武腾:最小必要原则在平台处理个人信息实践中的适用

选择字号:   本文共阅读 151 次 更新时间:2022-09-07 00:00:14

进入专题: 个人信息保护     最小必要原则     网络平台     忠实义务  

武腾  

   内容提要:最小必要原则包括相关性、最小化、合比例性三个子原则。在适用该原则时,我国实践中的主流做法是只承认网络平台的次要处理目的,即实现具体业务功能,而不承认其主要处理目的,即提供精准的交易媒介服务。最小化原则的要求与网络平台实现其主要处理目的之间存在巨大张力,个人信息自主控制制度、匿名化制度都难以缓解该张力。鉴于最小必要原则的适用范围局限于利益减损型处理行为,如果网络平台实际上为增进信息主体的利益而行动,便不满足最小必要原则的适用条件。按照补充性的合同解释方法,网络平台在提供媒介服务时应当承担给付型忠实义务,即有义务为消费者在所媒介交易中的可得利益最大化而行动。履行给付型忠实义务的网络平台,在其个人信息处理的综合影响为正面,且给信息主体造成的损害或者危险有限的情况下,可以在合理的必要范围内处理非敏感的和敏感度低的个人信息。

   关 键 词:个人信息保护  最小必要原则  网络平台  忠实义务  补充性的合同解释

  

   一、最小必要原则与平台处理目的之间的张力

  

   依据我国现行法,处理个人信息应当遵循必要原则。比如,个人信息保护法第5条规定,处理个人信息①应当遵循合法、正当、必要和诚信原则,不得通过误导、欺诈、胁迫等方式处理个人信息。②在个人信息保护法审议过程中,一些常委委员建议根据“最小必要原则”进一步强调不得过度收集个人信息。③在该法草案历次审议稿中,有关最小必要原则的规定不断得到丰富、完善。④在个人信息保护法中,最小必要原则在多个条文中得到体现。比如,该法第6条两款规定都涉及该原则:“处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式”;“收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息”。又如,该法第19条规定,除法律、行政法规另有规定外,个人信息的保存期限应当为实现处理目的所必要的最短时间。个人信息处理者违反上述规定的,行政机关可依法责令改正、给予行政处罚,信息主体亦可依法求偿。上述规定系采纳法律实践中已经出现的个人信息处理范围最小化的做法,以“最小”对必要原则加以限定,指引行政机关、司法机关在权衡个人信息处理是否超出必要范围时,按照最小值来把握。

  

   网络平台一般是指通过网络信息技术,使相互依赖的双边或者多边主体在特定载体提供的规则下交互,以此共同创造价值的商业组织形态。⑤尽管双边市场或者多边平台的商业组织形态早已存在,⑥但只有在互联网、移动宽带、智能手机、云计算等被广泛应用之后,多边平台的商业组织形态才展现出极强的间接网络外部性,⑦在较短时间内对传统商业组织形态进行“创新性毁灭”,因而受到前所未有的关注。⑧对海量个人信息进行自动收集、加工并经营相关数据产品,是网络平台经营者(以下简称“网络平台”)的主要商业模式及核心竞争力所在。⑨从某种意义上说,能够运用信息技术收集和分析海量个人信息的网络服务经营者都有发展平台业务的趋势,网络平台已成为市场中最重要的个人信息处理者。有研究指出,一些网络平台直到上市之后也没有严格执行个人信息处理的最小必要原则。⑩在实践中,执法机关、司法机关大多采取严格适用最小必要原则的立场,该原则中的最小化要求与网络平台实现其主要处理目的之间存在巨大张力。如何适用该原则才能妥善协调个人信息保护与数据有效利用之间的关系,才能良好兼顾信息主体的人格权益与网络平台的商业利益,是数字经济背景下的重要法律课题。

  

   我国学界对个人信息处理中的必要原则不乏探讨。有学者研究了告知同意原则与必要原则之间的关系,指出前者应当受到后者的制约;(11)有学者在目的限制原则之下阐释了处理活动与处理目的之间的直接相关性、个人信息处理最小化等内容;(12)也有学者主张在大数据时代应对最小必要原则的功能和地位进行反思;(13)还有学者主张在健康码运用中强化最小必要原则。(14)整体上看,学界关于该原则的专门研究较少,尤其是缺少关于该原则在平台实践中适用问题的系统研究。有鉴于此,揭示最小必要原则在平台处理个人信息实践中的适用现状和疑难问题,澄清其适用条件,探讨可能的缓和适用或者豁免适用方案,对于个人信息保护及平台责任的相关理论和实践富有意义。

