内容提要:最小必要原则包括相关性、最小化、合比例性三个子原则。在适用该原则时,我国实践中的主流做法是只承认网络平台的次要处理目的,即实现具体业务功能,而不承认其主要处理目的,即提供精准的交易媒介服务。最小化原则的要求与网络平台实现其主要处理目的之间存在巨大张力,个人信息自主控制制度、匿名化制度都难以缓解该张力。鉴于最小必要原则的适用范围局限于利益减损型处理行为,如果网络平台实际上为增进信息主体的利益而行动,便不满足最小必要原则的适用条件。按照补充性的合同解释方法,网络平台在提供媒介服务时应当承担给付型忠实义务,即有义务为消费者在所媒介交易中的可得利益最大化而行动。履行给付型忠实义务的网络平台,在其个人信息处理的综合影响为正面,且给信息主体造成的损害或者危险有限的情况下,可以在合理的必要范围内处理非敏感的和敏感度低的个人信息。
关 键 词:个人信息保护 最小必要原则 网络平台 忠实义务 补充性的合同解释
一、最小必要原则与平台处理目的之间的张力
依据我国现行法,处理个人信息应当遵循必要原则。比如,个人信息保护法第5条规定,处理个人信息①应当遵循合法、正当、必要和诚信原则,不得通过误导、欺诈、胁迫等方式处理个人信息。②在个人信息保护法审议过程中,一些常委委员建议根据“最小必要原则”进一步强调不得过度收集个人信息。③在该法草案历次审议稿中,有关最小必要原则的规定不断得到丰富、完善。④在个人信息保护法中,最小必要原则在多个条文中得到体现。比如,该法第6条两款规定都涉及该原则:“处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式”;“收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息”。又如,该法第19条规定,除法律、行政法规另有规定外,个人信息的保存期限应当为实现处理目的所必要的最短时间。个人信息处理者违反上述规定的,行政机关可依法责令改正、给予行政处罚,信息主体亦可依法求偿。上述规定系采纳法律实践中已经出现的个人信息处理范围最小化的做法,以“最小”对必要原则加以限定,指引行政机关、司法机关在权衡个人信息处理是否超出必要范围时,按照最小值来把握。
网络平台一般是指通过网络信息技术,使相互依赖的双边或者多边主体在特定载体提供的规则下交互,以此共同创造价值的商业组织形态。⑤尽管双边市场或者多边平台的商业组织形态早已存在,⑥但只有在互联网、移动宽带、智能手机、云计算等被广泛应用之后,多边平台的商业组织形态才展现出极强的间接网络外部性,⑦在较短时间内对传统商业组织形态进行“创新性毁灭”,因而受到前所未有的关注。⑧对海量个人信息进行自动收集、加工并经营相关数据产品,是网络平台经营者(以下简称“网络平台”)的主要商业模式及核心竞争力所在。⑨从某种意义上说,能够运用信息技术收集和分析海量个人信息的网络服务经营者都有发展平台业务的趋势,网络平台已成为市场中最重要的个人信息处理者。有研究指出,一些网络平台直到上市之后也没有严格执行个人信息处理的最小必要原则。⑩在实践中,执法机关、司法机关大多采取严格适用最小必要原则的立场,该原则中的最小化要求与网络平台实现其主要处理目的之间存在巨大张力。如何适用该原则才能妥善协调个人信息保护与数据有效利用之间的关系,才能良好兼顾信息主体的人格权益与网络平台的商业利益,是数字经济背景下的重要法律课题。
我国学界对个人信息处理中的必要原则不乏探讨。有学者研究了告知同意原则与必要原则之间的关系,指出前者应当受到后者的制约;(11)有学者在目的限制原则之下阐释了处理活动与处理目的之间的直接相关性、个人信息处理最小化等内容;(12)也有学者主张在大数据时代应对最小必要原则的功能和地位进行反思;(13)还有学者主张在健康码运用中强化最小必要原则。(14)整体上看,学界关于该原则的专门研究较少,尤其是缺少关于该原则在平台实践中适用问题的系统研究。有鉴于此,揭示最小必要原则在平台处理个人信息实践中的适用现状和疑难问题,澄清其适用条件,探讨可能的缓和适用或者豁免适用方案,对于个人信息保护及平台责任的相关理论和实践富有意义。
(一)最小必要原则在网络平台处理个人信息实践中的严格适用
最小必要原则也称数据最小化原则、最少够用原则。在经济合作与发展组织(OECD)的《隐私保护和个人数据跨境流通指南》(1980年发布,2013年修正)中,(15)依据数据质量原则、目的限制原则和使用限制原则,处理个人信息应当局限在为实现特定目的所必需的范围内,这其实已经包含了最小必要原则的主要内容。欧盟2016年《通用数据保护条例》(16)第5条第1款第c项是关于数据最小化(data minimisation)原则的规定,其要求处理个人数据应当足够、相关,且限于数据处理目的所必需的范围,该款第e项规定个人数据的存储时间要严格限定在最小值。美国联邦贸易委员会一直将数据最小化作为公平信息实践中的一项原则,认为其有助于减少两方面的风险:一是数据越少,对数据窃取者的吸引力越小,故而有助于减少数据泄露的风险;二是数据越少,数据处理者利用数据实施违背消费者合理期待的行为时其行动能力越低,从而有助于减少消费者因此受损的风险。(17)在我国,个人信息保护法草案历次审议稿中均包含关于最小必要原则的规定,国家标准中也有关于该原则的具体规定。比如,按照《信息安全技术个人信息安全规范(GB/T 35273-2020)》第4条,最小必要原则要求“只处理满足个人信息主体授权同意的目的所需的最少个人信息类型和数量。目的达成后,应及时删除个人信息”。
最小必要原则是国内外法律实践中被普遍接受的个人信息处理原则,其源自传统的比例原则。(18)以“最小”对“必要原则”的内涵进行限定,意味着该原则必定包含“负面影响最小”“最小侵害”等内容,而与学者提出的所谓包含“最大保护”内容的比例原则无关。(19)最小必要原则包括以下三方面内容(子原则):其一,相关性,又称适当性。个人信息处理应当与特定目的的实现具有相关性,能够有助于特定目的的实现。按照我国个人信息保护法第6条第1款,这种相关性必须是直接相关性,即实现处理目的与个人信息处理之间具有必然的、紧密的联系。比如,为履行在平台内订立的买卖合同,收集、存储、使用消费者的位置信息均属于有直接相关性的处理活动,不宜将具有直接相关性的个人信息处理界定为直接导致处理目的实现的个人信息处理,否则便会割裂个人信息收集、存储、使用、加工等各环节之间的内在联系。其二,最小化。个人信息处理应限制在为实现特定目的所必不可少的范围内,即离开某项个人信息的处理,就无法合理地通过其他手段实现目的。(20)对个人信息保护法第6条中“对个人权益影响最小的方式”“收集个人信息,应当限于实现处理目的的最小范围”进行解释,可以得出最小化原则的具体要求,包括最少数量、最少类型、最短存储时间、最小共享范围、最低处理频率等。其三,合比例性。从最小必要原则的渊源和比较法经验出发,可以推出合比例性这一子原则,即个人信息处理所带来的风险与特定目的实现所带来的利益相比须符合一定比例。在瑞典,一家学校因采用人脸识别技术记录学生的出勤情况而遭受处罚。执法机关认为该学校实施的个人数据处理行为虽然有助于实现记录目的,但不合比例(disproportioned to the goal)。(21)记录学生的出勤情况是一项特定目的,处理人脸信息等生物识别信息是手段,该手段固然有助于实现该目的,但并非是实现该目的所必不可少的;更重要的是,上述生物识别信息是敏感度高的个人信息,一旦泄露或者被不当利用便可能给信息主体带来巨大危险或者严重损害,故这类个人信息的处理所带来的风险与实现该特定目的所带来的利益(提升记录效率)相比显著不合比例,该处理行为不满足最小化、合比例性这两个子原则的要求。
