一種精神上的人格權，對權利人隱私的侵犯往往也表現為精神上的打擊與痛苦，而個人信息既包括精神價值也包括財產價值，并且后者是主要的。雖然日本至今尚未制定有關隱私保護的專門法律，對隱私的概念、內涵沒有法定的釋義與界定，學者們在該領域也長期存在爭議，但是一個基本的共識已經形成：即隱私與個人信息的內涵有重合部分，個人信息內涵更寬廣。當時還是筑波大學圖書館信息系副教授的新保史生在其專著《隱私權與個人信息保護》中，以一張圖表精煉地概括出隱私與個人信息的關系。

（二）界定的核心：識別性

2000年9月戰略本部設置的“個人信息保護法制化專門委員會”提出了《關于個人信息保護基本法大綱草案》，2003年日本聯合執政三黨完成修正案，在個人信息的定義上引入了核心要素——識別性，只有能夠識別出對應的特定個人的信息，才屬于該法的調整范圍。換言之，即使某信息足夠重要，若無法識別到特定的人，那么該信息也就沒有權利人，也就不能對特定的人造成侵害，也就不屬于《個人信息保護法》所調整的范圍?；诖艘幎?，一時甚囂塵上的日本最大電信企業都科摩向第三方提供用戶信息的丑聞，因為無法識別到具體的個人，盡管遭到了廣大用戶的強烈反對和譴責，但并不違反“識別性”的要求，最后也未將都科摩的行為認定為侵權。

為了促進信息化時代產業的發展，2015年版的《個人信息保護法》引入了信息匿名加工的概念。匿名加工的目的是去“識別性”，本來就不具備識別性的個人信息自然不在此列，而個人信息處理業者對獲取的具備識別性的個人信息匿名加工，加工后的個人信息不再具備“識別性”，但可以通過計算機檢索為需要的第三者提供有益的數據。因此，原本就不具備識別性的信息與經過加工后喪失識別性的信息都不屬于《個人信息保護法》中個人信息的范圍。

（三）界定的考量因素：個人信息的區別對待

日本《個人信息保護法》第23條規定：個人信息處理業者除了下面列舉的情形，沒有事先獲得本人的同意，不得將個人資料提供給第三者：一是基于法令的規定;二是為了保護人命、身體及財產，有必要但又很難獲得本人的同意時;三是為了提高公共衛生、促進兒童的健康成長，極有必要卻難以獲得本人的同意時;四是國家機關、地方公共團體或接受其委托的人實施法令規定的事務，確有必要配合但如果取得本人同意可能妨礙事務的進展時。即上述四種情形下，因為涉及到的個人信息可能違法、與違法行為相關或關系社會公共利益，這時依據價值位階原則，對個人信息的保護要受到限制，所以個人信息處理業者可以未經本人的同意將獲取的個人資料提供給第三者。

再者，未公開的個人信息自然屬于保護范圍，對于已公開的個人信息日本《個人信息保護法》并沒有明確規定適應條件，筆者認為，已公開的個人信息不可一刀切，而要區別對待。依法公開的個人信息，大眾自然可以獲取，但不能違法利用，個人信息權利人主動公開的信息，也應當參照依法公開類信息進行規定;而非法公開的個人信息，大眾自然也能知悉，不可能禁止人們去獲悉已經公開的信息，信息一旦泄露就失去了秘密性，這是無法挽回的，只能對非法公布者予以懲戒。

二、《個人信息保護法》中“個人信息”的界定標準

（一）主體是活著的自然人

“個人信息”顧名思義首先是以“個人”、即“自然人”為主體，這是毋庸置疑的，但對自然人的生存狀態要求，一直存在爭議。否定說主張個人信息的主體只能是活著的自然人，1984年英國《資料保護法》規定：個人資料是由有關一個活著的人的信息組成的資料，對于這個人，可以通過該信息識別出來。英國1998年的《資料保護條例》也堅持了“活著的人”的規定。1998年瑞典《個人數據法》規定：各種可以直接或間接地和某一個在世自然人相關聯的信息?？隙ㄕf主張個人信息的主體是自然人且不論死活，如1992年歐洲理事會的《理事會數據保護條例》認為，只要這種信息與個人有關，不論是死活。日本立法采取的是第一種意見，只有活著的自然人才能是個人信息的主體，對于死者的信息，如果造成了侵權，則通過民法、侵權責任法或刑法來維權。

（二）個人信息要具備識別性

日本《個人信息保護法》將“個人信息”定義為：與活著的個人相關聯的，一切可以識別出特定個人的東西。個人信息有很強的識別性，單一的信息（如電話號碼、身份證號、指紋、血型）或者信息組合（如姓名、照片、病例、學歷、職業），只要能夠識別到具體的個人，那么就應該被界定為個人信息，就應該受到保護。在此基礎上，日本《個人信息保護法》第四章第二節特別規定了匿名加工制度，第36條第一款：個人信息處理業者在將個人信息匿名化時，為了無法識別到特定的個人以及無法恢復操作中用到的個人信息，必須根據個人信息保護委員會的規則制定的基準，加工個人信息。

