论《个人信息保护法》目的限制原则中的“目的特定”

2023-02-25 20:15牛彬彬
学术交流 2023年6期
关键词:个人信息保护法数据处理个人信息

牛彬彬

(湖州师范学院 沈家本法学院,浙江 湖州 313000)

目的限制原则在数据操作实践中实际上是经过了一个从“兴盛”到“式微”到“再强调”的过程。目的限制原则的概念最早由美国著名隐私法学者艾伦·威斯汀于1967年所提出,其指出政府所收集的个人信息,只能用于特定目的,不能用于其他目的或者进一步流转。1980年,经济合作与发展组织在《关于保护隐私和个人数据跨国流通指导原则》中首先对目的限制原则作出规范表述,并要求数据处理目的达到“特定”的程度。在美国《公平信息实践法则》中,便将“目的限制原则”确立为八大原则之一。[1]随后,目的限制原则也被写入欧盟《一般数据保护条例》(以下简称“GDPR”)中。随着大数据分析技术的发展,人们发现目的限制原则在很大程度上限制了数据处理者的商业创新,严重桎梏了数据处理者对大数据的价值挖掘,随后有诸多学者提出摆脱目的限制原则的限制,主张在数据收集阶段无需对数据处理者过分限制,而只需要关注数据处理过程即可,即确保数据处理者在处理过程中的合理的分析与处理。[2]但是随着大型数字平台过度分析、数字侵权等案件的发生,目的限制原则的重要性又被重新提及。有学者甚至将“目的限制原则”奉为个人信息保护中的“帝王条款”[3]。我国《个人信息保护法》也将“目的限制原则”作为个人信息保护的一项重要原则,但在规范内容上与GDPR中的目的限制原则有些许不同。其中,两者最大的区别,当数对“目的特定”这一要件的处理。这或许也是学界对待目的限制原则态度复杂的一个重要原因。

一、“目的特定”要件的立法争议及问题

根据“目的限制原则”中是否需要“目的特定”这一要件,我们可将“目的限制原则”的立法模式分为两种类型,即“目的特定+目的兼容”型和“抽象合理+敏感特定”型。

(一)GDPR中的“目的特定+目的兼容”标准及其评价

GDPR第5条所规定的数据目的限制原则由两个要件组成,其首先要求数据处理者的数据处理目的必须“特定(specified)”“明确(explicit)”“合法(legitimate)”,此为“目的特定”标准,并要求数据处理者在进一步处理数据时不得与最初收集数据的目的“不相容”,另外规定“为了公共利益而存档目的、科学研究目的和统计目的”都属于“兼容目的”之范畴,此即“目的兼容”标准。按照第29条工作组(此为由欧盟各成员国的数据保护监管机构、欧洲数据保护监管局和欧盟委员会指派的代表组成的核心监管机构)的解释,“目的特定原则”要求数据处理者至少在进行数据处理之前,便明确其数据处理的目的。其中的“特定性要件”还意味着数据处理者在收集用户数据时,必须提供足够的细节,并使其数据处理目的具备足够辨识度。从文义解释的角度看,GDPR目的限制原则中的“特定”(specified)一词本身表达一种“具体”的“限定”,具有独特的规范功能;目的限定原则中的“明确”,侧重强调对目的之内容陈述清晰明白且无歧义;“目的合理”虽亦有内容限定之意,然同目的“特定”相比,无“目的内容具体”之要求。

第29条工作组指出,GDPR中的“目的特定”原则面临最大的挑战,即数据处理者在随后的数据处理中会或多或少地偏离数据收集时的目的限制。为了协调产业创新与个人信息保护之间的矛盾关系,第29条工作组也主张重构目的限制原则:虽然公开指定的目的(这里指初始的“特定目的”)是数据处理实际目标的主要参考指标,但它不是绝对参考;如果目的指定不一致或指定的目的不符合现实,应考虑所有事实要素,以及基于这些事实的数据主体的共同理解和合理预期,以确定实际目的。[4]但数据控制者应该在多大程度上分别指定这些不同的目的,以及应该提供多少额外的细节,以满足目的特定原则之要求,好像也没有一个确定的答案。最后,第29条工作组也只是对目的特定标准给出了十分模糊的解释:“最终,为了确保遵守第6条(1)(b),每个单独的目的应该足够详细地规定,以评估为此目的收集个人数据是否符合法律,并确定适用哪些数据保护措施。”除此之外,目的不能过于模糊或者流于一般性的阐述,诸如“改进用户体验”“营销目的”“网络安全目的”等表述皆不符合“目的特定”的原则要求。然而迄今为止,“目的特定”原则也并没有更加明确的标准。欧洲人权法院以及相关案件中,似乎对其并无定论,因此也有学者认为,目的特定原则“几乎无标准(Almost no Criteria)”。但GDPR仍然要求这些目的在某种程度上同初始目的相关。[5]这也是第29条工作组对“目的特定”的最后坚持。但是何为“目的特定”,又如何实现“目的兼容”,则仍然是一个悬而未决的难题。

