在当今时代背景下,信息化进程不断推进,个人信息除了承载个人的人格权益外,在其流通过程中也成为一种社会资源。个人信息主体与处理者在个人信息上分别有其利益所在,因而需要法律法规加以规范。随着个人信息保护法的出台,把握其规范目的以保障其适用显得更为重要,因此必然要分析个人信息与利用的关系。本文认为,个人信息规范目的是在充分尊重个人信息所承载的人格权益的基础上,追求个人信息保护与利用的平衡。 Under the background of the current era, with the continuous advancement of information technology, personal information not only carries individual personality rights and interests, but also becomes a kind of social resource in its circulation process. The subject and the processor of personal information have their own interests in personal information respectively, so it needs to be regulated by laws and regulations. With the introduction of the personal information protection Law, it is more important to grasp its normative purpose to ensure its application, so it is necessary to analyze the relationship between personal information and use. This paper holds that the purpose of personal information regulation is to pursue the balance between protection and utilization of personal information on the basis of fully respecting the personality rights and interests of personal information.
在当今时代背景下,信息化进程不断推进,个人信息除了承载个人的人格权益外,在其流通过程中也成为一种社会资源。个人信息主体与处理者在个人信息上分别有其利益所在,因而需要法律法规加以规范。随着个人信息保护法的出台,把握其规范目的以保障其适用显得更为重要,因此必然要分析个人信息与利用的关系。本文认为,个人信息规范目的是在充分尊重个人信息所承载的人格权益的基础上,追求个人信息保护与利用的平衡。
个人信息保护与利用,人格权益,平衡
Zhiheng Hu
School of Law and Politics, Shiliancai School of Journalism and Communication, Zhejiang Sci-Tech University, Hangzhou Zhejiang
Received: Feb. 13th, 2023; accepted: Feb. 23rd, 2023; published: Mar. 21st, 2023
Under the background of the current era, with the continuous advancement of information technology, personal information not only carries individual personality rights and interests, but also becomes a kind of social resource in its circulation process. The subject and the processor of personal information have their own interests in personal information respectively, so it needs to be regulated by laws and regulations. With the introduction of the personal information protection Law, it is more important to grasp its normative purpose to ensure its application, so it is necessary to analyze the relationship between personal information and use. This paper holds that the purpose of personal information regulation is to pursue the balance between protection and utilization of personal information on the basis of fully respecting the personality rights and interests of personal information.
