大數(shù)據(jù)時代個人信息合理使用研究

□文/ 談玉欣

（首都經(jīng)濟貿(mào)易大學(xué)法學(xué)院 北京）

［提要］ 在大數(shù)據(jù)時代，信息不是為了保護而存在于世間的，相反最初和最終都是為了利用。法律對個人信息的保護不是絕對的，規(guī)范個人信息處理活動以促進個人信息的合理使用也是《個人信息保護法》的一大立法目標(biāo)。對于大數(shù)據(jù)時代的個人信息，最好的保護手段就是直接規(guī)范信息的利用行為。而我國施行的《個人信息保護法》卻對個人信息合理使用的規(guī)定較少。筆者對比著作權(quán)法對合理使用的規(guī)定，認為對個人信息合理使用的研究是有意義的，希望能夠解決什么是“個人信息合理使用”“個人信息合理使用”的正當(dāng)性、如何界定合理使用以及怎樣合理使用的問題。

大數(shù)據(jù)是以海量信息爆炸、高增長率和多樣化的信息資產(chǎn)為特征的信息資源，而近年來互聯(lián)網(wǎng)和信息行業(yè)迅速發(fā)展，世界正處于大數(shù)據(jù)時代。人們對于海量數(shù)據(jù)的挖掘和運用，預(yù)示著新一波生產(chǎn)率增長和消費者盈余浪潮的到來。在大數(shù)據(jù)時代背景下，個人信息發(fā)揮著越來越重要的作用。合理使用個人信息促進數(shù)據(jù)經(jīng)濟，引導(dǎo)其發(fā)揮好的社會作用以迎合時代的發(fā)展趨勢，勢在必行。

一、大數(shù)據(jù)時代的基本特征和發(fā)展趨勢

隨著科學(xué)發(fā)展與計算機設(shè)備的飛速發(fā)展，這也促使各個國家的科學(xué)家與學(xué)者進行了對大數(shù)據(jù)的研究和討論，如Vikor Mayer-Schǒnberger 和Kenneth Cukier 所著的《大數(shù)據(jù)時代》等。

（一）什么是大數(shù)據(jù)。大數(shù)據(jù)是近年來IT 行業(yè)的熱點詞語，“大數(shù)據(jù)”在各個行業(yè)中也得到廣泛應(yīng)用，到底什么才是大數(shù)據(jù)呢？對于“大數(shù)據(jù)”，研究機構(gòu)Gartner 給出了這樣的定義，“大數(shù)據(jù)是需要新處理模式才能具有更強的決策力、洞察發(fā)現(xiàn)力和流程優(yōu)化能力來適應(yīng)海量、高增長率和多樣化的信息資產(chǎn)”。百度給出的答案概括地說，大數(shù)據(jù)就是一種大規(guī)模的在獲取、存儲、管理、分析等方面超出了古老且傳統(tǒng)的數(shù)據(jù)分析工具能力范圍的數(shù)據(jù)總合，將雜亂而龐大的數(shù)據(jù)進行最專業(yè)的提取與精簡。而筆者認為，大數(shù)據(jù)就是將大量綜合性的有效數(shù)據(jù)通過挖掘與分析從而獲得更大價值的信息集合。

（二）什么是大數(shù)據(jù)時代。最早提出“大數(shù)據(jù)”時代到來的是全球知名咨詢公司麥肯錫，他指出“數(shù)據(jù)，已經(jīng)滲透到當(dāng)今每一個行業(yè)和業(yè)務(wù)職能領(lǐng)域，成為重要的生產(chǎn)因素。人們對于海量數(shù)據(jù)的挖掘和運用，預(yù)示著新一波生產(chǎn)率增長和消費者盈余浪潮的到來”。大數(shù)據(jù)時代不僅會帶來人文技術(shù)、人文社會科學(xué)的發(fā)展和轉(zhuǎn)型，也會給人們的日常生活和工作方式帶來嶄新的變化。第三次工業(yè)革命讓人們進入了信息化社會，計算機及通訊技術(shù)到來，讓人與人之間的聯(lián)系更為便捷，自此，人類也將進入大數(shù)據(jù)時代，大數(shù)據(jù)時代會給人們的生產(chǎn)和生活方式帶來多方面的影響。

（三）大數(shù)據(jù)時代個人信息發(fā)展趨勢

1、信息數(shù)量爆炸式增長。大數(shù)據(jù)時代就是建立在通過現(xiàn)代網(wǎng)絡(luò)渠道廣泛將大量數(shù)據(jù)資源收集基礎(chǔ)上的存儲、提煉、智能快捷處理以及展示的信息時代。在這個“數(shù)據(jù)”時代，我們能夠從各種各樣的數(shù)據(jù)中獲得可以推動人們生活方式變化的且有價值的信息量及數(shù)據(jù)?！按髷?shù)據(jù)”展示了大數(shù)據(jù)時代從信息披露到動態(tài)顯示圖形數(shù)據(jù)技術(shù)的演變。在大數(shù)據(jù)開放的時代，會有越來越多的數(shù)據(jù)被交叉使用，將越來越多的數(shù)據(jù)整合在一起，形成完整的信息數(shù)據(jù)鏈。

