作者:齐英程,吉林大学司法数据应用研究中心研究员。
来源:《法制与社会发展》2022年第5期(第210-224页)。(责任编辑:朱振、王雨荣)
《个人信息保护法》第13条第6项与第27条可被视为规制已公开个人信息处理行为的“责任规则”与“财产规则”,二者在适用上的竞合导致已公开个人信息处理行为的合法性判准陷入模糊。已公开个人信息可被划分为意定公开信息与法定公开信息,二者在公开的依据、承载的利益形态、信息主体可施加的控制程度等方面均存在实质差异。这些差异构成了立法对二者区别评价与区别对待的客观基础。依托法经济学上的“卡-梅框架”进行分析,对于意定公开信息,可保持当前以财产规则为主体的制度设计,以信息主体的意思作为认定信息处理行为是否合法的判准;对于法定公开信息,则应当优先适用责任规则,以促成针对此类信息的有效率的“强制交易”。
关键词:类型化;意定公开信息;法定公开信息;个人信息
为消解个人信息保护与信息利用之间的持续张力,2021年颁布的《个人信息保护法》一改此前《网络安全法》和《民法典》将“征得信息主体同意”作为个人信息处理行为之一般性前提的做法,对个人信息处理行为的合法性基础进行了必要扩容。其中,《个人信息保护法》第13条第6项规定,信息处理者可“依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息”。该规定有助于促进已公开个人信息的流通和利用,进而成为平衡信息保护需求与信息利用需求的重要依托。然而,该法第27条赋予了个人拒绝他人对其已公开个人信息进行处理的权利,并要求当信息处理行为“对个人权益有重大影响”时,信息处理者应当取得个人同意。上述规定间的冲突导致已公开个人信息处理行为的合法性判准陷入模糊,进而诱发了司法层面的同案不同判现象。
已公开个人信息可被进一步划分为个人自行公开或授权他人公开的个人信息和依照法律规定公开的个人信息,即意定公开信息和法定公开信息。二者在公开的依据、承载的利益形态、信息主体可施加的控制程度等方面均存在明显差异。这些差异构成了立法对二者区别评价与区别对待的客观基础。依托于对已公开个人信息的分类,本文尝试厘清在不同类型的信息公开场景下,已公开个人信息处理规则的具体内涵,以期在为司法实践提供更清晰的规则指引之同时,更好地平衡已公开个人信息所承载的多元利益。
一、已公开个人信息处理规则的适用障碍:责任规则与财产规则的竞争与冲突
我国《个人信息保护法》中关于已公开个人信息处理的规则主要由第13条第6项和第27条组成,二者分别属于“卡-梅框架”(C&M Framework)中的“责任规则”与“财产规则”。根据法律规则是否允许私人对特定法益进行非自愿移转或剥夺,卡-梅框架将不同规则划分为“财产规则”与“责任规则”。财产规则仅允许自愿的法益交易,他人若想获得法益,则必须以拥有者同意的价格从其手中购买;反之,责任规则则允许强制性的和非自愿的法益移转,只要法益获得者愿意支付一个客观确定的补偿费用,就可以消灭初始法益。《个人信息保护法》第13条第6项采用“责任规则”之设计,允许信息处理者“在合理范围内”,无需征得个人同意即可处理已公开的个人信息,且信息处理者需要支付的补偿价格为零。在实践中,以“知情—同意”为核心要素的财产规则常导致信息处理行为因谈判成本过高而“流产”。相比之下,以责任规则调整已公开个人信息处理行为虽在一定程度上有损信息主体的私益,但能有效提升资源配置的整体效率。因此,在已公开个人信息已成为数据衍生行业的重要发展基础之背景下,适用责任规则调整已公开个人信息处理行为既具有显著的效率优势,亦回应了智能社会中公众与市场的需求和期待。
然而,对责任规则的选择并未融贯地贯穿于整个个人信息保护规则体系。《个人信息保护法》第27条规定,个人可以拒绝他人处理其已公开的个人信息。信息处理者在处理已公开的个人信息时,若处理行为对个人权益有重大影响,应取得个人同意。这意味着信息处理者必须通过自愿交易的方式,从信息主体处以其同意的条件“购买”此种信息法益。这种“择入+择出”的双重决定机制将已公开个人信息处理规则重新拉回财产规则的轨道,近乎消解了责任规则为已公开个人信息处理行为创造的自由空间。信息处理者在合理范围内开展的信息处理活动随时可能因信息主体行使拒绝权而失去正当性基础,其为信息进行的专用性投资也可能成为纯粹的“沉没成本”。