个人信息使用的合法性基础——数据上利益分析视角

一、文章结构

二、文章要点

本文旨在立足于个人信息保护的宗旨,分析数据上存在的合法利益,以维护数据上的合法利益保护作为个人信息处理的正当性或合法性基础,以期厘清个人信息处理合法性基础之本旨,为正当在制定的个人信息保护法提供参考。

作者认为,知情同意不是个人信息处理的唯一合法性基础,应当明确个人信息上存在的利益,据此构建多元的个人信息处理使用规则及合法性基础。所谓合法性基础就是个人信息收集和使用的合法性基础。处理关于个人的信息所依据的正当的法律理由被称为个人信息处理的合法性基础。

(一)我国个人信息使用规范

个人信息保护法的目的是:规范、促进个人信息的使用,保护个人权利。

在《关于加强网络信息保护的决定》发布前,我国个人信息保护规制的重点行为是个人信息的公开、泄露行为,在《决定》发布后,个人信息的保护重点转向个人信息的收集使用行为。

我国现行法律体系下个人信息公开规则相对完善,如《统计法》第25条,《全国人口普查条例》第33条。相对而言,对于个人信息的处理、使用就缺乏具体、可操作性的规则。如《民法总则》第111条,仅具有宣誓意义。新颁布的《民法典》具有了进步,在第1035条,不仅规定了个人信息处理的原则,而且细化了具体的条件,其中也规定了信息主体的同意是个人信息处理的前提条件。

(二)个人信息上的利益识别

个人信息不能像其他客体那样对待,因为个人信息具有指向或联系到个人的功能,从一定意义上说,其可称之为“人”的一部分。因此需要对信息主体的权利(人作为主体应得到尊重、平等对待,并可以自主决定的权利)进行保护。人的尊严源自于人应当被独立、平等、有尊严地对待的普世价值观,在法律上体现为特定的法益并衍生为“个人自治”。在欧盟的立法上,2000年,《欧盟基本人权宪章》起草并发布,其中吸收了宪法传统、国际人权公约文本。2004年,宪章被纳入《欧盟宪法条约》,实现了欧盟基本权利的宪法化。2009年,宪章被并入《里斯本条约》。

个人信息具有社会性、工具性以及功能性,因此其不仅关涉个人(自然人)的利益,还关涉其他民事主体的利益。第一,个人需要利用可识别到自己的符号向社会推介、展示自己,通过该符号展开的社会活动的结果归属于自己。此时是信息主体主动利用个人信息的过程。第二,社会利用个人提供的个人信息来了解、判断某人。此时是社会主体对个人信息收集、使用的过程。

由于个人信息是一种社会交往的工具,因此任何主体均可成为个人信息的使用者。为了保护个人信息的此种社会价值,就需要对数据控制者提供一定的保护。换言之,在数据时代我们不仅需要对信息主体提供保护,更要对个人信息的控制者、使用者利益加以保护。

个人信息使用者的合法权益因所从事合法活动所追求的利益又有所不同,具体而言可分为两类:第一,对企业而言,个人信息是一种创新和营销的新资源,被视为竞争资源,一种企业的新资产。第二,对政府而言,又可具体分为两类情况,其一,政府及其机构在履行法定职责时,如刑事侦查,此时具有公共性,被上升为公共利益。其二,非基于法定职能,如提供便民服务,此时的收集与使用应遵循企业收集和使用的规范。

对科学研究而言,个人信息也是重要的科研素材之一。利用个人信息进行科学研究推动科学发展及社会进步,从而提升全体社会成员福祉。

个人信息之上除了个人利益外还存在公共利益,当个人利益与公共利益发生冲突时,个人利益应让渡于公共利益。具体而言,第一,在涉及公众知情权时,个人信息会得到一定程度的披露,如个人信用。第二,政府为了维护公共安全、公共秩序的需要,可以在实施公共管理职能及执行法律时,不经信息主体同意而收集、使用个人信息。

(三)个人信息处理合法性基础的构建

“同意”不是个人信息使用的一般规则,例如《刑诉法》、《身份证法》的规定,在获取个人信息时不需要信息主体的同意。“同意”在私法领域中也不具有实质上的正当性。具体理由有二:第一,知情同意作为个人信息处理的必要条件使得个人信息上所涉社会价值严重失衡。个人信息上不仅包括个人利益(人格尊严、自由),还包含了使用者及公共利益。个人信息保护规则的建立必须充分考虑信息主体、信息使用者、公众三者的利益。在不侵害他人及国家利益的情况下,“同意”具有正当性。另外,无论是默示同意模式还是格式合同模式,都会使得同意沦为形式,徒增使用者负担,且无法实现个人利益的有效保护。

第二,知情同意难以实现个人利益的有效保护。在网络和信息技术对知情同意模式造成了巨大的冲击的情况下,同意对个人利益保护的有效性大幅降低。国内学者也对知情同意的有效性作出了较为全面的反思和批判:首先,信息主体处于弱势地位,不提供个人信息则无法使用相对方的产品或服务,因而信息主体“迫于无奈”选择同意 其次,信息主体无法实际控制自己的信息被用于何种目的,也无法控制个人信息的流通,实质上对已提供的信息无控制力 最后,在知情同意模式下,信息收集者频繁要求信息主体作出同意表示,由此导致信息主体并不会仔细审查便作出同意,使同意流于形式。

欧洲的个人数据保护立法在一开始就确定了多元平衡的保护模式。早在欧洲委员会制定和发布《108公约》时,就将个人数据保护定位于对个人权利的保护,而不是保护个人数据本身。2012年《108公约》修订之际,有一个问题产生,即是否应当在《108公约》中对数据保护和隐私权进行定义,专家们回答:“不需要”。理由在于:“在数据保护公约中试图界定隐私权是没有用的。因为隐私权本身是在不同的场景有不同表现方式的一组权益,有时需要与其他权益进行平衡。在欧盟的立法之中虽然同意被作为合法性基础之一,但在个人数据权利体系中始终没有将同意上升为一种个人权利。

我国在移植域外个人信息或个人数据保护制度时存在简单化处理问题,不仅将域外多元的合法性基础简化为知情同意,而且多将之解释为个人的权利,认为信息主体的同意就是个人授权或许可使用个人信息。

如何协调整保护个人信息控制者的使用利益和公共利益?应作出如下考虑:第一,信息主体的人格尊严、自由利益与信息主体的其他利益。一般而言,当信息主体的其他利益优于信息主体的人格尊严和自由利益时,信息使用者的个人信息处理行为则具有正当性,因此可以不经信息主体的同意直接对个人信息加以处理。比如,当信息主体的生命利益受到威胁时,信息使用者可以直接利用个人信息以保全信息主体的生命安全。第二,信息主体的人格尊严和自由利益与信息使用者的利益。我国现行的个人信息保护规则采用的是单一的知情同意模式,该种模式认为信息主体可以有效地管理其个人信息,从而维护自己的利益。因此,法律不妨承认在信息使用者具有合法利益时,对个人信息进行处理具有正当性,从而使信息使用者的合法利益成为个人信息处理的合法性基础之一。但这并不意味着,信息使用者具有任何合法利益都可以直接进行个人信息处理,信息使用者仍然需要尊重信息主体的权益,这种尊重主要表现为履行相应的告知义务,让其知情。第三,信息主体的人格尊严和自由利益与公共利益。

同意原则对于以公共利益目的进行的个人信息处理没有适用的余地,公共利益可以独立作为个人信息处理的合法性基础之一。但是需要严格控制公共利益的边界,否则会造成公共利益对个人利益的侵害,造成不公平。因此有必要界定何为“为公共利益需要的使用个人信息”,具体而言应满足以下三个条件:第一,信息使用者的利益本身具有合法性(现行法律规定)、现实性(利益必须是服务于当下或即将发生)和特定性(利益是具体的)。第二,对于信息主体的人格尊严和自由利益,信息使用者的利益具有相对优先性。第三,相关个人信息处理为实现信息使用者的合法利益所必需。

(四)结论

个人信息上不仅附着了信息主体的人格尊严和自由利益,个人信息使用者的利益和公共利益也是个人信息法律制度需要保护的重要利益。首先,考虑到知情同意在传统社会交往领域的重要作用,以及对个人自治的尊重,应肯定知情同意存在的必要性。其次,明确同意不是且不应成为个人信息处理的唯一合法性基础;最后,在法律上确认基于保护与信息主体生命相关的重要利益、信息使用者为实现其自身合法利益或为实现公共利益所实施的个人信息处理的正当性。个人信息保护立法至少应确立四项合法性基础:第一,向信息主体告知必要信息(如收集范围、使用目的、方式等),并征得其同意;第二,为保护与信息主体生命相关的重要利益所必要;第三,为实现信息使用者的合法利益所必要;第四,为实现法律所规定的公共利益所必要。

三、本文留待解决的问题

第一,我国个人信息保护旨在保护个人信息的哪些主体利益有待进一步明确。

第二,对于特殊类型个人信息(如未成年人)或特殊目的的处理行为,需要作特别规范,需要进一步探讨。

四、需要进一步阅读的资料

1、姬蕾蕾:《个人信息保护立法路径比较研究》,载《图书馆建设》2017年第9期。

2、范为:《大数据时代个人信息保护的路径重构》,载《环球法律评论》2016年第5期。

3、徐丽枝:《个人信息处理中同意原则适用的困境与破解思路》,载《图书情报知识》2017年第1期。

4、林洹民:《个人信息保护中知情同意原则的困境与出路》,载《北京航空航天大学学报》,2018年第3期。

5、张新宝:《从隐私到个人信息:利益再衡量的理论与制度安排》,载《中国法学》2015年第3期。

6、杨芳:《个人信息自决权理论及其检讨——兼论个人信息保护法之保护客体》,载《比较法研究》2015年第6期。

责任编辑:马小涵