作者:张哲,最高人民法院中国应用法学研究所博士后研究人员。
引 言
当前我国数字经济蓬勃发展,为形成新质生产力注入了强大动力。数据要素是数字经济深化发展的核心引擎,个人信息在数字时代具有重要经济价值,个人信息的自由流通是数字经济高质量发展的重要支撑。为进一步加强个人信息保护并促进个人信息的自由流通,我国《个人信息保护法》第45条第3款首次在法律层面规定了个人信息可携带权。然而,该条款对个人信息可携带权的客体规定不明确,个人信息处理者并不清楚该如何履行转移义务,个人不知道可以请求转移何种个人信息,导致该条款在实践中的实施效果并不理想。在此背景下,界定个人信息可携带权的客体具有迫切的现实意义。目前学界对于个人信息可携带权客体的界定标准以及可以转移的数据类型尚缺乏系统、深入的研究。为此,本文从个人信息可携带权现行规范存在的问题出发,确立个人信息可携带权客体的界定标准,进而明确个人能够请求转移哪些类型的数据和不能请求转移哪些类型的数据,以期为我国未来个人信息可携带权相关实施细则的制定及其适用提供理论参考。
一、个人信息可携带权客体现行规范存在的问题
我国个人信息可携带权的确立经历了从国家标准到法律的演进过程,不同的规范性文件对个人信息可携带权客体的规定也存在差异。
(一)《信息安全技术 个人信息安全规范》规定的范围过窄
2017年12月29日,原国家质量监督检验检疫总局、国家标准化管理委员会发布国家标准《信息安全技术 个人信息安全规范》(GB/T 35273-2017),第7.9条借鉴了欧盟数据可携带权的规定,其内容包括两个方面:第一是获取个人信息副本的权利,第二是将个人信息直接转移给第三方主体的权利。但是,第7.9条规定的可转移的个人信息范围较窄,只包括了四类,分别是个人基本资料、个人身份信息、个人健康生理信息和个人教育工作信息。从敏感程度来看,这些个人信息都具有高度的人身指向性,允许个人转移这些个人信息并无太大争议;从便利性来看,这些信息经常需要在不同的网络服务平台上使用,允许转移这些信息有助于避免重复提交与审核等问题。因此,通过规定个人信息可携带权,有助于减少个人因重复提交相关信息带来的诸多不便,提高消费者福利。但这种列举方式也过度限制了可转移的个人信息范围,IP地址、浏览记录、电子商务交易记录、搜索记录等其他常见的个人信息,因不在规定的范围内而无法请求转移,这使得该条款的适用范围非常有限。随着信息处理技术的不断发展,越来越多看似无法识别到特定个人的信息可以被再度识别到个人,这使得个人信息的外延越来越广,以至于我们难以在个人信息与非个人信息之间划定清晰的界限。因此,将个人信息可携带权的客体限定为上述四种个人信息极大地限制了个人信息可携带权社会功能的发挥。
2020年3月6日,国家市场监督管理总局和国家标准化管理委员会发布《信息安全技术 个人信息安全规范》(GB/T 35273—2020),代替《信息安全技术 个人信息安全规范》(GB/T 35273-2017)。相较于之前的版本,2020年修订的《信息安全技术 个人信息安全规范》最大的实质性改动就是将“个人信息控制者应为个人信息主体提供获取以下类型个人信息副本的方法”改为“个人信息控制者宜为个人信息主体提供获取以下类型个人信息副本的方法”,这就意味着该项规定对企业的约束力更弱,更多的是在倡议企业自觉提升服务质量。在可以转移的个人信息类型上,《信息安全技术 个人信息安全规范》(GB/T 35273—2020)仍保留了原有的四种类型,并未有效回应可转移客体范围过窄的问题。
由于国家标准的效力层级较低,实践中鲜有企业自主提供个人信息转移服务,更多还是在努力提升用户黏性,试图将用户继续留在自身的产品或服务中。但是,《信息安全技术个人信息安全规范》(GB/T 35273—2020)对个人信息转移实践起到了一定程度的引导和推动作用,也为我国在法律层面上正式确立个人信息可携带权提供了前期的制度探索。
(二)《个人信息保护法》规定的范围不明
在我国《个人信息保护法》的制定过程中,全国人大常委会在第三次审议时决定增加第45条第3款。在表决通过时,全国人大常委会对个人信息可携带权条文进行了重大修改。与2021年8月17日首次增加的条文相比,2021年8月20日正式通过的《个人信息保护法》仅对一处做了修改,删掉了“个人请求将其个人信息转移至其指定的个人信息处理者”中第一个“其”字。在《现代汉语词典》中,“其”有多种含义,常见的含义是人称代词,表明他(她、它)的,例如自圆其说等。虽然只是一个人称代词,但是由于“其”字在该款中所处的特殊位置,使得删除前后可转移的个人信息范围发生了很大变化。从文义解释的角度,“个人请求将其个人信息转移至其指定的个人信息处理者”意味着,个人只能转移有关他自己的个人信息,而无权转移他人的个人信息。这与建议增加该款规定的初衷也相符合,即方便个人转移其个人信息。也就是说,全国人大常委会最初是希望通过该款来方便个人转移其自身的个人信息,而不包含他人的个人信息。因此,保留“其”字符合该条文的设立初衷。毕竟,个人无权控制他人的个人信息,也没有内在动力去转移他人的个人信息。
