韓國《個人信息保護法》的最新修正及其對我國之啟示

楊智博

(西北政法大學(xué) 刑事法學(xué)院，陜西 西安 710199)

一、問題的提出

在韓國，由于侵害個人信息的案件接連不斷地發(fā)生，造成電子政府的誠信度下降、企業(yè)經(jīng)營受到打擊、國民的權(quán)益受到嚴重侵害等不良后果。為了解決這些問題，韓國于2011年就已經(jīng)制定并頒布了《個人信息保護法》。時至今日，韓國《個人信息保護法》已經(jīng)歷經(jīng)數(shù)次修正。其中，最近一次修正發(fā)生在2020年，此次修正被認為是自2011年韓國《個人信息保護法》頒布以來修改幅度最大且最具有意義的一次。韓國國會闡釋了這次修正的主要理由，即隨著第四次產(chǎn)業(yè)革命的到來，通過對核心資源數(shù)據(jù)的利用活性化，培養(yǎng)新產(chǎn)業(yè)成為泛國家的課題，特別是為了發(fā)展新產(chǎn)業(yè)，需要使用人工智能、云計算、物聯(lián)網(wǎng)等新技術(shù)并進行數(shù)據(jù)利用，為了安全的數(shù)據(jù)利用，現(xiàn)在亟須制定社會規(guī)范。但是根據(jù)現(xiàn)行的《個人信息保護法》，支持培養(yǎng)新產(chǎn)業(yè)的數(shù)據(jù)利用活性化是有限的。因此，在沒有經(jīng)過信息主體同意的情況下，如果是以科學(xué)研究、統(tǒng)計編制、公益記錄保存等為目的，應(yīng)當(dāng)為對假名信息的利用提供根據(jù)。與此同時，也要強化個人信息處理者的責(zé)任，在制度上保護個人信息的安全。個人信息保護委員會應(yīng)當(dāng)監(jiān)督個人信息的誤用、濫用以及流出。

雖然從修正的理由中可以看出，立法者試圖在促進數(shù)據(jù)活用的同時加強對個人信息的保護，但是此次修正《個人信息保護法》顯然是為了實現(xiàn)對數(shù)據(jù)的活用。存在疑慮的是，這種修正理念是否過于偏向?qū)?shù)據(jù)的活用而忽視了對個人信息的保護，致使公民的基本權(quán)利可能遭受不當(dāng)侵害？韓國學(xué)者吳吉英便表達了自己的隱憂，他認為此次修正并不是為了保護個人信息，因為沒有任何保護的內(nèi)容，只有為了利用信息新設(shè)的規(guī)定?？紤]到這次修正的內(nèi)容并全面觀察《個人信息保護法》，可以認為現(xiàn)在仍然將這部法律冠以《個人信息保護法》是不適當(dāng)?shù)?，干脆直接稱為《個人信息利用法》，或者進行些許讓步，將該法律緩和地稱為《與個人信息活用及若干保護有關(guān)的法律》。與這種觀點相對，更多的學(xué)者認為應(yīng)當(dāng)接受技術(shù)進步帶來的巨大時代潮流的變化，適時調(diào)整《個人信息保護法》的保護范圍。例如，韓國學(xué)者朱勝熙指出，過去的《個人信息保護法》奠定了以強力控制個人信息的收集與活用之基調(diào)，阻礙了大數(shù)據(jù)和人工智能等以數(shù)據(jù)為基礎(chǔ)的第四產(chǎn)業(yè)的成長。因此，此次韓國《個人信息保護法》的修正正當(dāng)其時。由此可見，隨著大數(shù)據(jù)時代的到來和新技術(shù)的出現(xiàn)，如何平衡個人信息保護與個人信息活用之間的關(guān)系是一國在制定《個人信息保護法》過程中要解決的難題。我國于2021年8月正式公布了《中華人民共和國個人信息保護法》，這是從立法上防止個人信息被肆意侵害的重要舉措?？墒?，綜觀《中華人民共和國個人信息保護法》全文，部分條文內(nèi)容設(shè)置的科學(xué)性與合理性值得商榷。主要體現(xiàn)在兩個方面：其一，《中華人民共和國個人信息保護法》過于絕對化、僵硬化地對個人信息進行保護，不利于在適當(dāng)?shù)南薅葍?nèi)活用個人信息，難以促進對傳統(tǒng)產(chǎn)業(yè)的優(yōu)化和新興產(chǎn)業(yè)的發(fā)展；其二，為了適應(yīng)第四次產(chǎn)業(yè)革命的到來，除韓國以外，不少國家都對其《個人信息保護法》進行了一定程度的修正，以求進一步加強對個人信息的活用?！吨腥A人民共和國個人信息保護法》雖然沒有絕對不允許活用個人信息，但是將對個人信息的活用限制在相對狹窄的范圍之內(nèi)，既不符合國際趨勢，也難以適應(yīng)時代的變革。有鑒于此，有必要對其予以進一步的修正與完善。相較于《中華人民共和國個人信息保護法》，韓國《個人信息保護法》頒布較早，在積累了豐富的實踐經(jīng)驗和參考他國的法律規(guī)定后促成了該國有史以來對該法最大幅度的修正。此次韓國《個人信息保護法》的修正內(nèi)容，能夠?qū)Α吨腥A人民共和國個人信息保護法》的完善提供哪些有價值的啟示，是本文探討的重點。

二、修正后韓國《個人信息保護法》的主要變動

囿于篇幅所限，本文主要研究修正內(nèi)容中有關(guān)加強個人信息活用的相關(guān)規(guī)定，分析這些條文的設(shè)置是否合理與科學(xué)，在此基礎(chǔ)上探討其中的哪些內(nèi)容值得我國借鑒。

