丁晓东
(中国人民大学法学院教授、法学博士)
[摘 要] 个人信息概念是个人信息保护制度的基础。但个人信息概念面临范围不确定、去标识化信息性质不明、匿名化信息是否受保护等难题。个人信息概念之所以不确定,是因为个人信息高度依赖场景,因个人信息识别目标、识别主体、识别概率、识别风险的不同而不同。在技术与产品飞速发展的今天,更难找到确定不变的个人信息界定规则。应放弃个人信息与非个人信息的绝对化区分,将个人信息视为规制信息关系的制度工具,根据具体场景与制度功能确定个人信息的范围及其规制方式。在监管层面,可以采取个人信息、可识别个人信息、非个人信息的三分法而进行功能性的分类规制;在司法层面,可以进一步进行场景化规制,利用自下而上的案例确定个人信息的范围和保护制度。通过规制三分法与司法案例法,可以建立模块化的个人信息分类保护制度。
[关键词] 个人信息;识别;去标识;匿名化;场景化
一、问题的提出:个人信息概念界定的难题
个人信息的概念与范围是个人信息法律保护的基础问题。目前,各国都采取了个人信息/非个人信息的二元法律保护机制。一旦某一信息被划入个人信息的范围,此类信息就将受到个人信息保护法的管辖与约束;相反,一旦某一信息被认定为非个人信息,则有关主体对此类信息的收集与处理就不必承担相关义务。以我国为例,个人信息保护法等法律法规对个人信息进行严格保护,但对非个人信息或匿名化的个人信息则提倡数据要素市场交易与流通。欧盟亦是如此,欧盟在个人信息/数据领域制定了严格的《一般数据保护条例》,对其处理与流通施加了严格限制,但也同时制定了《非个人数据自由流动条例》,对非个人数据采取完全不同的法律框架。
但个人信息的概念并不明确,甚至存在重大争议。首先,如何理解识别这一概念?目前,各国普遍以是否识别来界定个人信息。例如,《中华人民共和国个人信息保护法》(以下简称“《个人信息保护法》”)第4条规定:“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。”欧盟《一般数据保护条例》第4条第(1)款将个人数据界定为“任何已识别或可识别的自然人(‘数据主体’)相关的信息”。美国加州影响甚广的《加州消费者隐私法》将个人信息界定为“直接或间接地识别、关联、描述、能够合理地与某一特定消费者或家庭相关联或可以合理地与之相关联的信息”。但识别如何界定?识别是否意味着某一信息必须能够直接联系到某一个体?假如某一信息只能联系到特定设备,例如联系到某部手机、某台电脑、某台空调、某件物品,此时这一信息是否属于个人信息?再比如2022年各大平台上线IP属地公开,显示网名所属的国家或省份,此类IP地址是否属于个人信息?
其次,如何理解去标识化、假名化信息?目前,各国都在其法律中对此类行为或信息类型进行了规定。例如,我国个人信息保护法第73条第3款规定,去标识化是“指个人信息经过处理,使其在不借助额外信息的情况下无法识别特定自然人的过程”。欧盟《一般数据保护条例》第4条第(5)款规定,假名化“指的是在采取某种方式对个人数据进行处理后,如果没有额外信息就不能将某一信息归于某一特定主体”。但经过“去标识化”“假名化”后的信息应当如何归类?应将其视为个人信息、非个人信息?还是介于个人信息与非个人信息之间的第三类信息?在当前的信息实践中,企业等信息处理者所收集的信息常常不包含个人姓名、身份证号,或者在收集了此类信息后常常采取去标识化、假名化、加密等手段。对于此类信息如何理解,适用何种法律框架,需要进一步探讨。
最后,如何理解匿名化信息、群体性信息等信息传统上认定为非个人信息?目前,我国和各国法律都将匿名化信息排除在个人信息之外,因为这种信息被认为无法识别特定自然人。例如,我国个人信息保护法第73条第4款规定:“匿名化,是指个人信息经过处理无法识别特定自然人且不能复原的过程。”欧盟《一般数据保护条例》也在其“重述(recital)”第26条中明确,其不适用于匿名化的数据。对于群体性信息,各国法律也大都没有将其囊括到个人信息范畴,例如,《加州消费者隐私法》规定:“与一组或一类消费者有关的信息有关的汇总消费者信息(aggregate consumer information),如果个人消费者身份已从这些信息中去标识”,则此类信息不属于个人信息。但问题在于,即使是匿名化数据,也经常可以被重新识别,给个体带来风险。在大数据时代,匿名化在一定程度上已经成为失败的承诺(broken promise)。而对于群体性信息,大量运用群体信息进行追踪、营销和群体识别的情形也日益引起了重视。在实践中,信息处理者往往对一个群体而非一个个体进行识别、投放广告,带来所谓的群体个人信息保护或群体隐私(group privacy)问题。因此,无论是匿名化信息还是群体信息,这类信息是否完全不属于个人信息、不受保护,也需要进一步分析。
