江 波

一、 合理使用原則的提出

大數(shù)據(jù)產(chǎn)業(yè)發(fā)展伴隨著諸多的挑戰(zhàn)，法律對(duì)個(gè)人權(quán)利和數(shù)據(jù)控制者權(quán)利保護(hù)的缺位，乃至失衡，勢(shì)必影響大數(shù)據(jù)產(chǎn)業(yè)的健康發(fā)展。面對(duì)這些問(wèn)題，我們急需結(jié)合我國(guó)數(shù)據(jù)產(chǎn)業(yè)發(fā)展和個(gè)人信息保護(hù)現(xiàn)狀，從法律層面理清個(gè)人信息保護(hù)與使用的關(guān)系，在現(xiàn)有以同意原則為核心的個(gè)人信息保護(hù)規(guī)則上，找到促進(jìn)數(shù)據(jù)產(chǎn)業(yè)健康發(fā)展和保護(hù)信息主體權(quán)利的平衡點(diǎn)。從世界范圍看，個(gè)人信息保護(hù)制度迎來(lái)新一輪改革，自2010年以后，歐盟、日本等各國(guó)個(gè)人信息保護(hù)立法和相關(guān)國(guó)際條約都進(jìn)入修改和完善期，此前沒(méi)有制定一部統(tǒng)一個(gè)人信息保護(hù)法的國(guó)家也在這個(gè)階段頒布了統(tǒng)一立法。當(dāng)前信息經(jīng)濟(jì)強(qiáng)勢(shì)發(fā)展，個(gè)人信息的挖掘、分析呈現(xiàn)出規(guī)?；睦泌厔?shì)，制定一部統(tǒng)一的保護(hù)個(gè)人信息權(quán)利，促進(jìn)數(shù)據(jù)使用、流動(dòng)的法律的呼聲越來(lái)越高，對(duì)個(gè)人信息收集、使用、存儲(chǔ)等各環(huán)節(jié)進(jìn)行規(guī)范是勢(shì)在必行的趨勢(shì)。個(gè)人信息主體權(quán)利與數(shù)據(jù)使用者的利益平衡需要在大數(shù)據(jù)時(shí)代的法律規(guī)則中得到反映。

在研究現(xiàn)有立法與行業(yè)實(shí)踐的基礎(chǔ)上，嘗試以個(gè)人信息主體與數(shù)據(jù)控制者之間的利益平衡為切入點(diǎn)，剖析同意原則的理論基礎(chǔ)及面臨的現(xiàn)實(shí)困境，從大數(shù)據(jù)時(shí)代發(fā)展現(xiàn)實(shí)需求、法律借鑒等角度提出合理使用原則，具有正當(dāng)性、合理性和理論、現(xiàn)實(shí)意義。透過(guò)歐盟等國(guó)家的現(xiàn)有法律制度分析數(shù)據(jù)使用的合法基礎(chǔ)，不難發(fā)現(xiàn)有突破同意原則的現(xiàn)象，存在除同意以外的其他可以進(jìn)行數(shù)據(jù)處理的合法事由，而解析諸多事由，均是出于合理使用之目的。而出于商業(yè)秘密等知識(shí)產(chǎn)權(quán)保護(hù)的顧慮，各國(guó)法律也從一定程度上對(duì)同意原則進(jìn)行了減損。進(jìn)一步地，筆者通過(guò)觀(guān)察國(guó)際條約和各國(guó)法律提出的數(shù)據(jù)管理、個(gè)人信息風(fēng)險(xiǎn)評(píng)估/隱私影響評(píng)估、經(jīng)設(shè)計(jì)的隱私、個(gè)人參與和控制等規(guī)則，探索和解讀其對(duì)保護(hù)個(gè)人信息和數(shù)據(jù)使用正當(dāng)利益所起的作用，理清合理使用原則與這些規(guī)則之間的關(guān)聯(lián)關(guān)系，以期將合理使用原則構(gòu)筑、充實(shí)成為保護(hù)個(gè)人信息權(quán)利，促進(jìn)數(shù)據(jù)合理使用的基本原則。從大數(shù)據(jù)時(shí)代促進(jìn)數(shù)據(jù)流動(dòng)的制度構(gòu)建出發(fā)，提出在對(duì)數(shù)據(jù)使用的場(chǎng)景進(jìn)行充分風(fēng)險(xiǎn)評(píng)估后可無(wú)須經(jīng)權(quán)利主體同意為之處理，此種處理也構(gòu)成合理使用。

二、 合理使用原則的價(jià)值

(一) 時(shí)代價(jià)值

將合理使用原則應(yīng)用于個(gè)人信息保護(hù)與數(shù)據(jù)使用領(lǐng)域，是大數(shù)據(jù)時(shí)代數(shù)據(jù)流通和使用的現(xiàn)實(shí)訴求，需要得到法律層面的反映。在大數(shù)據(jù)時(shí)代背景下，保護(hù)個(gè)人信息，不等于禁止個(gè)人信息的使用、開(kāi)放和共享，在數(shù)據(jù)使用高需求的大數(shù)據(jù)產(chǎn)業(yè)背景下，禁止個(gè)人信息的使用、開(kāi)放和共享無(wú)疑會(huì)扼殺信息社會(huì)進(jìn)一步發(fā)展的可能性。個(gè)人信息保護(hù)法應(yīng)然地具備保護(hù)個(gè)人信息的目的，除此之外，個(gè)人信息保護(hù)的目的還在于促進(jìn)個(gè)人信息的合法流通和使用。*齊愛(ài)民、盤(pán)佳： 《數(shù)據(jù)權(quán)、數(shù)據(jù)主權(quán)的確立與大數(shù)據(jù)保護(hù)的基本原則》，載《蘇州大學(xué)學(xué)報(bào)(哲學(xué)社會(huì)科學(xué)版)》2015年第1期。例如，臺(tái)灣的相關(guān)立法就緊扣了時(shí)代主題，其《個(gè)人資料保護(hù)法》將保護(hù)個(gè)人信息和促進(jìn)個(gè)人信息的合理使用、流通作為立法的雙重目的。在人類(lèi)逐漸步入大數(shù)據(jù)時(shí)代，理清個(gè)人信息保護(hù)與使用之間的關(guān)系，找到平衡兩者利益關(guān)系的方法和原則，將影響整個(gè)信息社會(huì)發(fā)展的方向、深度和廣度。保護(hù)個(gè)人信息主體之個(gè)人信息不受非法獲取、使用的重要性自不待言，而從促進(jìn)數(shù)據(jù)使用的角度看個(gè)人信息保護(hù)，也是從大數(shù)據(jù)時(shí)代的發(fā)展眼光去看待個(gè)人信息保護(hù)問(wèn)題，是大數(shù)據(jù)時(shí)代個(gè)人信息保護(hù)立法的應(yīng)有態(tài)度，即強(qiáng)調(diào)數(shù)據(jù)的合理使用。

(二) 利益平衡與指導(dǎo)制度設(shè)計(jì)價(jià)值

個(gè)人信息主體與數(shù)據(jù)控制者間的利益關(guān)系，是在當(dāng)前立法、司法中需要協(xié)調(diào)和平衡的核心法律關(guān)系，平衡核心法律關(guān)系的原則是知情同意。然而大數(shù)據(jù)時(shí)代的數(shù)據(jù)二次利用、多環(huán)節(jié)流轉(zhuǎn)特點(diǎn)將使得知情同意原則發(fā)揮的作用越來(lái)越有限。合理使用原則的引入有利于上述現(xiàn)狀及問(wèn)題的解決，以該原則為基石構(gòu)建的立法規(guī)則體系具有更強(qiáng)的實(shí)踐價(jià)值。

觀(guān)察歐盟和美國(guó)相關(guān)立法，個(gè)人信息保護(hù)的規(guī)則事實(shí)上都從規(guī)范數(shù)據(jù)控制者個(gè)人信息處理活動(dòng)出發(fā)，換言之，實(shí)現(xiàn)保護(hù)個(gè)人信息的立法目的，很大程度上取決于對(duì)個(gè)人信息處理活動(dòng)的規(guī)范，個(gè)人信息使用與以使用為目的的相關(guān)處理是否構(gòu)成合理使用，是判斷個(gè)人信息保護(hù)相關(guān)規(guī)則是否有效的重要原則，對(duì)大數(shù)據(jù)時(shí)代約束數(shù)據(jù)二次利用、多環(huán)節(jié)流轉(zhuǎn)有重要的現(xiàn)實(shí)意義。歐盟的《一般數(shù)據(jù)保護(hù)條例》及其被遺忘權(quán)等系列案例都已體現(xiàn)或運(yùn)用了合理使用的理念，《一般數(shù)據(jù)保護(hù)條例》規(guī)定了無(wú)須征求用戶(hù)同意而進(jìn)行數(shù)據(jù)使用的例外條款，數(shù)據(jù)控制者的商業(yè)秘密、知識(shí)產(chǎn)權(quán)等合法權(quán)利對(duì)個(gè)人信息權(quán)利可起到限制作用，無(wú)一不體現(xiàn)了合理使用的理念。更進(jìn)一步地，將合理使用理念具化為原則，可對(duì)相關(guān)立法規(guī)則制定、司法判決起到更好的指導(dǎo)作用，實(shí)現(xiàn)個(gè)人信息保護(hù)與使用的利益平衡目的。

大數(shù)據(jù)產(chǎn)業(yè)健康發(fā)展離不開(kāi)對(duì)數(shù)據(jù)相關(guān)權(quán)利主體利益的明晰和權(quán)利邊界的劃定，法律對(duì)各方主體、各項(xiàng)權(quán)利的充分保障起到至關(guān)重要的作用。數(shù)據(jù)權(quán)利保障是大數(shù)據(jù)產(chǎn)業(yè)有序發(fā)展的前提和基礎(chǔ)，內(nèi)含了保障個(gè)人信息權(quán)和數(shù)據(jù)相關(guān)權(quán)利之義，即保護(hù)個(gè)人信息主體和保護(hù)數(shù)據(jù)控制者利益。從當(dāng)前立法和司法保護(hù)環(huán)境看，相關(guān)權(quán)利保護(hù)領(lǐng)域都產(chǎn)生了一些新變化和趨勢(shì)。總體而言，立法、司法層面都越來(lái)越多地體現(xiàn)出對(duì)個(gè)人權(quán)利保護(hù)的重視，然而，遺憾的是，對(duì)數(shù)據(jù)控制者的數(shù)據(jù)相關(guān)權(quán)利保護(hù)僅僅體現(xiàn)在少量的司法判決中，立法保護(hù)鮮而有之。這不利于平衡個(gè)人和數(shù)據(jù)控制者利益關(guān)系，對(duì)個(gè)人的過(guò)重傾斜保護(hù)，可能導(dǎo)致阻滯大數(shù)據(jù)產(chǎn)業(yè)發(fā)展的嚴(yán)重后果。在這樣的立法背景下，確立合理使用這一原則顯得尤為必要。以下對(duì)相關(guān)立法背景進(jìn)行具體分析。

