1. 引言
大数据时代到来,不同于以往的信息难以整合,单个信息或少量信息的价值有限的情形。当今时代背景下信息处理技术不断突破,信息的大量汇集产生了巨大的经济、社会价值,而信息在被不断处理的过程中,除创造价值而备受产业和管理机构青睐以外,许多处理活动也给信息主体造成了困扰甚至损害。为规范个人信息处理活动,一批个人信息规范相继出台,《中华人民共和国个人信息保护法》历经三审通过,标志着我国的个人信息保护来到了新的阶段,具有划时代的意义。法律的生命在于实施,为保障其适用,首先需要明确其规范目的,而要明确其规范目的,关键在于把握个人信息保护与利用的关系。
2. 《个人信息保护法》明确兼顾保护与利用
在个人信息领域,《个人信息保护法》在该独立法域是唯一一部“根据宪法,制定本法”的法律,不仅有其程序意义,更奠定了其基本法的地位。这也意味着其相较于《网络安全法》等其他网络法律拥有者更高的法律地位,是整个网络信息与空间的基本法 [1]。从该部法律,可以更明显地体会立法机构对于个人信息规范目的的态度,即两者兼顾而不偏废一方。
2.1. 从法律首条出发
《个人信息保护法》第一条开门见山写明立场,写明其立法目的即通过规范个人信息处理活动,保护个人信息权益,促进个人信息合理利用。法律的首条,往往作为该部法律具体法律制度的逻辑起点,每项制度与规定均不得与首条相抵触,因此也应当成为该部法律被理解与适用时的出发点,其统领该部法律全部法律法规的价值取向,贯穿于该法始终。由此,准确地把握该部法律的立场,可窥见立法机构对个人信息保护与合理利用应当兼顾的强调,在理解与适用时亦不可偏离。
2.2. 从基本原则出发
法的基本原则是法的价值的所在,亦是其具体化。依据《个人信息保护法》第五条,个人信息处理活动的基本原则包含合法、正当、必要和诚信原则,为个人信息处理设定了边界。应该明确的是,这种界限的设置并不是对个人信息使用的打击或禁止,而是进一步的规范。只有设置适当的边界,使得个人信息的处理公开化与健康化,才能依法有序地促进个人信息的整体使用 [2]。
以必要原则为例,必要原则是指处理个人信息应当限制在实现目的所需的最少个人信息范围内,包括禁止过度损害与禁止保障不足两大方面 [3]。探究其出发点,并非禁止个人信息的利用,而是加以适当的限制。要求在保护个人信息的前提下,将其目的与手段限定在一定的“比例”内,弥补意思自治的缺陷以平衡信息上不同利益主体的关系。在这里应当明确,当个人信息处理者的处理活动合法合规且未侵犯个体的合法权益时,因其合法的处理活动使得个人信息拥有了新的价值,该价值由其行为创造,故在个人信息上,处理者应当有其合法权益,该权益与主体的合法权益并容。故而原则的限制,一方面是为打击违法违规的个人信息处理活动,保障承载于个人信息上的主体合法权益,另一方面也为个人信息的利用构建健康的秩序,打造秩序化的场景增强信息主体的信赖,长期来看可以降低个人信息利用的成本,为更好地实现个人信息的价值打下坚实的基础 [4]。
3. 现实需求呼唤兼顾保护与利用
如托·伍·威尔逊所说:“法律是社会习俗和思想的结晶”1。对于规范目的的探究应当从社会实际出发,从社会效益的角度对保护与利用加以分析,而并非想当然的空中楼阁。大数据时代,新技术助力下的数字经济、数字社会、数字管理前景空前繁荣。十八届五中全会首次提出“国家大数据战略”,数据资源已然成为国家的战略资源,大数据战略成为国家战略。在个人信息因大数据的不断发展而大量显现,其价值备受企业和管理部门的青睐的同时,也相应地带来了一系列的问题。部分企业或管理部门缺乏个人信息保护意识,忽视个人信息主体的在个人信息上的合法权益,或者未采取充分的保护措施,建立合理合法的信息处理合规路径,甚至部分信息使用主体存在恶意使用现象,将信息主体暴露在巨大的风险下。
3.1. 个人信息的保护需求
个人信息未必都包含隐私,但隐私往往承载于个人信息之中。对于个人信息的属性是什么,是否能成为一种权利,其权利属性为何,在学界仍有争议,具有代表性的学说有基本权利和自由说、框架权说、物权说或所有权说、一般人格权说、人格权兼财产权说、隐私权说、个人信息权否定说、具体人格权说 [5]。但基本为各大学说所认可的是,个人信息中至少其蕴含个人的人格权益。而既然其蕴含个人的人格权益,涉及人的尊严与自由,则必然应当受到宪法及其他法律的保护。
