查看新版>>
我的位置: 上观号 > 上海市法学会 > 文章详情

赖成宇|共同个人信息的理论基础与保护路径

转自:上海市法学会 2025-04-08 08:09:40

共同个人信息的存在具有客观必然性,其在经济价值和主体控制能力上与单个个人信息存在显著差异。当前,共同个人信息侵权问题日益突出,而个人本位保护理论已无法提供全面有效的保护。因此,强化对共同个人信息的差异化保护显得尤为紧迫。保护共同个人信息,应遵循诚实信用、利益共享、禁止权利滥用以及合法、正当、必要等基本原则。构建共同个人信息保护规则,需从多方面入手:首先,明确信息主体的保管义务,限制其擅自处理行为;其次,增设个人信息处理者的去个人标识义务,实现保护共同个人信息的同时兼顾有效利用;最后,在不宜采用去个人标识化技术的场景下,建立可溯源的算法保护机制,实现共同个人信息处理过程可追溯、可监管。

一、问题的提出
所谓共同个人信息(以下简称共同信息)是指数人基于一定的社会关系而形成的已识别或者可识别相关自然人的各种信息。典型的如通讯录、聊天记录、好友关系、记录多人影相的照片、视频和录音文件等。共同信息可以说是自然人个人信息中重要组成部分,既包括能识别自然人自己的信息,也包括能识别其他相关人的信息。比起单个个人信息,共同信息在经济价值、主体控制能力上具有一定的特殊性。保护个人信息并不意味着能对共同信息进行全面保护,而如果怠于对共同信息的保护无疑会进一步损害个人信息。当前,由于侵权手段隐蔽、损害后果严重,这些因素已使得共同信息侵权问题在信息时代尤为突出。
我国立法者意识到共同信息的重要性,并在相关规范文件中作出了专门列举保护。然而,忽略共同信息自身的特殊性,继续适用个人信息的保护规范,无疑又使共同信息的保护研究陷入新一轮的窠臼当中。如个人信息处理者在未征得其他相关方同意情况下可获取相关共同信息,造成告知同意规则、个人信息合理处理规则流于形式;共同信息主体无法实时控制与之相关的信息处理活动,其难以发觉算法技术运行过程中的问题并参与到对其的质疑和争论中,算法侵权行为将变得更加隐秘,无形中加剧“算法黑箱”的形成;共同信息侵权案件中,责任主体往往难以查明,这使得传统事后的监管与追责机制无法发挥作用。正如学者指出,个人信息的范畴极为广泛,若不根据其特性进行差异化保护,虽然理论上能够满足“信息自决”的期望,但在技术层面上难以实现,也不能满足法律适用的需要。而对个人信息进行类型化保护已成为解决不同利益群体之间潜在冲突的有效策略。当前,已有的个人信息类型化研究主要包括:将个人信息划分为敏感个人信息和一般个人信息、公开个人信息与非公开个人信息信息、直接识别性个人信息与间接识别性个人信息、个体性强的个人信息和社会性强的个人信息,如此等等,但是现有的研究还是局限于对个体的信息权益进行保护,忽略了个体之外的群体之间的信息权益的保护问题。实际上,群体之间的信息权益获得保护,个体的信息权益才能获得更充分的保护。基于此,本文试从群体角度入手,深入剖析共同信息的本质特征,阐明保护共同信息的特殊理由,提出共同信息保护的基本原则及具体可行路径。
二、共同信息的本质特征与保护特殊理由

(一)
文献回顾

对共同信息的研究由来已久,早在1967年,Alan F. Westin在《隐私与自由》(Privacy and Freedom)一书中就率先提出群体亲密(Intimacy)隐私的概念,至此对隐私的研究开始从个体转向群体。由于早期个人信息与隐私并不存在明确的界分,因此群体隐私的保护研究其实也是共同信息保护研究的雏形。进入信息时代,算法分析和数据挖掘技术给个人信息和隐私保护带来新的挑战,同时也激发学界对共同信息研究的热潮。Brent Mittelstadt和Luciano Floridi在一篇文章中提到“由于群组在大数据时代成为一种主要的决策对象,有必要把超越个人的群组作为考量单位,并探讨如“‘集体同意权9‘集体私隐权9等概念的可能性及可行性”。Mittelstadt进一步指出,由于个人与临时群组在本质上并不相同,因此现行保障个人信息的制度并不适用于临时群组,其认为需要从其他法例及制度来保障临时群组的权利。在新近的研究中,我国学者也愈发重视对共同信息的保护研究。如有学者指出“新型数字技术正将关注焦点从传统的个人信息转向群组信息,这导致许多算法处理过程难以纳入个人信息保护法的范畴”。还有学者指出微信通讯录中的关系链数据具备社会资本属性,涉及大量微信用户的重大利益关切。这些国内外研究均指向一个共性:共同信息与个人信息存在差异性,有必要超越狭隘的个人主义视野对共同信息作出重新诠释。在信息时代,个人信息的多元性特征尚未得到充分发掘,上述研究成果可以说有助于填补这一空缺,对研究与保护新时代下的共同信息具有积极意义。遗憾的是,已往研究往往是浅尝辄止,停留在知其然而不知其所以然,未能就共同信息的具体理论、本质问题与保护方案作进一步探索和延伸。在此基础之上,本文先探究共同信息到底有何特殊性,并从实践和规范应用等多个层面回答为什么要强化对其的差异化保护。

