已经施行的《个人信息保护法》确立了“公私并立”的体例,不仅在总则第11条明确“国家建立健全个人信息保护制度,预防和惩治侵害个人信息权益的行为”,更在第二章第三节单列“国家机关处理个人信息的特别规定”。个人信息的私法保护侧重防御作为私主体的数据处理者对于个人信息的不当收集和违法使用,而公法保护所指向的则是国家公权机关。其目的一方面是为了防止现代国家借由对个人信息的过度收集和不当使用而削减个人的自治能力;另一方面同样对国家施加了在个人信息权面对第三人侵害时,积极介入和有效监管的义务。
在上述数据处理原则中,告知同意无疑居于核心位置。我国《个人信息保护法》第13条在规范模式上与欧盟《一般数据保护条例》(General Data Protection Regulation)第6条类似,规定信息处理者处理个人信息的首要合法要件就是“取得个人的同意”。但与对私主体的要求不同,从《个人信息保护法》的规定来看,对于公权力机关而言,告知同意尽管重要,但却并非是权衡其信息处理合法与不法的唯一甚至是核心基准。在很大程度上,这一原则与合法正当、目的明确与限制以及比例原则等互相嵌套关联,在公法中共同发挥调控信息控制与信息流动的规范效果。也因此,以《个人信息保护法》为基础,通过教义解释和规范研究,对告知同意原则在政府履职行为中的适用与限制予以讨论,不仅能够进一步挖掘这一原则在提升个人自决能力、防堵现代国家滑向“监控国家”的伦理价值,也可以通过比对和归纳这一原则在公私法中的适用差异,为现有研究提供公法视角的补充。
一 个人信息权的公法定位
在论及告知同意原则时,不可避免会涉及作为其伦理基础的个人信息自决权。但也是在此问题上,学界至今都存在巨大分歧。个人信息是否属于权利的争论,最初主要集中于私法领域。个人信息保护可否予以私权化处理的争议尚未平息,受德国法和欧盟法的影响,有意见认为,仅将个人信息权定义为私权,会隔绝个人信息的公法保护,不利于防堵国家对个人信息的过度收集和不当干预;因此,个人信息权不应仅被定位于私权,而应将其上升为同样作用于国家的基本权利,个人信息自决权的概念也由此产生。
(一)从私权保护到基本权保护
个人信息权与个人信息自决权的纷争导致《个人信息保护法》在最终颁行时,对于个人信息权的属性规定仍然模糊:该法在第1条承认其制定目的在于“保护个人信息权益”,第四章却以“个人在个人信息处理活动中的权利”作为标题。如此处理,一方面并未彻底澄清个人信息究竟属于“权利”还是“利益”;另一方面在权利前加入“个人在个人信息处理中的”这一前缀,似乎也预示着个人信息权尽管表现为“权利束”,但相关权利却非个人所独断专有,而是国家为同时实现“规范个人信息处理活动”“促进个人信息合理利用”等其他目的,仅在信息处理过程中赋予个人的有限权能。个人信息权究竟应作何理解,如何定位才能有效调控信息保护和信息利用这一矛盾,并同时覆盖私法保护与公法保护,仍需返回相关讨论中再行探究。
在个人信息之上同时附着人格尊严、商业价值、公共管理等多重价值,欲对其进行有效保护,除依赖国家的监管体系外,一种重要的方式就是对其予以赋权处理。按照私权保护逻辑,通常认为应将个人信息确认为可供个人支配处置的权利客体,以在制度上确保个人对数据的产生、存储、转移和使用进行符合自己意志的控制。也因此,无论选择财产权还是隐私权的具体路径,私权处理模式中都包裹了法学者为个人控制其信息寻获正当基础的用心。但财产权和隐私权的处理模式又都引发广泛批评,除因数据的动态性、场景性所导致的边界划分和内容确定困难外,上述两种方式都因为赋予了个人过高的排他性控制权而无法因应数据时代下数据流通和利用的需要,其对信息交流的阻滞以及保护的低效,甚至使“个人信息私有化”的正当性都受到学者质疑。
