法学∣王丽洁:个人信息处理中比例原则审查基准体系的建构
MAY
06作者:王丽洁
作者单位:东南大学法学院、兰州理工大学法学院
责任编辑:郭海清
全文已略去注释,如需查看,请订阅《法学》
【内容摘要】 行政法上关于“瑕疵”的理解存在狭义与广义之分。能被补救的行政行为瑕疵,限于“行政上微小的缺点”,且仅限于行政行为在实施程序方面的瑕疵(即程序瑕疵),及在事实与证据方面、规范依据方面的瑕疵(属实体瑕疵)。面向程序瑕疵与实体瑕疵的补救机制,分别为补正制度与理由之替换,二者均产生治愈行政行为违法性的效果。但行为意义上的替换理由不等于结果意义上的理由之替换:前者仅在一定范围内才产生治愈违法性的效果。在我国,补正行政行为程序瑕疵的时点被限于提起行政诉讼前,一旦进入诉讼阶段,补正的效果将被推翻。事实与证据、规范依据都属于可以为行政行为合法性提供支持的“理由”,适用理由之替换将面临三项限制:用作替换的证据必须在行政行为作出时就已被收集;不得因替换证据而架空法定的陈述意见程序或听证程序;不得因替换证据或规范依据而改变行政行为的同一性。
【内容摘要】 随着《个人信息保护法》从立法论转向适用论,如何具体适用个人信息处理的“合法、正当、必要、不得过度”原则,是规范适用者不得不面对的现实问题。通过在个人信息处理中构建类型化的比例原则审查基准体系,对于具体的信息处理行为进行检验,可以划定合比例限制个人信息权益的界限,促使适用机关合理且一贯地适用个人信息处理原则。在目的正当性审查基准构建中,基于不同信息处理依据,通过粗疏过滤的方式,确定信息处理的积极或消极审查基准;在必要性审查基准构建中,基于风险评估结果与目的—手段关联程度,划分信息权益限制的“相对最小”“接近最小”“绝对最小”三重审查基准;在均衡性审查基准构建中,基于个案中不同处理情形所产生的“损” 与“益”,区分宽松、严格不同层次的合比例性审查基准。通过个人信息处理中比例原则审查基准体系构建,增加处理原则的适用理性,提高审查结果预测可能性,以期实现个人信息所承载多方利益的平衡保护。
【关键词】 个人信息处理 目的正当性 损益均衡性 审查基准 比例原则
◐
《民法典》第 1035 条、《个人信息保护法》第 5、6 条均规定了个人信息处理应当遵循合法、正当、必要、不得过度的基本原则。这些原则不但为信息处理者提供了行为指引,而且有利于行政、司法等机关通过规范适用实现个人信息保护与合理利用。然而,基于处理目的、信息类型、处理主体等不同,个人信息处理呈现极强的场域性。这些原则到底应该如何适用于具体处理情境中,难免会使适用者产生诸多困惑。因此,通过在个人信息处理中构建类型化的比例原则审查基准体系,对于具体信息处理行为进行检验,以划定合比例限制个人信息权益的界限,促使适用机关合理且一贯地适用个人信息处理原则,提高审查结果的可预测性,从而进一步强化所审查处理行为的正当性。
一、个人信息处理中
比例原则的适用空间
个人信息属性复杂,加之不同处理主体、手段、行为、场域的多元样态,所涉公私法益不尽相同。现有处理规范中虽然已设置告知同意原则,但其更为侧重保护信息处理中的正当程序价值与意思自治。亟待利用比例原则这一公私法益衡量工具,为公共利益介入个体信息私益是否得当,提供精细的操作程序和标准,为公共利益与公民权利之间到底应该达到何种平衡状态提供求证路径。
(一)个人信息处理涉及公与私多重法益
法律制度通过努力保障所承认的利益,达到法律秩序的目的。个人信息处理制度是通过承认、保障信息处理中所涉及的多重利益,实现信息保护与合理利用的法律目的。信息处理中所涉利益类型,因信息属性、处理主体、手段、场域等不同而不同。
1. 个人信息属性复杂致使所涉法益不同。较之其他民事权益,个人信息最为特殊之处在于,兼具社会性、公共性、个体性。一方面,社会是人与人的连接,人作为社会存在物具有社会性。通过披露、利用个人信息来识别社会中具体的人,不但是社会运行的基本前提,更关涉社会群体利益。《个人信息保护法》第 1 条中,“个人信息合理利用”的规定承认了个人信息并非绝对属于信息主体所有,主体对其信息并无绝对的决定权或支配权。相反,鼓励处理者可以合理利用个人信息资源,发挥其社会性与公共性。另一方面,个人信息是与自然人相关的各种信息,具有极强的个体性。这些信息是信息人格利益的载体与自然人身体、精神利益高度附着,与其人格利益密切相关。该法第 2 条规定:“……不得侵害自然人的个人信息权益。”该规定通过限制他人不得随意处理个人信息,确保处理者对于主体信息权益的限制行为应在法律允许范围之内,以此保障个体人格利益不受侵害。此外,同一信息不但本身属性复杂,而且基于不同的处理场域、时机、手段等,会呈现出不同属性,涉及不同利益。例如,一般而言,患病信息主要涉及个人隐私,但若此信息为传染病信息,就不仅只牵涉个体隐私权益而具备个体性,还因其传染性涉及社会公共利益而具备公共性与社会性。
2. 个人信息利益相关者诉求不同致使所涉法益不同。个人信息处理中,既牵涉处理主体的利益,又关乎信息主体的利益。从处理主体角度来看,即使对于同一信息进行处理,信息处理者不同,其所涉利益也不尽一致。针对同一信息进行处理时,公共机关基于法律规定和履行法定职责处理个人信息,通过合法限制信息主体人格权益实现社会公共利益;经济组织则基于信息主体授权同意、合同约定,通过授权限制信息主体人格权益从而实现其商业利益。例如,在突发公共卫生事件中,同样是个人居住信息,国家对此信息的处理与网购平台对此信息的处理所涉及的利益性质截然不同。从信息主体角度来看,即使针对同一处理者所实施的同一信息处理行为,若信息主体所选择的利益保护方式不同,所涉及的利益也不相同。例如,经济组织未经信息主体授权同意处理其个人信息,信息主体为保护其个人信息提出控告。虽然这一诉求是基于私人人格利益保护所提出的,但事实上是与社会信息安全的公共利益相一致。当信息主体通过相应的控告,使公诉机关对于未经授权的处理行为以侵犯公民个人信息罪进行刑事起诉时,其诉求就是作为社会信息安全的公共利益所提出的。由此,个人信息处理中,主体不同,牵涉利益不同,即使主体相同,也因其所选择的利益保护方式不同,所涉利益不同。
