论数据使用：个人信息保护与数据利用的衔接点_李晓阳.pdf

2023 年第 2 期热点聚焦Spotlight论数据使用：个人信息保护与数据利用的衔接点文 /李晓阳摘要：个人信息与数据利用在法律保护的价值取向和规则设计上存在着天然的矛盾。个人信息保护法将个人信息处理作为规范对象，实际上是对数据使用行为加以规制。对数据使用的理解成为二者有效衔接的关键。解析不同时代技术背景下的数据使用后发现，其法律内涵与具体规则是相互影响变化的。相较于信息的数字化，大数据时代的数据使用以实现信息的增量和再创造为目的，呈现出新的核心特征。我国个人信息保护体系的完善，需对增量信息的数据使用行为加以判断，建议在现有规则下增加用户感知标准。作者简介：李晓阳，浙江工商大学法学院讲师，西南政法大学知识产权法学博士。1.相关研究可参见龙卫球：数据新型财产权构建及其体系研究，载政法论坛2017 年第 4 期，第 164-183 页；程啸：论大数据时代的个人数据权利，载中国社会科学2018 年第 3 期，第 102-122 页；崔国斌：大数据有限排他权的基础理论，载法学研究2019 年第 5 期，第 3-24 页。2.相关研究可参见蔡培如：被遗忘权制度的反思与再建构，载清华法学2019 年第 5 期，第 168-185 页；刘文杰：被遗忘权:传统元素、新语境与利益衡量，载法学研究2018 年第 2 期，第 24-41 页。3.参见高富平：数据流通理论：数据资源权利配置的基础，载中外法学第 2019 年第 6 期，第 1405-1424 页。关键词：个人信息保护；数据使用；信息增量；用户感知标准2021 年 6 月数据安全法正式颁布，同年 8 月个人信息保护法正式通过。2022 年 3 月，国务院发布政府工作报告中强调，要“完善数字经济治理，释放数据要素潜力，更好赋能经济发展、丰富人民生活”。我国正步入全面依法治理数据的新时期，一个新的数字文明时代已经开启。新时代下，作为生产要素的数据，如何在安全可控的前提下充分发挥其效用，是对我国数据治理能力的考验，也是我国建设全球数字经济新高地必须面临的挑战。“数据使用”是数据治理的难点，它联结着个体、企业与政府，承载着最广泛的数据利益和最大范围的公共安全。在数据和个人信息保护的讨论中，吸引更多关注的是个人信息的权利设立，希冀以此谋求数据使用的治理之道，如数据权利的性质与分配问题、1数据保护中各主体的权利义务2，甚至是数据使用的合法性判断标准3。然而，数据使用的本身却被忽略了。究竟对482023 年第 2 期热点聚焦Spotlight数据何种程度、何种方式以及何种效果的使用，会使得这一行为落入个人信息保护框架4的规制尚不得而知。大数据时代的特殊技术背景，数据要素化的使用需求又将赋予数据使用何种新的特征？故而，本文将从数据使用的理论困惑着手，探寻数据使用的历史演进脉络，解析数据使用的核心特征，以纾解数据使用的理解与判断之难。一、理解数据使用的必要性权利抑或法益，是个人信息保护的学术迷思。已有研究试图对民法典进行教义学分析的努力，但没有得出唯一解，5这部分反映出数据要素的市场化配置与传统民法权利理论体系的割裂。很多学者使用“公地悲剧”刻画信息（或数据）权利化的迫切性，但这或许不是一个恰当的比喻。数据并非土地，其高度聚合可提高解决不确定性的能力，而非削减要素的附加值，造成滥用的，是数据使用的方式，而非数据被使用的事实。为此，个人信息保护法第 44-50 条，以个人信息处理活动6为前提，以“知情同意”、删除、可携带等方式，赋予数据主体“用脚投票”的能力，以抵御不恰当的数据使用方式。数据安全法更是以“规范数据处理活动”为基本出发点，要求建立自律机制，以防范数据滥用。总体上，个人信息保护法与数据安全法，分别从个人权益保护层面和宏观数据安全层面，共同为个人信息保护构建了一个基本4.由于在民法典 个人信息保护法等现行法律中对个人信息的定义均包含“电子或者其他方式记录的各种信息”，本文就不再区分个人信息与个人数据的概念。