【作者】曹博
【内容提要】
*曹博
上海交通大学凯原法学院副教授
摘要:如何理解识别是明确个人信息可识别性的实质问题,既有的解释路径纠结于对个人信息做本质性的客观化理解,难以实现与具体人格权客体和人格要素的区分。将识别置于个人身份建构的动态过程,结合数字经济的现实影响,提供了从社会关系切入,重构个人信息可识别性解释路径的理论启示。作为识别对象的自然人在公共管理关系、社会交往关系与商业消费关系中呈现为公民、社会人与消费者三种角色身份,与之对应的公民身份信息、社会人身份信息和消费者身份信息,分别发挥连接公共管理、自主经营人设和内化消费意愿的功能。公共管理关系中,对公民身份的识别应以公共利益为导向并符合必要原则;社会交往关系中,对社会人身份的识别应以是否新增负面声誉信息为依据;商业消费关系中,对消费者身份的识别应以信息汇集程度是否足以推断消费意愿为标准。
关键词:个人信息 人格权 可识别性 识别对象 身份建构
一、问题的提出
确定个人信息的概念与范畴,是建构个人信息保护法律关系的逻辑起点。我国法律、司法解释及国家标准均通过可识别性界定个人信息,《民法典》与《个人信息保护法》分别形成“单独识别+结合识别”及“已识别+可识别”的概念结构。两种定义均以“识别”为核心,哪些信息属于个人信息与如何理解“识别”密不可分。“识别”是一种已然发生的事实,或可能发生的行为及结果。围绕“识别”产生的解释空间,使得个人信息的范畴与边界存在不确定性。试图通过可识别性确定个人信息的权益归属、为个人信息处理者划定行为边界,促进个人信息合理利用的规范价值极有可能落空。
如何明确个人信息的内涵与范畴,一直是学界关注的重要问题,并形成了多样化解决方案。一是限缩个人信息范畴,降低可识别性标准不确定性带来的消极影响。例如,有学者主张,应扩大个人信息匿名化处理的应用场景与实施范围;还有学者致力于厘清或重构“间接识别”的判断标准,提出“个人信息处理事业基准说”。二是从实践规则出发,弱化个人信息自决权的强度,从反面为个人信息处理者争取行为空间。例如有学者提出,应以“绝对同意/相对同意”“弱同意/强同意”等模式确立不同类型的知情同意规则;还有学者基于“通过设计的隐私保护”,于个人信息处理系统中实现透明度,形成合理期待,以部分排除自然人对个人信息的控制。三是根本反对个人信息自决权,强调自然人对个人信息进行支配控制不具有正当性与现实性。例如“个人信息社会控制论”认为,个人信息并非由个人意志决定,而应由社会控制。四是借鉴“场景风险理论”,主张个人信息范畴需在不同情境中具体分析。综观前述解决思路,场景风险理论无法清晰界定何为场景,放大了规则解释中个案考量的特殊性,无助于个人信息范畴的廓清,增加了不确定性;反对个人信息自决权的论调,则与个人信息保护的立法实践背道而驰;对知情同意规则的改造,以及通过设计保护个人信息的实践,也只是部分替代了同意规则的实施范围,并未触及可识别性的内涵与个人信息范畴;个人信息匿名化的标准尚不明确,直接标识符与间接标识符的区分与解读,还可能扩张个人信息范畴。
《个人信息保护法》颁布实施,意味着“我国对数字化背景下个人信息保护的要求、范围、方式等作出了重要且系统的立法决断”,相关法律规范体系基本成型,个人信息的可识别性标准获得立法确认。理论层面虽有不同见解,但大多以接受可识别性标准为前提,要么是对权益归属作抽象反思,要么是对实践规则作类型区分。然而,致力于从外部限缩个人信息范畴,或弱化个人控制力的方法,回避了可识别性的实质问题,即究竟如何理解“识别”。本文直面这一个核心问题,在梳理个人信息可识别性解释路径演进的基础上,从识别对象“身份建构说”提供的理论启示出发,指出作为识别对象的自然人,在不同社会生活关系中外化为不同身份角色,与之对应的个人信息也发挥着不同的价值功能。相关信息能否识别到特定自然人,应在这一功能视角下,结合相应身份角色进行甄别与判断,从而明晰个人信息的内涵与边界。
