刘权:论个人信息处理的合法、正当、必要原则 | 法学家202105
内容提要:“合法、正当、必要原则”已成为个人信息处理的基本原则。个人信息保护的告知同意机制日益流于形式,而且存在适用例外,在个人信息权利化存在困境的现实情境下,“合法、正当、必要原则”可以实现个人信息保护与合理利用的平衡。“合法原则”属于形式合法性范畴。“正当原则”要求个人信息处理必须出于特定、明确、合理的目的。为了实现个人信息社会价值的最大化,应允许个人信息处理者在符合个人合理预期的条件下,适当变更原初目的。“必要原则”包括禁止过度损害和禁止保障不足两大方面。它既要求处理个人信息时应在有助于目的实现的必要范围内运用最小损害的手段,又要求采取必要措施最大程度保障个人信息安全。“正当、必要原则”有利于弥补数字时代意思自治与契约自由的缺陷,可以矫正个人信息处理者同个人之间日益严重失衡的不平等态势,实际上是比例原则在私法中的体现。
关键词:个人信息处理;合法、正当、必要原则;个人信息保护;比例原则
目次 引言
一、正当、必要原则于个人信息保护与利用的价值
二、个人信息处理的正当原则:目的特定、明确、合理
三、个人信息处理的必要原则:禁止过度损害和保障不足
四、正当原则和必要原则的统合:比例原则
结语
在数字时代,如何规范日益增多的个人信息处理行为,既有效保障个人信息安全,又有力促进个人信息的合理利用,成为一项重要课题。当前普遍采用的告知同意机制日益流于形式,而且存在不经同意的例外情形,在个人信息权利化存在困境的现实情境下,更应从实体上有效规范日益复杂多样的个人信息处理。
中国越来越多的法律开始规定,个人信息处理应遵循“合法、正当、必要原则”。全国人大2012年发布的《关于加强网络信息保护的决定》较早规定了“合法、正当、必要原则”:“网络服务提供者和其他企业事业单位在业务活动中收集、使用公民个人电子信息,应当遵循合法、正当、必要的原则。”此后,《电信和互联网用户个人信息保护规定》《消费者权益保护法》《网络安全法》等作了同样的规定。2020年颁布的《民法典》第1035条明确要求,“处理个人信息的,应当遵循合法、正当、必要原则,不得过度处理”。2021年8月20日颁布的《个人信息保护法》规定,“处理个人信息应当遵循合法、正当、必要和诚信原则”“采取对个人权益影响最小的方式”“不得过度收集个人信息”,并17处使用不确定性法律概念“必要”“必需”。
“合法、正当、必要原则”已成为个人信息处理的基本原则。然而,对于究竟如何准确界定并正确适用“合法、正当、必要原则”,现行法律规定没有给出明确的标准答案,相关学术研究也不多。少数学者研究了数据处理中目的限定原则,将其分为目的明确和使用限制两方面。另有学者研究了个人信息保护中的利益平衡,提出应实现个人、信息业者和国家利益的“三方平衡”。还有学者研究了个人信息使用的合法利益豁免,认为数据控制者必须进行平衡测试,证明数据使用的合法利益高于数据主体的个人利益。总体而言,当前“对正当目的原则的表述仅仅停留在简单概念上”,“学界对于必要原则的研究尚没有深入展开”。准确把握“合法、正当、必要原则”的规范内涵和判断标准,不仅有助于为个人信息处理者提供行之有效的合规指引,而且还有利于监管机构和法院更好地保障个人信息安全。
应当从整体上理解具有内在统一关系的“合法、正当、必要原则”,不宜无限扩大任何一者的内涵,否则任何一个子原则就可能涵盖其他子原则的内容。“合法、正当、必要原则”分别评价个人信息处理的形式合法性、目的正当性和手段必要性。“合法原则”属于形式合法性范畴,主要是指个人信息处理应符合法律的明确规定,如符合告知同意程序、符合存储期限要求。“正当、必要原则”属于实质合法性范畴,是对个人信息处理目的与手段的合理性评价。在适用范围上,“合法、正当、必要原则”对私主体和国家机关都具有约束力。尽管公私主体的个人信息处理在告知同意等程序机制上可能会有差别,但在处理行为方式与本质上具有相通性,可以也应当受相同实体原则的规范。实际上,中国法律规范并没有明确排除国家机关的个人信息处理适用“合法、正当、必要原则”。欧盟《一般数据条例》的规范对象包括私主体和国家机关。本文将聚焦中国、放眼世界,从公私法融合的视角,对个人信息处理的“合法、正当、必要原则”进行系统研究,探寻个人信息保护的平衡之道,以期为企业、监管机构、法院等提供智识参考。
正当、必要原则有利于实现个人信息保护与利用的平衡。“得数据者得天下。”数据是数字经济的关键生产要素,但当前法治化的数据要素市场并未完全确立,过度收集利用数据的违法甚至犯罪现象还比较常见。个人信息是数字时代涉及面最为广泛的数据,滥用数据容易造成个人信息安全隐患。尽管大多数国家和地区已普遍确立了个人信息处理的告知同意机制,但却无法从根本上实质保护个人信息。而且,告知同意并非个人信息处理的唯一合法原则,其适用存在的例外情形应受正当、必要原则的实体约束。
(一)弥补日益流于形式的告知同意机制的缺陷
作为约束个人信息处理者的程序性原则,告知同意原则要求将个人信息处理的目的、范围、方式等事项明确告知个人,并获得其同意。当前,告知同意机制被世界很多国家普遍采用。欧盟《一般数据保护条例》较为详细地规定了同意要件,要求使用易理解、明确平实的文字,并要求设定撤回同意机制,另外还对儿童数据的处理设定了严格的同意条件。美国《加利福尼亚州消费者隐私法案》(CCPA)对于出售消费者数据、用于财务激励等数据处理的同意机制作了规定。中国《关于加强网络信息保护的决定》较早规定了告知同意原则,要求“明示收集、使用信息的目的、方式和范围,并经被收集者同意”,之后的相关法律作了类似规定。2019年修订的《信息安全技术个人信息安全规范》规定了“选择同意原则”,要求“向个人信息主体明示个人信息处理目的、方式、范围等规则,征求其授权同意”。《民法典》第1035条规定,处理个人信息应“征得该自然人或者其监护人同意,但是法律、行政法规另有规定的除外。”《个人信息保护法》确立了同意和撤回同意的机制。