上述问题相互勾连,而且仅仅是个人信息概念问题的一部分。回答这些问题,需要对个人信息的概念与范围进行合理把握,对个人信息的概念进行较为全面的分析与反思。本文将在分析个人信息概念在制定法与司法案例层面的不确定性的基础上,进一步探明个人信息概念不确定性的深层原因,并从原理层面重构个人信息概念,在规制与司法层面提出个人信息界定的操作性方案。本文的核心论点是,个人信息高度依附于场景,特别是在大数据时代,某一信息在某种视角和某种场景下可能不是个人信息,但如果换一视角和场景,可能就会成为个人信息。同样,去标识化信息与假名化信息也难以进行完全确定性划分。因此,对个人信息进行界定,应避免个人信息/非个人信息二元界定,应转而采取场景化的弹性界定思路,根据某一信息所处的具体场景以及规制必要性而对其进行性质界定。如果某一信息与具体场景中的个人权益相关,有必要通过个人信息保护法进行调整,则应当将此类信息纳入个人信息范围。反之,则应将其界定为非个人信息或特殊类型的信息。法律对个人信息进行保护,其本质在于通过个人信息这一概念规制相关的信息实践,而非保护个人信息本身。通过场景化个人信息界定与制度的功能性适用,可以实现信息属性的合理界定,保护某一信息行为中的合法权益、预防相关风险。同时,为了解决场景化理论等不确定性问题,可以在行政规制层面引入个人信息的三分法,在司法裁判层面引入案例制度,建立模块化与颗粒化的个人信息保护制度。
二、个人信息的不确定性及其分析
分析个人信息的概念与范围,可以先从我国与欧美等主要国家和地区的实证法出发。通过分析相关法条与案例,可以发现不同国家与地区采取了不同的个人信息界定,但也呈现趋同性,不同国家与地区所面对的问题尤为相似。
(一)法律解释及其分析
如上所述,我国个人信息保护法将个人信息界定为“已识别或者可识别的自然人有关”的信息,这一进路也常常被概括为“识别说”+“关联说”。相比我国网络安全法与民法典,在“识别”的基础上,其对个人信息概念作了宽泛的界定。同时,与网络安全法、民法典不同,《个人信息保护法》也不再对个人信息的类型进行列举性规定。从立法目的与立法技术来说,个人信息概念的这一界定意图非常明显,意在扩充或强调个人信息的保护范围,防范对个人信息作较窄理解。在实践中,有的信息处理者主张,企业对于没有用户姓名、不能直接识别的用户画像信息的收集并不直接识别个人,企业可能“懂你”,但不“认识(识别)你”。如果采取这种进路,则大量匿名化的行为信息将被排除在个人信息保护法之外。在我国个人信息保护法起草与讨论的过程中,立法者对于这一现象高度警惕。尽管网络安全法与民法典等法律也不宜作如此狭义的理解,将不具姓名但和个人相关的各类行为信息排除在保护范围之外,但《个人信息保护法》还是对此进行了重申,再次强调其保护信息范围的宽泛性。在互联网与大数据时代个人信息的存在方式已经非常多元,保护个人信息不能仅仅将保护范围局限于个人档案或类似个人档案的信息。
我国个人信息保护法的这一规定与欧盟的《一般数据保护条例》具有相似性。《一般数据保护条例》第4条除了同样以“识别”+“相关”的表述界定个人信息,对个人信息的范围与类型进行了宽泛性的列举,还明确将“姓名、身份编号、地址数据、网上标识或者自然人所特有的一项或多项的身体性、生理性、遗传性、精神性、经济性、文化性或社会性身份”也纳入个人信息范围。在对这一条文的“重述”第30条中,欧盟还特地明确列举了“通过设备、应用程序、工具和协议提供的在线标识符,例如互联网协议地址、cookie标识符或其他标识符”,将各类与设备或物品相关的信息纳入其保护范围。甚至对于经常用于各类物品标签的无线射频识别即射频识别技术(Radio Frequency Identification, RFID),“重述”也将其列举为个人信息。虽然“重述”不具有法定效力,但其对《一般数据保护条例》的解释有着毋庸置疑的权威性。
相比中国和欧盟,美国联邦与各州对个人信息的界定略有不同。首先,美国法的个人信息界定往往不区分“已识别”与“可识别”,而仅仅以“个人可识别信息”(personally identifiable information)作为个人信息或个人数据的同义词。例如,美国《儿童在线隐私保护法》(Children's Online Privacy Protection Act, COPPA)将“个人信息”定义为“关于个人的个人可识别信息”。其次,美国对个人信息的界定方式往往较为多元。有的法律采取列举式的界定,将个人信息限定于特定类型。例如马萨诸塞州对于个人信息泄露的立法将个人信息定义为个人的名字和姓氏,或首字母和姓氏与社会保险号码、驾驶执照号码、金融账户号码或信用卡或借记卡号码的组合。有的法律采取排除式方法,例如,1984年的《有线电视通信政策法案》(Cable Communications Policy Act, CCPA)将个人可识别信息定义为“聚合数据”以外的内容,对“未识别特定人员的任何聚合数据记录”以外的用户数据进行保护;1999年《格拉姆-里奇-布莱利法案》(Gramm-Leach-Bliley Act, GLBA)将“个人可识别金融信息”定义为“非公开的个人信息”。还有的法律则采取同义反复的方法,例如,1988年制定《视频隐私保护法》(Video Privacy Protection Act, VPPA)将“个人可识别信息”定义为“识别个人的信息”(information which identifies a person)。当然,也有很多法律采取了综合性定义方法,例如《加州消费者隐私法》,既采取了开放式列举与排除式列举,也同时借鉴了欧盟的定义方式。