2、個人信息范圍廣泛化。隨著大數(shù)據(jù)時代對互聯(lián)網(wǎng)信息的廣泛運用，對個人信息的厘定不再僅限于傳統(tǒng)意義的范圍。法律視域內(nèi)的公民個人信息雖然表面上僅僅表現(xiàn)為體現(xiàn)于公民個人的身份識別信息，但加強公民個人信息的法律保護卻是維護整體社會秩序的必需。因此，應(yīng)當(dāng)根據(jù)此理念的基本指導(dǎo)，立足于公民個人信息的實質(zhì)內(nèi)涵與法益基礎(chǔ)，對公民個人信息的范圍進行應(yīng)然擴充，方可符合數(shù)據(jù)化時代的發(fā)展所需。

3、個人信息價值日益彰顯。個人信息的價值在現(xiàn)今時代，對于國家、事業(yè)單位、企業(yè)、個人來說都意義重大。數(shù)據(jù)帶動了經(jīng)濟，也帶動了人類社會的變革和發(fā)展。數(shù)字時代可以使越來越多的信息能夠被數(shù)字化，進而被聚合處理。這種數(shù)字化進程改進了信息的聚合和交換，進而帶來了巨大的社會價值。而個人信息作為數(shù)字化經(jīng)濟最具有潛力的客體，往往為各主體所需，勢必會被時代而利用發(fā)揮出巨大的經(jīng)濟、政治和文化價值。

4、數(shù)據(jù)化生存和思維方式。隨著近年來大數(shù)據(jù)技術(shù)的快速發(fā)展，大數(shù)據(jù)所創(chuàng)造的價值深刻改變了我們的生活、工作和思維方式。在大數(shù)據(jù)時代，互聯(lián)網(wǎng)技術(shù)迅速崛起和普及，不僅促進了自然科學(xué)和人文社會科學(xué)領(lǐng)域的快速發(fā)展，而且已經(jīng)充分融入了人們的社會生活，不同領(lǐng)域的人們收集的大量數(shù)據(jù)，達到了前所未有的水平。同時，也給人們的生活帶來了極大的改變及便利。生存環(huán)境的變化勢必會影響我們的思維方式。大數(shù)據(jù)研究專家舍恩伯格指出，大數(shù)據(jù)時代人們對待數(shù)據(jù)的思維方式會發(fā)生如下三個變化：第一，人們處理的數(shù)據(jù)從單一樣本數(shù)據(jù)變成全量數(shù)據(jù)（全樣本數(shù)據(jù)）；第二，由于是海量數(shù)據(jù)和全樣本數(shù)據(jù)，人們不得不接受數(shù)據(jù)的混雜性，而放棄對精確性的追求；第三，人類通過對大數(shù)據(jù)的處理，放棄對因果關(guān)系的渴求，轉(zhuǎn)而關(guān)注相關(guān)性關(guān)系（即數(shù)據(jù)的關(guān)聯(lián)性關(guān)系）。

二、大數(shù)據(jù)時代對個人信息合理使用的要求

（一）個人信息的概念和特征。個人信息作為大數(shù)據(jù)最具有潛力的客體，有必要對其含義進行厘定，但目前世界各國對于個人信息定義的內(nèi)涵與外延存在較大分歧?？v觀全球法律體系，即便在英美法系內(nèi)部對此定義也存在不同。例如，日本作出較為細化的規(guī)定，個人信息的內(nèi)涵不再局限于同一個人相關(guān)聯(lián)的所有信息，其中可能包括姓名、生日、職位、電話簿、郵箱或公開發(fā)表的信息等，此外還需要包含某種單獨不能區(qū)別的特定人，但結(jié)合相關(guān)信息能區(qū)別出特定某個人的一種或者多種信息。與日本存在一定區(qū)別的是，美國將個人信息稱之為個人數(shù)據(jù)，通常來講是指能夠直接區(qū)分識別某特定人的數(shù)據(jù)。盡管由于國家體制原因美國沒有一部統(tǒng)一的個人信息保護法，對個人信息的概念界定沒有完全統(tǒng)一，但在實務(wù)中，各個州會在有關(guān)的判例中對個人信息的概念進行具象化界定。針對以上國家對個人信息的不同界定，結(jié)合我國司法實踐中針對個人信息的處理，筆者認為，通常而言，個人信息是指一切能夠準確辨識出某個特定人的信息的相加總和，在內(nèi)容上應(yīng)當(dāng)包括但不限于自然人的姓名、性別、職業(yè)、年齡、婚姻狀況等。而且個人信息應(yīng)具有如下特征：

1、個人信息具有可識別性。無論是《關(guān)于依法懲處侵害公民個人信息犯罪活動的通知》中將公民個人信息定義為“能夠識別公民個人身份或者涉及公民個人隱私的信息、數(shù)據(jù)資料”，還是《關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》規(guī)定的“公民個人信息包括直接識別的公民個人信息、間接識別的公民個人信息和反映特定自然人活動情況的各種信息”，都將可識別性作為個人信息核心的、本質(zhì)的特征。

2、個人信息具有客觀性。個人信息并不是主觀臆斷出來的，其存在方式與信息主體一樣是實在具體的。個人信息并非簡單地以主觀形式存在于主體判斷之中，其也可以被外界自然地接受或者感知，例如最初認識一個人所獲悉的身高、胖瘦等信息是可以直接被其他人所感知的。

3、個人信息具有共用性。不同于絕對的共用性，個人信息是相對的共用性。個人信息并非絕對地由信息主體獨自掌控，在一些特殊情況下，個人信息是由信息主體以及信息使用者共同管理并使用。換句話說，在法定情形下除了信息主體以外，個人信息也可以被他人占有和使用。

