程 啸 | 论我国个人信息保护法的基本原则
程 啸
清华大学法学院教授、博士生导师
摘 要
个人信息保护法的基本原则是个人信息处理活动应当遵循的基本原则,也是解释、补充以及发展个人信息保护法律制度的基本原则。故此,个人信息保护法的基本原则具有重要的功能和意义。我国新颁布的《个人信息保护法》在第一章“总则”中以六个条文(第5-10条)对个人信息保护法的基本原则作出了规定。我国个人信息保护法的基本原则包括:合法、正当、必要、诚信、目的限制、公开透明、质量、安全等八项原则。
引 言
个人信息保护法是规范个人信息处理活动,明确个人在个人信息处理活动中的权利、个人信息处理者的义务以及法律责任的法律。从作为信息主体的角度来说,个人信息保护法就是个人信息保护权益法,从处理者的角度来看,则是个人信息处理规则法。故此,个人信息保护法的基本原则就是个人信息处理者在处理活动中应当遵循的基本原则。这些原则一方面有利于形成科学的个人信息处理法律体系,另一方面也有助于解释和补充个人信息保护法的具体法律规定。故此,许多国家的个人数据或个人信息保护法都明确了个人信息处理活动应当遵循的基本原则。例如,1980年的《经济合作与发展组织(OECD)关于隐私保护和个人数据跨境流动的指导原则》详细列举了收集限制原则、数据质量原则、列明目的原则、使用限制原则、安全保护原则、公开原则、个人参与原则、责任原则等八项原则。欧盟《一般数据保护条例》第5条是对“与个人数据处理相关的原则”的规定,该条明确了合法、正当与透明原则,目的限制原则,数据最小化原则,准确原则,存储限制原则,完整与保密原则,责任原则。2017年修订的德国《联邦数据保护法》第47条规定:“处理个人数据应当遵循下列原则:1.合法公平地处理;2.为了特定、明确且合法的目的而收集的并以不违反这些目的的方式进行处理;3.就处理目的而言适当、相关且不过度;4.准确且于必要时更新;考虑到处理目的,应采取一切合理步骤来确保不准确的个人数据被删除或更正;5.以允许识别数据主体的形式所保存的时间不超过处理该数据之目的所必需的时间;6.以确保个人数据适当安全的方式进行处理,包括使用适当的技术或组织措施来防止未经授权或非法处理以及防止意外丢失,破坏或损坏。”该条确立了个人数据处理应当遵循的“合法与依据诚信处理的原则(Rechtmäßigkeit und Verarbeitung nach Treu und Glauben)”“目的限制原则(Zweckbindung)”“数据最小化与比例原则(Datenminimierung und Verhältnismäßigkeit)”“正确性原则(Richtigkeit)”“限制存储(Speicherbegrenzung)”以及“系统数据保护原则(Systemdatenschutz)”。
我国法律也对个人信息处理活动的基本原则作出了规定。《全国人民代表大会常务委员会关于加强网络信息保护的决定》第2条规定:“网络服务提供者和其他企业事业单位在业务活动中收集、使用公民个人电子信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经被收集者同意,不得违反法律、法规的规定和双方的约定收集、使用信息。网络服务提供者和其他企业事业单位收集、使用公民个人电子信息,应当公开其收集、使用规则。”该法实际上明确了个人信息处理应当遵循合法、正当、必要以及公开等四项原则。《网络安全法》第41条第1款规定:“网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。”《民法典》第1035条第1款第1句进一步明确规定:“处理个人信息的,应当遵循合法、正当、必要原则,不得过度处理”。
在我国《个人信息保护法》的起草过程中,立法机关认为,应当在《民法典》《网络安全法》等法律规定的基础上,进一步充实完善个人信息处理的基本原则,并将它们贯穿于个人信息处理的全过程、各环节。2021年8月20日,十三届全国人大常委会第三十次会议审议通过了《中华人民共和国个人信息保护法》(以下称《个人信息保护法》),这是我国第一部个人信息保护方面的专门性法律。该法在第一章总则用了六个条文(第5-10条)对个人信息保护法的基本原则作出了规定,明确了在个人信息处理活动中应当遵循合法、正当、必要、诚信、目的限制、公开透明、质量、安全等八项原则。本文将对这些原则的涵义、功能、要求及具体适用等问题加以讨论,以供理论界与实务界参考。
一、合法、正当、必要和诚信原则
《个人信息保护法》第5条规定:“处理个人信息应当遵循合法、正当、必要和诚信原则,不得通过误导、欺诈、胁迫等方式处理个人信息。”该条明确了个人信息处理中应当遵循的合法、正当、必要和诚信原则。其中,前三个原则在《网络安全法》《民法典》中就有规定,诚信原则则是《个人信息保护法》依据《民法典》新增加的基本原则。
(一)合法原则
合法原则(Der Rechtmäßigkeitsgrundsatz)是指,个人信息处理者在对个人信息进行收集、存储、加工、使用、提供、公开、删除等处理活动时,应严格遵循法律、行政法规的规定,采取合法的方式,不得违法处理个人信息。之所以如此,是因为对于个人信息的任何处理活动,客观上都是对自然人的个人信息权益的干扰或破坏,故此,必须有法律的依据或正当化事由。否则,该等处理行为就是对个人信息权益的侵害,属于非法行为。所谓“合法”方式中的“法”的范围比较广泛,不仅包括全国人大及其常委会制定的法律,也包括行政法规、地方性法规、司法解释、部门规章、地方政府规章、强制性标准等。《个人信息保护法》从正反两方面对于合法原则作出了规定。正面的规定为《个人信息保护法》第5条,要求处理个人信息应当遵循合法原则。反面规定就是该法第10条,即任何组织、个人不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供、公开他人个人信息;不得从事危害国家安全、公共利益的个人信息处理活动。具体来说,合法原则体现在以下几方面:
1.只有符合法律、行政法规规定的情形时,个人信息处理者才能处理个人信息。该处理行为才是合法的,对于这些情形的全面列举在《个人信息保护法》第13条。该条列举了七种情形,如取得个人的同意;为订立或者履行个人作为一方当事人的合同所必需;为履行法定职责或者法定义务所必需等,只有符合其中的某一种情形,处理行为才是合法的,否则就是非法行为。
2.个人信息处理者处理个人信息的目的和处理方式应当是合法的(即追求合法的利益),不能侵害自然人的人格尊严、人身自由和人身财产权益,也不能损害社会公共利益或国家利益。处理者必须采取合法的方式(符合比例原则的方式)开展具体的处理活动,确保个人信息处理活动符合法律、行政法规的规定,即个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等,采取措施确保个人信息处理活动符合法律、行政法规的规定。
3.禁止从事任何非法的个人信息处理活动。依据《民法典》第111条第2句以及《网络安全法》第44条,任何组织或者个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。据此,《个人信息保护法》第10条也规定,任何组织、个人不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息;不得从事危害国家安全、公共利益的个人信息处理活动。
(二)正当原则
正当原则,也称公正原则(fairness),是指处理个人信息的行为必须是正当的,处理者不应当通过不公正的方法,如通过欺骗或者在信息主体完全不知情的情况下来处理其个人信息。正当(fairness)是各国个人信息保护立法中所确立的一项基本原则。欧盟《一般数据保护条例》第5条第1款(a)规定,应当“以合法、公正、透明的方式处理”个人数据。日本《个人信息保护法》第3条规定:“在尊重个人人格的理念下,个人信息应被慎重对待,鉴于此,应当实现个人信息之正当处理。”第17条第1款规定:“个人信息处理业者不得以虚假及其他不正当手段获取个人信息。”韩国《个人信息保护法》第3条第1款规定:“个人信息处理者应当明确处理个人信息的目的,并限于其目的之必要范围内合法、正当地收集最低限度的个人信息。”
我国《个人信息保护法》第5条明确规定,处理个人信息应当遵循正当原则,同时,禁止处理者通过误导、欺诈、胁迫等方式处理个人信息,因为这些方法都是不正当的(也是违反诚信原则的)。实践中,不少APP运营者就是通过误导、欺诈等不公正的方式来收集用户的个人信息,如在非服务所必需或无合理场景的情形下,以所谓积分、奖励、优惠等方式欺骗误导用户提供身份证号码以及个人生物特征等个人信息。有些APP还通过胁迫的方式来收集用户的个人信息,如一些网贷平台要求用户申请贷款时除提供自己的个人信息外还必须提供亲朋好友的身份证号码、手机号码等个人信息,否则就不发放贷款,一旦用户贷款偿还上出现逾期,则不断地骚扰其亲朋好友。这些对个人信息的处理行为都违反了正当的原则,属于违法行为。个人信息处理者通过欺诈、胁迫等方式取得个人的同意而处理个人信息的,该处理活动依然是违法的,不得以取得自然人的同意作为抗辩。对此,《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》第4条有明确的规定:“有下列情形之一,信息处理者以已征得自然人或者其监护人同意为由抗辩的,人民法院不予支持:(一)信息处理者要求自然人同意处理其人脸信息才提供产品或者服务的,但是处理人脸信息属于提供产品或者服务所必需的除外;(二)信息处理者以与其他授权捆绑等方式要求自然人同意处理其人脸信息的;(三)强迫或者变相强迫自然人同意处理其人脸信息的其他情形。”
(三)必要原则
必要原则是指处理个人信息的活动都应当是对于实现个人信息处理目的而言是必要的,凡是不必要的个人信息处理活动都不应当开展。该原则是比例原则在个人信息保护法中的体现。比例原则(der Grundsatz der Verhaeltnismaessigkeit)是一项非常重要的法律原则,在公法和私法领域都适用。比例原则有广狭义之分,狭义的比例原则主要适用于负担行政行为以及所有的行政领域,而广义的比例原则产生于法治国家原则,不仅约束行政,也约束立法,同时被适用于一般性确定基本权利的界线,“即作为个人自由请求权和限制自由的公共利益之间的权衡要求适用”。在行政法领域,比例原则包含三项要求:其一,必要性原则,即行政机关拟实施行政行为特别是实施对行政相对人的权利不利的行政行为时,只有认定该行为对达到相应的行政目的是必要的时候,才能实施;其二,适当性原则,即行政机关在实施行政行为前必须进行利益衡量,只有确认该行为对于实现相应的行政目的是适当的且可能取得的利益大于可能损害的利益时,才能实施;其三,最小损害原则,即行政机关必须在多种方案中选择对行政相对人权益损害最小的方案实施。在民法中,比例原则意味着“只有在以下情形当中,个人自由及其私法自治才能受到干预,即对于维护更高的利益而言这是必要的,且此种干预既适于实现预期的目标,也是实现该目的的最缓和的方式”。
必要原则也是各国个人信息或个人数据保护立法所坚持的一项基本原则。例如,欧盟《一般数据保护条例》导言部分第39条指出:“个人数据应当充分、相关并且仅限于其处理目的所需的必要数据。这尤其要求确保对个人数据的存储期限的必要限制。只有在处理目的不能通过其他方式合理实现的情况下,才能进行个人数据处理。为确保个人数据的保存时间不超过必要时间,应由控制者制定时间限制以进行删除或定期审查”。该条例第5条第1款将必要原则概括为“充分、相关,及以个人数据处理目的之必要为限度进行处理”,“准确、必要、及时:以个人数据处理目的为限,应采取一切合理步骤确保不准确的个人数据被及时地处理、删除或修正”。再如,《巴西通用数据保护法》第6条第3款规定,个人数据处理活动应当遵循必要性原则,即“将处理限制在实现其目的所需的最低限度,涵盖与数据处理目的相关的、成比例的和非过量的数据”。
《个人信息保护法》颁布前,我国的《网络安全法》《民法典》等法律对于必要原则就做出了相应的规定。如《网络安全法》第41条第1款规定,网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则。《民法典》第1035条第1条规定,处理个人信息的,应当遵循合法、正当、必要原则,不得过度处理。但是,这些法律都没有对必要原则的具体要求加以明确。从《个人信息保护法》的规定来看,必要原则主要体现在以下三方面:首先,收集个人信息应当遵循必要的原则,限制在实现处理目的所需要的最小范围,不得过度收集个人信息(第6条第2款);其次,处理敏感的个人信息应当具有充分的必要性,否则不得处理(第28条第2款);再次,个人信息保存期限应当为实现处理目的所必要的最短的时间,除非法律、行政法规另有规定(第19条)。
(四)诚信原则
诚信原则,也称诚实信用原则(Treu und Glauben),它不仅是私法领域的最高原则之一,也是公法领域的基本原则。诚实信用原则要求秉持诚实、恪守承诺,及当事人应当真实真诚,如实披露相关信息,不坑蒙拐骗,不欺诈他人,同时严格承诺,讲求信用。
在个人信息的处理活动中,处理者也应当遵循诚信原则。对此,一些国家或地区的法律有明确的规定。例如,《巴西通用数据保护法》第6条规定,个人数据处理活动应遵循诚信和相应的原则。再如,我国台湾地区“个人资料保护法”第5条规定:“个人资料之搜集、处理或利用,应尊重当事人之权益,依诚实及信用方法为之,不得逾越特定目的之必要范围,并应与搜集之目的具有正当合理之关联”。
在我国法律中,诚信原则是非常重要的一项原则,被许多法律加以规定。《民法典》第7条规定:“民事主体从事民事活动,应当遵循诚信原则,秉持诚实,恪守承诺。”这就是说,在从事民事活动时,民事主体应当讲诚信、守信用,以善意的方式行使权利、履行义务,不诈不欺,言行一致,信守诺言。除了《民法典》之外,还有不少法律都明确规定了诚信原则,例如《反不正当竞争法》第2条第1款规定:“经营者在生产经营活动中,应当遵循自愿、平等、公平、诚信的原则,遵守法律和商业道德。”《电子商务法》第5条规定:“电子商务经营者从事经营活动,应当遵循自愿、平等、公平、诚信的原则,遵守法律和商业道德,公平参与市场竞争,履行消费者权益保护、环境保护、知识产权保护、网络安全与个人信息保护等方面的义务,承担产品和服务质量责任,接受政府和社会的监督。”《消费者权益保护法》第4条规定:“经营者与消费者进行交易,应当遵循自愿、平等、公平、诚实信用的原则。”
我国《个人信息保护法》第5条明确将诚实信用原则作为个人信息处理活动应当遵循的一项基本原则。这就是说,处理者在从事个人信息处理活动时,应当始终秉持诚实、恪守承诺,不通过任何欺诈、误导、胁迫等方式处理个人信息;在取得个人同意或符合法律、行政法规规定的其他情形而可以处理个人信息时,也应当讲求诚信,严格按照法律规定和约定处理信息,不从事任何违反处理目的和处理方式的处理活动。
二、目的限制原则
(一)目的限制原则的涵义
所谓目的限制原则(the principle of purpose limitation/ Zweckbindungsgrundsatz),也称目的拘束原则,是个人信息保护法中最基本的一项原则,贯穿于整个个人信息处理活动,无论处理者是谁,也不管属于何种类型的处理活动,都必须受到该原则的拘束。由于目的限制原则是数据保护的基石和大多数其他基本要求的先决条件,故此,理论界也将目的限制原则称为个人信息保护法上的“帝王条款”。
许多国家或地区的个人信息或数据保护立法都确立了目的限制原则。例如,欧盟《一般数据保护条例》第5条第1款(b)规定:“为特定、明确、合法的目的收集个人数据,且随后不得以与该目的相违背的方式进行处理;第89条第1款中为实现公共利益存档目的、科学研究或历史研究、统计目的而进行的进一步数据处理不视为与最初目的相违背。”日本《个人信息保护法》第15条规定:“个人信息处理业者在处理个人信息时,应当尽可能地将利用该个人信息的目的(以下称为“利用目的”)特定。个人信息处理业者若要变更利用目的,则不得超出足以合理地认为与变更前的利用目的具有关联性之范围”。第16条第1、2款规定:“个人信息处理业者不得未事先取得本人的同意,而超出达到依照前一条的规定所特定的利用目的所必要的范围,处理个人信息。个人信息处理业者在因合并或其他事由而从其他个人信息处理业者处承受业务并取得个人信息后,不得未事先取得本人的同意,而超出达到业务承受前该个人信息的利用目的所必要的范围,处理个人信息。”再如,韩国《个人信息保护法》第3条第1至3款规定:“个人信息处理者应当明确处理个人信息的目的,并限于其目的之必要范围内合法、正当地收集最低限度的个人信息。个人信息处理者应当在处理个人信息目的之必要范围内适当地处理个人信息,不能将其用于目的之外的其他用途。个人信息处理者应在个人信息处理目的之必要范围内,保障个人信息的准确性、完整性和最新性。”从上述规定可以看出,目的限制原则主要包含了两个维度:一是目的特定维度(the purpose specification dimension),即必须是为了特定、明确、合法的目的而收集个人数据,否则不得收集或进行其他的处理活动;二是兼容使用维度(the compatible use dimension),即被收集的数据必须以符合特定目的的方式进行处理,即对数据的处理与特定的、明确的、合法的目的存在合理的联系,没有超越处理的目的。
在我国,《网络安全法》《民法典》等法律没有规定目的限制原则。不过,在法律明确规定的合法、正当和必要等三项原则中,必要原则也可以看作是目的限制原则的具体体现。因为,必要与否,只能是就个人信息处理目的而言是否必要加以判断的。《个人信息保护法》于第6条首次对目的限制原则作出了详细的规定,即“处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。”从这一规定可以看出,我国法上的目的限制原则更加丰富,包含了三个层次:一是目的特定,即处理个人信息应当具有明确、合理的目的;二是直接相关,即处理个人信息的活动必须与处理目的直接相关;三是采取对个人权益影响最小的方式。此外,《个人信息保护法》第6条第2款还专门对收集个人信息这一处理活动中应当限于实现处理目的的最小范围作出了规定。
(二)目的限制原则的意义
之所以个人信息保护法上要以目的限制原则作为最基本的原则之一,而且该原则具有举足轻重的地位,原因在于:一方面,目的限制原则有利于更好地保护个人信息权益。个人信息的处理无非就是两类:基于个人同意处理个人信息,或者依据法律、行政法规的规定处理个人信息。在基于个人同意而处理个人信息的情形中,处理者在处理个人信息之前必须告知其个人信息被处理的自然人并取得同意。如果不告知明确的目的,而是模糊的、笼统的,个人就不可能作出真正的自愿的同意。也就是说,处理者所取得的信息主体的同意也是无效的。同样,在取得个人同意后进行的个人信息处理活动,不能超越个人所同意的处理目的和处理方式。如果超越了,就等于自然人没有同意,处理活动也是非法的,构成对个人信息权益的侵害。在依据法律、行政法规的规定,无需取得个人的同意即可实施的个人信息处理活动中,法律、行政法规之所以赋予个人信息处理者这样的“特权”,目的是在于为了维护更高位阶的利益,即为了正当的目的,如履行法定职责或法定义务,维护社会公共利益或国家利益或维护自然人的生命财产安全等。因此,个人信息处理活动同样要受到目的的限制,不能超越目的范围甚至背道而驰。否则,个人信息处理活动也是非法的,构成对个人信息权益的侵害。此外,如果处理者不告知明确的处理的目的,也会导致个人也无法针对处理者主张相应的权利,例如,在处理目的已经实现、无法实现或为实现处理目的而不再必要的情形下,个人信息处理者应当删除个人信息,如果没有删除的,个人可以要求处理者删除个人信息(《个人信息保护法》第47条第1款第1项)。由此可见,目的限制原则对于保护个人权益是非常重要的。
另一方面,目的限制原则也很好地协调了个人权益保护和科技创新、经济发展之间的关系。目的限制原则要求个人信息处理者在开始处理活动之前,就必须确定个人信息处理的目的,即个人信息处理必须具有明确、合理的目的。这就使得个人信息处理者可以据此发现其即将开展的个人信息处理活动对于个人权益可能产生的各种影响或风险,并且由于处理者必须将个人信息的处理限定在该目的范围内,那么个人信息处理可能引发的风险不仅能够被提前发现,并且可以被限制在初始目的的范围内。因为,目的同一性要求后续的处理活动中不能创造出与原来的风险性质不同的风险或者增加风险。这样一来,目的限制原则不仅保护了个人权益尤其是对个人信息处理活动享有的知情权与决定权,也为个人信息的处理者提供了足够的空间,使得其能够根据具体情况的特殊性,通过变更处理目的重新取得个人同意抑或维持原有的处理目的等方式找到最佳解决方案。故此,目的限制原则通过提供客观上的法律尺度,使得处理者能及时评估各种处理活动的风险,有利于科技创新与发展数字经济。
(三)目的限制原则的要求
1.明确、合理的目的
《个人信息保护法》第6条第1款规定,处理个人信息应当具有明确、合理的目的。这就是说,在处理个人信息之前就必须有明确、合理的处理目的。所谓明确的目的意味着:一方面,个人信息处理者应当使用清晰的、明确的言词表达出其处理的目的,即目的必须是清晰的、明确地被表达出来的,而不能是秘密的、隐匿的或者含糊不清的;另一方面,明确的目的还意味着处理者的处理目的是有限定范围的,不能是毫无限制、漫无目标的。即便使用了清晰的言语,但表达的是非常广泛的处理目的,该处理目的也是不明确的。例如,网络企业在告知个人时宣称“本公司有权将所收集的个人信息用于任何本公司业务发展所需之合法用途”,显然此类表述中的处理目的就是不明确的。个人信息的处理活动对个人的权益产生的危险越大,则对于处理目的的明确性与合理性的要求就越高。例如,对于敏感信息的处理,《个人信息保护法》第28条第2款就明确要求必须具有特定的目的。只有处理目的是明确的,才能确定处理活动是否符合法律、行政法规的规定,处理者才能据此采取相应的个人信息保护措施。例如,《个人信息保护法》第51条规定,个人信息处理者应当根据个人信息的处理目的等,采取相应的措施确保个人信息处理活动符合法律、行政法规的规定,并防止未经授权的访问以及个人信息的泄露等。此外,明确的目的也有利于公开透明原则以及责任原则,尊重个人对其个人信息的处理所享有的知情权、决定权,使个人信息处理者为其处理行为负责。
个人信息处理的目的不仅仅应当是明确的,还必须是合理的。合理的目的首先应当是合法的目的,如果处理个人信息是为了履行法定的职责或者告知并取得个人的同意,则该处理就具有合法的目的。也就是说,如果符合《个人信息保护法》第13条第1款所列举的情形而处理个人信息的,当然处理目的是合法的。不过,合法性只是对处理目的的基本要求,因为合法目的并非都是合理的目的。处理的目的合理与否,应当在考虑个案的具体因素的基础上,权衡处理者与信息主体等各方的权益和自由,最好地实现个人信息权益的保护与个人信息的合理利用之间的利益协调与平衡。此外,目的的合理性也会随着时间的推移而变化,这取决于科学技术的发展以及社会和文化态度的变化。
