赵祖斌:从静态到动态:场景理论下的个人信息保护
从静态到动态:场景理论下的个人信息保护
赵祖斌
(浙江工商大学法学院)
摘要:随着互联网场景时代的到来,静态保护个人信息安全面临诸多挑战,个人信息保护需要“由静至动”。场景理论是一种动态分析框架,可以尝试将其运用于个人信息保护实践,构建个人信息动态保护框架。在场景理论下,个人信息保护的内在逻辑是动态地保护个人信息安全,价值追求是统筹兼顾地保护个人信息所有者和个人信息处理者的利益,遵循动态平衡、合法、必要、正当等原则。基于个人信息保护的内在逻辑、价值追求、遵循的原则,个人信息动态保护的实现需要重新界定个人信息,重塑知情同意规则,设计针对性的个人信息处理规则。
关键词:场景理论,个人信息保护,动态,风险评估,利益均衡
中图分类号:NO31文献标识码:A
DOI:10.19524/j.cnki.10-1009/g3.2021.04.098
一、引 言
在互联网场景时代,隐私范围缩小,[1]个人信息外延扩大,传统隐私保护方式无法很好地保护个人信息安全。基于信息流动具有场景的特点,可以尝试场景化地保护个人信息安全。2014年世界经济论坛发表的《对个人数据的再思考:以人为本的数据生态中的信任和场景》一文,提出综合考虑不同文化背景,建立场景化的个人信息保护系统。[2] 2015年,美国颁布的《消费者隐私权利法案(草案)》,场景化地界定了个人信息隐私,规定了个人信息在不同场景中的保护限度,有效地促进了个人信息的合理利用,规范了商家的个人信息处理行为。2018年欧盟颁布的《数据保护通用条例》,以场景为导向,重视风险评估,引入了数据泄露通知、隐私评估、第三方认证等新机制。
有学者借鉴《数据保护通用条例》及《消费者隐私权利法案(草案)》的做法,提出“场景与风险导向”个人信息保护框架,主张放弃知情同意规则,提倡个人信息处理(本文所称处理包括收集、存储、使用、加工、传输、提供、公开等行为),不再关注最小必要范围,构建个人信息处理风险评估机制,将个人信息处理目的限定、最小化作为信息处理准则。[3]这种框架无疑有利于促进信息利用,但是放弃同意规则的做法值得商榷。亦有学者提出,我国个人信息保护应该引入场景风险管理理念,但是却没有详细论述为何引入、如何引入的问题。[4]
引入场景理论以加强个人信息保护的尝试无疑具有重要启示意义,但是全盘否定传统的个人信息保护架构并不可取。场景理论极具兼容性,可以考量多元要素互动,注重信息流动规律,规范参与场景主体行为,平衡各方利益,但其运用于个人信息保护中并不意味着颠覆传统的个人信息保护架构。2021年8月20日,《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)颁布,标志着我国个人信息保护工作进入了新阶段。虽然《个人信息保护法》的颁布将会为个人信息保护实践提供坚实的基础,但是个人信息应用目的、场景不同,仍然需要结合具体场景细化、落实个人信息保护制度。[5]基于此,本文试图引入场景理论,探讨个人信息与场景之间的关系,提出动态化的个人信息保护方案,希望对个人信息保护制度实施、完善有所启示。
二、场景理论与个人信息保护
1
场景理论的起源
最初,“场景”指电影、电视、戏剧中的“场”和“景”。后来,由于许多社会现象无法用传统理论解释,社会学研究者开始运用场景理论解决这一问题。随着互联网的发展,传媒学研究者开始用场景理论研究传媒现象。这大大扩宽了场景理论的适用域,将场景从物理场景延伸到了电子信息场景。欧文·戈夫曼(Erving Goffman)视社会为舞台,将场景(situation)界定为在有形建筑物内组织的社会生活[6]序言1,以及知觉感知不到的地方。[6]10220世纪80年代,约书亚·梅罗维茨(Joshua Meyrowitz)为了解释媒介如何影响社会行为而提出了媒介场景理论,将媒介视为地点间的传播渠道,因地点的差异而塑造了形形色色的场景。[7]9220世纪90年代,消费中心在城市形态中占主导地位,特里·尼科尔斯·克拉克(Terry Nichols Clark)提出了场景理论(the theory of scenes),认为场景由社区、有型建筑物、不同主体,以及将以上三者要素链接起来的特色活动构成。[8]随着大数据时代的到来,罗伯特·斯考伯(Robert Scoble)、谢尔·伊斯雷尔(Shel Israel)在《即将到来的场景时代》一书中断言:互联网在未来25年间将进入新时代——场景时代(Age of Context①),[9]这标志着场景理论的发展进入新阶段,也预示着场景理论将成为解释与互联网相关行为的重要工具。
2
个人信息与场景理论的关系
