正当利益条款的中国法构造——基于 《民法典》 第 998 条作者:杨旭,清华大学法学院博士后研究人员、 清华大学 “ 水木学者” 。
来源:《法制与社会发展》2022年第1期(第113—131页)。(责任编辑:乔楠)
正当利益条款为纷繁复杂的价值及利益冲突留下必要的缓和空间,这对数字经济的发展尤为重要。通过构建“抖音案”的请求权规范链条可以发现,《民法典》及《个人信息保护法》关于个人信息处理行为的合法性基础的直接规定难以容纳个体性商业利益,有必要确立正当利益条款。作为对侵害非物质性人格权责任认定的一般规定,《民法典》第998条与正当利益条款在功能上具有一致性,而且在内容上互为补充,由此即可形成我国的正当利益条款。落实到个案裁判,应区分价值及利益冲突与具体考量因素两个层次,并注重二者之间的密切联系,通过权衡方法达致更为合乎理性的结论。借此,不仅能重构和修正“抖音案”的裁判理由,而且能完整呈现正当利益条款的中国法构造。
关键词:正当利益条款;《民法典》第998条;动态体系;权衡方法
除了征得信息主体的同意外,个人信息也可基于其他合法性基础来被合法处理。其中,对于数字经济的有序发展而言,正当利益(berechtigte Interesse/legitimate interest)条款尤为重要。其最典型的表述为欧盟在2016年颁布并于2018年生效的《通用数据保护条例》(DS-GVO/GDPR,以下简称欧盟《条例》)第6条第1款第1段(f)项,即“处理是为控制者或者第三人追求的正当利益之目的所必需,除非此种利益被要求保护个人数据之利益或者基本权利与自由压倒,特别在数据主体为儿童的情形”。借此权衡(Abwägung)条款,处理个人信息的合法性基础呈现出趋于开放的结构,为数字经济中纷繁复杂的价值及利益冲突留下了必要的缓和空间。
受此影响,不少学者建议我国的个人信息保护立法应作类似规定,但立法者丝毫不为所动。在2020年5月颁布的《中华人民共和国民法典》(以下简称《民法典》)第1035条第1款与第1036条关于个人信息处理的合法性基础及免责事由的规定中,并无正当利益条款的踪迹。虽然2020年10月公布的《中华人民共和国个人信息保护法(草案一次审议稿)》(以下简称《个保法草案一审稿》)第13条对个人信息处理的合法性基础作了整合与补充,却依然不采正当利益条款。2021年4月公布的《中华人民共和国个人信息保护法(草案二次审议稿)》(以下简称《个保法草案二审稿》)第13条第1款虽在内容上有所增补,但对正当利益条款延续完全相同的立场。2021年8月正式通过的《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)第13条第1款也是如此。那么有必要追问的是,这种始终如一的立法安排是否妥当?
本文认为,我国亟需确立正当利益条款,而备受关注的“凌某某诉北京微播视界科技有限公司隐私权、个人信息权益网络侵权责任纠纷案”(因该案被告为抖音App的运营者,以下简称“抖音案”)即为例证。其典型意义在于,案涉姓名、手机号码、社交关系等信息具有双重归属的特性,只有借助正当利益条款,才能调和冲突的价值及利益。但要实现此目标,并非只有在《个人信息保护法》中设立正当利益条款这一种途径。其实,将目光转向《民法典》人格权编“一般规定”部分,作为合理使用个人信息的重要依据,第998条关于侵害非物质性人格权责任认定之规定已能实现相同的功能,属于《个人信息保护法》第13条第1款第7项“法律、行政法规规定的其他情形”。因此,我国的个人信息保护立法完全不必专门规定正当利益条款。
欧盟《条例》中的正当利益条款与我国《民法典》第998条均呈现评价开放性特征,前者以价值及利益的权衡为基础,后者则采取动态体系的构造,由此给司法实践带来巨大挑战。在“抖音案”中,法院的判决结论并无不妥,但在规范依据选择与裁判说理上存在不少瑕疵。有学者为解决“抖音案”及个人信息合理使用的问题,提出所谓“双清单模型”并展开细致的分析。但颇为遗憾的是,这并未揭示“抖音案”的关键问题所在,而且在方法上也不无完善空间。如前所述,“抖音案”的规范依据只能是正当利益条款,即我国《民法典》第998条,而这恰恰为权衡与动态体系的方法论整合提供了绝佳的契机。
有鉴于此,本文以“抖音案”为例,先聚焦于《民法典》与《个人信息保护法》关于个人信息处理的合法性基础的直接规定,指明我国确立正当利益条款的必要性;而后,本文分析《民法典》第998条与正当利益条款在功能上的一致性并对其予以内容整合,为构造中国法上的正当利益条款奠定基础;最后,不容忽视的是,以《民法典》第998条作为正当利益条款可能危及法的安定性,因此有必要通过权衡方法填补动态体系所敞开的评价空间,从而作出更为合乎理性的个案裁判。另需指出,本文的核心方法论主张在于,动态体系主要是一种规范结构理论,其个案适用有赖于权衡。