二、个人信息可识别性解释路径的演进及启示
我国个人信息保护立法规范的创设,一方面是对现实需求的回应,一方面明显受到域外经验(特别是欧盟)的影响,可识别性标准作为不证自明的通说被接纳。规范表述中的“识别”指向自然人,进一步解释中,受到人格权理论体系与认知惯性的影响,难以超越个人信息保护应采一般人格权,还是具体人格权的范式之争。针对识别对象,分别形成了“人格形象说”与“个人身份说”,二者体现了将个人信息与其他人格权客体和人格要素相区分的尝试。“身份建构说”立足于数字时代个人信息保护规范模式转变,为重新认识作为识别对象的自然人,进一步探究其在可识别性解释路径中的具体形态提供了有益启示。
(一)“人格形象说”导致个人信息与其他人格权客体难以区分
依据立法实践与学界通说,个人信息保护被置于人格权体系中,而人格权保护的前提是自然人与特定人格利益之间存在的联系,即人格属性与特定自然人之间的可识别性。在比较法上,无论是美国的“信息隐私”,还是欧盟的“个人信息自决权”,都面临如何将个人信息从隐私保护中剥离的理论难题。
“人格形象说”认定,个人信息可以勾勒出作为信息主体外在标志的人格形象,实现与隐私权的分离,个人应有能力与自由创设并控制其人格形象的价值预设,这也进一步成为个人信息保护的正当性理据。这种论证逻辑看似突出了个人信息的特殊性,实际上却是用泛化的人格权一般特征,替代了对个人信息的进一步厘定,导致凡是能够与特定主体建立身份连接的信息,都被归入个人信息范畴。任何可能对创设人格形象产生影响的信息,一律成为潜在的个人信息,识别的对象也从特定自然人,泛化为个人活动产生的所有痕迹,个人信息范畴被无限扩张。以体现人格权一般特征的可识别性,对个人信息进行厘定,将既有的人格权客体囊括其中,也从反面成为证立个人信息具有人格属性的依据。
既有的一些人格权客体能够直接被个人信息概念涵盖,传统上需经过法益衡量才能确定是否予以保护,以及提供多大程度保护的人格属性,也进入了个人信息范畴,导致个人信息与既有人格权客体的交叉重合。这尤其体现于个人信息与隐私的关系,法院在个案中基于可识别性展开的论证,时常难以区分隐私与个人信息,甚至往往以侵害隐私风险的高低,作为判定是否侵害个人信息权益的依据。
(二)“身份要素说”使得个人信息泛化为人格要素
在具体人格权中,对相应人格要素做进一步明确和归纳的理念与实践,有助于降低权利客体的不确定性,划定他人行为的合理边界。生命权、身体权以及躯体健康权等物质性人格权指向的客体,是具有唯一性的特定自然人身体。不同场景下的标表性人格权与精神性人格权,为保护相应人格要素所进行的识别,指向精神性的虚拟存在。这种虚拟存在依据不同人格要素的特性,呈现为不同面向,决定了其权利客体的不确定性。例如,姓名权与肖像权属于具备物质外观的标表性人格权,其指向的特定自然人外显为可以被识别的文字或形象,但均需满足与特定自然人身份之间建立唯一联系的要求。以名誉权和隐私权为代表的精神性人格权,虽不具备物质外观,但均以符合合理的社会期待为筛选机制,以便维护正常的社会评价和社会交往。
将能够识别自然人的人格要素与个人信息等量齐观的“身份要素说”,旨在为个人信息保护正名,《民法典》与《个人信息保护法》中界定的识别指向的特定自然人,事实上成为可能从人格尊严与人身自由中分解出的人格要素。单独识别与结合识别、已识别与可识别的区分也落入了循环解释的逻辑悖论:凡是能够识别到个体的信息,均属个人信息,而个体本身又指向呈现个体特征的各种人格要素,乃至并不属于人格要素的其他信息。
可识别性指向的对特定自然人的识别,泛化为对人格要素的识别,使得以识别难度进行识别路径区分的尝试,也陷入文义解释的循环论证,无从降低个人信息范畴的不确定性。在美景诉淘宝不正当竞争案中,法院一方面认定,行为痕迹信息与标签信息并不具备识别自然人个人身份的可能性;另一方面又承认,痕迹信息包含涉及用户个人偏好或商户经营秘密等敏感信息,容易与特定主体发生对应联系,会暴露其个人隐私或经营秘密。
