数字时代个人信息处理问题研究
2022-02-04王勇旗
王勇旗
(河南警察学院 公安专业基础教学部,河南 郑州 450046)
一、问题的提出
从古至今,无论公务机关还是私人机构(包括个人)对个人信息的处理从未停止过。信息业者对个人信息的处理大体可分为两种:一种是传统式,即信息业者未利用大数据分析等技术,在非互联网场景中的处理行为;第二种是现代式,即在数字时代背景下,信息业者借助大数据分析、云计算、人工智能等高新技术,在互联网空间以数据库形式处理个人信息。[1]人类进入数字时代,尤其是伴随着大数据分析、云计算、人工智能及互联网等高新科技的普及应用,人们在工作生活中需要频繁地处理个人信息。在此背景下,依托互联网空间容量所具有的无限扩展性及永久记忆性等特征,可实现对个人信息的恒久存储。大数据分析技术借助不断提高的互联网传输速率等当代高新科技优势,极大地提高了信息业者的处理能力和效率。近年来,围绕数字科技发展背景下的个人信息领域研究逐步成为热门话题,尤其个人信息保护研究更是学者们研究的“热土”。从逻辑角度讲,对个人信息保护应以发生侵害或存在潜在威胁为前提,并主要发生在个人信息处理过程中,在此前提下阐释个人信息处理是研究个人信息出现相关法律问题的前置性安排和核心所在。
二、数字时代个人信息处理概念界定
从比较法上分析,“处理”一词源于欧盟《一般数据保护条例》(General Data Protection Regulation,以下简称“GDPR”)和德国数据保护法体系中的“Verarbeitung/Process”(德语:处理、处理中)。域外关于个人信息处理存在不同规定,有学者将个人信息的处理行为分为广义说和狭义说。[2]23从广义上讲,个人信息处理范围较为广泛,包含处理个人信息的所有行为,且对不同处理阶段作出进一步细化规定。如英国、印度、巴西等国家对个人信息处理采用了广义说。而狭义说只将对个人信息收集和利用行为作出单独规定,如德国2009 年重新修订的《德国联邦数据保护法》采用狭义说。
《中华人民共和国民法典(草案)》(2019年12 月16 日稿,以下简称“草案”)第1035 条至1038 条,将个人信息收集行为同处理行为相并列,并将个人信息使用行为纳入处理行为,由此可见,当时我国是在吸收广义说和狭义说的基础上进行的折中安排。从语义讲,“处理”的“概念内涵更丰富”[3],包括从个人信息被收集开始直至个人信息被删除的整个流程,对是否采取自动化方式并无区分,亦同实际情况更契合。2020年5 月8 日通过的《中华人民共和国民法典》(以下简称《民法典》)中统一采用“个人信息处理”这一术语,从内容看,我国采用广义说。可以看出,狭义上的个人信息处理将收集和利用个人信息行为排除在外,同现实中处理个人信息行为并不相符,个人信息处理应将收集、利用行为纳入其中。但存疑的是:《民法典》第111 条是关于个人信息受法律保护的条款,除了个别用词的改变,基本沿袭《中华人民共和国民法总则》(以下简称《民法总则》)第111 条。根据《民法典》第1035 条中规定的“个人信息处理”所包括的情形,结合《民法总则》未规定个人信息处理内容,并根据《民法典》中个人信息处理的具体规定认为,“个人信息的处理”在用语上较为准确。但《民法典》第111 条后半部分沿用《民法总则》第111 条后半部分未做任何修改,同《民法典》第1035 条已经规定的个人信息处理行为所涵射的范围存在重合。综合言之,《民法典》第 111条后半部分规定虽然对司法裁判有准确的指导作用,但从《民法典》整体立法逻辑、立法技术及对个人信息保护的周延性而言,应将《民法典》第111 条后半部分修改为“不得非法处理他人个人信息”。
