1、112 2023年第3期 西北工业大学学报(社会科学版)论非基于个人同意的个人信息处理与单独同意规则的体系解释李爱君孙彦东摘要:出于个人信息保护与利用相协调的目的,立法者对个人信息设置了与著作权法的合理使用规则类似的无需个人同意的个人信息合理使用规则,赋予了个人信息处理者在特定情形下无需取得个人同意而实施个人信息处理行为的合法性。合理使用规则对自主决定权的限制不能类推得出知情权同样被限制的结论。不同于通用数据保护条例对一般情形和特殊情形相区分的双层合理使用规则,我国并没有对特殊情形下的合理使用规则进行单独设置,因此产生了合理使用规则与单独同意规则在具体适用时的排斥竞合。在解释论视角下,通过体系
2、解释可以得出原则上单独同意优先于合理使用规则适用的结论。同时,限制个人知情权的例外条款可以作为个人信息合理使用规则的制度填补,在敏感信息等特殊场景下妥适地协调个人信息保护与利用的关系。关键词:敏感个人信息;合理使用;知情权;单独同意;知情同意中图分类号:D922.16文献标志码:A文章编号:1009-2447(2023)03-0112-16基金项目:教育部哲学社会科学研究重大课题攻关项目“数据法学内容和体系研究”(20JZD020)作者简介:李爱君,女,山东曲阜人,中国政法大学民商经济法学院教授、博士生导师,中国政法大学互联网金融法律研究院院长,研究方向为经济法、数据法;孙彦东,男,河北邯郸人
3、,中国政法大学互联网金融法律研究院助理研究员,中国政法大学民商经济法学院硕士生,研究方向为经济法、数据法。一、问题的提出尽管适用存在诸多困境,立足于“告知同意”进行立法仍然是目前的必然选择。1因此,长期以来学界对个人信息保护的讨论,多集中于“告知同意”的制度构建与困境应对。但是,在个人信息保护制度建构时,立法者并没有将“告知同意”作为个人信息利用与处理的唯一标准,而是选择将其作为个人信息处理的合法事由之一,同时留下无需“告知同意”的例外情形,使得在满足特定条件时个人信息处理者无需取得该个人信息主体的同意即可处理个人信息。此制度在逻辑上与著作权的合理使用制度相类似,故而在司法实践中法官生动地将其
4、称为个人信息的合理使用,实际上已有一些学者的研究关注到了此类非基于个人同意的个人信息处理,同样称此种“非基于个人同意的个人信息处理”为个人信息的合理使用。2,3故而,本文亦将此类无需取得个人信息主体同意的个人信息处理行为称为个人信息的“合理使用”。例如中华人民共和国个人信息保护法(以下简称个人信息保护法)第13条第2款规定了“履行合同或人力资源管理所必需”等六种无需取得同意的情形。立法者设立个人信息合理使用规则的本意在于协调个人信息保护与利用,但同时其也属于对自然人的人格权益进行一定限制和克减的规则,应当明确其界限并警惕其扩张化趋势。合理使用规则作为“告知同意”的例外,个人信息的合理使用并非基
5、于个人的“一般同意”,113 李爱君孙彦东:论非基于个人同意的个人信息处理与单独同意规则的体系解释那它与敏感信息、数据公开、信息跨境等特殊个人信息处理场景下的“单独同意”的关系为何,现行立法并没有明确规定。具言之,在“实施人力资源管理所必需”等情形下,如果个人信息处理涉及上述需要单独同意的场景,无需个人同意的合理使用规则与单独同意规则何者可优先适用,是无需取得个人同意,抑或需要取得单独同意?这个问题有待于对相关规则的进一步解释。如今中华人民共和国民法典(以下简称民法典)、中华人民共和国数据安全法(以下简称数据安全法)、个人信息保护法的立法已经完成,形成了较为完善的个人信息保护的制度体系。个人信
6、息保护的研究也有必要从立法论视角的法政策学研究转变为解释论视角的规则适用研究。因而本文拟立足于现行法律规定,对个人信息合理使用规则的制度构造及其对个人信息权益的影响进行研究,进而探究其与单独同意规则之间的关系,最终明晰特殊场景下两种规则在排斥竞合时的适用位阶,以解决个人信息保护与数据要素流通实践中可能出现的问题。二、个人信息合理使用规则的学理考察出于对个人信息权益的保护,“告知同意”规则已经被国际与国内立法所广泛采纳。诚然,在权益保护方面“告知同意”规则的确立可以很大程度上保障个人对其个人信息自主决定的权利,体现了立法对人格权益与私人自治的尊重与保护。4但随着信息社会的发展,人作为社会关系的总