(三)“身份建构说”提供了区分识别对象角色身份的理论启示
“人格形象说”与“身份要素说”,分别受到一般人格权与具体人格权构建模式的影响,都致力于从主体与客体的支配关系入手,对个人信息做纯粹客观化的本体性探讨。然而,在霍菲尔德看来,法律中的诸多概念并没有对应的“客观事物”,必须被置于人与人之间设定的法律关系中,才能作有效理解。对个人信息进行本质化理解难言成功,从法律关系角度理解个人信息及可识别性,成为一种值得尝试的选择。
有学者梳理个人身份保护经历的静态身份保护、动态身份保护与个人信息保护三个阶段,指出个人信息保护关注的是个人的身份建构过程,个人信息保护的对象并不是个人信息本身,而是个人在各种社会关系中身份建构的自主性和完整性。“身份建构说”反映了数字社会个人数字身份呈现形态渐趋多样化、碎片化及情境化的客观现实,也提供了无法对个人信息概念做本质化理解的破解之道,展现了重构个人信息可识别性解释路径的理论可能。但遗憾的是,论者未能在身份建构的社会关系层面做进一步延伸,而是将其作为一种分析工具回应同意规则、数字画像、数字化身等问题,实际上与场景风险理论殊途同归。
“身份建构说”将可识别性的阐释向后推延,有助于澄清相应规则的适用范围与解释空间,但无助于降低可识别性标准本身的不确定性。是否有可能从个人所处的不同社会关系入手,具体化其个人身份的表现形式,避免将可识别性的阐释推延到事后救济层面,成为“身份建构说”提供的理论启示,个人信息可识别性解释路径的重构也将以此为起点。
三、不同社会关系中个人信息识别对象的多重角色身份
人格权在于维护人格尊严和促进人格自由发展,并随着社会变迁、个人人格觉醒及不法侵害样态,具体化于不同的保护范围,形成个别人格权益,同时保持一种持续开展及实践的动态发展过程。“身份建构说”立足于这一理论共识,强调个人信息保护的对象,是个人在各种社会关系中身份建构的自主性与完整性。同时,个人信息保护本身就是应对数字时代自然人及其相关行为的数据信息爆炸式增长的产物。对个人信息识别对象角色身份的认知,需要在数字时代的背景下,探求个人社会关系存在形式的多重面向。
(一)数字经济对个人构建社会关系的重塑
在数字技术发展普及之前,个人在社会生活中的身份角色,主要体现于家庭、工作、社会及国家四个层面,分别形成家庭成员、单位员工、社会主体、国家公民等角色身份。进一步来看,家庭生活与工作生活都可以归入社会交往关系之中,而作为国家公民形成的主要是公共管理关系。基于这两类社会关系开展的社会活动中形成的个人信息,难以被全面记录,个人信息收集主体有限、处理目的特定、表现形式单一。
互联网的商业化实践,促成了市场与社会的重塑,依托数字基础设施、信息系统以及个人信息运行的数字经济逐渐发展成熟,对个人参与社会生活、构建社会关系产生了深刻影响。个人在现实世界之外取得多个数字身份,原有的个人信息被融入其中,数字身份又不断生成新的个人信息,这种变化进一步切入,并重新塑造了个人参与社会生活形成的社会关系。就公共管理关系而言,随着技术的变化,公民身份认证方式及认证信息日渐丰富,不但吸纳了传统的身份证件验证方式,同时与电话号码、人脸、二维码绑定,甚至成为认证基础设施的组成部分。就社会交往关系而言,随着数字生活的普遍化,依托于各种数字身份,个人在互联网上留下的痕迹越来越多,使得用以评价个人的信息空间不断丰富,同时便利了网络平台收集并利用这些信息实施经营活动。个人在社会交往关系中的消费者角色身份,在数字经济的背景下逐渐凸显,商业消费关系也从社会生活关系中分离。数字时代个人社会关系的存在形式主要表现为公共管理关系、社会交往关系与商业消费关系,自然人角色身份也分别呈现为公民、社会人与消费者。
