論《個人信息保護法》目的限制原則中的“目的特定”

牛彬彬

(湖州師范學院 沈家本法學院,浙江 湖州 313000)

目的限制原則在數據操作實踐中實際上是經過了一個從“興盛”到“式微”到“再強調”的過程。目的限制原則的概念最早由美國著名隱私法學者艾倫·威斯汀于1967年所提出,其指出政府所收集的個人信息,只能用于特定目的,不能用于其他目的或者進一步流轉。1980年,經濟合作與發展組織在《關于保護隱私和個人數據跨國流通指導原則》中首先對目的限制原則作出規范表述,并要求數據處理目的達到“特定”的程度。在美國《公平信息實踐法則》中,便將“目的限制原則”確立為八大原則之一。［1］隨后,目的限制原則也被寫入歐盟《一般數據保護條例》(以下簡稱“GDPR”)中。隨著大數據分析技術的發展,人們發現目的限制原則在很大程度上限制了數據處理者的商業創新,嚴重桎梏了數據處理者對大數據的價值挖掘,隨后有諸多學者提出擺脫目的限制原則的限制,主張在數據收集階段無需對數據處理者過分限制,而只需要關注數據處理過程即可,即確保數據處理者在處理過程中的合理的分析與處理。［2］但是隨著大型數字平臺過度分析、數字侵權等案件的發生,目的限制原則的重要性又被重新提及。有學者甚至將“目的限制原則”奉為個人信息保護中的“帝王條款”［3］。我國《個人信息保護法》也將“目的限制原則”作為個人信息保護的一項重要原則,但在規范內容上與GDPR中的目的限制原則有些許不同。其中,兩者最大的區別,當數對“目的特定”這一要件的處理。這或許也是學界對待目的限制原則態度復雜的一個重要原因。

一、“目的特定”要件的立法爭議及問題

根據“目的限制原則”中是否需要“目的特定”這一要件,我們可將“目的限制原則”的立法模式分為兩種類型,即“目的特定+目的兼容”型和“抽象合理+敏感特定”型。

(一)GDPR中的“目的特定+目的兼容”標準及其評價

GDPR第5條所規定的數據目的限制原則由兩個要件組成,其首先要求數據處理者的數據處理目的必須“特定(specified)”“明確(explicit)”“合法(legitimate)”,此為“目的特定”標準,并要求數據處理者在進一步處理數據時不得與最初收集數據的目的“不相容”,另外規定“為了公共利益而存檔目的、科學研究目的和統計目的”都屬于“兼容目的”之范疇,此即“目的兼容”標準。按照第29條工作組(此為由歐盟各成員國的數據保護監管機構、歐洲數據保護監管局和歐盟委員會指派的代表組成的核心監管機構)的解釋,“目的特定原則”要求數據處理者至少在進行數據處理之前,便明確其數據處理的目的。其中的“特定性要件”還意味著數據處理者在收集用戶數據時,必須提供足夠的細節,并使其數據處理目的具備足夠辨識度。從文義解釋的角度看,GDPR目的限制原則中的“特定”(specified)一詞本身表達一種“具體”的“限定”,具有獨特的規范功能;目的限定原則中的“明確”,側重強調對目的之內容陳述清晰明白且無歧義;“目的合理”雖亦有內容限定之意,然同目的“特定”相比,無“目的內容具體”之要求。

第29條工作組指出,GDPR中的“目的特定”原則面臨最大的挑戰,即數據處理者在隨后的數據處理中會或多或少地偏離數據收集時的目的限制。為了協調產業創新與個人信息保護之間的矛盾關系,第29條工作組也主張重構目的限制原則:雖然公開指定的目的(這里指初始的“特定目的”)是數據處理實際目標的主要參考指標,但它不是絕對參考;如果目的指定不一致或指定的目的不符合現實,應考慮所有事實要素,以及基于這些事實的數據主體的共同理解和合理預期,以確定實際目的。［4］但數據控制者應該在多大程度上分別指定這些不同的目的,以及應該提供多少額外的細節,以滿足目的特定原則之要求,好像也沒有一個確定的答案。最后,第29條工作組也只是對目的特定標準給出了十分模糊的解釋:“最終,為了確保遵守第6條(1)(b),每個單獨的目的應該足夠詳細地規定,以評估為此目的收集個人數據是否符合法律,并確定適用哪些數據保護措施。”除此之外,目的不能過于模糊或者流于一般性的闡述,諸如“改進用戶體驗”“營銷目的”“網絡安全目的”等表述皆不符合“目的特定”的原則要求。然而迄今為止,“目的特定”原則也并沒有更加明確的標準。歐洲人權法院以及相關案件中,似乎對其并無定論,因此也有學者認為,目的特定原則“幾乎無標準(Almost no Criteria)”。但GDPR仍然要求這些目的在某種程度上同初始目的相關。［5］這也是第29條工作組對“目的特定”的最后堅持。但是何為“目的特定”,又如何實現“目的兼容”,則仍然是一個懸而未決的難題。

