返回上一页 文章阅读 登录

刘权:论个人信息处理的合法、正当、必要原则

更新时间:2021-11-09 09:58:46
作者: 刘权  

   摘要:  “合法、正当、必要原则”已成为个人信息处理的基本原则。个人信息保护的告知同意机制日益流于形式,而且存在适用例外,在个人信息权利化存在困境的现实情境下,“合法、正当、必要原则”可以实现个人信息保护与合理利用的平衡。“合法原则”属于形式合法性范畴。“正当原则”要求个人信息处理必须出于特定、明确、合理的目的。为了实现个人信息社会价值的最大化,应允许个人信息处理者在符合个人合理预期的条件下,适当变更原初目的。“必要原则”包括禁止过度损害和禁止保障不足两大方面。它既要求处理个人信息时应在有助于目的实现的必要范围内运用最小损害的手段,又要求采取必要措施最大程度保障个人信息安全。“正当、必要原则”有利于弥补数字时代意思自治与契约自由的缺陷,可以矫正个人信息处理者同个人之间日益严重失衡的不平等态势,实际上是比例原则在私法中的体现。

   关键词:  个人信息处理 合法、正当、必要原则 个人信息保护 比例原则

  

   引言

  

   在数字时代,如何规范日益增多的个人信息处理行为,既有效保障个人信息安全,又有力促进个人信息的合理利用,成为一项重要课题。当前普遍采用的告知同意机制日益流于形式,而且存在不经同意的例外情形,在个人信息权利化存在困境的现实情境下,更应从实体上有效规范日益复杂多样的个人信息处理。

  

   中国越来越多的法律开始规定,个人信息处理应遵循“合法、正当、必要原则”。全国人大2012年发布的《关于加强网络信息保护的决定》较早规定了“合法、正当、必要原则”:“网络服务提供者和其他企业事业单位在业务活动中收集、使用公民个人电子信息,应当遵循合法、正当、必要的原则。”此后,《电信和互联网用户个人信息保护规定》《消费者权益保护法》《网络安全法》等作了同样的规定。2020年颁布的《民法典》第1035条明确要求,“处理个人信息的,应当遵循合法、正当、必要原则,不得过度处理”。2021年8月20日颁布的《个人信息保护法》规定,“处理个人信息应当遵循合法、正当、必要和诚信原则”“采取对个人权益影响最小的方式”“不得过度收集个人信息”,并17处使用不确定性法律概念“必要”“必需”。

  

   “合法、正当、必要原则”已成为个人信息处理的基本原则。然而,对于究竟如何准确界定并正确适用“合法、正当、必要原则”,现行法律规定没有给出明确的标准答案,相关学术研究也不多。少数学者研究了数据处理中目的限定原则,将其分为目的明确和使用限制两方面。[1]另有学者研究了个人信息保护中的利益平衡,提出应实现个人、信息业者和国家利益的“三方平衡”。还有学者研究了个人信息使用的合法利益豁免,认为数据控制者必须进行平衡测试,证明数据使用的合法利益高于数据主体的个人利益。[2]总体而言,当前“对正当目的原则的表述仅仅停留在简单概念上”,“学界对于必要原则的研究尚没有深入展开”。[3]准确把握“合法、正当、必要原则”的规范内涵和判断标准,不仅有助于为个人信息处理者提供行之有效的合规指引,而且还有利于监管机构和法院更好地保障个人信息安全。

  

