摘 要
個人信息保護法的基本原則是個人信息處理活動應當遵循的基本原則,也是解釋、補充以及發展個人信息保護法律制度的基本原則。故此,個人信息保護法的基本原則具有重要的功能和意義。我國新頒布的《個人信息保護法》在第一章“總則”中以六個條文(第5-10條)對個人信息保護法的基本原則作出了規定。我國個人信息保護法的基本原則包括:合法、正當、必要、誠信、目的限制、公開透明、質量、安全等八項原則。
引 言
個人信息保護法是規范個人信息處理活動,明確個人在個人信息處理活動中的權利、個人信息處理者的義務以及法律責任的法律。從作為信息主體的角度來說,個人信息保護法就是個人信息保護權益法,從處理者的角度來看,則是個人信息處理規則法。故此,個人信息保護法的基本原則就是個人信息處理者在處理活動中應當遵循的基本原則。這些原則一方面有利于形成科學的個人信息處理法律體系,另一方面也有助于解釋和補充個人信息保護法的具體法律規定。故此,許多國家的個人數據或個人信息保護法都明確了個人信息處理活動應當遵循的基本原則。例如,1980年的《經濟合作與發展組織(OECD)關于隱私保護和個人數據跨境流動的指導原則》詳細列舉了收集限制原則、數據質量原則、列明目的原則、使用限制原則、安全保護原則、公開原則、個人參與原則、責任原則等八項原則。歐盟《一般數據保護條例》第5條是對“與個人數據處理相關的原則”的規定,該條明確了合法、正當與透明原則,目的限制原則,數據最小化原則,準確原則,存儲限制原則,完整與保密原則,責任原則。2017年修訂的德國《聯邦數據保護法》第47條規定:“處理個人數據應當遵循下列原則:1.合法公平地處理;2.為了特定、明確且合法的目的而收集的并以不違反這些目的的方式進行處理;3.就處理目的而言適當、相關且不過度;4.準確且于必要時更新;考慮到處理目的,應采取一切合理步驟來確保不準確的個人數據被刪除或更正;5.以允許識別數據主體的形式所保存的時間不超過處理該數據之目的所必需的時間;6.以確保個人數據適當安全的方式進行處理,包括使用適當的技術或組織措施來防止未經授權或非法處理以及防止意外丟失,破壞或損壞。”該條確立了個人數據處理應當遵循的“合法與依據誠信處理的原則(Rechtm??igkeit und Verarbeitung nach Treu und Glauben)”“目的限制原則(Zweckbindung)”“數據最小化與比例原則(Datenminimierung und Verh?ltnism??igkeit)”“正確性原則(Richtigkeit)”“限制存儲(Speicherbegrenzung)”以及“系統數據保護原則(Systemdatenschutz)”。
我國法律也對個人信息處理活動的基本原則作出了規定。《全國人民代表大會常務委員會關于加強網絡信息保護的決定》第2條規定:“網絡服務提供者和其他企業事業單位在業務活動中收集、使用公民個人電子信息,應當遵循合法、正當、必要的原則,明示收集、使用信息的目的、方式和范圍,并經被收集者同意,不得違反法律、法規的規定和雙方的約定收集、使用信息。網絡服務提供者和其他企業事業單位收集、使用公民個人電子信息,應當公開其收集、使用規則。”該法實際上明確了個人信息處理應當遵循合法、正當、必要以及公開等四項原則。《網絡安全法》第41條第1款規定:“網絡運營者收集、使用個人信息,應當遵循合法、正當、必要的原則,公開收集、使用規則,明示收集、使用信息的目的、方式和范圍,并經被收集者同意。”《民法典》第1035條第1款第1句進一步明確規定:“處理個人信息的,應當遵循合法、正當、必要原則,不得過度處理”。
在我國《個人信息保護法》的起草過程中,立法機關認為,應當在《民法典》《網絡安全法》等法律規定的基礎上,進一步充實完善個人信息處理的基本原則,并將它們貫穿于個人信息處理的全過程、各環節。2021年8月20日,十三屆全國人大常委會第三十次會議審議通過了《中華人民共和國個人信息保護法》(以下稱《個人信息保護法》),這是我國第一部個人信息保護方面的專門性法律。該法在第一章總則用了六個條文(第5-10條)對個人信息保護法的基本原則作出了規定,明確了在個人信息處理活動中應當遵循合法、正當、必要、誠信、目的限制、公開透明、質量、安全等八項原則。本文將對這些原則的涵義、功能、要求及具體適用等問題加以討論,以供理論界與實務界參考。
一、合法、正當、必要和誠信原則
《個人信息保護法》第5條規定:“處理個人信息應當遵循合法、正當、必要和誠信原則,不得通過誤導、欺詐、脅迫等方式處理個人信息。”該條明確了個人信息處理中應當遵循的合法、正當、必要和誠信原則。其中,前三個原則在《網絡安全法》《民法典》中就有規定,誠信原則則是《個人信息保護法》依據《民法典》新增加的基本原則。
(一)合法原則
合法原則(Der Rechtm??igkeitsgrundsatz)是指,個人信息處理者在對個人信息進行收集、存儲、加工、使用、提供、公開、刪除等處理活動時,應嚴格遵循法律、行政法規的規定,采取合法的方式,不得違法處理個人信息。之所以如此,是因為對于個人信息的任何處理活動,客觀上都是對自然人的個人信息權益的干擾或破壞,故此,必須有法律的依據或正當化事由。否則,該等處理行為就是對個人信息權益的侵害,屬于非法行為。所謂“合法”方式中的“法”的范圍比較廣泛,不僅包括全國人大及其常委會制定的法律,也包括行政法規、地方性法規、司法解釋、部門規章、地方政府規章、強制性標準等。《個人信息保護法》從正反兩方面對于合法原則作出了規定。正面的規定為《個人信息保護法》第5條,要求處理個人信息應當遵循合法原則。反面規定就是該法第10條,即任何組織、個人不得非法收集、使用、加工、傳輸他人個人信息,不得非法買賣、提供、公開他人個人信息;不得從事危害國家安全、公共利益的個人信息處理活動。具體來說,合法原則體現在以下幾方面:
