以下文章来源于华政法学 ,作者杨旭
个人信息处理中履行合同
必需规则的限制适用
作者:杨旭,北京师范大学法学院。
来源:《法学》2023 年第6期。
摘 要
我国《个人信息保护法》第 13 条第 1 款第 2 项前段确立的履行合同必需规则为个人信息保护与合同法的规范互动提供了重要接口。以履行合同必需作为个人信息处理的合法性基础源于私人自治,但仅限于处理行为无涉或者较少干预人之尊严的例外情形,以避免架空信息主体同意制度。考察比较法上的限制路径可知,不论是欧盟数据保护委员会倡导的客观必要性标准,还是学者提出的主观必要性标准及其修正方案,均不能妥当协调合同自由与人之尊严的紧张关系。如欲彻底消除这种顾此失彼的困境,就必须严格区分个人信息保护与合同法两个不同层次,由此确立履行合同必需规则的双层构造。在合同成立且有效的前提下,只有为履行合同义务的处理行为纯粹服务于信息主体的合同利益,并符合目的关联性和对个人权益影响最小等标准,才能适用履行合同必需规则。依此对《个人信息保护法》第 13 条第 1 款第 2 项前段作目的论限缩, 便将个人信息商业化利用的各种场景排除在外,但其依然能满足数字经济中商业模式发展与创新的基本要求,所谓“必要个人信息”的概念也因此被重新构造。
关键词:个人信息处理;履行合同必需规则;合法性基础;合同自由;信息自决
目 次
一、问题的由来
二、限制履行合同必需规则的正当性证成
三、以必要性为核心的两种限制路径考察
四、层次区分理论视角下的限制路径重构
五、层次区分式限制路径的展开及其适用
一、问题的由来
我国《个人信息保护法》第 13 条确立了处理个人信息应当具备的合法性基础,其中最具特色的莫过于该条第 1 款第 2 项前段规定的履行合同必需规则。据此,只要处理行为是为“履行个人作为一方当事人的合同所必需”,处理者便能依据有效的合同而无需信息主体同意,直接取得合法处理个人信息的法律地位。不同于作为纯粹个人信息保护法制度的信息主体同意,履行合同必需规则的构成要件与法效果横跨合同法与个人信息保护两个不同领域,为二者之间的规范互动提供了重要接口。然而,合同法奉行私人自治及合同自由原则,以当事人意思作为确立法效果之主要依据,而个人信息保护旨在贯彻信息自决(informationelle Selbstbestimmung)的价值理念,以维护信息主体利益作为核心目标,所以二者难免存在交叉、重叠,甚至冲突、抵牾。那么,究竟应如何妥当构造履行合同必需规则, 以实现不同法域之间的价值融通与规则整合?
仅就文义而言,《个人信息保护法》第 13 条第 1 款第 2 项前段的适用范围极其宽广。假如将所有种类的合同义务之履行均纳入其中,并对必要性标准作扩大解释,那么履行合同必需规则便能覆盖数字经济中许多常见的商业模式。例如,电子商务平台经营者有义务为用户提供交易撮合等服务,其为提升交易撮合的成功率即有必要处理用户的浏览痕迹、订购记录等个人信息;搜索引擎经营者也可以将个性化广告投放约定为服务内容,为此有必要处理用户的搜索关键词、地理位置等个人信息;网约车应用程序经营者为向用户提供优质、便捷的出行服务,也有必要处理用户的手机号码、行踪轨迹等个人信息。倘若完全奉行“合同即合法”的立场,承认这些商业模式均能以履行合同必需作为处理用户信息的合法性基础,则相当于将个人信息保护的任务主要交由合同法解决。
但这明显不妥。对于《个人信息保护法》第 13 条第 1 款规定的各种合法性基础,立法者明确强调应当以“告知—同意”为核心,并专门针对信息主体同意设有一系列规则;至于包括履行合同必需规则在内的其他合法性基础,只是“考虑到经济社会生活的复杂性和个人信息处理的不同情况”所作的例外规定。这种例外性便已暗含限制履行合同必需规则适用范围的必要性。不仅如此,最高人民法院关于《个人信息保护法》的释义书还在承认其例外性的基础上进一步指出,履行合同必需规则“将成为绝大多数业务场景下收集信息的依据”,所以“必须受目的限制原则的约束”,且不得据此“进行个性化营销”。不过,关键问题在于限制履行合同必需规则适用范围的实质正当性与具体路径。
为此,国家行政监管机关联合发布的《常见类型移动互联网应用程序必要个人信息范围规定》(以下简称《必要个人信息规定》)提供了一种可能的选择,即先界定“必要个人信息”的概念,再分别列举网络约车、即时通信、网上购物、求职招聘、旅游服务等三十九类 App 的“基本功能服务”与必要个人信息类别。但问题在于即便所选限制路径确属妥当,但囿于其所处效力位阶较低,尚不足以直接构成对履行合同必需规则的有效限制,毋宁还应通过对《个人信息保护法》第 13 条第 1 款第 2 项前段进行解释或者续造才能纳入其中。更何况能否由此化解合同自由与信息自决之间的紧张关系, 并实现不同领域众多规则之间无矛盾的整合,还应再作思量。
然而,对于履行合同必需规则的适用,学说上迄今尚无深入研讨。本文认为,为维护信息主体同意作为合法性基础的核心地位,从而将信息自决落到实处,就应对履行合同必需规则作出妥当限制。但要让处理者的合同自由不至于因此受到过分侵蚀,还必须严格区分合同法与个人信息保护两个不同层次,才能让不同方向的价值目标彼此相融。下文以《个人信息保护法》第 13 条第 1 款第 2 项前段为核心,先证成限制适用履行合同必需规则的正当性,再探寻妥当的限制路径及其具体适用。
