个人信息处理我国个人信息保护法的规范对象.docx
《个人信息处理我国个人信息保护法的规范对象.docx》由会员分享,可在线阅读,更多相关《个人信息处理我国个人信息保护法的规范对象.docx(17页珍藏版)》请在冰点文库上搜索。
个人信息处理我国个人信息保护法的规范对象
目次
一、引 言
二、个人信息处理的规范价值
三、个人信息处理的界定
四、个人信息处理的内涵
五、结 语
摘 要 个人信息保护法旨在保护个人信息处理中的个人权益不受侵犯。
个人信息保护法需要界定个人信息处理中可能出现的个人权益侵害风险,以确立防范风险发生的个人信息处理规则。
个人信息处理在个人信息保护法中具有界定规范对象和边界的双重价值。
我国个人信息保护法的制定应当将个人信息处理作为规范对象,同时将个人信息处理限缩在以识别分析为核心的处理行为上,并将之划分为收集、控制、分享、分析和应用5种具体处理行为。
关键词 个人信息保护法 个人信息(个人数据) 个人信息处理 识别分析
一、引 言
个人信息(个人数据)保护法肇始于计算机应用,为解决个人信息电子化处理引发的个人权益保护问题,个人信息处理(数据处理)就成为个人信息保护法的基石性概念。
自2012年全国人大常委会发布《关于加强网络信息保护的决定》(以下简称《决定》)起,我国即开始构建以个人控制为基础的个人信息保护制度,并散见于《中华人民共和国消费者权益保护法》(以下简称《消费者权益保护法》)、《中华人民共和国网络安全法》(以下简称《网络安全法》)、《中华人民共和国电子商务法》(以下简称《电子商务法》)等法律之中。
2020年颁布的《中华人民共和国民法典》(以下简称《民法典》)开始使用“个人信息处理”替代之前的个人信息保护相关立法中“个人信息收集和使用”的表述。
2020年10月21日发布的《中华人民共和国个人信息保护法(草案)》(以下简称《草案》)将该法定位于“规范个人信息处理活动”,由此个人信息处理就成为基本概念。
《草案》第4条以列举的方式将个人信息处理定义为“包括个人信息的收集、存储、使用、加工、传输、提供、公开等活动”。
信息处理是计算机基本用语,但个人信息处理并没有得到法学研究者足够的关注。
法律概念具有认识功能、构成功能和规范功能,其语义必须满足确定性,尽可能避免因歧义、模糊、开放等引发的语义不清给法律适用带来太大的解释空间。
作为源自信息技术的技术概念,信息处理一定会随着技术的进步而变化并对社会产生不同的影响,因而我们应当从法律规范的目的——个人信息处理对个人权利的危害——出发对个人信息处理进行界定。
个人信息处理的界定,既要使真正危害个人的行为得到规范,又要避免因信息处理概念的宽泛和模糊导致法律规范对象的泛化,产生对社会的过度干预甚或选择性执法的恶果。
我国个人信息保护法在引入信息处理概念时还必须明确其内涵,使个人信息保护法的适用有明确的规范边界,同时利用处理行为的种属概念建立起清晰的个人信息处理规则,防范对个人权益的侵害。
这是个人信息保护法需要解决的基础问题。
二、个人信息处理的规范价值
早在40年前,域外就兴起个人信息保护的立法。
2012年我国开始引入个人信息保护制度,《决定》明确宣布“国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息”,确立了个人信息收集和使用的基本原则和规则,这在我国个人信息保护制度发展史上具有里程碑意义。
《决定》确立的个人信息保护制度为《消费者权益保护法》(2013年修正)、《网络安全法》(2016年)、《中华人民共和国民法总则》(2017年)、《电子商务法》(2018年)等法律所吸收。
由此,“个人信息收集和使用”成为我国个人信息保护法的基本术语。
我国目前的个人信息保护制度的基本框架即构建在此术语之上,即个人信息的收集和使用应遵循合法、正当、必要原则,同时须经被收集者同意,且个人信息在收集和保存后应当依法或依约处理或使用。
虽然目前分散的个人信息保护规范相当粗糙,但是“收集”和“使用”似乎可以涵盖所有对个人信息的操作行为。
