[摘 要]
《个人信息保护法》新增“合同所必需”作为合法处理个人信息的条件之一,但该规则在适用中存在个人信息处理者以增加服务内容、扩大个人信息需求以及降低信息处理透明度的方式侵害用户权益的风险。通过分析欧盟“合同所必需”规则的适用前提、适用标准、适用条件,思考对规则异化的风险进行控制与化解的路径,可为我国建立健全相关适用规则提供借鉴。“合同所必需”规则的适用基础仍是知情同意,其本身不应是一项单独的法定事由,在适用时必须明确“合同依法成立并生效”这一独特前提,在此基础上依托合同自由与公平原则建立相应适用规范,在合法与正当原则下确立“关联性”标准,在目的明确与最小化原则下确立“必需性”标准,在强化告知义务中确立“透明度”标准。同时,基于法律的禁止性规定,在敏感个人信息处理和利用信息进行自动化决策中不能适用该规则。
[关键词]
个人信息处理;合同所必需;知情同意;用户服务协议
“为订立或者履行个人作为一方当事人的合同所必需”(以下简称“合同所必需”)是《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)新增的一项信息处理合法性事由。其改变了《中华人民共和国网络安全法》(以下简称《网络安全法》)中“知情同意”作为获取个人信息处理合法性的唯一方式之规定,将对个人信息处理者的信息处理行为产生重大影响。该规则是立法者参考、借鉴欧盟《一般数据保护条例》(General Data Protection Regulation)(以下简称“GDPR”)相关规则,并结合我国个人信息处理者对个人信息的客观需要等实际之后提出的。从现有研究看,学界围绕个人信息处理合法性展开了较全面的分析,有的从订立合同的角度分析个人信息处理合法性基础的限缩适用,有的从劳动者个人信息保护的角度分析该条款,而对“合同所必需”规则进行全面解构与系统分析的研究却相对不足。从这个角度来看,研究“合同所必需”的风险,通过历史解释的方式了解规则的演进史,分析规则的法理内核,进而提出相应的适用规则,具有较大的理论和现实价值。
一、“合同所必需”规则的正当性——历史解释的视角
对于我国而言,“合同所必需”规则是一个全新的获取信息处理合法性的方式,相关理论不甚完善,实践经验也不充足。为此,我们需从历史解释的视角,考察“合同所必需”规则在欧盟的缘起与适用以及在我国的发展历程,厘清其产生的社会基础、博弈结果与最终的构架,从而为我国当前适用规范的制定提供有益经验。
(一)欧盟“合同所必需”规则产生的历史背景与过程博弈
1.规则产生的历史背景
大数据时代,数据的重要价值使其被比喻为“新石油”,各国相继出台适宜数字经济时代发展的相关立法。作为数据中最富价值的个人信息,各国在建立制度时充分考虑到个人对信息的自决权,因而形成以个人自由意愿为中心的知情同意规则。而为了满足合规的要求,个人信息处理者提供的隐私政策和服务合同通常言语冗长、表述复杂,这进一步降低了信息主体阅读的可能性。为此,欧洲执法机构不断强化知情同意规则的严格适用,2019年法国监管机构依据“GDPR”以违背“知情同意规则”为由对谷歌默认勾选才能注册的行为罚款5000万欧元。但是,知情同意规则在适用中面临“信息供给不足”“授权成本过高”的问题,成为个人信息高效利用的桎梏。然而,从实际需要来看,一方面,个人信息处理者有对提供服务所必需的个人信息的客观需求;另一方面,用户也愿意放弃对部分信息的控制而享有服务。在这样的背景下,个人信息处理者通过为信息主体提供免费或价格相对低廉的服务,换取用户对一揽子信息处理的授权,以降低信息不足与授权成本的问题。
2.规则形成过程中的博弈
