随着《关于加强网络信息保护的决定》《电信和互联网用户个人信息保护规定》《网络安全法》《民法典》《个人信息保护法》等法律法规的相继出台,“合法、正当、必要原则”已成为个人信息处理的基本原则。然而,不但现行法就如何准确界定并正确适用“合法、正当、必要原则”没有给出明确答案,而且学界对正当目的原则的表述也仅停留在简单概念层面,且对必要原则的研究尚未深入展开。需要基于中国现行法并结合比较法经验,从公私法融合的视角,对个人信息处理的“合法、正当、必要原则”进行系统研究,探寻个人信息保护的平衡之道,以期为企业、监管机构、法院等提供智识参考。
正当、必要原则对个人信息保护与利用的价值
由于法律原则具有较大的灵活性,正当、必要原则不但可以填补个人信息处理法律规则的漏洞,还在个人信息保护和利用方面存在有以下价值:
弥补日益流于形式的告知同意机制的缺陷
告知同意原则要求将个人信息处理的目的、范围、方式等事项明确告知个人,并获得同意。而如今,个人信息处理者通过契约创立大量“私人规则”,使得被告知的服务协议或隐私政策大多冗长晦涩,缺乏协商余地,进而导致个人不得不接受即使是有失偏颇的告知事项。告知同意机制步入困境,逐渐降低了数据保护的功能。作为个人信息处理的重要实体原则,正当、必要原则可以弥补日益流于形式的告知同意机制的缺陷。
有效规范告知同意机制的例外情形
获得个人同意,并非合法处理个人信息的唯一条件。我国《信息安全技术个人信息安全规范》《民法典》《个人信息保护法》均表明告知同意机制存在例外情形。在这些例外情形下,个人信息权利更容易受到侵犯,而正当、必要原则可以有效规范告知同意机制的例外情形。
有利于破解个人信息权利化的困境
学界目前对如何更好地保护个人信息,有“赋权说”和“行为主义规制说”两种理解。我国《民法典》和《个人信息保护法》将个人信息作为权益加以保护,未明确设立个人信息基础性权利。在个人信息权利化存在理论挑战与实践困境的情境下,有必要把重心放在实质规范个人信息处理行为上,强化对个人信息处理的正当、必要原则约束。
个人信息处理的正当原则:目的特定、明确、合理
正当原则是合法处理个人信息的首要条件,也是对个人信息处理目的的要求。个人信息处理的正当目的包括公共目的和私人目的,目的可以由法律列举,也可以根据具体情形进行实质判断。
个人信息处理目的应特定、明确
目的特定、明确是正当处理个人信息的前提。政府和私主体处理个人信息的目的需要特定、明确,不同的是,政府只能是出于维护公共利益的目的,而私主体可以出于维护自身利益、个人利益、第三人利益、公共利益等多种目的。然而,当前法律对个人信息处理的正当原则规定得比较宽泛,并且过度要求个人信息处理目的特定、明确,可能会限制个人信息的充分流通利用,因此应允许适度的目的变更。变更后的目的不但应该与原初目的之间具有合理关联性,而且必须符合个人的合理预期。
个人信息处理目的应合理
目的合理,要求公私主体在处理个人信息时,应符合公共利益和合法的私人利益。一方面,在政府出于公共利益处理个人信息的范围和频度不断扩张的同时,私人也能为了公共利益进行个人信息处理,并且二者处理时目的都应具备合理性。另一方面,为了特定情形下的私人利益,未经个人同意也可进行个人信息处理,如为履行合同的目的、为保护个人或其他自然人的重大利益、为内部管理的目的以及为提供安全稳定的产品或服务的目的。
个人信息处理的必要原则:禁止过度损害和保障不足
探讨必要原则的内涵,不应割裂其同正当原则的关系而过度扩大其内涵。同主要评价目的的正当原则相对应,必要原则主要是对个人信息处理手段的规范,并包括禁止过度损害和禁止保障不足两大方面。具体而言:
合理关联性:个人信息处理不得超出正当目的
