- 中华人民共和国个人信息保护法释义
- 龙卫球主编
- 4861字
- 2022-07-29 16:12:42
第八条 【个人信息质量原则】
处理个人信息应当保证个人信息的质量,避免因个人信息不准确、不完整对个人权益造成不利影响。
【释义】
本条规定确立了信息质量原则,也称信息品质原则,是各国个人信息保护立法中较为普遍的基本原则之一。信息质量原则的核心要求是个人信息的准确性与完整性,避免个人信息处理活动的结果出现片面或偏差,而对个人权益造成不利影响。准确性是指,个人信息处理者应当确保所处理的个人信息与信息主体的事实情况相符;完整性是指,个人信息处理者为特定目的处理个人信息时,不应当存在遗漏、不全面等情况。
此次《个人信息保护法》在第8条对信息质量原则予以确认,不仅规定了对个人信息处理者保证个人信息质量的义务,而且还强调了该项要求的最终指向是对于个人权益的保护,回应了本法第1条“保护个人信息权益”的立法宗旨。信息社会中,个人信息的价值不再仅局限于“人格尊严和人格自由”,还开始承载起经济价值维度的意蕴,“为营销之目的而被广泛使用”[28]。个人信息处理者通过海量个人信息的收集、使用、加工等活动,就特定个人形成一系列相关的信息数据库。人不再仅仅是以生物体形式得以呈现的物理意义上的存在,海量的数据使得人的社会性开始更多地被数据加以描述,具体的个人信息甚至能够描绘出特定个人的“数字画像”。因此,在传统人格尊严的基础上,信息社会中的个人还需要面临其通过数据所呈现出的“数字化”的公共形象[29]。而不准确、不完整的个人信息不但会直接影响个人信息的价值,而且可能会使个人信息处理活动产生判断的谬误:较为轻度的负面影响,如基于错误的个人信息进行用户偏好分析,个人信息处理者所推送的无用营销广告可能会产生一定程度的骚扰;较为严重的负面影响,如不准确的征信信息可能会对个人正常的工作、学习和生活产生直接的限制和约束。从这一意义上而言,个人信息的质量(准确性和完整性)将会影响人格利益在数据维度所延伸的合法权益。《个人信息保护法》对于信息质量原则的规定,其意旨是对于信息主体人格权益的尊重和保护,避免个人信息合法权益受到损害。
个人信息的质量对于个人信息权益的保护具有重要的作用,因而成为其他国家和国际组织个人信息保护法制的基本要求之一。国际个人信息保护规则对于信息质量原则的要求,主要体现为个人数据应当准确、完整以及必要时及时更新。早在1980年,经济合作与发展组织制定了《关于隐私保护与个人数据国际流动的指针的建议书》,提出个人数据保护的八项原则,成为许多国家个人信息保护立法原则的基本内容,其中数据品质原则就要求个人数据应当与利用目的有关,并且对这些目的而言是准确、完整和最新的。此后,有关国家多通过立法将质量原则确立为个人信息保护法律原则的重要条款。例如,欧盟《一般数据保护条例》(GDPR)第5条个人数据处理原则中第1款第(d)项要求,个人数据应当准确,并在必要时保持更新;应当采取一切合理措施能够及时删除或更正对于数据处理目的而言是不准确的数据(“准确性”)。与GDPR第5条第1款第(d)项的要求相似,英国2018年《数据保护法》第38条将数据质量原则作为数据保护第四原则进行确立,并在此基础上细化规定个人数据的质量在传输或提供前应当被核实,采取合理措施确保不准确、不完整或未更新的个人数据不被传输或提供。日本《个人信息保护法修正案》第19条规定,“确保数据内容的准确性等。个人信息处理业,在实现使用目的必要的范围内,应尽力确保个人信息是准确和最新的,并在个人信息使用不再必要时,及时删除”。新加坡《个人数据保护法》(2020年修正)第23条规定了个人数据的准确性要求,“机构作出合理努力以确保由机构或代表机构收集的个人数据是准确且完整的,如果个人数据:(a)可能被机构用来作出影响与该个人数据相关的主体的决定;或(b)可能被该机构披露给另一机构”。韩国《个人信息保护法》(2020年修正)第3条第3项规定,“个人信息处理者应确保在达到处理目的所必要范围内,个人信息是准确、完整、更新的”。个人信息质量原则成为各国在个人信息保护基本法律原则方面的共识。
