1、2023 年第 2 期热点聚焦Spotlight论数据使用:个人信息保护与数据利用的衔接点文 /李晓阳摘要:个人信息与数据利用在法律保护的价值取向和规则设计上存在着天然的矛盾。个人信息保护法将个人信息处理作为规范对象,实际上是对数据使用行为加以规制。对数据使用的理解成为二者有效衔接的关键。解析不同时代技术背景下的数据使用后发现,其法律内涵与具体规则是相互影响变化的。相较于信息的数字化,大数据时代的数据使用以实现信息的增量和再创造为目的,呈现出新的核心特征。我国个人信息保护体系的完善,需对增量信息的数据使用行为加以判断,建议在现有规则下增加用户感知标准。作者简介:李晓阳,浙江工商大学法学院讲师,
2、西南政法大学知识产权法学博士。1.相关研究可参见龙卫球:数据新型财产权构建及其体系研究,载政法论坛2017 年第 4 期,第 164-183 页;程啸:论大数据时代的个人数据权利,载中国社会科学2018 年第 3 期,第 102-122 页;崔国斌:大数据有限排他权的基础理论,载法学研究2019 年第 5 期,第 3-24 页。2.相关研究可参见蔡培如:被遗忘权制度的反思与再建构,载清华法学2019 年第 5 期,第 168-185 页;刘文杰:被遗忘权:传统元素、新语境与利益衡量,载法学研究2018 年第 2 期,第 24-41 页。3.参见高富平:数据流通理论:数据资源权利配置的基础,载中
3、外法学第 2019 年第 6 期,第 1405-1424 页。关键词:个人信息保护;数据使用;信息增量;用户感知标准2021 年 6 月数据安全法正式颁布,同年 8 月个人信息保护法正式通过。2022 年 3 月,国务院发布政府工作报告中强调,要“完善数字经济治理,释放数据要素潜力,更好赋能经济发展、丰富人民生活”。我国正步入全面依法治理数据的新时期,一个新的数字文明时代已经开启。新时代下,作为生产要素的数据,如何在安全可控的前提下充分发挥其效用,是对我国数据治理能力的考验,也是我国建设全球数字经济新高地必须面临的挑战。“数据使用”是数据治理的难点,它联结着个体、企业与政府,承载着最广泛的数据
4、利益和最大范围的公共安全。在数据和个人信息保护的讨论中,吸引更多关注的是个人信息的权利设立,希冀以此谋求数据使用的治理之道,如数据权利的性质与分配问题、1数据保护中各主体的权利义务2,甚至是数据使用的合法性判断标准3。然而,数据使用的本身却被忽略了。究竟对482023 年第 2 期热点聚焦Spotlight数据何种程度、何种方式以及何种效果的使用,会使得这一行为落入个人信息保护框架4的规制尚不得而知。大数据时代的特殊技术背景,数据要素化的使用需求又将赋予数据使用何种新的特征?故而,本文将从数据使用的理论困惑着手,探寻数据使用的历史演进脉络,解析数据使用的核心特征,以纾解数据使用的理解与判断之难
5、。一、理解数据使用的必要性权利抑或法益,是个人信息保护的学术迷思。已有研究试图对民法典进行教义学分析的努力,但没有得出唯一解,5这部分反映出数据要素的市场化配置与传统民法权利理论体系的割裂。很多学者使用“公地悲剧”刻画信息(或数据)权利化的迫切性,但这或许不是一个恰当的比喻。数据并非土地,其高度聚合可提高解决不确定性的能力,而非削减要素的附加值,造成滥用的,是数据使用的方式,而非数据被使用的事实。为此,个人信息保护法第 44-50 条,以个人信息处理活动6为前提,以“知情同意”、删除、可携带等方式,赋予数据主体“用脚投票”的能力,以抵御不恰当的数据使用方式。数据安全法更是以“规范数据处理活动”
6、为基本出发点,要求建立自律机制,以防范数据滥用。总体上,个人信息保护法与数据安全法,分别从个人权益保护层面和宏观数据安全层面,共同为个人信息保护构建了一个基本4.由于在民法典 个人信息保护法等现行法律中对个人信息的定义均包含“电子或者其他方式记录的各种信息”,本文就不再区分个人信息与个人数据的概念。5.张新宝:个人信息保护条文研究,载中外法学2019 年第 1 期,第 66 页。6.本文提及的“数据使用”与“个人信息处理活动”基本同义,但考虑到数据安全法等相关法律法规均涉及个人信息的数据使用行为,故全文均以“数据使用”表述对个人信息进行收集、使用、加工、传输、处理等行为,而未使用个人信息保护法
