一、企业如何协助个人信息主体行使权利
《个人信息保护法》是保护个人信息权益的基本法,对个人信息权利进行了定义,全面构建了个人在信息处理活动中享有的法定权利,包括知情权、决定权、限制权、拒绝权、查阅权、复制权、可携带权、更正权、删除权等。但是目前仅有《个人信息保护法》的概念性规定仍不足以明晰这些权利的内涵、边界、权利行使方式等问题。
权利与义务相对应而存在,企业作为个人信息收集、处理的主体往往成为个人行使这些个人信息权利时的相关义务承担者。个人向企业主张行使这些大数据时代的新兴权利时,企业又应当如何履行相应义务也有较大的争议。
以个人信息查阅权、复制权为例,实践中应如何理解“查阅”、“复制”的含义?“查阅”、“复制”是否必须采取某种指定形式?企业如何做才可以既能一一满足成千上万的用户查阅、复制个人信息的要求,同时又不至于使企业陷入无止境的义务履行负担中?如果主管部门、行业协会等已经在个人信息查阅、复制方面进行了指引和要求,且企业也符合现有的主管部门、行业协会等关于个人信息查阅、复制的要求,用户向企业提出的个人信息查阅、复制请求如果超出了主管部门、行业协会等的规定,企业是否还有义务响应?应如何响应?以互联网移动应用程序(APP)为例,通常APP会通过交互式页面设计在“个人中心”里展示用户自行填写的一些个人信息,这也是APP行业规范所要求的满足个人信息查阅的方式。如果某位用户向APP运营者主张查看APP后台存储的这些个人信息对应的全部原始数据,并要求为其提供专门的文档以便复制,这种要求是否属于个人信息查阅权、复制权的合理行使?APP运营者是否有义务去满足?如果是,APP运营者又应当如何满足这种权利主张?
上述疑问是我们在相关案件办理过程中以及企业在个人信息合规工作中切实遇到的问题。对这些问题的思考和回应有利于个人信息纠纷定纷止争,从而更好地实现个人信息保护的目标。
二、个人信息保护纠纷中实现利益平衡的必要性
围绕个人信息权利产生的个人信息保护纠纷中,核心争议往往为个人信息权利是否受到侵害或者个人信息处理者是否保障了个人信息主体的个人信息权利。这一问题的判断离不开对个人信息权利与义务边界的划分。但是由于目前《个人信息保护法》尚未出台具体的实施细则,如果在个人信息纠纷处理中仅偏重于个人主体的诉求是否得到满足,而忽略个人信息主体诉求的出发点、动机以及企业实现诉求的成本,没有保护各方利益平衡,将价值天平一味向某一方倾斜,这样的处理结果是否反而导致不公和失衡,甚至限制数字经济的发展?
1. 利益平衡原则、比例原则与成本原则
利益平衡既是一项立法原则,也是一项司法原则,在法律层面上,利益平衡是指“通过法律的权威来协调各方面冲突因素,使相关各方的利益在共存和相容的基础上达到合理的优化状态”[1]。社会生活中不同主体存在不同的利益诉求,而社会资源有限,不同利益主体之间很容易发生冲突。当不同利益主体之间发生冲突又不能两全时,法律只能进行不同利益之间的权衡,评估不同法律制度对各方利益的影响,选择更符合利益最大化的相应法律规则。[2]
利益平衡原则在法律制度中的典型应用就是知识产权法。一方面,知识产权法鼓励知识创新和促进知识扩散,保障知识产权人的专有权,另一方面社会公众在知识产权法中也存在合法的权益需要保障。知识产权法需要协调知识独占和知识共享的冲突,实现个人利益与公共利益的平衡或者至少使两者趋于平衡。著作权法中的合理使用制度、避风港原则,专利有限保护期制度等就是利益平衡原则的典型体现。[3]
与利益平衡原则相关联的另一原则是比例原则。比例原则是个人信息处理中的重要原则,是指信息处理活动中在必要性、适当性以及目的与手段之间合乎比例等要件的前提下,基于实现信息自由目的可以对权利进行一定的排除或限制。比例原则发源于18世纪末期德国警察法,它是行政法的核心原则,原旨在对限制私权利的立法权或行政权力进行限制,基本要义是强调对私权利进行限制应具备合理性。[4]如今比例原则已成为域外个人信息保护立法和判例法中的重要原则。欧盟《通用数据保护条例》(GDPR)的序言第四项规定:“The right to the protection of personal data is not an absolute right; it must be considered in relation to its function in society and be balanced against other fundamental rights, in accordance with the principle of proportionality.”