华南理工大学学报(社会科学版)   2022, Vol. 24 Issue (1): 89-98  DOI:10.19366/j.cnki.1009-055X.2022.01.010
0

引用本文 

杨智博. 韩国《个人信息保护法》的最新修正及其对我国之启示[J]. 华南理工大学学报(社会科学版), 2022, 24(1): 89-98. DOI: 10.19366/j.cnki.1009-055X.2022.01.010.
YANG Zhi-bo. The Latest Amendment of Personal Information Protection Law of South Korea and Its Enlightenment to China[J]. Journal of South China University of Technology (Social Science Edition), 2022, 24(1): 89-98. DOI: 10.19366/j.cnki.1009-055X.2022.01.010. #esle

基金项目

国家社会科学基金重点项目(18AFX013)

作者简介

杨智博(1991-), 男, 博士, 讲师, 主要研究方向为刑法学、信息法学

文章历史

收稿日期:2021-03-24
Contents              Abstract              Full text              Figures/Tables              PDF
韩国《个人信息保护法》的最新修正及其对我国之启示
杨智博    
西北政法大学 刑事法学院, 陕西 西安 710199
收稿日期:2021-03-24
基金项目:国家社会科学基金重点项目(18AFX013)。
作者简介:杨智博(1991-), 男, 博士, 讲师, 主要研究方向为刑法学、信息法学。
摘要:基于提升对核心资源数据的利用活性化,发展新产业等目的,韩国立法机关在2020年对《个人信息保护法》进行了幅度最大且最具有现实意义的一次修正。此次新增“假名信息”的概念并明确其具体的含义,否认需要耗费极多时间和费用、运用超前技术才能被识别的信息属于个人信息。与此同时,还扩大了“知情同意原则”的例外情形,认为只要与收集信息的目的合理关联,在满足一定条件的前提下可以不经信息主体的同意利用或者向第三者提供个人信息。若是出于统计、科学研究、公益记录保存等目的,亦可无须信息主体的同意对个人信息进行假名处理。这些修正内容为今后《中华人民共和国个人信息保护法》的进一步完善提供了诸多有价值的启发,可以积极地予以借鉴。具体而言,应当在《中华人民共和国个人信息保护法》中肯定匿名化信息的相对性,确立目的相关联原则以及合理框定不适用“知情同意原则”的情形。
关键词韩国    个人信息保护法    信息活用    假名信息    知情同意原则    
The Latest Amendment of Personal Information Protection Law of South Korea and Its Enlightenment to China
YANG Zhi-bo    
School of Criminal Law, Northwest University of Political Science and Law, Xi'An 710199, Shaanxi, China
Abstract: Based on the purpose of promoting the use of core resource data and developing new industries, South Korea's legislature made the most significant and practical amendment to the personal information protection law in 2020. In this revision, the new concept of "pseudonym information" has been added and its specific meaning has been clarified; it is denied that the information that takes a lot of time and money to identify, or only can be identified by using advanced technology, belongs to personal information. At the same time, the exception of "the principle of informed consent" has been expanded, which allows that as long as it is reasonably related to the purpose of information collection, personal information can be used or provided to a third party without the consent of the information subject under certain conditions. For the purposes of statistics, scientific research, public welfare records preservation, etc., personal information can be processed under pseudonym without the consent of the information subject. These amendments provide a lot of valuable inspiration for Personal Information Protection Law of the People's Republic of China, which can be used for reference. Specifically, the relativity of anonymized information should be defined in the personal information protection law of China, the principle of purpose relevance should be established, and the situation that the principle of informed consent is not applicable should be reasonably defined.
Keywords: South Korea    personal information protection law    flexible use of information    pseudonym information    principle of informed consent    
一、问题的提出

在韩国,由于侵害个人信息的案件接连不断地发生,造成电子政府的诚信度下降、企业经营受到打击、国民的权益受到严重侵害等不良后果[1]。为了解决这些问题,韩国于2011年就已经制定并颁布了《个人信息保护法》。时至今日,韩国《个人信息保护法》已经历经数次修正。其中,最近一次修正发生在2020年,此次修正被认为是自2011年韩国《个人信息保护法》颁布以来修改幅度最大且最具有意义的一次。韩国国会阐释了这次修正的主要理由,即随着第四次产业革命的到来,通过对核心资源数据的利用活性化,培养新产业成为泛国家的课题,特别是为了发展新产业,需要使用人工智能、云计算、物联网等新技术并进行数据利用,为了安全的数据利用,现在亟须制定社会规范。但是根据现行的《个人信息保护法》,支持培养新产业的数据利用活性化是有限的。因此,在没有经过信息主体同意的情况下,如果是以科学研究、统计编制、公益记录保存等为目的,应当为对假名信息的利用提供根据。与此同时,也要强化个人信息处理者的责任,在制度上保护个人信息的安全。个人信息保护委员会应当监督个人信息的误用、滥用以及流出。

①   韩国国会在2020年1月9日通过了《个人信息保护法改正法案》(法律第16930号),并于同年2月4日向社会公布,同时规定新修正的《个人信息保护法》将于2020年8月5日起正式实施。

