已公开的个人信息的合理使用及其缩限

2023-10-25 12:05王冉冉
现代法学 2023年4期

王冉冉

摘要:目前我國法律对已公开的个人信息的合理使用规定不够明确,已公开的个人信息合理使用的内涵与外延都存在被泛化和扩大化解释的趋势,其根本原因在于个人信息的可转让属性尚未厘清。个人信息因与原权益人的关联性而具有受限制的不可转让性,原权益人对已公开的个人信息仍然享有控制权益,已公开个人信息的合理使用范围需进行限缩解释。合理使用的判断标准应由“已公开标准”到“分离性标准”,以“二阶判断”方式确定处理行为对原权益人的利益关联效果,限缩可分离性的使用,可为合理使用边界的诠释提供逻辑基础和规范模式。

关键词:已公开的个人信息;原权益人保护;合理范围;分离性标准

中图分类号:DF523 文献标志码:A DOI:10.3969/ j. issn.1001-2397.2023.04.04

一、问题的提出

《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)第二十七条规定:“ 个人信息处理者可以在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;个人明确拒绝的除外。个人信息处理者处理已公开的个人信息,对个人权益有重大影响的,应当依照本法规定取得个人同意。”本条对已公开的个人信息合理使用的规定,①是判断处理已公开的个人信息是否构成侵权的前提。《个人信息保护法》或《中华人民共和国民法典》(以下简称《民法典》)对已公开的个人信息的规定表明,自然人不因自行公开或者其他合法公开而失去对个人信息的控制,而是仍保留明确拒绝或同意公开的权利。该规定的底层逻辑是对个人信息保护和利用的平衡,即已公开的个人信息不同于未公开的个人信息,前者具有处理的便利性仍然属于个人信息,受到相应的法律保护。问题在于,《个人信息保护法》第二十七条虽然保留了原权益人对已公开个人信息的部分控制权利,但是由于采用了“明确拒绝”“重大影响”等不具有确定性的概念,因此,给个人信息处理活动带来了某种不确定性。“在合理的范围内处理”也称为“合理使用原则”,该原则要求个人信息处理者在享有处理个人信息(数据)的权利的同时,亦负有保护数据之上承载的原权益人相应合法权益的义务。问题是“合理使用”的具体限制范围和内容应如何界定? 由于我国立法未赋予个人信息权益绝对权的属性,而是将其作为一种受一定保护的民事权益,通过社会行为控制的方式场景化地加以保护。因此,需根据涉案行为对个人信息的具体利用场景、利用方式进行判断,评估其是否存在违反法律规定的情形。《个人信息保护法》第二十七条规定的不明确性还导致司法实践中的裁判结果不一,在数据处理利益的驱动下,已公开的个人信息合理使用的范围逐渐扩张。例如,“苏州贝××案”“北京汇法××案”均是由于转载裁判文书而导致的个人信息诉讼,但是人民法院作出了截然不同的判决。

《个人信息保护法》第二十七条对个人信息法律属性的定位是否准确有待商榷。笔者认为,个人信息不同于传统物权法上的物,传统物权法上的物一旦与物权权益人分离,原权益人便失去占有、控制权能。个人信息与原权益人的关联不是通过物的占有和控制状态判断的,而是通过识别、使用的方式进行判断的。《个人信息保护法》第二十七条对个人信息处理者的限制过于宽松,对个人信息使用中原权益人受到的影响评估不足,对个人信息与主体的持续间接联系关注不足,缺乏对个人信息使用中主体权益的跟踪保护,使得个人信息侵权行为有乘机利用合理使用条款“规避法律限制”的可能,并阻碍受害人获得救济。因此,应当对《个人信息保护法》第二十七条“合理使用”的范围等进行缩限性解释,以消除主体间利益失衡。

二、已公开的个人信息合理使用扩大化解释的背景与成因

目前,已公开的个人信息合理使用范围的泛化主要是由于,虽然我国《个人信息保护法》第二十七条规定了已公开的个人信息合理使用以“重大影响”“明确拒绝”等作为判断依据,但是,由于“重大影响”的模糊性和“明确拒绝”实现的困境,实践中合理使用判断标准实质上是采用“已公开标准”。“已公开标准”导致了已公开的个人信息合理使用范围的扩大。

