摘要:我国对于已公开个人信息处理作了特别规定,由“已公开”“在合理范围内处理”“对个人权益有重大影响”“个人明确拒绝”等规范构成要件因素组成了特殊规则体系,“在合理范围内处理”被置于规范体系中较为突出的位置,通过平衡已公开个人信息附着利益、补充知情同意规则和具化“信赖”理念发挥着价值导向和规范指引功能。作为权义复合性法律规则,其与“合理使用”不同,具有阻却违法、设定义务、赋予权利等多重面向。当个人信息处理“在合理范围内”,符合其他规范构成要件因素便获得了合法性基础,信息处理者免于承担民事责任和刑事责任。因此,“在合理范围内处理”的判定尤为重要,立法却未对此作出明确规定,而其与必要等个人信息处理原则联系密切,天然地契合比例原则的要义,故可引入比例原则作为评判分析工具。为了保障已公开个人信息处理在合理范围内,需在建立数字信任的基础上强化已公开个人信息处理过程中的权利保障和义务履行。
关键词:已公开个人信息;合理处理;利益衡量;比例原则
大数据时代,大量个人信息成为开源信息,公安机关、监察委员会等公权力机关越来越依赖互联网平台、社交媒体等媒介上的已公开个人信息调查取证。各个国家或地区对于处于公开状态的个人信息是否应予以保护持不同的态度。考虑到“处理已公开个人信息,也有侵害个人信息权益的风险,应当对处理已公开的个人信息作出必要的规范”,我国并未如同美国一般不予保护已公开个人信息,而是借鉴欧盟的做法——在公开个人信息与一般个人信息一体保护的基础上对已公开个人信息处理作了特别规定。《中华人民共和国个人信息保护法》(以下简称《个保法》)第13条规定在合理范围内处理个人自行公开或者其他已经合法公开的个人信息豁免同意,第27条重申了可以在合理范围内处理个人自行公开或者其他已经合法公开的个人信息。《中华人民共和国民法典》(以下简称《民法典》)第1036条规定合理处理已公开个人信息免于承担民事责任。抽离出“在合理范围内处理”,可以发现其包含规范性构成要件因素,对于不确定性法律概念“合理范围”的理解在一定程度上足以左右已公开个人信息处理行为(以下简称“个人信息处理”)的定性。《个保法》对此未作出规定,司法裁决不一。“在合理范围内处理”嵌入已公开个人信息保护规范的内在逻辑,以及在规范体系中的性质、功能等亟需厘清。探寻规范的旨趣及价值取向,勾勒规范交互图景,对其进行解构,于法律实践意义重大。本文试图检视立法,挖掘“在合理范围内处理”内含的法理逻辑及规范意蕴,在此基础上论证如何判定已公开个人信息处理者(以下简称“信息处理者”)是否在合理范围内处理个人信息,以及如何实现“在合理范围内处理”的规范目的,希望对《个保法》教义学进一步深化,能够对(已公开)个人信息保护实践有所裨益。
一、在合理范围内处理的机理
“合理”既为信息处理者设定了义务,也赋予了信息处理者权利,借此隐性地表达了价值立场。由此为起点演化出已公开个人信息附着利益平衡及其实现的逻辑脉络——补充知情同意规则以加强已公开个人信息主体(以下简称“信息主体”)的控制权,辅以信息处理者自律,促进其与信息主体互信。
(一)已公开个人信息附着利益的平衡
信息可被财产化,合理利用不会使得信息主体的人格利益灭失,个人信息的财产价值由信息主体与信息处理者共同拥有。法律保护的不是个人信息而是其上附着的信息主体、信息处理者、社会、国家等享有的利益,这些利益为最佳化命令,要求“在事实上和法律上可能的范围内尽最大可能被实现”。个人信息日益没有外在形态,在数字社会建构、商业经济发展、科学技术研究、国家安全保障、社会公共治理等方面蕴藏巨大价值,处理场景多元化。不应孤立地评价信息处理者是否在合理范围内处理个人信息,而应综合考量个人信息处理所涉主体的利益,通过价值判断公正地分配利益。个人信息附着利益类型及其构造各异,利益分配较为复杂,核心是在不同维度关系中限缩利益,从而实现多元利益的调和。“在合理范围内处理”遵循的法理逻辑便是基于利益衡量先肯定已公开个人信息可被处理,然后设定在合理范围内的度,据此确立保护利益,但可被限缩的基本立场,通过赋权和限权两个方面调和信息主体、信息处理者、社会、国家间的利益。
