杨烁 王玉宝
摘 要:目的限制原则要求信息处理者对数据进一步处理不得与初始目的不兼容,大数据和人工智能的发展对该原则发起了挑战。大数据分析使用不同的算法分析数据,人工智能通过对所持有的数据进行训练,要求重新使用数据创造新的价值。改变数据处理目的,须在信息主体的基本权利保护、风险控制与促进创新之间构建一个新的平衡。为了给数据的进一步处理提供一定的灵活性,通过场景一致性构建兼容使用理论;为科学研究、统计目的使用数据推定具有兼容性,从而释放大数据分析的价值,并提高法律的可预测性。更进一步,通过代码塑造数据处理目的改变再次利用数据的行为规范。数据的设计和默认保护理念认为代码架构可以通过数据处理场景,将目的限制原则内置到信息系统当中,通过组织和技术保障措施确保数据重新使用具有兼容性与合法性,并保障数据安全。
关键词:目的限制原则;兼容性;目的改变;数据设计和默认保护
[中图分类号] D901 [文章编号] 1673-0186(2024)002-0116-016
[文献标识码] A [DOI编码] 10.19631/j.cnki.css.2024.002.009
目的限制原则是各国数据保护法的基础性原则,要求进一步处理个人信息不得与初始目的不兼容①。数据具有成本,但是也遵循报酬递增规律[1]。频繁使用数据,可以使得成本递减,利润增加。数据作为非竞争性资源,具有再利用数据的规模经济和范围经济效益。但是,目的限制原则与大数据分析的价值可能背向而行。大数据分析的价值往往在于收集数据后再去寻找具体目的,并且大数据分析很有可能以最初收集数据尚未预想的方式来分析数据[2]。有观点认为允许在没有预先确定目的之场景下处理数据,是创新快速发展的必要条件,主张为了发挥大数据的潜力,应该以空前未有的规模收集数据,并允许为不同的目的重复使用[3]。有批评声音甚至指出欧盟《一般数据保护条例》(General Data Protection Regulation, GDPR)(以下简称“GDPR”)已经与大数据不兼容[4]。大数据分析与目的限制原则存在矛盾,为了遵守该原则,信息处理者应当告知个人他们进一步处理个人信息的方式,并密切关注该处理形式,以保证后续处理处于兼容性范围,从而认为执行这些任务是昂贵的、困难的,甚至是不可能[4]1006。相反,有学者通过计算机科学及交叉学科研究的视角驳斥了以上观点。他提出数据最小化和目的限制原则可以在数据驱动的环境中,特别是算法分析、个性化和决策系统有意义地实施。这两项法律原则在管理个人数据处理风险方面继续发挥重要作用,它们甚至可能通过减少数据中的噪音来提高人工智能系统的稳健性[5]。为了保护数据主体,目的限制原则是要求信息处理者采取相关保障措施,当然也为信息处理者的行为赋予一定的灵活性[6]3。目的限制原则长期以来被认为是数據保护的基石,也是大多数其他基本要求的先决条件[7]。该原则要求信息处理目的必须特定、明确、合法,这意味着信息处理者不能以创新为名,对信息主体的权利、自由和利益造成不相称的干扰。
因此,GDPR仍然坚持目的限制原则,我国法律也规定了目的限制原则。GDPR第二章原则第五条个人数据处理原则规定,个人数据应为特定、明确、合法的目的被收集,并且个人数据的进一步处理不得与该目的不兼容①。《中华人民共和国个人信息保护法》第一章第六条规定了目的限制原则,处理个人信息应当控制在收集个人信息之初始目的直接相关的范围内,在没有合法基础的情形下,擅自改变目的,则违背目的限制原则。
数据处理目的改变之理论构建,在数据经济发展和个人基本权利保护的紧张关系中起着举足轻重的作用。严格遵守目的限制原则,可能会限制某些提高经济效率的数据使用,阻碍技术进步;过度使用数据,可能会给个人基本权利、隐私等造成侵害。我国学术界在这方面的研究,处于初步阶段,主要着眼于三个方面:一是对目的限制原则含义进行一般解释[8],或者进行价值补充[9],或者对其中一方面的探讨,如对“目的特定”的理解[10],强调目的改变须再次征求信息主体同意[11];二是针对特殊场景目的限制原则的应用研究,如刑事侦查场景中目的限制原则的适用[12],侦查需要目的与隐私权保护[13],科学研究场景中目的限制原则的突破[14]。三是对数据处理目的改变的理论研究,有观点主张进一步处理数据,特殊情况下允许超越初始目的,但不能超越个人预期[15]。但是,对数据处理目的改变的逻辑结构与理论基础尚无深入的探讨,思考数据处理目的改变之路径选择及理论生成,正是本文研究之目的所在。
一、数据处理目的改变之路径选择
对数据进一步处理重新使用,是数据价值实现的关键环节,但是改变目的处理个人数据可能侵害个人基本权利。因此在保护基本权利与数据再使用之间如何进行平衡,则遇到了理论难题和实践矛盾。
(一)数据处理目的改变与基本权利保护