我国《民法典》第1035 条第2 款规定:“个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等”,而在“草案”第1035 条至1038 条中将个人信息的收集行为同处理行为相并列,实际是模糊了收集和处理之间的关系,最终《民法典》将“收集”纳入“处理”范畴,使其内涵更加丰富,同现实所需更加契合。“GDPR”对个人信息处理规定:处理是“指任何一项或者多项针对某单一个人数据或系列个人数据进行的系列行为,无论该行为是否采用收集、记录、组织、加工、存储、调整、更改、检索、咨询、使用、通过传输而公开、散布或其他方式对他人个人数据进行公开、排列或组合、限制、删除或销毁而公开等所采用的自动化方式”。我国同英国、印度、巴西等国家对个人信息处理的规定采用广义说,而德国等采用狭义说,将收集和利用行为单独进行规定。我国台湾地区“个人资料保护法”第2 条第3、5 款规定:“收集指以任何方式取得个人资料;利用指将收集的个人资料为处理以外的使用”[4]141。我国《民法典》、欧盟“GDPR”等采用广义法认定,将收集、使用行为涵盖在处理行为中,而未将收集、使用行为单独规定。在数字时代,大数据分析技术、云计算、人工智能和互联网等高新科技普遍应用背景下,个人信息处理以自动化数据处理为主要特点,在行为表现上愈加多样化,将收集和使用纳入处理行为之中,同实际更为契合。
数字时代,个人信息对自然人生活安宁等影响十分严重。[5]正如贝克所言,人类面临着威胁其生存的由社会所制造的风险,现代化正在成为它自身的主题和问题。[6]结合当下的现代化即我们所处的数字化社会中上述高新技术在个人信息处理中的广泛应用场景,个人信息处理会呈现多样化特点。在个人信息处理中的任何行为对个人信息主体影响都很大,个人信息边界呈扩张趋势的背景下,[7]本文无意将处理行为的所有样态(全生命周期)逐一分析,也不详尽阐释其他个人信息处理方式(如加工、传输提供等),并不意味着其他类型的个人信息处理行为对个人信息主体不存在影响或影响甚微。本文结合现实生活中对个人信息安全影响至关重要的个人信息收集和使用行为进行说明。[8]
(一)收集个人信息行为
人类无论处于农耕时代、工业革命时代抑或当下数字化社会中,[9]从个人信息处理角度分析,个人信息收集都应处于个人信息处理初始阶段。数字化社会以前,个人信息处理者收集个人信息无论在主体、行为、方式、途径等方面都较为单一。人类进入数字化社会后,随着大数据分析、云计算、人工智能和互联网等高新科技的普遍应用,尤其是智能软件的广泛应用,对个人信息的收集主要以自动化方式进行,并以无时不在、无时不有的状态存在。何谓个人信息收集行为?从立法上看,中国、英国等国家对个人信息处理持广义说,意即个人信息的处理将个人信息收集行为纳入其中,引致对个人信息收集行为并未界定。如前文所述,《德国联邦数据保护法》及我国台湾地区“个人数据保护法”对个人信息处理采用狭义说,故对个人信息收集行为进行界定。根据《德国联邦数据保护法》规定,收集是指“对数据主体的数据的取得”,我国台湾地区“个人资料保护法”第2 条规定:“收集:指以任何方式取得个人资料”[4]141。任龙龙博士认为个人信息收集行为是“信息处理者获取个人信息主体个人信息的行为”[2]24,并进一步强调该行为的重点是获取个人信息。从《德国联邦数据保护法》和我国台湾地区的“个人资料保护法”对收集行为的界定可以看出,个人信息的收集重点突出“取得”。从词义角度理解,“取得”同“获取”内涵基本一致。具体而言,个人信息收集者对其收集的个人信息享有控制权后方才构成本文所认定的个人信息收集行为,而对人们日常工作、生活中不经意之间所察觉到的个人信息、已经模糊化处理的影像等都不应被认定为本文所述的个人信息收集行为。
基于当下的数字科技发展水平,个人信息收集可通过多种途径实现,既可以通过手工书写形式,亦可通过智能终端设备在线收集;既可直接对个人信息主体个人信息进行收集,亦可通过第三方平台等间接形式收集;既可采明示方式收集个人信息,如在个人信息主体知情同意的基础上进行收集,亦可通过个人信息主体默认方式收集,如乘坐飞机需提交个人身份信息等。质言之,个人信息处理者通过智能终端设备收集个人信息是当下的主要途径。近年来,我国大数据、人工智能、互联网应用等高新技术快速发展,数字经济发展势头强劲,网络用户在日常工作、生活中使用智能软件、浏览网页时,会留下网络用户的登陆信息、浏览记录等个人信息。由此可以看出,在满足数字时代人们生产、生活所需基础上,个人信息被收集已成常态。结合上文对个人信息收集的界定,个人信息收集行为以收集者“取得”对个人信息的控制权为主要表现形式,至于其对个人信息的控制权是以何种形式表现,无论是直接占有抑或间接占有,只要个人信息收集者取得对个人信息的控制权即完成收集行为。换言之,如若个人信息的收集者仅对个人信息享有占有、使用、收益权能,而没有取得对个人信息的控制权,不能认定为本文所述的收集行为,不应属于个人信息处理中所言的收集个人信息。