信息主体基于维护公共利益和信息处理者利益容忍处理其个人信息,信息处理者相对应地在合理范围内处理个人信息。也就是说,基于平衡个人信息保护和个人信息利用而对个人信息处理攸关主体权益进行合理限制。一方面,公共利益不具有绝对的优位性,要因势衡量其与私人利益的位次,基于维护公共利益,个人信息处理具有正当性,但是应避免对个人权益造成重大影响,制度性安排就是“在合理范围内处理”。“合理”表意为合乎逻辑、道理,具有限制的意蕴;“范围”词义为尺度、区间,与限制之义相通。二者组合使用,除了通过词意重叠强调约束个人信息处理行为,还为在合理范围内处理个人信息设定了参照系——信息主体权益受到的限制在可承受的范围内。另一方面,“在合理范围内处理”是实现利益平衡的柔性手段,通过限制个人信息权益,赋予信息处理者个人信息处理权益。个人信息价值的实现需要个人信息聚合和流动,正是信息处理者耗费资源才使得毫无价值的单个个人信息汇成数据海洋,如果禁止或者放任个人信息处理行为,皆违背了权利行使不得侵犯他人权益和公共利益,在必要时为了私人利益和公共利益限制个人权益的理念。
(二)知情同意规则的补充
知情同意规则被奉为个人信息保护的“帝王条款”,有着深厚的法理基础,得到了普遍认同。大数据时代的信息收集更加密集、场景增多、共享转移必不可少,加之信息主体依赖个人信息享受便利服务而忽视或者没有能力和精力了解知情同意条文内容,使得知情同意规则被架空。但是,这不足以废止适用知情同意规则,否则等同否定了个人自主的法价值、民法的意思自治。因此有必要反思和重构知情同意规则,根据个人信息处理场景的不同,塑造层次性和动态性的新型知情同意模式。有研究提出“有条件的宽泛同意+退出”模式,运用模糊化手段解决大数据时代知情同意规则适用困境问题。如果已公开个人信息处理采取了这种模式,推定信息主体在未获得通知,也未作出明确同意的意思表示的情况下允许他人处理其个人信息。这种知情同意模式至少面临着个人对其信息控制较弱的问题,因而已公开个人信息保护很大程度上依赖信息处理者自律,以及撤回同意、风险评估等机制的配套。
同意具有让渡、转移、赋予、限制权利,转嫁、接受风险,设定、转移义务的效力。知情同意的本质是授权,推定同意是默示授权。信息处理者获得授权后是否在授权范围内处理个人信息取决于同意是否产生了实质性的约束力。实践表明,即使在特别同意的场景中,由于信息主体处于被动弱势地位,惰于在完全知情的情况下作出意思表示,因而依靠知情同意规则实现个人信息处理规范化的目的未能充分实现,更遑论在推定同意场景中期待知情同意规则发挥功能。于是乎,“在合理范围内处理”作为已公开个人信息保护的金科律令被嵌入到个人信息保护之中。其极具宣示性,强调个人信息处理即使具备合法性基础也应该在合理范围内进行,否则需要承担相应的法律后果。可以将其视为知情同意规则的有力补充,以补丁的形式加强知情同意规则的实践效力。
(三)“信赖”理念的具化
有学者基于当下个人信息保护规范的构建以“理性人”理念为指引,信息主体自主支配、自主决断和自己责任难以平衡个人信息保护与个人信息利用的现状,提出秉承“信赖”理念构建信义义务制度,补充现有制度不足。“信赖”理念的提出旨在解决“理性人”理念带来的信息主体无法自主支配个人信息,反而承担更多的个人信息保护责任,且权益受损难以获得救济,陷入持续“恐惧”状态,而信息处理者却处于控制个人信息的绝对地位,凭借控制个人信息的优势轻松地逃脱法律制裁的尖锐问题。在“理性人”理念下,信息主体和信息处理者将个人信息处理视为零和博弈。“信赖”是对“理性人”理念的超越,主张信息主体和信息处理者建立信赖关系,个人信息处理变为正和博弈。尤其在已公开个人信息处理场景中更需要信赖,因为豁免同意使得信息主体的脆弱面更加容易暴露给信息处理者,其是否在合理范围内处理个人信息具有很大的不确定性。个人信息已公开的事实推定信息主体与信息处理者之间达成了默契:信息主体相信信息处理者会在合理范围内处理其个人信息,信息处理者相信信息主体允许处理其个人信息。
达成默契的基础是信赖,而“在合理范围内处理”使得信赖发挥实效。第一,“在合理范围内处理”将“已公开”表征的默认同意强化为具有道德约束力的授权,这种授权基于信息主体和信息处理者互相信赖生成,“不单单是一种形式意义上的简单的‘一键确认’,而是一种信赖授权与授权辩证统一的知情同意,基于信赖而将相应风险的掌控交由平台经营者,同时平台又基于此种授权而从事一种可资信赖的数据收集与利用活动”。第二,“在合理范围内处理”使得信息处理者负有的忠实、勤勉等信义义务得以实现。“信赖”理念的核心在于信息主体与信息处理者构建起以忠实、勤勉义务为支撑的行为规范体系。“在合理范围内处理”恰好强调信息处理者既享有相应权利也负有忠实义务——“本着善意和诚实,以符合信息主体的明示授权或合理预期的方式,收集、使用、流转和披露个人信息,并且不得为了自己的短期利益而牺牲信息主体对个人信息所享有的利益”,以及勤勉义务——谨慎、慎重地处理个人信息,确保个人信息安全。