7、和,其个人信息的利用将涉及更加多元的利益纠葛。5对个人信息的保护不同于对隐私权的绝对保护,关键在于构建个人信息保护与利用的良好合理秩序。6因此,立法者并没有将“告知同意”作为个人信息处理的唯一合法性基础,而是将其作为一般规则的同时亦留下了一定的例外情形,来弥补“告知同意”规则的不足。基于个人同意的“告知同意”规则是意定基础,非基于个人同意的“个人信息合理使用规则”是法定基础,二者共同构成了我国法上个人信息处理的合法性基础(lawful basis for processing)7,从而协调个人信息保护与其他价值之间的关系,这些例外情形就是本文所探讨的个人信息合理使用规则。(一)个人信息合理使用
8、的规则内涵所谓个人信息的合理使用,是指在有法律明确规定的前提下,不需要经过个人同意即可在合理限度内对个人信息进行的处理和利用。8其制度定位在于弥补“告知同意”过分刚性的不足,在特定情况下可以确保和促进个人信息的合理利用。若从立法技术方面评价,此规定并非一律允许或否定未经同意的个人信息处理行为,而是采用一个“原则例外”式规定,来表达立法者对个人信息保护与利用的倾向:首先,原则上应当优先保护个人的人格权益,只有取得个人的同意才可以进行相应的处理;其次,在少数情况下兼顾个人信息的利用价值,在有限列举的特定例外情形下不需要取得个人的同意而处理其个人信息。在国际视野上,欧盟通用数据保护条例(Genera
9、l Data Protection Regulation)规定了个人信息的合理使用规则,即“告知同意”仅为个人信息处理的合法性来源之一,除了取得同意外另行规定了不需要取得个人同意的个人信息处理情形。例如,在其第6条第1款列举的“处理的合法性”中,除了第a项为取得个人同意外,第b项至第f项列举了“履行契约所必需”“履行法定义务所必需”“维护其他人核心利益所必需”“维护公共利益所必需”等情形,这些情形就是取得个人同意以外的个人数据处理的合法性事由。9欧盟的这种制度设计方式被我国立法所借鉴,我国个人信息保护法第13条第2款规定“有前款第二项至第七项规定情形的,不需取得个人同意”,也即在“履行合同所必
10、需”“实施人力资源管理所必需”等情形下,个人信息处理者不需要取得个人的同意即可实施个人信息的合理使用。若从规范结构上分析,我国现行立法上的合理使用的规定可以分为两种类型:第一类,法律规定个人信息处理者无需获得个人信息主体的同意授权即可处理的合理使用;第二类,法律规定个人信息处理者处理自然人个人信息而无需承担责任的使用。前者通过免除同意授权而赋予未经同意的个人信息处理行为合法性,而后者则通过直接免除未经114李爱君孙彦东:论非基于个人同意的个人信息处理与单独同意规则的体系解释同意的个人信息处理行为的相关责任来赋予该处理行为合法性。当然,有学者提出,合理使用规则还包括不可抗力、正当防卫、紧急避险等
11、情形,作为抽象层次的合理使用10,鉴于它们为一般意义上的免责事由,暂不将其纳入本文讨论范围。上述两种类型没有本质区别,相应的个人信息处理行为均属于合法行为,可以阻却民事侵权责任以及其他法律责任。现行法体系下,第一种规定如个人信息保护法第13条的规定,若个人信息处理者处理个人信息属于为“履行合同所必需”“实施人力资源管理所必需”“为履行法定职责或者法定义务所必需”“为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需”“为公共利益实施新闻报道、舆论监督等行为”,以及“处理个人自行公开或者其他已经合法公开的个人信息”等情形时,不需要取得个人的同意即可对其个人信息进行处理;再
12、如,民法典第999条明确授权可以“为公共利益实施新闻报道与舆论监督”而进行个人信息的合理使用。第二种规定如民法典第1036条规定在“为维护公共利益或者该自然人合法权益而实施的处理行为”和“合理处理已经公开的信息”等情形下,即使未经过个人的同意,个人信息处理者处理个人信息不必承担民事责任。(二)个人信息合理使用的制度缘起民法典与个人信息保护法先后设置了同著作权的合理使用制度相似的个人信息合理使用规则来实现个人信息保护与利用的协调。民法典与个人信息保护法中的个人信息合理使用规则的立法目的存在一个变迁和演进的过程,并且个人信息的合理使用与著作权合理使用的制度特征存在一定区别。1.从维护公共利益到促进
13、信息利用的目的变迁个人信息的合理使用规则,最早出现在民法典第999条和第1036条。在全国人大的立法说明中明确表示该部分条文的立法目的是“构建自然人与信息处理者之间的基本权利义务框架,合理平衡保护个人信息与维护公共利益之间的关系”11。个人信息作为自然人的人格权益,本应受到法律的严格保护,但是同时个人信息也可能会涉及社会公共利益,例如言论自由与舆论监督等事项。此时,公共利益与个人利益就产生了价值冲突,从公共哲学的内在逻辑审视,“基本权利保障必须让渡部分自由给公共利益,公共利益反哺基本权利保障”,个人信息的合理让渡有利于实现功利主义效用最大化。12但立法的天平不应该完全倒向任何一方,通过立法来完
