内容提要:依法公开个人信息存在从间接保护到直接保护的模式变迁。转介传统名誉权、隐私权的间接保护模式,已无法满足现实治理需求。然而,由于“合理”处理要件存在适用上的模糊,以《个人信息保护法》第27条为核心的直接保护模式,尚难以有效回应实践争议。问题的实质在于消解信息流通与风险控制间的紧张关系,重塑依法公开个人信息保护的法律秩序。“合理”的认定,应以场景理论与融贯解释为核心,借由《民法典》第998条,运用动态体系的解释技术展开。在场景化讨论与比较命题的支撑下,对于依法公开个人信息的爬取与标签提取,应属合理处理;人物画像与自动化决策,原则上非属合理范围;关联分析等行为,则应当综合考量信息主体、信息识别性及敏感性等要素,在个案中得出具有开放性和包容性的结论。
关键词:已公开个人信息 依法公开个人信息 合理范围 融贯论 动态体系
一、引言
智能化时代,数据价值利用的能力得到飞跃式发展,对数据的大规模使用,推动了社会公众信息权益保护意识的觉醒。《个人信息保护法》开宗明义,将“个人信息合理利用”与“个人信息权益保护”并重作为立法目的,但二者并非毫无冲突。在依法公开个人信息的再利用领域,该冲突已持续数年且愈演愈烈。近些年的司法实践,法院并未就该问题给予一致答案,甚至有截然相反的判决出现。
长期以来,依法公开更多旨在发挥行政法限权督责、规范透明的作用,也存在着与公民信息权益的冲突。随着十余年来的学说理论与制度实践发展,这种冲突已经基本形成一种相对稳定、平和的状态。但智能化时代对公开信息数据的深度利用,在一定程度上异化了公开信息的原始功能。一方面是公开信息利用方式与价值功能的深刻迭代,另一方面是《个人信息保护法》对公民权益保护的举措更新。这就使得依法公开信息的再利用,不仅仅是简单的二元冲突,更表现为一种新颖且动荡的秩序状态。
具体到制度和争议解决层面,上述问题涉及《个人信息保护法》第27条(本文简称为第27条)的规则适用。该条文指明了依法公开的个人信息处理限度,即个人信息处理者可以在“合理的范围内”进行处理。依法公开个人信息再利用的冲突平衡与秩序生成,某种意义即“合理”要件的解释。本文的讨论核心,亦即第27条“合理”的规范模糊及其消解。在具体的论证进路上,基于现实生活中普遍发生的裁判文书再利用争议,本文很大程度上将以依法公开的裁判文书为依托。但因裁判文书上个人信息的广泛性和典型性,这种分析并不会对证立过程与结论造成不当影响。本文拟以第27条的规则内容为切入,分析规范模糊的内在成因,厘清解释上的理论争议。最终,回归到第27条“合理”要件,展开具体融贯的解释论构建。
二、依法公开个人信息的 “合理”处理存在模糊
近些年来的《民法典》《个人信息保护法》立法,高度重视依法公开个人信息处理这一特殊场景,在立法过程中数易其稿。《民法典》第1036条、《个人信息保护法》第13条、第27条,均涉及依法公开个人信息的处理问题。其中最为重要的,仍是《个人信息保护法》第27条。该条通过两项不同标准,在清晰划定三种依法公开个人信息处理情形的同时,赋予了各自差异化的合法性基础。但由于其中“合理”的语义模糊,该规则尚难以充分回应实践中依法公开信息的再利用争议。
本文讨论的“合理”问题,最初可追溯到《民法典》的立法进程之中。2018年末,民法典各分编草案亮相伊始,立法者即对个人信息处理的免责事由作出五项规定,其中就包括“使用自然人自行公开的或者其他已合法公开的信息”的行为。基于该规定,处理依法公开个人信息,即便对自然人有一定影响,信息处理者原则上也不承担侵权责任。但若自然人明确表示拒绝他人处理的,信息处理者应当尊重自然人的意愿,不得擅自处理。民法典的历次草案基本沿用了这一表述。但在2020年5月《民法典》颁布时,立法者首次在第1036条第2项加入了“合理处理”的要件。该实质性修订,却无权威立法资料加以说明。“合理处理”的要件在《个人信息保护法》立法中被沿用,并最终形成第27条这一已公开个人信息的处理规则。
第27条的文本结构相对清晰:通过两个完整的语句,依次明确依法公开个人信息处理的一般规则与特殊情形。一般规则赋予了个人信息处理者在合理范围内处理依法公开个人信息的权利,同时将“个人明确拒绝”作为例外。“对个人权益有重大影响”的特殊情形,从文本逻辑上理解,应当排除了前句一般规则的适用,信息处理者应当取得个人同意。需要指出的是,“个人明确拒绝”与“取得个人同意”并不完全等同,这分别对应个人信息保护中的“择出机制”(opt-out)与“择入机制”(opt-in)。显然,前者更为偏重公开信息的利用效率,后者则在设计上更为偏重信息主体对依法公开信息的控制与自我决定。
有“合理”处理依法公开个人信息的行为,自然就有“不合理”处理依法公开个人信息的行为。立法者未明确“不合理”处理依法公开个人信息的合法性基础,但依体系不难将其解释为《个人信息保护法》第13条,以“取得个人同意”为原则的个人信息处理一般规则。该条除“取得个人同意”外,还设置了多项排除同意规则的正当化事由。若“不合理”的处理行为符合第2项至第7项规定情形的(如为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需),同样无须取得个人同意。
根据处理行为是否在合理范围内,以及是否对个人权益有重大影响,可将依法公开个人信息处理的规范层次做如下划分:
根据上表,从合理范围内处理信息的择出式同意,到重大影响个人权益的择入式同意,构成了依法公开个人信息处理的清晰层次。这种规则设计,借由“处理范围合理/不合理”与“对个人权益有/无重大影响”的判断,划定层次类型的具体边界,旨在最大限度推动信息利用与权益保护的平衡发展。其中,“合理”的具体内涵,将直接关系到依法公开个人信息处理的类型划分与合法性基础认定。但由于立法者对于“合理”的解释标准缺失,第27条仍具有事实上的模糊性,严重影响该规则在司法实践中的适用。近期,亦有学者以第27条为核心,围绕已公开个人信息的认定标准、已公开个人信息保护的理论基础及其规则适用作了详细阐释。但这些研究多呈现出精细化不足的问题,并未完全阐明“合理”的具体内涵,也难以充分回应司法实践中的冲突争议。依法公开个人信息的再处理行为,究竟是否“合理”,其认定方法如何,均亟待进一步明晰。
三、造成 “合理”处理适用模糊的内在缘由
脱离《个人信息保护法》第27条的文本内容,从更为广阔的经济社会发展与法律秩序变迁的视角考察再利用争议,便不难理解“合理”规则模糊的内在原因。一直以来,传统的依法公开个人信息再利用,更多寻求名誉权、隐私权等传统人格权救济。但智能化时代信息科技的飞速进步,使得不当利用公开信息侵蚀人身财产安全、损害人格独立自主的风险显著提升。传统人格权救济所蕴含的间接保护模式,已无法满足今日已公开个人信息保护的现实需要。《民法典》《个人信息保护法》所代表的个人信息直接保护规范,一方面是新时代下对间接保护模式的扬弃;但另一方面也是对新兴科技发展的仓促回应。依法公开个人信息再利用争议,尚处于交替更迭、变动不居的混乱状态,并凸显为第27条“合理”要件的模糊标准。
(一)依法公开个人信息的间接保护模式
一直以来,依法公开个人信息再利用,更多寻求名誉权、隐私权等传统人格权救济。与此相关的司法实践,最早可追溯到2014年。也正是在这一年,最高人民法院针对利用信息网络侵害他人人身权益中出现的新问题,颁布实施《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》(本文以下简称为《解释》)。其中,《解释》第12条、第13条与依法公开个人信息的再利用高度相关。在这之后的司法实践,法院亦多援引上述条文进行阐释说理。
《解释》第12条专门规定利用信息网络不当公开隐私和个人信息的行为。在明确此种行为构成侵权的同时,《解释》明确了6种例外情形。其中第4项,“自然人自行在网络上公开的信息或者其他已合法公开的个人信息”的“再公开”,行为人无需承担侵权责任。信息处理者转载、传播依法公开个人信息的行为,显然属于该项例外规定。因此在司法实践中,法院多援引该规定,论证被告无需承担侵权责任。遗憾的是,作为早期的个人信息保护规范,该规定的内容很大程度上被《民法典》有关隐私与个人信息保护的规定所取代。在《民法典》实施前夕的司法解释修订浪潮中,第12条被全部删除,现已无法作为裁判的直接依据。
相比之下,仍然有拘束力的《解释》第13条,显得更为重要。根据该规定,网络用户或者网络服务提供者,根据国家机关依职权制作的文书和公开实施的职权行为等信息来源所发布的信息,在特定四种再利用情形下侵害他人人身权益的,行为人需要承担人格权侵权责任。但在具体的司法实践中,符合特定四种情形的案件凤毛麟角。实践中法院亦多援引该条文,在查明信息处理者不存在特定四种行为后,认定再利用行为不构成对信息主体合法权益的侵害。
进一步考察《解释》的制定背景与内容可以发现,该司法解释虽基本认可个人信息的合法权益并给予针对性保护,但并未赋予个人信息独立的人格权地位。行为人利用信息网络侵害他人的个人信息,只有在侵害他人姓名权、名誉权、荣誉权、肖像权、隐私权等人身权益并造成损害时,才需要承担民事责任。《解释》第12条作为早期关于个人信息的保护规范,仅规制因信息的不当公开或泄露所造成的侵害。解释制定者认为,通过民事司法保护个人信息,有其内在的制度要求:以违法收集、利用为代表的其他侵犯个人信息的行为治理,有待立法进一步明确治理手段、赔偿方式、损害认定。但更为深层次的原因在于,私密信息的公开系属典型的隐私权侵害;而个人信息的违法收集与使用,与隐私的关联则稍显疏远。由于隐私权旨在保护非公知的私事,凡是任何人均可阅览的公开事项,非属可保护的隐私。该理念下,第12条第4项的例外规定应运而生,法院亦多将其作为再利用行为的合法性依据。《解释》第13条,表面上虽能够调整依法公开个人信息的再利用行为,但最高人民法院制定该条文的目的,主要在于明确“媒体侵权”(“新闻侵权”)行为的具体判断标准。从规范制定背景和立法意旨延续的角度上来说,条文的实质,是对当时《民法通则》第101条(现《民法典》第1024条)中,“侮辱、诽谤”等名誉权侵权行为要件,在“媒体侵权”与依法公开信息再利用语境中的具体解释。“添加侮辱性、诽谤性信息”自然构成典型的名誉侵权;“信息不符、拒不更正”则更接近于名誉权行为要件中的“虚假事实陈述”,非属个人信息保护的规范体系。由于规范适用前提的模糊与构成要件的宽泛,第13条已从原初“媒体侵权”领域逐渐拓展至一般性的依法公开信息再利用场景中。
整体而言,《民法典》《个人信息保护法》颁布实施前,依法公开个人信息多通过传统人格权侵权损害的方式进行间接保护。法院借由《解释》第12条、第13条等规范,深入分析名誉权、隐私权的构成要件,对再利用争议进行裁判。但是,作为不特定人所知的公开信息,显然难以划入传统个人隐私的范畴;而通常的信息再利用行为,也很难与“侮辱、诽谤”划上等号。因此,传统针对依法公开个人信息再利用行为的侵权诉讼,均难以得到法院的支持。但随着今日《民法典》《个人信息保护法》的实施,个人信息保护作为独立的客体与案由出现。这意味着,依法公开个人信息的保护模式,正在发生转变。
(二)从传统人格权到个人信息:风险演变与规范重构
个人信息保护的模式转变,有着深刻的社会动因。过去很长一段时间,信息因其低廉的生产流通成本和高昂的排他使用成本,长期作为公共领域的公共素材或材料出现。公开信息更是如此,是任何人均可自由使用的资源。但智能化时代,信息技术的巨大进步,对信息收集、处理和利用产生翻天覆地的影响。这意味着,无论是被储存或被记载的信息,还是用作进一步分析、挖掘的信息,几乎没有任何边界——无论是时间边界、空间边界还是数量边界。这种信息技术的飞速发展,给人们的信息自主、隐私保护、人身财产安全乃至人格独立,都带来了巨大的风险和挑战。
总体而言,依法公开信息的再利用行为,可以类型化为以下三个维度的风险:信息储存风险、信息传播风险与信息聚合风险。一方面,今日的信息储存传播成本无限趋近于零。因此,即便是短暂时间内发生的、在特定地域范围内、仅有少数个体参与的事件,也可能会被永久储存、无限分发、尽人皆知。裁判文书的公开利用就是最好证明:将某一特定事件以裁判文书的形式永久定格于信息网络空间,消解了原始事件在时间上、地域上与对象上的限定性。
另一方面,再利用行为更为严重的危害,在于信息聚合与分析挖掘的风险。大数据时代,单条信息可能不具有可识别性或者敏感性。但通过信息聚合,不敏感或不可识别的信息可以相互叠加,互为线索,分析得出具有可识别性或者高度敏感的信息。例如,纽约时报通过分析美国在线已经公开的匿名化检索数据,能够轻易识别出该数据库中某一特定用户是佐治亚州利尔本的62岁寡妇。将海量、永久、与特定个人相关联的信息聚合在一起分析挖掘,甚至能够形成对个人的偏好、性格、行为的精准分析和预测,完成对“数字人格”的塑造。以依法公开的裁判文书为例,基于文书上法官信息进行“画像”,分析法官在裁判案件中是否存在个人偏见;或是基于文书上律师信息分析律师代理案件的实际效果,进行律师评价与推荐,均是依法公开裁判文书的潜在利用方式。而法国更是先行一步,明确禁止以依法公开裁判文书为基础的,针对法官、书记员身份的定向挖掘。不讨论该立法是否合理,但基于依法公开个人信息进行聚合、关联分析、定向挖掘等行为,确实存在不可忽视的隐私泄露风险。
