高富平
个人信息(或称个人数据)是数据要素中的重要组成部分,在实现数据效用方面发挥关键作用,促进个人信息流通利用是不可阻挡的历史趋势。2020 年3 月,《中共中央国务院关于构建更加完善的要素市场化配置体制机制的意见》正式提出建设数据要素市场。之后,关于数据要素市场建设的制度规范逐渐制定完善。2022 年3 月,中共中央、国务院公布《关于加快建设全国统一大市场的意见》,继续强调发挥数据效能,建设数据要素市场。数据要素成为我国经济社会发展的重要力量。新近出台的《中华人民共和国反电信网络诈骗法》也强调个人信息流通、共享在反电信网络诈骗过程中的重要作用(第29 条)。
然而,如果仅从文义角度分析以《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)条文为内容的个人信息治理规则,会发现个人信息流通利用的通道似乎并未实际搭建起来。数据要素市场强调的是数据在流通利用中发挥价值,但是《个人信息保护法》的建构以个人控制为中心,并不适合个人信息流通利用。《个人信息保护法》只规范个人信息处理者(使用者)与个人之间的直接使用关系,并不调整数据持有者对外提供、分享、流通行为。无论是个人信息处理者因合并、分立、解散、被宣告破产等原因需要转移个人信息(第22 条),还是个人信息处理者向其他个人信息处理者提供其处理的个人信息(第23 条),个人信息处理者向中华人民共和国境外提供个人信息(第39 条)抑或个人信息公开(第25 条),都需要通过重新同意、单独同意或者再次告知等形式与个人重新建立关系。换言之,《个人信息保护法》搭建的个人信息处理者(使用者)与个人之间直接处理(使用)关系,并没有给个人信息处理流通或者从信息处理者处间接获得个人信息提供合法通道。
应当看到,个人信息由个人信息处理者实际控制和使用,合法正当的个人信息利用秩序是通过个人信息处理者履行法律义务并兼顾各方合理权益的治理过程实现的,而不是完全、纯粹、孤立的个人权益保护过程。如果僵化地纯粹从文义上理解个人信息利用规则,并不符合个人信息的多重价值或利益属性,违背《个人信息保护法》的规范目的,更不利于数据要素化利用。同时,识别性是个人信息基本功能,也是个人权益风险之源;
但是,不同类别的个人信息识别性差别较大,其风险或危害程度也不尽相同,我们不应忽视差别而“一刀切”地适用同一规则。于是,本文首先明确对个人信息治理规则具有指导作用的规范目的,并在重视个人信息识别性差异的基础上对个人信息治理规则进行类型化研究。在个人信息治理的宏大视野下重新看待个人权益的保护问题,尝试为准确解释适用《个人信息保护法》条文提供一个可行的方案。
规范目的对于具体规则的解释适用无疑具有重要的指导作用。解释适用时,应当考虑何种解释方案最能配合立法者的规范目的(或规范想法)〔1〕[德]卡尔·拉伦茨:《法学方法论》,陈爱娥译,商务印书馆2003 年版,第207 页。,并选择最符合规范目的的解释方案。
(一)规范目的:保护个人前提下的信息利用
《个人信息保护法》在第1 条将其目的表述为三个部分,依次为“保护个人信息权益”“规范个人信息处理活动”与“促进个人信息合理利用”。
三个目的之间具有位阶和序位关系。首先,“保护个人信息权益”“促进个人信息合理利用”是根本目的,而“规范个人信息处理活动”是直接目的,是实现前两个目的的手段。其次,在两个根本目的中,“保护个人信息权益”构成“促进个人信息合理利用”的前提或手段。只有个人信息权益得到保护,人们才能放心允许个人信息的利用,一切利用都是建立在个人权益保护的基础上。
关于保护个人信息权益。虽然法律名称为“个人信息保护法”,但是并非保护个人信息,而是保护个人信息处理过程中涉及的各方利益。就此而言,《个人信息保护法》非权利法,未建立非经同意即违法或侵权的赋权保护模式;
相反,《个人信息保护法》是行为规范,通过规制个人信息处理者的行为实现对个人合法权益的保护。〔2〕高富平:《个人信息保护:从个人控制到社会控制》,载《法学研究》2018 年第3 期。多方面原因造成了个人信息受保护而非个人(权益)受保护的误解。一方面原因是对域外法律的误读。持个人控制个人信息观点者多以德国法和德国学说为依据;
但是根据学者的考究,德国法和德国学说中的个人信息自决权并非指个人控制其个人信息。〔3〕杨芳:《个人信息自决权理论及其检讨——兼论个人信息保护法之保护客体》,载《比较法研究》2015 年第6 期。另一方面原因是来自简称的误解。我国法律简洁地命名为“个人信息保护法”,欧盟法律规范被简称为“统一数据保护条例”(GDPR),这种简化表述容易造成歧义。在全球发挥示范引领作用的欧盟GDPR 的全称为“欧洲议会和欧盟理事会2016 年4月27 日关于个人数据处理中自然人保护、个人数据自由流通以及废除95/46/EC 号指令的(EU) 2016/679号条例”。〔4〕REGULATION (EU) 2016/679 of The European Parliament And of The Council of 27 April 2016 on The Protection of Natural Persons With Regard to The Processing of Personal Data And on The Free Movement of Such Data,And Repealing Directive 95/46/Ec (General Data Protection Regulation),https://gdpr.eu/,2022 年11 月6 日访问。从全称可以看出,它是保护个人数据处理中的自然人,而非保护个人数据;
