郭逸斐,张 莉
(福建师范大学法学院,福建福州 350117)
个人信息作为一种人格权益被规定进人格权编,是保护公民人格权的一项重要举措,体现公民作为个人信息的主体,其人身自由、人格尊严受到法律保护的理念。我国已经迈入数字经济时代,数据成为一种重要的生产要素,市场主体通过各类APP为目标用户提供服务。一方面,市场主体可以刻画用户形象,根据用户喜好和需求优化用户体验;另一方面,此种商业模式也对公民个人信息安全构成威胁,在实践中突出表现为对公民非必要的个人信息的大量索取。个人信息是数字信息时代沟通交流的基本要素,而个人信息的保护行为和处理行为之间存在张力,对此类现象若要进行规制,重点在于防止过度处理信息与权利滥用[1]。个人信息保护的相关规定究其根源是为了解决个人信息高效利用与信息安全保障之间的矛盾[1]。因此,有必要加强个人信息保护所需的预防措施,例如加密和去识别化措施[2];也应明确个人信息收集与运用的程序和方法以免被滥用于必要目的以外的其他目的。后者,就是个人信息处理的必要原则,是更高水准保护个人信息保护的基本要求。为此,有学者认为,个人信息的处理需要满足特定目的,在可用可不用的时候尽量不使用;在必须使用的时候也仅能满足必要的使用目的,不能无端扩大信息处理的范围[3]。
虽然《民法典》涉及个人信息处理的必要原则,但规定过于抽象。因此,有必要针对该原则适用的多样性场景,明确个人信息处理中必要原则的基本内容。本文尝试从理论维度出发,结合我国相关立法,探讨个人信息处理必要原则的内涵与价值、法理依据,并明确必要原则的适用标准,以期为我国未来相关的司法实践提供可操作性的建议,助力我国个人信息保护相关立法的完善,在保障个人信息主体合法权益的同时,为个人信息处理者提供合规指引。
个人信息处理必要原则,又称作信息最小化原则或“最少必要”原则(minimum and necessary),是指在进行个人信息处理活动时,必须要以能够实现或者满足处理目的所需之必要的个人信息为限度,个人信息处理者所收集或处理的个人信息应当仅限于满足其使用目的的最小范围[4]。具体而言,在处理个人信息时,只要能够满足信息处理的目的,能够少收集的信息就尽量少收集;收集非敏感的个人信息能够达到信息处理的目的,就不应当收集敏感信息,不应当扩大信息处理的范围[5]。实践中还应当做到,满足处理目的实现所必需的个人信息的数量和种类应被严格限制,收集个人信息的频率也应尽量低。作为个人信息处理者的法定义务,不能通过格式条款排除必要原则,更不能在处理个人信息时逾越界限。例如,在APP注册账号时,非有必要理由,不得要求用户提供家庭住址等敏感个人信息,除非根据行政部门相关强制性规定用户必须提供。例如,需要实名制认证才能办理的业务,包括网络金融、电信等。个人信息涉及个人的隐私,过度使用不仅会对他人造成不必要的干扰,还可能会侵害他人权利[4]。
个人信息保护的需求产生于数字经济时代。《民法典》规定,个人信息的处理必须坚持“合法、正当、必要原则”,《个人信息保护法》规定,处理个人信息应当遵循“合法、正当、必要和诚信原则”“处理个人信息应当与处理目的直接相关”“应当限于实现处理目的的最小范围”。较早的一些规范性文件也对“合法、正当、必要原则”做了规定。如《网络安全法》规定:“不得收集与其提供的服务无关的个人信息。”《电信和互联网用户个人信息保护规定》规定:“不得收集其提供服务所必需以外的用户个人信息或者将信息用于提供服务之外的目的。”总之,必要原则指的是即使正当、合法地处理了个人信息,也不得超出必要的范畴或过度处理,否则视作对个人信息的侵害。
