2018年个人信息保护问题再次被推到了风口浪尖。支付宝在公布了用户“个人账单”时,默示用户同意《芝麻服务协议》,允许芝麻信用收集用户的信息。[1]公众的愤怒虽然导致了支付宝连夜道歉,但人们期待的来自公权力层面的处罚却迟迟未至。支付宝的行为似乎符合中国现有的个人信息保护的通行做法。中国个人信息保护制度目前虽然强调用户的知情同意(informed consent),但实践中对用户一般信息的收集只需用户的默示同意,有关部门规章和司法实践也予以了支持。
当今世界,数据资源如同石油一样是经济的血液,是企业乃至国家核心竞争力的重要组成部分。[2]法律制度应当在合理保护个人信息的基础上给予企业数据活动的便利。这种便利,从微观层面表现为数据企业得以在特定目的范围内为自己目的而利用相关个人信息,进而改进经营或者管理;在宏观层面表现为个人信息通过合法途径有效汇入数据资源从而发挥大数据的放大效果。但是,无论如何强调企业数据的社会经济功用,这种便利都不应该没有底线和合理边界。
现行法律为个人信息保护设置了知情同意原则,那么这个原则应当如何具体把握和适用呢?一方面,知情同意原则似乎难以在实践中做绝对化贯彻;而另一方面,个人知情同意原则似乎也不应被全盘默示化而流于形式,否则公民将时刻处于在生活曝光的风险当中。
二、知情同意原则的确立2009之前的司法解释和当年年底通过的《侵权责任法》第2条明确规定“隐私”是一种民事权益,由此个人信息得以借助侵权法路径予以保护。但是这种保护路径过窄而且存在对应上的不足,特别是主要依赖事后机制。随着网络的普及,个人信息一旦泄露,往往很难真正“恢复原状”,个人信息的事前保护机制建设逐渐被提上议程。
2012年由人大常委会出台的《关于加强网络信息保护的决定》(以下简称《决定》)具备明显的开创性意义。《决定》明确提出在企业收集、使用个人信息时,应当明示收集、使用信息的目的、方式和范围,并经被收集者同意——知情同意原则被首次提出。①该原则等于赋予了个人信息主体以自决权包括拒绝权,具有预先保护的功能。遗憾的是,《决定》因欠缺配套措施,宣示意义远大于规范意义。
紧接着,在2013年,中国首个个人信息保护国家标准——《信息安全技术、公共及商用服务信息系统个人信息保护指南》(以下简称《指南》)出台。该《指南》明确了数据处理的基本原则:目的明确原则、最少够用原则、公开告知原则、个人同意原则、质量保证原则、安全保障原则、诚信履行原则、责任明确原则。这些为数据行为建立了行为规范基准,具有强大的事先引导和保障功能。尤其值得注意的是,《指南》将知情同意原则具体化,强调了“分层通知”的理念,即在信息收集、加工、转移、删除各个阶段都应当保障数据主体的知情同意。②在同一年,工信部还出台了《电信和互联网用户个人信息保护规定》,明确强调电信业务经营者、互联网信息服务提供者在收集数据时必须遵守知情同意原则。③
与此同时,面对着个人信息泄露、信息安全堪忧的情况,司法机关也开始发布一些指引,确立知情同意等相应个人信息保护的事先机制,以弥补成文法的不足。2014年最高人民法院出台了《关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》,对《侵权责任法》规定的“避风港原则”进行了补充④,明确了对“敏感信息”的收集和使用必须得到信息主体的事前同意⑤。通过行政和司法部门的上述努力,个人信息保护的知情同意原则就此确立。
现代社会中的个人信息主要指的便是在互联网中流通的数据。2016年11月7日《网络安全法》生效,对互联网语境的个人信息安全作出了具体的回应。《网络安全法》在个人信息转让上放松了对信息主体的同意,但总体上仍然以其知情同意为数据活动的正当性基础。根据《网络安全法》第41条,个人信息的收集和使用都必须确保用户的知情同意。⑥与之相对,《网络安全法》第42条第1款则规定,网络运营者转让个人信息的,只要该个人信息无法识别特定个人且不能复原,就不必征得个人同意。⑦据此,《网络安全法》区分了个人信息的收集、使用和转让分别适用不同的规则:收集和使用个人信息必须满足知情同意原则的要求,转让匿名化个人信息时则不需要征得用户的明确同意。
三、知情同意原则的实践异化及其原因知情同意原则符合人们对个人信息保护的直观认识:企业对个人信息的收集、使用和转让如果事先得到了信息主体的同意,那么似乎便不存在侵犯个人信息的不法性。遗憾的是,这种看似严格保护的规定在事实上却往往无助于保护用户的个人信息。
