互联网背景下个人信息再利用之规制

王宇楷

（中央财经大学 法学院，北京 100081）

一、问题的提出

2019年法国数据保护机构对谷歌处以5000万欧元的巨额罚款，原因之一是其对收集的用户数据处理后提供个性化广告的操作缺乏法律依据。这是欧洲最严个人数据保护法《通用数据保护条例》（GDPR）正式实施以来开出的首笔巨额罚单。科技公司对收集到的用户信息进行处理后推送个性化广告，是典型的个人信息再利用的场景，在我国也非常常见。目前我国的法律法规并没有对该问题做出具体规定，行政执法机关也没有针对个性化广告推送提出整改意见或开出罚单。在裁判文书网上进行检索，可以发现有用户曾就百度网讯收集其个人信息进行处理后提供个性化广告的行为侵犯其隐私权为由提起过民事诉讼。该案二审法院在对百度收集用户信息进行处理后推送个性化广告这一行为进行分析时，指出个性化推荐服务仅涉及匿名信息的收集、利用，不符合个人信息的可识别性标准，网络服务提供者对个性化推荐服务依法明示告知即可①。基于前述立场的分析可知，不同于欧盟对于提供个性化广告的操作的态度，我国对科技公司收集的用户信息进行处理后提供个性化广告的操作采取了非常宽松的标准，一般情况下只要履行明示告知义务即具有合法依据。

互联网背景下个人信息再利用问题是全球都面临的重要议题，美国基于此制定了公平信息实践制度②，欧洲制定了以“严格”著称的《通用数据保护条例》（GDPR）③，我国目前还没有建立起完整的个人信息保护法，对个人信息的保护散落在《民法总则》《网络安全法》及相关司法解释之中。对于科技公司收集用户信息后进行处理提供个性化广告这一相同的操作，我国和欧盟基于不同的价值取向和考虑采取了完全不同的态度。在互联网背景下，科技企业将收集到的数据资料进行再利用可以发挥巨大的经济价值，考虑到个人信息再利用所涉及的个人信息隐私权保护的相关问题，各国普遍确立了公开性原则、知情同意原则和目的限定性原则等以对互联网背景下个人信息的再利用进行规制，但是在对上述原则的认识和具体适用标准上则存在差异。近年来，我国互联网企业发展迅猛，已经成为经济发展的重要推动力量。但是相较于美国和欧洲，我国对个人信息保护的历史要短暂得多，在新的时代背景之下，如何处理好个人信息再利用与个人信息隐私保护之间的关系也就更为重要。

二、互联网背景下个人信息再利用的现状与争议

（一）知情同意框架下的个人信息收集与利用

美国联邦法院在1973的判例中指出，隐私权的本质是个人对信息的控制，在大数据时代，越来越多的个人信息被存储和记录在计算机系统和互联网平台中，个人对自己信息的控制能力呈现弱化的趋势。面对这种不平衡的局面，多数国家都对系统和平台收集和利用用户个人信息做出了规制，并要求企业根据规制要求制定相应的产品隐私政策，以使得用户可以了解个人信息被收集和利用的情况，并决定是否继续允许个人信息被收集和利用[1]。

在个人信息保护领域，无论是美国的公平信息实践路径，还是欧洲的GDPR路径，都体现了个体赋权和平台责任结合的形式[2]。其中个体赋权表现为知情权和同意权，在平台的隐私政策中则表现为知情同意框架。谷歌在其隐私政策中指出，谷歌收集到的用户信息会用于提供谷歌服务、开发新服务以及提供个性化内容和广告以及提高谷歌的安全性能。用户可以通过谷歌隐私控制项来选择谷歌如何收集和利用其个人信息。百度和腾讯等其他高科技企业的隐私政策在用户个人信息的利用上也做了类似于谷歌隐私政策的规定。在目前知情同意框架下，平台对个人信息的再利用受到用户知情同意的限制，但该限制并不是用户独立对其个人信息的利用做出判断和选择，而是平台默认用户允许其收集的信息即同意平台对该信息基于隐私政策所公示的用途进行再利用。这种默认是否具有合理性基础，笔者持肯定态度，在互联网背景下的大数据时代，个人信息的再利用可以发挥巨大的经济价值，而对个人是否有能力对个人信息再利用进行独立的判断和选择是有疑问的。