(二)公共管理关系:公民身份
在传统的线下社会,基于公共管理需要进行的个人信息创设、收集与使用行为已是常态,其目的是实现身份确认。例如,身份证、护照即是主权国家向符合其身份条件的本国公民统一发放的,记载个人唯一身份标签的凭证,对于确认公民身份意义重大,成为获取公共服务、享受福利待遇的外在依据。在线下社会,对个人身份的确认通过人工比对实现,持有身份证件的主体,被推定为与其记载的个体相一致,这种方式存在着验证方式单一的缺陷。
随着技术进步与线上活动的不断开展,与特定自然人具有唯一联系、难以更改的生物特征信息付诸应用,其中包括人脸、指纹、虹膜、静脉、步态等。最初以匿名化架构的互联网,曾寄希望于以代码实现治理,但终究归于破灭。政府对网络空间的规制逐渐强化,尤以实名制为代表。实名制使得匿名状态下的各类网络账户有迹可循,新的技术手段大大提升了身份验证的真实性、准确性与唯一性,对于公共管理意义重大。与此同时,遍布线下社会的摄像头、能够收集各类识别信息的设备,在接入互联网之后,强化了行政管理的精密度,提高了刑事案件的侦破效率,但也带来了个人信息被过度收集与使用的隐忧。鉴此,个人信息在公共管理中的作用,集中体现为身份认证的现实需求,此时个人信息的识别对象是自然人的公民身份。
(三)社会交往关系:社会人身份
传统的线下社会,社会交往通常以家庭、亲朋、工作关系为半径,个人对外展示的人格形象、意欲他人知晓的个人情况私密度,是选择疏远或亲近他人的重要方式。这一过程必然外显人格要素,经由自主选择,向不同主体展示的人格要素亦可称为“人设”。在陌生人交往中,固然存在被动获取他人信息、私密信息的机会,但除开肖像与声音,人格要素对外展示的范围由个人主导。在网络环境下,线上世界与线下世界各自运行又相互交叉,即便选择远离网络社交,也难以避免有关个人的信息被置于互联网,受到人际关系制约选择“看破不说破”的知情人,在网络环境下可以通过“马甲”披露他人情况乃至私密信息,“人肉搜索”现象就是例证。
在线下社会并不重要,通常不可能被陌生人关注的个人偏好、价值取向乃至深度隐私,都可能成为人设的一部分,通过个人在网络活动中留下的痕迹,整理、归纳和分析便可对其人格要素进行窥探。尽管分析结果可能并不真实,但却成为评价个人的依据,甚至对社会交往活动产生影响。正是基于人设不自主的担忧,加之不少社交软件发挥了商业推广、工作联络等功能,为了维系使用活跃度,防止因人设忧虑逃离移动社交,社交软件也通过改进设计架构,不断丰富和提升个人的自主性。值得注意的是,在线下生活与线上生活已高度融合的前提下,个人外显其人格要素以及经营人设的自主性,不能与传统社会等量齐观,不少有关个人的信息还负载了新闻报道、舆论监督等公共价值。社会评价的多样性也决定了,在社会交往中个人信息发挥的功能是经营人设,此时个人信息的识别对象体现为自然人的社会人身份。
(四)商业消费关系:消费者身份
在传统社会,个人消费活动无需过多披露其人格要素。钱货两清的规则甚至无需开口就能完成交易,买卖双方需要外显的仅仅是自己的肖像。基于获取价格优惠、提升服务质量等诉求,会促使交易者展示更多个人情况,商家也可能主动收集顾客喜好,以便改进产品或服务。但整体而言,在商业活动中大量收集客户个人信息,既不可能也无必要。
随着电子商务和网络服务的发展普及,将商户与用户和平台锁定的“连接一切”的理念成为平台经济意识形态。通过对个人在互联网上的搜索行为、购物记录、信用记录等信息的追踪、整合与分析,数字画像开始显现。网络平台可能并不知晓也无意获知用户肖像、姓名等外显性人格要素,却能大致准确地判断其性别、年龄、收入水平、文化程度、消费能力、兴趣爱好等特征。以此为依据,广告推送、自动化推荐、兴趣匹配等营销行为,可以精准投放到用户的网络账户,形成锁定效应,确保用户能够持续稳定地通过平台进行交易。对用户而言,这种个性化推荐虽然基于分类与聚类思维,很难真正实现“千人千面”,大数据的逻辑也并非因果关系而是相关性,无法保证营销成功的概率,不可能均等作用于所有用户。但较之于传统广告,其在引导消费方面的效果更加显著,对商业效率的提升也显而易见,用户由此产生了主张控制个人信息的财产诉求,个人对其人格外显性的关注也随之上升,此时个人信息的识别对象体现为自然人的消费者身份。