虽然从修正的理由中可以看出,立法者试图在促进数据活用的同时加强对个人信息的保护,但是此次修正《个人信息保护法》显然是为了实现对数据的活用。存在疑虑的是,这种修正理念是否过于偏向对数据的活用而忽视了对个人信息的保护,致使公民的基本权利可能遭受不当侵害?韩国学者吴吉英便表达了自己的隐忧,他认为此次修正并不是为了保护个人信息,因为没有任何保护的内容,只有为了利用信息新设的规定。考虑到这次修正的内容并全面观察《个人信息保护法》,可以认为现在仍然将这部法律冠以《个人信息保护法》是不适当的,干脆直接称为《个人信息利用法》,或者进行些许让步,将该法律缓和地称为《与个人信息活用及若干保护有关的法律》[2]。与这种观点相对,更多的学者认为应当接受技术进步带来的巨大时代潮流的变化,适时调整《个人信息保护法》的保护范围。例如,韩国学者朱胜熙[3]指出,过去的《个人信息保护法》奠定了以强力控制个人信息的收集与活用之基调,阻碍了大数据和人工智能等以数据为基础的第四产业的成长。因此,此次韩国《个人信息保护法》的修正正当其时。由此可见,随着大数据时代的到来和新技术的出现,如何平衡个人信息保护与个人信息活用之间的关系是一国在制定《个人信息保护法》过程中要解决的难题。我国于2021年8月正式公布了《中华人民共和国个人信息保护法》,这是从立法上防止个人信息被肆意侵害的重要举措。可是,综观《中华人民共和国个人信息保护法》全文,部分条文内容设置的科学性与合理性值得商榷。主要体现在两个方面:其一,《中华人民共和国个人信息保护法》过于绝对化、僵硬化地对个人信息进行保护,不利于在适当的限度内活用个人信息,难以促进对传统产业的优化和新兴产业的发展;其二,为了适应第四次产业革命的到来,除韩国以外,不少国家都对其《个人信息保护法》进行了一定程度的修正,以求进一步加强对个人信息的活用。《中华人民共和国个人信息保护法》虽然没有绝对不允许活用个人信息,但是将对个人信息的活用限制在相对狭窄的范围之内,既不符合国际趋势,也难以适应时代的变革。有鉴于此,有必要对其予以进一步的修正与完善。相较于《中华人民共和国个人信息保护法》,韩国《个人信息保护法》颁布较早,在积累了丰富的实践经验和参考他国的法律规定后促成了该国有史以来对该法最大幅度的修正。此次韩国《个人信息保护法》的修正内容,能够对《中华人民共和国个人信息保护法》的完善提供哪些有价值的启示,是本文探讨的重点。

二、修正后韩国《个人信息保护法》的主要变动

囿于篇幅所限,本文主要研究修正内容中有关加强个人信息活用的相关规定,分析这些条文的设置是否合理与科学,在此基础上探讨其中的哪些内容值得我国借鉴。

(一) 对“个人信息”的保护范围予以调整和明确

修正前的韩国《个人信息保护法》在第二条第一款中将“个人信息”定义为:“与自然人有关的信息,是可以通过姓名、居民身份证号以及影像等识别出具体个人的信息(包括即便通过该信息不能识别出特定的个人,但是可以与其他信息结合容易进行识别的信息)。”从上述定义中可以认为“个人信息”具有两大特征:其一,要求是与自然人有关的信息,如果是属于已经死亡的人或者是法人的信息,则不属于个人信息;其二,个人信息包括可以直接地、单独地识别出具体自然人的信息以及虽然无法单独识别出特定的个人,但是若与其他的信息相结合也可以很容易达成此目的的信息。

可是,不少韩国学者认为修正之前的《个人信息保护法》对“个人信息”的定义存在诸多缺陷。首先,“其他信息”的范围并不明确,致使个人信息的概念范围有无限扩张的可能性。如果将“其他信息”的范围看成是与“这个世界上存在的所有信息”一样宽广的话,则《个人信息保护法》的规制范围几乎可以扩张到所有与个人相关的信息[4]。其次,根据修正前的《个人信息保护法》第二条第一款的规定,有“识别可能性”的信息就是个人信息。由此可以反向推论得出,只要某信息单独或者与其他信息相结合能够被识别,不必考虑识别可能性的大小与识别的难度,一律肯定该信息属于个人信息,要受到《个人信息保护法》的规制。即便对个人信息采取一定的非识别措施,能够显著地降低个人信息的识别可能性,仍然要适用《个人信息保护法》的规定。可是,在个人信息只有极低的识别可能性的情形下,处理此类个人信息对信息主体的人格权和私生活的自由产生较大影响的可能性也会很低。即便站在信息主体的立场,想要对识别出自身非常困难的个人信息行使控制权的诱惑也并不大[5]。因此不少学者指出,如果对个人信息采取非识别措施后只有极低的可能性可以识别出特定的个人,则可以认为这种情形下的个人信息不是受《个人信息保护法》规制的“个人信息”,以此适当降低个人信息活用的门槛,提高其社会效用[6]。最后,修正前的《个人信息保护法》在第三条第七款中指出:“在有可能匿名处理个人信息的情况下,个人信息处理者应当尽可能地以匿名方式处理个人信息。”故而,经过匿名处理的信息也属于个人信息,但是法律对“匿名处理”的概念没有进行任何的规定,造成理解和适用上的混乱。因此,有不少学者建议《个人信息保护法》应当明确“匿名处理”的具体内涵[7]

修正后的韩国《个人信息保护法》采纳了如上建议,对“个人信息”的保护范围予以如下调整:其一,将第二条第一款修改为“个人信息包括即使仅凭该信息无法识别特定的个人,但是可以与其他信息结合容易进行识别的信息。在这种情况下,是否容易与其他信息相结合,应当合理考虑其他信息获取的可能性等识别个人所需的时间、费用、技术等”,并且在新增设的第五十八条之二中再次指明,判断有无识别可能性的基准是“合理性”。即虽然某信息与其他信息相结合有可能识别出特定个人,但是在需要耗费极其多的时间或者费用以及超越通常技术水准的情形下,应当否认识别可能性。尽管某信息在理论上有识别可能性,但是如果该可能性不能合理地现实化,应当否定此信息存在识别的可能性[8]。也就是说,即便从事实层面上看某信息确实有识别的可能性,在一定条件下亦可能在规范层面否定此信息的识别可能性,从而可以认为不属于受《个人信息保护法》规制的“个人信息”。其二,此次韩国《个人信息保护法》最引人注目的修正是与假名保护有关的法条。如前所述,修正之前的韩国《个人信息保护法》没有使用“假名”的概念,只有“匿名处理”的规定。修正之后导入“假名信息”这一新的概念,明确规定了假名处理的内涵,即第二条第一款之二规定,所谓“假名处理”是指通过删除个人信息的一部分或者代替个人信息的一部分或全部等方法,如果没有追加信息,就无法识别出特定的个人。

