近日,工業和信息化部等三部門起草的《移動互聯網應用程序個人信息保護管理暫行規定(征求意見稿)》(以下簡稱《征求意見稿》),向社會公開征求意見。《征求意見稿》堅持人民利益至上、堅持問題導向、堅持落實主體責任,有諸多亮點,對規范移動互聯網應用程序個人信息處理活動,并促進個人信息合理利用,保護個人信息權益,有重要意義。《征求意見稿》明確規定了個人信息處理的“合法、正當、必要原則”,筆者集中對第5條、第7條提出修改意見。
“合法、正當、必要原則”,是數字時代個人信息處理最重要的實體原則。早在2012年,全國人大常委會發布的《關于加強網絡信息保護的決定》就規定了“合法、正當、必要原則”:“網絡服務提供者和其他企業事業單位在業務活動中收集、使用公民個人電子信息,應當遵循合法、正當、必要的原則。”此后,越來越多的規定提到了該原則。
就現行法而言,消費者權益保護法第29條規定,“經營者收集、使用消費者個人信息,應當遵循合法、正當、必要的原則”;網絡安全法第41條規定:“網絡運營者收集、使用個人信息,應當遵循合法、正當、必要的原則”;民法典第1035條明確規定,“處理個人信息的,應當遵循合法、正當、必要原則,不得過度處理”。可見,“合法、正當、必要原則”已成為我國的法定原則。《征求意見稿》不僅有必要直接規定“合法、正當、必要原則”,而且還應當對其具體化。
然而,《征求意見稿》的相關規定并不完善。其第5條提到:“App個人信息處理活動應當采用合法、正當的方式,遵循誠信原則,不得通過欺騙、誤導等方式處理個人信息,切實保障用戶同意權、知情權、選擇權和個人信息安全,對個人信息處理活動負責。”沒有具體明確“合法、正當”的內涵,又加了內涵更寬泛的“誠信原則”,不利于“合法、正當”原則的適用。此外,該條款對個人的權利列舉并不完整,如遺漏了民法典所規定的查閱權、復制權、更正權、刪除權等權利。
《征求意見稿》第7條規定“從事App個人信息處理活動的,應當具有明確、合理的目的,并遵循最小必要原則,不得從事超出用戶同意范圍或者與服務場景無關的個人信息處理活動。……”,沒有明確必要原則的內涵,只作了一些列舉。
筆者認為,《征求意見稿》應當從整體上理解具有內在統一關系的“合法、正當、必要原則”,不宜無限擴大任何一個子原則的內涵,否則該子原則就可能涵蓋其他子原則。“合法、正當、必要原則”分別評價數據處理行為的形式合法性、目的正當性和手段必要性。“合法原則”屬于形式合法性范疇,主要是指數據處理應符合法律的明確規定,如符合告知同意程序、符合存儲期限的要求。“正當、必要原則”屬于實質合法性范疇,是對數據處理目的與手段的合理性評價。
“正當原則”側重于評價個人信息處理目的,它要求個人信息處理必須出于特定、明確、合理的目的。如果個人信息處理目的過于寬泛、抽象,不僅無法有效指引具體的個人信息處理活動,而且無法有力限制個人信息的處理范圍而極易導致濫用個人信息。
然而,過度要求個人信息處理的目的特定、明確,可能會限制個人信息的充分利用,應允許適度的目的變更。如日本《個人信息保護法》第15條第2款規定,個人信息處理者變更利用目的的,不得超出一定合理的范圍,變更后的目的應與變更前的目的具有相當關聯性。“必要原則”包括禁止過度處理個人信息和禁止對個人信息保障不足兩大方面。
因此,建議整合《征求意見稿》第5條、第7條的相關內容,明確App個人信息處理活動應當遵循“合法、正當、必要原則”,并明確其內涵。修改建議如下:
App個人信息處理活動應當遵循“合法、正當、必要原則”,切實保障用戶權利和個人信息安全,對個人信息處理活動負責。
處理個人信息應當具有明確、特定、合理的目的,并應當限于實現處理目的所必要的最小范圍、采取對個人損害最小的方式,不得從事超出用戶同意范圍或者與服務場景無關的個人信息處理活動。
App個人信息處理者應采取必要的組織、技術等措施,確保個人信息處于有效保護和合法利用的狀態,以及保障持續安全狀態的能力。
(作者系中央財經大學數字經濟與法治研究中心執行主任、法學院副教授)