论个人信息的界定、分类及流通体系阳
2019-08-03雪雅
雪雅
内容摘要:《民法总则》第111条规定了个人信息,但是如何进行法律保护并没有具体展开。“可识别性”界定个人信息更主要是从宏观上厘清个人信息,很难从微观上具体甄别出个人信息。因此根据个人信息不同阶段评估其存在的风险来界定个人信息具有一定的合理性,只有存在主观伤害风险或者客观伤害风险的个人信息才是法律上界定的个人信息。信息主体具有多元性,保护也不限于排他性的方式。数据与信息既有联系又有区别,个人信息与隐私存在交叉也存在不同,数据、个人信息、隐私的客体分别体现为利益、法定利益、权利。敏感信息与非敏感信息的区分是典型对极思考的方法,能穷尽所有个人信息,但是判断“敏感性”的标准却不够具体。因为是否具有敏感性本身还要再进一步判断,该种判断主要是价值判断,缺乏明确的衡量依据。清晰的分类可以直观地发现个人信息流通的路径,以个人信息形成为标准的志愿者信息、政府强制采集的个人信息、测量信息、推测信息更易于实现该目的。对个人信息的保护不能只强调事后救济,要防止个人信息不当利用的重点还应规范个人信息的流通。
关键词:个人信息信息 分类信息主体 个人信息处理 流通体系
中图分类号:DF51文献标识码:A文章编号:1674-4039-(2019)04-0033-44
一、问题的提出
信息化已经成为时代的主旋律,这股浪潮不仅影响着我们的经济方式、生活方式,还影响着我们的思维方式。无论政府等组织体还是个人都在大力挖掘个人信息的价值,法律滞后于实践,法律应在信息社会中有所作为。法律规制个人信息,主要分为两大模式:一种是以欧盟为主的严格管理模式,一种是以美国为主的行业自律模式。前一种模式将个人信息置于宪法人权保护的地位,个人信息流通须征得信息主体的同意。后一种模式允许个人信息有条件地自由流动,同时通过行业自律规制信息控制者行为。我国法学关注个人信息的相关成果主要集中在个人信息保护,对个人信息保护的研究视角强调个人信息对于自然人的重要价值,但也在一定程度上束缚了研究思路。主流观点认为个人信息分为敏感信息与非敏感信息,对敏感信息的保护应强于对非敏感信息的保护,但是该种分类并不是很清晰,如何保护就成了研究热点。〔1 〕我国相关立法遵循了歐盟的严格保护主义,对个人信息的收集、利用等环节必须征得信息主体同意,可是实践中流于形式的同意和未征得同意十分普遍,这就直接导致了立法上对个人信息的高规格保护,但实践中却无法充分保护个人信息。为了解决个人信息保护的矛盾,制定符合信息社会发展的立法则成为了关键。
我国《民法总则》第111条规定:“自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。”该条首次规定了个人信息,但是该条对个人信息的宣示价值大于对个人信息的规范意义。如何界定个人信息?个人信息如何进行分类?“依法”与“不得非法”应当遵循何种个人信息收集、利用、转让的规则,这些都是自然人个人信息保护亟需解决的问题。我国关于个人信息的规范比较零散,如《宪法》《民法总则》《侵权责任法》《消费者权益保护法》《邮政法》《互联网电子邮件服务管理办法》《刑法》《关于加强网络信息保护的决定》《电信和互联网用户个人信息保护规定》等规范虽然都有对个人信息或者隐私的内容,但是缺乏全面细致的调整。
随着社会的发展,个人信息适用的领域将越来越广泛,《民法总则》对个人信息的规定体现了很强的时代性,但是个人信息与隐私、数据等概念之间存在什么样的关系、如何多角度研究个人信息、如何更好地利用个人信息,现行规范还很单薄,在数据处理、交易、使用方面,现行法律制度都缺乏全面且明确的规定。〔2 〕学界对个人信息界定、分类、处理等环节虽有一些研究成果,但尚未达成共识。笔者在既有著述的基础上,对个人信息的界定、分类及流通进行分析,以期进一步解释《民法总则》第111条,从而为后续相关立法提供理论支撑。
二、个人信息界定
