2021年8月20日,十三届全国人大常委会第三十次会议正式通过《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)。该法以其宽泛的适用范围和具体的规则设计,弥补了我国先前关于信息与数据相关立法的不完善之处,构建了个人信息处理的一般性原则,并在此基础上对不同类型的个人信息处理者予以不同程度的区分规制。一方面,在现实需求上,除了企业等私主体之外,国家机关大规模处理个人信息的行为对于政府治理行为有其必要性。另一方面,作为新兴权益,个人信息不仅涉及私人权益,更涉及公共利益以及国家利益,对其进行保护和处理的规则依然存在补充与讨论空间。而国家作为公权力机关,对于个人权益的限制甚至克减相对一般个人信息处理者理应更加慎重。因此,本文试图以解释论视角,结合《个人信息保护法》相关规定对国家机关处理个人信息行为的正当性标准予以讨论。
一、问题的提出
对于国家机关与非国家机关处理个人信息活动的立法模式,我国《个人信息保护法》采统一立法模式,即界定数据的控制者与处理者时,并不专门区分国家机关与私主体,而是对其个人信息处理行为予以统一规范。在《个人信息保护法》第一章确立合法、正当、必要、目的限制、安全、质量等处理行为的基本原则的基础上,于第二章第一节为个人信息处理行为设置一般性规定,并专设第三节为国家机关处理个人信息设置特殊规范,对国家作为个人信息处理主体的情形予以特别规范。在统一立法模式的前提下,对于国家机关处理个人信息行为予以特殊规范,具有一定程度上的合理性。个人信息作为合法权益,在相对应的义务人之中,各类私主体与国家公权力机关所需承担的义务并不相同。国家机关由于“法定职权性、公共性、广泛性、持续性、垄断性、强制性”
根据《个人信息保护法》第5条、第6条与第34条等规范不难看出,国家机关作为个人信息的处理者,除了应当保证严格遵循法律规定之外,还应在目的上具备合理性,以及处理行为的手段明确、合理、必要,即在目的与手段行为上皆应具备正当性。因此,下文将从应然角度探讨国家机关处理个人信息行为的正当性依据。
二、国家机关处理个人信息行为目的正当性的判断
个人信息作为《民法典》规范的自然人人格权益。对其进行处理的活动,将对于私主体人格利益产生影响甚至侵害。因此个人信息处理行为,首先应具备充分合理的理由,否则该处理行为则属不法行为。有学者将我国《个人信息保护法》中的处理行为的合法依据划分为两大类,即基于同意的处理和基于法定许可的处理。
(一)个人信息所涉私人利益与公共利益
1. 私人利益与公共利益的统一性
传统理论多强调公共利益与私人利益乃对立关系,但随着研究不断深入,越来越多的学者认识到公共利益与私人利益一致性的一面。这种一致性体现在三个方面:一是某些私人利益本身就是公共利益,或者能够构成公共利益,如自然人的生命健康与重大财产利益等。二是公共利益需要由私人利益的推进来予以实现。其中一方面是因为,很多场景下,个人会通过完成其私人利益的需求,间接性地推动公共利益和社会福祉的增长,例如市场经济下私人贸易与整个社会经济水平的进步;另一方面,并非所有人都符合经济学中关于“经济人”的假设,社会实践经验告诉我们,许多个体会放弃自身利益最大化原则而利他地作出决策。三是政府在谋求某些类型公共利益的同时,也在增加私人利益,例如政府出资修路、开办学校和医院等行为。
2. 个人信息所涉公共利益是着眼于社会福祉的不可分利益
如前所述,个人信息所涉及的公共利益和私人利益在某种意义上具有统一性。换言之,在个人信息所涉公共利益问题上或可结合个人信息本身对该范畴进行界定。
(1)个人信息所涉公共利益是不指向个体的不可分利益