我国《个人信息保护法》第6条“应当与处理目的直接相关”的规定过于狭窄,与处理目的间接相关但具有合理关联性的个人信息处理,也具有正当性。具体而言,合理关联性表现为以下几个方面:其一,收集与正当目的相关联的最少够用的个人信息。其二,与原初目的没有合理关联的个人信息处理,即使是为了追求其他正当目的,也不具有正当性。其三,第三方应在授权目的范围内合理使用个人信息。其四,应在合理期限内存储个人信息。
个人信息处理应实现最小损害
《个人信息保护法》第6条明确规定,“采取对个人权益影响最小的方式”处理个人信息。其一,应比较个人信息处理不同方案的损害大小,如果有多种个人信息处理方式同样有助于实现正当目的,应选择没有损害或最小损害的处理手段。其二,对于必要情形的个人信息处理,应进行个人信息风险评估,较为准确地挑选出最小损害的处理方式。其三,对个人信息进行分类分级管理,严格限定对私密信息的处理。分类管理既能促进个人信息流通利用,也可以保障个人信息处理不造成过度损害。
个人信息处理的均衡性:利益衡量
在个人信息处理涉及利益冲突时,国家机关和私主体均应实现利益均衡。其中,在私主体为了私人利益而处理个人信息时,意思自治应受“合法、正当、必要原则”的规制。实质上,《民法典》中的个人信息合理使用制度,是要求未经同意合理使用个人信息时,应进行审慎的利益衡量,实现个人信息处理的均衡性。对这种均衡性的判断,需要对实现特定、明确、合理的正当目的所带来的收益进行评估,然后客观评估个人信息处理造成的损害,最后在此基础上进行损益对比分析。
必要原则的积极面向:采取必要措施保障安全
积极面向的必要原则,要求个人信息处理者采取最大有效性的必要措施,确保个人信息持续处于安全状态。一方面,个人信息处理者应积极预防个人信息安全风险。在合理的成本范围内,采取切实有效的组织与技术措施,最大程度保障个人信息安全。另一方面,至于如何判断是否采取了最大有效性的必要措施,实际上需要进行利益权衡,应结合均衡性原则即狭义比例原则进行分析。
正当原则和必要原则的统合:比例原则
无论是否经过告知同意,只有符合比例原则的个人信息处理,才正当、必要。比例原则应适用于个人信息处理的各个阶段,并通过“合比例性教义学”为“正当、必要原则”提供更加精细的规范分析方法。
正当、必要原则评价个人信息处理的目的和手段
正当原则要求个人信息处理目的特定、明确、合理,体现了比例原则的首要子原则——目的正当性原则。必要原则是传统“三阶”比例原则的体现,要求行为手段具有适当性、必要性和均衡性。而“正当、必要原则”评价个人信息处理的目的和手段,可以统合称之为现代“四阶”比例原则,要求个人信息处理目的具有正当性,手段具有适当性、必要性和均衡性。
个人信息处理应受比例原则约束的原因
比例原则是个人信息处理中平衡安全与效率的核心元素。国家机关和私主体的个人信息处理,都应受比例原则的约束。世界范围内,越来越多的法律开始规定个人信息处理应符合比例原则。我国《民法典》第999条和《个人信息保护法》第6条的规定,体现了比例原则对个人信息处理目的和手段所提出的要求。
总之,准确把握“合法、正当、必要原则”的规范内涵,并加以正确适用,有利于实现个人信息保护与流通利用的平衡。“合法原则”要求个人信息处理符合法律的明确规定,“正当原则”要求个人信息处理必须出于特定、明确、合理的目的,“必要原则”包括禁止过度损害和禁止保障不足两大方面。作为公法比例原则体现的“正当、必要原则”,是对数字时代私法自治不足的矫正,但应防止无限扩大其内涵与适用范围。对个人信息处理者同个人基于完全真实的意思表示,就个人信息处理目的、处理范围、处理方式、风险负担、收益分配等事项达成平等互惠的充分合意,应予以高度尊重。不应动辄以保障个人信息安全为由,过度限制个人信息处理而妨碍数据要素的流通利用效率。
关键词: