刘权:论个人信息处理的合法、正当、必要原则
2022年8月20日      ( 正文字号: )
[ 导语 ]
       随着《关于加强网络信息保护的决定》《电信和互联网用户个人信息保护规定》《网络安全法》《民法典》《个人信息保护法》等法律法规的相继出台,“合法、正当、必要原则”已成为个人信息处理的基本原则。然而,不但现行法就如何准确界定并正确适用“合法、正当、必要原则”没有给出明确答案,而且学界对正当目的原则的表述也仅停留在简单概念层面,且对必要原则的研究尚未深入展开。是故,中央财经大学法学院刘权副教授于《论个人信息处理的合法、正当、必要原则》一文中,基于中国现行法并结合比较法经验,从公私法融合的视角,对个人信息处理的“合法、正当、必要原则”进行系统研究,探寻个人信息保护的平衡之道,以期为企业、监管机构、法院等提供智识参考。
一、正当、必要原则于个人信息保护与利用的价值

由于法律原则具有较大的灵活性,正当、必要原则不但可以填补个人信息处理法律规则的漏洞,还在个人信息保护和利用方面存在以下价值:

(一)弥补日益流于形式的告知同意机制的缺陷

告知同意原则要求将个人信息处理的目的、范围、方式等事项明确告知个人,并获得同意。而如今,个人信息处理者通过契约创立大量“私人规则”,使得被告知的服务协议或隐私政策大多冗长晦涩,缺乏协商余地,进而导致个人不得不接受即使是有失偏颇的告知事项。告知同意机制步入困境,逐渐降低了数据保护的功能。作为个人信息处理的重要实体原则,正当、必要原则可以弥补日益流于形式的告知同意机制的缺陷。

(二)有效规范告知同意机制的例外情形

获得个人同意,并非合法处理个人信息的唯一条件。我国《信息安全技术个人信息安全规范》《民法典》《个人信息保护法》均表明告知同意机制存在例外情形。在这些例外情形下,个人信息权利更容易受到侵犯,而正当、必要原则可以有效规范告知同意机制的例外情形。

(三)有利于破解个人信息权利化的困境

学界目前对如何更好地保护个人信息,存在“赋权说”和“行为主义规制说”两种进路。我国《民法典》和《个人信息保护法》将个人信息作为权益加以保护,未明确设立个人信息基础性权利。在个人信息权利化存在理论挑战与实践困境的情境下,有必要把重心放在实质规范个人信息处理行为上,强化对个人信息处理的正当、必要原则约束。

二、个人信息处理的正当原则:目的特定、明确、合理

正当原则是合法处理个人信息的首要条件,也是对个人信息处理目的之要求。个人信息处理的正当目的包括公共目的和私人目的,目的可以由法律列举,也可以根据具体情形进行实质判断。

(一)个人信息处理目的应特定、明确

目的特定、明确是正当处理个人信息的前提。政府和私主体处理个人信息的目的需要特定、明确,不同的是,政府只能是出于维护公共利益的目的,而私主体可以出于维护自身利益、个人利益、第三人利益、公共利益等多种目的。然而,当前法律对于个人信息处理的正当原则规定得比较宽泛,并且过度要求个人信息处理目的特定、明确,可能会限制个人信息的充分流通利用,因此应允许适度的目的变更。变更后的目的不但应该与原初目的之间应具有合理关联性,而且必须符合个人的合理预期。

(二)个人信息处理目的应合理

目的合理,要求公私主体在处理个人信息时,应符合公共利益和合法的私人利益。一方面,在政府出于公共利益处理个人信息的范围和频度不断扩张的同时,私人也能为了公共利益进行个人信息处理,并且二者处理时目的都应具备合理性。另一方面,为了特定情形下的私人利益,未经个人同意也可进行个人信息处理,如为履行合同的目的、为保护个人或其他自然人的重大利益、为内部管理的目的以及为提供安全稳定的产品或服务的目的。

三、个人信息处理的必要原则:禁止过度损害和保障不足

探讨必要原则的内涵,不应割裂其同正当原则的关系而过度扩大其内涵。同主要评价目的的正当原则相对应,必要原则主要是对个人信息处理手段的规范,并包括禁止过度损害和禁止保障不足两大方面。具体而言:

(一)合理关联性:个人信息处理不得超出正当目的

我国《个人信息保护法》第6条“应当与处理目的直接相关”的规定过于狭窄,与处理目的间接相关但具有合理关联性的个人信息处理,也具有正当性。具体而言,合理关联性表现为以下几个方面:其一,收集与正当目相关联的最少够用的个人信息。其二,与原初目的没有合理关联的个人信息处理,即使是为了追求其他正当目的,也不具有正当性。其三,第三方应在授权目的范围内合理使用个人信息。其四,应在合理期限内存储个人信息。

(二)个人信息处理应造成最小损害

《个人信息保护法》第6条明确规定,“采取对个人权益影响最小的方式”处理个人信息。其一,应比较个人信息处理不同方案的损害大小,如果有多种个人信息处理方式同样有助于实现正当目的,应选择没有损害或最小损害的处理手段。其二,对于必要情形的个人信息处理,应进行个人信息风险评估,较为准确地挑选出最小损害的处理方式。其三,对个人信息进行分类分级管理,严格限定对私密信息的处理。分类管理既能促进个人信息流通利用,也可以保障个人信息处理不造成过度损害。

(三)个人信息处理的均衡性:利益衡量

在个人信息处理涉及利益冲突时,国家机关和私主体均应实现利益均衡。其中,在私主体为了私人利益而处理个人信息时,意思自治应受“合法、正当、必要原则”的规制。实质上,《民法典》中的个人信息合理使用制度,是要求未经同意合理使用个人信息时,应进行审慎的利益衡量,实现个人信息处理的均衡性。对这种均衡性的判断,需要对实现特定、明确、合理的正当目的所带来的收益进行评估,然后客观评估个人信息处理造成的损害,最后在此基础上进行损益对比分析。

(四)必要原则的积极面向:采取必要措施保障安全

积极面向的必要原则,要求个人信息处理者采取最大有效性的必要措施,确保个人信息持续处于安全状态。一方面,个人信息处理者应积极预防个人信息安全风险。在合理的成本范围内,采取切实有效的组织与技术措施,最大程度保障个人信息安全。另一方面,至于如何判断是否采取了最大有效性的必要措施,实际上需要进行利益权衡,应结合均衡性原则即狭义比例原则进行分析。

四、正当原则和必要原则的统合:比例原则

无论是否经过告知同意,只有符合比例原则的个人信息处理,才正当、必要。比例原则应适用于个人信息处理的各个阶段,并通过“合比例性教义学”为“正当、必要原则”提供更加精细的规范分析方法。

(一)正当、必要原则评价个人信息处理的目的和手段

正当原则要求个人信息处理目的特定、明确、合理,体现了比例原则的首要子原则——目的正当性原则。必要原则是传统“三阶”比例原则的体现,其要求行为手段具有适当性、必要性和均衡性。而“正当、必要原则”评价个人信息处理的目的和手段,可以统合称之为现代“四阶”比例原则,其要求个人信息处理目的具有正当性,手段具有适当性、必要性和均衡性。

(二)个人信息处理应受比例原则约束的原因

比例原则是个人信息处理中平衡安全与效率的核心元素。国家机关和私主体的个人信息处理,都应受比例原则的约束。世界范围内,越来越多的法律开始规定个人信息处理应符合比例原则。我国《民法典》第999条和《个人信息保护法》第6条的规定,体现了比例原则对个人信息处理目的和手段所提出的要求。

结语

准确把握“合法、正当、必要原则”的规范内涵,并加以正确适用,有利于实现个人信息保护与流通利用的平衡。“合法原则”要求个人信息处理符合法律的明确规定,“正当原则”要求个人信息处理必须出于特定、明确、合理的目的,“必要原则”包括禁止过度损害和禁止保障不足两大方面。作为公法比例原则体现的“正当、必要原则”,是对数字时代私法自治不足的矫正,但应防止无限扩大其内涵与适用范围。对于个人信息处理者同个人基于完全真实的意思表示,就个人信息处理目的、处理范围、处理方式、风险负担、收益分配等事项,达成平等互惠的充分合意,应予以高度尊重。不应动辄以保障个人信息安全为由,过度限制个人信息处理而妨碍数据要素的流通利用效率。

 

 

本文文字编辑顾晨阳。本文未经原文作者审核。本文为中国民商法律网原创标识作品。凡未在中国民商法律网微信公众号正式发布的文章,一律不得转载。

 

 

文献链接《论个人信息处理的合法、正当、必要原则

[ 参考文献 ]

本文选编自刘权:《论个人信息处理的合法、正当、必要原则》,载《法学家》2021年第5期。
【作者简介】刘权,中央财经大学法学院副教授。

推荐阅读
赵玉:夫妻股权归属及其单方处分效力的认定
夫妻股权归属及其单方处分的法律效力,涉及家庭财产维护、市场交易秩序、公司组织三个维度规则的交叉适用。
翟远见:重大误解的制度体系与规范适用
相对人参与等并非重大误解的构成要件。重大误解可能例外地不产生可撤销的效力,或者关注表意人的动机错误。
何欢:债务清理上破产法与执行法的关系
破产法和执行法的共通属性为债务清理,二者存在适用上的竞争,应联动立法,且破产法原则上须尊重执行法。
热门排行
学术公告
问答集锦
相关文章
本期评价
0个赞
0个踩
敬请关注中国法学会民法典编纂项目领导小组组织撰写的《中华人民共和国民法典•民法总则专家建议稿(征求意见稿)》

编辑:顾晨阳

向编辑提问:

分享

扫二维码
用手机看民商
用微信扫描
还可以分享至
好友和朋友圈

中国民法学研究会
教育部人文社会科学重点研究基地
中国人民大学民商事法律科学研究中心

本网站由王利明教授创办并提供全部运作资金 Copyright◎2000-2021 All Rights Reserved 京ICP备2022010855号  
E-mail: ccclarticles@126.com