吳國(guó)喆,王文文

西安交通大學(xué) 法學(xué)院,陜西 西安 710049

一、問題的提出

大數(shù)據(jù)的發(fā)展賦予個(gè)人信息以全新的市場(chǎng)價(jià)值,人的存在也超脫傳統(tǒng)生物體的形式,而基于信息世界的活動(dòng)衍生出虛擬人格。公眾享受技術(shù)福利的同時(shí)亦被擠壓著私人空間,大數(shù)據(jù)時(shí)代對(duì)人的法律保護(hù)由此從物理世界擴(kuò)展到包含虛擬人格的信息世界,進(jìn)而對(duì)個(gè)人信息處理行為尺度的把握成為法律面對(duì)技術(shù)革命必須回答的問題。中國(guó)法律目前對(duì)個(gè)人信息的保護(hù)在信息自由流動(dòng)和信息自主決定間往復(fù),這也符合國(guó)際通行做法——基于個(gè)人信息內(nèi)涵的人格要素和財(cái)產(chǎn)價(jià)值之雙重屬性,個(gè)人信息被普遍排除于絕對(duì)權(quán)之外,其法律規(guī)制均在權(quán)益保護(hù)和自由流通間找尋平衡點(diǎn)。在法律規(guī)則層面,2017年頒布的《中華人民共和國(guó)民法總則》第一百一十一條明確了“自然人的個(gè)人信息受法律保護(hù)”,這成為中國(guó)法律探尋個(gè)人信息處理行為規(guī)則邊界的邏輯新起點(diǎn),《中華人民共和國(guó)民法典》(以下簡(jiǎn)稱《民法典》)對(duì)此未做任何修改。2021年頒布的《中華人民共和國(guó)個(gè)人信息保護(hù)法》(以下簡(jiǎn)稱《個(gè)人信息保護(hù)法》)更是沿著個(gè)人信息處理行為這條主線,對(duì)個(gè)人信息的法律歸屬、信息處理行為的正當(dāng)化基礎(chǔ)、信息流動(dòng)線路上各主體的權(quán)利義務(wù)安排、不同處理者的區(qū)別規(guī)制方式等作出了基本的規(guī)范表達(dá)。在“數(shù)據(jù)處理無所不在”的時(shí)代背景下,國(guó)家、社會(huì)、商業(yè)主體乃至私人的“信息饑餓感”將或許并不自愿的信息主體推上虛擬舞臺(tái),信息主體和信息控制者分列數(shù)據(jù)化這一時(shí)代洪流的兩岸,各自企盼著基于個(gè)人信息的便捷或利好。故而,僅從信息主體角度出發(fā)的法律抽象表達(dá)只是行為規(guī)制起點(diǎn),具體規(guī)則適用亟待基于實(shí)踐的細(xì)分研究。

個(gè)人信息保護(hù)有兩大理論基礎(chǔ),一為歐盟及其成員國(guó)從人的基本權(quán)利保護(hù)延伸出的數(shù)據(jù)控制理論,二為美國(guó)基于個(gè)人自由保護(hù)的隱私自治理論[1]。盡管理論基礎(chǔ)不同,但兩大法域?qū)€(gè)人信息權(quán)的規(guī)制均體現(xiàn)為一組寬泛的原則和詳細(xì)的行為規(guī)范[2],信息處理的邏輯起點(diǎn)為信息主體的自決權(quán)益,因而主體同意作為個(gè)人信息處理的規(guī)則核心成為各國(guó)立法例的普遍表達(dá)(1)2018年5月生效的歐盟《通用數(shù)據(jù)保護(hù)條例》(GDPR)和中國(guó)的《個(gè)人信息保護(hù)法》均構(gòu)建了以“告知同意”為核心的處理原則;美國(guó)在州層面有《加州隱私權(quán)法案》(CPRA),規(guī)定一般情形下以“選擇退出”機(jī)制最大化發(fā)揮數(shù)據(jù)價(jià)值。2020年歐盟委員會(huì)出臺(tái)的《歐洲數(shù)據(jù)戰(zhàn)略》中,釋放數(shù)據(jù)潛力的前提是授予個(gè)人使用其產(chǎn)生的數(shù)據(jù)的權(quán)利。。但這并不意味著信息主體的自決權(quán)益是一項(xiàng)絕對(duì)權(quán)?？紤]到數(shù)據(jù)時(shí)代勃發(fā)的信息依賴行為,作為資源的信息已然脫離了信息主體的掌控,成為個(gè)人必要的社會(huì)存在條件、國(guó)家的功能條件及活動(dòng)基礎(chǔ)、經(jīng)濟(jì)的生產(chǎn)要素。這也是個(gè)人信息固有的公共性和社會(huì)性的體現(xiàn)。故而有學(xué)者認(rèn)為個(gè)人信息保護(hù)法是一種控制個(gè)人信息處理帶給信息主體人格或財(cái)產(chǎn)的加害風(fēng)險(xiǎn)的事先防御機(jī)制,而非以信息自決權(quán)益為中心的權(quán)利保護(hù)規(guī)范[3]。在經(jīng)歷了“個(gè)人信息與隱私的區(qū)分”“知情同意規(guī)則的延伸與限縮”等大論戰(zhàn)后,中國(guó)學(xué)者也逐漸意識(shí)到知情同意不能也不可能成為個(gè)人信息處理的唯一合法基礎(chǔ)[4]。誠(chéng)然,個(gè)人信息作為某種人格的社會(huì)延伸應(yīng)當(dāng)成為信息主體的權(quán)益,但數(shù)字時(shí)代信息的歸屬主體與控制主體分離的事實(shí)不可否認(rèn),信息控制者對(duì)個(gè)人信息的兩次賦值亦不容忽視(2)第一次賦值是指控制主體對(duì)原始數(shù)據(jù)的利用,通過信息的流轉(zhuǎn)處理,發(fā)揮了原始個(gè)人信息的經(jīng)濟(jì)價(jià)值。第二次賦值是指數(shù)據(jù)控制者按照一定目的以新的處理模式對(duì)原始數(shù)據(jù)進(jìn)行加工處理的過程,二次賦值得到的為次生數(shù)據(jù),只具有財(cái)產(chǎn)屬性。,由此產(chǎn)生的“未經(jīng)信息主體知情同意而進(jìn)行的信息處理行為”規(guī)制當(dāng)引起法律重視。另外,于具體裁判中,法院也對(duì)基于信息流動(dòng)的商業(yè)模式創(chuàng)新和基于公共安全的信息處理行為打開了綠色通道,對(duì)個(gè)人信息合理使用的規(guī)則進(jìn)行摸索。個(gè)人信息合理使用作為同意豁免規(guī)則在法律中得到認(rèn)可,這是否意味著個(gè)人信息的法律規(guī)制邏輯已然脫離傳統(tǒng)的個(gè)人信息控制理論?

實(shí)則在規(guī)范層面,中國(guó)公私法對(duì)信息合理使用的法律表達(dá)并不完全一致?！吨腥A人民共和國(guó)網(wǎng)絡(luò)安全法》(以下簡(jiǎn)稱《網(wǎng)絡(luò)安全法》)第四十一條雖然確立了同意作為網(wǎng)絡(luò)空間內(nèi)收集使用個(gè)人信息唯一合法性基礎(chǔ)的規(guī)則,但第四十二條第一款以但書形式規(guī)定,網(wǎng)絡(luò)運(yùn)營(yíng)者可處理“經(jīng)過處理無法識(shí)別特定個(gè)人且不能復(fù)原的”信息?！睹穹ǖ洹坊谛畔⒆杂闪鬓D(zhuǎn)的需要,于第九百九十九條、第一千零三十六條分別作出“基于特定目的可以合理使用民事主體個(gè)人信息”“個(gè)人信息合理使用免除民事責(zé)任”的規(guī)定?！缎畔踩夹g(shù) 個(gè)人信息安全規(guī)范》(2020版)第5.6條規(guī)定了11項(xiàng)信息處理的同意豁免情形?！秱€(gè)人信息保護(hù)法》吸收了國(guó)家標(biāo)準(zhǔn)和《民法典》的相關(guān)規(guī)定,其第十三條第一款進(jìn)一步擴(kuò)大了處理個(gè)人信息的合法基礎(chǔ),在“主體同意”(第一項(xiàng))之外,佐以“履約、法定職責(zé)或義務(wù)需要、人力資源管理、突發(fā)公共衛(wèi)生事件應(yīng)對(duì)、公開信息處理、新聞報(bào)道、輿論監(jiān)督”(第二～六項(xiàng))等合理使用情形,加之第七項(xiàng)的兜底性條款,對(duì)信息處理行為予以更為靈活的規(guī)定。表面觀之,《個(gè)人信息保護(hù)法》已然以信息處理的多元正當(dāng)性基礎(chǔ)替代了《網(wǎng)絡(luò)安全法》所規(guī)定的信息處理的唯一合法性基礎(chǔ),同時(shí)也似有打破《民法典》關(guān)于個(gè)人信息處理行為的“知情同意+免責(zé)事由”規(guī)則架構(gòu)之嫌。

縱然法律規(guī)定盡可能細(xì)致化,但于實(shí)踐應(yīng)用中仍存在諸多難題。一是對(duì)條文的解釋不甚統(tǒng)一。《民法典》和《個(gè)人信息保護(hù)法》對(duì)合理使用的法律性質(zhì)界定似乎并不一致,由此出現(xiàn)“合理使用究竟系信息處理的免責(zé)抗辯事由、基于權(quán)利限制的合法事實(shí)行為抑或一種公共權(quán)益、一項(xiàng)信息權(quán)能”的疑問。除此,《個(gè)人信息保護(hù)法》第十三條中的“直接相關(guān)”“重大合法權(quán)益”等概念相對(duì)模糊,亟待實(shí)踐厘清。二是信息合理使用的司法判定要素模糊,其合理性除了法條規(guī)定的“合理目的、方式、范圍”外,是否需要考慮損害結(jié)果的影響。三是法律對(duì)基于商業(yè)目的的信息使用行為態(tài)度曖昧?；趥€(gè)人信息的人格權(quán)屬性,未經(jīng)信息主體同意的商業(yè)化利用行為似乎并不能當(dāng)然地獲得正當(dāng)性,但問題在于數(shù)字經(jīng)濟(jì)時(shí)代,數(shù)據(jù)已從簡(jiǎn)單的處理對(duì)象轉(zhuǎn)變?yōu)橐环N基礎(chǔ)性資源,數(shù)據(jù)處理利用主導(dǎo)權(quán)也從政府主導(dǎo)逐漸向企業(yè)主導(dǎo)轉(zhuǎn)變[5]。因而,厘清個(gè)人信息人格權(quán)與財(cái)產(chǎn)權(quán)的雙重屬性,賦予商業(yè)主體對(duì)個(gè)人信息中財(cái)產(chǎn)權(quán)益的合理使用權(quán)限變得迫切。

以上問題涉及個(gè)人信息合理使用的規(guī)范構(gòu)造,中國(guó)學(xué)者亦有所研究。江波等[4]認(rèn)為個(gè)人信息合理使用原則作為同意原則的補(bǔ)充,具有正當(dāng)性基礎(chǔ),應(yīng)構(gòu)建風(fēng)險(xiǎn)控制制度對(duì)其予以保護(hù)。程嘯[6]認(rèn)為個(gè)人信息合理使用是對(duì)信息主體人格權(quán)益的限制,比照著作權(quán)的合理使用,前者是一種合法事實(shí)行為。但同樣是借鑒著作權(quán)合理使用制度。盧震豪[7]認(rèn)為個(gè)人信息合理使用是一種免責(zé)抗辯事由,其法律適用當(dāng)滿足“開放情形清單+開放評(píng)估清單”雙重清單模型。張?jiān)コ降萚8]認(rèn)為應(yīng)當(dāng)從具體行為出發(fā),基于具體場(chǎng)景,構(gòu)建包含資訊主體、信息類型和使用原則三要素的合理性法律評(píng)價(jià)體系。張建文[9]對(duì)比司法裁判和法律規(guī)范中對(duì)信息合理使用行為的不同認(rèn)定,指出裁判存在擴(kuò)大解釋之嫌。以上研究從規(guī)范性質(zhì)、合理性認(rèn)定要素、認(rèn)定方法等不同角度對(duì)個(gè)人信息合理使用規(guī)則作以論述,但對(duì)規(guī)則性質(zhì)的認(rèn)定不甚統(tǒng)一,對(duì)合理使用具體情形的司法適用也止于宏觀把控。本文從數(shù)據(jù)社會(huì)中信息規(guī)制的法理轉(zhuǎn)變?nèi)胧?厘清個(gè)人信息合理使用的法律性質(zhì);基于中國(guó)司法實(shí)踐和比較法經(jīng)驗(yàn),總結(jié)合理使用的認(rèn)定要素;以實(shí)踐中糾紛頻發(fā)的商業(yè)化合理使用為例,探尋具體情境下合理性判定的司法適用邏輯,促進(jìn)信息有效流轉(zhuǎn)、發(fā)揮信息財(cái)產(chǎn)價(jià)值,同時(shí)避免該規(guī)則成為信息控制主體肆意免責(zé)或者形式合規(guī)的工具,以期實(shí)現(xiàn)個(gè)案間信息自主與信息自由之平衡。

