摘 要:“裁判上的个人信息合理使用”与“立法上的个人信息合理使用”并不相同,相比较后者而言,前者既未明确其所提出的个人信息合理使用的目的性限制,也没有明确其所存在于其中的具体情形。“裁判上的个人信息合理使用”的界定标准是“未给信息主体造成不合理的损害”,這一点对裁判者来说将会成为更加致命的诱惑,诱惑裁判者倾向于将在实践中难以证明的或者是对个人而言本来就是不那么重要的损害,都认定为合理使用。由此,所谓“裁判上的个人信息合理使用”带来的并非提出者所要追求的实现“自然人的个人信息受法律保护”的目的,恰恰相反,会与此所宣称要追求的目的背道而驰。
关键词:个人信息;隐私权;个人信息合理使用;免责事由
作者简介:张建文,西南政法大学教授、博士生导师,西南政法大学俄罗斯法研究中心研究员(重庆 400031)
基金项目:中国人权研究会2020年度部级研究课题“中国民法典编纂与人权保护”(CSHRS2020-20YB);重庆市技术创新与应用发展专项重点项目“基于人脸识别技术的智慧社区社会实验”(cstc2020jscx-dxwtBX0020)
DOI编码:10.19667/j.cnki.cn23-1070/c.2021.06.012
一、问题的提出:裁判上的个人信息合理使用
2020年7月31日,北京互联网法院就“凌某某诉北京微播视界科技有限公司隐私权、个人信息权益网络侵权责任纠纷案”1(以下简称“抖音APP案”)作出一审判决。该判决作出之日,《中华人民共和国民法典》(以下简称民法典)虽已通过但尚未生效,其第999条中也作出了“合理使用他人人格要素”2的规定,个人信息作为人格要素之一种,被纳入合理使用的对象之中,但是,对该他人人格要素的使用,明确了该合理使用的公共利益限制,即只能局限于“为公共利益实施新闻报道、舆论监督等行为”,同时,对于可能的超越该界限的使用行为,规定了明确的责任机制,即“使用不合理侵害民事主体人格权的”行为,应当依法承担民事责任。
在该案的判决中,司法机关出于“对个人信息绝对化的保护,可能会导致个人信息处理和数据利用的成本过高,甚至阻碍信息产业的健康发展”的考虑,认为“需要在具体应用场景中考察是否存在个人信息合理使用的情形”,而且明确且清晰地表达了这种个人信息合理使用的定义,即“在没有对信息主体造成不合理损害的前提下,认定某些个人信息的利用行为可以不必征得信息主体的同意”1,可以称之为“裁判上的个人信息合理使用”,以区别于可以称之为“立法上的个人信息合理使用”的民法典的相关规定。这种个人信息合理使用的论调的基点,就是“数据是数字经济时代重要的生产要素,信息是数据的基础”,所考量的要素在于“个人信息处理和数据利用的成本”与所谓的“信息产业的健康发展”,并没有明显的与个人信息合理使用有关的“公共利益导向”的要求。
值得追问的是,在该案裁判中所提出的“个人信息合理使用”与民法典所提出的对作为他人人格要素的“个人信息合理使用”之间,到底是何种关系,前者是在民法典尚未正式生效的情况下,对后者规定精神的参考吗?
