林鸿潮:个人信息在社会风险治理中的利用及其限制

选择字号:   本文共阅读 480 次 更新时间:2018-05-07 00:08:29

进入专题: 个人信息   社会风险   社会安全事件  

林鸿潮  

   摘要:  个人信息具有公共性,这是政府将其用于公共用途的正当基础。对政府利用个人信息的规制是当前个人信息保护中的一大短板。社会风险治理是政府利用个人信息最活跃和典型的领域,个人信息除了被用于相关犯罪的侦查,还可以被用于社会安全事件的预测预警、应急决策、个体行为分析、网络舆情管理和应急资源配置等。为了保障信息主体的权利,政府在社会风险治理中利用个人信息的行为应当受到限制,不能套用个人信息保护的一般规则;对政府利用个人信息的规制应当确立聚合利用原则、有区别的法律保留原则、知情原则、适度放宽的比例原则等基本原则。

   关键词:  个人信息;政府;社会风险;社会安全事件

  

一、问题的提出

  

   随着我国《民法总则》的制定与实施,对个人信息的法律保护呈现出刑事、民事与行政并进的状态,并开始走向体系化。然而,纵观现行法律规范,仍可发现其明显短板,即集中于规制对个人信息的获取和暴露两个环节,强烈体现出立法特别关注以信息主体对个人信息的自我控制,而对信息的使用环节不甚关注,尤其是关于公共部门对个人信息的使用问题,法律基本上是“留白”的。

   《刑法修正案(七)》和《刑法修正案(九)》所规定的侵犯公民个人信息犯罪打击的只是信息的非法暴露,即出售、提供、获取和泄露等行为。我国《侵权责任法》36条规定了网络侵权责任,从此后《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》的相关解释来看,其所调整的网络侵犯个人信息行为所指也仅限于信息的暴露环节。《全国人大常委会关于加强网络信息保护的决定》以及我国《消费者权益保护法》《网络安全法》虽然对个人信息的使用有所提及,却并未予以单独规定,而是与个人信息的收集规定在一起,且没有与个人信息的获取、暴露两个环节一样规定受害人的举报、控告、起诉权和主管部门的监管职责,或者详细规定信息获取、保管者的具体义务。更为重要的是,这三部法律文件所规范的可能侵害个人信息相关权利的主体是“网络服务提供者”“网络运营者”“经营者”“其他企业事业单位”等,并不涉及行政机关,这几部法律文件给行政机关的定位均是纯粹的监管者、保护者角色,而非信息的获取者和使用者。至于2017年施行的我国《民法总则》,虽然其111条规定“任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息”,也就是将个人信息的非法使用与非法收集、加工、传输、买卖、提供、公开一并规定,并将调整对象扩大为“任何组织和个人”,把行政机关也涵盖在内,但这仅仅是一个比较粗糙的原则性规定,其既未指明何为“使用”——使用一词的含义显然比收集、加工、传输、买卖、提供、公开等复杂得多,从而需要更精细的表述,也未指出何为“非法”——违反了何种位阶的法律规范以及是否包括违反约定。总的来看,我国《民法总则》111条的宣示意义大于操作价值。

   在私主体(主要是网络运营商和其他经营者)作为个人信息使用者的情况下,对个人信息使用环节的规制路径并不十分复杂。在现行法的“知情同意”框架之下,私主体收集、使用个人信息应当公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。[1]因此,私主体对个人信息的不当使用首先表现为违反其公开的使用规则及在此规则下与用户的约定,进而可以在此框架下寻求解决。即使突破了这一框架,不当使用的结果也必因侵犯用户的其他合法权益而需另行承担侵权责任;一旦涉及刑事法律,也必然触犯既有的其他罪名,并无另立罪名对不当使用行为予以单独评价的必要,因为“非法获取信息的行为,侵犯了公民个人信息权,构成侵犯公民个人信息罪;利用信息的行为则构成财产犯罪、人身犯罪等”。[2]总之,即使在民法或刑法上单独规定私主体不当使用个人信息的法律责任,这种责任也将被使用者的目的行为或使用的违法结果所导致的法律责任所吸收。

