【摘要】《民法典》《个人信息保护法》通过由一般原则到具体规定的体系安排,系统规定了个人信息合理利用制度,为信息处理主体合理利用个人信息提供了制度遵循,但仍存在安定性、准确适用及公私协调挑战。为了充分发挥个人信息合理利用的制度红利,我国应当在《民法典》《个人信息保护法》规定的基础上,对个人信息合理利用规则作出系统性完善,进一步强化个人信息合理利用中“合理”认定的理性、明晰合理利用场景的具体内涵、拓展和协调合理利用场景类型,注重个人信息合理利用安全制度的协调跟进,强化个人信息合理利用安全的监管介入、权利义务的比例配置、安全行政监管与司法救济的协调机制,促进个人信息权益与经济社会发展的激励相容。
【关键字】个人信息;合理利用;体系化;法律治理
一、问题的提出
司法实践对非基于“知情—同意”的个人信息利用即“合理”利用存在不同的理解。以已公开的裁判文书中个人信息的利用为例,有法院认为第三方转载中国裁判文书网上的文书属于个人信息的合理利用行为,无需经过个人信息主体事先同意,但个人信息主体事后可以要求该第三方删除;有法院则认为司法文书公开制度体现了公共利益,个人信息主体无权要求第三方停止对裁判文书的转载。以网络用户社交关系信息利用为例,根据《民法典》《个人信息保护法》,APP收集并处理用户手机通讯录联系人信息,应当取得双重同意,但有法院认为APP读取和匹配行为不会对手机通讯录联系人利益造成不合理的损害,且有利于行业和社会发展利益,属于对个人信息的合理利用,无需取得手机通讯录联系人的同意;有法院则认为APP在未经用户有效同意的情况下,不得获取和处理用户在第三方APP中的好友信息。
为回应个人信息保护与共享利用之界限,实现个人信息权益与其他法益的协调,我国《民法典》和《个人信息保护法》对个人信息的合理利用作出了体系化的法律安排:一是明确合理利用的原则,包括诚实信用、权利不得滥用、正当、必要原则等;二是明确合理利用的场景包括有条件地利用已公开的个人信息、维护公共利益或信息主体合法权益所必要、履行法定职责或法定义务所必需等,并概括规定了非物质性人格权合理利用的主要考量因素,如利用目的、影响范围、利用后果等;三是合理利用的安全保障体系,包括透明度要求、安全管理义务、权利救济等。但上述规范还较为抽象和原则,需要进一步解释、细化和完善。
针对个人信息合理利用实践需求和规范现状,目前的研究主要从两方面展开。一是“合理”的判断上,尽管不同研究的立足点并不完全相同,但主要是从个人信息与人格权的关联程度、从个人信息合理利用的方式及目的、从个人信息主体权益的有效保障等方面出发进行“合理”与否的分析,但如何分析和落实却鲜有涉及。二是个人信息合理利用制度的解释论,但集中在已公开个人信息合理利用的规范解读,且较少进行《民法典》《个人信息保护法》等规范的互动及体系分析。本文在当前研究的基础上,以《民法典》《个人信息保护法》为规范分析对象,进一步完成以下作业:首先,在“合理”考量因素设置和位阶选择上,增强规范的价值理性和技术理性,累积社会共识;其次,进一步挖掘个人信息合理利用主要场景的法律内涵,提高规则的可操作性;再次,配套完善个人信息合理利用的安全保障,实现法律体系化治理。
二、个人信息合理利用制度的特征暨适用挑战
无论是司法实践差异,还是规范自身的原则性现状,都与个人信息合理利用制度自身的特征紧密关联,并导致了适用上的挑战。
(一)个人信息合理利用的衡平法特征与安定性挑战
个人信息权益属于人格权,“自决”权益是其主要权能内容,但个人信息合理利用则通过对个人信息“自决”权的适当限制,实现例外场景下个人信息的有效流通,其本质是个人信息“自决”权与其他法益如个人健康权、经济社会发展利益、国家安全利益等的衡平。《民法典》《个人信息保护法》部分条款也已经反映了个人信息合理利用的衡平特征。例如,在考虑个人信息等非绝对性人格权侵权责任时,《民法典》第998条采用动态系统论将多种因素融入个人信息处理正当与否的判断中,以适度的弹性和开放性兼顾了个人信息保护、经济社会需求、信息处理主体正当利益维护之间的平衡。为此,在认定个人信息处理行为是否构成“合理”利用时,除了需要结合《民法典》第1036条和《个人信息保护法》第13条确立了的合理利用场景,还要采用动态系统理论对“合理”进行综合判断,避免了个人信息保护单一价值考量的绝对性和僵化性。
动态系统论要求法官在个人信息侵权中应当通盘考虑决定性因素以及不同因素间的强弱关系,通盘的综合考量而最终做出侵权与否的结论,并适应地给予灵活的救济。动态系统论既摒弃了传统侵权责任下“全有全无”的责任认定路径,也没有采纳抽象一般条款来应对日益复杂生活中的多重价值冲突,而是通过具体化司法裁判应当考虑的各种要素,试图在司法裁判的稳定性和灵活性之间寻找平衡。尽管动态系统论试图通过将责任认定相关因素及其权重的明确化来消弭司法裁判的不确定性,但动态系统论最终交由法官依据公平正义理念和主观认知进行综合衡量的责任认定方式本身,无可避免地会加剧司法裁判的主观色彩,进而模糊裁判预期。有学者就批判动态系统论在违法考量的因素选择及权重设置上非常困难,多种因素及不同权重的综合衡量也将增加司法判断的复杂性,影响司法裁判的稳定性。就《民法典》第998条设置的诸如职业、影响范围、目的、方式等因素和顺序而言,亦难以逃脱正当性和妥当性的质疑和批判,多种因素的非线性叠加和融合亦给法官在判断个人信息利用行为是否满足“合理”要求时增加了难度及主体性色彩,可能导致判决结果的动态、模糊及不确定。实际上“动态”本身即具有一体两面的特质,一方面使个人信息合理利用的判断具有衡平法特征,有助于实现复杂利益冲突的灵活应对,但同时亦削弱了法律判断的安定程度。