将个人信息权作为基本权利的明确表达来自于德国法。德国联邦宪法法院在“第二次人口普查案”中,从《基本法》(Grundgesetz)的一般人格权条款出发,导出了“个人信息自决权”(Recht auf informationelle Selbstbestimmung)的概念,认为其为个人基于自由的自主决定(freiwillige Selbstbestimmung),“以自行决定何时并在何种限度内披露其个人生活事实”。与私权的立意不同,上升为基本权利的个人信息自决权首先针对的是国家。又因为联邦宪法法院推导此项基本权利时,是以宪法中的一般人格权条款为依据,个人信息自决也因此被认为是人格权保护的延伸。基本权利的保护路径使个人信息保护的意涵直指人性尊严(Menschenwürde)的两个面向:人的主体性(Der Mensch ist Subjekt)
(二)权利模式及个人信息自决权的误解澄清
但“个人信息自决权”的提法也并非没有争议。一种代表性的认识是,将个人信息权上升为基本权利,将其确定为针对包括国家和私人在内的广泛的自决权,反而会干扰个人信息的私法保护。其理由是:个人信息自决权只能被局限于公法领域,将其直接承认为一项广泛的信息自决权,既非“人口普查案”的判决本意,也非“个人信息自决权”概念本身所能承载。因为无差异地将个人信息自决权扩张至包括私人主体在内的信息收集和处理行为,必然会限制私人的行为自由,并最终导向“信息禁止”的可怕境地。
吊诡的是,另一种反对个人信息自决权的意见是将其作为私权来认识,认为其仍旧是民法人格权的延伸,代表了信息保护从财产权、隐私权至人格权的保护思路转变。在被作为私权后,个人信息自决权中的个人决定性以及权利排他性被再次放大,而此前有关私权处理与个人信息的公共性、分享性和场景性的冲突抵牾,又被重新引述并作为反对个人信息自决权的理由。
个人信息保护是否能够被赋权处理的问题其实已被广泛论证。私法学者提出的诸多反驳理由,诸如无形财产本身也可成为权利的客体,立法者赋予个人对数据的专属权利,并不会导致“人格权的去客体化”;
在明晰了赋权模式与个人信息权的复杂属性之间并不存在难以克服的矛盾后,需要回应的就是个人信息自决权究竟属于基本权利还是私权的争议。但这种争议的本质又是将公法权利和私法权利对立起来,极端的意见甚至认为二者是择一的关系,前文引述的公权定位会影响私权保护的结论反映的就是这种观念。
以人格权为例,宪法人格权和民法人格权强调的都是人的主体性免受他人(包括国家)侵蚀贬损的价值和伦理。二者区别的只是法权结构和请求权对象:基本权利作为公法权利(?ffentliches subjektives Recht),其针对的是国家;而私权指向的只是个人。这种区分就像公私法本身的区分一样,只是基于个人的个体生活和集体生活二分的事实,其目标仍具有一致性。因为保护法益具有同质性,也就不会存在很多私法学者所担心的,将宪法上的人格权适用于私法领域会伤及私人自治、且彻底篡改基本权利属性的问题。
再回至个人信息自决权。既然对个人信息予以赋权保护并无问题,那么将其确认为宪法上的基本权利,与个人信息自决权同时作为私权就不存在本质冲突。因为即使是私法上的个人信息权,也不能仅被理解为对“隐私、名誉和财产受损”的防御,
(三)个人信息自决权作为告知同意的伦理基础
个人信息自决权源于宪法“个人自治”的传统认知,也是个体“实现新型精神自由(信息自由)的基本路径”。
二 告知同意在政府履职行为中的适用限缩
尽管告知同意的目的是赋予个人对于自身数据的控制权,以应对国家和私人对个人数据人格的贬损,但对告知同意的质疑却从未停止过,主要是针对其有效性。告知同意要求信息控制者在进行信息处理前向信息主体告知必要的信息,以供其在风险评估后自由作出同意与否的决定。而现实却是,因为信息控制者与信息主体之间巨大的权力势差,在很多时候,信息主体都只能面临要么屈服信息控制者以交出个人信息,要么无法接受任何服务的两难选择。此外,个人对同意后果的认知能力也同样有限,数据应用场景的增多以及数据处理技术的发展,使信息主体几乎难以对信息收集和使用的后果和风险进行合理预测,并基于理性判断作出正确的决定。