不可否认,自从有了人类,个人信息就已经存在,如姓名、住址、家庭成员情况、活动轨迹等。这些个人信息很长一段时间并没有保护的必要,如姓名就是需要公开出来,被他人周知。直至近代,隐私的出现将一部分个人信息区隔出来,有了单独保护的必要。保护隐私的本质在于对个人人格的尊重,这些信息是自然人不愿意被他人所知的内容,自然人可以通过隐私保护的方式实现自我控制。是否所有的个人信息都需要保护,很明显过分扩大的保护容易混淆人与人之间的行动边界。隐私权概念的出现,与19世纪20世纪初印刷技术的发展等为偷窥他人生活创造了条件不无关系,〔3 〕因此,也有学者认为,“隐私权的理论与法律,从一开始就是针对新闻出版界的”。〔4 〕有学者认为隐私属于个人信息的一部分,其实个人信息与隐私之间并不是简单的包含关系。个人信息与隐私的最大区别在于,隐私应该在性质上属于个人未向社会公众公开的信息。而个人信息则可能已经公开,或本来就属于公共事务的范畴。〔5 〕半个世纪以来,随着计算机技术全面融入社会生活,信息爆炸已经积累到了一个开始引发变革的程度,它不仅使世界充斥着比以往更多的信息,而其增长速度也在加快。〔6 〕不被隐私保护的个人信息在大数据时代具有了新的价值,甚至非个人信息经过相关数据分析后也能与个人关联成为个人信息。对我们而言,危险不再是隐私的泄露,而是被预知的可能性——这些能预测我们可能生病、拖欠货款和犯罪的算法会让我们无法购买保险、无法贷款,甚至在实施犯罪前就被预先逮捕。〔7 〕合理利用个人信息成为大数据时代必须面对的课题。
可见个人信息的产生很早就已存在,法律最初是对个人信息中的隐私进行保护,发展到今天对隐私保护的思维和方式不足以应对个人信息的保护,个人信息就有了独立存在的价值。我国《个人信息保护法》(专家意见稿)第9条规定:“个人信息是指个人姓名、住址、出生日期、身份证号码、医疗记录、人事记录、照片等单独或与其他信息对照可以识别特定的个人的信息。”《信息安全技术公共及商用服务信息系统个人信息保护指南》对个人信息(personal information)的界定是:“可为信息系统所处理、与特定自然人相关、能够单独或通过与其他信息结合识别该特定自然人的计算机数据。”上述两种表达几乎一致,不仅包括可以单独识别到自然人的个人信息,还包括与其他信息结合识别到特定自然人的个人信息。不过指南中的个人信息更强调能被信息系统处理的计算机数据。是否为个人信息仅仅依赖于传统的直观考察并不全面,有时还需要借助技术,判别是否为个人信息。欧盟《个人数据保护法》中的“个人数据”是指与一个身份已被识别或可被识别的自然人相关的任何信息。通过可识别性判断是否属于个人信息虽然被很多国家立法例采用,但是这种判断也存在以下困境:单独一条信息并不能识别到个人,但是将所有信息集合在一起,可能就会识别到某个人。另外随着数据相关性的研究和数据挖掘技术的发展,一个单一的、不重要的信息可能也会识别到个人。〔8 〕有趣的是,《瑞典1998年个人信息法案》将个人信息定义为“与一个活着的自然人直接或间接的相关的信息”。很明显“可识别性”能静态地确定个人信息。但是随着新技术的发展,个人信息的表现形式也日益多元化,是否具有可识别性并不是很确定,更关键的是,对于处理个人信息的主体,有时候他们自己也并不知道处理的是否是个人信息。我国《信息安全技术个人信息安全规范》附录A规定,判定某项信息是否属于个人信息,应考虑两条路径:一是识别,即从信息到个人。二是关联,即从个人到信息,如已知特定自然人,则由该特定自然人在其活动中产生的信息即为个人信息。“识别说”和“关联说”进一步拓展了个人信息的范围,但是判断的不明确性并没有解决。
由于研究个人信息的视角更多是采用赋权的方式,即赋予个人信息主体权利,但是个人信息本身的内涵和外延具有极大的弹性,静态地以是否具有可识别性或关联性并不能充分明确个人信息,还需要动态地体系化地认知个人信息。Eloise Gratton教授认为通过引起风险的不同来界定个人信息。收集个人信息阶段主要评估是否存在主观伤害,因为它常常涉及一种情感或心理的伤害。利用个人信息阶段主要评估是否存在客观伤害。如果使用信息的方式没有影响到个人或者影响是积极的,那么该信息即使能识别到个人,也不属于个人信息。〔9 〕当然收集阶段就能界定出应属于个人信息,则就不需要进行后续的评估。