欧盟此前试图以知情同意作为唯一合法性方式构建个人信息处理的基本框架。如前所述,该决定遭遇各行业的反对。其理由是,个人信息处理者认为其获取信息所需授权成本过于高昂,因而提出需要新的授权方式,以降低授权成本。经过反复磋商、沟通,欧盟最终提出“合同所必需”规则,但该规则在最初未得到有效利用。经过进一步的酝酿协调,各成员国通过借鉴、修正提案,推动欧盟最终通过《保护个人享有的与个人数据处理有关的权利以及个人数据自由流动的指令》(Directive 95/46/EC on the protection of individuals with regard to the processing of personal data and on the free movement of such data),并在第7条规定“履行与信息主体的合同,或者如果是由信息主体在签订合同之前请求的,必要时也允许控制者对信息进行处理”。该规则正式确立后,在实践中个人信息处理者却并未放弃与用户签订冗长而繁琐的合同,进而通过“知情同意”规则获得信息处理合法性。因为“知情同意”下获取用户授权的方式较为简便,并且适用“合同所必需”有一定的合规风险,此时便出现“知情同意”规则和“合同所必需”规则并用的现象,违背了“合同所必需”规则无需取得同意的制度初衷。
2016年,欧盟正式通过“GDPR”,同年欧盟数据保护委员会发布《同意的解释指南》(Guidelines on Consent under Regulation 2016/679),对有效同意的要素进行了细化解释,进一步澄清了应当如何获得有效同意。该指南规定,“同意”需符合“自由作出的(freely given)、具体的(specific)、知情的(informed)、清晰无误的意愿(unambiguous indication of wish)”四个要件,并对每个要件进行详细阐释。这导致同意的授权成本陡然升高,并造成一些依赖个人信息的服务难以为继。由于“知情同意”规则的从严适用,引发个人信息处理者向其他合法性方式“逃逸”,“合同所必需”规则由此成为首选。欧盟察觉到“知情同意”规则被限制后,个人信息处理者会转向“合同所必需”规则。为此,欧盟数据保护委员会于2019年10月正式颁布《关于在向数据主体提供在线服务依据“GDPR”第6(1)(b)条规定处理个人数据的第2/2019号指南》(Guidelines 2/2019 on the processing of personal data under Article 6(1)(b) GDPR in the context of the provision of online services to data subjects,以下简称《第2/2019号指南》),为规范适用“合同所必需”规则提供了依据。
(二)欧盟“合同所必需”规则的适用规定
《第2/2019号指南》对“合同所必需”规则进行细致地规范,包含适用需满足的合同条件、适用中需符合的要求和适用后需履行的义务。
1.适用需满足的合同条件
“合同所必需”规则适用在有效合同的基础上,符合欧盟各成员国关于合同的一般规定,即《用户服务协议》需有效且经自由意志签订,具体而言:第一,合同的有效性依各国规范而定。适用“合同所必需”规则处理个人信息,其合同必须在签订合同的主体所在国有效。由于欧盟各国对民事行为能力的要求和禁止性规范不同,合同是否有效需要依照信息主体所在国的法律来确定,只有合同处于有效状态,才能适用“合同所必需”规则。第二,合同是基于自由意志签订。为平衡信息主体与个人信息处理者在合同签订中的地位,“合同所必需”规则要求合同必须基于自由意志签订。《第2/2019号指南》的内容中间接体现了对合同自由意志的要求,例如要求“合同应符合保护消费者相关的法律规定”等。同时,自由意志也体现在“GDPR”公平性之中,当市场主体具有不可替代的地位时,需要考虑接受服务合同中信息处理是否为履行合同所必需,在任何个人信息的处理中,对行使隐私权和个人信息保护的任何限制都要进行严格的必要性测试。因此,“合同所必需”规则的基础是合同不会被强行与非必要服务相捆绑,以保障信息主体对服务内容行使同意权的自由意志。
2.适用中需符合的要求