“从法律经济学的角度来看,只有对于满足假设条件的行为模式给出了明确的效果模式(法律救济或法律责任),一个规则才能构成一种科斯所谓的‘法律立场’(legal position),清晰界定一项权益的‘法律边界’(legal delimitation) 。”法律立场的不确定性必然导致已公开个人信息处理行为缺乏明确指引,亦会对司法实践中的规则适用造成一定阻碍。在“伊日克斯庆与苏州贝尔塔数据技术有限公司一般人格权纠纷案”和“梁雅冰与北京汇法正信科技有限公司网络侵权责任纠纷案”中,被告均系提供裁判文书查询服务的商业公司,均因转载涉及原告个人信息的裁判文书而引发纠纷。然而,两地法院对两个案件作出了完全不同的裁判。在前一案件中,法院认为:“在伊某联系贝尔塔公司要求删除文书之后,贝尔塔公司仍以中国裁判文书网已公开诉争文书为由拒绝删除涉案文书,则构成对伊某个人信息的非法公开使用。”然而,在后一案件中,法院则认为,原告未能证明其具有比已公开个人信息的再利用所承载的公共利益“更为迫切需要保护的重大利益或合理理由”,由此认定被告对已公开个人信息的处理并未侵犯原告的个人信息权益。
责任规则与财产规则分别体现了不同的价值立场:前者侧重于保护已公开个人信息的流通与再利用所承载的效率价值和公共利益;后者则更加强调对信息主体的人格利益和自我决定权的保护。为明确上述规则的适用,必须对已公开个人信息所承载的利益作出更为精细的剖析,并厘清各利益间的价值位阶与实现次序。当前,《个人信息保护法》对基于不同依据而公开的个人信息采取了等同规制的策略,忽视了不同已公开个人信息之间的实质差异。考夫曼指出:“法官的判决不仅必须正确评价法律规范的意义,也必须正确评价生活事实的意义,事物本质的意义,亦即:法官必须在法律规范所意含的类型性中掌握生活事实。”对已公开个人信息进行类型化剖析能够洞察不同信息之间的差异,进而使规则的适用更加契合事物本质及其背后所蕴含的价值。
二、类型化视角下已公开个人信息处理规则的选择:以卡-梅框架为分析工具
(一)卡-梅框架视阈下的规则结构与规则选择
卡-梅框架是学者卡拉布雷西(Guido Calabresi)与梅拉米德(Douglas Melamed)从法律后果角度对法律规则作出的一种逻辑分类。经过四十余年的发展,这一框架已成为评判规则选择与效率比较的主导范式。究其本质,对已公开个人信息处理规则的选择乃是对不同规则的规制效率的比较。一方面,卡-梅框架既提供了一个评价规则效率差异的统一视角,也提供了一种评价法益保护效果的客观标准,以防止司法裁判陷于纯粹的主观价值判断而无法达成任何共识;另一方面,卡-梅框架亦为平衡已公开个人信息所承载的多元利益提供了价值取舍的标尺,有助于促使不同的规则选择能够更完美地契合具体场景下的利益需求。
具体而言,经济效率与目标分配构成了决定法益配置与规则选择的主要参数。当谈判成本与缔约成本相对低廉时,财产规则无疑是最有效率的权利配置规则。此时,当事人可通过自愿交易使得法益流向估价更高者,从而自发形成资源配置的帕累托改进。然而,在交易成本过高的场合,财产规则可能是无效益的,并将导致对法益估价较低的一方享有权利。在此场合下,即需要借助责任规则促成法益的强制移转。除此之外,目标分配同样影响规则选择。在初始法益归属既定的前提下,当特定的目标分配难以通过自愿交易达成时,责任规则所蕴含的客观估价和非自愿交易机制可以更好地促成特定分配目标的实现。比如,当对个人信息的处理是为了应对突发公共卫生事件,或是为了在紧急情况下保护自然人的生命健康和财产安全时,坚持财产规则即可能阻碍位阶更高的利益的实现。
近年来,学者们开始对财产规则与责任规则的适用场景进行勾勒。有学者从分配偏好角度指出:“当政策偏好于保护个人数据安全时,法律通常会选择财产规则;反过来说,当政策目的在于促进数据产业发展或其他公益目的时,运用责任规则以‘扫清’数据获取的‘障碍’就会变得更为可取。”相比于财产规则对隐私利益保障和人格尊严维护的侧重,责任规则则为个人信息处理的技术创新和效率提升保留了充足空间,更有助于激发个人信息的共享属性与社会价值。亦有学者从经济效率角度指出,若适用财产规则,则信息处理者需取得每个信息主体的同意,并由信息主体确定交易价格。这可能导致重大决策的执行效率过低和交易成本过高,甚至诱发“反公地悲剧”,催生个人信息的黑市交易。因此,立法应在适度范围内引入责任规则,以弥补“知情—同意”要求所导致的僵化与低效率。