对于个人信息所涉及的公共利益,可根据实践中的具体表现,轻易列举出许多实例,然而始终很难对其进行进一步的范围界定,更不可能以列举方式明确表述出“公共利益”的概念外延。因此,可尝试通过具体的实例,来抽象出个人信息所涉公共利益的基本特征。例如,某市政府对本市人口的姓名、性别、出生日期、住址、受教育程度等信息进行收集,在经过大量数据处理和分析之后形成该市人口信息。此时的人口信息包括全市人口数量、住址分布、年龄结构、性别比例、所在行业等具体内容。此时形成的全市人口数据,在事实层面确是在该市每一个自然人的个人信息的基础上形成的。但一方面,该人口数据绝非简单的个人信息叠加,而是信息处理者投入大量成本,通过一系列复杂处理行为得出的结果;另一方面,国家或政府掌握该人口数据的利益诉求在于完成政府管理和公共事务。那么,该人口信息可能承载公共利益。换言之,如果个人信息作为私人权益时的判断标准在于“与自然人相关联”,那么,当其构成公共利益时,应当达到“行为不指向个体”且“结果利益不可分”的标准。
(2)个人信息利益所涉公共利益应着眼于社会福祉
仅达到着眼于非特定人和不可分的利益,也并不一定是合法的公共利益。不可分事物成为法律上的公共利益,还意味着其拥有某种规范性地位。换言之,所谓公共利益,不仅在形式上不可分,也应当于价值判断层面体现出规范性的特征。
综上,对于个人信息所涉公共利益的界定应考量信息所承载的利益是否可分,并以该信息是否能带来更多社会福祉为规范性标准进行判断,而这是一种相对更全面并可以尽可能排除主观性的标准。
(二)平衡个人信息所涉私人利益与公共利益的冲突
如何平衡私人利益与公共利益的冲突的视角,传统法学研究有过不同的观点。第一类观点认为,公共利益在个人利益面前应当更加优先。在自由的市场规则下,个人利益的被满足,并不意味着社会利益也被满足;而社会的总体利益很难通过市场主体自身的行为来满足。因此应当有超越一般市场主体的“裁决者”来识别和确定社会利益。
在作者看来,前两类思路难免失之偏颇。首先,如前所述,既然承认合法的个人利益来自个人作为道德主体的地位,就等同于承认个人利益在公共议题之中所拥有的独特规范力。那么,在讨论公共利益和个人利益的关系时,真正需要警惕的现象并非权利是否泛化,而是诸如国家公权力的强制干涉或“多数人暴政”的情形是否会对于个人道德主体地位太过轻易地否定。此外,作为致力于追求“共同善”的社会合作事业,
(三)国家机关处理个人信息行为目的正当的具体判断
公共利益与私人利益皆非绝对,因此,具体场景中应保证私人利益相对优先性,在此基础上对二者进行具体的利益衡量。这一观点来自德国法学家罗伯特·阿列克西(Robert Alexy)。他认为,首先,私人利益仅拥有初步优先性,即私人利益与公共利益冲突时,并非完全不可被排除或妨害;其次,此时公共利益一方或国家机关,需对该妨害私人利益行为的正当性予以充分重视。倘若在特定的场景或者语境下,有更强有力的理由证实应当首先支持私人利益而非公共利益;或者存在其他更加有效的方式,足以同时保全公共利益与私人利益,那么此时,对私人利益的限制就是不正当的。
三、国家机关处理个人信息手段正当性的考量
依据《个人信息保护法》规定,国家机关处理个人信息须具有法律、行政法规的明确授权。为履行法定职责或法定义务所必需的处理行为,除部分特殊行为之外,可仅向个人进行告知而无须取得其同意。笔者认为,国家机关越过合意而处理个人信息的场景应被严格限制,至少在公共利益的前提下,还应符合职权法定、程序正当,以及不超出合理限度的要求。是否每一项法定职权的要求,都只能借由自然人的个人信息得以实现?换言之,判断国家机关处理个人信息行为的正当性,除审视行为目标是否为公益,还应考量该行为的手段正当性。而此时“以公共利益为目标”,是作为衡量处理行为手段正当的标尺而存在的。尽管《个人信息保护法》第二章对此进行了规定,但在应对具体情况时依然显得笼统。因此,在具体规则不明确的前提下,可考虑以法律原则进行补正。
