作
者:杨 旭
作者单位:北京师范大学法学院
责任编辑:洪 玉
全文已略去注释,如需查看,请订阅《法学》
【内容摘要】 行政法上关于“瑕疵”的理解存在狭义与广义之分。能被补救的行政行为瑕疵,限于“行政上微小的缺点”,且仅限于行政行为在实施程序方面的瑕疵(即程序瑕疵),及在事实与证据方面、规范依据方面的瑕疵(属实体瑕疵)。面向程序瑕疵与实体瑕疵的补救机制,分别为补正制度与理由之替换,二者均产生治愈行政行为违法性的效果。但行为意义上的替换理由不等于结果意义上的理由之替换:前者仅在一定范围内才产生治愈违法性的效果。在我国,补正行政行为程序瑕疵的时点被限于提起行政诉讼前,一旦进入诉讼阶段,补正的效果将被推翻。事实与证据、规范依据都属于可以为行政行为合法性提供支持的“理由”,适用理由之替换将面临三项限制:用作替换的证据必须在行政行为作出时就已被收集;不得因替换证据而架空法定的陈述意见程序或听证程序;不得因替换证据或规范依据而改变行政行为的同一性。
【内容摘要】 我国《个人信息保护法》第 13 条第 1 款第 2 项前段确立的履行合同必需规则为个人信息保护与合同法的规范互动提供了重要接口。以履行合同必需作为个人信息处理的合法性基础源于私人自治,但仅限于处理行为无涉或者较少干预人之尊严的例外情形,以避免架空信息主体同意制度。考察比较法上的限制路径可知,不论是欧盟数据保护委员会倡导的客观必要性标准,还是学者提出的主观必要性标准及其修正方案,均不能妥当协调合同自由与人之尊严的紧张关系。如欲彻底消除这种顾此失彼的困境,就必须严格区分个人信息保护与合同法两个不同层次,由此确立履行合同必需规则的双层构造。在合同成立且有效的前提下,只有为履行合同义务的处理行为纯粹服务于信息主体的合同利益,并符合目的关联性和对个人权益影响最小等标准,才能适用履行合同必需规则。依此对《个人信息保护法》第 13 条第 1 款第 2 项前段作目的论限缩, 便将个人信息商业化利用的各种场景排除在外,但其依然能满足数字经济中商业模式发展与创新的基本要求,所谓“必要个人信息”的概念也因此被重新构造。
【关键词】 个人信息处理 履行合同必需规则 合法性基础 合同自由 信息自决
◐
一、问题的由来
我国《个人信息保护法》第 13 条确立了处理个人信息应当具备的合法性基础,其中最具特色的莫过于该条第 1 款第 2 项前段规定的履行合同必需规则。据此,只要处理行为是为“履行个人作为一方当事人的合同所必需”,处理者便能依据有效的合同而无需信息主体同意,直接取得合法处理个人信息的法律地位。不同于作为纯粹个人信息保护法制度的信息主体同意,履行合同必需规则的构成要件与法效果横跨合同法与个人信息保护两个不同领域,为二者之间的规范互动提供了重要接口。然而,合同法奉行私人自治及合同自由原则,以当事人意思作为确立法效果之主要依据,而个人信息保护旨在贯彻信息自决(informationelle Selbstbestimmung)的价值理念,以维护信息主体利益作为核心目标,所以二者难免存在交叉、重叠,甚至冲突、抵牾。那么,究竟应如何妥当构造履行合同必需规则, 以实现不同法域之间的价值融通与规则整合?