20世紀(jì)末期，個(gè)人信息保護(hù)的問(wèn)題開(kāi)始受到國(guó)際組織關(guān)注，經(jīng)濟(jì)合作與發(fā)展組織(Organization for Economic Co-operation and Development，以下簡(jiǎn)稱(chēng)“OECD”)在1980年制定了《隱私保護(hù)與個(gè)人數(shù)據(jù)跨境流動(dòng)的指導(dǎo)方針》(Guidelines on the Protection of Privacy and Transborder Flows of Personal Data)，旨在加強(qiáng)隱私保護(hù)，促進(jìn)個(gè)人數(shù)據(jù)跨境流動(dòng)，確立了隱私保護(hù)的八項(xiàng)原則，并為各國(guó)立法廣泛采納。亞太經(jīng)合組織(Asia Pacific Economic Cooperation，以下簡(jiǎn)稱(chēng)“APEC”)在2004年通過(guò)了《隱私權(quán)保護(hù)綱領(lǐng)》(APEC Privacy Framework)，旨在保護(hù)隱私、促進(jìn)信息流動(dòng)、建立全球化數(shù)據(jù)處理標(biāo)準(zhǔn)程序和促進(jìn)執(zhí)法，以推廣亞太地區(qū)的電子商務(wù)。世界各國(guó)也逐漸意識(shí)到個(gè)人信息立法中平衡個(gè)人和數(shù)據(jù)控制者利益的重要性，紛紛開(kāi)啟立法篇章。*周漢華： 《個(gè)人信息保護(hù)研究叢書(shū)之3： 中華人民共和國(guó)個(gè)人信息保護(hù)法及立法研究報(bào)告》，法律出版社2006年版，第25～40頁(yè)。

1． 20世紀(jì)80年代—90年代，個(gè)人信息問(wèn)題受到普遍關(guān)注，相關(guān)立法主要規(guī)范政府機(jī)構(gòu)

在此階段，美國(guó)、加拿大、澳大利亞、日本都制定了隱私法，除美國(guó)在金融、消費(fèi)者保護(hù)、未成年人保護(hù)、網(wǎng)絡(luò)隱私保護(hù)領(lǐng)域較早進(jìn)行立法，規(guī)范商業(yè)機(jī)構(gòu)數(shù)據(jù)處理行為以外，其他國(guó)家的法律均只規(guī)范政府機(jī)構(gòu)對(duì)個(gè)人數(shù)據(jù)進(jìn)行處理的行為。

2. 21世紀(jì)00年代—10年代，個(gè)人信息立法規(guī)范重心轉(zhuǎn)向商業(yè)機(jī)構(gòu)

1995年歐盟率先開(kāi)始個(gè)人信息保護(hù)立法，我國(guó)臺(tái)灣和香港地區(qū)也在同時(shí)期頒布了個(gè)人信息保護(hù)法，歐盟之下的德國(guó)和英國(guó)、法國(guó)、瑞典亦先后制定了數(shù)據(jù)保護(hù)法。*王利明： 《隱私權(quán)概念的再界定》，載《法學(xué)家》2012年第1期，第108～120頁(yè)。這些立法都適用于政府機(jī)構(gòu)和商業(yè)機(jī)構(gòu)，但有的國(guó)家在同一套法律體系中規(guī)定了分別適用于政府機(jī)構(gòu)和商業(yè)機(jī)構(gòu)的兩套規(guī)則。上述已提及，加拿大、日本、澳大利亞的法律之前只規(guī)范政府機(jī)構(gòu)對(duì)個(gè)人數(shù)據(jù)進(jìn)行處理的行為，直到2000年左右，這些國(guó)家才重新立法，或在原有法律基礎(chǔ)上擴(kuò)展立法，將其適用于商業(yè)機(jī)構(gòu)。

3. 2010年至今，大數(shù)據(jù)時(shí)代個(gè)人信息立法進(jìn)入新一輪修法階段

近幾年，個(gè)人信息保護(hù)立法進(jìn)入新的修法高潮，這一時(shí)期的立法更加與大數(shù)據(jù)發(fā)展的時(shí)代主題緊扣，并隨著技術(shù)和商業(yè)發(fā)展設(shè)定了被遺忘權(quán)、數(shù)據(jù)可攜權(quán)等新型權(quán)利。個(gè)人數(shù)據(jù)在經(jīng)濟(jì)、社會(huì)和生活中扮演越來(lái)越重要的角色，數(shù)據(jù)相關(guān)的技術(shù)促進(jìn)經(jīng)濟(jì)增長(zhǎng)、增進(jìn)社會(huì)福祉。個(gè)人數(shù)據(jù)收集、使用和儲(chǔ)存大量且持續(xù)地增長(zhǎng)。利用數(shù)據(jù)洞察和分析個(gè)人行為、興趣和活動(dòng)越來(lái)越普遍。與此同時(shí)，人的行為大量、輕易地以數(shù)據(jù)的形式被記錄下來(lái)，個(gè)人數(shù)據(jù)利用可能引發(fā)的隱私風(fēng)險(xiǎn)越來(lái)越大，*See Supplementary Explanatory Memorandum to The Revised Recommendation of The Council Concerning Guidelines Governing The Protection of Privacy and Transborder Flows of Personal Data (2013)，p.10.個(gè)人信息保護(hù)問(wèn)題受到更為廣泛的重視，因此，修訂個(gè)人信息法律或國(guó)際隱私框架以順應(yīng)大數(shù)據(jù)時(shí)代發(fā)展，為OECD等國(guó)際組織和許多國(guó)家提上修法議程，并業(yè)已獲得通過(guò)。

國(guó)際約定層面，OECD在2013年修改了《隱私保護(hù)與個(gè)人數(shù)據(jù)跨境流動(dòng)的指導(dǎo)方針》，引入隱私管理計(jì)劃、違反安全信息通知、國(guó)家隱私戰(zhàn)略、教育和宣導(dǎo)和國(guó)際協(xié)作等概念，跨太平洋伙伴關(guān)系協(xié)定(Trans-Pacific Partnership Agreement，以下簡(jiǎn)稱(chēng)“TPP”)在電子商務(wù)一章中專(zhuān)節(jié)規(guī)定了個(gè)人信息保護(hù)，就TPP各國(guó)如何進(jìn)行個(gè)人信息保護(hù)、跨境數(shù)據(jù)傳輸和計(jì)算設(shè)施的存放安排等進(jìn)行了規(guī)定。歐美之間在2000年達(dá)成的數(shù)據(jù)安全港協(xié)議更是被歐盟法院推翻，并在2017年達(dá)成新的歐美隱私盾牌協(xié)議(以下簡(jiǎn)稱(chēng)“隱私盾”)，隱私盾對(duì)歐美之間跨境數(shù)據(jù)傳輸過(guò)程中的個(gè)人信息保護(hù)提出了更高的要求。

商務(wù)英語(yǔ)屬于英語(yǔ)的分支，主要作用是為商務(wù)活動(dòng)的展開(kāi)提供語(yǔ)言文字的支持。所以，它不僅僅有英語(yǔ)的一般特征，還因其使用的范圍、地域、項(xiàng)目、類(lèi)型的不同有著獨(dú)特的內(nèi)容。經(jīng)濟(jì)活動(dòng)離不開(kāi)交流，尤其是跨國(guó)的商務(wù)活動(dòng)沒(méi)有商務(wù)英語(yǔ)翻譯在其中溝通，將使整個(gè)過(guò)程步履維艱，甚至是無(wú)法進(jìn)行。如果公司和集團(tuán)之間的業(yè)務(wù)是國(guó)際性的，就要通過(guò)雙方的談判解決經(jīng)營(yíng)和貿(mào)易方面的交易，其涉及的范圍幾乎包括了生產(chǎn)、經(jīng)營(yíng)、銷(xiāo)售、物流、投資、合作等等全部過(guò)程。[1]

國(guó)家立法層面，歐盟在1995年頒布的《歐洲議會(huì)和歐盟理事會(huì)1995年10月24日與個(gè)人數(shù)據(jù)處理有關(guān)的個(gè)人保護(hù)以及此類(lèi)數(shù)據(jù)的自由流動(dòng)指令》(以下簡(jiǎn)稱(chēng)“歐盟1995年指令”)的基礎(chǔ)之上，于2016年4月份，結(jié)束了長(zhǎng)達(dá)四年之久對(duì)《一般數(shù)據(jù)保護(hù)條例》(General Data Protection Regulation)的起草審議，拔高了個(gè)人信息保護(hù)法律的層級(jí)，創(chuàng)設(shè)新型權(quán)利和制度規(guī)則，該立法受到極為廣泛地關(guān)注，也備受爭(zhēng)議。日本也在2017年通過(guò)了最新修訂的《個(gè)人信息保護(hù)法》。新加坡在此前尚無(wú)一部統(tǒng)一的個(gè)人信息保護(hù)法，直到2013年《個(gè)人信息保護(hù)法》生效。

縱觀(guān)各時(shí)期立法進(jìn)程，圍繞個(gè)人信息保護(hù)這一核心主題，各國(guó)個(gè)人信息立法在不同階段有不同的保護(hù)重點(diǎn)。從規(guī)范主體上，由主要規(guī)范政府機(jī)構(gòu)的行為轉(zhuǎn)向同時(shí)規(guī)范政府機(jī)構(gòu)和商業(yè)機(jī)構(gòu)；從實(shí)現(xiàn)方式上，主要通過(guò)規(guī)范或限制個(gè)人信息控制者的個(gè)人信息收集、處理、儲(chǔ)存等行為，以保證個(gè)人信息權(quán)利的實(shí)現(xiàn)，也通過(guò)對(duì)個(gè)人權(quán)利進(jìn)行限制以保證數(shù)據(jù)自由流動(dòng)和公共利益。*齊愛(ài)民、李儀： 《論利益平衡視野下的個(gè)人信息權(quán)制度》，載《法學(xué)評(píng)論》2011年第3期。個(gè)人信息的信息本質(zhì)決定了其法律規(guī)范的重心隨著時(shí)代變化和技術(shù)發(fā)展而變化和更新。大數(shù)據(jù)時(shí)代的來(lái)臨，數(shù)據(jù)挖掘、分析技術(shù)的迭代更新，數(shù)據(jù)商業(yè)化模式的逐步成熟，促使了個(gè)人信息的多元化應(yīng)用。從這個(gè)意義上說(shuō)，法律的滯后性在個(gè)人信息保護(hù)法律領(lǐng)域體現(xiàn)得尤為突出。法律需要不斷地完善以調(diào)整隨著大數(shù)據(jù)技術(shù)和應(yīng)用進(jìn)步而變化的法律關(guān)系，從世界范圍的立法進(jìn)程來(lái)看，各國(guó)法律和國(guó)際公約都試圖從個(gè)人信息權(quán)利創(chuàng)設(shè)、管理機(jī)制創(chuàng)新等角度入手嘗試調(diào)整現(xiàn)有法律制度，從中也可以看到立法者平衡個(gè)人信息主體和數(shù)據(jù)控制者兩者間的利益關(guān)系的意圖。*齊愛(ài)民： 《大數(shù)據(jù)時(shí)代個(gè)人信息保護(hù)法國(guó)際比較研究》，法律出版社2015年版，第40～60頁(yè)。

