查看原文
其他

高富平:个人信息使用的合法性基础

高富平 上海市法学会 东方法学 2021-09-21

高富平  华东政法大学法律学院教授。



内容摘要

根据现行我国个人信息相关立法,知情同意是个人信息收集和使用的普遍前提。通过对个人信息需要保护的利益分析,我们发现,个人信息上不仅附着了信息主体的人格尊严和自由利益,个人信息使用者的利益和公共利益也是个人信息法律制度需要保护的重要利益。基于此,本文认为,知情同意不是且不应成为个人信息处理的唯一合法性基础,在个人信息保护法制定中应首先明确个人信息上的利益,然后根据个人信息上的利益之间的平衡建构个人信息使用的使用规则,建立多元的合法性基础。

关键词:个人信息  知情同意  合法性基础  个人信息保护法


//

一、引言:我国个人信息使用规范
//

个人信息是社会交往、社会治理的工具,也是数据经济时代的资源。因此,规范个人信息使用行为,保护个人权利,促进个人信息的使用成为个人信息保护法的重要使命。在个人信息保护法中,往往以个人信息处理来涵盖个人信息收集、使用、流通、删除、销毁等行为,处理关于个人的信息所依据的正当的法律理由,被称为个人信息处理的合法性基础。


2012年12月28日全国人民代表大会常务委员会通过的《关于加强网络信息保护的决定》(以下简称:《决定》)首次在法律层面将信息主体的“同意”作为我国个人信息处理的合法性基础。

紧随其后,2013年修订的《中华人民共和国消费者权益保护法》(以下简称:《消费者权益保护法》)和2016年颁布的《中华人民共和国网络安全法》(以下简称:《网络安全法》)进一步将“同意”之合法性基础延伸至消费者保护和网络安全领域,基本覆盖了与个人有关的绝大多数生活场景的个人数据处理。

至此,同意成为我国个人信息处理最为重要的合法性基础之一。


无论是《决定》,还是《消费者权益保护法》《网络安全法》中有关个人信息处理的规定,都主要是基于数字时代背景下个人信息收集、使用的场景,从保护个人信息上的个人利益的角度出发确立的规则。《决定》颁布以前,有关个人信息的法律规则主要集中于规制个人信息的公开或泄露所导致对个人权益的损害。如《统计法》第25条规定:“统计调查中获得的能够识别或者推断单个统计调查对象身份的资料,任何单位和个人不得对外提供、泄露,不得用于统计以外的目的。”这导致《最高人民法院关于审理网络侵权民事案件若干问题的规定》(以下简称:《审理网络侵权案件司法解释》)解释我国个人信息侵权的民事责任规则时也将自然人的个人隐私或其他个人信息的加害行为定位于公开,同时明确了例外情形。《决定》虽然着眼于规范网络服务提供者和其他企业事业单位在业务活动中收集、使用(处理行为的核心)公民个人电子信息的行为,但并未全面考虑个人信息合法使用的法律基础,后来的几部法律也没有突破。甚至《民法总则》也只是在第111条宣布“自然人的个人信息受法律保护”,并未就如何合法处理个人信息作出详细规定。

(图片来源于知识产权报)

由此可见,我国现行法律体系下的个人信息公开规则相对较为完善。但该等规则不能直接作为个人信息处理,尤其是个人信息收集、使用的合法性基础。在许多情形下,公开对个人权益是有害的,这种有害性不仅仅可能对个人尊严、自由,尤其隐私带来侵害,更重要的是给个人带来人身或财产安全风险。但是,个人信息的使用(比如,最为典型的个性特征分析)并不见得有害。这也就意味着,“同意”被错配到个人信息使用,几乎成为绝大多数场景下个人信息处理所依赖的合法性基础。


然而,随着数据处理技术的发展和互联网的不断普及,我国现行合法性基础立法模式遭遇了理论与现实的双重困境,知情同意规则之存废争议不止。笔者认为,关键不在于同意之存废,而在于立法上以同意为核心的个人信息处理合法性基础规则确已无法适应时代的发展和需求。事实上,作为个人信息处理最基础的同意规则,具有协调和平衡个人利益保护和信息利用的重要作用,仍然应当发挥应有的作用。但现行立法模式使得“同意”成为实践中个人信息处理首选的合法性基础,甚至成为个人信息处理的“避风港”。因此,本文立足于个人信息保护的宗旨,分析数据上存在的合法利益,以维护数据上的合法利益保护作为个人信息处理的正当性或合法性基础,以期厘清个人信息处理合法性基础之本旨,为正当在制定的个人信息保护法提供参考。//

二、个人信息上的利益识别
//

数据存储和计算领域的技术突破使得数据的价值被再次发现,数据因而被广泛运用于商业、公共管理、科研等各个方面,俨然成为了现代社会的重要资源。因此,较于以往而言,个人信息在现代社会中所附着的利益更加丰富。具体而言,个人信息保护领域中的利益涉及两个方面、三种利益,即个人信息本身所附着的信息主体的个人利益,以及与个人信息处理紧密结合的信息使用者(数据控制者)的利益和公共利益。

//(一)信息主体的利益:人格尊严与自由//

国际社会立法关于个人信息的定义并不完全统一,但均无一例外地强调个人信息的“可识别性”。

可识别性意味着个人信息一定指向特定信息主体(在欧洲立法中称为数据主体),能够反映特定信息主体的身份、状态、行为轨迹等;通过对个人信息的进一步分析,还可以反映出特定信息主体的个性特征等。

