顧雷

近年來，我國個人信息安全問題頻發(fā)。本文探討在個人真實(shí)意思表示情況下，如何準(zhǔn)確把握處理個人信息的合規(guī)要求和范式要求，實(shí)現(xiàn)個人信息處理目的、處理范圍、處理方式達(dá)成平等互惠的充分合意，禁止過度使用個人信息，矯正國家、個人信息處理機(jī)構(gòu)與個人之間的不平等態(tài)勢，厘清個人信息處理關(guān)系順位。

近年來，我國個人信息安全問題頻發(fā)。2018年上半年支付寶年度賬單默認(rèn)勾選《芝麻服務(wù)協(xié)議》被質(zhì)疑侵犯隱私權(quán)，百度涉嫌侵害消費(fèi)者個人信息安全被江蘇省消保委提起公益訴訟。下半年又爆發(fā)不少企業(yè)平臺大規(guī)模數(shù)據(jù)泄露公民個人身份信息，包括華住酒店集團(tuán)旗下連鎖酒店4.5億條用戶信息被泄露，12306網(wǎng)站480余萬條用戶數(shù)據(jù)在網(wǎng)絡(luò)上被販賣，上市公司“數(shù)據(jù)堂”涉嫌侵犯公民個人信息罪被查，“巧達(dá)科技”非法交易個人信息多達(dá)2億條，引起社會廣泛關(guān)注和擔(dān)憂。

值得慶幸的是，我國立法機(jī)關(guān)十分重視個人信息保護(hù)法律體系的建設(shè)，《個人信息保護(hù)法》《數(shù)據(jù)安全法》和《征信業(yè)務(wù)管理辦法》紛紛出臺，《刑法》（修正案）也補(bǔ)充規(guī)定了侵犯公民個人信息罪，特別是2021年《民法典》實(shí)行以來，對個人信息保護(hù)進(jìn)一步加強(qiáng)，讓越來越多不法人員和機(jī)構(gòu)不敢再鋌而走險(xiǎn)。但是，在處理個人信息過程中，對個人信息合規(guī)處理依然存在理論上的分歧，司法實(shí)踐也有不同判例。因此，如何厘清個人信息處理關(guān)系順位，解決好處理個人信息合規(guī)性和范式要求，顯得尤為重要。

個人信息處理關(guān)系順位合規(guī)要求

從相互關(guān)系上說，個人信息與隱私范圍存在一定交叉重合，即個人信息保護(hù)客體與隱私權(quán)保護(hù)客體是基本重疊，諸如個人健康信息、身份證號碼、銀行卡號碼等私密信息既是個人信息載體，又是隱私權(quán)保護(hù)對象。個人信息與隱私權(quán)保護(hù)對象都是人格利益，有著極高相似性。但是，兩者是有區(qū)別的。個人信息指的是以電子或其他方式記錄的能夠單獨(dú)或者與其他信息相結(jié)合識別特定自然人的各種信息，核心特征是“識別性”。而隱私權(quán)保護(hù)的是私人生活安寧、個人空間以及私人活動，這些私人信息不能或不愿意被他人知曉，核心特征是“私密性”。一旦個人隱私信息被非法獲取或者濫用，極易對個人的生活安寧造成侵害。因此，當(dāng)個人信息與隱私權(quán)重疊時(shí)，對同屬個人信息的私密信息應(yīng)該更加重視，需要優(yōu)先適用隱私權(quán)保護(hù)規(guī)則。

在個人信息和隱私雙重語境下，產(chǎn)生的重合就是根據(jù)對信息主體產(chǎn)生影響作用大小進(jìn)行的“一對一”價(jià)值衡量過程。單一的個人信息的保護(hù)價(jià)值來自信息本身的概念性、社會性內(nèi)涵，而隱私信息表達(dá)出更多的不為人知或不應(yīng)人知的人格性、生物性內(nèi)涵。舉例來說，某人姓名在不結(jié)合其他信息情況下，其被保護(hù)的必要性是弱于“某人是新冠肺炎確診者”這一私密信息的。也就是說，單一的、非私密的個人信息在面對更為隱私消息時(shí)并沒有特殊保護(hù)價(jià)值。于是，在處理個人信息時(shí)首先需要保護(hù)的是個人隱私權(quán)，然后才是個人信息，隱私權(quán)優(yōu)于個人信息等級，順序不能顛倒，否則就是對公民隱私權(quán)的另一種無視和侵犯。

