【数据处理活动应当遵循合法、正当、必要原则】
任何组织、个人收集数据,应当采取合法、正当的方式,不得窃取或者以其他非法方式获取数据。
法律、行政法规对收集、使用数据的目的、范围有规定的,应当在法律、行政法规规定的目的和范围内收集、使用数据。
【释义】
本条规定了对数据处理活动应当遵循合法、正当、必要原则。
《数据安全法(一审稿)》第29条存在用词不规范和语义重复的问题,《数据安全法(二审稿)》规范了用词,将“必须采取合法、正当的方式”改为“应当采取合法、正当的方式”,同时删除了最后“不得超过必要的限度”的表述,避免了与“应当在法律、行政法规规定的目的和范围内”产生歧义,要求法律法规对收集、使用数据的目的、范围有规定的必须严格按照规定进行,不必再考量“何为必要限度”的问题,对于数据处理活动的必要性要求更为严格,体现了法律用语的规范性和严谨性,正式通过的《数据安全法》延续了《数据安全法(一审稿)》中的表述。
数据在处理目的、处理方式等方面需要遵循一定的原则与规则。我国现行法中,《民法典》第1035条、《网络安全法》第41条[41]、《消费者权益保护法》第29条、《全国人民代表大会常务委员会关于加强网络信息保护的决定》第2条[42]、《互联网个人信息安全保护指南》第6.1条等规定,确立了处理个人信息应当遵循“合法、正当、必要”之原则,该原则同样适用于数据处理活动。数据共享应遵循合法、正当、必要原则。[43]欧盟《一般数据保护条例》(GDPR)第5条规定了个人数据处理原则“对涉及数据主体的个人数据,应当以合法的、合理的和透明的方式来进行处理;个人数据的收集应当具有具体的、清晰的和正当的目的,对个人数据的处理不应当违反初始目的”[44],即合法性、合理性和透明性以及目的限制。
“合法、正当、必要”原则本身具有抽象性,需要辅以相应的细化规则,以便司法适用。本条第1款规定了数据收集应当遵守合法、正当原则。合法原则是指司法实践中需要判断具体处理行为是否符合法律法规的具体规定。就最宽泛意义而言,法律对数据处理活动所施加的具体规则,都可以纳入合法原则的范畴内,即只要违背具体规则就意味着违背合法原则。合法原则更倾向于一种笼统的宣示意义,而非对法律适用的直接指导意义。正当原则而言,“正当”是一个伦理道德或价值判断意义上的词汇,通常而言合法的即正当的,例外情况是将伦理上不正当的行为评价为合法,而这种法通常会被认为是“恶法”。所以正当原则可以理解为给合法提供兜底,即对于一些行为与目的,法律没有给出明确的合法与否的评价,这时可以根据一般的伦理道德对其进行正当与否的评价。(https://www.daowen.com)
本条第2款体现数据收集使用应当遵循必要原则,虽然该条文在表述时删除了“不得超过毕必要限度”之表述,但“在法律、行政法规规定的目的和范围内收集、使用数据”从正面表述了法律和行政法规规定的“必要限度”,其本意在于说明数据收集使用活动应采用侵害最小的方式处理数据,应限于实现处理目的的最小范围,不得进行与处理目的无关的数据处理。
个人数据的利用应当遵循合法、正当、必要的使用原则。周某芳诉中国银行上海分行名誉权纠纷案[45],法院认为名义上的信用卡持卡人与银行之间因不良信用记录发生名誉权纠纷,法院应当依据侵权行为的要件进行审查。银行按照国家的相关法律法规及监管要求报送相关信息,其报送的信息也都是源于名义持卡人名下信用卡的真实欠款记录,并非捏造,符合数据获取合法性和正当性原则。中国人民银行的征信系统相对封闭,在只有本人或者相关政府部门、金融机构因法定事由才能对该系统内的记录进行查询,这些记录并未在不特定的人群中进行传播,特定主体必须在法律、行政法规规定的法定事由(目的)情形下才能够进行查询,符合必要性原则。
公共数据的利用也应当遵循合法、正当、必要的使用原则。公共数据作为促进经济发展的重要生产要素,应当鼓励市场主体对公共数据的利用和挖掘。但同时,对公共数据的利用应当合法、正当,不得损害国家利益、社会利益和其他主体合法权益,特别是不能损害数据原始主体的合法权益。2019年浙江蚂蚁微贷等诉朗动公司商业诋毁及不正当竞争纠纷案[46]中,被告朗动公司运营的企查查通过发布和向特定用户推送的方式,发布了针对蚂蚁微贷清算的企业信息,引发媒体广泛关注。该条清算信息系企查查抓取自全国企业信用公示系统的公共数据,但系蚂蚁微贷2014年企业年度报告出现的历史信息。首先,从“合法性”角度看,本案中原、被告公司同处于企查查大数据平台构建的数据生态系统中,蚂蚁微贷系原始数据主体,朗动公司通过国家企业信用信息公示系统抓取蚂蚁微贷的企业信息,虽然数据本身来源于公共数据,但是信息的发布和推送行为应当保持与蚂蚁微贷企业信息的一致性,不应因数据来源的公共属性,而损害数据原始主体的商业利益,不具有合法性。其次,从“正当性”角度来看,企查查平台提供的企业数据信息直接指向原始数据主体,基于征信大数据生态系统中数据与数据源之间的联系并未切断的特殊性,企查查平台提供的企业信息查询功能与原始数据主体之间具有唯一的对应关系。这种基于同一数据生态系统中的数据与信息的对应关系,将对蚂蚁微贷的市场竞争利益带来影响,并集中体现在蚂蚁微贷的商誉权上。商誉是经营者在经营过程中通过经营行为累积的社会整体评价,体现了经营者与消费者之间的信任关系,从这个角度讲,商誉具有财产属性,良好的声誉能够为经营者带来经济利益和竞争优势。由于信息发布行为造成的认识错误将导致用户企业或个人在交易时对其他经营者的经营状况、关联关系等产生错误的认识,无故减少其他经营者的交易机会、或增加经营者的交易成本和负担。朗动公司的行为损害了以信用为基础的市场竞争秩序,因此不具有正当性。
此外,本条属于不完全法条,在法律责任部分并没有对应的特别责任规定,这与《网络安全法》第44条[47]禁止对信息的非法活动相关规定的条文结构相似。因此需要依据法律责任部分的转接规定,作为确立一种法定义务的基础规范链接其他法律的适用。[48]
【关联规定】
本法第51条、第52条,《中华人民共和国民法典》第1035条,《中华人民共和国网络安全法》第41条、第44条
(撰稿人:程喆、赵精武)