王月明,唐瑞芳

(华东政法大学 法律学院,上海 200042)

在大数据时代,最小必要原则极大地规范但又限制了个人信息的收集、处理与利用,其“最小数量”“最小影响”“目的限制”“利用限制”等规则与大数据时代的理念目标、运行规律、现实需要等产生了较激烈的对立冲突。近年来,世界范围内关于个人信息保护的立法,都对最小必要原则进行了一定程度的探索或改革,以使最小必要原则更大程度契合大数据时代个人信息保护的实际情势,推动在个人信息保护与数字化生产与发展之间取得平衡。

一 最小必要原则在个人信息保护中的实践

最小必要原则也称必要性原则、数据最小化原则、最少够用原则,被认为是个人信息保护的“帝王原则”[1]103,“最小”是对必要原则内涵的限定[2]72。20世纪70年代,美国“公平信息实践”确立了收集限制、使用限制、披露限制等规则,为最小必要原则的确立与发展提供了思想渊源。1980年,经合组织《关于保护隐私和个人数据国际流通的指南》(OECD指南)明确了收集限制、目的限制、利用限制等原则,对必要性原则的内涵作了较全面的规定。欧洲理事会《关于个人数据自动化处理的个人保护公约》(108号公约)重申了数据最小化原则,进一步细化了目的相称、储存时间限制等内容。1995年,欧盟颁布的《数据保护指令》(Directive 95/46/EC)第6条也限定了个人数据收集应当合乎目的、不过度收集等内容。欧盟《通用数据保护条例》(GDPR)延续了严格保护个人信息的传统,对个人信息保护做了全方位与系统的规定,其中要求处理个人信息应当充分、相关,并且限于“处理目的之必要为限度”。可以说,最小必要原则逐渐成为世界范围内个人信息保护立法普遍予以申明的机制。

由于个人信息保护制度的强技术性,我国个人信息保护立法与国际个人信息保护实践趋同化十分明显。《全国人民代表大会常务委员会关于加强网络信息保护的决定》和《中华人民共和国网络安全法》都要求网络运营者收集、使用个人信息应当“遵循合法、正当、必要的原则”,并禁止收集“与其提供的服务无关的个人信息”。《中华人民共和国个人信息保护法》要求“与处理目的直接相关”“限于实现处理目的的最小范围” “采取对个人权益影响最小的方式”等,对个人信息收集与处理方式与范围作了十分严格的限定。《信息安全技术 个人信息安全规范》(GB/T 35273-2020)要求“只处理满足个人信息主体授权同意的目的所需的最少个人信息类型和数量”“目的达成后,应及时删除个人信息”。工信部发布的《APP收集使用个人信息最小必要评估规范》,明确将“最小”“必要”进行了联结使用,并在告知同意、收集、存储、使用、传输、删除等全过程体现了最小必要原则的要求。国家网信办等联合印发《常见类型移动互联网应用程序必要个人信息范围规定》,对39种常见类型APP可以收集处理的必要个人信息进行了一一列举,除此之外不能收集处理其他个人信息,似乎必要性原则限制越来越严、制度张力愈来愈小。

由于数字技术的嵌入性、泛在性,大数据逐渐模糊了个人信息数据与其他数据的界限,使得最小必要原则适用的基础出现裂痕而面临诸多适用困境。从字面来看,大数据时代与最小必要原则就具有一定的对立冲突;从内涵与运行机制来看,大数据时代与最小必要原则也存在着多重相悖,最小必要原则大大限制了个人信息数据作用的发挥,极大限缩了大数据功能的发挥与信息社会的深化。不少学者认为,传统信息最小化原则的合理性被逐渐削弱。[3]在大数据时代应对最小必要原则的功能和地位进行反思。美国学者Tene甚至指出,数据最小化原则已不再是大数据时代的商业准则[4]。最小必要原则的适用性受到越来越多的挑战,其合理性与规制力受到日益强烈的质疑。