数据处理目的改变之历史沿革与基本权利保护密切关联。1950年通过的《欧洲人权公约》(ECHR)第八条规定了从有权享有使自己的私人和家庭生活、家庭和通信得到尊重的权利①。该条包括了隐私保护,在存在“干涉隐私”的情形,须有法律根据和明确合法目的,作为评估干涉必要性的前提条件。欧洲委员会发布的《关于个人数据自动化处理的个人保护公约》(下称“108号公约”)引入了保护个人数据的概念[6]7。第108号公约第5条确立了数据保护法的基本原则,包括合法原则、公平原则和相称性原则,也规定了目的说明和目的必须合法的要求。同时,还引入了不兼容的概念,不能以与特定目的“不兼容”的方式使用数据②。1980年通过的《经合组织指南》进一步规范了兼容使用的概念。该指南允许将数据“后续使用”用于不同的目的,只要这些目的与最初的目的不相矛盾,并且在每次目的改变时都进行具体说明。该指南提到了兼容使用要求的两种例外情况:“经数据主体同意”或“经法律的权威”[16]。《第95/46/EC号保护个人在数据处理和自动移动中权利指令》引入了为历史、统计或科学目的进一步处理数据的规定;只要成员国确保有适当的保障措施,这些都不被认为是不兼容的[6]9-10。
理论上,目的限制原则的坚持,是保护个人基本权利和自由的要求。确保信息处理者尊重目的限制原则,是信息自决权尊重个人合理期待的必然结果。目的限制原则可以增强信息主体对个人信息的控制,促进社会公众对数据环境的信任,创造和谐的网络空间。相对应的是,目的限制原则在一定程度上削弱了信息处理者对数据市场的控制地位,从而允许新的竞争者进入市场,促进有序竞争,培养合法安全的创新土壤。
(二)数据处理目的改变之路径构建
在收集个人信息的初始目的范围内处理个人信息,是一种理想的追求。随着技术的进步,需要在新的目的范围内重新使用数据。如何在保护个人基本权利、促进创新、加强风险控制上达到一个合理的平衡,这给法律理论和实践提出了新的挑战。理论上,个人信息处理目的改变有以下五种可能路径:一是基于信息主体同意或者国家机关履行法定职责或者法定义务所必需等合法性基础③。基于信息主体同意进行数据重新利用,当然具有合法性基础,但是又面临一个重要的问题,即同意的有效性问题。国家机关处理个人信息须遵循法定义务,涉及公共利益与私人利益的协调,其范围与限度须谨慎④。二是个人信息匿名化。已经匿名化处理的信息,不再是个人信息保护法的调整范围,改变目的对数据重新利用,自然没有障碍⑤。此时,个人信息处理者可以改变目的,自由分析数据,但是大数据分析方法已经可以重新识别以前被匿名的个人数据,使得该数据又进入了个人信息保护法的调整范围。匿名化的信息仍然有可能给信息主体带来剩余风险,匿名化不应该被视为一次性的工作,信息处理者应该定期重新评估相关的风险[17]4。而且,匿名化的信息,大大降低了数据的商业利用价值。三是为一个较为宽泛的目的收集个人信息,该目的涵盖了将来所需要使用的情形。根据GDPR,一个笼统模糊的目的,如“改善用户”“营销目的”“安全目的”等,并不符合“目的具体”的要求[6]16。第29条数据保护工作组认为“目的明确的最终目标是确保目的的具体化,而不会对其含义或意图含糊不清或模棱两可”[6]17。我国个人信息保护法规定了“目的明确”,就是已经承认了目的必须具体或者特定。由此可见,一个宽泛的目的,不符合目的限制原则的要求。四是构建兼容性使用的路径,须通过兼容性测试①。数据处理目的改变,如果符合兼容性的要求,则并不违反目的限制原则,为数据的进一步处理开辟了一条可行通道,这也是欧盟数据保护法发展史上在个人基本权利保护和数据有效利用方面的一个重要平衡。五是符合公共利益存档目的、科学研究、历史研究或者统计等目的,但应当采取适当保障措施②。《中华人民共和国个人信息保护法》第八章第七十二条明确了各级人民政府及其有关部门组织实施的统计、档案管理活动的处理行为,须依照法律规定,属于法律保留事项。但是对于其他科学研究目的进一步处理行为,没有规定。如何构建为研究目的进一步使用个人信息的理论体系,亟待深入梳理。
后两种路径,对大数据分析具有重大意义。对于个人信息处理目的改变的理论构建,本文从兼容使用开始推进,论证为科学研究目的进一步处理个人信息的推定兼容性规则,并在此基础上探究数据设计和默认保护的优势及理论进路,层层递进,构建数据处理目的改变有效利用数据的理论图景。
二、兼容使用语境下之目的改变
数据进一步使用之目的与初始目的如果存在兼容性或者直接相关性,则表明两个目的之间并不存在着冲突,且并未超越数据主体的可能预期。兼容使用的理论基础须通过分析数据处理场景与平衡主体利益进行构建。
(一)殊途同归:兼容使用与直接相关
人们越来越认识到,在不同情况下产生的数据具有长期的和多方面的重要效用,远远超出了最初收集这些数据的用途。改变目的进一步处理数据,在信息主体和信息处理者之间作出一个适当的平衡,自然成为一个迫切需要研究的课题。我国法律规定处理个人信息需与初始目的“直接相关”,采取“直接相关”的表述。通过文义解释,直接相关并不要求后续处理目的与初始目的完全相同。如果后续处理目的和初始目的不同,需考虑有无直接相关性。个人信息的处理目的、处理方式和处理的个人信息种类发生变更的,应当重新取得个人同意③。处理目的变更,实质上产生新的处理行为[18]。如果新的处理目的与初始目的不同,但是直接相关,不能认为改变了数据处理目的。因此,该条规定的“变更”,从体系解释出发,应当是进一步处理个人信息与初始目的没有“直接相关”。GDPR第二章第五条要求不得采取与数据收集目的不兼容(incompatible)的方式进一步处理数据。与数据收集目的不兼容并不等同于与初始目的不同(different),GDPR并未禁止通过不同目的进一步处理数据,仅仅是禁止与初始目的不兼容的目的来进一步处理数据[19]79。如果数据后续处理目的改变,但是和初始目的兼容,并未违反GDPR的规定;当然如果数据后续处理目的改变,与初始目的不兼容,则必须重新取得数据主体的同意或者具有其他处理数据的合法性基础。可见,我国法律关于个人信息进一步处理的规定与GDPR的规定有着殊途同归的效果。