知情同意保护框架是各国在个人信息保护中普遍采取的框架，诸如前述，多数科技公司隐私政策中所涉及的主要是对个人信息收集的知情同意，用户无法就个人信息再利用进行单独的知情或同意。基于此欧洲在《通用数据保护条例》（GDPR）中对知情和同意提出了更高的标准，要求用户的同意必须是具体且经过充分了解的。谷歌公司也正是因为提供个性化广告这一操作没有满足上述要求才收到了来自法国的巨额罚单[3]。我国在《网络安全法》中也规定了网络运营商利用收集到的他人信息，应当对利用目的进行明示并经他人同意，而未对知情同意提出进一步的操作要求。该规定所带来的风险是平台提供模板化隐私政策，用户点击同意后使用服务，使隐私政策对用户个人信息的保护流于形式。欧洲虽然在知情保护同意框架下，对个人信息的收集和利用进行了更为具体的规定，但该规定在对个人信息提供更好保护的同时，也存在限制了个人信息合理使用的可能。

（二）互联网背景下个人信息再利用中的数据融合

在互联网背景下，数据和信息具有相同的涵义，并没有实质性的差别[4]。在美国和我国的立法中使用信息的概念较多，而欧洲在立法中使用数据的概念较多。在互联网背景下，数据融合是无限的，其所带来的场景创新也是无限的，但同时数据融合也使得个人信息的可识别性更高，而使个人陷入更高的风险之中。

从谷歌的隐私政策来看，其收集的个人信息包括用户使用手机设备被记录的个人信息，使用谷歌服务诸如搜索引擎、邮件、地图、视频等被记录的个人信息，使用第三方软件时被记录的信息，谷歌在其隐私政策中明确指出将会基于数据处理的目的对其服务以及不同的终端中所产生的个人数据进行融合。百度也在其隐私政策总则中指出，其会将收集到的信息用于大数据分析。在互联网背景下，科技公司尤其是某些行业巨头对个人信息的收集和利用具有大规模和侵入性特征，数据融合在给经济发展带来动力的同时，也使个人所面临的风险不断增大[5]。在法国数据保护机构2020年年初开出的针对谷歌的罚单中，明确指出了谷歌融合数据的现象，但并不能得出该处罚系针对谷歌的数据融合行为。介于数据融合的复杂性和大规模性，要求谷歌对于数据收集和利用的情况进行更为清晰的描述也具有合理性的。

数据通过融合可以发挥其最大价值，也符合互联网背景下的大数据行业发展趋势，其数据融合行为本身并不具有违法性，但数据融合的过程也的确容易给个人信息安全带来巨大的挑战。我国目前还没有立法或相关执法行为对互联网背景下的数据融合提出具体的规制要求，企业隐私政策也停留在告知阶段而没有采取其它相关措施。

（三）互联网背景下个人信息再利用的利益衡量

互联网背景下个人信息再利用虽然是全球都面临的共同问题，但不同国家讨论的具体场景和应用是不同的。关于个人信息再利用的规制最早开始于美国的公平信息实践，欧洲在公平信息实践框架内又有所发展。在互联网背景下的个人信息保护上，美国更为强调信息的利用和商业价值，而欧洲则更为强调人格尊严方面的价值，这也造成了个人信息保护刚性程度上的差异。

1973年美国“关于个人数据自动系统的建议小组”发布了一份“公平实践准则报告”，其后该准则被美国隐私权保护领域的相关法案所吸收。美国并没有一部全面的个人信息保护法，其对个人信息的保护规定于《视频隐私保护法》等具体的法案之中，且美国认为其将来也不太可能像欧洲一样制定一部综合的个人信息保护法。从美国的立法来看，其公平信息实践并非保护所有的个人信息，其主要限定在个人征信、医疗、教育等领域，主要关注的是不受歧视或区别待遇的权利。且美国联邦贸易委员会在其公布的公平信息实践版本中指出，个体并不具有其对个人信息的法定性权利，其对个人信息所赋予的权利是推荐性的[6]。由此可知，在互联网背景下个人信息再利用的利益衡量上，美国更为关注的是个人信息的商业价值，而并非强调个人对信息的全面控制。

