论个人信息商业利用的合法要件

项定宜

◆ 中图分类号：D920.4 文献标识码：A

内容摘要：大数据时代对个人信息的利用与依赖增强，立法应当兼顾个人信息保护与促进信息利用，对个人信息的商业利用采取疏导、而非严格禁止的立法态度。社会对不同类型个人信息的需求不同，商业利用的合法要件则不同。对于同时满足间接、社会性强及非敏感的个人信息，则在信息主体明确拒绝之前、在法律限定目的范围内直接利用，以保障个人信息的充分利用。直接个人信息、个体性强或敏感个人信息，与信息主体的人格尊严联系更为紧密，应当征得信息主体的积极同意，且在同意的目的范围内利用，以保障信息主体的信息控制权。

关键词：个人信息 商业利用 合法要件

目前，关于个人信息商业利用法律问题研究的文献还很少，多是对人格标识商业利用问题进行研究，没有结合个人信息本身经济属性展开不同于一般人格标识商业利用的研究。

笔者在前人的研究基础上，结合当前信息利用的实践状况，主张从个人信息的客体出发对个人信息的商业利用设置不同的合法要件，满足社会的不同需求。

信息利用主体的资格要件

个人信息被商业利用的第一个要件是利用主体的资格。首先，商业利用的主体必须是非公务机关，公务机关不得对收集的个人信息进行商业利用。如我国台湾地区“个人资料保护法”第19条规定只有非公务机关可以对个人信息进行商业利用。我国2013年实施的《征信业管理条例》有类似规定，该法调整对象为非国家机关。其次，非公务机关对个人信息进行商业利用，必须依审批设立。如《征信业管理条例》第六条规定，非公务机关经营征信业务必须依审批而设立。建议在未来的国家层面的法律《个人信息保护法》中规定该法定要件，只有具备一定的资格方可以从事信息收集、处理和利用行为，以实现对个人信息利用的事前控制。

个人信息的类型

关于个人信息的典型分类有：第一，直接个人信息与间接个人信息。能够直接识别信息主体的个人信息为直接个人信息，必须结合其他个人信息方可识别个人的信息为间接个人信息（郭明龙，2012）。直接个人信息包括姓名、身份证号、肖像、声音、指纹、基因，这类个人信息能直接识别出信息主体。此外，婚姻状况、学历、社会职务、财产状况、消费习惯等都是间接个人信息。第二，个体性强的个人信息与社会性强的个人信息。学者很少采取这种分类，这种分类意义在于区分个人信息个体性的强弱程度。例如姓名、身份证号、手机号、电子邮箱、社会职务通常是社会交往活动中的媒介，肖像、声音、性别、身高、体重、学历等个人信息是社会活动中个人的表征，消费习惯、地理定位这类个人信息是信息主体的动态行为信息，这些个人信息在社会活动中的意义甚至远甚于私人领域中的意义，笔者将这类个人信息界定为社会性强的个人信息。而家庭住址、婚姻状况、性生活、基因、病史等个人信息不是社会互动中个人的表征，笔者将这类个人信息界定为个体性强的个人信息。第三，敏感个人信息与一般个人信息。各国个人信息保护法通过例举的形式限定个人信息，如欧盟1995年《指令》第8条规定列举了种族、政治观点、宗教信仰、工会成员资格、健康状况、性生活等敏感个人信息。

为便于进一步展开研究，笔者将个人信息分为两类：

第一类个人信息是指直接个人信息、个体性强的个人信息或者敏感个人信息，与信息主体的人格尊严联系更为紧密，其商业利用必须征得信息主体的明确同意，必须获得信息主体的明确授权方可为之。

第二类个人信息是指同时满足间接、社会性强和非敏感三个特征的个人信息，不能直接识别出信息主体，同时是社会交往中个人的表征、联系媒介或者动态行为信息，并且不属于法律严格禁止利用的敏感个人信息，这一类个人信息与信息主体人格尊严联系较为疏远，即使没有信息主体明确授权，基于社会公共利益考量，可以采取在符合法定要件情形下进行商业利用。

