衣俊霖｜论个人信息保护中知情同意的边界——以规则与原则的区分为切入点(11)

将原则作为中间层次嵌入价值与规则之间，是一种不二选择。首先，在法律规范体系中，原则本就发挥着对规则进行正当化的功能，故可作为价值与规则之间的桥梁，使价值与规则间的指涉关系兼具稳定性与灵活性。通过对具体规则和制度实践层面的反思与观察，可以识别、发现新的法律原则，亦可推动整个理论体系的融贯性。其次，从原则出发来分析法律规则是一种更加体系化的论证方法。借助对原则的具体化，方能在具体规则与基础价值之间形成“有意义的彼此联系”。处于中间层次的原则，恰好能填补基础信念与具体规则之间的空白。基础价值理论往往过于抽象，因而无法在制定具体规则的问题上提供细致的指引。相比之下，法律原则的抽象程度介于基础信念与具体规则之间，既提供了一个开展抽象讨论的对话空间，同时又不至于与案例或规则相脱节。另外，在具体法律部门中，已有借助原则来调和相互冲突的价值论的先例。
例如，罗伯特·莫杰斯就曾引入中层原则来建构美国知识产权法体系，对制度规则的正当性与合理性加以证成。在寻找知识产权的规范基础时，莫杰斯认为，无论功利主义、洛克式劳动理论抑或康德式道义论，都并非唯一正解，因此，他提出个人尊严、比例性、效率及公域保留原则作为重叠共识，试图在多元主义基础上展开法律说理。类似地，在个人信息保护的研究中引入法律原则作为价值与规则之间的中间层次，亦有利于推动学说之间开展法律议论。
个人信息保护的法律原则
提出个人信息保护的法律原则时，需正视多元利益的碰撞和冲突，避免单一向度的保护模式。自20世纪80年代至今，欧盟委员会、亚太经合组织、美国隐私保护委员会等政府和国际组织提出了一系列公平信息实践原则，并逐渐在立法实践中得到确认。公平信息实践系列原则的基本思想是：对信息处理者施加各类义务以保护处于弱势地位的信息主体。前述原则有着严格保护的倾斜性，缺乏对个人信息所附着之多元利益的综合考量。相比之下，我国信息产业快速崛起，企业作为新的利益相关方而出现。同时，国家数字化转型和政务服务升级的过程中，势必会伴随大量的个人信息处理活动。因此，我国个人信息保护的法律原则，更需注重对个人信息上的多元利益进行整体考量，在保护和利用之间寻找最佳平衡。结合个人信息保护的理论学说和立法实践，笔者认为以下五项原则对知情同意的规则边界发挥着重要影响。
1.正当必要原则
正当必要原则是个人信息保护的基本原则，在我国立法实践中一般采用“合法、正当、必要原则”的说法。由于合法属于形式合法性范畴，是内嵌于法律体系之当然要求和基本底线，与必要和正当的实质合法性要求处于不同层面。为使讨论更加聚焦，本文使用“正当必要原则”的说法，探讨个人信息处理中合理性和正当性的规范意义。正当必要原则一直在个人信息保护的相关法律中占有一席之地，可以说是最重要的实体原则，在各项原则中居于统领性地位。该原则对信息处理的目的与手段均加以规范。正当性和必要性的要求，分别可引申出目的限定和最小够用两方面的内容。一方面，收集和处理个人信息应当基于具体、明确、合法的目的，且不得以与该目的相悖的方式进行处理。若实施与处理目的无关的信息处理行为，则违背正当必要原则的要求；另一方面，对个人信息的处理活动，应限定在为实现特定处理目的之最小范围内，且不得将所收集的个人信息用于与处理目的无关的活动中。