孙玉荣 卢润佳
(北京工业大学 文法学部,北京 100124)
数据经济的纵深发展催生出数字时代个人信息保护领域的特有法律问题,个人信息处理需求在大数据时代背景下不断增加。在实践中,信息认定困境迭生,告知虚化、同意疲劳问题频发,个人信息的区分保护,制度运用的相对化、差异化要求突出,信息处理者难以准确判断信息风险,仅仅依靠以维护“信息自决”为核心的传统个人信息保护模式难以有效协调信息保护与利用之间的利益冲突并切实维护个人信息安全。在此背景下,国内外研究者试图通过采用“场景完整性理论”这一新理论重构个人信息保护路径以回应现实需求,国内学术界不乏围绕“场景完整性理论”所展开的研究,例如通过场景化的理念对信息数据运行中的关键制度予以改良[1],运用“场景完整性理论”优化个人信息保护路径[2],研究特定场景下的信息数据保护问题[3]等。与以往隐私信息保护的理论相比较,尼森鲍姆(Helen Nissenbaum)所提出的“场景完整性理论(Contextual Integrity Theory)”舍弃了传统个人信息保护中以静态的要素组成的信息保护框架,转而构建一种基于场景的个性化、动态化的规范模型,为数字时代的个人信息保护提供了一个新的方案。
“场景完整性理论”是美国学者尼森鲍姆在讨论隐私信息保护时提出的,其核心在于将隐私信息的概念与信息交换时的场景联系起来,认为具体场景中的隐私信息保护边界并非固定、僵化和一成不变的,在信息流转领域,应当根据应用场景的不同遵循一定的动态规则,并依据动态规则决定特定场景中信息分配的具体方式,从而实现信息正义[4]。该理论认为要评估隐私信息是否被侵害,需要塑造和适用具体场景下的信息从一方到另一方传输的规范,该规范中包含以下三个要素:信息类型(information type)、信息参与者(actor)和信息流转原则(transmission principle),这三个要素是否被不正当地违反决定了隐私信息是否遭受侵害[5]。
1.信息类型
信息类型是指信息的性质、类别或属性。与大部分隐私规范非公即私的信息区分方式不同,“场景完整性理论”拒绝采用简单的“二分法”的方式划分信息,转而采用一种有的放矢的做法,认为一般信息、私密信息等信息类型都要在特定的场景下才得以确定,而无法脱离场景预先建立一种具有普遍性的信息分类标准。以敏感信息和非敏感信息为例,这种信息分类并非一成不变的,这两种信息类型在具体场景中可能会发生转换(1)此处的敏感信息与非敏感信息的区分与是否涉及隐私有关,并不等同于我国《个人信息保护法》中为区分适用同意规则而做出的敏感与非敏感的信息类型划分。See Helen Nissenbaum, Privacy in Context: Technology, Policy, and the Integrity of Social Life, Stanford University Press, 2009, pp.143-145[2022-03-14].。
2.信息参与者
信息参与者是指参与信息流转过程的各个行为主体。信息参与者在场景中被赋予了不同的身份和角色,具备不同的能力,受不同的行为准则的约束,是在认定是否发生侵害信息权益时表现出丰富而复杂的感受力的关键变量。例如面试官询问一个求职者婚姻状况的信息是不适当的,而在约会的场景中,面对约会对象询问,信息参与者获取这一信息则是适当的。
3.信息流转原则
信息流转原则是信息规范所规定的信息从一方流向另一方的约束、限制或条件。例如知情同意规则就是一种限制,只有告知信息主体并且获得信息主体的同意后,才能进行信息处理行为。还有如私密性原则,禁止信息流向公共领域原则等。一个信息规范应当明确哪些信息流转原则应该合理地用于支配信息的流转,如果在具体场景中合理的信息流转原则没有受到遵守,就认为是违反了信息规范。