即使戈夫曼将场景局限于有形场景,但是个人信息亦是场景的构成要素之一,场景的核心是在教室、酒吧等物理空间中进行社会交流互动。社会交流互动是最基本的场景。个人在此场景中为了更好地交流互动,必然会披露必要的个人信息以用于识别、了解、评价。因此,个人信息将无数个社交场景串联起来,编织成网络。梅罗维茨的媒介场景理论是对戈夫曼社会场景理论的升华,将场景从有形的社会交流互动扩展至无形的社会交流互动,重点研究媒介对社会行为的影响。在梅罗维茨看来,场景已经不再是一个概念,事实上已经变成了一种信息传播系统。信息流动在信息传播系统中起着“中介”作用,通过分析媒介环境变化如何改变交往场景内的信息流动可以解构场景的定义,解释场景内角色和行为连锁反应的原因。[10]140个人不仅是社会交往主体,而且是媒介的使用者,既能够改变媒介环境,也受媒介环境影响,媒介能够引起场景内角色和行为连锁反应,但是这以媒介精准地了解个人情况为前提,因而个人信息是媒介捕获的重点,成为场景(信息系统)的核心要素。特里·克拉克的场景理论实际上是对社会场景理论和媒介场景理论的细化,其在关注社会场景的基础上着眼于生活、消费场景。尽管没有明确指出信息对场景的作用,但是就场景构成而言,信息无疑是场景构成的微观要素。
在消费场景中,商家为了吸引消费者消费会搭建物理场所或者虚拟场所,推出各种特色活动捕获消费者的注意力,消费者个人信息成为场所搭建、活动推出的重要参考依据,因此个人信息已经成为消费生活场景构成的基础性要素。斯考伯和依斯雷尔的大数据场景是基于互联网技术发展,社会交往虚拟化而提出的时代命题。在他们看来,个人信息是场景构成的基本要素,“场景的构成得益于场景‘五力’(移动设备、社交网络、数据处理、传感器与定位系统)的渐渐齐备,场景传播的实质就是特定情境下的个性化传播和精准服务。”[9]11在大数据场景中,移动设备普及化,社交从物理场所扩展到虚拟空间,个人信息作为一种流动要素将看似独立的个体串联成彼此交融的网络,给人们带来便利的同时也导致个人信息安全成为普遍关注的问题。
3
隐私场景公正理论的启示
面对公共私人对立状况下隐私定义困难,以及静态隐私分配规则失灵,海伦·尼森鲍姆(Helen Nissenbaum)提出了隐私场景公正理论(Contextual Integrity Theory)。该理论认为场景公正是一个中心原则,教育、政治、消费、社交、面试、医疗等生活领域皆发生在由信息构成的场景中,因此在不同场景中信息处理应该受到不同的约束。[11]隐私场景公正理论本质上是一种由信息规范、信息传播适当性、信息传播参与者、信息传播原则构成的框架,[12]其核心思想是信息处理在不同场景中受到不同的规范约束,基本逻辑在于信息处理是由信息持有者、传播者、接收者等多方主体共同完成的活动,不同主体在信息处理中的角色定位不同,控制信息能力不同,合理期待不同,遵守的行为准则不同,因此各方主体在信息传播中的利益分配及风险分担根据差异情况适用相应的信息传播原则。实际上,个人信息保护与隐私保护一样陷入了困境,在公私对立状况下,个人信息定义存在局限性,非动态的个人信息流动风险、利益分配规则在某些方面无法化解个人信息保护与个人信息利用之间的冲突。而且个人信息处理同样需要受到约束。因此,可以尝试构建个人信息场景框架,该框架可由信息规范、信息处理适当性、信息处理参与者、信息处理原则、信息类型构成,[13]根据不同场景给予不同类型的区别性保护。
三、场景理论下个人信息保护的核心要义
1
场景理论下个人信息保护的内在逻辑
在场景理论下,个人信息保护的内在逻辑是动态地保护个人信息安全,“强调结合具体场景进行针对性保护,防控具体的而非抽象的风险,反对笼统泛化个人信息的保护”。[14]在大数据时代,个人信息保护面临诸多挑战的根本原因在于采取了个体主义和静态的方式保护个人信息安全。[15]“个体主义”与“静态方式”是一体两面。正是因为采用了静态方式,才会出现个体主义的特征,因而个人信息静态保护方式是个人信息保护实践陷入困境的症结。个人信息静态保护主要是指静态地规制个人信息处理,认为个人信息样态固定不变,忽视了信息处理是一个动态过程,在不同的信息处理阶段采用相同的保护路径。[16]静态保护个人信息已经面临着个人信息难以界定、知情同意原则式微、信息处理参与者利益失衡等诸多挑战。
有学者考察美国数据保护方式后认为,个人信息静态保护是一种隐私保护方式。隐私与个人信息在大数据时代界限模糊化,个人信息已经突破了隐私的界限,因而静态的个人信息保护方式适用空间在缩小,个人信息保护应该采取动态的方式。[17]信息在大数据场景中成为一种基础性的资源,个人信息并非绝对地在公私二元场景中被处理,其被跨场景信息应用司空见惯,参与个人信息处理过程的主体不断增多,个人信息流动的链条拉长,信息脱离原来适用场景再被使用的合理性可能丧失,使得不同场景中各方主体利益的均衡,以及根据不同场景提供差异化保护的任务无法由传统的保护方式完成。因此,需要思考如何转变个人信息保护思路,探寻新的个人信息保护方式,从静态地保护个人信息过渡到动态地保护个人信息,改变事前静态地界定个人信息的做法,在不同场景中权衡信息主体、信息处理者等主体利益分配,充分考量各方利益,在个人信息保护和个人信息利用之间寻找最佳平衡点,[18]构建场景化的个人信息保护框架。[19]