(二) 缓和理解目的限制原则

对个人信息的收集利用,必须经过本人充分知情前提下的同意,此即个人信息保护的知情同意原则。对个人信息保护而言,知情同意原则具有“帝王条款”的意义。该原则旨在维护个人自主,使信息主体得以自治自决而不被他决[9]。而“目的限制原则”是以知情同意原则为基础,要求信息处理者必须在此前向信息主体告知的目的范围内处理个人信息,从而维护知情同意原则的绝对地位。修正之前的韩国《个人信息保护法》在第十五条第二款中规定:“个人信息处理者在获得信息主体的同意后,如果想变更利用个人信息的目的,应当重新告知信息主体并获得其同意。”第十七条第二款又规定:“对于个人信息处理者在取得信息主体同意后又向第三方提供信息主体个人信息的情形,如果变更了利用个人信息的目的,也必须告知信息主体并获得其同意。”这两项条款意在提示个人信息处理者,不是只要获得信息主体的同意后就能够肆意处理其个人信息。如果变更利用个人信息的目的或者将信息提供给第三人,均应当再次获取相关信息主体的同意,否则便违反了“目的限制原则”。当然,修正前的韩国《个人信息保护法》在第十八条第二款中也设置了知情同意原则的例外规定,已经放弃了绝对化的目的限制原则。但是该款规定将例外情形限定在极其狭窄的范围内,仍然属于过于僵硬化地理解和适用“目的限制原则”。

①   具体而言,如果个人信息处理者具有以下情形,除有可能非法侵犯信息主体或第三者利益的情况外,可以将个人信息用于目的以外的其他用途或提供给第三方。但是,第五项到第九项仅限于公共机关的情形:一、另行获得信息主体的同意;二、其他法律有特殊规定;三、信息主体或其法定代理人不能做出意思表示,或地址不明等无法获得事先同意,且被明确认为是为了信息主体或第三者急迫的生命、身体、财产利益而必要时;四、以统计和学术研究为必要目的,且以无法识别特定个人形态提供个人信息时;五、如果不用于个人信息目的之外的用途,或者如果不向第三方提供,则无法履行其他法律规定的主管业务,且经保护委员会的审议和表决;六、为了履行条约、其他国际协定等,因向外国政府或国际机构提供而必要时;七、为进行刑事犯罪调查和起诉及其维持而必要时;八、法院为履行审判业务而必要时;九、为执行刑罚、监护、保护处分等而必要时。

因此,李素恩[8]认为:“修正前的《个人信息保护法》之下的同意制度发挥了绝对重要的作用。只要获得形式上信息主体的同意,即便实质上不能对个人信息进行很好的保护,也要认定个人信息处理的正当性。与此相反,如果没有实质侵害信息主体人格权的可能性,只要没有获得信息主体的同意,也很难认为对个人信息的处理具有正当性。过于强调同意制度,不能保证对个人信息的实质保护。应当在《个人信息保护法》中降低同意制度占据的比重,实际上是对信息主体的个人信息自主决定权在法律上设置实质的保护。”正是基于这一理念,韩国《个人信息保护法》新设第十五条第三款和第十七条第四款,将不经过信息主体的同意却能够利用、提供其个人信息的范围予以适度地扩张,同时强调对个人信息的实质保护。具体来说,第十五条第三款规定:“个人信息处理者要考虑在与当初收集目的合理关联的范围内,是否对信息主体产生不利益的影响以及是否采取了暗号化等确保安全性所必要的措施等。根据总统令的规定可以不经过信息主体的同意利用个人信息。”第十七条第四款规定:“个人信息处理者要考虑在与当初收集目的合理关联的范围内,是否对信息主体产生不利益的影响以及是否采取了暗号化等确保安全性所必要的措施等。根据总统令的规定可以不经过信息主体的同意向第三方提供个人信息。”李素恩[8]对这两款新增设的规定给予了积极评价,认为第十五条第三款和第十七条第四款明确指出,个人信息处理者可以“在与当初收集目的合理关联的范围内”,而不是“在当初收集目的的范围内”利用、提供个人信息,这属于对《个人信息保护法》上“目的拘束”原则的缓和理解。实际上,在个人信息处理者获取信息主体的同意之前,大部分信息主体并没有注意到告知的具体内容为何。故而在多数情况下很难说信息主体的同意是否是真挚和合理的意思决定,只是同意的话,认定个人信息处理行为的正当性就显得过于简单了。比起重视形式上对信息主体自主决定的保障价值,重视个人信息的实质保护价值被认为是更可取的方向。在这一点上,第十五条第三款与第十七条第四款与聚焦于个人信息实质保护的理念相契合,应当受到很高的评价。而且,当事人常面临被要求不是同意就是放弃取得产品之两难,因此,当事人被迫仅能“同意”任何被要求应表示同意的事项,即使其未必真正符合当事人的利益[10]。为了对个人信息予以实质保护,且加强对其灵活运用,适度缓和理解目的限定原则是妥当的。

