本报简介个人信息确权与信息数据发展的平衡
民法典、个人信息保护法等法律法规对信息主体决定自身个人信息的相关权利进行细化,《中共中央 国务院关于构建数据基础制度更好发挥数据要素作用的意见》提出“建立健全个人信息数据确权授权机制”,在充分保护信息主体个人信息权益基础上,平衡信息主体与信息处理者之间的权益,具有重要意义。
大数据时代,信息日益影响人们的行为模式,从而间接影响社会结构。信息的“可识别性”可以通过对不同个人信息的识别定位到具体个人。因此,在数据时代,保护信息主体对个人信息的控制和决定颇为重要。随着《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)的出台,我国对个人信息保护已基本形成体系化制度框架。在规范层面,《中华人民共和国民法典》(以下简称《民法典》)和《个人信息保护法》对信息主体决定自身个人信息的相关权利进行了细化。2022年12月印发的《中共中央 国务院关于构建数据基础制度更好发挥数据要素作用的意见》(以下简称《意见》)提出,“建立健全个人信息数据确权授权机制”“对承载个人信息的数据,推动数据处理者按照个人授权范围依法依规采集、持有、托管和使用数据,规范对个人信息的处理活动,不得采取‘一揽子授权’、强制同意等方式过度收集个人信息,促进个人信息合理利用”,在充分保护信息主体个人信息权益基础上,平衡信息主体与信息处理者之间的权益,促进国家数据基础制度建设。
个人信息确权的关键在于信息决定权
大数据时代,全面保护个人信息要积极赋予信息主体对自身个人信息控制的权益。《个人信息保护法》第四十四条规定:“个人对其个人信息的处理享有知情权、决定权,有权限制或者拒绝他人对其个人信息进行处理;法律、行政法规另有规定的除外。”这赋予信息主体对个人信息享有决定权,即信息主体有权按照自己的意思表示决定自身的个人信息被如何利用,若信息处理者未经过信息主体的授权而随意收集、处理信息主体的个人信息,则侵犯信息主体对自身个人信息享有的决定权利。
大数据时代,基于各种商业利益,信息收集者会将收集的大量个人信息授权给其他供应商,这在一定程度上加大个人信息被侵害的风险。为了降低个人信息被滥用的风险,法律赋予权利人对其个人信息的决定权。决定权属于个人信息权益的基础权益。这里“决定”的含义应当同时包括信息主体对个人信息处理者违法收集信息的行为进行防御,以及根据信息主体的个人意愿支配和利用自身个人信息、发挥个人信息的财产价值的权利。
法律赋予个人信息决定权,使信息主体在大数据时代下可以对自身的个人信息进行有效控制,从而最大限度地防止自身个人信息权益受到他人侵犯。因此,个人信息决定权是《个人信息保护法》赋予信息主体最关键、最重要的一项权益。《民法典》将个人信息纳入第四编人格权进行规范,以法律形式确认个人信息的人格权益属性,而在人格权保护中最核心的是确保权利主体对人格权益的行使自由。在个人信息领域,信息主体有权决定个人信息如何被处理是其在后续能够行使更改权、删除权的基础。只有能够决定自身的个人信息,信息主体才能使自身的个人信息权益到达一个圆满的状态。因此,个人信息数据确权的关键在于保障信息主体对自身个人信息的控制能力,即对个人信息的决定权利。
个人信息决定权的行使边界
《个人信息保护法》赋予信息主体对自身个人信息的决定权,信息主体可以依据自我的意思表示选择如何利用个人信息,但是法律赋予信息主体个人信息决定权的目的是为了防止过度收集与使用个人信息,不是排斥对个人信息的处理,信息主体对个人信息并不享有绝对的控制权。《个人信息保护法》将信息主体的个人信息划分为一般个人信息和敏感个人信息,考虑到敏感个人信息一旦泄露或者非法使用,容易导致信息主体的人格尊严受到侵害或者人身安全、财产安全受到危害,因此,法律特别规定处理敏感个人信息必须具有特定的目的和充分的必要性,且信息处理者处理敏感个人信息应当取得个人的单独同意并采取严格的保护措施。由此可见,法律对于一般个人信息的保护标准低于敏感个人信息。因此,信息主体对个人信息决定权的使用也应当根据不同类型的信息以及信息用途划分一定的权利使用边界,否则会影响信息社会中对数据信息的利用,妨碍信息处理者对个人信息的处理。