但是,在正式通过的《个人信息保护法》中,删掉了原来条文中第一个“其”字,这一微小的改动看似无关紧要且条文表达似乎更为通畅,但却对个人信息可携带权的行使有重大影响。原因在于,“个人请求将个人信息转移至其指定的个人信息处理者”意味着,个人可以请求转移自己以及他人的个人信息,只要是个人信息即可。按照修改后的规定,个人既可以请求转移自身的个人信息,也可以请求转移他人的个人信息,如请求转移自己的同事、朋友、老师、同学、父母的个人信息等。根据个人信息保护法基本原理,个人对其个人信息具有控制力,但却无权控制他人的个人信息,除非征得他人的同意或者有其他合法理由。因此,在个人信息知情权、决定权、查阅权、复制权、更正权的规定中,均明确了权利的客体为“其”个人信息。正式通过的《个人信息保护法》第45条第3款在表述上突破了既有的个人信息保护法基本原理,容易在适用中引起歧义,也与实际情况不符。例如,在微信应用程序中,按照立法者的设想,用户有权请求将其朋友圈、聊天记录、账号等个人信息转移至其他应用程序中,如QQ、钉钉等。而根据《个人信息保护法》第45条第3款的文义解释,用户还有权请求转移他人的个人信息,这显然是违背了他人意愿的。况且,在实际操作过程中,腾讯公司还需要对请求主体的身份进行验证,在请求主体并非用户本人或未经用户本人授权时,也不会直接履行个人信息转移义务,否则将导致他人个人信息的泄露。由此可见,《个人信息保护法》第45条第3款删除了第一个“其”字的做法看似仅仅是一种立法表述上的微小调整,实则会带来违背个人信息保护法基本原理的问题,造成法律适用上的混乱。
为推动《个人信息保护法》的落地实施,国家互联网信息办公室起草了《网络数据安全管理条例(征求意见稿)》。该文件对《个人信息保护法》中的诸多条文进行了细化,第24条对可以请求转移的个人信息限缩至两种类型,一类是本人信息,另一类是请求人合法获得且不违背他人意愿的他人信息。但该文件并没有对“本人信息”这一概念作进一步的界定,其是否仅指个人主动提供的个人信息,抑或是包含与本人相关的其他信息,有待进一步的明确。对于“请求人合法获得且不违背他人意愿的他人信息”,这一规定实则进一步扩大了个人信息可携带权的客体范围。原因在于,按照字面意思,“他人信息”是指他人的个人信息,既可能是同时包含了他人与请求人身份特征的个人信息,如他人与请求人的合照等,也可能是仅包含他人身份特征的个人信息,如他人的自拍照片等。对于前者,其在性质上也构成请求人的个人信息,具有成为个人信息可携带权客体的可能。但是对于后者,其与请求人的身份无关,不构成请求人的个人信息。如果允许请求人转移此类个人信息,那么将使得他人的个人信息被请求人控制,这显然超出了请求人的合理利益范围,也不符合他人的利益。
由此可见,《个人信息保护法》对个人信息可携带权客体的规定不明,容易引发法律适用上的问题。例如,个人能否请求转移以纸质形式存在的个人信息?《个人信息保护法》第45条第3款并未作出明确限定。根据《个人信息保护法》第4条第1款的规定,无论是以纸质形式存在的信息还是以电子化形式存在的信息,只要与已识别或者可识别的自然人有关,都构成个人信息,都可以成为个人信息可携带权的客体。但是,从国外立法实践来看,多数国家将其限定为自动化处理环境中形成的个人信息,排除了纸质形式存在的个人信息,以便于个人信息的转移。又比如,对于互联网平台通过大数据分析、打标签等技术生成的,能够预测用户消费习惯、产品喜好的数据,这些数据能够精准预测用户的喜好,有助于个人信息处理者提供更加个性化的产品和服务,个人信息处理者为生成这些数据投入了大量劳动,如果不加限制地允许个人将这些数据转移至其他个人信息处理者,那么其他个人信息处理者便可以毫不费力地获取并利用这些具有巨大商业价值的数据,可能影响公平竞争的营商环境。因此,应该对可以转移的数据进行一定的限制,从而使得该权利的行使能够实现多方主体之间的利益平衡。
二、个人信息可携带权客体的界定标准:贡献度
(一)客体界定的理论分歧
对于个人信息处理者持有的数据,按照是否具有可识别性,个人信息处理者持有的与个人有关的数据,可以分为个人信息和非个人信息。个人信息主要包括三类,第一类是个人主动提供的个人信息,一般被称为直接数据,如个人的姓名、昵称、头像、身份证号码、手机号等;第二类是个人在使用产品或服务过程中所产生的个人信息,一般被称为观测数据,如个人的购物记录、收藏的歌单、浏览记录等;第三类是个人信息处理者通过打标签等方式加工处理后形成的能够反映个人偏好的衍生数据,如个人的消费倾向、兴趣爱好、职业发展潜力等。这三类数据虽然均由个人信息处理者持有,但在产生方式上却存在较大不同,直接数据主要产生于个人的主动提供行为,观测数据主要产生于个人的使用行为,而衍生数据则主要产生于个人信息处理者的分析行为。非个人信息是无法识别到特定个人的数据,主要是指匿名数据。
目前,学界对于个人信息可携带权的客体进行了一定的探讨,但尚未达成共识。多数学者认为,可以转移的个人信息应当是以电子化方式记录的个人信息,而排除了纸质等其他方式记录的个人信息,主要原因在于以电子化方式记录的个人信息更加易于流通,符合个人信息可携带权的立法初衷。但是,在可以转移的数据类型上存在较大分歧。大体而言,学界关于个人信息可携带权客体的界定主要包括了以下三种学说。
第一种是一元说,该学说主张个人信息可携带权的客体应仅限于个人主动提供的个人信息,即直接数据。例如,有学者认为,观测数据在当前不宜转移,衍生数据因其不具有可识别性而不宜转移。针对昵称、关系链数据等权属不明的数据,暂时不宜纳入可以转移范围。有学者认为,个人可以自主选择转移的仅限于原始数据中的事实数据,行为数据的转移要获得平台授权。这里的行为数据主要是个人的使用行为所留下的痕迹,即本文所称的观测数据,该观点将行为数据视为平台的正当利益,用户请求转移行为数据需要经过平台的授权。从上述观点可以发现,否定观测数据作为个人信息可携带权客体的理由主要在于认为个人对于观测数据没有法律上的控制力,而否定衍生数据作为个人信息可携带权客体的理由主要在于衍生数据不具有身份指向性,也就是不符合个人信息的定义。
