个人信息“可识别”标准的适用困局与理论矫正*
——以二手车车况信息为例

2021-11-24 09:41赵精武
社会科学 2021年12期
关键词:二手车个人信息标准

赵精武

一、问题的提出:“可识别”标准的边界是什么?

司法实践中,有关“个人信息”的范围认定以及企业对数据享有何种权益等问题仍存在诸多困境。以二手车车况信息为例,在“查博士APP案”中,(1)参见广州互联网法院(2021)粤0192民初928号判决书。二手车车主的车辆基本信息(如年均保养次数、最后保养时间、年均行驶里程、车辆检测信息等)是否属于个人信息存在认定上的困难。如果将二手车车况信息视为个人信息,买方仅能通过卖方自愿提供的车况信息来决定是否购买;此外,若车况信息被视为个人信息,车险行业将不能共享投保车辆的车况信息,这可能会影响到车险行业的保费厘定。此外,二手车车况信息所包含的部分信息类型具有间接识别特定自然人的功能,倘若否定二手车车况信息属于“个人信息”,则又与《个人信息保护法》第四条规定的“可识别”标准相悖。并且,来源于二手车车主的车况信息显然同样无法简单认定为“企业财产”或者“公共数据”。面对此种二手车车况信息使用的两难境地,广州互联网法院并没有选择对这类信息的法律性质进行“一锤定音”式的认定,而是基于二手车车况信息的具体内容进行判断。一方面,法院认为“历史车况信息不是个人信息”,因为该案所牵涉到的历史车况无法满足“识别特定自然人”的法定要求,车架号(也被称为VIN码)、维修数据、碰撞数据、基本行驶数据等车况数据既没有直接展示二手车车主的姓名、身份证号码,也没有载明二手车具体的维修场所和日期,即便能够实现“间接识别”特定自然人的结果,其实际成本势必远高于法律所禁止的“间接识别”成本水平。并且,这些历史车况信息所呈现的主要内容是该二手车的实际状态,而非特定车主的日常驾驶行为。另一方面,法院认为“历史车况信息不是个人隐私”,因为该案所涉及的历史车况信息根本无法反映车主的私密生活、私密行为,如在不涉及具体维修地址和日期的情况下,维修数据只涉及车辆的修理次数、保养状态,无法直接或间接反映车主的驾驶行为或驾驶路线。不仅仅是二手车车况信息(2)为了方便区分“二手车车况数据” 和“汽车数据”两个概念,本文将二手车车况查询服务所涉及的二手车数据统称为“二手车车况信息”。需要强调的是,二手车车况信息与《汽车数据安全管理若干规定(试行)》中的“汽车数据”并不等同,前者主要指向二手车交易过程中买方需要了解的车辆使用状况、权属状况等信息,后者则是指向汽车领域需要保护的个人数据以及涉及国家利益和社会公共利益的重要数据。《汽车数据安全管理若干规定(试行)》第3条:“本规定所称汽车数据,包括汽车设计、生产、销售、使用、运维等过程中的涉及个人信息数据和重要数据。”的商业化利用,乃至医疗、金融、教育等其他领域的数据商业化利用势必同样需要明确个人信息概念所要求的“可识别”标准,究竟是现实层面采取措施可以关联特定自然人的识别方式,还是观念层面存在识别特定自然人可能性的识别方式?

二、个人信息认定标准的制度演进与理论变迁

(一)个人信息认定的“身份识别”阶段:知晓隐私

我国现行立法普遍采用“可识别”作为“个人信息”的认定标准,即通过这些信息能够“直接识别”或“间接识别”到特定自然人,而该认定标准的形成实质上经历了“身份状况”“与特定自然人相关”和“识别特定自然人”三个阶段。在个人信息保护立法早期,囿于信息技术和产业模式等客观因素,“个人信息”仍然被涵摄于“个人隐私”以及“身份状况”等概念范畴之中,如2006年发布的《反洗钱法》第18条同样提及了“客户的有关身份信息”,这里的“身份信息”也是以描述金融机构客户的身份相关为主,并且基于金融机构保存客户身份资料义务,客户身份信息的范围同样仅限于“公安、工商行政管理部门等”行政执法层面的身份证信息、银行账户信息、住址、联系电话等信息。由此可见,“个人信息”在这一阶段并未作为独立的法律概念存在于规范性文件之中,而是与身份证信息、身份识别信息等概念混同使用,且自然人对于这些信息所享有的权益本质上也没有超出同期的《侵权责任法》第2条规定的“隐私权”范畴,始终以自然人私人生活空间的秘密性且不被外界打扰为权利主要内容。隐私权发轫于西方工业化社会进程之中,其源于工业技术创新在提升物质生活水平的同时却忽视了对人格尊严的关注的时代背景,如新闻媒体在行使言论自由过程中丝毫不在意其行为可能曝光个人隐私。这些侵犯个人隐私形式的“经典论断”则包括“侵入侵权”“盗用侵权”“公开私生活侵权”和“扭曲他人形象侵权”四类行为,(3)参见[美]阿丽塔·L.艾伦、理查德·C.托克音顿:《美国隐私法学说判例与立法》,冯建妹等译,中国民主法制出版社2004年版,第25-26页。其直接的侵害结果是个人因个人隐私被迫公开所遭受的精神损害。不过,各个国家对于“个人隐私”的认定标准并不相同。如美国并没有形成统一的“个人隐私”概念,而是结合判例中对隐私权内容的总结,强调社会对“行为人认为自身享有隐私权”这一“隐私期待”是否认