事实上,对于私权益之间的权衡,日本民法学者曾提出“利益平衡”原则作为方法论,在私权益冲突时予以决断。他们认为:法律要达到的目标,一是优先满足最重要的和需要优先考虑的利益,二是使其他的利益最少程度地牺牲。这一原则作为方法论的优势在于,作出利益衡量与价值判断的方式并非绝对而抽象的准则,而是在现实环境中去考量哪一项利益被保护的价值更大,以及怎样能保证另一项利益只限于最小限度的牺牲或减损。而这种方法论在公法领域,则体现为比例原则。《个人信息保护法》对于国家机关处理个人信息的要求,是“具有明确、合理目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式”。有学者认为,该条明确了处理个人信息的基本原则,即目的性原则、必要性原则以及“最小范围原则”,并指出,“其实际是比例原则在个人信息保护方面的扩大化运用”。
(一)以比例原则作为手段正当性判断标准的依据
1. 比例原则的适用范围及适用局限
比例原则在法治实践中源自德国19世纪初的警察法制,在产生初期,它的适用范围被严格界定于判断何种情形下警察可以行使行政权力限制人民权利,
关于比例原则的局限性的讨论,主要观点集中于以下三点。一是对比例原则在不同领域不当扩张的警惕。在我国比例原则作为一种应对利益冲突的理论分析工具,被部分学者倡导广泛应用到不同的部门法当中。
2. 比例原则足以成为手段正当性判断标准
本文认为,至少在处理本文所探讨的问题时,前述三项理由皆不足以放弃比例原则的适用。首先,事实上目前比例原则最为“正统的属地”是在于宪法领域与行政法领域。
其次,相对比例原则适用范围上的瑕疵,更值得注意的是由于比例原则不甚精确而导致的适用问题。不得不承认前述问题确实存在于具体的法律适用之中。但是,比例原则作为法律原则,其存在的意义之一就在于虽未设任何特定的事实状态,但可以在规则缺位时予以更为宏观的指引。
最后,以经济学中的成本收益分析法完全替代比例原则是非必要且不可行的。诚然,传统比例原则在衡量目的与手段是否合乎比例时,难免忽略社会治理成本。但多数语境下,当论及比例原则时,实际上想要讨论的是何以控制公权力,保障私人权益。换言之,此时对国家机关行为正当性的分析,其逻辑上的出发点和目标皆是保障人权,而非提高效率。成本收益分析更多体现出一种工具理性,考量了国家治理手段行为的成本,且以社会总福祉的提高作为目标。这在国家机关公权力行使方式的选择过程中当然值得被考虑,在社会治理与经济学分析层面也无可厚非,但是与本文所涉及的个人信息权益保护中所追求的价值并不相符,
但是,这也并不意味着成本收益分析法对于本文所讨论的问题并无任何助益。一方面,无论是传统法经济学中的成本收益分析,还是狭义比例原则,都需要对手段行为以及可能产生的不利后果(成本)与所达成目的(收益)进行比对和衡量,而这就需要对于不同利益和价值予以一定程度的量化。但主观情感性的价值与利益,很难被量化成经济学公式中的某一个定量,因此可考虑辅之以法经济学中的定量测序的方法进行综合考量。
(二)国家机关处理个人信息手段正当性的具体判断
1. 比例原则的判断前提应严格限定于具体目标
如果说目的合理的标准,是处理个人信息的行为是出于公共利益的考量,那么手段合理性所需要判断的就是:该具体处理行为,是不是能够达成前述目的、除此之外是否还存在更优解,以及该手段是否能保证对私人权益造成最小限度的减损等。判断手段合理的前提是行为目的的确定和精准。因此,当讨论到国家机关处理个人信息行为的手段是否合理时,不应再将处理个人信息的目的泛泛定义为“公共利益”,而应该是一个或者多个精确的目的,且这一目的本身应具有合宪性。
2. 将社会治理成本纳入考量范围并赋予不同权重
传统比例原则中,均衡性原则的目标是实现帕累托最优(Pareto Optimality)。假设社会成员的数量是固定的,而整个社会可被分配的资源也是固定的。此时,从一种分配状态到另一种状态的变化中,在没有使任何人境况变坏的前提下,应当使得至少一个人变得更好。这种状态自然非常理想化,但它的适用是不计入政府权力运行成本的。但是社会治理与资源分配不可能在一个没有成本的真空状态中完成。国家机关如果想要合理地收集、储存、使用自然人的个人信息,势必要投入大量的时间、人力以及资金作为成本。尽管社会治理成本并不会对某一个信息主体直接造成太多影响,但也应当在选择手段时被考量。因此传统比例原则在考量一项手段是否符合必要性和合比例性原则时,仅将不同手段减损的私人利益和行为达成的目的纳入考量难免失之偏颇。相较而言,更加合理的方式是除了使用个人信息所带来的净收益与净成本之外,还应考量为达成这一手段行为所需要付出的社会治理成本。但社会治理成本也只是考量因素,而非决定性因素,应在具体情境下赋予不同要素以不同程度权重。
