大数据时代个人信息合理使用研究
2023-01-05谈玉欣
□文/ 谈玉欣
(首都经济贸易大学法学院 北京)
[提要] 在大数据时代,信息不是为了保护而存在于世间的,相反最初和最终都是为了利用。法律对个人信息的保护不是绝对的,规范个人信息处理活动以促进个人信息的合理使用也是《个人信息保护法》的一大立法目标。对于大数据时代的个人信息,最好的保护手段就是直接规范信息的利用行为。而我国施行的《个人信息保护法》却对个人信息合理使用的规定较少。笔者对比著作权法对合理使用的规定,认为对个人信息合理使用的研究是有意义的,希望能够解决什么是“个人信息合理使用”“个人信息合理使用”的正当性、如何界定合理使用以及怎样合理使用的问题。
大数据是以海量信息爆炸、高增长率和多样化的信息资产为特征的信息资源,而近年来互联网和信息行业迅速发展,世界正处于大数据时代。人们对于海量数据的挖掘和运用,预示着新一波生产率增长和消费者盈余浪潮的到来。在大数据时代背景下,个人信息发挥着越来越重要的作用。合理使用个人信息促进数据经济,引导其发挥好的社会作用以迎合时代的发展趋势,势在必行。
一、大数据时代的基本特征和发展趋势
随着科学发展与计算机设备的飞速发展,这也促使各个国家的科学家与学者进行了对大数据的研究和讨论,如Vikor Mayer-Schǒnberger 和Kenneth Cukier 所著的《大数据时代》等。
(一)什么是大数据。大数据是近年来IT 行业的热点词语,“大数据”在各个行业中也得到广泛应用,到底什么才是大数据呢?对于“大数据”,研究机构Gartner 给出了这样的定义,“大数据是需要新处理模式才能具有更强的决策力、洞察发现力和流程优化能力来适应海量、高增长率和多样化的信息资产”。百度给出的答案概括地说,大数据就是一种大规模的在获取、存储、管理、分析等方面超出了古老且传统的数据分析工具能力范围的数据总合,将杂乱而庞大的数据进行最专业的提取与精简。而笔者认为,大数据就是将大量综合性的有效数据通过挖掘与分析从而获得更大价值的信息集合。
(二)什么是大数据时代。最早提出“大数据”时代到来的是全球知名咨询公司麦肯锡,他指出“数据,已经渗透到当今每一个行业和业务职能领域,成为重要的生产因素。人们对于海量数据的挖掘和运用,预示着新一波生产率增长和消费者盈余浪潮的到来”。大数据时代不仅会带来人文技术、人文社会科学的发展和转型,也会给人们的日常生活和工作方式带来崭新的变化。第三次工业革命让人们进入了信息化社会,计算机及通讯技术到来,让人与人之间的联系更为便捷,自此,人类也将进入大数据时代,大数据时代会给人们的生产和生活方式带来多方面的影响。
(三)大数据时代个人信息发展趋势
1、信息数量爆炸式增长。大数据时代就是建立在通过现代网络渠道广泛将大量数据资源收集基础上的存储、提炼、智能快捷处理以及展示的信息时代。在这个“数据”时代,我们能够从各种各样的数据中获得可以推动人们生活方式变化的且有价值的信息量及数据。“大数据”展示了大数据时代从信息披露到动态显示图形数据技术的演变。在大数据开放的时代,会有越来越多的数据被交叉使用,将越来越多的数据整合在一起,形成完整的信息数据链。
2、个人信息范围广泛化。随着大数据时代对互联网信息的广泛运用,对个人信息的厘定不再仅限于传统意义的范围。法律视域内的公民个人信息虽然表面上仅仅表现为体现于公民个人的身份识别信息,但加强公民个人信息的法律保护却是维护整体社会秩序的必需。因此,应当根据此理念的基本指导,立足于公民个人信息的实质内涵与法益基础,对公民个人信息的范围进行应然扩充,方可符合数据化时代的发展所需。