  

   (一)最小必要原则在网络平台处理个人信息实践中的严格适用

  

   最小必要原则也称数据最小化原则、最少够用原则。在经济合作与发展组织(OECD)的《隐私保护和个人数据跨境流通指南》(1980年发布,2013年修正)中,(15)依据数据质量原则、目的限制原则和使用限制原则,处理个人信息应当局限在为实现特定目的所必需的范围内,这其实已经包含了最小必要原则的主要内容。欧盟2016年《通用数据保护条例》(16)第5条第1款第c项是关于数据最小化(data minimisation)原则的规定,其要求处理个人数据应当足够、相关,且限于数据处理目的所必需的范围,该款第e项规定个人数据的存储时间要严格限定在最小值。美国联邦贸易委员会一直将数据最小化作为公平信息实践中的一项原则,认为其有助于减少两方面的风险:一是数据越少,对数据窃取者的吸引力越小,故而有助于减少数据泄露的风险;二是数据越少,数据处理者利用数据实施违背消费者合理期待的行为时其行动能力越低,从而有助于减少消费者因此受损的风险。(17)在我国,个人信息保护法草案历次审议稿中均包含关于最小必要原则的规定,国家标准中也有关于该原则的具体规定。比如,按照《信息安全技术个人信息安全规范(GB/T 35273-2020)》第4条,最小必要原则要求“只处理满足个人信息主体授权同意的目的所需的最少个人信息类型和数量。目的达成后,应及时删除个人信息”。

  

   最小必要原则是国内外法律实践中被普遍接受的个人信息处理原则,其源自传统的比例原则。(18)以“最小”对“必要原则”的内涵进行限定,意味着该原则必定包含“负面影响最小”“最小侵害”等内容,而与学者提出的所谓包含“最大保护”内容的比例原则无关。(19)最小必要原则包括以下三方面内容(子原则):其一,相关性,又称适当性。个人信息处理应当与特定目的的实现具有相关性,能够有助于特定目的的实现。按照我国个人信息保护法第6条第1款,这种相关性必须是直接相关性,即实现处理目的与个人信息处理之间具有必然的、紧密的联系。比如,为履行在平台内订立的买卖合同,收集、存储、使用消费者的位置信息均属于有直接相关性的处理活动,不宜将具有直接相关性的个人信息处理界定为直接导致处理目的实现的个人信息处理,否则便会割裂个人信息收集、存储、使用、加工等各环节之间的内在联系。其二,最小化。个人信息处理应限制在为实现特定目的所必不可少的范围内,即离开某项个人信息的处理,就无法合理地通过其他手段实现目的。(20)对个人信息保护法第6条中“对个人权益影响最小的方式”“收集个人信息,应当限于实现处理目的的最小范围”进行解释,可以得出最小化原则的具体要求,包括最少数量、最少类型、最短存储时间、最小共享范围、最低处理频率等。其三,合比例性。从最小必要原则的渊源和比较法经验出发,可以推出合比例性这一子原则,即个人信息处理所带来的风险与特定目的实现所带来的利益相比须符合一定比例。在瑞典,一家学校因采用人脸识别技术记录学生的出勤情况而遭受处罚。执法机关认为该学校实施的个人数据处理行为虽然有助于实现记录目的,但不合比例(disproportioned to the goal)。(21)记录学生的出勤情况是一项特定目的,处理人脸信息等生物识别信息是手段,该手段固然有助于实现该目的,但并非是实现该目的所必不可少的;更重要的是,上述生物识别信息是敏感度高的个人信息,一旦泄露或者被不当利用便可能给信息主体带来巨大危险或者严重损害,故这类个人信息的处理所带来的风险与实现该特定目的所带来的利益(提升记录效率)相比显著不合比例,该处理行为不满足最小化、合比例性这两个子原则的要求。

  