(一)“已公开标准”遗漏了处理阶段的原权益人权利保护问题

个人信息和传统物权意义上的物或其他商品不同,个人信息在被收集之后仍然可能与原权益人关联,如,消费清单包含了个人信息的数据。目前,司法理论和实务界也已经关注到这一类数据。

但是大部分研究还尚未注意到,即便是处理已经公开的个人信息,仍有影响甚至是侵害到原信息主体权益的可能。例如,在“Clearview AI 案”中,Clearview AI 公司通过从公共来源(主要是社交平台)收集面部图像,并将图像数字化为可算法分析的数据,提供给一系列商业客户和执法部门。再如2021 年,根据《伊利诺伊州生物识别信息隐私法案》(Biomertric Information Priracy Act, BIPA)作出的裁判,使脸书公司就其使用面部识别技术支付了6. 5 亿美元并达成和解协议,随后删除了超过10 亿个用户的面部模型,这再次引发了人们对面部处理技术(Face Processing Technology, FPT)的关注。当信息被算法分析之后,用户的行为和人格将面临被描述的风险。例如,实践中存在的“大数据杀熟”“人格画像”“广告精准推送”以及犯罪行为监控等分析风险。而对此种情境下的精准分析,用户并不知情,亦无条件同意。

数字社会中,个人信息的利益关联性应指算法意义上的关联,由于算法是动态、间接、变化的,因此,使用关联标准更加符合这一特性。“已公开标准”仅关注原始的个人信息控制状态,不注重具体应用中的利益关涉情况,不能够有效跟踪信息收集后处理者的义务履行,因而也不能有效判断处理者行为是否违反合理使用原则。

(二)“已公开标准”导致处理行为的违法性认定难题

根据《个人信息保护法》第二十七条对已公开个人信息合理使用的规定,处理行为的合法与否主要取决于合理与否,在实践中难以达成一致。例如,“转载”行为是否超出了“合理使用”的范围,是否具有行为违法性。在“北京汇法××案”中,根据梁某提交的公证书,通过搜索梁某或代理人姓名,可在汇法××公司的网站中找到涉案文书,但汇法××公司展示的信息内容与裁判文书公开信息一致,并未对该信息进行篡改等不当处理,亦未以收集自然人征信、窥探个人隐私等目的进行数据匹配和信息处理。一审人民法院认为,商业化利用与否和利用行为的正当与否并无必然联系,即商业化利用并不意味着该利用行为就属于不正当行为,反之亦然。二审人民法院认为,判断处理行为不当的要素:“通常情况下,考察转载者转载国家机关依职权制作的文书的行为是否侵害他人人身权益,可以着重考虑以下几个因素:一、转载者发布的信息与发布机关发布的信息在内容上是否存在不符;二、转载者在转载过程中是否不当添加了侮辱性、诽谤性标题或其他内容信息;三、转载者是否以增删、改变顺序等方式对来源信息进行了结构调整,并因此致人误解;四、相关来源性信息在转载时是否为有效信息等。”在“苏州贝××案”中,一审人民法院认为,按照人民法院的裁判理由,以营利为目的超出了《个人信息保护法》第二十七条的合理使用的范围,需要经过信息主体的同意,否则构成个人信息侵权。不同于一审人民法院,二审人民法院认为,涉案文书已在互联网上合法公开,贝××公司基于公开的渠道收集后在其合法经营范围内向客户提供、公开相关法律文书,属于对已合法公开信息的合理使用。虽然贝××公司转载并再次公开裁判文书及公告文书具有吸引潜在客户加入其注册会员的意图,具有实质盈利的目的,但盈利并不等同于谋取非法利益,也不属《中华人民共和国民法总则》(已失效)第一百一十一条规定的非法使用、提供或公开他人个人信息的行为,故贝××公司最初转载并公开的行为,应认定为并不构成侵权。中国裁判文书网和人民法院公告网登载涉伊某的裁判文书和公告文书,系基于司法解释的强行性规定,伊某对此负有容忍之义务。贝××公司转载并公开涉伊某等主体的法律文书,系基于法律文书已被中国裁判文书网和人民法院公告网合法公开,且就法律文书内容而言并不能判别是否涉及自然人值得保护的重大利益,故不违法。由以上两个典型案例的人民法院裁判理由可以看出,对“已公开标准”的宽泛性规定导致了司法实践中对个人信息处理行为的违法性认定困境。