在规制个人信息处理行为方面,责任规则与财产规则各有利弊,没有哪一种规则类型可以包打天下。更务实的做法是,“在理清每种规则的机会成本和行为激励的基础上,应当综合比较所有这些可选规则,以期发现总体上成本最低、收益最高、私人行为最符合社会期望的那个制度方案”。通过不同终端规则的选择与组合形成“菜单规则”,以兼顾个人信息的保护与数据流通秩序的构建。实现不同规则有效衔接的前提在于,对个人信息所承载的利益形态作出精准切割。“个人信息的外延非常宽泛,如果不区分具体类型和内容,均给予同样保护,虽然在理论上能够体现‘信息自决’的要求,但在技术上缺乏现实的可能性,也不能满足法律适用的需要。”因此,对个人信息予以区分和类型化即成为特定情境下寻求妥适的规则配置方案之必要前提。
(二)已公开个人信息处理规则的类型化选择
对个人信息进行类型化已成为化解其承载的多种利益之间的冲突的重要机制。近年来,学者们针对个人信息不断提出类型化构想。具体包括:基于可识别性标准将个人信息划分为直接识别性个人信息与间接识别性个人信息,并分别对其采取不同的规制模式;根据个人信息与个体身份、人格联系的紧密程度,将个人信息划分为人格紧密型个人信息与人格疏远型个人信息,对人格紧密型个人信息的利用进行更多限制,而尽可能确保对人格疏远型个人信息的自由利用。同时,《个人信息保护法》对敏感个人信息与一般个人信息、未公开个人信息与已公开个人信息的区别规制亦体现出典型的类型化思路。不同于以追求概念为目的的易于滑向“抽象化过度”泥淖的抽象化思维,类型化思维能够“在抽象与具体之间找到一种平衡”,从而更好地顾及个别正义。“已公开个人信息”这一概念因过度抽象而抹杀了不同信息间的差异,难以顾及不同场景下的利益平衡。正如拉伦茨所言:“在抽象概念的思考中没有‘或多或少’,只有‘非此即彼’可言。然而,此种‘择一式的思考’与法官所受的裁判强制不能相符。其经常忽略不同程度的重要性、精细的层次划分,而待判个案则常取决于此。”因此,有必要对不同类型的已公开个人信息的差异进行详细剖析,从而实现“法律对事物之真正的适应”。
“类型化是以事物的根本特征为标准对研究对象的类属划分。”依据不同信息在根本特征上的差异,我们可将已公开个人信息划分为意定公开信息与法定公开信息两种基本类型。前者是指基于信息主体的意思表示自行公开或授权他人公开的个人信息。比如,个人基于交往目的在社交媒体上发布的状态,或基于求职需要在网站上公开的个人简历等。后者则指依照法律规定,基于行政行为、司法行为公开的与已识别或可识别的自然人有关的信息。生成机制的差异导致了不同信息所承载的利益形态具有根本区别。作为个体自愿选择披露的信息,意定公开信息与个体人格之间的关联更为密切。信息主体基于个人意志作出的在限定范围内公开个人信息的意思表示可被视为对后续信息处理行为的“概括同意”,其表明信息主体自愿削弱对此类信息的排他性控制,并同意他人对此类信息进行处理。然而,“个人信息(私密信息除外)与隐私不同,后者一旦公开即不属于隐私,不再受隐私权制度保护,而公开并不消灭个人信息受法律保护的特性,即可识别性和非公共性”。意定公开信息并未完全转化为一种公共物品。一方面,此类信息的公开主要服务于信息主体表达观点和意见并与外界进行交流的个人需求与目的,他人对此类信息的知悉和使用只是信息主体实现个人目的的副产品。他人对此类信息的使用处于从属地位,并不具备对抗信息主体的自我决定的效力。另一方面,意定公开信息通常无涉他人利益或公共利益的实现。无论是个人基于表达自由而发表公开言论或创作即兴作品,还是个人基于沟通交流目的而公开个人信息,均非为了满足他人的利益需求。基于此,从分配偏好的角度而言,立法仍应当优先支持信息主体对此类信息的自我决定。就经济效率而言,意定公开信息并未完全脱离信息主体的支配和控制,信息主体仅需简单地通过删除信息或设置访问权限即可拒绝他人的访问和处理。同时,信息处理者也能够较为便捷地通过平台等媒介就第27条规定的“对个人权益有重大影响”的信息处理行为征得个人同意,从而以较低的成本和有效率的方式与信息主体达成关于信息处理的合意。当交易成本较低时,财产规则无疑是保护权利人的最优选择。因此,针对意定公开信息,司法机关应优先适用第27条的财产规则以保护信息主体的意思自治和自我决定,并借助责任规则在信息主体概括同意的范围内兼顾个人信息处理效率与信息的资源价值发挥。
