国产日韩欧美一区二区三区三州_亚洲少妇熟女av_久久久久亚洲av国产精品_波多野结衣网站一区二区_亚洲欧美色片在线91_国产亚洲精品精品国产优播av_日本一区二区三区波多野结衣 _久久国产av不卡

?

個人信息分類保護制度的理論基礎

2018-03-31 21:58:51
上海政法學院學報 2018年3期
關鍵詞:收集者保護模式個人信息

袁 泉

個人信息保護制度的構建,應當著眼于最大程度地實現(xiàn)該法律制度積極的正向功能。個人信息分類保護模式,一方面,通過外部分類體系的建構表達出了個人信息保護制度應承載的多元價值理念;另一方面,滿足大數(shù)據(jù)時代個人信息類型外部實現(xiàn)體系建構的核心需求。可以講,個人信息分類作為構建個人信息保護制度中的重要內容,能夠最大程度地實現(xiàn)該制度建構上的核心功能,是未來我國個人信息保護制度的應然路徑選擇。

首先,個人信息分類保護模式通過外部分類體系的建構更好地實現(xiàn)個人信息保護制度所應承載的多元價值理念。個人信息分類保護制度一方面衡量了個人信息本身的各類道德價值和政治價值,根據(jù)需要進行輕重取舍,并通過立法技術加以巧妙處理,并最終實現(xiàn)完整的個人信息保護的法律價值;另一方面,立足于當前信息驅動型經(jīng)濟發(fā)展的國情和現(xiàn)狀,從個人信息利用的現(xiàn)實需求出發(fā),衡量信息主體、信息從業(yè)者、公眾及政府等不同主體對個人信息利用的期許和尺度,推動信息市場的健康持久發(fā)展。

其次,個人信息分類保護模式滿足了大數(shù)據(jù)時代個人信息類型外部實現(xiàn)體系建構的核心需求。為了實現(xiàn)個人信息類型體系的建構功能,未來我國個人信息類型體系應當遵循大數(shù)據(jù)技術的發(fā)展趨勢,保證體系上的概觀和明了與邏輯上的嚴謹自足,并實現(xiàn)整個個人信息體系的包容性、開放性和可行性?;诖?,對個人信息分類保護的路徑是未來我國個人信息保護制度的應然選擇。第一,個人信息分類體現(xiàn)出各類信息之間的根本差異,在對這種差異進行識別的過程中綜合考量了各類信息的本體性質、識別程度、風險系數(shù)、信息主體與信息收集者的貢獻程度等多個元素,并對這種差異進行法律意義上的界定;第二,個人信息分類體系具有形式邏輯上的周延和自足,這集中體現(xiàn)在個人信息保護的剛性需求和彈性需求上;第三,所建立的個人信息類型體系應具有開放性流動性和可行性,這不僅由個人信息的使用特性所決定,也是當前信息驅動型(data-driven)市場經(jīng)濟發(fā)展的需要。

一、個人信息分類保護制度的內部基礎——多元價值理念的表達

(一)個人信息的多元價值理念

個人信息本身承載著諸多價值,既包含著具有人格權屬性的道德價值(moral value),也包含著具有社會屬性的政治價值(political value),前者源于其隱私權屬性的部分,它關乎個人福祉(human well-being)、個人發(fā)展(human development)、創(chuàng)造力(creativity)、自主能力(autonomy)、智力健康(mental health)、人身自由(liberty)。1Helen Nissenbaum, Privacy in Context: Technology, Policy, and the Integrity of Social Life, Stanford University Press, p74.后者源于個人信息的社會屬性的部分,美國政治學者普里西拉·里根(Priscilla Regan)在其著作《隱私的立法保護:技術、社會價值和公共政策》中首次提出,2Priscilla Regan, Legislative Privacy: Technology, Social Values, and Public Policy, University of North Carolina Press, 1995, p211.除具有個人隱私價值外,個人信息同樣具有公共價值(common value)、公開價值(public value)、集體價值(collective value)。包括醫(yī)療、教育、金融交易、就業(yè)和安保等在內的由政府組織規(guī)制的、影響我們生活諸多方面的社會產(chǎn)品,其建立、完善的基礎就是我們的個人健康與醫(yī)療信息、家庭與教育背景、消費與信貸情況、專業(yè)與求職需求,換言之,想要享受公共產(chǎn)品提供的良好服務就必須付出對價的個人信息。而不同于商業(yè)機構以經(jīng)濟效益為先,公共產(chǎn)品的穩(wěn)定與發(fā)展關乎全社會秩序的良好運行,以及每個人的基本生活保障,可以說,個人信息在一定維度上的利益把我們引入社會產(chǎn)品的序列中,這是由社會公共產(chǎn)品的天然屬性決定的,也是個人信息天然具有的社會價值所決定的。

