从类型化分析到区别判定:个人信息合理使用的逻辑进路
2024-06-05高梅梅
摘 要:我国《民法典》及《个人信息保护法》虽然确立了个人信息合理使用制度,但并没有明确区分不同类型的个人信息合理使用判定的具体标准,导致实践中认定结果差异较大。面对不断丰富的个人信息利用场景,应先按照“敏感性判断标准+场景应用标准”动态界定一般个人信息和敏感个人信息的类型,再结合“基本要素+敏感要素”进行合理使用区别判定。从类型化动态界定到合理使用区别判定的逻辑进路能够更精准地为不同场景的个人信息合理使用判定提供参考标准。
关键词:个人信息合理使用;敏感个人信息;类型化分析;区别判定
中图分类号:D922.16文献标志码:A文章编号:1672-626X(2024)03-0122-07
收稿日期:2023-11-24
基金项目:安徽省教育厅人文社会科学重点项目“个人信息合理使用制度构建的本土化研究”(2023AH052581);安徽省教育厅质量工程省级教研项目“习近平法治思想的教学融入、优化、协同机制研究”;安徽省教育厅高校中青年教师培养行动项目“青年骨干教师境内访学研修项目”(JNFX2023102)
作者简介:高梅梅(1979- ),女,安徽医学高等专科学校教授,研究方向为互联网法治。
一、问题的提出
个人信息上附属的人格权益和财产权益决定了个人信息不是由个人控制的信息而是与个人相关的信息。个人信息中的人格权益代表人的尊严和自由,是无法让渡的专属权益。然而,个人仅是个人信息的来源起点,个人信息财产权益有赖于外部力量对个人信息的供给和加工,即信息控制者对个人信息收集处理过程中进行有目的的收集、集合、加工,有针对性地开展数字业务而产生的价值和效用。可以说,个人信息的财产价值是个人与信息控制者共同实现的。无论是从劳动报偿理论还是功利主义理论看,个人信息的财产价值不应由个人单独享有,而应与信息控制者共同享有。在保障个人信息人格权益的前提下,让财产权益归属不同主体,促进个人信息的有序流动创造更大的經济价值,是数字经济发展的重要基础。因此,个人信息保护具有保护个人权益不受侵犯,同时兼顾其他主体对个人信息“合理使用”的双重逻辑。
大数据、人工智能快速发展的背景下,个人信息在各行各业发挥着越来越重要的作用。随着个人信息应用场景的不断扩展,个人信息的外延不断扩大,不同类型的个人信息界限越来越模糊,个人信息保护的要求和标准也应依据场景变化有所区别。我国《民法典》及《个人信息保护法》明确了个人信息合理使用制度,但都没有明确区分不同类型个人信息合理使用的具体标准。在个人信息已经深度融入社会生活各领域的数字时代,社会大众已经能够普遍接受一般个人信息的收集和利用,但对于一旦泄露容易侵犯个人人格尊严和人格自由的敏感个人信息的合理使用,当前立法没有明确的判定标准。
只有明确不同类型个人信息的处理规则,才能避免对敏感性较高的个人信息的不当利用,保护个人人格尊严以及人身财产安全不受侵犯。我国《个人信息保护法》虽然首次对敏感个人信息进行了界定并对敏感信息利用行为进行了强化规定,但立法上的概括界定以及实践中的动态变化,导致司法实践中对个人信息保护力度的摇摆不定。因此,有必要进一步分清一般个人信息和敏感个人信息的动态界限,进而区别判定不同类型个人信息的合理使用。
二、个人信息类型化界定的判断标准
个人信息保护和合理利用的衡平标准主要依据信息与个人的关联度和敏感度。从个人信息合理利用的实践角度来看,把个人信息分类区别适用个人信息合理利用制度,在客观上容易把握信息处理行为的要求,达到理论和实践的统一,有利于促进数据的普遍应用和数字经济的升级发展。我国《民法典》虽然没有直接规定敏感个人信息,但在第1034条特别列出了生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息以及隐秘信息。这实际上就是对敏感个人信息的特别保护,为《个人信息保护法》对敏感个人信息的分类提供了基本法律依据。在行政法规及司法解释中,也有关于敏感个人信息的特别保护,如《征信业管理条例》《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》等。