(三)“已公開标准”导致基础信息类型划分不合理

已公开标准将个人信息区分为已公开的个人信息和未公开的个人信息,在此基础上,对已公开的个人信息采取有侧重的保护,对未公开的个人信息采取较全面的保护。实质上,这种区分方式会导致法益保护的不合理结果。首先,未公开的个人信息可能与信息主体不发生利益关联,从而需要促进流通利用。其次,公开的个人信息可能仍然与主体具有利益关联,从而需要法律提供较为全面的保护。可分性的初始阈值条件是事物是否与人有特定的联系。可分离事物的使用方式可能会影响某个特定的主体,但这种影响不是必然性的。例如,头发样本包含一个人的遗传信息可能会被用于一件抽象艺术品,而不一定会影响到信息主体。比较而言,提取某人在社交平台上公开的头像、家庭住址等信息,进行人格画像、行为预测、行为干预等处理行为则会直接侵犯个人信息权益。也就是说,即使事物与主体有特定的联系,一些使用是可分离的,因为使用目的的实现并不依赖于主体与事物的联系。公开界限不明确造成了某些类型的信息(如IP 地址等群体信息)保护条件适用的模糊性。在美国,许多有线电视公司证明IP 地址不是个人数据,例如“Klimas 诉Comcast 电缆通信公司”案。而在欧洲,IP 地址几乎被普遍认为是个人数据。

三、“分离性标准”对已公开的个人信息合理使用的缩限功能及证成

处理行为最终通过关联方式对个人信息主体产生影响,“已公开标准”并不能包含完整的关联性。由于已合法收集、已公开的个人信息仍具有利益关涉,法条的限制性规定也难以周全保护原权益人,因此,合理范围的判断不应当采用“已公开标准”,而应采取“处理行为效果标准”,判断的重心应由控制状态判断向使用方式判断转移。

不可分离的使用导致信息宿主权益受到影响,这些效果对信息权主体来说是特定的,因为信息总以某种方式与主体发生联系。换句话说,信息的使用会影响信息主体。如果使用方式依赖于与主体联接的特定效果,那么,这些使用就是不可分离的。笔者主张,分离性标准应立基于信息权益影响的法律事实,将信息处理行为分为两类:可分离使用类和不可分离使用类。不可分离的使用可能会违反处理者的合法义务从而间接损害到信息主体的权利。因此,在此种使用方式中,应赋予信息主体一定的控制权,即便信息处于已公开状态。特别针对与人格尊严密不可分的处理情形,不可分割的使用与相关规范价值联系在一起,如根据义务道德理论,主体应具有控制与人有必然联系的事物的能力。

(一)“分离性标准”契合个人信息有限的不可转让属性

个人信息具有人格和财产双重法律属性。个人信息的财产属性体现为对信息的控制,而非对自然人主体的控制。

个人信息的财产属性发展出的数据产权制度和公开权制度具有某种理论缺陷和现实消极影响。其根本原因在于,错误地忽视了个人信息之上的人格利益,否定了个人信息与信息个人主体的内在关联性,绝对化地对待个人信息的可转让性。例如,个人信息产权制度的不足在于切断了个人对个人信息的持续控制,这会削弱主体控制,加强企业的控制。分离性理论能够解决公开权等制度依赖带来的不利后果,形成对不受限制的可转让性的约束。可分离性为财产法中可转让性限制的范围和内容的确定提供了重要的依据,为对公开权可转让性的限制提供了理论支撑。目前,美国学者已经开始反思公开权不受限制的可转让性,认为公开权原则上是不可转让的,因为形象与自然人主体有着内在联系。“可分离性标准”确定了与自然人主体更密切的关联,因此,证明了对可转让性给予某些限制是合理的。

“分离性标准”可以从描述性和规范性意义上重塑传统的信息控制属性理论。否定已公开个人信息处理中的主体与信息的联系性(即承认不受限制的可转让性)有违反义务道德哲学基本原则的风险。义务道德哲学基本原则要求,人不能仅仅作为手段。不受限制的可转让性最终会导致使用的对象是人(自然人主体),而不是物(个人信息),因此应受到一定程度的限制。又由于不同的用途与人的联系程度不同,对可转让性的限制应侧重于不可分离的使用,而不是对可转让性的更普遍地限制。这种方法允许信息法规保留可转让性的利益,同时规避不受限制的可转让性潜在的规范性陷阱。综上所述,“可分离性标准”契合个人信息受限制的不可转让性属性,能够更好地平衡个人信息利用和保护之间的微妙关系。