(二)
共同信息的本质特征

1.共同信息基于一定社会关系而产生




共同信息并非凭空产生,而是需要一定社会关系的催化。社会关系也即共同关系,是判断人们之间关系是否达到“紧密结合”的关键。共同信息的产生可以归因于三个方面。首先是数人之间的合意。合意其实也是符合数人的共同意思,达到数人之间所欲追求的结果。正如德国学者斐迪南·滕尼斯在研究“共同体”时所言,共同体形式往往来源于自然人彼此之间的意志产生聚合效应。即在共同信息关系中,数人之间就共同信息的共同保守或者利用达成一致合意,并且共同默认遵从保护共同信息的规则。其次是身份关系。没有人是孤立而存在的,个人总归属于特定的群体,每个互动中的群体又构成一个社会系统,不容打破。则每个人都身处于各种各样的社会关系中,并形成各种身份关系,如因出生而形成的父母子女关系、因姻亲而形成的夫妻婆媳关系、因雇佣而产生的雇主和雇员关系等。这些身份关系促使彼此之间聚合成一个信任的共同体,并产生能在成员之中共享的各种目标和利益。如同日耳曼法律把整个家庭看作是一个友谊和信任的共同体,其所建立的“共同共有”机制,实际上反映了维护家庭成员关系稳定及保护家庭利益的目的。最后,算法技术客观上也是成因之一。大数据运算使得描述人们行为和特征的各类信息汇聚起来,将个人链接到感兴趣的群体和阶层中。此时共同关系的形成并不是基于当事人约定或者身份关系,而是客观上的算法技术,这也使得此等共同关系区别于传统的共同关系,具有信息时代的特征。
2.共同信息主体是两人或两人以上多数人




与个人信息主体不同,共同信息主体是两人或两人以上的多数人。在一定程度上,共同信息主体的多样性决定了共同信息法律关系的复杂性。一方面,由于主体众多,个人信息主体单方面控制并排除他人利用个人信息的局面被打破。取而代之的是,信息权益的完全实现需要依赖于其他主体处理个人信息的行为。正如学者所言,信息的生成与享有都难具有排他性,当人们与他人互动时,他们对自身信息的控制只是相对的,并且“受到他人权利的限制”。即共有性使个人对共同信息的处理决定,会不可避免地影响到“被动”决定的相关方。另一方面,价值选择的差异使信息主体之间容易产生权益行使冲突。具体来说,个人信息自身蕴含着两种不同的保护逻辑,一则是保障个体有自由地、不受阻碍地进入社会沟通的权利,另一则是保障个体有想要在社会中隐匿自身的权利。当个人信息基于一定社会关系聚合而成共同信息,信息主体之间产生不同的价值选择时,如一方想要公开信息,而另一方想要隐匿信息,两者就不可避免发生矛盾。这就要求个人在利用或者处理与他人相关的共同信息时,遵循一定的基本原则,避免侵害他人的信息权益。

(三)
保护共同信息的特殊理由

1.共同信息的存在具有客观必然性




共同信息的存在是客观必然的,一方面是由人的社会性决定的。诚如马克思所言,人是所有社会关系的总和。生活在社会中的个体并不是孤立而存在的,总会与其他的社会成员发生直接或间接的联系,而个体在与他人互动的过程,就必然会形成共同信息并与彼此共享。社会心理学认为,人在生活中归属于不同的群体,在群体中“扮演”不同的角色。一些特定的言行可能只出现在特定的群体中,群体内的人可以相互认识或分享,但群体外的人需要被排斥和孤立。从这个意义上说,群体成员自然具有对外保护的心理需要,即防止外人知晓、窥探或干涉群体内部的行为或言论。内部安全和外部保护的心理需求成为信息主体保护共同信息的心理基础。另一方面,大数据与算法技术极大地改善了信息共享与交替方式,人们置身于高效率性的数字经济社会中,不可避免会产生具有数字化印记的共同信息。如人们在社交平台上点赞、评论、关注、互动留存的痕迹,所形成诸如通信记录、聊天记录、好友关系等信息,就属于共同信息。
2.共同信息体现出巨大的商业价值




在信息时代,个人信息因其富含经济价值而被赋予重要生产要素之称。而比个人信息更受青睐的是共同信息。一个形象的比喻是,渔船只会向深海中更大的鱼群方向前进,并将渔网撒向更大的鱼群,因为鱼群产生的经济价值永远比单个鱼带来的价值要高。同理,成倍数量的信息一旦被网络运营商获取,就意味着其精准定向广告受众数量也将会成倍的增加,无形中提高了平台中的商品或者服务的成交量,提高了企业竞争力与市场份额。众所周知,剑桥分析公司曾经利用分析工具细分选民群体,并对其精准推送信息以助攻2016年的美国总统竞选。从剑桥分析公司展示的政治竞选策略来看,他们似乎更关注于群体的共性特征,而非个体的个人信息,这也意味着与单个个人信息相比,共同信息展现出更多商业价值。
3.共同信息侵权问题在信息时代尤为突出