在我国,网络执法部门始终采取严格适用最小必要原则的立场。按照《App违法违规收集使用个人信息行为认定方法》(国信办秘字[2019]191号)第4条,只有实现具体业务功能需要,才能收集个人信息;不得仅以改善服务质量、提升用户体验或定向推送信息等为由强制要求用户同意收集个人信息。《常见类型移动互联网应用程序必要个人信息范围》(国信办秘字[2021]14号)对39类互联网应用程序之必要个人信息的范围作出规定,从消费者的视角出发对处理目的加以严格限制,将必要个人信息的范围限定为最小值。比如,网上购物类应用程序的基本功能服务被界定为“购买商品”,必要个人信息仅包括三方面内容:(1)注册用户移动电话号码;(2)收货人姓名或名称、地址、联系电话;(3)支付时间、支付金额、支付渠道等支付信息。又如,浏览器类、应用商店类应用程序等被认为无需个人信息即可使用基本功能服务。按照该文件的立场,大多数应用程序对用户的位置信息、通讯录信息、网上浏览记录等都没有必要收集。在司法实践中,有的法院也将个人信息处理目的严格限定为满足用户使用某项业务功能。在俞延彬与浙江天猫网络有限公司等网络侵权责任纠纷案(以下简称“俞延彬诉天猫公司侵权案”)中,(22)某大型购物平台经营者与某支付服务提供者共享了消费者的线下交易信息。法院认为,处理个人信息的“必要范围”是指该范围对于用户必不可少,而非仅为网络运营者运营之必要,“支付宝公司将线下门店交易信息传输给淘宝公司……以便线上线下门店实现线下门店引流等目的。该使用目的并非基于用户的‘必要’,而是基于网络公司的商业考量”。可见,法院认为基于所谓“引流”的商业目的共享线下交易信息超出了个人信息处理的必要范围,因为处理个人信息的目的应当是保障用户正常使用某项业务功能,这与前述执法实践中的立场颇为接近。
与上述立场形成鲜明对比的是,实践中大多数应用程序尝试获取更多个人信息。(23)诚然,其中有的应用程序超出必要范围收集个人信息时缺乏明确、合理的目的,应予以制止。不过,如果处理个人信息的目的是为了促使消费者与平台内经营者在更大范围内订立合同,恐怕不宜完全否定该目的的明确性、合理性。如果将网络平台处理个人信息的目的仅认定为保障消费者使用某项具体业务功能,网络平台处理个人信息的范围可能被过度限缩,其商业利益可能得不到合理照顾,其既有商业模式可能难以为继。
与俞延彬诉天猫公司侵权案有所不同的是,在凌某某诉北京微播视界科技有限公司隐私权、个人信息权益网络侵权责任纠纷案(以下简称“凌某某诉微播视界公司侵权案”)中,(24)法院认为:“就信息使用的目的而言,除满足或促进用户在抖音App中建立社交关系外,还具有一定的商业目的,但个人信息的合理使用并不必然排除出于商业目的的使用。”在黄某诉腾讯科技(深圳)有限公司等隐私权、个人信息权益网络侵权责任纠纷案(以下简称“黄某诉腾讯公司侵权案”)中,(25)法院也持类似立场:“腾讯公司对成功开发及运营微信所积累的用户关系数据,可以在其关联产品中予以合理利用……微信读书APP若要开展微信好友间的阅读社交,收集原告好友列表并不违反必要原则。”可见,该法院认为网络平台关于促使消费者在各关联企业开发的各类应用程序中尽可能多互动的目的具有商业上的合理性,从而更多顾及网络平台的商业利益。
我国实践中的另一种典型做法是,在网络平台处理个人信息的侵权纠纷中严格适用告知同意规则,甚至将违反该规则作为认定违反必要原则的重要考量因素。在俞延彬诉天猫公司侵权案中,法院认为网络运营者共享用户个人信息时不应采用概括授权模式,而需要在具体场景中再次取得用户同意,否则信息主体无法明确知道其个人信息被使用的方式、范围等。在凌某某诉微播视界公司侵权案中,法院认为网络平台未经信息主体同意而进行超过合理期限的存储,有可能不合理地扩大个人信息泄露或被不当利用的风险,违反处理个人信息的必要原则。依据民法典第1035条第1款,遵循必要原则和取得信息主体的同意是处理个人信息时两个并列的前提条件。颇不明确的是,假设网络平台向信息主体单独告知并获得后者的明确同意,“超过合理期限存储姓名和手机号码”等个人信息处理行为是否还会违反必要原则。
总之,在关于网络平台处理个人信息是否违反必要原则的执法、司法实践中,存在以下令人困惑的问题:一是,究竟应如何认定网络平台处理个人信息的目的,如果仅认定为保障用户使用某项业务功能,是否与其真实处理目的不相符;这种严格限制处理目的的适用方法会产生哪些不利影响。二是,假设严格限制处理目的的适用方法有不利影响,既有制度方案能否、在多大程度上可以应对。三是,最小必要原则的适用条件是什么,是否有豁免适用的方案;假设有此方案,其又能否有效平衡信息主体的人格权益与网络平台的商业利益。
(二)网络平台的服务性质与多层次处理目的
要澄清平台处理个人信息的目的,必须先探明平台服务的性质。关于法律意义上的网络平台,学界有不同理解和界定。(26)鉴于电商平台的典型性,本文以电子商务法中的电子商务平台经营者概念为基础界定平台服务的性质。该法第9条第2款规定:“本法所称电子商务平台经营者,是指在电子商务中为交易双方或者多方提供网络经营场所、交易撮合、信息发布等服务,供交易双方或者多方独立开展交易活动的法人或者非法人组织。”尽管该法第2条第3款将金融服务类平台、音视频类平台等排除在适用范围之外,但是“促使他人独立开展交易活动”这一要素反映了各类平台服务的共同特征。在域外法上,欧盟2019年通过的《关于促进向商户提供的网上中介服务的公平性和透明性的条例》(27)(以下简称欧盟《网上中介服务公平透明条例》)第2条对网上中介服务(28)的要素作出规定,其要素之一是,网上中介服务的目的是促使商户与消费者进行直接交易(direct transactions),无论这些直接交易是否最终缔结。(29)该条例所调整的网上中介服务提供者主要包括网上电子商城、网上应用软件商店、社交媒体平台的经营者;搜索引擎经营者也基本上适用该条例。(30)该条例规定的网上中介服务大致相当于我国法上的网络平台服务,两者的主要内容都是促使平台内用户进行“直接交易”。概言之,网络平台服务就是第三方主体利用网络信息技术提供的交易媒介服务。
网络平台提供交易媒介服务时,个人信息处理和算法发挥关键作用。某网络平台甲公司2019财年年报称,其客户管理服务主要包括:按效果付费的营销服务,即基于点击付费的关键词搜索结果排名服务;植入式营销服务,即为具有类似画像的消费者群体在浏览页提供相匹配的产品或服务项目,展示的位置、价格由算法决定;按固定价格或“千人成本”市场价收费的展示服务。(31)收取营销服务报酬是甲的主要收入来源,在植入式营销服务中根据算法进行精准匹配必然以描绘消费者群体画像为前提。甲在上市招股书中还称,作为数据管理平台,其先将某汽车制造商乙公司的线下访问数据与甲平台中的数据进行比对,识别出相关消费者,然后运用算法对这些消费者补充额外特征,再为乙向具有类似特征的大范围消费者投放定向广告,促使乙的客流量显著提升。(32)可见,只有在超大范围内处理个人信息,甲才能促使线上和线下的缔约接触行为乃至缔约行为大量发生。
掌握大数据分析技术的网络平台在推动合同成立方面所发挥的作用与传统中间商相比发生了重要变化。网络平台提供媒介服务的目的并非促使有限数量的合同成立,而是促使海量的缔约接触行为发生。传统中间商只有在推动合同成立时,才有权收取报酬,否则只能就必要费用请求偿还;网络平台在促使当事人产生有效缔约接触行为时便产生报酬请求权,在合同成立时则进一步收取报酬。所谓有效缔约接触,是指商品、服务的基本信息得到真实的传递。若制造虚假的浏览数据和交易数据,那不仅会损害大多数商户的利益,也会对消费者产生误导,对网络平台的经营活动弊大于利。通过对浏览记录、交易信息等个人信息进行自动收集、分析和加工,网络平台可以精准预测不同内容的受欢迎程度、不同区域访问者的爱好和习惯,网络平台会据此调整服务内容和服务方式,制定相应的推荐内容,作出关于广告合作和服务器布局等重要事项的经营决策。(33)
作为新型中间商,网络平台处理个人信息的目的至少可以分为三个层次:第一,促使平台内消费者尽可能多地进行平台内互动,从而产生更多个人信息。共享用户好友列表信息、拓展社交功能的主要目的便在于此。第二,对海量个人信息进行筛选、分析和加工,描绘出精准的用户画像。网络平台集团内部各企业之间及其与第三人之间共享个人信息的目的主要在于此。第三,为平台内用户提供精准的交易媒介服务,推动线上和线下交易量增加。为此,网络平台往往一方面向消费者提供针对其个性化特征的推荐,另一方面向平台内经营者提供各种数据产品,如淘宝公司诉安徽美景公司不正当竞争案中的“生意参谋”数据产品。
综上可见,网络平台三个层次的处理目的是由其服务内容和交易模式决定的,在多层次的目的背后,隐含着网络平台作为新型中间商的商业利益。实现购物、社交等基本业务功能,仅是网络平台第一层次目的的组成部分,这层目的是其表层的、次要的个人信息处理目的;描绘用户画像、提供精准的交易媒介服务才是其深层的、主要的个人信息处理目的。经由规定针对消费者个人特征的信息推送、商业营销,电子商务法、个人信息保护法已经在一定程度上承认了这种深层处理目的具有存在空间,虽然个性化商业营销受到限制,但立法者显然没有简单否定上述深层目的的明确性、合理性。(34)执法、司法实践之所以未普遍承认上述深层目的,一方面是因为网络平台自身披露不充分、透明度不足,(35)另一方面是因为这些目的不够特定,给最小必要原则的适用带来困难。从逻辑上说,个人信息处理目的越明确、越特定,最小必要原则的适用越有可行性;个人信息处理目的越模糊、越宽泛,最小必要原则的适用越困难。为严格适用该原则,特别是为清晰界定“最小范围”,执法机关、司法机关便不得不对网络平台处理个人信息的目的进行限缩。
