温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,汇文网负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。
网站客服:3074922707
个人信息
处理
最小
必要
原则
审查
DOI:10.15918/j.jbitss1009-3370.2022.0363论个人信息处理中最小必要原则的审查金龙君,翟翌(重庆大学法学院,重庆 400044)摘要:最小必要原则实践上的审查结构不完整,学理上的审查内涵有争议,其完整的审查框架尚不明确。为保障个人信息保护法等相关法的实施效果,应清楚最小必要原则的完整审查框架。基于现行规范的释义,最小必要原则属于比例原则在个人信息处理中的体现;基于欧盟法上最小化原则的追溯,必要性审查与比例性审查对个人数据的处理作了全面、精细的考察,具备坚实的欧盟法实施基础,亦契合中国的实定法依据,有较强的借鉴价值。按比例原则“全位阶”的操作架构,吸收必要性审查与比例性审查,最小必要原则即形成完整的审查框架,且在比例原则“目的手段”关系下,最小必要原则可展开规范审查,其规范的步骤包括“事实描述”“目的正当性考察”“手段有效性、最小损害性及比例性考察”三大环节。而告知同意原则可确定最小必要原则的适用与收缩空间。关键词:最小必要原则;个人信息处理;比例原则;必要性审查;比例性审查;告知同意原则中图分类号:D922.19文献标志码:A文章编号:1009-3370(2023)04014011个人信息指以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,包括如“个人姓名、性别、年龄、血型、健康状态、身高、人种等可直接或间接识别的信息”1。为平衡个人信息的处理与保护,2021 年个人信息保护领域的基本法中华人民共和国个人信息保护法(以下简称个人信息保护法)确立个人信息处理中的最小必要原则。有告知同意原则发挥平衡个人信息处理与保护的功能,但最小必要原则被认为是个人信息处理中更基础、更严格、更具指导性的原则214。从个人信息保护法的规范内容来看,最小必要原则指个人信息的处理限于实现处理目的所必要的最小范围、采取对个人权益影响最小的方式,其中至少有两层含义:第一,必要(目的限制),处理行为与处理目的直接相关,处理目的明确、合理,且信息处理者不得不处理个人信息,否则目的无法实现;第二,最小(最小化),信息处理的全过程都应限于实现目的的最小范围,如处理的数量最少、处理的频率最低、存储的时间最短、访问的次数最少等3。从既往实践来看,最小必要原则的审查通常依靠必要原则实现。但有关个人信息处理中必要原则的基本内容,相关法律规定并不一致,学界有不同观点。如必要原则是告知同意原则的限制,包含有充足、相关、不过量等内容214;必要原则是对处理手段之必要限度的规范48。从北大法宝检索有关个人信息处理的必要性限制的 42 篇司法裁判文书中,仅有 2 篇文书采用最小必要原则的表述,其余采用必要原则。从必要原则的审查框架来看,对应的 40 篇裁判文书鲜有细致释义必要原则的审查框架,而是泛化地采用必要原则对个人信息处理活动作合法与否的裁断。少部分裁判文书呈现一定的审查框架,但并不收稿日期:2022-02-11基金项目:国家社会科学基金青年项目“行政特许基础理论研究”(18CFX023);重庆市社会科学规划项目(2021YBCS40);重庆市社会科学规划英才项目(2022YC073);中央高校基本科研业务费原创性基础理论项目(2021CDJSKJC32)作者简介:金 龙 君(1994 ),男,博 士 研 究 生,重 庆 大 学 法 学 院 政 府 规 制 与 公 共 政 策 法 治 研 究 所 研 究 人 员,E-mail:;翟翌(1983),男,法学博士,教授,博士生导师,重庆大学国家网络空间安全与大数据法治战略研究院副院长,重庆大学法学院政府规制与公共政策法治研究所所长,E-mail:第25卷第4期北京理工大学学报(社会科学版)Vol.25No.42023年7月JOURNALOFBEIJINGINSTITUTEOFTECHNOLOGY(SOCIALSCIENCESEDITION)Jul.2023中华人民共和国个人信息保护法第 4 条。