文 | 麻策律师
一、“帝王”原则:目的限制
个人信息处理的总原则是随着时代的进步而不断演变的。
相比较于《网络安全法》,《个人信息保护法》将个人信息处理的原则丰富为合法正当必要诚信、目的限制、公开透明、质量保障、安全保障五大主体原则。这些总原则将始终贯穿个人信息处理的全生命周期流程之中。
在个人信息处理所遵循的各类重要原则中,人们往往认为“合法、正当和必要”是最核心的个人信息处理原则。但实际上,个人信息“目的限制”原则才是个人信息处理中的“帝王原则”。原欧盟第29条数据保护工作组甚至在2013年4月2日所通过的《关于目的限制的第03/2013号意见》中认为“目的限制原则是数据保护的基石”,从而将目的限制原则的地位“无限”拔高。
为什么会这样?
很多时候,我们往往需要结合特定的目的,才能明确评价特定行为的合法正当性。这就像我们无法单独以“某人拿起一把菜刀”这一处理行为而对其加以合法或否定性评价,而只有当说明“某人拿起一把菜刀……是为了伤害他人”或是“某人拿起一把菜刀……是为了切菜”不同处理目的时,其处理行为的合法、正当和必要性才能够加以判断,行为目的的转变会带来截然不同评价结论。
在个人信息保护领域,也是同样的道理,我们往往需要结合特定的目的,才能明确评价个人信息处理的合法正当必要性,或者是否符合公开透明性。比如,电子商务经营者明确其收集手机号码是为了交付商品之业务目的时具备必要性,但电子商务类APP称收集身份证号用于交付商品之业务目的显然就不具有必要性了,而电子商务类APP声称将通过身份证号甚至地理位置用于特定的风险防控时却仍然可能具有必要性。另外,当个人信息处理者基于遵守法律法规的保密事项目的而拒绝向个人实施公开透明时,其仍然具有合法正当性。
在实践中,企业往往会遇到非常多的情形而感到彷徨,特别是在《常见类型移动互联网应用程序必要个人信息范围规定》出台之后,这一彷徨的现象愈演愈烈。企业往往在对照该规定并锚定所属行业之后,对该规定之外的个人信息收集有着“谈虎色变”的认知。例如,电子商务行业企业业务往往有意向收集用户的银行卡号或人脸识别信息,而法务部门可能直接以超出该规定明确的收集范围,丧失必要性为由直接予以否定。
二、基于“目的”的必要性示例
在当前抗击新型冠状病毒肺炎大局之下,各地方政府均出台了各具特色的政府数字消费券,有力的提振了市场和消费信心。目前,大量的政府数字消费券是结合不同平台的特点而组织实施的,例如“2022北京餐饮消费券”就通过美团、饿了么以及相关银行的app而实施发放。
政府数字消费券和一般商业型消费券不同之处在于,其发放的目的是为了刺激消费、扩大内需和保障民生,和一般商业促销有本质区别,具有极强的公共利益属性,故为公平起见,数字消费券一般供不应求,且限一人一份。因此,数字消费券需要实施必要的实名认证才能有效保障公平公正,否则易引发多领、冒领等情形,同时各大平台也有义务向政府机构提报个人信息用于政府审计等处理工作。通过跟踪观察,为了实现实名认证,各入围政府合作的发放平台均需要提交相关申报材料以说明防止多领或冒领的具体保障措施,防止“羊毛党”“黄牛党”恶意刷单或套现。在这些措施中,主要包括收集(或使用现有的)身份证号(个别地区甚至要求以人脸识别方式实施认证),并强制要求打开APP的位置权限以明确用户位于当地辖区,否则一概拒绝不符合条件的用户参与申领消费券。
因此,虽然在常规的电子商务领域,身份证号等强实名认证信息虽然不具有收集处理的“必要性”,但在政府数字消费券场景下,收集身份证号等实名认证信息用于发放消费券,属于民法典和个人信息保护法规定的“为了公共利益而在合理范围内处理个人信息”之目的,在此目的下,相关个人信息的处理即在一定程度上具有合法、正当和必要性。
三、如何理解目的限制原则
早在1981年1月28日,开放供成员国签署和非成员国加入的《关于在自动处理个人数据方面保护个人的公约(第108号)》在其第二章第5条“数据质量”原则中,明确提出了个人数据应遵循“为特定的合法目的而储存,并且不以与这些目的不相容的方式使用……就储存目的而言,足够、相关且不过分”的规则,“目的限制”的概念被明确确立为数据保护的基本原则之一。
