数字化经济背景下个人信息收集的合法性认定

朱 莹

（浙江理工大学，杭州 310000）

引言

我国现已进入数字化时代，《中国互联网络发展状况统计报告》数据显示，截至2021年12月，我国互联网用户已达10.32亿，互联网普及率达到73%。在数字经济时代背景下，个人信息的价值不断上升，整个数字经济的核心是建立在个人信息的处理和分析基础之上的。

但随着新技术、新应用的普及，个人信息的收集与利用途径不断拓展，个人信息的范围已经被极大地扩张并且将继续扩大，个人信息被违法、过度收集的现象屡屡发生。例如被曝出的小鹏汽车非法收集人脸信息用于顾客画像分析、滴滴平台严重违法收集个人信息并严重侵犯用户个人隐私等等，这些违法收集行为都对个人信息保护带来了挑战。为了有效解决这一问题，我国于2021年11月出台了《个人信息保护法》，在信息收集方面做出了一定的规定，但是在规定与实践衔接方面仍存在不少具体执行问题有待解决。在实际执行中，如何兼顾个人信息的共享流通与个人信息的保护，对于发展数字经济至关重要。因此，本文以信息收集的合法性基础作为切入点，探讨当前在个人信息收集阶段仍存在的违法现象及其成因，进而提出个人信息收集的合法性路径，期望对数字经济的发展具有促进作用。

一、个人信息收集的合法性基础

收集是个人信息处理的初始环节，我国个人信息处理涵盖了收集、使用、公开等几个阶段。因此，接下来探讨个人信息处理的合法性基础，即收集个人信息的合法性。

（一）合法性基础的定义

“处理关于个人的信息所依据的正当的法律理由”就是个人信息处理的合法性基础。从客观上来说，个人信息的处理活动就是对自然人的个人信息权益的侵入或影响，如果没有合法的根据或者合法的理由，那么该处理活动就是侵害个人信息权益的不法行为。

（二）个人信息收集的合法性基础的具体内容

1.意定的合法性基础——取得个人的同意。知情同意作为个人信息处理的一般合法性基础，是信息收集和使用的普遍前提。从2012年出台的《关于加强网络信息保护的决定》第2条对知情同意规则的首次提出，到2013年我国首个个人信息保护国家标准——《信息安全技术、公共及商用服务信息系统个人信息保护指南》中的概念细化，再到2021年生效的《民法典》第1035条以及同年出台实施的《个人信息保护法》第13条做出的进一步明确，都要求非国家机关收集个人信息以“告知—同意”为核心规则，信息收集行为的合法性来自信息主体，即个人的有效同意。

2.法定的合法性基础。法定的合法性基础指在具备法律、行政法规规定的情形或理由时，处理者无需取得个人同意即可实施个人信息收集活动。具体有以下几种情形：一是为订立、履行合同或实施人力资源管理所必需。当收集的信息是合同必需的服务内容时，即便商业机构并未征得个人同意，也可在一定限度下收集其个人信息，因为此时信息的主体是自愿进入合同并通过约定限制其权利。二是为履行法定职责或法定义务所必需。商业平台机构等可依据“履行法定义务所必需”来收集个人信息。例如，依《工伤保险法》规定，职工应当参加工伤保险，由用人单位缴纳工伤保险费。故此时用人单位为职工投保工伤保险而实施的信息收集行为就无须取得职工个人的同意。三是为应对突发公共卫生事件或者紧急情况下保护自然人人身财产安全所必需。公共卫生事件由政府机关作为个人信息收集者，后种情形则是紧急避险制度的具体化，只有在紧急情况下为了保护自然人的人身和财产安全，才可无需取得个人同意而直接收集个人信息。四是为公共利益实施新闻报道、舆论监督而合理处理个人信息。在为公共利益而实施的新闻报道和舆论监督中，会不可避免地收集使用到自然人的姓名、性别等一些信息，如果在自然人不同意的情况下就不能使用，那么新闻报道将无法推进。五是合理收集已自愿或合法公开的个人信息。已经合法公开的个人信息一般无须告知和取得自然人的同意即可进行合理收集，但个人信息仍应受限在合理范围内进行收集。六是法律、行政法规规定的其他情形。该项兜底规定是在处理者没有前述合法性依据收集信息时，依据法律或行政法规而适用。如《民法典》第1020条第4项规定，如果企业为宣传其在公共场所举办的室外活动，拍照片涉及某自然人并登载其官网上，若该自然人并非显著呈现，则该公司无需取得当事人同意即可收集其肖像。

