論個人信息的“生前保護”

劉康輝

(武漢大學網(wǎng)絡治理研究院 武漢 430072)

1 問題的提出

依照《中華人民共和國個人信息保護法》(以下簡稱《個人信息保護法》)第4條第1款對個人信息的定義:“個人信息是以電子或者其他方式記錄的……各種信息”.從中不難看出,記錄是個人信息的生成方式,也是其構成要素,未經(jīng)記錄的與已識別或者可識別的自然人有關的各種信息并不構成個人信息,其先于個人信息而存在,經(jīng)由“記錄”這一生成方式之后,方能成為我國《個人信息保護法》所保護的個人信息,此即本文所稱個人信息的“生前”形態(tài).然而,《個人信息保護法》不僅未在對“個人信息”的定義處將此等“生前形態(tài)”包含在保護的客體之內(nèi),而且在“個人信息的處理”之定義中,也沒有就個人信息的生成(“記錄”)作出特別的保護規(guī)定.

通說認為,由于個人信息處理的每個環(huán)節(jié)都存在侵害自然人民事權益的風險[1]12-13,為了最大化保護信息主體的個人信息權益,我國《個人信息保護法》沒有將對“個人信息處理活動”的規(guī)制范圍局限于“以識別分析為目的”的特定處理行為[2],而是涵蓋從個人信息的收集到最終刪除的全生命周期的各個環(huán)節(jié)[3].概括式的界定增加了概念本身的彈性[4],個人信息全生命周期中的其他處理環(huán)節(jié)即使未在本條列明,仍應被視為個人信息處理行為[5].然而,全“生命”周期保護之表達固然意在擴大個人信息的保護范圍,但是與此同時也不可避免地形成了對個人信息保護范圍的限定,從反面推斷出:在個人信息沒有“生命”的時候,是不受《個人信息保護法》保護的,而此種“沒有生命”的狀態(tài)也當然地包含“正在生成的過程”.

從歷史解釋的角度來看,在《個人信息保護法》的審議過程中,一些委員、代表和專家提出應當增加對個人信息處理活動的列舉,如增加“記錄”“刪除”“檢索”等,但最終只增加了“刪除”這一類處理活動,而沒有增加“記錄”.雖然有學者解釋道:個人信息處理活動的類型很多,對于不是特別典型和重要的處理活動,可以用“等”字涵蓋[1]70.然而,任何一條個人信息都要經(jīng)過“記錄”這一生成過程,該處理活動難謂不典型,難謂不重要.而且其僅僅是學者觀點,無法影響到歷史解釋的認定過程;另一方面,就“記錄”而言,也難以通過對“等”字進行文義解釋的方式引出.“個人信息的處理”定位于個人信息處理者的主體視角,而并非以作為客體的個人信息為視角,由于語義邏輯上應當先存在個人信息,而后才有對其的處理,即便是對“等”字作再大的擴張解釋,由于生命周期的限制以及定位視角的原因,始終難以涵蓋個人信息的生成環(huán)節(jié).最后,記錄也無法為“收集”所涵蓋.《信息安全技術個人信息安全規(guī)范》明確指出,收集是獲得個人信息的控制權的行為,離線導航中的位置信息如果不回傳軟件提供者則不構成收集.收集不過是個人信息在不同主體間的流轉(zhuǎn),而生成則關乎個人信息從無到有的過程.