(一)對“個人信息”的保護范圍予以調(diào)整和明確

修正前的韓國《個人信息保護法》在第二條第一款中將“個人信息”定義為：“與自然人有關(guān)的信息，是可以通過姓名、居民身份證號以及影像等識別出具體個人的信息(包括即便通過該信息不能識別出特定的個人，但是可以與其他信息結(jié)合容易進行識別的信息)?！睆纳鲜龆x中可以認為“個人信息”具有兩大特征：其一，要求是與自然人有關(guān)的信息，如果是屬于已經(jīng)死亡的人或者是法人的信息，則不屬于個人信息；其二，個人信息包括可以直接地、單獨地識別出具體自然人的信息以及雖然無法單獨識別出特定的個人，但是若與其他的信息相結(jié)合也可以很容易達成此目的的信息。

可是，不少韓國學(xué)者認為修正之前的《個人信息保護法》對“個人信息”的定義存在諸多缺陷。首先，“其他信息”的范圍并不明確，致使個人信息的概念范圍有無限擴張的可能性。如果將“其他信息”的范圍看成是與“這個世界上存在的所有信息”一樣寬廣的話，則《個人信息保護法》的規(guī)制范圍幾乎可以擴張到所有與個人相關(guān)的信息。其次，根據(jù)修正前的《個人信息保護法》第二條第一款的規(guī)定，有“識別可能性”的信息就是個人信息。由此可以反向推論得出，只要某信息單獨或者與其他信息相結(jié)合能夠被識別，不必考慮識別可能性的大小與識別的難度，一律肯定該信息屬于個人信息，要受到《個人信息保護法》的規(guī)制。即便對個人信息采取一定的非識別措施，能夠顯著地降低個人信息的識別可能性，仍然要適用《個人信息保護法》的規(guī)定?？墒?，在個人信息只有極低的識別可能性的情形下，處理此類個人信息對信息主體的人格權(quán)和私生活的自由產(chǎn)生較大影響的可能性也會很低。即便站在信息主體的立場，想要對識別出自身非常困難的個人信息行使控制權(quán)的誘惑也并不大。因此不少學(xué)者指出，如果對個人信息采取非識別措施后只有極低的可能性可以識別出特定的個人，則可以認為這種情形下的個人信息不是受《個人信息保護法》規(guī)制的“個人信息”，以此適當(dāng)降低個人信息活用的門檻，提高其社會效用。最后，修正前的《個人信息保護法》在第三條第七款中指出：“在有可能匿名處理個人信息的情況下，個人信息處理者應(yīng)當(dāng)盡可能地以匿名方式處理個人信息?！惫识?，經(jīng)過匿名處理的信息也屬于個人信息，但是法律對“匿名處理”的概念沒有進行任何的規(guī)定，造成理解和適用上的混亂。因此，有不少學(xué)者建議《個人信息保護法》應(yīng)當(dāng)明確“匿名處理”的具體內(nèi)涵。

修正后的韓國《個人信息保護法》采納了如上建議，對“個人信息”的保護范圍予以如下調(diào)整：其一，將第二條第一款修改為“個人信息包括即使僅憑該信息無法識別特定的個人，但是可以與其他信息結(jié)合容易進行識別的信息。在這種情況下，是否容易與其他信息相結(jié)合，應(yīng)當(dāng)合理考慮其他信息獲取的可能性等識別個人所需的時間、費用、技術(shù)等”，并且在新增設(shè)的第五十八條之二中再次指明，判斷有無識別可能性的基準(zhǔn)是“合理性”。即雖然某信息與其他信息相結(jié)合有可能識別出特定個人，但是在需要耗費極其多的時間或者費用以及超越通常技術(shù)水準(zhǔn)的情形下，應(yīng)當(dāng)否認識別可能性。盡管某信息在理論上有識別可能性，但是如果該可能性不能合理地現(xiàn)實化，應(yīng)當(dāng)否定此信息存在識別的可能性。也就是說，即便從事實層面上看某信息確實有識別的可能性，在一定條件下亦可能在規(guī)范層面否定此信息的識別可能性，從而可以認為不屬于受《個人信息保護法》規(guī)制的“個人信息”。其二，此次韓國《個人信息保護法》最引人注目的修正是與假名保護有關(guān)的法條。如前所述，修正之前的韓國《個人信息保護法》沒有使用“假名”的概念，只有“匿名處理”的規(guī)定。修正之后導(dǎo)入“假名信息”這一新的概念，明確規(guī)定了假名處理的內(nèi)涵，即第二條第一款之二規(guī)定，所謂“假名處理”是指通過刪除個人信息的一部分或者代替?zhèn)€人信息的一部分或全部等方法，如果沒有追加信息，就無法識別出特定的個人。

(二)緩和理解目的限制原則

對個人信息的收集利用，必須經(jīng)過本人充分知情前提下的同意，此即個人信息保護的知情同意原則。對個人信息保護而言，知情同意原則具有 “帝王條款”的意義。該原則旨在維護個人自主，使信息主體得以自治自決而不被他決。而“目的限制原則”是以知情同意原則為基礎(chǔ)，要求信息處理者必須在此前向信息主體告知的目的范圍內(nèi)處理個人信息，從而維護知情同意原則的絕對地位。修正之前的韓國《個人信息保護法》在第十五條第二款中規(guī)定：“個人信息處理者在獲得信息主體的同意后，如果想變更利用個人信息的目的，應(yīng)當(dāng)重新告知信息主體并獲得其同意?！钡谑邨l第二款又規(guī)定：“對于個人信息處理者在取得信息主體同意后又向第三方提供信息主體個人信息的情形，如果變更了利用個人信息的目的，也必須告知信息主體并獲得其同意?！边@兩項條款意在提示個人信息處理者，不是只要獲得信息主體的同意后就能夠肆意處理其個人信息。如果變更利用個人信息的目的或者將信息提供給第三人，均應(yīng)當(dāng)再次獲取相關(guān)信息主體的同意，否則便違反了“目的限制原則”。當(dāng)然，修正前的韓國《個人信息保護法》在第十八條第二款中也設(shè)置了知情同意原則的例外規(guī)定，已經(jīng)放棄了絕對化的目的限制原則。但是該款規(guī)定將例外情形限定在極其狹窄的范圍內(nèi)，仍然屬于過于僵硬化地理解和適用“目的限制原則”。

