华诚数据 | 个人信息处理:我国个人信息保护法的规范对象
个人信息处理:我国个人信息保护法的规范对象
作者:高富平(华诚高级合伙人、法学博士、华东政法大学法律学院教授、数据法律研究中心主任)
摘要
个人信息保护法旨在保护个人信息处理中的个人权益不受侵犯。个人信息保护法需 要界定个人信息处理中可能出现的个人权益侵害风险,以确立防范风险发生的个人信息处理规则。个人信息处理在个人信息保护法中具有界定规范对象和边界的双重价值。我国个人信息保 护法的制定应当将个人信息处理作为规范对象,同时将个人信息处理限缩在以识别分析为核心 的处理行为上,并将之划分为收集、控制、分享、分析和应用5种具体处理行为。
关键词:个人信息保护法 个人信息(个人数据) 个人信息处理 识别分析
一、引 言
二、个人信息处理的规范价值
三、个人信息处理的界定
四、个人信息处理的内涵
将个人信息处理定义为为识别分析而使用个人信息的行为,以识别分析限定使用的内涵,从而使个人信息保护法规范的使用区别于一般意义上的使用。这样的定义有利于区别个人信息保护法的规范对象,将碎片化的使用、具有保密义务情形下的知悉甚或存储个人信息等行为排除在个人信息保护法的规范之外。
这一定义的关键在于识别分析。识别分析即是利用数据分析个人特征并做出影响个人或群体决定的行为。识别分析属于数据分析的范畴,属于从数据中获取行动知识的行为,识别分析的目的在于洞察个人并获得关于个人或群体的知识。识别分析通常采取描述性分析、预测性分析、处方性分析等方法对个人信息进行处理或运算,洞悉某人的特性(获取某个方面或全面的个性、特征、偏好等知识)或预测未来行为,并在此基础上决定是否要采取行动、采取什么行动。这里的行动包括推送信息、联络甚至发出要约,抑或是对犯罪嫌疑人的抓捕。这样的识别分析反映了个人信息处理技术的变化。如前所述,在40年前,个人信息处理的核心是收集和存储关于个人的数据,形成关于个人的电子文档,重复利用该文档作出关于个人的决定。今天,个人信息处理的核心是基于泛在网络产生的数据,运用大数据分析技术进行识别分析。这样的识别分析给个人尊严、隐私带来的危害是我们的法律应当关注的,也应当是个人信息保护法应当解决的核心问题。
当个人信息处理的概念进入法律后,就已经脱离技术意义上的具体处理行为(操作、运算)的含义,而抽象成为涵摄一切影响主体权益的个人数据使用行为。以识别分析为核心界定个人信息处理的目的仅在于明确个人信息保护法规范的范畴,为了实现对处理行为的规范,还应细分具体的处理行为。在这方面,《草案》对处理行为的列举已经摒弃《条例》无意义的广泛列举,并接近个人信息处理的实践。基于对识别分析的定位,我们应当围绕识别分析的实践来构建和区分具体的信息处理行为。为此,笔者建议将处理行为细分为收集(获取)、控制、分享(提供或披露行 为)、分析和应用5种行为。识别分析意义上的处理是以分析为核心的数据活动,分析是对特定 数据进行操作、运算的处理,形成关于某个人某个方面的描述、预测或结论;分析形成的结论要应用于决策,针对该人采取个性化商品推送或服务等行动。分析需要获取(收集)数据并持有(控制)数据,并且在这个过程中少不了信息分享行为,以涵盖信息在不同控制者之间的流动。因此,处理活动还应当包括收集、控制和分享3种行为。由此,将个人信息处理划分为信息收集、控制、分享、分析和应用5种行为,涵盖了个人信息利用的全过程。①这5种子行为是从社会效果方面对处理行为的具体分类,既避免了《草案》从纯粹技术方面所下的定义(如存储、传输),又避免了有可能重合或模糊的“使用”概念。
收集是个人信息处理的起点。收集既包括从个人处直接收集(采集),也包括从特定信息控制者处间接收集和从公开渠道获取。最初的个人信息保护法只关注从个人处直接收集数据,但现在间接获取和从公共渠道获取已成为识别分析数据的主要来源。在这两种情形下,个人知情或同意几乎无法实施,如何防范这两种收集方式带来的风险是如今个人信息保护法必须关注的。这预示着我国个人信息保护法对个人权益保护的重点要从对收集进行控制转向对使用进行控制。