兼容性或者直接相关的判断,应当确保在每一个场景下对所有利益相关者的权利、自由进行平衡;一方面要保护个人信息主体的权利,另一方面也要照顾信息处理者的利益。从我国个人信息保护法和GDPR的规定进行考察,数据会更频繁地被重新用于新的目的,为了应对大数据分析的各种要求,给予个人信息处理一定的灵活性,法律为此提供了一些路径,兼容使用便是其中之一。关于兼容使用或者直接相关使用的理论生成,需通过评估方式、考量因素及场景一致性进行构建。
(二)利益平衡:兼容使用的评估方式和考量因素
首先,兼容性的评估方式体现利益平衡。兼容性评估一般有两种形式:一是形式性评估。比较最初由信息處理者提供的目的,与任何进一步处理的用途,找出后续的用途是否被涵盖。高度相似的目的与初始目的有清晰的重叠更有可能被认定具有兼容性。不相关的、模糊的或开放式的新目的不太可能兼容。二是实质性评估。超越信息处理者的正式文件,以确定初始目的和进一步处理的目的,考虑到它们被理解的方式,结合处理信息背景和其他因素进行综合评估认定[6]21-22。第一种评估方式过于机械,通过信息处理者提供的隐私政策等正式文件确定初始目的和后续目的的关系,信息处理者享有过于宽泛的操作空间,忽略了信息主体基本权利的保护。实践中,信息处理者会着眼于隐私政策等文件的各种处理信息策略的运用,以确保进一步处理信息的可能性。如在医疗机构收集医疗信息场景,医疗机构告知患者收集健康信息是用于治疗疾病、公共卫生和医学研究。如果医疗机构后续用于公共卫生和医疗研究,形式上属于初始目的。但是关于公共卫生和医学研究的目的,在医疗场景实质上是不必要的,不是专门为这些目的收集信息。因此后续进行公共卫生和医学研究的个人信息处理,仍然属于进一步处理,需进行兼容性评估。第二种评估方法着眼于实质,有助于经济社会发展及信息处理者和信息主体之间的利益平衡。
其次,兼容性评估的考量因素。我国《信息安全技术 网络数据处理安全要求(GB/T 41479—2022)》的表述“不应收集与其提供的服务无直接或无合理关联”,将直接相关和“合理关联”类似理解,从“关联性”入手,但是“合理关联”也具有较大不确定性。评估收集个人信息的初始目的和进一步处理的目的之间的兼容性,GDPR规定了必要的考量因素①。一是需考量进一步处理个人信息与收集目的之关联。根据我国法律规定,前后两个目的之间的联系应该是“直接相关”,如果有介入因素,一般认为不是直接相关。如客户与在线商家签订的每日将鲜牛奶送货上门的合同,商家收集客户的地址、电话、银行账户等信息,目的就是送货。后续送货处理这些个人信息,属于“直接相关”,具有兼容性。当然,此处也符合履行合同所必需②。如果后续处理行为是为了推销其他产品或者提供给其他信息处理者,甚至对信息主体的计算机设备进行识别,如苹果操作系统的电脑或者Windows操作系统的电脑,从而进行价格歧视,则难以认为是直接相关,不符合兼容性标准。二是个人信息处理的场景。某一场景收集信息,可能是基于一种特殊场景目的收集个人信息,如果信息处理者将该个人信息应用于不相关的场景,不具有直接相关性,其目的当然不具有兼容性。信息处理者通过在线购物场景收集个人信息,进行特征分析,利用秘密算法预测信息主体的生理状况,如是否怀孕、是否生病等,从而推送相关商品,超越了信息主体的期待可能性,很难认为符合兼容性或者直接相关性。三是个人信息的性质。我国个人信息保护法将个人信息主要分为一般个人信息和敏感个人信息③。敏感个人信息的后续处理和一般个人信息的后续处理,其考量因素应该有所区别。再者,处理个人信息与刑事犯罪相关联的,应当在官方机构的控制之下或者是在相关法律规定的条件下进行④。可见,敏感个人信息后续处理的兼容性范围相对于一般个人信息则更狭窄。四是进一步处理信息的行为对信息主体造成的后果及影响。个人信息中承载着自然人的基本权利、自由、隐私等价值,后续处理行为是否造成个人人格尊严、财产权利的损害,是否造成情感上的焦虑、痛苦,都应该考虑在内。进一步处理的影响越是负面或不确定,远远超出了信息主体期待的预期,就越难以被认定具有兼容性。五是适当的保障措施。信息处理者在后续处理中是否进行了恰当的保障措施。个人信息后续处理可能需要采取技术措施,以确保功能分离[6]26-27。适当的保障措施,属于兼容性评估的考量因素,但并不当然认为采取必要的措施,就可以进行进一步处理。
上述因素,应当结合具体案件综合评估。借鉴第29条数据保护工作组提供的一个案例,进行分析[6]60-61。一个市场领先的社交网络和照片分享网站,允许用户上传照片供自己使用并选择特定朋友分享。该网站的隐私政策保证这些照片只与“你想要的人,在你想要的时候”分享。两年后,该网站改变其隐私政策,通过电子邮件通知客户,新的隐私政策即将生效,除非用户在30天内删除照片,否则将被视为同意授权该网站为任何目的使用所上传的照片,包括但不限于推广该网站。客户必须接受新的隐私政策,否则不能继续浏览该网站。本案涉及同意的有效性及合法性等问题,但本文主要分析其兼容性。首先,网站收集照片等信息的初始目的是“允许用户向特定人在特定时间分享照片”,进一步处理目的是“任何目的使用”并不直接相关,而且完全超出了初始使用的场景和用户的可能预期的范围。照片信息如果涉及隐私等敏感个人信息,则后续处理对用户影响巨大,即使采取了必要措施也不能认定构成兼容使用。