对法定公开信息的规制则需更多地考虑其承载的公共价值。信息公开与数据开放已成为数字化政府的重要使命与法定职责。信息公开可被视为现代政府基于法定程序将特定信息划归为公共物品,进而向整个社会提供公共物品的过程。伴随这一过程,法定公开信息进入公共领域,成为任何人均可利用的公共资源。此类信息与公共利益之间的密切关联决定了立法应当尽可能弱化特定主体对此类信息的控制,否则,无异于承认个人可将自身意志置于由立法凝结的共同意志之上。正如有学者所言:“处于公共领域的信息或数据仅因为与个人存在联系或具有识别性,即赋予个人对个人数据的排他控制权,使个人信息‘私有化’,有失法律正当性,甚至与人类社会进步发展的制度基础相悖。”
另外,以财产规则调整法定公开信息亦缺乏效率。法定公开斩断了信息主体对个人信息的排他性控制,消蚀了财产规则的适用基础。在实践中,为避免个人受到不必要的滋扰,公共机构在依法公开个人信息时通常不会提供信息主体的具体联系方式等私密信息。信息处理者若想要与信息主体达成自愿交易,则需要耗费高昂的搜寻成本与缔约成本。并且,在技术机制层面,信息处理者普遍借助算法驱动的爬虫技术自动对公开信息进行大规模、批量化甚至无差异的抓取。若要求信息处理者逐一征得信息主体的同意,则必将阻断由现代技术所驱动的信息处理活动。信息成本与谈判成本通常与参与交易的协商主体的数量成正比。有学者指出:“信息自决理论所依托的制度语境,仍然是前信息时代那种小规模、单环节的个人数据收集场景,而伴随着物联网、大数据、云计算等技术的涌现,个人数据的采集、利用与流动的情境业已发生了复杂而深刻的变化,此时仍然寄希望于低技术语境下的规范体系能够建立起良好的法律秩序,这显然并不现实。”基于此,责任规则更适合作为规制法定公开信息的核心规则。然而,为防止他人不受限制地收集和利用已公开个人信息,从事秘密构建信息主体的全面画像等违法行为,立法机关仍应当为法定公开信息适度留有财产规则的适用空间。
三、意定公开信息的处理:以财产规则为核心的解释论分析(一)意定公开场景下“在合理范围内”处理信息之认定:以“合理预期”为核心在卡-梅框架的基础上,学者罗伯特·墨杰斯(Robert P. Merges)将责任规则进一步划分为“强制性责任规则”与“自治性责任规则”。前者系由立法所规定的法定责任规则(legislative liability rules);后者则是由主体间的谈判所产生的意定责任规则,意指权利主体自愿削弱其权利的排他性,并授权他人在自己“弃权”的范围内自由使用特定的权利客体。个人基于自愿选择公开其个人信息的行为可以被视为其“制定”了一项自治性责任规则,该规则允许他人在信息主体概括同意的范围内自由地处理其个人信息。从这一前提出发,对意定公开信息处理行为是否处于“在合理范围内”的认定,应当以信息主体概括同意的内涵和范围为准绳。《中华人民共和国个人信息保护法(草案二次审议稿)》以目的和用途为基准对概括同意的范围进行划定。其第28条规定:“个人信息处理者处理已公开的个人信息,应当符合该个人信息被公开时的用途。超出与该用途相关的合理范围的,应当依照本法规定取得个人同意。个人信息被公开时的用途不明确的,个人信息处理者应当合理、谨慎地处理已公开的个人信息。” “目的限定原则”作为一种各国公认的个人信息保护基本原则,它要求对个人信息的处理应当基于明确且特定的目的和用途,且后续处理不得有悖于初始目的和用途。该原则的本意在于确保个人信息处理行为的可预期性和确定性。但是,这一原则因与大数据、云计算等新兴数据分析处理技术的运作机制存在根本抵牾,故受到现代实践的严峻挑战。“大数据之父”维克托·迈尔-舍恩伯格指出:“大数据的价值不再单纯来源于它的基本用途,而更多源于它的二次利用。”已公开个人信息的非排他性和非竞争性决定了他人可以基于不同目的对此类信息进行分析处理,从而产生多种增值服务功能。若我们一律要求对已公开个人信息的后续处理必须符合信息被公开时的特定用途,则必将极大限缩信息的流转空间,并限制对信息的多元化应用,有违信息公开之本意。近年来,欧美立法均在一定程度上放松了“目的限定原则”的要求。欧盟在判定后续信息处理行为是否符合初始目的时,不再强调目的的一致性,而是考虑信息处理行为与初始目的之间的关联性、用户的合理预期、信息处理行为可能引发的后果等因素。美国则转向适用“尊重场景原则”,其主要根据后续的信息处理行为是否符合用户在社会场景下的“合理隐私期待”(a reasonable expectation of privacy),以及是否超出原初的情景脉络,进而判定信息处理行为是否合法。上述立法思路和具体制度的调适均意在缓解目的限定原则对信息利用方式的过度束缚,从而在保证信息处理行为不超出个人合理预期的前提下,最大程度地鼓励信息的自由流通,以充分发挥信息的资源价值。