以下文章来源于行政法学研究编辑部 ,作者曹博
行政法学研究编辑部.
《行政法学研究》创刊于1993年,是中华人民共和国教育部主管、中国政法大学主办的国内首家部门法杂志,是中文社会科学引文索引(CSSCI)来源期刊、全国中文核心期刊。
曹博
上海交通大学凯原法学院副教授
本文为“蓟门决策”精编节选版。如体验完整版,请点击文末“阅读原文”。
《个人信息保护法》颁布实施,意味着“我国对数字化背景下个人信息保护的要求、范围、方式等作出了重要且系统的立法决断”,相关法律规范体系基本成型,个人信息的可识别性标准获得立法确认。
理论层面虽有不同见解,但大多以接受可识别性标准为前提,要么是对权益归属作抽象反思,要么是对实践规则作类型区分。然而,致力于从外部限缩个人信息范畴,或弱化个人控制力的方法,回避了可识别性的实质问题,即究竟如何理解“识别”。
本文直面这一个核心问题,在梳理个人信息可识别性解释路径演进的基础上,从识别对象“身份建构说”提供的理论启示出发,指出作为识别对象的自然人,在不同社会生活关系中外化为不同身份角色,与之对应的个人信息也发挥着不同的价值功能。相关信息能否识别到特定自然人,应在这一功能视角下,结合相应身份角色进行甄别与判断,从而明晰个人信息的内涵与边界。
1
1
1
个人信息可识别性解释路径的演进及启示
我国个人信息保护立法规范的创设,一方面是对现实需求的回应,一方面明显受到域外经验(特别是欧盟)的影响,可识别性标准作为不证自明的通说被接纳。规范表述中的“识别”指向自然人,进一步解释中,受到人格权理论体系与认知惯性的影响,难以超越个人信息保护应采一般人格权,还是具体人格权的范式之争。
针对识别对象,分别形成了“人格形象说”与“个人身份说”,二者体现了将个人信息与其他人格权客体和人格要素相区分的尝试。“身份建构说”立足于数字时代个人信息保护规范模式转变,为重新认识作为识别对象的自然人,进一步探究其在可识别性解释路径中的具体形态提供了有益启示。
(一)“人格形象说”导致个人信息与其他人格权客体难以区分
依据立法实践与学界通说,个人信息保护被置于人格权体系中,而人格权保护的前提是自然人与特定人格利益之间存在的联系,即人格属性与特定自然人之间的可识别性。在比较法上,无论是美国的“信息隐私”,还是欧盟的“个人信息自决权”,都面临如何将个人信息从隐私保护中剥离的理论难题。
(二)“身份要素说”使得个人信息泛化为人格要素
将能够识别自然人的人格要素与个人信息等量齐观的“身份要素说”,旨在为个人信息保护正名,《民法典》与《个人信息保护法》中界定的识别指向的特定自然人,事实上成为可能从人格尊严与人身自由中分解出的人格要素。单独识别与结合识别、已识别与可识别的区分也落入了循环解释的逻辑悖论:凡是能够识别到个体的信息,均属个人信息,而个体本身又指向呈现个体特征的各种人格要素,乃至并不属于人格要素的其他信息。
可识别性指向的对特定自然人的识别,泛化为对人格要素的识别,使得以识别难度进行识别路径区分的尝试,也陷入文义解释的循环论证,无从降低个人信息范畴的不确定性。
(三)“身份建构说”提供了区分识别对象角色身份的理论启示
“人格形象说”与“身份要素说”,分别受到一般人格权与具体人格权构建模式的影响,都致力于从主体与客体的支配关系入手,对个人信息做纯粹客观化的本体性探讨。然而,在霍菲尔德看来,法律中的诸多概念并没有对应的“客观事物”,必须被置于人与人之间设定的法律关系中,才能作有效理解。对个人信息进行本质化理解难言成功,从法律关系角度理解个人信息及可识别性,成为一种值得尝试的选择。
“身份建构说”将可识别性的阐释向后推延,有助于澄清相应规则的适用范围与解释空间,但无助于降低可识别性标准本身的不确定性。是否有可能从个人所处的不同社会关系入手,具体化其个人身份的表现形式,避免将可识别性的阐释推延到事后救济层面,成为“身份建构说”提供的理论启示,个人信息可识别性解释路径的重构也将以此为起点。
1
2
1
