个人信息保护制度的信义法进路：反思与修正

个人信息保护制度的信义法进路：反思与修正一文创作于：2023-04-12 06:04:46，全文字数：47114。

个人信息保护制度的信义法进路：反思与修正

��内部监督者”，其不需要信息主体转让信息权利就可以履行监督职责，这在确保有效制约信息处理者行为的同时，能够尽量降低信息主体的信息保护成本。

（二）信义义务的具体内容

在明确了将信义义务施加给个人信息保护负责人的可行性与必要性之后，还有必要对信义义务的具体内容加以讨论，以明确个人信息保护负责人需要在何种程度上对信息主体负责。现代信义法为受托人规定了两条最为重要的行为标准，即忠实义务和勤勉义务。[22]（第76页）除此之外，个人信息保护制度还具有其独立特性，因此需要在综合考量个人信息保护制度特性以及信义义务的情况下探索个人信息保护负责人信义义务的具体内容。

1.忠实义务

在信义法关系中，忠实义务是受托人对受益人所负担的根本性义务。[23]（第181页）忠实义务要求个人信息保护负责人忠实于信息主体并对其负责，必须为信息主体的利益服务，应当避免信息处理者的利益与信息主体的利益发生冲突。就此而言，个人信息保护负责人担负的忠实义务应当至少包含以下3层含义：（1）个人信息保护负责人应当确保信息处理者不得置身于与信息主体利益相对的地位；（2）个人信息保护负责人在履行制约信息处理者行为的监督职责时，不得以自身利益而为之；（3）个人信息保护负责人在履行监督职责时，不得为第三人利益服务。[24]（第149页）质言之，“不冲突”是忠实义务的核心要素，只有当个人信息保护负责人避免了来自其他主体（可能是个人信息保护负责人自身，也可能是信息处理者乃至其他信息主体）的利益对特定信息主体利益形成冲突，才能认为其针对这一特定信息主体履行了忠实义务。

2.勤勉义务

除了忠实义务之外，勤勉义务也是信义法上的核心义务之一，其要求受托人在处理信托事务时要像处理自己的事务一样小心谨慎，履行较高的善良管理的注意义务。勤勉义务主要对个人信息保护负责人提出了以下几项要求：（1）尽可能充分地履行监督职责，对信息处理者的各项信息处理活动进行审查，确保信息处理行为的合法性，预防个人信息侵权行为的发生；（2）当发现信息处理者或第三人从事个人信息侵权行为时，应及时阻止或督促信息处理者采取适当的保护行为；（3）在发生个人信息侵权行为之后，根据侵权情节严重程度，在必要时告知行政机关与信息主体。质言之，维护信息安全是信义义务的应有之义，只有当个人信息保护负责人在信息侵权发生前、发生中、发生后均采取安全保障措施，才能认为其履行了勤勉义务。

3.信义法上的其他义务

除了忠实与勤勉两大核心义务以外，信义法还为受托人规定了诸如亲自管理义务、过程记录义务、定期报告义务、保密义务等，[25]（第40页）这些义务因其核心本质在于增强委托人对信义法关系的信任基础，故同样适用于个人信息保护负责人。分述如下：

（1）亲自管理义务要求个人信息保护负责人应当亲自履行对信息处理者行为的监督与制约职责，而不得将该职责转让、转包给其他主体，因为信息主体信任的是个人信息保护负责人而非任何其他主体；（2）过程记录义务要求个人信息保护负责人将其履行监督职责的过程以工作日志的形式记录下来，做到监督行为有迹可循，便于信息主体随时查阅，增强监督的透明性；（3）定期报告义务要求个人信息保护负责人在法定或约定的期限内将其工作日志加以整合，并以监督报告的形式呈现给信息主体，增强信息主体与个人信息保护负责人良性互动；（4）保密义务要求个人信息保护负责人不得泄露任何与其职责履行相关的内容，鉴于个人信息保护与信息主体隐私存在紧密关联，施加保密义务同样有助于维护信息主体与个人信息保护负责人之间的信任关系。

