朱 瑩

（浙江理工大學(xué)，杭州 310000）

引言

我國現(xiàn)已進(jìn)入數(shù)字化時(shí)代，《中國互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告》數(shù)據(jù)顯示，截至2021年12月，我國互聯(lián)網(wǎng)用戶已達(dá)10.32億，互聯(lián)網(wǎng)普及率達(dá)到73%。在數(shù)字經(jīng)濟(jì)時(shí)代背景下，個(gè)人信息的價(jià)值不斷上升，整個(gè)數(shù)字經(jīng)濟(jì)的核心是建立在個(gè)人信息的處理和分析基礎(chǔ)之上的。

但隨著新技術(shù)、新應(yīng)用的普及，個(gè)人信息的收集與利用途徑不斷拓展，個(gè)人信息的范圍已經(jīng)被極大地?cái)U(kuò)張并且將繼續(xù)擴(kuò)大，個(gè)人信息被違法、過度收集的現(xiàn)象屢屢發(fā)生。例如被曝出的小鵬汽車非法收集人臉信息用于顧客畫像分析、滴滴平臺(tái)嚴(yán)重違法收集個(gè)人信息并嚴(yán)重侵犯用戶個(gè)人隱私等等，這些違法收集行為都對(duì)個(gè)人信息保護(hù)帶來了挑戰(zhàn)。為了有效解決這一問題，我國于2021年11月出臺(tái)了《個(gè)人信息保護(hù)法》，在信息收集方面做出了一定的規(guī)定，但是在規(guī)定與實(shí)踐銜接方面仍存在不少具體執(zhí)行問題有待解決。在實(shí)際執(zhí)行中，如何兼顧個(gè)人信息的共享流通與個(gè)人信息的保護(hù)，對(duì)于發(fā)展數(shù)字經(jīng)濟(jì)至關(guān)重要。因此，本文以信息收集的合法性基礎(chǔ)作為切入點(diǎn)，探討當(dāng)前在個(gè)人信息收集階段仍存在的違法現(xiàn)象及其成因，進(jìn)而提出個(gè)人信息收集的合法性路徑，期望對(duì)數(shù)字經(jīng)濟(jì)的發(fā)展具有促進(jìn)作用。

一、個(gè)人信息收集的合法性基礎(chǔ)

收集是個(gè)人信息處理的初始環(huán)節(jié)，我國個(gè)人信息處理涵蓋了收集、使用、公開等幾個(gè)階段。因此，接下來探討個(gè)人信息處理的合法性基礎(chǔ)，即收集個(gè)人信息的合法性。

（一）合法性基礎(chǔ)的定義

“處理關(guān)于個(gè)人的信息所依據(jù)的正當(dāng)?shù)姆衫碛伞本褪莻€(gè)人信息處理的合法性基礎(chǔ)。從客觀上來說，個(gè)人信息的處理活動(dòng)就是對(duì)自然人的個(gè)人信息權(quán)益的侵入或影響，如果沒有合法的根據(jù)或者合法的理由，那么該處理活動(dòng)就是侵害個(gè)人信息權(quán)益的不法行為。

（二）個(gè)人信息收集的合法性基礎(chǔ)的具體內(nèi)容

1.意定的合法性基礎(chǔ)——取得個(gè)人的同意。知情同意作為個(gè)人信息處理的一般合法性基礎(chǔ)，是信息收集和使用的普遍前提。從2012年出臺(tái)的《關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》第2條對(duì)知情同意規(guī)則的首次提出，到2013年我國首個(gè)個(gè)人信息保護(hù)國家標(biāo)準(zhǔn)——《信息安全技術(shù)、公共及商用服務(wù)信息系統(tǒng)個(gè)人信息保護(hù)指南》中的概念細(xì)化，再到2021年生效的《民法典》第1035條以及同年出臺(tái)實(shí)施的《個(gè)人信息保護(hù)法》第13條做出的進(jìn)一步明確，都要求非國家機(jī)關(guān)收集個(gè)人信息以“告知—同意”為核心規(guī)則，信息收集行為的合法性來自信息主體，即個(gè)人的有效同意。