(二)我国《个人信息保护法》目的限制原则“抽象合理+敏感特定”立法模式评价

可能看到“目的特定”要件在GDPR“目的限定原则”中的尴尬地位,我国《个人信息保护法》中的目的限制原则舍弃了“目的特定”要件,通过“明确”“合理”“与处理目的直接相关”“对数据主体权益影响最小的方式”等规范要素对数据主体的处理目的加以限制。只要求在收集处理敏感个人信息时,“目的”需“特定”。笔者姑且称其为“抽象合理+敏感特定”标准。但这一模式同样面临问题。

1.各规范要素间逻辑混乱。 “目的特定”要件的缺失导致“目的限制条款”各规范要素间逻辑混乱。“目的特定”原则同“明确”和“合理”原则皆不相同,“目的特定”原则要求数据处理者在进行数据处理时,将其数据使用限制于相对确定的范围之内,确保数据处理者随后的数据处理行为不会超出最初的目的,并确定应当采取哪些数据保护措施。但“目的合理”与“目的特定”相比,目的界定的精确性程度较低,只要“目的”本身合法,且数据分析与处理过程符合比例原则的要求,则可以认定其数据处理目的符合“合理性”的要求。究竟何为“合理”,作为缺乏专业素养的数据主体,自是无法判定,故而只能由数据处理者自行斟酌判断。但是,在数据处理之目的无法精准界定的前提下,又如何判断目的是否“明确”“合理”呢?另外,《个人信息保护法》第8条第2款规定了数据最小化原则,但是在缺失“目的特定”这一规范要素的前提下,缘何判断数据处理者的数据利用行为真正实现了必要范围内的最小化。正如美国法学家阿里·瓦尔德曼(Ari Waldman)得出以下“苦涩”的结论:“要不,可能是他们(数字产业从业者)不知道最小化原则是什么;要么,他们根本不在乎。”[6]且根据相关学者的调查,我国大型互联网平台几乎皆未能注意最小化原则的适用。[7]在笔者看来,究其根源仍然在于数据处理目的无法“特定”。

“特定”的数据处理目的,为随后的其他数据处理中的法律要求提供了规范意义上的联系。而“特定”要件的缺失,则导致整个“目的限制”条款的逻辑链条崩塌,而将“特定”要件限于敏感信息处理的限定,更因数据处理过程的不可控而无法完满实现规范目的。规范要素之间的混乱逻辑,也在一定程度上削弱了“目的限制条款”的制度功能。

2.“抽象合理+敏感特定”同样无法实现制度目的。 我国《个人信息保护法》的目的限制原则采取“抽象合理+敏感特定”的立法模式。一方面立法意图通过目的限制原则约束数据处理者的行为,防止数据分析过度而导致对数据主体的权益侵犯,另一方面希望通过剔除“特定目的”给目的限制原则留下可解释的空间,以防止立法禁锢数据处理者对大数据潜在价值的挖掘与开发。但数据处理过程是一个动态的、不确定的过程,在数据分析过程中通过一般信息得出敏感信息的事件屡见不鲜,而“合理、明确”的概念内涵太过抽象,即便数据处理者对用户信息进行了过度处理,也可以借助于“合理、明确”这一抽象概念自圆其说,以此阻却侵权认定。由此,数据处理者便可隐藏真实意图、绕过用户同意,借助于算法进行过度分析挖掘,达到其真实的信息处理目的。

3.信息侵权判断标准缺失。 目的限制原则的制度功能不仅仅在于针对数据处理者进行事前的行为规制,而且也在于规范数据处理过程和侵权行为判断。“目的特定”要件的缺失,导致司法实践中诸多网络平台的目的说明条款无法达到目的说明的规范要求。例如诸多互联网平台都将“优化、改善产品和服务”作为信息收集的一项目的,有学者将其称为平台提供的“精准的交易媒介服务”,并认为这才是网络平台主要的数据处理目的。[8]笔者赞同这一观点。个性化推送服务涉及对用户行为兴趣或偏好的分析,这种分析虽然可能不需要用户的敏感数据,但其数据分析过程往往可以对用户的敏感数据信息加以推测,但这种分析可能会超出用户的合理期待,出现对用户信息的过度分析、错误分析,并借此操纵用户行为,攫取用户的注意力剩余与消费者剩余,给用户造成“无感伤害”[9]。另外,判断数据处理者是否存在信息侵权的行为,一个重要的方法在于衡量数据处理过程中的正当利益,但一个没有特定化的、无法真正达到“明确”要求的“目的”,如何权衡冲突利益价值并确定利益是否正当?