综上，在我国法律中，非国家机关收集个人信息的合法性基础共7项：取得信息主体的同意；履行法定义务所必需；订立、履行合同或人事管理所必需；紧急情况下保护自然人权益所必需；合理处理为公共利益实施新闻报道、舆论监督的个人信息；合理处理已自愿或合法公开的个人信息；法律、行政法规规定的其他情形。只有根据上述依据对个人信息实施的收集行为才是合法正当的。

二、数字化经济背景下个人信息收集面临的困境

在明晰信息收集的合法性基础后，在经济利益驱使下，商业平台违法收集信息的现象仍是层出不穷，目前在数字化经济背景下的个人信息收集仍面临以下困境。

（一）合法性基础的混用和顺位不清

选择合法性依据是商业平台进行信息收集工作前的首要任务。每种合法性基础的使用都应严格限制，不同合法性基础下信息主体也有其不同的权利行使内容。取得信息主体的同意与其他法定情形是相互独立的，彼此不能混用。但是在具体实践中，“信息主体的同意”与“为履行合同所必需”时常会出现混用的情形。例如，当用户使用地图APP导航时，该APP收集个人的地理位置数据便是为履行合同所必需的。但当导航功能使用完毕后，APP继续收集用户位置数据的行为则不再属于为履行合同所必需的情形，此时信息收集并不是为了履行合同，那它就应当征得用户的同意，否则就构成违法收集，地图软件以履行合同所必需作为抗辩则应不被接纳。若信息收集者恣意将取得信息主体的同意作为履行合同的对价，实际上将会模糊两种合法性基础的界限，不利于之后信息处理工作的开展。

（二）知情同意规则的“被迫失灵”

知情同意是个人信息收集语境下的“帝王条款”，但由于收集主体和用户间权利义务关系的差距，告知同意规则存在被滥用的风险。一是实践中存在形式告知和实质知情的矛盾情形。大数据、人工智能技术在信息收集方面的广泛应用使得通过“使用即同意”的格式条款而取得概括性授权，成为当下信息收集者获取个人信息主体同意的主要方式。另外，作为信息收集者的商业平台会利用其专业、技术上的优势实质上侵犯用户的知情权，如在隐私协议中使用晦涩冗长的语言增加用户的阅读难度，促使用户做出概括同意的意思表示。二是网络时代下用户同意的真实性存疑。商业平台凭借其地位优势而设置的“不选即走”选择模式使得用户被迫同意。云计算、大数据等新型技术衍生出了超强的算法能力，借助算法收集者有能力通过已获得的其他信息来推断信息主体的个人信息。三是知情同意规则在具体实践中阻碍了个人信息的流通利用。信息主体作为自然人的理性局限以及面对信息控制者的智识差距滋生了“决策困境”等问题，使得即使进一步赋予信息主体限制处理权等权利，也未必能很好地保护其权益。

（三）收集范围的过度扩张

在现实生活中，商业平台APP通过隐私协议和访问提示等方式强制收集个人数据，收集的信息不仅仅限于个人的基础信息，还会强制访问个人通讯录、地理位置等其他非必要信息，存在过度收集个人信息的现象。因为要促进个人信息流通，就不能完全严格限制信息收集的范围，且现行法律条款对此没有做出具体的规定，故实践中难以明确信息收集的必要范围。另外，商业平台在收集信息时很难准确判断法律所规定的最小范围。因为处理目的具有强烈的主观性，故在实践中很难确信收集的行为和目的是否直接具有关联。例如，一些APP在用户初次使用时会以更好提供服务为目的，而要求用户一次性同意开放多项个人信息的收集权限，但实际上可能收集的个人信息与其所要提供的服务是无关的。