二、限制履行合同必需规则的正当性证成
之所以限制履行合同必需规则的适用范围,其实质正当性源于《个人信息保护法》第 13 条第 1 款第 2 项前段特殊的评价基础与规范配置。如前所述,个人信息保护旨在贯彻信息自决的价值理念,以维护信息主体利益为核心目标。然而,有别于同条第 1 款第 1 项规定的信息主体同意,履行合同必需规则只能部分而非完全地表达信息自决,其配套规则对个人信息的保护程度也相对较低,故而难以充分维护信息主体之利益。正因为如此,立法者及最高司法机关才明确强调履行合同必需作为处理个人信息的合法性基础仅具有例外性。
(一)信息自决在履行合同必需规则中的不完全表达
信息自决在我国现行法上虽无明文规定,但完全可以从整体法秩序中推导而出。《个人信息保护法》第 1 条开宗明义地将“保护个人信息权益”作为首要立法目标,而个人信息权益之所以应受法律保护,便是因为相关利益落入信息自决的保护范围。至于其确切的规范依据,则不仅如立法理由所言为《宪法》第 38 条有关人格尊严的基本权利规定,而且在于《民法典》第 109 条对人格尊严之核心价值的私法确认。作为超越公私法区分的价值型原则,信息自决并非仅仅被具体化为对公权力不当干预的防御权,还能够与其他价值相结合参与私人之间法规则的塑造与形成。根据德国联邦宪法法院在其著名的“人口普查案”判决中的经典表述,信息自决之要义在于“个人原则上有权自己决定其个人数据的公开与利用”。作为对人格尊严价值在个人信息保护领域的具体化,信息自决既包含人格发展的自由,在私法中尤其体现为私人自治及合同自由,又蕴含人之尊严。这种独特的双重价值内涵对包括合法性基础在内的各种具体规则之解释与续造具有决定性意义。
然而,《个人信息保护法》第 13 条第 1 款第 2 项前段却主要承载信息主体的私人自治及合同自由。作为其最核心组成部分,所谓“履行个人作为一方当事人的合同”要成为适格的处理目的,就必须以该合同成立且有效为前提,否则履行合同的义务便无从产生。合同成立要求双方当事人意思表示一致,那么作为其中一方的信息主体之意愿自然包含在内。即便在意思表示瑕疵等例外情形,需要信赖保护等其他价值的限制或者补充,私人自治及合同自由的核心地位也不因此受影响。合同有效要求不存在法律规定的效力瑕疵事由,如当事人自身能力不足、意思表示存在瑕疵、对强行秩序的违反等。这些消极性评价均围绕私人自治及合同自由而作出,要么是其内在的当然要求,要么为其所受外在限制。倘若合同不存在效力瑕疵或者不因效力瑕疵而归于无效,则双方当事人的合意便获法秩序认可,形成以权利义务为主要内容的合同关系。由于所涉合同往往通过格式条款的方式订立,还应在此基础上适用订入控制、效力审查等特殊规则,但这些均以私人自治及合同自由的实质化为核心而展开。
由此导致《个人信息保护法》第 13条第 1款第 2项前段并不能完整表达信息自决的双重内涵, 尤其难以充分顾及信息主体作为人之尊严。这就意味着履行合同必需规则尽管直接系于有效的合同, 但是无力充当合同场景下主要的合法性基础,毋宁应仅限于处理行为无涉或者较少干预人之尊严的例外情形。通常而言,仅凭有效的合同尚不足以合法处理个人信息,还应在此基础上根据该第 13 条第 1 款第 1 项取得信息主体的同意。换言之,聚焦处理行为对信息主体作为人之尊严的干预程度,不仅能够塑造履行合同必需规则背后特殊的评价基础,而且可以揭示限制其适用范围的深层缘由。
(二)履行合同必需与信息主体同意的规范落差
信息自决之双重内涵旨在强化个人信息保护,而其完整的规范表达则是信息主体同意制度。在逻辑上,信息主体同意与合同分处于不同层次,前者作为独立于合同的另一个法律行为,旨在履行基于有效合同所生给付义务,以此授予处理者处理个人信息的权限。而在履行合同必需的情形,处理者直接依据合同而根本无需信息主体同意便能合法处理个人信息,自然无需在合同中拟制所谓的“默示同意”。之所以将信息主体同意划归独立层次,是因为其不仅蕴含私人自治,而且承载人之尊严。这种对人之尊严的特殊考虑尤其体现为《个人信息保护法》专门针对信息主体同意所作的整套规定, 如第 31 条第 1 款规定的未成年人同意能力、第 15条规定的任意撤回、第 16 条规定的禁止捆绑等。从规范文义及体系脉络来看,履行合同必需的情形并不适用这些规定,毋宁围绕合同本身而诉诸合同法的一般规则。那么在对个人信息的保护强度上,两种合法性基础之间便形成显著的规范落差。
