本文節(jié)選自《用戶畫像、個性化推薦與個人信息保護》,載《環(huán)球法律評論》2019年第5期。
【作者簡介】 丁曉東,中國人民大學法學院副教授、博士生導(dǎo)師,未來法治研究院副院長。
全文共4026字,閱讀時間約10分鐘。
近期,全國人大法工委公布了《個人信息保護法(草案)》,將個人信息定義為:“以電子或者其他方式記錄的與已識別或者可識別的自然人有關(guān)的各種信息。不包括匿名化處理的信息。” 這一草案汲取歐美等國家和地區(qū)的智慧,綜合“識別說”與“關(guān)聯(lián)說”,反映了我國立法機關(guān)的智慧。但在未來的執(zhí)法與司法解釋中,個人信息的概念與界定仍將面臨挑戰(zhàn)。因為大量的信息是匿名化用戶的行為信息。這類信息是否屬于個人信息,以及采取何種法律規(guī)制框架,仍然需要法學學術(shù)與法律實踐進一步研究與探索。
隨著網(wǎng)絡(luò)技術(shù)與信息技術(shù)的高速發(fā)展,用戶畫像與個性化推薦已經(jīng)越來越普遍。在商業(yè)領(lǐng)域,越來越多的企業(yè)開始收集個人的瀏覽記錄、購買記錄、交易方式等信息,依據(jù)這些信息來分析用戶行為,對網(wǎng)絡(luò)用戶進行用戶畫像和精準營銷。如果說早期的互聯(lián)網(wǎng)是“人找信息”,那么隨著用戶畫像與個性化推薦的普遍化,如今的互聯(lián)網(wǎng)開始越來越多地邁向“信息找人”的階段。
網(wǎng)絡(luò)經(jīng)濟中普遍存在的用戶畫像與個性化推薦促進了互聯(lián)網(wǎng)經(jīng)濟的發(fā)展,在很多情形下,用戶畫像與個性化推薦使得商家可以更為精準地投放廣告,避免了無效廣告;同時,用戶畫像與個性化推薦也使得消費者可以獲取更為有效的商品信息,可以更為快捷有效地獲取自己希望購買產(chǎn)品的信息。例如,電商網(wǎng)站常常根據(jù)消費者的消費記錄推薦相關(guān)產(chǎn)品,很多消費者常常能在這些推薦的產(chǎn)品中找到自己希望購買的商品。
網(wǎng)絡(luò)經(jīng)濟的用戶畫像與個性化推薦也對用戶相關(guān)權(quán)益的保護提出了挑戰(zhàn)。很多專家指出,個人消費行為信息屬于個人信息的范疇,在未經(jīng)個體明確同意與授權(quán)的情形下,對于此類個人信息的收集與利用侵犯了用戶的相關(guān)隱私權(quán)益。早在2013年,一位百度用戶就已經(jīng)據(jù)此提起訴訟。在使用 “減肥”“豐胸”等關(guān)鍵詞在百度網(wǎng)站上進行搜索后,當她在登陸其他網(wǎng)站時,這些網(wǎng)站都出現(xiàn)了與“減肥”“豐胸”等相關(guān)的廣告。這位用戶因此向法院提起訴訟,認為百度公司未經(jīng)其同意,收集和保存自己的搜索記錄并根據(jù)這些記錄與信息投放廣告,對她的生活造成了困擾。
在國外,對于用戶畫像與個性化推薦也存在爭議。在美國,對于網(wǎng)絡(luò)用戶的消費行為信息是否屬于個人信息,一直存在不同的觀點。在有的企業(yè)看來,用戶的消費習慣信息不屬于個人信息,因為不能根據(jù)此類信息來識別特定的個體。而且,企業(yè)在收集了此類信息后,一般會將此類信息進行匿名化處理。但在其他人看來,此類信息屬于個人信息,因為此類信息本身就是對個人的識別,而且結(jié)合其他信息,此類信息甚至可以經(jīng)常定位到具體的個體。
用戶畫像與匿名化的用戶行為信息之所以成為爭議點,這與個人信息的概念有關(guān)。全球的信息隱私法或數(shù)據(jù)隱私法的框架都以個人信息為核心,當某類信息屬于個人信息時,對其的收集與處理就受法律的保護;相反,當某類信息不屬于個人信息時,對其的收集與處理就不受法律保護。① 但現(xiàn)實表明,個人信息與非個人信息的界限并非如想象的那樣清晰,同時,這一二元劃分的框架存在著一定的問題。
就個人信息與非個人信息的界分來說,個人信息的范圍常常會隨著時代與科技的變化而變化。在信息隱私法發(fā)展之初的二十世紀六、七十年代,個人信息的范圍曾經(jīng)相對確定。在那個時期,政府或企業(yè)主要收集的是個人的檔案類信息,即個人的姓名、肖像、地址等能夠直接識別個人的信息。對于公民個人的行為信息,例如個人在商場中的購物習慣、消費偏好,政府或企業(yè)并沒有大規(guī)模收集,也并未將它們納入個人信息的范疇。但隨著時代的變遷、網(wǎng)絡(luò)與信息技術(shù)的發(fā)展,對于公民行為信息的收集變得越來越多,越來越普遍,和公民個體相關(guān)的公開信息也越來越多。而悖論的是,信息越多,成為個人信息的信息種類也越多。因為信息越多,就越可能通過信息的分析與交叉比對而識別具體個人。有的學者甚至認為,隨著整個社會的信息以指數(shù)級別的速度增長,未來可能所有或大部分信息都會變成個人信息,很多之前被認為與個人無關(guān)的信息,都可能和其他信息建立相關(guān)性,指向一個特定的個體。②