第二种是二元说,该学说主张个人信息可携带权的客体包括两类,即直接数据和观测数据。例如,有学者认为,我国应当借鉴欧盟立法经验,将可以转移的数据限定为直接数据和观测数据。有学者认为,可以转移的数据应被限定为直接数据和部分观察数据,排除包含有大量个人信息处理者创造性构思和设计的衍生数据和部分观察数据。有学者认为,推测后的个人信息(如精准画像、用户评级)的价值属于个人信息处理者,不属于可转移的范围。由此可见,二元说主张个人信息可携带权的客体包括直接数据和观测数据,而将衍生数据排除在外,主要理由在于个人信息处理者对衍生数据的产生投入了创造性的劳动,个人不宜对其享有转移的自由。
第三种是三元说,该学说主张个人信息可携带权的客体包括三类,即直接数据、观测数据和衍生数据。例如,有学者认为,“可以在个人明确、知情、自愿提供的个人数据的基础上,根据不同的利益权衡考量,延伸到‘观察的数据’‘用户活动数据’与特定场景、行业中的衍生数据”。有学者认为,我国个人信息可携带权的客体范围应从提供数据、观测数据扩展到衍生数据。有学者认为,应当附条件地将衍生数据纳入可转移的数据范围。还有学者基于衍生数据的商业价值,认为个人可以对其行使个人信息可携带权。由此可见,三元说主张衍生数据构成个人信息可携带权的客体,但是需要对这种转移附加一些条件,比如双方之间的合意,建立收费或利益补偿机制等,这种观点实则是把衍生数据的转移按照物权法中的共有理论来处理,认为个人和个人信息处理者对衍生数据均具有一定的控制力。
从学界研究可以看出,关于个人信息可携带权客体的分歧主要体现在观测数据和衍生数据方面。对于前者,其虽然符合个人信息的定义,但是基于产业影响考量,一些学者反对将其作为个人信息可携带权的客体。对于衍生数据,一些学者从性质上认为其不属于个人信息,另一些学者则从价值来源上认为只有个人信息处理者对衍生数据享有控制权,因而不宜将其作为个人信息可携带权的客体。分歧的根本原因在于个人信息可携带权客体界定标准不一致,亟待理论上作进一步澄清。
(二)贡献度标准的确立
在个人信息处理活动中,个人信息既可能来源于个人,也可能来源于个人信息处理者,还可能来源于第三方主体,这些来源不同的个人信息承载着不同主体的合法权益。个人信息可携带权客体的界定对于不同主体的权益影响很大,过窄的范围会使个人信息可携带权的功能难以充分发挥,而过宽的范围则容易损害个人信息处理者以及他人的合法权益。因此,个人信息可携带权的客体界定需要综合平衡个人、个人信息处理者和其他利益相关者的合法权益。
数字时代,个人信息的潜在利用价值日益凸显。个人信息处理者对其进行分析处理后能够形成对用户更加精准的认知,从而提供个性化的产品和服务。这些加工后的个人信息已经成为企业的重要资产,也是其维持市场竞争力的重要筹码。在我国司法实践中,许多法院明确肯定了企业对大量个人信息加工处理后形成的数据享有竞争法上的合法利益。例如,在微信数据不正当竞争纠纷案中,杭州铁路运输法院认为,微信产品数据资源能够给腾讯公司带来商业利益与竞争优势,腾讯公司对其应当享有竞争权益。在“刷宝App”不正当竞争纠纷案中,北京知识产权法院认为,微播公司通过合法经营,投入巨大的人力、物力、财力,收集、存储、加工、传输抖音平台数据,形成了包括用户个人信息、短视频和用户评论在内的非独创性数据集合。该数据集合的规模集聚效应,能够为微播公司带来巨大的经济利益,在市场竞争中形成竞争优势,应当属于反不正当竞争法保护的合法权益。该案入选最高人民法院发布的2023年人民法院反垄断和反不正当竞争典型案例,具有典型示范意义。因此,对于个人信息处理者而言,其收集并处理的个人信息承载了他人的人格利益与自身的竞争权益,是两种合法权益的综合体。个人信息可携带权客体的界定即是对这种利益综合体进行界分,从而明确个人行使权利的边界。
关于个人信息可携带权客体的界定标准,学界进行了一定的探讨。比较有代表性的观点有五种,分别是价值说、效率说、权益位阶说、综合说和贡献度说。价值说认为,可以根据衍生数据和原始数据的价值来界定个人信息可携带权的客体,若衍生数据的价值未超过原始数据的价值,则可以进行转移;当衍生数据的价值远超过原始数据的价值时,则衍生数据归属于信息处理者所有,但应允许个人在一定范围内合理使用。效率说认为,个人信息可携带权作为一种工具性权利,效率应该为制度设计时首先考虑的因素。由于个人信息的转移能够支撑数据再生产,因此应当将衍生数据界定为个人信息可携带权的客体。权益位阶说认为,衍生数据极有可能涉及企业的知识产权和商业秘密,从平衡个人信息可携带权与个人信息处理者的知识产权的角度而言,衍生数据不宜被界定为个人信息可携带权的客体。综合说认为,“需要就用户和数据企业对数据产生的贡献度、数据之上所承载个人信息对于用户的不可替代程度,以及可能的定价补偿机制进行综合权衡”。贡献度说认为,根据用户或个人信息处理者对个人信息形成的贡献度来界定个人信息可携带权的客体。