正如前一部分所指出的,以隐私为核心的传统人格权保护模式,往往只重视非公开的个人信息,而对已公开的个人信息束手无策。但是,隐私并非仅仅由上锁的房门、闭合的窗帘所构成。如果隐私保护只致力于强化门与窗帘,那么,通过搜集我们公共生活的碎片而威胁隐私的现代化手段,就极有可能被忽视。当然,已公开个人信息的不当利用仅仅只是个人信息保护模式变迁的社会动因之一。随意收集、违法获取、过度使用、非法买卖个人信息乱象丛生,个人信息保护已成为广大人民群众最关心、最直接、最现实的利益问题。从《民法典》到《个人信息保护法》,一系列直接针对个人信息的保护规定先后出台,其中不乏有关依法公开个人信息的内容。但尘埃落定的法律文本,并不总是意味着井然有序的法律秩序。如今,依法公开个人信息的保护必要性虽已达成共识;而在具体保护措施与保护边界的落实方面,却仍存在难以消解的争论。
(三)依法公开个人信息的直接保护模式
依法公开个人信息经历了间接保护到直接保护的模式转变,但尚缺少稳定的秩序状态。大数据时代下依法公开个人信息的开发利用需求,与个人信息风险控制、权益保护间的紧张关系,是目前依法公开个人信息的最主要矛盾,也是秩序混乱、争论迭出的首要原因。本文讨论的第27条“合理”处理规则,即是这种矛盾在规范层面的体现。
司法实践中,关于依法公开个人信息的直接保护,始于本文伊始提到的“伊某与苏州贝尔塔数据技术有限公司人格权纠纷案”与“梁某与北京汇法正信科技有限公司网络侵权责任纠纷案”。彼时个人信息的直接保护,仅有《民法总则》第111条等原则性条款支撑,尚难为依法公开个人信息再利用争议,提供有效确定的裁判指引。欣喜的是,法院均未回避该新兴问题,并以高度相似的路径展开分析,但在最终的结论上存在差异。
在侵权责任的框架中,诉争再利用行为是否构成对个人信息权益侵害,其请求权基础为《侵权责任法》第6条(即《民法典》第1165条)。在侵权责任的要件证明过程中,首先需要认定依法公开个人信息的再利用,属于《侵权责任法》第6条“侵害他人民事权益”的行为。此即违法性要件的另一种表述:除有违法阻却事由外,侵犯权利的违法性应当被推定;而利益在侵权责任中是否受保护,关键是判断该利益是否属于法律保护的利益。若采严格的权利形式主义立场,无论是当时作为辅助性规范的《民法总则》第111条,还是如今《民法典》与《个人信息保护法》的相关规定,显然均未承认自然人的个人信息权利。这就使得,法官需要对具体场景下,原告的个人信息利益是否属于法律保护,进行充分证立。但在界定受法律承认的利益保护范围时,不应当忽略不同利益之间可能存在的对立或者矛盾,需要从价值上考量相互冲突或对立的利益:一方面,应考虑是否存在需要尽可能充分保护的利益;另一方面,要尽可能赋予其他人最大的行为自由。该价值冲突也是本案中两法院的争议焦点所在。
两个案件的案件审理法院,北京铁路法院与苏州中院均指出:本案涉及“司法文书再利用的公共利益和社会经济利益,与个人信息权益的个人利益之间的衡量问题”;“应当妥当平衡已经合法公开的个人信息流通与个人信息主体对信息传播控制之间的关系”。不同的是,北京铁路法院更倾向于保护再利用的依法公开利益和信息流通利益,主张个人信息的依法公开和利用应当有效协调维护数据流通等目的,作出具有开放性、合乎个人信息保护趋势与数字经济产业发展趋势的判断。苏州中院则更为重视自然人对个人信息的控制与自我决定,主张应当侧重考量信息主体对其个人信息的控制,尊重当事人二次传播的意愿。侵权责任体系中受害人权益保护与加害人行为自由之间的基本矛盾,在具体场景中外显为自然人的个人信息利益与他人获取、使用公开信息利益的冲突。
抽象而言,大数据环境下,依法公开个人信息的使用能力与处理价值显著提升。但也正是这种使用能力的提升,催生出依法公开个人信息的风险控制需求,进一步导致个人信息保护的模式转变。那么,在今日的直接保护模式中,依法公开个人信息保护与利用的平衡,也就需要“正本清源”,进一步将其置于更为广阔的社会政治经济科技发展中进行讨论。这是一套完全不同于隐私权等传统人格权益的利益平衡与治理逻辑。时代发展铸就的全新议题,不可避免会产生价值争议与秩序混乱。第27条“合理”要件反映出的模糊规则,某种意义上也是这种矛盾的体现。但更为重要的是,“合理”要件模糊造成的规范层面治理机制缺失,或将反过来进一步影响已经颇为混乱的依法公开个人信息再利用实践。这就使得,依法公开个人信息再利用困境,亟待对“合理”要件的补充解释加以消解。
综上所述,规制模式的更迭变迁中,以隐私权、名誉权为核心的旧秩序几乎被推翻,如今承继下来的《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定(2020修正)》第9条,几乎无法有效满足依法公开个人信息保护的现实需要。但法官显然不能“保持一种因循守旧的态度并承诺在未来案件中反复延续其前辈犯下的错误”。依法公开个人信息再利用问题,势必应从上述司法解释及个人信息的间接保护模式中解放出来,并在个人信息直接保护框架中展开分析。另一方面,现有“合理”要件的模糊规则表明,依法公开个人信息再利用的治理模式,尚未完全生成。这种可用范围的不清晰,与信息技术进步、社会模式变革所带来的利益失衡、秩序失范有着紧密关系。那么对“合理”的阐释,也就不能单纯依靠传统价值判断与利益衡量作出封闭性回应,而更需要找寻具有开放性和包容性的解释论线索。
四、依法公开个人信息“合理”处理的认定方法
第27条“合理”要件的解释适用问题,不可避免的同依法公开个人信息的实践场景紧密相关。除开文义解释、体系解释、目的解释等传统解释方法外,解释立场的选取不可或缺。为人熟知的个人信息场景理论,已经指出“合理”要件的叙事方法——即融贯论解释。作为现代哲学和法解释学的重要成果,融贯理论已成为法律推理与疑难案件证立的核心方法之一。本部分旨在从现有的合目的解释出发,以融贯论为基点,在开放体系中构建“合理”的解释框架。
(一)“合目的”与“合理”的规范功能差异
相当多观点认为,“合理”的解释,应当借鉴《个人信息保护法》历次审议稿中的“用途”标准,超出与“被公开时的用途”相关的合理范围的,即为不合理。2020年10月《个人信息保护法(草案)》首次征求意见时,已公开个人信息的处理规则的确以“符合个人信息被公开时的用途”为核心展开。直到第三次审议稿,以“个人信息被公开时的用途”为核心的规则被删除,取而代之是如今的第27条。对于这一修改,宪法和法律委员会将其解释为“做好草案有关条款与民法典有关规定的衔接”。既然仅因为法律衔接原因抛弃“个人信息被公开时的用途”,那这种“合目的”的解释似乎仍具有司法适用的指引力。
该观点有待商榷,理由有三:一是,个人信息公开与处理的“用途”本身非常难以明确。自然人在微博、朋友圈等社交媒体自行公开个人信息的目的存在多种可能。作为事实行为的公开,事后查明其用途并非易事。而依法公开场景中,虽然信息公开多旨在预防权力滥用、满足公众监督的需要,其目的相对明确。但是,信息处理者处理依法公开的个人信息,则通常具有多重目的。以法信、企查查利用依法公开裁判文书为例:一方面,这些商业性机构可以通过公开信息的处理,形成盈利性的数据产品或服务;另一方面,这种处理行为客观上扩大了依法公开信息的传播范围,有利于公众监督的实现,难以判断处理目的究竟是否符合个人信息被公开时的用途。此外,草案亦曾明文规定:“个人信息被公开时的用途不明确的,个人信息处理者应当合理、谨慎地处理已公开的个人信息”。于此,仍涉及到“合理”在再利用场景下的具体解释。
二是,即便明确个人信息被公开的用途,在互联网环境下的信息流动过程中,将“信息被公开时的用途”完整有效传递给信息处理者,难度极大。事实上,“个人信息被公开时的用途”本身也是一类信息,并且高度个人化、主观化、非结构化。更为重要的是,这种“用途信息”仅对信息处理者才有价值。对于多数单纯获取、传播公开信息的“吃瓜群众”而言,由于不涉及《个人信息保护法》的处理行为,“信息被公开时的用途”多属无用信息。若社会公众耗费时间金钱成本,将用途信息完整传播给真正的个人信息处理者,本质上乃利他行为,缺乏内在动力。简言之,若强行让“已公开个人信息”负担“信息被公开时的用途信息”,将会极大地提升公开信息的流转传播成本。与信息网络共享、利用理念相悖的“用途信息”最终能够多大程度地传达到最终处理者,需要打上一个大大的问号。
三是,即便个人信息被公开的用途完整保留至信息处理者,其正当性亦有待商榷。“个人信息被公开的用途”本质即尊重信息公开与传播的起点——在自然人自行公开的情境中,尊重个人对个人信息的控制与决定。但是,从公共利益角度简单考量可以发现,个人信息具有极强的公共属性:除了作为集合性的展示要素外,更具有基础设施维度的社会认证、连接和声誉功能。过分强调“被公开的用途”,将会忽视个人信息的社会属性与其承载的公共利益。因此,有学者在运用“个人信息被公开时的用途”解释“合理”要件的同时,主张避免机械化的“以目的绝对一致与否作为判断的唯一标准”,在考量个人信息被公开时的用途的同时,融入“合法利益豁免”以及“平衡测试”机制,具体检验个人信息权益保护的必要性。如此一来,不仅掏空了“个人信息被公开时的用途”的语义内涵,更回退到抽象价值冲突与利益平衡中去,难以为司法实践提供确定、有效的具体裁判指引。
进一步考察合目的性理论,其源头与个人信息保护“目的限制”原则高度相关。根据我国《个人信息保护法》第6条,信息处理者处理个人信息时,应当遵守原初收集个人信息时的约定目的。在个人信息已公开的场景,这种“约定目的”大致可与“个人信息被公开时的用途”划上等号。但域外实践已经摒弃了严格的目的限制原则。欧盟GDPR关于目的限制原则,即表述为“对个人数据的处理不违反初始目的”。“不违反”并不代表完全相同,这意味着个人信息处理可以与原初的目的发生偏离。理论层面,欧盟也已经扬弃严苛的目的限制原则,并发展出“适当性使用”标准,用以判断额外目的与约定目的是否背离。严格遵循“符合被公开时的用途”的目的限制,存在严重阻碍信息自由利用与商业创新的可能性,难以成为判断信息再利用合法性的唯一检验标准。
事实上,即便采先前以“被公开时的用途”为核心的已公开个人信息处理规则,似乎不仅不妨碍与《民法典》第1036条第2项的衔接,还对《民法典》中“合理”要件作了明确指引。立法者对这一改动更深层次的考量可能在于:在规范层面,以“被公开时的用途”为核心的规则,依然无法有效回应实践争议;在价值层面则表现为对信息主体已公开信息控制的否定性评价。海伦·尼森鲍姆已经正确地指出:任何将隐私与个人信息保护基准缩减至单一要素(例如敏感个人信息)、单一原则(例如强化个人信息控制)都是徒劳的尝试,任何一元规则或者是原则均无法有效保护个人信息。以“符合信息被公开时的用途”为核心构建起的已公开个人信息治理框架,忽视了本文提及的多元利益与复杂矛盾。在某些具有高度敏感性的场景下,此种解释尚属合理;但随着场景的转换,该解释则未必符合促进信息流通利用的立法理念。简单举例,一般性的搜集、获取公开信息的行为应当被认为是“合理”,而考察个人信息被公开时的用途,则不具有任何评价意义。毕竟,“强迫他人忽略你展示的信息是施加给他人的不公平负担”。随着再利用场景的发展变化,合目的解释将很难指引广泛的司法实践。
(二)个人信息场景化保护中的融贯价值基础
在大数据环境下,信息的收集、流转与利用日趋复杂多样,以合目的性为代表的传统一元静态的规范模式,已经难以适应大数据时代下公开个人信息保护的需求。相比之下,尼森鲍姆提出的“情境脉络完整性理论”(国内多称为“场景理论”或“场景理念”),成为个人信息保护中更为有力的理论解决方案。
场景理论旨在回答“在何种情况下,个人信息的流通、处理与利用是合理的”这一问题。该理论认为,信息流动需要受到特定情境脉络的约束,历史、习惯、文化、道德等等复杂社会系统共同塑造了信息的流动规范。因此,不存在放之四海而皆准的信息规范,隐私与个人信息的保护标准,必须在具体场景中加以思考。据此,场景理论可进一步细分为资讯主体、信息类型和传播原则等要素,通过特定模型,检验信息流动的合理性。如今,这种分析思路,已经被越来越多的学者所主张。
场景理论的诞生是一种必然,其背后有着深厚的融贯论支撑。源于哲学领域的融贯论最初旨在解决认识论上的难题:“我们的知识不是建立在坚固砖块上的房屋,它们更像是漂浮在海上的木筏,它们彼此联接在一起以相互支撑。”类似的,不同于传统司法裁判三段论式的演绎推理,法学中的融贯论不关注命题的真假,而更多关注命题与命题之间、信念与信念之间存在的相互支撑关系。一个信念、一个命题的正确性取决于其他信念、命题对它的支持程度。如果共同支持一个结论的各个理由之间能够形成这种融贯的相互支持关系,那么,这就极大地增强了结论的可辩驳性。