   应当从整体上理解具有内在统一关系的“合法、正当、必要原则”,不宜无限扩大任何一者的内涵,否则任何一个子原则就可能涵盖其他子原则的内容。“合法、正当、必要原则”分别评价个人信息处理的形式合法性、目的正当性和手段必要性。“合法原则”属于形式合法性范畴,主要是指个人信息处理应符合法律的明确规定,如符合告知同意程序、符合存储期限要求。“正当、必要原则”属于实质合法性范畴,是对个人信息处理目的与手段的合理性评价。在适用范围上,“合法、正当、必要原则”对私主体和国家机关都具有约束力。尽管公私主体的个人信息处理在告知同意等程序机制上可能会有差别,但在处理行为方式与本质上具有相通性,可以也应当受相同实体原则的规范。实际上,中国法律规范并没有明确排除国家机关的个人信息处理适用“合法、正当、必要原则”。欧盟《一般数据条例》的规范对象包括私主体和国家机关。[4]本文将聚焦中国、放眼世界,从公私法融合的视角,对个人信息处理的“合法、正当、必要原则”进行系统研究,探寻个人信息保护的平衡之道,以期为企业、监管机构、法院等提供智识参考。[5]

  

   一、正当、必要原则于个人信息保护与利用的价值

  

   正当、必要原则有利于实现个人信息保护与利用的平衡。“得数据者得天下。”[6]数据是数字经济的关键生产要素,但当前法治化的数据要素市场并未完全确立,过度收集利用数据的违法甚至犯罪现象还比较常见。个人信息是数字时代涉及面最为广泛的数据,滥用数据容易造成个人信息安全隐患。尽管大多数国家和地区已普遍确立了个人信息处理的告知同意机制,但却无法从根本上实质保护个人信息。而且,告知同意并非个人信息处理的唯一合法原则,其适用存在的例外情形应受正当、必要原则的实体约束。

  

   (一)弥补日益流于形式的告知同意机制的缺陷

  

   作为约束个人信息处理者的程序性原则,告知同意原则要求将个人信息处理的目的、范围、方式等事项明确告知个人,并获得其同意。当前,告知同意机制被世界很多国家普遍采用。欧盟《一般数据保护条例》较为详细地规定了同意要件,要求使用易理解、明确平实的文字,并要求设定撤回同意机制,另外还对儿童数据的处理设定了严格的同意条件。美国《加利福尼亚州消费者隐私法案》(CCPA)对于出售消费者数据、用于财务激励等数据处理的同意机制作了规定。中国《关于加强网络信息保护的决定》较早规定了告知同意原则,要求“明示收集、使用信息的目的、方式和范围,并经被收集者同意”,之后的相关法律作了类似规定。2019年修订的《信息安全技术个人信息安全规范》规定了“选择同意原则”,要求“向个人信息主体明示个人信息处理目的、方式、范围等规则,征求其授权同意”。《民法典》第1035条规定,处理个人信息应“征得该自然人或者其监护人同意,但是法律、行政法规另有规定的除外。”《个人信息保护法》确立了同意和撤回同意的机制。

  

   告知同意原则建立在个人意志自由与意思自治的基础上,体现了对用户权利的尊重,在某种程度上可以防止个人信息滥用。然而,“点击同意”成为了大数据时代的“最大谎言”。个人信息处理者以契约为工具,在网络空间中创立的大量“私人规则”控制着用户的权利与义务。在很多情形下,个人不得不接受即使是有失偏颇的告知事项。[7]由于被告知的服务协议或隐私政策大多冗长晦涩,导致个人缺乏足够的时间阅读,即使耐心阅读也可能读不懂,即使读懂了也基本没有协商余地。以告知义务为重心的告知同意机制设计无法有效发挥实质作用,导致个人的同意面临被架空的危险,并且无法应对数据处理的多层次性与动态性。[8]《个人信息保护法》第17条规定,“应当以显著方式、清晰易懂的语言”真实、准确、完整地履行告知义务,第14条规定“同意应当由个人在充分知情的前提下自愿、明确作出”,如果处理目的、处理方式、处理的个人信息种类发生变更的,“应当重新取得个人同意”。不同场景的处理目的与方式可能会发生变化,如果反复利用告知同意机制,不仅会使用户产生“同意疲劳”而疲于同意,而且还会增加互联网企业的运营成本。总而言之,告知同意机制步入困境,逐渐降低了数据保护的功能。作为个人信息处理的重要实体原则,正当、必要原则可以弥补日益流于形式的告知同意机制的缺陷。