进入信息时代,人们享受着信息技术带来的高效便捷红利,同时也面临着互联网隐秘性、多元性、开放性所带来的共同信息侵权新问题。以算法技术为例,算法技术的隐秘性使信息主体难以察觉信息权益受损。这种现象在社交软件和购物软件中尤为常见。例如,社交软件中常常出现“你可能认识的朋友”推荐,看似简单的加友选项,实则背后可能隐藏着多个好友关系链的泄露后果。同样,在购物软件中,用户可能会发现朋友曾经搜索过的商品出现在自己的推荐列表中。这并非偶然,而是商家掌握了用户的大量行为数据和关系网数据(共同信息),进而通过数据分析精准预测用户及其好友的偏好和需求。这种数据收集和分析行为虽然在一定程度上提升了用户体验,但也引发公众对共同信息保护的担忧。
这进一步说明,怠于保护共同信息将使个人信息受到更大范围的侵害。一方面,侵害个人信息权益,受害人的范围可能仅仅及于本人,但是对于共同信息侵权而言,其主体众多,损害后果将会波及更多受害人。以遗传基因信息为例,遗传基因信息不光承载着个人信息,还包含家庭成员信息,遗传基因信息一旦暴露,不仅波及本人而且还有可能使整个家族的正常生活受到影响。亚历山大·科根曾经利用一款性格测试App收集了约27万用户在Facebook上的数据记录,这些数据不仅包括用户的个人信息,还包括他们朋友的资料,测试软件最终导致约8700万用户的信息受到影响。这一事件揭示了在社交网络中,共同信息紧密交织并相互影响,意味着一旦某个个体的信息被不当处理,很大概率会对属于该群体的其他成员的自主性产生负面影响。另一方面,互联网的即时性、无边界性、受众无限性等特点,使得网络信息一旦开始传播,就能马上发生全球共享效应,造成的损失难以及时消除。不同于线下侵权容易确定具体的侵权人,发生在互联网上的共同信息侵权案件不仅难以认定侵权人,侵权事实也难以认定,这就使得信息主体维权变得异常困难。此外,越来越多的个人信息被抓取,在技术上也就有越来越大的概率去识别仍未被识别的个人。长此以往从不同来源积累的数据对整个社会释放透明化效应,从而以个人难以预见的方式侵害隐私。
4.个体本位保护理论无法对共同信息提供周延保护




告知同意机制作为个人信息保护的核心制度,被用于考察个人信息处理的合法性。从法的价值层面看,告知同意规则根植于个体自主,是信息主体自由行使个人信息权益或者隐私权的有力保障,亦是个人信息处理者处理个人信息的免责依据。根据《个人信息保护法》第13条、第29条的规定,处理个人信息应当取得信息主体的同意,处理敏感个人信息的还应当取得个人的单独同意。可以说,告知同意规则作为个人信息处理的正当性基础,已经成为一种理论上的通说和实践中的通行做法。但这显然不适用于处理共同信息的情形,这是因为共同信息上承载着多人的信息权益,相当一部分信息主体实际上无法控制自己的信息权益应该如何行使,也难以允许仅凭个人意志就作出涉及他人利益的同意。在实践中,个人信息处理者未能区分一般个人信息与共同信息,笼统地适用采用“一键同意”规则收集共同信息。这种做法将“个人决定”异化为“个人—集体决定”,最终只会使个体的信息自决权被遗忘。有学者进而指出,个人的知情同意对群体利益产生影响,继续如此必将对众多社交软件的商业模式带来毁灭性的打击。正所谓个人的权利往往止于他人的鼻尖,即便个人同意收集信息,那也只能是同意处分涉及自己部分的信息,不能包含他人的信息。当信息主体未作出任何实质决定就被视为同意,会使个人信息的采集和利用回归初始的丛林状态,个人信息保护的立法目的和规范意旨就会落空。而同意表达的缺失意味着信息主体说“不”权利的丧失,个人信息必会在失控状态中被野蛮复制、疯狂滥用。
原则上个人信息处理应基于信息主体的意思自治,但为了兼顾其他正当利益,法律还作了例外规定。例如《民法典》第1035条第1款规定“处理个人信息的,应当征得该自然人或者其监护人同意,但是法律、行政法规另有规定的除外”。《民法典》第1036条在告知同意以外列明了已公开信息、维护公共利益或信息主体的合法权益的免责情形。由此可见,在我国的规范体系中,告知同意规则与个人信息合法处理规则,共同构成个人信息保护基本制度。既然告知同意规则未能为处理共同信息行为提供正当性基础,那是否能在个人信息合法处理规则中为其找到正当性依据?从《民法典》第1036条第2项的规定来看,“合理处理该自然人自行公开的或者其他已经合法公开的信息”,无需经过自然人或其监护人的同意。显然共同信息不具有公开特征,共同信息的形成机理是为促进相关信息在多个主体之间的共享,这种共享的范围是极为有限的,区别于向不特定的社会公众公开共享。从《民法典》第1036条第3项的规定来看,对于“维护公共利益或者该自然人合法权益”实施的信息处理行为,无需经过自然人或其监护人的同意。这里的“该自然人的合法权益”需要被严格限制,只有当自然人维护的权益是涉及自身重大人身权益时,才能适用信息合法处理规则。而实践中共同信息主体在未经其他主体同意的情况下处理共同信息时,并不是基于相关信息主体的重大人身权益,而是基于其他相关信息主体对共同信息的失控事实。因此,《民法典》第1036条规定的个人信息合法使用规则未能为处理共同信息行为提供正当性基础,可以说现有规则未能对共同信息提供周延法律保护依据。
我国《个人信息保护法》为信息主体设置了多项权益保障条款,如第24条的“免受自动化决策权”、第47条的“删除权”以及第48条的“要求解释说明权”等,这些规则在为个人信息保护提供了有力保障。然而,在处理共同信息时,这些规则却面临失灵的尴尬境地。这是因为信息主体在日常生活中往往难以察觉自己的信息权益受损。而在这种情况下,免受自动化决策权、要求解释说明权、删除权等权利的行使无从谈起。不仅如此,既有的侵权责任规范是建立在侵权主体明确的理论基础之上的。但在涉及共同信息侵权的案件中,侵权主体难以明确时,以个体本位信息保护理论为基础建立起来的追责与监管机制更无法发挥作用。
三、共同信息保护的基本原则