(二)使用个人信息行为
我国《民法典》规定个人信息处理包括个人信息的使用。《德国联邦数据保护法》第3 条(5)规定:“使用:指除了处理以外的对个人数据的利用”。由上可知,采用个人信息处理狭义说的国家(地区)对使用和利用的规定在内涵上具有一致性,并将二者混同使用,当然也不排除翻译外文资料时的用词问题,但显然采用狭义说的国家(地区)将个人信息处理同个人信息利用并列,而非包含和被包含关系。我国也有学者将个人信息的处理同个人信息的使用采并列方式,并进一步将个人信息的使用细化为内部使用和外部使用、计算机比对和披露。[10]结合我国《民法典》中处理和使用的规范角度上讲,处理内涵更为丰富,应包括个人信息脱离个人信息主体控制后的整个生命周期(即从收集直至被完全删除整个阶段)。个人信息的使用行为应属于个人信息处理中行为的一种,而将其单独进行规定,同社会实际并非完全契合,亦同处理内涵存在重叠。
我国《全国人民代表大会常务委员会关于加强网络信息保护的决定》、《电信和互联网用户个人信息保护规定》、《中华人民共和国网络安全法》(以下简称《网络安全法》)、《民法典》、《中华人民共和国电子商务法》(以下简称《电子商务法》)、《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)等现行法律规范,在个人信息处理行为上以“收集、使用”规定,其主要因素在于:第一,关于我国有关个人信息保护类立法,虽然已颁布《个人信息保护法》,但仍缺乏完整系统性的个人信息保护法律制度体系,[11]而既有关于个人信息的规定散见于效力不同、制定机关不同、名称不同的法律规范中;第二,《民法典》颁布之前,我国既有规范关于个人信息处理的规定限于个人信息收集和使用两种情形,但并非否认个人信息存储、加工、传输、提供、公开等处理行为对自然人个人信息安全的影响。分析我国既有规范可以看出,“收集、使用”个人信息是现实中个人信息处理行为的主要体现,并且对个人信息安全威胁更大;第三,我国《民法典》首次用不完全列举式的定义,完整、系统地规定了个人信息处理行为,将“收集、使用”个人信息行为纳入“个人信息处理”范畴,内容显得更为丰富。
三、数字时代个人信息处理特点分析
2015 年国务院出台的《促进大数据发展行动纲要》中指出:“大数据是以容量大、类型多、存储速度快、应用价值高为主要特征的数据集”。大数据特征,主要表现在“海量性(volume)、高速性(velocity)、多样性(variety)、价值性(value)”,可概括为“4V 特征”[12]。随着大数据分析技术、人工智能技术和互联网等高新科技的普遍应用,个人信息处理较传统个人信息处理方式呈现出多样性特点。本文立足当下数字时代发展场景,结合个人信息处理技术和大数据特征,综合认为,可从以下几点分析数字时代个人信息处理的特点。
(一)数字时代个人信息处理能力巨量化
数字化科技发展场景中,个人信息来源广泛。自然人主体无时无刻不在生产个人信息,如网络购物、乘坐飞机等运输工具出行、入住酒店等信息,网络用户在网络平台注册的身份信息,网络运营商通过Cookie(储存在用户本地终端上的数据)工具所抓取的网络用户日志等行为信息,以及政府及相关管理部门主动收集的个人信息,如疫情防控期间,政府及相关部门为疫情防控所需,收集的个人信息等。结合大数据的海量性特征,依托大数据分析技术、云计算、人工智能等科技和愈加快速的互联网传输速度,尤其随着第五代移动通信技术(5th Generation Mobile Communication Technology,简称“5G”)在各领域的全面适用,个人信息处理技术可实现对信息资源的快速收集,个人信息处理能力呈现巨量化特点。当然,在数字化社会中,随着网络信息科技日新月异的发展,个人信息主体在享用网络运营者及其他依靠网络平台经营主体所提供的网络商品或服务时,也面临个人信息被过度收集、多方共享、频繁处理和深度挖掘的风险。