实践中,数据企业将这种同意机制实际异化设置为一种近乎为默认的机制,绝大多数用户并不知道自己“同意”就已经构成了“同意”。前述支付宝事件即是如此。
知情同意原则异化的实践及司法立场,最早可见于2015年发生的“中国Cookie第一案”。在该案中,百度强调利用Cookie技术收集个人上网记录是完全合法的,但百度的隐私条款同样几乎很难被用户发现。但是,“默示同意”不等同于“知道”,在该案当中原告乃至一般的用户根本不清楚百度在利用Cookie技术收集数据;上网的浏览记录被径自认为属于“一般信息”恐怕也有值得商榷的空间。然而,南京中院最终认可了百度的主张,认为有关规章文件即前述《指南》规定对一般数据是可以通过“默示同意”方式进行收集的,据此认定百度没有违背知情同意原则。[3]
知情同意原则之所以会异化,根本原因在于:在大数据时代,知情同意原则绝对化不完全符合现实经济关系逻辑。个人信息保护的知情同意原则是一种历史的创制,其产生受到隐私权理念的深刻影响。该理论在web1.0时代或许还有着一定的可行性,但是当人类社会进入到web2.0,web3.0之时,人类已经进入到了大数据时代,这一原则就会存在新的时代逻辑障碍。
首先,知情同意原则绝对化很可能使得企业和用户个人都陷入到无能为力的尴尬局面。一方面,企业被强制性要求向用户解释数据的使用方式、范围和目的,并获得用户的明确同意;另一方面,信息主体又被法律要求阅读复杂的、无聊的隐私政策说明,而他们对此几乎完全不感兴趣。更不用说,网络设备、服务的普及化以及平台和应用的密集化使得用户不得不频繁地做出授权同意,这使得用户逐渐地将知情同意视为了一种负担而非对自身权益的保护——他们往往不假思索地点击“同意”并进入“下一步”。
其次,在大数据时代,明确告知信息的使用目的几乎是不可能的。虽然无论是欧盟还是美国都在坚持“目的拘束原则”⑧,但是该制度实际运行的并不理想。因为大数据分析的奥秘就在于,在数据分析之前根本就没有“目的”——分析师们也不知道会产生什么样的结果。以往,探索和研究往往需要首先提出一个前提假设,然后通过实验以证成或证伪;但在大数据时代,数据分析采用全本而非样本,通过对全部数据的分析,分析师们能够惊奇地发现看似不相关事物之间的相关性,进而获得技术乃至制度创新的灵感。换言之,追求全本而不是样本,追求相关性而非因果性,容忍错误而不苛求精确,大数据使得人们的思维路径发生了根本性的变革。[4]这种新的方法论被称为“科学的第四范式”(fourth paradigm of science)。[5]正是这种“没有目的”的数据分析,使得人们摆脱了“前见”的束缚,进而推动了创新和发展。在这种背景下,要求企业在收集、使用数据之前给出明确的目的说明,这未免有些强人所难。即使是极端强调个人信息保护的德国,也只能无奈地宣称,“虽然要求告知数据主体以数据分析的具体目的,但是可以是框架性和方向性的,而不必穷尽所有的细节”[6]。
立法者之所以选择了知情同意原则并在初期使其绝对化,一方面在于那时数据经济并不明显,人们对数据分析的意义和价值尚未有一个清晰的认识[7];另一方面则源于人们普遍将个人信息保护等同于对隐私权或人格尊严的保护[8]。
但是,数据(信息)保护和隐私保护并不是完全等同的。个人信息有的具有浓厚的隐私性,有的隐私性稀薄甚至近乎于无,但是由于数据技术的发展却使之具有了财富意义。因此需要区分:对于前者,仍然有必要纳入隐私保护,继续援引隐私权保护路径;对于后者,则要进一步区分,总体上以便于利用为主,像是现代空域管理制度一样,提供的是利用资源的制度设计,是一种事前的管理路径。
正是注意到了这一差别,2016年4月欧盟通过的《一般数据保护条例》(以下简称《条例》)重新明确个人信息概念,不再以“隐私权”为核心建构个人信息保护制度。此前,欧盟1995年出台的《对个人信息处理的保护和个人信息流通指令》(Directive 95/46/EC;以下简称《95指令》)明确指出,指令的目的之一是确保成员国必须保护自然人的基本权利和自由,特别是和数据处理有关的自然人的隐私权。⑨但2016年通过的《条例》则规定,该条例的目的是保护自然人的基本权利和自由,尤其是自然人要求个人数据保护的权利。⑩隐私权被从《条例》的目的性条款中移除了。再观诸于其他条文,《条例》将“通过设计保护隐私”替换成了“通过设计和默示条款保护数据”,将“隐私影响评估”替换成了“数据影响评估和事前咨询”,等等。[9]《95指令》当中,“隐私”这一字眼出现了13次;而在《条例》当中,这一字眼仅仅出现了3次。可见,欧盟也认识到了以隐私权作为个人信息保护的理论支撑是不合时宜的。