可。(4)这种认定标准也被称为“合理的隐私期待”,主观层面的隐私期待,是指在具体的隐私侵权案件中,法官着重考虑他人是否享有实际的、主观的隐私期待,而不考虑其隐私期待是否具有正当性;客观层面的隐私期待则是指一方当事人具备主观的隐私期待,法院需要考虑的是该主观期待是否具有正当性,即社会是否认可他人的隐私期待是合理的。参见杜红原:《隐私权的判定——“合理隐私期待标准”的确立与适用》,《北方法学》2015年第6期。我国虽然没有在立法层面明确规定“个人隐私”的范畴,但通说认为“隐私”是指不愿被他人干扰的私人活动信息,例如个人身体状况、婚姻状况等,且不涉及公共利益。(5)参见王利明:《论个人信息权的法律保护——以个人信息权与隐私权的界分为中心》,《现代法学》2013年第4期。这也就导致“个人信息”“个人身份信息”因为其内容能够反映权利主体不愿让他人知晓的私密活动而被视为“个人隐私”的存在形式之一。因此,以“姓名+身份证号码+住址+电话号码”等形式存在的“个人信息”所具备的“识别”功能远超现行个人信息保护立法所要求的“识别特定自然人”,前者的内在逻辑是将“识别”视为已经知晓特定自然人的私密信息,所谓的“身份识别”标准或许用“身份知晓”表述更为合适。

(二)个人信息认定的“关联性”阶段:关联难度

在“可知晓”认定标准阶段,“个人信息”同样存在“个人隐私”的认定难题,即使身份证号码、住址、电话、邮箱等信息内容均有可能被涵盖在内,司法实践中仍然有赖于法院通过自由裁量权来确定这些信息是否属于“个人隐私”。但是,随着信息技术的更新迭代,立法者已经意识到个人信息在信息社会中的商业价值以及背后所承载的个人权益,但始终未能突破“与个人相关”“有关个人身份”等关联式概念界定方式。部分学者认为《网络安全法》第76条采用了广义的“个人信息”概念,即与特定自然人活动情况相关的信息即属于个人信息。单一谈论某一信息(如姓名、身份、电话等)是否属于个人信息毫无意义,而广泛应用的大数据技术扩大了“马赛克效应”,即“近看”某些个别信息明显不属于个人信息,例如唯一设备识别号、驾驶路线等,但是“远看”这些个别信息所组合而成的信息集群则极有可能识别特定自然人。换言之,信息在“量”上的积累势必会产生“质”的突破,不属于个人信息的各类信息组合反而能够详细描述特定自然人的活动情况,这也是国内学者普遍采用场景化的分析方法论证个人信息的保护路径之原因所在。所以,个人信息保护立法的关键在于阻断这些可能关联到特定自然人的“连接点”,例如“设备序列号+设备使用频率”显然不可能帮助一般理性人识别设备的使用人,但是如果再与其他诸如电话、地址等信息组合,则很容易关联到特定自然人。(6)将同属一个人的信息积累起来,积累的信息越多,构建的人格图像也就越完整。参见范为:《大数据时代个人信息定义的再审视》,《信息安全与通信保密》2016年第10期。类似《网络安全法》的界定方式,《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的司法解释》第1条将“公民个人信息”规定为能够单独或者直接识别特定自然人身份或者反映特定自然人活动情况的各种信息。这种“公民个人信息”也被部分学者理解为“公民个人信息应当与特定自然人关联”,一方面,之所以无法识别特定自然人且无法复原的信息不属于个人信息,是因为该类信息即便能够反映自然人的行为方式、生活状况,但不可能与特定自然人直接关联;另一方面,所谓的“关联”实际上强调信息内容与特定自然人的一一对应关系,例如账号密码本来无法反映特定自然人身份信息和生活状况,但在实践中常与手机号码等特定信息绑定,故而属于“公民个人信息”。(7)周加海、邹涛、喻海松:《〈关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释〉的理解与适用》,《人民司法(应用)》2017年第19期。事实上,美国也同样采用了“关联式”的个人信息概念,美国《加州消费者隐私保护法案》第1798.140条规定,“个人信息”是指直接或间接地识别、关系、描述、能够管理或可合理地连结到特定消费者或家庭的信息,且不包含公开可获得的信息。(8)该条还列举了“个人信息”的范例,例如车主姓名、唯一的个人标识符、在线标识符、互联网协议地址、电子邮件地址、账户名称、社会安全号码、驾驶证号码、生物信息、网页浏览历史、地理位置信息等。参见The California Consumer Privacy Act of 2018, http://leginfo.legislature.ca.gov/faces/home.xhtml, 2021-10-29。不过,各国立法者显然并非以“个人相关的信息均属于个人信息”作为立法本意,而是为了避免信息与信息之间的简单结合,从而轻易确定特定自然人身份这一情况的发生,倘若信息之间需要数十次、数百次叠加和组合才能确定特定自然人身份,则超出了立法中“可以关联结合确定特定自然人”的必要限度。