比较中国、欧盟与美国的个人信息定义,会发现虽有差异和各自的优缺点,但其面临的问题却具有相似性。就中国、欧盟而言,个人信息统一界定模式的优点在于保持法律的形式统一性,同时将更多信息类型纳入保护范围,但其缺点也非常明显,这就是它们可能将越来越多的信息都纳入其保护范围,无法区分真正需要保护的信息类型。从原理上说,一个社会所产生的信息,只要它和人类行为具有任何一点联系,就可能帮助某个主体在某种情形下识别个人。信息从最本质上说是人类和世界所留下的信息轨迹,只要人类直接或间接影响到某一信息轨迹,则该轨迹就可能成为识别个人的信息。例如,一瓶喝过的水、一辆停在街边的车都可能帮助某些主体识别某个人。就此而言,如果从最广义的角度理解个人信息,则如某些学者所言,任何信息都可能成为个人信息,欧盟的《通用数据保护法》会成为“无所不包的法”。
就美国而言,美国分散式与多元化立法的好处是可以对个人信息进行分类保护,在不少情形下更清晰,更具有操作性。以上文提到的列举式定义为例,很多州有关数据安全与个人信息泄漏的立法都采取这一模式,这一模式使得信息处理者可以更为准确地进行合规操作。而排除式的列举或同义反复式的个人信息界定模式,由于这类立法往往针对某一个行业或领域,其个人信息范围也相对欧盟模式更为清晰。当然,其缺点也非常明显,由于统一界定,信息处理者可能需要在不同的情形中遵循不同的法律规定,增加其合规成本。对于个人信息保护而言,这种模式也可能使很多与个人相关或可以间接识别个人的信息无法得到保护。正如施瓦茨与索洛夫二位学者所言,如果说欧盟模式的保护范围可能过宽,那么美国模式的界定则有可能过窄。
中国、欧盟与美国的个人信息界定模式虽然问题各异,但所面对的问题具有一致性。其问题核心在于,在互联网与大数据时代,个人信息与非个人信息的界分极为困难,大量信息介于个人信息与非个人信息之间。个人信息作为一个法律概念,其兴起大概起源20世纪的60、70年代,当时,由于计算机技术的兴起,西方很多国家的公共规制机构与企业实体开始利用计算机对个人信息进行系统化存储,而此类信息往往包括姓名、出生日期、身份证号码、住址、电话号码等档案类信息。这引起了学术界的普遍担忧,在法律与政策层面诞生了以个人信息为核心的制度框架。时至今日,这一存档信息还在有的法律制度中被保留下来,例如,欧盟的《一般数据保护条例》所提到的“存档系统”(filing system)。但在互联网与大数据时代,与个人信息相关的个人信息主要不是以计算机档案或类似档案的形式存在。如同很多学者指出,互联网、大数据与新科技所需要获取的信息往往是非档案性信息,这类信息与传统的个人信息与非个人信息都具有重要区别,因为它们往往不能直接识别个人,但又常常能间接识别个人,并且对个人权益造成重大影响。在这样的背景下,沿用五六十年前的个人信息概念,就会存在保护过宽与保护不足的困境。
(二)司法案例及其分析
司法实践中对于个案的判决进一步显示了个人信息概念的不确定性。以我国为例,我国已经在若干判决中对个人信息的概念与范围进行了界定,这些判决不少都引起了较大争议,进一步说明个人信息并非一个非黑即白、容易清晰界定的问题。
早在2014年,南京市法院就曾经在判决中进行过分析。在该案中,原告在百度公司搜索“减肥”“丰胸”等关键词后,百度利用cookies技术,在浏览相应的网页时推送诸如“减肥”“丰胸”“人工流产”等广告。该案虽然发生在我国个人信息保护法、民法典、网络安全法等法律生效之前,但其时工信部制定的《电信和互联网用户个人信息保护规定》已经对个人信息进行了规定,因此,法院也结合这一规定对cookie信息是否属于个人信息进行了分析。根据法院的论述,cookie信息不能被认定为个人信息,因为“cookie信息无法与特定的人相联系”,百度“所搜集的仅是不可识别的网络行为碎片化信息,而非现实世界中具体的个人信息,根本不可能与朱某发生对应识别关系”。
我国网络安全法、民法典生效后,我国法院又在一系列案件中对个人信息进行了界定。首先是引起社会广泛关注的北京互联网法院判决的微信读书案和凌某某诉抖音App侵犯个人信息案,在前一个案件中,微信读书产品向共同使用微信读书的微信好友默认开放其读书信息,北京互联网法院在经过审理后,认定个人的读书信息属于个人信息,因为“正在阅读的读物、推荐的读物、读书时长、读书想法”,“可能勾勒刻画一个人的人格侧面”。在后一个案件中,法院认定凌某某的社交关系和“地理位置”均属于个人信息。而在深圳市南山法院所作出的“微视案”判决中,法院认定微信所收集的头像、性别、好友关系属于个人信息,但认为微信的信息收集与处理行为不构成对隐私权或个人信息权益的侵害。此外,在余某某诉北京某网络科技公司隐私权、个人信息保护纠纷案中,法院认定,经有效脱敏化处理的历史车况信息不属于个人信息或隐私。在陈婷与百度公司人格权纠纷一案中,百度公司通过IP字段(非单个IP地址)向群体用户投放广告,法院经过初步审理,认定IP字段所形成的地址信息并不能和用户形成一对一的对应关系,因此不属于个人信息。