7、中“个人信息处理活动”的表述。7.参见高富平:个人信息处理:我国个人信息保护法的规范对象,载法商研究2021 年第 2 期,第 73-86 页。8.程啸:论我国个人信息保护法中的个人信息处理规则,载清华法学2021 年第 3 期,第 57 页。框架,以数据使用行为为节点,调节着数据在保护和利用之间的矛盾。对数据使用的理解达成有效共识,可有效衔接数据的保护和利用,使之成为法律良好适用的关键。(一)明确个人信息的“处理”范围两部法律都采用了“处理”一词,用以指代数据处理者对数据做出的各种利用行为。个人信息保护法中个人信息的“处理”包括“个人信息的收集、存储、使用、加工、传输、提供、公开、删除等”,
8、数据安全法中数据“处理”包括“数据的收集、存储、使用、加工、传输、提供、公开等”,二者在“处理”一词的定义上相差无几。但是,对“处理”的含义明定,仅仅描述了数据处理的基本操作单元,却无法反映数据使用的价值流转方式。然而,个人信息处理却在个人信息保护法中,被赋予了界定规范对象和边界的双重价值。7在大数据技术背景下,互联网对日常生活的全面介入,意味着海量数据每时每刻都在不同互联网平台、数据经营者之间流转,更多的数据利用场景因价值链的重塑而被创造。个人信息以及个人信息处理行为,均处于内涵与外延高速变化的状态,这也是为何需要通过专门的个人信息保护法来规范个人信息处理。8这一规则要得以适用,哪些信息属于
9、个人信息,是首要面对的问题。为此,部分国家和地区引入了“可识别性”标准,用以判定部分数据使用行为是否属于对个人信息的使用,为个人信息保护提供了落地的接口。我国民法典第 1034 条第 2 款、第 1038 条和个人信息保护法第 4 条第 1 款,均以“可识别性”492023 年第 2 期热点聚焦Spotlight为标准,判断纳入个人信息保护之范畴,只不过民法典第 1034 条还列举了具体信息类型。但在当前的数据处理技术条件下,大量碎片信息的重新组合,可再次发挥“可识别性”功能。这极大地模糊了个人信息概念的外观,因为“可识别性”主要是用以评价数据匿名化处理的结果,而非个人信息的特征与属性。有学者
10、也注意到这一问题,提出因为可识别性的嵌入,令学界始终难以说明,何种人格权益受个人信息法律保护。9 然而,概念的模糊,不会令数据使用活动陷入停滞,也不会让个人和数据处理者的数据使用需求消失。真正令人困惑的是,将模糊的概念作为利益分配的依据是否恰当,它是否可以恰如其分地安排:哪些数据使用活动需停止,哪些数据使用需求又可得到满足。这是问题的关键。如果没有信心界定一个清晰的概念,那么,哪些信息属于个人信息的问题,事实上将会转换为,哪些使用行为将纳入个人信息保护的范畴。也就是说,判断的关键点,从个人信息这一客体,转变为了对数据使用行为的判断。如果说个人信息权利的内涵,决定了个人的何种权利在个人信息处理活
11、动中能够得到保护,其外延则决定了个人对其个人信息的支配能力能够延伸到何处。10由此,“数据使用”的内涵更是从行为判断上直接决定了这一支配能力的实际边界。这种暗度陈仓的做法,已然体现了我国个人信息保护的现实。尽管个人信息保护在“处理”的内涵与外延上,尽力列举了信息使用的各类技术环节,但对个人信息的保护,更多还是关注数据使用的场景和方式,如数据使用应遵循最小必要原则(个人信息保护法第 6条)、要求公开数据使用的方式(个人信息保护法第 7 条、第 17 条、第 48 条)、数据使用9.参见陆青:数字时代的身份构建及其法律保障:以个人信息保护为中心的思考,载法学研究2021 年第 5 期,第 3-23
12、 页。10.张新宝:论个人信息权益的构造,载中外法学2021 年第 5 期,第 1147 页。方式的变更需重新取得个人同意(个人信息保护法第 14 条、第 15 条)、限制或拒绝针对个人信息的特定数据使用情形(个人信息保护法第 44 条、第 46 条)。换言之,个人信息保护的重点,不在于静态地判断某一信息属于或不属于个人信息,而是聚焦于不同情境之下数据使用的动态规范,即追问:何种数据使用行为需要被个人信息保护法所调整?它需要被制止、限制抑或进行利益再分配?而回答这一问题的首要障碍是何谓数据使用,这也是本文试图回答的问题。(二)利益冲突的调和关于个人信息保护的理论阐释,通常会忽略一个事实:数据主
13、体往往没有能力对数据进行储存、处理、开发、利用,而数据使用往往又需要投入相当的成本。人力、服务器、算力等资源被不断投入至数据的收集、存储、使用、加工、传输等环节。以供需为支点,个人与个人信息处理者如同衔尾蛇一般,共同编织着浩瀚无垠的赛博空间。个人信息保护法的介入,打开了衔尾蛇自我咬合的闭环,前者允许个人以拒绝、修改、删除等方式,选择退出卷入数据处理的洪流。这是一个新的治理格局,数据主体重新掌握部分自主权,打开了价值双向流动的通路,也带来了新的利益冲突。在理想状态下,受制于数据主体的知情权与控制权,数据滥用行为将因用户的退出而难以为继,监管主动性增强,数据要素在市场主体之间合规、有序、健康地流动
