数据处理目的改变之法律挑战与对策
作者: 杨烁 王玉宝摘 要:目的限制原则要求信息处理者对数据进一步处理不得与初始目的不兼容,大数据和人工智能的发展对该原则发起了挑战。大数据分析使用不同的算法分析数据,人工智能通过对所持有的数据进行训练,要求重新使用数据创造新的价值。改变数据处理目的,须在信息主体的基本权利保护、风险控制与促进创新之间构建一个新的平衡。为了给数据的进一步处理提供一定的灵活性,通过场景一致性构建兼容使用理论;为科学研究、统计目的使用数据推定具有兼容性,从而释放大数据分析的价值,并提高法律的可预测性。更进一步,通过代码塑造数据处理目的改变再次利用数据的行为规范。数据的设计和默认保护理念认为代码架构可以通过数据处理场景,将目的限制原则内置到信息系统当中,通过组织和技术保障措施确保数据重新使用具有兼容性与合法性,并保障数据安全。
关键词:目的限制原则;兼容性;目的改变;数据设计和默认保护
[中图分类号] D901 [文章编号] 1673-0186(2024)002-0116-016
[文献标识码] A [DOI编码] 10.19631/j.cnki.css.2024.002.009
目的限制原则是各国数据保护法的基础性原则,要求进一步处理个人信息不得与初始目的不兼容①。数据具有成本,但是也遵循报酬递增规律[1]。频繁使用数据,可以使得成本递减,利润增加。数据作为非竞争性资源,具有再利用数据的规模经济和范围经济效益。但是,目的限制原则与大数据分析的价值可能背向而行。大数据分析的价值往往在于收集数据后再去寻找具体目的,并且大数据分析很有可能以最初收集数据尚未预想的方式来分析数据[2]。有观点认为允许在没有预先确定目的之场景下处理数据,是创新快速发展的必要条件,主张为了发挥大数据的潜力,应该以空前未有的规模收集数据,并允许为不同的目的重复使用[3]。有批评声音甚至指出欧盟《一般数据保护条例》(General Data Protection Regulation, GDPR)(以下简称“GDPR”)已经与大数据不兼容[4]。大数据分析与目的限制原则存在矛盾,为了遵守该原则,信息处理者应当告知个人他们进一步处理个人信息的方式,并密切关注该处理形式,以保证后续处理处于兼容性范围,从而认为执行这些任务是昂贵的、困难的,甚至是不可能[4]1006。相反,有学者通过计算机科学及交叉学科研究的视角驳斥了以上观点。他提出数据最小化和目的限制原则可以在数据驱动的环境中,特别是算法分析、个性化和决策系统有意义地实施。这两项法律原则在管理个人数据处理风险方面继续发挥重要作用,它们甚至可能通过减少数据中的噪音来提高人工智能系统的稳健性[5]。为了保护数据主体,目的限制原则是要求信息处理者采取相关保障措施,当然也为信息处理者的行为赋予一定的灵活性[6]3。目的限制原则长期以来被认为是数据保护的基石,也是大多数其他基本要求的先决条件[7]。该原则要求信息处理目的必须特定、明确、合法,这意味着信息处理者不能以创新为名,对信息主体的权利、自由和利益造成不相称的干扰。
因此,GDPR仍然坚持目的限制原则,我国法律也规定了目的限制原则。GDPR第二章原则第五条个人数据处理原则规定,个人数据应为特定、明确、合法的目的被收集,并且个人数据的进一步处理不得与该目的不兼容①。《中华人民共和国个人信息保护法》第一章第六条规定了目的限制原则,处理个人信息应当控制在收集个人信息之初始目的直接相关的范围内,在没有合法基础的情形下,擅自改变目的,则违背目的限制原则。
数据处理目的改变之理论构建,在数据经济发展和个人基本权利保护的紧张关系中起着举足轻重的作用。严格遵守目的限制原则,可能会限制某些提高经济效率的数据使用,阻碍技术进步;过度使用数据,可能会给个人基本权利、隐私等造成侵害。我国学术界在这方面的研究,处于初步阶段,主要着眼于三个方面:一是对目的限制原则含义进行一般解释[8],或者进行价值补充[9],或者对其中一方面的探讨,如对“目的特定”的理解[10],强调目的改变须再次征求信息主体同意[11];二是针对特殊场景目的限制原则的应用研究,如刑事侦查场景中目的限制原则的适用[12],侦查需要目的与隐私权保护[13],科学研究场景中目的限制原则的突破[14]。三是对数据处理目的改变的理论研究,有观点主张进一步处理数据,特殊情况下允许超越初始目的,但不能超越个人预期[15]。但是,对数据处理目的改变的逻辑结构与理论基础尚无深入的探讨,思考数据处理目的改变之路径选择及理论生成,正是本文研究之目的所在。