2.法定的合法性基礎(chǔ)。法定的合法性基礎(chǔ)指在具備法律、行政法規(guī)規(guī)定的情形或理由時(shí)，處理者無需取得個(gè)人同意即可實(shí)施個(gè)人信息收集活動(dòng)。具體有以下幾種情形：一是為訂立、履行合同或?qū)嵤┤肆Y源管理所必需。當(dāng)收集的信息是合同必需的服務(wù)內(nèi)容時(shí)，即便商業(yè)機(jī)構(gòu)并未征得個(gè)人同意，也可在一定限度下收集其個(gè)人信息，因?yàn)榇藭r(shí)信息的主體是自愿進(jìn)入合同并通過約定限制其權(quán)利。二是為履行法定職責(zé)或法定義務(wù)所必需。商業(yè)平臺(tái)機(jī)構(gòu)等可依據(jù)“履行法定義務(wù)所必需”來收集個(gè)人信息。例如，依《工傷保險(xiǎn)法》規(guī)定，職工應(yīng)當(dāng)參加工傷保險(xiǎn)，由用人單位繳納工傷保險(xiǎn)費(fèi)。故此時(shí)用人單位為職工投保工傷保險(xiǎn)而實(shí)施的信息收集行為就無須取得職工個(gè)人的同意。三是為應(yīng)對(duì)突發(fā)公共衛(wèi)生事件或者緊急情況下保護(hù)自然人人身財(cái)產(chǎn)安全所必需。公共衛(wèi)生事件由政府機(jī)關(guān)作為個(gè)人信息收集者，后種情形則是緊急避險(xiǎn)制度的具體化，只有在緊急情況下為了保護(hù)自然人的人身和財(cái)產(chǎn)安全，才可無需取得個(gè)人同意而直接收集個(gè)人信息。四是為公共利益實(shí)施新聞報(bào)道、輿論監(jiān)督而合理處理個(gè)人信息。在為公共利益而實(shí)施的新聞報(bào)道和輿論監(jiān)督中，會(huì)不可避免地收集使用到自然人的姓名、性別等一些信息，如果在自然人不同意的情況下就不能使用，那么新聞報(bào)道將無法推進(jìn)。五是合理收集已自愿或合法公開的個(gè)人信息。已經(jīng)合法公開的個(gè)人信息一般無須告知和取得自然人的同意即可進(jìn)行合理收集，但個(gè)人信息仍應(yīng)受限在合理范圍內(nèi)進(jìn)行收集。六是法律、行政法規(guī)規(guī)定的其他情形。該項(xiàng)兜底規(guī)定是在處理者沒有前述合法性依據(jù)收集信息時(shí)，依據(jù)法律或行政法規(guī)而適用。如《民法典》第1020條第4項(xiàng)規(guī)定，如果企業(yè)為宣傳其在公共場(chǎng)所舉辦的室外活動(dòng)，拍照片涉及某自然人并登載其官網(wǎng)上，若該自然人并非顯著呈現(xiàn)，則該公司無需取得當(dāng)事人同意即可收集其肖像。

綜上，在我國法律中，非國家機(jī)關(guān)收集個(gè)人信息的合法性基礎(chǔ)共7項(xiàng)：取得信息主體的同意；履行法定義務(wù)所必需；訂立、履行合同或人事管理所必需；緊急情況下保護(hù)自然人權(quán)益所必需；合理處理為公共利益實(shí)施新聞報(bào)道、輿論監(jiān)督的個(gè)人信息；合理處理已自愿或合法公開的個(gè)人信息；法律、行政法規(guī)規(guī)定的其他情形。只有根據(jù)上述依據(jù)對(duì)個(gè)人信息實(shí)施的收集行為才是合法正當(dāng)?shù)摹?/p>

二、數(shù)字化經(jīng)濟(jì)背景下個(gè)人信息收集面臨的困境

在明晰信息收集的合法性基礎(chǔ)后，在經(jīng)濟(jì)利益驅(qū)使下，商業(yè)平臺(tái)違法收集信息的現(xiàn)象仍是層出不窮，目前在數(shù)字化經(jīng)濟(jì)背景下的個(gè)人信息收集仍面臨以下困境。

