在大数据时代,个人信息(也称个人数据)的大规模收集、利用成为一种态势。人类开启了全景镜头,世界进入记忆模式。在追逐、挖掘信息“石油”的过程中,产生了如碎屑般弥漫的个人网络行为轨迹信息(以下简称行为轨迹信息),它是用户在线交互的副产品,是网民在互联网上留下的“电子足迹”,有学者称其为“数据废气”。
在数字社会视域下,行为轨迹信息是相对于传统个人信息概念的一个参照性、集合性概念,指的是网络用户在使用计算机和网络的行为过程中被计算机硬件或软件记录下来的行为过程数据。由于技术和观念更迭,行为轨迹信息的外延在不断发生变化,很难进行精确界定,只能进行开放性罗列,包括但不限于浏览器搜索关键词,用户操作记录(网站登录记录、软件使用记录、点击记录),通过互联网观看、收听、阅读一切视听内容的记录,支付软件的交易记录,软件翻译记录,位置踪迹,网购足迹,智能穿戴设备收集的身体体征信息,系统错误报告信息,用户改善计划等。与上网账号、用户名、密码、IP地址、姓名、出生日期、身份证号码、学号、电话号码、住址,乃至基因、声纹、人脸图像等个人信息不同,具有瞬时性、缺乏独立身份识别特征的行为轨迹信息在模拟数据时代和信息技术初期阶段,由于技术条件的限制、存储成本的考量,在完成它们的功能使命后,便被丢进了数据坟墓。譬如搜索引擎键入的关键词、网上购物结束后留下的浏览记录,其一度不被法律所认可和保护。
然而,随着信息的电子化、可存储越来越便捷,个人信息的利用尤其是二次挖掘价值得以彰显,在大数据强大的聚合、分析能力前,在数据运用利益驱动下,行为轨迹信息的“可识别性”不断增强,人格利益和财产利益愈加凸显,与个人信息的边界日渐模糊。从身份识别到行为识别,行为轨迹信息实现了从不可识别到可识别的流变,成为个人数字画像、开展精准广告推送的重要依托,传统身份信息要素的价值愈加依附于其衍生出的行为轨迹信息,甚至与身份要素完全脱离的反映相应特征的行为标签信息,都可实现相应商业利益。由此可见,行为轨迹信息已经具备化升为受法律保护之权益或权利的实质要件。
这一变化从民法典相较之前的规范文件所作的文字表述变动中也可以看出。网络安全法第七十六条将个人信息表述为“指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息”,民法典第一千零三十四条第一款将个人信息界定为“以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息”。虽然两者对个人信息概念均采用了“概括式+列举式”的定义方式,但在概括部分却有了明显差别,后者不再局限于“身份”识别的范围。结合国家市场监督管理总局、国家标准化管理委员会发布的《信息安全技术 个人信息安全规范》(GB/T 35273—2020,以下简称《规范》)中对个人信息的表述,即“以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息”,不论从文义解释视角还是体系解释出发,我们都没有理由将行为轨迹信息排斥在民法典的评价范围之外。
将行为轨迹信息纳入法律评价框架并不意味着要笼统落入个人信息的法律保护范围,而应平衡数据保护与数据自由之间的张力,参照民法典(将个人信息划分为一般个人信息、私密信息、匿名信息)和《规范》(将个人信息划分为一般个人信息、个人敏感信息)的规范实践,既要考虑识别所需的成本、时间及技术发展,又要考量“个人信息迟钝者”和部分用户为获得免费网络服务而贡献个人信息的主动意愿,结合行为轨迹信息的存在形态、样本数量、与其他信息的结合程度进行倾向性归类而非做概念性认定的层级分类,从而采用不同程度的保护标准,以界定信息收集者、使用者的不同责任。
一、私密信息类的强保护模式。从信息类型看,此类行为轨迹信息属于民法典中的私密信息。例如通过软件持续性追踪或特定业务开展而获取的有关性取向、性生活、疾病史、未公开的违法犯罪记录等,此类信息要强化其防御性保护,非特定情形不得处理,否则将承担相应的侵权责任。民法典第一千零三十四条第三款规定“个人信息中的私密信息,适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定”,第一千零三十二条第二款对“隐私”进行了界定,即“隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息”。由此可知,民法典对个人信息中的私密信息进行了分类和强调。划入隐私的行为轨迹信息,应强调其“私密性”,进而与其他层级的个人信息在收集、存储、使用、加工、传输、提供、公开等方面形成相区别的授权同意规范、技术安全规范、信息处理规范等。