3. 个人信息处理方式不同致使所涉法益不同。《个人信息保护法》第 4 条规定:“个人信息的处理包括个人信息的收集、存储、使用……等。”在如此多元的信息处理手段中,即使同一处理主体,针对相同信息内容,若选择不同处理手段,所涉法益也大不相同。公共机构收集、加工、利用信息,是通过发掘信息的公共管理价值来实现社会公共利益。但是,当发生信息收集错误、收集过当或达到存储期限时,公共机构主动采取的删除、更正手段则是对个体信息人格权益的实现。网络服务提供者、线下经营主体等经济组织的收集、存储、使用等处理行为,是通过挖掘信息商业价值,追逐其经济利益。但是,当经济组织将所收集、加工的信息应要求,依法向公共管理机构提供,用以协助公共服务时又涉及公共利益。例如,疫情期间,支付宝通过收集个人行动轨迹形成的健康码。
对于信息权益的限制或利用,表达着处理者在不同社会环境中对于信息权益的多样需求。这些需求重重叠叠,或偏重于公共利益实现或倾向于私人利益保障,呈现出“千人千面”的显著特点,应该结合个案具体处理情形分别进行考量。
(二)告知同意原则侧重过程与私益保护
告知同意原则是个人信息处理的前置原则与基础原则。这一原则要求任何人在实施处理行为之前都应当对信息权益人进行告知并且取得其同意,除非法律另有规定。它既强调处理行为的实施应当履行正当的前置程序,又突出应当尊重自然人基于意思自治处分其人格权益。
1. 告知同意原则侧重正当程序价值实现。告知同意原则是实现信息合理利用的方法和程序,更具保障个人信息合理利用的程序价值。自然法观念中,任何主体享有被正式告知一切与其权益变动、维持等相关的程序活动权利。信息处理中,依法确定处理者按照先告知、后同意的步骤实施处理行为, 是基于“自然正义”原则,通过赋予处理者告知义务,保障信息主体对其信息权益变动的知情权。不可否认,告知同意这一前置程序条件,确实在保障信息主体知情权,尊重个人信息权益,引导信息资源有效利用等方面发挥了重要作用。但是,仅凭这一前置程序,还无法实现个人信息处理的有效规制。完全或主要的法律规制,包含形式和实质的成分,程序和实体需有机结合才组成法律制度。信息者个人理性的局限性、经济组织“经济人”逐利的本性,就注定了只有通过正当处理程序与实体处理规定的有机结合,才可以实现信息处理制度的最终目的。换言之,即使履行了告知同意义务,也不意味着就可以在同意的范围内自由处理个人信息,同意后的行为不但需要接受具体法律规定的约束,更要满足合理、公平等原则。实践中,经常出现信息处理行为虽履行了告知同意程序,却难以称为正当利用的处理情形。例如,部分手机 APP隐私协议冗长、晦涩、模糊,虽然实现了程序上的告知,但并不是真正的告知,以此为依据进行信息处理,是对个人信息的不当利用。
2. 告知同意原则侧重主体私益保障。告知同意原则是意思自治在信息处理中的具体体现,更强调信息利益相关者的私益保障。从信息主体角度来看,这一原则允许信息主体按照个人意志安排、交易自己的个人信息,其实质是法律允许信息主体对其信息人格权益商品化与自由交易的意思自治。作为民事领域的基本原则,意思自治原则从正面界定其适用范围,本身就更为强调私法领域是其活动的主要区间,是在民事领域之内对于民事主体私益的保护。信息处理中设置告知同意原则,是通过允许个体信息权益处分的意思自治,来实现民事主体的私益保护。从信息处理者角度来看,告知同意原则是民事法律制度赋予处理者实现其财产性权益的方式。随着信息市场经济的迅猛发展, 人格权的物质利益面向不断发展,信息人格权益的财产价值性和流转性不断成为活跃因素。信息处理者迫切期待利用更加便捷的程序实现其信息经济利益。通过灵活、易执行、低成本的告知同意程序就可以进行信息处理,可以使信息在流动中不断传播与使用,释放、激发其财产属性,实现处理者获得信息经济利益的私益目标。但是,自然人信息利用的理性与社会公众信息利用的理性并不完全一致。当立法允许利益相关者可自由控制信息权益并利用其追逐财产利益后,就难免会出现相关主体只关注自己私益得失,忽视社会公共利益。实践中,经常出现因片面追求经济利益而产生的信息不当利用,致使公共利益受损。例如,个体自愿向境外提供其遗传基因信息,交换其更为看重的经济利益。
告知同意原则通过灵活、低成本、易操作的方式明确民事权益归属,保障个人信息权益,提高信息利用效率。但是,该原则更为强调程序价值,侧重意思自治中的私益保护,无法考虑到处理行为可能对公共利益所产生的影响。这种信息主体的行为自由或财产性权益的获得方式,应当受到宪法、民事权利的限制和其他信息收集原则的限制。
(三)比例原则兼具公私法益的多重保护
社会活动进程包含着利益的混合,这些利益彼此之间或相互冲突,或相互支持。对于信息处理中所牵涉的公私法益,可利用比例原则的规范品格与技术操作优势进行协调与平衡。