世界范圍內(nèi)各國(guó)越來(lái)越重視個(gè)人信息保護(hù)問(wèn)題，美國(guó)、歐盟、加拿大、韓國(guó)、日本、澳大利亞、新加坡、我國(guó)臺(tái)灣、香港地區(qū)等國(guó)家或地區(qū)均通過(guò)立法賦予個(gè)人對(duì)其個(gè)人信息享有權(quán)利。目前，我國(guó)雖然尚未制定一部統(tǒng)一的個(gè)人信息保護(hù)法，但值得提出的是，《民法總則》在民事權(quán)利一章規(guī)定自然人的個(gè)人信息受法律保護(hù)。此外，《消費(fèi)者權(quán)益保護(hù)法》明確消費(fèi)者享有個(gè)人信息依法得到保護(hù)的權(quán)利。但法律并沒(méi)有明確個(gè)人信息主體應(yīng)當(dāng)享有哪些具體的權(quán)利。

保障個(gè)人信息權(quán)利是個(gè)人信息保護(hù)立法的核心訴求和原則，但當(dāng)對(duì)同一權(quán)利客體，有兩個(gè)以上主體同時(shí)對(duì)其擁有相應(yīng)不同利益時(shí)，利益的平衡顯得尤為重要，否則，偏重利益一方極有可能造成權(quán)利的濫用，形成權(quán)利優(yōu)勢(shì)一方的權(quán)利綠洲和權(quán)利弱勢(shì)一方的權(quán)利荒漠，造成極不對(duì)等的權(quán)利格局。*周漢華： 《論互聯(lián)網(wǎng)法》，載《中國(guó)法學(xué)》2015年第3期。更為直觀(guān)的后果是，一邊倒地保護(hù)個(gè)人信息，將使得依賴(lài)于此的大數(shù)據(jù)產(chǎn)業(yè)得不到發(fā)展，個(gè)人信息被束之高閣再無(wú)法發(fā)揮其應(yīng)有的經(jīng)濟(jì)價(jià)值，信息社會(huì)發(fā)展將遭受停滯，個(gè)人信息主體無(wú)法享受數(shù)據(jù)產(chǎn)業(yè)發(fā)展帶來(lái)的福祉。對(duì)我國(guó)來(lái)說(shuō)，尤其是歐盟推崇的新型權(quán)利類(lèi)型應(yīng)當(dāng)引起立法者警惕，被遺忘權(quán)、數(shù)據(jù)可攜權(quán)等新型權(quán)利類(lèi)型是否符合產(chǎn)業(yè)發(fā)展實(shí)際情況，值得深思。

在大數(shù)據(jù)時(shí)代，我國(guó)個(gè)人信息保護(hù)立法呈現(xiàn)較為嚴(yán)重的滯后性，在對(duì)數(shù)據(jù)控制者的權(quán)利保障方面的立法更是如此。數(shù)據(jù)對(duì)企業(yè)而言，是具有高價(jià)值的商業(yè)資源和核心競(jìng)爭(zhēng)力。盡管個(gè)人信息保護(hù)成為輿論社會(huì)高度關(guān)注的焦點(diǎn)問(wèn)題，但數(shù)據(jù)盜竊、非法獲取現(xiàn)象仍是頻發(fā)，個(gè)人信息主體和數(shù)據(jù)控制者的利益都因此遭受巨大損失，權(quán)利得不到充分保護(hù)。值得提出的是，一些立法、司法案例對(duì)作為數(shù)據(jù)控制者的企業(yè)擁有的數(shù)據(jù)享有正當(dāng)利益進(jìn)行了肯定，從獨(dú)立的數(shù)據(jù)庫(kù)權(quán)、著作權(quán)、不正當(dāng)競(jìng)爭(zhēng)、合同保護(hù)等角度對(duì)數(shù)據(jù)或數(shù)據(jù)集合進(jìn)行保護(hù)。*林華： 《大數(shù)據(jù)的法律保護(hù)》，載《電子知識(shí)產(chǎn)權(quán)》2014年第8期，第81頁(yè)。從數(shù)據(jù)權(quán)的角度，歐盟和美國(guó)都做出了努力。歐盟和美國(guó)在1996年向世界知識(shí)產(chǎn)權(quán)組織(World Intellectual Property Organization, WIPO)提出過(guò)數(shù)據(jù)庫(kù)保護(hù)條約的草案但未獲通過(guò)。隨后歐盟通過(guò)了《數(shù)據(jù)庫(kù)保護(hù)指令》，創(chuàng)設(shè)了數(shù)據(jù)庫(kù)權(quán)。美國(guó)國(guó)會(huì)也于同年度提出《數(shù)據(jù)庫(kù)投資和知識(shí)產(chǎn)權(quán)反盜版法》，旨在創(chuàng)設(shè)類(lèi)似于歐盟的數(shù)據(jù)庫(kù)財(cái)產(chǎn)權(quán)，后續(xù)推出《信息集反盜版法》等多部數(shù)據(jù)庫(kù)保護(hù)法案，遺憾的是均未獲得通過(guò)。我國(guó)《民法總則》第127條明確規(guī)定，法律對(duì)數(shù)據(jù)、網(wǎng)絡(luò)虛擬財(cái)產(chǎn)的保護(hù)有規(guī)定的，依照其規(guī)定。該法雖未對(duì)數(shù)據(jù)的權(quán)利主體及其法律地位予以明確，但對(duì)數(shù)據(jù)相關(guān)權(quán)利的認(rèn)識(shí)有一定的前瞻性，提出將數(shù)據(jù)作為一種權(quán)利保護(hù)客體進(jìn)行保護(hù)的可能性，也為后續(xù)立法埋下伏筆。從著作權(quán)保護(hù)的角度，如果數(shù)據(jù)通過(guò)匯編，其數(shù)據(jù)選擇或編排具有獨(dú)創(chuàng)性，形成具有獨(dú)創(chuàng)性的數(shù)據(jù)集合或數(shù)據(jù)庫(kù)，符合著作權(quán)保護(hù)的要件，應(yīng)當(dāng)可以獲得著作權(quán)保護(hù)。我國(guó)有類(lèi)似判決承認(rèn)了權(quán)利人對(duì)具有獨(dú)創(chuàng)性的數(shù)據(jù)庫(kù)享有著作權(quán)。歐盟《數(shù)據(jù)庫(kù)保護(hù)指令》規(guī)定具有獨(dú)創(chuàng)性的數(shù)據(jù)庫(kù)可以獲得著作權(quán)保護(hù)。從商業(yè)秘密的角度，某項(xiàng)或某些數(shù)據(jù)，如果符合商業(yè)秘密的秘密性、價(jià)值性、實(shí)用性的構(gòu)成要件，權(quán)利人應(yīng)當(dāng)可以主張其對(duì)相關(guān)數(shù)據(jù)享有商業(yè)秘密。我國(guó)2002年的衢州萬(wàn)聯(lián)網(wǎng)絡(luò)技術(shù)有限公司訴周慧民等人侵害商業(yè)秘密糾紛案，法院認(rèn)為網(wǎng)站用戶(hù)注冊(cè)信息數(shù)據(jù)庫(kù)是網(wǎng)站的核心資產(chǎn)，從而認(rèn)定網(wǎng)站的經(jīng)營(yíng)者享有權(quán)利。從反不正當(dāng)競(jìng)爭(zhēng)的角度，北京知識(shí)產(chǎn)權(quán)法院亦認(rèn)為作為企業(yè)對(duì)其付出勞動(dòng)獲得的數(shù)據(jù)應(yīng)享有合法權(quán)利，近日在新浪微博訴脈脈非法獲取、使用其用戶(hù)數(shù)據(jù)案判決強(qiáng)調(diào)，數(shù)據(jù)對(duì)企業(yè)而言已經(jīng)成為一種商業(yè)資本，是經(jīng)營(yíng)者重要的競(jìng)爭(zhēng)優(yōu)勢(shì)和商業(yè)資源，微博可以就脈脈未按約定、未獲授權(quán)、無(wú)正當(dāng)理由使用其平臺(tái)相關(guān)數(shù)據(jù)資源的行為主張合法權(quán)益。從合同基本理論的角度，只要合同沒(méi)有無(wú)效或可撤銷(xiāo)的情形，就應(yīng)認(rèn)可數(shù)據(jù)相關(guān)條款的法律效力。在RyanairLtdv.PRAviationBV一案中，歐盟法院認(rèn)為，不受著作權(quán)或者數(shù)據(jù)庫(kù)權(quán)保護(hù)的在線(xiàn)數(shù)據(jù)庫(kù)的所有人可以通過(guò)合同限制他人使用其數(shù)據(jù)庫(kù)。我國(guó)法院也有判例認(rèn)可通過(guò)合同約定數(shù)據(jù)使用方式的做法。盡管數(shù)據(jù)能通過(guò)現(xiàn)行法律體系獲得某種程度的保護(hù)，但相關(guān)法律的缺位仍是不可否認(rèn)的事實(shí)，這不僅導(dǎo)致個(gè)人信息得不到充分保護(hù)，也使得企業(yè)對(duì)其數(shù)據(jù)的法律地位呈現(xiàn)不明確的狀態(tài)。

鑒于此，在尚無(wú)法律明晰數(shù)據(jù)控制者權(quán)利和個(gè)人信息權(quán)利的法律背景下，合理使用原則對(duì)平衡兩種利益和指導(dǎo)相關(guān)制度設(shè)計(jì)意義重大，有必要通過(guò)法律明確數(shù)據(jù)控制者與個(gè)人信息權(quán)利人之間利益平衡的合理使用原則。

(三) 對(duì)知情同意原則形成互補(bǔ)和限制

從當(dāng)前的法律制度來(lái)看，知情同意原則對(duì)個(gè)人信息主體和數(shù)據(jù)控制者的保護(hù)越發(fā)捉襟見(jiàn)肘。

同意原則作為隱私法和個(gè)人信息法的理論基石，有著深厚的哲學(xué)、政治學(xué)、法理學(xué)淵源。從哲學(xué)的角度，同意原則是人的意志體現(xiàn)所在。黑格爾認(rèn)為人作為單個(gè)的意志而存在，人有權(quán)把他的意志體現(xiàn)在任何物體中。但人們只有在做出決定后，才是現(xiàn)實(shí)的意志，才是特定個(gè)人的意志。*黑格爾： 《法哲學(xué)原理》，范揚(yáng)等譯，商務(wù)印書(shū)館2013年版，第52頁(yè)。在論證政府權(quán)力的問(wèn)題上，同意原則也是法理學(xué)名著聚焦的論證核心。洛克、盧梭、霍布斯等人都無(wú)一例外地論述個(gè)人同意讓渡部分權(quán)利交給國(guó)家或政府，是政府權(quán)力合法性的基礎(chǔ)。洛克在《政府論》中把同意作為政治權(quán)力具有合法性的一個(gè)核心因素，認(rèn)為“一切自然人都是自由的，除他自己同意以外，無(wú)論什么事情都不能使他受制于任何世俗的權(quán)力”。*見(jiàn)前注〔4〕，約翰·洛克書(shū)，第28頁(yè)。