该规定明确了个人数据保护权不是绝对权,必须根据比例原则,考虑其在社会中的功用与其他基本权利保持平衡,是欧盟国家处理的基本要求。我国《个人信息保护法》第五条中规定了处理个人信息应当遵循合法、正当、必要和诚信原则,第六条规定处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。这些规定体现了比例原则和利益平衡原则在我国《个人信息保护法》中的运用。
此外,在平衡个人信息主体行权时多方利益的过程中,不容忽视的是行权成本的考虑。行权成本,既包括个人信息主体向个人信息处理者提出诉求时的门槛和条件,也包括个人信息处理者响应和满足个人信息主体权利要求时的花费和成本。在个人信息的人格尊严价值已经得以保障和体现时,成本原则应当成为判断个人信息主体行权要求合理性的重要标准之一。成本原则在我国的推荐性国家标准GB/T35273-2020《信息安全技术 个人信息安全规范》中实则已有所体现。在该规范第8.7条中明确,对一定时期内多次重复的个人信息权利行使请求,企业可视情收取一定成本费用;直接实现个人信息主体的请求需要付出高额成本或存在其他显著困难的,允许企业向个人信息主体提供替代方法。
2. 信息利用过程中涉及多元主体利益需要平衡
从《个人信息保护法》的名称中可以看出,该法的主旨在于“保护”,保护个人就个人信息享有的合法权益。但是从信息的属性来看,信息是无形的,被称为“信息论之父”的克劳德·香农(Claude E. Shannon)曾表示:“信息是用来消除随机不确定性的东西。”当一个人掌握了信息,就比其他不掌握该信息的人具有确定性,所以信息的价值在于拥有信息的主体可以传播、共享信息,以消除不确定性。[5]信息在社会交往活动中进行传播、利用的过程中才能发挥作用。简单地讲,信息不是为了保护而存于世间的,相反恰恰是为了利用。所以除了“保护个人信息权益”这一立法宗旨外,“促进个人信息合理利用”也应是立法目的所在。
个人信息虽然是个人的信息,但是在个人信息的利用过程中,会涉及个人、政府、企业等不同的利益主体。例如在疫情防控、人口统计等社会治理领域,政府有必要掌握一定的公民个人信息并有权在特殊情况下无需个人同意利用个人信息,成为个人信息的利益主体。《个人信息保护法》第13条规定为履行法定职责或者法定义务所必须、为应对突发公共卫生事件或者紧急情况下为保护自然人的生命健康和财产安全所必需、为公共利益实施新闻报道、舆论监督等行为在合理的范围内处理个人信息等情形,可以无需取得个人同意处理个人信息。该条规定实际上就是在个人利益与公共利益之间进行了一定的平衡。
除上述围绕个人信息产生的个人利益和公共利益外,企业通常以个人信息收集、处理者的身份牵涉其中,成为个人信息的重大利益相关主体。企业可以对其投入了劳动加工处理后的信息成果享有权益,已经逐渐成为立法和司法实践的共识,这种信息成果实际上也是基于个人信息聚合加工而成。而对于此类经过企业加工、分析和增值的个人信息产品或成果,在已经采取适当方式确保了个人信息主体对其享有的基本人格权益外,个人在多大程度或范围上享有对企业的个人信息产品或成果的财产权利要求,目前来看可能也缺少非常明确的答案。而企业与个人的信息权属划分规则,实际上也体现了司法在作为个人信息处理者的企业利益与个人信息主体利益之间的一种平衡。
而关于企业和企业之间就个人信息之上的相关权益划分,也需要一定的利益平衡,这一点虽然在国内外司法实践中不完全一致,但均间接认可了企业对于个人信息处理的相关合法权益。基于信息流通价值和保护价值的不同侧重,国外如美国法院对HiQ vs. LinkedIn的最新判决表明对于具有公开流通属性的个人信息,各家平台之间可能拥有相同的使用和竞争性权益,而我国此前在“新浪诉脉脉不正当竞争案”中确立的“三重授权原则”,除个人对个人信息的控制或决定权利以外,还强调了在线平台对于其用户个人信息的竞争性权益和价值。