在数据侵权行为认定中,“目的特定”的规范功能体现于对数据处理者过错程度的确定。“凌某某诉北京微播视界科技有限公司隐私权、个人信息权益网络侵权责任纠纷案”(以下简称“抖音”案)的裁判路径之所以饱受诟病,其中一个重要原因在于价值与规范之间的互动关系紊乱[10],抖音案的裁判在概念上混淆了利益与目的,其“并无充分理由说明该行为为实现建立社交功能所必须”,“超过了处理个人信息的必要性原则”,其并未依据、也缺乏具体的裁判标准,导致目前裁判进路存在向“一般条款逃逸”的危险,即首先评估必要性、合理性,而不对数据处理者所声称的数据处理目的进行细致的考察与评估,这显然不符合规范适用要求。而一个特定且明确的目的,恰恰是司法机关在数据侵权行为认定时应当把握的重要标准,也是裁判相关案件时的重要依据,防止出现“抖音”案中出现的裁判路径问题。

二、“目的特定”要件的规范性定位——基于《个人信息保护法》第6条的体系解释

2012年,全国人大常委会发布了《关于加强网络信息保护的决定》,其中第2条阐述了“正当目的原则”“必要原则”“告知同意原则”的关系,即这些原则之间,或者是指导关系、或者是平行关系。[11]若其为前者,则首先需要考量其目的的正当性与必要性,当其为平行关系,则其为相互补充的关系。由此可见,厘清这几项规范要素之间的关系十分必要,同时这也涉及“目的特定”规范要件的整体规范定位。

(一)规范外部定位:与“知情同意权”和“算法解释权”的关系

1.与“知情同意”规则的关系——“目的特定”是用户知情同意的前提。 数据控制者使用同意制度来使其数据处理行为合法化,当超过原初目的、需要扩大或者变更数据收集的种类或者范围时,只需重新就数据收集行为征得用户同意即可,几乎不会受到任何实质或者形式的审查。由此,用户同意似乎成为规避目的限制原则的“灵丹妙药”。由此可见,“目的特定”规范要件的缺位,导致目前的“目的告知”基本处于一种无效告知的状态。而一个特定的目的直接提升数据主体告知义务标准与颗粒度[12],且与目的“明确”与目的“合理”相比,目的特定使得告知内容更加具体且客观。德国法律学者以及法院裁判都认为,如果数据处理者没有充分通知个人数据的处理,则该同意是无效的。尤其是数据处理者在没有充分指定数据处理目的时,情况更是如此。而数据处理目的的充分指定,非“特定性”要件不能实现。

另外,从目前《个人信息保护法》的规范体系安排上来看,知情同意被安排在第二章“个人信息处理规则”中,但是“目的限制原则”被安排在总则之中,故从体系解释视角,目的限制原则应当置于知情同意规则的更高位阶。由此观之,目的特定以及目的限制原则,是凌驾于知情同意原则或者知情同意规则之上的,如果说数据处理者的数据处理目的本身存在问题(不特定、不合理等),那么,用户知情同意也是无效的。在数据处理目的变更时,知情同意只有在与初始特定目的相容的情形下,用户的同意才会有效。

2.与算法解释权的关系——“目的特定”是算法解释的起点和基础。 多数学者认为,我国《个人信息保护法》并未赋予数据主体以算法解释权[13],但是《个人信息保护法》依然通过“知情同意(第14条)+目的限制(第6条)+自动化决策解释请求权(第24条)”建构了层次性算法解释体系。[14]而“目的特定”要件是层次性算法解释体系的逻辑起点。

算法是一个为了实现特定任务而设计的、明确且有限的步骤,其以一个明确且特定的结果作为目标。尤其是在自动化决策的应用场景中,数据处理者大多依靠算法对用户数据进行批量化整合与分析,并在此基础上得出结论、作出相应决策。《个人信息保护法》赋予信息主体在某些自动化决策场景下的算法解释权。由此保障数据处理过程的透明度。而“目的特定”是算法解释的起点,通过目的特定的告知,用户可以对数据处理结果有一个大致设想与期待,这是用户产生合理隐私期待的必要前提,人们也可以对数据处理者所使用的算法逻辑有大致了解。目的特定的告知,在某种程度上相当于对于算法运算结果的解释。可以说,目的是否特定是判断数据主体是否有效履行算法解释义务的关键。“目的特定”是有效算法解释的起点和基础。

(二)规范内部定位:“目的特定”同目的限制原则各规范要素的关系

从规范表述上看,至少从GDPR本身的规则内容外观上看,“目的特定”同“目的明确”与“目的合理”是相互并列、互为补充的关系。也就是说,一个特定的数据处理目的,一方面需要明确,另一方面也需要合理,且与数据处理目的直接相关。两者共同决定数据处理目的告知的有效性。