14、。可一旦利益调和失序,权利的界限会变得模糊。一方面,这将使得部分数据主体受天然的隐私需求驱使,本能地拒绝来自数据处理者的使用请求(即使数据使用达到完全的合规标准,拒绝数据处理者对数据的收集、利用请求也将成为数据主体的首选)。数据要素化所需502023 年第 2 期热点聚焦Spotlight的数据聚合成本增高,导致更多的数据孤岛出现。另一方面,这也可能变相推动部分数据主体维权套利,各地法院、主管部门因滥诉而加重负担,加强合规监管,又将推高数据要素的流动成本,中小企业因合规成本高企,难以开展数据服务,反而加剧了数据垄断。因实施时间尚短,个人信息保护法的实际影响眼下还没有足够的实证材料得以探寻,又因
15、法律配套细则尚在制定,当前仍有较大的制度空间,以规避治理失序情形的出现。罔顾任何一方利益,都无异于将特洛伊木马放置于数字经济的中心,平衡各方利益的支点成为各方着力寻找的目标,即:关于数据使用,应在何种价值立场之上,予以支持或拒绝,方可调和两者潜在利益冲突。事实上,不同立法在不同价值取向的选择上,存在着变化与区别的同时也在探索利益调和的不同路径。一方面,围绕个人信息的收集、处理,个人信息保护法呈现出一种向内回收的价值导向,其建立了完整的处理规则与明晰的权利义务,甚至在该法第 58 条加强、压实互联网平台企业的主体责任,但也在该法第 13 条首次增加了除“同意”之外的合法性基础,且第 20 条至第
16、 23 条还明确了个人信息的共享规则。另一方面,数据安全法更加审慎看待数据在开发利用与安全保障之间的相互促进关系,以数据安全保护义务为核心,通过数据安全的测评、认证进行监管,把握个人信息流转的总体安全,除数据跨境之外,未对更多数据使用场景做出特别规定,希冀达到引导数据价值外放的效果,呈现出审慎包容的价值特点。以保护个人权利和数据安全为共同目标,二者努力调和着数据使用内收与外放的价值矛盾,共同构建起数据治理的基本框架。作为全球数字治理的中国方案,个人信息11.最新数据更新于 2021 年 12 月 14 日,参见:https:/unctad.org/page/data-protection-an
17、d-privacy-legislation-worldwide,最后访问日期:2022 年 2 月 5 日。12.申卫星:论个人信息权的构建及其体系化,载比较法研究2021 年第 5 期,第 3 页。保护法的出台只是起步。当前,全球已有 137个国家通过立法保护个人信息和隐私,11数据要不要使用、能不能使用的问题,已见真章。下一步,能否妥善解决如何使用以及利益归属等问题,将成为新一轮全球数字经济发展的关键。对数据使用的理解,是衔接发展与规范的桥梁。为此,需要更进一步梳理数据使用的法律内涵变迁,找准利益调和的平衡支点。二、数据使用的法律内涵变迁信息之所以为信息的本质诉求,需要通过对信息的充分利用
18、才能得以实现。12换言之,信息技术手段的改变,将影响数据使用的内涵变迁,从前数据时代、数据时代再到大数据时代,技术手段的转变,对法律如何看待数据使用的行为性质,起到决定性的作用。长期以来,欧洲的数字产业并不发达,这也使得欧洲立法者更多站在受众的视角,观察数据使用的实际效果与社会影响,这是一个理想的分析样本。通过厘清欧洲各国在不同时代技术背景之下对数据使用的不同认识,可以看到:(1)一旦数据使用产生新的信息增量,围绕着增量部分,法律需要对其重新进行调整;(2)大数据时代需要什么样的法律规则,探索的路还很长,对数据使用的解释与限制,是研究的诸多起点之一。(一)前数据时代二十世纪五十年代,借助二进位
19、制和程序存贮,第一代计算机把个人信息转化为电子数据,它完成了信息的数字化过程。但这仅限于改变了信息的储存形式,并未改变数据与信息一体两面的关系,故本文将其称为前数据时代。这一时期,以欧盟为代表的数据政策与立法,将数据保护的重点,放在防止公权力对个人信息的滥用,因为个人在户籍登记的各类信息是512023 年第 2 期热点聚焦Spotlight最易被泄露的,而独立、完整的数据使用概念尚未孕育,其法律适用规则还完全依托于隐私保护。由于信息技术尚未普及至人们的日常生活,个人信息的收集和扩散规模都相当有限,即使发生个人信息泄露,其产生的损害也是有限的,通过传统的侵权责任规则即可解决。立法上则分散体现于欧
