1. 引言
《民法典》、《网络安全法》、《数据安全法》、《个人信息保护法》的相继出台标志着我国个人信息保护的法律体系逐渐完善,一些新兴的数据权利受到法律的关注,如删除权、决定权、知情权、个人信息可携权等,但这些权利由于法律的不完善规定得较为笼统。其中个人信息可携权较为典型,在《个人信息保护法》第四章第四十五条第三款中规定了个人请求将个人信息转移至其指定的个人信息处理者,符合国家网信部门规定条件的,个人信息处理者应当提供转移的途径。该法律条文并未明确规定个人信息可携权的范围和行使方式。缺乏系统完善的法律规定,必然导致行使个人信息可携权所带来的利益冲突。个人信息其作为一种数据蕴含着两种不同的价值考量。一方面,个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,是个人生活方式和状态的数据化表示,可以通过数据画像勾勒出其人格形象,碎片化的个人信息加以整合可以形成个人的“人格剖面图” [1] 。正如马斯洛的需求层次理论中指出的:“人格标识的完整性与真实性是主体受到他人尊重的基本条件”,对个人信息的保护是对其人格尊严和自由的尊重。另一方面,数据是流动的石油,个人信息作为一种新兴生产资料,其背后蕴含着巨大的经济价值。企业通过收集、处理、共享个人信息,分析个人偏好,可以更具针对性地对目标群体投放目标产品,大幅提升了效率,降低了成本,促进企业的创新发展。在网络交互发展去中心化传播的今天个人信息难以避免地会涉及第三人的个人信息和企业数据,个人在对其个人信息主张可携权时,涉及多方利益主体,这就不得不对个人与第三人、企业的利益平衡问题进行考量。对三方的利益考量应当放在一个具体的场景中去考量,“梁某诉汇法网案”与“启信宝”两案案情相似,但法院的裁判结果却大相径庭,两案的裁判法院在进行裁决时结合具体的场景主要考虑的因素各不相同。事实上,在实践中确立单一的价值位阶和考量因素是不合理的,价值位阶和具体考量因素与具体场景是一种动态互动的关系,在不同的场景有不同的价值次序和考量因素,因此个人信息可携权的利益平衡问题应当以场景理论视角来进行探讨。
2. 个人信息可携权的利益平衡难题
2.1. 个人信息保护的利益平衡理论与制度
2.1.1. 个人信息保护的利益平衡理论
个人信息保护的利益平衡理论旨在解决在保护个人信息过程中如何平衡个人信息权益与公共利益的问题。个人信息权益作为个人信息保护的逻辑起点,其蕴含了对人格尊严和自由价值的尊重,而公共利益同样也是个人信息保护的重要考量因素,体现的是个人信息利用的公共价值和商业价值。在保护个人信息时难以避免地会面临着各方利益冲突的复杂图景,从个人角度出发,个人希望对于其信息权益提供全方位的保护;从企业角度出发,希望最大化的利用个人数据以获取更多价值;而从国家角度出发则面临着两种价值取向:一是保护个人信息安全的义务与天然职责,二是为了公共利益收集处理个人信息的客观需求 [2] 。质言之,在个人信息保护领域,强调公共利益就会限缩个人信息权益,而关注个人信息权益则会与公众知情权发生矛盾。
在特定的场合下,哪种利益优先不同国家有着不同的态度。欧美对于个人信息权益与公共利益的平衡问题采取了充分利益原则,认为个人信息权益不是绝对的,政府可以有条件地对个人信息进行支配处理。欧盟1995年发布《关于个人资料处理及自由流通个人保护指令》第13条规定了限制个人资料权的事由:① 国家安全;② 防御需要;③ 公共安全;④ 对刑事犯罪或违反所规定的职业道德防范、调查、侦查和诉讼;⑤ 成员国或欧盟重要的经济主体或其他人的权利和自由保护 [3] 。美国受其历史文化的影响,对其政府权力的限制极为严格,极为重视对个人信息的保护,但是在非政府机构领域处理个人资料,态度就极为缓和,倾向于鼓励信息的流动,公民对其个人信息只有有限的隐私期待,只有在政府有证据证明某类信息流动会造成实质损害或者实质损害的威胁时,才能进行干预。
