肖颯：你贊成這樣使用個人信息嗎？

2020年02月19日13:19 作者:肖颯

　　文/新浪財經意見領袖專欄作家肖颯

　　大數據為企業創新與個人便捷生活撬動巨大潛能，數據公司成為最了解你的人。大數據基于自身特性所帶來的特殊法律風險也不容忽視。讀者朋友可曾想過，你與數據平臺的交互中，發布的“心情”、“說說”與“狀態”等可都是個人信息？企業對你的個人信息再利用，你可同意？

　　大數據為企業創新與個人便捷生活撬動巨大潛能，數據公司成為最了解你的人。大數據基于自身特性所帶來的特殊法律風險也不容忽視。讀者朋友可曾想過，你與數據平臺的交互中，發布的“心情”、“說說”與“狀態”等可都是個人信息？企業對你的個人信息再利用，你可同意？對此，我們謹分享如下內容：

　　內容提要

　　1．與我有關的信息，都是“我”的個人信息嗎？

　　2．公民個人信息的邊界；

　　3．場景理論，怎么用？

　　與我有關的信息，都是“我”的個人信息嗎？

　　“個人信息”作為一個老生常談的概念，其定義出現在不同法律規范中：

　　《網絡安全法》指出，“個人信息，是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別自然人個人身份的各種信息，包括但不限于自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等”。

　　《最高人民法院、最高人民檢察院關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》第一條規定，“刑法第二百五十三條之一規定的‘公民個人信息’，是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人身份或者反映特定自然人活動情況的各種信息，包括姓名、身份證件號碼、通信通訊聯系方式、住址、賬號密碼、財產狀況、行蹤軌跡等”。

　　《個人信息安全規范》第3.1條，明確個人信息，是指“以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人身份或者反映特定自然人活動情況的各種信息”。該規范的附錄A進一步指出，“判定某項信息是否屬于個人信息，應考慮以下幾條路徑：一是識別，即從信息到個人，由信息本身的特殊性識別出特定自然人，個人信息應有助于識別出特定個人。二是關聯，即從個人到信息，如已知特定自然人，則由該特定自然人在其活動中產生的信息（如個人位置信息、個人通話記錄、個人瀏覽記錄等）即為個人信息。符合上述兩種情況之一的信息，均應判定為個人信息。”附錄A對個人信息舉例如下：

　　通過以上民事法律規范、刑事法律規范，國家標準，是否所有與我有關的信息都是個人信息呢？別人形成的關于我的評價信息是否是我的個人信息？由此衍生開來，任何關于特定個人的負面信息的熱搜是否都是個人信息，對此，任何被搜個人都有權撤下熱搜呢？大家是否還記得曾火遍校園的某人網將數據平臺出售給其他公司的新聞，某人網網站的出售內容，就包括億萬用戶分享的日常點滴，你是否覺得的自己的個人信息權利被侵犯了嗎？

　　公民個人信息的邊界

　　我們漸漸發現個人信息界定的難點之處。日常大家分享個人生活到朋友圈，對朋友圈內的對象來說，該信息屬于公開數據，分享相關內容的本意就在于允許其在朋友圈內的傳播。但對于數據平臺與第三方企業來說，此類用戶數據該類內容包含了大量可識別的個人信息，又可能屬于隱私所保護的對象。也即，個人數據權利的邊界存在不確定性。個人信息的定義往往高度依賴于具體場景，同樣的一組數據，在不同的場景中對于不同的對象而言可能分屬不同類型的數據。

　　數據權屬問題高度依賴場景，這意味著，維護個人數據權益與企業數據權益必須采取場景化的保護方式。通過在具體場景中確定數據的性質與類型，并根據具體場景中各方的合理預期來確定相關主體的數據權益。

　　讀過本公眾號中數據合規系列文章之二《案例|人臉數據，悄悄被竊走．……》的讀者發現，這樣的依賴于場景的界定方式，也正契合了數據利用中的 “情境脈絡完整性”理論。只是在個人信息的界定上，我們更想強調的是，特定案例中，與個人有關的信息是否一定屬于個人信息，也可以說，企業未經授權使用與信息主體有關的信息，是否就一定違法呢？

　　以上問題，我們持否認態度。個人信息權利的觸角需依據具體信息所在場景而定。正如對隱私權侵權行為的判斷，數據隱私法的權威學者丹尼爾 ? 索洛夫（Daniel Solove）提出，“隱私并不存在一個核心或本質特征，保護隱私實際上是保護具體場景中的某些個人權益不受侵害”；阿里 ? 瓦爾德曼（Ari Ezra Waldman）教授也指出，不能以個人權利來理解隱私與個人信息或個人數據，因為隱私問題的本質在于信任，其權利的邊界需要根據具體場景中的合理期待來確定。

　　個人信息權利來源于隱私權，其邊界也正影響著個人信息的使用方式。按照“情境脈絡完整性”理論，基于情境下的個人信息邊界不同，保護個人信息的保護關鍵便在于實現信息使用的“場景性公正”，即要在具體場景中實現個人數據與信息的合理流通。

　　場景理論，怎么用？

　　“情境脈絡完整性”逐步滲入到各國隱私及個人信息保護的權利法案。以《一般數據保護法》（“General Data Protection Regulation”簡稱“GDPR”）為例，該規則關于對數據的合法處理規定中，要求信息控制者、處理者等設置隱私風險評估機制。而適當情況下，信息控制者應當尋求個人信息主體或者其在數據處理預期方面的代表的觀點，且數據處理行為不得危害商業和公共利益。

　　基于評估結果的數據利用，正是 “情境脈絡完整性”在實務中的運用。我們看到GDPR對上述情景理論的片段性適用，但卻不可以偏概全，認為GDPR即是貫穿本原則所作出。

　　2020年2月7日，歐盟數據保護委員會EDPB公開發布的《關于在聯網車輛和交通相關應用程序中處理個人數據的指南》中指出“有關聯網車輛的個人數據可能會因多種用途被處理，包括保障司機安全、保險、提升交通效率、提供娛樂或資訊服務。根據GDPR，數據控制者必須確保其目的是明確的、合法的，不以與這些目的不相容的方式進行進一步處理，并確保GDPR要求的處理具有有效的法律基礎”。“如車輛及設備制造商、服務供應商及其他數據控制者應盡可能采用不涉及個人數據或將個人數據轉移至車輛以外（即數據在內部處理）；如果數據必須離開車輛，應考慮在傳輸之前將其匿名化；考慮到可通過聯網車輛生成的個人數據的規模和敏感性；處理個人數據，特別是在車輛外部處理個人數據的情況下，往往會對個人的權利和自由造成很大的風險，在這種情況下，行業參與者將被要求執行數據保護影響評估（DPIA），以識別和減輕風險”該指南中，車輛外部處理個人數據時未要求多重授權，同樣提出的是數據處理需符合目的以及數據保護影響評估等操作路徑。