个人信息处理的合理限度
——基于必要性原则的场景化分析
2021-01-28刘忠炫
刘忠炫
数字信息时代,个人信息权益保护与信息利用等不同制度功能之间的有序协调,国家、企业和个体等不同主体之间的利益诉求的合理平衡,一直是现代个人信息法律制度建构过程中的争论焦点。于信息主体而言,在符合何种条件下,个人信息由他人处理能实现自身权益保护的最大化;于信息处理者而言,在满足何种法律基准下,处理个人信息能保障信息流动的高效化。本质上,个人信息处理的标准是前述问题的症结所在,旨在兼顾利益调和的同时防止对个人信息的滥用。由此,个人信息处理的基本原则应运而生。《中华人民共和国民法典》(以下简称“《民法典》”)第1035条首次在民事基本法层面确立了个人信息处理的三大基本原则,即合法、正当、必要原则。这其中,必要性原则在实质层面发挥着个人信息处理的“阀门”调节作用,明确了信息处理者处理个人信息的合理界限,以及信息主体对他人处理本人信息的容忍限度,从而实现“人格利益与信息自由”①齐爱民、李仪:《论利益平衡视野下的个人信息权制度——在人格利益与信息自由之间》,《法学评论》2011年第3期。之间的平衡。鉴于必要性原则本身的抽象性与信息处理场景的复杂性,明晰必要性原则的法律内涵,以情境化的思维对必要性原则的功能适用展开具体分析,充分考量不同利益维度下的信息处理差异,是解决个人信息过度处理问题的题中之义,进而服务于当下我国个人信息保护法的制定与未来司法实践的开展。本文拟以个人信息处理的法律关系为基础,从主体、内容(以信息处理目的为主)、客体三个视角切入,探寻必要性原则在信息处理中的一般内涵、判断标准和特殊适用等关键问题,以期进一步准确界定个人信息的处理限度。
一、必要性原则在个人信息处理中的功能与挑战
(一)作为人格权益保护与财产价值利用之间的平衡
《民法典》第1034条第2款规定:“个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息……”尽管《民法典》在人格权编正式纳入了个人信息保护的相关规则,但学界对个人信息的法律权属性质仍存在争议,并提出了具体人格权说①参见杨立新:《个人信息:法益抑或民事权利——对〈民法总则〉第111条规定的“个人信息”之解读》,《法学论坛》2018年第1期。、人格利益说②参见程啸:《民法典编纂视野下的个人信息保护》,《中国法学》2019年第4期。、财产权说③参见刘德良:《个人信息的财产权保护》,《法学研究》2007年第3期。、新型公法权利说④参见周汉华:《个人信息保护的法律定位》,《法商研究》2020年第3期。等诸多观点。学者就加强个人信息保护本身已达成一致共识,区别仅在于具体的保护理念、方法与路径上。如前述定义,“个人信息的本质在于其能够单独或者结合其他信息识别特定个人身份的属性。”⑤张新宝:《〈民法总则〉个人信息保护条文研究》,《中外法学》2019年第1期。此种直接指向作为主体之个人的特质,使得个人信息与人格尊严和人格自由之间存在密切关系,而后者是整个人格权法的价值基础。⑥参见王利明:《民法典人格权编的亮点与创新》,《中国法学》2020年第4期。
早在1845年,马克思在《关于费尔巴哈的提纲》中写道:“人的本质不是单个人所固有的抽象物,在其现实性上,它是一切社会关系的总和。”⑦中央马克思恩格斯列宁斯大林著作编译局:《马克思恩格斯选集》(第1卷),人民出版社1995年版,第60页。这表明了人的社会性与群体性的基本观念,并强调了人格的社群塑造性与依赖性。个人信息是主体参与社会交往的直接载体,发挥着个人人格表现和人格发展的功能。通过对个人信息的公开、使用、接收反馈,信息主体得以在社会参与中逐步形成完善的社会形象或人格形象,并对此不断修正,保障此种形象的完整性、真实性与心理预期。此外,基于隐私观念和独处利益的需要,权利主体亦有权拒绝对本人信息的过度披露与使用,从而实现对个人形象的控制和自主。⑧美国知名隐私权学者艾伦·威斯汀(Alan Westin)就将隐私权定义为:“隐私是指个人、团体或机构自主决定何时、如何以及在何种程度上向他人传播自己信息的权利。”AlanWestin, Privacy and Freedom, Atheneum Press, 1967, p.7.在此意义上,信息主体对个人信息流转范围和流转方式的控制,与个人人格的发展密切联系,这也是在现实社会中保护个人信息相关权益的价值基础。⑨参见王利明:《人格权法研究》(第3版),中国人民大学出版社2018年版,第621页。信息自决正是个人信息保护的核心。正如有学者指出,个体人格的建构在相当程度上依赖于他人对自己的认识,控制个人信息的传播属于人的基础利益,是个体自由发展人格的组成部分,有内在重要性。⑩参见于柏华:《处理个人信息行为的合法性判准——从〈民法典〉第 111 条的规范目的出发》,《华东政法大学学报》2020年第 3 期。信息技术的规模化运用,使得碎片化的个人痕迹被不断整合,进而形成具象化的用户画像(User Profiling)。“个人作为目的性的存在,只有消除个人对信息化形象被他人操控的疑虑和恐慌,保持其信息化人格与其自身的一致性而不被扭曲,才能有自尊并受到他人尊重地生存与生活。因此,个人信息对于信息主体的人格尊严和自由价值,应当是个人信息保护立法中首要考虑的因素。”⑪张新宝:《从隐私到个人信息:利益再衡量的理论与制度安排》,《中国法学》2015年第3期。