如前所述,“抖音案”清楚地表明了我国确立正当利益条款的必要性。但要对该案予以妥当分析,必须先准确构建完整的请求权规范链条。沿此脉络不难发现,我国《民法典》与《个人信息保护法》对合法性基础的直接规定趋于封闭,难以容纳旨在保护个体性商业利益的情形,而这恰恰是正当利益条款所独有的内容。不仅如此,请求权规范链条也揭示了正当利益条款在裁判说理中的确切位置。请求权规范链条由两部分组成:一是请求权规范(Anspruchsnormen),或被称为请求权(规范)基础;二是辅助规范(Hilfsnormen)。以下仅关注“抖音案”中与个人信息保护有关的部分。尽管该案发生在《民法典》生效前,但为凸显问题所在,有必要依《民法典》及《个人信息保护法》的相关规定对其加以分析。请求权规范是指“可供一方当事人得向他方当事人有所主张的法律规范”。更确切地说,其规定了“原告主张的请求权在法律上受认可所需存在之前提”。据此,只有以请求权为法效果的规定,才是请求权规范。那么,认为“抖音案”中“原告的请求权基础,在于我国《民法总则》第111条明确‘法律对个人信息的保护’”的观点便属误解,因为该条仅确立“个人信息受法律保护”的地位,属于辅助规范。原告主要提出三类诉讼请求:一是“立即停止侵犯……个人信息的行为”,此类请求涉及多种处理行为与个人信息类别,尤其包括作为该案核心的原告姓名、手机号码与社交关系等信息。《民法典》人格权编个人信息保护部分未规定停止侵害,应先考虑处于人格权编“一般规定”中的第995条第1句。但该句属于引致性条款,需由此转向侵权责任编第1167条,以审查请求权成立与否。二是“立即删除未经原告明确授权而收集、存储的原告上述个人信息”。对于信息主体的删除权,《民法典》第1037条第2款及《个人信息保护法》第47条第1款均有规定,符合其构成要件即可成立。三是“在今日头条官网首页显著位置……及抖音App首页显著位置公开赔礼道歉30日”,并赔偿原告经济损失、精神损害抚慰金及合理维权费用。尽管要求赔礼道歉与要求金钱赔偿为不同的请求权,但二者均属广义的损害赔偿请求权,且与停止侵害请求权类似,《民法典》个人信息保护部分与人格权编的“一般规定”均未规定独立请求权规范,应根据侵权责任编第1165条第1款对其加以审查。这三类请求权的规范依据不完全相同,而且在构成要件上也存在差异。依据《民法典》第1167条,要成立停止侵害,首先需该行为“危及他人人身、财产安全”,被告的信息处理行为即属于此。但仅有事实上的“危及”尚不充分,还要求处理行为具有违法性,即规范意义上的“危及”。删除权与此类似,除被告实施的处理行为外,《民法典》第1037条第2款及《个人信息保护法》第47条第1款第4项也要求行为违法,即“违反法律、行政法规”。但与此不同,依《民法典》第1165条第1款,要成立金钱赔偿与赔礼道歉请求权,不仅要求“侵害他人民事权益”,即存在个人信息处理行为且该行为违法,还要求行为人具有“过错”且该行为“造成损害”。就此而论,该案判决将争议焦点概括为“被告的行为是否构成对原告个人信息……的侵害”与“被告应如何承担侵权责任”两部分,明显忽略了不同请求权在构成要件上的差异,未能充分体现损害与过错的独立性,似有不妥。尽管如此,该案的核心在于三类请求权的共通要件,即原告的个人信息权益是否受到侵害,以及被告处理原告个人信息的行为是否违法。这已超出请求权规范的范围,需转向与此紧密联系的辅助规范。辅助规范的功能为“具体化请求权规范的构成要件特征,但也针对请求权规范法效果一端之特征”。而“抖音案”的问题主要集中在构成要件一端。只要原告的姓名、手机号码与社交关系等属于其个人信息,那么,依《民法典》总则编第111条第1句、人格权编第1034条第1款及《个人信息保护法》第2条,原告即对此享有个人信息权益,被告的处理行为便构成权益侵害。其实,前述信息属于个人信息并无疑问,该案的特殊意义在于,这些个人信息部分出自第三人即先于原告注册抖音App的其他用户之手机通讯录,具有双重归属的特性。若要判定原告的三类请求权是否成立,关键在于被告的处理行为有无合法性基础。“抖音案”中被告的处理行为分三个阶段:一是在原告注册抖音App前,“被告通过向其他手机用户申请授权收集并存储了其他手机用户的手机通讯录信息,其中包含了原告的姓名和手机号码”及社交关系信息;二是“原告使用手机号码注册抖音App时,被告收集并存储了原告注册时提供的手机号码”;三是“被告使用原告第二阶段注册使用的手机号码与第一阶段从其他手机用户手机通讯录中收集、存储的手机号码(及社交关系信息)进行匹配,并向原告推荐‘可能认识的人’”。就其合法性基础而言,首先应考虑有无信息主体的同意。对此,《民法典》第1035条第1款第1项、第1036条第1项与《个人信息保护法》第13条第1款第1项均有所规定。但除第二阶段直接从原告处收集信息外,被告的其余处理行为均未取得原告同意。如前所述,原告的姓名、手机号码与社交关系等信息具有双重归属的特性,所以被告在收集其他用户手机通讯录信息并作后续处理时,原则上必须取得用户与其手机联系人的双重同意。但该案判决认为,“如果要求在任何使用场景下都必须严格征得双重同意,有可能会导致具体场景下的利益失衡”,所以“需要在具体应用场景中考虑是否存在构成个人信息合理使用的情形”。紧接着,判决便从信息的特点与属性、信息使用的方式与目的、对各方利益可能产生的影响三方面,依据合法、正当、必要三原则展开对是否构成合理使用的裁判说理。但有必要追问,其判定被告处理行为是否构成合理使用的规范依据究竟何在?对于合法、正当、必要三原则,此前的立法已反复提及,参见《全国人民代表大会常务委员会关于加强网络信息保护的决定》第2条第1款、《消费者权益保护法》第29条第1款、《网络安全法》第41条第1款等。《民法典》第1035条第1款前段在此基础上增加“不得过度处理”,而《个人信息保护法》第5条和第6条又作出了进一步细化。尽管如此,此三原则并不构成独立的合法性基础,而只能在适用关于合法性基础的具体规定时发挥辅助功能。合法性原则的最核心含义即处理行为应具备合法性基础。至于合法与否,则必须落实到具体规定。《民法典》第1035条第1款在列举“合法、正当、必要”三原则后规定“并符合下列条件:……”,而“条件”即合法性基础。《个人信息保护法》第5条前段在确立“处理个人信息应当遵循合法……原则”后,又在第13条第1款强调了合法性基础的重要性,即“符合下列情形之一的,个人信息处理者方可处理个人信息:……”。其中的“方可”更清楚地表明,只要不具备该条列举的具体合法性基础,处理行为即违法。