从上述观点可以看出,价值说以衍生数据的价值和原始数据的价值之间的大小为界分标准,但其并未明确此处的价值究竟为经济价值抑或是其他价值,并且对于何谓“衍生数据的价值远超过原始数据的价值”没有提出明确的标准,在实践中可操作性不强。效率说以个人信息流通效率作为首要的价值选择,虽有一定合理性,但过于注重个人对其个人信息的控制,忽略了个人信息处理者的合法竞争利益。权益位阶说则简单以知识产权与个人信息可携带权的位阶进行比较分析,认为前者优于后者。但从民事权益位阶理论来看,人格权益应当优于财产权益。《民法典》将个人信息保护条款置于人格权编第六章的做法即表明,个人信息权益在本质上是一种人格权益,个人信息可携带权保护的主要是自然人的人格利益,虽然个人在行使权利过程中会受到知识产权的合理限制,但这并不意味着个人信息可携带权就要让位于知识产权等财产权益。综合说考虑了较多因素,看似全面,但缺乏可操作性,难以为《个人信息保护法》第45条第3款的适用提供清晰的指引。综合而言,贡献度说最具合理性,主要理由如下。
第一,贡献度说明确了不同数据价值区分的根本原因。在学界,较多学者主张原始数据与衍生数据的划分。原始数据是指个人直接披露的个人信息,包括直接数据和观测数据。贡献度说指出了不同类型数据价值区分的根本原因,也即不同主体对于数据价值的贡献度不同。原始数据主要由个人主动提供,比如主动输入自己的姓名、身份证号码、出生日期等,还有大量原始数据是由个人在使用产品或服务过程中生成的,比如交易记录、浏览记录等,这些数据客观反映了个人的身份特征,承载了人格利益,个人信息处理者主要是对其进行客观记录和存储,因而其价值更多的是由个人贡献。但衍生数据的产生主要是基于个人信息处理者投入的大量资本、技术、人力等,其中凝结了个人信息处理者的大量劳动;衍生数据是个人信息处理者基于自身业务需要而对特定个人偏好的主观评价,由于背后的算法不同,即使是同一个用户,在不同个人信息处理者那里也会得到截然不同的评价。这其中体现着个人信息处理者的贡献。因此,相较于价值说和综合说,贡献度说厘清了不同数据价值区分的根本原因,正是个人和个人信息处理者对数据价值的贡献度不同,使得原始数据更多体现了人格利益,而衍生数据更多体现了财产利益。
第二,贡献度说符合分配正义的要求。在亚里士多德的正义理论中,分配正义要求“在平等者中平等分配,在不平等者中不平等分配”,它强调分配的合比例性,即各人按其贡献得其应得。按照这种正义观,对于由多方主体共同参与形成的数据,各方享有数据利益的多少应当取决于对数据形成的贡献度,劳动贡献是个人信息处理者享有财产利益的正当性基础。目前,多数学者和法官认为,衍生数据主要承载了财产利益,尤其是竞争利益。“衍生数据主要源于个人信息,其生成离不开初始个人信息的聚合。”个人和个人信息处理者对于衍生数据均有合理的利益期待。离开了个人信息处理者对个人信息的加工和利用,个人信息的财产价值便难以发挥。对于个人而言,其投入主要是提供了衍生数据的“原材料”;对于个人信息处理者而言,其投入主要是人力、资本、技术等,它将分散于各个用户处的个人信息汇集,按照它对用户的理解对收集来的个人信息进行深度加工,由此形成了具有较大商业价值的衍生数据。因此,个人信息处理者对于衍生数据的形成起到了主导作用,在不损害个人人格利益的基础上,应当对自己的投入所得享有相应权益,获得更多的控制力。此外,在以免费为主的互联网商业模式下,用户通过使用行为向互联网平台提供了大量个人信息,作为“对价”,互联网平台往往会采取免费网络服务、折扣券等方式来回馈用户的贡献。用户的贡献已经得到了相应的“对价”,其对衍生数据的控制也应当让位于投入更多、贡献度更大的个人信息处理者。因此,以贡献度为标准来划分个人信息可携带权的边界也符合分配正义的原则。
第三,贡献度说有利于个人与个人信息处理者之间的利益平衡。个人信息可携带权的客体界定应当兼顾个人与个人信息处理者的合法权益。个人的利益诉求主要表现为自由选择产品和服务。个人信息处理者的利益诉求主要表现为处理个人信息。数字时代,个人信息已经成为市场主体的重要资源,一旦被转移,那么其竞争对手便可以快速获取个人信息处理者付出劳动才持有的数据。以微信为例,微信对用户兴趣分析所形成的数据是其个性化广告成功的关键,如果这些数据可以被直接转移至其他平台,那么微信在个性化广告方面的竞争优势将受到很大影响。这将导致越来越多的企业减少数据分析方面的投入,而是利用个人信息可携带权来吸引用户并获得其他企业的劳动成果。因此,需要在二者的利益诉求中找到一个合理的平衡点。2022年12月19日发布的《中共中央国务院关于构建数据基础制度更好发挥数据要素作用的意见》明确指出,“在保护公共利益、数据安全、数据来源者合法权益的前提下,承认和保护依照法律规定或合同约定获取的数据加工使用权,尊重数据采集、加工等数据处理者的劳动和其他要素贡献,充分保障数据处理者使用数据和获得收益的权利”。该政策明确要求尊重数据处理者的劳动和其他要素贡献,从而实现多元利益之间的平衡。相较而言,效率说和权益位阶说简单地以某种价值作为界分标准,贡献度说更直接地体现了“谁投资,谁受益”的理念,也更有利于实现个人与个人信息处理者之间利益的平衡。既可以实现个人对其个人信息的转移自由,又能保障个人信息处理者的劳动所得。
综上所述,应当将贡献度作为个人信息可携带权客体的界定标准。基于这一标准,个人信息可携带权的客体界定应依据特定数据形成中不同主体的贡献度。具体而言,个人信息处理者持有的非个人信息,即匿名数据,由于不属于个人信息而不能成为个人信息可携带权的客体;个人信息处理者持有的个人信息中的直接数据、观测数据,个人对其产生贡献较大,因而属于个人信息可携带权的客体;个人信息处理者持有的个人信息中的衍生数据,个人对其产生贡献较小,因而不属于个人信息可携带权的客体。下文将对此进行详细论述。