上述信义义务均为法定义务，即个人信息保护负责人必须履行的强制性义务，这些法定义务为信息主体与个人信息保护负责人建立信任关系提供了制度性激励。在某种程度上讲，信息主体对之所以能够信任个人信息保护负责人，其实际上是信任立法为个人信息保护负责人设立的强制性义务。因此，法定信义义务的构建是维护两者信任关系必不可少的关键因素。但是，值得注意的是，立法上也应当考虑到不同信息主体对于个人信息保护需求的多元性，因此立法上也应当允许约定信义义务的存在，以便体现信息主体对信息处理行为的选择自由。

（三）必要的说明与限定

我们除了明确个人信息信义法保护思路的可行性、必要性，以及个人信息保护负责人承担信义义务的具体内容以外，还需要对个人信息信义法保护的性质、个人信息适用信义法保护的具体范围、个人信息保护负责人与信息处理者的关系、怠于履行信义义务的法律责任等方面展开说明与限定，以丰富其制度内涵。

1.个人信息信义法保护的性质

数据时代，使得传统信托理论产生并发展的因素正在受到理论和实践的双重挑战，但如果仅因挑战了传统信托理论就彻底否定个人信息保护负责人参与数据治理的可能性则存在因噎废食之嫌，因此需要对其加以积极探索。然而，实质上个人信息的信义法保护理念源于信托，但因其在信托主体、信息的财产属性、信息主体委托转让信息权利、信息权利转让后由谁控制等方面仍存在较大理论障碍，故不能直接适用于信托，仍需要更深入的理论研究。就此而言，为个人信息保护负责人施加信义义务更像是一种“非典型信托”，虽然借鉴信义法上的思路对保护个人信息具有较大价值，但其尚不能以信息信托的方式呈现。

2.个人信息适用信义法保护的具体范围

究其本质，为个人信息引入信义法保护思路是为了协调过于失衡的信息处理关系，换言之，处于平衡限度内的信息处理关系就不需要通过信义法的方式加以保护。至于如何判断信息处理关系是否处于平衡限度之内，则需要结合信息处理者的信息处理规模、信息认知能力、信息应用技术等。为此，不妨参照《个信法》第52条第1款，要求处理个人信息达到国家网信部门规定数量的个人信息处理者设立个人信息保护负责人并承担信义义务。如此一来，这不仅满足了制约大规模信息处理者行为的实践需求，亦不至于对个人信息的流通与利用造成过多干扰。

3.个人信息保护负责人与信息处理者的相互关系

个人信息保护负责人是信息处理者在立法的要求下专门设立的对外公开的透明监督部门，信息处理行为需要在个人信息保护负责人的监督下进行。信息处理者负有支付个人信息保护负责人履职报酬和费用的义务，个人信息保护负责人享有履行监督信息处理活动的职权，并在向信息处理者负责的同时，也需要对信息主体负责。实际上，信息处理者与信息主体的利益并不一定冲突，因为满足信息主体合理预期的信息处理行为才能保证处理者可持续发展和获利。正如林纳·卡恩和大卫·波曾所指出的，信息权利保护与生态环境保护的模型是基本吻合的，如果认为企业在河流中倾倒污染物，欺骗流域居民和行政机关，它们就可以为其股东赚到更多的钱的话，那就大错特错。因为这种“杀鸡取卵”式的掠夺性行为与实现股东长期价值最大化的管理责任相冲突，会最终导致股东权益价值下降。[26]（第23页）同理，将信息处理行为严格控制在信息主体合理预期内不仅有助于维护相互信任关系，其实质上更有利于实现个人信息在安全方面的长效治理目标。

4.个人信息保护

提醒您：因为《个人信息保护制度的信义法进路：反思与修正》一文较长还有下一页，点击下面数字可以进行阅读！

《个人信息保护制度的信义法进路：反思与修正》在线阅读地址：个人信息保护制度的信义法进路：反思与修正