其一,无同意能力或者无行为能力的年龄标准不同。私人自治要求行为人自主决定自身事务,并对自己的决定负责。不过,未成年人心智发育尚不健全且缺乏经验,难以充分认识法律交往中的重要事项并作出理性决定,假如一概要求自我负责反而会使其遭遇不测损害。所以,法律为维护未成年人利益而创设行为能力制度,主要是以特定年龄为界否定其独立实施的法律行为之效力。根据《民法典》第 20 条,无行为能力的年龄标准为“不满八周岁”。但如前所述,在以信息主体同意作为合法性基础的情形,处理行为对其作为人之尊严的干预程度已不容忽视,所以相较于订立合同等普通法律交往而言,应当对未成年人独立作出同意的能力提出更高要求。《个人信息保护法》第 31 条第 1 款因而将未成年人无同意能力的年龄标准提升至“不满十四周岁”。与此不同,若能以履行合同必需作为合法性基础,则表明处理行为无涉或者较少干预人之尊严,此时要求未成年人具有应对普通法律交往的认识与决定能力即可,无行为能力的年龄标准应适用合同法的一般规则,也就是《民法典》第 20 条“不满八周岁”之规定。
其二,创设合法处理个人信息之法律地位的拘束力不同。法律行为所生效力对当事人应具有拘束力,这既是私人自治要求行为人自我负责的结果,又含有保护相对人信赖的考虑。然而,若基于信息主体同意处理个人信息,严格奉行法律拘束力反而难以充分实现其信息自决。因为个人信息处理是一种长期且持续的复杂过程,信息主体很难甚至不可能自始便完全理解并正确评判其后果与影响, 因此存在沦为客体或者单纯工具的危险,进而损害其作为人之尊严。于此情形,自我负责与信赖保护便应向人之尊严让步,由此打破法律行为的拘束力。所以,《个人信息保护法》第 15 条第 1 款第 1 句赋予信息主体以任意撤回同意的权利,使其能在事后重新修正此前允许处理其个人信息的决定,而合同效力却不当然受此影响。不同的是,在履行合同必需的情形,由于处理行为无涉或者较少干预人之尊严,自我负责与信赖保护便应居于主导地位。此时,处理者合法处理个人信息的法律地位直接基于有效的合同,应根据《民法典》第 119 条关于合同拘束力的规定承认其对双方当事人尤其是信息主体的拘束力。
其三,对处理者提出的与个人信息处理相关的交易条件之限制不同。私人自治旨在赋予行为人通过自主决定而追求自身利益的可能性。那么在订立合同的情形,双方当事人均可以提出对己方有利的交易条件,并有权拒绝对方与此不符的缔约请求。而在履行合同的过程中,假如一方当事人不遵守交易条件,则对方当事人也不必恪守约定,以免己方利益因此落空。之所以能相对宽松地拒绝订立或者履行合同,其前提在于双方当事人的利益处于同一位阶,因此在抽象意义上并无显著的高下之分。然而,基于信息主体同意的处理行为往往构成对其人之尊严的显著干预,信息主体利益应受更高程度的保护。所以,《个人信息保护法》第 16 条禁止处理者以信息主体同意作为交易条件,即“以个人不同意处理其个人信息或者撤回同意为由,拒绝提供产品或者服务”,除非处理行为“属于提供产品或者服务所必需”。与此不同,若以履行合同必需作为合法性基础,由于处理行为无涉或者较少干预人之尊严,无需信息主体同意即可合法处理个人信息,再加上处理行为为履行合同所不可或缺,自无适用禁止捆绑规则的余地。
由上可见,履行合同必需规则特殊的评价基础决定了其配套规则难以充分维护信息主体之利益。若不对《个人信息保护法》第 13 条第 1 款第 2 项前段过于宽泛的文义予以限制,便会架空诸如无同意能力、任意撤回、禁止捆绑等专门针对信息主体同意的整套规定。因此,必须确立信息主体同意在各种合法性基础中的核心地位,而履行合同必需规则只能适用于无涉或者较少干预人之尊严的例外情形。
三、以必要性为核心的两种限制路径考察
我国《个人信息保护法》第 13 条第 1 款第 2 项前段中的履行合同必需规则继受自欧盟《通用数据保护条例》(GDPR)第 6 条第 1 款第 1 段(b)项前段,即“处理为履行数据主体作为当事人的合同所必需”。基于此,实务及学说提出了两种不同的限制路径,即客观必要性标准与主观必要性标准,而我国《必要个人信息规定》第 3 条第 1 句关于“必要个人信息”的界定则源于前者。
(一)基于客观必要性标准的限制路径
“客观必要性标准”(objecktiver Erforderlichkeitsmaßstab)的核心主张在于,只有为实现特定种类合同在客观上理解之特征性主要目的所必需的处理行为,才能直接基于有效的合同而具备合法性。我国《必要个人信息规定》第 3 条第 1 句将“必要个人信息”界定为“保障 App 基本功能服务正常运行所必需的个人信息,缺少该信息 App 即无法实现基本功能服务”。而其中“基本功能服务” 的概念则来自推荐性国家标准《信息安全技术 个人信息安全规范》(以下简称《个人信息安全规范》)关于“基本业务功能”和“扩展业务功能”的区分:处理者“应根据个人信息主体选择、使用所提供产品或服务的根本期待和最主要的需求”划定基本功能服务,此外的其他功能便属于扩展业务功能。这一区分与客观必要性标准具有密切的亲缘性,而后者则以欧盟数据保护委员会的观点最具代表性和影响力。