英美法系將個(gè)人信息納入隱私的范疇，將隱私法的理論擴(kuò)張用于解決個(gè)人信息保護(hù)問(wèn)題。隱私權(quán)是消極、被動(dòng)的防御型權(quán)利，其權(quán)利的價(jià)值不在于主動(dòng)去行使某項(xiàng)積極權(quán)能，而關(guān)乎個(gè)人對(duì)不愿被不特定多數(shù)人知悉的信息或內(nèi)容，享有不被知悉、獲取、公開(kāi)等的權(quán)利。*張新寶： 《隱私權(quán)的法律保護(hù)》，群眾出版社2004年版，第41頁(yè)。未經(jīng)個(gè)人同意，知曉、獲取、公開(kāi)隱私信息的行為，即構(gòu)成隱私權(quán)侵權(quán)行為。反之，經(jīng)過(guò)同意即不具備隱私權(quán)侵權(quán)的構(gòu)成要件。對(duì)于同意的效力，有學(xué)者甚至認(rèn)為 “同意具有道德性魔力，只要受害人同意，盜竊就能變成贈(zèng)與”。*Steven L. Willborn，“Notice，Consent，and Non-consent： Employee Privacy in the Restatement”，100 Cornell L. Rev. 1423—1452(2015).傾向于對(duì)個(gè)人信息采取單行立法保護(hù)的大陸法系提出個(gè)人信息自決的重要性，強(qiáng)調(diào)個(gè)人有權(quán)決定其個(gè)人信息如何被利用、公開(kāi)，個(gè)人信息自決權(quán)的內(nèi)核也是同意，意即除非個(gè)人同意，任何人無(wú)權(quán)決定如何利用、公開(kāi)其他人的個(gè)人信息。具體地說(shuō)，收集、使用個(gè)人信息應(yīng)當(dāng)達(dá)到一定的透明度，透明度即是基于知情同意原則的要求，采取有效的方式方法，以明確向用戶(hù)告知收集、使用其個(gè)人信息。OECD《隱私保護(hù)與個(gè)人數(shù)據(jù)跨境流動(dòng)的指導(dǎo)方針》在其確定的基本原則中對(duì)透明度做出了框架性的要求，收集、超出之前明確的目的范圍使用、披露都應(yīng)當(dāng)獲得用戶(hù)同意。美國(guó)FTC的《公平信息實(shí)踐原則》詳細(xì)地列舉了應(yīng)該告知或披露的事項(xiàng)，包括收集的主體、用途、潛在的數(shù)據(jù)接收方、收集的方式和采取的安全措施等。

引入合理使用原則，基于該原則對(duì)相關(guān)法律制度進(jìn)行一定解構(gòu)和充實(shí)，強(qiáng)調(diào)個(gè)人信息使用行為的合理性，對(duì)個(gè)人信息使用行為本身做出規(guī)范，在滿(mǎn)足法律規(guī)定的特定情形下可不經(jīng)權(quán)利人同意，并按照法律規(guī)定為之使用，可一定程度上彌補(bǔ)同意與信息不對(duì)稱(chēng)的知情同意悖論，解決一攬子獲取或?yàn)E用用戶(hù)授權(quán)無(wú)法切實(shí)實(shí)現(xiàn)個(gè)人信息權(quán)利保護(hù)的問(wèn)題。合理使用原則與同意原則并列，作為處理數(shù)據(jù)的正當(dāng)性基礎(chǔ)，滿(mǎn)足大數(shù)據(jù)時(shí)代日益增長(zhǎng)的數(shù)據(jù)使用高需求，在數(shù)據(jù)控制者與個(gè)人信息權(quán)利人之間尋求平衡，在即使不經(jīng)權(quán)利人同意也不會(huì)影響其他合法權(quán)益的前提下，對(duì)個(gè)人權(quán)利進(jìn)行一定的合理限制，實(shí)現(xiàn)促進(jìn)數(shù)據(jù)使用的目的，保障數(shù)據(jù)流通、使用可控。

三、 合理使用原則的制度內(nèi)涵

合理使用原則，即在法律明確規(guī)定的合理的限度以?xún)?nèi)，可不經(jīng)個(gè)人同意，按照法律規(guī)定對(duì)個(gè)人信息進(jìn)行利用，但不應(yīng)對(duì)個(gè)人信息、隱私造成侵犯，不應(yīng)以影響數(shù)據(jù)安全的方式為之利用。該原則對(duì)于平衡數(shù)據(jù)控制主體利益和個(gè)人利益尤為重要，有的國(guó)家或地區(qū)甚至將促進(jìn)數(shù)據(jù)合理利用作為立法目的，如我國(guó)臺(tái)灣地區(qū)《個(gè)人資料保護(hù)法》明確規(guī)定將“促進(jìn)個(gè)人資料之合理利用”作為與“避免人格權(quán)受侵害”并重的立法目的。*齊愛(ài)民： 《拯救信息社會(huì)中的人格： 個(gè)人信息保護(hù)法總論》，北京大學(xué)出版社2009年版，第34～58頁(yè)。也有不少學(xué)者認(rèn)為，面對(duì)數(shù)據(jù)經(jīng)濟(jì)發(fā)展的大局勢(shì)，促進(jìn)個(gè)人信息流通、使用，也應(yīng)成為數(shù)據(jù)保護(hù)法律的立法目的或指導(dǎo)性原則之一。

(一) 借鑒著作權(quán)法上的合理使用原則

合理使用原則是著作權(quán)法上的重要原則，意即出于合理的目的和用途，可以不經(jīng)權(quán)利人許可使用其作品，是基于保護(hù)權(quán)利人和未經(jīng)授權(quán)的合理使用人利益之目的發(fā)展演化出的保護(hù)壟斷與保護(hù)公共利益的一項(xiàng)重要利益平衡原則。合理使用原則對(duì)平衡個(gè)人信息權(quán)利人利益和其他合理使用者利益同樣有效，將該項(xiàng)原則借鑒到數(shù)據(jù)保護(hù)領(lǐng)域，具有正當(dāng)性和合理性。該原則以公平正義為正當(dāng)基礎(chǔ)。美國(guó)學(xué)者威廉·F.帕提(William F. Party)將合理使用稱(chēng)作一項(xiàng)“理性主義的公平原則”，“該規(guī)則充滿(mǎn)公平正義并具有彈性而無(wú)法定義”。*William F. Party, Fair Use Privilege in Copyright Law (Washington, D.C. ： Bureau of National Affairs,1986), p.4 .判斷公平與否，一般是從社會(huì)正義的角度，以人們公認(rèn)的價(jià)值觀(guān)、是非觀(guān)作為標(biāo)準(zhǔn)的，包括人們公認(rèn)的經(jīng)濟(jì)利益上的“公正”“合理”。*張新寶： 《民事活動(dòng)的基本原則》，法律出版社1986年版，第22頁(yè)。公平正義觀(guān)在數(shù)據(jù)保護(hù)法律制度中表現(xiàn)為一種均衡思想。正如，現(xiàn)代意義的著作權(quán)制度并沒(méi)有拘泥于18世紀(jì)那種絕對(duì)的、放任的“個(gè)人本位”，而是在保護(hù)作者的著作權(quán)與限制作者的著作權(quán)中尋求平衡，即合理地消除作品創(chuàng)造者、作品傳播者、作品使用者之間的沖突，力圖實(shí)現(xiàn)在維護(hù)作者權(quán)益基礎(chǔ)上的三者利益的均衡保護(hù)。*吳漢東： 《論合理使用》，載《法學(xué)研究》1995年第4期。大數(shù)據(jù)時(shí)代的數(shù)據(jù)保護(hù)制度也不宜局限于絕對(duì)的“個(gè)人本位”，而應(yīng)在保護(hù)個(gè)人的個(gè)人信息權(quán)與限制個(gè)人的權(quán)利中找到平衡，合理地消除個(gè)人、數(shù)據(jù)控制者、數(shù)據(jù)使用者之間的沖突，實(shí)現(xiàn)在維護(hù)個(gè)人權(quán)益基礎(chǔ)上的利益均衡。實(shí)現(xiàn)這一平衡社會(huì)功能的法律調(diào)節(jié)器首選合理使用原則及其制度。

從立法目的來(lái)看，各國(guó)著作權(quán)法立法目的通常都包括“促進(jìn)科學(xué)和實(shí)用技術(shù)的發(fā)展”，也就是說(shuō)，如果保護(hù)著作權(quán)人的權(quán)利的目的是為了促進(jìn)科技發(fā)展，基于同樣的目的進(jìn)行的合理使用也具有正當(dāng)性。在數(shù)據(jù)保護(hù)制度領(lǐng)域，合理使用的價(jià)值目標(biāo)在于通過(guò)利益平衡的途徑，促進(jìn)數(shù)據(jù)流通、使用，從而促進(jìn)數(shù)據(jù)科學(xué)、技術(shù)的發(fā)展和進(jìn)步。數(shù)據(jù)保護(hù)法的立法目的通常包括保護(hù)個(gè)人信息和促進(jìn)數(shù)據(jù)流通、使用的雙重目的。類(lèi)比著作權(quán)法的合理使用，為促進(jìn)數(shù)據(jù)流通、使用，在保障使用安全且不對(duì)個(gè)人權(quán)利造成不利影響的前提下，滿(mǎn)足特定情形即可不經(jīng)個(gè)人同意進(jìn)行合理使用，具有正當(dāng)性，其正當(dāng)基礎(chǔ)來(lái)自對(duì)立法目的的解釋。