从上述企业与个人、企业与企业之间的利益冲突与平衡实践来看,我们不难发现,应该承认个人信息之上除了人格权益之外,企业对于个人信息财产价值的分配合法性与正当性。正如欧盟《通用数据保护条例》(GDPR)第六条中,将“合法利益”(legitimate interests)作为个人信息处理的合法性依据所折射出的立法考量,企业在个人信息处理活动中合法、正当的利益应得到尊重和承认。
尽管我国现行的《个人信息保护法》中并未将GDPR中的“合理利益”作为一项单独的合法处理个人信息的情形加以规定,但企业对于用户个人信息客观上享有的,基于自由诚信经营、市场公平竞争以及其他正当的财产性权利或合法权益,进而在合理范围内处理个人信息的行为,应当被视作个人信息处理合法合规性评估的重要衡量因素。这一点,在中国科学技术法学会牵头制定和发布的团体标准T/CLAST 001-2021《个人信息处理法律合规性评估指引》中已经得到认可和体现。在该指引中,“合法利益公平处理”要求,当能够有说服力地论证个人信息处理具体场景下,要求个人信息主体事先同意将使得合法利益无法实现或者要求付出与收益不成比例的成本时,个人信息处理可以通过法律合规性评估。
当然,相比于取得个人信息主体的知情同意,作为个人信息合法处理的例外情形,企业基于合法利益进行个人信息处理前,参照上文提及的团体标准,往往需要企业运用比例原则,基于具体的个人信息处理场景进行多因素的利益平衡或者合法利益的比较,进行所谓的“平衡性测试”,以达到“充分论证”个人信息处理的合法利益显著高于个人信息主体的利益保护价值之目的。“通过个案衡量方式为数据保护留下了灵活的操作空间,是个人信息保护与促进信息流动之间的重要平衡器。”[6]
3. 个人信息权利义务的边界划分需注重利益平衡
企业作为个人信息处理者可能会处理海量的用户个人信息,例如我国某些购物类APP注册用户数多达几亿人,每一个用户都有权向APP运营者行使其个人信息的相关权利。仍以个人信息查阅权、复制权为例:
如果个人信息查阅权、复制权行使方式不合理不明确,每位用户都有权要求企业按照其指定的方式去满足用户查阅、复制个人信息的要求,那么企业将需要逐一专门采取措施去满足不同用户们查看、复制信息的需求。
如果个人信息查阅权、复制权没有合理的范围,用户可以随时要求企业披露其存储的与该用户有关的全部信息和原始数据,企业将需要大量时间并占用宝贵的服务器资源在海量数据库中不断为用户检索相关数据。互联网企业在存储用户数据时并非以用户账号为单位制作数据表单进行存储,而是按照不同的数据类型制作数据表单存储数据,例如所有的用户注册信息会存储在一起,所有的用户日志信息会存储在一起,这种数据存储逻辑下用户信息并非天然的在企业后台被按照用户账户整理存放,企业需要经过在数据库中检索的动作才能将相应信息提取出来。如果被检索的数据库较小,检索相应信息的时间成本很低,但是如果需要检索的数据库非常庞大,则检索的时间成本会线性增长,同时运行相关检索任务需要占用的服务器资源也会随之增长,比如为用户提供某账号注册以来的全部日志信息,因互联网行业每日产生的日志信息数量可以亿为单位,检索全部日志信息任务就需要花费一定的成本。
上述情境下,仅满足单个用户的需求产生的成本对企业来说尚足以承担,但是企业作为个人信息处理者需要面对无数用户,如果每一个用户都可以向企业提出上述请求,满足这些请求的成本累计起来将难以估量。此时,在基本满足个人信息主体的人格尊严保障要求下,成本原则应该派上用场。在个人信息保护义务承担方面,企业处于一对多的地位,如果个人信息权利的行使方式、边界等不明确或不合理,使企业承担严苛的、不合理的成本和风险,有可能反向打击企业履行保护个人信息职责的积极性,不利于个人信息保护的发展。因此有必要通过立法或司法裁判规则明确合理的个人信息权利行使方式,实现个人信息处理者与个人信息主体之间的利益平衡。
三、如何在个人信息纠纷中实现利益平衡
厘清《个人信息保护法》规定的新兴个人信息权利与义务的边界、权利行使方式以及个人信息处理者的义务承担方式具有现实意义。尤其是在日益频发的个人信息纠纷中,不仅需要明确权利义务边界定纷止争,更需要进行合理的划分和界定实现个体权利与他人利益、社会利益的平衡,才能使个人信息保护制度真正发挥作用。当下个人信息权利义务边界仍有待立法和实践进一步探索,我们结合所处理过的个人信息纠纷案件经验及实践中此类纠纷的常见争议焦点,对如何在个人信息纠纷中合理平衡企业与个人利益,尝试提出一些建议,抛砖引玉:
1. 处理个人信息纠纷时应当尊重和关注相关行业发展阶段和技术发展现状
