大數據時代處理個人信息的合理預期標準辨明

徐 康

南京金陵亨斯邁新材料有限責任公司，江蘇 南京 210000

2021 年11 月1 日我國《個人信息保護法》正式生效實施，標志著一個更專業更完善保護公民個人信息的時代紀元開始，這是對公民基本信息權益的保護必需，也是謀求數字經濟時代下信息為經濟賦能的必然選擇。

《個人信息保護法》明確了處理個人信息的基本原則并通過規范工具搭建起一套以信息主體“知情—同意”為核心的審慎利用機制。這種被處理的同意往往是以處理方的提示信息為前提、待信息主體形成可接受的合理預期后作出的。可以說，合理預期標準可以輔助判斷信息主體的“同意邊際”，也為處理者劃定“處理界限”，為私益保護與公益需要構建平衡進路與客觀視角。［1］囿于法律條文的包容性與條文構造屬性使然，《個人信息保護法》中對合理預期標準沒有進行具體標準明確，需要從學理層面進行分析與完善。

一、法理結構：合理預期標準

合理預期標準衍生出“合理隱私期待”（Reasonable Expectation of Privacy）原則，并在1967 年Katz 訴United States 的判例中得以首次確立，其原用于公民對公權搜查行為可能引致的隱私受損進行抗辯，后被理論界移植到民法領域。從文義解釋的角度，合理預期本意是當事人結合相關信息而就后續交互行為的內容、方式、結果等產生的主觀預期，且這種期待不違反法律法規的規定及社會公序良俗。

（一）合理預期標準的語境解釋

將合理預期下沉到大數據時代處理個人信息場景，結合個人信息的泛邊界性、信息獲取的普遍性、信息處理的隱匿性、信息利用的公需性等，將合理預期定義為信息處理活動應當符合信息主體的合理預期，不得利用信息技術優勢超信息主體預期處理個人信息，僅在有限的涉公共利益的情形下可超越此限。［2］

需要明確的是，此處的個體應抽象為無主體稟賦特殊性且具有正常理性邏輯的社會一般人；同時這種預期的產生是建立在個體具體可感的隱私意識之上，個體對處理風險等有相對具象的認知。［3］一些學者也主張應通過區別不同場景下信息主體的隱私意識程度、不同場景下處理方對信息的利用深淺度與利用方式等刻畫出該具體場景下的“合理預期”。［4］這種貼合不同應用場景明確標準的方法，是大數據時代下，個人信息膨脹式發展、獲得信息主體絕對授權不切實的應對方案，即當信息處理方尚未獲得信息主體的明確許可時，只要處理方的信息行為是在該情形下主體所通常存在的合理預期之內，且這種預期具有世所公認的合理性，則處理方的行為即具有合理性。［5］

（二）合理預期標準的法理來源

運用合理預期處理個人信息應首先明確個人信息的基本屬性。但無論是《民法典》還是《個人信息保護法》都未將個人信息上升為一種民事權利，而是以“自然人的個人信息受法律保護”的范式表明其屬于受法律保護的法益，法律位階不同于隱私權，且外延屬性上廣于隱私權。

1.個人信息承載多元法益。正是外延的寬泛性以及類型的多樣性，使得個人信息所承載的權益內容更多元，除“包含信息主體的人格尊嚴和人身自由權益外，還包括信息處理者所代表的產業視角下對商業價值的追求，還包含推進社會安全、管理和福利所蘊含的社會公共利益和國家數字利益”。［6］事實上，并非所有個人信息都與主體個人的人格、財產具有高度關聯性，且并非所有信息處理行為均引致相當程度的危害成果，應關注到以數據信息為基底的數字經濟產業方興未艾，且在技術的賦能下不斷提高信息數據經濟能效已成為大趨勢。［7］所以產業發展需要我們開拓信息處理新規則以共建共享數字經濟紅利。對公權力部門而言，其對個人信息的收集處理具有維護公共利益的客觀合理性，但在具體場景下，常有濫權處理信息、侵傷私權邊界的行為發生，亟待進行秩序厘明。

2.合理預期標準幫助平衡法益沖突。隨著數字經濟的縱深發展，互聯網一方面產生多樣性與弱控制性的個人信息，另一方面也使信息處理主體增加了信息抓取渠道、更新了信息處理技術、拓寬了信息利用范式。在個體權利邊界尚不清晰、維權意識有待覺醒的情況下，信息處理方加緊了對個人信息的“侵略性”使用，在沒有對應監管規制的情況下，造成了信息主體利益與信息處理方利益、私經濟主體利益與公共利益的矛盾沖突，所以有必要在均衡各方利益的情況下去尋求新的個人信息保護與利用標準。［8］

所以應該是一個落實個人信息保護、滿足信息利用需求與效率，并提升社會福祉的三位一體機制，而合理預期標準即是通過對信息主體理性預期來劃定信息處理方的信息活動邊界，以實現私益與私益間、私益與公益間的有序并重，是我們在大數據時代合理處理個人信息的有力抓手。

二、制度針砭：《個人信息保護法》中的“合理預期標準”

我國的《個人信息保護法》也體現了“合理預期標準”，其中第六條規定“處理個人信息應當具有明確、合理的目的，并應當與處理目的直接相關，采取對個人權益影響最小的方式”，但其仍存在一定的可優化空間。

（一）合理預期標準下的“處理目的”明確

《個人信息保護法》的上述內容體現了“合理預期標準”與“目的限定理論”的銜接，即相應特定情境信息主體會對處理方的處理行為產生主觀上的處理目的預測。但是這種主觀上的目的預測與處理方所告知的處理目的并非完全重疊，在處理方告知目的后信息主體的同意行為，即表示該處理目的已經明確納入個人合理預期之內。

