吳昊星

（上海大學(xué)法學(xué)院,上海 200444）

郭兵購買野生動物園的年卡并錄入其指紋信息后，野生動物園方面卻要求郭兵激活人臉識別系統(tǒng)才能夠入園，郭兵認(rèn)為人臉信息屬于高度敏感的信息，不同意接受人臉識別，故起訴杭州野生動物園。法院最終判決動物園賠償郭兵合同利益損失及交通費1 038元，刪除郭兵辦理年卡時提交的照片等面部特征信息①。隨著互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展，對于與個人信息有關(guān)的權(quán)益也急需加強(qiáng)保護(hù)，我國《民法典》明確將個人信息作為一項民事權(quán)益②，2021年11月1日《個人信息保護(hù)法》將正式實施，預(yù)示著我國個人信息的保護(hù)將進(jìn)入一個新的階段。但到底何為個人信息，如何在實現(xiàn)保護(hù)個人信息的同時推動個人信息的商業(yè)化使用，這些問題都具有重大的理論和實踐意義。

1 個人信息范圍界定

首先需要界定個人信息的范圍。《中華人民共和國民法典》規(guī)定自然人的個人信息受法律保護(hù)，但是沒有明確指明哪些屬于個人信息，剛頒布的《中華人民共和國個人信息保護(hù)法》第四條規(guī)定：“個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關(guān)的各種信息，不包括匿名化處理后的信息?！边@里將個人信息分類為“已識別”和“可識別”兩種不同的情形，即必須能夠被“識別”出和特定自然人相關(guān)的信息才屬于個人信息的范疇，但是不包括已經(jīng)喪失“識別”標(biāo)準(zhǔn)的“匿名化”的信息。已識別的個人信息，是指那些已經(jīng)和特定的自然人聯(lián)系起來的信息，例如某個人的家庭住址、聯(lián)系電話、工作單位等，將已經(jīng)識別到的自然人的信息納入個人信息的范疇是保護(hù)個人信息的應(yīng)有之義。對于“可識別”的個人信息，通常有兩種分類，即直接識別的個人信息和間接識別的個人信息，其區(qū)別在于是否需要借助其他信息就可以識別出特定的自然人。

1.1 直接識別的個人信息

直接識別是指可以直接識別到特定自然人，不需要借助其他任何信息。一個人獨有的特征構(gòu)成了這些可以直接識別的個人信息，例如身份證號碼、電話號碼、指紋信息等。直接識別的個人信息通常與特定的自然人有緊密的聯(lián)系，其與隱私權(quán)僅隔著一層薄薄的面紗，通過這些信息就可追蹤到特定的個人。故對直接識別的個人信息的使用應(yīng)當(dāng)保持最大的謹(jǐn)慎，充分貫徹個人信息自決的權(quán)利，賦予權(quán)利人足夠的空間去控制這些信息。

1.2 間接識別的個人信息

間接識別是指需要與其他信息一起才能將該信息與特定的自然人聯(lián)系起來。一些信息單獨并不能識別到特定的個人，但是與其他信息相互印證之后就可以起到識別的作用，例如我們在使用電腦時瀏覽網(wǎng)頁的行為會被記錄在瀏覽器的cookie信息中，單獨的cookie可能并不能識別到瀏覽網(wǎng)頁的人，但是和瀏覽器上登錄的賬號相結(jié)合就可以鎖定到具體的人。在技術(shù)上，這種間接識別標(biāo)準(zhǔn)日益受到挑戰(zhàn)，隨著數(shù)據(jù)分析、挖掘等新技術(shù)的發(fā)展，曾經(jīng)的“間接識別問題”變得異常棘手，以至于將“個人網(wǎng)絡(luò)行為記錄信息”認(rèn)定為不屬于個人，可識別信息變得“搖搖欲墜”[1]。

2 域外個人信息保護(hù)的范圍

2.1 美國個人信息保護(hù)的范圍

在個人信息的保護(hù)上，美國采納直接識別與間接識別相結(jié)合的標(biāo)準(zhǔn)。在Kevin Low v.LinkedIn Corporation案中，美國加州地方法院法官認(rèn)為瀏覽器中的cookie信息屬于個人信息，這實際上承認(rèn)了個人信息的間接識別標(biāo)準(zhǔn)③，美國《2018加州消費者隱私法案》規(guī)定：“個人信息系指直接或間接地識別、關(guān)系到、描述、能夠相關(guān)聯(lián)或可合理地鏈接到特定消費者或家庭的信息”，即美國的個人信息保護(hù)標(biāo)準(zhǔn)與我國個人信息保護(hù)標(biāo)準(zhǔn)類似。

