本文節選自《用戶畫像、個性化推薦與個人信息保護》,載《環球法律評論》2019年第5期。
【作者簡介】 丁曉東,中國人民大學法學院副教授、博士生導師,未來法治研究院副院長。
全文共4026字,閱讀時間約10分鐘。
近期,全國人大法工委公布了《個人信息保護法(草案)》,將個人信息定義為:“以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息。不包括匿名化處理的信息。” 這一草案汲取歐美等國家和地區的智慧,綜合“識別說”與“關聯說”,反映了我國立法機關的智慧。但在未來的執法與司法解釋中,個人信息的概念與界定仍將面臨挑戰。因為大量的信息是匿名化用戶的行為信息。這類信息是否屬于個人信息,以及采取何種法律規制框架,仍然需要法學學術與法律實踐進一步研究與探索。
隨著網絡技術與信息技術的高速發展,用戶畫像與個性化推薦已經越來越普遍。在商業領域,越來越多的企業開始收集個人的瀏覽記錄、購買記錄、交易方式等信息,依據這些信息來分析用戶行為,對網絡用戶進行用戶畫像和精準營銷。如果說早期的互聯網是“人找信息”,那么隨著用戶畫像與個性化推薦的普遍化,如今的互聯網開始越來越多地邁向“信息找人”的階段。
網絡經濟中普遍存在的用戶畫像與個性化推薦促進了互聯網經濟的發展,在很多情形下,用戶畫像與個性化推薦使得商家可以更為精準地投放廣告,避免了無效廣告;同時,用戶畫像與個性化推薦也使得消費者可以獲取更為有效的商品信息,可以更為快捷有效地獲取自己希望購買產品的信息。例如,電商網站常常根據消費者的消費記錄推薦相關產品,很多消費者常常能在這些推薦的產品中找到自己希望購買的商品。
網絡經濟的用戶畫像與個性化推薦也對用戶相關權益的保護提出了挑戰。很多專家指出,個人消費行為信息屬于個人信息的范疇,在未經個體明確同意與授權的情形下,對于此類個人信息的收集與利用侵犯了用戶的相關隱私權益。早在2013年,一位百度用戶就已經據此提起訴訟。在使用 “減肥”“豐胸”等關鍵詞在百度網站上進行搜索后,當她在登陸其他網站時,這些網站都出現了與“減肥”“豐胸”等相關的廣告。這位用戶因此向法院提起訴訟,認為百度公司未經其同意,收集和保存自己的搜索記錄并根據這些記錄與信息投放廣告,對她的生活造成了困擾。
在國外,對于用戶畫像與個性化推薦也存在爭議。在美國,對于網絡用戶的消費行為信息是否屬于個人信息,一直存在不同的觀點。在有的企業看來,用戶的消費習慣信息不屬于個人信息,因為不能根據此類信息來識別特定的個體。而且,企業在收集了此類信息后,一般會將此類信息進行匿名化處理。但在其他人看來,此類信息屬于個人信息,因為此類信息本身就是對個人的識別,而且結合其他信息,此類信息甚至可以經常定位到具體的個體。
用戶畫像與匿名化的用戶行為信息之所以成為爭議點,這與個人信息的概念有關。全球的信息隱私法或數據隱私法的框架都以個人信息為核心,當某類信息屬于個人信息時,對其的收集與處理就受法律的保護;相反,當某類信息不屬于個人信息時,對其的收集與處理就不受法律保護。① 但現實表明,個人信息與非個人信息的界限并非如想象的那樣清晰,同時,這一二元劃分的框架存在著一定的問題。
就個人信息與非個人信息的界分來說,個人信息的范圍常常會隨著時代與科技的變化而變化。在信息隱私法發展之初的二十世紀六、七十年代,個人信息的范圍曾經相對確定。在那個時期,政府或企業主要收集的是個人的檔案類信息,即個人的姓名、肖像、地址等能夠直接識別個人的信息。對于公民個人的行為信息,例如個人在商場中的購物習慣、消費偏好,政府或企業并沒有大規模收集,也并未將它們納入個人信息的范疇。但隨著時代的變遷、網絡與信息技術的發展,對于公民行為信息的收集變得越來越多,越來越普遍,和公民個體相關的公開信息也越來越多。而悖論的是,信息越多,成為個人信息的信息種類也越多。因為信息越多,就越可能通過信息的分析與交叉比對而識別具體個人。有的學者甚至認為,隨著整個社會的信息以指數級別的速度增長,未來可能所有或大部分信息都會變成個人信息,很多之前被認為與個人無關的信息,都可能和其他信息建立相關性,指向一個特定的個體。②