2.个人信息处理活动必须与处理目的直接相关
目的限制原则要求,处理者只能对个人信息实施符合初始目的的相应的处理活动,不得从事与处理目的无关的个人信息处理。欧盟《一般数据保护条例》提出了所谓的“数据兼容处理(compatible processing of data)”的概念,也就是说,数据的控制者可以对数据执行被认为与收集数据时的目的即初始目的相互兼容的所有操作。该条例第6条第4款还提出了一下判断标准,即“当处理活动并非为了个人数据被收集时的目的,并且未基于数据主体的同意,亦非基于在民主社会构成一个必要且适当措施来保障本条例第23条第(1)款所述之目标的欧盟或成员国法律,控制者应当为了查明为其他目的进行的处理是否与个人数据被收集时的目的相一致而考虑,特别是:(a)任何在个人数据被收集时的目的和预期进一步处理的目的之间的联系;(b)个人数据被收集时的情形,尤其是关于数据主体和控制者之间的关系;(c)个人数据的性质,特别是依据本条例第9条被处理的特殊类型的个人数据,或者是依据本条例第10条与刑事定罪和罪行有关的个人数据;(d)预计进一步处理给数据主体可能造成的后果;(e)适当的可能包括加密或匿名化的保障措施的存在。”我国台湾地区“个人信息保护法”第5条则要求个人资料的处理应当与“收集之目的具有正当合理的关联”。理论界认为,所谓具有正当合理的关联是指个人资料的收集、处理或利用应当与收集的目的有正当合理的联系,不得与其他目的做不当的连接,即不当连接禁止原则,例如通讯录的制作和利用应当符合比例原则与具有正当合理的关联。
我国《个人信息保护法》没有采取欧盟的个人信息兼容处理的做法,而是规定得更为严格。《个人信息保护法》第6条第1款要求个人信息处理的活动“应当与处理目的直接相关”。这是因为:处理目的在个人信息处理活动中占据核心的位置,决定了个人信息处理者收集的个人信息是否为必要信息、收集的范围是否属于最小范围,储存个人信息的期限是否是最短时间等,这些都必须通过处理目的来判断。将个人信息处理活动限定在与处理目的直接相关的范围之内,有利于保护个人信息权益。无论个人信息处理是否基于个人同意,原则上处理者在处理个人信息前应当告知处理的目的和处理方式,除非法律、行政法规规定应当保密或者不需要告知(《个人信息保护法》第18条)。因此,个人通过了解个人信息处理目的可以预见个人信息处理活动可能给其造成的风险,同样处理者也可以据此控制处理活动中的风险并预先作出安排。如果可以超出处理目的而进行各种处理活动,那么由此带来的风险无论是对处理者而言,还是对个人而言,都是不可预测的。
问题是,如何判断处理活动是“与处理目的直接相关”?首先要明确的是,《个人信息保护法》第6条第1款“与处理目的直接相关”中的“处理目的”是指个人信息处理者在处理个人信息前以符合法律规定的方式告知个人的“处理目的”。例如,A公司在收集个人信息时,通过个人信息处理规则等方式告知的处理目的。“直接相关”意味着处理者所开展的一系列的个人信息处理行为都应当是在该处理目的之内的,具有密切的关联性。例如,张三在A公司的网上商城订购新鲜牛奶,A公司每周送一箱到张三家中,为此张三提供了银行账号和家庭住址、联系方式等个人信息。此后,A公司每周处理一次张三的这些信息,显然都是与处理目的——向张三销售并配送牛奶——直接相关的。但是,如果A公司为了推销本公司的其他产品(包括相关的奶制品或其他品牌的牛奶)而利用张三的个人信息进行广告推送,那么这一处理活动就与处理目的并不直接相关。在判断是否“直接相关”上,应当采取非常严格的标准,即考察处理者后续实施的处理行为的目的是否被告知个人的处理目的所包含,或者虽然不包含但合理的人都认为二者之间是密切联系的。
3.采取对个人权益影响最小的方式
所谓“个人权益”就是指因个人信息处理活动可能影响到的自然人的各种权益,既包括宪法上的基本权利如人格尊严和人身自由,也包括《民法典》规定的自然人的人身财产权益等,还包括《消费者权益保护法》《未成年人保护法》《妇女权益保障法》《残疾人保障法》《老年人权益保障法》等法律规定的特殊群体的自然人享有的权益。处理者处理个人信息的活动,不可避免会对个人的权益造成各种影响。就个人信息处理者而言,在有多种处理方式可供选择时,应当选择其中既能实现个人信息处理目的,又对个人权益的影响最小的方式,这也是比例原则中“最小损害原则”的要求。换言之,处理者应尽可能减少所处理的个人信息的处理以及对个人信息的使用次数,以避免对个人信息权益造成不利的影响。
(四)个人信息最小化原则
《个人信息保护法》第6条第2款规定:“收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。”该款是专门针对收集个人信息作出的规定,其所确立的原则也被称为个人信息最小化原则或数据最小化原则(Grundsatz der Datenminimierung)。该原则是目的限制原则与必要原则在个人信息收集环节的体现。一方面,个人信息的收集应当以必要为原则,不必要的个人信息的收集对于个人权益存在危险,对于处理者来说也不是好事(个人信息泄露的风险增加);另一方面,是否必要,还必须从处理目的能否实现的角度加以判断,只要收集的个人信息对于实现处理目的而言已经足够了,就不应当再收集了。凡是超过该范围而收集的个人信息,都是不属于必要的个人信息。由于个人信息的非法处理往往是从过度收集个人信息开始的,而过度收集的个人信息又面临被非法买卖或泄露的风险。故此,我国《个人信息保护法》在第6条第2款专门对于个人信息的收集应当遵循个人信息最小化原则作出了规定,明确禁止过度收集个人信息。