不同社会关系中个人信息识别对象的多重角色身份
对个人信息识别对象角色身份的认知,需要在数字时代的背景下,探求个人社会关系存在形式的多重面向。
(一)数字经济对个人构建社会关系的重塑
互联网的商业化实践,促成了市场与社会的重塑,依托数字基础设施、信息系统以及个人信息运行的数字经济逐渐发展成熟,对个人参与社会生活、构建社会关系产生了深刻影响。个人在现实世界之外取得多个数字身份,原有的个人信息被融入其中,数字身份又不断生成新的个人信息,这种变化进一步切入,并重新塑造了个人参与社会生活形成的社会关系。
数字时代个人社会关系的存在形式主要表现为公共管理关系、社会交往关系与商业消费关系,自然人角色身份也分别呈现为公民、社会人与消费者。
(二)公共管理关系:公民身份
随着技术进步与线上活动的不断开展,与特定自然人具有唯一联系、难以更改的生物特征信息付诸应用,其中包括人脸、指纹、虹膜、静脉、步态等。最初以匿名化架构的互联网,曾寄希望于以代码实现治理,但终究归于破灭。
政府对网络空间的规制逐渐强化,尤以实名制为代表。实名制使得匿名状态下的各类网络账户有迹可循,新的技术手段大大提升了身份验证的真实性、准确性与唯一性,对于公共管理意义重大。与此同时,遍布线下社会的摄像头、能够收集各类识别信息的设备,在接入互联网之后,强化了行政管理的精密度,提高了刑事案件的侦破效率,但也带来了个人信息被过度收集与使用的隐忧。鉴此,个人信息在公共管理中的作用,集中体现为身份认证的现实需求,此时个人信息的识别对象是自然人的公民身份。
(三)社会交往关系:社会人身份
在网络环境下,线上世界与线下世界各自运行又相互交叉,即便选择远离网络社交,也难以避免有关个人的信息被置于互联网,受到人际关系制约选择“看破不说破”的知情人,在网络环境下可以通过“马甲”披露他人情况乃至私密信息,“人肉搜索”现象就是例证。
在线下社会并不重要,通常不可能被陌生人关注的个人偏好、价值取向乃至深度隐私,都可能成为人设的一部分,通过个人在网络活动中留下的痕迹,整理、归纳和分析便可对其人格要素进行窥探。尽管分析结果可能并不真实,但却成为评价个人的依据,甚至对社会交往活动产生影响。
正是基于人设不自主的担忧,加之不少社交软件发挥了商业推广、工作联络等功能,为了维系使用活跃度,防止因人设忧虑逃离移动社交,社交软件也通过改进设计架构,不断丰富和提升个人的自主性。值得注意的是,在线下生活与线上生活已高度融合的前提下,个人外显其人格要素以及经营人设的自主性,不能与传统社会等量齐观,不少有关个人的信息还负载了新闻报道、舆论监督等公共价值。社会评价的多样性也决定了,在社会交往中个人信息发挥的功能是经营人设,此时个人信息的识别对象体现为自然人的社会人身份。
(四)商业消费关系:消费者身份
随着电子商务和网络服务的发展普及,将商户与用户和平台锁定的“连接一切”的理念成为平台经济意识形态。通过对个人在互联网上的搜索行为、购物记录、信用记录等信息的追踪、整合与分析,数字画像开始显现。
网络平台可能并不知晓也无意获知用户肖像、姓名等外显性人格要素,却能大致准确地判断其性别、年龄、收入水平、文化程度、消费能力、兴趣爱好等特征。以此为依据,广告推送、自动化推荐、兴趣匹配等营销行为,可以精准投放到用户的网络账户,形成锁定效应,确保用户能够持续稳定地通过平台进行交易。
对用户而言,这种个性化推荐虽然基于分类与聚类思维,很难真正实现“千人千面”,大数据的逻辑也并非因果关系而是相关性,无法保证营销成功的概率,不可能均等作用于所有用户。但较之于传统广告,其在引导消费方面的效果更加显著,对商业效率的提升也显而易见,用户由此产生了主张控制个人信息的财产诉求,个人对其人格外显性的关注也随之上升,此时个人信息的识别对象体现为自然人的消费者身份。
1
3
1
基于识别对象角色身份的个人信息类型结构
(一)认证真实身份:连接公共管理的公民身份信息