(二)合理利用场景的抽象特征及准确适用挑战
《民法典》《个人信息保护法》确立的个人信息合理利用场景大致可以划分“为公共利益目的而利用个人信息”“为维护信息主体利益而利用个人信息”“利用已合法公开的个人信息”三个主要类型,并通过抽象的法律用语涵摄复杂的社会生活,以保持适度的开放性。这既是由《民法典》《个人信息保护法》在个人信息利用制度上的基础性地位决定的,也是立法技术使然,以尽可能为个人信息合理利用提供充足的制度空间,但如果不进一步予以细化和明确,其边界的模糊性就容易造成法律适用上的工具主义和结果主义。
以公共利益目的利用个人信息为例,信息处理者可以基于公共利益需要直接处理个人信息而无需经过信息主体同意。如在传染病防控中,公共利益维护就已经成为防疫职能部门、私营企业、超市等收集员工、顾客、密切接触人群健康信息的重要合法事由,且公共利益概念的弹性和张力,足以容纳抗疫所需的个人信息收集,进而提高了“数据抗疫”的效率和效能。但公共利益概念本身即具有抽象和模糊的特征,容易导致权力(利)滥用及信息主体权益的不当萎缩。还以传染病防控为例,各交通道口强制收集个人行程信息并在不同职能部门间共享、分析,信息主体为了实现通行目的,没有选择的权利和拒绝的可能。为此,尽管欧盟《通用数据保护条例》(General Data Protection Regulation, GDPR)亦将公共利益维护、数据主体权益保护等作为了“同意”的例外合法事由,但为了防止“同意”例外情形的滥用,一方面在GDPR中明确欧盟各成员国政府应通过立法的形式尽量明确公共利益条款的具体适用情形,如第6条就明确要求,当与公共利益目的相关时,各成员国应当对数据处理行为设立更为精细的要求以维持或引入更具体的规定,避免不当背离个人信息保护的初衷,另一方面欧盟数据保护监督员(European Data Protection Supervisor, EDPS)又通过强调个人信息利用中的“比例”原则,要求在通过公共利益等限制个人信息“自决”权益时应充分衡量所欲达成的公共目的与个人权益克减之间的损益平衡,实际上均是在尽可能地为抽象的“同意”例外情形划定规范的范围。而美国尽管在国内个人隐私保护的立法如《加州消费者隐私法案》(California Consumer Privacy Act, CCPA)上并未采纳GDPR的“ opt in”模式,而是选择了“opt out”的保护模式,具有个人信息合理利用倾向的天然基因,但其亦看到了公共利益等抽象概念可能被滥用的弊端,故而其在《美墨加协定》(The United States-Mexico-Canada Agreement, USMCA)中就明确要求剔除《全面与进步跨太平洋伙伴关系协定》(Comprehensive and Progressive Agreement for Trans-Pacific Partnership, TPP)数据非本地化要求中的公共利益目的例外条款。同样,“为维护信息主体合法权益而利用个人信息”场景中的“合法权益”,“利用已合法公开的个人信息”场景例外中的“重大利益影响”等也需要进一步解释。例如,信息主体的合法权益或重大利益的范围是什么?是否既包括直接权益又包括间接权益?一般来说,为了保护个人依法直接享有的生命权、人身自由权、财产权等基本的生存和发展权利而不经该个人的同意利用其信息,或者尽管属于已合法公开的个人信息但信息利用行为可能直接侵害该个人的合法权益则应予禁止,具有观念上及逻辑上的直观性,只不过在个人信息“自决”权与其他权益之间存在利益衡量问题。但为了促进社会整体福利的提升包括提供更多就业机会、完善社会保障体系等间接的方式实现个人权益的维护而利用个人信息,是否依然属于可以豁免同意的合理利用场景范围?个人信息利用行为间接损害信息主体的重大权益,是否也属于已公开个人信息禁止利用的情形?尽管《个人信息保护法》第13条将“公共利益”目的进一步具象化为“应对突发公共卫生事件”“新闻监督、舆论监督”等情形;将信息主体的“合法权益”进一步细化为“紧急情况下的生命健康和财产安全”情形;第27条又将“重大利益”调整为“对个人权益有重大影响”;但因属于不完全列举或是简单的语词转换,依然存在进一步扩展和明确的需要。
(三)公私法融合治理特征及协调挑战
《民法典》与《个人信息保护法》均对个人信息合理利用制度进行了规定,但两者之间的联系与区别并不清晰。在个人信息立法体系构建之初就存在《民法典》《个人信息保护法》及其他关联制度规范的功能定位之争。例如,有学者认为应当首先制定《个人信息保护法》,统合公私法的保护手段,再进行民法典与行政法规范的制度衔接和呼应。也有学者认为,《民法典》关于个人信息保护的要求给行政法规范的完善提出了新的课题,需要制定或修改相关行政规范予以回应,并不必然优先制定《个人信息保护法》。具体到个人信息合理利用制度,这种争议本身可归结为《个人信息保护法》的规定是否是《民法典》规定的特别法,以及如何协调两者的规定等两个问题。
