GDPR 的制度缺陷及其对我国《个人信息保护法》实施的警示

高富平

华东政法大学教授

数据法律研究中心主任

摘 要:

《统一数据保护条例》(GDPR)是披着基本权利保护法外衣的经济立法,服务于欧洲统一数据市场需要。为实现这一目标,GDPR 采取提高保护水平从而增强民众对个人信息流通利用信心的路径。

然而,GDPR 不仅背离其制度设计初衷,而且宽泛个人信息,模糊个人识别,泛在个人信息处理,正使其实施陷入无解的困境。

缓解我国《个人信息保护法》与数字经济发展冲突的出路在于:第一,清晰认知技术变迁对于个人信息保护的挑战;第二,深刻把握个人信息的社会资源属性;第三,准确理解个人信息及处理等核心概念;第四,明确主张去标识化信息可以利用规则。

关键词:GDPR 个人信息保护法 个人信息流通利用

2020 年 3 月 30 日,中共中央、国务院发布了《关于构建更加完善的要素市场化配置体制机制的意见》 (下称《意见》),提出土地、劳动力、资本、技术、数据五大生产要素。这是着眼于数字经济背景下的市场要 素的新定位,具有非常重要的意义。不过,数字经济发展面临个人信息滥用和安全风险。我国自 2012 年开 始移植域外的个人信息保护制度,并于去年颁布了《个人信息保护法》,11 月 1 日正式生效实施。《个人信 息保护法》的制定实施,有利于克服分散立法、规则不统一的弊端,更有助于建构我国的个人信息保护制 度。但在《个人信息保护法》贯彻实施之中,个人保护与个人信息流通利用需求之间的冲突不可小觑。显 然,在法律实施伊始就质疑立法太欠妥当。为此,笔者通过对我国立法有深度影响的《统一数据保护条例》 (缩写 GDPR, 以下使用缩写) 的分析, 揭示个人信息保护法实施可能面临的问题。

个人信息保护制度源自于域外, GDPR 就是在特定时代特定社会政治经济背景下产生的个保法不断 演进的产物。但它既不能适应当今时代发展需要,更不应该是“放之四海”的准则。GDPR 潜在的制度缺 陷和对欧盟数字经济的挚肘正在显现。因而在 GDPR 生效不久,欧盟委员会即开始制定促进数据流通利用 或分享的制度,以缓解或校正 GDPR 的缺陷。2020 年 11 月 25 日,欧盟委员会曾向欧盟立法机构提出《数 据治理条例建议案》,旨在促进各部门和成员国之间的数据分享,并将数据分享(data sharing)作为数据战略的一个关键支柱。这种新的数据治理方式将增加对数据分享的信任,加强提高数据可用性的机制,并 克服数据重用(re-use)方面的技术障碍。2022 年又提出《数据法建议案》以确保企业与企业之间(B2B) 合法的数据分享(流通)和使用,以创建公平的数据经济。两个建议案有着共同的目标和内容,都是为了解 决欧盟单一数字经济发展面临的制度障碍。

显然上世纪七八十年代形成的以保护个人权利为中心的个人信息保护规则已经不能适应数据资源 化、生产要素化的需要,甚至与该要求相悖。在数据驱动发展背景下,包括欧盟在内的世界各国正在探讨 新的解决路径。在这样的背景下,如何解释和适用《个人信息保护法》,避免继续坠入 GDPR 的困境,是我 国应当警惕的。本文旨在剖析 GDPR 内在的缺陷和原因,并在此基础上提出《个人信息保护法》解释和适用的方向, 以缓解个人信息保护与社会经济发展之间的冲突和矛盾。

GDPR 的基本定位

GDPR 具有双重目的:一方面是保护个人数据(个人信息,本文通用)处理和流通过程中所涉及到的 自然人的基本权利与自由,尤其保护其个人信息保护权;另一方面是促进个人信息在欧盟境内的自由流 通。这两个目的所代表的价值追求是对立的, GDPR 开出的处方是统一数据保护水平,强化个人信息保护 权,增强公民信心从而实现个人信息的流动利用。GDPR 根本就没有考虑个人信息的资源属性,给予数据 控制者以流动数据的权利,实现数据流通利用。这样的设想是美好的,但法律实施效果甚或人们的解读并不是那么美好。

(一)GDPR 是一部基本权利保护法

世界各国均将个人信息保护视为保护个人尊严或自由的一项基本人权(或基本权利),个保法是基本人权保护法。欧洲的个人信息保护立法源自于欧洲委员会在 1981 年制定的《个人信息自动处理中的个人保护公 约》(下称《公约》),该《公约》是为了落实《欧洲人权公约》(缩写 ECHR,1953 年 9 月生效)④ 。ECHR 中的第 8 条(尊重私人和家庭生活的权利)是《世界人权公约》第 12 条在欧洲法中的体现,⑤ 《世界人权 宣言》第 12 条和 ECHR 第 8 条中“家庭”和“通信”在世界许多国家宪法中均已确立并有相当的历史了, 但“隐私”和“私人生活”则是新的。由此欧洲将个人尊严和家庭生活受尊重,视为公民最为重要的基本权利之一。《公约》即是用来贯彻 EUHR 第 8 条,将个人信息保护视为“尊重私人生活”这一基本人权的重要内容。

基于对私人生活的理解,欧洲人权法院将其分为三种类型(类型间可能有重叠):(1)包括了身体的、 精神的完整;(2)隐私;(3)身份和自主。而数据保护被囊括进隐私类别之中,他们认为,使用个人信息对个人进行不可预测的分析可能对言论自由、隐私权和身份权(the right to privacy and identity),以及个人自决造成影响。因此,欧洲个保法制度源自基本人权保护,源自人权意义上的隐私权。

但是,之后欧盟落实《公约》过程中,将个人信息从隐私权中独立出来成为一项独立的基本权利—— 个人信息保护权。2000 年《欧盟基本权利宪章》除了在第 7 条规定隐私权(与 ECHR 第 8 条同)之外,还 规定了第 8 条,将个人信息保护上升为一种独立的公民基本权利。2009 年《欧盟运行条约》(TFEU) 的 签署使得宪章的规定具有了法律效力。TFEU 第 16 条重申了个人信息保护权,为对各个领域的个人信息 进行全面保护提供了坚实的法律基础。GDPR 也正是基于第 16 条制定的。