在這種背景下,以個人信息/非個人信息的二元劃分來設(shè)計相關(guān)法律與制度,就可能存在問題。就像上文的反對意見與支持意見所指出的,一旦此類個人信息被列入個人信息,就可能導(dǎo)致企業(yè)匿名化信息動力不足、不能合理利用個人信息、法律保護資源分配不合理等問題,而一旦此類信息不被列入個人信息,又可能導(dǎo)致個人信息保護力度不夠、用戶知情權(quán)喪失、寒蟬效應(yīng)等問題。
在本文看來,較為合理的解決方案是隱私法權(quán)威學者保羅·施瓦茨(Paul Schwartz)與丹尼爾·索洛夫(Daniel Solove)所提出的“個人信息2.0”的概念。在《個人信息問題:隱私與新的可識別個人信息概念》一文中,③ 兩位學者首先指出了個人信息與非個人信息邊界的模糊化,指出個人信息的范圍常常會隨著科技的變化而變化,因為場景變化而變化,因而以個人信息為基礎(chǔ)保護公民的相關(guān)隱私權(quán)益,常常會面臨上文所提到的種種問題。④ 但二位學者同時指出,如果徹底放棄個人信息的概念,完全通過成本-收益與風險預(yù)防的進路來保護個人信息,又可能造成整個信息隱私法框架的重構(gòu),無論是監(jiān)管機構(gòu)還是個人信息的收集者與處理者,可能都會面臨無所適從的困境。⑤ 二位學者提出,替代方案是設(shè)計一個“個人可識別信息2.0”的分類,并根據(jù)這種新的分類適用不同的規(guī)則。
具體來說,二位學者認為可以將可識別個人信息分為三類:已識別個人的信息(identified information)、可識別個人的信息(identifiable information)、不可識別個人的信息(non-identifiable information)。已識別個人的信息是指已經(jīng)確定能從人群中識別出某個人的信息;可識別個人的信息是指可能根據(jù)這些信息或結(jié)合其他信息而識別某個人的信息;不可識別的信息則是不可能識別到某個人的信息。⑥ 二位學者認為,對于已識別個人的信息,應(yīng)當要求信息的收集者與處理者嚴格遵守相關(guān)信息隱私法所規(guī)定的一系列責任,不允許有例外;而對于可識別個人信息,則應(yīng)當根據(jù)可識別個人信息可能帶來的風險,對信息收集者與處理者施加不同程度的責任。⑦
以信息隱私法的基石“公平信息實踐” (Fair Information Practices)為例,二位學者認為,如果相關(guān)信息屬于已識別個人信息,那么個體應(yīng)當有一系列完整的信息權(quán)利,信息收集者與處理者應(yīng)當承擔一系列責任:第一,個人信息使用限制;第二,個人信息收集限制;第三,個人信息披露限制;第四,個人信息質(zhì)量原則;第五,個人的被通知權(quán),訪問權(quán)和更正權(quán);第六,透明性;第七,個人信息安全保護。⑧ 但如果相關(guān)信息屬于可識別的個人信息,那么信息收集者與處理者應(yīng)當承擔公平信息實踐中的部分責任,例如第四點的保障個人信息質(zhì)量安全的責任、第六點的透明性責任和第七點的個人信息安全保護責任。而對于有的責任,例如第五點中用戶的被通知權(quán)、訪問權(quán)與更正權(quán),則不應(yīng)當作為信息收集者與處理者的責任。
對于責任要求,二位學者給出的理由是,個人可識別信息首先可能給個人帶來風險,因此,對個人可識別信息的收集與使用不能放任自流,必須要求信息的收集者與處理者承擔個人信息質(zhì)量保證與個人信息安全保護的責任。個人可識別信息的收集者與處理者應(yīng)當評估被收集信息的潛在風險,建立起一套“跟蹤-審查”的模型,對信息收集、儲存、處理與流轉(zhuǎn)建立全流程跟蹤與保障的機制。⑨ 其次,二位學者指出,透明性的責任有利于加強消費者、信息收集者與處理者的個人信息保護意識,同時賦予消費者以一定的選擇權(quán)。
對于豁免的責任,二位學者給出的理由是,賦予個體以被通知權(quán)、訪問權(quán)、更正權(quán)等權(quán)利首先會造成用戶隱私泄露的風險。為了保障個體的此類權(quán)利,信息的收集者與處理者必須在個人與相關(guān)信息之間建立直接聯(lián)系,以確保個體能夠行使此類權(quán)利。但悖論的是,這種直接聯(lián)系反而會造成個體被直接識別,從而對個體的信息隱私造成直接威脅。此外,由于此類信息并不能直接識別個體,為了滿足此類權(quán)利要求,信息的收集者與處理者也需要付出較大的成本與努力,這與此類信息可能帶來的風險并不相稱。?
