您好,欢迎光临北大公法网! 中文版|ENGLISH|老网站入口

联系我们

北京大学宪法与行政法研究中心
地址:北京市海淀区颐和园路5号北京大学法学院四合院
电话:86-10-62760063
传真:86-10-62760063
E-mail:pkupubliclaw@126.com
您当前的位置:首页 > 公众参与

大数据时代日本个人信息保护法探究

作者:张红   点击量:1315

摘  要:个人信息本来是极其隐私的事物,在大数据时代却时刻处于“裸奔”状态,时刻面临被侵犯的风险。特别在新冠肺炎疫情防控中,大数据技术发挥了重要作用,个人信息保护再次引起关注。整体而言,日本个人信息 保护法以“个人优先”与“公共优先”的宗旨博弈为出发点,以“个人信息”的概念界定为基础,以个人信息权的保护为核心,以个人信息保护机构的独立设置为落脚点,为个人信息的保护奠定了基础。我国应当积极行动起来,尽快颁布《个人信息保护法》,助力大数据时代个人信息保护和数字经济的发展。

关键词:个人信息;《个人信息保护法》;大数据时代;新冠肺炎疫情

当今社会,大数据以及与之相关的互联网、云计算、区块链等接踵而来,谓之大数据时代,它改变着社会生活的方方面面。大数据的价值在于对包括个人信息在内的海量数据的整合提升、宏观把控。现实中,个人信息侵权严重,如过度收集个人信息、擅自披露个人信息、非法买卖个人信息。在日本如此,在我国也如此。在2020年新冠肺炎疫情中,大数据技术被充分运用,诸如有效治疗药物的统计、人员流动的统计与分析。与此同时,个人信息保护也出现一些新问题,亟待法学界和立法者的关注。可以说,解决大数据时代的个人信息侵权问题迫在眉睫,个人信息保护的法律制度要随之革新并不断完善。

长期以来,日本社会逐渐形成三元法律体系。一是公法,其中实体法如宪法、行政法、刑事法等,程序法如民事诉讼法、行政诉讼法、刑事诉讼法等。二是私法,如民法典、商法典、公司法、金融商品交易法等。三是社会法,如劳动法、社会保障法、经济法、健康保险法等,也包括个人信息保护法。亦即,日本个人信息保护法突破了传统公法与私法的界限,属于社会法的范畴。本文将在大数据时代背景下,结合新冠肺炎疫情应对状况,围绕日本《个人信息保护法》(Acton the Protection of Personal Information, APPI),探讨2020年日本内阁批准修改的新法案,相应考察个人信息保护的立法体系、当代学术研究、焦点问题及典型判例,为我国立法提供有益参考。

一、日本个人信息保护立法体系考察

2003年日本参议院通过了《个人信息保护法》,同年又通过了《独立行政法人等个人信息保护法》。2017年,日本大幅度修改了《个人信息保护法》,并于2020年3月由内阁批准新的修正案,如日本议会批准则将在2021年生效。2019年,日本还修改了《独立行政法人等个人信息保护法》。[1]在此之前,日本在1999年还曾通过了《行政机关个人信息保护法》。这意味着日本构筑了一个相对完整的以《个人信息保护法》为基本法,各部门单行法补充的法律体系。亦即,对国家机关、地方公共团体、行政机关、独立行政法人等分别制定了不同的法律法规。

日本《个人信息保护法》(日语名称为:個人情報の保護に関する法律)以个人信息的有效利用及其保护为对象,确立了个人信息保护的基本理念和原则,明确了国家和地方公共团体的职责以及使用个人信息的企事业单位应履行的义务,目的在于协调个人信息的有效利用和个人权益保护之间的平衡。该法共88条,分为:总则(目的和基本理念)、国家及地方公共团体的责任和义务、保护个人信息的措施、个人信息处理业者的义务、个人信息保护委员会的职责、杂则(适用范围)、罚则(违法责任)等内容。

日本个人信息保护立法体系请见图1。

图1日本个人信息保护立法体系概要示意图(图略)