1.只有符合法律、行政法規規定的情形時,個人信息處理者才能處理個人信息。該處理行為才是合法的,對于這些情形的全面列舉在《個人信息保護法》第13條。該條列舉了七種情形,如取得個人的同意;為訂立或者履行個人作為一方當事人的合同所必需;為履行法定職責或者法定義務所必需等,只有符合其中的某一種情形,處理行為才是合法的,否則就是非法行為。
2.個人信息處理者處理個人信息的目的和處理方式應當是合法的(即追求合法的利益),不能侵害自然人的人格尊嚴、人身自由和人身財產權益,也不能損害社會公共利益或國家利益。處理者必須采取合法的方式(符合比例原則的方式)開展具體的處理活動,確保個人信息處理活動符合法律、行政法規的規定,即個人信息處理者應當根據個人信息的處理目的、處理方式、個人信息的種類以及對個人權益的影響、可能存在的安全風險等,采取措施確保個人信息處理活動符合法律、行政法規的規定。
3.禁止從事任何非法的個人信息處理活動。依據《民法典》第111條第2句以及《網絡安全法》第44條,任何組織或者個人需要獲取他人個人信息的,應當依法取得并確保信息安全,不得非法收集、使用、加工、傳輸他人個人信息,不得非法買賣、提供或者公開他人個人信息。據此,《個人信息保護法》第10條也規定,任何組織、個人不得非法收集、使用、加工、傳輸他人個人信息,不得非法買賣、提供或者公開他人個人信息;不得從事危害國家安全、公共利益的個人信息處理活動。
(二)正當原則
正當原則,也稱公正原則(fairness),是指處理個人信息的行為必須是正當的,處理者不應當通過不公正的方法,如通過欺騙或者在信息主體完全不知情的情況下來處理其個人信息。正當(fairness)是各國個人信息保護立法中所確立的一項基本原則。歐盟《一般數據保護條例》第5條第1款(a)規定,應當“以合法、公正、透明的方式處理”個人數據。日本《個人信息保護法》第3條規定:“在尊重個人人格的理念下,個人信息應被慎重對待,鑒于此,應當實現個人信息之正當處理。”第17條第1款規定:“個人信息處理業者不得以虛假及其他不正當手段獲取個人信息。”韓國《個人信息保護法》第3條第1款規定:“個人信息處理者應當明確處理個人信息的目的,并限于其目的之必要范圍內合法、正當地收集最低限度的個人信息。”
我國《個人信息保護法》第5條明確規定,處理個人信息應當遵循正當原則,同時,禁止處理者通過誤導、欺詐、脅迫等方式處理個人信息,因為這些方法都是不正當的(也是違反誠信原則的)。實踐中,不少APP運營者就是通過誤導、欺詐等不公正的方式來收集用戶的個人信息,如在非服務所必需或無合理場景的情形下,以所謂積分、獎勵、優惠等方式欺騙誤導用戶提供身份證號碼以及個人生物特征等個人信息。有些APP還通過脅迫的方式來收集用戶的個人信息,如一些網貸平臺要求用戶申請貸款時除提供自己的個人信息外還必須提供親朋好友的身份證號碼、手機號碼等個人信息,否則就不發放貸款,一旦用戶貸款償還上出現逾期,則不斷地騷擾其親朋好友。這些對個人信息的處理行為都違反了正當的原則,屬于違法行為。個人信息處理者通過欺詐、脅迫等方式取得個人的同意而處理個人信息的,該處理活動依然是違法的,不得以取得自然人的同意作為抗辯。對此,《最高人民法院關于審理使用人臉識別技術處理個人信息相關民事案件適用法律若干問題的規定》第4條有明確的規定:“有下列情形之一,信息處理者以已征得自然人或者其監護人同意為由抗辯的,人民法院不予支持:(一)信息處理者要求自然人同意處理其人臉信息才提供產品或者服務的,但是處理人臉信息屬于提供產品或者服務所必需的除外;(二)信息處理者以與其他授權捆綁等方式要求自然人同意處理其人臉信息的;(三)強迫或者變相強迫自然人同意處理其人臉信息的其他情形。”
(三)必要原則
必要原則是指處理個人信息的活動都應當是對于實現個人信息處理目的而言是必要的,凡是不必要的個人信息處理活動都不應當開展。該原則是比例原則在個人信息保護法中的體現。比例原則(der Grundsatz der Verhaeltnismaessigkeit)是一項非常重要的法律原則,在公法和私法領域都適用。比例原則有廣狹義之分,狹義的比例原則主要適用于負擔行政行為以及所有的行政領域,而廣義的比例原則產生于法治國家原則,不僅約束行政,也約束立法,同時被適用于一般性確定基本權利的界線,“即作為個人自由請求權和限制自由的公共利益之間的權衡要求適用”。在行政法領域,比例原則包含三項要求:其一,必要性原則,即行政機關擬實施行政行為特別是實施對行政相對人的權利不利的行政行為時,只有認定該行為對達到相應的行政目的是必要的時候,才能實施;其二,適當性原則,即行政機關在實施行政行為前必須進行利益衡量,只有確認該行為對于實現相應的行政目的是適當的且可能取得的利益大于可能損害的利益時,才能實施;其三,最小損害原則,即行政機關必須在多種方案中選擇對行政相對人權益損害最小的方案實施。在民法中,比例原則意味著“只有在以下情形當中,個人自由及其私法自治才能受到干預,即對于維護更高的利益而言這是必要的,且此種干預既適于實現預期的目標,也是實現該目的的最緩和的方式”。
必要原則也是各國個人信息或個人數據保護立法所堅持的一項基本原則。例如,歐盟《一般數據保護條例》導言部分第39條指出:“個人數據應當充分、相關并且僅限于其處理目的所需的必要數據。這尤其要求確保對個人數據的存儲期限的必要限制。只有在處理目的不能通過其他方式合理實現的情況下,才能進行個人數據處理。為確保個人數據的保存時間不超過必要時間,應由控制者制定時間限制以進行刪除或定期審查”。該條例第5條第1款將必要原則概括為“充分、相關,及以個人數據處理目的之必要為限度進行處理”,“準確、必要、及時:以個人數據處理目的為限,應采取一切合理步驟確保不準確的個人數據被及時地處理、刪除或修正”。再如,《巴西通用數據保護法》第6條第3款規定,個人數據處理活動應當遵循必要性原則,即“將處理限制在實現其目的所需的最低限度,涵蓋與數據處理目的相關的、成比例的和非過量的數據”。