二 大数据时代最小必要原则的悖论

随着大数据的演进,个人的信息化特征越来越普遍,个人信息深度参与到经济社会活动中去,使其具有强烈的经济利益性、社会功能性,个人信息逐步从隐私领域解脱出来,其独立权利属性与基本权利属性越来越明显。最小必要原则以传统隐私权作为其立论基础,其制度设定、价值理念越来越不符合数字社会发展的时代大势与运行规律。

(一)个人信息泛化对个人信息保护的基础理论提出挑战

大数据的一个显著特点是数据价值大但数据价值密度相对较低,个人信息也不例外。虽然从宏观来看,个人信息数据应用价值越来越高,但从单个个人信息来看,其价值密度却愈发下降,很多个人信息敏感度较低,离核心隐私信息相距甚远,对个人隐私、安宁生活影响程度并不高。最小必要原则是基于个人信息的极端重要性与深刻影响力而设定的,而由于个人信息的泛化,对个人信息价值密度较低的信息也采用高强度的最小必要原则来进行保护,其正当性与合理性成为一个不得不审视的问题。以欧盟GDPR为例,其高水平保护和严格的惩罚机制使企业的个人信息保护合规成本大大提高,[5]大大限制了大数据的开发效率与产业发展。

传统界定个人信息的理论主要有“识别说”与“关联说”两种,前一种将二进制代码信息通过客观存在的因果联系与现实中的自然人相联系。后一种一般则是列举已知的个人信息,其他信息能够关联上述信息的即应界定为个人信息,即已知既定个人而知晓或者收集关于该个人的其他信息[6]214。虽然这两种理论名称不同,但本质上都是在信息与个人之间的因果联结,并非是相互排斥或相互取代的关系[7],更多的时候是两种方法相互补充,以此界定个人信息。

随着人的数字化程度加深,个人与信息深度融合,大数据挖掘、分析技术的发展,足够多的数据叠加就能够识别特定人,足够多的数据运算就能够精准关联到特定信息,大量非个人信息在数据充分的前提下也可以转换为个人信息,[6]215以前被认为与特定个人相距甚远的数据或信息,现在在大数据技术加持下,对个人进行精准“画像”也已经不是什么难事,因果联结标准使得网络中大部分数据信息都有可能成为个人信息,对“识别说”与“关联说”适用提出了新的挑战。如果网络中的个人信息都按照最小必要原则来进行保护,则或因数据体量庞大无法达成严格保护的目标,或因大量数据信息受严格管制以致网络中缺乏充分有用数据信息的困境,以至于有学者甚至主张从法律制度体系中整体废除个人信息这一概念[8],这都对现有个人信息保护的基础理论造成极大破坏。

(二)“最小数量”“最小影响”等规则与个人信息保护理念目标之间的矛盾较难调和

世界各国均致力推动数字经济社会发展,《中华人民共和国国民经济和社会会发展第十四个五年规划和2035年远景目标纲要》提出,进一步加快数字经济、数字社会、数字政府建设步伐,畅通数据流通利用,营造良好数字生态。大数据业态的综合性、混同性特征愈发明显,数据类型越多越有利于业态链条创新延展;在万物互联、万业上云的大数据时代,数字世界早已成了一个大熔炉,信息数据纵横交错构建起一个纷繁复杂的数据池。大数据时代离不开数据要素,尤其是大量个人信息的支撑,只有数据广泛参与、持续供给、综合运用,才能推动整个数字乃至智慧业态延伸展开。个人信息的主体功能逐步指向了公共利益与社会功能,在数字生态搭建过程中的任何环节都不可或缺。

最小必要原则在多维度限定在“最小数量”“最小范围”“最少类型”“最低频率”,对个人信息主体产生“最小影响”,并且在目标实现之后存储“最短时间”。这些规定基于传统条块化的业态分类,用分割的、壁垒森严的方式处理个人信息,各种信息之间不能相互联系或者仅仅是简单叠加式联系,对挖掘个人信息之间的联系以及以个人信息为连接点的大数据的运算分析产生极大阻碍,极大地限制个人信息的处理与利用,严重限缩了个人信息在数字生态建设中的作用,对公共服务、社会治理等产生逆潮流的消极影响,甚至阻碍了数字经济社会的深化与发展。