(一)日本《个人信息保护法》的立法宗旨

日本《个人信息保护法》的立法宗旨可从以下四个层面加以论证。一是适应信息社会的高速发展。大数据时代下信息社会的高度发展,难免引发个人信息侵权问题。单纯保护个人信息安全,难免阻碍信息社会的高速发展;单独推进信息社会的高速发展,又难免牺牲个人信息安全。2020年新冠肺炎疫情,日本也比较严重,相关个人信息保护与披露存在着一些新问题,更加证明日本《个人信息保护法》与其相关配套措施是正确的,可以适应信息社会的高速发展。

二是个人信息的适当处理、有效利用。“适当处理”强调个人信息处理的适当性,既非故步自封、自我屏蔽,也非毫不节制、肆无忌惮。在应对新冠肺炎疫情背景下,如何才是“适当”,众说纷纭,有待进一步判定。“有效利用”强调个人信息利用的有效性,体现利用的效果。有效也同样难以量化,如何才是“有效”,有待进一步判定。

三是对新兴产业、经济社会、国民生活的促进。新冠肺炎疫情中的个人信息保护与披露,有助于国民健康、社会发展。这是从“个人”走向“公共”的过程。强调“新兴产业”,说明了与大数据相关产业的重要性。强调“经济社会”,说明了个人信息保护与经济社会发展密切相关。强调“国民生活”,说明了个人信息保护对整个国民生活权益都有至关重要的影响。

四是充分保护个人合法权益。不得假借类似新冠肺炎疫情的名义,非法披露个人信息。具体而言,个人信息是个人合法权益的基本组成部分,保护个人信息就是为了保护个人合法权益。

(二)日本个人信息保护的立法动态

2017年日本为确保信息流通的可追溯性,[2]加强国家监管部门对个人信息一元化的管理,大幅度修改了《个人信息保护法》。

一是增加“敏感信息”概念。所谓“敏感信息”是指有关政治观点、宗教(宗教思想和信仰)、工会会员、种族和民族以及出生地和住所、医疗保健、性生活、犯罪记录信息等信息。[3]二是新增加“个人信息保护委员会”一章,即第5974条。该章主要规定个人信息保护委员会的设置、任务、职权行使的独立性、委员长、专门委员、任期、身份保障、罢免、事务局、会议、保密义务、规则制定等事项。三是增加“非法提供信息数据库罪”。所谓“非法提供信息数据库罪”是指从事个人信息处理业者或从事与其相关数据库业务的法人(包括高管人员、管理人员在内的非法人团体),为自己或第三人谋求不正当利益,而提供或盗用其业务处理过的个人信息数据库(包括对其部分或全部信息的复制、加工)的,处一年以下有期徒刑或50万日元以下罚款。[4]

2020年《个人信息保护法》修正案为迎合大数据时代技术创新的要求,防范和化解未来个人信息保护中潜在的各类风险,扩充了很多内容,如:保障个人权利;信息使用推广;扩大企业责任;强化法律处罚;增加域外适用等。其中,保障个人权利涉及权利范围、个人信息范围、第三方限制等;信息使用推广如引入“假名化信息”,但仅限于经营者内部使用,并禁止向第三方提供假名化信息;扩大企业责任如信息泄露报告、限制不正当使用;强化法律责任如增加罚款;域外适用如赋予个人信息保护委员会(PPC)更多权力、加强国际传输监管。

日本《独立行政法人等个人信息保护法》(日语名称为:独立行政法人等の保有する個人情報の保護に関する法律)是在独立行政机构对个人信息的使用日益增加的背景下制定的。该法明确了有关独立行政机构等对个人信息处理的基本事项及独立行政机构等未识别加工处理的信息,以确保独立行政机构等的正常运行。该法共54条,分为:总则;独立行政机构等个人信息处理;个人信息文档;公示、更正、停止利用;独立行政机构等非识别加工处理的信息提供;杂则;罚则;附则。

日本《行政机关个人信息保护法》(日语名称为:行政機関の保有する個人情報の保護に関する法律)主要是考虑到行政机关越来越多地使用个人信息,对如何安全准确处理个人信息(包括未识别正处理的信息)做出了明确规定,目的在于保护个人信息的同时,还要保护个人信息权益。该法共57条,分为:总则;行政机关持有的个人信息处理;个人信息文档;公示、更正、停止利用;行政机关非识别加工信息的提供;杂则;罚则;附则。