當(dāng)前，我國個人隱私權(quán)正在經(jīng)歷著前所未有的挑戰(zhàn)，尤其在抗擊新冠肺炎疫情過程中，在采集（疑似）患者信息時(shí)，不少醫(yī)療機(jī)構(gòu)，包括私人診所、民營醫(yī)療機(jī)構(gòu)以及部分公立醫(yī)院，并不十分重視保護(hù)患者隱私權(quán)，易引發(fā)個人信息泄露和侵犯個人隱私權(quán)的問題。

個人信息處理正當(dāng)性合規(guī)要求

正當(dāng)性要求為首的合規(guī)要求

目前，世界各國對個人信息處理合規(guī)要求并不統(tǒng)一，主要有以下幾種類型：第一種是信息處理明確原則?！缎畔踩夹g(shù) 個人信息安全規(guī)范》規(guī)定處理個人信息時(shí)必須具有清晰、具體的個人信息處理目的，而不是籠統(tǒng)地處理個人信息。第二種是信息處理限制原則。經(jīng)濟(jì)合作與發(fā)展組織在《隱私保護(hù)和個人數(shù)據(jù)跨境流動準(zhǔn)則》（1980年）中規(guī)定“個人數(shù)據(jù)收集的目的應(yīng)當(dāng)在收集時(shí)確定，隨后的使用限制在實(shí)現(xiàn)該目的的必要范圍內(nèi)，或者用于實(shí)現(xiàn)其他與該目的不沖突的目的和每次更改時(shí)確定的目的”。我國《數(shù)據(jù)安全法》第32條也要求“應(yīng)當(dāng)在法律、行政法規(guī)規(guī)定的目的和范圍內(nèi)收集、使用數(shù)據(jù)”。

實(shí)際上，處理個人信息明確原則、限制原則之間并不是平行關(guān)系。明確原則是個人信息處理的前提條件，但僅有明確原則可能導(dǎo)致合規(guī)性虛設(shè)，還需要對個人信息處理目的進(jìn)行一定限制，只有禁止為了不正當(dāng)目的處理個人信息行為，個人信息處理才具有最高層次合規(guī)要求，才能有效維護(hù)處理個人信息的正當(dāng)性。

個人信息處理的特定、明確要求

長期以來，我國對于個人信息保護(hù)正當(dāng)原則規(guī)定得比較寬泛。在實(shí)踐中政府部門、金融機(jī)構(gòu)、非銀金融機(jī)構(gòu)更喜歡用比較模糊或不確定的詞匯來表述其個人信息保護(hù)目的，諸如“為了公共利益”“為了金融產(chǎn)品創(chuàng)新需求”以及“為了提升客戶體驗(yàn)度”，等等。在這里，我們不討論背后的動機(jī)究竟是什么，但這些寬泛、模糊和宏大抽象的表述容易引發(fā)個人信息收集范圍過大、使用場景過多問題，最后導(dǎo)致個人信息保護(hù)限制性、明確性原則形同虛設(shè)。

從范式要求上看，個人信息處理目的應(yīng)盡可能特定、明確，目的表述應(yīng)盡可能提供細(xì)節(jié)。例如“公共利益”概念比較模糊，屬于不確定性社會概念，并不是一個法律概念，容易被誤用、濫用或惡意使用。如果個人信息處理目的過于寬泛、抽象，不僅無法控制個人信息處理范圍，也無法有效指引后續(xù)個人信息處理活動。因此，政府在進(jìn)行個人信息保護(hù)時(shí)，必須實(shí)現(xiàn)特定、明確的具體公共利益目標(biāo)，不宜同時(shí)設(shè)定多個處理目的，也不宜以抽象的“為了公共利益”為名而隨意處理個人信息。

處理個人信息目標(biāo)要求與標(biāo)準(zhǔn)

第一個標(biāo)準(zhǔn)：國家或公共利益

歐盟《通用數(shù)據(jù)保護(hù)條例》（General Data Protection Regulation，簡稱GDPR）將公共衛(wèi)生事項(xiàng)、歷史研究、醫(yī)療健康、公共資料保存披露、人道主義救助以及國家選舉事項(xiàng)六大類作為社會公共領(lǐng)域的正當(dāng)性表征。我國《信息安全技術(shù) 個人信息安全規(guī)范》也列舉了無須經(jīng)過個人同意的公共利益多個類型，諸如國防安全、重大公共利益、公共衛(wèi)生、公共安全、刑事司法等。《個人信息保護(hù)法》第13條和第26條還規(guī)定，鑒于公共利益實(shí)施社會性新聞報(bào)道、社會輿論監(jiān)督、網(wǎng)絡(luò)共同宣傳等目的就可以在合理范圍內(nèi)處理個人信息，諸如在公共場所安裝圖像采集、個人身份識別設(shè)備。這使得國家或公共利益在個人信息處理范圍上的擴(kuò)張有了法律依據(jù)。