3、个人信息价值日益彰显。个人信息的价值在现今时代,对于国家、事业单位、企业、个人来说都意义重大。数据带动了经济,也带动了人类社会的变革和发展。数字时代可以使越来越多的信息能够被数字化,进而被聚合处理。这种数字化进程改进了信息的聚合和交换,进而带来了巨大的社会价值。而个人信息作为数字化经济最具有潜力的客体,往往为各主体所需,势必会被时代而利用发挥出巨大的经济、政治和文化价值。
4、数据化生存和思维方式。随着近年来大数据技术的快速发展,大数据所创造的价值深刻改变了我们的生活、工作和思维方式。在大数据时代,互联网技术迅速崛起和普及,不仅促进了自然科学和人文社会科学领域的快速发展,而且已经充分融入了人们的社会生活,不同领域的人们收集的大量数据,达到了前所未有的水平。同时,也给人们的生活带来了极大的改变及便利。生存环境的变化势必会影响我们的思维方式。大数据研究专家舍恩伯格指出,大数据时代人们对待数据的思维方式会发生如下三个变化:第一,人们处理的数据从单一样本数据变成全量数据(全样本数据);第二,由于是海量数据和全样本数据,人们不得不接受数据的混杂性,而放弃对精确性的追求;第三,人类通过对大数据的处理,放弃对因果关系的渴求,转而关注相关性关系(即数据的关联性关系)。
二、大数据时代对个人信息合理使用的要求
(一)个人信息的概念和特征。个人信息作为大数据最具有潜力的客体,有必要对其含义进行厘定,但目前世界各国对于个人信息定义的内涵与外延存在较大分歧。纵观全球法律体系,即便在英美法系内部对此定义也存在不同。例如,日本作出较为细化的规定,个人信息的内涵不再局限于同一个人相关联的所有信息,其中可能包括姓名、生日、职位、电话簿、邮箱或公开发表的信息等,此外还需要包含某种单独不能区别的特定人,但结合相关信息能区别出特定某个人的一种或者多种信息。与日本存在一定区别的是,美国将个人信息称之为个人数据,通常来讲是指能够直接区分识别某特定人的数据。尽管由于国家体制原因美国没有一部统一的个人信息保护法,对个人信息的概念界定没有完全统一,但在实务中,各个州会在有关的判例中对个人信息的概念进行具象化界定。针对以上国家对个人信息的不同界定,结合我国司法实践中针对个人信息的处理,笔者认为,通常而言,个人信息是指一切能够准确辨识出某个特定人的信息的相加总和,在内容上应当包括但不限于自然人的姓名、性别、职业、年龄、婚姻状况等。而且个人信息应具有如下特征:
1、个人信息具有可识别性。无论是《关于依法惩处侵害公民个人信息犯罪活动的通知》中将公民个人信息定义为“能够识别公民个人身份或者涉及公民个人隐私的信息、数据资料”,还是《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》规定的“公民个人信息包括直接识别的公民个人信息、间接识别的公民个人信息和反映特定自然人活动情况的各种信息”,都将可识别性作为个人信息核心的、本质的特征。
2、个人信息具有客观性。个人信息并不是主观臆断出来的,其存在方式与信息主体一样是实在具体的。个人信息并非简单地以主观形式存在于主体判断之中,其也可以被外界自然地接受或者感知,例如最初认识一个人所获悉的身高、胖瘦等信息是可以直接被其他人所感知的。
3、个人信息具有共用性。不同于绝对的共用性,个人信息是相对的共用性。个人信息并非绝对地由信息主体独自掌控,在一些特殊情况下,个人信息是由信息主体以及信息使用者共同管理并使用。换句话说,在法定情形下除了信息主体以外,个人信息也可以被他人占有和使用。
(二)个人信息合理使用的内涵和外延。何谓个人信息合理使用中的“合理”,笔者认为应当同时包括理由的正当性、程序的规范性以及内容的适当性。
1、理由的正当性。合理的第一要义必须要满足正当的理由。在合理使用个人信息中,正当的理由可以包括符合公共利益的情形,例如行政管理的需要、司法程序的需要、公共安全治理的需要、已经公开的个人信息等,但都必须满足符合公共利益、理由正当且合目的性。