2
场景理论下个人信息保护的价值追求
在场景理论下,保护个人信息所期望实现的价值是均衡地保护信息处理参与者利益,即统筹兼顾地保护个人信息所有者和个人信息处理者的利益。信息处理是一个由信息主体、信息控制者等多主体构成的动态过程,静态地保护个人信息无法平衡各方主体利益,反而容易损害各方主体利益。因为静态地保护个人信息采取的是一种固定的利益分配机制,个人信息处理风险评估也停留在个人信息处理即时状态,对于后续利益分配及风险评估关注不够,容易忽视个人信息处理参与者利益的平衡。个人信息处理者在获得授权后,无论场景是否变化,都将承受信息主体转移的责任,而信息主体则“一劳永逸”地获得庇护。这无疑加大了信息处理者的责任,减损了信息主体保护个人信息的动力。另外,信息处理者与信息主体利益分配、风险分担不均也会直接损害公共利益,因为长期静态地保护个人信息安全将导致利益分配、风险分担失衡,进而阻碍信息流动、技术创新,最终势必损害公共利益。
动态地保护个人信息需要充分关注信息主体的合理期待及容忍度,时时评估信息处理风险,有机地统一信息安全保护与信息利用,综合地权衡信息处理参与主体的利益。[3]利益可以分为正向利益和负向利益。正向利益是一种激励利益,主要是指信息处理参与主体通过信息获得价值性东西,而负向利益是一种负担利益,主要是指信息处理参与主体在信息处理过程中担负的风险与责任。信息处理参与主体利益最大化的方式有:尽可能增大正向利益,或者减少负向利益,抑或增大正向利益的同时减少负向利益。最后一种方式是较为理想的方式。无论是增大正向利益,或者是减少负向利益,皆可能过犹不及,唯独兼顾二者方能实现利益最大化。平衡信息处理参与主体的利益实际上意味着动态地评估信息处理给各方带来的风险,多维度地考察各方主体在信息处理过程中的责任分配,兼顾信息参与主体的利益,增强各方主体保护个人信息的激情,将保护个人信息变成信息处理者内在需求,[20]根据不同场景设计不同的个人信息保护规则。
3
场景理论下个人信息保护的原则
(1)动态平衡原则
动态平衡与静态平衡相对应,“指在运动变化中达到平衡” 。[21]615动态平衡原则主要指在运动中着眼于变化,在变化中协调,[22]409使得事物达到相对平衡的状态。动态平衡原则由系统论演化而来,系统论认为事物是由诸多元素构成的结构,事物的稳定性取决于要素之间的关系,要素之间的关系呈暂时的静止状态和永恒的运动状态,静止状态和运动状态的交替上升使事物处于平衡状态,促使事物发展。在个人信息保护中贯彻动态平衡原则就是将个人信息保护视为一个由信息主体、信息处理者等要素组合而成的系统,为了使该系统有序运行,发挥预设功效,根据客观情况,通过最大化地优化利益分配格局、科学地设置权利义务权重、审慎地确定主辅地位等方式调整各个要素间的关系。因此,动态平衡是确定信息主体与信息处理者关系的基本原则。
影响信息主体和信息处理者关系的因素很多,除了外在的客观情况,还包括二者本身。信息主体和信息处理者关系的处理宜秉持动态平衡原则,二者关系的处理、协调须在实践中根据客观情况不断调整。[23]237信息主体与信息处理者关系的处理、协调应该根据现实场景而定,分析问题、处理问题应该根据具体情况具体分析,信息主体与信息处理者之间的权利义务、利益关系必须随着场景的变化而调整,避免在场景变化过程中出现顾此失彼的现象,比如在个人信息处理监管中,现行《个人信息保护法》就存在此问题:以信息处理者为中心,要求信息处理者承担过重的责任,而信息主体承担的义务过少,权利过多。从《个人信息保护法》体例结构来看,其过分关注信息主体权利,而义务设定较少。
遵循动态平衡原则,调整信息主体与信息处理者之间关系的根本目的在于合理地配置权利义务,进而恰当地分配利益,从而最终达到保护个人信息安全的目的。不过,这一内在逻辑只有演化为实际行动才能使个人信息保护从价值追求变为目的实现,而个人信息保护实际行动集中反映为个人信息保护规则的制定与实施。因此,个人信息保护规则的制定和实施也要遵循动态平衡原则,这就要求以实现个人信息效益最大化为目标,充分考虑个人信息保护有效实施受到的各种制约因素,随着时间、场景变化,动态地调整个人信息保护方案,根据场景变化,针对性地设置个人信息保护规则,并在保持个人信息保护规则稳定性的同时不断地优化。