美國在致力于個人信息保護(hù)的同時也注重數(shù)據(jù)的流通，這樣的價值取向會導(dǎo)致間接識別范圍上的差異。在Kevin Low v.LinkedIn Corporation案中，法官雖然認(rèn)為cookie信息屬于個人數(shù)據(jù)，但是其駁回了原告要求賠償?shù)脑V訟請求，認(rèn)為LinkedIn 公司對用戶的侵害遠(yuǎn)沒有達(dá)到需要賠償?shù)某潭?。美國一直尋求個人對個人信息的控制與信息自由流通的靈活機(jī)制，以實現(xiàn)個人利益、社會利益與公共利益的平衡[2]，所以美國雖然也認(rèn)為間接識別的個人信息也屬于個人信息的范疇，但是其更致力于數(shù)據(jù)的流通與交換，這也間接支持了Google、Amazon這樣的互聯(lián)網(wǎng)巨頭對海量信息資源的使用，使其數(shù)據(jù)產(chǎn)業(yè)得到了進(jìn)一步發(fā)展。

2.2 歐盟個人信息保護(hù)的范圍

在個人信息的保護(hù)標(biāo)準(zhǔn)確定上，歐盟也采用直接識別和間接識別相結(jié)合的方式。歐盟早在1995年制定的《數(shù)據(jù)保護(hù)指令》中就規(guī)定個人數(shù)據(jù)是指已識別的或可識別的自然人有關(guān)的任何信息；之后的《通用數(shù)據(jù)保護(hù)條例》（以下簡稱“GDPR”）第26條規(guī)定：“為確定自然人是否可識別，應(yīng)考慮采取所有合理使用的方式，包括控制者或其他人直接或間接地識別自然人所選擇的方式。”可以看出歐盟在個人信息的保護(hù)標(biāo)準(zhǔn)上，一貫堅持直接識別與間接識別相結(jié)合的標(biāo)準(zhǔn)，這也是在信息化時代保護(hù)個人信息的必然選擇。

歐盟一貫重視保護(hù)個體的人身權(quán)益，傾向于個人信息的絕對保護(hù)，這樣的價值取向會使得間接識別所包含的范圍極其廣泛。在Patrick Breyer v.Federal Republic of Germany的案件中，法官認(rèn)為動態(tài)IP如果和其他信息結(jié)合在一起能夠識別到特定個人的話，該動態(tài)IP也可以被視為個人信息④。關(guān)于GDPR第26條的立法解釋也印證了上述價值取向：應(yīng)當(dāng)考慮數(shù)據(jù)控制者或者其他人使用的所有可能的合理方法去評估識別的可能性，這里“所有可能的合理方法”就是絕對意義上的間接識別標(biāo)準(zhǔn)。在數(shù)據(jù)科技日益發(fā)達(dá)的今天，幾乎可以通過各種信息相互印證從而間接識別特定人的個人信息，歐盟嚴(yán)格的個人信息保護(hù)會使互聯(lián)網(wǎng)企業(yè)使用數(shù)據(jù)信息受到阻礙，促使社會承擔(dān)巨大的成本。