随着科学技术的进步,以往需要以纸质文本流传的信息变得可以通过数据传播,其传播成本大大降低,为信息的使用、流通和共享提供了条件。大量的个人信息通过网络以数据的方式形成,一方面机构或者其他个人获取个人信息的渠道不断增加且趋于技术化、隐蔽化,其来源可能是一手、二手甚至多手,信息易被多重转手,传播链条不断拉长,另一方面其通过各种方式大量收集个人信息后,其用途也往往难以为个人信息主体所预料和监督,被滥用的可能性大大增加,个人合法权益被侵害的可能性随之增加。从当前其被滥用的事例出发,可以发现大数据背景下不仅包括传统的个人信息如电话号码、家庭地址、家庭信息等信息容易被滥用者以出售等方式侵害、还有新型的个人信息如人脸、指纹等生物信息也有被其他机构或个人滥用的风险,并且依托互联网,其侵害方式不断增加往往也更具有隐蔽性,然而危害性却并未随着侵害方式的增加而减少,反而随之增加。新型的个人信息被滥用,以“人脸识别第一案”为例,原告当事人因不满杭州野生动物世界采用人脸识别方式入园,而以侵犯隐私权和服务合同违约为由将后者告上法庭,法院认为被告的处理方式超出事前收集目的,违反了正当性原则,判决被告删除原告的面部特征信息以及指纹识别信息,该案件入选最高人民法院于中央广播电视总台共同主办的“新时代推动法治进程2021年度十大案件”2。由此可以看出,个人信息可能的载体不断增加,个人信息泄露的方式与可能性也不断增加,处理者对于个人信息的侵害方式繁复多样且趋于隐蔽化,而相应的个人信息主体对个人信息的保护需求不断突出,保护意识也随之提升,司法机关也不断更新其认知与司法实践。
3.2. 个人信息的利用需求
信息时代之下,物质的价值存在不再局限于传统的有形状态。就个人信息而言,社会的运行对信息的依赖程度不断加深。在信息化的大环境下,为满足信息处理需求,不仅传统公私机构开始设定特定的部门处理个人信息以满足其自身的使用与合规需求,以及满足社会对于个人信息利用的需求。专门的信息处理者也随之出现,其主要业务就是为个人或机构提供信息处理服务。这些海量的信息处理活动一方面已经成为新经济的一部分,并为传统行业提供新的助推力,另一方面,在客观上也为信息个体提供了便利,人们主动或被动地享受着个人信息处理者提供的服务。
具体来说,对于企业而言,经过大数据、云计算等技术对个人信息加工处理后,根据其自身的需求与发展方向,可以针对不同的客户提供差异化的服务以吸引客户,增加客户粘性。应当认识到,企业所收集、存储的个人信息及其处理能力,已然成为其竞争力的重要部分。事实上,许多单个的分散的信息其价值并不明显,正是企业强大的信息收集与处理能力使得海量的信息汇聚,从而制造了巨大的价值。而在这过程中,企业亦是付出了时间、技术等成本创造了独特的价值,因而汇集的个人信息上还承载了企业的合法权益。比如淘宝、京东、抖音等平台通过大数据技术分析用户的需求,提供定制化的产品界面;还有部分企业如SaaS公司,其主要业务就是围绕企业的需求,为客户提供定制化的信息处理服务,本质上依旧是对于信息的处理,帮助客户分析市场动向及自身风险管理与把控,增创新收益 [6] ;除了企业外,公共职能部门如政府、学校、医院等同样需要个人信息的收集与使用,轰轰烈烈的智能化、信息化改革背后是对个人信息海量的需求 [7] ;对大时代背景下的个人而言,已然与处理者对于个人信息的利用不可分离。在信息的洪流下,主动或被动地向机构或企业提供其个人信息,并主动或被动地享受着信息服务提供者提供的信息服务。主动的如现在正火热的大数据分析高考志愿,通过海量的学校、专业及录取分数等信息并基于使用者的高考分数、性别、兴趣爱好、就业方向等等为使用者的志愿填报提供辅助;被动的如当前的疫情防控,个人信息的利用更是发挥了巨大的作用,不仅可以作为研判的基础,在防疫政策的实施上,更是为疫情防控守住层层关卡,有效地阻碍了疫情的大规模传播,保障了人民的生命财产安全。
4. 个人信息的特性决定需要兼顾保护与利用
1948年,被称为“信息论之父”的克劳德·香农(Claude E. Shannon)在《通讯的数学理论》一文中提出:“信息是用来消除随机不确定性的东西。” [8]。该定义被人们广泛认可,视为经典定义。由此,信息便是为了解决不确定性,个人信息具有其工具性质,正是利用才使其有价值。与此同时,个人信息来源于个人,与个人人格权益密不可分,也使得其应当为宪法及其他法律所保护。
4.1. 个人信息承载人格权益
依据《个人信息保护法》第四条第一款对于个人信息的定义,可以明确我国对于个人信息的界定以其识别性为标准,而其之所以应当受到保护,正是因为个人信息可以通过一定方式识别到个人,与个人及个人的人格尊严密不可分,且不讨论其是否为人格权,但至少应包含个人的人格权益,则必然要受到我国宪法的保护 [9]。在欧洲,“人的尊严不仅是一项基本权利,还是所有基本权利的基石”,“人的尊严是本宪章所赋予的各项权利本质的一部分”3。