(二)我國《個人信息保護法》目的限制原則“抽象合理+敏感特定”立法模式評價

可能看到“目的特定”要件在GDPR“目的限定原則”中的尷尬地位,我國《個人信息保護法》中的目的限制原則舍棄了“目的特定”要件,通過“明確”“合理”“與處理目的直接相關”“對數據主體權益影響最小的方式”等規范要素對數據主體的處理目的加以限制。只要求在收集處理敏感個人信息時,“目的”需“特定”。筆者姑且稱其為“抽象合理+敏感特定”標準。但這一模式同樣面臨問題。

1.各規范要素間邏輯混亂。 “目的特定”要件的缺失導致“目的限制條款”各規范要素間邏輯混亂。“目的特定”原則同“明確”和“合理”原則皆不相同,“目的特定”原則要求數據處理者在進行數據處理時,將其數據使用限制于相對確定的范圍之內,確保數據處理者隨后的數據處理行為不會超出最初的目的,并確定應當采取哪些數據保護措施。但“目的合理”與“目的特定”相比,目的界定的精確性程度較低,只要“目的”本身合法,且數據分析與處理過程符合比例原則的要求,則可以認定其數據處理目的符合“合理性”的要求。究竟何為“合理”,作為缺乏專業素養的數據主體,自是無法判定,故而只能由數據處理者自行斟酌判斷。但是,在數據處理之目的無法精準界定的前提下,又如何判斷目的是否“明確”“合理”呢?另外,《個人信息保護法》第8條第2款規定了數據最小化原則,但是在缺失“目的特定”這一規范要素的前提下,緣何判斷數據處理者的數據利用行為真正實現了必要范圍內的最小化。正如美國法學家阿里·瓦爾德曼(Ari Waldman)得出以下“苦澀”的結論:“要不,可能是他們(數字產業從業者)不知道最小化原則是什么;要么,他們根本不在乎。”［6］且根據相關學者的調查,我國大型互聯網平臺幾乎皆未能注意最小化原則的適用。［7］在筆者看來,究其根源仍然在于數據處理目的無法“特定”。

“特定”的數據處理目的,為隨后的其他數據處理中的法律要求提供了規范意義上的聯系。而“特定”要件的缺失,則導致整個“目的限制”條款的邏輯鏈條崩塌,而將“特定”要件限于敏感信息處理的限定,更因數據處理過程的不可控而無法完滿實現規范目的。規范要素之間的混亂邏輯,也在一定程度上削弱了“目的限制條款”的制度功能。

2.“抽象合理+敏感特定”同樣無法實現制度目的。 我國《個人信息保護法》的目的限制原則采取“抽象合理+敏感特定”的立法模式。一方面立法意圖通過目的限制原則約束數據處理者的行為,防止數據分析過度而導致對數據主體的權益侵犯,另一方面希望通過剔除“特定目的”給目的限制原則留下可解釋的空間,以防止立法禁錮數據處理者對大數據潛在價值的挖掘與開發。但數據處理過程是一個動態的、不確定的過程,在數據分析過程中通過一般信息得出敏感信息的事件屢見不鮮,而“合理、明確”的概念內涵太過抽象,即便數據處理者對用戶信息進行了過度處理,也可以借助于“合理、明確”這一抽象概念自圓其說,以此阻卻侵權認定。由此,數據處理者便可隱藏真實意圖、繞過用戶同意,借助于算法進行過度分析挖掘,達到其真實的信息處理目的。

3.信息侵權判斷標準缺失。 目的限制原則的制度功能不僅僅在于針對數據處理者進行事前的行為規制,而且也在于規范數據處理過程和侵權行為判斷。“目的特定”要件的缺失,導致司法實踐中諸多網絡平臺的目的說明條款無法達到目的說明的規范要求。例如諸多互聯網平臺都將“優化、改善產品和服務”作為信息收集的一項目的,有學者將其稱為平臺提供的“精準的交易媒介服務”,并認為這才是網絡平臺主要的數據處理目的。［8］筆者贊同這一觀點。個性化推送服務涉及對用戶行為興趣或偏好的分析,這種分析雖然可能不需要用戶的敏感數據,但其數據分析過程往往可以對用戶的敏感數據信息加以推測,但這種分析可能會超出用戶的合理期待,出現對用戶信息的過度分析、錯誤分析,并借此操縱用戶行為,攫取用戶的注意力剩余與消費者剩余,給用戶造成“無感傷害”［9］。另外,判斷數據處理者是否存在信息侵權的行為,一個重要的方法在于衡量數據處理過程中的正當利益,但一個沒有特定化的、無法真正達到“明確”要求的“目的”,如何權衡沖突利益價值并確定利益是否正當?