首先,“场景完整性理论”强调从信息所处的场景中进行动态的风险控制,例如在特定的场景中,信息保护程度要与信息所处的场景相关、信息处理应符合信息主体的预期、特定的信息处理与特定的场景相匹配、收集的个人信息不得在超出该场景的情形被处理等。域外近几年来与隐私信息保护相关法案的修改便融入了这一理论思想。在美国,个人信息领域迄今为止还没有联邦性质的统一立法,从已有的部分立法来看,美国《消费者隐私权利法案(草案)》(Consumer Privacy Bill of Rights Act of 2015, CPBR)(2)Administration Discussion Draft: Consumer Privacy Bill of Rights Act of 2015, The White House, http: //www.white-house.gov/sites/default/files/omb/legislative/letters/cpbr-act-of-2015-discussion-draft.pdf[2022-04-20].在第三部分明确“尊重场景”,要求数据收集者以符合消费者提供信息的场景的方式收集、使用和披露个人信息,并通过区分场景适用告知同意原则、对目的限定原则进行扩大解释以及考量隐私风险等增加个人信息处理行为的合法性基础以协调个人信息保护和利用的冲突;《加利福尼亚州消费者保护法案》(California Consumer Privacy Act, CCPA)(3)California Consumer Privacy Act, State of California Department of Justice, https://leginfo.legislature.ca.gov/faces/billTextClient.xhtml?bill_id=201720180AB375[2022-04-11].则对个人信息界定采取了“可以合理地与消费者或家庭相关”这一更加宽泛的定义,试图在一定程度上消除个人信息认定中“全有全无”的认定方法,同时在信息获取上设计了特定场景下如B2B环境下和机动车经销商与制造商销售环境下获取特定个人信息的豁免权;在欧洲,比较有代表性的立法为欧盟的《通用数据保护条例》(General Data Protection Regulation, GDPR)(4)General Data Protection Regulation, European Union, https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32016R0679&qid=1652860602725[2022-04-11].,受“场景完整性理论”理念的影响,该规范新增了隐私影响分析、第三方监管等机制,突出场景中信息保护程度要和信息风险程度相吻合的风险控制要求,从目前欧盟个人信息保护实践的效果来看,这种场景导向的规则改变了传统个人信息保护僵化的合规要求,能够运用更加灵活的风险管理策略保护个人信息的合理使用,规制个人信息的不合理使用。
其次,根据“场景完整性理论”的规范框架,判断隐私信息的保护是否合理需要考量以下几个方面:一是信息的界定是否具有适当性,二是信息流转中的参与主体,三是信息流转过程中的约束性规范和限制条件。有学者提出,上述规范虽然基于传播学理论提出,却与在法律关系中讨论客体、主体和内容的法学研究方法相呼应,因此,借由“场景完整性理论”讨论数据信息的法律保护,既符合法律关系的三要素,也与传播学理论相契合,内在逻辑具备一致性[6]。所以在美国,“场景完整性理论”也被应用至数据爬取的司法规制,运用场景化的思维对数据获取者、数据参数和数据获取的利益平衡等法律要素和客观因素进行考察,帮助法官在个案中确定数据爬取的法律性质,划定数据爬取正确使用的合理边界,以达到修正传统的规制路径的目的[7]。
目前在我国立法中没有明确体现对“场景完整性理论”的引入,诚然,在我国司法实践中,特别是涉及个人信息保护纠纷时,司法裁判已经不乏将“场景完整性理论”的思想贯穿于案件审理之中的实例。近几年,随着个人信息主体的权利意识不断提升,个人信息保护纠纷案件数量增加,“郭兵诉杭州野生动物世界案(中国人脸识别第一案)”(5)参见浙江省杭州市富阳区人民法院(2019)浙江0111民初6971号民事一审判决书。、“法学博士凌某某诉抖音案”(6)参见北京互联网法院(2019)京0491民初6694号民事一审判决书。、“余某某诉查博士案”(7)参见广州互联网法院(2021)粤0192民初928号民事一审判决书。、“微信读书案”(8)参见北京互联网法院(2019)京0491民初16142号民事一审判决书。、“某用户诉微视案”(9)参见广东省深圳市南山区法院(2020)粤0305民初825号民事一审判决书。和“启信宝案”(10)参见江苏省苏州市中级人民法院(2019)苏 05 民终 4745 号民事二审判决书。等一系列个人信息保护典型案件相继判决,个人信息保护纠纷案件呈现出新的动向和特点:
其一,数据经济发展迅猛,互联网信息技术日新月异,在以互联网和物联网为载体的数字平台对数据资源日益追逐的商业模式中,数据从业者不断挖掘个人信息数据资源,由此产生的个人信息纠纷增多并且绝大部分发生在互联网领域,与数据产业的发展联系紧密,在信息技术的加持下,个人信息保护纠纷案内容复杂、形式多样。
其二,2021年是《个人信息保护法》实施元年,《个人信息保护法》与《民法典》《网络安全法》《消费者权益保护法》《电信和互联网用户个人信息保护规定》《信息安全技术公共及商用服务信息系统个人信息保护指南》和《信息安全技术个人信息安全规范》等多部法律法规和国家标准逐渐形成了我国的个人信息保护法律体系,但该体系仍处于建立初期,各方面尚不完备,相关规范正处于逐步完善的过程,导致在规范上对某些问题缺乏精确的指引。
因此,基于案件审判的要求,司法工作者需要发挥司法创造性对立法还未回应的实践问题进行解决,在涉及个人信息的认定、判断知情同意规则的合理适用和利益平衡等问题上,裁判者将“场景完整性理论”应用至个人信息保护纠纷案件中,弥补制度短板,解决个人信息保护纠纷案件中的实际问题,这也为研究“场景完整性理论”的应用提供了一个内容较为丰富和新颖的视角。
个人信息的认定是个人信息侵权案件中的一项前置性环节。首先,现有立法中,个人信息法律规范对个人信息的定义以“识别性”和“关联性”为核心,法院在个人信息保护纠纷案件中以此作为基础,通过案件判决的积累,逐渐归纳出个人信息认定的两条识别路径:其一,从信息到个人,关注个人信息的“识别性”,可以识别出特定自然人的单独信息或者信息组合是否属于个人信息。其二,从个人到信息,关注个人信息的“关联性”,特定自然人在活动中产生的各种信息即为个人信息。这两种识别路径的特点在于强调信息在相应场景中的处理行为可能被用于回溯到特定个人之目的,在一定程度上融入了“场景完整性理论”关于信息类型认定的理念,尝试摆脱“全有或全无”的个人信息认定方法,是法院在对法律规定理解适用的基础上,将“场景完整性理论”的核心思路贯彻于审理实践之中的表现之一。
其次,在个人信息侵权案件中,由于隐私权与个人信息保护的关系密切,《民法典》人格权编将个人信息区分为私密信息和非私密信息。该区分的规范目的是在确定行为非法性之后,认定个人信息处理行为所侵害的民事权益类型,对于私密信息,适用隐私权保护;而对于非私密信息,则适用个人信息相应的法律规范予以保护[8]。因此,法院通常针对同一信息内容分别就个人信息和隐私做出认定,而就私密信息与非私密信息这一类型区分而言,现有的研究均认为“私密信息”是一种泛化的存在,应当进行动态判断[9]。于是在司法实践中,在涉及一些特定涉案信息例如读书记录、网页浏览信息、社交关系、地理位置信息等的认定上就具有一定的争议,此时“场景完整性理论”就为法院裁判提供了思路。例如在“微信读书案”中,在认定微信好友关系、读书列表信息是否属于私密信息时,法院就认为“将用户隐私期待强烈程度不同的信息笼统划入某相对固定的概念,并不是有效保护权利或权益的最优选择,而有必要深入实际应用场景,以‘场景化模式’探讨该场景中是否存在侵害隐私的行为。”在该案件中,法院通过考察该场景中信息主体的隐私期待、信息风险和社会一般认知等因素对该信息是否属于隐私信息进行认定。
此外,在涉及信息组合的判断时,由于不同个案涉及的信息组合差异较大,也能运用场景化的思想对信息组合的具体情况进行判断。例如,实践中通常认为姓名、电话号码等属于一般个人信息,对其保护应为防止滥用而非保密,但在“庞某诉北京趣拿公司案”(11)参见北京市第一中级人民法院(2017)京01民终509号民事二审判决书。中,二审法院认为姓名、电话号码与庞某的行程信息结合到一起时,会导致庞某的日常生活陷入较高的风险,因此涉案信息组合属于私密信息。从上述案件可以看到,涉及隐私权保护的个人信息的界定在立法上具有一定开放性,为司法裁判留有空间。裁判者在化解个案纠纷的过程中,也意识到个人信息的私人属性和公共属性根据应用场景的不同和信息的流动而在不断变化,要根据场景综合认定信息保护的价值是否值得隐私权保护介入,因此,法院运用“场景完整性理论”对私密信息进行认定,以摆脱个人信息“二分法”认定方式造成的个人信息保护局限。