个人信息兼具人格利益与财产利益、个体性与社会性等诸多利益面向。传统大陆法系的民法典以人格权的消极权能为核心,由侵权责任制度提供事后救济与保护。“现代人格权理论发展的核心是使人格权获得积极权能。”⑫韩强:《人格权确认与构造的法律依据》,《中国法学》2015年第3期。因为人格权的伦理价值是充分实现所有的人的主体价值,而“人的主体价值经济化是提升和强化人的主体价值的有效路径之一”⑬孟勤国:《论人格权的伦理价值》,《财经法学》2019年第4期。。个人信息除了个人尊严与自主价值,财产利益与使用价值亦是其重要的功能内涵。在信息时代,数据作为重要的生产要素,已经成为信息产业发展的核心动力。《国家信息化发展战略纲要》指出,信息资源日益成为重要的生产要素和社会财富,应当进一步“开发信息资源,释放数字红利”。信息正是在当下具备了与以往不同的时代价值,使得各类主体不断增强对信息资源的竞争和利用。于国家而言,信息具有公共管理价值,需要通过对公民信息的收集、整理和分析达到国家管理和公共决策的目的,重大突发公共卫生事件中个人信息的处理就是典型。而企业在市场预测、产品营销和发展创新等方面也离不开信息数据的支持,这也导致诸多企业一再突破法律边界,不当收集和侵犯个人信息。
在大数据背景下,个人信息处理行为既会引发数据安全风险等负外部性,也会带来分享经济价值实现等正外部性,因此需要实现大数据产业创新与个人信息安全的有机平衡。①参见胡朝阳:《大数据背景下个人信息处理行为的法律规制——以个人信息处理行为的双重外部性为分析视角》,《重庆大学学报(社会科学版)》2020年第1期。对社会人格形象的合理预期,是基于信息主体维护人格尊严之必要;而以何种人格形象参与社会交往,则是信息主体自主权之范畴。实际上,一般的社会交往与参与,对个人信息的需求度不高。随着私密程度的深入,信息主体会逐渐减少对个人信息的披露与使用,并且单一的个人信息本身的经济利益和管理价值有限。因此,真正对信息主体产生威胁的行为应当是规模化、常态化和自动化的信息处理行为。信息处理者只有通过经常性、规模性的处理方式,才可能获取数据利用价值。因此,个人利益与信息利用之间冲突的深层逻辑即在于以何种标准划定信息处理的限度和边界,必要性原则正是在此种背景下得以发挥其平衡的功能。一方面,必要性原则旨在柔性处理信息利用与保护之间的关系,避免“全有/全无——绝对支配/过度滥用”的信息处理极端;另一方面,通过推动信息主体对个人信息利益的适度让与,同时限制信息处理者的过度处理行为,在实现目的之必要范围内最大化双方的信息利益,保持双方利益的均衡与比例性。于此,既满足了信息处理者必要的信息需求,又实现了对信息主体最低程度的权益侵扰。
(二)防止必要性原则在个人信息处理中的虚化
必要性原则的核心功能在于防止信息处理者对个人信息的过度处理,对必要性原则的探讨实质上是对信息处理程度的判断。根源在于信息处理者和信息主体之间的差异化以及不平等的市场主体地位,前者因为规模、技术、资源等的优势,居于市场主导地位,加剧了两者之间的信息不对称情况。此外,信息数据巨大的经济效益会对信息处理者产生更为强烈的信息利用激励,而非信息保护激励。在信息控制者利用激励与保护激励明显失衡的结构下,如果缺乏外部干预与政府监管,势必在“丛林法则”下导致对个人信息的肆意滥用,这是各国普遍重视个人信息保护的重要理由。因此,必须探索激励相容的个人数据治理之道。②参见周汉华:《探索激励相容的个人数据治理之道——中国个人信息保护法的立法方向》,《法学研究》2018年第2期。
早期,中国关于个人信息保护的立法较为迟缓,这与中国的社会经济状况、互联网科技发展程度、中国的隐私理念,以及公民对法律的需求有重要的关系。2012年的《全国人民代表大会常务委员会关于加强网络信息保护的决定》(以下简称“《决定》”)是我国个人信息保护立法的重要起点。《决定》第2条明确提出:“网络服务提供者和其他企业事业单位在业务活动中收集、使用公民个人电子信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经被收集者同意,不得违反法律、法规的规定和双方的约定收集、使用信息。”必要性原则被正式提出,并作为个人信息处理的基本原则。此后,《消费者权益保护法》第29条、《网络安全法》第41条、《电子商务法》第23条、《民法典》第1035条再次重申了个人信息处理中的必要性原则。问题在于,前述法律均未对必要性原则的法律内涵、具体标准、适用类型等进行解释与说明,在一定程度上使得必要性原则仅成为立法路径的延续与权利的抽象宣示,难以发挥其实质作用。2020年3月,全国信息安全标准化技术委员会发布的《信息安全技术个人信息安全规范》(GB/T 35273-2020)“4 个人信息安全基本原则”中对必要性原则进行了具体化,即“最小必要——只处理满足个人信息主体授权同意的目的所需的最少个人信息类型和数量。目的达成后,应及时删除个人信息”。但作为国家推荐标准,其本身不具有强制性效力,必要性原则依然被束之高阁。