   然而,当公共部门(主要是行政机关)成为个人信息的使用者时,上述逻辑便无用武之地了。首先,行政机关收集和使用个人信息并非基于和管理对象的约定,而是基于法定职权。可是,传统的职权法定原则又难以解决这一问题,因为随着大数据等信息技术的高速发展,个人信息的公共用途急剧扩展,政府依靠个人信息所开发出来的管理工具日益丰富,没有任何立法者具备足够的理性去前瞻性地穷尽这些用途,从而事先做出限定。其次,行政法不仅评价行政活动的目的和结果,还要评价其过程和手段,行政机关基于正当目的使用个人信息且结果无损于个人利益时,并不当然意味着其过程和手段的合法性,仍需法律给予单独的规制。再次,政府信息公开法制也无法将行政机关使用个人信息的行为完全加以规范,尽管在个人信息保护法制缺失的情况下时常通过政府信息公开中的相关条款“搭便车”地解决个别问题。[3]因为,将包含个人信息的内容予以公开来实现某种行政目的——例如公开对特定人的行政处罚决定以达到教育和警示目的——早已不是行政机关使用个人信息的主要方式了,在当初收集个人信息的目的之外对信息加以增值利用,特别是凭借大数据技术不断挖掘其潜在价值,才是当前行政机关利用个人信息的主要方向。总之,行政机关对个人信息利用的广度和强度一点都不亚于商业机构,但我国既有的个人信息保护规范体系却严重忽视了这一点。

   社会风险治理是政府对个人信息进行增值利用最为典型和活跃的领域,无论是宏观上对短、中、长期社会风险形势的预测和研判,还是微观上对某种或某件社会安全事件的动态监测和预警,乃至于对某些社会风险源(通常是某些群体或个人)的搜索定位,行政机关都越来越依赖于综合利用政府信息库中存储的大量个人信息来丰富其管理工具箱。探究个人信息在社会风险治理中的利用及其限度,对于提炼公共领域个人信息保护的一般规则,并完善个人信息保护的法律体系,颇具意义。

  

二、个人信息的公共性


   个人信息的支配、使用等利益和行为可能无论是在名称上直呼其为“个人信息权”,还是像我国《消费者权益保护法》一样将其拗口地表述为“个人信息依法得到保护的权利”,也无论我国在具体的权利类型上将其界定为人格权还是财产权,还是两者兼而有之,我国法学界尤其是民法学界的学者已基本形成个人信息保护是一项独立民事权利的通说,[4]我国《民法总则》111条也已经为此提供了实定法上的依据。还有部分学者进一步提出,应当将个人信息权确立为宪法上的一项基本权利。[5]不过,无论给予何种定位,大多数人都认可这种权利的核心在于信息主体对其个人信息的控制,包括控制这些信息的占有和使用,从而使信息对于权利主体而言具备自主价值和使用价值。[6]这是一种控制理论框架下的权利中心主义,建立在信息的个人属性之上,其有效性的前提在于个人确实能够实现对其个人信息的控制,并在理性判断的基础上行使各项相关权利。随着互联网时代的发展,人们变得越来越关心个人信息的商业价值,大量互联网新兴产业都将个人信息作为最重要的生产资料之一,并创造出惊人的商业价值,社会整体和每个社会成员都因此不同程度地受益。由此,放松对个人信息利用规制的呼声日涨,而个人信息的公共价值似乎也因此获得了证明。笔者对此种呼声持不同观点:仅仅由于某种个人资源具有商业价值,且经过商业开发之后能够促进社会及个人福祉,便承认其公共性,进而要求个人对其相关权利必须有所让渡,以降低使用者的获得成本,这样的逻辑在正当性上有所不足。“凡是关系到别人权利的行为而其准则与公共性不能一致的,都是不正义的。”[7]只有人们能够证明对个人信息的某种利用本来就具有直接促进社会公共福祉的价值——这种价值未必需要通过商业方式来实现,而且为信息主体本身所必需,同时对信息加以利用所伴生的风险是有限或可控的,人们才能够真正证成个人信息的公共性,才能够在法律上对信息主体的自主控制权作出必要限制。