就其根源而言,那就是,要追问:这两种个人信息合理使用究竟是否为一回事儿,还是说二者之间存在差异?如果说,存在差异的话,这种差异是否足够大,以致于可以认为司法裁判实际上提出了一种新的类型的“个人信息合理使用”制度?那么,又如何评价司法裁判所提出的这种“个人信息合理使用”制度?这种评价必须包含着对司法裁判提出的这种“个人信息合理使用”究竟是好是坏的判断。
在本文中,笔者将结合民法典第999条规定的个人信息合理使用制度,与第1036条规定的处理个人信息的免责事由,以本文所要研究的“抖音APP案”的裁判观点为基础,意图仔细辨识在民法典和该案裁判所提出的“个人信息合理使用”制度之间所可能存在的极其重大的甚至是本质性的差异。也许,这种差异可以用不甚精确但足以表达其差别的“公共利益导向的个人信息合理使用”与“非公共利益导向的个人信息合理使用”来表示。
二、民法典的立法创新:公共利益导向的个人信息合理使用制度与免责事由
(一)公共利益导向的个人信息合理使用制度
民法典上规定的他人人格要素的合理使用制度,不局限于个人信息,还包含了姓名、名称、肖像等,个人信息的合理使用只是其中之一。为了研究方便起见,称之为个人信息的合理使用。从个人信息保护的角度看,民法典规定的个人信息合理使用制度,在来源上以知识产权法上作为“调和著作权与社会公益、促进科学文化繁荣发展的重要衡平机制”2的合理使用制度为原型,移植到民法典中来。3
实际上,在研究个人信息保护法的学者中,已有学者明确提出:“个人信息具有公共性和社会性”,“他人或社会使用个人信息的正当与否不应当由个人决定,而应当由社会决定,由法律决定”,特别是要求“识别个人信息保护和使用所涉各方主体的利益,并以此进行利益衡量,实现合理的制度安排”,并应当以此作为“我国个人信息保护的基础理论”,这就是所谓的“个人信息的社会控制论”4。这种观点为个人信息合理使用问题的制度化解决奠定了理论上的基础。
民法典第999条所提出的个人信息合理使用制度,意在“理顺人格权保护与舆论监督、新闻自由的关系等”1,因而具有强烈的公共利益导向性质,同时,对于该合理使用的界限也明确地施加了“合理”的要求,并且,对于构成“不合理”使用的情形,规定了民事责任的承担机制。
尽管从事新闻宣传工作的机构广义上可能有很多,包括报社、通讯社、广播电台、电视台、杂志社、出版社、互联网信息服务提供者和移动互联网信息服务提供者等,2但是,不是所有的新闻报道、舆论监督等行为都构成合理使用,而只是其中符合“为公共利益”之目的的“新闻报道、舆论监督等行为”才能构成合理使用。在民法典之前的司法实践中,司法机关已经对“为满足社会大众对公众人物的知情权而采写的监督性报道”适用了类似合理使用的要求。3
综上,我国民法典上的个人信息合理利用制度,相对我国著作权法上作为对著作权之限制的合理使用制度4而言,较为狭窄,仅仅局限于为特定的公共利益目的情形,而且对于溢出“合理使用”之界限的行为配置了民事责任机制。
(二)处理个人信息的免责事由
從立法结构上看,民法典第999条规定了关于他人人格要素合理使用的一般性制度,在“肖像权”以及“隐私权和个人信息保护”专章中规定了对肖像(第1020条)和个人信息(第1036条)合理使用的特别规定。
具体到个人信息的免责事由,其中的三种情形具有合理使用的性质:一是合理处理该自然人自行公开的或者其他已经合法公开的信息的情形,其例外为该自然人明确拒绝或者处理该信息侵害其重大利益,这是来自司法解释的规范上升为民法典的一般立法规定的情形;5二是为维护公共利益而合理实施的其他行为的情形,这是比较空泛且亟待司法实践进一步填补的条款,具体来说,结合有效的司法解释,可以将“为促进社会公共利益且在必要范围内”“学校、科研机构等基于公共利益为学术研究或者统计目的”利用网络公开个人信息的情形归入这种情形;三是为维护该自然人合法权益而合理实施的其他行为的情形,比如为保护“权利人值得保护的重大利益”6,特别是“与信息主体生命相关的重要利益”7。
