武腾:最小必要原则在平台处理个人信息实践中的适用

选择字号:   本文共阅读 195 次 更新时间:2022-09-07 00:00:14

进入专题: 个人信息保护     最小必要原则     网络平台     忠实义务  

武腾  
在民法典实施背景下,应当认为在实定法上虽无作为具体人格权的个人信息权,但存在着与隐私权既有密切联系又有重要区别的个人信息法益。(46)有学者认为,隐私权强调个人生活私密领域免受侵扰,信息自主权或者个人信息权益则强调对个人信息的自主控制,是一种积极、能动的自主决定权。(47)也有学者认为,无论是隐私权还是个人信息权益,其主要功能都在于防御,自然人享有控制性权能的主要目的是防止受到侵害。(48)无论如何,理论和实践中的共识是信息主体应当享有控制个人信息的权能。(49)

  

   按照个人信息自主控制路径,只要信息主体在充分知情的前提下作出同意或者订立相关合同,相对人就可以处理为实现特定目的所需个人信息之外的个人信息,(50)信息主体从而在更大范围内接受了自身权益的克减。还有意见认为,当个人信息处理者向用户支付对价,并获得用户明确同意后,其可以适当突破最小必要原则,处理严格保护模式下无法获得的数据。(51)然而,在平台实践中,依靠个人信息自主控制制度只能在十分有限的范围内缓和最小必要原则中的最小化要求,其主要原因有二,一是人格权益不得任意处分,二是意思表示普遍缺乏自由。

  

   1.人格权益不得任意处分

  

   结合民法典第990条第2款来解释,个人信息法益应属于“其他人格权益”,不得被任意处分。即使信息主体自愿“同意”其个人信息被无限制地处理,法律也不认可这种意思表示的有效性。

  

   自然人对个人信息的自主控制属于私法自治的范畴。(52)私法自治的伦理内涵可追溯至康德理性哲学中的自由意志。(53)支撑近代民法的伦理观念是,“人依其本质属性,有能力在给定的各种可能性的范围内,自主地和负责地决定他的存在和关系,为自己设定目标并对自己的行为加以限制”。(54)人正因为是伦理学意义上的“人”,所以其本身具有一种价值,即人不能仅仅作为其他人达到目的的手段。进一步说,每一个人都有权要求其他任何人尊重其人格并且不侵害其生命、身体、健康和私人领域。(55)近代民法各项基本制度都旨在维护人与人之间的互相尊重关系,保障人自主地、负责地自我发展。个人信息保护的主要目的是消除自然人在信息化世界中被他人操控的疑虑和恐慌,使其有自尊并受尊重地生存和生活。(56)无论平台经济带来何种便利,都不能以损害信息主体的自主发展为代价。信息主体同意网络平台大范围处理个人信息的有效性以该意思表示符合伦理要求为前提。因此,超过伦理限度的“同意”即使出于个人自愿也不会被法律所保护。

  

   同意的有效限度突出体现在特定敏感个人信息的处理上。我国《征信业管理条例》第14条第1款和第2款分别规定:“禁止征信机构采集个人的宗教信仰、基因、指纹、血型、疾病和病史信息以及法律、行政法规规定禁止采集的其他个人信息”;“征信机构不得采集个人的收入、存款、有价证券、商业保险、不动产的信息和纳税数额信息。但是,征信机构明确告知信息主体提供该信息可能产生的不利后果,并取得其书面同意的除外”。结合该条第2款来解释,该条第1款关于禁止处理特定个人信息的规定显然不能通过“告知同意”予以排除适用,其否定了信息主体自由同意的有效性。在我国台湾地区,原则上禁止处理有关病历、医疗、基因、性生活、健康检查及犯罪前科的个人资料;逾越特定目的之必要范围的,即使经当事人书面同意也不得处理上述个人资料。易言之,超出必要范围处理特定个人信息的行为被严格禁止,当事人的书面同意亦属无效。

  