在以往的数据不正当竞争纠纷中,法院通常会结合相关行业的发展阶段对当事人间的权利义务关系进行分析,例如(2018)浙01民终7312号案件中,法院认为“由于互联网经济作为新型市场形态正处在形成与新兴过程中,调整网络运营者与网络用户相互间权利义务关系的专门性法律规范尚处在探索创立阶段,目前对于网络运营者与网络用户间的利益分配与权利冲突,应当秉持‘合法、合理、公平’的原则,综合考量法律规定、双方间法律关系属性以及有利于社会公共秩序与社会公众利益维护等因素予以评判。”
技术发展现状也会影响义务的分配程度,例如(2020)浙01民终4847号案件中,法院认为“由于互联网征信行业仍处于发展的起步阶段,相关行业规范尚未成熟,应当以鼓励数据共享流通、兼顾各方利益为原则,并正视海量数据处理的技术困境,合理确定注意义务。一方面,从事企业征信的互联网征信企业运用大数据技术优势,将公共领域碎片化的局部数据整合起来,较为完整的反映企业经营信用状况,实现了面向整个市场的信息共享,解决了商业信息滞后、信息不对称的市场困境,在降低信息收集成本,增加交易行为的透明度,促进社会诚信体系建设方面具有积极作用。由于受到数据共享范围、获取成本的限制及数据有效抓取技术的局限,在司法裁判上,不宜为互联网征信企业赋予过高的注意义务,对于普通的信息偏差,应当允许其通过事后救济的方式进行修正。”
因此,个人与企业之间发生个人信息纠纷时,双方权利义务的合理划分不能仅囿于法律文本的分析,亦有必要结合当下相关行业的发展阶段以及有关的技术现状。如果脱离了行业和技术背景,有可能会对相关企业苛以其实际上难以做到的义务,起到揠苗助长的负面效果。
2. 个人信息权利义务的行使方式不能脱离大数据和互联网时代需求和特征
大数据时代,企业作为个人信息处理者要面对大量的信息主体,需要处理的个人信息也是海量的,这一特征使得个人信息权利义务关系与传统的民商事权利义务关系有所不同。在衡量个人与企业围绕个人信息纠纷可能产生的受益或损失时,不能仅仅局限于单个的用户与企业之间的利益平衡,也应当适当关注这一权利义务推及于全部用户后企业可能面临的负担与风险。
而且在互联网时代,个人信息权利义务的履行也应当与时俱进,不能局限于传统的履行方式,应当允许并鼓励企业运用互联网技术通过便捷的交互式页面方式或其他灵活方式为用户提供自助行使个人信息权利的途径,这也是当前行业发展趋势。在企业已经通过APP交互式页面设计为用户提供了个人信息的查阅、复制、删除、更正等功能时,用户再单独要求企业以指定方式满足其个人信息查阅、复制、删除、更正等需求,比如为其提供一份专门的纸质文件披露个人信息,用户的这种需求是否合理、企业是否有义务满足是值得商榷的,至少不应该苛责企业对用户关于个人信息权利行使的任何需求都做到一味满足。
3. 将企业保障个人信息权利的义务与主管部门、行业协会等制定的要求合理衔接
在《个人信息保护法》颁布之前,就有不少主管部门、行业协会就该行业企业如何做好个人信息保护制定了不少规范、指引,其中不乏关于个人信息权利、义务履行方式的细化规定。
例如国家市场监督管理总局、国家标准化管理委员会于2020年3月6日发布了国家标准《信息安全技术 个人信息安全规范》,对个人信息处理者如何响应个人信息主体的请求、如何保障个人信息主体的权利进行了详细规定。比如该规范第8.1条个人信息查阅,规定了个人信息控制者应向个人信息主体提供查阅的信息范围,也明确如果个人信息主体提出查询非其主动提供的个人信息时,个人信息控制者可在综合考虑不响应请求可能对个人信息主体合法权益带来的风险和损害,以及技术可行性、实现请求的成本等因素后,作出是否响应的决定,并给出解释说明。根据该规定,我们理解,也并非用户所有查阅个人信息的请求企业都有义务予以满足。
工业和信息化部作为行业主管部门也多次发布关于个人信息保护的通知,对有关企业如何保障个人信息权利、履行个人信息保护义务进行了要求。例如工信部在《关于开展信息通信服务感知提升行动的通知》(工信部信管函[2021]2号)中要求企业建立已收集个人信息清单和与第三方共享个人信息清单(“双清单”),在APP二级菜单中展示,方便用户查询。在企业已经按照工信部要求制作双清单以供用户查阅有关信息后,如果某位用户要求企业为其披露有关该用户个人信息向其他第三方共享的具体信息内容清单,企业是否应当满足用户的要求?