（二）個人信息合理使用的內(nèi)涵和外延。何謂個人信息合理使用中的“合理”，筆者認為應(yīng)當(dāng)同時包括理由的正當(dāng)性、程序的規(guī)范性以及內(nèi)容的適當(dāng)性。

1、理由的正當(dāng)性。合理的第一要義必須要滿足正當(dāng)?shù)睦碛?。在合理使用個人信息中，正當(dāng)?shù)睦碛煽梢园ǚ瞎怖娴那樾?，例如行政管理的需要、司法程序的需要、公共安全治理的需要、已?jīng)公開的個人信息等，但都必須滿足符合公共利益、理由正當(dāng)且合目的性。

2、程序的規(guī)范性。在個人信息合理使用的程序中，不僅包括審批程序，還包括風(fēng)險評估。規(guī)范的審批程序需側(cè)重于對使用目的研究，著重于是否符合公共利益的考量。風(fēng)險評估包括事前評估和事后評估，事前評估要基于信息性質(zhì)對使用后的影響作出判斷，避免造成過大的影響；事后評估要對使用后的影響預(yù)期作出監(jiān)督，必要時采取緊急防范措施。

3、內(nèi)容的適當(dāng)性。合理使用必須是有限度的。個人信息的范圍非常廣泛，無限制的合理使用等同于非合理使用。因此，在合理使用前就要明晰使用的范圍，僅限于合理的部分，而并非所有的個人信息經(jīng)合理申請批準后都可全部使用，在使用的全過程必須秉持適當(dāng)性原則，恪守個人信息合理使用的限度。

如何界定個人信息合理使用的含義，理論學(xué)界存在較大爭議，站在不同側(cè)重點的學(xué)者對個人信息合理所下的定義往往不同，整理對比后發(fā)現(xiàn)學(xué)界主要有兩種不同的觀點。傳統(tǒng)觀點學(xué)者認為，在對個人信息進行合理使用之前，信息使用者必須明確使用的方向和目的，在征得信息主體同意的基礎(chǔ)上才可以使用信息。在使用的過程中，信息主體可以主觀判斷并且自由取消。信息使用者在使用中需要盡到安全保密義務(wù)，在使用個人信息時必須保護好他人的合法權(quán)益，不得對社會公共利益造成不適當(dāng)?shù)膿p害。持此觀點的學(xué)者一般都認定同意是合理使用的必要前提。不同于傳統(tǒng)觀點，現(xiàn)在多數(shù)學(xué)者認為同意并不是合理使用的必要前提。合理使用信息主體的收集某種特定個人信息，并非一定得取得信息主體的同意。合理使用本身就應(yīng)當(dāng)允許對個人信息的正常流動，其主要功能體現(xiàn)于在合法的基礎(chǔ)上，對個人信息收集整理可以不需要信息主體的同意而使用，在此邏輯基礎(chǔ)上，合理使用并不必須支付報酬。

通過對比研究，筆者認為針對個人信息合理使用需要綜合界定，特定情況，在保障信息主體權(quán)利不會遭受不利影響的前提下，信息使用者不需要征得信息主體的同意，可以對信息主體的個人信息直接合理使用。

（三）個人信息合理使用的必要性。從立法層面明確個人信息合理使用的具體情形具有必要性。一方面在個人信息保護和合理使用的權(quán)衡中，凡是涉及到合理使用的法益被優(yōu)先保護，均要求合理使用的情形已被法律明文規(guī)定，這樣才能維護法律的安定性；另一方面信息不是為了保護而存在于世間的，相反恰恰是為了利用。只有明文規(guī)定信息的合理使用，才能更好地在保護的基礎(chǔ)上利用信息，規(guī)范個人信息處理活動，實現(xiàn)立法目的。且從社會經(jīng)濟學(xué)的角度來講，個人信息屬于一種虛擬經(jīng)濟流通物，因此必然可以產(chǎn)生相應(yīng)的社會經(jīng)濟價值，保護好個人信息有利于社會的和諧穩(wěn)定。隨著社會不斷發(fā)展，個人信息合理使用的事件發(fā)生頻率不斷增加，其產(chǎn)生的社會效果通常是積極正向的，而且個人信息合理使用的內(nèi)容形式更加豐富，例如誠信檔案制度、大數(shù)據(jù)疫情聯(lián)防聯(lián)控、行政管理和司法程序的需要等。但同樣，濫用個人信息的情況也屢見不鮮，例如“大數(shù)據(jù)殺熟”、擅自披露個人信息甚至個人信息買賣等。可見，規(guī)制個人信息的合理使用，才能引導(dǎo)其發(fā)揮使用個人信息的積極作用，更好地發(fā)揮其使用價值。