1. 比例原则适用可发挥信息处理制度的体系效益。公私法益的多重保护,需要各处理规范之间应尽可能融贯。将比例原则适用于个人信息处理制度中,有利于发挥制度的最大体系效益。从 2009 年起,个人信息相关立法层出不穷,与个人信息相关的法律、法规、相关规定多达 42部(其中法律 9部, 全国人大常委会决定 2部,行政法规 5部,司法解释 6部,部门规章 7部,规范性文件 11部,其他规定 2部)。立法者以个人信息保护与利用为目的,将相关法律、法规进行系统整合,形成体系化的个人信息处理制度。但是,如此庞大、功能复杂的体系中,如何使涉及信息处理的不同法条之间协调一致并具可操作性?《宪法》已经确立了利用比例原则审查国家权力限制基本权利的基本模式。比例原则要求信息处理牵涉多种利益权衡时,选择一种最符合目的且损害另一种权利的手段也较小的方式。通过发挥这一不成文宪法原则的宪法解释功能,可以实现规范协调与规范操作。例如,当对于不同层级的个人信息立法规定进行解释产生冲突时,唯有选择能够发挥最大信息处理规范效应而限制公民信息权益最小的合比例性解释方案,才具有正当性。通过这种权衡性解释方式,有利于促进信息保护法律体系的统一性,进而发挥信息处理制度体系最大效益。
2. 比例原则适用可补充信息主体权益的私法保护不足。从功能定位来讲,比例原则利用其“控权”功能,为信息主体私益保护不足时提供补充。民事领域中,因主体自然禀赋、社会环境差异等客观存在,导致本应平等的主体之间实力差距悬殊。实践中,经常出现强势一方利用自身优势地位,损害对方权益,攫取不当利益。更为重要的是,这些损害行为往往利用意思自治的形式平等来掩饰主体之间的实质不平等,致使以意思自治为基础而构建的民事规则毫无“招架之力”。虽然民事所构筑的自治空间越大越好,但必须设置人类生理的极限和人权保障的底线作为自治底线。比例原则作为公私法调和的价值工具,通过限制权力主体,约束国家公权力行使,最大限度保护公民基本权利。但是,其根本目的是通过“倾斜式”保护的手段,控制强势方过度行使权力,保障弱势方权利。在个人信息 处理中,处理者既包括国家、政府等公共机构,又包括网络服务提供者、线下经营者等经济组织。较之单个信息权益人,处理者具有强大的单向支配力和影响力,属于典型的强势方,极易产生权力滥用。通过适用比例原则,可在不背离私法自治基本秩序的前提下,矫正处理者与信息主体之间的实质不平等,约束处理者过度行使权力,捍卫弱势方的基本信息权益。
3. 比例原则适用可提供平衡公私法益的操作程序与标准。从适用形态来讲,比例原则各子原则之间环环相扣、层层递进的规范结构,能够为信息处理中公私法益的相互介入,提供类型化的操作程序和审查标准。若采取“一刀切”、单一严格的适用,可能会产生因审查过严而背离信息利用效率的后果,导致公私法益保护失衡。为了防止比例原则形成纵深一致的审查,应依据判断的权力、手段限制、保护的权利与利益类型等,呈现不同审查强度,利用类型化操作来确定不同程度的审查基准。换言之,可基于个人信息的敏感程度、信息处理的权力来源、信息处理对于个体权益限制的严重程度、信息处理的风险评估结果、处理目的所意欲实现的公益或私益目的等因素确定类型化的审查基准体系。具体而言,依据信息处理权力来源、处理目的等因素,在目的正当性审查中,确立积极或消极的审查基准;依据信息处理的风险评估结果,确定目的—手段的不同关联性基准;依据信息的敏感程度、个体信息权益限制的严重程度等因素,在均衡性审查中,确定严格或宽松的审查基准。通过不断类型化信息处理行为,构建类型化的比例原则审查基准,促使适用机关划定合比例的个人信息权益限制界限,合理且一贯地适用个人信息处理原则,实现信息保护与合理利用的立法期待。
二、个人信息处理中
目的正当性审查基准
目的正当是个人信息处理的逻辑起点和首要环节,只有确定了处理目的的正当性才可以保障处理手段的正当性。目的正当性审查基准为信息处理划定范围,是在合法处理、人性尊严保障的基础之上,结合不同处理依据而构建。
(一)个人信息处理中目的正当性基本要求
个人信息处理中,正当性审查基准构建应当以合法处理和人性尊严保障为基础。若行为都因欠缺合法性或违背人性尊严而被质疑,还有必要探讨其正当性吗?正常的逻辑是在确保处理行为合法且人性尊严保障的基础之上,再进一步探讨其是否达到更高的正当性标准。
1. 合法处理是目的正当性的基本要求。《民法典》第 1035 条、《个人信息保护法》第 5、6 条均规定,处理个人信息应当遵循合法原则。这一原则要求处理行为的实施应该基于合法处理目的,具备合法处理依据,采取合法处理方式。其一,目的合法性是目的正当性的应有之义。目的合法是个人信息处理的前提,也是比例原则适用的前提。对处理者目的的正当性考量之前,应该确定该目的并没有与法律相抵触,已经达到了形式合法的基本要求。若目的的形式合法性都被质疑,就无须再去探究处理目的是否达到高于合法性的正当性标准。其二,合法的处理依据是目的正当性审查的前置条件。《民法典》第 1035 条、《个人信息保护法》第 13 条明确规定:处理个人信息需征得自然人或监护人同意授权,或基于法律、行政法规……由此看出,合法的处理行为,或基于法律规定或基于个体授权。若处理行为应当授权而没有授权、应当基于法律规定而无规定,则缺失合法处理依据,应当径直定性为非法处理行为,无需再进行正当性考量。其三,合法处理方式是目的正当性审查的必然要求。信息处理行为类型繁多、千差万别,新型处理方式层出不穷。这些处理行为无论呈现何种样态,也应该是通过合法的方式才可进入正当性审查环节。《个人信息保护法》第 5 条规定:“不得通过诱导、欺诈、胁迫等方式处理个人信息。”换言之,若基于强迫、欺诈、混淆获得信息主体同意,即使形式上符合授权使用,但因采取了背离善意的违法手段,致使其目的正当性判断丧失意义,无需再进行审查。