基本权利具有双重属性,人格权本质上是源自对作为主体的人的保护,在普通法体系下人格权被 纳入隐私权之中,而在大陆法系人格权被分为宪法上的人格权和私法上人格权。实际上,二者都是以保护自治和人的尊严为目的。但是,至今并没有国家在民法典中直接规定个人信息保护权。个人信息保护基 本上是在公民基本权利层面进行。

无论是否基于数据主体(信息主体,本文通用)的同意,依据 GDPR 数据主体可以通过随时撤回同意、 拒绝性权利(限制处理权、拒绝权、拒绝自动分析约束权)、移转权和删除权“参与”到数据处理全过程,使 数据主体在法律上(至少在法律形式上)能控制个人信息处理,防范个人信息滥用。这些权利是为了维护数 据主体尊严,防范数据控制人的滥用行为的权利,本质上属于维护个人尊严,而非对数据的排他支配权。

我们一定要明确, GDPR 是一部公民基本权利保护法,而不是一部私法或人格权法,我们不能将 GDPR 赋予的权利与私权直接划等号。这样做最大的好处是便于国际对抗和谈判。因为我们很难拿保护私 权在国际事务中说事, 而一旦保护公民基本权利时, 大家就可以相对抗并取得共识。

(二)GDPR 是一部欧洲市场统一法

欧洲议会和欧盟理事会 1995 年 10 月 24 日通过《有关个人数据处理中的个人保护和所涉数据自由 流通的第 95/46/EC/ 号指令》(下称《指令》)。借助《指令》,欧盟成员国率先开启了制定个人信息保护单 行法的潮流, 并对整个世界产生了影响。

1991 年,欧洲一体化取得重大进展,欧共体首脑会议当年通过了《马斯特里赫特条约》(1993 年 11 月正式生效),宣告了欧盟的正式成立。欧盟的目标是统一欧洲市场。本来公约已经为数据保护建立了很 好的法律框架。但有些成员国拖延实施公约,而实施公约的效果也不尽相同,甚至在一些情形给个人信息 向他国流动施加限制。为此,欧盟委员会非常担心统一规则的缺失会妨碍内部市场的发展,尤其是对个人信息处理在人力资源和服务自由流动扮演重要角色的行业。1990 年委员会即提出指令建议案,目的有 二:一是保护个人信息权利,二是消除个人信息在共同体内部自由流通的障碍。1993 年,欧共体委员会发 布白皮书《增长、竞争力与就业——进入 21 世纪的挑战与道路》 ,强调信息时代的来临不可阻挡,与建 立统一的商品、服务、人力资源市场一样,在欧洲建立一个统一的信息市场是提高欧洲全球竞争力的必备 条件,而统一的信息法律制度是建立统一信息市场的基石,也是充分保护个人权利的必然要求。之后,经过反复争论和调研,最终在 1995 年 10 月 24 日《指令》获得通过。

《指令》有双重目的:首先它要求成员国保护自然人基本权利和自由;其次它要求成员国不要基于保 护而限制或禁止个人信息在成员国之间的流动。这两项目标相互关联,旨在使成员国达到相同的保护水平以实现内部市场的平衡发展。这两项目的可以从《指令》第 1 条立法目的规定看出,指令保护自然人的 基本权利和自由,尤其是数据处理过程中的个人隐私权,但这不能成为各成员国限制或禁止数据在成员 国之间合法流通的借口。

《指令》虽然促成成员国更加一致化,但仍然不能提供完全一致的解决方案。这就导致 GDPR 的诞 生。GDPR 在形式上一改指令的指引规范,成为直接适用的欧盟法。之所以要上升为欧盟法律,是因为欧 盟不满足于各成员国在立法和实施上的差异化保护,这妨碍商品、人员、服务和资本自由流动,妨碍单一 市场(The Single Market)建立 。制定欧盟范围内统一的数据保护条例以取代分散立法的模式已成为欧盟 实施“数字单一市场”战略的重要筹码。

笔者对 GDPR 简要评价如下:GDPR 通过调整个人信息处理行为来保护的对象是个人信息处理和流 通过程中涉及的自然人基本权利与自由,促进个人信息在欧盟境内的自由流通,它是一部地地道道的以经济为目的的法。

GDPR :背离初衷的制度设计

GDPR 的伟大之处在于将保护公民基本权利的法制变为推动和保障欧盟数字经济发展的法律。其基本逻辑是既然个人信息与个人有关联,而个人是主体,就不能像对待客体那样随意处理。为此建立个人信 息保护权来保护公民基本权利不因个人信息处理受到侵害。只要遵循统一的法律,个人权利就能够在欧盟 范围得到尊重和保护,促进个人信息在全境自由流通,同时可以高筑防御国外数字经济竞争的高墙。但是 GDPR 上述设想似乎是美好的理想,而这种理想是否能够实现还未得到充分的验证。这里仅从理论和逻辑 的角度分析 GDPR,我们发现其制度设计背离其初衷, 不能实现个人信息流通利用的目的。

(一)宽泛合法性基础未实现个人信息流通

GDPR 设置宽泛的合法性基础旨在给社会主体使用个人信息“授权”,以避免数据使用单一受主体意 志(同意)左右, 形成个人信息可以为满足不同社会目的使用的局面。但其效果并非如此。