唯一需要明确界定的是“使用”。
如果可以将“使用”细分为涵盖分析处理、披露、分享等行为,那么也就可以实现对个人信息处理的具体行为的规范。
此方案是一种既可以实现对个人信息处理的具体行为进行规范又与现实法律对接的解决方案。
当然,还可以不用“使用”一词,而直接用“分析”“分享(披露、转移)”“公开(含传播)”,完全采取具体规范模式,实现对个人信息使用行为的规范。
也就是说,单纯从个人信息利用规范的角度看,没有必要采取抽象信息处理的概念,而是直接规范收集、分享、分析、公开等行为以实现对个人信息处理行为的规范。
法律对社会生活的干预必须具有正当性。
在个人信息处理的规范方面,存在一个基本假设,即个人信息是可以自由使用的,除非个人信息上存在明确可识别的个人权益,否则就不能赋予信息主体(信息指示或描述的对象)干预他人使用的自由。
个人信息保护法之所以出现,就是因为计算机应用于个人信息处理引发了个人保护的新问题,需要法律干预个人信息使用行为。
这是经济合作与发展组织(以下简称经合组织)于1980年发布具有软法性质的《隐私保护和个人数据跨境流通指南》(以下简称《指南》)和欧盟于1981年发布具有国际公约性质的《个人数据自动处理中的个人保护公约》(以下简称《公约》)在初创个人信息保护制度时定下的基调。
《指南》旨在应对和规范计算机处理引发的隐私保护新问题。
这里的隐私超出了传统隐私的范畴,是更复杂的利益合成体,更为准确地说其应当被称为“隐私和个人自由”。
《指南》第2部分(基本原则)提出了个人数据保护和利用的8项原则,即收集限制原则、数据质量原则、目的特定化原则、使用限制原则、安全保护原则、公开原则、个人参与原则、责任原则,适用于因处理方式或者因个人数据性质或场景而给隐私和个人自由带来危险的一切个人数据处理。
这些原则几乎影响了全世界的个人信息保护立法。
从公约的名称看,《公约》旨在保护个人而非个人数据。
个人数据事关个人,而个人是主体,因而处理个人数据就不能像对待客体那样随意,而需要对个人数据处理行为进行规范以捍卫“每个人的个人尊严和保护基本人权和基本自由”。
虽然这种保护目的也被抽象为个人数据保护权,但是《公约》对个人数据保护权的保护仍然体现为通过一组个人数据处理的原则来保护个人的基本权益。
《指南》与《公约》的差异在于:
《指南》没有使用数据处理的概念,其原则性规范针对的是具体的处理行为(“公开”“获取”或“使用”);而《公约》则使用了抽象的个人数据处理概念,并以此为基础构建了“一般+例外”的规范模式。
然而,《指南》与《公约》对个人数据保护的目的和路径基本一致,即通过规范个人数据处理来保护个人权益不受侵犯。
为此,应从技术和法律两个方面,对法律要干预的数据处理行为作出清晰的界定。
由此,我们可以了解规范个人数据处理行为的必要性。
《指南》的起草者已经认识到,计算机和通信技术收集、组织、存储和分享信息构成数据处理的基本内涵,并指出:
“《指南》适用于一般个人数据,或更准确地说,适用于因为个人数据处理方式或者因为个人数据的性质或场景,给隐私和个人自由带来危险的一切个人数据处理”。
从技术方面看,有危害的数据处理方式是“建立和使用数据聚合以进行重复获取、作出决策、研究、调查和类似目的”。
《公约》起草者也已经注意到计算机技术与通信技术的融合,不仅可能实现分布式数据处理系统和数据传输,而且使广泛的远程信息服务成为可能。
分布式、去中心的计算机系统具有超强的收集、处理和传递个人数据的能力,促使《指南》和《公约》的立法者们先检讨现有的法律是否能提供充分的保护,在否定的基础上再寻求新的保护制度。
在当时,这些立法者已就风险源于“自动处理”达成共识,只是就是否在法律文件中使用“自动处理”的措辞存在分歧。
同时,他们对计算机或信息技术给处理方式带来的新变化也达成了共识。
当时,他们关注到4个方面的新变化:
(1)可以不经个人知晓即可采集个人数据;(2)可以存储个人数据并长期脱离数据主体对数据进行处理;(3)可以运用数据的逻辑对获取的数据进行比较、联结、运算分析;(4)计算机和通信技术的结合可以处理成千上万个位于不同地方的用户的信息,可以轻易实现跨境的数据处理。