20、盟条约(EU Treaty)第 6 条、欧共体条约(EC Treaty)第 286 条、欧盟基本权利宪章(Charter of Fundamental Rights)第 8 条之中。最早可以追溯到“人权与基本自由欧洲公约”(ECHR)第 8 条,其规定了“个人享有私人和家庭生活得以被尊重的权利”,以及能够对这一权利进行限制的条件。13其中,“私人和家庭生活的权利”为发生在当时的个人信息泄露案件,提供了寻求法律保护的依据。在此阶段,对于普罗大众而言,信息技术的出现并没有改变信息产生方式,数据只是个人信息手写记录的直接映射,对数据所承载的个人信息的非法利用,是当时法律对数据使用最常见的关切。判断是
21、否属于非法利用的标准,亦是对于数据主体私人生活安宁的非法干扰和私人秘密的非法收集、刺探和公开,这也符合传统隐私权的定义。14 法院通过对“私人和家庭生活”的扩大解释,使当时由个人数据泄露引起的纠纷得以平息。这一时期的数据使用与传统的信息使用并无二致,电子数据的使用仅仅是为信息提供了一种新的储存方式,因而当时的立法也未对数据使用做出特殊的安排。(二)数据时代1971 年世界上第一台微处理器在美国硅谷诞生,开创了微型计算机的新时代,应用领域13.人权与基本自由欧洲公约(European Convention on Human Rights,ECHR)第 8 条规定:“每个人都有权使其私人生活和家庭
22、生活、其房屋和通讯受到尊重。除非根据法律规定,并且,为了国家安全、公共安全或国家的经济福利,为了防止无序或者犯罪,为了保护健康或者为了保护其他人的权利与自由所必须,公共权力机关不得干预这种权利的行使。”14.参见张新宝:隐私权的法律保护,群众出版社 2004 年版,第 54 页;相同观点参见王利明:隐私权概念的再界定,载法学家2012 年第 1 期,第 108-120 页。15.【美】路易斯D布兰代斯:隐私权,宦胜奎译,北京大学出版社 2014 年版,第 20 页。从科学计算、工业生产逐步走向家庭与个人,数字化的信息处理技术使得个人信息摇身一变为个人数据,数据时代由此正式开启。数据使用的场景逐
23、渐丰富,衍生出大量的新信息。社交软件、电子邮件、网络购物等依托于网络的新型信息互动形式的出现,产生了一系列从未见诸过纸面的关于个人的信息记载。起初,人们兴奋于高效便捷的新体验,但很快,人类对关于自身的信息逐渐失去掌控能力,这种控制力的减弱带给人们以不安。精准营销、垃圾邮件、骚扰电话等数据不当利用现象愈演愈烈。科学技术逐渐成为现代文明的神,它带给人们以愉悦的同时也让人们感到恐惧。伴随技术发展而来的是权力上的越位,亟待法律对它予以回应。欧洲敏感的立法者们很快意识到,信息技术的迅猛发展、新的信息类型的出现,使得过去对数据使用的理解变得捉襟见肘。正如隐私权的产生,源于文明的进展给人们带来了紧张的智力生
24、活和情感生活,并增强人们对此的感受能力,这让人们清楚认识到生活中只有小部分的苦痛、愉悦和受益来自于物质世界。15 互联网与新型计算机技术的出现,更是极大地增强了人们对精神生活的敏锐感受。此外,ECRH第 8 条所规定“私人和家庭生活”的内涵存在严重的不确定性,这种不确定性使得隐私权内容,在面对社交软件、电子邮件等新场景时,表现出极大的局限性。具体而言,对数据使用的判断,将不再限于隐私权框架下私人生活安宁的非法干扰和私人秘密的非法收集、刺探和公开。如何在日益广泛的数据使用行为中保护个522023 年第 2 期热点聚焦Spotlight人权利,成为问题。一项单独的数据保护公约于 1981 年在斯特
25、拉斯堡通过,即个人数据自动化处理中的个人保护公约(也被称为“第108 号公约”)。这是第一个有关个人数据保护的国际公约。第 108 号公约在第一条中就表明“数据保护,即在处理与其有关的个人数据方面保护个人的基本权利和自由,特别是其隐私权。”这表明,当时的立法者已经认识到“数据保护”比“隐私保护”更广泛,因为它所涉及的内容不仅限于隐私权的范围,还涉及个人的其他基本权利和自由;同时也更具体,因为隐私权的内涵十分广阔,而数据保护则专注于个人数据的使用。数据使用,正式成为了一项单独被法律考察的行为。(三)大数据时代如果说互联网的出现,令无以计数的数据不断拓展着赛博空间的边界,那么,数据处理技术的成熟与