对前者来说,当前的规范内容已经说明《个人信息保护法》不是《民法典》的特别法,而是在《民法典》将个人信息权益确立为人格权的基础上,进一步通过权力(权利)与义务的细化配置,尤其是引入主观公权利内容,实现公权力机构、信息处理主体、信息主体交织的法律关系格局。这实际上也反映了个人信息合理利用并不是简单的私法问题,而是需要公私法的合作治理。就后者而言,就要解决《个人信息保护法》与《民法典》在个人信息合理利用规定上的差异性。首先,尽管《个人信息保护法》确立的合理利用场景类型与《民法典》存在部分重叠,但显然要更为具体和多样化,且通过兜底条款的方式保持了开放性,存在进一步纳入新场景类型的空间和可能,也将导致场景类型上的部门法冲突。这种规范内容表达上的差异实际上也部分反映了《民法典》与《个人信息保护法》在个人信息的立法目的上的差异。具体来说,《民法典》在确立个人信息权益的人格权属性基础上,主要对平等主体之间个人信息利用行为进行私法规范,在合理利用的问题上除了传统的“公共利益”免责事由外,主要就是进行个人信息“自决”权与其他私法权益之间的衡平;而《个人信息保护法》除了个人信息权益保护外,还有促进个人信息合理利用的功能,更有余地将合理利用的场景置于经济社会发展的总体需要中考量。其次,《民法典》尽管也通过个人信息处理的原则和条件、个人信息主体的权利、信息处理者的信息安全保障义务等部分实现了对个人信息安全的事前保护,但主要还是通过侵权责任诉讼的事后安全机制实现;《个人信息保护法》弥补了单纯通过侵权责任保障个人信息合理利用安全的不足,在个人信息权利和安全保障义务明确细化的基础上,引入了行政监管的事前安全机制,如何有效衔接事前事后安全机制也是当前亟待解决的问题。
三、个人信息合理利用的“合理”认定及场景界定
(一)强化“合理”认定的客观理性
“合理”是《民法典》《个人信息保护法》对“知情—同意”例外情形的约束因素,以对未经信息主体同意的个人信息处理行为划定免责边界。从内容上看,主要包括信息的最小化使用、共享等信息利用的基本原则;力所能及的协助义务如在不影响合理目的实现且不会造成过分负担的前提下,履行通知等义务;审慎有效的安全保障措施等。从域外立法看,“适当”“必要”“有效”等已经成为数据利用的基本要求。例如GDPR第5条明确将“适当”“必要”确定为个人信息处理的基本原则;澳大利亚竞争和消费者委员会(The Australian Competition and Consumer Commission, ACCC)《消费者数据权(Consumer Data Right, CDR)》第1.3部分将“数据最小化”“人员适当”确定为消费者数据处理的基本原则;日本《个人信息保护法》也强调个人信息的“适当”处理和“有效”利用。“有效”“适当”“必要”等原则实际包含复杂利益的平衡,构成不确定法律概念“合理”的判断基准,但由于这些原则本身并不明确,故仍需进一步通过程序理性和技术理性缓解法律判断上的随意性质疑。
1.利益平衡中的程序理性。正当程序自英国《自由大宪章》在司法领域初步确立后,逐步拓展至行政领域乃至所有公权力领域,从自然正义拓展到公开、公正、公平和参与等现代民主规则。从功能上讲,正当程序具有步骤明确、中立、有序、透明等诸多优点,可以增强价值平衡中的客观性,甚至可以在正义标准不清晰时,公正的程序本身就意味着正义目标的达成,也即纯粹的程序正义。有学者就认为,正当程序不仅是审查不确定法律概念解释的程序性标准,而且是实体性标准。尽管正当程序通常用于对公权力的约束,但个人信息的合理利用场景下,信息处理主体可以不经信息主体同意而直接处理个人信息,造成了事实上的不平等地位,有正当程序适用的余地和前提。
故在难以为“合理”划定一个明确标准的情况下,可考虑通过补强正当程序原则为“合理”的判断积累价值共识,提升制度理性。在立法、执法和司法层面,应强化程序公开和透明,充分保障利益相关方的参与权和监督权;在合规层面,可对信息处理主体施加必要的自评估程序要求,通过充分考虑信息主体的利益诉求和安全保障措施跟进,以尽量累积价值共识,赋予信息处理主体行为的正当性。例如,在传染病防控中,防控部门可以通过手机APP发出警告,提示近距离接触过传染病患者的人群接受传染病检测或自我隔离,实现追踪感染链的目的。但防控部门在是否强制安装该手机APP上,应给出缓冲期以回应数据保护、监控、隐私侵害质疑,阐释该APP符合个人信息保护的高标准要求以及对传染病防控的价值。通过这样的民主协商程序,尤其是将是否同意个人信息处理的决定权交由信息主体行使,同时该APP设计上默认本地存储,可以认为该APP自动收集处理个人信息就是“合理”的。
2.利益平衡中的技术理性。技术理性由西方著名的学者哈贝马斯提出,是指人类在改造自然的实践活动中所形成的理性,其初始条件是科学理性,边界条件是市场经济,其核心是“有效”和“博弈规则”。在认同科学技术的第一生产力后,技术理性越来越多地融入决策分析中,以寻求最佳均衡状态,包括投入产出比和功能价格比等。在个人信息利用“合理”的构建和适用程序中,可考虑通过引入科学的技术和管理安排,以达到个人信息保护、社会发展需要及其他价值之间的可计算的利益平衡。实际上,现代技术尤其是统计学、大数据挖掘等的发展也具有为法律措施和制度安排提供量化借鉴的可能。例如,在传染病防控中,个人信息的大数据分析已经成为疫情研判的重要技术工具,并为防疫措施的动态调整提供了科学依据。如果通过技术分析发现疫情态势趋紧,相应防控措施趋严,个人信息权益与公共利益之间的天平随之向后者倾斜,否则向前者倾斜,进而为个人信息利用中的“比例”原则提供理性支撑。