在实现公共管理的过程中,凡是能够与特定自然人形成唯一对应的信息,均可能构成身份确认的依据,从而实现对个人公民身份的识别。数字时代身份确认的主要方式为:预先采集特定主体具有唯一性的特征,记录和存储于数据系统,当需要进行身份验证时,实时获取个人信息,并与系统记录的数据进行比对,如能匹配,则完成身份识别与确认。
以人脸识别为代表的用于身份确认的个人信息,在实践中具有过度收集与使用的倾向。为此,应明确为实现公共管理功能、能够确认自然人公民身份的个人信息,属于公民身份信息。凡是能够与特定自然人形成唯一对应,从而实现身份确认的人格特征,都应纳入公民身份信息范畴。实践中对此类个人信息可识别性进行解释的主要目标是:区分公民身份与其他身份,甄别相应个人信息的处理,明确是否属于实现公共管理所必需的识别。
(二)自主经营人设:描摹人格外观的社会人身份信息
互联网重塑了时空格局,闲言碎语在线上世界可能成为永恒记忆,但网络环境中账户、数据和评分等要素构成“代码3.0”的一体化空间架构。此外,网络空间不但复制了一大部分线下世界的生活样态,同时创生了新的交往形式,数字画像成为个体新的存在形式,描摹人格外观的素材也空前丰富,任何在网络活动中留下的痕迹与信息似乎都能进入这一范畴,从而满足可识别性的要求。
数字画像毕竟不同于自然人本身,并非所有网络活动中生成的痕迹与信息均应进入个人信息范畴。例如,在黄某诉腾讯公司等侵犯隐私权、个人信息权益纠纷案中,法院认定,用户使用微信读书软件形成的包括阅读书目、阅读时长在内的信息,在一定程度上可以彰显个人兴趣、爱好、审美情趣、文化修养,从而勾勒刻画人格侧面,成为社会评价产生的基础,给人带来不安,用户本应享有自主建立以及拒绝建立信息化人设的自由。这种思路从根本上杜绝了数字画像的可能性,不利于正常的社会交往。虽然所有与个人有关的信息、个人在社会交往中产生的痕迹,都可能成为描摹人格外观、形成数字画像的素材,但在满足隐私权和名誉权保护要求的前提下,仍应允许社会评价的正常进行。实践中对此类社会人身份信息的可识别性进行解释的主要目标是:探求社会评价的正当边界。
(三)内化消费意愿:进行个性化推送的消费者身份信息
互联网带来商业模式更新,消费者能够获取的商家与商品信息更加完整全面。大型网络平台加入消费流程,逐步扮演重要角色,个人在互联网上留下诸多行为痕迹,成为揣测其购物需求与消费能力的依据。通过对这些信息的汇集与分析,将相应的商品或服务链接推送至移动终端设备的消费者账户中,便在很大程度上完成了引导消费的重要步骤。
从商业活动的视角考察,对个人信息的全面汇集和精确分析、不断推送的最终目的,都在于强化用户既有购买习惯,实现商业利益的最大化。以实践中普遍采用的通过cookie信息追踪,并且报告用户的在线行为为例,个人成为被识别分析的对象,虽然购物选择和消费取舍的形式自由仍由用户掌控,但“透明人”的忧虑和无形的信息茧房,则使其人格尊严与人身自由,面临实质性受损的风险。
从源头杜绝信息收集以消除风险似乎是最佳选择,但这既可能降低用户使用体验,也会制约互联网行业的创新和发展。单一种类的个人信息,在推测行为倾向方向的效果并不显著,难以形成清晰的个性化消费者形象。但是,“当在线场景大量集中在一个平台上时,用户的数字身份就可以通过进一步挖掘数据得到塑造,在不同的传统场景下获取用户行为习惯偏好,向其有针对性地推荐广告和商品,从而更好地使多元社会身份为用户的消费者身份服务”。
此时,相当于作为消费者身份的个人被从人群中识别,平台甚至能够根据大数据,推算相应消费者的购买和支付意愿,实施歧视性定价。能够识别消费者身份的个人信息,并非通常意义上零散的浏览记录、购买记录、信用评分等信息,而是能够对消费倾向及支付意愿进行推测的信息集合。实践中对此类消费者信息的可识别性进行解释的主要目标是:探求何种情况下已经形成,或可能形成对消费者消费意愿较为精准的识别。
1
4
1
识别自然人角色身份的解释路径