第一,个人信息处理技术应用主体的巨量化。随着“云存储”等在线存储技术的应用,人们无需借助存储终端设备即可实现对信息的保留,使得大众存储信息更加方便且快捷化,加之互联网、智能软件等应用的便民化趋势,进而使得个人信息处理的主体普遍化。随着互联网技术的普遍应用,国家机关、企事业单位乃至自然人个体处理个人信息已属常态,如政府为了社会公共管理需要处理个人信息,企业为了商业经济利益处理个人信息,自然人主体借助相关技术并基于私利或其他目的处理个人信息。
第二,随着存储信息的设备存储信息能力不断增加,个人信息处理的对象巨量化。“云存储”在普通民众间得到广泛应用,大量民众通过“云存储”储存信息。随着终端存储设备技术的提高,信息存储装置及其配套设施的储存能力逐年得到提升,为个人信息的处理者提供了源源不断的信息资源。
第三,个人信息处理的内容呈现巨量化。随着大数据分析技术、人工智能及互联网科技应用的常态化,监控系统使用的普遍化,如人脸识别、虹膜扫描、指纹识别等技术措施的普遍应用,自然人主体的个人生物识别信息、行踪信息等不断被抓取,并被不断记录和存储。例如在疫情防控期间,我国利用健康码、行程码应对疫情的进一步扩散。健康码、行程码是通过输入自然人姓名、身份证号、联系电话、健康情况、地理位置及行踪等大量个人真实数据的方式,以此为基础,依托大数据人工智能技术而生成的申请人单独享有的个人二维码,通过大数据分析技术,以“绿码、黄码、红码”三种不同安全等级来评判个人疫情的风险程度,为政府应急决策与执行提供依据,并作为疫情防控期间能否出行、是否应被采取隔离等措施的重要依据。个人行踪信息作为健康码的重要组成部分,立基于网络数字化社会。个人行踪信息不仅包括自然人的现实物理空间活动轨迹,也包括网上浏览踪迹,而在疫情防控期间,主要体现为自然人的现实物理空间活动轨迹。在此过程中,政府机关及承担相应行政职能的法定机构中对个人信息处理的巨量化特征较为明显。
(二)数字时代个人信息处理行为智能化
我国高度重视大数据产业发展。2016 年 3月“十三五”规划提出,实施国家大数据发展战略,推动国家建设数据强国战略,为有效释放制度、技术和创新等方面红利,助力国家经济转型发展提供顶层方案。在此背景下,我国出台了《“十三五”国家科技创新规划》《新一代人工智能发展规划》《关于促进人工智能和实体经济深度融合的指导意见》等一系列中央文件。可以看出,我国大数据产业的智能化发展已被提升至国家战略层面。毋庸赘言,国家大数据产业的智能化发展需要依靠国家立法等顶层制度设计的支持。虽然我国大数据智能化整体立法的制度规范相较欧美等发达国家起步较晚,尤其在数据智能化场域存在规制缺位等问题,但不应否认,我国5G 时代已经到来,人工智能(Artificial Intelligence,简称“AI”)同5G 技术的融合应用将深刻改变目前的信息资源传输和利用现状。乔治·扎卡达基斯曾言,“历史已经向我们表明重大的技术变迁会导致社会和经济的范式转换”[13]296。个人信息处理智能化以对个人信息自动化处理为依托,[2]24置身于“5G+AI”场景下,通过5G高端移动通讯技术可以快速收集和传输信息资源,进而使人工智能技术优势得以最大化发挥,届时个人信息处理的智能化优势更为凸显。个人信息处理智能化在立法上较具代表性的是欧盟“95 指令”关于自动化处理的规定。所谓自动化处理是指,根据命令能够自动运行的设备,如大数据分析技术等。该指令中关于个人数据的处理并非全部自动化,而自动化处理是个人信息处理中最为重要的内容。欧盟地区大多数国家执行该指令,并结合本国情况制定本国数据保护法。例如,《德国联邦数据保护法》开宗明义地规定“本法为执行‘95 指令’而制定”,并对自动化处理作出规定,其是指使用数据处理系统处理个人数据。