二、個(gè)人信息合理使用的法律性質(zhì)

(一)個(gè)人信息合理使用規(guī)則在中國(guó)法律上的探索

各國(guó)司法實(shí)踐表明,個(gè)人信息日益從防御性權(quán)利向主動(dòng)性權(quán)利演進(jìn),從強(qiáng)調(diào)倫理尊重向鼓勵(lì)數(shù)據(jù)利用演進(jìn)[10]。比較法個(gè)人信息保護(hù)規(guī)定中對(duì)個(gè)人信息的合理使用制度均有所涉及(3)歐盟《通用數(shù)據(jù)保護(hù)條例》分別在第6條“處理的合法性”、第9條“特殊類型的個(gè)人數(shù)據(jù)處理”、第23條“限制”對(duì)個(gè)人信息合理使用的情形作出規(guī)定,確定了包括個(gè)人同意、合同、法定義務(wù)、切身利益、公共利益及合法利益等六種處理數(shù)據(jù)的法律基礎(chǔ)。日本的《個(gè)人信息保護(hù)法》第16～18條、第28條則分別對(duì)可以事先不取得自然人的同意而獲取、處理自然人的個(gè)人信息的情形,不將個(gè)人信息利用目的通知給本人或者予以公布的情形以及即便本人請(qǐng)求要求公開個(gè)人信息但個(gè)人信息處理者也不應(yīng)公開的情形等問題作出規(guī)定。中國(guó)臺(tái)灣省《個(gè)人資料保護(hù)法》第6條對(duì)特殊的個(gè)人資料的收集、處理和利用的例外情形,第9條對(duì)收集個(gè)人資料而免于告知的情形,第10條對(duì)自然人的查詢、閱覽和復(fù)制其個(gè)人信息的權(quán)利的限制,第16條與第19～20條對(duì)公務(wù)機(jī)關(guān)和非公務(wù)機(jī)關(guān)超越個(gè)人資料處理目的的收集、處理和利用等情形作出了詳細(xì)的規(guī)定。,各立法例對(duì)具體范圍的規(guī)定有共通性:其一,維護(hù)公共利益(4)歐盟的《通用數(shù)據(jù)保護(hù)條例》第23條第1款對(duì)公共利益予以詳細(xì)列舉,具體為:“國(guó)家安全;防衛(wèi);公共安全;刑事犯罪的預(yù)防、調(diào)查、偵查、起訴或者刑事處罰的執(zhí)行,包括對(duì)公共安全威脅的防范和預(yù)防;歐盟或成員國(guó)一般公共利益的其他重要目標(biāo),特別是歐盟或成員國(guó)的重要經(jīng)濟(jì)或財(cái)政利益,包括貨幣、預(yù)算和稅收等事項(xiàng)、公共衛(wèi)生和社會(huì)保障;司法獨(dú)立與司法程序的保護(hù);違反職業(yè)道德規(guī)范的預(yù)防、調(diào)查、偵查和起訴;監(jiān)督、檢查或相關(guān)的監(jiān)管職能等?！?其二,保護(hù)民事權(quán)益;其三,針對(duì)合法公開的個(gè)人信息之利用?！睹穹ǖ洹返谝磺Я闳鶙l規(guī)定的個(gè)人信息合理使用范圍框架與比較法的規(guī)定基本一致,屬于原則性說明條款。《個(gè)人信息保護(hù)法》沿襲《民法典》的相關(guān)規(guī)定,保留了對(duì)已公開信息的合理使用規(guī)定,且對(duì)“維護(hù)公共利益和自然人合法權(quán)益”作出相對(duì)細(xì)致的場(chǎng)景規(guī)定,包括“合同的締結(jié)履行、勞動(dòng)雇傭需要、法定職責(zé)義務(wù)的履行、新聞報(bào)道及輿論監(jiān)督”等情形,五項(xiàng)法定事由將信息處理行為框定于特定范圍。但兩部法律對(duì)合理使用的法律性質(zhì)認(rèn)定似乎并不一致。

1.《民法典》中的免責(zé)事由論

《民法典》的立法宗旨在于私權(quán)保障,因此從信息主體利益保護(hù)出發(fā),其確立了以知情同意為正當(dāng)化構(gòu)成事由,以合理使用為免責(zé)事由的個(gè)人信息處理行為法律框架。

《民法典》從三個(gè)層面對(duì)個(gè)人信息的合理使用進(jìn)行了規(guī)范,總則編關(guān)于民事行為基本原則、免責(zé)事由、權(quán)益認(rèn)定的規(guī)定為個(gè)人信息處理活動(dòng)提供原則指引;人格權(quán)編在確定了人格權(quán)合理使用規(guī)則(第九百九十九條)后,于第一千零三十六條對(duì)個(gè)人信息合理使用行為予以界定;侵權(quán)責(zé)任編提供了權(quán)益侵害后的賠償救濟(jì)規(guī)則。具體而言,《民法典》第九百九十九條規(guī)定了針對(duì)公務(wù)需要對(duì)個(gè)人信息未經(jīng)同意而使用的情形,將基于公共利益的個(gè)人信息合理使用行為界定為合法行為。第一千零三十六條未苛求個(gè)人信息處理行為的合法性,而在判定行為不法的基礎(chǔ)上將“合理使用”作為免責(zé)條款使用。第一千零三十六條第一項(xiàng)可解釋為“信息主體或其法定代理人的知情同意行為阻卻了他人處理個(gè)人信息行為的非法性”[11],第二項(xiàng)可解釋為他人合理使用已公開的個(gè)人信息不承擔(dān)民事責(zé)任,第三項(xiàng)可解釋為基于公共利益和信息主體合法利益之保護(hù)的個(gè)人信息合理處理行為不承擔(dān)民事責(zé)任。具體規(guī)則領(lǐng)域的合理使用情形僅限于第二～三項(xiàng);第一項(xiàng)為知情同意規(guī)則的法律效果規(guī)定,但與第一千零三十五條第一項(xiàng)的正向規(guī)定不同,該項(xiàng)的規(guī)范重點(diǎn)在知情同意后的“合理實(shí)施處理行為”之上,如在以下情境中:信息主體授權(quán)應(yīng)用程序(App)進(jìn)行個(gè)性化推薦,但App在收集用戶搜索習(xí)慣后頻繁向其投放大量不相關(guān)廣告的行為,即使事前獲得了信息主體的同意,亦屬不合理行為,應(yīng)當(dāng)承擔(dān)侵?jǐn)_信息主體的民事責(zé)任,因而第一千零三十六條第一項(xiàng)應(yīng)當(dāng)歸于知情同意規(guī)則。除此,《民法典》第一千零二十、一千零二十三條似乎可歸為個(gè)人信息合理使用的規(guī)范基礎(chǔ),自然人肖像、姓名和聲音等屬于個(gè)人信息毋庸置疑,但因其客體的特殊性另作其他規(guī)定,本文不予討論。

2.《個(gè)人信息保護(hù)法》中的同意豁免論

《個(gè)人信息保護(hù)法》以列舉形式,于第十三條正向確立了“知情同意+同意豁免”的個(gè)人信息處理多元合法性基礎(chǔ)。對(duì)應(yīng)《民法典》第一千零三十五條,知情同意原則在《個(gè)人信息保護(hù)法》中也被定位為個(gè)人信息處理的核心規(guī)則;而《個(gè)人信息保護(hù)法》第十三條第一款第二～六項(xiàng)為知情同意原則之外的其他合法性處理事由,是對(duì)《民法典》第九百九十九條和一千零三十六條的選擇性承襲,本文將其統(tǒng)一概括為“個(gè)人信息合理使用”規(guī)則。有學(xué)者對(duì)該條規(guī)定梳理后認(rèn)為,《個(gè)人信息保護(hù)法》整合了《民法典》關(guān)于個(gè)人信息處理行為的零散規(guī)定,同時(shí)將“合理使用”變更為“在合理的范圍內(nèi)處理”,其法律用語之變化意味著《個(gè)人信息保護(hù)法》對(duì)《民法典》“合理使用”概念的不認(rèn)可[6]。對(duì)此本文持不同看法,“合理使用”一詞本身包含了“為某種利益保護(hù)所必需”和“在合理的范圍內(nèi)處理”兩大內(nèi)涵,《個(gè)人信息保護(hù)法》在具體情境中作以明確細(xì)致的表達(dá),用詞變化只是為了解釋語詞內(nèi)涵,并非對(duì)《民法典》規(guī)則的否定。

基于信息處理目的和信息敏感度兩個(gè)標(biāo)準(zhǔn),《個(gè)人信息保護(hù)法》中合理使用的情境包括基于主體合法權(quán)益維護(hù)目的、商業(yè)目的、公益目的(履行法定職責(zé)或義務(wù)、應(yīng)對(duì)突發(fā)公共衛(wèi)生事件之必要、實(shí)施新聞報(bào)道或輿論監(jiān)督等行為)和已合法公開信息的處理行為,其本質(zhì)是知情同意規(guī)則的豁免情形,與后者一并構(gòu)成中國(guó)個(gè)人信息處理行為的法定事由。個(gè)人信息的合理使用源于對(duì)具體情境中某種必要利益的保護(hù),且具體行為需滿足合理范圍的約束,因而《個(gè)人信息保護(hù)法》中的合理使用規(guī)則可被抽象定義為“基于某種利益保護(hù)所生,并在合理范圍內(nèi)處理信息的同意豁免行為”。《個(gè)人信息保護(hù)法》關(guān)于個(gè)人信息合理使用的類型劃分如圖1所示。

圖1 《個(gè)人信息保護(hù)法》關(guān)于個(gè)人信息合理使用的類型劃分

3.司法裁判對(duì)合理使用的認(rèn)可與限制

中國(guó)對(duì)個(gè)人信息合理使用行為的規(guī)則探討開始于商業(yè)創(chuàng)新,深入于司法實(shí)踐。徐某訴芝麻信用管理有限公司隱私權(quán)糾紛案(以下簡(jiǎn)稱“芝麻信用案”)(5)參見杭州互聯(lián)網(wǎng)法院民事判決書(2018)浙0192民初302號(hào)。原告徐某通過支付寶客戶端開通“芝麻信用”服務(wù),同時(shí)簽訂《芝麻信用服務(wù)協(xié)議》,原告授權(quán)被告可以向合法提供其用戶信息的主體采集信息。后原告收到芝麻信用平臺(tái)發(fā)出的執(zhí)行案件信息,以侵犯隱私權(quán)為由起訴。中,法院認(rèn)為,被告基于雙方協(xié)議向原告提供“芝麻信用”服務(wù),采集原告系被執(zhí)行人的信息源于已合法公開的個(gè)人信息,同時(shí)處理行為止于向原告提供相關(guān)信息,屬于對(duì)個(gè)人征信數(shù)據(jù)的合理化商業(yè)使用,不構(gòu)成侵犯?jìng)€(gè)人隱私權(quán)。由此司法上確立了“國(guó)家機(jī)構(gòu)依法公開的個(gè)人征信數(shù)據(jù),可以進(jìn)行合理化的商業(yè)使用”的裁判標(biāo)準(zhǔn)。