然而,仅仅凭借修正之后韩国《个人信息保护法》的规定无法直接判断个人信息处理者是否可以不经信息主体的同意处理个人信息,因为法条中明确指出还要“根据总统令的规定”进行进一步的认定。为了使得上述条款能够实际适用,韩国立法机关又在2020年8月4日发布的《个人信息保护法实施令》中新设第十四条之二,明确个人信息追加利用、提供的四个基准:第一,与当初收集的目的是否具有关联性;第二,根据收集个人信息的情形和处理管理来看,对个人信息的追加利用和提供有无预测可能性;第三,是否对信息主体的利益有不当的侵害;第四,是否有假名处理和暗号化等确保安全性的必要措施。与《个人信息保护法》相比较,《个人信息保护法实施令》规定在判断追加利用、提供个人信息是否合法时,还要求确认在一般人看来对信息的追加利用和提供在主观方面有没有预测可能性,用以限制对个人信息的不当利用。

(三) 修改和增设不适用知情同意原则的具体情形

对于处理个人信息的“目的”与之前收集信息的“目的”之间不具有目的关联性,且处理个人信息时未再次获取信息主体的同意之情形,亦非彻底否定其合法性。修正前的韩国《个人信息保护法》在第十八条第二款第四项中规定:“以统计和学术研究等为目的,且以无法识别特定个人形态提供个人信息时,除有可能非法侵犯信息主体或者第三者利益的情况外,可以将个人信息用于目的以外的其他用途或者提供给第三方。”虽然该项条文被不少学者评价为在无须信息主体的同意,即可处理其个人信息的正当化事由中是最具有意义的,但是实际上该条项存在的价值并不大。原因之一在于,第十八条第二款第四项中所说的“无法识别特定个人形态”具体是什么意义在多数情况下是不明确的。如果是指此信息没有识别可能性的话,则该项规定是没有意义的。因为如前所述,没有识别可能性的信息本来就不是个人信息,即便没有第十八条第二款第四项的规定,也应当将此类信息排除在《个人信息保护法》的保护范围之外。

由于该项条文存在的不足,修正后的韩国《个人信息保护法》删除了第十八条第二款第四项,同时新设第二十八条之二。该条规定的主要内容是:“一、个人信息处理者为了统计、科学研究、公益记录保存等,无须信息主体的同意即可进行假名处理。二、个人信息处理者按照第一项进行的假名处理不包括向第三者提供为识别特定个人而使用的信息。”与已经被删除的第十八条第二款第四项相比较,第二十八条之二不仅明确指出必须要对这些个人信息进行假名处理后方能利用,间接地说明本条处理的信息是能够识别出特定主体的“个人信息”;而且对允许处理信息的范围进行了修正。首先,将原本的“学术研究”变更为“科学的研究”。并在修正后的韩国《个人信息保护法》第二条解释了“科学的研究”的具体含义,即是指“应用科学方法的研究,包括技术的开发和实证、基础研究、应用研究以及私人投资研究”。其次,肯定如果是以“公益记录保存”为目的,只要满足了相应的条件,同样也可以在未获得信息主体同意的情形下处理其个人信息。

三、对我国之启示 (一) 肯定匿名化信息的相对性

与修正后的韩国《个人信息保护法》相比较,《中华人民共和国个人信息保护法》虽然没有提出“假名信息”的概念,但是在第五十一条中规定,个人信息处理者应当采取相应的加密、去识别化等安全技术措施以防止未经授权的访问以及个人信息泄露、篡改、丢失;并在第七十三条第三款进一步解释了“去标识化”的具体含义,即“个人信息经过处理,使其在不借助额外信息的情况下无法识别特定自然人的过程”。实际上,经过加密、去标识化等技术处理后的个人信息与韩国《个人信息保护法》中所指的“假名信息”无异。此外,《中华人民共和国个人信息保护法》第四条指出:“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。”同时在第七十三条第四款中也规定了“匿名化处理”的内涵,即“个人信息经过处理无法识别特定自然人且不能复原的过程”。《中华人民共和国个人信息保护法》明确了“匿名化处理”与“去标识化”的具体内涵,能够很好地避免将这两个概念相混淆。其中,去标识化的信息仍属于个人信息,而匿名化处理后的信息已经不能成为个人信息。《中华人民共和国个人信息保护法》的这些规定在一定程度上体现了立法的进步性与体系性,是值得肯定的。可是,与修正后的韩国《个人信息保护法》相比较,《中华人民共和国个人信息保护法》的不足之处在于过于绝对化、僵硬化地框定“个人信息”的保护范围,在立法的科学性上略显不足,主要体现在以下两点。

第一,《中华人民共和国个人信息保护法》认为个人信息经过匿名化处理后就绝对不可能识别出特定的个人,然而,大数据技术使法律上的绝对匿名化概念变成令人误信的神话。许多研究表明,不存在绝对匿名化的信息。已经匿名化的数据集跟其他数据集相结合,就有可能重新识别该人;随着识别技术的进步,已经匿名化的信息也有可能再次被识别。如果要求识别风险为零,则在实践中难以实现[11]。因此,匿名的状态是相对的,只会在特定的情景中有效。随着科学技术水平的不断发展,被宣扬为能够实现绝对匿名化的技术也必然会被攻破,区块链技术便是如此。近年来,区块链技术不断发展并被广泛运用于各个领域。区块链技术的优势之一在于可以通过匿名化的方式保护用户的身份信息。相关主体运用数字签名和公私钥加密技术,借助区块链存储信息进行交易,无须披露真实身份[12],以达到保护用户隐私的目的。然而,区块链中的所有交易都存储在公开的全局账本中,攻击者很容易获得所有交易信息,只要通过分析交易中的关联关系,攻击者就能够逐步降低区块链地址的匿名性,甚至发现匿名地址对应用户的真实身份信息[13]。由此可见,《中华人民共和国个人信息保护法》认为信息只要经过匿名化处理后就绝对无法还原的理念是不符合实际情况的。

