王利明:数据共享与个人信息保护 | 法宝推荐
【作者】王利明(中国人民大学法学院)
【来源】《现代法学》2019年第1期。因篇幅较长,已略去原文注释。
【声明】本文仅限学习交流使用,如遇侵权,我们会及时删除。
内容提要:随着互联网和大数据技术的发展,数据共享现象日益普遍。数据共享是一种重要的数据利用方式,也是数据流通和数据产业发展的重要基础。数据共享中的个人信息仍然属于信息权利人的权利,与个人信息的收集、利用行为一样,数据共享也应当获得信息权利人的授权。我国民法典人格权编在规定个人信息权利时,应当规定数据共享规则,数据共享规则的设计应当妥当平衡数据流通与信息主体权利保护之间的关系,在具体设计数据共享规则时,应当在区分不同个人信息类型的基础上,设计信息主体的授权规则。
关键词:数据共享;个人信息;民法典
一、问题的提出
我们已经进入到互联网、大数据时代。在大数据时代,数据的开发与再次利用在很大程度上依赖于数据共享(Data sharing),数据共享成了大数据公司重要的盈利模式,没有数据共享,将难以对数据进行二次开发,数据也难以成为财产,数据产业也难以发展。目前,各个互联网公司(如微软、谷歌、腾讯、百度、淘宝等)竞相推出自己的开放平台战略和开放平台。最近,有“互联网女皇”之称的玛丽米克尔在其发布的《全球互联网趋势报告》中指出,数据共享成为了互联网和大数据发展的必然趋势,全球数据采集的优化在不断加速,数据采集和共享的方式正在发生日新月异的变化,数据共享已经成为信息数据利用的一种重要方式。数据共享能实现数据资源的重复利用,降低数据收集成本,实现同类数据社会效益的最大化。在大数据环境下,各主体可以更便捷地共享数据资源,这样既能节省成本,又能创造更大的社会效益,最大限度地攫取“数据金矿”。大数据开发成为一个重要的产业兴起,很大程度上就是因为有数据共享。如果数据不能共享而只能自己利用,则数据本身就不能成为一项真正的财产,数据产业也不能发展。数据共享也会对经济运行机制、社会生活方式和国家治理能力产生重要影响。但由此带来的其与个人信息等人格权的保护之间的冲突越来越明显。在实践中,因数据共享造成个人信息被不当使用,甚至造成信息的泄露,给信息权利人造成了损害,这就对数据共享中的个人信息保护提出了要求。可以说,如果不强化数据共享中的个人信息保护,数据产业也难以健康发展。有鉴于此,本文拟对此谈一点看法。
二、数据共享中应当强化个人信息的保护
数据是信息的表现形式。在互联网时代,其主要就是指以电子化方式存储的信息。数据分享是数据控制者将自己所收集的信息与他人进行分享,在数据控制者与分享者之间形成一种合同关系。相对方被称为数据再使用(Data Re-use)方,即那些被授权访问数据的需求方。数据共享概念主要是在机构、平台层面上使用,它是指不同机构、平台之间的数据交换。数据共享可以是有偿或无偿的,但一般不包括政府的数据公开行为。由政府统计部门公布的数据,都是公开的,除非涉及保密信息。已经公开的个人信息,其共享和利用不应当受到严格的限制。政府向社会公众开放其在执行管理职责过程中收集的各项数据,本质上是向公众提供的一种公共服务,政府并不对数据本身享有独占性权利,任何人都有权通过对这些数据资源的分析和使用,发掘其中蕴含的社会和经济价值。质言之,政府公开数据的行为并不涉及财产权的让与,这是其与企业间数据共享行为最为本质的区别。当然,政府数据开放的政策并不意味着可以对数据进行无限制地开放,如果涉及个人信息,则政府也应当采取必要的安全保障措施,防止个人信息的泄露,这与企业间数据共享的信息的要求是一致的。所以,许多国家在规定信息开放时,也都规定了强化个人信息保护的规则,即一方面强调信息的公开,另一方面强调对个人信息安全的保护。本文所探讨的数据共享并不包括政府数据的共享,而仅限于商业组织之间出于商业目的而进行的数据共享。
从法律上看,数据共享既是一种数据财产的利用和使用行为,也是一种数据开发与再利用行为,同时,数据共享也可能是一种个人信息的收集、储存、利用问题。所以,数据共享并非单纯的财产法问题,其也涉及个人信息权、隐私权等的保护问题。蓬勃兴起的数据共享现象对人格权的保护提出了新的挑战,这也是21世纪科学技术爆炸、大数据的发展所带来的新问题。