(二)“分离性标准”使基础信息分类标准合理化

分离性标准经历了一个发展过程。呈现为从纯粹物理分离标准———偶然分离标准———使用分离标准的样态。对权益关联的理解,集中在识别和处理上,这样,更加契合分离性标准背后的价值理念。在哲学上,对于分离性标准的基础———可分性早就有过讨论。早期对可分性的解释如康德(Immanuel Kant)和雷丁(Margaret Jne Radin)提供的解释,尽管有一定说服力,但忽略了非物质联系的重要性。这就不恰当地把控制权益限制在具有物理联系的事物上。彭纳(J. E. Penner)对可分性提供了一个更好的解释。彭纳的观点是,可分性主要是关于一个人是否只是偶然地与某事物联系在一起,间接地承认了将人与事物联系在一起的各种物质和非物质的条件。然而,该理论并未能解释可分离性的规范是应用于事物的使用方式,而不是单纯地用于识别事实。特殊化效果的概念和仅作为手段使用的条件都遵循了人(或与人相关的事物)必须是“使用所必需的”这一理念。不可分离的使用利用特定的联系对主体产生特定的影响。这种特殊类别的使用完全是主体与特定事物的联系的结果,而且,判断一些使用是如何利用这种联系从而对主体产生影响的,核心是这些用途与主体密切相关。因此,即使该物已转让,该主体也应有权控制或禁止这些用途。这标志着对目前学术的改进,因为它认识到主体的人格利益与使用有关,而不仅仅是联系(是否公开)的存在。

个人数据在信息经济中的部分处理行为会对数据主体产生特殊的影响,并且是不可分割的。例如,使用个人数据(通常是行为数据),如浏览器历史记录、缓存文件(Cookies)等创建个性化的档案,广告商使用这些档案向特定人群发送消息。在这种场景下,信息主体接收到的信息以及对其产生的相应影响,都是利用个人数据来预测其主观偏好的特定效果。再如,美国奈飞公司(Netflix 简称:网飞)使用推荐算法处理用户在平台上的活动数据,以预测他们的偏好。根据这些预测,网飞向用户推荐特定的节目或电影,试图符合他们的喜好。从根本上来说,个人信息的几种常见处理行为是与信息主体权益不可分离的。特别是,当个人信息被用于挑选特定的主体进行某些行动时,如营销或其他决策,包括警方侦查和信誉审查,这些处理行为均可能违反基本的道义价值标准。更进一步地说,这些处理行为有可能将人仅仅作为达到目的的手段,并损害人的固有尊严。因此,应根据“分离性标准”将个人信息区分为可分离的处理和不可分离的处理,在此基础上,信息管理政策应该为人们提供控制不可分离的处理行为的法律机制。

(三)“分离性标准”有助于解决处理行为合法性认定难题

“分离性标准”契合个人信息权益保护价值,为处理行为合法性认定难题的解决提供有益思路。分离性是事物如何被使用的评判,而不是事物的固有特性。相比之下,先前的已公开标准几乎只关注主体与事物的联系。从概念上和规范上来说,只注重联系是不可取的。分离性的描述通过两层关系界定主体的尊严和利益。首先,事物即使在物理上转移后,仍然与人保持联系。例如,个人信息、创造性的作品等。当处理者持有、处理这一事物时,就能间接或直接地影响主体权益。第二,通过使用与信息主体相关联的事物,就有可能把信息主体仅仅当作达到目的的手段,从而损害其固有的人格尊严。控制人身的权利和不被仅仅用作手段的权利是宪法和民法追求的基本价值,涵摄到个人信息保护法的具体规定,分离性标准据此可从事实和法律两个层面综合判断处理行为的合法性。