三、個人信息合理使用現(xiàn)狀及存在的問題

（一）個人信息合理使用立法現(xiàn)狀。在國內(nèi)，《中華人民共和國憲法》規(guī)定了“中華人民共和國公民的人格尊嚴不受侵犯”“中華人民共和國公民的通信自由和通信秘密受法律的保護。除因國家安全或者追查刑事犯罪的需要，由公安機關(guān)或者檢察機關(guān)依照法律規(guī)定的程序?qū)νㄐ胚M行檢查外，任何組織或者個人不得以任何理由侵犯公民的通信自由和通信秘密”，這確定了我國對待個人信息的基本規(guī)范?！睹穹ǖ洹返?99 條規(guī)定，“為了公共利益實施的新聞報道、輿論監(jiān)督等行為可以合理使用個人信息”，第1036 條具體規(guī)定，“可以合理使用個人信息的情形主要分為三類，即維護公共利益（國家利益和社會公共利益），保護個人信息權(quán)益主體的合法權(quán)益以及合理處理已經(jīng)合法公開的個人信息”，為個人信息的合理使用提供立法上的引導(dǎo)?！蹲罡呷嗣穹ㄔ宏P(guān)于審理利用信息網(wǎng)絡(luò)侵害人身權(quán)益民事糾紛案件適用法律若干問題的規(guī)定》第12 條規(guī)定了個人信息保護的除外情形，即除了國家行使職權(quán)，經(jīng)自然人書面同意且在約定范圍內(nèi)公開的、為促進社會公共利益且在必要范圍內(nèi)的、學(xué)?？蒲袡C構(gòu)等基于公共利益為學(xué)術(shù)研究或者統(tǒng)計目的的，經(jīng)自然人書面同意且以公開的方式不足以識別特定自然人的、自然人自行在網(wǎng)絡(luò)上公開的信息或者其他已合法公開的個人信息的、以合法渠道獲取的個人信息都屬于個人信息合理使用的情形，且為法律或者行政法規(guī)對合理使用個人信息另有規(guī)定的情形留有了余地。可見，我國有諸多法律條款都體現(xiàn)了個人信息合理使用的理念。

2021 年8 月20 日表決通過的《中華人民共和國個人信息保護法》（以下簡稱《個人信息保護法》）自出臺就備受矚目，成為了個人信息保護領(lǐng)域的基本法律，填補了個人信息保護專門立法的空白。作為特別法的《個人信息保護法》細化了《民法典》人格權(quán)和個人信息保護的法律規(guī)定。其第一條就闡述了立法目的，即“為了保護個人信息權(quán)益，規(guī)范個人信息處理活動，促進個人信息合理利用”。《個人信息保護法》共分為“總則”“個人信息處理規(guī)則”“敏感個人信息的處理規(guī)則”“個人信息跨境提供的規(guī)則”“個人信息處理者的義務(wù)”“履行個人信息保護職責(zé)的部門”“法律責(zé)任”“附則”共八章，規(guī)定了諸多個人信息保護的措施，強化了侵犯個人信息的懲罰機制和力度，確立以“告知-同意”為核心的個人信息處理一系列規(guī)則，是個人信息立法的一大進步。但從整個《個人信息保護法》立法體系來看，整部法律對個人信息保護立法較為充分，對個人信息合理使用的規(guī)定較少。

在國外，早在1983 年德國普查案中就引入了“合理使用個人信息”的概念。德國聯(lián)邦憲法法院認識到“自決權(quán)”是一般人身權(quán)利下的一項基本權(quán)利。同時，法官在判決中指出，“主權(quán)”在符合公共利益的前提下應(yīng)受到某些限制，并應(yīng)遵守具體規(guī)定。自德國普查案以來，德國各州已在其法律文件中納入了合理使用個人信息的概念，自1995 年歐盟簽署的《數(shù)據(jù)保護指令》到2016 年獲批的《一般數(shù)據(jù)保護條例》中，“合理使用”的概念都有涉及。目前，國際上最具有里程碑式意義的法律是歐盟《通用數(shù)據(jù)保護條例》（General Data Protection Regulation，the“GDPR”），其在前言和正文中設(shè)置了許多正當(dāng)利益條款，規(guī)定了涉及到公共利益，例如科學(xué)或歷史研究及統(tǒng)計數(shù)目的、醫(yī)療健康及公共衛(wèi)生事項、保存和披露公共存檔資料、國際法義務(wù)、人道主義目的和政治選舉目的的可以未經(jīng)數(shù)據(jù)主體同意而適當(dāng)使用個人信息。美國對個人信息采取“二元化保護”模式，即在隱私權(quán)之外再設(shè)立所謂的“公開權(quán)”或“商品化權(quán)”。雖沒有綜合性的個人信息法案，但美國各州對于保護和合理使用都有明確的立法規(guī)定。其中，最具影響力的是美國加利福尼亞州《消費者隱私法案》（California Consumer Protection Act，the“CCPA”），將個人信息保護和使用與消費者權(quán)益緊密結(jié)合，采用“隱私風(fēng)險評估”制度對不同情況按照合理的標(biāo)準評估是否屬于合理使用個人信息。日本對個人信息合理使用規(guī)定得較為詳盡，其《個人信息保護法》第50 條規(guī)定了個人信息合理使用的情形，一是廣播機關(guān)、報社、通訊社以及其他報道機關(guān)（包括從事報道業(yè)務(wù)的個人），其目的系報道之用；二是從事著述活動的當(dāng)事人，其目的系進行著述之用；三是大學(xué)以及其他以學(xué)術(shù)研究為目的的機關(guān)、團體或者所屬的個人，其目的系進行學(xué)術(shù)研究之用；四是宗教團體，其目的系進行宗教活動（包括與之附隨的活動）之用；五是政治團體，其目的系進行政治活動（包括與之附隨的活動）所用?？梢?，日本《個人信息保護法》注重對合理使用中目的性的規(guī)制。