“合同所必需”规则适用时,不仅需要符合个人信息处理的基本原则,还需要满足具体的判断条件。从原则上看,主要有公平与透明、目的限制与最小化原则。“GDPR”第5条规定“个人信息处理必须合法、公平和透明”。公平原则要求在个人信息处理时,考虑个人信息处理的不利后果与双方的不平衡关系,承认个人信息主体的合理期望。透明度则要求与处理个人信息有关的任何信息和通信都应当易于获取和易于理解,并且使用清晰明了的语言。最后是目的限制与最小化原则,其限定了个人信息处理的范围。“GDPR”的目的限制原则要求个人信息处理必须为合法的目的而收集,并且不得以与这些目的不相符的方式处理。目的限制原则将“合同所必需”规则的适用限定在特定的目的之内,而最小化原则要求特定范围内的个人信息处理行为应尽可能少地使用个人信息。目的限制原则是相关范围判断的依据,而最小化原则限定必需的范围。
在《第2/2019号指南》中,欧盟数据保护委员会依据上述原则制定适用“合同所必需”规则的两项限制条件,即符合相关和必需两个要求。第一,“相关”的界定与判断。“相关”是指个人信息处理与履行合同之间存在关联,任何与履行合同无关的个人信息处理都不能从“合同所必需”中获得个人信息处理合法性。事物是普遍关联的,要求该信息处理与履行合同中的服务内容紧密联系且服务目的相同。具体来看,信息处理与需求的服务内容紧密相关,该规则要求提供的服务是信息主体需求的,而不包含其需求之外的其他行为。总体来看,服务内容紧密相关与服务目的相同需要进行严格的解释,这也符合透明原则中可预见的要求。
第二,“必需”的界定与判断。“必需”的判断在欧盟法中有特殊含义,反映信息保护法的立法目的,包括基本权利、保护原则等,具体而言可从实现服务目的方式的不可替代和实现目的信息使用最小化两方面对“必需”进行判断。一是实现服务目的方式的不可替代性。在Schecke案中,欧盟法院认为在审查处理个人信息行为“必需”要件时,立法机关应考虑具有替代性的、侵扰性更小的措施。无论从立法还是司法层面看,欧盟倾向于从替代性、侵扰性的角度出发,将个人信息最小化标准贯彻于“合同所必需”中。二是实现服务目的信息使用的最小化。此处的最小化是指履行合同需最低限度地使用个人信息,且最低限度应在信息主体可期待范围内。“GDPR”立法理由第39条认为,应在不能通过其他方式合法实现合同目的时才应处理个人信息。如在改进服务和防止欺诈上,欧盟数据保护委员会认为依据合同内容,为改进服务或防止欺诈处理个人信息不满足“合同所必需”的信息使用最小化要求,应从其他条款中获取信息处理合法性。只要有其他可替代的更少使用信息的方式或信息使用并非基于最小化,皆不能使用“合同所必需”规则获得信息处理合法性。
3.适用后需履行的义务
在符合“合同所必需”规则的适用前提和适用判断外,还需要对适用后的行为加以规范。包括个人信息处理行为完成后的删除义务及承担“合同所必需”的证明责任。删除义务是解除合同后应履行的义务,“GDPR”第17条规定“个人信息主体有权要求立即清除与其相关的个人信息,同时个人信息处理者有义务立即清除相关个人信息”。“GDPR”要求个人信息的保存时间不超过处理目的所需的时间。当个人信息不再是为收集该信息的目的所必需时,应被删除。即信息主体与个人信息处理者的合同终止,就不存在任何履约必需,所以信息处理行为必须停止。“GDPR”还规定了举证责任倒置规则,由个人信息处理者承担举证相关与必需是否符合要求的责任。包括证明个人信息处理行为符合“合同所必需”的适用前提和适用条件,即不仅证明合同有效与自由签订,同时还要求证明符合“合同所必需”的相关与必需的要求,否则需承担不利后果。
二、“合同所必需”规则的异化风险
“合同所必需”规则的应用场景相当广泛,但典型场景是移动互联网领域,典型表现是各大电商平台作为个人信息处理者,与平台用户签订的各种类型的《用户网络服务协议》,并通过协议直接获取个人信息处理的合法性。由于《用户网络服务协议》内容包罗万象,在实践层面容易造成“合同所必需”规则被个人信息处理者滥用的风险。
