1、论个人信息处理中的优位利益豁免规则张张 硕硕(中国政法大学法学院,北京 博士研究生)摘 要:个人信息保护法 第 条以开放列举的方式对个人信息处理的合法性基础作出了规定,并将“知情同意规则”确立为基本原则。但事实上该规则深陷传统财产规则的桎梏,过分强调个人对信息的控制,而忽视了信息的流通与利用。有鉴于此,我国可引入优位利益豁免规则,赋予信息控制者在经过利益识别,认定信息处理所保护之利益优于信息主体利益后,无需经过信息主体同意直接处理个人信息的权利,进而在知情同意规则之外对个人信息处理行为的合法性基础进行补充,平衡对信息主体的过度保护。与此同时,亦需要建立严格的优位利益识别机制、强化信息控制者义务
2、,疏通信息主体的救济途径并加强政府监管,以防规则滥用。关键词:优位利益豁免;知情同意;利益衡量;信息流通;个人信息保护个人信息作为数据经济时代社会生产与发展的原料,是一种新型事物,它与传统的有体财产不同,在本质上有着强烈的共享性、流通性与非竞争性,并且承载着多方的多元化利益,包括但不限于“信息主体的个人利益,以及与个人信息处理紧密结合的信息使用者的利益和公共利益”。因此,除了对信息主体个人信息权益的保护,促进个人信息的流通与合理利用、保障个人信息之上其他主体的合法利益无疑是数据时代更高的追求。个人信息保护法 第 条秉持传统财产规则的理念,以“知情同意”规则作为处理个人信息的基本原则,过于严苛地
3、限制了个人信息的处理,无法满足现代数据治理的需求。实践中“知情同意”规则的内在缺陷与客观局限性也在日益凸显,“信息决策困境”“损害制度失灵”“责任错配”“利益保护失衡”等问题使其很大程度上落入流于形式的窠臼,无法有效对个人信息提供充分的保护,亦无法保障个人信息的流通与合理利用。有鉴于此,关于如何调整 个人信息保护法 第 条对于个人信息处理合法性基础的规定,以缓解“知情同意”规则的僵化,促进信息的流通利用,同时平衡并保护个人信息之上蕴含的多元利益,是亟需探讨的问题。本文认为,我国可借鉴欧盟数据立法中的“合法利益豁免”规则,并通过在其基础上收缩规则入口,建立合理的利益衡量机制,加强信息控制者义务责
4、任,疏通信息主体救济途径,健全监管制度,建立起一套适合我国现阶段国情的“优位利益豁免规则”,以丰富和优化个人信息处理的合法性基础,收缩知情同意规则的适用边界,弱化个人对信息的控制。行政法学研究 年第 期基金项目:教育部人文社会科学研究青年基金项目“政府数据开放利用机制研究”(项目批准号:)。高富平:个人信息使用的合法性基础 数据上利益分析视角,载 比较法研究 年第 期,第 页。一、知情同意规则的局限性知情同意规则最早为 年德国黑森州 数据保护法 所确认,而后具有代表性的欧盟 年 个人数据保护指令(下文简称“指令”),以及美国众多分散式立法,如 健康保险流通和责任法()、视频隐私保护法()等亦纷
5、纷效仿。就我国立法来看,年全国人大常委会通过了 关于加强网络信息保护的决定,首次在法律层面将信息主体的“同意”作为我国个人信息处理的合法性基础。而后,消费者权益保护法 第 条、网络安全法 第 条、民法典 第 条、征信业管理条例 第 条、关于加强网络信息保护的决定 第 条、电信和互联网用户个人信息保护规定 第 条以及作为推荐性国家标准的 个人信息安全规范 第 ()条均对知情同意规则作出了明确规定。显而易见,知情同意规则在全球范围已经成为绝大多数国家个人信息保护领域立法所承认的基本规则,在我国更是覆盖网络安全、消费者权益保护等诸多领域,成为占据主流的规范表达。但客观来看,该规则的内在缺陷与客观局限
6、性导致其在实践中所发挥的作用乏善可陈。首先从理论层面出发,个人信息在私权框架下的非客体性与知情同意规则本身存在矛盾。具言之,知情同意规则的制度设计系基于私法角度的“信息自决”理论,其在“卡梅框架”()视域之下亦被界定为财产规则,即以法益拥有者(信息主体)的自愿让与作为该法益移转的前提条件。该规则肯定个人对其信息的绝对控制,推崇由个人的意思自治来决定个人信息的产生、处理与消灭,旨在最大限度地保护信息主体利益。它的适用前提是信息主体须对个人信息享有排他性的权利,且关于个人信息的“交易”成本极低。但从“主体 权利 客体”结构来看,个人信息缺乏民事客体须有确定性、特定性以及独立性这一基本要求,并且想要
