听新闻
放大镜
明晰为科学研究目的处理个人信息之法律基础与边界
2024-02-26 15:33:00  来源:检察日报

  新兴技术的快速发展,让科学研究方法迎来了深刻变革。传统的科学研究方法主要依赖于受到数据质量和数量双重限制的理论推导或实验观察等手段,而基于大数据技术的科学研究方法,能够从经过计算机采集、统计并分析的海量数据中挖掘出事物内部的关联,在这过程中往往就涉及个人信息处理。基于此,在达成科学研究目的的过程中,个人信息处理者应当遵守与个人信息保护相关的法律规定,保障个人信息权益。但是,这种保障应该有法律规范确定一定的界限,若限制过严会影响与科学研究活动相关的公共利益,也不利于促进个人信息的合理利用;反之,若限制过松则会对科学研究活动涉及的个人信息权益造成侵害。因此,需要对相关法律规范进行解释以达到利益均衡的公正效果。

  为科学研究目的处理个人信息的法律基础

  民法典第999条和第1036条规定了个人信息的合理使用。民法典第999条规定了可以合理使用个人信息的情形,即为公共利益实施新闻报道、舆论监督等行为可以使用个人信息。该条规定将平衡公共利益维护与个人信息权益保障、促进个人信息合理使用作为个人信息的处理目的,同时授予行为人基于公共利益实施的新闻报道、舆论监督等行为可以合理使用个人信息的权利。因此,可以认为符合“为公共利益实施”且是为了平衡公共利益与个人信息权益的个人信息处理行为应当包括在该条的调整范围内。易言之,作为具备公共利益性质的科学研究,在科学研究活动中涉及个人信息权益与公共利益进行利益衡量时,该条可以作为以科学研究为目的处理个人信息的法律基础之一。除此之外,民法典第1036条第2项、第3项具体规定了无需个人信息主体同意即可对个人信息进行合理使用的情形,其中第3项也提到了“为维护公共利益”这一个人信息处理目的,所以依前所述,在科学研究活动中面临个人信息处理时,亦可将第1036条作为法律根据。

  个人信息保护法第1条、第13条确立了个人信息处理的法律基础。个人信息保护法第1条阐释了立法目的,其中保护个人信息权益是起点,规范个人信息处理活动是手段,促进个人信息合理利用是目的。该条确定了个人信息保护法的立法定位与价值取向,即在保障个人信息权益的基础上,促进个人信息依法合理有效利用,推动数字经济持续健康发展。个人信息保护法第13条是对个人信息处理法律基础的一般性规范,以信息主体同意为核心基础,再结合六种合理利用的情形,共同构成个人信息保护法调整个人信息处理的法律基础。而当出现运用个人信息保护法第13条不能解决个人信息处理方面的问题时,第1条可以为第13条填补漏洞,换言之,第1条“促进个人信息合理利用”是处理个人信息的一般功能,可以解决第13条第1款第2项至第7项不能处理的问题。而对于第13条是否存在为科学研究目的处理个人信息提供法律适用的空间,通过体系解释的方式,可以认为在个人信息保护法之内存在着五种与为了维护特定的公共利益或者与维护公共利益有关的个人信息处理法律基础,而在该法之外即民法典第1036条中存在着关于为维护一般公共利益而允许处理个人信息的情形,可以作为将来进一步扩大解释个人信息处理法律基础的根基,有可能纳入维护一般公共利益的概括性情形之中,如为科学研究或者其他研究活动而有必要处理个人信息的情形,以及为统计或者其他研究目的而实施的个人信息处理行为等。

  为科学研究目的处理个人信息的法律边界

  关于为科学研究目的处理个人信息的法律边界,在我国法律中没有直接明确加以规范。早在2014年,最高人民法院出台了《关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》,虽然目前已经失效,但其第12条以免责条款规定了以科学研究目的处理个人信息的情形,即学校、科研机构等基于公共利益为学术研究或者统计的目的而利用个人信息造成他人损害的,但经自然人书面同意,且公开的方式不足以识别特定自然人时,侵权人不承担侵权责任。可以说,第12条以“基于公共利益+信息主体书面同意+匿名化”的三重限制赋予了为科学研究目的处理个人信息的法律基础。但是在进行科学研究时,若涉及的每项个人信息都需要征得信息主体的书面同意,那将极大地增加科研成本,显然与科学研究利益不成正比。基于前文阐述,通过解释论方法,可以民法典与个人信息保护法的相关法律规定作为为科学研究目的处理个人信息的法律基础的统领,再以比较法作为度量标杆与判断尺度,由此综合确定符合我国国情的为科学研究目的处理个人信息的法律边界。

  首先,应当明确规定为科学研究目的处理个人信息须运用匿名化手段。我国个人信息保护法将匿名化定义为个人信息经过处理无法识别特定自然人且不能复原的过程,其中包含两个条件——无法识别特定自然人+不能复原。一方面,在实践中,其识别程度因个案不同而有所差异,因此,司法实践应综合考量多个因素,从而评估案件的整体风险影响程度,譬如个人信息类型、敏感程度、引发他人重新识别的意图等。另一方面,不能复原这一条件的判断标准应随科技与网络的发展而变化。

  其次,在处理手段上须明确合理使用的标准。对于合理使用的界定标准,除了需要司法实践基于不同个案进行具体裁量外,还需要从理论上作出理解与判断。一方面,应满足必要原则的要求,在进行个人信息处理时,应注意个人信息处理者的处理手段是否有助于处理目的之达成,而手段与目的都必须具备必要性,前者是指处理的个人信息是实现科学研究的利益所必要的,后者则是指为了实现科学研究的利益目的而对于个人信息权益有克减的必要。另一方面,应符合比例原则,在处理目的内采取对个人权益损害最小的方式,并且该损害不得与科学研究欲达成目的之利益显失平衡。同时,对于科学研究活动中处理个人信息的范围亦应符合比例原则要求,即应限制收集个人信息的范围于“实现处理目的的最小范围”,即“禁止过度收集”。

  最后,最终结果不能对权利人造成侵害。必须指出的是,鉴于现今信息科技的迅猛发展,信息处理者借助少量的信息便能拼凑出一份具有高度识别性的个人信息,由此可能识别出特定的自然人,因此,匿名化不能等同于避免侵害的产生。为了平衡为科学研究目的处理个人信息中的公共利益与个人信息权益,亟须增加不能对权利人造成侵害作为处理限制。个人信息保护法第27条规定中的“对个人权益有重大影响”的表述太过于模糊、难以判断,而且这种影响也没有说是积极性影响还是否定性影响,不如使用“不得以此侵害个人的权利和自由”更为妥当而且明确。在我国司法实践中,已经出现了“对当事人权益无侵害”作为合理使用个人信息的前提,同时还具有增进公共利益的意图。

  综上,通过解释论的方法,我国民法典第999条、第1036条以及个人信息保护法第1条、第13条可以作为为科学研究目的处理个人信息的法律基础。其具体运用时,可结合三方面综合界定法律边界:其一,须运用匿名化手段;其二,须明确合理使用的标准;其三,须不能对权利人造成侵害。由此既能弥补我国立法在为科学研究目的处理个人信息的法律基础与边界方面出现的空白,又能解决当前面临的公共利益与个人信息权益之间的衡平问题,在符合科学研究实际需求的基础上,提供完善的个人信息权益保障方法。

  〔作者分别为西南政法大学教授、博士生导师,西南政法大学中国信息法制研究所研究人员。本文为2022年度国家社会科学基金“数字经济时代个人信息侵权损害赔偿责任研究”(22BFX079)的阶段性成果〕

  编辑:王强