仅就文义而言,《个人信息保护法》第 13 条第 1 款第 2 项前段的适用范围极其宽广。假如将所有种类的合同义务之履行均纳入其中,并对必要性标准作扩大解释,那么履行合同必需规则便能覆盖数字经济中许多常见的商业模式。例如,电子商务平台经营者有义务为用户提供交易撮合等服务,其为提升交易撮合的成功率即有必要处理用户的浏览痕迹、订购记录等个人信息;搜索引擎经营者也可以将个性化广告投放约定为服务内容,为此有必要处理用户的搜索关键词、地理位置等个人信息;网约车应用程序经营者为向用户提供优质、便捷的出行服务,也有必要处理用户的手机号码、行踪轨迹等个人信息。倘若完全奉行“合同即合法”的立场,承认这些商业模式均能以履行合同必需作为处理用户信息的合法性基础,则相当于将个人信息保护的任务主要交由合同法解决。
但这明显不妥。对于《个人信息保护法》第 13 条第 1 款规定的各种合法性基础,立法者明确强调应当以“告知—同意”为核心,并专门针对信息主体同意设有一系列规则;至于包括履行合同必需规则在内的其他合法性基础,只是“考虑到经济社会生活的复杂性和个人信息处理的不同情况”所作的例外规定。这种例外性便已暗含限制履行合同必需规则适用范围的必要性。不仅如此,最高人民法院关于《个人信息保护法》的释义书还在承认其例外性的基础上进一步指出,履行合同必需规则“将成为绝大多数业务场景下收集信息的依据”,所以“必须受目的限制原则的约束”,且不得据此“进行个性化营销”。不过,关键问题在于限制履行合同必需规则适用范围的实质正当性与具体路径。
为此,国家行政监管机关联合发布的《常见类型移动互联网应用程序必要个人信息范围规定》(以下简称《必要个人信息规定》)提供了一种可能的选择,即先界定“必要个人信息”的概念,再分别列举网络约车、即时通信、网上购物、求职招聘、旅游服务等三十九类 App 的“基本功能服务”与必要个人信息类别。但问题在于即便所选限制路径确属妥当,但囿于其所处效力位阶较低,尚不足以直接构成对履行合同必需规则的有效限制,毋宁还应通过对《个人信息保护法》第 13 条第 1 款第 2 项前段进行解释或者续造才能纳入其中。更何况能否由此化解合同自由与信息自决之间的紧张关系, 并实现不同领域众多规则之间无矛盾的整合,还应再作思量。
然而,对于履行合同必需规则的适用,学说上迄今尚无深入研讨。本文认为,为维护信息主体同意作为合法性基础的核心地位,从而将信息自决落到实处,就应对履行合同必需规则作出妥当限制。但要让处理者的合同自由不至于因此受到过分侵蚀,还必须严格区分合同法与个人信息保护两个不同层次,才能让不同方向的价值目标彼此相融。下文以《个人信息保护法》第 13 条第 1 款第 2 项前段为核心,先证成限制适用履行合同必需规则的正当性,再探寻妥当的限制路径及其具体适用。
二、限制履行合同必需规则
的正当性证成
之所以限制履行合同必需规则的适用范围,其实质正当性源于《个人信息保护法》第 13 条第 1 款第 2 项前段特殊的评价基础与规范配置。如前所述,个人信息保护旨在贯彻信息自决的价值理念,以维护信息主体利益为核心目标。然而,有别于同条第 1 款第 1 项规定的信息主体同意,履行合同必需规则只能部分而非完全地表达信息自决,其配套规则对个人信息的保护程度也相对较低,故而难以充分维护信息主体之利益。正因为如此,立法者及最高司法机关才明确强调履行合同必需作为处理个人信息的合法性基础仅具有例外性。
(一)信息自决在履行合同必需规则中的不完全表达