從合理使用的立法模式來(lái)看，各國(guó)著作權(quán)立法模式存在一定的差異，主要有以下三種。第一種是美國(guó)法上的 “fair use”模式，其最大的特點(diǎn)是保持完全的開(kāi)放性，法官不受立法所列舉的“合理使用”類(lèi)型的限制。第二種是除美國(guó)之外的版權(quán)體系國(guó)家采用的“合理利用(fair dealing)”模式，該模式對(duì)合理利用行為進(jìn)行了目的限定。英國(guó)《版權(quán)法》即采用這一模式。第三種是作者權(quán)體系采用的 “著作權(quán)例外(exception of copyright)”模式。此表述暗示了著作權(quán)的享有是原則，而著作權(quán)的受限是例外。*李琛： 《論我國(guó)著作權(quán)法修訂中“合理使用”的立法技術(shù)》，載《知識(shí)產(chǎn)權(quán)》2013年第1期。第一種立法模式對(duì)合理使用不做任何限制，最大限度促進(jìn)合理使用從而實(shí)現(xiàn)促進(jìn)科技發(fā)展的立法目的，第三種立法模式則最大限度保護(hù)著作權(quán)人利益，合理使用僅在滿(mǎn)足特定的例外情形時(shí)才適用。若將合理使用原則引入數(shù)據(jù)保護(hù)領(lǐng)域，需考慮借鑒哪一種立法模式。個(gè)人信息權(quán)是一項(xiàng)具有人身屬性的私權(quán)，與所有權(quán)、著作權(quán)等所有私權(quán)一樣，只有在例外的情況下才受到限制和剝奪，而又與著作權(quán)主要是一項(xiàng)財(cái)產(chǎn)性權(quán)利的權(quán)利屬性不同，個(gè)人信息權(quán)主要是一項(xiàng)精神性權(quán)利，在合理使用的借鑒上更應(yīng)重點(diǎn)關(guān)注該原則對(duì)這一個(gè)人精神性權(quán)利可能產(chǎn)生的不利影響。事實(shí)上，上述三種立法模式的“合理使用”都是采用原則和例外的模式。參照《伯爾尼公約》首先創(chuàng)立繼而為后來(lái)的國(guó)際條約所沿襲的約束各國(guó)著作權(quán)限制的原則“三步檢驗(yàn)法”是： 第一，使用屬于特殊情況；第二，使用與作品的正常使用不相抵觸；第三，不得不合理地?fù)p害作者的合法利益，*見(jiàn)前注〔18〕，李琛文。個(gè)人信息合理使用原則可包含以下要素： 第一，使用屬于法律明確規(guī)定的特殊情況；第二，不能以影響數(shù)據(jù)安全的方式進(jìn)行使用；第三，使用不得不合理地?fù)p害個(gè)人信息權(quán)利人的合法權(quán)益。筆者認(rèn)為選擇第三種立法模式更有利于保護(hù)個(gè)人權(quán)利，即通過(guò)法律明確列舉正當(dāng)合理使用事由，并對(duì)合理使用進(jìn)行目的限制，以防止司法適用上做擴(kuò)大解釋?zhuān)焕诒Ｗo(hù)個(gè)人權(quán)利。第三種立法模式對(duì)什么情況下構(gòu)成合理使用具有明確的可預(yù)見(jiàn)性，但是法律彈性和靈活性不足，可能導(dǎo)致立法的僵化。從司法適用的角度，無(wú)法解決一種行為具有極強(qiáng)的正當(dāng)性，但不符合立法規(guī)定的權(quán)利限制條件時(shí)的合理使用認(rèn)定。所以在采用該種立法模式的基礎(chǔ)之上，還應(yīng)增加目的限制的概括性規(guī)定，法官可基于該目的限制的規(guī)定做出較為靈活的解釋。

從合理使用的適用來(lái)看，合理使用需要通過(guò)個(gè)案加以適用，這通常體現(xiàn)在司法認(rèn)定中。在著作權(quán)法學(xué)者的著述中，合理使用通常歸入“侵權(quán)抗辯”部分，可見(jiàn)合理使用與司法認(rèn)定有著內(nèi)在的邏輯聯(lián)系。*見(jiàn)前注〔18〕，李琛文。在著作權(quán)法上，判斷某項(xiàng)使用是否能構(gòu)成合理使用，法官通常會(huì)考慮使用的目的、作品的性質(zhì)、使用或引用的數(shù)量 、使用對(duì)作品價(jià)值的影響等因素。*Stephen B. Thau，“Copyright Privacy and Fair Use”，24 Hofstra Law Review 185(1995).除前述考量因素，美國(guó)最高法院著名大法官及學(xué)者都認(rèn)為作者的作品與其隱私之間存在密切聯(lián)系，斯坦福學(xué)者斯蒂芬(Stephen)甚至認(rèn)為在合理使用的判定標(biāo)準(zhǔn)上應(yīng)引入隱私保護(hù)。沃倫(Warren)和布蘭代斯(Brandeis)在論證隱私權(quán)的譽(yù)世名篇《隱私權(quán)》一文中提出當(dāng)代鮮為提及的著作權(quán)具有保護(hù)作者隱私的功能?；裟匪?Holmes)大法官在20世紀(jì)初，Bleisteinv.DonaldsonLithographingCo.*See Bleistein v. Donaldson Lithographing Co.， 188 U.S. 239 (1903).一案中說(shuō)道：“個(gè)性總是包括一些個(gè)人的唯一特質(zhì)。這種唯一的特質(zhì)甚至體現(xiàn)在個(gè)人的作品中?！辫b于此，斯坦福學(xué)者斯蒂芬進(jìn)一步論述，在認(rèn)定著作權(quán)的合理使用時(shí)，還應(yīng)將對(duì)著作權(quán)權(quán)利人的隱私保護(hù)作為合理使用的判斷因素之一。尤其是當(dāng)作品強(qiáng)烈地體現(xiàn)作者的隱私時(shí)，應(yīng)當(dāng)嚴(yán)格限制合理使用原則的適用范圍。當(dāng)作品中大量?jī)?nèi)容體現(xiàn)作者隱私的時(shí)候，法官在平衡權(quán)利保護(hù)和合理使用時(shí)，需更多考慮隱私的重要性，而更少地考慮法官常用的判斷構(gòu)成合理使用時(shí)的經(jīng)濟(jì)利益要素。*[英] 約翰·洛克： 《政府論(下篇)》，葉啟芳等譯，華夏出版社2013年版。這也意味著，當(dāng)作者的作品與其隱私毫無(wú)關(guān)聯(lián)時(shí)，判斷其他人對(duì)作品的使用是否構(gòu)成合理使用時(shí)，應(yīng)主要聚焦經(jīng)濟(jì)利益要素，而非隱私要素。同上述，隱私因素對(duì)判斷是否構(gòu)成著作權(quán)合理使用有重要影響，這主要是因?yàn)橹鳈?quán)同時(shí)包含了財(cái)產(chǎn)性權(quán)利和精神性權(quán)利，隱私因素與著作權(quán)中的精神性權(quán)利存在內(nèi)在的邏輯聯(lián)系，例如，包含作者隱私的作品，作者可能通過(guò)主張或不主張發(fā)表權(quán)，以決定是否公開(kāi)包含其隱私的作品。在數(shù)據(jù)使用領(lǐng)域，因?yàn)殡[私與個(gè)人信息的合理使用存在更為密切的聯(lián)系，合理使用的客體本身就是個(gè)人隱私或信息，隱私或個(gè)人信息這一因素對(duì)判斷某一數(shù)據(jù)控制者是否合理使用了個(gè)人信息主體的信息顯得更為突出且有意義。合理使用原則在個(gè)人信息保護(hù)領(lǐng)域的適用應(yīng)主要考慮數(shù)據(jù)使用行為對(duì)個(gè)人信息或隱私的影響。在基于合理使用原則構(gòu)建的相關(guān)規(guī)則層面，雖然有不少學(xué)者認(rèn)為個(gè)人信息也具有財(cái)產(chǎn)屬性，但個(gè)人信息權(quán)仍然主要是一項(xiàng)精神權(quán)利，在合理使用的界定及規(guī)則設(shè)計(jì)上更應(yīng)慎重、嚴(yán)格。如上述提及，相關(guān)的合理使用配套規(guī)則宜采用第三種例外模式，通過(guò)列舉正當(dāng)理由的形式對(duì)那些特定情形下可以進(jìn)行合理使用的予以明確規(guī)定。在司法認(rèn)定或事前合規(guī)評(píng)估層面，如果某些數(shù)據(jù)的隱私屬性弱，那么在認(rèn)定合理使用時(shí)，可不必警惕數(shù)據(jù)使用對(duì)隱私或個(gè)人信息保護(hù)的影響。當(dāng)達(dá)到一定極值，即隱私影響為零時(shí)，可不考慮這一因素，即使不經(jīng)過(guò)個(gè)人同意直接使用，也不宜認(rèn)定為侵權(quán)，即符合合理使用原則的適用條件，可認(rèn)定為合理使用。反之，如果某一或某些數(shù)據(jù)的使用將對(duì)個(gè)人隱私造成嚴(yán)重影響時(shí)，此種使用構(gòu)成合理使用的概率將大大減少。

從合理使用的法律屬性來(lái)看，合理使用在著作權(quán)法上一般被認(rèn)為是對(duì)著作權(quán)的限制。美國(guó)學(xué)者約翰·S.勞倫斯(John S. Lawrence)等人認(rèn)為：“基于使用者利益的立場(chǎng)出發(fā)，合理使用是對(duì)版權(quán)的一種最重要的限制，它不是對(duì)這種獨(dú)占權(quán)利的一種排除，而是對(duì)侵權(quán)訴訟的一種抗辯?！?John S. Lawrence, Fair Use and Free Inquiry： Copyright Law and the New Media (Ablex Publishing Corporation, 1989).我國(guó)大多數(shù)學(xué)者也認(rèn)為，作者的專(zhuān)有權(quán)利不是絕對(duì)的，而要受到種種限制。但對(duì)合理使用的法律屬性存在一定爭(zhēng)議，《版權(quán)本質(zhì)： 使用者權(quán)利的法律》一書(shū)便提及：“必須區(qū)別版權(quán)的利用與版權(quán)作品的利用的兩者界限?！薄昂侠硎褂靡?guī)則并不表現(xiàn)為是對(duì)版權(quán)作品的個(gè)人使用，而是確認(rèn)后任作者對(duì)一部作品的版權(quán)進(jìn)行合理的利用，即意味著他是在行使某種權(quán)利。”*L. Ray Patterson, The Nature of Copyright： A Law of User’s Rights (University of Georgia Press, 1991).著名知識(shí)產(chǎn)權(quán)學(xué)者吳漢東在《論合理使用》一文中認(rèn)為合理使用是對(duì)他人著作財(cái)產(chǎn)權(quán)的一種利用。*見(jiàn)前注〔17〕，吳漢東文。對(duì)應(yīng)地，數(shù)據(jù)保護(hù)法上的合理使用也需要區(qū)別是對(duì)數(shù)據(jù)的利用，還是對(duì)數(shù)據(jù)權(quán)的利用。筆者認(rèn)為，數(shù)據(jù)保護(hù)領(lǐng)域的合理使用也應(yīng)當(dāng)是對(duì)他人個(gè)人信息權(quán)中財(cái)產(chǎn)權(quán)部分的利用，表現(xiàn)為使用人對(duì)他人的數(shù)據(jù)所享有的不經(jīng)同意，而加以使用的某種利益。合理使用應(yīng)當(dāng)視為一種利益，即非個(gè)人信息權(quán)人依法享有的某種利益。這種利益應(yīng)當(dāng)?shù)玫椒纱_認(rèn)，但前提是不得損害權(quán)利人的其他合法權(quán)益。從立法目的的角度，數(shù)據(jù)保護(hù)法以權(quán)力本位為基礎(chǔ)，以保護(hù)個(gè)人權(quán)益為核心，因此，立法語(yǔ)言可將非個(gè)人信息權(quán)人享有的合理使用利益表述為“個(gè)人信息權(quán)的限制或例外”。

(二) 合理使用原則的制度體現(xiàn)