(三)个人信息认定的“可识别”阶段:唯一指向

在《民法典》和《个人信息保护法》的制定过程中,有关“识别”标准和“关联”标准的争议一直存在,如果以“识别”标准为限,则无法为司法实践提供可操作的认定标准,尤其是在涉及“间接识别”认定过程中,更是难以解决“如何避免将所有具有识别可能性的信息均纳入个人信息范畴”的边界问题;同样地,如果以“关联”为限,却又存在无限延伸个人信息外延的可能性,因为企业在收集信息和数据的过程中肯定会存在“量”的积累,而这种不断积累的过程势必会与特定自然人身份状况和生活状况相关联,按照此种逻辑,这些信息均可能满足个人信息的“关联性”要求,企业则因此陷入各种信息均构成个人信息的困局。

虽然学者们尝试从关联难度、关联成本等角度补充“关联性”标准的抽象问题,但依然无法解释在个案中如何确定法律所保护的关联特定自然人的可能性大小。两种认定标准争议最直接的表现是对于IP地址、设备唯一识别码等信息的法律性质存在不同的认定结果,按照“识别”标准来看,这些信息具备识别特定自然人身份信息和生活状况的可能性,故而属于个人信息,这也是国家标准《个人信息去标识化效果分级评估规范(征求意见稿)》中将“车辆标识符和序列号”“车牌号”“病历号码”“互联网协议地址号”等信息作为在特定环境下能直接识别个人信息主体的“直接标识符”;而按照“关联”标准来看,这些信息是否属于个人信息不可一概而论。以车牌号为例,由于车牌号对应的车主信息通常是由政府部门存储,企业意欲识别车牌号对应的实际车主信息难度相对较大,故其不属于“个人信息”。然而,在最终公布的《个人信息保护法》中,立法者在第4条中没有采用“与其他信息相结合识别自然人身份信息”等类似表述,而是选择“已识别”或“可识别”作为认定标准,并以“自然人有关的各种信息”作为兜底性表述。学界通说对此的解释是个人信息认定标准主要包括直接识别和间接识别两种方式。所谓的直接识别是指通过信息记录的内容能够直接确定特定自然人相关信息;所谓的间接识别则是信息记录的内容通过与其他信息内容的结合有极大可能性识别特定自然人。不过,关于“识别”与“唯一指向”之间也存在诸多争议,司法实践中认为诸如“唯一设备识别码”等信息类型,虽具有“唯一指向”属性,但倘若没有其他信息结合,则不满足个人信息概念所要求的身份属性,例如在“查博士APP案”中,法院认为包含VIN码的车辆历史报告不构成个人信息,就是因为单一的VIN码仅是一串字符,根本不可能直接识别到特定自然人。(9)参见广州互联网法院(2021)粤0192民初928号判决书。也有学者认为“识别”标准实际上就是以“唯一指向”作为直接效果,即便只是有可能唯一识别特定自然人,只要这些信息能够将一个信息主体从群体中明确区分,即构成个人信息,也能够避免陷入“满足何种程度的可能识别”的论证难题。(10)参见李黎:《个人信息概念的反思:以“识别”要件为中心》,《信息安全研究》2021年第8期。从现行立法和国家标准的内容来看,立法者和标准制定者似乎更倾向于“可能识别特定自然人”的个人信息“识别”标准。例如全国信准委制定的《信息安全技术个人安全规范》(GB/T 35273-2020)的附录A中将唯一设备识别码等信息列为个人信息的表现形式之一。但这种“可识别”标准却在一定程度上扩大了个人信息的实际范畴,例如“软件列表”这一信息类型倘若不结合用户注册信息等其他信息,根本无法识别特定自然人,存在“无限递归、识别能力判断存疑”等泛化个人信息实际范围的弊端。(11)参见杨楠:《个人信息“可识别性”扩张之反思与限缩》,《大连理工大学学报(社会科学版)》2021年第2期。