欧洲1980年通过的关于《保护自动化处理个人数据公约》采取了公平信息实践的框架，其后通过的个人信息保护领域的公约、指令、条例等又在此基础上有所发展，并于2018年实施了被称为“最严个人信息保护法”的《通用数据保护条例》（GDPR）。该条例对个人信息权利进行了细化和丰富，对个人信息控制者隐私政策提出了更高的要求，试图使个人对信息的控制得到充分的保障[7]。在该条例的指引下，知情同意框架被更严苛地制定和执行，平台对个人信息的控制得到削弱，这在使个人权利得到更好保护的同时，客观上也阻碍了信息的交流。由此可知，在互联网背景下个人信息再利用的利益衡量上，欧洲更为关注的是个人信息在人格尊严方面的价值。

目前多数国家的个人信息保护都建立在公平信息实践框架之上，在适用该框架时必须要考虑的一个问题是何谓公平？这个问题在不同国家基于个人信息不同的场景和应用可能会得出不同的结论。近年来我国由于个人信息泄露而导致的多起电信诈骗事件，把人们对个人信息保护的关注推向了高潮，个人信息背后的生命和财产安全也成为关注的焦点。在考虑互联网背景下个人信息再利用的规制时必须结合自己国家的情况首先对何谓公平作出回答。

三、互联网背景下个人信息再利用之规制路径

（一）互联网背景下个人信息再利用的价值选择

每一项法律制度确立的背后都有其对价值的衡量和选择，对互联网背景下个人信息再利用的规制也是如此。美国在个人信息再利用的立法规制中更多强调个人信息的经济价值，而欧洲在个人信息再利用的立法规制中更多强调个人信息的隐私保护，正是基于这不同的价值选择，美国和欧洲在个人信息再利用规制的具体设计上呈现明显的差异。互联网背景下个人信息再利用环节中个人对信息的控制权当然是值得保护的，但是考虑到个人信息再利用产生的经济价值，对其保护到何种程度以及通过什么方式来进行保护就是涉及价值选择的事项。根据对个人信息属性的不同界定，在法律上对其的保护方法和方式也会有所不同。

美国曾在其公平信息实践中将个体对其个人信息的权利界定为推荐权利，而非法定权利，从而减少互联网背景对个人信息进行再利用时的阻力。我国《民法总则》第一百一十一条把个人信息确定为一项法定权利并受到法律的保护，对这项权利的属性则并没有作出进一步的规定。从个人信息的属性来说，其兼具隐私权属性和财产属性。如果把个人信息界定为一项隐私权并按照隐私权的规则进行保护，则互联网运营平台对其收集到的信息进行再利用时需要完全依赖于个人的知情同意，而互联网背景下运营平台所收集到的信息又是海量的，这将极大地增加平台的负担且不利于数据的有效利用。如果把个人信息界定为一项财产权并按照财产权的规则进行保护，则首先必须要考虑的是该项财产权的所有者是谁。互联网背景下的个人信息的形成不仅仅需要个体提供信息，还需要网络运营者提供设备和服务[8]，提供信息的个人和收集信息的平台之间并不存在法律上规定的特定关系，在这种情况下笔者更倾向于把该所有权认为是按份共有的所有权。根据按份共有的规则，平台作为按份共有人有权对共有物进行利用，对于利用方式则由共有人自主决定。在互联网背景下的个人信息再利用中平台和个体属于一对多的关系，由其共同决定信息再利用的途径和方式是不经济且不现实的，而相较于信息提供者的个体，网络运营平台在对信息再利用的把握上具有明显的优势，因而笔者认为可以由网络运营平台在目的限定原则下自主决定收集到的信息如何使用，同时为了兼顾个体的合法利益，网络运营平台须通过匿名化等操作保障个体权利，并在其侵犯个体权利时在责任规则下承担赔偿责任。