二、在合理范围内处理的定位
“在合理范围内处理”以及与其相关术语的使用较为随意,其定位尚未引起学界的足够重视。过于模糊不利于发挥指示性功能,亟需考辨其称谓,分析其性质。不同于“合理使用”,“在合理范围内处理”作为违法阻却事由及其项下义务,不是一项法律原则,而是一条为信息处理者同时设定权利(力)和义务的权义复合性法律规则。
(一)是违法阻却事由及其项下义务
2014年《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》第12条将公开个人信息视为处理个人信息。《民法典》第1036条吸收了此规定,将“公开”扩展为“处理”。《个保法》第13条和第27条将第1036条的“合理处理”修改为“在合理范围内处理”,此举将“合理处理”从免责事由正当化为合法性基础要件,但语义无实质性区别。与“在合理范围内处理”相关的表述还有“合理使用”。《民法典》第999条规定了新闻报道、舆论监督等行为合理使用个人信息人格利益制度。有观点认为《个保法》使用“在合理范围内处理”术语,表明其“不接受民法典‘合理使用’的概念”。也有观点认为“个人信息‘合理使用’等同于‘合理处理’”。《民法典》第1036条和第999条的旨趣不同,第1036条是个人信息处理免责事由条款,“合理处理”既是免责事由构成要素,也是具备合法事由下信息处理者必须遵守的义务;而第999条是人格利益合理使用条款,“合理使用”属于违法阻却事由层面的概念。因此,二者不可混淆。这里的“合理使用”类似著作权合理使用制度,与《个保法》第1条中的“合理利用”——发挥个人信息用途、实现其价值的含义不同。《个保法》规定个人信息的处理包括收集、存储、使用、加工、传输、提供、公开、删除等,使用仅是处理的一种情形,其与“合理使用”中的“使用”相同,重在强调具体的行为,而不起价值立场宣扬作用。在个人信息使用过程中可能涉及收集等其他处理情形,故“合理处理”涵盖了“合理使用”。“在合理范围内处理”可作为个人信息合理使用情形,但又是实施任何具备合法事由的个人信息处理活动必须遵循的义务。因此,“在合理范围内处理”的内涵和外延相较于“合理使用”而言更加精准、全面。
(二)作为法律规则
不乏有学者将“在合理范围内处理”视为一项个人信息保护法律原则,比如一种观点认为“在合理范围内处理”可称之为“合理使用原则”。如此认为的主要原因是信息处理者应依法在合理范围内处理所有类型的个人信息。申言之,无论个人信息处理是基于同意抑或豁免同意获得合法性基础,皆应该在法律规定的合理限度内进行,因此便认为这是一项法律原则。但是“在合理范围内处理”未处于《个保法》总则部分,而是规定于分则中,与处于总则部分的必要、正当、公开、透明等个人信息处理原则不同,其反而体现了合法、正当、必要等原则。
法律原则与法律规则在结构上不同,在德沃金看来,规则具有“一般—例外”结构,通过这种结构排除例外情况,例外可以且应当穷尽;原则虽然也有例外,但是例外无法也无需穷尽。这并不意味规则一定存在例外,德沃金只是强调如果规则有例外则需要穷尽,可能会因为规则适用冲突而导致一个规则成为另一个规则的例外,只不过与原则相比此情形更难出现罢了。阿列克西认为规则例外可以穷尽列举的说法不确切,规则的例外是不可数的。在合理范围内处理个人信息是信息处理者无法选择的不折不扣的义务,因此“在合理范围内处理”更符合法律规则特征。法律规则设定了法律要件和法律效果,其确定性程度高于法律原则。二者的适用存在区别:法律规则以“全有或全无”的非此即彼的形式直接适用,法律原则根据个案衡量,即使个案没有遵循该原则,其仍然在法律体系中发挥效力,与其他原则共存。据此,“在合理范围内处理”是“一种只能被实现或不被实现的规范,若一条规则有效,即应该不多也不少地去做到该规则所要求的内容,而没有实现程度的问题,即使存在例外情况也是例外与一般选其一”。
(三)属于权义复合性规则
