文/王 进(西南政法大学民商法学院,重庆 401120)
论个人信息处理正当性的特殊依据
——以欧盟《一般数据保护条例》为视角
文/王 进(西南政法大学民商法学院,重庆 401120)
在大数据时代背景下,知情同意原则难以为某些特殊的信息处理行为提供正当性依据。因此,许多国家的立法都规定了个人信息处理正当性之特殊依据体系,其中尤以欧盟2016年4月27日通过的《一般数据保护条例》最为完善。我国立法应同时规定个人信息处理之一般依据和特殊依据,借鉴欧盟经验将个人信息处理之特殊依据划分为六种类型,明确各种特殊依据的判定标准以便于司法审判的认定,不断完善个人信息处理正当性之特殊依据体系以符合时代的要求。
个人信息 正当性 特殊依据 信息处理
GDPR第6条第1款b项规定了 “为履行或订立合同”这一特殊依据,其包含了两种情形,即为履行合同而处理个人信息和为订立合同而处理个人信息。下面就这两种情形分别进行分析。
为履行合同而处理个人信息是指信息控制者与信息主体分别为合同双方当事人,而信息处理行为属于为履行合同义务所必需。例如,在买卖合同中卖家(信息控制者)需要处理买家(信息主体)的收货地址,以便交付买卖合同的标的物,或处理其支付宝信息以便向买家收款。而在劳务合同中,信息控制者处理信息主体的银行账户信息则可以是为了支付薪酬。
但在司法实务之中,合同义务与处理目的具有复杂性,所以笔者认为有必要对履行合同目的进行严格解释,将并非为真正履行合同所必需的处理行为排除在本规定之外,并将其定性为信息控制者侵犯信息主体个人信息权的行为。即使某些信息处理本来就已经订立在合同内,但却未必为履行合同所需要。例如在朱烨与北京百度网讯科技公司隐私权纠纷上诉案中[4],百度公司根据用户在网站上的搜索和浏览记录,建立用户喜好或习惯的Cookie档案,并根据其推送相关的广告,此时履行合同便不能作为信息处理的合法依据,原因在于百度公司并没有因为收集用户Cookie而专门订立合同,就算双方的网络服务合同在其隐私保护声明中曾经明确提及了收集用户Cookie并建立档案,其收集行为是为了向用户推送广告而非为履行合同主要内容所“必需”。
判断某一信息处理行为是否为履行合同所必须,必须先明确合同的准确意向,即合同本质和基本目的。如果合同目的不明确,则难以通过履行合同这一依据为处理行为提供正当性,此时就需要调查更具体的事实,例如已经征得信息主体同意,或对其采取了充分的保护措施,即可通过其他正当性来源来证明处理的合法性。如果合同目的是明确的,此时可根据合同的义务群进行判定,这些义务主要包括主给付义务、从给付义务、附随义务、不真正义务[5]。只要信息控制者为履行这些义务而为的处理行为皆可通过本项证明其合法性。
总之b项仅适用于履行合同所必需的情况,既不适用于违反合同目的所导致的所有后续行为,也不适用于执行合同过程中发生的对合同目的实现而言无关紧要的事实,只要信息的处理与执行合同内容有关,履行合同就可成为其正当性依据。
为订立合同而处理个人信息是指在合同尚未缔结之前,信息处理者应信息主体的要求而处理其个人信息。前者,例如在财产保险合同中,投保人要求保险人提供其财产的保价,保险人基于投保人的请求而处理汽车的车牌号、行驶证等相关资料,此等处理发生在合同生效前,也并非为履行合同义务,而是为了双方当事人成功订立合同。
值得思考的一个问题是为履行先合同义务而处理个人信息能否通过本项规定获得正当性依据,这就需对厘清先合同义务的性质。“所谓先合同义务是指缔约人双方为签订合同而互相磋商时依诚实信用原则逐渐产生的注意义务,而非合同有效成立后产生的给付义务,包括互相协助、保护、通知、忠诚等义务。”[6]我国理论界普遍认为“先合同义务是一种法律义务,即是法律强制缔约双方承担的义务,而不是由合同双方自我约定的义务。因此,违反先合同义务的行为是违法行为而不是违反合同的行为”[7]。该义务产生于法定的诚实信用原则,所以为履行先合同义务属于改款c项所规定之法定义务,而非通过订立合同为其提供正当性依据。