场景理论旨在实现的“场景性公正(contextual integrity)”,就是一种融贯保护要求。大数据环境下,个人信息的处理与利用日趋多样,价值判断与利益平衡日趋复杂,“可识别”和“不可识别”、“敏感”和“不敏感”、“私密”和“公开”的界限逐渐模糊。在多样化的处理场景下,场景理论旨在找寻个人信息保护的共通基准,这种逻辑一致性(consistency),是融贯论的重要特征之一。但逻辑一致性仅仅只是融贯论的必要不充分条件。作为法学领域融贯论先驱的德沃金,其笔下的“整全性(integrity)”,就既要求一致性,又高于一致性。而另一个需要重点关注的,是论证过程的开放性与可辩驳性。
在法律论证领域,概念法学的崩溃凸显纯粹演绎逻辑的不可能。以逻辑一致性为目标的演绎推理,一方面难以回应必然存在的法律漏洞与价值判断,另一方面无法保证结论的可接受性。融贯论引入法学领域,最初旨在解决法律体系的封闭性困境,将道德、政治、伦理等法律外理由引入法律体系内部的同时,保障裁判的非恣意性。而场景理论在实现“场景性公正”的过程中,同样将道德、政治、伦理等外部价值判断引入评价内部,把所有正当理由的考量,连接成单一整体的理由,搭建“漂浮在海上的木筏”。质言之,场景理论的在塑造信息流动规范的过程中,不可避免地会融入开放多元的价值判断。这就使得,场景理论的结论没有绝对意义上的“对”与“错”,只有程度上的“好”与“坏”。这同样也是融贯论最为突出的特点。
(三)依法公开个人信息融贯保护的动态方案
具体到依法公开个人信息的再利用,其“合理”的解释,必须在具体场景中,以融贯论为指导,找寻多元、开放的解释路径。但是,作为规则之治的法律,仍应当尽可能避免诉诸抽象理念,“禁止向一般条款逃逸”。考察整个法律体系,《民法典》第998条(以下简称第998条)映入眼帘。这是因为,在典型的民事侵权的视角下观察,“不合理”的依法公开个人信息处理,若无《个人信息保护法》第13条等其他合法性基础,则极有可能侵害自然人的个人信息权益。讨论个人信息处理者承担侵权损害的民事责任问题,自然就有第998条的适用余地。更重要的是,第998条能够与场景理论构成“连环小说”的关系,彼此之间可做融贯的理解和解释。甚至可以说,第998条是依法公开个人信息“合理”处理的“最佳叙事”。
首先,第998条能够对依法公开个人信息的“合理”解释产生有效的拘束力。私法层面,作为《个人信息保护法》与《民法典》“特别法”与“一般法”关系的体现,自然可得运用第998条判断依法公开信息处理中的“合理”问题。但在公法意义上,信息处理者依据第27条处理个人信息,其“合理”的认定标准能否适用第998条,实值研究。此涉及个人信息处理者外在的“可用/不可用”边界及其合规义务的展开,具有重大意义。问题的实质,是个人信息的违法性标准,在公私法中的理解是否同一。对此的回应是,第27条等个人信息处理规则,是调整个人与信息处理者关系结构的工具性权利,是个人信息国家保护义务的展开方式。这意味着,违反第27条处理个人信息,直接侵犯的是公法上的法秩序而非民事权益;而后者仍应当围绕民事实体权益的损害展开。即以第27条为代表的“个人信息受保护权”,呈现出行政法前置的鲜明特点:信息处理者若构成个人信息的事后权益侵害,则必然违反个人信息的事前合规义务。那么,在民事侵权认定中运用第998条,也就自然以“举重以明轻”的方式,流入公法合规义务的判断标准之中。这种观点,也符合德沃金笔下的法律整全性原则:无论是创设法律的立法者,还是执行法律的裁判者,均应当尽最大可能使整套法律具有道德融贯性。
更为重要的是,融贯论的解释方法必然要求开放多元的解释方案。立法者通过第998条,表明了认定人格权侵害民事责任的基本立场:在承认法官在具体案件的自由裁量权的同时,限定自由裁量权的适用范围,也保留了平衡考量因素的法定性与开放性。从立法技术来说,该款采取一种类似于动态体系论的方法,摆脱僵硬的概念法学构成要件“全有”或“全无”的法律适用,也避免自由法学的极端恣意与非合理性。维尔伯格提出的动态体系论,通过要素体系与动态协动,形成了类似橡皮筋的规范适用框架,将高度抽象性、宣示性的法律原则细化为具有明确指引与可操作性的具体规则,开辟了概念法学与自由法学的“中间道路”,是一种具有融贯性的立法技术。这种立法所追求的体系融贯性,与裁判注重的论证融贯性有着紧密联系。当然,第998条作为人格权侵权认定的一般条款,或许缺乏个人信息的针对保护。但该条可由法官在个案中综合考量确定要素体系,在更加开放与弹性化的同时,进一步实现立法者意欲追求的平衡目的。综上所述,融贯论解释所追求的开放多元规范,与第998条及其背后的动态体系高度契合,也就自然可将该条文及其内在理念运用于“合理”的解释之中。
五、依法公开个人信息“合理”处理的场景化解释
认可第998条作为“合理”处理解释的“最佳叙事”后,本部分旨在以场景为基础,进一步分析不同场景中第998条的适用差异,明确合理处理的层次边界。借此,在保障个案裁判的正当性与可辩驳性的同时,呈现融贯理论与审判实践的互动关系。
(一)依法公开个人信息处理的典型场景类型
第一种典型场景是以法信、聚法、北大法宝为代表的,针对依法公开信息的简单镜像、特定面板要素提取。相较于在中国裁判文书网等官方公开数据库,上述商业机构在实施爬取、存储等行为的基础上,对其中具有较高结构化的要素信息(例如裁判文书的案由、文书性质、当事人、审理程序、法院、律师、审判人员、引用法条等)进行相对简单的标签化提取,并基于标签内容提供更加精准、专业和可视化(图表化)的检索服务。
第二种典型场景是以启信宝、企查查、天眼查为代表的关联分析行为。上述企业信息查询平台在信息爬取、镜像、标签化之外,基于结构化较高的个人信息、企业信息进一步关联分析,形成类似于知识图谱的信息网络。以天眼查为例,其核心功能即“查公司,查老板,查关系”,以特定公司及其高管为重点,将依法公开的裁判文书、开庭公告、案件执行、行政处罚等信息与之关联,旨在提示并预警潜在的商业风险。
第三种典型场景是基于依法公开信息中结构化较低的信息(例如裁判文书上案件事实、法院观点等)进行深度整理与加工行为。由于现阶段数据深度处理技术尚不健全,在国内,该场景尚未呈现出典型的商业化案例。但从域外技术实践与我国公开文书利用的开发方向来看,基于大数据的类案智能推荐、文书分析预测、诉讼风险判断、法官/律师画像等均属该场景应用下的典型代表。以类案智能推荐为例,作为对传统检索模式的进一步发展,其主要以自然语言处理技术为核心,针对依法公开的案件事实、争议焦点等非结构化数据,运用算法识别并推荐类案,实现类案智能化推送的效果。
三种场景的区分,与前述再利用行为的三种风险有着密切联系。第一种场景多关涉信息储存、传播风险,而后两种场景更多呈现程度不一的信息聚合风险。需要说明的是,第三种场景中的深度挖掘行为,目的不同、样态繁多。接下来,本文将以具有代表性的人物画像与自动化决策为主展开论述。显然,三种分类仅仅只是相对理想且典型的形态,现实社会中依法公开信息的再利用方式则更多呈现出绵延不断的谱系化特征。但这并不妨碍本文接下来的讨论,“合理”的具体解释,可以从三种典型场景中进一步融贯发展,成为同样具有动态性和谱系化的标准。依法公开个人信息的其他再利用行为,可从融贯标准中得出结论。
(二)依法公开个人信息“合理”处理的要素体系
基于第998条的分析框架,本文将先考察“行为人和受害人的职业、影响范围、过错程度,以及行为的目的、方式、后果”等要素单独作用于“合理”标准的界定方法,后关注多个因素共同存在时的要素协动作用。基于要素的区别,可对上述三个典型场景做如下分析:
1.行为人和受害人的职业
关于行为人和受害人的职业,立法者进行了简要列举:从事新闻报道和舆论监督的行为人的侵权判断应当更为谨慎、作为公共人物的受害人的人格权则应当受到适当限制等。此类具有相当共识的观点,在本文再利用的合理判断中同样适用,但需要结合当事人具体情况展开分析。另外在主体层面,需要额外关注的是未成年人个人信息问题。《个人信息保护法》将不满14周岁的未成年人的个人信息确定为敏感个人信息,实施更加严格的保护措施。这涉及敏感个人信息的特殊保护问题,待后文作进一步讨论。
2.行为的影响范围
关于行为的影响范围,通常而言,行为的影响范围越大则影响越严重。在前两个场景中,作为已经依法公开并可为不特定人所知的个人信息,再利用行为通常亦可为不特定人所知,具有显著性。但在场景三中,由于深度挖掘的高价值性,典型的商业化模式并非完全向公众开放,而更多指向律所、法院、高校等特定用户。
但是,前两种场景潜在的广泛影响范围,并不等同于法律评价的影响范围。法院在考量影响范围的社会性同时,也会将其与人格尊严、行为自由的平衡保护结合起来,综合考量社会的一般评价认定具体影响范围与责任。司法实践中,有法院即认为:北大法宝等裁判文书数据库的受众面主要集中于法律专业人群。旨在通过影响范围的限缩,证成处理行为的合理性。更为常见的例子是“虚荣搜索”现象——一些人会在搜索引擎中输入自己的姓名等个人信息进行搜索,但此种行为属于典型的低频搜索行为。通过虚荣搜索,受害人往往能够在检索结果的头部位置发现与自己相关的个人信息,并自觉影响范围巨大。但客观上,这种检索行为非常罕见。实践中,亦有被告在答辩中查询后台数据指出:涉诉文书的浏览量共计57次,多为爬虫程序制造的访问量。其中,访问IP为北京的记录仅有10次,且7次为同一IP,不排除为原告本人。据此主张行为的影响范围极小。
3.行为的过错程度
关于行为的过错程度。首先需要明确,违法性要件与行为过错程度的区别:前者是对行为人是否违反法规范的客观认定,而后者则更多考量行为人主观心理的可责难性。过错通常通过理性人或“善良家父”的标准进行判断。但个人信息尚属新兴的民事权益,侵犯个人信息过错程度的判断标准,尚未形成普遍认识。在个人信息侵权的司法实践中,法院亦少有对行为人主观过错的深入考察。就本文再利用的典型场景而言,由于其兼具个人信息的新型人格权益与科技进步带来的新型商业模式,行为的过错程度判断不宜过于武断。在行为自由与信息自由的双重价值取向中,三类典型场景均难有侵犯个人信息的主观恶意。事实上,在《个人信息保护法》第69条第1款明确个人信息侵权适用过错推定责任后,也有观点认为,对过错程度考察的必要性已显著降低。
4.行为的目的、方式、后果
行为的目的、方式、后果的判断在本文场景中更为重要。本部分先就场景一与场景二的行为目的、方式、后果依次讨论。在第一种场景中,行为人目的主要在于提供优质且具有市场竞争力的依法公开信息检索服务;第二种场景多旨在通过关联分析揭示商业风险。这些场景虽将公开信息进行商业化运用,但不具有侵犯个人信息权益的恶意目的,不具有高度的可谴责性。
其次,就行为方式而言,上述场景均具有共同性的爬取、储存行为,并在此基础上展开差异化的分析与处理。就爬取、储存行为而言,尽管场景多突破了中国裁判文书网的复杂反爬虫技术,存在违反网站公告中的“禁止商业性网站建立文书库镜像”之虞。但是,中国裁判文书网公告的法律效力本身尚待疑问。在爬虫技术广泛应用的当下,不能直接认定行为方式的背俗性。事实上,就爬取行为与被爬虫平台而言,以中国裁判文书网为代表的依法公开数据库,多属于体量巨大的原始数据或基础数据。为避免潜在的数据割据与数据封建主义,在不影响系统正常运行与使用的前提下,禁止爬取似乎更不具有正当性。此外,依法公开数据相比一般原始数据或基础数据的独有价值外,还负有“宪法上知情权”的重大利益。虽然上述场景已经部分超过信息公开与司法监督的本来面貌,但并不排斥公众进行监督。甚至,通过更为优质的数据处理与服务,方便公民行使宪法上知情权。从这一角度讨论,通常存在的信息爬取行为,从个人信息保护的视角考察,难具有明显不正当性。另就差异化的数据分析与处理行为而言,结构化数据提取、数据关联等数据分析技术,已经应用多年,其技术逻辑亦相对为人所熟知。客观上,普通公众若付出相当的时间、精力,即可自行对公开信息进行标签化整理,亦可将特定少量的已公开信息进行关联分析,挖掘有价值的信息。因此,场景一、场景二中的简单处理与关联分析,行为方式同样不具有明显不正当性。
最后,就行为后果上考量,个人信息遭受侵权的程度通常较低且分散,而对社会通常行为造成的人格权的轻微损害,行为人应当负有社会通常容忍的义务。上述再利用的典型场景并未不合理地扩大个人信息的公开范围,即便认定有个人信息权益的损害,亦较为轻微。尽管前两种场景下,受害人多能在搜索引擎的头部位置检索到被再利用的个人信息,但这里除涉及“虚荣搜索”外,亦是搜索引擎排序技术的合理结果,既无法证成损害结果的严重性,也与实施处理行为的信息处理者关系较小。
然而,同样是基于行为目的、方式、后果的考量,第三种场景中人物画像的结论则显著不同。作为可能对数字人格造成严重侵害的行为,依法公开个人信息的人物画像应当有更为强力的规制。就行为目的考量,人物画像远超信息公开原本的司法监督目的。就行为方式、后果而言,人物画像等基于对个人信息的定向分析挖掘,多旨在揭示与个人紧密相关的信息,而这种基于自动化决策形成的数字身份,可能完全与物理人格分离,脱离当事人的事先认知。甚至有可能反过来支配信息主体,造成对数字人格的损害。考虑到自动化决策的高敏感性,《个人信息保护法》中对其也有特别的严格规定。在本文场景中,亦有必要采取更加严格的控制措施。
5.信息的识别性与敏感性
