个人信息的类别划分

第二节　个人信息的类别划分

一、个人信息类别的行政划分

鉴于个人信息种类繁多、范围广泛的实际情况，我国台湾地区个人信息主管机关为了方便管理，将个人信息划分为以下类别:

(1)识别类:姓名、地址、电话号码、电子邮件地址、银行账户或信用卡号码、身份证及护照号码等。

(2)特征类:年龄、性别、身高、体重、抽烟喝酒等嗜好特征、个性等。

(3)家庭情形:婚姻状况、离婚记录、子女人数、家庭成员和朋友关系、社会交往等。

(4)社会情况:住家状况、租金、财产、移民情况、休闲旅游活动、参与慈善或其他志愿团体记录、职业等。

(5)教育、技术或其他专业:教育程度、专长、学位以及在校记录等。

(6)受雇情形:职务、工作地点、工作内容、工作经历、薪资、工作记录、工会成员资格等。

(7)财务细节:收入所得、投资情况、负债情况、信用等级、财务交易记录等。

(8)商业信息:参与商业种类、与营业有关之执照等。

(9)健康与其他信息:健康记录、肇事记录、犯罪嫌疑、政治意见、政党、宗教信仰等。

(10)其他各类信息:包括所有其他未列入以上分类的个人信息。

以上这些分类，其目的在于行政管理的方便，而不在于为个人信息设定范围。只要满足识别性要件的个人信息，就算不在这些分类之中，也同样可以受到法律保护。

二、个人信息类别的学理划分

根据不同的标准，笔者将个人信息划分为以下不同的类别。

(一)直接个人信息和间接个人信息

根据能否直接识别自然人为标准，个人信息可以分为直接个人信息和间接个人信息。直接个人信息是指可以单独识别本人的个人信息。间接个人信息是指不能单独识别本人但和其他信息结合可以识别本人的个人信息。在立法上，有国家和地区并不主张对间接个人信息进行保护。我国台湾地区“法务部”曾认为，关于电话号码、电子邮件地址等信息，由于尚不足以识别个人，因此不属于受保护的个人信息。但是，由于电话号码或电子邮件地址与其他信息相互结合后，往往成为足以识别特定个人的信息(例如电子邮件之地址中可能有本人姓名)，因此将适用个人资料保护法。^[6]《挪威资料法》明确地将间接个人信息纳入保护法的范围，其第1条规定:“能间接地确认本人的资料构成个人资料。”划分直接个人信息和间接个人信息的目的在于:第一，法律保护的不仅是直接个人信息，还保护间接个人信息;第二，对直接个人信息的侵害可能导致更为严重的后果;第三，对于不能构成间接个人信息，更不可能构成直接个人信息的那些信息，法律不予纳入个人信息保护法予以保护。

(二)敏感个人信息和琐细个人信息

以是否涉及个人隐私为标准，个人信息可以分为敏感个人信息和琐细个人信息。敏感个人信息是指涉及隐私的个人信息。在社会生活中，判断一个信息是否构成敏感个人信息并不容易。有时候，由于这些信息和个人的关系过于松散，而使得人们对它能否构成个人信息产生争议。比如一个人购买性生活用品的信息被泄露，就可能导致两种判断结果:一种争论说产品主题(性)和购买者人身(性格和倾向)的联系过于松散，并不必然意味着购买者本人使用这种产品，因此此信息不构成购买者的敏感信息;另一种意见则认为，购买者的“品位”和“倾向”是由他的生活反映出来的，他购买的商品是他本身个性和倾向的最好的例证，因为一般情况下，我们只看到他人购买商品，而不可能看到商品的使用，因此，该信息属于购买者的敏感信息。笔者认为，仅仅一次的交易记录或许不能说明购买者的个人喜好，但并不是说不构成敏感信息，如果这个信息的确指向了该购买者，那么它就是购买者的敏感个人信息，如果购买者的购买行为的确是出于偶然，也就是说交易记录的敏感内容并不指向购买者本人，那么，它就不是购买者的敏感个人信息。

根据《英国资料法》的规定，敏感个人信息是指有关种族或道德起源、政治观点、宗教信仰或与此类似的其他信仰，工会所属关系、生理或心理状况、性生活、罪行以及与此有关的诉讼等诸如此类的个人信息。

《英国资料法》第2条是关于敏感个人信息的规定。根据该条的规定，敏感个人信息包括:

(1)信息主体的种族起源;

(2)信息主体的政治观点;

(3)信息主体的宗教信仰或者其他类似信仰;

(4)信息主体是不是工会成员;

(5)信息主体的身体或精神健康状况;

(6)信息主体的性生活;

(7)信息主体的罪行或被指称的罪行;

(8)针对信息主体进行的刑事诉讼以及法院的判决。

2003年的《爱尔兰资料保护(修正)法》第2条规定，敏感性个人资料是指关于如下的个人资料:

(1)资料主体的人种或种族起源、政治观点、宗教或哲学信仰;

(2)资料主体是否为工会成员;

(3)资料主体的身体、精神健康状态或性生活;

(4)资料主体的犯罪行为或者受指控犯罪的任何诉讼，诉讼的处理过程以及就此过程法院做出的判决。

由上述可见，不同的文明和不同的法律渊源导致各国立法对敏感个人信息的规定并不相同。英国法和爱尔兰法均将信息主体的罪行或被指控的罪行以及针对信息主体进行的刑事诉讼以及法院的判决列为敏感个人信息，而另一些国家并不把这些列为敏感个人信息，如美国。美国法关于敏感个人信息保护的一个显著特征是更加注重对个人经济关系的保护，特别把“贸易组织的成员资格”列为敏感个人信息。

琐细个人信息是指不涉及隐私的个人信息。琐细资料同样应该受到个人信息保护法的保护。许多看上去并不重要的个人信息，如果经过用心收集整理，也能够组成一幅人格图，就如同利用万花筒拼图一样。因此，不应该简单以个人的某种利益(如隐私)为保护法确定范围，而应该对个人信息给予全面保护。

根据《瑞典资料法》的规定，很明显的没有导致被记录者的隐私权受到不当侵害的资料为琐细资料。德国联邦法院在1983年的《人口普查法》判决中宣称，在自动化资料处理的条件下，不再有所谓不重要的资料。挪威资料法规定，收集和处理不需要经过国王许可的资料为琐细资料。《瑞典资料法》在1979年修正后规定(第2条)，琐细资料的处理不需要经过资料检察院的许可。

法律划分琐细个人信息和敏感个人信息的目的在于二者的保护方式与程度不同。一般而言，对琐细资料的收集和处理可以不经过许可制度。与此相反，法律对敏感个人信息的收集和处理，一般需要给予特殊保护。法律区分敏感个人信息与琐细个人信息另一目的在于法律可能对收集、处理和利用敏感个人信息强加某些特殊的限制条件，从而对敏感个人信息给予更高的注意以及特殊保护。许多国家和国际立法文件禁止处理敏感个人信息，或者是对敏感个人信息的处理规定了十分严格的处理条件。

(三)电脑处理个人信息与手工处理个人信息

以个人信息的处理技术为标准，可将个人信息划分为电脑处理个人信息与手工处理个人信息。电脑处理个人信息是指使用电脑或自动化机器输入、储存、编辑、更正、检索、删除、输出、传输或进行其他处理的个人信息。手工处理个人信息是指不适合电脑处理和尚未进行电脑处理的个人信息。

将个人信息划分为电脑处理的个人信息和手工处理的个人信息的法律意义在于，电脑处理的个人信息更容易受到侵害。有很多国际组织和国家的个人信息保护法仅适用于电脑处理的个人信息，而将手工处理的个人信息排除在保护法的范围之外，尤其是在个人信息保护的初期阶段。《欧洲议会公约》定义:(资料保护是)指对于个人在面临关于其个人信息之自动化处理时，所给予之法律上保护。我国台湾地区的立法更直接以“电脑处理个人资料保护法”来命名。从全球范围看，最初制定个人资料保护法的国家和国际组织在保护的资料范围上均倾向于技术特定主张，而随着人们对个人资料保护认识的加深，越来越多的国家和国际组织转而采用技术中立的主张。所谓技术特定，是指在个人资料保护范围问题上，以特定技术作为标准而对个人资料进行划分，并区别对待。这种主张认为，在资料自动化处理情况下，人格遭受前所未有的威胁，于是产生了对个人资料加以专门保护的法律。因此，个人资料保护的对象应该限于自动化处理的个人资料，对非自动化处理的个人资料不应给予专门保护。1977年的《德国资料法》是技术特定立场的反映，其对个人资料的保护仅限于自动化处理。与技术特定相反，技术中立主张对个人信息进行同等保护，不因处理技术不同而对个人信息作区别对待，主张将采用任何技术手段的个人信息均纳入个人信息保护法的保护范围。经过1990年的修正，《德国资料法》放弃了以自动化技术作为标准加以限制的规定，采纳了技术中立的主张，对个人信息给予全面保护。

(四)公开个人信息和隐秘个人信息

以个人信息是否公开为标准，可以将个人信息分为公开个人信息和隐秘个人信息。公开个人信息是指通过特定、合法的途径可以了解和掌握的个人信息。我国台湾地区“资料法施行细则”第32条3项规定，“电脑处理个人信息保护法”第18条第3款所称已公开之资料，指不特定之第三人得合法取得或知悉之个人信息。隐秘个人信息是指未向社会公开的个人信息。将个人信息划分为公开个人信息和隐秘个人信息的法律意义在于公开个人信息，无论是否属于敏感个人信息，都已经丧失了隐私利益，不能取得敏感个人信息的特殊保护。