第6条第一款c项为信息控制者为履行法定义务而处理信息主体的个人信息的情况提供了合法依据。例如,在商业银行贷款之时往往需要对贷款人的相关财务信息进行处理,此时商业银行依据的是《商业银行法》第三十五条之规定,即“商业银行贷款,应当对借款人的借款用途、偿还能力、还款方式等情况进行严格审查。”这种义务属于《商业银行法》直接施加给商业银行的法律义务,而非当事人间和合同约定,应通过本项规定为其提供正当性。
笔者认为,正确理解与适用法定义务这一正当性依据还必须明确以下两点。首先,该法定义务仅指本国法律所规定的的义务。因为个人信息处理往往涉及跨境信息转移的情形,信息处理者在遵守本国法律的同时还往往会受到国际机构和目标国家的规则和法律限制。此时若其法律或规则未受到本国法律认可,如通过加入国际组织使其成为国内法,则不能通过本项为其处理行为提供正当性基础。其次,即使该项为信息主体履行法定义务而处理个人信息提供了正当性基础,也并不意味着该处理行为脱离了GDPR的约束,其仍要受到公开、目的限制和数据最小化等原则的限制[8]。即其所采取的处理过程必须是公开的,其处理行为不能偏离这一目的,要能够被履行法定义务这一初始目的所兼容,要采取对信息主体而言损害最小的处理方式,采取相应的保护措施。所以本款仅仅使处理行为满足了合法性的要求。
第6条第一款C项是基于“处理是为保护信息主体或另一自然人的重大利益所必须的”,而成为处理的正当性依据。该项的表述与第9条第2款c项有些类似,但后者更为严格,其要求“处理对保护信息主体或另一自然人的重大利益是必要的,且信息主体身体上或法律上无能力给予同意”[9]。其原因在于第9条规定的是敏感个人信息处理的正当性,相较一般个人信息而言,该种信息往往涉及个人隐私[10],如私人和家庭生活等。GDPR基于对私人生活和家庭生活的尊重,提高了对个人信息的保护标准[11],所以即使是为信息主体或另一自然人的切身利益而必须处理其敏感个人信息,仍需符合信息主体身体上或法律上无能力给予同意这一前提。
在明确其区别之后,还需要正确理解这两条中所规定涉及之“重大利益”一词为何意,究竟达到何种程度方为GDPR所言之重大利益,以及何时才能为第三人的重大利益处理信息主体的个人信息。关于这两个问题,GDPR在其序言第46段给出了解答。[12]首先,若某一权益事关信息主体或另一自然人的生命或人身安全,则该种权益方可称之为个人信息法中的“重大利益”,此时为了保障这项权益所进行的必要的个人信息处理应被视作是合法的。例如在施某某、张某某、桂某某诉徐某某肖像权、名誉权、隐私权纠纷案[13]中,法院正是基于保护未成年人免受养父母虐待这一正当性依据,认定徐某某的公布未成年人受伤害信息的行为不属于侵权行为。其次,原则上只有在明显无法以另一法律依据为基础进行信息处理的情形下,才能基于另一自然人的重大利益进行个人信息处理。
在某些信息处理类型中,该项还可能与其他正当性依据同时并存,例如在某些自然灾害和人为灾害之中对信息主体的个人信息进行处理,既是为了信息主体和其他自然人的生命和人身安全,更是为了社会公众利益,此时信息主体或他人的重大利益与公共利益这两种正当性依据就同时并存,信息控制者可选择通过重大利益或公共利益作为处理依据以证明其合法性。
GDPR之所以将行使公权单独规定为一项信息处理正当性的特殊依据,原因在于其采用了国家机关和非国家机关统一规定个人信息保护立法模式。而在采用分别规定的立法模式中,例如我国台湾地区《个人信息保护法》[14]和我国学者的《个人信息保护法专家建议稿》[15]均将其放到了国家机关收集个人信息所应遵守基本原则之中,即要求信息收集、处理的目的是为实现其自身职能,将其视为信息处理正当性的一般依据。