（二）個人信息合理使用實踐現(xiàn)狀。目前國內(nèi)對個人信息保護和個人信息合理使用的研究比例頗為失調(diào)。對個人信息保護的研究不計其數(shù)，但是對個人信息合理使用的研究卻屈指可數(shù)。目前，對個人信息的合理使用的研究和倡議也僅存在于言語和立法意見稿中。對于如何界定個人信息合理使用的含義，理論學(xué)界存在較大爭議，整理對比后發(fā)現(xiàn)學(xué)界主要有兩種不同的觀點。一部分學(xué)者認為，在對個人信息進行合理使用之前，信息使用者必須明確使用的方向和目的，在征得信息主體同意的基礎(chǔ)上才可以使用信息。在使用的過程中，信息主體可以自由取消。信息使用者在使用中需要盡到安全保密義務(wù)，在使用個人信息時必須保護好他人的合法權(quán)益，不得對社會公共利益造成不適當(dāng)?shù)膿p害，持此觀點的學(xué)者一般都認為同意是合理使用的必要前提，如米新麗、徐磊教授認為個人信息合理的使用需要做到信息主體自愿提供、自主取消、報酬請求、信息收集者明確收集目的、來源正當(dāng)、安全保密、不得損害他人合法權(quán)益及社會公共利益。當(dāng)然，也有另一部分學(xué)者認為同意并不是合理使用的必要前提。合理使用信息主體的收集某種特定個人信息，并非一定得取得信息主體的同意。合理使用本身就應(yīng)當(dāng)允許對個人信息的正常流動，在合法的基礎(chǔ)上對個人信息的收集整理可以不需要信息主體的同意而使用。在此邏輯基礎(chǔ)上，合理使用無需同意并不必須支付報酬。如，程嘯教授認為，“個人信息的合理使用與自然人同意他人處理其個人信息完全不同，前者的根本特征在于：處理者可以不取得自然人或者其監(jiān)護人的同意就對個人信息進行包括收集、存儲、使用、加工、傳輸、提供、公開等處理行為”。不過，自《民法典》出臺，對于信息主體的同意不是合理使用的必要前提這一觀點理論界已達成一致，但對于其他合理使用的情形由于立法不夠明確依然存在爭議。筆者認為，個人信息的合理使用總地來說共有兩種情形：一種是經(jīng)信息主體同意；另一種則是為了公共利益而適當(dāng)有限地使用個人信息。

而對于什么情況下可以不經(jīng)同意而合理使用，我國學(xué)者對個人信息合理使用的立法構(gòu)想有：周漢華主持設(shè)計的《中華人民共和國個人信息保護法（專家建議稿）》第10 條規(guī)定了，國家安全、純粹的家庭活動、法人或其他組織所處理的個人信息數(shù)量較少且處理活動不太可能對個人權(quán)利造成侵害的使用可以不適用《個人信息保護法》，即不絕對保護信息主體利益。由齊愛民主持設(shè)計的《中華人民共和國個人信息保護法（草案）》第22、第27 條也規(guī)定了國家機關(guān)和非國家機關(guān)合理使用個人信息的情形，包括以下六種情形：法律法規(guī)明文規(guī)定的，為維護國家安全、公共安全或增進社會公共利益，為防止信息主體或他人人身或財產(chǎn)上的重大利益遭受侵害所必要的，進行學(xué)術(shù)研究所必要且無害于信息主體利益的、但研究人員或機構(gòu)應(yīng)當(dāng)對使用的個人信息進行保密，有利于信息主體權(quán)益的，信息主體書面同意或授權(quán)的。筆者認為，不經(jīng)同意而使用個人信息的情形有很多種，需要結(jié)合實踐進行分析匯總，需根據(jù)合理的判斷標(biāo)準和使用目的進行個案分析。

國外對個人信息合理使用的研究較為充分。美國麗莎·納爾遜教授認為公眾其實愿意接受使用個人信息來達到某些政府目標(biāo)。然而，這種愿意并非沒有限制，影響接受程度的因素包括政策的可實現(xiàn)性、所使用數(shù)據(jù)的敏感性、具體的政府目標(biāo)以及對利用數(shù)據(jù)的政府部門的信任。加拿大學(xué)者馬西森大衛(wèi)采用是否有“隱私的期望”來界定是否屬于合理使用，對待個人信息合理使用，他認為個人信息主體對其隱私有合理的隱私期望則通常排斥合理使用，即“對隱私的期望是一種規(guī)范性的標(biāo)準，而不是描述性的標(biāo)準”。另外，加拿大的威利森唐納德教授認為健康研究的突出成果在很大程度上依賴于獲得了廣泛的現(xiàn)有個人健康信息，所以個人信息應(yīng)合理使用于健康信息領(lǐng)域，但應(yīng)該讓使用機構(gòu)在研究結(jié)束時承擔(dān)數(shù)據(jù)保管責(zé)任，不僅需要保護數(shù)據(jù)，而且最終是為了確保負責(zé)任地使用數(shù)據(jù)。日本的宮崎駿教授認為，“雖然傳統(tǒng)的隱私概念在新問題上仍然有效，但社會和技術(shù)發(fā)展降低了個人在互聯(lián)網(wǎng)擴張時代獨處和控制自己的個人信息的能力。面對新興的新技術(shù)往往沒有完善的監(jiān)管制度，但由主管政府部委監(jiān)督的日本自我監(jiān)管制度，可以被看作是一個積極主動的制度，符合日本原有的隱私文化，尊重對隱私的合理期望，也能促進隱私的合理使用”。