依据调整方式,法律规则分为授权性规则、义务性规则和权义复合性规则。学界在界定“在合理范围内处理”时对其类型有所触及。“符合法律规定说”认为“在法律明确规定的合理的限度内,可不经个人同意,按照法律规定对个人信息进行利用,但不应对个人信息、隐私造成侵犯,不应以影响数据安全的方式为之利用”。“权利义务说”认为信息处理者在享有个人信息处理权的同时还有义务保护数据之上承载的原权益人的合法权益。“个人信息权限制说”认为个人信息合理处理是对个人信息权的限制,其突破了个人信息处理必须经信息主体同意的原则,基于社会本位对个人本位的制衡理论,以及民事权利限制理论,可以为了维护公共利益和他人利益而让渡私权利。“义务说”侧重强调在合理范围内处理已公开个人信息豁免同意,但必须遵守依法取得个人信息的积极义务,禁止实施非法收集、使用、加工、传输、买卖、公开及危害国家安全、公共利益等行为的消极义务。
“权利义务说”“个人信息权限制说”“义务说”“符合法律规定说”认为在合理范围内处理个人信息豁免同意,这实则赋予了信息处理者个人信息处理权,《个保法》第27条使用“可以”术语表明了此点。除了更倾向于将“在合理范围内处理”视为授权性规则的“个人信息权限制说”以外,“义务说”“权利义务说”“符合法律规定说”主张信息处理者在合理限度内行使个人信息处理权,实则是设定了信息处理者依法适度处理、维护个人信息安全的义务。《个保法》第13条将“在合理范围内处理已公开个人信息”作为信息处理者方可处理个人信息的情形之一,“方可”极为讲究,表明信息处理者享有的是附带履行“在合理范围内处理”义务的权利,这符合权义复合性规则的逻辑。因此,“在合理范围内处理”宜为权义复合性规则。其实质意蕴是已公开个人信息处理豁免同意,但是必须在法律规定限度内收集、存储、使用、加工、传输、提供、公开、删除等,不得对个人权益造成重大影响。
三、在合理范围内处理的效果
“在合理范围内处理”属于权义复合性规则,从权责一致角度而言,当信息处理行为符合该法律规则时会产生赋权及免责两项法律效果。《个保法》第13条、第27条,《民法典》第1036条概括性地规定了“在合理范围内处理”的法律效果,即个人信息处理具有法律基础,信息处理者因在合理范围内处理个人信息而不承担法律责任。但是这两种法律效果的性质及其背后的法律逻辑不同。从法秩序统一的角度而言,对刑事责任认定也会产生影响。假设信息处理者在合理范围内处理个人信息,那么便不构成侵犯公民个人信息罪。
(一)已公开个人信息处理合法性基础获得的要件之一
《个保法》第13条通过列举知情同意及五项豁免同意的情形构筑了个人信息处理的合法性基础体系。第1款第6项将在合理范围内处理已公开个人信息作为豁免同意的事由。有研究认为处理已公开个人信息不适用同意规则,个人信息处理可自由进行,“甚至无需契合信息主体公开该信息时的意图,亦不必限于信息被公开时的用途”。此观点有待商榷,“已公开”并不能成为信息处理者以自我评估替代知情同意的根据。分析第6项可知,已公开个人信息处理完全具备合法性基础是一个组合条件,除了“个人信息已公开”,还要求“在合理范围内处理”。《个保法》第27条在重申该规定的同时强调“个人明确拒绝除外”和“对个人权益有重大影响的依法取得个人同意”。综合可知,已公开个人信息处理合法性基础获得的完整要件是“在合理范围内处理”+“个人信息已公开”+“个人未明确拒绝”+“未对个人权益有重大影响”。
“在合理范围内处理”作为已公开个人信息处理合法性基础获得要件之一的法理在于,个人信息权益本质上是一项相对权,信息主体对个人信息处理负有容忍义务。个人信息在《个保法》和《民法典》权益体系中被定性为“个人信息权益”,而不是“个人信息权”,旨在强调个人信息不仅具有人格意义,而且还具有财产性价值。
已公开个人信息在某种程度上而言具有更加突出的公共属性,其在合理范围内处理有助于实现多重利益,过度限制个人信息处理反而与当下引导个人信息合理利用与优化配置个人信息资源的趋势背道而驰。另外,公开个人信息类似于“自甘风险”,理性的人应认识到此举意味着舍弃了部分权益而容忍他人在合理范围内处理其个人信息。已公开个人信息处理只要在合理范围内便具有合法性基础,与大数据时代个人信息从自主支配到有序共享,个人信息保护和个人信息利用平衡的逻辑相契合。
(二)民事免责事由的要件之一