2、程序的规范性。在个人信息合理使用的程序中,不仅包括审批程序,还包括风险评估。规范的审批程序需侧重于对使用目的研究,着重于是否符合公共利益的考量。风险评估包括事前评估和事后评估,事前评估要基于信息性质对使用后的影响作出判断,避免造成过大的影响;事后评估要对使用后的影响预期作出监督,必要时采取紧急防范措施。
3、内容的适当性。合理使用必须是有限度的。个人信息的范围非常广泛,无限制的合理使用等同于非合理使用。因此,在合理使用前就要明晰使用的范围,仅限于合理的部分,而并非所有的个人信息经合理申请批准后都可全部使用,在使用的全过程必须秉持适当性原则,恪守个人信息合理使用的限度。
如何界定个人信息合理使用的含义,理论学界存在较大争议,站在不同侧重点的学者对个人信息合理所下的定义往往不同,整理对比后发现学界主要有两种不同的观点。传统观点学者认为,在对个人信息进行合理使用之前,信息使用者必须明确使用的方向和目的,在征得信息主体同意的基础上才可以使用信息。在使用的过程中,信息主体可以主观判断并且自由取消。信息使用者在使用中需要尽到安全保密义务,在使用个人信息时必须保护好他人的合法权益,不得对社会公共利益造成不适当的损害。持此观点的学者一般都认定同意是合理使用的必要前提。不同于传统观点,现在多数学者认为同意并不是合理使用的必要前提。合理使用信息主体的收集某种特定个人信息,并非一定得取得信息主体的同意。合理使用本身就应当允许对个人信息的正常流动,其主要功能体现于在合法的基础上,对个人信息收集整理可以不需要信息主体的同意而使用,在此逻辑基础上,合理使用并不必须支付报酬。
通过对比研究,笔者认为针对个人信息合理使用需要综合界定,特定情况,在保障信息主体权利不会遭受不利影响的前提下,信息使用者不需要征得信息主体的同意,可以对信息主体的个人信息直接合理使用。
(三)个人信息合理使用的必要性。从立法层面明确个人信息合理使用的具体情形具有必要性。一方面在个人信息保护和合理使用的权衡中,凡是涉及到合理使用的法益被优先保护,均要求合理使用的情形已被法律明文规定,这样才能维护法律的安定性;另一方面信息不是为了保护而存在于世间的,相反恰恰是为了利用。只有明文规定信息的合理使用,才能更好地在保护的基础上利用信息,规范个人信息处理活动,实现立法目的。且从社会经济学的角度来讲,个人信息属于一种虚拟经济流通物,因此必然可以产生相应的社会经济价值,保护好个人信息有利于社会的和谐稳定。随着社会不断发展,个人信息合理使用的事件发生频率不断增加,其产生的社会效果通常是积极正向的,而且个人信息合理使用的内容形式更加丰富,例如诚信档案制度、大数据疫情联防联控、行政管理和司法程序的需要等。但同样,滥用个人信息的情况也屡见不鲜,例如“大数据杀熟”、擅自披露个人信息甚至个人信息买卖等。可见,规制个人信息的合理使用,才能引导其发挥使用个人信息的积极作用,更好地发挥其使用价值。
三、个人信息合理使用现状及存在的问题
(一)个人信息合理使用立法现状。在国内,《中华人民共和国宪法》规定了“中华人民共和国公民的人格尊严不受侵犯”“中华人民共和国公民的通信自由和通信秘密受法律的保护。除因国家安全或者追查刑事犯罪的需要,由公安机关或者检察机关依照法律规定的程序对通信进行检查外,任何组织或者个人不得以任何理由侵犯公民的通信自由和通信秘密”,这确定了我国对待个人信息的基本规范。《民法典》第999 条规定,“为了公共利益实施的新闻报道、舆论监督等行为可以合理使用个人信息”,第1036 条具体规定,“可以合理使用个人信息的情形主要分为三类,即维护公共利益(国家利益和社会公共利益),保护个人信息权益主体的合法权益以及合理处理已经合法公开的个人信息”,为个人信息的合理使用提供立法上的引导。