因此，李素恩認為：“修正前的《個人信息保護法》之下的同意制度發(fā)揮了絕對重要的作用。只要獲得形式上信息主體的同意，即便實質(zhì)上不能對個人信息進行很好的保護，也要認定個人信息處理的正當(dāng)性。與此相反，如果沒有實質(zhì)侵害信息主體人格權(quán)的可能性，只要沒有獲得信息主體的同意，也很難認為對個人信息的處理具有正當(dāng)性。過于強調(diào)同意制度，不能保證對個人信息的實質(zhì)保護。應(yīng)當(dāng)在《個人信息保護法》中降低同意制度占據(jù)的比重，實際上是對信息主體的個人信息自主決定權(quán)在法律上設(shè)置實質(zhì)的保護?！闭腔谶@一理念，韓國《個人信息保護法》新設(shè)第十五條第三款和第十七條第四款，將不經(jīng)過信息主體的同意卻能夠利用、提供其個人信息的范圍予以適度地擴張，同時強調(diào)對個人信息的實質(zhì)保護。具體來說，第十五條第三款規(guī)定：“個人信息處理者要考慮在與當(dāng)初收集目的合理關(guān)聯(lián)的范圍內(nèi)，是否對信息主體產(chǎn)生不利益的影響以及是否采取了暗號化等確保安全性所必要的措施等。根據(jù)總統(tǒng)令的規(guī)定可以不經(jīng)過信息主體的同意利用個人信息?！钡谑邨l第四款規(guī)定：“個人信息處理者要考慮在與當(dāng)初收集目的合理關(guān)聯(lián)的范圍內(nèi)，是否對信息主體產(chǎn)生不利益的影響以及是否采取了暗號化等確保安全性所必要的措施等。根據(jù)總統(tǒng)令的規(guī)定可以不經(jīng)過信息主體的同意向第三方提供個人信息?！崩钏囟鲗@兩款新增設(shè)的規(guī)定給予了積極評價，認為第十五條第三款和第十七條第四款明確指出，個人信息處理者可以“在與當(dāng)初收集目的合理關(guān)聯(lián)的范圍內(nèi)”，而不是“在當(dāng)初收集目的的范圍內(nèi)”利用、提供個人信息，這屬于對《個人信息保護法》上“目的拘束”原則的緩和理解。實際上，在個人信息處理者獲取信息主體的同意之前，大部分信息主體并沒有注意到告知的具體內(nèi)容為何。故而在多數(shù)情況下很難說信息主體的同意是否是真摯和合理的意思決定，只是同意的話，認定個人信息處理行為的正當(dāng)性就顯得過于簡單了。比起重視形式上對信息主體自主決定的保障價值，重視個人信息的實質(zhì)保護價值被認為是更可取的方向。在這一點上，第十五條第三款與第十七條第四款與聚焦于個人信息實質(zhì)保護的理念相契合，應(yīng)當(dāng)受到很高的評價。而且，當(dāng)事人常面臨被要求不是同意就是放棄取得產(chǎn)品之兩難，因此，當(dāng)事人被迫僅能“同意”任何被要求應(yīng)表示同意的事項，即使其未必真正符合當(dāng)事人的利益。為了對個人信息予以實質(zhì)保護，且加強對其靈活運用，適度緩和理解目的限定原則是妥當(dāng)?shù)摹?/p>

然而，僅僅憑借修正之后韓國《個人信息保護法》的規(guī)定無法直接判斷個人信息處理者是否可以不經(jīng)信息主體的同意處理個人信息，因為法條中明確指出還要“根據(jù)總統(tǒng)令的規(guī)定”進行進一步的認定。為了使得上述條款能夠?qū)嶋H適用，韓國立法機關(guān)又在2020年8月4日發(fā)布的《個人信息保護法實施令》中新設(shè)第十四條之二，明確個人信息追加利用、提供的四個基準(zhǔn)：第一，與當(dāng)初收集的目的是否具有關(guān)聯(lián)性；第二，根據(jù)收集個人信息的情形和處理管理來看，對個人信息的追加利用和提供有無預(yù)測可能性；第三，是否對信息主體的利益有不當(dāng)?shù)那趾?；第四，是否有假名處理和暗號化等確保安全性的必要措施。與《個人信息保護法》相比較，《個人信息保護法實施令》規(guī)定在判斷追加利用、提供個人信息是否合法時，還要求確認在一般人看來對信息的追加利用和提供在主觀方面有沒有預(yù)測可能性，用以限制對個人信息的不當(dāng)利用。

(三)修改和增設(shè)不適用知情同意原則的具體情形

對于處理個人信息的“目的”與之前收集信息的“目的”之間不具有目的關(guān)聯(lián)性，且處理個人信息時未再次獲取信息主體的同意之情形，亦非徹底否定其合法性。修正前的韓國《個人信息保護法》在第十八條第二款第四項中規(guī)定：“以統(tǒng)計和學(xué)術(shù)研究等為目的，且以無法識別特定個人形態(tài)提供個人信息時，除有可能非法侵犯信息主體或者第三者利益的情況外，可以將個人信息用于目的以外的其他用途或者提供給第三方。”雖然該項條文被不少學(xué)者評價為在無須信息主體的同意，即可處理其個人信息的正當(dāng)化事由中是最具有意義的，但是實際上該條項存在的價值并不大。原因之一在于，第十八條第二款第四項中所說的“無法識別特定個人形態(tài)”具體是什么意義在多數(shù)情況下是不明確的。如果是指此信息沒有識別可能性的話，則該項規(guī)定是沒有意義的。因為如前所述，沒有識別可能性的信息本來就不是個人信息，即便沒有第十八條第二款第四項的規(guī)定，也應(yīng)當(dāng)將此類信息排除在《個人信息保護法》的保護范圍之外。