欧盟的判例对于个人信息的界定较宽,但也显示出个人信息概念的不确定性。早在1995年的《数据保护指令》中,欧盟就在其中作出了和《一般数据保护条例》近乎一致的个人信息定义,欧盟正义法院等司法机构也据此在一系列案件中对个人信息进行界定。例如,在Nowak案中,一名考生试图访问自己的考卷,法院经审理后认为考试试卷属于个人数据,并且强调欧盟所采取的个人数据定义是一种广义的界定,突出了个人数据界定中的“任何”(any)一词。但在此前的YS案判决中,法院又作出了相对较窄的界定。在该案中,有三人的居留许可被拒绝,他们因此申请对于行政文件分析的查询访问权。但法院经过分析后认为,虽然文件中与个人相关的数据属于个人数据,但行政文件本身不能被视为欧盟法所规定的个人数据。
欧盟法院对于网络交互类数据的性质认定同样表明了这一点。欧盟法院曾在Scarlet Extended案中认定,静态IP地址属于个人数据。在Digital Rights Ireland一案中,欧盟法院(Court of Justice of the European Union)认定,位置数据、IP地址与检索到的网页上的日志文件相结合的数据属于个人数据,因为尽管这类数据仅能间接识别数据主体,但它可能“知道订阅或注册用户与之通信的人的身份以及通信方式,并确定通信时间以及通信发生的地点”。但在影响极大的Breyer一案中,法院尽管认定动态IP属于个人数据,但对这一界定进行了很多限定。该案的难点在于,动态IP地址经常会发生变化,并不像永久性的静态IP地址固定不变。对于此类IP,网络服务提供商出于收费与监管目的会将个人与特定时间的动态IP地址联系起来,但网站的运营者(在本案中为德国联邦政府)本身不会做这种联系。欧盟法院在判决结果中,虽然最终将动态IP地址也纳入个人数据范围,但也意识到网站运营者并不能识别个人。
三、个人信息的场景依附性
上文已经初步分析个人信息的不确定性,以下进一步的深入分析将从更多层面揭示其根源所在。界定个人信息的核心在于识别,但信息的个人可识别性并不存在一个客观的刚性规则,而是取决于识别的目标、被谁识别、识别的概率、识别的风险等多种因素。在信息技术飞速发展与产品商业日新月异的背景下,这些因素更变得日益多元,使得个人信息更难界定。
首先,识别目标是什么?不同识别目标将影响某一信息的性质。识别可能是为了在一个国家或地区查询或定位到某个人;也可能是为了了解某个已知个体的信息;或者是为了和某个设备建立对话。荷兰蒂尔堡大学法学院的罗纳德·李恩斯(Ronald Leenes)教授将识别分为四类,即L型查找型识别(look-up);R型确认型识别(recognition);C型归类型识别(classification);S型会话型识别(session)。所谓L型查找型识别,指的是通过诸如姓名、电话或护照号码等标识符对特定个人进行查找,将该标识符连接到指定个人(即其公民身份)的注册表、目录或表格,以确定公民身份。R型确认型识别指的是在不涉及公民身份的情况下,对某些已经具有联系或接触场景的对象进行确认,例如利用人脸识别对某人进行确认,利用cookies、IP地址、IDFA广告标识码等进行身份确认。C型归类型识别指的是其目的是对某人进行群体归类,例如将某人归入高消费群体,这类识别常常通过长时间追踪和观察一个人而实现,例如通过L型查找型识别或R型确认型识别来实现,但也可以独立存在,比如通过智能广告牌对路过的观众进行归类。S型会话型识别则指的是为了设备或技术的交互对话而进行的识别,例如利用cookie使得网站记录顾客的购买记录、购物篮。李恩斯教授的识别目标分类可能未必完整,但此类分析已经足以说明,识别可能具有完全不同的识别目标;即使同一种识别手段,也可能具有不同目标。从不同的识别目标出发,可以发现某种信息在某一识别目标下可能成为个人信息,但在另一种识别目的下则不能。例如,身份证号码可以帮助公安机关实现查找个体功能,可能被划入个人信息的范围;但对于消费归类或对话识别而言,没有其他信息的身份证号码只是一串数字。
第二,谁来识别个人信息?不同识别主体会影响信息的归类。对于身份证号码、指纹信息而言,公安机关可以凭借此类信息而精准识别个人,但普通个人却常常难以识别。对于较为常见的姓名、微信头像、网络昵称,一个小群体可以通过它们而快速识别或联想到某人,但陌生人则很难进行识别,除非此类信息和其他信息结合,才有可能具体定位到某个具体个人。对于IP、MAC地址、IMEI码等网络与设备信息而言,具有交互性的技术人员可以对设备进行识别,进而在一定程度上识别个人,但对于非技术人员或非交互方来说,这些网络与设备信息很难进行识别。目前,各国法律实务与法学研究对“谁来识别”这一问题恰巧没有作出明确界定,或者采取了不同界定。例如,我国个人信息保护法对此未进行明确界定,欧盟《一般数据保护条例》“重述”第26条认为,识别的主体包括“控制者或其他人(the controller or by another person)”;英国的信息委员会(ICO)将识别主体想象为一个“有动机的侵入者”(motivated intruder)。欧盟地区不同的法院也对此有不同的解读。在学术界,对于识别主体究竟主要是数据控制者,还是包括第三方在内的所有主体,也存在持续性的争议。