(三)场景一致:兼容使用的理论生成
海伦·尼森鲍姆(Helen Nissenbaum)教授认为,隐私权并非一种保持私密的权利,也不是信息控制权,而是一种确保个人信息以合理方式流动的权利[20]117。基于该认知,其构建了场景一致性框架。场景一致性的基本构成要素是:社会规范和场景相关的信息规范。场景相关的信息规范包括四大要素:场景、行为主体、属性(信息类型)、传输原则。违反这些规范时,场景一致性受到侵犯,也就是对隐私的侵犯[20]117-144。个人信息大量涉及个人隐私,处理个人信息改变目的兼容使用的评估,需重点评估个人信息收集与后续处理的场景,不同场景的价值和目的张力,对是否构成兼容使用有着重要的意义。
社会规范要素是人们认为应该做的事情,社会认可或者不认可的事情,是一种社会强制性规范,并非可做可不做的描述性规范。场景要素是信息规范的背景,适用条件。信息规范要素涉及三大行为主体:信息发送者、信息接收者和信息主体。信息属性(信息类型、性质)要素决定某些场景中是否恰当,如医疗场景中医生询问患者身体健康状况属于适当,工作场景中老板作相同的事情则不合适。传输原则要素是对某个场景中信息从一方传输给另一方的约束。传输可能需要主体知道(告知),或者需要主体允许(同意),或者两者均要求(告知—同意)[20]127-135。例如在金融场景中,有关金融交易(信息类型)中产生的客户(信息主體)的所有信息,均传输给相关金融公司的代理人(接收者和发送者)或者第三方(接收者),受相关规则(信息规范)规定的关于保密、通知、同意等传输原则的约束[20]139-140。通过这种场景一致性框架,对信息流动进行结构化分析,构建目的改变的兼容性判断标准。
上文兼容性评估的因素,与场景一致性理论的信息规范要素不谋而合,运用场景一致性理论构建兼容使用的评估,顺理成章。再者,场景一致性框架在进行评估分析时,需考虑受有关实践影响的道德和政治因素,如对自主和自由的危害,对正义、公平、平等等价值的影响。还需询问实践案件如何直接影响场景的价值、目标和导向,使得该理论有着逻辑张力和蓬勃生命力。
三、推定兼容性场合下之目的改变
实践中,为科学研究和统计目的进一步处理数据,具有重大的经济和社会价值,且有一定的公益性质。在这种场景下,兼容使用理论应当作出一定的回应。
(一)为科学研究和统计目的进一步处理
为了回应大数据分析对目的限制原则的挑战,GDPR规定在科学研究和统计目的场景下改变数据处理目的可以得到豁免。医学和健康研究越来越依赖于处理和链接大量与遗传和健康相关的数据,隐私保护所需的传统、高度具体的同意书和匿名化可能不适合数据密集型的纵向人群研究[21]。因此,对科学研究进一步处理数据应该有法律和技术应对。我国法律也对统计、档案管理活动设置了例外规则①。统计法、社会保险法、档案法等,对各级政府机构实施统计、档案管理的规则有所规定,信息主体应当提供相关信息,并非基于同意规则②。但是对于科学研究、非政府机关的统计等目的处理个人信息的行为,并无特别规则。从解释论出发,如果收集个人信息后,改变目的进行科学研究、统计,则仍须符合直接相关或者兼容性标准。实践中,进行兼容性评估具有较大的不确定性,从而导致信息处理者对科学研究、统计等行为产生各种焦虑心态,甚至不敢进一步处理,影响积极性。
在欧盟,为科学研究和统计目的(即为实现公共利益存档目的、科学研究或历史研究目的、统计目的)进一步处理个人信息,不视为与最初目的不兼容③。根据GDPR的规定,收集个人信息后进行科学研究和统计目的使用,采取了适当的保护措施,则推定具有兼容性,豁免兼容性评估。该规定有助于提高法律的可预测性和确定性。
GDPR对科学研究和统计的概念没有明确规定,但是序言中进行了一定程度的描述。科学研究目的所进行的个人数据处理,包括基础和应用研究、在公共卫生领域为公共利益而进行的研究等④。历史研究目的,包括为了宗谱目的进行的研究⑤。统计目的是指统计调查或生成统计结果所需的所有个人信息收集和处理操作。统计的结果属于汇总信息,不得用于对个人的决策⑥。统计目的在解释上比较宽泛,既包括科学研究目的统计,也包括商业目的统计。信息处理者可以使用数据库进行统计分析,研究消费者购买行为的消费偏好或者决策,无须信息主体同意。再者,信息处理者可以将此类数据库提供给另一信息处理者进行统计,但必须采取适当的保护措施[19]80。为科学研究和统计目的进一步处理个人信息,之所以豁免兼容性评估,其原因具有多样性。首先科学研究和统计目的有一定的公益性质,为了促进技术创新;其次,统计目的也可能为商业目的,对商业活动尤其重要,信息处理者使用消费者数据库进行统计分析,研究消费者的购买偏好或者决策,不需要信息主体同意;再次,统计分析并不需要识别组员,信息处理者应当采取数据的假名化等措施[19]80。
(二)推定兼容性使用的保障措施
科学研究和统计目的豁免兼容性评估的一个基本前提是,须为信息主体的权利和自由采取必要的保障措施。这些保障措施的理论主线主要包括信息最小化原则、匿名化或者假名化机制。