《個人信息保護法》頒布前,我國的《網絡安全法》《民法典》等法律對于必要原則就做出了相應的規定。如《網絡安全法》第41條第1款規定,網絡運營者收集、使用個人信息,應當遵循合法、正當、必要的原則。《民法典》第1035條第1條規定,處理個人信息的,應當遵循合法、正當、必要原則,不得過度處理。但是,這些法律都沒有對必要原則的具體要求加以明確。從《個人信息保護法》的規定來看,必要原則主要體現在以下三方面:首先,收集個人信息應當遵循必要的原則,限制在實現處理目的所需要的最小范圍,不得過度收集個人信息(第6條第2款);其次,處理敏感的個人信息應當具有充分的必要性,否則不得處理(第28條第2款);再次,個人信息保存期限應當為實現處理目的所必要的最短的時間,除非法律、行政法規另有規定(第19條)。
(四)誠信原則
誠信原則,也稱誠實信用原則(Treu und Glauben),它不僅是私法領域的最高原則之一,也是公法領域的基本原則。誠實信用原則要求秉持誠實、恪守承諾,及當事人應當真實真誠,如實披露相關信息,不坑蒙拐騙,不欺詐他人,同時嚴格承諾,講求信用。
在個人信息的處理活動中,處理者也應當遵循誠信原則。對此,一些國家或地區的法律有明確的規定。例如,《巴西通用數據保護法》第6條規定,個人數據處理活動應遵循誠信和相應的原則。再如,我國臺灣地區“個人資料保護法”第5條規定:“個人資料之搜集、處理或利用,應尊重當事人之權益,依誠實及信用方法為之,不得逾越特定目的之必要范圍,并應與搜集之目的具有正當合理之關聯”。
在我國法律中,誠信原則是非常重要的一項原則,被許多法律加以規定。《民法典》第7條規定:“民事主體從事民事活動,應當遵循誠信原則,秉持誠實,恪守承諾。”這就是說,在從事民事活動時,民事主體應當講誠信、守信用,以善意的方式行使權利、履行義務,不詐不欺,言行一致,信守諾言。除了《民法典》之外,還有不少法律都明確規定了誠信原則,例如《反不正當競爭法》第2條第1款規定:“經營者在生產經營活動中,應當遵循自愿、平等、公平、誠信的原則,遵守法律和商業道德。”《電子商務法》第5條規定:“電子商務經營者從事經營活動,應當遵循自愿、平等、公平、誠信的原則,遵守法律和商業道德,公平參與市場競爭,履行消費者權益保護、環境保護、知識產權保護、網絡安全與個人信息保護等方面的義務,承擔產品和服務質量責任,接受政府和社會的監督。”《消費者權益保護法》第4條規定:“經營者與消費者進行交易,應當遵循自愿、平等、公平、誠實信用的原則。”
我國《個人信息保護法》第5條明確將誠實信用原則作為個人信息處理活動應當遵循的一項基本原則。這就是說,處理者在從事個人信息處理活動時,應當始終秉持誠實、恪守承諾,不通過任何欺詐、誤導、脅迫等方式處理個人信息;在取得個人同意或符合法律、行政法規規定的其他情形而可以處理個人信息時,也應當講求誠信,嚴格按照法律規定和約定處理信息,不從事任何違反處理目的和處理方式的處理活動。
二、目的限制原則
(一)目的限制原則的涵義
所謂目的限制原則(the principle of purpose limitation/ Zweckbindungsgrundsatz),也稱目的拘束原則,是個人信息保護法中最基本的一項原則,貫穿于整個個人信息處理活動,無論處理者是誰,也不管屬于何種類型的處理活動,都必須受到該原則的拘束。由于目的限制原則是數據保護的基石和大多數其他基本要求的先決條件,故此,理論界也將目的限制原則稱為個人信息保護法上的“帝王條款”。
許多國家或地區的個人信息或數據保護立法都確立了目的限制原則。例如,歐盟《一般數據保護條例》第5條第1款(b)規定:“為特定、明確、合法的目的收集個人數據,且隨后不得以與該目的相違背的方式進行處理;第89條第1款中為實現公共利益存檔目的、科學研究或歷史研究、統計目的而進行的進一步數據處理不視為與最初目的相違背。”日本《個人信息保護法》第15條規定:“個人信息處理業者在處理個人信息時,應當盡可能地將利用該個人信息的目的(以下稱為”利用目的“)特定。個人信息處理業者若要變更利用目的,則不得超出足以合理地認為與變更前的利用目的具有關聯性之范圍”。第16條第1、2款規定:“個人信息處理業者不得未事先取得本人的同意,而超出達到依照前一條的規定所特定的利用目的所必要的范圍,處理個人信息。個人信息處理業者在因合并或其他事由而從其他個人信息處理業者處承受業務并取得個人信息后,不得未事先取得本人的同意,而超出達到業務承受前該個人信息的利用目的所必要的范圍,處理個人信息。”再如,韓國《個人信息保護法》第3條第1至3款規定:“個人信息處理者應當明確處理個人信息的目的,并限于其目的之必要范圍內合法、正當地收集最低限度的個人信息。個人信息處理者應當在處理個人信息目的之必要范圍內適當地處理個人信息,不能將其用于目的之外的其他用途。個人信息處理者應在個人信息處理目的之必要范圍內,保障個人信息的準確性、完整性和最新性。”從上述規定可以看出,目的限制原則主要包含了兩個維度:一是目的特定維度(the purpose specification dimension),即必須是為了特定、明確、合法的目的而收集個人數據,否則不得收集或進行其他的處理活動;二是兼容使用維度(the compatible use dimension),即被收集的數據必須以符合特定目的的方式進行處理,即對數據的處理與特定的、明確的、合法的目的存在合理的聯系,沒有超越處理的目的。