但是,上述批评并未彻底动摇告知同意在个人信息保护法中的基础性地位;在我国《个人信息保护法》中,告知同意规则也仍然居于较为核心的地位。不过,因为政府进行数据处理时,在保护个人信息权时需同时保护公益,告知同意原则在公法中的适用与私法存在明显不同。下文将从《个人信息保护法》有关告知同意的规范出发,描摹这一原则在个人信息保护法中的体系定位和具体展开,并以此为背景分析其在政府履职行为中的适用限缩。
(一)告知同意在《个人信息保护法》中的具体展开
传统的告知同意模式为"充分告知+明示同意﹦合法处理"(或曰"告知+同意﹦正当")。欧盟《一般数据保护条例》《德国联邦数据保护法》(Bundesdatenschutzgesetz)等立法皆采取此种模式。在这种同意模式下,信息控制者负有充分告知的义务,信息主体对于其个人信息的收集、处理、利用和传输拥有了解、知悉的权利,也可在知情的前提下对信息控制者的相关行为予以允许或拒绝。《个人信息保护法》第二章“个人信息处理规则”从整体架构来看,都建立在“告知+同意”的基础上。据此,该法虽未像此前的《网络安全法》一样,将告知同意作为处理个人信息的唯一合法性基准,但仍旧是以告知同意为核心构建起了个人信息处理规则。从具体展开和规范构造来看,《个人信息保护法》所确立的告知同意模式有如下特点:
1.告知同意作为信息处理的合法性基准与例外
《个人信息保护法》在第13条第1项将“同意”列为信息处理行为的首要合法性基准。但与《网络安全法》的处理
2.有效同意的构成要素
何为“有效同意”是告知同意原则的核心。《个人信息保护法》有关同意的构成要素主要在于第14条第1款第1句,“基于个人同意处理个人信息的,该同意应当由个人在充分知情的前提下自愿、明确作出”。而第14条第2款规定的“个人信息的处理目的、处理方式和处理的个人信息种类发生变更的,应当重新取得个人同意”,也表明同意必须是具体的,而不可用于同意信息处理者所追求的任何合法目的。具体和明确都旨在防止“功能潜变”,即获取信息的原有目的被悄悄扩大到未获得参与者知情和同意的事项,进而使个人失去了对其数据的控制。在形式上,同意必须以积极、主动、明确的表意行为作出,默示或不作为一般不能被认定为同意。
3.充分告知要求与最低限度告知事项
《个人信息保护法》第14条规定,同意应当由个人在充分知情的前提下作出。所谓“充分知情”,是“要求个人信息处理者在取得个人同意前,应当按照法律、行政法规的要求确保个人为作出有效同意而需要知道的东西,全部处于可以获取的状态”。
4.特别的同意要求与同意的类型化处理
为区分保护必要的差异,《个人信息保护法》还借鉴域外经验,构建起同意的分层处理机制。对于一般信息,同意只要在充分知情的情形下自愿、明确作出即可。对于包括“生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹”等在内的敏感个人信息,因其一旦泄露或非法使用,就很容易导致“自然人的人格尊严受到侵害或者人身、财产安全受到危害”,《个人信息保护法》采取了“一般性禁止”的立场,处理此类敏感个人信息需取得个人的单独同意,如法律、行政法规规定需取得书面同意的,还要从其规定。而信息处理者在处理敏感个人信息时,其告知义务亦有增加,除一般的告知事项外,还应向个人告知处理敏感个人信息的必要性以及对个人权益的影响。据此,《个人信息保护法》对于同意的类型化处理主要通过“单独同意”和“书面同意”来表现,这两种方式可被视为一般同意的特殊类型,三者共同搭建起保护强度逐步递增的阶层构造。
(二)同意在政府履职行为中的豁免