收集个人信息应当限于“实现处理目的的最小范围”,是指如果没有某些个人信息,个人信息处理者的处理目的就完全无法实现或者说主要、核心的目的无法实现。例如,某一APP的运营者处理个人信息的目的是向用户销售书籍,而用户如果不提供姓名、通讯地址和联系电话,就无法交付书籍,显然这些个人信息是实现销售书籍这一目的所必需的。例如,《常见类型移动互联网应用程序必要个人信息范围规定》第3条规定:“本规定所称必要个人信息,是指保障APP基本功能服务正常运行所必需的个人信息,缺少该信息APP即无法实现基本功能服务。具体是指消费侧用户个人信息,不包括服务供给侧用户个人信息。”该规定第5条针对最常见类型的39种APP的基本功能以及为实现该基本功能所需的必要的个人信息的范围逐一作出了列举。例如,地图导航类的基本功能服务为“定位和导航”,必要个人信息为:位置信息、出发地、到达地。网络约车类的基本功能服务为“网络预约出租汽车服务、巡游出租汽车电召服务”,必要个人信息包括:(1)注册用户移动电话号码;(2)乘车人出发地、到达地、位置信息、行踪轨迹;(3)支付时间、金额、渠道等支付信息(网络预约出租汽车服务)。再如,即时通信类的基本功能服务为“提供文字、图片、语音、视频等网络即时通信服务”,必要个人信息包括:(1)注册用户移动电话号码;(2)账号信息,包括账号、即时通信联系人账号列表。
三、公开透明原则
(一)公开透明原则的意义
公开透明原则(the transparency principle)是我国个人信息保护法中的一项重要原则。依据《个人信息保护法》第7条,公开透明原则是指,个人信息处理者在处理个人信息时应当采取公开、透明的方式,公开个人信息处理的规则,向信息主体明示个人信息处理的目的、处理的方式和处理的范围。之所以要确立这一原则,是因为自然人对其个人信息的处理享有知情权和决定权(《个人信息保护法》第44条),如果个人信息处理者不以公开、透明的方式处理个人信息,而是采取隐秘的、暗箱操作的方式,那么该处理行为就侵害了自然人对其个人信息享有的知情权和决定权,即侵害了个人信息权益,这种处理行为是非法的处理行为。欧盟《一般数据保护条例》导言部分的第39条指出,透明原则“特别涉及数据主体关于控制者身份的信息和处理目的以及进一步处理的信息,以确保对有关自然人的公正和透明的处理以及获得有关其正被在处理的数据的个人确认和通信的权利。应该让自然人了解与处理个人数据有关的风险、规则、保障和权利,以及如何行使与处理有关的权利。特别是,处理个人数据的具体目的应清晰且合法,并在收集个人数据时予以明确。”包括欧盟《一般数据保护条例》在内的许多国家或地区的数据保护和个人信息保护法都要求处理者必须遵循透明的原则。例如,早在1980年的《经济合作与发展组织关于隐私保护和个人数据跨疆界流动的指导原则》中就提出了公开原则,该指导原则指出:“公开原则可能被视为个人参与原则的先决条件,后一原则要生效,获得关于个人数据的收集、储存或利用的信息在实践上必须是可能的。在自愿的基础上从数据控制者处获得的常规信息,涉及个人数据处理的活动的描述的官方登记者的出版活动和公共机构的登记,是一些(虽然不是全部)可能实现此种原则的方法。”再如,2018年美国加利福尼亚州的《消费者隐私法案(CCPA)》在第2节立法目的中指出:“人们期许隐私和其信息的更多控制。加利福尼亚消费者应当能够就其个人信息行使控制权,并且期待防治个人信息滥用的保护措施。企业可能在尊重消费者隐私的同时,就其企业活动提供高水平的透明度”。依据2018年《巴西通用数据保护法》第6条第6款的规定,个人数据处理应当遵循透明原则,即“保证数据主体能够就数据处理和相应的处理代理人获得清晰、准确和易得的信息,且遵守商业和企业机密”。
(二)公开透明原则的要求
就作为信息主体的个人而言,公开透明原则赋予了个人对其个人信息享有知情权,据此产生了其有权向个人信息处理者查阅、复制其个人信息的权利,我国《个人信息保护法》第44、45条对之作出了规定。对于个人信息处理者来说,公开透明原则要求其履行以下义务:第一,个人信息处理者在处理个人信息时,应当通过清晰易懂的语言向个人告知相应的事项,从而确保个人是在充分知情的前提下,自愿、明确地作出同意的,除非法律、行政法规规定应当保密或者不需要告知的情形。《个人信息保护法》第14条第1款第1句规定:基于个人同意处理个人信息的,该同意应当由个人在充分知情的前提下自愿、明确作出。该法第17条规定,个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项:(1)个人信息处理者的名称或者姓名和联系方式;(2)个人信息的处理目的、处理方式,处理的个人信息种类、保存期限;(3)个人行使本法规定权利的方式和程序;(4)法律、行政法规规定应当告知的其他事项。前款规定事项发生变更的,应当将变更部分告知个人。个人信息处理者通过制定个人信息处理规则的方式告知第1款规定事项的,处理规则应当公开,并且便于查阅和保存。这两条规定就是基于公开透明原则的要求。此外,在个人无法或难以理解个人信息处理规则时,依据《个人信息保护法》第48条,个人还有权要求个人信息处理者对其个人信息处理规则进行解释说明。
第二,当个人信息处理者因合并、分立、解散、被宣告破产等原因需要转移个人信息或者向其他个人信息处理者提供其处理的个人信息,应当向个人告知接收方的名称或者姓名和联系方式、处理目的、处理方式和个人信息的种类等事项。《个人信息保护法》第22条和第23条分别对此作出了明确的规定。
第三,在利用个人信息进行自动化决策时,处理者应当保证决策的透明度和结果公平、公正。通过自动化决策作出对个人权益有重大影响的决定的,个人有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定(《个人信息保护法》第24条)。
第四,依据《个人信息保护法》第27条,在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显著的提示标识,从而保障个人对其个人信息的知情权。