三、“可识别”标准变迁的未决议题:模糊的识别要素

(一)“可识别”标准变迁的遗留问题:模糊的识别要素

个人信息认定标准的理论变迁反映了“个人信息”概念在我国立法文本中逐渐清晰化和权益属性独立化的发展趋势。“身份识别”阶段的认定标准存在隐私与信息无法区分的难题,“关联性”阶段的认定标准存在关联程度难以统一化的适用问题,而“可识别”阶段的认定标准则是立足于信息技术迭代创新扩展海量信息识别能力和识别程度的实践现状而抽取的一般性描述。“能够识别到特定自然人”以及《个人信息保护法》第4条所提及的“已识别”或“可识别”之标准为信息处理者在个人信息处理各阶段提供一般性行为标准,但数据处理实践活动远比立法表述要复杂得多。囿于立法技术的固有限制以及法律文本简洁性的内在要求,《个人信息保护法》《民法典》等法律虽然以列举的方式指明自然人的姓名、电话、地址、行动轨迹等信息均属于个人信息的范畴,但这种列举方式在多种信息要素组成的场景下却存在适用困局:一方面,“唯一指向”是否属于个人信息认定的核心要素有待商榷。“姓名+电话+联系方式”这种信息要素的组合显而易见属于个人信息,但是“行动轨迹+打车频率+唯一设备识别号”等要素组合的信息法律性质则难下定论。在数据处理层面,信息系统有能力通过唯一设备识别号形成信息空间的唯一“数字身份号码”,也就满足“可识别”的法定要求。然而,这种认定过程又会产生新的问题:所有信息只要包含能够“唯一指向特定自然人”的要素,即属于受到法律保护的“个人信息”,企业处理的数据和信息在绝大数情况都包含有“唯一指向”要素,这无疑扩大了个人信息保护规则的适用范围以及企业数据合规的经济成本。另一方面,立法层面的间接识别方式较为抽象,“与其他信息结合能够识别特定自然人”之表述并没有明确识别对象和识别难度的具体要求:一是如果争议信息描述的直接对象是设备,但这些信息含有具有“唯一指向特定自然人”的唯一设备识别编号,是否还属于个人信息?二是如果“与其他信息结合识别”的前提是采用特定的信息技术分析,是否满足间接识别的基本要求?强大的数据挖掘和分析技术正在模糊化个人信息与其他信息之间的“可识别”能力,抽象的“可识别”标准无法为信息处理活动提供明确的指引。

一般意义上的“可识别”标准确实为司法实践提供了充分的解释空间,但识别要素模糊化的问题也增加了商业实践中信息处理者与信息主体在个人信息范围上的认识偏差。一旦信息内容本身同时与自然人、有体物相关联,信息的法律性质则难以一语言明,如二手车车况信息虽以二手车的使用状况作为主要内容,但这些信息同时也“与自然人相关”,车主与车况查询平台之间信息权益归属的法律纠纷不可避免。如在“查博士APP案”中,原被告双方的争议焦点包括两个问题:一是VIN码、车牌号这类具有唯一指向性的信息要素是否会导致二手车车况信息纳入“个人信息”的范畴?二是维修记录信息这类能够反映车主维修保养轨迹的信息是否属于“个人信息”?(12)参见广州互联网法院(2021)粤0192民初928号判决书。法院在判决书中认定的主要焦点是“二手车车况信息是否属于个人信息或个人隐私”。如果按照一般意义上的“可识别性”标准来看,这两个问题的答案都是“属于个人信息”。并且,在国家标准《信息安全技术 个人信息去标识化效果分级评估规范》附录A中明确将“车辆标识符和序列号”以及“设备标识符和序列号”作为直接标识符,而根据其“3.7直接标识符”的定义,这些信息是可以单独识别个人信息主体的,更是佐证前述两个问题答案的正确性。在回答这两个问题之前,首先要予以澄清的是二手车车况信息商业化利用的基本概况。在二手车车况信息查询业务活动中,平台并不直接持有二手车车况信息,而是通过与第三方数据机构进行数据库接口访问权限获取的方式间接向用户提供车况数据,数据类型主要包括VIN码、车辆基本信息、车辆年检信息、车辆在保记录、维修保养记录、出险记录等查询项目。(13)例如车架号信息包括制造商、初次登记时间、品牌、车辆名称、排放标准、VIN码、驱动方式、排量、前制动类型、后自动类型、尺寸类型、档位数等;以上内容是根据目前市场上二手车车况信息查询平台(如车鉴定APP、查博士APP)提供的查询服务汇总结果。在此基础上,重新审视二手车车况信息的法律性质,则会发现该类数据在事实层面的“可识别”能力与法律层面的“可识别”标准存在一定差距:第一,VIN码、车牌号虽然具有唯一指向特定自然人的可能性,但这种信息的识别难度、识别方式以及识别程度不同于其他具有“唯一指向性”的信息。单独的VIN码和车牌号仅仅只是表示车辆编号的数字和字母,需要特定的“解密方式”才能识别到特定自然人。第二,“VIN码/车牌号+驾驶行为记录+维修记录”这一信息要素组合并不当然意味着这类二手车车况信息属于“个人信息”,“唯一识别号+行为活动记录”的组合方式看似满足“可识别”标准,但实际上这类信息对特定自然人的识别程度最多只能达到“某人驾驶特定车辆的车损情况”的认知水平,且这里的“某人”也仅仅是“数字编号是XX的某人”,而不是立法者所预见的“姓名/身份证号是XX的某人”。这些二手车车况信息的“可识别”程度无法达到“特定自然人”之身份信息或详细驾驶行为习惯的识别成功度。第三,二手车车况信息最初的定位是为了解决二手车交易中的“柠檬市场”效应,调整买卖双方有关二手车车况信息不对称的事实不平等地位,故而这类数据的直接描述对象始终是二手车及其使用情况,而不是车主的身份、驾驶习惯等私密信息。如果以“唯一指向即可识别”作为“前述二手车车况信息是个人信息”的论据,则会陷入识别对象不统一的逻辑错误之中。事实上,无论是二手车车况信息商业化利用场景,还是其他行业的数据商业化处理场景,“唯一指向”“可关联”和“能够识别特定自然人”在作为“可识别”标准的解释条件时,始终存在无法正面解释“原本不属于个人信息的要素在以不同方式组合之后为何又构成了个人信息”之问题,这也导致企业在日常业务活动中难以正确判断正在使用的集合化信息是否是个人信息,不利于推进数据市场化要素配置的目标实现。