2 問題成因:個人信息有體性使然

2.1 比較法上個人信息及其處理的組合方式

歐盟最早在1995年通過的《歐盟個人數(shù)據(jù)保護指令》中,將個人數(shù)據(jù)定義為“與已識別或可識別的自然人有關的任何信息”,其中并未強調(diào)信息的載體形式.該指令后來由2016年4月通過的《通用數(shù)據(jù)保護條例》(“GDPR”)所取代,新的條例對于個人數(shù)據(jù)同樣沒有限定其須以何種方式存在進而載體化.相反,其將原本指令中個人數(shù)據(jù)處理中的“錄制”置換成了“記錄”,顯然是擴大了個人數(shù)據(jù)生成方式的范圍.由此,歐盟所采取的組合方式是對于個人信息不作形式上的要求,所稱的個人信息是一種抽象的觀念表達,然后將對個人信息的記錄歸入個人信息的處理活動,其雖然在法案標題使用“data”一詞,但是就其內(nèi)涵而言,更加符合“information”的定義,并且在對個人信息的定義處也采用的是“any information”的表達.就二者的區(qū)分而言,信息是數(shù)據(jù)的內(nèi)容,數(shù)據(jù)是信息的形式[1]74.由此便實現(xiàn)了《通用數(shù)據(jù)保護條例》對個人信息不僅全生命周期而且完全的保護,個人信息不存在“生前生后”的問題.

美國《加州消費者隱私法案》(CCPA)將個人信息定義為“直接或間接地識別、關聯(lián)、描述,或能夠合理地聯(lián)系到一個特定的消費者或家庭的信息”.一方面并未對個人信息作出形式上的要求;另一方面,它還通過列舉的方式,明確地將“網(wǎng)絡活動信息:瀏覽歷史、搜索歷史……”等具有數(shù)字化特征的信息歸入個人信息的范疇.關于個人信息的處理,定義為對個人信息或多組個人信息進行的任何操作,無論是否以自動化的方式.雖然沒有明確地指出記錄這一操作行為,但是“任何操作”的用語顯然是將“記錄”包括其中的.

日本《個人信息保護法》雖然在個人信息定義條款中強調(diào)了“記載或記錄的”這一形式要件[6],但是卻并沒有將此作為判別個人信息的唯一構成路徑,與之并列的還包含“或者以聲音、動作或其他方式所表示的所有事項”之表達,由此不能說日本的個人信息必須經(jīng)由“記錄或者記載”,只要是能夠表示出來的,在滿足識別要件后均可成為個人信息.“表示”相較于“記錄或者記載”有更為廣闊的語義內(nèi)涵,所有的信息均是可以表示出來的,由此日本對于個人信息的定義,并沒有形式上的限制.

英國、韓國、新加坡、德國、俄羅斯、巴西、印度等國家對于個人信息的定義中,亦沒有出現(xiàn)個人信息必須載體化或者形式化的要求[3]18-19,其所保護的對象也都是定位于作為內(nèi)容層面的信息,而不是聚焦于其外在表示形式的數(shù)據(jù).對于這些國家而言,個人信息的出生始于其具有識別性,某些個人信息可能在未被人們發(fā)覺之時便早已生成,所稱的“生前”幾乎不存在適用空間,也難謂在此期間對個人信息進行特別保護的問題.

2.2 個人信息有體性造就“生前保護”問題

我國無論是在最早的《全國人民代表大會常務委員會關于加強網(wǎng)絡信息保護的決定》中將個人信息局限于“電子信息”,還是在后續(xù)的《中華人民共和國網(wǎng)絡安全法》《中華人民共和國民法典》直至《個人信息保護法》中,擴充“電子信息”的范圍為“以電子或者其他方式記錄的”,始終貫穿著對個人信息“載體化”的要求,由此可以看出我國不保護處于內(nèi)容層面觀念上的信息,而聚焦于客觀載體化的個人數(shù)據(jù).個人信息必須以電子或者其他方式記錄下來,沒有以一定載體記錄的信息不能認定為個人信息[7].《個人信息保護法》不規(guī)制純粹的“信息”無可厚非,畢竟,唯有載體化的事物方能借助其外在形式大范圍傳播,進而構成對信息主體人身或者財產(chǎn)上的潛在威脅以及人格尊嚴、自由的侵犯.但是在純粹的識別性信息和載體化的“個人信息”之間,還存在“載體化”這一處理過程.我國也沒有通過特別的法律擬制(類似于胎兒利益保護和設立中的法人權利能力規(guī)則),將“記錄”歸入個人信息的處理范疇.由此形成了在個人信息定義處和個人信息處理的定義處的雙重缺位,造成個人信息完全缺乏“生前保護”的局面.