个人信息处理智能化主要体现在以下几个方面:
第一,个人信息处理的行为方式智能化。随着互联网通讯技术步入5G 时代,在个人信息传输效能上,技术优势将更加明显,以更高传送速率、更强可靠性、更低时延等为大数据智能化分析技术提供源源不断的,更为准确的“信息原料”。时至今日,人工智能技术2.0 时代,主要适用领域包括但不限于自主智能(如无人驾驶)、大数据智能、人机混合增强智能等,而该技术主要建立在移动互联网、云计算等信息技术基础之上,同过去智能相比,其在数据处理、环境适应、云计算技能等方面有质的提升。在“5G+AI”技术不断融合场景中,个人信息处理方式将更具智能化。
第二,个人信息处理行为的内容智能化。在疫情防控期间,我国利用健康码、行程码以应对疫情进一步扩散正是个人信息处理智能化的体现。质言之,依托大数据分析、云计算、人工智能及互联网应用的进一步深入,个人信息处理者可实现有针对性地处理个人信息内容,框定个人信息处理范围,实现预设目的。
第三,个人信息处理行为的结果智能化。疫情防控期间,政府及防疫相关部门依托大数据人工智能技术定位、分析个人行踪信息,可有效甄别是否在疫情高发区工作、生活或途经疫情高发区,或是否接触已被传染的病人、病原携带者、疑似传染病人及密切接触者等信息,以综合评判疫情风险,并采取相应举措,为精准采取疫情防控措施提供了依据。
(三)数字时代个人信息处理场景复杂化
一般意义上,我们所讲的场景即人们社会交往、消费、工作、娱乐等具体时间、空间及相关配置所综合而成的关系总和。随着大数据分析、云计算、人工智能及互联网技术应用的普及和发展,高新技术介入人类现实中的场景日益丰富,如智能交通场景、智能家居场景、智能社交场景、智能学习场景、智能消费娱乐场景等,可涵盖人们日常生活的衣、食、住、行等各个领域,成为人类生产、生活的重要组成部分。
我国《民法典》第1035 条对个人信息处理作出了规定,但对信息处理者主体未作限制,仅在第1 款指出“处理个人信息的”,并在第2 款对处理行为以不完全列举形式规定:“个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等”。《中华人民共和国消费者权益保护法》(2013 年修正)规定处理个人信息的主体限于“经营者”,个人信息处理是“收集、使用”,在《网络安全法》中限于“网络运营者”,个人信息处理亦是“收集、使用”,在《电子商务法》中处理个人信息的主体限于“电子商务经营者”。上述法律等制度规范的适用领域不同,对个人信息处理者做出一定限制应无疑问,结合《民法典》对信息处理主体的规定对个人信息处理场景的复杂化特点进一步分析。
第一,《民法典》对个人信息处理的主体进行了扩大解释,即从“经营者”“网络运营者主体”“电子商务经营者”等扩展至包括并不限于此主体(《民法典》未以列举方式阐明,足见适用的主体范围并不受限)。
第二,对行为予以扩展,《民法典》以“处理”代替“收集、使用”,从词义上讲,规定“处理”显得行为方式更为多样化。结合以上所列“优化”设计,与其说是上述法律规范因调整范围不同而采用不同规定,毋宁说《民法典》的规定更符合数字时代个人信息处理的表现形式。诚如我们所知,随着大数据人工智能科技迭代升级发展,个人信息中所蕴含的经济价值日益彰显,“非法泄漏、非法使用、滥用个人信息的行为”愈演愈烈,[14]包括并不限于“经营者”“网络运营者主体”“电子商务经营者”等主体基于商业经济利益动机而收集个人信息,更为重要的是对个人信息的二次利用,在此过程中不仅包括使用行为,而且包括收集、存储、加工、传输、提供、公开等一系列动态过程,从侵权角度讲,对个人信息的侵害行为可贯穿整个流程。《民法典》对个人信息处理者未限定是现实所需,用“处理”代替“收集、使用”,从用语角度所涉个人信息处理的场景化更为广泛,“概念内涵更丰富”[3]。
