大数据背景下个人信息保护中的第三方当事人规则探究_陈璐伟.pdf

111东南传播 2023 年第 5 期（总第 225 期）2023年第五期大数据背景下个人信息保护中的第三方当事人规则探究陈璐伟（中国政法大学光明新闻传播学院 北京 100088）摘 要：数字政府的建设在推动国家治理现代化的同时也带来了一定的个人信息风险。网络服务提供者在用户接受其服务时收集、存储了海量个人信息，这些信息在政府与企业间达成了使用流转。第三方当事人规则让这种行为具备合法正当的形式可能。然而，在数字化时代背景下，它的理论前提面临着一系列挑战。需要重拾隐私理论审视公民隐私期待，适用比例原则制约信息处理行为，基于利益平衡重塑数字社会政策。关键词：第三方当事人规则 隐私期待 数字政府 个人信息保护一、问题的提出近年来，我国围绕实施网络强国战略、大数据战略，始终致力于推进数字政府建设。然而，有学者指出，在数字政府建设过程中，政府利用社会数据资源进行大数据治理，这在推动国家治理体系与治理能力现代化的同时也伴随着一定的个人信息风险1。网络服务提供者即平台在提供服务的同时也收集、存储了海量个人信息。研究发现，政府与企业之间通过“政企共谋”“企企共享”与“政政互通”，在二维主体层面、多方个体之间达成了公民个人信息的使用流转2。大数据时代下，个人信息保护面临一系列挑战，平台对个人信息的过度收集与无序使用让人们在一种“信息透视”的环境下遭受着巨大的精神痛苦，包括但不限于生活便利性降低、经济损失、人身安全受到威胁等3。但在数据“核爆”的大数据背景下，人们的隐私往往以整合隐私的形式呈现，这导致了此类隐私泄露的痛苦具有一定的滞后性，同时，这也是当前用户信息安全意识普遍欠缺的重要原因。因此，审视政府与企业间的这种信息流转行为的合法性，对于网络时代中的个人信息保护问题具有重要意义。“第三方当事人规则”让上述行为具备合法正当的形式可能。第三方当事人规则衍生自 美国宪法第四修正案，根据该理论，如果公民自愿向第三方或在公共场所曝光自己的信息，那么该公民关于已披露的信息就不再受到美国宪法第四修正案的保护4。当下，各网络服务提供者便扮演着第三方当事人的角色。不可否认，第三方当事人规则对于打击违法犯罪、维护公共利益、构建良性数字社会等方面都具有积极作用。但是，随着信息技术的不断发展，时代环境的动态更迭，该规则的适用也面临着一些问题。综上所述，本文从第三方当事人规则在我国的制度基础出发，针对其存在的风险与挑战，尝试提出有关个人信息使用问题的解决路径，促使数字政府体系框架进一步成熟完备。二、第三方当事人规则的制度基础第三方当事人规则是根植于隐私理论，生发于司法实践的一项法律原则。它也同样建立在诸多法律法规文本以及网络平台协议当中。一是法律文本基础。首先，我国民法典和个人信息保护法为个人信息保护中的第三方当事人规则提供了广阔的适用空间。民法典第1036条规定了处理个人信息时的免责条款，即处理当事人“已公开”的信息；个人信息保护法第13条与第27条也对民法典的该规定作出了回应。其次，我国刑事诉讼法与公安机关办理刑事案件程序规定等涉及侦查方面的法律法规为网络服务提供者设定了提供证据的义务。刑事诉讼法第137条规定了任何单位和个人有义务交出可以证明犯罪嫌疑人有罪或无罪的证据；具体到操作层面，公安机关办理刑事案件程序规定第61条指出“公安机关向有关单位和个人收集、调取证据时，应当告知其必须如实提供证据”。最后，我国治理网络空间的专门法网络安全法也为侦查机关提供支持保障。该法第28条提出了网络运营者“应当为公安机关侦查犯罪的活动提供技术支持和协助”的要求。二是平台协议基础。除了法律法规外，互联网企业即网络服务提供者制定的平台协议内容也涵摄了第三方当事人规则。国家市场监督管理总局在其起草的互联网平台分类分级指南（征求意见稿）中将互联网平台分为六大类5。本文基于该指南对不同类别平台的用户协议进行文本分析。