(二)“可识别”标准适用困局的成因与根源:动态场景论的抽象化

“可识别”标准适用困局的形成根源在于“可识别”标准受限于立法技术所要求的简洁性而无法明确解释识别的具体程度和具体方式,法律术语层面的“可识别”与事实判断层面的“可识别”存在着解释鸿沟,即立法规制的个人信息形态与个案裁判所面对的数据形式之间并非呈现“一般与特殊”和“内容与形式”的一一匹配关系。(14)H. Nissenbaum, “A Contextual Approach to Privacy Online”, Journal of the American Academy of Arts & Sciences, pp.43-47.我国现行立法为了强化条款的可操作性而补充增加了“包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等”一类的列举式条文,但信息处理者在商业实践中不可能只单独收集列举条款中的某一种信息,而是以信息组合的方式予以收集,这也就导致原本不属于个人信息的信息在商业活动中与其他信息组合成结构化数据难以适用“可识别”标准。(15)以大数据框架Hadoop为例,企业在Hadoop框架下处理数据时,数据来源层的数据主要分为离线处理数据和实时流数据,其中,存储数据又可分为结构化数据和非结构化数据,其区分标准在于前者是以高度组织和整齐格式化的数据形态存在,后者则是以零散分布且内部无逻辑关系的数据形态存在。这并非列举式条款的表述不周延,而是因为数据处理业务实践的复杂性决定了立法者不可能在条款中直接说明哪些信息组合形式构成/不构成个人信息。在二手车交易语境下,VIN码、车牌号、维修记录等二手车车况信息法律性质不清的原因主要表现为三个“脱节”。

第一,信息要素与信息内容识别混同。VIN码和车牌号的法律争议本身存在将“唯一设备识别编号”(信息要素)和“唯一设备识别编号+行驶里程+维修记录”(信息内容)混同的问题。单一讨论VIN码、车牌号是否属于个人信息并无现实意义,因为绝大多数设备均有序列号或唯一识别号,这些数字符号存在的最初目的是为了方便确认实际生产厂商、设备型号和生产日期等,故而,脱离与其他信息要素组合的实际情景,论述这些数字符号是否属于个人信息无异于将“可识别”标准转化为“可关联”“可相关”的抽象性标准。并且,这些数字符号明显与电话号码、电子邮箱等信息要素不同,前者需要通过政府信息系统方可确定车主身份,且标识对象仅以车辆为限,难以直接与特定自然人直接关联,后者则是对外沟通的常用联系方式,即便普通人同样无法直接通过电话号码、电子邮箱确定实际的号主和使用人,但与其他信息结合能够以较低的识别成本确定特定自然人。

第二,识别目的与立法目的脱节。在《网络安全法》《数据安全法》《个人信息保护法》等法律法规的制定过程中,学者们一直对“信息自决权益”是否属于我国个人信息保护的正当性基础存有争议,赞成者认为信息技术的突破性发展扩张了自然人人格权益的现实基础,个人在网络空间应当有权自行决定个人信息以何种方式予以处理;反对者则认为作为舶来品的“信息自决权”缺乏足够的现实可能性,与其说是自然人凭借自己的意志决定个人信息的去向,倒不如说是信息处理者是否按照自然人的意愿处理个人信息。反观商业实践中存在的数据权属争议,个人信息与商业数据之间的本质差异在于前者承载了自然人在网络空间的人格尊严和人格自由,无论自然人是否能够实质性决定个人信息的处理方式,不可否认的是自然人能够决定外部网络节点对自身“数字身份”的知晓程度和方式。

