数据共享视域下个人信息“合理使用”的场景化判定

吴国喆,王文文

西安交通大学 法学院,陕西 西安 710049

一、问题的提出

大数据的发展赋予个人信息以全新的市场价值,人的存在也超脱传统生物体的形式,而基于信息世界的活动衍生出虚拟人格。公众享受技术福利的同时亦被挤压着私人空间,大数据时代对人的法律保护由此从物理世界扩展到包含虚拟人格的信息世界,进而对个人信息处理行为尺度的把握成为法律面对技术革命必须回答的问题。中国法律目前对个人信息的保护在信息自由流动和信息自主决定间往复,这也符合国际通行做法——基于个人信息内涵的人格要素和财产价值之双重属性,个人信息被普遍排除于绝对权之外,其法律规制均在权益保护和自由流通间找寻平衡点。在法律规则层面,2017年颁布的《中华人民共和国民法总则》第一百一十一条明确了“自然人的个人信息受法律保护”,这成为中国法律探寻个人信息处理行为规则边界的逻辑新起点,《中华人民共和国民法典》(以下简称《民法典》)对此未做任何修改。2021年颁布的《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)更是沿着个人信息处理行为这条主线,对个人信息的法律归属、信息处理行为的正当化基础、信息流动线路上各主体的权利义务安排、不同处理者的区别规制方式等作出了基本的规范表达。在“数据处理无所不在”的时代背景下,国家、社会、商业主体乃至私人的“信息饥饿感”将或许并不自愿的信息主体推上虚拟舞台,信息主体和信息控制者分列数据化这一时代洪流的两岸,各自企盼着基于个人信息的便捷或利好。故而,仅从信息主体角度出发的法律抽象表达只是行为规制起点,具体规则适用亟待基于实践的细分研究。

个人信息保护有两大理论基础,一为欧盟及其成员国从人的基本权利保护延伸出的数据控制理论,二为美国基于个人自由保护的隐私自治理论[1]。尽管理论基础不同,但两大法域对个人信息权的规制均体现为一组宽泛的原则和详细的行为规范[2],信息处理的逻辑起点为信息主体的自决权益,因而主体同意作为个人信息处理的规则核心成为各国立法例的普遍表达(1)2018年5月生效的欧盟《通用数据保护条例》(GDPR)和中国的《个人信息保护法》均构建了以“告知同意”为核心的处理原则;美国在州层面有《加州隐私权法案》(CPRA),规定一般情形下以“选择退出”机制最大化发挥数据价值。2020年欧盟委员会出台的《欧洲数据战略》中,释放数据潜力的前提是授予个人使用其产生的数据的权利。。但这并不意味着信息主体的自决权益是一项绝对权。考虑到数据时代勃发的信息依赖行为,作为资源的信息已然脱离了信息主体的掌控,成为个人必要的社会存在条件、国家的功能条件及活动基础、经济的生产要素。这也是个人信息固有的公共性和社会性的体现。故而有学者认为个人信息保护法是一种控制个人信息处理带给信息主体人格或财产的加害风险的事先防御机制,而非以信息自决权益为中心的权利保护规范[3]。在经历了“个人信息与隐私的区分”“知情同意规则的延伸与限缩”等大论战后,中国学者也逐渐意识到知情同意不能也不可能成为个人信息处理的唯一合法基础[4]。诚然,个人信息作为某种人格的社会延伸应当成为信息主体的权益,但数字时代信息的归属主体与控制主体分离的事实不可否认,信息控制者对个人信息的两次赋值亦不容忽视(2)第一次赋值是指控制主体对原始数据的利用,通过信息的流转处理,发挥了原始个人信息的经济价值。第二次赋值是指数据控制者按照一定目的以新的处理模式对原始数据进行加工处理的过程,二次赋值得到的为次生数据,只具有财产属性。,由此产生的“未经信息主体知情同意而进行的信息处理行为”规制当引起法律重视。另外,于具体裁判中,法院也对基于信息流动的商业模式创新和基于公共安全的信息处理行为打开了绿色通道,对个人信息合理使用的规则进行摸索。个人信息合理使用作为同意豁免规则在法律中得到认可,这是否意味着个人信息的法律规制逻辑已然脱离传统的个人信息控制理论?

实则在规范层面,中国公私法对信息合理使用的法律表达并不完全一致。《中华人民共和国网络安全法》(以下简称《网络安全法》)第四十一条虽然确立了同意作为网络空间内收集使用个人信息唯一合法性基础的规则,但第四十二条第一款以但书形式规定,网络运营者可处理“经过处理无法识别特定个人且不能复原的”信息。《民法典》基于信息自由流转的需要,于第九百九十九条、第一千零三十六条分别作出“基于特定目的可以合理使用民事主体个人信息”“个人信息合理使用免除民事责任”的规定。《信息安全技术 个人信息安全规范》(2020版)第5.6条规定了11项信息处理的同意豁免情形。《个人信息保护法》吸收了国家标准和《民法典》的相关规定,其第十三条第一款进一步扩大了处理个人信息的合法基础,在“主体同意”(第一项)之外,佐以“履约、法定职责或义务需要、人力资源管理、突发公共卫生事件应对、公开信息处理、新闻报道、舆论监督”(第二～六项)等合理使用情形,加之第七项的兜底性条款,对信息处理行为予以更为灵活的规定。表面观之,《个人信息保护法》已然以信息处理的多元正当性基础替代了《网络安全法》所规定的信息处理的唯一合法性基础,同时也似有打破《民法典》关于个人信息处理行为的“知情同意+免责事由”规则架构之嫌。

纵然法律规定尽可能细致化,但于实践应用中仍存在诸多难题。一是对条文的解释不甚统一。《民法典》和《个人信息保护法》对合理使用的法律性质界定似乎并不一致,由此出现“合理使用究竟系信息处理的免责抗辩事由、基于权利限制的合法事实行为抑或一种公共权益、一项信息权能”的疑问。除此,《个人信息保护法》第十三条中的“直接相关”“重大合法权益”等概念相对模糊,亟待实践厘清。二是信息合理使用的司法判定要素模糊,其合理性除了法条规定的“合理目的、方式、范围”外,是否需要考虑损害结果的影响。三是法律对基于商业目的的信息使用行为态度暧昧。基于个人信息的人格权属性,未经信息主体同意的商业化利用行为似乎并不能当然地获得正当性,但问题在于数字经济时代,数据已从简单的处理对象转变为一种基础性资源,数据处理利用主导权也从政府主导逐渐向企业主导转变[5]。因而,厘清个人信息人格权与财产权的双重属性,赋予商业主体对个人信息中财产权益的合理使用权限变得迫切。

以上问题涉及个人信息合理使用的规范构造,中国学者亦有所研究。江波等[4]认为个人信息合理使用原则作为同意原则的补充,具有正当性基础,应构建风险控制制度对其予以保护。程啸[6]认为个人信息合理使用是对信息主体人格权益的限制,比照著作权的合理使用,前者是一种合法事实行为。但同样是借鉴著作权合理使用制度。卢震豪[7]认为个人信息合理使用是一种免责抗辩事由,其法律适用当满足“开放情形清单+开放评估清单”双重清单模型。张豫辰等[8]认为应当从具体行为出发,基于具体场景,构建包含资讯主体、信息类型和使用原则三要素的合理性法律评价体系。张建文[9]对比司法裁判和法律规范中对信息合理使用行为的不同认定,指出裁判存在扩大解释之嫌。以上研究从规范性质、合理性认定要素、认定方法等不同角度对个人信息合理使用规则作以论述,但对规则性质的认定不甚统一,对合理使用具体情形的司法适用也止于宏观把控。本文从数据社会中信息规制的法理转变入手,厘清个人信息合理使用的法律性质;基于中国司法实践和比较法经验,总结合理使用的认定要素;以实践中纠纷频发的商业化合理使用为例,探寻具体情境下合理性判定的司法适用逻辑,促进信息有效流转、发挥信息财产价值,同时避免该规则成为信息控制主体肆意免责或者形式合规的工具,以期实现个案间信息自主与信息自由之平衡。

