2024年4月20日发(作者:)

个人网上行为动态

在数字社会视域下,个人网络行为轨迹信息(下称行为轨迹信息)是

相对于传统个人信息概念的一个参照性、集合性概念,指的是网络用户在

使用计算机和网络过程中被计算机硬件或软件记录下来的行为过程数据。

由于技术和观念更迭,个人行为轨迹信息的外延在不断发生变化,很难进

行精确界定,只能进行开放性罗列,包括但不限于浏览器搜索关键词,用

户操作记录(网站登录记录、软件使用记录、点击记录),通过互联网观

看、收听、阅读一切视听内容的记录,支付软件的交易记录,软件翻译记

录,位置踪迹,网购足迹,智能穿戴设备收集的身体体征信息,系统错误

报告信息,用户改善计划等等。与上网账号、用户名、密码、固定IP地

址、姓名、出生日期、身份证号码、学号、电话号码、住址,乃至基因、

声纹、人脸图像等个人信息不同,行为轨迹信息是人们在线交互过程中产

生的不具有独立身份识别特征的有关个人信息,其一度不被法律所认可和

保护。

随着信息的电子化、可存储越来越便捷,个人信息的利用尤其是二次

挖掘价值日渐凸显,在身份和行为识别方面,行为轨迹信息实现了从不可

识别到可识别的流变,成为个人数字画像、开展精准推送的重要依托,传

统身份要素的价值愈加依附于其衍生出的行为轨迹信息,甚至与身份要素

完全脱离的反映相应特征的行为标签信息,都可实现相应商业利益。可见,

行为轨迹信息已经具备受法律保护之权益或权利的实质要件。

将行为轨迹信息纳入法律评价框架并不意味着要笼统纳入个人信息的

法律保护范围,而应平衡数据保护与数据自由之张力,参照民法典(将个

人信息划分为个人信息、私密信息、匿名信息)和《信息安全技术个人信

息安全规范》(将个人信息划分为一般信息、敏感信息)的规范实践,既

要考虑识别所需的成本、时间及技术发展,又要考量用户为获得免费网络

服务而提供个人信息的主动意愿,结合行为轨迹信息的存在形态、样本数

量、与其他信息的结合程度进行倾向性归类而非做概念性认定的层级分类,

采用不同程度的保护标准,以界定信息收集者、使用者的不同责任。

私密信息类的强保护模式。民法典第1034条第3款规定了个人信息

中的私密信息适用有关隐私权的规定,第1032条第2款对“隐私”进行

了界定,即“隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、

私密活动、私密信息”。由此可知,民法典对个人信息中的私密信息进行

了分类和强调。划入隐私的个人信息,应强调其“私密性”,进而与其他

层级的个人信息在收集、存储、使用、加工、传输、提供、公开等方面形

成相区别的授权同意规范、技术安全规范、信息处理规范等。如有关疾病

史、未公开的违法犯罪记录等,此类信息要强化其防御性保护,非特定情

形不得处理。

关于“不愿为他人知晓”的“私密性”,强调主观意愿,该主观意愿

不完全取决于隐私诉求者的个体意志,应符合社会一般合理认知。社会一

般合理认知,可能受到地域、文化传统、法律传统、习惯风俗、经济发展

状况、社会普遍价值观等因素的影响。

敏感信息类的次强保护模式。从信息类型看,此类行为轨迹信息属于

《规范》中的敏感信息,譬如个人财产信息中的交易消费记录、虚拟财产

信息,以及个人的行踪轨迹、网页浏览记录、住宿信息、精准定位信息。

从数据存在样态看,此类数据是一种“动态”且“混合”的行为轨迹信息,

“动态”类信息指对主体的购买记录、行踪轨迹、搜索历史、翻译记录进

行持续性追踪所形成的数据集;“混合”类信息指捆绑显性识别符(姓名、

身份证号、住址等)的行为轨迹信息,或将多个类型的行为轨迹信息混合

收集的行为轨迹信息(比如能进行交叉验证的位置信息与网上交易记录的

混合)。

对此类行为轨迹信息可给予敏感个人信息强度的法律保护。数据控制

者收集该类数据必须获得数据主体明示同意,即数据主体通过书面声明或

主动作出肯定性动作来完成对其个人数据进行特定处理的明确授权,其中,

肯定性动作包括数据主体主动作出声明(电子或纸质形式)、主动勾选、

主动点击“同意”“注册”“发送”“拨打”等。同时,数据控制者要遵

循合法收集、目的限制、最小够用等原则,数据主体享有查询、更正、删

除、撤回同意等权利。

需要注意的是,敏感信息不能概括等同于私密信息,后者是前者的特

殊情形。敏感信息属于兼具防御性期待及积极利用期待的个人信息,此类

信息的处理是否侵权,需要结合信息内容、处理场景、处理方式等,进行

符合社会一般合理认知的判断。

对该类行为轨迹信息须在分类基础上进行选择性保护。依照是否投入

智力、物力被加工为标准将此类信息分为原始信息和加工信息,前者指直

接从数据主体收集而来的信息,其属于纯粹的匿名信息,不在法律保护范

围之列,处于共享状态;后者指数据控制者和使用者对原始信息加工后的

信息,该类匿名信息虽然与数据主体已然脱离关系,但经过了网络运营者

大量智力劳动投入,经过了深度开发与系统整合,故网络运营者对其享有

财产性权益,其他网络运营者不能擅自抓取,否则构成不正当竞争。当然,

对该问题的探讨又会涉及企业数据的权属争议。