(三)严格适用最小必要原则的不利影响
按照实践中的主流立场,网络平台原则上不能基于深层处理目的扩张其个人信息处理范围,而只能为实现具体业务功能处理相应的个人信息。这种严格限制处理目的并严格界定最小范围的做法不仅可能使网络平台的既有商业模式难以为继,而且可能给大数据相关技术的发展带来制约。
第一,如果严格适用最小必要原则,那么网络平台在不同媒介服务中所收集的个人信息原则上不得共享。这是因为,如果不将各类媒介服务中的个人信息处理相分隔并禁止共享,那么只要网络平台不断增加媒介服务的种类,就可以快速扩张个人信息处理范围,最小必要原则便会在很大程度上被规避。禁止共享个人信息的做法虽然有助于最大限度地预防个人信息法益遭受侵害,但会显著降低网络平台开展媒介业务的效率,损害网络平台的商业利益,也可能不利于消费者从媒介服务中获得更大便利。
第二,广义上的网络平台不仅提供交易媒介服务,还往往开展自营业务。(36)媒介服务合同与买卖、运输等合同性质不同,网络平台在不同合同中处理个人信息的目的也不尽相同。若严格适用最小必要原则,就要求媒介服务中的个人信息处理与自营业务中的个人信息处理相分离且原则上禁止共享。如此一来,网络平台的自营业务竞争优势可能遭到显著削弱。
第三,严格适用最小必要原则,可能不利于网络平台发展大数据分析相关技术。我国实施大数据战略,鼓励数据开发利用和数据安全等领域的技术推广和商业创新(参见数据安全法第14条、第16条)。人们已经清楚地意识到,机器学习等大数据分析技术能带来创新性进步,如推动实现自动驾驶汽车的普遍应用,而机器学习必须在足够大的数据量基础上才能实现。最小必要原则常受诟病之处是,其与发展大数据分析技术所需要的数据量之间可能存在紧张关系。严格适用最小必要原则,可能会妨碍数据的自由流动和快速积累。此外,一些数据分析的潜在效益是以未曾预见的方式产生或被发现的。(37)严格适用最小必要原则,可能阻碍这种潜在效益被发现。
不过,对上述后果不应予以夸大或片面看待,更不能以此为由放弃最小必要原则。第一,网络平台媒介服务种类的不断增加以及个人信息处理范围的急剧扩张本身就会引发更大的风险,网络平台将其在不同媒介服务中收集的个人信息进行共享的,往往存在手段与目的之间显著不合比例的问题。比如,在前述黄某诉腾讯公司侵权案中,即使某网上读书程序拓展社交功能的目的具有合理性,某大型社交平台也不应共享用户好友列表,因为该平台内的好友列表其实是一份详尽的个人通讯录,共享该敏感个人信息会给消费者带来不安、困扰,这与读书社交功能的快速实现相比显著不合比例。第二,自营业务与媒介服务相分离符合公平竞争之要求。在网络平台既为平台内经营者提供媒介服务,又开展与之有竞争关系的自营业务时,假设网络平台可以任意利用其在媒介服务中获得的交易信息,进而取得相对平台内经营者的竞争优势,难谓符合公平竞争之要求。第三,尽管网络平台是研发大数据分析相关技术的重要力量,但其在研发活动中并不会对所有数据不加筛选地收集和使用。相反,为产生可信的输出结果,机器学习等对数据的质量和范围恰恰有较严格的要求。(38)对个人信息处理范围予以必要限制,不仅不会妨碍机器学习等大数据核心技术的发展,还可能有助于降低科技发展中的伦理风险。
总之,实践中严格适用最小必要原则的做法有值得赞同之处,但其对网络平台的主要处理目的不予承认,却未必符合现行法的规定,并且导致了网络平台的处理行为大多违反最小必要原则的尴尬情况。
二、最小必要原则与平台处理目的之间张力的缓解方案及其限度
(一)个人信息自主控制制度对于缓解张力的局限性
按照主流意见,个人信息保护制度本质上是个人信息自主控制或者信息自主权的问题。(39)在欧盟,个人数据保护立法的动因是人们“内心深处那种控制个人数据的渴望”,(40)立法的根据来源于人权国际文件和各国宪法。(41)在民法典通过之前,我国学界围绕个人信息之上是存在民事权益还是公法权利,是民事权利还是民事利益,是人格利益还是财产利益等问题展开深入探讨,形成了个人信息财产权说、(42)具体人格权说、(43)人格利益说、(44)公法上新型权利说(45)等不同观点。在民法典实施背景下,应当认为在实定法上虽无作为具体人格权的个人信息权,但存在着与隐私权既有密切联系又有重要区别的个人信息法益。(46)有学者认为,隐私权强调个人生活私密领域免受侵扰,信息自主权或者个人信息权益则强调对个人信息的自主控制,是一种积极、能动的自主决定权。(47)也有学者认为,无论是隐私权还是个人信息权益,其主要功能都在于防御,自然人享有控制性权能的主要目的是防止受到侵害。(48)无论如何,理论和实践中的共识是信息主体应当享有控制个人信息的权能。(49)
按照个人信息自主控制路径,只要信息主体在充分知情的前提下作出同意或者订立相关合同,相对人就可以处理为实现特定目的所需个人信息之外的个人信息,(50)信息主体从而在更大范围内接受了自身权益的克减。还有意见认为,当个人信息处理者向用户支付对价,并获得用户明确同意后,其可以适当突破最小必要原则,处理严格保护模式下无法获得的数据。(51)然而,在平台实践中,依靠个人信息自主控制制度只能在十分有限的范围内缓和最小必要原则中的最小化要求,其主要原因有二,一是人格权益不得任意处分,二是意思表示普遍缺乏自由。
1.人格权益不得任意处分
结合民法典第990条第2款来解释,个人信息法益应属于“其他人格权益”,不得被任意处分。即使信息主体自愿“同意”其个人信息被无限制地处理,法律也不认可这种意思表示的有效性。
自然人对个人信息的自主控制属于私法自治的范畴。(52)私法自治的伦理内涵可追溯至康德理性哲学中的自由意志。(53)支撑近代民法的伦理观念是,“人依其本质属性,有能力在给定的各种可能性的范围内,自主地和负责地决定他的存在和关系,为自己设定目标并对自己的行为加以限制”。(54)人正因为是伦理学意义上的“人”,所以其本身具有一种价值,即人不能仅仅作为其他人达到目的的手段。进一步说,每一个人都有权要求其他任何人尊重其人格并且不侵害其生命、身体、健康和私人领域。(55)近代民法各项基本制度都旨在维护人与人之间的互相尊重关系,保障人自主地、负责地自我发展。个人信息保护的主要目的是消除自然人在信息化世界中被他人操控的疑虑和恐慌,使其有自尊并受尊重地生存和生活。(56)无论平台经济带来何种便利,都不能以损害信息主体的自主发展为代价。信息主体同意网络平台大范围处理个人信息的有效性以该意思表示符合伦理要求为前提。因此,超过伦理限度的“同意”即使出于个人自愿也不会被法律所保护。
同意的有效限度突出体现在特定敏感个人信息的处理上。我国《征信业管理条例》第14条第1款和第2款分别规定:“禁止征信机构采集个人的宗教信仰、基因、指纹、血型、疾病和病史信息以及法律、行政法规规定禁止采集的其他个人信息”;“征信机构不得采集个人的收入、存款、有价证券、商业保险、不动产的信息和纳税数额信息。但是,征信机构明确告知信息主体提供该信息可能产生的不利后果,并取得其书面同意的除外”。结合该条第2款来解释,该条第1款关于禁止处理特定个人信息的规定显然不能通过“告知同意”予以排除适用,其否定了信息主体自由同意的有效性。在我国台湾地区,原则上禁止处理有关病历、医疗、基因、性生活、健康检查及犯罪前科的个人资料;逾越特定目的之必要范围的,即使经当事人书面同意也不得处理上述个人资料。易言之,超出必要范围处理特定个人信息的行为被严格禁止,当事人的书面同意亦属无效。
在个人信息保护实践中,应当禁止基于商业目的超出最小范围对生物识别信息、反映宗教信仰的信息、反映种族等特定身份的信息、医疗健康信息、性生活或性取向信息等敏感度高的个人信息进行处理,信息主体即使同意亦属无效。对上述个人信息之外的敏感个人信息,如行踪轨迹、金融账户、交易信息、网上浏览记录,只有遵循个人信息保护法第29条和第30条所规定的严格的告知同意规则,才能基于商业目的超出最小范围予以处理;(57)质言之,只有在清楚、详尽、单独告知信息主体处理行为对个人权益的影响(特别是不利后果)之后,信息主体仍自愿、明确作出单独同意时,才能基于商业目的超出最小范围处理上述个人信息。