GDPR此处的行使公权力是指为了履行涉及公共利益之任务,或者行使授予信息控制者的官方授权之任务所必需的信息处理。其中包含了两种情形,并且同时与公共和私人领域相关。首先,它包括了信息控制者本身的身份是国家机关,其信息处理是行使公权力所需要的情形。例如,户籍管理机关为了履行其户籍管理的权力,而收集和处理新生婴儿的个人信息。其次,他还包括信息控制者没有相应的公权力,却可以基于公权力机关的授权或主动向公权力机关披露他人信息而为信息处理行为。如企业基于公安机关的授权或主动向公安机关举报犯罪,处理相关人员的个人信息。
判断某一行使公权力的信息处理行为是否具备正当性,还需考虑其处理的方式是否合理,是否能够符合个人信息保护法的要求。笔者认为,可以将比例原则作为一种判断标准,因为“比例原则要求公权力必须在限制基本权利的目的和限制基本权利的手段之间进行衡量,不能不择手段地追求目的的实现”[16]。“一般认为,比例原则包含三个子原则(Teilgrunds tzen),即适当性原则(Geeignetheit)、必要性原则 (Erfordlichkeit) 和均衡性原则(Angemessenheit)。 ”[17]所以在对处理行为进行具体判断时可以通过以下三个步骤:首先,国家机关所采取的个人信息处理方式是否是有利于其行使公权力之目的的达成,以判定其是否符合适当性原则。其次在可以达到目的的数种信息处理方式中,国家机关是否采取了对信息主体的个人信息权损害最小的处理方式,以判定其是否符合必要性原则。最后,均衡性原则要求国家机关对个人信息权的干预与其行使公权力所追求的目的之间必须要相称,二者在效果上不能不成比例。只有在符合这三次判定的基础之上才能认定行使公权力而为的信息处理行为符合个人信息保护法的要求,可以通过本项规定证明其正当性。
该项依据为GDPR所规定的最后一项正当性特殊依据,该项与其他依据相比不够具体,往往难以判断何种利益为正当利益,以及是否足以为保护该正当利益而限制信息主体的权利,所以该种正当性依据的适用往往伴随着双方权利的冲突,需要运用权利位阶和比例原则等方法来以衡量那种利益更为重要。所以对于该项而言权利冲突的解决方法至关重要,是评估信息控制者的正当利益能否为信息处理行为提供正当性的关键。在解决权利冲突时必须正确判断信息控制者的利益是否正当、评估对信息当事人的影响以及信息控制者是否对信息主体采取了额外的保护措施,下面就这三项内容之一进行分析。
“所谓利益,就是人们受客观规律制约的,为了满足生存和发展而产生的,对于一定对象的各种客观需求。”[18]在 GDPR 中“利益”的概念与第 5条中所述的“目的”的概念紧密相关,但二者又有所区别。在个人信息保护这一特殊领域中,“目的”是指处理信息的具体原因,即信息处理的目标或意图。而利益则是信息控制者在信息处理中可能涉及的更广泛利害关系,或者信息控制者或社会可能从信息处理中产生的好处。在判定信息控制者的信息处理行为是否具有正当性时,利益必须清晰明确,以便于和信息主体的利益和基本权利进行法律抉择。此外,涉及的利益还必须是“负责实体所追求的”。这就要求是真实的并且是现存的利益,是与目前的活动或利益相应,亦可以是不久将来所追求的。换言之,太过模糊的或臆测的利益并不足够。在清晰明确的了解信息控制者的利益后,还需要判定该利益是否正当,所以需要明确“正当性”的概念。所谓正当指一个人的行为、要求、愿望等符合社会的政策和行为规范的要求,或者符合社会发展的需要和人民的利益。所以,经过以上分析,笔者认为,正当利益应当符合以下三个特征。首先,合法(符合现行法律体系的规定);其次,充分、清晰说明平衡测试是如何进行的,当中比较了解哪些信息当事人的基本权利和利益(充分具体);最后,代表真实和目前存在的利益(不是臆测的)。