中华人民共和国个人信息保护法第 6 条:处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。https:/ 年 1 月 17 日。完整。如在凌某某诉北京微播视界案中,裁判者将必要原则的审查定位于合理使用无不合理损害与有利可图;钟某与广东格兰仕个人信息保护纠纷案中,裁判者直接将正当的目的、有助于目的的实现作为必要原则的审查框架。最小必要原则较必要原则有更全面的审查内涵。最小必要原则有适当性、最小化及合比例性三方面的审查内容574;最小必要原则包含有合法、正当、必要原则一系列处理要求6;最小必要原则可统合于比例原则413;欧盟法上最小必要原则源自欧盟基本权利宪章(以下简称欧盟宪章)的比例原则条款,包含有适当、相关、必要三项内容,具体审查中紧紧围绕信息处理中目的手段之间的关系作较全面的考察,同比例原则的审查无大异711818。比例原则探究最大保护,其与最小必要原则的最小侵害无关,比例原则属于公法原则,在私法当中并不具有普遍适用效力583。最小必要原则在实践当中尚未存在较为完整的审查框架;最小必要原则与比例原则的审查内容是否一致有待进一步确定。从长期发展来看,完整审查框架的缺失会有损审查者的公信力,阻碍个人信息保护法等相关法的实施效果,导致社会经济发展和个人数据权益的保护不平衡。审查主体具有主观性,主体的知识背景、经验因果律认知、审查技术等存在差别。若在不完整的审查框架下,易引发审查的过度主观化,减损审查的公正性与公信力9。完整的审查框架拥有体系性的审查标准和细致的审查要点,对于同类案件需要不同审查强度的案件,审查框架可提供相对恰当的处理依据和参照。美国司法审查中常用的强度审查体系对美国及其相应法系国家产生深远的影响10。中国司法审查逐步呈现框架性审查的特征,完整的框架式审查正成为法院审查的发展趋势11127。一、比例原则在个人信息处理中的体现比例原则被认为是公法的“帝王原则”。按“四阶论”来看,比例原则包括目的正当性、适当性、必要性及均衡性。目的正当性即手段之目的应当符合正当性的要求12133;适当性即采取之手段可有助于目的之实现;必要性即相应手段所造成的损害应达至最小;均衡性(亦称为狭义比例原则或者法益相称性原则)即手段为促进目的所实现之利益和手段所造成之损害之间须合比例13。比例原则源自行政法,在私法领域已表现出普遍化现象14,并作为宪法原则渗透于各部门法领域。最小必要原则实际是比例原则渗透于个人信息保护领域的体现。从现行法规范来看,个人信息保护法信息安全技术个人信息安全规范深圳经济特区数据条例等国家与地方的个人信息保护规范将最小必要原则的基本内涵规定为:与处理目的相关,采取对个人权益影响最小的方式,限于实现处理目的所必要的最小范围,不得过度。第一,根据“与处理目的相关,限于实现处理目的”规定,可析出目的正当性原则、适当性原则的内涵。探究目的的相关性及可实现性必须有明确的目的。按手段/目的理性的基本逻辑,目的是先于手段的主观,手段会受目的制约、由目的所驱动15。确切的目的会给出一个是否超过处理目的的明确标准,而不至无法判断“限于实现处理之目的”的标准。不明确的目的对应不确切的手段,无法形成目的与手段的相关性评价。明确的目的必须是正当的。正当是合法性的基本要求,不道德的、恶意的、不相关的或不适当的目的不得作为法治手段的“驱动器”1676。实现处理目的是一种促进性的要求。目的基于正当而非恶意,对目的而言与其直接相关的手段属于一种正向激励,只有手段实际上促进目的,目的的价值才能实2023 年第 4 期金龙君等:论个人信息处理中最小必要原则的审查141北京互联网法院2019京 0491 民初 6694 号一审民事判决书。广西壮族自治区梧州市长沙区人民法院2021桂 0405 民初 591 号一审民事判决书。