第二個標(biāo)準(zhǔn)：私人或機(jī)構(gòu)組織利益

在特定情形下，為了私人或機(jī)構(gòu)組織利益，未經(jīng)個人同意也可進(jìn)行個人信息處理。第一種情形：為保護(hù)個人或其他自然人的重大利益。歐盟《通用數(shù)據(jù)保護(hù)條例》第6條規(guī)定：“為保護(hù)數(shù)據(jù)主體或另一自然人的重大利益所必要的數(shù)據(jù)處理?！蔽覈秱€人信息保護(hù)法》第13條規(guī)定，“為應(yīng)對突發(fā)公共衛(wèi)生事件，或者緊急情況下為保護(hù)自然人的生命健康和財(cái)產(chǎn)安全所必需”，可以不經(jīng)同意處理個人信息?！睹穹ǖ洹返?036條也認(rèn)可為了保護(hù)自然人合法權(quán)益而未經(jīng)自然人同意的，可以視為合理利用個人信息行為，并不需要承擔(dān)民事責(zé)任。

第二種情形：為了順利簽訂或履行特定合同或特定條款，個人信息處理者不經(jīng)個人同意，可以在必要限度內(nèi)處理個人信息。例如《信息安全技術(shù) 個人信息安全規(guī)范》就規(guī)定，“維護(hù)所提供產(chǎn)品或服務(wù)的安全穩(wěn)定運(yùn)行所必需的，如發(fā)現(xiàn)、處置產(chǎn)品或服務(wù)的故障”，可以未經(jīng)個人同意處理個人信息。

第三種情形：為了更好開展經(jīng)濟(jì)組織內(nèi)部管理，個人信息處理者對其員工或客戶相關(guān)數(shù)據(jù)可以進(jìn)行必要處理。歐盟《通用數(shù)據(jù)保護(hù)條例》第9.2條規(guī)定，為實(shí)現(xiàn)數(shù)據(jù)控制者或數(shù)據(jù)主體在勞動、社會保障以及社會保障法的范疇內(nèi)履行義務(wù)、實(shí)現(xiàn)特定權(quán)利所必需，可以依法處理數(shù)據(jù)。

值得一提的是，如上所述，雖然在特定情況下未經(jīng)個人同意也可以進(jìn)行個人信息處理，并不表明可以隨意處理個人信息。比如，“第三種情形”所述，盡管基于經(jīng)濟(jì)組織內(nèi)部管理目標(biāo)可以合理處理個人信息，但不能超越管理權(quán)限，處理個人信息的正當(dāng)性、合理性要求必須同時(shí)得到滿足。又如，如果被告未經(jīng)同意在微信群公開原告的隱私敏感信息，諸如個人嚴(yán)重疾病、家族遺傳病史、個人嚴(yán)重刑事犯罪記錄以及個人婚姻歷史等等，即便因公司內(nèi)部管理需要，但可以視為“超出必要限度”，違反個人信息處理正當(dāng)性合規(guī)要求，歸為侵害原告隱私權(quán)的不法行為之列。

個人信息處理目的變更許可

今天，在不同數(shù)據(jù)和信息場景中，很難保持最原始的處理目的。越來越多的數(shù)據(jù)和個人信息在處理之初并無意用作其他用途，最終卻產(chǎn)生了很多意想不到的結(jié)果。因此，在立法上應(yīng)該留出適當(dāng)空間，允許處理個人信息目的變更，確立合理變更制度，允許個人信息處理者根據(jù)情勢適當(dāng)改變原初目的或增加新的合理目的。否則，過度要求個人信息處理目的特定和唯一，可能妨礙、限制或割裂個人信息流通，形成一個個信息（數(shù)據(jù)）孤島。