在數據侵權行為認定中,“目的特定”的規范功能體現于對數據處理者過錯程度的確定。“凌某某訴北京微播視界科技有限公司隱私權、個人信息權益網絡侵權責任糾紛案”(以下簡稱“抖音”案)的裁判路徑之所以飽受詬病,其中一個重要原因在于價值與規范之間的互動關系紊亂［10］,抖音案的裁判在概念上混淆了利益與目的,其“并無充分理由說明該行為為實現建立社交功能所必須”,“超過了處理個人信息的必要性原則”,其并未依據、也缺乏具體的裁判標準,導致目前裁判進路存在向“一般條款逃逸”的危險,即首先評估必要性、合理性,而不對數據處理者所聲稱的數據處理目的進行細致的考察與評估,這顯然不符合規范適用要求。而一個特定且明確的目的,恰恰是司法機關在數據侵權行為認定時應當把握的重要標準,也是裁判相關案件時的重要依據,防止出現“抖音”案中出現的裁判路徑問題。

二、“目的特定”要件的規范性定位——基于《個人信息保護法》第6條的體系解釋

2012年,全國人大常委會發布了《關于加強網絡信息保護的決定》,其中第2條闡述了“正當目的原則”“必要原則”“告知同意原則”的關系,即這些原則之間,或者是指導關系、或者是平行關系。［11］若其為前者,則首先需要考量其目的的正當性與必要性,當其為平行關系,則其為相互補充的關系。由此可見,厘清這幾項規范要素之間的關系十分必要,同時這也涉及“目的特定”規范要件的整體規范定位。

(一)規范外部定位:與“知情同意權”和“算法解釋權”的關系

1.與“知情同意”規則的關系——“目的特定”是用戶知情同意的前提。 數據控制者使用同意制度來使其數據處理行為合法化,當超過原初目的、需要擴大或者變更數據收集的種類或者范圍時,只需重新就數據收集行為征得用戶同意即可,幾乎不會受到任何實質或者形式的審查。由此,用戶同意似乎成為規避目的限制原則的“靈丹妙藥”。由此可見,“目的特定”規范要件的缺位,導致目前的“目的告知”基本處于一種無效告知的狀態。而一個特定的目的直接提升數據主體告知義務標準與顆粒度［12］,且與目的“明確”與目的“合理”相比,目的特定使得告知內容更加具體且客觀。德國法律學者以及法院裁判都認為,如果數據處理者沒有充分通知個人數據的處理,則該同意是無效的。尤其是數據處理者在沒有充分指定數據處理目的時,情況更是如此。而數據處理目的的充分指定,非“特定性”要件不能實現。

另外,從目前《個人信息保護法》的規范體系安排上來看,知情同意被安排在第二章“個人信息處理規則”中,但是“目的限制原則”被安排在總則之中,故從體系解釋視角,目的限制原則應當置于知情同意規則的更高位階。由此觀之,目的特定以及目的限制原則,是凌駕于知情同意原則或者知情同意規則之上的,如果說數據處理者的數據處理目的本身存在問題(不特定、不合理等),那么,用戶知情同意也是無效的。在數據處理目的變更時,知情同意只有在與初始特定目的相容的情形下,用戶的同意才會有效。

2.與算法解釋權的關系——“目的特定”是算法解釋的起點和基礎。 多數學者認為,我國《個人信息保護法》并未賦予數據主體以算法解釋權［13］,但是《個人信息保護法》依然通過“知情同意(第14條)+目的限制(第6條)+自動化決策解釋請求權(第24條)”建構了層次性算法解釋體系。［14］而“目的特定”要件是層次性算法解釋體系的邏輯起點。

算法是一個為了實現特定任務而設計的、明確且有限的步驟,其以一個明確且特定的結果作為目標。尤其是在自動化決策的應用場景中,數據處理者大多依靠算法對用戶數據進行批量化整合與分析,并在此基礎上得出結論、作出相應決策。《個人信息保護法》賦予信息主體在某些自動化決策場景下的算法解釋權。由此保障數據處理過程的透明度。而“目的特定”是算法解釋的起點,通過目的特定的告知,用戶可以對數據處理結果有一個大致設想與期待,這是用戶產生合理隱私期待的必要前提,人們也可以對數據處理者所使用的算法邏輯有大致了解。目的特定的告知,在某種程度上相當于對于算法運算結果的解釋。可以說,目的是否特定是判斷數據主體是否有效履行算法解釋義務的關鍵。“目的特定”是有效算法解釋的起點和基礎。

(二)規范內部定位:“目的特定”同目的限制原則各規范要素的關系

從規范表述上看,至少從GDPR本身的規則內容外觀上看,“目的特定”同“目的明確”與“目的合理”是相互并列、互為補充的關系。也就是說,一個特定的數據處理目的,一方面需要明確,另一方面也需要合理,且與數據處理目的直接相關。兩者共同決定數據處理目的告知的有效性。