个人在个人数据处理中的权利被概括为个人数据受保护权(right to protection of personal data),而不是个人数据权。
之所以这样定位,就是因为《个人信息保护法》存在一个基本制度假设:个人信息是社会可利用的资源。个人信息是个人进入社会的必然,每个人都需要以姓名为核心的识别符,一方面将自己与他人区别开来,另一方面每个人在参与社会活动中会自觉或不自觉地留下很多印迹,以塑造自己的独立个性(这是人格权的重要内涵)。与此同时,在每个人从事社会交往、商业交易、政务服务等过程中均需要了解对方身份及其个性特征,需要对所打交道的人或将要打交道的人进行分析评估。按照正常的社会交往习惯,这不需要事先征得相对人同意。在传统法律观念当中,事实和信息都不受保护,而是处于任何人都可以自由利用的公共领域。关于个人的信息也属于事实信息,故当然也是如此。人们可以自由获取、评论(分析)和传播个人信息,但若造成侵害名誉权、隐私权等人格权益侵害的,要承担民事侵权责任。伴随着计算机技术应用,个人尊严、自由等人格权益受到特别的威胁,因而需要法律干预个人信息处理活动,防范滥用个人信息侵害个人权益的行为,但这样的保护仍然要援用责任规则。换言之,《个人信息保护法》坚持个人信息是社会可用的,但是使用对个人造成侵害要承担责任。只是为了更好地保护个人在个人信息处理中的权益,才采用了完全预防机制(允许个人参与到个人信息处理全生命周期),而不是单纯的事后救济,使个人对个人信息使用(处理)具有控制性权利。这使得个人信息保护法呈现出个人与个人信息处理者之间复杂的权利义务安排,以塑造出正当个人信息处理规则。
正是在这个意义上,个人信息保护规则演变为一套治理规则:在个人信息可收集和使用的前提下,建立一套个人信息处理法律规则,使个人信息处理者在平衡各方权益基础上实施安全和合规管理,实现个人信息正当利用。这是从个人信息保护法源起出发而对《个人信息保护法》进行的应然目的定位和范式解释。
(二)保护个人:识别身份行为之规范
保护个人并不意味着个人控制个人信息,而是在个人信息处理过程中保护个人权益。个人信息只是以个人为主题(subject),其内容与个人情况有关系,这无法推导出个人控制个人信息的结论。学界的控制论立场已然有所修正,但是其仍然未脱离个人原则上对个人信息享有控制权的核心理念。个人信息与个人有关,只能说明个人应受保护。从社会运行角度来看,个人控制个人信息不利于数据的流通利用和经济社会的发展。另外,从实践经验来看,个人对个人信息的实际控制力有限,无法有效、理性地行使个人信息的控制权。〔5〕国家计算机网络应急技术处理协调中心、中国网络空间安全协会:《App 违法违规收集使用个人信息监测分析报告》,中国网信网,http://www.cac.gov.cn/2021-12/09/c_1640647038708751.htm,2022 年11 月6 日访问。个人信息的产生、价值提升与价值实现,离不开多方主体的参与,其利用过程也影响着多方利益,因此个人控制个人信息绝非现实,应当转向个人信息治理过程中保护个人权益。
个人信息处理中所需保护的个人权益有两方面。一方面,基于宪法人格尊严而享有的个人事务自决之自由,包括个人自治(自由)、身份(识别)利益、不歧视(平等)等。〔6〕高富平:《论个人信息保护的目的——以个人信息保护法益区分为核心》,载《法商研究》2019年第1 期。另一方面,个人的民事权益也不能因个人信息处理而受任何侵害。《中华人民共和国民法典》确认了个人所享有的人身权益和财产权益,包括姓名权、肖像权、名誉权、荣誉权、隐私权等,还包括作为兜底条款的一般人格权。这些既有的人身权益和财产权益在个人信息处理过程中不能受侵犯或有受侵犯之虞。〔7〕杜牧真:《个人信息权的法益与性质的审视与再界定》,载《新疆大学学报(哲学·人文社会科学版)》2022 年第1 期。
而个人权益与个人身份紧密相关。控制、规范身份识别问题是个人信息规范目的的重要内容。〔8〕陆青:《数字时代的身份构建及其法律保障:以个人信息保护为中心的思考》,载《法学研究》2021 年第5 期。身份是个人发展其人格的重要承载体。个人所为之一切发展人格的行为,其后果最终通过身份而准确归属于自己。而且,个人所进行活动而获得之名誉、声望、信用也通过准确的身份而得到不断地积累。从反面来看,侵害个人权益的行为也将通过身份而将不利后果传导到个人。例如,身份盗用、身份欺诈正是通过身份而将账户金额减少之不利后果转移给不相关的自然人。另外,正是因为身份的明确,导致冒用个人信息亦将滋生精准诈骗。〔9〕如多年前的山东徐某玉案,参见陈某辉、郑某锋等诈骗、侵犯公民个人信息案(山东省高级人民法院〔2017〕鲁刑终281 号刑事裁定书)。个人信息利用过程中一旦出现错误,也正是通过身份而将不利后果归于个人。例如,在广东互联网法院的一则裁判中,被告某科技公司运营的企业信用信息查询平台上将失信被执行人信息、限制高消费信息、终止执行案件信息等错误关联至甲公司及其法定代表人乙名下。〔10〕“广州互联网法院发布个人信息保护典型案例”之“案例四:算法错误关联个人信息应当更正删除——梁某、某实业公司与某科技公司网络侵权责任纠纷案”,载微信公众号“广州互联网法院”2022 年11 月2 日。这种个人信息错误将最终通过身份的准确对应,而精准侵害个人的名誉权等既有权益。
故此,个人信息处理中保护个人权益的方式在于不识别个人身份。不识别个人身份有两方面要求。