世界主要国家立法上大多对敏感个人信息的界定采取具体列举的方式,而没有规定敏感个人信息的法定界定标准①。我国《个人信息保护法》通过“概括+列举”的方式明确了敏感个人信息的判断标准, 对敏感个人信息认定的核心要素作出规定,具有鲜明的中国特色[1]。即把与个人人格尊严和人身财产安全具有重要联系的敏感性,作为界定敏感个人信息的法定标准。虽然敏感个人信息的内涵有了明确的界定,但在大数据技术和应用不断发展的背景下,不同场景下个人信息与本人的关联度和敏感度会产生不同的变化,导致敏感个人信息的外延具有动态不确定性。不同的个人信息在不同场景下会有不一样的类型判定,比如在特定的熟人圈内个人电话号码是个人基本信息,可以作为一般个人信息,然而在不特定的公共场所个人电话号码因密切关联个人,就属于敏感个人信息。随着数据融合技术的不断升级,越来越多的可间接识别个人信息经过算法的集合也能够推算出敏感度较高的信息。如著名的塔吉特百货孕妇营销案,百货公司利用顾客的购买数据推测出该少女怀孕,并向其推荐一系列孕妇产品。这就需要结合具体场景应用因时因地动态判定个人信息的类型。本文认为应当按照“敏感性判断标准+场景应用标准”双重标准来界定不同场景下的敏感个人信息,这有利于明确信息处理者的法定义务,减少数据企业合规成本,切实防止对个人的人格权益和人身财产利益的侵害。
(一)敏感性判断标准
人格尊严标准。敏感性首先体现在对自由、平等、隐私等人格尊严的直接关联性。敏感个人信息与一般个人信息相比,具有更明显的人格属性,一旦被不法利用就容易产生对个人的歧视和不公正对待,会对个人的人格尊严带来严重的影响。例如医疗健康记录的泄露会造成个人在就业、保险等社会活动中遭受各种不公正的歧视[2]。再如,特定身份信息的泄露可能会造成个人在日常社会活动中遭受无端侵扰甚至歧视。
人身财产标准。生命健康、财产安全是人最为重视的权益,一旦受到侵害则会让个人遭受严重的打击。因此与之相联系的个人信息应纳入敏感个人信息予以加强保护。如个人的行踪轨迹一旦泄露,则可能会对其生命健康安全造成威胁;个人的通讯信息、金融账户信息一旦泄露则可能会影响到其财产安全,甚至可能会导致与之相关的金融诈骗,对人身财产、生命安全造成严重后果,如徐玉玉遭电信诈骗后猝死案②等。
(二)场景应用标准
敏感个人信息的“敏感”不是个人主观的感受,而是在不同场景中个人信息使用后果可能会对个人产生的影响程度。美国学者Nissenbaum认为应当跳出对个人信息公开与非公开、敏感与非敏感的简单二分法的固有思维,是否构成敏感个人信息,需要考虑所处情境才能作出判断。Nissenbaum的场景理论认为,一般个人信息与敏感个人信息的区分不是绝对的,有些信息在不同场景会对人产生不同的关联度和敏感度,应根据信息处理行为具体场景的各种元素如处理行为人、处理目的、处理后果等进行综合评价,最终確定个人信息的特性[3]。如个人的快递地址、联系电话等信息在电子商务平台上能方便物流的运送,但如果对全社会公开,则可能会引发诈骗,对个人的人身财产安全造成严重的不良后果。再比如在网络上收集的碎片化一般个人信息通过数字画像技术则可能会形成完整的个人数字形象,从而在社交活动中对个人的人格尊严和自由造成影响。可以看出,在特定场景中这些一般情况下不具敏感性的信息在特定场景应判定为敏感个人信息。
三、类型化个人信息合理使用判定的解释