对于 GDPR 第 6 条第 1 款第 1 段(b)项前段中的必要性标准,欧盟数据保护委员会并未作严格界定,而是提供了一套判断其适用范围的操作指引。所持基本立场为必要性标准应具有体现数据保护法之目标的独立含义,并不包含对履行合同中的服务“有益处但并非客观上必需”的处理行为,即便其对处理者其他商业目的而言是必需的。换言之,所谓“客观上”构成对“必需”的限制,以排除仅对服务“有益处”之非必需处理行为。而要判断是否为履行合同所必需,并非简单评估“什么被写入合同条款或者为其所允许”,因为仅在合同中指涉或提及数据处理并不足以落入履行合同必需的范围;反过来,未被合同特别提及的数据处理也完全可能是客观上必需的。至于究竟何为“客观上必需”,欧盟数据保护委员会则援引第 29 条工作组此前对欧共体《数据保护指令》对应规定的阐释,即“必要性评估与遵从目的限定原则之间存在清楚联系”,其“重点为确定合同之确切目的(exact rationale),也就是其本质与根本宗旨(substance and fundamental objective)”。
然而,欧盟数据保护委员会的立场并不能完全令人赞同。这尤其是因为客观必要性标准既缺乏确定性,又不便于实践操作。不论是欧盟数据保护委员会和第29 条工作组所谓“合同之确切目的”“其本质与根本宗旨”,还是我国《个人信息安全规范》所称信息主体的“根本期待和最主要的需求”等, 均因为过于抽象而充满了评价因素,因此也被称为抽象评价式(abstrakt-wertender)标准。从表面上看,这种标准似乎取向于合同法中的“必要之点”(essentialia negotii)理论,但并不能消除因评价的开放性而产生的不确定性和操作困难。因为该理论本身的旨趣在于为判断合同成立与否提供最低限度的合意标准,而不直接触及个人信息保护问题,况且也无助于应对日趋复杂的多样化合同设计。尤其在数字经济的背景下,典型交易形态已非买卖等限于一次性交换的经典合同类型,毋宁是融合甚至超越各种类型的长期性合同,而且包含极其复杂的附属条款。此种必要性标准虽名曰“客观”,但无法提供相对确定的判断标准和简便、易行的操作流程,因而往往会流于判断者的主观恣意。
不仅如此,客观必要性标准还可能损及私人自治及合同自由。欧盟数据保护委员会反复强调当事人约定及合同条款对于界定必要性标准而言并不重要。然而,这种立场从根本上否定了私人自治, 与信息自决的价值理念背道而驰。再者,私人自治与合同自由构成了经济发展的根本动力,假如将所谓合同的“必要之点”等传统理论直接套用于数字经济,很可能会严重阻碍商业模式的多元化发展,有违我国《电子商务法》第 3 条明文确立的“鼓励发展电子商务新业态,创新商业模式”之法政策目标。由此看来,客观必要性标准明显存在为实现个人信息保护而忽视合同法的倾向。
(二)基于主观必要性标准的限制路径
“主观必要性标准”(subjecktiver Erforderlichkeitsmaßstab)的核心主张是,应以双方当事人在合同中所作具体且有效之约定也就是个案中的合同条款以及由此产生的权利义务为标准,判断是否属于履行合同必需的个人信息处理。之所以作此理解,理由一方面在于其符合 GDPR 第 6 条第 1 款第1 段(b)项前段“履行……合同”之文义,即履行双方当事人在合同中约定的义务,从而将私人自治与合同自由落到实处;另一方面,主观标准将必要性的界定交由合同解释规则解决,不仅符合当事人订立合同之基本预期,而且有利于提升个案裁判的可操作性。假如完全采此标准,个人信息保护的任务便主要取决于合同法,甚至有学者因此发出“从数据保护法到数据债法”的呼吁。但如前所述, 履行合同必需作为合法性基础难以充分顾及信息主体的人之尊严,因此不能完整表达信息自决的双重内涵。这主要体现为其配套规则在对个人信息保护的程度上明显弱于信息主体同意制度,所以才有必要对履行合同必需规则的适用范围予以妥当限制。而主观必要性标准恰恰与此背道而驰。
为此,有学者以当前数字经济中普遍存在的“信息 / 数据作为对待给付”(Information/Daten als Gegenleistung)之商业模式为观察对象,提出了主观必要性标准的修正方案。此类商业模式的典型情形为搜索引擎、社交网络等数字平台经营者虽不向用户收取金钱作为对价,但会收集大量用户信息并进行后续的商业化利用,再通过向第三方收取个性化广告费用等方式实现营利。除非在当事人明确约定的例外情形,否则移转个人信息等并非信息主体的主给付义务,毋宁构成整个合同尤其是处理者主给付义务的效力条件。尽管从文义上看,履行条件不属于 GDPR 第 6 条第 1 款第 1 段(b) 项前段规定的“履行……合同”义务,但仅此并不能将履行合同必需规则排除在外。因为二者在评价上并无实质区别,一旦承认履行信息主体主给付义务的情形落入履行合同必需的范围,那么在构成效力条件的情形至少应予类推适用。基于防止架空信息主体同意制度(尤其是其中的禁止捆绑规则) 并结合体系脉络等其他考虑,便应将 GDPR 第 6 条第 1 款第 1 段(b)项前段限于履行处理者一方的给付义务,而信息主体给付义务则应排除在外。由此,主观必要性标准便受显著限制。