依据个人信息自主控制制度,只要是为订立、履行其与信息主体的合同所必需,网络平台即使未经信息主体同意也可以处理相关个人信息。(58)在这种场合,信息主体的“同意”被包含在订立合同的意思表示中,提供个人信息成为信息主体的协助义务,网络平台处理个人信息的行为则是正当行使合同债权的行为。但是,对于超出最小范围的处理来说,“为订立、履行合同所必需”规则不仅面临着与告知同意规则类似的困境,还有其自身的局限性:对于敏感个人信息,单独获得的明确同意尚可能为相关处理行为提供合法性基础,包含在缔约意思表示中的同意则不能产生这种效果。
2.意思表示普遍缺乏自由
个人信息自主控制制度之所以具有局限性,更重要的原因是,在信息主体与网络平台的关系中普遍存在意思表示缺乏自由的问题。
第一,由于网络隐私政策等格式合同条款的晦涩冗长以及个人信息处理的复杂性等原因,即使网络平台清楚、详尽地告知消费者个人信息处理的方式、范围、后果等,消费者也难以真正理解其中的内容;即使理解了字面含义,其也难以准确理解其深层内涵和可能给自身带来的影响。
第二,实践中网络平台的隐私政策往往采取事先“一揽子”同意的模式,而非就超出最小范围的特定个人信息的处理单独取得同意,这意味着不作出“一揽子”同意就无法享受基本服务。即使消费者能够充分理解隐私政策等格式合同条款的含义,并准确判断相关个人信息处理行为对自身权益的影响,为享受平台服务,其也不得不同意网络平台超出最小范围处理个人信息。这种同意应被认定为“非自愿”作出的同意。(59)
第三,在大型网络平台提供服务的场合,即使每次告知都是清楚、详尽、单独的,且不以消费者的同意为提供基本服务的条件,消费者也无法真正自由地拒绝。原因是,大型网络平台已经成为消费者日常生活中依赖的对象,一方面不可合理期待消费者拒绝与之建立交易关系,另一方面不可合理期待消费者反复拒绝其处理请求,否则很可能给消费者的日常生活带来不便。
从理论上说,如果不断增加告知义务的强度,有可能促使信息主体实现真正的自主控制。照此方案,在超出最小范围处理个人信息时,个人信息处理者不仅要对消费者进行单独告知,还要对其无法理解的内容进行详细解释,将消费者作出理性认识和判断作为其有效同意的前提。该方案固然可以从根本上解决问题,但有明显局限性:其一,超出最小范围收集个人信息时,说明过程越长、内容越复杂,消费者越容易丧失耐心从而拒绝同意,处理便无法实现。其二,每个消费者的认识能力和判断能力有很大差异,有效同意的范围和内容也可能千差万别,若为此有针对性地设计个人信息处理方案,会产生很高的成本。可见,个人信息自主控制的强化方案面临现实障碍,难以借此消除意思表示普遍不自由的现象。
(二)匿名化制度对于缓解张力的局限性
为了对海量数据进行有效利用,还可以采用匿名化处理的方式来实现数据利用与个人信息保护之间的平衡。但是,匿名化制度对于缓解最小必要原则与平台处理目的之间的张力只有很有限的作用,其主要原因有二:其一,匿名化处理后,最小必要原则的排除适用仍是相对的;其二,匿名化处理与网络平台的主要处理目的之间有难以调和的矛盾。
在进行严格的匿名化处理之后,最小必要原则便被排除适用,但是实践中的匿名化处理无法消除“去匿名化”(deanonymization)的风险,故仍可能受到最小必要原则的制约。依据民法典第1038条第1款和个人信息保护法第73条第4项,匿名化处理后的信息是无法识别特定自然人且不能复原的信息。据此,匿名化处理后的信息不属于个人信息,一经记录,便是可以开发利用的数据。数据安全法第32条第1款规定,任何组织、个人收集数据,应当采取合法、正当的方式。可见,数据收集在一般层面不再遵循必要原则。不过,匿名化处理主要是将个人信息中可能关联到特定自然人的信息予以删除、替换或者采取其他技术处理措施,其只是在特定时空的合理条件下不可复原,而非在任何条件下都不可重新关联到特定自然人。(60)实践证明,在匿名化处理后的信息基础上,往往只要添加一些“外部信息”(outside information),就会带来去匿名化的结果。(61)在今天,除非信息主体在网络世界中完全沉默,否则很容易留下暴露自身身份的所谓外部信息。去匿名化的风险越高,越有必要适用最小必要原则,以降低个人权益遭受侵害的风险。因此,匿名化处理后,最小必要原则的排除适用仍是相对的。
更重要的是,个人信息中被删除或替换的内容越多,处理后的信息越缺乏经济价值、科研价值,严格的匿名化处理可能导致网络平台无法实现其主要处理目的。举例来说,匿名化处理通常禁止处理者再识别个人信息,对于网络平台而言,这实际上要求其建立严格的数据隔离机制。但是,网络平台所采取的主要处理措施恰恰是进行个人信息共享,因为只有大范围共享个人信息,才能描绘精准的用户画像,才能提供精准媒介服务。匿名化处理后的信息不再关联到特定个人,也不再具有个体分析价值,(62)而提供精准媒介服务是以消费者的个性化需求为基础对商品或服务进行推荐,两者之间显然存在难以调和的矛盾。
总之,个人信息自主控制制度虽然能够为网络平台超出最小范围处理个人信息提供合法性基础,但存在明显的局限性。匿名化制度本质上是采取技术措施贯彻个人信息处理最小化的要求,(63)其与网络平台实现主要处理目的之间的矛盾十分突出。就缓解最小必要原则与平台处理目的之间的张力而言,恐怕难以依靠上述制度。
三、忠实义务的承担与最小化原则的豁免适用
(一)最小必要原则适用的前提条件
最小必要原则源自比例原则,后者旨在保障基本权利只受到正当限制,主要用于约束公权力。公权力在侵害人民权利时不仅必须有法律依据(法律保留原则),还必须选择在侵害人民权利的最小范围内行使,在行为手段与行为目的之间应符合一定的比例。(64)比例原则在民商事法律关系中不具有普遍适用的效力,(65)其适用于私主体之间的,应以非由意思自治支配的领域为限。(66)在私主体之间的个人信息处理关系中,不仅消费者的意思表示自由度低,而且个人信息处理者在技术、信息乃至经济地位上都处于优势,(67)这为最小必要原则的可适用性提供了最起码的条件。不过,如本文第一部分所述,最小必要原则中包含最小化这一子原则,故其适用还要满足一项重要的前提条件:个人信息处理会给信息主体的个人权益造成损害或者带来危险,且处理范围的大小与个人权益遭受不利影响的大小具有正相关关系,故越限制个人信息的处理范围,越有助于维护信息主体的个人权益。只有针对这种利益减损型处理行为,才有必要将处理限制在最小范围内;如果个人信息处理的效果是维护、增进信息主体的利益,且越是在较大范围内处理个人信息,越能有效维护、增进信息主体的利益,那便不应将处理范围限定为最小值。比如,按照电子商务法第31条,电商平台经营者对交易信息的存储时间应当是自交易完成之日起不少于3年。因为该个人信息存储活动旨在防范和协助处理平台内交易纠纷、维护合同当事人的合法权益,所以不应适用最短存储时间,该规定应解释为个人信息保护法第19条中的除外规定。可见,对个人信息保护法第6条有关“采取对个人权益影响最小的方式”“限于实现处理目的的最小范围”的规定,应作限缩解释,将其适用范围限于利益减损型个人信息处理行为。
上述前提条件背后的逻辑是,如果个人信息处理者难以将信息主体的利益置于首位,而可能基于公共利益或者私人利益损害或者牺牲信息主体的利益,即使这种损害或者牺牲有其合法基础以及正当目的,也必须将损害或者牺牲的范围限制在最小范围内。(68)反之,如果个人信息处理者在处理个人信息时始终将信息主体的利益置于首位,其便会尽可能避免信息主体的利益遭受损害或者牺牲,最小必要原则的适用便不再必要。由此推断,只要网络平台在处理个人信息时始终将信息主体的利益置于优先地位,最小必要原则的适用便缺乏前提条件。网络平台是否“实际上”将信息主体的利益置于优先地位,是一个事实问题;网络平台是否“应当”将信息主体的利益置于优先地位,是一个规范性问题。前一问题决定了最小必要原则的适用条件是否满足,后一问题决定了对网络平台豁免适用最小必要原则的结果是否值得追求,其对应的法律问题是,网络平台是否负有为信息主体的最佳利益而行动的义务——忠实义务。对后一问题需要从更宏观、更全面的视角进行探讨,只有基于更深层次的理由和更确切的依据,才能认定网络平台负有忠实义务。