(2)合法原则
个人信息保护遵循合法原则的核心意蕴是依法保护个人信息安全。从形式上而言,依法保护个人信息强调个人信息保护制度化,要求个人信息保护法律制度完善,明确信息主体、信息处理者权利义务及违法行使权利,未依法履行义务承担的法律责任,以及信息处理程序等事项,这是依法保护个人信息安全的前提。保护个人信息安全的本质在于规范个人信息处理,从而保护个人信息权益。因此,个人信息保护遵循合法原则在一定意义上可以转换为依法处理个人信息。依法处理个人信息至少包含如下几个方面:一是禁止任何组织、个人非法收集、使用、加工、传输、买卖、提供或者公开他人个人信息,不得从事危害国家安全、公共利益的个人信息处理活动。二是在法律允许的框架内处理个人信息。信息处理主体在未违反个人信息处理禁止性规定后仍然需要依照法律、行政法规规定的权限、程序处理个人信息,这是信息处理程序法定的基本要求。个人信息处理程序法定有助于从程序上制约信息处理者,保护信息主体权益。程序法定要求信息处理必须符合法定程序,比如在处理个人信息时需要依法告知信息主体信息处理目的、信息类型、信息处理方式等内容,并取得信息主体同意。但是,合法原则在具体场景中应该有所区别,在特定场景下,合法原则的适用域及效力应该有所减小,比如知情同意规则是个人信息处理取得合法性的基础,但是在维护公益利益及个人特定利益场景中不严格适用知情同意规则,合法原则在此种场景中被遵守的样态不同。三是在个人信息保护过程中还应该动态地遵循合法原则,即随着场景转换及客观情况的变化,关注合法性生成的条件,当合法性生成基础发生改变时应该构建新的基础,以便个人信息处理重新获得合法性。
(3)必要原则
2020年出台的《信息安全技术个人信息安全规范》对必要原则进行了说明,即最小必要是指只处理满足个人信息主体授权同意的目的所需的最少个人信息类型和数量,目的达成后应该及时删除个人信息。必要原则在个人信息处理中相当于“平衡杠杠”,一边是个人信息处理者的利益,一边是个人信息所有者的利益,通过利益平衡机制明确个人信息处理界限及个人信息所有者容忍程度确保个人信息有序流通,个人信息处理者与个人信息所有者共赢。[24]在不同个人信息处理场景中皆要秉持必要原则,至少包含如下意蕴:一是在个人信息处理元场景中,个人信息的处理必须具有必要性,如果不处理个人信息将无法保护公共利益及个人权益,比如在医疗场景中,不处理患者个人信息,将无法为其提供高效的医疗服务。二是在个人信息处理分场景中,个人信息处理亦以必要为前提,即在确有必要处理个人信息场景中,处理个人信息也有一定限度,防止过度处理个人信息,导致个人信息滥用,比如在医疗场景中,医院只能基于医疗处理患者个人信息,而不能过度处理患者个人信息。三是在个人信息处理终场景中,个人信息处理也应该遵循必要原则,即在个人信息价值实现后应该考量继续处理个人信息有无必要,无必要继续处理个人信息时应该对个人信息做终局性处理,比如在疫情防控场景中,疫情防控得到控制后应该封存、销毁个人信息,因为已无必要再留存个人信息,当然这还涉及个人信息处理正当原则。
(4)正当原则
正当原则是指行为应该满足一般道德准则,与生活价值观相匹配,符合普遍认同的情理标准。[25]16个人信息保护遵循正当原则主要是指保护个人信息安全时采取的措施必须符合一般道德准则和普遍认同的情理标准,与生活价值观相匹配。首先,保护个人信息安全的正当性需要根据不同场景具体界定。从字面意义上而言,个人信息就是自然人拥有的信息,具有私人属性,因此从保护自然人信息权益角度而言,赋予自然人信息自决权,保护个人信息安全具有私法上的正当性。由于自然人享有信息自决权,在未得到自然人授权的情况下能够排除他人处理其信息,但是在大数据时代,个人信息的数据性决定了其具有公共属性,是一种基础性的资源,基于维护公共利益,释放数据红利的需要,需要处理个人信息,此时就会在一定程度上冲击自然人的信息自决权,对绝对保护个人信息权益的正当性提出了挑战。当然,这不是说保护个人信息权益不具有正当性,而是说在特定场景中不能绝对地保护个人信息权益。其次,个人信息处理目的正当。在实践中,侵害个人信息安全的主要表现之一是个人信息处理目的不具有正当性,从而侵害信息主体合法权益,比如过度收集个人信息,滥用个人信息。因此,保护个人信息遵守正当原则的言外之意便是个人信息处理目的正当,比如在公共场所收集个人图像、身份识别信息只能用于维护公共安全。再次,信息处理者取得信息主体授权的方式正当。信息处置者在处理个人信息之前不仅要取得信息主体的同意,而且还要用明确、正当的方式告知信息主体相关事项,不得通过诱导、欺骗、胁迫等方式获取信息主体的授权。
四、场景理论下个人信息保护的体系化构想
1
核心概念的重视:个人信息的再界定