在《个人信息保护法》对告知同意的例外列举中,“为履行法定职责或法定义务所必需”的规定,可以说是将公职履行从告知同意原则的适用中整体地予以了豁免。除此之外,从第13条第1款第4项的规定来看,公权机关为应对突发公共卫生事件或紧急情况下为保护自然人的生命健康和财产权,而在合理范围内处理个人信息,同样会有同意的适用豁免。如此,对于负有应对突发公共卫生事件义务以及紧急情况下保护个人生命健康和财产权义务的公权机关而言,第13条第1款第3项和第4项在适用上就会存在一定交叉。
公职活动中的信息收集和处理并不受告知同意的约束,早在欧盟《一般数据保护条例》中就有相关规定。
在公职履行过程中排除同意适用的理由,首先在于个人信息保护相对于公共利益的退让。仍旧以人口普查案判决为例,德国联邦宪法法院即使明确将个人信息自决权提升为基本权利,也清楚指出,“信息自决权并非无限,对于自身信息,个人并不具有任何绝对或无限的控制”;“为了迫切的公共利益(Gemeinwohl),个人在原则上必须接受对其信息自决权的某种限制” 。
除相对于公共利益的退让外,豁免适用的理由还在于以下两点:
其一,有效的同意应在自愿、真实和自由的前提下,由信息主体完全自主且不受任何限制地作出。“自由的同意也意味着某个具有同意能力的人在不受任何胁迫(无论是社会的、经济的、心理上的或其他种类的)情况下所作的自愿决定”。
其二,将征得同意同样适用于公职履行领域,还会严重影响乃至破坏国家的执法能力。如果公权机关获取个人信息都需要个人同意,那么个人就有足够时间与机会藏匿或删除执法所需的信息与证据,数据时代下的履职行为也无法维续。也基于这一原因,美国法上将公权机关在执法过程中收集的个人信息归入“执法隐私”的范畴。执法隐私背后的个人与国家并非是一种持续性的信息关系,而更近于传统隐私侵权框架下的个人与侵入者之间的关系,即侵入者对个人隐私空间的侵入只是一次或多次,而并非持续的。也因此,法律一般是根据侵入的合法性理由而非是否获得个人同意来鉴别其是否合法,为其所配置的规制方式也是一种责任规制而非财产化的规制。
(三)告知同意原则的构造缩减:从“告知+同意”到“有限度的告知”
除因法定豁免而得以排除“同意”的适用外,“告知”在适用于国家公权机关时,其构造也与适用于私主体时有所不同。
在比对告知要件在公私法中的适用差异前,首先需要澄清的是,在《个人信息保护法》第13条所列的法定豁免情形下,信息处理者虽然无需征得信息主体的同意,却并不意味着其同样无需履行告知义务。这一点可从《个人信息保护法》第18条的规范方式中读取:“个人信息处理者处理个人信息,有法律、行政法规规定应当保密或者不需要告知的情形的,可以不向个人告知前条第一款规定的事项”。据此,公权机关的告知义务被免除的前提在于“有法律、行政法规规定应当保密或不需要告知的情形”,这一点与第13条第1款第2项至第7项的列举并不相同,免除告知义务的情形相较豁免同意的情形也明显少得多。公权机关在履职过程中处理个人信息,即使不用征得信息主体同意,也仍须履行告知义务,这在《个人信息保护法》第35条中也被特别强调:“国家机关为履行法定职责处理个人信息,应当依照本法规定履行告知义务”。
对告知义务的强调,体现的仍是对个人信息自决权的尊重。在法定豁免情形下,基于对其他法益的维护,法律将信息处理的合法性基准从个人同意转换为“履行法定职责或法定义务”等其他要件。但合法基准的转变,并不意味着个人的知情权也要被彻底收回,并彻底被降格为数据处理的客体。据此,认为个人在面对公权机关在履职时的信息收集和处理行为时,已完全不再具有知情权、决定权、查阅权、复制权、更正权和删除权的论断并不准确。事实上,除为了维护当事人基本的知情权外,同意豁免与告知免除并不一致的原因还在于,无需征得个人同意在很大程度上是为了信息流通和数据利用的考虑,但信息处理者向信息主体履行告知义务,却不会如征得其同意一样对信息流通和数据利用产生明显阻滞。