當(dāng)然，允許個人信息處理目的發(fā)生變更有一個前提條件，就是變更后的目的同原初目的之間應(yīng)具有因果關(guān)聯(lián)性，不能隨心所欲地變化，否則就違背正當(dāng)原則和范式要求。例如，日本在處理個人信息變更前后目的時(shí)就強(qiáng)調(diào)必須具有“相當(dāng)關(guān)聯(lián)性”。日本《個人信息保護(hù)法》第15條第2款規(guī)定，“個人信息處理者變更利用目的的，不得超出一定合理的范圍，變更后的目的應(yīng)與變更前的目的具有相當(dāng)關(guān)聯(lián)性”。歐洲國家也有類似目的變更的條款，歐盟《通用數(shù)據(jù)保護(hù)條例》（第5條明確規(guī)定：如果后續(xù)數(shù)據(jù)處理基于第89條第1款，是為了實(shí)現(xiàn)公共利益、歷史研究或科學(xué)統(tǒng)計(jì)目的等等，不應(yīng)被視為違背原初目的。也就是說，如果變更后的目的與原初目的不存在必然聯(lián)系，超出預(yù)期的，個人信息處理者就應(yīng)該再次履行告知程序，在獲取個人二次同意后才可以處理信息。

個人信息處理必要性合規(guī)要求

個人信息及時(shí)銷毀問題

近年來，我國工信部開展應(yīng)用程序（application，簡稱app）侵害用戶權(quán)益專項(xiàng)整治行動，截至2021年6月，共完成73萬款app的技術(shù)檢測工作，責(zé)令整改3046款違規(guī)app，下架179款拒不整改的app。雖然治理工作取得了積極成效，但個人信息處理過程的及時(shí)銷毀問題不容忽視?！稓W盟2006/24號指令》要求留存所有使用電信服務(wù)人的生活習(xí)慣、居住地、日常或特殊活動、社會關(guān)系的數(shù)據(jù)，在規(guī)定時(shí)間內(nèi)不被留存，統(tǒng)一銷毀處理。

但是，個人信息及時(shí)銷毀立法在我國并不健全。未來，我國應(yīng)該出臺實(shí)施細(xì)則加以明確規(guī)定，對移動通信、餐飲外賣、網(wǎng)絡(luò)約車、網(wǎng)上購物、郵件快件寄遞、網(wǎng)絡(luò)借貸、交通票務(wù)、醫(yī)療問診掛號、銀行或非銀機(jī)構(gòu)投資理財(cái)?shù)萢pp處理個人信息時(shí)必須及時(shí)刪除、銷毀，杜絕內(nèi)容無邊界、收集無節(jié)制、銷毀無期限現(xiàn)象，經(jīng)過匿名化處理后無法關(guān)聯(lián)到特定個人且無法復(fù)原的除外。

個人信息處理只能造成最小損害

必要原則要求以最小損害的方式處理個人信息。首先，在處理個人信息前，根據(jù)個人信息的類型、處理目的、處理范圍、處理場景，對個人信息處理引發(fā)的風(fēng)險(xiǎn)進(jìn)行全面評估，分析不同處理手段帶來的損害大小，完成個人信息保護(hù)的制度性評價(jià)。歐盟很早就確立了數(shù)據(jù)保護(hù)影響評估制度（Data Protection Impact Assessment，簡稱DPIA），防止因?yàn)閿?shù)據(jù)處理行為可能帶給個人信息安全的不利影響。

2019年5月，美國舊金山市頒布全球首個禁止人臉識別技術(shù)的規(guī)定《反監(jiān)控條例》，禁止當(dāng)?shù)鼐胶推渌畽C(jī)關(guān)使用人臉識別技術(shù)，以防止公權(quán)力機(jī)關(guān)濫用人臉信息監(jiān)控個人。2021年10月6日，歐洲議會通過決議，呼吁全面禁止基于人工智能（Artificial Intelligence，簡稱AI）生物識別技術(shù)的大規(guī)模監(jiān)控，特別禁止警察在公共場所使用面部識別技術(shù)，逐漸限制在公共場所使用遠(yuǎn)程生物識別技術(shù)，采取對個人權(quán)益影響最小的方式處理個人信息，以免對個人造成不必要的侵權(quán)。

近些年來，人臉識別技術(shù)在中國得到了廣泛運(yùn)用，同時(shí)也引發(fā)濫用和過度損害的擔(dān)憂。在“中國人臉識別第一案”中，原告郭某因其未經(jīng)注冊人臉識別將無法進(jìn)入動物園，郭某不愿接受被收集人臉信息要求辦理退卡退費(fèi)被拒而提起訴訟。一審法院經(jīng)審理認(rèn)為，被告收集人臉識別信息，“超出了必要原則要求”。二審法院認(rèn)為，人臉識別不當(dāng)使用將給公民的人身、財(cái)產(chǎn)帶來不可預(yù)測的風(fēng)險(xiǎn)，最后判決郭某勝訴。