《民法典》第1036条第2项规定合理处理已公开个人信息,该自然人未明确拒绝或未侵害其重大利益则免于承担民事责任。可见,在自然人未明确拒绝或未侵害其重大利益时,“合理处理”和“已公开”共同充当了“同意”的角色,主要原因在于个人自行公开个人信息推定其同意在合理范围内处理其个人信息,或者基于维护公共利益或信赖原则默认合法强制公开的个人信息会在合理范围内被处理,即推定同意或默认同意免除信息处理者在合理范围内处理已公开个人信息的民事责任。从合同法层面而言,同意本质上是缔结合同行为。不同于一般情况下个人作出明确同意处理其个人信息的意思表示,在已公开个人信息处理场景中个人没有同意的意思表示,而是类似默认勾选了信息处理者提供的格式合同条款。《个保法》第13条第1款第6项和第27条第1分句通过设置默认规则实现了“缺省”功能,利用个人“现状偏好”的心理达到了合同契约无痕化目的。第27条规定的“对个人权益有重大影响仍需取得个人同意”是对缺省合同的阻却,由此实现特定情形下合同形式和个人信息自决权行使方式的转换,从而实现各方利益的动态平衡。
信息主体与信息处理者之间存在这种“合同”关系,二者心照不宣地就个人信息处理进行了“约定”,因为个人信息已公开的状态暗含着信息主体在一定限度内允许他人处理其个人信息,但是信息处理者应该在合理范围内处理个人信息,否则即使个人信息已公开,基于双方达成的默认合意依然无法成为未在合理范围内处理个人信息的免责依据。虽然信息主体默认同意处理其已公开的个人信息,承担预见个人信息自行公开后可能被不当处理却仍然选择公开的风险,但是如果信息处理者未在合理范围内处理个人信息,就超出了信息主体的授权范围而应承担相应的违约责任。即使信息处理者基于推定同意而获得信息主体的授权,但是如果未在合理范围内处理个人信息致使信息主体权益受损,依据《民法典》第1165条第1款将承担侵权责任。可见“在合理范围内处理”是免除信息处理者民事责任事由的要件之一。
(三)构成侵犯公民个人信息罪的例外情形之一
对于《中华人民共和国刑法》(以下简称《刑法》)是否保护已公开个人信息尚存争议。争议的焦点是已公开个人信息是否属于侵犯公民个人信息罪的犯罪对象。尽管《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》和《个保法》对“公民个人信息”的界定不同,但是从侵犯公民个人信息罪属于法定犯,司法解释应与前置法相一致以实现法秩序统一的角度而言,已公开个人信息仍然是个人信息。另外,个人信息已公开状态不意味着信息主体放弃了信息自决权等权益。因此已公开个人信息是《刑法》意义上的公民个人信息,否则不仅威胁已公开个人信息权益,而且会“穿透性”侵害未公开的个人信息权益。
《刑法》保护已公开个人信息的边界何在?作为前置法的《民法典》规定合理处理已公开个人信息免于承担民事责任,《个保法》将此情形视为个人信息处理的合法性基础,如果《刑法》认定擅自处理已公开个人信息行为皆构成侵犯公民个人信息罪,那么就威胁了法秩序统一,反而不利于个人信息保护和个人信息利用的平衡。有学者即认为,“遵循法秩序统一性原理,已公开的个人信息适用侵犯公民个人信息罪的司法边界取决于《民法典》和《个人信息保护法》等前置法为平衡信息主体与信息处理者之间的利益冲突所设计的‘合理处理规则’”。在合理范围内处理已公开个人信息不构成侵犯公民个人信息罪,否则反之。于此的机理尚存争议。一种典型观点认为“在合理范围内处理”是违法阻却事由。反对观点认为“在合理范围内处理”不符合构成要件——未违反国家有关规定,其无法作为阻却事由构建实质出罪机制。争议产生的原因是对“在合理范围内处理”的体系定位不同,进而采取了不同的犯罪构成认定路径。抛开争议,“在合理范围内处理”具有多重意蕴,其意味着个人信息处理行为未违反国家规定,未给信息主体权益造成重大影响,自然也无需获得信息主体同意,处理目的及方式等正当、合理,故而不构成侵犯公民个人信息罪。
四、在合理范围内处理的判定
既然“在合理范围内处理”能够影响信息处理行为的评价,那么信息处理是否在合理范围内的认定就尤为重要。目前,如何判定“在合理范围内处理”尚处探索阶段。有研究认为,在满足目的限制原则,手段、收集及利用行为正当性要求时即构成在合理范围内处理个人信息。以上判定之法体现的手段目的合理性,及利益衡量之精神,恰恰是比例原则要义所在。引入比例原则作为判断信息处理者是否在合理范围内处理个人信息的工具能够经受起理论与实践的双重检验。
(一)比例原则引入的法理根据