笔者并不否认“可识别性”标准,但是该标准容易使个人信息的内涵和外延失之明确。法律上讨论的个人信息是需要保护的个人信息,可以在“可识别性”标准基础上,再从个人信息处理的不同阶段评估其存在的风险,具有主观伤害风险或者客观伤害风险的个人信息才是法律上界定的个人信息。正如民事法益这个概念,并不是民事主体的任何利益或自由都属于法益。只有具有合法性、确定性、可救济性的利益才给予法律保护。但是如何进行具体判断还需要放在具体案件中进行动态衡量。因此对个人信息的界定需要从静态和动态两种视角进行界定。
通过对个人信息的界定,个人信息的内涵和外延与隐私有联系也有区别。隐私权的保护范围传统上包括侵入他人私生活(侵入类型)及公开私生活的事实(公开类型),近年来隐私权更扩张及于个人信息自主,而成为一种独立的侵害类型。〔10 〕个人信息与隐私既有重合之处,也有不同的调整范围。个人信息具有以下特殊性:(1)个人信息的财产性。(2)个人信息的可转让性。(3)个人信息匿名化利用的可能性。(4)个人信息整合的必要性。(5)个人信息产业化的时代性。相较于个人信息,隐私具有人格属性,隐私在获得隐私权人同意的基础上须有限制地转让。隐私一旦被匿名化则不存在讨论的价值,而个人信息匿名化后依然可以有利用价值。众多个人隐私并没有整合的必要,而个人信息经过整合、分析还会产生新的价值,如对自然人开车里程与行车驱间的整合便于车辆保险的评估。从社会政治、经济发展的角度,大数据发展是时代的趋势,而大数据中的个人信息不能仅仅依赖于小规模收集、分析、整理,应当使其产业化,真正服务于社会政治、经济、环境、医疗、公共治理等领域的发展。考虑到个人信息的特殊性,个人信息从隐私中独立出来实有必要。
我国《民法总则》对隐私与个人信息进行了区分,隐私权作为独立的权利与其他人格权一起放在第110条,而个人信息单独放在第111条,个人信息是否能作为独立的权利存在一定争议。毫不夸张地说,“权利”占据了当代法律、政治话语的中心地位。〔11 〕王利明教授在《论个人信息权在人格权法中的地位》一文中,将个人信息表述为“个人信息权”。〔12 〕但是民事权利的法定化须具备以下要件:(1)权利主体明确。(2)权能具体化。(3)权利具有可救济性。如果上述三要件不足,就有可能影响权利的法定化。如德国法创设的一般人格权,权能过于弹性,不够具体,只能称之为框架性权利。如环境权作为独立的权利,民法学界一直存在质疑,因为其权利主体不够明确,权利内容也失之具体,当然并非一定是民事权利才能得到法律保护,利益在符合一定条件下也能得到法律的保护。《民法总则》规定了个人信息,是将个人信息视为法定权利还是法定利益?笔者更倾向于个人信息属于法定利益。如果个人信息为权利,即权利人对个人信息享有支配权,但是个人信息的多重利用关系使之并不具备完全的支配性。个人信息是排他性指向个人的,但不必然由个人创设、占有或知悉。将个人信息作为利益调整则具有更强的灵活性。《民法总则》对个人信息进行了规定,个人信息呈现为法定利益,利益主体可以出现在不同阶段,信息主体具有多元性,保护也不限于排他性的方式,这种思路有利于个人信息的不断发展。
数据这个词在拉丁文里是“已知”的意思,也可以理解为“事实”。如今数据代表着对某件事物的描述,数据可以记录、分析和重组它。〔13 〕而信息也具有这样的功能,因此信息与数据具有相通之处,数据更侧重于通过技术的手段认知,这也契合了网络社会的发展,因此大数据时代不仅指称数据数量的庞大,还体现了一种数据化的时代,是一种把现象转变为可制表分析的量化形式的过程。《民法总则》第127条规定:“法律对数据、网络虚拟财产的保护有规定的,依照其规定。”《民法总则》第126条规定:“民事主体享有法律规定的其他民事权利和利益。”127条在126条民事权利和利益的兜底条款之后,其体系地位还值得商榷。根据《民法总则》的规定,数据既不是权利也不是利益,只有在有規定时才给予保护。毋庸置疑,数据具有财产价值,但是数据的外延十分宽泛,很难穷尽,并非所有的数据都要被法律保护,如何保护则需要其他规范进行细化。数据与信息既有联系又有区别,数据是信息的具体表现形式,信息需要经过数字化转变成数据才能存储和运输。当然从数据的内容层面来看,数据与信息可以互用。数据所承载的内容有信息和非信息。〔14 〕个人信息与隐私存在交叉也存在不同,数据、个人信息、隐私的客体分别体现为利益、法定利益、权利。《民法总则》将数据单独规定具有妥当性,但是127条应放在126条之前,这样《民法总则》第126条民事主体享有法律规定的其他民事权利和利益就真正发挥了兜底条款的功能。