必要原则也是各国个人信息保护立法中普遍规定的一项基本原则。欧盟在《一般数据保护条例》中规定:“个人数据应当充分、相关且不得超出其达到处理目的所需的必要数据”。“只有在处理目的不能通过其他方式实现的情况下,才能进行个人数据处理”。另外还规定:“控制者应当制定时间限制以进行删除或定期审查”。欧盟在《条例》中把必要原则概括为“充分、相关,处理行为不得超出实现目的的必要限度”。美国在1970年《公平信用报告法》中规定消费者对个人信息拥有访问权和更正权,且相关机构不得以公开的方式处理个人信息。2019年,美国旧金山市颁布了《反监控条例》,作为全球首个禁止人脸识别技术的规定,禁止政府机关使用人脸识别技术,以防人脸信息的滥用。2022年日本新修订的《个人信息保护法》新增了人脸识别信息使用等规定,要求个人信息处理者应当明确人脸识别信息的具体数据、使用目的等,并应当根据达到使用目的所必需的最小范围设定数据保留期限。巴西的《通用数据保护法》也规定,个人信息的处理必须遵循必要原则,将“个人信息的处理限制在实现其处理目的所需的最低限度,此处的个人信息包括与数据处理目的相关的、成比例的和非过量的数据”。
在个人信息处理领域,必要原则的最直接对象就是个人信息的处理行为,对此,有学者认为,必要原则包含理由充分、手段适当等要素,并认为“必要原则可以制约告知统一原则”[6]。也有学者认为,必要原则可以解释为两个方面,一是数据使用最小化,二是造成影响尽量小[7]。笔者认为,对于个人信息的处理必须在达到目的所需最低范围之内,必须明确个人信息处理的边界。
个人信息处理必要原则也是比例原则在个人信息保护领域的体现,体现为减小对私权的干涉[8]。比例原则作为行政法的基本原则,要求选择既能够达成目的、又对相对方侵害最小的手段。虽诞生于公法,但比例原则由于其适度、均衡的内涵和对实现实质正义的重要作用,渐渐扩大了影响范围,也对私法领域产生了重要影响。广义的比例原则由法治国家的原则产生,可以作为确定基本权利的界限,如作为个人利益和公共利益之间的权衡界定[9]。在民法领域,比例原则形成了维护私法自治的两道“防火墙”,表现为对外与对内两个方面,对外比例原则有助于对抗国家公权力的过度干涉;对内比例原则可以防止占据强势地位的私法主体滥用权利[10]。在民法领域,个人信息处理也应受比例原则的约束。私法自治天生的缺陷便是导致市场失灵,现代国家常见的情形是公法介入私法。在大数据时代,为了尽量避免市场失灵导致的严重后果,个人信息领域必须有公法参与以弥补私法调整的不足[11]。个人信息的处理行为也需要遵从符合比例原则中的必要性、适当性和最小损害原则的要求。
必要原则要求个人信息处理者承担相应的法定义务。首先,必要性原则指的是个人信息处理者处理个人信息的行为应当为达成目的之必要[12]。如某些APP对无关业务,如用户通讯录的收集行为就构成对个人信息处理权的滥用。其次,适当性原则指的是个人信息处理者对个人权益的损害不得超出了其所实现的利益。个人信息的处理主体应当追求手段和实现目的之间的性价比,个人信息处理之后的价值应当高于对个人信息的主体的权益造成的损害。最后,最小损害原则指的是个人信息处理者在处理个人信息之时,在保证达到目的的情况下,尽可能选择对相对人损害最小的方式[13]。当存在多种可以达到处理目的的方式之时,个人信息处理者必须选择对个人信息主体权益损害最小的方式,如果处理少量信息就可以达到处理目的,就不处理其他信息;如果处理普通信息就可以达到处理目的,就不处理敏感信息。