《个人信息保护法》虽然延续了目的限定原则的要求,其第6条规定,对个人信息的处理应当与处理目的“直接相关”,但是,根据其第27条的规定,他人对已公开个人信息的处理不再受到目的和用途的限制,“在合理范围内”这一宽泛标准为信息处理行为保留了更大的空间。第27条的内在原理在于,信息公开通常属于一种“事实行为”,并无明确且特定的目的与用途,他人亦无法从单纯的信息公开行为推测所涉主体的内心真意。“如果权利人一方面在未明确限制授权的情况下一般性地公开其个人信息,另一方面又主张数据处理必须符合某种特定目的,这会给不特定的数据处理者带来不确定的法律风险。”对已公开个人信息的处理应当兼顾对信息主体意思自治的尊重和对信息处理秩序的维系。因此,为实现信息处理者利益与信息主体利益的帕累托改进,顺应个人信息保护的主流趋势变化,在意定公开场景下,对信息主体概括同意的范围之确定标准应当从信息处理行为是否符合初始目的与用途转向信息处理行为是否符合信息主体的“合理预期”,从而在不违背信息主体可推定之意思表示的前提下,尽可能地确认并维护信息处理行为的效力。由于“合理预期”是一个开放性概念,所以,司法机关需要结合具体情景判定特定的信息处理行为是否超出信息主体的“合理预期”。首先需要考虑的是信息公开的具体形式。个人信息公开的形式包括两种:一是在限定范围内公开,比如,个人在微信朋友圈发布动态,单位在内部发布获奖员工名单等;二是向不特定的人公开,即所谓“一般可访问性标准”。通常而言,信息主体在限定范围内公开个人信息的行为即已传递出排斥限定范围以外的人对信息进行处理的意思,他人即使通过合法手段获取此类信息,也极有可能超出了信息主体的原有预期。以“孙长宝与北京百度网讯科技有限公司等人格权纠纷案”为例,在该案中,孙长宝曾在校园社区网站“chinaren校友录”公开其证件照等个人信息,该信息被北京百度网讯科技有限公司抓取,并被置于百度网站搜索结果的页面上,由此引发纠纷。对此,法院认为,校友录网站主要用于实现校内社群社交的功能,用户在此网站内上传头像,通常是为了寻找同学、好友等,以在特定人群范围内开展社会交往,而不是为了进行陌生人交友或宣传推广。然而,被告的行为使得涉案信息能够被全网不特定的用户检索并获取,在客观上导致涉案信息在原告的授权范围之外被公开,因此,应当认定被告的行为构成对原告个人信息的违法使用。反之,若信息主体向不特定的人公开信息,则可推定其概括地授予了所有人在合理范围内访问其信息的权利。在此情况下,司法机关需要进一步结合信息公开的场景等因素判定信息处理行为是否超出信息主体的“合理预期”。人们在不同场景下对信息保护和信息流动的合理期待存在显著区别。根据场景一致性理论(the theory of contextual integrity),场景是信息主体形成合理期待的环境与背景,其系由行动主体的活动与交互、目的与目标以及作为行动背景的制度规范、价值观念、组织结构等一系列因素所构成的整体系统。这一系统主要涵盖“目的要素”“对象要素”与“规范要素”。在目的要素层面,信息主体公开个人信息的目的构成了场景的重要内容,并且是判定信息主体合理预期范围的重要依据。对意定公开信息的处理不应违背信息主体明确表示的或可推知的目的,但是,这并非意味着后续的信息处理目的必须与此目的完全相同或直接相关。比如,某高校教师在招生网站上发布个人信息的目的在于展示其学术水平并吸引潜在的学生。若他人将该教师发布的个人信息用于更大范围的展示宣传,或用于建立高校教师数据库等,则并不违背该教师的初始目的。但是,若借助这些个人信息向该教师发送广告,则超出该教师的合理预期。在对象要素层面,不同的信息与信息主体的人格利益、隐私之间的关联程度不同。当不同的信息被不当处理时,信息主体的合法权益所遭受的威胁程度也有所不同,因此,信息主体对可识别程度或敏感程度不同的个人信息通常具有不同的保护需求与期待。对于如肖像、联系方式等直接识别性个人信息,以及如健康情况等敏感个人信息,自然人即使选择公开,也往往期待该信息不会被过度使用。规范亦构成了场景的重要内容,并塑造和决定着人们的角色、期待、行为和边界等关键方面。“个人信息的公开需要符合所在场景的社会规范,符合多元主体之间的分配正义,在尊重法律和道德底线的基础上公开符合场景规范的个人信息。”就规范要素而言,既有制度和网站服务协议中的相关规定在较大程度上塑造着信息主体在公开个人信息时的预期。