知情同意规则作为个人信息保护的一项核心规则,其要求信息收集者告知被收集者被收集的信息内容并取得同意,20世纪六七十年代,发达国家为了应对由于社会管理需要而使用的自动化信息获取技术产生的隐私保护危机,对效率和隐私保护需求进行权衡后,通过对隐私权进行解释,并结合抽象人格权创设了“个人信息自决”理论,其中最有代表性的是1971年德国学者施泰姆勒(Steinmüller)通过对《基本法》中人格权予以解释的方式,将“个人信息自决权”纳入基本权的范畴。德国联邦法院在“人口普查案”(12)See Volkszählungsurteil, BVerfG 65, 1.中,通过司法判决确立了个人信息自决的基本内容,其中就包括了知情同意的内容,该规则经世界上大多数国家采纳并沿用至今。我国首次将知情同意规则纳入个人信息法律规范体系是在 2012 年出台的《全国人大常委会关于加强网络信息保护的决定》(以下简称《决定》)中,《决定》要求企业在收集、使用个人信息时,应当明示收集、使用个人信息的目的、方式和范围,并经被收集者同意(13)参见《全国人大常委会关于加强网络信息保护的决定》第2条。,自此,知情同意规则成为我国个人信息保护中一项重要的信息处理规则。
随着移动通讯工具、智能穿戴等设备的不断普及和数据应用技术的发展,个人信息收集深入社会生活的方方面面,个人信息获取仅仅是信息数据流转的一小部分,越来越多的企业运用数据分析进行商业营销、评估消费者个人特征和做出自动化决策。当数据孤岛被打破,商业业务线条日益精细化、复杂化,同一用户数据既能在特定主体和业务流程中使用,也可能在不同的主体和业务流程中使用,数据复用只有在不断的流转和共享中才能创造更大的价值,因此企业为了符合合规要求常常通过“隐私声明”“隐私政策”向用户索要处理信息的授权,由此产生了“概括性授权”和“强制同意”等问题,使得知情同意规则一度流于形式。立法上为了解决这一问题,知情同意规则的内容不断丰富,2013年《消费者权益保护法》和2016年《网络安全法》就知情同意规则的处理原则首先作出了规定(14)参见《消费者权益保护法》第29条、《网络安全法》第41条。,2020年《民法典》增加了关于知情同意规则适用例外的规定(15)参见《中华人民共和国民法典》第1034条、第1035条、第1036条。,2021年《个人信息保护法》将个人信息区分为一般信息和敏感个人信息,并有差别地适用知情同意规则,同时增加了更明确的例外性规定(16)参见《个人信息保护法》第13条、第18条、第28条、第29条、第30条。,知情同意规则呈现出“相对化”趋势。即便如此,同意机制的立法优化仍然存在滞后性,在复杂多变的个人信息保护纠纷案中难以提供准确的指引,因此,法官在具体案件中运用“场景完整性理论”判断同意机制设置的合理性,发挥司法裁判的补充功能。
依照“场景完整性理论”规范逻辑,信息参与者是信息规范中的一个关键变量,信息流转原则是否被违反是信息隐私是否受到侵害的一个重要因素,在确定信息规范中发挥作用的信息流转原则后,可以以“是否符合信息主体的合理预期”作为标准来考量信息流转原则在具体场景中的合理性,在个人信息保护纠纷司法裁判中,法官正是运用了这一标准对同意机制设置的合理性进行考察。例如在“法学博士凌某某诉抖音案”中,抖音公司涉及两个行为,其一,抖音公司向原告凌某某以外的其他手机用户申请授权,并收集储存了这些手机用户的手机通讯录信息,其中包含了原告凌某某的姓名和手机号码,此时凌某某尚未注册使用抖音APP,抖音公司系在未征得凌某某同意的情况下获取其个人信息。其二,抖音公司在原告凌某某注册抖音APP后经授权同意获取了凌某某的手机号码,并在匹配之前在其他用户那里收集、储存的凌某某的手机号码后,向凌某某推荐“可能认识的人”(储存有凌某某手机号码的其他抖音手机用户)。法院认为,根据对抖音《隐私政策》的理解,“可能认识的人”对用户合理预期来说,所指的人应该是凌某某手机通讯录所储存的其他手机号码用户,而非储存有凌某某手机号码的其他使用抖音APP的用户。