1.“目的合理”與“目的特定”:保持主體間利益均衡狀態穩定。 “目的合理”是比例原則在《個人信息保護法》中的規范表達,在某種程度上,“目的特定”與“目的合理”的關系,可以轉譯為“比例原則”與“目的限制原則”的關系。比例原則是平衡信息保護與數據利用之間緊張關系的重要原則。但是由于目的限制原則與比例原則在內涵層面的相似性,導致兩原則彼此之間存在制度交疊與彼此架空的風險［15］;另外,由于比例原則與諸多原則(如意思自治原則)的沖突,可能導致法律適用混亂風險。從規范視角看,比例原則所權衡的客體是各方主體之間的利益狀態,其所追求的規范目標是各方主體之間的利益平衡。轉化到信息收集與處理的應用場景中,所謂的“目的合理”即數據處理者在數據處理過程中所追求的利益是合法且必要。合法即要求,首先數據處理者所追求的目的符合正當利益,其次數據處理給數據主體帶來的風險與其可能給數據處理者或者數據主體帶來的利益之間需要保持均衡。因此,“目的特定”的前提在于“目的合理”,而“目的特定”又要求“目的合理”所追求的各方利益均衡的狀態保持相對穩定。根據數據處理者的性質不同,兩個規范要素的關系又有些許微妙的不同。

(1)公法主體:注重“目的合理”。 如若數據收集與使用的主體為公法主體,需要首先衡量數據收集目的整體合理性。此時應當更加注重比例原則與必要性原則。例如為了在獻血過程中防止艾滋病的傳播,衛生部門擬使用大數據對潛在獻血者的血液感染風險進行分析推測,并在此基礎上識別出性生活混亂群體、男同性戀群體等可能感染艾滋病的高風險人群,并將其排斥在血液捐獻群體之外。這顯然并不符合比例原則的要求。使用“用戶畫像”確定可獻血群體不僅可能導致對性活躍群體、同性戀群體的歧視,某些數據主體可能因錯誤分類而遭受不公待遇,其檢測結果也并不可靠。對獻血群體進行血液檢測無疑是更加符合比例原則的做法。

又如在大數據偵察與犯罪預防的場景下,則要在目的特定的同時,更加強調比例原則的適用,即數據處理目的的“合理”。大規模監視最為主要的目的在于犯罪預防與刑事偵查,其目的自然也需要保持相當程度的確定與特定,在德國法院的相關判決中指出,“特別是基于監視電話通信行業目的(例如對國際恐怖襲擊、國際范圍內的武器分發、向聯邦共和國運輸毒品或者國外的貨幣偽造、情報和刑事起訴)是足夠精確和明確的。觀察和監視試圖預先發現的危險是充分預先確定(sufficiently pre-determined)的。”由此觀之,德國以刑事偵察和預防犯罪為目的的數字偵查行為,不僅要求目的足夠明確,而且也要求該危險是現實且具體的,即具備風險預防的緊迫而現實的需要。例如相關犯罪行為已經發生,或者有證據證明相關犯罪行為已經具備法益侵犯的現實可能性。由此可知,“目的合理”是“目的特定”的前提和基礎,即合理且必要前提下的“特定”。

(2)私法主體:注重“目的特定”。 在私法關系中,數據收集與處理關系皆產生于平等主體之間。例如,用戶與大型數字網絡平臺,應當主要以“特定目的+兼容目的”的方式確定數據收集目的,而比例原則作補充、輔助式處理。同時,應關注意思自治在各方主體行為中的法律意義與作用。但是,在私法場景下,電影院根據用戶的個性畫像向用戶推送相應的電影廣告,以實現熱門電影或者用戶可能感興趣的相關電影推送,雖然相應信息推送建議也可以通過非個性化的、且基于外部數據(例如某個特定時段內的電影票銷售統計、公眾電影評分等)來進行,而無須通過個性畫像的方式實現。但是,若用戶自己同意電影院或相關應用APP按照個性畫像向其推薦影片,則應當尊重用戶的意思自治,只要數據處理者足夠明確地說明個性化推薦將會給用戶帶來的風險。又例如,在“抖音”案中,法院裁判認定,抖音平臺以“滿足或促進用戶在抖音APP 中建立社交關系”和“商業目的”為目的收集用戶通訊錄信息,盡管法院認為,“為個體性商業利益處理個人信息是各種合法性基礎不能容納的情形”,但是,如若此舉獲得用戶同意,則未嘗不可。當然,私法主體為達到商業創新實踐的要求,在使用數據時可能會超出初始聲稱的目的,但是這非絕對禁止。在變更初始目的時,雖然也需要強調合理性,但前提仍然在于初始目的的明確具體,否則也無法判定變更目的與原目的是否兼容與合理。

