个人信息识别标准下的商业化使用

吴昊星

（上海大学法学院,上海 200444）

郭兵购买野生动物园的年卡并录入其指纹信息后，野生动物园方面却要求郭兵激活人脸识别系统才能够入园，郭兵认为人脸信息属于高度敏感的信息，不同意接受人脸识别，故起诉杭州野生动物园。法院最终判决动物园赔偿郭兵合同利益损失及交通费1 038元，删除郭兵办理年卡时提交的照片等面部特征信息①。随着互联网技术的飞速发展，对于与个人信息有关的权益也急需加强保护，我国《民法典》明确将个人信息作为一项民事权益②，2021年11月1日《个人信息保护法》将正式实施，预示着我国个人信息的保护将进入一个新的阶段。但到底何为个人信息，如何在实现保护个人信息的同时推动个人信息的商业化使用，这些问题都具有重大的理论和实践意义。

1 个人信息范围界定

首先需要界定个人信息的范围。《中华人民共和国民法典》规定自然人的个人信息受法律保护，但是没有明确指明哪些属于个人信息，刚颁布的《中华人民共和国个人信息保护法》第四条规定：“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。”这里将个人信息分类为“已识别”和“可识别”两种不同的情形，即必须能够被“识别”出和特定自然人相关的信息才属于个人信息的范畴，但是不包括已经丧失“识别”标准的“匿名化”的信息。已识别的个人信息，是指那些已经和特定的自然人联系起来的信息，例如某个人的家庭住址、联系电话、工作单位等，将已经识别到的自然人的信息纳入个人信息的范畴是保护个人信息的应有之义。对于“可识别”的个人信息，通常有两种分类，即直接识别的个人信息和间接识别的个人信息，其区别在于是否需要借助其他信息就可以识别出特定的自然人。

1.1 直接识别的个人信息

直接识别是指可以直接识别到特定自然人，不需要借助其他任何信息。一个人独有的特征构成了这些可以直接识别的个人信息，例如身份证号码、电话号码、指纹信息等。直接识别的个人信息通常与特定的自然人有紧密的联系，其与隐私权仅隔着一层薄薄的面纱，通过这些信息就可追踪到特定的个人。故对直接识别的个人信息的使用应当保持最大的谨慎，充分贯彻个人信息自决的权利，赋予权利人足够的空间去控制这些信息。

1.2 间接识别的个人信息

间接识别是指需要与其他信息一起才能将该信息与特定的自然人联系起来。一些信息单独并不能识别到特定的个人，但是与其他信息相互印证之后就可以起到识别的作用，例如我们在使用电脑时浏览网页的行为会被记录在浏览器的cookie信息中，单独的cookie可能并不能识别到浏览网页的人，但是和浏览器上登录的账号相结合就可以锁定到具体的人。在技术上，这种间接识别标准日益受到挑战，随着数据分析、挖掘等新技术的发展，曾经的“间接识别问题”变得异常棘手，以至于将“个人网络行为记录信息”认定为不属于个人，可识别信息变得“摇摇欲坠”[1]。

2 域外个人信息保护的范围

2.1 美国个人信息保护的范围

在个人信息的保护上，美国采纳直接识别与间接识别相结合的标准。在Kevin Low v.LinkedIn Corporation案中，美国加州地方法院法官认为浏览器中的cookie信息属于个人信息，这实际上承认了个人信息的间接识别标准③，美国《2018加州消费者隐私法案》规定：“个人信息系指直接或间接地识别、关系到、描述、能够相关联或可合理地链接到特定消费者或家庭的信息”，即美国的个人信息保护标准与我国个人信息保护标准类似。