有鉴于此,《中华人民共和国个人信息保护法(草案二审稿)》(以下简称“《草案二审稿》”)第6条对必要性原则予以进一步补充与细化,将个人信息处理限于实现处理目的所必要的最小范围,并采取对个人权益影响最小的方式,殊值赞同。然而,在大数据时代,个人信息的使用场景纷繁复杂,超出立法所能规范与预见的能力,单一的信息处理判断标准不尽合理,以用户为中心、结果为导向进行动态界定的思路,即场景与风险导向的新理念由此日益为国际上所倡导,要求在相应场景中具体地评估数据处理行为的风险。①参见范为:《大数据时代个人信息保护的路径重构》,《环球法律评论》2016年第5期。该理念源于美国学者海伦·尼森鲍姆(Helen Nissenbaum)的“情景完整性”(Contextual Integrity)理论。该理论强调,应当依据信息处理的不同场景,考虑信息处理的不同风险、主体预期、公共利益等因素,判断信息处理的合理性与保护程度,避免脱离场景的抽象化判断。②Helen Nissenbaum, Privacy as Contextual Integrit, 79(1) Wash.L.Rev.1, 119 (2004).因此,服务于妥当界定必要性原则内涵的出发点和司法个案法律适用的基本目的,秉持具体问题具体分析的辩证唯物主义认识论原则,基于重要的信息处理维度,展开对必要性原则的细致分析,具有必要性与合理性。
二、目的维度下对必要性原则的省思
(一)信息处理目的下的必要性原则之内涵
“个人信息(个人数据)保护法肇始于计算机应用,为解决个人信息电子化处理引发的个人权益保护问题,个人信息处理(数据处理)就成为个人信息保护法的基石性概念。”③高富平:《个人信息处理:我国个人信息保护法的规范对象》,《法商研究》2021年第2期。本质上,个人信息保护法是通过对信息处理行为的规制实现对信息主体的权益保护,必要性原则的直接作用对象即是信息处理行为,通过适度限制对个人信息的处理,从而划定信息利用的边界。然而,信息处理行为又最终服务于信息处理目的,从这个意义上讲,必要性原则是以规制处理行为为媒介,进而形成与信息处理目的之间的制度互动,根本是为了实现信息处理之目的与手段间的利益均衡。可以认为,必要性原则的实质是公法上所谓帝王条款“比例原则”在个人信息领域的部分投射。
在公法上,比例原则主要是通过对“手段”和“目的”之关联性的考察对国家行为进行检视的,旨在防止公权力对私权的过度干预。④参见张红:《指纹隐私保护:公、私法二元维度》,《法学评论》2015年第1期。比例原则基于其适度、均衡的理念,以及对实质正义的追求,逐渐得到私法领域的认可,对包括民法在内的整个法律秩序发生作用。有学者指出,“比例原则构成了维护私法自治的两道‘防火墙’:对外,其可以有效抵御国家公权力的过度介入;对内,其可以确保私法自治不被处于强势地位的私主体所滥用。”⑤郑晓剑:《比例原则在民法上的适用及展开》,《中国法学》2016年第2期。根据比例原则的逻辑,在个人信息保护领域,信息处理行为与信息处理目的之间应当符合比例原则中“适当性原则”“必要性原则”“均衡性原则”的要求。首先,个人信息处理的行为应当有助于信息处理目的之实现,若处理特定的个人信息不能实现既定的目的,则构成对信息处理的滥用,典型的如新闻资讯软件对通讯录信息的收集。其次,在数个可实现初始目的的方式上,应当采用对信息主体权益侵害最小的方式,若处理一般信息即可实现处理目的的,不得处理敏感信息;而更为直接的要求是,在最小化的信息提供范围可实现处理目的的,禁止过度处理。最后,信息处理所追求的目的应当与手段之间相称,要求信息处理所实现之价值高于对权益造成的侵害。
尽管在“禁止过度”的理念上有着共通性,但比例原则与个人信息处理中的必要性原则存在一定的区别,如必要性原则本身无法判断手段与目的之间的均衡性。因此,笔者认为,个人信息处理中的必要性原则主要是对信息处理目的和信息利用范围的要求,核心是在保障信息处理目的之基础上实现对信息处理的最小化,即对信息主体权益侵扰之最轻化。因此,必要性原则在个人信息处理中的具体要求如下。
第一,个人信息处理应当与拟实现的信息处理目的之间具备关联性,若处理个人信息本身无助于特定目的的实现,则处理行为违反必要性原则。在“凌某某诉北京微播视界科技有限公司案”中,法院认为,原告未注册抖音App时,其不存在在软件中建立社交关系的可能,被告收集原告的姓名和手机号码信息,并存储于后台系统中,超出必要限度。①参见“凌某某诉北京微播视界科技有限公司隐私权、个人信息权益网络侵权责任纠纷案”,北京互联网法院(2019)京0491民初6694号民事判决书。在本案中,用户在仅出于软件一般浏览而非注册社交目的之情形下,服务商收集其通信信息显然无助于实现前述目的,超出必要限度。需要说明的是,必要性原则本身无法判定目的的正当性与合理性,其作用在于,特定目的确定后,考察处理个人信息是否为实现该目的所必需。因此,明确与特定的目的构成必要性原则适用的前提。