二、个人信息合理使用的法律性质

(一)个人信息合理使用规则在中国法律上的探索

各国司法实践表明,个人信息日益从防御性权利向主动性权利演进,从强调伦理尊重向鼓励数据利用演进[10]。比较法个人信息保护规定中对个人信息的合理使用制度均有所涉及(3)欧盟《通用数据保护条例》分别在第6条“处理的合法性”、第9条“特殊类型的个人数据处理”、第23条“限制”对个人信息合理使用的情形作出规定,确定了包括个人同意、合同、法定义务、切身利益、公共利益及合法利益等六种处理数据的法律基础。日本的《个人信息保护法》第16～18条、第28条则分别对可以事先不取得自然人的同意而获取、处理自然人的个人信息的情形,不将个人信息利用目的通知给本人或者予以公布的情形以及即便本人请求要求公开个人信息但个人信息处理者也不应公开的情形等问题作出规定。中国台湾省《个人资料保护法》第6条对特殊的个人资料的收集、处理和利用的例外情形,第9条对收集个人资料而免于告知的情形,第10条对自然人的查询、阅览和复制其个人信息的权利的限制,第16条与第19～20条对公务机关和非公务机关超越个人资料处理目的的收集、处理和利用等情形作出了详细的规定。,各立法例对具体范围的规定有共通性:其一,维护公共利益(4)欧盟的《通用数据保护条例》第23条第1款对公共利益予以详细列举,具体为:“国家安全;防卫;公共安全;刑事犯罪的预防、调查、侦查、起诉或者刑事处罚的执行,包括对公共安全威胁的防范和预防;欧盟或成员国一般公共利益的其他重要目标,特别是欧盟或成员国的重要经济或财政利益,包括货币、预算和税收等事项、公共卫生和社会保障;司法独立与司法程序的保护;违反职业道德规范的预防、调查、侦查和起诉;监督、检查或相关的监管职能等。”;其二,保护民事权益;其三,针对合法公开的个人信息之利用。《民法典》第一千零三十六条规定的个人信息合理使用范围框架与比较法的规定基本一致,属于原则性说明条款。《个人信息保护法》沿袭《民法典》的相关规定,保留了对已公开信息的合理使用规定,且对“维护公共利益和自然人合法权益”作出相对细致的场景规定,包括“合同的缔结履行、劳动雇佣需要、法定职责义务的履行、新闻报道及舆论监督”等情形,五项法定事由将信息处理行为框定于特定范围。但两部法律对合理使用的法律性质认定似乎并不一致。

1.《民法典》中的免责事由论

《民法典》的立法宗旨在于私权保障,因此从信息主体利益保护出发,其确立了以知情同意为正当化构成事由,以合理使用为免责事由的个人信息处理行为法律框架。

《民法典》从三个层面对个人信息的合理使用进行了规范,总则编关于民事行为基本原则、免责事由、权益认定的规定为个人信息处理活动提供原则指引;人格权编在确定了人格权合理使用规则(第九百九十九条)后,于第一千零三十六条对个人信息合理使用行为予以界定;侵权责任编提供了权益侵害后的赔偿救济规则。具体而言,《民法典》第九百九十九条规定了针对公务需要对个人信息未经同意而使用的情形,将基于公共利益的个人信息合理使用行为界定为合法行为。第一千零三十六条未苛求个人信息处理行为的合法性,而在判定行为不法的基础上将“合理使用”作为免责条款使用。第一千零三十六条第一项可解释为“信息主体或其法定代理人的知情同意行为阻却了他人处理个人信息行为的非法性”[11],第二项可解释为他人合理使用已公开的个人信息不承担民事责任,第三项可解释为基于公共利益和信息主体合法利益之保护的个人信息合理处理行为不承担民事责任。具体规则领域的合理使用情形仅限于第二～三项;第一项为知情同意规则的法律效果规定,但与第一千零三十五条第一项的正向规定不同,该项的规范重点在知情同意后的“合理实施处理行为”之上,如在以下情境中:信息主体授权应用程序(App)进行个性化推荐,但App在收集用户搜索习惯后频繁向其投放大量不相关广告的行为,即使事前获得了信息主体的同意,亦属不合理行为,应当承担侵扰信息主体的民事责任,因而第一千零三十六条第一项应当归于知情同意规则。除此,《民法典》第一千零二十、一千零二十三条似乎可归为个人信息合理使用的规范基础,自然人肖像、姓名和声音等属于个人信息毋庸置疑,但因其客体的特殊性另作其他规定,本文不予讨论。

2.《个人信息保护法》中的同意豁免论

《个人信息保护法》以列举形式,于第十三条正向确立了“知情同意+同意豁免”的个人信息处理多元合法性基础。对应《民法典》第一千零三十五条,知情同意原则在《个人信息保护法》中也被定位为个人信息处理的核心规则;而《个人信息保护法》第十三条第一款第二～六项为知情同意原则之外的其他合法性处理事由,是对《民法典》第九百九十九条和一千零三十六条的选择性承袭,本文将其统一概括为“个人信息合理使用”规则。有学者对该条规定梳理后认为,《个人信息保护法》整合了《民法典》关于个人信息处理行为的零散规定,同时将“合理使用”变更为“在合理的范围内处理”,其法律用语之变化意味着《个人信息保护法》对《民法典》“合理使用”概念的不认可[6]。对此本文持不同看法,“合理使用”一词本身包含了“为某种利益保护所必需”和“在合理的范围内处理”两大内涵,《个人信息保护法》在具体情境中作以明确细致的表达,用词变化只是为了解释语词内涵,并非对《民法典》规则的否定。

基于信息处理目的和信息敏感度两个标准,《个人信息保护法》中合理使用的情境包括基于主体合法权益维护目的、商业目的、公益目的(履行法定职责或义务、应对突发公共卫生事件之必要、实施新闻报道或舆论监督等行为)和已合法公开信息的处理行为,其本质是知情同意规则的豁免情形,与后者一并构成中国个人信息处理行为的法定事由。个人信息的合理使用源于对具体情境中某种必要利益的保护,且具体行为需满足合理范围的约束,因而《个人信息保护法》中的合理使用规则可被抽象定义为“基于某种利益保护所生,并在合理范围内处理信息的同意豁免行为”。《个人信息保护法》关于个人信息合理使用的类型划分如图1所示。

图1 《个人信息保护法》关于个人信息合理使用的类型划分

3.司法裁判对合理使用的认可与限制

中国对个人信息合理使用行为的规则探讨开始于商业创新,深入于司法实践。徐某诉芝麻信用管理有限公司隐私权纠纷案(以下简称“芝麻信用案”)(5)参见杭州互联网法院民事判决书(2018)浙0192民初302号。原告徐某通过支付宝客户端开通“芝麻信用”服务,同时签订《芝麻信用服务协议》,原告授权被告可以向合法提供其用户信息的主体采集信息。后原告收到芝麻信用平台发出的执行案件信息,以侵犯隐私权为由起诉。中,法院认为,被告基于双方协议向原告提供“芝麻信用”服务,采集原告系被执行人的信息源于已合法公开的个人信息,同时处理行为止于向原告提供相关信息,属于对个人征信数据的合理化商业使用,不构成侵犯个人隐私权。由此司法上确立了“国家机构依法公开的个人征信数据,可以进行合理化的商业使用”的裁判标准。