告知同意原则建立在个人意志自由与意思自治的基础上,体现了对用户权利的尊重,在某种程度上可以防止个人信息滥用。然而,“点击同意”成为了大数据时代的“最大谎言”。个人信息处理者以契约为工具,在网络空间中创立的大量“私人规则”控制着用户的权利与义务。在很多情形下,个人不得不接受即使是有失偏颇的告知事项。由于被告知的服务协议或隐私政策大多冗长晦涩,导致个人缺乏足够的时间阅读,即使耐心阅读也可能读不懂,即使读懂了也基本没有协商余地。以告知义务为重心的告知同意机制设计无法有效发挥实质作用,导致个人的同意面临被架空的危险,并且无法应对数据处理的多层次性与动态性。《个人信息保护法》第17条规定,“应当以显著方式、清晰易懂的语言”真实、准确、完整地履行告知义务,第14条规定“同意应当由个人在充分知情的前提下自愿、明确作出”,如果处理目的、处理方式、处理的个人信息种类发生变更的,“应当重新取得个人同意”。不同场景的处理目的与方式可能会发生变化,如果反复利用告知同意机制,不仅会使用户产生“同意疲劳”而疲于同意,而且还会增加互联网企业的运营成本。总而言之,告知同意机制步入困境,逐渐降低了数据保护的功能。作为个人信息处理的重要实体原则,正当、必要原则可以弥补日益流于形式的告知同意机制的缺陷。
(二)有效规范告知同意机制的例外情形
获得个人同意,并非合法处理个人信息的唯一条件。在很多情形下,不经个人同意也可以直接处理个人信息。欧盟《一般数据保护条例》第6条规定了处理个人数据的6种合法性条件,同意仅为其中一种情形。《信息安全技术个人信息安全规范》规定了征得授权同意的11种例外情形,包括履行法定义务、保障公共利益、履行合同、开展合法的新闻报道、维护产品或服务的安全稳定运行等。《民法典》确立了不经同意的个人信息合理使用制度,如第1020条规定,不经肖像权人同意,为了个人学习、科学研究、新闻报道、履行公职、展示特定公共环境,可以合理使用肖像。《个人信息保护法》第13条将“取得个人的同意”,仅仅作为合法处理个人信息的一种情形。随着数字经济的不断发展,告知同意机制的例外情形必定会越来越多,个人信息安全隐患也将日益增多。
正当、必要原则可以有效规范告知同意机制的例外情形。由于缺乏个人的知情监督,而且处理者的裁量和处理权限更大,所以不经同意的个人信息处理更容易侵犯个人信息权利。多大程度的使用才算“合理使用”,如何判断履行合同、履行法定职责等“所必需”,均离不开正当、必要原则的有效指引。
(三)有利于破解个人信息权利化的困境
在大数据时代,对于数据的价值已基本没有分歧,但对于究竟如何更好地保护个人信息,却产生了很大的分歧。对于个人信息保护主要存在两种进路:一是主张赋予权利,二是主张规范个人信息处理行为。赋权说认为,只有通过为个人赋权,设立个人信息权、个人信息自决权、个人信息受保护权或信息隐私权等权利,才能有效制约个人信息滥用。行为主义规制说则认为,抽象赋权会妨碍个人信息的流通利用,应基于具体场景对个人信息处理行为实施差异化规制。
中国现行的法律并没有明确设立个人信息基础性权利。《民法典》第一编总则第111条、第四编人格权编第六章“隐私权与个人信息”,都只是使用了“个人信息权益”。《个人信息保护法》沿袭了《民法典》的思路,仍然将个人信息作为权益保护。个人信息侵权可出现于个人信息处理的多个环节,损害具有普遍性、衍生性和继发性等特点。在个人信息权利化存在理论挑战与实践困境的情境下,有必要把重心放在实质规范个人信息处理行为上。强化对个人信息处理的正当、必要原则约束,不失为一种良好的个人信息保护路径。当然,即使未来确立了个人信息基础性权利,也并不表明个人信息处理就可以不受正当、必要原则的约束。
综上,正当、必要原则有助于弥补日益流于形式的告知同意机制的缺陷,可以有效规范告知同意机制的例外情形,有利于破解个人信息权利化的困境。此外,正当、必要原则可以填补个人信息处理法律规则的漏洞。法律原则具有较大的灵活性,当个人信息处理法律规则存在模糊性、不一致性、滞后性等问题时,适用正当、必要原则可以最大程度保护个人信息。
正当原则是合法处理个人信息的首要条件,它要求个人信息处理的目的特定、明确、合理。对于个人信息处理目的的规定,国内外相关法律规定比较杂乱,主要有以下几种情形。一是规定目的明确原则。如《信息安全技术个人信息安全规范》规定了“目的明确原则”:“具有明确、清晰、具体的个人信息处理目的。”二是规定目的限制原则。早在1980年,经济合作与发展组织在《隐私保护和个人数据跨境流动准则》中就提出,“个人数据收集的目的应当在收集时确定,随后的使用限制在实现该目的的必要范围内,或者用于实现其他与该目的不冲突的目的和每次更改时确定的目的。”《一般数据保护条例》第5条沿袭1995年的《个人数据保护指令》,规定了“目的限制原则”。三是规定目的正当原则。例如,《数据安全法》第32条要求,“应当在法律、行政法规规定的目的和范围内收集、使用数据”。