当然,技术理性所依赖的科技理性工具丰富多样,可以包括成本效益分析、风险评估、专家论证等程序机制。在法律领域其核心价值的发挥即在于通过技术工具的介入以“可计算”的方式实现不同价值之间的量化比较,以消除价值层面的认识分歧。尽管以量化的方式调和价值冲突诱发了对个人尊严侵蚀的质疑,但不可否认的是技术工具已经越来越多地介入到价值的判断中。人工智能在法律领域的应用及计量方法在法学研究中的开展,也从另一层面表明了价值判断量化的可能和功能。有博弈模型分析已经表明,通过社会总福利、消费者福利和生产剩余的计算比较,在个人信息并不敏感时,个人信息“知情—同意”处理导致的产品无效分配比个人信息绝对禁止处理导致的产品无效分配更为严重,而个人信息“知情—同意”处理下的消费者福利水平却低于个人信息自由流通下的消费者福利水平。故大数据时代应通过引入充分、公平的市场竞争而不是通过限制非个人敏感信息的自由流通以保护消费者权益。此种量化分析尽管并未将政治社会问题全面纳入权衡分析,但至少从经济学视角上反映了在非敏感个人信息处理上,“合理”利用的范围和认定标准应该放宽。通过量化分析,对组成“合理”的各种因素及其权重设置就能有更为直观地把握,亦能提升立法、司法乃至行政监管措施的信服力。
(二)明确合理利用“场景”的内涵和标准
1.公共利益的法律维度。从域外主要国家和地区的个人信息保护实践看,如前述GDPR第6条和第9条,美国《加州消费者隐私法案》(California Consumer Privacy Act, CCPA)1798.105(d)(6),日本《个人信息保护法》第23条第1款等均将公共利益维护作为个人信息利用的合理事由。在内容表述上欧盟GDPR序言第(45)(46)(50)(52)(56)(73)(112)条等通过举例的方式说明构成公共利益的具体内容,包括基于公共卫生、社会保障及卫生保健服务管理等公共健康目的;基于人道主义目的,包括传染病监测和自然及人为灾害下的人道紧急救助行动;向有权机关传输犯罪行为或公共安全威胁实施人的个人信息;为了提高医疗保险索赔的效率和质量;出于公共利益的存档,如为了提供相关政权下的政治行为、种族灭绝、危害人类罪行,特别是大屠杀或战争罪的具体资料;选举活动中的选情数据汇编、处理。
CCPA中没有公共利益具体内涵的表述,但实际上美国各部门却在各自的监管领域内拥有法律赋予的较为广泛的便宜权力。例如,美国最高法院在Jacobson v. Massachusetts(197 U. S.11(1905))中就支持马萨诸塞州可以颁布强制疫苗接种法,以保护社区免受天花伤害。在Whalen v. Roe(429 U. S.589(1977))一案中,最高法院支持赋予州卫生部门强制收集患者姓名和地址的权力,认为要求向州卫生部门披露此类信息,并不自动意味着侵犯了隐私。但同时法院指出,州政府收集、积累大量个人信息,一旦泄露可能会造成难以弥补的损害,信息利用部门应当采取保护隐私的必要措施,表征了公共利益与个人隐私的博弈。又如在新冠肺炎疫情期间,美国卫生部门通过发布公报的方式明确规定,出于公共卫生目的和“防止严重和迫在眉睫的威胁”,可以公开个人健康信息而豁免《健康保险可携带与责任法案隐私权规则》(HIPAA)患者健康信息的隐私期待。又如美国执法部门可以依据《电子通讯隐私法》2703(b)(1)条款要求远程计算服务提供商向其提供任何有线或电子通讯内容,其中就包括协助提供个人信息包括隐私和敏感信息,但执法部门同时受到“宪法第一修正案”言论自由以及宪法第四修正案禁止非法搜查的约束。对比来说,美国通过场景化的方式将公共利益下的个人信息处理规则融入分散的立法,而欧盟GDPR则通过专门立法的方式总结以往分散的立法经验,以为各成员国的进一步细化立法提供借鉴。
从GDPR和美国的个人信息管理实践看,公共利益下个人信息处理的相关特征可从以下几个维度解读。从数据控制主体类型上看,GDPR并不限于公权力机关,而包括集体或个人;美国则主要体现为依法履职的公权力部门。从数据处理的具体内容看,原则上可以包括数据利用的全周期过程。从例证的具体情形看,公共利益主要分为公共健康、公共福利、公共安全、公益研究等。这亦与我国立法和司法机关对公共利益的定义相契合。例如,全国人大常委会民法室就认为《民法典》1036条的公共利益涉及国家利益和不特定多数人的利益,但同时又认为公共利益概念弹性较大应严格适用范围,但足以容纳上述GDPR中的所有例证情形。我国最高人民法院则具体化了公共利益的范围,认为公共利益主要包括国家权力机关为了制定国家经济、社会政策的需要而处理有关公民的个人信息,或是为了国家安全、公共安全、公共卫生等处理相关个人信息,以及为行使侦察、起诉、审判和判决执行相关等事务而需要处理个人信息。
