【作者】武腾(中央财经大学法学院副教授,北大法律信息网签约作者)
关键词:个人信息保护;最小必要原则;网络平台;忠实义务;补充性的合同解释
目次一、最小必要原则与平台处理目的之间的张力二、最小必要原则与平台处理目的之间张力的缓解方案及其限度三、忠实义务的承担与最小化原则的豁免适用结语
一
最小必要原则与平台处理目的之间的张力
(一)最小必要原则在网络平台处理个人信息实践中的严格适用
与上述立场形成鲜明对比的是,实践中大多数应用程序尝试获取更多个人信息。诚然,其中有的应用程序超出必要范围收集个人信息时缺乏明确、合理的目的,应予以制止。不过,如果处理个人信息的目的是为了促使消费者与平台内经营者在更大范围内订立合同,恐怕不宜完全否定该目的的明确性、合理性。如果将网络平台处理个人信息的目的仅认定为保障消费者使用某项具体业务功能,网络平台处理个人信息的范围可能被过度限缩,其商业利益可能得不到合理照顾,其既有商业模式可能难以为继。
总之,在关于网络平台处理个人信息是否违反必要原则的执法、司法实践中,存在以下令人困惑的问题:一是,究竟应如何认定网络平台处理个人信息的目的,如果仅认定为保障用户使用某项业务功能,是否与其真实处理目的不相符;这种严格限制处理目的的适用方法会产生哪些不利影响。二是,假设严格限制处理目的的适用方法有不利影响,既有制度方案能否、在多大程度上可以应对。三是,最小必要原则的适用条件是什么,是否有豁免适用的方案;假设有此方案,其又能否有效平衡信息主体的人格权益与网络平台的商业利益。
(二)网络平台的服务性质与多层次处理目的
作为新型中间商,网络平台处理个人信息的目的至少可以分为三个层次:第一,促使平台内消费者尽可能多地进行平台内互动,从而产生更多个人信息。共享用户好友列表信息、拓展社交功能的主要目的便在于此。第二,对海量个人信息进行筛选、分析和加工,描绘出精准的用户画像。网络平台集团内部各企业之间及其与第三人之间共享个人信息的目的主要在于此。第三,为平台内用户提供精准的交易媒介服务,推动线上和线下交易量增加。为此,网络平台往往一方面向消费者提供针对其个性化特征的推荐,另一方面向平台内经营者提供各种数据产品,如淘宝公司诉安徽美景公司不正当竞争案中的“生意参谋”数据产品。
综上可见,网络平台三个层次的处理目的是由其服务内容和交易模式决定的,在多层次的目的背后,隐含着网络平台作为新型中间商的商业利益。实现购物、社交等基本业务功能,仅是网络平台第一层次目的的组成部分,这层目的是其表层的、次要的个人信息处理目的;描绘用户画像、提供精准的交易媒介服务才是其深层的、主要的个人信息处理目的。经由规定针对消费者个人特征的信息推送、商业营销,电子商务法、个人信息保护法已经在一定程度上承认了这种深层处理目的具有存在空间,虽然个性化商业营销受到限制,但立法者显然没有简单否定上述深层目的的明确性、合理性。执法、司法实践之所以未普遍承认上述深层目的,一方面是因为网络平台自身披露不充分、透明度不足,另一方面是因为这些目的不够特定,给最小必要原则的适用带来困难。从逻辑上说,个人信息处理目的越明确、越特定,最小必要原则的适用越有可行性;个人信息处理目的越模糊、越宽泛,最小必要原则的适用越困难。为严格适用该原则,特别是为清晰界定“最小范围”,执法机关、司法机关便不得不对网络平台处理个人信息的目的进行限缩。
(三)严格适用最小必要原则的不利影响
第一,如果严格适用最小必要原则,那么网络平台在不同媒介服务中所收集的个人信息原则上不得共享。这是因为,如果不将各类媒介服务中的个人信息处理相分隔并禁止共享,那么只要网络平台不断增加媒介服务的种类,就可以快速扩张个人信息处理范围,最小必要原则便会在很大程度上被规避。禁止共享个人信息的做法虽然有助于最大限度地预防个人信息法益遭受侵害,但会显著降低网络平台开展媒介业务的效率,损害网络平台的商业利益,也可能不利于消费者从媒介服务中获得更大便利。
第二,广义上的网络平台不仅提供交易媒介服务,还往往开展自营业务。媒介服务合同与买卖、运输等合同性质不同,网络平台在不同合同中处理个人信息的目的也不尽相同。若严格适用最小必要原则,就要求媒介服务中的个人信息处理与自营业务中的个人信息处理相分离且原则上禁止共享。如此一来,网络平台的自营业务竞争优势可能遭到显著削弱。
总之,实践中严格适用最小必要原则的做法有值得赞同之处,但其对网络平台的主要处理目的不予承认,却未必符合现行法的规定,并且导致了网络平台的处理行为大多违反最小必要原则的尴尬情况。
二
最小必要原则与平台处理目的之间张力的缓解方案及其限度
(一)个人信息自主控制制度对于缓解张力的局限性
1.人格权益不得任意处分
结合民法典第990条第2款来解释,个人信息法益应属于“其他人格权益”,不得被任意处分。即使信息主体自愿“同意”其个人信息被无限制地处理,法律也不认可这种意思表示的有效性。
自然人对个人信息的自主控制属于私法自治的范畴。私法自治的伦理内涵可追溯至康德理性哲学中的自由意志。支撑近代民法的伦理观念是,“人依其本质属性,有能力在给定的各种可能性的范围内,自主地和负责地决定他的存在和关系,为自己设定目标并对自己的行为加以限制”。人正因为是伦理学意义上的“人”,所以其本身具有一种价值,即人不能仅仅作为其他人达到目的的手段。进一步说,每一个人都有权要求其他任何人尊重其人格并且不侵害其生命、身体、健康和私人领域。近代民法各项基本制度都旨在维护人与人之间的互相尊重关系,保障人自主地、负责地自我发展。个人信息保护的主要目的是消除自然人在信息化世界中被他人操控的疑虑和恐慌,使其有自尊并受尊重地生存和生活。无论平台经济带来何种便利,都不能以损害信息主体的自主发展为代价。信息主体同意网络平台大范围处理个人信息的有效性以该意思表示符合伦理要求为前提。因此,超过伦理限度的“同意”即使出于个人自愿也不会被法律所保护。
同意的有效限度突出体现在特定敏感个人信息的处理上。我国《征信业管理条例》第14条第1款和第2款分别规定:“禁止征信机构采集个人的宗教信仰、基因、指纹、血型、疾病和病史信息以及法律、行政法规规定禁止采集的其他个人信息”;“征信机构不得采集个人的收入、存款、有价证券、商业保险、不动产的信息和纳税数额信息。但是,征信机构明确告知信息主体提供该信息可能产生的不利后果,并取得其书面同意的除外”。结合该条第2款来解释,该条第1款关于禁止处理特定个人信息的规定显然不能通过“告知同意”予以排除适用,其否定了信息主体自由同意的有效性。在我国台湾地区,原则上禁止处理有关病历、医疗、基因、性生活、健康检查及犯罪前科的个人资料;逾越特定目的之必要范围的,即使经当事人书面同意也不得处理上述个人资料。易言之,超出必要范围处理特定个人信息的行为被严格禁止,当事人的书面同意亦属无效。
在个人信息保护实践中,应当禁止基于商业目的超出最小范围对生物识别信息、反映宗教信仰的信息、反映种族等特定身份的信息、医疗健康信息、性生活或性取向信息等敏感度高的个人信息进行处理,信息主体即使同意亦属无效。对上述个人信息之外的敏感个人信息,如行踪轨迹、金融账户、交易信息、网上浏览记录,只有遵循个人信息保护法第29条和第30条所规定的严格的告知同意规则,才能基于商业目的超出最小范围予以处理;质言之,只有在清楚、详尽、单独告知信息主体处理行为对个人权益的影响(特别是不利后果)之后,信息主体仍自愿、明确作出单独同意时,才能基于商业目的超出最小范围处理上述个人信息。
2.意思表示普遍缺乏自由
个人信息自主控制制度之所以具有局限性,更重要的原因是,在信息主体与网络平台的关系中普遍存在意思表示缺乏自由的问题。
第一,由于网络隐私政策等格式合同条款的晦涩冗长以及个人信息处理的复杂性等原因,即使网络平台清楚、详尽地告知消费者个人信息处理的方式、范围、后果等,消费者也难以真正理解其中的内容;即使理解了字面含义,其也难以准确理解其深层内涵和可能给自身带来的影响。
第三,在大型网络平台提供服务的场合,即使每次告知都是清楚、详尽、单独的,且不以消费者的同意为提供基本服务的条件,消费者也无法真正自由地拒绝。原因是,大型网络平台已经成为消费者日常生活中依赖的对象,一方面不可合理期待消费者拒绝与之建立交易关系,另一方面不可合理期待消费者反复拒绝其处理请求,否则很可能给消费者的日常生活带来不便。
从理论上说,如果不断增加告知义务的强度,有可能促使信息主体实现真正的自主控制。照此方案,在超出最小范围处理个人信息时,个人信息处理者不仅要对消费者进行单独告知,还要对其无法理解的内容进行详细解释,将消费者作出理性认识和判断作为其有效同意的前提。该方案固然可以从根本上解决问题,但有明显局限性:其一,超出最小范围收集个人信息时,说明过程越长、内容越复杂,消费者越容易丧失耐心从而拒绝同意,处理便无法实现。其二,每个消费者的认识能力和判断能力有很大差异,有效同意的范围和内容也可能千差万别,若为此有针对性地设计个人信息处理方案,会产生很高的成本。可见,个人信息自主控制的强化方案面临现实障碍,难以借此消除意思表示普遍不自由的现象。
(二)匿名化制度对于缓解张力的局限性
为了对海量数据进行有效利用,还可以采用匿名化处理的方式来实现数据利用与个人信息保护之间的平衡。但是,匿名化制度对于缓解最小必要原则与平台处理目的之间的张力只有很有限的作用,其主要原因有二:其一,匿名化处理后,最小必要原则的排除适用仍是相对的;其二,匿名化处理与网络平台的主要处理目的之间有难以调和的矛盾。
在进行严格的匿名化处理之后,最小必要原则便被排除适用,但是实践中的匿名化处理无法消除“去匿名化”(deanonymization)的风险,故仍可能受到最小必要原则的制约。依据民法典第1038条第1款和个人信息保护法第73条第4项,匿名化处理后的信息是无法识别特定自然人且不能复原的信息。据此,匿名化处理后的信息不属于个人信息,一经记录,便是可以开发利用的数据。数据安全法第32条第1款规定,任何组织、个人收集数据,应当采取合法、正当的方式。可见,数据收集在一般层面不再遵循必要原则。不过,匿名化处理主要是将个人信息中可能关联到特定自然人的信息予以删除、替换或者采取其他技术处理措施,其只是在特定时空的合理条件下不可复原,而非在任何条件下都不可重新关联到特定自然人。实践证明,在匿名化处理后的信息基础上,往往只要添加一些“外部信息”(outsideinformation),就会带来去匿名化的结果。在今天,除非信息主体在网络世界中完全沉默,否则很容易留下暴露自身身份的所谓外部信息。去匿名化的风险越高,越有必要适用最小必要原则,以降低个人权益遭受侵害的风险。因此,匿名化处理后,最小必要原则的排除适用仍是相对的。