3 個人信息如何商業(yè)化使用

大數(shù)據(jù)產(chǎn)業(yè)的發(fā)展以每個人創(chuàng)造的數(shù)據(jù)為基礎(chǔ)，數(shù)據(jù)的流通也為整個社會資源的有效分配作出貢獻(xiàn)。有關(guān)個人信息的商業(yè)化使用是信息化時代的必然要求，正如阿聯(lián)酋人工智能部部長奧馬爾·本·蘇爾坦所強(qiáng)調(diào)的那樣，數(shù)據(jù)是新的石油資源⑤，問題的關(guān)鍵為在保障個人信息權(quán)益的前提下如何使用好這些“新石油”。歐盟主張對個人信息的強(qiáng)效保護(hù)機(jī)制，使得中小企業(yè)承擔(dān)了巨大的數(shù)據(jù)合規(guī)成本，導(dǎo)致其數(shù)據(jù)產(chǎn)業(yè)發(fā)展受阻，至今沒有像Facebook、Google 那樣的大型互聯(lián)網(wǎng)科技公司。美國在保護(hù)個人信息的同時強(qiáng)調(diào)與個人有關(guān)的數(shù)據(jù)流通，其更加傾向數(shù)據(jù)的等價交換和商業(yè)化使用，這和其自身作為數(shù)據(jù)強(qiáng)國不無關(guān)系。在國與國競爭日益激烈的今天，我國如何在保障個人信息安全的同時，促進(jìn)有關(guān)個人信息的商業(yè)化使用與扶植自身的數(shù)據(jù)產(chǎn)業(yè)具有重大的理論意義和現(xiàn)實需求。

3.1 直接識別標(biāo)準(zhǔn)下的商業(yè)化使用

對于直接可識別的個人信息，因其與自然人的私人生活密切相關(guān)，應(yīng)該嚴(yán)格適用個人信息的保護(hù)標(biāo)準(zhǔn)。根據(jù)這些個人信息是否公開，可以分為公開的個人信息與非公開的個人信息，對其進(jìn)行商業(yè)化使用的規(guī)則也有所不同。

3.1.1 非公開的個人信息

對于非公開個人信息的商業(yè)化使用，應(yīng)當(dāng)在收集、處理和使用中取得信息主體的同意，并遵循對個人信息主體影響最小的原則。

我國《個人信息保護(hù)法》明確規(guī)定，只有取得個人的同意才可以處理個人信息⑥，世界各國對個人信息處理普遍采取了知情同意原則[3]。非公開的信息可以直接識別到特定個人，信息主體出于各種考慮而選擇沒有公開，對這些信息的商業(yè)化使用當(dāng)然要經(jīng)過其專門的同意，否則將嚴(yán)重侵害公民的私人生活安寧。值得注意的是，雖然一些直接識別的信息在一定范圍內(nèi)被其他人所知，但并不能認(rèn)為信息主體對其進(jìn)行了公開，例如一個人的電話號碼、身份證號碼等，其只是為了能夠正常的生活工作而進(jìn)行的有限范圍的知悉，但不屬于已經(jīng)公開的個人信息。我國《個人信息保護(hù)法》第六條第一款規(guī)定：“處理個人信息應(yīng)當(dāng)具有明確、合理的目的，并應(yīng)當(dāng)與處理目的直接相關(guān)，采取對個人權(quán)益影響最小的方式”，即商業(yè)主體在對個人信息所產(chǎn)生的數(shù)據(jù)進(jìn)行使用的時候，應(yīng)當(dāng)出于對信息主體負(fù)責(zé)的態(tài)度，不濫用有關(guān)信息。例如有些商業(yè)主體在收集用戶的位置信息時，對用戶的位置信息進(jìn)行高頻次的讀取，這樣的做法明顯不符合影響最小原則。

3.1.2 公開的個人信息

對于公開的個人信息的商業(yè)化使用，要從信息主體與商業(yè)使用主體兩者之間，以及與第三方主體三者之間的不同維度進(jìn)行考察。

在信息主體與商業(yè)使用主體之間，商業(yè)主體首先要取得信息主體的同意，但是對于自愿公開的個人信息，不能就此認(rèn)為信息主體已經(jīng)默示同意。在現(xiàn)實生活中，信息主體為了進(jìn)行正常的生活、工作或者表達(dá)某種心情時會公開自己的有關(guān)信息，例如出于某種表達(dá)和分享的欲望在微信朋友圈曬自己的照片；在婚戀交友網(wǎng)站上為了能夠匹配到心儀的對象而公開自己的基本情況；為了尋求到工作機(jī)會而在招聘網(wǎng)站上公布求職信息等。信息主體的上述公開是基于特定目的進(jìn)行的公開，這并不意味著商業(yè)主體使用上述信息已經(jīng)取得了本人的同意，我國《個人信息保護(hù)法》第十四條明確規(guī)定處理個人信息必須在信息主體充分知情的前提下，并且當(dāng)處理的目的或者方式等發(fā)生變更時，應(yīng)當(dāng)獲得信息主體的重新授權(quán)⑦。所以這里直接識別的個人信息并不能因為本人已公開而進(jìn)行隨意的商業(yè)化使用，需要根據(jù)具體不同的場景得到明確授權(quán)。