尽管公共利益概念的意涵边界较难明确,但从现有的立法实践看它的轮廓又是相对清晰的。首先,在基于公共利益处理个人信息时,应当有配套法律规范或细则的明确依据。例如,包括明确可被处理的数据类型;可被披露的实体对象和披露目的;存储期限;处理操作和处理程序,包括合“比例”的设定确保处理行为公平和合法的措施等。新冠疫情应对中,数据处理主体即因《传染病防治法》《突发事件应对法》等规定对个人信息处理规则规定的过于原则而受到合法性质疑。其次,信息处理主体原则上应以公权力主体或私主体中的公益法人机构或社会团体等为主,营利性机构或自然人以公共利益处理个人信息应受到严格限制。再次,公共利益的场景应当受到限缩,原则上仅限于具有密切公共福祉的场合。因此即便某些场景下处理个人信息可能附带公共利益的增益,可能被单独划归为一项合理利用事由,但却可能因不具备公共利益的密切联系而被排除在公共利益目的之外。例如,尽管基于科学研究和历史研究目的而开展的统计、课堂教学等也有助于增进社会科技和知识的发展,但GDPR未将其纳入公共利益目的范畴,而是作为单独的“同意”例外事由;我国国家标准《信息安全技术—个人信息安全规范》(GB/T 35273-2020)(以下简称“《个人信息安全规范》)第5.6条中亦通过限缩表达仅将出于公共利益目的的学术研究作为个人信息合理利用的理由;《个人信息保护法》也仅仅将“应对突发公共卫生事件”“新闻报告、舆论监督”作为个人信息合理利用的“公共利益”场景。
2.信息主体“合法权益”的法律维度。如前所述个人信息权益属于人格权,信息“自决”权是其中的重要内容。以保护信息主体其他合法权益而限制其信息“自决”权益,从利益衡量的逻辑上来讲该“合法权益”在对个人整体利益的重要性上应当大于或至少等于个人信息“自决”权。
首先,该“合法权益”对信息主体的重要性通常要大于信息“自决”权。从比较法上看,GDPR第6条将数据主体“合法权益”就限缩在“重大”的范围内,且序言第(46)条又进一步对该重大利益做出了解释,认为数据处理行为与数据主体的生命攸关时才应当被视为合法。当然,我国没有必要将“合法权益”局限为人身利益,实际上《个人信息保护法》已经“合法权益”拓展至财产利益,但应限于直接权益。原因在于个人信息利用与个人间接权益的实现之间的逻辑链条过长,往往需要与资本、技术、组织等诸多要素共同发挥作用,且不同的场景下,是否允许个人信息的合理利用与社会整体福利变化之间的关系并不确定。此外,个人信息合理利用制度的核心理念即在于利益衡平。从立法设定上,合理场景下的个人信息利用应优于信息“自决”权受到保护,因此个人其他合法权益与个人信息“自决”权之间应当存在前者优于后者的位阶关系。实际上,基于保护信息主体合法权益而利用个人信息还与紧急避险制度类似,只不过在紧急避险中该合法权益与信息权益并不归属于同一主体,有学者就认为为了其他自然人的合法权益而处理个人信息完全可以纳入紧急避险的处理框架,而这就要求对信息“自决”权的损害轻于该合法权益可能受到的损害。
其次,原则上应限制在“紧急”情况下。从体系解释的视角看,因保护信息主体其他权益而损害其信息权益可免责的行为模式与《民法典》第184条紧急救助人不承担民事责任的规定在条文结构上相似,均为行为人为保护其他主体某一合法权益而同时损害该主体的另一合法权益,且均得责任豁免。但184条在条文上另外施加了紧急的限制,也即只有在受保护的法益不能第一时间得到救济,将造成难以弥补的损失时才有该条适用的余地。实际上《个人信息保护法》也在第13条第1款第4项中明确了“紧急情况”的条件约束。一方面避免个人权益保护上过分的“家长主义”倾向,即原则上个人信息权益与其他合法权益之间的权衡取舍应由信息主体自主开展;另一方面防止他人滥用“无因管理”,损害个人信息“自决”权。
为此,尽管《民法典》第1036条并未对“合法权益”施加限定条件,但从法理逻辑和立法实践看,该合法权益应以紧急或者重大为限。只有在情况紧急或者可能受损的法益较为重大时,才有径直处理他人信息的前提。例如,信息主体突发疾病,无法及时获得授权,为了救治需要不得不采取必要的医疗检验以获得个人健康信息。又比如在交通枢纽遗失钱包、行李的信息主体,交通枢纽管理部门为了使其可以尽快取回,可通过广播的方式告知其领回。但是紧急或重大在法益上较难量化,可采用客观的事前判断标准,以避免纯粹“结果主义”和“主观主义”的弊端。具体来说,在需要保护其他法益的情况下,假设信息主体能够及时作出授权,且通常会选择授权进行个人信息处理,则可以认为待保护的法益较个人信息权益更为紧迫或重要。
3.“重大利益”的法律维度。已公开的个人信息包括信息主体自行公开和其他合法公开两种情况。对信息主体自行公开个人信息而言,通常可以视为默认允许他人处理其个人信息。从国外立法实践看, GDPR第9条尽管也将处理信息主体自行公开的信息作为合法事由,但却并未施加“重大利益”的反向限制和约束。南非的《个人信息保护法》采取了与GDPR同样的立法例,在第27条第1款(e)项中也仅规定已公开的个人信息可以作为合法处理的依据。而美国《加州消费者隐私保护法》在1798.140(o)(2)中明确将已经合法公开的信息排除在应当受到保护的个人信息之外,换句话来说信息主体对公开可用的个人信息不再享有“自决”权利。这实际上也是美国信息法中的第三方原则在信息自决权上的实践,也即信息主体对其自愿披露给第三方的个人信息不想有合理的自决利益期待。