（一）合法性基礎(chǔ)的混用和順位不清

選擇合法性依據(jù)是商業(yè)平臺(tái)進(jìn)行信息收集工作前的首要任務(wù)。每種合法性基礎(chǔ)的使用都應(yīng)嚴(yán)格限制，不同合法性基礎(chǔ)下信息主體也有其不同的權(quán)利行使內(nèi)容。取得信息主體的同意與其他法定情形是相互獨(dú)立的，彼此不能混用。但是在具體實(shí)踐中，“信息主體的同意”與“為履行合同所必需”時(shí)常會(huì)出現(xiàn)混用的情形。例如，當(dāng)用戶使用地圖APP導(dǎo)航時(shí)，該APP收集個(gè)人的地理位置數(shù)據(jù)便是為履行合同所必需的。但當(dāng)導(dǎo)航功能使用完畢后，APP繼續(xù)收集用戶位置數(shù)據(jù)的行為則不再屬于為履行合同所必需的情形，此時(shí)信息收集并不是為了履行合同，那它就應(yīng)當(dāng)征得用戶的同意，否則就構(gòu)成違法收集，地圖軟件以履行合同所必需作為抗辯則應(yīng)不被接納。若信息收集者恣意將取得信息主體的同意作為履行合同的對(duì)價(jià)，實(shí)際上將會(huì)模糊兩種合法性基礎(chǔ)的界限，不利于之后信息處理工作的開展。

（二）知情同意規(guī)則的“被迫失靈”

知情同意是個(gè)人信息收集語境下的“帝王條款”，但由于收集主體和用戶間權(quán)利義務(wù)關(guān)系的差距，告知同意規(guī)則存在被濫用的風(fēng)險(xiǎn)。一是實(shí)踐中存在形式告知和實(shí)質(zhì)知情的矛盾情形。大數(shù)據(jù)、人工智能技術(shù)在信息收集方面的廣泛應(yīng)用使得通過“使用即同意”的格式條款而取得概括性授權(quán)，成為當(dāng)下信息收集者獲取個(gè)人信息主體同意的主要方式。另外，作為信息收集者的商業(yè)平臺(tái)會(huì)利用其專業(yè)、技術(shù)上的優(yōu)勢(shì)實(shí)質(zhì)上侵犯用戶的知情權(quán)，如在隱私協(xié)議中使用晦澀冗長(zhǎng)的語言增加用戶的閱讀難度，促使用戶做出概括同意的意思表示。二是網(wǎng)絡(luò)時(shí)代下用戶同意的真實(shí)性存疑。商業(yè)平臺(tái)憑借其地位優(yōu)勢(shì)而設(shè)置的“不選即走”選擇模式使得用戶被迫同意。云計(jì)算、大數(shù)據(jù)等新型技術(shù)衍生出了超強(qiáng)的算法能力，借助算法收集者有能力通過已獲得的其他信息來推斷信息主體的個(gè)人信息。三是知情同意規(guī)則在具體實(shí)踐中阻礙了個(gè)人信息的流通利用。信息主體作為自然人的理性局限以及面對(duì)信息控制者的智識(shí)差距滋生了“決策困境”等問題，使得即使進(jìn)一步賦予信息主體限制處理權(quán)等權(quán)利，也未必能很好地保護(hù)其權(quán)益。

（三）收集范圍的過度擴(kuò)張

在現(xiàn)實(shí)生活中，商業(yè)平臺(tái)APP通過隱私協(xié)議和訪問提示等方式強(qiáng)制收集個(gè)人數(shù)據(jù)，收集的信息不僅僅限于個(gè)人的基礎(chǔ)信息，還會(huì)強(qiáng)制訪問個(gè)人通訊錄、地理位置等其他非必要信息，存在過度收集個(gè)人信息的現(xiàn)象。因?yàn)橐龠M(jìn)個(gè)人信息流通，就不能完全嚴(yán)格限制信息收集的范圍，且現(xiàn)行法律條款對(duì)此沒有做出具體的規(guī)定，故實(shí)踐中難以明確信息收集的必要范圍。另外，商業(yè)平臺(tái)在收集信息時(shí)很難準(zhǔn)確判斷法律所規(guī)定的最小范圍。因?yàn)樘幚砟康木哂袕?qiáng)烈的主觀性，故在實(shí)踐中很難確信收集的行為和目的是否直接具有關(guān)聯(lián)。例如，一些APP在用戶初次使用時(shí)會(huì)以更好提供服務(wù)為目的，而要求用戶一次性同意開放多項(xiàng)個(gè)人信息的收集權(quán)限，但實(shí)際上可能收集的個(gè)人信息與其所要提供的服務(wù)是無關(guān)的。

