数字时代个人信息保护与收集使用的法益衡平路径探析
2023-01-06俞陶涛
俞陶涛
(南京审计大学,江苏 南京 211815)
当下,信息技术的飞速发展使个体转变为“信息”,个体在“数字化”时,其人格利益的完整性与主体性可否被保护周全[1],传统私法遵循“权利本位”,确定了对于个人信息的收集使用,必须遵循目的限制原则,避免了企业基于事实上的强力而对个人权利形成倾轧,在大数据与算法技术发展的初期起到了积极作用。可同样不容否认的是,经济生活的进步,尤其是数字经济生活,必须基于多类数字技术才得以实现,也必须促发种类繁多、技术复杂的个人信息产业本身的发展。故而,针对个人信息这一法律客体,不可将“保护个体权益”这一理念绝对化,而应在相关法律规范已然构建的基础上,对企业收集使用个人信息的行为适量“解绑”。为此,本文将分析的起点放置在相关行为事实上,从企业对个人信息收集使用的现状出发,既辨明其“乱”在何处,也尝试发掘其“可矜之处”。
1 个人信息收集使用与法律保护的现状
1.1 “乱象”缘起:数据生产要素与个体权利标识
新事物的特征与本质难以为通行法律概念所囊括,于发展初期必定引发乱象。数字时代,传统个人信息逐步被数字信息所取代,个体逐渐被“数字化”。2019年,“数据”这一属概念在党的十九届四中全会上,明确被认可为新的生产要素①。这意味着个人信息本身就已经成为市场经济中的重要要素。在市场规律的作用下,个人信息的生产要素属性一经发现,即被资本化。收集信息的主体(企业)未经权利人同意或使权利人“被同意”,采取各种技术手段进行大数据杀熟、精准投放营销信息,是行业初期普遍“乱象”②。即便商家基于合法目的,经权利人同意,也会出现过度收集的情况③。可见,单纯将个人信息视为生产要素,将使得企业相关行为仅需遵循资本增值规律——这无疑对个体权利形成冲击。在被概念化为“生产要素”之前,个人信息往往作为权利个体的对外特征标识而显现,一开始就具有高度的个体权利属性。个体权利的实现过程非以意思自治为原则而不正义。对于个人信息,其理论上应当以个体的“知情—同意”为实现方式,其事实上却是由相关企业“非给即走”的服务条款所实现。这一矛盾的现实展开,就是数据收集者以其事实上的强力地位控制了法律规范中私权实现的商谈过程。
1.2 “乱象”治理:个体权利倾斜保护与相关质疑
《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)被当作绝对的权利保护法,对个人信息作为数据生产要素与个体权利标识的两岐,做出了明确倾向;该法第二章“个人信息处理规则”中,对个人信息收集使用者行为,也大多采取禁止性或限制性规范加以表达,似乎“乱象”可以通过限制企业行为就能得到治理。然而在个人信息作为事实上的生产要素的前提下,这一思路是否是真实可能的?由于《个人信息保护法》新近颁布,援引其裁判的相关案例并不丰富。可个人信息作为数据生产要素与个体权利标识的价值衡平难题,并非为我国大陆地区所独有。事实上,我国台湾地区很早就进行了个人信息的专门立法,积累了大量的判例[2],值得类比参照。2012年台湾地区某通信公司推出一项APP应用服务,允许使用者知悉其手机通讯录中亲友电话号码所属的运营商,以此确认通讯录中的亲友是否属于网内,以享有较便宜的话费。但该企业遭消费者起诉,认为该APP违法收集并使用其个人信息而请求损害赔偿。
此案中,法院对于“电话号码所属的运营商”这项数据是否属于个人信息的看法,见解各异。采肯定说者认为电话号码是一种个人信息,而“号码所属运营商”是电话号码的附属数据,可以间接识别特定个人。采否定说者则认为,电话号码仅为数字组合,无法直接识别特定个人,必须与其他数据对照、组合、连结,而“电话号码所属的运营商”虽然与电话号码相结合,仍极难起到识别特定个人的作用。台湾地区电信事业主管机关最后形成不予处罚决议,其理由是:无论是由APP提供用户查看通讯录中电话号码的所属运营商,还是查看结果为“网内”或“网外”,均不足以直接或间接识别该电话号码的个人身份,没有个体权利受侵害的事实,当然不属个人信息相关立法所保护的目标及适用范围。