在个人信息相关的法律制度不断探索和完善的过程中,不规范处理个人信息的现象依旧层出不穷,为个人的隐私和社会的安定带来了隐患。一方面,必要原则在人格权益保护和财产利益保护中起到了协调作用。有学者认为,为平衡保护人格利益与信息自由的关系,应在我国法律制度的背景下,回应社会现实问题,借鉴欧盟的经验,在必要范围内,使本人自由支配个人信息并排除他人侵害[14]。另一方面,尽管告知同意规则在处理个人信息方面的重要性已经得到学界普遍认识,但有学者提出,告知同意规则也存在缺陷,也应受到必要原则的约束[6]。最后,必要原则在弥补了传统的告知同意规则的不足的同时,实际上还发挥了制度的兜底作用。
对于个人信息的属性当前学界仍存在争议,有学者认为个人信息是权利,不是法益[15],有学者认为个人信息仅是受法律保护的利益而非民事权利[16],有学者主张个人信息是自然人享有的人格权益[17],还有学者提出个人信息是一种财产权[18],还有学者进一步提出个人信息权益是一种天然包含财产属性的人格权益[19]。总体而言,学界就应当加强对于个人信息保护的方面已达成共识,仅仅在具体的保护方式上存在争议。根据《民法典》的规定,个人信息具有“可识别性”。个人信息是与可被识别或已被识别的特定自然人有关的各类信息,而个人信息与人格尊严也存在重要的联系,体现着个人的人格尊严和自由,是人格权的重要组成部分,对个人的人身、财产安全具有重要的意义。因此,笔者认为,个人信息蕴含着人格尊严,是理应由自然人享有的一种人格权益。他人需要尊重该权益,不得侵害,不得不经同意而处理个人信息[17]。个人信息主体通过信息的公开、利用等,逐渐形成自身的公共形象,并对此进行完善,因而有学者提出,对个人信息行使自我决定权,可以维护与个人信息有关的权益[20]。甚至有学者认为,要保证个人对信息的完全控制权[21]。个人信息自决权赋予信息主体在任何时候,对任何涉及自身信息的处理行为,无论处理主体,抑或是处理的内容和方法都可以介入的权利,不论处理行为是否合理[22]。个人信息必要性原则的重要价值在于禁止对个人信息的过度处理,形成对个人信息处理的判断标准,这也是由于个人信息处理者和个人信息主体之间显著的不平等地位决定的。
告知同意规则,也称作知情同意规则,最早为德国1970年的《数据保护法》所确认,目前已成为世界上绝大多数国家和地区个人信息保护法中的基本规则。告知同意规则是指个人信息处理者应当将个人信息处理的目的、方式等实际状况明确告知对方并取得其认可后,才可以进行信息处理活动,除非法律、行政法规另有规定[23]。《民法典》第1035条也规定了告知同意规则,最新出台的《个人信息保护法》也明确了同意和撤回同意的制度,《网络安全法》也明确了规定收集和使用个人信息必须经被收集者同意。
告知同意规则本意是尊重个人意愿,目标是防止个人信息滥用,的确有一定效果。但在数字经济时代,告知同意规则在事实上面临困境,个人信息处理者在与个人信息主体的博弈中明显处于优势地位,个人信息处理者往往会在经济利益的驱使下,加大对个人信息的使用。有学者认为,在对个人信息的利用与保护所受到的激励明显不平衡的情况下,如果缺乏干预监管,必然导致对个人信息被滥用。因此,必须探索激励和监管并行的个人信息治理之道[24]。