1.“目的合理”与“目的特定”:保持主体间利益均衡状态稳定。 “目的合理”是比例原则在《个人信息保护法》中的规范表达,在某种程度上,“目的特定”与“目的合理”的关系,可以转译为“比例原则”与“目的限制原则”的关系。比例原则是平衡信息保护与数据利用之间紧张关系的重要原则。但是由于目的限制原则与比例原则在内涵层面的相似性,导致两原则彼此之间存在制度交叠与彼此架空的风险[15];另外,由于比例原则与诸多原则(如意思自治原则)的冲突,可能导致法律适用混乱风险。从规范视角看,比例原则所权衡的客体是各方主体之间的利益状态,其所追求的规范目标是各方主体之间的利益平衡。转化到信息收集与处理的应用场景中,所谓的“目的合理”即数据处理者在数据处理过程中所追求的利益是合法且必要。合法即要求,首先数据处理者所追求的目的符合正当利益,其次数据处理给数据主体带来的风险与其可能给数据处理者或者数据主体带来的利益之间需要保持均衡。因此,“目的特定”的前提在于“目的合理”,而“目的特定”又要求“目的合理”所追求的各方利益均衡的状态保持相对稳定。根据数据处理者的性质不同,两个规范要素的关系又有些许微妙的不同。

(1)公法主体:注重“目的合理”。 如若数据收集与使用的主体为公法主体,需要首先衡量数据收集目的整体合理性。此时应当更加注重比例原则与必要性原则。例如为了在献血过程中防止艾滋病的传播,卫生部门拟使用大数据对潜在献血者的血液感染风险进行分析推测,并在此基础上识别出性生活混乱群体、男同性恋群体等可能感染艾滋病的高风险人群,并将其排斥在血液捐献群体之外。这显然并不符合比例原则的要求。使用“用户画像”确定可献血群体不仅可能导致对性活跃群体、同性恋群体的歧视,某些数据主体可能因错误分类而遭受不公待遇,其检测结果也并不可靠。对献血群体进行血液检测无疑是更加符合比例原则的做法。

又如在大数据侦察与犯罪预防的场景下,则要在目的特定的同时,更加强调比例原则的适用,即数据处理目的的“合理”。大规模监视最为主要的目的在于犯罪预防与刑事侦查,其目的自然也需要保持相当程度的确定与特定,在德国法院的相关判决中指出,“特别是基于监视电话通信行业目的(例如对国际恐怖袭击、国际范围内的武器分发、向联邦共和国运输毒品或者国外的货币伪造、情报和刑事起诉)是足够精确和明确的。观察和监视试图预先发现的危险是充分预先确定(sufficiently pre-determined)的。”由此观之,德国以刑事侦察和预防犯罪为目的的数字侦查行为,不仅要求目的足够明确,而且也要求该危险是现实且具体的,即具备风险预防的紧迫而现实的需要。例如相关犯罪行为已经发生,或者有证据证明相关犯罪行为已经具备法益侵犯的现实可能性。由此可知,“目的合理”是“目的特定”的前提和基础,即合理且必要前提下的“特定”。

(2)私法主体:注重“目的特定”。 在私法关系中,数据收集与处理关系皆产生于平等主体之间。例如,用户与大型数字网络平台,应当主要以“特定目的+兼容目的”的方式确定数据收集目的,而比例原则作补充、辅助式处理。同时,应关注意思自治在各方主体行为中的法律意义与作用。但是,在私法场景下,电影院根据用户的个性画像向用户推送相应的电影广告,以实现热门电影或者用户可能感兴趣的相关电影推送,虽然相应信息推送建议也可以通过非个性化的、且基于外部数据(例如某个特定时段内的电影票销售统计、公众电影评分等)来进行,而无须通过个性画像的方式实现。但是,若用户自己同意电影院或相关应用APP按照个性画像向其推荐影片,则应当尊重用户的意思自治,只要数据处理者足够明确地说明个性化推荐将会给用户带来的风险。又例如,在“抖音”案中,法院裁判认定,抖音平台以“满足或促进用户在抖音APP 中建立社交关系”和“商业目的”为目的收集用户通讯录信息,尽管法院认为,“为个体性商业利益处理个人信息是各种合法性基础不能容纳的情形”,但是,如若此举获得用户同意,则未尝不可。当然,私法主体为达到商业创新实践的要求,在使用数据时可能会超出初始声称的目的,但是这非绝对禁止。在变更初始目的时,虽然也需要强调合理性,但前提仍然在于初始目的的明确具体,否则也无法判定变更目的与原目的是否兼容与合理。

2.“目的特定”与“目的明确”:明确表达特定目的。 在《个人信息保护法》的语境之下,“目的特定”与“目的明确”两个规范要件目前处于混用状态,某些学者将两者作为一个原则并列提及,但正如上文所述,两者在本质上分属不同概念。目的明确(explicit)和目的特定(specified)皆脱胎自GDPR中的目的限制原则,两者表达含义并不相同。对于目的明确,首先在于核心概念的明确,即数据处理者所声称的处理目的中,其核心概念需要明确无误,并尽量减少争议性概念的使用。例如GDPR规定,在征求用户同意时,应当采用易于理解、明确平实的文字。根据上文的分析,数据处理者在履行告知义务时,需要明确告知特定应用场景、特定的数据共享方、特定分析内容和特定的风险程度。前两者在界定时可能相对容易,但是分析内容的明确和风险程度的明确似乎并不容易做到。而两者之间的关系,笔者倾向于将其视为一种指导与被指导的关系,即目的特定是目的明确的上位概念,只要一个目的是特定的,则其在很大程度上就是明确的,而一个目的如若达到明确的要求,其前提在于目的特定,并在此基础上达到用语的准确与平实。