在凌某某与微播视界公司隐私权、个人信息权益网络侵权责任纠纷案(以下简称“抖音案”)中(6)参见北京互联网法院(2019)京0491民初6694号民事判决书。原告凌某某在手机通讯录除本人外没有其他联系人的情况下,使用该手机号码注册登录抖音App后,被推荐大量“可能认识的人”,原告认为抖音App非法获取其个人信息,侵害其个人信息权益和隐私权,将抖音App的运营者北京微播视界科技有限公司诉至北京互联网法院。,法院认为,被告未征得原告同意,从其他注册用户的信息库收集并存储了原告个人信息,该行为是否可判定为商业合理化利用应当结合具体应用场景考察:读取和匹配行为满足了其他用户的社交需求且未对原告构成侵扰,无需原告的二次同意,属于个人信息的合理使用;信息匹配工作完成后,可明确得知信息主体非现有用户,此时被告应履行及时删除信息的义务,继续存储行为并非信息的合理使用。由此法院确立了“个人信息的合理使用并不必然排除商业目的之使用,后一处理行为需控制于必要限度”的裁判规则。

在黄某诉腾讯科技(深圳)有限公司广州分公司、腾讯科技(北京)有限公司(以下简称“微信读书案”)(7)参见北京互联网法院(2019)京0491民初16142号民事判决书。黄某认为,微信读书在未经自己有效同意的情况下获取其微信好友关系,为其自动关注微信好友,并向共同使用微信读书的微信好友默认开放其读书信息构成侵权,黄某于2019年将微信读书软件、微信软件的开发及运营者腾讯公司诉至法院。中,法院认定微信读书App收集原告微信好友列表、为用户自动添加关注微信好友、向未关注的微信好友公开用户读书信息等行为未取得信息主体的有效同意,且该类数据迁移活动并不符合一般用户的合理预期,因而构成侵权。但针对腾讯公司成功开发及运营微信所积累的用户关系数据,法院也认为可以在其关联产品中予以合理利用,如该案中涉案App捆绑式授权收集使用原告微信好友列表的行为并不侵权,其旨在利用现有数据库开发或增强产品的社交功能。由此法院确立了“个人信息不排斥商业化的合理使用,但需遵循正当、必要的原则”的审判规则。

以上三项判决均论证于《民法总则》生效之后,《个人信息保护法》颁布之前,判决呈现两个特点。其一,对个人信息的商业处理行为持开放态度,未以个人信息保护之名去妨碍企业的商业模式创新,只是要求企业在运用数据时给予用户更明确的知情及自主选择权。其二,法院将个人信息的合理使用认定为合法行为,并根据《网络安全法》第四十一条的规定,苛以“合法、正当、必要”的限制。这种裁判思路在《个人信息保护法》生效之后依然得以延续,但商业上的个人信息合理使用范围在逐渐收紧。在王某某与腾讯公司个人信息保护纠纷案(以下简称“微视案”)(8)王某首次使用微信账号登录“微视”App,并勾选授权微视App获取其微信好友关系。之后王某卸载App恢复手机出厂设置后再次下载“微视”和微信,并重新以微信账号登录“微视”,在未告知也未获得二次明确授权的情况下,“微视”App默认收集王某的微信个人信息和全部微信好友信息。王某起诉要求腾讯公司删除其在“微视”App中获取的微信地区、性别和好友关系。深圳南山区法院一审驳回诉讼请求;二审法院以腾讯公司二次获取自然人信息不符合正当、必要原则而判定商业主体行为违法,但因王某无法证明“损害”而对其损害赔偿未予支持。中,法院认定互联网平台收集个人信息的类型应与产品或服务的业务功能直接关联,且实现功能的目的与信息收集的范围成合理比例。但与抖音案不同的是,法院不再承认商业主体向关联方共享个人信息的行为属于合理使用行为,在此情境下,信息主体的二次同意是必要的,无论关联方与信息处理者的关系何如。在共享个人信息时,关联方的法律地位与第三方商业主体无异,否则构成对自然人的侵扰。

前述司法探索虽属于一般性判例,不具指导性案例和示范性案例的约束引导性,但其间凝结的司法经验可构成审判的智识性法源,亦对相关法律规则的解释有所延展。中国司法实践未对个人信息以绝对化保护。前述芝麻信用案中对公开信息的商业使用行为,抖音案中商业主体在不侵扰信息主体的情境下读取匹配个人信息的行为,微信读书案中商业主体对已掌握数据在关联产品中的合理商用行为等,在司法裁判中均未被认定为侵权行为。相反,司法基于信息产业发展的需要,认定某些未经信息主体同意的个人信息使用行为,只要满足正当、必要的处理原则,且未造成不合理的损害,即为个人信息的合理使用。这与《民法典》将个人信息合理使用行为归于免责事由的规定并不一致。随后颁布的《个人信息保护法》也基于数据利用的考量,明确列举了除同意外的六项个人信息处理的法律基础,基于处理行为的必需性和合理性两大需求而生。但看似逐步宽松的规范并没有在实践中起到正向引导之效。相反地,微视案裁判相较抖音案而言,加强了信息主体对个人信息的控制权限:二审法院确认了二次同意的必要性,即使信息主体曾在同一场域内许可第三方主体收集相关信息。

《个人信息保护法》吸收了司法经验,又将《民法典》的零散规定予以系统梳理,但法律用词的变更和所产生的实践效果依然值得追问:数字虚拟映像背景下的个人信息合理使用行为的法律性质何如,《民法典》和《个人信息保护法》的规定是否果然不同。这一问题的答案关乎法院是否存有主动适用该规则的职权,亦对最终的侵权判定有所影响。规则的性质认定可从个人信息处理行为的规制法理谈起。

(二)数据共享理路下个人信息合理使用的规则定位

法学上的合理使用制度源于著作权法,指非著作权人未经权利人许可,在法定情形下免费使用作品的行为[12]75。权利人让渡部分使用价值以保障公众对作品的必要接触,从而促进表达自由,该制度可视为著作权人利益与公共利益的调节器[13]124。个人信息合理使用制度与之类似,源于对数字经济时代信息自主利益与信息流通价值的平衡。个人信息与著作权的性质不同,因而具体可使用情形不可直接类推适用,但由于二者内核都由人身利益和财产利益复合而成,两种场景中的合理使用皆指向财产利益[5],且存在“对权利人利益之必要限制”的类似制度目的,因而可借鉴已经相对完善的著作权合理使用规则,同时结合数字社会的信息规制法理对中国个人信息合理使用规则性质进行解释。

1.规制理念的应然转向:从自主分配到有序共享

数字经济时代,如何平衡个人自主控制权益与信息的自由流通成为法律必须回答的时代命题。无论是探讨数据权益配置与个人信息构造的权利规制进路[14],还是借鉴美国和欧盟的立法规范引入“场景”与“风险管理”理念的行为规制进路[15],抑或从法经济学角度回应数据资源有效配置需求的激励相容机制,再或基于“卡—梅框架”重构的用以分析数据法益配置的“规则菜单”模式[16],皆同意数据应用与信息保护的表里关系,且在以下几个方面达成一致。其一,规则探讨一般从个人信息处理中“告知同意”的适用边界出发,旨在寻找数据法益在其生产者与处理者间的最优配置规则。其二,各模式都强调法律应重点规制信息的“不合理使用”行为以实现动态风险控制。其三,法律规制要兼顾数据利用激励和信息保护激励,以避免信息资源的浪费,同时减轻企业的合规风险。这种基于信息当属自我控制抑或社会控制的学术反思,体现出大数据时代信息行为规制理论的逻辑转向,即从信息自主支配逐步迈向有序分享阶段。