事實(shí)上，個(gè)人信息的合理使用原則在一些國(guó)家的具體法律制度中已有體現(xiàn)。一些國(guó)家的個(gè)人信息保護(hù)法律對(duì)個(gè)人的同意與控制權(quán)進(jìn)行了一定程度的減損，以實(shí)現(xiàn)對(duì)個(gè)人信息流通、使用的保障。*刁勝先： 《論個(gè)人信息權(quán)的權(quán)利結(jié)構(gòu)——以“控制權(quán)”為束點(diǎn)和視角》，載《北京理工大學(xué)學(xué)報(bào)(社會(huì)科學(xué)版)》2011年第3期，第92～96頁(yè)。究其實(shí)質(zhì)，其實(shí)是以合理使用原則為出發(fā)點(diǎn)，以利益平衡的目的，對(duì)個(gè)人信息保護(hù)相關(guān)制度、規(guī)則進(jìn)行修正。

1. 合理使用是進(jìn)行數(shù)據(jù)處理的法律基礎(chǔ)

一般而言，各國(guó)法律將同意原則作為數(shù)據(jù)處理的一般合法基礎(chǔ)，也規(guī)定了可不經(jīng)個(gè)人信息主體同意的例外事由，這些例外事由基本歸納為可不經(jīng)個(gè)人信息主體同意的合理使用。以歐盟為例，歐盟在《一般數(shù)據(jù)保護(hù)條例》第6條中規(guī)定了除同意以外，可被認(rèn)定為合法處理的其他五種情形，滿(mǎn)足任意一項(xiàng)即可被認(rèn)定為合法處理。其一，個(gè)人數(shù)據(jù)的加工是作為合同一方的數(shù)據(jù)主體履行合同所必需的或是為了滿(mǎn)足數(shù)據(jù)主體訂立合同前或訂立合同時(shí)的要求；其二，數(shù)據(jù)控制者履行法律義務(wù)必須進(jìn)行個(gè)人數(shù)據(jù)加工；其三，為了保障數(shù)據(jù)主體的重大利益而進(jìn)行的個(gè)人數(shù)據(jù)加工；其四，在不侵犯數(shù)據(jù)主體(尤其是未成年人)更重要的基本權(quán)利及自由的前提下，控制者的合法利益需要通過(guò)保護(hù)個(gè)人數(shù)據(jù)而實(shí)現(xiàn)的，且數(shù)據(jù)控制者追求其合法權(quán)益是必要的，則所述加工行為可以被認(rèn)定為合法。*參見(jiàn)《歐盟一般數(shù)據(jù)保護(hù)條例》。

我國(guó)已經(jīng)發(fā)布并即將生效的國(guó)家標(biāo)準(zhǔn)《信息安全技術(shù) 個(gè)人信息安全規(guī)范》也明確了收集個(gè)人信息無(wú)須征得個(gè)人信息主體同意的例外情形，包括用于維護(hù)所提供的產(chǎn)品和服務(wù)的安全和合規(guī)所必需的；與國(guó)家安全、公共利益有關(guān)的；犯罪偵查、起訴、審判和判決執(zhí)行等有關(guān)；出于維護(hù)個(gè)人信息主體或其他個(gè)人的生命、財(cái)產(chǎn)等重大合法權(quán)益但又很難得到本人同意的；已合法公開(kāi)披露的信息；學(xué)術(shù)研究機(jī)構(gòu)基于公共利益開(kāi)展統(tǒng)計(jì)或?qū)W術(shù)研究所必要等情形。

可見(jiàn)，歐盟和我國(guó)的法律、國(guó)家標(biāo)準(zhǔn)的相關(guān)條文都明確了可不經(jīng)個(gè)人同意的例外情形，從核心思想上，符合合理使用原則的基本要求，從規(guī)范模式上，符合本文第二部分闡述的合理使用原則的第三種立法模式，是對(duì)合理使用原則的制度體現(xiàn)。

2. 構(gòu)成商業(yè)秘密的合理使用可免于披露

同意原則并不意味著披露盡可能多的信息。雖然，各國(guó)法律都傾向于向個(gè)人信息主體披露更多的信息，歐盟和英國(guó)法律要求數(shù)據(jù)控制者不僅應(yīng)披露數(shù)據(jù)收集、使用等情況，還應(yīng)當(dāng)披露收集、使用的邏輯和方法。如歐盟1995年《個(gè)人數(shù)據(jù)保護(hù)指令》在前言(41)中寫(xiě)道，個(gè)人數(shù)據(jù)權(quán)利包括獲取數(shù)據(jù)的權(quán)利和獲取自動(dòng)數(shù)據(jù)處理(至少是自動(dòng)處理產(chǎn)生與數(shù)據(jù)主體有關(guān)的數(shù)據(jù)的決定)的邏輯的權(quán)利。英國(guó)的《數(shù)據(jù)保護(hù)法》(1998)第7條第1款(d)規(guī)定，為評(píng)估數(shù)據(jù)主體的工作表現(xiàn)、信用、責(zé)任或行為等目的進(jìn)行的個(gè)人數(shù)據(jù)自動(dòng)化處理，構(gòu)成或可能構(gòu)成顯著影響個(gè)人自身的基礎(chǔ)，那么該個(gè)人有權(quán)被告知數(shù)據(jù)控制者做出決定的邏輯。但同時(shí)也做了例外規(guī)定，即不能對(duì)數(shù)據(jù)控制者的商業(yè)秘密造成影響，保障同意原則的隱含前提是要在個(gè)人信息權(quán)利保護(hù)和數(shù)據(jù)控制者商業(yè)秘密權(quán)利保護(hù)之間做出平衡，構(gòu)成商業(yè)秘密的合理使用及使用邏輯可免于向個(gè)人信息主體進(jìn)行披露。

(三) 合理使用原則的關(guān)聯(lián)規(guī)則

1. 個(gè)人信息風(fēng)險(xiǎn)評(píng)估

在進(jìn)行數(shù)據(jù)處理、使用前，應(yīng)進(jìn)行個(gè)人信息風(fēng)險(xiǎn)評(píng)估。個(gè)人信息風(fēng)險(xiǎn)評(píng)估的意義主要在于在使用數(shù)據(jù)前對(duì)使用行為的合法性、合理性進(jìn)行判斷，這也是事后認(rèn)定是否構(gòu)成合理使用的重要依據(jù)。有學(xué)者認(rèn)為，在具體實(shí)踐中，應(yīng)弱化對(duì)用戶(hù)同意的過(guò)度依賴(lài)，規(guī)定“合理使用”的場(chǎng)景，且對(duì)信息處理行為進(jìn)行影響評(píng)估，在信息處理行為構(gòu)成“合理”或帶來(lái)的風(fēng)險(xiǎn)在“可預(yù)期”的范圍之內(nèi)時(shí)，免予取得用戶(hù)同意，減輕其為機(jī)構(gòu)及用戶(hù)自身帶來(lái)的負(fù)擔(dān)。*范為： 《大數(shù)據(jù)時(shí)代個(gè)人信息保護(hù)的路徑重構(gòu)》，載《環(huán)球法律評(píng)論》2016年第5期，第92～115頁(yè)。這一觀(guān)點(diǎn)具有一定的可操作性和現(xiàn)實(shí)意義，可對(duì)現(xiàn)有的規(guī)則體系起到有效的補(bǔ)充作用?，F(xiàn)有的規(guī)則體系以同意原則作為核心的個(gè)人信息保護(hù)和合法使用基礎(chǔ)，但如上所述，基于這一原則并不能實(shí)現(xiàn)對(duì)數(shù)據(jù)主體權(quán)利的有效保護(hù)。客觀(guān)上最有能力判斷某項(xiàng)使用行為是否對(duì)個(gè)人信息主體權(quán)利造成影響或侵犯的是數(shù)據(jù)控制者。在尚未獲得同意或難以獲得同意，而又需要對(duì)相應(yīng)的個(gè)人信息進(jìn)行處理和使用時(shí)，對(duì)個(gè)人信息利用的合法性、正當(dāng)性、必要性進(jìn)行隱私/個(gè)人信息風(fēng)險(xiǎn)評(píng)估，如果相關(guān)的個(gè)人信息處理行為對(duì)個(gè)人權(quán)利無(wú)影響或影響極小，且符合法律規(guī)定的滿(mǎn)足合理使用的條件時(shí)，可進(jìn)行相應(yīng)的信息處理。合法性、正當(dāng)性、必要性等因素即是合理使用原則的延展，即是說(shuō)，當(dāng)對(duì)某些個(gè)人信息的使用經(jīng)過(guò)充分合法、正當(dāng)、必要等條件的預(yù)判和使用結(jié)果的影響分析，發(fā)現(xiàn)影響在可接受的范圍內(nèi)時(shí)，即構(gòu)成合理使用，此種使用可不經(jīng)過(guò)權(quán)利主體同意。

現(xiàn)今越來(lái)越多的學(xué)者及機(jī)構(gòu)傾向認(rèn)為，隱私及個(gè)人信息保護(hù)的邊界并非固定的、僵化的，而是主觀(guān)的、動(dòng)態(tài)的，并受多重因素影響，何以構(gòu)成個(gè)人信息的合理使用，在不同的場(chǎng)合均不盡相同。*See Steven L. Willborn，supra note〔12〕.這就需要對(duì)個(gè)人信息處理進(jìn)行個(gè)案的風(fēng)險(xiǎn)評(píng)估。賦予數(shù)據(jù)控制者進(jìn)行風(fēng)險(xiǎn)評(píng)估、結(jié)果判斷、做出使用決定的權(quán)利是有很大風(fēng)險(xiǎn)的，正義的規(guī)則要絕對(duì)避免既做裁判員，又做運(yùn)動(dòng)員的情況，將判斷是否使用個(gè)人信息的權(quán)力交給會(huì)使用該信息的數(shù)據(jù)控制者，無(wú)疑觸犯了數(shù)據(jù)控制者既做裁判員，又做運(yùn)動(dòng)員的禁忌。避免權(quán)利濫用的有效方法莫過(guò)于對(duì)權(quán)利的行使增加條條框框，建立規(guī)范性準(zhǔn)則。只有當(dāng)數(shù)據(jù)控制者按照規(guī)范性的個(gè)人信息風(fēng)險(xiǎn)評(píng)估程序進(jìn)行評(píng)估時(shí)，得出的評(píng)估結(jié)果才可能是公正、不失偏頗的。從這個(gè)意義上說(shuō)，建立個(gè)人信息風(fēng)險(xiǎn)評(píng)估規(guī)范性、監(jiān)督性程序及個(gè)人控制的權(quán)利約束機(jī)制顯得尤為重要。