具体而言,当信息处理者只需要获取一般个人信息时,可以采取一般同意规则,信息处理者仍需将所获取的信息及时通知信息主体,但此时无须得到明示同意,只需获得默示同意即可。例如,当信息处理者将收集的一般个人信息用于内部数据分析或者数据统计时,可以选择向信息主体发送电子邮件,在明确其可以知晓通知内容且在通知的时间内没有得到信息主体的明确拒绝情况下,可以处理收集到的一般信息。对于含有个人敏感信息的内容,需要建立严格的明示同意制度。信息处理者不仅需要得到信息主体的“可验证”同意,而且还需要取得信息主体对敏感信息收集的单独同意,确保信息主体能够知晓敏感信息被收集后的处理方式和用途。例如,要求信息主体通过电子签名或电话确认方式向个人信息收集者表示明确同意其收集相关信息。
维护个人信息决定权与信息数据发展的平衡
大数据时代,社会经济结构的变化使得特定的人格权进入市场,其区别于传统人格权具有一定的财产属性,这其中就包含个人信息。个人信息与隐私权的最大区别在于个人信息除承载着个人权益之外,还具有一定的公共利益价值,个人信息中蕴含的数据利益是数据经济发展的重要基石。《意见》指出,数据作为新型生产要素,是数字化、网络化、智能化的基础,已快速融入生产、分配、流通、消费和社会服务管理等各环节,深刻改变着生产方式、生活方式和社会治理方式。因此,在对传统人格权保护的基础上,如何充分利用个人信息具有的财产属性,以个人信息数据推动经济社会发展,关键在于平衡个人信息决定权与信息数据的发展。
平衡信息主体信息决定权与数据信息价值利用和发展之间的关系。构建个人信息授权机制,需要平衡信息主体信息决定权与数据信息价值利用和发展之间的关系,不能单一地对个人信息采取绝对保护或为数据信息发展而放弃对信息主体信息权益的保护。释放数据的利用价值是发展数字经济的核心要义,但实践中既要保障信息主体积极行使信息决定权,又要促进数据信息的多元化发展,在保护信息主体的信息决定权的同时,也应当结合信息处理者的执行能力和大数据的发展目标作出相应规定。
信息处理者需要创制更加灵活的个人信息授权方式。目前,许多平台的隐私协议条款为格式条款,大多数信息处理者只提供“同意”或“拒绝并退出”的“二元”选择机制,这使得信息主体无法以部分同意方式使用一些应用。《个人信息保护法》第十六条规定:“个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由,拒绝提供产品或者服务;处理个人信息属于提供产品或者服务所必需的除外。”但何为“必需”,法律未作出进一步说明。《意见》针对这一情形提出规范对个人信息的处理活动,信息处理者不得对信息主体采取“一揽子授权”、强制同意等方式过度收集个人信息。因此,信息处理者应当随着时代的发展创制更加灵活的个人信息授权方式,依据不同目的明确告知信息主体所需要采集的信息以及后续的处理方式,明确应用的适用范围和群体,严格禁止收集与应用使用无关的信息收集行为。同时,为了约束并监督信息处理者的信息收集行为,可以建立第三方监督机构,代表信息主体监督信息处理者对个人信息数据进行采集、加工、使用的行为,并推动重点行业建立完善长效保护机制,强化信息处理者责任,落实并完善违法收集个人信息的赔偿和补救措施。
建立信息主体的救济机制以制衡信息处理者处理个人信息的权利。《个人信息保护法》颁布实施前,《中华人民共和国网络安全法》第四十九条第一款就明确要求,网络运营者应当建立网络信息安全投诉、举报制度,公布投诉、举报方式等信息,及时受理并处理有关网络信息安全的投诉和举报。国家标准GB/T 35273《信息安全技术 个人信息安全规范》第8.7条、第8.8条对个人信息处理者如何响应个人信息主体的请求亦作出相应规定,如个人信息处理者在验证个人信息主体身份后,应当及时响应个人信息主体提出的查询、更正、删除、撤回同意、注销账户等请求,应当在30天内或法律法规规定的期限内作出答复及合理解释,并告知个人信息主体外部纠纷解决途径等。《个人信息保护法》第五十条第一款规定,个人信息处理者应当建立便捷的个人行使权利的申请受理和处理机制。因此,信息处理者可以选择采取符合信息时代要求的网上申请受理机制,这不仅使个人可以更便捷高效地行使权利,及时维护个人信息权益,也能够使得信息处理者的处理活动更好地符合法律规定。
在个人信息保护方面,《个人信息保护法》确立了“保护个人信息权益”“规范个人信息处理活动”“促进个人信息合理利用”等制度,但保护个人信息权益不仅是为了保护信息主体的个人信息权益,还在于通过规范个人信息的依法使用促进数据信息社会发展,以达到保护个人信息权益与加快信息社会发展之间的平衡。因此,如何进一步在保障信息主体行使信息权益的同时,促进数据经济发展,是完善个人信息数据确权授权机制的题中应有之义。
(作者单位:重庆大学法学院)