在這種背景下,以個人信息/非個人信息的二元劃分來設計相關法律與制度,就可能存在問題。就像上文的反對意見與支持意見所指出的,一旦此類個人信息被列入個人信息,就可能導致企業匿名化信息動力不足、不能合理利用個人信息、法律保護資源分配不合理等問題,而一旦此類信息不被列入個人信息,又可能導致個人信息保護力度不夠、用戶知情權喪失、寒蟬效應等問題。
在本文看來,較為合理的解決方案是隱私法權威學者保羅·施瓦茨(Paul Schwartz)與丹尼爾·索洛夫(Daniel Solove)所提出的“個人信息2.0”的概念。在《個人信息問題:隱私與新的可識別個人信息概念》一文中,③ 兩位學者首先指出了個人信息與非個人信息邊界的模糊化,指出個人信息的范圍常常會隨著科技的變化而變化,因為場景變化而變化,因而以個人信息為基礎保護公民的相關隱私權益,常常會面臨上文所提到的種種問題。④ 但二位學者同時指出,如果徹底放棄個人信息的概念,完全通過成本-收益與風險預防的進路來保護個人信息,又可能造成整個信息隱私法框架的重構,無論是監管機構還是個人信息的收集者與處理者,可能都會面臨無所適從的困境。⑤ 二位學者提出,替代方案是設計一個“個人可識別信息2.0”的分類,并根據這種新的分類適用不同的規則。
具體來說,二位學者認為可以將可識別個人信息分為三類:已識別個人的信息(identified information)、可識別個人的信息(identifiable information)、不可識別個人的信息(non-identifiable information)。已識別個人的信息是指已經確定能從人群中識別出某個人的信息;可識別個人的信息是指可能根據這些信息或結合其他信息而識別某個人的信息;不可識別的信息則是不可能識別到某個人的信息。⑥ 二位學者認為,對于已識別個人的信息,應當要求信息的收集者與處理者嚴格遵守相關信息隱私法所規定的一系列責任,不允許有例外;而對于可識別個人信息,則應當根據可識別個人信息可能帶來的風險,對信息收集者與處理者施加不同程度的責任。⑦
以信息隱私法的基石“公平信息實踐” (Fair Information Practices)為例,二位學者認為,如果相關信息屬于已識別個人信息,那么個體應當有一系列完整的信息權利,信息收集者與處理者應當承擔一系列責任:第一,個人信息使用限制;第二,個人信息收集限制;第三,個人信息披露限制;第四,個人信息質量原則;第五,個人的被通知權,訪問權和更正權;第六,透明性;第七,個人信息安全保護。⑧ 但如果相關信息屬于可識別的個人信息,那么信息收集者與處理者應當承擔公平信息實踐中的部分責任,例如第四點的保障個人信息質量安全的責任、第六點的透明性責任和第七點的個人信息安全保護責任。而對于有的責任,例如第五點中用戶的被通知權、訪問權與更正權,則不應當作為信息收集者與處理者的責任。
對于責任要求,二位學者給出的理由是,個人可識別信息首先可能給個人帶來風險,因此,對個人可識別信息的收集與使用不能放任自流,必須要求信息的收集者與處理者承擔個人信息質量保證與個人信息安全保護的責任。個人可識別信息的收集者與處理者應當評估被收集信息的潛在風險,建立起一套“跟蹤-審查”的模型,對信息收集、儲存、處理與流轉建立全流程跟蹤與保障的機制。⑨ 其次,二位學者指出,透明性的責任有利于加強消費者、信息收集者與處理者的個人信息保護意識,同時賦予消費者以一定的選擇權。
對于豁免的責任,二位學者給出的理由是,賦予個體以被通知權、訪問權、更正權等權利首先會造成用戶隱私泄露的風險。為了保障個體的此類權利,信息的收集者與處理者必須在個人與相關信息之間建立直接聯系,以確保個體能夠行使此類權利。但悖論的是,這種直接聯系反而會造成個體被直接識別,從而對個體的信息隱私造成直接威脅。此外,由于此類信息并不能直接識別個體,為了滿足此類權利要求,信息的收集者與處理者也需要付出較大的成本與努力,這與此類信息可能帶來的風險并不相稱。?