开放式列举的第998条允许法官在个案中拓展要素体系。在个人信息话语体系之下,信息的识别性与敏感性程度自然应当介入综合衡量。这是因为,个人信息的识别性越强,越能在广泛的人群中明确受害个体;而个人信息的敏感性程度越强,其侵权行为则更可能造成严重损害后果。更为重要的是,个人信息识别性与敏感性,均呈现程度上的差异,而非单纯“可识别/不可识别”“敏感/非敏感”的二元区分。以“PII 2.0”为代表,设计多元化、差异化的个人信息制度规则,成为近年来个人信息保护的主流方案。动态体系中的充足度衡量,与这种差异化规制具有高度一致,自然也就可资借鉴。
总体上,依法公开个人信息的识别性与敏感性,需要细致的个案判断。依公开行为性质与内容不同,信息的识别性与敏感性,总体上有较大差异。仍以裁判文书为例,隐名处理的裁判文书,个人信息的可识别性就显著低于普通裁判文书。此外,在自然人的金融借款合同纠纷、证券纠纷、医疗服务合同纠纷的裁判文书中,多涉及自然人的金融信息、医疗健康信息;在抚养纠纷中则多有未成年人的个人信息。这些文书上的信息敏感性则高于普通文书。本文检索到的信息再利用纠纷之一,即缘起于流产手术引发的医疗服务合同纠纷。就一般社会观念而言,接受过流产手术的信息应当具有高度敏感性。从动态体系的要素评价角度,个人信息的识别性越强、信息越敏感,自然人的个人信息权益自然更应当受到保护,也则更倾向于将再利用行为评价为“不合理”。
(三)依法公开个人信息“合理”处理的动态协动
依据第998条,对诸要素的内容展开充足度衡量后,即可基于要素的协动作用得出法律效果。这种协动作用,多以一种比较命题展开,即“若……越多,则……越好”“若……越少,则……越差”的形式。在多个可变动的要素中,法律效果的判定即取决于通过要素的动态作用与配合解释。
在依法公开个人信息“合理”处理的要素体系中,具体表达为:
受害人的普通公众属性A×充足度a+行为的影响范围程度B×充足度b+行为的过错程度C×充足度c+行为的目的、方式、后果的可谴责性D×充足度d+信息的识别性与敏感性程度E×充足度e=法律效果R
但无论是要素的权重判断,还是要素的充足度判断,均不可能达到具体数值那样精确的程度。在无原则性实例与基础评价时,动态体系的比较命题亦如同无根之木、无源之水。为进一步简化模型,本文将各要素的权重等同视之。对于要素的充足度,本文简单区分为两类进行初步分析:证成类评价要素(即支持认定处理行为不合理的要素)与证否类评价要素(即支持认定处理行为合理的要素),在动态协动的语境中,前者的要素充足度较高,后者的要素充足度则较低。
在场景一中,行为的影响范围、过错程度、方式、目的、后果均属证否类评价要素,而信息要素、主体要素则尚需进一步个案判断。综合分析显示,场景一作为依法公开个人信息的标签要素提取与初步整理,在证否类评价要素占据绝对多数的情形下,实难言“不合理”,即便是包含敏感个人信息的搜集整理亦不例外。本文认为,此类单纯给予依法公开个人信息的初级整理与加工,基本未超越原初信息公开的场景,无《个人信息保护法》介入并展开规制的必要,相关再利用行为应属“合理”的个人信息处理。
有了场景一作为基础评价,对于场景二与场景三的分析便可通过比较命题的形式展开:就场景二与场景一对比,受害人的普通公众属性、信息的识别性与敏感性仍需个案判断,行为的过错程度基本无异(无明显过错)。但在场景二中,关联分析所导致的影响范围,将大于场景一标签提取的行为;行为的方式、目的、后果则也一定程度超越依法公开个人信息的场景。相对武断的判断是:在受害人是普通公众,且依法公开个人信息具有较高识别性与敏感性的情形下(包括未满14周岁未成年人的个人信息),此种简单关联分析应属“不合理”处理;但在受害人是公众人物,或是依法公开个人信息不具有较高识别性与敏感性的场景,上述关联分析仍属合理。
在场景三中,由于智能技术的深度运用,个人信息再利用的方式进一步深化:在人物画像与自动化决策的场景下,无论其影响范围,还是行为的方式、目的、后果,均大大超出了原先信息公开与场景一、二的内涵,具有较高损害个人人格的风险。动态协动的结论是,所有基于依法公开个人信息的人物画像行为,原则上均不属于合理范围内的处理行为。
三个场景的要素充足度判断与具体结论,如下表所示:
结论的最后,仍需要特别强调三点。第一,本文选取的三类场景仅仅是基于典型处理行为的划分。但本文的解释路径,具有高度的开放性与包容性。以比较命题为支撑,其他依法公开个人信息的再利用可在该框架中得以回应。以“类案智能推荐”为例,该场景下的“合理”处理范围,即可通过与其他场景的比较得出结论。首先,行为的影响范围上,类案智能推荐的影响范围应当大于第二种场景。这是因为,场景二中的关联分析往往仅基于面板信息展开,但类案智能推荐的实质,是将所有与本案类似的事例关联分析。例如,类案智能推荐可以筛选出所有因流产导致的医疗纠纷。其次,就行为的目的、方式、后果的可谴责性上,类案智能推荐尚难以形成对数字人格的损害,行为的可谴责性仍明显小于人物画像。最后,行为的过错程度,类案智能推荐与三种场景基本相符。这就使得,类案智能推荐的“合理”范围将小于场景二,大于场景三。因此,对于类案智能推荐的“合理”处理标准,一个粗浅的结论是:只要类案智能推荐涉及具有较强识别性的个人敏感信息,其行为即不属于合理处理范围。以此类推,本文结论的动态性和融贯性方得以呈现。
第二,非属合理范围内的处理,并不必然导致行为的违法性。在满足《个人信息保护法》第13条等其他合法性基础的情况下,相应的处理行为仍为合法。本部分以征信机构处理依法公开个人信息(包括但不限于公开裁判文书、失信被执行人信息等)为例展开讨论。作为社会信用体系建设的重要组成部分,征信机构的信息处理行为,明显承担了更为重要的社会功能。但在本文的分析框架中,利益平衡的内在理念已经被要素的评价及其协动作用吸收,此种社会属性可在行为目的、方式、后果的讨论中得到体现,并外显为动态协动后的法律效果。简言之,相较于本文的一般商业性机构,征信机构的处理目的更具有社会公益属性。这就使得,在处理行为等其他因素相同的情况下,征信机构“合理”处理的范围将大于一般商业性机构。经过与上述典型场景的比较,本文认为,征信机构对于依法公开个人信息的收集与简单数据提取行为,属于个人信息的合理处理;而基于上述信息的信用画像、评分、评级等自动化决策,以及进一步对外提供的行为,则非属合理范围内。但这些超出合理范围内的处理行为,在取得信息主体个人同意时,显然不失其合法性。此外,由中国人民银行征信中心统一建设的个人信用信息基础数据库,亦可通过《个人信息保护法》第37条,比照国家机关处理个人信息的规定,取得处理行为的合法性基础。
第三,本文的分析与证立过程虽很大程度上以司法公开(特别是裁判文书公开)为依托,但其分析框架与结论,可广泛应用于所有依法公开的个人信息。本部分以相对特殊的依法公开新冠疫情确诊患者行踪轨迹的再利用展开讨论。为了保护确诊患者的个人隐私、免受不当歧视,现有的行踪轨迹信息往往以高度去标识化、脱敏化的形式公开。但正如前文所述,大数据时代的重要特征之一,就在于近乎无限的信息聚合与关联分析能力。随着数据分析能力的进步与数据量的增加,绝对的匿名化将不再可能。反映在行程轨迹信息的再利用层面,就应当以信息的识别性为核心要素,划定“合理”处理的边界。换言之,所有未显著提升信息识别性的处理行为(例如疫情地图的制作分发、个人行踪与确诊患者行踪的智能匹配等),均应当认定为合理处理;而显著增加信息识别性的处理行为,则极有可能构成不合理处理。其理由在于,在本文以充足度为核心的分析框架中,“合理”与否的界定依赖于各要素间的动态协动作用。即使一个或者多个要素尚不能明显反映出法律效果,但若有某一个要素具有典型性(如信息识别性极低),也可认定相应的法律效果(即处理行为在合理范围内)。在处理行为显著增加信息识别性的情况下,则需要进一步考量主体要素与行为要素,借由动态协动与比较命题,妥当得出“合理”处理的具体边界。
六、结语
依法公开是信息网络环境下的数据富矿,从相对传统的镜像数据库,到企业信息查询平台,再到未来无限可能的再利用场景,依法公开充分彰显了除公众监督外的深度利用价值。但依法公开同样是个人信息富矿,无时无刻不伴随着侵犯个人信息权益的风险。在依法公开再利用实践普遍发生的当下,有必要从已经实施的《个人信息保护法》视角,审视依法公开个人信息再利用的争议。
《个人信息保护法》第27条的诞生,是已公开个人信息风险控制的内在要求。大数据背景下复杂的数据活动,使得已公开个人信息的保护,既不能延续传统人格权益的保护模式,也不存在一元静态规则的“灵丹妙药”。取而代之的,是具有开放性与融贯性的动态保护方案。将《民法典》第998条及其背后的动态体系论的解释技术,应用于依法公开个人信息再利用的“合理”解释中,尽管不甚完美,但确是场景理论在司法实践中具体呈现的妥适路径。至少,该方案为相关争议的解决,提供了一种有力的解释方法与论理工具;在增强了裁判说理的明确性与可辩驳性的同时,避免漫无边际的价值判断。借由诸要素的综合分析,也能够为相关主体的合理行为边界,提供规范体系上较为清晰的指引。更重要的是,本文通过《民法典》第998条,尝试建立起《个人信息保护法》第27条与传统民法权益保护体系的融贯解释。网络法研究中的个人信息保护场景理念与利益平衡,由此融入动态体系的解释技术之中。通过有意识地探寻理论学说在司法适用中的切入点,进一步提升理论对实践的指引力,以期实现“个人信息权益保障”与“个人信息合理利用”并重的终极目的。
(赵艺,东南大学人权研究院、东南大学人民法院司法大数据研究基地研究人员;杨洁,东南大学法学院副教授、硕士生导师,东南大学人民法院司法大数据研究基地研究人员)
Abstract:The model of the protection for personal information disclosed according to law has changed from indirect protection to direct protection.The indirect protection model for traditional reputation rights and privacy rights could hardly meet the practical needs of governance.However,due to the ambiguity in the application of the“reasonable”handling requirements,the direct protection model centered on Article 27 of the Personal Information Protection Law still cannot effectively respond to practical disputes.The essence of the problem is to resolve the tension between information circulation and risk control and reshape the legal order for the protection of personal information disclosed according to the law.The determination of“rationality”should be centered on scene concepts and holism interpretation and carried out by using the interpretation technique of the dynamic system under Article 998 of the Civil Code.With the support of scenario-based discussions and comparative propositions,the crawling and tag extraction of personal information disclosed according to law should be considered as reasonable handling;character portraits and automated decision-making should not be covered in the scope of reasonable handling in principle;For behaviors such as correlation analysis,factors like information subject,identification and sensitivity should be comprehensively considered to get open and inclusive conclusions in individual cases.
