在此背景下,我们有必要与时俱进地审视个人行为轨迹信息的可识别性,理清其法律属性,考证其被纳入法律评价和保护的必要性,从而构建基于分类前提下的本土化法律保护模式。申言之,认定个人行为轨迹信息是否属于个人信息、属于何种类别的个人信息以及给予何种强度的保护力度直接关系着个人信息保护的民众关切,关乎数据控制者、使用者对个人信息收集、利用的法律风险边界,关联着我国网络信息产业的良性健康发展,是该领域研究向细腻化、精致化推进的该当路径。
二、个人行为轨迹信息的可识别性
顾名思义,个人行为轨迹信息是相对于法律意义上的有关个人的数据——个人信息的一个对应概念,对个人行为轨迹信息进行法律保护层面的探讨不可避免要以个人信息的概念为参照,以其实质要素为比照。
(一)可识别是数据权益的逻辑基点
由此可见,“可识别”是构成法律上个人信息的核心,也是负载于信息之上的人格利益、财产利益的逻辑基点。有学者将“可识别”总结为个人信息的实质要素,而不具识别性的信息可被归入匿名信息范畴。因此,对个人行为轨迹信息进行考察,就需要以个人信息的实质要素——“可识别”为切入点,对其属性和地位进行辨析论述。
(二)可识别性的判断标准
从学理层面看,目前关于个人信息可识别性的判断基准有以下三种学说:“主观说”又被称为“信息控制者标准说”,其认为信息管理者自身的条件应作为可识别与否的判断标准;“客观说”又被称为“社会一般多数人说”,其认为应从普通大众、一般人的角度出发判断个人信息的可识别性;“任一主体说”认为,是否可识别应以社会中任何人识别的可能性来判断。
从各国的操作实践来看,欧盟采取的是穷尽一切可能性的严格标准,GDPR鉴于条款第26条规定:“为确定自然人是否可识别,应考虑到所有合理可能使用的方式,包括控制者或其他人直接或间接地识别自然人所选择的方式。”“美国没有制定统一的个人数据保护法,而是形成了‘特别领域立法+一般领域普通法’体制。”美国《健康保险携带和责任法案》(HealthInsurancePortabilityandAccountabilityAct/1996,简称“HIPAA”)第164.514条b款第1项规定,经专家判断不具识别性的信息不属于法案规制的“可识别健康信息”,这被称为专家标准;该款第2项规定,删除18种识别符的健康信息不是“可识别健康信息”,这被称为安全港标准。
我国目前的规范性文件中,除定义条文对个人信息的外延进行具象列举外,并无抽象识别标准。《网络安全法》第42条、《民法典》第1038条规定了网络运营者或信息处理者的责任豁免情形,即“经过处理无法识别特定个人且不能复原的除外”,可认为该法采取了“处理”加“不能复原”的技术标准。也有学者提出“社会多主体共识”标准,即对个人信息的认定应综合“行政主管部门、数据代理商、技术与法律专家以及第三方机构”和“各方专业人士和社会公众”意见。
(三)从不可识别到可识别的流变
上述观念的演进,使个人信息涵摄更多识别对象,使持续性的浏览痕迹、位置轨迹、软件操作痕迹等部分行为轨迹信息能独立或与其他信息关联而轻易识别具体对象成为一种认知和实践。美国学者丹尼尔·索洛夫(DanielSolove)和保罗·舒格瓦兹(PaulSchwartz)正是基于该国隐私法中核心概念“可以识别个人身份的信息”所面临的困境,即难以在技术发展和具体场境差异的情形下有效界定可识别信息的难题,从而提出应将前述概念升级改造为“可以识别个人身份的信息”(第2版)(PII2.0)、包含“已识别个人身份”的个人信息和“可用来识别个人身份”的个人信息,而行为轨迹信息恰恰符合“可用来识别个人身份”的个人信息特征。