我们认为,在行业主管部门、行业协会等已经对企业如何保障具体的个人信息权利有明确要求时,企业按照相关要求采取措施就可以视为已经履行了《个人信息保护法》下保障个人信息权利的义务。在当前《个人信息保护法》中的个人信息权利规定仍较为粗疏的情况下,尽管行业主管部门、协会等有关规范、通知的法律效力层级较低,也有必要参照、尊重这些专业性的规范文件,将企业保障个人信息权利的义务与主管部门、行业协会等制定的要求衔接,来合理确定个人信息权利应当如何保障和落实。
四、企业如何更好地应对个人信息权利主张?
实践中,用户通常会以与客服电话、留言沟通、向企业专门邮箱发送电子邮件等方式向企业提出行使个人信息权利的主张,比如要求企业披露某些个人信息、为其提供个人信息副本等,如果企业对这些请求置之不理或处理不当,在《个人信息保护法》实施后将有面临被用户提起个人信息侵权纠纷的诉讼风险。面对这类用户请求,企业如何应对才能降低侵权风险到达合规要求?结合我们的相关案件经验和为企业提供个人信息合规服务的经验,对此有以下几点建议:
1. 按照行业主管部门规定和行业协会的各项要求进行个人信息合规建设,并按照有关要求优化网站、APP等平台的设计和功能,以便捷的、行业通用的方式保障用户个人信息相关权利,尽可能避免因违规遭受主管部门的批评、通报或处罚等。
2. 明确并完善个人信息响应制度,在接到个人用户关于行使个人信息权利的主张时,应及时予以答复、说明相关理由,可以降低因未答复或答复不及时而被认定为侵权的风险。
3. 在答复用户关于行使个人信息权利的主张时,应注意核验用户的真实身份,如果用户未主动提供其真实身份信息,企业可主动要求其提供身份信息以供核验或者告知用户核验身份的途径、方式。
4. 如果用户关于个人信息权利的请求,已经可以在网站、APP等平台上由用户自助实现请求内容,企业可在答复中明确告知用户相关渠道和方式,或将上述内容在用户协议中予以公示。如果企业认为用户的请求不合理或难以满足,企业应向用户进行解释说明。
为了在个人信息保护与流通价值之间做好平衡,其核心在于法理上确定个人信息附着的各项权益,并就各项权益对应的利益进行合理分配。但值得注意的是类似的分配制度依然有可能是动态变化的过程,比如个人信息主体对不同类型的个人信息享有的人格权益程度有所不同(比如个人财产信息和身高信息),因此对应权利边界未来也有所差异。再如企业对于不同类型个人信息投入程度的差异(用户基本信息和用户浏览记录)可能会导致其财产权益的变化,甚至影响其履行个人信息义务的边界。
在当前法理上仍未有定论的情形下,如何既能“保护个人信息权益”,又能“促进个人信息合理利用”,是需要裁判机关在相关个人信息权利要求案件中积极调动司法能动性,在具体的个人信息处理场景下,充分发挥利益平衡原则的艺术,尊重和保护企业基于合法利益进行的个人信息处理活动,支持企业自主作出拒绝滥用权利、超出合理范围行使个人信息权利要求的决定。唯有此才能适应法律甚至法理滞后,而数字经济高速发展的现状,更好地利用司法判决保护企业的数据资产和合法利益,给予企业以推动数字经济发展的信念和信心。
我们期待随着我国个人信息保护实践的发展和法律运用的成熟,当下的疑惑在未来答案会逐渐明朗,个人信息的全面保护并非个人诉求的无止尽满足,只有企业、个人等各方利益都能得到合理的关照和平衡,才能更好地实现个人信息保护的目标。
冯晓青:《知识产权法的利益平衡原则:法理学考察》,载《南都学坛》2008年3月,第28卷第2期。
范小华、周琳:《基于利益平衡视角的的个人信息法律保护探析》,载《行政管理改革》2020年第3期。
冯晓青:《知识产权法的利益平衡原则:法理学考察》,载《南都学坛》2008年3月,第28卷第2期。
齐爱民、李仪:《论利益平衡视野下的个人信息权制度——人格利益与信息自由之间》,《法学评论》2011年第3期。
申卫星:《论个人信息保护与利用的平衡》,载《中国法律评论》2021年第5期
Paolo Balboni, et al., Legitimate Interests Of Data Controller New Data Protection Paradigm: Legitimate Grounded On Appropriate Protection, International Data Privacy Law, vol.3, no.4 (2013). 转引自:谢琳:《大数据时代个人信息使用的合法利益豁免》,载《政法论坛》2019年第1期。