一方面,个人信息本身含有的姓名、身份证号、生物识别信息等直接标识符能够使个人信息处理者直接识别个人信息主体的身份。信息的识别性是一条连续的光谱。一端是姓名等直接指认出身份的直接标识符,另一端则无法识别,而在这两端之间有间接标识符、准标识符及各种可以通过结合分析而匹配到某信息主体的大量信息。标识符是分析评估的工具,主要充当分析评估的手段,使识别分析成为可能。非标识符信息则是实现个性特征分析评估的主要内容。相比之下,处于信息识别性连续光谱的一端的直接识别符,既能充当分析评估手段,其本身又能直接表征个人身份。
另一方面,个人信息本身即使不含直接标识符,个人信息处理者也可能通过结合多方来源信息识别出个人的身份。信息的识别性不仅取决于其本身,也在于分析行为。大量个人信息缺少与主体之间的直接关联性(缺少直接标识符),但仅依赖信息可链接性而归属于或关联某个间接标识符(尤其是数字ID)。大数据时代,数据来源的多元化、数据量的爆炸式增加,数据处理技术和算法技术的明显发展,使得通过对多来源信息结合分析进而识别出个人身份变得容易和便捷。个人信息不含身份识别信息,只是在一个边界确定的数据集意义上而言的。当对于符合这样特征的数据集进行去标识化处理,有可能在该特定数据域下实现去身份。但是一旦对于个人信息处理者的行为不加以控制,那么所谓去标识化处理无非是掩人耳目的避法之举。
识别身份的两种途径,决定了应当重点针对此两种途径进行个人信息治理。
(三)信息利用:分析评估个性特征
如果从识别行为的目标角度,广义的识别行为可以分为两类:一是识别自然人的身份;
二是识别自然人的行为习惯、兴趣爱好或者经济、健康、信用状况等个性特征。以自然人身份为目标的行为便是狭义的识别行为,《个人信息保护法》中的“识别”即指狭义识别。以勾勒自然人的个性特征甚至是群体特征为目标的识别分析行为(也称为画像〔11〕程啸:《个人信息保护法理解与适用》,中国法制出版社2021 年版,第550 页。)也属于广义识别行为,但区别于狭义识别行为,在《个人信息保护法》中被称为“分析、评估”(第73 条第二项,下文统一称为分析评估)。
通过信息识别个人的身份当然是个人信息的重要作用。《个人信息保护法》中的“识别”,均指以识别个人身份为目标的识别行为。第一,该法第4 条第1 款规定,“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息”。其中,已识别或者可识别,其目标均指向“自然人”,此处“有关”是指与自然人身份关联。第二,第26 条“个人身份识别”的法律表达更是直接点明识别的目标是身份。第三,第28 条第1 款列举了“生物识别”信息,而生物识别信息就是直接标识符的一种,其作用在于表征身份。第四,第73 条第三项和第四项中的“无法识别特定自然人”,此处的“特定自然人”同第4 条第1 款中的“自然人”含义相同,均指身份。
但是,分析评估个性特征是目前处理个人信息的重要目的。个人信息的价值主要不在于识别身份,而在于分析评估个人的行为习惯、兴趣爱好或者经济、健康、信用状况等个性特征。分析评估个性特征的价值,一方面是分析信用等,以防范不必要的商业风险和安全风险;
另一方面是分析偏好等,以决定是否及如何触达或采取行动。以分析评估个性特征为目标,其特点在于要求信息指向或具象到某个个体,但不要求该个体的真实身份,在识别其身份之前,该个体仍为抽象存在。例如,在利用医疗保障数据进行个性分析时,不必得知参保个人的身份(如姓名:张三),仅通过国家医疗保障部门为每位参保个人配备的唯一编码,即可将关于该参保个人的各方来源的信息匹配起来并进行分析评估,但始终不需要知道该个人是谁。也就是说,在目前的个人信息实践中,对于个性特征的分析并不需要个人的直接标识符。
于是,当区别识别的两种目标——个人身份与个性特征——时,就会缓解个人保护与信息利用之间的冲突和张力:允许利用信息分析评估个性特征,但规制个人身份识别行为。对于个人信息处理者而言,其分析评估过程所关注的是个性特征而非个人身份。个性特征的分析评估主要是基于“识别设备的信息”(DII)〔12〕识别设备的信息(Device-Identified information,DII),即与浏览器、设备或一组设备关联(link)的,且不用于直接识别某个人的数据。出自2020 NAI Code of Conduct,https://thenai.org/wpcontent/uploads/2021/07/nai_code2020-2.pdf,2022 年11 月7 日访问。实现的。分析评估个性特征对信息的基本要求是信息之间可链接,而在万物互联环境中网络和设备均有ID(DII),基于DII 即可以识别个性特征。DII 背后是一个佚名用户,佚名用户的背后是某个真实存在的人。DII 不是匿名数据,但是能做到使个人信息处理者无法通过信息本身识别身份。而对于需要在信息处理过程中受到保护的个人而言,更关注其个人身份不被识别。牛津大学教授桑德拉·瓦赫特(Sandra Wachter)提出,基于链接记录的分析方法可能会揭示用户身份,因此需要在物联网运行所需的特征分析与用户身份保护之间取得平衡。〔13〕Wachter,S.(2018).Normative challenges of identification in the Internet of Things: Privacy,profiling,discrimination,and the GDPR.Computer law &security review,34(3),436-449.这本质上正是本文所述的在控制身份识别基础上分析评估个性特征。