三、數(shù)字化經(jīng)濟(jì)背景下對(duì)個(gè)人信息收集合法性路徑的探索

隨著大數(shù)據(jù)、云計(jì)算等技術(shù)的不斷發(fā)展，數(shù)字化經(jīng)濟(jì)對(duì)信息的收集需求日益強(qiáng)烈，雖然我國在個(gè)人信息保護(hù)領(lǐng)域已出臺(tái)相應(yīng)的法律法規(guī)，但鑒于實(shí)踐與理論的沖突，在具體實(shí)踐中上述個(gè)人信息收集的困境仍然存在。為此，本文提出幾點(diǎn)合法性收集路徑，以期能助力消除信息收集的違法現(xiàn)象。

（一）明確信息收集的合法性基礎(chǔ)，確立適用順位

在歐盟《通用數(shù)據(jù)保護(hù)條例》中，信息控制者在基于特定目的而收集個(gè)人信息前，需要事先確定好自己所依據(jù)的合法性基礎(chǔ)，且不能在后期隨意更改。因此，為了保護(hù)信息主體的合法權(quán)益，我國商業(yè)平臺(tái)機(jī)構(gòu)在開始收集個(gè)人信息前，就應(yīng)當(dāng)先確定好收集個(gè)人信息的法律依據(jù)，事先明確合法性基礎(chǔ)后再實(shí)施一定的收集行為，避免在信息收集行為實(shí)施過程中，因出現(xiàn)爭(zhēng)議而根據(jù)需要隨意變更收集的法律依據(jù)的違法現(xiàn)象。

為了確保企業(yè)在收集信息前能夠正確選用合法性依據(jù)，防止其利用技術(shù)、地位優(yōu)勢(shì)獲取個(gè)人的虛假同意，本文建議商業(yè)平臺(tái)機(jī)構(gòu)應(yīng)按照法定—意定的順序選擇合法性基礎(chǔ)，只有在前一順位無法適用的情形時(shí)再考慮下一順位，進(jìn)而保證其收集個(gè)人信息必須先窮盡法律明文規(guī)定的、裁量空間較小的合法性基礎(chǔ)，或者至少應(yīng)取得個(gè)人真實(shí)、有效的同意。在法定的合法性基礎(chǔ)內(nèi)部，具體適用何種合法性基礎(chǔ)也應(yīng)當(dāng)根據(jù)信息收集的目的加以判斷。

（二）構(gòu)建“信息分類—分別授權(quán)”機(jī)制，適用優(yōu)位利益豁免規(guī)則

要破除概括同意授權(quán)的現(xiàn)狀，就要對(duì)所收集的個(gè)人信息進(jìn)行分級(jí)管理，并分別對(duì)分級(jí)信息進(jìn)行授權(quán)以確保收集個(gè)人信息的準(zhǔn)確性。當(dāng)前法律規(guī)定將個(gè)人信息劃分為一般個(gè)人信息和敏感個(gè)人信息，并分別設(shè)置了相應(yīng)的處理規(guī)則，但在具體適用場(chǎng)景中信息的分級(jí)管理仍不明顯。故本文建議，在一般個(gè)人信息和敏感個(gè)人信息的分類基礎(chǔ)上，細(xì)化為必要的一般信息、非必要的一般信息、必要的敏感信息和非必要的敏感信息。其中，對(duì)于必要的一般信息可適當(dāng)放寬授權(quán)標(biāo)準(zhǔn)，適用同意授權(quán)，默示授權(quán)，但信息收集者仍不能免除對(duì)信息主體的告知義務(wù)，從而保障其知情權(quán)；必要的敏感信息和非必要的一般信息應(yīng)明示授權(quán)、單獨(dú)授權(quán)，前者的授權(quán)強(qiáng)調(diào)法律對(duì)信息收集行為方式的嚴(yán)格把控力，后者的授權(quán)則側(cè)重于尊重個(gè)人的意思表示；對(duì)非必要的敏感信息原則上做禁止收集的默認(rèn)處理。