其次,個人信息的公開價值體現(xiàn)為民主性。民主與自由作為一個社會的根本價值決定了我們擁有自由言論、自由社交的權利,而由此產(chǎn)生的個人信息很難被認為是傳統(tǒng)隱私權范疇內的隱私內容?;ヂ?lián)網(wǎng)技術的發(fā)展為言論自由、社交自由提供了更廣闊的空間,我們有在微博等社交平臺上發(fā)聲、留言的需求,我們有通過領英(linkedin)尋找擁有相同教育背景、職業(yè)背景的好友的需要,我們有依賴微信與親人、好友、同事建立聯(lián)絡的需要。我們發(fā)布的文字和圖片、社交平臺上的交友范圍,甚至是一個點贊或轉發(fā),都隱藏著我們的注意力偏好、個人興趣、生活習慣等極為細化的個人信息。這些信息是我們在一定范圍內主動公開的,其支撐著我們的言論與社交。從這一角度看,對個人信息的保護是基于言論自由與社交自由這一基本權利而展開的次級權利需求,即個人信息天然具有公開的價值屬性。

最后,對個人信息的保護是我們作為社會整體的一員,因生活其中而固有的權益份額的一種,這是由我們的社交行為所決定的。普里西拉·里根(Priscilla Regan)對個人信息所具有的集體價值的論述引發(fā)了對第三種社會維度的思考,在此維度內,我們對個人信息的權利就像我們應當擁有干凈的空氣、安全的國防一樣,是作為一項固有的、可見的集體產(chǎn)品而存在的。

(二)個人信息利用的多元需求

個人信息的收集、處理、轉移都以個人信息的利用價值為核心,信息主體、信息收集者、公眾、政府對個人信息的利用均有各自不同的訴求,使得法律對個人信息利用的規(guī)制愈發(fā)復雜。如何正確認識個人信息利用上的不同價值,是調整好其上利益關系的首要基礎,也是個人信息保護的核心所在。

1.信息主體有對信息隱私的保護需求

較諸抽象的法律性質之爭,個人信息在不知情的前提下被收集、在無法控制的領域被使用,甚至被轉移,這些正在一點點侵蝕著我們的人格尊嚴與自由發(fā)展的事實,正是我們所面臨的具體困難。無論個人信息是否具有隱蔽性,是否具有敏感性,無論其與信息主體關聯(lián)遠近,其本身都關乎著我們每個人的生存、發(fā)展與自主決定能力,因此,我們對自己信息的保護需求源于個人信息本身承載的道德價值。大數(shù)據(jù)時代,網(wǎng)絡服務提供商通過收集用戶的信息識別用戶的需求,向用戶提供定向廣告;通過對用戶個人信息的處理對用戶分類化,強制向用戶推行價格分級;通過對用戶信息進行打包整合,將其作為商業(yè)產(chǎn)品販賣給第三方。網(wǎng)絡服務提供商通過對用戶個人信息的再識別和再處理獲取用戶的偏好、習慣甚至醫(yī)療健康等更為敏感的信息,向用戶提供更符合其“口味”的服務和檢索結果,可以說,我們正被動地生活在網(wǎng)絡服務提供商為我們構筑的世界里,被動地接受著他們希望我們接收的信息和服務,我們也越來越意識到了自己正在被動地承受著一步步失去對個人信息的自由控制以及對個人決定的自主選擇的權利。我們開始強烈地意識到自己個人信息的價值,于是,我們開始反抗,我們開始小心地識別信息收集行為,謹慎地對待網(wǎng)絡服務提供商向我們提供的服務。在一個用戶需求主導的市場(intention economy)里,用戶基于隱私保護的需要而不再提供甚至開始提供錯誤的個人需求、個人偏好、個人習慣等相關信息,而網(wǎng)絡服務提供商繼續(xù)基于這些錯誤的信息提供著定向廣告,進行著用戶信息的再識別與轉移,使得整個社會為此付出著大量的無效成本,而這一切都源于我們對個人信息進行保護的基本需求。