第三,实践数据处理形态与理论预设的信息内容脱节。“可识别”标准的适用困局在很大程度上与数据处理方式的复杂性特征密不可分,理论预设的个人信息形态通常是较为直观且明显的身份要素识别,即只要信息或数据中包含有能够指向自然人身份的要素即可判定为个人信息,而技术层面的信息则是以机器可读的纯字符形式作为主要存在形式,理论预设中的信息计量单位“一条”“一项”难以与技术层面的数据无序存储方式契合。简单点说,理论预设的数据存储方式是表格化的逐行逐项存储,而技术层面的数据存储方式则可能是以数据堆、数据栈等形式为主,两者显然无法直接对应。

四、破局之路:“可识别”标准的理论矫正与目的重述

(一)“可识别”标准的目的矫正:从信息自决到社会共识风险

“可识别”标准的适用困局是关于个人信息概念的社会共识不断深化的必然结果,因为在认定标准的三个阶段,信息技术的发展水平和应用方式决定了法律对个人信息的回应方式。“可识别”标准经历了从“隐私与个人信息概念不分”到“直接识别与间接识别兼顾”的发展过程,个人信息保护的立法目的也从“隐私权保护”转变为“信息自决权益的保护”。因此,意欲解决“可识别”标准的适用困局,首先应当解决的问题是明确“识别”的立法原意。在个人信息保护立法初期,学界主流观点借用源自德国宪法法院判决结果所提出的“信息自决”来解释保护个人信息的正当性基础,这种立足于人格尊严和人格自由的立法思路表现为《民法典》将“个人信息”置于人格权编予以保护。由此,现行立法普遍将“识别特定自然人”作为认定个人信息的标准,因为只有在指向特定法律主体之后才会涉及人格尊严保护的相关法律问题。但这种依托信息自决权的“可识别”标准忽视了理论移植的法律文化基础与本土制度特征,类似于个人隐私的保护方式,各国均已认识到个人信息权利的客观存在,但由于认知层面的差异性,各国在立法层面并没有形成相对统一的个人信息概念,或是并列式保护个人信息与个人隐私,又或是将个人信息置于个人隐私的范畴之内。在德国法院看来,为人口统计目的而收集个人信息并不属于法律所保护的“私密领域”,即便人口调查信息包含姓名、电话、年龄、居住地等敏感个人信息,没有侵害人格尊严,不包含法律所保护的个人自决权益。对此,已有学者指出国内部分学者对信息自决权的解读忽略了法院所建构的限制性条件:一是信息自决权的相关判决实际上均是以国家强制收集个人信息为讨论对象,二是法院也承认个人对其信息无法排他性所有,三是信息自决权效力范围需要综合个人信息的性质、实用性和利用的可能性进行综合判断。(16)参见杨芳:《个人信息自决权理论及其检讨——兼论个人信息保护法之保护客体》,《比较法研究》2015年第6期。在德国法院的判决文书中,法院也指出了一个同样存在于我国数据商业实践的现象:信息的重要性不再是完全由人工解读判断,在自动化处理、算法迭代等信息技术模式面前,原本不重要的信息通过数据挖掘和分析之后可能会产生全新的商业价值,不再有不重要的信息了。(17)参见唐林垚:《公共卫生领域算法治理的实现途径及法律保障》,《法学评论》2021年第3期。反观我国近年来个人信息保护和数据商业化使用之间的诉求冲突,限制数据自由流动和商业化使用无异于饮鸩止渴,个人信息保护理念早已从单纯的立法保护转变为利用过程中的全生命周期保护。信息自决权单方面强调保障人格尊严的立场无法适应数据处理商业实践的现实需求:一方面,“个人信息具有共享属性,具有公共利益价值”。(18)刘迎霜:《大数据时代个人信息保护再思考——以大数据产业发展之公共福利为视角》,《社会科学》2019年第3期。自然人对个人信息所享有的权益受到诸多限制,无法做到真正的“自决”;并且,一旦实现了真正“自决”,鉴于目前绝大多数数据的产生来源于自然人的社会行为,在绝大多数情况下,信息处理者在收集信息之前均需要获得自然人的知情同意,如此只会凭空增加数据获取和流动的经济成本。另一方面,信息要素的组合必然会与特定自然人相关联,但并不是所有相关或关联的信息均包含法律意义上的人格尊严,信息自决权理论仅回答了“存在什么样的权利”,却没有回答“这项权利的具体限制条件是什么”。