个人信息是个人信息保护研究的逻辑起点,因此其概念的界定关乎个人信息保护的范围、方式等事项。《个人信息保护法》第4条将个人信息界定为“以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息”。就目前技术发展现状而言,多个零散个人信息足以拼凑、识别出唯一的个人。“个人信息的‘可识别性’模糊化,‘可识别’的程度和难度亦随具体场景的变迁而异”。[26]仅以是否“可识别”界定个人信息并不准确,比如匿名化信息虽然经过技术处理,但是并不意味着不可以用于识别个人。可识别性与具体场景紧密联系,结合具体场景匿名化信息也具有可识别性。[27]因此不区分具体场景,以“可识别”界定个人信息的做法不仅导致个人信息的内涵和外延不明,而且也会导致个人信息的性质不明。个人信息权的客体是无形的信息,[28]这决定了个人信息的性质并不能像物一样不会随着其应用场景的变化而改变性质。[26]就现行立法而言,个人信息与个人隐私二元分化,但是二者实质上具有关联性,某一个人信息在某一场景中可能是敏感个人信息,可能是隐私,因此无法静态地界定个人信息的性质,应该以个人信息在具体场景中如何被利用,以及是否符合信息主体合理期待为依据确定个人信息的性质。[29]
目前,主要根据“识别说”和“关联说”两种理论界定个人信息,随着大数据时代的到来,个人信息保护陷入困境与依据传统理论界定个人信息相关,根据“场景理论”界定个人信息成为新观点。[30]一项个人信息是否值得被保护不应该由是否具有可识别性决定,而应该在具体场景中判断个人对信息处理是否具有合理期待。[2]运用场景理论界定个人信息就是改变以往“可识别”、“相关联”的思路,充分考虑到个人信息的内涵与外延在大数据时代场景中正在变化,单纯以是否可以识别个人为依据来界定个人信息的做法可能会缩小个人信息的外延,因而需要动态地、在不同场景中界定个人信息。[31]信息是否可以识别个人或者能够关联到个人并非绝对的,信息的可识别性随着场景的转换而变化。当然,界定个人信息并不是单纯地否定可识别性,而是在场景中综合多重因素考察信息的识别性及性质。进一步而言,动态地、在不同场景中界定个人信息就是在特定场景中考察通过特定信息“联想”到个人的“可能性”,不是静止地考察信息是否可以识别或关联个人,而是考虑特定情境下结合特定信息是否会给相关人带来影响[30],即个人信息界定模式为“场景+可能性+相关影响=个人信息”。
2
核心规则的重塑:知情同意规则的再造
总体而言,个人信息保护模式可以分为权利保护模式和权力保护模式。[32]相对应地,个人信息保护手段可以分为个人控制型手段和非个人控制型手段。[14]就更有效地破解个人信息保护难题而言,个人信息保护宜兼采权利保护模式和权力保护模式,个人控制型手段和非个人控制型手段并用。而个人信息自主控制是个人控制型手段的核心,知情同意又是自主控制的基础,“没有知情同意,就没有自主控制”。[14]因此,“知情同意”是个人信息保护制度中基础性的核心规则。从现行《个人信息保护法》立法体例、内容来看,一定程度上可以认为整个个人信息处理规则是以知情同意规则为基础构建起来的。知情同意规则主要指服务者和其他企业事业单位在提供服务或者办理业务活动中处理个人信息时应该明确地告知信息主体,并获得信息主体的同意。知情同意规则的存在具有合理性,该规则假定信息主体对自己的信息具有控制权,信息处理者和信息主体绝对平等,而且个人能够有效地行使知情同意权。但是以上假设在不同场景中并非完全成立,知情同意规则的实践效果并不理想。知情同意规则式微的根源在于忽视了不同场景中信息主体有不同的期待,场景不同,信息主体对于处理其信息的容忍度及合理期待不同,不能设想所有的个人信息皆在同一场景中被处理。一项个人信息会在不同场景中被处理,甚至一项个人信息会在几个场景中被处理。当时的“知情同意”并非意味着“一劳永逸”。随着个人信息处理场景的改变,信息处理可能超出了个人信息主体的容忍度及合理期待,那么原来场景中的“知情同意”也就丧失了效力。
有研究主张衡量信息主体、信息处理者、管理部门三者间的利益,在可能侵害信息主体利益的场景中适用知情同意规则,在不会侵害信息主体利益的场景中不适用知情同意规则。[33]尽管静态的知情同意规则弊病较多,但是尚不足以彻底否定知情同意规则,较为妥当的做法是在个人信息保护中适用动态知情同意规则,[34]随着个人信息处理场景的改变适用不同的知情同意模式。在处理个人信息时应该秉持知情同意为一般,不获得同意为例外的原则,即在特定场景中处理个人信息必须征得信息主体明确、正式的同意,但是在个人对处理自己信息具有较高容忍度及合理期待的场景中应该限缩知情同意规则的适用范围,代之以信息主体知情,即使其没有同意也推定其默示同意,这种模式可概括为“场景合理+知情+推定同意=合法处理”。[35]与此同时,在相对固定的场景中,随着场景的改变也应该动态地适用知情同意规则,比如虽然在处理个人信息之初取得了信息主体的同意,但是具体情境改变后也应该再次取得信息主体同意。除此之外,信息主体在处理个人信息之初知情同意,但是个人信息处理场景的改变对其信息权益产生实质影响时,应该赋予其同意撤回权。