笔者认为,在我国民法典上,针对个人信息的使用,规定了与我国《个人信息保护法》不同的形式和机制。2021年11月1日生效的《个人信息保护法》正面规定个人信息使用的“合法性基础”(第13条第1款),以列举的形式规定,构成合法使用的情形,同时也构成免责的事由。8民法典则不同,将个人信息纳入他人人格要素合理使用的范围之中,按照我国民法学者的见解,个人信息的合理使用属于立法者“为了维护公共利益对自然人的个人信息权益所作出的限制,其性质上属于对人格权益而非财产权益的限制”9。而且,在我国民法典中规定的个人信息合理使用具有强烈的公共利益导向性质,相反,在作为免责事由的合理使用个人信息的情形中,也具有公共利益导向,但同时也包括了不具有公共利益的情形。
三、《民法典》与《个人信息保护法》的比较分析:从“合理使用”到“在合理范围内处理”
从整体上来看,民法典规定的个人信息合理使用与个人信息处理免责事由,具有一般个人信息保护立法中个人信息使用的合法性基础的性质和作用,但是,在规范安置上较为零散,而且内容也不够全面。在前文中已经述及,整体上来说,民法典上这种具有并且也将发挥“个人信息使用的合法性基础”之作用的个人信息合理使用与个人信息处理免责事由的规定,其所呈现出的凌乱(非体系性)和不完整,是民法典关于个人信息保护立法的重要不足。
而《个人信息保护法》第13条规定了完整的个人信息处理合法性基础体系,个人信息处理可以以此分为两种基本类型,即基于个人同意的个人信息处理与非基于个人同意的个人信息处理。前者只包括“取得个人的同意”一种情形,而后者则包括八种具体情形,又可分为基于“必需性”的六种情形与基于“合理性”的两种情形。除了前述情况之外,还有作为兜底性质的且具有法律保留意味的“法律、行政法规规定的其他具体情形”。因而共计由十种作为个人信息处理合法性基础的具体情形。基于必需性的情形包括:为订立、履行个人作为一方当事人的合同所必需;按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;为履行法定职责所必需;为履行法定义务所必需;为应对突发公共卫生事件,紧急情况下为保护自然人的生命健康和财产安全所必需。基于合理性的情形包括:为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;依照该法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息。
相比较而言,《个人信息保护法》第13条将民法典规定的个人信息合理使用(第999条)和个人信息处理免责事由(第1036条)的规定整合起来,形成了统一且完整的个人信息处理合法性基础体系。
所不同者在于:第一,民法典第1036条中的第1项中的同意,在《个人信息保护法》中被作为个人信息处理合法性基础的核心,其他的合法性基础事由均作为取代同意的情形。
第二,前述民法典条文第3项即“为维护公共利益或者该自然人合法权益,合理实施的其他行为”被《个人信息保护法》分解为基于必需性的事由,涵盖为公共利益的三种必需性事由,即为履行法定职责所必需、为履行法定义务所必需、为应对突发公共卫生事件,和为自然人利益的一种必需性事由,即紧急情况下为保护自然人的生命健康和财产安全所必需。值得注意的是,在保护自然人合法权益的情形中,《个人信息保护法》有四个不明显但并非不重要的变化:一是增加了“紧急情况下”的必要且充分的条件性要求;二是将所保护的自然人的范围从民法典限定的“该自然人”扩张到了可能不限于“该自然人”的其他自然人;三是将合法权益进一步明确为“生命健康和财产安全”;四是取消了民法典对此时处理个人信息的“合理性”限制,这也是由于“紧急情况下”所引起的,符合通常所谓的“紧急之下无权利”“紧急之下无法律”的法谚。
第三,前述民法典条文第2项的规定,《个人信息保护法》将该种情形予以承继,但是作出较为重要的改变。一是增加了“依照本法规定”的限制,二是明确了“合理处理”的含义为“在合理范围内处理”。要认识该变更的重要意义,尚需结合《个人信息保护法》第27条的规定。该条改变了民法典前述条文对合理处理之例外情形的规定,个人自行公开或者其他已经合法公开的个人信息的法律地位在个人没有明确拒绝的情况下类似于可供自由使用的公共财产,即不需要取得同意(许可)也不需要付费即可使用;1但是,该条对于“对个人权益有重大影响的”已公开的个人信息,则属于个人信息保护法上应受保护的个人信息,不但不能自由使用(处理),而且必须按照《个人信息保护法》的规定取得个人同意才能处理。然而,该条所谓“对个人权益有重大影响”的判断标准为何,以及应当以处理者的判断还是个人信息主体判断为准,则处于较为模糊且阙如的状态,有待司法裁判的累积充实。