对于网络平台是否负有忠实义务,已不乏学理探讨。在域外法上,有学者提出信息受托人(information fiduciaries)理论,在将个人信息处理者(特别是大型网络平台)与律师、医生等类比之后,认为前者属于信息受托人,系基于合同关系或者其他关系获得包括敏感个人信息在内的大量信息,故必须承担与信息相关的信义义务,(69)包括忠实义务、注意义务、保密义务。(70)该学说以及域外相关实践迅速引起我国学者的关注,很多学者表示赞同或者尝试借鉴,希望借助信义关系甚至信托关系来实现个人信息保护与数据利用之间更好的协调。(71)但是,信义义务说在域外法上存有不少争议。支持者认为,向个人信息处理者施加信义义务,有助于确保数据利用行为不背离客户的期待。(72)质疑者认为,将网络平台类比为律师、医生等并不妥当,因为消费者向网络平台提供个人信息并非为了获得专业意见。(73)质疑者还从两个角度展开批评:第一,在网络平台既对股东负有受托人义务,又对信息主体负有受托人义务的情况下,相关利益冲突难以调和。(74)第二,信息受托人理论有将不合理的市场结构进行合理化的嫌疑,其实应反思网络平台为何在数字经济中获得支配性力量,对于网络平台的不当行为应探索结构性(或者基础性)的解决方案。(75)持折中立场的学者认为,尽管不应对所有信息处理关系当事人普遍施加信义义务,但可以寻找一条具有灵活性的中间道路。(76)鉴于信义义务说既有支持者,又有有力的反对声音,加之信义义务的地位在我国未获得广泛共识,应否借鉴该学说,需要深入探讨。
(二)网络平台承担忠实义务的依据
我国学界有关信义义务的讨论主要受到普通法的影响。在普通法系中,判例法、成文法、法律重述、统一示范法均未给信义关系提供一般定义,而是在具体情形(如代理)中认定是否存在信义关系。(77)信义义务的核心是忠实义务,即为他人的最佳利益而行动的义务。围绕信义关系本质属性的争论很多,在合同、身份之于信义关系的意义方面学界分歧尤为明显。有学者认为信义关系不同于合同关系,其是与身份关系、合同关系相并列的第三种关系。(78)有学者则认为,信义关系本质上是一种合同关系,其产生根源在于合同内容具体化的高成本和监督合同履行的高成本,故信义关系规则其实是默示合同条款(implied contractual terms)。(79)有学者在对大陆法系和普通法系进行比较研究后指出,大陆法系合同法调整范围更广,能容纳诸多信义法的内容,但信义法仍适用于一些合同法未予顾及的场合,尤其是一方当事人难以或者不能给予同意的情形。(80)我国公司法、金融法学界普遍采用信义义务的范畴并倡导拓展其适用范围。(81)在我国民法上,信义义务却未能真正落地生根,主要原因有三。其一,信义关系有很浓厚的判例法背景,所涉案件情形复杂多样,即使在普通法上也不易提炼抽象概念或者构建一般理论,更难以在大陆法系民法中予以妥当定位。其二,在大陆法系,一方面,诚信原则发挥着创设义务的作用,从中可以发展出照顾义务、保密义务、协助义务等债务内容;(82)另一方面,私法中的补充性解释规定(如民法典第510条后段)和任意性规定(如民法典第511条)较为丰富,故信义关系规则作为所谓“默示合同条款”发挥独特作用的空间较为狭窄。其三,很多与所谓信义关系有关的制度已经得到专门规定,如民法典第35条规定的“最有利于被监护人的原则”,从这类规定出发直接解释相关义务的内容,更富有实际意义。就网络平台与信息主体之间的关系而言,按照信义义务说,网络平台负有诚实地(或善意地)行动的义务,应该向信息主体报告精准媒介服务的基本逻辑,尊重信息主体的基本选择权。然而,从诚信原则出发足以得出网络平台应当诚实地行动的结论,基于个人信息权益相关学说或者算法规制的视角,(83)也完全可以得出网络平台应当保障信息主体知情权、自主控制权能的结论,信义义务说只不过是从另一个角度为上述规则提供正当性说明。因此,尽管信义义务说具有启发性,但不宜将信义关系的存在作为论证网络平台负有忠实义务等具体义务的前提条件。在我国法上,更合适的思路是,在具体法律关系中探讨忠实义务等具体义务的法定依据或者意定依据,并澄清其内容。对于网络平台来说,其忠实义务的依据可能有三:一是为网络平台、个人信息处理等所作的强制性规定;二是为法律行为所作的补充性解释规定、任意性规定;三是网络平台与信息主体之间有关忠实义务的专门约定。
现行法中有一些包含忠实义务要求的强制性规定。比如,根据电子商务法第38条,网络平台必须履行保护义务,其一方面应在线上实质性审核平台内经营者的资质资格,有针对性地核查商品或服务是否存在缺陷,另一方面应在辅助合同线下履行时提供精准保护,开发和应用具有安全警示、危机应对等功能的应用程序,以保障有特殊需求的消费者群体的人身安全。(84)承担上述保护义务,意味着网络平台必须将信息主体的生命、健康等人身权益置于首位,优先于平台内经营者或者网络平台的财产权益。这种保护义务本质上是附随型忠实义务。
尽管现行法中有体现忠实义务要求的强制性规定,但这些义务没有触及精准媒介服务与个人信息处理最小化之间矛盾的核心。与这些义务不同,更高标准的忠实义务要求网络平台在提供主给付(交易媒介服务)的过程中,为信息主体在买卖等合同中的可得利益最大化而行动。这类忠实义务决定着媒介服务合同中的给付内容,可称之为给付型忠实义务。在实践中,尽管网络平台通常采取仅向平台内广告主、出卖人收取服务报酬的商业模式,其仍应对平台内消费者负给付型忠实义务。详细理由如下:
第一,表面上看,广告主、出卖人是付费主体,消费者享受免费服务,但这实际上是一种误解。网络平台的经济属性是多边平台,多边平台内存在不对称的价格结构,表面上一边用户支付高额的费用,而另一边用户完全不支付费用,实际上后者对费用的分担具有隐蔽性,各边用户都接受了有偿媒介服务。网络平台为多边用户提供交易媒介服务的,其类似于商事中介人(居间商)实施双重中介活动。商事中介人可能接受买卖双方当事人的委托实施中介活动,而仅有一方当事人向其支付中介报酬,商事中介人却并非仅为该方当事人提供有偿服务,而是为双方提供有偿服务,因为中介报酬实际上被另一方当事人分担。对于这类媒介服务提供者与双方当事人之间的合同关系,应从整体视角出发判断有偿性,否则该媒介服务提供者对双方当事人所负注意义务的标准、所负瑕疵担保义务的内容便有明显不同,从而产生不合理的结果。类似地,网络平台实际上是为平台内消费者与平台内经营者双方提供有偿服务,应该按照有偿服务的标准为双方的利益而行动。
第二,网络平台之所以对信息主体负有忠实义务,归根结底是从网络平台与消费者之间的合同中补充解释出来的。网络平台基于提供精准媒介服务的目的处理个人信息时,其表示出来的处理目的是“改善服务质量、提升用户体验”,消费者之所以同意,也是基于此目的。但是,对于如何改善服务质量、提升消费者体验,当事人并未明确约定。在这种情况下,与其简单地否定该目的的合理性,不如基于诚实信用原则通过补充性的合同解释方法来确定其合理内容。在补充性的合同解释中,具有决定性意义的不是具体当事人实际上是否同意,(85)而是合同的整体意义脉络、双方当事人的合同目的以及“任何当事人在此环境中都能视作符合公正的利益平衡状态”,补充性的合同解释所追求的乃是“契约的正义”。(86)在基于提供精准媒介服务的目的处理个人信息的关系中,只有补充“为信息主体的最佳利益而行动的义务”,才能达致对任何当事人都可视作公正的利益平衡状态,网络平台如此实施的行为才是任何当事人在真正自愿状态下都会同意接受的行为。
什么是对任何当事人都可视作公正的利益平衡状态?从多边平台的不对称价格结构出发,只能推导出网络平台应当为各方用户的利益而行动,无法推导出网络平台应当将消费者的利益置于更优先的地位。多边平台的商业组织形态决定了其内部存在利益诉求不同的各类主体,平台内消费者希望获得质优价廉的商品或服务,平台内经营者购买数据产品则是为了获得更多的交易机会,网络平台必须平衡这些不同的利益。网络平台之所以应当将消费者的利益置于更优先的地位,是因为消费者向网络平台提供了平台商业模式中最重要的资源——大量个人信息。尽管记录个人信息的数据是否可以定性为商品仍有分歧,但不可否认其具有商业利用价值。离开了大量个人数据,网络平台便丧失了最重要的生产要素。(87)正因为消费者为网络平台提供了如此重要的资源,所以在网络平台以大范围处理个人信息为其盈利模式的基础时,必须将提供该资源的主体的利益置于更优先地位,才符合公平交易的要求,才能达致对任何当事人来说都公正的利益平衡状态。