控制即实际控制和管理数据,在技术上表现为存储和管控数据。控制以存储为常态,也包括能够调用数据。按照立法者制定个人信息保护法的理念,保存和控制数据必须符合初始收集目的的需要,当该目的完成或实现,那么就不需要继续存储数据。在丧失法律基础的时候,须删除数据,删除数据可以解释为丧失控制。我们可以用更具有规范意义的控制来涵盖存储、删除这样的行为。在过去,收集和存储数据、形成电子文档或数据集是处理分析的前提,而在现代技术条件下,许多数据分析是即采即用(分析),不需要存储,许多数据分析工具(如联邦学习)可以实现仅运算分析而不获取和存储数据。这些都会改变对个人信息存储的认知,影响对控制(存储)行 为的规范。
分享是信息控制者向他人提供数据,包括披露(向特定人提供)和公开(向不特定人提供)。这里的分享包括《草案》涉及的提供和公开两种行为。有分享才有个人信息的间接取得,但既有个人信息保护法多不涉及分享规范,甚至不承认信息控制者的分享权利。例如,依据《条例》序言 第50条和第2章第6条的规定,数据控制者只能在初始目的(取决于收集时约定或法定目的)的必要范围内使用或再使用(包括提供给他人),超出该目的范围的再使用将丧失合法性基础。虽然《条例》旨在促进个人数据在欧盟境内的自由流通,但似乎仍然坚持个人“决定”流通,而不是数据控制者在确保主体安全前提下的主动提供或分享。单纯靠目的限定原则来限制数据的流动已经不符合当今个人数据利用的实践,必须同时承认去标识后的个人信息是可分享利用的,但须通过个人信息保护法区分不同的场景,明确是否需要获得信息主体的同意。 同时,信息控制者 (处理者)应承担分享利用的责任,以建立确保个人信息安全的信息流通利用秩序,为个人信息间接取得(合法流通)提供合法路径,解决个人数据再利用的秩序问题。
分析是最为重要的信息处理行为。分析是对数据进行匹配、组合从而形成基于不同分析目的的数据集,并通过运行算法或分析工具的挖掘和预测揭示出个人行为、社会关系、个人偏好和身份特性等。人工智能系统是无限利用数据的分析方法,具有较强的预测和推算能力,给人的隐私或尊严带来新的威胁。算法本身具有不可解释性,算法的规制成为个人信息处理规范的重要内容。如何确保数据集的全面正确和算法的透明或可解释、防范算法歧视是规制分析行为的重 点所在。
应用是基于分析结论(画像、预测、推论等知识)作出决策,该决策对个人、群体均会产生影响甚至产生社会后果。应用是依据分析结果进行行动,如向目标人群发送商业信息或者信息内容。需要指出的是,在人工智能应用中,大数据分析和应用是瞬间完成的,并不存在明确的分析和应用两个阶段。先进的数据分析治理必须考虑算法的迅速性和无缝隙迭代性。
上述5种子处理行为既可以看作识别分析行为的5个步骤,也可以视为个人信息处理的5种行为。每一种行为均涉及技术应用,但我们不从技术方面,而从社会效果方面概括,使其具有规范价值。个人信息保护法需要分析这5种行为对个人权益的影响并从整个社会经济活动的需 求出发来规范这5种行为,针对具体的个人信息处理行为设置条件和程序,建立正当的个人信息处理原则性规范。
五、结 语
个人信息处理是个人信息保护法的基石性概念,在个人信息保护法研究中占有重要的地位。从源头上看,个人信息保护法旨在保护个人信息处理中的个人权益不受侵犯,因而个人信息保护法应围绕个人信息处理的规范展开。个人信息处理成为个人信息保护法的基本范畴,同时对其本身的定义方式也关系到对个人信息处理的规范模式。《指南》的立法者没有把计算机应用于个人数据的行为概括为数据处理行为,从而建立了个人数据处理的一般规则。《公约》及其之后的欧盟个人信息保护法开启并引领了抽象规范模式,对计算机导致的个人数据使用行为进行概括和抽象,建立了个人数据处理的一般原则。这一传统为欧盟立法所继承和发展,形成无所不包的个人数据处理概念,将所有的可能触及数据和利用数据的行为包括在内,导致个人信息保护法的规范对象和适用范围泛化,背离了个人信息保护法防范个人信息处理可能引发的侵害个人权益风险的目的,最终导致法律对社会的过度干预。