Keywords:Personal Information;Disclosed According to Law;Reasonable Scope;Holism Theory;Dynamic System
(责任编辑 李忠夏)
关键词:已公开个人信息 依法公开个人信息 合理范围 融贯论 动态体系
一、引言
智能化时代,数据价值利用的能力得到飞跃式发展,对数据的大规模使用,推动了社会公众信息权益保护意识的觉醒。《个人信息保护法》开宗明义,将“个人信息合理利用”与“个人信息权益保护”并重作为立法目的,但二者并非毫无冲突。在依法公开个人信息的再利用领域,该冲突已持续数年且愈演愈烈。近些年的司法实践,法院并未就该问题给予一致答案,甚至有截然相反的判决出现。
长期以来,依法公开更多旨在发挥行政法限权督责、规范透明的作用,也存在着与公民信息权益的冲突。随着十余年来的学说理论与制度实践发展,这种冲突已经基本形成一种相对稳定、平和的状态。但智能化时代对公开信息数据的深度利用,在一定程度上异化了公开信息的原始功能。一方面是公开信息利用方式与价值功能的深刻迭代,另一方面是《个人信息保护法》对公民权益保护的举措更新。这就使得依法公开信息的再利用,不仅仅是简单的二元冲突,更表现为一种新颖且动荡的秩序状态。
具体到制度和争议解决层面,上述问题涉及《个人信息保护法》第27条(本文简称为第27条)的规则适用。该条文指明了依法公开的个人信息处理限度,即个人信息处理者可以在“合理的范围内”进行处理。依法公开个人信息再利用的冲突平衡与秩序生成,某种意义即“合理”要件的解释。本文的讨论核心,亦即第27条“合理”的规范模糊及其消解。在具体的论证进路上,基于现实生活中普遍发生的裁判文书再利用争议,本文很大程度上将以依法公开的裁判文书为依托。但因裁判文书上个人信息的广泛性和典型性,这种分析并不会对证立过程与结论造成不当影响。本文拟以第27条的规则内容为切入,分析规范模糊的内在成因,厘清解释上的理论争议。最终,回归到第27条“合理”要件,展开具体融贯的解释论构建。
二、依法公开个人信息的 “合理”处理存在模糊
近些年来的《民法典》《个人信息保护法》立法,高度重视依法公开个人信息处理这一特殊场景,在立法过程中数易其稿。《民法典》第1036条、《个人信息保护法》第13条、第27条,均涉及依法公开个人信息的处理问题。其中最为重要的,仍是《个人信息保护法》第27条。该条通过两项不同标准,在清晰划定三种依法公开个人信息处理情形的同时,赋予了各自差异化的合法性基础。但由于其中“合理”的语义模糊,该规则尚难以充分回应实践中依法公开信息的再利用争议。
本文讨论的“合理”问题,最初可追溯到《民法典》的立法进程之中。2018年末,民法典各分编草案亮相伊始,立法者即对个人信息处理的免责事由作出五项规定,其中就包括“使用自然人自行公开的或者其他已合法公开的信息”的行为。基于该规定,处理依法公开个人信息,即便对自然人有一定影响,信息处理者原则上也不承担侵权责任。但若自然人明确表示拒绝他人处理的,信息处理者应当尊重自然人的意愿,不得擅自处理。民法典的历次草案基本沿用了这一表述。但在2020年5月《民法典》颁布时,立法者首次在第1036条第2项加入了“合理处理”的要件。该实质性修订,却无权威立法资料加以说明。“合理处理”的要件在《个人信息保护法》立法中被沿用,并最终形成第27条这一已公开个人信息的处理规则。
第27条的文本结构相对清晰:通过两个完整的语句,依次明确依法公开个人信息处理的一般规则与特殊情形。一般规则赋予了个人信息处理者在合理范围内处理依法公开个人信息的权利,同时将“个人明确拒绝”作为例外。“对个人权益有重大影响”的特殊情形,从文本逻辑上理解,应当排除了前句一般规则的适用,信息处理者应当取得个人同意。需要指出的是,“个人明确拒绝”与“取得个人同意”并不完全等同,这分别对应个人信息保护中的“择出机制”(opt-out)与“择入机制”(opt-in)。显然,前者更为偏重公开信息的利用效率,后者则在设计上更为偏重信息主体对依法公开信息的控制与自我决定。
有“合理”处理依法公开个人信息的行为,自然就有“不合理”处理依法公开个人信息的行为。立法者未明确“不合理”处理依法公开个人信息的合法性基础,但依体系不难将其解释为《个人信息保护法》第13条,以“取得个人同意”为原则的个人信息处理一般规则。该条除“取得个人同意”外,还设置了多项排除同意规则的正当化事由。若“不合理”的处理行为符合第2项至第7项规定情形的(如为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需),同样无须取得个人同意。
根据处理行为是否在合理范围内,以及是否对个人权益有重大影响,可将依法公开个人信息处理的规范层次做如下划分:
根据上表,从合理范围内处理信息的择出式同意,到重大影响个人权益的择入式同意,构成了依法公开个人信息处理的清晰层次。这种规则设计,借由“处理范围合理/不合理”与“对个人权益有/无重大影响”的判断,划定层次类型的具体边界,旨在最大限度推动信息利用与权益保护的平衡发展。其中,“合理”的具体内涵,将直接关系到依法公开个人信息处理的类型划分与合法性基础认定。但由于立法者对于“合理”的解释标准缺失,第27条仍具有事实上的模糊性,严重影响该规则在司法实践中的适用。近期,亦有学者以第27条为核心,围绕已公开个人信息的认定标准、已公开个人信息保护的理论基础及其规则适用作了详细阐释。但这些研究多呈现出精细化不足的问题,并未完全阐明“合理”的具体内涵,也难以充分回应司法实践中的冲突争议。依法公开个人信息的再处理行为,究竟是否“合理”,其认定方法如何,均亟待进一步明晰。
三、造成 “合理”处理适用模糊的内在缘由
脱离《个人信息保护法》第27条的文本内容,从更为广阔的经济社会发展与法律秩序变迁的视角考察再利用争议,便不难理解“合理”规则模糊的内在原因。一直以来,传统的依法公开个人信息再利用,更多寻求名誉权、隐私权等传统人格权救济。但智能化时代信息科技的飞速进步,使得不当利用公开信息侵蚀人身财产安全、损害人格独立自主的风险显著提升。传统人格权救济所蕴含的间接保护模式,已无法满足今日已公开个人信息保护的现实需要。《民法典》《个人信息保护法》所代表的个人信息直接保护规范,一方面是新时代下对间接保护模式的扬弃;但另一方面也是对新兴科技发展的仓促回应。依法公开个人信息再利用争议,尚处于交替更迭、变动不居的混乱状态,并凸显为第27条“合理”要件的模糊标准。
(一)依法公开个人信息的间接保护模式
一直以来,依法公开个人信息再利用,更多寻求名誉权、隐私权等传统人格权救济。与此相关的司法实践,最早可追溯到2014年。也正是在这一年,最高人民法院针对利用信息网络侵害他人人身权益中出现的新问题,颁布实施《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》(本文以下简称为《解释》)。其中,《解释》第12条、第13条与依法公开个人信息的再利用高度相关。在这之后的司法实践,法院亦多援引上述条文进行阐释说理。
《解释》第12条专门规定利用信息网络不当公开隐私和个人信息的行为。在明确此种行为构成侵权的同时,《解释》明确了6种例外情形。其中第4项,“自然人自行在网络上公开的信息或者其他已合法公开的个人信息”的“再公开”,行为人无需承担侵权责任。信息处理者转载、传播依法公开个人信息的行为,显然属于该项例外规定。因此在司法实践中,法院多援引该规定,论证被告无需承担侵权责任。遗憾的是,作为早期的个人信息保护规范,该规定的内容很大程度上被《民法典》有关隐私与个人信息保护的规定所取代。在《民法典》实施前夕的司法解释修订浪潮中,第12条被全部删除,现已无法作为裁判的直接依据。
相比之下,仍然有拘束力的《解释》第13条,显得更为重要。根据该规定,网络用户或者网络服务提供者,根据国家机关依职权制作的文书和公开实施的职权行为等信息来源所发布的信息,在特定四种再利用情形下侵害他人人身权益的,行为人需要承担人格权侵权责任。但在具体的司法实践中,符合特定四种情形的案件凤毛麟角。实践中法院亦多援引该条文,在查明信息处理者不存在特定四种行为后,认定再利用行为不构成对信息主体合法权益的侵害。
进一步考察《解释》的制定背景与内容可以发现,该司法解释虽基本认可个人信息的合法权益并给予针对性保护,但并未赋予个人信息独立的人格权地位。行为人利用信息网络侵害他人的个人信息,只有在侵害他人姓名权、名誉权、荣誉权、肖像权、隐私权等人身权益并造成损害时,才需要承担民事责任。《解释》第12条作为早期关于个人信息的保护规范,仅规制因信息的不当公开或泄露所造成的侵害。解释制定者认为,通过民事司法保护个人信息,有其内在的制度要求:以违法收集、利用为代表的其他侵犯个人信息的行为治理,有待立法进一步明确治理手段、赔偿方式、损害认定。但更为深层次的原因在于,私密信息的公开系属典型的隐私权侵害;而个人信息的违法收集与使用,与隐私的关联则稍显疏远。由于隐私权旨在保护非公知的私事,凡是任何人均可阅览的公开事项,非属可保护的隐私。该理念下,第12条第4项的例外规定应运而生,法院亦多将其作为再利用行为的合法性依据。《解释》第13条,表面上虽能够调整依法公开个人信息的再利用行为,但最高人民法院制定该条文的目的,主要在于明确“媒体侵权”(“新闻侵权”)行为的具体判断标准。从规范制定背景和立法意旨延续的角度上来说,条文的实质,是对当时《民法通则》第101条(现《民法典》第1024条)中,“侮辱、诽谤”等名誉权侵权行为要件,在“媒体侵权”与依法公开信息再利用语境中的具体解释。“添加侮辱性、诽谤性信息”自然构成典型的名誉侵权;“信息不符、拒不更正”则更接近于名誉权行为要件中的“虚假事实陈述”,非属个人信息保护的规范体系。由于规范适用前提的模糊与构成要件的宽泛,第13条已从原初“媒体侵权”领域逐渐拓展至一般性的依法公开信息再利用场景中。
整体而言,《民法典》《个人信息保护法》颁布实施前,依法公开个人信息多通过传统人格权侵权损害的方式进行间接保护。法院借由《解释》第12条、第13条等规范,深入分析名誉权、隐私权的构成要件,对再利用争议进行裁判。但是,作为不特定人所知的公开信息,显然难以划入传统个人隐私的范畴;而通常的信息再利用行为,也很难与“侮辱、诽谤”划上等号。因此,传统针对依法公开个人信息再利用行为的侵权诉讼,均难以得到法院的支持。但随着今日《民法典》《个人信息保护法》的实施,个人信息保护作为独立的客体与案由出现。这意味着,依法公开个人信息的保护模式,正在发生转变。
(二)从传统人格权到个人信息:风险演变与规范重构
个人信息保护的模式转变,有着深刻的社会动因。过去很长一段时间,信息因其低廉的生产流通成本和高昂的排他使用成本,长期作为公共领域的公共素材或材料出现。公开信息更是如此,是任何人均可自由使用的资源。但智能化时代,信息技术的巨大进步,对信息收集、处理和利用产生翻天覆地的影响。这意味着,无论是被储存或被记载的信息,还是用作进一步分析、挖掘的信息,几乎没有任何边界——无论是时间边界、空间边界还是数量边界。这种信息技术的飞速发展,给人们的信息自主、隐私保护、人身财产安全乃至人格独立,都带来了巨大的风险和挑战。
总体而言,依法公开信息的再利用行为,可以类型化为以下三个维度的风险:信息储存风险、信息传播风险与信息聚合风险。一方面,今日的信息储存传播成本无限趋近于零。因此,即便是短暂时间内发生的、在特定地域范围内、仅有少数个体参与的事件,也可能会被永久储存、无限分发、尽人皆知。裁判文书的公开利用就是最好证明:将某一特定事件以裁判文书的形式永久定格于信息网络空间,消解了原始事件在时间上、地域上与对象上的限定性。
另一方面,再利用行为更为严重的危害,在于信息聚合与分析挖掘的风险。大数据时代,单条信息可能不具有可识别性或者敏感性。但通过信息聚合,不敏感或不可识别的信息可以相互叠加,互为线索,分析得出具有可识别性或者高度敏感的信息。例如,纽约时报通过分析美国在线已经公开的匿名化检索数据,能够轻易识别出该数据库中某一特定用户是佐治亚州利尔本的62岁寡妇。将海量、永久、与特定个人相关联的信息聚合在一起分析挖掘,甚至能够形成对个人的偏好、性格、行为的精准分析和预测,完成对“数字人格”的塑造。以依法公开的裁判文书为例,基于文书上法官信息进行“画像”,分析法官在裁判案件中是否存在个人偏见;或是基于文书上律师信息分析律师代理案件的实际效果,进行律师评价与推荐,均是依法公开裁判文书的潜在利用方式。而法国更是先行一步,明确禁止以依法公开裁判文书为基础的,针对法官、书记员身份的定向挖掘。不讨论该立法是否合理,但基于依法公开个人信息进行聚合、关联分析、定向挖掘等行为,确实存在不可忽视的隐私泄露风险。