第二,主张经过匿名处理后的信息都属于“个人信息”。《中华人民共和国个人信息保护法》与修正前的韩国《个人信息保护法》所框定的“个人信息”成立范围基本一致,只是在条文的表述上存在形式的差异。其中,“已识别的个人信息”就是“可以直接地、单独地识别出特定个人的信息”;“可以识别的个人信息”也与“虽然单独通过该信息无法识别特定的个人,但是若与其他信息相结合就可以很容易达成此目的的信息”相对应。可是,根据《中华人民共和国个人信息保护法》对“个人信息”的定义,会认为即便个人信息经过处理后很难识别出特定的自然人,但只要存在识别可能性,就应当承认该信息属于“个人信息”。因此,有必要借鉴韩国《个人信息保护法》的修正内容,对“个人信息”的定义进行调整,即在判断是否属于受法律保护的“个人信息”时,应当合理考虑其他信息获取的可能性以及识别个人所需的时间、费用、技术等,不再将需要耗费极其多的时间、费用,超越通常技术水平才能获取的信息认定为“个人信息”,如此才更符合实际的情况。

(二) 确立目的关联性原则

《中华人民共和国网络安全法》(以下简称《网络安全法》)在第四十二条中规定:“未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。”由于无法识别出特定的个人且不能复原的信息本身就不属于个人信息,因此根据《网络安全法》的规定,在处理个人信息时必须要经过信息主体的同意,不存在任何例外。与《网络安全法》不同,尽管《关于〈中华人民共和国个人信息保护法草案〉的说明》中明确指出,《中华人民共和国个人信息保护法》确立了以“告知—同意”为核心的个人信息处理规则,要求处理个人信息应当在事先充分告知的前提下取得个人同意,而且重要事项发生变更的应当重新取得个人同意,可是并没有绝对性地要求在处理个人信息时必须都要经过信息主体的同意。具体而言,在《中华人民共和国个人信息保护法》第十三条中规定了个人信息处理者可以合法处理他人个人信息的七种情形。其中,只有第一款要求在处理个人信息时必须取得信息主体的同意,而处理涉及第二款至第七款的信息时无须取得个人同意。因此,也可以说处理个人信息是以第一款为原则,第二款至第七款属于第一款的例外。韩国《个人信息保护法》在第十五条中也采取了相同的立法理念。这种立法理念是值得肯定的。在大数据时代,应当注意平衡个人信息自主权的维护与个人信息合理利用的关系。立法在首肯同意规则的同时,有必要规定一些无须同意也可进行个人信息收集、处理和利用的情形,以便最大限度地缓解因过度同意而给信息相关主体带来的沉重负担,能够很好地兼顾信息主体的人格利益、信息业者的商业利益和社会公共利益[14]

①   参见《关于〈中华人民共和国个人信息保护法草案〉的说明》。

②   参见《中华人民共和国个人信息保护法》第十三条。

③   韩国《个人信息保护法》第十五条第一款规定,有下列情形之一的,个人信息处理者可以收集个人信息,也可以在收集目的范围内利用该信息:一、获得信息主体的同意;二、法律有特殊规定或为遵守法定义务而不可避免时;三、公共机构为履行法令等主管业务而不可避免时;四、为与信息主体签订和履行合同而不可避免时;五、信息主体或其法定代理人不能做出意思表示,或地址不明等无法获得事先同意,且被明确认为是为了信息主体或第三者急迫的生命、身体、财产利益而必要时;六、为实现个人信息处理者的合法利益而必要,且明确优先于信息主体的权利时。在这种情况下,仅限于与个人信息处理者的合法利益具有相当的关联性,且不超过合理范围。

可是,与修正之前韩国《个人信息保护法》的有关规定相类似,仍然要承认《中华人民共和国个人信息保护法》将“目的限定原则”的例外规定限定在过于狭窄的范围内。对于变更信息处理目的等情形,《中华人民共和国个人信息保护法》僵化地确立了“目的限制原则”。例如,《中华人民共和国个人信息保护法》第六条规定:“处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关。”第七条规定:“处理个人信息应当明示处理的目的、方式和范围。”第十四条也指出:“个人信息的处理目的、处理方式和处理的个人信息种类发生变更的,应当重新取得个人同意。”以上述条文的表述为依据,只要不存在第十三条第二款至第七款的情形,不论是基于何种理由变更个人信息的处理目的,都要重新得到信息主体的同意,这显然是不够妥当的。诚然,不能超出收集个人信息的目的来使用个人信息,能确保信息主体提前知晓自己的个人信息在多大范围内被使用,也可以控制信息处理者在事先约定的范围内处理个人信息。但是,大数据时代的信息挖掘恰是突破目的限制的技术,通过数据挖掘可以开发出信息利用的潜在价值并创造更大的社会价值。大数据技术通过海量数据汇总与挖掘,使得信息作为资源在社会经济、秩序管理等方面发挥越来越大的作用和价值[15]。身处大数据时代,为了更大程度地发挥信息利用的巨大价值,韩国《个人信息保护法》增设第十五条第三款与第十七条第四款对“目的限定原则”予以改造,提出了“目的相关联原则”。“目的相关联原则”生成的法理主要在于,收集和处理、使用个人信息存在时间差,由于网络科技的发展和商业创新可能一日千里,信息主体与信息控制主体可能均未预见有重要价值的额外目的,如果不允许把个人信息用于此额外目的,会造成资源上的浪费[16]。此外,贯彻该原则既能够避免毫无限制地处理个人信息,又可以在一定限度内加强对个人信息的活用,起到平衡个人信息的保护与活用之作用。笔者认为,应当参考韩国《个人信息保护法》第十五条第三款与第十七条第四款的相关内容,在《中华人民共和国个人信息保护法》中引入“目的相关联原则”,防止一刀切地将超出收集个人信息目的的信息处理行为认定为违法,促进对个人信息的适度活用。至于如何判断处理个人信息的行为是否具有目的关联性,则需要通过个案分析,综合考量得出最终的结论。比如,某位投资人向比利时市长就一房地产交易事项进行了咨询沟通,使得市长得知其个人邮箱。随后市长向该邮箱发送竞选信息的行为就无论如何也不能认为有目的关联性,属于违法行为[17]。而若是消费者在某网站购买某物后,该网站运营者在之后又向消费者推荐相类似的或者周边产品,只要不属于极其敏感的物品,通常情况下可以肯定前后两个行为有目的上的关联性。实际上,《中华人民共和国个人信息保护法》在第二十四条中已经明确指出:“通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供拒绝的方式。通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。”根据该条的规定,《中华人民共和国个人信息保护法》在一定程度上已经肯定了“目的相关联原则”,即在一定条件下可以不经过信息主体的同意向其推送与其之前所购物品有所联系的物品信息。既然如此,在《中华人民共和国个人信息保护法》中直接确立“目的相关联原则”,并且设置相应的限制条件是更优的立法模式。