《个人信息保护法草案(一次审议稿)》第8条规定,“为实现处理目的,所处理的个人信息应当准确,并及时更新”。而草案二审稿和三审稿第8条规定,“处理个人信息应当保证个人信息的质量,避免因个人信息不准确、不完整对个人权益造成不利影响”。变化有三:一是将个人信息“应当准确”改为“应当保证个人信息的质量”;二是强调因数据质量导致的后果,即因个人信息不准确、不完整对个人权益造成不利影响;三是删除“及时更新”的表述。
对于《个人信息保护法》文本修改的理解以及本条规定的适用要点,主要包含以下三个要点:
第一,明确“个人信息的质量”是对于信息质量原则表述更加科学的扩展和周延。草案一审稿所采用的“准确”的表述主要是针对个人信息存在错误等现象,未能包含特定个人信息准确但不完整等情形。草案二审稿和三审稿采用了“保证个人信息的质量”的表述,丰富了个人信息品质的维度,将“质量”作为一项具体的要求,并且在条文中以准确性和完整性两个方面进行阐释,将个人信息缺漏可能对个人信息权益产生影响的场景纳入规制范畴。在具体适用时,个人信息处理者应当实现个人信息处理全生命周期的质量管理,形成数据质量内部控制机制以及相应的评估、监测、验核体系,根据应用场景和个人信息类型细化个人信息质量管理的具体标准。
第二,强调“避免因个人信息不准确、不完整对个人权益造成不利影响”,是对于本条立法意旨和判断标准的明确。《个人信息保护法》对于信息质量原则的要求,其落脚点仍然需要回归到本法第1条“为了保护个人权益”上来。本条规定的上位法依据源于《民法典》第1037条第1款的规定,自然人可以依法向信息处理者查阅或者复制其个人信息;发现信息有错误的,有权提出异议并请求及时采取更正等必要措施。与之相应地,本法第46条赋予个人在信息处理活动中享有更正补充的权利,个人发现其个人信息不准确或者不完整的,有权请求个人信息处理者更正、补充。个人请求更正、补充其个人信息的,个人信息处理者应当对其个人信息予以核实,并及时更正、补充。
第三,个人信息的时效性要求仍然属于信息质量原则的基本内容之一。草案二审稿和三审稿中将个人信息“及时更新”的要求删除,并非《个人信息保护法》对个人信息处理者在信息时效性义务方面的全盘否定,而是将信息时效性的要求与准确性、完整性的要求一并纳入“个人信息的质量”这一广泛的范畴之内。对于“及时更新”表述的删除,主要因为如果该条款在实践中得到严格执行存在较高的难度。许多个人信息处理者存储或囤积已失效的个人信息,这可能会产生新的合规问题:一方面,中小型个人信息处理者恐怕无法承担过于繁重的及时更新海量个人信息的合规义务;另一方面,依据本法要求对于存在第47条情形的个人信息处理者应当主动删除,但是个人信息的利用并不能仅局限于特定的目的,往往会随着场景、情势等因素的变化呈现出新的价值。因此,直接规定“及时更新”这可能会为个人信息处理者科以过于严格的法律要求,在一定程度上对产业发展产生阻碍效应。
对于信息质量原则的具体内涵在学界亦尚有争议,这些争论主要集中于个人信息处理者是否需要承担及时更新的义务。反对者认为《个人信息保护法》没有必要在文本中将及时更新作为信息质量原则的基本内容之一进行确立,信息的质量属于应由市场发挥资源配置决定性作用的范畴,不应给予个人信息处理者硬性的法律要求。[30]支持者认为及时更新作为信息质量原则的应有之义是各国个人信息保护立法较为普遍的做法,无论是对于个人作为信息主体的权益保护,还是对于个人信息处理者合理利用个人信息的相关活动,均具有积极效应。[31]亦有不同观点认为,信息质量原则中是否包含及时更新的要求应当视具体场景而定,如对于征信行业等个人信息的更新与信息主体权益密切相关的领域需要强调及时更新的义务。