5.张新宝：个人信息保护条文研究，载中外法学2019 年第 1 期，第 66 页。6.本文提及的“数据使用”与“个人信息处理活动”基本同义，但考虑到数据安全法等相关法律法规均涉及个人信息的数据使用行为，故全文均以“数据使用”表述对个人信息进行收集、使用、加工、传输、处理等行为，而未使用个人信息保护法中“个人信息处理活动”的表述。7.参见高富平：个人信息处理：我国个人信息保护法的规范对象，载法商研究2021 年第 2 期，第 73-86 页。8.程啸：论我国个人信息保护法中的个人信息处理规则，载清华法学2021 年第 3 期，第 57 页。框架，以数据使用行为为节点，调节着数据在保护和利用之间的矛盾。对数据使用的理解达成有效共识，可有效衔接数据的保护和利用，使之成为法律良好适用的关键。（一）明确个人信息的“处理”范围两部法律都采用了“处理”一词，用以指代数据处理者对数据做出的各种利用行为。个人信息保护法中个人信息的“处理”包括“个人信息的收集、存储、使用、加工、传输、提供、公开、删除等”，数据安全法中数据“处理”包括“数据的收集、存储、使用、加工、传输、提供、公开等”，二者在“处理”一词的定义上相差无几。但是，对“处理”的含义明定，仅仅描述了数据处理的基本操作单元，却无法反映数据使用的价值流转方式。然而，个人信息处理却在个人信息保护法中，被赋予了界定规范对象和边界的双重价值。7在大数据技术背景下，互联网对日常生活的全面介入，意味着海量数据每时每刻都在不同互联网平台、数据经营者之间流转，更多的数据利用场景因价值链的重塑而被创造。个人信息以及个人信息处理行为，均处于内涵与外延高速变化的状态，这也是为何需要通过专门的个人信息保护法来规范个人信息处理。8这一规则要得以适用，哪些信息属于个人信息，是首要面对的问题。为此，部分国家和地区引入了“可识别性”标准，用以判定部分数据使用行为是否属于对个人信息的使用，为个人信息保护提供了落地的接口。我国民法典第 1034 条第 2 款、第 1038 条和个人信息保护法第 4 条第 1 款，均以“可识别性”492023 年第 2 期热点聚焦Spotlight为标准，判断纳入个人信息保护之范畴，只不过民法典第 1034 条还列举了具体信息类型。但在当前的数据处理技术条件下，大量碎片信息的重新组合，可再次发挥“可识别性”功能。这极大地模糊了个人信息概念的外观，因为“可识别性”主要是用以评价数据匿名化处理的结果，而非个人信息的特征与属性。有学者也注意到这一问题，提出因为可识别性的嵌入，令学界始终难以说明，何种人格权益受个人信息法律保护。9 然而，概念的模糊，不会令数据使用活动陷入停滞，也不会让个人和数据处理者的数据使用需求消失。真正令人困惑的是，将模糊的概念作为利益分配的依据是否恰当，它是否可以恰如其分地安排：哪些数据使用活动需停止，哪些数据使用需求又可得到满足。这是问题的关键。如果没有信心界定一个清晰的概念，那么，哪些信息属于个人信息的问题，事实上将会转换为，哪些使用行为将纳入个人信息保护的范畴。也就是说，判断的关键点，从个人信息这一客体，转变为了对数据使用行为的判断。如果说个人信息权利的内涵，决定了个人的何种权利在个人信息处理活动中能够得到保护，其外延则决定了个人对其个人信息的支配能力能够延伸到何处。10由此，“数据使用”的内涵更是从行为判断上直接决定了这一支配能力的实际边界。这种暗度陈仓的做法，已然体现了我国个人信息保护的现实。尽管个人信息保护在“处理”的内涵与外延上，尽力列举了信息使用的各类技术环节，但对个人信息的保护，更多还是关注数据使用的场景和方式，如数据使用应遵循最小必要原则（个人信息保护法第 6条）、要求公开数据使用的方式（个人信息保护法第 7 条、第 17 条、第 48 条）、数据使用9.参见陆青：数字时代的身份构建及其法律保障：以个人信息保护为中心的思考，载法学研究2021 年第 5 期，第 3-23 页。10.