文/新浪财经意见领袖专栏作家 肖飒
大数据为企业创新与个人便捷生活撬动巨大潜能,数据公司成为最了解你的人。大数据基于自身特性所带来的特殊法律风险也不容忽视。读者朋友可曾想过,你与数据平台的交互中,发布的“心情”、“说说”与“状态”等可都是个人信息?企业对你的个人信息再利用,你可同意?
大数据为企业创新与个人便捷生活撬动巨大潜能,数据公司成为最了解你的人。大数据基于自身特性所带来的特殊法律风险也不容忽视。读者朋友可曾想过,你与数据平台的交互中,发布的“心情”、“说说”与“状态”等可都是个人信息?企业对你的个人信息再利用,你可同意?对此,我们谨分享如下内容:
内 容 提 要
1. 与我有关的信息,都是“我”的个人信息吗?
2.公民个人信息的边界;
3. 场景理论,怎么用?
1
与我有关的信息,都是“我”的个人信息吗?
“个人信息”作为一个老生常谈的概念,其定义出现在不同法律规范中:
《网络安全法》指出,“个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等”。
《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第一条规定,“刑法第二百五十三条之一规定的‘公民个人信息’,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等”。
《个人信息安全规范》第3.1条,明确个人信息,是指“以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息”。该规范的附录A进一步指出,“判定某项信息是否属于个人信息,应考虑以下几条路径:一是识别,即从信息到个人,由信息本身的特殊性识别出特定自然人,个人信息应有助于识别出特定个人。二是关联,即从个人到信息,如已知特定自然人,则由该特定自然人在其活动中产生的信息(如个人位置信息、个人通话记录、个人浏览记录等)即为个人信息。符合上述两种情况之一的信息,均应判定为个人信息。”附录A对个人信息举例如下:
通过以上民事法律规范、刑事法律规范,国家标准,是否所有与我有关的信息都是个人信息呢?别人形成的关于我的评价信息是否是我的个人信息?由此衍生开来,任何关于特定个人的负面信息的热搜是否都是个人信息,对此,任何被搜个人都有权撤下热搜呢? 大家是否还记得曾火遍校园的某人网将数据平台出售给其他公司的新闻,某人网网站的出售内容,就包括亿万用户分享的日常点滴,你是否觉得的自己的个人信息权利被侵犯了吗?
2
公民个人信息的边界
我们渐渐发现个人信息界定的难点之处。日常大家分享个人生活到朋友圈,对朋友圈内的对象来说,该信息属于公开数据,分享相关内容的本意就在于允许其在朋友圈内的传播。但对于数据平台与第三方企业来说,此类用户数据该类内容包含了大量可识别的个人信息,又可能属于隐私所保护的对象。也即,个人数据权利的边界存在不确定性。个人信息的定义往往高度依赖于具体场景,同样的一组数据,在不同的场景中对于不同的对象而言可能分属不同类型的数据。
数据权属问题高度依赖场景,这意味着,维护个人数据权益与企业数据权益必须采取场景化的保护方式。通过在具体场景中确定数据的性质与类型,并根据具体场景中各方的合理预期来确定相关主体的数据权益。
读过本公众号中数据合规系列文章之二《案例|人脸数据,悄悄被窃走.……》的读者发现,这样的依赖于场景的界定方式,也正契合了数据利用中的 “情境脉络完整性”理论。只是在个人信息的界定上,我们更想强调的是,特定案例中,与个人有关的信息是否一定属于个人信息,也可以说,企业未经授权使用与信息主体有关的信息,是否就一定违法呢?
以上问题,我们持否认态度。个人信息权利的触角需依据具体信息所在场景而定。正如对隐私权侵权行为的判断,数据隐私法的权威学者丹尼尔 • 索洛夫(Daniel Solove)提出,“隐私并不存在一个核心或本质特征,保护隐私实际上是保护具体场景中的某些个人权益不受侵害”; 阿里 • 瓦尔德曼(Ari Ezra Waldman)教授也指出,不能以个人权利来理解隐私与个人信息或个人数据,因为隐私问题的本质在于信任,其权利的边界需要根据具体场景中的合理期待来确定。
个人信息权利来源于隐私权,其边界也正影响着个人信息的使用方式。按照“情境脉络完整性”理论,基于情境下的个人信息边界不同,保护个人信息的保护关键便在于实现信息使用的“场景性公正”,即要在具体场景中实现个人数据与信息的合理流通。
3
场景理论,怎么用?
“情境脉络完整性”逐步渗入到各国隐私及个人信息保护的权利法案。以《一般数据保护法》(“General Data Protection Regulation”简称“GDPR”)为例,该规则关于对数据的合法处理规定中,要求信息控制者、处理者等设置隐私风险评估机制。而适当情况下,信息控制者应当寻求个人信息主体或者其在数据处理预期方面的代表的观点,且数据处理行为不得危害商业和公共利益。
基于评估结果的数据利用,正是 “情境脉络完整性”在实务中的运用。我们看到GDPR对上述情景理论的片段性适用,但却不可以偏概全,认为GDPR即是贯穿本原则所作出。
2020年2月7日,欧盟数据保护委员会EDPB公开发布的《关于在联网车辆和交通相关应用程序中处理个人数据的指南》中指出“有关联网车辆的个人数据可能会因多种用途被处理,包括保障司机安全、保险、提升交通效率、提供娱乐或资讯服务。根据GDPR,数据控制者必须确保其目的是明确的、合法的,不以与这些目的不相容的方式进行进一步处理,并确保GDPR要求的处理具有有效的法律基础”。“如车辆及设备制造商、服务供应商及其他数据控制者应尽可能采用不涉及个人数据或将个人数据转移至车辆以外(即数据在内部处理);如果数据必须离开车辆,应考虑在传输之前将其匿名化;考虑到可通过联网车辆生成的个人数据的规模和敏感性;处理个人数据,特别是在车辆外部处理个人数据的情况下,往往会对个人的权利和自由造成很大的风险,在这种情况下,行业参与者将被要求执行数据保护影响评估(DPIA),以识别和减轻风险”该指南中,车辆外部处理个人数据时未要求多重授权,同样提出的是数据处理需符合目的以及数据保护影响评估等操作路径。
风险导向的理念利用转向 “程度性”评估,以个案分析的精神,在相应场景中具体地评估数据处理行为的风险,根据风险等级采取相应程度的管理措施,是一种贯穿数据处理生命周期全程的动态控制机制,其突破僵化审视数据处理是否取得了当事人的同意传统机制,为数据时代的信息利用提供了可靠路径。
(本文作者介绍:北京大成律师事务所执业律师,兼任北京市网贷协会法律顾问,主要从事互联网金融法律工作。)
责任编辑:陈鑫
新浪财经意见领袖专栏文章均为作者个人观点,不代表新浪财经的立场和观点。
欢迎关注官方微信“意见领袖”,阅读更多精彩文章。点击微信界面右上角的+号,选择“添加朋友”,输入意见领袖的微信号“kopleader”即可,也可以扫描下方二维码添加关注。意见领袖将为您提供财经专业领域的专业分析。