综上所言,本文结合《民法典》未限制个人信息处理者,并以个人信息处理行为多元化为基础可知,不同的个人信息处理者在个人信息处理的不同阶段会存在不同场景,个人信息处理场景复杂化会更加明显。如在司法审判领域中,个人信息处理的场景化主要是因为“法律是大数据最为重要的领域应用之一”[14],大数据和人工智能结合在智能检索中体现至为明显,其属于信息检索和人工智能研究领域的交迭部分,[15]而数据库建设是人工智能检索系统建设基础。[16]当下,我国大数据、人工智能等高新科技快速发展,助力推动中国司法改革,并拥有世界上最大的裁判文书网,在智能平台上已存储着大量司法数据资源,此类数据资源的存在是司法大数据库建设进而提高司法效率的重要保障,[17]可有效保障智能检索和案例归纳的开展。我国从中央到地方都在积极建设智能检索和案例归纳类的智能系统:2018 年1 月5 日,最高人民法院正式上线运行“类案智能推送系统”。各省级地方也在积极推进本省司法智能检索和案例归纳类系统。如贵州省高院以大数据挖掘分析为前提,建立类案裁判标准数据库,建立类案及关联案件强制检索机制,为法官提供多维度、多层面的分析场景,通过自动检索、类案推送、裁判文书语义分析、对比分析等大数据方法避免类案非类判现象。如是,从司法审判领域探讨个人信息处理的场景化,旨在说明,数字化社会中依托高新科技,可更大限度地发挥技术优势,体现个人信息处理场景化特征。
(四)数字时代个人信息处理成本低廉化
依托当下高新科技,个人信息处理方式愈加便捷化、处理成本趋向低廉化,更具数字化特征。人们生产、生活也正享受着信息数字化带来的诸多便利,如网络购物过程中,网络平台基于网络用户的消费习惯精准推送相关商品;智能软件根据网络用户的阅读等习惯和相关浏览记录,推送在其兴趣范围内的文字、图片或视频;导航系统根据用户设定的出发地和目的地,为其选择最优出行路线等等。一如上述,随着“云存储”和其他储存能力不断提高的存储设备的出现和发展,储存信息和数据体量日益增加,为个人信息处理提供了巨量的基础资源。
近年来,人工智能技术的发展突飞猛进,俨然“成为全球新一轮革命和产业变革的着力点”,已从专业性较强的适用领域渗透到人们日常生活中来。[18]自动驾驶汽车、智能手机、智能家居、生活辅助类智能机器人、儿童智能玩具等不胜枚举,此类人工智能产品通过连接互联网和自身携带的储存设备,对其周边图像、声音等可以做到“应收尽收”,为个人信息处理带来源源不断的信息资源。互联网应用快速发展,尤其是“5G”技术陆续落地实施,从商用逐步过渡到人们生产、生活的方方面面,在此基础上,通过互联网传输个人信息及其他数据速度更快、传送速率更高、可靠性更强、时延更低,个人信息处理效率得到大幅提升。大数据分析技术,从其内在体现即云计算技术的运用,是“人工智能的本质”[19],而云计算运用,主要依靠源源不断的数据资源的支持。综合而言,大数据分析技术、云计算、人工智能科技和互联网应用等技术并非孤立的存在,在实际运用中是相互结合、紧密配合的过程。现代科技为个人信息处理带来了便利,其处理成本低廉化的内在逻辑在于:通过人工智能产品提供源源不断的个人信息,借助互联网快速传播技术实现定向传输,依靠大数据、云计算技术等一系列流程,最终实现对个人信息的处理。由是,处理个人信息的效率得到大幅提高的同时,个人信息处理的综合成本降低,呈现低廉化特征。
四、数字时代类型化视角下个人信息处理主体
数字时代,个人信息被频繁处理已属常态,而个人信息处理主体十分广泛。从我国《民法典》对个人信息处理者的规定来看,“信息处理者”这种高度概括的规定方式说明,我国对个人信息处理者的范围并未作出限定,我国为加强个人信息保护而对个人信息处理的主体持开放态度。这不但符合我国加强个人信息保护的一贯宗旨,而且同数字化社会特征相符。
