• 中国社科院法学所 刘明

随着智能手机与移动互联网技术的迅速普及,各类App正逐渐成为越来越多市场主体为用户提供服务的主要甚至唯一渠道,而相较于线下实体店及PC端的线上交易平台,由于智能手机自身带有众多传感设备,且多为用户随身携带,因此,App运营者在向用户提供服务的过程中,有条件获得更多种类和数量的个人信息。然而,此种特性是一把双刃剑,一方面,App运营者可以借助丰富的个人信息资源不断改善用户体验,并在商业模式上推陈出新;另一方面,也给用户的个人信息安全带来更大隐患,在实践中最为突出的表现之一,便是对用户个人信息的过度索取。鉴于此,中央网信办、工业和信息化部、公安部、市场监管总局四部门正在全国范围内组织开展App违法违规收集使用个人信息专项治理行动,其中的治理重点便是违规获取个人信息行为。故笔者不揣浅陋,拟以我国现行法规定为基础,并结合比较法上的相关经验,对个人信息获取行为的合法性基础进行分析,并提出自己的观点。

一、对个人信息收集范围设置外部限制的必要性

从某种程度上说,收集个人信息是各类个人信息安全问题的开端,因此,对个人收集行为进行合理规制,将有助于从源头处降低信息主体所面临的风险。为了达到这一目标,不少国家和地区在相关规范中,都对个人信息收集行为的合法性基础设置了“两步验证法”。首先,对于个人信息的收集,需要以信息主体的同意为前提条件,以体现信息主体对其个人信息的控制力,并保障信息主体对于个人信息收集和使用行为的知情权;其次,在获得信息主体同意的基础上,再叠加一层对个人信息收集范围的法定限制,即使信息主体明确表示同意,信息控制者亦不能突破此种限制收集个人信息。

欧盟《通用数据保护条例》(GDPR)第5条(1)(c)款规定,数据控制者收集的个人信息范围对其数据处理目的而言,应当是适当、相关且必需的,除此之外,不得收集其他个人信息;新加坡《2012年个人信息保护法》第14条(2)款规定,信息收集者不得以信息主体同意其收集、使用或披露超出产品或服务合理范围的个人信息,作为向其提供产品或服务的条件;香港《个人资料保护条例》亦有类似规定:除非个人资料是为了直接与将会使用该数据的数据用户的职能或活动有关的合法目的而收集,且就该目的而言,资料属足够但不超乎限度,即资料收集对该目的是必需的或直接与该目的有关的,否则不得收集资料。

我国现行法对于个人信息收集行为合法性的判断,同样采取了此种制度设计,集中表现为《全国人大常委会关于加强网络信息保护的决定》《网络安全法》以及《消费者权益保护法》中关于收集、使用个人信息应当遵循“合法、正当、必要”原则的规定。其中,“合法”原则主要表现为个人信息收集行为应取得信息主体的同意,而“正当”和“必要”原则,则是立法者对于个人信息收集范围设置的外部限制。结合我国现行法规定,并为方便表述,下文将此种外部限制统称为“必要性要求”。

笔者认为,相较于单纯依靠“知情-同意”架构对个人信息收集行为的合法性进行判断,在获得信息主体同意的基础上,附加对个人信息收集范围的必要性要求,在目前的社会环境中是合理且必要的。具体来说,在“知情-同意”架构下,无论是采取选入(opt in)还是选出(opt out)模式,个人信息收集行为的合法性均主要来自信息主体的(明示或默示)同意,即信息主体与信息收集者基于意思自治达成的合意。然而,行为人若想通过意思自治对自己的权利义务作出合理安排,需要具备充分的判断能力,但是,恰恰在这方面,信息主体普遍存在理性不足的情况。一方面,在实践中,由于信息控制者提供的个人信息收集规则往往晦涩难懂且长篇大论,因此,大多数信息主体都不会真正阅读其具体内容,导致对信息的获取严重不足;另一方面,即便信息主体认真阅读了相关内容,能否真正了解其含义并在此基础上做出理性的判断,也是个未知数。为了解决这一问题,监管者固然可以要求经营者以通俗易懂、简单明了的方式展示个人信息收集规则,但是,随着单个App承载的服务内容不断增多且相互交融,个人信息收集规则也愈发复杂,这使展现形式的简化与展示内容的全面之间可能存在难以调和的矛盾,恐难以从根本上解决信息主体对个人信息收集规则缺乏了解的问题。更何况,上述分析还只是以单一App为例,在现实生活中,人们往往会使用多个App,而每个App可能都有一套不同的个人信息收集规则,这将进一步增加信息主体对个人信息收集规则的了解难度。