正如前一部分所指出的,以隐私为核心的传统人格权保护模式,往往只重视非公开的个人信息,而对已公开的个人信息束手无策。但是,隐私并非仅仅由上锁的房门、闭合的窗帘所构成。如果隐私保护只致力于强化门与窗帘,那么,通过搜集我们公共生活的碎片而威胁隐私的现代化手段,就极有可能被忽视。当然,已公开个人信息的不当利用仅仅只是个人信息保护模式变迁的社会动因之一。随意收集、违法获取、过度使用、非法买卖个人信息乱象丛生,个人信息保护已成为广大人民群众最关心、最直接、最现实的利益问题。从《民法典》到《个人信息保护法》,一系列直接针对个人信息的保护规定先后出台,其中不乏有关依法公开个人信息的内容。但尘埃落定的法律文本,并不总是意味着井然有序的法律秩序。如今,依法公开个人信息的保护必要性虽已达成共识;而在具体保护措施与保护边界的落实方面,却仍存在难以消解的争论。
(三)依法公开个人信息的直接保护模式
依法公开个人信息经历了间接保护到直接保护的模式转变,但尚缺少稳定的秩序状态。大数据时代下依法公开个人信息的开发利用需求,与个人信息风险控制、权益保护间的紧张关系,是目前依法公开个人信息的最主要矛盾,也是秩序混乱、争论迭出的首要原因。本文讨论的第27条“合理”处理规则,即是这种矛盾在规范层面的体现。
司法实践中,关于依法公开个人信息的直接保护,始于本文伊始提到的“伊某与苏州贝尔塔数据技术有限公司人格权纠纷案”与“梁某与北京汇法正信科技有限公司网络侵权责任纠纷案”。彼时个人信息的直接保护,仅有《民法总则》第111条等原则性条款支撑,尚难为依法公开个人信息再利用争议,提供有效确定的裁判指引。欣喜的是,法院均未回避该新兴问题,并以高度相似的路径展开分析,但在最终的结论上存在差异。
在侵权责任的框架中,诉争再利用行为是否构成对个人信息权益侵害,其请求权基础为《侵权责任法》第6条(即《民法典》第1165条)。在侵权责任的要件证明过程中,首先需要认定依法公开个人信息的再利用,属于《侵权责任法》第6条“侵害他人民事权益”的行为。此即违法性要件的另一种表述:除有违法阻却事由外,侵犯权利的违法性应当被推定;而利益在侵权责任中是否受保护,关键是判断该利益是否属于法律保护的利益。若采严格的权利形式主义立场,无论是当时作为辅助性规范的《民法总则》第111条,还是如今《民法典》与《个人信息保护法》的相关规定,显然均未承认自然人的个人信息权利。这就使得,法官需要对具体场景下,原告的个人信息利益是否属于法律保护,进行充分证立。但在界定受法律承认的利益保护范围时,不应当忽略不同利益之间可能存在的对立或者矛盾,需要从价值上考量相互冲突或对立的利益:一方面,应考虑是否存在需要尽可能充分保护的利益;另一方面,要尽可能赋予其他人最大的行为自由。该价值冲突也是本案中两法院的争议焦点所在。
两个案件的案件审理法院,北京铁路法院与苏州中院均指出:本案涉及“司法文书再利用的公共利益和社会经济利益,与个人信息权益的个人利益之间的衡量问题”;“应当妥当平衡已经合法公开的个人信息流通与个人信息主体对信息传播控制之间的关系”。不同的是,北京铁路法院更倾向于保护再利用的依法公开利益和信息流通利益,主张个人信息的依法公开和利用应当有效协调维护数据流通等目的,作出具有开放性、合乎个人信息保护趋势与数字经济产业发展趋势的判断。苏州中院则更为重视自然人对个人信息的控制与自我决定,主张应当侧重考量信息主体对其个人信息的控制,尊重当事人二次传播的意愿。侵权责任体系中受害人权益保护与加害人行为自由之间的基本矛盾,在具体场景中外显为自然人的个人信息利益与他人获取、使用公开信息利益的冲突。
抽象而言,大数据环境下,依法公开个人信息的使用能力与处理价值显著提升。但也正是这种使用能力的提升,催生出依法公开个人信息的风险控制需求,进一步导致个人信息保护的模式转变。那么,在今日的直接保护模式中,依法公开个人信息保护与利用的平衡,也就需要“正本清源”,进一步将其置于更为广阔的社会政治经济科技发展中进行讨论。这是一套完全不同于隐私权等传统人格权益的利益平衡与治理逻辑。时代发展铸就的全新议题,不可避免会产生价值争议与秩序混乱。第27条“合理”要件反映出的模糊规则,某种意义上也是这种矛盾的体现。但更为重要的是,“合理”要件模糊造成的规范层面治理机制缺失,或将反过来进一步影响已经颇为混乱的依法公开个人信息再利用实践。这就使得,依法公开个人信息再利用困境,亟待对“合理”要件的补充解释加以消解。
综上所述,规制模式的更迭变迁中,以隐私权、名誉权为核心的旧秩序几乎被推翻,如今承继下来的《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定(2020修正)》第9条,几乎无法有效满足依法公开个人信息保护的现实需要。但法官显然不能“保持一种因循守旧的态度并承诺在未来案件中反复延续其前辈犯下的错误”。依法公开个人信息再利用问题,势必应从上述司法解释及个人信息的间接保护模式中解放出来,并在个人信息直接保护框架中展开分析。另一方面,现有“合理”要件的模糊规则表明,依法公开个人信息再利用的治理模式,尚未完全生成。这种可用范围的不清晰,与信息技术进步、社会模式变革所带来的利益失衡、秩序失范有着紧密关系。那么对“合理”的阐释,也就不能单纯依靠传统价值判断与利益衡量作出封闭性回应,而更需要找寻具有开放性和包容性的解释论线索。
四、依法公开个人信息“合理”处理的认定方法
第27条“合理”要件的解释适用问题,不可避免的同依法公开个人信息的实践场景紧密相关。除开文义解释、体系解释、目的解释等传统解释方法外,解释立场的选取不可或缺。为人熟知的个人信息场景理论,已经指出“合理”要件的叙事方法——即融贯论解释。作为现代哲学和法解释学的重要成果,融贯理论已成为法律推理与疑难案件证立的核心方法之一。本部分旨在从现有的合目的解释出发,以融贯论为基点,在开放体系中构建“合理”的解释框架。
(一)“合目的”与“合理”的规范功能差异
相当多观点认为,“合理”的解释,应当借鉴《个人信息保护法》历次审议稿中的“用途”标准,超出与“被公开时的用途”相关的合理范围的,即为不合理。2020年10月《个人信息保护法(草案)》首次征求意见时,已公开个人信息的处理规则的确以“符合个人信息被公开时的用途”为核心展开。直到第三次审议稿,以“个人信息被公开时的用途”为核心的规则被删除,取而代之是如今的第27条。对于这一修改,宪法和法律委员会将其解释为“做好草案有关条款与民法典有关规定的衔接”。既然仅因为法律衔接原因抛弃“个人信息被公开时的用途”,那这种“合目的”的解释似乎仍具有司法适用的指引力。
该观点有待商榷,理由有三:一是,个人信息公开与处理的“用途”本身非常难以明确。自然人在微博、朋友圈等社交媒体自行公开个人信息的目的存在多种可能。作为事实行为的公开,事后查明其用途并非易事。而依法公开场景中,虽然信息公开多旨在预防权力滥用、满足公众监督的需要,其目的相对明确。但是,信息处理者处理依法公开的个人信息,则通常具有多重目的。以法信、企查查利用依法公开裁判文书为例:一方面,这些商业性机构可以通过公开信息的处理,形成盈利性的数据产品或服务;另一方面,这种处理行为客观上扩大了依法公开信息的传播范围,有利于公众监督的实现,难以判断处理目的究竟是否符合个人信息被公开时的用途。此外,草案亦曾明文规定:“个人信息被公开时的用途不明确的,个人信息处理者应当合理、谨慎地处理已公开的个人信息”。于此,仍涉及到“合理”在再利用场景下的具体解释。
二是,即便明确个人信息被公开的用途,在互联网环境下的信息流动过程中,将“信息被公开时的用途”完整有效传递给信息处理者,难度极大。事实上,“个人信息被公开时的用途”本身也是一类信息,并且高度个人化、主观化、非结构化。更为重要的是,这种“用途信息”仅对信息处理者才有价值。对于多数单纯获取、传播公开信息的“吃瓜群众”而言,由于不涉及《个人信息保护法》的处理行为,“信息被公开时的用途”多属无用信息。若社会公众耗费时间金钱成本,将用途信息完整传播给真正的个人信息处理者,本质上乃利他行为,缺乏内在动力。简言之,若强行让“已公开个人信息”负担“信息被公开时的用途信息”,将会极大地提升公开信息的流转传播成本。与信息网络共享、利用理念相悖的“用途信息”最终能够多大程度地传达到最终处理者,需要打上一个大大的问号。
三是,即便个人信息被公开的用途完整保留至信息处理者,其正当性亦有待商榷。“个人信息被公开的用途”本质即尊重信息公开与传播的起点——在自然人自行公开的情境中,尊重个人对个人信息的控制与决定。但是,从公共利益角度简单考量可以发现,个人信息具有极强的公共属性:除了作为集合性的展示要素外,更具有基础设施维度的社会认证、连接和声誉功能。过分强调“被公开的用途”,将会忽视个人信息的社会属性与其承载的公共利益。因此,有学者在运用“个人信息被公开时的用途”解释“合理”要件的同时,主张避免机械化的“以目的绝对一致与否作为判断的唯一标准”,在考量个人信息被公开时的用途的同时,融入“合法利益豁免”以及“平衡测试”机制,具体检验个人信息权益保护的必要性。如此一来,不仅掏空了“个人信息被公开时的用途”的语义内涵,更回退到抽象价值冲突与利益平衡中去,难以为司法实践提供确定、有效的具体裁判指引。
进一步考察合目的性理论,其源头与个人信息保护“目的限制”原则高度相关。根据我国《个人信息保护法》第6条,信息处理者处理个人信息时,应当遵守原初收集个人信息时的约定目的。在个人信息已公开的场景,这种“约定目的”大致可与“个人信息被公开时的用途”划上等号。但域外实践已经摒弃了严格的目的限制原则。欧盟GDPR关于目的限制原则,即表述为“对个人数据的处理不违反初始目的”。“不违反”并不代表完全相同,这意味着个人信息处理可以与原初的目的发生偏离。理论层面,欧盟也已经扬弃严苛的目的限制原则,并发展出“适当性使用”标准,用以判断额外目的与约定目的是否背离。严格遵循“符合被公开时的用途”的目的限制,存在严重阻碍信息自由利用与商业创新的可能性,难以成为判断信息再利用合法性的唯一检验标准。
事实上,即便采先前以“被公开时的用途”为核心的已公开个人信息处理规则,似乎不仅不妨碍与《民法典》第1036条第2项的衔接,还对《民法典》中“合理”要件作了明确指引。立法者对这一改动更深层次的考量可能在于:在规范层面,以“被公开时的用途”为核心的规则,依然无法有效回应实践争议;在价值层面则表现为对信息主体已公开信息控制的否定性评价。海伦·尼森鲍姆已经正确地指出:任何将隐私与个人信息保护基准缩减至单一要素(例如敏感个人信息)、单一原则(例如强化个人信息控制)都是徒劳的尝试,任何一元规则或者是原则均无法有效保护个人信息。以“符合信息被公开时的用途”为核心构建起的已公开个人信息治理框架,忽视了本文提及的多元利益与复杂矛盾。在某些具有高度敏感性的场景下,此种解释尚属合理;但随着场景的转换,该解释则未必符合促进信息流通利用的立法理念。简单举例,一般性的搜集、获取公开信息的行为应当被认为是“合理”,而考察个人信息被公开时的用途,则不具有任何评价意义。毕竟,“强迫他人忽略你展示的信息是施加给他人的不公平负担”。随着再利用场景的发展变化,合目的解释将很难指引广泛的司法实践。
(二)个人信息场景化保护中的融贯价值基础
在大数据环境下,信息的收集、流转与利用日趋复杂多样,以合目的性为代表的传统一元静态的规范模式,已经难以适应大数据时代下公开个人信息保护的需求。相比之下,尼森鲍姆提出的“情境脉络完整性理论”(国内多称为“场景理论”或“场景理念”),成为个人信息保护中更为有力的理论解决方案。
场景理论旨在回答“在何种情况下,个人信息的流通、处理与利用是合理的”这一问题。该理论认为,信息流动需要受到特定情境脉络的约束,历史、习惯、文化、道德等等复杂社会系统共同塑造了信息的流动规范。因此,不存在放之四海而皆准的信息规范,隐私与个人信息的保护标准,必须在具体场景中加以思考。据此,场景理论可进一步细分为资讯主体、信息类型和传播原则等要素,通过特定模型,检验信息流动的合理性。如今,这种分析思路,已经被越来越多的学者所主张。
场景理论的诞生是一种必然,其背后有着深厚的融贯论支撑。源于哲学领域的融贯论最初旨在解决认识论上的难题:“我们的知识不是建立在坚固砖块上的房屋,它们更像是漂浮在海上的木筏,它们彼此联接在一起以相互支撑。”类似的,不同于传统司法裁判三段论式的演绎推理,法学中的融贯论不关注命题的真假,而更多关注命题与命题之间、信念与信念之间存在的相互支撑关系。一个信念、一个命题的正确性取决于其他信念、命题对它的支持程度。如果共同支持一个结论的各个理由之间能够形成这种融贯的相互支持关系,那么,这就极大地增强了结论的可辩驳性。
场景理论旨在实现的“场景性公正(contextual integrity)”,就是一种融贯保护要求。大数据环境下,个人信息的处理与利用日趋多样,价值判断与利益平衡日趋复杂,“可识别”和“不可识别”、“敏感”和“不敏感”、“私密”和“公开”的界限逐渐模糊。在多样化的处理场景下,场景理论旨在找寻个人信息保护的共通基准,这种逻辑一致性(consistency),是融贯论的重要特征之一。但逻辑一致性仅仅只是融贯论的必要不充分条件。作为法学领域融贯论先驱的德沃金,其笔下的“整全性(integrity)”,就既要求一致性,又高于一致性。而另一个需要重点关注的,是论证过程的开放性与可辩驳性。