数据共享的发展要求我们高度关注对个人信息的保护,在我国正在制定的民法典中,有必要设置专门的规则,规范数据共享行为,强化对个人信息权利的保护,其原因主要在于:
第一,数据中包括了大量的个人信息。从世界范围来看,随着新技术的发展,云计算、移动消费、社交媒体上都不断产生海量数据,数据的采集、共享和优化的规模和速度都呈现出了井喷式的发展。在这些以电子化方式存在的信息中,确有一些数据属于本来应当公开或者可以公开的信息,如教育普及状况、大中小学生受教育的比例等方面的数据,或者学生的入学情况、脱贫的数据、适龄儿童入学或辍学等信息,即属于可以公开而且应当公开的信息。但在数据中,大量的内容包含了个人信息,即可以和某个特定的自然人相联系的信息。大量的数据涉及个人的信息和隐私,甚至涉及个人的敏感信息和核心隐私。例如,将个人病历资料开发成大数据,或者将个人的银行存款信息汇总开发成大数据。如果对这些数据资料还没有进行脱敏化(Data Masking)处理,或者对脱敏化处理不完整,从相关的数据中仍然可以了解个人的相关信息和隐私,这就可能侵害个人信息权利和隐私权。通过大数据技术的运用,一些机构可以从相关的数据中分析出个人的身份、财产、消费习惯等方面的信息。即使这些信息经过了匿名化处理,阻断了信息数据与个人身份之间的关联性,但由于数据共享涉及个人信息权的再利用问题,因此,相关主体在收集、利用个人信息数据的同时,应当以保护当事人对个人信息的控制权和隐私权为前提,信息的收集者和利用者应当负有保护个人信息和隐私的责任。
第二,数据共享包括个人信息的收集和传输行为。所谓收集,是指相关主体获取个人信息的行为。随着现代科学技术的发展,使得个人信息的收集变得越来越容易,也越来越有效率。大数据技术能够通过特定的算法从信息中不断挖掘出新的信息,数据企业通过抓取信息,甚至通过机器深度学习,可以取得个人的大量信息。大数据掌握着我们的一举一动,甚至能预测我们的未来轨迹。通过大数据技术的运用,一些机构可以从相关的数据中分析出个人的身份、财产、消费习惯等方面的信息。而在收集到这些信息之后,一旦将其共享,则共享也成为被共享者收集个人信息的一种方式。数据共享实际上是数据控制者范围的扩张。从数据主体的角度看,数据共享与重新收集数据并无本质区别。所谓传输,是在特定主体之间进行信息开放、披露。数据共享的过程就是数据开发者、控制者向被共享者传输数据的过程,被共享者如果再次将该数据共享,将导致数据的广泛传输。这个过程既是数据财产的流转行为,同时也涉及个人信息的反复收集、利用的过程。一旦缺乏规范,使数据的收集、传输失控,将导致大量的个人信息遭受不当使用,甚至是泄露。所以,数据共享之所以要取得数据权利人的同意,是因为数据共享本质上也是个人信息传输和收集的一种方式,是对个人信息的再次使用。由于共享的数据中包含了大量的个人信息,因此,合法的数据共享应当以合法的个人信息处理为前提。从某种程度上说,对数据主体来说,个人数据的受让方是新的个人数据的收集者,其是否也应遵循与个人数据出让方相同的收集和利用规则,值得考虑。
第三,个人信息的共享也是个人信息的再利用方式。数据共享之所以是个人信息的再利用方式,除了共享本身是对个人信息的再利用,还有被共享者获得了这些信息数据后,其可能对其进行再次加工、利用,甚至再次进行共享。所以,不能由信息持有者随意共享给他人,被共享者也不能在获得信息之后随意再次共享或者允许他人利用,更不能将这些信息经过整合后再投入数据黑市进行交易。这些行为可能触犯刑法的规定,构成非法侵入计算机信息系统罪、侵犯公民个人信息罪等罪名。当然,即便行为人的上述行为不构成犯罪,其也构成对他人个人信息权利和隐私权的侵害。数据共享最大的法律障碍在于,共享人可以在多大范围内共享所获得的数据,换言之,其可以将哪些数据提供给哪些主体并不确定。同时,其障碍还在于信息的被共享者在多大范围内使用和利用这些信息,而信息权利人能够在多大程度上对共享的数据进行追踪和控制。如果在法律上缺乏规范,这些信息一旦被分享出去,将如脱缰的野马一样,信息权利人可能彻底丧失对其个人信息的控制。对信息主体而言,分享行为是否有偿是分享者和被分享者之间的关系,对个人信息安全的保护不应当有所差异。问题的关键在于,在分享行为的过程中,信息主体对其个人信息的权利是否得到了充分的尊重。