淘宝网隐私政策（网络销售类平台）第三（五）部分规定了依法豁免征得用户同意即可使用用户信息的情形，包括“为履行法定职责或法定义务（按行政、司法、监察等有权机关依法提出的要求）”。美团隐私政策（生活服务类平台）第一（四）部分“征得同意的例外”中也采取了相同的表述。微信隐私保护指引（社交娱乐类平台）第1.32部分a款指出，“为个人信息处理者履行法定义务或法定职责所必需”可能会处理用户相关信息而无需征求同意。“人民网+”客户端隐私政策（信息资讯类平台）的规定较为详细，在其第三（四）中列举了“与犯罪侦查、起诉、审判和判决执行等直接相关”等十种信息披露情形。支付宝隐私权政策（金融服务类平台）也在开篇列举了十种情形，其中包含了“反洗钱”“反电信网络诈骗”等与金融服务更密切相关的情形。本文微信网页版特别推荐 受众研究DOI:10.13556/35-1274/j.2023.05.014东南传播 2023 年第 5 期（总第 225 期）112百度网盘隐私政策（计算应用类平台）第1.14部分也同样规定了十余种类似情形。通过梳理协议文本，不难发现，各类别网络平台的相关规定具有同质化明显的特征，类似于“格式条文”。可见，无论是法律法规对网络服务提供者设定的“协助义务”，还是网络平台协议中使用信息无需征得同意的“例外情形”，都在宏观与具体层面为第三方当事人规则在我国的适用奠定基础。然而，用户为使用网络服务而提供的个人信息是否属于“自行公开或已经合法公开的信息”？网络时代的信息披露与过去的信息披露不可同日而语。正如美国Marshall大法官所指出：“在打电话已经成为公民日常生活中必不可少的一种需求时这种情况下应当自担风险的观点是否具备现实性？6”网络环境下，信息授权成为接受网络服务的必要前置条件，在这种“泛授权”的情境下，将用户的个人信息认定为“公开”或不当地加重了用户的信息风险负担。此外，平台协议中如此纷繁的“例外情形”也导致了平台作为网络服务提供者的“双重义务”的内在冲突。在个人信息保护视域下，收集、储存了海量用户信息的网络服务提供者既要充当个人信息保护的“守门人”，侧重于盈利性需求与私权保障，又要扮演侦查办案执法的“协助者”，侧重于公共利益与整体安全目标，这都隐藏着公民权利与公权力之间互动关系的“二元博弈”。三、第三方当事人规则的风险挑战正如前文所指出的，在个人信息使用问题上，我国诸多法律法规以及平台协议的条款都体现出了第三方当事人规则的理论旨趣。然而，在信息技术高速发展的时代背景下，该规则却体现出了对个人信息保护基本规范的背离，面临着一系列的风险与挑战。（一）网络空间的“推定同意”不合逻辑数据主体的“同意”是“合法”处理其个人信息的具体情形之一。这在个人信息保护法与网络安全法的部分条文中都有详细规定。有学者基于“推定同意说”，将自愿公开信息推定为同意其他人对其信息进行处理。理由是，自愿公开足以形成推定同意的客观事实基础，并且，推定同意仍属于广义上的同意7。这意味着，网络用户签署隐私政策协议后，可以推定“平台获取用户信息”以及“国家机关工作人员能够从平台获取该信息”分别基于用户与平台二者“自愿”。然而，这种推定同意是不合逻辑的。一方面，在数字时代下，公民的生活已经很难脱离于网络的介入，在使用过程中难以避免“信息授权”；另一方面，网络平台获取用户信息的主要目的是通过数据分析提供个性化服务，促进其实现商业价值，公开披露用户信息的行为并不完全出于其“自愿”。例如，2013年雅虎首席执行官MarissaMayer在解释雅虎为什么没有保护用户隐私时称“如果你不遵守，这是叛国罪”8。根据“卡-梅框架”（C&MFramework）的“财产规则”和“责任规则”理论，前者允许法益的自由交易，他人若想处理对方个人信息，必须以数据主体同意的价格从其手中购买；后者允许强制性的法益转移，与之对应的是法益获得者支付一定的费用作为补偿9。我国个人信息保护法第13条基于“责任规则”，允许信息处理者在“符合一定情形”时不需取得个人同意，且需要支付的补偿费用为零。因此，无论数据主体的“同意”是否为推定，国家机关工作人员都在事实层面上成为第三方当事人规则的最大受益者。