查找:                      转第 显示法宝之窗 隐藏相关资料 下载下载 收藏收藏 打印打印 转发转发 小字 小字 大字 大字
【期刊名称】 《政法论坛》
大数据时代个人信息使用的合法利益豁免
【英文标题】 Legitimate Interests Exemption for Personal Data Processing in the Big Data Era
【作者】 谢琳【作者单位】 中山大学法学院{讲师、硕士生导师}
【分类】 人身权
【中文关键词】 大数据时代;个人信息保护;合法依据;知情同意机制;合法利益豁免
【英文关键词】 Big Data Era; Personal Data Protection; Legal Basis; Notice and Consent Mechanism; Legitimate Interests Exemption
【期刊年份】 2019年【期号】 1
【页码】 74
【摘要】 在大数据时代,知情同意机制已无法有效应对大数据生态系统的多元性和复杂性,无需取得数据主体同意的合法利益豁免可成为大数据信息使用的另一重要合法依据,为大数据产业发展提供灵活空间。我国在个人信息保护的相关立法中可引入合法利益豁免机制。引入该机制时,对合法利益应采用广泛的定义,只要是未违法的使用利益均属合法利益。但数据控制者必须进行一个平衡测试,证明数据使用的合法利益高于数据主体的个人利益,方可适用合法利益豁免。平衡测试可采用个案分析方式,并遵循必要性原则、目的限定原则和比例原则。此外,数据控制者还应对平衡测试进行全程记录,以接受数据主体、政府数据保护部门和法院的监督。
【英文摘要】 In the big data era, the notice and consent mechanism is unable to effectively deal with the diversity and complexity of the big data ecosystem, and legitimate interests exemption which does not require the consent of the data subjects can be an important alternative legal basis for big data information processing, and provide big data industry flexible development space. China may introduce legitimate interests exemption mechanism in the relevant legislation on personal information protection. When introducing this mechanism, a broad definition of legitimate interests should be adopted, as long as it is a non-illegal use of interests, it belongs to legitimate interests. However, the data controller must conduct a balance test to prove that the legitimate interests of data use override the personal interests of the data subject, in order to apply legitimate interests exemption. The balance test can be carried in a case-by-case way and should follow the principles of necessity, purpose limitation, and proportionality. In addition, data controllers should document the balance test, in order to be monitored by data subjects, government data protection authorities, and courts.
【全文】法宝引证码CLI.A.1252066    
  
  随着大数据时代的到来,要求取得数据主体知情同意的信息使用机制已无法适应大数据二次利用产业模式的多元性和复杂性。合法利益豁免机制因无需取得数据主体同意而有可能成为大数据产业使用个人信息的重要合法依据。该机制有利于平衡个人信息保护和信息自由流动,因而已为世界主流立法所采用。近期欧盟还专门出台相关的指导意见,提高合法利益豁免机制的可执行性。遗憾的是,我国相关立法目前尚未引入合法利益豁免机制,这导致我国个人信息保护制度过于僵化,甚至有可能比一向主张严保护的欧盟相关立法更为严格。本文试图对合法利益豁免进行分析,为我国未来个人信息保护制度的构建提供借鉴。