在微信读书案中,腾讯在《微信读书软件许可及服务协议》中规定:“软件的使用信息向有微信好友关系的其他用户开放浏览可见,你及其他用户将有权浏览对方的软件使用信息。”①根据协议,腾讯告知原告会向和其有好友关系的其他用户开放浏览可见,但其并没有明确告知原告,微信读书软件将自动向关注原告的好友公开原告的个人读书信息。显然,虽告知了原告,原告也已签订,但该个人信息处理行为超出了字面意义。结合最小必要原则来加以判断,向微信好友公开原告的读书信息并不必要,且造成了原告的困扰,已超出了必要范围,违背了必要原则。法院认为,自动关注好友并默认公开读书信息的方法,对原告个人信息权益造成的负面影响显然不符合比例,公开原告读书信息时侵扰了原告的社交自由和人格形象构建自由②。在微博诉脉脉案中,法院认为,脉脉要求用户注册时上传通讯录,从中非法获取用户通讯录中联系人的信息,在未征求用户及联系人的情况下,将联系人的职业、教育等信息进行展示,在与微博的合作结束后,脉脉继续使用所获得的联系人信息,没有进行及时删除,判决脉脉停止侵害,消除影响,赔偿损失③。可见告知同意规则在实际运用中往往具有局限性,容易使个人信息处理者陷入“陷阱”。
鉴于告知同意规则存在局限性,必要原则的存在可以规范个人信息的处理者的行为,一定程度上弥补告知同意规则的缺陷,在完成个人信息处理目的同时保障个人信息可控,减轻个人信息处理的风险。因而有必要进行对个人信息处理必要原则的深入研究,并以必要原则作为判断标准,作为个人信息的合理处理之道。
在许多情况下,个人信息处理者可以不经过个人同意依规定直接处理个人信息。如《民法典》规定不经同意也有权对个人信息进行使用的制度。《个人信息保护法》第13条也规定告知同意规则仅仅是合法处理个人信息的一种情形。而随着大数据时代的到来,在个人信息的处理活动中,无法适用告知同意规则的情形也会越来越多,这势必增加个人信息的安全隐患。
根据我国《民法典》第990条规定,一般人格权是自然人享有的“基于人身自由、人格尊严产生的其他人格权益”。一般人格权的规定使得人格权制度可以保持开放性,并发挥了解决具体人格权制度难以因应社会发展的问题的兜底的作用,例如,声音被《民法典》纳入保护范围,不是作为一项具体的具体人格权,而是受法律保护的利益。一般人格权以人格尊严为核心内容,并成为了吸收人格权益的口袋,为新型人格权的保护提供依据[25]。在具体人格权的规定无法适用时,应当根据其与人格尊严的相关度,援引人格尊严条款对其提供保护。另外,由于新型人格权益的快速发展与法律的滞后性存在天然的矛盾,我国作为成文法国家,对法官的自由裁量权进行了严格限制,要求处理问题不能“无法可依”[26]。个人信息处理的必要原则本身也具有类似的制度兜底性,必要原则可以在难以适用告知同意规则的情况下发挥兜底作用,以适应我国信息技术领域的快速发展。但同时,必要原则作为兜底原则,不能任意扩大其适用范围,否则裁判的不确定性将会增加。总之,必要原则可以为个人信息的处理活动提供指引和保障,通过必要原则判断是否符合“必需”的要求,个人信息处理者是否依法履行合同规定、是否履行了法定义务等。
笔者认为,个人信息处理中的必要原则至少包含着对信息处理目的、处理手段、处理范围、处理时限等方面的要求。为了防止个人信息处理者对个人信息进行不法处理,首先,需要确保所处理的信息是能实现其处理目的范围内的最少信息,且一旦缺少该关键的个人信息将该服务无法正常进行。其次,需要处理的个人信息要与该项服务密切关联,例如,社交软件不能自动搜集个人住址信息。另外,个人信息处理者还应当保证不能无限扩大对个人信息的使用范围,并且应当对掌握个人信息的期限进行严格的限制。最后,应在最大程度上减少对个人信息主体权益的损害,经过概括,笔者认为,“必要原则”的适用标准至少应当有四个方面,首先是目的特定性、其次是密切关联性、再次是损害最小性,最后是期限受限性。