在法律论证领域,概念法学的崩溃凸显纯粹演绎逻辑的不可能。以逻辑一致性为目标的演绎推理,一方面难以回应必然存在的法律漏洞与价值判断,另一方面无法保证结论的可接受性。融贯论引入法学领域,最初旨在解决法律体系的封闭性困境,将道德、政治、伦理等法律外理由引入法律体系内部的同时,保障裁判的非恣意性。而场景理论在实现“场景性公正”的过程中,同样将道德、政治、伦理等外部价值判断引入评价内部,把所有正当理由的考量,连接成单一整体的理由,搭建“漂浮在海上的木筏”。质言之,场景理论的在塑造信息流动规范的过程中,不可避免地会融入开放多元的价值判断。这就使得,场景理论的结论没有绝对意义上的“对”与“错”,只有程度上的“好”与“坏”。这同样也是融贯论最为突出的特点。
(三)依法公开个人信息融贯保护的动态方案
具体到依法公开个人信息的再利用,其“合理”的解释,必须在具体场景中,以融贯论为指导,找寻多元、开放的解释路径。但是,作为规则之治的法律,仍应当尽可能避免诉诸抽象理念,“禁止向一般条款逃逸”。考察整个法律体系,《民法典》第998条(以下简称第998条)映入眼帘。这是因为,在典型的民事侵权的视角下观察,“不合理”的依法公开个人信息处理,若无《个人信息保护法》第13条等其他合法性基础,则极有可能侵害自然人的个人信息权益。讨论个人信息处理者承担侵权损害的民事责任问题,自然就有第998条的适用余地。更重要的是,第998条能够与场景理论构成“连环小说”的关系,彼此之间可做融贯的理解和解释。甚至可以说,第998条是依法公开个人信息“合理”处理的“最佳叙事”。
首先,第998条能够对依法公开个人信息的“合理”解释产生有效的拘束力。私法层面,作为《个人信息保护法》与《民法典》“特别法”与“一般法”关系的体现,自然可得运用第998条判断依法公开信息处理中的“合理”问题。但在公法意义上,信息处理者依据第27条处理个人信息,其“合理”的认定标准能否适用第998条,实值研究。此涉及个人信息处理者外在的“可用/不可用”边界及其合规义务的展开,具有重大意义。问题的实质,是个人信息的违法性标准,在公私法中的理解是否同一。对此的回应是,第27条等个人信息处理规则,是调整个人与信息处理者关系结构的工具性权利,是个人信息国家保护义务的展开方式。这意味着,违反第27条处理个人信息,直接侵犯的是公法上的法秩序而非民事权益;而后者仍应当围绕民事实体权益的损害展开。即以第27条为代表的“个人信息受保护权”,呈现出行政法前置的鲜明特点:信息处理者若构成个人信息的事后权益侵害,则必然违反个人信息的事前合规义务。那么,在民事侵权认定中运用第998条,也就自然以“举重以明轻”的方式,流入公法合规义务的判断标准之中。这种观点,也符合德沃金笔下的法律整全性原则:无论是创设法律的立法者,还是执行法律的裁判者,均应当尽最大可能使整套法律具有道德融贯性。
更为重要的是,融贯论的解释方法必然要求开放多元的解释方案。立法者通过第998条,表明了认定人格权侵害民事责任的基本立场:在承认法官在具体案件的自由裁量权的同时,限定自由裁量权的适用范围,也保留了平衡考量因素的法定性与开放性。从立法技术来说,该款采取一种类似于动态体系论的方法,摆脱僵硬的概念法学构成要件“全有”或“全无”的法律适用,也避免自由法学的极端恣意与非合理性。维尔伯格提出的动态体系论,通过要素体系与动态协动,形成了类似橡皮筋的规范适用框架,将高度抽象性、宣示性的法律原则细化为具有明确指引与可操作性的具体规则,开辟了概念法学与自由法学的“中间道路”,是一种具有融贯性的立法技术。这种立法所追求的体系融贯性,与裁判注重的论证融贯性有着紧密联系。当然,第998条作为人格权侵权认定的一般条款,或许缺乏个人信息的针对保护。但该条可由法官在个案中综合考量确定要素体系,在更加开放与弹性化的同时,进一步实现立法者意欲追求的平衡目的。综上所述,融贯论解释所追求的开放多元规范,与第998条及其背后的动态体系高度契合,也就自然可将该条文及其内在理念运用于“合理”的解释之中。
五、依法公开个人信息“合理”处理的场景化解释
认可第998条作为“合理”处理解释的“最佳叙事”后,本部分旨在以场景为基础,进一步分析不同场景中第998条的适用差异,明确合理处理的层次边界。借此,在保障个案裁判的正当性与可辩驳性的同时,呈现融贯理论与审判实践的互动关系。
(一)依法公开个人信息处理的典型场景类型
第一种典型场景是以法信、聚法、北大法宝为代表的,针对依法公开信息的简单镜像、特定面板要素提取。相较于在中国裁判文书网等官方公开数据库,上述商业机构在实施爬取、存储等行为的基础上,对其中具有较高结构化的要素信息(例如裁判文书的案由、文书性质、当事人、审理程序、法院、律师、审判人员、引用法条等)进行相对简单的标签化提取,并基于标签内容提供更加精准、专业和可视化(图表化)的检索服务。
第二种典型场景是以启信宝、企查查、天眼查为代表的关联分析行为。上述企业信息查询平台在信息爬取、镜像、标签化之外,基于结构化较高的个人信息、企业信息进一步关联分析,形成类似于知识图谱的信息网络。以天眼查为例,其核心功能即“查公司,查老板,查关系”,以特定公司及其高管为重点,将依法公开的裁判文书、开庭公告、案件执行、行政处罚等信息与之关联,旨在提示并预警潜在的商业风险。
第三种典型场景是基于依法公开信息中结构化较低的信息(例如裁判文书上案件事实、法院观点等)进行深度整理与加工行为。由于现阶段数据深度处理技术尚不健全,在国内,该场景尚未呈现出典型的商业化案例。但从域外技术实践与我国公开文书利用的开发方向来看,基于大数据的类案智能推荐、文书分析预测、诉讼风险判断、法官/律师画像等均属该场景应用下的典型代表。以类案智能推荐为例,作为对传统检索模式的进一步发展,其主要以自然语言处理技术为核心,针对依法公开的案件事实、争议焦点等非结构化数据,运用算法识别并推荐类案,实现类案智能化推送的效果。
三种场景的区分,与前述再利用行为的三种风险有着密切联系。第一种场景多关涉信息储存、传播风险,而后两种场景更多呈现程度不一的信息聚合风险。需要说明的是,第三种场景中的深度挖掘行为,目的不同、样态繁多。接下来,本文将以具有代表性的人物画像与自动化决策为主展开论述。显然,三种分类仅仅只是相对理想且典型的形态,现实社会中依法公开信息的再利用方式则更多呈现出绵延不断的谱系化特征。但这并不妨碍本文接下来的讨论,“合理”的具体解释,可以从三种典型场景中进一步融贯发展,成为同样具有动态性和谱系化的标准。依法公开个人信息的其他再利用行为,可从融贯标准中得出结论。
(二)依法公开个人信息“合理”处理的要素体系
基于第998条的分析框架,本文将先考察“行为人和受害人的职业、影响范围、过错程度,以及行为的目的、方式、后果”等要素单独作用于“合理”标准的界定方法,后关注多个因素共同存在时的要素协动作用。基于要素的区别,可对上述三个典型场景做如下分析:
1.行为人和受害人的职业
关于行为人和受害人的职业,立法者进行了简要列举:从事新闻报道和舆论监督的行为人的侵权判断应当更为谨慎、作为公共人物的受害人的人格权则应当受到适当限制等。此类具有相当共识的观点,在本文再利用的合理判断中同样适用,但需要结合当事人具体情况展开分析。另外在主体层面,需要额外关注的是未成年人个人信息问题。《个人信息保护法》将不满14周岁的未成年人的个人信息确定为敏感个人信息,实施更加严格的保护措施。这涉及敏感个人信息的特殊保护问题,待后文作进一步讨论。
2.行为的影响范围
关于行为的影响范围,通常而言,行为的影响范围越大则影响越严重。在前两个场景中,作为已经依法公开并可为不特定人所知的个人信息,再利用行为通常亦可为不特定人所知,具有显著性。但在场景三中,由于深度挖掘的高价值性,典型的商业化模式并非完全向公众开放,而更多指向律所、法院、高校等特定用户。
但是,前两种场景潜在的广泛影响范围,并不等同于法律评价的影响范围。法院在考量影响范围的社会性同时,也会将其与人格尊严、行为自由的平衡保护结合起来,综合考量社会的一般评价认定具体影响范围与责任。司法实践中,有法院即认为:北大法宝等裁判文书数据库的受众面主要集中于法律专业人群。旨在通过影响范围的限缩,证成处理行为的合理性。更为常见的例子是“虚荣搜索”现象——一些人会在搜索引擎中输入自己的姓名等个人信息进行搜索,但此种行为属于典型的低频搜索行为。通过虚荣搜索,受害人往往能够在检索结果的头部位置发现与自己相关的个人信息,并自觉影响范围巨大。但客观上,这种检索行为非常罕见。实践中,亦有被告在答辩中查询后台数据指出:涉诉文书的浏览量共计57次,多为爬虫程序制造的访问量。其中,访问IP为北京的记录仅有10次,且7次为同一IP,不排除为原告本人。据此主张行为的影响范围极小。
3.行为的过错程度
关于行为的过错程度。首先需要明确,违法性要件与行为过错程度的区别:前者是对行为人是否违反法规范的客观认定,而后者则更多考量行为人主观心理的可责难性。过错通常通过理性人或“善良家父”的标准进行判断。但个人信息尚属新兴的民事权益,侵犯个人信息过错程度的判断标准,尚未形成普遍认识。在个人信息侵权的司法实践中,法院亦少有对行为人主观过错的深入考察。就本文再利用的典型场景而言,由于其兼具个人信息的新型人格权益与科技进步带来的新型商业模式,行为的过错程度判断不宜过于武断。在行为自由与信息自由的双重价值取向中,三类典型场景均难有侵犯个人信息的主观恶意。事实上,在《个人信息保护法》第69条第1款明确个人信息侵权适用过错推定责任后,也有观点认为,对过错程度考察的必要性已显著降低。
4.行为的目的、方式、后果
行为的目的、方式、后果的判断在本文场景中更为重要。本部分先就场景一与场景二的行为目的、方式、后果依次讨论。在第一种场景中,行为人目的主要在于提供优质且具有市场竞争力的依法公开信息检索服务;第二种场景多旨在通过关联分析揭示商业风险。这些场景虽将公开信息进行商业化运用,但不具有侵犯个人信息权益的恶意目的,不具有高度的可谴责性。
其次,就行为方式而言,上述场景均具有共同性的爬取、储存行为,并在此基础上展开差异化的分析与处理。就爬取、储存行为而言,尽管场景多突破了中国裁判文书网的复杂反爬虫技术,存在违反网站公告中的“禁止商业性网站建立文书库镜像”之虞。但是,中国裁判文书网公告的法律效力本身尚待疑问。在爬虫技术广泛应用的当下,不能直接认定行为方式的背俗性。事实上,就爬取行为与被爬虫平台而言,以中国裁判文书网为代表的依法公开数据库,多属于体量巨大的原始数据或基础数据。为避免潜在的数据割据与数据封建主义,在不影响系统正常运行与使用的前提下,禁止爬取似乎更不具有正当性。此外,依法公开数据相比一般原始数据或基础数据的独有价值外,还负有“宪法上知情权”的重大利益。虽然上述场景已经部分超过信息公开与司法监督的本来面貌,但并不排斥公众进行监督。甚至,通过更为优质的数据处理与服务,方便公民行使宪法上知情权。从这一角度讨论,通常存在的信息爬取行为,从个人信息保护的视角考察,难具有明显不正当性。另就差异化的数据分析与处理行为而言,结构化数据提取、数据关联等数据分析技术,已经应用多年,其技术逻辑亦相对为人所熟知。客观上,普通公众若付出相当的时间、精力,即可自行对公开信息进行标签化整理,亦可将特定少量的已公开信息进行关联分析,挖掘有价值的信息。因此,场景一、场景二中的简单处理与关联分析,行为方式同样不具有明显不正当性。
最后,就行为后果上考量,个人信息遭受侵权的程度通常较低且分散,而对社会通常行为造成的人格权的轻微损害,行为人应当负有社会通常容忍的义务。上述再利用的典型场景并未不合理地扩大个人信息的公开范围,即便认定有个人信息权益的损害,亦较为轻微。尽管前两种场景下,受害人多能在搜索引擎的头部位置检索到被再利用的个人信息,但这里除涉及“虚荣搜索”外,亦是搜索引擎排序技术的合理结果,既无法证成损害结果的严重性,也与实施处理行为的信息处理者关系较小。
然而,同样是基于行为目的、方式、后果的考量,第三种场景中人物画像的结论则显著不同。作为可能对数字人格造成严重侵害的行为,依法公开个人信息的人物画像应当有更为强力的规制。就行为目的考量,人物画像远超信息公开原本的司法监督目的。就行为方式、后果而言,人物画像等基于对个人信息的定向分析挖掘,多旨在揭示与个人紧密相关的信息,而这种基于自动化决策形成的数字身份,可能完全与物理人格分离,脱离当事人的事先认知。甚至有可能反过来支配信息主体,造成对数字人格的损害。考虑到自动化决策的高敏感性,《个人信息保护法》中对其也有特别的严格规定。在本文场景中,亦有必要采取更加严格的控制措施。
5.信息的识别性与敏感性
开放式列举的第998条允许法官在个案中拓展要素体系。在个人信息话语体系之下,信息的识别性与敏感性程度自然应当介入综合衡量。这是因为,个人信息的识别性越强,越能在广泛的人群中明确受害个体;而个人信息的敏感性程度越强,其侵权行为则更可能造成严重损害后果。更为重要的是,个人信息识别性与敏感性,均呈现程度上的差异,而非单纯“可识别/不可识别”“敏感/非敏感”的二元区分。以“PII 2.0”为代表,设计多元化、差异化的个人信息制度规则,成为近年来个人信息保护的主流方案。动态体系中的充足度衡量,与这种差异化规制具有高度一致,自然也就可资借鉴。