3. 引入定序变量法则对不同价值全盘考量
必要性原则与合比例原则的考量,都需要同时分析公共利益增进的程度与私人利益减损的程度,即在个人信息的合理利用所获益和对信息主体造成的权益侵害或者侵害之风险之间进行权衡。此时可引入成本收益分析法中的定序变量法则,对于法律和公共政策所涉及相关价值予以衡量。即“在规范价值理论指导下,对法律与政策所涉及的相关价值予以区间化的按照成本收益分析的基本原理进行通盘权衡”。
四、保障国家机关处理个人信息行为正当性的具体举措
(一)区分事前决策和事后评价
对于国家机关行为正当性的判断不应仅体现为事后审查,而应体现于事前决策论证、事后审查这两个阶段。由于这两个阶段的判断主体和目的不同,应当有针对性地予以区分。在事前决策时作出正当性判断的是立法者或行政机关,需要对目的与手段正当予以判断和综合考量的过程应当在这一步完成。如果在事后审查阶段,法院依然需要考察行为或决策的目的,并结合比例原则对每一个行为都进行具体的手段与目的衡量,其要耗费的时间成本是难以估量的。最理想的状态是在决策阶段完成对该决策或行为正当性的论证与备案;事后审查阶段法官仅需根据三段论进行内部证成即可。而为了达成这一目标,不仅应完善“大前提”的布局,即完善相关领域立法,还应降低法官在“小前提”即事实判断上的认定难度。
(二)细化个人信息处理行为正当性标准
首先,应要求国家机关在处理个人信息之前,对其目的进行充分论证。事实上,《个人信息保护法》中关于个人信息处理者告知义务的规定非常明确,而国家机关和私主体作为个人信息处理者时相比的特殊之处在于,除法律特殊规定的情形之外,国家机关还应在法定职权范围内,以维护公共利益为目标作出决策。换言之,国家机关的告知义务,除了和其他个人信息处理主体相同的部分之外,还应就其行为目的为何种公共利益进行告知。而且,此时行为目的不能被泛泛而谈,如“为促进社会经济的发展”之类,而应当是具有保护必要的、具体的、符合法律规定的公共利益。因此,可要求国家机关作为个人信息处理者,对其处理行为的目标进行充分论证,并予以备案。一方面保障信息主体的知情权,加强国家机关作出决策的科学性;另一方面降低对该行为或决策进行审查的难度。
其次,可尝试设置清单以规范国家机关在不同场景下对个人信息的处理权限与手段。一方面,根据《个人信息保护法》第4条对个人信息处理行为作出的界定,不难看出对个人信息进行处理并非几个简单的行为,而是一个需要场景化讨论的问题。在不同情境下,针对不同目的时,具体处理行为也并不相同,甚至可能是几种行为的叠加。甚至,在信息时代的社会实践中,个人信息与相关数据的具体利用方式还可能呈现更为多元和复杂的趋势,因此,《个人信息保护法》对其界定本身也具有一定弹性。另一方面,在国家处理个人信息时,处理手段应当与其所需达成的目标直接相关。如果在每一次决策或审查时都需要对手段与目的的匹配性予以重新认定,无异于提高论证和审查的成本。况且,在许多特殊场景,例如紧急情况下,对国家机关作出决策有着较高的效率要求。此时大篇幅、有条理地对处理个人信息行为是否正当进行论证甚至是讨论,也是不太现实的。此外,至少在现阶段,个人信息处理行为虽然复杂,但至少是可以进行类型化并予以归纳的。因此,可考虑结合细化目标与手段行为的类目,在目前可以达成的范围内,明确具体目的的实现需要何种行为,提高决策的精确度与公开性。
五、结语
与此前我国相关立法规范不同,《个人信息保护法》对于“个人信息”的界定标准进行了改进,从是否“可识别”变更至是否与“可识别的自然人”相关。
来源:中国法律评论. 2021,42(06)