26、发展,令数据使用的规模迈向一个新的阶段信息发现。信息作为一种依赖于物质本身的客观存在,人的挖掘发现能力越强,其被发现的可能性也就更大。当承担发现任务的主体从人变为机器时,这种发现行为造成的影响也将产生质变。试举一例,A 某连续数日手持纸笔站在一个路口,将经过该路口的每一个行人的性别、衣着、年龄以及通行方向等可观察现象加以记录,并统计成册。这种田野调查的方式在生活中十分常见,行人对他的记录行为未置可否,但也鲜少会引起特别关注而被加以阻止。但是,如果将这一行为置于互联网环境中,由自动化计算资源来完成这一任务,面对的问题就截然不同了。如果此时 A 某作为一个互联网运营商,其运营管理的网络平台成为了被
27、观察的路口,通过处理其收集的数据,可进一步加工成为某种数据产品,这样的行为天然就很容易引起用户反感。究其原因,是人类在未知的力量面前所展16.参见刘艳红:网络爬虫行为的刑事规制研究以侵犯公民个人信息犯罪为视角,载政治与法律2019 年第11 期,第 16-29 页。现出的恐惧。数据使用,因量变引起质变。在数据时代,人们尚知晓(只是难以控制)因应用场景丰富而衍生的信息内容,但在大数据时代,人们对于自身被何种程度地获取了信息,以及信息利用对自身可造成的影响一无所知。在技术面前,人类的力量似乎太过弱小。在对原因无知的情况下,人类会感到自己好像是在黑暗中一样,恐惧始终伴随着人类。这也是为何当数据主体获
28、得选择权利的时候,拒绝数据被使用会成为首选。人对隐私的需求是天然的、已知的,而数据使用的后果却是未知的,同时充满无限可能,人类对负面影响的想象成为限制数据使用强有力的内在驱动。一方面,自互联网技术诞生以来,这样一种疑惑从未停止:人们是否具备相应能力,驾驭信息技术日新月异的发展。这种疑惑的产物之一是,不少学者提出,在数据使用方面,存在不少“道德上可疑的并可能被视为违法”的技术。16 另一方面,在人们尚未能触及的范围内,数据的规模和价值正在经历爆炸式增长。新的数据使用行为,扩展了信息消除随机不确定性的方式,它正在改变信息的生产模式。因此,一系列旨在规范数据使用行为的法律法规连续出台。1995 年
29、10 月,欧盟委员会颁布了关于涉及个人数据处理的个人保护以及此类数据自由流动的指令(即“95 数据保护指令”),并以此为核心接连颁布了关于与欧共体机构和组织的个人数据处理相关的个人保护以及关于此种数据自由流动的规章 Regulation(EC)45/2001、关于隐私和电子通信指令(2002/58/EC)等关于网络电子数据的系列欧洲条约。一直到被称为史上最严格的数据保护立法通用数据保护条例(GDPR)于 2016 年在欧盟议会批准通过,2018 年正式实施。至此,关于数据使用,已经形成了一个具有强大影响力的数据保护框架。如何有效控制532023 年第 2 期热点聚焦Spotlight数据处理者
30、对个人数据的使用,成为这个数据保护框架的核心。而早前也有学者指出,数据保护应聚焦于“生成的过程”,更关注于预防性的救济方式,更关注于个人信息保护的团体价值,超越了个体诉讼的救济面向,更关注于构建公、私法结合的多元治理框架。17就影响力而言,GDPR 的出台成为个人信息保护的里程碑事件,各国立法者愈发着迷于对数据处理者的限制,强调对数据主体的保护,却忽略了作为利益平衡支点的数据使用。而就实施效果而言,GDPR 广受争议,尽管欧盟议会在该法实施两年发布评估报告,赞扬数据主体的权利意识增强,但也坦言投诉门槛过低导致监管机构已不堪重负,中小企业特殊豁免未落实处,且在新技术运用的问题上态度摇摆。18此外
31、,虽然欧盟议会的评估报告并未摘录对数字产业的影响评估,但更早前的报告指出,GDPR 对欧洲科技创业投资者带来不利影响,降低融资总额、交易数量和每笔融资交易金额。19 从欧洲的立法经验来看,法律对于数据使用的理解总是受制于当下技术背景和社会发展。为此,照搬已有的域外经验显然很难满足当下我国数字经济发展对数据使用的需求。大数据时代,我国数据治理需要什么样的法律规则,更要求抓住数据使用的本质特征从而形成新的理解。三、重谈数据使用的理解相较于其他法律制度,数据保护在几十年17.See G.Resta,identit personale e dentit digitale,in DirInformati