(一)滥用合同的主导地位
如学者所言,信息主体往往缺乏知悉、表达意见的自由,其个人信息权难以获得有效保护。事实上,个人信息处理者享有对合同的单方制定权,其制定的合同多表现为格式条款。个人若不同意合同内容,将被直接拒绝提供服务。质言之,用户阅读和同意与否并不影响合同内容。同时,面对冗长的合同内容,用户基于使用服务的现实需要,在实践中也不会认真阅读文本,因为其明确知晓拒绝签署相关合同将会被排除在服务之外。而且,合同内容充满专业术语和法律术语,用户往往也不知道其个人信息如何被收集、存储或共享。基于此,个人信息处理者可以将实施的信息处理行为转化为服务内容加入合同之中,从而达到获得信息处理合法性的目的。如上文提及的微博《用户服务协议》就提到,“用户同意微博运营方在提供微博服务过程中以各种方式投放各种商业性广告或其他任何类型的商业信息”。如果将其视为“合同所必需”,则通过修改合同的方式,个人信息处理者就可以达到获取个人信息处理合法性的要求,且成本低、实现易。但对用户而言则既不公平,也不合理,个人信息难以得到有效保障。
(二)作出不利于个人的解释
《个人信息保护法》中“合同所必需”规则尚缺乏何谓“与合同相关”、何谓“必需”的解释,在个人信息处理者的“独家”解释下,信息处理范围可能会被扩大。当前,将何谓“相关”“必需”的解释权赋予个人信息处理者具有一定的科学性。这主要是因为个人信息处理者对合同目的理解更到位,但实践中易引发扩大解释的风险。特别是个人信息处理者与用户对实现服务目的的理解不同,导致所需的信息种类、信息范围并不相同,此时个人信息处理者更容易作出利于自身而不利于个人的解释。更深层次的原因在于,个人信息处理者对信息需求缺乏克制,在没有法律规范明确限制的情况下,往往具有作出对自身有利解释的天然倾向。
《个人信息保护法》《常见类型移动互联网应用程序必要个人信息范围规定》(以下简称《必要个人信息规定》)的出台对“必要个人信息范围”作出一定的规定,但上述《必要个人信息规定》与“合同所必需”规则并非一致,在实践中不能避免个人信息处理者的独家解释。如《必要个人信息规定》第5条第6款、第7款是关于网上购物、餐饮外卖类的必要信息范围,其中包括“收货人姓名(名称)、地址、联系电话的内容”。上述规定为个人信息处理者提供了收集依据,但是在实践中,网上购物、餐饮外卖类存在着自取、自提等取货方式,此时显然不需要遵照上述规定提供地址、联系方式等个人信息,可见必要信息之界定并不能完全作为“合同所必需”规则的适用标准,但可作为重要参考依据。从这个角度讲,个人信息处理者扩大信息需求范围的风险客观存在,对信息主体构成威胁。
(三)信息处理告知义务的弱化
滥用合同的主导地位还会导致告知义务的弱化。《个人信息保护法》所规定的同意,是由个人在充分知情的前提下自愿、明确作出的行为。在知情同意规则下,知情是同意的必要前提,信息主体行使同意权之前,个人信息处理者必须全面告知信息主体其个人信息将被如何收集、使用和存储,以起到约束企业,同时缓解用户顾虑的作用。我国APP违法违规信息处理的执法关键也是企业执行与用户签订的《隐私政策》的实施情况,执法机构通过评估其所列的信息处理是否合规、是否超范围收集个人信息等有关情况实施监管。然而,在“合同所必需”规则之下,个人信息处理者无需征得信息主体的同意即可处理相关信息。其虽有告知义务,但是并非“合同所必需”规则的适用前提。这在一定程度上会弱化个人信息处理者对信息主体的告知义务。若征得个人同意较为困难,个人信息处理者倾向于通过“合同所必需”规则取得个人信息处理的合法性时,其告知义务必然会因并非是必要环节而弱化,信息主体的知情权会进一步受到削弱。
三、我国“合同所必需”规则的法理构设