信息自决在我国现行法上虽无明文规定,但完全可以从整体法秩序中推导而出。《个人信息保护法》第 1 条开宗明义地将“保护个人信息权益”作为首要立法目标,而个人信息权益之所以应受法律保护,便是因为相关利益落入信息自决的保护范围。至于其确切的规范依据,则不仅如立法理由所言为《宪法》第 38 条有关人格尊严的基本权利规定,而且在于《民法典》第 109 条对人格尊严之核心价值的私法确认。作为超越公私法区分的价值型原则,信息自决并非仅仅被具体化为对公权力不当干预的防御权,还能够与其他价值相结合参与私人之间法规则的塑造与形成。根据德国联邦宪法法院在其著名的“人口普查案”判决中的经典表述,信息自决之要义在于“个人原则上有权自己决定其个人数据的公开与利用”。作为对人格尊严价值在个人信息保护领域的具体化,信息自决既包含人格发展的自由,在私法中尤其体现为私人自治及合同自由,又蕴含人之尊严。这种独特的双重价值内涵对包括合法性基础在内的各种具体规则之解释与续造具有决定性意义。
然而,《个人信息保护法》第 13 条第 1 款第 2 项前段却主要承载信息主体的私人自治及合同自由。作为其最核心组成部分,所谓“履行个人作为一方当事人的合同”要成为适格的处理目的,就必须以该合同成立且有效为前提,否则履行合同的义务便无从产生。合同成立要求双方当事人意思表示一致,那么作为其中一方的信息主体之意愿自然包含在内。即便在意思表示瑕疵等例外情形,需要信赖保护等其他价值的限制或者补充,私人自治及合同自由的核心地位也不因此受影响。合同有效要求不存在法律规定的效力瑕疵事由,如当事人自身能力不足、意思表示存在瑕疵、对强行秩序的违反等。这些消极性评价均围绕私人自治及合同自由而作出,要么是其内在的当然要求,要么为其所受外在限制。倘若合同不存在效力瑕疵或者不因效力瑕疵而归于无效,则双方当事人的合意便获法秩序认可,形成以权利义务为主要内容的合同关系。由于所涉合同往往通过格式条款的方式订立,还应在此基础上适用订入控制、效力审查等特殊规则,但这些均以私人自治及合同自由的实质化为核心而展开。
由此导致《个人信息保护法》第 13条第 1款第 2项前段并不能完整表达信息自决的双重内涵, 尤其难以充分顾及信息主体作为人之尊严。这就意味着履行合同必需规则尽管直接系于有效的合同, 但是无力充当合同场景下主要的合法性基础,毋宁应仅限于处理行为无涉或者较少干预人之尊严的例外情形。通常而言,仅凭有效的合同尚不足以合法处理个人信息,还应在此基础上根据该第 13 条第 1 款第 1 项取得信息主体的同意。换言之,聚焦处理行为对信息主体作为人之尊严的干预程度,不仅能够塑造履行合同必需规则背后特殊的评价基础,而且可以揭示限制其适用范围的深层缘由。
(二)履行合同必需与信息主体同意的规范落差
信息自决之双重内涵旨在强化个人信息保护,而其完整的规范表达则是信息主体同意制度。在逻辑上,信息主体同意与合同分处于不同层次,前者作为独立于合同的另一个法律行为,旨在履行基于有效合同所生给付义务,以此授予处理者处理个人信息的权限。而在履行合同必需的情形,处理者直接依据合同而根本无需信息主体同意便能合法处理个人信息,自然无需在合同中拟制所谓的“默示同意”。之所以将信息主体同意划归独立层次,是因为其不仅蕴含私人自治,而且承载人之尊严。这种对人之尊严的特殊考虑尤其体现为《个人信息保护法》专门针对信息主体同意所作的整套规定, 如第 31 条第 1 款规定的未成年人同意能力、第 15条规定的任意撤回、第 16 条规定的禁止捆绑等。从规范文义及体系脉络来看,履行合同必需的情形并不适用这些规定,毋宁围绕合同本身而诉诸合同法的一般规则。那么在对个人信息的保护强度上,两种合法性基础之间便形成显著的规范落差。