第三方在使用信息主體已經(jīng)在另一平臺上公布的個人信息時，就需要協(xié)調(diào)三方主體之間的關(guān)系。在微博訴脈脈案中，脈脈公司未經(jīng)微博方面的授權(quán)就擅自超出協(xié)議約定的范圍抓取微博用戶已經(jīng)公開的信息，微博方面認(rèn)為脈脈公司的行為侵害了其合法權(quán)益，是一種不正當(dāng)競爭行為⑧，本案實際上有3層法律關(guān)系，首先是微博公司與用戶之間的關(guān)系，其次是脈脈公司與用戶之間的關(guān)系，最后是微博公司與脈脈公司之間的關(guān)系。從個人信息保護(hù)與使用的角度，脈脈公司不但有不正當(dāng)競爭行為，還存在侵害個人信息權(quán)益的行為。脈脈公司只是與微博方面簽訂了協(xié)議，但其收集和使用微博用戶信息時并沒有得到用戶的授權(quán)，學(xué)者提出了此類行為情形下的“三重授權(quán)”，其本質(zhì)是信息主體對公開的個人信息享有控制權(quán)。所以對于公開可識別的個人信息，其雖然已經(jīng)公開，但還要確保信息主體對有關(guān)信息的控制權(quán)益。

3.2 間接識別標(biāo)準(zhǔn)下的商業(yè)化使用

對于間接識別的個人信息，因為無法直接識別到特定的個人，要根據(jù)個人信息的敏感程度不同而分不同的情況進(jìn)行討論，例如對于性取向，有些人就可以在社交平臺上大方公布，而有些人把它作為隱私不愿意讓任何人知悉。

3.2.1 私密信息

私密信息是指那些與人身密切相關(guān)的信息，例如性取向、基因或生理缺陷、私密物品的購買記錄等。這類信息和民法上的隱私具有千絲萬縷的聯(lián)系，但是和隱私權(quán)有本質(zhì)不同。隱私與特定的自然人相聯(lián)系，它是指自然人的私人生活安寧和不愿為他人知曉的私密空間，私密信息雖然具有很強(qiáng)的私密性，但其是間接識別的個人信息，需要和其他信息結(jié)合在一起才可以聯(lián)系到特定的個人，就像性取向本身不會對任何人造成傷害一樣?！睹穹ǖ洹返谝磺Я闳臈l第二款規(guī)定：“個人信息中的私密信息，適用有關(guān)隱私權(quán)的規(guī)定；沒有規(guī)定的，適用有關(guān)個人信息保護(hù)的規(guī)定?！辫b于私密信息自身的敏感性和暴露的危害性，這類個人信息應(yīng)當(dāng)適用于隱私權(quán)的規(guī)定，通常要禁止商業(yè)上的使用。

3.2.2 敏感信息

敏感信息比私密信息更開放一些，它雖然和隱私之間有明顯的區(qū)別，但是一旦泄露或者被非法使用，也會給特定的信息主體造成人身或財產(chǎn)上的損害，敏感信息有很多種類，例如人臉信息、身份信息、銀行賬戶信息等。敏感信息不像私密信息那樣禁止其使用，但是其商業(yè)化使用應(yīng)當(dāng)比通常的規(guī)則更加嚴(yán)格，需要有更多的限定措施，我國《個人信息保護(hù)法》第二十八條第二款規(guī)定：“只有在具有特定的目的和充分的必要性，并采取嚴(yán)格保護(hù)措施的情形下，個人信息處理者方可處理敏感個人信息”。即對于敏感信息的商業(yè)化使用，要具有特定的目的和充足的理由，在可用可不用的時候盡量避免使用敏感信息，同時還應(yīng)當(dāng)提前向信息主體充分告知使用敏感信息可能對其產(chǎn)生的各種影響。值得注意的是，為了加強(qiáng)對未成年人的保護(hù)，十四周歲以下的未成年人的個人信息，統(tǒng)一界定為敏感信息，對其使用也應(yīng)當(dāng)取得其監(jiān)護(hù)人的同意。