2.1.2. 个人信息保护的利益平衡制度
《个人信息保护法》中规定了个人信息处理者在处理个人信息时,应当告知个人并取得个人的同意。在“告知—同意”机制下,个人对其个人信息的控制权在有限的范围内是可控的。但“告知—同意”规则也存在豁免情况,《个人信息保护法》第十三条中规定了“告知—同意”的例外,1在涉及公共利益时无需个人的同意也可以直接收集处理个人信息。但即使在无须征得个人同意的情况下,收集处理个人信息的行为仍应当遵循《个人信息保护法》第五条的规定,处理个人信息应当遵循合法、正当、必要和诚信原则,不得通过误导、欺诈、胁迫等方式处理个人信息。该条文在我国《网络安全法》第四十一条、民法典第一千零三十五条均有所体现。
所谓合法,是指为保护公共利益而限制个人信息权益应当有法律的明确授权。质言之,即使出于公共利益的目的限制个人信息权益应当符合相关法律规定,不得违反禁止性条款 [4] 。这本质上是扩张公权力从而对公民的宪法权利进行限缩,涉及公民的基本权利和自由,必须由立法机关明文规定。
所谓正当,即处理个人信息的目的应当是明确合理的,即对于个人信息的收集处理应当与公共利益具有相关性,不得在法律规定的目的之外去收集利用与公共利益无关的个人信息,且必须在收集个人信息前公共利益的目的已经确定。
所谓必要,是指为实现公共利益对个人信息权益造成最小的限制或损害,对公民的基本权利造成尽可能少的干预。必要原则的精髓在于合理关联和最小损害 [5] 即一方面行政机关为了公共利益可以在无需公民个人同意的情况下收集利用个人信息,履行公共管理职能;另一方面,行政机关应当以采取损害最小的处理方式,如“去标识化”“匿名化”等。
2.2. 个人信息可携权与企业数据权益的利益平衡
个人信息可携权是指个人可以请求将个人信息转移至其指定的个人信息处理者。企业数据泛指所有与企业经营相关的信息、资料,包括公司概况、产品信息、经营数据、研究成果等,企业数据中不乏涉及个人信息。对于用户在平台上注册、登录、浏览评论的踪迹,企业通过数据技术抓取、收集、利用、共享的个人信息的数据权属在法律上并没有明确的规定,若将用户在平台上生成的数据由用户排他占有,那么企业和其他用户的数据权益将不复存在,其商业活动也难以进行 [6] 。若将该数据确权给企业,那么用户的个人隐私和人格尊严没有受到应有的尊重。如果将该数据权益归属为用户和企业共有,那么双方均可对该数据主张权利,用户在行使可携权时,面临着需要平台同意的壁垒,增加了数据的流通成本。而如果将用户在平台上产生的数据确立为公共物品,那么将会给个人数据权利和企业数据权益都带来不利的影响 [7] 。缺乏明确的权属,将导致个人信息可携权的行使与企业的数据权益之间的利益冲突。具体体现在两个方面:一是个人与数据控制者之间的冲突;二是数据控制者和数据接收者之间的冲突。
对企业而言,企业数据中不可避免地交叉着个人信息,行使个人信息可携权即意味着将一个平台的个人数据转移到另一个新的平台。数据作为企业创新发展的核心竞争力,企业可以通过信息技术分析处理数据,精准匹配用户需求,投放目标产品,实现经营者与消费者的良性互动。个人信息同样对于营造健康的商业环境有重要作用,在信用经济的大背景下,建立健全完善的社会信用体系关系到整个社会的经济运行,而信用评估离不开大规模的个人信用信息的收集利用。同时,个人信息也催生了一些新的企业业务,如信息查询平台、电话黄页服务等。用户行使个人信息可携权的行为无疑会给企业带来经济负担,因为企业作为数据控制者提供的给用户携带的数据应当是“结构化的、普遍使用的和机器可读的” [8] 。同时,数据控制者和数据接收者之间可能存在竞争利益冲突,数据接收者对接收的数据进行加工利益会损害数据控制者的利益,使其在行业内的竞争力下降。对于大规模的个人信息可携权行使,可能会导致一些大型平台丧失其支配地位。