由于該項條文存在的不足，修正后的韓國《個人信息保護法》刪除了第十八條第二款第四項，同時新設(shè)第二十八條之二。該條規(guī)定的主要內(nèi)容是：“一、個人信息處理者為了統(tǒng)計、科學(xué)研究、公益記錄保存等，無須信息主體的同意即可進行假名處理。二、個人信息處理者按照第一項進行的假名處理不包括向第三者提供為識別特定個人而使用的信息?！迸c已經(jīng)被刪除的第十八條第二款第四項相比較，第二十八條之二不僅明確指出必須要對這些個人信息進行假名處理后方能利用，間接地說明本條處理的信息是能夠識別出特定主體的“個人信息”；而且對允許處理信息的范圍進行了修正。首先，將原本的“學(xué)術(shù)研究”變更為“科學(xué)的研究”。并在修正后的韓國《個人信息保護法》第二條解釋了“科學(xué)的研究”的具體含義，即是指“應(yīng)用科學(xué)方法的研究，包括技術(shù)的開發(fā)和實證、基礎(chǔ)研究、應(yīng)用研究以及私人投資研究”。其次，肯定如果是以“公益記錄保存”為目的，只要滿足了相應(yīng)的條件，同樣也可以在未獲得信息主體同意的情形下處理其個人信息。

三、對我國之啟示

(一)肯定匿名化信息的相對性

與修正后的韓國《個人信息保護法》相比較，《中華人民共和國個人信息保護法》雖然沒有提出“假名信息”的概念，但是在第五十一條中規(guī)定，個人信息處理者應(yīng)當(dāng)采取相應(yīng)的加密、去識別化等安全技術(shù)措施以防止未經(jīng)授權(quán)的訪問以及個人信息泄露、篡改、丟失；并在第七十三條第三款進一步解釋了“去標(biāo)識化”的具體含義，即“個人信息經(jīng)過處理，使其在不借助額外信息的情況下無法識別特定自然人的過程”。實際上，經(jīng)過加密、去標(biāo)識化等技術(shù)處理后的個人信息與韓國《個人信息保護法》中所指的“假名信息”無異。此外，《中華人民共和國個人信息保護法》第四條指出：“個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關(guān)的各種信息，不包括匿名化處理后的信息?！蓖瑫r在第七十三條第四款中也規(guī)定了“匿名化處理”的內(nèi)涵，即“個人信息經(jīng)過處理無法識別特定自然人且不能復(fù)原的過程”?！吨腥A人民共和國個人信息保護法》明確了“匿名化處理”與“去標(biāo)識化”的具體內(nèi)涵，能夠很好地避免將這兩個概念相混淆。其中，去標(biāo)識化的信息仍屬于個人信息，而匿名化處理后的信息已經(jīng)不能成為個人信息?！吨腥A人民共和國個人信息保護法》的這些規(guī)定在一定程度上體現(xiàn)了立法的進步性與體系性，是值得肯定的?？墒?，與修正后的韓國《個人信息保護法》相比較，《中華人民共和國個人信息保護法》的不足之處在于過于絕對化、僵硬化地框定“個人信息”的保護范圍，在立法的科學(xué)性上略顯不足，主要體現(xiàn)在以下兩點。

第一，《中華人民共和國個人信息保護法》認為個人信息經(jīng)過匿名化處理后就絕對不可能識別出特定的個人，然而，大數(shù)據(jù)技術(shù)使法律上的絕對匿名化概念變成令人誤信的神話。許多研究表明，不存在絕對匿名化的信息。已經(jīng)匿名化的數(shù)據(jù)集跟其他數(shù)據(jù)集相結(jié)合，就有可能重新識別該人；隨著識別技術(shù)的進步，已經(jīng)匿名化的信息也有可能再次被識別。如果要求識別風(fēng)險為零，則在實踐中難以實現(xiàn)。因此，匿名的狀態(tài)是相對的，只會在特定的情景中有效。隨著科學(xué)技術(shù)水平的不斷發(fā)展，被宣揚為能夠?qū)崿F(xiàn)絕對匿名化的技術(shù)也必然會被攻破，區(qū)塊鏈技術(shù)便是如此。近年來，區(qū)塊鏈技術(shù)不斷發(fā)展并被廣泛運用于各個領(lǐng)域。區(qū)塊鏈技術(shù)的優(yōu)勢之一在于可以通過匿名化的方式保護用戶的身份信息。相關(guān)主體運用數(shù)字簽名和公私鑰加密技術(shù)，借助區(qū)塊鏈存儲信息進行交易，無須披露真實身份，以達到保護用戶隱私的目的。然而，區(qū)塊鏈中的所有交易都存儲在公開的全局賬本中，攻擊者很容易獲得所有交易信息，只要通過分析交易中的關(guān)聯(lián)關(guān)系，攻擊者就能夠逐步降低區(qū)塊鏈地址的匿名性，甚至發(fā)現(xiàn)匿名地址對應(yīng)用戶的真實身份信息。由此可見，《中華人民共和國個人信息保護法》認為信息只要經(jīng)過匿名化處理后就絕對無法還原的理念是不符合實際情況的。