32、ca,2007,fasc.3.18.European Parliament,Commission evaluation report on the implementation of the General Data Protection Regulation two years after its application,2020/2717(RSP),https:/www.europarl.europa.eu/doceo/document/TA-9-2021-0111_EN.html,last visited on February 5,2022.19.See Jian Jia,Ginger
33、 Zhe Jin&Liad Wagman.the Short-Run Effects of GDPR on Technology Venture Investment,National Bureau of Economic Research,2018-11.20.张玉敏、易健雄:主观与客观之间知识产权“信息说”的重新审视,载现代法学2009 年第 1 期,第 180页。21.参见王勇、黄雄华、蔡国永:信息论与编码,清华大学出版社 2013 年版,第 64-65 页。22.信息熵是由香农提出用以描述信源不确定度的概念,熵度量的是消息中所含的信息量。信源指信息的发送者。里飞速发展变革。一方面是“数
34、据”本身通过规模、质量、多样性等完成了蜕变,另一方面“数据使用”所涉及的法律领域也得以扩展。在这双重的巨变之下,相较于传统的信息使用,数据使用实现了信息总量的突破。换言之,在大数据时代,数据使用的本质特征,是以对数据信息的发现与再创造为目的。(一)传统信息使用:保持信息总量不变传统信息使用具有极高的稳定性,无论如何改变使用形式都保持信息总量不变。由通讯工程师克劳德香农(Claude Shannon)建立的“现代信息论”认为,人类通信的目的是消除知识上的“不确定性”。因此,在信息传递中用以消除不确定性的东西就是信息。为了达到这一目的,通信工作的任务就是将信息原原本本地从信源传递到信宿。20换句话
35、说,信息传递后接收者获取的信息,在数量上应等于传递前后“不确定性”的消除量。21传递过程中,为了将信息传递到不同的设备或环境,产生了各种信息加工的动作,也导致了多种形式的信息形态,例如符号、文字、电波或电子数据等。从香农信息论的数学原理来看,他赋予信息以数学的形式,将通信过程中的信息加工变为严格的数学运算:如果一个信源的实际信息熵小于其占用的编码空间,那么,就可以对信源参数做一种编码压缩的数学变换,使新编码所占用的空间,可以压缩到接近甚至等于原始信源的信息熵。22这样,就可以用较少的信道容量完成通信而不丢失信息。如信道中有干扰,则增加相应的监督码量来纠错542023 年第 2 期热点聚焦Spo
36、tlight而保证信息的无损传输,最后在接收端,还要做一种译码的数学反变换,以完整地恢复原始信号。23在此过程中产生的信息加工行为,从最终结果来看,并未使得信息在数量或质量上发生改变。前数据时代和数据时代中,大多数的数据使用行为,均符合前述特征。不产生新的信息增量,是传统信息使用的特点。为完成消除不确定性这一目的而发起的信息传输,不论信息形态因信息加工或信息利用方式发生何种改变,未曾改变的是信息的“同型结构”。信息同型结构的稳定性,使得任何形态的信息都能够精确消除其对应的不确定性。因此,也有观点认为这一意义上的信息利用都是以对信息的复制为目的的。根据这一理解,无论以何种形式进行传输的信号,原则
37、上都是依赖于同型结构以维持其稳定性。也就是说,人们通过对话、歌曲、书信、绘画等各种方式所进行的交流,从信息交换的角度来说,不过是同型结构所依赖的传输介质不同而已。(二)大数据时代数据使用:实现信息总量突破随着数据科学的出现与发展,数据从信息的消费品成为了信息的生产资料。至此,才出现了大数据时代的“数据使用”。经过大数据、人工智能等新型信息技术处理之后,数据的价值和利用方式发生了巨大变化。信息传递的目的不仅限于对特定“不确定性”的回应,新型信息技术对于信息的利用也不再局限于信息本身所涵盖的内容。当信息熵的数量突破一定规模,香农信息论中的“不确定性”“概率”等关键要素就可能被打破。在大数据时代,“
38、数据使用”以对数据所承23.卢侃:从 Shannon 信息论到认知信息论,载哈尔滨工程大学学报2011 年第 8 期,第 1064 页。24.在数据集成中,数据映射是数据在两个不同的数据模型之间进行转换的过程。这个步骤是数据源和目标之间的数据转换或数据中介。通过众多渠道所采集的数据通常具有不同的特征与范围,其准确性也不能保证,因此不能直接用来进行计算。数据清洗是通过发现数据异常的方式来剔除数据中的错误从而提高数据质量。而数据解析则是利用包括数据转换在内的多种方法将数据转化成“适当的”形式以便进行进一步的数据挖掘与计算。25.国家制造强国建设战略咨询委员会、中国工程院战略咨询中心:智能制造,电子