欧盟2016年《一般数据保护条例》一旦拿掉了原来的理论支点,对原来就个人信息保护推行的知情同意原则也就需要进行一定的改造。例如:不同于《95指令》强调知情同意是处理数据的惟一正当性来源,《条例》规定了六种合法性基础,知情同意只是其中的一种。即使是涉及种族、政治观点、宗教或价值观念等特殊类型的个人信息,仍然在特定情况下可以不经个人明确同意而为了公共利益进行处理。⑪此外,在发生个人信息泄露时,《条例》也规定在一些情况下可以不通知信息主体:数据控制者已经采取措施确保危险不会存在或通知成本太高或通知危害社会公益。⑫可见,知情同意原则的“相对化”或者说“适用区分化”已是大势所趋。
四、知情同意原则类型化适用之误区实践中,中国相关方面已经注意到了知情同意原则绝对化的不足,在数据产业的实践推动下,为了个人信息保护的合理化不断尝试对于知情同意适用进行个人信息类型化区别的方式,来予以弥补。应该说这些努力,有一定效果,但是也或多或少陷入了类型化适用的一些误区。
工信部2013年颁布的《指南》将信息区分为个人一般信息和敏感信息。但是,2017年《网络安全法》第41条第1款,在仍然以知情同意原则为个人信息安全的规范核心的基础上,引入了新的区分做法:一方面,区分可识别个人信息和不可识别的个人信息;另一方面,又区分了个人信息的收集、使用和转让活动不同类型对应不同的规则设计。这样,中国知情同意原则在个人信息保护问题上,面临三种个人信息类型化区分的规范和适用问题,而且这种交错的类型划分还使得问题变得更加复杂化。
(一) 基于个人信息内容的区分工信部《指南》在区分个人敏感信息和个人一般信息的基础上分别适用知情同意原则。
根据《指南》第3.7条和第3.8条,个人敏感信息是指一旦遭到泄露或修改,会对标识的信息主体造成不良影响的个人信息,如身份证号码、手机号码、种族、政治观点、宗教信仰、基因、指纹等;个人一般信息则是指除个人敏感信息以外的个人信息。个人敏感信息的收集和使用必须经过信息主体的明确同意;对于一般信息的收集和使用则只要求用户的默示同意。⑬
《指南》考虑到了个人敏感信息的特殊保护问题。诸如政治理念、宗教信仰、种族、基因等个人信息可能会使得信息主体遭受不公平对待、歧视甚至迫害,值得法律特殊保护。但是问题是,这种特殊“个人信息”本身应该不只是所谓“个人敏感信息”这么简单,而是应该完全排除在可以作为数据处理、利用的个人信息范围之外。
基于这种考虑,欧盟《95指令》第三部分特设了“特殊类型的个人信息”(Special Categories of Personal Data)这一类型,规定对上述个人敏感信息应当严格保护。欧盟《条例》基本延续了《95指令》的这一思路:第9(1)条规定特殊类型的数据包括能够揭示“种族或家族血统,政治观点,宗教或哲学信仰或工会成员资格,健康、性生活或性取向”,并且以识别个人为目的对于遗传数据,生物识别数据的处理也是不被允许的。
此外,《指南》简单认为,对一般信息的收集和使用只需要用户的默示同意即可,实质很可能不利于对个人信息的适当保护。即使对于个人一般信息,欧盟《条例》也要求明确同意。个中原因在于其认为,通过对个人一般信息的分析也可识别个人的敏感信息。《指南》根据信息内容做出区分之后,对于个人一般信息完全放开明确同意对于收集的规制,实质是忽视了个人一般信息最终可能通往敏感信息的潜在效果。大量个人一般信息的累积足以揭露个人的敏感信息。2012年生效的《新加坡数据保护法》为此不再尝试区分个人敏感信息和个人一般信息,而是予以一体规范。⑭
(二) 基于个人信息功能的区分中国《网络安全法》第76条第5款规定:“个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。”该规定显然将个人信息区分为“可识别的个人信息”和“不可识别的个人信息”,并认为法律保护的是“可独自或与其他信息结合识别个人”的个人信息。
《网络安全法》将个人信息区分为可识别性的个人信息和不可识别的个人信息的路径,立法经验来自欧盟《95指令》的思想:保护个人信息在于防止个人被识别,那么就需要保护那些能够识别个人的信息。欧盟《95指令》曾经采取了这一进路,其第2条规定:“个人数据是指任何和被识别的或可被识别的自然人(数据主体)有关的信息。”