但是从法律逻辑上讲,公开信息本身并不能表征对个人信息“自决”权益之外的其他权益如隐私、财产等的放弃或克减。例如,信息主体对外公开了自己的电话号码,但行为人却利用这些号码频频向信息主体发送广告信息,严重滋扰信息主体的生活安宁,侵害了信息主体的隐私权益,而不仅仅是信息“自决”权益。在其他合法公开个人信息的场景下,由于公开的来源并非信息主体自身,对信息主体自决权的限制理据并非来源于信息主体的默示许可,而是公开背后的法定理由。例如,人民法院按照《最高人民法院关于人民法院在互联网公布裁判文书的规定》公开裁判文书,其中涉及的个人信息公开构成司法公开的一部分,无关信息主体的意志。由于公开个人信息的逻辑差异,在“重大利益”的法律考察上应当区分信息主体自愿公开和非自愿公开两类情形。
在信息主体主动公开个人信息的情形下,应当排除信息“自决”利益。此处的“重大利益”在性质上应首先解释为除个人信息“自决”权益以外的其他利益类型,包括物质性人格利益、财产利益等,但同样不包括间接权益。原因在于信息主体已经以公开的方式表明同意他人利用其个人信息,此时的信息处理主体就无需提前考虑信息主体的“自决”利益。而在其他合法公开个人信息的情形下,“重大利益”在性质上则应当包含信息主体的“自决”利益,即信息处理主体应当提前评估信息主体是否同意利用其个人信息的行为,如果得出否定的结论,除非另行取得信息主体的同意,否则不得利用已经公开的个人信息。但此处的“重大”的程度要求应当进一步区分“自决”利益和个人其他利益。对于“自决”利益,毕竟以公开的事实向信息处理者传达了可以利用的积极信号,为此,除非利用行为过分限制信息主体“自决”利益的实现,否则不应视为“重大利益”影响或损害。而对除个人信息“自决”权益以外的其他利益类型包括物质性人格利益、财产利益等的损害,则应当放宽“重大”的程度约束或者将可能的损害风险本身视为“重大”。原因在于,首先,个人信息权利不同于传统人身权或财产权,而主要表现为“自决”利益,即信息处理主体未经信息主体同意不得收集、转让;信息主体有权查询个人信息并主张更正、删除等权利;有权限制、拒绝信息处理行为等。为此,个人信息的公开除了限制个人信息“自决”利益外,不应影响信息主体其他合法权益。其次,现行法律规范如《民法典》侵权责任编、《最高人民法院关于审理人身损害赔偿案件适用法律若干问题的解释》等已经形成了对传统人身权或财产权的体系性保护,不应该在该体系外另行规定免责事由,避免出现法律体系内部的相互冲突。再次,将重大利益解释为利益的类型或性质差异而不是程度差异也具有法教义学上的容纳空间。例如,证券虚假陈述的重大性要件中的“重大”的判断,即以是否被行政处罚或者刑事判决为基准。又如在全国人大常委会《关于立法中涉及的重大利益调整论证咨询的工作规范》中,针对“重大”的判断标准上,也将公众较为关注的权利的减少或义务的增加作为一项理据,其中当然也就包含某种类型权利的减损或义务的增加。此外,在“重大”与否的判断上,应当以信息主体的容忍义务为限,也即利用个人信息所带来的社会整体福利的提高是否足以牺牲个人信息“自决”权。在判断标准上,除了强调前述的技术理性外,同样应强化程序理性要求。例如,法院在认定利用已公开的个人信息的行为是否侵害信息主体的重大利益时,主动组织召开了人大代表、政协委员、专家学者及辖区内基层法院法官代表参加的多场论证会,听取各方意见,最终在考虑信息技术提升、经营模式创新、大数据产业发展等社会发展需要的基础上,认定利用已公开的个人信息不应侵害信息主体的后续就业和生活安宁利益。
(三)个人信息合理利用场景的拓展与协调
《民法典》将合理利用场景限定“为公共利益目的而利用个人信息”“为维护信息主体利益而利用个人信息”“利用已合法公开的个人信息”三大类。《个人信息保护法》还额外确立了“履行合同所必需”“劳动管理所必需”“履行法定职责或义务所必需”等合理利用情形。我国《个人信息安全规范》第5.6条“征得授权同意的例外情形”也超出了上述三种类型,除了《个人信息保护法》额外规定的情形外,又另外规定了为了提起诉讼、应诉或法院行使司法权所必要,非营利机构出于政治、哲学、宗教或工会的目的,科学研究或历史研究或统计目的等合理利用个人信息的情形,与GDPR的规定较为接近。尽管《个人信息安全规范》仅为国家倡导性标准,但行政机关在查处个人信息违法行为时,却实际上起到了立法的效果,监管部门倾向于依据该规范确立数据控制主体的权利义务。
针对《个人信息保护法》及国家标准中新增的合理利用场景,有学者认为或者可归于紧急避险如为他人合法权利而利用信息主体权益,或者可归于信息主体的同意如履行信息主体一方当事人的合同必要,即便超出《民法典》确立的三大类场景,也足以被《民法典》容纳。但是诸如非营利机构出于政治、哲学、宗教或工会的目的处理与之有密切关系的人员的个人信息,信息处理主体为了合法权益合理处理个人信息等情形则似乎难以与《民法典》契合。实际上,根据社会发展需要通过《个人信息保护法》及国际标准不断扩展合理利用场景类型并不会与《民法典》相抵触。首先,从解释论上《民法典》第998条作为认定人格权侵权的一般条款可以在特殊条款第1036条没有明确规定的时候作为补充,为其他类型的合理利用情况的合法化提供法律依据。其次,从文义上第1036条并没有排除其他合理利用情形的存在,且第1035条在“同意”原则上又确定了法律、行政法规可以规定例外的除外条款。再次,《个人信息保护法》及国家标准中新增的合理利用场景可以成为信息处理主体抗辩行政处罚的理由,并不必然成为民事责任豁免的理由。