3.“目的特定”与“处理目的直接相关”。 我国《个人信息保护法》第6条中,在规定了目的明确与目的合理之后,又要求数据处理者的数据处理行为与其目的直接相关。显然这一规范要件处于目的特定原则的下位阶。但本条“直接相关”这一规范要件应当作何解释?在笔者看来,与“处理目的直接相关”需要根据“目的特定”这一要件的规范内涵加以确定。但能够确定的是,与“处理目的直接相关”这一规范要件背后的价值取向仍然是追求数据应用创新与数据信息保护之间的平衡,在某种程度上是对“目的特定”的适当突破,类似于GDPR中的“兼容目的”,是对特定目的的适当扩张,其所表达的具体的规范意蕴,笔者将在后文详细加以介绍。

虽然“目的特定”这一要件仍存在诸多弊病,但却是“目的限制原则”实现规范落地的关键要素,其支配着整个目的限制原则的概念结构和解释方式,有纲举目张的意思。同时“目的特定”也游走于数据主体之个人信息利益保护与数据处理者之数据价值挖掘诉求之间,是协调两者关系平衡的关键支点,在整个“目的限制原则”发挥着“压舱石”与“定盘星”的作用。这一标准不能被随意舍弃。未来在《个人信息保护法》实施过程中,可以通过法律解释的方法,实现“目的特定”原则要求在一般信息处理与敏感信息处理中的一体适用。而至于其一直以来的弊病——“特定性”要件之标准缺乏,笔者试图通过学界对相关问题争议的梳理,对其规范要件加以梳理与明确。

三、“目的特定”之规范释义——基于第6条的解释论分析

(一)“目的特定”的内涵——足够的辨识度

“目的特定”内涵外延的界定,首先需要立足于数据处理目的。这似乎也是学界在讨论目的限制原则时所忽视的一个基础性命题——究竟什么是目的限制原则中的“目的”。从哲学范畴看,“目的”通常是指主体在认识客体的过程中按照自己需要和对象本身所固有的属性预先设计,并以观念形态存在于主体脑中的某种结果,它是主体的自身需要与客观对象之间内在联系的一种反映。目的是在某种动机支配下所形成的、出于对某种利益的追求(直接或者间接)而预先在观念上形成的主观预判。数据处理者不同,其进行数据处理的利益诉求也不尽相同,其目标和所欲追求的结果自然也不相同。因此,一个满足“特定性”条件的目的,必须是一个足够独特的目的。

数据处理者的信息收集目的的说明义务具体至何种程度才可以达到具备足够“辨识度”的要求,这是GDPR目的限制原则最具争议性的问题。有学者认为,数据处理目的辨识度并没有统一标准,并认为“数据处理行为造成人格权侵权的风险越大,越需要精确地说明数据处理的目的。诚然,风险控制是“目的特定”要件的主要制度功能,但是我们也不能说,只要风险在特定范围之内就实现了“目的特定”的目标,有些学者认为,只要数据处理者今后的数据利用行为没有造成新的风险,则可以将“后数据处理目的”与“前数据处理目的”视为相同目的。因为数据处理中的风险具有极强的隐蔽性与不可预测性,几乎难以实现对数据处理过程中风险程度的客观与精准的量化评级。Taeger则认为,“同意必须如此精确,以至于个人数据的类型和收集或使用的目的以及转让信息的情形下可能接收的人,都应当被充分地指定”。这些观点对我们进行“目的特定”的规范内涵界定提供重要参考。

(二) “目的特定”的规范内涵

1.应用场景特定,即数据处理和应用的场景特定。“场景”是影响数据主体之隐私合理期待的重要因素,目的特定原则饱受争议的一个重要原因在于,其对应用目的进行了“脱离应用场景的宽泛界定”,使得目的限制原则无法发挥其规范功能。处理目的之确定是风险预判的主要手段,但一旦脱离应用场景则难以对数据主体可能遭遇的风险类型和程度进行准确判定。

海伦·尼森鲍姆教授所提出的“场景完整理论”,要求个人信息的合理保护应当置于相应的场景之中进行具体审视,以免作出脱离应用场景的预判,并以信息主体在特定场景下的合理期待为标准,来衡量信息控制的合理性。应用场景的特定能够帮助数据主体了解自己的数据信息将在何种生活领域和场景下被处理和应用,并对其处理范围和处理程度形成初步的认识,以帮助数据主体初步形成自己的合理隐私期待。也因此,“应用场景特定”是“目的特定”的应然内涵。