各国的个人信息保护法均不仅仅局限于严格规范保护的单层价值,比如我国《个人信息保护法》也明确了“促进个人信息合理利用”的价值理念,《美国加州消费者隐私法案》(CCPA)更是为个人信息主体“被遗忘权”的行使设置了更多障碍,想要突破这些障碍的门槛较高,体现了促进个人信息自由流动和便捷交易的价值取向[9]32。而最小必要原则严格限定了收集处理个人信息的存在空间与存续时间,限制了对个人信息较大范围的扩展、流通与利用,这与发挥大数据容量大、数据多等作用存在较大分歧,引发了数字社会发展与个人利益保护的鲜明对立,夸大了个人信息保护与开发利用双重价值之间的冲突,极易造成数字生态的萎缩,在大数据时代难以最大限度发挥个人信息的效用,反过来也不利于形成新的技术与机制用来保护个人信息。

(三)“直接目的”“利用限制”等规则与大数据运行规律之间的兼容性困境

最小必要原则一般伴随着“直接相关”“目的限定”“利用限制”等手段控制。“直接相关”要求将个人信息收集处理限定在特定服务之中,并与个人信息收集处理基本功能服务直接关联。“目的限制”禁止收集与服务目的无关的个人信息,目的达成后应当立即删除,后续利用及传播不得违背此目的。[10]56“利用限制”则要求个人信息收集处理要有正当的理由与依据,不能对个人信息主体产生过多的影响,限制在最小范围之内,而不论这种影响是有利的还是不利的。这些规定对个人信息二次处理以及后续聚合利用等都作了较严格的限定,对于发挥个人信息的作用,构建数字社会和智能社会都是极大的制约。在前大数据时代,最小必要原则的这些规则具有较强的合理性,而进入大数据时代,最小必要原则不太符合数据信息合理运用与保护的基本原理。[11]有研究指出,一些网络平台直到上市之后也没有严格执行个人信息处理的最小必要原则[12]。

“大数据的价值不再单纯来源于它的基本用途,而更多来源于它的二次利用”[13]197。“直接相关”“目的限制”要求个人信息的收集需具备特定的目的,个人信息收集处理初始目的确定时间应当不晚于信息开始收集的时间,信息的后续使用受限于预定之目的。后期的个人信息二次利用之目的往往难以在收集时确定,也往往超出了初始目的,大数据时代个人信息处理目的常常难以预知[14]117。大数据时代数据收集分析处理能力取得了质的飞跃,算法和模型往往是通过不同数据集的合并和重组挖掘,初始目的会因信息的分散整合而变幻莫测,又因信息主体变换频繁,使得初始目的更加捉摸不透。同时,立法上的“目的”规定过于原则和抽象,使得实践中企业会尽量用模糊、宽泛的词汇来表述其约定目的,进而扩大其收集、使用个人信息的范围,并降低其自身的法律风险,将目的限制条款的设置与目的限制原则等价,将目的限制原则与个人数据保护相互配套显然并不能达到这一效果。[15]

有鉴于此,近年来对于个人信息收集处理“相关性”解释日显宽松,即使在欧盟内部,“目的明确”规则不仅未得到所有成员国的一致严格遵守,欧盟还允许出现一些与约定目的相符但并不相同的额外目的。[16]而允许额外目的出现,突破了“直接相关”“目的限制”等规则,自然引发激烈讨论,对由来已久的目的限制规则乃至最小必要原则是否还有存在的基础提出了质疑。无论结论如何,毋庸置疑的是,由于大数据时代个人信息再也不是单次收集、一次使用、孤立处理,“直接目的”“利用限制”等规则为个人信息开发利用戴上了沉重的枷锁,极大地加重了信息处理者的注意义务与责任成本,其有效性受到数字实践的严峻挑战。

(四)“告知—同意”“规范控制”等配套规则在大数据时代面临可行性诘难

“告知—同意”和最小必要原则构成了个人信息保护的制度基石,有学者认为前者应当受到后者的制约[17];在我国处理个人信息侵权纠纷实践中,将违反告知—同意规则作为认定违反必要性原则的重要考量因素。[2]75告知—同意规则要求应告知个人信息主体处理其信息的范围与用途,重要事项发生变更的应当重新取得个人同意。应该说,从理论上来看,告知—同意规则为限制信息收集处理和个人信息保护、实现个人信息自决权提供了极为有效的手段和工具。