学界对于个人信息处理的目的要求也存在认识分歧。如张新宝认为,个人信息处理应受“正当目的原则”的约束,目的不能违背宪法。齐爱民认为,应确立目的明确原则:“收集时必须有明确的特定目的,禁止超出目的范围收集、处理和利用个人信息。”梁泽宇认为,目的限制原则是收集、使用个人信息的具体原则,包括目的明确和使用限制两方面内容。实际上,目的正当原则、目的明确原则和目的限制原则三者之间存在联系与差别。目的明确是个人信息处理的基本前提,但仅仅要求目的明确未免要求太低。为了有效保护个人信息,还需要对个人信息处理目的进行限制。目的正当是更高层次的要求,只有符合法定或约定的个人信息处理特定目的,才可能是正当的。然而,不宜过度扩张目的限制原则和目的正当原则的内涵。个人信息处理应在实现目的的必要范围内、对使用方式进行限制等,实际上是对个人信息处理手段的要求,应受必要原则的调整。正当原则是对个人信息处理目的的正当性评价,聚焦于个人信息处理目的本身。简而言之,正当原则要求个人信息处理目的应当特定、明确、合理,禁止为了不正当目的处理个人信息。
(一)个人信息处理目的应特定、明确
目的特定、明确是正当处理个人信息的前提。如果个人信息处理目的过于宽泛、抽象,不仅无法有效指引后续的个人信息处理活动,无法有力限制个人信息处理范围,而且也无法使个人形成合理预期而可能始终处于“信息惶恐”状态。限定个人信息处理目的,“意味着在收集后进行的任何处理操作,必须与收集时明确表达的目的兼容。”
当前法律对于个人信息处理的正当原则规定得比较宽泛。“在实践中企业会尽量用模糊、宽泛的词汇来表述其约定目的”,从而扩大个人信息的收集、使用范围,并降低其自身法律风险。“为了公共利益”“为了提升用户体验度”“为了改善产品质量”“为了保障交易安全”等过于宽泛、抽象的目的表述,往往会导致个人信息的收集范围过大、使用场景过多,从而使个人信息处理的正当原则被虚置架空。个人信息处理目的应尽可能特定、明确,目的表述应尽可能提供足够的细节。但目的不一定限于一个,可以同时设定多个特定、明确的个人信息处理目的。
对于政府而言,处理个人信息只能是出于维护公共利益的目的。但“公共利益”属于典型的不确定性法律概念,内涵与外延十分模糊,容易被滥用。政府在进行个人信息处理时,必须是为了实现特定、明确的具体公共利益。政府不能以抽象的“为了公共利益”为名,随意进行个人信息处理。目的限定有利于限制政府的权力,保障个人信息安全。对于私主体而言,个人信息处理目的,涉及为了自身利益、个人的利益、第三人利益、公共利益等多种利益。应根据不同的情境,尽可能设置特定、明确的个人信息处理目的。禁止个人信息处理目的宽泛、抽象。
然而,过度要求个人信息处理目的特定、明确,可能会限制个人信息的充分流通利用,应允许适度的目的变更。在大数据时代,个人信息只有反复被处理才能真正实现物尽其用。在不同的处理场景中,处理目的很可能难以符合原初的告知目的。“旨在从数据集中提取隐藏的或不可预测的推断和关联”的大数据分析技术的出现,使得详细提供个人信息处理目的和预期输出结果变得非常困难。“很多数据在收集的时候并无意用作其他用途,而最终却产生了很多创新性的用途。”因而有观点认为,目的限定原则属于通过抽样或单项分析实现个人信息价值的前大数据时代。如果当代还严格限制个人信息处理目的,“那么信息或数据就会成为一个个孤岛,并不能集合起来发挥大数据的价值。”《个人信息保护法》并没有确立合理变更目的制度,第14条规定变更处理目的,“应当重新取得个人同意”。
为了实现个人信息社会价值的最大化,应允许个人信息处理者根据情势变更原则适当改变原初目的,或增加新的合理目的。变更后的目的同原初目的之间应具有合理关联性,并且必须符合个人的合理预期。日本《个人信息保护法》第15条第2款规定:“个人信息处理者变更利用目的的,不得超出一定合理的范围,变更后的目的应与变更前的目的具有相当关联性”。在日本,个人信息处理者变更前后的目的,必须具有“相当关联性”。在欧盟,《一般数据保护条例》第5条明确了正当的目的变更条件,规定如果后续数据处理基于第89条第1款,是为了实现公共利益归档目的、科学或历史研究目的、统计目的,不应被视为违背原初目的。第6条第4项规定了目的变更应考虑的因素:(1)意图实施的后续处理目的与原初目的间的联系;(2)个人数据被收集时的情形,尤其是关于数据主体与数据控制者之间的关系;(3)个人数据的性质;(4)后续处理对数据主体造成的可能后果;(5)是否存在适当的保障措施,如加密或匿名化。
个人信息处理目的的合理变更应当有限度,否则将最终掏空正当原则的整个制度基础。如果变更后的目的与原初目的明显没有合理关联,超出个人的合理预期,个人信息处理者应再次履行告知程序,获取二次同意。在南昌抢楼汇网络科技公司诉广东云上城网络科技公司案中,法院认为,原、被告未经业主本人同意而大量收集并录入业主信息,将“个人信息用于非物业管理所需”,用于商业用途,侵犯了业主的隐私。物业管理所需和商业用途两种目的,明显没有合理关联性,所以未经二次同意而擅自改变个人信息处理目的,不具有正当性。
(二)个人信息处理目的应合理
个人信息处理目的不仅应特定、明确,而且还必须合理。目的合理要求公私主体在处理个人信息时,应符合公共利益和合法的私人利益。至于个人信息处理的哪些目的是合理的,法律对于常见情形可以作出列举,即明确规定合法利益的类型。如果法律没有规定,就需要运用“合理”标准,对个人信息处理的目的正当性进行实质判断。
1.为了公共利益
为了公共利益,属于个人信息处理的重要正当目的之一。在大数据时代,公民身份与行为不断被数字化,数字管理变得如此容易。现代智能数字科技的高速发展,使得政府能以更低的成本、更高的效率收集和存储更多的个人信息,从而可以进行更科学的宏观决策、更精准的行政监管和更智慧的司法审判。随着数字政府建设的不断推进,政府进行个人信息处理的范围和频度必将不断扩张。运用个人信息实现公共利益的行为必将更加普遍。在目的特定、明确的基础上,政府处理个人信息的目的还应当合理。
