个人信息新型保护框架之构建：路径、界限与匿名法律标准(上)

　　作者：石巍 王雪

　　一、问题的提出

　　从2020年1月宁夏贺兰县应急管理局办公室工作人员陆某在微信群中泄露他人个人信息，到2020年12月沈阳新冠肺炎确诊病例尹某某及家人信息在网络上传播，个人信息的泄露问题至今仍未得到有效解决。针对“个人信息泄露”这一现象，截至目前我国学界的研究进程大致分为两个阶段。第一阶段集中于探索个人信息利用的合法性基础、个人信息收集利用的保护性原则以及呼吁构建个人信息统一立法。随着《个人信息保护法》出台，学者们对这一问题的研究开始转向控制个人信息利用的风险，从风险管理措施着手以达到遏制个人信息泄露的目的。毋庸置疑，个人信息的利用与保护如同一枚硬币的两面，对个人信息的滥用与过度保护均不可取，唯有在二者之间达成平衡。是故，如何平衡个人信息的利用与保护是我国法律急需解决的问题。对这一问题的研究不仅具有理论价值，更具有较强的实践意义。

　　二、个人信息传统保护框架的失灵

　　个人信息的严重泄露与我国个人信息传统保护框架的失灵息息相关。笔者从可识别性界定的模糊、传统隐私制度的“裂缝”以及匿名法律标准缺失这三大方面阐释个人信息传统保护框架的失灵。

　　（一）可识别性界定的模糊

　　对可识别性的界定直接影响法律保护的范围，也是平衡个人信息保护与利用的前提条件。

　　1.动态化可识别性加深判定的不确定性。关于个人信息的界定，《中华人民共和国民法典》（以下简称《民法典》）第1034条第2款、《信息安全技术个人信息安全规范》（以下简称《个人信息安全规范》，GB/T35273—2020）第3.1条款作出了明确的规定。2021年《个人信息保护法》第4条将个人信息规定为“以电子或者其他方式记录的与已识别或可识别的自然人有关的各种信息，不包括匿名化处理的信息”。我国立法对“个人信息”含义规定的关键在于，是否能够识别特定的自然人。纵观全球，为个人信息实施专门立法的国家众多。欧盟《通用数据保护条例》第4条、新加坡《个人数据保护法》第2条以及英国2018年修订的《数据保护法案》几乎均以“已识别”或“可识别”作为界定个人信息的条件。与个人相关的信息，无论是能单独使用抑或是需要与其他信息相结合，足以具备识别特定自然人的条件，均被视为“个人信息”。总之，“可识别说”成为目前全球对个人信息概念界定的通行观点。[1]我国法律对个人信息概念的界定与世界立法通说保持一致，这也意味着对“可识别性”的理解直接决定着个人信息保护的外延。“可识别性”的判定是动态的，而非静止的。即使面临同样的信息，与社会公众相比，政府机关、互联网龙头企业对信息识别的可能性会更高，这源自政府机关与互联网巨头对个人信息强有力的收集能力。与此同时，个人信息也是处在不断变动的过程中。随着信息的逐步披露，通过公共途径可查询的信息逐步增多，原本被认定的非个人信息可能转化为个人信息。因此，对个人信息的可识别性的认定是动态化的。但这一特征也提升了个人信息判定的难度，对个人信息的判断绝非“是或不是”的简单区分，而是需要在考虑多种因素的前提下评估信息被识别的可能性。个人信息的判定过程依赖于具体场景，法院可通过评估信息的敏感性、信息处理者收集利用信息的能力、信息被识别后的后果等多方因素来判断某项信息是否为个人信息。正因“可识别性”的动态化、个人信息与非个人信息之间的转化，在许多情形下，个人信息“可识别性”的判定是模糊的，个人信息的界限更是不清晰的。