从以上的分析可见,数据共享和个人信息保护的关系十分密切。如果数据共享涉及个人信息,在共享链条中缺乏对个人信息的全方位保护,一方面将会消解初始收集环节对个人信息的保护力度,这主要体现在不加限制的概括授权,将会使个人信息主体在初次授权后就丧失对个人信息的控制能力,难以确保个人信息的利用符合其预期。另一方面,缺少有效的授权机制,将会使受让方对个人信息使用行为的合法性受到质疑,从而影响个人信息共享的效率。当然,保护个人信息并不影响数据交易合同的效力,即便在未经数据主体同意的情形下,并不会当然导致数据财产交易合同无效。除非构成非法倒卖个人信息,否则,一般不应当影响合同的效力。
数据共享对个人信息保护提出了严峻的挑战。大数据技术能够通过特定的算法从信息中不断挖掘出新的信息,这就可能侵害个人信息权利和隐私权,同时,个人信息利用和流转过程中也存在多元的利益主体,这也可能构成对个人信息权利和隐私权的威胁。所以,在未来有必要规定大数据中个人信息和隐私的保护问题,这也是适应信息社会、大数据时代的特殊要求和面向21世纪的当然要求。百度公司董事长兼首席执行官李彦宏曾经指出,“中国的消费者在隐私保护的前提下,很多时候是愿意以一定的个人数据授权使用,去换取更加便捷的服务”。这种说法也不无道理,确实,消费者在下载相关的app软件时,允许网络服务提供者共享其信息数据,有利于数据的流通,但其也可能使相关信息数据的传输、共享、利用脱离信息权利人的控制。近几年来,不断爆发的一些国外的互联网公司巨头擅自共享个人信息、泄露个人信息的现象,也反映了这一问题的严重性。所以,我们不能简单为了便利信息数据的流通而忽视个人信息权利的保护,在法律上应当实现二者的有效平衡。事实上,如果信息权利人自愿,应当允许,但很多情形下权利人并非出于自主自愿,而是超出合理范围的同意,这样虽然有很多便利,但信息主体的选择并非真正有意义的选择,并非真正意义上的交换。
三、数据共享中的个人信息仍然属于信息权利人的权利
从比较法上来看,美国法更注重个人信息的利用,以促进数据产业的发展,而欧盟则更注重个人信息权利保护。但美国法与欧洲法出现了共同的趋势,即在数据的开发、共享中普遍重视对个人信息的保护。信息数据的收集、开发和利用应当以保护个人信息权利和隐私权为前提,忽视个人信息权利和隐私权保护的数据收集和开发行为就像一颗炸弹,将对个人权利保护构成极大威胁。之所以在数据共享中要强化对个人信息的保护,一个很重要的原因在于,维护个人对其信息的支配,维护私法自治,维护个人的人格尊严。因此,在数据开发中应当注重对个人信息的保护,所以必须要在坚持保护个人信息基本权利的前提下,促进数据开放与信息共享。
数据共享本质上是由他人重新收集、利用个人信息。数据共享涉及两个维度:一是从信息收集者的角度而言,数据共享实际上是信息收集者将其所收集的个人信息流转出去,其可能是向特定的主体共享信息数据,也可能是向不特定的人开放和流转数据,让更多的主体占有这些信息数据;二是从被共享者的角度而言,其在利用这些信息数据的同时,也可能将其再次共享。数据共享中的许多数据可能涉及个人信息和隐私,行为人在利用过程中可能多次利用此类信息,甚至将其公开。这就提出了一个问题,在数据共享中是否应当征得信息权利人同意?《网络安全法》第 41 条规定:“网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。”同时,依据《民法典各分编(草案)》第814条规定,收集、使用个人信息也应当征得被收集者同意。依据上述规定,个人信息的收集和利用原则上应当征得个人的同意,但问题在于,上述规则是否仅适用于个人信息的初次收集行为,而不适用于信息共享行为?笔者认为,信息收集的知情同意规则应当适用于所有个人信息收集的行为,而不仅限于个人信息的初次收集行为。在信息共享中,从被共享者的角度看,信息共享实际也是个人信息的收集行为,该行为也应当受到上述知情同意规则的调整。知情同意规则的目的在于保护信息权利人对其信息的支配权,信息权利人对于信息共享中的个人信息也应当享有支配权,《民法总则》对此并没有作出规定。但依据《民法典各分编(草案)》第817条的规定,“未经被收集者同意,不得向他人提供个人信息”,笔者认为,该条主要适用于信息共享,也就是说,信息的收集者和持有者未经信息权利人同意,不得实施信息共享行为。其主要理由在于:
第一,知情同意本身就是信息权利人对其个人信息支配权的具体体现,此种支配应当是一种独占性的支配,其也可以成为信息自决的权利。个人信息自决属于私人生活自主决定权的范畴,其目的在于保护个人对其私人生活事务的自主决定。在私人生活领域,只要不影响公共利益,就应当尊重个人对其私人生活的判断和决定,这也是保障个人私人生活安宁和个人幸福生活的重要内容。沃伦和布兰代斯在1890年的论文就提出了这样的观点,即隐私是人类价值的缩影,这些价值可以概括为“个人自决”“个性”和“个人人格”。近来,有不少学者呼吁,在法律上应当创设个人网络隐私权(Internet Privacy Rights),尊重个人的隐私、信息自决,使每个人不受到网络上各种信息的不当影响。这就使得权利人在私生活的领域内获得了自主发展其个性人格的可能。否则,个人生活长期处于社会公众的注视之下,每个人的生活因时常受他人打扰而不能自主决定,其个性人格也将难以健全发展。因此,通过知情同意规则保障个人对其信息的支配,从根本上说也是为了尊重人的个性,促进其全面发展。为强化对个人人格尊严的保护,知情同意规则应当贯穿于个人信息收集、利用的整个过程,如果信息共享不需要个人知情同意,则个人的一些核心隐私信息等可能脱离个人的控制,将对个人人格尊严造成重大影响。正是因为个人信息的权利是属于权利人的,即便数据开发者经过权利人同意对个人信息进行了搜集、开发,将数据与他人共享之前,首先还需经过当事人的许可和授权。
第二,个人信息权利不可能完全转让,信息收集者不能随意共享个人信息。从《民法总则 》的规范设置来看,个人信息在性质上应当属于人格权益的范畴,其应当是人格权的客体。个人信息权利以主体对其个人信息所享有的人格利益为客体,人格利益在性质上具有人身专属性,并不具有可让与性。关于个人信息的流转,《网络安全法》第 44 条规定:“任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息。”从该条规定来看,似乎允许个人信息的合法转让,这一规定与人格利益的人身专属性存在一定的冲突。因此,《民法典各分编(草案)》并没有采纳《网络安全法》的上述规则,并没有规定个人信息的转让规则,这实际上是否定了个人信息的可转让性。个人信息的收集、利用在行为本质上是信息主体许可信息收集者、利用者在一定范围内收集、利用其个人信息,信息的收集者、利用者并不能独占性地对个人信息享有权利,其应当在信息权利人许可的范围内收集、利用个人信息。从这一意义上说,信息收集者或者持有者在共享个人信息时,也应当在信息权利人的许可范围内进行,而不能随意共享个人信息。由于个人信息权利人对个人信息享有控制权,因此,即便主体允许数据控制者收集并共享相关个人信息,这也并不意味着其让渡了所有个人信息权利。
第三,信息权利人允许信息收集并不等于允许信息分享。虽然数据的收集者、开发者在信息的收集和处理方面投入了一定的劳动,但这并不意味着其可以随意共享个人信息。信息权利人对其个人信息享有独占性的支配权,信息的收集、利用行为原则上都应当经过信息权利人的同意,权利人有权决定其哪些个人信息可以被收集、哪些个人信息可以被利用以及在何种范围内以何种方式利用。因此,如果信息权利人只是允许信息收集者收集其个人信息,并不意味着其已经将该权利全部转让给数据的收集者和开发者,更不能据此认为,信息权利人已经允许信息收集者共享其个人信息,信息权利人对其个人信息的支配也当然涵盖信息的共享阶段。依据《民法典各分编(草案)》第814条、第816条,个人信息的收集、使用应当获得被收集者的同意,并且只有在同意范围内实施的收集、使用和公开行为,才无须承担民事责任。即便信息收集行为是合法的,在未经信息权利人同意的情形下,信息共享行为也可能侵害信息权利人的权利,因为对信息权利人而言,信息共享行为与重新收集个人信息并无本质区别,原则上应当征得其同意。