在我國,《網絡安全法》《民法典》等法律沒有規定目的限制原則。不過,在法律明確規定的合法、正當和必要等三項原則中,必要原則也可以看作是目的限制原則的具體體現。因為,必要與否,只能是就個人信息處理目的而言是否必要加以判斷的。《個人信息保護法》于第6條首次對目的限制原則作出了詳細的規定,即“處理個人信息應當具有明確、合理的目的,并應當與處理目的直接相關,采取對個人權益影響最小的方式。收集個人信息,應當限于實現處理目的的最小范圍,不得過度收集個人信息。”從這一規定可以看出,我國法上的目的限制原則更加豐富,包含了三個層次:一是目的特定,即處理個人信息應當具有明確、合理的目的;二是直接相關,即處理個人信息的活動必須與處理目的直接相關;三是采取對個人權益影響最小的方式。此外,《個人信息保護法》第6條第2款還專門對收集個人信息這一處理活動中應當限于實現處理目的的最小范圍作出了規定。
(二)目的限制原則的意義
之所以個人信息保護法上要以目的限制原則作為最基本的原則之一,而且該原則具有舉足輕重的地位,原因在于:一方面,目的限制原則有利于更好地保護個人信息權益。個人信息的處理無非就是兩類:基于個人同意處理個人信息,或者依據法律、行政法規的規定處理個人信息。在基于個人同意而處理個人信息的情形中,處理者在處理個人信息之前必須告知其個人信息被處理的自然人并取得同意。如果不告知明確的目的,而是模糊的、籠統的,個人就不可能作出真正的自愿的同意。也就是說,處理者所取得的信息主體的同意也是無效的。同樣,在取得個人同意后進行的個人信息處理活動,不能超越個人所同意的處理目的和處理方式。如果超越了,就等于自然人沒有同意,處理活動也是非法的,構成對個人信息權益的侵害。在依據法律、行政法規的規定,無需取得個人的同意即可實施的個人信息處理活動中,法律、行政法規之所以賦予個人信息處理者這樣的“特權”,目的是在于為了維護更高位階的利益,即為了正當的目的,如履行法定職責或法定義務,維護社會公共利益或國家利益或維護自然人的生命財產安全等。因此,個人信息處理活動同樣要受到目的的限制,不能超越目的范圍甚至背道而馳。否則,個人信息處理活動也是非法的,構成對個人信息權益的侵害。此外,如果處理者不告知明確的處理的目的,也會導致個人也無法針對處理者主張相應的權利,例如,在處理目的已經實現、無法實現或為實現處理目的而不再必要的情形下,個人信息處理者應當刪除個人信息,如果沒有刪除的,個人可以要求處理者刪除個人信息(《個人信息保護法》第47條第1款第1項)。由此可見,目的限制原則對于保護個人權益是非常重要的。
另一方面,目的限制原則也很好地協調了個人權益保護和科技創新、經濟發展之間的關系。目的限制原則要求個人信息處理者在開始處理活動之前,就必須確定個人信息處理的目的,即個人信息處理必須具有明確、合理的目的。這就使得個人信息處理者可以據此發現其即將開展的個人信息處理活動對于個人權益可能產生的各種影響或風險,并且由于處理者必須將個人信息的處理限定在該目的范圍內,那么個人信息處理可能引發的風險不僅能夠被提前發現,并且可以被限制在初始目的的范圍內。因為,目的同一性要求后續的處理活動中不能創造出與原來的風險性質不同的風險或者增加風險。這樣一來,目的限制原則不僅保護了個人權益尤其是對個人信息處理活動享有的知情權與決定權,也為個人信息的處理者提供了足夠的空間,使得其能夠根據具體情況的特殊性,通過變更處理目的重新取得個人同意抑或維持原有的處理目的等方式找到最佳解決方案。故此,目的限制原則通過提供客觀上的法律尺度,使得處理者能及時評估各種處理活動的風險,有利于科技創新與發展數字經濟。
(三)目的限制原則的要求
1.明確、合理的目的
《個人信息保護法》第6條第1款規定,處理個人信息應當具有明確、合理的目的。這就是說,在處理個人信息之前就必須有明確、合理的處理目的。所謂明確的目的意味著:一方面,個人信息處理者應當使用清晰的、明確的言詞表達出其處理的目的,即目的必須是清晰的、明確地被表達出來的,而不能是秘密的、隱匿的或者含糊不清的;另一方面,明確的目的還意味著處理者的處理目的是有限定范圍的,不能是毫無限制、漫無目標的。即便使用了清晰的言語,但表達的是非常廣泛的處理目的,該處理目的也是不明確的。例如,網絡企業在告知個人時宣稱“本公司有權將所收集的個人信息用于任何本公司業務發展所需之合法用途”,顯然此類表述中的處理目的就是不明確的。個人信息的處理活動對個人的權益產生的危險越大,則對于處理目的的明確性與合理性的要求就越高。例如,對于敏感信息的處理,《個人信息保護法》第28條第2款就明確要求必須具有特定的目的。只有處理目的是明確的,才能確定處理活動是否符合法律、行政法規的規定,處理者才能據此采取相應的個人信息保護措施。例如,《個人信息保護法》第51條規定,個人信息處理者應當根據個人信息的處理目的等,采取相應的措施確保個人信息處理活動符合法律、行政法規的規定,并防止未經授權的訪問以及個人信息的泄露等。此外,明確的目的也有利于公開透明原則以及責任原則,尊重個人對其個人信息的處理所享有的知情權、決定權,使個人信息處理者為其處理行為負責。
個人信息處理的目的不僅僅應當是明確的,還必須是合理的。合理的目的首先應當是合法的目的,如果處理個人信息是為了履行法定的職責或者告知并取得個人的同意,則該處理就具有合法的目的。也就是說,如果符合《個人信息保護法》第13條第1款所列舉的情形而處理個人信息的,當然處理目的是合法的。不過,合法性只是對處理目的的基本要求,因為合法目的并非都是合理的目的。處理的目的合理與否,應當在考慮個案的具體因素的基礎上,權衡處理者與信息主體等各方的權益和自由,最好地實現個人信息權益的保護與個人信息的合理利用之間的利益協調與平衡。此外,目的的合理性也會隨著時間的推移而變化,這取決于科學技術的發展以及社會和文化態度的變化。