该信息处理方式不符合用户进行授权的合理预期,因此,认定抖音向凌某某获取授权并推荐“可能认识的人”的行为存在侵权情形,但同时法院也认为抖音公司第一个行为中对个人信息的读取和收集虽未经凌某某同意,但构成合理使用不构成侵权。又如在“某用户诉微视案”中,深圳市中级人民法院在二审中对企业设置同意环节是否具备正当性进行考量时,认为在原告卸载微视APP后再次下载并再次登录同一账号的情形下,微视APP仍然将关联用户选项“好友加入微视”默认为开启状态,不符合王某对其授权行为的合理预判,因此,认定微视APP的行为不具有正当性。法官在上述案件中运用“场景完整性理论”,从特定场景出发,通过考察当事人的合理预期解决同意机制合理性判断的问题,避免机械纳入知情同意规则得出当然豁免的结果,同时也体现了同意机制的“差异化”立法思想。
在以“信息数据”为束点的权利束之上,函射多元主体的多种权利,个人、企业、社会和国家等主体所代表的不同利益相互交织,在信息数据流通过程中,数据共享范畴下的数据安全、数据挖掘与数据复用等数据治理问题,是数据经济运行中亟需回应的利益平衡难题。首先,数据权利是以公民数据作为物质基础衍生出的一组权利,其包含了来源于个人信息本身的人格权[10]。其次,政府为了维护国家安全、惩治犯罪和进行社会治理,需要个人对其信息权利进行一部分让渡,以满足公共利益的需要。在“人口普查案”中,法院就已经认可了将公共利益作为限制信息自决的正当理由。此外,为了应对企业之间存在的数据爬取、恶意删库、搭便车等不正当竞争行为,司法实践通过援引《反不正当竞争法》的一般条款进行裁判,归纳出一条以“三重授权原则”作为数据获取正当性来源的保护路径,认同数据从业者可以支配其基于劳动和金钱投入而享有的数据权益,即目前学界中所广为讨论的“数据库权利”。
个人信息纠纷案件中,不同主体所代表的不同利益之间可能相互冲突,运用“场景完整性理论”可以在不同的具体场景中充分考虑各方利益,将各方主体的利益关切纳入信息规范,在特定场景中合理分配信息权益,实现既保护个人信息、又不至于缺失对其他利益的考虑的价值目标。例如在“启信宝案”中,贝尔塔公司通过技术抓取手段将中国裁判文书网上的几份涉伊某个人信息的法院裁判文书转载至启信宝网站,在伊某以未征得其同意为由要求贝尔塔公司删除文书后,贝尔塔公司以诉争文书已在中国裁判文书网公开为由拒绝伊某的请求,伊某认为贝尔塔公司的行为系对其个人信息的非法公开使用,将贝尔塔公司诉至法庭。该案件中,涉案个人信息既体现了伊某对其个人信息的合法权益,也体现司法公开制度所承载的社会公众的知情权、监督权等社会利益和贝尔塔公司在复次利用裁判文书时对文书数据清洗、筛选、整理后的数据权益。法院在考量伊某对文书信息公开的容忍义务、对信息传播控制的权益、贝尔塔公司对文书再利用行为的合法性和司法公开制度所函射的公共利益等因素后做出裁判。在本案中,法院对上述因素的考量共同决定了案件中具体场景个人信息的保护程度,并在具体场景中匹配相适应的信息权益分配方式,体现了“场景完整性理论”的个人信息保护思路,在平息纠纷的同时平衡具体场景中信息保护和信息利用的需要。
整体而言,裁判者在司法评价过程中纳入“场景完整性理论”的思想,化解纠纷,平衡个案利益,逐渐形成了对既有裁判规则的共识,对部分场景化的个人信息纠纷有一定的指导价值,但在应用上也表现出体系上和内容上的不足。在个人信息纠纷案件的司法裁判中,法院结合具体规则将“场景完整性理论”的思维贯彻于案件审理之中,随着司法实践界逐渐认识到数据经济中鲜明的利益复合型特征才是个人信息保护问题的痛点所在,当前更应充分发挥“场景完整性理论”平衡信息利用和信息权益保障的功能。一方面,个人信息保护既要重视保护私法视阈下个体在个人信息上的合法权益,维护个人信息保护立法中以主体自决为核心的权利运转模式,回应数字经济纵深下的个人信息保护需求。另一方面,也要意识到,要在互联网时代下推动高效能的数据共享,实现数字经济高效安全的发展,仅仅重视某一方面的利益是不够的,无论是在个人信息保护的合规评估或是在信息类型的认定、同意机制边界的判断等具体问题上,都需要充分考虑不同主体的利益诉求和价值取向,以避免损害不同主体的利益为目标。