在数据主体权利被欧盟独立为基本权利前提下,立法对主体权利的保护被置于社会利益或数据控制 者利益之上。在笔者看来,数据控制者即个人信息的使用者体现社会利益,因此,数据控制者的合法利益 恰恰体现为数据的社会价值(利益)。尽管立法者认为需要平衡个人利益和社会利益、公共利益,但在法律 设计中仍然给了数据主体权利以优先保护。这体现在 GDPR 第 6 条的合法性基础中,“数据控制者或第三 人的合法利益”22 是六项合法性基础之一,但是需要与数据主体利益相平衡,冲突时优先保护主体权利。也 就是说, GDPR 并没有真正将数据作为社会资源,给予数据使用者应有的地位和权利。个人权利优先,就 意味着在模棱两可的情形下,数据使用者征询个人的同意是最保险的做法。因此,虽然与其他五项并列, 似乎数据使用者可以自由选择合法性基础,但实际上并没有太多的自由。GDPR 第 6 条看似给了数据使 用者自主使用数据的权利(以“合法利益”作为合法基础),但实际上适用相当有限;同时即使订立或履行 合同可以作为合法基础,但是考虑到其数据再利用或在初始目的之外使用,最便捷和安全的方式仍然是 设置同意。这样, GDPR 纵然包含多样的合法性基础,最终仍然导致同意泛化。设置宽泛的合法性基础并 没有给数据使用者以多少自由。这是 GDPR 制度设计内在的最大缺陷。

(二)加强对主体保护未实现个人信息流通

欧盟对数据自由流通的促进和保障并不是通过限制各国权力来实现的,而是通过提高保护水平实现 的。其促进个人信息自由流通的逻辑是:将个人信息保护权明确为独立的基本权利有利于强化对个人的保 护,在各国的保护规则和水平一致情形下,个人就可以增强个人信息受到保护的信心,有利于个人信息在 欧盟境内的流动利用。

在将个人信息保护上升为公民基本权利的同时, GDPR 强调该权利应当得到绝对保护,也就是 GDPR 规定了数据主体权利是一“硬”标准,任何情形下均不能削弱对主体权利的保护。只有在数据控制 合规和安全义务方面,可以根据数据处理者的规模、数据处理量、数据处理方式等的不同而有所变化。所有 的数据处理必须以符合法律的方式进行,只是在实现方式上可以更弹性。这也就是说,从指令到 GDPR, 所谓基于原则的规范是不彻底的,数据主体权利的绝对性和数据控制者可以基于风险进行合规和安全管理是不对等的, 这其实导致 GDPR 基于风险的合规管理也变得僵硬。

强化数据主体权利的做法,意味着必然扩充数据控制者与处理者的义务,使得数据控制者和处理者数据控制者的利益须满足合法性、真实性、现时性、特定性等条件,还需要与数据主体利益相平衡,冲突时优先保护主体权利。要花费更多人力和成本去履行更多义务与职责,同时意味着巨额的统一执法成本。25 这使条例在是否能够 提升欧盟数字经济竞争力方面越来越受到质疑。也就是说,GDPR 制定的最终目的是促进个人信息在欧 盟境内的自由流通(促成数字单一市场),而实现这个目的的手段是强化公民的个人信息保护权(立法直 接目的),实际结果可能事与愿违, 背离其初衷。

GDPR 不仅是立法替代之前的《指令》,而且是对《指令》内容全面系统的更新。其政治目的是一贯的, 体现了欧盟试图通过简化和统一数据保护法律规则来构筑简明的单一市场法律环境的野心。为应对数字 化挑战, GDPR 企图建立与大数据应用相匹配的数据保护和利用法律制度体系,来促进个人信息在欧盟 内的自由流通和使用。立法者仍然选择强化个人信息在欧盟内的保护水平并建立统一执法路径,来加强个人信息流通和利用过程中所涉及各类主体之间的互信感,以给欧盟企业带来制度红利。但这样的目的能否实现, 尚需考证。

尤其需要指出的是,GDPR 对自由流通的保护不具有普世性,而是限定在欧盟范围之内。将个人信息 的自由流通限定在欧盟范围内,实际是揭示了 GDPR 制定的政治目的,即促进欧盟数字化单一市场的形成和建立。

(三)未考虑个人信息流通路径

在 GDPR 的框架下,个人信息自由流通优于个人权利保护。但是在制度设计上并没有考虑数据自由 流通,表现为没有给数据控制者流通个人信息的权利。GDPR 给了数据控制者基于合法性基础,在特定目 的范围内使用数据的权利,但是对于个人信息的利用仍受制于数据主体的个人意志,个人可以随时撤回 同意,也享有在特定条件下拒绝处理、删除等权利。

在 GDPR 框架下,数据控制者仅享有在特定目的范围内使用个人信息的权利,包括在目的相容或一 致时将个人信息提供给他人使用。在某种意义上, GDPR 给了数据控制者在初始目的范围内流通个人信 息的权利,只是这样的流通利用非常有限。之所以这样就是因为 GDPR 仍然严格坚持目的限定原则,将个 人信息的利用严格限定于初始收集时即确定特定目的范围内。其背后的逻辑是个人信息与个人有关,个人 虽然不能控制(阻止)他人使用,但是无论基于同意还是非基于同意的使用,均应当限定在特定目的必要 范围内,这样就实现了个人信息利用的可控,而不任由数据控制者使用,成为其可自由使用的资源。在某 种意义上,目的限定和必要性原则使个人信息利用符合数据主体利益,使数据主体仍然可以“控制”数据 的使用。也就是说, 目的限定和必要性原则背后的理念是个人控制。

对于个人信息保护权一定要有正确的理解。首先它并不是一项权利,而是一项制度、一项法律原则。 其完整的含义是:在处理数据主体的个人信息时,应当保护数据主体在个人信息上的各种权利,而这些具 体权利的实现最终旨在保护数据主体的人权,即“基本权利和自由”。因此,它仍然属于基本人权范畴。其次,个人信息保护权并不完全等同于 GDPR 第 3 章“数据主体权利”所规定的权利,数据主体权利只是个 人信息保护权利在一些场景下的明确,是个人可以行使的具体权利,但不是法律保障的全部。但是有一点 可以肯定, GDPR 赋予了数据主体一揽子权利,以防范数据控制者违法或不当处理数据,数据主体的权利 因违法的个人信息处理行为而遭受侵害时,数据主体有权向当地监管机构投诉,对违法行为予以查处、纠 正;同时也有权直接寻求司法救济,向该数据控制者或数据处理者营业地所在成员国的法院提出诉讼。相 GDPR 直接赋予数据主体获得行政救济与民事救济的权利,具体包括向监管机构提起行政投诉的权利(第 77 条)、向法院起 诉数据监管机构的司法救济权(第 78 条)、向法院起诉数据控制者或数据处理者的司法救济权(第 79 条)以及向数据控制者或处理 者索赔的权利(第 82 条)。为了实现全欧盟范围内个人信息保护权的救济, GDPR 对各成员国独立监管机构设立、职责等作出详细要 求,更要求各成员国监管机构加强合作以实现“一站式”服务,并专门设立欧洲数据保护委员会以实现一致性机制。又名“数字化单一市场”,为 2005 年欧盟委员会提交的政策战略,以实现开启数字经济,创造开放、公平和无缝的网络环境, 拆除市场壁垒的战略目标。包括了三大支柱:(1)消费者和企业能在欧洲更好地获得数字产品和服务;(2)为数字网络和创新服务的 繁荣发展营造合适的环境和公平竞争的场所;(3)最大化数字经济带来的增长潜力。

