张新宝
中国人民大学民商事法律科学研究中心研究员、法学院教授
在个人信息处理的五项基本原则中,合法、正当、必要与诚信原则是个人信息处理的总体原则,在各项基本原则中发挥统领作用;目的原则以个人信息处理的目的为核心,对处理者处理个人信息的限度提出了全面的要求;公开透明原则的主要作用是强化个人的主体地位,促进个人对个人信息处理活动的知情与理解;质量原则旨在保证个人信息的准确性、完整性和时效性,是在个人信息处理活动中保护个人信息权益,实现个人信息经济价值和社会管理价值的基本前提;责任原则要求处理者对其个人信息处理活动负责,并将安全作为其负责的重点内容,违法时还承担相应的法律责任。
五项基本原则在价值上具有一定的位阶关系,在内容上各有侧重同时又彼此间相互协调,实践中可能发生多项基本原则的综合适用。
目次
引言:立法目的指导下的基本原则
一、合法、正当、必要与诚信原则
二、目的原则
三、公开透明原则
四、质量原则
五、责任原则
结语:基本原则的综合适用
本文原题为《个人信息处理的基本原则》,来源为《中国法律评论》2021年第5期专论(第18-27页),原文13000余字,为阅读方便,脚注从略。如需引用,可参阅原文。购刊请戳这里。
本文为国家社科基金2021年重大项目(21ZDA050)的阶段性成果。
引言:立法目的指导下的基本原则
《个人信息保护法》第1条规定:“为了保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用,根据宪法,制定本法。”通过立法手段进一步加强个人信息保护法制保障,维护网络空间良好生态,在实现好、维护好、发展好广大人民群众个人信息权益的同时促进信息数据依法合理有效利用,推动数字经济持续健康发展,是个人信息保护法在历次审议过程中一以贯之的立法目的。
在这一立法目的的指导下,《个人信息保护法》第5—9条分别规定了个人信息处理的合法、正当、必要与诚信原则、目的原则、公开透明原则、质量原则和责任原则。这些基本原则既是处理者开展个人信息处理活动的基本遵循,也是构建个人信息保护具体规则的制度基础。
在比较法上,欧盟《通用数据保护条例》第5条、经济合作与发展组织发布的《隐私保护与个人数据跨国流通指南》(以下简称《OECD指南》)第7—14条、欧洲委员会发布的《个人数据处理中的个人保护公约》第5—7bis条、《德国联邦数据保护法》第47条、《韩国个人信息保护法》第3条、《塞尔维亚个人数据保护法》第5条等条文也规定了类似的基本原则。《个人信息保护法》确立的五项基本原则一方面借鉴了前述比较法经验,另一方面在结构和内容的设计上又与前述规定有所不同。
本文将以《个人信息保护法》的立法目的为出发点,以相应条文的文本为依据,对个人信息处理基本原则的理解与适用进行探究,并得出相应的结论。
合法、正当、必要与诚信原则
《个人信息保护法》第5条规定:“处理个人信息应当遵循合法、正当、必要和诚信原则,不得通过误导、欺诈、胁迫等方式处理个人信息。”该条文规定了个人信息处理的合法、正当、必要与诚信原则。在比较法上,欧盟《通用数据保护条例》第5条第1款第a项规定,个人数据应以对数据主体合法、公平和透明的方式而被处理(“合法性、公平性和透明性”)。《OECD指南》第7条规定:“个人数据的收集应受限制,获得数据的手段必须合法和公平,情形允许时应经数据主体知晓或同意。”
我国《全国人民代表大会常务委员会关于加强网络信息保护的决定》(以下简称《决定》)第2条第1款、《网络安全法》第41条第1款、《民法典》第1035条第1款等条文均规定处理个人信息应当遵循合法、正当、必要原则。《个人信息保护法》第5条在合法、正当、必要原则的基础上,补充规定诚信原则,并对通过误导、欺诈、胁迫等方式处理个人信息的行为作出针对性规定。