三、个人信息的分类
个人信息的外延十分宽泛,我们在描述个人信息时,常常以个人参与的社会活动为参照,如购物信息、教育信息、交通信息、医疗信息、金融信息、社保信息等。这种分类有利于直观地把握个人信息,但是却无法穷尽个人信息,也不利于准确界分个人信息。类型化的方法是为了更充分全面认识某一范畴,因此选取何种标准进行分类则至关重要。学界通说认为,以个人信息与个人是否具有直接相关性,将个人信息区分为敏感信息与非敏感信息。敏感信息是指关涉个人隐私核心领域、具有高度私密性、对其公开或利用将会对个人造成重大影响的个人信息,如有关性生活、基因信息、医疗记录、财务信息等个人信息。〔15 〕敏感信息应受严格保护,不能随便公开。《信息安全技术公共及商用服务信息系统个人信息保护指南》认为个人敏感信息是指一旦遭到泄露或修改,会对标识的个人信息主体造成不良影响的个人信息。各行业个人敏感信息的具体内容根据接受服务的个人信息主体意愿和各自业务特点确定。例如个人敏感信息可以包括身份证号码、手机号码、种族、政治观点、宗教信仰、基因、指纹等。该指南以是否造成不良影响作为区分标准。非敏感信息可以在一定程度上公开,在保护上前者严格于后者。〔16 〕敏感信息与非敏感信息的区分是典型对极思考的方法,能穷尽所有个人信息。但是判断“敏感性”的标准却不够具体,因为是否具有敏感性本身还要再进一步判断,该种判断主要是价值判断,缺乏明确的衡量依据,如财务信息应属敏感信息,但在金融活动或者纳税活动时可以在一定范围公开,则敏感性在不同环境中的表现并不统一。可见随着环境的不同,个人信息是否具有敏感性也会发生变化。至今为止,该分类标准下的具体化并没有完成,敏感与非敏感信息具有思维判断的价值,但也存在不可弥补的漏洞。
根据掌握个人信息的主体不同,将个人信息区分为政府控制下的个人信息、自然人控制的个人信息以及其他组织体控制的个人信息,该分类标准也比较周延,但是三种类别下的个人信息存在交叉,个人信息如何进一步流通会发生冲突。如身份证号码由政府提供,自然人自身也控制着身份证号码,行政部门并不能随意使用个人信息。个人信息与有体物区别之一就在于个人信息可以由多人共享,不存在可消耗性,因此有的个人信息可以由多个主体支配,但是如何支配应受相应的主体法调整,进而疏通个人信息流通的管道。如《政府信息公开条例》《网络安全法》等规范对政府机关处理个人信息提供了依据。对于其他组织体控制的个人信息,主要从隐私权的角度,体现在金融部门、医疗部门、企业经营者等主体对消费者个人信息的保护,但是对于其他不能通过隐私权保护的个人信息则缺乏体系化的保护手段。
个人信息的分类标准,不仅要周延,还要能对个人信息的流通进行更深入的分析,从而提供法律的支撑。将个人信息类比为“新的石油”的观点,日益得到了大众的接受,个人信息会以新型资产的形式出现在社会的各个领域,以动态角度审视个人信息,我们会发现个人信息流通的轨迹存在差异。完全由自然人自己提供的个人信息,如果要流通,自然人进行干预则相对容易。笔者以个人信息的形成为标准,将个人信息分为四类:〔17 〕志愿者信息、政府强制采集的个人信息、测量信息、推测信息。志愿者信息是客户自己提供的信息,如招聘网上公开的个人简历,在网络购物中申请注册账号时所填写的个人信息、信用卡账号等。政府强制采集的个人信息是指政府基于公共管理职能收集的个人信息,如公安管理部门对户籍的调查,统计部门的人口普查等。测量信息是指随着个人活动而记录的信息,如智能手机的GPS所记录的位置信息、网页浏览记录、通话记录等记录信息等。推测信息是指通过对前三种信息分析而得到的信息,如商家根据消费者的购物记录等分析提供的精准营销。〔18 〕