由此可见,个人信息是关于或指向个人的信息,或者与个人有联系的信息,甚至将个人信息视为主体(人)的组成部分,因而不能像对待客体(object)那样随意处理个人信息。

之所以对个人信息加以保护,就是因为信息上存在主体,需要对信息主体权利或主体利益加以保护。所谓的主体权利,是指人作为主体应得到尊重、应自主决定、平等对待(属于公民基本权利范围),在私法层面为个人人格利益。正是个人信息与主体的勾联性,要求任何人在处理个人信息(收集和使用)时尊重个人人格尊严和自由,防范个人信息处理对个人主体权益造成威胁和侵犯。个人人格尊严和自由的保护成为个人信息保护最重要的方面之一。

联合国1948年发布的《世界人权宣言》第12条被普遍视作保护个人信息的法律渊源。也就是说,个人信息保护源自于对个人私生活的尊重和个人事务自决(自由)原则。国际社会个人信息保护立法基本遵循该原则,只是欧洲立法强调人的尊严,而美国立法则强调个人自由(美国隐私权的基本含义)。

“人的尊严”源自于人应当被独立、平等、有尊严地对待的普世价值观。在法律上,我们往往将其具体化为特定法益,如“独立”“自由”“平等”。这些法益还会衍生出不同的表述,比如“人格独立和自由”也被表述为“个人自治”。个人自治是指“对人的行为能力(成熟的或未成熟的)的一种复杂假设,该能力确保人可以发展并且按照高层次的行动规划,即严以律己的目标,来选择自己的人生及生活方式。”个人自治蕴含着一个人能够自行做出决定并明确其内心意愿的能力,即个人行为自治,具体指个人能够在精神上自由地作出有意识的选择(内在自由),并且不受来自外界阻碍其自由独立地作出选择的限制。这就涉及到自治的两个方面——选择自由和行为自由。由此可见,独立、自治、自由相互关联,核心是个人意志自由。

人的尊严的另一重要内涵是“平等”。平等的基本含义是每个人被视为独立人格而同等对待。平等往往与不歧视联系在一起,平等和不歧视不仅是一项法律的基本原则还是人的一项基本权利。在国际法层面,平等主要强调不得因种族、肤色、性别、语言、宗教、民族等因素对公民进行区别对待;而在国内法层面,主要强调法律面前人人平等,确保人人能够平等地行使法律权利,防止公民在政治、经济、文化及生活各方面的权利受到歧视。

个人尊严、自由和平等被认为是人的基本价值,因而这些权利的保护被表述为人基本权利或人权。而个人信息是关于主体的,无论基于尊严,还是自由或自治,个人信息的处理都应当尊重个人的选择或意思,由此个人信息被认为是关系个人尊严或自由的,应当基于对人的基本权利保护,而保护个人信息。欧洲立法基本上延续了这样的传统,将个人信息保护作为基本人权来保护。如欧洲委员会1981年通过了世界上第一部有关个人信息保护的国际公约《个人数据自动化处理中的个人保护公约》(以下简称:《108公约》),第1条明确规定其目的在于保护个人权利和基本自由(尤其是隐私权)。甚至《欧盟基本人权宪章》第8条明确地将“个人数据保护权”作为一项独立的基本权利加以保护:“人人有权保护涉及自身的个人数据”。欧盟1995年《数据保护指令》及 2016年《统一数据保护条例》也都将保护自然人的基本权利和自由作为其立法基本宗旨。

在确定个人信息上主体权益保护时,我们必须注意法律术语的差异。个人信息上的主体权益是一个宽泛概念,不同国家或区域受法律传统的影响有不同的表达。在英美法系,尤其以美国为代表,一切与人有关的权益保护均落入“privacy”(隐私)范畴,因而个人信息保护也纳入隐私保护,被称为信息隐私。这样,在许多英文文献和法律文件中所讲到个人信息保护即等同于个人信息上的隐私利益保护。但是在欧洲,个人数据保护被视为对个人数据上基本权利(个人数据保护权)的保护,纳入基本权利保护法体系,而在该法律体系不直接保护隐私利益。在大陆法体系中,隐私基本上是私法上的人格利益范畴(在一些国家,被类型化为隐私权),至少包括私密生活信息不被擅自公开和个人生活空间不被侵扰两个方面。单就前者而言,个人数据保护与隐私保护存在交叉,因为越私密性的信息,越具有识别性,具有隐私利益的数据(隐私信息)落入个人数据范围。因此,个人数据保护法中也包括隐私保护,尤其是体现在使用个人数据不识别个人、不泄露或公开个人数据的规范上。可以说,个人数据保密和安全规范既保护宽泛的个人数据安全,也是保护个人数据中内涵的隐私安全。但是,总体上,欧洲的个人数据保护法,区分出了个人数据上的主体利益与隐私利益,分别在不同的法律体系下加以规范。对此详尽论证已超出本文目的,在此仅对二者的区别作简要列表如下。