   在个人信息保护实践中,应当禁止基于商业目的超出最小范围对生物识别信息、反映宗教信仰的信息、反映种族等特定身份的信息、医疗健康信息、性生活或性取向信息等敏感度高的个人信息进行处理,信息主体即使同意亦属无效。对上述个人信息之外的敏感个人信息,如行踪轨迹、金融账户、交易信息、网上浏览记录,只有遵循个人信息保护法第29条和第30条所规定的严格的告知同意规则,才能基于商业目的超出最小范围予以处理;(57)质言之,只有在清楚、详尽、单独告知信息主体处理行为对个人权益的影响(特别是不利后果)之后,信息主体仍自愿、明确作出单独同意时,才能基于商业目的超出最小范围处理上述个人信息。

  

   依据个人信息自主控制制度,只要是为订立、履行其与信息主体的合同所必需,网络平台即使未经信息主体同意也可以处理相关个人信息。(58)在这种场合,信息主体的“同意”被包含在订立合同的意思表示中,提供个人信息成为信息主体的协助义务,网络平台处理个人信息的行为则是正当行使合同债权的行为。但是,对于超出最小范围的处理来说,“为订立、履行合同所必需”规则不仅面临着与告知同意规则类似的困境,还有其自身的局限性:对于敏感个人信息,单独获得的明确同意尚可能为相关处理行为提供合法性基础,包含在缔约意思表示中的同意则不能产生这种效果。

  

   2.意思表示普遍缺乏自由

  

   个人信息自主控制制度之所以具有局限性,更重要的原因是,在信息主体与网络平台的关系中普遍存在意思表示缺乏自由的问题。

  

   第一,由于网络隐私政策等格式合同条款的晦涩冗长以及个人信息处理的复杂性等原因,即使网络平台清楚、详尽地告知消费者个人信息处理的方式、范围、后果等,消费者也难以真正理解其中的内容;即使理解了字面含义,其也难以准确理解其深层内涵和可能给自身带来的影响。

  

   第二,实践中网络平台的隐私政策往往采取事先“一揽子”同意的模式,而非就超出最小范围的特定个人信息的处理单独取得同意,这意味着不作出“一揽子”同意就无法享受基本服务。即使消费者能够充分理解隐私政策等格式合同条款的含义,并准确判断相关个人信息处理行为对自身权益的影响,为享受平台服务,其也不得不同意网络平台超出最小范围处理个人信息。这种同意应被认定为“非自愿”作出的同意。(59)

  

   第三,在大型网络平台提供服务的场合,即使每次告知都是清楚、详尽、单独的,且不以消费者的同意为提供基本服务的条件,消费者也无法真正自由地拒绝。原因是,大型网络平台已经成为消费者日常生活中依赖的对象,一方面不可合理期待消费者拒绝与之建立交易关系,另一方面不可合理期待消费者反复拒绝其处理请求,否则很可能给消费者的日常生活带来不便。

  

   从理论上说,如果不断增加告知义务的强度,有可能促使信息主体实现真正的自主控制。照此方案,在超出最小范围处理个人信息时,个人信息处理者不仅要对消费者进行单独告知,还要对其无法理解的内容进行详细解释,将消费者作出理性认识和判断作为其有效同意的前提。该方案固然可以从根本上解决问题,但有明显局限性:其一,超出最小范围收集个人信息时,说明过程越长、内容越复杂,消费者越容易丧失耐心从而拒绝同意,处理便无法实现。其二,每个消费者的认识能力和判断能力有很大差异,有效同意的范围和内容也可能千差万别,若为此有针对性地设计个人信息处理方案,会产生很高的成本。可见,个人信息自主控制的强化方案面临现实障碍,难以借此消除意思表示普遍不自由的现象。

  

   (二)匿名化制度对于缓解张力的局限性

  

   为了对海量数据进行有效利用,还可以采用匿名化处理的方式来实现数据利用与个人信息保护之间的平衡。但是,匿名化制度对于缓解最小必要原则与平台处理目的之间的张力只有很有限的作用,其主要原因有二:其一,匿名化处理后,最小必要原则的排除适用仍是相对的;其二,匿名化处理与网络平台的主要处理目的之间有难以调和的矛盾。

  

