隨著《關於加強網絡信息保護的決定》《電信和互聯網用戶個人信息保護規定》《網絡安全法》《民法典》《個人信息保護法》等法律法規的相繼出臺,“合法、正當、必要原則”已成為個人信息處理的基本原則。然而,不但現行法就如何准確界定並正確適用“合法、正當、必要原則”沒有給出明確答案,而且學界對正當目的原則的表述也僅停留在簡單概念層面,且對必要原則的研究尚未深入展開。需要基於中國現行法並結合比較法經驗,從公私法融合的視角,對個人信息處理的“合法、正當、必要原則”進行系統研究,探尋個人信息保護的平衡之道,以期為企業、監管機構、法院等提供智識參考。
正當、必要原則對個人信息保護與利用的價值
由於法律原則具有較大的靈活性,正當、必要原則不但可以填補個人信息處理法律規則的漏洞,還在個人信息保護和利用方面存在有以下價值:
彌補日益流於形式的告知同意機制的缺陷
告知同意原則要求將個人信息處理的目的、范圍、方式等事項明確告知個人,並獲得同意。而如今,個人信息處理者通過契約創立大量“私人規則”,使得被告知的服務協議或隱私政策大多冗長晦澀,缺乏協商餘地,進而導致個人不得不接受即使是有失偏頗的告知事項。告知同意機制步入困境,逐漸降低了數據保護的功能。作為個人信息處理的重要實體原則,正當、必要原則可以彌補日益流於形式的告知同意機制的缺陷。
有效規范告知同意機制的例外情形
獲得個人同意,並非合法處理個人信息的唯一條件。我國《信息安全技術個人信息安全規范》《民法典》《個人信息保護法》均表明告知同意機制存在例外情形。在這些例外情形下,個人信息權利更容易受到侵犯,而正當、必要原則可以有效規范告知同意機制的例外情形。
有利於破解個人信息權利化的困境
學界目前對如何更好地保護個人信息,有“賦權說”和“行為主義規制說”兩種理解。我國《民法典》和《個人信息保護法》將個人信息作為權益加以保護,未明確設立個人信息基礎性權利。在個人信息權利化存在理論挑戰與實踐困境的情境下,有必要把重心放在實質規范個人信息處理行為上,強化對個人信息處理的正當、必要原則約束。
個人信息處理的正當原則:目的特定、明確、合理
正當原則是合法處理個人信息的首要條件,也是對個人信息處理目的的要求。個人信息處理的正當目的包括公共目的和私人目的,目的可以由法律列舉,也可以根據具體情形進行實質判斷。
個人信息處理目的應特定、明確
目的特定、明確是正當處理個人信息的前提。政府和私主體處理個人信息的目的需要特定、明確,不同的是,政府只能是出於維護公共利益的目的,而私主體可以出於維護自身利益、個人利益、第三人利益、公共利益等多種目的。然而,當前法律對個人信息處理的正當原則規定得比較寬泛,並且過度要求個人信息處理目的特定、明確,可能會限制個人信息的充分流通利用,因此應允許適度的目的變更。變更後的目的不但應該與原初目的之間具有合理關聯性,而且必須符合個人的合理預期。
個人信息處理目的應合理
目的合理,要求公私主體在處理個人信息時,應符合公共利益和合法的私人利益。一方面,在政府出於公共利益處理個人信息的范圍和頻度不斷擴張的同時,私人也能為了公共利益進行個人信息處理,並且二者處理時目的都應具備合理性。另一方面,為了特定情形下的私人利益,未經個人同意也可進行個人信息處理,如為履行合同的目的、為保護個人或其他自然人的重大利益、為內部管理的目的以及為提供安全穩定的產品或服務的目的。
個人信息處理的必要原則:禁止過度損害和保障不足
探討必要原則的內涵,不應割裂其同正當原則的關系而過度擴大其內涵。同主要評價目的的正當原則相對應,必要原則主要是對個人信息處理手段的規范,並包括禁止過度損害和禁止保障不足兩大方面。具體而言:
合理關聯性:個人信息處理不得超出正當目的
