作者：胡凌  来源：赛博研究院

2020年10月24日下午，“数字经济时代个人信息保护——《个人信息保护法（草案）》解读与展望”研讨会在上海社科院成功举行，来自政府部门、科研高校、互联网企业、律师事务所等不同机构的专家围绕“《个人信息保护法（草案）》”进行了深入的交流和研讨。

上海财经大学法学院副院长、副教授胡凌在会上发表题为“私密个人信息如何转化为公共信息”的主旨演讲。

1

私密个人信息与隐私

《民法典》对私密个人信息作了相关规定，隐私包含了私密信息，与个人信息有交叉，单纯从语言上很难区分隐私和个人信息。《个人信息保护法》（草案）是处理信息的行为规制，在私法执法过程里比较好判断，但如果非常模糊地定义隐私的话则会很麻烦。例如，2020年7月份，北京互联网法院作出一审宣判，认定抖音、微信读书两款App均有侵害用户个人信息的情形。如果发生此类案例，可以同时以侵犯隐私和侵犯个人信息起诉，法官要同时做出解释，法官更愿意用于侵犯个人隐私，而不愿意花很多精力解释为什么是隐私。

笔者并不试图区分隐私和个人信息，总有一部分私密性信息是个人希望隐瞒的，有的可能是好的信息，但有的可能是负面信息（违法信息、不堪过去信息等）。有些信息具有公共性、外部性，有些信息需要平衡，接下来笔者结合《草案》谈下个人信息如何被转化为公共信息。

2

公共信息的功能

隐私或个人信息都可能以某种方式对外披露，没有纯粹的“私密”，只是范围不同，更常见的是隐私存在于和不特定人的关系之中，只要该私密信息没有超出特定关系网络，人们就不会觉得隐私受到侵犯。

公共机关或平台企业收集大量个人信息，并以某种方式加以利用，形成公共服务或商业服务范围内的公共信息。

部分公共信息由个人主动披露（如教育背景、籍贯、工作单位），但还有更多（特别是负面）私密信息有动力隐瞒，甚至要求被遗忘，但并非全部此类信息都应当落入完全绝对的保护中，也不能赋予个人完全的控制权，否则无法应对现代社会高度流动性。这就需要一定的公共信息确保公众知情，以及确保合作或交易对象的可信度，从而保证资源安全流动。

如果赋予个人对个人信息的完全控制权会很麻烦。从某个意义上来讲，如果是熟人社会，大家知根知底，信息是充分透明的。但不是熟人社会，只能根据人们选择性披露出来的信息，此时会出现信息不对称的情况，从而造成一定的风险。

因此，社会对交往的安全需求客观上要求公共权力强制将部分私密个人信息以某种方式进行处理，主要体现在四个环节：创设、收集、使用、归集。

3

私密个人信息转化为公共信息的四个环节

（一）创设

《草案》中并没有谈及创设的问题，个人信息是一种不断产生的过程，大量信息是面向未来的。不管是行政行为还是商业行为都会产生新的信息，政府和企业都有权利使用。在此过程中，如果产生了信息，在某种程度上这是政府、企业在提供服务产生的信息，其也能够分享到同样的个人信息。

从政府角度谈创设就是身份认证的问题。身份认证是个人信息，但身份认证本身是国家给予的。所有谈论个人信息保护前提是个人信息怎么来的。从身份认证到电话号码，再到到人脸、二维码，大家都很熟悉，小到单位的证件、出入证都是信息创设的过程，创设功能隐含在15条（二）（三）中，即个人信息通过不同的法律关系生产出来，在此条件下处理个人信息并不需要同意，因为涉及双方共同行为。

（二）收集

收集是指将对公共利益有正外部性的私密个人信息进行记录和收集。

如果想强制披露个人信息的话，必须先掌握个人信息，但信息从哪来？像老赖、家暴、剽窃、闯红灯、征信以及其他失信行为是受到社会谴责的，有没有正当性收集数据或者要不要披露出来？政府当然希望通过社会信誉或者其他行为放在公共数据库里。《草案》第34条明确要有法律规定，拥有权限才能够收集相应的信息。但是和第35条会有冲突，第35条中明确在履行行政职责的时候要让个人同意。这就需要分清楚目标，如果目的只是行政行为，行政行为本身需要认证、确认行政相对人的对象身份是否真实即可。但如果行政行为目标就是要处理个人信息的话，则需要告知。行政行为的合法性并不来源于公民同意，合法性来自于法律授权。

这对地方立法来讲有很大的约束，必须要是法律和行政法规的规定。但目前大量社会信用立法基本都是地方性的，现在《草案》为授权设立了比较高的门槛。

（三）使用

1、认证。《草案》第27条里特别规定了刷脸的相关内容，这是原来一直没有合法性的技术。从居民身份证法角度来讲，这与身份查验是不匹配的，因为身份查验需要警察来查验，但现在是机器来查验。但这种查验意向是明确的，可以排除商业使用。

2、展示。展示是非常重要的将个人信息转化为公共信息的过程，包含多种形式，比如：

●拍摄违法人员图像加以公共警示、通缉

●公布老赖信息，形成社会声誉

●公开判决书查询，不披露个人信息

●允许特定行业或群体的人进行查询

●开放征信查询并告知

●折合成信用分，形成数据产品，不披露具体行为

●匿名化处理后以公共数据形式开放

每一个特定场景中如何更进一步合规值得研究。目前《草案》第36条作了规定，“国家机关不得公开或者向他人提供其处理的个人信息，法律、行政法规另有规定或者取得个人同意的除外。”必须得到法律和行政法规授权才能进行。

（三）分析

分析是指社会信用评分，自动化处理。《草案》第22条规定，“个人信息处理者委托处理个人信息的,应当与受托方约定委托处理的目的、处理方式、个人信息的种类、保护措施以及双方的权利和义务等,并对受托方的个人信息处理活动进行监督。”《草案》第37条规定，“国家机关委托他人存储、加工政务数据，或者向他人提供政务数据，应当经过严格的批准程序，并应当监督接收方履行相应的数据安全保护义务。”相比之下，《草案》的规定更加详细。

（四）追踪

公共卫生事件中进行追踪是例外情况，要进行保护。健康码本身仍然需要细化规则，而不是简单的只是为了特定目的而任意收集。更有意义的是在疫情较为平缓的情况下，缓和数据收集，不同的响应等级对应搜集、处理个人信息的不同措施。此外，刑诉法中的技术侦查措施是属于特殊类型的追踪，也有相关特殊法的规定。

（五）归集

《草案》第36条里规定政务数据、公共数据开放的前提是归集，地方政府、下级政府部门要归集到上海市大数据中心。但实际上机关已经变了，从一个机关转到另外一个机关，跟这一条有所冲突。让每个部门来归集是无法实现的，必须要有统一的部门，对这一条需要进行讨论，需要有更高的法律授权。