顾雷
近年来,我国个人信息安全问题频发。本文探讨在个人真实意思表示情况下,如何准确把握处理个人信息的合规要求和范式要求,实现个人信息处理目的、处理范围、处理方式达成平等互惠的充分合意,禁止过度使用个人信息,矫正国家、个人信息处理机构与个人之间的不平等态势,厘清个人信息处理关系顺位。
近年来,我国个人信息安全问题频发。2018年上半年支付宝年度账单默认勾选《芝麻服务协议》被质疑侵犯隐私权,百度涉嫌侵害消费者个人信息安全被江苏省消保委提起公益诉讼。下半年又爆发不少企业平台大规模数据泄露公民个人身份信息,包括华住酒店集团旗下连锁酒店4.5亿条用户信息被泄露,12306网站480余万条用户数据在网络上被贩卖,上市公司“数据堂”涉嫌侵犯公民个人信息罪被查,“巧达科技”非法交易个人信息多达2亿条,引起社会广泛关注和担忧。
值得庆幸的是,我国立法机关十分重视个人信息保护法律体系的建设,《个人信息保护法》《数据安全法》和《征信业务管理办法》纷纷出台,《刑法》(修正案)也补充规定了侵犯公民个人信息罪,特别是2021年《民法典》实行以来,对个人信息保护进一步加强,让越来越多不法人员和机构不敢再铤而走险。但是,在处理个人信息过程中,对个人信息合规处理依然存在理论上的分歧,司法实践也有不同判例。因此,如何厘清个人信息处理关系顺位,解决好处理个人信息合规性和范式要求,显得尤为重要。
从相互关系上说,个人信息与隐私范围存在一定交叉重合,即个人信息保护客体与隐私权保护客体是基本重叠,诸如个人健康信息、身份证号码、银行卡号码等私密信息既是个人信息载体,又是隐私权保护对象。个人信息与隐私权保护对象都是人格利益,有着极高相似性。但是,两者是有区别的。个人信息指的是以电子或其他方式记录的能够单独或者与其他信息相结合识别特定自然人的各种信息,核心特征是“识别性”。而隐私权保护的是私人生活安宁、个人空间以及私人活动,这些私人信息不能或不愿意被他人知晓,核心特征是“私密性”。一旦个人隐私信息被非法获取或者滥用,极易对个人的生活安宁造成侵害。因此,当个人信息与隐私权重叠时,对同属个人信息的私密信息应该更加重视,需要优先适用隐私权保护规则。
在个人信息和隐私双重语境下,产生的重合就是根据对信息主体产生影响作用大小进行的“一对一”价值衡量过程。单一的个人信息的保护价值来自信息本身的概念性、社会性内涵,而隐私信息表达出更多的不为人知或不应人知的人格性、生物性内涵。举例来说,某人姓名在不结合其他信息情况下,其被保护的必要性是弱于“某人是新冠肺炎确诊者”这一私密信息的。也就是说,单一的、非私密的个人信息在面对更为隐私消息时并没有特殊保护价值。于是,在处理个人信息时首先需要保护的是个人隐私权,然后才是个人信息,隐私权优于个人信息等级,顺序不能颠倒,否则就是对公民隐私权的另一种无视和侵犯。
当前,我国个人隐私权正在经历着前所未有的挑战,尤其在抗击新冠肺炎疫情过程中,在采集(疑似)患者信息时,不少医疗机构,包括私人诊所、民营医疗机构以及部分公立医院,并不十分重视保护患者隐私权,易引发个人信息泄露和侵犯个人隐私权的问题。
目前,世界各国对个人信息处理合规要求并不统一,主要有以下几种类型:第一种是信息处理明确原则。《信息安全技术 个人信息安全规范》规定处理个人信息时必须具有清晰、具体的个人信息处理目的,而不是笼统地处理个人信息。第二种是信息处理限制原则。经济合作与发展组织在《隐私保护和个人数据跨境流动准则》(1980年)中规定“个人数据收集的目的应当在收集时确定,随后的使用限制在实现该目的的必要范围内,或者用于实现其他与该目的不冲突的目的和每次更改时确定的目的”。我国《数据安全法》第32条也要求“应当在法律、行政法规规定的目的和范围内收集、使用数据”。
实际上,处理个人信息明确原则、限制原则之间并不是平行关系。明确原则是个人信息处理的前提条件,但仅有明确原则可能导致合规性虚设,还需要对个人信息处理目的进行一定限制,只有禁止为了不正当目的处理个人信息行为,个人信息处理才具有最高层次合规要求,才能有效维护处理个人信息的正当性。
长期以来,我国对于个人信息保护正当原则规定得比较宽泛。在实践中政府部门、金融机构、非银金融机构更喜欢用比较模糊或不确定的词汇来表述其个人信息保护目的,诸如“为了公共利益”“为了金融产品创新需求”以及“为了提升客户体验度”,等等。在这里,我们不讨论背后的动机究竟是什么,但这些宽泛、模糊和宏大抽象的表述容易引发个人信息收集范围过大、使用场景过多问题,最后导致个人信息保护限制性、明确性原则形同虚设。