可见,“个人信息”并非作为整体概念而与“个体权利”直接相关,对其实行的法律保护也不应绝对化,而需对信息本身是否包含“隐私敏感性”进行实质判断。当然,作为立法原则,《个人信息保护法》中目的限制原则仍旧处于统御地位。下文将对该原则做概念分析,辨明其语义中心,为个人信息的分类讨论奠定基础。
2 目的限制原则的法理辨明
2.1 目的限制原则的概念构成要素
以框制企业收集使用个人信息的目的为立法语言技术,不失为有效做法。对个人信息的合法收集理应分为两个部分:采用合法的手段,且建立在权利人知情并同意的基础之上。参见《个人信息保护法》第六条,企业非基于法定目的而不能收集使用个人信息④,且企业后续的收集使用行为也必须与其目的“直接相关”,此即为“目的限制原则”。该原则也见于现行其他相关法律之中⑤。由是,对企业具体行为的限制与企业行为目的之间有了合逻辑的法律联系。
该原则中的“目的”可被进一步细分为两个要素,即“明确”与“合理”。“明确”是对企业行为目的在对外表达上的形式要求,旨在赋予其就信息使用目的的说明义务。“明确性要求”拒绝语词含义过于模糊宽泛的目的表达。企业在《用户服务协议》等文本或语言情状下,向用户个体申明个人数据收集的行为目的时,必须在审慎厘定目的层级与过程结构的条件下,以公知公用的方式表达之,确保用户个体对企业目的在常识范围内不存在歧义或误解,以避免被认定违法。不仅于此,明确性也进一步要求在用户就信息使用目的方面,以知情权未受充分保障为理由,要求企业进一步解释,或达成相关补充协议时,企业不得拒绝。
“合理”是对企业行为目的在内生要素上的实质要求。“合理”的前提是“合法”,且在概念上更偏重于公共秩序与善良风俗等超越法律的伦理规范要求。因此,“目的合理性”包含两层位阶的构成要素:首先,企业作为信息收集使用者,其目的不得违反法律规范,包括强制性规范与当事人间的任意性规范;其次,其目的不得违反伦理规范,包括具体私法行为所指向的生活领域内规范(如互联网社区公约)以及一般社会伦理规范。当然,“合理性”作为概念是明确的,但其中具体要素往往呈现为“地方性知识”,因此其后置于“明确性”要求,且在个案中必须借助具体案情加以判断,以避免其堕为教条。
合法的个人信息收集使用目的与具体行为间,在“目的限制原则”内,依照目的与手段间的“关联性”组成逻辑结构,又根据《个人信息保护法》特定化为“直接关联性”。显然,直接关联性如果仅仅指代企业后续行为与次级行为,及其合法目的直接的逻辑远近关系,那么企业为避免违法,必将就每一具体行为向用户重复收集个人信息,造成“双输”局面。故而,对于“直接关联性”应当采用目的解释说,既然《个人信息保护法》同时具有行为规制之法律效果,那么对企业的个人信息收集行为就不可以禁止为规范原则,而应对其行为起到引导帮助的合规作用。笔者认为,“直接关联性”应基于企业具体行为所属行业的技术规范来判断。比如大数据产业中,相关企业的数据分析行为对个人信息的二次处理,就并未超越其《用户服务协议》中申明的合法目的。
2.2 目的限制原则的价值基础
诚如黑格尔所指出,作为“外部定在”的私法规范以“有限性”规定了“我在”,可目的上其并非为限制而行规定性,相反,恰恰是为了彰显“我在”的普遍自由本身。信息时代对个体的个人信息权利的保护,要以促发个体与企业的“商谈行为”为指引,而非以严格限制性措施将企业赶出商谈场域。前文中对我国台湾地区的司法判决分析就已显示,法院见解分歧的情形表明,若对于企业就个人信息的收集与使用之合法性的认定标准仍趋于保守,认为个人信息保护的目的仅在于避免个人权利遭受侵害,则势必忽略了“促进个人信息合理利用”也应是个人信息立法的价值基础。