2.“目的特定”與“目的明確”:明確表達特定目的。 在《個人信息保護法》的語境之下,“目的特定”與“目的明確”兩個規范要件目前處于混用狀態,某些學者將兩者作為一個原則并列提及,但正如上文所述,兩者在本質上分屬不同概念。目的明確(explicit)和目的特定(specified)皆脫胎自GDPR中的目的限制原則,兩者表達含義并不相同。對于目的明確,首先在于核心概念的明確,即數據處理者所聲稱的處理目的中,其核心概念需要明確無誤,并盡量減少爭議性概念的使用。例如GDPR規定,在征求用戶同意時,應當采用易于理解、明確平實的文字。根據上文的分析,數據處理者在履行告知義務時,需要明確告知特定應用場景、特定的數據共享方、特定分析內容和特定的風險程度。前兩者在界定時可能相對容易,但是分析內容的明確和風險程度的明確似乎并不容易做到。而兩者之間的關系,筆者傾向于將其視為一種指導與被指導的關系,即目的特定是目的明確的上位概念,只要一個目的是特定的,則其在很大程度上就是明確的,而一個目的如若達到明確的要求,其前提在于目的特定,并在此基礎上達到用語的準確與平實。

3.“目的特定”與“處理目的直接相關”。 我國《個人信息保護法》第6條中,在規定了目的明確與目的合理之后,又要求數據處理者的數據處理行為與其目的直接相關。顯然這一規范要件處于目的特定原則的下位階。但本條“直接相關”這一規范要件應當作何解釋?在筆者看來,與“處理目的直接相關”需要根據“目的特定”這一要件的規范內涵加以確定。但能夠確定的是,與“處理目的直接相關”這一規范要件背后的價值取向仍然是追求數據應用創新與數據信息保護之間的平衡,在某種程度上是對“目的特定”的適當突破,類似于GDPR中的“兼容目的”,是對特定目的的適當擴張,其所表達的具體的規范意蘊,筆者將在后文詳細加以介紹。

雖然“目的特定”這一要件仍存在諸多弊病,但卻是“目的限制原則”實現規范落地的關鍵要素,其支配著整個目的限制原則的概念結構和解釋方式,有綱舉目張的意思。同時“目的特定”也游走于數據主體之個人信息利益保護與數據處理者之數據價值挖掘訴求之間,是協調兩者關系平衡的關鍵支點,在整個“目的限制原則”發揮著“壓艙石”與“定盤星”的作用。這一標準不能被隨意舍棄。未來在《個人信息保護法》實施過程中,可以通過法律解釋的方法,實現“目的特定”原則要求在一般信息處理與敏感信息處理中的一體適用。而至于其一直以來的弊病——“特定性”要件之標準缺乏,筆者試圖通過學界對相關問題爭議的梳理,對其規范要件加以梳理與明確。

三、“目的特定”之規范釋義——基于第6條的解釋論分析

(一)“目的特定”的內涵——足夠的辨識度

“目的特定”內涵外延的界定,首先需要立足于數據處理目的。這似乎也是學界在討論目的限制原則時所忽視的一個基礎性命題——究竟什么是目的限制原則中的“目的”。從哲學范疇看,“目的”通常是指主體在認識客體的過程中按照自己需要和對象本身所固有的屬性預先設計,并以觀念形態存在于主體腦中的某種結果,它是主體的自身需要與客觀對象之間內在聯系的一種反映。目的是在某種動機支配下所形成的、出于對某種利益的追求(直接或者間接)而預先在觀念上形成的主觀預判。數據處理者不同,其進行數據處理的利益訴求也不盡相同,其目標和所欲追求的結果自然也不相同。因此,一個滿足“特定性”條件的目的,必須是一個足夠獨特的目的。

數據處理者的信息收集目的的說明義務具體至何種程度才可以達到具備足夠“辨識度”的要求,這是GDPR目的限制原則最具爭議性的問題。有學者認為,數據處理目的辨識度并沒有統一標準,并認為“數據處理行為造成人格權侵權的風險越大,越需要精確地說明數據處理的目的。誠然,風險控制是“目的特定”要件的主要制度功能,但是我們也不能說,只要風險在特定范圍之內就實現了“目的特定”的目標,有些學者認為,只要數據處理者今后的數據利用行為沒有造成新的風險,則可以將“后數據處理目的”與“前數據處理目的”視為相同目的。因為數據處理中的風險具有極強的隱蔽性與不可預測性,幾乎難以實現對數據處理過程中風險程度的客觀與精準的量化評級。Taeger則認為,“同意必須如此精確,以至于個人數據的類型和收集或使用的目的以及轉讓信息的情形下可能接收的人,都應當被充分地指定”。這些觀點對我們進行“目的特定”的規范內涵界定提供重要參考。

(二) “目的特定”的規范內涵

1.應用場景特定,即數據處理和應用的場景特定。“場景”是影響數據主體之隱私合理期待的重要因素,目的特定原則飽受爭議的一個重要原因在于,其對應用目的進行了“脫離應用場景的寬泛界定”,使得目的限制原則無法發揮其規范功能。處理目的之確定是風險預判的主要手段,但一旦脫離應用場景則難以對數據主體可能遭遇的風險類型和程度進行準確判定。