第四,必须保障信息权利人对个人信息流通过程的控制。知情同意规则也要求个人能够控制其信息的流通过程,信息共享本质上就是信息的流通,这一过程的链条可能很长,而且可能向公众开放,在整个过程中,应当保障个人对其个人信息的控制。这就是说,信息无论向谁共享,在共享的范围内,都应当经过信息权利人的知情、同意。虽然数据共享在形式上体现为信息共享者与被共享者的内部关系,且此种内部关系大多通过合同的形式连接,但由于信息共享行为也涉及个人信息的流通,因此,信息共享行为也应当受到信息权利人的控制。从这一意义上说,当事人虽然可以在共享协议中就数据共享的形式、范围、时间等做出约定,但数据共享一旦涉及个人信息,由于被共享者所享有的相关权利来源于共享方,除信息权利人对被共享方做出特别授权外,被共享方对相关数据所享有的权限不可能超过信息共享方。
即使在特殊情形下,信息共享行为难以完全实现个人的知情同意,也应当通过特殊的规则强化对信息权利人的保护,以弥补知情同意规则适用的不足。在这一点上,美国法提供了很好的借鉴。在美国法中,存在“合理预期”的概念。“合理预期”理论最早是在1967年的Katz v. United States案中产生的,联邦最高法院Harlan大法官指出,“封闭的电话亭犹如个人的住宅,个人在该区域内享有一种受宪法保护的对隐私的合理期待;不论是物理上的侵入,还是电子侵入该空间,都构成对宪法第四修正案的违反”。其后,许多学者也主张以“合理预期”的标准来确定商业和其他领域的隐私保护。例如,曾经对美国《消费者隐私权利法案》(Consumer Bill of Privacy Rights)立法影响极大的海伦·尼森鲍姆(Helen Nissenbaum)指出,确定是否存在侵犯数据隐私,应当考虑不同场景中的“合理预期”。这就是说,在某些情况下,即便没有信息主体的明确许可,但只要相关的信息处理行为是当事人在该情形下能够合理预期的,且这种期待客观上被社会认为是合理的,就应当受到保护。例如,在自动驾驶等场景下,是存在对个人数据的收集行为的,但在这个场景下数据收集者与处理者通常无法征得个人同意。此时,判断是否存在隐私侵权应当看数据的收集者和处理者是否尽了合理注意义务,是否符合社会认可的数据被收集者的一般预期。数据共享行为同样如此。也就是说,信息收集者究竟可以在何种范围和程度上共享个人信息,除了信息主体的明确同意之外,也应当考虑“合理预期”的问题。例如,如果共享的信息属于敏感个人信息,则信息主体的“合理预期”范围就相当有限,通常信息的控制方的处理行为也只能限定于主体的明示同意范围之内。但如果所收集、处理的仅仅是一般的个人信息,此时信息主体的“合理预期”就可以考虑在类似情况下社会上的一般认知和期待,在主体的明示许可范围之外,如果相关的数据处理和共享行为是数据控制者进行经营活动所必须的,或者是为了更好地实现主体的利益等原因,就可以在一定范围内对数据进行共享。当然,个人隐私和信息权利人对自己的隐私和信息保护的合理期待也必须得到社会的客观认可,符合社会公众的一般观念,否则也难以构成对隐私和个人信息的侵害。
四、数据共享必须要获得个人信息权利人的授权
(一)应当有效规范信息主体的授权行为
强化对数据共享中的个人信息保护,是各国普遍的做法。从比较法上来看,在欧盟范围内,相关数据保护的规范包括《一般数据保护条例》(GDPR)、《电子隐私指令》(e-Privacy Directive)和《数据库指令》(Database Directive)。依据《一般数据保护条例》第6条的规定,对个人信息的处理以同意为基础。无论数据来源渠道是什么,是否通过自动化的数据处理,只要是个人信息,都要保护。同时也要求数据主体能够较为方便地获得授权,以访问相关的个人数据并获得其个人数据处理状态的信息。而出于商业的便利,在跨境数据处理的情况下,采用“one-stop-shop(一站式)”的模式,即无论跨境几次,其只服从于一个监管机关(当事人可以约定具体的管辖机关,那么在整个的数据处理、流转过程中,无论数据具体存储在哪里,都由此管辖机关监管)。《一般数据保护条例》对数据共享中数据保护的主要要求是:严格的知情同意规则,机制的设计要充分保护隐私,保证删除权,保证携带权,一站式的跨境监管,在不遵守时能够保证实现罚则[9]。其中,知情同意规则是对个人信息保护的最基本的原则。