三、数字化经济背景下对个人信息收集合法性路径的探索

随着大数据、云计算等技术的不断发展，数字化经济对信息的收集需求日益强烈，虽然我国在个人信息保护领域已出台相应的法律法规，但鉴于实践与理论的冲突，在具体实践中上述个人信息收集的困境仍然存在。为此，本文提出几点合法性收集路径，以期能助力消除信息收集的违法现象。

（一）明确信息收集的合法性基础，确立适用顺位

在欧盟《通用数据保护条例》中，信息控制者在基于特定目的而收集个人信息前，需要事先确定好自己所依据的合法性基础，且不能在后期随意更改。因此，为了保护信息主体的合法权益，我国商业平台机构在开始收集个人信息前，就应当先确定好收集个人信息的法律依据，事先明确合法性基础后再实施一定的收集行为，避免在信息收集行为实施过程中，因出现争议而根据需要随意变更收集的法律依据的违法现象。

为了确保企业在收集信息前能够正确选用合法性依据，防止其利用技术、地位优势获取个人的虚假同意，本文建议商业平台机构应按照法定—意定的顺序选择合法性基础，只有在前一顺位无法适用的情形时再考虑下一顺位，进而保证其收集个人信息必须先穷尽法律明文规定的、裁量空间较小的合法性基础，或者至少应取得个人真实、有效的同意。在法定的合法性基础内部，具体适用何种合法性基础也应当根据信息收集的目的加以判断。

（二）构建“信息分类—分别授权”机制，适用优位利益豁免规则

要破除概括同意授权的现状，就要对所收集的个人信息进行分级管理，并分别对分级信息进行授权以确保收集个人信息的准确性。当前法律规定将个人信息划分为一般个人信息和敏感个人信息，并分别设置了相应的处理规则，但在具体适用场景中信息的分级管理仍不明显。故本文建议，在一般个人信息和敏感个人信息的分类基础上，细化为必要的一般信息、非必要的一般信息、必要的敏感信息和非必要的敏感信息。其中，对于必要的一般信息可适当放宽授权标准，适用同意授权，默示授权，但信息收集者仍不能免除对信息主体的告知义务，从而保障其知情权；必要的敏感信息和非必要的一般信息应明示授权、单独授权，前者的授权强调法律对信息收集行为方式的严格把控力，后者的授权则侧重于尊重个人的意思表示；对非必要的敏感信息原则上做禁止收集的默认处理。

为缓解知情同意规则的僵化，建议我国可引入优位利益豁免规则，即当信息控制者通过利益识别认定信息收集所保护的利益优于信息主体本身的利益时，可以无需取得个人同意而直接收集个人信息。该规则是在知情同意规则外对个人信息收集行为的合法性基础的重要补充，有利于促进信息流通，平衡对信息主体的过度保护。关于利益的识别则可根据成文的法律解释等对利益进行位阶排序而做出确认，对于相同位阶的利益冲突则可以通过具体的适用场景，依据合法性原则等价值准则进行个案判断。

（三）引进隐私场景理论，实现信息收集场景化

美国隐私场景理论注重信息收集的动态和多元化，其更加适应当下大数据时代的发展要求，故本文建议将隐私场景理论引入个人信息保护之中。不同于我国主张信息收集的必要范围，在美国场景化理论中，必要范围并非是收集信息的必要条件，只要符合用户的合理期待，并将风险控制到最小化，即将个人信息的风险控制在一定的范围内，便可收集个人信息。个人信息被再次使用的风险不应超过其初次被收集的风险。如在商业平台推广APP时，基于信息利用阶段包括用户下载、分享等阶段所呈现出的不同风险强度，商业平台也应根据风险程度承担不同的义务，当风险程度达到中度但未超出首次收集的风险时，只要告知用户而无须得到用户的同意，但当风险程度达到高度时，则需要告知并再次获得用户的同意。

总之，大数据时代，信息是数字经济发展的基础。在收集阶段，对合法性基础的具体选择和适用难以明确，知情同意规则存在滥用的情形。为实现个人信息保护和个人信息利用的动态平衡，促进数字化经济的发展，商业平台机构和政府部门应齐心协力，多主体、多方面共同努力。为此，政府部门可以引进隐私场景理论，实现信息收集场景化，引入优位利益豁免规则，多举措消除违法现象，以规范个人信息收集合法性的路径。