三、个人行为轨迹信息的法律属性
个人行为轨迹信息具有了身份或行为的可识别性是认定其法律属性的前提,接下来还需考察该类信息是否具有法律可予保护的利益,成为权益或权利内容。关于个人信息的法律属性学界存在争议,有学者将现有学说归纳为人格利益说(包括隐私权说和具体人格利益说)、个人信息权说和人格兼财产权说,也有学者提出新型权利或知识产权的论断。不论做何种类别的划分,均无法绕开人格利益和财产利益之内核。要考察个人行为轨迹信息能否化升为法律保护对象,就需从人格利益和财产利益两个维度展开。
(一)人格利益
对个人信息进行法律评价肇始于隐私权益的凸显。隐私权理论滥觞于美国塞缪尔·沃伦(SamuelWarren)与路易斯·布兰代斯(LouisBrandeis)合著的《隐私权》(TheRighttoPrivacy)一文,之后在美国演变出信息隐私权这个分支,而法国、德国等欧盟国家却采取了由“信息自决权”演化到具体人格权的进路,我国则概括性地采取后一模式。两种模式的保障核心均为人格利益,关乎自由和尊严。
对此类行为轨迹信息的不当处理,会让相应主体的实体形象与虚拟人设产生偏差,导致外在形象被操纵;会刺穿阿兰·威斯丁教授提出的“面具”理论,导致精神安宁被打破;使数据控制者基于算法对数据主体进行意识诱导、行为预判,导致决策自由被剥夺,思维方式被简化,甚至陷入乔治·奥威尔(GeorgeOrwell)笔下的《一九八四》所描绘的全景监视场景之中。
(二)财产利益
若认可行为轨迹信息的财产利益,将不可避免牵扯出错综复杂又富有争议的产权配置与归属问题,本文对此暂不予展开。分散的行为轨迹信息对数据主体而言并无直接财产价值,但可能会因被区别对待而蒙受间接经济损失。对行为轨迹信息青睐有加的是各大网络平台和众多的数据从业者。
(三)法教义学考察
基于可识别性和人格、财产利益,行为轨迹信息具备了个人信息的形式、实质要件,域内外的规范性文件对此均予以不同程度的回应——将其有差别地纳入个人信息的范畴。
表1域外列举范畴
表2域内列举范畴
四、个人行为轨迹信息的分类保护模式建构
无论是对数据主体,还是对数据控制者和处理者,行为轨迹信息游走于法律评价范围之外都不是一件有益之事。面对方兴未艾的大数据时代,我们有必要在充分借鉴域外经验的基础上,结合国内社会发展实际,参照《民法典》(将有关个人的信息划分为一般个人信息、私密信息、匿名信息)、《个人信息保护法》(草案二次审议稿)(将有关个人的信息划分为个人信息、敏感信息、匿名信息)的规范实践,建构本土化的行为轨迹信息分类保护模式。
(一)纳入法律评价框架
能够反映个人习惯、兴趣偏好、性格特征、思维方式的行为轨迹信息,将真实世界中的物理人以镜像形式投射到了网络空间,形成了所谓的数字化人格(computerpersona),无论从形式还是实质层面我们都无法再将其排斥于法律评价范围之外。然而,不管是将个人信息视为一种隐私权、人格权、人格财产混合权,抑或独立的个人信息权,均无法回避我国目前个人数据方面理论探讨与法律创制不足的现实,法律资源供给不足的矛盾自然体现在对行为轨迹信息属性的区分、认定上。
正如上文的法教义学考察,相较于欧盟国家大多以专门的数据保护法规给予行为轨迹信息法律评价的做法,我国更多以司法解释、指导性的行业标准予以指涉,要么适用范围狭窄,要么效力等级不足,要么直接跨越到强制力顶格的刑法。即使是被称为数据保护基本法的《网络安全法》,对网络运营者收集用户网络活动痕迹的行为也无明确规定。相比之下,国内大型网络企业的隐私政策对行为轨迹信息有明确表述,对其法律化时可资借鉴。