二、日本学者对个人信息保护法的研究

日本学者很早以前就以个人信息保护法为对象进行了深入调查和研究,并且已经取得了一定的成果。

关于“个人信息”的界定。一种观点认为,“个人信息”是指生存人的姓名、性别、出生日期等基本信息,即可识别出特定个人的基本信息。[5]另一种观点认为,“个人信息”除了个人基本信息以外,还包括文件、图纸或电磁记录、语音、动作或其他方法等便于识别特定个人的信息[6]。关于企业对个人信息的保护。日本有学者认为,企业掌握着大量的客户个人信息包括个人隐私,如何正确使用相关信息,[7]特别是在企业的国际化趋势之下,如何防止非法泄露,是一个极为重要的课题。

关于医学需要特别注意的个人信息。2004年,日本文部科学省、厚生劳动省、经济产业省三家政府机构,专门制定了医学研究领域个人信息的指导方针。此指导方针(日语名称为:医学研究等における個人情報の取り扱いの在り方等について2004年)遵循言论自由、尊重人权、个人信息有效利用三大原则,要求特别注意保护最前沿技术方面医学研究的相关个人信息。日本学者指出,如利用基因治疗特殊病种的有关病人信息、记录等,未经同意不能泄露给第三方,如在不得已交付第三方的情况下,要保证第三方给予适当保密管理。[8]

关于个人信息保护立法革新的建议。日本学者认为,在个人信息充分利用的同时,需要注意不经本人同意不得提供给第三方。特别是要探讨协调个人信息的一般处理与行政处理之间的信息统一、国家行政机关与地方公共团体的信息统一、个人信息处理的内涵和外延、未成年人信息的处理、基于医疗需要对个人信息的特别保护、欧美等国际其他地区有关个人信息的新动向研究、课税导入、法律执行的强化等方面的问题。[9]

关于个人信息保护立法的配套法律修改。日本学者认为,2017年《个人信息保护法》的修改,要求其他法律也随之进行配套修改。如《个人信息保护法》第15条规定,个人信息处理业者在处理个人信息时,必须尽可能将其利用目的加以特定(第1项)。在个人信息处理业者变更其利用目的时,不得超出(被合理地认定为)变更前的利用目的(具有相当关联性的)和范围(第2项)。而日本《民法》第548条规定:(1)就解除权的行使没有规定期限时,有关人员可以在规定期间内,催告该人行使解除权。如在规定期间内没有接到解除通知的,则放弃解除权。(2)因自己的行为或过失,显著毁损合同标的物或致不能返还其物时,或因加工、改造将其物变为他种物时,其解除权消灭。(3)合同标的物,非因解除权人的行为或过失而消灭或毁损时,解除权不消灭。因此,《个人信息保护法》要求个人信息处理业者变更其利用目的时,不得超出变更前的利用目的(具有相当关联性的)和范围。《民法》要求在相对期间,相对人可以催告解除权人在该期间内作出是否解除的确认。两法相互矛盾,需要加以配套修改。[10]

笔者认为,日本现有研究依然存在着三大不足需要解决:一是现有研究遍及个人信息保护法的方方面面,但没有内部的逻辑牵引,本文将从出发点、基础、核心、落脚点逐层递进加以探讨。二是由于不同国家的政治经济等背景不同,需要加强分析、探讨,但还是有很多不足。因而本文在对日本个人信息保护法论证的基础上,提出对我国的立法期许,以供参考。三是极其缺乏在大数据时代和重大疫情背景下全新思考个人信息保护的法律问题,这是世界各国(包括中日两国)都面临的问题,正是本文研究的立足点。