个人信息处理者为私主体时,同样可以为了公共利益进行个人信息处理。《一般数据保护条例》对公共利益的相关规定较为分散,大致可以分为以下类型:(1)科学或历史研究、统计;(2)医疗健康、公共卫生事项;(3)保存和披露公共存档资料;(4)国际法义务;(5)人道主义;(6)选举。《民法典》第1036条规定,为了维护公共利益可以合理使用个人信息。《信息安全技术个人信息安全规范》列举了个人信息处理不经个人同意的公共利益类型,如国家安全、国防安全、公共安全、公共卫生、重大公共利益、刑事司法、新闻报道、统计、学术研究。《个人信息保护法》第13条规定“为公共利益实施新闻报道、舆论监督等行为”,可以在合理的范围内处理个人信息。第26条规定在公共场所安装图像采集、个人身份识别设备,“只能用于维护公共安全的目的”。另外,私主体为执行涉及公共利益领域的任务,或行使国家机关授予的职责,可以正当的进行个人信息处理。如个人信息处理者为了使政府更好地进行宏观的科学决策、具体的行政监管和个案调查,可以依法报送个人信息。
2.为了私人利益
在特定情形下,为了私人利益,未经个人同意也可进行个人信息处理。大致可以分为以下几种情形:(1)为履行合同的目的。为了顺利签订或履行合同,个人信息处理者不经个人同意,可以在必要限度内处理个人信息。如《一般数据保护条例》第6条(b)项规定:“履行数据主体作为一方当事人的合同,或在订立合同前为实施数据主体要求的行为所必要的数据处理”。《信息安全技术个人信息安全规范》第5.6条g)项规定:“根据个人信息主体要求签订和履行合同所必需的”。(2)为保护个人或其他自然人的重大利益。如《一般数据保护条例》第6条(d)项规定:“为保护数据主体或另一自然人的重大利益所必要的数据处理”。《民法典》第1036条规定,不经同意但为了保护该自然人的合法权益,合理利用个人信息的,不用承担民事责任。《信息安全技术个人信息安全规范》第5.6条e)项规定:“出于维护个人信息主体或其他个人的生命、财产等重大合法权益但又很难得到本人授权同意的”。《个人信息保护法》第13条规定“为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需”,可以不经同意处理个人信息。(3)为内部管理的目的。为了进行更好的管理,个人信息处理者对其员工或客户的相关数据可以进行必要的处理。《一般数据保护条例》第9.2条(b)项规定,为实现数据控制者或数据主体在劳动、社会保障以及社会保障法的范畴内履行义务、实现特定权利所必需,可以依法处理数据。(4)为提供安全稳定的产品或服务的目的。如《信息安全技术个人信息安全规范》第5.6条i)项规定:“维护所提供产品或服务的安全稳定运行所必需的,如发现、处置产品或服务的故障”。
综上,个人信息处理的正当目的包括公共目的和私人目的。个人信息处理者为了公共利益,或者为了个人、处理者自身、第三人等主体的合法利益,基于履行合同、保护个人或其他自然人的重大利益、内部管理、提供安全稳定的产品或服务等目的,可以对个人信息进行必要的处理。尽管法律可以列举常见的个人信息处理目的,但永远无法穷尽。个案中个人信息处理目的的合理性,需要根据具体情形进行实质判断。《个人信息保护法》第6条规定“处理个人信息应当具有明确、合理的目的”,不足以囊括对目的的所有要求,还应加上“特定”标准。因为即使目的“明确、合理”,但仍然可能过于“宽泛”。事实上,第28条规定处理敏感个人信息,必须具有“特定的目的”。
然而,个人信息处理目的正当,满足目的特定、明确、合理的要求,并不表明就可以随意处理个人信息。例如,尽管基于内部管理目的可以合理使用个人信息,但也有必要限度。在肖某某诉力美健新都会健身公司网络侵权案中,广州互联网法院认为,被告未经同意在微信群公开原告的身份信息,即便因内部管理需要,但“已超出必要的限度”,侵害了原告的隐私权。目的正当无法证成手段正当,个人信息处理除了应遵循目的正当原则,还应符合处理手段必要原则。
三个人信息处理的必要原则:禁止过度损害和保障不足
国内外有关个人信息保护的法律中,大量使用“必要”一词。《一般数据保护条例》第5条规定:“数据应是充足的、相关的,并且限于数据处理目的之必要限度”。《信息安全技术个人信息安全规范》第4条d)项规定了“最小必要原则”:“只处理满足个人信息主体授权同意的目的所需的最少个人信息类型和数量。目的达成后,应及时删除个人信息。”《个人信息保护法》第6条体现了“必要原则”,要求处理个人信息应当“采取对个人权益影响最小的方式”,“不得过度收集个人信息。”并且全文10处使用“必要”,7处使用“必需”,2处使用“最小”。对于究竟什么是必要原则,法律规定不完全相同,学界的认识也不统一。如张新宝认为,必要原则包括充足、相关、不过量等要素,“告知同意原则要受到必要原则的制约”。谢琳认为,必要原则包括两个规则,一是数据应以最小化利用为限,二是处理方式应是影响最低。探讨必要原则的内涵,不应割裂其同正当原则的关系而过度扩大其内涵。同主要评价目的的正当原则相对应,必要原则主要是对个人信息处理手段的规范,它要求在必要限度内处理并保护个人信息。必要原则包括合理关联性、最小损害性、均衡性、最大有效性等方面的内容。
(一)合理关联性:个人信息处理不得超出正当目的
必要原则首先要求个人信息处理手段与目的间应具有合理关联性,不得超出特定、明确、合理的正当目的。合理关联性不仅有助于保障个人信息处理的有效性,而且更有利于限制个人信息的处理方式而保障其正当性。《个人信息保护法》第6条要求个人信息处理“应当与处理目的直接相关”,可能过于狭窄。与处理目的间接相关但具有合理关联性的个人信息处理,也具有正当性。个人信息处理者为追求正当目的,应当择手段而为之。必要原则可以防止个人信息处理“脱缰”。