从我国遵循大陆法传统的角度,我国宜采隐私与个人信息保护分立体制,而且《民法总则》在具体人格权(包括隐私权)之外规定个人信息受保护也充分证明了这一点。不过,这并不妨碍在个人信息保护法中对个人隐私利益加以保护,设置一些条款保护隐私,比如设置同意要件等。只是我国个人信息保护旨在保护个人信息哪些主体利益有待进一步明确。在这方面,笔者的建议是借鉴欧洲立法, 将个人主体利益限定在尊严、自由和平等一般人格利益上。本文对此不再赘述。//(二)信息使用者利益//

个人信息不仅关系个人权益,而且也关系他人的利益,包括自然人、法人和其他组织的利益。这是因为个人信息具有社会性、工具性、功能性。个人信息是社会交往和社会运行的必要工具或媒介。个人需要运用一些信息标识其为社会中的某个人,而社会也需要利用信息来识别某个特定个人。

首先,个人需要利用可以识别自己的符号,向社会推介、展示自己,需要利用它开展各种活动,将活动结果归属于其本人。在这一过程中,个人信息必然要被提供、披露,为其他主体所掌握。

其次,从社会的角度出发,社会也需要利用个人提供的个人信息和散落于各处的、可被搜集掌握到的有关个人信息来了解、判断某个人。前者是个人(信息主体)主动利用个人信息的过程,后者则是由社会主体(收集和使用个人数据的主体)对来源于个人的信息进行收集和使用。

在网络与数字化普及之前,个人也会不经意提供或披露一些信息在社会,但可再利用的数据较少。如今,无处不在的网络使我们时时处处不留下“蛛丝马迹”。随处可见的传感器、智能设备无时不记录下我们的行踪轨迹,因而大大增加了利用个人信息分析和识别个人的可能性。甚至,我们自己反而成为最不了解自己的人,而是这些收集我们信息的主体为我们作出了精准的个人画像(profile)。

由于个人信息是社会交往和社会运营的工具,因而在个人信息保护法框架下,任何主体(包括自然人、法人和其他组织)均可以是个人信息的使用者。一旦社会主体收集和使用个人信息就事实上控制个人信息,因而被称为数据控制者。我们保护数据控制者的利益就是保护控制者使用个人信息的利益,由于任何主体都需要使用个人信息,都可能成为数据控制者,因而对数据控制者利益的保护实质上是对社会利益的保护。

个人信息保护法律制度不仅要保护个人信息上个人的权益,同时也要保护个人信息的合法利用和流通,保护使用者利益,这是数据时代的趋势和要求。在我们强调要保护个人信息上个人权益时,我们必须要指明这一点。社会中的主体,包括个人、企业、政府或其他任何合法组织,均有权利用基于特定目的合法收集的个人信息服务与该目的相关的特定活动,或基于法律之规定,利用该信息从事其他行为,如依法定程序向侦查机关提供相关个人信息。个人信息使用者(数据控制者,二者等同使用),尤其是企业、政府和其他组织,在使用个人信息实现自身利益的同时,也会直接或间接增进社会福祉。因此,必须承认个人信息使用者合法利用个人信息的权利,我们不妨称之为个人信息使用者权益。个人信息使用者的合法权益因所从事合法活动所追求的利益又有所不同。

对于企业而言,个人信息是创新和营销的资源,构成其核心竞争力。个人信息是支撑个人性化服务、个性化定制、智能化制造等的基础,是垂直经济、平台经济、线上与线下融合经济等商业创新的灵魂。因而个人信息被视为竞争资源、企业的新资产。由此,企业产生了对个人信息收集、利用和流通的需求,这一需求的驱动力则在于企业实现其商业利益的追求。此外,企业依托个人信息实现其自身商业利益的同时,还有利于增进消费者的福祉,并对促进国家经济结构调整,增强综合国力具有重要作用。

对于政府机构而言,政府机构利用个人信息可以提升公共行政效率,改善公共服务,提升治理能力,实现精准服务、精准监管,建设智慧城市。个人信息越来越成为政府机构进行公共管理和公共服务的基础资源。政府机构在收集和使用公民个人信息时,其也是个人信息使用者。基于政府机构在性质和职能上的特殊性,政府机构作为个人信息使用者处理公民个人信息的目的可大致分为两类:第一,为实现法律所规定的职责或事务之目的,如为人口普查、刑事侦查所必要进行个人信息收集或使用;第二,非基于法定职责或事由,如为提供便民服务收集或使用个人信息。前者通常具有公共性,并基于法律明文规定而上升为公共利益;后者则并不具有公共性,基于后者的个人信息收集或使用所需遵循的规范应与企业为实现商业目的所进行的个人信息处理类似。个人信息很大程度上是诸多科研活动的基本素材。科学研究是人类社会发展进步的重要动力,尤其是高校、医院等非营利性机构所开展的科研活动。基于科研目的收集或使用公民个人信息(在不侵害个人权益的前提下进行)在实现科学研究者创新目的并给研究者带来经济利益的同时,也有利于推动科学技术进步和社会发展,进而增进国民乃至全人类福祉。这也是欧盟《通用数据保护条例》对“基于科学或历史研究目的、统计目的”的信息处理行为进行特别规定,并容忍降低对此类信息处理行为的要求的原因。因此,在面对社会整体利益时,个人信息保护的权利应当受到合理的限制。

促进和保障个人信息的使用是发展数字经济,释放数据红利的前提。所谓大数据“红利”,即特指给了人们分析特定对象(既包括人,也包括物、组织)行为(或轨迹)、属性、特征等的新能力,本质上就是个人信息给整个社会带来的红利。