在评估信息处理的影响时,必须对可能导致的任何后果都加以考量。包括不利影响和积极影响,同时也包括直接的负面影响和可能对当信息主体造成的心理影响。笔者认为以下四个方面的因素的考量,有利于评估对当事人造成的影响。首先是个人信息的性质,当涉及的信息越敏感,对信息当事人造成的各种后果就越多。其次是将要处理信息的方式,因为信息处理者的不同处理方式可能会对信息主体造成不同程度的影响。再次是信息主体的合理期待,如果某一行为合乎信息主体的合理期待,其可能在处理之前就通过相应的措施减少了该信息处理行为可能对自身造成的损害。最后是信息控制者和信息主体的身份,此项因素主要是考虑双方当事人的地位差距是否悬殊,例如大型跨国公司当然会比信息主体有更多的资源和谈判实力,自然也较易向信息主体主张拥有“正当利益”。属于当信息控制者本身拥有市场主导地位时,信息主体往往处于弱势地位,如果放任此种现象,便对信息当事人构成损害。但需要强调的是需要加以考量的因素并不止于这四个方面,在进行评估时还必须考虑其他因素,例如信息处理的透明度、信息主体的反对权等,以便全面且合理的判断对信息主体的影响。
信息控制者所采用额外保护措施对权利抉择的结果具有重大影响,在某些情况下,甚至能够完全扭转其结果。所以信息处理行为对资料当事人产生的影响越大,信息控制者就更应该更注重相关的保障措施。例如,其可以严格限制信息的收集范围,或者在达到使用目的后立即删除个人信息。在某些措施已经是GDPR所强制要求的,但信息控制者却仍可以加大该保护措施的力度,以求更好保护资料当事人。例如负责实体可以收集更少的资料,并提供GDPR第10条和第11条所要求以外的额外资讯。如果某些保护措施GDPR并未要求其采取,信息控制者也可以主动提供,例如匿名化、隐名化技术以及定期的隐私风险评估等。
在明确以上三项内容的基础之上,需要裁判者灵活运用价值冲突理论,通过权力位阶以及比例原则这两种方式对信息主体的权利和信息控制者的正当利益进行衡量[19]。只有当信息控制者的正当利益明显超越信息主体的个人信息权之时,才能认为其处理行为是正当的。
通过对GDPR中的个人信息处理正当性的特殊依据进行系统的分析,笔者对我国构建个人信息处理正当性之特殊依据体系提出以下四点建议,希望为未来的个人信息保护立法提供一些参考。第一,为了应对当代信息处理方式和目的的复杂性,我国立法必须同时规定个人信息处理正当性的特殊依据和一般依据。第二,GDPR将特殊依据分为履行或订立合同、遵守法定义务、为保护信息主体或他人的重大利益、为行使公权力、为信息控制者的正当利益六种,这种划分具有全面性、科学性、灵活性与合理性,几乎能够将现有各种信息处理行为囊括在法律规定之中,建议我国立法在规定正当性特殊依据时学习欧盟的这种划分方法。第三,分析时,立法应明确各种特殊依据的判定方法,以便于司法审判中认定某一处理行为是否具有正当性。第四,通过欧盟的个人信息立法我们可以看出,技术创造新的信息,GDPR的完美也并非一蹴而就的。所以建议我国立法应对人信息处理正当性之特殊依据体系进行不断的修改和经验积累,以使其符合社会发展的需求。
[1][英]维克托·迈尔-舍恩伯格、肯尼思·库克耶:《大数据时代》,盛杨燕、周涛译,浙江人民出版社,2012:39.
[2]Article 29 Data Protection Working Party,Opinion 15/2011 on the definition of consent [EB/OL].(2011-07-13) [2017-05-24].http://ec.europa.eu/justice/data -protection/article -29/documentation/opinion-recommendation/files/2011/wp187_en.pdf
[3]General Data Protection Regulation,Article 6 [EB/OL].(2016-04-27) [2017-05-25].http://ec.europa.eu/justice/dataprotection/reform/files/regulation_oj_en.pdf.