總之,施瓦茨與索洛夫給出了較為中道的解決方案。這一解決方案既沒有采取美國較為狹隘的個人信息定義,將匿名化的行為信息等信息排除在個人信息的范圍之外,也沒有采取歐洲較為寬泛的個人信息定義,將匿名化的行為信息和其他已識別個人的信息同等對待。施瓦茨與索洛夫?qū)⒖勺R別個人信息視為一個單獨類型的個人信息種類,并且提出了區(qū)別于已識別個人信息的特殊規(guī)制方式。
1. 一個非常典型的例子是歐盟對于個人信息與非個人信息的立法。對于個人信息,歐盟形成了以《條例》為代表的法律規(guī)制,但對于非個人信息,歐盟則形成了以《非個人數(shù)據(jù)自由流動框架條例》為代表的法律規(guī)制。前者以嚴格保護為基本原則,后者則以自由流動為基本原則。參見姚佳:《非個人數(shù)據(jù)自由流動條例》能振興歐洲數(shù)字經(jīng)濟嗎?http://www.sohu.com/a/329568872_257489,最近訪問時間 [2019-01-2]。
2. See Nadezhda Purtova, “The Law of Everything. Broad Concept of Personal Data and Future of EU Data Protection Law”, 10 Law, Innovation and Technology 1(2018).
3. See Paul Schwartz & Dan Solove, “The PII Problem: Privacy and a New Concept of Personally Identifiable Information”, 86 N.Y.U. L.Q. Rev. 1814 (2011).
4. See Paul Schwartz & Dan Solove, “The PII Problem: Privacy and a New Concept of Personally Identifiable Information”, 86 N.Y.U. L.Q. Rev. 1814, 1836-1848 (2011).
5. See Paul Schwartz & Dan Solove, “The PII Problem: Privacy and a New Concept of Personally Identifiable Information”, 86 N.Y.U. L.Q. Rev. 1814, 1865-1870 (2011).
6. See Paul Schwartz & Dan Solove, “The PII Problem: Privacy and a New Concept of Personally Identifiable Information”, 86 N.Y.U. L.Q. Rev. 1814, 1877 (2011).
7. See Paul Schwartz & Dan Solove, “The PII Problem: Privacy and a New Concept of Personally Identifiable Information”, 86 N.Y.U. L.Q. Rev. 1814, 1880 (2011).
8. See Daniel J. Solove & Paul M. Schwartz, Information Privacy Law, 3d ed., (Wolters Kluwer, 2009), p.907.
9. See Paul Schwartz & Dan Solove, “The PII Problem: Privacy and a New Concept of Personally Identifiable Information”, 86 N.Y.U. L.Q. Rev. 1814, 1883 (2011).
10. See Paul Schwartz & Dan Solove, “The PII Problem: Privacy and a New Concept of Personally Identifiable Information”, 86 N.Y.U. L.Q. Rev. 1814, 1882 (2011).
11. See Paul Schwartz & Dan Solove, “The PII Problem: Privacy and a New Concept of Personally Identifiable Information”, 86 N.Y.U. L.Q. Rev. 1814, 1880 (2011).