  一、合法利益豁免的适用意义
  合法利益豁免指的是,当数据处理为实现数据控制者或第三方的合法利益所必需时,数据控制者可通过一个平衡测试证明其使用利益高于数据主体利益,使其无需取得数据主体同意也可对数据主体个人信息进行处理。合法利益豁免是处理个人信息的合法依据(legal ground)之一。
  处理个人信息须有合法依据。以影响广泛的欧盟为例,欧盟相关立法规定了处理个人信息的六个合法依据:(1)取得数据主体的同意;(2)履行与数据主体的合同;(3)履行数据控制者应承担的法定义务;(4)保护数据主体或另一个自然人的重要利益;(5)执行公共利益所需或官方机构要求的任务;(6)实现数据控制者或第三方的合法利益。[1]除征得数据主体同意这一合法依据以外,第2-5个未经同意的合法处理依据所列举的情形是特定的,难以进一步扩大解释。但第六个合法依据“合法利益”则范围广泛,并引入了动态的平衡测试,通过个案衡量方式为数据保护留下了灵活的操作空间,是个人信息保护与促进信息流动之间的重要平衡器{1}(P.244-261)。在大数据时代,由于知情同意机制的局限性,合法利益豁免具有更广泛的适用意义。
  (一)知情同意机制的局限性
  传统个人信息保护制度以知情同意机制为核心。然而在大数据时代,大量的隐私协议导致数据主体无暇阅读,大数据技术的复杂性也导致数据主体无法真正理解其隐私风险而可能做出非理性选择{2}。数据控制者取得的用户同意往往不是真正的同意,知情同意机制沦为一纸空文。[2]
  为此,欧盟2018年5月生效的《通用数据保护条例》(General Data Protection Regulation, GDPR)对知情同意机制进行了强化和修复,如要求在隐私条款中必须明确具体收集目的;用户如同意条款则必须明确做出主动性行为(如主动勾选而非默认勾选)等。我国相关部门监管实践[3]以及2017年12月颁布的首个关于个人信息保护的国家推荐性标准《个人信息安全规范》也同样试图通过提高获得同意的标准、细化征得同意的操作规定来增强点击同意的有效性。[4]然而,这些措施虽然在一定程度上缓解了知情同意机制的困境,但却不能从根本上解决问题。隐私协议的海量化和数据处理的复杂性仍是同意机制失效的症结所在。并且,由于多数情况下用户与数据控制者并非处于平等协商的地位,因此即使用户点击同意,也很难被认定为是真正意义上的自由选择{1}(P.257)。
  再者,提高获取同意标准与大数据产业的发展趋势并不相符。大数据产业需要海量的数据分析,注重数据价值的二次利用。有专家便指出,强化知情同意机制要求收集目的明确具体,导致数据控制者不再能够通过列举广泛的收集目的方式来获取数据主体同意,大数据产业将无法获取足够的分析材料{3}(P.326)。且大数据二次利用模式的多元性和流转性也使数据控制者难以追踪回原数据主体并寻求他们的同意{4}(P.90)。在复杂的数据收集处理情形下,同意并非是最为合适的处理数据的合法依据。个人信息保护制度是为了在数据保护与使用之间取得平衡,而仅仅依靠同意机制是无法实现平衡各方利益的最终目的{1}(P.246-247)。
  (二)合法利益豁免的必要性
  合法利益豁免可为传统同意机制与大数据产业之间的冲突提供一个平衡路径。在大数据时代,由于传统知情同意机制限制了大数据产业的发展,从收集阶段转向使用阶段的风险监管路径成为颇受提倡的个人信息保护新路径{5}。合法利益豁免无需取得用户同意,并通过使用阶段中的平衡测试进行风险监控,与风险路径的新保护理念相契合。就如同知识产权一般,个人信息保护权并非是一个绝对权,而是一个受限制的权利{6}。并非所有的数据使用都必须取得用户同意,当使用利益高于用户个人利益时,可以让渡用户利益。[5]
  据此,英国信息专员公署(Information Commissioner’s Office,以下简称ICO)在2017年9月《大数据、人工智能、机器学习和数据保护》报告中便指出,鉴于大数据时代背景下取得数据主体同意存在某些困难,合法利益豁免可为数据处理提供另一种可供选择的路径,从而在商业和社会利益与个人权利之间取得平衡{4}(P.90)。有立法报告甚至主张,合法利益豁免可被视为大数据信息处理的默认适用路径。[6]
  为提高合法利益豁免的可执行性,欧盟29条工作组2014年专门发布了关于合法利益的指导性意见(以下简称“29条工作组意见”),试图为合法利益豁免提供一个清晰可行的执行框架,以此减轻知情同意机制的实施压力。该意见明确了合法利益豁免的法律地位,指出合法利益豁免并非是同意机制的补充,而是并列选择,企业可以在同意和合法利益两个合法依据之中任选其一{7}(P.3)。合法利益豁免突破了同意机制的固有限制,强调信息使用价值的实现。我国应引入该合法利益豁免,为大数据产业提供发展空间。
  二、合法利益的界定
  引入合法利益豁免机制应先对合法利益进行界定。欧盟将合法利益规定为“数据控制者或第三方的合法利益”。对于合法利益的范围,欧盟相关实践曾产生争议,有严格解释说和宽泛解释说两种路径。
  (一)严格解释说:法定权利