數(shù)據(jù)控制者最有能力判斷數(shù)據(jù)使用對(duì)個(gè)人信息主體造成的影響，因此，在使用個(gè)人信息前，進(jìn)行個(gè)人信息風(fēng)險(xiǎn)評(píng)估，能有效地起到保護(hù)個(gè)人信息的作用。這是個(gè)人信息風(fēng)險(xiǎn)評(píng)估能為個(gè)人信息保護(hù)水平較高國(guó)家或國(guó)際組織普遍倡導(dǎo)的一項(xiàng)個(gè)人信息管理解決方案的原因。例如，OECD《隱私保護(hù)與個(gè)人數(shù)據(jù)跨境流動(dòng)的指導(dǎo)方針》規(guī)定數(shù)據(jù)控制者應(yīng)當(dāng)準(zhǔn)備一個(gè)隱私管理計(jì)劃，基于隱私風(fēng)險(xiǎn)評(píng)估提供合適的安全措施。*A data controller should： a) Have in place a privacy management programme that： iii. provides for appropriate safeguards based on privacy risk assessment. See Opinion 05/2014 on Anonymisation Techniques，Article 29 Data Protection Working Party，0829/14/EN WP216 (Adopted on 10 April 2014).我國(guó)個(gè)人信息安全和保護(hù)方面的國(guó)家標(biāo)準(zhǔn)也積極推動(dòng)建立個(gè)人信息安全風(fēng)險(xiǎn)評(píng)估體系，比如《信息安全技術(shù)個(gè)人信息安全規(guī)范(草案)》對(duì)數(shù)據(jù)控制者開(kāi)展個(gè)人信息評(píng)估提供了一些實(shí)操性較強(qiáng)的指引，要求定期進(jìn)行評(píng)估，并在法律法規(guī)有新的要求時(shí)，或在業(yè)務(wù)模式、信息系統(tǒng)、運(yùn)行環(huán)境發(fā)生重大變更時(shí)，或發(fā)生個(gè)人信息安全事件時(shí)，重新進(jìn)行個(gè)人信息安全風(fēng)險(xiǎn)評(píng)估。

規(guī)范有序地開(kāi)展個(gè)人信息風(fēng)險(xiǎn)評(píng)估固然重要，但對(duì)權(quán)利的監(jiān)督也并不可少。因此，需要建立相應(yīng)的監(jiān)督和權(quán)利約束機(jī)制。各國(guó)的相關(guān)規(guī)定不僅需要對(duì)個(gè)人信息風(fēng)險(xiǎn)評(píng)估的流程、環(huán)節(jié)進(jìn)行規(guī)定，也應(yīng)制定評(píng)估有效性的監(jiān)督機(jī)制，比如要求評(píng)估結(jié)果報(bào)告向社會(huì)公開(kāi)，特定的個(gè)人信息處理評(píng)估需報(bào)政府部門(mén)知悉、備案，甚至審批。

2. 經(jīng)設(shè)計(jì)的隱私

判斷數(shù)據(jù)控制者某種使用行為是否盡到了合理使用的注意義務(wù)，需考量數(shù)據(jù)控制者在收集、使用數(shù)據(jù)的過(guò)程中是否將個(gè)人信息保護(hù)作為數(shù)據(jù)合規(guī)流程和管理機(jī)制的重要一環(huán)。從公司產(chǎn)品和流程設(shè)計(jì)的前端產(chǎn)品開(kāi)發(fā)到后臺(tái)數(shù)據(jù)管理，都將個(gè)人信息保護(hù)作為重要原則融入收集或處理個(gè)人數(shù)據(jù)的產(chǎn)品、服務(wù)的設(shè)計(jì)和運(yùn)作過(guò)程中，即經(jīng)設(shè)計(jì)的隱私(Privacy By Design，以下簡(jiǎn)稱(chēng)“PbD”)。

PbD理念為歐盟和美國(guó)法律和執(zhí)法機(jī)構(gòu)認(rèn)可。目前，PbD已成為歐盟數(shù)據(jù)保護(hù)的基本原則，將隱私放在了優(yōu)先位置并加以重點(diǎn)保護(hù)。2014年10月澳大利亞隱私和數(shù)據(jù)保護(hù)委員會(huì)(CPDP)正式?jīng)Q定采用PbD作為加強(qiáng)其公共部門(mén)信息隱私管理的核心政策。美國(guó)聯(lián)邦貿(mào)易委員會(huì)(以下簡(jiǎn)稱(chēng)FTC)的報(bào)告(staff report)建議公司將實(shí)質(zhì)性的隱私保護(hù)融入其實(shí)踐當(dāng)中，建議公司進(jìn)行全面的數(shù)據(jù)管理。FTC對(duì)PbD的態(tài)度也體現(xiàn)在相關(guān)的執(zhí)法案件中。例如FTC在結(jié)束對(duì)谷歌街景案調(diào)查的信件中強(qiáng)調(diào)其采取一些實(shí)踐，包括任命隱私工程管理總監(jiān)，對(duì)核心員工進(jìn)行核心隱私培訓(xùn)，在新產(chǎn)品設(shè)計(jì)過(guò)程中引入隱私審查；采取了合理的程序，如僅收集提供服務(wù)所必需的信息，目的完成即刪除數(shù)據(jù)，從而認(rèn)為谷歌街景保證了收集和存儲(chǔ)數(shù)據(jù)的隱私和安全。各大公司也將PbD作為重要的個(gè)人信息管理機(jī)制。微軟的安全開(kāi)發(fā)生命周期(Security Development Lifecycle，以下簡(jiǎn)稱(chēng)“SDL”)是目前最著名的例子。SDL的目的在于將隱私和安全原則融入軟件開(kāi)發(fā)生命周期，每個(gè)開(kāi)發(fā)周期(產(chǎn)品需求、設(shè)計(jì)、完善、驗(yàn)證和發(fā)布)都包括了隱私指南，從強(qiáng)制性的到推薦性的，從程序性的到技術(shù)性的。每個(gè)項(xiàng)目都有隱私影響等級(jí)，這些等級(jí)決定合規(guī)的具體設(shè)計(jì)要求。其軟件和服務(wù)開(kāi)發(fā)隱私指南對(duì)SDL做出了進(jìn)一步補(bǔ)充，這些指南在美國(guó)《公平信息保護(hù)實(shí)踐》和相關(guān)的美國(guó)隱私法律的基礎(chǔ)上界定了基本概念和定義，分析了在具體情形下產(chǎn)生的不同類(lèi)型的隱私控制和特殊因素考量。對(duì)九款具體的軟件產(chǎn)品和網(wǎng)站開(kāi)發(fā)情景列舉了詳細(xì)的指南。對(duì)每種場(chǎng)景，指南定義了告知和同意、安全和數(shù)據(jù)完整性、消費(fèi)者獲取、使用cookie及其他控制相關(guān)的要求性和推薦性實(shí)踐。

數(shù)據(jù)合規(guī)流程應(yīng)涵蓋前端產(chǎn)品開(kāi)發(fā)到后臺(tái)數(shù)據(jù)管理，在公司產(chǎn)品和流程設(shè)計(jì)中將個(gè)人信息保護(hù)的重要原則融入收集或處理個(gè)人數(shù)據(jù)的產(chǎn)品、服務(wù)的設(shè)計(jì)和運(yùn)作過(guò)程中。數(shù)據(jù)控制者可借鑒優(yōu)秀的實(shí)踐，將PbD的理念融入前端軟件開(kāi)發(fā)活動(dòng)和后端數(shù)據(jù)管理實(shí)踐中。前者是針對(duì)面向消費(fèi)者端產(chǎn)品、服務(wù)的設(shè)計(jì)過(guò)程，即與消費(fèi)者通過(guò)下載軟件、使用網(wǎng)站服務(wù)、分享個(gè)人數(shù)據(jù)或創(chuàng)造用戶(hù)內(nèi)容等交互。后者在于數(shù)據(jù)管理程序和實(shí)踐中確保信息系統(tǒng)內(nèi)部使用或分享給關(guān)聯(lián)方、合作伙伴和供應(yīng)商等行為遵守隱私法、隱私政策和消費(fèi)者設(shè)置的隱私偏好。在軟件開(kāi)發(fā)周期致力于確保產(chǎn)品和服務(wù)設(shè)計(jì)過(guò)程中，考慮消費(fèi)者隱私期待，賦予用戶(hù)控制其個(gè)人數(shù)據(jù)的權(quán)力。同時(shí)，最小化隱私風(fēng)險(xiǎn)，如秘密收集數(shù)據(jù)、未經(jīng)授權(quán)的使用、轉(zhuǎn)移、披露和安全違規(guī)。在數(shù)據(jù)生命周期管理中，關(guān)注公司是否符合個(gè)人信息保護(hù)要求地研發(fā)和運(yùn)營(yíng)信息系統(tǒng)，并在公司雇員獲取、使用、披露和刪除個(gè)人數(shù)據(jù)時(shí)考慮到個(gè)人信息保護(hù)因素。

3. 安全管理措施

匿名化、去標(biāo)識(shí)化技術(shù)既為個(gè)人信息利用開(kāi)辟道路，又為個(gè)人信息保護(hù)保駕護(hù)航，是確保數(shù)據(jù)合理使用的重要安全管理措施。匿名化是指一種移除識(shí)別性信息，可達(dá)到使剩下的信息無(wú)法識(shí)別到特定個(gè)人的信息處理技術(shù)。根據(jù)歐盟第二十九數(shù)據(jù)保護(hù)工作組官方意見(jiàn)，匿名化技術(shù)主要包括兩種，隨機(jī)化(Randomization)和泛化(Generalization)。隨機(jī)化是為移除數(shù)據(jù)與個(gè)人之間的強(qiáng)聯(lián)系而改變數(shù)據(jù)真實(shí)性的技術(shù)集合。泛化是匿名化處理的另一種主要方式，其通過(guò)改變數(shù)據(jù)量級(jí)的規(guī)?；虼涡騺?lái)泛化或稀釋數(shù)據(jù)主體的屬性。*See 0829/14/EN WP216，supra note〔31〕.在實(shí)踐中，企業(yè)往往還會(huì)采取其他額外的技術(shù)來(lái)確保無(wú)法從這些數(shù)據(jù)之中識(shí)別到個(gè)人，這些技術(shù)主要包括噪聲添加(Noise Addition)、排列(Permutation)、差分隱私(Differential Privacy)、加權(quán)(Aggregation)、K-匿名化(K-anonymity)、L- 多樣性(L-diversity)、T-密閉(T-closeness)等。*Walden I.，“Anonymising Personal Data”，10(2) International Journal of Law & Information Technology 224-237(2002).去標(biāo)識(shí)化是指通過(guò)對(duì)個(gè)人信息的技術(shù)處理，使其在不借助額外信息的情況下，無(wú)法識(shí)別個(gè)人信息主體的過(guò)程。去標(biāo)識(shí)化建立在個(gè)體基礎(chǔ)之上，保留了個(gè)體顆粒度，采用假名、加密、哈希函數(shù)等技術(shù)手段替代對(duì)個(gè)人信息的標(biāo)識(shí)。由于去標(biāo)識(shí)化后的信息仍具有識(shí)別個(gè)人身份的可能性，因此去標(biāo)識(shí)化后的信息仍然是個(gè)人信息。