欧盟《一般数据保护条例》(General Data Protection Regulation, GDPR)第89(1)(2)条规定:研究人员可以在未经数据主体同意的情况下,出于科学目的使用和处理个人数据。也即,GDPR 将科学研究作为使用个人数据需要数据主体同意的一般要求的例外情况。根据GDPR 第5(1)条规定可知,虽然GDPR 出于研究目的限制个人对个人数据的控制,但它遵循的隐私控制理论在很大程度上将个人数据视为数据主体的财产权,并允许个人控制其个人数据的几乎所有二次使用。在美国,这种隐私模式有许多支持者。例如,《公平信息实务原则》(Fair Information Practive Principles, FIPPs)要求在将个人数据转移或用于最初未收集的条件下目的之前,必须得到数据主体的同意。虽然GDPR 没有诉诸可分离性作为这一例外的规范理由,但对可分离用途的研究会得出相同的结论。此外,根据GDPR 序言第162 条,GDPR 还限制了出于研究目的获得的个人数据以不可分割的方式被使用。GDPR 没有提到可分离性,但为研究处理数据的豁免规定是有限的,因为数据不能用于“支持有关任何特定个人的措施或决定”。GDPR 并没有诉诸不可分离性,而是将这种用途定义为:针对特定人群的“措施或决定”从其个人数据的研究豁免中划分出了不可分离的用途。

(四)“分离性标准”有益于实现已公开的个人信息的利益平衡

对于已公开的个人信息的使用规范的建构,有绝对控制理论和公共资源共享理论两种观点。例如,有学者提出绝对控制理论,斯沃茨(Paul Schwartz)提出了一种数据治理模式,其中数据主体将保留阻止个人信息的二次传输或使用的权利。斯沃茨的提案没有评估使用对数据主体的潜在影响,而是建议所有二次使用都需要获得数据所涉及的人的同意。此外,还有学者认为,与不可让与性条款相结合的控制模式为信息隐私立法提供了一种可能的途径。但是,绝对控制理论不符合个人信息的存在状态和法律属性,在实践中难以实行。

有学者从“目的限制”的角度为解决知情同意僵化的问题提供了有益的思路。认为虽然最终《个人信息保护法》并未采用《个人信息保护法(草案二次审议稿)》第二十八条关于目的限制的规定,但是在解释《个人信息保护法》第二十七条时仍然可以运用这一规定。虽然该观点为《个人信息保护法》第二十七条的适用提供了重要的解释路径,但是仍存在以下不足:其一,公开用途或目的限制标准与二十七条的规定范围不一致,二十七条适用于所有已经自行公开或合法公开的个人信息,并未考虑公开的目的。其二,公开用途在实践中难以确定和证明。其三,公开用途不明确时,仍然需要确定处理边界的标准。实际上,对已公开的个人信息的潜在处理方式很难事先诊断,已公开的个人信息的不同用途产生不同的利害关系,并且部分利害关系可以影响到原信息主体。因此,目的限制難以达到一般义务(如侵权法规定的义务)的法律效果。基因信息是最典型的例子,例如,肾脏移植手术,会产生哪些信息利用场景,又有哪些场景会影响到原信息个人主体? 例如,提取被移植的肾脏进行基因检测和分析,以及利用肾脏健康情况对原信息主体的健康进行鉴定,从而影响健康保险的保价是否影响到原权益人信息权益等。总之,使用限制≠目的限制,这种考察路径从“控制”的角度对《个人信息保护法》第二十七条进行解释,虽然逻辑较为周延,但是受到个人信息固有的客体属性以及算法复杂性的限制,实践中难以发挥效用。此外,还可能在一定程度上压缩已公开的个人信息的合理使用空间。

还有学者以“一般可访问性标准”为核心建构已公开个人信息利益平衡机制。该路径关注信息的客观开放程度,相对客观、明确并且具有一定的可操作性。但是,该路径强调上游信息公开标准的建构,忽略了下游信息处理行为才是已公开个人信息处理规则的最终落脚点。本文认为,利益关涉才是“控制”权益的法理基础,应从“使用”视角对《个人信息保护法》第二十七条的规定进行逆推解释,补足对已公开个人信息“控制”权益的规范基础。

可分离性提供了一种机制,用于确定数据主体何时应该能够控制对其信息的使用,以及何时应该拥有较弱的控制权。对个人数据的使用限制应侧重于约束不可分离的使用。“分离性标准”有助于缓解知情同意僵局,促进已公开个人信息有效流通。同时“分离性标准”能够为信息主体权益归属提供规范基础,平衡已公开个人信息之上承载的各方主体利益。

