《个人信息保护的公共利益考量.docx》由会员分享,可在线阅读,更多相关《个人信息保护的公共利益考量.docx(7页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、个人信息保护的公共利益考量当前,我国个人信息保护法律体系逐步建立健全,个人信息保护法治建设从以立法为中心阶段迈向以法律适用为中心阶段。但是个人信息保护不仅涉及个人利益、企业利益,而且涉及社会利益、国家利益,与公共安全、国家安全等密切相关。特别是在维护国家安全、保障公共健康、打击违法犯罪等方面,公共利益成为限制个人信息权益的法定理由,如此,公权力机关很有可能侵犯个人信息权益。对此,南京航空航天大学人文与社会科学学院高志宏教授在个人信息保护的公共利益考量以应对突发公共卫生事件为视角一文中,分别从实证主义、法教义学和制度创新角度出发,探讨了公共利益为什么能够限缩个人信息权益以及在多大范围内限缩个人信
2、息权益,为我国个人信息保护的法律适用提供借鉴。一、个人信息保护的现实困境维护个人利益是个人信息保护的逻辑起点,但是,个人信息具有多种价值属性,蕴含多种利益诉求。就比如根据民法典第127条,经过匿名化处理的个人信息所形成的数据的所有权应当归收集者所有。总的来说,大数据时代的个人信息具有典型的复合法益性质,不仅涉及自然人的个体法益,而且涉及社会公众、国家等集体法益,表现为公众健康、国家安全、网络空间秩序等。不同主体的利益诉求时而重叠、时而冲突,公共利益根源个人利益并蕴含个人利益之中,但公共利益会对个人信息权益造成一定限缩,个人信息权益也可能与社会公众知情权冲突。目前,我国个人信息保护救济机制呈现出
3、“重追责轻管理”“刑先民(行)后”“重刑轻民(行)”等特点,存在实体法保护乏力的立法困境、政府部门监督制约机制阙如的执法困境以及民事诉讼作用难以有效发挥的司法困境。一方面表现为司法实践中侵犯主体认定难、取证举证难、侵权责任认定难等司法救助机制不完善问题;另一方面表现为政府机构滥用“公共利益”而侵犯个人信息权益但缺乏监督和救济问题。二、公共利益限制个人信息权益的法理基础(一)法律依据:公共利益限制个人信息权益的立法表达我国法律普遍将公共利益作为限制个人利益的合法条件,个人信息保护法亦是如此。这些条款或者将公共利益视为民事责任免责的事由之一,譬如民法典第1036条;或将公共利益视为法律特殊保护的对
4、象,譬如网络安全法第31条、数据安全法第2条、个人信息保护法第10条;或将公共利益视为处理个人信息的法定情形,譬如个人信息保护法第13条;或将公共利益视为个人信息跨境流动的禁止事项,譬如个人信息保护法第42条。(二)价值位阶:公共利益限制个人信息权益的正当性基础公共利益限缩个人信息权益的根基在于在利益价值位阶中,公共利益处于相对优先位置,这是法律共识。个人信息保护不仅涉及个人利益,而且涉及国家安全、公众健康、经济发展等公共利益。更何况,在大数据时代,个人信息的公共性逐步增强,其所蕴含的公共利益价值日益凸显,个人利益不可避免地要让渡给公共利益。(三)利益平衡:大数据时代个人信息权益保护的应然追求
5、公共利益的优位是相对的,而不是绝对的、无条件的。既要避免法律缺失、信息被滥用也要避免防护过度,从而在个人利益与公共利益之间达到某种平衡。其一,从现代文明社会基本原则出发,公共利益优先于个人利益。其二,公共利益的优位性是相对的。例如在疫情防控等突发公共卫生事件应对中,相关部门不得公开可识别的个人信息,不得侵犯公民的基本权利。其三,公共利益的优位性要结合具体情况作具体分析。其四,公共利益的优先性应受到正当法定程序的限制。三、公共利益限制个人信息权益的制度反思一是公共利益内涵外延的模糊必然会导致公共利益的虚化、泛化,从而侵害个人利益。二是公共利益代表机制缺失,信息收集主体多元化,政府机关、社会组织乃