第二,个人信息处理应当限于实现处理目的之最小范围,即数据最小化(Data Minimization)。显而易见,信息主体和信息处理者之间的博弈主要在于信息本身的程度与范围上。敏感程度越高、信息范围越大则对信息主体带来的潜在信息风险越高。因此,在实现处理目的的基础上,最小化的数据利用通常代表了最低程度的信息风险和权益侵害。要求信息处理者在处理信息时尽可能选择较低敏感程度和较少数量的信息去实现信息处理目的,这也是必要性原则的核心意旨。实际上,早在个人信息制度建立之初,有关限制信息处理的基本原则就被确定下来。20世纪70年代,诞生于美国的“公平信息实践”就明确了信息处理的限制原则;80年代经济合作与发展组织(OECD)制定的《隐私保护与个人数据跨境流通指南》,90年代欧盟《个人数据保护指令》(95/46/EC)也进一步强调了信息的收集、使用限制原则;2016年的欧盟《一般数据保护条例》(GDPR)(以下简称“《条例》”)则在第5条个人数据处理原则中明确提出了数据最小化原则:个人数据的处理应当是为了实现数据处理目的而适当的、相关的和必要的。②参见丁晓东:《论个人信息法律保护的思想渊源与基本原理——基于“公平信息实践的分析》,《现代法学》2019年第3期。
第三,个人信息处理应当限于实现处理目的之最短期限。如前所述,信息处理是手段,服务于最终目的。在个人信息保护领域,“处理个人信息应当有特定目的,并且应当依据该特定的、明确的目的进行,通常不得超出目的范围处理个人信息,与实现所涉目的无关的个人信息不得处理”③黄薇:《中华人民共和国民法典人格权编解读》,中国法制出版社2020年版,第217页。。一般而言,基于特定性要求,目的本身具有存续期限。这意味着,旨在实现信息处理目的之个人信息也应当限于实现目的之最短期限。若目的不再存续,或已经实现,继续处理个人信息则不再具有正当性。而在不定期或较长期限内处理个人信息,本身难言符合信息主体对自身权益的合理期待,也徒增信息泄露或不正当使用的风险。在此意义上,《草案二审稿》第20条关于信息处理期限的规定略显体系违和,应当从个人信息处理规则中移除,放置于总则部分的必要性原则处。
第四,个人信息处理应当采取对个人权益影响最小的方式。禁止过度,需要对信息处理目的与手段进行双重考察。《民法典》第1035条第2款规定:“个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等。”对个人权益影响最小的方式是指在包括个人信息的收集、存储、使用等具体行为中,信息处理者应当审慎评估其信息处理方式,并采取必要手段,如信息匿名化、分散化存储、提高安全标准等,尽可能降低信息处理风险,满足信息主体的合理预期。这实际上体现出一种自设计时起的隐私保护理念(Privacy by Design),即从系统最初的开发阶段就主动嵌入个人信息保护的需求,倡导通过法律、技术等综合手段来保护个人信息,强调信息保护的积极预防。④参见郑志峰:《通过设计的个人信息保护》,《华东政法大学学报》2018年第6期。
(二)信息主体的“合理信息期待”及其限制
信息处理程度往往与潜在的信息风险呈正向比例,而不同类型和场景下的信息处理行为所带来的信息风险具有一定的区别,信息主体的隐私或者信息期待亦有不同。正因为如此,有论者提出对个人信息保护应当采取一种基于场景的行为主义规制模式,即在具体场景中确立个人信息收集与利用行为的合理边界,根据不同行为所可能侵犯个体与社会的权益而进行不同程度的规制。①参见丁晓东:《个人信息的双重属性与行为主义规制》,《法学家》2020年第1期。场景导向本质是一种风险导向,而风险导向又反映出信息主体的差异化诉求和权利期待。回归情景完整性理论的制度目的,考察不同信息处理场景的出发点在于确立具体情形下信息处理的客观风险,以及信息主体对自己权益受到保护的合理信赖与期待,这正是判断信息处理限度的合理标准,与“合理隐私期待”标准有异曲同工之妙。合理的隐私期待标准最早由美国联邦最高法院于1967年在“Katz v.United States②Katz v.United States, 389 U.S.347 (1967).案”中提出,以此判断当事人是否享有隐私权。“合理隐私期待”标准包括两方面要件:“首先是主观要件,即个人的行为是否表现出他确实享有主观的隐私期待;其次是客观要件,即社会是否认可他的隐私期待是‘合理的’。”③杜红原:《隐私权的判定——“合理隐私期待标准”的确立与适用》,《北方法学》2015年第6期。在个人信息处理语境下,信息处理者采取的信息处理行为是否符合必要性原则的要求,首先需要评估此种信息处理行为的风险程度,进而考察此种信息风险是否符合信息主体的合理心理预期,而风险程度往往与信息主体身份、信息处理目的、处理的信息类型、具体信息处理行为、信息范围有关,应当进行综合考量。其次,应当以一般理性人的客观视角审查前述信息主体对个人信息保护的期待是否合理,即前述信息风险在该种场景下能否被社会一般公众所接受。最后,若信息处理者的信息处理行为未超过信息主体在特定场景下的合理信息期待,原则上认为该处理行为未超过必要的限度。