《个人信息保护法》第5条的规范含义可从以下五个方面来理解:
第一,合法。合法的核心功能是规范指引,法律法规对处理个人信息有规定的,处理者应当遵循法律法规的规定,其中基础性规范包括《个人信息保护法》《民法典》《网络安全法》《数据安全法》的相关规定。合法的内涵具体可以分为两个方面:
其一,处理者处理个人信息必须具备法律法规规定的合法性基础。依照《个人信息保护法》第13条的规定,如不存在该条第1款第2—7项规定的情形,处理者处理个人信息应当取得个人的同意。《个人信息保护法》第29条对敏感个人信息的处理提出了更为严格的要求,处理者只有在取得个人单独同意时方可处理。
其二,处理者在处理个人信息时必须履行法律法规为其设定的义务。《个人信息保护法》以及相关法律法规为处理者设定了广泛的个人信息保护义务。例如,《个人信息保护法》第五章规定了处理者采取必要措施保障个人信息安全、指定个人信息保护负责人、对个人信息处理活动进行定期合规审计并进行事前风险评估、当发生个人信息泄露时及时采取补救措施等义务。依照《个人信息保护法》第58条的规定,作为互联网生态“守门人”的大型在线企业还负有个人信息保护方面的特殊义务。
第二,正当。正当包括目的正当与手段正当,处理者处理个人信息的目的和手段均应当符合正向价值判断。通过个人信息处理,处理者旨在实现的目的应当是增进个人利益或者社会公共利益等正当目的,而非损害他人权益、破坏公共秩序等不正当目的。例如,美国“梅根法”(Megan’s Law)规定,已确定有罪的性犯罪人必须向执法机关登记,并根据性犯罪人对社区可能的危险程度、信息的变更等提供各种层次的社区公告,以提醒社区公众提高警惕,预防犯罪的发生。
执法机关公开性犯罪人行踪、住址、体貌特征等个人信息的目的在于保护社区居民尤其是未成年人的安全,属于正当目的。而诈骗或者帮助他人诈骗等目的则属于不正当目的,处理者如基于此等目的向他人出售或者提供公民个人信息,可能构成《刑法》第253条之一所规定的侵犯公民个人信息罪。手段正当要求处理者处理个人信息所采用的方式方法应当符合社会公众的一般期待以及公序良俗的要求。例如,部分经营者利用消费者个人数据画像,采取算法应用,锁定特殊消费群体,实施价格歧视、价格混淆等销售策略,导致消费者遭受会员用户支付的价格反而比普通用户更高等不合理差别待遇。经营者为了实现其经济利益的最大化进行大数据杀熟,其采用的手段破坏了市场交易的公平公正,属于不正当手段。
第三,必要。必要指处理者处理个人信息不应当超过可以实现处理目的的最低限度,其处理的个人信息应当限于满足处理目的的最小范围之内。个人信息承载着个人的人格尊严、人身和财产安全以及通信自由和通信秘密等利益,处理者对个人信息进行过度处理容易对此等利益造成难以预测的危险和损害。个人信息保护法草案一审稿和二审稿第5条均未规定必要原则。为了凸显必要原则在个人信息处理中的重要性,草案三审稿在第5条中作了补充规定,与《决定》第2条第1款、《网络安全法》第41条第1款、《民法典》第1035条第1款等条款的规定保持一致。
实践中,手机等智能终端的APP非法获取个人信息、超范围收集个人信息、过度索取权限等现象普遍存在。对于违反必要原则处理个人信息的APP,国家网信部门责令其下架,要求APP运营者依法整改,对于个人信息权益的保护有重要意义。此外,必要原则与《个人信息保护法》第6条所规定的目的原则也有密切的联系。