欧盟GDPR第 5(1)(b) 条规定基本上沿袭了核心框架,明确目的限制原则指的是为特定、明确和合法的目的而收集,并且不会以与这些目的不相容的方式进一步处理;根据GDPR第 89 条第 1 款,出于公共利益、科学或历史研究目的或统计目的的存档目的的进一步处理不应被视为与初始目的不符。即,处理个人数据的具体目的应明确且合法,并在收集个人数据时即确定,个人数据应充分、相关并仅限于处理目的所必需的内容。只有在处理与最初收集个人数据的目的兼容的情况下,才允许出于最初收集个人数据的目的以外的目的继续处理个人数据。
在我国《个人信息保护法》规定目的限制原则之前,我国《网络安全法》和《民法典》只明确要求目的须“明确”,除此外并无更多详细规则。《个人信息安全规范》(GB/T 35273—2020)将“目的明确——具有明确、清晰、具体的个人信息处理目的”作为个人信息安全的总体原则,而将“个人信息使用的目的限制”置放于“个人信息的使用”环节之中加以要求。可以看出,《个人信息安全规范》中的目的限制和目的兼容内涵是来源于GDPR的规则。
目的限制原则含义 | 依据 | 释义说明 |
目的明确 | 《个人信息保护法》第6条第一款 | 目的表述必须是清楚无歧义,非模糊或非笼统的,例如“改善用户体验”或“未来的研究”此类一般均不属于明确 |
目的合理 | 目的本身是合法的,同时也是合理的,并符合大众预期的处理目的。 | |
目的事先确认 | 必须在收集个人信息行为发生之前就确定和固定,并且在任何情况下都不得晚于该时间之前即指定目的 | |
和处理目的直接相关,对个人权益影响最小 | 处理个人数据的种类、范围应当与处理目的有直接关联,不处理该个人数据则处理目的无法实现; 处理个人数据的数量应当为实现处理目的所必需的最少数量; 处理个人数据的频率应当为实现处理目的所必需的最低频率; 个人数据存储期限应当为实现处理目的所必需的最短时间,超出存储期限的,应当对个人数据予以删除或者匿名化,法律、法规另有规定或者经自然人同意的除外; 建立最小授权的访问控制策略,使被授权访问个人数据的人员仅能访问完成职责所需的最少个人数据,且仅具备完成职责所需的最少数据处理权限。 | |
基于处理目的最小化收集 | 《个人信息保护法》第6条第二款; 参考《深圳经济特区数据条例》 | |
处理目的符合合法、正当、必要 | 《个人信息保护法》第56条 | 个人信息处理的目的必须仍然要符合合法、正当、必要的原则 |
处理敏感个人信息须具有特定的目的 | 《个人信息保护法》第28条 | 目的特定和“明确、合理”之间的关系 |
目的兼容 | 《个人信息安全规范》7.5 《个人信息保护法》第17条、21-23条 | 将所收集的个人信息用于学术研究或得出对自然、科学、社会、经济等现象总体状态的描述,属于与收集目的具有合理关联的范围之内 |
四、如何应用目的限制原则
在个人信息领域,某些定义有着非常深奥的且可适当量化的意义,但某些定义存在一定程度的“和稀泥”作用。例如,《个人信息保护法》语境下的“目的明确”和GDPR语境下的“特定、明确目的”总体仍是含义一致的,处理敏感个人信息中目的的“特定”虽然用词突兀,但从实践来看未发现有任何特别的意义。
关于“目的”描述的颗粒度应当尽可能精确。例如,当个人信息处理者在收集手机号码时,将“为用户提供电子商务服务”作为目的,和将“为用户提供商品交付”作为目的,两者的颗粒度是完全不同的,前者一般就不属于目的明确。
在设定产品功能及个人信息处理目的时,应当评估所设定的目的是否仍可进行目的再拆解,例如收集用户个人信息以“作为数字消费券的申领”的概括性目的,还可以继续拆解为收集信息作为身份验证之目的,作为消费券使用之目的以及向政府部门进行审计监督等子项目的。