第五,个人信息处理者在处理敏感个人信息时,不仅要依法告知《个人信息保护法》第17条第1款规定的事项,还应当向个人告知处理敏感个人信息的必要性以及对个人权益的影响。
最后,发生或者可能发生个人信息泄露、篡改、丢失的,个人信息处理者采取措施无法有效避免信息泄露、篡改、丢失造成危害的,处理者应当通知履行个人信息保护职责的部门和个人。虽然采取措施能够有效避免信息泄露、篡改、丢失造成危害的,但是履行个人信息保护职责的部门认为可能对个人造成损害的,有权要求个人信息处理者通知个人(《个人信息保护法》第57条)。
四、质量原则
(一)质量原则的涵义
质量原则,也称数据质量原则或准确性原则(accuracy principle/der Grundsatz der Richtigkeit)。它是指,个人信息处理者应当保证其所处理的个人信息的质量,避免因为个人信息的不准确、不完整对个人权益造成不利影响。之所以有这一原则,是因为:在个人信息处理中,如果被处理的个人信息是不准确的或不完整的,就很容易因此对信息主体的个人权益造成不利影响甚至损害。个人信息可以重建自然人的某种状态或某种特性,而由于此种状态或特性的重建会产生相应的法律效果,所以信息或数据必须是完整的、准确的。例如,当征信机构所收集的个人信息是不准确的,存在错误或遗漏,就很可能导致从征信机构获取该信息的信息使用者据此不给予信息主体发放贷款或者拒绝与其从事相应的交易。再如,政府部门在作出针对个人的行政许可或审批事项时,如果相关的个人信息是不准确的或不完整的,就会导致个人无法取得相应的许可或审批。故此,个人信息处理活动应当遵循质量原则,是各国数据保护法或个人信息保护法中的一项重要原则。例如,欧盟《一般数据保护条例》第5条第1款d规定,个人数据应当“准确,必要,及时;以个人数据处理目的为限,应采取一切合理步骤确保不准确的个人数据被及时地处理、删除或修正。”再如,日本《个人信息保护法》第19条规定:“个人信息处理业者应当尽力在达到利用目的所必要的范围内,将个人数据保持在准确且最新的内容,同时在丧失利用之必要后,立即彻底清除该个人数据。”
《个人信息保护法》颁布前,我国一些法律和法规也要求信息处理者所处理的信息必须是准确的,在发现错误或缺漏时,应当及时采取措施。《民法典》第1037条第1款规定:“自然人可以依法向信息处理者查阅或者复制其个人信息;发现信息有错误的,有权提出异议并请求及时采取更正等必要措施。”《征信业管理条例》第23条第1款规定:“征信机构应当采取合理措施,保障其提供信息的准确性。”第25条第1款规定:“信息主体认为征信机构采集、保存、提供的信息存在错误、遗漏的,有权向征信机构或者信息提供者提出异议,要求更正。”《个人信息保护法》从正面肯定了质量原则,即该法第8条规定:“处理个人信息应当保证个人信息的质量,避免因个人信息不准确、不完整对个人权益造成不利影响。”
(二)质量原则的要求
在个人信息处理活动中,质量原则对个人信息处理者提出的要求是,个人信息处理者应当积极采取各种技术措施和组织措施来检查所处理的信息的质量,确保信息的准确和完整,从而最大限度地减少错误的风险,避免因个人信息不准确、不完整对个人权益造成不利影响。例如,依据《征信业管理条例》第16条的规定,征信机构对个人不良信息的保存期限,自不良行为或者事件终止之日起为5年;超过5年的,应当予以删除。故此,作为信息处理者的征信机构应当确保在5年期限届满后,立即将该个人不良信息删除,从而确保信息的准确。再如,当处理者发现个人信息已因时过境迁而不准确或不完整,但又无法予以更正或补充的,那么应当停止对该个人信息的处理。对于信息主体而言,质量原则意味着当自然人发现被处理的自己的个人信息不准确或不完整的,其有权要求个人信息处理者进行更正、补充,对此,《个人信息保护法》第46条赋予了个人补充更正权。
值得研究的是,如果因为个人信息处理者处理的个人信息不准确或不完整而给个人造成了损害,处理者是否承担赔偿责任?质量原则并不意味着个人信息处理者对个人信息的准确和完整承担了担保责任,只要个人信息不准确或不完整且给个人造成损害的,处理者就要承担民事责任。就侵害个人信息权益的侵权赔偿责任,《个人信息保护法》第69条第1款确立了过错推定责任。故此,如果个人信息不准确或不完整非因处理者的过错所致,而完全是因为客观情况发生变化等所致,个人信息处理者可以证明自己没有过错的,就不需要承担赔偿责任。但是,如果个人已经向处理者指出了个人信息存在错误或缺漏,处理者不理会,不予更正或补充,则处理者存在过错。再如,由于处理者没有采取相应的技术措施,导致处理的个人信息被他人篡改而致错误的,显然个人信息处理者存在过错。这些情形中个人遭受损害的,处理者当然要承担赔偿责任。
五、责任原则与安全原则
(一)责任原则的意义
个人信息处理活动应当遵循责任原则(accountability principle),即个人信息处理活动应当采取问责制,处理者是个人信息处理活动的首要的责任主体,应当对其个人信息处理活动负责。一方面,个人信息处理者决定了个人信息和个人信息处理活动,其对处理活动具有控制力,基于控制力理论,处理者当然要为处理活动负责。另一方面,依据报偿原则,利益之所在,风险之所归。“如果一项法律允许一个人——或者是为了经济上的需要,或者是为了他自己的利益——使用物件、雇佣职员或者开办企业等具有潜在危险的情形,他不仅应当享有由此带来的利益,而且也应当承担由此危险对他人造成任何损害的赔偿责任:获得利益者承担损失。”个人信息处理者为了自己的利益而从事处理活动,自然人也应当为此负责。欧盟《一般数据保护条例》首次明确了数据控制者的可问责性,即责任原则,该条例第5条第2款规定:“控制者应该负责,并能够证明符合第1款。”该款将确保处理活动符合《一般数据保护条例》要求的责任以及相应的证明责任施加给控制者。欧盟《一般数据保护条例》所确立的责任原则包含两个要素:一是,数据控制者要为确保处理活动的合规性(即符合《一般数据保护条例》的规定)而负责(responsibility);二是,数据控制者具有向监管机构证明此种合规性的能力(abiliity)。对于违反规定的控制者,依据《一般数据保护条例》第83条,可以处以1000万欧元的罚款,如果控制者是企业,最高罚款应为上一财务年度全球总营业额的2%,以金额较高者为准。自己责任本来就是法律的基本原则,故此,我国《个人信息保护法》第9条也确立了责任原则,该条第1句明确规定:“个人信息处理者应当对其个人信息处理活动负责”。