3 個人信息“生前保護”的必要性

3.1 控制“生成”是個人信息自決權的應有之義

個人信息是能夠識別特定自然人的信息,這種可識別性就體現(xiàn)了人格特征[8].個人信息之上承載著信息主體的人格利益,無論是基因數(shù)據(jù)等隱私信息,還是姓名、cookies(一種利用網(wǎng)站服務器保存特定信息至用戶計算機,并從中讀取相關信息的技術[9])等一般信息,均與人格形成與發(fā)展有關,皆為人格要素,均構成個人整體人格之一部[10].法律保護自然人的個人信息,目的就是保護基本人權和自由,關涉到人性的尊嚴與人格的自由發(fā)展[1]33.個人信息權便是為了保護此等人格利益發(fā)展而來的一種新型的人格權,也稱個人信息自決權,是指自然人對其個人信息享有支配和自主決定的權利[11].我國《個人信息保護法》的一系列制度設計均是圍繞保障個人信息主體的自決權展開的,如“知情同意規(guī)則”“個人信息權利束”等.控制個人信息的生成與否,同樣關涉到信息主體的人格尊嚴與自由,未對信息主體予以告知并征得其同意,擅自生成個人信息的行為實則是破壞了個人信息主體享有的自我決定的權利,進而構成對于個人信息主體人格自由的侵犯.

個人信息生成的本質(zhì)是其載體化的過程,與個人信息的刪除或者被遺忘權具有同質(zhì)的內(nèi)核.個人信息的“出生”與“死亡”共同體現(xiàn)了個人信息主體對其個人信息命運歸宿的支配和自主決定利益,但是《個人信息保護法》單就刪除行為歸入到個人信息的處理中,并且在此基礎上對個人信息處理者苛以一定的處理義務以及對個人信息主體賦予相應的工具權利,卻將個人信息的生成全然排除在《個人信息保護法》一系列旨在維護個人信息自決權的規(guī)則體系之外,實則是減損了個人信息主體所享有的基本人權和自由.并且,個人信息的“出生”較之“死亡”而言,實則更加具有亟需法律保護的迫切需要.無論是給個人信息處理者設定義務還是給信息主體賦予權利,本質(zhì)上是實現(xiàn)個人對其個人信息自主的支配,進而防范個人信息處理活動中伴生的諸多風險.然而個人信息的“出生”對于個人信息處理者而言是未經(jīng)利用的、充滿價值的,而對于個人信息的“死亡”而言,則是已經(jīng)利用過的、價值不飽滿的,由此個人信息處理者會更加傾向于不斷地生成個人信息而不是固守已經(jīng)處理過的個人信息.個人信息的風險始于個人信息處理者基于利益驅(qū)動的處理活動,由此相較于個人信息的“死亡”而言,規(guī)制“出生”環(huán)節(jié)更加具有緊迫性.《個人信息保護法》在終審稿唯獨增設“刪除”而忘卻“生成”不具有正當性,控制“生成”應當是個人信息自決權的應有之義.

3.2 “生成”個人信息創(chuàng)設了法益侵害風險

個人信息的“生成”具有獨立性.在個人信息處理者利用其編寫的應用程序輔助個人信息主體進行記錄而未回傳至個人信息處理者的場合,由于個人信息處理者并未實現(xiàn)對個人信息的控制權,載體化的個人信息仍舊存儲于個人信息主體所持有的設備中,由此不能算作個人信息處理中的處理行為.例如,離線導航軟件在終端獲取個人信息主體位置信息后,如果不回傳至軟件提供者,則不屬于個人信息主體對位置信息的收集.此時個人信息處理者僅存在生成個人信息的行為,但是卻不構成對個人信息的收集,即為本文所述的個人信息“生前保護”的實例空間.