第三,何种概率的识别才算识别?不同识别程度或概率将影响信息的性质界定。个人信息概念中“已识别”与“可识别”信息的分类已表明,个人信息概念包括了识别难度不同的信息。如果说“已识别”表明了一种难度为零或接近为零的信息,那么“可识别”则包含了识别难度不一的各种信息。如果当事人采取非常专业的手段,对相关信息进行追踪、比对,那么很多加密信息或看似与个人无关的信息都可能被识别而成为个人信息,就像侦探或黑客对相关信息的“破译”一样。反之,如果当事人没有采取积极主动的识别方法,也没有利用相关技术,那么即使一般的去标识化信息或假名化信息,也可能无法识别。目前,有的国家和地区试图界定可识别性的判定规则。例如,欧盟在《一般数据保护条例》“重述”第26条规定,个人信息的可识别性“应考虑所有合理可能使用的手段”,“为了确定是否有合理可能使用手段来识别自然人,应考虑到所有客观因素,例如识别的成本和所需的时间,同时考虑到处理和技术开发时的现有技术”。这一规定试图以“合理可能性”(reasonably likely)来界定难度,但留下了很多不确定性,仍然需要解释者结合多种因素对其进行判断。
第四,个人信息被识别的后续风险有多大?不同的后续风险与风险认知将影响信息的性质界定。目前,各国往往对侵害法益较为严重或风险较大的信息进行特殊保护,将其界定为敏感信息。例如,我国个人信息保护法第28条规定,敏感个人信息是“一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息”。欧盟《一般数据保护条例》将这类信息界定为“特殊类型的个人数据”。就个人信息与非个人信息而言,风险的不同也会影响二者的区分。一方面,如果采取零风险或接近零风险要求的法律规则,则无论多高层级的加密化个人信息都将属于个人信息,因为加密信息虽然无法直接识别个体,但一旦被破译,就可能给个人带来风险。甚至完全匿名化的信息,由于此类信息仍然存在被重新识别和给个人带来风险的可能,也可能成为个人信息。另一方面,如果要求个人信息被识别必须具备一定的风险,则很多信息都可能成为非个人信息。例如,具备安全保障能力的加密化信息,或者通过隐私多方安全计算而处理的个人信息,就可能因为其风险的相对可控性而被视为非个人信息。
以上四点仅仅是影响个人信息界定的一部分因素,其他因素或分类也同样会影响个人信息的界定或范围。例如,个人信息被何种方式处理和利用?当IP属地地址被用于群体识别与信息发送,此时IP属地未必能识别个体,但如果IP属地被网络平台实名公开,就可能暴露某些网民的行踪轨迹,成为可识别的个人信息。个人信息的识别应当按照个人的主观感受进行判断,还是按照客观情况进行判断?在很多场景下,个人可能感觉自己已经被识别或很可能被识别,但客观上其实很难被识别。个人信息的识别性应当在多长时间内有效?有的个人信息,可能在一定的时间段内很难被识别,但如果放在更长的时间段内,随着相关信息的增加和技术的进步,原先很难被识别的个人信息就有可能被识别。此外,文化与国情因素也会影响个人信息的界定,例如在欧盟,个人的身份性因素往往被认为具有高度识别性,欧盟对“特殊种类个人数据”的界定就包括了“种族、民族背景、政治观念、宗教或哲学信仰或工会成员的个人数据、基因数据、为了特定识别自然人的生物性识别数据,以及和自然人健康、个人性生活或性取向相关的数据”。相较之下,我国的敏感信息则主要包括“生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息”,并未将种族、民族背景纳入其中。
上述分析说明,个人信息具有高度的场景依附性。个人信息并不像土地、石油、电脑等有形物体一样,这些有形物无论身处何处,被何人使用,其价值都有一定的稳定性,也可以在一定程度上标准化。个人信息甚至不像知识产权等无形财产,知识产权也可以通过市场而进行较为标准化的确权。个人信息或数据则不同,相关信息的属性如何界定,往往取决于这一信息是被用于何种用途,被谁识别、多大概率被识别、被识别的风险等场景性因素。
目前,个人信息界定的场景性特征几乎已经成为一个共识。例如,欧盟第29工作组发布的“关于个人数据概念的意见”指出,某些标识符是否“实现识别,这取决于特定情况的场景(the context of particular situation)。一个非常普通的姓氏不足以从一个国家的全体人口中识别出某个人,即从中筛选出某个人,但很可能在教室中识别出某个学生。而即使是辅助信息,如‘穿黑色西装的人’,也可能从站在红绿灯处的行人中识别出某人”。在学界,个人信息界定的这一场景性特征也得到了欧美学者的一致认可。美国信息隐私法的两位最权威的学者施瓦茨与索洛夫都指出,个人信息与非个人信息的界分“经常是场景化”的。欧盟地区的两位学者也指出,数据高度“依赖场景”(context-dependent),数据的个人性“不应被视为数据的属性,而应被视为数据所处场景的属性”。
四、个人信息的定义重构