然而,随着计算机技术的发展,科学家已经明确地指出,看似不可识别的个人信息仍然是可以识别个人的。技术使得从不可识别的个人信息的组合当中可以轻易地推断出可识别的信息,此即个人信息的累加效用(aggregation)。[10]此外,随着技术的发展,可识别的个人信息和不可识别的个人信息的界限开始模糊了,今日的不可识别的个人信息可能就是明天的可识别的个人信息。[11]何况,有些个人信息是很难被清晰地分类的,而往往需要根据语境而定,这就使得个人信息保护陷入到了不可预测的危险当中。⑮基于上述原因,已经有美国学者提出,区分可识别的个人信息和不可识别的个人信息对保护个人信息是没有意义的。[12]
欧盟《95指令》最初以可识别性定义个人信息,但却引发了几十年的关于“识别性”到底是什么的争论。[13]29条数据保护小组花费了很大的精力试图界定个人信息的范围,却只能铩羽而归。[14]不得已,欧洲数据保护小组提出应当通过“绝对确定标准”(absolute certainty)界定不可识别的个人信息,“如果网络服务商和搜索引擎提供商不能够绝对确定数据不能够被识别,那么出于安全考虑,所有的数据都将被认定为可识别的个人信息”[15]。这一严格的标准要么使得企业畏惧不前,要么使得企业完全不理会知情同意原则。[16]中国《网络安全法》的区分沿袭,有重蹈欧盟困境之嫌。
(三) 基于信息活动类型的区分《网路安全法》还做了另外一种区分:基于信息活动的不同区分适用知情同意原则。第42条规定,未经被收集者同意,不得向他人提供个人信息,但经过处理无法识别特定个人且不能复原的除外。结合第41条理解:个人信息的收集和使用必须满足知情同意原则,即使匿名化处理后仍然如此;但运营商转让匿名化个人信息的,不在此限。
这种区分规定的缺陷也是显而易见的。首先,匿名化后的个人信息仍然可以和其他个人信息相结合从而精确地定位个人。计算机专家们已经广泛地证明即使是匿名化处理的个人信息也能够被用以识别个人,完全不可识别的个人信息是不存在的。[17]1701有学者甚至提出,鉴于去匿名化技术的已经侵蚀了人们对于匿名化的信心[17]1704,应当将所有的个人信息都认定为可识别的个人信息,进而受到个人信息保护法的严格拘束。[17]1742—1743其次,区分个人信息的收集、使用和转让分别规范缺少依据。何以收集、使用个人信息应当满足知情同意原则,即使匿名化处理仍是如此?而转让匿名化个人信息则受到法律的优待?
《网络安全法》应该是意识到了实现个人信息保护和个人信息使用平衡之重要,意图通过区分数据活动类型实现二者的动态平衡,可谓用心良苦。但是,立法区分类型规范需要更加精细合理,这样才能做到个人信息保护上的妥当。
五、中国未来《个人信息保护法》知情同意原则的应然设计中国未来的《个人信息保护法》应当在充分反思知情同意原则基础上,进行更加合理并精细的制度设计,一方面确保知情同意原则不能僵化而与数据经济合理化需求抵牾,另一方面不至于流于形式而不能充当正当保护个人信息的有效机制。笔者在此建议的思路是:知情同意原则应转向更加具体的实质化,以期真正有效保护个人信息。
(一) 知情同意原则的实质化 1. 清晰和明确的同意《指南》规定对一般数据是可以通过“默示同意”的方式进行收集的。中国新近出台的《信息安全技术:个人信息安全规范》(GB/T 35273—2017,以下简称《安全规范》)延续了《指南》的这一规范路径:根据《安全规范》第5.3条a款,个人信息控制者收集个人信息前“应征得个人信息主体的授权同意”,联立第3.6条(明示同意)和第5.5条(收集个人敏感信息时的明示同意),原则上企业对个人一般信息的收集默示同意即为已足。据此,个人信息控制者仍然可以通过默示条款的方式,使得信息主体可能完全不知道自身的信息正在被收集。
与之相较,欧盟《条例》则明确要求信息主体的“无歧义”(unambiguous)或“清晰”(explicit)的同意。《条例》要求企业在向信息主体要求同意时,必须以一种可以清晰可注意到的方式,一种可理解的方便的格式,并采用清楚直白的语言;在信息主体做出同意之前,必须确保信息主体清楚全部的相关信息。《条例》还具体化了信息收集、处理过程中的通知义务,并且规定这些信息的提供必须是明确的、不迟延的和免费的;规定在信息处理超出原目的时,处理者应当通知信息主体并获得其同意;在个人信息被转让给第三方之前应当征得信息主体的同意,等等。⑯
中国未来的《个人信息保护》应当摆脱窠臼,与时俱进,打破区分个人敏感信息与个人一般信息分别适用知情同意原则的二元结构,规定对个人信息的收集和使用都应当获得信息主体的清晰的、明示的同意,以此促使企业积极开发技术手段,获得用户的支持。