1998年，《英国资料法》第59条关于“信息的机密性”条款中规定，现任或曾任委员、委员助理或委员代理人的人，不得披露还没有从其他来源公开的信息。

《德国资料法》关于“资料的储存、变更和利用”条款规定，自一般公众可以获得的个人信息或已公开的个人信息，可以进行目的外的储存、变更或利用，除非信息主体显然享有值得保护的重大利益。

我国台湾地区“资料法”第18条规定，非公务机关对于“已公开之资料且无害于当事人之重大利益者”，可不适用目的特定原则。也就是可以进行目的外处理。

《荷兰资料法》也对已经公开的个人信息做了规定，依照此规定，该法对个人敏感信息的特殊保护不适用于已经公开的个人敏感信息。

(五)属人的个人信息和属事的个人信息

以个人信息的内容为标准，个人信息可以分为属人的个人信息和属事的个人信息。属人的个人信息反映的是本人的自然属性和自然关系，它主要包括本人的生物信息。属事的个人信息反映的是本人的社会属性和社会关系，它反映的是信息主体在社会中所处的地位和扮演的角色。

(六)客观个人信息和主观个人信息

以个人信息的主观属性和客观属性为标准，个人信息可以分为客观个人信息和主观个人信息。客观个人信息是反映信息主体的客观方面的个人信息;主观个人信息是反映信息主体思想的个人信息，即思想的表达和意图的表达。联合国1966年批准的《公民权利和政治权利国际公约》第18条规定:“表示自己的宗教或信仰的自由，仅只受法律所规定的以及为保障公共安全、秩序、卫生或道德或他人的基本权利和自由所必需的限制”。《世界人权宣言》第18条规定:“人人有思想、良心和宗教自由的权利;此项权利包括改变其宗教或信仰的自由，以及单独或集体、公开或秘密地以教义、实践、礼拜和戒律表示其宗教或信仰的自由。”第19条规定:“人人有权享有主张和发表意见的自由;此项权利包括持有主张而不受干涉的自由，和通过任何媒介和不论国界寻求、接受和传递消息和思想的自由。”因此，在基本人权意义上来说，反映信息主体思想表达和意图的主观个人信息的重要性远远大于客观个人信息。值得注意的是，主观个人信息既包括信息主体的主观表达，也包括他人对信息主体的评价。无论是正确的评价还是错误的评价，都可能构成个人信息的一部分。

区分客观个人信息和主观个人信息的法律意义在于，法律对个人信息进行全面保护，不仅仅应该保护客观个人信息，还应该保护主观个人信息。《英国资料法》第1条规定，个人资料是指可以直接或者间接识别一个活着的人所有资料，包括个人观点的表达、个人意图的表达等。

另外，按照不同专业领域，个人信息还可以分为纳税信息、福利信息、医疗信息、刑事信息、人事信息和户籍信息等，具体的保护方式不同，并且在立法方面呈专业化的发展方式。《欧洲议会公约》颁布后，部长委员会针对不同的专业领域的个人信息保护提出了许多建议案，如《自动化医疗资料库建议案》、《为科学研究与统计用之个人资料保护建议案》、《为直销用之个人资料保护建议案》、《为社会安全之个人资料保护建议案》、《警察部门使用个人资料保护建议案》、《就学个人资料建议案》等。我国台湾地区各大专业领域在“资料法”的基础上针对自身专业领域以及处理个人信息的特点，纷纷出台了各类规则。其中有“医院计算机处理个人资料登记管理办法”、“征信业电脑处理个人资料办法”、“金融业申请电脑处理个人资料登记程序许可要件及收费标准”、“证券业暨期货业申请电脑处理个人资料登记程序及收费标准办法”、“大众传播业电脑处理个人资料管理办法”等。

【注释】

[1]戴恩·罗兰德、伊丽莎白·麦克唐纳著，宋连斌、林一飞、吕国民译:《信息技术法》(第二版)，武汉大学出版社2004年版，第315～318页。

[2]汤擎:《试论个人资料与相关法律关系》，《华东政法学院学报》2000年第5期，第45～69页。

[3]王郁琦:《NII与个人数据保护》，《信息法务透析》1996年第1期，第34～68页。

[4]参见FEDERAL DATA PROTECTION ACT of December 20，1990(BGBl.I 1990 S.2954)，amended by law of September 14，1994(BGBl.I S.2325).载http://www.datenschutz-berlin.de/gesetze/bdsg/bdsgeng.htm.

[5]罗明通、林志峰、李菁蔚等:《电脑法(下)》，群彦图书股份有限公司1984年版，第494页。

[6]周胜邻:《我国ENUM注册政策及服务模式规划》，http://www.twnic.net.tw/file/TWNIC-DN-92001.doc，访问日期2005年5月6日。