因而,搭建个人信息保护制度应当建立在保障个人信息能够被社会化利用的基础之上;促进个人信息社会价值的实现,成为个人信息保护法的重要目的。

这里的社会利益即是通过个人信息为各个社会主体的使用而实现的,信息使用者在利用个人信息的过程促成了社会利益的实现。没有个人信息的使用,智能制造、个人性化定制等服务、普惠金融、人工智能产业应用等都不可能实现。个人信息应用所带来的科学进步、商业创新和经济发展即代表了个人信息的社会利益。

因此,信息使用者红利也是社会红利,对信息使用者利益的保护本质上是对社会整体利益的保护。

由此可见,在大数据背景下,信息使用者对于个人信息的收集、利用和流通具有正当性。因而,在法律层面上,尤其要注重个人信息使用者的利益保护问题。个人信息保护在保护信息主体人格尊严和自由的同时,还要促进和保护个人信息的合理收集、利用和流通,以实现个人信息在现代社会应有的价值。保障个人信息的合理利用和流通也被国际社会视为个人信息保护立法宗旨之一,欧盟2016年《通用数据保护条例》就将个人信息的自由流通作为与自然人权利保护同等重要的目标。//(三)公共利益//

公共利益是指不特定人可以享受的利益,也是社会公共秩序所维护的利益。终端设备、互联网的普及加上数据存储和运算技术的发展使得人类活动愈发趋向数字化,进而使得个人信息成为社会运行的基础资源。

因此,除个人信息使用者自身的利益外,个人信息收集、使用或流通行为还可能基于公共利益而发生。在遇到公共利益时,个人应当部分牺牲个人利益或让渡私权。

这主要体现在两个方面:

其一,在涉及公众知情权时,相关人员(包括公务员和其他公众人物)应当披露需要公开的个人信息,其个人隐私保护应当受到一定的限制。此时个人信息的披露、公开和使用是合理正当的,也应当为法律所支持。

其二,为了公共安全、公共秩序、社会治理等需要,政府在实施公共管理和执行法律时,可以不经个人同意收集、使用公民个人信息。在这种情形下,个人信息处理行为是实现公共管理的手段。

在公共管理领域,公安机关在公民申领身份证时收集公民必要身份信息属于典型的基于公共利益收集个人信息。根据《中华人民共和国身份证法》(以下简称《身份证法》),年满16周岁的中国公民具有申领身份证的义务。在申领身份证时,公安机关必须收集申领者的姓名、性别、民族、出生日期、常住户口所在地住址及指纹信息。身份证制度是国家维护个人利益和公共秩序的重要途径,具有明显的公共利益属性,且已经《身份证法》确认。又如,在刑事侦查阶段,侦查机关经批准后可实施相应的侦查技术措施以获取为侦查、起诉或审判所必要的信息。刑事侦查是国家打击违法犯罪行为,维护公共管理秩序的重要手段,同样具有公共利益属性。显然,基于办理身份证件或刑事侦查之目的收集或使用公民个人信息并非基于个人信息使用人自身的利益,相关工作人员仅是基于法律的规定履行其法定职责,其活动最终指向的均为公共利益。可见,公共利益也是个人信息保护领域所涉重要利益之一,公共利益的实现也要求个人信息保护制度促进和保护个人信息的收集、利用和流通。

记录个人信用状况的信息属于个人信息,但其具有强烈的公共性,是我国社会信用体系建设的重要组成部分。为了加快我国社会诚信体系,我国许多省市均建立了公共信用信息归集和使用制度,凡是行政机关、司法机关、法律法规授权的具有管理公共事务职能的组织以及公共企事业单位等,在其履行职责、提供服务过程中产生或者获取的,可用于识别自然人、法人和其他组织(以下统称:信息主体)信用状况的数据和资料,均可以不经个人信息主体的同意而收集并建设统一的平台,供社会查询使用。在这些公共信用信息中包括各种欠缴税款、行政处罚、乘车逃票、考试作弊等失信信息。公共信用信息的归集和使用充分体现了个人信息的公共利益属性。
总之,个人信息的价值和利益具有多元性。个人信息来源于或关于个人使其本身附着了信息主体的人格尊严和自由利益,个人信息所具有的社会价值又催生了信息使用者(包括个人、企业、公共机构等)的利益。此外,为实现公共利益所必要时,个人又必须让渡个人信息上其自身的部分或全部权利,以保障公共利益的实现。因而,个人信息具有个人价值、使用者利益(社会利益)和公共价值,个人信息承载着个人利益、社会利益和公共利益,个人信息的保护必须恰当考虑三重价值和利益的实现,才能构建合理正当的个人信息处理法律基础。

//

三、个人信息处理合法性基础的构建
//

个人信息承载的利益多元性决定了个人信息的使用就不完全是个人“说了算”,个人信息的使用规则应当是全面平衡个人利益、使用者利益和公共利益,使每种个人信息的使用行为具有法律上的正当性。为此,法律需要按照这样的基本原则区分个人信息的使用场景,构建多元的个人信息处理合法性基础规则,使每种个人信息的收集和使用都具有法律上的正当性。针对我国存在的问题,这里从同意是否应当作为一般规则和多元利益的具体化两个角度来论述我国个人信息使用合法性基础的构建。