6、至企业以公共利益为由肆意侵犯个人信息。三是随着信息技术的进步,能识别的个人信息范围不断拓展,而公共利益行使规则的滞后使得现有的“知情同意”规则和“匿名化”规则陷入僵化。公共利益限制个人信息权益的程序性规定不足,以公共利益之名收集和利用个人信息缺乏有效约束。四、公共利益限制个人信息权益的原则释义一是法律授权原则,是指基于公共利益目的限制个人信息权益必须有法律的明确授权,不得违反禁止性条款。即便是为了公共利益,国家机关在处理个人信息时也应依照法律规定的权限和程序并注意方式、方法以及范围,尽量减少对个人产生的不利影响。此处的“法律”应为狭义的法律,须由全国人大或其常委会制定。二是目的正当原则,是指信
7、息收集者只能出于公共利益这一特定、明确、合法目的才能收集个人信息,不得收集利用与公共利益无关的个人信息,且其公共利益目的必须在信息收集时已经确定,后续处理时不能与事先确定的公共目的相悖。三是最小比例原则,也称范围最小原则或必要性原则,是指基于公共利益目的必须限制个人信息权益时,应以损害最小、程度最轻、次数最少的方式进行,尽量缩小采集个人信息的主体范围和内容范围,尽量降低信息泄露风险,例如“去标识化”或“匿名化”等方式。四是安全保障原则,是指收集和处理个人信息必须保障信息安全。此种安全不限于信息安全,而应当包括人身安全、生活保障、医疗救治等基本权利,需要个案判断。安全保障原则要求政府部门在收集和
8、使用个人信息时应当遵守相应的法律义务,包括信息保密义务、采取技术保护措施义务、防止信息泄漏义务、采取补救措施义务等。五、个人信息保护中公共利益考量规则的优化路径(一)公共利益内涵外延的界定其一,公共利益具有相对性。公共利益既可以体现为抽象的利益形态,也可以表现为具体的物化的利益形态,其内容与形式依附于特定的社会环境。其二,公共利益是关乎人类长远的根本的整体利益,具有不可分性。其三,公共利益的享有主体具有普遍性、不确定性和非排他性。可以采取“内涵界定+外延列举+兜底条款”立法例,明确公共利益范围。(二)公共利益代表主体的明确为改变个人信息保护领域分散执法的局面,应当建立统一、专业、独立的个人信息
9、保护机构。第一,明确行政机关在个人信息保护中的职权与权限,主要包括接受投诉权、调查处理权、行政监督权、规则制定权。第二,行政机关需要提高基于复杂场景下个人信息的判定能力、对方利益衡量能力以及个人信息保护能力。第三,加强对国家机关的监管;加大责任处罚力度,赋予自然人以个人信息救济权;加强社会监督,必要时引入第三方专业机构,推动社会多方参与。(三)知情同意原则例外的细化我国网络安全法第41条、民法典第1035条明确规定了自然人的知情同意机制,同时留下了“法律、行政法规另有规定的除外”的规定。知情同意原则的例外并不意味着获取和处理个人信息具有程序“豁免权”。相反,为避免政府公权力滥用,应当遵循最低限
10、度的正当程序要求。首先,履行公开义务,向社会公众说明收集和处理个人信息的公共利益理由及范围。其次,保障信息主体相关权利,包括查询权、异议权、请求更正或补正权、安全权等。再次,在公开或者共享信息时应当“去识别化”处理。最后,对于个人敏感信息的收集和处理,仍应当严格遵守知情同意原则。(四)法律保护救济途径的健全一是完善国家部门法律责任。二是健全行政诉讼制度。三是通过出台个人信息保护法实施条例等方式引入行政公益诉讼制度,根据个人信息保护法第70条,对主体资格、适用条件、法律责任等问题作进一步细化。四是加大行政赔偿责任,采用客观过错归责原则。六、结论在大数据时代,个人信息权益主体和内容呈现出多元化、复合化趋势,政府公权力机关在进行行政管理或者提供公共服务时,收集和处理个人信息具有价值正当性和制度合法性。然而,公共利益存在着内涵外延模糊、代表机制缺失、行使规则滞后的问题。因此,法定主体在收集和处理个人信息时,应当严格遵循法律授权原则、目的正当原则、最小比例原则、安全保障原则等。在此同时,还应当通过界定内涵、限定主体、厘清范围、完善救济等法治举措确保公共利益限缩个人信息权益的正当性。7