比如,根据《个人信息保护法》第29条之规定,对敏感个人信息的处理应当取得信息主体的单独同意,因此,信息主体在公开此类信息时通常可以合理地期待他人基于对其隐私或重大利益的尊重而更加谨慎地处理此类信息。此外,公开信息的来源机构或网站所发布的开放协议和服务协议等文件亦可作为判定信息主体的合理预期范围的依据。这些协议是网站与用户之间基于合意所达成的协议,且协议内容具有公示效力,用户可期待他人对其已公开个人信息的处理行为不超出其基于协议所形成的合理预期。此外,根据人类交往所形成的共享价值和社会规范内容,信息主体在公开其信息时必然期待信息能够被如实地呈现与传播,他人不得基于主观意图实质性地调整或篡改原始信息。《个人信息保护法》第8条亦明确规定:“处理个人信息应当保证个人信息的质量,避免因个人信息不准确、不完整对个人权益造成不利影响。”信息处理者在处理已公开个人信息时,必须确保信息准确、真实,否则,信息处理行为即超出信息主体的合理预期,进而需要对信息处理行为所造成的损害承担相应法律责任。(二)意定公开场景下个人信息权利的行使规则:信息自决优先受制于有限理性与信息偏在,个人在公开信息时难以充分预见到后续的处理可能。因此,为避免个人权益受到严重损害,应当允许个人基于情势变化,作出拒绝他人继续处理其信息的嗣后决定。在此意义上,“概括同意虽然宽泛但并非不作任何限定,而是限定一个大概的研究框架,但不限定具体的研究项目,在该框架下进行的研究无需再获得同意,但是,若这一框架被实质性地改变,则需重新获得同意”。《个人信息保护法》第27条赋予了信息主体“事后定价”的权利,以防止因信息处理行为失控而损害信息主体的个人权益。在实践中,信息主体可通过删除意定公开信息或设置访问权限等方式表明对后续信息处理行为的拒绝。比如,新浪微博最近更新的《微博个人信息保护政策》写道:“除非您以删除、撤回同意或其他方式拒绝我们处理,在您使用微博期间,我们将在符合适用的数据保护法律、与本政策所声明的目的具有直接或合理关联的范围内使用您的个人信息。”目前,许多网站均建立了“通知—删除”机制和一站式的撤回同意机制,这些机制确保信息主体能够便捷地对信息处理行为作出拒绝。此外,若信息处理者对意定公开信息作出的处理行为将会对信息主体权益造成重大影响,则还应当告知并征得信息主体的事前同意。为充分尊重信息主体对意定公开信息的自我决定权,司法机关可参照《个人信息保护法》第55条所列举之情形,对《个人信息保护法》第27条规定的“对个人权益有重大影响”作出较为宽泛的解释,即当信息处理行为涉及敏感个人信息时,或者利用个人信息进行自动化决策时,抑或信息处理行为将会导致信息的传播范围超出自然人所限定的初始范围时,信息处理者应当先征得信息主体的同意,方可采取相应的处理措施。四、法定公开信息的处理:以责任规则为核心的解释论分析随着自动化行政与电子政务建设的不断发展,公共机构在履行公共管理与服务职能的过程中积累了规模庞大的数据资源,信息公开和数据开放随之成为数字政府推进治理能力现代化和提升公共服务能力的重要举措。法定信息公开制度的建立旨在满足公众对特定信息资源的知情和利用需求,这一目标的落实必须借助于相应的信息处理行为。易言之,信息公开本身乃是手段,而非目的。若仅允许信息公开而否定信息的可利用性,则将在根本上消蚀法定信息公开制度的存在价值。因此,对法定公开信息的后续利用行为应当适用强制性责任规则,以促成针对此类信息的有效率的“强制交易”。反之,若对法定公开信息处理行为适用以同意和自决为表征的财产规则,则不仅不利于促成信息资源的最优配置,还将带来高昂的事前搜索成本与谈判成本,甚至诱使个体通过隐瞒真实信息而将信息处理行为的负外部性转嫁给他人或社会。有学者主张:“法律制度实施中成本总是难免的,知情同意必然带来成本与负担,这些因大数据而增长的成本与负担,如果对于维护人格尊严是必要的,则是应当承受的。”但是,法定公开信息通常在发布前即已过滤出私密或敏感的内容,此时,要求征得信息主体的同意实难被视为“为维护人格尊严所必需”;因此,司法机关应主要适用责任规则对法定公开信息处理行为进行调整,而非过度强调个人的信息自决权。(一)法定公开场景下“在合理范围内”处理信息之认定:合理利用推定相比于财产规则与自治性责任规则,强制性责任规则因依赖第三方机构的“公共估价”而产生了新的“估价成本”。作为第三方机构的法院必须明确此类责任规则的适用边界,即何种行为可构成“在合理范围内”处理法定公开信息。含混不清的责任规则必将带来极为高昂的执行成本,以及各方主体的争论不休。