互联网背景下个体与其个人信息控制权的分离是科技发展带来的必然结果，保障个人对数据的控制权是必要的，但如果过分强调个人对数据的控制，不仅不利于个人信息经济价值的发挥，且个人是否有能力保护和有效利用互联网背景下的个人信息也是存在疑问的[9]。个人信息再利用中数据背后的生命和财产安全是我们国家人民最为关注的，在该范围内应当强化个人信息的隐私权属性，而在范围之外应当强化个人信息经济价值的关注。

（二）互联网背景下个人信息再利用的区分原则

互联网背景下的个人信息包括在设备和应用上记录的姓名、声音、病例等信息，在设备和应用上生成的消费习惯、通讯记录等信息。根据这些个人信息的敏感程度不同，可以分类为敏感信息和一般信息。在互联网背景下对个人信息再利用时，对个人敏感信息和其他一般个人信息进行区分并分别给予不同程度的规制，有利于实现价值选择所期待的结果[10]。

我国现有的法律法规中虽然没有明确对个人敏感信息和其他一般个人信息进行界分，但从部分条文中可以隐约得出对个人信息进行区分的涵义，诸如《征信业管理条例》中对个人一般信息可以经同意而采集，而对特殊信息不得采集的规定。指导性文件《个人信息保护指南》中虽然对个人敏感信息和其他一般个人信息进行了明确的区分，但其并不具有规范法效力。有学者在对域外法上个人敏感信息和其他一般个人信息进行考察后，提出了对个人敏感信息和其他个人信息进行区分时所应当考虑以下两点：泄露该信息会对信息主体造成重大的伤害或造成伤害的可能性极高；以特定大多数人对某类信息的敏感度为参照进行评价[11]。在互联网背景下，平台利用大数据进行趋势预测是其常见的个人信息再利用情形，但该预测很可能导致歧视的发生，例如平台可能用其收集到的敏感信息分析得出具有某一类敏感信息特征的人犯罪率更高，具有该敏感信息的个人则可能在社会生活中受到歧视而给其带来未知的风险。因此在互联网背景下个人信息的再利用中将信息进行区分是有必要且有意义的。

推送个性化广告是互联网背景下个人信息再利用的典型场景，谷歌在其隐私政策中指出其不会根据敏感信息（种族、宗教、性取向或健康状况等）向用户推送个性化广告，但在其他信息再利用的领域是否会使用敏感信息则没有作出明确规定。笔者认为基于敏感信息的特殊性，该类信息的主体权利价值应当大于其经济价值，且对于敏感信息即使是经过匿名化等信息脱敏处理，在大数据的利用场景下仍然可能造成群体性歧视，因此对该类信息在互联网背景下的再利用不应当适用传统的知情同意框架而应当直接予以禁止。对于被禁止再利用的个人敏感信息应当严格其标准，必要时采取列举的方式，以衡平个人信息在互联网背景下再利用时所具有的经济价值。而对于其他一般个人信息仍可继续沿用传统的知情同意框架。

（三）基于合理期待的默认和个体摘除权

知情同意框架于上世纪70年代在美国产生，在互联网背景下的今天仍然是各国规制个人信息再利用的主要方式之一。知情同意框架因肯定了个人对于其信息的自治权而具有正当性基础，对互联网背景下非敏感信息的个人一般信息仍然具有重要的规制作用，但传统知情同意框架在互联网背景下个人信息再利用中的局限性也是不可忽略的。互联网背景下的个人信息收集具有海量性、流通具有频繁性、利用具有多样性。如果把对互联网背景下个人信息再利用的权利完全交给作为信息主体的个人，显然是不现实且不经济的，对作为信息主体的个人和作为信息形成和记录的网络运营平台来说都会产生极大的负担。再者个人信息不仅具有个体性还具有社会属性，如果完全把对个人信息控制的权利交给个人其社会属性将不能实现[12]。最后，知情同意框架在互联网背景下具体应用的场景为用户对平台隐私政策的同意，而该同意往往形式性意义大于实质性意义，如何提高知情同意的有效性也是其必须要解决的问题。

