数字经济时代个人信息合理处理制度研究
时间:2023-04-09 09:45:04 来源:千叶帆 本文已影响人
刁胜先,刘 韵
(重庆邮电大学a.期刊社;
b.网络空间安全与信息法学院,重庆 400065)
(一)个人信息构成数字经济的基础资源
数字经济是以数字化的知识和信息作为关键生产要素,以现代信息网络为重要载体,通过数字技术与实体经济深度融合,不断提高经济社会的数字化、网络化、智能化水平,加速重构经济发展与治理模式的新型经济形态①中国信息通信研究院《中国数字经济发展白皮书(2020年)》第1页。。在数字经济时代,个人信息②个人信息也叫个人数据。对二者是否能够完全等同,虽然学术界尚未形成一个统一定论,但在立法实践中基本不做特别区分。域外立法上,《加州消费者隐私法案》与GDPR在行文中多处混用信息(information)与数据(data)两词;
国内立法中,《中华人民共和国数据安全法》对“数据”的定义“以电子或者其他方式对信息的记录”与《个人信息保护法》对“个人信息”的定义“以电子或其他方式记录的……信息”在用词上也相差无几。为方便对核心问题进行集中讨论,本文在后续论述时不对二者做特别区分。的“石油价值”展露无遗,是数字经济得以运行的源代码,具备难以替代的基础资源作用,其价值属性日渐多元,至少表现为三个方面[1]:第一,产生时体现出个人基本权利中的人格尊严与自由[2];
第二,流通时表现出商业化等财产价值;
第三,集中后承载着言论自由、国家与社会安全等公共利益。
《中华人民共和国民法典》(以下简称《民法典》)第1034条将个人信息定义为“以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息”;
《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)第4条则表述为“以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息”。可见,“可识别”成为关键词[3],前者采取“能够识别”的可能性标准,包括“单独识别”与“结合识别”;
后者采取“有关”标准,对象限定为“已识别”或“可识别”两种情形,较前者扩大了内涵与外延[4]。从加强保护角度看,这赋予“有关”以自由裁量权,便于动态地、场景化地认定个人信息;
但从操作性看,“有关”标准凌驾于“识别”标准之上,其界限过于模糊与宽泛,容易造成滥用,不利于数字经济下个人信息的利用与数据产业的发展。因此,具体制度设计上,个人信息保护与限制的平衡已构成内在需要。
(二)数字经济时代个人信息法律治理宗旨是公私兼顾的利益平衡
在数字经济时代,个人信息的聚合与处理对于国家安全、经济发展与社会福祉等公共利益已然具备无法忽视的影响力,因此公私兼顾的利益平衡成为个人信息法律治理的宗旨。一方面,保护个人信息私权益是数字经济可持续发展的基本前提。目的上,提高个人幸福感是数字经济下个人信息处理的终极目标之一;
为发展数字经济而牺牲掉私权益的行为从一开始便有违于此,属于本末倒置。过程上,忽略私权益保护的数字经济发展将得不偿失,因为信息主体会面临其个人信息被泄露或滥用等风险,而信息处理者也会难堪诉累。结果上,若不强调私权益保护的必要性,极易导致信息处理者在激烈竞争中肆意牺牲处于技术弱势地位的信息主体,将数字经济推向恶性发展的深渊。另一方面,限制个人信息私权益保护是数字经济发展的必然要求。个人信息被写入《中华人民共和国刑法修正案(九)》《民法典》《个人信息保护法》等法律中,这确认了其公私利益兼具的法益属性。信息收集者、使用者等关涉主体的多元化和信息搜集、使用等处理行为的多样化表明,个人信息已成为数字经济发展的核心枢纽之一,越发体现出社会公共性[5]。如何在个人信息人格利益不受非法侵害的基础上对其进行开发利用、实现多元价值,已成为数字经济发展的关键问题[6]。
(一)源起:著作权合理使用制度及借鉴
1.个人信息与著作权在合理使用上的耦合
著作权合理使用制度是指著作权人以外的人在法律规定条件下可以不经著作权人许可、不向其支付报酬而使用其作品的行为规范[7]。其特征为:无需同意、无需付费③是否付费因不同国家地区的立法与具体情形而不完全相同,我国目前主要表现为无需付费。、直接使用以及违法阻却,具体使用行为表现为复制、展览、表演、信息网络传播以及改编等。我国立法中并未明确“合理使用”这一说法,该概念主要为学界所用,并对应《中华人民共和国著作权法》(以下简称《著作权法》)第2章“著作权”第4节“权利的限制”下第24条规定④该节下共两个条文,第25条对应学术界的“法定许可”内容,即未经许可、但需付报酬的使用情形。该立法表明,立法上的著作权限制制度包含学术界的合理使用与法定许可两种类型。。