经过上述分析,个人信息治理规则的规范目的要求:允许利用信息分析评估个性特征,但规制个人身份识别行为。而不同个人信息的识别性具有较大差异,故此,应当根据不同类型信息在识别中的作用和个人控制或预防不当识别身份的可能性,对个人信息治理规则予以类型化。
直接标识符,是指结构化数据集中的属性,在特定环境下可以单独识别个人信息主体的身份。〔14〕《信息安全技术个人信息去标识化指南》(GB/T37964—2019)第3.7 条。常见的直接标识符有:姓名、身份证号、护照号、驾照号、银行卡号码、社会保险号码、健康卡号码、生物识别码等。〔15〕《信息安全技术个人信息去标识化指南》(GB/T37964—2019)第3.7 条注2。直接标识符的功能在于其直接表征具体个人的身份,从而能够将数据(行为)归属于个人。事前的同意应限于含直接标识符的个人信息,而对于直接标识符,各行业或领域宜在处理目的允许的情况下予以删除。
(一)处理前须经过个人同意
当待处理的个人信息含有直接标识符时,则个人信息处理者应当取得个人同意或者具备其他合法性基础。
一方面,从法律形式逻辑的角度分析,处理含直接标识符的个人信息均应取得个人的同意。从文义来看,《个人信息保护法》第13 条第1 款第一项能够涵摄含直接标识符的个人信息,无须赘述。从体系解释角度,也能说明含有直接标识符的个人信息应当适用同意规则。《个人信息保护法》第4 条第1 款规定,“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息”。含直接标识符的个人信息就是其中的“与已识别的自然人有关的各种信息”。相比于“与可识别的自然人有关的各种信息”,含直接标识符的个人信息显然属于《个人信息保护法》规制和保护的个人信息核心范畴,所以当然应适用同意原则。
另一方面,从正当性层面分析,含直接标识符的个人信息仍应当取得个人同意或者具备其他合法性基础。前文已经论述,在个人信息治理规则中,对于个人身份的保护是保护个人权益的关键举措。因为个人身份的披露将导致一切活动或后果都将精准地归属于该个人承担。直接标识符恰是个人身份的符号化表现,具有表征个人身份的作用。所以通过直接标识符能够将相关活动或相关影响的后果精准传导至该个人。为了尊重个人尊严,尊重其对个人事务的自决,尊重其是否披露身份的意愿,应当在处理前取得个人的同意,除非有其他合法性基础。〔16〕李群涛、高富平:《信息主体同意的适用边界》,载《财经法学》2022 年第1 期。
(二)处理过程宜删除直接标识符
如果个人信息处理的目的决定了没有必要保留直接标识符,那么收集个人信息时不应收集直接标识符;
即便收集了直接标识符的信息,也宜在处理过程中删除直接标识符,确保个人信息处理过程的安全。
删除直接标识符这一措施对应《个人信息保护法》中的“去标识化”。按照《个人信息保护法》第73 条第三项之规定,去标识化是指“个人信息经过处理,使其在不借助额外信息的情况下无法识别特定自然人的过程”。按照全国人大常委会法工委的解释,此种去标识化的“无法识别”,即指无法直接识别,〔17〕杨合庆主编:《中华人民共和国个人信息保护法释义》,法律出版社2022 年版,第175 页。恰恰对应直接标识符的删除。去标识化仍然是针对一个特定的数据集,删除该数据集中的直接标识符,从而达到在不借助额外信息的情况下无法识别特定自然人的效果。此处的“额外信息”包括直接标识符。当然,“额外信息”不限于直接标识符,还包括不含直接标识符的其他个人信息。因为当通过若干不含直接标识符的信息进行结合分析时,也能识别出特定自然人的身份。
删除直接标识符作为一项义务,已为《个人信息保护法》所确认。根据《个人信息保护法》第51 条第三项的规定,个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等,采取去标识化等安全技术措施,确保个人信息处理活动符合法律、行政法规的规定,并防止未经授权的访问以及个人信息泄露、篡改、丢失。
工资费的规定在审计实践中演变为:有财政性拨款的事业单位在职在编人员,不得再以任何形式在科研经费中列支工资性费用,而且此规定成为了严肃财经纪律中不能逾越的“红线”和带电的“高压线”。
删除直接标识符的治理措施,通用于个人信息处理全过程、全领域,不应只在信息公开时落实。虽然在《个人信息保护法》出台之前,在部分规范性文件中已经开始强调去标识化这一措施的运用,但是仅局限于个人信息公开的情形。例如,国务院2018 年发布的《2018 年政务公开工作要点》(国办发〔2018〕23 号)中仅要求在公开涉及个人隐私的政府信息时,要进行去标识化处理。囿于该文件的调整范围仅限于政务公开工作,所以各部委也仅将去标识化处理限缩于个人信息公开这一处理方式之上。〔18〕例如,交通运输部公布的《班车客运定制服务操作指南》(交办运函〔2022〕1205 号)仅提出,在公开信息中,对旅客个人信息采取加密、去标识化等安全技术措施,保障旅客个人信息安全。但这并不能说明去标识化(删除直接标识符)仅限于个人信息公开措施。根据新法优于旧法的解释规则,应当遵从《个人信息保护法》第51 条之规定,是否采取去标识化处理,应综合考虑“个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等”因素。