第四,民法典第999条的规定,《个人信息保护法》在个人信息保护法的范围内予以最大限度的承袭,但是将民法典所谓的“合理使用”变更为“合理处理”。
整体而言,从民法典所谓“合理使用”的角度而言,《个人信息保护法》对民法典中的相关条款虽然予以承袭,但是也做了不小的变更。其中最具重要性的变更是将民法典第999条所谓的“合理使用”的表述变更为“在合理范围内处理”,这意味着《个人信息保护法》并不接受民法典“合理使用”的概念。
四、“抖音APP案”的裁判立场:非公共利益导向的个人信息合理使用制度
(一)“抖音APP案”的个人信息合理使用制度:特性与意图
在之前的研究中,已经令读者注意到了我国民法典有关个人信息合理使用制度和具有合理使用性质的个人信息处理免责事由的特殊性,即破碎且不完整的这两个规范群,在某种意义上承担了在我国民法典上的个人信息处理的合法性基础的作用。
但是,值得注意的是,在本文所研究的“抖音APP案”中,司法机关提出了一种与前述民法典上的个人信息合理使用以及具有合理使用性质的免责事由并不相同的个人信息合理使用的观念,并将其适用于司法裁判之中。
司法裁判所提出的这种令人震惊的个人信息合理使用并不是来自于民法典相关规定的精神,而是来自于某种被遮蔽的可能与个人信息保护相悖的意图。
重新返回司法裁判对这种个人信息合理使用理念的表述是有益的,在这个表述中,司法机关直白地不加任何掩饰地将损害与个人信息保护的必要性和正当性直接等同起来。在这个表述中,司法机关直接提出了实际上也是将自己的裁判说理任务界定在“需要在具体应用场景中考察是否存在构成个人信息合理使用的情形”,而对这种“构成个人信息合理使用的情形”的界定极其简单,即只要“在没有对信息主体造成不合理损害的前提下”,就可以“认定某些个人信息的利用行为可以不必征得信息主体的同意”1。
从该案的判决书来看,司法机关提出的裁判上个人信息合理使用的背景是司法机关面临着具体而明确的对抖音APP处理手机通讯录行为的认定问题,具体而言,就是“双重同意”的基本要求是否能够被适用,而不是是否应当被适用,因为在裁判理由部分法院已经肯定了“应当征得双重同意”,即“在处理手机通讯录中联系人姓名和手机号码时,既是对手机用户个人信息的处理,又是对通讯录中联系人个人信息的处理。所以,这种处理行为一般要征得两类主体的同意,既应征得手机用户同意,又应征得每条通讯录联系人的同意,即应征得双重同意”。但是,法院认为这种“双重同意”是不现实的或者说是不具有可能性的,即“如果要求在任何使用场景下都必须严格征得双重同意,有可能会导致具体场景下利益的失衡”2。由此引出了考察在具体的场景中是否构成个人信息合理使用的情形的裁判任务。
(二)“损害”要件的司法政策工具化倾向
在本文研究的“抖音APP案”中,司法机关提出的以“没有对信息主体造成不合理损害”作为合理使用与非合理使用的边界界定标准,显得极其含混和宽泛,是否以损害的存在作为个人信息侵权的构成要件本身也是值得怀疑的。
在2004年香港特别行政区法律改革委员会为引入“隐私权”所提出的《侵犯私隐的民事责任》报告书中,明确提出了“我们要解决的问题是原告人须否证明他所受到的实际损害是与人身伤害或财产损失或损坏相若,才有权就侵犯私隐提起诉讼”。该委员会建议“应该毋须证明有任何损害便可以就侵扰他人独处或隔离境况的行为或无理宣扬他人的私生活的行为提起诉讼”1。
在比较法上,国际法专家委员会英国分会的报告书认为,法律应该推定私隐受侵犯的人有实际损害,因为很多侵害私隐权的个案难于证明原告人有实际损失。2爱尔兰法律改革委员会亦建议,原告人毋须证明他蒙受任何损害。该委员会认为,令被告人须向受害者作出赔偿的过错,主要在于侵犯私隐行为冒犯了人的尊严,而不在于这种行为所可能造成的损害。3
在我国的司法实践中,也有少数案例中将损害的认定客观化,只要认定被告“未经许可向第三人披露他人个人信息的事实存在”,即可构成损害,甚至不再进一步考虑第三人的行为是给当事人带来利益还是实际损失。如在“孙某诉中国联合网络通信有限公司上海市分公司隐私权纠纷案”中,法院认为:“对于被告提出其没有给原告造成损害、反而使原告获得了利益,本院认为,法律、法规保护隐私权的目的是赋予权利主体对他人在何种程度上可以介入自己私生活的控制权,以及对自己是否向他人公开隐私以及公开范围的决定权。因此,个人信息的私密性是其重要内容,只要有未经许可向第三人披露他人个人信息的事实存在即可构成侵害,就侵害的成立而言无须考虑第三人究竟给原告带来的是利益还是损害,私人信息为第三人所知本身即为损害。”4但是,更多的情况是,“损害”的存在和证明成为隐私权和个人信息保护的关键性甚至是决定性要素。5