从个人信息的不确定性与场景依附性出发,可以对个人信息概念进行重构。应避免概念本质主义的立场,避免将个人信息与非个人信息视为一种可以脱离具体场景的不变实体。相反,应将个人信息视为一种把握相关场景下信息关系与信息实践的制度工具,这一制度工具的范围应根据个人信息保护的目的而确定。当某一信息在具体场景下可能对个人的相关权益产生影响,或者需要通过个人信息保护法进行调整时,此时就应当将这一信息纳入个人信息的范畴。反之,当某一信息与个人权益没有或几乎没有关联,难以通过个人信息保护法进行规制,此时则不应将其纳入保护范围。与此相适应,在制度适用上,应结合信息实践的具体场景,根据个人信息保护的不同制度功能而对不同信息实践进行不同保护。对于具有争议性的某类信息,应避免对其进行全有或全无的保护。即使某一信息被认定为个人信息,此时个人信息保护法的一系列制度也不一定全部适用。
(一)个人信息二元界定的困境
个人信息概念的界定应首先放弃“范围二元界定—制度二元适用”的分析进路。试图把握个人信息的边界,就像试图确定某个人的周围空间是否受到侵犯,无法把握问题的实质。个人空间是否受到侵犯,与具体场景密切相关。例如,拥挤地铁里的个人,其个人空间权利非常狭小;而在空旷地带,陌生人对于个人临近空间的逼近就会让人感到威胁。对个人空间进行保护,本质上是为了保护人与人之间的合理关系。个人信息的概念与范围也一样,个人信息的界定本质是为了规制信息关系,而非为了保护个人信息本身。因此,应更多通过这一概念理解具体场景的相关信息实践,而非脱离场景来界定个人信息的范围,就像脱离物理空间场景来确定个人空间权利。
个人信息的制度设计强化了二元界定与二元适用的问题。目前,各国对个人信息保护普遍采取基于“公平信息实践”的制度框架,例如,我国个人信息保护法提出了处理个人信息的“合法、正当、必要和诚信原则”,对个人赋予了知情决定权,查阅复制权、携带转移权、更正补充权、删除权、解释说明权等权利,对信息处理者赋予了安全保障、合规审计、影响评估、泄漏补救措施等责任。如果采取个人信息/非个人信息的二元划分,就意味着某些信息要么受个人信息保护法的全部保护,要么完全不受法律保护。但正如很多研究指出的,个人信息保护法的框架更接近于一种治理型框架,其中不同制度所实现的目标并不相同,其制度的刚性程度也不相同。以个人消极性信息权利与积极性信息权利区分为例,个人信息保护制度中的消极性权利/权益更接近于个人隐私性权利/权益,其刚性程度相对较高。而个人信息保护制度中的积极性信息权利/权益有的是为了保障个人知情权,有的是为了保护与个人信息相关的权益,有的是为了防范相关风险,有的则纯属为了个人便利,其权利属性具有程序性权利或请求权的性质。因此,有的信息即使被归入个人信息,也未必都适用个人信息保护法中的所有权利义务;反之,有的信息即使被认定为非个人信息,也应享有个人信息保护法中某些制度的保护,例如享有不被轻易重新识别和安全保障的权利。
(二)场景化界定与功能性规制
为了避免个人信息二元划分带来的问题,个人信息概念界定应采取场景化的界定方式。首先,应将某一信息还原到具体场景的信息关系与信息实践中,弹性解释信息的个人与非个人属性,从而实现对信息关系进行“场景化控制”(contextual control)。以前一部分提到的四个因素为例:第一,就个人信息识别目标而言,应对符合识别目标的信息做更广的界定,对不符合识别目标的信息做更窄界定。以IP地址段为例,此类信息难以直接识别个体,只能从概率上反映某个人位于哪个区域。如果相关行为试图通过IP地址段进行区域营销,则此类信息更宜归入非个人信息;但如果IP地址段是为了追踪某个人的大致轨迹,则此类信息更宜被归入个人信息。第二,应分析识别的可能主体,根据较为可能识别的主体而判断个人信息的可识别性。例如对于加密的个人金融账户信息,应根据所有可能的侵害者而判断,只要此类信息能够被侵害者破解,此时就更应认定为个人信息。相反,对于加密的非风险性信息,则只要其不能为一般用户轻易破解,此时更应认定为非个人信息。第三,应分析个人信息被识别的概率,结合非技术人员预期与技术人员预期而判断信息被识别的可能性。非技术人员与技术人员的合理预期,可以分别从个体主观感受与技术发展层面为个人信息识别概率提供判断依据。第四,应分析信息使用不当或泄漏所带来的风险。如果相关信息的处理可能给个人带来较大风险,则此时宜将其视为个人信息;反之,如果相关信息的处理不带来任何风险,则此时更宜将其视为非个人信息。
其次,应结合个人信息保护中不同制度的不同功能,对信息进行功能性规制。这里仅以知情同意权与查询权这两种基础性权利为例,说明不同场景下的信息实践可能需要不同的制度适用。就知情同意权而言,对于会话型识别,一般应要求信息处理者履行告知义务,并获取对方同意,因为此类识别具有信息处理者与个人的交互会话场景。而对于不具备交互会话场景的某些归类型识别、查找型识别、确认型识别,则未必要求信息处理者都履行此类义务。例如,对于公共场所的视频监控,信息处理者一般只能进行提示或警示,而不可能对每位行人进行告知并获得同意。如果强行要求信息处理者获取个人同意,只会让信息处理者进一步识别个体,对个体隐私权益产生更多威胁。同样,查询权也常常给个体带来风险,查询权的实现不仅需要信息处理者验证与精确识别个体,而且还可能导致他人冒用个体身份进行信息查询,给个人隐私带来重大威胁。因此,个人信息查询权更宜在后续风险较小的领域被适用;在风险较大领域,应当优先要求信息处理者履行信息安全保障义务。
五、个人信息的行政与司法界定