3
具体机制的设计:场景类型化下的规则构建
(1)个人信息处理场景的类型化
《对个人数据的再思考:以人为本的数据生态中的信任和场景》一文从数据用途、处理机关、流动载体、收集手段、数据主体对待数据处理的态度、数据主体与数据处理者信任程度、数据利益等维度罗列了个人信息处理场景类型化的参照标准,主要包括数据类型(医疗、教育信息等)、机构类型(管理部门、商业机构、雇主)、设备类型(移动终端和PC端)、采集方式(智能化手段和非智能化手段,比如手录、机录等)、使用方式(主动参与、明示同意、默认自动处理)、信任程度、价值交换等七个方面。[2]我们参考其所述,依据不同标准,把个人信息处理类型化为若干个场景。以个人信息处理目的为参照,个人信息处理场景可分为:为了个人利益处理个人信息,以及为了公共利益处理个人信息。以个人信息处理主体为参照,个人信息处理场景可以类型化:为管理部门处理个人信息,商业机构处理个人信息,雇主处理个人信息。以个人信息类型为依据,个人信息处理场景可类型化为:处理敏感个人信息,以及处理非敏感个人信息。以个人信息处理方式为参照,个人信息场景还可以类型化为:智能化处理个人信息,以及非智能化处理个人信息。依据信息主体不同,个人信息处理可类型化为:处理成人个人信息,以及处理儿童个人信息,等等。
依照不同的标准,个人信息处理可以类型化为若干个不同场景,这是针对不同个人信息处理场景选取不同保护策略的前提。在大数据时代,个人信息处理场景类型化并不是绝对的,每种个人信息处理场景存在叠加现象,构成了个人信息处理大场景,比如在为公共利益处理个人信息场景中存在管理部门智能化地处理个人信息及敏感个人信息。个人信息处理场景的组合不同,个人信息处理大场景亦不同,由此也加大了个人信息保护难度。不过,某些个人信息处理场景具有共性,可以在共有的个人信息处理场景上整合个人信息处理场景,例如将个人信息处理主体作为第一层次参照标准,个人信息处理目的作为第二层次参照标准,个人信息处理方式作为第三层次参照标准,个人信息类型作为第四层次参照标准,如此不断细化、组合个人信息处理场景,从而形成个人信息处理场景“树”,根据不同的个人信息处理场景“树”选择不同的保护思路,如图1所示。
(2)个人信息处理考量的因素
个人信息处理考量的因素分为三个层级:第一层级考量因素是个人信息处理需要遵循的基本原则;第二层级考量因素是个人信息处理场景的具体情况,包括个人信息处理主体、个人信息处理目的、个人信息处理方式、个人信息类型等;第三层级考量因素是个人信息被不当处理的风险。这三个层级个人信息处理考量因素具有内在关联,第一、二层级考量因素共同表述第三层级考量因素。第一层级考量因素是基础性个人信息处理考量因素,几乎在每个场景中处理个人信息皆要考虑合法、正当、必要问题,这也直接决定了个人信息被不当处理的风险大小。第二层级考量因素是在第一层级考量因素的基础上描述个人信息被不当处理的风险。假设每个个人信息处理场景的合法性、正当性、必要性皆得到了满足,那么第二层级考量因素就决定了个人信息被不当处理风险的大小,因此个人信息被不当处理的风险是处理个人信息时考量的核心因素。
图1 个人信息处理场景“树”
从第二层次考量因素入手,个人信息处理场景风险大小不一。就信息处理主体而言,管理部门、雇主、商业机构不当处理个人信息的风险依次增高,因为相比较管理部门和雇主而言,商业机构的逐利特性决定了其更容易过度处理个人信息;就处理信息目的而言,相较于在出于保护个人利益处理个人信息场景中而言,个人信息在出于维护公共利益处理个人信息中被不当处理的风险更大,因为在出于保护个人利益的目的处理个人信息时,信息主体合理期待性更高,信息主体的合理期待如同“被害人承诺”一样,具有阻却个人信息处理不当侵权构成,“稀释”个人信息被不当处理风险程度的功能。就信息处理方式而言,智能化处理个人信息远比非智能化处理个人信息带来的风险要大,原因在于相较于非智能化个人信息处理方式,智能化个人信息处理方式处理的信息量更多,深度更广。就个人信息类型而言,处理敏感个人信息带来的风险要高于处理非敏感个人信息带来的风险,主要原因在于敏感个人信息与个人社会画像更为紧密,如果处理不当极易给个人带来极大的负面影响。从整体角度而言,若干个个人信息处理场景组成系统性的个人信息处理场景,此时的个人信息处理风险与单个个人信息处理场景排列组合密切相关。一般而言,单个个人信息处理场景风险越高,叠加起来的个人信息处理场景风险越高。此种排列组合较多,需要根据实际情况具体分析、判断,宜由官方出台评估指南。