《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》第12 条规定了个人信息保护的除外情形,即除了国家行使职权,经自然人书面同意且在约定范围内公开的、为促进社会公共利益且在必要范围内的、学校科研机构等基于公共利益为学术研究或者统计目的的,经自然人书面同意且以公开的方式不足以识别特定自然人的、自然人自行在网络上公开的信息或者其他已合法公开的个人信息的、以合法渠道获取的个人信息都属于个人信息合理使用的情形,且为法律或者行政法规对合理使用个人信息另有规定的情形留有了余地。可见,我国有诸多法律条款都体现了个人信息合理使用的理念。
2021 年8 月20 日表决通过的《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)自出台就备受瞩目,成为了个人信息保护领域的基本法律,填补了个人信息保护专门立法的空白。作为特别法的《个人信息保护法》细化了《民法典》人格权和个人信息保护的法律规定。其第一条就阐述了立法目的,即“为了保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用”。《个人信息保护法》共分为“总则”“个人信息处理规则”“敏感个人信息的处理规则”“个人信息跨境提供的规则”“个人信息处理者的义务”“履行个人信息保护职责的部门”“法律责任”“附则”共八章,规定了诸多个人信息保护的措施,强化了侵犯个人信息的惩罚机制和力度,确立以“告知-同意”为核心的个人信息处理一系列规则,是个人信息立法的一大进步。但从整个《个人信息保护法》立法体系来看,整部法律对个人信息保护立法较为充分,对个人信息合理使用的规定较少。
在国外,早在1983 年德国普查案中就引入了“合理使用个人信息”的概念。德国联邦宪法法院认识到“自决权”是一般人身权利下的一项基本权利。同时,法官在判决中指出,“主权”在符合公共利益的前提下应受到某些限制,并应遵守具体规定。自德国普查案以来,德国各州已在其法律文件中纳入了合理使用个人信息的概念,自1995 年欧盟签署的《数据保护指令》到2016 年获批的《一般数据保护条例》中,“合理使用”的概念都有涉及。目前,国际上最具有里程碑式意义的法律是欧盟《通用数据保护条例》(General Data Protection Regulation,the“GDPR”),其在前言和正文中设置了许多正当利益条款,规定了涉及到公共利益,例如科学或历史研究及统计数目的、医疗健康及公共卫生事项、保存和披露公共存档资料、国际法义务、人道主义目的和政治选举目的的可以未经数据主体同意而适当使用个人信息。美国对个人信息采取“二元化保护”模式,即在隐私权之外再设立所谓的“公开权”或“商品化权”。虽没有综合性的个人信息法案,但美国各州对于保护和合理使用都有明确的立法规定。其中,最具影响力的是美国加利福尼亚州《消费者隐私法案》(California Consumer Protection Act,the“CCPA”),将个人信息保护和使用与消费者权益紧密结合,采用“隐私风险评估”制度对不同情况按照合理的标准评估是否属于合理使用个人信息。日本对个人信息合理使用规定得较为详尽,其《个人信息保护法》第50 条规定了个人信息合理使用的情形,一是广播机关、报社、通讯社以及其他报道机关(包括从事报道业务的个人),其目的系报道之用;二是从事著述活动的当事人,其目的系进行著述之用;三是大学以及其他以学术研究为目的的机关、团体或者所属的个人,其目的系进行学术研究之用;四是宗教团体,其目的系进行宗教活动(包括与之附随的活动)之用;五是政治团体,其目的系进行政治活动(包括与之附随的活动)所用。可见,日本《个人信息保护法》注重对合理使用中目的性的规制。