总而言之,由于信息主体与信息控制者之间,对于个人信息收集规则普遍存在明显的信息不对称情况,导致“知情-同意”架构的有效性大打折扣,信息主体作出的“同意”不仅无法准确反映其真实的利益诉求,反而可能成为信息控制者用以证明其收集行为合法性的工具。在此种情况下,为避免信息控制者利用订约优势过度收集个人信息,有必要从外部对个人信息的收集范围予以限制,以实现对信息主体合法权益的有效保护。

二、个人信息收集范围必要性要求是政策选择的结果

诚如前文所言,在目前的市场环境下,通过设置必要性要求对个人信息的收集范围进行限制,对于信息主体合法权益的保护是必要性的,值得注意的是,必要性要求对于信息主体的行为自由以及个人信息多元价值的有效发掘,也造成了一定程度的“副作用”。此种副作用的存在揭示,必要性要求并非源于个人信息权利的内在属性,而是立法者基于现实情况代替信息主体作出的一项最为安全的选择,颇具法律父爱主义(Paternalism)色彩。具体来说,必要性要求的“副作用”主要体现在两个方面。

第一,必要性要求的设置,从源头处限制了信息控制者对于个人信息价值进行发掘和利用的空间,并可能对其既有商业模式的运行造成影响。以互联网行业为例,网络用户以授权网络服务提供者收集和使用其个人信息为对价,获得后者提供的网络服务,早已成为一种常态。所谓“免费”服务只是一种假象,网络用户无非是以个人信息取代了货币,作为向网络服务提供者支付对价的手段罢了。在此种交易关系中,网络用户若想对于个人信息的授权构成一项真正有意义的对价,那么,其授权的范围就不可能仅以实现网络服务功能的最小必要为限。毫无疑问,必要性要求的设置将会对此种商业模式的运行造成或多或少的影响,并间接影响市场主体对于个人信息价值的发掘和利用。

第二,必要性要求在对个人信息收集行为进行限制的同时,也实质上限制了信息主体根据自己的意愿,授权他人收集和使用个人信息的自由。事实上,个人信息作为信息主体的一项人格要素,在法律性质上与肖像、姓名并无本质区别,且与肖像、姓名等人格要素相比,许多类型的个人信息与信息主体的人格利益之间,并不存在更为直接和紧密的关联。对于这些个人信息的收集和使用,即使与信息控制者提供的产品或服务完全无关,也并不必然导致信息主体的人格利益遭受损害。既然现行法允许自然人根据自己的意愿,在不违反法律强制性规定和公序良俗的前提下,授权他人以各种方式使用其肖像、姓名等人格要素并从中获取对价,那么,从理论上说,信息主体也应享有同等的自由。在此种情况下,立法者对个人信息收集行为设置必要性要求,实际上已经构成对信息主体行使个人信息权利的某种限制,只不过由于此种限制在目前看来是合理且必要的,因此,从外观上看,其更多表现为立法者为信息主体创设的一项保护措施。

综上所述,在个人信息收集环节设置必要性要求,是立法者经过利益权衡后作出的一项政策选择,因此,在确定其具体内容时,应始终锚定其据以产生的合理性基础,并根据社会发展的实际情况对其进行动态调整,以实现多方主体利益的平衡兼顾。

三、对数据最小化原则的反思

个人信息的收集规则,不仅关涉信息主体的个人利益,对于数字经济时代信息资源利用规则的构建,亦有重要影响。因此,兼顾信息主体人格利益的保护以及个人信息经济和社会价值的利用,已成为世界各国个人信息法律规范的共同价值目标,而对于必要性要求具体内容的设定,也应始终贯彻此种价值取向,在个体利益与社会公共利益之间寻求平衡点。