2.個人信息處理活動必須與處理目的直接相關
目的限制原則要求,處理者只能對個人信息實施符合初始目的的相應的處理活動,不得從事與處理目的無關的個人信息處理。歐盟《一般數據保護條例》提出了所謂的“數據兼容處理(compatible processing of data)”的概念,也就是說,數據的控制者可以對數據執行被認為與收集數據時的目的即初始目的相互兼容的所有操作。該條例第6條第4款還提出了一下判斷標準,即“當處理活動并非為了個人數據被收集時的目的,并且未基于數據主體的同意,亦非基于在民主社會構成一個必要且適當措施來保障本條例第23條第(1)款所述之目標的歐盟或成員國法律,控制者應當為了查明為其他目的進行的處理是否與個人數據被收集時的目的相一致而考慮,特別是:(a)任何在個人數據被收集時的目的和預期進一步處理的目的之間的聯系;(b)個人數據被收集時的情形,尤其是關于數據主體和控制者之間的關系;(c)個人數據的性質,特別是依據本條例第9條被處理的特殊類型的個人數據,或者是依據本條例第10條與刑事定罪和罪行有關的個人數據;(d)預計進一步處理給數據主體可能造成的后果;(e)適當的可能包括加密或匿名化的保障措施的存在。”我國臺灣地區“個人信息保護法”第5條則要求個人資料的處理應當與“收集之目的具有正當合理的關聯”。理論界認為,所謂具有正當合理的關聯是指個人資料的收集、處理或利用應當與收集的目的有正當合理的聯系,不得與其他目的做不當的連接,即不當連接禁止原則,例如通訊錄的制作和利用應當符合比例原則與具有正當合理的關聯。
我國《個人信息保護法》沒有采取歐盟的個人信息兼容處理的做法,而是規定得更為嚴格。《個人信息保護法》第6條第1款要求個人信息處理的活動“應當與處理目的直接相關”。這是因為:處理目的在個人信息處理活動中占據核心的位置,決定了個人信息處理者收集的個人信息是否為必要信息、收集的范圍是否屬于最小范圍,儲存個人信息的期限是否是最短時間等,這些都必須通過處理目的來判斷。將個人信息處理活動限定在與處理目的直接相關的范圍之內,有利于保護個人信息權益。無論個人信息處理是否基于個人同意,原則上處理者在處理個人信息前應當告知處理的目的和處理方式,除非法律、行政法規規定應當保密或者不需要告知(《個人信息保護法》第18條)。因此,個人通過了解個人信息處理目的可以預見個人信息處理活動可能給其造成的風險,同樣處理者也可以據此控制處理活動中的風險并預先作出安排。如果可以超出處理目的而進行各種處理活動,那么由此帶來的風險無論是對處理者而言,還是對個人而言,都是不可預測的。
問題是,如何判斷處理活動是“與處理目的直接相關”?首先要明確的是,《個人信息保護法》第6條第1款“與處理目的直接相關”中的“處理目的”是指個人信息處理者在處理個人信息前以符合法律規定的方式告知個人的“處理目的”。例如,A公司在收集個人信息時,通過個人信息處理規則等方式告知的處理目的。“直接相關”意味著處理者所開展的一系列的個人信息處理行為都應當是在該處理目的之內的,具有密切的關聯性。例如,張三在A公司的網上商城訂購新鮮牛奶,A公司每周送一箱到張三家中,為此張三提供了銀行賬號和家庭住址、聯系方式等個人信息。此后,A公司每周處理一次張三的這些信息,顯然都是與處理目的——向張三銷售并配送牛奶——直接相關的。但是,如果A公司為了推銷本公司的其他產品(包括相關的奶制品或其他品牌的牛奶)而利用張三的個人信息進行廣告推送,那么這一處理活動就與處理目的并不直接相關。在判斷是否“直接相關”上,應當采取非常嚴格的標準,即考察處理者后續實施的處理行為的目的是否被告知個人的處理目的所包含,或者雖然不包含但合理的人都認為二者之間是密切聯系的。
3.采取對個人權益影響最小的方式
所謂“個人權益”就是指因個人信息處理活動可能影響到的自然人的各種權益,既包括憲法上的基本權利如人格尊嚴和人身自由,也包括《民法典》規定的自然人的人身財產權益等,還包括《消費者權益保護法》《未成年人保護法》《婦女權益保障法》《殘疾人保障法》《老年人權益保障法》等法律規定的特殊群體的自然人享有的權益。處理者處理個人信息的活動,不可避免會對個人的權益造成各種影響。就個人信息處理者而言,在有多種處理方式可供選擇時,應當選擇其中既能實現個人信息處理目的,又對個人權益的影響最小的方式,這也是比例原則中“最小損害原則”的要求。換言之,處理者應盡可能減少所處理的個人信息的處理以及對個人信息的使用次數,以避免對個人信息權益造成不利的影響。
(四)個人信息最小化原則
《個人信息保護法》第6條第2款規定:“收集個人信息,應當限于實現處理目的的最小范圍,不得過度收集個人信息。”該款是專門針對收集個人信息作出的規定,其所確立的原則也被稱為個人信息最小化原則或數據最小化原則(Grundsatz der Datenminimierung)。該原則是目的限制原則與必要原則在個人信息收集環節的體現。一方面,個人信息的收集應當以必要為原則,不必要的個人信息的收集對于個人權益存在危險,對于處理者來說也不是好事(個人信息泄露的風險增加);另一方面,是否必要,還必須從處理目的能否實現的角度加以判斷,只要收集的個人信息對于實現處理目的而言已經足夠了,就不應當再收集了。凡是超過該范圍而收集的個人信息,都是不屬于必要的個人信息。由于個人信息的非法處理往往是從過度收集個人信息開始的,而過度收集的個人信息又面臨被非法買賣或泄露的風險。故此,我國《個人信息保護法》在第6條第2款專門對于個人信息的收集應當遵循個人信息最小化原則作出了規定,明確禁止過度收集個人信息。