就此而论,合法性原则不具有独立的功能内涵,只是呼吁性地强化法律保留的意义。与此不同,正当性原则具有更为实质的含义。对于《民法典》第1035条第1款中“正当”的确切含义,学说上的理解不完全一致。有观点认为,正当是指“处理个人信息的行为必须是符合正当的目的”;也有观点认为,正当是指“个人信息处理的目的和手段必须正当”,且要求处理者“履行充分告知的义务,保证自然人的知情权”。在《民法典》第1035条第1款仅规定“合法、正当、必要”三原则的背景下,以上解读均无不可。但《个人信息保护法》在第5条确立正当性原则的基础上,又在第6条第1款前段规定“处理个人信息应当具有明确、合理的目的”,在第7条规定“处理个人信息应当遵循公开、透明原则”。假如还将正当性锁定在目的及手段是否正当以及是否满足透明度原则的范围内,将使其丧失独立意义。因此,应在更广的意义上理解正当性原则,即实现各种彼此冲突的价值及利益之平衡,由此才能吸收《个人信息保护法》及其他法律蕴含的价值标准与具体价值判断,对适用有关合法性基础的具体规定发挥指引功能。必要性原则是对广义正当性原则的具体化。有观点认为,《民法典》第1035条第1款中的“必要”及“不得过度处理”是指应以满足处理目的之必要为限,在尽可能小的范围内处理个人信息。然而,这种将处理行为必要与否限于其与处理目的关系的做法并无文义支持,反而导致必要性原则适用范围的缩小。考虑到《个人信息保护法》第6条规定的“应当与处理目的直接相关”“限于实现处理目的的最小范围”“采取对个人权益影响最小的方式”等已将必要性限于处理目的,那么更妥当的做法是,将《民法典》第1035条第1款与《个人信息保护法》第5条中的必要性原则作广义理解,以应对其他更为复杂的情形。但不论如何,与正当性原则类似,必要性原则也仅具有辅助功能。若要排除“抖音案”中被告第一阶段和第三阶段的处理行为之违法性,就应分别考察除同意外,处理行为是否符合其他关于合法性基础的具体规定。除《个人信息保护法》第13条第1款第3项中的“为履行法定职责……所必需”属公法规范外,综合该款其他规定与《民法典》第1036条等,大致可以将可能的合法性基础分为两类。第一类是合同必需规则,即《个人信息保护法》第13条第1款第2项前段之规定。对于其是否构成独立的合法性基础,在立法期间就存在争论。有的观点认为,包括合同必需在内的“例外事由基本归纳为可不经个人信息主体同意的合理使用”,立法对此应予以确立。反对观点认为,这种情形“也是在取得自然人同意的基础上处理个人信息”,无需专门规定。但其实,合同必需规则既有别于法定合理使用,又不同于信息主体同意。原因在于:一方面,合同必需规则之所以赋予处理行为以合法性,并非直接依据法律的规定,毋宁源于合同及相关事实,信息主体的意愿已包含在内,因此不属于合理使用。另一方面,合同及相关事实中的信息主体意愿也不构成信息主体同意,进而不适用同意能力、任意撤回、禁止捆绑等专门针对同意问题的规定。尽管第13条第1款第2项前段之规定因过于笼统而留下不少有待解决的问题,但于此不难确定,因双方在第一阶段不存在缔约接触或者磋商,而第三阶段的处理行为也不属于被告履行合同所必需,所以合同必需规则难以提供合法性基础。第二类即合理使用,主要分为四种情形:一是为履行法定义务所必需;二是处理已公开信息,包括信息主体自行公开或者其他合法公开的信息,但也存在例外;三是为维护信息主体或者其他自然人合法权益所必需,在紧急情况下为保护自然人的生命健康和财产安全即属于此;四是维护公共利益所必需,比如为公共利益而合理实施新闻报道、舆论监督等行为,或者为应对突发公共卫生事件在合理范围内对个人信息作出处理。对“抖音案”而言,前两种情形并无用武之地,关键在于后两种情形。该案判决指出,双重同意“可能导致个人信息处理和数据利用的成本过高,甚至阻碍信息产业的健康发展”。有学者由此认为,该案应适用《民法典》第1036条第3项,因为过高的成本将“在另案事后”有损信息主体合法权益,而信息产业的健康发展即使在“私主体运营之商事活动”的情形下也可能蕴含公共利益。但此推论并不妥当。因为其所称“信息主体”已非该案原告,即该项中的“该自然人”,而是普遍意义上的潜在信息主体。再者,信息产业或者互联网行业的发展利益仅限于此特定行业,并不能完全被等同于涉及“国家利益和不特定多数人利益”
其实,被告作为商业平台运营者属于典型的营利法人,其处理原告个人信息的目的主要出于自身商业利益。该案判决认为,被告之目的在于“满足或促进用户在抖音App中建立社交关系”,同时“还具有一定的商业目的”。如此便在概念上混淆了目的与利益。前者仅限于处理个人信息的特定原因,也就是处理行为的目标或意图;而后者意指更广泛的利害关系,即处理者或者社会可能从处理行为中获得的好处。确切地说,所谓“商业目的”,已非目的,而是处于利益的层次。这种“还具有一定的商业目的”之表述意味着,被告的商业利益不具有主导性,而只是“满足或促进用户在抖音App中建立社交关系”的副产品。然而,以抖音为代表的短视频社交类应用程序的商业逻辑在于,以其提供的优质短视频服务为基础,吸引大量用户并在用户之间建立好友关系,再通过(个性化)广告营销、电商导流、内容收费等途径将由此聚集的商业价值变现。在用户之间“建立社交关系”是此类应用程序实现营利的关键环节,直接服务于被告自身的商业利益。尽管该案判决认为,“个人信息的合理使用并不必然排除出于商业目的的使用”,但为个体性商业利益处理个人信息却是前述各种合法性基础所不能容纳的情形。
总而言之,《民法典》第1036条与《个人信息保护法》第13条第1款等关于合法性基础的直接规定趋于封闭,并未给处理者的个体性商业利益留下必要空间。反观欧盟《条例》第6条第1款第1段(f)项中的“控制者或者第三人追求的正当利益”,恰恰能够兼顾处理者的利益与第三人利益,这清楚地表明了我国确立正当利益条款的必要性。
