个人信息保护制度的信义法进路:反思与修正
时间:2023-04-12 06:04:46
个人信息保护制度的信义法进路:反思与修正一文创作于:2023-04-12 06:04:46,全文字数:47114。
个人信息保护制度的信义法进路:反思与修正过重的负担而影响个人信息的流通,但又能满足制约信息处理者的实效,故而在一定程度上值得我国立法借鉴。四、修正:我国《个信法》中信义义务相关法律规范的调整
(一)引入个人信息保护负责人的信义义务及其与现有法律制度的兼容性
西方国家研究信息信托的根本原因在于大数据时代下信息主体与信息处理者的能力与地位失衡,传统的“告知-同意”规则不利于弱势方的保护,因而需要引入一种机制来约束信息处理者的行为,使其处理活动符合信息主体的合理预期,维护信息主体的信赖利益,进而达到保护个人信息的效用。在我国信息技术高度发达、信息主体与信息处理者关系愈发失衡的实践背景下,这种思路固然值得借鉴。但是,如前所述,美国发展出的“信息受托人”模式没有注重受托人的独立性,过于直接地给信息处理者施加了信义义务,导致信息处理者负担过重,不利于个人信息的流通与发展;而英国发展出的“数据信托”采取了完全由独立第三方信托机构作为受托人,信息主体需要转让个人信息权利才能完成信息信托的模式。这种模式不仅在理论和实践上均有障碍,亦会给信息主体带来额外负担,同样不利于个人信息的流通与发展。由是观之,信息受托人的角色不宜完全忽略其独立性,由信息处理者扮演;也不宜过于重视其独立性,由第三方信托机构充当。
因此,在肯定个人信息的信义法保护这一基本思路的前提下,应当避开上述制度障碍,寻找出一类具有“相对独立性”的主体承担信义义务:一方面,这一类主体应当具有独立性,鉴于信息信托的本质是对信息处理者行为的制约,使具有独立性的主体制约信息处理者不仅更符合逻辑,也更有助于维护信息主体的信任;另一方面,这类主体具有的独立性应该是相对的,这决定该主体不宜完全脱离信息处理者,仍需与信息处理者联系紧密,这有助于更为贴近和深入地将其影响力施加到信息处理行为的全过程。总结上述制度经验,结合我国信息实践、立法现状与前沿理论,笔者认为应当由个人信息保护负责人承担制约信息处理者行为、保护信息主体信赖利益的信义义务。
个人信息保护负责人,由《个信法》第52条第1款规定,对个人信息处理活动以及采取的保护措施承担监督职责的一类主体。类似于公司法中的监事,个人信息保护负责人发挥着监督信息处理活动,制约信息处理者行为的职责,是一种“内部独立监督者”。但是,两者不同之处在于,设立监事的目的是保障公司股东利益,而个人信息保护负责人设立的目的是帮助行政机关和信息主体共同监督信息处理者的行为。正如《个信法》第52条第2款的规定:“信息处理者应当公开个人信息保护负责人的联系方式,并将个人信息保护负责人的姓名、联系方式等报送履行个人信息保护职责的部门。”信息处理者应当公开其内部监督者的联系方式,便于信息主体与行政机关随时与个人信息保护负责人取得联系并了解信息处理者行为的监督情况。我国的个人信息保护负责人制度在一定程度上借鉴了GDPR第37条至第39条设立的“数据保护官”制度,但该制度的内涵与外延还不如GDPR那样丰富。研究发现,使个人信息保护负责人承担制约信息处理者行为的信义义务,不仅与其制度预期相一致,亦符合信义法保护的基本原理,还可以满足个人信息信义法保护的实践需求。因此,笔者认为,为个人信息保护负责人施加信义义务不仅具有可行性,而且具有必要性。
1.使个人信息保护负责人承担信义义务与其制度预期一致
