本文是一篇行政法论文,随着大数据时代的发展,个人信息保护与数据产业发展之间的平衡成为了世界性的难题。美国和欧盟都在积极通过立法以应对这一难题,也都难言已经找到了最为合适的路径。在此背景下,我国也应积极探索个人信息保护的新路径。传统的人格权和隐私权的保护路径面临着难以涵盖个人信息多元利益内容的困境。刑法的事后惩戒性又缺乏对个人信息的全过程保护。为此,可以从设定行政义务的角度来对信息控制者加以规制,对于规制手段的选择上,需要注重激励信息控制者的内生机制,使其在利用个人信息的同时也要主动对其进行保护。在个人信息的采集阶段,个人信息从信息主体一方流入信息控制者一方,开启了后续的各种利用阶段。作为信息处理多阶段活动的起点,在个人信息的采集阶段就需要建立起一套动态的个人信息保护机制,把对个人信息的保护从源头就嵌入信息生命周期的全过程。通过在源头对个人信息加以区分,采取不同保护标准,明确不同服务种类下的采集要求,改进知情同意架构中的程序要求,引入基于场景的理论,明确信息采集阶段程序架构的理想设定模式,从而在信息的采集阶段构筑起对个人信息的保护框架。
第一章 个人信息采集的行政法问题
一、作为采集对象的个人信息
信息的处理活动存在多个阶段,采集阶段位于信息处理活动的前端,具有特殊地位,是信息从信息主体所有转向信息控制者控制的关键阶段。信息采集活动一旦完成,信息控制者就掌握大量信息,可以进行下一步的利用挖掘。个人信息作为最有价值的信息,一直都是信息控制者大量采集的对象,但个人信息的内涵,目前虽有主流的判断标准,仍面临认定的困难。
(一)作为信息处理活动最前端的采集活动
1.个人信息处理活动的多个阶段
个人信息处理是指处置个人信息的行为。2013 年 2 月,我国首个个人信息保护国家标准——《信息安全技术公共及商用服务信息系统个人信息保护指南》(以下简称《个人信息保护指南》)正式实施,《个人信息保护指南》明确了个人信息处理的内涵,即将个人信息处理过程划分为收集、加工、转移、删除四个主要环节,并对各个环节提出明确要求。其中,收集阶段,也称采集阶段,是指对个人信息进行获取并记录的阶段,收集阶段应符合目的限制原则、知情同意原则、最小化原则等多个基本原则。加工阶段,也称处理阶段、利用阶段,是指对个人信息进行的一系列的操作,如录入、存储、修改、标注、比对、挖掘、屏蔽等。个人信息控制者在加工阶段的行为应当符合采集阶段所明确的目的,且应当相应履行修改、补充、保密等义务。转移阶段,也称交换阶段、传输阶段,是指将个人信息提供给个人信息获得者的行为,如向社会公众进行公开、向特定群体进行披露、基于委托他人加工等原因而将个人信息复制到他人所掌握的信息系统等。删除阶段,也称遗忘阶段,是指使个人信息在信息系统中不再可用。这四个环节构成了个人信息处理的内涵要求,信息控制者对个人信息进行上述四个环节的活动,都属于对个人信息的处理行为。
2.个人信息采集阶段的特殊地位
对个人信息进行处理存在多个阶段,在这其中,信息的采集处于最前端。在信息的处理过程中,信息的采集阶段是信息从信息主体一方转向信息控制者一方的重要节点。在信息采集之前,信息主体是个人信息的拥有者、掌控者,对于个人信息处于绝对的支配地位 。而在信息采集之后,信息主体通过允许信息控制者的采集行为,使信息控制者参与到对个人信息的处理中来,从而失去了对个人信息的绝对的控制权。信息控制者通过信息的采集,可以对信息主体进行识别,展开精准的直接营销,甚至可以通过自动化处理对信息主体进行“画像”。可以说,一旦信息采集完成,个人信息流入信息控制者一方,信息主体就将难再摆脱信息控制者的“阴影”。
..........................