但如前所述,我国完全不必专门在立法上规定正当利益条款。作为关于侵害非物质性人格权责任认定的一般规定,《民法典》第998条也适用于个人信息处理。仔细分析该条规定并对比欧盟《条例》中的正当利益条款便不难发现,二者不仅在功能上具有高度一致性,而且在内容上相互补充。基于此,便能确立我国的正当利益条款。(一)《民法典》第998条作为个人信息处理的合法性基础就体系脉络而言,《民法典》第998条位于人格权编“一般规定”部分,系关于各种具体人格权益的共通性规则。而且,该条已明文规定其适用于“除生命权、身体权和健康权外”的人格权益,个人信息权益也包含在内。毫无疑问,第998条应适用于处理个人信息的行为。不过,要让该条成为个人信息处理的合法性基础,继而由此构造我国的正当利益条款,必须先严格区分其规范内容,再完成规范视角的转换。在规范内容上,《民法典》第998条混合了过错与违法性两个要件,故有必要对二者予以严格区分。该条列举的考量因素包括“行为人和受害人”即主体及其所实施的“行为”两大方面,而主体因素中含有“过错程度”,包括(但不限于)行为人一方的过错。但如前所述,停止侵害请求权与删除权并不以过错为要件。因此,该条虽然规定“认定行为人承担侵害……人格权的民事责任”,但其原型主要是以过错为要件的损害赔偿责任,为第1165条第1款关于过错责任之一般规定在人格权领域的辅助规范。然而,第998条的意义绝不限于此。除去“过错程度”外,其他各种考量因素均主要指向行为的违法性,而违法性则是停止侵害、删除与损害赔偿等请求权的共通要件。因此,该条所称“民事责任”作为请求权的对立面并不限于损害赔偿,还包括停止侵害、删除等,只是为此需排除过错因素。更重要的是,由于采取动态体系的构造,基于第998条所认定的违法性并非纯粹形式意义上的违法性,而是结合各种考量因素综合判断的实质违法性。在规范视角上,《民法典》第998条为个人信息处理行为是否违法提供了判断标准,进而影响民事责任的成立与承担。尽管该条只是从消极意义上排除处理行为的违法性,但其实,违法与合法在概念上相互排斥,具有择一关系:违法即不合法,合法即不违法,差别仅在于观察视角的选取。尽管第1035条第1款仅以“自然人或者其监护人同意”作为处理个人信息的“条件”,而第1036条只是关于“行为人不承担民事责任”的规定,但这并不妨碍将后者第2项和第3项归为第1035条第1款第1项中“法律、行政法规另有规定”的情形,从而被理解为个人信息的合理使用也就是合法性基础的规范依据。此外,《个人信息保护法》第13条第1款第5项之所以能够将《民法典》第999条规定的情形(“为公共利益实施新闻报道、舆论监督等行为”而合理使用非物质性人格权)与第1036条第3项规定的第一种情形(“为维护公共利益”合理使用个人信息)合二为一,也是基于相同的道理。综上所述,《民法典》第998条能够为个人信息处理提供合法性基础,完全可以将据此不具有违法性的处理行为归为《个人信息保护法》第13条第1款第7项规定的“法律、行政法规规定的其他情形”。《民法典》第998条要求基于各种考量因素对个人信息处理行为是否违法进行判断,因此,其将合法性与正当性融为一体,与《个人信息保护法》第13条第1款中规定的除同意以外的其他合法性基础所要求的“为……所必需”“在合理范围内”具有高度一致性。《民法典》第998条作为个人信息处理的合法性基础,实为关于《个人信息保护法》第13条第1款与《民法典》第1036条等(除关于同意、合同必需的规定外)的一般规定,后两者作为特别法应优先适用。由于既有规定不包含正当利益条款,所以《民法典》第998条的意义尤其在于弥补此一缺失。但至少从形式上看,《民法典》第998条与欧盟《条例》中的正当利益条款存在较大区别,有必要对此作进一步分析。欧盟《条例》第6条第1款第1段(f)项的前身为1995年颁布的《数据保护指令》(以下简称欧盟《指令》)第7条(f)项。从内容上看,二者均主要包含四部分内容。通过前后对比(详见表1)更能凸显正当利益条款的基本结构。其一,存在正当利益。欧盟《指令》与《条例》的规定均同时包含控制者与第三人的正当利益,区别在于第三人的范围。前者对第三人正当利益的考虑仅限于控制者“向其公开数据”,而后者则包含各种为第三人正当利益的情形。所谓“利益”必须是现实和当下的利益,而不只具有推测或者投机的性质。而且,这种利益可能呈现为多种样态。有些利益造福全社会,因此极其强势;有些利益未必有利于整个社会,因具有混合性而充满争议。不仅如此,所涉利益必须“正当”,但其范围极其宽泛,既包括控制者或者第三人的基本权利与自由,又包括其他利益,不论微不足道还是极其强势,直截了当还是充满争议,只要能够以符合数据保护立法及其他法律的方式追求之,均属于此。或者说,所涉利益务必为法秩序所接受。其二,符合必要性要求。欧盟《指令》与《条例》关于必要性的规定是完全一致的,其表达了正当利益与处理行为之间的“目的—手段”关系(Zweck-Mittel-Relation)。若要符合必要性要求,处理行为首先应适合服务于正当利益,那些无助于实现正当利益的处理行为并非必要,应被排除。更重要的是,必要性审查在根本上属于数据最小化审查,即个人信息处理行为具有必要性意味着通过较轻微的处理行为不能以相同程度实现正当利益。因此,必要性要求实则对应广义比例原则中的适切性与必要性两个子原则。但如前所述,处理行为追求的利益有别于处理行为之目的,所以尤其应注意,此处“目的—手段”关系中的“目的”并非处理目的,而是处理者或者第三人的正当利益。其三,存在信息主体利益。