2.信息從業(yè)者有對信息利用的商業(yè)需求

個人信息已經(jīng)成為了新型資產(chǎn)。2011年,發(fā)表在世界經(jīng)濟論壇上的重要論文《個人數(shù)據(jù):新型資產(chǎn)的誕生》指出:“個人數(shù)據(jù)將成為新的石油——21世紀極具價值的資源,它將作為一類新型資產(chǎn)出現(xiàn)在社會生活的各個方面。”1“Personal Data: The Emergence of A New Asset Class”, World Economic Forum, (2011).無論是網(wǎng)絡搜索服務提供商、互聯(lián)網(wǎng)電商,還是社交平臺,無不在持續(xù)地收集著我們的個人信息。如今,通過對用戶購買信息的收集和分析,預測用戶可能感興趣的產(chǎn)品并以此提高銷售的模式已被廣泛采用,包括淘寶、京東等在內的網(wǎng)絡電商平臺無不通過對用戶信息的收集和分析構建自己的推薦系統(tǒng)。此外,網(wǎng)絡社交平臺更是以用戶的信息為核心構建發(fā)展起來。仔細思考,無論是微信、微博,還是知乎、領英,如果缺少了我們的個人簡介、照片、教育背景、工作履歷、發(fā)言等內容其就無法為繼。

此外,個人信息的核心在于質量。不同于互聯(lián)網(wǎng)發(fā)展早期通過cookies追蹤個人信息或要求用戶主動提供個人信息的模式,大數(shù)據(jù)時代,網(wǎng)絡服務提供商基于對海量雜亂無章的個人信息進行再識別、再挖掘,大大提高了個人信息的利用價值,大量個人信息的取得是數(shù)據(jù)分析的結果。因此,用戶很難了解網(wǎng)絡服務提供商對自己的個人信息究竟掌握到了何種深度與廣度。大數(shù)據(jù)時代,繼續(xù)遵從傳統(tǒng)的個人信息保護路徑——從信息獲取與信息轉移層面加強用戶的自主控制程度——是無法實現(xiàn)用戶對再識別后的信息的規(guī)制的,而信息收集者也認為該類信息屬于自己和信息主體在交互協(xié)作基礎上共同完成,不應當被信息主體完全控制。2Jerry Kang,“Information Privacy in Cyberspace Transactions,” 50Stanford Law Review1246(1998).顯然,大數(shù)據(jù)時代的信息收集者不僅有對個人信息收集、利用的商業(yè)需求,也希望自己在個人信息的再識別、再加工、重新整合等利用過程中的勞動活動可以獲得相應的法律地位。

3.公眾有對個人信息的獲取和利用需求

個人信息本身的道德價值和公共價值決定了我們對它一體兩面的需求。一方面,我們作為信息的主體,對自己的個人信息有保護的需求;另一方面,我們作為整個社會中的個體,對自己和他人的信息有獲取和利用的需求。身處信息社會的我們,時刻都需要社會提供的信息資源及其以信息為基礎構建起來的公共服務。醫(yī)療、教育、金融等公共產(chǎn)品的有效運營無不是基于廣泛的用戶數(shù)據(jù)的收集與處理,社交平臺、搜索引擎、地圖導航等網(wǎng)絡服務無不需要對我們個人信息進行再識別、再處理。我們需要這些已經(jīng)滲透到我們生活的便捷服務來提高我們的工作效率和生活品質,我們需要這些以收集和處理我們的個人信息為構建基礎的公共產(chǎn)品與網(wǎng)絡服務來滿足我們對整個社會的信息獲取與利用的需求。

4.政府有對個人信息的公共管理需求

政府對個人信息的追蹤、收集、儲存與利用并非始于互聯(lián)網(wǎng)和大數(shù)據(jù)時代,早期的人口普查活動就是政府對個人信息進行收集的主要途徑,這源于個人信息的公共管理價值及政府的公共管理職能。隨著社會人口的不斷增多,社會關系愈發(fā)復雜,政府的管理職能也不斷增強,尤其在信息處理技術、計算機技術與網(wǎng)絡技術飛速發(fā)展的今天,對個人信息的收集、處理與利用已經(jīng)成為提高政府的公共管理能力與范圍的主要手段之一。實際上,政府出于社會保障、公共管理、社會治安、國家安全的需要,長期以來一直都是對個人信息進行追蹤、收集、儲存、利用的主要主體之一。可以說,政府公權力所及之處必然涉及對個人信息的收集、處理和利用。1參見張新寶:《從隱私到個人信息:利益再衡量的理論與制度安排》,《中國法學》2015年第3期。然而,在大數(shù)據(jù)時代,個人信息的收集快捷且豐富,個人信息彼此關聯(lián)性極高,政府通過再識別技術能夠挖掘到的個人信息深且廣,這一方面可以幫助政府有效提高其行使公共管理與國家安全等基本職能的能力,同時也可能產(chǎn)生侵犯公民權利等隱患。政府對公民個人信息的威脅可以是直接的—比如對公民個人信息進行收集、再識別或借助公權力的合法性向平臺索要數(shù)據(jù)等;也可以是間接的,政府在課以平臺義務之時,也可能侵犯平臺的經(jīng)營自主權。質言之,不同于其他信息收集者以商業(yè)用途為導向收集和利用個人信息,政府既具有收集、利用個人信息以維持其公權所必需之固有職能的權力,也有為公眾提供個人信息保障、維護其基本人權以避免結構性不平等的責任。在此過程中,平衡好權力與責任的關系,是政府在對個人信息展開收集、利用,探尋個人信息價值時應有的尺度。