什么是任何当事人在真正自愿(自由)状态下都会同意接受的平台行为?第一,这种行为是将当事人看作目的,而非仅仅看作手段。从理性哲学的角度说,真正自愿的行动是人在意识到无论对自己的人性还是对别人的人性,“在任何时候都同样看作是目的,永远不能只看作是手段”这一实践命令时,所会采取的行动。(88)第二,这种行为倾向于增进人的幸福。(89)人的幸福不会只由低质量的快乐组成,人会追求高质量的快乐;所谓增进幸福,不是仅增进行为人本人的幸福,而是增进全体相关人员的幸福。(90)按照上述指引,下面的行为便不会是当事人在真正自愿状态下所会同意接受的:(1)为获取更多个人信息,引诱消费者尽可能多地付出时间和精力,乃至造成严重浪费;(2)让同质化的信息紧密围绕在消费者周围,形成难以摆脱的“信息茧房”(information cocoons),使消费者陷入狭隘、偏执,以致出现坏的“极化”;(91)(3)对于提供了大量个人信息、直接或者间接支付报酬的消费者,一方面向其声称提供的是免费服务,另一方面诱使其沉浸于低质量的感官享乐。上述行为明显倾向于将消费者仅仅作为手段来对待,而没有考虑消费者是否真正获得高质量的幸福。只有与之方向相反的行为,当事人才会在真正自愿的状态下同意接受。比如,采取防止沉迷的合理技术手段,避免人的精力过度虚耗。又如,为拓宽人的视野、增加人的选择机会,发布多元的信息。还如,在消费者提供了大量个人信息,并直接或者间接支付报酬的情况下,为其尽力提供最高质量的交易机会。如此行动的网络平台便是在为消费者的最佳利益而行动。
综上,网络平台之所以应当承担给付型忠实义务,并非源自法律的强制性规定,通常也不是源自当事人的明确约定,而是源自对当事人之间合同的补充性解释。如果当事人作出明确排除给付型忠实义务的有效约定,网络平台便不必承担该义务。不过需要强调的是,只要不为消费者的最佳利益行动,网络平台基于提供精准媒介服务的目的而处理个人信息的,便可能为维护其他利益而损害消费者的利益,其处理行为便只能归类为利益减损型处理行为,必须受到最小化原则的约束。
(三)给付型忠实义务的内容与最小化原则的豁免适用
网络平台基于提供精准媒介服务的目的处理个人信息时,通常与信息主体之间存在平台服务合同关系。在网络平台“实际上”全面履行给付型忠实义务时,最小必要原则中的最小化原则便不应也不必适用,因为该忠实义务本身便包含以下要求:网络平台在有直接相关性的范围内处理个人信息时,必须尽可能增进信息主体的利益,尽可能避免给信息主体造成损害或者带来危险。对于以接受外部中立机构的监督和评价为附加条件,申请豁免适用最小化原则的网络平台,执法机关、司法机关便不应简单地限缩其处理个人信息的目的并严格限定“最小范围”,而应审查其是否全面履行了忠实义务。
网络平台履行给付型忠实义务的标准是,通过相关程序设计,为消费者提供符合其最佳利益的交易机会。(92)举例来说,电商平台应按照平台内经营者的商品或服务质量来进行推荐,即在消费者愿意支付的对价范围内,始终优先推荐质量最高的商品或服务。对于质量的判断标准有二:一是具体标准,即为每一个消费者提供完全个性化的最佳推荐服务;二是抽象标准,即为一定范围内的同类消费者提供最佳推荐服务。前一标准并不适合采用,因为质量标准越具体化和主观化,越需要大范围处理个人信息以便将个人需求予以精确界定,从而越容易导致个人信息的处理范围过宽;同时,“质优”的标准一旦彻底主观化,外部中立机构便难以判断网络平台的义务是否得到全面履行。后一标准适合采用,因为向一定范围内的同类消费者提供质优的商品或服务的,既可以将个人信息处理限制在合理范围内,也可以从该群体中一个理性人的标准出发判断义务是否全面履行。在判断质量时,应当考虑消费者评价、商品参数等因素。对于无法作出质量比较的商品或服务,只有进行多元化推荐,不断拓展消费者的视野和选择范围,才可谓尽到给付型忠实义务。
也许有质疑意见认为,所谓网络平台负有给付型忠实义务的观点,严重背离网络平台的现行商业模式,可能对经济效率产生不利影响。对此可以从两个方面予以回应。第一,承担给付型忠实义务并不意味着网络平台不得接受平台内经营者的委托,对后者的商品或服务提供广告发布服务,而是意味着不得影响“为消费者的最佳利益行动”,尤其是不能将竞价排名与按质推荐混在一起,从而产生误导。第二,更重要的是,尽管作为多边平台的网络平台有助于降低交易成本、提升经济效率,但并不意味着只有网络平台按照竞价排名或者类似推荐模式开展经营活动,才能提升效率。单纯的按质推荐与单纯的竞价排名相比,前者更有可能增进最大多数社会成员的最大利益,从功利主义的角度来说前者更为可取。
对于网络平台履行给付型忠实义务的实际情况,须由具有公信力的外部中立机构予以评价。评价的内容是:基于相关程序设计,在对个人信息处理给个人权益带来的正、负两方面影响进行综合考虑后,所产生的综合影响是否为正面;基于相关程序设计,处理范围的大小是否与综合后正面影响的大小有正相关关系。在评价结论均为“是”的情况下,该网络平台便适用“合理的必要”原则。该必要原则仍包括相关性、合比例性的子原则,但不包括最小化这一子原则。替代最小化原则的是有限性原则,即网络平台在与实现处理目的有直接相关性的范围内处理个人信息时,无论综合后正面影响有多大,处理行为给个人权益造成的负面影响都必须被控制在一定限度之内:(1)个人信息处理给个人权益造成的损害必须被控制在不显著的范围内;(2)个人信息处理给个人权益带来的危险必须被控制在不巨大的范围内。并且,按照个人信息类型的不同应有不同的要求。对于敏感度高的个人信息,只能在最小范围内处理,因为这类个人信息的处理所带来的危险始终是巨大的,所以只有在最小范围内处理才能符合忠实义务的要求。比如,应避免处理指纹信息等生物识别信息,无论其在经济生活中带来的便利有多大。对于非敏感的个人信息和敏感度低的个人信息,如消费者的姓名、出生日期、平台内交易信息,网络平台可以在有直接相关性的最大范围内处理,但不得超出前述要求的限度。
对最小必要原则应从相关性、最小化、合比例性三个方面来理解。我国执法机关和司法机关采取严格适用最小必要原则的立场,将网络平台处理个人信息的目的限缩在实现具体业务功能上,并将处理范围限定为最小范围。然而,实现具体业务功能只是网络平台的次要处理目的,其主要处理目的是在描绘用户画像的基础上,为平台内用户提供精准的交易媒介服务。最小必要原则中的最小化要求与平台实现主要处理目的之间呈现出巨大张力。
在私人关系中,最小必要原则适用的前提是,个人信息处理者与消费者之间的关系具有不平等性、非自愿性,且个人信息处理行为是利益减损型行为。如果网络平台实际上始终为增进信息主体的利益而行动,最小必要原则的适用便缺乏前提条件。对于提供精准媒介服务的网络平台来说,与其简单地否定其主要处理目的的明确性、合理性,不如基于诚实信用原则通过补充性的合同解释方法来确定其合理内容,即网络平台负有给付型忠实义务。网络平台可以以接受外部中立机构的监督和评价为附加条件,申请豁免适用最小化原则。网络平台承担该忠实义务并不会降低个人信息保护的标准,因为保障信息主体的知情权和自主控制权能以及避免处理敏感度高的个人信息都是该义务的题中应有之义。给付型忠实义务的独特意义在于,引导网络平台履行“按质推荐义务”,并允许其基于提供精准媒介服务的目的在合理的必要范围内处理非敏感的个人信息和敏感度低的个人信息。
注释:
①依据该法第4条第2款,个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。
②在个人信息保护法之前,《全国人民代表大会常务委员会关于加强网络信息保护的决定》第2条第1款、消费者权益保护法(2013年修正)第29条第1款、网络安全法第41条第1款、民法典第1035条第1款都规定了收集和使用个人信息(或者处理个人信息)时应当遵循合法、正当、必要的原则。
③参见《全国人民代表大会宪法和法律委员会关于〈中华人民共和国个人信息保护法(草案三次审议稿)〉修改意见的报告》,2021年8月19日,http://www.npc.gov.cn/npc/c30834/202108/5e507c650c4147f6a600d9935868b2c5.shtml,2021年11月9日最后访问。
④该法草案一审稿第6条规定:“处理个人信息应当具有明确、合理的目的,并应当限于实现处理目的的最小范围,不得进行与处理目的无关的个人信息处理。”二审稿第6条在此基础上增加了“采取对个人权益影响最小的方式”。三审稿第6条设两款,第1款进一步强调个人信息处理应当与处理目的“直接相关”,第2款进一步强调“不得过度收集个人信息”。
⑤参见《国务院反垄断委员会关于平台经济领域的反垄断指南》(国反垄发[2021]1号)第2条。该定义契合经济学上关于双边市场或多边平台的内涵界定。See Mark Armstrong,Competition in Two-Sided Markets,37 RAND Journal of Economics 668,668(2006).