   否则,他人对个人信息利用的正当性仍然只能来源于信息主体在自主决定基础上的同意,无论这种同意在实际操作中的真实性已经被削弱到何种地步。

   个人信息的公共性首先天然地与政府的职能密切相关,因为,行政管理的有效实施必然要求政府详细、准确地掌握其管理对象与其职权范围相关的个人信息。离开了这一最基础的信息资料,行政管理就无从谈起。以户籍信息为例,“历史中的户籍制度是指通过各级权力机构对其所辖范围内的户口进行调查、登记、申报,并按一定的原则进行立户、分类、划等和编制,以此作为掌握人口信息、征调税役、分配资源和维持秩序的基础,它是一项涉及政治、经济、军事、文化教育和法律的综合性社会制度”。[8]一直以来,政府就是最大的个人信息收集、处理、储存和利用者,政府公权力所及之处必然涉及个人信息的收集、处理和利用。一方面,政府作为社会管理和社会福利的承担者,公共安全、公共管理和公共福利的推进都离不开对公民个人信息的掌握。另一方面,政府出于对行政效率的追求,也会不断督促自身积极探索个人信息利用的限度和价值。[9]这是个人信息公共性的原初形态,但如果仅仅止步于此,则人们的讨论只能停留在一般的公私利益二元框架上,停留在类似于政府征收赋税“取之于民、用之于民”的逻辑上。

大数据技术的出现使个人信息的个人价值和公共价值更加直接地融合了,也使个人信息的公共性获得了新内涵。有学者将大数据技术之下个人信息的特征概括为五项:一是个人信息中包含的市场价值和隐私利益具有低密度性和非直接性;二是个人信息具有再分析价值;三是个人信息具有非独占性;四是个人信息的产生具有意志一致性;五是对个人数据信息收集、分析和处理具有即时性,信息主体的“知情同意”过程难以实际展开。在此基础上,该学者得出如下结论:对个人信息的法律规制不应再基于私权观念赋予公民对个人信息的处置权,而应当将个人信息作为公共物品,基于公共利益来对个人信息的使用目的和方式加以公法上的规制。[10]该学者还援引了2014年美国白宫《大数据与隐私报告》中的观点:“虽然确实有一类数据信息对于社会来说是如此敏感,即使占有这些数据信息便可以构成犯罪(例如儿童色情),但是大数据中所包含的信息所可能引起的隐私顾虑越来越与一般商业活动中、政府行政中或者来自公共场合的收集中的大量数据无法分开,信息的这种双重特征使得规制这些信息的使用比规制收集更合适。”[11]笔者虽然不赞同这一结论,但认为该学者确实指出了基于信息主体的个人自决权而形成的以信息收集为中心的规制模式存在重大缺陷,并且,其总结的个人信息五项特征的前四项更揭示了大数据背景下个人信息的公共性。概言之,个人信息往往产生于信息主体与信息收集系统的互动之中,而这些信息在被聚合起来进行再分析时所产生的价值远远大于其在单个状态下的价值,同时,个人信息被聚合使用之后的价值又往往使信息主体自身直接受益。个人信息在大数据背景下体现出来的这种公共性,使得它可以被政府和某些企业广泛地挖掘利用,以提供各种公共服务。需要注意的是,提供这种公共服务的企业并不从这些服务中直接获利,而是利用由此获得的大规模用户流量嫁接其他的产品或服务,形成所谓“羊毛出在猪身上、狗买单”的互联网商业模式,通过聚合大量用户的出行轨迹来提供路况服务的各种地图APP就是典型例子。这种意义上的公共性,已经明显超越了个人信息被政府用于一般行政管理的传统效用以及被商业机构用于高效搜索和定位客户的低端商业价值,从而使个人信息获得了更加广阔的公共利用空间。(点击此处阅读下一页)

    进入专题: 个人信息   社会风险   社会安全事件  

本文责编:陈冬冬
发信站:爱思想(http://www.aisixiang.com),栏目:天益学术 > 法学 > 宪法学与行政法学
本文链接:http://www.aisixiang.com/data/109814.html

0 推荐

在方框中输入电子邮件地址,多个邮件之间用半角逗号(,)分隔。

爱思想(aisixiang.com)网站为公益纯学术网站,旨在推动学术繁荣、塑造社会精神。
凡本网首发及经作者授权但非首发的所有作品,版权归作者本人所有。网络转载请注明作者、出处并保持完整,纸媒转载请经本网或作者本人书面授权。
凡本网注明“来源:XXX(非爱思想网)”的作品,均转载自其它媒体,转载目的在于分享信息、助推思想传播,并不代表本网赞同其观点和对其真实性负责。若作者或版权人不愿被使用,请来函指出,本网即予改正。
Powered by aisixiang.com Copyright © 2021 by aisixiang.com All Rights Reserved 爱思想 京ICP备12007865号-1 京公网安备11010602120014号.
工业和信息化部备案管理系统