三、个人信息可携带权客体的数据类型:直接数据和观测数据
基于贡献度标准,个人信息可携带权的客体应当是个人对其形成作出了主要贡献的数据,这些数据主要来源于个人的提供行为和使用行为,包括直接数据和观测数据。
(一)直接数据
直接数据直接来源于个人的提供行为,如个人在应用程序注册界面主动输入的姓名、邮箱、身份证号码、手机号码等。除此之外,一些应用程序还允许第三方账号登录,如通过微信、支付宝、QQ账号登录等,但需要经过个人的授权,这些数据在本质上也是直接来源于个人的提供行为。直接数据往往具有高度的人身指向性,也是个人信息处理者实施精准营销等活动的重要依据。其中一些还具有高度的敏感性,如人脸信息、位置信息等。从直接数据的产生来看,个人对其作出了主要贡献,离开了个人的提供,个人信息处理者便无从知晓个人的基本情况,更难以开展后续的个性化服务。因此,应当允许个人请求转移直接数据。目前,对于直接数据是否属于个人信息可携带权的客体,学界并无太大争议。在域外立法实践中,多数国家也将直接数据作为个人信息可携带权的客体。
个人提供的数据,虽然在很多情况下构成个人信息,但是也有可能是个人信息之外的其他数据。例如,在个人网盘服务中,个人可以上传自己的电话号码、自拍照片等个人信息,也可以上传与个人身份无关的其他信息,如拍摄的自然风光照片、自己创作的学术论文、从网络中合法获取的研究报告等,这些信息虽然也是个人主动提供,但却可能难以识别到特定个人,不构成个人信息,因而不属于个人信息可携带权的客体。
(二)观测数据
观测数据是直接数据之外,个人主动提供的另一类重要的个人信息。在互联网产业实践中,用户主动提交的个人信息往往很少,更多个人信息是用户在使用产品和服务的过程中产生的,例如搜索历史、浏览记录、地理位置数据、可穿戴设备监测到的睡眠数据等。以个人网盘服务为例,当前的个人网盘应用程序除了存储数据这一核心功能之外,还允许用户搜索、查阅、播放、下载、分享和删除特定的网络资源,这些搜索记录、播放记录、删除记录等同样属于个人信息。它们不同于直接数据,是基于用户自身的使用行为所产生。观测数据客观记录了个人的使用行为并真实反映了个人的特定偏好,如感兴趣的新闻话题、喜欢的音乐类型等,这些数据对个人具有重要意义,通过网页浏览记录,个人可以快速找到其常用的网站,通过智能手环中的心率、睡眠时间等记录,个人可以监测自己的健康状况。总之,观测数据随着个人的使用行为而逐渐增多,这类个人信息既可以为个人所利用,也是个人信息处理者进行分析预测和精准营销的基础。基于贡献度标准,观测数据亦属于个人信息可携带权的客体,主要理由如下。
第一,个人对观测数据的形成作出了主要贡献。观测数据基于个人的使用行为而产生,如浏览记录、行踪记录等,这些数据主要是对个人使用行为的客观记录,离开了个人的使用行为,个人信息处理者无法得知个人究竟说了什么、做了什么、去了哪里,更无法推知个人的兴趣和喜好。由此可见,观测数据反映了个人的使用行为,个人信息处理者虽然也采取了一定的技术手段来整理并存储这些数据,但是却并未对这些数据进行深度分析。因此,观测数据的形成仍以个人的贡献为主,个人信息处理者更多的是一种技术上的辅助。这就决定了个人应当对观测数据享有直接的控制力,可以请求个人信息处理者予以转移。需要强调的是,观测数据虽然无法像身份证号码那样直接识别到特定个人,但是却可以与其他信息,如用户IP地址、用户名等结合而间接识别到特定个人,符合《个人信息保护法》第4条第1款关于个人信息的定义。在我国司法实践中,亦有多家法院将IP地址、浏览记录等观测数据界定为个人信息。例如,在广州唯品会电子商务有限公司与周某某个人信息保护纠纷案中,法院认为,设备信息、位置信息、浏览记录等信息构成个人信息。在陈某、北京百度网讯科技有限公司个人信息保护纠纷案中,法院认为,IP地址反映了陈某在某一时刻(段)所处的城市地理位置,可以认定是陈某的行踪信息。浏览记录与电话号码、IP地址等信息的结合,能够识别陈某个人的网络活动轨迹,故其属于个人信息。由此可见,观测数据是个人使用行为的客观记录,它反映了个人的生活习惯、兴趣爱好等。个人信息处理者能够通过观测数据间接识别到特定个人,因而观测数据属于《个人信息保护法》中的个人信息。
第二,域外地区立法多将观测数据作为个人信息可携带权的客体。在比较法上,欧盟《通用数据保护条例》(General Data Protection Regulation,以下简称“GDPR”)第20条将可以转移的数据限定为数据主体“已提供给数据控制者的相关个人数据”,对于如何界定此处的“提供”,学界存在不同理解。肯定说认为,应当将观测数据纳入欧盟数据可携带权的客体范围,并对观测数据采取宽泛的解释,包括点击量和追踪数据等。而否定说则主张对此处的“提供”作严格解释,只有数据主体主动提交的数据,如用户名、昵称、手机号码等,才属于数据可带携权的客体。对此,原欧盟第29条工作组(the Article 29 Data Protection Working Party,以下简称“WP29”)在2016年发布的数据可携带权指南中认为,从文义解释角度,这里的“提供”应当是数据主体主动提交给数据控制者的个人数据,如手机号码、电子邮箱、人脸识别信息、昵称、头像等。但是,这里的“提供”也来自对数据主体活动的观察。为了充分实现该权利的价值,基于用户活动所产生的数据,如由智能电表或其他类型的连接物处理的原始数据、活动日志、网站使用历史或搜索活动等也应当属于数据主体“提供”的数据。这就扩大了数据可携带权的客体范围。欧盟委员会在一封函件中表明,他们担心欧盟WP29的指南可能超出立法者在立法过程中商定的范围。从这里可以看出,欧盟委员会认为欧盟WP29对数据可携带权客体的解释过于宽泛。但是欧盟WP29在2017年4月发布的新版数据可携带权指南中,依然保留了原来的观点,即包括了直接数据和观测数据。