欧盟“95 指令”规定个人信息处理者为“自然人、公共部门、政府或其他代表机构”,并且在欧盟“GDPR”同样适用。欧盟“GDPR”是在“95 指令”的基础上范围有所扩大,可以看出欧洲对个人信息处理者的规定并无过多限制,亦未区分是否为公共机构。欧盟成员国大多采用“GDPR”关于信息处理者的规定。与此相似,我国澳门特别行政区的《个人资料保护法》(澳门特别行政区第8/2005 号法律),我国台湾地区的“个人资料保护法”中虽然区分了公务机关和非公务机关,但从其内在规定看,个人信息处理者的范围并无不同。而规定个人信息处理者较为特殊的是美国。美国大数据、互联网、人工智能科技等领域一直处于世界领先地位。美国为促进互联网产业发展,保障本国互联网经济红利,对互联网企业在立法上持宽松态度,这样一则对既有和新兴互联网经济发展有所助益,二则可维持本国世界领先的行业优势。美国在个人信息保护方面,主要依赖企业自律模式,对个人信息保护则秉持较为宽松立场,对个人信息处理者范围的规定也十分广泛,即使对私人个人信息处理者进行限制,也仅限于特定领域。较为特殊的是《日本个人信息保护法》,在其第2 条第3 款中,明确将“国家机关”和“地方公共团体”排除在“个人信息处理业者”的范围之外,其中较为重要的原因在于该类主体在日本的《行政机关持有的个人信息保护法》《关于保护独立行政法人等所持有之个人信息的法律》等法律法规中专门作出的规定,也体现出日本对个人信息立法所持的谨慎态度。
通过综合比较关于个人信息处理者的规定,并结合我国《民法典》的规定可以看出,虽然个人信息处理主体较为广泛,但通过类型化思维可将其分为国家机关和非国家机关。
(一)国家机关作为个人信息处理主体
《中华人民共和国宪法》规定的国家机构包括:“全国人民代表大会、中华人民共和国主席、国务院、中央军事委员会、地方各级人民代表大会和地方各级人民政府民族自治地方的自治机关、监察委员会、人民法院和人们检察院”七类主体。我国《民法典》第1039 条规定,“国家机关、承担行政职能的法定机构及其工作人员对于履行职责过程中知悉的自然人的隐私和个人信息,应当予以保密,不得泄露或者向他人非法提供”。我国将民事主体分为自然人、法人和非法人组织。国家机关在民事活动中作为民事主体应受到私法调整。根据我国《民法典》第1039 条规定,可将公共机构细分为两类:一类为国家行政机关、承担行政职能的法定机构的非自然人主体;一类为隶属上述主体的自然人主体。
我国国家机关作为处理个人信息的主体,一般出于维护公共利益和社会公共事业管理等公益性事业的需要。我国民政部门为统计国家人口所建立的国家人口基础信息库,通过收集公民的姓名、性别、年龄、民族等相关信息,可实现我国人口基础信息的统计和管理。我国公安机关的相关部门建立了包括全国机动车信息、驾驶人信息、违法犯罪信息等专项内容的信息库。我国的国家机关在对个人信息的处理中,不仅承担管理者身份,同时也是利用者,以满足实现社会公共事业管理的需要。
在疫情防控期间,举国上下全力抗击新冠肺炎疫情,国家各机关单位协同社区等基层组织、基层医疗机构、物业管理部门等基于疫情防控所需,要求居民申报个人行程信息,收集、公布相关人员个人信息,以精准确定相关人员是否来自疫情高发区或途经疫情高发区。当下,个人信息需要保护已成共识,但是面对突发性公共卫生事件时,个人信息保护与限制之间呈现“失衡”局面。正如卢梭所言,“如果危险已到了这种地步,以致法律的尊严竟成为维护法律的一种障碍,这时候,便可以指定一个最高首领,它可以使一切法律都沉默下来,并且暂时中止主权权威”[20]。在此场景中,国家机关处理个人信息引致个人信息主体在个人信息保护场域受到一定限制,此举并非冲破个人信息需要受到法律保护的基本立场,而是因为突发性公共卫生安全事件事关全体人民群众的切身利益,甚或关涉整个人类的健康和生命安全。所谓突发性公共卫生安全事件是指,发生具有突发性,对社会公共健康造成或可能造成严重损害的兼具重大传染病疫情、群体性原因不明疾病等其他类对公共健康可造成严重影响的事件。本次新冠肺炎疫情属于上文所指的突发性公共卫生安全事件,应属社会公共利益范畴。我国学界对国家机关基于维护社会公共利益需要而处理个人信息无须承担民事责任多持肯定态度。①洛克认为,为了社会公共利益考量,有些事务的处理必须由国家行政机关实施,[21]国家机关作为个人信息处理的主体要维护社会公共利益和实现社会公共事业管理,属于特定目的限制的体现。