可喜的是,目前交通、医疗、金融等若干具体领域立法中逐渐将删除直接标识符(去标识化)作为一项贯穿全过程的义务。例如,2021 年五部门颁布的《汽车数据安全管理若干规定(试行)》第6 条第四项即提出,国家倡导汽车数据处理者在汽车数据处理活动中坚持脱敏处理原则,尽可能进行匿名化、去标识化等处理。再如,国家卫生健康委员会和国家中医药管理局在《关于加强全民健康信息标准化体系建设的意见》(国卫办规划发〔2020〕14 号)中强调去标识化在全民健康信息数据库标准化建设以及数据利用和共享流通过程中的重要作用。
总之,含直接标识符之个人信息的治理规则在于:第一,处理前必须经过个人同意;
第二,处理过程宜删除直接标识符。
间接标识符(也被称为DII),主要包括静态IP、MAC、设备ID 等。间接标识符不能够表征个人身份,而只能表征设备身份,进而间接指向一个虚拟的个体。间接标识符的作用在于在不彰显个人身份的情况下仍然能够关联与该个人有关的各方面信息,从而有助于在不识别该个人身份的情况下分析评估该个人的个性特征,揭示信用、行为倾向等。仅含间接标识符之个人信息的治理规则为:个人信息处理者可以豁免取得个人同意的义务而合理利用此类信息;
但是个人信息处理者需要全程被禁止识别个人的身份。除此之外,《个人信息保护法》的其他规定仍然应当遵守。
(一)处理前不需要经过个人同意
相比含直接标识符的个人信息,仅含间接标识符的个人信息的特殊之处在于去除了信息与信息主体的关联(直接标识符),但同时保留了信息之间的可链接性(间接标识符)。此类数据集的意义即在于保留了信息识别分析价值,且去除信息与主体直接关联所引发的风险,从而保留个人信息的基本效用。无论如何,仅含间接标识符的信息仍然具有识别自然人身份的可能性,因此其仍然属于个人信息。〔19〕江必新、郭锋主编:《〈中华人民共和国个人信息保护法〉条文理解与适用》,人民法院出版社2021 年版,第644-646 页。但是,2015 年的朱某与北京百度网讯科技公司隐私权纠纷案中,法院认为,网络精准广告中使用cookie 技术收集、利用的网络偏好信息不能与网络用户个人身份对应识别,网络服务提供者和社会公众无法确定该偏好信息的归属主体,不符合个人信息的“可识别性”要求。〔20〕朱某与北京百度网讯科技公司隐私权纠纷案(江苏省南京市中级人民法院〔2014〕宁民终字第5028 号民事判决书)。这种认识难谓不符合当时对于个人信息识别性的认识,但是此种观念在当下应当被扬弃和更新,而应承认仅含间接标识符的信息也是个人信息。2020年的微信读书案中,法院即认识到,虽然通过“微信”App 向“微信读书”App 提供的OPEN_ID 无法知道每个OPEN_ID 对应的具体身份信息,但该信息仍然属于个人信息。〔21〕黄某诉腾讯科技(深圳)有限公司、腾讯科技(北京)有限公司等隐私权、个人信息保护纠纷案(北京互联网法院〔2019〕京0491 民初16142 号民事判决书)。
那么,仅含间接标识符的个人信息的处理是否需要取得个人的同意或者获得其他合法性基础方可处理呢?目前的执法实践倾向于给出肯定的答案。2021 年年底国家计算机网络应急技术处理协调中心、中国网络空间安全协会联合发布的《App 违法违规收集使用个人信息监测分析报告》中,就将App 在取得个人同意前就将安卓ID 等信息上传至云端服务器的行为认定为违法行为。〔22〕国家计算机网络应急技术处理协调中心、中国网络空间安全协会:《App 违法违规收集使用个人信息监测分析报告》,中国网信网,http://www.cac.gov.cn/2021-12/09/c_1640647038708751.htm,2022 年11 月6 日访问。不仅如此,2022 年4 月7 日,深圳市公安局福田分局出具一则行政处罚决定书,认为深圳市辰瑞文化传播有限公司旗下App 首次运行未经用户同意即收集MAC 地址、IMEI、AndroidID 等信息的行为,违反了《个人信息保护法》第13 条的规定,进而予以行政处罚。〔23〕行政处罚决定书,深圳市公安局【深福公(天安)行罚决字〔2022〕33751 号】。2022 年4 月11 日,深圳市公安局南山分局在另一起行政处罚案件中,将深圳鲲鹏天下科技有限公司旗下App 同样的行为认定为违反同意规则。〔24〕行政处罚决定书,深圳市公安局南山分局【深南公(高新)行罚决字〔2022〕33742 号】。
实践中的做法似乎是符合实定法文义的。如果从《个人信息保护法》第13 条第1 款之文义来看,对于一切类型的个人信息处理都应当取得个人的同意或者具备其他合法性基础。仅含间接标识符之个人信息,虽然不含有直接标识符,但如果结合额外信息进行分析仍然能够识别出特定自然人的身份,则仍然属于个人信息。进而,对于此类个人信息的处理仍然在处理前应当取得个人的同意。〔25〕龙卫球主编:《中华人民共和国个人信息保护法释义》,中国法制出版社2021 年版,第346 页。
然而,这样的解释结论和解释方案并不具有说服力。第一,无法达致《个人信息保护法》逻辑体系上的自洽;
第二,脱离了个人信息治理规则的规范目的。
一方面,从《个人信息保护法》的逻辑体系看,不需告知制度的存在决定了该法律体系内部必然应当存在对应的不需同意的情形。按照《个人信息保护法》的规定,在下列情形不需要告知个人:第一,法律、行政法规规定应当保密的(第18 条第1款第一种情形);
第二,国家机关为履行法定职责处理个人信息,告知将妨碍国家机关履行法定职责的(第35 条第二分句);
第三,有不需要告知的情形的(第18 条第1 款第二种情形)。对于第三种情形而言,“当个人信息处理者客观不识别身份或基于合规要求不被允许识别身份时,基于法律不强人所难的基本法理”〔26〕前引〔16〕,李群涛、高富平文。,也应当属于不需要告知的情形。根据《个人信息保护法》,有效告知的结果是个人充分知情;