三、日本个人信息保护法的焦点思考

(一)以“个人优先”与“公共优先”的宗旨博弈为出发点

日本个人信息保护法有四个基本宗旨,但归根到底是“个人优先”与“公共优先”的宗旨博弈问题,在《个人信息保护法》2020年修正案拟定过程中也有很多讨论。目前日本存在两种倾向,即“个人优先”与“公共优先”。其中,个人优先论注重个人权益保护,在个人利益与公共利益发生冲突时,以个人权益保护为要。公共优先论有利于公共发展需要,在个人利益与公共利益发生冲突时,以公共利益为要,尤其注重保护新兴产业(包括与大数据相关的产业)发展。

从个人优先出发,需要考虑特定的个人信息,日本称为“敏感信息”。这是2017年修改《个人信息保护法》时增加的新概念,即需要事先取得用户同意。这里可以列举很多种情形,如种族、信仰、社会身份、病历、犯罪经历、受害事实、对本人的不当歧视、偏见等。上述情形很多属于个人隐私,却容易为人窥探。对具体个人而言,上述情形既不方便向社会透露,也不愿意向社会披露。如果相关信息泄露,对个人的身体和精神都将造成极大的创伤。2020年《个人信息保护法》修正案有严格限制向第三方进行信息披露的倾向,体现了个人优先。

从公共优先出发,一般个人信息则以限制滥用为原则。2020年《个人信息保护法》修正案加大罚款力度,如法人团体违反PPC命令则处以最高罚款1亿日元,体现公共优先。另外,公共优先存在特殊规定。一是基于法律的明确要求,必须如实提供,如行政人员查询等。二是充分保护人身、财产安全,不能存在丝毫懈怠,如受灾信息等。三是考虑公共卫生、儿童健康等。2020年新冠肺炎疫情相关的个人信息披露中,从考虑公共卫生出发,充分运用大数据技术,坚持“公共优先”,全面提高疫情防控的整体效能。四是加强行政事务合作,履行公民义务,如政府调查等。

(二)以“个人信息”的概念界定为基础

大数据时代的呼唤,聚焦于信息的删除、管理、共享、披露,考虑是否可检索、检索便捷性等要素,必须保护好个人信息。这就要界定好“个人信息”这一基本概念。“个人信息”的概念界定,基于日本《个人信息保护法》的第2条。“个人信息”是能够识别出个人特征的信息,如山田太郎户口本(日语名称为:居民票)公开的姓名、生日、住址等基本信息,还有以身体特征为标识、以个人号码为标识等个人信息,以及与其他信息结合形成的个人信息。2020年《个人信息保护法》修正案又引入“假名化信息”概念,禁止非法向第三方提供假名化信息。“个人数据”是由个人信息构成的数据,如名片的姓名、公司名称、公司地址、电话号码等印刷出来的信息。用特定软件保存、读取个人信息,即用某种检索方法得到的个人信息,称为“个人信息数据库”。从“个人信息”到“个人信息数据库”示意图请见图2。

图2从“个人信息”到“个人信息数据库”示意图(图略)

目前,大数据技术很发达,容易将个人信息数据化。例如,使用“人脸识别软件”识别到的人脸信息,或经过加工的个人数据,不能轻易提供给第三方。又如,监控摄像头虽然不是个人数据,但是录有个人的影像信息,不经有关方同意,不能轻易检索当天的录像内容。监控摄像头一定时间内拍摄到的影像信息,很快就会自动导入数据库,缺少个人隐私保护。换句话说,这很容易违反个人信息保护法。再如,医疗方面的“个人信息”,如残疾、智力(精神)障碍等检查结果在什么时候需要披露到哪个程度,都是值得研究的。

另外,基于疫情防控需要,对外披露的不同主体的“个人信息”的范围存在明显区别,如正在接受治疗的确诊患者、疑似患者、已治愈者,相关人员需要提供之前的行踪、生活地点、接触者信息等。因而,由此集成的“个人信息数据库”一般是有目的地在一定范围内加以使用或保护。日本《个人信息保护法》尤其强调要保护“个人信息数据库”,不能轻易“提供给收集个人信息的第三方”,一旦“第三方”要求提供某种数据时,一定要经过当事人同意,否则就违反个人信息保护法。事实上,向第三方提供个人信息,涉及“识别”这一概念,这在2020年《个人信息保护法》修正案中得到体现。