(一)
诚信至上:诚实信用原则在共同信息处理中的应用

诚实信用原则要求各方民事主体在民事活动中应当恪守信用,不得欺诈或隐瞒。该原则起源于德国债法,亦是我国民法的基本原则之一。在处理共同信息这类特殊民事活动中,同样需要遵循这一基本原则。于各个信息主体而言,信息主体之间基于合意而建立的共同关系,实质上是一种契约关系,对各方信息主体具有约束力。这种约束力表现为信息主体在处理共同信息时,需要遵循双方或多方之间的约定,将共同信息用于事先约定的目的,未经其他信息主体同意,不得擅自改变信息的使用目的。这意味着信息主体必须在信息的整个生命周期中,从获得、处理、存储到传输和删除,都应当遵循诚实信用原则,确保共同信息得到妥善处理和保护。于信息主体与个人信息处理者而言,当信息主体勾选个人信息处理者所提供的服务条款时,这标志着双方在信息处理方面达成了共识,并建立了相互信赖的合作关系。信息主体提供信息时,依赖于个人信息处理者所作的承诺及履约的能力。个人信息处理者则有义务在符合信息主体的期待下使用或处理相关共同信息。显然,无论是共同信息主体之间,还是共同信息主体与信息处理者之间,在实现契约自由和信赖利益的过程中,都离不开对诚信原则的遵循。值得注意的是,在共同信息处理过程中,由于个人信息处理者掌握着信息和技术,信息主体往往处于较为弱势的地位。在这种情况下,更需要依靠诚信原则来保护信息主体的权益,防止个人信息处理者利用其优势地位实施不当行为。总而言之,各方主体需要在共同信息处理活动中恪守诚实信用原则,在不损坏他人利益或者社会公共利益的前提下追求自己的合法利益。

(二)
权益均衡:利益共享原则在共同信息保护中具体实践

利益共享原则最早出现在知识产权领域,指的是知识产权人与其他社会成员之间的权益分配和利益共享。随着社会经济的不断发展变化,利益共享原则也逐渐适用于共有物权关系中。如《德国民法典》第2编第8章第17节对此作了规定。从我国的规定来看,目前我国共有法律形式主要包括夫妻共有、家庭共有、合伙共有和继承共有等,然而法律规定的共有形式也主要针对的是财产关系的共有,而没有明确的人格利益的共有规定。在探索人格利益共有关系过程中,杨立新教授曾提出通过扩张我国物权法上的共有制度的内涵来解决这个问题。在人格利益中,相关隐私、集体相片、共同荣誉、家庭名誉、合伙信用等,都可能形成准共有关系。虽说准共有创设之初是被用以描述财产权利上的共有关系,但概念之生命力并不在于学者过去的使用,而在于能对现实生活作出回应,能在新情势下对内容作符合情势的调整。当两个或两个以上的主体就其相互关系之基础上产生了不可分割或难以分离的人格利益时,则应当用准共有关系来涵摄这种人格利益上的相互关系。该理论也为我们研究共同信息提供了新的思路。在确立人格利益共有的民法规则的时候,可以参考物权法共有关系的规则,确立其基本立场。按照此种观点,共同信息主体之间可共同享有人格权益(准共有)。
在利益共享原则的指导下,信息主体享有的权益主要包括共同处理权益、共同承诺权益、共享利益权。关于共同处理权,其要求信息主体在处理共同信息时,应当协商一致,共同支配,保障任何与该项共同信息关联的当事人的利益不受其他相关人支配行为的侵害。关于共同承诺权,其要求他人获取共同信息需要获得共同信息主体的一致承诺,单个信息主体的承诺并不具有盖然性,不能成为处理共同信息的合法性基础。关于共享利益权,其要求处理或保护共同信息所取得的利益,包括财产利益和人格利益,应当归属于全体信息主体。换言之,单个信息主体在行使自身信息权益时,不能仅从个人角度出发,而应将其他信息主体的权益纳入考量范围,实现个体与群体利益的平衡。例如,在涉及共同信息的场景中,信息主体不能擅自授权他人使用共同信息,否则可能损害其他主体的共同处理权和共同承诺权。只有当全体信息主体达成一致意见时,才能对共同信息进行合法、合理的处理,确保共享利益权得以实现,从而维护整个信息共同体的权益。