2. 人性尊严保障是目的正当性的基本底线。人性尊严保障是个人在社会秩序中作为个体存立的基础,无论何种原因,这一底线都不应被转让或突破。个人信息处理行为的正当性审查基准,应建立在人性尊严底线之上。从民事权益角度来看,个人信息具有高度属人化的特质,个人信息权益作为人格权的组成部分,在商品化过程中极易出现物化的可能,通过设置这一底线可以防止发生贬损人性尊严的人格权利用。从宪法学意义上讲,信息自决权属于人格自我发展权之一,人性尊严是基本权利限制的底线标准。因此,在信息处理过程中,处理行为对于人格自我发展权进行的限制,应该是在保障人性尊严的前提之下。从人性尊严底线适用范围角度来看,国家基于公共利益限制基本权利时,单个基本权利受到国家权力限制时,甚至在私法关系中,任何组织和个人不得基于意思自治、契约自由, 撼动人性尊严底线标准。因此,所有的信息处理行为,只要涉及个人信息权益限制,都应该在保障人格尊严的基础之上进行。尤其在授权处理的情形中,即使信息主体不顾人格尊严,要求授权处理者对其个人信息进行处理,仍然是目的不正当的处理行为,应做出否定评价,无需进行正当性审查。例如,实践中经授权处理他人隐私照、利用裸照实施的“裸贷”行为。
(二)个人信息“法定处理”中公益目的的积极审查
不同的信息处理类型,目的正当性审查基准不同。个人信息法定处理中,目的正当性审查基准的构建,必须有效甄别出真实处理目的,并在此基础上对其公益目的进行积极审查。
1. “法定处理”中公益目的甄别。按照《个人信息保护法》第 13条、35条规定,国家机关为履行法定职责或法定义务所必需,处理个人信息,无需取得个人同意。法定处理是法律赋予某种个人信息处理行为,即使不建立在自然人同意的基础上,仍然具有合法性。这种信息处理是法律基于公共利益对于信息人格权益的限制,其处理目的主要是用来满足公益目的。从目的甄别的作用来讲,通过甄别真实处理目的,确保公共机构处理行为依法而为。法定处理多为公共机构处理行为,具有公共性、法定性、垄断性、强制性等,只有甄别出处理行为所依据的真实目的,才可进一步确定真实处理目的是否具有充足的规范依据,进而判断目的是否具有正当性。从目的甄别考量的重点来看,法定处理并不以告知同意为必要前提,即使在个案中存在告知目的,也应该着重考量切实支配处理行为的真实目的。通过将处理中立法期待目的、告知目的、实际目的与具体处理行为相对比,来判定其真实目的。从目的甄别的方式来看,可通过反向验证方式,探究个案真实处理目的。具体来讲,结合处理者手段, 反向验证公共机构所实施的处理行为到底与哪一种处理目的相吻合。相吻合的目的即为真实处理目的。甄别真实处理目的是正当性审查基准构建的前提,是保障审查结果科学、客观的必要条件,只有有效甄别出真实处理目的,正当性审查才有意义。
2. “法定处理”中公益目的的积极审查。法定处理中,采取积极的目的正当性审查基准。审查中 ,应当积极验证所甄别出的真实处理目的是否符合法律、行政法规的明确规定。这一审查基准确立的原因在于,公共机构基于公共利益保障对信息人格权益限制的行为,应该受到法律保留原则的限制。根据《个人信息保护法》第 34、37条规定,法定处理主体多是国家机关、具有公共事务职能的组织,它们为了履行法定职责或法定义务之必需而实施处理行为。没有法律授权行政机关即不能合法地作出行政行为,宪法已将某些事项保留予以立法机关,须由立法机关以法律加以规定。因此,在法律保留原则之下,公共机构对于信息人格权益限制的行为,仅消极不抵触法律是不够的,还须有法律、法规的明文依据,应该是积极的依法处理信息的行为。反之,若处理目的仅是基于行政规章或效力较低的规范性文件,则是欠缺法律授权的不当处理目的,无法通过正当性审查。这一审查基准确立的目的在于,利用积极审查基准的确立,确保信息处理的权力依据,防止处理者借口公共利益过度限制个人信息权益。这一审查基准的具体操作中,要求审查者应当以积极的态度去主动追求、验证、查找真实的处理目的是否具备法律、法规明确授权,并以此来确定处理目的的正当性。
(三)个人信息“授权处理”中私益目的的消极审查
依据《民法典》第 993 条、第 1036 条第 1 款的规定,自然人有权许可他人使用其人格权客体。授权处理,是允许信息主体通过授权方式对其信息人格要素进行利用,从而实现信息利用的多元目的。授权个人信息处理中,目的正当性审查基准的构建,必须有效甄别出藏匿在层层告知目的之后的真实处理目的,并在此基础上对其进行私益目的的消极审查。
1.“授权处理”中私益目的甄别。从目的甄别的作用来看,通过甄别真实处理目的,可以矫正处理者与信息主体之间的实质不平等。实践中,经常出现复杂的处理主体,频繁要求信息主体做出同意表示,信息主体无法仔细审查便做出同意,使得同意流于形式。处理者单向的强势支配力,导致个体很难知晓真实的信息处理目的,更无法实际控制自己的信息被用于何处。审查中,通过对个案真实处理目的的甄别,可防止弱势方因信息不对称、认知能力有限而产生的对信息授权使用范围的误判, 进而矫正处理者与信息主体之间的实力悬殊。从目的甄别的考量重点来看,由于初始告知目的具有可变性和不确定性,并非一定是影响信息处理的最终目的,应该将考量的重点放在探究影响最终处理行为的真实目的。尤其是,应当重点考量这些真实目的中具有主导性、决定性的目的。从目的甄别的方式来看,针对实践中处理者真实目的的隐藏、多重目的叠加的情况,需要采取正向推定、反向推定、去伪存真的多元方式。正向推定针对处理者所明确告知的处理目的,还原处理者在乱象丛生、冗长晦涩的告知中藏匿的真实目的,进一步区分居于潜在主导地位的主要目的和附加目的。反向推定则是结合处理者所采取的手段来验证处理者的真正目的,即处理者所告知的目的是否可以通过其实际采取的处理行为实现,处理行为到底与哪一种处理目的相吻合。真实目的的成立,应该是经过正向、反向的相互推定后,所得到的一致结果。