①   《中华人民共和国个人信息保护法》在第七十二条第二款中规定了“自动化决策”的含义,即“通过计算机程序自动分析、评估个人的行为习惯、兴趣爱好或者经济、健康、信用状况等,并进行决策的活动”。

(三) 合理框定不适用知情同意原则的具体情形

假如变更后处理信息的目的与此前收集信息的目的没有合理关联性,是否在处理个人信息时必须取得信息主体同意的问题同样有必要予以探讨。如前所述,《中华人民共和国个人信息保护法》只是在第十三条第二款至第七款规定了“知情同意原则”的例外情形。除此之外,不论是否已经对相关信息进行去标识化处理,个人信息处理者在处理个人信息时都必须得到信息主体的同意,但是,这样的立法方式被认为会过于限制对个人信息的活用。韩国《个人信息保护法》新增设第二十八条之二,规定“出于统计、科学研究、公益记录保存等目的,无须信息主体的同意即可进行假名处理”。根据该条的规定,即便处理信息的目的和之前收集信息时并不相同,且这两种目的缺乏合理的关联性,亦可以在未获得同意的情况下处理信息。可以说,第二十八条之二的设立深受2018年出台的欧盟《通用数据保护条例》的影响。该条例第五条第一款(b)规定:“为特定的、明确的、合法的目的收集,且不得以不符合以上目的的方式进行进一步处理;为了公共利益、科学、历史研究或统计目的而进一步处理的,不应被视为不符合初始目的。”由此可见,在采取相应的技术手段和监管措施的前提下,适度扩张“知情同意原则”的例外情形,既能够更好、更全面地维护社会整体利益,促进社会的可持续发展,又完全符合加强对个人信息合理利用的全球趋势。然而,《中华人民共和国个人信息保护法》在此方面还稍显不足。可能有人认为,《中华人民共和国个人信息保护法》第十三条第五款规定,为公共利益实施新闻报道、舆论监督等行为,在合理范围内处理个人信息的,可以不获取信息主体的同意。由于“等”字的存在,该款并未将行为方式限定为新闻报道和舆论监督,完全可以认为为了公益进行的统计、科学研究、公益记录保存等信息处理行为也可以不经过个人的同意。但是,如果没有明确规定为了公益进行的统计、科学研究、公益记录保存而处理个人信息的行为是合法的,在具体适用的过程中势必会引发争论,可能造成同案不同判的窘境。因此,应当参照韩国《个人信息保护法》第二十八条之二的规定,相对明确地、合理地扩张“知情同意原则”的例外情形。

1. 排除纯粹出于私益处理信息的情形

当然,借鉴并不意味着要全盘照搬。韩国《个人信息保护法》第二十八条之二的规定也存在着不明确之处。因为,只在“公益记录保存”中出现了“公益”的字眼,即要求必须以保护公共利益为目的处理个人信息。根据该条文的表述,完全能得出从事统计和科学研究也可以纯粹出于私人利益,不必考虑是否有利于公益的结论,加之第二条规定“私人投资研究”属于科学研究似乎又印证了这一结论。但是,有不少学者认为这种观点将使得“知情同意原则”的适用空间变得极为狭小,是对个人信息自主决定权的严重损害,应当对第二十八条之二的适用范围进行目的性限缩,将产业目的的研究和商业统计排除出假名处理的范围。原因在于,首先,法律条文中没有明确规定“产业上的研究”和“商业统计”的句子。其次,虽然能够举出“假名处理收集到的运动信息,为了研究成人病和运动量间的相关关系”这种科学上的例示,但是此研究比起敏感企业的营利目的,看起来与包含健康和医疗研究在内的公益目的更具有关联性。再次,作为修正法模板的欧盟《通用数据保护条例》也没有明确允许产业上的以及商业上的目的。最后,对于未经同意活用数据来说,没有实现充分地社会合意,即改正是在人们还没有对数据活用有充足理解的情况下进行的。因此,要从规范上限缩“科学研究”的成立范围,应使其只包含以公益的目的和有社会共有可能性的研究,将商业统计的目的排除在外[7]。笔者以为,此种观点是合理的。其一,并不是说个人信息处理者在以统计和科学研究为目的处理个人信息时,不能考虑自身的利益。而是指在维护私益的同时,要能够促进公益事业的发展。否则将会打击企业等个人信息处理者进行产业创新的积极性,致使社会发展停滞不前。而且,所谓“私人投资研究”也完全可能主要是为了增进公共利益的研究。其二,虽然加拿大《个人信息保护和电子文件法》规定,为艺术或文学目的收集个人资料者,可以不经过当事人的同意,但是,存在并不是都是合理的。对于出于以艺术或文学为目的处理个人信息的,很难认为带有公益的色彩,而且类似的规定在其他国家的立法中也几乎没有出现。由此能够肯定,不能将纯粹为了私益处理个人信息却未经信息主体同意的信息处理行为认定为合法行为。《中华人民共和国个人信息保护法》第十三条第五款将处理的目的限定在“公共利益”的范围内,这一点是值得肯定的,可是同时也排除了主要出于公共利益,附带也想获取个人私益的情形。因此,建议将第十三条第六款的“为公共利益”修改为“主要是为公共利益”更符合实际情况。