收集個人信息應當限于“實現處理目的的最小范圍”,是指如果沒有某些個人信息,個人信息處理者的處理目的就完全無法實現或者說主要、核心的目的無法實現。例如,某一APP的運營者處理個人信息的目的是向用戶銷售書籍,而用戶如果不提供姓名、通訊地址和聯系電話,就無法交付書籍,顯然這些個人信息是實現銷售書籍這一目的所必需的。例如,《常見類型移動互聯網應用程序必要個人信息范圍規定》第3條規定:“本規定所稱必要個人信息,是指保障APP基本功能服務正常運行所必需的個人信息,缺少該信息APP即無法實現基本功能服務。具體是指消費側用戶個人信息,不包括服務供給側用戶個人信息。”該規定第5條針對最常見類型的39種APP的基本功能以及為實現該基本功能所需的必要的個人信息的范圍逐一作出了列舉。例如,地圖導航類的基本功能服務為“定位和導航”,必要個人信息為:位置信息、出發地、到達地。網絡約車類的基本功能服務為“網絡預約出租汽車服務、巡游出租汽車電召服務”,必要個人信息包括:(1)注冊用戶移動電話號碼;(2)乘車人出發地、到達地、位置信息、行蹤軌跡;(3)支付時間、金額、渠道等支付信息(網絡預約出租汽車服務)。再如,即時通信類的基本功能服務為“提供文字、圖片、語音、視頻等網絡即時通信服務”,必要個人信息包括:(1)注冊用戶移動電話號碼;(2)賬號信息,包括賬號、即時通信聯系人賬號列表。
三、公開透明原則
(一)公開透明原則的意義
公開透明原則(the transparency principle)是我國個人信息保護法中的一項重要原則。依據《個人信息保護法》第7條,公開透明原則是指,個人信息處理者在處理個人信息時應當采取公開、透明的方式,公開個人信息處理的規則,向信息主體明示個人信息處理的目的、處理的方式和處理的范圍。之所以要確立這一原則,是因為自然人對其個人信息的處理享有知情權和決定權(《個人信息保護法》第44條),如果個人信息處理者不以公開、透明的方式處理個人信息,而是采取隱秘的、暗箱操作的方式,那么該處理行為就侵害了自然人對其個人信息享有的知情權和決定權,即侵害了個人信息權益,這種處理行為是非法的處理行為。歐盟《一般數據保護條例》導言部分的第39條指出,透明原則“特別涉及數據主體關于控制者身份的信息和處理目的以及進一步處理的信息,以確保對有關自然人的公正和透明的處理以及獲得有關其正被在處理的數據的個人確認和通信的權利。應該讓自然人了解與處理個人數據有關的風險、規則、保障和權利,以及如何行使與處理有關的權利。特別是,處理個人數據的具體目的應清晰且合法,并在收集個人數據時予以明確。”包括歐盟《一般數據保護條例》在內的許多國家或地區的數據保護和個人信息保護法都要求處理者必須遵循透明的原則。例如,早在1980年的《經濟合作與發展組織關于隱私保護和個人數據跨疆界流動的指導原則》中就提出了公開原則,該指導原則指出:“公開原則可能被視為個人參與原則的先決條件,后一原則要生效,獲得關于個人數據的收集、儲存或利用的信息在實踐上必須是可能的。在自愿的基礎上從數據控制者處獲得的常規信息,涉及個人數據處理的活動的描述的官方登記者的出版活動和公共機構的登記,是一些(雖然不是全部)可能實現此種原則的方法。”再如,2018年美國加利福尼亞州的《消費者隱私法案(CCPA)》在第2節立法目的中指出:“人們期許隱私和其信息的更多控制。加利福尼亞消費者應當能夠就其個人信息行使控制權,并且期待防治個人信息濫用的保護措施。企業可能在尊重消費者隱私的同時,就其企業活動提供高水平的透明度”。依據2018年《巴西通用數據保護法》第6條第6款的規定,個人數據處理應當遵循透明原則,即“保證數據主體能夠就數據處理和相應的處理代理人獲得清晰、準確和易得的信息,且遵守商業和企業機密”。
(二)公開透明原則的要求
就作為信息主體的個人而言,公開透明原則賦予了個人對其個人信息享有知情權,據此產生了其有權向個人信息處理者查閱、復制其個人信息的權利,我國《個人信息保護法》第44、45條對之作出了規定。對于個人信息處理者來說,公開透明原則要求其履行以下義務:第一,個人信息處理者在處理個人信息時,應當通過清晰易懂的語言向個人告知相應的事項,從而確保個人是在充分知情的前提下,自愿、明確地作出同意的,除非法律、行政法規規定應當保密或者不需要告知的情形。《個人信息保護法》第14條第1款第1句規定:基于個人同意處理個人信息的,該同意應當由個人在充分知情的前提下自愿、明確作出。該法第17條規定,個人信息處理者在處理個人信息前,應當以顯著方式、清晰易懂的語言真實、準確、完整地向個人告知下列事項:(1)個人信息處理者的名稱或者姓名和聯系方式;(2)個人信息的處理目的、處理方式,處理的個人信息種類、保存期限;(3)個人行使本法規定權利的方式和程序;(4)法律、行政法規規定應當告知的其他事項。前款規定事項發生變更的,應當將變更部分告知個人。個人信息處理者通過制定個人信息處理規則的方式告知第1款規定事項的,處理規則應當公開,并且便于查閱和保存。這兩條規定就是基于公開透明原則的要求。此外,在個人無法或難以理解個人信息處理規則時,依據《個人信息保護法》第48條,個人還有權要求個人信息處理者對其個人信息處理規則進行解釋說明。
第二,當個人信息處理者因合并、分立、解散、被宣告破產等原因需要轉移個人信息或者向其他個人信息處理者提供其處理的個人信息,應當向個人告知接收方的名稱或者姓名和聯系方式、處理目的、處理方式和個人信息的種類等事項。《個人信息保護法》第22條和第23條分別對此作出了明確的規定。
第三,在利用個人信息進行自動化決策時,處理者應當保證決策的透明度和結果公平、公正。通過自動化決策作出對個人權益有重大影響的決定的,個人有權要求個人信息處理者予以說明,并有權拒絕個人信息處理者僅通過自動化決策的方式作出決定(《個人信息保護法》第24條)。