比较而言, GDPR 更加重视行政保护,建立了以公权力监管机构为核心的数据行政保护机制,目的在于保 证个人信息在成员国之间的自由流动,并在欧盟的范围内保障给予基本权利和自由权利更高水平的保护。 无论如何, 这种更高水平的保护极大限制了数据的自由流通。

GDPR :内在缺陷带来的实施困境

GDPR 最大的问题在于以可识别个人为标准建立了无边界个人信息概念,建立了模糊的识别概念,同 时以接触个人信息为标准建立了无所不包的处理行为, 这样使 GDPR 的调整范围漫无边界, 这也给 GDPR的实施和执行带来很大的不确定性,成为最让人诟病的地方。这样的法律会造成对社会的过度干预,导致 社会运行成本过高,甚至是徒增成本,而没有任何积极的后果(保护数据主体权利)。GDPR 本身展示了 两个相冲突的效果:一方面它旨在简化规制环境和统一法律标准,降低成本;另一方面也给欧盟的公司增 加了额外的负担和成本。

(一)无边的个人信息

GDPR 对于调整对象“个人信息处理”中的个人信息采取三分法,一般个人信息、特殊个人信息和非 个人信息。因此,凡符合个人信息的则适用该法,若不属于,则不适用。个人信息范围(及处理活动)关系 着 GDPR 适用范围问题。GDPR 第 4 条(1)对个人信息定义27 核心是“与自然人有关的任何信息”(any information relating to an natural person),而自然人又分为“已识别或可识别”(identified or identifiable)。两个因素使个人信息没有边界:

其一,可识别的自然人。已经识别是指知道被识别的主体是谁(知道姓名),而可识别的自然人,则是 采取技术手段可以从数据中“挖掘”出某人。通常是有一个网络 ID 或数字 ID,然后再匹配更多数据进行 分析,来识别出数据主体是谁。

其二,与可识别自然人有关的任何信息。其范围取决于识别分析技术和识别目的。如前所述,识别分 识别个人身份和识别个性特征。定义后半段对个人信息进行了不完全列举,在这些列举中包括了身份性信 息如姓名、身份证号、定位数据、网络标识符等标识符,也包括身体、心理、基因、精神状态、经济、文化、社会 等方面的个人属性和特征信息。

在大数据分析背景下,任何数据都具有识别个人的能力,而且在很多情形下,很多身份性数据也可以 分析个性特征,而个性特征方面的数据也可以分析身份。这样,随着分析技术的进步具有识别性的数据就 越来越多、越来越广。

GDPR 定义中关于“可识别的自然人”的任何信息,就演变为一切具有识别性的数据。区分个人信息与非个人信息的唯一标准就是看数据是否具有“识别性”或识别个人的能力。而数据的识别个人能力又取 决于技术, 这样以识别性或识别能力为标准使得人们很难区分出个人信息与非个人信息。

荷兰学者 Nadezhda Purtova 指出,29 条工作组指南和欧洲法院(CJEU)的判例法促使我们判断,在不 远的将来任何事物都将包含个人信息,导致数据保护应用于各种情形。当数据驱动机构的超级互联网络生 活到来时, 严格遵守 GDPR 将使其成为“万物之法”,这本意是好的, 但不可能实现。

笔者认为,个人能够控制的只有身份信息和一些基本属性信息;我们每个人能够判断的单个身份信GDPR 第 4 条(1)是个人信息的定义:“个人信息 (personal data):是指与已识别或可识别的自然人(数据主体)相关的任何信息;可识别的自然人是指尤其通过姓名、身份证号、定位数据、网络标识符等标识符,或通过特定的身体、心理、基因、精神状态、经济、 文化、社会等方面个人属性能够被直接或间接识别的自然人。”息或包含身份信息的数据集是某个人的,而一旦脱离具体的场景,脱离身份信息,我们无法判断某个信息 是否属于个人信息或者属于哪个人。相对而言,身份信息(包括姓名、身份证、电话等社会身份和生物识别 标识符)则是有限的。实际上,个人能够控制的限于这些标识信息,而我们社会人能够判断的也只有这些 信息。除此之外的识别性个人信息是无法事先识别为某人的,而当无法识别时我们就不能给社会主体施加 注意义务,比如要求取得同意或者告知等。因此,泛在的个人信息均适用同意是不可能的,最为可行的是 只有事后处理行为有危害后果时,才能行使权利。因此预防式的保护应当是有限的。而目前无论我国还是 GDPR 均面临泛在的个人信息如何适用法律规范的难题。

(二)模糊的个人识别

识别是个保法中的核心概念,但是没有明确的定义。识别是广泛存在于社会交往中的一种行为,基本 含义为了解一个人的品质、特性、潜力、信用等。这里有一个假设是,知道该人是谁。识别还有另外一层含 义,是在不知道是谁的时候,还可以基于过去的事实(留下来的行为痕迹)来分析是谁做的,以便令其承 担责任。利用个人相关的数据进行这两类识别分析,自古至今均一直存在。个人信息的大量产生及其分析 技术的进步导致人类对个体的识别分析发生翻天覆地的变化。