第一,信息最小化原则。信息最小化是目的限制的必然逻辑结果,信息最小化自然应该是相对于目的而设计。信息最小化原则禁止过度处理个人数据,在最小范围内进行数据处理,以实现数据处理目的①。一般认为大数据分析,信息处理者尽可能地收集更多的信息,从而发现信息的更多无从预期的价值。研究表明,在许多数据驱动的环境中,使用越来越大的数据量会导致收益递减,一些算法技术事实上就是将数据最小化,实际上减少了一个模型使用的数据量,表明在某些情况下,数据限制可能会导致模型的改进[5]。这些研究支持了信息最小化原则在大数据分析中仍然行之有效,甚至有助于提高分析的效率和准确性。信息最小化也是一种风险管理措施,因为处理过量的信息会导致不必要的风险。为科学研究和统计目的,自然应当遵守信息最小化原则,采取对个人权益影响最小的方式。
第二,匿名化或者假名化机制。为科学研究和统计目的进一步处理所须采取的保障措施,如果通过匿名化或者假名化机制能够实现,则应当采取相关措施。匿名化信息仍可能对信息主体造成潜在风险,信息处理者有责任定期重新评估相关风险。这种重新评估应当考虑技术、法律和实际情况的变化,以确保匿名化信息的安全性和隐私保护。信息处理者应采取必要措施,包括但不限于技术审查、风险评估和隐私影响评估,以及在必要时更新匿名化策略和措施,以應对新的风险和威胁。假名化包括在记录中用一个属性替换另一个属性,自然人仍有可能被间接识别。假名化减少了信息与信息主体的原始身份的联系,也是一种有用的安全措施[17]20-21。
(三)权利克减
根据《中华人民共和国个人信息保护法》的规定,个人在个人信息处理活动中享有知情权、决定权;查阅、复制权;可携带权;更正、补充权;删除权;解释说明权等等。遵守信息主体的这些权利规则,自然是对大数据、人工智能方面的研究活动进行了一定程度的限制。GDPR在平衡信息主体和信息处理者之间的利益情况下,允许为科学研究和统计目的进一步处理个人信息,可以再次利用个人信息,而且信息主体的个别权利还受到相应的减少。GDPR对信息主体权利的克减,目的是使欧盟对研究和创新的投资更具吸引力。
GDPR规定,当为科学或历史研究目的、统计目的进行个人数据处理时,个人信息主体的权利可能对特定目的之实现产生严重的损害,欧盟或成员国法律可以针对访问权、更正权、限制处理权、拒绝权等权利设定克减条款②。当然,作为信息主体权利克减的补偿,信息处理者必须对信息主体的权利和自由作出有力的保障措施,以确保信息的安全及尊重信息主体的合理期待,否则,为统计或研究目的重新使用数据将不能被视为具有合法性基础。
(四)兼容使用的合法性基础
个人信息处理目的改变,即使通过兼容性测试,也不足以确定合法性,仍须符合处理个人信息的合法性基础。即使是为了科学研究和统计目的进一步处理个人信息,豁免兼容性评估,也仍须确保合法性。目的限制原则和个人信息处理的合法性基础是两个独立的和累积的要求[6]39。因此GDPR序言第50条表明信息处理者应在“满足了原始处理的合法性的所有要求”之后,对进一步处理进行正式的兼容性测试①。确定进一步处理的兼容性是允许进一步处理的一个必要条件,但不是一个充分条件。即使进一步处理符合兼容性的标准,但是如果出现其他限制因素,该处理行为仍然不能被允许[22]。
因此,经过兼容性评估,或者是为了科学研究和统计目的,进一步处理个人信息,需要寻找其合法性基础。这些合法性基础包括个人同意、实施法律规定的义务等。根据我国法律规定,合法性基础还包括紧急情况下保护生命健康和财产安全、为公共利益实施新闻报道等②。对数据进一步处理是否符合兼容性使用标准与合法性基础须分别认定。
四、数据处理目的改变对代码的呼唤
改变数据处理目的须符合兼容使用标准,但是进行个案评估效率比较低下。理论上可以将目的改变之兼容使用规则尽可能地融入代码当中,从事后归责转向事前预防,提高效率和确定性。技术影响法律规则生成,法律也会影响技术发展。现代社会的隐私危机由网络化产生,网络化思维训练经常被忽视[23]。
(一)将目的限制规范嵌入代码
基于上文的分析,目的改变的兼容性评估、为科学研究和统计目的重新使用数据,为大数据分析和人工智能留下了足够宽广的空间,同时也在一定程度上兼顾了信息主体基本权利的保护,避免受创新带来现实风险。然而,必须承认,兼容性评估具有较大的不确定性,在法律的可预测性方面有所欠缺。推定兼容性规定下为科学研究和统计目的再次使用数据,引入了保障措施介入的理论逻辑。
既然在推定兼容性的场景下,技术措施的运用是必须的,那么能否有一个大胆的设想,将数据保护的原则和规范,融合进信息系统的架构当中,从而增强目的限制原则的可操作性和吸引力。将数据保护的法律规则通过代码进行自动化,塑造信息处理者和信息主体的行为模式,这也许是人类的一种雄心壮志,但也不是海市蜃楼,起码人们已经迈出了第一步。欧盟法律中“设计和默认的数据保护(Data protection by design and by default)”(以下简称“DPbDD”)正是将这一理念运用的例证①。DPbDD主要针对信息系统的开发,目的是确保在这种开发的整个生命周期中适当考虑到与隐私有关的利益[24]106。数据设计保护的概念是建立在加拿大安大略省的前信息和隐私专员安·卡沃基安(Ann Cavoukian)制定的七项基本原则之上。主要包括:主动防御;默认隐私保护;隐私嵌入设计;完整功能正和而非零和;全生命周期保护;开放与透明;以用户为中心②。DPbDD的核心是通过设计和默认确保适当和有效的数据保护,信息处理者应能够证明在处理过程中采取了适当的保障措施,以确保数据保护原则以及信息主体的权利、自由得到切实有效的实现。技术或组织措施保障可以是任何先进的技术解决方案和人员的基本培训,如个人数据的假名化;以结构化的、常见的机器可读格式存储个人数据;建立隐私和信息安全管理系统,以合同方式责成处理者实施具体的数据最小化做法,等等[25]7。在确定所需措施时,信息处理者必须考虑到处理的性质、范围、背景和目的[25]9。
