本文节选自《用户画像、个性化推荐与个人信息保护》,载《环球法律评论》2019年第5期。
【作者简介】 丁晓东,中国人民大学法学院副教授、博士生导师,未来法治研究院副院长。
全文共4026字,阅读时间约10分钟。
近期,全国人大法工委公布了《个人信息保护法(草案)》,将个人信息定义为:“以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息。不包括匿名化处理的信息。” 这一草案汲取欧美等国家和地区的智慧,综合“识别说”与“关联说”,反映了我国立法机关的智慧。但在未来的执法与司法解释中,个人信息的概念与界定仍将面临挑战。因为大量的信息是匿名化用户的行为信息。这类信息是否属于个人信息,以及采取何种法律规制框架,仍然需要法学学术与法律实践进一步研究与探索。
随着网络技术与信息技术的高速发展,用户画像与个性化推荐已经越来越普遍。在商业领域,越来越多的企业开始收集个人的浏览记录、购买记录、交易方式等信息,依据这些信息来分析用户行为,对网络用户进行用户画像和精准营销。如果说早期的互联网是“人找信息”,那么随着用户画像与个性化推荐的普遍化,如今的互联网开始越来越多地迈向“信息找人”的阶段。
网络经济中普遍存在的用户画像与个性化推荐促进了互联网经济的发展,在很多情形下,用户画像与个性化推荐使得商家可以更为精准地投放广告,避免了无效广告;同时,用户画像与个性化推荐也使得消费者可以获取更为有效的商品信息,可以更为快捷有效地获取自己希望购买产品的信息。例如,电商网站常常根据消费者的消费记录推荐相关产品,很多消费者常常能在这些推荐的产品中找到自己希望购买的商品。
网络经济的用户画像与个性化推荐也对用户相关权益的保护提出了挑战。很多专家指出,个人消费行为信息属于个人信息的范畴,在未经个体明确同意与授权的情形下,对于此类个人信息的收集与利用侵犯了用户的相关隐私权益。早在2013年,一位百度用户就已经据此提起诉讼。在使用 “减肥”“丰胸”等关键词在百度网站上进行搜索后,当她在登陆其他网站时,这些网站都出现了与“减肥”“丰胸”等相关的广告。这位用户因此向法院提起诉讼,认为百度公司未经其同意,收集和保存自己的搜索记录并根据这些记录与信息投放广告,对她的生活造成了困扰。
在国外,对于用户画像与个性化推荐也存在争议。在美国,对于网络用户的消费行为信息是否属于个人信息,一直存在不同的观点。在有的企业看来,用户的消费习惯信息不属于个人信息,因为不能根据此类信息来识别特定的个体。而且,企业在收集了此类信息后,一般会将此类信息进行匿名化处理。但在其他人看来,此类信息属于个人信息,因为此类信息本身就是对个人的识别,而且结合其他信息,此类信息甚至可以经常定位到具体的个体。
用户画像与匿名化的用户行为信息之所以成为争议点,这与个人信息的概念有关。全球的信息隐私法或数据隐私法的框架都以个人信息为核心,当某类信息属于个人信息时,对其的收集与处理就受法律的保护;相反,当某类信息不属于个人信息时,对其的收集与处理就不受法律保护。① 但现实表明,个人信息与非个人信息的界限并非如想象的那样清晰,同时,这一二元划分的框架存在着一定的问题。
就个人信息与非个人信息的界分来说,个人信息的范围常常会随着时代与科技的变化而变化。在信息隐私法发展之初的二十世纪六、七十年代,个人信息的范围曾经相对确定。在那个时期,政府或企业主要收集的是个人的档案类信息,即个人的姓名、肖像、地址等能够直接识别个人的信息。对于公民个人的行为信息,例如个人在商场中的购物习惯、消费偏好,政府或企业并没有大规模收集,也并未将它们纳入个人信息的范畴。但随着时代的变迁、网络与信息技术的发展,对于公民行为信息的收集变得越来越多,越来越普遍,和公民个体相关的公开信息也越来越多。而悖论的是,信息越多,成为个人信息的信息种类也越多。因为信息越多,就越可能通过信息的分析与交叉比对而识别具体个人。有的学者甚至认为,随着整个社会的信息以指数级别的速度增长,未来可能所有或大部分信息都会变成个人信息,很多之前被认为与个人无关的信息,都可能和其他信息建立相关性,指向一个特定的个体。②
在这种背景下,以个人信息/非个人信息的二元划分来设计相关法律与制度,就可能存在问题。就像上文的反对意见与支持意见所指出的,一旦此类个人信息被列入个人信息,就可能导致企业匿名化信息动力不足、不能合理利用个人信息、法律保护资源分配不合理等问题,而一旦此类信息不被列入个人信息,又可能导致个人信息保护力度不够、用户知情权丧失、寒蝉效应等问题。
在本文看来,较为合理的解决方案是隐私法权威学者保罗·施瓦茨(Paul Schwartz)与丹尼尔·索洛夫(Daniel Solove)所提出的“个人信息2.0”的概念。在《个人信息问题:隐私与新的可识别个人信息概念》一文中,③ 两位学者首先指出了个人信息与非个人信息边界的模糊化,指出个人信息的范围常常会随着科技的变化而变化,因为场景变化而变化,因而以个人信息为基础保护公民的相关隐私权益,常常会面临上文所提到的种种问题。④ 但二位学者同时指出,如果彻底放弃个人信息的概念,完全通过成本-收益与风险预防的进路来保护个人信息,又可能造成整个信息隐私法框架的重构,无论是监管机构还是个人信息的收集者与处理者,可能都会面临无所适从的困境。⑤ 二位学者提出,替代方案是设计一个“个人可识别信息2.0”的分类,并根据这种新的分类适用不同的规则。
具体来说,二位学者认为可以将可识别个人信息分为三类:已识别个人的信息(identified information)、可识别个人的信息(identifiable information)、不可识别个人的信息(non-identifiable information)。已识别个人的信息是指已经确定能从人群中识别出某个人的信息;可识别个人的信息是指可能根据这些信息或结合其他信息而识别某个人的信息;不可识别的信息则是不可能识别到某个人的信息。⑥ 二位学者认为,对于已识别个人的信息,应当要求信息的收集者与处理者严格遵守相关信息隐私法所规定的一系列责任,不允许有例外;而对于可识别个人信息,则应当根据可识别个人信息可能带来的风险,对信息收集者与处理者施加不同程度的责任。⑦