为避免信息控制者利用订约优势过度收集个人信息,有必要从外部对个人信息的收集范围予以限制,这是一种法律政策的选择结果,体现出立法者基于现实情况代替信息主体作出的一项最为安全的选择,颇具法律父爱主义(Paternalism)色彩。④参见刘明:《浅析个人信息收集行为的必要性要求》,《中国信息安全》2019年第3期。这意味着,前述限制也可能基于其他法律政策而有所调整。《条例》第5条详细列举了个人数据处理的基本原则,包括目的限制、数据最小化、存储限制等。但是,该条例在信息处理原则中又明确规定,基于公共利益、科学、历史研究或统计目的,并采取了该条例第89条规定的必要措施而进一步处理数据的,不视为违反目的限制原则,并可以超过处理个人数据之目的所必需的存储期限。同时,该条例第89条指出,出于公共利益等特定目的,可以对信息主体的部分权利进行适当克减。⑤See “REGULATION (EU) 2016/679 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL”, https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32016R0679&qid=1621917614723 (Last visited by May 15, 2021).这表明,个人信息处理目的之性质,特别是基于公共利益目的之个人信息处理,会对信息处理的必要性原则产生影响。本质上,这是基于个人信息的公共属性,基于维护特定公共利益而对权利主体的信息权益所作的必要的和适当的限制。具体到必要性原则中,公共利益对信息主体权益限制的直接表现为,对信息处理限度和合理信息期待的一定突破,但此种突破并非是对必要性原则的全面推翻,而是对必要性原则,特别是数据最小化要求的一种必要修正,以服务于更高利益之实现,构成一种“限制的限制”。
三、主体维度下对必要性原则的检视
(一)公权力主体作为信息处理者对信息处理限度的影响
“个人信息不仅关涉个人利益,而且关涉他人和整个社会利益,个人信息具有公共性和社会性。传统的个人信息个人控制理论是建立在个人主义观念下,忽视了个人信息的社会性、公共性,不仅不能全面反映个人信息的法律属性,而且不能适应大数据时代个人信息利用的新环境和新方式。”①高富平:《个人信息保护:从个人控制到社会控制》,《法学研究》2018年第3期。这是因为,小数据时代的个人信息主要体现为个体性,社会性较弱,使用目的多为对信息主体的识别;而大数据时代参与个人信息保护与利用的是数量庞大、实力悬殊且呈现出鲜明群体性特征的信息主体和信息处理者。关涉的利益不仅是信息主体的人格尊严和信息处理者的商业利益,更有数字经济的发展和大数据红利的分享。②参见王怀勇、常宇豪:《个人信息保护的理念嬗变与制度变革》,《法制与社会发展》2020年第6期。前述观点,进一步强调了个人信息的社会公共性质,具有合理性,即使是出于维护人格尊严和自由之目的,在“德国人口普查案”中发展出的信息自决权,也并非说明个人对其信息享有所谓绝对不受限制的支配权,基于个人与团体间的社会关联性和拘束性,信息自主权必须容忍重大公益的限制。③参见王泽鉴:《人格权法》,北京大学出版社2013年版,第200页。
基于前述分析,公共权力主体作为信息处理者,因公共利益目的履行公共职责而赋予其信息处理行为的正当性。因此,在信息处理过程中,正当的实质性公共利益确实得以对信息主体的信息权益构成合理制约,意味着在特定情形下,允许政府适度突破信息处理必要性之常规边界,保障公共利益先行。以重大突发公共卫生事件为例,《中华人民共和国传染病防治法》第23条规定:“疾病预防控制机构应当主动收集、分析、调查、核实传染病疫情信息。”鉴于科技和医疗卫生条件等客观因素之限制,人类尚且无法对一切可能发生的传染性病毒作出准确、快速的判断,在疫情期间,通过尽可能数量的疫情数据采集,进行病毒溯源是应对疫情的必然举措。在这个过程中,如果仅仅以“数据最小化”作为信息处理的基准,必然难以及时有效地应对未知的疫情风险。这正是必要性原则在面对特定情形下的合理修正。
新兴的利益诉求与表达往往催生新型的利益格局与秩序。工业社会时期,个人信息主要体现为自然人的隐私权益,政府等公共权力主体作为“守夜人”并未直接介入其中的利益分配。信息时代,国家除了传统隐私权保护时期中立超然的裁判者身份外,其不再单纯以超然利益关系的治理者出现,它同时也是最大的个人信息收集、处理、储存和利用者,国家同时具有了管理者和利用者的双重身份。④参见张新宝:《从隐私到个人信息:利益再衡量的理论与制度安排》,《中国法学》2015年第3期。同时,为了保障公民、法人和其他组织依法获取政府信息,提高政府工作的透明度,建设法治政府⑤参见《中华人民共和国政府信息公开条例》第1条之立法目的。,国家又负有公开自身政务信息的法定职责。在某种意义上,国家在信息领域兼具“信息处理者”“信息主体”“信息裁判者”三重主体身份。相较于一般的信息处理者,国家作为公共权力的合法拥有者,对信息主体的权益威胁更甚。这是因为,作为公共资源的直接管理者与集中者,相较于其他主体,国家在信息技术时代掌握了更多足以完整描摹个人图像的信息获取渠道和信息处理技术,其获得信息并施加影响的可能性已增加到前所未有的程度,“监控国家”的风险也因此骤然增高。⑥参见赵宏:《从信息公开到信息保护:公法上信息权保护研究的风向流转与核心问题》,《比较法研究》2017年第2期。