(三)以个人信息权的保护为核心

日本个人信息保护法需要确立一种基本权利,从新冠肺炎疫情防控也可以看出,个人信息保护与披露必须明确规定,从维护个人权益的高度加以认知,所以个人信息权的确立迫在眉睫。无论《个人信息保护法》是否明确表达,个人信息权始终应当从应有权利走向实有权利。个人信息权不是一般的财产权、物权,因为其具备一般财产权、物权没有的人身属性。个人信息权也不是一般的人身权,因为其具备一般人身权没有的财产属性。个人信息权也不是知识产权可以涵括的,它超出智力成果的直接权利范畴。因而,个人信息权必须独立,且能够独立成为一种明文规定的权利。

大数据时代之下,个人信息权的独立,必须有独立的主体。与前文对应,在新冠肺炎疫情防控之中,个人信息权的主体要考虑正在接受治疗的患者、疑似患者、治愈者等不同情况。个人信息权的主体是个人,“个人”意味着个人信息权本身并非集体所有、国家所有,而是个人所有。“个人”并非单方面凸显个人本位,也非自私自利,只是主体的特定化而已。“个人”的信息权最终要落实到具体人,不能是抽象的、模糊不定的。

大数据时代,个人信息权的独立,必须具有相应的权利内容,包括:一是个人信息收集,即“个人”有权利决定个人信息的收集,因新冠肺炎疫情防控需要利用大数据技术收集个人信息则属法定允许情形。二是个人信息查询,即“个人”有权利决定个人信息的查询。三是个人信息利用,即“个人”有权利决定个人信息的利用。新冠肺炎疫情防控中,对于相关个人信息的利用必须是为了疫情防控本身,不得用于商业目的。四是个人信息更正,即“个人”有权利决定个人信息的更正。五是个人信息传输,即“个人”有权利决定个人信息的私密传输,尤其是大数据时代下惊人的传输量,提出相应的权利诉求。个人信息的传输请见图3。六是个人信息披露,即“个人”有权利决定个人信息的公开披露,在大数据时代尤其要考虑披露方式(2020年《个人信息保护法》修正案全面引入电子方式)、披露范围,因2020年新冠肺炎疫情防控需要而披露某些个人信息则属法定允许情形。七是个人信息删除,即“个人”有权利决定个人信息的删除。八是个人信息被遗忘,新近又延伸出“被遗忘权”的概念,但事实上“被遗忘权”应当是个人信息权下面的子权利。总之,上述内容只是不完全列举,在大数据时代是远远不足的。个人信息权的权利内容将越来越广泛,《个人信息保护法》应当充分考虑这些崭新诉求并有所回应。

(四)以个人信息保护机构的独立设置为落脚点

考虑到个人信息的有效利用,日本专门设置一个确保正确处理个人信息的最高机构,即个人信息保护委员会。个人信息保护委员会的设立目的与个人信息保护法的立法宗旨一致,即:适应信息社会的高速发展,个人信息的适当处理、合理有效利用,对新兴产业、经济社会、国民生活的促进,充分保护个人合法权益。个人信息保护委员会行使职权具有独立性,包括基本方针政策及其宣传推广、国际交流合作、监督管理、上访处理等职能。个人信息保护委员会工作概要请见图4。

个人信息保护委员会设立委员长1名、常务委员4名、非常务委员9名。其中,常务委员分别主管如下事务:制定个人信息保护的有关政策及监督、指导、宣传,个人信息技术处理(如 AI、信息处理技术),本国公民的个人信息保护与处理、监管,国际信息交流(如与欧美国家保护隐私机构的沟通)。对相关成员的具体要求包括保护个人信息、保障消费者相关权益、信息处理技术知识、行政领域相关知识、民间企业相关实务经验等。

图3 个人信息传输示意图(图略)

图4 日本个人信息保护委员会工作概要示意图(图略)

可以预见,在大数据时代和新冠肺炎疫情防控的背景下,2020年《个人信息保护法》修正案将赋予个人信息保护委员会更多的职责,使其在个人信息保护中发挥更为重要的监管作用。