四、“分离性标准”对已公开的个人信息合理使用限缩功能的实现

分离性使用判断依托于“分离性标准”,即通过考量已公开的个人信息是否具有主体关联性及处理行为是否产生特定法律效果,来界定、限缩处理已公开的个人信息的合理范围。根据这一判断依据,一方面,匿名化数据的使用并不涉及可分离性所保护的数据价值。这是因为,在匿名化的过程中,人与信息的联系被切断了;另一方面,若个人信息的某些用途可以通过与信息主体的必然联系影响到信息主体,那么,这种处理行为就应被认定为不可分离的处理。

“分离性标准”的限缩功能具体实现路径包括遵循透明原则、确立影响评估标准以及通过个人信息权的有效行使限制已公开个人信息的使用范围。

(一)“分离性标准”的二阶判断

当已公开的个人信息具备主体关联性,且对已公开的个人信息的处理行为与信息主体产生特定的联系,以影响信息主体权益的方式,产生了特定效果时,即可认定为个人信息与主体不可分离,此时已公开的个人信息的合理使用范围需要限缩,受到个人信息权的约束。

1. 已公开的个人信息具有主体关联性

第一,是否已公开的判断标准。首先,公开仅限于自行公开和合法公开的情形,排除非法公开的情形。根据《民法典》第一千零三十六条第二款和《个人信息保护法》第二十七条①的规定,公开的范围不适用于非法公开的情形,据此,非法泄露的个人信息,即使处于已经公开的状态,对其非法处理仍然需要承担侵权责任。其次,公开包含自行公开和合法公开两类情形,合法公开包括:依据行政行为公开的个人信息,典型的如公司董事、监事、高级管理人员的个人信息披露;依据司法行为公开的个人信息,典型的如判决文书中的原告、被告的个人信息;取得个人单独同意后公开的个人信息,如荣誉评选活动中公示的个人信息等。已公开的判断标准是个人信息是否具有公开性,公开性即个人信息被公之于众,不特定的人可以通过合法的途径而获悉。第二,主体关联性的判断标准。“分离性标准”的评价对象是可识别信息主体的个人信息,不包含去标识化、匿名化信息。根据《个人信息保护法》第七十三条第四项的规定,“匿名化”强调无法识别性且不可复原性。根据《个人信息保护法》第七十三条第三项的规定,“去标识化”强调无法直接识别的特性。匿名化的已公开的个人信息和去识别化的已公开的个人信息均与主体没有直接关联。但有学者认为,即使去识别的个人信息仍然具有主体关联性。例如,裁判文书即便隐去当事人姓名等信息,熟悉的群体仍然可以通过其他信息识别到特定的主体。因此,去识别化应是动态的判断过程,判断时间节点应是识别到主体时。并且,这也并不意味着对于匿名化和去识别化的个人信息来说,所有的监管在规范上都是无意义的,也不意味着原信息个人主体没有任何合法权利质疑已公开的去识别化个人信息的使用。这种判断方法仅仅表明,不确定的个人信息以及与个人没有持续联系的个人信息不适用分离性标准。

2. 处理已公开的个人信息的行为产生特定法律效果

当对已公开的个人信息的处理行为与信息主体产生特定的联系,以影响信息主体权益的方式,产生了特定效果时,这种处理行为就应当被认定为不可分离的处理,其使用的合理范围受到个人信息权的约束。“关联”是影响个人信息权益的重要因素,关联的定义特征是人和事物之间的联系在事物转移后仍然存在。也就是说,即使事物被转移,仍然与人有联系。因此,具有特定联系的物品虽然可以转让,但是具有特定联系的使用利益不能转让。目前,我国对已公开的个人信息合理范围的规定的不足便在于仅仅关注“关联”的因素,而忽视了“使用”的因素。即仅仅关注信息是否已公开,对于已公开的个人信息的使用规定模糊和宽泛。也有学者认为,已公开个人信息应等同于公共资源对待。目前仅以是否公开作为个人信息权益影响判断标准会导致合理使用范围过于宽泛,因此,需要补足“特定效果”标准。