2.分析内容特定。 这就需要确保数据分析结果的确定与可控。这也是“目的特定”的核心要求。通过分析内容特定这一要求,可以最大限度地确保数据处理过程不会超出用户合理期待,而分析内容特定的规范要求,也使得目的限制原则的规范范畴从信息收集转移到信息分析过程。具体而言,数据分析内容的特定包括两个方面的内容:

(1)分析对象特定。 分析对象的特定,即数据分析对象只能局限于被收集信息的用户或者数据主体,不得根据数据之间的关联性推测无关人员的信息。例如,数据处理者不可通过此数据主体的信息推测其家庭成员的相关情况。数据价值源自于算法对大数据的分析和挖掘,但在这一过程中,算法的分析结果也可能会超出人们的预期,数据处理者可能在综合分析数据主体个人信息的基础上,得出关于数据主体的、超出其个人客观特征的倾向性、分析性的结论。因此,数据分析过程并不可控,因为利用算法所进行的数据分析过程过于注重数据之间的微妙关联性,这种关联有可能会超出数据主体的合理期待。运动程序Strava通过分析用户特定位置发现阿富汗秘密军事基地即为例证。

(2)分析结果的特定。 分析结果的特定,即数据处理者不得推测与其所告知处理目的之外的其他数据类型,例如数据处理者告知数据主体推测其个人信贷状况,但是却过度分析至数据主体的其他数据信息,例如分析推测数据主体的性别,并将其作为作出结论的依据,则属于一种超出必要程度的分析推测,超出必要的内容分析范畴,违反了“目的特定”之原则要求,是对数据主体数据信息的不当分析与推测。

由此,平台在以“改进服务”作为信息收集目的时,需要更加详细且明确的目的说明。优化或者改进服务,是在对用户数据信息的分析与行为预测的基础上,向其提供精准媒介服务。而仅仅是“改进”“优化服务”“提供个性化服务”可能难以达到目的特定的要求,因为其无法体现出“分析结果特定”这一要求。这些目的实际上并没有基于充分的计算实践,也没有经过严格的风险评估,作为用户的我们更无法知晓数据处理者在此基础上改进何种服务、如何改进服务。笔者认为,在以个性化推荐为行为内容的目的告知中,需明确告知用户推荐系统或者搜索系统中何种功能将会得到改进。另外,平台也需要以明确、直观的方式向用户说明服务将如何得到改进,例如通过明确对比以及量化指标的方式,令用户直观感受到相关服务得到改进。

3.主体类型特定。 数据共享是克服数据孤岛、充分挖掘数据价值的有效手段,但也容易造成用户个人信息的泄露和用户信息的过度挖掘。所以“目的特定”要件中,自然应当包含主体类型的特定。具体而言,数据共享方的特定包括两个层次的内容:第一,数据使用主体特定,其包括数据收集方特定和数据共享方特定。这要求数据处理者在数据收集之前,明确告知信息收集方以及可能的共享方。这也是数据处理者与第三方共享数据的前提。一般而言,数据处理者在其数据收集目的中仅仅将数据共享方界定为“可能存在合作关系的第三方”,其并不满足目的特定的要求,故而属于非特定的目的。为满足目的特定的要求,数据处理者需要在数据收集时,就列出信息共享第三方的具体名称,及对其个人数据享有何种处理权限等事项。第二,利益相关方的特定。所谓“利益相关方”,是指数据处理者的数据处理行为究系为谁的利益。一般而言,数据处理者的数据处理行为总是存在一个特定的利益相关方,即数字平台自身。但是也存在某些特殊情况,即数据处理结果可能由多方共享,这也有可能造成数据主体之信息利益的减损。“为营销目的”是比较常见的数据处理目的,但这一数据处理目的的合法性之所以存在争议,原因在于,其未能说明数据处理究竟是为哪一方主体的利益,因此也并不满足“目的特定”的要求。

4.侵权风险特定。 “目的合理”这一规范要件要求数据处理关系各方主体之间利益与风险保持均衡状态。“分析内容特定”作为“目的特定”这一规范要件的一项内涵,在某种程度上间接地保障了数据处理者在数据分析过程中获利程度的相对确定,除此之外,“目的合理”的规范要求还包括数据处理过程中的风险状态相对确定。大数据处理与挖掘是一个动态过程,其间,数据处理者的数据挖掘行为对数据主体之隐私权益的影响程度也呈现出动态性的特征[16]。当然,大数据的分析挖掘也可能会伴随着数据分析目的之变更以及分析方法的变化,又可能导致数据处理过程中对数据主体之权益侵害风险变更。故而“目的特定”原则也要求数据处理行为对数据主体的权益侵犯风险保持相对稳定的状态。