四、日本个人信息保护相关典型判例的类型化适用

(一)有公开披露义务的必须依法披露

1.借贷案

以下以借贷案[日语为:貸金業者の取引履歴開示義務違反が認められた例(損害賠償控訴事件)]为例探讨特定披露问题。[11]原告委托律师作为代理人,以整理财务为理由,向借贷从业者X股份有限公司提出了公开交易信息的要求。X股份有限公司要求代理人提供委任状和印章注册证明书或者身份证明,最终拒绝了提供交易信息。因此,原告认为X股份有限公司行为构成违法行为,向其受托人提出了损害赔偿。一审中,法院判决X股份有限公司违反了公开交易信息义务,X股份有限公司不服进行上诉。二审驳回上诉,认定被告公司存在违反公开交易信息义务的行为。最高法院判决,除了出现特别情形以外,借贷从业者根据借贷从业法中相关合同的规定,负有公开交易信息义务。而被告公司拒绝提供交易信息的行为,违反了公开交易信息义务。

本案的焦点在于如何认定“特别情形”的具体内容,X股份有限公司以《个人信息保护法》和相关从业守则(正在修改)为依据拒绝提供公开信息。法院认定X股份有限公司违反交易信息公开义务的根据是,《个人信息保护法》第29条中,个人信息处理业者在接到本人请求后,除其他法令规定的特别情形之外,处理业者应立即在必要的范围内展开调查。但是,原告委托代理律师请求的行为依照相关行业实务惯例,并不属于上述特别情形之内,对于代理律师相关手续的改变是没有必要的。对于特别情形,该条规定除了滥用的情形之外,还有在短时间内反复要求公开的情形。

总之,关于“特别情形”的例外认定,是大数据时代个人信息特定披露亟需关注的问题。

2.交通事故案

以交通事故案(日语为:損害賠償等請求控訴事件)为例探讨依据法定程序披露。[12]A (原告)在发生交通事故后,在医生B所开设的诊所(被告)接受了治疗。此后,被告向负责调停该交通事故的简易仲裁所提供了相关诊断书,原告主张被告侵害了其个人隐私,构成了违法行为,要求被告对其进行精神损失补偿。在第一审中,法院驳回了原告的请求。在二审中,法院仍然驳回了上诉人的请求。

判决理由如下,被告的行为属于《个人信息保护法》第23条(向第三者提供个人数据的限制)规定的特殊情形中的“为执行法令规定的事务而提供必要协助”。被告向有关机构提供相关带有个人隐私信息的文件书类,也是根据文书递交嘱托制度的法令而进行的,递交嘱托行为,属于公共社会责任,目的在于正确和有效地解决民事纠纷,具有公益性,是一种正当行为。

总之,何为“法定机构”,何为“法定程序”,解答这一问题在大数据时代必须以“公益性”为依托。

(二)不属于公开披露的不得披露

1.教育开发公司案

以教育开发公司案[日语为:業務委託先の従業員の不法行為と委託元の責任(ベネッセ個人情報流出事件)(損害賠償請求事件)]为例探讨的是:内部人员违法披露个人信息,应由所属单位对外承担管理责任。[13]从事教育开发的公司Y1(被告1)于2012年4月,为了汇总分析顾客所授权使用的个人信息,委托关联公司Y2(被告2)进行系统开发、运用和维护等业务。Y2公司又将其中一部分业务委托给其他多家公司进行再委托。Y2委托的公司又委托公司中的员工A,于2012年4月左右开始,在Y2公司(东京分公司办公室)获取了上述个人信息系统数据库的访问账号,并使用Y2提供的工作用电脑从事该系统的开发等工作。

2013年7月左右开始至2014年6月27日为止,员工A在上述东京分公司办公室将本案件的个人信息数据窃取出来,不仅将该数据存储在上述工作用电脑上,还通过安卓手机的MTP (媒体传输协议)传输方式,保存进自己的个人手机的内置存储器中。然后,A将通过不正当方式获取的个人信息数据的全部或部分卖给了三家个人信息收集公司。鉴于员工A这一系列的行为造成了个人信息(姓名、性别、生日、住所、电话号码、邮件地址、预产期、未成年人抚养者的信息等)的泄露,原告X(462人)向Y1和Y2提出了诉讼,要求赔偿损失以及承担律师费。