然而,如果通过各网站平台隐私政策浏览来实现告知—同意机制,那么个人需要花费的时间和精力成本极高,而上升至国家层面,这个成本将更为惊人,[18]告知—同意机制已经日趋失效,[1]105在大数据时代已经“无可挽回地走向瓦解,超出了任何规制的修复能力”[19]。一方面,是因为个人信息泛化更多的是以大数据形态存在,可以通过大数据挖掘出个人敏感信息,而收集零散的、敏感性很低的数据的“告知—同意”显得毫无必要,同时,如果海量数据都需要告知则使得其不具有可操作性。另一方面,无论是立法者还是信息处理者几乎都难以进行详细预判,并制定出完善的个人信息处理合法授权事由或者隐私保护政策,难以进行充分告知进而获得同意授权。另外,为规避责任,数据处理者往往倾向于使用极其抽象的隐私政策语言来描述收集和使用个人信息的目的,为网络用户阅读隐私告知事项设置实难逾越的障碍,连篇累牍的隐私政策大大模糊了告知的重点事项,个人信息主体难以充分理解其中的权利义务。

同时,传统的最小必要原则往往采用一种预判式、机械式的方式来预测个人信息的收集处理,与规范主义紧密相连,以通过概念化的、定型化的方式,将必要性信息限定在可控的边界之内。然而,一些数据分析,特别是针对个人信息的收集处理的潜在影响是以未曾预见的方式产生或被发现的,这种预测个人信息的后续使用或者对个人信息主体产生何种影响,其实较难适应千变万化的个人信息生产生活实践。虽然一些国家和地区立法不断丰富了最小必要原则的规则手段,但相对于大数据背景下的个人信息保护始终是预判的、滞后的,严重迟延于大数据收集处理实践,不仅会使个人信息界定不精准,对于个人信息的收集处理也会形成一定制度空白或缺失。

三 大数据时代最小必要原则的超越

过分强调“最小”对必要性原则的限制,已被实践验证较难实现个人信息保护与个人数据流动利用的双重目的,故需要向一种合理必要、动态平衡的制度内涵转变。美国《加州消费者隐私法案》(CCPA)和《加州隐私权法》(CPRA)均明确了收集处理个人信息应当符合合理必要且成比例的原则,(1)《加州消费者隐私法案》(CCPA)提出“为商业或服务提供者的经营目的或其他通知目的使用个人信息,前提是个人信息的使用应是合理必要且成比例的,以实现个人信息被收集或处理,或用于与收集个人信息的情境得以兼容的另一个经营目的”。2020年《加州隐私权法》(CPRA)提出“将个人信息用于商业运营目的,或其他已告知目的,或服务提供商或承包商之运营目的,前提是:应在与实现收集处理个人信息的目的,或与其他个人信息的收集背景一致的目的相合理、必要和相称的范围内使用个人信息”。提升了必要性原则的正当性与合理性。

(一)以公共利益审视必要性的合理范围

个人信息的双重属性十分明显,一方面与个人的人格尊严、安定生活息息相关,具有显著的隐私特征;另一方面成为公共数字生产生活中必不可少的成分,更具有十分重要的公共利益和社会功能。隐私仅是涉及个人,而个人信息一经大量集合就有可能涉及公共利益、公共安全[20]。随着数字政府建设的不断推进,政府进行个人信息处理的范围和频度不断扩大,运用个人信息实现公共利益的行为更加普遍。[21]7近年来,国际组织和各国立法将个人信息保护上升到人权或基本权利高度几乎已成为一项共识[22]3,需要从公共利益角度为科学认识与适用必要性原则提供理论基础。

传统“识别说”“关联说”仅仅将个人信息与个人信息主体利益相联系,受到严格的隐私合规性限制,极大阻却了信息数据的流通与公共利益作用的发挥。实现公共利益与个人信息权的平衡,是一个技术难题,应当放在特定的语境下来理解公共利益与个人信息的平衡与利益衡量,建立在公共利益与个人隐私间的逻辑张力之上,找到两者之间的平衡点[23],以实现公共利益最大化、个人信息损害最小化。