而只有个人充分知情,个人的同意才合法。简言之,有效告知是同意的逻辑前提,因而在法律规定不尽告知义务的情形下,就不需要同意。同时,从理论上,告知的前提是知晓该个人,如果仅掌握DII 而无从知晓背后主体的情形下,亦不能告知,也就无法实施后一步的同意。因此,虽然《个人信息保护法》第13 条第1 款第一项并没有展示任何例外情形,但是基于维护其逻辑体系的自洽性,应当对其适用范围在解释上进行限缩,不含直接标识符的个人信息的处理不需要事前取得个人的同意。而对于仅含间接标识符的个人信息而言,个人信息处理者显然无法在不进行任何识别行为的情况下仅凭个人信息本身得知个人的身份,属于不需要告知的情形,进而当然没有必要取得个人的同意。
另一方面,从实现《个人信息保护法》的规范目的角度,也不应认为仅含间接标识符之个人信息的处理应当经过个人同意。遵从实定法的逻辑体系而确认处理含间接标识符之个人信息不需要取得个人同意,有利于激励个人信息处理者在处理过程中进行去标识化处理。如果僵化地遵守《个人信息保护法》第13 条的文义而仍认为个人信息处理者需要经过个人的同意,那么就意味着个人信息处理者即使不需要识别个人信息主体的身份,为了合规也仍然要从仅含间接标识符的个人信息中通过技术手段识别出个人的身份,这客观上将导致个人信息处于更高水平的风险之中。然而这恰恰不符合《个人信息保护法》保护个人信息权益的初衷。GDPR 虽然强调同意制度的适用,但也已经认识到这一漏洞,于是在规定同意制度的同时,在第13 条第1 款中提出:若个人信息处理者的处理目的不需要或不再需要识别个人身份,则不应强制个人信息处理者仅为了遵守GDPR 而保留、获取或处理额外信息以识别个人身份。信息是自由的,处理全过程也不识别身份,不会侵犯个人的名誉权、隐私权等权益;
在此种情况下,为了实现《个人信息保护法》的另一重要目的,即“促进个人信息合理利用”,应当支持运用体系解释方法得出的“含间接标识符之个人信息的处理不需要事前取得个人同意”这一结论。
(二)处理过程禁止识别身份
对于仅含间接标识符之个人信息的治理规则而言,还包括个人信息处理者全程禁止识别身份这一内容。
前文已经指出,个人信息处理者识别个人的身份,不仅可以通过个人信息本身携带的直接标识符实现,也可以通过对多重来源的个人信息进行结合分析从而识别出个人的身份。
间接标识符只是个人信息本身无法直接识别个人的身份,但这并不能阻止个人信息处理者在处理过程中通过结合分析的方式,在分析评估个人之个性特征过程中,同时识别出个人的身份。立法者已经意识到,按照实践惯行,个人信息处理者进行去标识化处理后,通常仍保留原始个人信息以及去标识化的方法,因而仍然能够再次识别个人身份。〔27〕前引〔17〕,杨合庆主编书,第175 页。如果处理者事前不需要经过个人同意即可处理仅含间接标识符的个人信息,同时又不阻止个人信息处理者在分析评估个性特征过程中识别个人的身份,则对个人身份的保护如同掩耳盗铃。
因此,处理含间接标识符的个人信息处理者还必须履行全程不识别身份的义务。《信息安全技术个人信息去标识化指南》(GB/T37964—2019)仅规定了技术和管理措施,防止个人信息处理者重新识别(第4.2 条),但并未规定个人信息处理者有不重新识别之义务。去标识技术是针对特定数据集而言,取决于处理后的数据集是否还具有单独识别个人的能力。然而是否能够识别个人不能只看信息本身的识别性,而需要考察这些信息是否因可链接而具有识别性,对于信息之间是否可链接,在进行结合分析之前并不能直观地判断出来。在结合分析之前,要使一个数据集达到“无法识别”个人的效果,就只能集中于对直接标识符的处理。由于信息之间的可链接性难以消除,在技术角度,匿名化与去标识化技术不存在根本性差异。处理后的无法识别只能是在边界相对固定的数据集中删除直接标识符,达到身份无法识别。因此,由于去标识化后的信息仍有关联到个人的可能性,只要不禁止个人信息处理者试图重新识别身份的行为,个人信息处理者总能逾越技术障碍而实现身份的再次识别。
于是,对去标识化制度还应有两项约束条件:第一,标识符管理措施,避免信息处理者复原或再关联;
第二,信息处理者不得进行再识别。虽然可以将去标识作为个人信息流通基本条件,但是必须对识别行为进行控制,使利用信息识别个人的识别分析行为纳入法治轨道。也就是说,去标识信息可以流通,但限于非识别个人身份的利用行为。采取“删除直接标识符+身份识别控制”的受控去标识化制度,允许各行业发展出适合各自风险的受控去标识化机制,并探索出符合个人信息保护法精神、确保个人信息流通利用的治理架构,打造可信去标识化信息流通环境。〔28〕高富平:《个人信息流通利用的制度基础——以信息识别性为视角》,载《环球法律评论》2022年第1 期。
从比较法层面,对于处理去标识个人信息的处理者课以不再识别身份的义务,是国际通行和公认的做法。例如,根据美国统一法律委员会2021 年通过的《统一个人数据保护法》第9 条b 款之规定,通过重新识别来收集或创建个人数据的行为,是被禁止的数据处理行为。〔29〕《美国统一个人数据保护法》对于重新识别规定了三项例外情形:(1)重新识别是由之前对个人数据进行假名化或匿名化的控制者或处理者进行的;
(2)数据主体希望通过控制者实施再识别技术使其个人数据处于可识别状态加以维护的;