第二，主張經(jīng)過匿名處理后的信息都屬于“個人信息”?！吨腥A人民共和國個人信息保護法》與修正前的韓國《個人信息保護法》所框定的“個人信息”成立范圍基本一致，只是在條文的表述上存在形式的差異。其中，“已識別的個人信息”就是“可以直接地、單獨地識別出特定個人的信息”；“可以識別的個人信息”也與“雖然單獨通過該信息無法識別特定的個人，但是若與其他信息相結(jié)合就可以很容易達成此目的的信息”相對應(yīng)?？墒?，根據(jù)《中華人民共和國個人信息保護法》對“個人信息”的定義，會認為即便個人信息經(jīng)過處理后很難識別出特定的自然人，但只要存在識別可能性，就應(yīng)當(dāng)承認該信息屬于“個人信息”。因此，有必要借鑒韓國《個人信息保護法》的修正內(nèi)容，對“個人信息”的定義進行調(diào)整，即在判斷是否屬于受法律保護的“個人信息”時，應(yīng)當(dāng)合理考慮其他信息獲取的可能性以及識別個人所需的時間、費用、技術(shù)等，不再將需要耗費極其多的時間、費用，超越通常技術(shù)水平才能獲取的信息認定為“個人信息”，如此才更符合實際的情況。

(二)確立目的關(guān)聯(lián)性原則

《中華人民共和國網(wǎng)絡(luò)安全法》(以下簡稱《網(wǎng)絡(luò)安全法》)在第四十二條中規(guī)定：“未經(jīng)被收集者同意，不得向他人提供個人信息。但是，經(jīng)過處理無法識別特定個人且不能復(fù)原的除外?！庇捎跓o法識別出特定的個人且不能復(fù)原的信息本身就不屬于個人信息，因此根據(jù)《網(wǎng)絡(luò)安全法》的規(guī)定，在處理個人信息時必須要經(jīng)過信息主體的同意，不存在任何例外。與《網(wǎng)絡(luò)安全法》不同，盡管《關(guān)于〈中華人民共和國個人信息保護法草案〉的說明》中明確指出，《中華人民共和國個人信息保護法》確立了以“告知—同意”為核心的個人信息處理規(guī)則，要求處理個人信息應(yīng)當(dāng)在事先充分告知的前提下取得個人同意，而且重要事項發(fā)生變更的應(yīng)當(dāng)重新取得個人同意，可是并沒有絕對性地要求在處理個人信息時必須都要經(jīng)過信息主體的同意。具體而言，在《中華人民共和國個人信息保護法》第十三條中規(guī)定了個人信息處理者可以合法處理他人個人信息的七種情形。其中，只有第一款要求在處理個人信息時必須取得信息主體的同意，而處理涉及第二款至第七款的信息時無須取得個人同意。因此，也可以說處理個人信息是以第一款為原則，第二款至第七款屬于第一款的例外。韓國《個人信息保護法》在第十五條中也采取了相同的立法理念。這種立法理念是值得肯定的。在大數(shù)據(jù)時代，應(yīng)當(dāng)注意平衡個人信息自主權(quán)的維護與個人信息合理利用的關(guān)系。立法在首肯同意規(guī)則的同時，有必要規(guī)定一些無須同意也可進行個人信息收集、處理和利用的情形，以便最大限度地緩解因過度同意而給信息相關(guān)主體帶來的沉重負擔(dān)，能夠很好地兼顧信息主體的人格利益、信息業(yè)者的商業(yè)利益和社會公共利益。

可是，與修正之前韓國《個人信息保護法》的有關(guān)規(guī)定相類似，仍然要承認《中華人民共和國個人信息保護法》將“目的限定原則”的例外規(guī)定限定在過于狹窄的范圍內(nèi)。對于變更信息處理目的等情形，《中華人民共和國個人信息保護法》僵化地確立了“目的限制原則”。例如，《中華人民共和國個人信息保護法》第六條規(guī)定：“處理個人信息應(yīng)當(dāng)具有明確、合理的目的，并應(yīng)當(dāng)與處理目的直接相關(guān)?！钡谄邨l規(guī)定：“處理個人信息應(yīng)當(dāng)明示處理的目的、方式和范圍?！钡谑臈l也指出：“個人信息的處理目的、處理方式和處理的個人信息種類發(fā)生變更的，應(yīng)當(dāng)重新取得個人同意?！币陨鲜鰲l文的表述為依據(jù)，只要不存在第十三條第二款至第七款的情形，不論是基于何種理由變更個人信息的處理目的，都要重新得到信息主體的同意，這顯然是不夠妥當(dāng)?shù)?。誠然，不能超出收集個人信息的目的來使用個人信息，能確保信息主體提前知曉自己的個人信息在多大范圍內(nèi)被使用，也可以控制信息處理者在事先約定的范圍內(nèi)處理個人信息。但是，大數(shù)據(jù)時代的信息挖掘恰是突破目的限制的技術(shù)，通過數(shù)據(jù)挖掘可以開發(fā)出信息利用的潛在價值并創(chuàng)造更大的社會價值。大數(shù)據(jù)技術(shù)通過海量數(shù)據(jù)匯總與挖掘，使得信息作為資源在社會經(jīng)濟、秩序管理等方面發(fā)揮越來越大的作用和價值。身處大數(shù)據(jù)時代，為了更大程度地發(fā)揮信息利用的巨大價值，韓國《個人信息保護法》增設(shè)第十五條第三款與第十七條第四款對“目的限定原則”予以改造，提出了“目的相關(guān)聯(lián)原則”?！澳康南嚓P(guān)聯(lián)原則”生成的法理主要在于，收集和處理、使用個人信息存在時間差，由于網(wǎng)絡(luò)科技的發(fā)展和商業(yè)創(chuàng)新可能一日千里，信息主體與信息控制主體可能均未預(yù)見有重要價值的額外目的，如果不允許把個人信息用于此額外目的，會造成資源上的浪費。此外，貫徹該原則既能夠避免毫無限制地處理個人信息，又可以在一定限度內(nèi)加強對個人信息的活用，起到平衡個人信息的保護與活用之作用。筆者認為，應(yīng)當(dāng)參考韓國《個人信息保護法》第十五條第三款與第十七條第四款的相關(guān)內(nèi)容，在《中華人民共和國個人信息保護法》中引入“目的相關(guān)聯(lián)原則”，防止一刀切地將超出收集個人信息目的的信息處理行為認定為違法，促進對個人信息的適度活用。至于如何判斷處理個人信息的行為是否具有目的關(guān)聯(lián)性，則需要通過個案分析，綜合考量得出最終的結(jié)論。比如，某位投資人向比利時市長就一房地產(chǎn)交易事項進行了咨詢溝通，使得市長得知其個人郵箱。隨后市長向該郵箱發(fā)送競選信息的行為就無論如何也不能認為有目的關(guān)聯(lián)性，屬于違法行為。而若是消費者在某網(wǎng)站購買某物后，該網(wǎng)站運營者在之后又向消費者推薦相類似的或者周邊產(chǎn)品，只要不屬于極其敏感的物品，通常情況下可以肯定前后兩個行為有目的上的關(guān)聯(lián)性。實際上，《中華人民共和國個人信息保護法》在第二十四條中已經(jīng)明確指出：“通過自動化決策方式向個人進行信息推送、商業(yè)營銷，應(yīng)當(dāng)同時提供不針對其個人特征的選項，或者向個人提供拒絕的方式。通過自動化決策方式作出對個人權(quán)益有重大影響的決定，個人有權(quán)要求個人信息處理者予以說明，并有權(quán)拒絕個人信息處理者僅通過自動化決策的方式作出決定。”根據(jù)該條的規(guī)定，《中華人民共和國個人信息保護法》在一定程度上已經(jīng)肯定了“目的相關(guān)聯(lián)原則”，即在一定條件下可以不經(jīng)過信息主體的同意向其推送與其之前所購物品有所聯(lián)系的物品信息。既然如此，在《中華人民共和國個人信息保護法》中直接確立“目的相關(guān)聯(lián)原則”，并且設(shè)置相應(yīng)的限制條件是更優(yōu)的立法模式。

(三)合理框定不適用知情同意原則的具體情形

假如變更后處理信息的目的與此前收集信息的目的沒有合理關(guān)聯(lián)性，是否在處理個人信息時必須取得信息主體同意的問題同樣有必要予以探討。如前所述，《中華人民共和國個人信息保護法》只是在第十三條第二款至第七款規(guī)定了“知情同意原則”的例外情形。除此之外，不論是否已經(jīng)對相關(guān)信息進行去標(biāo)識化處理，個人信息處理者在處理個人信息時都必須得到信息主體的同意，但是，這樣的立法方式被認為會過于限制對個人信息的活用。韓國《個人信息保護法》新增設(shè)第二十八條之二，規(guī)定“出于統(tǒng)計、科學(xué)研究、公益記錄保存等目的，無須信息主體的同意即可進行假名處理”。根據(jù)該條的規(guī)定，即便處理信息的目的和之前收集信息時并不相同，且這兩種目的缺乏合理的關(guān)聯(lián)性，亦可以在未獲得同意的情況下處理信息?？梢哉f，第二十八條之二的設(shè)立深受2018年出臺的歐盟《通用數(shù)據(jù)保護條例》的影響。該條例第五條第一款(b)規(guī)定：“為特定的、明確的、合法的目的收集，且不得以不符合以上目的的方式進行進一步處理；為了公共利益、科學(xué)、歷史研究或統(tǒng)計目的而進一步處理的，不應(yīng)被視為不符合初始目的?！庇纱丝梢?，在采取相應(yīng)的技術(shù)手段和監(jiān)管措施的前提下，適度擴張“知情同意原則”的例外情形，既能夠更好、更全面地維護社會整體利益，促進社會的可持續(xù)發(fā)展，又完全符合加強對個人信息合理利用的全球趨勢。然而，《中華人民共和國個人信息保護法》在此方面還稍顯不足?？赡苡腥苏J為，《中華人民共和國個人信息保護法》第十三條第五款規(guī)定，為公共利益實施新聞報道、輿論監(jiān)督等行為，在合理范圍內(nèi)處理個人信息的，可以不獲取信息主體的同意。由于“等”字的存在，該款并未將行為方式限定為新聞報道和輿論監(jiān)督，完全可以認為為了公益進行的統(tǒng)計、科學(xué)研究、公益記錄保存等信息處理行為也可以不經(jīng)過個人的同意。但是，如果沒有明確規(guī)定為了公益進行的統(tǒng)計、科學(xué)研究、公益記錄保存而處理個人信息的行為是合法的，在具體適用的過程中勢必會引發(fā)爭論，可能造成同案不同判的窘境。因此，應(yīng)當(dāng)參照韓國《個人信息保護法》第二十八條之二的規(guī)定，相對明確地、合理地擴張“知情同意原則”的例外情形。