但現存問題是，若處理方的實際處理行為超越或改變其最初告知的處理目的，是否該屬于違法。這實質上是“目的限定原則”與“合理預期標準”的適用優先性問題，考慮到網絡環境的復雜變化性以及合理配置雙方責任，不應固守告知的“最初處理目的”而應始終以信息主體的“合理預期”為檢視標準，即考察這些客觀理性預期中是否包含變化后的“處理目的”，不必要求后續使用目的與原先目的的關聯性。特殊情形下或可考慮允許信息處理方超越先有同意但在信息主體合理預期范疇內超目的處理個人信息。

（二）合理預期標準對“知情—同意”框架的補足

《個人信息保護法》構建起個人信息處理“知情—同意”基本制度框架，此外針對特殊情形配置“單獨同意、書面同意、重新同意”等規則，保證了動態信息活動過程中處理者的處理行為始終適配于主體因境況而變動的合理預期，避免處理方利用信息不對等與技術優勢實質性而超預期處理信息。［9］需明確的是，“合理預期標準”是依據外部環境進行動態變化的標準，所以在同意機制下產生的合理預期并不完全限于本初“同意”的內容且會隨著后發性的外部因素而變換內涵，因而對處理方提出新的行動界限、處理要求與風險負擔，即“持發展又審慎之態度研判具體情境下的個人合理預期”。

在堅守“知情—同意”根本原則的同時，《個人信息保護法》也對企業勞動管理秩序、公共管理與公益維護需要、合理處理公開信息的要求等作出了回應。但該類特殊情境中信息主體“合理預期”的明確無法通過解讀個體同意意思表示的內容而得到指引，更多應關注條文所構筑的適用情境、避免場域的泛化而違背利益平衡的本心，同時處理方的信息活動也應嚴格限于條文所指向的目的，即通過情境具象與目的限定去厘清信息主體所期待的處理方式、效果等。［10］

三、路徑優化：合理預期標準的進路

隨著《個人信息保護法》的出臺，保護個人信息、增加產業信息效益、維護社會安全等的相關研究有了具象的載體與優化的方向。從個人信息處理規則角度進行優化，通過對合理預期標準的明晰有助于優化實施現有“知情—同意”框架。

（一）引入比例原則限定預期范疇

比例原則是實現“平衡數據保護和流轉”立法目的重要工具，原本是指行政機關的行政執法活動應遵從合法性、適當性與必要性的特點，選取最適當、負效應最小的執法手段以實現維護公共管理秩序與保護行政相對人權益的平衡。在“合理預期標準”中引入比例原則意在分析信息主體的預期內涵時以審慎視角去研判處理方的處理行為，個人有理由預期處理方的處理行為應是合乎法律的、是具有手段與目的適當性的、是實現該處理目標所采用的最必要方案，以此對處理方的行動邊界與實施效果形成主觀認知。但不可以此過分加重處理方的責任與風險負擔，在宏觀層面上信息主體所產生的上述認知在保護了個人的信息權益之余，不應不當阻礙信息的有效流通與有序利用，尤其是已公開的個人信息，以此形成個人利益、處理方利益與社會公共利益的“合比例性”平衡。

（二）區分信息類型進行預期匹配

《個人信息保護法》中對個人信息作了一般信息與敏感信息之分，并加重配置了處理方的處理義務與風險責任。事實上，除了從信息與個人聯系緊密性角度外，還可結合信息流轉使用的場域進行劃分，配合具體情境以針對性厘清信息主體的“合理預期”。

1.不同場域產生的個人信息之預期范疇。筆者認為或可從基于社會交往處理信息、基于交易處理信息、基于公共利益處理信息三個方面進行分類。第一類基于社會交往處理產生的信息，其產生的情形廣泛、大多數信息與個人具有弱聯系性及主體的弱控制性，所以在判定處理行為合法性時，尤其需要運用“場景理論”去探究此時空場景下的該處理行為是否契合個人的合理期待，是否使個人產生了不合理的隱私風險；第二類基于交易關系而處理的信息往往具有符合交易特征的類別特征，所以往往需結合交易場景與交易目的來明晰個人的合理預期，但有的交易涉及個人敏感信息，此時個人合理預期的產生信賴于處理方顯著的告知行為及所獲得的主體同意，所以此情形下運用“合理預期標準”既需要關注處理方告知義務的履行，也需要結合信息主體的“同意內容”以把握其預期邊界；第三類國家機關或經授權單位基于公共目的而處理信息時，尤其需要嚴格限定公共利益的范疇，此情形下信息主體往往預期國家機關以審慎態度處理信息且就所獲取信息嚴格限于該機關行政職責內予以利用、流轉，故以此規范基于公共利益處理信息的行為。［11］

這里需要對行政管理、公共健康、科學研究等行為所包含的公共利益進行合理界定，以使“合理預期標準”所參照的“公共利益”基準具有科學性、公正性，應賦予“合理預期標準”動態彈性使其應對不同的公共行為得出是否符合社會正向價值需求、是否增進社會整體福利的判斷。

2.合理預期標準應涵蓋法律后果預期。還需注意的是，信息主體對處理方信息行為的預期不僅包括個人信息應得到怎樣的處理及其無不利影響的處理后果，還應包括處理方一旦超過其預期之限應當承擔相應法律后果的結果認識。故除事前對處理方進行資信與技術能力準入、在事中對其處理行為作出具體權利安排外，還應在事后向處理方配置與其負面影響相匹配的責任機制，以回應信息主體的合理期待并從懲戒性的角度增添“合理預期標準”的威嚴性與完整性。