順豐口罩寄香港
法學>>
個人網絡行為軌跡信息的民法典定位與分類保護
發佈時間:2020-10-15 09:44 星期四
來源:人民法院報

韓新遠

在大數據時代,個人信息(也稱個人數據)的大規模收集、利用成為一種態勢。人類開啓了全景鏡頭,世界進入記憶模式。在追逐、挖掘信息“石油”的過程中,產生了如碎屑般瀰漫的個人網絡行為軌跡信息(以下簡稱行為軌跡信息),它是用户在線交互的副產品,是網民在互聯網上留下的“電子足跡”,有學者稱其為“數據廢氣”。

在數字社會視域下,行為軌跡信息是相對於傳統個人信息概念的一個參照性、集合性概念,指的是網絡用户在使用計算機和網絡的行為過程中被計算機硬件或軟件記錄下來的行為過程數據。由於技術和觀念更迭,行為軌跡信息的外延在不斷髮生變化,很難進行精確界定,只能進行開放性羅列,包括但不限於瀏覽器搜索關鍵詞,用户操作記錄(網站登錄記錄、軟件使用記錄、點擊記錄),通過互聯網觀看、收聽、閲讀一切視聽內容的記錄,支付軟件的交易記錄,軟件翻譯記錄,位置蹤跡,網購足跡,智能穿戴設備收集的身體體徵信息,系統錯誤報告信息,用户改善計劃等。與上網賬號、用户名、密碼、IP地址、姓名、出生日期、身份證號碼、學號、電話號碼、住址,乃至基因、聲紋、人臉圖像等個人信息不同,具有瞬時性、缺乏獨立身份識別特徵的行為軌跡信息在模擬數據時代和信息技術初期階段,由於技術條件的限制、存儲成本的考量,在完成它們的功能使命後,便被丟進了數據墳墓。譬如搜索引擎鍵入的關鍵詞、網上購物結束後留下的瀏覽記錄,其一度不被法律所認可和保護。

然而,隨着信息的電子化、可存儲越來越便捷,個人信息的利用尤其是二次挖掘價值得以彰顯,在大數據強大的聚合、分析能力前,在數據運用利益驅動下,行為軌跡信息的“可識別性”不斷增強,人格利益和財產利益愈加凸顯,與個人信息的邊界日漸模糊。從身份識別到行為識別,行為軌跡信息實現了從不可識別到可識別的流變,成為個人數字畫像、開展精準廣告推送的重要依託,傳統身份信息要素的價值愈加依附於其衍生出的行為軌跡信息,甚至與身份要素完全脱離的反映相應特徵的行為標籤信息,都可實現相應商業利益。由此可見,行為軌跡信息已經具備化升為受法律保護之權益或權利的實質要件。

這一變化從民法典相較之前的規範文件所作的文字表述變動中也可以看出。網絡安全法第七十六條將個人信息表述為“指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別自然人個人身份的各種信息”,民法典第一千零三十四條第一款將個人信息界定為“以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人的各種信息”。雖然兩者對個人信息概念均採用了“概括式+列舉式”的定義方式,但在概括部分卻有了明顯差別,後者不再侷限於“身份”識別的範圍。結合國家市場監督管理總局、國家標準化管理委員會發佈的《信息安全技術個人信息安全規範》(GB/T35273—2020,以下簡稱《規範》)中對個人信息的表述,即“以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人身份或者反映特定自然人活動情況的各種信息”,不論從文義解釋視角還是體系解釋出發,我們都沒有理由將行為軌跡信息排斥在民法典的評價範圍之外。

將行為軌跡信息納入法律評價框架並不意味着要籠統落入個人信息的法律保護範圍,而應平衡數據保護與數據自由之間的張力,參照民法典(將個人信息劃分為一般個人信息、私密信息、匿名信息)和《規範》(將個人信息劃分為一般個人信息、個人敏感信息)的規範實踐,既要考慮識別所需的成本、時間及技術發展,又要考量“個人信息遲鈍者”和部分用户為獲得免費網絡服務而貢獻個人信息的主動意願,結合行為軌跡信息的存在形態、樣本數量、與其他信息的結合程度進行傾向性歸類而非做概念性認定的層級分類,從而採用不同程度的保護標準,以界定信息收集者、使用者的不同責任。

一、私密信息類的強保護模式。從信息類型看,此類行為軌跡信息屬於民法典中的私密信息。例如通過軟件持續性追蹤或特定業務開展而獲取的有關性取向、性生活、疾病史、未公開的違法犯罪記錄等,此類信息要強化其防禦性保護,非特定情形不得處理,否則將承擔相應的侵權責任。民法典第一千零三十四條第三款規定“個人信息中的私密信息,適用有關隱私權的規定;沒有規定的,適用有關個人信息保護的規定”,第一千零三十二條第二款對“隱私”進行了界定,即“隱私是自然人的私人生活安寧和不願為他人知曉的私密空間、私密活動、私密信息”。由此可知,民法典對個人信息中的私密信息進行了分類和強調。劃入隱私的行為軌跡信息,應強調其“私密性”,進而與其他層級的個人信息在收集、存儲、使用、加工、傳輸、提供、公開等方面形成相區別的授權同意規範、技術安全規範、信息處理規範等。