对于用户个人而言,可携权的行使可以便捷用户在不同平台间的切换,实现其对个人信息的有效控制,破除企业平台的“锁定效应”。在互联网赢者通吃的大环境下,一些大型平台会凭借其优势地位通过技术权力限制用户携带信息。如果用户个人的可携权的范围受到极大的限制,仅限于个人主动提供的姓名、地区、联系方式等,而个人的偏好数据、评论数据、共享的照片等被认定为商业数据无法携带,将无法体现用户对其个人信息的支配以及对用户个人信息的隐私尊重,而且会大大降低用户个人转移的意愿,加剧锁定效应,不利于营造健康的市场环境。对于数据接收者而言,用户可携权不能完整地行使,将无法获取具有市场价值的观测数据和衍生数据,不能满足数据接收者的市场需求,无法实现可携权制度的初衷和个人信息的价值最大化。
作为数据控制者的企业,通过技术手段收集、储存、处理、共享、利用的数据,在该过程中,数据控制者已经对这些实施了劳动,基于劳动赋权论,数据控制者对这些数据可能享有知识产权、商业秘密、竞争性权益等权益,个人信息可携权与企业数据权益的利益冲突的实质就是二者谁在价值位阶上更高的问题。欧盟《通用数据保护条例》(GDPR)第20条第4款中强调“行使可携权不得影响他人的权利和自由”,但同时GDPR序言第63条中又认为“即使存在权益的冲突也不影响可携权的行使” [9] 。在欧盟的司法实践中更倾向于后者,认为可携权具有优位性。以Schrems诉Facebook一案中,Schrems请求Facebook提供其个人数据,但Facebook以涉及其知识产权和商业秘密为由仅提供了一部分数据,在维也纳最高法院的判决中支持了Schrems的诉求。2在我国司法实践中,表现出的是知识产权、竞争性权益优位于可携权的倾向。以“微信群控案”为例,深圳市腾讯计算机系统有限公司、腾讯科技(深圳)游侠公司以被告使用外挂技术软件擅自获取、使用涉案数据构成不正当竞争为由起诉至法院,法院审理后认为被告行为构成不正当竞争行为。3
2.3. 个人信息可携权与他人个人信息权益的利益平衡
个人信息可携权所涉及的信息不仅包括用户的个人信息,还包括因个人行为产生的关涉他人的聊天记录、评论互动、交易记录、通讯录等 [10] ,此种涉他信息涉及第三人的知识产权、个人信息权益(知情权、控制权)、隐私权等,如用户请求携带个人发布的视频,其视频包含了他人享有著作权的音乐作品。个人信息可携权不仅体现的是对其个人信息的支配与控制,更多体现的是对其信息跨平台转移的积极利用的财产价值,而涉他信息对于第三人来讲是第三人对其信息的自决权,人格利益相较于财产利益具有优先权。欧盟《一般数据保护条例》中第二十条第三款明确规定,个人信息可携权的行使不应当阻碍删除权的实现,而删除权则是第三人知情同意规则的延伸。因此在个人行使可携权涉及第三人信息时,需要考虑是否应当征得第三人的同意。
个人在行使可携权时涉及他人信息时是否需要征得第三人的同意,如果均征得第三人的同意,那么个人信息可携权和他人个人信息权益已经通过协商,可以各行其是,互不干扰。但如果未征得第三人同意,那么个人信息可携权和他人个人信息权益则会产生冲突:个人在行使可携权时期待其个人信息含涉他信息能够直接携带,以保障其个人财产跨平台便捷转移,实现其利益的最大化;而涉他信息中的第三人对于其信息享有自决权,对他人涉他信息的携带的知情权和同意权具有合理期待 [11] 。未经第三人同意携带涉他信息可能侵犯他人隐私和个人信息权益。如深圳市腾讯计算机系统有限公司等诉杭州聚客通科技有限公司不正当竞争纠纷一案中,法院认定被告聚客通公司提供的用户数据迁移技术并未侵犯腾讯公司的数据权益,但由于迁移的微信聊天记录中包含第三方的个人信息而被认定为侵犯第三方个人信息权益,构成不正当竞争。