第一,个人信息产生于社会交往,同样也在社会交往中获得价值,过分关注个人利益而忽视公共利益及其他主体潜在利益的保护势必引发利益失衡。例如,公共空间大规模监控虽然存在侵害个人隐私信息的可能,但作为社会治理的必要手段,需要考虑由个人让渡出该部分权益。第二,大数据正外部性日益凸显,数据共享已成时代趋势,有序分享的个人信息治理机制应当随大数据技术的进步而逐步完善。个人信息处理的经济价值与信息安全隐忧交互影响,数据生态系统在野蛮生长时期无法避免地存在着数据滥用、垄断、歧视等不当行为,但这并不足以支持个人信息由信息主体自主支配的观点。共享经济是互联网时代的新经济形态,其本质在于提高闲置资源或过剩产能的使用率[17],个人信息作为有望转化为实物财产的重要资源,自然期望得到最优配置。坚持个人信息完全被个体控制意味着信息分享的路径被截断,由此产生大量的资源浪费,甚至可能引发对数据处理不当行为的反向激励。正如学者所言,隐私保护需要群体协调,个人主义的隐私保护的结果是无隐私[18]。第三,信息的流通性决定了个人信息保护规则具有国际化性质,类似的行为规范在一定程度上可降低交易成本,为此中国个人信息行为规制可借鉴国际普遍规则。目前,个人信息处理常以对价化交易模式呈现,以主体自决(控制)为核心,各国赋予信息主体不同的行权模式。信息主体可设权让与个人信息法益,可设立债权性许可使用合同,可拥有随时撤回同意的权利,亦可在拥有选择退出权的基础上默示同意信息使用行为,四类行权模式对主体自决范围的认可逐渐缩小,德国有学者将这种对主体拘束强度的逐渐递减称为许可的阶梯性[19],同样也体现出信息从个人控制向有序分享的转变。

数据流通构成数据经济的内核,数据共享是指数据生成或生产出来之后从数据控制者到数据使用者之间的流动,根据控制者的不同,可将其分为原始数据分享(将个人信息中的财产价值授权许可给他人使用以换取相应的服务)和二次数据分享(如数据加工、整合机构的分享)。有学者认为其不包括数据从信息主体处分离(或生成)的过程[20],这是因为目前中国的数据共享限于公共数据,且以无偿方式进行,典型模式如各地由政府牵头试点的公共数据开放创新基地,通过特定方式向智能企业有条件开放医保、司法、交通等领域的特殊公共数据,为下游企业开发产品、创新应用提供无偿和精准的数据供给(9)此模式源自中国信息通信研究院和重庆市大数据应用发展管理局联合编写的《数字规则蓝皮报告(2021年)》一文对目前中国政务数据和公共数据的共享模式的说明。。但避险心理无法掩盖个人信息的资产属性,也无法阻止其作为原始资料流入交易市场,与其明令禁止,不若引入“数据合同(尤其是数据提供合同)”这类特殊契约以限制信息处理者的权限,在做好脱敏、商品化改造并保障信息安全后,对个人信息进行必要化分享。当然,由于数据存在固有的或经深度标记处理后形成的经济价值,分享并不必然无偿。

2.共享理念下个人信息合理使用的性质重解

大数据时代由信息主体完全控制个人信息的流通与使用并不现实,法律规范若仅考虑信息主体的人格权益,设置知情同意为全情境下个人信息处理的必要条件,不仅违背目前市场秩序,且会带来与保护目的相背的后果。因此,知情同意不是且不应成为个人信息处理的唯一合法性基础,明确个人信息的双重权利属性,基于价值衡量建立多元的合法性基础才符合大数据时代的信息流动诉求。《民法典》基于此思路,确立知情同意规则作为个人信息处理行为的正当基础后,也通过合理使用制度打开了信息流通的法律阀门。《民法典》在措辞上使用“不承担民事责任”的表达,似乎将合理使用作为免责事由而非正当化基础予以规制。而《个人信息保护法》和基于实践所作的司法判决均将个人信息的合理使用行为定性为正当化事由。条款的性质解释可从基础理念和实践需求两个角度出发。

(1)合理使用是个人信息的一项基本权能。目前,国内学者对信息合理使用的性质探讨有免责抗辩说和民事权益限制论两种不同意见。有学者比照著作权合理使用规则,从《民法典》的术语表达出发,作出“个人信息合理使用是对侵权责任的免责抗辩”的法教义学解释,其抗辩对象为《民法典》第一千零三十五条规定的“未经信息主体同意”“非公开处理”“非明示处理”“非法或违约处理”四种情形[3]。这种说法显然顺延了《民法典》的立法思路,以信息自决权为核心的个人信息权利束必然要求人格权益的高位阶保护,合理使用作为知情同意规则的补充,定性为免责事由也符合逻辑。但“免责事由说”建立在某种隐忧之上,认为个人信息处理的底层逻辑是信息控制理论,在强大的商业模式及公权力笼罩下,个人信息的人格权益保护是更高阶利益,个人信息处理行为的合法性基础要从信息主体出发予以探寻。因此,原则上个人信息只能经信息主体有效同意后方可进入信息市场,并按主体的同意范围予以恰当使用。信息处理主体作为相对方,未经同意使用信息的行为属于不法,合理使用只能作为免责事由存在,其无法构成正当化事由。与此相对,也有学者基于数据利用的现实需要,认为个人信息合理使用的理论基础在于民事权益限制论,合理使用作为对知情同意原则的突破,其合法性并非基于自然人行使个人信息权益的意思表示或者处理者与自然人之间达成的合意而实施的行为,而是法律基于公共利益或其他可期待利益对人格权益(更具体而言是信息自决权)而非财产利益的限制,是一种合法事实行为,其法律效果在于免除责任[2]。但该说亦存有缺陷。其一,未能释明权益受限的缘由。共享经济模式下,个人信息的人格和财产权益的价值位阶并非必然确定,商业主体对数据的第二次赋值所创生的经济价值与信息主体的人格利益间已然缺少直接关联,因而不能笼统得出个人信息上的人格权益与财产价值孰高孰低的结论。其二,当信息主体故意阻止合理使用行为时(10)如疫情防控期间信息主体阻止公权力机构对个人身份、行程等隐私信息的必要收集,或拒绝上报个人信息等。,权益受限说不能为合理使用人提供相应救济。总体言之,“免责事由说”和“权益受限说”仅基于信息主体立场考量合理使用的法律属性,个人信息处理行为涉及多方主体,对信息主体而言,似乎为权益的限制,但对合理使用者来说却是某种法定自由。

共享经济下商业流通或国家(公益)管理中的个人信息之财产价值更多地掌握在信息控制者一方,信息的社会属性及其上附着的巨大财产价值压缩了信息主体的自决权限,也促成了信息产业的发展,商业主体及公权力机构某些必要的处理行为要获得信息主体一般性的事前同意并不现实。首先,比照著作权合理使用的性质,可将个人信息合理使用界定为一项基于公共需要的使用权能,以打破信息主体对信息的制度垄断格局,发挥信息的最大功效。此时,合理使用规则能赋予信息控制者最大化创造价值的制度激励。其次,有序分享理念要求资源的最大化利用,信息控制者在不侵扰自然人的前提下对信息进行处理是资源的正当化利用。同时,合理使用过程中产生的财产利益并非完全由信息控制者一方享有,信息主体往往以自身安全保障、服务对价交易、社会福利等形式间接享有,也即个人信息财产属性的发挥也促进了人格权益的积极拓展。最后,信息产业通常存在两个层面的使用行为。其一为一手信息的直接利用行为,通常需要经自然人或法定代理人知情同意后方得使用,是知情同意规则之适用辖区。其二为数据整合后的使用行为,此时的信息普遍已经过脱敏处理,可识别性大大降低,对自然人的侵扰程度减弱,属于商业资源的有效使用。因而,将合理使用规则视为知情同意之外的另一个正当化事由更为妥当。可以说,个人信息的合理使用规则是信息有序分享理念下恰当的法律表达,是个人信息的一项基本权能,其既包括基于公益目的的使用行为,也不排除为创造更大价值的商业利用行为。