作为源自信息技术应用的一个概念,个人信息处理进入法律范畴之后,承担着两项规范功能:一是界定个人信息保护法的适用边界。将对个人权益有实质影响的个人信息处理行为纳入法律规范,避免法律对一切个人信息使用行为的过度干预,也划分了个人信息保护法与其他法律 之间的界线。二是规范行为。以信息处理术语体系为基础,构建个人信息处理的行为规范。在学习和移植欧盟个人数据保护法的过程中,个人信息保护法被简单地理解为个人数据保护法,而不是个人信息处理中的个人权益保护法,甚至将基本权利层面的主体自治、自决、自由简化为私法意义上的个人信息属于个人、由个人决定,导致个人信息私有化,更背离了个人信息保护法的宗旨。将个人信息保护法理解为为个人信息处理中的个人权益提供保护,并合理界定个人信息处理行为,是我国个人信息保护立法的基础工作。
《草案》第1条将“规范个人信息处理活动”作为法律规范的目标,表明我国个人信息保护法的定位是正确的。但是,《草案》关于个人信息处理的定义既没有反映个人信息处理规范的本义, 又有对《条例》之个人数据处理定义的简单模仿之嫌疑。为此,笔者建议将个人信息处理定位于 以识别分析为核心或目的的个人信息使用行为。这样的定位既坚持了个人信息保护法40年前的立法者确立的技术和法律两个标准,将个人信息处理定位于识别分析处理之上,又将一般的个人信息处理排除于个人信息保护法的规范范围,而只关注大数据时代的大数据分析、人工智能技术对个人权益有重大明显影响的个人信息处理行为。
在以识别分析为核心来界定个人信息处理边界的同时,笔者还希望以识别分析为核心构建个人信息收集、控制、分享、分析和应用这5种行为的规范。这5种行为是以信息生命周期为基础,从对个人权益影响的维度切分出的个人信息处理行为。这5种行为全面反映了现今个人信息使用的社会现实,但已经不再是技术语境下的信息处理概念,而是具有法律规范价值(对个人权益有影响)的法律术语。从个人数据的社会应用维度来定义个人信息处理的具体行为,不仅有利于个人信息保护法发展出具体的行为规范,而且能够回应时代对个人信息保护法的需求。
如果说40年前的立法者只是关注因信息技术带给个人信息的“被处理”而对个人权益产生的影响的话,那么今天的识别分析已经成为支撑各种决策智慧或知识的生产活动。数据应用在过去只是一种少量(或少数主体)应用的现象,但今天已经演绎为支撑经济、社会治理、学术研究等的普遍应用。数据分析在过去是基于以个人提供为主的小数据分析,但今天已经演绎为基于大数据的分析活动。在数据成为资源的背景下,个人信息处理演变为一种经济活动。在这样的背景下,我们就不能再单纯地从对个人权益影响的维度来规范处理行为,而必须对合理切分出的具有社会后果和意义的行为加以规范,以使其具有规范效果。
如此制度设计的真正用意是,彻底地将个人信息保护法定位于个人信息利用的行为规范。在40年前,个人信息保护法关注的主要是个人提供给各种组织的个人信息在长期存储下因重复或长期积累使用给个人带来的危害,由此建立了以个人控制为主导思想的个人信息处理规则,其核心是在约定或法定目的的必要范围内使用数据,达到对个人数据利用进行控制的目的。如今, 识别分析是基于泛在网络产生的数据展开的,间接甚至非接触取得数据已成为主流,以智能分析工具为工具,我们应将个人信息处理规制的重心置于识别分析行为和后果的规范上。
在这样的时代,识别个人信息的范围没有边界,能否识别一个人取决于用于识别的数据量和 识别分析的方法,而不能事先判断。虽然在40年前个人信息处理给人带来的危害需要赋予个人对个人信息的一定控制,但现在可识别个人的信息已经沦为泛在的存在,无法判断其边界,个人也无能力实现对个人信息的控制。故通过赋予个人对个人信息的控制权来预防个人信息处理中对个人产生的危害已经证明无益于主体权益的保护。设置个人对泛在信息的控制不仅对个人信息保护不具有实际意义,并且信息收集者也将徒增合规成本。有效的个人控制实际上应当转向对个人信息识别行为的控制。在这样的思维下,拒绝被识别分析、拒绝识别分析约束在个人信息保护立法中就具有特别意义。既然个人信息保护法规范的对象是个人信息处理行为,那么个人信息保护法就应当围绕个人信息的利用行为构建信息处理者与信息主体之间的权利义务关系, 防范个人信息处理行为侵害主体权益的风险,并在侵害行为发生时予以纠正和救济。个人信息保护法需要在此种意义之上理解和设计信息主体的权利和信息使用者(处理者)的义务,在限缩个人对个人信息的控制范围的同时,强化个人对个人信息处理行为和分析结果异议和拒绝的权 利配置。