(二)个人信息合理使用实践现状。目前国内对个人信息保护和个人信息合理使用的研究比例颇为失调。对个人信息保护的研究不计其数,但是对个人信息合理使用的研究却屈指可数。目前,对个人信息的合理使用的研究和倡议也仅存在于言语和立法意见稿中。对于如何界定个人信息合理使用的含义,理论学界存在较大争议,整理对比后发现学界主要有两种不同的观点。一部分学者认为,在对个人信息进行合理使用之前,信息使用者必须明确使用的方向和目的,在征得信息主体同意的基础上才可以使用信息。在使用的过程中,信息主体可以自由取消。信息使用者在使用中需要尽到安全保密义务,在使用个人信息时必须保护好他人的合法权益,不得对社会公共利益造成不适当的损害,持此观点的学者一般都认为同意是合理使用的必要前提,如米新丽、徐磊教授认为个人信息合理的使用需要做到信息主体自愿提供、自主取消、报酬请求、信息收集者明确收集目的、来源正当、安全保密、不得损害他人合法权益及社会公共利益。当然,也有另一部分学者认为同意并不是合理使用的必要前提。合理使用信息主体的收集某种特定个人信息,并非一定得取得信息主体的同意。合理使用本身就应当允许对个人信息的正常流动,在合法的基础上对个人信息的收集整理可以不需要信息主体的同意而使用。在此逻辑基础上,合理使用无需同意并不必须支付报酬。如,程啸教授认为,“个人信息的合理使用与自然人同意他人处理其个人信息完全不同,前者的根本特征在于:处理者可以不取得自然人或者其监护人的同意就对个人信息进行包括收集、存储、使用、加工、传输、提供、公开等处理行为”。不过,自《民法典》出台,对于信息主体的同意不是合理使用的必要前提这一观点理论界已达成一致,但对于其他合理使用的情形由于立法不够明确依然存在争议。笔者认为,个人信息的合理使用总地来说共有两种情形:一种是经信息主体同意;另一种则是为了公共利益而适当有限地使用个人信息。
而对于什么情况下可以不经同意而合理使用,我国学者对个人信息合理使用的立法构想有:周汉华主持设计的《中华人民共和国个人信息保护法(专家建议稿)》第10 条规定了,国家安全、纯粹的家庭活动、法人或其他组织所处理的个人信息数量较少且处理活动不太可能对个人权利造成侵害的使用可以不适用《个人信息保护法》,即不绝对保护信息主体利益。由齐爱民主持设计的《中华人民共和国个人信息保护法(草案)》第22、第27 条也规定了国家机关和非国家机关合理使用个人信息的情形,包括以下六种情形:法律法规明文规定的,为维护国家安全、公共安全或增进社会公共利益,为防止信息主体或他人人身或财产上的重大利益遭受侵害所必要的,进行学术研究所必要且无害于信息主体利益的、但研究人员或机构应当对使用的个人信息进行保密,有利于信息主体权益的,信息主体书面同意或授权的。笔者认为,不经同意而使用个人信息的情形有很多种,需要结合实践进行分析汇总,需根据合理的判断标准和使用目的进行个案分析。
国外对个人信息合理使用的研究较为充分。美国丽莎·纳尔逊教授认为公众其实愿意接受使用个人信息来达到某些政府目标。然而,这种愿意并非没有限制,影响接受程度的因素包括政策的可实现性、所使用数据的敏感性、具体的政府目标以及对利用数据的政府部门的信任。加拿大学者马西森大卫采用是否有“隐私的期望”来界定是否属于合理使用,对待个人信息合理使用,他认为个人信息主体对其隐私有合理的隐私期望则通常排斥合理使用,即“对隐私的期望是一种规范性的标准,而不是描述性的标准”。另外,加拿大的威利森唐纳德教授认为健康研究的突出成果在很大程度上依赖于获得了广泛的现有个人健康信息,所以个人信息应合理使用于健康信息领域,但应该让使用机构在研究结束时承担数据保管责任,不仅需要保护数据,而且最终是为了确保负责任地使用数据。日本的宫崎骏教授认为,“虽然传统的隐私概念在新问题上仍然有效,但社会和技术发展降低了个人在互联网扩张时代独处和控制自己的个人信息的能力。面对新兴的新技术往往没有完善的监管制度,但由主管政府部委监督的日本自我监管制度,可以被看作是一个积极主动的制度,符合日本原有的隐私文化,尊重对隐私的合理期望,也能促进隐私的合理使用”。