//(一)同意不是且不应成为个人信息使用的一般规则//《消费者权益保护法》和《网络安全法》都将“知情同意”作为个人信息收集、使用的必要条件。据此,一般情况下,经营者或网络运营者处理个人信息必须获得消费者或被收集者的同意。这样的立法逻辑近乎使得“同意”成为了我国个人信息使用的一般规则。同意规则的一般化的法律效果是,个人信息的使用由个人决定,个人信息成为由个人支配的客体,形成所谓的个人信息支配权。在实践中,同意被作为企业收集和使用个人信息的法律依据,成为判断个人信息使用违法性的唯一依据。但是,从实然上言,同意并非我国个人信息处理的唯一合法性基础;同时,也不应将同意作为个人信息处理的必要要件。我国目前并未制定统一的个人信息保护法,有关个人信息保护的规定散见于各领域的部门法中。全国人大的《决定》《消费者权益保护法》及《网络安全法》是新时期对个人信息处理作出的新规定,备受社会关注。诚然,这些新规定对个人信息处理实务操作具有决定性的意义。但过分的关注使得我们忽视了我国个人信息处理合法性基础规则的全貌。实际上,上文所述《身份证法》《刑事诉讼法》相关规定,以及《统计法》第6条、第7条均可作为个人信息处理的合法性基础。只是此前的一系列立法主要侧重于公权力机关收集、使用公民个人信息的行为,私领域的个人信息收集、使用的规范未得到充分重视。在私领域的个人信息处理行为只能遵循《消费者权益保护法》和《网络安全法》的规定,同意则成了私领域个人信息处理的一般规则。在取得个人信息主体同意的情况下收集、使用其个人信息固然具有法律依据(具有法律上的正当性),但不应将同意规定为私领域个人信息处理的必要要件(不具有实质上正当性),具体理由如下:1.知情同意作为个人信息处理的必要条件使得个人信息上所涉社会价值严重失衡个人信息上的利益不仅包括个人的人格尊严和自由利益,还包括使用者的利益及公共利益。个人信息保护规则立法必须充分考量这三种利益的实现和平衡, 一方面保护个人利益,避免不法信息收集或利用行为对个人造成侵害;另一方面,也需要保障个人信息的合法收集和使用行为,以维护使用者的合法利益,促进公共利益的实现。将信息主体的同意作为个人信息处理的合法性基础主要是为了实现对个人信息上个人利益的保护。一般认为个人是自身利益最佳的守护者,且个人对自身利益具有自决权;在不侵害他人和国家利益的情况下,经过信息主体同意的个人信息处理行为具有正当性。因此,笔者认可信息主体的同意属于一种适格的个人信息处理合法性基础。但将同意作为私领域所有个人信息处理的必要要件,则会阻碍个人信息的社会化利用,使得使用者的利益和公共利益受损。

对于个人信息使用者而言,尤其是以数据为依托开展活动的公司,其日常运营中存在大量的个人信息收集、使用行为,如果基于每一个目的开展的每一次信息收集或使用行为均需征得信息主体的同意,将会对其造成不合理的运营负担。因此,个人信息使用者为了实现合规与降低成本的平衡,通常会采取“默示同意”模式规避风险或事先拟定格式合同以要求信息主体作出同意。无论是默示同意模式还是格式合同模式,都会使得同意沦为形式,徒增使用者负担,且无法实现个人利益的有效保护。对此,笔者将在下文详述。从公共利益角度言,在某些特定情形下,如发生自然灾害需要进行救援时, 为了救援使用个人信息如需征得信息主体同意,既不现实,也会导致社会公益受损。此外,为了科学研究目的处理个人信息,其活动本身具有增进全民福祉的功能,在对个人信息采取必要保障措施的情况下,仍要求使用者征得信息主体的同意并无实益。尤其是在科研活动需要海量的个人信息时,征得同意成本过高,个人信息保护规则可能成为科研活动的障碍。2.知情同意难以实现个人利益的有效保护在传统社交领域,知情同意依旧是一个有效且必要的合法性基础。尤其是在信息主体主动披露个人信息的场景下,知情同意成为个人信息的接受方(信息收集者)保有或使用该个人信息的依据。但网络和信息技术对知情同意模式造成了巨大的冲击,使同意对个人利益保护的有效性大幅降低。国内学者也已对知情同意的有效性作出了较为全面的反思和批判,主要包括:多数情况下,信息主体处于弱势地位,不提供个人信息则无法使用相对方的产品或服务,最终导致信息主体并非基于自由意志作出同意;其次,信息主体无法实际控制自己的信息被用于何种目的,也无法控制个人信息的流通,实质上对已提供的信息无控制力;最后,在知情同意模式下,信息收集者频繁要求信息主体作出同意表示,由此导致信息主体并不会仔细审查便作出同意,使得同意流于形式。

可见,将同意作为个人信息收集和使用的必要条件,过度强调了个人信息上的个人权利保护,而忽视了社会和公共利益的实现,而且事实上,同意也不能给个人以有效的保护。因此,个人信息法律制度有必要探寻其他有效的规制模式,以增强对个人利益保护的有效性,并实现个人利益、信息使用者利益和公共利益的平衡。