要求个人信息保护负责人承担信义义务意味着其应当尽可能为信息主体的利益考虑,制约信息处理者的行为,避免信息处理活动侵害信息主体的权益。从《个信法》第52条的两款规定来看,创设个人信息保护负责人这一职位是为了便于社会公众和行政机关能够及时地、准确地监督信息处理者。就此而言,无论是信义义务的赋予,抑或是透明监督职责的履行,其本质均是立法上制约信息处理者,衡平信息处理关系所制定的规范,故两者具有一致性。
2.使个人信息保护负责人承担信义义务与个人信息保护立法目的一致
如前所述,《个信法》的立法目的除了维护个人信息权益之外,还包括促进个人信息合理利用与流通。因此,在制度设计时不能为信息处理者增添过于沉重的负担,否则将对信息处理者形成经济上的壁垒,打击信息处理者合法利用个人信息的积极性,最终将影响数字经济及信息社会发展的整体进程。就此而言,需要承担为信息主体利益考虑之信义义务的并非信息处理者整体,而仅是其内部的一个监督部门,依旧允许信息处理者的其他部门在合法范围考虑自己的经济利益。如此一来,对信息处理者的制约被限定在一个合理范围之内,不至于过度影响其从事信息处理活动的成本与负担,在一定程度上维护了个人信息合理利用与流通的利用。
3.使个人信息保护负责人承担信义义务符合信义法保护的基本原理
对个人信息保护负责人施加信义义务,除了需要与《个信法》以及个人信息保护负责人制度设立的预期一致以外,还需要符合信义法保护的基本原理。判断对个人信息保护负责人施加信义义务是否符合信义法基本原理,需要考虑以下几个方面的问题:(1)是否具有不平等专业能力。信义法关系建立在委托人与受托人专业能力不平等的预设前提之上,如果个人信息保护负责人具有监督信息处理者行为的专业能力,则满足了成为信息受托人的条件。(2)是否具有信任关系。正是因为信义法关系中专业能力的不平等,才需要信赖关系促成两者合作,故信任关系是信义法关系存在的基础。虽然个人信息保护负责人是信息处理者内部的监督者,但信息主体是基于信赖而非监督职权本身而授权个人信息保护负责人参与治理其个人信息,故如果个人信息保护负责人能够勤勉履行制约信息处理者的监督职责,就具有了成为信息受托人必不可少的要件。(3)是否签订符合法律规定的信托合同。依据我国《信托法》第9条,委托人与受托人必须就信托达成意思表示一致,并签订含有以下事项的信托合同:信托目的;委托人、受托人的姓名或者名称、住所;受益人范围;信托财产的范围、种类及状况;受益人取得信托利益的形式、方法等。如果信息主体在允许信息处理者收集个人信息之时,同时授权个人信息保护负责人监督其个人信息处理活动并签署信托协议,则满足了个人信息保护负责人成为信息受托人的要件。
4.使个人信息保护负责人承担信义义务可以满足信义法保护的实践需求
一方面,个人信息信义法保护实践需要信息主体与信息处理者之间相互信任。在个人信息保护的传统路径中,信息主体似乎很难相信信息处理者会对其自身行为进行良好约束。但是,如果信息主体发现有一个独立的部门制约信息处理行为并代表其切实利益,那么这种顾虑在很大程度上将会打消,或至少有助于构建信息处理者与信息主体之间的信任关系。另一方面,个人信息信义法保护实践需要降低信息主体的信息保护成本。第三方信息信托构想固然有助于增强信息保护力度,但该模式在效率和成本方面做出了过多牺牲,导致信息主体需要付出过多成本来维护自身个人信息,这无疑会打击信息主体的积极性,继而会对信息信托市场的发展造成诸多不良影响。为个人信息保护负责人施加信义义务,使其能够密切监督信息处理者的行为,从源头保障信息处理活动的合法性,有助于从供给侧优化信息处理行为。个人信息保护负责人作为
提醒您:因为《个人信息保护制度的信义法进路:反思与修正》一文较长还有下一页,点击下面数字可以进行阅读!
《个人信息保护制度的信义法进路:反思与修正》在线阅读地址:个人信息保护制度的信义法进路:反思与修正