一方面,需要对必要性信息范围作重新界定,为实现公共利益预留空间,欧盟GDPR对公共利益的相关规定较为分散,大致可以分为以下类型:1) 科学或历史研究、统计;2) 医疗健康、公共卫生事项; 3)保存和披露公共存档资料;4)国际法义务;5) 人道主义;6)选举。[24]我国《信息安全技术个人信息安全规范》也列举了个人信息处理不经个人同意的公共利益类型,推动适当放宽个人信息收集处理行为的合规束缚,使个人信息可以较大程度地流向市场,或者使敏感性较低的个人信息较宽松地流入数据要素市场,实现对数字市场与数字社会的有力供给。

另一方面,为公共利益的达成,降低个人信息的敏感度或者豁免信息处理责任十分必要。比如,欧盟GDPR中扩展“额外目的”的正当事宜对最小必要原则“直接目的”的突破;台湾地区关于个人资料保护的有关规定基于保护“公共利益”或“第三人重大利益”或“为统计、学术研究”之目的可限缩个人信息一定的自决权而允许合理利用个人信息,[25]是对个人信息保护法定义务及其强度进行适当降低,避免个人信息处理行为的严苛规定妨碍公共利益的实现,也适当扩大了个人信息收集处理的范围,从而扩大个人信息在公共利用场景中的流通与运用。

(二)以比例原则实现各理念目标的均衡

必要性原则是个人信息处理的核心实体原则,实际上是比例原则的体现。[21]13适用必要原则,不仅要切实保护好个人信息的安全使用,也要促进数据信息的规模化流动,兼顾平衡个人信息权益保障与市场效益、行政目标,个人信息保护与数字化生存发展等多重关系。

一是建立健全利益调节机制。在大数据时代,必要性原则可以用来协调个人信息保护与数据流动共享之间的关系,实现保护自然数据权利和个人信息自由流动的两大立法目的[26]。必要性机制的构建,既充分发挥个人信息在数字经济社会中的功能效用,也切实保障个人在数字时代的基本权利,将权利保护置于数字化变革过程中予以重点考虑,将数字经济社会关系构建在数字权利基础之上,同时要注意两者之间相互依存、相互促进的关系,从而妥善平衡数字化深化发展与个人信息权利保护之间的关系。

适用必要性原则要将个人信息保护放在整个数字社会建设发展之中统一设计,完善个人信息准入机制,将个人信息视为数字经济社会的基本要素,不断丰富个人信息的数量与种类;应当区分个人信息的不同类型,设计相应的数据共享规则,综合运用opt-in模式与opt-out模式来实现个人信息的原始流入,对于敏感个人信息应当经事前明示同意,一般个人信息可以仅经过授权同意甚至默示同意,[27]但信息主体拥有选择随时退出或拒绝的权利;另外,要高度重视与保障信息处理者的经济利益回报,不能无视数据企业合法地收集、存储和利用个人数据而付出的商业成本[28]。

二是丰富完善保护强度等级。大数据时代没有削弱必要性原则的基础价值,而应对其应用的复杂性提出更高的要求,在保护的种类和方法上予以变更升级,以回应时代的发展。[29]传统模式下“敏感个人信息与非敏感个人信息”二分法,低估了个人信息的复杂程度与收集处理的纷繁情境,降低了必要性原则的适用性。对必要性原则的升华需要对个人信息建立起分级分类情境化的区隔,按照核心、重要数据及一般数据,以及识别度、关联度、敏感性等多维度对个人信息进行区别,提供各层次场景选择,供给不同程度的保护方案。