当今世界范围内的普遍立法价值,均强调对个人信息的利用不得建立在牺牲人格尊严的基础上[3]。《个人信息保护法》构建了以权利主体为中心的保护体系,目的限制原则在其中也发挥着无可替代的作用。但“权利保护”不可能是静态直观的,而是在具体行为中动态显现的。若对目的限制原则只做“权利保护”路向的价值阐理,就意味着个人信息的数据生产要素价值,先验且绝对地处于较低位阶。数字时代,若细细深究,则举目所见的数据都属于个人信息,如果个体对个人信息的绝对控制与支配是企业获得授权处理信息的前提,则目的限制原则的理论基础必然僵化。个人信息具有隐私属性,但隐私属性并非个人信息的绝对特征——个人信息的非隐私性部分一开始就具备公共识别功能。个人隐私非经本人同意不得获悉,但是对于姓名,“起出来就是给别人叫的”。个人权利保护的价值倾向,在确定个人主体性之外,隐隐存在将“个人信息”与“隐私权”混用的风险。
因此,可以承认“权利保护”的先验,但不能将之绝对。信息产业本就属于国务院确定的七个战略性新兴产业,《个人信息保护法》对个体的真实意思表示予以尊重,非为绝对化其个人信息的支配权与控制力,而是为个人和企业设定行为模式的法律评价,鼓励双方积极进入数字生活,并在信息分享利用中塑造新的产业模式。目的限制原则的行为规制价值需要尊重个人信息作为数据生产要素的属性。向企业阐明,其需要在收集信息时明确告知主体其具体意图和目的、处理方式、可能产生的风险等事项,并在承诺的目的范围内按其承诺的方式处理信息——以之为行为规范,即是私法活动的合法参与者。
3 个人信息概念的应然分类
3.1 个人信息类型化的理论纷争
受制于路径依赖,权利标识要素在概念中被默认为居于中心。《中华人民共和国民法典》(以下简称《民法典》)将之放置于人格权编做专门规定,即是明证。立法者将“个人信息”与“隐私权”并列为章目的表达,也体现出其更偏向保护个人信息在权利标识上的“隐私性”。但进一步分析《民法典》第一千零三十四条第三款,显然,在强调“隐私性”之外,立法者也注意到个人信息的非隐私面向,明确表示应区别保护⑥。通过梳理众多的个人信息类型化区分之学说,笔者大致将其分为理论与规范两部分予以介绍。
就理论层面而言,项定宜、申建平认为,个人信息可依据与“人格权”的种差远近关系,分为紧密型与疏远型,其中紧密型个人信息以个体性、敏感性、直接识别性为特征要素,否则为疏远型个人信息[4];袁泉、王思庆以个人信息时间性周期为基础,认为个人信息具有一定的生命周期,且在不同的阶段会呈现不同的利益形态,因而个人信息可被划分为私密信息、事实信息和预测信息[5];刘迎霜基于人的社会属性,认为自然人与生俱来的生物信息是自然性个人信息,而当个体为能够参与到社会生活中,主动或被动获取的相应符号或信息则是社会性个人信息[6]。虽然学者们在应然分类这一问题上各执己见,但其根本意图仍是对个人信息进行类型化处理,以期针对不同的信息采取具体保护措施,以此平衡信息收集者与信息主体间的矛盾。
就规范层面而言,现行立法中对于个人信息的类型也依据不同分类标准而证立。《信息安全技术公共及商用服务信息系统个人信息保护指南》(以下简称《保护指南》)以敏感程度为标准,将个人信息分为敏感信息和一般信息。《民法典》第一千零三十四条以信息的私密性为区分标准,规定个人信息分为非私密信息与私密信息;第一千零三十六条以是否公开为区分标准,将个人信息划分为未经公开信息与经合法公开的信息。《个人信息保护法》延续了相应的立法理念,在既有规范之上,综合《保护指南》与《民法典》第一千零三十六条之规定,对个人信息分类作进一步完善的规定。
3.2 个人信息概念类型化的理想选择