四、基于识别对象角色身份的个人信息类型结构
数字时代自然人在参与社会生活的过程中,形成了公共管理关系、社会交往关系与商业消费关系,基于公共管理、社会交往以及商业利用的现实需要,创设、收集、使用个人信息的类型、范围及形式,呈现出与传统真实世界的显著差异。这在彰显人格权保护体系效应和基础地位的同时,也呈现了个人信息对个人身份建构产生的不同影响。经由这种不同面向的界分,将形成基于识别特定自然人不同角色身份的个人信息类型结构。呈现不同类型结构下个人信息在识别相应角色身份过程中发挥的具体功能,明晰个人信息在识别不同角色身份过程中潜在的预期目标与面临的解释难题。
(一)认证真实身份:连接公共管理的公民身份信息
在实现公共管理的过程中,凡是能够与特定自然人形成唯一对应的信息,均可能构成身份确认的依据,从而实现对个人公民身份的识别。数字时代身份确认的主要方式为:预先采集特定主体具有唯一性的特征,记录和存储于数据系统,当需要进行身份验证时,实时获取个人信息,并与系统记录的数据进行比对,如能匹配,则完成身份识别与确认。以人脸识别为例,作为一种“生物性的通用标识符”,人脸与特定自然人具有唯一联系,非常适合作为身份认证的个人信息使用。正是因为这种便利性,与公共管理无涉的商业行为、无需个人身份验证的服务管理行为,也开始采用人脸识别技术。前者如带有人脸识别功能的门禁系统或门铃装置、动物园安装的验证年卡用户身份的人脸识别系统等;后者如学校采用刷脸方式进行考勤、在球场秩序管理中基于安保需要识别人脸排除潜在危险等。
以人脸识别为代表的用于身份确认的个人信息,在实践中具有过度收集与使用的倾向。为此,应明确为实现公共管理功能、能够确认自然人公民身份的个人信息,属于公民身份信息。凡是能够与特定自然人形成唯一对应,从而实现身份确认的人格特征,都应纳入公民身份信息范畴。实践中对此类个人信息可识别性进行解释的主要目标是:区分公民身份与其他身份,甄别相应个人信息的处理,明确是否属于实现公共管理所必需的识别。
(二)自主经营人设:描摹人格外观的社会人身份信息
在社会交往中,任何人都难以避免形成若干个“他人眼中的自己”,这种稍纵即逝的品头论足没有侵犯隐私权与名誉权时,通常不会进入法律调整的范畴,个人无力也无由控制对人格外观的描摹。互联网重塑了时空格局,闲言碎语在线上世界可能成为永恒记忆,但网络环境中账户、数据和评分等要素构成“代码3.0”的一体化空间架构。此外,网络空间不但复制了一大部分线下世界的生活样态,同时创生了新的交往形式,数字画像成为个体新的存在形式,描摹人格外观的素材也空前丰富,任何在网络活动中留下的痕迹与信息似乎都能进入这一范畴,从而满足可识别性的要求。
数字画像毕竟不同于自然人本身,并非所有网络活动中生成的痕迹与信息均应进入个人信息范畴。例如,在黄某诉腾讯公司等侵犯隐私权、个人信息权益纠纷案中,法院认定,用户使用微信读书软件形成的包括阅读书目、阅读时长在内的信息,在一定程度上可以彰显个人兴趣、爱好、审美情趣、文化修养,从而勾勒刻画人格侧面,成为社会评价产生的基础,给人带来不安,用户本应享有自主建立以及拒绝建立信息化人设的自由。这种思路从根本上杜绝了数字画像的可能性,不利于正常的社会交往。虽然所有与个人有关的信息、个人在社会交往中产生的痕迹,都可能成为描摹人格外观、形成数字画像的素材,但在满足隐私权和名誉权保护要求的前提下,仍应允许社会评价的正常进行。实践中对此类社会人身份信息的可识别性进行解释的主要目标是:探求社会评价的正当边界。