基于上述分析,大數(shù)據(jù)時代的個人信息保護與傳統(tǒng)的以隱私權、人格權為基礎構建的信息保護制度不同,它不僅要為個人創(chuàng)設基本權利,以承接個人信息本身的道德價值與政治價值所需的法律保障,更旨在構建一套平衡信息當事人、信息收集者、第三方信息使用者與公共利益的法律框架。這意味著,我們在強調個人信息的法律保護的同時,也應綜合考量國家、社會、文化的利益,承認大數(shù)據(jù)的巨大價值并將其視為個人信息保護框架的固有組成部分。

(三)從多元價值理念表達和個人信息利用的市場功能實現(xiàn)出發(fā)

1.傳達“保障信息主體的個人信息權及利益相關者對信息共享、使用和轉移的權利和自由”的價值理念,便于個人信息市場中的市場主體根據(jù)信息的不同類別、基于信息利用的不同方式,遵循相應的信息保護規(guī)則

作為確認民事主體的個人信息權利、推進信息市場長期穩(wěn)定發(fā)展的制度,個人信息分類保護制度的設計初衷和價值理念導向即在于“保障信息主體的個人信息權及利益相關者對信息的共享、使用和轉移的權利和自由”,即讓信息主體能自由地利用個人信息保護制度行使相應權利,實現(xiàn)其包括道德上的價值需求和物質上的經(jīng)濟利益在內的各種利益需求。另一方面,讓包括網(wǎng)絡服務提供商、金融機構、政府部門等在內的各類信息收集者可以在法律限定的權限內自由地加工和使用個人信息,實現(xiàn)其包括商業(yè)價值上的需求和政治價值上的需求等各種利益需求。1參見張新寶:《從隱私到個人信息:利益再衡量的理論與制度安排》,《中國法學》2015年第3期。在此價值理念指引下,個人信息分類保護制度的設計應首先關注“便于信息利益相關者基于信息類別遵循相應的規(guī)制原則”這一目的的實現(xiàn)。

然而,在當前信息驅動型經(jīng)濟發(fā)展階段,個人信息領域正遭受著紛繁復雜的利益沖突。2G. MALGIERI, Trade Secrets v. Personal Data: Possible Solutions for Balancing Rights, International Data Privacy Law , February(2016); G. MALGIERI, When Intellectual Capital Meets Personal Data: A Solution for“ Intellectual Privacy” in C.BAGNOLI et al. (eds.),Proceedings of the 8th European Conference on Intellectual Capital, Academic Conferences and Publishing International Limited, Reading(UK), 2016, pp. 164-172.個人信息不再僅僅是信息個體特性的表達方式,更多地是作為公司和消費者之間關系的一項經(jīng)濟元素而存在。3Gianclaudio Malgieri,“Property and (Intellectual) Ownership Consumers’ Information: A New Taxonomy for Personal Data”,Privacy in German-PinG. N. 4, 2016, p133 f f.換言之,對個人信息的分類應當采用雙向的利益需求模式。一方面,針對信息主體的道德價值需求和經(jīng)濟利益需求,將不同信息的識別程度和風險系數(shù)納入信息分類標準的考量范圍;另一方面,針對其他信息利益相關者的商業(yè)價值需求,將信息收集者、加工者在信息產(chǎn)生過程中的作用納入信息分類標準的考量范圍。

2.便于充分發(fā)揮不同類型信息的價值功能,調動信息從業(yè)者進行信息保護的積極性,推動信息市場的健康發(fā)展

除保障信息主體通過個人信息的形式工具最大限度地實現(xiàn)信息流轉意愿、滿足信息市場中的各類主體對個人信息的利益需求,個人信息分類保護制度的另一個重要功能價值就在于,從國家整體利益出發(fā),通過對不同類型的個人信息制度規(guī)則的設立,最大限度地調動信息從業(yè)者進行信息保護的積極性,引導和刺激各類型個人信息的流動及價值最大化,促進信息市場整體的和諧發(fā)展。