然而,此種輔助記錄行為雖然暫時沒有進入個人信息處理的環(huán)節(jié),但是仍舊創(chuàng)設了侵害個人信息權益的巨大風險,對個人信息的濫用可能給個人信息主體帶來財產(chǎn)和人身損害[12].一方面,此等“生成行為”使得個人信息載體化并處于隨時可被收集處理的狀態(tài),利益驅(qū)使下必將引發(fā)個人信息的過度生成.在實踐中,此等“生成行為”可能是在無聲無息之間發(fā)生的,用戶甚至都不知曉自己的位置信息、瀏覽信息等個人信息被記錄了,即便是載體化的個人信息仍舊處于自己持有的終端設備中,用戶也很難去實現(xiàn)對個人信息的支配和控制(如加以刪除).此外,個人信息處理者所記錄的個人信息往往多于其所收集的個人信息,畢竟其收集的目的是加以分析利用,具有一定的篩選性.《個人信息保護法》只對收集行為規(guī)定了最小范圍原則,而不對“記錄”行為加以規(guī)制,那么其所創(chuàng)設的這種隨時可被收集利用的狀態(tài),使得即便個人信息存儲于用戶一端,個人信息處理者仍舊可以在有需求時盡來取之即可,收集環(huán)節(jié)最小必要規(guī)則被個人信息處理者以記錄在用戶本地的方式架空了.個人信息的非法處理往往是從過度收集個人信息開始的,過度收集來的個人信息又進一步面臨被非法買賣或者泄露的風險[1]92.另一方面,個人信息生成環(huán)節(jié)的缺位會顯著地減輕個人信息處理者的安全保障義務,而用戶通常不具有采取安全防護的能力.個人信息處理者完全可以將所記錄的海量個人信息存儲于用戶本地,而在有處理需求之時收集特定的一小部分加以處理,如此其無需保障存儲于用戶本地的個人信息的安全,僅需對每次使用的個人信息負有安全保障義務.在此過程中,由于將個人信息存儲于用戶本地不構成個人信息的處理,屬于個人信息保護的法外之地,個人信息處理者的安全保障義務大大減輕,而用戶所面臨的風險則顯著增加.

4 個人信息“生前保護”的應對策略

如前所述,個人信息有體性的要求導致其欠缺“生前保護”,使得個人信息主體的自決權遭受威脅,進而侵害到個人信息背后所承載的人格利益.同時,由于個人信息處理者趨利避害的心理,會在過度生成個人信息于用戶本地的同時,不斷地降低《個人信息保護法》對自己苛加的各項個人信息處理義務,導致個人信息面臨過度生成、降低安全保障義務等各類風險,因此需要直面?zhèn)€人信息欠缺“生前保護”的問題.

由于《個人信息保護法》頒布不久,其所出現(xiàn)的各類問題應當秉持解釋論優(yōu)先的原則.我國可以通過出臺個人信息保護法司法解釋的方式,對個人信息的處理之定義中的“等”字,根據(jù)舉輕以明重的當然解釋(刪除都歸入個人信息的處理,記錄更加在此語義范圍之內(nèi)),將“記錄”解釋到個人信息的處理過程中,進而適用整個《個人信息保護法》有關規(guī)則的保護.并且對于“個人信息的處理”作被動語態(tài)的理解,即立足于個人信息的視角而非個人信息處理者的視角,論述可能涉及的各類處理活動.如此一來,即便是仍舊無法擺脫個人信息有體性的禁錮與語義邏輯上的先后順序,但是基于我國的司法實踐中司法解釋具有一定的創(chuàng)制法律的功能,那么也可以將其視作為類似于胎兒利益保護及設立中的法人權利能力特別規(guī)則的一種法律擬制.最后,在《個人信息保護法》的保護范圍界分問題上,亦應當采用“完全保護”的表達,而不是所謂的“全生命周期的保護”.

5 結 語

個人信息的有體性導致了其生成時點延后至載體化的過程,而《個人信息保護法》的系列保護規(guī)則僅適用于個人信息的全生命周期,對于其生成環(huán)節(jié)而言缺乏有效的法律保護.個人信息生成環(huán)節(jié)與《個人信息保護法》中系列處理活動具有同質(zhì)性,我國既有的《個人信息保護法》并未對這種生成環(huán)節(jié)作出有效的回應,從而使之淪為個人信息處理的法外之地,個人信息并未得到完全的保護.通過法律擬制的方式可以有效地解決這一問題,但長久之計仍要跟隨國際主流趨勢,從根源上取消個人信息有體性的規(guī)定.