这4个方面的变化将给个人权益带来新问题。
因为个人数据是关于个人的,而个人是主体,个人数据的处理失去主体的控制,可能威胁个人的尊严、自由、平等。
笔者认为,这4点是我们今天界定个人数据处理边界的主要依据。
由此,影响个人权益的数据处理具有两个非常核心的要素,即电子存档和基于电子数据的分析。
这两个要素改变了个人数据碎片化、随机性的使用,使之演变为全面、系统、持续性的使用,并且这样的数据处理方式要求数据控制者对个人有更深刻、全面和精确的观察和分析。
此两个要素合在一起即为识别分析。
这种利用个人数据的方式,彻底改变了纸质记录环境下的个人数据处理。
在纸质记录环境下,个人数据即使被政府或企业组织收集,其保存和重复利用也非易事,进行研究分析则更不简单,因此不存在对个人数据使用干预的必要性。
从法律方面看,需要法律干预的数据处理应当是那些给个人尊严和自由带来威胁的数据处理。
数据处理概念的核心是个人数据处理方式因计算机或信息技术的应用而发生变革。
计算机技术的本质是数字化处理、网络化技术、智能化分析等应用数据的技术方法,其并不会改变个人信息的性质,也不能因为新的处理方式就使个人享有个人信息决定权,控制个人信息的使用。
法律对个人信息处理行为的处理仍然应当恪守技术中立原则,避免妨碍信息自由和新技术应用。
但是,新的处理方式的确给个人尊严和自由带来威胁,数据处理作为进入法律领域的术语就是界定危害主体权益的数据使用行为的工具。
只有在数据处理行为危害个人隐私或自由(或法律保护的权益)、产生保护个人权益的必要时,法律对个人数据处理进行规范的条件和程序才具有正当性。
个人数据处理必须限定在对主体权益带来风险的数据使用上,不能因为计算机处理有风险,就将所有利用计算机处理个人数据的数据使用行为均确定为数据处理,并以个人信息保护法规范之。
对主体权益有实质性影响的数据处理才有必要进入法律,这是法律对个人数据处理的实质性限定。
个人信息保护法旨在应对个人信息处理引发的问题,是否采用信息处理的概念只是立法技术问题。
作为法律概念,个人信息处理具有确定个人信息保护法的规范对象和边界的作用。
在个人信息保护制度创立之初,立法者就采取自动处理概念表明个人信息保护法特别的适用范围。
其不规范所有的个人信息使用关系,只不过因为计算机应用导致个人信息处理方式发生变化,引发新的隐私保护问题而需要给予个人保护。
也就是说,信息处理概念界分出个人信息保护法与传统法律的关系。
个人信息是与个人有关的个人信息,与个人有关的个人信息关涉个人权益,只要存在合法的个人权益,法律均予以保护;在法律形成和演变的过程中,不断发现和界定个人信息上可能存在的个人权益,设置相应的制度或规则予以保护,其中最基础的是人格权法对人格权益的保护。
人格权保护也是通过规范个人信息的使用保护个人信息上的人格权益:
自然人的姓名、肖像属于典型的个人信息,民法赋予个人以姓名权和肖像权就是对直接识别个人的信息上的人格权益进行保护;名誉权和隐私权则旨在制止他人不当使用个人信息的行为(传播虚假信息、擅自公开私密信息)以保护个人的名誉和隐私利益。
除此以外,还有行业法律对各种服务关系中的个人敏感信息进行保护,如医疗服务、律师服务中的个人私密信息保护。
《中华人民共和国居民身份证法》(以下简称《居民身份证法》)、《中华人民共和国刑法》(以下简称《刑法》)、《中华人民共和国行政监察法》(以下简称《行政监察法》)、《中华人民共和国选举法》(以下简称《选举法》)、《中华人民共和国统计法》(以下简称《统计法》)、《中华人民共和国税法》(以下简称《税法》)等法律,也对履行特定职务的工作人员施以安全保障义务,防范特定个人身份信息泄露,保护公民的民主权利、人身或财产安全。
个人信息保护源自个人信息上存在需要保护的个人权益,其根植于我国法律保护的个人权益。
要移植域外的个人信息保护法,在我国的法律体系中嵌入新的保护,就必须找到其区别于既有保护的特殊之处。