笔者认为,个人信息概念类型化应以其是否具有敏感性为分类尺度。相较于其他类型的个人信息而言,个人敏感信息一旦被泄露或被非法使用,由于其具有对个体的直接识别性,个体遭受人身、财产方面等侵害的可能性则更大,相关侵害与人格权利益受损的相关度更高⑦。就立法角度而言,有关个人信息保护的实质性差异体现在敏感信息与一般信息的区分,侵害个人敏感信息可能会对信息主体造成毁灭性的伤害,因而需要提高对其保护的标准。通过上文梳理学界有关个人信息分类之学说,敏感信息也是诸多理论分类中的核心要素。人格紧密型的个人信息中,就已包含了信息的敏感性。以个人信息的生命周期为划分依据,“私密信息”语词本身便已包含“敏感信息”。即便以公开与否为标准,也可从中提取出“敏感信息”的要素。
若将视角转向世界,以敏感程度作为区分依据,建立个人信息保护的规范体系既是顺应历史潮流,也是符合国际趋势的。以欧洲理事会颁布施行的《关于个人数据自动化处理中的个人保护公约》(1981)、日本修正的《个人信息保护法》(2018)、《欧盟一般数据保护条例》(2018)为例,目前大多数国家和地区均以“敏感信息与一般信息”为标准以区别规制个人信息保护。而在我国,以诸多规范性文件⑧为依据的司法实践中,也是以敏感度为区分标准的。如“罗某、巢某诉南京市规划和自然资源局、南京市人民政府土地行政登记纠纷”一案中,法院认定有关房屋的权属信息为敏感信息,非经法定程序不得公开⑨。又如“陈某平侵犯公民个人信息罪”一案中,卡主手持身份证照片被法院认定为个人敏感信息并加以保护⑩。“朱某与北京百度网讯科技有限公司隐私权纠纷”一案中,法院参照《保护指南》5.2.3条之规定,对个人信息予以区分,将个人信息区分为敏感信息与非敏感信息⑪。总览我国司法实践,各法部门内涉诉案件之裁判逻辑,均体现出一种倾向性:以敏感信息与一般信息为区别规制之标准,是符合司法实践、适合我国国情的理想路径。
4 个人信息的法益衡平路径
4.1 信息采集主体要自觉恪守“去识别化”
承接上文分析,统合个人信息保护与收集使用之两造分歧的有效路径,是在目的限制原则下对个人权利保护做动态考量,承认个人信息的数据生产要素价值,在收集与使用行为上将个人信息的隐私性部分“脱敏”。“去识别化”是将个人信息的公开与隐私部分相脱离的有效技术手段。在数字时代,企业应重视如何将个人敏感信息的数据隐私风险掌控在合理且可接受的范围内。判断去识别化的有效性,实际上是对风险本身的评估,只有将个人信息的生命周期,从隐私权政策、风险评估到去识别化操作、重新识别等环节都包含在内,才能真正起到去识别化的效果。
学者Tene与Polonetsky倡议,可比对个人信息再识别本身在统计学上的可能性,并搭配企业对于不进行再识别的合法承诺以及契约义务,以达到防止效果。笔者也认为应将基于个人信息安全原则所采取的去识别化方法视为一种保护措施。企业应尽可能将个人信息去识别化,同时不放弃对数据进行有益使用,或许才是较为明智的做法。为使该做法行之有效,企业应当以目的限制原则为动机筛选,优先考虑去识别化数据的使用目的。当去识别化数据(例如须经反复对照、组合、链接而耗费巨大时间、费用、人力后,方可识别某一特定个人的数据)难以反向定位到特定个人时,该数据则不构成合理的隐私期待,相关信息则不属个人信息立法的规制范畴。于此,企业可将对去识别化数据的使用与二次使用,独立于个人数据初次使用的类型之外。
4.2 在风险可控范围内采集信息
作为权利主体的个人,在企业遵循目的限制原则前提下,也必须接受系统性风险的存在。贝克的风险社会理论指出,风险是社会发展的结果,是与现代化的威胁力量以及现代化引致的怀疑的全球化相关的一些后果。在风险社会理论下,数字空间有其自生的系统性风险,有关个人信息的纠纷非可单向度归因于企业的收集使用行为。相反,非敏感性个人信息的价值更多地体现于利用价值,若片面强调对信息保护而无限放宽对信息敏感性认定的标准,则无法符合当今社会需要及经济发展。综合学者有关信息处理风险程度的理论,本文拟提出以下几项标准:
第一,信息的敏感程度。识别性作为个人信息的核心特征,若某信息可直接锁定某自然人的身份,则可认为其为直接识别;若某信息无法直接锁定自然人身份但辅以其他信息可确定的,为间接识别。故而,识别性可体现出信息的敏感程度。就具体个案而言,若信息的识别性越强,则敏感度越高,那么企业在处理信息时所受的限制就应更多。
