个人信息的法律界定

第三章　个人信息的法律界定

而什么样的个人信息应该保护是制定个人信息保护法的基础问题。个人信息保护法的个人信息范围仅限于得以固定和可以处理的信息，也就是数据库中的个人信息。个人信息是一个有着特定内涵的法律概念，它是指可以直接或间接识别本人的信息。从法律性质上看，个人信息属于人格利益的一种，是人格权的客体。一般情况下，个人信息的主体仅限于自然人，不包括法人。在个人信息法的保护对象上，我国普遍学者认为全部个人信息均纳入保护法予以保护，这种观点充斥了互联网，不在这里枚举。而笔者认为，个人信息保护法的保护对象仅限于数据库中的个人信息，也就是说，只有个人信息档案、数据库等集合物为保护对象，单个个人信息不在保护之列。日本法是采取第二种做法的典型。全球个人信息保护大规模立法基于电脑被广泛应用在个人信息处理这一社会事实。对个人信息的电脑处理可以提高行政效率和企业经营的绩效，因此，海量的个人信息被电脑处理为个人信息档案或者数据库。日本1988年《行政机关电脑处理个人情报保护法》就以个人信息档案（file）和数据库（Data-base）为规范对象。2005年的《个人情报保护法》沿袭了这一做法。也就是着眼于个人信息的处理手段给信息主体的合法权益带来的危害的大小而设定保护范围。联合国指南第10条规定，该指南原则性地适用于自动化档案中的个人信息，在一定条件下还可扩充适用于人工档案中的个人信息。联合国指南也是如此。一般讲，个人信息不包括法人信息。但联合国指南有例外规定。联合国指南第10条还规定，当法人信息档案包括个人信息时，指南可全部或部分扩充适用于法人的信息。联合国指南的这一规定是强化个人信息保护的结果。但一般的立法仍是把个人信息仅仅定位为自然人的个人信息，而排除法人主体。

一般而言，个人信息保护法并不保护所有的个人信息，只保护存在于数据库或者为建立数据库为目的进行收集的个人信息，非存在于数据库的个人信息仍然由民法和行政法提供一般保护。这里需要探讨的一个问题是，互联网是否成为被规范的对象，互联网上的个人信息是否应受个人信息保护法规范，问题解决的关键是互联网是否构成数据库。