从范式要求上看,个人信息处理目的应尽可能特定、明确,目的表述应尽可能提供细节。例如“公共利益”概念比较模糊,属于不确定性社会概念,并不是一个法律概念,容易被误用、滥用或恶意使用。如果个人信息处理目的过于宽泛、抽象,不仅无法控制个人信息处理范围,也无法有效指引后续个人信息处理活动。因此,政府在进行个人信息保护时,必须实现特定、明确的具体公共利益目标,不宜同时设定多个处理目的,也不宜以抽象的“为了公共利益”为名而随意处理个人信息。
第一个标准:国家或公共利益
欧盟《通用数据保护条例》(General Data Protection Regulation,简称GDPR)将公共卫生事项、历史研究、医疗健康、公共资料保存披露、人道主义救助以及国家选举事项六大类作为社会公共领域的正当性表征。我国《信息安全技术 个人信息安全规范》也列举了无须经过个人同意的公共利益多个类型,诸如国防安全、重大公共利益、公共卫生、公共安全、刑事司法等。《个人信息保护法》第13条和第26条还规定,鉴于公共利益实施社会性新闻报道、社会舆论监督、网络共同宣传等目的就可以在合理范围内处理个人信息,诸如在公共场所安装图像采集、个人身份识别设备。这使得国家或公共利益在个人信息处理范围上的扩张有了法律依据。
第二个标准:私人或机构组织利益
在特定情形下,为了私人或机构组织利益,未经个人同意也可进行个人信息处理。第一种情形:为保护个人或其他自然人的重大利益。欧盟《通用数据保护条例》第6条规定:“为保护数据主体或另一自然人的重大利益所必要的数据处理。”我国《个人信息保护法》第13条规定,“为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需”,可以不经同意处理个人信息。《民法典》第1036条也认可为了保护自然人合法权益而未经自然人同意的,可以视为合理利用个人信息行为,并不需要承担民事责任。
第二种情形:为了顺利签订或履行特定合同或特定条款,个人信息处理者不经个人同意,可以在必要限度内处理个人信息。例如《信息安全技术 个人信息安全规范》就规定,“维护所提供产品或服务的安全稳定运行所必需的,如发现、处置产品或服务的故障”,可以未经个人同意处理个人信息。
第三种情形:为了更好开展经济组织内部管理,个人信息处理者对其员工或客户相关数据可以进行必要处理。欧盟《通用数据保护条例》第9.2条规定,为实现数据控制者或数据主体在劳动、社会保障以及社会保障法的范畴内履行义务、实现特定权利所必需,可以依法处理数据。
值得一提的是,如上所述,虽然在特定情况下未经个人同意也可以进行个人信息处理,并不表明可以随意处理个人信息。比如,“第三种情形”所述,尽管基于经济组织内部管理目标可以合理处理个人信息,但不能超越管理权限,处理个人信息的正当性、合理性要求必须同时得到满足。又如,如果被告未经同意在微信群公开原告的隐私敏感信息,诸如个人严重疾病、家族遗传病史、个人严重刑事犯罪记录以及个人婚姻历史等等,即便因公司内部管理需要,但可以视为“超出必要限度”,违反个人信息处理正当性合规要求,归为侵害原告隐私权的不法行为之列。
今天,在不同数据和信息场景中,很难保持最原始的处理目的。越来越多的数据和个人信息在处理之初并无意用作其他用途,最终却产生了很多意想不到的结果。因此,在立法上应该留出适当空间,允许处理个人信息目的变更,确立合理变更制度,允许个人信息处理者根据情势适当改变原初目的或增加新的合理目的。否则,过度要求个人信息处理目的特定和唯一,可能妨碍、限制或割裂个人信息流通,形成一个个信息(数据)孤岛。
当然,允许个人信息处理目的发生变更有一个前提条件,就是变更后的目的同原初目的之间应具有因果关联性,不能随心所欲地变化,否则就违背正当原则和范式要求。例如,日本在处理个人信息变更前后目的时就强调必须具有“相当关联性”。日本《个人信息保护法》第15条第2款规定,“个人信息处理者变更利用目的的,不得超出一定合理的范围,变更后的目的应与变更前的目的具有相当关联性”。欧洲国家也有类似目的变更的条款,欧盟《通用数据保护条例》(第5条明确规定:如果后续数据处理基于第89条第1款,是为了实现公共利益、历史研究或科学统计目的等等,不应被视为违背原初目的。也就是说,如果变更后的目的与原初目的不存在必然联系,超出预期的,个人信息处理者就应该再次履行告知程序,在获取个人二次同意后才可以处理信息。
近年来,我国工信部开展应用程序(application,简称app)侵害用户权益专项整治行动,截至2021年6月,共完成73万款app的技术检测工作,责令整改3046款违规app,下架179款拒不整改的app。虽然治理工作取得了积极成效,但个人信息处理过程的及时销毁问题不容忽视。《欧盟2006/24号指令》要求留存所有使用电信服务人的生活习惯、居住地、日常或特殊活动、社会关系的数据,在规定时间内不被留存,统一销毁处理。