我国台湾地区“个人资料保护法”第2 条第7 项将公共机构称之为“公务机关”,具体是指“依法行使公权力的中央或地方机关或行政法人”,对于受“公务机关”委托而进行的收集、处理或者利用个人信息,适用“个人资料保护法”中有关“公务机关”的规定,“视同委托机关”,在“行政机关组织基准法”第37 条、“行政法人法”第2 条第1 项对公法人的规定,是指根据相关法律而设置的,“为执行特定公共事务”而设立的,除了公务机关之外的组织。[4]60根据我国台湾地区“个人资料保护法”规定,“公务机关”处理个人信息时,除了应具备特定目的外,还应该符合“个人资料保护法”第15 条所规定的选择性要件:“一、执行法定职务必要范围内;二、经当事人同意;三、对当事人权益无侵害”。质言之,我国台湾地区对“公务机关”处理个人信息的规定包括特定目的和选择性要件两个方面。
(二)非国家机关作为个人信息处理主体
数字时代背景下,个人信息综合价值不断得以彰显,尤其网络运营企业依托大数据、云计算、人工智能、互联网应用等高新技术优势处理个人信息,以获取经济利益,已成为当下个人信息经济价值的重要体现。此类主体为保持并提升市场竞争力,“已经到了几近疯狂的程度”[13]296。个人信息蕴含人身自由和人格尊严等一般人格利益,但不应否认的是,在当前数字科技发展背景下,个人信息商业经济价值不断提高。通过比较域外立法可知,欧盟及其成员国历来重视个人信息保护,虽然美国对个人信息保护持较为宽松态度,但是自从2018 年《加利福尼亚州消费者隐私法案》颁布后,其他州包括联邦在内已陆续通过了有关隐私法的提案,表明美国已开始走上普遍适用的个人信息保护之路。
结合当下数字科技发展水平,考虑到非国家机关尤其是网络运营类企业重在开发、利用个人信息商业经济价值的背景,立法上对此类主体的处理行为应持更为严格的态度,以保障自然人的个人信息安全。
我国《民法典》虽然并未明确非国家机关对个人信息处理的规定,但在1035 条至1039 条对个人信息处理者的行为作出原则性规定,为我国将来个人信息保护立法预留了空间。质言之,在数字时代背景下,个人信息处理者十分普遍,不仅包括网络运营者,也包括自然人主体。非国家机关对个人信息的处理,主要出于对商业经济利益的考量,对这类主体的规制在数字化社会背景下尤为重要,亦是将来我国个人信息保护法中的规制重点。
五、结 语
研究数字时代个人信息处理的基本问题,应从法律角度分析个人信息处理的内涵。首先,应界定个人信息处理中的“处理”,结合数字时代背景,主要指自动化处理方式。其次,从社会实践对个人信息处理中的收集和使用个人信息行为进行分析,比较域外立法中个人信息处理所存在的广义说和狭义说之分,根据我国《网络安全法》《民法典》《个人信息保护法》《中华人民共和国数据安全法》等法律法规制度规范,我国采用广义说。立基于数字时代,个人信息处理呈现出多样性特点,表现为处理能力巨量化、处理行为智能化、处理场景复杂化、处理成本低廉化等四个特征。最后,结合个人信息处理主体广泛性特点,从类型化视角将个人信息处理主体分为国家机关和非国家机关。鉴于数字时代个人信息处理已呈常态化趋势,应在个人信息保护基础上兼顾个人信息利用。
数字时代,个人信息被频繁处理并进一步挖掘其内在价值已是当下的重要特征。应立足个人信息保护,协调个人信息保护和利用之间关系,明确人们对个人信息的使用以不得侵害信息主体合法权益为前提。[22]本文系统论述个人信息处理的基本问题,不仅是解决个人信息主体与个人信息处理者冲突的重要方案,更是促进个人信息综合价值实现的重要路径。
注 释:
①近几年关于个人信息保护的研究成果较多,基本都支持在公共利益面向的免责,参见:王利明.论个人信息权的法律保护[J].现代法学,2013(4):62-72;高富平.个人信息保护:从个人控制到社会控制[J].法学研究,2018(3):84-101;丁晓东.个人信息私法保护的困境与出路[J].法学研究,2018(6):194-206;程啸.民法典编纂视野下的个人信息保护[J].中国法学,2019(4):26-43;王成.个人信息民法保护的模式选择[J].中国社会科学,2019(6):124-146.