然而,修正后的主观必要性标准并不能完全消除处理者通过合同设计“操控”合法性基础的可能性。因为处理者究竟负有何种义务虽取决于双方当事人的约定,但其内容往往来自处理者单方预先拟定的格式条款。例如,搜索引擎、社交网络等平台的经营者完全可以借此将个性化广告确定为其所负担的义务,那么处理用户信息便属于为履行合同必需的范围。只要将合同约定的处理者义务确立为决定性标准,就必定会激励更多的处理者通过主动“认领义务”的方式,将其处理用户信息的行为建立在履行合同必需规则的基础上,从而成功地规避整个信息主体同意制度。与此不同,在只约定提供搜索引擎、社交网络等服务,而不将个性化广告纳入合同义务的情形,移转个人信息等便因属于信息主体的给付义务或者整个合同的效力条件,只能以信息主体同意作为合法性基础。但在实质上,既然同样是个性化广告等个人信息商业化利用行为,便应在个人信息保护法上予以相同处理,而非产生这种明显厚此薄彼的评价矛盾。因此,修正后的主观必要性标准依然存在重合同法而轻个人信息保护的倾向,难以充分顾及信息主体作为人之尊严。
四、层次区分理论视角下的限制路径重构
由上可见,客观必要性标准过于强调信息自决,而主观必要性标准及其修正方案太偏重合同自由。要彻底消除这种顾此失彼的局面,就必须严格区分个人信息保护与合同法两个不同层次,以纾解信息自决与合同自由之间的紧张关系。
(一)个人信息保护与合同法的层次区分理论
先转向以信息主体同意作为合法性基础的情形。如前所述,信息主体同意在逻辑上与合同分处于不同层次,后者仅仅使信息主体负担同意处理其个人信息的义务,前者则构成旨在履行义务的另一个独立法律行为。而之所以采此分离原则(Trennungsprinzip),最重要的理由之一便是为消除个人信息保护与合同法之间的评价矛盾与规则冲突。前文已指明信息主体同意制度与履行合同必需规则之间的规范落差。倘若转换观察视角,不再横向对比不同的合法性基础,而是聚焦于信息主体同意作为合法性基础的情形,这种规范落差便成为难以调和的矛盾与冲突。例如,某位十周岁的未成年人独立完成社交网络的账号注册即订立合同,并同意经营者对其个人信息作商业化利用。假如使用社交网络本身并不超出其行为能力范围,则合同依我国《民法典》第 145 条第 1 款第 1 分句应为有效,而根据《个人信息保护法》第 31 条第 1 款却得出同意无效的结论。为避免这种显而易见的评价矛盾与规范冲突, 就必须严格区分合同与信息主体同意,通过概念的分离实现不同领域规则的“分流”,以在合同自由与信息自决之间构筑有效的隔离。
依此思路便可以重新认识履行合同必需规则的基本构造。该规则之特殊性在于处理者能够基于有效的合同而无需信息主体同意便直接取得合法处理个人信息的法律地位。尽管如此,依然能够且应当对履行合同必需的情形作类似层次区分,只不过以必要性标准取代信息主体同意而已。因为一方面,履行合同必需的情形以合同成立且有效为前提,而在合同场景下基于信息主体同意处理个人信息也是如此,否则信息主体便不负担同意处理其个人信息的义务。就此而言,二者在合同法层次并无实质区别。另一方面,在履行合同必需的情形,合法处理的法律地位虽然在无需信息主体同意的意义上“直接”基于有效的合同,但并非完全取决于双方当事人意思,毋宁还需通过法定的必要性标准之审查和限定。正因为如此,也可以说合法处理的法律地位只能从合同中“间接”推导出来,或者更形象地称其为私人自治的“远距离效应”。不论如何,关键在于履行合同必需规则也应区分为合同法与个人信息保护两个不同层次,从而让私人自治与合同自由停留在合同法层次,而必要性标准则聚焦于个人信息保护的层次。如此便可以恰到好处地维护信息自决,尤其是其中蕴含的人之尊严。
反观前述以必要性标准为核心的两种限制路径,其症结恰恰在于总是(或许不自觉地)局限于主要通过其中某个单一层次解决全部问题,因此才陷入对不同价值顾此失彼的窘迫境地:客观必要性标准仅关注个人信息保护层次因而忽视私人自治及合同自由,以至于有学者误以为其旨在确立“独立的数据保护法上之合同内容审查”;主观必要性标准主要聚焦于在合同法层次维护私人自治及合同自由,即便是排除信息主体给付义务的修正方案,对于维护人之尊严的考虑也难免有所不周。与此二者不同,从以必要性标准为核心转向层次区分理论意味着应将所要履行的合同在整个规则构造中置于承上启下的地位,必要性标准则应退居次席。以此为纲便可确立履行合同必需规则的双层构造。
(二)履行合同必需规则的双层构造
在逻辑上,履行合同必需规则区分为合同法层次与个人信息保护层次,分别实现不同的规范功能:合同法层次承接合同法规范,兼顾双方当事人利益,以私人自治与合同自由及其实质化为核心;个人信息保护层次联结个人信息保护法规范,侧重于信息主体利益,尤其应维护其作为人之尊严。尽管两个层次共同系于《个人信息保护法》第 13 条第 1 款第 2 项前段中的“履行……合同”,但有必要在概念上严格区分“作为私人自治及合同自由之结果的履行合同”与“作为个人信息处理目的之履行合同”,只有基于后者才能决定必要性标准的范围。
1.合同法层次
要产生履行合同的义务,首先以该合同成立为前提。为此,需符合《民法典》第 469条以下关于合同订立的规定,在双方当事人之间达成合意。倘若通过格式条款订立合同,处理者还应适当履行《民法典》第 496条第 2款及其他特别法规定的提示及说明义务。再者,所要履行的合同还应有效,即不存在《民法典》第 144条以下及第 503条以下等规定的效力瑕疵。而在使用格式条款的情形,还要根据《民法典》第 497 条等规定的标准作内容审查。倘若合同在成立及有效性上均无疑问,便能依双方当事人意思创设合同法上的权利义务关系。从义务人的角度观察,其内容既包括给付义务,又包括附随义务、不真正义务等。至于具体含义,则应根据《民法典》第 466 条第 1 款、第 142 条第 1 款、第498 条以及第 509 条第 2 款等规定,通过合同条款解释或者内容补充的方式加以确定。