美国在致力于个人信息保护的同时也注重数据的流通，这样的价值取向会导致间接识别范围上的差异。在Kevin Low v.LinkedIn Corporation案中，法官虽然认为cookie信息属于个人数据，但是其驳回了原告要求赔偿的诉讼请求，认为LinkedIn 公司对用户的侵害远没有达到需要赔偿的程度。美国一直寻求个人对个人信息的控制与信息自由流通的灵活机制，以实现个人利益、社会利益与公共利益的平衡[2]，所以美国虽然也认为间接识别的个人信息也属于个人信息的范畴，但是其更致力于数据的流通与交换，这也间接支持了Google、Amazon这样的互联网巨头对海量信息资源的使用，使其数据产业得到了进一步发展。

2.2 欧盟个人信息保护的范围

在个人信息的保护标准确定上，欧盟也采用直接识别和间接识别相结合的方式。欧盟早在1995年制定的《数据保护指令》中就规定个人数据是指已识别的或可识别的自然人有关的任何信息；之后的《通用数据保护条例》（以下简称“GDPR”）第26条规定：“为确定自然人是否可识别，应考虑采取所有合理使用的方式，包括控制者或其他人直接或间接地识别自然人所选择的方式。”可以看出欧盟在个人信息的保护标准上，一贯坚持直接识别与间接识别相结合的标准，这也是在信息化时代保护个人信息的必然选择。

欧盟一贯重视保护个体的人身权益，倾向于个人信息的绝对保护，这样的价值取向会使得间接识别所包含的范围极其广泛。在Patrick Breyer v.Federal Republic of Germany的案件中，法官认为动态IP如果和其他信息结合在一起能够识别到特定个人的话，该动态IP也可以被视为个人信息④。关于GDPR第26条的立法解释也印证了上述价值取向：应当考虑数据控制者或者其他人使用的所有可能的合理方法去评估识别的可能性，这里“所有可能的合理方法”就是绝对意义上的间接识别标准。在数据科技日益发达的今天，几乎可以通过各种信息相互印证从而间接识别特定人的个人信息，欧盟严格的个人信息保护会使互联网企业使用数据信息受到阻碍，促使社会承担巨大的成本。

3 个人信息如何商业化使用

大数据产业的发展以每个人创造的数据为基础，数据的流通也为整个社会资源的有效分配作出贡献。有关个人信息的商业化使用是信息化时代的必然要求，正如阿联酋人工智能部部长奥马尔·本·苏尔坦所强调的那样，数据是新的石油资源⑤，问题的关键为在保障个人信息权益的前提下如何使用好这些“新石油”。欧盟主张对个人信息的强效保护机制，使得中小企业承担了巨大的数据合规成本，导致其数据产业发展受阻，至今没有像Facebook、Google 那样的大型互联网科技公司。美国在保护个人信息的同时强调与个人有关的数据流通，其更加倾向数据的等价交换和商业化使用，这和其自身作为数据强国不无关系。在国与国竞争日益激烈的今天，我国如何在保障个人信息安全的同时，促进有关个人信息的商业化使用与扶植自身的数据产业具有重大的理论意义和现实需求。

3.1 直接识别标准下的商业化使用

对于直接可识别的个人信息，因其与自然人的私人生活密切相关，应该严格适用个人信息的保护标准。根据这些个人信息是否公开，可以分为公开的个人信息与非公开的个人信息，对其进行商业化使用的规则也有所不同。

3.1.1 非公开的个人信息

对于非公开个人信息的商业化使用，应当在收集、处理和使用中取得信息主体的同意，并遵循对个人信息主体影响最小的原则。

我国《个人信息保护法》明确规定，只有取得个人的同意才可以处理个人信息⑥，世界各国对个人信息处理普遍采取了知情同意原则[3]。非公开的信息可以直接识别到特定个人，信息主体出于各种考虑而选择没有公开，对这些信息的商业化使用当然要经过其专门的同意，否则将严重侵害公民的私人生活安宁。值得注意的是，虽然一些直接识别的信息在一定范围内被其他人所知，但并不能认为信息主体对其进行了公开，例如一个人的电话号码、身份证号码等，其只是为了能够正常的生活工作而进行的有限范围的知悉，但不属于已经公开的个人信息。我国《个人信息保护法》第六条第一款规定：“处理个人信息应当具有明确、合理的目的，并应当与处理目的直接相关，采取对个人权益影响最小的方式”，即商业主体在对个人信息所产生的数据进行使用的时候，应当出于对信息主体负责的态度，不滥用有关信息。例如有些商业主体在收集用户的位置信息时，对用户的位置信息进行高频次的读取，这样的做法明显不符合影响最小原则。