(2)合理使用权能归属于信息处理者。芝麻信用案中,原告诉称被告采集个人征信数据未经本人同意且无征信业务许可证明,被告抗辩其向原告提供信息服务的行为已获得对方授权,且获取征信信息的途径合法,不存在侵犯隐私权行为,案情争议焦点在于原告是否就已公开的个人征信数据存在隐私期待、被告是否获得原告的有效同意。双方论辩并未提及信息合理使用问题,但法院在裁判中认定“仅向原告本人提供信息的行为属于个人征信数据的合理化商业使用”,可见是法院主动援引合理使用规则,裁判思路更倾向于将“合理使用”视为信息使用者的一项权益,属于正当化事由。抖音案与微信读书案亦存在类似裁判思路。微视案对合理使用的情形进一步限定,但未否定商业主体的使用利益。可见,考虑到私人权益保护、数据自由流通、公共利益保障等多维度需要,司法在个人信息处理行为的合法性认定中,并未局限于个人同意,而将合理限度内的商业利用行为也纳入其中。实则该做法也契合《个人信息保护法》的立法目的。

个人信息使用要在数据有序共享的逻辑下进行,法律规范的目的并非维持个人的积极控制权,而是预防侵害个人的不利后果。将信息的合理使用定性为个人信息的一项权能,利于有效推动信息产业的发展,弥补严苛的知情同意规则可能引发的信息使用负外部性后果。故而虽然《民法典》和《个人信息保护法》关于个人信息合理使用规则的法律表达并不一致,但仅为两法立法目的不同所致,基于信息处理者立场,与知情同意类似,合理使用属于个人信息的一项权能,关乎规则性质两法皆可作正当化事由之解释。

3.信息有序分享的实现方式

作为拥有双重法律属性的人格权益,个人信息具有固有人格和天然财产两方价值[21]。虽然本质归属人格权益,但不同于德国人格权中“财产利益难以脱离权利主体,不具可转让性”的一元保护模式[22],想要解决个人信息财产价值流转的现实难题,必须接受个人信息财产利益能够脱离人格权本身,能够被许可让予的论断。基于此,个人信息有序分享的本质是信息的许可使用,数据分享理念下个人信息应当具备合理使用的权能,具体情境中的使用亦成为数据共享的实现方式。

个人信息归属于信息主体,这是基于人格固有属性的必然选择,但这并不意味着基于信息的所有权益都得排他性使用。附着于个人信息的人格权益当然不得作商业利用,但对于其中的财产利益,自然人得以授权许可的方式将原始信息控制权进行移转,主要基于法定义务履行、信息主体自身权益的必要保护而产生,如图2所示。但同时处理者也需要保障个人的获取、退出、更正、删除等权能[23]。而对于经加工、整合形成的二次数据,应当向处理者颁发数据许可证或者数据牌照,以资质许可方式对个人信息的安全忧患予以平衡。二次数据的合理使用常表现为基于商业目的和公共利益的处理行为,信息处理者也可不经过授权直接对信息予以处理,同时对信息主体的知情同意权能予以事后保障。

图2 信息有序分享的实现与合理使用路径

三、个人信息合理使用的认定要素

个人信息合理使用是在多方利益博弈下的制度选择,体现为比例原则的私法适用。“只有当维护更高的利益更为必要时,个人自由及其私法自治才能受到干预,且此种干预既适于实现预期目标,也是实现该目的最缓和的方式。”[24]这与著作权合理使用制度的规范目的相一致,因而可借鉴目前国际通用的关于著作权合理使用的判断标准对前者的规范要件予以阐述。比较法上,著作权合理使用的判断一般存在两套规则。一指国际条约所规定的“三步检验标准”(three-step test):必须限于某种特殊情况;不得与受保护的作品或者版权持有人的正常利用相抵触;不得损害作者的合法利益(11)《伯尔尼公约》第9条第2款规定:本联盟成员国法律得允许在某些特殊情况下复制上述作品,只要这种复制不损害作品的正常使用也不致无故侵害作者的合法权益。《与贸易有关的知识产权协议》第13条规定:各成员应当将对各种排他权的限制或例外局限于某些特殊情形,而且这些情形与作品的正常利用不相冲突,不会不合理地损害权利持有人的合法利益。《世界知识产权组织版权条约》第10条规定:(1)缔约各方在某些不与作品的正常使用相抵触也不无理由地损害作者合法利益的特殊情况下,可在其国内立法中对依本条约授予文学和艺术作品作者的权利规定限制或例外;(2)缔约各方在适用《伯尔尼公约》时,应将对该公约所规定权利的任何限制或例外限于某些不与作品的正常利用相抵触、也不无理由地损害作者合法利益的特殊情况。。二指《美国版权法》第107条所列举的考察合理使用的四大要素:使用目的和性质,被使用作品的性质,作品被使用部分的数量、内容及其与原作整体的关系,使用行为对作品市场价值的影响程度[25]。结合中国司法实践,个人信息合理使用作为一项权能,其行使应当遵循合理目的、合理方式、未造成不合理侵害三大要素约束。

(一)合理目的

《个人信息保护法》第六条所确立的目的限制原则即是对个人信息合理使用目的的要求。其有三项要点:处理个人信息应当具有明确、合理的目的,应当与处理目的直接相关,采取对个人权益影响最小的方式。

首先,根据是否存在主体同意授权,“明确合理目的”的适用划分为两大场域。其一属于《民法典》第一千零三十六条第一项及《个人信息保护法》第十三条第一项所列情形,信息处理者在使用信息前,应当以符合法律规定的方式告知信息主体“处理目的”[26]。这与信息主体的知情同意权能直接相关,属于广义的合理使用范畴,当遵循知情同意规则之约束,本文不做过多探讨。其二属于未经个人同意情形下的“明确合理目的”。数据是数字经济时代重要的生产要素,信息是数据产业的基础,因而正如上文提及的微信读书案中法官的论述,若要求在任何使用情境中都严格征得信息主体同意,很可能导致具体场景下利益的失衡,甚至阻碍信息产业的健康发展。因此,需要在“存在正当商业或公共目的、新闻监督、维护信息主体合法权益”等具体场景中对“未征得同意”的信息处理行为进行情景考察,提取出具体明确的使用目的,并分析行为的合理性。

第一,基于公共目的的使用行为应当警惕对公共利益的泛化解释。如公检法机关在犯罪侦查及司法审判中收集比对个人生物信息、财产数据的行为,政府机关在公共场所安装图像采集、个人身份识别设备以保障社会安全的行为,用人单位或社区出于疫情防控需要向上报备感染者信息的行为等皆存在明确的目的,属于合理使用范畴。第二,基于信息主体合法权益维护的处理行为需在合同利益维护或紧急情状下开展。当事人为订约、履约之需要而处理个人信息的,应当受合同目的的约束;劳动雇佣场景中处理个人信息的,应当受劳动规章制度和集体合同的约束。在处理非敏感信息时不必征得雇员同意,但在一定规模企业中可通过民主程序设置隐私政策并公示以确保对雇员知情权的保障[27],避免资本力量下合理使用规则的泛化对告知同意规则的排斥。第三,已合法公开信息的处理行为应防止恶意获取信息进行盈利的活动。信息处理者对公开信息整合脱敏构建数据库的行为属于对社会资源的利用,这一处理行为虽然超越了信息初始使用的目的,但并未损害他人合法权益,公开信息的处理活动真正需要警惕的是恶意使用行为。

其次,“与处理目的直接相关”意味着处理者的个人信息使用行为应当限定于处理目的之内,或至少与核心目的存在极大关联。此规则用于限制信息的过度收集等行为,如超越用户协议的使用、超出产品基本功能性目的之使用等。抖音案中,被告读取用户通讯录的行为并不超出其社交功能目的,在不侵扰用户的情形下属于正当商业使用行为,但整合匹配后能发现原告不存在基于涉案软件的社交需求,此时应当及时删除存储信息,继续存储甚至使用都因超过必要限度而被认定为侵权。《个人信息保护法》第五十八条对“守门人条款”的完善也是基于数据处理当符合必要目的之考虑。除此,倘若实践中某些信息处理行为的缺位会直接导致处理目的无法实现,包括整体无法实现和核心目的无法实现,则该类个人信息处理行为属于合理使用范畴。