在欧盟之外,亦有多个国家和地区将观测数据作为个人信息可携带权的客体。在英国信息专员办公室发布的GDPR指南中,将搜索记录、浏览记录、位置记录等数据作为可以转移的个人信息。早在2019年,新加坡个人数据保护委员会在考虑是否引入欧盟的数据可携带权时就认为可转移的数据包括两种类型:①用户提供的数据;②用户在使用产品或服务过程中所产生的数据。对于用户提供的数据,包括用户自行填写的个人基本信息、联系信息、个人偏好、人脸识别信息等。不仅如此,还包括了用户通过第三方主体向个人信息处理者提供的个人信息,例如,用户在登录某些应用程序时,会授权支付宝或微信平台相关账号信息,这些信息即属于用户通过第三方主体向个人信息处理者提供的个人信息。而用户在使用产品或服务过程中所产生的数据则包括了购买记录、搜索历史、位置数据、通话记录、通过智能手环等设备的使用所产生的走路步数、心率、睡眠时间等数据。由此可见,对于多数国家和地区的立法者而言,观测数据反映了个人的身份特征,构成个人提供给个人信息处理者的数据,应当将其作为个人信息可携带权的客体。
第三,将观测数据排除在个人信息可携带权客体范围之外的做法将使大量个人信息无法转移,个人信息可携带权的社会功能将受到很大限制。个人信息的范围越来越广泛,直接数据是很小的一部分,大部分个人信息是用户在使用网络产品或服务的过程中形成的。例如,在音乐软件中,用户主动提交的个人信息主要包括电话号码、昵称、出生日期等与个人身份直接相关的信息,而浏览记录、歌单、搜索记录、点赞记录、评论记录等却是用户在长时间使用音乐软件过程中所形成的,这些数据均能够间接指向特定个人的身份,属于观测数据。如果无法将浏览记录、歌单等观测数据转移至其他音乐软件,而仅能转移用户名、电话号码、昵称等个人主动提交的个人信息,那么用户无异于重新注册了其他产品和服务,其他个人信息处理者对于新用户的了解将非常有限,新用户也难以获得更加个性化的产品或服务,这显然不符合个人信息可携带权的立法目的。
综上所述,观测数据客观记录了个人的使用行为,反映了个人的身份特征,个人应当对其享有自主决定的权利。因此,应当将观测数据作为个人信息可携带权的客体。
四、非个人信息可携带权客体的数据类型:衍生数据和匿名数据
在明确个人信息可携带权客体的数据类型后,我们还需要对理论和实践中存在较大争议的数据进行分析,明确哪些数据应当被排除在个人信息可携带权客体范围之外,从而便于个人信息可携带权的行使。非个人信息可携带权客体的数据类型包括两类,即衍生数据和匿名数据。
(一)衍生数据
1.衍生数据构成个人信息
在个人信息保护法学理论中,一般认为衍生数据是与原始数据相对的概念。衍生数据在我国司法实践中亦有相关界定。例如,在浙江淘宝网络有限公司与杜某、邱某某等网络侵权责任纠纷案中,法院认为,数据不仅包括原生数据,也包括这些数据被记录、储存、编辑、计算后形成的具有使用价值的衍生数据,淘宝网评价系统即在此列。衍生数据与原始数据最大的不同在于,它融入了个人信息处理者的加工活动,是在原始数据的基础上进行的提炼和深度加工,具有较大的商业价值。关于衍生数据的法律性质,不同学者间存在认识上的分歧。一些学者认为,衍生数据虽然源于原始数据,但经过脱敏等技术,其与特定个人之间不具有关联性,不构成个人信息。另一些学者则认为衍生数据构成个人信息。
在比较法上,欧盟GDPR序言(35)虽然没有明确使用衍生数据的表述,但是其规定,有关健康的个人数据应包括与数据主体的健康状况有关的所有数据,这些数据揭示了与数据主体过去、现在或将来的身体或精神健康状况有关的信息。个人数据包括了从身体部位或身体物质的测试或检查中获得的信息,包括从遗传数据和生物样本中获得的信息。这意味着从数据主体身体样本中分析推断出的数据也可能构成个人数据。欧盟WP29发布的指南亦认为,衍生数据构成个人数据。英国信息专员办公室虽然没有明确将衍生数据视为个人数据,但是亦没有完全排除衍生数据作为个人数据的可能。《新加坡个人数据保护法修正案(2020)》使用了“衍生的个人数据”(derived personal data)概念,其是指一个组织在业务过程中从该组织拥有或控制的关于该个人或另一个人的其他个人数据中得出的有关个人的数据,但不包括组织使用任何规定的手段或方法得出的个人数据。《美国数据隐私和保护法(草案)》对受保护的数据进行了定义,“涵盖数据”(covered data)是指能识别或与一个人或一个设备相联系或可合理联系的信息,这些信息能识别或与一个或多个人相联系或可合理联系,包括衍生数据和独特的标识符,但其不包括去标识化的数据(de-identified data)、雇员数据(employee data)、公开可获取的信息(publicly available information)。衍生数据(derived data)是指通过事实、证据或关于个人或设备的另一个信息或数据来源而衍生出的信息、数据、假设或结论的涵盖数据。由此可见,在美国立法者看来,衍生数据并不等同于匿名数据或去标识化的数据,其具有可识别性,因而构成个人信息。