采用“适当”“适度”“必要限度”等术语的规范是适用比例原则的依据。“在合理范围内处理”可作为比例原则适用的规范依据。在豁免同意的情况下,又将已公开个人信息处理限定在“合理范围内”表明信息处理者的个人信息处理权存在边界,这与比例原则的“禁止主体过度行权”要义吻合。信息处理者在合理范围内处理已公开个人信息作为缺省规则,以默认助推的方式增加个人信息流通收益,减少个人信息保护成本,可谓比例原则效能分析的具体体现。规范设置及其构造背后隐藏着更为重要的价值考量,其与比例原则蕴含的理念高度契合。“在合理范围内处理”是利益平衡嵌入立法的结果。利益衡量的本质是公正地分配资源,比例原则素有正义化身之称,多元利益的衡量正是其题中之义,其是可将抽象的利益衡量具化为规范结构的法律工具。
可适用性分析还需回归到比例原则本身。比例原则早已从规制公权力干涉私权利的公法原则蔓延到界定公民权利行使范围的准则,具有设定权利和义务的本体论意义,以及检视公权力限制私权利是否正当,私权利限制私权利是否合理的方法论价值,用其判断信息处理者是否在合理范围内处理个人信息未超出比例原则的适用范围。“在合理范围内处理”赋予处于强势地位的信息处理者权益的同时限制了信息主体相对性基本权利——个人信息权益,这种限制的正当性需要广泛的论证,比例原则恰好“可为判断者提供可操作性和可验证性的思考框架,并可为最终的判定结论提供具有说服力的论证理由”。比例原则的逻辑构造是由环环相扣、层层递进的子原则组成的结构性规范,作为分析工具,可避免自由裁量过度渗入,并提供精细的判定框架及清晰的判定思路,帮助得出更为合理的判定结果。
(二)比例原则指引下的审查框架
比例原则的逻辑构造有“二阶说”“三阶说”和“四阶说”。“四阶说”在适当性、必要性、均衡性原则之上增加了目的正当性原则。基于最大程度地控权和扶弱,“四阶说”更为完善。应该明确比例原则仅是作为法定个人信息处理原则的规范化手段——在满足比例原则适用情况下,依次审查比例原则的子原则来确定法定个人信息处理原则在具体案件中的规范内涵。由此形成了以比例原则为纲,其四项子原则为目,合法、正当、必要、诚信等个人信息处理原则为科,以及禁止过度收集等个人信息处理规则为属的融贯性审查框架。审查框架分为两个层级,第一层级明确公共利益、信息处理者利益、信息主体利益,以及三者是否存在冲突,实质是考虑个人信息处理是否限制信息主体的个人信息人格权益等相对性基本权利,是否需要限制这种限制,这是比例原则适用的前提。同时,将个人信息类型、处理目的及手段等纳入第二层级中作为判定是否符合比例原则子原则的要素。根据这些要素,来回穿梭于事实与个人信息处理原则及规则之间,依次审查事实是否符合比例原则的子原则,若符合四项子原则即可认定信息处理者在合理范围内处理个人信息,否则反之。
(三)比例原则审查框架的检验分析
“贝尔塔案”和“汇法正信案”是两起被告收集、转载裁判文书网已公开的裁判文书,原告要求删除涉及自身的裁判文书,被告拒绝删除裁判文书的案件。两起案件相似,但裁判结果相异,值得以此为例检验比例原则的适用。就第一层级而言,两案皆从个人信息处理是否限制了信息主体权益,个人信息处理是否应当受到限制两个方面作了初步的利益衡量。在第二层级中,首先,审查目的正当性。两起案件中个人信息处理目的皆为商业用途,就其合法性存在分歧。“贝尔塔案”以原告享有二次转播拒绝权为由支持删除裁判文书,实则否定了已公开个人信息的商业价值。据此,法院认为违背目的正当性原则,直接作出判决。而“汇法正信案”基于数字经济发展的需要,肯定了个人信息商业利用的正当性,认为个人信息处理行为符合目的正当性原则。后者判决更为合理,《个保法》第13条并未将已公开个人信息处理目的限定在“公共利益”,可推知商业用途包括其中。申言之,建议将信息处理者及第三人正当利益作为个人信息处理的法律基础。
其次,审查适当性。此原则考察手段与促进目的的匹配度,当手段的使用能够促进目的实现便符合该原则。“汇法正信案”认为删除裁判文书有碍司法公正,等同于承认转载裁判文书有助于司法公正;个人信息处理目的与裁判文书公开的初始目的一致便符合适当性原则。这遵循了目的限制原则,将个人信息公开时初始目的及信息主体预期作为判断要素。据此,裁判说理有一定的说服力。
再次,审查必要性。必要性原则强调实现目的使用的手段具有不可替代性,“在合理范围内处理”意味着信息处理者限制信息主体权益的手段是必要的,且手段对其他主体利益的损害是最小的。当尚有损害最小、最轻的方式,却未选取,便违背了该原则。转载裁判文书的确有利于司法公正,但是转载个人信息并非损害最小、最轻的方式。转载裁判文书与转载个人信息不同质,可保留转载裁判文书,对其中个人信息作匿名化处理。因而,认为个人信息处理行为符合必要性原则似乎过于武断。