為緩解知情同意規(guī)則的僵化，建議我國可引入優(yōu)位利益豁免規(guī)則，即當(dāng)信息控制者通過利益識(shí)別認(rèn)定信息收集所保護(hù)的利益優(yōu)于信息主體本身的利益時(shí)，可以無需取得個(gè)人同意而直接收集個(gè)人信息。該規(guī)則是在知情同意規(guī)則外對(duì)個(gè)人信息收集行為的合法性基礎(chǔ)的重要補(bǔ)充，有利于促進(jìn)信息流通，平衡對(duì)信息主體的過度保護(hù)。關(guān)于利益的識(shí)別則可根據(jù)成文的法律解釋等對(duì)利益進(jìn)行位階排序而做出確認(rèn)，對(duì)于相同位階的利益沖突則可以通過具體的適用場(chǎng)景，依據(jù)合法性原則等價(jià)值準(zhǔn)則進(jìn)行個(gè)案判斷。

（三）引進(jìn)隱私場(chǎng)景理論，實(shí)現(xiàn)信息收集場(chǎng)景化

美國隱私場(chǎng)景理論注重信息收集的動(dòng)態(tài)和多元化，其更加適應(yīng)當(dāng)下大數(shù)據(jù)時(shí)代的發(fā)展要求，故本文建議將隱私場(chǎng)景理論引入個(gè)人信息保護(hù)之中。不同于我國主張信息收集的必要范圍，在美國場(chǎng)景化理論中，必要范圍并非是收集信息的必要條件，只要符合用戶的合理期待，并將風(fēng)險(xiǎn)控制到最小化，即將個(gè)人信息的風(fēng)險(xiǎn)控制在一定的范圍內(nèi)，便可收集個(gè)人信息。個(gè)人信息被再次使用的風(fēng)險(xiǎn)不應(yīng)超過其初次被收集的風(fēng)險(xiǎn)。如在商業(yè)平臺(tái)推廣APP時(shí)，基于信息利用階段包括用戶下載、分享等階段所呈現(xiàn)出的不同風(fēng)險(xiǎn)強(qiáng)度，商業(yè)平臺(tái)也應(yīng)根據(jù)風(fēng)險(xiǎn)程度承擔(dān)不同的義務(wù)，當(dāng)風(fēng)險(xiǎn)程度達(dá)到中度但未超出首次收集的風(fēng)險(xiǎn)時(shí)，只要告知用戶而無須得到用戶的同意，但當(dāng)風(fēng)險(xiǎn)程度達(dá)到高度時(shí)，則需要告知并再次獲得用戶的同意。

總之，大數(shù)據(jù)時(shí)代，信息是數(shù)字經(jīng)濟(jì)發(fā)展的基礎(chǔ)。在收集階段，對(duì)合法性基礎(chǔ)的具體選擇和適用難以明確，知情同意規(guī)則存在濫用的情形。為實(shí)現(xiàn)個(gè)人信息保護(hù)和個(gè)人信息利用的動(dòng)態(tài)平衡，促進(jìn)數(shù)字化經(jīng)濟(jì)的發(fā)展，商業(yè)平臺(tái)機(jī)構(gòu)和政府部門應(yīng)齊心協(xié)力，多主體、多方面共同努力。為此，政府部門可以引進(jìn)隱私場(chǎng)景理論，實(shí)現(xiàn)信息收集場(chǎng)景化，引入優(yōu)位利益豁免規(guī)則，多舉措消除違法現(xiàn)象，以規(guī)范個(gè)人信息收集合法性的路徑。