盡管“刷臉”好用，方便商業(yè)活動，但很多時(shí)候過度使用可能會對個人造成過度損害，涉嫌對少數(shù)民族、老年人、殘疾人歧視，尤其是過度使用生物識別、醫(yī)療健康、金融賬戶、行蹤軌跡等敏感個人信息帶來的損害公民基本權(quán)利的風(fēng)險(xiǎn)可能遠(yuǎn)遠(yuǎn)超過帶給人們生活的便利。顯然，過度“刷臉”有違最小損害原則。

目前，我國對處理個人信息評價(jià)體系的立法比較簡單，未來立法機(jī)構(gòu)應(yīng)該頒布實(shí)施細(xì)則，對于利用個人信息進(jìn)行自動化決策、委托第三方機(jī)構(gòu)處理、向第三方提供或公開個人信息、向境外提供個人信息等均應(yīng)事前評估，實(shí)現(xiàn)事先有效性評價(jià)控制。此外，在有效性評估處理后，比較個人信息處理不同方案的損害大小，在多種個人信息處理方式中選擇沒有損害或最小損害的處理方式，避免對個人造成過度損害。

個人信息處理具備關(guān)聯(lián)性

個人信息處理手段與目的之間具有一定合理關(guān)聯(lián)性。如果與原始目的沒有關(guān)聯(lián)而處理個人信息，即使是為了追求社會利益或第三方合法權(quán)益，也不具有法律上的正當(dāng)性。亦如《歐盟2006/24號指令》規(guī)定的那樣，個人信息處理同合同履行之間必須具有“密不可分和實(shí)質(zhì)性的聯(lián)系”，以減少合同履行成本或增加商業(yè)利益。

關(guān)聯(lián)性有助于減少不必要、非法的個人信息的處理方式，保持處理信息行為正當(dāng)性。但是，我國《個人信息保護(hù)法》第6條有關(guān)個人信息處理“應(yīng)當(dāng)與處理目的直接相關(guān)”的規(guī)定，從立法角度有些過于狹窄。筆者認(rèn)為，關(guān)聯(lián)性不等于直接相關(guān)，間接相關(guān)也應(yīng)該成為處理個人信息的一種必要性合規(guī)要求。只要沒有過度收集個人信息，在最小范圍內(nèi)處理個人信息的所有行為都應(yīng)該被視為滿足了關(guān)聯(lián)性要求的合法行為。

處理個人信息的平衡原則

一是宏觀發(fā)展原則。目前，我國數(shù)據(jù)黑市、數(shù)據(jù)泄露及數(shù)據(jù)濫用等危害數(shù)據(jù)安全的情況嚴(yán)重，但同時(shí)數(shù)字經(jīng)濟(jì)已成為我國經(jīng)濟(jì)增長新引擎，通過加速數(shù)據(jù)的流動而實(shí)現(xiàn)產(chǎn)業(yè)發(fā)展也成為大趨勢。因此，我們必須在推進(jìn)“數(shù)字化+”“互聯(lián)網(wǎng)+”“智能化+”“標(biāo)準(zhǔn)化+”過程與商業(yè)價(jià)值、社會道德和個人隱私之間尋找到一個平衡點(diǎn)。

其實(shí)，歐盟早就遇到類似問題。歐盟《通用數(shù)據(jù)保護(hù)條例》第1條第3款明確強(qiáng)調(diào)了平衡的重要性，即“個人數(shù)據(jù)在歐盟境內(nèi)的自由流通不得因?yàn)樵趥€人數(shù)據(jù)處理過程中保護(hù)自然人而被限制或禁止”。顯然，歐盟十分注重處理好個人信息保護(hù)與數(shù)據(jù)流動的平衡關(guān)系。為此，我國對接GDPR有關(guān)個人信息保護(hù)與數(shù)字經(jīng)濟(jì)共同發(fā)展模式，樹立數(shù)據(jù)發(fā)展和信息保護(hù)同等重要觀念，不能為了避免矛盾而搞一個與世隔絕的“數(shù)據(jù)信息烏托邦”，做到安全風(fēng)險(xiǎn)防范為主、兼顧數(shù)字經(jīng)濟(jì)發(fā)展，強(qiáng)調(diào)“數(shù)據(jù)監(jiān)管+自由市場”雙向數(shù)據(jù)治理模式，絕對不能出現(xiàn)天平失衡問題。

二是微觀均衡原則。處理個人信息時(shí)必須兼顧收集目標(biāo)實(shí)現(xiàn)和保護(hù)信息主體權(quán)益，實(shí)現(xiàn)個人、信息機(jī)構(gòu)和國家三方主體的利益均衡，以免過度或不必要地使用或處理個人信息。