但是,个人信息及时销毁立法在我国并不健全。未来,我国应该出台实施细则加以明确规定,对移动通信、餐饮外卖、网络约车、网上购物、邮件快件寄递、网络借贷、交通票务、医疗问诊挂号、银行或非银机构投资理财等app处理个人信息时必须及时删除、销毁,杜绝内容无边界、收集无节制、销毁无期限现象,经过匿名化处理后无法关联到特定个人且无法复原的除外。
必要原则要求以最小损害的方式处理个人信息。首先,在处理个人信息前,根据个人信息的类型、处理目的、处理范围、处理场景,对个人信息处理引发的风险进行全面评估,分析不同处理手段带来的损害大小,完成个人信息保护的制度性评价。欧盟很早就确立了数据保护影响评估制度(Data Protection Impact Assessment,简称DPIA),防止因为数据处理行为可能带给个人信息安全的不利影响。
2019年5月,美国旧金山市颁布全球首个禁止人脸识别技术的规定《反监控条例》,禁止当地警方和其他政府机关使用人脸识别技术,以防止公权力机关滥用人脸信息监控个人。2021年10月6日,欧洲议会通过决议,呼吁全面禁止基于人工智能(Artificial Intelligence,简称AI)生物识别技术的大规模监控,特别禁止警察在公共场所使用面部识别技术,逐渐限制在公共场所使用远程生物识别技术,采取对个人权益影响最小的方式处理个人信息,以免对个人造成不必要的侵权。
近些年来,人脸识别技术在中国得到了广泛运用,同时也引发滥用和过度损害的担忧。在“中国人脸识别第一案”中,原告郭某因其未经注册人脸识别将无法进入动物园,郭某不愿接受被收集人脸信息要求办理退卡退费被拒而提起诉讼。一审法院经审理认为,被告收集人脸识别信息,“超出了必要原则要求”。二审法院认为,人脸识别不当使用将给公民的人身、财产带来不可预测的风险,最后判决郭某胜诉。
尽管“刷脸”好用,方便商业活动,但很多时候过度使用可能会对个人造成过度损害,涉嫌对少数民族、老年人、残疾人歧视,尤其是过度使用生物识别、医疗健康、金融账户、行踪轨迹等敏感个人信息带来的损害公民基本权利的风险可能远远超过带给人们生活的便利。显然,过度“刷脸”有违最小损害原则。
目前,我国对处理个人信息评价体系的立法比较简单,未来立法机构应该颁布实施细则,对于利用个人信息进行自动化决策、委托第三方机构处理、向第三方提供或公开个人信息、向境外提供个人信息等均应事前评估,实现事先有效性评价控制。此外,在有效性评估处理后,比较个人信息处理不同方案的损害大小,在多种个人信息处理方式中选择没有损害或最小损害的处理方式,避免对个人造成过度损害。
个人信息处理手段与目的之间具有一定合理关联性。如果与原始目的没有关联而处理个人信息,即使是为了追求社会利益或第三方合法权益,也不具有法律上的正当性。亦如《欧盟2006/24号指令》规定的那样,个人信息处理同合同履行之间必须具有“密不可分和实质性的联系”,以减少合同履行成本或增加商业利益。
关联性有助于减少不必要、非法的个人信息的处理方式,保持处理信息行为正当性。但是,我国《个人信息保护法》第6条有关个人信息处理“应当与处理目的直接相关”的规定,从立法角度有些过于狭窄。笔者认为,关联性不等于直接相关,间接相关也应该成为处理个人信息的一种必要性合规要求。只要没有过度收集个人信息,在最小范围内处理个人信息的所有行为都应该被视为满足了关联性要求的合法行为。
一是宏观发展原则。目前,我国数据黑市、数据泄露及数据滥用等危害数据安全的情况严重,但同时数字经济已成为我国经济增长新引擎,通过加速数据的流动而实现产业发展也成为大趋势。因此,我们必须在推进“数字化+”“互联网+”“智能化+”“标准化+”过程与商业价值、社会道德和个人隐私之间寻找到一个平衡点。
其实,欧盟早就遇到类似问题。欧盟《通用数据保护条例》第1条第3款明确强调了平衡的重要性,即“个人数据在欧盟境内的自由流通不得因为在个人数据处理过程中保护自然人而被限制或禁止”。显然,欧盟十分注重处理好个人信息保护与数据流动的平衡关系。为此,我国对接GDPR有关个人信息保护与数字经济共同发展模式,树立数据发展和信息保护同等重要观念,不能为了避免矛盾而搞一个与世隔绝的“数据信息乌托邦”,做到安全风险防范为主、兼顾数字经济发展,强调“数据监管+自由市场”双向数据治理模式,绝对不能出现天平失衡问题。
二是微观均衡原则。处理个人信息时必须兼顾收集目标实现和保护信息主体权益,实现个人、信息机构和国家三方主体的利益均衡,以免过度或不必要地使用或处理个人信息。