在凌某某與微播視界公司隱私權(quán)、個(gè)人信息權(quán)益網(wǎng)絡(luò)侵權(quán)責(zé)任糾紛案(以下簡(jiǎn)稱“抖音案”)中(6)參見北京互聯(lián)網(wǎng)法院(2019)京0491民初6694號(hào)民事判決書。原告凌某某在手機(jī)通訊錄除本人外沒有其他聯(lián)系人的情況下,使用該手機(jī)號(hào)碼注冊(cè)登錄抖音App后,被推薦大量“可能認(rèn)識(shí)的人”,原告認(rèn)為抖音App非法獲取其個(gè)人信息,侵害其個(gè)人信息權(quán)益和隱私權(quán),將抖音App的運(yùn)營(yíng)者北京微播視界科技有限公司訴至北京互聯(lián)網(wǎng)法院。,法院認(rèn)為,被告未征得原告同意,從其他注冊(cè)用戶的信息庫(kù)收集并存儲(chǔ)了原告?zhèn)€人信息,該行為是否可判定為商業(yè)合理化利用應(yīng)當(dāng)結(jié)合具體應(yīng)用場(chǎng)景考察:讀取和匹配行為滿足了其他用戶的社交需求且未對(duì)原告構(gòu)成侵?jǐn)_,無需原告的二次同意,屬于個(gè)人信息的合理使用;信息匹配工作完成后,可明確得知信息主體非現(xiàn)有用戶,此時(shí)被告應(yīng)履行及時(shí)刪除信息的義務(wù),繼續(xù)存儲(chǔ)行為并非信息的合理使用。由此法院確立了“個(gè)人信息的合理使用并不必然排除商業(yè)目的之使用,后一處理行為需控制于必要限度”的裁判規(guī)則。

在黃某訴騰訊科技(深圳)有限公司廣州分公司、騰訊科技(北京)有限公司(以下簡(jiǎn)稱“微信讀書案”)(7)參見北京互聯(lián)網(wǎng)法院(2019)京0491民初16142號(hào)民事判決書。黃某認(rèn)為,微信讀書在未經(jīng)自己有效同意的情況下獲取其微信好友關(guān)系,為其自動(dòng)關(guān)注微信好友,并向共同使用微信讀書的微信好友默認(rèn)開放其讀書信息構(gòu)成侵權(quán),黃某于2019年將微信讀書軟件、微信軟件的開發(fā)及運(yùn)營(yíng)者騰訊公司訴至法院。中,法院認(rèn)定微信讀書App收集原告微信好友列表、為用戶自動(dòng)添加關(guān)注微信好友、向未關(guān)注的微信好友公開用戶讀書信息等行為未取得信息主體的有效同意,且該類數(shù)據(jù)遷移活動(dòng)并不符合一般用戶的合理預(yù)期,因而構(gòu)成侵權(quán)。但針對(duì)騰訊公司成功開發(fā)及運(yùn)營(yíng)微信所積累的用戶關(guān)系數(shù)據(jù),法院也認(rèn)為可以在其關(guān)聯(lián)產(chǎn)品中予以合理利用,如該案中涉案App捆綁式授權(quán)收集使用原告微信好友列表的行為并不侵權(quán),其旨在利用現(xiàn)有數(shù)據(jù)庫(kù)開發(fā)或增強(qiáng)產(chǎn)品的社交功能。由此法院確立了“個(gè)人信息不排斥商業(yè)化的合理使用,但需遵循正當(dāng)、必要的原則”的審判規(guī)則。

以上三項(xiàng)判決均論證于《民法總則》生效之后,《個(gè)人信息保護(hù)法》頒布之前,判決呈現(xiàn)兩個(gè)特點(diǎn)。其一,對(duì)個(gè)人信息的商業(yè)處理行為持開放態(tài)度,未以個(gè)人信息保護(hù)之名去妨礙企業(yè)的商業(yè)模式創(chuàng)新,只是要求企業(yè)在運(yùn)用數(shù)據(jù)時(shí)給予用戶更明確的知情及自主選擇權(quán)。其二,法院將個(gè)人信息的合理使用認(rèn)定為合法行為,并根據(jù)《網(wǎng)絡(luò)安全法》第四十一條的規(guī)定,苛以“合法、正當(dāng)、必要”的限制。這種裁判思路在《個(gè)人信息保護(hù)法》生效之后依然得以延續(xù),但商業(yè)上的個(gè)人信息合理使用范圍在逐漸收緊。在王某某與騰訊公司個(gè)人信息保護(hù)糾紛案(以下簡(jiǎn)稱“微視案”)(8)王某首次使用微信賬號(hào)登錄“微視”App,并勾選授權(quán)微視App獲取其微信好友關(guān)系。之后王某卸載App恢復(fù)手機(jī)出廠設(shè)置后再次下載“微視”和微信,并重新以微信賬號(hào)登錄“微視”,在未告知也未獲得二次明確授權(quán)的情況下,“微視”App默認(rèn)收集王某的微信個(gè)人信息和全部微信好友信息。王某起訴要求騰訊公司刪除其在“微視”App中獲取的微信地區(qū)、性別和好友關(guān)系。深圳南山區(qū)法院一審駁回訴訟請(qǐng)求;二審法院以騰訊公司二次獲取自然人信息不符合正當(dāng)、必要原則而判定商業(yè)主體行為違法,但因王某無法證明“損害”而對(duì)其損害賠償未予支持。中,法院認(rèn)定互聯(lián)網(wǎng)平臺(tái)收集個(gè)人信息的類型應(yīng)與產(chǎn)品或服務(wù)的業(yè)務(wù)功能直接關(guān)聯(lián),且實(shí)現(xiàn)功能的目的與信息收集的范圍成合理比例。但與抖音案不同的是,法院不再承認(rèn)商業(yè)主體向關(guān)聯(lián)方共享個(gè)人信息的行為屬于合理使用行為,在此情境下,信息主體的二次同意是必要的,無論關(guān)聯(lián)方與信息處理者的關(guān)系何如。在共享個(gè)人信息時(shí),關(guān)聯(lián)方的法律地位與第三方商業(yè)主體無異,否則構(gòu)成對(duì)自然人的侵?jǐn)_。

前述司法探索雖屬于一般性判例,不具指導(dǎo)性案例和示范性案例的約束引導(dǎo)性,但其間凝結(jié)的司法經(jīng)驗(yàn)可構(gòu)成審判的智識(shí)性法源,亦對(duì)相關(guān)法律規(guī)則的解釋有所延展。中國(guó)司法實(shí)踐未對(duì)個(gè)人信息以絕對(duì)化保護(hù)。前述芝麻信用案中對(duì)公開信息的商業(yè)使用行為,抖音案中商業(yè)主體在不侵?jǐn)_信息主體的情境下讀取匹配個(gè)人信息的行為,微信讀書案中商業(yè)主體對(duì)已掌握數(shù)據(jù)在關(guān)聯(lián)產(chǎn)品中的合理商用行為等,在司法裁判中均未被認(rèn)定為侵權(quán)行為。相反,司法基于信息產(chǎn)業(yè)發(fā)展的需要,認(rèn)定某些未經(jīng)信息主體同意的個(gè)人信息使用行為,只要滿足正當(dāng)、必要的處理原則,且未造成不合理的損害,即為個(gè)人信息的合理使用。這與《民法典》將個(gè)人信息合理使用行為歸于免責(zé)事由的規(guī)定并不一致。隨后頒布的《個(gè)人信息保護(hù)法》也基于數(shù)據(jù)利用的考量,明確列舉了除同意外的六項(xiàng)個(gè)人信息處理的法律基礎(chǔ),基于處理行為的必需性和合理性兩大需求而生。但看似逐步寬松的規(guī)范并沒有在實(shí)踐中起到正向引導(dǎo)之效。相反地,微視案裁判相較抖音案而言,加強(qiáng)了信息主體對(duì)個(gè)人信息的控制權(quán)限:二審法院確認(rèn)了二次同意的必要性,即使信息主體曾在同一場(chǎng)域內(nèi)許可第三方主體收集相關(guān)信息。

《個(gè)人信息保護(hù)法》吸收了司法經(jīng)驗(yàn),又將《民法典》的零散規(guī)定予以系統(tǒng)梳理,但法律用詞的變更和所產(chǎn)生的實(shí)踐效果依然值得追問:數(shù)字虛擬映像背景下的個(gè)人信息合理使用行為的法律性質(zhì)何如,《民法典》和《個(gè)人信息保護(hù)法》的規(guī)定是否果然不同。這一問題的答案關(guān)乎法院是否存有主動(dòng)適用該規(guī)則的職權(quán),亦對(duì)最終的侵權(quán)判定有所影響。規(guī)則的性質(zhì)認(rèn)定可從個(gè)人信息處理行為的規(guī)制法理談起。

(二)數(shù)據(jù)共享理路下個(gè)人信息合理使用的規(guī)則定位

法學(xué)上的合理使用制度源于著作權(quán)法,指非著作權(quán)人未經(jīng)權(quán)利人許可,在法定情形下免費(fèi)使用作品的行為[12]75。權(quán)利人讓渡部分使用價(jià)值以保障公眾對(duì)作品的必要接觸,從而促進(jìn)表達(dá)自由,該制度可視為著作權(quán)人利益與公共利益的調(diào)節(jié)器[13]124。個(gè)人信息合理使用制度與之類似,源于對(duì)數(shù)字經(jīng)濟(jì)時(shí)代信息自主利益與信息流通價(jià)值的平衡。個(gè)人信息與著作權(quán)的性質(zhì)不同,因而具體可使用情形不可直接類推適用,但由于二者內(nèi)核都由人身利益和財(cái)產(chǎn)利益復(fù)合而成,兩種場(chǎng)景中的合理使用皆指向財(cái)產(chǎn)利益[5],且存在“對(duì)權(quán)利人利益之必要限制”的類似制度目的,因而可借鑒已經(jīng)相對(duì)完善的著作權(quán)合理使用規(guī)則,同時(shí)結(jié)合數(shù)字社會(huì)的信息規(guī)制法理對(duì)中國(guó)個(gè)人信息合理使用規(guī)則性質(zhì)進(jìn)行解釋。

1.規(guī)制理念的應(yīng)然轉(zhuǎn)向:從自主分配到有序共享

數(shù)字經(jīng)濟(jì)時(shí)代,如何平衡個(gè)人自主控制權(quán)益與信息的自由流通成為法律必須回答的時(shí)代命題。無論是探討數(shù)據(jù)權(quán)益配置與個(gè)人信息構(gòu)造的權(quán)利規(guī)制進(jìn)路[14],還是借鑒美國(guó)和歐盟的立法規(guī)范引入“場(chǎng)景”與“風(fēng)險(xiǎn)管理”理念的行為規(guī)制進(jìn)路[15],抑或從法經(jīng)濟(jì)學(xué)角度回應(yīng)數(shù)據(jù)資源有效配置需求的激勵(lì)相容機(jī)制,再或基于“卡—梅框架”重構(gòu)的用以分析數(shù)據(jù)法益配置的“規(guī)則菜單”模式[16],皆同意數(shù)據(jù)應(yīng)用與信息保護(hù)的表里關(guān)系,且在以下幾個(gè)方面達(dá)成一致。其一,規(guī)則探討一般從個(gè)人信息處理中“告知同意”的適用邊界出發(fā),旨在尋找數(shù)據(jù)法益在其生產(chǎn)者與處理者間的最優(yōu)配置規(guī)則。其二,各模式都強(qiáng)調(diào)法律應(yīng)重點(diǎn)規(guī)制信息的“不合理使用”行為以實(shí)現(xiàn)動(dòng)態(tài)風(fēng)險(xiǎn)控制。其三,法律規(guī)制要兼顧數(shù)據(jù)利用激勵(lì)和信息保護(hù)激勵(lì),以避免信息資源的浪費(fèi),同時(shí)減輕企業(yè)的合規(guī)風(fēng)險(xiǎn)。這種基于信息當(dāng)屬自我控制抑或社會(huì)控制的學(xué)術(shù)反思,體現(xiàn)出大數(shù)據(jù)時(shí)代信息行為規(guī)制理論的邏輯轉(zhuǎn)向,即從信息自主支配逐步邁向有序分享階段。