最后,“采取对个人权益影响最小的方式”可解释为比例原则中的“最小损害原则”。这也是数据分级处理的必然要求,强调基于后果对信息处理行为予以合法判定。由于不同个人信息与信息主体的关联度不同,信息使用造成的损害后果亦有所区别,故信息处理者应当针对不同类型信息建立差别化技术处理原则。针对符合社会一般合理认知下共识的私密信息,如自然人隐私类数据、未成年人的信息、企业清算破产等重大负面信用信息,要强化防御保护,除非已公开、已去标识化处理或获得主体有效同意,否则不得处理;面对非敏感信息,允许信息处理者通过事后救济方式进行纠正,如赋予信息主体选择退出权。面对附有积极利用期待的个人信息,如已脱敏、已公开信息等,其整合应用等行为是否合理需结合处理场景、方式、后果等进行一般合理认知的评估。另外要强调的是,根据实证分析,“财务数据不在多数国家和地区的敏感数据之列,但现实中被侵犯的风险最高;健康数据在理论上被普遍视为敏感数据,但在现实中被盗取、泄露的概率却较低”[28]。这种理论与现实之间的悖论证实了除了在场景中讨论个人信息的层级,对信息不当处理后果的考量是必要的。

(二)合理方式

根据是否存在约定,合理使用方式分为三大类型。一是基于用户协议的约定方式,一般情形下个人数据的处理需要经过信息主体的告知同意,此时使用者当明确处理方式,不得从事超出协议范围的行为。二是基于法律规定的处理方式,如目前中国对于个人征信信息的收集和处理,需满足依法持牌要求。但现实中中国个人征信市场仅有中国人民银行征信中心、百行征信有限公司及朴道征信有限公司三个合法经营主体,市场需求呼吁着保护个人隐私的同时,尽量破除信息壁垒和信息孤岛,故而合法经营主体的构建亦是时代所需。三是基于行业惯习的处理行为。实践指引规则是个人信息保护规范构建时必须承认的事实,在缺少法律规制的领域内,信息处理行为需遵守行业惯习或类似规则的约束。如大数据产业的信息使用行为判定可参考著作权等相关规定。再如杨某诉某网络有限公司人格权纠纷案(12)杭州互联网法院.民法典时代将至,全国首份网络人格权司法审理报告在杭发布[EB/OL].(2020-05-22)[2022-10-11].https://mp.weixin.qq.com/s?__biz=MzA3MjQxNzQ2Mw==&mid=26495382-62&idx=1&sn=2503bfc9191f33897b44ae03b5891864&chksm=870-6b70eb0713e18201c39d7721eda1eae57207b23b30498288a3b67ca4cb4cb-990e1884c136&scene=4#wechat_redirect.中,原告作为邮箱用户在半年内收到多封不可退订的电子邮件,故以生活安宁受到侵扰为由提起诉讼,被告辩称案涉邮箱系免费提供,用户以接受广告发布为对价,邮箱提供者通过广告获得盈利是业界普遍经营模式,能达到双赢之效,何况邮箱的服务条款明确约定了商业性广告的存在。此案最终和解撤诉,但双方对阵中明显可见商业惯习对行为的约束效果。

(三)未造成不合理的权益侵害

《个人信息保护法》考虑到信息侵权领域信息主体面临的举证困境,于第六十九条确立了推定过错的损害赔偿责任,但这并不意味着无过错的信息处理行为即属于信息的合理使用。判定处理行为的合理性,除却合理目的和合理方式外,未造成不合理的权益侵害亦是要素之一。以新冠病毒感染疫情防控为例,紧急状态下对私人利益的保护要让位于公共健康保障,大数据有效助力疫情防控,但不必要信息的收集、敏感信息的泄露也引发系列诸如疫区歧视、网络暴力的形成、个人数据不符合常规要求(行程码带星号)导致行动受限等损害的发生。行政执法过程中公共卫生利益的泛化解释使得个人走向透明化和客体化。为此需强化信息保护机制,根据信息的私隐程度,予以不同程度的脱敏匿名化处理,以确保数据安全。而在商业化的信息处理中,常存在网络经营者对海量互联网信息进行搜索、存储、归目等技术处理以构建自己数据库的情形。如果行为人遵循合理目的及方式对信息加以处理,则不应对其苛以实质性的事先审查义务,一旦信息主体行使通知删除权限,经营者则需尽到合理审查义务并采取必要的审查删除、加强防护等措施,否则即构成对信息主体的权益侵害,经营者的继续存储行为也就被排除于合理使用之外(13)参见北京互联网法院(2019)京0491民初10989号民事判决书。。

抖音案中法院以“未对信息主体造成不合理损害”作为标准之一来界定处理行为的合理性是这一要件在实践中的经典运用。但需要说明的是,此案中裁判冠以“不合理损害”之名,虽裁判结果合理,然说理混淆了“权益受侵害”和“损害”两个概念,增加了裁判难度。现实中单纯的信息收集行为本身很难证明有何损害后果,但经用户通知后拒不删除的行为确然是对权益的侵害,不能认定为合理使用。这一情形频发于公开信息的处理行为中,公开的个人信息已脱离私人领域进入社会信息池,不管信息主体承认与否,公开的个人信息对自然人的某方面人格刻画已然完成,该情形下对信息的非恶意处理通常不会产生侵扰效果。但倘若该自然人明确拒绝外界对该类信息的处理,其拒绝行为属于意思撤回,应当予以保护。除此,即使信息主体并未拒绝公开信息的后续处理,处理行为也以不侵害主体权益为前提,同时对个人权益有重大影响的信息处理行为依然需要获得个人同意,以防信息主体的不当公开行为所引发的后续损害,具体可体现为数据歧视、数据错误使用的不法性认定等。

“未造成不合理的权益侵害”这一要件,与著作权合理使用判定中三步检验法下“不得损害作者的合法利益”要件和四要素中“潜在市场损害的排除”要件一致,也符合《民法典》第一百三十二条所列权利禁止滥用的规范要求,同时还避免了个人信息损害因具有无形性、潜伏性、未知性、难以评估等特征所导致的损害认定障碍[29],应当成为个人信息合理使用的第三个规范要件。

综上,个人信息合理使用规则可解释为,信息处理行为应在规范目的框架内,行为的实施未超过为实现该目的所采取的最缓和方式,一般表现为基于合理商业目的行为、公共利益考量、新闻监督需要、个人合法权益维护、已公开信息的使用等情形。对“合理性”的司法判定应基于法律法规要求、行业实践必要、与信息主体的约定之上,同时应综合考虑具体情境中的处理行为是否对私主体权益造成或可能造成侵害,以及处理行为是否超过私主体的合理预见范围。

四、个人信息合理使用的具体情境判断——以商业化处理为例

合理目的、合理方式、未侵害信息主体权益共同构成信息合理使用规则的认定要素,确定了使用行为的内在正当性,但抛却具体情境谈“合理”的做法毕竟过于抽象,实践尚需基于具体情境的合理性判定规则。鉴于目前商业用途的信息处理是理论争议繁多且实践纠纷频发的场景,本文选取该情境对合理性判断规则予以说明。基于商业目的的合理使用行为面临行为正当性责问、行为限制和行为合理性认定三大难题。

(一)基于商业用途的合理使用行为之正当性证成

合理使用的本旨是基于公共利益之维护而对权利人权利行使的限制[10]。然随着中国数字化转型进程的深入,个人信息的合理使用从公共目的的桎梏中挣脱,逐渐向商业用途扩张。基于后一目的的信息使用行为有着经济效益和制度演变两个层面的正当性基础。