3.2.3 一般信息

一般信息是指那些不會對信息主體的隱私產(chǎn)生危害，也不會因為泄露或者非法使用導(dǎo)致嚴(yán)重后果的信息，例如用戶的網(wǎng)頁瀏覽記錄、商品瀏覽記錄、系統(tǒng)錯誤報告信息等。一般信息通常對信息主體的影響不大，同時這些信息屬于間接識別信息，無法單獨識別到特定的個人，所以對一般信息的商業(yè)化使用采取較為寬緩的態(tài)度，對其保護(hù)也明顯弱于敏感信息和隱私信息。只需要信息處理者在使用之前取得信息主體的同意即可，例如在使用APP之前可以在隱私條款前設(shè)置一個勾選框取得用戶的同意。雖然是一般信息，但是在商業(yè)化使用時也需要按照合理限度、影響最小的原則進(jìn)行商業(yè)化使用。

3.2.4 匿名化信息

匿名化的信息是指那些已經(jīng)喪失了識別性的信息，因為這類信息已經(jīng)不可能識別到特定自然人，我國《個人信息保護(hù)法》第四條明確將匿名化的信息排除在個人信息保護(hù)的范圍之外。所以匿名化的信息在某種程度上就成為了一種公共數(shù)據(jù)資源，可以更加自由地進(jìn)行商業(yè)化使用。值得注意的是，要區(qū)分匿名化信息和去識別化信息，匿名化的信息已經(jīng)完全喪失了識別性，而去識別化的信息是信息處理者通過某種方式將信息的識別性進(jìn)行隱藏，其去識別化是一個可逆的過程。去識別化的信息雖然在形式上和匿名化的信息非常相似，但其隨時可以恢復(fù)識別性，所以去識別化的信息可能是私密信息、隱私信息或者一般信息。對于去識別化的信息，應(yīng)當(dāng)按照其實質(zhì)的內(nèi)容進(jìn)行商業(yè)化使用，不能將其當(dāng)做匿名信息。

4 結(jié)語

技術(shù)的飛速發(fā)展使得人們對個人信息權(quán)益的保護(hù)訴求日益凸顯，但個人信息也包含著巨大的產(chǎn)業(yè)經(jīng)濟(jì)利益，給予個人信息過強(qiáng)的保護(hù)會在無形中增加整個社會的運行成本，對個人信息保護(hù)不足也會導(dǎo)致個人權(quán)益受到嚴(yán)重侵害。應(yīng)當(dāng)根據(jù)個人信息識別標(biāo)準(zhǔn)的差異，在個人信息權(quán)益的保護(hù)與產(chǎn)業(yè)經(jīng)濟(jì)發(fā)展的利益均衡中追求社會總體效益的最佳組合。

注釋：

①浙江省杭州市富陽區(qū)人民法院（2019）浙0111民初6971號判決書。

②《中華人人民共和國民法典》第一百一十一條：“自然人的個人信息受法律保護(hù)。任何組織和個人需要獲取他人個人信息的，應(yīng)當(dāng)依法取得并確保信息安全，不得非法收集、使用、加工、傳輸他人個人信息，不得非法買賣、提供或者公開他人個人信息”。

③900 F.Supp.2d 1010(N.D.Cal.2012)。

④Joined Cases C468/10 and C469/10。

⑤人民網(wǎng):《人民日報：“數(shù)據(jù)就是新的石油”》 http://opinion.people.com.cn/n1/2019/0813/c1003-31290790.html.

⑥《中華人民共和國個人信息保護(hù)法》第十三條：“符合下列情形之一的，個人信息處理者方可處理個人信息：（一）取得個人的同意……”。

⑦《中華人民共和國個人信息保護(hù)法》第十四條：“基于個人同意處理個人信息的，該同意應(yīng)當(dāng)由個人在充分知情的前提下自愿、明確作出。法律、行政法規(guī)規(guī)定處理個人信息應(yīng)當(dāng)取得個人單獨同意或者書面同意的，從其規(guī)定。個人信息的處理目的、處理方式和處理的個人信息種類發(fā)生變更的，應(yīng)當(dāng)重新取得個人同意?！?/p>

⑧北京知識產(chǎn)權(quán)法院（2016）京73民終588號民事判決書。