但是,若个人信息可携权的行使均需要经过第三人的同意,会大大限缩能够直接携带的信息范围,聊天记录、互动评论等不能直接携带,可携带的信息范围仅限于个人姓名、电话号码等,会大大降低个人转换平台的意愿,降低用户转换至新平台后获得优质服务的可能,甚至致使个人无法顺利转换平台。对于信息接收者来说,用户携带的信息局限于一些能够轻松获取的信息,那么这些不包含涉他信息的个人信息对于信息接收者特别是一些新兴平台尤为不利,不能促进信息的流通与利用,违反了可携权的初衷。
个人信息可携权和他人信息权益的价值冲突表现为个人利益与第三人利益优位的问题,但用户行使个人信息可携权还包含着公共利益的价值,行使可携权,可以破除平台的“锁定效应”,促进新兴平台的发展,防止平台垄断,营造良好的经营环境。涉他信息携带利益冲突的实质应当是个人行使可携权承载的公共利益以及个人利益和在特定场景下个人对其信息自决权优位的问题。
3. 基于场景的个人信息可携权利益平衡路径
3.1. 个人信息保护的场景理论与制度
3.1.1. 个人信息保护的场景理论
场景概念最早由美国学者罗伯特·斯科伯和资深技术专栏作家谢尔·以色列提出。海伦·尼森鲍姆教授也在其提出隐私的“语境完整性理论”指出,要在具体场景中实现个人信息和数据的合理流通,以实现“场景公正” [12] 。该理论是场景理论在个人信息领域的应用与延伸,批判了传统非此即彼二元论的保护模式,应当将个人信息保护纳入具体场景中具体分析,使个人信息保持适当的流动,确保信息流的语境完整性。质言之,应当在特定的语境环境下分享信息,而不能脱离该语境环境,使特定的信息交互与特定的场景相匹配。
场景理论实际上是在美国加利福尼亚通过的《消费者隐私法案》(CCPA)视野下保护个人信息的一种手段,其核心是要将处理个人信息的行为放置在特定的场景中去综合分析,尼森鲍姆教授提出信息传输规则的五种具体参数:信息主体、信息发送者、信息接收者、信息类型以及信息流转原则,首先,信息主体、信息发送者、信息接收者可以统称为信息参与者。信息参与者在不同的场景中具有不同的身份和角色,受到不同的行为准则约束,是在认定信息权益是否受侵害时的关键变量之一。例如当银行要求个人提供医疗信息这一行为是不适当的,但是当保险机构要求保险人提供医疗信息进行理赔时就符合用户的合理预期。其次,信息类型是对信息的性质进行的分类,信息包括但不限于邮件信息、金融信息、医疗信息等,与传统非公即私的二元论信息分类不同,认定信息类型应当在具体的场景中去综合认定。以一般信息和私密信息为例,这种信息的分类并非一成不变的,在具体场景中的认定会发生转变。最后,信息的流转原则是指信息流转过程中所应当遵守的限制、约束条件。例如,处理个人信息应当告知个人并获得其同意规则、禁止信息流向公共领域规则等。如果不遵循信息的流转原则会被认定为违反了信息规范。以上三大要素是否被遵守决定了隐私信息是否被侵害。
3.1.2. 个人信息保护的场景制度
个人信息保护领域的场景制度在我国立法和司法裁判中都有所体现。在立法中,2023年国家互联网信息办公室发布了关于《人脸识别技术应用安全管理规定(试行) (征求意见稿)》公开征求意见的通知。在《人脸识别技术应用安全管理规定(试行) (征求意见稿)》中延续了《个人信息保护法》的基本思路,对不同的应用场景、环节设定了差异化的法律义务和监管要求,对重点场景做出了针对性的设计。对于旅馆客房、公共浴室、更衣室、卫生间及其他可能侵害他人隐私的场景、在公共场所安装图像采集、个人身份识别设备的场景,组织机构为实施内部管理安装图像采集、个人身份识别设备的场景,在公共场所、经营场所使用人脸识别技术远距离、无感式辨识特定自然人的场景等进行了区分,4也为具体操作提供了详细、明确的规则。区分场景治理是该《征求意见稿》的一大特色,也代表了个人信息保护的立法倾向。《征求意见稿》中体现出对个人信息安全与发展并重,根据不同场景设定不同义务,反映了场景化的监管思路。与此同时,《征求意见稿》第四条依旧拟规定了必要性原则,5对个人信息的利用应当保持“最少使用”的原则,只有在特定的目的并采取严格的保护措施的情况下才能使用他人的个人信息,在有其他对个人信息的最少使用的方案下优先其他技术方案。