从借鉴角度综观私权益限制制度,著作权合理使用制度对于个人信息限制制度的参考性与适配度较高。首先,个人信息与作品同属信息,都具有非物质属性、可传播、可共享等特点,这构成两者相互借鉴的逻辑起点。其次,宗旨相同。两者都秉持衡平原则,以平衡公益与私益。著作权合理使用旨在平衡科学、文化行业发展等公共利益与个人基于创新激励所能获得的私人利益,而个人信息合理处理所平衡的则是数字经济时代社会发展需求与信息主体的私权益。最后,发挥价值的法律机制与方式手段相同:即以自愿授权或非自愿许可方式为使用核心,构建作品或个人信息的价值利用机制。抽象层面,两者都以个人为中心进行制度设计,即在各自个人权益保障体系中的“授权许可”或“知情同意”基础上搭建一条可以“绕行”的例外规则。具象层面,无论是《著作权法》第24-25条,还是《个人信息保护法》第13条等,其规范逻辑均是在一般原则条款指导下,采用“概括式列举+兜底性条款”的开放式规定和适合“立法+司法”的双轨模式。因此,个人信息可以借鉴著作权合理使用制度。
2.个人信息与著作权在合理使用上的区别
虽然著作权与个人信息在合理使用上可以实现方法论层面的互通互鉴,但后者不能完全照搬与机械套用前者;
只有明确二者差别,才能在有机融合后提炼和沉淀出适合各自的规则和制度。首先,产生背景与客体不同。著作权诞生于工业社会,是商品经济下精神产品的商品化表现[8],客体为智力成果,其合理使用主要针对经济利益,即著作财产权部分;
而个人信息亮相于信息社会,是数字经济的发展要素,表现为人格利益属性的个人数据,其经济价值只能附属在人格利益上。其次,承载的利益与价值不同。著作权合理使用意在平衡其作为文化资源的经济价值,保护与激励个人是阶段性的、手段性的,终极目的是平衡作者个人利益与社会公众利益,为人类提供更多公共的文化资源并传承下去。而个人信息所承载的利益首先是人格尊严属性的主体价值,并不会必然表现出附属性的经济价值;
基于“主体性的人本身才是目的”这一基本认识,个人信息私权益的保护与限制属于一体两面的同步存在,没有阶段性与终极性的区别。最后,权益立场与行为表现不同。在权益立场上,著作权合理使用在经济层面将作者预期的经济收益重新分配,致其潜在市场收益减少;
而对于信息主体,合理使用是为公共利益、他人必要利益与自身其他利益而接受对个人信息自控权利的限制,其人格利益损害风险会因此增加。在行为层面,为避免合理使用对权利人合法利益的损害,著作权合理使用需要尽力降低对原权利人潜在市场的影响,将作者与作品捆绑打包,标明来源等;
相反,个人信息合理使用最需要信息脱敏,将信息与个人解绑,在行为人义务体系搭建中需要强调信息处理的转换性以及与信息主体的切割程度。
(二)立法确立:从人格利益合理“使用”到个人信息合理“处理”
《民法典》第999条作为新增条款⑤该条正面规定“为公共利益实施新闻报道、舆论监督等行为的,可以合理使用民事主体的姓名、名称、肖像、个人信息等”,同时反面规定“使用不合理侵害民事主体人格权的,应当依法承担民事责任”。,正式确立了人格利益合理使用制度,其立法表述“合理使用”较著作权领域限于学理表述的情况更加明确。但是,《民法典》并未对该条确立的姓名、名称的合理使用具体展开,只对肖像和个人信息作出进一步规定,其中第1020条封闭式列举了五种可以不经肖像权人同意而合理实施肖像的情形⑥具体包括:(一)为个人学习、艺术欣赏、课堂教学或者科学研究,在必要范围内使用肖像权人已经公开的肖像;(二)为实施新闻报道,不可避免地制作、使用、公开肖像权人的肖像;(三)为依法履行职责,国家机关在必要范围内制作、使用、公开肖像权人的肖像;(四)为展示特定公共环境,不可避免地制作、使用、公开肖像权人的肖像;(五)为维护公共利益或者肖像权人合法权益,制作、使用、公开肖像权人的肖像的其他行为。。值得注意的是,第999条虽然使用“合理使用”一词,但并未明确其要件;
而第1020条明确提出肖像合理使用的要件是“不经肖像权人同意”,但对于是否支付报酬、其法律后果如何等没有直接明确。对于个人信息,第1036条则从“行为人不承担民事责任”的免责角度规定三种处理情形⑦具体包括:(一)在该自然人或者其监护人同意的范围内合理实施的行为;
(二)合理处理该自然人自行公开的或者其他已经合法公开的信息,但是该自然人明确拒绝或者处理该信息侵害其重大利益的除外;
(三)为维护公共利益或者该自然人合法权益,合理实施的其他行为。。有学者认为该条前两项“不属于个人信息的合理使用情形,其是基于意思自治而对人格权的许可使用,属于人格权的意定限制而非其法定限制”[9]。
《个人信息保护法》第13条第一款第(二)至(七)项可被认为是对《民法典》个人信息合理使用的发展,将用语“合理使用”变为“合理处理”,其处理“不需取得个人同意”,但未明确是否支付报酬。“处理”对于个人信息具有特定含义,即《民法典》第1035条明确为“个人信息的收集、存储、使用、加工、传输、提供、公开等”行为。显然,其内涵与外延不能完全等同于著作权的“使用”。因此,对个人信息,笔者赞同并采用“合理处理”的表述,但与“合理使用”不矛盾,在没有特别说明时,二者可在“合理使用”语境下通用。
(三)发展:个人信息合理处理的制度展开
随着个人信息事实处理行为的出现,我国立法与司法在应对相关纠纷中逐渐确立了合理处理制度。首先,司法中合理处理的制度逻辑在相关案例中得以适用,如在“凌某某与微播视界公司网络侵权责任纠纷案”中,法院在裁判说理时参考著作权合理使用中的“三步检验法”与“四因素说”而创设了“三方面说”,体现了合理处理制度的司法适配性。其次,立法上我国个人信息合理处理制度已初具雏形,例如:《民法典》第999条规定的人格利益合理使用、第1036条规定的处理个人信息的免责事由⑧具体包括取得同意后在同意范围内的合理实施行为、合理处理自行公开等已经合法公开的信息的行为(自然人明确拒绝或行为侵害其重大利益除外)以及为维护公共利益或保护该自然人合法权益而合理实施的行为。、《个人信息保护法》第13条规定的可以处理个人信息的七类情形。由此,我国个人信息合理处理制度表现出“立法与司法”双轨展开、“一般法+特别法”、“一般条款+具体规范+专门条款”的立体结构,但是由于溯源上可供借鉴的著作权合理使用制度在立法中并未明确、个人信息合理处理制度尚属初建,其制度展开中还存在较多问题需要探讨和完善。
(一)“合理性”界定:标准+构成要件+考量因素
英国法官丹宁勋爵曾在1972年Hubbard and Another v.Vosper and Another一案的裁判书中写道:“什么是‘合理使用’是不可能明确界定的,这必须是一个程度问题。[10]”“合理性”标准是个人信息合理处理制度的核心问题,对此从立法与司法两方面进行探讨。
1.立法技术:“因素主义”与“规则主义”
国际上个人信息处理的“合理性”认定可总结为两种立法技术,即“因素主义”与“规则主义”⑨“因素主义模式”与“规则主义模式”最初用于对比分析以美国版权法“四因素说”为代表的合理使用制度模式与其他仅列举具体情形的合理使用制度的立法模式。。前者指通过确认行为是否符合法律规定中应当考虑的因素来判定其“合理性”,后者则是明确规定行为的具体情形或类型[10]。但现实立法中,很少仅仅采取一种主义,而是常常融合二者,不是在“因素”下列举具体规则就是在“规则”中蕴含着多种因素。
日本《个人信息保护法》第16条在明确“须本人同意并基于特定目的、在必要范围内”得以处理个人信息的基础上,规定了四种例外:以法令为依据的情形,难以取得本人同意的两种必要情形(为保护任意人生命、身体或财产的必要,为提高公众卫生或推进儿童健康成长的特殊必要),协助执法的必要情形(执法事务主体限于国家机关或地方公共团体或者受其委托的主体,且取得本人同意可能导致执行障碍)。美国《加州消费者隐私法案》第1798.100(d)款也将合同约定、检测安全事件、行使言论自由、法定义务以及公共利益等规定为例外情形。欧盟GDPR虽然设定了相对严厉的个人数据保护标准,但允许数据控制者在特定场合出于其合法利益处理数据,前提是证明其合法利益显著高于个人私权益、明确界定权利限制范围以及符合比例原则。我国《民法典》与《个人信息保护法》相关条款都是具体类型或情形的列举,并未明确给出通用的因素判定公式。
目前,境内外关于个人信息合理处理的主要立法偏向于“规则主义”,但同时蕴含着部分共同因素,比如法定义务或法令规定、公共卫生及安全等公共利益、特殊或必要的私人利益等。当然,对相同因素的具体列举或表述,不同立法文本表现有别。
2.司法依据:“三步检验法”与“四因素说”
目前,关于个人信息合理处理标准的探讨方兴未艾,有观点认为应采用“双清单模型”,即同时满足“开放情形清单”与“开放评估清单”[11];
也有观点提出以隐私风险作为“合理使用”的衡量标准,根据具体场景中的风险评估采取差异化保障措施[12]。事实上,著作权合理使用制度中的“合理性”判准也有较强参考性,典型者有“三步检验法”与“四因素说”。
“三步检验法”作为国际社会普遍采用的传统准则,是著作权合理使用的主流认定方法,其三步为:是否为法定特殊情形、是否影响权利人的正常使用以及是否不合理损害权利人的合法权利。我国《著作权法》第24条的具体情形属于第一步,而《著作权法实施条例》第21条则分别对应第二步和第三步⑩《著作权法实施条例》第21条:“依照著作权法有关规定,使用可以不经著作权人许可的已经发表的作品的,不得影响该作品的正常使用,也不得不合理地损害著作权人的合法利益。”。
“四因素说”作为著作权合理使用制度的新兴标准,是指在认定作品使用行为合理与否时应结合四种因素进行考量:使用行为的目的与性质、被使用作品的性质、被使用的部分与整部作品的比例关系、使用行为对被使用作品潜在市场的影响[7]。我国最高人民法院2011年发布的《关于充分发挥知识产权审判职能作用推动社会文化大发展大繁荣和促进经济自主协调发展若干问题的意见》(以下简称《意见》)第8条也有类似规定⑪《意见》第8条:“在促进技术创新和商业发展确有必要的特殊情形下,考虑作品使用行为的性质和目的、被使用作品的性质、被使用部分的数量和质量、使用对作品潜在市场或价值的影响等因素,如果该使用行为既不与作品的正常使用相冲突,也不至于不合理地损害作者的正当利益,可以认定为合理使用。”。在美国谷歌数字图书馆一案中,法院在终审判决中采用“四因素说”,以转换性因素(使用行为的目的与性质)与市场因素(使用行为对被使用作品潜在市场的影响)为主、其余两个因素为辅进行合理性说明,具有典型意义[13]。
可见,“三步检验法”重在认定流程,其构成要件在逻辑上层层递进;
“四因素说”重在认定依据,提供的考量因素虽非线性,但更为具体、实操性更强。需注意的是,两种方法虽然适用的背景、国家地区以及判例都有很大不同,但本质上相通互补,说理逻辑并不冲突。例如,“四因素说”中的转换性因素,可以成为“三步检验法”中判断是否影响权利人正常使用的衡量因素。二者是两种不同的方法论,从不同角度来判定行为的合理性。有观点主张,三步检验法用以确定合理使用的构成要件,即三步必须同时具备;
但是,四因素则为考量因素,并不要求同时具备,甚至考量因素之间可以相互冲突、进而由法官侧重选取某个因素进行裁量[14]。的确,立法上,“三步检验法”已被转化为规则主义的构成要件,相对稳定、不可或缺;
而所谓考量“因素”,却未必都上升为立法,即便在立法中也不必然稳定不变,而可能与时俱进地增减变更。对此,认定个人信息合理处理时可以借鉴。
3.小结
虽然个人信息属于人格利益,而作品主要属于知识财产,但二者具有非物质性、可传播共享性、兼具公私利益属性,以及在利用中寻求保护与限制的利益平衡等共同特点,因此在合理性判断标准上具备移植借鉴的适配性。若将两种思路综合应用于个人信息合理处理制度,则其构成要件可参考三步检验法,依“合理性”标准确立为:法律明确规定的特定情形、不影响信息主体的正常使用以及不损害信息主体的正当权益。在构成要件的具体认定中,考量因素可借鉴四因素说,明确为:信息处理行为的目的与性质、被处理信息的性质、被处理后的信息与原信息主体之间的关联性、信息处理行为对信息主体既有权益的影响;
对该四因素不要求同时具备,并允许其存在冲突,此时应结合个案情况对其主要因素加以判断。但是,个人信息以人格属性为主,作品以财产属性为主,这决定著作权合理使用制度不能被完全照搬至个人信息合理处理制度中;
必须直面二者区别,才能构建完全贴合各自属性的限制制度。
(二)我国个人信息合理处理的立法情形分析
综观合理处理具体情形的立法例,可总结为“封闭式列举”“类型化列举”与“开放式列举”三类。“封闭式列举”指逐一列举例外情形且没有兜底性条款,如GDPR,对权利限制采取谨慎与限缩态度,司法自由裁量空间较小。“类型化列举”则以提取“公因式”替代穷举方式,如《民法典》第999条将“公共利益”作为人格利益合理使用的核心要素进行归纳;
该方式在释法上更为灵活,但可能出现类型不够清晰、具体和全面的问题,容易扩大解释而超越“合理”边界、进而侵害权利人权益。“开放式列举”是由具体情形加“其他规定”作为兜底性条款的立法方式,兼具前两种方式的优点,能适应社会的飞速发展,但兜底项的司法裁量空间大、容易在利益间失衡,应谨慎适用。关于个人信息合理处理的具体情形或类型,各国和地区的规定异同并存,以下主要结合《民法典》与《个人信息保护法》,以具体场景中的利益比较与限制作为线索进行归纳。
1.公共利益对私权益的限制
《民法典》第999条“人格利益的合理使用”是以公共利益为核心的概括性规定,第1036条规定公共利益可以作为处理个人信息的免责事由;
《个人信息保护法》第13条也规定,为应对突发公共卫生事件下的行为、为履行法定职责或义务的行为、为公共利益实施新闻报道等行为,可以被认定为合理处理。例如健康码的使用,就属于公共卫生安全在特定条件下优先于个人权益的情形[15]。在“吴某涛与辽宁省沈阳市公安局和平分局沈水湾派出所不履行法定职责纠纷上诉案”中,法院判定律师接受委托人的委托、经事务所指派调查被起诉人的个人信息行为符合《中华人民共和国律师法》第35条第2款规定,应予支持⑫辽宁省沈阳市中级人民法院(2019)辽01行终743号行政判决书。,此情形便属于履行法定职责或义务这一事由。可见,我国个人信息合理处理规定中,以公共利益限制私权益的情形已经形成“一般规定+具体内容”的框架;
同时,针对公共利益概念过于模糊的特点,立法中特别列举出“应对突发公共卫生事件”“为履行法定职责或法定义务”“为公共利益实施新闻报道、舆论监督”等几种具体的合理处理情形。
2.基于信息主体自身私权益的限制
首先,当个人信息主体明示或默示限制自身的相关私权益时,对该部分信息的处理行为构成合理处理。根据《民法典》第1036条,若处理的个人信息是在该自然人或其监护人同意的范围内,或者已经合法公开的,该行为构成合理处理。上述两种情况中,自然人或其监护人的同意是明示放弃自身对个人信息的绝对控制,属于权益主体对私权益的明示限制。而已经合法公开的信息被先行推定为权益主体同意其他主体处理信息,除非明确拒绝或者行为侵害其重大利益,该情形属于默示同意。
《个人信息保护法》第13条第6项规定“在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息”,也属于权益主体对私权益限制的情形。当然,有学者认为,该种情形属于意定限制和许可使用范畴,不应属于合理处理,“因为权利人自行公开或其他已经合法公开的个人信息意味着普遍授权”[16]。笔者认为,该推理难以成立,因为公开只意味着让人知晓,而不是任由人处理,该情形下合理处理的依据归根结底还是来自于法律规定,因为“默示推定”的法律意思必须以法律规定为前提,否则会变成“一千个人眼里有一千个哈姆雷特”而失去法律的确定性与严谨性。同时,该情形下使用者如果不需支付报酬和不承担法律责任,则可纳入合理处理范畴。为防止该处凌驾于“授权同意”之上的法律规定过于强硬而伤及权利人意志,法律同时规定了事后“明确拒绝”或“侵害其重大利益”的例外情形,故可认为,这属于相对的合理处理情形。有学者认为,套用“著作权合理使用属于非授权许可使用”的学界主流认识,个人信息的该种使用不属于合理使用,而是信息主体的授权使用,包括明示授权与默示推定授权[17]。但是,合理使用是属于法定许可还是意定许可,即便在著作权领域,也主要是学术上的一种技术分类,而不是来自于“合理与否”这一根本性标准。换言之,在广义与实质意义上,对个人信息该种情形的处理,因满足“不需特定情形下单独许可、不需支付报酬、使用情形合理”等核心含义,而将其归入学理上的“合理使用”并无不当,至于立法上基于技术性需要而另行分类,则可再做探讨。而且,《著作权法》第24条第一款第“(四)”项规定“报纸、期刊、广播电台、电视台等媒体刊登或者播放其他报纸、期刊、广播电台、电视台等媒体已经发表的关于政治、经济、宗教问题的时事性文章,但著作权人声明不许刊登、播放的除外”,该处著作权人“不声明”的情形为合理使用,其实质也是著作权人默认的授权情形,只是该种情形被法定化而已;
但如果明确声明加以除外,则是对这种默认情形的否定。因此,对合理使用、法定许可等权利限制形式,立法上除了采取直接法定化并不允许以约定排除的刚性立法外,还采取“选择退出”模式进行柔性限制,即虽然将默示授权法定化,但允许权利人在具体情形中以“声明”加以排除、从而退出被限制的范围。该种情形下,对个人信息“明示弃权”或“合法公开”与上述时事性文章“已经发表”的旨趣一致,基于同理而可归属于合理使用。《民法典》第1036条中“在该自然人或其监护人同意的范围内”的处理,其“合理性”不言而喻,但在技术划分上已含在“信息主体同意”的处理范围,故无必要再划入“合理处理”,对此,修订立法时可再斟酌完善。
其次,当其他主体为了信息主体自身利益处理个人信息时,可构成合理处理。比如,欧盟GDPR第6条规定便包括“为了数据主体……所追求的合法利益所必需”,韩国《个人信息保护法》第15条规定“当数据主体……的生命、身体或经济利益面临即将发生的危险,有保护之必要”。该情形与见义勇为、紧急避险等精神契合,有利于弘扬社会正能量。但实践中需要把握好度,严格遵循比例原则,在纯粹只关信息主体私人利益时,可赋予其明确拒绝的权利以尊重其意志,同时防止使用者借“为你好”之名而行“损害你”之实。