第四,诚信。诚信是法治的基本原则,集中体现处理者处理个人信息应当遵循的价值要求。《民法典》第7条规定:“民事主体从事民事活动,应当遵循诚信原则,秉持诚实,恪守承诺。”诚信要求处理者对个人保有基本的善意,尊重个人的合理信赖,在价值取向上优先保护个人信息权益,恪守个人信息处理活动的规范化。诚信贯穿于个人信息处理的各个环节。例如,依照《个人信息保护法》第24条第1款的规定,个人信息处理者利用算法进行自动化决策,应当保证决策的透明度和结果公平、公正,这就要求处理者在选择算法时对个人保有基本的善意。
又如,依照《个人信息保护法》第58条的规定,提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,应当成立主要由外部成员组成的独立机构对个人信息保护情况进行监督,并定期发布个人信息保护社会责任报告,接受社会监督,体现出此等处理者在个人信息处理活动中应当尊重个人以及社会公众的合理信赖。
再如,处理者还应当尽到性质上类似于“附随义务”的个人信息保护义务。依照《个人信息保护法》第18条第2款的规定,当出现紧急情况无法及时向个人履行告知义务时,处理者应当在紧急情况消除后及时告知。依照《个人信息保护法》第47条第1款的规定,当个人信息处理活动已停止或者不再必要时,处理者应当主动删除个人信息。
第五,不得通过误导、欺诈、胁迫等方式处理个人信息。实践中(特别是在处理者基于个人同意处理个人信息的情形),通过误导、欺诈、胁迫等方式处理个人信息属于违反合法、正当、必要与诚信原则的典型行为,故法律对此作出针对性禁止规定。例如,APP不得以“默认勾选”的方式误导个人同意提供个人信息,不得以隐瞒个人信息的真实用途等欺诈方式处理个人信息,也不得以捆绑服务、强制停止服务等手段胁迫取得个人同意。由于误导、欺诈、胁迫等手段会妨害个人的表意自由,处理者基于此等手段取得的个人同意无效。
合法、正当、必要与诚信原则是我国个人信息处理的总体原则。在其内部,该原则的四项子原则所蕴含的制度价值彼此间相互关联,具有体系上的周延性。一方面,在四项子原则中,合法是处理者处理个人信息最基本的要求。但是,法律不可能对个人信息处理的各个方面作出穷尽式规定,因此对于法律法规未能予以规定的事项,还需要正当、必要和诚信作为补充,为个人信息处理活动的规范化提供价值指引。另一方面,随着个人信息保护法治建设的不断发展,法律可能会将正当、必要与诚信所具有的制度价值规则化,从而更有利于此等价值的实现。例如,在对个人信息保护法草案进行二次审议的过程中,一些全国人大常委会组成人员和地方、部门、社会公众建议,进一步完善个人信息处理规则,特别是对APP大数据杀熟等作出有针对性的规范。
基于此,草案三审稿增加规定,利用个人信息进行自动化决策,不得对个人在交易价格等交易条件上实行不合理的差别待遇,将违反正当原则的大数据杀熟行为规定为法律所禁止的行为。由此可见,合法与正当、必要、诚信具有逻辑上的递进关系,前者与后者动态互补、相辅相成。
在其外部,该原则对其他个人信息处理的基本原则具有统领作用。例如,合法所指向的法律规范不仅包括具体的法律规则,也包括《个人信息保护法》第6—9条规定的其他基本原则;由正当和必要可共同引申出个人信息处理的目的原则,处理者如进行与处理目的无关的个人信息处理,此等处理行为既不正当,也无必要;处理者在个人信息处理活动中落实公开透明原则、质量原则与责任原则是其遵守诚信的具体体现。与其他基本原则相比,合法、正当、必要与诚信原则蕴含的制度价值具有更高位阶。如在理解与适用其他基本原则的过程中出现疑问,应当诉诸合法、正当、必要与诚信原则来寻求适当的解释路径,从而维护法律制度价值的统一性。
目的原则
《个人信息保护法》第6条规定:“处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。”该条文规定了个人信息处理的目的原则。