2. “授权处理”中私益目的消极审查。授权处理中,采取消极的目的正当性审查基准。审查中,应当验证审查者处理目的是否在追求法律所不允许的目的。这一审查基准确立的目的在于,在尊重民事自治的基础上,协调、平衡信息保护与信息利用之间的关系,为信息商业利用提供合理空间。与法定处理不同,授权处理强调网络服务提供者、线下经营者等经济组织基于意思自治,自发实现个人信息的经济、商业利用需求,追求自身经济利益。虽然《个人信息保护法》第 13 条中并未列举基于经济利益的信息处理是属于合法处理的情形,但是,基于营利法人营业自由的基本权利以及数字经济发展的必要性来看,基于经济利益处理个人信息的行为是具有正当性的。通过消极审查基准,确保处理目的只要没有追求法律所不允许的目的即可通过审查,既有利于鼓励信息的合理利用,亦符合商事主体自由从事营利活动,非经法律规定不得限制的要求。这一审查基准的具体操作中,并不要求授权信息处理行为具备法律、法规的明确授权,但却需要审查者积极验证、确保其处理行为并未追求法律所不允许的目的。例如,在自愿的商业化基因预测中,对于自然人基因信息的处理目的进行审查时, 应当积极验证其真实目的是否在《生物安全法》《人类遗传资源管理条例》等规定所允许的范围之内, 来判断目的正当性。事实上,授权处理中个体所追逐的经济私益,最终会“化零为整”,结合成为社会信息经济利益与社会经济发展的公共利益,只是其与法定处理中所意欲实现的公共利益的性质与重要性有所不同。
处理目的是否可以通过正当性审查,与其所适用的审查基准并无关联。依据消极审查基准,处理目的不一定可以通过审查;依照积极审查基准这一更高门槛,处理目的却可能通过审查。在法定处理与授权处理中,区隔出不同标准的目的审查基准,事实上并不具备筛检功能,而是以粗疏过滤的方式尽量确保正当的处理目的通过审查。通过强化目的审查在个人信息处理中的地位,为后续必要性原则审查奠定基础。当处理目的无法通过正当性审查时,就无需进入下一个审查环节,后续审查就此中断。
三、个人信息处理中
目的—手段的关联性基准
针对个人信息处理中机会与风险并存的特点,立法者从规范层面确定信息处理的必要性原则,以引导处理者采取恰当手段实现处理目的。但是,个人信息属性复杂、表达形态多样,不同处理主体、处理行为、处理信息类型的必要性程度是否应当有所区分?若区分,该如何区分?
(一)个人信息处理手段的风险评估
风险是对目标的不确定性影响,这种影响可能是正面的也可能是反面的,正面的影响给我们带来机会与利益,反面的影响会给我们带来威胁与损失。针对信息处理中机会与风险并存的特点, 立法者通过必要性原则的确立,引导处理者采取恰当手段实现信息处理带来的利益,避免其带来的损失。风险越高,信息权益损害产生的概率越高,损害后果越严重。相应地,为降低信息处理风险,保障个体信息权益,处理目的—手段妥当性程度要求越高,手段达成目的的必要性要求也就越高。换言之,风险评估是必要性审查基准构建的“自变量”,是影响目的—手段妥当性这一“因变量”的主要因素,两者共同决定处理手段的采取应该达到何种必要程度。
个人信息处理中,风险具有不可预测性、损害不可逆性、持续效应长期性、辐射多利益群体等多个特点。这些风险到底应该如何评估?影响风险的要素很多,但其往往呈现出与风险后果相结合的特征。信息处理风险的评估计算,可通过处理后果的风险大小来计算。具体来讲,首先,个人信息性质决定其处理后果的风险大小。信息资料敏感性高低不同,资料处理对个体造成风险的大小也各异。《个人信息保护法》第 28 条第 1 款规定:“个人信息划分为敏感信息和一般信息分别进行风险评估。”两者区分理由在于:前者涉及极为重要的个人隐私权益,后者则更接近一般重要的个人信息权益。因此,处理敏感信息的风险要大于处理一般信息所产生的风险。其次,处理依据、目的决定其处理后果的风险大小。一般来讲,法定处理多基于公共利益的实现,依照法律、法规所确定的目的、权限、程序进行,加之其若能通过前述合法处理、目的正当性审查,一般风险较低。授权处理的情形则有所不同, 处理目的多基于经济利益,由于经营者“经济人”假设的理论,极可能通过个人信息的不当利用,实现其经济利益的最大化。因此,基于授权处理信息的风险高于基于法定处理信息的风险。最后,综合前述处理后果所涉风险大小进行排序。大致出现了四种风险由高到低的处理情形:授权处理的敏感信息,法定处理的敏感信息,授权处理的一般信息,及法定处理的一般信息。科学的目的—手段适合性审查,应该基于这些类型化处理情形基础之上,结合个案具体情形综合考量而形成。
通过将风险高低与妥当性审查基准勾连,进而形成能够灵活调整和弹性化把握的必要性审查基准。不同强度的必要性审查基准,既可避免处理者施加过于严苛的限制阻碍个人信息的常规流动,亦能防范信息滥用产生的社会秩序与人格利益损害。
(二)个人信息处理中目的—手段的适合性
1. 个人信息处理中目的—手段的严格关联。授权处理的敏感信息中,目的与手段之间应该形成最严格的关联程度。严格关联程度,要求处理者的手段应该是为实现告知目的而量身定做的,手段的实施必须是能够绝对、有效达成处理目的。这一审查基准确定的目的在于,通过设置特定目的与手段之间直接相关、完全一致的严格关联审查,防止因授权者与被授权者之间的信息不对称、强弱势地位悬殊而产生的信息主体意思自治虚置,防范敏感信息处理产生的不可逆风险。具体来讲,这种严格关联要求所采取的处理手段对于实现正当的处理目的,具有充分的确定性与尽然性。行为的实施完全是为了达到该目的,处理目的与处理手段之间应该呈现出严格一致的“镜像原则”,否则就背离了严格关联程度要求。例如,在常见的商业化基因疾病检测中,信息主体授权检测公司对其线粒体基因缺陷进行检测。该公司所实施的手段就应仅限于线粒体基因信息,若超出这一范围,对细胞核内染色体信息进行处理,就违反了目的—手段的严格关联程度。