侵权风险特定包括两个方面:第一,权益侵犯风险的类型相同,例如数据收集时可能对用户的隐私信息侵犯风险,再随后的数据处理过程中,其风险类型也应当保持不变,不得出现行为自由侵入风险、歧视风险、财产侵犯风险等其他权益侵犯的风险类型。第二,风险侵犯程度也应当保持稳定,即数据处理过程中不得因为不当处理而增加权益侵犯的风险程度,数据处理者应当根据权益侵犯之风险性大小,适时采取匿名化或者去标识化等数据保护措施,将数据处理者类型化权益的侵犯风险程度控制在特定范围之内。

四、创新与保护的平衡:“目的特定”之形式突破与实质遵守

为缓解数据价值开发与用户信息保护之间的紧张关系,规范应当允许数据处理者可以根据情况适当变更其数据处理目的,但是这种变更必须必要且适当。在判断目的变更是否超出必要范围时,欧盟主要采取目的兼容性(compatible)评估标准,其可以概括为“主观标准”+“客观标准”:在具体认定数据处理之目的变更是否超出必要限度时,以“合理隐私期待”为“主观标准”,以数据处理者的初始目的为“客观标准”,判断数据处理究竟有无超过必要限度。然而这一标准仍然存在局限:主观标准以数据处理目的是否超出用户的“合理隐私期待”为标准,[17]但是何为隐私合理期待,至今尚无定论,只是通过个案方式实现对“合理隐私期待”的初步界定。由于缺乏相对清晰的内涵,“合理隐私期待”的标准仍然缺乏确定性与指引性。笔者认为,目的之变更应是在“目的特定”前提下,因循“初始目的”脉络的合理变更,是对“目的限制原则”的有序合理突破,并借此划定目的变更之合理范围。

(一)目的特定之合理辐射

目的变更的合理范围需要符合必要性原则的要求,且应当与处理目的直接相关,但是具体应当如何落实,则需要通过解释论的路径阐明。在笔者看来,当数据处理者超出初始目的的范围或者期限处理个人数据时,应当按照以下内容项目逐一检索考察。

1.场景合理关联。 场景特定是“目的特定”的一项关键要求,数据的应用场景决定着数据主体在特定应用场景下的“合理隐私期待”。一旦数据处理行为脱离特定场景,则可能会引发后续数据处理行为的失控,也可能会影响数据主体的合理隐私期待。一个特定的应用场景包括以下社会元素:(1)应用场景之内的关系主体;(2)应用场景涉及的特定行业;(3)应用场景内主体涉及的社会关系;(4)其他与特定场景有关的社会元素。申言之,按某行业中的通常商业惯例可能需要数据处理者分析获取数据主体的其他数据信息,则可以认为符合“场景关联”的要求。例如,在某地的教育招生考试中,数据处理者通过特定的一次考试无法筛选合格申请人时,当局以筛选合格申请人为由,要求申请人提供其在之前考试中的成绩进行综合评估,此时虽然超脱初始的特定场景(申请人平时考试及其成绩),但无论是用途目的(筛选合格申请人)、还是涉及的社会关系主体(申请人、教育部门当局)皆存在紧密关联,故而也符合“场景关联”之要求,属于“目的兼容”的要求。但社会元素关联不能与初始的特定场景关联过于牵强,需要综合判断超脱应用场景的程度、通常情况下的惯例和一般合理做法。

2.“目的”逻辑相关。 第29条工作组虽然将“初始目的”与“新目的”之间“距离(distance)”作为衡量与判断前后目的之间关系的一种方式,遗憾的是,工作组没有就如何衡量目的之间的“距离”提供进一步的引导。在笔者看来,GDPR中所规定的“距离”,本质上即原始目的与现目的之间应当存在适当的逻辑关联。为防止后续的数据处理过于偏离初始目的,故而需要以初始的数据处理目的为原点,划定合适的数据处理范围。在笔者看来,数据处理的初始目的,与后续处理目的之间的逻辑关系,或为包容、或为推演、或为递进。

所谓“包容关系”,即指数据处理目的被包含于数据处理之中,其与初始目的之间是“总——分”关系,或者说,新的数据处理目的是“隐含在初始目的中”,是初始目的之“子目的”。而“推演”关系是指,初始目的与新目的之间存在“目的”与“手段”的关系,也即为实现数据处理目的,必须以另一目的之达成作为其必要手段,强调“必要”,是要求数据处理目的之变更需要符合比例原则之要求,即“目的结果”与“手段行为”需均衡。而递进关系则是指,数据处理者为了创新数据应用手段,最大限度挖掘数据价值,而在原有的数据处理目的基础上,重新拟定数据处理目的,理论上看,以此作为变更数据处理目的之理由时,超脱数据处理目的造成侵权的风险较大,此时需配合场景限制约束,注意存在递进关系的目的变更不得超出与初始目的的“场景关联”。