一、数据处理目的改变之路径选择
对数据进一步处理重新使用,是数据价值实现的关键环节,但是改变目的处理个人数据可能侵害个人基本权利。因此在保护基本权利与数据再使用之间如何进行平衡,则遇到了理论难题和实践矛盾。
(一)数据处理目的改变与基本权利保护
数据处理目的改变之历史沿革与基本权利保护密切关联。1950年通过的《欧洲人权公约》(ECHR)第八条规定了从有权享有使自己的私人和家庭生活、家庭和通信得到尊重的权利①。该条包括了隐私保护,在存在“干涉隐私”的情形,须有法律根据和明确合法目的,作为评估干涉必要性的前提条件。欧洲委员会发布的《关于个人数据自动化处理的个人保护公约》(下称“108号公约”)引入了保护个人数据的概念[6]7。第108号公约第5条确立了数据保护法的基本原则,包括合法原则、公平原则和相称性原则,也规定了目的说明和目的必须合法的要求。同时,还引入了不兼容的概念,不能以与特定目的“不兼容”的方式使用数据②。1980年通过的《经合组织指南》进一步规范了兼容使用的概念。该指南允许将数据“后续使用”用于不同的目的,只要这些目的与最初的目的不相矛盾,并且在每次目的改变时都进行具体说明。该指南提到了兼容使用要求的两种例外情况:“经数据主体同意”或“经法律的权威”[16]。《第95/46/EC号保护个人在数据处理和自动移动中权利指令》引入了为历史、统计或科学目的进一步处理数据的规定;只要成员国确保有适当的保障措施,这些都不被认为是不兼容的[6]9-10。
理论上,目的限制原则的坚持,是保护个人基本权利和自由的要求。确保信息处理者尊重目的限制原则,是信息自决权尊重个人合理期待的必然结果。目的限制原则可以增强信息主体对个人信息的控制,促进社会公众对数据环境的信任,创造和谐的网络空间。相对应的是,目的限制原则在一定程度上削弱了信息处理者对数据市场的控制地位,从而允许新的竞争者进入市场,促进有序竞争,培养合法安全的创新土壤。
(二)数据处理目的改变之路径构建
在收集个人信息的初始目的范围内处理个人信息,是一种理想的追求。随着技术的进步,需要在新的目的范围内重新使用数据。如何在保护个人基本权利、促进创新、加强风险控制上达到一个合理的平衡,这给法律理论和实践提出了新的挑战。理论上,个人信息处理目的改变有以下五种可能路径:一是基于信息主体同意或者国家机关履行法定职责或者法定义务所必需等合法性基础③。基于信息主体同意进行数据重新利用,当然具有合法性基础,但是又面临一个重要的问题,即同意的有效性问题。国家机关处理个人信息须遵循法定义务,涉及公共利益与私人利益的协调,其范围与限度须谨慎④。二是个人信息匿名化。已经匿名化处理的信息,不再是个人信息保护法的调整范围,改变目的对数据重新利用,自然没有障碍⑤。此时,个人信息处理者可以改变目的,自由分析数据,但是大数据分析方法已经可以重新识别以前被匿名的个人数据,使得该数据又进入了个人信息保护法的调整范围。匿名化的信息仍然有可能给信息主体带来剩余风险,匿名化不应该被视为一次性的工作,信息处理者应该定期重新评估相关的风险[17]4。而且,匿名化的信息,大大降低了数据的商业利用价值。三是为一个较为宽泛的目的收集个人信息,该目的涵盖了将来所需要使用的情形。根据GDPR,一个笼统模糊的目的,如“改善用户”“营销目的”“安全目的”等,并不符合“目的具体”的要求[6]16。第29条数据保护工作组认为“目的明确的最终目标是确保目的的具体化,而不会对其含义或意图含糊不清或模棱两可”[6]17。我国个人信息保护法规定了“目的明确”,就是已经承认了目的必须具体或者特定。由此可见,一个宽泛的目的,不符合目的限制原则的要求。四是构建兼容性使用的路径,须通过兼容性测试①。数据处理目的改变,如果符合兼容性的要求,则并不违反目的限制原则,为数据的进一步处理开辟了一条可行通道,这也是欧盟数据保护法发展史上在个人基本权利保护和数据有效利用方面的一个重要平衡。五是符合公共利益存档目的、科学研究、历史研究或者统计等目的,但应当采取适当保障措施②。《中华人民共和国个人信息保护法》第八章第七十二条明确了各级人民政府及其有关部门组织实施的统计、档案管理活动的处理行为,须依照法律规定,属于法律保留事项。但是对于其他科学研究目的进一步处理行为,没有规定。如何构建为研究目的进一步使用个人信息的理论体系,亟待深入梳理。