综上所述,Y2公司对于员工A的故意违法行为负有管理责任。根据员工A的业务状态,确定 Y2公司和员工A是实质性的领导监督关系,本案件里的个人信息受法律保护,个人信息贩卖行为与其取得信息的契机有紧密的关联。Y2公司让员工A签署了信息保密的同意书,进行了上岗前信息安全研修以及上岗一年后的信息安全复训,因此虽然满足了《个人信息保护法》第20条(安全管理措施),但违反了第22条(对被委托人的监督),构成公司对员工A在工作上监督的失职。

总之,对“管理责任”的界定与适用,必须持续关注,才能有助于大数据时代对外披露禁止的研究。

2.医院案

以医院案[HIV感染不告知を理由とする採用内定取消しと当該情報の目的外使用の違法性:北海道社会事業協会事件(損害賠償事件)]为例探讨违法公开披露。[14]

HIV感染者(原告)在一家北海道内的医院(被告)获得了应聘的内定资格,但此后被告被取消了内定的资格。取消内定资格属于违法行为,被告主张上述医院在治疗范围以外使用原告相关的个人信息,属于侵权行为。

判决认为:第一,社会上对HIV感染的偏见和歧视仍然根深蒂固,HIV感染者的个人信息应具有极高的保密度,在处理时需要非常谨慎。原告在通过HIV抗病毒药检的情况下,免疫机能维持良好。主治医师诊断原告不影响本职工作,无须担心在工作场所感染他人,原告并没有义务向被告报告HIV感染的事实。第二,被告医院违反了《个人信息保护法》第16条,在未经原告同意的情况下在超出原有特定医疗目的范围,擅自使用并泄露原告的个人信息,构成违法行为。第三,被告医院的一系列行为,可能导致患者质疑医疗机构的使命,助长对HIV感染者的歧视和偏见,这将导致患者对医疗机构失去信任。

总之,偏见歧视、超过特定利用目的、不当履行社会使命等是构成大数据时代违反个人信息保护法的重要元素,值得深思。

五、结语:对中国的立法期待

2020年新冠肺炎疫情发生之后,大数据技术在中国疫情防控过程中发挥了重要作用,其中包括个人信息的合法收集和披露。与此同时,大数据运用在疫情防控中也会造成对个人信息的某些非法侵犯。因而,在妥善处理新冠肺炎疫情之后,个人信息保护立法问题必将得到更为广泛的关注和期待。大数据时代,中国必须积极行动起来,早日颁布《个人信息保护法》。

其一,关于体例设计。参考日本立法,结合目前大数据发展状况,中国《个人信息保护法》可分为总则、个人信息权保护措施、个人信息保护特别组织、个人信息保护监督管理、法律责任、附则。在此基础上,有必要制定完善配套的法律法规,如《民法典》的相关篇章之中详细规定个人信息保护问题,加强现有《刑法》的严格规制(如侵犯公民个人信息罪)并制定明细的司法解释。

其二,关于立法宗旨。参考日本立法,结合目前大数据发展状况和疫情防控实践,中国《个人信息保护法》的立法宗旨应当以维护个人合法权益为要,体现个人利益与集体利益、社会公共利益、政府利益、国家利益的有机统一,在“个人优先”与“公共优先”之间实现动态平衡。基于此,必须明确规定例外情形,如国家安全、政府管理(如征税)、公共安全(如公共疾病)、学术研究、涉及违法犯罪。

其三,关于基本概念。与日本立法类似,结合目前大数据发展状况和疫情防控实践,中国《个人信息保护法》必须明确“个人信息”的概念,并在相关配套的法律法规之中同样适用。“个人信息”的概念可以采用归纳法与列举法并行的方式。归纳法是强调能够识别个人身份的各类信息,列举法则在归纳法的基础上具体列举,如姓名、出生日期、证件号码、电话号码、个人生物识别信息等。