2. 个人信息处理中目的—手段的实质关联。法定处理的敏感信息、授权处理的一般信息中,目的—手段之间应该形成实质关联。国家、公共机关在依法处理个人敏感信息时,经济组织在处理授权的一般信息时,目的—手段关联度低于授权使用的敏感信息,无需严格一致。但是,需要达到处理手段的选择实质上是追求处理目的的程度。也就是说,处理者虽然无法达到目的—手段的完全一致,但对所采取的处理行为能够达成处理目的可以提供合理的理由。当然,对于法定处理的敏感信息和授权使用的一般信息,二者目的—手段关联度是否应该区分,以及应该如何区分是审查中无法回避的问题。虽为法定处理,但毕竟是敏感信息。虽为一般信息,但毕竟是基于“弱势方”的授权使用。若设 置完全相同的关联度,审查似有不妥。“如果我们打算检验一个积极行为、一个行为克制或一个违法事件的真实趋向,‘是否普遍’是可以经常采取的一个标准。”因此,在具体审查过程中,对于前述两类处理行为可以在实质相关的关联程度上,进一步结合具体情况区分合理关联度。例如,可假设法定处理的敏感信息或者授权处理的一般信息个案中,对于该案所匹配的关联度,若时常适用具有普遍的性质,将会对社会产生何种效果,来进一步判定、区分两种处理类型目的—手段关联度之间的差别。
3. 个人信息处理中目的—手段的宽松关联。法定处理的一般信息中,目的与手段之间应该形成最为宽松的关联程度。在这一处理类型中,审查者对于处理行为达成处理目的给予较高的尊重,仅仅在其根本无法设想任何理由可以支持处理手段时,才可认定其无合理关联性。法定处理多源于国家、公共机构的法定义务,基于公共利益维护或信息主体自身利益维护这一更强理由。一般信息多为已经公开、敏感度较低或是不太涉及个人隐私的信息。经过前述目的正当性的积极审查之后,其产生的风险一般较低。采取宽松的目的—手段关联度,可以确保国家、公共机构的法定职责履行,助力其高效管理社会;能够保障信息主体对已经公布或者不涉及隐私、“无伤大雅”的个人信息的流通、利用, 从而发挥个人信息的数据经济效用。例如,实践中,公安机关为预防网络诈骗,开发“金钟罩”反诈系 统,要求公民注册时提供年龄、性别、出生日期、手机号等一般个人信息。
手段的妥当性是必要性的前提,只有确定了处理行为对于目的达成是妥当的,才可进而讨论其是否必要。不同的信息处理行为通过适合性检验之后,再进一步检视其所采取的手段是否是达成处理目的所必须的。
(三)个人信息处理中目的—手段的必要性
风险评估(X 轴)与目的—手段关联度(Y 轴)两组变数共同构成个人信息目的—手段必要性审查基准。它们之间呈现共同增高或共同降低的正相关关系,共同决定审查者确定不同强度的必要性审查基准。
1. 个人信息处理中目的—手段绝对最小审查基准。在授权处理敏感信息时,信息处理的风险最高,手段与目的之间必须严格相关,进而两者共同构成目的与手段之间必要性审查的绝对最小基准。这一审查基准中,审查者需确定处理者所采取的手段,是对于信息主体权益绝对最小限制的手段。如图 1所示,X轴授权处理敏感信息标点以右,Y轴严格关联标点以上,目的—手段通过严格关联程度审查,是绝对最小审查基准的适用范围。这一审查基准确立的目的在于,通过在授权处理敏感信息时, 设立最为严苛的绝对最小侵害审查基准,从而确保信息主体隐私权的最大化保护。这一审查基准的具体操作,应该通过所采取的处理手段与其他可能采取的“替代手段”可能发生的侵害强度进行对比检验而进行。并且,依据不同强度的必要性基准,课以处理者与信息主体不同的举证责任。具体来讲, 在授权处理敏感信息中,目的—手段绝对最小审查基准要求处理者所采取的处理手段,并无相同有效的替代手段可以达成处理目的。处理者所采取的手段是唯一的,且无其他选择的。在这种情况下,处理者被课以最为严厉的举证责任,即在信息主体释明处理行为侵害其信息权益之后,举证责任应当全部转移至处理者。处理者应举证,处理行为所采取之手段对于主体信息权益的限制是绝对最小的。
图1 个人信息处理中
目的—手段关联性基准
2. 个人信息处理中目的—手段接近最小审查基准。在法定处理的敏感信息、授权处理的一般信息中,信息处理类型多会产生中等风险,目的—手段之间需达成实质相关程度,进而两者共同构成目的与手段必要性的接近最小审查基准。针对此类信息处理的风险和特性,其手段对于信息权益的限制强度,低于前述绝对最小的审查基准,高于后文相对最小审查基准。如图 1所示,X轴法定处理的敏感与授权处理的一般信息标点以右,Y轴实质关联标点以上可以通过接近最小审查基准,但是无法达到绝对最小审查基准,是接近最小审查基准的适用范围。具体来讲,在这一审查基准的具体操作中, 审查者应当着重考虑,为实现相同的处理目的,有无其他同样有效的处理行为可以达成该目的?处理者是否在其中选择了对个人信息权益损害接近最小的手段?换言之,能够同样达成处理目的的手段应有多个,处理者所选择的手段虽不是信息权益的最小限制,但是接近最小。在这种情况下,处理者应当举证,多个同样有效的处理手段中,其所采取的手段虽然无法达到个体信息权益的最小限制,但是却接近最小。
3. 个人信息处理中目的—手段相对最小审查基准。在法定处理的一般信息中,信息处理类型风险最低,目的—手段之间达成宽松相关程度即可,进而两者共同构成目的—手段之间必要性审查的相对最小基准。针对此类信息处理的低风险、追求公共利益的特性,其手段对于信息权益的限制强度, 是所有信息处理类型中要求最低的。如图 1 所示,X 轴法定处理的一般信息标点以左与 Y 轴宽松关联标点以下的区域为相对最小审查的情形;X轴法定处理的敏感信息与授权处理的一般信息标点以左和 Y 轴实质关联标点以下所构成的区域,能够通过相对最小审查标准,但无法通过接近最小审查, 依然适用相对最小审查标准。在相对最小审查基准中,审查者无需究问处理手段是否是对于信息主体权益限制最少的替代手段,而仅仅需要确保所采取的手段,相对其他替代手段而言,达到相对较小限制信息权益的程度。具体来讲,处理中有多种手段可实现同一处理目的,处理者所选择的手段,在诸多手段中可以达到对信息权益的相对较小限制标准。在这种情况下,处理者并不承担举证责任。相反,信息权益人应当负责举证,法定处理一般信息时,处理者的手段与目的之间关联不大,无法达到宽松关联的程度,或者其所采取的手段较之其他替代手段所产生的权益限制并非相对较小,无法通过相对较小的必要性审查。