其一,收集与正当目相关联的最少够用的个人信息。在满足核心功能和非核心功能的必要限度内,收集最少类型和数量的个人信息。收集个人信息应以满足使用目的为必要,即一旦缺少将导致无法正常提供服务或产品。在新浪微博诉脉脉案中,法院认为,“关于获取的用户信息应坚持最少够用原则”,不得收集与其提供的服务无关的个人信息,“限于为了应用程序运行及功能实现目的而必要的用户数据。”互联网企业超范围收集个人信息并不少见。例如近些年来,移动互联网应用程序(APP)存在过度收集用户信息的现象,APP强制要求用户必须同意读取短信内容、访问通讯录、获取地理位置、获取摄像录音授权等高达数百项的权限。国家计算机病毒应急处理中心在“净网2020”专项行动中发现,多款民宿、会议类移动应用存在超范围采集个人信息。个人信息买卖形成了黑色产业链,上游负责“源头供货”,中游负责数据加工处理,下游负责“应用变现”。对于侵犯个人信息的司法救济,存在诉讼动力不足、胜诉率低等问题,需要必要原则予以事前规范。如果将收集的信息用于合理关联的其他产品或服务,也应当认为符合必要原则。如黄某诉腾讯微信读书案,法院认为,微信读书收集用户的微信好友列表,是为了在关联产品微信读书中开展基于微信好友关系的社交功能,所以收集原告好友列表不违反必要原则。除了不能超范围过度收集个人信息外,收集频率应在提供服务所必需的合理范围内。不得高频率反复收集相关个人信息。必要的个人信息究竟包括哪些,对于一些典型的数字经济业态,可以事先作出指引规定。《电信和互联网用户个人信息保护规定》《网络安全法》等对于个人信息的收集范围作了总体性要求。《个人信息保护法》第6条要求不得过度收集个人信息,“应当限于实现处理目的的最小范围”。
其二,与原初目的没有合理关联的个人信息处理,即使是为了追求其他正当目的,也不具有正当性。尽管收集的是最少够用的个人信息,也不能随意使用。如在《欧盟2006/24号指令》无效案中,欧盟法院认为,电子通信数据已成为调查和起诉犯罪的重要工具,《欧盟2006/24号指令》要求留存所有使用电信服务人的生活习惯、居住地、日常或特殊活动、社会关系等数据,并没有限定特定时空的人群,对于被留存数据人同潜在犯罪间的联系在所不问,因此,“虽然该指令旨在打击严重犯罪,但是没有任何条文显示被留存的通信数据需要和潜在的公共安全威胁具有联系”,所以该规定无效。再如为履行合同的必要处理个人信息,意味着个人信息处理同合同履行之间必须具有“密不可分和实质性的联系”。有利于减少合同履行成本或可以增加商业利益,不能成为个人信息处理具有必要性的理由。此外,如果个人信息控制者委托第三方进行处理,第三方只能在委托目的范围内处理个人信息。
其三,第三方应在授权目的范围内合理使用个人信息。工信部开展APP侵害用户权益专项整治行动,发现多款APP将个人信息私自共享给第三方。个人信息处理者在个人同意的基础上,可以开放个人信息给第三方使用,但第三方应在授权目的范围内合理使用,并且应获得个人的二次同意。中国法院在案例中确立了第三方使用数据的三重授权原则。在新浪微博诉脉脉案中,法院认为,脉脉通过OpenAPI开发合作方式获取新浪微博用户的职业信息、教育信息,尽管OpenAPI是实现数据资源共享的新途径,但为了保护用户隐私同时维护企业的核心竞争优势,第三方通过OpenAPI获取用户信息时应坚持“用户授权”+“平台授权”+“用户授权”的三重授权原则。脉脉在未获得用户同意的情况下,试图达到“吸引、扩大用户群”的目的,读取非脉脉用户的新浪微博信息不具有正当性。在2019年的“头腾大战”案中,法院认为,抖音通过微信、QQ开放平台合法获取的用户头像、昵称等信息,只能用于授权登录之目的即“帮助抖音实现用户鉴权、身份识别,及授权用户使用微信、QQ头像、昵称等信息实现抖音登录”,但抖音在隐私设置中“把我推荐给好友”选项默示为开启状态,“显然已超出授权登录的使用目的和使用范围”,属于对开放数据的超范围使用,并且没有获得用户的二次授权,不具有正当性。《个人信息保护法》第23条要求向第三方提供个人信息,应“取得个人的单独同意”。
其四,应在合理期限内存储个人信息。原则上不得存储个人的原始生物信息,如果必须存储则应和其他个人信息分开。对于已经收集但无助于达成正当目的的个人信息,或实现了正当目的个人信息,应当及时予以删除、销毁,但经过匿名化处理后无法关联到特定个人并且无法复原的除外。在凌某某诉北京微播视界科技有限公司案中,法院认为,未经信息主体同意而进行超过合理期限的存储,可能不合理扩大了个人信息泄露或被不当利用的风险,不符合必要原则。被告未及时删除相关信息,超出了必要限度,不属于合理使用,侵害了原告的个人信息权益。《个人信息保护法》第19条要求:“除法律、行政法规另有规定外,个人信息的保存期限应当为实现处理目的所必要的最短时间。”在特殊情形下,出于特定目的,可以长期存储某些个人信息。如《一般数据保护条例》第5.1条(e)规定,如果采取了适当的技术和组织措施,基于实现公共利益归档目的、科学或历史研究目的或统计目的,可以较长时间存储个人数据。
(二)个人信息处理应造成最小损害
在有助于实现正当目的的范围内,也不能随意处理个人信息。必要原则要求以最小损害的方式,处理合法收集的个人信息。《个人信息保护法》第6条明确规定,“采取对个人权益影响最小的方式”处理个人信息。
首先,应比较个人信息处理不同方案的损害大小。个人信息处理者应尽量运用先进安全的数字科技,避免对个人造成过度损害,防止对其造成“不必要的干扰”。如果有多种个人信息处理方式同样有助于实现正当目的,应选择没有损害或最小损害的处理手段。如公共空间的大规模监控,虽然可以保障公共安全、防范社会风险,但应“对监控信息的使用和传播进行技术控制”,应进行有效的隐匿化处理后再使用。2019年5月,美国旧金山市颁布全球首个禁止人脸识别技术的规定《反监控条例》,禁止当地警方和其他政府机关使用人脸识别技术,以防止公权力机关滥用人脸信息监控个人。