1.排除純粹出于私益處理信息的情形

當(dāng)然，借鑒并不意味著要全盤照搬。韓國《個人信息保護法》第二十八條之二的規(guī)定也存在著不明確之處。因為，只在“公益記錄保存”中出現(xiàn)了“公益”的字眼，即要求必須以保護公共利益為目的處理個人信息。根據(jù)該條文的表述，完全能得出從事統(tǒng)計和科學(xué)研究也可以純粹出于私人利益，不必考慮是否有利于公益的結(jié)論，加之第二條規(guī)定“私人投資研究”屬于科學(xué)研究似乎又印證了這一結(jié)論。但是，有不少學(xué)者認為這種觀點將使得“知情同意原則”的適用空間變得極為狹小，是對個人信息自主決定權(quán)的嚴重損害，應(yīng)當(dāng)對第二十八條之二的適用范圍進行目的性限縮，將產(chǎn)業(yè)目的的研究和商業(yè)統(tǒng)計排除出假名處理的范圍。原因在于，首先，法律條文中沒有明確規(guī)定“產(chǎn)業(yè)上的研究”和“商業(yè)統(tǒng)計”的句子。 其次，雖然能夠舉出“假名處理收集到的運動信息，為了研究成人病和運動量間的相關(guān)關(guān)系”這種科學(xué)上的例示，但是此研究比起敏感企業(yè)的營利目的，看起來與包含健康和醫(yī)療研究在內(nèi)的公益目的更具有關(guān)聯(lián)性。再次，作為修正法模板的歐盟《通用數(shù)據(jù)保護條例》也沒有明確允許產(chǎn)業(yè)上的以及商業(yè)上的目的。最后，對于未經(jīng)同意活用數(shù)據(jù)來說，沒有實現(xiàn)充分地社會合意，即改正是在人們還沒有對數(shù)據(jù)活用有充足理解的情況下進行的。因此，要從規(guī)范上限縮“科學(xué)研究”的成立范圍，應(yīng)使其只包含以公益的目的和有社會共有可能性的研究，將商業(yè)統(tǒng)計的目的排除在外。筆者以為，此種觀點是合理的。其一，并不是說個人信息處理者在以統(tǒng)計和科學(xué)研究為目的處理個人信息時，不能考慮自身的利益。而是指在維護私益的同時，要能夠促進公益事業(yè)的發(fā)展。否則將會打擊企業(yè)等個人信息處理者進行產(chǎn)業(yè)創(chuàng)新的積極性，致使社會發(fā)展停滯不前。而且，所謂“私人投資研究”也完全可能主要是為了增進公共利益的研究。其二，雖然加拿大《個人信息保護和電子文件法》規(guī)定，為藝術(shù)或文學(xué)目的收集個人資料者，可以不經(jīng)過當(dāng)事人的同意，但是，存在并不是都是合理的。對于出于以藝術(shù)或文學(xué)為目的處理個人信息的，很難認為帶有公益的色彩，而且類似的規(guī)定在其他國家的立法中也幾乎沒有出現(xiàn)。由此能夠肯定，不能將純粹為了私益處理個人信息卻未經(jīng)信息主體同意的信息處理行為認定為合法行為。《中華人民共和國個人信息保護法》第十三條第五款將處理的目的限定在“公共利益”的范圍內(nèi)，這一點是值得肯定的，可是同時也排除了主要出于公共利益，附帶也想獲取個人私益的情形。因此，建議將第十三條第六款的“為公共利益”修改為“主要是為公共利益”更符合實際情況。

2.不同類型個人信息的處理規(guī)則

韓國《個人信息保護法》第二十三條是與“敏感信息的處理限制”有關(guān)的條文，該條文的主要內(nèi)容是要求除非是獲得信息主體的同意或者另行獲得同意的以及法律要求或允許處理敏感信息的，個人信息處理者不得處理敏感信息。此次韓國《個人信息保護法》雖然并未對該條文的內(nèi)容進行變動，但是在之后新修正的《個人信息保護法實施令》第十八條中，擴大了敏感信息的范圍，認為“以識別特定個人為目的通過一定的技術(shù)手段生成的與個人的身體、生理、行動特征相關(guān)的信息”以及“與人種或民族相關(guān)的信息”也屬于“敏感信息”。上述修正看似沒有提升對敏感信息的活用，反而更加強調(diào)對敏感信息的嚴密保護?？墒?，第二十三條規(guī)定如果法律另有規(guī)定的話，可以不經(jīng)過信息主體的同意處理敏感信息。由于第二十三條位于韓國《個人信息保護法》第三章(個人信息的處理)第二節(jié)“個人信息的處理限制”中，而第二十八條之二位于同章第三節(jié)“與假名信息處理有關(guān)的特例”中，因此，完全可以認為第二十八條之二就是第二十三條所指出的“法律的例外規(guī)定”。就算沒有對第二十三條進行任何修正，韓國《個人信息保護法》在事實上仍然體現(xiàn)出提升敏感信息活用的一面，即若個人信息處理者出于統(tǒng)計、科學(xué)研究、公益記錄保存等目的，在對相關(guān)信息進行假名處理后，無須信息主體的同意亦可利用個人信息。此外，歐盟《通用數(shù)據(jù)保護條例》在第九條第二款(J)中也指出，處理對于實現(xiàn)公共利益、科學(xué)或歷史研究目的或統(tǒng)計目的是必要的，在采取相稱的和合適的措施后，也可以不經(jīng)過信息主體的同意處理其敏感信息。這也能夠說明，出于特定目的增加對敏感信息的活用同樣是符合全球發(fā)展趨勢的。