以信息隐私法的基石“公平信息实践” (Fair Information Practices)为例,二位学者认为,如果相关信息属于已识别个人信息,那么个体应当有一系列完整的信息权利,信息收集者与处理者应当承担一系列责任:第一,个人信息使用限制;第二,个人信息收集限制;第三,个人信息披露限制;第四,个人信息质量原则;第五,个人的被通知权,访问权和更正权;第六,透明性;第七,个人信息安全保护。⑧ 但如果相关信息属于可识别的个人信息,那么信息收集者与处理者应当承担公平信息实践中的部分责任,例如第四点的保障个人信息质量安全的责任、第六点的透明性责任和第七点的个人信息安全保护责任。而对于有的责任,例如第五点中用户的被通知权、访问权与更正权,则不应当作为信息收集者与处理者的责任。
对于责任要求,二位学者给出的理由是,个人可识别信息首先可能给个人带来风险,因此,对个人可识别信息的收集与使用不能放任自流,必须要求信息的收集者与处理者承担个人信息质量保证与个人信息安全保护的责任。个人可识别信息的收集者与处理者应当评估被收集信息的潜在风险,建立起一套“跟踪-审查”的模型,对信息收集、储存、处理与流转建立全流程跟踪与保障的机制。⑨ 其次,二位学者指出,透明性的责任有利于加强消费者、信息收集者与处理者的个人信息保护意识,同时赋予消费者以一定的选择权。
对于豁免的责任,二位学者给出的理由是,赋予个体以被通知权、访问权、更正权等权利首先会造成用户隐私泄露的风险。为了保障个体的此类权利,信息的收集者与处理者必须在个人与相关信息之间建立直接联系,以确保个体能够行使此类权利。但悖论的是,这种直接联系反而会造成个体被直接识别,从而对个体的信息隐私造成直接威胁。此外,由于此类信息并不能直接识别个体,为了满足此类权利要求,信息的收集者与处理者也需要付出较大的成本与努力,这与此类信息可能带来的风险并不相称。?
总之,施瓦茨与索洛夫给出了较为中道的解决方案。这一解决方案既没有采取美国较为狭隘的个人信息定义,将匿名化的行为信息等信息排除在个人信息的范围之外,也没有采取欧洲较为宽泛的个人信息定义,将匿名化的行为信息和其他已识别个人的信息同等对待。施瓦茨与索洛夫将可识别个人信息视为一个单独类型的个人信息种类,并且提出了区别于已识别个人信息的特殊规制方式。
1. 一个非常典型的例子是欧盟对于个人信息与非个人信息的立法。对于个人信息,欧盟形成了以《条例》为代表的法律规制,但对于非个人信息,欧盟则形成了以《非个人数据自由流动框架条例》为代表的法律规制。前者以严格保护为基本原则,后者则以自由流动为基本原则。参见姚佳:《非个人数据自由流动条例》能振兴欧洲数字经济吗?http://www.sohu.com/a/329568872_257489,最近访问时间 [2019-01-2]。
2. See Nadezhda Purtova, “The Law of Everything. Broad Concept of Personal Data and Future of EU Data Protection Law”, 10 Law, Innovation and Technology 1(2018).
3. See Paul Schwartz & Dan Solove, “The PII Problem: Privacy and a New Concept of Personally Identifiable Information”, 86 N.Y.U. L.Q. Rev. 1814 (2011).
4. See Paul Schwartz & Dan Solove, “The PII Problem: Privacy and a New Concept of Personally Identifiable Information”, 86 N.Y.U. L.Q. Rev. 1814, 1836-1848 (2011).
5. See Paul Schwartz & Dan Solove, “The PII Problem: Privacy and a New Concept of Personally Identifiable Information”, 86 N.Y.U. L.Q. Rev. 1814, 1865-1870 (2011).
6. See Paul Schwartz & Dan Solove, “The PII Problem: Privacy and a New Concept of Personally Identifiable Information”, 86 N.Y.U. L.Q. Rev. 1814, 1877 (2011).
7. See Paul Schwartz & Dan Solove, “The PII Problem: Privacy and a New Concept of Personally Identifiable Information”, 86 N.Y.U. L.Q. Rev. 1814, 1880 (2011).
8. See Daniel J. Solove & Paul M. Schwartz, Information Privacy Law, 3d ed., (Wolters Kluwer, 2009), p.907.
9. See Paul Schwartz & Dan Solove, “The PII Problem: Privacy and a New Concept of Personally Identifiable Information”, 86 N.Y.U. L.Q. Rev. 1814, 1883 (2011).
10. See Paul Schwartz & Dan Solove, “The PII Problem: Privacy and a New Concept of Personally Identifiable Information”, 86 N.Y.U. L.Q. Rev. 1814, 1882 (2011).
11. See Paul Schwartz & Dan Solove, “The PII Problem: Privacy and a New Concept of Personally Identifiable Information”, 86 N.Y.U. L.Q. Rev. 1814, 1880 (2011).