(三)个人信息合理使用中存在的问题
1、现有制度存在不足。尽管2021 年11 月1 日《个人信息保护法》已出台,但需要承认的是其中对于个人信息的保护和使用制度依然不够完备。虽然同意是个人信息合理使用的重要前提,经个人信息主体同意后可以对信息进行合理使用,但是告知同意原则有着其固有的缺陷。首先,从法律原则与法律规则的关系来看,告知同意不具有原则性的地位。在内容上,规则是具体明确的,而原则是高度抽象和概括的。告知同意当然是一项具体制度,并不能成为处理使用原则性的条款。而作为具体规则中的“同意”之类型也有着不同的划分,有强同意、弱同意、择入同意、择出同意、特别同意、概括同意的区分,还有动态同意、空白同意、推定同意、单独同意、书面同意等多种类型,这些类型中哪些才是真正有效的同意值得商榷。其次,告知同意在实践中并不能完全发挥其应有的作用。很多用户习惯性地不经阅读告知内容就点击同意,信息主体难以真正行使其权利,告知同意机制存在被滥用的危险。立法虽然规定了“个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由,拒绝提供产品或者服务”,但实践中用户对“隐私政策”却难以真正行使拒绝权。最后,在适用范围与适用方式上,告知同意只能以“全有或全无”的方式适用归责原则。告知同意本身不能称为个人信息保护的“帝王条款”,不应具有统摄个人信息保护法的地位。欧盟《通用数据保护条例》第6 条、第23 条中,对个人信息合理使用的情形作出了规定,通常情况下,信息主体如果受到信息管理者的影响,例如双方是雇主关系,或存在上下级的公共权威领域,社会实践中需要考虑到关系的特殊性,同意一般情况下并不被认为是自由作出的。无明确目的的笼统同意往往是无效的,因此需要针对特定的对象做出自由的表示。同意需要清晰准确地指出信息处理的结果,尤其需要注意特定同意条款需要与一般的格式条款相区分。日本的《个人信息保护法》在第16 条对特殊事项进行了明确,事先可以不征得信息主体同意而收集信息主体信息的情形作出了详细规定,与此同时,第9条也对收集个人信息免于告知的情形作出了概括性规定。结合英美法系国家对个人信息合理使用的立法规定来看,有很多共通的情形。主要是出于保护国家以及其他公共利益角度考虑,比如维护公共利益,一般包括国家利益以及学术自由等其他社会公共利益;或者是保护某些自然人的特定权益;在一些已经公开的个人信息中,尤其是公开发表的个人作品,个人信息的合理使用同样存在较大的发展空间。
2、法律程序尚不完善。个人信息合理使用的制度存在不足。虽然《宪法》《民法典》《数据安全法》《网络安全法》以及一些司法解释等都有条文体现出个人信息合理使用的理念,但都不能直接作为合理使用的合法性来源,《个人信息保护法》又没有对个人信息的合理使用进行直接规定,其所确定的处理原则偏重于数据收集环节,难以适应大数据时代信息使用的要求。立法对于处理的界定还很模糊,具体是否包括信息的使用尚不明确。大数据时代的发展必然需要对公民个人信息进行收集、整理,由此会带来公民信息自由与个人信息商业使用之间的利益冲突。公民的个人信息安全与信息流通利益之需要二者的利益冲突是不容忽视的,法律的天平不应当偏向于任何一方。立法应当平衡信息主体的利益和数据使用者之间的利益,在保障个人信息权的同时促进信息合理使用。正如《个人信息保护法》的立法目的一样,《个人信息保护法》必须保护却又绝不仅只是保护信息主体一方的利益。