Keywords:Personal Information Protection and Utilization, Personality Rights and Interests, Balance
Copyright © 2023 by author(s) and Hans Publishers Inc.
This work is licensed under the Creative Commons Attribution International License (CC BY 4.0).
http://creativecommons.org/licenses/by/4.0/
大数据时代到来,不同于以往的信息难以整合,单个信息或少量信息的价值有限的情形。当今时代背景下信息处理技术不断突破,信息的大量汇集产生了巨大的经济、社会价值,而信息在被不断处理的过程中,除创造价值而备受产业和管理机构青睐以外,许多处理活动也给信息主体造成了困扰甚至损害。为规范个人信息处理活动,一批个人信息规范相继出台,《中华人民共和国个人信息保护法》历经三审通过,标志着我国的个人信息保护来到了新的阶段,具有划时代的意义。法律的生命在于实施,为保障其适用,首先需要明确其规范目的,而要明确其规范目的,关键在于把握个人信息保护与利用的关系。
在个人信息领域,《个人信息保护法》在该独立法域是唯一一部“根据宪法,制定本法”的法律,不仅有其程序意义,更奠定了其基本法的地位。这也意味着其相较于《网络安全法》等其他网络法律拥有者更高的法律地位,是整个网络信息与空间的基本法 [
《个人信息保护法》第一条开门见山写明立场,写明其立法目的即通过规范个人信息处理活动,保护个人信息权益,促进个人信息合理利用。法律的首条,往往作为该部法律具体法律制度的逻辑起点,每项制度与规定均不得与首条相抵触,因此也应当成为该部法律被理解与适用时的出发点,其统领该部法律全部法律法规的价值取向,贯穿于该法始终。由此,准确地把握该部法律的立场,可窥见立法机构对个人信息保护与合理利用应当兼顾的强调,在理解与适用时亦不可偏离。
法的基本原则是法的价值的所在,亦是其具体化。依据《个人信息保护法》第五条,个人信息处理活动的基本原则包含合法、正当、必要和诚信原则,为个人信息处理设定了边界。应该明确的是,这种界限的设置并不是对个人信息使用的打击或禁止,而是进一步的规范。只有设置适当的边界,使得个人信息的处理公开化与健康化,才能依法有序地促进个人信息的整体使用 [
以必要原则为例,必要原则是指处理个人信息应当限制在实现目的所需的最少个人信息范围内,包括禁止过度损害与禁止保障不足两大方面 [
如托·伍·威尔逊所说:“法律是社会习俗和思想的结晶”1。对于规范目的的探究应当从社会实际出发,从社会效益的角度对保护与利用加以分析,而并非想当然的空中楼阁。大数据时代,新技术助力下的数字经济、数字社会、数字管理前景空前繁荣。十八届五中全会首次提出“国家大数据战略”,数据资源已然成为国家的战略资源,大数据战略成为国家战略。在个人信息因大数据的不断发展而大量显现,其价值备受企业和管理部门的青睐的同时,也相应地带来了一系列的问题。部分企业或管理部门缺乏个人信息保护意识,忽视个人信息主体的在个人信息上的合法权益,或者未采取充分的保护措施,建立合理合法的信息处理合规路径,甚至部分信息使用主体存在恶意使用现象,将信息主体暴露在巨大的风险下。
个人信息未必都包含隐私,但隐私往往承载于个人信息之中。对于个人信息的属性是什么,是否能成为一种权利,其权利属性为何,在学界仍有争议,具有代表性的学说有基本权利和自由说、框架权说、物权说或所有权说、一般人格权说、人格权兼财产权说、隐私权说、个人信息权否定说、具体人格权说 [
随着科学技术的进步,以往需要以纸质文本流传的信息变得可以通过数据传播,其传播成本大大降低,为信息的使用、流通和共享提供了条件。大量的个人信息通过网络以数据的方式形成,一方面机构或者其他个人获取个人信息的渠道不断增加且趋于技术化、隐蔽化,其来源可能是一手、二手甚至多手,信息易被多重转手,传播链条不断拉长,另一方面其通过各种方式大量收集个人信息后,其用途也往往难以为个人信息主体所预料和监督,被滥用的可能性大大增加,个人合法权益被侵害的可能性随之增加。从当前其被滥用的事例出发,可以发现大数据背景下不仅包括传统的个人信息如电话号码、家庭地址、家庭信息等信息容易被滥用者以出售等方式侵害、还有新型的个人信息如人脸、指纹等生物信息也有被其他机构或个人滥用的风险,并且依托互联网,其侵害方式不断增加往往也更具有隐蔽性,然而危害性却并未随着侵害方式的增加而减少,反而随之增加。新型的个人信息被滥用,以“人脸识别第一案”为例,原告当事人因不满杭州野生动物世界采用人脸识别方式入园,而以侵犯隐私权和服务合同违约为由将后者告上法庭,法院认为被告的处理方式超出事前收集目的,违反了正当性原则,判决被告删除原告的面部特征信息以及指纹识别信息,该案件入选最高人民法院于中央广播电视总台共同主办的“新时代推动法治进程2021年度十大案件”2。由此可以看出,个人信息可能的载体不断增加,个人信息泄露的方式与可能性也不断增加,处理者对于个人信息的侵害方式繁复多样且趋于隐蔽化,而相应的个人信息主体对个人信息的保护需求不断突出,保护意识也随之提升,司法机关也不断更新其认知与司法实践。