（三）個人信息合理使用中存在的問題

1、現(xiàn)有制度存在不足。盡管2021 年11 月1 日《個人信息保護法》已出臺，但需要承認的是其中對于個人信息的保護和使用制度依然不夠完備。雖然同意是個人信息合理使用的重要前提，經(jīng)個人信息主體同意后可以對信息進行合理使用，但是告知同意原則有著其固有的缺陷。首先，從法律原則與法律規(guī)則的關(guān)系來看，告知同意不具有原則性的地位。在內(nèi)容上，規(guī)則是具體明確的，而原則是高度抽象和概括的。告知同意當(dāng)然是一項具體制度，并不能成為處理使用原則性的條款。而作為具體規(guī)則中的“同意”之類型也有著不同的劃分，有強同意、弱同意、擇入同意、擇出同意、特別同意、概括同意的區(qū)分，還有動態(tài)同意、空白同意、推定同意、單獨同意、書面同意等多種類型，這些類型中哪些才是真正有效的同意值得商榷。其次，告知同意在實踐中并不能完全發(fā)揮其應(yīng)有的作用。很多用戶習(xí)慣性地不經(jīng)閱讀告知內(nèi)容就點擊同意，信息主體難以真正行使其權(quán)利，告知同意機制存在被濫用的危險。立法雖然規(guī)定了“個人信息處理者不得以個人不同意處理其個人信息或者撤回同意為由，拒絕提供產(chǎn)品或者服務(wù)”，但實踐中用戶對“隱私政策”卻難以真正行使拒絕權(quán)。最后，在適用范圍與適用方式上，告知同意只能以“全有或全無”的方式適用歸責(zé)原則。告知同意本身不能稱為個人信息保護的“帝王條款”，不應(yīng)具有統(tǒng)攝個人信息保護法的地位。歐盟《通用數(shù)據(jù)保護條例》第6 條、第23 條中，對個人信息合理使用的情形作出了規(guī)定，通常情況下，信息主體如果受到信息管理者的影響，例如雙方是雇主關(guān)系，或存在上下級的公共權(quán)威領(lǐng)域，社會實踐中需要考慮到關(guān)系的特殊性，同意一般情況下并不被認為是自由作出的。無明確目的的籠統(tǒng)同意往往是無效的，因此需要針對特定的對象做出自由的表示。同意需要清晰準確地指出信息處理的結(jié)果，尤其需要注意特定同意條款需要與一般的格式條款相區(qū)分。日本的《個人信息保護法》在第16 條對特殊事項進行了明確，事先可以不征得信息主體同意而收集信息主體信息的情形作出了詳細規(guī)定，與此同時，第9條也對收集個人信息免于告知的情形作出了概括性規(guī)定。結(jié)合英美法系國家對個人信息合理使用的立法規(guī)定來看，有很多共通的情形。主要是出于保護國家以及其他公共利益角度考慮，比如維護公共利益，一般包括國家利益以及學(xué)術(shù)自由等其他社會公共利益；或者是保護某些自然人的特定權(quán)益；在一些已經(jīng)公開的個人信息中，尤其是公開發(fā)表的個人作品，個人信息的合理使用同樣存在較大的發(fā)展空間。

2、法律程序尚不完善。個人信息合理使用的制度存在不足。雖然《憲法》《民法典》《數(shù)據(jù)安全法》《網(wǎng)絡(luò)安全法》以及一些司法解釋等都有條文體現(xiàn)出個人信息合理使用的理念，但都不能直接作為合理使用的合法性來源，《個人信息保護法》又沒有對個人信息的合理使用進行直接規(guī)定，其所確定的處理原則偏重于數(shù)據(jù)收集環(huán)節(jié)，難以適應(yīng)大數(shù)據(jù)時代信息使用的要求。立法對于處理的界定還很模糊，具體是否包括信息的使用尚不明確。大數(shù)據(jù)時代的發(fā)展必然需要對公民個人信息進行收集、整理，由此會帶來公民信息自由與個人信息商業(yè)使用之間的利益沖突。公民的個人信息安全與信息流通利益之需要二者的利益沖突是不容忽視的，法律的天平不應(yīng)當(dāng)偏向于任何一方。立法應(yīng)當(dāng)平衡信息主體的利益和數(shù)據(jù)使用者之間的利益，在保障個人信息權(quán)的同時促進信息合理使用。正如《個人信息保護法》的立法目的一樣，《個人信息保護法》必須保護卻又絕不僅只是保護信息主體一方的利益。

3、責(zé)任規(guī)定不明確。《個人信息保護法》中雖然確定了在涉及到侵犯個人信息的案件中舉證責(zé)任倒置的歸責(zé)原則，減輕了個人信息主體的舉證責(zé)任。但由于前述的個人信息合理使用的制度存在不足，法條中也未對非合理使用的責(zé)任形式、懲罰力度予以明確。對非合理使用的責(zé)任規(guī)定不明勢必會導(dǎo)致信息控制者濫用個人信息的可能，因此在立法層面規(guī)定非合理使用的責(zé)任具有必要性。此外，個人信息侵權(quán)的隱蔽性使得侵權(quán)主體難以認定。信息服務(wù)提供商利用先進的信息技術(shù)，可以輕易對個人信息進行收集和處理，往往會傾向于自身而越界合理使用的范圍，由此帶來的個人信息侵權(quán)行為往往難以被信息主體察覺。不管是初期的收集，還是后期對個人信息的非合理使用，信息主體無法第一時間察覺甚至無從而知。往往造成嚴重后果后卻因網(wǎng)絡(luò)隱蔽、侵權(quán)主體眾多等原因無法認定侵權(quán)主體，從而難以追究相應(yīng)責(zé)任，信息主體很難獲得法律救濟。