3、责任规定不明确。《个人信息保护法》中虽然确定了在涉及到侵犯个人信息的案件中举证责任倒置的归责原则,减轻了个人信息主体的举证责任。但由于前述的个人信息合理使用的制度存在不足,法条中也未对非合理使用的责任形式、惩罚力度予以明确。对非合理使用的责任规定不明势必会导致信息控制者滥用个人信息的可能,因此在立法层面规定非合理使用的责任具有必要性。此外,个人信息侵权的隐蔽性使得侵权主体难以认定。信息服务提供商利用先进的信息技术,可以轻易对个人信息进行收集和处理,往往会倾向于自身而越界合理使用的范围,由此带来的个人信息侵权行为往往难以被信息主体察觉。不管是初期的收集,还是后期对个人信息的非合理使用,信息主体无法第一时间察觉甚至无从而知。往往造成严重后果后却因网络隐蔽、侵权主体众多等原因无法认定侵权主体,从而难以追究相应责任,信息主体很难获得法律救济。
4、缺乏自律机制。随着网络信息时代的高速发展,互联网为人们的吃穿住行等日常生活带来极大的便利,越来越多的企业由传统的线下服务盈利模式转为依托线下加线上的方式为人们提供服务,例如寄快递、购物、点外卖甚至购买不动产都可通过网络完成,这其中必会牵扯到个人信息的收集、处理、合理使用的问题。而目前我国仍缺乏由政府牵头制定的行业统一自律规范,各企业仍是各自为政,导致不同企业对个人信息的保护程度不同。行业自律源于美国的“安全港模式”,即将国家立法模式与民事主体的自律模式相结合的综合保护模式。这种立法模式既坚持了立法的强制性与统一性,又结合了具体民事主体的实际情况,具有一定的优越性。荷兰、我国香港等部分国家和地区在个人信息保护的立法上都借鉴了这种立法模式。我国基于本国国情,可以在颁布统一的《个人信息保护法》的基础上建立相应的行业自律机制,使其成为《个人信息保护法》的有力补充,配合《个人信息保护法》的实施,进而弥补立法的稳定性需求与社会经济技术发展的灵活性之间的矛盾和冲突,在保护个人信息权利的同时激发行业组织的活力与社会的良性发展,真正实现个人信息的合理使用。
四、完善个人信息合理使用的意见和建议
大数据时代对个人信息合理使用提出了挑战。在此之下,合理使用个人信息具有可行性。个人信息的合理使用具有坚实的法理基础。个人信息具有一定的隐私性,对其进行保护符合人权理念的要求,此外源于合理使用个人信息有利于保障经济秩序、生活秩序的正常运行。第一,法律保障人权。法律通过对人权的确认,使得人权能够在制度上成为一种法定权利,人权理论才得以更好发展。在权利运行过程中,个人信息权利是个人信息合理使用的基础,与此同时,个人信息权利的运行基础是宪法中明确规定的人格权,而人格权是一项最基础的人权。可见,法律的保护是双向的,在认可个人信息合理使用的同时,保障个人信息权利的合法有效实现,从而在根本上更好地发挥人格权的积极作用。第二,法律需要保障正常生活秩序。随着经济社会的不断发展,个人信息作为一项重要的社会资源,其所具有的经济价值以及社会效益不言而喻,经济社会中信息流动也十分频繁。在立法上,民法通过对个人信息的合理使用进行明确规定,明确个人信息合理使用中各方主体的权利义务,进而起到规范使用个人信息的作用,不仅有利于防止信息侵权行为发生,也在一定程度上维护了良好的经济秩序。在此基础上,通过对个人信息合理使用进行合理的法律规制,可以有效实现个人信息的合理流通,最大限度地实现法律价值。具体而言举措如下:
(一)明确合理使用的具体情形。在符合公共利益的情况下,通常才有个人信息合理使用的发挥空间。对于公共利益的判断标准需要把握以下两个方面:第一,公共利益必须具备公益性。公益的概念不应当做限缩解释,这里的公益不仅仅是将个体利益整个混合一起,更不是将个人利益机械相加;从某种意义上来说,它更是整个国家、社会整体综合性的正当利益,在本质上是个人之间亦或是群体之间发生内部竞争的结果,因此结果的好与坏必然会关乎社会中的每一个独立个体。在衡量某种利益在性质上是否属于公共利益时,主体需要进行较全面的考察平衡,考虑整体利益的同时也要兼顾个体的独立利益。法院在审理案件中对不同主体信息进行区别划分,大多是为了保障公益性的顺利实现。第二,公共利益必须具有程度上的合理性。公共利益需要符多数人的心理预期,公共利益需要对个人利益的限制是合理的,二者之间处于动态的平衡状态。具体来说,立法可采取正面列举和反面排除两种方式加以规定适用的情形,并结合《著作权法》的列举式和要素分析式来细化。笔者认为,个人信息合理使用主要适用于公共利益、公共安全、行政管理、司法程序以及在严格条件下的个人合理使用这几类情形。