在我国的司法实践中,特别是在隐私权和个人信息保护中,“损害”要件的认定与个人信息的“私密性”检验,越来越呈现司法政策工具的意义,成为互联网企业可能而且也的确是经常通过法院强制剥夺或者限制“我们管理个人数据的能力,以及按照我们的意愿保护或披露这些数据的能力”6。
笔者认为,在个人信息保护中,“損害”的认定,应当尽量采取客观化或者推定化的方式进行认定,因为在此类诉讼中,损失或者损害可能是微不足道的,除非是允许原告无须证明有任何损失或损害便可以起诉,否则原告就不能够以申请诉前禁令等来制止被告做出或者重复做出侵权行为。
(三)“抖音APP案”所提出之“个人信息合理使用”的意图
值得追寻的是,司法机关提出这种直白且简单的可以称之为“裁判上的个人信息合理使用”的意图何在?在本文所研究的“抖音APP案”中,特别是法院在抖音APP读取原告手机通讯录行为的认定中,透露并试图自我解释其所提出的裁判上的“个人信息合理使用”的意图。
首先,司法机关出于对个人信息的数据资源特性,自我设定了考察具体应用场景中是否存在构成个人信息合理使用情形的任务。
法院提出:“数据是数字经济时代重要的生产要素,信息是数据的基础,对个人信息过于绝对化的保护,可能导致个人信息处理和数据利用的成本过高,甚至阻碍信息产业的健康发展。因此,需要在具体应用场景中考察是否构成个人信息合理使用的情形”1;“基于个人信息而产生的数据,是企业竞争、行业发展的资源和支撑”;“个人信息是数据的重要来源之一,而数据作为新型生产要素又是数字经济发展的基础,对于个人信息的采集和利用必然会带来商业价值和经济利益”2。
在该论调中,凸显了数据的资源价值,特别是个人数据获得空前价值,3具有强烈的资源隐私论的色彩——“认为隐私只是一种工具,具有某种工具价值。例如,为了能够使用某项服务,我将向您提供一定程度的访问我私人信息的权限。这是一种浮士德式的交易,在数字世界中每天都会发生无数次”4——而不是强调隐私的尊严价值,个人信息的“突出特点在于人格权属性”5。
其次,司法机关提出的裁判上的个人信息合理使用具有强烈的商业性(非公共利益性)利用色彩。
法院明确提出:“就信息使用的目的而言,除满足或促进用户在抖音APP中建立社交关系外,还具有一定的商业目的,但个人信息的合理使用并不必然排除出于商业目的的使用”6。这一点与民法典第999条和第1036条的规定意旨相去甚远,极大地突破和超出了民法典相关规定的效力范围。
最后,司法机关所提出的裁判上的个人信息合理使用的真实意图是所谓的促进互联网行业的发展。具体体现为:
一是前已述及的法院裁判观点——“对个人信息过于绝对化的保护,可能导致个人信息处理和数据利用的成本过高,甚至阻碍信息产业的健康发展”;
二是法院重申“过度严格地保护个人信息维护会给个人带来利益,而适度允许互联网行业在安全的前提下合理使用个人信息,则可以促进互联网行业和数字经济的发展,增加整个社会的福祉”,尽管加上了一句含混不清的限制,即“这种适度的合理使用应以不损害个人利益为前提”;
三是法院在对读取手机通讯录的行为的认定中,认为“虽然读取手机通讯录时不可避免地会读取原告的手机号码,但读取和匹配行为并不会对原告产生打扰,通常也不会不合理地损害原告利益,且有利于满足其他有社交需求用户的利益及行业和社会发展的需要,属于对该信息的合理使用”7。
综上,在本文所研究的“抖音APP案”中,司法机关所提出的“裁判上的个人信息合理使用”,与民法典所规定的个人信息合理使用以及具有合理使用性质的规范相比,具有极其明显的差异:
在对个人信息的法律性质的认识上,前者具有更加明显和强烈的资源意识,完全将个人信息看做是大数据时代的经济要素,强调其经济价值,1而后者具有相对较多的尊严价值,考虑到个人信息一定程度上具有人格尊严的意义。
在合理使用的判断标准上,前者倾向于以未给信息主体造成不合理损害为标准,但是,实际上,对于不合理损害的判断仍然处在极为模糊的地带,赋予了裁判者较大的自由裁量权,难免造成法律适用的不统一,而后者特别是民法典第999条的规定,对合理使用的目的和合理使用的具体情形进行了较为具体和明确的规定。