若不计成本,从技术上实现行为轨迹信息与特定个人一一对应绝非难事,这也是学者所称的大数据下没有非个人信息的依据。但如果就此将行为轨迹信息笼统纳入个人数据的保护范围,则会导致明显弊端:其一,限制信息自由流通,使网络企业畏首畏尾,可能导致商业垄断,最终影响用户体验、减损网民福利;其二,行为轨迹信息的动态性和模糊性将泛化个人信息,反而使真正需要保护的信息失去保护;其三,会增加信息保护的社会成本,限制本土互联网企业发展。
(二)基于分类的法律保护模式
1.私密信息类的强保护模式
私密类行为轨迹信息一般宜采取“任一主体说”的严格识别标准。关于“不愿为他人知晓”的“私密性”的认定,毋庸讳言,首先要遵循当事人主观意愿,但该主观意愿又不能单纯取决于隐私诉求者的个体意志,同时,也应符合社会一般合理认知。而社会一般合理认知的边界,又受地域、文化传统、法治理念、宗教信仰、风俗习惯、经济发展状况、主流价值观等因素影响。
2.敏感信息类的次强保护模式
此类行为轨迹信息可涵摄个人财产信息中的交易消费记录、虚拟财产信息,以及个人的行踪轨迹、网页浏览记录、购买记录、住宿信息、精准定位信息。从信息类型看,此类行为轨迹信息属于《个人信息保护法》(草案二次审议稿)中的敏感信息;从数据存在样态看,其是一种“动态”且“混合”的信息。“动态”类指对行为主体进行持续性追踪所形成的数据集;“混合”类指捆绑如姓名、IP等显性识别符的信息束,或将多个类型的行为轨迹信息混合收集的信息包(比如能进行交叉验证的位置信息与网上交易记录的混合)。
私密信息不能概括等同于敏感信息,前者是后者中的特殊情形。敏感信息属于兼具防御性期待及积极利用期待的个人信息,判断针对此类信息的处理是否侵权,宜采取“客观说”的识别标准,需要结合信息内容、处理场景、处理方式等,进行符合社会一般合理认知的判断。
3.一般信息类的弱保护模式
此类行为轨迹信息可涵摄智能穿戴设备收集的身体体征信息、系统错误报告信息,用户改善计划,用户接入网络的方式、类型和状态,网络质量数据等。从信息存在样态看,此类行为轨迹信息与敏感信息一致,属于持续性追踪所形成的动态且混合的行为轨迹信息。另外需要注意“标签化”行为轨迹信息,即与IMEI、MAC、IDFA及唯一应用程序编号等进行绑定的信息,其虽然不能实现“身份识别”,却能实现“行为识别”或“特征识别”。识别针对此类信息的处理是否侵权,宜采取“主观说”标准。
对该类行为轨迹信息可给予一般个人信息的保护强度,其保护强度弱于敏感信息。“弱”主要体现在数据控制者收集该类数据只需获得数据主体默示同意即可。默示方式指行为人虽没有以语言或文字等明示方式做出意思表示,但以特定作为或不作为的沉默方式做出了意思表示,比如阅读“使用即同意”的条款、浏览默认勾选的对话框等。敏感信息类和一般信息类的行为轨迹信息可被归类为民法典中的个人信息,数据控制者均须遵循合法收集、目的限制、最小够用等原则,数据主体享有查询、更正、删除、撤回同意等权利。
4.匿名信息(anonymousinformation)类的选择保护模式