2020年《中华人民共和国民法典》(以下简称《民法典》)第1035条第1款提到了无需同意即可处理个人信息的例外,即“法律、行政法规另有规定的除外”,为“合同所必需”规则最终在《个人信息保护法》中得以确认提供基本法指引。最终《个人信息保护法》第13条第1款第2项规定,“为订立、履行个人作为一方当事人的合同所必需”,个人信息处理者可以处理个人信息。与欧盟相比,我国的“合同所必需”规则属于“一步到位”,缺少了规则建立过程中长时期的动态博弈。换言之,无论是司法还是行政执法,对于“合同所必需”都并未积累起足够的规范适用经验。为有效应对前述“合同所必需”规则所可能产生的异化风险,有必要首先明确规范的法理构设,进而在此基础上以法解释学的方法对该条款进行规范建构。
(一)信息自决权下的权利规范
学界对“合同所必需”规则是知情同意规则的一种还是单独的法定事由存在争议。一种观点认为“合同所必需”属于同意而非例外情形。另一种观点直接将“知情同意”与其他的合法性规则相区分,认为其他的合法性规则均是法定事由。以上两种区分方法,实质是对“合同所必需”规则基础理论之探讨。如果“合同所必需”规则是一种法定事由,则该规则需要另一个独立的法价值作为依据,即相较于个人的自由或公平,更追求效率价值。而如果将其理解为同意的一种方式,为了履行合同而不得不使用上述信息,从而构建权利基础,似乎更为适宜。也有观点认为“合同所必需”是一种默示同意。
本文认为,“合同所必需”规则所依赖的仍是知情同意规则,是信息自决权下的权利规范,其本身不是一项单独的法定事由,理由如下:第一,从制度发展来看,“合同所必需”规则脱胎于知情同意规则。作为个人信息保护领域最基本的原则之一,就早期的处理个人信息而言,知情同意是最核心、最重要的合法性基础,甚至被一些学者认为是个人信息保护中的“帝王条款”,地位堪比民法中的诚信原则。到了大数据时代,纯粹的知情同意规则难以应对大数据产业的发展需求,于是“合同所必需”规则应运而生。从某种程度来说,它并非对知情同意规则的否定,而是脱胎于知情同意规则,是知情同意规则在大数据时代新的表现形式。因为,不同于“履行法定职责或者法定义务所必需”“为应对突发公共卫生事件所必需”等其他单独的处理个人信息的法定事由,“合同所必需”规则无法独立于合同而存在。而合同本身就是当事人行使同意权的重要体现,因此可以认为“合同所必需”规则是知情同意规则在当今时代的变种。
第二,从理论实践来看,“合同所必需”规则的适用前提是当事双方基于意思自治达成合意。合同自由精神是合同法赖以确立的基础,我国《民法典》第5条规定“民事主体从事民事活动,应当遵循自愿原则”,《民法典》人格权编中也规定个人对其信息拥有自决的权利。由此可知,“合同所必需”规则直接获得个人信息处理合法性,是信息主体对其个人信息的处分行为,也是《民法典》合同编在个人信息处理领域的适用。以互联网领域为例,个人信息处理者在网站注册时提供《用户服务协议》,其本质是一种要约,这充分表明当事人自主缔约的意愿。承诺要约的主体应遵循合同规范,此时信息处理就有法律基础。因此,当事人缔约自由与意思表示自由是适用“合同所必需”规则的理论基础。反观之,若当事人因没有民事行为能力而无法获得缔约资格,也不存在“合同所必需”规则的适用空间。
(二)公平原则下的制约规范
与信息自决的法理基础相对应的,是个人信息处理者对合同基本原则的一种限制,该限制源于合同中的公平原则。即当规则适用缺乏公平时,不能获得个人信息处理合法性。在实践中,经常出现个人信息处理者利用不对等的地位实施侵害信息主体的行为,因而公平原则是该规则适用限制的基本准则。“合同所必需”规则的适用应有所限制才能保障其规则不至于异化。由于权利主体之间的地位不平等,自然人与法人之间、强势的经营者与消费者之间、男性与女性之间、成人与儿童之间等在实际的合同订立和履行中难以实现合同自由与行为自由,进而造成名义平等与实际不平等的现状。随着合同理论的发展,近代合同法中,抽象的法律人格概念被作为权利主体确定下来,现代合同法则要求抽象的法律人格概念做出让步。这一由于主体不平等而形成的对抽象人格的否认与对具体人格的承认,实际上认可不同主体之间的不平等地位,进而对其权利义务关系进行重构。在个人信息服务中,该关系集中体现为“个人信息处理者”与“个人信息主体”之间,需承认在合同签订和履行中给予个人信息主体倾斜保护,以保障信息主体在合同行为中的公平。
