论个人信息的“生前保护”

刘康辉

(武汉大学网络治理研究院 武汉 430072)

1 问题的提出

依照《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)第4条第1款对个人信息的定义:“个人信息是以电子或者其他方式记录的……各种信息”.从中不难看出,记录是个人信息的生成方式,也是其构成要素,未经记录的与已识别或者可识别的自然人有关的各种信息并不构成个人信息,其先于个人信息而存在,经由“记录”这一生成方式之后,方能成为我国《个人信息保护法》所保护的个人信息,此即本文所称个人信息的“生前”形态.然而,《个人信息保护法》不仅未在对“个人信息”的定义处将此等“生前形态”包含在保护的客体之内,而且在“个人信息的处理”之定义中,也没有就个人信息的生成(“记录”)作出特别的保护规定.

通说认为,由于个人信息处理的每个环节都存在侵害自然人民事权益的风险[1]12-13,为了最大化保护信息主体的个人信息权益,我国《个人信息保护法》没有将对“个人信息处理活动”的规制范围局限于“以识别分析为目的”的特定处理行为[2],而是涵盖从个人信息的收集到最终删除的全生命周期的各个环节[3].概括式的界定增加了概念本身的弹性[4],个人信息全生命周期中的其他处理环节即使未在本条列明,仍应被视为个人信息处理行为[5].然而,全“生命”周期保护之表达固然意在扩大个人信息的保护范围,但是与此同时也不可避免地形成了对个人信息保护范围的限定,从反面推断出:在个人信息没有“生命”的时候,是不受《个人信息保护法》保护的,而此种“没有生命”的状态也当然地包含“正在生成的过程”.

从历史解释的角度来看,在《个人信息保护法》的审议过程中,一些委员、代表和专家提出应当增加对个人信息处理活动的列举,如增加“记录”“删除”“检索”等,但最终只增加了“删除”这一类处理活动,而没有增加“记录”.虽然有学者解释道:个人信息处理活动的类型很多,对于不是特别典型和重要的处理活动,可以用“等”字涵盖[1]70.然而,任何一条个人信息都要经过“记录”这一生成过程,该处理活动难谓不典型,难谓不重要.而且其仅仅是学者观点,无法影响到历史解释的认定过程;另一方面,就“记录”而言,也难以通过对“等”字进行文义解释的方式引出.“个人信息的处理”定位于个人信息处理者的主体视角,而并非以作为客体的个人信息为视角,由于语义逻辑上应当先存在个人信息,而后才有对其的处理,即便是对“等”字作再大的扩张解释,由于生命周期的限制以及定位视角的原因,始终难以涵盖个人信息的生成环节.最后,记录也无法为“收集”所涵盖.《信息安全技术个人信息安全规范》明确指出,收集是获得个人信息的控制权的行为,离线导航中的位置信息如果不回传软件提供者则不构成收集.收集不过是个人信息在不同主体间的流转,而生成则关乎个人信息从无到有的过程.

2 问题成因:个人信息有体性使然

2.1 比较法上个人信息及其处理的组合方式

欧盟最早在1995年通过的《欧盟个人数据保护指令》中,将个人数据定义为“与已识别或可识别的自然人有关的任何信息”,其中并未强调信息的载体形式.该指令后来由2016年4月通过的《通用数据保护条例》(“GDPR”)所取代,新的条例对于个人数据同样没有限定其须以何种方式存在进而载体化.相反,其将原本指令中个人数据处理中的“录制”置换成了“记录”,显然是扩大了个人数据生成方式的范围.由此,欧盟所采取的组合方式是对于个人信息不作形式上的要求,所称的个人信息是一种抽象的观念表达,然后将对个人信息的记录归入个人信息的处理活动,其虽然在法案标题使用“data”一词,但是就其内涵而言,更加符合“information”的定义,并且在对个人信息的定义处也采用的是“any information”的表达.就二者的区分而言,信息是数据的内容,数据是信息的形式[1]74.由此便实现了《通用数据保护条例》对个人信息不仅全生命周期而且完全的保护,个人信息不存在“生前生后”的问题.

美国《加州消费者隐私法案》(CCPA)将个人信息定义为“直接或间接地识别、关联、描述,或能够合理地联系到一个特定的消费者或家庭的信息”.一方面并未对个人信息作出形式上的要求;另一方面,它还通过列举的方式,明确地将“网络活动信息:浏览历史、搜索历史……”等具有数字化特征的信息归入个人信息的范畴.关于个人信息的处理,定义为对个人信息或多组个人信息进行的任何操作,无论是否以自动化的方式.虽然没有明确地指出记录这一操作行为,但是“任何操作”的用语显然是将“记录”包括其中的.