在司法实践中,司法机关运用场景理论裁判的案件比比皆是。以梁某诉汇法网一案为例,6被告经营的汇法网通过技术手段抓取了涉原告梁某信息的判决书并转载于其网站上,原告在要求被告删除无果后,以被告侵犯其个人信息权益为由提起了诉讼。在一审和二审中法院均认为被告的收集手段和利用方式合法正当,构成对裁判文书的合理利用,并未侵犯原告梁某的个人信息权益。与此案情相似的“启信宝”一案7确有着截然相反的结论,原告伊某因贝尔塔公司未征得个人同意通知删除未果后,认为贝尔塔公司非法公开使用其个人信息。在该案中法院支持了伊某的诉求。两案之所以判决结果不同,是因为在不同场景下,司法机关考量的因素不同,前案中司法机关关注的是公众的监督权,只要裁判文书真实可靠,没有添加侮辱诽谤性的内容,就不构成对原告个人信息权益的侵犯。而后案中司法机关则更关注的是个人对其个人信息的控制权和知情同意权。前者考量的因素是:来源是否可靠有效,转载发布信息是否真实、无变动,是否引人误解,是否添加了侮辱性、诽谤性内容等因素;而后者考量的因素是个人对文书信息公开的容忍义务、裁判文书转载再利用的合法性,以及其函射的公共利益等因素 [13] 。两案结果差异的实质在于不同场景下个人对其公开的个人信息再传播的控制权和裁判文书公开的利益之间何者优位的问题。
虽然在立法中没有明确引入“场景完整性理论”,但司法实践中对该理论的运用层出不穷,如“郭兵诉杭州野生动物世界案”(中国人脸识别第一案)8,“余某某诉查博士案”9“微信读书案”10等多案的司法裁判都贯穿着“场景完整性理论”的思想,在一定程度上也为个人信息保护立法提供了方向和倾向。
3.2. 个人信息处理行为场景下的利益平衡
前文论述了个人信息可携权与企业数据权益利益冲突的实质是价值优位问题。以场景理论的视角来看,二者的利益冲突应当保持动态平衡,而不是刻板的固守某一权益的永久优位规则。在讨论可携权中的个人信息范围应当明确,对于属于知识产权、商业秘密和享有竞争性权益的信息应当被分离出去,从我国的司法实践可以看出我国重视对知识产权、竞争性权益的保护,从实现可携权目的和难以判断个人信息权益和竞争性权益优位问题的角度看,将其从企业数据中分离出来或者采取技术保护措施不失为一个好方法。此外,还应当明确,已经经过匿名化或者去标识化无法复原的数据不在可携权的携带范围。企业数据被经济合作与发展组织(OECD)根据处理者对个人信息的投入大小分为四类:① 提供数据;② 观测数据;③ 衍生数据;④ 推断数据,这四类数据都可以表现为非匿名数据。企业处理数据可以分为数据收集、数据利用、数据共享三种不同的场景,以下将按照四种数据分场景讨论。
3.2.1. 数据收集场景
数据收集是指企业通过媒介收集记录相关对象的行为方式并进行整理汇集的活动。在数据收集场景主要涉及提供数据和观测数据两类数据。
所谓提供数据,是指用户个人直接提供的数据,如注册时填写的姓名、联系方式、发布的信息等。对于这类数据,作为数据控制者的企业并未进行处理,只是对该数据进行简单地收集、储存,属于一般性的基础的投入。企业对该数据仅仅享有一般性权益,作为为用户提供储存信息的渠道的对价 [14] 。在该场景下,个人行使可携权优位于企业数据权益,无需经过企业同意即可携带此类个人信息,