傳統(tǒng)的個人信息保護模式主要采用統(tǒng)一立法的模式,對敏感信息以外的個人信息進行不加區(qū)分的規(guī)制。美國著名隱私法學者達尼爾·索洛夫(Danile Solove)依據(jù)個人信息的識別度將其分為只具有抽象識別可能性的個人信息(identifiable personal information)和具有確實可識別性的個人信息(identified personal information),歐盟的《一般數(shù)據(jù)保護條例》(General Data Protection Regulation)也是基于此種分類定義了個人信息的意涵信息,將上述兩類個人信息均納入個人信息法的保護框架,而美國則采取了限定保護模式,僅對后者予以規(guī)制。可以說,在個人信息的保護范圍上,歐盟相較于美國更為寬泛,保護更為全面;在個人信息的保護程度上,歐盟相較于美國對信息收集者及其他利用者課以更嚴格的責任。我國《網(wǎng)絡安全法》第76條第5款對個人信息的界定表明,未來我國個人信息保護法傾向于歐盟模式,將可以單獨識別出信息主體以及與其他信息結合后方可識別出信息主體的各類信息均納入法律保護范圍。我們在這里有必要提出疑問,我國是否應當對上述信息進行不加區(qū)分的嚴苛規(guī)制?更進一步講,對所有個人信息采取同等程度的保護規(guī)則是否具有現(xiàn)實的可行性?信息收集者和使用者是否有動機保護那些通過自己的數(shù)據(jù)分析挖掘出的用戶信息?答案顯然是否定的。一味要求信息收集者對這些識別度不高、危險系數(shù)較小、用戶參與程度較低的信息遵循相同的信息規(guī)制原則,不僅存在現(xiàn)實的困難,也不利于個人信息的流動及價值最大化。

對不同類型個人信息加以區(qū)分,是將國家對信息市場應然運行秩序的期許表達于法律規(guī)則之上的重要手段。只有基于信息的目的和功能,對不同類型的個人信息確立不同的規(guī)制準則,對不同類型信息的利益相關者課以相應的權利義務規(guī)范,國家才能在保障信息主體依法追求自身利益的同時,調動信息從業(yè)者進行用戶信息保護的積極性,引導并促進不同類型的信息在市場中健康有序流動,使其在經(jīng)濟發(fā)展和社會運行機制中發(fā)揮應有的功用。

二、個人信息分類保護制度的外部基礎

(一)實現(xiàn)個人信息保護體系的周延性和自足性

1.傳統(tǒng)信息保護模式的局限性

個人信息的根本屬性決定了信息的有用性與隱私性呈負相關,1Paul Ohm,“Broken Promises of Privacy: Responding to the Surprising Failure of Anonymization”, Ucla Law Review, 1705(2010).一項信息只要是有價值的,就一定是有識別度的。毫不夸張地說,一項用戶信息只要能夠被網(wǎng)絡服務商利用、儲存或轉移,就必將成為在一定情景下可以識別到用戶主體的個人信息。反之,此類信息即使被收集,也會遭到毀棄,法律也毋需浪費立法和執(zhí)法成本對其加以保護。個人信息保護法與其說是以個人信息為保護對象,不如講是在規(guī)制他人對個人信息的非法收集、利用、存儲和轉移的行為,而此類行為的對象必然是在一定程度上具有識別度的個人信息。更進一步講,所謂的“不具有識別度”只是一個暫時而不穩(wěn)定的狀態(tài),2Omer Tene, Jules Polonetsky,“Big Data for All: Privacy and User Control in the Age of Analytics”, 11(5)Northwestern Journal of Technology and Intellectual Property 257(2013).該信息一旦與相匹配的外部信息結合,就必然具有了識別度。

上述分析發(fā)展出了一個值得深思的議題:個人信息保護法是否應當僅以識別度界定“個人信息”的內涵和外延,更進一步講,是否真的存在所謂的“非個人信息”?就個人信息保護法的規(guī)制對象而言,答案顯然是否定的。立法者無法在不影響個人信息的使用性的同時提高對個人信息隱私性的保護,信息使用性能的增加必然伴隨著對信息主體隱私的減損。個人信息保護法所規(guī)制的,正是信息收集者、利用者所需要的、有價值的個人信息,同時也是信息主體所擔心的、其泄露和流轉可能影響個人權益的信息。因此,只要是被信息收集者所收集和利用的用戶信息,法律均應予以保護,毋需辨析其是否具有識別度。推而論之,一項信息是否具有識別度,不是立法者需要判斷的問題——立法者也沒有能力進行判斷,信息的收集者、使用者自會給出結論,信息流轉市場會給出最真實的反饋。

上述分析暴露出了當前法律對個人信息進行保護時存在的固有問題和缺陷,僅以識別度(identified information and identifiable information)作為劃定一項信息是否應當被納入法律保護的范疇標準,不僅提高了執(zhí)法成本,使執(zhí)法者被迫承擔辨別信息是否匿名的職責,更使大量所謂“非個人信息”陷入法律保護的真空地點,為信息加工者“在法律的陰影下討價還價”(bargaining in the shadow of the law)提供了溫床。3Robert H. Mnookin and Lewis Kornhauser,“ Bargaining in the Shadow of the Law: The Case of Divorce”, 88 Yale Law Journal ,950-997(1979).