在合理使用的方向上,前者具有强烈的商业性利用色彩,意在为互联网企业的商业性使用,放松对个人信息的收集和处理的管制力度,而后者具有强烈的为公共利益目的利用的色彩,主要是在特定的公共利益使用情形中放宽对个人信息收集和处理的管制。
在最终的意图上,虽然都有追寻个人信息保护与大数据利用的边界的意识,但是,前者意味着裁判立场与企业立场(“基于个人信息的资源性的大数据利用”)的高度趋近,而与个人立场(“基于个人信息的尊严性的法律保护”)悖离,后者相对而言试图探寻必要的中间立场。
大数据时代,大数据的资源价值和资产意义被无限扩张和放大,刺激和推动了互联网企业过度地甚至近乎疯狂地搜集个人信息的行为,将个人信息视为大航海时代的无主土地,以近乎偏执和疯狂的跑马圈地和先占为手段,希望通过对海量的用户信息的收集和存储,为自己在未来的经济竞争中形成并积累竞争优势。
在本文所研究的案例中,在“因为技术能力,普通网络用户很难了解其个人信息如何被处理和利用,其对网络空间中的个人信息和私人领域的控制力更为减弱”的背景下,个人信息保护与大数据利用之间的冲突再次凸显了保护个人信息的重要时代意义。在大数据时代重申加强个人信息主体对自己的个人信息的自我控制权并非是虚妄的,而是具有其重要的现实价值,这种现实意义不仅需要从对个人的隐私权和个人尊严保护的角度进行理解,也需要从国家安全的战略高度理解,“海量的用户信息一旦泄露,可能会给国家安全和社会公共利益造成严重的危害”2。目前,在我国有关个人信息立法的趋向中,普遍不看好欧盟的模式,认为“欧盟更注重读以个人信息的保护,并不强调个人信息的利用”,对“更强调对个人信息的利用,更注重发挥个人信息的经济效用”3的美国模式,艳羡不已。
结 语
由上所述可知,在本文所研究的“抖音APP案”中,司法机关提出了“裁判上的个人信息合理使用”概念。该概念与当时虽已公布但尚未生效的民法典关于个人信息合理使用以及具有类似作用的免责事由等规范相比较而言,仍有极大的甚至可以说是本质性的差别,其致命性的缺陷在于“未给信息主体造成不合理损害”的标准本身的缺陷。这个所谓的“未给信息主体造成不合理损害”的标准,既缺乏对合理使用的目的的限定(特别是司法机关明确不排除在商业用途中对个人信息可能的合理使用,而且在该案中司法机关也的确以此认定了在商业使用中对个人信息合理使用的情形),也缺乏对合理使用的具体场景的明确规定,不得不将所造成的损害之合理性与不合理性的判定,全盘委之于司法机关的自由裁量之中。
更为重要的是,考虑到在个人信息保护的场合中,要想完成对损害本身的存在的证明已经极其困难,因为对个人而言,互联网企业过度收集和处理个人信息所造成的损害可能是微乎其微的或者不甚重要的,由此对作为裁判者的法官来说,将侵害个人信息所造成损害认定为并非不合理的倾向,可使裁判者走上歧途。
无疑,司法机关所提出的“裁判上的个人信息合理使用”理念,豁免了互联网企业在商业使用中收集与处理个人信息时应当遵循的基本义务,悖离了个人信息保护的基本宗旨,其进一步的实践的后果,就是会导致公众对互联网企业和大数据产业的不信任加剧,反而阻碍互联网企业和大数据产业的健康发展。抖音海外版(Tik Tok)在美国以及其他国家因过度收集个人信息和危害国家安全等理由所遭遇的经历,虽然不排除个别国家的特定政治意图,但是,该软件本身在个人信息保护中的缺陷和运营者过度收集个人信息的行为是否存在,并未那些國家提供了口实。
从微观角度看,《个人信息保护法》第13条弥补了民法典在个人信息合理使用和免责事由的规范设计与编排上的散乱且在内容上不完整的弊端,将其统一整合为个人信息处理的合法性基础体系,更为重要的是,将民法典第999条的“合理使用”更改为“在合理范围内处理”,意图在于取消立法上的个人信息合理使用,使得民法典所谓的个人信息合理使用规范的适用更为复杂。从宏观角度看,《个人信息保护法》在立法趋向上对待个人信息处理的规制上,遵循了“三严”的理念,即“严密的制度、严格的标准、严厉的责任”,强化了个人在个人信息处理中的权利,强化了个人信息处理者的义务。在《个人信息保护法》的框架下,类似于本文所研究的“抖音APP案”中司法机关所提出的“裁判上的个人信息合理使用”概念,还有多大的适用空间甚至是否有适用的可能性问题,可想而知。