//(二)多元合法性基础的构建//个人信息保护涉及三种不同的利益,具有多样性,因而,个人信息保护总体上三种利益相互平衡的制度安排。也就是,个人信息保护并不是给予个人单一的私权利(如个人信息权),而应在多元利益平衡下构建行为规范。这也是欧洲的个人数据保护立法一开始就确定的保护模式。欧洲委员会在制定和发布《108公约》时,就将个人数据保护定位于对个人权利的保护(作为基本权利保护),而不是保护个人数据本身,同时用个人数据处理的“合法性”基础或原则作为个人数据使用(处理)的法律依据,而不是单一的个人决定权。2012年《108公约》修订之际,修订专家委员会曾向公众发布有关《公约》的公开征询函,《计算机法与安全评论》期刊联合国际IT 律师协会等机构,组织了几位有影响力的专家,代表学术界对《公约》修订提出基本看法。针对《公约》是否应当对数据保护和隐私权有一个定义问题,专家们回答:“不需要”。他们认为“在数据保护公约中试图界定隐私权是没有用的。因为隐私权本身是在不同的场景有不同表现方式的一组权益(asetofinterests),有时需要与其他权益进行平衡。将其表达为一组宽泛的原则更适当。存在其他公约(如《欧洲人权公约》等)和判例来解释它,采用宽泛的隐私保护表述是适当的,这样可以运用不同机制来实现保护。

欧盟为贯彻实施《108公约》,在《数据保护指令》(1995年)以及替代该指令《统一数据保护条例》(GDPR)中一直坚持将个人数据处理的合法性原则作为个人数据处理的法律依据,而且不是个人的同意。虽然同意被作为合法性基础之一,但在欧盟的个人数据权利体系中始终没有将同意上升为一种个人权利。《统一数据保护条例》(GDPR)鉴于条款第4条明确阐明个人数据保护不宜作为一种个人绝对权力,即“个人数据的处理应当为人类服务。保护个人数据的权利不是绝对权,必须根据比例原则,考虑其在社会中的作用,并与其他的基本权利相较权衡。本条例尊重所有基本权利,并且遵守《宪章》所承认的载于《条约》中的自由和原则,特别是尊重私人和家庭生活、家庭和通讯、个人数据的保护、思想自由、道德和宗教自由、表达和信息自由、开展生意的自由、有效救济和公平审判的权利,以及文化、宗教和语言的多样性。”显然,这说明保护个人数据的权利不是绝对的,而应与其他权利进行权衡。正因为如此,GDPR通过繁杂规范体系实现对个人权利的保护,即个人数据的使用规则由一般个人信息的合法性处理规则和特殊个人数据或特殊处理行为的例外规则、个人数据主体权利和个人数据控制者义务组成,并在此基础上建立了以行政执法为主并配以司法保障的保护体系。我国在移植域外个人信息或个人数据保护制度时存在简单化处理问题,不仅将域外的多元的合法性基础简化为知情同意,而且多将之解释为个人的权利,认为个人信息的同意就是个人授权或许可使用个人信息。虽然现行的法律中还须遵循必要性原则、依法或依约定使用,但均缺乏可操作或执行性,导致是否同意成为个人信息是否违法的唯一判断标准。显然,这样简单化处理看似强化了个人对个人信息控制,偏重个人权益的保护,事实上不仅不能有效地保护个人权利,而且使个人信息的使用者面临法律上的不确定性(许多情形下难以取得同意,面临行政或刑事责任风险)、增加不必要的合规成本(许多情形下不需要同意,但为合规要进行同意,影响到效率,增加了运营成本),甚至导致执法机构的选择性执法或事件推动执法,而不能或无法做法严格依法执法。


我国个人信息保护和利用面临这些问题的出现,根源于我们没有正视个人信息上存在的多元利益,在平衡多元利益的前提下建立个人信息使用的规则。在今后制定个人信息保护法过程中,我们需要首先明确个人信息上的利益体系,协调平衡其关系,才能建立正当的个人信息使用规则。笔者认为,个人的尊严和自由利益的保护是基本目的,但要协调整保护个人信息控制者的使用利益和公共利益。