但相比私法规范中信息处理者普遍和充分的告知义务,公权机关履职时在告知义务上确有免除和缩减。免除的依据之一是《个人信息保护法》第18条规定的当法律、行政法规规定应当保密或是不需要告知时,信息处理者的告知义务就会被免除。 这一条可说是告知义务免除的一般性条款,其不仅适用于公权机关,同样适用于作为信息处理者的私主体。该条规定的“法律、行政法规规定应当保密”的情形,大多是在侦查犯罪、反恐怖主义等行为中,基于对公共安全、国家安全等公益考虑,而由法律、行政法规确定信息处理者具有保密义务。
综上,不仅公权机关在履职中的信息收集和处理不再以信息主体的同意为前提,而且“充分告知+明确同意”的告知同意构造,也在此缩减为“有限度的告知”。这种有限度的告知虽然没有排除所有履职行为中公权机关的告知义务,却规定了广泛的例外。这些都使告知同意的适用和构造在个人信息保护的公法规范中发生了重要变化。
三 同意豁免在政府履职行为中的例外与矫正
将信息处理的合法性基础从个人同意转换至履行法定职责和法定义务,体现的是公私领域的差异处理;但削弱甚至否认信息主体的自决权利,虽然在公法领域可化解因过高标准的个人控制所导致的信息流通低效、数据价值减损以及执法能力阻滞,却又会因为约束松弛而引发公权机关无限度收集和不当使用个人信息的问题。因此,即使公权机关享有一定程度的“同意豁免”,其信息收集和处理行为也同样受到限制。这种限制首先来自规范内部,即对“履行法定职责和法定义务”的严格解释和框定;其次还来自于《个人信息保护法》的例外规定和其他原则的辅助与矫正。
(一)履行法定职责和法定义务的范围框定
《个人信息保护法》第13条将“为履行法定职责或者法定义务所必需”作为公权机关收集和处理个人信息的合法性基准,由此也排除了意定同意的适用。但何为“为履行法定职责或者法定义务所必需”,却需要严格的教义解释,由此才能避免因范围扩张而导致的个人控制力的削弱和减损。《个人信息保护法》第34条规定,“国家机关为履行法定职责处理个人信息,应当依照法律、行政法规规定的权限、程序进行,不得超出履行法定职责所必需的范围和限度”,这里同样包含对履职行为权限合法与程序合法的要求。
1.履职标准从主体到职权的转变
若从主体要件来看,《个人信息保护法》所指的“履行法定职责或法定义务”首先是指包括立法机关、行政机关以及司法机关等在内的国家公权机关依照法律授权所进行的履职行为。上述机关的职权一般有宪法、组织法和特别授权法的明确授予,因此其行为是否属于履行法定职责和法定义务,也有较为清晰的识别依据。而伴随着公共行政的拓展,履行公职的主体早已不限于国家机关,同样包含社会公权力组织。现代公法也已将公法适用和约束覆盖至这些主体。公法既然将这些组织与公权机关等同视之,其在履职过程中的信息收集和处理行为也一样会受到同意的豁免。《个人信息保护法》第二章第三节依此逻辑,在第37条规定,“法律、法规授权的具有管理公共事务职能的组织为履行法定职责处理个人信息,适用本法关于国家机关处理个人信息的规定”。
除明确的公职机关和社会公权力组织外,《个人信息保护法》将“履行法定职责”和“法定义务”并列,另一层含义还在于,即使某些组织和个人并非国家公权机关或是社会公权力组织,但其行为如在客观上仍旧属于“履行法定职责”或“法律义务”,也会有此条的适用。例如根据《反洗钱法(修订草案)》第3条的规定,除反洗钱行政主管部门外,金融机构和按照规定应当履行反洗钱义务的特定非金融机构,同样负有反洗钱义务,同样须采取相应的预防、监控措施,采取客户尽职调查、客户身份资料和交易记录保存、大额交易和可疑交易报告等反洗钱特别预防措施,这些措施中也包含对个人信息的收集和使用。上述机构虽非国家公权机关,但因为法定义务的履行,同样会豁免于同意的适用。与上述金融机构一样因承担法定义务的还有经营接待旅客住宿的旅馆业和某些网络运营商。
据此,真正决定是否适用《个人信息保护法》第13条第1款第3项的并非主体标准,而是职权标准。私人也有可能基于法律规范的授权,
2.何谓“履行法定职责所必需”?