　　2.司法对可识别性范畴的理解趋向狭义。个人信息范围广泛，立法不可能一一列举。界定一项或多项信息是否个人信息，主要依赖我国司法对个人信息“可识别性”的理解。在朱某诉百度网讯科技一案中，百度网讯科技有限公司利用cookie技术，未经朱某同意，记录和跟踪朱某所搜索的关键词，将朱某的兴趣爱好、生活学习工作特点等显露在相关网站上，并利用记录的关键词，对朱某浏览的网页进行广告投放。[2]这一案件有着“国内Cookie隐私第一案”之称。南京市中级人民法院在终审判决中主张，“该数据信息的匿名化特征不符合个人信息的可识别性要求”且“网络活动轨迹及上网偏好一旦与网络用户身份相分离，便无法确定具体信息归属主体，不再属于个人信息范畴”，最终判决原告败诉。这一判决最重要的理由便是个性化推荐中的信息不具有可识别性。但这一信息真的无法识别吗？或许单从网络活动轨迹与上网偏好并不能直接与特定自然人相关联，但百度网讯公司作为大型互联网科技公司，可以掌握用户在百度上使用过的各项信息，包括使用的账户名、性别等。其完全有能力将所掌握的信息相互结合，通过数据分析和交叉验证以识别特定的用户。换言之，此类信息对百度网讯公司而言是“可识别”的。

　　从上述“国内Cookie隐私第一案”的法院判决可以明晰，我国司法对个人信息“可识别性”范畴的理解趋向狭义。依照这一判决思路，互联网公司掌握的大量碎片化信息，如行程轨迹、年龄、性别等，由于不能直接与信息主体相关联，均难以被认定为个人信息。这将直接导致海量信息的利用无须受到法律规范的制约，个人信息很可能被滥用。个人信息界限的模糊导致个人信息处理者面临“可识别性”的判断问题。法院对个人信息的判断尚且存在争议，其余机构的工作人员甚至包括信息主体在内，对个人信息的判断更是模糊不清。这会进一步导致个人信息遭受侵犯而信息主体不自知。

　　（二）传统隐私制度的“裂缝”

　　截至目前，我国对个人信息判定的案件均被划分至隐私权纠纷的范围。然而，传统隐私制度无法与个人信息的保护全面衔接。这不仅意味着信息主体无法获取更为全面的保障，更是个人信息无序滥用的根源之一。

　　我国《民法典》将个人信息保护与隐私权合并规定在第四编第六章，第1034条第2款将私密信息适用于隐私权的规定，只有在隐私权没有规定之时才适用个人信息保护的特殊规定。由此可见，即使《个人信息保护法》第四章规定了个人在信息处理活动中所享有的多项权利如知情权、决定权，但我国民事立法体系并未将个人信息的保护从隐私保护中彻底独立出来。《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》（以下简称《规定》）第12条对侵犯个人信息的行为规定了侵权责任，将对个人信息的违法公开视作侵犯隐私权益。前文所述“朱某诉百度网讯科技”案也被法院归属于隐私权纠纷案件。

　　但传统隐私制度并不能解决个人信息利用与保护过程中存在的问题。其一，个人信息泄露的损害难以量化并且是不断变动的。《个人信息保护法》第69条规定了个人信息的损害赔偿责任，即依照个人实际损失或者个人信息处理者获取利益确定赔偿责任；若均无法确定，则根据实际情况确定赔偿数额。但当个人信息在互联网平台上遭遇曝光时，信息主体并没有财产损失，因此仅就“曝光”这一行为导致的损害难以衡量。更重要的是，损害本身是隐私法中有争议的概念，在实践中，许多损害可能在多年之后才能揭晓。[3]虽然《规定》第18条设置了在损失无法计算时50万元的赔偿限额，但这一上限是否合理有待商榷。其二，对个人信息的侵犯可能产生侵权责任，而侵权责任就需要被侵权人即信息主体寻求行为与损害之间的因果关系。尽管《个人信息保护法》第69条规定了个人信息处理者的过错推定责任，但信息主体并不免除“因果关系”的举证责任。这一要求看似合理却会使信息主体陷入困境。例如，为保障公众知情权，行政机关会通过将数据脱敏的方式保证信息公开。随着公开信息增多，依靠公开的碎片化信息利用技术识别信息主体的可能性会逐步增大。一旦信息主体被再识别，如何论证损失，又如何证明因果关系？是故，传统隐私制度对于信息主体遭受的风险具有较高的风险阈值，形成对个人信息保护的“裂缝”。而对个人信息的保护就会掉落在这些“裂缝”中，导致对个人信息保护程度较低。总之，正因为传统隐私制度对个人信息的保护存在“裂缝”，所以信息遭遇泄露的自然人难以通过起诉获取赔偿。

　　来源：《学术交流》