所谓观测数据,是指信息处理者观测用户行为所记录的数据。对于这类数据企业也仅仅是提供了观测和记录的工具,对信息内容并没有实质性的劳动。并且在一定场景中,观测数据是数据接收者的必要基础设施,而其又无法以合理的价格或条件获得 [15] 。观测数据可携权的行使,不但能使用户个人便捷的转换平台,更有利于作为信息接收者的转换平台发展,为用户提供优质服务,破除“锁定效应”,促进良性竞争,实现可携权的目的。在该场景下,用户携带观测数据所函射的公益和私益自然是优位于企业的私益的,故对于此类数据的携带权的行使应当由用户告知平台即可。
3.2.2. 数据利用场景
数据利用是指对其收集的数据信息加以利用,以实现其财产利益的行为方式。在数据利用场景中主要涉及衍生数据和推断数据。
所谓衍生数据,是指企业对原始数据进行算法加工、计算、聚合而形成的数据,如消费习惯、信用记录数据等,此类数据通常表现为系统、可读取、有使用价值的数据。对于这类数据,个人信息携带权和企业数据权益何者优位,由于我国《个人信息保护法》对可携权的规定过于笼统,我们需要结合域外经验来讨论,GDPR关于可携权条款的规定将范围界定为由用户提供的个人信息,即前文所说的提供数据。而GDPR第68条中又指出可携权适用于数据主体的同意或者是为履行合同所必需的情形,说明只要用户同意,无论信息是否是由用户个人提供的,都可以适用可携权。从可携权的立法目的来看,广义的界定范围更有助于加强个人对其信息的控制,促进信息的流通与利用,对整个社会也是利好。因此,采取广义的界定范围下,衍生数据隶属于可携权的行使范围。并且,衍生数据是基于用户个人信息进行处理的,具有近似信息处理能力的信息处理者在同等条件下进行简单的计算都能获得相同的结果,因此对于衍生数据用户的个人贡献仍是大于企业的。在该场景下,企业的数据权益仍不能阻却个人信息携带权的行使。
所谓推断数据,是指基于对已有数据的分析而形成的可以预测行为的数据,例如信用评分、消费能力评估等。对于该类数据虽然仍然是以信息主体的基础数据作为载体,但是企业处理过程和方法具有独创性,且投入了更多劳动,即使是具备相同能力的信息处理者也会因为经营方向、服务内容、算法设计等的不同,推断出来的结果也会因人而异。对于推断数据企业的贡献是远大于用户个人的,企业对该数据是享有竞争性权益的,属于其知识产权。如果将这部分数据纳入可携权的携带范围,将会使得企业生产推断数据的成本大于收益,降低企业生产推断数据的意愿,阻碍企业的创新与发展。从公共利益的角度来看,对于推断数据应当将严格限制可携权的适用。
综上,根据企业数据的不同分类,对于提供数据、观测数据、衍生数据只需要基于用户的个人请求,无需数据控制者同意就可以携带其个人信息,此过程中包含了双重授权:用户对原平台的授权以及用户对新平台的授权。而对于推断数据,可携权的行使必须经过原平台的同意方可顺利转移其信息,由数据控制者自行决定是否转移该信息的权益,而此过程中相较于双重授权,多了原平台对新平台的授权。虽然在数据控制者同意的情况下,四种数据都能被携带,但并不意味着忽视掉转移信息的成本,而成本不应该由数据处理者一力承担,数据处理者花费了大量的时间、人力成本,应当建立合理的补偿收费机制,数据接收者作为纯获益者应当对数据处理者进行补偿。
3.2.3. 数据共享场景
数据共享是指在平台层面,数据在企业之间流转利用的活动。在数据共享场景中,涉及的数据可能包括以上四类数据。对于企业在征得个人同意的情况下,已经共享给其他企业的数据,用户主张携带的,无需经过数据控制企业的同意,可以直接携带,因为企业共享的数据一方面证明企业对该数据的保密程度要求较低,即使为其他平台所知晓也不会触及其根本利益,另一方面,已经共享的数据所函射的公共利益大于企业私益。对于企业未共享的数据信息,适用前述规则:如果属于提供数据、衍生数据、观测数据,无需经过原平台同意可以直接行使可携权;如果属于推断数据,则需要经过原平台的同意方可行使。