大数据技术的发展决定了个人信息类型界限的动态变化,决定了合理使用的前提不仅要保护个人信息的人格权益不受侵害,更要注意具体场景中的风险防范。个人信息内容的不断扩展和敏感程度的动态变化决定了个人信息无法进行统一与标准化保护,而是要寻求特定时空内具体场景相关的信息规范,从而维护具体信息关系与生活秩序的公正性或融贯性[4]。 “什么是‘合理使用是不可能明确界定的,这必须是一个程度问题。”[5]
我国目前已建立了从宪法、基本法到行业规范的多层级多效度公法和私法规范体系,为个人信息合理使用判定明确了基本法律框架。从当前我国法律规范体系来看,个人信息合理使用立法主要采取的是“规则主义”,即列举具体的情形或类型,但未明确给出通用的判定标准。法律规范中尽可能细化的规定仍然无法满足实践中不断丰富的多元化场景应用需要,具有可操作性的合理使用判定标准的缺失会导致理论上不同的理解以及实践中差异化的处理。这就需要从立法与司法实践角度,归纳合理使用判定的一般原则,提炼合理使用判定的要素,构建我国个人信息合理使用动态场景化衡平判定标准,为个人信息合理使用具体判定提供基本的法理依据。
(一)个人信息合理使用的一般判断原则
1. 比例原则
随着现代法治文明的发展和人权观念的强化,比例原则成为各国调整基本权利最重要的原则。各国普遍认为只有在为了实现更高的价值或利益时,才能够对基本权利进行必要的干预和限制,此种干预和限制,必须要符合比例原则的要求。一般认为,比例原则由三个基本原则所构成,即适当性原则、必要性原则、均衡性原则[6]。个人信息作为个人基本尊严和自由的人格延伸,是公民基本权利层面的保护对象,是人权保障的重要体现。通过比例原则为合理使用具体场景下的认定标准提供规范设计指引,是兼顾个人信息利用和保护双重逻辑的有效方法。
2. 利益衡平原则
当个人信息脱离个人控制进入社会流通领域时,即成为各种社会关系融合的基础,个人信息保护也因此处于国家、社会、个人之间多维度社会关系调整的动态平衡过程中。不同性质和类型的社会关系塑造了个人信息的多面性,既有私密性又有公共性,既有人格属性又具财产属性。多维度社会关系叠加不断迭代升级的数字技术,个人信息的权益保护始终处于信息自决与信息共享、敏感信息保护与公开信息保护、人格权益保护与财产权益保护等多重变量动态变化的场景中。但无论社会关系如何变换,个人信息人格属性的本质特征决定了个人信息权益保护的对象都最终指向信息主体个人,在兼顾国家与个人、社会与个人、个人与个人利益衡平的同时,应建立起以信息主体为基本点、辐射其他主体、多要素决定的动态场景化平衡体系,这关涉社会系统与心理系统的结构耦合[7],是由数字时代个人信息保护的本质决定的。
(二)个人信息合理使用判定的要素归纳
虽然我国法律已经构建了合理使用的规范基础,但从司法实践看,为了促进数字经济和社会发展,司法机关对个人信息合理使用的判定在既定框架内进行了适度延展,如“芝麻信用案”③“抖音案”④“微信读书案”⑤等。不难看出,随着社会实践和数据融合技术的发展,个人信息的使用场景不断延展,敏感信息与非敏感信息的界限标准因时因地而异,个人信息合理使用的风险也在动态变化中。只有从法理和司法判例中提炼合理使用场景化认定的基本要素,才能在现有法定框架下最大程度为个人信息的利用和保护提供理论指引。认定未经个人同意的合理使用行为,可以比例原则和利益衡平原则为指导,以风险评估制度为依据,提炼归纳一般个人信息和敏感个人信息合理使用区别判定的基本要素和敏感要素,构建我国个人信息合理使用动态场景化衡平判定标准。
1. 基本要素
(1)合法性要素
个人信息的处理目的和手段应符合个人信息保护相关法律法规的要求,具有合法性。不管何种信息类型,在具体场景的合理使用行为首先应从以下三个方面进行合法性判断。第一,在未经个人同意时数据处理必须要有合法的依据;第二,与处理目的直接相关,也就是说不经过该处理行为则无法实现处理核心目的,数据处理行为方式方法应符合双方约定或者法定的方式,没有约定和法定的标准,则应当符合行业惯例和规则;第三,按照个人信息的分类区分保护要求,结合具体应用场景中的社会关系和对个人的现实影响,数据处理行为不能造成个人权益或财产权益不必要的损害,即对个人造成的损害最低。