实际上,由于个人信息自决权除了体现为抽象的人格利益外,主要功能在于通过限制个人信息的传播范围实现个人权益的维护。为此,只要能够通过安全管理措施保障个人信息的处理安全,完全没有必要将个人信息合理利用的场景局限于《民法典》所列举的情形。因此,在我国《个人信息保护法》已经扩张个人信息合理利用场景的基础上,可以依据经济社会发展需要通过相关配套实施细则作进一步明确和扩张。个人信息保护职能部门如国家网信部门应当发挥立法的建议职能,将个人信息合理利用制度实施过程中出现的问题如对市场竞争、企业发展等的正外部性影响及个人信息权益保障效果的贬损等进行定期的评估,以推动立法上对个人合理利用情形的动态调整,同时也为实现《民法典》与《个人信息保护法》在个人信息合理利用治理上的协调提供了契机。
四、个人信息合理利用安全制度的协调跟进
在个人让渡部分信息“自决”权的情形下,安全保障可以增强公众对个人信息用于公益事业、社会经济发展等合理利用场景的信任,扩大信息主体个人信息“合理”利用空间,是个人信息合理利用制度的有机组成部分。
(一)强化个人信息合理利用安全的监管介入
个人信息合理利用以个人信息“自决”权的部分让渡为基础,而个人信息“自决”权所体现的安全保障功能则必然需要其他制度承接。为此,较之于个人信息的一般保护,个人信息合理利用场景下的安全保障应进一步强化监管介入的有效性。原因在于,在个人信息合理利用场景下,通常需要进行复杂的利益衡量,信息主体很难通过举证证明个人信息利用行为是否属于“合理”利用,民事责任往往难以发挥有效的安全保障功能。此外,个人信息中包含的人格权益一旦受到侵害,通常也难以通过事后的民事责任追究平复。而监管部门在个人信息是否属于“合理”利用的判断能力上通常要优于个人,且由于“合理”本身的弹性,监管部门在完成自我心证的情况下,无论是否实际导致信息主体的损害,均可直接介入采取监管措施,既避免了举证不能的困境,又可以通过停止侵害、消除危险、排除妨碍等措施实现事前监管,弥补民事救济的滞后性。同时,个人信息合理利用的安全风险往往体现为“商业模式”违法,不仅影响个体而且兼具社会整体负面效应,监管亦需及时介入。
鉴于个人信息合理利用中利益主体纠缠合作的复杂性以及社会发展导致的利益动态调整和再平衡,监管机构需要充分发挥研究、监督、建议、执法权能。例如,欧盟数据保护机构(EDPB)负责GDPR在欧盟境内的一体实施及实施情况的动态评估;针对新的情态如新冠疫情给出数据合理利用的指南和建议。又如德国联邦数据保护与信息自由委员会(Federal Commissioner for Data Protection and Freedom of Information, BFDI),监督信息处理主体的数据利用行为并接受数据主体投诉,为其提供咨询和禁令救济,包括但不限于发出违规警告、限期纠正、罚款等。再如美国的联邦贸易委员会(FTC)在监督个人信息安全方面发挥了重要作用,除了发布保护建议、处理投诉外,其还可以直接或协助司法部提起诉讼。我国《个人信息保护法》已经确立网信部门作为个人信息保护和监管的统筹协调机构,其应在一般性地履行个人信息保护职责的基础上,专门针对个人信息合理利用提出具体监管指南和标准包括“合理”标准、合理利用的具体场景清单等,设置个人信息合理利用备案机制,探索公益诉讼的支持机制。
(二)“比例”原则下的“自决”权利与安全义务细化配置
针对个人信息合理利用的具体场景为信息主体和信息处理主体配置差异化的权利义务。信息主体权利克减的内容应在“比例”原则的指导下,结合合理利用的具体类别对各项权能进行分析讨论;信息处理主体的安全保障义务设置应充分考虑信息主体“自决”权缺失导致的安全机制缺漏。
就信息主体“自决”权利而言,如果信息主体行使某项具体信息权利不会严重阻碍合理使用目的的实现,或是不会不必要地增加合理使用主体的负担,那么就不应当对该项权能克减。例如,在公共利益下,如果个人信息主体查询、更正权利和数据控制主体的告知义务本身不会影响公共利益目的实现,且对数据的及时更正反而有利于公共利益措施的精准实施。当然,信息主体在行使数据权利时应当秉持诚实信用原则,不得通过反复查询、要求重复告知和故意上报虚假个人信息,不当增加数据控制主体的合规负担。对于删除权应视个人信息可能的作用而区别对待:如果个人信息可以持续用于相关公共利益目的,如疫情防控下确诊患者的健康数据可用于疫苗的研发、医学研究、传染病持续追踪调查等,则不应允许信息主体行使删除权;如果个人信息没有继续存储的必要,则应当及时删除或应信息主体的要求删除。特别是非公权力主体依据公共利益例外收集的个人信息,原则上应在目的实现后主动销毁,除非存在其他合法继续存储个人信息的理由。而数据可携带权主要是为了便利数据主体对个人信息的进一步使用或者转移给其他控制者,丰富供给数据主体的服务内容,提升用户体验。数据可携带权服务于个人信息在不同控制者间的重复利用,对商业主体而言,由于其已经从个人信息的处理中获得了商业利益,要求其满足数据可携带请求具有利益衡平上的合理性。而对基于公共利益目的收集个人信息的控制者,额外要求其提供结构化、通用化和可机读的个人信息,难免不当增加其负担,可能不符合比例原则的衡量基准。此外,限制处理和拒绝处理在公共利益场景下亦有适用的余地,比如数据控制主体采用匿名处理即可实现对外信息披露的目的,却将个人信息直接对外公布,就有限制处理和拒绝处理的适用余地,当然此处的限制和拒绝仅针对违反“比例”原则的不必要的对外披露行为。