在承认特殊联系规范意义上的法律体系中最具代表性的是知识产权领域。例如,黑格尔的知识产权理论(通常被称为“人格理论”),为检验人与物之间存在的联系提供了强有力的规范基础。”除了黑格尔式的人格联系,还可以通过转移后继续存在的某种属性关系,证成与事物有特殊的联系。例如,当根据艺术作品对主体做出判断时,归因关系就存在了。通过巴勃罗·毕加索(Pablo Picasso)的画作《格尔尼卡》这幅作品可以对毕加索的艺术技能作出判断。信息主体和个人信息之间的语义关联也不会因其他处理者控制信息而耗尽。无论是我国《个人信息保护法》还是欧盟GDPR 第4(1)条对个人信息(数据)的定义,都暗含着个人信息(数据)是描述特定主体的法律概念。此外,根据GDPR 第4(20)条“个人数据的转移或一系列转移”,数据和特定的人之间的联系在数据本身的传输中仍然存在。实质上,个人信息与传统物的根本区别是,个人信息只有在关联到个人主体时才具有法律意义,而已公开标准并不能完全包含关联性。举例说,人们通常与事物有生物学上的联系,就像信息主体转移包含其遗传信息的生物材料一样。因为与其他类型的特殊关联一样,生物材料捐赠包括捐赠者的遗传信息,即使生物材料与主体发生分离,人与其生物材料之间的遗传联系仍然可以保持完整性。也就是说,即使生物材料在被移除或被植入新人体内后,肾脏、血液和生殖组织都包含捐献者的遗传信息。

在个人信息被转化之后,具体使用中只有一些用途依赖于将人与物联系起来的特殊关系。从规范上讲,主體有控制这些用途的倾向,因为这些事物牵涉到主体的重要利益。因此,关于可分离性的详细的、规范的概念必然要对联系和使用进行二阶分析。问题是如何将不可分离性关联的利益纳入更广泛的法律体系。道德哲学遇到了法律实施的问题,因为仅仅主体对控制不可分割的使用有主观意志,并不一定意味着法律制度就应该提供具有法律意义的控制机制。在通常情况下,其他利益(如公共利益)与可分性所认定的纯私人利益容易发生冲突。在大部分情况下,纯粹的私人利益应该让位于公共利益。然而,这种公私利益平衡问题并不是不可分离性所独有的。法律体系通常会处理私人利益与公共利益的问题。司法判决、监管往往以平衡不同利益需求为前提。并且,这种利益平衡在个人信息保护法、人格权法中尤为常见。例如,新闻价值抗辩作为公开披露侵权诉讼的抗辩理由,是基于信息服务于重要的公共利益有关,因而相对于私人利益具有优先性。然而,新闻价值并不足以单独作为公开披露侵权的辩护理由。④ 在这一平衡当中,个人希望将有关自己的信息置于公众监督之外;相反,公众通常希望访问这些信息,尤其是当它涉及公众关注的问题时。因此,需要采取配套措施辅助分离性标准的具体适用。

(二)“分离性标准”限缩功能的实现路径

1. 遵循透明原则

对于已公开的个人信息的使用而言,透明度意味着处理者需披露收集后的具体处理目的,以便原信息主体可以了解其信息的使用过程,并可以决定这些目的是否为其所接受,概言之,“若规则不透明,则同意无效果”。实践中,为了有效平衡个人权利和商业利益和公共安全要求,政府机构和商业组织显然应该公开信息技术及使用方式,例如,是否会进行自动化算法决策(AlgorithmicAutomated Decision-Making)或半自动化算法决策(Hybrid Algorithmic Automated Decision-Making),就信息使用意向向公众发出含有透明度标准的通知,并允许公众提出意见。透明度是公平原则的一部分,能够在一定程度上消解已公开的个人信息保护中,信息主体和处理者地位不平等的困境。透明度要求是已公开个人信息主体行使查阅权、复制权的关键法律支撑,同时也是保障信息主体及时、合理行使拒绝权、删除权等的前提条件。

2. 确立影响评估标准

影响评估标准主要是指算法评估标准。算法评估作为影响个人信息权益的底层架构,算法评估的构建有助于透明原则的实现和有效预测个人信息权益的侵害风险。2018 年美国纽约《算法问责法》首创了自动化决策的影响评估制度。随后美国联邦又出台了《算法问责法案》。2020 年欧盟《人工智能白皮书》针对算法、人工智能的应用提出了清晰的影响评估标准。美国的影响评估体系是以技术架构、影响维度和算法问责制为核心进行建构的框架式治理体系。我国《新一代人工智能治理原则———发展负责任的人工智能》提出了8 项重要原则,为我国算法评估的构建方案指明了方向。目前,已有学者提出我国算法影响评估的建构方案,倡导“以公共事业场景为先导,结合风险等级确定优先适用的核心领域。根据核心目标、技术架构和影响维度结合已识别关键领域确定优先和重点评估的关键系统类型”。总体而言,我国当前对算法影响评估的理论研究不足,需要进一步根据《个人信息保护法》《中华人民共和国数据安全法》等相关法律法规,构建契合我国数据发展背景的算法评估体系。