   在进行严格的匿名化处理之后,最小必要原则便被排除适用,但是实践中的匿名化处理无法消除“去匿名化”(deanonymization)的风险,故仍可能受到最小必要原则的制约。依据民法典第1038条第1款和个人信息保护法第73条第4项,匿名化处理后的信息是无法识别特定自然人且不能复原的信息。据此,匿名化处理后的信息不属于个人信息,一经记录,便是可以开发利用的数据。数据安全法第32条第1款规定,任何组织、个人收集数据,应当采取合法、正当的方式。可见,数据收集在一般层面不再遵循必要原则。不过,匿名化处理主要是将个人信息中可能关联到特定自然人的信息予以删除、替换或者采取其他技术处理措施,其只是在特定时空的合理条件下不可复原,而非在任何条件下都不可重新关联到特定自然人。(60)实践证明,在匿名化处理后的信息基础上,往往只要添加一些“外部信息”(outside information),就会带来去匿名化的结果。(61)在今天,除非信息主体在网络世界中完全沉默,否则很容易留下暴露自身身份的所谓外部信息。去匿名化的风险越高,越有必要适用最小必要原则,以降低个人权益遭受侵害的风险。因此,匿名化处理后,最小必要原则的排除适用仍是相对的。

  

   更重要的是,个人信息中被删除或替换的内容越多,处理后的信息越缺乏经济价值、科研价值,严格的匿名化处理可能导致网络平台无法实现其主要处理目的。举例来说,匿名化处理通常禁止处理者再识别个人信息,对于网络平台而言,这实际上要求其建立严格的数据隔离机制。但是,网络平台所采取的主要处理措施恰恰是进行个人信息共享,因为只有大范围共享个人信息,才能描绘精准的用户画像,才能提供精准媒介服务。匿名化处理后的信息不再关联到特定个人,也不再具有个体分析价值,(62)而提供精准媒介服务是以消费者的个性化需求为基础对商品或服务进行推荐,两者之间显然存在难以调和的矛盾。

  

   总之,个人信息自主控制制度虽然能够为网络平台超出最小范围处理个人信息提供合法性基础,但存在明显的局限性。匿名化制度本质上是采取技术措施贯彻个人信息处理最小化的要求,(63)其与网络平台实现主要处理目的之间的矛盾十分突出。就缓解最小必要原则与平台处理目的之间的张力而言,恐怕难以依靠上述制度。

  

   三、忠实义务的承担与最小化原则的豁免适用

  

   (一)最小必要原则适用的前提条件

  

最小必要原则源自比例原则,后者旨在保障基本权利只受到正当限制,主要用于约束公权力。公权力在侵害人民权利时不仅必须有法律依据(法律保留原则),还必须选择在侵害人民权利的最小范围内行使,在行为手段与行为目的之间应符合一定的比例。(64)比例原则在民商事法律关系中不具有普遍适用的效力,(65)其适用于私主体之间的,应以非由意思自治支配的领域为限。(66)在私主体之间的个人信息处理关系中,不仅消费者的意思表示自由度低,而且个人信息处理者在技术、信息乃至经济地位上都处于优势,(67)这为最小必要原则的可适用性提供了最起码的条件。不过,如本文第一部分所述,最小必要原则中包含最小化这一子原则,故其适用还要满足一项重要的前提条件:个人信息处理会给信息主体的个人权益造成损害或者带来危险,且处理范围的大小与个人权益遭受不利影响的大小具有正相关关系,(点击此处阅读下一页)

    进入专题: 个人信息保护     最小必要原则     网络平台     忠实义务  

本文责编:陈冬冬
发信站:爱思想(http://www.aisixiang.com),栏目:天益学术 > 法学 > 民商法学
本文链接:http://www.aisixiang.com/data/136377.html
文章来源:《法学研究》2021年第6期

0 推荐

在方框中输入电子邮件地址,多个邮件之间用半角逗号(,)分隔。

爱思想(aisixiang.com)网站为公益纯学术网站,旨在推动学术繁荣、塑造社会精神。
凡本网首发及经作者授权但非首发的所有作品,版权归作者本人所有。网络转载请注明作者、出处并保持完整,纸媒转载请经本网或作者本人书面授权。
凡本网注明“来源:XXX(非爱思想网)”的作品,均转载自其它媒体,转载目的在于分享信息、助推思想传播,并不代表本网赞同其观点和对其真实性负责。若作者或版权人不愿被使用,请来函指出,本网即予改正。
Powered by aisixiang.com Copyright © 2023 by aisixiang.com All Rights Reserved 爱思想 京ICP备12007865号-1 京公网安备11010602120014号.
工业和信息化部备案管理系统