(2)价值要素
首先,应从行为目的上对价值要素判断进行界定,对于未经过个人同意的信息使用行为,应分析该行为是否符合公共目的、正当商业用途或个人合法利益的维护。大数据时代个人信息的范围和分级界限越来越模糊,个人信息处理的后果具有不确定性,即使数据控制者的信息处理行为从形式上符合法律规定,结果仍可能存在对信息主体的损害。如在熊昌恒等侵犯公民个人信息案中,法院裁判理由认为其改变了个人信息公开的范围、目的和用途,不属于法律规定的合理处理⑥。如何衡平个人信息的保护和数据应用的价值关系,让信息从个人控制走向社会有序共享,需要在具体使用场景中衡量信息权益的价值顺位。只有当维护更高的利益更为必要时,个人自由及其私法自治才能受到干预,且此种干预既适于实现预期目标,也是实现该目的最缓和的方式[6]。如在突发公共安全事件中,为了最大限度地保障公众生命财产安全,对公民个人身份信息的收集是对个人信息的必要使用,但如果过度收集超出公共安全需要的个人信息,则可能会在一定程度上造成对公民人格尊严和人身自由的侵犯。
其次,应充分考虑个体的人格权益保障,允许信息主体的二次处理,也就是说,信息控制者作为信息处理的受益者应当保障信息主体的知情选择权、查阅复制权、更正权、删除权、携带权、自动化处理与算法决策等相关权利的行使[8],对个体信息利用过程中的反馈及时予以回应。
(3)安全要素
人格权益是个人信息权益的本质属性,维护人的尊严和自由是个人信息保护的首要目的。安全价值优先保护是我国个人信息保护的基本路径。随着大数据、人工智能等技术的发展,个人信息的范围不断扩大,信息的脱敏保护功能逐渐弱化。大数据时代下个体保持自由独立和人格尊严,必须突出个人信息的安全价值,确保保护个人信息的安全价值优先于个人信息流通中的效率价值。个人信息流通的效率价值应服务于促进人的尊严和自由[9]。个人信息合理使用场景理应做好个人信息安全的保护措施,并确保在数据泄露时能采取有效的应对措施。《个人信息保护法》第9条就明确规定了个人信息处理者的安全保障义务,并在第五章中具体列举了平台安全保障的具体义务。
数据控制者在个人信息合理使用的全周期不同阶段应确保相应的安全保护措施。在信息收集阶段,数据收集行为应有明确的合理使用场景特定目的,如合理商业目的、公共利益考量、新闻监督需要、个人合法权益维护、已公开信息的使用等[10],并针对不同的信息类型制定相应的技术防护措施,且向公众披露其安保方案;在信息储存、加工阶段,数据控制者应通过严格的加密和脱敏措施,防止第三方通过“爬虫”“撞库”等行为以不正当方式盗取个人信息或者故意泄露信息;在信息使用阶段,数据控制者不得滥用个人信息,对个体和社会公共利益不能造成不合理的损害,如数字企业合理使用个人信息进行“精准营销”的商业行为中不应有数据歧视或不平等对待,网络服务商在提供协议服务时不得削弱个人的正当人格权益等。在一个组织良好的社会,安全属于必需品,而效率属于优先品,当安全必需品遇到效率优先品时,应该遵循必需品大于优先品的准则[11]。只有个人信息的安全价值得到保障,才能更好地促进信息的合理流通和使用,最大限度地发挥信息的效率價值。
2. 敏感要素