最后,审查均衡性。均衡性原则为狭义比例原则,主要审查手段与损益结果的合比例性。个人信息处理给参与主体带来的收益,以及对信息主体造成的损害是可接受的,且促进了信息处理者利益和公共利益实现,便符合均衡性原则。“贝尔塔案”优先保护信息主体权益,认为再次处理个人信息需要尊重信息主体权益,且转载行为严重侵害了信息主体的就业权益,原告有权要求删除裁判文书。“汇法正信案”优先保护司法公正等公共利益,认为再次处理个人信息可以避免司法机关垄断数据,促进司法公正,被告拒绝删除裁判文书未侵害原告个人信息权益。两案的利益衡量可能有所偏差。“均衡性原则的‘均衡’并非简单的利益对等式均衡,而是个体权利优先兼顾公共利益基础上的均衡。”均衡价值追求,仅在必须取舍时方可牺牲其他法益。
五、在合理范围内处理的保障
信任作为行为的内驱力,发挥着积极履行义务,保障权利的指向性作用。数字信任的建立有赖于个人信息处理场域中的主体切实履行义务,以及附着于个人信息的权益得到关照。总体而言,就是兼采权利化保护模式和行为规制模式协同确保信息处理者在合理范围内处理个人信息。
(一)数字信任的建立
信任指主体在人际交往中相信自己的利益得到安全庇护的心理状态。数字信任主要指在技术运用场景中双方或多方对彼此积极履行义务,适度行使权利,实现正当利益,共同构建数字安全世界的信心。在个人信息处理场域,数字信任可概括为个人信息处理参与的双方或多方对保障个人信息安全的能力所持有的信心,即相信个人信息处理是一项能够使我们获益而非利益遭受到损害的活动。一是信息主体基于相信信息处理者会在合理范围内处理其个人信息而愿意提供个人信息以获得产品或者服务;二是信息处理者期望信息主体基于对其提供优质服务和产品、保障个人信息安全能力的肯定而自愿提供个人信息;三是暗含着国家期待信息处理者和信息主体在合理范围内行使权利以促动公共利益最大化。
信息处理者未在合理范围内处理个人信息现象频发,与数字信任缺失密切相关。人们对大数据心生恐惧的本质是陷入数字信任危机之中——“个人恐惧其信息被处理者反过来侵害自身,处理者顾虑个人滥用其权利,国家则担忧个人和处理者罔顾公共利益”。即使个人信息处理获得了合法性基础,但是如果信息处理者仅注意到形式授权,未实质性地遵守义务以维系信任,那么“反公地悲剧”和“公地悲剧”恶性循环不可避免。从促进信息技术发展角度而言,防止“反公地悲剧”的出现依赖内生性数字信任激励信息主体提供个人信息;从保护个人信息安全角度而言,亟需通过外生性数字信任规范个人信息处理行为,避免“公地悲剧”上演。数字信任的建立有助于解决狭长的个人信息处理链条上行为失范的问题,一方面内生性地促使信息处理者遵循个人信息处理规则,另一方面外生性地消解法律信任危机,这本质上是秉持德法共治的理念通过道德教化和法律引导实现个人信息处理的道德性、安全性和合规性。
(二)义务的积极履行
数字信任的建立及其作用的发挥脱离不了数字责任,而数字责任的担负取决于义务履行情况。义务与责任的配置旨在限制信息主体和信息处理者的权利,规范主体行为,以此统筹兼顾信息主体利益、信息处理者利益和公共利益,本质上是追求个人信息保护和个人信息利用的平衡。出于均衡个人信息附着的多重利益的考量,当下相关立法并未采取“权利化模式”,而是“行为规制模式”,尤其是从《个保法》将信息处理者视为第一责任人,规定了一系列义务可见一斑。企图依托“行为规制模式”达到保护个人信息安全的目的也仰赖义务的履行。
基于已公开个人信息突出的公共属性,个人既是公益事业的参与者也是受益者,有义务和责任允许他人在合理范围内处理个人信息。另外,个人作为信息的所有者,个人信息处理不当会损害个人权益和公共利益,因此也负有促使信息处理者在合理范围内处理其个人信息的义务。一方面在使用个人信息时不应为了个人利益而忽视个人信息安全,实施诸如以个人信息换取免费服务等短视行为,另一方面信息主体应跟踪监管个人信息处理情况,如果信息处理者未在合理范围内处理个人信息,应该采取相应措施阻止危害结果出现。
信息处理者作为个人信息处理风险直接制造者、个人信息处理受益者,掌握个人信息处理技术,具备个人信息处理风险的治理能力,由其控制个人信息处理风险符合公平原则。结合《个保法》第13条和第27条之规定,“在合理范围内处理”规则的设置对信息处理者更有利,减免了其取得明确授权的义务,“助推”其处理个人信息。因此,信息处理者在行使相应权利时须谨慎、慎重地处理个人信息,积极履行个人信息保护影响评估等义务。其一旦未在合理范围内处理个人信息,不仅会阻却已公开个人信息处理合法性基础的获得,而且要承担相应的法律责任。