“场景完整性理论”强调将个人信息保护视为一个由信息参与者、信息类型和信息流转原则三个要素组合而成的动态系统,要求在系统的动态变化过程中,协调系统内的多项要素形成适当的信息规范,以达到最优信息权益分配格局、科学设置权利义务关系的目的。在个人信息保护纠纷中,“场景完整性理论”常被用来解决案件中缺乏法律明确指引或者相对复杂的价值判断问题,通过提取“场景完整性理论”规范框架中与案件相关的法律原理或基本价值相适应的部分进行释法说理。但在司法实践中,不同个案对“场景完整性理论”的应用呈现相互孤立、缺乏互动的状态,这使得该理论应用在个案评价时缺乏明确性,难以有效统一司法裁量。例如北京第四中级人民法院所审理“梁某诉汇法网案”(17)参见北京市第四中级人民法院(2021)京04民终71号民事二审判决书。与上述“启信宝案”案情十分相似,在利益平衡问题的考量上,由于并没有明确的法律规范指引,法院试图运用“场景完整性理论”的思想平衡各方利益,确定最重要的保护对象,但两案在信息场景相似的情况下却产生了截然不同的裁判观点。前后案法院都承认被企业所公开的裁判文书中的涉案信息属于当事人的个人信息,但前案法院以判决文书公开和再利用的需要为由判决网络经营者的行为不侵犯当事人的个人信息权益。而后案法院则认为案件中原告对其个人信息传播控制的人格权益显然高于已经合法公开的个人信息流通所产生的潜在财产权益,个人信息主体对其个人信息传播控制的权利不能因为个人信息已经合法公开而被当然剥夺,因此认定被告侵犯了原告个人信息权益。不难发现,上述两案信息场景十分相似,但判决结果却体现了不同的权益分配方式,若“场景完整性理论”的纠纷化解理念缺乏在司法应用上的体系性指引,就会使得在相似场景中进行信息权益分配时,容易走向孤立考量的误区,片面关注某一方面利益来对个人信息纠纷进行认定,淡化利益的综合考量,导致缺乏裁判的统一性。
从个人信息保护纠纷案件来看,首先,裁判者将“场景完整性理论”融入司法评价之中,运用该理论对具体案件进行考量,是运用司法的创造性弥补法律相对于实践需要的滞后性,定分止争;其次,“场景完整性理论”的司法应用可能将个案的标准、规则和逻辑归纳为指导同类案件的法律规则;再者,司法实践也可能进一步推动立法发展,将利用“场景完整性理论”化解纠纷的同类法律关系提炼出来,通过有权机关将“场景完整性理论”的纠纷化解逻辑予以规范化和制度化,将理论应用上升为法律规范。因此,应当在司法裁判中适当总结“场景完整性理论”在司法应用中的优点与经验,同时对理论应用存在的不足之处,如适用的泛化和不明确性应当加以改进,以期能够对个人信息保护领域的纠纷化解有所助益。
将“场景完整性理论”应用在司法实践中发挥其评价功能,应当注重移植其在衡量风险与保护方面的价值,弥补我国个人信息保护中立法的不足,在运用的同时也要与我国个人信息保护法律规范相衔接,而非照搬西方的理论,避免因法律体系的不同而发生冲突。由于“场景完整性理论”要在具体场景中发挥作用,因此将“场景完整性理论”用于个案评价无法预设结论,需依据案件情况进行不同分析,但总体而言需要遵循以下几个原则:
1.动态平衡原则
所谓动态平衡,是指在运动中达到平衡的状态,这一概念由动态系统论演化而来,该理论认为事物是由多要素构成的结构,事物的稳定性取决于要素之间的关系,要素之间的关系呈暂时的静止状态和永恒的运动状态,静止状态和运动状态的交替上升使事物处于平衡状态,促使事物发展。具体到个人信息领域,这种动态平衡既体现为数据信息利用和个人信息保护之间的平衡,也体现为个人信息保护系统中信息参与者、信息类型和信息流转原则形成的一个平衡有序的系统,随着场景的变化而调整个人信息保护方案,满足差异化的信息保护需求。在具体案件中,裁判者就是要考量各方利益和各种制约因素,依据不同主体的权利和义务,针对性地建立个人信息保护方案,兼顾信息保护和信息共享,对信息权益进行符合正义的利益分配,因此,动态平衡是“场景完整性理论”的核心原则。
2.比例原则