3.3. 个人信息分类分级场景下的利益平衡
涉他个人信息可携权的行使不能像前文所述的采用信息分离的方式来解决是因为将个人信息的涉他信息分离之后会破坏被请求信息的整体完整性,如点赞互动,使用户行使可携权的目的落空。同时分离信息的成本无人承担,在企业数据信息分离中有纯获益者的数据接收者来承担,而在涉他个人信息中,数据接收者接收的分离了第三人信息后的数据大大降低了其效用价值,对其为用户提供更优质的服务并无益处,让其来承担也是不公平的。而第三人并非携带信息的发起者,更不应该由其来承担。因此,对于涉他个人信息的利益平衡问题应该采用场景理论下对个人信息分类分级的方式根据对不同利益的衡量来解决,保护的个人信息是处在特定场景下的信息,而不是信息本身受到法律保护 [16] 。
3.3.1. 敏感信息、私密信息和一般个人信息
敏感信息是指关涉个人隐私核心领域、具有高度私密性、对其公开或利用将会对个人造成重大影响的个人信息,如有关性生活、基因信息、遗传信息、医疗记录、财务信息等个人信息。敏感信息和私密信息存在交叉关系,二者交集于有关私生活秘密的信息。敏感信息一旦被泄露或者修改,将会对标识的个人信息主体造成不良影响。此类涉及他人敏感信息的可携权的行使表现的利益冲突的实质是他人对其个人敏感信息的自决利益与个人可携权行使的私益与公益之间的对立。首先就私益角度来讲,个人行使可携权彰显的是对其信息的控制权,同样作为受《个人信息保护法》的第三人的信息,对敏感信息的保护程度应当更高。其次就公益的角度来讲,要明确的是公共利益的优位性是相对的,其优位性需要结合特定的场景来具体判断,不能机械地将公共利益凌驾于个人利益之上。从《个人信息保护法》和可携权的立法目的来讲,对于隐私信息是重保护而不是在于利用。如果此类涉他信息被携带,将会使第三人陷入极为不利的局面。因此,对于此类涉及他人敏感信息的携带以第三人同意为前提,若第三人不同意,则不得携带。私密信息受到《民法典》和《个人信息保护法》的保护,其在法律上表现为隐私权,而个人行使可携权是法益的体现,对权利的保护当然优先于法益。因此对于涉及他人私密信息的可携权行使依旧不能豁免第三人的同意。
对于一般个人信息而言,此类信息相较于前两类信息对个人人格隐私的触及较少,对于此类信息重在利用。在大数据时代,数据作为一种新的生产资料,所蕴含的商业价值和公共价值是极大的。强化一般个人信息的利用,发挥其商业价值和公共价值是各国占据后信息时代话语权的必然选择。此类涉及他人一般个人信息可携权的行使的冲突实质是他人对其信息的自觉利益和个人对其信息控制权与公共利益的对立。在该场景下,公共利益具有优位性,因此在符合第三人合理期待的情况下(不侵犯其隐私权等)可以豁免第三人同意。
需要明确的是,对于个人敏感隐私信息的类型界定应当进行本土化的结合,综合考量我国不同场景的文化传统、法律习惯、社会价值观等。其次,个人敏感隐私信息应当是一个动态的概念范围,应当结合科技水平、人们的认知水平、社会发展动态等进行灵活修正,以实现在不同场景下的各方利益平衡。
3.3.2. 涉及他人知识产权的信息
涉他信息除了包含他人个人信息权益外,还可能包含涉及他人知识产权的信息。由于可携权的行使转移个人信息是在一瞬间完成的,如果不事前告知第三人且经过其同意,第三人难以察觉,且其享有的知识产权面临着维权困难的情景。知识产权作为一种权利,对于权利的保护同样优先于对于权益的保护。因此在涉及他人知识产权的可携权行使,应当经过第三人同意。此外,《民法典》第一千一百九十四条、一千一百九十五条规定了在通知-删除规则下的网络用户、网络服务提供者的侵权责任。11在该规则下网络服务提供者受“避风港”规则的庇护,只有当侵权行为像红旗飘扬一样明显时,就不能以未发现或不知道侵权行为存在为由豁免责任。在可携权行使过程中的数据控制者多为网络服务提供者,其对涉及他人知识产权的信息可携权行使时,应当加强审查。对涉及一般知识产权的涉他信息提供一般性审查,即形式上审查是否获得了第三人同意等;对涉及知名知识产权应当提供实质性审查:审查获得的第三人同意是否伪造;是否超出授权范围等。