⑥例如,信用卡经营便是多边平台的商业组织形态。See Michael Katz & Jonathan Sallet,Multisided Platforms and Antitrust Enforcement,127 Yale L.J.2142,2143(2018).
⑦网络外部性分为直接网络外部性和间接网络外部性,间接网络外部性是指当采用某产品的用户增加时,会有更多互补性产品得以供给,并使价格降低,故用户规模十分关键。参见[法]让·梯若尔:《产业组织理论》,张维迎总译校,中国人民大学出版社2018年版,第429页以下。
⑧See David S.Evans & Richard Schmalensee,Matchmakers:The New Economics of Multisided Platforms,Boston,Mass.:Harvard Business Review Press,2016,p.203.
⑨关于数据产品的商业价值,参见安徽美景信息科技有限公司与淘宝(中国)软件有限公司商业贿赂不正当竞争纠纷案(以下简称“淘宝公司诉安徽美景公司不正当竞争案”),浙江省杭州市中级人民法院(2018)浙01民终7312号民事判决书。
⑩See Timothy L.Yim,Opening the Door to Trust,7(5) Landslide 28,30(2015).
(11)参见张新宝:《个人信息收集:告知同意原则适用的限制》,《比较法研究》2019年第6期,第1页。
(12)参见程啸:《我国个人信息保护法中的目的限制原则》,《人民法院报》2021年9月2日第5版。
(13)参见范为:《大数据时代个人信息保护的路径重构》,《环球法律评论》2016年第5期,第109页;丁晓东:《论个人信息法律保护的思想渊源与基本原理——基于“公平信息实践”的分析》,《现代法学》2019年第3期,第106页以下。
(14)参见宁园:《健康码运用中的个人信息保护规制》,《法学评论》2020年第6期,第111页。
(15)OECD,Recommendation of the Council concerning Guidelines governing the Protection of Privacy and Transborder Flows of Personal Data[C(80)58/FINAL,as amended on 11 July 2013 by C(2013)79],https://legalinstruments.oecd.org/public/doc/114/114.en.pdf,last visited on 2021-11-13.
(16)Regulation(EU)2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data,and repealing Directive 95/46/EC(General Data Protection Regulation).See Official Journal of the European Union,L 119/1.
(17)See Federal Trade Commission,FTC Report on Internet of Things Urges Companies to Adopt Best Practices to Address Consumer Privacy and Security Risks,Jan.27,2015,https://www.ftc.gov/news-events/press-releases/2015/01/ftc-report-internet-things-urges-companies-adopt-best-practices,last visited on 2021-01-10.有学者认为,数据最小化原则源于美国法,在几十年后才在欧洲立法上获得承认,只不过美国在执行力度上明显落后。See Michael L.Rustad & Thomas H.Koenig,Towards a Global Data Privacy Standard,71 Fla.L.Rev.365,416-417(2019).
(18)欧盟《通用数据保护条例》中的数据最小化原则被认为符合欧盟《基本权利宪章》第52条第1款关于限制基本权利应遵循比例原则的规定。[日]宮下紘『EU一般データ保護規則』(勁草書房,2018年)47頁参照。
(19)有学者主张,比例原则不仅可以适用于负担行政,还可适用于给付行政,此时应将“最小侵害”变更为“最大保护”。参见梅扬:《比例原则在给付行政中的适用》,《财经法学》2020年第4期,第76页。
(20)参见欧盟《通用数据保护条例》序言第39段。
(21)See CMS,GDPR Enforcement Tracker,https://etid.link/ETid-67,last visited on 2021-01-10.
(22)参见北京市海淀区人民法院(2018)京0108民初13661号民事判决书。
(23)中国消费者协会2018年发布报告称,其对10类100款应用程序进行测评,发现91款应用程序涉嫌过度收集或使用用户个人信息,对位置信息、通讯录信息的过度收集或使用最为严重。参见中国消费者协会:《100款App个人信息收集与隐私政策测评报告》,http://www.cca.org.cn/jmxf/detail/28310.html,2020年12月20日最后访问。
(24)参见北京互联网法院(2019)京0491民初6694号民事判决书。
(25)参见北京互联网法院(2019)京0491民初16142号民事判决书。
(26)参见韩洪今:《网络交易平台提供商的法律定位》,《当代法学》2009年第2期,第101页;杨立新、韩煦:《网络交易平台提供者的法律地位与民事责任》,《江汉论坛》2014年第5期,第85页;薛军:《电子商务法平台责任的初步解读》,《中国市场监管研究》2019年第1期,第18页。
(27)Regulation(EU)2019/1150 of the European Parliament and the Council of 20 June 2019 on promoting fairness and transparency for business users of online intermediation services.See Official Journal of the European Union,L 186/57.
(28)“网上中介服务”是笔者对欧盟法上“online intermediation services”这一法律概念的直译。民法典将原合同法中的“居间合同”改为“中介合同”后,“中介”便有广、狭二义,广义的中介包含行纪、居间以及非典型的中间商服务,狭义的中介仅指居间。
(29)参见欧盟《网上中介服务公平透明条例》第1条。
(30)参见欧盟《网上中介服务公平透明条例》序言第11段。
(31)See Alibaba Group,Annual and Transition Report(Jul.09,2020),https://www.alibabagroup.com/cn/ir/pdf/2020AR_Form20F.pdf,last visited on 2020-08-02.
(32)See Alibaba Group,Securities Registration(Sep.15,2014),https://www.alibabagroup.com/cn/ir/secfilings,last visited on 2020-08-02.
(33)参见深圳市腾讯计算机系统公司、腾讯科技(深圳)有限公司与数推(重庆)网络科技公司、谭旺不正当竞争纠纷案,重庆市第五中级人民法院(2019)渝05民初3618号民事判决书。
(34)参见电子商务法第18条;个人信息保护法第24条。
(35)比如,2021年11月1日更新的《淘宝隐私权政策》中包含如下有关处理目的的说明:“为向您提供更便捷、更优质、个性化的商品及服务,提升您的购物体验……”该说明具有模糊性,并且易生歧义。https://terms.alicdn.com/legal-agreement/terms/suit_bu1_taobao/suit_bu1_taobao201703241622_61002.html,2021年11月9日最后访问。
(36)此时,网络平台不是严格意义上的平台服务提供者,而是出卖人、承运人等。
(37)See Elizabeth R.Pike,Defending Data:Toward Ethical Protections and Comprehensive Data Governance,69 Emory L.J.687,732(2020).
(38)See Mireille Hildebrandt,Primitives of Legal Protection in the Era of Data-Driven Platforms,2 Geo.L.Tech.Rev.252,268(2018).