[4]参见:江苏省南京市中级人民法院(2014)宁民终字第5028号民事判决书。
[5]谭启平.中国民法学[M].北京:法律出版社,2015:367-370.
[6]马俊驹,余延满.民法原论.北京:法律出版社,2010:539.
[7]姜淑明.先合同义务及违反先合同义务之责任形态研究[J].法商研究,2000(02).
[8]General Data Protection Regulation,Article 5 [EB/OL].(2016-04-27) [2017-05-25].http://ec.europa.eu/justice/dataprotection/reform/files/regulation_oj_en.pdf.
[9]General Data Protection Regulation,Article 9 [EB/OL].(2016-04-27) [2017-05-25].http://ec.europa.eu/justice/dataprotection/reform/files/regulation_oj_en.pdf.
[10]齐爱民.论个人信息的法律保护.苏州大学学报(哲学社会科学版),2005(02).
[11]Article 29 Data Protection Working Party,Opinion 4/2007 on the concept of personal data[EB/OL].(2007-06-20) [2017-05-24].http://ec.europa.eu/justice/data -protection/article -29/documentation/opinion-recommendation/files/2007/wp136_en.pdf
[12]General Data Protection Regulation,(46) [EB/OL].(2016-04-27) [2017-05-25].http://ec.europa.eu/justice/dataprotection/reform/files/regulation_oj_en.pdf.
[13]最高人民法院办公厅编.最高人民法院公报(2016年卷).北京:人民法院出版社,2017:503.
[14]我国台湾地区《电脑处理个人信息保护法》,第2条。
[15]齐爱民.中华人民共和国个人信息保护法示范法草案学者建议稿[J].北方法学,2008(06).
[16]张翔.财产权的社会义务[J].中国社会科学,2012(09).
[17]Vgl.Michael Stürner,Der Grundsatz der Verh ltnismäβigkeit im Schuldvertragsrecht,Verlag Mohr Siebeck 2010,S.23.
[18]付子堂.法律功能论[M].中国政法大学出版社,1999:147.
[19]梁迎修.权利冲突的司法化解[J].法学研究,2014(02).
D923.8
A
1008-6323(2017)05-0030-05
20世纪70年代以来,几乎世界各国的个人信息保护立法都将知情同意原则作为个人信息处理正当性的首要来源。但随着大数据时代的到来,数据的总量不断增加。“人类存储信息量的增长速度比世界经济的增长速度快4倍,而计算机数据处理能力的增长速度则比世界经济的增长速度快9倍。”[1]面对如此庞大复杂的数据总量,若在所有个人信息处理中都恪守知情同意原则,对于数据经济和个人信息保护而言,这既不经济,更无法保障个人信息权。正如欧盟第二十九条个人资料保护工作组所指出的:“同意并非总是使信息处理合法化的主要或最可取的依据,当其被加以扩张或限制以适用于本来不适用的情况时,构成有效同意的要素可能不复存在,因而可能对当事人构成重大损害,实务上亦削弱了当事人的地位。”[2]为了解决这一问题,在20世纪末至21世纪初,许多国家制定或修改个人信息保护法时都基于某些情形的特殊性,相应地增加了个人信息收集、处理、传输和利用正当性的特殊依据,我国学界也将其称之为知情同意原则的例外规定。
但各国所规定的正当性特殊依据各不相同,如何在特定情况下正确理解与适用这些依据更是困扰着各国的立法者。欧盟于2016年4月27日通过的《一般数据保护条例》(以下简称GDPR)系统地规定了个人信息处理正当性的特殊依据,包括为履行或订立合同、遵守法定义务、为保护信息主体或他人的重大利益、为行使公权力、为信息控制者的正当利益[3]。GDPR作为欧盟数十年个人信息保护司法实践经验的立法成果,对我国具有重要的借鉴意义。因此,笔者希望通过本文对GDPR的六项特殊依据进行逐一分析和解读,并在此基础上对我国如何规定个人信息正当性特殊依据提供一些建议,以期为未来的《个人信息保护法》立法提供一些参考。
王进,西南政法大学民商法学硕士。
2017-08-15
责任编辑:曹丽娟