海倫·尼森鮑姆教授所提出的“場景完整理論”,要求個人信息的合理保護應當置于相應的場景之中進行具體審視,以免作出脫離應用場景的預判,并以信息主體在特定場景下的合理期待為標準,來衡量信息控制的合理性。應用場景的特定能夠幫助數據主體了解自己的數據信息將在何種生活領域和場景下被處理和應用,并對其處理范圍和處理程度形成初步的認識,以幫助數據主體初步形成自己的合理隱私期待。也因此,“應用場景特定”是“目的特定”的應然內涵。

2.分析內容特定。 這就需要確保數據分析結果的確定與可控。這也是“目的特定”的核心要求。通過分析內容特定這一要求,可以最大限度地確保數據處理過程不會超出用戶合理期待,而分析內容特定的規范要求,也使得目的限制原則的規范范疇從信息收集轉移到信息分析過程。具體而言,數據分析內容的特定包括兩個方面的內容:

(1)分析對象特定。 分析對象的特定,即數據分析對象只能局限于被收集信息的用戶或者數據主體,不得根據數據之間的關聯性推測無關人員的信息。例如,數據處理者不可通過此數據主體的信息推測其家庭成員的相關情況。數據價值源自于算法對大數據的分析和挖掘,但在這一過程中,算法的分析結果也可能會超出人們的預期,數據處理者可能在綜合分析數據主體個人信息的基礎上,得出關于數據主體的、超出其個人客觀特征的傾向性、分析性的結論。因此,數據分析過程并不可控,因為利用算法所進行的數據分析過程過于注重數據之間的微妙關聯性,這種關聯有可能會超出數據主體的合理期待。運動程序Strava通過分析用戶特定位置發現阿富汗秘密軍事基地即為例證。

(2)分析結果的特定。 分析結果的特定,即數據處理者不得推測與其所告知處理目的之外的其他數據類型,例如數據處理者告知數據主體推測其個人信貸狀況,但是卻過度分析至數據主體的其他數據信息,例如分析推測數據主體的性別,并將其作為作出結論的依據,則屬于一種超出必要程度的分析推測,超出必要的內容分析范疇,違反了“目的特定”之原則要求,是對數據主體數據信息的不當分析與推測。

由此,平臺在以“改進服務”作為信息收集目的時,需要更加詳細且明確的目的說明。優化或者改進服務,是在對用戶數據信息的分析與行為預測的基礎上,向其提供精準媒介服務。而僅僅是“改進”“優化服務”“提供個性化服務”可能難以達到目的特定的要求,因為其無法體現出“分析結果特定”這一要求。這些目的實際上并沒有基于充分的計算實踐,也沒有經過嚴格的風險評估,作為用戶的我們更無法知曉數據處理者在此基礎上改進何種服務、如何改進服務。筆者認為,在以個性化推薦為行為內容的目的告知中,需明確告知用戶推薦系統或者搜索系統中何種功能將會得到改進。另外,平臺也需要以明確、直觀的方式向用戶說明服務將如何得到改進,例如通過明確對比以及量化指標的方式,令用戶直觀感受到相關服務得到改進。

3.主體類型特定。 數據共享是克服數據孤島、充分挖掘數據價值的有效手段,但也容易造成用戶個人信息的泄露和用戶信息的過度挖掘。所以“目的特定”要件中,自然應當包含主體類型的特定。具體而言,數據共享方的特定包括兩個層次的內容:第一,數據使用主體特定,其包括數據收集方特定和數據共享方特定。這要求數據處理者在數據收集之前,明確告知信息收集方以及可能的共享方。這也是數據處理者與第三方共享數據的前提。一般而言,數據處理者在其數據收集目的中僅僅將數據共享方界定為“可能存在合作關系的第三方”,其并不滿足目的特定的要求,故而屬于非特定的目的。為滿足目的特定的要求,數據處理者需要在數據收集時,就列出信息共享第三方的具體名稱,及對其個人數據享有何種處理權限等事項。第二,利益相關方的特定。所謂“利益相關方”,是指數據處理者的數據處理行為究系為誰的利益。一般而言,數據處理者的數據處理行為總是存在一個特定的利益相關方,即數字平臺自身。但是也存在某些特殊情況,即數據處理結果可能由多方共享,這也有可能造成數據主體之信息利益的減損。“為營銷目的”是比較常見的數據處理目的,但這一數據處理目的的合法性之所以存在爭議,原因在于,其未能說明數據處理究竟是為哪一方主體的利益,因此也并不滿足“目的特定”的要求。

4.侵權風險特定。 “目的合理”這一規范要件要求數據處理關系各方主體之間利益與風險保持均衡狀態。“分析內容特定”作為“目的特定”這一規范要件的一項內涵,在某種程度上間接地保障了數據處理者在數據分析過程中獲利程度的相對確定,除此之外,“目的合理”的規范要求還包括數據處理過程中的風險狀態相對確定。大數據處理與挖掘是一個動態過程,其間,數據處理者的數據挖掘行為對數據主體之隱私權益的影響程度也呈現出動態性的特征［16］。當然,大數據的分析挖掘也可能會伴隨著數據分析目的之變更以及分析方法的變化,又可能導致數據處理過程中對數據主體之權益侵害風險變更。故而“目的特定”原則也要求數據處理行為對數據主體的權益侵犯風險保持相對穩定的狀態。