个人信息的不确定性与场景依赖性曾经使有些学者主张,应当彻底放弃这一概念。例如,美国的信息法学者欧姆教授(Paul Ohm)曾主张,在大数据时代,个人信息与非个人信息的区分已经没有意义,应当放弃个人信息这一概念,改由风险规制的路径对相关信息实践进行规制。
作为一名具有深厚技术与法律双重背景的专家,欧姆教授的分析细致入微,其对个人信息不确定性的论述尤其具有说服力,但其主张也存在操作层面的巨大难题。在个人信息概念已经成为全球个人信息保护共识的背景下,全盘抛弃个人信息这一概念并不现实。对于中国和欧盟这样已经制定统一个人信息保护法律的国家和地区而言,这一方案尤其不具有可行性。无论个人信息行政监管、个人信息司法诉讼还是企业合规,个人信息都已经成为了一个绕不过的概念。
因此,更为可行性的方案是,在承认与接受个人信息概念不确定性的基础上,采取更具有操作性和贴近个人信息场景化特征的保护模式。其中,在行政监管层面,可以采取自上而下的个人信息类型化保护;在司法与行政裁决层面,可以采取自下而上的个人信息案例法保护。
(一)行政监管中的个人信息三分法
在行政监管层面,可以考虑借用施瓦茨与索洛夫提出的个人信息2.0的分析进路,以个人信息三分的方法来进行个人信息概念界定与法律保护。所谓个人信息的三分法,指的是在可识别个人信息(identified personal information)与不可识别个人信息(non-identifiable personal information)的二元区分之外,对可识别个人信息再进行区分,将其作为特殊类型的信息进行保护。两位学者的理由是,个人信息尽管具有不确定性,但这一概念仍是现存法律保护最佳的工具和抓手。完全通过成本—收益与风险预防的进路来保护个人信息,可能导致整个信息隐私法框架的重构,无论是监管机构进行法律监管,还是个人信息的处理者进行合规实践,可能都会面临无所适从的困境。而个人信息的三分法则更具有操作性,既可以为监管机构和企业合规提供整体稳定的制度框架,又可以对个人信息进行一定程度的场景化界定。
在制度方面,个人信息三分法主张对可识别信息部分适用、部分不适用相应法律责任。在适用方面,个人应当享有对个人可识别信息被收集与处理的知情权,信息处理者应当承担保障收集与处理个人信息的透明性,保障个人的信息安全、信息质量等责任。个人信息三分法认为,知情权与透明性作为一种制度工具,有利于保障个体权益,同时强化消费者隐私意识,推动企业的自我监管,为个人信息执法与司法提供依据。而个人信息的信息安全与信息质量要求则可以督促企业建立自我规制体系,消除个人可识别信息不当使用或泄漏给个人可能带来的风险。信息处理者应当评估被收集信息的潜在风险,建立起一套“跟踪—审查”模型,建立基于信息生命周期的跟踪与保障机制。
在责任免除方面,个人信息三分法主张豁免此类信息中的访问权、删除权、更正权、携带权等权利。相比起信息安全,这些权利所涉及的公民权益重要性相对较低,对信息处理者施加的责任相对更重。从权利与责任的相适应角度看,施加此类权利并不合理。同时,为了行使这些权利,企业还将不得不收集更多信息,以进一步联系个人与确认个人身份,反过来影响个人隐私利益。因此,免除个人可识别信息中的部分权利,有利于对此类信息进行更合理的规制。
个人信息三分法在近年各国的法律中都有所体现。例如,我国个人信息保护法在个人信息与匿名化信息或非个人信息之间,引入了去标识化的概念。欧盟也引入了假名化个人信息的分类,并且对处理此类信息的法律责任进行了限缩。《一般数据保护条例》第11条规定:“如果控制者处理个人数据的目的不需要或不再需要控制者对数据主体进行识别,控制者就不再有责任保存、获取或处理额外信息,以遵循本条例。”除非数据主体“提供额外信息而使得对其识别变得可能”,否则“第15至20条所规定的权利”将不适用。在一定程度上,这一规定呼应了施瓦茨与索洛夫两位学者在若干年前所提出的方案。
我国个人信息保护法未对去标识化个人信息作出具体规定,参考个人信息三分法的方案,可以对去标识化个人信息进行制度细化。一方面,可以将去标识化个人信息纳入个人信息保护法等法律法规的范畴,因为我国个人信息保护法采取了较为宽泛的个人信息界定,立法者有意扩大个人信息的保护范畴;另一方面,在去标识化个人信息的个人信息权利与信息处理者责任方面,应仿照上文的制度设计,要求信息处理者履行告知—同意、信息安全、信息质量等责任,但同时豁免或降低信息处理者对个体的访问权、更正权、删除权、携带权等责任。对去标识化个人信息进行单独规定,不仅可以对信息处理者施加更为合理的责任,也可以激励信息处理者尽可能采取去标识化等措施。如果信息处理者对去标识化个人信息的责任完全等同于一般个人信息,那么企业将失去去标识化的动力。
个人信息的三分法在国际数据治理与数据流通中也值得借鉴。目前,欧盟的个人信息定义较为宽泛,美国的较为狭窄,因此在数据跨境传输与规制协调方面面临不少紧张,例如,对于各类加密信息、假名化或去标识化信息是否可以传输,并无完全确定答案。面对这种数据跨境传输的困境,施瓦茨与索洛夫提出,个人信息2.0或三分法的框架可以在一定程度上调和这种紧张。个人信息2.0的概念不仅“与美国隐私法的基本原则相一致,关注对个人造成伤害的风险”,而且“与欧盟承认需要为不同类别的信息提供不同类型的保护相一致”。我国的个人信息定义也已初步搭建起个人信息的三分法框架。在美欧个人信息治理存在紧张与协调并存的背景下,如何推进我国的数据跨境流通,参与国际数据治理,三分法具有重要的借鉴意义。