第二,企业对风险的控制。特定的行为或活动必然伴随着相应的风险。当行为人做出特定行为时,必然要对风险实现时的责任予以承担[7]。也即,当企业做出信息处理的行为时,伴随信息处理活动所产生的风险及风险造成的不利后果必然由企业承担。此时,企业对风险的控制能力与风险发生的可能性、后果的严重性呈负相关。
第三,个体预期的处理状态。法律保护合理的信赖,但企业不得以个体无法预期的方式对收集的信息进行处理。个体基于信任同意企业对其信息进行收集、处理,企业对于个体的信赖则负有相应的保护义务,应当以双方约定的方式对信息进行合理的利用。有鉴于此,企业应将处理信息所产生的风险限缩在合理范围内,建立相应的风险防范机制。若风险超出合理范围,企业需要对个体做出相应的风险告知以重获个体的授权;若风险未超出合理范围,但基于原有风险会产生扩大之趋势,企业仍需告知个体并重获授权;若个体表示拒绝,则企业须停止信息处理工作,除非企业有合理理由及证据证明继续处理信息的利益大于个体的利益。
注释:
①2019年10月,党的十九届四中全会通过了《中共中央关于坚持和完善中国特色社会主义制度推进国家治理体系和治理能力现代化若干重大问题的决定》,指出“健全劳动、资本、土地、知识、技术、管理、数据等生产要素由市场评价贡献、按贡献决定报酬的机制”。
②参见2021年中国青年网的专题报道《315晚会曝光九大行业乱象,个人信息安全问题曝光率最高》,https://baijiahao.baidu.com/s?id=1694374815736254320&wfr=spider&f or=pc,最后访问时间:2022年1月14日。
③以某头部购物平台的《用户服务协议》为例,其中关于用户个人信息与隐私权政策表示,在消费者使用该平台的产品或服务时,该网站将至少向用户收集“涉及产品或服务的基本功能实现的”与“涉及附加功能(如广告推送)实现的”个人信息。且该条款中同时写道,若用户个体对相关信息拒绝提供,将无法正常使用该平台的产品或服务,并无法达到该平台拟达到的功能效果。https://terms.alicdn.com/legal-agreement/terms/suit_bu1_taobao/suit_bu1_taobao201703241622_61002.html?spm=1.231242.247651.2,最后访问时间为2021年12月10日。
④《中华人民共和国个人信息保护法》第六条规定:“处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。”
⑤《中华人民共和国民法典》第一千零三十五条、《中华人民共和国网络安全法》第四十一条、《中华人民共和国消费者权益保护法》第二十九条等诸多规范都要求信息处理者明示信息处理的目的。
⑥《中华人民共和国民法典》第一千零三十四条第三款:“个人信息中的私密信息,适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定。”
⑦《中华人民共和国个人信息保护法》第二十八条规定:“敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。”
⑧我国在规范层面,以大量规范性文件直接或间接地规定了敏感信息,详情参见《中华人民共和国民法典》《中华人民共和国个人信息保护法》《征信业管理条例》以及《信息安全技术公共及商用服务信息系统个人信息保护指南》《信息安全技术个人信息安全规范》。
⑨详情参见裁判文书网(2020)苏01行终480号行政判决书。
⑩详情参见裁判文书网(2019)闽05刑终1210号刑事判决书。
⑪详情参见裁判文书网(2014)宁民终字第5028号民事判决书。