其一,无同意能力或者无行为能力的年龄标准不同。私人自治要求行为人自主决定自身事务,并对自己的决定负责。不过,未成年人心智发育尚不健全且缺乏经验,难以充分认识法律交往中的重要事项并作出理性决定,假如一概要求自我负责反而会使其遭遇不测损害。所以,法律为维护未成年人利益而创设行为能力制度,主要是以特定年龄为界否定其独立实施的法律行为之效力。根据《民法典》第 20 条,无行为能力的年龄标准为“不满八周岁”。但如前所述,在以信息主体同意作为合法性基础的情形,处理行为对其作为人之尊严的干预程度已不容忽视,所以相较于订立合同等普通法律交往而言,应当对未成年人独立作出同意的能力提出更高要求。《个人信息保护法》第 31 条第 1 款因而将未成年人无同意能力的年龄标准提升至“不满十四周岁”。与此不同,若能以履行合同必需作为合法性基础,则表明处理行为无涉或者较少干预人之尊严,此时要求未成年人具有应对普通法律交往的认识与决定能力即可,无行为能力的年龄标准应适用合同法的一般规则,也就是《民法典》第 20 条“不满八周岁”之规定。
其二,创设合法处理个人信息之法律地位的拘束力不同。法律行为所生效力对当事人应具有拘束力,这既是私人自治要求行为人自我负责的结果,又含有保护相对人信赖的考虑。然而,若基于信息主体同意处理个人信息,严格奉行法律拘束力反而难以充分实现其信息自决。因为个人信息处理是一种长期且持续的复杂过程,信息主体很难甚至不可能自始便完全理解并正确评判其后果与影响, 因此存在沦为客体或者单纯工具的危险,进而损害其作为人之尊严。于此情形,自我负责与信赖保护便应向人之尊严让步,由此打破法律行为的拘束力。所以,《个人信息保护法》第 15 条第 1 款第 1 句赋予信息主体以任意撤回同意的权利,使其能在事后重新修正此前允许处理其个人信息的决定,而合同效力却不当然受此影响。不同的是,在履行合同必需的情形,由于处理行为无涉或者较少干预人之尊严,自我负责与信赖保护便应居于主导地位。此时,处理者合法处理个人信息的法律地位直接基于有效的合同,应根据《民法典》第 119 条关于合同拘束力的规定承认其对双方当事人尤其是信息主体的拘束力。
其三,对处理者提出的与个人信息处理相关的交易条件之限制不同。私人自治旨在赋予行为人通过自主决定而追求自身利益的可能性。那么在订立合同的情形,双方当事人均可以提出对己方有利的交易条件,并有权拒绝对方与此不符的缔约请求。而在履行合同的过程中,假如一方当事人不遵守交易条件,则对方当事人也不必恪守约定,以免己方利益因此落空。之所以能相对宽松地拒绝订立或者履行合同,其前提在于双方当事人的利益处于同一位阶,因此在抽象意义上并无显著的高下之分。然而,基于信息主体同意的处理行为往往构成对其人之尊严的显著干预,信息主体利益应受更高程度的保护。所以,《个人信息保护法》第 16 条禁止处理者以信息主体同意作为交易条件,即“以个人不同意处理其个人信息或者撤回同意为由,拒绝提供产品或者服务”,除非处理行为“属于提供产品或者服务所必需”。与此不同,若以履行合同必需作为合法性基础,由于处理行为无涉或者较少干预人之尊严,无需信息主体同意即可合法处理个人信息,再加上处理行为为履行合同所不可或缺,自无适用禁止捆绑规则的余地。
由上可见,履行合同必需规则特殊的评价基础决定了其配套规则难以充分维护信息主体之利益。若不对《个人信息保护法》第 13 条第 1 款第 2 项前段过于宽泛的文义予以限制,便会架空诸如无同意能力、任意撤回、禁止捆绑等专门针对信息主体同意的整套规定。因此,必须确立信息主体同意在各种合法性基础中的核心地位,而履行合同必需规则只能适用于无涉或者较少干预人之尊严的例外情形。
三、以必要性为核心的
两种限制路径考察
我国《个人信息保护法》第 13 条第 1 款第 2 项前段中的履行合同必需规则继受自欧盟《通用数据保护条例》(GDPR)第 6 条第 1 款第 1 段(b)项前段,即“处理为履行数据主体作为当事人的合同所必需”。基于此,实务及学说提出了两种不同的限制路径,即客观必要性标准与主观必要性标准,而我国《必要个人信息规定》第 3 条第 1 句关于“必要个人信息”的界定则源于前者。