目前学界对《个人信息保护法》第29条和31条的理解主要有两种观点:一种观点认为敏感个人信息的利用必须取得“个人的单独同意”或者“应当取得未成年人的父母或者其他监护人的同意”,不存在未经同意就能合理利用的情形[12];第二种观点认为《个人信息保护法》第29条和31条仅是第13条第1款(1)“取得个人的同意”的具体情形,敏感个人信息同样适用第13条第1款(2)至(7)合理使用的规定[13]。本文认为,敏感个人信息在特定场景下,在不损害个人人格权益的前提下是可以利用的信息,不应排除在合理使用范围之外。从我国人信息保护的法律规范体系解释角度看,第二种观点更符合我国法律规范的体系目标,有助于相关规范的协调从而保障法秩序之统一,兼顾了民事权益保护和数字经济发展的双重目标,也符合当前司法实践对敏感个人信息利用行为的判定。如在“李某某、周某隐私权纠纷案”中,法院认为,本案中的当事人周某因客观原因无法取证的情况下,为履行委托合同义务依法申请律师调查令,调查原告的账户明细,构成《民法典》第 1036 条第 3 项规定的合理使用⑦。从规范体系和司法实践看,敏感个人信息理应适用关于个人信息合理利用的相关规定,但因其具有个人人格权益保护的“高风险性”,应在一般个人信息合理利用判定要素上附加特别要素,予以加强保护。
《个人信息保护法》第28条第2款规定,只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息。也就是说,敏感个人信息合理使用行为不仅应符合第13条第1款(2)至(7)项的规定,还要受到“特定的目的”“充分的必要性”及“履行严格保护义务”等三重限制条件的约束。我国《个人信息保护法》对此三重限制条件都没有做具体说明,导致司法实践中存在合理使用判断标准出现差异化现象,因此有必要对立法进行具体阐释。
(1)特定目的要素
“特定目的”条件可以从比较法视角进行借鉴。欧盟《通用数据保护条例》强调“特定目的原则”之使用,要求处理个人信息必须具备“特定的、明确的、合法的目的”。具体体现在:一是收集阶段,个人信息处理者应有特定的收集、使用目的,而不是“公共利益”这样空泛的目的;二是使用阶段,要求信息处理者在实际使用敏感个人信息时,目的不得与法律规定的个人信息可合理使用目的相违背[14]。特定目的不是泛泛而指,应是特定化的、具体的、明确的目的,主要是遵照立法机构或执法机构所确定或指定的目的处理敏感个人信息[15]。如《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》第6条规定,信息处理者主张其不承担民事责任的,应当就其行为符合本规定第5条规定的情形承担举证责任。
(2)充分必要要素
“充分必要性”条件要求对敏感个人信息的处理程度在最低限度内,只有在不利用该信息就无法实现特定目的时才可以合理使用敏感个人信息,这一条件是对一般个人信息合理使用“必要性”原则的加强。如《汽车数据安全管理若干规定(试行)》规定,收集指纹、声纹、人脸、心律等生物识别特征信息,应对于增强行车安全的目的有充分的必要性,如果对于增强汽车安全的目的实现是可有可无的,便不得收集上述敏感个人信息[12]。在“广州弟诚商贸有限公司、陆地隐私权纠纷案”中,被告发布未做有效遮蔽处理的信息超出了必要程度,被判定违反充分必要性原则⑧。
(3)严格保护要素
“履行严格保护义务”条件要求个人信息处理者在履行一般个人信息处理义务外,还要特别履行《个人信息保护法》第55条明确规定的事前影响评估和处理情况记录的法定义务。本文认为,考虑到敏感个人信息损害后果的不可逆性,还应对敏感个人信息处理后的保护措施进一步明确。建议在个人信息处理者回应个人信息的查阅复制权、更正权、删除权等权利的基础上,借鉴域外立法,明确对个人信息的被遗忘权,并对敏感个人信息的被遗忘权进行加强规定,即“数据控制者不仅要自己删除相关的个人信息,其还要在一定程度上通知其他处理者一同删除”,即“彻底删除”[16]。从而确保个人基于人格权益保护,能够控制个人敏感信息的流向,积极构建维护个人社会关系和社会形象。
四、结语