2. 同意的可期待性限制知情同意原则应当根据可期待性与否为必要之修正。例如:朋友期待对方不会出卖自己的秘密;在医疗关系中医生负有保护病人隐私的义务;政治家则被期待主动地公开自身的职业能力、政治忠诚度、人格品质、政治关系和过去的政治活动等信息,这些信息不被认为是个人隐私。
美国著名政治哲学家米歇尔·沃尔泽(Michael Walzer)认为,正义是复杂的,是难以给予一明确定义的;复杂的正义只能通过资源在不同的并且相对自治的社会领域中按照不同标准的分配实现。[18]17如果在不同的社会领域中却依据同一标准分配资源,那么这种分配一定是非正义的:资源应当因本身属性不同而在不同社会领域中产生不同的分配结果。[18]320
尼森鲍姆(Nissenbaum)受此启发,提出了个人信息保护的“情境诚信理论”(Contextualintegrity),认为个人信息保护应当根据不同的情境(contexts)或领域(spheres)而有不同的期待。谁收集信息,谁在分析,谁在传播并且传播给了谁,个人信息的性质,各方之间的关系以及机构和社会情况等都可能影响特定领域内规范内容的确定。[19]127尼森鲍姆指出,领域内的规范大致可分为两类:恰当性规范(Norms of Appropriateness)和分配性规范(Norms of Distribution)。其中分配性规范则意味着承认个人对个人信息保护的合理期待。[19]141在尼森鲍姆看来,如果行为不合期待,那么即存在着侵犯个人信息的事情[19]138。
中国未来的《个人信息保护法》应当通过可期待性修正知情同意原则,避免制度的刚性造成实质之不正义。立法应当留出恰当的弹性空间,使得司法可以根据具体情境,判断这种同意是否是可以期待的。如前所论,用户越来越将自己的同意视为一种负担,往往不假思索地点击同意并进行“下一步”。如果是不符合期待的,亦即用户如果在充分阅读信息后,一般会拒绝接受相关条款,那么即使用户做出了明示的同意,仍可以违背知情同意原则为由反对特定的数据活动。
(二) 知情同意原则的必要豁免 1. 数据活动正当性事由多样化如前所论,现代社会的数据处理难以事先界定明确的目的。如果僵化适用知情同意原则,那么数据活动无法展开,数据经济将会举步维艰。
欧盟新出台的《条例》不再以个人的授权为个人信息使用的惟一正当性来源,而是规定了六种合法性基础:用户的知情同意,履行合同所必须,为履行法定义务,符合用户切身利益,公共利益需要,企业追求合理利益需要。⑰可以清晰地看到,知情同意原则不是惟一的合法性基础。[20]为了实现公共利益或保护他人重大权益对个人信息的使用、分享和处理同样是法秩序的要求。欧盟《条例》规定的六种正当性事由并非仅限于数据的收集,整个数据活动都在其射程之内。
值得称赞的是,中国新近出台的《安全规范》对此有所突破,第5.4条规定了征得个人信息主体同意的例外,承认了特殊情况下不征得同意时的个人信息收集的合法性,肯定了在个人信息安全之外还存在着整体的经济和社会价值。尤其值得注意的是,根据第(g)项和第(h)项,当根据个人信息主体要求签订和履行合同所必需和用于维护所提供的产品或服务的安全稳定运行所必需时,个人信息的收集可不经过信息主体的同意。这种设计体现了人工智能时代企业对智能产品的推广、跟踪和改进的商业需求,有利于中国智能制造和人工智能的发展。
然而,《安全规范》只规定在特殊情况下可以收集个人信息,对于个人信息的使用、分享和处理则仍然受到知情同意原则相当程度的僵化适用束缚。中国未来的《个人信息保护法》应当进一步突破桎梏,规定个人信息收集、使用和转让过程中也存在多样化正当性事由的除外情形,提供充足的知情同意原则豁免。
2. 个人信息可在匿名化后排除知情同意原则适用网络最初的设计理念是“网络自由”:网络科学家们希望公开所有的代码和程序,因为当所有人都可以了解代码和程序的功能和目的时,现实生活中的管制、窃听等行为将不可能在网络上出现;科学家也致力于网络的匿名化使得个人无法被识别,因为一旦网络上的言论、行为得以被追溯,那么自由就不存在了。⑱在“网络自由”思想的指引下,“末端对末端原则”成为了因特网的核心原则,该原则导致了“识别”(identification)和“认证”(authentication)的缺失。[21]在那个时代,个人信息的收集仅仅具有技术价值。