(三)最小必要原则对规则适用的影响
所谓最小必要,是指在能实现合同目的前提下,处理个人信息应维持在最低频率、最小数量。作为规则的“合同所必需”,应在最小必要原则下进行规范构建。从历史解释的角度看,“合同所必需”正是基于同意原则对个人信息在最小必要范围使用的生动实践。然而,由于信息主体与个人信息处理者之间巨大的权利张力,为维持平衡状态,在个人信息处理综合影响为积极且给信息主体造成损害或者危险有限的情况下,可以允许个人信息处理者在合理的频率与数量范围内处理非敏感的和敏感度低的个人信息。但仍需注意的是,最小必要与“合同所必需”规则之间仍有一定区别,“合同所必需”强调不处理某项信息便无法实现合同目的;而“最小必要”则是从处理信息的频率和数量角度而言,强调应最大限度减少信息处理行为对信息主体相关权利的损害。
四、“合同所必需”的适用规则
(一)“合同所必需”规则的独特适用前提
“合同所必需”规则适用以合同为基础,合同合法有效是适用“合同所必需”规则的必要前提。
1.合同需依法成立并生效
第一,个人需具备合同民事行为能力。个人对其信息处理的民事行为能力是适用的前提条件,签署《用户服务协议》应满足《民法典》关于民事行为能力的要求,同时符合个人信息保护相关规定。然而,目前各大平台的《用户服务协议》普遍回避了年龄的直接规定,而是采用“您应具备相适应的民事行为能力”的表述。在某种程度上说,这与《民法典》《个人信息保护法》《儿童个人信息网络保护规定》等法律规范的规定有较大区别。特别是对于无民事行为能力主体,其不具备合同缔约资格,“您应具备相适应的民事行为能力”的表述实际上是将有关法律风险转嫁给用户,再加上其信息属于敏感信息,不能通过“合同所必需”规则获得个人信息处理的合法性。
第二,合同内容或目的需符合意思自治要求。在适用“合同所必需”规则时,不能以合同的全部内容作为适用基础。《用户服务协议》通常是格式合同,普遍采用一揽子协议打包的方式设置合同内容,将其业务、服务等捆绑在一起。用户在合同中的选择权较弱,对于所提供的服务内容、所要实现的合同目的只能全部接受或拒绝,从而导致合同目的之范围远远大于用户实际所需之范围。此时个人信息处理者以履行合同所载全部义务为由,通过“合同所必需”规则扩大个人信息处理范围,显然违背规则制定的初衷。因此,有必要以用户在自由意志基础上实际所需的服务而不是合同所载的全部服务为基础,确定个人信息处理者可处理的个人信息范围。
第三,合同签订需符合公平原则。当个人信息处理者发出签订合同的要约,用户承诺即合同签订。作为格式合同的提供方,个人信息处理者不能在合同中不合理地免除自身责任,加重对方责任。另外,合同应在充分尊重当事人意思自治的前提下制定,如果格式合同存在免除自己责任、加重对方责任、排除对方主要权利三种情况,可判定违背公平原则。
2.合同不生效或终止对规则适用的影响
实践中,《用户服务协议》存在诸多不发生效力的情形,典型如参与非法集资的APP提供的合同、提供非法网络服务的合同等,这些合同或违反效力性强制性规定,或违背公序良俗,属于合同当然无效的情形。此外也存在一些效力未被追认的合同或者被撤销的合同,这些合同也不具备法律效力。在前述情形中合同没有法律效力,个人信息处理者没有履行合同内容的义务,合同目标也无法实现,那么个人信息处理者便无法通过“合同所必需”规则取得信息处理合法性。同时,合同也存在终止的情形,例如合同内容已履行完毕、合同目标已实现、合同已解除等。此时,双方的合同义务已经终止,但是信息处理者的信息处理行为可能还未终止。例如,网购平台在用户购物行为结束后依然留存用户姓名、联系方式、购物历史等相关信息,并据此为用户“画像”,分析其购物偏好并精准推送广告,此时留存行为、“画像”行为就是典型的信息处理行为。但是,此时合同已经终止,个人信息处理者不能通过“合同所必需”规则获得处理个人信息的合法性,而是应寻求其他合法性基础,否则便可能涉嫌侵犯用户的个人信息权益。