因此,“可识别”标准的目的需要走出信息自决权所描绘的“信息乌托邦”,转而走向利用与保护并举的协调立场。(19)参见唐林垚:《“脱离算法自动化决策权”的虚幻承诺》,《东方法学》2020年第6期。审视国内有关个人信息保护的司法实践,无论是常见的超范围收集个人信息的违规行为,还是以人脸识别信息为代表的新型技术霸凌问题,其共通性的问题均表现为信息处理者与信息权利主体之间的信赖利益遭受损害,信息权利主体所面对的信息安全风险程度与信息处理者承诺的安全保障等级并不匹配,导致社会公众普遍对信息处理者的信息处理行为存在不信任和质疑,这也是目前数据商业化利用受阻的现实原因之一。按照实证研究层面“风险感知理论”和“信任理论”的研究模型来看,(20)感知风险理论最早由学者Bauer提出,该理论认为消费过程中产生的结果与预期不同会让用户承担某种风险。信任理论模型则是由美国心理学家Deutsch提出,当存在风险或不确定的情况下,信任会被视为维系关系的重要组成部分,如果供求双方存在相互信任,就能有效降低消费者原有的感知风险,增加其对产品有用性的感知,并增强其积极行为意愿。参见吴剑锋、陶文强:《消费者人脸是被支付技术使用意愿的影响因素分析》,《浙江学刊》2020年第6期。自然人对不同类型的个人信息存在不同维度的感知风险,如果与个人相关的信息涉及私密领域、财产安全等事项,自然人则会具备显著敏感的感知风险能力和较高的心理抵御情绪。二手车车况信息法律性质的争议则是不同信息主体对这类信息所能感知风险的类型不同,买方所感知的风险实际上是二手车车况信息的真实性与否,卖方所感知的风险则是维修记录、VIN码和车牌号有可能会泄露个人的隐私,故而二手车车况信息的法律性质远不如户口信息、学籍信息等身份类型信息的法律性质那般显而易见。而在目前争议较大的人脸识别技术应用场景下,用户普遍感知的风险是人脸识别信息的泄露将会减损包括肖像权在内的人格权益和刷脸支付相关的财产安全,故而人脸识别信息属于敏感个人信息并没有太大争议。进一步而言,与个人相关的信息之所以能够成为法律保护的个人信息,是因为社会公众普遍能够感受这些信息识别后的风险类型和程度,换言之,“识别”的结果除了唯一指向特定自然人之外,还包括这些信息面临着需要法律介入保护的安全风险。“姓名+唯一设备号码”因其具备暴露特定自然人身份的风险而属于典型的个人信息,“唯一设备号码+驾驶里程数+维修次数”因其不具备侵害特定自然人隐私和车辆财产权益的风险而不属于个人信息。个人信息作为信息时代的新兴客体,并不完全独立于传统权利体系框架,其所承载的权益归根结底仍是人格权益与财产权益,(21)也有观点认为,有关“数据”的理论研究不应当囿于传统法学理论,而应当将数据视为一种全新的法律现象,尝试在理论上如是把握数据的特性和现实流动规律,建立数据法律自身的基础理论判断和分析模式。参见梅夏英:《在分享和控制之间:数据保护的私法局限和公共秩序构建》,《中外法学》2019年第4期。“可识别”标准的核心目的正是为了识别这些权益是否客观存在。

(二)“可识别”标准的理论矫正:识别对象和识别难度的标准细化

比较国内外判断个人信息的具体过程,可以发现国际通行的“可识别”标准实际上与本国制度中隐私权、私密空间等传统概念密切关联,个人信息的认定往往与关联特定自然人的实践可能性挂钩。我国现有的“可识别”标准较为抽象,仅是在识别对象的可能性层面确定个人信息,即便是综合考量具体场景合规的外部因素,也是以个案裁量为基础,未能在一般性方法论层面提供有效的识别依据。个人信息权益的一部分内容是为了保障自然人在网络空间的数字身份及其活动轨迹的“私密性”,但数据处理活动的复杂客观性决定了不可能存在统一的“私密”标准,个人信息概念的不当扩张具有将私密性泛化为公开性的制度风险。诚如上文所述,即便信息内容与自然人相关,倘若自然人在特定场景下对于这些信息所感知到的风险具有强烈的个人主观属性,与社会公众所普遍认知的安全风险不匹配,则这类信息不属于个人信息。当然,所谓的社会共识风险、信息处理者与信息主体之间的信赖利益等原则性标准提供的仅是识别过程的方向性指引,在实践中需要细化识别对象和识别难度两个方面的具体认定规则。

1.识别对象:只要是能够识别到自然人的信息就是个人信息?

《个人信息保护法》第4条对“可识别”标准的补充性描述是“自然人相关”,但在司法实践中显然不能简单以“相关”作为识别特定自然人的程度性标准,否则所有含有自然人身份数字标签的信息均属于个人信息。立法者保护个人信息的目的之一是在社会共识范围内,确保自然人不愿意公开的私密空间、行为轨迹等相关信息内容始终属于“私密”状态,所以“可识别”标准不能仅仅停留于“识别到特定自然人”,而是应当达到“识别到特定自然人的身份或者行为轨迹”,这种“行为轨迹”的详细程度同样不应当停留于“从A地到B地”的简单描述。因为在同一时间段可能会存在具备相同轨迹的行为人,这种详细程度应当满足“明显区别于其他自然人”之要求。更重要的是,这些信息本身的识别对象应当是以特定自然人为主,而不是其他客体性事物。二手车车况信息的相关争议自始至终就存在一个方向性问题,即二手车车况信息的目的是为了反映二手车的使用状况,避免卖方故意隐瞒重要的车况信息而致使买卖合同目的无法实现。所以,在不包含车主姓名、电话、住址等显著识别特定自然人的信息要素前提下,绝大多数二手车车况信息显然不属于个人信息。至于维修保养记录等信息,只要这些信息内容不具有详细描述特定自然人的具体维修路线,如维修店铺、维修时间、维修人员、维修费用等内容,同样无法直接或间接反映“特定自然人的具体行为轨迹”。换言之,维修保养记录信息的主要识别对象是二手车的质量状况,即是否处于良好的使用状态、是否存在频繁的修理过程等,故而也不属于个人信息。当然,前述识别对象之标准同样适用于其他领域,例如在物联网设备使用场景下,用户所形成的使用信息并不当然构成个人信息,需要判断的是这些信息的识别对象和直接目标是特定用户,还是仅以实时跟踪设备运转为主。