總之,施瓦茨與索洛夫給出了較為中道的解決方案。這一解決方案既沒有采取美國較為狹隘的個人信息定義,將匿名化的行為信息等信息排除在個人信息的范圍之外,也沒有采取歐洲較為寬泛的個人信息定義,將匿名化的行為信息和其他已識別個人的信息同等對待。施瓦茨與索洛夫將可識別個人信息視為一個單獨類型的個人信息種類,并且提出了區別于已識別個人信息的特殊規制方式。
1. 一個非常典型的例子是歐盟對于個人信息與非個人信息的立法。對于個人信息,歐盟形成了以《條例》為代表的法律規制,但對于非個人信息,歐盟則形成了以《非個人數據自由流動框架條例》為代表的法律規制。前者以嚴格保護為基本原則,后者則以自由流動為基本原則。參見姚佳:《非個人數據自由流動條例》能振興歐洲數字經濟嗎?http://www.sohu.com/a/329568872_257489,最近訪問時間 [2019-01-2]。
2. See Nadezhda Purtova, “The Law of Everything. Broad Concept of Personal Data and Future of EU Data Protection Law”, 10 Law, Innovation and Technology 1(2018).
3. See Paul Schwartz & Dan Solove, “The PII Problem: Privacy and a New Concept of Personally Identifiable Information”, 86 N.Y.U. L.Q. Rev. 1814 (2011).
4. See Paul Schwartz & Dan Solove, “The PII Problem: Privacy and a New Concept of Personally Identifiable Information”, 86 N.Y.U. L.Q. Rev. 1814, 1836-1848 (2011).
5. See Paul Schwartz & Dan Solove, “The PII Problem: Privacy and a New Concept of Personally Identifiable Information”, 86 N.Y.U. L.Q. Rev. 1814, 1865-1870 (2011).
6. See Paul Schwartz & Dan Solove, “The PII Problem: Privacy and a New Concept of Personally Identifiable Information”, 86 N.Y.U. L.Q. Rev. 1814, 1877 (2011).
7. See Paul Schwartz & Dan Solove, “The PII Problem: Privacy and a New Concept of Personally Identifiable Information”, 86 N.Y.U. L.Q. Rev. 1814, 1880 (2011).
8. See Daniel J. Solove & Paul M. Schwartz, Information Privacy Law, 3d ed., (Wolters Kluwer, 2009), p.907.
9. See Paul Schwartz & Dan Solove, “The PII Problem: Privacy and a New Concept of Personally Identifiable Information”, 86 N.Y.U. L.Q. Rev. 1814, 1883 (2011).
10. See Paul Schwartz & Dan Solove, “The PII Problem: Privacy and a New Concept of Personally Identifiable Information”, 86 N.Y.U. L.Q. Rev. 1814, 1882 (2011).
11. See Paul Schwartz & Dan Solove, “The PII Problem: Privacy and a New Concept of Personally Identifiable Information”, 86 N.Y.U. L.Q. Rev. 1814, 1880 (2011).