欧盟《指令》英文本以“为了”(for)连接“利益”与“基本权利与自由”,但“为了”实为“或者”(or)之拼写错误。因为一方面,即便其含义恰当,语法正确的表达方式也并非“为了基本权利与自由的利益”,而应为“基本权利与自由中的利益”(interests in),但“基本权利与自由”即已足够,加上“中的利益”反而显得多余。另一方面,英文文本以外的其他官方语言文本,如德语、法语、意大利语文本,均采取“数据主体的利益或者基本权利与自由”的表述,而且与《指令》同时期颁布的其他官方文件中也表述为“或者”而非“为了”。基于此,欧盟《指令》明确将“利益”与“基本权利与自由”之间的“为了”改为“或者”。这意味着与正当利益的界定类似,信息主体利益也极其宽泛,除了《指令》第1条第2款规定的“个人数据受保护权”等基本权利与自由外,还包括其他不构成基本权利的利益。其四,正当利益胜出。假如处理行为符合必要性要求,便需在控制者或者第三人的正当利益与信息主体利益之间作出权衡,只有前者胜出,即不“被……压倒”,才能让处理行为合法化。对此,欧盟《指令》与《条例》的表述稍有不同,前者规定“但……除外”,后者规定“除非……”,但并无实质区别。从表面上看,这种原则与例外相结合的句式结构是将权衡负担完全分配给数据主体,但实则因《条例》第21条第1款规定的数据主体反对权而被相对化。据此,倘若数据主体在特定情形下对处理行为提出反对,控制者便可能有义务论证其正当利益压倒数据主体利益。此外,相较于《指令》而言,《条例》还专门强调对儿童利益的保护,即“特别在数据主体为儿童的情形”,在此情形下,控制者或者第三人的正当利益很可能被压倒。总之,正当利益条款旨在调和控制者或者第三人与数据主体之间纷繁复杂的利益冲突,双方的基本权利与自由及其他价值及利益均可被纳入其中。更重要的是,其通过确立必要性要求和最终的权衡,为妥当解决价值及利益的冲突指明了大致方向。与欧盟数据保护立法中的正当利益条款类似,我国《民法典》第998条之所以采取动态体系的构造,也源于解决纷繁复杂的价值与利益冲突的需要。尽管“保护人格权是宪法尊重和保护人格尊严的要求”,但“人格权保护的价值并非在所有情形中,总是一般性地、抽象地高于其他价值,而必须在个案和具体情形中对这些价值进行综合权衡”。需指明的是,“价值”“利益”和“基本权利与自由”,主要是在观察视角和用语上具有形式差别,其方法论性质并无实质不同。因为利益本身和作为单纯事实的利益状态并非法秩序的组成部分,具有决定性的只能是对利益的法律保护以及对利益状态的评价。而利益受法律保护并非利益本身,而是已跃升至价值的层次。再者,基本权利与自由具有主观权利和客观价值的双重面向,既然能彼此冲突并加以权衡,便已超越防御权意义上的基本权利与自由而进入客观价值的行列。因此从功能上看,第998条与正当利益条款的意义均在于,为处理个人信息所涉的各种价值及利益冲突留下必要的缓和空间。更重要的是,价值、利益与基本权利及自由均属于“最佳化命令”,即“要求某事在事实上和法律上可能的范围内尽最大可能被实现”,并且“能以不同的程度被实现”。这种最佳化命令恰恰体现了前述广义的正当性原则,而且与广义比例原则在概念上相互蕴含,彼此推导:其“在事实上”尽可能被实现的要求导出了适切性与必要性两个子原则,而“在法律上”尽可能被实现的要求导出狭义比例原则,最终指向权衡。因此,欧盟《指令》与《条例》均首先要求处理行为满足必要性要求,且对此作广义理解,该必要性同时包含适切性与狭义必要性。就我国而言,《民法典》第998条虽不直接体现必要性要求,但如前所述,尽管《个人信息保护法》第6条将处理行为与处理目的相绑定,而《民法典》第1035条第1款与《个人信息保护法》第5条中的必要性原则却不限于此。因此,后者不但可以同时容纳适切性与必要性原则,而且能超越处理目的,将处理行为与更为抽象的价值及利益相关联,从而对《民法典》第998条作重要补充。不过,必要性要求只是对处理行为的初步审查,即便符合要求,还必须通过权衡才能得出处理行为合法与否的最终结论。欧盟数据保护立法中的正当利益条款对权衡负担分配及个别考量因素(如数据主体是否为未成年人)进行了规定,但未确立权衡的基本结构,有必要对其予以具体化。其实,不同价值及利益冲突的实质在于,存在某一个/组价值及利益支持处理行为,趋向于使其合法化,而另一个/组价值及利益反对处理行为,倾向于判定其违法。由于不同价值与利益之间并无绝对位阶,所以解决冲突的关键在于确立“条件式优先关系”,也就是支持处理行为合法性的价值及利益能够优先于反对价值及利益的特定情形,而后以此为构成要件,形成合法性基础的具体规范。据此不难发现,不同于欧盟法中的正当利益条款聚焦于彼此冲突的价值及利益本身,我国《民法典》第998条列举的各种考量因素均处于具体规范的层次,恰好能够补充前者具体化不足的弊端。反过来,欧盟数据保护立法中的正当利益条款对处理者或者第三人的正当利益与数据主体之利益或者基本权利及自由的关注,又恰好可以填补我国《民法典》第998条在价值与利益层次的空缺。根据《民法典》第998条构造我国法律中的正当利益条款,其主要包括两大部分。第一部分是各方价值及利益的确定及必要性审查。不论是信息处理者或第三人的正当利益,还是信息主体的利益,其范围均极其宽泛:既包括作为客观价值的基本权利,又包括其他为法秩序认可之价值以及受法律保护的利益。至于究竟牵涉到几方当事人,分别触及其何种基本权利、价值及利益,则取决于个案的具体情况。在确定各方为法秩序认可的价值及利益后,应考察处理行为是否符合必要性要求。若能作出肯定回答,便需进行最终的权衡。第二部分为权衡。为此,应分别衡量各方价值及利益之抽象权重与具体权重,再对其总体权重予以评价性比较。