有少部分学者认为必要原则等于最小必要原则,本文并不反对,关键在于无论必要原则还是最小必要原则在应用过程中常常是不完整的、截取的、片面的,这容易导致最小必要原则的审查功能受损。虽然有“两阶论”“三阶论”观点,但就各阶层理论的完整性上而言,“四阶论”不仅包容“二阶”“三阶”的结构,而且突出目的正当性,这与最小必要原则在目的上的控制内在统一,故而本文采取“四阶论”,以便完整全面表达最小必要原则的结构。中华人民共和国个人信息保护法第 6 条:处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息;信息安全技术个人信息安全规范4.d):最小必要只处理满足个人信息主体授权同意的目的所需的最少个人类型和数量;深圳经济特区数据条例第 10 条第 2 项:限于实现处理目的所必要的最小范围、采取对个人权益影响最小的方式,不得进行与处理目的无关的个人数据处理。现17。在正当目的之下,手段能够促进目的实现是手段实施的前提要件。第二,根据“对个人权益影响最小的方式,必要的最小范围”规定,可析出必要性原则。个人权益影响的最小指处理个人数据中须最小化地影响他人权益,其中最小影响不仅体现在法条对应的处理范围最小上,还体现在行动的理性上。“如果解释和预测是可能的,恰当条件又是可操作的,那么就可以促成或阻止事件或行为的发生”18。从权益影响预期来看,作为理性行动者理应事前就对最小不利影响做出考察,从事前便开始避免处理措施对权益的影响扩大。必要的最小范围指为实现处理目的所处理的个人数据范围应最小,其中最小范围亦可作广义理解,如数量的最低、频率的最低、时间的最短、访问的最少等都属于最小范围的要求。这一内涵多方位提出手段需最小化的要求,与比例原则之必要性原则的基本内涵相符合。第三,根据“不得过度”规定,可析出均衡性原则。不得过度有两方面的内涵,个人信息处理行为已满足实施的必要性,否则没有度上的权衡;信息处理者采取实现目的的处理行为,但会对个人信息权益产生一定的不利影响,而不利影响不得超出必要范围,故处理活动存在利弊的比较。个人信息保护法将“不得过度”指向收集行为,但从第 6 条第 1 款来看,第 2 款旨在特别强调收集活动的限度要求,对于其他处理活动,不得过度的法定要求依然有效。结合中华人民共和国民法典(以下简称民法典)第 1035 条、中华人民共和国数据安全法(以下简称数据安全法)第 13 条、最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定第 3 条、深圳经济特区数据保护条例第 3 条等规定,现行法一方面肯定处理个人信息对于实现信息的开发利用之社会福利、民生福祉的价值;另一方面也指出处理个人信息对个人权益具有损害性,在个人信息的开发利用与保护上应实现平衡,即为保护的必要,开发利用个人信息不得过度,须满足一定的比例要求。不得过度等同于平衡,是一种保护性与损害性的合比例性要求,即均衡性原则的要求。在产业数字化、数字产业化、治理数字化和数据价值化的环境下,个人信息处理平台实则已具有“准公权力”或影响公共活动的强大“私权力”特征19,一定程度上已突破传统私权的定位。从单个被处理者角度看待处理活动,私权性质较明显,但从信息处理方式本身出发,综合其行为特征,其作为市场规制者的公众性不可谓不显著20。为避免个人信息处理平台之过度,执法者对信息处理平台的制约,不应受限于平台私权活动的定位,而应将其具有广泛公共影响性的处理行为置于执法的首要地位21,一并实现个人信息权益与公共信息权益的保障。从这个角度而言,在个人信息保护中适用比例原则对处理活动限定边界,发挥个人信息的权益平衡、保护作用亦是恰当、必然的22。最小必要原则属于比例原则在个人信息处理活动中的客观、规范形式。二、欧盟法上最小化原则的审查(一)最小化原则的审查:必要性+比例性最小必要原则直接的域外渊源是欧盟通用数据保护条例(GeneralDataProtectionRegulation,GDPR)。GDPR明确规定,为实现处理目的,个