就信息处理主体的安全义务而言,信息处理主体应切实履行信息安全保障义务和协助信息主体实现“自决”利益的义务。原则来说,合理利用场景下信息主体的“自决”利益受到的减损越多,信息处理主体相应的就越应承担更为宽泛和严格的安全义务。信息处理主体的安全保障义务包括采取必要的组织安排如信息保护专员,技术安排如个人信息的加密或脱敏,程序保障如信息合理利用场景下的对信息主体权益克减情况的内部评估或外部咨询等。信息处理主体的协助义务,主要指明确的告知义务、解释义务、响应信息主体权利要求、提供便捷沟通渠道义务等,以尽量将信息主体的“自决”利益损失限制在合理的范围内。此外,为了应对信息主体“自决”权的缺失,信息处理主体还应履行必要的自评估义务以进一步确定是否满足合理利用的法定条件。
(三)强化安全行政监管与司法救济的协调
由于“合理”利用本身就存在弹性,尽管通过引入技术理性、程序理性、比例原则的具体要求等几个层级的价值衡量工具可以缓解司法裁量或行政监管上的不安定性,但裁量主体性活动的特征本身无法杜绝裁量的个体化差异,且对合理利用情形的适用条件尤其是对公共利益概念本身难以做出精准的定量判断,进而可能导致行政和司法等不同部门在“合理”利用判断上的抵牾。从欧盟GDPR的实施效果看,这种担忧并非没有道理。例如,奥地利监管机构在向欧盟理事会提交的执法回顾总结的报告中就指出,由于数据保护机构和法院都是完全独立的,且遵循不同的程序守则,因此GDPR规定的“行政—司法”双轨并行的“规制—救济”模式将导致GDPR的适用不成体系,在某些情况下数据保护机构的决定还会与法院的裁决相冲突。
在美国的个人信息保护实践中,联邦贸易委员会(FTC)作为联邦层面保护个人信息的主要机构尽管拥有广泛的执法权能,但总体上遵循了司法的终局权威,包括行政监管的司法审查,强制措施的司法专属等,在某种程度上避免了行政监管与司法归责双峰独立运行可能导致的相互悖反。具体来说,FTC对案件进行调查后,如果无法与当事人达成和解协议,将根据《行政程序法》(The Administrative Procedure Act, APA)自行做出决定,并要求当事人遵守FTC提出的要求。如果被告当事人违反了FTC的要求或者其他规则如侵犯消费者信息权益等,FTC则可向联邦法院寻求民事救济或请求联邦法院发布禁令。当事人亦可对FTC的监管决定向联邦法院提出上诉,在法院受理后进入司法程序的调查。当然,美国法院在行政监管过程中的作用发挥,与其发达的司法“禁令”不无关联,FTC通过申请临时禁令(Temporary Restraining Order)和初步禁令(Preliminary Injunction Order)的方式足以限制信息处理主体的违法处理行为,并且已经成为FTC执法中的常态。
我国个人信息保护专门机构即网信部门与法院在个人信息合理利用规制的职能分配上与欧盟类似,均赋予专门机构独立和全面的执法权能,而不似美国限缩专门机构的强制权能,但赋予其向法院提出“禁令”权利。一方面,我国《民法典》第997条已经规定了“禁令”制度,民事主体可以及时制止信息处理主体正在实施或即将实施的违法行为;另一方面,我国《个人信息保护法》已经通过公益诉讼将专门机构与司法机构进行了有效链接。但鉴于网信部门在个人信息合理利用监管中的独立地位,较为妥当的方式是加强网信部门与法院在个人信息合理利用制度适用上的协调机制,可通过定期研讨、联合发布法律适用会议纪要和典型案例等路径消除行政监管与司法审判之间的法律适用差异。
结语
个人信息合理利用制度在个人信息保护的基础上,实现了信息的合理流动与共享,防止不加区分地一体适用“知情—同意”的个人信息处理规则阻碍个人信息的合理流转,进而可能损害公共利益、社会经济发展利益,甚至影响信息主体自身重要权益的维护。尽管《民法典》《个人信息保护法》对个人信息合理利用制度做出了规定,但仍存在安定性、准确适用及公私协调挑战。为了充分发挥个人信息合理利用的制度红利,从利用与保护并重的视角出发,我国应当在《民法典》《个人信息保护法》规定的基础上,对个人信息合理利用规则作出系统性完善,进一步强化个人信息合理利用中“合理”认定的理性、明晰合理利用场景的具体内涵、拓展和协调合理利用场景类型,注重个人信息合理利用安全制度的协调跟进,强化个人信息合理利用安全的监管介入、权利义务的比例配置、安全行政监管与司法救济的协调机制,促进个人信息权益与经济社会发展的激励相容。但个人信息合理利用制度的完善并不可能一蹴而就,随着数字经济的深入推进,合理利用的场景将不断丰富,安全保障措施将更新跟进,对“合理”的判定也将持续考验监管和司法智慧。
李晓楠(1988-),男,河南新密人,法学博士,郑州大学法学院讲师、博士后研究人员,主要研究方向:数据法、国际经济法。