更重要的是,个人信息中被删除或替换的内容越多,处理后的信息越缺乏经济价值、科研价值,严格的匿名化处理可能导致网络平台无法实现其主要处理目的。举例来说,匿名化处理通常禁止处理者再识别个人信息,对于网络平台而言,这实际上要求其建立严格的数据隔离机制。但是,网络平台所采取的主要处理措施恰恰是进行个人信息共享,因为只有大范围共享个人信息,才能描绘精准的用户画像,才能提供精准媒介服务。匿名化处理后的信息不再关联到特定个人,也不再具有个体分析价值,而提供精准媒介服务是以消费者的个性化需求为基础对商品或服务进行推荐,两者之间显然存在难以调和的矛盾。
总之,个人信息自主控制制度虽然能够为网络平台超出最小范围处理个人信息提供合法性基础,但存在明显的局限性。匿名化制度本质上是采取技术措施贯彻个人信息处理最小化的要求,其与网络平台实现主要处理目的之间的矛盾十分突出。就缓解最小必要原则与平台处理目的之间的张力而言,恐怕难以依靠上述制度。
三
忠实义务的承担与最小化原则的豁免适用
(一)最小必要原则适用的前提条件
上述前提条件背后的逻辑是,如果个人信息处理者难以将信息主体的利益置于首位,而可能基于公共利益或者私人利益损害或者牺牲信息主体的利益,即使这种损害或者牺牲有其合法基础以及正当目的,也必须将损害或者牺牲的范围限制在最小范围内。反之,如果个人信息处理者在处理个人信息时始终将信息主体的利益置于首位,其便会尽可能避免信息主体的利益遭受损害或者牺牲,最小必要原则的适用便不再必要。由此推断,只要网络平台在处理个人信息时始终将信息主体的利益置于优先地位,最小必要原则的适用便缺乏前提条件。网络平台是否“实际上”将信息主体的利益置于优先地位,是一个事实问题;网络平台是否“应当”将信息主体的利益置于优先地位,是一个规范性问题。前一问题决定了最小必要原则的适用条件是否满足,后一问题决定了对网络平台豁免适用最小必要原则的结果是否值得追求,其对应的法律问题是,网络平台是否负有为信息主体的最佳利益而行动的义务——忠实义务。对后一问题需要从更宏观、更全面的视角进行探讨,只有基于更深层次的理由和更确切的依据,才能认定网络平台负有忠实义务。
(二)网络平台承担忠实义务的依据
现行法中有一些包含忠实义务要求的强制性规定。比如,根据电子商务法第38条,网络平台必须履行保护义务,其一方面应在线上实质性审核平台内经营者的资质资格,有针对性地核查商品或服务是否存在缺陷,另一方面应在辅助合同线下履行时提供精准保护,开发和应用具有安全警示、危机应对等功能的应用程序,以保障有特殊需求的消费者群体的人身安全。承担上述保护义务,意味着网络平台必须将信息主体的生命、健康等人身权益置于首位,优先于平台内经营者或者网络平台的财产权益。这种保护义务本质上是附随型忠实义务。
第二,网络平台之所以对信息主体负有忠实义务,归根结底是从网络平台与消费者之间的合同中补充解释出来的。网络平台基于提供精准媒介服务的目的处理个人信息时,其表示出来的处理目的是“改善服务质量、提升用户体验”,消费者之所以同意,也是基于此目的。但是,对于如何改善服务质量、提升消费者体验,当事人并未明确约定。在这种情况下,与其简单地否定该目的的合理性,不如基于诚实信用原则通过补充性的合同解释方法来确定其合理内容。在补充性的合同解释中,具有决定性意义的不是具体当事人实际上是否同意,而是合同的整体意义脉络、双方当事人的合同目的以及“任何当事人在此环境中都能视作符合公正的利益平衡状态”,补充性的合同解释所追求的乃是“契约的正义”。在基于提供精准媒介服务的目的处理个人信息的关系中,只有补充“为信息主体的最佳利益而行动的义务”,才能达致对任何当事人都可视作公正的利益平衡状态,网络平台如此实施的行为才是任何当事人在真正自愿状态下都会同意接受的行为。