在比较法上,《OECD指南》第9条规定:“个人数据收集的目的应当在收集时确定,随后的使用限制在实现该目的的必要范围内,或者用于实现其他与该目的不冲突的目的和每次更改时确定的目的。”欧盟《通用数据保护条例》第5条第b项和第c项分别规定了目的限制原则与数据最小化原则,前者指处理者应当为特定、明确和合法的目的收集个人数据,并且个人数据的后续处理不得违反此等目的;后者指处理者处理个人数据应当充分、相关并且限制于为实现该个人数据处理目的所需的最小限度内。
《个人信息保护法》第6条规定的目的原则同时涵盖前述目的限制原则和数据最小化原则。目的原则承继了总体原则中正当与必要的价值取向,并将其内涵予以具体化。个人信息处理行为的手段与目的相适应,是其具有合理性的基本前提。以个人信息处理的目的为核心,目的原则对处理者处理个人信息的限度提出了全面的要求。
《个人信息保护法》第6条的规范含义可从以下三个方面来理解:
第一,处理个人信息应当具有明确、合理的目的。其一,个人信息处理会给个人的信息权益带来一定风险,处理者如在无明确目的的情况下处理个人信息,其行为属于对个人信息的滥用。其二,处理者处理个人信息的目的还应当合理,即在满足合法、正当要求的前提下,不为个人带来过重的负担或者过高的风险。例如,处理者通过自动化决策方式向个人进行信息推送、商业营销,可以为个人提供个性化服务,其目的在于改善用户体验、提高商业效率。虽然此等处理活动可能导致个人只能接受到有限的、定制化的信息,进而将个人自治置于危险之中,但是个人自治遭受侵害的风险可通过为个人提供不针对其个人特征的选项或者便捷的拒绝方式得到控制,因而整体上具有目的合理性。
第二,处理个人信息应当与处理目的直接相关。与草案二审稿第6条相比,该条规定通过“直接”二字强调对处理者超出原有处理目的进行后续处理的限制。因此,如处理者超出原有处理目的对个人信息作后续处理,则后续处理行为应当被视为是与原有处理行为相独立的另一处理行为或者被视为处理目的的变更。依照《个人信息保护法》第13条和第14条第2款的规定,处理者原则上不得进行此等后续处理,除非其另行取得个人同意或者后续处理具备其他合法事由。但是,个人信息具有巨大的潜藏价值。在基本用途完成后,个人信息的价值仍然存在,只是处于休眠状态,直到它被二次利用并重新释放它的能量。
故此,在对约束个人信息处理活动的处理目的进行解释时,应当留有必要的弹性空间,以促进行业创新和个人信息的合理利用。尤其是在处理者基于个人同意处理个人信息的情形,如将处理目的限定得过于狭窄,不仅会导致处理者需要频繁取得个人同意,不利于充分发挥个人信息的价值尤其是二次利用的增值价值,限制大数据产业的发展,同时也与个人可对一般个人信息的处理作出概括同意的个人信息处理规则相冲突,给个人带来较重的负担。
第三,处理个人信息应当采取对个人权益影响最小的方式,并限于实现处理目的的最小范围,不得过度收集个人信息。目的原则要求处理者采取的处理手段是实现其处理目的的唯一手段,或者是在能够实现此等目的的多个手段中对个人权益侵害最小的手段,且其促进的个人利益或者公共利益应当与被侵害的权益成比例。
例如,在刑事司法领域,干预公民个人信息权益的执法、司法行为即使具有明确、合理的目的,也应当受到最小必要的限制,其规模与范围应当限制在嫌疑人群范围内,截取与使用的公民信息应当具有范围限制而非扩展至通讯、交通、金融消费等各类数据库的全部。