美国并没有关于个人信息保护的一般立法,而是采用分散化立法的方式。1970年,美国制定了《公平信用报告法案》(The Fair Credit Reporting Act),首次对收集和使用个人信息进行了规定。根据该法案,在收集和使用消费者信息的时候,必须赋予消费者一系列权利,如信用机构对个人数据的存储与处理应当是秘密的,消费者有权访问和修改信用机构所使用的个人信息[。1974年,美国又通过了《家庭教育权利与隐私法》(Family Educational Rights and Privacy Act)和《隐私法》(The Privacy Act)这两部法律。前者规定,在教育场景中使用个人信息应当获得个人明确授权;后者规定,美国联邦规制机构在处理个人信息时也应当获得个人同意。此后,美国的一系列个人信息保护立法都遵循了这一规定,例如《联邦有线通讯政策法案》(Cable Communications Policy Act)、《视频隐私保护法》(Video Privacy Protection Act)、《司机隐私保护法案》(Driver’s Privacy Protection Act)都作出了规定,要求在法案所适用的情形中,收集和使用个人信息必须获得个人明确授权,数据的收集者和使用者不得将个人信息随意转让给他人使用。在涉及个人信息时,则需要个人进行授权。
数据共享不等于数据倒卖,二者的根本区别在于是否获得了信息主体的授权,如果没有授权或者没有获得明确授权,则相关信息可能异化为一种数据买卖,可能是非法的。数据共享之所以需要授权,也是因为数据共享包括个人信息的传输和收集,共享过程中可能对个人的信息和隐私带来一定的威胁甚至侵害,所以必须要获得授权。当然,数据控制者对个人信息进行处置的时候,完全可以通过匿名化的方式处理,如果按照通常的技术手段已经无法识别个人信息主体,很大程度上阻断了相关信息和个人身份的关联性,共享障碍已经大大降低了,这种情况下通常不需要授权。笔者认为,信息共享的授权应当注意如下几个方面的问题:
第一,授权必须是明确的。也就是说,数据共享一旦涉及个人信息,则应当获得信息主体的明确授权。从比较法上来看,在对数据共享的授权方面,美国和欧洲的做法并不相同。依据美国加州《消费者隐私保护法案》第1798条的规定,应采用“未反对即视为同意”的做法,也就是说,信息控制者在向第三方转让其个人信息时,要求必须向消费者告知信息收集的类别、使用目的以及消费者有权要求企业删除信息,如果个人没有作出选择,则默示认定个人同意数据可以分享。而欧盟《一般数据保护条例》第6条规定,“1.只有满足至少如下一项条件时,处理才是合法的,且处理的合法性只限于满足条件内的处理:(a)数据主体已经同意基于一项或多项目的而对其个人数据进行处理”。因此,信息控制者在处理个人信息时,应当考虑信息主体与数据控制者的关系,保护信息主体的合理期待,其目的在于确保信息主体基本权利与自由不受侵犯。在信息控制者分享个人信息时,应当取得个人的明确同意,“未明确同意即视为反对”。从我国立法来看,我国《民法总则 》第111 条虽然规定了个人信息应当依法收集和利用,不得非法收集和利用。但何为合法?何为非法?《民法总则》并没有作出规定。但《民法典各分编(草案)》第817条规定,“未经被收集者同意,不得向他人提供个人信息”,是否应当将此处的“被收集者同意”解释为原则上需要信息权利人的明示同意?从实践来看,一些网络服务提供者在提供app软件时,往往会收集大量的个人信息,而且通常将信息主体的沉默解释为同意信息的收集与共享。笔者认为,此种做法并不妥当,在缺乏信息主体的授权时,网络服务提供者不得擅自共享相关的个人信息。例如,用户在下载app软件时,一般都会签订相关的个人信息、隐私利用与保护条款,其中就可能包括对数据分享的授权,缺乏此种授权,相关的信息控制者即无权进行数据分享。也有不少授权条款写得非常模糊,或者以过于复杂的表述使信息主体难以准确把握其中的内容。笔者认为应借鉴欧盟的经验。如果授权条款写得不清楚,则即便获得了个人同意,也不能认为是获得了授权。
