論場景風險理論下個人信息保護模式的完善

摘要：我國現行個人信息保護以“知情同意+例外”為模式，要求信息處理者在收集信息時脫離后續利用場景對信息處理風險做出靜態的抽象式預判，顯然無法應對大數據時代下日益復雜多變的信息處理場景。因此，我國應借鑒域外立法例，建立以場景風險理論為核心的個人信息保護新路徑：在信息初始收集階段，信息處理者應綜合考量構成場景的多元因素，對信息處理風險進行動態評估，依其結果采取寬嚴有別的授權模式;在信息再利用階段，信息處理者應履行“場景一致”原則下的告知義務，并對超場景利用再次請求授權，以實現個人信息保護和利用的雙贏。

關鍵詞：個人信息; 場景風險理論 ;知情同意原則 ;完善

一、前言

大數據時代，個人信息所蘊含的使用價值、自主價值進一步顯現，已經成為國家戰略交鋒、企業競爭以及主體間權利博弈的焦點，可謂時代的“新石油”。個人信息不僅關乎信息主體的利益，還與公共安全保障、經濟發展等國家、社會利益息息相關。例如在疫情期間，行政機關、企業等主體通過推行健康碼等方式對個人信息進行收集使用，對國家疫情防控調度、增強公民自我保護的有效性起了舉足輕重的作用。但同時，一些失范的信息收集利用行為屢見不鮮，導致個人信息被濫用進而致使信息主體利益受損。不同利益之間的博弈使得個人信息的保護制度設計仍存在不少爭議，只有構建科學合理的個人信息保護法律制度，才能有效平衡個人信息安全保護和信息流轉與使用之間的沖突，以最低的社會成本實現個人信息最大的價值。

二、我國個人信息保護的模式及其不足之處

（一）忽視了個人信息敏感度劃分的相對性

現有規定將個人信息劃分為一般個人信息和個人敏感信息兩大類，依據《信息安全技術個人信息安全規范》的規定，個人敏感信息指的是一旦泄露、非法提供或濫用可能危害人身和財產安全，極易導致個人名譽、身心健康受到損害或歧視性待遇等的個人信息。

（二）信息再利用授權成本巨大

個人信息的價值并不在于信息本身，而在于對其的不斷挖掘和利用。信息處理者為了防范侵犯個人信息的法律風險，就需要盡可能全面詳盡地向信息主體說明收集信息的那內容、目的、利用方式、轉移對象等內容。在瞬息萬變的大數據時代，上述內容呈現日益復雜多變的趨勢，信息處理者必然要耗費大量的人力物力成本以確保信息處理的合法性。

（三）授權形式化使知情同意原則無法發揮實際效用

法律之所以規定信息處理者在收集利用信息時需征得信息主體的同意，就是為了盡量減少因信息披露而導致的信息主體對信息的掌控能力減弱的消極影響，最大限度地恢復這種控制能力。但在實踐中，授權卻流于形式化，使知情同意原則無法發揮實際效用。

三、我國個人信息保護立法模式的完善——引入場景風險理論

（一）多元因素影響下的風險評估及初始授權

1. 信息主體身份

不同的信息主體對于信息的掌控能力有所不同，因此同樣的信息處理行為對不同的主體而言往往具有不同的風險。例如，根據年齡可以將信息主體劃分為未成年人和成年人，前者相對后者而言，由于其生理心理狀態都不成熟且缺乏社會經驗，導致其心理承受能力以及受害后的自我恢復能力均弱于成年人，某些對于成年人而言并不具備侵害風險的信息處理行為對未成年而言就可能具有較高風險，因此立法應側重于對其信息進行保護而非利用。

相同或類似信息處理行為對不同信息主體造成的風險高低主要取決于兩大因素，其一是信息主體的認知程度，此因素直接影響主體對信息的掌控程度，認知程度與掌控程度往往成正比;其二是信息主體的知名度，在某一領域內知名的公眾人物往往對與該處于該領域內或與領域相關的信息處理行為有較高的容忍義務，容忍義務越高，其風險評估也就越低。由此，可以基于信息主體身份差異形成一個風險評估的類型化體系。

2.個人信息的重要性

現有規范從單一維度將個人信息靜態劃分為一般個人信息和個人敏感信息兩大類，這種脫離場景的抽象式預判，顯然無法適應日益復雜的信息處理行為。筆者認為可以從信息的識別性、穩定性以及關聯性三個方面來確定信息的重要程度。其一，識別度指的是根據某一個人信息能否直接確定該信息主體。其二，穩定性指的是通過個人信息識別特定主體是否具有即時性。其三，關聯性指的是某一個人信息與其他信息之間的關聯度，即能否據此信息進一步獲得與該主體相關的其他信息。以上三要素的程度高低都與信息面臨的風險高低成正比，因此可以基于個人信息的重要程度形成一個風險評估的類型化體系。

3.信息的處理方式

與信息處理方式最直接相關的兩個因素即信息處理的目的以及信息披露的對象。其一，信息處理目的可依據信息主體的合理預期劃分為預期范圍內外兩種情形。其二，對于披露對象則可分為特定對象與不特定對象兩類。

信息處理目的若在信息主體的合理預期范圍內則風險較低，反之則風險較高;披露對象若為特定群體則信息處理風險較低，反之則較高。因此可基于信息處理方式差異形成一個風險評估的類型化體系。

（二）“場景一致”下的再利用告知義務

美國與歐盟都確立了“場景一致”原則，即只要后續變化的使用能為原先的收集場景所涵蓋，符合信息主體在原先場景中的合理預期且不會致其權益受損，那么信息處理者無需再次征得信息主體的同意。場景是否一致由信息處理者自行評估即可，在發生爭議時由其負擔證明場景一致的責任。我國可在借鑒這一原則的基礎上對其進行補充完善，即雖不對信息處理者附以再次請求授權的義務，但對其施加告知義務，要求信息處理者將信息再利用的主體、范圍、方式、應用場景、可能存在的風險等告知信息主體，并同時告知其享有信息的再利用的否決權。若信息處理者將對信息進行“超場景”的再利用，那么應當依上述初始收集的標準再次進行風險評估并請求信息主體授權。

參考文獻

[1]張振君. 論場景風險理論下個人信息保護路徑的重構[D].上海師范大學，2020.

[2]金松，張立彬.突發公共衛生事件下的個人信息保護研究——以新型冠狀病毒肺炎疫情為背景[J].情報理論與實踐，2020，43（06）：16-22.

[3]鄒曉玫，杜靜.大數據環境下個人信息利用之授權模式研究——重要性基礎上的風險評估路徑探索[J].情報理論與實踐，2020，43（03）：37-43.

作者簡介：饒惠智（2000-），女，湖北咸寧人，華中師范大學法學院，本科在讀，主要研究方向：民商法學。