对于具体权重乃至抽象权重的衡量而言,处于具体规范层次的《民法典》第998条具有重要意义,其动态体系构造实现了“弹性而非固定、开放而非封闭”的结构。根据个人信息处理行为的特殊性并结合个案具体情形,对该条所列举的“行为人和受害人的职业、影响范围”与“行为的目的、方式、后果”等予以整合、细化、变通和补充,即可形成更为贴切的考量因素。比如,增加信息主体的合理预期(vernüftige Erwartungen),以行为人是否为未成年人替代“行为人的职业”,作为现行法上的依据,《人脸识别规定》第3条也明确将“受害人是否为未成年人”作为考量因素。等等。以此为基础,便能进行后续的评价性比较。假如难以确定何者胜出,还需诉诸权衡负担规则。这种开放结构虽能避免规范过于空洞和僵化而背离实质正义,却给法的安定性带来严重威胁。尽管通过解释《民法典》第998条已将正当利益条款具体化至规范层次,但要确保其在个案裁判中的合理性,还需对前述两大部分内容进行更细致的阐释。借此,不仅可以修正与重构“抖音案”的裁判理由,还能完整展现价值与规范之间的互动关系。作为个案裁判的前提,首先必须明确,正当利益条款与同意等其他合法性基础之间并无法定优先关系,而是有其各自独立的适用条件。尽管正当利益条款通常被列为最后一项合法性基础,但这并不必然意味着,其只能作为“最后凭借”(a last resort)而被用来填补稀有且难以预见情形的空缺。《个人信息保护法》第13条第1款中的“符合下列情形之一”已清楚表明,各种合法性基础彼此并列且需被择一适用。如前所述,该款第6项规定的“法律、行政法规规定的其他情形”已包含并指向《民法典》第998条,那么,据此构造的正当利益条款也应被独立适用,而非只有在个人信息处理行为不符合同意等其他合法性基础的前提下才能发挥补充功能。就此而言,“抖音案”的判决在“对手机联系人的影响”下所作的论证已无必要,因为其所讨论的并非被告的处理行为而是“严格要求……同意”对手机联系人即该案原告的影响,而只有前者才是正当利益条款的重要内容。同时,正当利益条款虽然呈现评价开放的结构,但其并非总是能够被任意援引的兜底性规定。为确保个案裁判的合理性,必须严格区分前述价值及利益和具体规范两个不同层次,并以此为框架展开裁判说理。于此方面,“抖音案”的裁判理由显得较随意。其从信息的特点与属性、信息使用的方式与目的、对各方利益可能产生的影响三方面进行分析,但其实,前两者为具体考量因素,处于具体规范的层次,而“对各方利益可能产生的影响”则大致对应价值及利益冲突层次。这种随意的说理安排导致各项论证只能形成松散的组合,不仅会在价值及利益和具体考量因素的确定上存在偏差和遗漏,而且难以建立彼此支持且趋于融贯的论证脉络。然而,正当利益条款所具有的评价开放结构却意味着,个案裁判的合理性只能依赖准确、严密且完整的论证说理。“抖音案”的判决不仅在概念上混淆了利益与目的,而且因此导致必要性审查的错位。判决就被告的存储行为指出,其“并无充分理由说明该行为为实现建立社交功能所必需”,“超过了处理个人信息的必要性原则”。而且,被告在通过匹配知道原告非其用户后“并未及时删除”,“超出不必要限度,不属于合理使用”。这种越过具体的合法性基础而直接适用必要性原则的做法并不妥当。更重要的是,该裁判理由所作必要性审查系就存储行为与处理目的即“建立社交功能”之间的关系而言,但与此不同,正当利益条款的必要性审查却指向处理行为与处理者或者第三人正当利益之间的“目的—手段”关系。有别于价值及利益,判决所称之“建立社交功能”与“满足或促进用户在抖音App中建立社交关系”作为处理目的属于具体规范层次的考量因素。这种审查错位导致处理行为与价值及利益的脱节,由此可见严格区分具体规范与价值及利益两个不同层次的重要性。为确保个案裁判的合理性,首先应确定彼此冲突的价值及利益,并准确进行必要性审查。“抖音案”的判决认为,被告“对姓名和手机号码的使用,会涉及手机用户、通讯录联系人以及互联网行业发展的不同利益需求的平衡”。但问题恰恰在于,各方当事人所涉利益究竟为何?其受法律保护的依据何在?被告的处理行为是否符合必要性要求?“抖音案”所涉价值及利益的冲突首先发生在原告即“通讯录联系人”和作为信息处理者的被告之间。再者,原告的姓名、电话号码及社交关系等信息具有双重归属的特性,又牵涉第三人即“手机用户”的价值及利益。而三方当事人的利益之所以受法律保护,依据主要在于其各自享有的基本权利。其一,原告的利益受《宪法》关于保护公民的信息自决与通信自由及秘密的规定的保护。毫无疑问,原告的姓名、手机号码与社交关系等信息属于基本权利的保护范围。欧盟数据保护立法中的个人数据受保护权与德国法上作为宪法一般人格权之下位权利的信息自决(informationelle Selbstbestimmung)类似,但后者的含义相对清晰,更为可取。根据德国联邦宪法法院在其著名的“人口普查案”判决中的经典表述,信息自决的核心为“个人原则上有权自己决定其个人数据的公开与利用”。 我国《宪法》第38条第1句中的“人格尊严”即宪法上的一般人格权,据此便可推出信息自决。此外,由于姓名、手机号码以及由此形成的社交关系发生在个人通信领域,所以原告同时应受《宪法》第40条第1句关于保护公民的通信自由与秘密的规定的保护。其二,被告的利益受营业自由保护。如前所述,被告处理原告个人信息的行为旨在获取个体性商业利益,属于自主开展营业活动的关键内容,所以被告的利益应受营业自由保护。我国《宪法》第16条第1款承认国有企业“有权自主经营”,第17条第1款赋予集体经济组织“独立进行经济活动的自主权”,构成营业自由的规范依据。