如此,要保护的应该是计算机应用引发的新个人权益保护,概括新权益的基础概念便是信息处理,但决定是否要规范的是其对个人权益的危害。
个人信息保护法旨在规范因新的信息使用方式而导致的个人信息滥用行为,以保护个人权益。
处理的本质是使用,但是采用“信息处理”而非“信息使用”的措辞,其目的在于凸显利用计算机使用个人信息方式的独特性,着眼于对个人权益的新危害。
信息处理的规范价值除了可以将涉及个人信息的行为概括起来,建立个人信息保护法规范和适用的基本范畴之外,还在于可以界定个人信息保护法的边界。
这样,在个人信息保护法中抽象意义上的信息处理就成为必要的概念,借助它可以支撑个人信息保护法基本原则的规定并界定个人信息保护法的规范边界。
从我国现行的法律体系观之,我国的个人信息保护源自《中华人民共和国宪法》,并与《民法典》《刑法》《居民身份证法》《消费者保护法》《网络安全法》有交叉,与金融、健康、医疗、通信、律师等特殊行业或特殊关系的法之间有相互指引关系。
任何一部法律都应当清晰界定它保护的个人信息处理涉及的个人基本权利,使法律不重复和不冲突地执行,避免个人信息保护陷入困局是制定个人信息保护法时应当考虑的问题。
在笔者看来,个人信息保护与个人信息保护法并不能等同,个人信息保护是许多法律要解决的问题(尤其是对个人身份信息滥用、泄露的规范),而个人信息保护法解决的是其他法律不能解决的问题。
个人信息保护法一定要有自己清晰的定位和边界,否则将导致个人信息保护法的适用模糊化和泛化,不利于法律的实施。
在明确个人信息处理的规范价值及其要解决的问题之后,关键是如何定义个人信息处理的概念。
个人信息处理的概念关系着我国个人信息保护法的规范范围,关系着个人信息保护法与既有法律边界的划分。
三、个人信息处理的界定
在确定采纳信息处理的概念后,我们需要对个人信息处理作出明确的定位,使个人信息保护法有清晰的规范对象和范围。
《草案》第4条将个人信息处理定义为“包括个人信息的收集、存储、使用、加工、传输、提供、公开等活动”。
这一定义既无抽象表述,又采用开放式列举,很难看出个人信息处理的内涵与外延。
例如,何谓使用,何谓提供,这些都需要解释。
笔者认为,应当将个人信息处理定义为“以识别分析为目的对个人信息的收集、控制、分享、分析和应用行为”。
(一)个人信息处理的定义:
《欧盟统一数据保护条例》的借鉴与超越
个人信息处理中的个人保护是一项源于域外的制度,并且已经演进40多年。
我国在制定个人信息保护法时,需要借鉴这些域外立法经验和教训。
但是,这种借鉴并非总结相关域外立法采取的定义然后求取最大公约数的简单移植,而应当回到40年前制度缔造者们的初衷来定义当今我国立法中的个人信息处理,沿着他们解决问题的思路,来解决我国面临的问题。
尤其是在这40年中信息技术不断迭代发展,作为应对信息技术应用引发新问题的法律概念,个人信息处理的应用场景、对主体权利的威胁以及我们对它的认知均发生了变化,我们需要在新技术背景下重新定位我们要规范的个人信息处理。
欧盟是个人信息保护立法的推动者和探索者,2016年颁布的《欧盟统一数据保护条例》(以下简称《条例》)是其在个人信息保护方面最新的法律成果。
这里仅对《条例》中的相关定义及其面临的问题进行分析,为我国确定在个人信息保护法的基本范畴方面所应当采取的策略提供智识。
《条例》取代了1995年制定了《欧盟关于涉及个人数据处理的个人保护以及此类数据自由流通的第95/46/EC/号指令》(以下简称《指令》)。
从《指令》开始,数据处理即是贯穿于个人信息保护法的基石性概念。
《条例》第4条对数据处理的定义几乎与《指令》第2条一致,采取“概括+列举”的方式,全面列举了数据处理的方式,既包括所有的技术手段,如记录、组织、结构化、存储、改编或修改、恢复、排列或组合、限制、清除或销毁,也包括收集、查询、使用、披露或者其他使个人数据可被他人获得的行为(相对于《指令》所列举的行为,《条例》仅多了“结构化”这一行为)。
由此可见,欧盟的数据处理行为含义广泛,试图穷尽可能使用、接触或触碰个人数据的各种操作或行为,以提供一个在欧盟内可广泛适用的数据处理概念。