要实现对个人信息的区别保护和利用,可建立一种个人信息敏感性“光谱”[30],确定不同的保护强度,最大化促进个人信息流向公用领域。识别度、关联度、敏感性越强的个人信息,越应当限制或禁止处理,即便因为公共利益,也应当对敏感度强的信息采用强化的保护措施,并遵循单独“告知—同意”等规则;对于中等敏感的数据信息,可以进行一定的收集处理,采用有效的安全保障措施,且综合场景分析有关因素,采取相应的保护举措;对于一些非敏感信息,则可以要求信息处理者通过隐匿化处理之后,赋予其一定的使用权限,并通过事后风险控制的方式来降低保护强度。建立敏感度分层分级的必要性规则,可最大化利用个人信息资源,从而提升适用的可操作性,这样必要性原则不再限定在最小范围,而是扩充到合理必要的限度。

三是强化保护目的与保护手段的平衡。合适的手段既能充分强化个人信息保护,也能积极促进个人信息数据流通。在当前个人信息处理者负担过重、严格适用最小必要原则动辄违法违规的情势下,适当松绑信息处理者的合规义务成为一种现实选择。大数据形成对个人信息处理的常态化,个人几乎没有足够的时间和耐心来阅读告知内容,点击“我同意”已成为形式化流程。相关部门需要建立统筹告知同意与重点告知同意相结合的告知机制,一般性个人信息的采集处理采用笼统告知,告知的内容、方式、时间、形式纳入行政统筹指导或者由国家建立统一标准;敏感性较强的应当重点告知甚至单独告知,在显要位置或重要环节予以明显提示,帮助个人信息主体与处理者从繁重的隐私政策阅读中解脱出来;同时,由于个人信息处理的连续性、反复性与复杂性,应当动态地、联系地、全面地着眼个人信息处理的范围及其保护问题,将必要原则适用从整齐划一的同意向基于信息分类、风险评估的分层同意转变,从一次性同意向持续的信息披露与动态同意转变[14]130,通过不同层级的保护手段来实现个人信息保护或共享利用的目的。

(三)考量具体情境更新必要原则的实施方法

学者尼森鲍姆提出的“情境脉络完整性”理论[31]重视个人信息收集处理过程,通过主客观综合因素来考察界定个人信息处理行为,兼顾个人信息利用的情景、目的等变量因素[32],将个人信息保护的正当性与合理性置于具体的环境中进行审视, 避免脱离具体的情景而只做抽象式的预判。

一是转变个人信息控制机制。个人信息的双重属性对应了个人本位与社会本位两种不同的控制模式。由于个人信息的公共属性与市场价值特征不断释放,个人信息的公共利益保障机制建设提上了议事日程。有学者就提倡个人信息保护的基本理论应从个人本位到社会本位的转变或从个人控制到社会控制的转变。[33]虽然个人信息承载公共利益,但并不意味着个人信息控制必然直接跨越到社会本位的基本面向,毕竟个人信息承载了个人的人格尊严与人身自由,而这一利益仍是不可随意转让或基于社会公益而随意剥夺的,仍然需由信息主体个人以明示或默示的方式同意其他主体采集使用,[34]或者由信息共同体共同决定是否让渡个人信息利益。

个人信息承载了个人的人格自由与尊严之基础性地位,在一些重要且敏感的个人信息处理中,要优先考虑个人的主观感受与主体的自主决定;同时,在保障个人信息安全的基础上,要尽可能实现其公共利益与社会价值,促进数字社会的深化发展,因而有必要从个人信息具有的个人属性、公共性双重属性出发,构建个人—社会相协调的双重控制机制。实行双重控制机制的着重点是要基于场景理念对个人信息处理行为进行具象化分析,确定什么样的个人信息应当进入社会流通,什么样的个人信息应当由个人最大化控制和保留,什么样的个人信息收集后可以匿名化,并脱敏处理后进入流通使用。相关部门应立足不同情境,建立明确的数据保密等级与公开等级,在保护国家秘密、个人隐私和商业秘密的基础上,积极推动各类数据资源的开放共享,这是个人信息双重控制机制的应有之义。