(三)内化消费意愿:进行个性化推送的消费者身份信息
在消费过程中,购买意愿及最终交易的达成,可能受到诸多因素影响,但仍由个人主导,不同商家在有限的磋商时间内,通过察言观色对消费者内心想法进行揣测,或精准或离谱,合理范围内的差异化定价具备正当性。此时不同消费者在商家眼中并无差异,具体消费场景中,识别消费者身份带来的潜在商业利益并不显著,消费者只是一个群体性概念,作为个体的消费者湮没在人群之中。互联网带来商业模式更新,消费者能够获取的商家与商品信息更加完整全面。大型网络平台加入消费流程,逐步扮演重要角色,个人在互联网上留下诸多行为痕迹,成为揣测其购物需求与消费能力的依据。通过对这些信息的汇集与分析,将相应的商品或服务链接推送至移动终端设备的消费者账户中,便在很大程度上完成了引导消费的重要步骤。一次有意无意的搜索、浏览、点击,成为源源不断获取类似信息推送的源泉,充盈的信息在某种程度上成为一种负担,真切地影响着行为选择的倾向性,同时为“大数据杀熟”提供了完整的技术支持、实践经验和利益回报。
从商业活动的视角考察,对个人信息的全面汇集和精确分析、不断推送的最终目的,都在于强化用户既有购买习惯,实现商业利益的最大化。以实践中普遍采用的通过Cookie信息追踪,并且报告用户的在线行为为例,个人成为被识别分析的对象,虽然购物选择和消费取舍的形式自由仍由用户掌控,但“透明人”的忧虑和无形的信息茧房,则使其人格尊严与人身自由,面临实质性受损的风险。从源头杜绝信息收集以消除风险似乎是最佳选择,但这既可能降低用户使用体验,也会制约互联网行业的创新和发展。单一种类的个人信息,在推测行为倾向方向的效果并不显著,难以形成清晰的个性化消费者形象。但是,“当在线场景大量集中在一个平台上时,用户的数字身份就可以通过进一步挖掘数据得到塑造,在不同的传统场景下获取用户行为习惯偏好,向其有针对性地推荐广告和商品,从而更好地使多元社会身份为用户的消费者身份服务”。此时,相当于作为消费者身份的个人被从人群中识别,平台甚至能够根据大数据,推算相应消费者的购买和支付意愿,实施歧视性定价。能够识别消费者身份的个人信息,并非通常意义上零散的浏览记录、购买记录、信用评分等信息,而是能够对消费倾向及支付意愿进行推测的信息集合。实践中对此类消费者信息的可识别性进行解释的主要目标是:探求何种情况下已经形成,或可能形成对消费者消费意愿较为精准的识别。
五、识别自然人角色身份的解释路径
公民身份、社会人身份与消费者身份,从不同侧面实现了自然人进行身份建构的自主性与完整性:公民身份是参与政治生活与接受公共管理的前提,社会人身份是开展社会交往与营造人设的外观,消费者身份是进入消费市场购物选择的依托。公民身份信息、社会人身份信息及消费者身份信息,在范畴与边界上受到身份功能的显著影响,个人信息识别的对象也不再是抽象的自然人,而是具体化的个人身份角色。凡是不满足相应身份角色界定的信息,将被排除在个人信息的范畴之外,个人信息可识别性的解释路径也将由此实现重构。
(一)识别对象角色身份社会关系的归属框架
法律规范一方面提供事前的行为指引,一方面为事后救济提供法律依据。个人信息概念,既是对静态信息范畴进行的经验性划分,也为未来的数据形式归入个人信息提供开放性解释空间。以可识别性为核心构建的个人信息,强调识别这一动态过程,作为识别对象的自然人,被分解为公民身份、社会人身份与消费者身份三种形式,并与公共管理、社会交往及商业消费等社会关系相结合。在具体的行为过程中,相关信息是否或可能发挥认证真实身份、自主经营人设或内化交易对价的功能,成为判断其是否构成公民身份信息、社会人身份信息以及消费者身份信息的依据。从事后评价的角度出发,对是否属于个人信息的甄别与判断,是在具体的行为中对识别过程进行的回溯与还原。对潜在的个人信息处理者而言,在立法明确列举的个人信息表现形式之外,哪些信息属于个人信息,是对识别过程进行的拟制与想象。在明确了识别对象可分解为公民身份、社会人身份与消费者身份之后,对自然人和个人信息处理者而言,均需要对相应行为处于何种社会关系之中做基本预判,一方面为自然人是否同意个人信息处理行为提供框架性依据,另一方面为个人信息处理者对哪些信息属于个人信息,并确定不同的处理方式提供方向性指引。