国家作为信息处理者还具备其他主体所没有的行为特征,包括公共性、强制性、垄断性等。“行政主体对个人信息的收集、处理和利用是行政事实行为。它是行政主体基于职权而实施的,是运用行政权力的结果。”⑦刘巍:《论个人信息的行政法保护》,《行政法学研究》2007年第2期。基于社会公共管理之目的,政府得以合法而规模化、常态化、高频次地处理公民个人信息,尽管公权力行使应当以追求公共利益为目的,但“由于公共利益并不指向特定的主体,具体内容依时空、语境发生变化,表现出不确定性,因此公共利益极易成为公权力机关实施自利行为(如政府单纯追求政绩)的便车”。⑧宁园:《健康码运用中的个人信息保护规制》,《法学评论》2020年第6期。此外,相较于传统时期的公共安全治理机制与治理流程,大数据时代公共安全决策的流程将由危机事件发生后的“应对”转变为危机事件发生前的“预测”,而此种“预测”往往体现为对规模数据信息的收集、挖掘、分析。①参见张春艳:《大数据时代的公共安全治理》,《国家行政学院学报》2014年第5期。
政府处理个人信息的风险不仅不会因为公共利益而降低,反而因其独特的身份相较于其他信息处理者而言又显著提升了信息主体的信息风险。因而,对政府的信息处理行为必须进行合理规范,最基础的要求则是此类信息处理行为必须具备合法性授权,因为程序正义是现代国家治理的核心,也是权力正当性的外在合法表征。在实质层面,还应当对公共利益进行必要审查,排除部门或机构利益等形式上的公共利益,区分不同场景中公共利益的具体内涵,进行合理的利益衡量。②参见宁立成、崔志敏:《疫情防控中公权力主体处理个人信息的正当性分析》,《现代法治研究》2020年第4期。最后,个体权利在应急状态下确实会受到一定的限制,但这种限制绝不能演变为对其权利的彻底排除和掏空,也不能演变为对基本权利本质内容的彻底否定和消解。因此,人性尊严是作为个人权利限制的根本界限③参见赵宏:《疫情防控下个人的权利限缩与边界》,《比较法研究》2020年第2期。,同样也是限制信息处理必要性原则的根本标准。欧洲数据保护专员公署(EDPS)指出,更好地尊重和维护人的尊严,可以制衡目前个人所面临的普遍监视和权力不对称,这是新的数字伦理核心。④The European Data Protection Supervisor, Towards a New Digital Ethics: Data, Dignity and Technology (2015), https://edps.europa.eu/dataprotection/our-work/publications/opinions/towards-new-digital-ethics-data-dignity-and_en (Last visited by May15, 2021).因此,有论者表示,“基于控制‘数据权力’这一侵害风险源的需要,国家一方面应避免过度侵入个人信息领域;另一方面应通过制度性保障、组织与程序保障以及侵害防止义务的体系化,营造个人信息保护的制度生态”⑤王锡锌:《个人信息国家保护义务及展开》,《中国法学》2021年第1期。。权力的扩张和正当使用必须通过法律来限制,有学者呼吁从限权角度制定规范政府公权力处理个人信息的专门立法。⑥参见王秀哲:《我国个人信息立法保护实证研究》,《东方法学》2016年第3期。
(二)特殊信息主体的权利保障与信息处理限制
如果说基于社会公共利益政策需要,公权力机关在处理个人信息时需要适当缓和信息处理之限度,那么同样基于特殊/优先保护的人权理念,在处理部分特殊信息主体的个人信息时,该信息处理行为应当施以更为严格的限制,儿童个人信息处理即是例证。1959年联合国大会通过的《儿童权利宣言》明确指出,儿童因其身心尚未成熟,于出生前及出生后均需特别保障与照料,包括适当之法律保护在内。该宣言确立了儿童权利的十大原则,原则之二即是儿童的特别保护与利益最大化原则。1989年联合国大会通过的《儿童权利公约》(以下简称“《公约》”)进一步强调,关于儿童的一切行动,不论是由公私社会福利机构、法院、行政当局或立法机构执行,均应以保护儿童的最大利益为首要考虑。其中,《公约》第16条直接规定了对儿童隐私、家庭、住宅和通信的保护。正如《儿童权利宣言》所言,儿童由于其身心发育程度的限制,缺乏合理的辨识能力和风险抵御能力,对其行为及其后果缺乏有效认知,加之互联网应用日益普及并已然成为儿童学习生活重要组成部分,同时信息资源业已呈现巨大经济价值⑦参见王勇旗:《网络环境中儿童个人信息的人格权化保护》,《现代传播(中国传媒大学学报)》2020年第10期。,儿童个人信息保护已是未成年人网络安全制度的核心议题。