3.1.2 公开的个人信息

对于公开的个人信息的商业化使用，要从信息主体与商业使用主体两者之间，以及与第三方主体三者之间的不同维度进行考察。

在信息主体与商业使用主体之间，商业主体首先要取得信息主体的同意，但是对于自愿公开的个人信息，不能就此认为信息主体已经默示同意。在现实生活中，信息主体为了进行正常的生活、工作或者表达某种心情时会公开自己的有关信息，例如出于某种表达和分享的欲望在微信朋友圈晒自己的照片；在婚恋交友网站上为了能够匹配到心仪的对象而公开自己的基本情况；为了寻求到工作机会而在招聘网站上公布求职信息等。信息主体的上述公开是基于特定目的进行的公开，这并不意味着商业主体使用上述信息已经取得了本人的同意，我国《个人信息保护法》第十四条明确规定处理个人信息必须在信息主体充分知情的前提下，并且当处理的目的或者方式等发生变更时，应当获得信息主体的重新授权⑦。所以这里直接识别的个人信息并不能因为本人已公开而进行随意的商业化使用，需要根据具体不同的场景得到明确授权。

第三方在使用信息主体已经在另一平台上公布的个人信息时，就需要协调三方主体之间的关系。在微博诉脉脉案中，脉脉公司未经微博方面的授权就擅自超出协议约定的范围抓取微博用户已经公开的信息，微博方面认为脉脉公司的行为侵害了其合法权益，是一种不正当竞争行为⑧，本案实际上有3层法律关系，首先是微博公司与用户之间的关系，其次是脉脉公司与用户之间的关系，最后是微博公司与脉脉公司之间的关系。从个人信息保护与使用的角度，脉脉公司不但有不正当竞争行为，还存在侵害个人信息权益的行为。脉脉公司只是与微博方面签订了协议，但其收集和使用微博用户信息时并没有得到用户的授权，学者提出了此类行为情形下的“三重授权”，其本质是信息主体对公开的个人信息享有控制权。所以对于公开可识别的个人信息，其虽然已经公开，但还要确保信息主体对有关信息的控制权益。

3.2 间接识别标准下的商业化使用

对于间接识别的个人信息，因为无法直接识别到特定的个人，要根据个人信息的敏感程度不同而分不同的情况进行讨论，例如对于性取向，有些人就可以在社交平台上大方公布，而有些人把它作为隐私不愿意让任何人知悉。

3.2.1 私密信息

私密信息是指那些与人身密切相关的信息，例如性取向、基因或生理缺陷、私密物品的购买记录等。这类信息和民法上的隐私具有千丝万缕的联系，但是和隐私权有本质不同。隐私与特定的自然人相联系，它是指自然人的私人生活安宁和不愿为他人知晓的私密空间，私密信息虽然具有很强的私密性，但其是间接识别的个人信息，需要和其他信息结合在一起才可以联系到特定的个人，就像性取向本身不会对任何人造成伤害一样。《民法典》第一千零三十四条第二款规定：“个人信息中的私密信息，适用有关隐私权的规定；没有规定的，适用有关个人信息保护的规定。”鉴于私密信息自身的敏感性和暴露的危害性，这类个人信息应当适用于隐私权的规定，通常要禁止商业上的使用。