然而,履行上述合同义务完全是私人自治及合同自由的结果,包括但远不止于履行合同必需规则中的“作为个人信息处理目的之履行合同”。就个人信息处理的合法性基础而言,于此至少存在履行合同必需和信息主体同意两种不同的可能性。
2.个人信息保护层次
如前所述,履行合同必需规则虽然源于私人自治及合同自由,但仅限于处理行为无涉或者较少干预人之尊严的情形。换言之,正是人之尊严从反面限定了履行合同必需作为合法性基础的范围,而作此限定的概念工具则是必要性标准,即《个人信息保护法》第 13 条第 1 款第 2 项前段中的“为……所必需”。这一标准表达了处理行为与履行合同之间的“目的—手段”关系,应借助《个人信息保护法》第 5 条确立的“正当、必要”原则和第 6 条对此原则的细致规定予以具体化。
为此,最为核心的问题在于究竟如何妥当界定“作为个人信息处理目的之履行合同”。其规范依据为目的正当性原则,即处理目的应符合《个人信息保护法》第6 条第1 款规定的“明确、合理”之要求。其实,只要“作为个人信息处理目的之履行合同”贯彻履行合同必需规则的评价基础,尤其是处理行为应无涉或者较少干预人之尊严,其合理性便不生疑问,关键在于明确性要求。既然“作为个人信息处理目的之履行合同”来源于“作为私人自治及合同自由之结果的履行合同”,而后者又是对合同条款加以解释或者补充,那么与主观必要性标准的效果相同,合同条款解释及内容补充的规则便足以确保“作为个人信息处理目的之履行合同”在内容上的明确性。然而,“作为个人信息处理目的之履行合同”并非直接等同于“作为私人自治及合同自由之结果的履行合同”,毋宁是在后者的范围内以评价基础为根据筛选而出,只有对此作出较为清晰且易于操作的界定,才能最终符合明确性要求。
尤其应予澄清的是,尽管不可能完全脱离合同义务,但个人信息保护层次的评价对象主要是处理个人信息的行为本身,这在《个人信息保护法》第 1 条关于“规范个人信息处理活动”的立法宗旨中已有显现。如前所述,主观必要性标准的修正方案主要聚焦于合同法层次,所以其着力点至多延伸至“作为个人信息处理目的之履行合同”,而不可能再下沉至处理行为本身。然而,只要不超出合同法为私人自治及合同自由所设界限,合同义务的决定权便主要掌握在处理者手中,这才是导致主观必要性标准无法彻底消除处理者通过合同设计“操控”合法性基础的深层缘由。而在层次区分理论的视角下转向对处理行为本身的考察便可以发现,前述“信息 / 数据作为对待给付”的情形之所以应排除信息主体的给付义务,其实质理由在于处理者往往将用户信息用于个性化广告等商业用途,而这种精准营销可能对用户决策产生重要影响,甚至使后者沦为被处理者操控的客体,无疑会显著危及用户作为人之尊严。即便处理者将个性化广告等确定为其所负担的合同义务,处理行为本身在评价上也并无不同。那么,只有将此类处理行为一并排除,才能避免前述厚此薄彼的评价矛盾。
进一步而言,以个性化广告为代表的个人信息商业化利用之所以容易危及用户作为人之尊严,其实根源于处理者与信息主体之间往往并不一致的利益诉求。在线上进行的个人信息处理活动中,除用户通过填写表格、上传照片、输入关键词等途径主动提供相对少量个人信息的情形外,处理者更多是利用“Cookie”“Fingerprinting”等各种网络追踪技术以相对隐蔽的方式收集大量用户信息,然后在集聚海量数据的基础上通过数据挖掘技术,也就是基于算法的大数据分析形成用户画像,从而对用户行为予以精准预测,最终直接或者间接地服务于个性化推荐、市场营销、信用评价、产品研发与优化等各种商业用途。对于处理者而言,其所收集的用户信息数量越多、种类越丰富、利用程度越充分,由此产生的商业利益往往就越大。但与此不同,个人信息处理活动尽管能够增进用户利益,但同时隐含重大的潜在风险。以用户画像为例,由此往往会导致对用户自我决定行为的无察觉操控,甚至使用户丧失数字主权和信息自决,在所收集信息与用户真实身份绑定的情形尤其如此。这种显著的利益冲突意味着绝不能将处理行为合法与否的决定权完全交由处理者掌控,而必须使信息主体的意愿切实贯彻于处理活动始终。为此,尤其需要信息主体同意及其任意撤回等制度支撑,从而对处理者形成有效的制约。