公民身份信息、社会人身份信息及消费者身份信息,在范畴与边界上受到身份功能的显著影响,个人信息识别的对象也不再是抽象的自然人,而是具体化的个人身份角色。凡是不满足相应身份角色界定的信息,将被排除在个人信息的范畴之外,个人信息可识别性的解释路径也将由此实现重构。
(一)识别对象角色身份社会关系的归属框架
有必要确定识别对象角色身份社会关系的归属框架,使个人信息处理者明确,其处理行为对应于何种社会关系。
《个人信息保护法》仅给出了个人信息处理者的基本定义,即在个人信息处理活动中自主决定处理目的、处理方式的组织、个人,但没有区分个人信息处理者的类型,也没有提供界分其所处社会关系的直接依据。仔细考察具体条文,其仍然体现了区分个人信息处理情形的思路。
在此基础上,个人信息处理主体的性质及所处行业,能够为识别对象角色身份的社会关系提供一般性归属框架,国家机关、社交软件与电商平台进行的个人信息处理行为,大致对应着公共管理关系、社会交往关系与商业消费关系。在无法依据这一归属框架直接得出结论的情况下,可进一步结合个人信息处理行为的时空环境、经验认知及社会共识进行分析。
(二)识别公民:以公共利益目的和必要原则限定识别场景及识别信息
公民身份信息随着技术进步仍有扩展可能,但外延范畴相对较为清晰,从个人信息处理的实践需求出发,对公民这一角色身份的识别,主要是厘定相应行为是否归属于公共管理关系,以及相应信息是否属于身份验证所必需。
公共管理关系的一方主体通常应为国家机关,这在很大程度上排除了其他主体以身份验证为由,识别公民身份的个人信息处理行为,但同时仍应强调,国家机关识别公民身份的行为是出于公共利益需要。在具体的公共管理关系中,对识别公民身份能够处理哪些个人信息,应结合《民法典》与《个人信息保护法》规定的必要原则,将其处理的公民身份信息,限于满足处理目的的最小范围之内,并将其作为限制知情同意规则适用的依据。
(三)识别社会人:以是否新增负面声誉信息限定识别可能性
实践中对社会交往关系中的人设忧虑,主要集中于个人对其声誉受损的担忧,这会导致个人的客观交易利益损失和主观尊严感受损失。在个人使用社交软件,通过社交软件接入其他应用程序时,个人活动留下的痕迹与产生的信息,是否能够识别社会人身份、构成个人信息,应以相应信息是否新增了负面声誉信息为依据进行判断。
(四)识别消费者:以信息汇集程度限定识别可能性
一方面仍应允许网络平台通过知情同意规则,对个人在网络平台内的行为痕迹进行收集与分析,但另一方面必须对单一网络平台能够收集的个人信息,从范围与数量方面进行限制。
在商业消费关系中,对识别消费者可能性的判断,应当结合网络平台的性质,以信息汇集程度的高低,对相应信息是否达到了精准把握消费意愿与支付对价的程度,作出初步推定。
有必要结合《个人信息保护法》的事前影响评估制度与“守门人”条款,进一步明确网络平台的信息汇集程度,判断其在识别消费者可能性方面的具体影响。
1
5
1
结语
从数字经济对传统社会关系的重塑出发,个人信息保护的对象,应当是个人在各种社会关系中,进行身份建构的自主性和完整性。这些社会关系包括公共管理关系、社会交往关系与商业消费关系。在不同的社会关系中,个人的角色身份分别具体化为公民、社会人与消费者。相应角色身份指向的个人信息,分别发挥连接公共管理、自主经营人设与内化消费意愿的功能。判断具体信息能否识别特定自然人,应将个人信息处理行为归入特定社会关系之中,确定识别对象的具体角色身份。
在公共管理关系中,对公民身份的识别应以公共利益为导向并符合必要原则;在社会交往关系中,对社会人身份的识别应以是否新增负面声誉信息为依据;在商业消费关系中,对消费者身份的识别应以信息汇集程度为标准。本文初步提出这一分析框架,强调从社会关系、身份区分及价值功能等视角解构个人信息的可识别性,建构以识别对象类型化表现形式为核心的解释路径,以期为个人信息权益构造的理解与阐释提供更多理论可能。
文章来源:《行政法学研究》2022年第4期。因篇幅过长,已省略原文注释。
原标题:《前沿 | 曹博:个人信息可识别性解释路径的反思与重构》
阅读原文