  严格解释说认为,合法利益仅限于法律上予以规定和认可的权利,即法定权利。当立法所赋予的数据控制者或第三方的法定权利与数据主体隐私权及个人信息保护权产生冲突时,有必要对其进行平衡。欧盟基本权利宪章也明确规定,对于数据主体的基本权利的限制须以另一个法律规定的权利作为依据{8}(P.1-26)。
  29条工作组意见将有可能与数据主体的隐私权和个人信息保护权产生冲突的权利归纳为:表达和信息自由、艺术和科学自由、访问资料权、人身自由与安全权、思想信仰和宗教自由、从商自由、财产权、获得有效救济和公正审判权以及无罪推定和抗辩权等{7}(P.34-35)。
  法定权利之间的冲突平衡已形成一系列的判例实践。例如2012年西班牙法院判决,言论自由是合法利益,公司有权公布涉嫌违法活动的教授在该公司网站上所注册的个人信息,教授个人信息的权利并没有高于公司的言论自由权利。[7]欧洲法院2010年判决,基于透明性要求的公众知情权高于隐私权,[8] 2014年判决为保护财产、健康和家庭生活可在房子周围安装监控摄像头。[9]在2014年29条工作组发布合法利益意见后,2017年欧洲法院在其代表性案件“拉脱维亚路交通事故案”中裁定涉案私人财产权高于个人信息权。该案中,一个计程车乘客打开车门造成巴士的损害,巴士公司向警方要求提供该乘客的姓名、ID号码和地址,但警方拒绝提供。欧洲法院认为保护私人财产是合法利益,并对该案进行利益平衡,指出财产损害赔偿的民事诉权应高于数据主体的个人信息权,警方应提供乘客个人信息。[10]
  法定权利平衡已形成较为成熟的判例法,能够提供清晰的指引。主张法定权利说的学者担心,如若将合法利益扩大至其他非法定利益的情形将引起法律适用上的不确定性,造成立法漏洞{8}。
  (二)宽泛解释说:未违反法律规定的利益
  宽泛解释说则认为,合法利益不仅限于法定权利,还应包括法律上未规定的不违法的利益。大至公共利益,小至企业私人利益,只要不违反法律规定,均可属于合法利益。
  1.公共利益或广泛群体的利益
  公共利益或广泛群体(wider community)的利益包括多个方面,例如进行历史、科学、统计、市场等研究,防范欺诈、服务滥用或洗钱,进行政治活动或慈善活动筹款,维护信息技术和网络安全,披露有关犯罪活动或对官方机构造成安全威胁的信息等。举例而言,慈善组织可为了医学研究目的而使用病人信息,非营利组织可为了提高对政府腐败的认识而处理相关数据{7}(P.35)。
  同时私人商业活动也可能涉及公共利益,例如金融机构打击金融诈骗,服务提供商防止数据主体滥用服务(如版权盗版或逃避付款等){7}(P.35)。认可公共利益或广泛群体的利益有利于发掘大数据分析中的有价值的用途。当大数据分析用于以上用途时,则可适用合法利益豁免。
  2.私人利益
  合法利益并不限于公共利益,数据控制者的私人利益也可包括在内,例如公司可以基于安全或管理的目的对员工进行监控,为评估员工表现而记录员工工作情况,为制作公司通讯录而使用员工的联络方式信息,也可直接利用客户数据分析预测有可能流失的客户量的总百分比;律所可以为提供客户账单并发放律师奖金而统计律师的工作小时等。
  商业信用信息共享便曾被认定为私人合法利益豁免。如借贷公司向第三方信用评估机构提交客户的个人金融信息,以便评估借贷风险,意大利信息保护官方机构认为可属合法利益豁免。[11]英国信息专员公署也认为,借贷方拥有了解情况后做出借贷决定的合法利益。[12]该观点也获欧洲法院的间接认可。[13]再如谷歌分析用户信息进行服务维护升级和产品改进等,29条工作组虽然认为谷歌未采取所有必要的保障措施,但仍认为服务维护升级等属于合法利益。[14]同样,德国相关个人信息保护部门主张,在侵犯公司利益的行为性质较为严重时,公司可适用合法利益豁免而设立检举揭发制度。[15]
  直接营销也属私人合法利益。直接营销向数据主体发送商业广告,是常见的大数据商业利用模式。随着大数据技术的引入,数据控制者可以在了解顾客偏好的基础上,进行个性化推荐,为顾客提供更契合需求的产品和服务。欧盟《通用数据保护条例》绪言37条便明确指出直接营销也可视为合法利益。
  (三)路径选择
  相较于严格解释说,宽泛解释说更能发挥合法利益平衡机制的作用。由于合法利益豁免为目前惟一现行有效的灵活性平衡机制,若将其限定于法定权利将导致其适用范围过于局限,无法充分平衡数据保护与使用之间的冲突。
  欧洲法院就曾表示不应对合法利益范围进行不合理的限制。在2011年ASNEF案中,欧洲法院判决,西班牙法律对合法利益豁免进行限制是违反欧盟指令的。[16]在2016年Breyer案中,欧洲法院认为,维护网页服务的顺利运行虽非法律规定的权利,但可属合法利益。[17]
  为解决宽泛解释所带来的模糊性问题,欧盟2012年的立法提案曾采用较为僵化的界定路径,将合法利益豁免修改为列举式的情形,并附上了一个描述性的详细列表,全面列举了合法利益适用的具体情形。[18]该提案遭到产业界强烈反对,认为列举式模式将带来新技术和商业模式的悲剧。[19]欧盟数据保护监督机构指出,合法利益豁免的意义在于提供一个灵活的平衡机制,如局限于特定的列举情形,将丧失了其本身的意义。[20]