后两种路径,对大数据分析具有重大意义。对于个人信息处理目的改变的理论构建,本文从兼容使用开始推进,论证为科学研究目的进一步处理个人信息的推定兼容性规则,并在此基础上探究数据设计和默认保护的优势及理论进路,层层递进,构建数据处理目的改变有效利用数据的理论图景。
二、兼容使用语境下之目的改变
数据进一步使用之目的与初始目的如果存在兼容性或者直接相关性,则表明两个目的之间并不存在着冲突,且并未超越数据主体的可能预期。兼容使用的理论基础须通过分析数据处理场景与平衡主体利益进行构建。
(一)殊途同归:兼容使用与直接相关
人们越来越认识到,在不同情况下产生的数据具有长期的和多方面的重要效用,远远超出了最初收集这些数据的用途。改变目的进一步处理数据,在信息主体和信息处理者之间作出一个适当的平衡,自然成为一个迫切需要研究的课题。我国法律规定处理个人信息需与初始目的“直接相关”,采取“直接相关”的表述。通过文义解释,直接相关并不要求后续处理目的与初始目的完全相同。如果后续处理目的和初始目的不同,需考虑有无直接相关性。个人信息的处理目的、处理方式和处理的个人信息种类发生变更的,应当重新取得个人同意③。处理目的变更,实质上产生新的处理行为[18]。如果新的处理目的与初始目的不同,但是直接相关,不能认为改变了数据处理目的。因此,该条规定的“变更”,从体系解释出发,应当是进一步处理个人信息与初始目的没有“直接相关”。GDPR第二章第五条要求不得采取与数据收集目的不兼容(incompatible)的方式进一步处理数据。与数据收集目的不兼容并不等同于与初始目的不同(different),GDPR并未禁止通过不同目的进一步处理数据,仅仅是禁止与初始目的不兼容的目的来进一步处理数据[19]79。如果数据后续处理目的改变,但是和初始目的兼容,并未违反GDPR的规定;当然如果数据后续处理目的改变,与初始目的不兼容,则必须重新取得数据主体的同意或者具有其他处理数据的合法性基础。可见,我国法律关于个人信息进一步处理的规定与GDPR的规定有着殊途同归的效果。
兼容性或者直接相关的判断,应当确保在每一个场景下对所有利益相关者的权利、自由进行平衡;一方面要保护个人信息主体的权利,另一方面也要照顾信息处理者的利益。从我国个人信息保护法和GDPR的规定进行考察,数据会更频繁地被重新用于新的目的,为了应对大数据分析的各种要求,给予个人信息处理一定的灵活性,法律为此提供了一些路径,兼容使用便是其中之一。关于兼容使用或者直接相关使用的理论生成,需通过评估方式、考量因素及场景一致性进行构建。
(二)利益平衡:兼容使用的评估方式和考量因素
首先,兼容性的评估方式体现利益平衡。兼容性评估一般有两种形式:一是形式性评估。比较最初由信息处理者提供的目的,与任何进一步处理的用途,找出后续的用途是否被涵盖。高度相似的目的与初始目的有清晰的重叠更有可能被认定具有兼容性。不相关的、模糊的或开放式的新目的不太可能兼容。二是实质性评估。超越信息处理者的正式文件,以确定初始目的和进一步处理的目的,考虑到它们被理解的方式,结合处理信息背景和其他因素进行综合评估认定[6]21-22。第一种评估方式过于机械,通过信息处理者提供的隐私政策等正式文件确定初始目的和后续目的的关系,信息处理者享有过于宽泛的操作空间,忽略了信息主体基本权利的保护。实践中,信息处理者会着眼于隐私政策等文件的各种处理信息策略的运用,以确保进一步处理信息的可能性。如在医疗机构收集医疗信息场景,医疗机构告知患者收集健康信息是用于治疗疾病、公共卫生和医学研究。如果医疗机构后续用于公共卫生和医疗研究,形式上属于初始目的。但是关于公共卫生和医学研究的目的,在医疗场景实质上是不必要的,不是专门为这些目的收集信息。因此后续进行公共卫生和医学研究的个人信息处理,仍然属于进一步处理,需进行兼容性评估。第二种评估方法着眼于实质,有助于经济社会发展及信息处理者和信息主体之间的利益平衡。