(二)个人信息的案例法界定
司法或行政裁决机构应提供个人信息的案例法界定。行政机关在发布条例或进行跨境谈判时,往往需要一定的规则化或类型化,因此个人信息三分法更具有操作性。相对而言,在法院裁判或行政机关的准司法裁判中,往往依赖个案判决,这提供了通过案例来界定个人信息边界的机会。同时,法院或其他准司法机构往往具备接触正反双方意见的机会,可以通过双方举证、辩论等形式而深入个人信息实践的具体场景。对个人信息界定,应积极利用司法手段,通过案例与自下而上的规则制定勾勒个人信息的边界。
通过案例法保护个人信息,是美欧法律实践的重要组成部分。在美国,美国联邦委员会通过对企业的隐私政策进行监管,监管企业是否存在欺诈或不公平的信息收集与处理行为。在这一过程中,联邦贸易委员会形成了丰富的个人信息保护的判例,因此形成了个人信息保护的“普通法”规则。欧盟法院、欧洲人权法院以及欧盟各国监管机构的判例也已经成为个人信息保护的重要法律渊源。相比欧美,我国个人信息保护法更是直接赋予了个人在信息权利保护中直接起诉的权利。因此可以预见,随着我国个人信息保护法的落地实施,我国司法案例将在个人信息规则界定上发挥更大作用。
在个人信息的定义与范围界定问题上,案例法的界定方式意味着司法机构应结合具体场景判断个人信息的边界,界定个人信息权利与信息处理者义务。在已有判决中,我们看到上述进路已经反映在一系列案件中。以上文提到的我国微信读书案中的朋友关系数据为例,该案中涉及的用户的昵称、头像、OPEN_ID以及共同使用微信读书的微信好友的OPEN_ID是否为个人信息?如果脱离场景,这些信息中的很多信息都不应被视为个人信息,例如,昵称和头像,可能有无数相同或类似的此类信息。即使是OPEN_ID,也不直接关联微信账号、手机号等可单独识别特定个人的信息。但是,在微信与微信读书二者关联的特定场景下,此类信息具有非常明显的个人信息特征。正如法院的判决书所言,这些信息“在特定场景下结合其他数据仍可还原到相对应用户的具体主体身份信息。从微信读书对上述信息组合的实际使用场景来看,微信读书准确向用户展示了共同使用应用的微信好友的昵称、头像,实际上达到了识别性标准”。
但是,即使将朋友关系或关系链数据界定为个人信息,不同场景下个人针对此类信息的权利和信息处理者的义务也不同。例如,在上述微信读书的案例中,由于微信与微信读书分属非常不同的场景,用户对于信息的使用与收集具有非常不同的隐私期待,将微信场景下的个人好友关系迁移至用户以为是陌生人关系的微信读书场景,企业应当获得个人非常明确的知情同意。相反,如果好友关系或关系链数据被用于同一场景或用户隐私期待一致的场景,则此时企业并不需要获取个体的明确同意。例如,微信开通“看一看”的新功能,使得用户分享“看一看”的文章能被好友看到。由于这一新功能内嵌于微信产品,用户对其具有一般的合理认知与期待,此时微信对于关系链数据的利用与处理就不需要获得额外授权。
六、结语:不确定性的法律应对
对于法律而言,不确定性历来是一个棘手的问题。不幸的是,在个人信息的概念界定问题上,个人信息范围的不确定性是一个无法逃避的事实。本文从制定法与案例法,从识别的目标、识别的主体、识别的概率、识别的风险等多个角度的分析表明,某一信息是否成为个人信息,取决于具体场景下按照什么规则或因素去判断这一信息,不同的规则或因素有可能使信息的属性发生变化。而在信息技术与科技产品千变万化的今天,人们更难对相关规则或因素形成共识。对于行政执法、司法审判与信息处理者合规而言,个人信息概念的这一不确定性特征都提出了巨大挑战。比起标准化产品,个人信息的不确定性使行政执法与司法审判常常面临过宽或过窄的保护;使得信息处理者的合规活动变得过于谨慎或者过于疏忽。
但个人信息的不确定性并不意味着我们需要放弃这一概念,更不意味着法律对于个人信息的保护一定会变得恣意和非理性。正如笔者所言,个人信息这一概念仍然可以提供有效指引。通过将个人信息还原到具体场景,还原个人信息所处场景的信息实践,就可以弹性地界定个人信息的范围,通过个人信息这一概念对相关信息实践进行性质界定。同时,结合个人信息保护工具箱中的不同制度功能,法律就可以为相关主体提供合理的风险规制与权益保护工具。
从个人信息的场景化界定与功能性规制出发,笔者在行政规制与司法性裁判层面进行了不同的制度设计:在行政规制层面,可以采取个人信息三分法的规制框架,为行政规制与企业合规提供自上而下的法律指引。三分法的框架尽管并非完全场景化,并且可能存在对个人信息保护过度、对匿名化信息的风险估计不足等问题,但从行政机关的特点来看,这一方案仍然具有其现实操作层面的合理性。而在司法或准司法层面,则可以案例法的方式对个人信息进行自下而上的法律指引,通过案例的方式勾勒个人信息的范围与保护规则,更符合个人信息的场景化特征。尽管个人信息具有无可回避的不确定性特征,但在自上而下和自下而上规则制定的配合下,我们仍可以期待,法律可以通过个人信息概念来预防相关风险、保护相关群体的合法权益,从而实现具体信息关系与生活秩序的公正性。