2.大數(shù)據(jù)技術對個人信息保護的沖擊

依據(jù)馬丁·希爾伯特(Martin Hilbert)的總結,大數(shù)據(jù)技術是在2000年以后,基于信息交換、信息儲存和信息處理三方面能力的巨幅增強而產(chǎn)生的,1Martin. Hilbert,“Big Data for Development: A Review of Promises and Challenges”34(1)Development of Policy Review 135-147(2016).技術的量的積累最終引發(fā)大數(shù)據(jù)這個質的飛躍。具體而言,首先,通訊和網(wǎng)絡寬帶技術的發(fā)展使海量信息能夠以極快的速度被收集和獲取;其次,計算機存儲量的大幅增長使被收集的信息可以便捷、長久地存儲、使用和轉移;最后,信息整合、轉換、分類能力的增強提高了信息加工者對海量信息進行識別、再識別的能力。

信息質量的提高離不開信息量的累積。大數(shù)據(jù)時代,用戶信息呈現(xiàn)出海量性、多維度性和完備性。隨著用戶信息被大規(guī)模收集,信息彼此之間關聯(lián)性得到極大增強。例如,一份單獨的微信用戶和ID列表雖然很有價值,但是無法輕易地轉換成完整的用戶信息,而京東、滴滴等軟件在微信中的嵌入,讓用戶在進行微信社交的同時可以輕易地完成網(wǎng)絡購物、網(wǎng)絡打車等日常需求,與此同時,用戶的消費偏好、地理位置等數(shù)據(jù)和微信用戶的ID、社交行為關聯(lián)起來。多維度的用戶信息是信息完備性的基礎,通過不同渠道采集的大量用戶信息被有效地整合,一份相對完整的微信用戶個人信息呈現(xiàn)在了商家面前。對于相對零散、無法輕易識別到信息主體的用戶信息,只要結合豐富的外部信息(outside infomration),通過交叉驗證等途徑就可以輕易地被再識別。

信息質量在很大程度上取決于其對信息主體的描述程度與剖面,大數(shù)據(jù)技術通過對用戶信息的深入挖掘、整合與再識別,使我們的個人信息越發(fā)完整、細密地呈現(xiàn)在商家面前,面對不斷加深的識別程度、不斷擴大的識別范圍,我們不得不懷疑,是否還存在不具有識別度的個人信息。事實上,大數(shù)據(jù)技術早已令“非個人信息”逃無可逃。

3.個人信息分類保護模式兼具周延性與自足性

個人信息的分類保護模式從信息保護的目的和功能之差異出發(fā),揭示了不同信息在識別度、風險系數(shù)、信息收集者的參與程度等更深層次的根本區(qū)別,通過“非此即彼”的語言表達方式,可以建構起一個邏輯清晰且涵蓋全面的個人信息保護體系。不同類別的個人信息的區(qū)別不僅表現(xiàn)在信息類別設定目的和規(guī)制功能的不同,以及由此帶來的設定原則、規(guī)制依據(jù)、保護程度等表面性的區(qū)別,其更深層次的根本區(qū)別在于,由信息的產(chǎn)生方式和利用價值的不同所決定的信息識別度、風險系數(shù)、信息主體與收集者的參與程度的差異。

此外,傳統(tǒng)的個人信息保護模式具有令人遺憾的通用性不足,隨著大數(shù)據(jù)技術的發(fā)展,一項信息中的“已經(jīng)識別”以及“可以直接或間接識別”的元素范圍不斷擴大,法律將愈發(fā)地難以清晰勾勒出個人信息和非個人信息的邊界。事實上,已經(jīng)有學者注意到,如今,個人信息與非個人信息的區(qū)別已經(jīng)越發(fā)模糊,2Ira S. Rubinstein,“Big Data: The End of Privacy or a New Beginning?”, 1International Data Privacy Law 25(2013).數(shù)據(jù)挖掘技術可以輕易地從大量個人信息與非個人信息混雜的信息池中提取出有價值的、新的內容,這也給法律規(guī)制造成一個兩難的局面:在保護個人信息的同時,對于那些通過數(shù)據(jù)挖掘可以產(chǎn)生新信息的非個人信息,法律是否需要予以保護,如果需要,這些非個人信息是否應當?shù)玫胶蛡€人信息同等程度的保護。3Ibid.因此,采用個人信息分類保護模式,不僅能充分表明信息保護的目的、功能、識別度、風險系數(shù)、信息主體和收集者的參與程度等區(qū)別之外,還能借助“非此即彼”的表達方式,避免出現(xiàn)其他保護模式下無法規(guī)范中間地帶個人信息的不足。