尽管“抖音案”的被告为私营企业,但由于《宪法》第15条第1款规定“国家实行社会主义市场经济”,第6条第2款又确立“多种所有制经济共同发展的基本经济制度”,且根据第11条第1款,作为非公有制经济的私营经济 “是社会主义市场经济的重要组成部分”,所以至少就是否享有营业自由而言,并无理由对私营企业与国有企业、集体经济组织作根本性区别对待。综合前述条款并结合《宪法》第11条第2款规定的国家保护“非公有制经济的合法的权利和利益”,即可推出被告作为私营企业享有营业自由。值得注意的是,裁判理由将被告的个体性商业利益提升为“互联网行业发展”的利益,并强调“合理使用个人信息”能促进“数字经济的发展”且“增加整个社会的福祉”。这明显忽略了价值及利益冲突首先发生在个体之间,而被告处理原告个人信息的首要利益在于其自身的商业利益。其实,营业自由本身已包含促进经济发展的考虑,因为如前所述,其规范依据之一即为《宪法》第6条第2款确立的“多种所有制经济共同发展的基本经济制度”。而经济发展自然能增进社会福祉,这也是营业自由的当然之义。因此,在价值及利益确定阶段,应聚焦于被告享有的营业自由,而非“互联网行业发展”。至于营业自由的丰富意涵,则是最终权衡所需考虑的内容。其三,第三人的利益受《宪法》关于保护公民的信息自决与通信自由及秘密的规定的保护。由于原告的姓名、电话号码与社交关系等信息为第三人手机通讯录的组成部分,而手机通讯录既属于第三人的个人信息,又处于个人通信领域,所以与原告的情形类似,第三人也应受由我国《宪法》第38条第1句推出的信息自决与《宪法》第40条第1句关于保护公民的通信自由与通信秘密的规定的保护。必要性要求系针对处理行为与处理者及第三人的价值及利益之间的“目的—手段”关系。就“抖音案”而言,被告对原告个人信息的读取、存储、匹配及推荐等处理行为前后相继,环环相扣,旨在“满足或促进用户在抖音App中建立社交关系”,不仅有利于实现被告的营业自由,而且在事实上是无可替代的。就第三人即“手机用户”而言,其只有允许被告读取其手机通讯录,才能实现在抖音App上建立社交关系的需求,而后续的存储、匹配及推荐等处理行为也能使其与原告的社交关系转移到抖音App上。被告的处理行为也是实现第三人的信息自决与通信自由及秘密所必需。因此,被告的处理行为符合必要性要求。既如此,就必须直面各种价值及利益冲突。“抖音案”所涉价值及利益之一方为原告即“通讯录联系人”的信息自决与通信自由及秘密,另一方是被告的营业自由与第三人的信息自决与通信自由及秘密。于此,只有通过细致权衡才能得出最终结论。抽象权重是指各种价值及利益“不依赖具体情境而根据其种类”在法秩序中所具有的重要性。相同种类的基本权利应具有相同重要性,所以原告信息自决与第三人信息自决的抽象权重相同,原告通信自由及秘密与第三人通信自由及秘密之抽象权重也相同。至于不同种类基本权利的抽象权重,如原告信息自决与被告营业自由、原告通信自由及秘密与被告营业自由等,则需对其进行进一步的实质分析。如前所述,信息自决为宪法上一般人格权的下位权利,而后者蕴含人格尊严的价值,在法秩序中居于核心地位。尽管如此,信息自决并不必然优于营业自由,因为后者作为源于基本经济制度的基本权利,其保护范围已超出纯粹的个体性商业利益,正如“抖音案”的裁判理由所言,其同时涉及“互联网行业发展”的利益,并能促进“数字经济的发展”且“增加整个社会的福祉”。因此,原告信息自决与被告营业自由无高低之分,具有大致相同的抽象权重。此外,原告通信自由及秘密也属于一般人格权的下位权利,与信息自决类似,其抽象权重也与被告营业自由大致相同。具体权重是指各种价值及利益在具体情形中的满足度,体现为各种考量因素的强弱程度。结合个人信息处理的特殊性,将《民法典》第998条规定的“行为人和受害人的职业、影响范围”与“行为的目的、方式、后果”等予以整合、细化、变通和补充,便可以形成四大类考量因素,结合“抖音案”的裁判理由,具体分析如下。首先,应考虑作为处理对象的个人信息。对原告而言,姓名、电话号码与社交关系等信息均可被用来较为容易甚至直接识别其个人,具有较强的个人关涉性,被告处理此类信息可能对原告产生较大影响。但如前所述,被告作为商业平台运营者,其商业利益的实现在很大程度上依赖于用户之间的社交关系,所以处理此类信息构成其商业逻辑的关键环节。对第三人即“手机用户”而言,其要在抖音App上建立社交关系,最便捷的方式即直接迁移手机通讯录所承载的现实社交关系。就此而论,原告的姓名、手机号码与社交关系等信息对三方当事人均具有重要意义。其次,应具体分析信息处理行为本身,尤其是其对各方当事人利益的影响。正如裁判理由所言,被告的处理行为“可以细化为读取、存储、匹配及推荐”四种。不同处理行为的对象不完全相同,其分别旨在实现有别于整体的“建立社交关系”之不同具体目的。而且,允许或者禁止不同处理行为,对各方当事人利益的影响存在显著差异。该案裁判理由将“读取、匹配和推荐”作为整体,仅对“存储”单独处理,这有欠妥当,具体分析也不乏可议之处。为此,有必要重新梳理被告的处理行为并予以考察。第一,关于读取和初次匹配行为。读取系针对第三人即“手机用户”的通讯录信息,其中包含原告的姓名、手机号码与社交关系等,而初次匹配还同时处理被告后台已存储的其他用户信息。单纯的读取和初次匹配不会对原告造成太大影响,因为其开始并不是抖音App的用户,该处理行为并不直接触及其私人领域,被告也不能借此为其建立社交关系,以实现商业利益。不同于此,被告只有读取第三人的通讯录信息并予以初次匹配,才能通过后续的推荐等处理行为将第三人的社交关系迁移至抖音App,因此,禁止读取和匹配将使被告难以实现其商业利益。对于第三人而言,被告读取和存储其通讯录信息为其自主决定的结果,禁止读取和存储无异于根本取消其在抖音App上建立社交关系的可能性。因此,读取和匹配的行为对原告的影响很小,但禁止该行为对被告及第三人的影响却很大。