总体上,依法公开个人信息的识别性与敏感性,需要细致的个案判断。依公开行为性质与内容不同,信息的识别性与敏感性,总体上有较大差异。仍以裁判文书为例,隐名处理的裁判文书,个人信息的可识别性就显著低于普通裁判文书。此外,在自然人的金融借款合同纠纷、证券纠纷、医疗服务合同纠纷的裁判文书中,多涉及自然人的金融信息、医疗健康信息;在抚养纠纷中则多有未成年人的个人信息。这些文书上的信息敏感性则高于普通文书。本文检索到的信息再利用纠纷之一,即缘起于流产手术引发的医疗服务合同纠纷。就一般社会观念而言,接受过流产手术的信息应当具有高度敏感性。从动态体系的要素评价角度,个人信息的识别性越强、信息越敏感,自然人的个人信息权益自然更应当受到保护,也则更倾向于将再利用行为评价为“不合理”。
(三)依法公开个人信息“合理”处理的动态协动
依据第998条,对诸要素的内容展开充足度衡量后,即可基于要素的协动作用得出法律效果。这种协动作用,多以一种比较命题展开,即“若……越多,则……越好”“若……越少,则……越差”的形式。在多个可变动的要素中,法律效果的判定即取决于通过要素的动态作用与配合解释。
在依法公开个人信息“合理”处理的要素体系中,具体表达为:
受害人的普通公众属性A×充足度a+行为的影响范围程度B×充足度b+行为的过错程度C×充足度c+行为的目的、方式、后果的可谴责性D×充足度d+信息的识别性与敏感性程度E×充足度e=法律效果R
但无论是要素的权重判断,还是要素的充足度判断,均不可能达到具体数值那样精确的程度。在无原则性实例与基础评价时,动态体系的比较命题亦如同无根之木、无源之水。为进一步简化模型,本文将各要素的权重等同视之。对于要素的充足度,本文简单区分为两类进行初步分析:证成类评价要素(即支持认定处理行为不合理的要素)与证否类评价要素(即支持认定处理行为合理的要素),在动态协动的语境中,前者的要素充足度较高,后者的要素充足度则较低。
在场景一中,行为的影响范围、过错程度、方式、目的、后果均属证否类评价要素,而信息要素、主体要素则尚需进一步个案判断。综合分析显示,场景一作为依法公开个人信息的标签要素提取与初步整理,在证否类评价要素占据绝对多数的情形下,实难言“不合理”,即便是包含敏感个人信息的搜集整理亦不例外。本文认为,此类单纯给予依法公开个人信息的初级整理与加工,基本未超越原初信息公开的场景,无《个人信息保护法》介入并展开规制的必要,相关再利用行为应属“合理”的个人信息处理。
有了场景一作为基础评价,对于场景二与场景三的分析便可通过比较命题的形式展开:就场景二与场景一对比,受害人的普通公众属性、信息的识别性与敏感性仍需个案判断,行为的过错程度基本无异(无明显过错)。但在场景二中,关联分析所导致的影响范围,将大于场景一标签提取的行为;行为的方式、目的、后果则也一定程度超越依法公开个人信息的场景。相对武断的判断是:在受害人是普通公众,且依法公开个人信息具有较高识别性与敏感性的情形下(包括未满14周岁未成年人的个人信息),此种简单关联分析应属“不合理”处理;但在受害人是公众人物,或是依法公开个人信息不具有较高识别性与敏感性的场景,上述关联分析仍属合理。
在场景三中,由于智能技术的深度运用,个人信息再利用的方式进一步深化:在人物画像与自动化决策的场景下,无论其影响范围,还是行为的方式、目的、后果,均大大超出了原先信息公开与场景一、二的内涵,具有较高损害个人人格的风险。动态协动的结论是,所有基于依法公开个人信息的人物画像行为,原则上均不属于合理范围内的处理行为。
三个场景的要素充足度判断与具体结论,如下表所示:
结论的最后,仍需要特别强调三点。第一,本文选取的三类场景仅仅是基于典型处理行为的划分。但本文的解释路径,具有高度的开放性与包容性。以比较命题为支撑,其他依法公开个人信息的再利用可在该框架中得以回应。以“类案智能推荐”为例,该场景下的“合理”处理范围,即可通过与其他场景的比较得出结论。首先,行为的影响范围上,类案智能推荐的影响范围应当大于第二种场景。这是因为,场景二中的关联分析往往仅基于面板信息展开,但类案智能推荐的实质,是将所有与本案类似的事例关联分析。例如,类案智能推荐可以筛选出所有因流产导致的医疗纠纷。其次,就行为的目的、方式、后果的可谴责性上,类案智能推荐尚难以形成对数字人格的损害,行为的可谴责性仍明显小于人物画像。最后,行为的过错程度,类案智能推荐与三种场景基本相符。这就使得,类案智能推荐的“合理”范围将小于场景二,大于场景三。因此,对于类案智能推荐的“合理”处理标准,一个粗浅的结论是:只要类案智能推荐涉及具有较强识别性的个人敏感信息,其行为即不属于合理处理范围。以此类推,本文结论的动态性和融贯性方得以呈现。
第二,非属合理范围内的处理,并不必然导致行为的违法性。在满足《个人信息保护法》第13条等其他合法性基础的情况下,相应的处理行为仍为合法。本部分以征信机构处理依法公开个人信息(包括但不限于公开裁判文书、失信被执行人信息等)为例展开讨论。作为社会信用体系建设的重要组成部分,征信机构的信息处理行为,明显承担了更为重要的社会功能。但在本文的分析框架中,利益平衡的内在理念已经被要素的评价及其协动作用吸收,此种社会属性可在行为目的、方式、后果的讨论中得到体现,并外显为动态协动后的法律效果。简言之,相较于本文的一般商业性机构,征信机构的处理目的更具有社会公益属性。这就使得,在处理行为等其他因素相同的情况下,征信机构“合理”处理的范围将大于一般商业性机构。经过与上述典型场景的比较,本文认为,征信机构对于依法公开个人信息的收集与简单数据提取行为,属于个人信息的合理处理;而基于上述信息的信用画像、评分、评级等自动化决策,以及进一步对外提供的行为,则非属合理范围内。但这些超出合理范围内的处理行为,在取得信息主体个人同意时,显然不失其合法性。此外,由中国人民银行征信中心统一建设的个人信用信息基础数据库,亦可通过《个人信息保护法》第37条,比照国家机关处理个人信息的规定,取得处理行为的合法性基础。
第三,本文的分析与证立过程虽很大程度上以司法公开(特别是裁判文书公开)为依托,但其分析框架与结论,可广泛应用于所有依法公开的个人信息。本部分以相对特殊的依法公开新冠疫情确诊患者行踪轨迹的再利用展开讨论。为了保护确诊患者的个人隐私、免受不当歧视,现有的行踪轨迹信息往往以高度去标识化、脱敏化的形式公开。但正如前文所述,大数据时代的重要特征之一,就在于近乎无限的信息聚合与关联分析能力。随着数据分析能力的进步与数据量的增加,绝对的匿名化将不再可能。反映在行程轨迹信息的再利用层面,就应当以信息的识别性为核心要素,划定“合理”处理的边界。换言之,所有未显著提升信息识别性的处理行为(例如疫情地图的制作分发、个人行踪与确诊患者行踪的智能匹配等),均应当认定为合理处理;而显著增加信息识别性的处理行为,则极有可能构成不合理处理。其理由在于,在本文以充足度为核心的分析框架中,“合理”与否的界定依赖于各要素间的动态协动作用。即使一个或者多个要素尚不能明显反映出法律效果,但若有某一个要素具有典型性(如信息识别性极低),也可认定相应的法律效果(即处理行为在合理范围内)。在处理行为显著增加信息识别性的情况下,则需要进一步考量主体要素与行为要素,借由动态协动与比较命题,妥当得出“合理”处理的具体边界。
六、结语
依法公开是信息网络环境下的数据富矿,从相对传统的镜像数据库,到企业信息查询平台,再到未来无限可能的再利用场景,依法公开充分彰显了除公众监督外的深度利用价值。但依法公开同样是个人信息富矿,无时无刻不伴随着侵犯个人信息权益的风险。在依法公开再利用实践普遍发生的当下,有必要从已经实施的《个人信息保护法》视角,审视依法公开个人信息再利用的争议。
《个人信息保护法》第27条的诞生,是已公开个人信息风险控制的内在要求。大数据背景下复杂的数据活动,使得已公开个人信息的保护,既不能延续传统人格权益的保护模式,也不存在一元静态规则的“灵丹妙药”。取而代之的,是具有开放性与融贯性的动态保护方案。将《民法典》第998条及其背后的动态体系论的解释技术,应用于依法公开个人信息再利用的“合理”解释中,尽管不甚完美,但确是场景理论在司法实践中具体呈现的妥适路径。至少,该方案为相关争议的解决,提供了一种有力的解释方法与论理工具;在增强了裁判说理的明确性与可辩驳性的同时,避免漫无边际的价值判断。借由诸要素的综合分析,也能够为相关主体的合理行为边界,提供规范体系上较为清晰的指引。更重要的是,本文通过《民法典》第998条,尝试建立起《个人信息保护法》第27条与传统民法权益保护体系的融贯解释。网络法研究中的个人信息保护场景理念与利益平衡,由此融入动态体系的解释技术之中。通过有意识地探寻理论学说在司法适用中的切入点,进一步提升理论对实践的指引力,以期实现“个人信息权益保障”与“个人信息合理利用”并重的终极目的。
(赵艺,东南大学人权研究院、东南大学人民法院司法大数据研究基地研究人员;杨洁,东南大学法学院副教授、硕士生导师,东南大学人民法院司法大数据研究基地研究人员)
Abstract:The model of the protection for personal information disclosed according to law has changed from indirect protection to direct protection.The indirect protection model for traditional reputation rights and privacy rights could hardly meet the practical needs of governance.However,due to the ambiguity in the application of the“reasonable”handling requirements,the direct protection model centered on Article 27 of the Personal Information Protection Law still cannot effectively respond to practical disputes.The essence of the problem is to resolve the tension between information circulation and risk control and reshape the legal order for the protection of personal information disclosed according to the law.The determination of“rationality”should be centered on scene concepts and holism interpretation and carried out by using the interpretation technique of the dynamic system under Article 998 of the Civil Code.With the support of scenario-based discussions and comparative propositions,the crawling and tag extraction of personal information disclosed according to law should be considered as reasonable handling;character portraits and automated decision-making should not be covered in the scope of reasonable handling in principle;For behaviors such as correlation analysis,factors like information subject,identification and sensitivity should be comprehensively considered to get open and inclusive conclusions in individual cases.
Keywords:Personal Information;Disclosed According to Law;Reasonable Scope;Holism Theory;Dynamic System
(责任编辑 李忠夏)
.jpg)
京公网安备 11010102003980号