日本《个人信息保护法》虽然在个人信息定义条款中强调了“记载或记录的”这一形式要件[6],但是却并没有将此作为判别个人信息的唯一构成路径,与之并列的还包含“或者以声音、动作或其他方式所表示的所有事项”之表达,由此不能说日本的个人信息必须经由“记录或者记载”,只要是能够表示出来的,在满足识别要件后均可成为个人信息.“表示”相较于“记录或者记载”有更为广阔的语义内涵,所有的信息均是可以表示出来的,由此日本对于个人信息的定义,并没有形式上的限制.

英国、韩国、新加坡、德国、俄罗斯、巴西、印度等国家对于个人信息的定义中,亦没有出现个人信息必须载体化或者形式化的要求[3]18-19,其所保护的对象也都是定位于作为内容层面的信息,而不是聚焦于其外在表示形式的数据.对于这些国家而言,个人信息的出生始于其具有识别性,某些个人信息可能在未被人们发觉之时便早已生成,所称的“生前”几乎不存在适用空间,也难谓在此期间对个人信息进行特别保护的问题.

2.2 个人信息有体性造就“生前保护”问题

我国无论是在最早的《全国人民代表大会常务委员会关于加强网络信息保护的决定》中将个人信息局限于“电子信息”,还是在后续的《中华人民共和国网络安全法》《中华人民共和国民法典》直至《个人信息保护法》中,扩充“电子信息”的范围为“以电子或者其他方式记录的”,始终贯穿着对个人信息“载体化”的要求,由此可以看出我国不保护处于内容层面观念上的信息,而聚焦于客观载体化的个人数据.个人信息必须以电子或者其他方式记录下来,没有以一定载体记录的信息不能认定为个人信息[7].《个人信息保护法》不规制纯粹的“信息”无可厚非,毕竟,唯有载体化的事物方能借助其外在形式大范围传播,进而构成对信息主体人身或者财产上的潜在威胁以及人格尊严、自由的侵犯.但是在纯粹的识别性信息和载体化的“个人信息”之间,还存在“载体化”这一处理过程.我国也没有通过特别的法律拟制(类似于胎儿利益保护和设立中的法人权利能力规则),将“记录”归入个人信息的处理范畴.由此形成了在个人信息定义处和个人信息处理的定义处的双重缺位,造成个人信息完全缺乏“生前保护”的局面.

3 个人信息“生前保护”的必要性

3.1 控制“生成”是个人信息自决权的应有之义

个人信息是能够识别特定自然人的信息,这种可识别性就体现了人格特征[8].个人信息之上承载着信息主体的人格利益,无论是基因数据等隐私信息,还是姓名、cookies(一种利用网站服务器保存特定信息至用户计算机,并从中读取相关信息的技术[9])等一般信息,均与人格形成与发展有关,皆为人格要素,均构成个人整体人格之一部[10].法律保护自然人的个人信息,目的就是保护基本人权和自由,关涉到人性的尊严与人格的自由发展[1]33.个人信息权便是为了保护此等人格利益发展而来的一种新型的人格权,也称个人信息自决权,是指自然人对其个人信息享有支配和自主决定的权利[11].我国《个人信息保护法》的一系列制度设计均是围绕保障个人信息主体的自决权展开的,如“知情同意规则”“个人信息权利束”等.控制个人信息的生成与否,同样关涉到信息主体的人格尊严与自由,未对信息主体予以告知并征得其同意,擅自生成个人信息的行为实则是破坏了个人信息主体享有的自我决定的权利,进而构成对于个人信息主体人格自由的侵犯.

个人信息生成的本质是其载体化的过程,与个人信息的删除或者被遗忘权具有同质的内核.个人信息的“出生”与“死亡”共同体现了个人信息主体对其个人信息命运归宿的支配和自主决定利益,但是《个人信息保护法》单就删除行为归入到个人信息的处理中,并且在此基础上对个人信息处理者苛以一定的处理义务以及对个人信息主体赋予相应的工具权利,却将个人信息的生成全然排除在《个人信息保护法》一系列旨在维护个人信息自决权的规则体系之外,实则是减损了个人信息主体所享有的基本人权和自由.并且,个人信息的“出生”较之“死亡”而言,实则更加具有亟需法律保护的迫切需要.无论是给个人信息处理者设定义务还是给信息主体赋予权利,本质上是实现个人对其个人信息自主的支配,进而防范个人信息处理活动中伴生的诸多风险.然而个人信息的“出生”对于个人信息处理者而言是未经利用的、充满价值的,而对于个人信息的“死亡”而言,则是已经利用过的、价值不饱满的,由此个人信息处理者会更加倾向于不断地生成个人信息而不是固守已经处理过的个人信息.个人信息的风险始于个人信息处理者基于利益驱动的处理活动,由此相较于个人信息的“死亡”而言,规制“出生”环节更加具有紧迫性.《个人信息保护法》在终审稿唯独增设“删除”而忘却“生成”不具有正当性,控制“生成”应当是个人信息自决权的应有之义.