  欧盟29条工作组2014年意见最终未采纳该提案,仍保留对合法利益的宽泛解释,并针对宽泛解释说所带来的法律适用模糊性问题,专门出台相关的平衡测试操作指引。合法利益的宽泛界定可为大数据发展提供较为宽松的空间,符合大数据二次利用的产业趋势。
  三、平衡测试的构建
  欧盟没有在源头上对合法利益加以限制,而是通过平衡测试来限制合法利益豁免的适用。数据控制者必须进行一个平衡测试,证明其使用利益高于数据主体利益,方可获得合法利益豁免。平衡测试的可行性是落实合法利益豁免机制的关键所在。但在以往实践中,平衡测试的个案衡量方式因缺乏清晰的指引而未能得到有效适用{1}(P.253)。29条工作组2014年专门出台的相关意见详细规定了如何进行平衡测试,并列举了一系列示例加以指引,值得借鉴。
  (一)平衡测试的内容
  29条工作组意见将平衡测试解构为:1.数据控制者合法利益的评估;2.对数据主体的影响;3.一般义务上的平衡;4.数据控制者为防止对数据主体造成过度影响而采取的额外保障措施。[21]
  1.评估数据控制者合法利益。合法利益应是真实且现实存在的,而不是假设的;合法利益的陈述应足够清晰具体。合法利益的客观性要求是为了后续平衡测试能够对其进行准确评估{1}(P.254)。在客观性前提之下,评估合法利益的性质和重要性。若合法利益重要性较高,如为公共利益所需等,则通过平衡测试的可能性较高;若合法利益重要性较低,如企业私人利益,则须对数据主体的影响很低时才有可能通过测试。
  2.评估对数据主体的影响。“影响”是比“损害”更为广泛的概念。影响还包括情感上的影响,例如厌烦、害怕和沮丧等负面情绪。因为证明数据主体受到具体损害并获赔偿往往是比较困难,因此重点应是预防监管对数据主体的影响。衡量风险有两个方面:(1)引发风险的可能性高低。数据处理规模越大越容易引发隐私风险。并且,风险高低跟使用场景有关。如果使用场景是连接到互联网,与外部站点进行数据交换,与其他系统互连等,那都可能成为黑客攻击的漏洞,有可能增加因数据整合而产生负面影响的风险。相反,未与互联网相连的稳定系统中的数据整合风险则较低。(2)风险引发的后果的严重性。后果严重性可以是比较低的,如使数据主体产生心理上的不适;也可能是非常高的,如犯罪分子有可能利用个人的位置轨迹信息进行犯罪活动而导致受害者失去性命。[22]儿童数据及敏感数据引发的后果严重性也较高,应着重予以保护。在可能引起高风险的使用场景中可引入业已成熟的隐私影响评估机制(Privacy Impact Assessment)加以判断。
  3.衡量是否已达到一般性义务上的平衡。[23]数据控制者须遵循一般性的数据保障义务,例如遵循比例原则和透明化原则,尊重数据主体的合理预期等。如数据控制者完全遵循了这些义务,则更有可能通过平衡测试。当然,遵循一般性义务并不意味着一定能够通过平衡测试,否则合法利益将会变成有机可乘的立法漏洞,导致个人信息使用的其他合法依据不再具有适用意义。
  4.平衡存疑时,可考虑数据控制者是否采取了额外保障措施以减少对数据主体的影响。保障措施可以是匿名技术、隐私增强技术、隐私设计、隐私影响评估、增加透明度、无条件退出机制等。依据个案情况,可采用相应的额外保障措施。例如为未成年人提供药品滥用、意外怀孕、酗酒等敏感信息咨询的非政府组织的网页搜集访客的信息后应立即进行匿名化处理,将个人信息转成统计数据。再如,各个医院为控制药品供应而共同建立了药品瘾君子的黑名单,由于毒瘾为个人敏感信息,医院应采取额外的保障措施,严格确保个人信息不会被泄露和不当利用。在科研方面,研究父母离婚失业对儿童教育所产生的影响及儿童肥胖症等,需要进行个人信息假名化处理和采取防止信息泄露的安全性保障措施。
  (二)平衡测试应遵循的原则
  虽然工作组提出了平衡测试的内容框架,但仍需采用个案分析方式进行测试。个案分析方式无法预设结论,需依据案例情况的不同进行分析。总体而言,平衡测试必须遵循以下几个基本原则。
  1.必要性原则
  必要性原则是衡量可否对个人信息基本权利进行限制的基本原则。欧盟《通用数据保护条例》中的合法利益豁免条款明确规定,个人信息的使用程度必须是为实现合法利益所必需(necessary)。具体而言,必要性可归纳为两个规则。
  首先,信息使用程度应以最小化利用为限。例如报纸可能有必要公布某些涉嫌参与腐败的高级政府官员的消费习惯细节,但不应该一揽子允许媒体公开所有不相关的公众人物私人生活细节。再如,APP开发商希望能够收集其APP用户的整个通讯录,但收集通讯录上他人的手机号码一般需经号码本人的同意。对此APP可以采用对比后删除的方式,先获取用户的通讯录,以确定其他人以前是否已经授权APP开发商获取其手机号码,之后立即删除未征得同意的他人手机号码。该获取后立即删除的方式也体现了使用的程度仅以必要性为限的原则。
  其次,处理个人信息的方式应是影响最低的方式。因此,衡量必要性还需考虑是否有其他影响更低的替代性使用方式。例如公司设置隐藏摄像头以监控员工和访客吸烟就违反了必要性原则,公司可采用更合适的方式,比如设置吸烟监测器和明显禁烟的标志来禁止吸烟。再如,为检查员工是否在工作时间内过度浏览无关网页,公司收集了其员工浏览网页和下载文件的记录信息。由于公