1.信息主体人格尊严和自由利益与信息主体的其他利益个人信息处理一般都是基于信息使用者自身之商业目的或实现公共利益之目的;但不排除在某些情况下,信息使用者基于保护信息主体的利益(除人格尊严和自由)之目的处理个人信息。在后者的情况下,我们则需要衡量信息主体人格尊严和自由利益与信息主体的其他利益。一般而言,当信息主体其他利益优于信息主体人格尊严和自由利益时,信息使用者的个人信息处理行为则具有正当性,可直接实施个人信息处理而无需征得信息主体的同意。反之,信息使用者则不能自主决定进行个人信息处理操作,除非存在其他正当性。那么,何种利益优于人格尊严和自由?人格尊严和自由是国际社会公认的人的基本权利,同样地,生命权、生存权、平等权、财产权等也属于基本人权的范畴。在具体个案语境中,各基本人权之间的位阶存在不确定性,但不可否认的是,从整体上而言,生命权是人权法律保障的基点,居于首要地位。因此, 笔者认为法律至少可以确定当信息使用者基于保护与生命相关的重要利益对其个人信息进行处理时具有正当性,无需经过信息主体的同意。例如,当需要救助于昏迷或走失老人时,可以设法获取或利用个人信息向其亲属或有关部门报告。在最新发布的《信息安全技术个人信息安全规范》第5.4条(d)项对此作了明确规范。例如,在自动驾驶的情形下,行驶中汽车获取周边行人或其物体信息,即是关系生命和财产安全,又很难得到本人同意的情形。当然,何谓“重大合法利益”需要严格解释,避免滥用该规则,侵害个人权益。2.信息主体人格尊严和自由利益与信息使用者利益在个人信息保护领域,信息使用者基于自身利益收集、利用和流通个人信息是导致信息主体人格尊严和自由受到威胁和侵犯的最直接原因。从逻辑上言,该二者之间存在一定的矛盾性。但是,如前所述,个人信息上不仅附着了个人利益,个人信息使用者的利益也不容忽视,承认个人信息使用者处理个人信息的正当性是实现个人信息的社会价值的必然选择。个人信息保护制度不能扼杀了个人信息的合理收集、利用和流通,法律必须在两者之间寻求一个平衡点。我国现行的个人信息保护规则采用的是单一的知情同意模式。该模式理想化地认为信息主体可以有效地自我管理其个人信息,从而维护信息主体自己的利益。该模式显然无法适应现代社会的发展,无法实现个人信息上个人人格尊严和自由利益的有效保护。笔者认为,在知情同意有效性难以保障的数字化时代,法律不妨承认信息使用者基于自身合法利益进行的信息处理具有正当性,使信息使用者的合法利益成为个人信息处理的合法性基础之一。也即当信息使用者对某个人信息处理操作具有合法利益时,其可以不经信息主体的同意,直接收集、利用相关个人信息。

(图片来源于知识产权报)

但这并不意味着,信息使用者具有任何合法利益都可以直接进行个人信息处理,信息使用者仍然需要尊重信息主体的权益,这种尊重主要表现为履行相应的告知义务,让其知情。事实上,OECD在1980年提出的个人信息使用的八项原则中,对于个人信息收集原则是采取的是知情或同意原则(不是知情同意原则),且强调“情形允许时”。按照该原则,知情或同意都是收集个人信息的合法性基础,知情并不一定需要同意,让主体知晓也是对主体权益的尊重或保护。这样的规则可以很好地平衡个人信息主体和信息使用者利益,让信息使用者可以方便地获取信息,同时使信息主体有机会拒绝或反对之后使用人侵害其权益的滥用行为(知情是行使拒绝权前提条件)。

个人信息上存在需要保护的主体利益,也具有社会利益,承认信息使用者的利益即是为了实现个人信息的社会价值。但是,保护社会利益或使用者利益不能以牺牲个人利益为代价,信息使用者的合法利益应满足一定的条件,使个人信息的使用具有正当性。笔者认为,信息使用者的合法利益至少应满足如下三个条件:

第一,信息使用者的利益本身要具有合法性、现时性和特定性。合法性要求信息使用者所追求的利益合乎现行法律的规定,不得以非法目的开展个人信息处理。现时性要求信息使用者所追求的利益必须是服务于当下或即将发生的事宜,而未来可能的利益则是不适格的。特定性要求信息使用者的利益必须是具体的,不能过于宽泛或模糊。要求信息使用者的合法利益具有现时性和特定性是为了使该利益具有确定性,从而得以评估基于该合法利益进行的个人信息处理活动会对信息主体的人格尊严和自由造成何种和多大程度的威胁或侵害,进而衡量两者孰先孰后。

第二,对于信息主体的人格尊严和自由利益,信息使用者的利益具有相对优先性。单纯具备合法的、现实的和特定的合法利益并不足以使个人信息处理具有正当性,信息使用者还须确保其合法利益具有相对优先性。当个人权益和信息使用者的合法利益都需要保护时,就需要衡量哪个更加优先。这要求信息使用者在确定自身合法利益后,对基于该利益所需进行的个人信息处理进行评估,明确该个人信息处理对相关信息主体可能造成的威胁和侵害。如果个人信息处理不会对相关信息主体的人格尊严和自由造成威胁或侵害,或所造成的影响明显小于信息处理所带来的效益,那么则认为信息使用者的合法利益具有相对优先性,信息使用者可以直接基于该合法利益进行该个人信息处理。例如,对用户实施间接画像(不识别身份,基于设备ID的画像),既涉及个人利益的保护,也涉及使用者利益的保护,此时法律应当是优先保护谁的利益。笔者认为,在这样的使用不会给个人权益造成直接危害的情形下,个人应当容忍这样的使用,但对于滥用这样识别侵害个人尊严或隐私,给予相应的救济,以此平衡二者的利益。

第三,相关个人信息处理为实现该合法利益所必需。为了避免对信息主体人格尊严和自由造成不必要的威胁和侵犯,应要求相关个人信息处理为实现信息使用者合法利益所必需。如果信息使用者可以通过其他合理方式实现相同利益,则不应实施该个人信息处理。

因此,为了实现信息主体人格尊严和自由利益与信息使用者利益的平衡,应将信息使用者的合法利益作为个人信息处理合法性基础之一,同时要求该合法利益必须满足合法性、现时性、特定性、优先性和必要性的条件。