3.基于其他主体私权益的限制
除了公共利益以及信息主体自身利益的限制,同一位阶序列的其他主体私权益能否在特定情形下对信息主体私权益加以限制呢?在一场室内音乐会中,观众A发现自己的钱包落在座位上被周围某一观众捡走,此时观众A请求场地负责人让自己查看现场监控以及观众信息用以寻找拾包者,该要求有其正当性,能否构成个人信息合理处理事由呢?事实上,欧盟GDPR第6条便包括“处理是……为第三方所追求的合法利益所必需”,我国台湾地区《个人资料保护法》第16条与第20条也有他人权益对信息主体私权益的限制情形[18]。我国《个人信息保护法》第13条第2款“为订立、履行个人作为一方当事人的合同所必需”、第4款“紧急情况下为保护自然人的生命健康和财产安全所必需”等规定即属此种情形,较GDPR而言,将得以限制的主体从第三方扩展到相对方,范围更广。
(三)我国个人信息合理处理的司法情形分析
在《民法典》与《个人信息保护法》实施之前,个人信息保护与限制之间的衡平已然出现在一线司法案例之中,其争议焦点和判决理由与两部法律高度契合,铺垫了个人信息合理处理的制度空间。除公权益限制情形外,典型案例中对私权益限制与商业利益限制情形争议较大。
1.私权益限制:“闫某与北京新浪互联信息服务有限公司等纠纷案”
原告闫某在新浪微博等网站页面上发现某博主发表了涉及其个人隐私的文章,遂以被告北京新浪互联信息服务有限公司等侵犯其隐私权和名誉权为由起诉,请求判令被告承担侵权责任并向其提供博主个人信息。经审理,法院最终判决被告承担相应责任,并在技术能及范围内向原告披露涉事博主个人信息⑬最高人民法院2014年10月9日公布的八起利用信息网络侵害人身权益的典型案例。。
本案一大争议焦点是:当侵权人在网络上擅自发布被侵权人隐私信息,被侵权人是否有权要求网络服务商向其提供侵权人相关信息。本案法院认为网络侵权本具有匿名性,若被侵权人无法得知侵权人相关信息将难以行使诉权。虽然法律规定网络服务商对用户信息有保密义务,但当被侵权人主张合法权利时,网络服务商应在技术能力范围内和法院允许的情况下将涉事用户个人信息如实向被侵权人披露。本案法院裁判的“合理性”正是以被侵权人私权益来限制侵权人个人信息权益的早期司法实践。原告本无权获得用户个人信息,但由于自身权益遭到侵害,其向网络服务商申请获得涉事博主相关信息的要求具备正当性,获得侵权人的个人信息成为维护受害人私权益的必要前提;
后者被侵害的权益优先于前者的个人信息权益,即为维护第三人合法权益而处理他人个人信息的限制事由有其必要性、可行性与正当性。当然,随着立法的完善,从网络服务者角度,获取或提供用户个人信息,也是基于法定义务的合理处理⑭《中华人民共和国网络安全法》第24条规定:“网络运营者为用户办理网络接入、域名注册服务,办理固定电话、移动电话等入网手续,或者为用户提供信息发布、即时通讯等服务,在与用户签订协议或者确认提供服务时,应当要求用户提供真实身份信息。用户不提供真实身份信息的,网络运营者不得为其提供相关服务。”《中华人民共和国电子商务法》第27条规定:“电子商务平台经营者应当要求申请进入平台销售商品或者提供服务的经营者提交其身份、地址、联系方式、行政许可等真实信息,进行核验、登记,建立登记档案,并定期核验更新。”。
2.商业利益限制:“凌某某与微播视界公司网络侵权责任纠纷案”
原告凌某某认为被告微播视界公司旗下抖音APP在没有授权的情况下,获取用户微信好友信息并将其推荐为“可能认识的人”,侵害了其隐私权与个人信息权,并据此起诉。经审理,法院最终判决被告删除通过软件收集的原告姓名以及地理位置等信息、书面道歉并赔偿相应损失⑮北京互联网法院(2019)京0491民初6694号民事判决书。。
法院认为,被告对用户通讯录信息的收集、读取与匹配行为除了满足或促进用户在抖音APP的社交需求外,还具有一定的商业目的,但“个人信息的合理使用并不必然排除出于商业目的的使用”,因此被告的读取与匹配行为属于合理处理。值得思考的是,单纯的商业利益是否能够限制信息主体私权益而成为个人信息合理处理的事由之一?数字经济时代下,个人信息成为各大企业的核心资源,基于商业目的的个人信息处理行为自是常态,但这并不等于商业目的成为个人信息处理的正当性支撑。从立法理念上讲,个人信息合理处理行为是一般情形下的例外规定,是可以免责的“特殊情形”,而基于商业目的的个人信息处理行为属于一般情形,是需要规范的“常态”,两者属性根本不同。司法中,基于商业目的的个人信息合理处理会因过于宽泛而增加审判的不确定性,不利于司法衡平。一般情况下,基于商业目的的个人信息处理行为规范还是应当落脚于信息主体的授权上,这也是目前更为普适的实践路径。在数字经济时代,企业与个人之间的商业往来依然需要尽量保证双方平等的交易地位与权益空间。因此,单纯商业利益不应成为个人信息合理处理的事由之一;