在过去,通常需要先接触或知道姓名等身份信息,才能不断收集有关于该人的信息,而且能够关联 该个人的均是社会身份。随着计算机的应用,尤其在网络环境下,每个计算机或网络用户注册时一般为其 分配独一无二的标识符(用户 ID),这样基于网络流量检测工具就会形成关于该用户的文档,基于该文档 就可以对某个人的个性特征进行分析。实际上,任何一个网络和智能设备都有一个唯一性代码,用来识别 数据来源(统称为用户)。利用网络用户 ID 和设备 ID 对应的数据(每个用户都有独立的用户档案被称为 profile 30),就可以对来源于该用户的数据进行个性识别分析(profiling)。

于是,为了适应网络环境出现了专门的用于识别个人的标识符(identifier)概念。标识符是指用来标 识某个实体的一个符号,在不同的应用环境下有不同的含义。作为计算机语言的用语,标识符一定是在一 个处理域内具有唯一性。标识符也普遍地应用于个人信息处理中,用来区分用户或个体。标识符属于识别 个人的信息。但并非所有识别个人的信息都可以作为标识符。能够唯一关联到个人的社会身份信息、网络 设备 ID(或数字身份)都可以成为标识符。

在网络时代,识别分析可以基于网络用户和设备 ID 等标识符开展。这个时候的识别仅仅是对个体(而 非群体)的识别还没有到具体个人(识别是谁)。此时,利用网络通信,也可以向该用户联络,触达该用户。 甚至在一些完全电子化的交易(合同缔结和履行全部通过网络进行),识别用户身份也是多余的。

欧盟立法者认识到这样的变化,将识别定义为识别个人而非识别身份。第 29 条工作组认为“在互联 网中,网络流量监测工具的存在使得能够容易地识别机器的行为以及机器背后的用户”、“由于个人的接触点(一台电脑)在狭义上不再必须要求其身份的披露,在不需要询问个人的名字和用户的情况下,也 能够在其社会经济、生理、心理以及其他特征方面的属性对其进行分类并做出一定决定”。这实际上是对 cookies 为首的身份认证技术的回应,即认为如此也是一种识别。本质上 cookies 的存在是在匿名登录下使 用标识符的一种“身份”认证技术,此种身份是指互联网个体标签,并不直接对应社会身份。对于识别个 人, GDPR 明确了识别的路径。但是值得注意的是,欧盟并没有将标识符作为唯一识别路径,其还承认了 个人属性与标识符的并列地位,这意味着识别既可以仅凭标识符或仅凭个人属性(描述数据),或者二者 结合。

因为数据之间存在联系,并存在结合的可能,已识别与可识别本质上就是直接识别和间接识别的区分,而间接识别的确立使得个人信息的概念变得非常广泛。但是从 GDPR 的鉴于条款中,还是为个人信息 向非个人信息转换预留了窗口,例如为了确定自然人是否是可识别的,应当考虑所有可能使用的合理手 段,比如由数据控制者或其他人直接或者间接地识别出自然人的挑选行为。为了确定手段是否可能合理地 用于识别自然人,应考虑到所有的客观因素,比如识别所需要的费用和时间,同时考虑到当时可用于数据 处理的技术和技术的开发。

(三)泛在的信息处理

按照 GDPR 的定义,数据处理(processing)是指对个人信息进行的任何操作或者一系列操作,无论其 是否通过自动化手段进行,如数据收集、记录、组织、建构(structuring)、存储、改编或修改,恢复、查询、使用、通过传播、分发(dissemination)方式进行披露或者其他使个人信息可被他人获得、排列或组合、限制、 清除或销毁(destruction)的操作。

从《指令》开始,数据处理即是贯穿于个人信息保护法的基石性概念。GDPR 对数据处理的概念定义 几乎与《指令》一致,只是列举行为中多了结构化(structuring)。31 GDPR 对数据处理采取抽象 + 列举的方 式,其列举非常全面。实际上,所有这些行为都属于使用个人信息的行为,技术手段是否对个人权利有影 响,有多少影响?是否需要法律调整, 立法者根本没有考虑。

问题不仅仅在于全面列举,还在于这些被列举的行为几乎没有规范价值。也就是说,每一种列举的行 为对于主体权利产生哪些影响,因而需要针对该行为采取预防或消除这些影响的规范,都不明确。比如, 存储至销毁技术手段,对个人权利不会产生直接影响,甚或是保护个人权利的措施。同时,引入使用和披 露(提供、传播、分发或移转等)行为,对主体权利存在直接影响,而法律又没有对这些具体行为作出规范。 实际上,欧盟法律对数据处理的定义是碎片化的,根本就没有打算形成数据处理种概念(子处理行为), 建立具体行为规范32,而是使用抽象无所不包的数据处理定义,支撑“一般 + 例外”的规范技术,确立了抽 象的一般行为,建立个人信息处理的一般规范。结果是使社会生活的方方面面都面临 GDPR 的调整,导致 法律 / 国家对社会生活的过度干预, 导致社会运行成本上升。

GDPR 对个人信息应用最广泛最基础的处理行为——识别分析(profiling)作出定义33,并对自动的识 别分析作出特殊规范。这使得 GDPR 反映了数字时代的个人信息处理的基本方式。但是,它并没有把识别 分析作为数据处理的核心,围绕此揭示数据处理对个人带来的风险,建立相应的行为规范,只是赋予了数 据主体不受自动识别分析约束的权利。

基于欧洲传统的数据处理概念存在巨大缺陷。首先,扩大了个保法适用范围。由于数据处理存在于各 种行业、领域和社会活动(行为)之中,无边界的数据处理行为,使个人信息处理一般原则可以被广泛地适 用,很难界定 GDPR 适用边界。比如,某人未经他人同意上传他人的照片,或者转发内含可识别他人的个 人信息,就被认为构成个人信息的使用。其次,降低了个人信息保护适用门槛,增加社会成本。一旦将数据处理扩张为社会活动开展广泛存在的个人信息利用行为,那么数据处理概念就覆盖了整个社会的个人信《指令》第 2 条(b):“个人信息处理”(processing of personal data)(“处理”)是指对个人信息进行的任何操作或者一系列操作, 无论该操作是否以自动方式进行。例如,收集、记录、组织、存储、改编或修改、恢复、查询、使用,通过传输、传播或者其他使个人信息可 被他人获得的方式披露,排列或者组合、屏蔽、删除或销毁。GDPR 第 4 条(2):“数据处理 (processing):是指对个人信息进行的任何 操作或者一系列操作,无论其是否通过自动化手段进行,如数据收集、记录、组织、结构化、存储、改编或修改,恢复、查询、使用、通过 传播、分发(dissemination)方式进行披露或者其他使个人信息可被他人获得、排列或组合、限制、清除或销毁(destruction)的操作。”