2. 不同类型个人信息的处理规则

韩国《个人信息保护法》第二十三条是与“敏感信息的处理限制”有关的条文,该条文的主要内容是要求除非是获得信息主体的同意或者另行获得同意的以及法律要求或允许处理敏感信息的,个人信息处理者不得处理敏感信息。此次韩国《个人信息保护法》虽然并未对该条文的内容进行变动,但是在之后新修正的《个人信息保护法实施令》第十八条中,扩大了敏感信息的范围,认为“以识别特定个人为目的通过一定的技术手段生成的与个人的身体、生理、行动特征相关的信息”以及“与人种或民族相关的信息”也属于“敏感信息”。上述修正看似没有提升对敏感信息的活用,反而更加强调对敏感信息的严密保护。可是,第二十三条规定如果法律另有规定的话,可以不经过信息主体的同意处理敏感信息。由于第二十三条位于韩国《个人信息保护法》第三章(个人信息的处理)第二节“个人信息的处理限制”中,而第二十八条之二位于同章第三节“与假名信息处理有关的特例”中,因此,完全可以认为第二十八条之二就是第二十三条所指出的“法律的例外规定”。就算没有对第二十三条进行任何修正,韩国《个人信息保护法》在事实上仍然体现出提升敏感信息活用的一面[18],即若个人信息处理者出于统计、科学研究、公益记录保存等目的,在对相关信息进行假名处理后,无须信息主体的同意亦可利用个人信息。此外,欧盟《通用数据保护条例》在第九条第二款(J)中也指出,处理对于实现公共利益、科学或历史研究目的或统计目的是必要的,在采取相称的和合适的措施后,也可以不经过信息主体的同意处理其敏感信息。这也能够说明,出于特定目的增加对敏感信息的活用同样是符合全球发展趋势的。

①   韩国《个人信息保护法》第二十三条指出,对于思想与信念、工会组织的加入与退出、入党与退党、政治观点、健康、性生活等相关信息,以及除此之外可能会明显侵害个人私生活的个人信息等由总统令规定的个人信息都是敏感信息。而修正前的《个人信息保护法实施令》规定,《个人信息保护法》第二十三条第一款中“总统令规定的信息”,只包括通过测试基因获得的基因信息与犯罪经历资料信息,这两类信息才属于敏感信息。

当然,韩国《个人信息保护法实施令》第十八条指出,对于《个人信息保护法》第十八条第二款第五项至第九项所规定的情形,公共机关不得处理如下敏感信息:包括“通过测试基因获得的基因信息”“犯罪经历资料信息”“以识别特定个人为目的通过一定的技术手段生成的与个人的身体、生理、行动特征相关的信息”以及“与人种或民族相关的信息”;而对其他敏感信息和普通个人信息则没有这样的限制。应当承认,有必要对个人信息进行层级划分,并对不同信息的收集、处理和利用予以区别对待。有学者以与人格的紧密程度为标准,将个人信息分为一般信息、低度敏感性个人信息与高度敏感性个人信息,并指出对于这三类信息的保护程度要逐渐提高[14]。韩国立法机关借鉴了这种分类方式,认为要对特定的高度敏感信息实施更加严格地保护,值得我国立法机关在修改《中华人民共和国个人信息保护法》时进行参考。遗憾的是,韩国《个人信息保护法》及其相关法律法规并没有指明对于普通个人信息与敏感信息以及可以合法利用的高敏感信息和低敏感信息在保护方式上存在哪些具体的区别,可能致使对不同类型的信息予以相同的保护,或不当升高或降低特定信息的保护程度。与之类似,《中华人民共和国个人信息保护法》也区分了敏感信息与普通个人信息。第二十九条中规定,敏感信息包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息以及不满十四周岁未成年人的个人信息,这些信息一旦泄露或者非法使用,可能导致自然人的人格尊严受到侵害或者人身、财产安全受到危害。第五十一条第二款中又指出,要对个人信息实行分类管理。就敏感信息的成立范围和树立信息分类管理的理念来说,上述条文的设置大体上是值得认可的。但是,《中华人民共和国个人信息保护法》没有明确规定这两类信息在活用程度上有哪些不同,也没有规定不同层级的敏感信息在保护方式上存在何种差异,在这些方面尚有待进一步完善。通过上述分析,可以发现不论是我国还是韩国,都有必要明确规定对不同类型个人信息的具体处理规则,类型化地平衡个人信息保护与个人信息活用间的冲突。

②   亦言之,如果属于第十八条第二款第一项至第三项的情形,依然可以处理如下敏感信息。

①   虽然《中华人民共和国个人信息保护法》第二十九条规定,处理敏感个人信息应当取得个人的单独同意;法律、行政法规规定处理个人敏感信息应当取得书面同意的,从其规定。但是,《中华人民共和国个人信息保护法》并没有明确“单独同意”的具体含义及其与一般同意的区别。因此,根据《中华人民共和国个人信息保护法》第十三条第一款的规定,在处理普通个人信息时,也可能采取这些措施,因而不属于处理敏感信息的特殊规则。