张新宝：论个人信息权益的构造，载中外法学2021 年第 5 期，第 1147 页。方式的变更需重新取得个人同意（个人信息保护法第 14 条、第 15 条）、限制或拒绝针对个人信息的特定数据使用情形（个人信息保护法第 44 条、第 46 条）。换言之，个人信息保护的重点，不在于静态地判断某一信息属于或不属于个人信息，而是聚焦于不同情境之下数据使用的动态规范，即追问：何种数据使用行为需要被个人信息保护法所调整？它需要被制止、限制抑或进行利益再分配？而回答这一问题的首要障碍是何谓数据使用，这也是本文试图回答的问题。（二）利益冲突的调和关于个人信息保护的理论阐释，通常会忽略一个事实：数据主体往往没有能力对数据进行储存、处理、开发、利用，而数据使用往往又需要投入相当的成本。人力、服务器、算力等资源被不断投入至数据的收集、存储、使用、加工、传输等环节。以供需为支点，个人与个人信息处理者如同衔尾蛇一般，共同编织着浩瀚无垠的赛博空间。个人信息保护法的介入，打开了衔尾蛇自我咬合的闭环，前者允许个人以拒绝、修改、删除等方式，选择退出卷入数据处理的洪流。这是一个新的治理格局，数据主体重新掌握部分自主权，打开了价值双向流动的通路，也带来了新的利益冲突。在理想状态下，受制于数据主体的知情权与控制权，数据滥用行为将因用户的退出而难以为继，监管主动性增强，数据要素在市场主体之间合规、有序、健康地流动。可一旦利益调和失序，权利的界限会变得模糊。一方面，这将使得部分数据主体受天然的隐私需求驱使，本能地拒绝来自数据处理者的使用请求（即使数据使用达到完全的合规标准，拒绝数据处理者对数据的收集、利用请求也将成为数据主体的首选）。数据要素化所需502023 年第 2 期热点聚焦Spotlight的数据聚合成本增高，导致更多的数据孤岛出现。另一方面，这也可能变相推动部分数据主体维权套利，各地法院、主管部门因滥诉而加重负担，加强合规监管，又将推高数据要素的流动成本，中小企业因合规成本高企，难以开展数据服务，反而加剧了数据垄断。因实施时间尚短，个人信息保护法的实际影响眼下还没有足够的实证材料得以探寻，又因法律配套细则尚在制定，当前仍有较大的制度空间，以规避治理失序情形的出现。罔顾任何一方利益，都无异于将特洛伊木马放置于数字经济的中心，平衡各方利益的支点成为各方着力寻找的目标，即：关于数据使用，应在何种价值立场之上，予以支持或拒绝，方可调和两者潜在利益冲突。事实上，不同立法在不同价值取向的选择上，存在着变化与区别的同时也在探索利益调和的不同路径。一方面，围绕个人信息的收集、处理，个人信息保护法呈现出一种向内回收的价值导向，其建立了完整的处理规则与明晰的权利义务，甚至在该法第 58 条加强、压实互联网平台企业的主体责任，但也在该法第 13 条首次增加了除“同意”之外的合法性基础，且第 20 条至第 23 条还明确了个人信息的共享规则。另一方面，数据安全法更加审慎看待数据在开发利用与安全保障之间的相互促进关系，以数据安全保护义务为核心，通过数据安全的测评、认证进行监管，把握个人信息流转的总体安全，除数据跨境之外，未对更多数据使用场景做出特别规定，希冀达到引导数据价值外放的效果，呈现出审慎包容的价值特点。以保护个人权利和数据安全为共同目标，二者努力调和着数据使用内收与外放的价值矛盾，共同构建起数据治理的基本框架。作为全球数字治理的中国方案，个人信息11.最新数据更新于 2021 年 12 月 14 日，参见：https:/unctad.org/page/data-protection-and-privacy-legislation-worldwide，最后访问日期：2022 年 2 月 5 日。12.申卫星：论个人信息权的构建及其体系化，载比较法研究2021 年第 5 期，第 3 页。保护法的出台只是起步。当前，全球已有 137个国家通过立法保护个人信息和隐私，11数据要不要使用、能不能使用的问题，已见真章。下一步，能否妥善解决如何使用以及利益归属等问题，将成为新一轮全球数字经济发