例如, GDPR 规定,从数据主体处收集个人信息或者非自数据主体处获取个人信息数据控制人应当告知的信息内容不同(第 13 条和第 14 条),但是,阅遍全部条文无法得出数据控制者将数据提供他人应当遵循怎样的规则。另外,在 GDPR 定义条款,将识别 分析单独定义,似乎不是数据处理的各概念,显然存在概念体系不周延之处。虽然有识别分析概念,但是除了在数据主体权利有一条 规定 ( 第 22 条 ) 外,似乎没有其他规定。

(4)识别分析(profiling):是指对个人信息采取的任何自动化处理的方式,包括评估某个自然人特定方面的情况,尤其是为 了分析和预测该自然人的工作表现、经济状况、健康、个人喜好、兴趣、可信度、行为举止、所在位置或行迹。息利用行为。笔者认为,这样无所不包的个人信息处理概念已经背离了《公约》最初的立法目的和对数据 处理的定义。34 最后,增加法律适用的不确定性。无边界的个人信息及外延极大的数据处理概念导致 GDPR 适用范围在无限扩张的同时,也与其它众多法律出现交叉进而导致法律竞合现象大量发生,数据主体可 以利用这一现象, 选择有利于自己的请求权基础, 导致适用法律的混乱。

《个人信息保护法》解释适用的时代元素和方向

欧盟各成员国是欧洲委员会的主体,在《公约》颁布前后,欧盟借着实施《公约》名义,制定《指令》,践行统一数据保护规则进而统一市场的使命。这使欧盟立法朝着不断强化个人权利保护的方向发展。经济 目的的融入使欧盟的立法逐渐脱离欧洲委员会《公约》的目的和定位,使个人信息保护法具有了经济目 标或经济秩序内容。欧盟委员会之所以要提出制定 GDPR,就是因为希望“所有企业将以统一的个人信息 保护规则向 5 亿欧盟人销售产品和提供服务……将欧盟个人信息保护标准塑造成全球标准。”35 时至今日, GDPR 已经实施 4 年左右,是否实现了当初的经济目标,还没有充分证据佐证,但是 GDPR 所确立的个人 信息保护标准, 似乎正在成为全球标准。GDPR 之所以有这么大影响力, 主要是因为 GDPR 给其他国家一 定的压力, 加上将个人信息保护纳入公民基本权利有一定的“欺骗性”,增加了移植的盲目性。

GDPR 的施行在全球范围内产生了巨大的影响,且这一影响还在继续。对全球立法而言,欧盟模式是 可资借鉴的,还是必须扬弃的? 问题可能在于要不要借鉴,还在于到底欧洲基于特定历史背景产生的个 人信息处理中的个人保护制度,是否适合于我国的社会经济文化;基于 70 年代 IT 技术产生的问题与大数 据时代产生的问题是否一致,是否还能够用前网络时代的法律原则解决万物互联泛在网络(网络化、数字 化、智能化)时代问题。对于此,目前似乎没有深入系统的研究。《个人信息保护法》规范思路和内容移植 GDPR 的成分占多数,除了用数据处理者替代数据控制者看似不一致外,约 70% 左右的内容相似。笔者认 为, GDPR 所遇到的困境也一定是全球的困境,我国也不例外。在《个人信息保护法》已经生效施行的情 况下,我们应当从当今社会的真实问题和需要出发,为《个人信息保护法》的解释适用注入一些时代元素, 体现中国推进数字经济的制度需求。

(一)清晰认知技术变迁对于个保法的挑战

GDPR 根植欧洲特殊的政治和社会文化背景,形成于上世纪七八十年代。那时计算机刚刚开始应用, 这个时期的个人信息保护针对的是个人向特定机构提供,主要防止特定机构存储后的滥用。如今个人信息 主要来源于无所不在的网络和传感器自动收集的数据,无限多元数据给人类社会带来了无穷的潜在价值 (数据红利),个人信息成为社会资源和生产要素。基于欧洲传统的个人信息保护制度建立在人作为主体的尊严、自由或自治的人权保护理念上,是保护个人信息处理中的个人。虽然 GDPR 一再强调该法旨在促 进个人信息在欧盟境内的自由流动,但是,建立在个人控制理论基础上的规则,在为数据控制者设定繁杂 而又模糊的条件和程序的同时,似乎并没有真正促进个人信息的流动。实际上, GDPR 根本就不是在资源 意义上看待个人信息,它根本就没有将个人信息的分享或流通利用作为一项目标,而这恰恰是个人信息

《公约》最初的处理涉及运用计算机对个人信息进行存储和运算,而没有涉及使用和披露(提供、传播、分发或移转等)行为。 《指令》对数据处理内涵和外延扩张后,影响了《公约》,导致 2012 年修改后的公约改变了最初的定位,将数据处理定位于涵盖所有 使用个人信息的行为。当然,笔者并没有找到 2012 年公约定义条款的修改是移植指令的直接证据,这是从欧盟在 COE 中的主导作用 及其文件的前后关系作出的判断。例如, COE 数据保护公约秘书长 Sophie Kwasny 在公约与 GDPR 的演讲中就明确认可,公司反映现在人类进入了万物互联的数字化时代,这相比上世纪 70 年代的技术环境发生了巨大变化。那个时 期 IT 和计算机网络只是人们收集、存储、加工处理、传输甚或发布个人信息的工具,而今天的网络则已经 直接产生(生产)可以分析使用的数据。在这个时代,个人信息的生产发生了巨大变化,这种变化导致个人 控制越来越难。经过不断的通信技术发展和应用,人类已经进入到网络化、数字化、智能化时代,个人信息 应用的场景、目的、方式、规模等已经发生了巨大变化。个人对个人信息的控制能力也随之越来越弱甚至不 可能。在这种情形下,对于个人信息处理中主体权利保护相关规则的理解,应当从主体自身的防御规范转 向更为适合的行为规范。