私主体的个人信息处理行为,同样不能造成过度损害。个人信息处理中的意思自治与契约自由日益流于形式,个人明显处于弱势地位,最小损害性的要求有利于最大程度保护个人信息。《民法典》确立的合理使用制度,实际上是要求个人信息处理应当符合法律规定合理使用所希望达到的正当目的,“且手段和方式没有超过为实现该目的而可以采取的最缓和的方式”。
近些年来,人脸识别技术在中国得到了广泛运用,但也引发了滥用而造成过度损害的担忧。在“中国人脸识别第一案”中,原告郭某被告知未经注册人脸识别将无法使用年卡进入动物园,郭某不愿接受被收集人脸信息要求办理退卡退费被拒而提起诉讼。一审法院经审理认为,被告收集人脸识别信息,“超出了必要原则的要求”。二审法院认为,人脸识别信息呈现出敏感度高、采集方式多样、隐蔽和灵活的特性,不当使用将给公民的人身、财产带来不可预测的风险,只有经同意才能收集和使用,且须遵循合法、正当、必要原则。尽管“刷脸”好用,有助于实现正当目的,但很多时候会对个人造成过度损害。对于生物识别、医疗健康、金融帐户、行踪轨迹等敏感个人信息,《个人信息保护法》第28条要求“只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下”才可处理。
其次,对于必要情形的个人信息处理,应进行个人信息风险评估。为了降低个人信息安全风险,较为准确地挑选出最小损害的处理方式,必要时需要全面评估个人信息风险。根据个人信息的类型、处理目的、处理范围、处理场景等因素,对个人信息处理引发风险的可能性、严重性等不利影响进行全面评估,有助于比较不同处理手段的损害大小,最终选择一个最小损害的最佳处理手段。欧盟在隐私影响评估制度(Privacy Impact Assessment,PIA)的基础上,确立了数据保护影响评估制度(Data Protection Impact Assessment,DPIA)。如果数据处理行为尤其是在运用新技术可能带来高风险时,数据处理者应评估数据处理可能带来的不利影响。
中国2020年发布的《信息安全技术个人信息安全影响评估指南》,以国家推荐性标准的方式,对个人信息安全影响评估的评估原理、评估实施流程作了具体规定。《个人信息保护法》确立的个人信息保护影响评估制度具有重要的时代价值,但可能范围过宽。其第55条要求在处理敏感个人信息、利用个人信息进行自动化决策、委托处理、向第三方提供或公开个人信息、向境外提供个人信息等情形下,均应事前进行评估。如果个人信息保护影响评估过于泛化,既会给互联网企业带来过大的运营成本,也容易使其流于形式,最终不利于有效保护个人信息。
最后,对个人信息进行分类分级管理,严格限定对私密信息的处理。对个人信息进行分类分级管理,既能促进个人信息流通利用,也可以保障个人信息处理不造成过度损害。对于个人信息的种类,在黄某诉腾讯微信读书案中,法院将其分为三类:一是私密信息,应强化防御性保护;二是不具备私密性的一般信息,获得同意后可正当处理;三是兼具防御性期待及积极利用期待的信息,应根据场景进行处理。微信好友列表和读书信息属于第三类信息,被告未以合理的“透明度”告知原告并获取其同意,虽然没有侵犯隐私权但侵犯了原告的个人信息权益。《个人信息保护法》第51条只是简单规定“对个人信息实行分类管理”,并从二审稿开始就删除了一审稿中“分级”一词——“对个人信息实行分级分类管理”。对个人信息分类,必然涉及分级。实际上,《数据安全法》第21条明确规定“国家建立数据分类分级保护制度”。至于应如何对个人信息进行科学合理的分类分级,既需要考虑个人信息保护的有效性,也应考虑促进个人信息的高效流通利用。
(三)个人信息处理的均衡性:利益衡量
必要原则要求个人信息处理应具有均衡性。如果个人信息处理导致利益失衡,则不符合必要原则。对于国家机关而言,只要个人信息处理涉及利益冲突,就需要通过合比例性权衡实现利益均衡。如果个人信息处理对个人造成的损害同其所促进的公共利益不成比例,个人信息处理就不具有必要性。对于私主体而言,无论是为了公共利益还是私人利益处理个人信息,只要涉及利益冲突,就应实现利益均衡。个人信息处理者为了公共利益而处理个人信息时,同国家机关一样,应追求利益均衡。例如私主体为应对突发公共卫生事件、为公共利益实施新闻报道而处理个人信息,不得对个人造成过度损害而出现利益失衡的情形。
对于私主体为了私人利益而处理个人信息,首先应当尊重意思自治与契约自由,让个人信息的商业利用市场机制予以解决。只要同个人达成了平等自愿的充分合意,个人信息处理者就可以按约定对个人信息进行处理。然而,由于个人信息处理的告知同意机制日益流于形式,当前公平竞争的数据要素市场并未形成,而且还存在告知同意的例外情形,所以在存在利益冲突的情形下,个人信息处理应实现利益均衡。如果个人信息处理者处理个人信息会获取很大的私人收益,但却是建立在损害个人信息权益的基础上,并且没有平等支付对价共享个人信息收益,则显失公平。《民法典》第1035条规定处理个人信息首先应遵循“合法、正当、必要原则”,然后才应符合“双方的约定”,实际上就是为了实现个人信息处理的均衡性。《民法典》中的个人信息合理使用制度,实质上是要求未经同意合理使用个人信息时,应进行审慎的利益衡量。
必要性原则要求通过审慎的利益衡量,实现个人信息处理的均衡性。“信息业者在收集个人信息时应兼顾收集目标的实现和保护信息主体的权益”,实现个人、信息业者和国家三方主体的利益平衡。“所有数据处理,都要求数据控制者在处理需求与个人权利之间取得平衡,以免过度或不必要地处理个人数据。”判断个人信息处理是否具有均衡性,首先需要对实现特定、明确、合理的正当目的所带来的收益进行评估,然后客观评估个人信息处理造成的损害,最后在此基础上进行损益对比分析。