二是拓展合理使用范围。最小必要原则使得流通数据信息过于狭窄,应当在个人信息保护与必要性原则各项制度之间形成一种合理关联、适度平衡的关系,基于公共目的扩大个人信息处理的合理范围,在实践中具有更广泛的共识基础。我国司法实践也在不断地扩大商业合理使用的范围,个人信息的合理使用并不必然排除出于商业目的之使用(2)“就信息使用的目的而言,除满足或促进用户在抖音 App 中建立社交关系外,还具有一定的商业目的,但个人信息的合理使用并不必然排除出于商业目的的使用。”参见北京互联网法院(2019)京0491民初16142号民事判决书。,促使消费者在各关联企业开发的各类应用程序中尽可能多互动的目的具有商业上的合理性(3)“腾讯公司对成功开发及运营微信所积累的用户关系数据,可以在其关联产品中予以合理利用,……微信读书 APP 若要开展微信好友间的阅读社交,收集原告好友列表并不违反必要原则。”参见北京互联网法院(2019)京0491民初6694号民事判决书。,不断重视信息处理者的商业利益,更方便延伸市场业态与产业创新。

扩大合理使用的范围,要着重考虑用户的合理期待与接受度,使个人信息的处理产生一种较大的预期性,而不是完全脱离个人信息主体授权的范围。信息主体对自己的信息有更强的保护责任与感受,由其作出主观决定以适应客观环境的不断变化,而非机械地追求与原始目的一致,以提升必要原则的可操作性。扩大合理使用范围,要在具体场景中审视直接相关的规定,对于高敏感的个人隐私数据应当遵循法律法规设定的强制性规则,对必要的信息收集处理作一些底线性的限制,加以严格保护;对于中等敏感的个人信息,可以兼顾保护规则的执行与个人信息主体的合理期待;对于一般信息处理则更多参照信息主体的自主选择与决定,赋予较大的合理期待利益,让个人信息主体有较大权利自主决定处理使用的范围与强度。

三是强化风险评估。风险控制对个人信息权保护的关注指标从“数量”转变为“风险”,以“风险最小化”取代“信息最小化”作为机构处理个人信息所应遵循的准则[3]109,着重考虑防范数据处理的风险最小化。美国、欧盟立法不约而同地将隐私风险评估作为个人信息保护的重要机制,GDPR为数据处理者设置了进行“隐私影响评估”( DPIA) 等义务[35],突破了将信息的使用限定于最小必要范围的约束,能够让个人信息的价值在社会生活中产生最大化效应。[36]

在大数据时代,个人信息收集处理是否具备合理性的评估是十分复杂的,要避免脱离具体场景对个人信息收集处理行为等作出抽象概括、预判评估。对隐私风险的评估不仅要从信息本身、范围及其处理来评估风险,还要综合评估具体背景、参与者、信息类型、流动原则等各类要素,从信息处理者降低风险措施、社会心理制度、信息主体接受程度、机制保障、工作人员培训等多层面去综合界定,提高评估个人信息收集处理必要性的精准性;应当依据风险等级评估采取不同的收集立场与处理措施,逐步变事前的静态规制为信息处理中的动态风险控制,加强风险动态跟进评估,将风险管理责任贯彻个人信息收集处理行为的始终,不断提升个人信息保护的实效。

四 结 论

数据是数字经济时代最为重要的基础性要素,大数据潜力无限、机遇无穷,是我们加快大数据生产、引领大数据产业发展的宝贵财富。我国人口多,个人信息体量大,尤其需要加强和改进个人信息保护。在采取切实可行的保护措施的基础上,要激发市场主体积极开发利用数字信息的能动性,促进信息技术与产业生态的发展和升级。

随着信息技术的更新迭代,传统个人信息保护的有关机制不可避免地面临适应性问题,推动个人信息保护可以尝试改变以往的事前预判式个人信息保护机制,除涉及一些高度敏感的个人信息外,可采取一定措施推动个人信息进入数据要素市场,适当扩大个人信息收集使用的范围和规模,以免使大数据池面窄量小、利用受限,导致数字化生产发展面临基础原料与动力缺失的困境,最大范围地发挥个人信息的效用。与此同时,个人信息保护应置于个人信息收集使用的全过程,要在发展中解决面临的安全威胁,通过尊重个人信息主体合理期待和强化风险评估,从动态的场景中更好地把握个人信息保护的时、度、效,实现个人信息保护与数字社会发展的动态平衡,有效回应网络强国、数字中国建设的时代要求和现实需要。