(三)
权利制约:禁止权利滥用原则的应用

诚如孟德斯鸠所言,“一切有权力的人都容易滥用权力,这是万古不易的一条经验”。在强化共同信息保护的同时,也不能忽视信息主体滥用权益损害国家利益、社会公共利益或者他人合法权益。即保护共同信息,还应当遵循禁止权利滥用原则。如前所述,共同信息保护目的是纠正信息主体与个人信息处理者之间在控制力、技术手段和经济实力上的显著不平等,主要做法是赋予信息主体相应权益和强化有过错的信息主体及个人信息处理者义务。然而,共同信息本身具有一定公共属性,其流通可能关涉他人和公共利益,过度强调信息主体的权益而忽略其行使权益的必要限制,势必会与中共中央、国务院《关于构建数据基础制度更好发挥数据要素作用的意见》(以下简称数据二十条)鼓励数据流动、共享的价值立场不相符合,也难以被社会大众接受。信息主体之间利益冲突是信息权益行使过程中的常态,加之共同信息权益边界的模糊性,那么如何判断信息主体构成权利滥用?这就需要在享有重大利益一方与微小利益一方相对抗时进行利益衡量。当信息主体行使信息权益导致与其他主体之间的利益发生严重失衡时将构成权利滥用。这主要表现为信息主体行使相应权益导致其他主体承担不合理的成本。例如一味强调个人信息处理者须经过所有信息主体的明确同意才能收集相关共同信息,可能会不合理地增大信息处理者的技术成本。故而为防止此类滥用现象,允许个人信息处理者采用去个人标识化方式以补全收集行为的合法性。
当然,禁止权利滥用原则的适用对象不应只有信息主体,还应当包括一切有法律赋予信息使用权益的主体。以政府机构为例,虽然禁止权利滥用原则最初源于私法领域,但随着实践和理论的不断演进,这一原则已经逐渐扩展到公法领域,以限制政府可能出现的滥用职权的行为。数据二十条第5条规定:“政府部门履职可依法依规获取相关企业和机构数据,但须约定并严格遵守使用限制要求。”在实际操作中,政府作为数据的特殊使用者,拥有较大的自主权来获取或访问企业数据,然而在法律和宏观政策方面,对于政府如何获取及使用企业数据的规范却相对缺失。这就意味着政府在实现特定目的时,其手段需要受到合理限制。如在处理公民共同信息时,应该尽量采取最少的干预措施,处理方式和目的必须相互匹配,不过度收集或处理不必要的信息,并确保相关信息不会被滥用或过度使用。

(四)
合法、正当、必要原则是检验个人信息处理者处理行为的合法性基石

作为个人信息的下位概念,共同信息规范应遵循合法、正当、必要原则,并将它们贯穿于共同信息处理的各环节。关于合法原则,《个人信息保护法》第5条规定了合法原则,对于该原则中的“法”应当作扩张解释,不仅限于全国人大及其常委会制定的法律,还包括行政法规、地方性法规、司法解释、部门规章、地方政府规章、强制性标准等。我国《民法典》第1035条、《个人信息保护法》第5条、《网络安全法》第41条、《数据安全法》第32条等对处理个人信息应当遵守的正当原则作了明确规定。归纳而言,正当原则要求处理个人信息必须有明确和合理的目标,并且处理方式要恰当。因此,个人信息处理者在处理共同信息时,需要有清晰的目的,并且不得将这些信息用于其他未授权的目的。有学者指出,为了实现个人信息社会价值的最大化,应允许个人信息处理者在符合个人合理预期的条件下,适当变更原初目的。然而此观点忽略了共同信息主体多重化、利益与责任复杂性的特点。因此,在处理共同信息时,不宜采取过于宽松的处理原则。关于必要原则,必要原则有利于弥补信息时代意思自治与契约自由的缺陷,可以矫正个人信息处理者同个人之间日益严重失衡的不平等态势,实际上是比例原则在私法中的体现。必要原则包括目的必要与保障必要两大方面。例如,曾有一款手电筒App,试图通过“信息政策”大量收集包括地理位置、通讯录、通话记录等信息,但其唯一功能就是打开手机闪光灯。显然这类格式条款因不合理、不公平、侵害个人信息权益而无效。此时,就需要贯彻目的必要原则,探寻其信息收集的必要性。
四、信息时代共同信息保护规则的构建
共同信息保护不仅需要原则性指引,更需通过具体规则与技术实践落地。当前法律框架下,个人信息保护多聚焦个体,但在多方主体互动场景中,个体保护规则捉襟见肘,难以协调各方利益与责任。因此,构建切实可行的共同信息保护规则势在必行。在具体的规则构建上,应明确信息主体的保管义务、增设个人信息处理者的去个人标识义务、建立可溯源的算法保护机制,多管齐下,实现对共同信息的全面保护。