《条例》对处理的定义相当广,你能想到的与个人数据相关的任何活动都构成处理。
它不仅仅是计算机操作,也不一定使用计算机,你只要是从远程查阅一下数据就构成处理。
《条例》将数据处理定义为“操作”表明其遵从《公约》的定位,用以规范利用计算机对个人数据的操作行为,但其对处理行为的定义过分注重技术内涵,而忽视这些行为对个人权益的影响,导致涵摄宽泛。
加上计算机和网络应用在如今是一种普遍的现象,个人数据的处理像毛细血管一样渗入社会的每个组织和所有行为,这导致《条例》的实施面临很大的困难。
数据处理涵盖所有动用个人数据的行为,贯穿于各种行业、领域和社会活动(行为)之中,这使得个人数据处理规范得以广泛适用,很难界定个人信息保护法适用的边界。
一旦任何使用计算机处理个人数据的行为被纳入个人信息保护法的范畴,那么个人信息保护法就成为没有门槛的法律,不仅具有普遍适用性,而且适用无清晰边界。
例如,某人未经他人同意上传他人的照片,或者转发内含可识别的他人个人信息,就会被认为构成个人信息的使用。
这一方面会增加社会运行的成本,另一方面会增加法律适用的不确定性和混乱。
无边界的个人数据、极大的数据处理概念将导致个人信息保护法的适用范围在无限扩张的同时,也与其他众多法律出现大量交叉;法律竞合的现象大量发生,使得数据主体可以利用这一现象,选择有利于自己的请求权基础,同时也导致选择性执法现象。
这样无所不包的个人数据处理概念已经背离《公约》最初的立法目的和对数据处理的定义。
欧盟的个人数据处理概念试图建构一个无所不包的信息处理概念,这将导致不设门槛和边界的个人信息保护法的适用,任何涉及个人信息的行为均受个人信息保护法的规范。
这是《条例》本身存在的最大问题,《条例》实施两周年的评估也充分暴露了这一问题。
《条例》之所以面临实施的困境是因为它坚持规范所有利用计算机处理个人数据的行为,而此类行为已经是所有社会活动开展的基础。
在40年前计算机的应用仅涉及少数行业和少数主体,还没有普及到整个社会,那时还可以区分计算机(自动)与非计算机(非自动)处理,但今天以此区分信息处理的方式已经变得没有多少意义。
在信息处理均已实现计算机化的今天,任何一个组织使用个人信息均落入个人信息处理的概念范畴,因而单纯从技术方面规范个人信息处理实际上使所有的个人信息使用行为都落入个人信息保护法的规范范畴,导致法律规范对象泛化。
事实上,很难确定每一种个人信息处理行为都会给个人尊严或自由带来危害;否则,将导致“使用计算机处理个人信息就具有危害”的结论,而这显然是不切实际的。
泛化的个人信息处理不仅使《条例》将所有个人信息使用行为纳入规范,而且导致对真正有危害的个人信息处理行为规范不足,没有真正应对个人信息处理中个人保护面临的真问题。
在笔者看来,这样的定位背离了个人信息处理中的个人保护制度设计者的初衷。
也许欧盟停留在基本权利层面的泛化保护法具有一定的可执行性,个人数据上的各种利益的平衡可以实现,但我国个人信息保护法的立法必须考虑可执行性、可适用性和可监管性,不能将个人信息保护法看成是承担一切个人信息保护的法律。
在人类进入到万物互联的网络化生存时代,人类信息产生的方式和相应的处理能力(算力、算法等)均发生了变化。
今天,一切网络设备和终端都成为信息的生产源,在人类利用网络通信交流和从事各种社会活动、产生有价值的信息(包括科学文化成果)的同时,机器也每时每刻不断记录自然、机器、人类运行或行为的轨迹,形成大数据。
这些大数据通过网络和各种设备可以关联其描述的对象(包括个人),对这些对象的运行规律和特性进行分析,并将分析结果运用到各种决策,这就是大数据、人工智能、云计算等新一代信息技术带给人类社会的新应用和新前景。
在这样的时代,个人信息处理已经不再是40年前的个人提供数据的长期存储和重复分析使用的过程,而是利用泛在网络形成的大量与个人有关的信息进行深度挖掘分析,形成个性标签(用来鉴别个人偏好、倾向等个性),并在此基础上做出精准决定(如营销、信息推送等)的过程。