第一,個(gè)人信息產(chǎn)生于社會(huì)交往,同樣也在社會(huì)交往中獲得價(jià)值,過分關(guān)注個(gè)人利益而忽視公共利益及其他主體潛在利益的保護(hù)勢(shì)必引發(fā)利益失衡。例如,公共空間大規(guī)模監(jiān)控雖然存在侵害個(gè)人隱私信息的可能,但作為社會(huì)治理的必要手段,需要考慮由個(gè)人讓渡出該部分權(quán)益。第二,大數(shù)據(jù)正外部性日益凸顯,數(shù)據(jù)共享已成時(shí)代趨勢(shì),有序分享的個(gè)人信息治理機(jī)制應(yīng)當(dāng)隨大數(shù)據(jù)技術(shù)的進(jìn)步而逐步完善。個(gè)人信息處理的經(jīng)濟(jì)價(jià)值與信息安全隱憂交互影響,數(shù)據(jù)生態(tài)系統(tǒng)在野蠻生長(zhǎng)時(shí)期無法避免地存在著數(shù)據(jù)濫用、壟斷、歧視等不當(dāng)行為,但這并不足以支持個(gè)人信息由信息主體自主支配的觀點(diǎn)。共享經(jīng)濟(jì)是互聯(lián)網(wǎng)時(shí)代的新經(jīng)濟(jì)形態(tài),其本質(zhì)在于提高閑置資源或過剩產(chǎn)能的使用率[17],個(gè)人信息作為有望轉(zhuǎn)化為實(shí)物財(cái)產(chǎn)的重要資源,自然期望得到最優(yōu)配置。堅(jiān)持個(gè)人信息完全被個(gè)體控制意味著信息分享的路徑被截?cái)?由此產(chǎn)生大量的資源浪費(fèi),甚至可能引發(fā)對(duì)數(shù)據(jù)處理不當(dāng)行為的反向激勵(lì)。正如學(xué)者所言,隱私保護(hù)需要群體協(xié)調(diào),個(gè)人主義的隱私保護(hù)的結(jié)果是無隱私[18]。第三,信息的流通性決定了個(gè)人信息保護(hù)規(guī)則具有國(guó)際化性質(zhì),類似的行為規(guī)范在一定程度上可降低交易成本,為此中國(guó)個(gè)人信息行為規(guī)制可借鑒國(guó)際普遍規(guī)則。目前,個(gè)人信息處理常以對(duì)價(jià)化交易模式呈現(xiàn),以主體自決(控制)為核心,各國(guó)賦予信息主體不同的行權(quán)模式。信息主體可設(shè)權(quán)讓與個(gè)人信息法益,可設(shè)立債權(quán)性許可使用合同,可擁有隨時(shí)撤回同意的權(quán)利,亦可在擁有選擇退出權(quán)的基礎(chǔ)上默示同意信息使用行為,四類行權(quán)模式對(duì)主體自決范圍的認(rèn)可逐漸縮小,德國(guó)有學(xué)者將這種對(duì)主體拘束強(qiáng)度的逐漸遞減稱為許可的階梯性[19],同樣也體現(xiàn)出信息從個(gè)人控制向有序分享的轉(zhuǎn)變。

數(shù)據(jù)流通構(gòu)成數(shù)據(jù)經(jīng)濟(jì)的內(nèi)核,數(shù)據(jù)共享是指數(shù)據(jù)生成或生產(chǎn)出來之后從數(shù)據(jù)控制者到數(shù)據(jù)使用者之間的流動(dòng),根據(jù)控制者的不同,可將其分為原始數(shù)據(jù)分享(將個(gè)人信息中的財(cái)產(chǎn)價(jià)值授權(quán)許可給他人使用以換取相應(yīng)的服務(wù))和二次數(shù)據(jù)分享(如數(shù)據(jù)加工、整合機(jī)構(gòu)的分享)。有學(xué)者認(rèn)為其不包括數(shù)據(jù)從信息主體處分離(或生成)的過程[20],這是因?yàn)槟壳爸袊?guó)的數(shù)據(jù)共享限于公共數(shù)據(jù),且以無償方式進(jìn)行,典型模式如各地由政府牽頭試點(diǎn)的公共數(shù)據(jù)開放創(chuàng)新基地,通過特定方式向智能企業(yè)有條件開放醫(yī)保、司法、交通等領(lǐng)域的特殊公共數(shù)據(jù),為下游企業(yè)開發(fā)產(chǎn)品、創(chuàng)新應(yīng)用提供無償和精準(zhǔn)的數(shù)據(jù)供給(9)此模式源自中國(guó)信息通信研究院和重慶市大數(shù)據(jù)應(yīng)用發(fā)展管理局聯(lián)合編寫的《數(shù)字規(guī)則藍(lán)皮報(bào)告(2021年)》一文對(duì)目前中國(guó)政務(wù)數(shù)據(jù)和公共數(shù)據(jù)的共享模式的說明。。但避險(xiǎn)心理無法掩蓋個(gè)人信息的資產(chǎn)屬性,也無法阻止其作為原始資料流入交易市場(chǎng),與其明令禁止,不若引入“數(shù)據(jù)合同(尤其是數(shù)據(jù)提供合同)”這類特殊契約以限制信息處理者的權(quán)限,在做好脫敏、商品化改造并保障信息安全后,對(duì)個(gè)人信息進(jìn)行必要化分享。當(dāng)然,由于數(shù)據(jù)存在固有的或經(jīng)深度標(biāo)記處理后形成的經(jīng)濟(jì)價(jià)值,分享并不必然無償。

2.共享理念下個(gè)人信息合理使用的性質(zhì)重解

大數(shù)據(jù)時(shí)代由信息主體完全控制個(gè)人信息的流通與使用并不現(xiàn)實(shí),法律規(guī)范若僅考慮信息主體的人格權(quán)益,設(shè)置知情同意為全情境下個(gè)人信息處理的必要條件,不僅違背目前市場(chǎng)秩序,且會(huì)帶來與保護(hù)目的相背的后果。因此,知情同意不是且不應(yīng)成為個(gè)人信息處理的唯一合法性基礎(chǔ),明確個(gè)人信息的雙重權(quán)利屬性,基于價(jià)值衡量建立多元的合法性基礎(chǔ)才符合大數(shù)據(jù)時(shí)代的信息流動(dòng)訴求?！睹穹ǖ洹坊诖怂悸?確立知情同意規(guī)則作為個(gè)人信息處理行為的正當(dāng)基礎(chǔ)后,也通過合理使用制度打開了信息流通的法律閥門。《民法典》在措辭上使用“不承擔(dān)民事責(zé)任”的表達(dá),似乎將合理使用作為免責(zé)事由而非正當(dāng)化基礎(chǔ)予以規(guī)制。而《個(gè)人信息保護(hù)法》和基于實(shí)踐所作的司法判決均將個(gè)人信息的合理使用行為定性為正當(dāng)化事由。條款的性質(zhì)解釋可從基礎(chǔ)理念和實(shí)踐需求兩個(gè)角度出發(fā)。

(1)合理使用是個(gè)人信息的一項(xiàng)基本權(quán)能。目前,國(guó)內(nèi)學(xué)者對(duì)信息合理使用的性質(zhì)探討有免責(zé)抗辯說和民事權(quán)益限制論兩種不同意見。有學(xué)者比照著作權(quán)合理使用規(guī)則,從《民法典》的術(shù)語表達(dá)出發(fā),作出“個(gè)人信息合理使用是對(duì)侵權(quán)責(zé)任的免責(zé)抗辯”的法教義學(xué)解釋,其抗辯對(duì)象為《民法典》第一千零三十五條規(guī)定的“未經(jīng)信息主體同意”“非公開處理”“非明示處理”“非法或違約處理”四種情形[3]。這種說法顯然順延了《民法典》的立法思路,以信息自決權(quán)為核心的個(gè)人信息權(quán)利束必然要求人格權(quán)益的高位階保護(hù),合理使用作為知情同意規(guī)則的補(bǔ)充,定性為免責(zé)事由也符合邏輯。但“免責(zé)事由說”建立在某種隱憂之上,認(rèn)為個(gè)人信息處理的底層邏輯是信息控制理論,在強(qiáng)大的商業(yè)模式及公權(quán)力籠罩下,個(gè)人信息的人格權(quán)益保護(hù)是更高階利益,個(gè)人信息處理行為的合法性基礎(chǔ)要從信息主體出發(fā)予以探尋。因此,原則上個(gè)人信息只能經(jīng)信息主體有效同意后方可進(jìn)入信息市場(chǎng),并按主體的同意范圍予以恰當(dāng)使用。信息處理主體作為相對(duì)方,未經(jīng)同意使用信息的行為屬于不法,合理使用只能作為免責(zé)事由存在,其無法構(gòu)成正當(dāng)化事由。與此相對(duì),也有學(xué)者基于數(shù)據(jù)利用的現(xiàn)實(shí)需要,認(rèn)為個(gè)人信息合理使用的理論基礎(chǔ)在于民事權(quán)益限制論,合理使用作為對(duì)知情同意原則的突破,其合法性并非基于自然人行使個(gè)人信息權(quán)益的意思表示或者處理者與自然人之間達(dá)成的合意而實(shí)施的行為,而是法律基于公共利益或其他可期待利益對(duì)人格權(quán)益(更具體而言是信息自決權(quán))而非財(cái)產(chǎn)利益的限制,是一種合法事實(shí)行為,其法律效果在于免除責(zé)任[2]。但該說亦存有缺陷。其一,未能釋明權(quán)益受限的緣由。共享經(jīng)濟(jì)模式下,個(gè)人信息的人格和財(cái)產(chǎn)權(quán)益的價(jià)值位階并非必然確定,商業(yè)主體對(duì)數(shù)據(jù)的第二次賦值所創(chuàng)生的經(jīng)濟(jì)價(jià)值與信息主體的人格利益間已然缺少直接關(guān)聯(lián),因而不能籠統(tǒng)得出個(gè)人信息上的人格權(quán)益與財(cái)產(chǎn)價(jià)值孰高孰低的結(jié)論。其二,當(dāng)信息主體故意阻止合理使用行為時(shí)(10)如疫情防控期間信息主體阻止公權(quán)力機(jī)構(gòu)對(duì)個(gè)人身份、行程等隱私信息的必要收集,或拒絕上報(bào)個(gè)人信息等。,權(quán)益受限說不能為合理使用人提供相應(yīng)救濟(jì)?？傮w言之,“免責(zé)事由說”和“權(quán)益受限說”僅基于信息主體立場(chǎng)考量合理使用的法律屬性,個(gè)人信息處理行為涉及多方主體,對(duì)信息主體而言,似乎為權(quán)益的限制,但對(duì)合理使用者來說卻是某種法定自由。

共享經(jīng)濟(jì)下商業(yè)流通或國(guó)家(公益)管理中的個(gè)人信息之財(cái)產(chǎn)價(jià)值更多地掌握在信息控制者一方,信息的社會(huì)屬性及其上附著的巨大財(cái)產(chǎn)價(jià)值壓縮了信息主體的自決權(quán)限,也促成了信息產(chǎn)業(yè)的發(fā)展,商業(yè)主體及公權(quán)力機(jī)構(gòu)某些必要的處理行為要獲得信息主體一般性的事前同意并不現(xiàn)實(shí)。首先,比照著作權(quán)合理使用的性質(zhì),可將個(gè)人信息合理使用界定為一項(xiàng)基于公共需要的使用權(quán)能,以打破信息主體對(duì)信息的制度壟斷格局,發(fā)揮信息的最大功效。此時(shí),合理使用規(guī)則能賦予信息控制者最大化創(chuàng)造價(jià)值的制度激勵(lì)。其次,有序分享理念要求資源的最大化利用,信息控制者在不侵?jǐn)_自然人的前提下對(duì)信息進(jìn)行處理是資源的正當(dāng)化利用。同時(shí),合理使用過程中產(chǎn)生的財(cái)產(chǎn)利益并非完全由信息控制者一方享有,信息主體往往以自身安全保障、服務(wù)對(duì)價(jià)交易、社會(huì)福利等形式間接享有,也即個(gè)人信息財(cái)產(chǎn)屬性的發(fā)揮也促進(jìn)了人格權(quán)益的積極拓展。最后,信息產(chǎn)業(yè)通常存在兩個(gè)層面的使用行為。其一為一手信息的直接利用行為,通常需要經(jīng)自然人或法定代理人知情同意后方得使用,是知情同意規(guī)則之適用轄區(qū)。其二為數(shù)據(jù)整合后的使用行為,此時(shí)的信息普遍已經(jīng)過脫敏處理,可識(shí)別性大大降低,對(duì)自然人的侵?jǐn)_程度減弱,屬于商業(yè)資源的有效使用。因而,將合理使用規(guī)則視為知情同意之外的另一個(gè)正當(dāng)化事由更為妥當(dāng)?？梢哉f,個(gè)人信息的合理使用規(guī)則是信息有序分享理念下恰當(dāng)?shù)姆杀磉_(dá),是個(gè)人信息的一項(xiàng)基本權(quán)能,其既包括基于公益目的的使用行為,也不排除為創(chuàng)造更大價(jià)值的商業(yè)利用行為。