(3)个人信息保护规则概述:以敏感个人信息处理为例
将个人信息处理场景类型化的目的在于评估个人信息在不同场景中被不当处理的风险,从而根据风险大小采取针对性的保护策略,设计不同的保护规则。整体而言,可以以知情同意规则为基础,区分敏感个人信息处理场景、非敏感(一般)个人信息处理场景、管理部门处理个人信息场景,再根据这些场景的特征衡量个人信息被不当处理的风险,依据风险等级设计个人信息保护规则体系。
以敏感个人信息处理为例,处理敏感个人信息除了需要遵循非敏感(一般)个人信息处理规则外,还需要遵循特定的处理规则,主要表现在如下几个方面。第一,在个人信息处理授权方面,处理敏感个人信息须明了、清楚地告知信息主体信息处理主体的名称、联系方式,处理方式、目的、必要性,信息主体享有的权利及对个人权益的影响等事项,并取得信息主体较为明确的同意,甚至是单独的书面同意。除此之外,在处理未满十四周岁未成年人个人信息时须取得其父母或其他监护人同意。第二,从处理目的角度而言,处理敏感个人信息必须有特定目的,比如为了医学检查收集患者血型、病历、DNA信息等。第三,在技术措施保障方面,信息处理者仅能在采取严格保护措施情况下处理敏感个人信息,比如对敏感信息进行匿名化处理。为了更好地说明在不同场景中个人信息保护规则不同,此处再对敏感个人信息处理规则与非敏感(一般)个人信息处理规则进行对比,见表1。
表1 敏感个人信息处理规则与非敏感(一般)个人信息处理规则对比
总之,不同场景中个人信息保护规则的制定是一项系统性工作,需要充分考量信息应用途径、处理主体、流动设备、收集方式、使用方式、信任程度、价值交换等要素,并关注这些要素排列组合构成的场景特征,根据特征设定一套系统性的方案,然后将这些方案付诸于实践,经过充分调研后做出制度性安排。
五、结 语
在互联网场景时代,静态地保护个人信息安全已经显示出极大的被动性、不适应性。个人信息的边界随着场景波动,知情同意规则的适用也陷入了困境,各方利益分配失衡,阻碍了信息流动及利用,因而可以尝试动态地保护个人信息安全。场景理论是一种研究行为交往的工具,也是一种动态风险评估,利益分配框架,其在隐私保护中得到了足够的重视,个人信息与隐私具有内在关联,也具有差异性,鉴于此,可以尝试引入该理论解决传统个人信息保护架构的不足,以此加强个人信息保护。基于场景理论,动态地保护个人信息可以有效地回避个人信息静态保护面临的挑战,增强个人信息保护与个人信息利用之间的弹性,释放个人信息的价值,通过动态的场景分析-风险评估-利益均衡机制,将个人信息保护内化为信息处理者、信息主体的内在需要,有利于形成主体多元化、手段多样化、阶段全覆盖的个人信息保护格局。场景理论的引入也为《个人信息保护法》的实施提供了思路,基于不同场景构建不同保护框架。
① “场景”的英文单词situation、scene、context的含义略有不同,或者说侧重点不同。situation虽然有情况之意,但是更强调有形的场景;scene指场景、情景,不再局限于有形场景,也包括无形场景;context有背景、环境等意思,强调的是事物经历的宏观背景、环境。
参考文献
郜书锴. 场景理论: 开启移动传播的新思维.新闻界, 2015(17): 44-48,58.
[2]
路鹃. 个人信息自决权在中国社交网络语境下的再阐释—以情境脉络完整性为视角.现代传播(中国传媒大学学报), 2019, 41(11): 74-80.
[3]
范为. 大数据时代个人信息保护的路径重构—初探欧美改革法案中的场景与风险理念.网络信息法学研究, 2017(1): 248-286,393-394.
姬蕾蕾. 个人信息保护立法路径比较研究.图书馆建设, 2017(9): 19-25.
[5]
张新宝. 我国个人信息保护法立法主要矛盾研讨.吉林大学社会科学学报, 2018, 58(5): 45-56,204-205.
[6]
欧文·戈夫曼. 日常生活中的自我呈现.黄爱华, 冯钢译. 杭州:浙江人民出版社, 1989.
[7]
于尔根·哈贝思. 作为“意识形态”的技术与科学. 李黎, 郭官义译. 上海: 学林出版社, 1999: 92.
[8]
特里·N·克拉克, 李鹭. 场景理论的概念与分析: 多国研究对中国的启示.东岳论丛, 2017, 38(1): 16-24.
[9]
罗伯特·斯考伯, 谢尔·伊斯雷尔. 即将到来的场景时代——大数据、移动设备、社交媒体、传感器、定位系统如何改变商业和生活. 赵乾坤, 周宝曜译, 北京: 北京联合出版公司, 2014: 11.