在时代发生变迁的情形下,个人对个人信息的控制对于个人尊严或自由的维护仍然有价值、有意义, 但是,我们不能为了控制而控制,为社会主体施加繁重的合规任务,还不能有效地保护数据主体的权利, 徒增社会成本。

因此必须在规则解释适用中寻找到切实有效的保护个人权利的路径和方法。笔者认为,我国《个人信 息保护法》的解释适用,应当充分观照当今技术新发展应用的新需求,以实现“促进个人信息合理利用”的 立法目的。这里的关键是在将个人信息视为社会资源视角上来整体理解《个人信息保护法》的所有规则。 这就要求将个人信息视为社会可利用的资源, 而不是个人控制的资源, 要求个保法基础理论不断更新。

(二)深刻把握个人信息是社会资源的基本定位

无论美国还是欧洲,个人信息保护的理论基础是基于主体自主意义上的个人控制论,认为个人应当 对关于个人信息的处理予以一定程度的控制,以免个人信息的处理侵犯主体的尊严和自由。虽然欧盟的个 人信息保护法仍然坚持个人信息是社会可用的资源,而不是属于个人资源,立法赋予个人对个人信息处 理的防御性权利并没有被演绎为个人信息决定权。即使在理论上存在个人信息自决权,但仍然是宪法上的 权利,而不是民法上的私权。不过, GDPR 将个人控制贯穿于个人信息处理全生命周期,让个人参与到数 据处理过程, 防范处理行为对主体权利的侵害, 其实是达到个人决定效果。

如前所述, GDPR 贯穿了一条非常明显的主线,就是强化数据主体对于数据的控制以平衡双方能力之不平等,该法建立在“个人控制论”理论的基础上。欧洲个人信息保护的逻辑是:个人信息是人的延伸, 而人应当独立自主(自治),因而个人信息亦应当由数据主体掌控,体现个人意志。GDPR 没有将同意上 升为一种权利,避免使个人信息的利用(处理)沦为个人决定(承认个人决定权),但是因同意最宜证明合 规且可以实现更多的使用目的,同意被广泛使用。同意的价值在于让数据主体控制其信息的使用目的,使 个人对数据使用具有可控性。同时, GDPR 又给予个人许多权利(拒绝、删除等),使其可以参与到数据处 理活动,防止有害于其主体尊严或自由的处理。在以个人控制论为基础的个人信息立法中,价值序列的最 高层不是以个人行为自由为基础的信息收集、处理和利用自由,而是信息主体对自己的个人信息的控制。

但是,有越来越多的学者开始质疑绝对的个人信息控制论,认为加强个人控制无法满足社会经济和现实发展的需要。主体控制是建立在理性人假设基础上,它假定人们可以凭借自己的意志很好地料理自 己的事情,不需要国家来干涉。然而,在数据处理行为中,个人并不一定可以做出最有利于自身的选择,建 立在知情同意基础之上的控制是无力的,其核心问题在于,个人无法对其数据进行全面的、有意义的控制, 在初次数据收集时,个人也不具备评估后续隐私风险的能力。信息分享和利用是信息的本质属性,商业 因信息的流通而发展,人类因信息的流通而构建亲密关系,知识因为信息的流通(分享)而惠及更多人。个 人信息本质上是可以为人所用的,不应当被个人控制,需要法律调控的是人利用和处理信息的行为,而不 是个人信息本身。事实上,个人信息(数据)保护基本含义是保护个人主体权利不因信息处理受到侵害,而 不是保护个人对个人信息的控制。

从《公约》到《指令》,再到各成员国立法,个人信息保护已经被作为一项公民的基本权利加以保护, 并建立了公法和私法救济为一体的救济体系。GDPR 只有沿着这个方向继续前行并强化数据主体权利, 才更加有说服力。欧盟 2012 年提出制定 GDPR 试图解决大数据时代个人信息面临的新问题。于是,进一 步扩张数据主体权利成为 GDPR 的唯一选择。比如 GDPR 在进一步确认和完善个人既有的权利外,还增 加了删除权(被遗忘权)、持续控制权(又译为数据便携权)等权利,以给予个人对数据更有效地控制,进 一步保障数据主体的基本权利与自由。40 这样,欧盟在个人控制道路上越走越远。

GDPR 通过赋予个人控制其数据的权利来赋予个人权力的理念看起来是虚幻的,因此,对于个人信息 控制论的反思,将会是未来理论和实务界共同的面向,也是 GDPR 成为全球数据保护标准必须面对的理 论挑战。如果说受到欧洲政治文化传统和早期立法束缚很难有所突破,那么世界其他国家应当有独立的反 思。在笔者看来,个人信息保护的目的是保护主体权利,而这样的保护不是通过个人控制信息的使用实现 的,而是通过法律规范个人信息的使用行为(处理)来实现的。

《意见》提出数据作为生产要素,显然包括个人和非个人信息在内的数据都应当成为社会利用的资 源。因为数据作为生产要素要求数据能够为各个组织在各个领域应用,提升数据智能分析和智能决策能 力,进而改进整个社会的运营绩效和效率。个人信息作为生产要素并不意味着所有的个人信息都可以进入市场,成为可交易的东西,凡是促进数据社会化分享利用的都是在发挥数据要素的作用。在某种意义上, 个人在参与社会活动,向交往相对人提供个人信息也是个人信息的分享利用,但这基本上是个人利益的 维度的利用方式;而且传统个保法的宗旨是个人信息利用的范围仅限于个人同意或法定事由目的的必要范围,超出该目的原则上就属于违法使用。这样做的目的是,使个人信息的利用维持在可控制范围内,以 维护数据主体的尊严或自由。而数据作为生产要素(即作为资源)则要求关于个人的数据能够为社会利益 (社会发展和福祉改善)作出贡献,能够为社会主体可用。这是因为每个人都是社会的一个分子,每个人不 是孤立的存在,个人的数据既有个体价值,也有社会整体价值。忽略社会整体价值,不承认社会主体对个 人信息的利用权是片面的、不完整的。因此,个人信息在法律属性上应当定位于非完全由个人控制的可用 的社会资源。