又如,依照《常见类型移动互联网应用程序必要个人信息范围规定》(国信办秘字〔2021〕14号,以下简称《规定》)第3条的规定,移动智能终端上运行的APP所收集的必要个人信息,是指保障APP基本功能服务正常运行所必需的个人信息,缺少该信息APP即无法实现基本功能服务。依照《规定》第5条的规定,地图导航类APP基本功能服务为“定位和导航”,必要个人信息为位置信息、出发地、到达地。此类APP无须知晓用户身份即可提供其基本功能服务,故用户移动手机号码等个人信息对于此类APP而言均属于非必要个人信息。而浏览器类、输入法类、安全管理类等类型的APP无须收集个人信息即可提供基本功能服务。如果APP要求用户提供与其基本功能服务无关的非必要个人信息,否则拒绝用户使用其基本功能服务,则其处理个人信息超出了实现处理目的所必要的最小范围,未能采用对个人权益影响最小的方式,违反了目的原则。
公开透明原则
《个人信息保护法》第7条规定:“处理个人信息应当遵循公开、透明原则,公开个人信息处理规则,明示处理的目的、方式和范围。”该条文规定了个人信息处理的公开透明原则。在个人信息处理活动中,处理者掌握个人所不具备的技术优势,个人难以知晓其何种个人信息将以何种方式被处理,也难以了解其个人信息被用于何种处理目的,更难以预测个人信息处理活动可能产生的效果与影响。为了强化个人在个人信息处理活动中的主体地位,保护个人对其个人信息以公平、公正的方式被处理的合理信赖,处理者应当对有关个人信息处理与利用的一般政策、事项等予以公开,个人也有权知悉本人个人信息处理的一般情况。
在比较法上,《OECD指南》第12条规定了公开原则:“应当公开有关个人数据的开发、应用和操作规则的一般政策。应当提供现实可行的手段以确定个人数据的存在状况、性质、使用目的以及数据控制者的身份和住址。”我国《决定》第2条、《网络安全法》第41条第1款以及《民法典》第1035条第1款均规定处理者应当公开收集、使用规则,明示收集、使用信息的目的、方式和范围。《个人信息保护法》第7条则明确将公开透明规定为一项个人信息处理的基本原则。
确立个人信息处理的公开透明原则,对于保护个人信息权益、促进个人信息合理利用有重要意义。
其一,在处理者基于个人同意处理个人信息的情形,处理者落实公开透明原则、履行告知义务是个人行使决定权的前提,也是处理者取得个人有效同意的前提。个人只有在对个人信息处理的性质以及可能产生的后果等要素充分知悉的情况下,才能作出有效的同意。如处理者未履行或者未充分履行告知义务,则个人实际上不具有作出同意的能力,也无法授权处理者处理其个人信息,导致处理行为缺乏合法性。
其二,不论个人信息处理是否基于个人同意,公开透明原则都是个人行使其权利的必要保障。个人在个人信息处理活动中享有的同意(或拒绝)、知情、查阅、复制、转移、更正、补充、删除、请求解释说明等权利之行使,都依赖于个人对处理活动相关事项的知情。即使在处理者不基于个人同意处理个人信息的情形,个人虽然无法拒绝处理者进行个人信息处理,但是在公开透明原则的保障下,个人可以通过查阅其个人信息及时了解处理活动的进展情况,更正、补充其个人信息以避免处理行为得出不符合实际情况的处理结果,当处理目的已实现或不再必要,或者处理个人信息的合法事由不再存在时要求处理者删除其个人信息,或者请求处理者对其个人信息处理规则进行解释说明以理解处理活动会对其产生何种影响,从而确保相关处理行为公平合理及其个人信息不被滥用,维护自身个人信息权益不受侵害。
公开透明原则要求处理者对个人信息处理活动相关的重要事项予以全面披露,并贯穿于处理活动的各个环节,从而促进个人对个人信息处理活动相关事项的知情与理解。为实现此目的,法律为处理者设定了一系列作为义务,其中最为重要的就是处理者的告知义务。