我國《個人信息保護法》第6條“應當與處理目的直接相關”的規定過於狹窄,與處理目的間接相關但具有合理關聯性的個人信息處理,也具有正當性。具體而言,合理關聯性表現為以下幾個方面:其一,收集與正當目的相關聯的最少夠用的個人信息。其二,與原初目的沒有合理關聯的個人信息處理,即使是為了追求其他正當目的,也不具有正當性。其三,第三方應在授權目的范圍內合理使用個人信息。其四,應在合理期限內存儲個人信息。
個人信息處理應實現最小損害
《個人信息保護法》第6條明確規定,“采取對個人權益影響最小的方式”處理個人信息。其一,應比較個人信息處理不同方案的損害大小,如果有多種個人信息處理方式同樣有助於實現正當目的,應選擇沒有損害或最小損害的處理手段。其二,對於必要情形的個人信息處理,應進行個人信息風險評估,較為准確地挑選出最小損害的處理方式。其三,對個人信息進行分類分級管理,嚴格限定對私密信息的處理。分類管理既能促進個人信息流通利用,也可以保障個人信息處理不造成過度損害。
個人信息處理的均衡性:利益衡量
在個人信息處理涉及利益衝突時,國家機關和私主體均應實現利益均衡。其中,在私主體為了私人利益而處理個人信息時,意思自治應受“合法、正當、必要原則”的規制。實質上,《民法典》中的個人信息合理使用制度,是要求未經同意合理使用個人信息時,應進行審慎的利益衡量,實現個人信息處理的均衡性。對這種均衡性的判斷,需要對實現特定、明確、合理的正當目的所帶來的收益進行評估,然後客觀評估個人信息處理造成的損害,最後在此基礎上進行損益對比分析。
必要原則的積極面向:采取必要措施保障安全
積極面向的必要原則,要求個人信息處理者采取最大有效性的必要措施,確保個人信息持續處於安全狀態。一方面,個人信息處理者應積極預防個人信息安全風險。在合理的成本范圍內,采取切實有效的組織與技術措施,最大程度保障個人信息安全。另一方面,至於如何判斷是否采取了最大有效性的必要措施,實際上需要進行利益權衡,應結合均衡性原則即狹義比例原則進行分析。
正當原則和必要原則的統合:比例原則
無論是否經過告知同意,只有符合比例原則的個人信息處理,纔正當、必要。比例原則應適用於個人信息處理的各個階段,並通過“合比例性教義學”為“正當、必要原則”提供更加精細的規范分析方法。
正當、必要原則評價個人信息處理的目的和手段
正當原則要求個人信息處理目的特定、明確、合理,體現了比例原則的首要子原則——目的正當性原則。必要原則是傳統“三階”比例原則的體現,要求行為手段具有適當性、必要性和均衡性。而“正當、必要原則”評價個人信息處理的目的和手段,可以統合稱之為現代“四階”比例原則,要求個人信息處理目的具有正當性,手段具有適當性、必要性和均衡性。
個人信息處理應受比例原則約束的原因
比例原則是個人信息處理中平衡安全與效率的核心元素。國家機關和私主體的個人信息處理,都應受比例原則的約束。世界范圍內,越來越多的法律開始規定個人信息處理應符合比例原則。我國《民法典》第999條和《個人信息保護法》第6條的規定,體現了比例原則對個人信息處理目的和手段所提出的要求。
總之,准確把握“合法、正當、必要原則”的規范內涵,並加以正確適用,有利於實現個人信息保護與流通利用的平衡。“合法原則”要求個人信息處理符合法律的明確規定,“正當原則”要求個人信息處理必須出於特定、明確、合理的目的,“必要原則”包括禁止過度損害和禁止保障不足兩大方面。作為公法比例原則體現的“正當、必要原則”,是對數字時代私法自治不足的矯正,但應防止無限擴大其內涵與適用范圍。對個人信息處理者同個人基於完全真實的意思表示,就個人信息處理目的、處理范圍、處理方式、風險負擔、收益分配等事項達成平等互惠的充分合意,應予以高度尊重。不應動輒以保障個人信息安全為由,過度限制個人信息處理而妨礙數據要素的流通利用效率。