4、缺乏自律機制。隨著網(wǎng)絡(luò)信息時代的高速發(fā)展，互聯(lián)網(wǎng)為人們的吃穿住行等日常生活帶來極大的便利，越來越多的企業(yè)由傳統(tǒng)的線下服務(wù)盈利模式轉(zhuǎn)為依托線下加線上的方式為人們提供服務(wù)，例如寄快遞、購物、點外賣甚至購買不動產(chǎn)都可通過網(wǎng)絡(luò)完成，這其中必會牽扯到個人信息的收集、處理、合理使用的問題。而目前我國仍缺乏由政府牽頭制定的行業(yè)統(tǒng)一自律規(guī)范，各企業(yè)仍是各自為政，導(dǎo)致不同企業(yè)對個人信息的保護程度不同。行業(yè)自律源于美國的“安全港模式”，即將國家立法模式與民事主體的自律模式相結(jié)合的綜合保護模式。這種立法模式既堅持了立法的強制性與統(tǒng)一性，又結(jié)合了具體民事主體的實際情況，具有一定的優(yōu)越性。荷蘭、我國香港等部分國家和地區(qū)在個人信息保護的立法上都借鑒了這種立法模式。我國基于本國國情，可以在頒布統(tǒng)一的《個人信息保護法》的基礎(chǔ)上建立相應(yīng)的行業(yè)自律機制，使其成為《個人信息保護法》的有力補充，配合《個人信息保護法》的實施，進而彌補立法的穩(wěn)定性需求與社會經(jīng)濟技術(shù)發(fā)展的靈活性之間的矛盾和沖突，在保護個人信息權(quán)利的同時激發(fā)行業(yè)組織的活力與社會的良性發(fā)展，真正實現(xiàn)個人信息的合理使用。

四、完善個人信息合理使用的意見和建議

大數(shù)據(jù)時代對個人信息合理使用提出了挑戰(zhàn)。在此之下，合理使用個人信息具有可行性。個人信息的合理使用具有堅實的法理基礎(chǔ)。個人信息具有一定的隱私性，對其進行保護符合人權(quán)理念的要求，此外源于合理使用個人信息有利于保障經(jīng)濟秩序、生活秩序的正常運行。第一，法律保障人權(quán)。法律通過對人權(quán)的確認，使得人權(quán)能夠在制度上成為一種法定權(quán)利，人權(quán)理論才得以更好發(fā)展。在權(quán)利運行過程中，個人信息權(quán)利是個人信息合理使用的基礎(chǔ)，與此同時，個人信息權(quán)利的運行基礎(chǔ)是憲法中明確規(guī)定的人格權(quán)，而人格權(quán)是一項最基礎(chǔ)的人權(quán)?？梢?，法律的保護是雙向的，在認可個人信息合理使用的同時，保障個人信息權(quán)利的合法有效實現(xiàn)，從而在根本上更好地發(fā)揮人格權(quán)的積極作用。第二，法律需要保障正常生活秩序。隨著經(jīng)濟社會的不斷發(fā)展，個人信息作為一項重要的社會資源，其所具有的經(jīng)濟價值以及社會效益不言而喻，經(jīng)濟社會中信息流動也十分頻繁。在立法上，民法通過對個人信息的合理使用進行明確規(guī)定，明確個人信息合理使用中各方主體的權(quán)利義務(wù)，進而起到規(guī)范使用個人信息的作用，不僅有利于防止信息侵權(quán)行為發(fā)生，也在一定程度上維護了良好的經(jīng)濟秩序。在此基礎(chǔ)上，通過對個人信息合理使用進行合理的法律規(guī)制，可以有效實現(xiàn)個人信息的合理流通，最大限度地實現(xiàn)法律價值。具體而言舉措如下：

（一）明確合理使用的具體情形。在符合公共利益的情況下，通常才有個人信息合理使用的發(fā)揮空間。對于公共利益的判斷標(biāo)準需要把握以下兩個方面：第一，公共利益必須具備公益性。公益的概念不應(yīng)當(dāng)做限縮解釋，這里的公益不僅僅是將個體利益整個混合一起，更不是將個人利益機械相加；從某種意義上來說，它更是整個國家、社會整體綜合性的正當(dāng)利益，在本質(zhì)上是個人之間亦或是群體之間發(fā)生內(nèi)部競爭的結(jié)果，因此結(jié)果的好與壞必然會關(guān)乎社會中的每一個獨立個體。在衡量某種利益在性質(zhì)上是否屬于公共利益時，主體需要進行較全面的考察平衡，考慮整體利益的同時也要兼顧個體的獨立利益。法院在審理案件中對不同主體信息進行區(qū)別劃分，大多是為了保障公益性的順利實現(xiàn)。第二，公共利益必須具有程度上的合理性。公共利益需要符多數(shù)人的心理預(yù)期，公共利益需要對個人利益的限制是合理的，二者之間處于動態(tài)的平衡狀態(tài)。具體來說，立法可采取正面列舉和反面排除兩種方式加以規(guī)定適用的情形，并結(jié)合《著作權(quán)法》的列舉式和要素分析式來細化。筆者認為，個人信息合理使用主要適用于公共利益、公共安全、行政管理、司法程序以及在嚴格條件下的個人合理使用這幾類情形。