为此,有必要确定识别对象角色身份社会关系的归属框架,使个人信息处理者明确,其处理行为对应于何种社会关系。《个人信息保护法》仅给出了个人信息处理者的基本定义,即在个人信息处理活动中自主决定处理目的、处理方式的组织、个人,但没有区分个人信息处理者的类型,也没有提供界分其所处社会关系的直接依据。仔细考察具体条文,其仍然体现了区分个人信息处理情形的思路。例如,公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显著的提示标识;对包括生物识别、行踪轨迹等信息在内的敏感个人信息进行处理,需要具有特定的目的和充分的必要性、并采取严格保护措施,同时还应取得单独同意;国家机关处理个人信息,不得超出履行法定职责所必需的范围和限度等。在此基础上,个人信息处理主体的性质及所处行业,能够为识别对象角色身份的社会关系提供一般性归属框架,国家机关、社交软件与电商平台进行的个人信息处理行为,大致对应着公共管理关系、社会交往关系与商业消费关系。在无法依据这一归属框架直接得出结论的情况下,可进一步结合个人信息处理行为的时空环境、经验认知及社会共识进行分析。
(二)识别公民:以公共利益目的和必要原则限定识别场景及识别信息
在公共管理关系中,对个人信息的处理是为了实现身份确认,保证以数字账户形式进入公共管理关系的个人与对应的公民身份相匹配。公民身份是一种包含着权利、义务与责任的地位和资格,现代社会普遍以身份证件作为公民身份的证明方式,除了身份证号、人脸、出生日期、居住地址等信息外,逐渐将指纹、虹膜、血型等信息,收集存储于公共管理系统之中。公共管理系统对公民身份信息的收集与完善,是身份认证机制中的基础设施之一,身份信息越完整,越有利于保证身份验证的真实性。在进行公民身份验证时,必须由个人展示已被录入公共管理系统之中,且具有唯一指向性的信息,实现身份确认。
公民身份信息随着技术进步仍有扩展可能,但外延范畴相对较为清晰,从个人信息处理的实践需求出发,对公民这一角色身份的识别,主要是厘定相应行为是否归属于公共管理关系,以及相应信息是否属于身份验证所必需。公共管理关系的一方主体通常应为国家机关,这在很大程度上排除了其他主体以身份验证为由,识别公民身份的个人信息处理行为,但同时仍应强调,国家机关识别公民身份的行为是出于公共利益需要。在具体的公共管理关系中,对识别公民身份能够处理哪些个人信息,应结合《民法典》与《个人信息保护法》规定的必要原则,将其处理的公民身份信息,限于满足处理目的的最小范围之内,并将其作为限制知情同意规则适用的依据。有关人脸识别技术的司法解释,对处理人脸识别信息免责情形作出了规定,体现了实现公共利益的导向。
(三)识别社会人:以是否新增负面声誉信息限定识别可能性
在社会交往关系中,对个人信息的展示与处理,都将对他人眼中的外在人格形象产生影响,人格形象对应的人设在很大程度上并不追求,也无从验证真实性与自主性。当这种虚拟存在处于匿名状态,且无法将其与现实中的自然人进行对应的情况下,法律通常不会介入其中。从数字社会的发展进路出发,线上世界与线下世界的融合,对社会交往关系的存在形式产生显著影响。线下的社交关系被平移到网络世界的同时,也增添了许多新的个人活动痕迹,这些痕迹以信息的形式被记录与展示后,也可能成为人设的一部分。