[10]
李明伟. 知媒者生存媒介环境学纵论.北京:北京大学出版社, 2010.
[11]
Nissenbaum H. Privacy as Contextual Integrity.Washington Law Review, 2004, 79(1): 119.
[12]
Barth A, Datta A, Mitchell J C, et al. Privacy and Contextual Integrity: Framework and Applications// IEEE Symposium on Security & Privacy.IEEE, 2006, : 2.
[13]
倪蕴帷. 隐私权在美国法中的理论演进与概念重构—基于情境脉络完整性理论的分析及其对中国法的启示.政治与法律, 2019(10): 149-161.
[14]
李润生. 论个人健康信息“利用友好型”保护模式的建构.行政法学研究, 2021(5): 79-90.
[15]
丁晓东. 大数据与人工智能时代的个人信息立法—论新科技对信息隐私的挑战.北京航空航天大学学报(社会科学版), 2020, 33(3): 8-16,71.
[16]
袁泉. 论个人信息的私法定位与保护.大连理工大学学报(社会科学版), 2020, 41(2): 90-95.
[17]
高莉. 大数据伦理与权利语境—美国数据保护论争的启示.江海学刊, 2018(6): 151-156.DOI: 10.3969/j.issn.1000-856X.2018.06.023.
[18]
孙丽岩. 行政决策运用大数据的法治化.现代法学, 2019, 41(1): 84-95.DOI: 10.3969/j.issn.1001-2397.2019.01.07.
[19]
邹晓玫, 杜静. 大数据环境下个人信息利用之授权模式研究—重要性基础上的风险评估路径探索.情报理论与实践, 2020, 43(3): 37-43.
[20]
周汉华. 探索激励相容的个人数据治理之道—中国个人信息保护法的立法方向.法学研究, 2018, 40(2): 3-23.
[21]
于光远. 经济大辞典.上海:上海辞书出版社, 1992.DOI: 10.3321/j.issn:1006-2467.1992.06.001.
[22]
李世英. 领导驾驭力全书(第1卷).延吉:延边人民出版社, 2001.
[23]
曹沛霖. 制度的逻辑.上海:上海人民出版社, 2019.
[24]
刘忠炫. 个人信息处理的合理限度—基于必要性原则的场景化分析.上海政法学院学报(法治论丛), 2021, 36(5): 150-160.
[25]
胡建淼. 政府法治建设.北京:国家行政学院出版社, 2014.
[26]
何鋆灿. 数据权属理论场景主义选择—基于二元论之辩驳.信息安全研究, 2020, 6(10): 919-932.DOI: 10.3969/j.issn.2096-1057.2020.10.010.
[27]
孙南翔. 论网络个人信息的商业化利用及其治理机制.河北法学, 2020, 38(7): 96-113.
[28]
吕炳斌. 个人信息权作为民事权利之证成: 以知识产权为参照.中国法学, 2019(4): 44-65.
[29]
万方. 隐私政策中的告知同意原则及其异化.法律科学(西北政法大学学报), 2019, 37(2): 61-68.
[30]
何波. 试论个人信息概念之界定.信息通信技术与政策, 2018(6): 38-42.DOI: 10.3969/j.issn.1008-9217.2018.06.010.
[31]
齐爱民, 张哲. 识别与再识别: 个人信息的概念界定与立法选择.重庆大学学报(社会科学版), 2018, 24(2): 119-131.
[32]
王锡锌. 个人信息国家保护义务及展开.中国法学, 2021(1): 145-166.
[33]
王文祥. 知情同意作为个人信息处理正当性基础的局限与出路.东南大学学报(哲学社会科学版), 2018, 20(S1): 142-146.
[34]
宁园. 个人信息保护中知情同意规则的坚守与修正.江西财经大学学报, 2020(2): 115-127.
[35]
蔡星月. 数据主体的“弱同意”及其规范结构.比较法研究, 2019(4): 71-86.
From Static to Dynamic: Personal information protection under scenario theory
ZHAO Zu-bin
(Zhejiang Gongshang University, School of Law)
Abstract:With the advent of the Internet scene era, the static protection of personal information has been faced with many challenges, so the protection of personal information needs to “from static to dynamic”. As a dynamic analysis framework, scenario theory can be used in personal information protection to construct a dynamic protection structure for personal information. Under scenario theory, the inherent logic of personal information protection is to dynamically protect personal information security, and the pursuit of value is to protect the interests of personal information owners and personal information processors in a balanced manner, following the principles of dynamic balance, legality, necessity, and justification. Based on the internal logic, value pursuit, and principles of personal information protection, the realization of personal information dynamic protection requires redefining personal information, reshaping informed consent rules, and designing targeted personal information processing rules.
Keywords:scenario theory, personal information protection, dynamic, risk assessment, benefit balance
作者简介:
赵祖斌,浙江工商大学法学院讲师。研究方向为刑事法学。
项目资助:
2020年重庆市研究生科研创新项目“事前规划与事后惩治并重:侵犯公民个人信息罪治理路径研究——以合规计划为视角”(CYB20131)。
封面图片来源于互联网