(一)
明确信息主体保管义务:擅自处理造成严重后果应承担损害赔偿责任

如前所述,个人信息保护制度是围绕告知同意规则建立起来的,而此“个人决定”规则未能解决共同信息的收集、应用对他人带来直接影响问题。正如学者所言,“个人决定”转化成一种“个人—集体决定”,不可避免对他人带来直接影响。要解决这个问题,就需要在法律层面明确信息主体的妥善管理义务,限制信息主体擅自处理共同信息的行为。值得注意的是,在我国个人信息保护理论中,信息主体通常被视为权利主体,其拥有对个人信息的控制权和使用权。个人信息处理者则是义务主体,其有义务保障信息主体的信息安全和合理利用。尽管《民法典》和《个人信息保护法》等法律法规主要规定了个人信息处理者的义务,并未直接为信息主体设定义务,但在共同信息法律关系中,共同信息主体仍须履行善良管理人义务并承担不法责任。一方面,共同信息的不可分割性及利益相关性决定了信息主体应合理管理与自己相关的共同信息,并像善良管理人一样谨慎行事,确保与他人相关共同信息的安全。另一方面,他人基于信息主体的管理行为享有信赖利益,信赖信息主体能够在支配他人相关个人信息同时以最大限度保护他人相关个人信息,作出最有利于保护他人个人信息的处理行为。因此,在法理上信息主体基于利益相关性及信赖利益,需要履行相应的妥善保管义务。如若因未能履行善良管理人义务,或者擅自处理共同信息,导致他人权益受损严重,对应的行为主体则须承担相应的损害赔偿责任。
在共同信息处理的法律框架中,界定“擅自处理行为”和“严重损害后果”是判定信息主体是否承担损害赔偿责任的关键。如果一味对信息主体苛以绝对义务又恐会过之而不及。即过度强调信息主体的义务,可能会加剧信息主体在信息环境中的恐慌,这不仅违背了法律保护共同信息的初衷,也可能抑制社会的创新和发展。因此,必须谨慎界定信息主体的“擅自处理行为”及其可能导致的“严重损害后果”。关于“擅自处理行为”的界定,不能简单地等同于未经其他信息主体明确同意或超出同意范围的信息收集、使用、披露等行为,而是要考虑行为人实施行为时的主观过错程度。根据不同程度,这里的主观过错又可以细分为两种情形,分别是故意或者重大过失。所谓故意是指行为人明知处理行为会造成其他信息主体权益受损而有意为之,主观恶性较大。如某知名导演曝光与前妻的离婚协议的行为,又如李某将与张某沟通的聊天记录、群聊记录发表到抖音和朋友圈的行为,都属于主观上有意为之。所谓“重大过失”,是指行为人在法律行为能力范围内能够预见而没有预见,或者已经预见但轻信事故不会发生而未采取措施所造成的事故及损失,此种情况是没有预见或预见到但轻信不会发生而造成事故或损失的一种主观过失心态。如实践中信息主体在没有甄别的情况下,允许他人无差别地获取相关共同信息的行为,实则属于具有重大过失的行为。
关于“严重损害后果”的界定,需要从损害的性质、程度、持续时间以及是否可修复等多个维度进行综合考量。首先,损害的性质是判断损害后果严重性的重要依据。而损害的性质的界定,需要考察共同信息的处理行为是否涉及侵害权利主体的隐私、财产权益或名誉权等核心权益。若涉及,则构成“严重损害后果”;反之则不然。例如,包含他人敏感信息(如人脸信息、性取向、健康记录等)的共同信息被滥用时,其损害后果通常更为严重,重则将导致相关权利人身份被盗窃、财产损失、名誉受损等。因此,评估损害后果时,应重点关注处理行为是否涉及核心权益,并据此判断其损害后果的严重性。其次,损害的程度是衡量后果严重性的关键因素。损害程度可以从受影响的范围、人数以及造成的实际损失来评估。例如,共同信息泄露事件如果波及大量用户,造成广泛的社会影响或重大经济损失,其后果显然比小范围、低损失的泄露事件更为严重。此外,损害的持续时间也需要纳入考量。某些共同信息泄露的后果可能是长期的,需要数年才能恢复,这种长期性损害显然比短期损害更具严重性。最后,损害是否可修复也是界定“严重损害后果”的重要标准。如果共同信息泄露导致的损害可以通过补救措施(如及时删除、更改密码、冻结账户等)得到有效修复,其后果相对较轻;但如果损害具有不可逆性(如相关隐私被永久公开),则其后果更为严重。例如,陈某曾公开与明星男友霍某的私密聊天记录,该行为直接导致霍某个人隐私及名誉权受损,而这种损害往往难以通过技术手段完全修复,甚至可能对当事人的社会生活和职业发展产生深远影响。
总之,在界定信息主体是否承担责任以及责任大小时,应结合行为人的主观过错程度及损害后果的严重程度进行综合判断。当然,如果共同信息泄露是由于不可抗力或技术漏洞等客观原因所致,则不宜认定为信息主体责任范围。