该分类侧重于个人信息的形成,从个人信息形成入手,更容易审视个人信息;该分类不仅可以更好地把握个人信息,还能便于从流通环节保护个人信息。该分类相较于敏感与非敏感的个人信息有以下便利之处:(1)从形成的角度分析,有利于明晰不同阶段个人信息的权利主体。如银行掌握的消费者的金融信息,在权利不得滥用的限制下,银行在合理评价信息主体的基础上,可以更好地为消费者进行服务。测量信息是通过一定技术手段获得,其本身是价值中立的,但是该种信息经过处理后可能会对经济、交通、医疗等领域产生价值,对于该种个人信息的流通也不能侵犯个人隐私权和人格尊严等人格利益。(2)产生的途径不同也决定了信息获取的不同。志愿者信息和测量信息是对客观存在的反映,准确性较高,主要由信息自然人支配。而推测信息是对个人信息再分析挖掘处理而产生的,一般是由自然人之外的组织体完成,需要借助相对复杂的技术才能实现,是信息再加工的过程。(3)该种分类更加注重个人信息的不断发展,以动态的视角对待个人信息。敏感与非敏感个人信息以“敏感性”作为标准,由存在“敏感性”进行判断,这就容易陷入循环定义的困境,这是一种静态分析个人信息的视角。但是以个人信息形成阶段来区分个人信息,就可以比较清晰地发现个人信息产生的不同阶段,哪些属于原始个人信息,哪些属于加工个人信息,哪些属于客观信息的记录,哪些属于主观评价的个人信息,哪些属于人们记录的个人信息,哪些属于技术形成的个人信息。
有学者提出,数据可以分为“原生数据”和“衍生数据”,〔19 〕或者称之为基础数据与增值数据,该种分类是从数据的产生角度进行划分,比较周延。但是二分法过于简单,哪些是原生数据,哪些是衍生数据,还需要进一步划分,失之具体。也有学者提出个人信息来源主要有四类:一是由个人信息权利主体提供;二是网络服务商通过Cookies等工具抓取;三是基于管理职能由数据控制人主动收集;四是通过不法手段恶意盗取。〔20 〕该分类标准并不明晰,前三种类别与第四种类别是合法与非法的区别,第二种类别与第四种类别是情形描述,非概括性分类,容易挂一漏万。
对个人信息分类便于理顺个人信息流通的权利义务关系,在敏感信息与非敏感信息分类体系下,前一种个人信息要流通,必须征得信息主体的同意,还要受严格的限制。后一种个人信息流通在征得信息主体同意的基础上,可以自由流通。问题的焦点就在于非敏感个人信息流通应否取得同意,如果要取得同意,如何实现同意。可见在该种分类中,“同意”是问题的关键。但是该分类在区分标准上的循环定义所造成的模糊性使之存在天然不足。根据不同标准划分的自然人支配的个人信息、政府支配的个人信息、其他组织体支配的个人信息,该分类忽略了個人信息可能会被多主体共享,如何流通不可避免存在权利义务冲突。
四、个人信息的流通体系
《民法总则》第111条规定,自然人的个人信息受法律保护。如果个人信息不流通,其法律风险也就不存在。因为个人信息不公开利用,即使由非信息权利主体控制,其危害性也很难证立。对个人信息的保护不能只强调事后救济,要防止个人信息不当利用的重点还应规范个人信息的流通。虽然从个人信息产生之初,存在通过隐私来保护个人信息的观点,但是发展到今天,个人信息的自身价值已被认可,我国《民法总则》又单独规定了个人信息,这为个人信息的立法完善奠定了良好的基础。但是个人信息流通的界定、流通原则、流通主体、流通程序等体系化的制度还尚付阙如,而这也是《民法总则》第111条所留下的立法空白。
(一)个人信息流通的界定