（二）規(guī)范合理使用的法律程序。一是明確合理使用個人信息的主體。鑒于合理使用的公益性質(zhì)，合理使用的主體大部分是公主體，而在一定情況下也可由私人主體使用。除了信息主體真實有效的同意，如果涉及到公共安全，如疫情、突發(fā)情況等公共安全之情形，國家可以合理收集并使用個人信息；如果涉及到經(jīng)濟發(fā)展等公共利益的情況，事業(yè)單位、社會團體等可以合理使用個人信息；如果涉及到司法程序之必需，法院、檢察院等司法機構(gòu)可以依職權(quán)合理使用；如果涉及到個人合理使用，條件就應(yīng)嚴苛以體現(xiàn)其規(guī)范，必須滿足非商業(yè)性、主觀善意、使用不會給信息主體帶來不利影響或已經(jīng)公開等條件。二是建立合理使用的監(jiān)管機制。按照《個人信息保護法》的規(guī)定，國家網(wǎng)信部門是個人信息保護的監(jiān)管主部門。除了國家各級網(wǎng)信部門要對信息的使用進行監(jiān)督并備案，行業(yè)協(xié)會也應(yīng)該成為信息使用的監(jiān)督主體，因為消費者常常是個人信息被侵害的主體，而消費者協(xié)會也是促進個人信息保護、監(jiān)督個人信息使用的重要主體。另外，個人也是對個人信息權(quán)最直接且最有效的監(jiān)督主體。

（三）非合理使用個人信息的法律責(zé)任。筆者認為，當(dāng)前需要加強對個人信息的保障力度，通過不合理使用個人信息造成的人格利益受損，進而產(chǎn)生的精神損害需要進行一定賠償。精神損害賠償?shù)哪康闹饕前矒嶙饔?，通過給予受害人一定的金錢來彌補行為給精神上帶來的創(chuàng)傷。在個人信息侵權(quán)中，通常無法具體確定的賠償數(shù)額，此時法官的自由裁量顯得格外重要。但如果僅僅依靠法官的自由裁量，必將會產(chǎn)生濫用權(quán)利的行為，因此需從制度層面明確裁判者的裁判內(nèi)容與方式。我國臺灣地區(qū)的相關(guān)法律內(nèi)容有較好的借鑒意義，在法條中確定最高賠償額度，由此可以保障法官的自由裁量的權(quán)利，也極大地限制了法官的濫用權(quán)利，從而實現(xiàn)了對數(shù)據(jù)主體損失的彌補。對于起訴方式，不僅僅局限于私益訴訟，可結(jié)合公益訴訟來維權(quán)。再從立法上細化信息主體的更正刪除權(quán)的行使方式，明確舉報和申訴的主體，能使得信息主體救濟方式更加多元化。

（四）增強大數(shù)據(jù)背景下行業(yè)管理力度。大數(shù)據(jù)產(chǎn)業(yè)的不斷發(fā)展與個人信息數(shù)據(jù)保護之間存在一定張力，為了保障信息主體的合法權(quán)益，規(guī)制產(chǎn)業(yè)發(fā)展中存在的不當(dāng)信息處理行為，大數(shù)據(jù)產(chǎn)業(yè)從業(yè)者需要在嚴格恪守法律監(jiān)管之下運行，進而推動行業(yè)監(jiān)管體系的完善建立。國內(nèi)互聯(lián)網(wǎng)巨頭奇虎曾提出“四不三必須”的信息使用規(guī)則，限制互聯(lián)網(wǎng)從業(yè)者對信息主體個人信息的不合理使用。中國互聯(lián)網(wǎng)協(xié)會多次發(fā)布行業(yè)公約，督促成員嚴格遵守國家相關(guān)法律法規(guī)，保障用戶個人基本信息權(quán)益不受侵犯。此外，對于非法或者不當(dāng)收集、買賣個人信息的行為，一經(jīng)發(fā)現(xiàn)，會員單位以及個人均有義務(wù)進行舉報。內(nèi)部監(jiān)督部門也有義務(wù)積極進行組織調(diào)查，核實后則要求立即停止侵權(quán)行為并限期做出整改，情節(jié)嚴重的則取消相關(guān)身份，相關(guān)企業(yè)取消準入資格退出市場。此類規(guī)制不僅能夠適應(yīng)大數(shù)據(jù)產(chǎn)業(yè)市場變化要求，也能從源頭上有效遏制個人信息的非合理使用行為，保障社會秩序有序穩(wěn)定。

總而言之，在大數(shù)據(jù)時代個人信息合理使用應(yīng)當(dāng)在立法中予以明確規(guī)定。希望通過不斷的研究來促進合理使用制度的完善，在保障個人信息權(quán)的同時規(guī)范個人信息使用。彌補個人信息合理使用的立法空缺，使個人信息合理使用有法可依。完善個人信息保護相關(guān)法律，彌補告知同意原則的適用缺陷。權(quán)衡個人信息主體和信息控制者的利益，形成具有中國特色的個人信息法治體系。