(四)必要原则的积极面向:采取必要措施保障安全
必要原则不仅禁止个人信息处理造成过大损害,而且还禁止个人信息安全保障不足。积极面向的必要原则,要求个人信息处理者采取最大有效性的必要措施,确保个人信息持续处于安全状态。
个人信息处理者应积极预防个人信息安全风险。在合理的成本范围内,采取切实有效的组织与技术措施,最大程度保障个人信息安全。《一般数据保护条例》第32条专门规定了“数据处理的安全性”,要求数据控制者和处理者应当实施适当的技术和组织措施,以确保与风险程度相一致的安全等级。《信息安全技术个人信息安全规范》提出,“建立适当的数据安全能力,落实必要的技术和管理措施”。《网络安全法》第10条、《电子商务法》第30条要求,“采取技术措施和其他必要措施”,保障网络安全、稳定运行。《关于加强网络信息保护的决定》《电信和互联网用户个人信息保护规定》《消费者权益保护法》等都包含了类似的“必要措施”条款。《民法典》第1038条明确要求,“信息处理者应当采取技术措施和其他必要措施,确保其收集、存储的个人信息安全,防止信息泄露、篡改、丢失”。《个人信息保护法》第9、38、47、59条要求采取“必要措施”保障个人信息安全。对于已经发生的损害,个人信息处理者应采取必要措施最大程度消除不利影响,阻止损害的进一步扩大。《网络安全法》《关于加强网络信息保护的决定》《消费者权益保护法》等要求发生网络安全事件时,应“立即采取补救措施”“阻断传播”“采取其他必要措施予以制止”,否则应承担相应的责任。《个人信息保护法》第57条要求“发生或可能发生个人信息泄露、篡改、丢失的,个人信息处理者应当立即采取补救措施”。
至于如何判断是否采取了最大有效性的必要措施,实际上需要进行利益权衡,应结合均衡性原则即狭义比例原则进行分析。如果某项安全保障措施有效性很强但成本太大,对个人信息处理者造成的成本同对个人信息安全保障产生的收益不成比例,就不应当被采取。倘若该项措施有效性很强,相对于成本而言成比例,个人信息处理者就有义务采取该项措施。判断个人信息处理者是否采取了必要的安全保障措施,“应当在比例原则语境下考量成本”。
综上,必要原则包括禁止过度损害和禁止保障不足两大方面。一方面,必要原则要求个人信息处理不得超出正当目的,并且对个人造成最小损害,禁止损害过度。另一方面,必要原则要求个人信息处理者积极作为,采取必要的组织与技术措施,最大程度保护个人信息,禁止保障不足。处理个人信息时应在有助于目的实现的范围内造成最小损害,不处理时应采取必要措施预防风险,损害发生后应采取相应的补救措施消除影响,是必要原则对个人信息保护的基本要求。
尽管“正当原则”和“必要原则”的界限并不是截然分明的,但二者还是存在很大的区别。正当原则属于目的正当性评价,要求个人信息处理目的应特定、明确和合理。必要原则是对个人信息处理手段的规范性要求,主要包括禁止过度损害和禁止保障不足两大方面。“正当、必要原则”是个人信息处理最核心的实体原则,分别对个人信息处理的目的与手段进行规范,实际上是比例原则的体现。
(一)正当、必要原则评价个人信息处理的目的和手段
正当原则要求个人信息处理目的特定、明确、合理,体现了比例原则的首要子原则——目的正当性原则。国家机关处理个人信息,必须出于正当目的,因为其是公共利益的化身。私主体为了公共利益处理个人信息,同国家机关一样,应符合目的正当性的要求。私主体为了私人利益处理个人信息,由于奉行意思自治与契约自由的理念,一般不探究其行为目的的正当性。然而,在大数据时代,由于个人信息处理者具有明显的技术与资本优势,导致个人信息处理的私法自治存在缺陷,再加上告知同意机制存在例外情形,所以应约束私主体的个人信息处理目的。尽管个人信息处理者可以同个人自由约定个人信息处理目的,但应符合目的特定、明确、合理的要求。
必要原则是传统“三阶”比例原则的体现。在公法领域,必要原则有狭义和广义之分。狭义的必要原则是比例原则的子原则之一,它要求有助于目的实现的手段,具有必要性;广义的必要原则就是传统“三阶”比例原则,它要求行为手段具有适当性、必要性和均衡性。一些国家和地区的法院将成文法中的“必要性”条款解释为比例原则。如欧洲法院认为限制权利的“必要”情形,就是符合比例原则的情形。在《欧盟2006/24号指令》无效案中,欧盟法院提出了数据保护的严格必要性测试,包括比例原则的所有元素:正当目的、适当性、必要性和均衡性。数据保护的重要性要求更严格的适用比例原则。
在个人信息处理领域,必要原则要求个人信息处理者在有助于目的实现的最小范围内,选择对个人权益损害最小的处理方式,并采取必要措施保障个人信息安全,实际上体现了传统“三阶”比例原则。“正当、必要原则”评价个人信息处理的目的和手段,可以统合称之为现代“四阶”比例原则。“正当、必要原则”要求个人信息处理目的具有正当性,手段具有适当性、必要性和均衡性。
(二)个人信息处理应受比例原则约束的原因
比例原则是个人信息处理中平衡安全与效率的核心元素。发源于18世纪末期德国警察法的比例原则,如今在很多国家已发展成为宪法基本原则。中国《宪法》第51条的“权利的限度”条款和第33条第3款的“国家尊重和保障人权”条款,内在蕴含了比例原则。比例原则约束一切国家公权力,属于公法的“帝王原则”。对于国家机关的个人信息处理,毫无疑问应受比例原则的约束。《一般数据保护条例》序言第4项规定:“个人数据保护权不是绝对权,必须根据比例原则,考虑其在社会中的功用,与其他基本权利保持平衡”。此条款既是对欧盟国家机关保护个人信息提出的执法要求,也是对其处理个人信息提出的规范要求。