“流通”汉语的释义是流动通行,包括商品买卖行为以及相互联系、相互交错的各个商品形态变化所形成的循环的总体。广义的流通,还包括在商品流通领域中继续进行的生产过程,如商品的运输、检验、分类、包装、储存、保管等。个人信息涉及的环节非常多,《民法总则》第111条确立的环节包括收集、使用、加工、传输、买卖、提供或公开个人信息。《信息安全技术个人信息安全规范》具体规定了个人信息的收集、保存、使用、委托处理、共享、转让、公开披露。《个人信息保护指南》用个人信息处理来概括个人信息的收集、加工、转移、删除4个主要环节。也有学者用个人信息处理进行界定。〔21 〕但是“处理”的汉语释义是指处置、安排、解决,不能很好地表达个人信息涉及的各种环节。而且2018年的《信息安全技术个人信息安全规范》将“处理”单独规定,很明显用“处理”指代个人信息的所有环节,很难得到一致认可。个人信息相关性、集合性等特质决定了对个人信息进行分析,个人信息的价值可以被提炼出来,因此个人信息流通过程中往往存在对个人信息的处理。高志明博士采用了“流转”的表达。〔22 〕法律上的流转主要适用于土地使用权的流转,是指权利人将其土地权利全部或部分权能通过转包、互换、出资、入股、转让等方式转移给他人的行为。流转侧重于交易,但是个人信息涉及的环节并非都存在交易,可见用流转外延过窄。本文采用“流通”来界定个人信息的各环节,不仅可以涵盖个人信息的所有环节,而且不会产生歧义。流通相较于“处理”更便于接受,流通相较于“流转”更清晰,个人信息流通包括个人信息的采集、保存、分析挖掘、转让及利用等整个环节。
(二)个人信息流通原则
个人信息流通原则是贯穿于个人信息流通整个环节的根本准则。根据《欧盟一般数据保护条例》等立法,欧盟个人信息流通原则主要包括:数据质量原则、目的限制原则、同意原则、透明原则、保密安全性原则。〔23 〕我国个人信息相关规范参考欧盟立法较多,《个人信息保护指南》规定个人信息管理者在使用信息系统对个人信息进行处理时,宜遵循以下基本原则:(1)目的明确原则。(2)最少够用原则。(3)公开告知原则。(4)个人同意原则。(5)质量保证原则。(6)安全保障原则。(7)诚信履行原则。(8)责任明确原则。美国个人信息流动主要体现了合理使用信息原则,包括透明性、个人参与、明确用途、数据最小化、使用限制、数据质量和完整性、安全性、责任和审计原则。与欧盟相比,美国的隐私保护原则不再强调个人的权利,特别是个人对个人信息处理活动的控制力,而仅仅是弱化为透明性和个人的参与。美国的原则更多从企业的最低责任出发来规定,例如企业应当明确用途、提供安全保障等。〔24 〕我国未来的个人信息保护法是继续借鉴欧盟的严格流通原则,还是借鉴美国较为宽松的流通原则,值得进一步思考。个人信息总体上兼有人格属性与财产属性,特别是个人信息类别的不同决定了其财产属性的强弱,为了更好地利用个人信息,不能过分限制财产属性较强的个人信息的流通。欧盟的目的限制原则强调收集个人信息应当出于特定的、明确的和合法的目的,但是一些个人信息的收集、保存行为之初并不明确个人信息处理的目的,个人信息也许仅仅作为特别的资产进行处理,其利用目的可能在后续流通过程中逐步凸显出来。严格的目的限定往往会被信息处理者规避,就如同严格的同意原则未发挥实效。在整体的个人信息保护环境还没有形成之前,这两项基本原则往往流于形式。
我国未来的个人信息保护法在确立个人信息流通的基本原则方面应考虑以下两方面:(1)个人信息流通制度不仅应当保护个人信息主体的合法利益,还应当激励个人信息的有效流通,同时又不滥用权利,从而实现各方利益平衡。(2)个人信息流通还应助力共享经济的发展。共享经济作为市场经济在信息化时代的高级形态,其通过互联网平台的运用能在第一时间发现并调整市场经济实践中出现的供需失衡现象,便于及时形成市场经济的动态平衡,优化市场资源配置。〔25 〕个人信息收集、保存、分析、利用等环节都会倾注信息处理者的劳动,在某些领域,信息共享能带来更大的收益,信息处理的成本可以由社会分担。比如一些活动轨迹的测量信息既可以由个人信息主体利用,也可以由技术使用者的信息主体利用,但不能权利滥用。另外信息的自身性质也决定了可以共享。
可见,过去绝对保护个人信息主体的理念并不适合个人信息的最新发展,促进个人信息有序流通,实现个人信息合法共享应成为个人信息流通遵循的理念。