那么,其中的关键在于,应当如何划定个人信息时效性要求的边界?从逻辑上来看,未能及时更新个人信息在实践中可能存在三种情况:其一,因未及时更新而不准确;其二,因未及时更新而不完整;其三,虽然完整、准确,但因未及时更新而无用。第一种和第二种情况均可以因循个人信息不准确或不完整直接适用本条规定,而就第三种情形而言,在适用时应当以是否会对个人权益造成不利影响为判断标准。就本质而言,这种时效性的要求是以必要性为区分规制的基础。从域外立法来看,对于个人信息保持更新的要求往往以“如有必要”为要件(where necessary)。从国内其他相关立法来看,如《信息安全技术 金融信息服务安全规范》(GB/T 36618—2018)中就时效性规定:“针对不同级别用户可以划分优先等级”,同样允许个人信息更新频率在一定时间段内的缓和。从《个人信息保护法》本身的规定而言,本法第46条规定了个人对于其个人信息请求个人信息处理者更正补充的权利,无论是“更正”还是“补充”,均可包含个人请求个人信息处理者更新其个人信息的场景。而对于这种情况,根据第46条第2款的规定,个人信息处理者应当“及时更正、补充”,在逻辑上包含个人信息处理者对于个人主张更正补充权时进行及时更新的义务。因此,个人信息质量原则对于更新要求的标准有二:一是从立法意旨的角度而言,未能及时更新的个人信息是否会损害个人信息权益;二是从体系解释的角度而言,个人信息的更新对于处理目的而言是否为必要。
【典型案例】
某蚁金融等与某动公司商业诋毁及不正当竞争纠纷案
该案主要针对公共数据商业化利用的合法性边界问题,选取该案作为典型案例的理由有二:第一,企业公共数据的保护与个人信息权益保护存在相通之处,个人信息是公共数据中最为主要的组成部分,司法裁判对于企业公共数据商业化利用合法性边界问题的探索,可以成为个人信息质量原则司法适用的重要参考;第二,举轻以明重,个人信息具有人格权益维度的价值利益,也承载财产权益维度的价值需求,企业信息商业化利用往往仅涉及特定企业主体在经济价值层面的具体利益,由此,企业公共数据商业化利用的具体规则可以为个人信息进入公共数据之后实现商业化利用的合法性边界,划定最为基础的底线,并且相关的裁判活动应当更加强调人格尊严保护在信息质量原则中的重要性。
2019年5月5日、6日,某动公司运营的某查查通过发布和向特定用户推送的方式,发布了针对某蚁金融清算的企业信息,就某蚁金融是否存在清算行为引发社会舆论的广泛关注。该条清算信息系某查查抓取自全国企业信用公示系统的公共数据,但系某蚁金融2014年企业年度报告出现的历史信息。[32]2020年4月26日,杭州互联网法院判决某动公司赔偿某蚁金融、某蚁微贷公司经济损失及合理费用60万元,并为其消除影响。[33]2020年12月2日,杭州中院二审维持原判。[34]判决书对于公共数据质量原则的具体裁判规则有所探索,提出“作为一种互联网经济下新兴的商业模式,公共数据收集类大数据企业对于收集、发布的数据信息仍具有基本的注意义务,对于发布的重大负面敏感信息,应当通过数据过滤、交叉检验等数据处理,确保数据质量,防止因信息发布行为的不当,误导相关公众,损害信息主体企业利益。”
该案例揭示了信息质量对于个人信息权益保护的重要意义。根据《个人信息保护法》第13条的规定,在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息,无需取得个人同意,个人信息处理者可以处理个人信息。又根据该法第27条规定,个人信息处理者可以在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;个人明确拒绝的除外。个人信息处理者处理已公开的个人信息,对个人权益有重大影响的,应当依照本法规定取得个人同意。因此,对于公共数据中个人信息的使用行为仍然需要遵守基本的注意义务,遵循《个人信息保护法》的一般规则和原则,其中应当包括必要的信息时效的基本要求。
【关联规定】
《中华人民共和国民法典》第1037条第1款,本法第46条,《征信业管理条例》第23条第1款,《个人信用信息基础数据库管理暂行办法》第6条,《银行业金融机构数据治理指引》第四章,《信息安全技术 金融信息服务安全规范》第4条
(撰稿人:徐玖玖)