3.信息主体人格尊严和自由利益与公共利益
公共利益与个人利益之间是对立统一的,当公共利益与个人利益发生冲突时,为了实现公共利益,在满足比例原则、利益补偿原则及正当程序原则的基础上,对个人权利进行一定的限制具有正当性。在个人信息保护领域,当基于公共利益目的进行的个人信息处理与信息主体人格尊严或自由发生冲突时,也需要对个人权利和自由作出一定的限制。因此,笔者认为,同意原则对于以公共利益目的进行的个人信息处理没有适用的余地,公共利益可以独立作为个人信息处理合法性基础之一。《信息安全技术个人信息安全规范》第5.4条明确规定“与国家安全、国防安全直接相关”、“与公共安全、公共卫生、重大公共利益直接相关”及“与犯罪侦查、起诉、审判和判决执行等直接相关的”、“为新闻单位且其在开展合法的新闻报道所必需的”、“为学术研究机构,出于公共利益开展统计或学术研究所必要,且其对外提供学术研究或描述的结果时,对结果中所包含的个人信息进行去标识化处理的”个人信息收集、使用属于“征得授权同意的例外”,这就是承认了基于公共利益所进行的个人信息收集、使用具有当然的合法性,无须再征得信息主体的同意。值得注意的是,公共利益之内涵和外延具有很强的不确定性,且公共利益并不必然具有逻辑上的优先性。严格控制公共利益的界定具有必要性,否则会造成公共利益对个人利益的侵蚀。法律实证主义者凯尔森认为,只有将国家目的予以法制化,才能完成承认其为公益的过程,才有公益的价值。笔者支持该观点,因此,在个人信息保护领域,尽管基于公共利益的个人信息收集、利用和流通无需经过信息主体的同意,但其必须具有明确的法律规定。譬如,基于《中华人民共和国统计法》(简称:《统计法》)开展的统计调查和非基于《统计法》开展的统计调查,只能认为前者具有公共利益。以人口普查为例,根据《统计法》第6条、第7条和《全国人口普查条例》第5条、第24条,普查人员有行使统计调查的权力,统计调查对象应依法提供真实的信息。因而,普查人员因行使职权收集公民相关个人信息时,无需经过信息主体同意,其合法性基础即为公共利益,依据为《统计法》和《全国人口普查条例》。


结语技术革新改变了社会基础、商业模式和生活方式,植根于传统社会基础的知情同意规则在数据时代呈现出极度的不适应,单一的知情同意规则难以实现对个人信息上个人利益的有效保护,相反,可能会给信息产业从业者带来巨大的法律风险,进而妨碍个人信息的社会化利用,阻滞我国信息产业的发展。个人信息上不仅附着了信息主体的人格尊严和自由利益,个人信息使用者的利益和公共利益也是个人信息法律制度需要保护的重要利益。为实现个人利益保护与个人信息利用的平衡,应充分衡量信息主体的人格尊严和自由利益、信息使用者的利益、公共利益。首先,考虑到知情同意在传统社会交往领域的重要作用,以及对个人自治的尊重,应肯定知情同意存在的必要性。其次,明确同意不是且不应成为个人信息处理的唯一合法性基础;最后,在法律上确认基于保护与信息主体生命相关的重要利益、信息使用者为实现其自身合法利益或为实现公共利益所实施的个人信息处理的正当性。综上,笔者认为个人信息保护立法至少应确立四项合法性基础,即基于下述事由所进行的个人信息使用具有合法性:第一,向信息告知必要信息(如收集范围、使用目的、方式等),并征得其同意;第二,为保护与信息主体生命相关的重要利益所必要;第三,为实现信息使用者的合法利益所必要;第四,为实现法律所规定之公共利益所必要。该四项合法性基础之间为并列关系,满足任一合法性基础即可实施个人信息使用。这一多元的合法性基础规则是利益衡量的必然结果,既能实现对个人利益的有效保护,也有利于保障个人信息的合理收集、使用和流通,实现个人信息的社会价值。最后,需要指出的是,该个人信息使用合法性基础针对的是一般个人信息,对于特殊类型个人信息(如未成年人个人信息、敏感信息)或特殊目的的处理行为,需要作特别规范,需要进一步探讨。


上海市法学会欢迎您的投稿

fxhgzh@vip.163.com


相关链接

罗培新:疫病境外输入压力日增,外国人可到中国免费医疗?国民待遇,绝不应等于“国民的”待遇

罗培新:医护人员“集体放弃”抗疫补助?法理事理情理,理理皆输

罗培新:境外输入压力剧增,赖账不付者,道义与法律双输,将开启人生的至暗时刻

吴文芳:疫情防控中欧盟个人信息保护的法律困境及其对策

叶榅平课题组:强化野生动物利用的规范化管理,严禁野生动物非法交易和食用

陈邦达:聚焦5月1日起施行的《上海市司法鉴定管理条例》

邓鑫:优化网络营商环境语境下电商平台自律管理的边界

罗培新:抢了当当网的公章,除了抢走几块木头,啥也抢不走

江翔宇:中国金融数据保护相关问题研究

朱亮:私募基金管理机构的刑法规制

崔磊:侵犯公民个人信息罪的司法认定

刘嘉懿:冒用个人信用支付产品行为定性的实证研究

来源:《上海法学研究》集刊2019年第13卷(互联网司法研究小组卷)。转引转载请注明出处。

责任编辑:胡   鹏    王柯心

请帮助点亮在看


: . Video Mini Program Like ,轻点两下取消赞 Wow ,轻点两下取消在看

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存