私主体的个人信息处理同样应受比例原则的约束。“市场失灵”是私法自治天生的“基因缺陷”,公法介入私法自治是现代国家不可避免的制度安排。尤其在数字时代,网络市场失灵更容易发生,引发的后果更为严重,必须通过公法矫正互联网空间的私法自治不足。“在网络平台中,完全的契约自由与意思自治只是一种理想状态。”个人信息处理的告知同意机制,“远远没有立法者们预想的那么有意义”。而且,由于告知同意机制的诸多例外情形,导致大量个人信息实际上处于随时可能被单方处理的状态。“只有合比例性的使用个人数据以满足数据控制者的正当目的,才能认为是必要的数据处理。”应当用比例原则约束个人信息处理行为。从另一个角度而言,如果私主体的个人信息处理违反了比例原则,如个人信息处理目的不正当、超出必要的限度,或没有采取必要的措施保障个人信息安全,监管机构和法院就可能会适用比例原则否定个人信息处理行为。之所以将体现公法比例原则的“正当、必要原则”规定于私法之中,就是为了弥补数字时代意思自治与契约自由的缺陷,矫正个人信息处理者同个人之间日益严重失衡的不平等态势。
事实上,越来越多的法律开始规定个人信息处理应符合比例原则。2012年欧洲委员会修正通过的《个人数据处理中的个人保护公约》第5条第1项明确规定:“无论是为了公共利益还是私人利益,数据处理应当与其所追求的合法目的成比例,在处理过程的各个阶段均应确保有关的所有利益,同相冲突的权利与自由始终保持公正的平衡。”2014年,欧盟第29条工作组出台规定要求数据控制者进行合比例性平衡测试,证明数据处理的合法利益高于数据主体的个人利益。《一般数据保护条例》存在多处要求数据处理具有合比例性的规定。2019年,欧洲数据保护专员公署(EDPS)发布了《限制隐私权和个人数据保护权的比例原则评估指引》,对数据处理的必要性与合比例性分析给出了八步骤的详细操作指引。《民法典》个人信息合理使用制度中的“合理”一词,本身就是比例原则的要求。通过比例原则可以确立不同场景下个人信息的合理使用规则,以判定个人信息是否合规。《个人信息保护法》第6条规定,“处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。”该条实际上是比例原则的体现,对个人信息处理目的和手段提出了要求。
综上,不管是经过告知同意的个人信息处理,还是不经告知同意的例外情形,只有符合比例原则的个人信息处理,才可能是正当、必要的。通过理性调整个人信息处理目的与手段的关系,比例原则可以有效指引并规范个人信息处理。比例原则应当适用于个人信息处理的各个阶段。“所处理的数据的数量、数据留存时间、处理的范围等都必须与数据处理的目的相称”。相对成熟的“合比例性教义学”,可以为“正当、必要原则”提供更加精细的规范分析方法。
个人信息有用,但应用之有道。在中国加快培育数据要素市场、着力打造数字经济新优势的背景下,个人信息处理范围必将更加广泛,处理频率必将更加频繁。准确把握“合法、正当、必要原则”的规范内涵,并加以正确适用,有利于实现个人信息保护与流通利用的平衡。“合法原则”要求个人信息处理符合法律的明确规定,“正当原则”要求个人信息处理必须出于特定、明确、合理的目的,“必要原则”包括禁止过度损害和禁止保障不足两大方面。作为公法比例原则体现的“正当、必要原则”,是对数字时代私法自治不足的矫正。尽管“正当、必要原则”有利于弥补网络市场中意思自治与契约自由的缺陷,可以矫正个人信息处理者同个人之间日益严重失衡的不平等态势,但应防止无限扩大其内涵与适用范围。对于个人信息处理者同个人基于完全真实的意思表示,就个人信息处理目的、处理范围、处理方式、风险负担、收益分配等事项,达成平等互惠的充分合意,应予以高度尊重。不应动辄以保障个人信息安全为由,过度限制个人信息处理而妨碍数据要素的流通利用效率。
《法学家》2021年第5期目录
【主题研讨一:个人信息保护与处理的法律应对】
1.论个人信息处理的合法、正当、必要原则
刘权(1)
2.欧盟法上的个人数据受保护权研究
——兼议对我国个人信息权利构建的启示
蔡培如(16)
【主题研讨二:宅基地“三权分置”的制度完善】
3.“三权分置”下宅基地增值收益分配研究
杨雅婷(31)
4.宅基地“三权分置”的政策意蕴与制度实现
刘恒科(43)
【专论】
5.论与上位法相抵触
俞祺(57)
6.国家赔偿违法要件的基本构造
蒋成旭(70)
7.地方金融的央地协同治理及其法治路径
冯辉(84)
8.通过法律对女性的社会动员
——中国共产党与1949年之前婚姻家庭法律在农村的实践
伊卫风(100)
【视点】
建设中国特色法治体系研究
9.作为中国政法话语的表达权
郭春镇(114)
10.论认罪认罚案件量刑从宽的刑事一体化实现
陈实(128)
11.抢劫罪手段行为的界定:实务考察与标准重塑
郭晓红(143)
12.注意规范保护目的理论下的交通肇事罪归责路径
吴尚赟(157)
【评注】
13.《民法典》第195条评注之二(起诉、其他中断事由)
杨巍(172)
《法学家》由教育部主管,中国人民大学主办,中国人民大学法学院编辑;经国家新闻出版部门批准,自1993年第1期起改名为《法学家》。它是一个依托于中国人民大学的法学家群体,面向国内外法学界,向国内外公开发行的综合性的法学刊物。《法学家》是全国法学类中文核心期刊、中国人文社会科学核心期刊、中文社会科学引文索引(CSSCI)来源期刊和中国期刊方阵双效期刊;中国学术期刊综合评价数据库、中国人文社会科学引文数据库、中国学术期刊(光盘版)、“北大法宝”法学期刊数据库全文收录期刊。
-END-
刘权:比例原则的中国宪法依据新释 | 政治与法律202104
刘权:政府数据开放的立法路径 | 暨南学报(哲学社会科学版)202101
点击「在看」,就是鼓励