(二)责任原则的要求
依据我国《个人信息保护法》第9条的责任原则,首先,个人信息处理者应当考虑到处理的目的、处理的方式和处理的范围,以及处理活动给自然人的权益带来不同程度的风险,采取适当的措施确保处理活动是依法进行的,符合法律法规的规定。依据《个人信息保护法》第51条,个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等,采取相应的措施确保个人信息处理活动符合法律、行政法规的规定,并防止未经授权的访问以及个人信息泄露、篡改、丢失。
其次,处理者应当依法指定个人信息保护负责人对个人信息处理活动以及相应的保护措施等进行监督。依据《个人信息保护法》第52条第1款,处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人,负责对个人信息处理活动以及采取的保护措施等进行监督。
再次,处理者应当定期进行合规审计。《个人信息保护法》第54条规定:“个人信息处理者应当定期对其个人信息处理活动遵守法律、行政法规的情况进行合规审计。”
最后,责任原则也意味着个人信息处理者要对违反法律规定处理个人信息的行为承担行政责任、民事责任乃至刑事责任。对于违反法律规定处理个人信息的,依据《个人信息保护法》第66条,应当追究相应的法律责任,包括责令改正,给予警告,没收违法所得,对违法处理个人信息的应用程序,责令暂停或者终止提供服务;拒不改正的,并处一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款,情节严重的,罚款的数额可以达到五千万元以上或者上一年度营业额百分之五以下罚款等,并可以责令暂停相关业务、停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照。对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。《个人信息保护法》第69条规定了侵害个人信息权益的侵权责任,也是责任原则的具体要求。
(三)安全原则
个人信息处理中的安全原则,也被称为保密原则,即个人信息处理者应当采取必要措施保障所处理的个人信息的安全,防止出现个人信息的泄露或者被窃取、篡改、删除。之所以要保护个人信息,就是因为个人信息是能够识别特定自然人的信息,该信息一旦被非法处理(如发生泄露、窃取、篡改或删除等)会对特定的自然人的人格尊严以及人身财产权益造成损害,个人信息处理中必须确保信息的安全,防止出现个人信息未经授权或非法处理以及意外丢失、破坏或损坏。欧盟的《一般数据保护条例》第5条第1款f要求,个人数据应当“以确保个人数据适度安全的方式处理,包括使用适当的技术性或组织性措施来对抗未经授权、非法的处理、意外遗失、灭失或损毁的保护措施”。
我国《个人信息保护法》颁布前,不少法律就明确规定了个人信息处理者负有保障信息安全的义务。2012年颁布的《全国人民代表大会常务委员会关于加强网络信息保护的决定》第4条规定:“网络服务提供者和其他企业事业单位应当采取技术措施和其他必要措施,确保信息安全,防止在业务活动中收集的公民个人电子信息泄露、毁损、丢失。在发生或者可能发生信息泄露、毁损、丢失的情况时,应当立即采取补救措施。”此后,《网络安全法》第42条第2款规定:“网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。”《民法典》第1038条第2款规定:“信息处理者应当采取技术措施和其他必要措施,确保其收集、存储的个人信息安全,防止信息泄露、篡改、丢失;发生或者可能发生个人信息泄露、篡改、丢失的,应当及时采取补救措施,按照规定告知自然人并向有关主管部门报告。”
《个人信息保护法》第9条将保障个人信息的安全即安全原则规定为个人信息处理活动应当遵循的一项基本原则。同时,第51条还明确详细规定了处理者为保护个人信息安全,防止未经授权的访问以及个人信息泄露、篡改、丢失而应当采取的措施类型,具体包括:(一)制定内部管理制度和操作规程;(二)对个人信息实行分类管理;(三)采取相应的加密、去标识化等安全技术措施;(四)合理确定个人信息处理的操作权限,并定期对从业人员进行安全教育和培训;(五)制定并组织实施个人信息安全事件应急预案;(六)法律、行政法规规定的其他措施。此外,《个人信息保护法》第57条对于个人信息处理者发现个人信息泄露,应当采取补救措施和通知履行个人信息保护职责的部门和个人以及通知应当包括的事项作出了更具体的规定。这些都是安全原则的具体体现。
END
作者系程啸,清华大学法学院教授、博士生导师。文章发表于《国家检察官学院学报》2021年第5期。微信公号文章有删节,引用请参照原文。
关注公众号:拾黑(shiheibook)了解更多
友情链接:
关注数据与安全,洞悉企业级服务市场:https://www.ijiandao.com/
安全、绿色软件下载就上极速下载站:https://www.yaorank.com/
找律师打官司就上碳链网:https://www.itanlian.com/
随时掌握互联网精彩