对于必要性要求的内容,欧盟GDPR提出了数据最小化(data minimization)标准,即数据控制者应以达成其数据处理目标的实际需要为限,对个人数据进行收集、存储、处理和传输,不能为未来可能发生的用途而在当下收集个人数据。我国《信息安全技术 个人信息安全规范》提出了与数据最小化标准较为类似的“最小必要”标准,要求收集的个人信息类型应与实现产品或服务的业务功能有直接关联,且符合最低频率和最少数量的要求。笔者认为,数据最小化标准固然为信息主体的个人信息安全提供了十分周延的保护,但是,综合考虑我国目前数字经济产业的发展现状,不宜以数据最小化标准确定必要性要求的内容。主要理由如下:

第一,立法背景不同。根据《欧盟基本权利宪章》(EU Charter of Fundamental Rights)第8条之规定,保护个人信息是欧盟公民的一项基本权利,而基本权利天然具有不可让渡性,这是GDPR确立数据最小化标准的重要理论基础。在我国现行法律体系中,个人信息权主要被视为一项具体人格权,而信息主体作为权利人,理应对个人信息这一人格要素享有一定程度的自由处置权,立法者不宜以“一刀切”的方式作过于严格的限制。

第二,过度制约个人信息资源的利用效率。从信息主体的角度看,数据最小化标准确实可以为其提供最为直接和有效的保护,然而,个人信息作为整个社会信息资源的重要组成部分,在信息资源的合理安排体系中不能缺位。通过对个人信息的广泛收集和深度分析,商业机构可以更为准确地预测市场走向,对生产和销售资源进行适应性调整;政府部门可以显著地提高公共事件的应急和处理能力,为人们提供更为优质的公共服务;公共卫生部门可以准确预测疫情的发生概率,并提前做好防范措施,而所有这一切,都必须建立在对个人信息的有效利用基础之上。在此种背景下,为了保护信息主体的人格利益而采用数据最小化标准,仅允许信息控制者以实现既有产品或服务的功能为目的收集数据,将极大限缩个人信息资源的利用空间,并降低个人信息资源的利用效率,恐有违比例原则的要求。

综上,笔者认为,在确定必要性要求的具体内容时,不宜简单采取“越少越好”的单一标准,毕竟,通过设置必要性要求限缩个人信息的收集范围只是一种手段,根本目的还是为了保障信息主体能够通过对其个人信息的传播和使用进行合理控制,从而实现其对人格利益的保护和发展。质言之,个人信息保护法律规范追求的是信息主体福利的最大化,而非简单的权利最大化。因此,在设置必要性要求的具体内容时,除了考察信息控制者所欲收集的个人信息与其产品或服务功能的实现之间是否存在直接关联以外,还需要重点考察信息主体对于个人信息收集规则的理解能力,以及是否能够作出反映其真实意愿的有效选择,以期做出更为精细化的制度安排。如果在特定场景下,信息主体确有条件作出充分理性的选择,那么,必要性要求这种外部约束机制,就应相应让位于信息主体的意思自治。以App运营者为例,其通过App获取用户个人信息的方式主要有二:一是信息主体主动提供的信息(Volunteered data);二是通过App调用手机传感设备对用户的使用行为进行“观察”所得的信息(Observed data)。由于在这两种获取模式中,信息主体对于个人信息收集规则的认识和判断能力存在天然差异,(相较于信息主体主动提供的个人信息,当App运营者通过调用手机权限获取信息时,信息主体可能无法随时掌握收集行为的实际情况),因此,在设置必要性要求的具体内容时,也应采取不同的标准。

四、结语

相较于信息主体对于个人信息的自主控制权,对个人信息的可收集范围设置必要性要求,在本质上是一项辅助措施,该项措施的加入,是以信息主体无法仅凭自己的能力,对个人信息的收集和使用规则做出理性判断为前提条件的。因此,必要性要求的适用范围和具体内容,与信息主体对个人信息收集规则作出理性判断的能力存在此消彼长关系。

笔者认为,在个人信息保护产业以及相关技术不断发展和创新的大背景下,此种力量对比关系不可能是静态的,在不同的场景之下,此种关系也不可能是完全一致的。因此,在必要性要求的设置和适用过程中,应始终保持务实的态度,根据信息主体相关能力的发展情况以及不同场景的特殊情况作出相应判断,以期实现信息主体意思自治与外部保护之间的有机结合,在信息主体人格利益受到有效保护的同时,促进个人信息社会价值和经济价值的开发利用,为经济发展、科技进步以及社会有效治理提供支持。

(本文刊登于《中国信息安全》杂志2019年第3期)

声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。