(2)合理使用權(quán)能歸屬于信息處理者。芝麻信用案中,原告訴稱被告采集個(gè)人征信數(shù)據(jù)未經(jīng)本人同意且無征信業(yè)務(wù)許可證明,被告抗辯其向原告提供信息服務(wù)的行為已獲得對(duì)方授權(quán),且獲取征信信息的途徑合法,不存在侵犯隱私權(quán)行為,案情爭(zhēng)議焦點(diǎn)在于原告是否就已公開的個(gè)人征信數(shù)據(jù)存在隱私期待、被告是否獲得原告的有效同意。雙方論辯并未提及信息合理使用問題,但法院在裁判中認(rèn)定“僅向原告本人提供信息的行為屬于個(gè)人征信數(shù)據(jù)的合理化商業(yè)使用”,可見是法院主動(dòng)援引合理使用規(guī)則,裁判思路更傾向于將“合理使用”視為信息使用者的一項(xiàng)權(quán)益,屬于正當(dāng)化事由。抖音案與微信讀書案亦存在類似裁判思路。微視案對(duì)合理使用的情形進(jìn)一步限定,但未否定商業(yè)主體的使用利益。可見,考慮到私人權(quán)益保護(hù)、數(shù)據(jù)自由流通、公共利益保障等多維度需要,司法在個(gè)人信息處理行為的合法性認(rèn)定中,并未局限于個(gè)人同意,而將合理限度內(nèi)的商業(yè)利用行為也納入其中。實(shí)則該做法也契合《個(gè)人信息保護(hù)法》的立法目的。

個(gè)人信息使用要在數(shù)據(jù)有序共享的邏輯下進(jìn)行,法律規(guī)范的目的并非維持個(gè)人的積極控制權(quán),而是預(yù)防侵害個(gè)人的不利后果。將信息的合理使用定性為個(gè)人信息的一項(xiàng)權(quán)能,利于有效推動(dòng)信息產(chǎn)業(yè)的發(fā)展,彌補(bǔ)嚴(yán)苛的知情同意規(guī)則可能引發(fā)的信息使用負(fù)外部性后果。故而雖然《民法典》和《個(gè)人信息保護(hù)法》關(guān)于個(gè)人信息合理使用規(guī)則的法律表達(dá)并不一致,但僅為兩法立法目的不同所致,基于信息處理者立場(chǎng),與知情同意類似,合理使用屬于個(gè)人信息的一項(xiàng)權(quán)能,關(guān)乎規(guī)則性質(zhì)兩法皆可作正當(dāng)化事由之解釋。

3.信息有序分享的實(shí)現(xiàn)方式

作為擁有雙重法律屬性的人格權(quán)益,個(gè)人信息具有固有人格和天然財(cái)產(chǎn)兩方價(jià)值[21]。雖然本質(zhì)歸屬人格權(quán)益,但不同于德國(guó)人格權(quán)中“財(cái)產(chǎn)利益難以脫離權(quán)利主體,不具可轉(zhuǎn)讓性”的一元保護(hù)模式[22],想要解決個(gè)人信息財(cái)產(chǎn)價(jià)值流轉(zhuǎn)的現(xiàn)實(shí)難題,必須接受個(gè)人信息財(cái)產(chǎn)利益能夠脫離人格權(quán)本身,能夠被許可讓予的論斷?；诖?個(gè)人信息有序分享的本質(zhì)是信息的許可使用,數(shù)據(jù)分享理念下個(gè)人信息應(yīng)當(dāng)具備合理使用的權(quán)能,具體情境中的使用亦成為數(shù)據(jù)共享的實(shí)現(xiàn)方式。

個(gè)人信息歸屬于信息主體,這是基于人格固有屬性的必然選擇,但這并不意味著基于信息的所有權(quán)益都得排他性使用。附著于個(gè)人信息的人格權(quán)益當(dāng)然不得作商業(yè)利用,但對(duì)于其中的財(cái)產(chǎn)利益,自然人得以授權(quán)許可的方式將原始信息控制權(quán)進(jìn)行移轉(zhuǎn),主要基于法定義務(wù)履行、信息主體自身權(quán)益的必要保護(hù)而產(chǎn)生,如圖2所示。但同時(shí)處理者也需要保障個(gè)人的獲取、退出、更正、刪除等權(quán)能[23]。而對(duì)于經(jīng)加工、整合形成的二次數(shù)據(jù),應(yīng)當(dāng)向處理者頒發(fā)數(shù)據(jù)許可證或者數(shù)據(jù)牌照,以資質(zhì)許可方式對(duì)個(gè)人信息的安全憂患予以平衡。二次數(shù)據(jù)的合理使用常表現(xiàn)為基于商業(yè)目的和公共利益的處理行為,信息處理者也可不經(jīng)過授權(quán)直接對(duì)信息予以處理,同時(shí)對(duì)信息主體的知情同意權(quán)能予以事后保障。

圖2 信息有序分享的實(shí)現(xiàn)與合理使用路徑

三、個(gè)人信息合理使用的認(rèn)定要素

個(gè)人信息合理使用是在多方利益博弈下的制度選擇,體現(xiàn)為比例原則的私法適用?！爸挥挟?dāng)維護(hù)更高的利益更為必要時(shí),個(gè)人自由及其私法自治才能受到干預(yù),且此種干預(yù)既適于實(shí)現(xiàn)預(yù)期目標(biāo),也是實(shí)現(xiàn)該目的最緩和的方式?！盵24]這與著作權(quán)合理使用制度的規(guī)范目的相一致,因而可借鑒目前國(guó)際通用的關(guān)于著作權(quán)合理使用的判斷標(biāo)準(zhǔn)對(duì)前者的規(guī)范要件予以闡述。比較法上,著作權(quán)合理使用的判斷一般存在兩套規(guī)則。一指國(guó)際條約所規(guī)定的“三步檢驗(yàn)標(biāo)準(zhǔn)”(three-step test):必須限于某種特殊情況;不得與受保護(hù)的作品或者版權(quán)持有人的正常利用相抵觸;不得損害作者的合法利益(11)《伯爾尼公約》第9條第2款規(guī)定:本聯(lián)盟成員國(guó)法律得允許在某些特殊情況下復(fù)制上述作品,只要這種復(fù)制不損害作品的正常使用也不致無故侵害作者的合法權(quán)益?！杜c貿(mào)易有關(guān)的知識(shí)產(chǎn)權(quán)協(xié)議》第13條規(guī)定:各成員應(yīng)當(dāng)將對(duì)各種排他權(quán)的限制或例外局限于某些特殊情形,而且這些情形與作品的正常利用不相沖突,不會(huì)不合理地?fù)p害權(quán)利持有人的合法利益?！妒澜缰R(shí)產(chǎn)權(quán)組織版權(quán)條約》第10條規(guī)定:(1)締約各方在某些不與作品的正常使用相抵觸也不無理由地?fù)p害作者合法利益的特殊情況下,可在其國(guó)內(nèi)立法中對(duì)依本條約授予文學(xué)和藝術(shù)作品作者的權(quán)利規(guī)定限制或例外;(2)締約各方在適用《伯爾尼公約》時(shí),應(yīng)將對(duì)該公約所規(guī)定權(quán)利的任何限制或例外限于某些不與作品的正常利用相抵觸、也不無理由地?fù)p害作者合法利益的特殊情況。。二指《美國(guó)版權(quán)法》第107條所列舉的考察合理使用的四大要素:使用目的和性質(zhì),被使用作品的性質(zhì),作品被使用部分的數(shù)量、內(nèi)容及其與原作整體的關(guān)系,使用行為對(duì)作品市場(chǎng)價(jià)值的影響程度[25]。結(jié)合中國(guó)司法實(shí)踐,個(gè)人信息合理使用作為一項(xiàng)權(quán)能,其行使應(yīng)當(dāng)遵循合理目的、合理方式、未造成不合理侵害三大要素約束。

(一)合理目的

《個(gè)人信息保護(hù)法》第六條所確立的目的限制原則即是對(duì)個(gè)人信息合理使用目的的要求。其有三項(xiàng)要點(diǎn):處理個(gè)人信息應(yīng)當(dāng)具有明確、合理的目的,應(yīng)當(dāng)與處理目的直接相關(guān),采取對(duì)個(gè)人權(quán)益影響最小的方式。

首先,根據(jù)是否存在主體同意授權(quán),“明確合理目的”的適用劃分為兩大場(chǎng)域。其一屬于《民法典》第一千零三十六條第一項(xiàng)及《個(gè)人信息保護(hù)法》第十三條第一項(xiàng)所列情形,信息處理者在使用信息前,應(yīng)當(dāng)以符合法律規(guī)定的方式告知信息主體“處理目的”[26]。這與信息主體的知情同意權(quán)能直接相關(guān),屬于廣義的合理使用范疇,當(dāng)遵循知情同意規(guī)則之約束,本文不做過多探討。其二屬于未經(jīng)個(gè)人同意情形下的“明確合理目的”。數(shù)據(jù)是數(shù)字經(jīng)濟(jì)時(shí)代重要的生產(chǎn)要素,信息是數(shù)據(jù)產(chǎn)業(yè)的基礎(chǔ),因而正如上文提及的微信讀書案中法官的論述,若要求在任何使用情境中都嚴(yán)格征得信息主體同意,很可能導(dǎo)致具體場(chǎng)景下利益的失衡,甚至阻礙信息產(chǎn)業(yè)的健康發(fā)展。因此,需要在“存在正當(dāng)商業(yè)或公共目的、新聞監(jiān)督、維護(hù)信息主體合法權(quán)益”等具體場(chǎng)景中對(duì)“未征得同意”的信息處理行為進(jìn)行情景考察,提取出具體明確的使用目的,并分析行為的合理性。

第一,基于公共目的的使用行為應(yīng)當(dāng)警惕對(duì)公共利益的泛化解釋。如公檢法機(jī)關(guān)在犯罪偵查及司法審判中收集比對(duì)個(gè)人生物信息、財(cái)產(chǎn)數(shù)據(jù)的行為,政府機(jī)關(guān)在公共場(chǎng)所安裝圖像采集、個(gè)人身份識(shí)別設(shè)備以保障社會(huì)安全的行為,用人單位或社區(qū)出于疫情防控需要向上報(bào)備感染者信息的行為等皆存在明確的目的,屬于合理使用范疇。第二,基于信息主體合法權(quán)益維護(hù)的處理行為需在合同利益維護(hù)或緊急情狀下開展。當(dāng)事人為訂約、履約之需要而處理個(gè)人信息的,應(yīng)當(dāng)受合同目的的約束;勞動(dòng)雇傭場(chǎng)景中處理個(gè)人信息的,應(yīng)當(dāng)受勞動(dòng)規(guī)章制度和集體合同的約束。在處理非敏感信息時(shí)不必征得雇員同意,但在一定規(guī)模企業(yè)中可通過民主程序設(shè)置隱私政策并公示以確保對(duì)雇員知情權(quán)的保障[27],避免資本力量下合理使用規(guī)則的泛化對(duì)告知同意規(guī)則的排斥。第三,已合法公開信息的處理行為應(yīng)防止惡意獲取信息進(jìn)行盈利的活動(dòng)。信息處理者對(duì)公開信息整合脫敏構(gòu)建數(shù)據(jù)庫(kù)的行為屬于對(duì)社會(huì)資源的利用,這一處理行為雖然超越了信息初始使用的目的,但并未損害他人合法權(quán)益,公開信息的處理活動(dòng)真正需要警惕的是惡意使用行為。

其次,“與處理目的直接相關(guān)”意味著處理者的個(gè)人信息使用行為應(yīng)當(dāng)限定于處理目的之內(nèi),或至少與核心目的存在極大關(guān)聯(lián)。此規(guī)則用于限制信息的過度收集等行為,如超越用戶協(xié)議的使用、超出產(chǎn)品基本功能性目的之使用等。抖音案中,被告讀取用戶通訊錄的行為并不超出其社交功能目的,在不侵?jǐn)_用戶的情形下屬于正當(dāng)商業(yè)使用行為,但整合匹配后能發(fā)現(xiàn)原告不存在基于涉案軟件的社交需求,此時(shí)應(yīng)當(dāng)及時(shí)刪除存儲(chǔ)信息,繼續(xù)存儲(chǔ)甚至使用都因超過必要限度而被認(rèn)定為侵權(quán)?！秱€(gè)人信息保護(hù)法》第五十八條對(duì)“守門人條款”的完善也是基于數(shù)據(jù)處理當(dāng)符合必要目的之考慮。除此,倘若實(shí)踐中某些信息處理行為的缺位會(huì)直接導(dǎo)致處理目的無法實(shí)現(xiàn),包括整體無法實(shí)現(xiàn)和核心目的無法實(shí)現(xiàn),則該類個(gè)人信息處理行為屬于合理使用范疇。

