崔聪聪副教授在《个人信息限制处理权的制度建构——〈个人信息保护法(草案)〉第44条之修改建议》(《探索与争鸣》2020年第11期,以下简称“崔文”)一文中以欧盟限制处理权(Right to restriction of processing)为范本,围绕限制处理权的适用条件、行使程序、限制处理之解除等诸方面进行了详细阐述,为我国限制处理权的落地实施提供了诸多有益参考。不过,崔文对欧盟语境下限制处理权行权规则分析方面尚存有待深入挖掘的空间,在权利具体内容构造方面还可以从行权逻辑科学性、权利保护标准明确性等角度进一步深化。此外,崔文在限制处理权相关制度构建时,没有充分阐明该项权利行使的实践困境,未能在本土化构建上因地制宜地结合我国立法实践和制度环境,通过一条内在的逻辑线索进行贯彻与完善,不失为一种遗憾。基于此,本文就崔文中有关内容提出几点见解,以供商榷。
对欧盟限制处理权适用规则的解析
限制处理权是指在特定情形下,数据主体有权限制数据控制者处理其个人数据。该项权利的核心价值在于,进一步强化了数据主体在数据处理活动中的自决权,有助于数据主体深度参与数据处理活动,并基于其自身利益需求请求数据控制者暂停或者停止处理其个人数据。从限制处理权的权利内容来看,该项权利具备有别于更正权、删除权以及反对权等既有数据权利的独立权能,在个人数据权利体系中享有独立地位。深入剖析欧盟限制处理权的权利构造后可知,该项权利在权利构造上与其他既有权利之间构成了紧密的内在逻辑和行权联结。
(一)限制处理权行权条件的内在逻辑
瞰览欧盟限制处理权的演进历史可知,限制处理权并非首次出现于《一般数据保护条例》(General Data Protection Regulation,以下简称“GDPR”),而是最初由《个人数据保护指令》(EU Directive 95/46/EC)(以下简称《指令》)中删除权的“屏蔽”功能演化而来。从其权利行使条件上来看,某种程度上该项权利可被视为一种附加权利,与更正权、删除权(被遗忘权)以及反对权的权利行使密切相关。仔细分析上述相关权利的立法条文可察,四者之间并非相互割裂、独立存在,而是存在一定的内在联系与行权逻辑。
首先,从更正权、删除权(被遗忘权)以及限制处理权三者之间的关系来看,这三者之间实则构筑了以删除权(被遗忘权)为核心的权利体系。在行权方式上,更正权是删除权的缓和形式,限制处理权则具有可替代性,可将需要删除的数据代之以按下暂停键的方式限制处理。值得注意的是,GDPR第17条将删除权与被遗忘权加以并行规定,但删除权(被遗忘权)实则是两种不同性质的权利混合,二者无论是在权能还是适用范围上均存在较大的差异。2由此导致具有可替代性的限制处理权的内涵和外延,亦呈现一定的复杂性。该项权利除可作为删除权的替代性救济方式外,实则与被遗忘权有着内在的密切关联。“谷歌西班牙诉冈萨雷案”(Google Spain SL v.Agencia Espa?ola de Protección de Datos,以下简称“谷歌西班牙案”)作为“被遗忘权”第一案而被世人熟知。学界对于该案件的讨论多围绕删除权和被遗忘权展开,实际上,该案与GDPR第18条规定的限制处理权亦有关联。在该案中,针对冈萨雷斯提出的主张——“请求谷歌删除或隐藏与其相关的个人数据,从而使得其不再出现在搜索结果之中,亦不再出现在指向《先锋报》的链接中”,欧盟法院支持了该项请求,将搜索引擎界定为数据处理者,并裁决谷歌“删除”指向搜索结果的链接。值得注意的是,欧盟法院裁决中的“删除”并非将个人数据从互联网中彻底删除,而是从基于姓名的检索中移除指向网页的链接。换言之,该“删除”并非与删除权意义上的“删除”等同,而是要求数据控制者通过断开链接、删除信息源的方式封锁其个人数据,从而间接达到被人遗忘的目的。该案援引了《指令》第12条(b)项:在该数据处理不符合指令的规定,特别是数据不完整或者不准确时,对数据可修改、删除或屏蔽。其中,该条中的“屏蔽”功能即为欧盟限制处理权的雏形。法院关于此案的判决虽未直接对被遗忘权予以确认,但实则通过限制处理权的行权方式,达成了个人数据被遗忘的效果。从该层面上看,限制处理权可作为被遗忘权的行权手段。被遗忘权可通过删除以及限制处理的方式予以实现。