目的特定性指的是个人信息的处理必须是因为特定、明确的目的而进行的。欧盟在《一般数据保护条例》第5条中规定:“应以特定、明确、合法的目的收集个人数据,且不得违反该特定目的进行处理。”日本在《个人信息保护法》第15条中规定:“在处理个人信息时应当使目的特定化。”韩国在《个人信息保护法》第3条规定:“应当明确处理个人信息的目的,个人信息处理者要在目的范围内收集最低限度的个人信息。”
我国的《民法典》和《个人信息保护法》并没有对目的特定性进行规定,但目的特定性应当是个人信息处理之中的应有之义。一方面,在告知同意原则的语境下,个人信息处理者在处理个人信息之前必须将目的明确告知被处理者,如果信息不特定,是模糊笼统的,个人信息的主体就难以做出真实的意思表示。另一方面,根据法律规定,在一些情形下无需个人信息主体的同意也可以进行个人信息的处理,但这种情形必须是基于特定的、正当的目的,如为了维护公共利益、履行法定职责等。对于个人信息处理者而言,目的特定性还能使得其在进行个人信息的处理活动之前预见可能产生的影响和风险,从而将个人信息的处理限定在特定的范围之内,有效规避风险。上述三类情形都体现了个人信息的处理目的需要具有特定性。在实践中,为了提供更优质的服务,便利人们生活,网络平台经营者或服务商基于特定的、合理的目的收集必需的个人信息。比如在使用外卖点餐软件的过程中,如果用户不提供自己的位置信息,商家就不能找到客户,会造成诸多不便。目的特定性可以提供客观上的法律尺度,有利于发展数字经济,促进科技创新[27]。
密切关联性指个人信息的处理方式应当和处理目的之间存在密切的关联性。密切关联性有助于提高个人信息处理的效率,明确个人信息的处理限度。日本在《个人信息保护法》中规定,个人信息处理者变更使用目的,变更后的目的应与变更前的目的具有关联性[28]。具体而言,首先,只能收集目的密切关联的个人信息,在能够实现合理目的的情况下,尽可能收集最低限度的个人信息,即一旦缺少该信息将导致无法正常提供核心服务或产品。对个人信息的处理者而言,掌握越详尽的客户信息,就越方便刻画用户形象,从而投其所好,推销自己的产品,但应注意不可逾矩,处理的个人信息应当仅限于和提供此项服务所密切关联的,具有不可替代性,不应处理无关信息。例如搜索引擎不得收集个人声音信息和人脸信息,这类信息与其提供的服务并无密切关联性。其次,应当保证收集的个人信息手段本身的适当性。毫无疑问,网络平台经营者或服务商对个人信息的收集方式与其需要实现的目的之间应当有关联性,即信息处理的方式对于目的的实现是密切关联且不可替代的,但如果信息处理的方式不适当,不具有关联性,即使获得的个人信息内容和提供的服务内容密切关联,也应当认定此种情况属于违法,这是为了保障个人信息处理者使用的处理方式的合理、适当,相关个人信息的处理方式必须以法律规定为准。
最小处理性指对个人信息处理应当采取对个人信息主体影响最小的方式。《移动互联网应用(App)收集个人信息基本规范(草案)》规定,如果App收集的信息超出“必要”的部分,必须每项都征得用户同意,《民法典》第1035条也规定了禁止过度处理个人信息。笔者认为,禁止过度处理的内涵便是以影响最小的方式处理个人信息。最小处理性标准可以有三个方面的内涵。首先,个人信息处理者如果有多种方案可供选择,且都能达到信息处理的目的,应当选择没有影响或影响最小的方式。在“中国人脸识别第一案”中,动物园方告知原告必须经过人脸识别,原告拒绝园方对其进行人脸信息收集,在提出要退款遭拒后提起诉讼,一审二审法院都认为,人脸信息具有敏感性,收集人脸信息超出了“必要原则的要求”,可能会对当事人的人身安全和财产安全造成安全隐患,未经同意不得进行收集④。其次,应当通过降低个人信息的可识别性,来降低对个人信息主体的影响。具体而言,可以通过匿名、分散存储等方式使得个人信息难以通过与其他信息的结合来达到对特定个人的识别。这样可以有效地对降低个人信息处理中的安全风险,体现必要性原则中最小处理性的内涵。最后,个人信息的处理范围应当仅限于实现处理目的之要求,由于个人信息的敏感程度越高,信息收集的范围越大,对个人信息造成的安全隐患就越大,因此,最小处理性的要求也体现在所使用的个人信息在敏感程度和收集范围方面尽可能维持在可达到目的之最低水平。