第二,必须针对数据共享特别授权。在收集、利用个人信息时应当取得个人的授权,数据共享也应当取得信息主体的特别授权。从我国司法实践来看,有的法院也采纳了此种立场。例如,在“北京淘友天下技术有限公司等与北京微梦创科网络技术有限公司不正当竞争纠纷案”中,双方当事人通过OpenAPI开展合作,但被告在合作过程中不当抓取原告的用户个人信息。北京知识产权法院认为:“OpenAPI开发合作模式中数据提供方向第三方开放数据的前提是数据提供方取得用户同意,同时,第三方平台在使用用户信息时还应当明确告知用户其使用的目的、方式和范围,再次取得用户的同意。因此,在OpenAPI开发合作模式中,第三方通过OpenAPI获取用户信息时应坚持‘用户授权’+‘平台授权’+‘用户授权’的三重授权原则。”在该案中,北京知识产权法院提出了三重授权规则,即用户授权+平台授权+用户授权。从信息权利人角度,实际上是双重授权,即第一次如果数据的收集者在收集信息的时候必须获得授权,第二次把收集到的信息进行分享的时候还要获得另一次授权,也就是数据的分享必须要再一次获得个人信息权利人的同意。此种做法值得赞同。我国《民法典各分编(草案)》第817条规定:“未经被收集者同意,不得向他人提供个人信息。但是经过处理无法识别特定个人且不能复原的除外。”该条实际上要求信息主体对信息共享本身进行授权,而不限于对信息收集行为的授权。当然,信息被共享者再次共享信息时,仍应当适用该规则。
第三,必须严格限制概括授权。从实践来看,一些网络服务提供者往往采用拟定概括授权条款的方式,取得个人信息共享的权利。在概括授权的情形下,信息权利人在进行概括授权之时对于个人信息收集者以及其对个人信息的使用方式并不完全知晓,从某种程度上说,概括授权相当于个人信息权利人将其对个人信息享有的权利完全委托给了被授权者。而鉴于个人信息与信息主体人格利益之间的紧密联系,此种委托可能会造成信息主体对于个人信息的完全失控,从而带来超出其合理预期的影响。例如,某企业通过健康手环收集到用户个人的健康状况信息,该信息属于个人的敏感信息,如果允许该企业设置要求用户对数据分享进行概括授权的条款,信息收集者就可能把有关个人的健康信息共享给保险推销者、养老产品的销售者、医疗产品的生产者等,这就不利于个人隐私权、个人信息权的保护,甚至造成个人健康信息的泄露。因此,在规范数据共享时应当严格限制概括授权条款的运用。
第四,不需要授权的情况应该法定化。在信息时代,为了维护公共安全、公共利益,有必要赋予一些公权力机关收集、共享个人信息的权力,同时,为了促进教学、科学研究的进步,也有必要赋予相关主体共享个人信息的权利。但这有可能形成一把双刃剑,如果对公权力缺乏必要的监控和控制,或者对公权力机关收集、共享个人信息缺乏限制,都可能导致个人信息保护的失控。有观点认为,凡是为了公共利益而进行数据共享,都不需要信息主体的授权。但“公共利益”的内涵过于宽泛,不宜作为数据共享的充分条件,特别是个人宾馆开房记录、个人刷卡记录等都涉及个人的核心隐私。那么,这些数据是不是所有的政府部门都可以利用,是不是从事教学科研等涉及公共利益的活动都可以利用?笔者认为,不需要授权的情况应当由法律明确规定下来,做出明确列举,这样既可以保护个人信息的权利,也可以为数据产业的发展提供明确的行为标准和发展预期。《民法典各分编(草案)》第816条只是规定了在“为学术研究、课堂教学或者统计目的在合理范围内实施的行为”和“为维护公序良俗而实施的必要行为”两种情形下实施收集、公开、共享个人信息的行为不承担责任,但该规定过于宽泛,有必要作细化规定。凡是不需要授权的情形,应当做更详细的列举。
(二)共享者获得信息后,应当在信息主体授权范围内使用