个人信息处理的设计应以实现这些目的所必需的方式来决定。如果要进行进一步的处理,信息处理者必须首先确保这种处理之目的与初始目的兼容,并相应地设计这种处理。新的目的是否符合要求,应根据兼容性标准来评估[25]19-20。关键的设计和默认目的限制要素可能包括:目的特定、明确、合法(设计处理之前确定处理的目的);目的导向(信息处理目的决定哪些信息的处理具有必要性,并以该目的设定处理的界限);兼容性(限制进一步的处理,任何新目的之处理都必须与初始目的兼容,以此指导相关的设计);再利用的限制(运用技术措施以限制重新利用个人信息的可能性,包括加密等技术措施,当然也包括政策、合同义务等组织措施);审查(信息处理者应当定期审查处理行为是否为收集信息目的所必须,并根据目的限制测试相应的设计[25]20)。
(二)欧盟宪法结构中的数据设计和默认保护
GDPR第25条也面临着规范含义模糊的问题。根据欧盟法院(CJEU)运用的法律解释方法,GDPR第25(1)条并不反映隐私的设计。有观点认为,该条被写成一个万能条款,没有自己的身份,歐盟法院将不得不利用目的论推理来认定该条款规定了数据的设计和默认保护制度,如果它不这样做,欧洲公民将失去可能是一个强大的数据保护工具[26]149。通过目的解释,可以认为GDPR第25条规定了隐私的设计保护。考虑到一个平台的技术架构可以挑战我们的隐私,将隐私保护的规则编码到产品或系统的DNA中,并远离那些不能被设计保护隐私的产品,可以帮助实现GDPR的目标[26]。
欧洲人权法院(ECHR)的判例表明,与DPbDD相关的理念存在于欧盟的宪法结构中,至少在保障有关健康的个人数据方面是如此。最重要的案例是欧洲人权法院2008年的I v. Finland案①。法院认为芬兰没有采取技术或者组织措施保障公立医院的数据安全,违反《欧洲人权公约》(ECHR)第8条关于确保尊重私人生活的积极义务。尊重健康数据的保密性,不仅对尊重患者的隐私至关重要,而且对维护患者对医疗专业和医疗服务的信心也是关键的。法院指出患者的医疗数据在关键时刻没有得到充分保护以防止未经授权的访问。这种防止未经授权的访问,当然是体现在数据系统的代码设计当中,技术上也能够实现。可见,本案起码在个人健康数据保护方面,认为设计的隐私存在于欧洲宪法结构当中。
欧盟法院在著名的谷歌诉西班牙案中,法院要求谷歌(和其他搜索引擎运营商)重新配置这些操作的系统方面,使其更有利于隐私,间接地培养了GDPR第25条的目标[24]。在数据的默认保护方面,德国柏林地方法院在德国消费者组织联合会针对脸书公司起诉时,裁定脸书公司默认的数据共享设置非法[19]277。社交网络服务不能仅因用户激活了位置功能,就将该用户的访问目的地信息通知该社交网络的所有成员。
数据的默认保护是正确实施数据的设计保护的条件,其与民法侵权责任的事后救济模式不同,是通过事先对信息系统的设计,未雨绸缪防止侵犯个人信息权益,积极预防而不是被动补救。
(三)我国司法实践中数据设计保护的萌芽
我国个人信息保护法并未规定数据的设计和默认保护规则,但是在规定信息处理者的义务时,要求信息处理者采取相关措施确保个人信息处理活动符合法律、行政法規的规定②。法律授权数据保护从设计过程的一开始就建立起来,将数据保护的原则纳入信息系统技术的开发中,这是数据的设计和默认保护的追求。这些措施虽然包括技术措施和组织措施,但是这些规定能否解释出将数据保护嵌入设计中的理念,值得探究。
实践中,胡女士、上海携程商务有限公司(以下简称“携程公司”)侵权责任纠纷案,一审和二审判决的思路,反映了法院对数据设计和默认保护的相关态度③。胡女士通过携程旅行App订购酒店,并未享受优惠价,且多支付了一倍房价。一审法院判决携程公司限于判决生效之日起三十日内在其运营的携程旅行App中为胡女士增加不同意其现有《服务协议》和《隐私政策》仍可继续使用的选项,或者在判决生效之日起三十日内为胡女士修订携程旅行App的《服务协议》和《隐私政策》,去除对用户非必要信息收集和使用的相关内容(修订版本需提交法院审定同意)。二审法院改判,认为携程公司如果不收集胡女士的姓名、手机、身份信息等就无法实现酒店预订的服务事项。如允许消费者不提供任何个人信息,仍可使用携程App要求携程公司提供服务,是对携程公司的过分苛责,平台会因此丧失经营基础资源。
本案中,携程公司收集个人信息的目的过于宽泛,不符合明确、合理目的的要求。对个人信息的收集超出了最小范围之限,对用户个人信息的使用并不满足于提供服务本身,而是包括更进一步的商业利用。携程公司对于个人信息的处理,并不是与初始目的直接相关,不具有兼容性,且未采取对个人权益影响最小的方式。可见,携程公司的行为,违反目的限制原则。对个人数据进行的操作应限于必要的范围,某些个人数据对实现某一目的是必要的,这并不意味着可以对数据进行所有类型和频率的处理操作。控制者还应该注意不要扩大兼容目的之界限,并牢记哪些处理是在数据主体的合理期望范围内[25]13。携程公司的行为,已经完全超越了数据主体的合理期待范围。信息主体要求携程公司将信息处理的原则和规则,融入《服务协议》《隐私政策》,嵌入技术系统当中,自然是一种正当的要求。一审法院将这一理念体现在判决当中,要求《服务协议》和《隐私政策》的修订,须经法院审定同意,值得肯定。