第四,依據《個人信息保護法》第27條,在公共場所安裝圖像采集、個人身份識別設備,應當為維護公共安全所必需,遵守國家有關規定,并設置顯著的提示標識,從而保障個人對其個人信息的知情權。
第五,個人信息處理者在處理敏感個人信息時,不僅要依法告知《個人信息保護法》第17條第1款規定的事項,還應當向個人告知處理敏感個人信息的必要性以及對個人權益的影響。
最后,發生或者可能發生個人信息泄露、篡改、丟失的,個人信息處理者采取措施無法有效避免信息泄露、篡改、丟失造成危害的,處理者應當通知履行個人信息保護職責的部門和個人。雖然采取措施能夠有效避免信息泄露、篡改、丟失造成危害的,但是履行個人信息保護職責的部門認為可能對個人造成損害的,有權要求個人信息處理者通知個人(《個人信息保護法》第57條)。
四、質量原則
(一)質量原則的涵義
質量原則,也稱數據質量原則或準確性原則(accuracy principle/der Grundsatz der Richtigkeit)。它是指,個人信息處理者應當保證其所處理的個人信息的質量,避免因為個人信息的不準確、不完整對個人權益造成不利影響。之所以有這一原則,是因為:在個人信息處理中,如果被處理的個人信息是不準確的或不完整的,就很容易因此對信息主體的個人權益造成不利影響甚至損害。個人信息可以重建自然人的某種狀態或某種特性,而由于此種狀態或特性的重建會產生相應的法律效果,所以信息或數據必須是完整的、準確的。例如,當征信機構所收集的個人信息是不準確的,存在錯誤或遺漏,就很可能導致從征信機構獲取該信息的信息使用者據此不給予信息主體發放貸款或者拒絕與其從事相應的交易。再如,政府部門在作出針對個人的行政許可或審批事項時,如果相關的個人信息是不準確的或不完整的,就會導致個人無法取得相應的許可或審批。故此,個人信息處理活動應當遵循質量原則,是各國數據保護法或個人信息保護法中的一項重要原則。例如,歐盟《一般數據保護條例》第5條第1款d規定,個人數據應當“準確,必要,及時;以個人數據處理目的為限,應采取一切合理步驟確保不準確的個人數據被及時地處理、刪除或修正。”再如,日本《個人信息保護法》第19條規定:“個人信息處理業者應當盡力在達到利用目的所必要的范圍內,將個人數據保持在準確且最新的內容,同時在喪失利用之必要后,立即徹底清除該個人數據。”
《個人信息保護法》頒布前,我國一些法律和法規也要求信息處理者所處理的信息必須是準確的,在發現錯誤或缺漏時,應當及時采取措施。《民法典》第1037條第1款規定:“自然人可以依法向信息處理者查閱或者復制其個人信息;發現信息有錯誤的,有權提出異議并請求及時采取更正等必要措施。”《征信業管理條例》第23條第1款規定:“征信機構應當采取合理措施,保障其提供信息的準確性。”第25條第1款規定:“信息主體認為征信機構采集、保存、提供的信息存在錯誤、遺漏的,有權向征信機構或者信息提供者提出異議,要求更正。”《個人信息保護法》從正面肯定了質量原則,即該法第8條規定:“處理個人信息應當保證個人信息的質量,避免因個人信息不準確、不完整對個人權益造成不利影響。”
(二)質量原則的要求
在個人信息處理活動中,質量原則對個人信息處理者提出的要求是,個人信息處理者應當積極采取各種技術措施和組織措施來檢查所處理的信息的質量,確保信息的準確和完整,從而最大限度地減少錯誤的風險,避免因個人信息不準確、不完整對個人權益造成不利影響。例如,依據《征信業管理條例》第16條的規定,征信機構對個人不良信息的保存期限,自不良行為或者事件終止之日起為5年;超過5年的,應當予以刪除。故此,作為信息處理者的征信機構應當確保在5年期限屆滿后,立即將該個人不良信息刪除,從而確保信息的準確。再如,當處理者發現個人信息已因時過境遷而不準確或不完整,但又無法予以更正或補充的,那么應當停止對該個人信息的處理。對于信息主體而言,質量原則意味著當自然人發現被處理的自己的個人信息不準確或不完整的,其有權要求個人信息處理者進行更正、補充,對此,《個人信息保護法》第46條賦予了個人補充更正權。
值得研究的是,如果因為個人信息處理者處理的個人信息不準確或不完整而給個人造成了損害,處理者是否承擔賠償責任?質量原則并不意味著個人信息處理者對個人信息的準確和完整承擔了擔保責任,只要個人信息不準確或不完整且給個人造成損害的,處理者就要承擔民事責任。就侵害個人信息權益的侵權賠償責任,《個人信息保護法》第69條第1款確立了過錯推定責任。故此,如果個人信息不準確或不完整非因處理者的過錯所致,而完全是因為客觀情況發生變化等所致,個人信息處理者可以證明自己沒有過錯的,就不需要承擔賠償責任。但是,如果個人已經向處理者指出了個人信息存在錯誤或缺漏,處理者不理會,不予更正或補充,則處理者存在過錯。再如,由于處理者沒有采取相應的技術措施,導致處理的個人信息被他人篡改而致錯誤的,顯然個人信息處理者存在過錯。這些情形中個人遭受損害的,處理者當然要承擔賠償責任。
五、責任原則與安全原則
(一)責任原則的意義
個人信息處理活動應當遵循責任原則(accountability principle),即個人信息處理活動應當采取問責制,處理者是個人信息處理活動的首要的責任主體,應當對其個人信息處理活動負責。一方面,個人信息處理者決定了個人信息和個人信息處理活動,其對處理活動具有控制力,基于控制力理論,處理者當然要為處理活動負責。另一方面,依據報償原則,利益之所在,風險之所歸。“如果一項法律允許一個人——或者是為了經濟上的需要,或者是為了他自己的利益——使用物件、雇傭職員或者開辦企業等具有潛在危險的情形,他不僅應當享有由此帶來的利益,而且也應當承擔由此危險對他人造成任何損害的賠償責任:獲得利益者承擔損失。”個人信息處理者為了自己的利益而從事處理活動,自然人也應當為此負責。歐盟《一般數據保護條例》首次明確了數據控制者的可問責性,即責任原則,該條例第5條第2款規定:“控制者應該負責,并能夠證明符合第1款。”該款將確保處理活動符合《一般數據保護條例》要求的責任以及相應的證明責任施加給控制者。歐盟《一般數據保護條例》所確立的責任原則包含兩個要素:一是,數據控制者要為確保處理活動的合規性(即符合《一般數據保護條例》的規定)而負責(responsibility);二是,數據控制者具有向監管機構證明此種合規性的能力(abiliity)。對于違反規定的控制者,依據《一般數據保護條例》第83條,可以處以1000萬歐元的罰款,如果控制者是企業,最高罰款應為上一財務年度全球總營業額的2%,以金額較高者為準。自己責任本來就是法律的基本原則,故此,我國《個人信息保護法》第9條也確立了責任原則,該條第1句明確規定:“個人信息處理者應當對其個人信息處理活動負責”。
(二)責任原則的要求
依據我國《個人信息保護法》第9條的責任原則,首先,個人信息處理者應當考慮到處理的目的、處理的方式和處理的范圍,以及處理活動給自然人的權益帶來不同程度的風險,采取適當的措施確保處理活動是依法進行的,符合法律法規的規定。依據《個人信息保護法》第51條,個人信息處理者應當根據個人信息的處理目的、處理方式、個人信息的種類以及對個人權益的影響、可能存在的安全風險等,采取相應的措施確保個人信息處理活動符合法律、行政法規的規定,并防止未經授權的訪問以及個人信息泄露、篡改、丟失。
其次,處理者應當依法指定個人信息保護負責人對個人信息處理活動以及相應的保護措施等進行監督。依據《個人信息保護法》第52條第1款,處理個人信息達到國家網信部門規定數量的個人信息處理者應當指定個人信息保護負責人,負責對個人信息處理活動以及采取的保護措施等進行監督。
再次,處理者應當定期進行合規審計。《個人信息保護法》第54條規定:“個人信息處理者應當定期對其個人信息處理活動遵守法律、行政法規的情況進行合規審計。”
最后,責任原則也意味著個人信息處理者要對違反法律規定處理個人信息的行為承擔行政責任、民事責任乃至刑事責任。對于違反法律規定處理個人信息的,依據《個人信息保護法》第66條,應當追究相應的法律責任,包括責令改正,給予警告,沒收違法所得,對違法處理個人信息的應用程序,責令暫停或者終止提供服務;拒不改正的,并處一百萬元以下罰款;對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款,情節嚴重的,罰款的數額可以達到五千萬元以上或者上一年度營業額百分之五以下罰款等,并可以責令暫停相關業務、停業整頓、通報有關主管部門吊銷相關業務許可或者吊銷營業執照。對直接負責的主管人員和其他直接責任人員處十萬元以上一百萬元以下罰款,并可以決定禁止其在一定期限內擔任相關企業的董事、監事、高級管理人員和個人信息保護負責人。《個人信息保護法》第69條規定了侵害個人信息權益的侵權責任,也是責任原則的具體要求。
(三)安全原則
個人信息處理中的安全原則,也被稱為保密原則,即個人信息處理者應當采取必要措施保障所處理的個人信息的安全,防止出現個人信息的泄露或者被竊取、篡改、刪除。之所以要保護個人信息,就是因為個人信息是能夠識別特定自然人的信息,該信息一旦被非法處理(如發生泄露、竊取、篡改或刪除等)會對特定的自然人的人格尊嚴以及人身財產權益造成損害,個人信息處理中必須確保信息的安全,防止出現個人信息未經授權或非法處理以及意外丟失、破壞或損壞。歐盟的《一般數據保護條例》第5條第1款f要求,個人數據應當“以確保個人數據適度安全的方式處理,包括使用適當的技術性或組織性措施來對抗未經授權、非法的處理、意外遺失、滅失或損毀的保護措施”。
我國《個人信息保護法》頒布前,不少法律就明確規定了個人信息處理者負有保障信息安全的義務。2012年頒布的《全國人民代表大會常務委員會關于加強網絡信息保護的決定》第4條規定:“網絡服務提供者和其他企業事業單位應當采取技術措施和其他必要措施,確保信息安全,防止在業務活動中收集的公民個人電子信息泄露、毀損、丟失。在發生或者可能發生信息泄露、毀損、丟失的情況時,應當立即采取補救措施。”此后,《網絡安全法》第42條第2款規定:“網絡運營者應當采取技術措施和其他必要措施,確保其收集的個人信息安全,防止信息泄露、毀損、丟失。在發生或者可能發生個人信息泄露、毀損、丟失的情況時,應當立即采取補救措施,按照規定及時告知用戶并向有關主管部門報告。”《民法典》第1038條第2款規定:“信息處理者應當采取技術措施和其他必要措施,確保其收集、存儲的個人信息安全,防止信息泄露、篡改、丟失;發生或者可能發生個人信息泄露、篡改、丟失的,應當及時采取補救措施,按照規定告知自然人并向有關主管部門報告。”
《個人信息保護法》第9條將保障個人信息的安全即安全原則規定為個人信息處理活動應當遵循的一項基本原則。同時,第51條還明確詳細規定了處理者為保護個人信息安全,防止未經授權的訪問以及個人信息泄露、篡改、丟失而應當采取的措施類型,具體包括:(一)制定內部管理制度和操作規程;(二)對個人信息實行分類管理;(三)采取相應的加密、去標識化等安全技術措施;(四)合理確定個人信息處理的操作權限,并定期對從業人員進行安全教育和培訓;(五)制定并組織實施個人信息安全事件應急預案;(六)法律、行政法規規定的其他措施。此外,《個人信息保護法》第57條對于個人信息處理者發現個人信息泄露,應當采取補救措施和通知履行個人信息保護職責的部門和個人以及通知應當包括的事項作出了更具體的規定。這些都是安全原則的具體體現。