(一)基于客观必要性标准的限制路径
“客观必要性标准”(objecktiver Erforderlichkeitsmaßstab)的核心主张在于,只有为实现特定种类合同在客观上理解之特征性主要目的所必需的处理行为,才能直接基于有效的合同而具备合法性。我国《必要个人信息规定》第 3 条第 1 句将“必要个人信息”界定为“保障 App 基本功能服务正常运行所必需的个人信息,缺少该信息 App 即无法实现基本功能服务”。而其中“基本功能服务” 的概念则来自推荐性国家标准《信息安全技术 个人信息安全规范》(以下简称《个人信息安全规范》)关于“基本业务功能”和“扩展业务功能”的区分:处理者“应根据个人信息主体选择、使用所提供产品或服务的根本期待和最主要的需求”划定基本功能服务,此外的其他功能便属于扩展业务功能。这一区分与客观必要性标准具有密切的亲缘性,而后者则以欧盟数据保护委员会的观点最具代表性和影响力。
对于 GDPR 第 6 条第 1 款第 1 段(b)项前段中的必要性标准,欧盟数据保护委员会并未作严格界定,而是提供了一套判断其适用范围的操作指引。所持基本立场为必要性标准应具有体现数据保护法之目标的独立含义,并不包含对履行合同中的服务“有益处但并非客观上必需”的处理行为,即便其对处理者其他商业目的而言是必需的。换言之,所谓“客观上”构成对“必需”的限制,以排除仅对服务“有益处”之非必需处理行为。而要判断是否为履行合同所必需,并非简单评估“什么被写入合同条款或者为其所允许”,因为仅在合同中指涉或提及数据处理并不足以落入履行合同必需的范围;反过来,未被合同特别提及的数据处理也完全可能是客观上必需的。至于究竟何为“客观上必需”,欧盟数据保护委员会则援引第 29 条工作组此前对欧共体《数据保护指令》对应规定的阐释,即“必要性评估与遵从目的限定原则之间存在清楚联系”,其“重点为确定合同之确切目的(exact rationale),也就是其本质与根本宗旨(substance and fundamental objective)”。
然而,欧盟数据保护委员会的立场并不能完全令人赞同。这尤其是因为客观必要性标准既缺乏确定性,又不便于实践操作。不论是欧盟数据保护委员会和第29 条工作组所谓“合同之确切目的”“其本质与根本宗旨”,还是我国《个人信息安全规范》所称信息主体的“根本期待和最主要的需求”等, 均因为过于抽象而充满了评价因素,因此也被称为抽象评价式(abstrakt-wertender)标准。从表面上看,这种标准似乎取向于合同法中的“必要之点”(essentialia negotii)理论,但并不能消除因评价的开放性而产生的不确定性和操作困难。因为该理论本身的旨趣在于为判断合同成立与否提供最低限度的合意标准,而不直接触及个人信息保护问题,况且也无助于应对日趋复杂的多样化合同设计。尤其在数字经济的背景下,典型交易形态已非买卖等限于一次性交换的经典合同类型,毋宁是融合甚至超越各种类型的长期性合同,而且包含极其复杂的附属条款。此种必要性标准虽名曰“客观”,但无法提供相对确定的判断标准和简便、易行的操作流程,因而往往会流于判断者的主观恣意。
不仅如此,客观必要性标准还可能损及私人自治及合同自由。欧盟数据保护委员会反复强调当事人约定及合同条款对于界定必要性标准而言并不重要。然而,这种立场从根本上否定了私人自治, 与信息自决的价值理念背道而驰。再者,私人自治与合同自由构成了经济发展的根本动力,假如将所谓合同的“必要之点”等传统理论直接套用于数字经济,很可能会严重阻碍商业模式的多元化发展,有违我国《电子商务法》第 3 条明文确立的“鼓励发展电子商务新业态,创新商业模式”之法政策目标。由此看来,客观必要性标准明显存在为实现个人信息保护而忽视合同法的倾向。