39、工业出版社 2016 年版,第 125页。载信息的挖掘与再创造为目的。这是数据使用区别于传统信息使用的核心特征。此前,数据是一个一个毫无关联的符号,它们彼此孤立而无法被加工解释,随着人类探索客观世界运行规律的需求逐渐强烈,这些记录了各类信息的数据,成为了人们开展分析的原料。大数据技术通过不断增大原始数据的规模、增长速度和多样性来实现数据的跨界集成。不同领域产生的多个数据集指向不同的现实,这些看似毫无关联的数据达到一定规模时,就可能产生隐含关联性的融合数据。这些不同领域的数据在进行处理时,不是简单地通过模式映射和实体识别进行集成,而是在经过数据清洗、数据解析之后,进入到全新的数据管理系统之中。2
40、4人工智能技术的发展,又使得数据分析、挖掘、处理的能力愈发强大,看似不相关的数据被有机的联系起来,形成超越数据本身承载的新信息。原始数据所依赖的信息结构,在这个过程中发生根本变化,形成新的信息增量。通过挖掘与分析,人们可以建立数据之间的关联,总结出规律性的结论,并用于回答某些问题。25从个人信息到个人数据,是相同信息同型结构下不同的外在表现形式,若继续将个人数据加工成为数据产品,将会经历相同表现形式下,信息同型结构的改变。这导致的结果是,不同载体下信息产生、传递、处理的速率,三者共同造就了数据信息容量的变化。如果说经由电子输入,将个人信息转化为个人数据的处理容量为“1”,那么,经过数据使用,将
41、个人数据转化为数据产品的处理容量则为“100”。这是数据科学发展产生的现实后果。数据使用的效果不再局限于提供原始数据的某个个人存552023 年第 2 期热点聚焦Spotlight在或具体行为,而是能够反映出某些事物的内在逻辑与规律。因此,在大数据时代,对个人数据进行处理的结果(即实现信息总量突破的部分),成为了一种完整、独立的存在,它不再纳入个人信息保护的规制范围。个人信息保护法律的规制对象,实际上是针对个人信息发起的数据使用行为,其需要调整的,是数据使用过程中权利义务的分配冲突。如何在此过程中,规范个人信息处理活动、促进个人信息合理利用,将成为个人信息利益保护的直接映射。同时,在数据治理问
42、题上造成巨大困扰的是,由数据使用产生的增量信息的保护。当下数字经济发展,数据要素市场建构中,希冀通过数据使用来实现数据要素生产力作用的,正是这些“增量信息”:它们既不符合个人信息的定义与功能,无法落入个人信息保护的框架;又是经过个人信息的处理而来,无法当然属于数据的处理与使用者;还因为数据技术的发展具有使用后果上的无限可能,引起数据主体的警觉与反感。当下个人信息保护框架要为其提供规制,可以在现有体系下引入新的数据使用的判断方法。四、增量信息的数据使用判断在数据生产过程中,被描述者和记录者的分离,是导致数据权利分配冲突的根本原因。26数据使用过程中,信息总量的突破,产生了增量信息,导致数据主体和
43、数据处理者的控制边界模糊。从现有对个人数据的定义来看,对数据使用行为的规制,多采用一种类型化的思维,通过区分个人数据与非个人数据,判断具体数据使用行为应受到的限制。在数据使用产生的26.数据生产理论下认为,数据是对现实世界(构成要素)的记录或描述,而不是现实世界本身。数据生产则是通过技术手段将特定对象本身及其行为或过程以数字形式记录下来,形成用“0”和“1”记录的数据。参见高富平:数据生产理论数据资源权利配置的基础理论,载交大法学2019 年第 4 期,第 5-19 页。27.徐伟:企业数据获取“三重授权原则”反思及类型化构建,载交大法学2019 年第 4 期,第 24 页。28.王锡锌、彭錞
44、:个人信息保护法律体系的宪法基础,载清华法学2021 年第 3 期,第 6 页。增量信息出现后,这一判断标准的局限性愈发明晰,需加入用户感知作为新的判断要件。(一)现有标准及其局限性从现有立法来看,无论是个人信息保护法还是 GDPR,都将调整对象锁定在个人数据,从而对个人数据与非个人数据做出区分。区分二者的标准是,被使用的用户数据,是否可以识别用户身份,或者结合其他信息后是否能达到身份识别的功能。换言之,在个人数据与非个人数据二元划分体系下,数据使用的判断标准完全依赖于数据的内容功能。早前已有学者认识到,这种建立在数据与个人的关联程度之上的分类方式,更多是通过当事人间的合意来消弭诸多的潜在法律