《个人信息保护法》第17条、第18条第2款、第22条、第23条、第30条、第35条、第39条、第57条等条文都对处理者的告知义务作出了规定。应当注意的是,法律同时也规定了处理者不需要履行告知义务的例外情形。《个人信息保护法》第18条第1款规定:“个人信息处理者处理个人信息,有法律、行政法规规定应当保密或者不需要告知的情形的,可以不向个人告知前条第一款规定的事项。”其第35条第1款规定:“国家机关为履行法定职责处理个人信息,应当依照本法规定履行告知义务;有本法第十八条第一款规定的情形,或者告知将妨碍国家机关履行法定职责的除外。”原因在于,个人对个人信息处理活动相关事项知情的利益应当与实现此等利益的成本以及公共利益相平衡。
例如,在刑事司法领域,个人信息处理的公开透明原则可能会与刑事司法的封闭秘密特征相冲突。欧盟《通用数据保护条例》“前言”部分第62条规定:“以下情况下不必强制履行上述提供信息的义务:数据主体已持有信息的,法律明确规定个人数据的记录或披露的,向数据主体提供上述信息被证明不可能做到或可能需要的工作与提供本身不成比例的,为公共利益进行档案管理、从事科学或历史研究或统计目的进行的处理行为尤是如此。”
此外,由于个人信息处理是一个持续的过程,处理者的告知义务应当随着处理活动的变化而不断更新。处理者只有根据个人信息处理活动的进展情况,结合个人获取并理解信息的能力、自身履行告知义务的成本以及社会公共利益的要求,合理确定告知义务的内容和履行方式,才能充分实现个人信息处理的公开透明。
质量原则
《个人信息保护法》第8条规定:“处理个人信息应当保证个人信息的质量,避免因个人信息不准确、不完整对个人权益造成不利影响。”该条文规定了个人信息处理的质量原则。个人信息的质量,指个人信息的准确性、完整性和时效性。质量原则旨在避免个人信息权益在个人信息处理活动中因个人信息不准确、不完整或不具有时效性而遭受侵害,同时为发展数字经济以及运用大数据提升国家治理现代化水平提供基础保障。
在比较法上,《通用数据保护条例》第5条第1款第d项规定,个人数据应准确且在必要的情形下保持不断更新;应采取一切合理行为以使就实现数据处理目的而言不准确的个人数据及时被删除或者修正(“准确性”)。《OECD指南》第8条规定:“个人数据应当与使用的目的有关,限于该目的的使用范围,个人数据应当准确、完整并适时更新。”
我国《决定》《网络安全法》《民法典》均未规定个人信息处理的质量原则,但《网络安全法》第43条和《民法典》第1037条第1款规定了个人在处理者处理的个人信息存在错误时请求其及时采取更正等必要措施的权利。随着个人信息保护制度的不断完善,保证个人信息的质量也从个人在个人信息处理活动中享有的权利上升为一项个人信息处理的基本原则。
在保证个人信息质量的前提下处理个人信息,是保护个人的个人信息权益不受侵害的必然要求。个人信息的核心要素是可识别性,而处理者利用个人信息识别特定个人的过程,就是针对该特定个人构建其信息化形象的过程。如处理者依据的个人信息不准确、不完整或者不具有时效性,则作为个人人格外在标识的信息化形象可能与个人的客观真实情况不相符,由此损害信息时代下个人“自知”与“他知”的一致性,导致其个人信息权益在个人信息处理活动中遭受侵害。个人信息的质量可能受到多重因素的影响,而时间是其中一个重要因素。随着时间的推移,大部分个人信息都会失去一部分基本用途,在此等情况下,旧的个人信息可能会损害新收集的个人信息的准确性、完整性和时效性,这就需要处理者不断地更新其处理的个人信息并淘汰无用的个人信息。
除了处理者主动核实并保持个人信息的质量外,法律还应当赋予并保障个人在个人信息处理活动中的相关程序性权利,使个人信息处理活动受到此等权利的制约。《个人信息保护法》第46条和第47条规定了个人在个人信息处理活动中享有更正权、补充权和删除权。当个人行使此等权利时,处理者应当根据个人的请求对个人信息的质量予以核实,并及时履行相应的法律义务。例如,当个人的信用卡被他人非法利用并导致个人姓名被列入银行不良信用记录时,该不良记录不能反映个人的真实信用情况,银行应当主动或者根据个人的请求将该不良记录更正或删除。