識別性是個人信息保護的關鍵，具備識別性才能對應到特定的權利人，而各行各業的發展同樣會利用到海量的信息，在保護個人信息時同樣也要確保行業的平穩運行。進一步，對匿名加工的方法細化，明確權責，確保個人信息能夠充分地去識別化，又能保留有益成分為行業所利用。當個人信息還能識別到特定個人時當然是《個人信息保護法》的調整對象，當其經過匿名加工后不再具備識別性，也就不再屬于個人信息的范圍。

（三）個人信息與隱私相區分

同時滿足上訴兩個判斷標準后，也不一定就是個人信息，還要注意與隱私區分。之前已經講了個人信息與隱私的關系，兩者交叉的部分自然可以認定為個人信息加以保護，但專屬于隱私的部分則不能界定為個人信息。隱私權更傾向于消極、防御的權利，具有不愿為他人知悉的私密性，于是其利用價值也較低，比如說私生活，在救濟上也是以“亡羊補牢”為主，相比而言個人信息的范圍就寬廣得多，只要能夠識別出特定個人的身份，不論是私密的或一般性的信息都屬于其調整范圍，信息本身的屬性使其利用價值突出，于是它更多的是積極的、控制性的權利，對信息的保護也以預防為主;隱私權的內容主要包括個人的私生活安寧、個人秘密不被公開、個人私生活自主決定等，重點在一個“隱”上，而個人信息則側重于支配與利用，且與國家安全、公共利益的聯系更加緊密。

三、對中國個人信息保護的啟示

（一）兼顧個人信息權利人的利益與信息價值的發揮

在信息化時代，尤其是大數據技術突飛猛進的今天，信息就是資源，其商業價值、市場價值、社會價值、戰略價值日益凸顯并受到人們的重視，為了兼顧個人信息保護與產業發展，在界定個人信息時應盡量在二者間找尋平衡點。借鑒日本統籌兼顧、互利雙贏的立法思想，也是我國的個人信息保護的可取之道。一些國家所謂的史上最嚴個人信息保護立法、比最嚴還嚴的個人信息保護立法，幾乎都過于放大個人信息的范圍 ，過猶不及的保護使得企業的發展、甚至居民的日常生活都束縛重重。要正確界定個人信息的范圍，首先要堅持保護個人信息權益與發揮信息的有用性并重的宗旨，確?！靶畔⒈Ｗo”與“自由流通”相輔相成，不能偏廢。若個人信息的范圍過大則處處受限，若范圍過窄則肆無忌憚，將個人信息的范圍規定在一個適當的范圍才能互利共贏。

（二）注意與個人隱私的關聯

隱私權與個人信息存在著千絲萬縷的關系，兩者不是非此即彼的對立，日本最初的個人信息立法之初衷便是保護個人隱私，厘清兩者的關系是正確定義個人信息的前提。個人信息的核心要義是自決，隱私的中心則是私密，前者更傾向于財產屬性（如學歷、身份、信用、工作、消費記錄），后者則具有濃厚的人生屬性（如私生活、日記、照相薄、生活習慣、通信秘密、身體缺陷），還有一些可歸于兩者間的重合地帶（如姓名權、親屬關系、名譽權、肖像權等）。由于國內尚無專門的隱私權立法，且學界對隱私權的內涵及范圍存在爭議，那么在對個人信息界定時，有賴對隱私權的充分認識，正確厘清雙方的界限，不可使交叉重合范圍過大化。

（三）準確把握個人信息的識別性

在識別性界定模式中，個人信息是指根據信息與信息主體之間客觀存在的某一可能性，進而確定特定人身份的信息。相對于隱私性界定模式，識別性界定模式以承載個人信息的客體是否能夠被大眾或者他人所識別作為判斷個人信息的核心要素，對個人信息的界定標準亦更為明確，因此在立法上的應用更為普遍。依據識別需要的信息數量，單一的信息就能識別到特定個人的是直接識別，需要同其他信息組合才能識別到特定個人的是間接識別。大數據在運營中對個人信息的利用，為了保護權利人的利益，會通過基于數據失真的保護技術、基于數據加密的保護技術和基于數據匿名化的保護技術等技術處理，使得個人信息去識別化，保護權利人的信息不被泄露、買賣、非法使用。

結 語

個人信息保護是大數據時代與公民信息保護意識增強的迫切需要，目前我國尚無統一的個人信息保護立法，對個人信息的界定也分散，而明確“個人信息”的內涵與范圍是首要解決的問題。文化基因近似的日本在個人信息保護上已經較為成熟，《個人信息保護法》第一條就確立了“兼顧個人信息權利人的利益與信息價值的發揮”的立法宗旨，并確定了個人信息界定標準，之后分則所規定的識別性、對已公開信息的保護、特殊情況下的個人信息保護讓位都非常具有現實意義與操作性。在將來的立法中，既要借鑒日本的有益成果，也要爭取后來者居上，進一步厘清與相關概念的關系，以減少司法實踐中的歧義，在切實保護個人信息的同時也能促進產業發展。

作者簡介：鐘文博（1993—），男，漢族，四川省成都市人，法律碩士，單位：湘潭大學法學院，研究方向：行政法。湖南省湘潭市 郵編：411105