网络信息匿名化持续了很长时间,直到商家发现其中蕴含着巨大的商机,便很快就转向可识别化。如地理位置探测技术使得网络行为人的具体位置可以被锁定。互联网最初并不打算揭露用户的地理位置。IP地址是虚拟世界的地址,并不与真实的地理位置发生丝毫的关联。但当美国商人霍利(Houri)坐在巴黎的酒店里,却收到了美国花店的广告时,他不由想到,如果可以知道用户的位置,有针对性推送商业广告那该有多好。[22]44这种想法推动了能够揭露地理位置的程序的研发:科研人员很快开发出了IP地图服务。只要用户一进入网页,马上可以自动锁定用户的地理位置。
政府基于安全管理或者其他方面的需要,也积极推动个人信息的可识别化。例如:美国政府要求网络服务提供商使用一种有利于追踪的软件,以用户提供最低限度的身份证明为准入条件。如果网络服务提供商拒绝使用该软件,那么政府就禁止大型商业机构与该服务商进行交易,最终迫使网络服务提供商普遍设置了最低身份证明要求。[22]69—71
商业和政府的合力使得虚拟社会和现实社会开始连接。网络社会个人的显名化促进了电子商务的繁荣。有利于打击犯罪、保护国家安全。但是,当个人可以被识别时,个人信息保护也就变成了新时代的一大隐忧。
合适的规制路径是,立法应当推动一些措施,在目前网络个人信息可识别为主要显相的背景下,应当鼓励对个人信息,特别是某些需要特殊保护的个人信息匿名化——这种个人信息可称为个人敏感信息。数据是21世纪经济的血液,个人信息被广泛应用于交通指挥、疾病预防、公共治理等领域的事实,使得个人信息的社会价值变得越来越重要。[23]个人信息匿名化是实现个人信息保护和个人信息使用平衡之良方。[24]
个人信息的匿名化将改变个人信息可识别的状态;将有助于个人信息和直接的身份识别信息的分离,从而使得对身份的识别成本较高。从技术上,绝对匿名化是不可能的。但是从法律上,可以通过行为规制上使之成为一种可以达成的法律保护状态。通过在法律上将匿名信息和非匿名信息予以区分,使得企业既有动力又有压力将需要匿名的个人信息匿名化。基于这种匿名化的规制目的,法律应进一步规定其他当事人也要延伸承担不得揭破匿名的义务。
个人信息匿名化有了这层技术保障的因素加上法律保障,其匿名化状态可以得到强力维护。著名网络法学者赖斯格曾言,网络的规范,有技术、法律、社会规范和市场多种规制路径,应当通过几种方法的结合达到单一规制路径无法实现的效果。[25]匿名化技术虽然不意味着个人信息完全无法复原,但是其改变了个人信息的样态,使得他人只有付出巨大的时间、金钱和劳动力始得确定个人信息的具体内容。⑲但是技术使得匿名化信息仍然可以被用来识别个人,因此需要通过法律的威慑可以禁止恣意还原个人信息的行为。法律惩罚会导致对于恣意还原行为的恐惧:因为,非法尝试挖掘匿他人身份的行为,必定会遭受法律甚至是刑法的制裁。[26]例如:根据中国现行刑法,非法还原匿名化信息,解释上应纳入刑法第253条之一第3款“以其他方法非法获取公民个人信息”的行为处理。通过技术加法律的双重保障,个人信息的匿名化才能成为“使用大数据技术的良方”(Königsweg des Einsatzes von Big Data Techniken)。[27]
欧盟《条例》采取了鼓励匿名化的规制路径。首先规定,匿名化是一种使个人数据在不使用额外信息的情况下不指向特定数据主体对待个人数据处理方式⑳;凡是匿名化个人信息,即可不受《条例》之桎梏。同时,强调个人信息可识别性的认定应当以是否需要付出巨额成本方能识别为判断标准。《条例》第4条第1项:为了确定是否是可以识别的,必须考虑所有可能被使用的方式;而要确定哪些方式可能被用来识别个人,则必须考虑所有的客观因素,如识别所需的成本、时间、现有的技术和技术的发展。㉑可见,欧盟通过界定个人信息的方式,给予匿名化个人信息充分的豁免:匿名化后的个人信息不受知情同意原则及其他相关制度的桎梏。
其他国家亦然。美国联邦贸易委员会(FTC)也使用了“合理性”标准,使匿名化数据甚至假名化数据都可能不受限制。[28]日本2015年新修正的《个人信息保护法》更为直接,其第2条规定:有关个人信息保护的规定不适用于匿名加工信息。
有鉴于此,中国未来的《个人信息保护法》也应当推动个人信息的匿名化,可径自规定:“个人信息,是指以电子或者其他方式记录的个人产生的、和个人有关的信息,但匿名化信息不在此限”。以匿名化为基点建构的个人信息保护体系,在技术匿名化本身使得识别个人成本极高的情况下,又通过行政法、民法、刑法等法律的辅助,应当能够起到良好的保护个人信息的作用。
六、结语“对于一艘没有航向的船来说,任何方向的风都是逆风。”今天对个人信息保护制度予以完善,应当随着数据经济的崛起,更加充分探讨前进的方向,以充分而有效保护个人信息。