告知义务

利用主体的明确告知义务，是信息主体行使同意权的前提条件。信息利用主体应当向信息主体明确告知利用个人信息的范围、利用方式、利用信息可能的不利后果、是否向第三方共享信息。利用主体的明确告知义务是两类个人信息利用的共同法定要件。

具体而言，利用方应当告知个人信息的主要内容包括：第一，利用信息的具体范围，商业化利用的具体方式，如我国《消费者权益保护法》第29条规定经营者收集消费者个人信息时应当明确告知收集、使用信息的目的、方式和范围。第二，利用信息可能对信息主体产生的不利后果。信息被利用的不利后果包括隐私泄露、被第三方共享、接受商业推送等。第三，是否与第三方共享信息。例如谷歌公司隐私权政策规定：“在征得您的同意后，我们会与Google 以外的公司、组织和个人分享您的个人信息。我们必须您选择同意才会共享任何敏感的个人信息”。

此外，对于第一类个人信息，信息主体与利用方的双方合意通过合同法律行为实现。依据我国《合同法》第42条要求当事人告知“与合同订立有关的重要事实”，信息利用方应当据此将合同的主要内容告知信息主体。明确告知义务通过格式合同履行的情形下，信息利用方应该提示个人信息主体注意这些条款。对于第二类个人信息，其告知义务应当由个人信息保护法明确规定。利用方应当告知个人信息的主要内容包括利用信息的具体范围、利用信息可能对信息主体产生的不利后果、是否与第三方共享信息。未经明确告知的，不得视为同意。

信息主体的同意

（一）积极同意与消极同意

信息主体的同意分为积极同意和消极同意。积极同意，是指只有得到信息主体明示的同意，利用主体才能对信息进行利用。消极同意，则是指只要信息主体没有明示反对，即视为同意，利用主体即可以对信息予以利用；一旦信息主体表示拒绝，则利用主体不得继续利用（郭明龙，2012）。积极同意的优势是保障信息主体的信息控制权，缺陷是不利于交易便捷，商业利用者成本增加。消极同意的优势是简便易行，符合效率原则，缺陷是信息主体拒绝之前的利用行为可能侵害信息主体的人格或财产权益。第一类个人信息与信息主体的人格尊严联系紧密，商业利用行为必须征得信息主体的明确同意后方可为之，以防范对信息主体的可能侵害。第二类个人信息与信息主体的人格尊严联系较为疏远，采取消极同意可能更利于兼顾社会公共利益和人格尊严。对于消极同意，法律应当限定利用的用途和范围，并提供信息主体拒绝同意利用的途径。

（二）书面同意与其它形式

各国和地区的个人信息保护立法对于个人信息的收集、处理以及利用，均规定需书面同意。如我国台湾 2010 年《个人资料保护法》增订应明确告知后之书面同意规范。我国《征信业管理条例》第14条第2款规定“征信机构明确告知信息主体提供该信息可能产生的不利后果，并取得其书面同意的除外”。我国《合同法》对于合同形式的要求是，“法律、行政法规规定采用书面形式的，应当采用书面形式”。因此，个人信息保护法应当规定信息主体许可他人利用信息的许可合同应当采取书面形式，否则不能发生法律效力。

（三）事前同意和事中同意

事前同意是指收集、处理和利用个人信息之前必须征得信息主体同意。事中同意是指收集时，无须信息主体的明确同意，但是个人信息的流转必须征得信息主体的同意。如第一类与信息主体人格尊严联系较为紧密的个人信息，应当采取事前同意模式；而对于第二类个人信息，其收集时无须信息主体的明确同意，但是信息的交易和流转则必须征得信息主体的明确同意（郭明龙，2012）。

目的限制

利用目的受到限制是各国个人信息保护立法的基本原则。欧盟1995年数据保护指令第6条规定利用方应当按照合法目的收集、处理和利用，合法目的包括信息主体授权或为历史、统计、科学等目的，而且只能进行与合法目的相适应的利用行为。我国《征信业管理条例》第20条规定信息利用方只能在信息主体同意的目的范围内利用信息，尤其不得随意向第三方提供个人信息。谷歌公司隐私权政策声明其利用个人信息的目的包括通过数据分析提升服务质量、广告营销，此外的利用目的只能在征得信息主体同意下才可以进行。