(二)明晰不同個人信息之間的根本差異

傳統(tǒng)的個人信息分類標準主要是以信息客體的差異及日常生活的情景和社交關系作為分類標準,1例如:將信息分為:(1)商業(yè)性信息;(2)個人資源性信息;(3)研究性信息(市場或其他);(4)旅行信息;(5)醫(yī)療健康信息。Y.Poullet et al,“Safe Harbor Decision Implementation Study, Namur”, 19 April 2004.例如:基本信息、醫(yī)療健康信息、基因信息、生物識別信息、商業(yè)信息、金融信息等??梢哉f,以信息客體的不同構建個人信息分類保護模式是當前歐洲和美國普遍采用的立法模式。2Paul. Schwartz, Daniel Solove, Reconciling Personal Information in the United States and European Union, 102 Cal. L. Rev.877(2014) .

上述分類模式看似是明晰各類信息之間根本差異的完美路徑,實際上卻存在著“正當性”和“有效性”的雙重不足。在以信息資源為驅動力的經(jīng)濟市場中,不同內容的信息之間彼此關聯(lián)性極強,信息利用者不分內容地收集和使用著各類用戶信息。例如,保險公司通過收集用戶的身體狀況、生活習慣、心里健康等信息來預測其壽命和保險風險,這種預測性信息很難被明確屬于醫(yī)療健康信息還是商業(yè)信息;銀行等金融機構也在不斷收集用戶的家庭成員及交友狀況等社交信息來評估用戶的信譽等級,3參見 [美]弗蘭克·派斯奎爾:《黑箱社會:控制金錢和信息的數(shù)據(jù)法則》,趙亞男譯,中信出版社2015年版,第143-190頁;b. Reddix-Smalls,“Credit Scoring and Trade Secret: An Algorithmic Quagmire or How the Lack of Transparency is Complex Financial Models Scuttled the Finance Market”, 12U.C. DAVIS BUS L.J. 87(2011).而這些究竟屬于用戶的基本信息還是金融信息也難以被劃定清晰。換言之,以信息的客體內容作為信息分類的標準在理論上存在巨大的漏洞。除了上述“正當性”的缺失,這一模式還飽受實施“有效性”的質疑。一方面,它缺乏或者說難以構筑具體的規(guī)制細則,以至于雖有信息分類之名卻未能觸及信息分類保護的價值和目的。另一方面,該分類試圖回避或無視有關信息權利歸屬以及相關利益劃分等實質性議題,無法從根本上解決個人信息市場的困境。

民法在構建個人信息保護制度時,首先應當考慮的是如何更好地讓個人信息這一客體參與到大數(shù)據(jù)時代的民事法律關系中,如何降低信息主體與外部當事人的交易成本與風險,如何確保信息的相關利益主體進行民事交往的安全與穩(wěn)定等問題。因此,個人信息種類的根本差異應著眼于該信息在社會經(jīng)濟生活中的產(chǎn)生方式和使用功能的差異。正因為各類信息產(chǎn)生方式和使用功能上的特殊性,才使得它們的收集、使用、加工、轉移的范圍和規(guī)則不可能等同化一。換言之,同樣是個人信息,個人的姓名、身份證號等基本信息和醫(yī)療健康等敏感信息,在收集途徑、使用限制、向第三方轉讓規(guī)則、救濟方式上應該有所區(qū)別;同樣是敏感信息,不管是金融信用信息還是基因生物信息,不同類別的收集者擁有不同的信息收集和使用權限;而同樣是個人的基本身份信息,不管是家庭住址還是教育背景,在信息收集和轉讓程序上都應當遵循同樣的活動準則。所以,依照個人信息保護的產(chǎn)生方式和使用功能這一根本差異進行的分類無疑更加契合民法主體的功能要求?;诖?,本文提出應當從個人信息的識別程度、風險系數(shù)、信息收集者的參與程度三個維度明確不同類型信息之間的根本差異。

1.識別程度。一直以來,識別度都被認為是個人信息衡量和界定的主要途徑,這與個人信息本身的性質是分不開的。由于信息的識別程度與信息的價值成正相關,因此識別度高的信息其經(jīng)濟價值也就越高。而大數(shù)據(jù)技術的發(fā)展使信息的數(shù)量與識別度形成了緊密的相關性,只要信息收集實現(xiàn)了一定量的累積,該信息就必將具有識別度。