(3)重新识别的目的是评估匿名化数据的隐私风险,进行重新识别的主体不会使用或披露经重新识别的个人数据,除非向创建匿名化数据的控制者或处理者证明隐私漏洞(privacy vulnerability)。类似地,欧盟GDP R 第4 条第5 项在界定假名化机制(pseudonymisation)的同时,也强调个人信息处理者应当独立存储额外信息,不仅要采取妥适的技术措施,而且还必须组织措施确保不重新识别自然人身份、不重新将个人信息连结至特定自然人。
这种对信息处理者课以全程不识别身份的义务,在法律解释上可以从《个人信息保护法》第73 条第三项中的“不借助额外信息”推演得出。《个人信息保护法》第73 条第三项规定:“去标识化,是指个人信息经过处理,使其在不借助额外信息的情况下无法识别特定自然人的过程。”根据该定义,去标识化最终体现为一个“过程”。因此,在逻辑上去标识化由两部分构成:第一,完成去标识的动作;
第二,在利用中保持去标识的状态。在第一部分中,“个人信息经过处理”表述了个人信息处理者的作为义务,“无法识别特定自然人”是作为检验去标识这一动作是否适格的标准,而“在不借助额外信息的情况下”是检验去标识这一动作是否适格的环境要求。既然“不借助额外信息”是去标识后“无法识别特定自然人”的环境要求,那么这就意味着在第二部分,即在利用中保持去标识的状态,必须使经处理的信息始终处于“不借助额外信息”的环境之中。于是,在保持去标识状态阶段,为了使信息始终处于“不借助额外信息”的环境状态,就必然要求个人信息处理者始终不能破坏该环境状态,即始终不能借助额外信息。至此,个人信息处理者在处理过程中禁止识别身份的义务借由《个人信息保护法》第73 条第三项推演而得出。
然而需要注意的是,个人信息处理过程中禁止通过结合分析识别身份,但并未禁止通过结合分析而分析评估个性特征。《个人信息保护法》第73 条第三项强调无法识别“自然人”。根据前文所述,《个人信息保护法》用“自然人”来表述识别的目标时,“自然人”实际表达的是“自然人身份”之意。也就是说,若分析评估行为是以认识个性特征为目标,则此种“借助额外信息”进行结合分析的行为未被禁止。
当然,一旦个人信息处理者需要通过分析评估过程进而识别出个人的身份,那么仅含间接标识符的个人信息便转化为含直接标识符的个人信息,从而个人信息处理者重新具有取得个人同意之义务。
对于含直接标识符或仅含间接标识符之个人信息以外的个人信息,应当确认为属于不含标识符之个人信息。此类个人信息的治理规则落入纯粹的责任规则,应当遵守《个人信息保护法》基本原则和具体规范,实质性保护个人信息权益,努力预防侵害结果的发生并给个人以救济保护。
(一)不含标识符之个人信息与匿名信息的鉴别
所谓不含标识符之个人信息,是指不含直接标识符和间接标识符的信息。总体而言,可以包括两类:第一类是属性信息,包括性别、年龄、职业和爱好等,与个人不具有一对一关系;
第二类是行为信息,包括状态信息(健康)、行为信息(内容、轨迹信息)等。美国部分规范性文件中将这些信息(尤其是属性信息)称为准标识符(quasi-identif ier)。〔30〕有学者将之译为“间接标识符”,但须指出,此间接标识符与本文所谓间接标识符并非同一含义。参见刘颖、谷佳琪:《个人信息去身份化及其制度构建》,载《学术研究》2020 年第12 期;
程海玲:《个人信息匿名化处理法律标准探究》,载《科技与法律》2021 年第3 期。常见的准标识符有:性别、出生日期或年龄、事件日期(如入院、手术、出院、访问)、地点(如邮政编码、建筑名称、地区)、族裔血统、出生国、语言、原住民身份、可见的少数民族地位、职业、婚姻状况、受教育水平、上学年限、犯罪历史、总收入和宗教信仰等。〔31〕《信息安全技术个人信息去标识化指南》(GB/T37964—2019)第3.8 条的注。欧盟GDPR则将这些属性信息称为“因素”(factors,第4 条第1 项第二分句)。这些信息如果结合间接标识符或者直接标识符,可以辅助针对个人的分析评估(prof iling),比如分析个性特征,揭示信用、行为倾向等;
而如果不结合间接标识符或直接标识符,则可以针对群体进行挖掘分析(data mining),如科学研究、市场分析等。本部分显然仅限于讨论不含间接标识符或直接标识符的信息。
关于不含标识符的个人信息是否属于匿名信息问题,学界有不同的认知。荷兰乌得勒支大学教授纳德日达·普托娃(Nadezhda Purtova)指出,采用当下的判断标准来界定个人信息,那么个人信息将是无所不包的,几乎没有什么信息属于匿名信息。〔32〕Purtova,Nadezhda.(2018).The law of everything.Broad concept of personal data and future of EU data protection law.Law,Innovation and Technology.10.1-42.10.1080/17579961.2018.1452176.当然也有相反的意见,例如来自牛津大学、曼彻斯特大学的九位学者通过法教义学手段对GDPR 中假名数据的定义进行分析,从而提出,基于相关性测试结果,去除标识符的数据也有可能被认为不属于个人数据。〔33〕Mourby,M.,Mackey,E.,Elliot,M.,Gowans,H.,Wallace,S.E.,Bell,J.,...&Kaye,J.(2018).Are‘pseudonymised’data always personal data? Implications of the GDPR for administrative data research in the UK.Computer Law &Security Review,34 (2),222–233.