关于多重目的捆绑或合一并非完全不可取,毕竟最初将各项目的捆绑的本身也是一种“明确”形式,我们任意打开一个隐私政策,这类目的捆绑的实例实在太多。例如,个人信息处理都收集用户的手机号码用于注册的目的,并同时用于安全保障的目的。唯一的区别在于表述方式的差别,即是选择将不同目的分拆并对应具体的个人信息类型进行表述(个人信息类型将在不同目的中重复表述),还是将同一个人信息对应两个不同的处理目的,前者是较为妥当地做法。
目的明确所针对的首要对象应当是数据主体用户,条款宜让数据主体用户便于达成无过多理解的统一认识。当然,针对老年人、青少年的游戏网站等场景下,其目的表述明确性可能要基于该类群体可认识的方式进行表述。
目的合理的本质含义应当是“合法+合理”。GDPR语境下,目的限制的主要要求是达至目的合法状态,而《个人信息保护法》要求目的须为合理,合法和合理并非完全能够兼容。在某个人信息侵权案件中,北京互联网法院认为:“(收集用户通讯录个人信息)就信息使用的目的而言,除满足或促进用户在App中建立社交关系外,还具有一定的商业目的,但个人信息的合理使用并不必然排除出于商业目的的使用。”在此场景中,虽然多重个人信息的处理目的具有合理性,但超期存储的处理行为可能并不妥当。
五、目的限制的例外:目的兼容场景
目的兼容原则是目的限制中的例外场景,在符合目的兼容原则情况下,个人信息处理者可以改变原公示明确的目的,而将个人信息转作他用。GDRP要求,收集之后针对个人信息的任何处理,无论是为了最初指定的目的还是为了任何其他目的,都必须被视为“进一步处理”,因此必须满足兼容性要求。
在欧盟GDPR语境下,该指令的第5(1)(b)条对目的兼容场景进行了合法性声明,即个人信息处理者基于公共利益进行档案管理,出于实现科学研究或历史研究目的、统计目的而进一步处理个人数据的,不视为不符合初始目的。
事实上,上述所谓的统计、研究等目的本身也是具有极大的不确定性的。例如,从商业统计目的(如对网站的分析统计以进行市场研究),到数据产品研究(如对用户的人脸照片进行识别以训练算法模型),均可视为一种统计和研究,那么这些研究是否可以兼容性地处理,该类处理在《个人信息保护法》下能否找到相应的合法性基础呢?这仍有必要单独分析,例如智能电表收集住户的个人信息以实施电价记费,但政府部门出于公共安全或犯罪侦查考虑要求电力公司提供电价记录,虽然不符合用户的期待,但仍然具有合法性基础。同时,电力信息收集后,用于形成数据产品,以便于第三方商业公司提供社区或商业物业用电情况调研(例如通过整体物业用电情况判断商业热度,以用于承租决策),该类信息的处理最终呈现时已不具有个人信息的属性,故可作为目的兼容处理。
在特定情况下,目的兼容场景的适用,可能只是个人信息在收集时没有或无法完全表达所有的收集细节,目的表述不够详细,但是不论如何,在后的个人信息的处理也明显满足数据主体的合理隐私期望。例如,用户向牛奶饮品电商平台购买每日早晨牛奶,或者用户向生鲜电商平台订购每周一次的上门送菜服务,或者律师事务所向体检中心订购了年度体检服务,则该类平台和服务机构将在首次收集个人信息后,继续按日、按周或按年处理用户的个人信息,以完成服务,这种后续处理显然是符合用户的期待的。
用户的合理隐私期待将非常重要,其直接关系到用户对个人信息处理的合法性问题。合理隐私期待应在数据主体的视角下,审视一个理性的人会根据收集的背景,期望个人信息用于什么目的。例如,收集用户的手机号码用于交付商品,但客服可以利用手机号码发送广告或售卖,则后者的使用将超出用户的合理期待。再例如,电商平台披露“收集用户的购买记录来实施必要的个性化推荐”,但电商平台进行数据分析时,先从购买记录分析用户高概率已怀孕,因此给用户推送了备孕商品,虽然个性化信息推送本身符合用户的期限,但评估用户是否怀孕应当属于高敏感个人信息或隐私,不宜作为画像的标签进行数据处理。
声明:本文来自网络法实务圈,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。