由此作反面观察,便可以将无涉或者较少干预人之尊严的评价基础转化为相对清晰的界定标准,从而对《个人信息保护法》第 13 条第 1 款第 2 项前段“履行……合同所必需”予以目的论限缩:只有处理行为纯粹服务于信息主体的合同利益,才能基于有效的合同而无需信息主体同意,直接取得合法处理个人信息的法律地位。由此,便可以将评价聚焦于处理行为本身,并与合同义务保持紧密联系, 从而对履行合同必需规则予以妥当限制。信息主体之所以面临人格操控等潜在风险,实则根源于处理者片面地追求自身商业利益,因此难以顾及信息主体作为人之尊严。比如在前述“信息 / 数据作为对待给付”的情形,处理者将用户信息用于个性化广告等商业用途,主要服务于其自身的商业利益。即便处理者将此约定为其所负担的合同义务,也不能改变其追求商业利益的事实,只不过以提供服务之名兼顾信息主体的利益。相反,只要处理行为纯粹服务于信息主体的合同利益,因而不直接涉及处理者的商业利益,便不存在难以调和的利益冲突。于此情形,假如再允许信息主体任意撤回同意,或者对同意能力、与处理行为有关的交易条件等提出更高要求,反而有保护过度之嫌。甚至如学者所言, 因此导致“由私人自治所塑造的私法交往被限制到功能障碍的境地”。
不仅如此,以纯粹服务于信息主体的合同利益为标准界定“作为个人信息处理目的之履行合同”,也符合前述正当性原则所包含的目的明确性要求,因此能够在合同条款解释或者内容补充的基础上确保操作的便利性。据此处理目的,再结合《个人信息保护法》第 6 条规定的处理行为之目的关联性、对个人权益的影响最小等标准,便可以构造出完整的履行合同必需规则。
五、层次区分式限制路径的展开及其适用
履行合同必需规则作为合法性基础的例外性体现为其并不能涵盖所有为履行合同所必需的个人信息处理,而只能适用于其中纯粹服务于信息主体合同利益的情形。
(一)履行合同必需作为合法性基础的例外适用
对于履行合同必需规则之适用范围,有学者概括地指出其往往“不涉及那些特殊的数据驱动型商业模式,毋宁只是一种在模拟经济中执行合同的无条件之前提”。更确切地说,所谓“数据驱动型商业模式”主要是数字经济中对个人信息予以商业化利用的各种场景,而在纯粹的模拟经济领域外也有该规则可得适用之处。下文以被誉为“大数据杀熟第一案”的“胡某与上海携程商务有限公司侵权责任纠纷案”(以下简称“携程案”)为例作具体分析,尤其有助于展示不同限制路径之间的区别。
1.对个人信息商业化利用场景的排除适用
先从合同法层次探明何为“作为私人自治及合同自由之结果的履行合同”。在“携程案”中,二审法院明显倾向于客观必要性标准,认为携程公司要求胡某“对预定酒店无关的账户信息、设备信息以及位置信息等一并允许携程公司予以收集、使用,超出了实现酒店预定等核心、主要的处理目的所必需的信息范围”。这种基于必要性原则的说理明显过于单薄,而且脱离双方当事人的约定。更妥当的做法毋宁是取向合同条款以及由此产生的权利义务。案涉《服务协议》与《隐私政策》载有多个提及“数据分析”“用户画像”“商业利用”等有关个人信息商业化利用的条款,而《隐私政策》第 2 条第(四)项中的第 4 款第(1)项(以下简称“第 4 款第(1)项”)载明:“我们可能会向合作伙伴等第三方共享您的订单信息、账户信息、设备信息以及位置信息,以保障为您提供的服务顺利完成……我们可能会与我们的关联公司共享您的个人信息,使我们能够向您提供与旅行相关的或者其他产品或者服务的信息”。此类条款只要符合或者不违反合同成立要件与有效要件,便可以形成合同关系中的权利义务。
经合同解释不难发现,有些处理行为的确是为履行处理者的合同义务所必需。例如,前述第 4 款第(1)项便指明其处理目的是“保障为您提供的服务顺利完成”和“向您提供与旅行相关的或者其他产品或者服务的信息”。但如后文所述,相关处理行为并不能全部适用履行合同必需规则。由此进一步表明主观必要性标准之修正方案的困境所在,因为其仅仅主张排除信息主体的给付义务,而第 4 款第(1)项所涉处理行为却不以此为目的。究其根源是因为该修正方案系专为“信息 / 数据作为对待给付”之商业模式量身定制,但包括携程公司在内的旅游服务、网上购物等电子商务平台的典型交易形态恰恰不属于此。后者的核心业务是撮合双方在平台内直接交易,所以平台经营者不论直接从用户支付的价款中收取服务费、手续费等,还是以其他名目就具体交易向平台内经营者收取报酬,均应当认为用户已为平台提供的媒介服务支付全部或者部分金钱对价。于此情形,个人信息及数据只是对金钱对价的简单叠加,而且在为履行处理者合同义务所必需的范围内构成信息主体的不真正义务之内容。所以,要消除因商业模式不同所导致的评价矛盾和处理者通过合同设计“操控”合法性基础的可能性,就不能仅仅停留于合同法层次。
个人信息保护层次的核心任务是界定“作为个人信息处理目的之履行合同”,其标准则是处理行为纯粹为信息主体之合同利益。据此,首先应排除完全或者主要服务于处理者合同利益的处理行为。比如,案涉《隐私政策》第 2条第(四)项中的第 3款(以下简称“第 3款”)载明“:我们可能将对您的订单数据用于分析,从而形成用户画像,以便让我们能够了解您所在位置、偏好和人口统计信息,或与其他来源(包括第三方)的数据相匹配,从而开发我们的产品、服务或营销计划,改进我们的服务。”基于此,用户胡某负有容忍携程公司处理其个人信息的合同义务。但其中“开发我们的产品、服务或营销计划,改进我们的服务”并不直接关乎案涉具体合同关系中的服务,相关处理行为并非服务于用户胡某的合同利益,毋宁主要服务于携程公司作为处理者的合同利益,因此不能以履行合同必需作为合法性基础。对于类似处理行为,欧盟数据保护委员会基于客观必要性标准得出相同结论,因为“提升和调整服务的可能性虽然被例行公事地包含在合同条款中”,但通常“并不能被认为是为履行与用户的合同在客观上所必需”。两相比较,更能清楚体现客观必要性标准对当事人约定的背离及其说理的空洞性。
其次,处理行为不仅要服务于信息主体之合同利益,还应具有纯粹性,也就是排除同时为处理者合同利益的情形。继续分析前述第 3款,即便案涉《服务协议》和《隐私政策》有其他条款将产品和服务的升级换代约定为携程公司的合同义务,导致相关处理行为也服务于用户胡某的合同利益,但依然不能改变其服务于携程公司作为处理者之合同利益的事实,因此并不符合为信息主体之合同利益的纯粹性要求。与此类似,前述第 4 款第(1)项尽管将所涉各种处理行为系于“保障为您提供的服务顺利完成”和“向您提供与旅行相关的或者其他产品或者服务的信息”之目的,使相关处理行为服务于用户胡某的合同利益,但并不因此当然适用履行合同必需规则。其所涉个人信息主要有订单信息、账户信息、设备信息、位置信息四种,只要携程公司的处理行为不超出前述目的,二审法院不加论证地称其“与预定酒店无关”就太过武断。而依据为信息主体之合同利益的纯粹性要求,便可以将向用户推送酒店房源信息等处理行为排除在外,或许只有为用户办理酒店入住而与平台内酒店服务提供者及其代理商分享订单信息才属于履行合同必需的范围。
2.主要适用场景
经此限制,履行合同必需规则的适用范围便大为缩减。基于纯粹为信息主体合同利益之界定标准,履行合同必需规则可得适用于地图导航、线上支付、网络约车、网上购物等各种场景。因为根据合同约定,经营者有义务向用户提供定位导航、账款支付、预约出行、商品寄送等服务;而且,与个人信息的商业化利用场景不同,此类义务纯粹服务于用户之合同利益,对经营者而言完全是合同项下的负担即不利益。为使其合同义务能被合法履行,就必须允许经营者处理用户的地理位置、银行账号、行踪轨迹、家庭住址等个人信息,此外别无其他选择。尽管其中的行踪轨迹、银行账号等属于敏感信息,但只要服务提供者根据《个人信息保护法》第 28条第 2款“采取严格保护措施”并落实第 51条等规定关于处理者义务的具体要求即可。兹举一例:消费者在线上零售商处购买商品,要求通过信用卡支付且将产品寄送至家庭住所,那么零售商为履行合同义务就必须处理消费者的信用卡账号与家庭地址等信息,以分别实现支付和寄送目的。这与欧盟数据保护委员会基于客观必要性标准所得结论基本一致。
然而,层次区分式限制路径与客观必要性标准却有本质区别,尤其体现为二者对商业模式发展与创新的适应能力不同。以前述“携程案”所涉旅游服务类 App为例,《必要个人信息规定》第 5 条第16项将其“基本功能服务”界定为“旅游服务产品信息的发布与订购”,相应的必要个人信息包括“1.注册用户移动电话号码;2.出行人旅游目的地、旅游时间;3.出行人姓名、证件类型和号码、联系方式”。但在“携程案”中,用户胡某主要通过携程 App预定酒店,前述订单信息却未被完全包含在必要信息的范围以内。不仅如此,在各种电子商务新业态蓬勃发展的当下,不同种类的 App在服务内容上存在极为显著的交叉与重叠,最典型情形莫过于短视频行业所采“直播带货”模式。《必要个人信息规定》第 5条第 29项将其基本功能服务界定为“不超过一定时长的视频搜索、播放”,因此“无须个人信息, 即可使用基本功能服务”。如此,便明显遗漏了短视频类 App可能具有的网上购物功能,从而导致其相较于被直接归为网上购物类的 App 而言,在个人信息保护问题上受到不应有的区别对待。
(二)对“必要个人信息”概念的重新界定
回归“必要个人信息”的概念后不难发现,其并非仅仅指向个人信息本身,毋宁应主要相对于特定处理行为及其目的而言。在严格区分合同法与个人信息保护两个层次的前提下,构成必要个人信息至少应符合三项要件。其一,处理此类个人信息的行为旨在履行基于有效合同所生义务,而该义务主要以对当事人约定之解释及补充为准。其二,相关处理行为纯粹服务于信息主体的合同利益,既不包含完全或者主要服务于处理者合同利益的情形,又应将同时为信息主体和处理者双方合同利益的情形排除在外。其三,相关处理行为及信息种类符合目的关联性、对个人权益影响最小等必要性要求。
我国《必要个人信息规定》虽然倾向于客观必要性标准,但并不会对以上结论产生不利影响。一方面,其并未明文采取客观必要性标准,只是经《个人信息安全规范》而间接受影响。只要切断二者之间的联系,完全可以将 App“基本功能服务”转而理解为基于合同约定所生义务,且该义务之履行纯粹服务于信息主体之合同利益。将来再对该国家标准进行更新与修改,便能彻底消除客观必要性标准的不当影响。另一方面,鉴于《必要个人信息规定》对监管机构的执法活动具有指引功能,还应对其中关于三十九类 App 的列举性规定予以灵活解释。即各种 App 类别及“基本功能服务”并不具有排他性,应允许 App同时符合其中若干类别;再者,各个类别下的必要个人信息也不具有封闭性,只要符合纯粹为信息主体合同利益之标准,即便未被明文列举也应纳入必要个人信息的范围。如此,便能在信息自决与合同自由之间求得平衡。
转自:“法学学术前沿”微信公众号
如有侵权,请联系本站删除!