7、满足信息主体与信息控制者就处理行为的目的、过程、结果、方式等达成一致成本极高,与知情同意规则所预设的适用情景并不契合。因此,像对待私权客体一般对待个人信息是不现实也是不合理的。有学者甚至认为,个人信息不仅不是私权客体,甚至可归于“公共物品”。其次,个人信息具有显著的非竞争性,可以被无数次生产和使用,而不会消耗数据相关的对象。从经济学角度来看,“产权的概念仅仅是针对稀缺物品而言的,因为稀缺才有分配的效率问题,从而产生了产权与交易的需要,对于像阳光和空气这样不稀缺和不排他的充裕物品是没有竞争性的,因而也不需要产权制度来规范其使用”。因此,法律应当更多从规制信息使用的角度出发解决个人信息保护与利用的
8、问题,而非妄图从权属角度出发,以知情同意规则这一保护财产等私权客体的方式赋予信息主体决策权来达到数据治理的目的。最后,从社会实践来看,知情同意规则对信息主体的过度保护并未彰显成效,信息主体作为行政法学研究 年第 期参见程啸:论我国个人信息保护法中的个人信息处理规则,载 清华法学 年第 期,第 页。由卡拉布雷西与梅拉米德于 世纪七十年代提出,以权利保护的效率作为划分标准,将法律对权利的救济规则归纳为“财产规则”、“责任规则”与“禁易规则”。,“,:”,.,.,.参见梅夏英:数据的法律属性及其民法定位,载 中国社会科学 年第 期,第 页。参见齐英程:作为公物的公共数据资源之使用规则构建,载 行政法
9、学研究,年第 期,第 页;宋烁:论政府数据开放中个人信息保护的制度构建,载 行政法学研究 年第 期,第 页。美 约瑟夫.斯蒂格利茨等:经济学(第 版)(上),黄险峰等 译,中国人民大学出版社 年版,第 页。自然人的理性局限以及面对信息控制者的智识差距滋生了“决策困境”等问题,使得即使进一步赋予信息主体限制处理权等权利也未必能很好地保护其权益,严重阻碍了信息的流通利用。二、优位利益豁免规则的概念及意义(一)优位利益豁免概念之澄清“优位利益豁免”是指当信息控制者处理个人信息实现的利益优于信息主体的信息权益时,可不经后者同意对个人信息进行合法处理。该规则之下,个人信息的“交易”不再以信息主体的意思为
10、准,而信息主体也只有在信息控制者违反相关法律法规的情况之下享有损害赔偿的请求权。从上文提及的卡梅框架视角来看,优位利益豁免规则属于责任规则,其目标取向是促进信息的流通与利用,其在体现个人信息的共享属性及发挥其社会价值方面有更为积极的效果。从域外立法经验来看,欧盟早在 指令即对合法利益豁免规则作出了规定,赋予信息控制者及其他第三方主体为了实现合法利益所必须,可不受知情同意规则限制而处理个人信息的权利。年 月生效的 通用数据保护条例(,)就处理行为合法性基础问题亦沿用此规则。两文件原文中对信息控制者处理信息所要追求的“利益”均采用了“”一词,因此学者们多将此规则译为“合法利益豁免规则”。但该规则能
11、够突破知情同意原则的基础并非处理行为所追求的利益合法,而在于条款的后半段,即处理行为所追求的利益优先于信息主体在个人信息之上的权益。因此,强调该规则中利益衡量的特点,将其称为“优位利益豁免规则”更能够突出其法理基础与底层逻辑。综上,“优位利益豁免”与“合法利益豁免”在概念上具有相似性,只是后者将利益的优先性作为了规则适用的“条件”而没有在源头上对合法利益的范围加以限制;前者系将优位利益作为规则适用的“主体”加以控制,即将不具备优位性的利益直接排除在豁免规则之外。(二)优位利益豁免规则的功能价值知情同意规则在实质上是对个人信息主体的一种积极赋权,允许其对个人信息进行自我管理,在一定程度上具有尊重