(二)基于主观必要性标准的限制路径
“主观必要性标准”(subjecktiver Erforderlichkeitsmaßstab)的核心主张是,应以双方当事人在合同中所作具体且有效之约定也就是个案中的合同条款以及由此产生的权利义务为标准,判断是否属于履行合同必需的个人信息处理。之所以作此理解,理由一方面在于其符合 GDPR 第 6 条第 1 款第1 段(b)项前段“履行……合同”之文义,即履行双方当事人在合同中约定的义务,从而将私人自治与合同自由落到实处;另一方面,主观标准将必要性的界定交由合同解释规则解决,不仅符合当事人订立合同之基本预期,而且有利于提升个案裁判的可操作性。假如完全采此标准,个人信息保护的任务便主要取决于合同法,甚至有学者因此发出“从数据保护法到数据债法”的呼吁。但如前所述, 履行合同必需作为合法性基础难以充分顾及信息主体的人之尊严,因此不能完整表达信息自决的双重内涵。这主要体现为其配套规则在对个人信息保护的程度上明显弱于信息主体同意制度,所以才有必要对履行合同必需规则的适用范围予以妥当限制。而主观必要性标准恰恰与此背道而驰。
为此,有学者以当前数字经济中普遍存在的“信息 / 数据作为对待给付”(Information/Daten als Gegenleistung)之商业模式为观察对象,提出了主观必要性标准的修正方案。此类商业模式的典型情形为搜索引擎、社交网络等数字平台经营者虽不向用户收取金钱作为对价,但会收集大量用户信息并进行后续的商业化利用,再通过向第三方收取个性化广告费用等方式实现营利。除非在当事人明确约定的例外情形,否则移转个人信息等并非信息主体的主给付义务,毋宁构成整个合同尤其是处理者主给付义务的效力条件。尽管从文义上看,履行条件不属于 GDPR 第 6 条第 1 款第 1 段(b) 项前段规定的“履行……合同”义务,但仅此并不能将履行合同必需规则排除在外。因为二者在评价上并无实质区别,一旦承认履行信息主体主给付义务的情形落入履行合同必需的范围,那么在构成效力条件的情形至少应予类推适用。基于防止架空信息主体同意制度(尤其是其中的禁止捆绑规则) 并结合体系脉络等其他考虑,便应将 GDPR 第 6 条第 1 款第 1 段(b)项前段限于履行处理者一方的给付义务,而信息主体给付义务则应排除在外。由此,主观必要性标准便受显著限制。
然而,修正后的主观必要性标准并不能完全消除处理者通过合同设计“操控”合法性基础的可能性。因为处理者究竟负有何种义务虽取决于双方当事人的约定,但其内容往往来自处理者单方预先拟定的格式条款。例如,搜索引擎、社交网络等平台的经营者完全可以借此将个性化广告确定为其所负担的义务,那么处理用户信息便属于为履行合同必需的范围。只要将合同约定的处理者义务确立为决定性标准,就必定会激励更多的处理者通过主动“认领义务”的方式,将其处理用户信息的行为建立在履行合同必需规则的基础上,从而成功地规避整个信息主体同意制度。与此不同,在只约定提供搜索引擎、社交网络等服务,而不将个性化广告纳入合同义务的情形,移转个人信息等便因属于信息主体的给付义务或者整个合同的效力条件,只能以信息主体同意作为合法性基础。但在实质上,既然同样是个性化广告等个人信息商业化利用行为,便应在个人信息保护法上予以相同处理,而非产生这种明显厚此薄彼的评价矛盾。因此,修正后的主观必要性标准依然存在重合同法而轻个人信息保护的倾向,难以充分顾及信息主体作为人之尊严。