保证个人信息的质量同时也是促进数据作为生产要素的开发利用,加快建设数字经济、数字社会、数字政府的关键一环。个人信息的质量是发掘和释放其潜在价值的重要影响因素之一。在数字经济时代,数据是企业的核心竞争力。但是,如企业收集的个人信息在质量上存在问题,企业通过处理此等个人信息得到的数据反而会成为自身的负担,难以发挥其基础资源作用和创新引擎作用。因此,数据质量管理应成为企业持续、例行的工作,企业数据质量管理水平直接影响数据应用的效果和数字化转型的成效。
对于数字社会、数字政府的建设而言,国家机关利用收集得到的个人信息实行“循数决策”“循数管理”,可以使决策更加科学化,使社会治理实现精准化。这一发展目标的实现同样离不开个人信息的准确性、完整性和时效性。同时,国家机关处理个人信息所得的数据资源蕴含着巨大的经济价值和社会管理价值,“深藏闺中”是极大浪费。
故此,国家机关应当将其控制的数据资源依法依规向社会有序开放,促进数据要素的全社会流动和开发利用,提高作为公共资源的数据的利用效率,释放政府数据红利。在此过程中,数据质量是公共数据价值实现的关键。《数据安全法》第37条规定:“国家大力推进电子政务建设,提高政务数据的科学性、准确性、时效性,提升运用数据服务经济社会发展的能力。”目前,《深圳经济特区数据条例》第39条等规范已对我国公共数据质量管理制度的建立进行了有益的探索。
责任原则
《个人信息保护法》第9条规定:“个人信息处理者应当对其个人信息处理活动负责,并采取必要措施保障所处理的个人信息的安全。”该条文规定了个人信息处理的责任原则。
在比较法上,欧盟《通用数据保护条例》第5条第1款第f项规定,个人数据应以能够确保个人数据安全的方式而被处理,包括使用适当的技术性或组织性措施以防止未经授权的或者非法的处理、意外遗失、灭失或损毁(“完整性和保密性”)。其第5条第2款规定:“控制者应该遵守本条第1款的规定,并能够证明之(‘问责制’)。”《OECD指南》第11条规定了安全保护原则:“个人数据应当得到合理的安全保护,防止丢失或未经授权的访问、毁坏、使用、修改或泄露。”其第14条规定了责任原则:“数据控制者对是否有效地实施上述原则承担责任。”
我国《决定》第4条、《网络安全法》第42条第2款以及《民法典》第1038条第2款等条款均对处理者确保个人信息安全的义务作出规定。《个人信息保护法》第9条在承继前述规定的基础上,综合考量负责与安全两方面的内容,将其总结提炼为一项具有我国特色的基本原则。
《个人信息保护法》第9条的规范含义可从以下三个方面来理解:
第一,处理者应当对其个人信息处理活动的规范化负责。法律法规对个人信息处理活动的规范化提出了各个方面的要求,处理者应当是贯彻执行此等要求的第一责任人。例如,处理者应当确保其个人信息处理活动具备法律规定的合法性基础;两个以上的处理者共同处理个人信息的,应当约定各自的权利和义务并对各自的处理活动负责;处理者委托处理个人信息的,应当与受托人约定《个人信息保护法》第21条第1款所规定的相关事项,并对受托人的个人信息处理活动进行监督;提供重要互联网平台服务、用户数量巨大、业务类型复杂的处理者应当对其平台内产品或者服务提供者的个人信息处理活动负责;国家机关处理个人信息应当确保其处理活动符合法律、行政法规的规定,不超出履行法定职责所必需的范围和限度。