3. 个人信息权的有效行使

已公开个人信息主体仍然享有控制权益,具体表现为《个人信息保护法》第四章规定的个人在个人信息处理活动中的权利,具体如:知情权、决定权、查阅复制权、解释说明权、更正补充权、删除权等。

第一,单独同意规则的有效行使依赖于其权利的完整性,即“知情-同意”权。此种拆解模式强调信息被处理时信息主体知情的重要性。从权利法视角表现为信息主体的知情权,从行为法视角表现为处理者的告知义务。知情同意权完整形态包含主观性要求和客观性要求,“主观性”的要求则将考察信息主体对生物特征信息的合理期望,而“客观性”的要求则将考察社会是否愿意接受个人对生物特征信息的分析期望是合理的。“知情权意味着信息主体有权了解、知悉对其个人信息处理的相关事项,其包括积极知情权和消极知情权:前者意味着信息主体有权主动要求信息处理者告知其信息处理事项的权利;后者则是信息处理者有义务向信息主体告知相关事项。”

第二,查阅复制权是访问秩序中的重要一环,查阅复制权有利于贯彻公开透明原则,保障个人对个人信息的处理决定权。所谓查阅,就是指(把书刊、文件等)找出来阅读有关的部分。所谓复制,就是要求个人信息处理者为个人提供所要求的复制的其个人信息的副本,此种副本的形式应当是书面形式的,包括纸介质的或者电子介质的。在已被收集的个人信息中,信息主体可依据查阅复制权,向处理者请求其个人信息的相关具体处理事项。具体而言,可借鉴欧盟《一般数据保护条例》(GDPR)第15 条规定的“数据主体的访问权(Right of Access by the Data Subject)”的具体规则。

第三,拒绝权和删除权是对“超出合理范围处理已公开个人信息”的重要补救性权利,也是“分离性标准”实现限缩功能的重要路径。例如,根据《个人信息保护法》第二十四条第三款、第四十四条的规定,处理者对已公开生物特征信息主体进行自动化决策时,信息主体享有拒绝权。信息主体行使拒绝权会导致决定效力失效,当满足“违反法律、行政法规或者违反约定处理个人信息”的条件时,处理者负有主动删除义务,信息主体也可以要求处理者删除个人信息。“删除权的目的是保证个人信息的自决和完整”,违反法律、行政法规或者主体间的约定处理个人信息的,属于非法处理行为,个人有权请求删除,处理者负有删除义务,同时还应承担非法处理个人信息的责任。处理者拒绝删除的,信息主体可根据具体损害情况,依据《个人信息保护法》第四十七条、第六十九条请求侵权损害赔偿,或依据《民法典》第九百九十七条向人民法院申请发出人格权禁令。

五、结语

信息主體对已公开的个人信息的控制范围由控制机制决定,而控制机制的关键在于人与“物”的联系性。问题在于,无论是现行法中已公开个人信息的适用规范,还是支持确权的理论构想,都忽略了个人信息与自然人主体的联系性,这将导致概念和规范效果的瑕疵。本文认为,应当承认个人信息与自然人主体的联系性,使“分离性标准”成为控制制度的主要规范,为个人信息的流通利用设置缓冲地带。目前采用的原始分离、物理分离观点已经无法适应算法技术的多样性变化,应采用使用分离、语义分离标准,即应由注重主体公开行为转到注重处理行为效果。分离性标准能够契合立法者的规范性考量,为个人信息和非个人信息的区分提供参考,为信息主体对已公开的个人信息的控制权提供法理依据。“分离性标准”提供了规范性基础,用于将使用限制附加到重新标识的数据,同时对去标识数据的使用放松限制,在控制和共享之间,建立二阶判断标准,为法律适用提供更好的识别利害关系的视角;进而通过放宽收集阶段条件、限缩使用阶段条件、激励处理行为、保护自然人权益,为个人信息权益保护提供规范性基础。

本文责任编辑:林士平

青年学术编辑:孙 莹