对于衍生数据的法律性质,我们不能简单地认为其构成或者不构成个人信息,而是要结合具体的场景来进行认定。原始数据通常是指与个人的行为相关的数据,比如消费记录、浏览记录等,这些数据客观记录了消费者的行为习惯和偏好,能够被用来识别到特定的个人。因此,衍生数据源于对个人信息的深度加工处理,虽然其不具有对自然人的直接识别性,但是却可以通过结合其他数据而间接识别到特定个人,因此可以构成个人信息。只是这种识别呈现出动态性和场景性特点,如果个人信息处理者采取将衍生数据与原始数据相分离的存储方式,那么仅仅依靠衍生数据,我们就无法获知具体个人的身份特征,但是这并不意味着衍生数据就因此失去其社会价值。事实上,对于广告主而言,有时候其并不需要精确了解每一个消费者的身份特征,而仅仅需要了解该地区消费者的普遍消费倾向。例如,在不同的城市,机场广告就不同。对于深圳等科技创新较为活跃的城市,机场广告以互联网、大数据、云计算等科技类的广告为主,但是对于桂林等旅游城市而言,机场广告则以风景名胜、特产等文旅类广告为主。因此,衍生数据具有独立的社会价值,它可以在结合其他数据后识别到特定个人并成为个人信息。
2.衍生数据不宜作为个人信息可携带权的客体
衍生数据虽然可以构成个人信息,但它是由原始数据加工分析而来,是个人信息处理者投入了大量劳动所形成的,其价值主要来源于个人信息处理者的贡献,承载了个人信息处理者的合法权益,因而不宜作为个人信息可携带权的客体,主要理由如下。
第一,衍生数据并非由个人主动提供,它的生成主要源于个人信息处理者的劳动,个人信息处理者对其生成作出了主要贡献。个人信息的转移以个人向个人信息处理者提供其个人信息为前提,也就是说这些个人信息应当直接来源于个人,既可以是个人主动提交的个人信息,也可以是基于个人的使用行为而形成的个人信息。但是,对于衍生数据,其并非个人主动提供给个人信息处理者的个人信息,而是个人信息处理者在个人提供的个人信息基础上,通过数据分析处理后形成,例如用户消费倾向、心理特征、兴趣偏好、信用风险评分等,这些数据的产生融入了个人信息处理者的诚实劳动,其意在为用户提供更加个性化的产品和服务。直接数据和观测数据反映了个人的身份特征,衍生数据反映的则是个人信息处理者对个人偏好的理解。基于不同的算法模型,个人信息处理者对同一个人偏好的推断结果并不相同,比如用户在网易云音乐和QQ音乐软件中播放相同的歌曲和相同的次数,第二天收到的推荐歌单却并不相同。此外,由于不同个人信息处理者所掌握的数据量和类型不同,也会导致不同的推断结果。这些数据对于个人信息处理者而言具有重要的商业价值,是其向用户提供个性化服务的基础。这些数据承载了个人信息处理者的市场竞争利益,不宜由个人直接控制。
衍生数据是个人信息处理者投入大量技术、资本、劳动力等成本而形成的数据,是其维持市场竞争力的重要筹码。目前,我国《民法典》并未明确规定数据权。在司法实践中,与衍生数据相关的民事纠纷更多通过反不正当竞争法来解决。但这种保护方式存在较大的不确定性,“难以防止非竞争者对衍生数据的侵害”,因此,反不正当竞争法的保护只是权宜之计,当衍生数据可以获得独立的保护时,反不正当竞争法的使命也将结束。尽管学界对于衍生数据的保护路径存在分歧,但多数学者主张通过赋权方式来强化对衍生数据的保护。因此,衍生数据体现了个人信息处理者的劳动和贡献,是其竞争利益的重要体现,故而不宜将其纳入可以转移的数据类型,否则将导致其他市场主体以非常低的成本获取衍生数据,通过解构这些衍生数据,其他市场主体甚至可以反向推出个人信息处理者的算法逻辑,侵犯企业的知识产权,不利于市场的公平竞争。
第二,多数国家和地区的立法将衍生数据排除在个人信息可携带权客体范围之外。例如,欧盟WP29认为,衍生数据不符合“由数据主体提供”(data provided by the data subject)这一要件,因而不属于可以转移的对象。英国信息专员办公室认为,衍生数据不属于可以转移的对象,但是如果数据主体请求访问衍生数据,由于其构成个人数据,建议数据控制者将此数据提供给数据主体。这表明,英国原则上将衍生数据排除在个人信息可携带权客体范围之外,只是建议数据控制者满足个人获取相关数据的请求。在《新加坡个人数据保护法修正案(2020)》中,可以转移的对象被定义为“可适用数据”(applicable data),指转移组织拥有或控制的任何个人数据,或被定义为可适用的数据的某类个人数据。这一概念较为抽象,该法的附则部分规定了可适用数据的例外情形,其中就包括了“衍生的个人数据”(derived personal data),其是指一个组织在业务过程中从该组织拥有或控制的关于该个人或另一个人的其他个人数据中得出的有关个人的数据,但不包括组织使用任何规定的手段或方法得出的个人数据。由此可见,新加坡明确排除了衍生数据的可转移性。