3.3.3. 涉及未成年的信息
涉他信息在特定的场景下也可能涉及未成年人的信息。根据共青团中央维护青少年权益部、中国互联网络信息中心共同发布的《2021年全国未成年人互联网使用情况研究报告》显示,2021年我国未成年网民规模达1.91亿,呈现低龄化的趋势。未成年网民的规模大大增加,行使个人信息可携权在某些场景下不可避免地会触及未成年的信息权益。未成年人的心智尚未成熟,缺乏足够的认知水平和控制能力,因此要对未成年的信息权益予以特别的保护,这一点在我国《个人信息保护法》中有所体现。《个人信息保护法》第三十一条规定了处理不满十四周岁未成年个人信息应当取得其父母或监护人的同意。因此在前述规则下,处理未成年的敏感信息和私密信息要经过其父母或者监护人同意,处理未成年的一般个人信息也应当征得其法定监护人的同意,这体现的是对未成年个人信息权益的特别保护的优位。
4. 结论
个人信息可携权的确立体现了未来的立法趋势。现阶段对可携权的规定较为笼统,导致实践中会出现个人信息可携权与企业数据权益、第三人数据权益出现利益冲突,对于三者的利益衡量应当以场景理论的视角去具体分析。与企业数据权益的冲突分为三个场景讨论:在数据收集场景,主要涉及提供数据和观测数据,用户个人信息可携权优位与企业权益;在数据利用场景,对于衍生数据,个人信息可携权处于优势地位,对于推断数据,企业数据权益可以限制可携权的适用;在数据共享场景,已经共享的数据,用户可以直接主张携带,未共享的数据参照适用前述规则。与第三人信息权益的冲突应当对个人信息分类分级进行利益平衡:对于敏感信息、私密信息重保护而非利用,他人信息权益优位。一般个人信息重利用,个人信息可携权可以豁免第三人同意。此外,对于涉及未成年、他人知识产权的信息,应当给予特别保护。
NOTES
1《个人信息保护法》第十三条规定:(一) 为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;(二) 为履行法定职责或者法定义务所必需;(三) 为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;(四) 为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;(五) 依照《个人信息保护法》规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息。(六) 法律、行政法规规定的其他情形。
2https://mp.weixin.qq.com/s/6W5awyYQyZGGbpgNno838A,最后访问日期:2023年10月8日。
3参见杭州铁路运输法院民事判决书(2019)浙8601民初1987号。
4参见《人脸识别技术应用安全管理规定(试行) (征求意见稿)》第六条至二十一条。
5参见《人脸识别技术应用安全管理规定(试行) (征求意见稿)》第四条。
6参见北京市第四中级人民法院(2021)京04民终71号民事二审判决书。
7参见江苏省苏州市中级人民法院(2019)苏05民终4745号民事二审判决书。
8参见浙江省杭州市富阳区人民法院(2019)浙江0111民初6971号民事一审判决书。
9参见广州互联网法院(2021)粤0192民初928号民事一审判决书。
10参见北京互联网法院(2019)京0491民初16142号民事一审判决书。
11参见《民法典》第一千一百九十四条、一千一百九十五条。