3.场景关联与目的相关前提下的数据共享。 数据处理者如若将其数据向初始目的所确定的第三方共享时,固然属于目的特定之范畴,但如若数据处理者将其数据向初始目的确定的第三方之外的主体共享时(笔者姑且称之为“适格的数据共享第三方”),则需严格判定其必要性与合理性。笔者认为,适格的数据共享第三方的确定,需要以特定目的中的必备要素,即“场景关联”和“目的相关”,作为判断适格数据共享第三方的重要标准。即超脱初始目的的数据共享第三方主体,首先不能超脱“初始目的”下的应用场景,其次向第三方共享数据的目的必须同初始目的存在逻辑关联。

至此,我们可以讨论《个人信息保护法》第6条中,何为“与数据处理目的直接相关”这一概念的内涵:即当数据处理者改变数据处理目的时,其新目的应当与初始目的直接相关,即新目的不能脱离初始目的之应用场景,另外,新目的与初始目的之间必须存在逻辑相关性。

(二)外部限定:以基本权利之侵犯风险为标准

“兼容目的”之范围界定需要根据数据处理者的“初始目的”为原点确定其合理辐射的范围,但是这种单向度的、停留于内容合理性的评估难以实现辐射范围的周延,因为其无法周全地实现对数据应用风险的精准评估。而将数据处理过程中的风险控制在特定范围之内是目的限制原则的核心制度功能。数据处理目的限定的外延范围,需要以数据处理中所产生的风险作为“兼容目的”之外延限定的主要标准。

1.风险可以评估。 兼容目的之外部限制的前提条件,在于该“兼容目的”本身的风险可以被评估。这也就要求,数据处理者的数据处理过程适度透明。如果数据处理者以商业秘密的形式收集个人数据,并且采用算法对个人数据进行处理,则可能会导致数据处理的风险无法预估,也就无法构成兼容目的。

2.风险类型不变。 所谓风险类型,是指数据处理者之数据处理行为对相关主体所造成的风险内容。一般而言,目的变更会伴随着数据应用风险的变化,所以在数据处理目的发生变更的场合,我们需要首先核查数据处理目的的变更是否对相关主体之具体权利内容造成新的威胁。如果数据处理目的之变更可能引致新风险,即便符合“初始目的”之合理辐射的要求,也难以将其认定为“兼容性”目的。例如,数据处理者收集和处理个人网络购物信息,仅是以“市场调研”“制定营销策略”为目的,则数据处理者仅仅面临隐私利益的风险与威胁,但若数据处理者将此类信息用于向用户提供个性化商品推荐时,则可能会侵害用户的安宁利益(例如网站持续不断地向用户推送特定类型的信息),甚至可能会受到歧视性信息推送,侵害用户平等权。如若数据处理可能导致风险类型发生变化,则无论如何也不属于兼容性目的。此时便需要重新进行个人信息保护影响评估,并对数据处理目的进行再特定化。

3.风险程度可控。 关于风险程度的要求,可能是“目的特定”标准与“目的兼容”标准的另一个观点分歧之处,目的特定标准要求数据处理的风险必须控制在特定范围之内,不仅要求风险内容同初始目的之可能风险相同,而且也要求数据处理的风险程度同初始目的大致相等。否则便是目的不兼容,需要重新对数据处理目的加以特定,有必要时,可重新进行个人信息保护影响评估。但“目的兼容”标准则仅要求数据处理的风险内容或者类型相同,而至于风险程度则无具体的要求。在笔者看来,仅仅是风险程度的变化没有必要将其排除出兼容目的,风险种类的变化在很大程度上可能引起数据主体之合理隐私期待的变化,此时数据处理者采取合理且有效地规避措施,降低数据处理过程中的风险程度,即可达到目的。当然,数据处理者在变更之后的“目的”,除了需要满足上述要求之后,作为一个新的目的,也需要满足上述“目的特定”的规范要求。[18]

五、结语

理想的“目的限制原则”,应当是处于“鼓励创新”与“信息保护”之间的、兼顾两种价值取向的衡平位置。从规范形态上看,“目的限制原则”应当是一个内容明确、层次分明、责任清晰的规范样态,但是从目前《个人信息保护法》的规定看,似乎远未达到该要求。其中,“目的限制原则”中,“特定性”要素的缺位,导致整个原则的层次性缺失,影响到规范落地。未来应当重视“目的特定”要件在整个规范体系中的功能与作用,进一步细化“目的特定”要件的规范内涵,完善《个人信息保护法》规范体系。

猜你喜欢
个人信息保护法数据处理个人信息
如何保护劳动者的个人信息?
个人信息保护进入“法时代”
认知诊断缺失数据处理方法的比较:零替换、多重插补与极大似然估计法*
ILWT-EEMD数据处理的ELM滚动轴承故障诊断
警惕个人信息泄露
个人信息的法律保护
个人信息保护法在大数据时代的适用和域外效力
个人信息保护法域外效力研究
基于希尔伯特- 黄变换的去噪法在外测数据处理中的应用
个人信息保护等6项通信行业标准征求意见