此类信息存在两类样态,其一为单一的行为轨迹信息,即只收集用户的浏览记录、踪迹信息或鼠标点击历史等单一种类的数据,而没有与用户ID、IP等识别符进行捆绑,也没有和其他种类的行为轨迹信息混合收集且单独存储,具有高度离散化特征;其二为偶然的“标签化”信息,即个体偶尔使用搜索引擎产生的关键词或使用翻译软件留下的文字碎片,即使其和特定标签信息捆绑,因具有稀少、随机的特征而宜被归为匿名信息范畴。
对该类行为轨迹信息须在分类的基础上进行选择性保护。依照是否投入智力、物力加工为标准可将此类信息分为原始信息和加工信息:前者指直接从数据主体收集而来的信息,其属于纯粹的匿名信息,不受法律保护,人人共享;后者指数据控制者和使用者对原始信息加工后的信息,在“淘宝公司诉美景公司不正当竞争案”中被称为网络大数据产品。该类匿名信息虽然经脱敏而与数据主体脱离了关系,但经过了网络运营者大量的智力劳动投入,经过了深度开发与系统整合,故网络运营者对其享有财产性权益,其他网络运营者不能擅自抓取,否则构成不正当竞争。当然,该问题的探讨又将开启企业数据的权属争议,本文对此不予展开。
(三)保护的例外情形
个人信息具有人格、财产双重特性,其背后始终交织着信息保护、信息自由、公共利益等价值冲突,因此,各国会基于特定事项对个人信息权益制定相应的保留和克减条款,从而表述有所差异,但核心内容基本一致,诸如“国家安全”“公共安全”“公共卫生”“重大公共利益”“执行公务”“诉讼”“维护个人信息主体权益”等。
1.GDPR中有关个人数据保护的例外条款
GDPR对数据保护的限制体现在执行公务或处理突发紧急事件两个方面:鉴于条款第45条明确公共卫生构成重大公共利益,依据条例第6条1(e)的规定,当个人数据处理为“基于公共利益目的执行任务或履行被赋予的公共职能所必要”时,可不征得数据主体的同意;鉴于条款第46条明确传染病监测除构成公共利益之外,还构成“重大生命利益”,依据条例第6条1(d)规定,当个人数据处理为“保护数据主体或其他自然人的重要利益所必要”时,可不征得数据主体的同意;等等。
2.美国立法、司法层面有关个人数据保护的例外条款
美国《隐私权法》(也称《私生活秘密法》)规定,在紧急情况下,为了某人的健康或安全而使用个人记录的情形下,行政机关公开个人记录无须征得本人同意。另外,美国《健康保险携带和责任法案》规定公共卫生事件属于“国家利益优先”情形,可以不经个人同意而披露及使用健康信息。美国法院在处理数据协助义务案件中一般会应用“第三方原则”,即第三方机构(如医院、电信运营商、保险公司等)应政府部门要求提供其掌握的个人信息,不受美国宪法第四修正案(公民免受无理由搜查和扣押)的限制。
3.我国规范文件中的例外条款
作为个人信息的伴生概念,举重以明轻,上述保护例外情形自然适用于行为轨迹信息。根据上文的分类认定,私密信息类、敏感信息类、一般信息类行为轨迹信息已经被纳入个人信息范畴,直接适用例外情形;匿名信息类行为轨迹信息已脱敏,数据主体已失去保护权能,只有大数据产品开发者方能提出相应权益主张。另外,在适用例外条款时同样要把握个人信息权益限制的“目的明确”“比例原则”“公开原则”“安全原则”等基本原则。
五、结语
在数据成为“信息石油”的当下,对个人行为轨迹信息的审视和保护逐渐进入理论研究和司法实践的视野。本文以个人信息概念为参照,从信息权益的逻辑基点“可识别”入手,比照个人信息的识别标准,辨析行为轨迹信息从不可识别到可识别的流变,接着以个人信息所具有的人格、财产利益为抓手,发现行为轨迹信息利益已然获致成为权益或权利的资质和条件,继而引出结论,即应将行为轨迹信息纳入法律评价框架,但并非笼统落入个人信息的保护范畴,而是构建本土化的分类保护模式。