《条例》列举了诸多在个人数据处理过程中可能导致人身、物质或非物质损害进而威胁个人权利与自由的风险来源,包括处理自然人的敏感信息、大规模处理个人信息、数据主体被剥夺数据控制权等,其中,处理儿童等弱势群体的个人信息行为赫然在列。为此,《条例》在涉及儿童数据处理方面设置了诸多特别规则,以加强对儿童个人信息处理行为的规制。《条例》第6条在判断信息处理行为的合法性时,明确将儿童的特别利益及其基本权利和自由放置于比信息控制者或第三方利益更为优越的位置;第8条规定了处理儿童数据时的差异化授权同意条件;第57条在规定监管机关的职责时,明确要求其就针对儿童信息处理的活动给予特别关注。事实上,加强未成年人的网络保护早已是国际社会的共识。美国国会在1998年制定了《儿童网上隐私保护法》(Children’s Online Privacy Protection Act),规范网站和其他网络服务提供者通过互联网收集儿童个人信息的行为。英国2017年的《数字经济法》、日本2008年的《青少年网络环境优化法》都对未成年人面临的网络信息风险进行了规制。①参见周学峰:《未成年人网络保护制度的域外经验与启示》,《北京航空航天大学学报(社会科学版)》2018年第4期。
在个人信息处理过程中,儿童个人信息容易受到网络主体的非法收集和滥用,儿童更易遭受外界的不当侵害与成长干预,妨碍其健康的心智培养与价值塑造,进而威胁其人格尊严与发展自由。因此,严格限制针对儿童个人信息的处理确有必要,这是一种法律政策上“弱式意义上的平等对待”②王轶:《民法价值判断问题的实体性论证规则——以中国民法学的学术实践为背景》,《中国社会科学》2004年第6期。的价值判断。我国互联网信息办公室通过的《儿童个人信息网络保护规定》(以下简称“《规定》”)第8条规定:“网络运营者应当设置专门的儿童个人信息保护规则和用户协议,并指定专人负责儿童个人信息保护。”同时,就儿童个人信息处理的原则、条件、内容、程序设置特别规则。其中,《规定》第15条明确要求:“网络运营者对其工作人员应当以最小授权为原则,严格设定信息访问权限,控制儿童个人信息知悉范围。”这是对个人信息处理必要性原则的特别规定,即儿童信息的最小授权和传播规则,这与处理一般主体个人信息的要求有明显差异,是对个人信息处理权限的进一步限缩。当然,由于个人信息于社会交往之重要价值,儿童亦概莫能外。因此,严格限制儿童个人信息的处理并非排斥,更非禁止处理儿童信息,只是要求信息处理者履行更为严苛的信息处理义务。
四、客体维度下对必要性原则的审度
(一)基于信息处理风险的个人信息类型区分
“个人信息的保护范围可大体界定为与公民个体的独立意志和交互行为的独立自主具有密切联系的信息。”③王利明:《和而不同:隐私权与个人信息的规则界分和适用》,《法学评论》2021年第2期。前述观点中,个人信息的保护范围与个人信息的“识别性”定义具有一致性,均强调个人信息与自然人的身份关联。但是,不同类型的个人信息的私密性不同,与主体的身份关联性亦有差异,导致信息处理的风险程度各异,因此,“根据个人信息不同阶段评估其存在的风险来界定个人信息具有一定的合理性”④阳雪雅:《论个人信息的界定、分类及流通体系——兼评〈民法总则〉第111条》,《东方法学》2019年第4期。。信息风险与信息主体的合理信息期待密切相关,因而反映风险程度的不同信息类别亦会对个人信息的处理限度产生影响。
根据信息的私密程度、敏感程度及其对信息主体的风险影响程度,可以将个人信息类型化为一般个人信息和敏感个人信息。诸多现行规范也是在评估信息处理给自然人可能造成的损害和风险基础上对一般信息和敏感信息进行区分的。《个人信息安全规范》规定,敏感个人信息是指“一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。”《草案二审稿》第29条第2款将敏感个人信息界定为:“一旦泄露或者非法使用,可能导致个人受到歧视或者人身、财产安全受到严重危害的个人信息,包括种族、民族、宗教信仰、个人生物特征、医疗健康、金融账户、个人行踪等信息。”相较于一般信息,敏感信息具有如下显著特点。
首先,敏感信息与信息主体的人格尊严更为密切,具有高度的人身依附性、专属性等一般信息不具备的信息特质。以指纹、虹膜、基因等生物识别信息为例,它们能直接反映自然人独一无二与不可替代性的身体、生理或行为等主体本质特征⑤参见冉克平:《论个人生物识别信息及其法律保护》,《社会科学辑刊》2020年第6期。,是人格尊严完整的必备要素。敏感信息的缺失或扭曲会直接带来主体完整性贬损的不利后果。
其次,敏感信息的私密程度更高,许多属于受隐私权和个人信息权益保护的双重客体。尽管对个人信息的法律属性存在争议,但隐私权作为自然人排他、支配的绝对权是学界之共识。隐私权的本质是私人利益的自我保有和隐藏,从合理隐私期待的视角看,信息主体通常不愿意自己的敏感信息被其他主体所获取。
再次,敏感信息的处理行为往往伴随着更高的社会风险。这是因为,敏感个人信息比普通个人信息承载了更高的人格尊严要素,敏感信息的泄露和非法使用将使主体的生存权、发展权、自由权、尊严权、就业权等具有人权性质的基础性权利遭受重大损害。①参见田野、张晨辉:《论敏感个人信息的法律保护》,《河南社会科学》2019年第7期。