3.2.2 敏感信息

敏感信息比私密信息更开放一些，它虽然和隐私之间有明显的区别，但是一旦泄露或者被非法使用，也会给特定的信息主体造成人身或财产上的损害，敏感信息有很多种类，例如人脸信息、身份信息、银行账户信息等。敏感信息不像私密信息那样禁止其使用，但是其商业化使用应当比通常的规则更加严格，需要有更多的限定措施，我国《个人信息保护法》第二十八条第二款规定：“只有在具有特定的目的和充分的必要性，并采取严格保护措施的情形下，个人信息处理者方可处理敏感个人信息”。即对于敏感信息的商业化使用，要具有特定的目的和充足的理由，在可用可不用的时候尽量避免使用敏感信息，同时还应当提前向信息主体充分告知使用敏感信息可能对其产生的各种影响。值得注意的是，为了加强对未成年人的保护，十四周岁以下的未成年人的个人信息，统一界定为敏感信息，对其使用也应当取得其监护人的同意。

3.2.3 一般信息

一般信息是指那些不会对信息主体的隐私产生危害，也不会因为泄露或者非法使用导致严重后果的信息，例如用户的网页浏览记录、商品浏览记录、系统错误报告信息等。一般信息通常对信息主体的影响不大，同时这些信息属于间接识别信息，无法单独识别到特定的个人，所以对一般信息的商业化使用采取较为宽缓的态度，对其保护也明显弱于敏感信息和隐私信息。只需要信息处理者在使用之前取得信息主体的同意即可，例如在使用APP之前可以在隐私条款前设置一个勾选框取得用户的同意。虽然是一般信息，但是在商业化使用时也需要按照合理限度、影响最小的原则进行商业化使用。

3.2.4 匿名化信息

匿名化的信息是指那些已经丧失了识别性的信息，因为这类信息已经不可能识别到特定自然人，我国《个人信息保护法》第四条明确将匿名化的信息排除在个人信息保护的范围之外。所以匿名化的信息在某种程度上就成为了一种公共数据资源，可以更加自由地进行商业化使用。值得注意的是，要区分匿名化信息和去识别化信息，匿名化的信息已经完全丧失了识别性，而去识别化的信息是信息处理者通过某种方式将信息的识别性进行隐藏，其去识别化是一个可逆的过程。去识别化的信息虽然在形式上和匿名化的信息非常相似，但其随时可以恢复识别性，所以去识别化的信息可能是私密信息、隐私信息或者一般信息。对于去识别化的信息，应当按照其实质的内容进行商业化使用，不能将其当做匿名信息。

4 结语

技术的飞速发展使得人们对个人信息权益的保护诉求日益凸显，但个人信息也包含着巨大的产业经济利益，给予个人信息过强的保护会在无形中增加整个社会的运行成本，对个人信息保护不足也会导致个人权益受到严重侵害。应当根据个人信息识别标准的差异，在个人信息权益的保护与产业经济发展的利益均衡中追求社会总体效益的最佳组合。

注释：

①浙江省杭州市富阳区人民法院（2019）浙0111民初6971号判决书。

②《中华人人民共和国民法典》第一百一十一条：“自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的，应当依法取得并确保信息安全，不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息”。

③900 F.Supp.2d 1010(N.D.Cal.2012)。

④Joined Cases C468/10 and C469/10。

⑤人民网:《人民日报：“数据就是新的石油”》 http://opinion.people.com.cn/n1/2019/0813/c1003-31290790.html.

⑥《中华人民共和国个人信息保护法》第十三条：“符合下列情形之一的，个人信息处理者方可处理个人信息：（一）取得个人的同意……”。

⑦《中华人民共和国个人信息保护法》第十四条：“基于个人同意处理个人信息的，该同意应当由个人在充分知情的前提下自愿、明确作出。法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的，从其规定。个人信息的处理目的、处理方式和处理的个人信息种类发生变更的，应当重新取得个人同意。”

⑧北京知识产权法院（2016）京73民终588号民事判决书。