把目光聚焦到“履行法定职责和法定义务”这一职权要素后,又会引出如下问题:是否所有的执法信息都要在同意原则下豁免?是否公权机关在履行公职行为中的信息处理行为都无需再接受同意的合法检验,而仅依赖法律的概括性授权即可获得正当性基础?其实判断“履行法定职责或者法定义务”的标准从主体转换至职权,也必然会引出范围可能外溢的问题。
但从《个人信息保护法》第13条第1款第3项的表述来看,即使是为履行法定职责或法定义务而进行的信息收集和处理,也还是要受到“所必需”的限制,即要受到“必要性原则”(或曰比例原则)的掣肘和约束。第34条也强调,“国家机关为履行法定职责处理个人信息……不得超出履行法定职责所必需的范围和限度”。由此,要判断公权机关的信息收集和处理行为是否无需征得当事人同意,除要看该行为是否属于履行法定职责和法定义务的范畴外,还要检验该信息收集和处理对于履职是否是必需的。
有些法律规范在授予公权机关法定职责时,明确赋予其涵括信息收集和处理在内的履职手段。例如《刑事诉讼法》第132条第1款规定,“为了确定被害人、犯罪嫌疑人的某些特征、伤害情况或者生理状态,可以对人身进行检查,可以提取指纹信息,采集血液、尿液等生物样本”;《全国人口普查条例》第24条规定,“人口普查对象应当按时提供人口普查所需的资料,如实回答相关问题,不得隐瞒有关情况,不得提供虚假信息”;《居民身份证法》第3条规定,“公民申请领取、换领、补领居民身份证,应当登记指纹信息”。因具有法律的明确授权,在此就不再存在鉴别处理个人信息是否为“履行法定职责或法定义务所必需”的困难。
另有一些法律虽未明确规定公权机关在履职过程中可采取信息收集和处理行为,但此类职权的履行却与作为履职手段的信息收集和处理存在实质关联,因此也属于履职所必需。例如《人民警察法》第9条规定,“为维护社会治安秩序,公安机关的人民警察对有违法犯罪嫌疑的人员,经出示相应证件,可以当场盘问、检查”,如存在特定情形,还可将其带至公安机关继续盘问。《治安管理处罚法》也规定了公安机关的传唤、询问权,但上述权力的行使显然以个人信息的收集和处理为必要。据此,如果在履职中,对个人信息的收集和处理是履职的核心手段,若无此手段履职活动就无法展开,那么职权授予规范就可被理解为是一种一体性授权,这种授权中当然包括了信息的收集和处理。
较难判断的是,如果个人信息的收集和处理仅是公权机关履职时可供选择的一种行为手段,或公权机关系与私人主体合作进行数据治理,此时还应否有同意的豁免。前者例如近年来不断引起争议的人脸识别技术;后者的典型则是在此次新冠疫情防控过程中,政府基本上是联合企业共同研发推广健康码,并其将作为采取某些举措的标准。上述两种情形下,是否可适用同意的豁免,就需要结合合法正当、符合比例、目的限制、禁止不当联结等其他原则来一并考虑,同时也需参酌信息使用的具体场景予以判断。
(二)同意豁免的例外
公权机关在履行法定职责和法定义务时,对个人信息的处理可无需征得个人同意,但这种同意的豁免并不绝对,《个人信息保护法》中仍旧规定了需要同意的情形。
需要获得个人同意的首先在于《个人信息保护法》第26条规定的情形。根据该条,如果公权机关在公共场所安装图像采集和个人身份识别设备,其收集的个人信息只能用于维护公共安全;如果将这些个人图像和身份识别信息用于其他目的,就必须获得个人的单独同意。所谓“维护公共安全”,主要限定为预防和制止恐怖袭击、暴力违法犯罪活动等目的。