(二)适用的具体标准
个人信息上不仅承载信息主体的人格尊严和自由利益,还有使用者的利益和公共利益,应依据个人信息上利益之间的平衡构建个人信息使用规则。如何体现上述所涉及的信息自决与公平原则,则可以在借鉴欧盟规范的基础上,确立一种判断标准。
1.关联性标准
《个人信息保护法》第5条要求个人信息处理者应当遵循诚信原则,以合法、正当方式处理个人信息,合法即指获得个人信息处理的合法性,正当则排除以误导、欺诈、胁迫的方式处理个人信息。在“合同所必需”中,合法、正当为限制通过《用户服务协议》处理个人信息行为提供价值遵循。第一,“关联”是用户在签订合同范围内自行选择的服务内容。从合同自由原则看,“合同所必需”规则是基于双方当事人自愿达成的合同,但实际情况却是,尽管《用户服务协议》在法律性质上是个人信息处理者与信息主体经意思自治达成的对双方具有法律约束力的合意,然而,由于协议内容所涉服务众多,个人信息处理者不应仅凭同意《用户服务协议》获得个人信息处理合法性,还需要结合用户操作中所选择的服务。欧盟在判断关联时所采用的案例表明,其仅针对所使用服务内容一致行为而非合同中的所有服务。此处可参照欧盟《第2/2019号指南》第三十六项对于合同范围的规定,如果将几个不同的元素和服务捆绑,不能构成自由的同意的要件。因此,本文认为合法正当关联服务是用户直接使用的服务内容而非用户直接签订服务合同中的内容。
第二,“关联”应采取从严解释的方式,任何与提供的服务无关的均不能适用。欧盟对关联所采用的从严解释,为关联标准的认定提供了借鉴。合法、正当表明其源于用户使用的服务内容,但诸多的内容易关联,特别是当前网络服务中常见的广告服务、用户反馈机制等。如《腾讯服务协议》中列明广告服务内容,若允许腾讯依据规则获得广告服务的个人信息处理权利,则对用户而言显然达不到合同公平原则和合法正当的要求。因为用户使用服务时,根本不需要使用任何广告。广告仅是为了创造新的商业模式而允许服务商提供给客户,此时的个性化广告可以作为合同内容,但不宜以“合同所必需”作为其信息处理的正当性基础。换言之,广告业务并非必然需要处理个人信息。
2.必需性标准
《个人信息保护法》所确定的目的明确与最小化原则规定,处理个人信息应当具有明确、合理的目的,并应当限于实现处理目的所必要的最小范围、采取对个人权益影响最小的方式,不得进行与处理目的无关的个人信息处理。OECD发布《隐私保护和个人数据跨国流通指南》确定目的明确与最小化原则以来,该原则即被世界各国所普遍接受。具体而言,其适用条件包括:第一,目的明确在“合同所必需”规则中的适用包含履行合同的目的明确与使用限制两个方面,即在收集阶段时目的明确,在使用阶段不得与约定的目的相违背。合理的目的则是指个人信息处理必须是合理的,而非随意化的。学者认为“个人信息保护目的限制原则,一方面,目的应当足够明确,以使信息主体对个人信息的后续使用产生清晰的认识和预期;另一方面,个人信息保护与利用之间应保持良好平衡,故而不苛求目的范围的最小化”。在“合同所必需”规则中,基于与用户的服务协议,其目的本身是清晰明确的;同时基于用户实际所需服务,其目的不应超过合理范围。
第二,最小化原则在“合同所必需”规则适用中体现为范围最小和权益影响最小。《个人信息保护法》将目的明确与最小化原则放在同一条文中,是将最小化原则与目的明确相结合,以规制个人信息处理行为。“合同所必需”所适用的范围已被限缩,而“必需”则更进一步将在服务中的个人信息使用的范围限于最小,对个人信息权益影响更小。《必要个人信息规定》对常见类型APP的必要个人信息的范围作了界定,但该界定仅是针对最小化原则所作的释义,与“合同所必需”规则的“必需”仍有差别。因为“必需”需对信息处理目的与手段进行双重考察。