有学者主张,应以是否具备“目的上的客观一致性”作为认定法定公开信息处理行为是否合理的标准;然而,该标准在司法实践中难以得到落实,并且,该标准可能会过度限缩信息的利用空间。政府公开信息和开放公共数据的根本目的在于确保公众能够依法获取并使用公共数据资源,以释放数据红利。《中华人民共和国政府信息公开条例》《公共信息资源开放试点工作方案》等法规和文件多次提及要“积极营造全社会广泛参与开发利用公共数据资源的良好氛围”,“充分发挥政府信息对人民群众生产、生活和经济社会活动的服务作用”。这些法规和文件为公开信息预设了宽泛的用途,以鼓励人们对法定公开信息进行开发利用,若强调用途限制,则有违建设开放型政府的初衷。在“梁雅冰与北京汇法正信科技有限公司网络侵权责任纠纷案”中,法院即提出:“如果经司法公开的数据,社会其他主体不得再度转载、利用,一方面将损害司法公开制度,损害公众因该制度所受保护的知情权、监督权等公共利益;另一方面,将使得上述数据被司法机关独家垄断,与司法数据公有、共享的理念不符,故其他数据利用主体可对司法公开的数据,在一定条件下进行再度利用。”另外,不同于意定公开信息,法定公开信息与信息主体的个人意志、人格间的关联较为薄弱,其或关涉公众知情权、信息自由流通等公共利益的实现,或具有“较大经济社会效益潜力”。对法定公开信息这一公共资源的使用同时承载着公平和效率两重价值。一方面,随着数字生活成为人们真实生活的重要组成部分,对公开信息的充分使用成为了人们内在的利益诉求,平等接触和充分利用公开信息构成了确保大数据时代公众共享数字红利的重要机制;另一方面,在数据经济形态下,使用大数据技术对数据资源进行分析和开发已成为创造价值的重要方式。为充分释放公开信息所蕴含的价值潜力,树立我国数据产业的竞争优势,我国亦应当鼓励专业化的市场主体和社会组织对公开信息这一公共资源进行增值性或创新性开发利用。因此,在司法实践中,当个人未能证明其存在更为迫切需要保护的重大利益,或信息处理行为对其权益造成损害或实质威胁时,司法机关应当认定二次处理行为符合《个人信息保护法》第13条第6款所设定的“合理范围”标准。(二)法定公开场景下个人信息权益的行使规则:财产规则的限缩适用大数据技术的迅猛发展打破了已公开信息与非公开信息之间的绝对边界。数据分析技术对海量信息的联结与交叉分析能够产生显著的加总效应,迂回地揭示并曝光信息主体并未有意披露的隐私。因此,为避免他人收集和利用法定公开信息的行为不受限制而损害个人塑造自我形象与人格的能力,立法仍应当赋予个体对法定公开信息进行适度控制的权利。在德国“人口普查案”中,德国联邦宪法法院即提出,现代数据存储技术和自动化数据处理技术的发展使得对个人信息的收集和分析可能产生部分或相当完整的人格图像,而当事人对此缺乏有效控制,这将对当事人造成心理压力,进而影响其行为。因此,在数据自动化处理的现代化条件下,国家必须防止个人信息不受限制地被收集、存储、利用和传输,以保障自然人对个人信息处理事务的自主权、自治权、自决权,这是保护自然人人格尊严和意志自由的必然要求。基于上述考虑,《个人信息保护法》第27条赋予了信息主体拒绝他人处理与之相关的法定公开信息的权利,但该条文对拒绝权行使范围的设定过于宽泛,导致法定公开信息从公共资源沦为了只有信息主体才能任意支配的私人物品。若个人可以为了使自身利益最大化而任意决定是否允许他人获取和使用与之相关的信息,则最终将导致他人难以充分利用法定公开信息,并削减信息技术创新所带来的边际效用。法定公开信息蕴含着与民生密切相关的重要信息,是开展数字化生活的必要质料,构成了社会公众行使知情权等权利的重要载体。并且,作为社会公众识别和了解特定个体的工具,法定公开信息可成为个人决定在交往活动中对特定个体采取何种态度和行动的重要依据,进而直接影响他人的决策与行为。由于法定公开信息具有以上用途,故立法不应当赋予信息主体完全决定权。毕竟,其他社会成员应享有一定的知情权,以防止自己陷入不利的交易或交往。因此,应当限缩财产规则在法定公开信息处理行为上的适用,将信息主体的拒绝权限制于针对那些超出合理范围的信息处理行为,以降低因不同规则间的摩擦而带来的规则适用成本。此外,应当弱化征得个人同意之要求。在大数据时代,诸多业务的开展均建立在对法定公开信息的全面整合分析之基础上,且相关分析结论可能涉及对信息主体的负面评价。