3.2 “生成”个人信息创设了法益侵害风险

个人信息的“生成”具有独立性.在个人信息处理者利用其编写的应用程序辅助个人信息主体进行记录而未回传至个人信息处理者的场合,由于个人信息处理者并未实现对个人信息的控制权,载体化的个人信息仍旧存储于个人信息主体所持有的设备中,由此不能算作个人信息处理中的处理行为.例如,离线导航软件在终端获取个人信息主体位置信息后,如果不回传至软件提供者,则不属于个人信息主体对位置信息的收集.此时个人信息处理者仅存在生成个人信息的行为,但是却不构成对个人信息的收集,即为本文所述的个人信息“生前保护”的实例空间.

然而,此种辅助记录行为虽然暂时没有进入个人信息处理的环节,但是仍旧创设了侵害个人信息权益的巨大风险,对个人信息的滥用可能给个人信息主体带来财产和人身损害[12].一方面,此等“生成行为”使得个人信息载体化并处于随时可被收集处理的状态,利益驱使下必将引发个人信息的过度生成.在实践中,此等“生成行为”可能是在无声无息之间发生的,用户甚至都不知晓自己的位置信息、浏览信息等个人信息被记录了,即便是载体化的个人信息仍旧处于自己持有的终端设备中,用户也很难去实现对个人信息的支配和控制(如加以删除).此外,个人信息处理者所记录的个人信息往往多于其所收集的个人信息,毕竟其收集的目的是加以分析利用,具有一定的筛选性.《个人信息保护法》只对收集行为规定了最小范围原则,而不对“记录”行为加以规制,那么其所创设的这种随时可被收集利用的状态,使得即便个人信息存储于用户一端,个人信息处理者仍旧可以在有需求时尽来取之即可,收集环节最小必要规则被个人信息处理者以记录在用户本地的方式架空了.个人信息的非法处理往往是从过度收集个人信息开始的,过度收集来的个人信息又进一步面临被非法买卖或者泄露的风险[1]92.另一方面,个人信息生成环节的缺位会显著地减轻个人信息处理者的安全保障义务,而用户通常不具有采取安全防护的能力.个人信息处理者完全可以将所记录的海量个人信息存储于用户本地,而在有处理需求之时收集特定的一小部分加以处理,如此其无需保障存储于用户本地的个人信息的安全,仅需对每次使用的个人信息负有安全保障义务.在此过程中,由于将个人信息存储于用户本地不构成个人信息的处理,属于个人信息保护的法外之地,个人信息处理者的安全保障义务大大减轻,而用户所面临的风险则显著增加.

4 个人信息“生前保护”的应对策略

如前所述,个人信息有体性的要求导致其欠缺“生前保护”,使得个人信息主体的自决权遭受威胁,进而侵害到个人信息背后所承载的人格利益.同时,由于个人信息处理者趋利避害的心理,会在过度生成个人信息于用户本地的同时,不断地降低《个人信息保护法》对自己苛加的各项个人信息处理义务,导致个人信息面临过度生成、降低安全保障义务等各类风险,因此需要直面个人信息欠缺“生前保护”的问题.

由于《个人信息保护法》颁布不久,其所出现的各类问题应当秉持解释论优先的原则.我国可以通过出台个人信息保护法司法解释的方式,对个人信息的处理之定义中的“等”字,根据举轻以明重的当然解释(删除都归入个人信息的处理,记录更加在此语义范围之内),将“记录”解释到个人信息的处理过程中,进而适用整个《个人信息保护法》有关规则的保护.并且对于“个人信息的处理”作被动语态的理解,即立足于个人信息的视角而非个人信息处理者的视角,论述可能涉及的各类处理活动.如此一来,即便是仍旧无法摆脱个人信息有体性的禁锢与语义逻辑上的先后顺序,但是基于我国的司法实践中司法解释具有一定的创制法律的功能,那么也可以将其视作为类似于胎儿利益保护及设立中的法人权利能力特别规则的一种法律拟制.最后,在《个人信息保护法》的保护范围界分问题上,亦应当采用“完全保护”的表达,而不是所谓的“全生命周期的保护”.

5 结 语

个人信息的有体性导致了其生成时点延后至载体化的过程,而《个人信息保护法》的系列保护规则仅适用于个人信息的全生命周期,对于其生成环节而言缺乏有效的法律保护.个人信息生成环节与《个人信息保护法》中系列处理活动具有同质性,我国既有的《个人信息保护法》并未对这种生成环节作出有效的回应,从而使之沦为个人信息处理的法外之地,个人信息并未得到完全的保护.通过法律拟制的方式可以有效地解决这一问题,但长久之计仍要跟随国际主流趋势,从根源上取消个人信息有体性的规定.