(四)代码规范目的改变
莱斯格直接提出了“代码即法律”的观点。数字经济时代,代码以类似于法律的方式规范和塑造行为、价值观和自由。计算机代码和软件架构嵌入了某些价值观并影响人们在网上可以做什么和不能做什么。代码设置数字限制、默认值和自由度,代码与正式法律、社会规范和市场一样,充当了网络空间行为的法律形式和约束。代码不是中立的,它可以启用更开放、自由的系统,也可以启用更封闭、限制性的系统[27]6。将数据保护的原则和规则嵌入代码,这是我们所追求的目标。代码可以通过访问控制强制数据最小化。代码架构可以通过数据处理场景,将目的限制原则内置到信息系统当中,通过匿名化、加密、访问控制等技术保障措施确保个人信息的安全性。政府对网络空间的监管不仅应关注法律,还应关注底层技术代码和架构的塑造。这些理念都是数据的设计和默认保护所追求的。
在编程中,可以通过代码将目的限制原则嵌入数据保护的设计。信息收集阶段,要求最小化数据收集,只收集完成任务所需的最少数据,只存储完成任务所需的最少量数据。例如,如果只需要用户的电子邮件地址进行验证,那么就不应收集他们的生日或住址。信息使用阶段,确保数据只用于它的初始目的。例如,收集电子邮件地址用于验证,就不应该用它来发送营销邮件,除非用户明确同意。关于改变目的进一步处理,要求代码设计相关场景,将兼容性评估融入设计当中。默认不共享,除非用户明确同意,否则不与第三方共享数据。存储的数据应该是加密的,以防止未经授权的访问,且应当是有期限的。数据保护的目标,应当保护信息主体对自己个人信息的控制权,包括访问、更正、删除自己的个人信息等权利。通过代码嵌入目的限制原则的规范,有助于减少数据泄露风险,保护用户隐私,增强可预测性。当然,这也给信息处理者增加了实施的成本和技术挑战,需要投入更多的资源来保证数据的加密存储和访问控制。
数据的设计和默认保护,将目的限制原则的三个方面:目的明确、合理;处理直接相关;对个人权益影响最小,设计进信息系统当中。当然,代码并非万能,不能解决所有问题,仍需结合兼容性评估理论,通过司法实践与信息主体的互动,形成相对确定又能适应数字经济发展的数据再利用理论。代码就是法律,代码规范行为,软件和技术架构以类似于物理世界法律的方式对网络空间施加规则。代码的变化改变社会,随着代码的发展,它以新的方式塑造和规范网络空间,从而实现新的自由或限制。通过代码进行监管正在兴起,政府和公司越来越多地使用代码而不是法律来规范行为。对代码的监管,成为数据监管的重要主题[27]74-79。代码的这种重要意义,固然不能只留给编码人员——整个社会必须塑造它,行政监管、司法规范、社会监督应当构成一个塑造网络行为的整体,促进数字经济的良性发展。
五、结语:代码与兼容性互动下之立法构想
数字经济时代,大数据技术更新日新月异。法律与代码均对人们的行为模式产生重大影响。大数据技术已经有足够能力对不同来源的实时海量数据进行新的使用。信息处理者收集了大量的数据,持有巨大的数据集。人工智能可以通过对所持有的数据进行训练或者分析,重新使用这些数据创造新的价值,成为信息处理者的机会和期待。信息处理者在分析数据时,可能会产生新的使用目的,这些目的在数据收集之初也许未曾预料。大数据和人工智能的运用,给人类社会带来了新的突破和巨大的贡献,如治疗疾病、科学研究等。但是,数字技术在给人类带来好处之余,也同时存在着风险和挑战,大量数据涉及个人隐私,对信息主体的隐私、尊严、自由等产生重大干预。
目的限制原则恰好在数据的再利用和个人基本权利保护方面获得了适当的平衡,这两者关系如果处理得当,则可以为大数据生态系统和人工智能建立信任,促进技术良性发展。在此基础上,本文为我国个人信息保护法中关于数据处理目的改变的规范体系进行立法理论构想。一般情况下,信息处理者改变目的重新利用数据,须通过兼容性评估;为科学研究、统计目的进一步处理数据,推定具有兼容性,但是必须采取相应保障措施。不管是符合兼容性的进一步利用数据或者是为科学研究、统计目的利用数据,都须有合法性基础。互联网世界,代码影响着个人的行为,塑造着政府、企业、个人的行为模式。随着科技的发展,技术手段可以将法律的原则和规则,融入代码当中,构建网络世界的价值与规范。基于此,数据的设计和默认保护制度随之而来,也在相应法律规范和实践当中开创了一定的运作路径。将目的限制原则的价值理念和规则体系设计进入信息系统当中,作为默认的保护方式。信息处理者应选择并负责实施默认的处理设置和选项,以便在默认情况下只进行为实现设定的合法目的所严格需要的处理。信息处理者也应该评估信息处理的合法性基础。在此系统的相关场景当中对数据的再利用当然也须通过代码采取合适的保障措施。代码技术的发展和更新,也影响着数据的设计保护规则的变化,兼容性评估和代码规制自然存在着长期良性的互动。
参考文献
[1] 兰斯·E.戴维斯,道格拉斯·C.诺思.制度变迁与美国经济增长[M].张志华,译.上海:格致出版社,上海人民出版社,2019:18.