  

   (二)有效规范告知同意机制的例外情形

  

   获得个人同意,并非合法处理个人信息的唯一条件。在很多情形下,不经个人同意也可以直接处理个人信息。欧盟《一般数据保护条例》第6条规定了处理个人数据的6种合法性条件,同意仅为其中一种情形。《信息安全技术个人信息安全规范》规定了征得授权同意的11种例外情形,包括履行法定义务、保障公共利益、履行合同、开展合法的新闻报道、维护产品或服务的安全稳定运行等。《民法典》确立了不经同意的个人信息合理使用制度,如第1020条规定,不经肖像权人同意,为了个人学习、科学研究、新闻报道、履行公职、展示特定公共环境,可以合理使用肖像。《个人信息保护法》第13条将“取得个人的同意”,仅仅作为合法处理个人信息的一种情形。随着数字经济的不断发展,告知同意机制的例外情形必定会越来越多,个人信息安全隐患也将日益增多。

  

   正当、必要原则可以有效规范告知同意机制的例外情形。由于缺乏个人的知情监督,而且处理者的裁量和处理权限更大,所以不经同意的个人信息处理更容易侵犯个人信息权利。多大程度的使用才算“合理使用”,如何判断履行合同、履行法定职责等“所必需”,均离不开正当、必要原则的有效指引。

  

   (三)有利于破解个人信息权利化的困境

  

   在大数据时代,对于数据的价值已基本没有分歧,但对于究竟如何更好地保护个人信息,却产生了很大的分歧。对于个人信息保护主要存在两种进路:一是主张赋予权利,二是主张规范个人信息处理行为。赋权说认为,只有通过为个人赋权,设立个人信息权、个人信息自决权、个人信息受保护权或信息隐私权等权利,才能有效制约个人信息滥用。[9]行为主义规制说则认为,抽象赋权会妨碍个人信息的流通利用,应基于具体场景对个人信息处理行为实施差异化规制。[10]

  

   中国现行的法律并没有明确设立个人信息基础性权利。《民法典》第一编总则第111条、第四编人格权编第六章“隐私权与个人信息”,都只是使用了“个人信息权益”。《个人信息保护法》沿袭了《民法典》的思路,仍然将个人信息作为权益保护。个人信息侵权可出现于个人信息处理的多个环节,损害具有普遍性、衍生性和继发性等特点。[11]在个人信息权利化存在理论挑战与实践困境的情境下,有必要把重心放在实质规范个人信息处理行为上。强化对个人信息处理的正当、必要原则约束,不失为一种良好的个人信息保护路径。当然,即使未来确立了个人信息基础性权利,也并不表明个人信息处理就可以不受正当、必要原则的约束。

  

   综上,正当、必要原则有助于弥补日益流于形式的告知同意机制的缺陷,可以有效规范告知同意机制的例外情形,有利于破解个人信息权利化的困境。此外,正当、必要原则可以填补个人信息处理法律规则的漏洞。法律原则具有较大的灵活性,当个人信息处理法律规则存在模糊性、不一致性、滞后性等问题时,适用正当、必要原则可以最大程度保护个人信息。

  

   二、个人信息处理的正当原则:目的特定、明确、合理

  

正当原则是合法处理个人信息的首要条件,它要求个人信息处理的目的特定、明确、合理。对于个人信息处理目的的规定,国内外相关法律规定比较杂乱,主要有以下几种情形。一是规定目的明确原则。如《信息安全技术个人信息安全规范》规定了“目的明确原则”:“具有明确、清晰、具体的个人信息处理目的。”二是规定目的限制原则。早在1980年,经济合作与发展组织在《隐私保护和个人数据跨境流动准则》中就提出,(点击此处阅读下一页)


爱思想关键词小程序
本文责编:陈冬冬
发信站:爱思想(http://m.aisixiang.com)
本文链接:http://m.aisixiang.com/data/129553.html
收藏