第二,关于推荐及二次匹配行为。推荐是指被告向原告推荐其“可能认识的人”,前提在于将原告注册抖音App时提供的手机号码与第三人手机通讯录中的原告姓名、手机号码与社交关系等进行二次匹配。该处理行为对原告存在很大影响,因为推荐及二次匹配已介入其私人领域,而且被告借此为其建立社交关系,在很大程度上直接用于追求商业利益。尽管如此,被告要实现其商业利益,完全能基于其他已同意其匹配和推荐的用户之间的社交关系,缺少原告参与不会产生太大影响。对于第三人而言,其在抖音App上与诸多好友建立社交关系,缺少原告一人也不至于产生实质影响。因此,禁止推荐及二次匹配对被告和第三人的影响很小,但允许该处理行为对原告的影响却很大。第三,关于存储行为。存储行为分两个阶段。第一阶段的存储介于读取和初次匹配之间,既是读取的延续又是初次匹配的前提;第二阶段的存储发生在初次匹配之后,服务于推荐及二次匹配等行为。因此,两阶段的存储行为均不具有独立意义,分别附属于前两组处理行为,其考察结论应与前两者大致相同。再次,处理过程的保密与安全性也是重要的考量因素,且与原告的受侵害程度呈负相关关系。正如裁判理由所言,在处理过程中,“原告的姓名和手机号码并未被公开披露,亦没有证明存在直接泄露等风险,对于原告的其他人身和财产利益并没有产生潜在侵害的可能性”,对原告的影响较小。但是,“超过合理期限的存储”等行为可能“不合理地扩大了个人信息泄露或者被不当利用的风险”。由于被告的处理行为系按照“读取—存储—初次匹配”与“存储—二次匹配—存储—推荐”的顺序进行,因此,越在时间上靠后的处理行为对原告的影响就越大。最后,关于信息主体的合理预期。为此,尤其应顾及信息主体与处理者之间的关系,但不宜过于绝对,最终取决于处理行为发生的具体场景。处理行为符合合理预期的程度越高,对信息主体的影响就越小,二者之间呈负相关关系。从理性人的视角出发,尽管原告起初并非抖音App的用户,但第三人授权被告处理包含原告手机号码的通讯录信息并非不可预见,因此,被告的读取和初次匹配行为较符合其合理预期。相反,虽然原告随后成为抖音App的用户,但其注册所用的手机并未存储其他联系人信息,那么,被告基于二次匹配向其推荐“可能认识的人”便显得出乎意料,明显超出原告的合理预期。将以上抽象权重与具体权重汇总,并转化为“高/大”“中”“低/小”三种基数刻度,便可直观地呈现各方当事人之间的价值及利益冲突的具体样态(详见表2)。鉴于个人信息对各方的重要性大致相同,而且在很大程度上已包含在对处理行为本身的衡量中,因此不必专门考虑。而处理过程的“安全与保密性”以及信息主体的“合理预期”两个因素均指向具体处理行为,所以将此二者与处理行为本身对各方当事人利益的影响合并在“处理行为”项下处理。另如前述,两个阶段的存储行为仅具有附属性,不必被单独评价。根据表2不难发现,最终结论已呼之欲出。由于信息自决、通信自由及秘密与营业自由在抽象意义上无高低之分,所以抽象权重的大小便取决于所涉基本权利的个数。原告一方受两种基本权利保护,而被告与第三人作为另一方受三种基本权利保护,所以原告一方处于劣势。再进入具体权重,读取与初次匹配对原告利益影响小,而对被告和第三人利益影响大,再加上高安全与保密性及高合理预期,又进一步降低对原告的影响,所以原告一方也处于劣势。那么就读取与初次匹配而言,原告一方的综合权重明显不能胜出,因此,被告的处理行为是合法的,第一阶段的存储行为也是如此。就推荐与二次匹配而言,其对原告利益影响大,但对被告及第三人影响小,再加上有所降低的安全与保密性以及低合理预期,又进一步增加对原告的影响,所以原告一方处于优势。尽管原告一方在抽象权重上缺少一种基本权利的支持,但就此已不难得出原告一方综合权重胜出的确信。另外,权衡负担规则还能对此予以强化。欧盟正当利益条款的句式结构虽将权衡负担分配给原告一方,但已被数据主体的反对权相对化。就我国而言,考虑到原告为消费者,而被告为大型商业平台运营者,二者之间存在明显的力量悬殊,故应顺应《个人信息保护法》第13条第1款的句式结构,将权衡负担分配给处理者一方。由于被告很难证成己方价值及利益胜出,所以其推荐及二次匹配行为并不合法,第二阶段的存储行为也是如此。由此前构造的请求权规范链条可知,对原告请求被告停止侵害、删除信息、赔礼道歉并赔偿损失的主张大体应予支持。尽管“抖音案”的判决对判断被告处理行为之合法与否的规范依据的选取和裁判说理存在不少瑕疵,但其对责任承担的具体分析以及最终裁判理由均无不妥。更重要的是,这已清楚表明,如何以权衡方法为核心将《民法典》第998条及正当利益条款合乎理性地落实到个案裁判,以充分顾及法的安定性。法律的生命在于其体系性。尽管我国《个人信息保护法》与《民法典》关于个人信息处理的合法性基础的直接规定趋于封闭,但并不排除在现行法上构造正当利益条款的可能性。“抖音案”所涉姓名、电话号码、社交关系等具有双重归属特性的个人信息表明,要为数字经济中纷繁复杂的价值及利益冲突留下必要的缓和空间,便亟需确立正当利益条款。但完全不必由立法为此专门作出规定,通过《民法典》第998条关于侵害非物质性人格权责任认定的一般规则即可实现类似效果,其与欧盟《条例》第6条第1款第1段(f)项在内容上互为补充,足以为我国确立正当利益条款奠定坚实的基础。但《民法典》第998条采取动态体系的规范结构,可能因此危及法的安定性。故而,基于正当利益条款的个案裁判应借助权衡方法,在确定所涉价值及利益与进行必要性审查的基础上,对各种考量因素的抽象与具体权重作细致分析,并结合权衡负担分配予以综合考量,从而达致更为合乎理性的结论。
《法制与社会发展》2022年第1期目录摘要
点击二维码关注法制与社会发展微信公众平台