中国未来的《个人信息保护法》应当对原来知情同意原则简单化设计做出反思,引入实质化理念,根据新的数据环境进行更加合理的精细化设计。首先,应该明确,在企业对个人信息的收集应当征得用户清晰和明确的同意,即使是对个人一般信息亦然;用户的同意应当通过可期待与否进行必要之限制,如果不合期待,那么用户的明示同意也并不产生正当化数据活动的法效果。其次,为了实现数据活动和数据经济之前的平衡,立法应当为整个数据活动提供充足的法律豁免。这些包括:明确用户的知情同意并非惟一的合法性基础,应当通过多样化的制度设计满足数据活动的正当性诉求;立法应当鼓励个人信息匿名化,将匿名化的个人信息排除在《个人信息保护法》知情同意原则适用之外,等等。
注释:
① 参见:《全国人民代表大会常务委员会关于加强网络信息保护的决定》第2条。
② 参见:《信息安全技术、公共及商用服务信息系统个人信息保护指南》第4.2条,第5.1~5.5条。
③ 参见:《电信和互联网用户个人信息保护规定》第9条。
④ 参见:《关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》第9条;另参见《侵权责任法》第37条。
⑤ 参见:《关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》第12条。
⑥ 参见《网络安全法》第41条:“网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。”
⑦ 参见:《网络安全法》第42条第1款:“网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。”
⑧ 例如:欧盟出台的《一般数据保护条例》第6条第1款b项明确要求数据的收集说明自身的明确的、清晰的和合法的目的。美国致力于实现数据创新和数据保护之间的“FIPP规则”也明确强调目的拘束原则。
⑨ European Data Protection Directive (95/46/EC), Article 1.
⑩ 参见:欧盟《一般数据保护条例》第1条。
⑪ 例如:当法院根据司法权力执法,为了测试药物或者医疗体系评估,为了保障公共卫生健康,符合法律规定的为了实现公共利益、历史或科学目的的情况下,都可以不经同意而使用信息主体的敏感信息。详见欧盟《一般数据保护条例》第9条。
⑫ 参见:欧盟《一般数据保护条例》第32条。
⑬ 参见:《信息安全技术、公共及商用服务信息系统个人信息保护指南》第5.2.3条。
⑭ 惟一的例外在于第5附表第1(u)条的规定:如果为了档案或历史目的披露个人信息,且一个理性人不会认为这些个人信息过于敏感以至于不能允许在这一时期进行披露,那么就可以不经信息主体同意而披露信息。
⑮ 例如:在美国Gonzales v. Google案中,法院指出一般而言,搜索记录被认为不属于敏感信息,但是在一些特定场合下可能属于敏感信息。See 234 F.R.D. 674 (N.D. Cal. 2006).
⑯ 参见:欧盟《一般数据保护条例》第6条、第7条、第9条、第12条、第14条和第15条。
⑰ 参见:参见欧盟《一般数据保护条例》第6条第1项。
⑱ 在20世纪90年代左右,东欧剧变,苏联解体。前苏联情报部门对于自由的压制和思想的规制,使得人们对政府失去了信心——政府极有可能成为最大的恶。于是,自由主义开始盛行,整个中东欧都掀起了反政府主义狂潮——经历了这些事件的人们倾向于认为政府属于压迫者(government was the oppressor)。反政府主义者相信,只要市场和非政府组织就可以治理这个国家,“事情可以自主管理”(things would take care of themselves)。互联网似乎可以创造一个现实世界永远无法实现的社会——没有等级和政府管理、合意的自由的社会。这种理念影响了科学家对于网络的看法,他们宣称,他们反对国王、总统和投票,他们只相信简单的共识和运行的代码。We reject: kings, presidents, and voting. We believe in: rough consensus and running code.See Paulina Borsook,How Anarchy Works (1995),http://archive.wired.com/wired/archive/3.10/ietf.html.
⑲§3(6) Bundesdatenschutzgesetz (BDSG).