从谷歌、百度、腾讯等公司目前的隐私政策来看，对个人信息的知情同意主要应用在信息收集阶段。而对于个人信息的再利用的知情，其仅阐述了其对个人信息的再利用会基于其明示的目的进行，而没有对个人信息所应用的具体场景进行描述。对于个人信息再利用的同意，基于平台对个人信息再利用情境的告知具有模糊性，个人无法单独就个人信息再利用进行选择和同意，平台也往往默认为用户同意收集和储存的数据即为同意被再利用的数据。考虑到互联网背景下个人信息再利用的特征这种默认是有必要的，但其必须以合理期待为前提，以保证个体对其个人信息所具有的利益。合理期待需要符合数据最小化原则④和目的限定原则⑤，且其考虑必须是基于场景化的。例如对于个性化广告推送的这种个人信息再利用形式，如果平台不提供个性化广告推送，意味着其运营收益会减少，而最终其会转嫁给用户，使用户使用服务的成本增加。而成本增加能否为用户所接受就成为考虑平台个性化广告推送这一数据再利用方式是否具有合理期待的因素。在基于合理期待的默认模式中，合理期待使得个体对其个人信息的最低保护要求得以满足，而默认模式则有利于互联网背景下个人信息的流通，促进其价值的发挥。

所谓合理期待是基于特定多数人的价值选择，因此在该模式下有必要对个体的价值选择提供个别的救济，例如个体摘除权的赋予。平台对其收集和利用的符合其合理期待判断的用户个人非敏感信息，应当在其隐私设置中尽可能详细而具体地予以列明，并允许作为信息主体的个人将其认为不能被允许收集和利用的个人信息进行摘除，且这种摘除的操作必须是简单易行的。百度在其隐私设置中对记录搜索行为日志、展现搜索历史词、手机搜索展现保护和身份证搜索展现保护四项中赋予了用户摘除权，这种做法是值得肯定的，但其允许用户摘除的信息仍然还处在一个比较小的范围内。隐私具有非常强烈的个体主观性，在互联网背景下用户对于平台收集和利用其个人信息的态度很可能会产生完全迥异的态度，而基于合理期待的默认和个体摘除权的赋予最大程度地对这种差异性给予了尊重。在知情同意框架下，将基于合理期待的默认和个体摘除权相结合，使个人信息在互联网背景下充分发挥其经济价值的同时，也兼顾了个体对于其个人信息的利益保护。

四、结语

进入互联网时代，人们对个人信息的认识和理解发生了翻天覆地的变化。我们惊讶于数据融合和利用所带来的社会创新和经济发展活力，也忧虑互联网时代人们似乎已经没有隐私可言。大数据时代下的个人数据之所以能够发挥其价值就在于其样本的全面性，如果过于强调个人信息的个体权利属性，将导致个人数据难以发挥其巨大的经济价值，而如果完全忽略个人信息的个体权利属性，将产生巨大的社会道德风险甚至引发严重的社会后果。在互联网背景下，对个人信息所具有的前述两种价值属性如何进行利益衡量和利益衡平就显得尤为重要，不同的国家可能在该价值判断中做出完全不同的选择。

同美国、欧洲等国家相同，我们国家对互联网背景下的个人信息再利用也非常关注，近年来连续出台了《网络安全法》等法律法规，并将个人信息立法纳入人大的立法规划。2019年中央网信办、工信部、公安部、国家标准委等四部门联合对100款手机应用的隐私政策进行了评审，总结其共性问题后，制作清单反馈给各应用公司以改进其在个人信息收集和利用中所存在的问题，这种动态化执法可谓是一种非常有益的尝试。互联网背景下个人信息再利用的法律规制工作在我国正逐步展开，在不远的将来，体系化的制度也将被构建，个人信息在互联网背景下所具有的巨大经济价值和个体对其个人信息控制的需求将得到平衡，我国的互联网事业也会更为蓬勃发展。

注释：

①详见（2014）宁民终字第5028号。

②公平信息实践起源于20世纪70年代的美国，为全球个人信息保护奠定了基础。

③欧洲《通用数据保护条例》前身是1995年的《计算机数据保护法》。

④数据最小化原则指对于个人数据的处理数量以满足该业务需要的最小数量为限。

⑤目的限定原则指在个人数据的处理问题上必须始终满足正当目的的要求。