(二)
个人信息处理者在收集阶段应履行去个人标识义务

在当今时代,个人信息的收集与处理已成为社会运转的重要环节,而共同信息作为一种特殊的个人信息形式,其涉及多方主体,具有多方共有性、利益相关者多样性等独特属性。在收集阶段,如何确保共同信息安全的同时,又要兼顾数据的有效利用,成为个人信息处理者面临的重要挑战。面对这一挑战,去个人标识技术作为一种关键技术手段,其作用和价值尤为突出。一方面,共同信息的多方共有性使得信息泄露的风险呈几何倍数增长。每个参与方都可能成为信息泄露的源头,而信息一旦进入公共领域,其传播速度和范围难以控制。去个人标识技术通过去除或替换可识别个人身份的信息,使信息在传播和使用过程中无法与特定个人关联,从而实现在初始阶段有效降低甚至阻却信息主体相关信息或者隐私泄露的风险。另一方面,共同信息经去个人标识处理后去除了可以识别他人身份的标识信息,但仍然保留了一定的可用性,能够满足个人信息处理者的基本需求。可以说去个人标识处理不仅不会阻碍个人信息处理者对共同信息的应用,反而为共同信息的合法合规利用提供了前提条件,实现共同信息的合理利用和价值最大化。
而要达成共同信息的去个人标识的效果,则需要从对象标识、技术选择以及效果评估三方面入手。具体而言:
1.标识处理对象




在处理前,首要任务是界定处理对象,即明确哪些信息属于需要去个人标识的范畴。如前文所述,保护共同信息的核心目标在于解决部分信息主体无法参与信息决策过程的问题。因此,将那些无法参与决策过程的信息主体的相关信息设定为去个人标识对象,不仅能够有效解决这些信息主体“自决权”落空的问题,还能确保其他信息主体能够自由且充分地行使自身的信息相关权益。而从个人信息处理者的成本控制以及共同信息价值最大化的角度出发,有必要对待标识对象进行区分,明确其是直接标识信息还是间接标识信息。直接标识信息具有明确的特定性,能够单独且直接指向某一特定个人,因此在去个人标识处理过程中应当被优先考虑。相对而言,间接标识信息无法单独直接识别个人,故其去个人标识的紧迫性相对较低。然而,当多个间接标识符组合使用时,可能会导致个人身份被推断出来。在这种情况下,就需要对间接标识信息进行适当的处理,例如模糊化或泛化等。由此可见,在实际操作中,并非所有共同信息都需要进行完全去个人标识处理。我们应当结合具体场景,对去个人标识对象进行科学分类,并采取相应的差异化处理措施。
2.基于场景的差异化选择不同去个人标识技术




在实际操作中,个人信息处理者需要根据不同的场景和信息的敏感等级,选择适合的去个人标识技术。这里不妨根据不同的敏感等级,将处理场景限定为一般场景和特殊场景(如表1)。对于一般景而言,处理对象无法单独直接识别其他信息主体,可以采用简单的模糊化或泛化等去个人标识技术,使信息在传播和使用过程中无法与特定个人关联。由于这类信息的敏感程度较低,去个人标识处理后的信息在必要时可以通过特定算法或密钥进行还原,以满足某些特定需求。对于特殊场景而言,处理对象能单独直接识别其他信息主体且具有敏感性,应采用匿名化技术。这种技术通过更彻底的处理手段,如加密、哈希、数据混淆等,切断共同信息原本内部的关联性,以确保共同信息处理过程中无法逆向推导、识别出其他信息主体。总之,基于场景的差异化选择不同去个人标识技术,不仅能够满足不同场景下的相关信息安全需求,还能够适应信息处理技术的发展和变化,为共同信息保护提供更加灵活和有效的解决方案。