⑳ 参见:欧盟《一般数据保护条例》第4条第5项。
㉑ 参见:欧盟《一般数据保护条例》前言第26条。
| [1] |
默认选项收集用户信息支付宝连夜道歉[EB/OL]. (2018-01-04). https://www.zaobao.com.sg/realtime/china/story20180104-824146.
|
| [2] |
马志刚. 以数据权利计算推动信息资产变现. [EB/OL]. (2016-03-22). http://www.sray.cn/keji/hulianwang/2016-03-22/50970.html.
|
| [3] |
刘梦. 中国Cookie隐私第一案终审: 法院判网站不构成侵权[EB/OL]. (2015-06-30). http://china.cnr.cn/xwwgf/20150630/t20150630_519018110.shtml.
|
| [4] |
维克托·迈尔·舍恩伯格. 大数据时代[M]. 杭州: 浙江人民出版社, 2012, 25-55.
|
| [5] |
Jim gray on escience: A Transformed Scientific Method[EB/OL]. [2018-04-10]. https://www.immagic.com/eLibrary/ARCHIVES/EBOOKS/M091000H.pdf.
|
| [6] |
OHRTMANN, SCHWIERING. Big data und datenschutz-rechtliche herausforderung und lösungsansätze[J]. Neue Juristische Wochenschrift, 2014(1): 2987. |
| [7] |
JOSEF B. Der wert der wahrheit im schatten des rechts auf informationelle selbstbestimmung:Ein beitrag zum zivilrechtlichen ehren-, persönlichkeits-und datenschutz[M]. Berlin: Duncker & Humblot Verlag, 1991, 149.
|
| [8] |
CHRISTOPH M. Datenschutz in verwaltungs-und informationssystemen:Zur verhältnismäβigkeit des austausches von individualinformationen in der normvollziehenden verwaltung[M]. München: Oldenbourg Verlag, 1976, 22.
|
| [9] |
LUIZ C, YVES P. Privacy and the Regulation of 2012[J]. Computer Law & Security Review, 2012(28): 255. |
| [10] |
DANIEL J S. Understanding privacy[M]. Cambridge: Harvard University Press, 2008, 117-121.
|
| [11] |
FTC. Protecting consumer privacy in an era of rapid change[EB/OL]. [2018-04-10]. https://www.ftc.gov/sites/default/files/documents/reports/federal-trade-commission-report-protecting-consumer-privacy-era-rapid-change-recommendations/120326privacyreport.pdf.
|
| [12] |
PAUL O. Broken promises of privacy[J]. UCLA Law Review, 2010, 57: 1701. |
| [13] |
PAUL D H, VAGELIS P. The new general data protection regulation:Still asound system for the protection of individuals?[J]. Computer Law & Security Review, 2016, 32: 183. |
| [14] |
Article 29 data protection working party, opinion 4/2007 on the concept of personal data, WP 136[EB/OL]. (2007-06-20). https://www.clinicalstudydatarequest.com/Documents/Privacy-European-guidance.pdf.
|
| [15] |
Article 29 data protection working party. Opinion 1/2008 on data protection issues related to search engines (00737/EN/WP 148)[EB/OL]. (2008-04-08)http://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2008/wp148_en.pdf.
|
| [16] |
PAUL S D. Solove the PⅡ problem:Privacy and a new concept of personally identifiable information[J][J]. New York University Law Review, 2011, 86: 1883. |
| [17] |
PAUL O. Broken promises of privacy:Responding to the surprising failure of anonymization[J]. UCLA Law Review, 2010, 57: 1701-1743. |
| [18] |
Michael W. Spheres of justice:A defense of pluralism & equality[M]. Oxford: Basil Blackwel, 1983, 17-320.
|
| [19] |
HELEN N. Privacy as contextual integrity[J]. Washington Law Review, 2004, 79: 127-141. |
| [20] |
JOHANNES M. Herausforderungen des datenschutzes[J]. Neue Juristische Wochenschrift, 2012(1): 2309. |
| [21] |
JEROME H S. End-to-end arguments in system design in:Integrated broadband networks[M]. Boston: Artech House, 1991, 30-41.
|
| [22] |
JACK G, TIMOTHY W. Who controls the internet:Illusions of a borderless world?[M]. Oxford: Oxford University Press, 2006, 44-71.
|
| [23] |
DANIEL B J. Balancing privacy protection with scientific accuracy: Challenges for de-identification practice[EB/OL]. (2010-06-15). http://www.lewin.com/~/media/lewin/cer/resources/barth-jones_lewin_cer_symposium_6_15_10.pdf.
|
| [24] |
IRA R, RONALD L, PAUL S. data mining and internet profiling:Emerging regulatory and technological approaches[J]. University of Chicago Law Review, 2008, 75: 268-269. |
| [25] |
LAWRENCE L. Code 2.0[M]. New York: Basic Books, 2006, 1-8.
|
| [26] |
SCHNEIDER, HÄRTING. Datenschutz in Europa-plädoyer für einen neubeginn[J]. Computer Und Recht, 2014, 306-310. |
| [27] |
MARTINI. Big data als herausforderung für den persönlichkeitsschutz und das datenschutzrecht[J]. Deutsches Verwaltungsblatt, 2014(1): 1481. |
| [28] |
PAUL M S, DANIEL J. Solove reconciling personal information in the United States and European Union[J]. California Law Review, 2014, 102: 87. |