侵權風險特定包括兩個方面:第一,權益侵犯風險的類型相同,例如數據收集時可能對用戶的隱私信息侵犯風險,再隨后的數據處理過程中,其風險類型也應當保持不變,不得出現行為自由侵入風險、歧視風險、財產侵犯風險等其他權益侵犯的風險類型。第二,風險侵犯程度也應當保持穩定,即數據處理過程中不得因為不當處理而增加權益侵犯的風險程度,數據處理者應當根據權益侵犯之風險性大小,適時采取匿名化或者去標識化等數據保護措施,將數據處理者類型化權益的侵犯風險程度控制在特定范圍之內。

四、創新與保護的平衡:“目的特定”之形式突破與實質遵守

為緩解數據價值開發與用戶信息保護之間的緊張關系,規范應當允許數據處理者可以根據情況適當變更其數據處理目的,但是這種變更必須必要且適當。在判斷目的變更是否超出必要范圍時,歐盟主要采取目的兼容性(compatible)評估標準,其可以概括為“主觀標準”+“客觀標準”:在具體認定數據處理之目的變更是否超出必要限度時,以“合理隱私期待”為“主觀標準”,以數據處理者的初始目的為“客觀標準”,判斷數據處理究竟有無超過必要限度。然而這一標準仍然存在局限:主觀標準以數據處理目的是否超出用戶的“合理隱私期待”為標準,［17］但是何為隱私合理期待,至今尚無定論,只是通過個案方式實現對“合理隱私期待”的初步界定。由于缺乏相對清晰的內涵,“合理隱私期待”的標準仍然缺乏確定性與指引性。筆者認為,目的之變更應是在“目的特定”前提下,因循“初始目的”脈絡的合理變更,是對“目的限制原則”的有序合理突破,并借此劃定目的變更之合理范圍。

(一)目的特定之合理輻射

目的變更的合理范圍需要符合必要性原則的要求,且應當與處理目的直接相關,但是具體應當如何落實,則需要通過解釋論的路徑闡明。在筆者看來,當數據處理者超出初始目的的范圍或者期限處理個人數據時,應當按照以下內容項目逐一檢索考察。

1.場景合理關聯。 場景特定是“目的特定”的一項關鍵要求,數據的應用場景決定著數據主體在特定應用場景下的“合理隱私期待”。一旦數據處理行為脫離特定場景,則可能會引發后續數據處理行為的失控,也可能會影響數據主體的合理隱私期待。一個特定的應用場景包括以下社會元素:(1)應用場景之內的關系主體;(2)應用場景涉及的特定行業;(3)應用場景內主體涉及的社會關系;(4)其他與特定場景有關的社會元素。申言之,按某行業中的通常商業慣例可能需要數據處理者分析獲取數據主體的其他數據信息,則可以認為符合“場景關聯”的要求。例如,在某地的教育招生考試中,數據處理者通過特定的一次考試無法篩選合格申請人時,當局以篩選合格申請人為由,要求申請人提供其在之前考試中的成績進行綜合評估,此時雖然超脫初始的特定場景(申請人平時考試及其成績),但無論是用途目的(篩選合格申請人)、還是涉及的社會關系主體(申請人、教育部門當局)皆存在緊密關聯,故而也符合“場景關聯”之要求,屬于“目的兼容”的要求。但社會元素關聯不能與初始的特定場景關聯過于牽強,需要綜合判斷超脫應用場景的程度、通常情況下的慣例和一般合理做法。

2.“目的”邏輯相關。 第29條工作組雖然將“初始目的”與“新目的”之間“距離(distance)”作為衡量與判斷前后目的之間關系的一種方式,遺憾的是,工作組沒有就如何衡量目的之間的“距離”提供進一步的引導。在筆者看來,GDPR中所規定的“距離”,本質上即原始目的與現目的之間應當存在適當的邏輯關聯。為防止后續的數據處理過于偏離初始目的,故而需要以初始的數據處理目的為原點,劃定合適的數據處理范圍。在筆者看來,數據處理的初始目的,與后續處理目的之間的邏輯關系,或為包容、或為推演、或為遞進。

所謂“包容關系”,即指數據處理目的被包含于數據處理之中,其與初始目的之間是“總——分”關系,或者說,新的數據處理目的是“隱含在初始目的中”,是初始目的之“子目的”。而“推演”關系是指,初始目的與新目的之間存在“目的”與“手段”的關系,也即為實現數據處理目的,必須以另一目的之達成作為其必要手段,強調“必要”,是要求數據處理目的之變更需要符合比例原則之要求,即“目的結果”與“手段行為”需均衡。而遞進關系則是指,數據處理者為了創新數據應用手段,最大限度挖掘數據價值,而在原有的數據處理目的基礎上,重新擬定數據處理目的,理論上看,以此作為變更數據處理目的之理由時,超脫數據處理目的造成侵權的風險較大,此時需配合場景限制約束,注意存在遞進關系的目的變更不得超出與初始目的的“場景關聯”。