依据处理类型的风险评估结果和处理目的—手段关联度两组变数,共同构成个人信息处理中目的—手段的三重必要性审查基准。只有通过必要性审查的处理行为才可进入均衡性审查环节。
四、个人信息处理中的
损益均衡性基准
必要性原则仅具有“门槛”作用——通过或者不通过,而均衡性原则是借助损益权衡,发挥调和 作用,进行实质审查。这一原则通过法益衡量的方式,利用价值判断,确定信息处理目的是值得追求的,继而再次肯定该处理手段是应该被采取的。
(一)个人信息处理中的利益铺陈与解构
1. 个人信息处理中的利益铺陈。个人信息处理中的利益权衡和取舍,须立基于个人信息制度所存在的法体系,根据现行法律规范,划分重要性不同的信息利益类型,再进行价值轻重的对比和判断。动态体系的诸规范只能由某个更高规范授权创造规范的个人通过意志行为而被创造出来。因此, 依据动态规范体系理论,只针对个人信息保护相关的 9部立法,寻找潜藏于个人信息制度背后的利益。从基本法规定来讲,《民法典》确立了个人隐私信息利益、个人一般信息利益;《刑法》通过设置侵犯公民个人信息罪,确定了保护公民个人信息自决权以及社会交往利益。从特别法规定来讲,《个人信息保护法》将个人信息权益放置于其所保护利益的首位,并在此基础上确定了信息合理利用的利益;《网络安全法》《数据安全法》确定了网络主权与安全利益、国家安全与数据安全利益、数据开发利益等;《电子商务法》确定了电子商务经营者经营、经济利益;《消费者权益保护法》《未成年人保护法》《传染病防治法》则确定了消费者、未成年人、传染病患者等特殊群体信息利益的特别保护。
2. 个人信息处理中的利益解构。个人信息保护制度以《民法》《刑法》两部基本法为原则法,确立了个人信息利益、社会交往利益为着重保护的核心利益。同时,该制度又因人、因事、因信息类型, 对一些特殊利益进行了不同的特殊保护。从个人利益角度来看,制度呈现出以个人信息保护(包括敏感信息利益、一般信息利益)为中心,向下枝分为消费者、未成年人、患者等特殊群体信息利益保护。详细来讲,个人信息利益中更靠近个人隐私的敏感信息利益是核心中的核心,较之一般个人信息利益分量更重。此外,利益考量中,还需关注信息处理是否涉及特殊群体信息,以确保规范中所涉及的特殊群体利益得到保障。从公共利益角度来看,呈现出以社会交往公共利益保护为中心,向下分为消极的社会公共利益与积极的社会公共利益。这一划分标准,是根据规范所确定的公共利益是为了积极实现其需要,还是消极防御其受损所需。消极社会公共利益保护主要是基于安全价值考量来进行利益的确认与保护,概括来讲,主要涉及信息与数据主权利益、监管利益。积极公共利益保护,则主要是基于社会发展的价值考量来进行利益的确认保护,其主要包括政府数据开发、利用利益与企业数据开发、利用利益。对比来看,消极公共利益与积极公共利益保护的紧迫性、重要性程度不同,两者保护不足产生的损害后果与损失也不相同。消极公共利益保护的重要性明显高于积极公共利益。
利益的类型与重要性程度深刻影响着利益衡量的结果,信息处理目的—手段的均衡性判断中,越核心的个人利益所需要的公共利益的重要性和迫切性就越高,反之亦然。
(二)个人一般信息处理中的价值协调
1. 个人一般信息处理中损益均衡的宽松基准。信息处理中的损益衡量,首先应考虑受侵害的信息人格利益在价值秩序中的重要性。虽然一般个人信息权益与敏感信息权益都属于同一权利种属, 但是敏感信息更接近人格利益,属于最为重要、独立的隐私范畴。所以,对于上述两种信息处理所限制的同一信息人格利益发生了位阶分层。基于此种位阶分层,相对于敏感信息而言,处理一般信息所产生的利益限制与公共利益的受益之间呈现更为宽松的均衡性。换言之,处理者采取手段所造成的损害同其所要促成的公共利益之间,没有明显的不成比例即可。这种宽松的合比例基准,遵循限制权利越严重所意欲实现目的公益性越迫切(重要)的原理。具体操作中,审查者需立足于个案情况, 将对一般信息利益侵害所产生的损失放置天平的一端,再将处理目的所意欲实现的利益放置天平的另一端,考量两者之间是否出现明显的不平衡状态。具体来讲,为了使衡量结果更为客观、准确,针对影响审查结果中“损”与“益”的具体因素,对其分别赋值利益系数区间,再依据个案具体事实的重要 程度,选取区间中的不同利益系数。最后,利用成本与收益理论进行计算,权衡两者是否出现明显不合比例的情况。
2. 个人一般信息处理中损益均衡中“损”的计算。对于“损失”的计算,不但需要考量一般信息人格权益位阶本身,还需考量对其限制的严重程度。信息权益位阶越高,信息权益限制越严重,利益系数越高,损失越大。从权益位阶来看,个人一般信息较之敏感信息权益重要性更低,风险性更低。故而,相对于敏感信息权益其利益系数较低。从权益限制的严重程度来看,应该考量处理行为是否涉及特殊群体信息利益,限制信息利益涉及人数多寡,具体处理手段实施后所产生的权益受限样态,信息权益限制持续时间长度,及处理中是否采取必要的信息保护措施等因素。为提高可操作性,可利用动态赋值的方法,将信息权益位阶和信息权益限制的严重程度均设置为 1 至 2 的利益区间。通过结合个案事实,选择赋值区间中合理的利益系数。举例来讲,若信息处理中涉及姓名的利用选择较低利益系数 1,而涉及身份证号等更为重要的信息则要选择利益系数 2,信息越重要,利益系数选择越高。若不涉及特殊群体利益,选择利益系数 1,反之则选择利益系数 2;若涉及人数较少则选择利益系数 1,人数较多则选择利益系数 2;若涉及收集、存储、传输、删除等轻微信息权益受限样态,则选择利益系数 1,若涉及公开、使用受限样态较重的手段则选择较高利益系数 2;若限制时间较短选择利益系数 1,反之则选择利益系数 2;若采取必要保护措施,选择利益系数 1,反之则选择利益系数 2。损失的利益系数选择完毕后,将其相乘,就是最终的“损失”利益。