其次,限制处理权是删除权(被遗忘权)和反对权之间紧密关联的连接器。通常,数据主体可在三种情况下行使限制处理权:一是当他们行使更正权、删除权和反对权时,为了确保能够确认上述权利的适用性,对利害关系人的个人数据处理加以限制;二是当数据处理不合法时,数据主体倾向于防止数据删除,可考虑通过限制数据处理的方式达到目的;三是当数据不再用于数据控制或处理目的(意味着可以删除),但数据主体需要它们来建立、行使权利或进行法律辩护时,可启用限制处理权。当限制处理的权利被授予时,“受限制的数据”将不会被删除,但它们超出存储本身的进一步处理,将以适用于一个特别有限的处理理由为条件。从立法技术观之,并结合GDPR第17条以及第21条可以推断,反对权实则是删除权(被遗忘权)的权利基础,反对权的实现需要依靠删除权(被遗忘权)的行使来达到反对的实效。其中,数据主体亦可行使限制处理权,直到数据控制者证明其处理数据的合法依据优先于数据主体的利益为止。
(二)限制处理权在个人信息权利体系中的定位
我国与欧盟均采取了赋权模式对个人信息主体的利益进行保护,但如上所述,显然后者在个人信息权利保护的构建上更具体系性,欧盟立法者致力于全要素、全过程、多场景、面向数据生命周期构建一体化的行权机制。各项权利之间行权机制连贯、顺畅,使限制处理权在数据处理事中阶段起到了行权联结点的作用,与更正权、删除权(被遗忘权)以及反对权进行了无缝对接,有效填补了权利空白。这为个人信息主体自由行使数据权利提供了多元化的行权方案,在对抗私权力侵害个人信息主体利益,提升数据安全方面起到了补充保障作用。现阶段,我国《个人信息保护法》(以下简称《个保法》)虽初步搭建起我国的个人信息权利体系,但仔细梳理《个保法》第四章个人在信息处理活动中享有的相关权利后可知,信息主体享有的个人信息权利在行权连贯性方面还颇显薄弱,与限制处理权行权相关的配套权利还未构建完整。如《个保法》第44条将拒绝权规定于知情权、决定权之后,却缺乏对其权利内容的细化厘定,导致限制处理权在权利内容构造上的完整性尚付阙如,无法与拒绝权之间形成有效的行权联结。限制处理权的制度构建有赖于个人信息权利体系的完整,而同时个人信息权利体系的完整也为限制处理权的制度构建提供了有力支撑,二者之间是互促共进的关系,对限制处理权进行内部配置和权利构造时需要将其置于个人信息权利体系中予以界定。
与崔文“限制处理权制度构建”之观点商榷
我国个人信息保护立法通过赋予信息主体丰富且多层次的权利,为个人信息主体积极参与数据处理活动、制衡信息处理者提供了强有力的保障。崔文有关限制处理权的制度构建为我国限制处理权的落地实施提供了可能。但遗憾的是,该文发表之际,《个保法》尚未出台,因而其未能精准厘清限制处理权与既有权利之间的内在逻辑关系,在限制处理权的具体内容构建上存在值得商榷之处。
第一,将“个人信息主体对完全自动化决策系统的决策结果存在异议”作为限制处理权的行权条件,不符合限制处理权的行权逻辑。崔文将该情形作为限制处理权的行权条件,未能精准、全面地理解限制处理权行权条件之间的内在逻辑。正如上文所述,欧盟的限制处理权与更正权、删除权(被遗忘权)以及反对权之间具有内在互联互动的行权机制,GDPR中关于该条的表述为“个人数据主体可以根据第21条第1款规定行使反对权直到确认了控制者的合法理由优于个人数据主体”,即个人数据主体在行使反对权后,在数据控制者未采取具体措施之前,个人数据主体请求数据控制者暂停处理其个人数据。但崔文中所述行权条件并非对应于GDPR第21条规定的反对权,而是对应于GDPR第22条规定的“免受自动化决策约束权”。按照崔文逻辑,个人信息主体主张免受自动化决策约束权后,个人信息主体可以同时主张行使限制处理权,请求信息处理者暂停或者停止对其个人信息进行处理。该行权条件显然与限制处理权的行权逻辑不符。
一方面,从文义解释来看,GDPR中关于限制处理权的行权对象仅限于针对“个人数据”的操作过程,数据主体行使限制处理权的对象,只能是个人数据而非数据经自动化处理后的结果。换言之,免受自动化决策约束权所指向的对象是经自动化处理后所产生的决策结果,与限制处理权所指向的个人数据存在本质区别。另一方面,从行权逻辑来看,限制处理权仅可作为个人信息自动化决策处理的事中而非事后救济手段。一旦个人信息主体主张免受自动化决策约束权,则意味着个人信息主体的个人信息已经自动化处理并形成了决策结果。免受自动化决策约束权是为对抗算法技术导致的算法歧视、个人权利侵害,而赋予个人信息主体享有免受自动化决策约束的权利。该项权利主要面向的是自动化决策的事后阶段,而限制处理权则面向的是自动化处理的事中阶段。例如,在信贷领域,银行在进行自动化决策的事前决策信息公示阶段,用户若发现其个人信息不准确、不完整,可行使限制处理权,请求银行暂停处理其个人信息,以避免形成错误的决策结果。而一旦其个人信息经自动化决策形成用户画像,用户仅能针对该自动化决策结果主张免受自动化决策约束权,而非限制处理权。两种权利在自动化决策过程中行权介入阶段完全不同。可见,二者无论是在行权对象还是行权逻辑方面都无法有效契合。
第二,崔文中限制处理权的权利客体范围过于宽泛。限制处理权的权利客体范围是指个人信息主体申请限制处理的个人信息应当纳入限制处理权的行权界限。崔聪聪教授在另外一篇与之相关的论文中指出,限制处理权适用于具有识别性的个人数据,不适用于经过匿名化处理的个人信息。笔者认为,个人数据是一个较为宽泛的概念,崔文将限制处理权的行权标准界定为“个人数据”过于笼统,或会导致权利在适用上缺乏明确的指引。
限制处理权乃是一项请求权,该项权利的行使必然需要满足一定的行权条件,当且仅当行权条件达成时,方可主张该项权利。虽然更正权、删除权(被遗忘权)、限制处理权以及反对权各具不同的内涵和外延,各属性质不同的独立权利,但结合上文可知,相关权利之间在权利行使上具有一定的内在逻辑性。在与限制处理权行权条件一致的范围内,更正权、删除权(被遗忘权)以及反对权的行权可视为启动限制处理权的“按钮”。在行权对象上,更正权主要针对的是不准确、不完整的个人信息,删除权主要针对的是缺乏法律基础的信息。不同于更正权、删除权具有明确的行权范围,被遗忘权及反对权在权利客体的判断上并非直接采用可识别性这个唯一标准。在确定二者的行权范围时,需要结合价值判断予以确定。如在反对权的行权范围界定上,需要将所涉数据上的个人利益与公共利益、数据控制者的利益以及第三方利益进行价值衡量。如“谷歌西班牙案”中,被删除权的行权范围就限缩为针对“不相关、过时的和不适当”的个人数据。在判断原告所主张的个人数据是否予以删除时,也未采用单一标准予以判断,而是采用了大量价值判断,对相关利益进行了多方位的权衡。鉴于利益平衡存在较大的模糊性,“谷歌西班牙案”案后,欧盟原第29条工作小组专门对可“删除”的标准进行了设定,需考虑个人数据主体的身份类型、处理的数据类型等13项标准。
值得注意的是,欧盟法认为限制处理权与被遗忘权之间亦具有密切联系。我国相关立法并未规定被遗忘权,而是直接采用了删除权的概念。崔文对此并未加以明确区分,也就没有根据我国现有立法规范对限制处理权的行权标准予以足够恰当的界定。《个保法》第47条在删除权的概念界定上较为宽泛,从行权范围上看,虽足以涵盖被遗忘权需要保护的情形,但在我国语境下,判断此类数据是否属于删除权的行权范围,是以数据处理活动是否构成侵权为前提,将其纳入隐私权、名誉权等人格权以及其他民事权益中予以规定。而针对信息主体主动提供的、公开的个人信息,由信息处理者合法收集,则很难判定信息处理者的信息处理行为构成侵权。在一定程度上,这将导致有关信息主体的“不相关、过时的和不适当”的个人信息很难被纳入我国删除权的权利行使范围之中,却极有可能落入限制处理权的行权范围。