笔者认为个人信息流通的基本原则主要包括:(1)权利不得滥用原则。个人信息流通中不得侵犯个人信息主体的隐私权,不得違反公序良俗。(2)非歧视原则。个人信息在利用过程中,不能单纯依据个人信息对信息主体提供不公平的待遇。(3)透明原则。信息利用者的信息公示义务,应向个人信息主体告知:信息的类型、信息处理者的身份、处理的目的、信息的接收方等。(4)严格禁止敏感个人信息处理原则。一般情况下禁止处理可能泄露个人种族、民族、政治观点、宗教信仰、健康等方面的信息。(5)受益原则。个人信息一旦被信息主体利用,自然人对个人信息的控制将会减弱,但是个人信息与个人权利主体密切相关,利益共享机制应逐步建立,从而激励个人信息更有效率地流动。
(三)个人信息流通主体
个人信息是对自然人情况的反映,自然人对其享有法定利益。从个人信息流通的环节来看,个人信息流通涉及多个主体。采集个人信息的环节包括公法采集主体与私法采集主体。公法主体主要是行政机关以及法律法规授权的具有管理公共事务职能的组织,公权力部门采集个人信息应遵循社会公共利益原则,不得滥用该权力。私法主体包括其他组织体,主要分为以下几类:第一类是个人信息提供者,包括:(1)征信机构,是指依法设立,主要经营征信业务的机构。征信业务,是指对企业、事业单位等组织(以下统称企业)的信用信息和个人的信用信息进行采集、整理、保存、加工,并向信息使用者提供的活动。(2)大数据交易平台。比如2015年4月成立的贵阳大数据交易所,2014年4月成立的中关村大数据产业联盟、中关村数据交易中心,2016年4月成立的上海大数据交易中心等。规范的数据流通平台的搭建,对于抑制黑市信息交易,减少骚扰垃圾信息、规范数据交易行为,以及促进数据产业的发展意义深远。〔26 〕由于个人信息保护的相关规范比较缺失,也有很多非法的信息提供者。认定主体非法的标准之一,就是其采集个人信息的范围超越了法定范围。如《征信业管理条例》第14条规定:“禁止征信机构采集个人的宗教信仰、基因、指纹、血型、疾病和病史信息以及法律、行政法规规定禁止采集的其他个人信息。征信机构不得采集个人的收入、存款、有价证券、商业保险、不动产的信息和纳税数额信息。但是,征信机构明确告知信息主体提供该信息可能产生的不利后果,并取得其书面同意的除外。”该规定同样也适用于其他的信息提供者。认定非法信息提供者的标准之二,就是其设立不符合征信机构设立的条件。认定非法信息提供者的标准之三,就是其采集信息的程序未征得信息主体的同意。第三类是个人信息使用者。个人信息流通的最终目的就是利用个人信息。个人信息使用者往往就是个人信息流通的终端环节。个人信息使用者本身有可能就是个人信息的收集者,其使用个人信息应符合个人信息流通的基本原则。第四类是个人信息处理者。个人信息处理者可能是一个独立的主体,也可能就是信息提供者,如贵州交易平台可以对数据建模分析,协助大数据供应商将数据价值提炼出来,变成可以交易的数据资产。这时贵州交易平台既是个人信息处理者也是个人信息使用者。
笔者对个人信息主体的划分是根据个人信息流通环节进行的划分,包括个人信息权利主体、个人信息提供者、个人信息处理者、个人信息使用者,上述主体可能独立存在,也可能重合。
(四)个人信息流通程序
个人信息是对自然人情况的信息记录,在流通过程中应遵守个人信息流通的基本原则。个人信息流通根据自然人是否为流通的主体,区分为一级市场流通与二级市场流通。一级市场是指自然人自己提供的个人信息被其他主体收集。二级市场是指其他主体将自己获得的个人信息再次流通出去。一级市场中个人信息主要包括自己提供的个人信息、测量信息。根据《网络安全法》等规范,我国收集个人信息,应征得自然人信息主体的同意。欧盟新颁布的《一般数据保护条例》进一步强化了信息主体同意规则。我国相关立法也遵循了同意规则。如《征信业管理条例》第13条规定:“采集个人信息应当经信息主体本人同意,未经本人同意不得采集。但是,依照法律、行政法规规定公开的信息除外。”第18条规定:“向征信机构查询个人信息的,应当取得信息主体本人的书面同意并约定用途。但是,法律规定可以不经同意查询的除外。征信机构不得违反前款规定提供个人信息。”第19条规定:“征信机构或者信息提供者、信息使用者采用格式合同条款取得个人信息主体同意的,应当在合同中作出足以引起信息主体注意的提示,并按照信息主体的要求作出明确说明。”