第二,保障个人信息的安全是处理者在个人信息处理活动中应当重点负责的内容。“网络安全和信息化是相辅相成的。安全是发展的前提,发展是安全的保障,安全和发展要同步推进。”个人信息的安全包括个人信息的秘密性、完整性与可用性等方面。如处理者的个人信息处理活动存在安全隐患,将导致个人的人格尊严、人身和财产安全以及通信秘密等利益遭受严重威胁。
例如,在“庞某某诉中国东方航空股份有限公司、北京趣拿信息技术有限公司隐私权纠纷案”中,原告的姓名、手机号、行程安排(包括起落时间、地点、航班信息)等个人信息被泄露,导致其收到声称涉案航班因飞机故障取消并要求其改签的诈骗短信。因此,处理者应当采取技术措施和其他必要措施,确保其收集、存储的个人信息的安全,防止个人信息泄露、被篡改和丢失。依照《个人信息保护法》第51条的规定,处理者应当采取的措施包括制定内部管理制度和操作规程、对个人信息实行分类管理,采取相应的加密、去标识化等安全技术措施,合理确定个人信息处理的操作权限,并定期对从业人员进行安全教育和培训,制定并组织实施个人信息安全事件应急预案等。当个人信息安全事件发生后,处理者应当立即采取补救措施,并按照规定告知自然人并向有关主管部门报告,尽可能避免危害后果的发生或者扩大。
第三,处理者应当对其违法处理个人信息的行为承担相应的法律责任。依照《个人信息保护法》第7章的规定,处理者违法处理个人信息的责任包括民事责任、行政责任和刑事责任。在处理者处理个人信息侵害个人信息权益造成损害的情形,个人难以证明处理者存在过错,也难以证明其损失的具体数额。
故此,《个人信息保护法》第69条规定了处理者的过错推定责任和个人财产损失的计算方法。为了提高法律的威慑力,《个人信息保护法》第70条对个人信息保护公益诉讼制度作出了规定。《个人信息保护法》第66条还规定了处理者违法处理个人信息的行政责任,其中的高额罚款对于遏制大规模侵害个人信息的发生具有重大意义。此外,处理者违法处理个人信息,构成侵犯公民个人信息罪或者非法获取计算机信息系统数据、非法控制计算机信息系统罪等犯罪的,应当承担相应的刑事责任。
结语:基本原则的综合适用
习近平总书记指出:“网信事业发展必须贯彻以人民为中心的发展思想,把增进人民福祉作为信息化发展的出发点和落脚点,让人民群众在信息化发展中有更多获得感、幸福感、安全感。”协调好保护个人信息权益与促进个人信息合理利用之间的关系,实现个人信息处理活动的规范化,是在国家信息化发展中增进人民福祉的必然要求。
《个人信息保护法》确立了个人信息处理的合法、正当、必要与诚信原则、目的原则、公开透明原则、质量原则和责任原则,为贯彻落实这一法治理念提供了重要制度保障。在五项基本原则中,合法、正当、必要与诚信原则是个人信息处理的总体原则,目的原则、公开透明原则、质量原则和责任原则是针对个人信息处理某个特定方面的方面原则。
五项基本原则所蕴含的制度价值彼此间相互关联,因而实践中可能发生基本原则的综合适用,其中既包括总体原则与方面原则之间的综合适用,也包括方面原则与方面原则之间的综合适用。例如,处理者通过欺诈、胁迫等方式处理非必要个人信息,既违反了目的原则,也违反了总体原则中的合法原则;处理者接纳外部人员对个人信息保护情况进行监督,既是对责任原则的贯彻落实,也是对总体原则中诚信原则的遵循;处理者在未明示个人信息处理规则的情况下将个人信息用于处理目的之外的其他用途,同时违反了个人信息处理的目的原则和公开透明原则;处理者在个人信息处理活动中主动建立个人信息质量管理机制,并根据个人的请求对个人信息的质量进行核实,避免对个人的合法权益造成损害,是质量原则和责任原则的共同要求。
在理解与适用个人信息保护相关法律规定时,应当注重五项基本原则之间的有机统一,充分发挥其在法律解释和未来法治建设中的基础性作用,以此为支点建立并不断完善我国的个人信息保护法律体系,朝着建设网络强国目标不懈努力。
|