私密类行为轨迹信息一般宜采取“任一主体说”的严格识别标准,即应通过社会中任何人识别的可能性判断。关于“不愿为他人知晓”的“私密性”,虽然强调主观意愿,但是该主观意愿也不完全取决于隐私诉求者的个体意志,应符合社会一般合理认知。社会一般合理认知可能受到文化传统、法律传统、习惯风俗、经济发展状况、社会普遍价值观等因素的影响。
二、敏感信息类的次强保护模式。从信息类型看,此类行为轨迹信息属于《规范》中的敏感信息,譬如个人财产信息中的交易消费记录、虚拟财产信息,以及个人的行踪轨迹、网页浏览记录(包括通过互联网观看、收听、阅读一切视听内容的记录)、住宿信息、精准定位信息。从数据存在样态看,此类数据是一种“动态”且“混合”的行为轨迹信息,“动态”类指对主体的购买记录、行踪轨迹、搜索历史、翻译记录进行持续性追踪所形成的数据集;“混合”类指捆绑显性识别符(姓名、身份证号、住址、IP等)的行为轨迹信息,或将多个类型的行为轨迹信息混合收集的行为轨迹信息集(比如能进行交叉验证的位置信息与网上交易记录的混合)。
对此类行为轨迹信息可给予个人敏感信息强度的法律保护。数据控制者收集该类数据必须获得数据主体明示同意,即数据主体通过书面声明或主动做出肯定性动作来完成对其个人数据进行特定处理的明确授权,肯定性动作包括数据主体主动作出声明(电子或纸质形式)、主动勾选、主动点击“同意”“注册”“发送”“拨打”等。同时,数据控制者要遵循合法收集、目的限制、最小够用、确保安全等原则,数据主体享有查询、更正、删除、撤回同意等权利。
需要注意的是敏感信息不能概括等同于私密信息,后者是前者的特殊情形。敏感信息属于兼具防御性期待及积极利用期待的个人信息,此类信息的处理是否侵权,宜采取“社会一般多数人说”的识别标准,即结合信息内容、处理场景、处理方式等,从普通大众、一般人的角度出发来认定。
三、一般信息类的弱保护模式。从信息类型看,此类行为轨迹信息可涵括智能穿戴设备收集的身体体征信息,系统错误报告信息,用户改善计划,用户接入网络的方式、类型和状态,网络质量数据,设备加速器(如重力感应设备)等。从信息存在样态看,此类信息与敏感信息一致,属于持续性追踪所形成的动态且混合的行为轨迹信息。另外需要注意“标签化”信息,即与国际移动设备身份码IMEI、网络设备硬件地址MAC、广告标识符IDFA、唯一应用程序编号等进行绑定的信息(不管何种类型),其虽不能实现“身份识别”,却能实现“行为识别”或“特征识别”。识别此类信息宜采取“信息控制者标准说”,即以信息管理者自身的条件作为标准。
对此类行为轨迹信息可给予与一般个人信息同等的法律保护,其保护强度弱于敏感信息。“弱”主要体现在数据控制者收集该类数据只须获得数据主体默示同意即可。默示方式指行为人虽没有以语言或文字等明示方式做出意思表示,但以特定作为或不作为的沉默方式做出了意思表示,比如阅读“使用即同意”的条款、浏览默认勾选的对话框等。至于数据主体和数据控制者的其他权利义务与敏感数据相同。敏感信息类和一般信息类的行为轨迹信息可归类为民法典第一千零三十四条第二款中的个人信息。
四、匿名信息类的选择保护模式。民法典第一千零三十八条对此类信息采取了“处理”+“不能复原”的技术识别标准,可分为两类样态,其一为单一的行为轨迹信息,即只收集用户的浏览记录、踪迹信息或鼠标点击历史等单一种类的数据而没有与用户的ID、IP等任何识别符进行捆绑,也没有和其他种类的行为轨迹信息混合收集且单独存储,具有高度离散化特征;其二为偶然的“标签化”行为轨迹信息,即偶尔使用搜索引擎产生的关键词或使用翻译软件留下的文字碎片、少量网购行为记录、随意进入某网页留下的操作痕迹等,即使和特定标签信息捆绑,也因其稀少、随机的特性而宜归为匿名信息范畴。
对该类行为轨迹信息须在分类基础上进行选择性保护。依照是否投入智力、物力被加工为标准将此类信息分为原始信息和加工信息,前者指直接从数据主体收集而来的信息,属于纯粹的匿名信息,不在法律保护范围之列,处于共享状态;后者指数据控制者和使用者对原始信息加工后的信息,在“淘宝公司诉美景公司不正当竞争案”中被称为网络大数据产品。该类匿名信息虽与数据主体脱离关系,但经过了网络运营者大量智力劳动投入,经过了深度开发与系统整合,故网络运营者对其享有财产性权益,其他网络运营者不能擅自抓取,否则构成不正当竞争。当然,该问题的探讨又将开启企业数据的权属争议,本文不予展开。