信息时代之下,物质的价值存在不再局限于传统的有形状态。就个人信息而言,社会的运行对信息的依赖程度不断加深。在信息化的大环境下,为满足信息处理需求,不仅传统公私机构开始设定特定的部门处理个人信息以满足其自身的使用与合规需求,以及满足社会对于个人信息利用的需求。专门的信息处理者也随之出现,其主要业务就是为个人或机构提供信息处理服务。这些海量的信息处理活动一方面已经成为新经济的一部分,并为传统行业提供新的助推力,另一方面,在客观上也为信息个体提供了便利,人们主动或被动地享受着个人信息处理者提供的服务。
具体来说,对于企业而言,经过大数据、云计算等技术对个人信息加工处理后,根据其自身的需求与发展方向,可以针对不同的客户提供差异化的服务以吸引客户,增加客户粘性。应当认识到,企业所收集、存储的个人信息及其处理能力,已然成为其竞争力的重要部分。事实上,许多单个的分散的信息其价值并不明显,正是企业强大的信息收集与处理能力使得海量的信息汇聚,从而制造了巨大的价值。而在这过程中,企业亦是付出了时间、技术等成本创造了独特的价值,因而汇集的个人信息上还承载了企业的合法权益。比如淘宝、京东、抖音等平台通过大数据技术分析用户的需求,提供定制化的产品界面;还有部分企业如SaaS公司,其主要业务就是围绕企业的需求,为客户提供定制化的信息处理服务,本质上依旧是对于信息的处理,帮助客户分析市场动向及自身风险管理与把控,增创新收益 [
1948年,被称为“信息论之父”的克劳德·香农(Claude E. Shannon)在《通讯的数学理论》一文中提出:“信息是用来消除随机不确定性的东西。” [
依据《个人信息保护法》第四条第一款对于个人信息的定义,可以明确我国对于个人信息的界定以其识别性为标准,而其之所以应当受到保护,正是因为个人信息可以通过一定方式识别到个人,与个人及个人的人格尊严密不可分,且不讨论其是否为人格权,但至少应包含个人的人格权益,则必然要受到我国宪法的保护 [
为明确保护范围,将个人信息所承载的人格尊严进一步具体化,本文借鉴学者的观点,对其蕴含的人格权益加以拆分,具体可以包括个人自由、身份利益以及平等 [
信息的存在是为了解决不确定性,当某个个体掌握了特定的信息时,相较于其他不掌握该信息的个体就相对拥有确定性。个体在社会中与人交往、交互时,需要在社会中有其独特的坐标以标记自我,个人信息便可以作为锚点以固定坐标,可以作为其与社会中其他个体或组织交往时的工具。总结而言,信息不是为了保护而存于世间的,相反恰恰是为了利用 [
深究个人信息的工具性质,正是其工具性质决定了个人信息的社会性、公共性。应用场景主要包括以下两个角度:从个体出发,个人需要信息来标识自己,如姓名、性别、国籍、身份证号等,由此作为与社会中其他主体交往的符号,使特定或者不特定的人将个体的社会活动结果与个体联系起来。在这一过程中,信息必然会被传播、利用,为其他个体所掌握,这也是个体社会活动的必然结果;从社会角度而言,社会需要收集社会中各个主体的信息,对此加以利用以了解个体,并在特定的场景下做出判断。个体需要主动利用信息的同时,也有信息被社会所利用的需求,两者不可或缺。当特定的信息被用来识别个人时,并不意味着该信息属于该个人,这些信息仍然可以被用于标识其他个体,因而信息具有可共享性、公共性与社会性。
总结而言,个人信息的价值在于传播,具有极强的工具性质。然而,又因其脱胎于个人,承载着人格权益。而个人的人格权益受到宪法的保护,从人格权益出发,个人有权知情并参与个人信息处理活动,以保障其自由、身份利益与平等。在此基础上,可以为个人信息的利用构建平台,即是否可能损害所承载的人格权益,以此作为保护与利用的分界。
应当认识到,在大数据的时代下,对于个人信息完全地保护抑或利用都是不合理也不现实的。事实上,个人信息的保护与利用不是非此即彼的关系,无论从社会中不同利益主体对个人信息的需求,有效发挥个人信息真正的价值、有力保护个人信息主体合法权益的角度,抑或从现有的执法、司法资源的角度出发,在划定边界以保护个人信息主体的核心权益的前提下,鼓励规范个人信息利用而不偏废一方,是正确合理适用个人信息规范应有之义。而如何为个人信息的保护与利用划清边界,关键在于深刻理解并把握个人信息作为载体所承载的主体的人格权益,并以此为平台重塑对于个人信息本身以及个人信息规范的理解,以此推动合理的、健康的个人信息利用环境的形成,推动大数据时代的进一步繁荣。因此,本文认为,个保法时代下对于个人信息规范目的的分析,可参考的角度是以个人信息所承载的人格权益为平台加以核查,平衡个人信息保护与利用,厘清个人信息保护的边界,保障个人信息相关法规的适用。
胡志恒. 个保法时代下个人信息规范目的分析Analysis on the Purpose of Personal Information Regulation in the Era of Personal Information Protection Law of the People’s Republic of China[J]. 法学, 2023, 11(02): 520-525. https://doi.org/10.12677/OJLS.2023.112075