只有如该判例中,被告的商业利益成为满足原告先行且主要目的——使用抖音APP的附属目的时,才具备合理性。因为此时原告为获得更大的利益——使用抖音APP,就应当容忍被告合理地对其个人信息进行“读取与匹配”并从中实现商业目的。但是,被告借机“收集原告姓名、手机号码以及地理位置等信息”的行为,显然超出原告获得服务的必要范围而扩大自身的商业利益,进而侵犯原告的个人信息权益,因此该超出部分不具备合理性而构成侵权。综上,对商业目的的使用,不能简单地判断是否构成合理处理,而要对使用者的商业利益与信息主体的获益目的进行因果关联与主次关系的考量。
我国个人信息合理处理制度并非“平地起高楼”,目前不缺基本盘,但需要明确不同法律、条款之间的衔接与适用关系,以及不同情形下信息主体私权益与公共利益、第三人私权益等之间的序位,进而串珠成链,形成一个相对完整而严谨的制度体系。对此,尝试建议以供参考。
(一)加强立法条款的系统性:基础+类型+具体情形+兜底规定
个人信息合理处理制度的主要内容已然蕴含在《民法典》与《个人信息保护法》的相关条款中,但目前不同法律、不同条款之间的衔接适用需要进一步明晰,应将其置于完整、系统的立法中,避免交叉重叠,以增强制度规则体系的有机性与体系性。笔者认为,个人信息合理处理制度的立法框架可以将《民法典》第999条“人格利益的合理使用”条款作为基础,并以三步检验法为内容确立其一般要件;
再以《民法典》第1036条“处理个人信息的免责事由”中的类型化规定为骨架;
最后以《个人信息保护法》第13条的开放式具体规定为脉络。在司法实践中,可以先依据《个人信息保护法》第13条进行对比认定;
若无法确定,则可就该规定兜底性条款中的“法律、行政法规规定的其他情形”往上找到《民法典》第1036条的类型化规定与第999条的三步检验法,以及其他特别法的特别规定,由此形成一个较为灵活且高效的“合理使用”立法体系与认定程序。
(二)明确个人信息合理处理的结构定位与构成要件
1.确立“合理”标准并将其内涵明确和细化
在个人信息处理的规则体系中,确立合理的分类标准,明确相关制度的适当边界,以确保个人信息合理处理制度更具逻辑性、科学性与合理性。该“合理”的处理标准,内涵包括:(1)处理行为的依据合理,并被法定化,不需要信息主体的意定授权;
(2)处理行为的方式方法合理,不能以不适当甚至不必要的加害方式进行处理,该层含义已蕴含在《民法典》第1036条“合理实施”的表述中;
(3)处理行为对信息主体造成的后果合理,即“合理损害”,不能造成“不合理损害”。对此,在实践认定中,需对人格尊严和财产利益进行双重考量,要求恪守法律的强制性规定和比例原则等要求,前述第(2)(3)两点即是比例原则的具体体现。
3.个人信息合理处理的构成要件
个人信息合理处理的构成要件应包括:(1)法律明确规定,可采取“列举+其他”模式;
(2)不影响信息主体的正常使用;
(3)不会不合理损害信息主体的合法权益。鉴于该制度本质上是对个人信息权益的限制,对其特征、定位及要件建议见表1。
表1 个人信息合理处理的构成要件
综上,个人信息合理处理可定义为:“个人信息处理者在法律规定的条件下可以不经个人信息主体同意、不向其支付报酬而处理个人信息的行为,并且不得影响信息主体的正常使用,也不得不合理损害信息主体的合法权益。”其特征为:无需同意、无需付费、直接使用以及违法阻却,具体可表现为个人信息的收集、存储、使用、加工、传输、提供、公开等行为。
(三)完善个人信息合理处理的法律规定
关于个人信息合理处理,我国立法虽有较多内容,但具体情形尚有增补空间。例如,早在2014年便出现因实现第三人合法权利所需而合理处理相关主体个人信息的纠纷,且司法中得到了法院支持。对现有立法的完善,建议如下:
1.《民法典》第999条规定保持不变
因为该条总括性地针对姓名、名称、肖像、个人信息等具有优先序位的人格利益确立合理使用制度,所以对其得以限制的利益类型应当限于“为公共利益实施新闻报道、舆论监督等行为”,同时用语保留为“合理使用”而不必改为“合理处理”。此种情形下,三步检验中的“不得影响信息主体的正常使用”“不得不合理地损害信息主体的合法权益”已不言而喻蕴含其中,故无必要画蛇添足。