最后,敏感信息在大数据背景下蕴含着更为丰富的公共管理和商业利用价值。基于人脸识别的视频监控与公共场所安检,基于人体基因信息的生物医药技术研发,基于通讯录及其内容的社交软件运用,都足以激励信息业者对个人敏感信息的处理甚至滥用。
(二)禁止处理敏感个人信息作为一般性原则
基于一般信息与敏感信息的差异,我国学者提出了“两头强化”的信息处理理论,即“强化个人敏感信息的保护”和“强化个人一般信息的利用”,以期最大限度地调和个人信息保护与企业利用之间的矛盾。②参见张新宝:《我国个人信息保护法立法主要矛盾研讨》,《吉林大学社会科学学报》2018年第5期。在比较法上,对个人敏感信息一般持保守而严苛的法律态度。德国立法明确地列出了种族、宗教信仰、犯罪记录、政治观点等属于禁止收集的私密数据。美国对敏感信息的处理也作出了严格的限制,美国的征信机构虽然可以收集敏感信息,但是不得进行传播,也不得在进行信用计分时加以考虑或计算,否则会被联邦贸易委员会视为歧视性决定而受到惩罚。③参见张新宝:《个人信息收集:告知同意原则适用的限制》,《比较法研究》2019年第6期。欧盟《条例》第9条“特殊类型的个人数据处理”第1款,原则上明确禁止处理有关个人的种族、政治观点、宗教、基因数据、性取向等敏感信息,只有例外符合第2款规定的封闭列举式条件才能对前述个人敏感信息进行有限的处理。事实上,我国立法也一定程度地贯彻了前述禁止或限制处理个人敏感信息的国际理念。2013年国务院制定的《征信业管理条例》第14条第1款明确规定:“禁止征信机构采集个人的宗教信仰、基因、指纹、血型、疾病和病史信息以及法律、行政法规规定禁止采集的其他个人信息。”第2款则规定征信机构在明确告知信息主体提供该信息可能产生的不利后果,并取得其书面同意的前提下,可以采集部分个人敏感财产信息。
《草案二审稿》第29条第1款规定:“个人信息处理者具有特定的目的和充分的必要性, 方可处理敏感个人信息。”“特定的目的”和“充分的必要性”构成敏感个人信息处理的限制性条件。同时,草案要求信息处理者采取高标准的授权同意模式,履行更为详尽的敏感信息风险评估、说明义务。问题在于,针对敏感个人信息的处理,特别是涉及生物识别信息、两性生活信息、宗教信息等极端敏感信息,国际和我国之前的一般立法理念是“原则禁止,例外允许”。此次《草案二审稿》则采取了“满足条件,一般允许”的基本思路,不符合既往实践。此外,“特定的目的”“充分的必要性”等限制条件的宽泛措辞也受到了一定的质疑,有学者认为应当增加“基于维护公共利益或个人的重大利益”的明确限定。④参见石佳友、刘思齐:《人脸识别技术中的个人信息保护——兼论动态同意模式的建构》,《财经法学》2021年第2期。
本文以为,现有个人信息保护法草案的立法理念和具体规则有待商榷。如前所述,敏感个人信息于信息主体而言具有人身专属性、人格尊严完整性、非常规损害风险等特点,不能简单类比一般个人信息的处理规则,仅在此基础上规定若干额外信息处理要件。“人格尊严的保护属于立法追求的目的价值,而个人信息的利用属立法追求的工具价值,相较之下,目的价值应优先于工具价值……大数据时代并没有削弱个人敏感信息保护的基础价值,而我们更应在保护的种类和方法上予以变更,以回应时代的发展。”⑤胡文涛:《我国个人敏感信息界定之构想》,《中国法学》2018年第5期。前述观点一语中的,深刻揭露出个人敏感信息处理的核心要义。因此,我国未来的个人信息立法仍应秉持对敏感个人信息“原则禁止,例外允许”的基本理念。首先,建议草案于敏感信息处理规则中承继前述理念,明确在一般原则下禁止对敏感个人信息的处理,特别是基于纯粹的商业目的处理个人敏感信息;其次,应当在法律层面具体列举敏感个人信息例外处理的情形与条件,避免部门立法对信息主体权益的不合理减损,同时设置较高的信息处理义务——风险评估、充分告知、书面同意、严格责任等,并以维护公共利益、重大个人利益和市场需要为核心标准;最后,《征信业管理条例》对敏感信息的二次分类具有参考意义,区分不同的信息处理目的、信息处理主体和被处理信息的性质,以行为主义规制的模式,对不同的风险场景进行差别化对待,避免“一刀切”的单一做法。
五、结 语
自工业革命伊始,科技与法律正在逐渐影响着人类社会的现代化进程,两者之间的冲突、交互与协调方兴未艾。数字信息科技的发展在推动社会向智能化发展的同时,也带来了信息主体一定程度上被“数据化”“物化”的副作用,进而可能引发表象上信息主体丧失自我信息控制,实质上主体完整性式微的数字困境。为此,加强个人信息保护已成为信息时代之共识,个人信息立法也成为全球最为瞩目的立法运动之一。不可否认,个人信息于数字经济时代蕴藏着巨大的经济利用价值,以及促进社会转型发展和国家治理的功能。因此,信息权益保护与数据自由流通之间亟待平衡,必要性原则在此发挥了连接与平衡的桥梁作用。通过不同利益维度之审视,考察必要性原则的制度功能,信息处理限度得以具象化与实践化,进而防止信息滥用与“数据产业的野蛮生长”①参见王利明:《数据共享与个人信息保护》,《现代法学》2019年第1期。,实现多元利益的有效激励与最大化。