3. 个人一般信息处理中损益均衡中“益”的计算。目的所追求的公共利益“获益”,不但需要计算公共利益的重要性,还需考量公共利益保护的紧迫程度。首先,从公共利益的重要性角度来看,数据主权、安全、监管利益涉及国家主权和安全,是应该得到社会共同体绝对保护的、最为重要的公共利益;政府数据开发利益是政府基于社会、市场经济发展等政策目的所产生的,是一种直接但需要相对保护的重要公共利益;企业数据开发利用利益是一种应当保护的合法利益,但是其本质是一种间接的公共利益,较之前述公共利益重要性最低。其次,从公共利益保护的迫切性角度来看,应当考量若不采取信息处理措施,所要维护的公共利益可能被损害的严重程度以及损害可能发生的概率。具体来讲,需要考量若不采取处理手段,可能会出现公共利益的严重损害还是一般损害;若不采取处理手段,发生高概率或低概率的公共利益损害。利用动态赋值方法,将公共利益的重要性和其保护的紧迫程度均设置为 1至 2的利益区间,结合个案事实,在赋值区间中选择合理利益系数。举例来讲,若限制手段涉及国家主权、安全,则选择 1至 2中最高的利益系数;若限制手段涉及政府数据开发,则选择 1 至 2 中的中位利益系数;以此类推,若限制手段涉及企业数据开发、利用,则选择最低利益系数。若不采取处理行为,对于公共利益产生一般损害则选取利益系数 1,严重损害则选择利益系数 2;若不采取处理行为,公共利益损害的概率较低则选取利益系数 1,反之则选择利益系数 2。个案利益系数选择完毕后,将所有利益系数相乘,就是最终可能的“获益”。
最终,将“损失”与“获益”利益系数结果进行比较,只要无明显的不均衡,达到相对、基本平衡状态即可。通过损益均衡的宽松基准设置,确保所追求的处理目的价值基本大于对个体权益的限制,鼓励处理者采用较为温和的手段限制个体信息权益实现公共利益。
(三)个人敏感信息处理中的价值协调
1. 个人敏感信息处理中损益均衡的严格基准。敏感信息处理手段所造成的损害与其所要实现的公共利益之间,应该呈现最为严苛的均衡性。敏感信息极为靠近个人隐私,是一种与公共利益、群体利益无关的个人信息。即使基于重要公共利益目的,也不应侵入应当受到绝对保护的人格利益区域。但是,隐私权并不禁止公开涉及公共利益或普遍利益事项。因此,《个人信息保护法》第 28 条第 2 款规定:“只有在具有特定的目的和充分的必要性……方可处理敏感个人信息。”换言之,只有基于特定目的、充分必要、严格保护措施才可以对其进行处理。具体来讲,基于敏感信息的高风险、泄露不可恢复、侵害结果严重特性,处理者仅在涉及数据主权、安全、监管利益等最为重要的公共利益或者信息权益人自身的生命健康、重大财产权益时,才可以对个体敏感信息权益进行限制。处理行为对于信息主体权益限制越严重,则所欲维护的公共利益就越重要、紧迫,处理敏感信息所产生的“损失”与公共利益的“获益”之间呈现最为严苛的均衡性。通过损益均衡的严格基准设置,保障所追求的处理目的价值绝对大于个体信息权益的限制,约束处理者采用最为谨慎的手段限制个体敏感信息权益,实现公共利益。
2. 个人敏感信息处理中损益均衡的计算。从限制敏感信息人格权益的“损失”来看,不但需要考量敏感信息权益处于核心权益位阶,还需要考虑对权益限制的严重程度。更为重要的是,依据敏感信息的重要性与泄露后的不可恢复性,应当将处理中是否采取合理的保护措施作为一种必要考量。举例来讲,对于敏感信息进行处理时直接选取利益系数区间中最高利益系数 2,涉及的特殊群体利益、人数、权益限制侵害样态、持续时间等均参照前述一般个人信息权益限制的利益系数选取。最为不同的是,基于敏感信息处理应当采取必要保护措施的基本要求,处理者若未采取,无论所要实现的目的有多重要,均无法实现均衡。从目的所追求的“获益”来看,依据个案中公益目的重要程度,在 1 至 2 利益系数中进行选择,公共利益越重要,选择系数越高。若不采取处理手段,会产生公共利益的严重损害则选取更高的利益系数,一般损害则选择低者;若不采取处理手段,可能产生高概率的公共利益损害则选取更高的利益系数,低概率损害则选择低者。若为了实现信息权益人自身的生命健康、重大财产利益保护,同样将这些因素赋值 1 至 2的利益区间。采取的信息处理目的越有利于权益人自身的生命健康,则选取的利益系数越高;涉及的财产利益越重大,选取的利益系数越高,反之亦然。最后, 将“损失”一端的利益系数乘积结果与“获益”一端的利益系数乘积结果进行比较,达到极为严格的均衡性水平才可以通过均衡性审查。
损益均衡性审查更倾向于利益衡量的立场,再次确认所追求的处理目的是不是有价值。在不同的信息类型中,利用“损”“益”的计算,设置宽松或严格的均衡性审查基准,实现个人信息的保护与合理利用。
五、结语
通过在个人信息处理中构建类型化的比例原则审查基准体系,对于具体的信息处理行为进行检验,可以划定合比例限制信息主体权益的界限,增加处理原则的适用理性。高度、严格的审查未必导致处理行为不能通过审查,宽松、合理的审查也未必都可以通过审查。审查基准与审查结论之间并无必然关系。影响审查基准选择的变项可能还很多,不同审查环节匹配的审查基准理论,只为提高审查者解释论理的可预见性。
往期文章:
侯欣一:雷经天与人民司法制度关系研究——以陕甘宁边区高等法院为中心
毛乃纯:集体决议中不作为竞合时因果关系的认定——以存在过剩投票的场合为中心