什么是对任何当事人都可视作公正的利益平衡状态?从多边平台的不对称价格结构出发,只能推导出网络平台应当为各方用户的利益而行动,无法推导出网络平台应当将消费者的利益置于更优先的地位。多边平台的商业组织形态决定了其内部存在利益诉求不同的各类主体,平台内消费者希望获得质优价廉的商品或服务,平台内经营者购买数据产品则是为了获得更多的交易机会,网络平台必须平衡这些不同的利益。网络平台之所以应当将消费者的利益置于更优先的地位,是因为消费者向网络平台提供了平台商业模式中最重要的资源——大量个人信息。尽管记录个人信息的数据是否可以定性为商品仍有分歧,但不可否认其具有商业利用价值。离开了大量个人数据,网络平台便丧失了最重要的生产要素。正因为消费者为网络平台提供了如此重要的资源,所以在网络平台以大范围处理个人信息为其盈利模式的基础时,必须将提供该资源的主体的利益置于更优先地位,才符合公平交易的要求,才能达致对任何当事人来说都公正的利益平衡状态。
综上,网络平台之所以应当承担给付型忠实义务,并非源自法律的强制性规定,通常也不是源自当事人的明确约定,而是源自对当事人之间合同的补充性解释。如果当事人作出明确排除给付型忠实义务的有效约定,网络平台便不必承担该义务。不过需要强调的是,只要不为消费者的最佳利益行动,网络平台基于提供精准媒介服务的目的而处理个人信息的,便可能为维护其他利益而损害消费者的利益,其处理行为便只能归类为利益减损型处理行为,必须受到最小化原则的约束。
(三)给付型忠实义务的内容与最小化原则的豁免适用
结语
在私人关系中,最小必要原则适用的前提是,个人信息处理者与消费者之间的关系具有不平等性、非自愿性,且个人信息处理行为是利益减损型行为。如果网络平台实际上始终为增进信息主体的利益而行动,最小必要原则的适用便缺乏前提条件。对于提供精准媒介服务的网络平台来说,与其简单地否定其主要处理目的的明确性、合理性,不如基于诚实信用原则通过补充性的合同解释方法来确定其合理内容,即网络平台负有给付型忠实义务。网络平台可以以接受外部中立机构的监督和评价为附加条件,申请豁免适用最小化原则。网络平台承担该忠实义务并不会降低个人信息保护的标准,因为保障信息主体的知情权和自主控制权能以及避免处理敏感度高的个人信息都是该义务的题中应有之义。给付型忠实义务的独特意义在于,引导网络平台履行“按质推荐义务”,并允许其基于提供精准媒介服务的目的在合理的必要范围内处理非敏感的个人信息和敏感度低的个人信息。
-向上滑动,查看完整目录-
《法学研究》2021年第6期目录
【马克思主义法学专论】
1.法律事实理论视角下的实质性宪法解释
莫纪宏(3)
2.党内法规体系的形成与完善
孟涛(19)
3.基本权利冲突及其解决思路
王锴(36)
4.基本行政法典的确立、定位与架构
杨伟东(53)
5.最小必要原则在平台处理个人信息实践中的适用
武腾(71)
6.保险法安全维护义务的体系定位与规则重塑
马宁(90)
7.量刑自由裁量权的边界:集体经验、个体决策与偏差识别
吴雨豪(109)
8.论区块链证据
刘品新(130)
【2021年《法学研究》论坛专题】
9.全球知识产权治理博弈的深层话语构造:中国范式和中国路径
邵科(149)
10.人工智能时代著作权合理使用制度的重塑
林秀芹(170)
11.注册商标使用中的“未改变显著特征”
付继存(186)
2022年《法学研究》论坛征稿启事
(207)
《法学研究》第四十三卷(2021年)总目录
(208)
《法学研究》为中国社会科学院主管、法学研究所主办的法律学术双月刊。本刊坚持学术性、理论性的办刊宗旨,着重于探讨中国法治建设进程中的重大理论和实践问题,致力于反映我国法学研究的最新成果和最高学术水平。本刊曾获中国社会科学院优秀期刊、全国百强社科期刊、中国政府出版奖提名奖、法学类顶级期刊等荣誉称号。