3.場景關聯與目的相關前提下的數據共享。 數據處理者如若將其數據向初始目的所確定的第三方共享時,固然屬于目的特定之范疇,但如若數據處理者將其數據向初始目的確定的第三方之外的主體共享時(筆者姑且稱之為“適格的數據共享第三方”),則需嚴格判定其必要性與合理性。筆者認為,適格的數據共享第三方的確定,需要以特定目的中的必備要素,即“場景關聯”和“目的相關”,作為判斷適格數據共享第三方的重要標準。即超脫初始目的的數據共享第三方主體,首先不能超脫“初始目的”下的應用場景,其次向第三方共享數據的目的必須同初始目的存在邏輯關聯。

至此,我們可以討論《個人信息保護法》第6條中,何為“與數據處理目的直接相關”這一概念的內涵:即當數據處理者改變數據處理目的時,其新目的應當與初始目的直接相關,即新目的不能脫離初始目的之應用場景,另外,新目的與初始目的之間必須存在邏輯相關性。

(二)外部限定:以基本權利之侵犯風險為標準

“兼容目的”之范圍界定需要根據數據處理者的“初始目的”為原點確定其合理輻射的范圍,但是這種單向度的、停留于內容合理性的評估難以實現輻射范圍的周延,因為其無法周全地實現對數據應用風險的精準評估。而將數據處理過程中的風險控制在特定范圍之內是目的限制原則的核心制度功能。數據處理目的限定的外延范圍,需要以數據處理中所產生的風險作為“兼容目的”之外延限定的主要標準。

1.風險可以評估。 兼容目的之外部限制的前提條件,在于該“兼容目的”本身的風險可以被評估。這也就要求,數據處理者的數據處理過程適度透明。如果數據處理者以商業秘密的形式收集個人數據,并且采用算法對個人數據進行處理,則可能會導致數據處理的風險無法預估,也就無法構成兼容目的。

2.風險類型不變。 所謂風險類型,是指數據處理者之數據處理行為對相關主體所造成的風險內容。一般而言,目的變更會伴隨著數據應用風險的變化,所以在數據處理目的發生變更的場合,我們需要首先核查數據處理目的的變更是否對相關主體之具體權利內容造成新的威脅。如果數據處理目的之變更可能引致新風險,即便符合“初始目的”之合理輻射的要求,也難以將其認定為“兼容性”目的。例如,數據處理者收集和處理個人網絡購物信息,僅是以“市場調研”“制定營銷策略”為目的,則數據處理者僅僅面臨隱私利益的風險與威脅,但若數據處理者將此類信息用于向用戶提供個性化商品推薦時,則可能會侵害用戶的安寧利益(例如網站持續不斷地向用戶推送特定類型的信息),甚至可能會受到歧視性信息推送,侵害用戶平等權。如若數據處理可能導致風險類型發生變化,則無論如何也不屬于兼容性目的。此時便需要重新進行個人信息保護影響評估,并對數據處理目的進行再特定化。

3.風險程度可控。 關于風險程度的要求,可能是“目的特定”標準與“目的兼容”標準的另一個觀點分歧之處,目的特定標準要求數據處理的風險必須控制在特定范圍之內,不僅要求風險內容同初始目的之可能風險相同,而且也要求數據處理的風險程度同初始目的大致相等。否則便是目的不兼容,需要重新對數據處理目的加以特定,有必要時,可重新進行個人信息保護影響評估。但“目的兼容”標準則僅要求數據處理的風險內容或者類型相同,而至于風險程度則無具體的要求。在筆者看來,僅僅是風險程度的變化沒有必要將其排除出兼容目的,風險種類的變化在很大程度上可能引起數據主體之合理隱私期待的變化,此時數據處理者采取合理且有效地規避措施,降低數據處理過程中的風險程度,即可達到目的。當然,數據處理者在變更之后的“目的”,除了需要滿足上述要求之后,作為一個新的目的,也需要滿足上述“目的特定”的規范要求。［18］

五、結語

理想的“目的限制原則”,應當是處于“鼓勵創新”與“信息保護”之間的、兼顧兩種價值取向的衡平位置。從規范形態上看,“目的限制原則”應當是一個內容明確、層次分明、責任清晰的規范樣態,但是從目前《個人信息保護法》的規定看,似乎遠未達到該要求。其中,“目的限制原則”中,“特定性”要素的缺位,導致整個原則的層次性缺失,影響到規范落地。未來應當重視“目的特定”要件在整個規范體系中的功能與作用,進一步細化“目的特定”要件的規范內涵,完善《個人信息保護法》規范體系。