2.识别难度:只要信息技术能够分析识别特定自然人就属于个人信息?

在认定个人信息的过程中,普遍存在这样一个误区:只要信息系统通过大数据分析等信息技术能够确定特定的“数字身份”,即便人工解读信息无法直接确定自然人的姓名,即属于个人信息。这种认定逻辑显然忽视了大数据技术对特定自然人活动轨迹的数据分析识别能力,以信息技术识别能力作为法律层面的“可识别”内涵只会无限扩张个人信息的实际范围,因为理论上只有有关自然人的数据量足够即可形成特定用户的数字身份。如果“可识别”标准不对识别成本、识别技术、识别可能性等要素予以明确限制,个人信息保护的立法目标只会成为数据商业化使用的制度障碍。因此,在判断信息是否能识别特定自然人的过程中,应当首先判断识别特定自然人所需要的物质性基础:一是所需的信息技术是否属于市场中通用的信息技术,二是识别特定自然人的方式究竟是直接识别还是间接识别,三是所需结合识别的信息数量是否远超识别特定自然人的经济价值。简言之,识别成本不应当超出识别目的所要保护的法益。在唯一设备识别号是否属于个人信息这一层面,由于单一的唯一设备识别号显然不可能满足直接识别的标准,故而首先考量的是识别这些数字字母编码所代表的自然人所需的其他信息数量,其次才是判断达到法定识别效果的技术要求和经济成本。VIN码、车牌号对应的车主身份信息需要通过政府信息系统才可查询获取,达到法定识别效果的前提条件是车主本人授权、法院调取证据材料等有限情形,识别成本远超识别目标,故而不属于个人信息。至于一般的运动手表、穿戴设备的唯一设备识别号码,因为其所对应的用户信息可能存储于生产商、销售者的客户数据库,或是由于开启定位功能具有直接识别特定自然人地理位置信息的能力,故而识别特定自然人的难度较低,应当属于个人信息。

余论:信赖利益的保障

在《个人信息保护法》颁布之后,我国已经将数据财产权提上立法议程。面对数据权益归属的诸多理论难题与现实困境,首先应当考虑的是个人信息保护理论与数据财产权利理论在立法目标、保护机制、认定标准等层面的内容对接。虽然我国现行立法明确了“识别”作为认定个人信息的核心要素,但信息技术的模式创新往往走在立法之前,“可识别”绝不可简单理解为关联性、相关性、身份读取等文义,而是应当根据商业实践的前沿数据处理活动来调整“可识别”的具体内容。这并不是要求个人信息保护让位于数据商业化使用,而是重申固守信息自决权式的保护模式无法满足数据要素市场化实践需求,应当真正贯彻《个人信息保护法》开宗明义提出的“保护与利用并举”理念,以合理且可预见的“可识别”标准为基础,寻求自然人与信息处理者在权利保护和信息商业利用之间的平衡。我国数据商业化使用面临的最核心障碍并不是数据财产权应当如何建构,而是如何促进社会公众对“数据商业化使用不会侵害自身权益”的社会信任形成。常见的超目的地处理个人信息、超范围收集个人信息等现象之所以受到社会的强烈反感,其中一项原因正是这些信息处理者并没有按照自然人信赖的方式处理个人信息,即便自然人无法在事实层面决定个人信息的处理方式,自然人仍然有能力决定包含私密空间和私密活动内容的信息不被公开或者具体的公开程度。在正当性基础层面,我国数据财产权制度建构有必要直接回应不同的数据交易模式如何保障信息权利主体的信赖利益,以及以何种方式救济受损的信赖利益,毕竟个人信息一旦泄露或被非法处理,就难以通过“恢复原状”的方式予以救济。

猜你喜欢
二手车个人信息标准
个人信息保护进入“法时代”
政治标准是发展党员的首要标准
敏感个人信息保护:我国《个人信息保护法》的重要内容
63%新能源二手车开不满5万公里就被卖掉
日本二手车行业的发展之道
主题语境九:个人信息(1)
民法典应进一步完善侵害个人信息责任规定
忠诚的标准
党员标准是什么?
二手车限迁有望年中解除