第20条规定:“信息使用者应当按照与个人信息主体约定的用途使用个人信息,不得用作约定以外的用途,不得未经个人信息主体同意向第三方提供。”我国的同意规则表现为积极同意、格式条款规制、限定用途的特征。但是严格的同意规则在实践中并没有充分发挥作用,未征得同意或者流于形式的同意非常普遍。同意规则的理论基础就是个人信息来源于自然人,因此自然人有权支配个人信息,该观点仍有待商榷。民事主体对客体的支配主要基于生产、先占、交易等关系,人身权的支配也是对主体的保护,人格利益与主体是重合的,其实体现的是主体的自由。但是个人信息并不是自然人劳动获得,有些个人信息还是有关组织体赋予的,如身份证号、社会保障号、电话号码等。从主客体角度,个人信息与自然人并不存在主客体的支配关系。当然某些个人信息本身就是自然人人格权的体现,如姓名、肖像等,这时自然人的支配正是主体自由的表现。对有些信息,个人可能从来就不曾有过支配,如病人对自己的医疗记录就未必了解。有的个人信息在被收集以前仅仅是一种客观存在,由于被收集处理,才有了经济价值,这时个人信息的“信息源”是个人,“价值源”却是个人信息的处理者。〔27 〕从个人信息的经济价值本身来看,个人信息的集合价值大于单个价值,而如何收集、整理、分析必然要付出一定的劳动,对于个人信息的经济利益,个人信息处理者可以主张。如果一些个人信息本身体现了自然人的人格权,即使对其利用产生较大的经济价值,也应对其限制利用或禁止利用。一级市场中即使直接针对自然人进行信息采集,信息主体的同意机制也不应绝对适用。禁止采集的个人信息是绝对不能流通,当然不适用同意规则;对于限制采集的个人信息,应征得信息主体同意。同意分为积极同意与消极同意,积极同意是明示表示同意。消极同意是指未反对,即视为同意。笔者认为对于限制采集的个人信息应遵循积极同意,但是对于其他的个人信息应以事后拒绝机制代替同意机制,同时受流通原则的规制,不仅要保证收集个人信息的程序透明,在技术上实现自然人信息主体行使事后拒绝权利时能倒追到信息收集者。
二级市场中自然人信息主体并不会介入个人信息的保存、利用、转让等流通程序中,《网络安全法》第41条规定,网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。《征信业管理条例》第20条规定,信息使用者应当按照与个人信息主体约定的用途使用个人信息,不得用作约定以外的用途,不得未经个人信息主体同意向第三方提供。现行规定并没有区分是否有自然人个人信息主体,即使在二级市场,也要受同意规则、目的特定原则的限制。二级市场上真正能比较自由流通的信息主要是匿名数据,匿名数据本身已经不是个人信息了,不在本文探讨范围。对于非匿名信息,应在遵循个人信息流通的基本原则基础上,由信息处理者自主决定。基于禀赋效应理论,人们在决策过程中对利害的权衡是不均衡的,对“避害”的考虑远大于对“趋利”的考虑。出于对损失的畏惧,人们在出卖商品时往往索要过高的价格。产权初始配置很重要,如果个人信息流通适用同意规则,那么自然人信息主体出卖信息往往也会索要更高价格,不利于个人信息流通。简而言之,二级市场的个人信息的价值应主要由信息处理者享有,在流通中发生的价值增值可以由自然人信息主体共享。
結语——回应实践
我国个人信息的规定散见于法律、行政法规等规范性文件中,个人信息的界定、分类及流通还未达成理论共识。《民法总则》第111条关于个人信息的宣示性规定,急需要具体规定的细化,个人信息的内涵和外延需要明确化。本文在对个人信息界定的基础上,将个人信息与隐私及数据进行了比较,并进行全面的分析,厘清了三者关系。接着又对个人信息的分类进行了梳理,提出以个人信息形成为标准的分类,弥补了敏感信息与非敏感信息分类的不足,从而为个人信息合理利用奠定基础。最后从个人信息流通界定、个人信息流通原则、个人信息流通主体、个人信息流通程序四个方面对个人信息流通的体系进行了构建,从而为解释《民法总则》第111条奠定了理论基础,以期实现个人信息保护的法制化。