四、余论

虽然韩国于2020年对《个人信息保护法》进行了大幅度地修正,但是韩国个人信息保护委员会仍然认为在《个人信息保护法》中存在着些许问题,需要加强在数字经济大背景下公民可能被削弱的个人信息权利,积极响应新技术的应用对个人信息保护带来的挑战。因此,在2021年又公布了《个人信息保护法(修订草案征求意见稿)》(以下简称《征求意见稿》),公众能够在2021年2月16日之前向个人信息委员会提出修改的意见。笔者认为,韩国《征求意见稿》中的部分内容同样值得我国借鉴。

其一,《征求意见稿》在第十三条中指出,“在数字经济时代,仅仅依托由政府主导的监管机制,难以有效地保护个人信息。为此,需要建立一个自我监管组织来实现对个人信息保护的自我治理”。亦言之,应当建立民间自治组织,防止不法个人信息处理者不当利用个人信息。这是因为随着大数据、人工智能以及区块链技术的发展,仅仅赋予政府部门以监督管理职责可能难以及时地、有效地防止个人信息被非法侵害,有必要形成多样化、层级化的监督体系,最大限度地保护个人信息。自我监管组织的建立能够统合民间力量,与公职部门共同履行保护个人信息的职责。虽然《中华人民共和国个人信息保护法》第六十五条中规定:“任何组织、个人有权对违法个人信息处理活动向履行个人信息保护职责的部门进行投诉、举报。”但是,该法条只是赋予组织和个人以权利而不是义务,组织或者个人完全可以对侵害个人信息的行为置之不理,无须承担法律责任,因此并不能更周全、更迅速地对个人信息进行保护。我们应当借鉴《征求意见稿》第十三条的规定,组建民间自治组织,赋予其保护个人信息的职责。

其二,新增对移动式图像信息处理设备运营的限制性规定。韩国《个人信息保护法》第二条第七款将图像信息处理设备界定为,持续安装在特定空间下以捕获人或者物体的影像,或通过有线或无线网络将其传达的装置。根据该定义,图像信息处理设备不包括安装在无人机或者可穿戴设备上的移动式图像信息处理设备,这就产生处罚上的漏洞。《征求意见稿》第二十五条规定:“原则上应当限制在公共场所因业务目的通过移动式图像信息设备拍摄个人图像信息,但是符合可以收集和使用个人信息的情形,或者在已经设置拍摄标识的情形下信息主体没有做出拒绝的意思表示时,允许例外的存在。”而《中华人民共和国个人信息保护法》第二十七条也只是指出:“在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显著的提示标识。”即仅限制对固定图像信息设备的使用,对移动式图像信息设备的使用缺乏相应的规制,尚需补充完善。

从总体上来看,相较于2020年韩国立法机关对《个人信息保护法》的修正,《征求意见稿》显然更加注重对个人信息的利用限制。由此可见,绝不是说《个人信息保护法》将个人信息的活用范围扩张得越大,该法律就越为合理;而是应当力求做到个人信息保护与个人信息活用间的动态平衡。我国立法机关也要以此为理念,因时因势地修正完善我国当前的《中华人民共和国个人信息保护法》。

参考文献
[1]
康贞花. 韩国《个人信息保护法》的主要特色及对中国的立法启示[J]. 延边大学学报(社会科学版), 2012(4): 66-72.
[2]
吴吉英. 对于改正个人信息保护法的探讨与批判——以信息主体自主决定权的事项为中心[J]. 民主法学, 2020(73): 79-116.
[3]
朱胜熙. 数据三法的主要修正内容及其关于刑事法上的意义之小考[J]. 法学论丛, 2021, 49: 267-296.
[4]
文在莞. 与个人信息概念相关的研究[J]. 公法研究, 2014, 42(3): 53-77.
[5]
李素恩. 个人信息自主决定权的民事保护[D]. 首尔: 首尔大学, 2018.
[6]
高鹤秀. 个人信息非识别化方法论——以保健医疗信息为中心[M]. 首尔: 博英社, 2017: 69.
[7]
金贤淑. 为了科学研究处理个人信息的相关比较法研究——以改正个人信息保护法和EU的GDPR的比较为中心[J]. 情报法学, 2020, 24(1): 115-148.
[8]
李素恩. 个人信息保护法的主要改正内容和对其的评价——以个人信息处理的正当化事由为中心[J]. 法学论集, 2020, 24(3): 249-286.
[9]
田野. 大数据时代知情同意原则的困境与出路——以生物资料库的个人信息保护为例[J]. 法制与社会发展, 2018(6): 111-136.
[10]
翁清坤. 大数据对于个人资料保护之挑战与因应之道[J]. 东吴法律学报, 2020, 31(3): 79-159.
[11]
谢琳. 大数据时代个人信息边界的界定[J]. 学术研究, 2019(3): 69-75.
[12]
菲利皮, 赖特. 监管区块链: 代码之治[M]. 卫东亮, 译. 北京: 中信出版社, 2019: 35.
[13]
祝烈煌, 高峰, 沈蒙. 区块链隐私保护研究综述[J]. 计算机研究与发展, 2017(10): 2170-2186.
[14]
翟相娟. 个人信息保护立法中"同意规则"之检视[J]. 科技与法律, 2019(3): 58-65.
[15]
王秀哲. 大数据时代个人信息法律保护制度之重构[J]. 法学论坛, 2018(6): 115-125.
[16]
梁泽宇. 个人信息保护中目的限制原则的解释与适用[J]. 比较法研究, 2018(5): 16-30.
[17]
雷丽莉. 权力结构失衡视角下的个人信息保护机制研究——以信息属性的变迁为出发点[J]. 国际新闻界, 2019, 41(12): 58-84.
[18]
李元福. 基因研究和改正个人信息保护法的假名处理制度[J]. 法学论集, 2020, 25(1): 191-224.