综上所述,崔文有关限制处理权制度构建方面的论述具有一定的模糊性,可能造成理解上的偏差,而其根本原因在于未将其嵌入我国个人信息权利体系中展开论证。崔文认识到限制处理权在我国个人信息权利体系中具有独特的地位,并作出了阶段性的学术贡献,但未能对其行权逻辑进行精准定位。由此导致两个后果:一是未能有效发挥限制处理权在个人信息权利体系中行权联结器的作用,信息主体享有的各种个人信息权利之间缺乏顺畅的行权联结机制。如崔文有关限制处理权的行权条件缺乏对拒绝权的行权观照,在个体行使反对权时,如未能及时请求数据处理者暂停或停止对其个人数据继续处理,将会减损拒绝权的行权质效。二是由于缺乏对限制处理权行权逻辑的整体思考,导致限制处理权的权利内核模糊不清。
限制处理权构建的本土化思考
欧盟为我国限制处理权的制度构建提供了立法样本。从上文论述可知,欧盟限制处理权在权利的内在配置以及权利行使机制上为我国限制处理权提供了制度范本,我国在限制处理权的制度构建上可予以吸收借鉴。当然,鉴于各国立法体制不同,在限制处理权的具体内容设计上,应当根据我国既有立法规定进行相应的调适,至少一定程度上体现其精神内涵。
(一)厘清限制处理权的权利行使条件及行权范围
作为一项新型权利,必须对该项权利的内核和外延予以精细化设计,以此探索可行的制度框架。崔文由于没有对限制处理权的权利内核和外延进行精准描绘,因而在制度设计上产生衔接上的瑕疵。因此,有必要明确界定限制处理权的权利内容。在权利构造上,应当充分理解并吸纳欧盟限制处理权立法样本的精髓,紧抓限制处理权内在行权逻辑这一线索,在行权要件设计上构建与更正权、删除权以及拒绝权之间的行权联结,明确界定我国限制处理权的行权条件。具体而言,该项权利主要包括两项内容:其一,基于信息主体自身利益需求请求暂停或者终止处理其个人信息,如该个人信息是信息主体提起诉讼或者应诉所必要或根据信息主体的需求将可删除的信息代之以限制处理;其二,信息主体在提出更正权、拒绝权请求后,信息主体请求数据处理者暂停处理其个人信息以避免侵害其合法权益。例如,在自动扣费、缴费服务中,信息主体若发现其个人信息不准确,为避免因错误信息继续扣费而损害其合法权益,可向信息处理者主张暂停该扣费服务直到信息处理者核实、更正其个人信息。
此外,在限制处理权的行权范围界定上,应当根据我国既有立法规定予以相应的调适。与欧盟限制处理权权利行使范围有所区别的是,在信息主体主张将可删除的个人信息代之以限制处理时,在我国,该个人信息的范围实际上要远窄于欧盟立法中有关“删除”的相关规定。而针对有关信息主体“不好的、不相关、过分的”个人信息,我国《民法典》以及《网络安全法》中的相关规定已经足以保障个人信息主体的合法权益。因此,在权利行使范围上,为避免造成信息处理者过重的负担,可适当限缩限制处理权的行权范围。
(二)扩展限制处理权权利适用的信息处理场景
细致探究我国《个保法》相关立法条文可知,相较于GDPR,我国《个保法》条文设计更多针对的是个人信息处理的一般情形,对自动化个人信息处理的关照的整体性和精细化程度均不足。这在一定程度上将我国限制处理权的权利适用场景也局限于个人信息处理的一般情形之中。实际上,在欧盟法中,限制处理权亦可作为自动化决策的事中救济手段。自动化决策已经成为当前信息处理的主要方式,经自动化决策形成的决策结果与个人信息主体息息相关,从定向广告推送到大数据杀熟,再到用于疫情防控的健康码,自动化决策已经深入个人生活方方面面,必须在自动化决策事前、事中、事后阶段赋予信息主体较为全面的个人信息保护权利。我国《个保法》实际上在第24条已经就有关自动化决策进行了相应规定,毋庸置疑,将限制处理权嵌入自动化信息处理场景之中,对于形成公平、准确的自动化决策结果至关重要。
(三)构建协同治理机制提升限制处理权的行权质效
面对个人信息主体和信息处理者之间的地位不平等,赋权模式始终备受质疑。如何真正发挥限制处理权的行权质效是该项权利在实施中面临的最大困境。限制处理权行使的前提是知晓其自身个人信息如何被处理。然而,面对复杂的数据处理活动,个人信息主体根本无从得知数据如何被收集、储存以及利用。更遑论在算法时代,算法技术的存在使数据个人控制的基础不复存在,数据失控成为常态。信息处理者拥有的绝对权力地位,极大冲击了限制处理权的行使。单方面赋权面临的现实困境,需要辅以多元协同治理机制予以破解。