从域外立法规定可以看到,多数国家和地区将直接数据和观测数据作为个人信息可携带权的客体。这表明,可以转移的数据在本质上来源于个人,它既可以是个人主动提交给个人信息处理者的个人信息,也可以是个人的行为记录,因为这些行为记录是个人使用产品或服务的真实反映,它被客观记录在个人信息处理者处,并没有掺杂个人信息处理者的分析推测等活动,是有关个人的数据。根据贡献度标准,个人应当对这些数据享有控制力,不因其产生的具体方式差异而有所不同。但是在衍生数据的转移问题上,持否定态度的法域较多,这也表明,在个人和个人信息处理者之间的利益衡量问题上,立法者多认为个人信息处理者对衍生数据的生成贡献较大,因而应当保护其合法的竞争权益。为进一步明确可以转移的数据类型并使该权利的行使更具可操作性,新加坡个人数据保护委员会建议,为了降低企业的合规成本和法律的确定性,可以通过与相关企业沟通来确定一个可以转移的白名单。这种做法值得赞同,相较于直接在立法中模糊地规定个人信息可携带权的客体,白名单方式不仅具有较大的灵活性,而且也更加贴合产业实践,有利于合理确立个人信息可携带权的边界。
(二)匿名数据
我国《个人信息保护法》并未对匿名数据的概念进行界定,但是第73条对匿名化进行了规定。根据这一规定,个人信息经过匿名化处理就无法再识别到特定自然人且不能复原,所形成的数据不受《个人信息保护法》约束。目前,全球多个国家和地区的个人信息保护法明确将匿名数据排除在保护范围之外,主要原因在于这类数据并不能用来识别到特定个人,对匿名数据的处理不会对个人人格利益造成损害,因而应当允许其自由流通。我国《个人信息保护法》第4条第1款以及《网络安全法》第42条第1款均将匿名数据排除在规制范围之外。匿名数据不同于假名数据(pseudonymised data),后者是指“以非真实身份存在的,并且在没有其他数据进行相互印证的情况下,无法识别出自然人真实身份的个人信息”。欧盟WP29特意强调,匿名数据由于无法识别到特定个人的身份,因而不属于数据可携带权的客体。但是假名数据构成个人数据,可以成为数据可携带权的客体。由此可见,匿名数据因不具有可识别性而不构成个人信息,因而不属于个人信息可携带权的客体。
退一步讲,即使从匿名数据产生过程中各方主体的贡献度来看,匿名数据亦不构成个人信息可携带权的客体。原因在于,匿名数据的产生往往需要个人信息处理者投入大量的技术成本,使个人信息无法再识别到特定自然人且不能复原,从而达到法律上的匿名效果。在这个过程中,个人并未对匿名数据的形成作出实质性贡献。因而,以贡献度标准来衡量,亦可以明确将匿名数据排除在个人信息可携带权客体范围之外。
为避免实践中一些个人信息处理者以匿名数据不构成个人信息可携带权的客体为由拒绝个人行使权利,有必要对匿名数据予以界定,以明晰其边界,从而更好地保障个人信息可携带权的行使。一些去标识化的数据看似难以识别到特定个人,但其只是增加了识别的难度,并未达到法律上的匿名效果,在性质上仍构成个人信息。
此外,还需注意个人信息与匿名数据相互转化的问题。一方面,个人信息在一定条件下可以转化为匿名数据。产业实践中,一些企业为了保护用户隐私或者规避法律义务,往往会通过差分隐私等技术来降低个人信息的可识别性,这些被去识别化的数据就可能构成匿名数据。另一方面,一些看似具有匿名性的数据可能在结合其他数据之后再度识别到特定个人,从而构成个人信息。随着越来越多匿名化技术处理后的数据被用来再度识别到特定个人而成为个人信息,个人信息的外延也将处于不断扩张状态,加之个人信息概念界定本身的场景性和动态性,使得几乎一切信息都可能构成个人信息。越来越多看似与个人无关的信息在司法案件中被界定为个人信息,例如静态IP地址、动态IP地址、答题纸等。在智慧城市项目中,如果天气数据被用于分析预测犯罪行为,那么其也可能构成个人信息。在不久的将来,几乎所有内容都包含或将包含个人信息,个人信息保护规则将适用于所有内容。
匿名数据与个人信息之间的动态转化使得可以转移的数据类型逐渐增多。这一趋势既是个人信息外延扩张的必然结果,也有利于个人对其个人信息的控制。对于匿名数据的认定,欧盟WP29要求数据控制者评估匿名技术的坚固性(robustness),并在其意见中给出了三个具体判定标准:①是否仍有可能挑出(single out)某个人;②是否仍有可能将一个人与记录相连接;③有关个人的信息是否可被推测出。需要指出的是,使用此种判定并非是一劳永逸的,即使被认为是安全的技术,也要定期评估残余风险(residual risks),如果评估结果牵涉“一项有关数据主体身份识别不可接受的风险”,那么即便采取了匿名技术,对此类数据的处理仍应受到GDPR的约束。此种观点值得赞同,通过强化对匿名数据再度识别到特定个人的风险评估,可以避免个人信息处理者以简单的匿名处理为由拒绝个人转移其个人信息的请求。例如,对于观测数据,企业基于安全考虑,可能采取哈希运算,但这种技术处理后的数据为假名数据,其仍构成个人信息,企业不得以此为由拒绝履行个人信息转移义务。
结 语
个人信息保护法的一个核心问题就是个人信息权益保护与个人信息合理利用之间的平衡,个人信息可携带权客体的界定即是这一问题的具体体现。对于个人信息处理者持有的特定数据,个人和个人信息处理者投入的劳动比例不同,贡献度也有所不同,其是否可以转移应当取决于不同主体对形成该数据的贡献,基于此来分配不同主体的控制利益。个人信息可携带权的客体应当以贡献度为标准进行界分,可以转移的数据类型包括直接数据和观测数据,而匿名数据和衍生数据则不宜作为个人信息可携带权的客体。通过这种制度设计,能够有效实现个人与个人信息处理者之间的利益平衡。
(原文刊载于《地方立法研究》2024年第3期)
《数字法治》专题由上海市法学会数字法学研究会特约供稿,专题统筹:秦前松。