(三)权利的有效保障
尽管我国个人信息保护未选择权利化模式,但是面对侵害个人合法权益行为频发的现状,除了加强个人信息保护立法,强化信息处理者责任及其自律外,还需要赋予信息主体抗止信息处理者不当行为的权利,以此形成“事先预防和事中控制为主的保护模式”。《个保法》赋予了信息主体知情权、决定权、查阅权、复制权、可携带权、更正权、补充权、删除权、起诉权等各项权利。已公开个人信息主体除享有上述权利外,还享有“特别”拒绝权。“个人明确拒绝权”是阻止信息处理者不在合理范围内处理已公开个人信息的“利器”,与之配套的是要保障已公开个人信息处理的透明性,信息处理者主动披露个人信息处理目的等事项。一方面,产生信任危机的重要因素之一是处于特定关系中的双方信息不对称,增加透明性能改变信息处理者与信息主体信息不对称的情况,增进彼此信赖,建立数字信任;另一方面,便于信息主体了解个人信息处理情况,适时行使拒绝权等各项权利,加强个人信息不当处理的事前预防和事中控制。
当然,信息主体近乎不受限制地行使个人明确拒绝权在满足已公开个人信息保护特殊要求的同时,可能会损害信息处理者利益乃至公共利益。个人明确拒绝权在维护公共利益场域内受限,非公权力机关处理个人信息同样能增进社会福祉。基于此,信息处理者在负担义务的同时也享有处理个人信息并获取利益的权利。如果不保障信息处理者享有依附于个人信息之上的数据权利,对其苛责过重的义务,赋予信息主体过于绝对的权利,这一方面违背了禁止剥夺他人正当利益的正义理念,另一方面可能引致个人信息权益滥用,还会使得个人信息保护和个人信息利用失衡,及其背后的利益分配失去“善”的支撑。所以应给予信息处理者正当权益必要的关照,疏堵结合地引导其规范个人信息处理行为。
六、结语
已公开个人信息依然是个人信息,且与个人隐私存在交叉关系,三者“俱损相依”。在风险社会,保护已公开个人信息具有保护非公开个人信息和个人隐私的附随效果。“在合理范围内处理”本质上而言是个人信息保护和个人信息利用的平衡之道,其实际上远不止于适用于已公开个人信息处理场景中,在所有个人信息处理场景中皆应一以贯之。从此角度而言,本文选取已公开个人信息视域的原因在于相比较其他类型信息而言,已公开个人信息具有“已公开”的特质,而且在开源时代,越来越多的个人信息处于公开状态,以此切入能够从特殊到一般、特别到普通,考察“在合理范围内处理”于整个个人信息保护规范体系中的定位,从而试图将“在合理范围内处理”提炼出抽象理论,指导整个个人信息保护实践。通过研究,可以做如下总结。
首先,“在合理范围内处理”具有价值导向和规范指引功能。虽然在其他个人信息处理场景中,合理地处理个人信息似乎是不言而喻的,但是在已公开个人信息处理场景中,个人信息处理豁免同意,很大程度上而言,个人信息安全的实现更依赖信息处理者自律、积极履行合规义务,因而“在合理范围内处理”具有更为重要的意义,承载着更为重大的使命,平衡已公开个人信息附着利益、补充知情同意规则和具化“信赖”理念发挥着价值导向和规范指引功能。
其次,作为权义复合性规则,“在合理范围内处理”具有双重构造,决定了其判定需进行利益衡量。“在合理范围内处理”与《个保法》中的“合理使用”不同,除了属于违法阻却事由层面的范畴,还归属于合法处理事由下个人信息处理者的义务范畴,具有明显的“二阶性”,包含设定义务、赋予权利等面向。因而,当已公开个人信息处理在合理范围内,符合其他规范构成要件因素便能获得合法性基础时,信息处理者便能够免于承担相应的责任。可见,其判定十分重要。已公开个人信息弱保护的形成本质上是利益衡量的结果,“在合理范围内处理”的设定便是集中体现,因而其判定可引入比例原则在具体场景中进行利益衡量,以求实现多重平衡。
最后,规范目的之实现依赖于法律规则的遵守,即“在合理范围内处理”得到切实保障。“在合理范围内处理”的设置背景便是大数据时代数字信任缺失,导致个人信息主体权利得不到保障,信息处理者不积极履行义务。数字信任下的权利和义务之形态实际上就构成了诠释“在合理范围内处理”的逻辑前提,“在合理范围内处理”能够发挥功能,其具体评判皆沿着“权利—义务”框架展开,这就决定了必须重塑个人信息处理场景中的“权利—义务”框架体系,灌输“在合理范围内处理”的价值理念,从而实现个人信息利用与个人信息保护平衡的总体目标。