我国《民法典》通过免责情形的设计确立了个人信息合理使用制度的基本框架,《个人信息保护法》把促进个人信息合理利用作为基本立法目的,并列举了6种合理使用的具体情形。从规范解释角度看,这些规定没有区分地适用于个人信息合理使用的全部类型。然而如果敏感个人信息与一般个人信息在信息利用上使用同样的规定,势必会造成个人尊严和人格自由的不当损害。为此,应当按照“敏感性判断标准+场景应用标准”因时因地判定一般个人信息和敏感个人信息的类型,并结合“基本要素+敏感要素”进行合理使用的判定,区分赋予信息处理者相应的法定义务,以此推动个人信息的流通和数据的充分应用。
注 释:
① 参见欧盟《通用数据保护条例》(GDPR)第6条、巴西《通用数据保护法》第5条、日本《个人信息保护法》第2条、韩国《个人信息保护法》第23条。
② 参见https://baijiahao.baidu.com/s?id=1571349318216416&wfr=spider&for=pc。
③ 参见https://www.163.com/dy/article/FAR9AVVH05380865.html。
④ 参见https://baijiahao.baidu.com/s?id=1673759021510520495&wfr=spider&for=pc。
⑤ 参见https://baijiahao.baidu.com/s?id=1677582933402914400&wfr=spider&for=pc。
⑥ 参见https://www.court.gov.cn/shenpan/xiangqing/384431.html。
⑦ 參见湖南省郴州市苏仙区人民法院(2021)湘1003民初2943号民事判决书。
⑧ 参见广东省广州市中级人民法院(2021)粤01民终26259号民事判决书。
参考文献:
[1] 王利明.敏感个人信息保护的基本问题——以《民法典》和《个人信息保护法》的解释为背景[J].当代法学,2022(1):3-14.
[2] 田野,张晨辉.论敏感个人信息的法律保护[J].河南社会科学,2019(7):43-49.
[3] HELEN NISSENBAUM. Privacy as Contextual Integrity[J].Washington Law Review,2004,79(1):119-137.
[4] HELEN NISSENBAUM. Privacy in Context:Technology,Policy,and the Integrity of Social Life[M].Stanford University Press,2009:141.
[5] 王清.著作权限制制度比较研究[M].北京:人民出版社,2007:153.
[6] 郑晓剑.比例原则在民法上的适用及展开[J].中国法学,2016(2):143-165.
[7] 李忠夏.数字时代隐私权的宪法建构[J].华东政法大学学报,2021(3):42-54.
[8] 丁晓东.《个人信息保护法》的比较法重思:中国道路与解释原理[J].华东政法大学学报,2022(2):73-86.
[9] 凌霞.安全价值优先:大数据时代个人信息保护的法律路径[J].湖南社会科学,2021(6):83-91.
[10] 吴国喆,王文文.数据共享视域下个人信息“合理使用”的场景化判定[J].西南交通大学学报(社会科学版),2023(3):142-156.
[11] 张洪波.以安全为中心的法律价值冲突及关系架构[J].南京社会科学,2014(9):89-95.
[12] 刘磊.论私密个人信息的合理使用困境与出路[J].财经法学,2023(2):36-50.
[13] 李世刚,屈然.论敏感个人信息的合理使用[J].江苏社会科学,2022(6):159-168+243.
[14] 龙卫球.中华人民共和国个人信息保护法释义[M].北京:中国法制出版社,2021:136. [15] 程啸.个人信息保护的理解与适用[M].北京:中国法制出版社,2021:267.
[16] 王利明.论个人信息删除权[J].东方法学,2022(1):38-52.