因此，在信息处理的过程中更应当符合法律要求。（二）数据主体的“隐私期待”遭到干预隐私的重要性不言而喻。伦敦大学学院传媒法教授Eric将数据主体对所披露事实的“隐私期待”比作“私人生活的试金石”10。权利人要使得针对隐私、信息侵权的索赔成功，首先需要证明他们对该隐私具有合理期待。然而，法律规定与平台协议为人们的网络活动套上“枷锁”。公民在接受网络服务的过程中受到第三方当事人规则的干预，对其主动披露的个人信息便不再抱有合理隐私期待。这亦有不合理之处。首先，公民的网络行为始于“档案创设”，通过个性化编辑进行网络身份塑造，实质上是一种受控制的自我构建。在这个过程中用户必然会留下痕迹，无所谓“自愿”与否。其次，第三方当事人规则的理论预设是“向他人告知信息”。在人际交往过程中，我们无法对参与实质交流的“人”抱有“绝对保密”的期待。然而，网络服务提供者在互联网活动中作为中介平台，公民仅以其为媒介与他人或其他信息产生交互。在网络平台未与公民产生实质性交流的前提下，要求作为数据主体的公民承担其隐私信息可能遭受侵害的风险，其适当性有待考究。（三）无罪推定与“提前预警”存在矛盾第三方当事人规则架起了政府与企业间数据沟通的桥梁，政府数据库的建立从另一方面来说也是公权力对于私生活的介入。诚然，在大数据背景下，数字政府的建立在很大程度上对刑事侦查、打击犯罪产生了积极影响，但这也可能导致犯罪嫌疑人的正当权利受损。例如，犯罪治理活动的提前动摇了“无罪推定”原则。2015年，中共中央办公厅和国务院办公厅联合印发的关于加强社会治安防控体系建设的意见强调通过信息资源的整合应用，增强主动预防和打击犯罪的能力。它强化了“预测警务”在我国犯罪治理中的地位，也提前了刑事侦查启动的节点。在大数据介入刑事司法的过程中，侦查权得到扩张，这种“提前预警”与无罪推定原则的“限制预判”存在着紧张关系。研究发现，个人信息大数据在犯罪治理中的应用有从重大犯罪向一般犯罪案件扩张的倾向。例如，北京市怀柔区警方的预测系统主要针对盗窃类案件；江苏省苏州市的犯罪预测系统在2015年就已经覆盖91种违法犯罪行为；江西省的特殊人群大数据平台则指向服刑人员、刑满释放人员、社区矫正人员等11。这都意味着无罪推定与“提前预警”的冲突愈发明显，已经从例外发展为常态。具言之，个人信息保护制度是以私人部门为范式建构的，是一种主要目的为维护个人权益的机制。政府在履行公共职责时，个人信息往往会因为“国家安全”“公共利益”的优位性而受到限制，处于一种非对等的弱势地位。然而，政府活动的公共属性也需要根据高权程度的不同而进行区分，具体为刑事司法活动、秩序行政、服务行政等。只有重大社会公共利益才能构成利用公民个人信息的正当理由。倘若模糊公共行为边界，势必会对公民合法权益造成不同程度的影响。四、个人信息使用问题的解决路径基于上述分析不难发现，摒弃传统的第三方当事人规则思维惯性，在大数据时代下重构个人信息保护理念迫在眉睫。本文提出一种解决路径来应对该规则在当前的风险、挑战，认为应当重拾隐私理论审视公民隐私期待，适用比例原则制约信息处理行为，最后，基于利益平衡重塑数字社会政策。（一）重拾隐私理论审视公民隐私期待首先，应当在互联网语境下判断隐私的合理期待。合理隐私期待需要做到主客观的相统一：主观上需要当事人对所披露的信息具有隐私期待，客观上需要该期待符合普遍的社会认同。而无论是主观还是客观层面，都存在着“程度”特别推荐受众研究113东南传播 2023 年第 5 期（总第 225 期）2023年第五期的问题。个人信息以0和1比特形式在信息处理者中流动，而个人信息所涉及的隐私期待并不是“0”与“1”的区分。美国Marshall大法官认为“不能简单地认为公民完全拥有或者完全不拥有它（隐私）。12”为了特定目的的信息披露行为不应附加过分的额外风险。也就是说，用户因购买商品的需要向平台提供了个人信息，仅需要承担个性化推送带来的潜在隐私侵扰风险，但不应承受其信息被公开披露