第一,商业主体因对信息的财产权益有价值加成而当合理使用个人信息。数据的加工和集合可将低价值密度的信息转化为高商业价值的产品,数据生产源的各主体对最终数字产品均有相当的贡献比,原本的个人信息在使用中被赋予新的价值与功能,从而激发出司法从效益角度对信息合理使用行为的验证。如微信读书案,法院对于被告在不违反法律法规、不侵害用户合法权益下,在关联产品中合理利用开发已积累的用户数据之行为表示认可。法律规制不应囿于某一主体的权益保护而彻底否认已存在并且有巨大发展潜力的经济模式,中国司法实践已有所尝试,但稍显遗憾的是,此种商业化利用的扩张趋势似乎在最近的判决中有所收敛(14)如上文提及的微视案中,一审法院对商业化的合理使用持肯定态度,但二审法院推翻此种论述,要求商业主体在第二次获取自然人信息时依然要征得当事人同意,即便获取信息范围与第一次无异。,实则数据分析和信息交换是数字商业发展的基础,过于严格的同意规则只能导致具体场景中的利益失衡,不利于提高数字产业的经济效益和创新水准。

第二,商业主体的信息合理使用行为有着制度空间。对商业主体的使用行为予以规制的目的在于防止信息滥用对自然人的人格侵损。因存在隐私泄露隐患,商业主体在提供服务过程中积累的个人信息是否可以另作他用,法律并无明确规定,但《民法典》第一千零三十六条调整的私法主体并未排除“营利法人”或“商事主体”,且第二项中处理行为之目的也未排除基于“商业目的”的使用。《个人信息保护法》第二十四条第二款“通过自动化决策方式向个人进行信息推送、商业营销”的规定,亦可推导出立法对合法商业使用行为的包容。但“同时提供拒绝方式”的法律表达也意味着,基于商业目的的合理使用范围在司法实践中应当作限缩解释,在不排斥积极利用的情况下,商业使用需要提供便捷的拒绝渠道,以消除可能对信息主体带来的权益损害,这也是“合理方式”这一要件的具体体现。事实上,法律规范的暧昧态度在司法探索中已有明朗趋势,“正当商业目的”的信息处理行为见于微信读书案法院的论述。对于互联网平台通过长期运营积累的数据资源,平台自然是可以在一定的限度内进行商业利用,而且即使是跨平台的数据使用,也不应被当然禁止。跨软件的数据使用应当根据具体场景,综合考虑软件之间的关系、数据使用的特点、数据的处理方式、获得用户知情同意的方式等进行综合评判。抖音案中,被告作为营利法人商业主体,其所运营抖音平台是以营利为目的的互联网平台,因此被告使用个人信息为“商业目的之使用”,法院考察具体场景,认为读取匹配通讯录行为本身具有正当目的且未造成不合理侵害,同时不属于私隐信息的利用,属于合理使用。但匹配之后处理者应当发现所收集信息系信息主体未主动公开之列,继续处理(如储存、精准推送等行为)已超过合理商用的必要限度,不再属于合理使用行为。由此可见,个人信息合理使用规则在商业目的方面的扩张已成事实。

(二)个人信息商业化合理使用的限制

虽然实践对利用个人信息扩大商业利益的行为持包容态度,但限于个人信息“人格属性”的法理桎梏,法律规制对其使用目的从公益追求到商业化利益追逐的扩张虽有必要但须进行严格限制。具体表现为商业化合理使用的个人信息原则上应当具备低敏感度,商家需要承担披露管理义务两个方面。

1.个人信息的低敏属性

考虑到个人信息人格依附特征,需要严格限制未经加工脱敏的个人信息进入数据市场,同时开放对二次数据的商业处理市场。根据目前中国数据市场的交易模式,基于商业目的的合理使用行为可分为三类,对应的个人信息自身须具备或经过处理后具备低敏感属性。其一,基于最小损害原则对原始数据的收集使用。个体为获取便捷网络服务而对个人信息自主披露,若商业主体的处理行为超过自然人的许可范围,此时的个人信息被赋予对价属性,信息主体通过交付自身数据作为接受服务的对待给付[30]。此时处理行为需要被限制在实现“基本功能服务”通常“必要的信息范围”内,且收集到的个人信息应当不属于个人私密信息。如搜索引擎爬虫爬取数据、互联网企业收集用户信息以优化服务等是行业惯例,该类行为并不当然触及信息主体的人格利益,因而法律应予以包容。其二,企业对原始数据分类整合,针对具体应用场景就单一类型数据进行深度价值提升。如数据堂采集客户的语音数据,并进行加工标注形成语音数据源或数据库。被加工后的数据不再具备隐私属性。其三,引入外部数据支撑企业主体业务的使用行为。如科大讯飞购买数据堂的数据资源借以提升自身产品质量等。三类处理行为对信息主体的人格权益影响度逐次降低,第一类行为需要双方在数据处理合同中明确标注目的、方式、应用场景,处理者应在最小损害原则下合理使用此类信息,同时提供易于操作的退出选项。其他两类行为因无隐私侵扰隐患而豁免个人同意,且因数据背后巨大的价值链条而当赋予处理者充足的商业实践空间。

2.商家多层次的披露和管理义务

针对不同类型的处理行为,商家有着不同程度的披露和安全管理义务。

第一,对原始数据的处理。商家应当披露其处理的信息范围、时间和手段等,并以显著标识方式告知以信息让渡为对价来换取服务的信息主体。但当原始数据具备低敏属性(如属于匿名信息)时,商家以“默示同意”方式取得授权,无需承担更进一步的“征得直接同意”义务。如在朱某诉百度公司隐私权纠纷案中(15)原告朱某使用被告浏览器搜索“减肥”等关键词,被告使用Cookie技术留存原告搜索的关键词后,向原告精准推送“减肥”相关广告信息。原告以被告侵犯其隐私权为由,向一审法院请求被告停止侵权,承担精神损害赔偿、取证公证费用等。一审法院判决被告停止侵权,支付公证费用,但未支持精神损害赔偿请求,参见南京市鼓楼区人民法院(2013)鼓民初字第3031号民事判决书。后被告上诉至二审法院,请求撤销一审判决,驳回原告一审请求。二审支持了上诉人请求,认为其不构成侵权,参见南京市中级人民法院(2014)宁民终字第5028号民事判决书。,一审法院认为保障用户知情权和选择权,商家需要承担严格的说明提醒义务,被告默示同意的实践操作并未履行规范的告知义务。二审推翻这一结论,认为被告没有且无必要将搜索记录和原告身份联系起来,未对原告权益造成侵害,因而认可了商家处理行为的合法性。由于这一层级的信息隐私属性最强,商家应当承担极严格的数据安全保障义务,根据信息类型制定不同的管理和技术防护措施,并向公众披露其信息安保框架。

第二,对原始数据的分类整合行为。整合行为会将信息的人格属性剥离出去,从而形成可流通的蕴含极大商业价值的数据。该种处理行为建立在第一类行为之上,促进了信息产业发展的同时也带来了极大的规范隐患,商家若不履行严格披露义务,容易导致意想不到的严重后果,如房产中介人员非法交易业主房源信息牟利最终导致租客被骗(16)参见最高人民检察院第三十四批指导性案例第140号,柯某侵犯公民个人信息案。,犯罪分子利用软件推送的信息对多名儿童实施猥亵等行为时有发生(17)参见最高人民检察院第三十五批指导性案例第141号,北京某公司侵犯儿童个人信息权益行政公益诉讼案。该案中,某App根据算法向特定用户推送有关儿童内容视频,且对后者提供了儿童账号联系、获取他人地理位置和面部特征等隐私信息的途径,徐某收到该App后台推送后,通过私信功能联系多名儿童,并对其中3名儿童实施猥亵行为。。此类行为中,商家的义务侧重于信息脱敏和安全储存。其应当在用户协议中注明所收集数据的后续基本处理流程,承诺其对信息的脱敏义务,并标注明确的退出途径。另外需要及时删改可疑数据,并对采集的数据进行技术加密。