   在我国,网络执法部门始终采取严格适用最小必要原则的立场。按照《App违法违规收集使用个人信息行为认定方法》(国信办秘字[2019]191号)第4条,只有实现具体业务功能需要,才能收集个人信息;不得仅以改善服务质量、提升用户体验或定向推送信息等为由强制要求用户同意收集个人信息。《常见类型移动互联网应用程序必要个人信息范围》(国信办秘字[2021]14号)对39类互联网应用程序之必要个人信息的范围作出规定,从消费者的视角出发对处理目的加以严格限制,将必要个人信息的范围限定为最小值。比如,网上购物类应用程序的基本功能服务被界定为“购买商品”,必要个人信息仅包括三方面内容:(1)注册用户移动电话号码;(2)收货人姓名或名称、地址、联系电话;(3)支付时间、支付金额、支付渠道等支付信息。又如,浏览器类、应用商店类应用程序等被认为无需个人信息即可使用基本功能服务。按照该文件的立场,大多数应用程序对用户的位置信息、通讯录信息、网上浏览记录等都没有必要收集。在司法实践中,有的法院也将个人信息处理目的严格限定为满足用户使用某项业务功能。在俞延彬与浙江天猫网络有限公司等网络侵权责任纠纷案(以下简称“俞延彬诉天猫公司侵权案”)中,(22)某大型购物平台经营者与某支付服务提供者共享了消费者的线下交易信息。法院认为,处理个人信息的“必要范围”是指该范围对于用户必不可少,而非仅为网络运营者运营之必要,“支付宝公司将线下门店交易信息传输给淘宝公司……以便线上线下门店实现线下门店引流等目的。该使用目的并非基于用户的‘必要’,而是基于网络公司的商业考量”。可见,法院认为基于所谓“引流”的商业目的共享线下交易信息超出了个人信息处理的必要范围,因为处理个人信息的目的应当是保障用户正常使用某项业务功能,这与前述执法实践中的立场颇为接近。

  

   与上述立场形成鲜明对比的是,实践中大多数应用程序尝试获取更多个人信息。(23)诚然,其中有的应用程序超出必要范围收集个人信息时缺乏明确、合理的目的,应予以制止。不过,如果处理个人信息的目的是为了促使消费者与平台内经营者在更大范围内订立合同,恐怕不宜完全否定该目的的明确性、合理性。如果将网络平台处理个人信息的目的仅认定为保障消费者使用某项具体业务功能,网络平台处理个人信息的范围可能被过度限缩,其商业利益可能得不到合理照顾,其既有商业模式可能难以为继。

  

   与俞延彬诉天猫公司侵权案有所不同的是,在凌某某诉北京微播视界科技有限公司隐私权、个人信息权益网络侵权责任纠纷案(以下简称“凌某某诉微播视界公司侵权案”)中,(24)法院认为:“就信息使用的目的而言,除满足或促进用户在抖音App中建立社交关系外,还具有一定的商业目的,但个人信息的合理使用并不必然排除出于商业目的的使用。”在黄某诉腾讯科技(深圳)有限公司等隐私权、个人信息权益网络侵权责任纠纷案(以下简称“黄某诉腾讯公司侵权案”)中,(25)法院也持类似立场:“腾讯公司对成功开发及运营微信所积累的用户关系数据,可以在其关联产品中予以合理利用……微信读书APP若要开展微信好友间的阅读社交,收集原告好友列表并不违反必要原则。”可见,该法院认为网络平台关于促使消费者在各关联企业开发的各类应用程序中尽可能多互动的目的具有商业上的合理性,从而更多顾及网络平台的商业利益。


(点击此处阅读下一页)

    进入专题: 个人信息保护     最小必要原则     网络平台     忠实义务  

本文责编:陈冬冬
发信站:爱思想(http://www.aisixiang.com),栏目:天益学术 > 法学 > 民商法学
本文链接:http://www.aisixiang.com/data/136377.html
文章来源:《法学研究》2021年第6期

0 推荐

在方框中输入电子邮件地址,多个邮件之间用半角逗号(,)分隔。

爱思想(aisixiang.com)网站为公益纯学术网站,旨在推动学术繁荣、塑造社会精神。
凡本网首发及经作者授权但非首发的所有作品,版权归作者本人所有。网络转载请注明作者、出处并保持完整,纸媒转载请经本网或作者本人书面授权。
凡本网注明“来源:XXX(非爱思想网)”的作品,均转载自其它媒体,转载目的在于分享信息、助推思想传播,并不代表本网赞同其观点和对其真实性负责。若作者或版权人不愿被使用,请来函指出,本网即予改正。
Powered by aisixiang.com Copyright © 2022 by aisixiang.com All Rights Reserved 爱思想 京ICP备12007865号-1 京公网安备11010602120014号.
工业和信息化部备案管理系统