其一,进一步细化信息处理者的义务体系。面对个人信息主体和信息处理者之间在地位上的巨大势差,立法者尝试用一些纠偏的权利义务分配措施。GDPR中规定了大量数据控制者的强制性义务条款。如在脱离自动化决策约束权中明确规定数据控制者应当采取适当的措施以保障数据主体的权利、自由和合法利益,但该强制性义务规定得过于模糊,未能为数据控制者提供明确的指引。信息处理者的义务因规范过于抽象而严重缺乏确定性。对于限制处理权来说,可在借鉴GDPR强制通知义务的基础上,进一步细化数据处理者的义务体系。
一是明确信息处理者形式审查的义务。这意味着信息处理者仅须对需要进行限制处理的事由进行形式审查。该种方式有效提升了权利救济的便利性,促进了信息主体深度参与信息处理活动的可行性,并在一定程度上降低了限制处理权的适用门槛,意味着在限制处理的法定事由出现时,信息主体只需初步提供理由即可。换言之,只要发生个人信息侵权行为甚至仅存在侵害之虞,个人信息的主体即可请求信息处理者停止信息处理行为。权利行使的便宜性极有可能增加信息处理者的负担,对此,可在形式审查后赋予信息处理者相应的抗辩事由,如信息处理者可针对个人信息主体申请的限制处理申请是否“过分”来予以抗辩。一旦信息处理者作出拒绝限制处理的决定,应当及时通知个人信息主体。
二是强制信息处理者“限制处理”的披露义务。在网络空间,信息处理者占据了绝对的优势地位,应当对信息处理者就限制处理所采取的措施附加详细披露的义务。限制处理操作直接关系到个人信息主体的利益可否得到保障,信息处理者必须将限制的期限、限制所采取的手段、限制个人信息到何种程度告知个人信息主体。
三是扩展信息处理者的通知义务。GDPR第19条规定了数据控制者限制处理的通知义务。该条规定:除非证明此种告知是不可能的或者需要付出不合理的努力,数据控制者应当根据第18条的规定将任何限制处理的情况告知个人信息公开后的接收者。该规定在一定程度上强化了数据控制者的通知义务。根据该条规定,数据控制者不但需要将限制处理的情况通知个人信息主体,还要将限制处理的情况告知这些信息的接收者。
其二,明确侵害限制处理权的责任。如信息处理者未能履行前述所规定的义务,信息主体既可依赖公权力之管理与治理,亦可根据民事主体权利保护之本旨而提请救济。在信息处理者侵害信息主体责任承担方面,我国《个保法》采取了民事责任、行政责任与刑事责任相结合的责任体系,对侵害信息主体合法权益的行为规定了诸多责任承担方式。信息主体既可根据侵害人格权请求权的有关规定,要求信息处理者承担停止侵害、排除妨碍等责任形式;亦可根据侵权请求权的相关规定,对信息处理者的行为造成信息主体损害的,要求信息处理者承担损害赔偿等侵权责任。此外,针对信息处理者的不作为行为,亦可采用多种处罚措施,如行政处罚、失信惩戒、责令违法处理个人信息的应用程序暂停或者终止提供服务。
其三,完善多元救济机制。无救济则无权利,我国《个保法》在赋予信息主体信息权利的同时,也为其权利行使提供了多元救济途径。《个保法》第50条第2款明确规定,个人信息的处理者拒绝个人行使权利的请求的,个人可以依法向人民法院提起诉讼。同时,《个保法》还创新性地引入了公益诉讼制度。公益诉讼可调动诸多手段,通过具有更强纠纷解决能力的组织和机关介入,能够有效克服实践中起诉人的举证困难及诉讼成本过高的问题。在诉讼机制之外,通过建立投诉、举报等机制亦可达到捍卫个人信息主体权利的目的。
结语
在人类终将被技术“重塑”的时代,如何真正贯彻落实“以人为本”法治理念,让个人信息主体在信息时代感到对自由与尊严的尊重仍是个人信息保护的终极意义,赋予个人信息主体尽可能全面的具体权利仍是尊重个人信息主体最直接的体现。面对数据、技术、算法裹挟而来的巨大风险,个体需要具备与上述风险相匹配的数据权利。限制处理权的确立进一步充实了个人信息权利体系,为个体提供了更为自由、灵活的行权空间。通过赋予个人信息主体更为广泛的数据权利,能够有效提升其在数字社会的参与感、获得感与安全感,重拾个体对数字时代的信心。
许多奇,复旦大学法学院教授、数字经济法治研究中心主任,上海高级金融学院兼聘教授
本文原载《探索与争鸣》2022年第3期