为明确保护范围,将个人信息所承载的人格尊严进一步具体化,本文借鉴学者的观点,对其蕴含的人格权益加以拆分,具体可以包括个人自由、身份利益以及平等 [10]。个人自由是指:人本身是行为的目的,个体有权自决与决定与人格的形成与发展有关的事项,在此范围内,可以排除他决、他律或他治。但是,个人信息自决并不意味着个人对与其有关的信息的排他控制,而是指在个人信息利用方面,个人不仅仅是处于被处理的地位,而是主动地知情、参与其中 [10] ;身份利益是指个体在社会中以特定的身份对外进行活动,从而将其活动结果归属于该身份,因而有依附于其身份的利益。并且,在大数据时代广泛运用的“标签化”、“人物画像”使得个人被动地被赋予新的“身份”,本文称之为虚拟人格,与之对应的是现实人格。不同于前信息化时代,虚拟人格在信息化时代所承载的利益可能更甚于现实人格,故应当给予个体以知情并参与;平等是指每个个体应当被平等的对待。而在当今网络下,个人逐渐变得透明再难有隐私,人们在就业、消费甚至受教育领域等均可能因各样的标签而受到歧视。例如“大数据杀熟”,本质上是市场上的信息优势者利用其信息对不同用户的变相歧视。
4.2. 个人信息具有公共性与社会性
信息的存在是为了解决不确定性,当某个个体掌握了特定的信息时,相较于其他不掌握该信息的个体就相对拥有确定性。个体在社会中与人交往、交互时,需要在社会中有其独特的坐标以标记自我,个人信息便可以作为锚点以固定坐标,可以作为其与社会中其他个体或组织交往时的工具。总结而言,信息不是为了保护而存于世间的,相反恰恰是为了利用 [4]。
深究个人信息的工具性质,正是其工具性质决定了个人信息的社会性、公共性。应用场景主要包括以下两个角度:从个体出发,个人需要信息来标识自己,如姓名、性别、国籍、身份证号等,由此作为与社会中其他主体交往的符号,使特定或者不特定的人将个体的社会活动结果与个体联系起来。在这一过程中,信息必然会被传播、利用,为其他个体所掌握,这也是个体社会活动的必然结果;从社会角度而言,社会需要收集社会中各个主体的信息,对此加以利用以了解个体,并在特定的场景下做出判断。个体需要主动利用信息的同时,也有信息被社会所利用的需求,两者不可或缺。当特定的信息被用来识别个人时,并不意味着该信息属于该个人,这些信息仍然可以被用于标识其他个体,因而信息具有可共享性、公共性与社会性。
总结而言,个人信息的价值在于传播,具有极强的工具性质。然而,又因其脱胎于个人,承载着人格权益。而个人的人格权益受到宪法的保护,从人格权益出发,个人有权知情并参与个人信息处理活动,以保障其自由、身份利益与平等。在此基础上,可以为个人信息的利用构建平台,即是否可能损害所承载的人格权益,以此作为保护与利用的分界。
5. 结语
应当认识到,在大数据的时代下,对于个人信息完全地保护抑或利用都是不合理也不现实的。事实上,个人信息的保护与利用不是非此即彼的关系,无论从社会中不同利益主体对个人信息的需求,有效发挥个人信息真正的价值、有力保护个人信息主体合法权益的角度,抑或从现有的执法、司法资源的角度出发,在划定边界以保护个人信息主体的核心权益的前提下,鼓励规范个人信息利用而不偏废一方,是正确合理适用个人信息规范应有之义。而如何为个人信息的保护与利用划清边界,关键在于深刻理解并把握个人信息作为载体所承载的主体的人格权益,并以此为平台重塑对于个人信息本身以及个人信息规范的理解,以此推动合理的、健康的个人信息利用环境的形成,推动大数据时代的进一步繁荣。因此,本文认为,个保法时代下对于个人信息规范目的的分析,可参考的角度是以个人信息所承载的人格权益为平台加以核查,平衡个人信息保护与利用,厘清个人信息保护的边界,保障个人信息相关法规的适用。
NOTES
1http://www.mzyfz.com/html/2148/2018-07-27/content-1350977.html。
2《十大案件讲述中国法治故事把公平正义镌刻在判决书字里行间》:“……人脸识别第一案……入选‘新时代推动法治进程2021年度十大案件’”,https://m.gmw.cn/baijia/2022-05/13/35732813.html。
3Article Based Legal Explanation of Fundamental Rights, https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:12012P/TXT, 2023-03-14.