當(dāng)然，韓國《個人信息保護法實施令》第十八條指出，對于《個人信息保護法》第十八條第二款第五項至第九項所規(guī)定的情形，公共機關(guān)不得處理如下敏感信息：包括“通過測試基因獲得的基因信息”“犯罪經(jīng)歷資料信息”“以識別特定個人為目的通過一定的技術(shù)手段生成的與個人的身體、生理、行動特征相關(guān)的信息”以及“與人種或民族相關(guān)的信息”；而對其他敏感信息和普通個人信息則沒有這樣的限制。應(yīng)當(dāng)承認，有必要對個人信息進行層級劃分，并對不同信息的收集、處理和利用予以區(qū)別對待。有學(xué)者以與人格的緊密程度為標(biāo)準(zhǔn)，將個人信息分為一般信息、低度敏感性個人信息與高度敏感性個人信息，并指出對于這三類信息的保護程度要逐漸提高。韓國立法機關(guān)借鑒了這種分類方式，認為要對特定的高度敏感信息實施更加嚴格地保護，值得我國立法機關(guān)在修改《中華人民共和國個人信息保護法》時進行參考。遺憾的是，韓國《個人信息保護法》及其相關(guān)法律法規(guī)并沒有指明對于普通個人信息與敏感信息以及可以合法利用的高敏感信息和低敏感信息在保護方式上存在哪些具體的區(qū)別，可能致使對不同類型的信息予以相同的保護，或不當(dāng)升高或降低特定信息的保護程度。與之類似，《中華人民共和國個人信息保護法》也區(qū)分了敏感信息與普通個人信息。第二十九條中規(guī)定，敏感信息包括生物識別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息以及不滿十四周歲未成年人的個人信息，這些信息一旦泄露或者非法使用，可能導(dǎo)致自然人的人格尊嚴受到侵害或者人身、財產(chǎn)安全受到危害。第五十一條第二款中又指出，要對個人信息實行分類管理。就敏感信息的成立范圍和樹立信息分類管理的理念來說，上述條文的設(shè)置大體上是值得認可的。但是，《中華人民共和國個人信息保護法》沒有明確規(guī)定這兩類信息在活用程度上有哪些不同，也沒有規(guī)定不同層級的敏感信息在保護方式上存在何種差異，在這些方面尚有待進一步完善。通過上述分析，可以發(fā)現(xiàn)不論是我國還是韓國，都有必要明確規(guī)定對不同類型個人信息的具體處理規(guī)則，類型化地平衡個人信息保護與個人信息活用間的沖突。

四、余 論

雖然韓國于2020年對《個人信息保護法》進行了大幅度地修正，但是韓國個人信息保護委員會仍然認為在《個人信息保護法》中存在著些許問題，需要加強在數(shù)字經(jīng)濟大背景下公民可能被削弱的個人信息權(quán)利，積極響應(yīng)新技術(shù)的應(yīng)用對個人信息保護帶來的挑戰(zhàn)。因此，在2021年又公布了《個人信息保護法(修訂草案征求意見稿)》(以下簡稱《征求意見稿》)，公眾能夠在2021年2月16日之前向個人信息委員會提出修改的意見。筆者認為，韓國《征求意見稿》中的部分內(nèi)容同樣值得我國借鑒。

其一，《征求意見稿》在第十三條中指出，“在數(shù)字經(jīng)濟時代，僅僅依托由政府主導(dǎo)的監(jiān)管機制，難以有效地保護個人信息。為此，需要建立一個自我監(jiān)管組織來實現(xiàn)對個人信息保護的自我治理”。亦言之，應(yīng)當(dāng)建立民間自治組織，防止不法個人信息處理者不當(dāng)利用個人信息。這是因為隨著大數(shù)據(jù)、人工智能以及區(qū)塊鏈技術(shù)的發(fā)展，僅僅賦予政府部門以監(jiān)督管理職責(zé)可能難以及時地、有效地防止個人信息被非法侵害，有必要形成多樣化、層級化的監(jiān)督體系，最大限度地保護個人信息。自我監(jiān)管組織的建立能夠統(tǒng)合民間力量，與公職部門共同履行保護個人信息的職責(zé)。雖然《中華人民共和國個人信息保護法》第六十五條中規(guī)定：“任何組織、個人有權(quán)對違法個人信息處理活動向履行個人信息保護職責(zé)的部門進行投訴、舉報。”但是，該法條只是賦予組織和個人以權(quán)利而不是義務(wù)，組織或者個人完全可以對侵害個人信息的行為置之不理，無須承擔(dān)法律責(zé)任，因此并不能更周全、更迅速地對個人信息進行保護。我們應(yīng)當(dāng)借鑒《征求意見稿》第十三條的規(guī)定，組建民間自治組織，賦予其保護個人信息的職責(zé)。

其二，新增對移動式圖像信息處理設(shè)備運營的限制性規(guī)定。韓國《個人信息保護法》第二條第七款將圖像信息處理設(shè)備界定為，持續(xù)安裝在特定空間下以捕獲人或者物體的影像，或通過有線或無線網(wǎng)絡(luò)將其傳達的裝置。根據(jù)該定義，圖像信息處理設(shè)備不包括安裝在無人機或者可穿戴設(shè)備上的移動式圖像信息處理設(shè)備，這就產(chǎn)生處罰上的漏洞?！墩髑笠庖姼濉返诙鍡l規(guī)定：“原則上應(yīng)當(dāng)限制在公共場所因業(yè)務(wù)目的通過移動式圖像信息設(shè)備拍攝個人圖像信息，但是符合可以收集和使用個人信息的情形，或者在已經(jīng)設(shè)置拍攝標(biāo)識的情形下信息主體沒有做出拒絕的意思表示時，允許例外的存在?！倍吨腥A人民共和國個人信息保護法》第二十七條也只是指出：“在公共場所安裝圖像采集、個人身份識別設(shè)備，應(yīng)當(dāng)為維護公共安全所必需，遵守國家有關(guān)規(guī)定，并設(shè)置顯著的提示標(biāo)識?！奔磧H限制對固定圖像信息設(shè)備的使用，對移動式圖像信息設(shè)備的使用缺乏相應(yīng)的規(guī)制，尚需補充完善。

從總體上來看，相較于2020年韓國立法機關(guān)對《個人信息保護法》的修正，《征求意見稿》顯然更加注重對個人信息的利用限制。由此可見，絕不是說《個人信息保護法》將個人信息的活用范圍擴張得越大，該法律就越為合理；而是應(yīng)當(dāng)力求做到個人信息保護與個人信息活用間的動態(tài)平衡。我國立法機關(guān)也要以此為理念，因時因勢地修正完善我國當(dāng)前的《中華人民共和國個人信息保護法》。