基于此,在适用“合同所必需”规则时的范围最小基于可使用的最少信息判定。如《淘宝平台服务协议》中约定“在使用淘宝平台服务时,您应当按淘宝平台页面的提示准确完整地提供您的信息(包括您的姓名及电子邮件地址、联系电话、联系地址等),以便淘宝或其他用户与您联系”。按照现有关于必要的判断,其基本功能服务为“购买商品”,必要个人信息包括:注册用户移动电话号码;收货人姓名(名称)、地址、联系电话;支付时间、支付金额、支付渠道等支付信息。基于最小化原则进行的判断,并非“必需”。因为该规定是笼统性地限缩最小范围,而“必需”更应仿效欧盟进行限缩解释。此时如需要购买话费、点卡或是选择线下提货,其不应获得具体地址等非“必需”信息。同时,权益影响最小则考虑到替代性,如有其他权益影响更小的个人信息而对服务不产生实质影响时,应否定原信息获取的正当性。如基于用户固定位置使用打车服务,并非需要用户的精准定位,可以依赖用户提供的个人信息,精准位置信息只是使服务更便捷而非必需。
3.透明性标准
基于《个人信息保护法》第17条规定的“完整告知个人信息主体个人信息处理者的名称和联系方式、处理目的、处理方式、种类、保存期限、方式、程序等”,在个人信息处理者依据“合同所必需”规则获取个人信息处理合法性时,还需要履行告知义务。该告知义务与知情同意的告知有所差异:一是该告知不再需要经过用户同意,而仅为单向告知,因为此时信息处理行为已经获得个人信息处理的同意;二是该告知是一种承诺,信息主体可以依据告知内容追究个人信息处理者未按照告知内容进行信息处理的责任。《个人信息保护法》规定“公开个人信息处理规则,明示处理的目的、方式和范围”。欧盟的透明度原则要求在适用“合同所必需”时,个人信息告知规则应更加详细,尽管这会使用户服务协议或相关隐私政策更加冗长,信息主体更难以阅读,但不应因此而放宽对个人信息处理透明度的要求。此时可通过举证责任分配的方式,实现透明度原则要求的告知用户的目标,即个人信息处理者基于“合同所必需”规则使用个人信息时可以在隐私政策中标明或不标明,但在信息主体要求其解释或在诉讼中,由个人信息处理者对其适用“合同所必需”进行释明和举证,举证内容为符合“关联性”和“必需性”,通过责任的分配来平衡二者之间的关系。
(三)适用的限制情形
基于敏感个人信息上的多元权益和利用信息进行自动化决策的高风险性,《个人信息保护法》对其设置了禁止性规定,“合同所必需”规则受此限制。
1.敏感个人信息处理
《个人信息保护法》第28条采用概括与列举结合的方式界定了敏感个人信息。第29条将该类信息的处理条件限定为“取得个人的单独同意或书面同意”。因而,处理敏感个人信息应获得个人同意,不能适用“合同所必需”规则。但由于敏感个人信息条款所列举的各项信息具有的涵括性,因而,在适用时需要结合具体场景,从信息本身的敏感性和处理结果的敏感性两方面进行限制。
2.利用信息进行自动化决策
利用信息进行自动化决策可能带来信息茧房和大数据杀熟的风险,对此《个人信息保护法》第24条对个人信息处理者利用个人信息进行自动化决策进行了限制,要求个人信息处理者保证决策透明,保留了个人自主决定的权利。这表明,利用信息进行自动化决策的行为是基于信息主体的同意而获得合法性,“合同所必需”规则不能适用。
结语
在大数据时代,传统的知情同意规则已经无法适应数字经济的发展,作为知情同意规则在特定时代背景下的变种,“合同所必需”规则将对个人信息处理方式产生巨大的影响,同时也是我国与国际接轨并保持个人信息保护领域话语权的必然选择。但从实践来看,我国“合同所必需”规则实行时间较短,相关经验亦不丰富,应在学习借鉴欧盟立法思路基础上,立足我国实际需要,进一步完善相关配套规定和落地措施,为兼顾个人信息保护和信息产业发展提供坚实的法律保障。具体来看,应尽量在合同自由与公平原则的基础上,合理搭建“合同所必需”规则的基本框架,明确适用前提、适用条件、适用步骤和“必需”等相关要件的具体判断标准,从而确保“合同所必需”规则明确、完整地落地执行。