这样的过程被概括为识别分析,它是进入到大数据时代对个人权益具有最显著影响的个人信息处理。
《条例》已经对识别分析下了定义,并对自动的识别分析作出特殊规范。
《条例》是建立在泛在的个人数据处理概念之上的,其目的并非在于应对数字时代新型的数据处理方式对个人的影响。
在这样的时代,个人信息的产生方式、来源或渠道、表现形式、收集分析方式和能力以及应用场景和方式等都发生了巨大的变化。
而《条例》确立的个人数据处理原则是建立在前网络时代“个人提供数据+计算机处理”这样一个基本模型上的,这些基本原则已经不适应泛在网络时代个人数据的产生和利用方式。
泛在网络所生产的个人数据已成为社会重要的资源,基于个人数据的识别分析在于支持社会的智能决策。
在这个时候,个人数据上的主体权益不仅要与资源价值进行平衡,而且这种平衡态势还会影响数据主体的权益范围、内容和保护方式。
笔者认为,我国个人信息保护法的制定应当弥补泛化的个人信息处理这一缺陷,清晰界定出对个人有害的个人信息处理行为,唯此才能摆脱《条例》实施面临的困境。
(二)与时俱进的个人信息处理定义
作为因技术而生的信息处理概念也一定是随技术变化的,尤其是进入法律规范的信息处理一定要具有规范价值。
正如《指南》起草专家组主席迈克尔·卡比在谈到《指南》草拟的经验时指出的那样,个人信息保护领域的政策和法律必须建立在对相关技术运行的正确和全面理解的基础之上。
正确的选择应确保技术的不断发展,以满足用户和社会的福祉。
“法律的介入和有效的实践原则应当继续保护个人的基本权益,同时捍卫信息系统的完整性。
”在大数据时代,我们仍然应当从科技和法律这两个方面来准确界定个人信息保护法中的个人信息处理概念,将其限定为对个人权益可能带来危害的个人信息处理行为。
从技术方面看,个人信息处理已经从个人直接收集信息进行运算分析的阶段进入到大量依赖机器产生的数据和间接获取的数据对个人进行智能分析的阶段。
利用数字技术收集个人信息,进行简单的计算机处理(存储、运算分析),满足任何的组织运营和对外交往需要,已经成为普遍的社会需求,同时也是个人进入到数字化生存时代不得不面对和接受的事实。
对于这样的个人信息处理,法律只要施以安全保障义务,就可以防范个人信息使用带给个人的危害。
随着大数据、人工智能等在个人信息处理方面的应用,对个人有危害的信息处理也升级迭代,利用泛在网络产生的数据关联性(大数据根本特征)对潜在个体进行分析成为对个人权益最大的威胁,我们应当以有规范价值的识别分析为核心来定义个人信息处理。
从某种意义上讲,以识别分析为核心来定义个人信息处理恰恰是回归到将个人信息处理纳入法律规范的本义。
个人信息的基本功能和价值是识别,但是我们很难简单地根据单个信息或碎片化的信息来判断其是否具有可识别个人的属性,而只能根据信息处理者的信息处理能力(获取的信息数量、使用方法等)来判断其是否能够识别个人。
因此,个人信息保护法在本质上应当是要规范利用个人信息识别分析个人的行为,而不是要规范个人信息的处理行为。
仅处理不识别个人或者仅简单地认知和联络个人的行为不能仅因为使用计算机手段就受到法律的规范。
个人信息的使用不能仅因为使用计算机而受到规范,最初的立法者们所担心的计算机处理给人们带来危害的行为并不是所有的利用计算机对个人信息处理的行为,而是那些建立个人电子文档并对其数据长期重复分析使用的行为。
也就是说,分析使用是个人信息处理的核心。
欧盟在立法中将个人数据处理泛化为覆盖数据生命周期的处理行为,是偏离了个人信息处理的核心并泛化了规范对象。
今天,识别分析仍然是个人信息处理的基本面,只是所利用的数据量和分析的技术发生了巨大的变化。
广泛收集个人信息形成个人数据集,并根据需要或目的对个体进行识别分析,然后应用于各种决策,既是当今个人信息最重要的应用,也是对个人权益最有影响的个人信息处理行为。
以识别分析为核心定义个人信息处理,可以将对主体权益有显著影响的个人信息处理行为纳入个人信息保护法,而将一般的个人信息使用行为留给其他法律或行业准则或社会习惯规范。
这样,
升级会员 