第三,商业主体间的信息共享行为。商家应当在共享协议中对信息处理范围、用途等作出详细约定,且将相关内容通过用户协议披露给信息主体,同时提供便捷的退出渠道。实践中第三方通过OpenAPI获取用户信息时应遵守“用户授权+平台授权+用户授权”规则(18)参见腾讯诉微视等不正当竞争案,天津市滨海新区人民法院(2019)津0116民初2091号民事裁定书。,信息处理过程中信息供给商应当向用户披露信息流通模式,第三方需要向公众披露信息源,以便保护并平衡用户的隐私需求、信息获取方的财产投入和信息使用者的自由竞争等三方利益。如在汉涛公司诉百度等不正当竞争纠纷案(19)参见上海知识产权法院(2016)沪73民终242号民事判决书。中,百度公司利用“垂直搜索”技术收集整理了大众点评网上商户评论信息,虽丰富了消费者选择,但大量使用信息且未标注数据源的行为引流了大众点评网的客户,对原告商业利益造成了损害,属于不正当使用整合数据的行为。

(三)商业化使用中“合理性”的认定步骤

目前实践中存在行为性质和信息属性两大评判标准,在具体处理场景中法官通常将二者相结合,在认定被使用对象为个人信息后,考虑行为是否超出必要目的和限度、是否对信息主体造成权益侵害,从而实现信息的差别化保护。这两大评判标准值得借鉴,但认定步骤应当予以调整。一则大数据时代几乎所有信息皆可经过技术解密达到识别到个人的可能,法律保护应当更强调处理者的行为而非信息本身;二则信息敏感度与处理行为的限度有关,而与行为性质本身无关。因而,商业化使用场景下的合理性应以行为性质为主,信息属性为辅。

第一,从具体行为性质出发,考虑使用行为对信息潜在市场或价值的影响,同时避免对信息主体权益的侵害。如淘宝诉安徽某信息科技公司不正当竞争纠纷案(20)原告开发运营一款名为“生意参谋”的电子商务数据产品,该产品主要为淘宝、天猫店铺运营提供数据化参考服务,帮助经营者提高经营水平。被告开发运营“某互助平台”软件和“某生意参谋众筹”网站,吸引已订购“生意参谋”产品的淘宝公司用户下载“某互助平台”软件,通过该软件分享、共用子账户,以此获得佣金。被告通过提供远程登录服务的方式,招揽、组织、帮助他人获取“生意参谋”数据产品中的数据内容,并从中获益。中,法院基于对信息潜在商业价值的考量,对原告的信息整合加工行为予以肯定。法院认为,网络服务提供者对其合法控制的大数据经分析脱敏后形成的具有商业价值的数据产品,享有竞争性的财产权益。这一判决划定了商业主体合理使用个人信息的范围:除却经信息主体有效同意外,还可将其合理控制的数据予以脱敏处理构建自己的信息产品,这与著作权中法院评判是否构成合理使用时会重点关注受版权保护资料的使用是否有“转化性”,即对原作品的使用是否赋予新的含义或表现方式的裁判思路一致,体现出司法面对数字经济新业态的包容态度。

第二,以信息固有性质为补充,如个人信息本身的敏感度、是否公开、是否被加工整合予以脱敏处理等都影响着信息可使用的程度。个人信息隐私属性越强,商业处理的合理性范围越窄。对个人隐私数据,如网络社交关系、常住地址等,在用户脱离产品使用情境时,商业主体应停止其收集处理行为,除非后者能证明自身行为符合最小必要原则。对通过官方途径或自然人自主公开的数据,信息主体对商业化处理行为存在一定的容忍义务。如在启信宝抓取中国裁判文书网和人民法院公告网上文书判决、裁定书案中,法院对公开的个人信息使用行为规则予以说明(21)参见苏州市中级人民法院(2019)苏05民终4745号民事判决书。“启信宝”公司将中国裁判文书网发布的三条判决、裁定书和人民法院公告网上公开发布的送达判决的公告文书转载到了启信宝网站,任何人均可在该网站上搜索、查询到上述文书,本案原告系上述文书的案件当事人。本案的争议焦点之一是启信宝网站转载中国裁判文书网及人民法院公告网上发布的涉案文书是否侵犯原告的个人信息权益。。法院认为,启信宝网站基于公开的渠道收集信息后在其合法经营范围内向客户提供,属于对已合法公开信息的合理使用,原告对此负有容忍义务。但在原告通知被告删除之后,被告拒绝删除的行为则构成非法使用。由此可见,对已公开的个人信息允许商业化利用,同样也需要赋予信息主体通知删除权限,以平衡商业主体的信息价值挖掘与自然人的隐私期待。再如原始数据经整合加工后得到的二次数据,其人格特征已然淡去,夹裹于其间的经济价值得以扩展,此类信息的使用规则相较隐私信息应当更为开放。个案判断中,司法机关可基于信息处理的具体情境,针对不同敏感值信息,设置不同区间的商业化合理使用的范围,以此来实现信息的阶梯式保护及利用。

五、结语

数字信息化时代赋予个人信息更大的商业价值,留存在网络的个人信息带来生活便利的同时,也使信息主体不得不面对个人信息被非法处理的风险。《民法典》相关条文回应了时代需求,对个人信息和数据予以分别规定。《个人信息保护法》基于个人权益保护和有效利用的多元价值考量,提供了更加积极的信息处理路径,但对商业目的的信息使用限制颇多。事实上,个人信息有着双重法律属性,其财产权益的发挥依赖数据价值的生产挖掘,因而在信息主体免受权益侵害,即保障人格权益的基础前提下,个人信息的财产利益可归属于不同主体,进而让个人信息有限制地流动起来,以创造更大的社会效用,此过程中信息处理者的系列行为可被归于个人信息的合理使用范畴。

信息的流动本质和社会属性要求信息处理行为的规制法理从个人控制论向有序分享论转变,个人信息合理使用规则作为知情同意规则的补充,也成为信息处理的另一大合法基础。通过考察目前中国立法、司法、国家标准对个人信息合理使用的规范表达,可以发现实践中存在对合理使用的泛化倾向,为此需要探索信息合理使用的法律构造,从合理目的、合理方式和未受不合理侵害三大要件对此予以严格解释。以使用目的为标准,中国个人信息合理使用规则包含基于商业目的、公共目的、信息主体权益保护目的的三类处理行为,已公开信息由于法定或自然人同意等因素具有更强的社会属性,能最大化利用数据价值,从而对已公开信息的处理亦应属合理使用范畴。司法需在四大具体情境中考虑行为本身和信息属性是否符合规范要件要求。个人信息合理使用规则是信息各方利益博弈的法律结果,在具体情境认定中,首先考虑行为性质,信息处理行为应当受合法、正当、必要和诚信原则的约束,具体表现为主体的特定性,目的的明确、具体、合法性,方法和程序的必要性。其次要根据信息本身的属性判定信息的可使用程度,当然在紧急情况处理个人信息后,应当在事后采取措施保障信息主体的知情权,并提供便捷的退出途径。

法律既要对信息商业创新持包容审慎之态,亦需对个人隐私期待坚持严格底线,从而维护数据产业利益和个人信息权益的动态平衡。因此,还需要进一步关注的问题是,如何避免各类主体在合理使用完成后的场景外信息处理行为,为此国家机关和商业主体的信息处理程序设置、信息主体的防御权限探究皆是需要探讨的问题。信息处理是时代命题,司法应紧随市场,在变换运作中一步步窥探规则边界,任重道远。