匿名化技術(shù)對(duì)個(gè)人信息的保護(hù)作用在歐盟、美國(guó)以及我國(guó)都得到法律認(rèn)可，匿名化后的數(shù)據(jù)使用可不受相關(guān)個(gè)人信息保護(hù)規(guī)則的限制。歐盟相關(guān)立法規(guī)定，如果對(duì)個(gè)人信息進(jìn)行匿名化處理，使得通過(guò)該數(shù)據(jù)已無(wú)法識(shí)別出個(gè)人身份，對(duì)這種數(shù)據(jù)的處理就不受到個(gè)人信息保護(hù)規(guī)則的約束。*GDPR詳述(26)中指出，假名化的數(shù)據(jù)能夠與其他數(shù)據(jù)結(jié)合來(lái)識(shí)別個(gè)人，其可被視為與一個(gè)可識(shí)別的自然人相關(guān)的信息。數(shù)據(jù)保護(hù)原則不適用于與該自然人無(wú)關(guān)或無(wú)法被識(shí)別的匿名化的數(shù)據(jù)，該條例因此不適用于對(duì)匿名化數(shù)據(jù)的處理行為。換言之，匿名化后的數(shù)據(jù)處理不必再考慮是否構(gòu)成個(gè)人信息的合理使用的問(wèn)題。我國(guó)《網(wǎng)絡(luò)安全法》已借鑒歐盟將匿名化明確載入立法，明確了通過(guò)技術(shù)實(shí)現(xiàn)個(gè)人信息保護(hù)和使用利益均衡的態(tài)度，值得肯定。但應(yīng)該進(jìn)一步指出的是，在明確具體的匿名化規(guī)則時(shí)，我們需要推動(dòng)匿名化國(guó)家標(biāo)準(zhǔn)的形成，使得匿名化規(guī)則的制定符合產(chǎn)業(yè)實(shí)際和技術(shù)現(xiàn)狀，不過(guò)于嚴(yán)格地要求達(dá)到過(guò)高的匿名化程度，導(dǎo)致匿名化這一平衡商業(yè)利益和個(gè)人利益的利器喪失原本的價(jià)值和意義。我們也應(yīng)當(dāng)認(rèn)識(shí)到，通過(guò)匿名化等隱私增強(qiáng)技術(shù)確實(shí)能從一定程度上保護(hù)個(gè)人信息，但越來(lái)越多的研究表明技術(shù)對(duì)個(gè)人信息的保護(hù)作用是有限的。如果缺乏社會(huì)規(guī)則和法律框架，僅僅技術(shù)本身無(wú)法保護(hù)隱私。因此，一方面，為保證匿名化處理后的數(shù)據(jù)仍然有較高的價(jià)值，應(yīng)當(dāng)認(rèn)識(shí)到對(duì)匿名化標(biāo)準(zhǔn)的認(rèn)定不應(yīng)過(guò)于絕對(duì)，而應(yīng)當(dāng)是隨機(jī)、動(dòng)態(tài)變化的。既然沒(méi)有絕對(duì)的匿名化，個(gè)人信息風(fēng)險(xiǎn)評(píng)估和PbD理念在數(shù)據(jù)應(yīng)用實(shí)踐中的運(yùn)用就顯得尤為重要，三者相互配套作用始能充分保護(hù)個(gè)人信息主體權(quán)利。另一方面，僅僅是匿名化技術(shù)，難以獨(dú)立擔(dān)負(fù)保護(hù)個(gè)人信息的責(zé)任，從國(guó)家規(guī)范層面，匿名化技術(shù)需與法律保護(hù)框架相結(jié)合，以實(shí)現(xiàn)個(gè)人信息的配套約束。從企業(yè)層面，匿名化技術(shù)需與企業(yè)內(nèi)部數(shù)據(jù)管理規(guī)則相結(jié)合，從多維度保護(hù)個(gè)人信息，實(shí)現(xiàn)企業(yè)內(nèi)部數(shù)據(jù)安全。

可見(jiàn)，一套明確的匿名化、去標(biāo)識(shí)化的安全管理規(guī)則有助于將個(gè)人信息安全地運(yùn)用于商業(yè)化，實(shí)現(xiàn)個(gè)人信息保護(hù)和商業(yè)運(yùn)作雙贏。*張新寶： 《從隱私到個(gè)人信息： 利益再衡量的理論與制度安排》，載《中國(guó)法學(xué)》2015年第3期，第38～59頁(yè)。鑒于經(jīng)匿名化處理后的信息無(wú)法識(shí)別主體身份，因此對(duì)于滿(mǎn)足匿名化要求的信息，可不經(jīng)個(gè)人信息主體同意直接使用，無(wú)須考慮是否符合合理使用原則。而去標(biāo)識(shí)化后的個(gè)人信息，雖然不能達(dá)到匿名化后完全無(wú)法識(shí)別個(gè)人信息主體的程度，但是比去標(biāo)識(shí)化前的識(shí)別個(gè)人信息主體的難度大很多，因此，使用去標(biāo)識(shí)化后的個(gè)人信息更安全，判斷構(gòu)成合理使用所需履行的相關(guān)安全義務(wù)更低。

4. 個(gè)人參與和控制

個(gè)人參與和控制是實(shí)現(xiàn)個(gè)人信息保護(hù)的途徑，是知情同意原則的延伸，能有效地對(duì)數(shù)據(jù)處理、使用行為進(jìn)行約束，通過(guò)個(gè)人參與和控制檢視數(shù)據(jù)使用的合法性、合理性。

國(guó)際條約和各國(guó)立法也將個(gè)人參與和控制作為個(gè)人信息保護(hù)的基本原則。OECD《隱私保護(hù)與個(gè)人數(shù)據(jù)跨境流動(dòng)的指導(dǎo)方針》將個(gè)人參與原則作為八大基本原則之一，明確個(gè)人應(yīng)當(dāng)有權(quán)從數(shù)據(jù)控制者獲得與其相關(guān)的數(shù)據(jù)，或要求數(shù)據(jù)控制者確認(rèn)其是否有該個(gè)人的數(shù)據(jù)，有權(quán)就與其數(shù)據(jù)相關(guān)的問(wèn)題與數(shù)據(jù)控制者聯(lián)系，如果請(qǐng)求被拒絕，數(shù)據(jù)控制者應(yīng)當(dāng)提供理由。個(gè)人有權(quán)提出異議，如果異議成立，數(shù)據(jù)控制者應(yīng)當(dāng)對(duì)數(shù)據(jù)進(jìn)行刪除、修改、完善等相關(guān)處理。*參見(jiàn)OECD 《隱私保護(hù)與個(gè)人數(shù)據(jù)跨境流動(dòng)的指導(dǎo)方針》第7段、第10段。用戶(hù)參與不僅意味著用戶(hù)可以查詢(xún)數(shù)據(jù)，并且應(yīng)當(dāng)有權(quán)驗(yàn)證其準(zhǔn)確性。美國(guó)FTC的《公平信息實(shí)踐原則》描述了選擇/同意、獲取/參與原則，網(wǎng)絡(luò)環(huán)境下的選擇和同意意味著為用戶(hù)提供控制其數(shù)據(jù)的選擇。

個(gè)人參與和控制也是個(gè)人信息主體約束數(shù)據(jù)控制者使用數(shù)據(jù)的有效權(quán)利約束機(jī)制。賦予數(shù)據(jù)控制者權(quán)利，就應(yīng)賦予個(gè)人信息主體參與和控制其個(gè)人信息處理的權(quán)利。權(quán)利與權(quán)利之間相互制約，始能達(dá)到個(gè)人信息保護(hù)與利用之平衡狀態(tài)。此外，賦予個(gè)人參與和控制的權(quán)利也能實(shí)現(xiàn)對(duì)上述個(gè)人信息風(fēng)險(xiǎn)評(píng)估的有效約束?；凇皞€(gè)人信息風(fēng)險(xiǎn)評(píng)估可作為免于同意的條件”，評(píng)估結(jié)果若為個(gè)人信息處理對(duì)信息主體的影響在可控制的范圍內(nèi)，即可不經(jīng)個(gè)人信息主體同意為相應(yīng)的使用，這樣的使用構(gòu)成合理使用。前述也提及賦予數(shù)據(jù)控制者較大權(quán)利的個(gè)人信息風(fēng)險(xiǎn)評(píng)估流程需要通過(guò)規(guī)范性、監(jiān)督性的程序加以約束。但是即使受到程序性的約束，還是不能實(shí)現(xiàn)個(gè)人權(quán)利的有效保護(hù)，因?yàn)樵撘?guī)則跳過(guò)了個(gè)人同意環(huán)節(jié)。如果說(shuō)“個(gè)人信息風(fēng)險(xiǎn)評(píng)估可作為免于同意的條件”這樣的機(jī)制的前提在尚未獲得同意或難以獲得同意，而又需要對(duì)相應(yīng)的個(gè)人信息進(jìn)行處理或使用，那么事后權(quán)利補(bǔ)授權(quán)環(huán)節(jié)或用戶(hù)參與控制環(huán)節(jié)則必不可少。即使在影響較小的方案中實(shí)施個(gè)人信息處理，也應(yīng)當(dāng)保留主體參與相關(guān)處理流程的規(guī)則和余地，實(shí)現(xiàn)權(quán)利制衡。

四、 結(jié) 語(yǔ)

在大數(shù)據(jù)語(yǔ)境下，個(gè)人信息立法不僅以保護(hù)個(gè)人信息主體權(quán)利為單一目的，同時(shí)應(yīng)承載促進(jìn)數(shù)據(jù)使用、流動(dòng)的立法目的，合理使用原則作為平衡兩種利益關(guān)系的調(diào)節(jié)器，將起到重要作用。

我國(guó)在個(gè)人信息立法進(jìn)程中，應(yīng)廓清以同意原則為核心構(gòu)筑起來(lái)的個(gè)人信息保護(hù)法律對(duì)雙重立法目的實(shí)現(xiàn)之有效性，引入合理使用原則，允許基于保護(hù)數(shù)據(jù)使用方利益(如商業(yè)秘密)的角度對(duì)同意原則進(jìn)行一定程度的減損。借鑒歐盟等國(guó)立法確立以合理使用原則和制度為數(shù)據(jù)使用的合法基礎(chǔ)，吸納場(chǎng)景理論的合理內(nèi)核，側(cè)重從個(gè)人信息風(fēng)險(xiǎn)評(píng)估的角度保護(hù)個(gè)人信息，當(dāng)評(píng)估結(jié)果為對(duì)個(gè)人信息造成影響極小時(shí)，可不經(jīng)個(gè)人同意為相應(yīng)處理。當(dāng)個(gè)人信息經(jīng)匿名化處理后，不再是個(gè)人信息，亦可不經(jīng)同意進(jìn)行處理，且不受個(gè)人信息法律約束。此外，合理使用的認(rèn)定上需通過(guò)是否進(jìn)行個(gè)人信息風(fēng)險(xiǎn)評(píng)估、是否采取去標(biāo)識(shí)化等安全措施、是否保障了個(gè)人參與和控制的權(quán)利等事項(xiàng)加以豐富。概括而言，合理使用個(gè)人信息的數(shù)據(jù)控制者應(yīng)有良好的風(fēng)險(xiǎn)控制制度，在后臺(tái)運(yùn)營(yíng)和前端應(yīng)用等場(chǎng)景設(shè)計(jì)、開(kāi)發(fā)時(shí)充分考慮個(gè)人信息保護(hù)，采取適當(dāng)?shù)募夹g(shù)手段保證使用過(guò)程中的信息安全，賦予個(gè)人信息主體一定程度的自主控制權(quán)利。