12、人权,防止信息主体权利受侵害的意义,且经过几十年的发展,这一思想已经成为很多个人信息立法和学术讨论的基本范式。但对个体信息的赋权应当以确保信息的合理流通为目标,兼顾个体对于其信息流通的预期与社会对于信息流通的预期。因此,将“优位利益豁免规则”作为与知情同意规则并列的个人信息处理的合法性基础之一,也许是平衡知情同意规张硕:论个人信息处理中的优位利益豁免规则参见丁晓东:个人信息保护:原理与实践,法律出版社 年版,第 页。参见曹博:论个人信息保护中责任规则与财产规则的竞争及协调,载 环球法律评论 年第 期,第 页。欧盟 数据保护指令 第 ()款规定:“处理是信息控制者、第三方或者已知悉披露数据的主体
13、为了追求合法利益所必要的,但此利益被第 条要求保护个人数据的数据主体的基本权利以及自由所压倒的除外”欧盟 通用数据保护条例 第 ()款规定:“处理是信息控制者或者第三方为了追求合法利益所必要的,但此利益被要求保护个人数据的数据主体的利益或基本权利以及自由所压倒的除外”参见何俊志、孙婧婧:个人信息应用的保护设计与实证进路 基于 民法典 同意原则的博弈分析,载 贵州社会科学 年第 期,第 页;谢琳:大数据时代个人信息使用的合法利益豁免,载 政法论坛 年第 期,第 页。参见谢琳:大数据时代个人信息使用的合法利益豁免,载 政法论坛 年第 期,第 页。,“”,.,.,.,“:”,.,.,.,.则,优化信
14、息处理合法性基础的一剂良药。首先,优位利益豁免规则可有效促进信息的有利流通。在数据领域,最为根本的矛盾即为对个人信息权益的保护与信息流通之间的冲突,这往往被人们视作一场零和博弈。但事实上,二者之间并非对立关系,反而是相辅相成的互益关系。个人面对信息数据处理的理性是非常有限的,甚至在一定程度上可以被视为数据领域的“非完全行为能力人”。个人实际需要有着专业判断与分析能力的主体代理其作出最优决策。优位利益豁免规则恰恰是将信息处理的决策权交由具备强大分析处理能力的信息控制者掌握,要求其以优位利益为本位,以提升社会总体福祉为目标,对个人信息作出“最佳化处理”。该规则很大程度上杜绝了个人的非理性决策,促进
15、了信息的流通共享,甚至在欧盟立法报告中被认为可作为大数据信息处理的默认适用路径。其次,优位利益豁免规则可兼顾保护多方主体在个人信息之上的多元利益。法律保护个人信息并非旨在保护个人信息本身,而是对个人信息之上承载权益的保护。鉴于条款第 条规定,“个人数据保护不宜作为一种个人绝对权利。必须根据比例原则,考虑其在社会中的作用,并与其他的基本权利相较权衡”。由此可见,就数据治理来说,如何保护信息主体一方的权益固然重要,但如何平衡个人信息所蕴含的多元利益才是更高层次的制度追求。关于信息主体在个人信息之上所享有的权利众说纷纭,有学者认为保护个人信息的底层逻辑在于对个人基本权利以及自由的保护。这种观点与欧盟
16、 第.条规定一致;有学者认为个人信息具有财产性系特殊的物权客体,信息主体对其享有所有权;亦有学者采德国通说,认为个人享有信息自决权,而该权利系一般人格权。对此,如上文所述,个人信息的财产属性本身有待商榷,况且不能以财产性推导出物权客体,因此“物权说”存在明显瑕疵。信息自决权系基于信息主体基本权利而产生的下位权利,亦非法律对信息主体权益保护的底层逻辑。因此,将信息主体享有的权益理解为基本权利及自由更为恰当且完整。信息控制者对于个人信息的处理同样享有正当利益,如互联网公司为向用户提供更好的服务升级系统而收集、分析个人信息;公司为经营测算需要分析使用客户个人信息等,均属于宪法所承认的营商自由。承认信息控制者处理个人信息的正当性是实现个人信息社会价值的必然选择。个人信息保护制度不能扼杀个人信息的合理收集、利用和流通,法律必须在两者之间寻求一个平衡点;个人信息之上的公共利益更为广泛,社会秩序、公共安全、科技发展等均离不开对个人信息的处理利用。行政法学研究 年第 期欧盟第 条数据保护工作小组的第 号意见书指出,合法利益豁免并非同意机制的补充,而是并列选择,企业可以在同意和合法利益两个合法依据之中任