2.对《民法典》第1036条“处理个人信息......不承担民事责任”的内容增加一项:“(四)为维护或实现他人合法权益所必要而处理的行为”
该条是针对个人信息处理行为免责事由的规定,虽然不是专门服务于个人信息合理处理,但应尽可能包含各种类型;
相对于《民法典》第999条仅基于公共利益的限制,该条第一款第(三)项已增加了“为维护该自然人合法权益”的限制类型。但是,鉴于个人信息在数字社会的基石地位和制度的周延性,为维护或实现第三方合法权益所必要的处理已成刚需,故有必要增设该类权益的限制。当然,一般情况下,信息主体的私权益与他人私权益处于平等地位,若以后者限制前者,应当符合“合法权益”与“必要”两个条件。同时,若该行为侵害了信息主体的重大利益,行为人依旧需要承担补偿责任;
如果实践中他人难以证明己方权益的优先性,可以诉至法院从而获取公权力背书。该类型与紧急避险和正当防卫发生竞合的,适用竞合规则,由当事人选择行使。
3.在《个人信息保护法》中完善相关条款
《个人信息保护法》为特别法,需以《民法典》为指导,可在立法体系的完整性与司法实践的可操作性等方面加以完善。建议在该特别法第2章“个人信息处理规则”的第1节“一般规定”里,将现行的第13条分为两条规则,具体内容如下:
第13条个人信息处理者处理他人个人信息,应当取得个人的明确同意,除非法律、行政法规另有规定。
第14条 在下列情况下处理他人个人信息,可以不经信息主体授权同意,不向其支付报酬,但应当指明特定目的及必要性,并且不得影响信息主体的正常使用,也不得不合理地损害信息主体的合法权益:
(一)为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;
(二)为履行法定职责或者法定义务所必需;
(三)为满足信息主体先行且主要目的而必要地处理其个人信息时,处理者借此实现自己附属的商业目的所必需,但不得超出信息主体实现其目的的必要范围;
(四)为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;
(五)为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;
(六)依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息,但是该自然人明确拒绝或者处理该信息侵害其重大利益的除外;
(七)在第三方请求下为维护或实现该第三方合法权益所必需,且该第三方合法权益已经或正在受到信息主体的侵害;
(八)为维护信息主体合法权益而合理实施的其他行为;
(九)法律、行政法规规定的其他情形。
如此整合后,《民法典》与《个人信息保护法》的内容更加丰富且更好衔接一致,但需要说明两点。第一,将原来的一个法条分作两条内容,可以先明确个人信息处理的一般权源即“知情—同意”,以强调个人信息主体的权利主体身份与控制地位,然后以合理处理规则明确其权益受到的限制情形,这样既清楚明了、内容完整,又符合认识逻辑而具有周延性,易于接受。第二,对于建议的“第14条”列举的8种具体情形,综合了《民法典》第999条、第1036条,《个人信息保护法》第13条以及前文判例中的判决情形等相关内容。其中,第(一)(二)(四)(五)(九)项的表述与《个人信息保护法》第13条相关款项完全相同;
第(三)(七)项则来自于判例内容的提炼与升华;
第(六)(八)项是《民法典》与《个人信息保护法》结合的结果。
建议中第(三)项有几个要点:第一,合理处理的目的是“为满足信息主体先行且主要目的”及“处理者借此实现自己附属的商业目的”,二者构成必要条件和附属后果的关系;
第二,合理处理的“度”受“必要性原则”限制,即目的必要的范围,这是个人信息人格属性的需要,因而不同于著作权合理使用情形的规定。同理,该条第(七)项的“所必需”也体现了最小必要原则的人格属性要求,同时融合了正当防卫与紧急避险的需求和功能。
建议中第(六)项针对“自行公开”与“合法公开”的个人信息处理情形,为防止处理“过度”而不合理和确保个人信息的人格尊严价值,事前科加了“在本法规定的合理范围内处理”这一前提,事后则赋予双重补救:一是考量信息主体的自由意志,以其“明确拒绝”来补救法律推定的合理处理情形可能对自己造成的伤害或损失;
二是不论信息主体是否拒绝,明确将“处理该信息侵害其重大利益”列为合理处理的例外情形,彰显了个人信息人格权益的优先序位,表现出与著作权合理使用情形的不同之处。