(二)规范合理使用的法律程序。一是明确合理使用个人信息的主体。鉴于合理使用的公益性质,合理使用的主体大部分是公主体,而在一定情况下也可由私人主体使用。除了信息主体真实有效的同意,如果涉及到公共安全,如疫情、突发情况等公共安全之情形,国家可以合理收集并使用个人信息;如果涉及到经济发展等公共利益的情况,事业单位、社会团体等可以合理使用个人信息;如果涉及到司法程序之必需,法院、检察院等司法机构可以依职权合理使用;如果涉及到个人合理使用,条件就应严苛以体现其规范,必须满足非商业性、主观善意、使用不会给信息主体带来不利影响或已经公开等条件。二是建立合理使用的监管机制。按照《个人信息保护法》的规定,国家网信部门是个人信息保护的监管主部门。除了国家各级网信部门要对信息的使用进行监督并备案,行业协会也应该成为信息使用的监督主体,因为消费者常常是个人信息被侵害的主体,而消费者协会也是促进个人信息保护、监督个人信息使用的重要主体。另外,个人也是对个人信息权最直接且最有效的监督主体。
(三)非合理使用个人信息的法律责任。笔者认为,当前需要加强对个人信息的保障力度,通过不合理使用个人信息造成的人格利益受损,进而产生的精神损害需要进行一定赔偿。精神损害赔偿的目的主要是安抚作用,通过给予受害人一定的金钱来弥补行为给精神上带来的创伤。在个人信息侵权中,通常无法具体确定的赔偿数额,此时法官的自由裁量显得格外重要。但如果仅仅依靠法官的自由裁量,必将会产生滥用权利的行为,因此需从制度层面明确裁判者的裁判内容与方式。我国台湾地区的相关法律内容有较好的借鉴意义,在法条中确定最高赔偿额度,由此可以保障法官的自由裁量的权利,也极大地限制了法官的滥用权利,从而实现了对数据主体损失的弥补。对于起诉方式,不仅仅局限于私益诉讼,可结合公益诉讼来维权。再从立法上细化信息主体的更正删除权的行使方式,明确举报和申诉的主体,能使得信息主体救济方式更加多元化。
(四)增强大数据背景下行业管理力度。大数据产业的不断发展与个人信息数据保护之间存在一定张力,为了保障信息主体的合法权益,规制产业发展中存在的不当信息处理行为,大数据产业从业者需要在严格恪守法律监管之下运行,进而推动行业监管体系的完善建立。国内互联网巨头奇虎曾提出“四不三必须”的信息使用规则,限制互联网从业者对信息主体个人信息的不合理使用。中国互联网协会多次发布行业公约,督促成员严格遵守国家相关法律法规,保障用户个人基本信息权益不受侵犯。此外,对于非法或者不当收集、买卖个人信息的行为,一经发现,会员单位以及个人均有义务进行举报。内部监督部门也有义务积极进行组织调查,核实后则要求立即停止侵权行为并限期做出整改,情节严重的则取消相关身份,相关企业取消准入资格退出市场。此类规制不仅能够适应大数据产业市场变化要求,也能从源头上有效遏制个人信息的非合理使用行为,保障社会秩序有序稳定。
总而言之,在大数据时代个人信息合理使用应当在立法中予以明确规定。希望通过不断的研究来促进合理使用制度的完善,在保障个人信息权的同时规范个人信息使用。弥补个人信息合理使用的立法空缺,使个人信息合理使用有法可依。完善个人信息保护相关法律,弥补告知同意原则的适用缺陷。权衡个人信息主体和信息控制者的利益,形成具有中国特色的个人信息法治体系。