  ······

法宝用户,请登录后查看全部内容。
还不是用户?点击单篇购买;单位用户可在线填写“申请试用表”申请试用或直接致电400-810-8266成为法宝付费用户。
【注释】                                                                                                     
【参考文献】 {1} Paolo Balboni, et al., Legitimate Interest of the Data Controller New Data Protection Paradigm: Legitimacy Grounded on Appropriate Protection, International Data Privacy Law, vol.3, no.4(2013).
  {2} Daniel J. Solove, Privacy Self-Management and the Consent Dilemma, 126 Harv. L. Rev.1880(2013).
  {3} Viktor Mayer-Schanberger & Yann Padova, Regime Change? Enabling Big Data through Europe’s New Data Protection Regulation, 17 Colum. Sci.& Tech. L. Rev.315(2016).
  {4} UK Information Commissioner’s Office, Big Data, Artificial intelligence, Machine Learning and Data Protection (2017).
  {5}范为:“大数据时代个人信息保护的路径重构”,载《环球法律评论》2016年第5期。
  {6}谢琳、李旭婷:“个人信息财产权之证成”,载《电子知识产权》2018年第6期。
  {7} Article 29 Data Protection Working Party, Opinion 06/2014 on the notion of legitimate interests of the data controller under Article 7 of Directive 95/46/EC, WP217(2014).
  {8} Federico Ferretti, Data Protection and the Legitimate Interest of Data Controllers: Much ado about Nothing or the Winter of Rights?, Common Market Law Review, vol.51, no.4(2014).
  {9} Irene Kamara & Paul De Hert, Understanding the Balancing Act behind the Legitimate Interest of the Controller Ground. In Evan Seligner, Jules Polonetsky & Omer Tene (eds.), The Cambridge Handbook of Consumer Privacy, Cambridge: Cambridge University Press(2018).
  {10} Christopher B. Kuner, Proportionality in European Data Protection Law and Its Importance for Data Processing by Companies, Privacy & Security Law Report, vol.7, no.44(2008).
  {11} Frederik J. Zuiderveen Borgesius, Personal Data Processing for Behavioural Targeting: Which Legal Basis?, International Data Privacy Law, vol.5, no.3(2015).
  {12}周汉华:“探索激励相容的个人数据治理之道——中国个人信息保护法的立法方向”,载《法学研究》2018年第2期。
  {13}龙卫球:“数据新型财产权构建及其体系研究”,载《政法论坛》2017第4期。
©北大法宝:(www.pkulaw.cn)专业提供法律信息、法学知识和法律软件领域各类解决方案。北大法宝为您提供丰富的参考资料,正式引用法规条文时请与标准文本核对
欢迎查看所有产品和服务。法宝快讯:如何快速找到您需要的检索结果?    法宝V5有何新特色?
本篇【法宝引证码CLI.A.1252066      关注法宝动态:  

法宝联想
【相似文献】
【作者其他文献】

热门视频更多