实际上,我国已经有判例倾向于后者的意见,将无标识符的个人信息认定为匿名信息。在“余某诉北京酷车易美网络科技有限公司隐私权纠纷案”中,广州互联网法院认为,被告运营的App 能够提供原告名下车辆的历史车况信息,但是该信息已经过脱敏处理,无法单独识别原告;
虽然存在通过第三方信息与车况信息结合识别到特定自然人的可能性,但是考虑到行为成本问题,可以忽略此种可能性。故此,法院认为案涉历史车况信息不属于个人信息。〔34〕余某诉北京酷车易美网络科技有限公司隐私权纠纷案(广州互联网法院〔2021〕粤0192 民初928 号民事判决书)。另外,也有类似观点认为,在重新识别个人身份将付出高额成本的情况下,就可以认为信息已达到匿名化程度。〔35〕前引〔17〕,杨合庆主编书,第175 页。
然而,在《个人信息保护法》明确匿名信息不属于个人信息进而不适用《个人信息保护法》的情况下,对于“匿名信息”概念进行从宽解释是危险的。如此宽泛认定匿名信息将导致个人信息处理者有规避适用《个人信息保护法》的空间。而目前研究认为,匿名信息真正能做到完全没有复原可能的情况是不存在的,这意味着匿名信息的处理行为仍然残余风险。〔36〕Finck,M.,&Pallas,F.(2020).They who must not be identified—distinguishing personal from nonpersonal data under the GDPR.International Data Privacy Law,10(1),11-36.世界并非“非黑即白”,在网络化背景下,数据都具有可关联性,即具有可识别性,没有办法真的去识别。在这种情况下,处理此种信息的行为仍然要遵守《个人信息保护法》规定的必要的技术和组织措施。从这一意义上看,对匿名信息应当进行严格解释,将《个人信息保护法》第73条第四项中的“不能复原”解释为复原的客观可能性为零或者极低。〔37〕江必新、李占国主编:《中华人民共和国个人信息保护法条文解读与法律适用》,中国法制出版社2021 年版,第15 页。
因此,如果不能充分证明经去标识处理的个人信息不再具有识别身份的可能性,应当将此种信息认定为不含标识符之个人信息,而非匿名信息。为防止脱法行为,不仅应当对《个人信息保护法》匿名化信息作严格解释,而且随着时间技术发展,一旦匿名信息又存在识别身份可能性,应当立即恢复认定为不含标识符之个人信息。〔38〕张新宝主编:《〈中华人民共和国个人信息保护法〉释义》,人民出版社2021 年版,第570-571 页。
(二)无事前同意和事后拒绝之必要
对于无标识符之个人信息的治理规则而言,当然应当包括不需要经过事前的个人同意以及处理全过程禁止识别身份。一方面,因为无标识符之个人信息不含直接标识符,不能直接识别出信息指向谁,在处理前不需要也无法经过个人之同意。另一方面,基于与含间接标识符之个人信息相同的理由,因为数据的可链接性或者说链接能力的无法完全消除性,导致即使对于无标识符之个人信息,也应防止在结合识别过程中通过分析评估而识别个人之身份,因此个人信息处理者仍然具有全过程禁止识别个人身份之义务。
不仅如此,在无标识符之个人信息服务于群体分析时,个人也没有事后拒绝的必要。事后拒绝与事前同意相对,是广泛意义上的表述。在《个人信息保护法》中,事后拒绝具体体现在五个制度中:第一,撤回同意(第15 条第1 款第一句);
第二,通过自动化决策方式向个人进行信息推送、商业营销时,个人的拒绝权(第24 条第2 款);
第三,拒绝个人信息处理者仅通过自动化决策的方式作出决定(第24 条第3款);
第四,拒绝他人对其个人信息进行处理(第44 条第一分句);
第五,个人信息删除权(第47 条第1 款)。关于第一种制度,即撤回同意制度,因该制度以“基于个人同意处理个人信息”为前提,而无标识符之个人信息处理恰恰不需基于个人同意而进行,因此不适用该制度。至于后四种制度,其皆是因为以个性分析为前提,但是当无标识符之个人信息不结合直接标识符和间接标识符,不联系、对应相应的个人时,其分析结果不会通过随身电子设备影响个人。因此后四种情形亦不需要个人进行拒绝。
当然,对于无标识符之个人信息而言,个人信息处理者亦需要采取必要措施预防处理行为或者处理结果侵害个人之权益。虽然个人没有必要在事前通过同意或者事后通过拒绝机制而主导个人信息处理行为,但这并不影响个人之合法民事权益始终应当得到保护。一方面,个人信息处理者应当采取必要措施预防个人权益被侵害。另一方面,一旦个人信息处理行为造成个人权益侵害,如果造成损失的,个人可以主张侵权损害赔偿(《个人信息保护法》第69 条第1 款);
未造成损失时,个人可以主张消除影响、恢复名誉等。
《个人信息保护法》的规范目的在于保护个人权益而非保护个人信息,并达致个人权益保护与个人信息利用的平衡。在建设数据要素市场的时代背景下更应坚持这一规范目的。虽然从个人信息保护制度源起和《个人信息保护法》目的条款,我们足可以作出上述解释,但是《个人信息保护法》主要规范直接处理关系且以个人权益保护为轴心,在整个制度设计上忽略了处理者使用个人信息的利益,毕竟个人信息是社会可用资源,是社会运行和发展的“石油”。本文认为,《个人信息保护法》本质上是通过规范识别行为来保护个人信息权益的,我们应当从不同信息的识别性和风险程度出发规范不同类别的识别行为,以此构建平衡实现规范目的的个人信息治理规则。个人信息处理过程中保护个人权益主要在于对个人身份的保护,强调去除表征身份的直接标识符和处理全过程禁止再识别身份的义务。在这种情况下,个人权益保护强调禁止识别身份,个人信息利用强调分析评估个性特征。
当个人信息处于不同的识别性程度时,应当分别配置个人信息治理规则。就含直接标识符之个人信息的治理规则而言,个人信息处理前必须经过个人的同意或者具备其他合法性基础。同时处理过程宜删除直接标识符。就仅含间接标识符之个人信息的治理规则而言,个人信息处理前不需要经过个人同意,但是相应地,个人信息处理者全程禁止识别个人身份。就不含标识符之个人信息的治理规则而言,个人信息处理前不需要经过个人同意,同时,个人信息处理过程中个人也没有必要进行事后拒绝。不过,个人信息处理者应当遵循个人信息处理基本原则和相应法律规则,一旦出现违反法律的处理行为,应当承担相应的法律责任,包括民事损害赔偿责任。
本文仍然是对直接处理行为的宏观分析,但其原理同样可以适用于处理者对外提供。当处理者对外提供的信息不属于同意控制范围,那么对外提供就不应当适用同意,但是,接受信息的主体如果要进行分析评估,仍然要遵循《个人信息保护法》等法律的规定,如果获取该信息是用于针对个人作出决定,那么要获得个人的同意;
如果不属于识别个人或针对个人的决定,那么只要遵循上述不含标识符之个人信息的治理规则,就属于合目的性的行为。对此,本文不再展开论述。不过,直接标识符、间接标识符以及准标识符之间的边界是随着时代发展和行业领域的不同而变动不居的,间接标识符亦可以演变为直接标识符。这完全取决于信息本身直接指向个人或识别出个人身份的程度。因此各个行业领域宜根据行业特性和技术发展变化,灵活确定相应行为准则等规范,指引个人信息处理合规。如何准确列举直接标识符、间接标识符和准标识符将是下一阶段的重大任务。