比例原则是“场景完整性理论”所提倡的风险控制路径的基本原则,也是运用“场景完整性理论”进行个案评价应当遵守的原则。该原则要求依照信息处理的风险判断信息处理行为的适当性,具体如要求信息的保护程度要和信息隐私受侵害的风险相对应,在符合处理需要的情形下,信息应当最小化、最小范围地被使用等,以此来界定信息类型、建立相应场景下信息合理使用的判定规则、确定信息的保护程度等。在“庞某诉北京趣拿公司案”中,二审法院认为“孤立来看,姓名和手机号不但不应保密,反而是需要向他人告示的。然而,在大数据时代,信息的收集和匹配成本越来越低,原来单个的、孤立的、可以公示的个人信息一旦被收集、提取和综合,就完全可以与特定的个人相匹配,从而形成某一特定个人的详细而准确的整体信息。此时,这些全方位、系统性的整体信息,就不再是单个的、可以任意公示的个人信息,这些整体信息一旦被泄露扩散,任何人都将没有自己的私人空间,个人的隐私将遭受巨大威胁,人人将处于惶恐之中。”(18)参见北京市第一中级人民法院(2017)京01民终509号民事二审判决书。该案中,由于信息组合的泄露导致个人隐私遭受巨大风险,因此,法院将涉案信息组合作为私密信息加以保护,本案中法院考察了个人因信息泄露而受侵害的风险,从而确定信息类型的判定方式,体现了比例原则。
3.目的限定原则
目的限定原则是指信息收集应当就收集的目的进行限制,该原则是传统个人信息保护中一项重要的基本原则。但随着数据经济的发展,该原则与大数据时代下的数据开发利用模式产生了矛盾,严格地对个人信息的获取和处理进行目的限定不符合数据经济的发展要求。从“小数据”到“大数据”时代,信息数据的利用完成了从“全本”分析到“样本”分析的过渡,不再执迷于信息缺乏时代和模拟时代的精确性要求,以取得对大数据时代95%的非结构化数据的利用[11],这种变革使得传统目的限定原则对信息获取、处理等需求造成了极大的阻碍。因此,在“场景完整性理论”改造下的目的限定原则不再对信息处理的目的要求作严格限制,而是以用户的合理预期作为考量标准,只要在相应场景下的个人信息处理符合信息主体的合理预期,就属于信息的合理使用。上述提到的“抖音案”“微信读书案”“微视案”中,法院在以用户的合理预期考察知情同意规则的合理使用与否时,体现了这一原则。
上述三个原则根植于“场景完整性理论”的原理,也与我国个人信息保护司法实践相适应,无论是动态平衡原则、比例原则还是目的限定原则,都体现了一种在个案中动态的评价方式,然而仅仅具有原则性的指引是不够的,要转变“全有全无”的传统个人信息保护方式,需要基于“场景完整性理论”构建更加细致的评价指引,使其能够在司法裁判中为法律适用者更好地所利用。因此,笔者在下文尝试提出一种个性化的、动态的评价方案,兼顾评价差异化和规则设置的稳定性,以完善个人信息的司法保护。
1.个性化评价方案的设计要求
“场景完整性理论”提供了一套具体的规范模型,通过对规范要素的衡量确定个人信息的保护边界,在司法裁判中的运用常被用来解决个人信息保护中缺乏法律明确指引或者疑难复杂的问题,如个人信息的认定,信息处理中合理使用的认定等,这些都是相对具有不确定性的问题,其本身还没有一个客观的标准和明确的法律依据,因此,需要借用“场景完整性理论”进行司法创造。
如上文所述,“场景完整性理论”以动态变化的规则考察具体场景中的个人信息保护的边界,这一思想决定了在个案中以刚性的规则构建来控制司法裁量,实现逻辑安定性并不现实。笔者认为可以参照动态系统论的逻辑,尝试构建基于动态体系的个案评价方案。依据动态体系的基本构想建立评价体系,其核心是将某一法律领域发挥作用的数个要素提取出来,并通过与要素数量和强度相对应的协动作用来正当化法律规范或法律效果[12]。与传统的规则设计不同,动态体系规则构造既不设定细致固定的规则匹配具体事实与法律后果,也并非设置一般性条款指明方向,将裁量权交由法律适用者进行判断,而是通过描述基于基础原理而确定的评价体系和评价要素要求,并权衡要素的运用来为法律适用者以及意在获取法律后果的人提供指引[13]。
首先,依照“场景完整性理论”的规范逻辑,个性化评价方案应该与具体场景相关,其内容无法脱离具体场景进行示例法式的列举,个性化方案中的评价要素所蕴含的规范价值也不能脱离具体场景作预先分配,而要充分发挥裁判者论证说理的职责,论证案件的场景特性和评价要素确定的过程及理由。在不同的具体场景中尊重个案的差异性,通过具体场景中的评价要素进行个案衡量,保障信息安全的同时,避免限制信息的合理流通和共享。其次,评价要素的选定要通过归纳已有判决并在主体需求和信息保护价值取向的要求下,保持一定的限制,虽然无法精确到具体内容,但要搭建相对稳定的框架为司法裁判提供思维指引。如果个性化方案在设计上对于评价要素的选定要求过于宽泛,就可能出现裁判者据守不同要素体系的情况,导致评价方案在适用上的泛化。此外,动态评价体系并非不考虑规则的确定性,而是在发挥个案中裁判者的论证说理义务的同时,进行相似场景的类型化整理,逐渐形成重叠共识并归纳为指导类似场景的规范,实现个人信息保护灵活性和确定性的统一。