实践中对社会交往关系中的人设忧虑,主要集中于个人对其声誉受损的担忧,这会导致个人的客观交易利益损失和主观尊严感受损失。在个人使用社交软件,通过社交软件接入其他应用程序时,个人活动留下的痕迹与产生的信息,是否能够识别社会人身份、构成个人信息,应以相应信息是否新增了负面声誉信息为依据进行判断。信息可以分为描述性信息与评价性信息,描述性信息是对客观状态的反映,存在真伪之别;评价性信息则是一种主观感受的表达,具有褒贬之分。对于真实的描述性信息而言,如果排除了侵害隐私权的可能,一般情况下不足以构成负面声誉信息,虚假的描述性信息通常构成负面声誉信息。对于评价性信息,无论其褒贬性质如何,如果排除了侵害名誉权的可能,通常难以构成负面声誉信息,是一种正常的社会评价。《个人信息保护法》也体现了这一认识,在总则部分规定处理个人信息应当保证个人信息的质量,避免因个人信息不准确、不完整对个人权益造成不利影响。对个人信息准确性与完整性进一步的要求显然指向描述性信息。
(四)识别消费者:以信息汇集程度限定识别可能性
在数字经济时代,使用网络账号接入互联网服务的自然人,均被视为潜在消费者,网络平台对消费、浏览与搜索记录的汇集与分析,最大限度地探求消费者购买意愿与支付对价,推送个性化广告链接与商品价格。对消费者角色身份的识别,相当于在人群中精准地锁定了目标客户。从识别过程及识别效果看,信息类别越多、信息数量越大,越能提升对行为倾向进行分析推测的精准性。虽然识别消费者进行个性化推送,甚至实施差异化定价并不一定会侵害个人相关权益,但会带来“透明人”的隐忧,同时极易实施歧视性定价,且个人无从查知并难以寻求救济。因此,一方面仍应允许网络平台通过知情同意规则,对个人在网络平台内的行为痕迹进行收集与分析,但另一方面必须对单一网络平台能够收集的个人信息,从范围与数量方面进行限制。
在商业消费关系中,对识别消费者可能性的判断,应当结合网络平台的性质,以信息汇集程度的高低,对相应信息是否达到了精准把握消费意愿与支付对价的程度,作出初步推定。对算法推荐的法律规范体现了这一思路,《互联网信息服务算法推荐管理规定》强调对消费者公平交易权利的保护,并要求算法推荐服务提供者不得根据消费者偏好、交易习惯等特征实施差别待遇。这一规定将《个人信息保护法》有关利用个人信息进行自动化决策的一般规范,应用到了算法推荐领域。但无论是自动化决策,还是算法推荐服务,这种规范路径仍然依赖于事后评价,从事前规范的角度很难对何为差别待遇进行判断。有必要结合《个人信息保护法》的事前影响评估制度与“守门人”条款,进一步明确网络平台的信息汇集程度,判断其在识别消费者可能性方面的具体影响。
结 语
可识别性标准的不确定性为司法适用提供充分解释空间的同时,增加了信息处理者与信息主体在个人信息范围上的认知偏差,关于识别对象的理解分歧是产生这种偏差的原因。从数字经济对传统社会关系的重塑出发,个人信息保护的对象,应当是个人在各种社会关系中,进行身份建构的自主性和完整性。这些社会关系包括公共管理关系、社会交往关系与商业消费关系。在不同的社会关系中,个人的角色身份分别具体化为公民、社会人与消费者。相应角色身份指向的个人信息,分别发挥连接公共管理、自主经营人设与内化消费意愿的功能。判断具体信息能否识别特定自然人,应将个人信息处理行为归入特定社会关系之中,确定识别对象的具体角色身份。在公共管理关系中,对公民身份的识别应以公共利益为导向并符合必要原则;在社会交往关系中,对社会人身份的识别应以是否新增负面声誉信息为依据;在商业消费关系中,对消费者身份的识别应以信息汇集程度为标准。本文初步提出这一分析框架,强调从社会关系、身份区分及价值功能等视角解构个人信息的可识别性,建构以识别对象类型化表现形式为核心的解释路径,以期为个人信息权益构造的理解与阐释提供更多理论可能。
原文刊载于《行政法学研究》2022年第4期.