私密類行為軌跡信息一般宜採取“任一主體説”的嚴格識別標準,即應通過社會中任何人識別的可能性判斷。關於“不願為他人知曉”的“私密性”,雖然強調主觀意願,但是該主觀意願也不完全取決於隱私訴求者的個體意志,應符合社會一般合理認知。社會一般合理認知可能受到文化傳統、法律傳統、習慣風俗、經濟發展狀況、社會普遍價值觀等因素的影響。

二、敏感信息類的次強保護模式。從信息類型看,此類行為軌跡信息屬於《規範》中的敏感信息,譬如個人財產信息中的交易消費記錄、虛擬財產信息,以及個人的行蹤軌跡、網頁瀏覽記錄(包括通過互聯網觀看、收聽、閲讀一切視聽內容的記錄)、住宿信息、精準定位信息。從數據存在樣態看,此類數據是一種“動態”且“混合”的行為軌跡信息,“動態”類指對主體的購買記錄、行蹤軌跡、搜索歷史、翻譯記錄進行持續性追蹤所形成的數據集;“混合”類指捆綁顯性識別符(姓名、身份證號、住址、IP等)的行為軌跡信息,或將多個類型的行為軌跡信息混合收集的行為軌跡信息集(比如能進行交叉驗證的位置信息與網上交易記錄的混合)。

對此類行為軌跡信息可給予個人敏感信息強度的法律保護。數據控制者收集該類數據必須獲得數據主體明示同意,即數據主體通過書面聲明或主動做出肯定性動作來完成對其個人數據進行特定處理的明確授權,肯定性動作包括數據主體主動作出聲明(電子或紙質形式)、主動勾選、主動點擊“同意”“註冊”“發送”“撥打”等。同時,數據控制者要遵循合法收集、目的限制、最小夠用、確保安全等原則,數據主體享有查詢、更正、刪除、撤回同意等權利。

需要注意的是敏感信息不能概括等同於私密信息,後者是前者的特殊情形。敏感信息屬於兼具防禦性期待及積極利用期待的個人信息,此類信息的處理是否侵權,宜採取“社會一般多數人説”的識別標準,即結合信息內容、處理場景、處理方式等,從普通大眾、一般人的角度出發來認定。 

三、一般信息類的弱保護模式。從信息類型看,此類行為軌跡信息可涵括智能穿戴設備收集的身體體徵信息,系統錯誤報告信息,用户改善計劃,用户接入網絡的方式、類型和狀態,網絡質量數據,設備加速器(如重力感應設備)等。從信息存在樣態看,此類信息與敏感信息一致,屬於持續性追蹤所形成的動態且混合的行為軌跡信息。另外需要注意“標籤化”信息,即與國際移動設備身份碼IMEI、網絡設備硬件地址MAC、廣告標識符IDFA、唯一應用程序編號等進行綁定的信息(不管何種類型),其雖不能實現“身份識別”,卻能實現“行為識別”或“特徵識別”。識別此類信息宜採取“信息控制者標準説”,即以信息管理者自身的條件作為標準。

對此類行為軌跡信息可給予與一般個人信息同等的法律保護,其保護強度弱於敏感信息。“弱”主要體現在數據控制者收集該類數據只須獲得數據主體默示同意即可。默示方式指行為人雖沒有以語言或文字等明示方式做出意思表示,但以特定作為或不作為的沉默方式做出了意思表示,比如閲讀“使用即同意”的條款、瀏覽默認勾選的對話框等。至於數據主體和數據控制者的其他權利義務與敏感數據相同。敏感信息類和一般信息類的行為軌跡信息可歸類為民法典第一千零三十四條第二款中的個人信息。

四、匿名信息類的選擇保護模式。民法典第一千零三十八條對此類信息採取了“處理”+“不能復原”的技術識別標準,可分為兩類樣態,其一為單一的行為軌跡信息,即只收集用户的瀏覽記錄、蹤跡信息或鼠標點擊歷史等單一種類的數據而沒有與用户的ID、IP等任何識別符進行捆綁,也沒有和其他種類的行為軌跡信息混合收集且單獨存儲,具有高度離散化特徵;其二為偶然的“標籤化”行為軌跡信息,即偶爾使用搜索引擎產生的關鍵詞或使用翻譯軟件留下的文字碎片、少量網購行為記錄、隨意進入某網頁留下的操作痕跡等,即使和特定標籤信息捆綁,也因其稀少、隨機的特性而宜歸為匿名信息範疇。

對該類行為軌跡信息須在分類基礎上進行選擇性保護。依照是否投入智力、物力被加工為標準將此類信息分為原始信息和加工信息,前者指直接從數據主體收集而來的信息,屬於純粹的匿名信息,不在法律保護範圍之列,處於共享狀態;後者指數據控制者和使用者對原始信息加工後的信息,在“淘寶公司訴美景公司不正當競爭案”中被稱為網絡大數據產品。該類匿名信息雖與數據主體脱離關係,但經過了網絡運營者大量智力勞動投入,經過了深度開發與系統整合,故網絡運營者對其享有財產性權益,其他網絡運營者不能擅自抓取,否則構成不正當競爭。當然,該問題的探討又將開啓企業數據的權屬爭議,本文不予展開。

(作者單位:華東政法大學法律學院)

責任編輯:李紀平
8327841
相關新聞