2.个性化评价方案的具体展开
从根本原理与基本逻辑中提炼相关法律问题的评价要素是化解争议焦点的具体内容。评价要素的选定为法律适用者提供程度考量的具体内容。法律适用者通过具体场景中各个评价要素的协同互动关系,根据要素的强度、数量和互补关系进行综合判断,从而将反映权利人、各方参与主体和公共利益的多元评价要素整合成一个系统、有序的评价方案,避免单一地局限于权利人信息保护或者信息共享需求得出法律结果。因此,笔者认为个性化评价方案的评价要素设置需要遵循以下几个要求:
首先,评价要素要求具有多元性,在具体案件中,评价要素要体现不同主体的利益需求和价值取向,摆脱以往个人信息保护中二元式评判架构。评价要素的多元性可以从个人信息保护的必要性与信息流通需要对信息权益的限制两方面入手,展开说理和论证,提炼具体的评价要素。例如在“启信宝案”中,法院始终从各利益主体出发,贯彻信息利用与信息保护平衡的理念,考量个人主体的信息权益和相对应的对信息利用的容忍义务、数据从业者对公开信息进行开发的信息数据权益及对信息数据利用的限制、司法公开制度所代表的公共利益需要等评价要素,进行综合分析后作出裁判。
其次,评价要素要与争议问题所涉及法律原理相关,评价要素为特定领域中发挥评价作用的“因素”,其确定要和特定的法理本质密切相关[14]。例如在私密信息的认定中,法院纳入考量的因素一般从隐私权保护出发,如社会公众对该信息作为私密信息的认知;该信息对于维护自然人的人身财产权益、人格尊严和人格自由的重要程度;私人生活安宁是否因信息处理行为的介入而发生变化;社会一般合理认知和有无采取保障措施;该信息对于维护社会正常交往、信息自由的重要程度如何等。在涉及私密信息认定的具体案件中,评价要素虽然不一定具有相同的表现形式,但都是从隐私权的基本原理出发进行提炼的。
此外,每个评价要素之间是相互独立且互补的,隐私信息与人格利益息息相关,其在具体场景中的保护需求是丰富且复杂的,任何一个单独的评价要素都无法决定隐私信息的全部内涵。因此,同一要素的内容及其涵盖的规范价值和利益需求不能缩减至被其他要素所完全替代,要保证评价要素的相对独立,避免评价要素的无效和冗余。同时,还要保证评价要素对评价结果的相互补充,因为动态规则在对事实进行认定时,不是简单地考量某一因素的满足与否而对评价结果进行肯定或否定,而是要兼顾不同的因素进行综合考量,虽然某一因素不满足,但与其互补的因素被满足了,仍然可以得出评价的结果,这样的评价要素设置才能确保评价结果的全面性和整体性。
最后,评价要素应具有位阶次序,个人信息保护案件中蕴含多元的价值目标和利益需求,但必然存在最为核心的利益和价值,体现核心利益和价值的评价要素应当在评价结果形成的过程中比其他评价要素占据更高的判断权重,处于更靠前的评价位阶。若将评价方案中的评价要素在位阶次序上一视同仁,那么体现边缘利益和价值的评价要素就有可能代替体现核心利益和价值的评价要素成为支撑最终结果的主要依据,导致评价结果有失偏颇。只有厘清个人信息保护纠纷中利益考量和价值目标实现的优先次序,设置具有位阶次序的评价要素,才能促进评价结果实质正义的最终实现。
社会生活的变革总能引发法学理论的革新,在大数据时代,跨越数字鸿沟,化解数字经济发展中的法律争议,需要不断审视以信息数据为核心的法律关系,革新法律手段,合理配置信息数据资源。在个人信息保护领域,“场景完整性理论”提供了一种动态化的规范模型用以化解个人信息安全危机,但西方的理论更偏向实践运作,在进行本土引鉴时不能对其言从计纳,应当注重实际应用的有效性,根据现实需要进行合适的话语转化。在我国司法实践的应用中,裁判者运用“场景完整性理论”进行司法创造化解个人信息实践纠纷中出现的信息认定、利益平衡和信息合理使用认定等实践难题的方式值得反思。因此,本文针对我国实践纠纷特点提取理论应用的有益经验,尝试归纳该理论的应用原则与方法,并辅以动态系统论的思想加以科学补充和创新,构建针对个人信息保护纠纷的个性化评价方案,以期优化我国个人信息的司法保护架构。