45、风险。27大数据时代,新的利益主体和角色的出现,代表着社会对个人信息的利用诉求,数据使用对现有标准提出了巨大挑战。“数据使用”针对数据所承载信息的挖掘和再创造,决定了存在着数据的内容功能与数据使用的实际效果并不一致的情形。数据处理者通过“隐私条款”“用户协议”等方式与数据主体达成合意,对个人数据进行收集和加工。用户同意范围内被收集的数据,经过技术处理之后,往往会产生数据内容本身所没有的信息。这种数据使用所能产生的实际效果,早已超出了用户的控制范围,甚至连数据处理者自身在收集数据时都无法准确预判。这一方面是数据立法中透明性原则想要解决的问题,另一方面也证明了控制数据的来源类型无法达到对数据使用的
46、实际控制。甚至,连阐明个人信息保护的是何种法益,都成为学界长期争议的焦点。28在实然层面,与物理世界中数据的产生需要特别加以记录的行为不同,网络空间本身即是数562023 年第 2 期热点聚焦Spotlight据构成,任何行为、事件都会导致数据的产生。与个人相关的数据枚不胜数,即使个人信息保护的特定法益,被清楚地阐释,也很难推定个人对其数据的支配范围。因为在特定损益结果发生之前,几乎无法证成可支配数据与特定法益之间的因果关联。当然,可以预先假定,某一类型数据与个人法益损害存在高度相关性,而这一假定的结果,正造就了可识别性标准的提出,以及个人数据与非个人数据的区分。因此,可识别性标准,并非某种特
47、定法益的外化表达,而是衔接数据使用与损益结果的桥梁,以减少个人对其数据可支配范围的模糊性。而各国法律在面对数据使用的实际效果时,都向后退了一步。我国个人信息保护法明确将“匿名化处理后的信息”排除在外,GDPR以“匿名化信息”(Pseudonymisation)的定义,提出“如果没有额外信息就不能识别数据主体的处理方式”(GDPR 第 4 条),美国加州隐私法也提出近似的概念(加州民法典第 1798.140条),匿名化、假名化、去标识化,成为数据处理者的有力盾牌。但是,一个容易被观察到的经验事实是,只要数据的规模越大,信息碎片之间的联系被发现的可能性就越高,结合额外信息的技术路径并不隐蔽。虽然
48、GDPR 仍将匿名化信息纳入调整范围,但适用更宽松的处理规则,而加州隐私法则要求“附加信息应单独保存确保不能再被关联到已识别或可识别的消费者”,总体上,边界非常模糊。这是数据使用行为造成隐私顾虑的原因之一,也是个人信息保护系统逻辑下“科技系统”与“法律系统”彼此区隔的表现。29然而,无法预先洞见技术能力的边界,是数据立法的常态,而实际的问题是,在充满着变化与可能的数据使用的实际效果中,如何能精确地寻找其中的不利因素,29.许可:个人信息治理的科技之维,载东方法学2021 年第 5 期,第 65 页。30.数据主体的证明能力不足、因果关系证明标准失范,是个人信息侵权因果关系的两大证明困境。可参见
49、田野、张耀文:个人信息侵权因果关系的证明困境及其破解以相当因果关系理论为进路,载中南大学学报(社会科学版)2022 年第 1 期,第 58-69 页。进行动态、弹性的治理。(二)用户感知标准的引入重塑个人数据的分类基础,或者扩大解释身份识别功能,可能造成已经取得的共识(分类基础)模糊化,且动摇个人数据原有的权利体系构造,因而并非解决以上问题的可取之道。然而,对数据使用行为的规制不应就此却步,而应当在以识别用户身份的适用规则外,加入新的判定标准。1.用户感知标准的作用用户如何认识数据使用行为的影响,是设立新的判断标准的关键。这是一项主观标准,即:在特定场景下普通用户明确感知自身的个人信息被使用,
50、且这一使用行为超出约定的使用目的和使用范围,一旦判定成立,即应纳入个人信息的保护范围。这一标准,可作为可识别性的补充。在功能上,用户感知标准并不能直接厘清个人对其数据的可支配范围,只是因支配范围模糊而产生利益冲突时,提供可判定的锚点,并且,该标准提供了评价数据使用实际效果的视角,突破了仅以数据内容功能评价“可识别性”的局限性。在法律适用上,用户感知标准的适用,无需通过改写个人信息的定义(如个人信息保护法第 4 条)以明晰其内涵,而是作为个人信息侵权(如个人信息保护法第 69 条)的判定要件之一,纾解因果关系证明之困境,30适用该标准后,只要侵害结果与个人信息利用存在高度盖然性,过错推定原则将启
浙ICP备2021020529号-1 | 浙B2-20240490 