此外,即使在公权机关的履职行为中,也须注意区分其处理的是一般信息还是敏感个人信息。对于敏感个人信息,因其与个人隐私以及人格尊严密切关联,在与国家利益、社会利益的平衡上,就应当享有更高的权重。2014年最高人民法院曾在《关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》中规定,可未经个人同意,公开包括自然人基因信息、病历资料、犯罪记录、家庭住址、私人活动等包括个人隐私在内的敏感个人信息。此处其实忽视了不同信息的保护必要性与强度。但《个人信息保护法》已对敏感个人信息提供了更高程度的保护,且规定了特殊的同意要件,这一点并不能因为公权机关的履职行为而有所区别。鉴于敏感个人信息的特殊保护必要性,即使政府履职行为与敏感个人信息的“单独同意”之间存有冲突,履职行为在此处的“同意豁免”也必须满足《个人信息保护法》第28条第2款的规定,即“只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息”。可见,“特定目的”“充分的必要性”“严格保护措施”是处理敏感个人信息的三项要件。
(三)其他原则的补充与矫正
除告知同意外,《个人信息保护法》同样规定了信息收集和处理的其他原则,包括合法正当、必要以及目的明确与目的限制。这些原则在信息收集和处理须获得个人同意的场景下会发生适用;在无需征得个人同意的情形下,因为个人的控制力和支配权在很大程度上被剥夺,就更要求对利益进行审慎权衡,也更需要这些原则来防御公权机关对个人信息的无限度收集和使用。
1.合法正当原则
所谓合法、正当不仅指向信息收集和处理的过程,同样涵盖其目的。大部分学者将二者作一体化理解,但也有学者指出“合法”属于形式合法性范畴,即个人信息处理符合法律的明确规定,而“正当”则涉及实质合法,其约束的是个人信息收集和处理目的上的实质正义。
对于公权机关履职中的信息收集和处理而言,正当目的首先是公益维护。上文所列举的“为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全”等规定,都可被列入这一范畴。但从个人信息保护实践来看,如果仅是概观的、抽象的公益,并不能正当化公权机关所有的数据收集行为,因其几乎无法为限制公权机关不当收集和适用个人信息划定任何界限。克服公益目的空洞化的第一种方法是在法律中明确列举公益的类型。欧盟《一般数据保护条例》就是为数不多的明确列举“公共利益”事项的立法。依照其第23条第1款规定,所谓“公共利益”包括:国家安全;防卫;公共安全;刑事犯罪的预防、侦查、起诉或者刑事处罚的执行,包括对公共安全威胁的防范和预防;欧盟或成员国一般公共利益的其他重要目标,特别是欧盟或成员国的重要经济或财政利益,包括货币、预算和税收等事项、公共卫生和社会保障;司法独立与司法程序的保护;违反职业道德规范的预防、调查、侦查和起诉;监督、检查或相关的监管职能。另一种限定方式则在于要求国家公权机关承担对“公共利益”的具体框定和理由说明义务。说明理由义务的赋予,除方便信息主体对信息处理的合法性进行有效评价、限制公权机关的后续处理偏离最初目的外,还有利于形成信息主体对后续处理行为的可预见性期待。
2.必要性原则
合法正当作为单项原则对于防堵公权机关无限度收集和不当使用个人信息其实作用有限,此时就必须辅以其他原则,尤其是必要性原则。因此,即使《个人信息保护法》将“履行法定职责或者法定义务”“为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全”等列举为收集个人信息的正当目的,但在规范表达上都会附加“所必需”作为限定。《个人信息保护法》第26条对于“在公共场所安装图像采集、个人身份识别设备”的行为,也同样要求其必须是“为维护公共安全所必需”。