若将他人基于这种实践模式与负面评价而作出的对个人不利的决定均认定为对个人权益造成重大影响,进而要求信息处理者必须取得个人同意,那么,这无异于赋予了信息主体对负面信息的完全控制权。法经济学的代表人物波斯纳(Richard A. Posner)曾一针见血地指出,若立法赋予自然人对与之相关的信息的完全控制权,则将提高社会整体的交易成本,这就如同允许人们在货物买卖中进行欺诈一般。以征信业务为例,这种数字化商业实践模式的核心在于,通过整合分析来自多个来源的个人基本信息、信贷信息及其它信息,对个人信用情况作出全面且准确的评价。征信决策的质量和效率直接依赖于信息搜集的全面性、准确性与及时性,且征信结果直接关系到信息主体能否如愿地建立信贷关系,以及所获得的具体授信额度等重要事宜。如果立法允许信息主体可以决定是否同意征信机构与金融机构的信息处理行为,则必将彻底颠覆征信业务模式。《征信业管理条例》《征信业务管理办法》等立法文本中均存在多处针对已公开个人信息处理行为的同意豁免规定。这些规定旨在避免信息主体因对个人信息过度控制而导致信息使用成本骤增,无法满足征信行业对信息共享与信息流通的需求,甚至从根本上破坏鼓励诚信和惩戒失信的社会诚信机制之建设。就实现机制而言,要求他人在处理法定公开信息时必须履行告知并征得个人同意的义务,必然面临操作障碍。财产规则与私人协商更适用于交易主体单一、交易关系简单且谈判费用低廉的交易模式。然而,在实践中,公共机构在依法公开个人信息时,并不会提供相关主体的联系方式,而且,信息处理者往往通过算法驱动的爬虫技术自动抓取海量公开信息;因此,若要求信息处理者必须告知并征得全部所涉主体的同意,则极有可能因搜寻成本和谈判成本过高而导致协商议价模式失灵。“权利归属关系的多头化、谈判参与主体多元化,加之权利的单个估值呈现私利化,则每一个权利分支都会产生利益最大化的诉求……倘若满足任何个体的最大化收益,就会提高每一个个体的许可价格,增大谈判成本,最终的交易成本总和显然也会高于权利的正常估值(市场估值),无法达致整体上的最佳均衡状态——帕累托最优。”在大数据时代,对法定公开信息的处理行为极为普遍,且呈现出时刻变化的动态特质。“信息应用场景的动态化是大数据背景下信息技术的生命力之所在,是信息革命的价值之所在。但是,这种动态化的处理模式也决定了信息主体对知情的要求处于动态化之中。”如果强求所有信息处理行为均需信息处理者充分告知并获得个人同意,则难免对信息处理者施加过重的行为负担,进而消蚀其作出理性决策的能力。基于此,在处理法定公开信息的场景中,司法机关应当就“对个人权益有重大影响”的情形作出严格解释,即只有当法定公开信息处理行为可能对信息主体权益造成客观且重大的损害时,信息处理者才需按照《个人信息保护法》第27条之规定征得信息主体的同意。
已公开个人信息处理规则的应然配置这一小问题实际折射出未来我国数据法制的整体构建应当走向何处这一重要问题。数据法制的框架究竟应当由何种规则搭建?或者说,应当以何种规则作为我国数据法制领域的“缺省规则”(default rule) ?这是一项极为复杂且“牵一发而动全身”的抉择,其不仅取决于特定规则可能产生的相对成本、行为激励等结果,还与一个社会在大数据时代中的主流意识形态密切相关。数据的无形性、非竞争性特质与以“排他性”为内核的财产规则存在抵牾,然而,以责任规则保护数据法益同样面临法院等公共机构估价能力不足的窘境。因此,《民法典》谨慎地通过“法律对数据、网络虚拟财产的保护有规定的,依照其规定”这一开放式的立法授权规则,将数据权益的救济方式留待时机更成熟时再行定夺,其目的即在于避免因仓促界权而妨碍不同主体间的互动与议价在我们尚未就规则选择与法益分配形成共识之前,借助类型化思维对不同场景下的规则选择给出不同方案是一种更谨慎和务实的做法。我们应当看到,无论是以财产规则为缺省规则的欧盟个人信息保护立法,还是以责任规则为主体的美国个人信息保护制度,均对财产规则和责任规则作出不同比重的融合,以平衡不同群体的利益诉求。基于本文的分析,我国的个人信息保护立法和相关司法裁判应当进一步区分意定公开信息和法定公开信息。对于意定公开信息,可保持当前以财产规则为主体的制度设计,以信息主体的意思作为认定信息处理行为是否合法的判准;对于法定公开信息,则应当限制信息主体的自我决定,只有当信息处理行为超出合理范围,或可能对信息主体权益造成客观且重大的损害时,方允许信息主体享有对信息处理行为提出拒绝的权利。
《法制与社会发展》2022年第5期目录摘要
点击二维码关注法制与社会发展微信公众平台