其四,关于法律原则。参考日本立法,结合目前大数据发展状况和疫情防控实践,中国《个人信息保护法》必须在总则之中规定个人信息保护的法律原则。一是知情同意原则。与之对应,必须在具体条文之中详细规定何为“情”。二是目的明确原则。目的主要指使用目的,即使用个人信息的目的要明确。三是安全使用原则。“安全”既要考虑个人安全,也要考虑公共安全。

其五,关于个人信息权。考虑全世界的立法潮流,结合目前大数据发展状况和疫情防控实践,中国《个人信息保护法》必须明确规定“个人信息权”,作为该法的基本权利。个人信息权包括信息收集、信息查询、信息利用、信息更正、信息传输、信息披露、信息删除、信息被遗忘等诸多内容。

重视个人信息保护是大数据时代的全球趋势,无论中国或日本,皆如此。法律是保护个人信息的基本手段,制定具有本国特色的《个人信息保护法》势在必行。在新冠肺炎疫情防控的背景下加强个人信息保护研究,更具有深远的理论价值和实践意义。保护个人信息,是为了更好地保障公共卫生、促进社会福利。从本质上讲,个人信息保护和疫情防控、公共卫生、社会福利是高度统一的。本文从日本个人信息保护法着眼,为中国立法提供某些启迪。基于当今社会的大数据趋势,个人信息保护是恒久话题,无疑提供了中日学术交流的巨大空间。

注释

基金项目:本文为2018年国家社科基金重大项目“大数据法制立法方案研究”(18ZDA136)的阶段性成果。

[1]参见日本法务省专员, 「情報公開·公文書管理·個人情報保護」,载http://www.moj.go.jp/disclose_index.html,最后访问时间:2020年3月26日。

[2]曾我部真裕「個人情報保護法とメディア」マスコミ倫理695号(2017年)2頁参照。

[3]渡邉雅之『これ一冊で即対応平成29年施行改正個人情報保護法Q&Aと誰でもつくれる規程集』第一法規(2016年)80頁参照。

[4]ITメディア「改正個人情報保護法案が閣議決定データベース提供罪創設『ビッグデータ』活用へ規定整備」,载 https://wwwi.tmedia.coj.p/news/articles/1503/10/news143.html,最后访问时间:2020年4月12日。

[5]佐藤一郎「ビックデータと個人情報保護法データシェアリングにおけるパーソナルデータの取り扱い」情報管理58号(2016年)828-834頁参照。

[6]Ikuko Komachiya「ぼ頁ち参ぼ照。ち改正個人情報保護法を読む2条(定義:個人に関する情報·個人識別性)」 Information Law(2017年)10頁参照。

[7]川口嘉奈子「個人情報保護法で保護されないプライバシーに対する企業による配慮の重要性」(人)概念の再検討(2015年)25-36頁参照。

[8]米村滋人「医学研究における個人情報保護の概要と法改正の影響」NBL1103号(2017年)6-15頁参照。

[9]関啓一郎「特集:いよいよ本格化するパーソナルデータの利活用―――個人情報保護法とその10年ぶりの改正について」知的資産創造(2015年)6-29頁参照。

[10]板仓阳一郎、寺田麻佑「個人情報保護法改正案及び民法(債権法)改正案の利用規約及びプライバシーポリシーにおける個人情報取扱条項への影響」IPSJ SIG Technical Report(情報処理学会研究報告)14号(2015年)68頁参照。

[11]松井智予「貸金業者の取引履歴開示義務違反が認められた例」ジュリスト1404号(2010年)132頁参照。

[12]柳井圭子「裁判所の文書送付嘱託と個人情報保護法」年報医事法学24号(2009年)126頁参照。

[13]石橋秀起「業務委託先の従業員の不法行為と委託元の責任(ベネッセ個人情報流出事件)」新·判例解釈Watch 25号(2019年)73頁参照。

[14]小西康之「HIV感染不告知を理由とする採用内定取消しと当該情報の目的外使用の違法性:北海道社会事業協会事件」ジュリスト1538号(2019年)4頁参照。


作者简介:张红,日本国立冈山大学法学部教授。

文章来源:《财经法学》2020年第3期。

敬请关注
博雅公法