在取得信息主体的授权后,是否意味着分享行为不受限制?笔者认为,数据共享行为应当严格限定在授权的范围内。一方面,除信息主体对被共享者有特别授权外,被共享者对相关信息所享有的权利不得超出信息共享者权利的范围。信息主体在进行初次授权时,实际上已经有了用途限制,那么分享给第三方也要有用途限制。因为被共享者所享有的对个人信息进行利用的权利范围不得超过信息共享者的权利范围。另一方面,如前所述,要使信息权利人控制信息共享的过程,使个人信息保护不至于失控,信息共享者应当在授权范围内共享信息。尤其应当看到,从实践来看,许多侵害个人信息的行为都根源于信息权利人对其信息权利的失控。据报道,谷歌曾经让第三方开发者和服务提供商扫描几百万Gmail用户的个人邮件,目的是推出其他针对性的互联网服务。一家服务网络广告主、通过用户邮件获取信息的公司“Return Path”,对于200多万Gmail用户的信件进行了软件阅读,另外该公司员工亲自阅读了8000封并未对敏感内容进行遮挡的信件。此种数据共享行为实际上已经超出了邮件用户的授权范围。据报载,脸书软件将5000多万网民的信息泄露给英国的一家名为“剑桥分析”的数据分析公司,该公司利用大数据分析技术,对选民进行精准的信息投递,影响选民的决策,从而帮助特朗普在选举中胜出。此种数据共享行为也超出了用户授权的预期。
(三)数据共享应遵循合法、正当、必要、最小化使用的原则
相关主体在获得数据共有的权利后,数据开发者能否无限制地共享相关的个人信息?笔者认为,数据共享时仍应当遵循与初次收集个人信息相同的基本规则,包括遵循正当、合法、必要等规则。《网络安全法》第41条对此作出了规定。《民法典各分编(草案)》第814条也规定,收集、使用自然人的个人信息的,应当遵循合法、正当、必要的原则。笔者认为,除上述原则之外,个人信息的搜集、使用和共享还应当遵循“最小化使用原则”。它是指在从事某一特定活动时可以使用、也可以不使用个人信息时,要尽量不使用;在必须使用并征得权利人许可时,要尽量少使用。比如,在收集个人信息时,其所获取的个人信息应当以满足使用的目的为限,而不得超出该范围收集个人信息。为达到目的如果只需要使用权利人的非敏感个人信息,则不应该扩大信息收集和使用的范围。再如,在论坛注册账号时,除非有正当理由,否则不得要求用户提供家庭地址和手机号码等信息。毕竟个人不愿过多公布个人信息,过度利用也可能会侵害他人权利,构成不必要的干扰。这一原则本来是信息收集和使用的规则,但同样适用于信息共享行为。也就是说,数据共享的范围应当受到限制,不能无限制地使用和分享。此外,数据共享过程中还应当尊重信息权利人的知情同意权、信息查询权、安全维护权、信息删除权等。
五、对信息共享中格式条款予以规范
在实践中,用户在安装使用一些软件和程序时,必须接受互联网企业的格式条款,否则将无法安装使用。互联网企业可能会利用其经营、技术上的优势地位,通过格式条款的形式设定不利于保护用户隐私、个人信息等的数据共享条款。这就需要有效规制此类格式条款,具体而言有如下几点。第一,互联网企业应当在协议中显著标识个人信息共享的条款,以提示用户注意该条款的内容。网络服务提供者在获得用户的上述授权时,应当对网络用户尽到明确的提示说明义务,尤其是对数据共享条款而言,应当明确数据共享的方式、范围等内容,严格限制概括授权条款的适用。第二,对互联网企业所拟定的数据共享的格式条款,可以由相关主管部门对该条款的合法性进行事先审查,相关的行业协会也可以拟定数据共享的示范条款。第三,如果数据共享的格式条款明显不利于保护用户的隐私、个人信息等权利,则信息权利人应当有权否定该条款的效力,该条款也不能成为互联网企业共享用户个人信息的正当性基础和侵权的免责事由。
六、结语
“法与时转则治”,在互联网、大数据时代,数据共享对数据产业的发展具有基础性的意义,数据共享需要妥当平衡数据产业发展与个人信息、数据权利保护之间的关系。从促进我国数据产业发展的现实需要出发,应当鼓励数据共享行为,但数据共享又不能完全离开个人信息保护,否则,数据产业可能进入野蛮生长状态。为保障数据产业健康有序发展,应当在保护个人信息权利的前提下规范数据共享行为,这也是我国民法典编纂应当秉持的立法原则。
欢迎扫码获取法宝介绍和试用
—更多内容—