二、个人信息采集行政法义务设定的意义
个人信息采集活动主要是由信息控制者(也称为数据控制者)这一主体来进行。在社会发展的早期,出于管理的需要,政府需要大量收集公民的个人信息,成为最早的信息控制者。随着信息网络技术的发展,市场上出现许多新的信息控制者,收集并控制着大量的信息,其数量远超政府所控制的信息的数量。目前对于个人信息控制者范围的讨论,认为其既包括组织也包括个人,具体而言至少有网络平台服务商、社交网络服务商、电子商务服务商、网络服务商以及信息基础服务商等主体。
依据 1980 年经济合作与发展组织(OECD)的《隐私保护和个人数据跨境流通指南》(以下简称《指南》)、1995 年《数据保护指令》)以及 GDPR 中对于“数据控制者”的识别,都强调其能够决定个人信息的处理目的和方式。可见,信息控制者作为个人信息最主要的利用主体,能够决定个人信息的处理目的和方式,具有很强的利用激励。但其是否也应当承担起相应的保护义务,以及如何承担保护义务,是个人信息保护立法实践中首先需要考虑的问题。
对于个人信息保护的探索,已有的立法实践虽取得一定成效,但仍面临相应的困境。如何开辟新的保护路径,需要从行政法的角度,为信息控制者设定相应的义务,来实现保护个人信息的目的。
民法上对个人信息保护最重要的规定是 2017 年 10 月 1 日起实施的《民法总则》第 111 条的内容,此条明确指出“自然人的个人信息受法律保护”,但规定的内容较为简洁,对个人信息的性质未做界定,从而也引发了对于该条内容的不同解读。王利明教授认为本条只是规定个人信息应受到保护,并没有采用个人信息权的表述,表明民法总则未将个人信息作为一项具体人格权利。21龙卫球教授认为本条考虑到个人信息的复杂性,没有以单纯的民事权利特别是一种人格权的形式加以规定,而是笼统规定其受法律保护,为未来个人信息兼顾财产利益,以及与数据经济发展的关系配合预留了一定的解释空间。22杨立新教授认为本条是对自然人享有的个人信息权,以及义务人负有不得侵害个人信息权义务的规定。23立法机关人员在解读该条时认为虽然没有规定个人信息时人格权,但是规定了其他民事主体对自然人个人信息保护的义务,违反保护义务的应当承担民事责任。
........................
第二章 个人信息采集的规制原则
一、内容原则:目的限制原则和最小化原则
在对个人信息进行采集时,要对信息控制者采集的信息内容进行约束,不能放任其信息采集行为。目的限制原则和最小化原则在信息采集阶段的作用,主要是对信息采集的内容加以规制,通过明确采集的目的,将信息采集活动限于为实现特定目的的必要限度之内,来实现对个人信息的保护。
(一)目的限制原则
目的限制原则是个人信息保护法中的核心原则,其内涵要求信息控制者在收集个人信息之前应该告知收集、使用信息的目的。目的限制原则的概念最早由美国著名隐私法学者艾伦·威斯汀于 1967 年在其著作中提出。他认为政府只能因特定目的使用而收集的个人信息,若用于其他目的或者另行传输均为禁止,除非该信息之个人身份识别可能性已经丧失或者经信息主体的明确同意。45可见,目的限制原则最初是用来对抗国家机关对个人信息行使的公权力行为。其内涵要求国家对于个人信息的处理仅限于法定之目的,这不仅因为这是公权力行为的法定义务,还因为国家对个人的信息具有强制收集能力。虽然最初目的限制原则是用来约束国家的信息采集行为,但是随着时代的发展,许多私人主体也成为了个人信息的重要控制者。因此针对私人领域的个人信息处理行为,也开始引入目的限制原则。其中的理由或许是,在自动化技术背景下,倘若任由私人主体不受限制地处理和利用他人的个人信息以谋求某种利益,则个人信息风险恐泛滥成灾,目的限制原则即为应对此风险而生。
1980 年 OECD 发布的《指南》中首次对目的限制原则作了规范的表述“个人数据收集的目的应当在收集时确定,随后的使用限制在实现该目的的必要范围内,或者用于实现其他与该目的不冲突的目的和每次更改时确定的目的。”此后目的限制原则在许多国家和地区有关个人信息保护的立法中都得以确认,包括欧盟、澳大利亚、日本以及我国港澳台地区都陆续接受了目的限制原则。
..........................
二、程序原则:公开透明原则和知情同意原则
信息控制者在对个人信息进行处理时,需要满足基本的程序要件,才能使其的处理行为合法有效。在信息采集阶段,信息控制者首先需要满足基本的信息采集的程序要求。公开透明原则就要求信息控制者的采集行为必须合法,通过公开透明的方式来对个人信息进行处理。知情同意原则就要求信息控制者在采集信息时,必须通过一定的程序设计,来告知信息主体关于其个人信息被收集、处理和利用的情况,并征得其同意。
(一)公开透明原则
公开透明原则指的是个人信息控制者应当以明确、易懂和合理的方式公开处理个人信息的范围、目的、规则等,并接受外部监督。公开透明原则可以从两方面理解,一方面,个人信息控制者公开处理个人信息,从而保障个人信息主体的知情权,如个人信息控制者隐私政策之制定要求,禁止私自采集个人信息,侵犯公民权利;另一方面,公开处理意味着外部监督,从而保障信息处理的合法性。如个人信息控制者应遵守不得从非法渠道获取个人信息、不得收集法律法规明令禁止收集的个人信息等要求。
在信息采集阶段,公开透明原则之适用主要体现为个人信息控制者的告知义务,个人信息控制者公开采集个人信息时,应当告知信息主体处理的数据类型,收集、处理或使用的目的以及负责机构的身份等信息。1980 年 OECD《指南》中规定的八大原则之一的收集限制原则,就要求“个人数据的收集应受到限制,获得数据的手段必须合法和公平”。此后 1995 年的《数据保护指令》也作出了类似的规定,要求对数据的处理应当遵循“正当、合法”的规则。德国 2003 年修订的《联邦个人数据保护法》以及日本 2005 年施行的《个人信息保护法》也都规定了个人信息采集的