[2] 维克托·迈尔-舍恩伯格,肯尼思·库克耶. 大数据时代:生活、工作与思维的大变革[M].盛杨燕,周涛,译. 杭州:浙江人民出版社,2013:195-198.
[3] VIKTOR MAYER-SCHONBERGER, YANN PADOVA. Regime change: enabling big data through Europe's new data protection regulation[J]. Columbia Science and Technology Law Review, 2016: 315-335.
[4] TAL Z. ZARSKY. Incompatible: The GDPR in the age of big data[J]. Seton Hall Law Review, 2017: 995-1020.
[5] MICHELE FINCK, ASIA BIEGA. Reviving Purpose Limitation and Data Minimisation in Data-Driven Systems[J]. Technology and Regulation, 2021(8):44-61.
[6] ARTICLE 29 DATA PROTECTION WORKING PARTY. Opinion 03/2013 on purpose limitation[R]. Brussels, Belgium, 2013.
[7] CHRISTOPHER KUNER, LEE A. BYGRAVE, CHRISTOPHER DOCKSEY. The EU General Data Protection Regulation: A Commentary[M]. Oxford:Oxford University Press, 2020:315.
[8] 李惠宗.个人资料保护法上的帝王条款——目的拘束原则[J].法令月刊,2013(1):38-61.
[9] 杨树忍.数据处理目的限制原则的价值补充与实践挑战[J].财经理论与实践,2023(6):146-153.
[10] 牛彬彬.论《个人信息保护法》目的限制原则中的“目的特定”[J].学术交流, 2023(6):64-78.
[11] 梁泽宇.个人信息保护中目的限制原则的解释与适用[J].比较法研究, 2018(5):16-30.
[12] 李汀.刑事侦查中个人信息保护的目的限制原则:欧盟经验与中国路径[J].时代法学,2023(3):70-81.
[13] 罗亚文.冲突与协调:侦查阶段隐私权保障研究[J].重庆社会科学,2022(9):117-128.
[14] 孙祯锋.比较法视域下科学研究处理个人数据的法律界限[J].科技进步与对策,2022(24):91-99.
[15] 朱荣荣.个人信息保护“目的限制原则”的反思与重构——以《个人信息保护法》第6条为中心[J].财经法学,2022(1):18-31.
[16] OECD. OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data[R].Paris,France, 1980:3.
[17] ARTICLE 29 DATA PROTECTION WORKING PARTY. Opinion 05/2014 on Anonymisation Techniques[R]. Brussels, Belgium, 2014.
[18] 杨合庆.中华人民共和国个人信息保护法释义[M].北京:法律出版社,2022:57.
[19] 马里厄斯·克里奇斯托弗克.欧盟个人数据保护制度:《一般数据保护条例》[M].张韬略,译.北京:商务印书馆,2023.
[20] 海伦·尼森鲍姆. 场景中的隐私——技术、政治和社会生活中的和谐[M].王苑,等译.北京:法律出版社,2022.
[21] HO C H. Challenges of the EU general data protection regulation'for biobanking and scientific research[J]. Journal of Law, Information and Science, 2017(1): 84-103.
[22] REGINA BECKER et al.. Secondary Use of Personal Health Data: When Is It 'Further Processing' Under the GDPR, and What Are the Implications for Data Controllers?[J]. European Journal of Health Law, 2023,(30):129-157.
[23] 阿圖尔·考夫曼,温弗里德·哈斯默尔.当代法哲学和法律理论导论[M].郑永流,译.北京:法律出版社,2013:532-533.
[24] LEE A. BYGRAVE. Data Protection by Design and by Default: Deciphering the EUs Legislative Requirements[J]. Oslo Law Review, 2017(4):105-120.
[25] THE EUROPEAN DATA PROTECTION BOARD. Guidelines 4/2019 on Article 25 Data Protection by Design and by Default(Version 2.0)[R]. Brussels, Belgium, 2020.
[26] WALDMAN, ARI EZRA. Data Protection by Design? A Critique of Article 25 of the GDPR[J]. Cornell International Law Journal, 2020(1):147-167.
[27] 勞伦斯·莱斯格.代码2.0:网络空间中的法律(修订版)[M].李旭,沈伟伟,译.北京:清华大学出版社,2018.
Legal Challenges and Countermeasures of Changes in Purpose of Data Processing
Yang Shuo Wang Yubao
(School of Law,Sun Yat-sen University, Guangzhou 510275, China; School of Law,Lanzhou University, Lanzhou730000,China)
Abstract: The principle of purpose limitation requires information processors not to further process data that is incompatible with the original purpose. The development of big data and artificial intelligence has challenged this principle. Big data analysis uses different algorithms to analyze data, and artificial intelligence requires the reuse of data to create new value by training the data it holds. To change the purpose of data processing, a new balance must be established between the protection of the basic rights of information subjects, risk control and innovation promotion. In order to provide a certain degree of flexibility for further processing of data, a theory of compatible use is constructed through scene consistency; the use of data for scientific research and statistical purposes is presumed to be compatible, thereby releasing the value of big data analysis and improving the predictability of laws. Going one step further, shape the purpose of data processing through code to change the behavioral norms for reusing data.The concept of data protection by design and by default believe that the code structure can use data processing scenarios to build the principle of purpose limitation into the information system, and ensure the compatibility and legality of data re-use through organizational and technical safeguards, and ensure data security.
Key Words: the principle of purpose limitation; compatibility; change of purpose; data protection by design and by default