“所必需”对应的正是公法中的比例原则。不经个人同意即收集和处理个人信息,当然会限制和削减个人对于信息的自决和控制权,但这种权利限制必须遵守限度、合乎比例,否则就会造成对此权利的彻底否定和排除。对于比例原则在个人信息权保护中的具体适用,《个人信息保护法》第6条将其总结为两个方面:第一,收集个人信息,应当限于实现处理目的的最小范围,不得过度收集。这一条又可被总结为“无必要不收集”,即公权机关对个人信息的收集对实现其公益目的而言须为必要且必需。这一规定意在遏制作为数据控制者的公权机关过度收集信息的天然倾向,进而避免过度收集所导致的数据监控和操纵。对最小范围的核定应以“最少够用”为限,即一旦缺少就将导致无法正常进行履职。
3.目的明确与目的限制原则
欧盟《一般数据保护条例》将目的明确与目的限制单独作为数据处理的核心法则,而《个人信息保护法》第6条的表述“处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关”,则是将这一原则嵌套在必要性原则当中。相对于合法正当与必要性原则,目的明确与目的限制其实具有独立的意涵。在欧盟立法项下,这一原则首先要求数据控制者明确收集使用个人信息的目的,禁止为未来不特定目的而收集和使用个人信息;其次是将信息控制者对信息的使用约束于所明示的目的,而不得将所搜集的信息作法定目的外的使用。
将目的明确与限制适用于个人信息保护的公法规范,就首先要求公权机关在收集个人信息时,尽可能避免使用模糊、宽泛的语词表述其目的,以为其未来的功能潜变预留可能。欧盟《一般数据保护条例》为目的明确专门设定了三项判定基准,可资借鉴:第一,特定(specified),即目的应当在不迟于收集个人信息时确定下来,而且对目的的描述必须具备足够的细节,使之具有辨识度;第二,明确(explicit),即目的特定化后,还应当明白无误地展现出来,应尽力确保信息主体、信息控制主体以及利用个人信息的第三方都能够对该目的具有一致理解;第三,合法(legitimate),即公权机关对个人信息的处理必须公平且依法进行,不得以非法目的收集个人信息。
目的限制约束数据处理者嗣后的信息处理和数据利用行为不得背离最初的目的设定。但对此问题其实存在弹性处理的空间。其原因就在于,个人信息的场景化和动态化特征,使信息主体和信息处理者在信息收集之初,并不能预见信息在未来的可能价值。此外,个人信息的市场价值具有低密度和非直接性,即单项信息几无价值,唯有信息聚合和数据利用价值才会增长。此时如果僵化地禁止信息用于其他目的,势必会造成资源浪费。也因此,欧盟《一般数据保护条例》虽然规定了目的限制原则,却也允许基于其他额外目的而对个人信息进行适当性使用。“适当性使用”的判断依据在于:第一,信息收集目的与预期进一步处理目的之间的关联;第二,个人信息被收集时的情形,尤其是信息主体与控制者之间的关系;第三,个人信息的性质;第四,预期进一步处理给信息主体可能造成的后果;第五,加密或匿名化保障措施的存在。
四 结 语
《个人信息保护法》对国家公权机关的数据收集和处理行为予以规范,也由此搭建起个人信息保护“公私并立”的架构。个人信息保护的公法规范与私法规范虽共享维护个人信息权、促进信息流通和数据利用的价值目标,却在一些具体制度的适用上表现出很大差异,典型的就是告知同意原则。与其在私法规范中的核心地位不同,因为对于履职行为的同意豁免及告知义务的限缩,告知同意在公法规范中从原则降格为例外。但植根于个人信息自决权的告知同意,本质是对个人在大数据时代下人格尊严与精神自治的维护。这一原则对于个人对其信息的控制力和支配性的维护和强调,使其即使在公法规范中受到适用限制,却不能被彻底排除。基于这一考虑,《个人信息保护法》规定了同意豁免的限制和例外,也尝试通过合法正当、必要性以及目的明确和目的限制等来填补和矫正因告知同意的缺位所带来的法律约束的削弱。而从个人信息保护实践来看,鉴于“公共利益”“履行法定职责和法定义务”等规定的模糊性以及公权机关裁量的广泛性,对于维护个人信息权而言,尽量征得个人同意依旧是最安全稳妥的做法。
来源:环球法律评论. 2022,44(02)