2.風險系數(shù)。降低個人信息在流轉和使用過程中的風險是個人信息保護法的基本目標之一,而信息的潛在風險程度與信息本身的屬性緊密相連。一方面,信息的識別程度越高,風險系數(shù)也就越高;另一方面,個人信息中涉及敏感隱私的部分屬于高風險系數(shù)類別,其保護應該得到強化,個人的人格自由和人格尊嚴應該得到更高水平的保護。1參見張新寶:《從隱私到個人信息:利益再衡量的理論與制度安排》,《中國法學》2015年第3期。

3.信息收集者的參與程度。信息收集者與所產(chǎn)生的信息之間的關系存在由弱到強的漸進過程。當信息的收集方式是由信息主體主動提供時,信息收集者在信息的生產(chǎn)環(huán)節(jié)參與度極低;而當某類信息的產(chǎn)生有待于將核心信息與外部信息相結合時,收集者的作用開始凸顯;一旦該信息是由信息收集者通過大數(shù)據(jù)技術進行挖掘、整理獲得的推測性信息,可以認為信息收集者的參與程度達到了較高的水平。

(三)保證個人信息在市場中的開放性和流動性

個人信息保護制度不僅是保護信息主體利益的法律制度,更是信息市場參與者的行為準繩。無論是歐盟自上而下的統(tǒng)一立法模式,還是美國自下而上分散立法模式,都在強化個人信息保護與促進信息流動之間存在固有的矛盾。歐盟保護模式下,信息收集者、利用者對具有不同識別度的個人信息均需承擔嚴苛的責任;而美國保護模式相對靈活與松散,卻沒有形成一套針對個人信息保護的行之有效的機制。

在當前信息驅動型的經(jīng)濟發(fā)展階段,對個人信息保護制度的設計要傾向于促進社會信息的交流和溝通。一方面,為了促進信息的流動、整合與利用,應當弱化對個人信息利益的單向保護;另一方面,為防止具有壟斷地位的市場主體出于私利對其他主體獨占的信息利益過度擠壓,應構建合作性的個人信息市場新秩序。基于此,立法者應當避免對個人信息進行“一刀切”的保護模式,重新平衡用戶和數(shù)據(jù)從業(yè)者以及其他信息利益相關者之間復雜的利益關系。2參見龍衛(wèi)球:《數(shù)據(jù)新型財產(chǎn)權構建及其體系研究》,《政法論壇》2017年第4期。傳統(tǒng)的不加區(qū)分的信息保護模式對信息從業(yè)者而言,不僅具有操作上的現(xiàn)實困難,也難以調動其加強信息保護投入的積極性。對信息市場整體而言,傳統(tǒng)的信息保護模式著眼于微觀,以單一的、靜態(tài)的個人信息為保護對象,以信息主體的單向利益為優(yōu)先考量;未來,個人信息保護應當立足于信息市場的整體發(fā)展,構建動態(tài)、開放的個人信息規(guī)制機制。

個人信息分類保護制度通過對不同類別的信息予以不同程度的保護,構建一套信息主體與信息從業(yè)者雙向利益驅動的、兼具開放性與流動性的個人信息法律體系。分類制度在最大程度保護個人信息的同時,有針對性的放寬對某些類別信息的規(guī)制,尤其是綜合考量信息收集者在信息的產(chǎn)生、加工過程中的努力程度,在明確信息從業(yè)者剛性義務的同時也賦予其以彈性權利。

猜你喜歡
收集者保護模式個人信息
“收集者”、“拼接術”與中間狀態(tài)的人生
如何保護勞動者的個人信息?
工會博覽(2022年16期)2022-07-16 05:53:54
個人信息保護進入“法時代”
貓科動物的保護色
雨水收集者
花城(2020年3期)2020-07-30 09:56:31
警惕個人信息泄露
綠色中國(2019年14期)2019-11-26 07:11:44
論網(wǎng)絡游戲著作權的保護模式及其侵權判定標準
凡你目光所及之處就是美的
哲思(2017年7期)2017-10-10 01:56:11
網(wǎng)絡運營者不得泄露個人信息
CBD體系下傳統(tǒng)知識保護模式研究
布拖县| 罗甸县| 容城县| 敦煌市| 安多县| 太仆寺旗| 辽宁省| 曲松县| 阳高县| 连江县| 张掖市| 沛县| 湘潭市| 呼和浩特市| 合作市| 永泰县| 将乐县| 和龙市| 大埔区| 竹北市| 天祝| 高清| 纳雍县| 济源市| 盖州市| 昭觉县| 赣榆县| 历史| 沙坪坝区| 遂溪县| 侯马市| 张家界市| 怀柔区| 石城县| 渭源县| 溧水县| 井研县| 秀山| 伊春市| 砀山县| 塔河县|