期限受限性是指个人信息的存储期限应当以完成个人信息处理目的所需的最短期限为限。存储期限性要求在个人信息处理者在完成个人信息处理目的之后,不得继续存储非必要的个人信息。在实践中,个人信息的处理者往往没有明确信息的存储期限,在已实现处理目的后,对于相关的个人信息依然予以保留和继续使用,给个人信息的主体的信息安全造成威胁。因此,笔者认为,应当规定个人信息处理者需要明确信息的存储期限,并取得信息被处理者的同意。由于信息处理者对实现处理目的之时间更为了解,应当规定个人信息处理者对于存储期限的告知义务,要求主动对超出存储期限的个人信息及时进行删除。
另外,由于在个人信息保护领域,处理个人信息应当有特定目的,而目的本身往往具有时效性。这意味着,个人信息的处理也应当受限于实现目的之最短期限,如果既有的目的消失或已实现,则由原定原因而产生的处理个人信息的行为将不再具有正当性。但也存在例外情况,如基于公共利益的原因处理个人信息往往没有明确期限限制;而如果基于其他原因处理个人信息往往需要受到存储期限的限制。根据欧盟《通用数据保护条例》的规定,个人信息如果是为了公共利益和科研等目的,并且采取了数据安全的保障措施的,便可以延长存储时间。我国《民法典》并没有规定个人信息的存储期限限制,但一些领域的法律对此有明确规定,如我国《电子商务法》第31条规定电商平台经营者存储含个人信息的期限应不少于三年⑤。《网络安全法》第21条规定与个人信息相关的日志要保存至少6个月⑥。总之,为了更好地对个人信息进行保护,民法典还需要对个人信息的存储时间进行明确。
个人信息作为数字经济时代的核心生产要素,个人信息的处理者对于个人信息也应取之有道、用之有道,这样才能保障广大人民群众的合法权益。在我国当下数字经济大力发展的时代,如何协调好个人信息保护和利用之间的关系是一个重要的课题,这也体现出了个人信息处理必要原则的价值。本文明确了个人信息处理必要原则的内涵,对个人信息处理必要原则的价值也进行了探讨,并重点分析了必要原则的判断标准,使得个人信息处理的限度得到一定程度的明晰。在未来,个人信息处理者应当进一步明确个人信息处理的边界,重视个人信息主体的人格利益。个人信息必要原则的适用应当在保障合法的个人信息处理活动的同时,强化对个人信息主体人格利益的保障,同时基于我国的国情,借鉴域外个人信息立法中的相关经验,建构起符合我国实际的个人信息处理必要原则的规范性审查框架,使得个人信息处理原则得以具象化对司法实践中个人信息必要原则的有效适用提供明确的参考标准。
注释:
①参见杭州市富阳区人民法院(2019)浙0111民初6971号民事判决书;杭州市中级人民法院(2020)浙01民终10940号民事判决书。
②参见黄某诉腾讯科技(深圳)有限公司等网络侵权责任纠纷案,北京互联网法院(2019)京0491民初16142号民事判决书。
③参见北京互联网法院(2019)京0491民初16142号民事判决书。
④参见北京知识产权法院(2016)京73民终588号民事判决书。
⑤《电子商务法》第31条规定。
⑥《网络安全法》第21条规定。