（一）信息主体同意的目的内利用

第一类个人信息，必须在信息主体同意的范围内利用。可以授权利用的目的包括市场营销、数据分析、信息交易，商品宣传仅仅适用于直接个人信息。第一类个人信息授权利用模式下，目的限制也是法定要件之一。

第一，市场营销。如商家通过所掌握的某人拥有的车辆类型的信息，向其推销适合该车型的轮胎、天窗玻璃等零配件。精准营销改变了传统盲目的营销模式，降低了交易成本，但会给个人隐私带来侵扰。如上例中车辆主人惊叹汽车零配件厂商竟知道自己车辆信息，而且该车辆主人需承受营销带来的打扰其生活安宁的后果。

第二，数据分析。用适当的统计方法对收集来的大量个人资料进行分析，以求最大化地开发数据资料，如对消费能力、消费偏好、药品效果等进行统计形成数据库，如利用数据来分析健康状况、博客、浏览习惯、社交媒体和数据代理商提供的档案资料，可以发现最有可能患糖尿病或抑郁症的人（史蒂夫·洛尔，2015）。

第三，信息交易。关于个人信息交易，全国人大常委会《关于加强网络信息保护的决定》第1条规定禁止个人信息交易行为。我国《消费者权益保护法》第29条明确禁止出售个人信息，违法出售个人信息，将承担刑事及民事法律责任。如果信息主体明确同意并授权信息利用者出售个人信息，则属于合法利用。

第四，商品宣传。商家利用姓名、肖像、声音等直接个人信息以表征信息主体对商品的支持从而进行商品宣传，主要是指商家利用名人的直接个人信息进行商品宣传，但也有部分学者认为用于商品宣传的个人信息可以扩展到一般人的个人信息（王利明，2013），但是个人信息财产价值可能会因人而异。商品宣传目的的利用只针对直接个人信息，与人格尊严直接相关，应当征得信息主体明确同意方可利用。

为保护第一类个人信息，上述四种利用目的只有在信息主体明确同意地条件下利用，而且不能在同意的目的之外利用个人信息，充分保障信息主体的信息控制权。

（二）在法定目的范围内利用

毋庸置疑，第二类个人信息不能用于商品宣传，可以用于市场营销、数据分析两种目的。但是，能否用于个人信息交易呢？随着大数据技术的不断发展，国家应该出台数据交易的法规，引导交易主体对第二类个人信息进行利用。只有这样，才能避免数据交易侵害信息主体的人格尊严和隐私（刘箭等，2014）。经过特殊处理的第二类型的个人信息，可以进行信息交易。我国贵阳已经成立国内首个大数据交易所，立法者应当顺应经济发展趋势，通过立法引导信息交易。

结论

第一，对于直接个人信息、个体性强的个人信息或者个人敏感信息，关涉信息主体人格尊严，应当赋予信息主体信息控制权。需要告知并取得信息主体的明确、积极同意方可利用，以防范对信息主体的可能侵害。第二，对于同时符合间接、社会性强、非敏感的个人信息，如电话号码、微信号、电子邮件地址、消费习惯等个人信息，立法者应当优先考虑社会公共利益，设定利用的合法要件。只要利用主体在法律限定的目的范围内利用，采取最低的告知及信息主体的消极同意可大大降低交易成本，并惠及信息主体。

参考文献：

1.郭明龙.论个人信息之商品化[J].法学论坛，2012，27（6）

2.蒋坡.个人数据信息的法律保护[M].中国政法大学出版社，2008

3.史蒂夫·洛尔. 大数据主义[M].胡小锐，朱胜超译.中信出版社， 2015

4.王利明.论人格权商品化[J].法律科学，2013（4）

5.刘箭，张海涛，梁兵.建立大数据交易所势在必行——EMBA校友行业观点[J].中国传媒科技.2014（1）