(39)代表性意见是,个人信息权或个人数据权并非绝对的支配权,而是“保护自然人对其个人数据被他人收集、存储、转让和使用的过程中的自主决定的利益”。参见程啸:《论大数据时代的个人数据权利》,《中国社会科学》2018年第3期,第116页。有学者对个人信息自决权理论进行商榷,认为该理论忽视了信息在个人“身份建构过程”中所发挥的真正作用。参见陆青:《数字时代的身份构建及其法律保障:以个人信息保护为中心的思考》,《法学研究》2021年第5期,第14页。后一学说强调信息主体在身份构建过程中的自主参与,其与前一学说的相似之处是,十分重视同意规则等彰显信息主体自主性的制度。
(40)在欧洲,反映个人数据自决观念的标志性案例是德国1983年“人口普查案”。参见杨芳:《个人信息自决权理论及其检讨——兼论个人信息保护法之保护客体》,《比较法研究》2015年第6期,第25页以下。
(41)参见[德]克里斯托弗·库勒:《欧盟的隐私和数据保护》,温珍奎译,载周汉华主编:《个人信息保护前沿问题研究》,法律出版社2006年版,第26页以下。
(42)参见刘德良:《个人信息的财产权保护》,《法学研究》2007年第3期,第80页。
(43)参见王利明:《论个人信息权的法律保护——以个人信息权与隐私权的界分为中心》,《现代法学》2013年第4期,第62页;杨立新:《个人信息:法益抑或民事权利——对〈民法总则〉第111条规定的“个人信息”之解读》,《法学论坛》2018年第1期,第34页;齐爱民、李仪:《论利益平衡视野下的个人信息权制度——在人格利益与信息自由之间》,《法学评论》2011年第3期,第42页;叶名怡:《论个人信息权的基本范畴》,《清华法学》2018年第5期,第143页。
(44)参见程啸:《民法典编纂视野下的个人信息保护》,《中国法学》2019年第4期,第26页。
(45)参见周汉华:《个人信息保护的法律定位》,《法商研究》2020年第3期,第44页。
(46)参见民法典人格权编第1034条以下之规定。民法典所调整的对象既包括在非自动化处理情形下窃取、非法出售以及泄露个人信息的行为,也包括在自动化处理情形下不当处理个人信息的行为。有学者主张,个人信息权益的内部构造由“本权权益”与保护“本权权益”的权利构成。“本权权益”主要包括人格尊严、人身财产安全以及通信自由和通信秘密等利益,但不包括财产利益。参见张新宝:《论个人信息权益的构造》,《中外法学》2021年第5期,第1144页。
(47)参见王泽鉴:《人格权法:法释义学、比较法、案例研究》,北京大学出版社2013年版,第79页;王利明:《论个人信息权在人格权法中的地位》,《苏州大学学报(哲学社会科学版)》2012年第6期,第73页。
(48)参见前引[44],程啸文,第39页。
(49)对此也不乏深入的反思。代表性论述参见高富平:《个人信息保护:从个人控制到社会控制》,《法学研究》2018年第3期,第83页以下。
(50)参见日本个人信息保护法第16条;我国台湾地区“个人资料保护法”(2015年12月30日修正)第16条、第20条。
(51)参见蔡培如、王锡锌:《论个人信息保护中的人格保护与经济激励机制》,《比较法研究》2020年第1期,第117页。
(52)参见前引[47],王泽鉴书,第214页以下。
(53)参见苏永钦:《走入新世纪的私法自治》,中国政法大学出版社2002年版,第3页。
(54)[德]卡尔·拉伦茨:《德国民法通论》,王晓晔等译,法律出版社2003年版,第45页以下。
(55)同上书,第47页。
(56)参见张新宝:《从隐私到个人信息:利益再衡量的理论与制度安排》,《中国法学》2015年第3期,第45页。
(57)关于敏感个人信息的定义和类型,参见个人信息保护法第28条第1款。
(58)参见欧盟《通用数据保护条例》第22条第2款第a项和第49条第1款第b项;我国个人信息保护法第13条第1款第2项。
(59)按照欧盟《通用数据保护条例》第7条第4款,在判断“同意”是否自由作出时,最主要的考量因素是合同的履行是否以同意进行不必要的个人数据处理为前提条件。
(60)参见欧盟《通用数据保护条例》第4条。
(61)See Paul Ohm,Broken Promise of Privacy:Responding to the Surprising Failure of Anonymization,57 UCLA L.Rev.1701,1707,1724(2010).
(62)个人数据的价值始终在于分析其描述的对象、获取对对象的认知、分析其规律、预测其行动趋势等。如果去掉所有的识别因素,数据不再关联到个体,那么数据就不再具有任何个体分析价值。参见高富平:《数据流通理论——数据资源权利配置的基础》,《中外法学》2019年第6期,第1408页。
(63)参见欧盟《通用数据保护条例》序言第78段。
(64)参见陈新民:《行政法学总论》,2015年台湾自版,第111页。
(65)参见陈景辉:《比例原则的普遍化与基本权利的性质》,《中国法学》2017年第5期,第279页。不同观点,参见纪海龙:《比例原则在私法中的普适性及其例证》,《政法论坛》2016年第3期,第95页。
(66)关于劳动者个人信息保护中比例原则的适用,参见谢增毅:《劳动者个人信息保护的法律价值、基本原则及立法路径》,《比较法研究》2021年第3期,第30页。
(67)大型网络平台被消费者所依赖的现象十分突出。有学者将大型网络平台界定为公用事业经营者。参见高薇:《平台监管的新公用事业理论》,《法学研究》2021年第3期,第84页。
(68)严格地说,信息主体的同意仅提供了“初步”的合法性,只有依据正当原则、必要原则分别对处理目的、处理限度予以控制,才能使个人信息处理实现终局的、全面的合法。
(69)See Jack M.Balkin,Information Fiduciaries and the First Amendment,49 U.C.Davis L.Rev.1183,1206-1209(2016).
(70)See Lindsey Barrett,Confiding in Con Men:U.S.Privacy Law,the GDPR,and Information Fiduciaries,42 Seattle U.L.Rev.1057,1057-1058(2019).
(71)参见冯果、薛亦飒:《从“权利规范模式”走向“行为控制模式”的数据信托——数据主体权利保护机制构建的另一种思路》,《法学评论》2020年第3期,第70页;席月民:《数据信托的功能与制度构建》,《民主与法制》2021年第3期,第54页。
(72)See Ariel Dobkin,Information Fiduciaries in Practice:Data Privacy and User Expectations,33 Berkeley Tech.L.J.1(2018).
(73)See Lina M.Khan & David E.Pozen,A Skeptical View of Information Fiduciaries,133 Harv.L.Rev.497,540-541(2019).
(74)同上文,第508页以下。该道德困境并非平台企业所独有,可以通过向公司施加社会责任来化解。代表性研究,参见王保树:《公司社会责任对公司法理论的影响》,《法学研究》2010年第3期,第89页。
(75)参见前引[73],Khan等文,第535页以下。
(76)See Neil Richards & Woodrow Hartzog,Taking Trust Seriously in Privacy Law,19 Stan.Tech.L.Rev.431,457-458(2016).
(77)See Tamar Frankel,Fiduciary Law,New York:Oxford University Press,2011,pp.1-2.
(78)同上书,第798页以下。
(79)See Easterbrook & Fischel,Contract and Fiduciary Duty,36 J.L.& Econ.425,427(1993).
(80)See Michele Graziadei,Virtue and Utility:Fiduciary Law in Civil Law and Common Law Jurisdictions,in Andrew S.Gold & Paul B.Miller(eds.),Philosophical Foundations of Fiduciary Law,Oxford:Oxford University Press,2014,p.300.
(81)有关控股股东应承担信义义务的探讨,参见赵旭东:《公司治理中的控股股东及其法律规制》,《法学研究》2020年第4期,第92页;有关金融机构应承担信义义务的探讨,参见邢会强:《金融机构的信义义务与适合性原则》,《人大法律评论》总第22辑,法律出版社2017年版,第38页。
(82)关于诚信原则与信义义务的比较以及前者包容后者的可能性,参见徐化耿:《论私法中的信任机制——基于信义义务与诚信原则的例证分析》,《法学家》2017年第4期,第40页以下。我国个人信息保护法第5条明确规定诚信原则是个人信息处理的基本原则。
(83)参见张凌寒:《商业自动化决策的算法解释权研究》,《法律科学》2018年第3期,第65页;解正山:《算法决策规制——以算法“解释权”为中心》,《现代法学》2020年第1期,第179页;丁晓东:《论算法的法律规制》,《中国社会科学》2020年第12期,第138页。
(84)该条第1款中的资质资格审核义务适用于网络平台提供媒介服务的场合,该条第2款中的安全保障义务适用于网络平台辅助合同履行的场合,这些都属于广义上的交往安全义务。
(85)参见前引[54],拉伦茨书,第754页。
(86)参见[德]卡尔·拉伦茨:《法学方法论》,黄家镇译,商务印书馆2020年版,第379页以下。
(87)按照《中共中央国务院关于构建更加完善的要素市场化配置体制机制的意见》(2020年3月30日),数据是与土地、劳动力、资本、技术相并列的基础要素。有学者认为自然人作为数据原发者享有数据所有权,平台企业作为数据处理者享有数据用益权。参见申卫星:《论数据用益权》,《中国社会科学》2020年第11期,第131页。
(88)参见[德]康德:《道德形而上学原理》,苗力田译,上海人民出版社2012年版,第37页。
(89)参见[英]边沁:《道德与立法原理导论》,时殷弘译,商务印书馆2000年版,第58页。
(90)参见[英]约翰·穆勒:《功利主义》,徐大建译,商务印书馆2019年版,第14页,第21页。
(91)See Cass R.Sunstein,Infotopia:How Many Minds Produce Knowledge,New York:Oxford University Press,2006,p.9,p.97.
(92)按照这一标准,网络平台不能利用消费者的个人信息实施所谓“大数据杀熟”,即不得在商品或者服务质量未改变的情况下,仅基于消费者具有较强支付能力,便促使其支付更高的价款或报酬。此类行为也可能构成不正当的差别待遇(参见《国务院反垄断委员会关于平台经济领域的反垄断指南》第17条)。忠实义务路径和反垄断规制路径分别是从私法和公法的角度出发对网络平台的行为加以约束,两者并非互相排斥的关系,而是相互配合的关系。