最后,“采取對(duì)個(gè)人權(quán)益影響最小的方式”可解釋為比例原則中的“最小損害原則”。這也是數(shù)據(jù)分級(jí)處理的必然要求,強(qiáng)調(diào)基于后果對(duì)信息處理行為予以合法判定。由于不同個(gè)人信息與信息主體的關(guān)聯(lián)度不同,信息使用造成的損害后果亦有所區(qū)別,故信息處理者應(yīng)當(dāng)針對(duì)不同類型信息建立差別化技術(shù)處理原則。針對(duì)符合社會(huì)一般合理認(rèn)知下共識(shí)的私密信息,如自然人隱私類數(shù)據(jù)、未成年人的信息、企業(yè)清算破產(chǎn)等重大負(fù)面信用信息,要強(qiáng)化防御保護(hù),除非已公開、已去標(biāo)識(shí)化處理或獲得主體有效同意,否則不得處理;面對(duì)非敏感信息,允許信息處理者通過事后救濟(jì)方式進(jìn)行糾正,如賦予信息主體選擇退出權(quán)。面對(duì)附有積極利用期待的個(gè)人信息,如已脫敏、已公開信息等,其整合應(yīng)用等行為是否合理需結(jié)合處理場(chǎng)景、方式、后果等進(jìn)行一般合理認(rèn)知的評(píng)估。另外要強(qiáng)調(diào)的是,根據(jù)實(shí)證分析,“財(cái)務(wù)數(shù)據(jù)不在多數(shù)國(guó)家和地區(qū)的敏感數(shù)據(jù)之列,但現(xiàn)實(shí)中被侵犯的風(fēng)險(xiǎn)最高;健康數(shù)據(jù)在理論上被普遍視為敏感數(shù)據(jù),但在現(xiàn)實(shí)中被盜取、泄露的概率卻較低”[28]。這種理論與現(xiàn)實(shí)之間的悖論證實(shí)了除了在場(chǎng)景中討論個(gè)人信息的層級(jí),對(duì)信息不當(dāng)處理后果的考量是必要的。

(二)合理方式

根據(jù)是否存在約定,合理使用方式分為三大類型。一是基于用戶協(xié)議的約定方式,一般情形下個(gè)人數(shù)據(jù)的處理需要經(jīng)過信息主體的告知同意,此時(shí)使用者當(dāng)明確處理方式,不得從事超出協(xié)議范圍的行為。二是基于法律規(guī)定的處理方式,如目前中國(guó)對(duì)于個(gè)人征信信息的收集和處理,需滿足依法持牌要求。但現(xiàn)實(shí)中中國(guó)個(gè)人征信市場(chǎng)僅有中國(guó)人民銀行征信中心、百行征信有限公司及樸道征信有限公司三個(gè)合法經(jīng)營(yíng)主體,市場(chǎng)需求呼吁著保護(hù)個(gè)人隱私的同時(shí),盡量破除信息壁壘和信息孤島,故而合法經(jīng)營(yíng)主體的構(gòu)建亦是時(shí)代所需。三是基于行業(yè)慣習(xí)的處理行為。實(shí)踐指引規(guī)則是個(gè)人信息保護(hù)規(guī)范構(gòu)建時(shí)必須承認(rèn)的事實(shí),在缺少法律規(guī)制的領(lǐng)域內(nèi),信息處理行為需遵守行業(yè)慣習(xí)或類似規(guī)則的約束。如大數(shù)據(jù)產(chǎn)業(yè)的信息使用行為判定可參考著作權(quán)等相關(guān)規(guī)定。再如楊某訴某網(wǎng)絡(luò)有限公司人格權(quán)糾紛案(12)杭州互聯(lián)網(wǎng)法院.民法典時(shí)代將至,全國(guó)首份網(wǎng)絡(luò)人格權(quán)司法審理報(bào)告在杭發(fā)布[EB/OL].(2020-05-22)[2022-10-11].https://mp.weixin.qq.com/s?__biz=MzA3MjQxNzQ2Mw==&mid=26495382-62&idx=1&sn=2503bfc9191f33897b44ae03b5891864&chksm=870-6b70eb0713e18201c39d7721eda1eae57207b23b30498288a3b67ca4cb4cb-990e1884c136&scene=4#wechat_redirect.中,原告作為郵箱用戶在半年內(nèi)收到多封不可退訂的電子郵件,故以生活安寧受到侵?jǐn)_為由提起訴訟,被告辯稱案涉郵箱系免費(fèi)提供,用戶以接受廣告發(fā)布為對(duì)價(jià),郵箱提供者通過廣告獲得盈利是業(yè)界普遍經(jīng)營(yíng)模式,能達(dá)到雙贏之效,何況郵箱的服務(wù)條款明確約定了商業(yè)性廣告的存在。此案最終和解撤訴,但雙方對(duì)陣中明顯可見商業(yè)慣習(xí)對(duì)行為的約束效果。

(三)未造成不合理的權(quán)益侵害

《個(gè)人信息保護(hù)法》考慮到信息侵權(quán)領(lǐng)域信息主體面臨的舉證困境,于第六十九條確立了推定過錯(cuò)的損害賠償責(zé)任,但這并不意味著無過錯(cuò)的信息處理行為即屬于信息的合理使用。判定處理行為的合理性,除卻合理目的和合理方式外,未造成不合理的權(quán)益侵害亦是要素之一。以新冠病毒感染疫情防控為例,緊急狀態(tài)下對(duì)私人利益的保護(hù)要讓位于公共健康保障,大數(shù)據(jù)有效助力疫情防控,但不必要信息的收集、敏感信息的泄露也引發(fā)系列諸如疫區(qū)歧視、網(wǎng)絡(luò)暴力的形成、個(gè)人數(shù)據(jù)不符合常規(guī)要求(行程碼帶星號(hào))導(dǎo)致行動(dòng)受限等損害的發(fā)生。行政執(zhí)法過程中公共衛(wèi)生利益的泛化解釋使得個(gè)人走向透明化和客體化。為此需強(qiáng)化信息保護(hù)機(jī)制,根據(jù)信息的私隱程度,予以不同程度的脫敏匿名化處理,以確保數(shù)據(jù)安全。而在商業(yè)化的信息處理中,常存在網(wǎng)絡(luò)經(jīng)營(yíng)者對(duì)海量互聯(lián)網(wǎng)信息進(jìn)行搜索、存儲(chǔ)、歸目等技術(shù)處理以構(gòu)建自己數(shù)據(jù)庫(kù)的情形。如果行為人遵循合理目的及方式對(duì)信息加以處理,則不應(yīng)對(duì)其苛以實(shí)質(zhì)性的事先審查義務(wù),一旦信息主體行使通知?jiǎng)h除權(quán)限,經(jīng)營(yíng)者則需盡到合理審查義務(wù)并采取必要的審查刪除、加強(qiáng)防護(hù)等措施,否則即構(gòu)成對(duì)信息主體的權(quán)益侵害,經(jīng)營(yíng)者的繼續(xù)存儲(chǔ)行為也就被排除于合理使用之外(13)參見北京互聯(lián)網(wǎng)法院(2019)京0491民初10989號(hào)民事判決書。。

抖音案中法院以“未對(duì)信息主體造成不合理?yè)p害”作為標(biāo)準(zhǔn)之一來界定處理行為的合理性是這一要件在實(shí)踐中的經(jīng)典運(yùn)用。但需要說明的是,此案中裁判冠以“不合理?yè)p害”之名,雖裁判結(jié)果合理,然說理混淆了“權(quán)益受侵害”和“損害”兩個(gè)概念,增加了裁判難度。現(xiàn)實(shí)中單純的信息收集行為本身很難證明有何損害后果,但經(jīng)用戶通知后拒不刪除的行為確然是對(duì)權(quán)益的侵害,不能認(rèn)定為合理使用。這一情形頻發(fā)于公開信息的處理行為中,公開的個(gè)人信息已脫離私人領(lǐng)域進(jìn)入社會(huì)信息池,不管信息主體承認(rèn)與否,公開的個(gè)人信息對(duì)自然人的某方面人格刻畫已然完成,該情形下對(duì)信息的非惡意處理通常不會(huì)產(chǎn)生侵?jǐn)_效果。但倘若該自然人明確拒絕外界對(duì)該類信息的處理,其拒絕行為屬于意思撤回,應(yīng)當(dāng)予以保護(hù)。除此,即使信息主體并未拒絕公開信息的后續(xù)處理,處理行為也以不侵害主體權(quán)益為前提,同時(shí)對(duì)個(gè)人權(quán)益有重大影響的信息處理行為依然需要獲得個(gè)人同意,以防信息主體的不當(dāng)公開行為所引發(fā)的后續(xù)損害,具體可體現(xiàn)為數(shù)據(jù)歧視、數(shù)據(jù)錯(cuò)誤使用的不法性認(rèn)定等。

“未造成不合理的權(quán)益侵害”這一要件,與著作權(quán)合理使用判定中三步檢驗(yàn)法下“不得損害作者的合法利益”要件和四要素中“潛在市場(chǎng)損害的排除”要件一致,也符合《民法典》第一百三十二條所列權(quán)利禁止濫用的規(guī)范要求,同時(shí)還避免了個(gè)人信息損害因具有無形性、潛伏性、未知性、難以評(píng)估等特征所導(dǎo)致的損害認(rèn)定障礙[29],應(yīng)當(dāng)成為個(gè)人信息合理使用的第三個(gè)規(guī)范要件。

綜上,個(gè)人信息合理使用規(guī)則可解釋為,信息處理行為應(yīng)在規(guī)范目的框架內(nèi),行為的實(shí)施未超過為實(shí)現(xiàn)該目的所采取的最緩和方式,一般表現(xiàn)為基于合理商業(yè)目的行為、公共利益考量、新聞監(jiān)督需要、個(gè)人合法權(quán)益維護(hù)、已公開信息的使用等情形。對(duì)“合理性”的司法判定應(yīng)基于法律法規(guī)要求、行業(yè)實(shí)踐必要、與信息主體的約定之上,同時(shí)應(yīng)綜合考慮具體情境中的處理行為是否對(duì)私主體權(quán)益造成或可能造成侵害,以及處理行為是否超過私主體的合理預(yù)見范圍。

四、個(gè)人信息合理使用的具體情境判斷——以商業(yè)化處理為例

合理目的、合理方式、未侵害信息主體權(quán)益共同構(gòu)成信息合理使用規(guī)則的認(rèn)定要素,確定了使用行為的內(nèi)在正當(dāng)性,但拋卻具體情境談“合理”的做法畢竟過于抽象,實(shí)踐尚需基于具體情境的合理性判定規(guī)則。鑒于目前商業(yè)用途的信息處理是理論爭(zhēng)議繁多且實(shí)踐糾紛頻發(fā)的場(chǎng)景,本文選取該情境對(duì)合理性判斷規(guī)則予以說明?；谏虡I(yè)目的的合理使用行為面臨行為正當(dāng)性責(zé)問、行為限制和行為合理性認(rèn)定三大難題。

(一)基于商業(yè)用途的合理使用行為之正當(dāng)性證成

合理使用的本旨是基于公共利益之維護(hù)而對(duì)權(quán)利人權(quán)利行使的限制[10]。然隨著中國(guó)數(shù)字化轉(zhuǎn)型進(jìn)程的深入,個(gè)人信息的合理使用從公共目的的桎梏中掙脫,逐漸向商業(yè)用途擴(kuò)張?；诤笠荒康牡男畔⑹褂眯袨橛兄?jīng)濟(jì)效益和制度演變兩個(gè)層面的正當(dāng)性基礎(chǔ)。

第一,商業(yè)主體因?qū)π畔⒌呢?cái)產(chǎn)權(quán)益有價(jià)值加成而當(dāng)合理使用個(gè)人信息。數(shù)據(jù)的加工和集合可將低價(jià)值密度的信息轉(zhuǎn)化為高商業(yè)價(jià)值的產(chǎn)品,數(shù)據(jù)生產(chǎn)源的各主體對(duì)最終數(shù)字產(chǎn)品均有相當(dāng)?shù)呢暙I(xiàn)比,原本的個(gè)人信息在使用中被賦予新的價(jià)值與功能,從而激發(fā)出司法從效益角度對(duì)信息合理使用行為的驗(yàn)證。如微信讀書案,法院對(duì)于被告在不違反法律法規(guī)、不侵害用戶合法權(quán)益下,在關(guān)聯(lián)產(chǎn)品中合理利用開發(fā)已積累的用戶數(shù)據(jù)之行為表示認(rèn)可。法律規(guī)制不應(yīng)囿于某一主體的權(quán)益保護(hù)而徹底否認(rèn)已存在并且有巨大發(fā)展?jié)摿Φ慕?jīng)濟(jì)模式,中國(guó)司法實(shí)踐已有所嘗試,但稍顯遺憾的是,此種商業(yè)化利用的擴(kuò)張趨勢(shì)似乎在最近的判決中有所收斂(14)如上文提及的微視案中,一審法院對(duì)商業(yè)化的合理使用持肯定態(tài)度,但二審法院推翻此種論述,要求商業(yè)主體在第二次獲取自然人信息時(shí)依然要征得當(dāng)事人同意,即便獲取信息范圍與第一次無異。,實(shí)則數(shù)據(jù)分析和信息交換是數(shù)字商業(yè)發(fā)展的基礎(chǔ),過于嚴(yán)格的同意規(guī)則只能導(dǎo)致具體場(chǎng)景中的利益失衡,不利于提高數(shù)字產(chǎn)業(yè)的經(jīng)濟(jì)效益和創(chuàng)新水準(zhǔn)。

第二,商業(yè)主體的信息合理使用行為有著制度空間。對(duì)商業(yè)主體的使用行為予以規(guī)制的目的在于防止信息濫用對(duì)自然人的人格侵損。因存在隱私泄露隱患,商業(yè)主體在提供服務(wù)過程中積累的個(gè)人信息是否可以另作他用,法律并無明確規(guī)定,但《民法典》第一千零三十六條調(diào)整的私法主體并未排除“營(yíng)利法人”或“商事主體”,且第二項(xiàng)中處理行為之目的也未排除基于“商業(yè)目的”的使用?！秱€(gè)人信息保護(hù)法》第二十四條第二款“通過自動(dòng)化決策方式向個(gè)人進(jìn)行信息推送、商業(yè)營(yíng)銷”的規(guī)定,亦可推導(dǎo)出立法對(duì)合法商業(yè)使用行為的包容。但“同時(shí)提供拒絕方式”的法律表達(dá)也意味著,基于商業(yè)目的的合理使用范圍在司法實(shí)踐中應(yīng)當(dāng)作限縮解釋,在不排斥積極利用的情況下,商業(yè)使用需要提供便捷的拒絕渠道,以消除可能對(duì)信息主體帶來的權(quán)益損害,這也是“合理方式”這一要件的具體體現(xiàn)。事實(shí)上,法律規(guī)范的曖昧態(tài)度在司法探索中已有明朗趨勢(shì),“正當(dāng)商業(yè)目的”的信息處理行為見于微信讀書案法院的論述。對(duì)于互聯(lián)網(wǎng)平臺(tái)通過長(zhǎng)期運(yùn)營(yíng)積累的數(shù)據(jù)資源,平臺(tái)自然是可以在一定的限度內(nèi)進(jìn)行商業(yè)利用,而且即使是跨平臺(tái)的數(shù)據(jù)使用,也不應(yīng)被當(dāng)然禁止?？畿浖臄?shù)據(jù)使用應(yīng)當(dāng)根據(jù)具體場(chǎng)景,綜合考慮軟件之間的關(guān)系、數(shù)據(jù)使用的特點(diǎn)、數(shù)據(jù)的處理方式、獲得用戶知情同意的方式等進(jìn)行綜合評(píng)判。抖音案中,被告作為營(yíng)利法人商業(yè)主體,其所運(yùn)營(yíng)抖音平臺(tái)是以營(yíng)利為目的的互聯(lián)網(wǎng)平臺(tái),因此被告使用個(gè)人信息為“商業(yè)目的之使用”,法院考察具體場(chǎng)景,認(rèn)為讀取匹配通訊錄行為本身具有正當(dāng)目的且未造成不合理侵害,同時(shí)不屬于私隱信息的利用,屬于合理使用。但匹配之后處理者應(yīng)當(dāng)發(fā)現(xiàn)所收集信息系信息主體未主動(dòng)公開之列,繼續(xù)處理(如儲(chǔ)存、精準(zhǔn)推送等行為)已超過合理商用的必要限度,不再屬于合理使用行為。由此可見,個(gè)人信息合理使用規(guī)則在商業(yè)目的方面的擴(kuò)張已成事實(shí)。

(二)個(gè)人信息商業(yè)化合理使用的限制

雖然實(shí)踐對(duì)利用個(gè)人信息擴(kuò)大商業(yè)利益的行為持包容態(tài)度,但限于個(gè)人信息“人格屬性”的法理桎梏,法律規(guī)制對(duì)其使用目的從公益追求到商業(yè)化利益追逐的擴(kuò)張雖有必要但須進(jìn)行嚴(yán)格限制。具體表現(xiàn)為商業(yè)化合理使用的個(gè)人信息原則上應(yīng)當(dāng)具備低敏感度,商家需要承擔(dān)披露管理義務(wù)兩個(gè)方面。

1.個(gè)人信息的低敏屬性

考慮到個(gè)人信息人格依附特征,需要嚴(yán)格限制未經(jīng)加工脫敏的個(gè)人信息進(jìn)入數(shù)據(jù)市場(chǎng),同時(shí)開放對(duì)二次數(shù)據(jù)的商業(yè)處理市場(chǎng)。根據(jù)目前中國(guó)數(shù)據(jù)市場(chǎng)的交易模式,基于商業(yè)目的的合理使用行為可分為三類,對(duì)應(yīng)的個(gè)人信息自身須具備或經(jīng)過處理后具備低敏感屬性。其一,基于最小損害原則對(duì)原始數(shù)據(jù)的收集使用。個(gè)體為獲取便捷網(wǎng)絡(luò)服務(wù)而對(duì)個(gè)人信息自主披露,若商業(yè)主體的處理行為超過自然人的許可范圍,此時(shí)的個(gè)人信息被賦予對(duì)價(jià)屬性,信息主體通過交付自身數(shù)據(jù)作為接受服務(wù)的對(duì)待給付[30]。此時(shí)處理行為需要被限制在實(shí)現(xiàn)“基本功能服務(wù)”通常“必要的信息范圍”內(nèi),且收集到的個(gè)人信息應(yīng)當(dāng)不屬于個(gè)人私密信息。如搜索引擎爬蟲爬取數(shù)據(jù)、互聯(lián)網(wǎng)企業(yè)收集用戶信息以優(yōu)化服務(wù)等是行業(yè)慣例,該類行為并不當(dāng)然觸及信息主體的人格利益,因而法律應(yīng)予以包容。其二,企業(yè)對(duì)原始數(shù)據(jù)分類整合,針對(duì)具體應(yīng)用場(chǎng)景就單一類型數(shù)據(jù)進(jìn)行深度價(jià)值提升。如數(shù)據(jù)堂采集客戶的語音數(shù)據(jù),并進(jìn)行加工標(biāo)注形成語音數(shù)據(jù)源或數(shù)據(jù)庫(kù)。被加工后的數(shù)據(jù)不再具備隱私屬性。其三,引入外部數(shù)據(jù)支撐企業(yè)主體業(yè)務(wù)的使用行為。如科大訊飛購(gòu)買數(shù)據(jù)堂的數(shù)據(jù)資源借以提升自身產(chǎn)品質(zhì)量等。三類處理行為對(duì)信息主體的人格權(quán)益影響度逐次降低,第一類行為需要雙方在數(shù)據(jù)處理合同中明確標(biāo)注目的、方式、應(yīng)用場(chǎng)景,處理者應(yīng)在最小損害原則下合理使用此類信息,同時(shí)提供易于操作的退出選項(xiàng)。其他兩類行為因無隱私侵?jǐn)_隱患而豁免個(gè)人同意,且因數(shù)據(jù)背后巨大的價(jià)值鏈條而當(dāng)賦予處理者充足的商業(yè)實(shí)踐空間。

2.商家多層次的披露和管理義務(wù)

針對(duì)不同類型的處理行為,商家有著不同程度的披露和安全管理義務(wù)。

第一,對(duì)原始數(shù)據(jù)的處理。商家應(yīng)當(dāng)披露其處理的信息范圍、時(shí)間和手段等,并以顯著標(biāo)識(shí)方式告知以信息讓渡為對(duì)價(jià)來?yè)Q取服務(wù)的信息主體。但當(dāng)原始數(shù)據(jù)具備低敏屬性(如屬于匿名信息)時(shí),商家以“默示同意”方式取得授權(quán),無需承擔(dān)更進(jìn)一步的“征得直接同意”義務(wù)。如在朱某訴百度公司隱私權(quán)糾紛案中(15)原告朱某使用被告瀏覽器搜索“減肥”等關(guān)鍵詞,被告使用Cookie技術(shù)留存原告搜索的關(guān)鍵詞后,向原告精準(zhǔn)推送“減肥”相關(guān)廣告信息。原告以被告侵犯其隱私權(quán)為由,向一審法院請(qǐng)求被告停止侵權(quán),承擔(dān)精神損害賠償、取證公證費(fèi)用等。一審法院判決被告停止侵權(quán),支付公證費(fèi)用,但未支持精神損害賠償請(qǐng)求,參見南京市鼓樓區(qū)人民法院(2013)鼓民初字第3031號(hào)民事判決書。后被告上訴至二審法院,請(qǐng)求撤銷一審判決,駁回原告一審請(qǐng)求。二審支持了上訴人請(qǐng)求,認(rèn)為其不構(gòu)成侵權(quán),參見南京市中級(jí)人民法院(2014)寧民終字第5028號(hào)民事判決書。,一審法院認(rèn)為保障用戶知情權(quán)和選擇權(quán),商家需要承擔(dān)嚴(yán)格的說明提醒義務(wù),被告默示同意的實(shí)踐操作并未履行規(guī)范的告知義務(wù)。二審?fù)品@一結(jié)論,認(rèn)為被告沒有且無必要將搜索記錄和原告身份聯(lián)系起來,未對(duì)原告權(quán)益造成侵害,因而認(rèn)可了商家處理行為的合法性。由于這一層級(jí)的信息隱私屬性最強(qiáng),商家應(yīng)當(dāng)承擔(dān)極嚴(yán)格的數(shù)據(jù)安全保障義務(wù),根據(jù)信息類型制定不同的管理和技術(shù)防護(hù)措施,并向公眾披露其信息安?？蚣?。

第二,對(duì)原始數(shù)據(jù)的分類整合行為。整合行為會(huì)將信息的人格屬性剝離出去,從而形成可流通的蘊(yùn)含極大商業(yè)價(jià)值的數(shù)據(jù)。該種處理行為建立在第一類行為之上,促進(jìn)了信息產(chǎn)業(yè)發(fā)展的同時(shí)也帶來了極大的規(guī)范隱患,商家若不履行嚴(yán)格披露義務(wù),容易導(dǎo)致意想不到的嚴(yán)重后果,如房產(chǎn)中介人員非法交易業(yè)主房源信息牟利最終導(dǎo)致租客被騙(16)參見最高人民檢察院第三十四批指導(dǎo)性案例第140號(hào),柯某侵犯公民個(gè)人信息案。,犯罪分子利用軟件推送的信息對(duì)多名兒童實(shí)施猥褻等行為時(shí)有發(fā)生(17)參見最高人民檢察院第三十五批指導(dǎo)性案例第141號(hào),北京某公司侵犯兒童個(gè)人信息權(quán)益行政公益訴訟案。該案中,某App根據(jù)算法向特定用戶推送有關(guān)兒童內(nèi)容視頻,且對(duì)后者提供了兒童賬號(hào)聯(lián)系、獲取他人地理位置和面部特征等隱私信息的途徑,徐某收到該App后臺(tái)推送后,通過私信功能聯(lián)系多名兒童,并對(duì)其中3名兒童實(shí)施猥褻行為。。此類行為中,商家的義務(wù)側(cè)重于信息脫敏和安全儲(chǔ)存。其應(yīng)當(dāng)在用戶協(xié)議中注明所收集數(shù)據(jù)的后續(xù)基本處理流程,承諾其對(duì)信息的脫敏義務(wù),并標(biāo)注明確的退出途徑。另外需要及時(shí)刪改可疑數(shù)據(jù),并對(duì)采集的數(shù)據(jù)進(jìn)行技術(shù)加密。

第三,商業(yè)主體間的信息共享行為。商家應(yīng)當(dāng)在共享協(xié)議中對(duì)信息處理范圍、用途等作出詳細(xì)約定,且將相關(guān)內(nèi)容通過用戶協(xié)議披露給信息主體,同時(shí)提供便捷的退出渠道。實(shí)踐中第三方通過OpenAPI獲取用戶信息時(shí)應(yīng)遵守“用戶授權(quán)+平臺(tái)授權(quán)+用戶授權(quán)”規(guī)則(18)參見騰訊訴微視等不正當(dāng)競(jìng)爭(zhēng)案,天津市濱海新區(qū)人民法院(2019)津0116民初2091號(hào)民事裁定書。,信息處理過程中信息供給商應(yīng)當(dāng)向用戶披露信息流通模式,第三方需要向公眾披露信息源,以便保護(hù)并平衡用戶的隱私需求、信息獲取方的財(cái)產(chǎn)投入和信息使用者的自由競(jìng)爭(zhēng)等三方利益。如在漢濤公司訴百度等不正當(dāng)競(jìng)爭(zhēng)糾紛案(19)參見上海知識(shí)產(chǎn)權(quán)法院(2016)滬73民終242號(hào)民事判決書。中,百度公司利用“垂直搜索”技術(shù)收集整理了大眾點(diǎn)評(píng)網(wǎng)上商戶評(píng)論信息,雖豐富了消費(fèi)者選擇,但大量使用信息且未標(biāo)注數(shù)據(jù)源的行為引流了大眾點(diǎn)評(píng)網(wǎng)的客戶,對(duì)原告商業(yè)利益造成了損害,屬于不正當(dāng)使用整合數(shù)據(jù)的行為。

(三)商業(yè)化使用中“合理性”的認(rèn)定步驟

目前實(shí)踐中存在行為性質(zhì)和信息屬性兩大評(píng)判標(biāo)準(zhǔn),在具體處理場(chǎng)景中法官通常將二者相結(jié)合,在認(rèn)定被使用對(duì)象為個(gè)人信息后,考慮行為是否超出必要目的和限度、是否對(duì)信息主體造成權(quán)益侵害,從而實(shí)現(xiàn)信息的差別化保護(hù)。這兩大評(píng)判標(biāo)準(zhǔn)值得借鑒,但認(rèn)定步驟應(yīng)當(dāng)予以調(diào)整。一則大數(shù)據(jù)時(shí)代幾乎所有信息皆可經(jīng)過技術(shù)解密達(dá)到識(shí)別到個(gè)人的可能,法律保護(hù)應(yīng)當(dāng)更強(qiáng)調(diào)處理者的行為而非信息本身;二則信息敏感度與處理行為的限度有關(guān),而與行為性質(zhì)本身無關(guān)。因而,商業(yè)化使用場(chǎng)景下的合理性應(yīng)以行為性質(zhì)為主,信息屬性為輔。

第一,從具體行為性質(zhì)出發(fā),考慮使用行為對(duì)信息潛在市場(chǎng)或價(jià)值的影響,同時(shí)避免對(duì)信息主體權(quán)益的侵害。如淘寶訴安徽某信息科技公司不正當(dāng)競(jìng)爭(zhēng)糾紛案(20)原告開發(fā)運(yùn)營(yíng)一款名為“生意參謀”的電子商務(wù)數(shù)據(jù)產(chǎn)品,該產(chǎn)品主要為淘寶、天貓店鋪運(yùn)營(yíng)提供數(shù)據(jù)化參考服務(wù),幫助經(jīng)營(yíng)者提高經(jīng)營(yíng)水平。被告開發(fā)運(yùn)營(yíng)“某互助平臺(tái)”軟件和“某生意參謀眾籌”網(wǎng)站,吸引已訂購(gòu)“生意參謀”產(chǎn)品的淘寶公司用戶下載“某互助平臺(tái)”軟件,通過該軟件分享、共用子賬戶,以此獲得傭金。被告通過提供遠(yuǎn)程登錄服務(wù)的方式,招攬、組織、幫助他人獲取“生意參謀”數(shù)據(jù)產(chǎn)品中的數(shù)據(jù)內(nèi)容,并從中獲益。中,法院基于對(duì)信息潛在商業(yè)價(jià)值的考量,對(duì)原告的信息整合加工行為予以肯定。法院認(rèn)為,網(wǎng)絡(luò)服務(wù)提供者對(duì)其合法控制的大數(shù)據(jù)經(jīng)分析脫敏后形成的具有商業(yè)價(jià)值的數(shù)據(jù)產(chǎn)品,享有競(jìng)爭(zhēng)性的財(cái)產(chǎn)權(quán)益。這一判決劃定了商業(yè)主體合理使用個(gè)人信息的范圍:除卻經(jīng)信息主體有效同意外,還可將其合理控制的數(shù)據(jù)予以脫敏處理構(gòu)建自己的信息產(chǎn)品,這與著作權(quán)中法院評(píng)判是否構(gòu)成合理使用時(shí)會(huì)重點(diǎn)關(guān)注受版權(quán)保護(hù)資料的使用是否有“轉(zhuǎn)化性”,即對(duì)原作品的使用是否賦予新的含義或表現(xiàn)方式的裁判思路一致,體現(xiàn)出司法面對(duì)數(shù)字經(jīng)濟(jì)新業(yè)態(tài)的包容態(tài)度。

第二,以信息固有性質(zhì)為補(bǔ)充,如個(gè)人信息本身的敏感度、是否公開、是否被加工整合予以脫敏處理等都影響著信息可使用的程度。個(gè)人信息隱私屬性越強(qiáng),商業(yè)處理的合理性范圍越窄。對(duì)個(gè)人隱私數(shù)據(jù),如網(wǎng)絡(luò)社交關(guān)系、常住地址等,在用戶脫離產(chǎn)品使用情境時(shí),商業(yè)主體應(yīng)停止其收集處理行為,除非后者能證明自身行為符合最小必要原則。對(duì)通過官方途徑或自然人自主公開的數(shù)據(jù),信息主體對(duì)商業(yè)化處理行為存在一定的容忍義務(wù)。如在啟信寶抓取中國(guó)裁判文書網(wǎng)和人民法院公告網(wǎng)上文書判決、裁定書案中,法院對(duì)公開的個(gè)人信息使用行為規(guī)則予以說明(21)參見蘇州市中級(jí)人民法院(2019)蘇05民終4745號(hào)民事判決書?！皢⑿艑殹惫緦⒅袊?guó)裁判文書網(wǎng)發(fā)布的三條判決、裁定書和人民法院公告網(wǎng)上公開發(fā)布的送達(dá)判決的公告文書轉(zhuǎn)載到了啟信寶網(wǎng)站,任何人均可在該網(wǎng)站上搜索、查詢到上述文書,本案原告系上述文書的案件當(dāng)事人。本案的爭(zhēng)議焦點(diǎn)之一是啟信寶網(wǎng)站轉(zhuǎn)載中國(guó)裁判文書網(wǎng)及人民法院公告網(wǎng)上發(fā)布的涉案文書是否侵犯原告的個(gè)人信息權(quán)益。。法院認(rèn)為,啟信寶網(wǎng)站基于公開的渠道收集信息后在其合法經(jīng)營(yíng)范圍內(nèi)向客戶提供,屬于對(duì)已合法公開信息的合理使用,原告對(duì)此負(fù)有容忍義務(wù)。但在原告通知被告刪除之后,被告拒絕刪除的行為則構(gòu)成非法使用。由此可見,對(duì)已公開的個(gè)人信息允許商業(yè)化利用,同樣也需要賦予信息主體通知?jiǎng)h除權(quán)限,以平衡商業(yè)主體的信息價(jià)值挖掘與自然人的隱私期待。再如原始數(shù)據(jù)經(jīng)整合加工后得到的二次數(shù)據(jù),其人格特征已然淡去,夾裹于其間的經(jīng)濟(jì)價(jià)值得以擴(kuò)展,此類信息的使用規(guī)則相較隱私信息應(yīng)當(dāng)更為開放。個(gè)案判斷中,司法機(jī)關(guān)可基于信息處理的具體情境,針對(duì)不同敏感值信息,設(shè)置不同區(qū)間的商業(yè)化合理使用的范圍,以此來實(shí)現(xiàn)信息的階梯式保護(hù)及利用。

五、結(jié)語

數(shù)字信息化時(shí)代賦予個(gè)人信息更大的商業(yè)價(jià)值,留存在網(wǎng)絡(luò)的個(gè)人信息帶來生活便利的同時(shí),也使信息主體不得不面對(duì)個(gè)人信息被非法處理的風(fēng)險(xiǎn)?！睹穹ǖ洹废嚓P(guān)條文回應(yīng)了時(shí)代需求,對(duì)個(gè)人信息和數(shù)據(jù)予以分別規(guī)定?！秱€(gè)人信息保護(hù)法》基于個(gè)人權(quán)益保護(hù)和有效利用的多元價(jià)值考量,提供了更加積極的信息處理路徑,但對(duì)商業(yè)目的的信息使用限制頗多。事實(shí)上,個(gè)人信息有著雙重法律屬性,其財(cái)產(chǎn)權(quán)益的發(fā)揮依賴數(shù)據(jù)價(jià)值的生產(chǎn)挖掘,因而在信息主體免受權(quán)益侵害,即保障人格權(quán)益的基礎(chǔ)前提下,個(gè)人信息的財(cái)產(chǎn)利益可歸屬于不同主體,進(jìn)而讓個(gè)人信息有限制地流動(dòng)起來,以創(chuàng)造更大的社會(huì)效用,此過程中信息處理者的系列行為可被歸于個(gè)人信息的合理使用范疇。

信息的流動(dòng)本質(zhì)和社會(huì)屬性要求信息處理行為的規(guī)制法理從個(gè)人控制論向有序分享論轉(zhuǎn)變,個(gè)人信息合理使用規(guī)則作為知情同意規(guī)則的補(bǔ)充,也成為信息處理的另一大合法基礎(chǔ)。通過考察目前中國(guó)立法、司法、國(guó)家標(biāo)準(zhǔn)對(duì)個(gè)人信息合理使用的規(guī)范表達(dá),可以發(fā)現(xiàn)實(shí)踐中存在對(duì)合理使用的泛化傾向,為此需要探索信息合理使用的法律構(gòu)造,從合理目的、合理方式和未受不合理侵害三大要件對(duì)此予以嚴(yán)格解釋。以使用目的為標(biāo)準(zhǔn),中國(guó)個(gè)人信息合理使用規(guī)則包含基于商業(yè)目的、公共目的、信息主體權(quán)益保護(hù)目的的三類處理行為,已公開信息由于法定或自然人同意等因素具有更強(qiáng)的社會(huì)屬性,能最大化利用數(shù)據(jù)價(jià)值,從而對(duì)已公開信息的處理亦應(yīng)屬合理使用范疇。司法需在四大具體情境中考慮行為本身和信息屬性是否符合規(guī)范要件要求。個(gè)人信息合理使用規(guī)則是信息各方利益博弈的法律結(jié)果,在具體情境認(rèn)定中,首先考慮行為性質(zhì),信息處理行為應(yīng)當(dāng)受合法、正當(dāng)、必要和誠(chéng)信原則的約束,具體表現(xiàn)為主體的特定性,目的的明確、具體、合法性,方法和程序的必要性。其次要根據(jù)信息本身的屬性判定信息的可使用程度,當(dāng)然在緊急情況處理個(gè)人信息后,應(yīng)當(dāng)在事后采取措施保障信息主體的知情權(quán),并提供便捷的退出途徑。

法律既要對(duì)信息商業(yè)創(chuàng)新持包容審慎之態(tài),亦需對(duì)個(gè)人隱私期待堅(jiān)持嚴(yán)格底線,從而維護(hù)數(shù)據(jù)產(chǎn)業(yè)利益和個(gè)人信息權(quán)益的動(dòng)態(tài)平衡。因此,還需要進(jìn)一步關(guān)注的問題是,如何避免各類主體在合理使用完成后的場(chǎng)景外信息處理行為,為此國(guó)家機(jī)關(guān)和商業(yè)主體的信息處理程序設(shè)置、信息主體的防御權(quán)限探究皆是需要探討的問題。信息處理是時(shí)代命題,司法應(yīng)緊隨市場(chǎng),在變換運(yùn)作中一步步窺探規(guī)則邊界,任重道遠(yuǎn)。