表1
3.动态评估去个人标识化效果




去个人标识化效果的评估是确保共同信息安全处理与有用性的关键环节。去个人标识化处理并非一劳永逸的过程,其效果需要通过科学的评估方法进行动态监测和持续优化。评估去个人标识化效果不仅需要关注共同信息保护是否达到预期目标,还需要考察共同信息的可用性是否得到保留。通过建立动态监测和反馈机制,可以及时发现去个人标识化处理过程中存在的问题,并进行针对性的调整和优化,从而确保去个人标识化处理始终处于最佳状态。
评估去个人标识化效果需要建立一套科学的指标体系。具体而言,这一指标体系应涵盖共同信息安全和可用性两个核心维度。在安全方面,可以引入重识别风险评估指标,如信息熵和k-匿名性。信息熵用于衡量数据的不确定性,熵值越高,数据的敏感度越强;而k-匿名性则要求每个数据记录在去个人标识化后至少与其他k-1个记录无法区分,从而降低个体被识别的风险。在共同信息可用性方面,需要关注去个人标识后的信息的完整性、准确性。完整性是指去个人标识化后的信息是否保留原始信息的核心特征;准确性则要求去个人标识化信息能够真实反映原始信息。此外,评估体系还应考虑技术的动态性。随着技术的发展和攻击手段的演变,去个人标识化技术的有效性可能会发生变化。因此,需要建立动态监测机制,定期对去个人标识化处理过程进行审查和测试。同时,根据评估结果和反馈信息,及时对去个人标识化策略和技术进行优化调整。总之,通过科学的评估和动态优化体系,为共同信息的安全与有用性提供持续保障。

(三)
不宜去个人标识化时应建立可溯源的算法保护机制

去个人标识化技术能在很大程度上解决共同信息的保护与合理利用的问题,但仍存在某些场景是不宜采用去个人标识化技术的。如紧急救援、公共卫生事件等特定场景中,去个人标识化处理可能阻碍共同信息的有效流通与公共利益的实现,因此保留共同信息的可识别性反而必要。而在无法使用去个人标识化技术的场景下,建立可溯源的算法保护机制使共同信息使用过程变得可追溯、可监管,不失为保护共同信息的又一关键路径。
这一机制的构建需遵循三个核心步骤:首先,在算法设计阶段,必须充分考虑共同信息的独特属性,如多方共有性和利益相关者的多样性,设计出能够精准追踪信息流向和责任主体的算法。算法设计不仅要确保技术上的可行性,还要兼顾法律合规性和伦理要求,以保障共同信息在紧急救援、公共卫生事件等特定场景中的合理流通和公共利益的实现。其次,在算法实施阶段,需要建立严格的验证与测试流程,确保算法的准确性和可靠性。在实施过程中,应通过模拟真实场景进行多次测试,验证算法在不同情况下的表现,确保其能够有效追踪共同信息流向并快速定位责任主体。同时,要建立应急响应机制,以便在出现异常情况时能够迅速采取措施,防止共同信息被非法篡改或滥用。此外,还应加强与各利益相关方的沟通与协作,确保各方对算法的理解和认同,从而形成合力,共同推动算法的有效实施。最后,在机制运行阶段,要建立完善的监管与反馈机制,持续监测算法的运行效果。通过定期评估和分析算法的实际运行情况,及时发现并解决可能出现的问题,不断优化算法性能。监管机制应涵盖技术监测和法律监督两个层面,确保算法运行的透明性和合规性。反馈机制则需要鼓励利益相关方积极参与,通过收集各方意见和建议,为机制的持续改进提供依据。
综上所述,共同信息可溯源的算法保护机制需要从算法设计、实施验证与运行监管三个维度进行构建,以有效保护共同信息的安全性和完整性,确保其合理利用与公共利益的实现。
结语
共同信息与个人信息相比存在特殊性,保护个人信息并不意味着能对共同信息进行全面保护,而如果怠于对共同信息保护无疑会进一步损害个人信息。这种损害在信息社会表现得尤为明显。遗憾的是,与人们生活息息相关的共同信息却未得到足够的关注。以往的个人信息使用和保护规则建立在信息主体对个人信息享有实质控制权的前提下,这在过去熟人社会共同信息侵权案件较少时,具备合理的社会基础。而在当今社会忽略共同信息的特殊性继续适用个人信息保护规范,无疑会造成现有个人信息立法保护模式和技术规则的失灵。因此,对共同信息的保护需要作出类型化区分,适用特殊保护规则,以避免普遍、无差别个人信息保护所造成的高昂保护成本和对信息时代数据流动的阻滞。未来,随着信息技术的不断发展和应用场景的日益复杂,共同信息保护仍面临诸多挑战。需要进一步完善相关法律法规,加强技术手段与法律规范的协同,为个人信息权益提供坚实的保障。本文是对信息时代共同信息的粗浅研究,希望为学界研究个人信息保护理论提供一个新的观察视角。

往期精彩回顾
王静|虚拟货币犯罪的证据法困境及其破解
杨猛|元宇宙空间刑事风险与类型化规制
王魏|元宇宙空间虚拟财物的孪生耦合与刑法解构
王涛|新质生产力驱动下的法治范式转型——以DeepSeek为例
房慧颖|数据要素赋能新质生产力的法治展开
黄忠顺|论债权人代位权的性质及其行使方式


上海市法学会官网
http://www.sls.org.cn