因此,切不可以个人控制其个人信息的理念来理解和解释适用《个人信息保护法》的规则整体,应时 刻注意《个人信息保护法》的具体规则与“保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用”这一立法目的的价值一贯和体系统一。在社会资源意义上定位个人信息或个人信息对个保法理 论基础提出新要求, 需要更新理论, 以助力平衡个体利益(主体权利)和社会利益的目标顺利实现。

个人信息是大数据的重要组成部分,也是重要的社会资源。实现数据要素市场化配置是《意见》提出 的重要制度目标。数据作为生产要素,其价值在于能够通过智能分析发现新知识,而数据的市场化配置可 以对数据进行社会化分析利用,以便数据分析使用者获取数据,支撑科学研究、社会治理和商业决策。但 是,任何个人信息处理和应用均应当遵循《个人信息保护法》,保护信息主体权利,防范隐私和安全风险。 平衡信息主体权利和社会价值是我国《个人信息保护法》具体制度解释适用的重要方向。

(三)准确理解个人信息及处理等核心概念

个人信息最主要的功能是识别个人,因而个保立法多以识别来定义个人信息,它导致的结果是建立 泛在的个人信息及其泛在的个人信息处理,背离了个保法旨在防范个人信息处理可能引发的侵害个人权 利的风险目的, 最终导致法律对社会的过度干预, 徒增社会运行成本。

为避免这一弊端,在理解《个人信息保护法》第 4 条第 1 款的个人信息概念时,应注意把握“关联” 这一核心要件,即个人信息是与特定自然人有关联的信息。可与特定个人关联的个人信息是有限的,可识 别和可判断的,以此为基础设置社会主体禁止义务(建立非经同意不得处理规则)是合理、正当的,也是可 操作的。而可以用于识别个人的信息是广袤无边,让信息主体参与到处理活动的每个环节,不具有实际意 义(徒增合规成本)。同时,在理解《个人信息保护法》第 4 条第 2 款的个人信息处理时,应注意把握“识别分析”这一最 关键的处理行为。识别分析是信息处理行为目的,对信息处理行为设定条件、程序、明确处理者义务以及 侵害信息主体权益的责任是个保法核心。这样就区分出个人信息控制和个人信息处理行为控制:在前者, 个人可以实施控制(同意作为合法性基础);对于后者则主要由法律调控,明确处理者义务,维护个人权益 (必要时设置信息主体的主动请求权利,如更正、拒绝或删除)。与此相配套,个人信息处理概念应当围绕识别分析。

(四)明确主张去标识化信息可以利用规则

个人信息的价值在于识别,“经过处理无法识别特定自然人”的数据(或数据集)即转化为抽象信息 或知识,不再拥有识别个人的价值,即使可以分享利用,那也不是数据资源社会化利用。实际上,在大数据 环境下,识别一个人取决于你掌握多少数据和采取什么样的算法。也就是说,处理数据使其无法识别是保 障信息安全的措施, 而不是阻止人们识别的办法。

在个人信息是可用的社会资源背景下,《个人信息保护法》的精神中蕴含着既保护个人权益又促进分 享利用的制度规则,这便是去标识数据的分享利用制度。42 当一个数据集去除与个人关联的信息(包括直 接或间接关联的信息,实践称为标识符,广义上的身份 /ID 信息)后,即可以防范个人信息处理对隐私的侵害,尤其减少处理中的信息泄露对个人安全的危害风险。去标识后的个人信息仍然可以用于识别分析, 仍然适用《个人信息保护法》规定,只是应区分应用场景,适用不同规则:当不需要识别身份时,则不需要 同意;当需要识别身份时,则需要取得主体同意。这样就使得个人权益受到尊重的前提下,使个人信息得 到社会化利用, 发挥其社会价值。因此,应当深刻把握《个人信息保护法》第 73 条第 3 项对于去标识化的定义,将去标识理解为“是对 数据集进行处理,以减少数据集中与特定个人相关联信息的风险”,并在解释适用中肯定去标识数据集 可分享利用的规则,即去标识个人信息可不经同意而对外提供,但使用去标识个人信息须遵守个保法规 定。《个人信息保护法》规定的匿名化系作为个人信息安全存管措施,而不是个人信息分享利用(对外提 供)的规则。

结语

个人信息既承载个人利益(主体价值),也关系社会整体(各信息使用者)利益,每个个体的数据都成 为社会共同体数据资源的组成部分。通过个人信息识别社会个体,是商业运营、公共服务、社会交往等活 动开展的必要条件,因而个人信息是可用的社会资源,由此数据被视为生产要素。但是,个人信息的使用 关涉个人隐私、尊严等主体权益,个人信息的收集和使用必须加以规范,从而确保个人主体权益不受侵犯。 通过规范个人信息的处理行为,《个人信息保护法》是保护个人主体权益而不是保护个人信息本身,是防 范滥用而不是由个人控制的使用。个人信息具有社会资源属性, 要确立个人信息可合法正当使用原则。

我国《个人信息保护法》在立法过程中参考借鉴了 GDPR 的部分制度架构和制度设计,因此在《个人 信息保护法》解释适用过程中参考借鉴 GDPR 也无法避免。但是要对 GDPR 的失败之处有深刻洞察和清 醒认知。近来欧盟陆续提出《数据治理法》《数据法》等立法建议,即系试图力挽狂澜之举,当然效果如何 有待观察,但至少说明欧洲人自己也已经意识到 GDPR 的困境所在。故在解释适用我国《个人信息保护法》 方面对 GDPR 必须采取批判性借鉴的态度,避免落入 GDPR 的陷阱。我们应当有制度自信,坚持个人信息 可使用的总基调, 保护数据处理者合法利益, 为打造中国特色的数据要素市场奠定规范基础。

原文刊载于《法治研究》2022 年第 3 期

来源:安全内参

第一时间获取面向IT决策者的独家深度资讯,敬请关注IT经理网微信号:ctociocom

   

除非注明,本站文章均为原创或编译,未经许可严禁转载。

相关文章:


关于作者

X