14、全剥夺个人的个人信息权益或完全忽视社会公共利益都是不可取的,而是应当通过规则与制度的预先安排对其进行一定的价值平衡。因此,我国民法典在确认自然人对个人信息享有人格权益时,并未规定自然人对其个人信息享有排他的、绝对的支配与控制13,而是通过规定处理个人信息不必承担责任的免责事项来构建个人信息的合理使用规则,例如在“新闻报道”“舆论监督”以及“维护公共利益”等合理使用情形中,个人信息处理者不承担责任。正如全国人大常委会的立法说明总结一样,这一阶段的合理使用规则主要是用来协调个人信息保护与公共利益之间的关系。但是,时代的现实需要决定了立法在个人信息保护和利用之间进行协调的情形并不局限于民法典的列举情
15、形,个人信息保护法第13条的个人信息合理使用规则应运而生。在全国人大常委会对个人信息保护法(草案)的说明中提到,因为“考虑到经济社会生活的复杂性和个人信息处理的不同情况”,而对“基于个人同意以外合法处理个人信息的情形作了规定”14,这一点也可以在个人信息保护法平衡个人信息的保护与利用的立法目的中得到印证。15这表明个人信息保护法中的合理使用规则不同于民法典中的合理使用规则,民法典中主要是出于公共利益的考虑,而个人信息保护法则增加了更加复杂的考量维度个人信息利用的效率。从信息化时代走向大数据时代,个人信息不再是单纯的人格权益,更是数据要素市场中数据要素的重要来源,个人信息的利用价值被立法者逐渐重
16、视。因此,个人信息不再只是涉及社会公共利益时被合理限制。个人信息和数据的相关立法的立法目的之一就是要促进个人信息保护与利用16,从而实现权益保护与整体效率的平衡。17这一结论同样可以从个人信息保护法合理使用规则的具体列举事项中得出,例如115 李爱君孙彦东:论非基于个人同意的个人信息处理与单独同意规则的体系解释“为履行合同所必需”“实施人力资源管理所必须”等情形不属于一般意义上出于维护公共利益目标的合理利用,而是属于“提高个人信息利用效率”的合理利用。若从功利主义法哲学视角审视,则是通过在保护自然人的个人信息权益的同时也进行适当限制来实现对于整个社会而言更大的“共同善”(common good
17、)18。2.与著作权合理使用制度似而不同的制度特征在制度逻辑上,个人信息的合理使用与著作权的合理使用十分相似,都是出于某种利益的考量而对既存权利(权益)进行一定的限制。著作权领域的合理使用制度是指在一定条件下不经著作权人的许可,也不必向其支付报酬而对作品进行的使用。著作权作为著作权人对其独创性作品享有的合法权益,本应被法律所保护。但是出于“促进社会主义文化和科学事业的发展与繁荣”的立法目的,立法选择通过设定合理使用规则对著作权进行一定限制,从而协调权益保护和作品利用之间的关系。著作权的合理使用制度使得公众在“个人学习、研究和欣赏”等情形下可以不经过著作权人的同意且不必支付报酬,从而促进知识与信
18、息的广泛传播,以最大限度地实现社会文化、科学事业的进步和繁荣。19但同时也通过有限列举和目的限制等方式对这种限制著作权的制度进行约束,试图在保护作者的著作权与限制作者的著作权中寻求平衡。20个人信息的合理使用规则与著作权的合理使用具有相似的特征,同样是规定在特定条件下无需经过个人信息主体的同意即可对其个人信息进行处理,同时也通过明文列举的方式对具体情形进行严格限制,从而实现个人信息利用与保护的平衡。但是,个人信息的合理使用与著作权的合理使用仍然存在一定的区别。其一,二者所限制的主要权益类型不同。在个人信息合理使用中,个人信息处理者无需取得同意即可处理属于人格权益的个人信息,因此合理使用所限制的
19、是自主支配与决定其个人信息权益的人格权益。21而在著作权的合理使用中,其他主体可以不取得同意、不支付报酬地利用著作权人的相关作品,主要限制著作权人的取得收益的财产权益22,在其他主体合理使用作品时作者的署名权等人格权益则仍然被法律所严格保护。其二,在著作权的合理使用中,著作权人不享有对合理使用情况的知情权,合理使用人无需告知权利人即可对作品加以合理利用。而对于个人信息的合理使用,个人依法享有关于个人信息处理情况的知情权,个人信息处理者原则上仍需要履行相应的告知义务。知情是权利遭到侵犯的权利人寻求救济的事实前提,如果无法得知其合法权益被侵害,权利人就不可能主动寻求对合法权益的救济。法学研究视域下
20、一般认为对人格权和人格利益的保护优先于财产权的保护23,个人信息合理使用所克减的权益为人格权益,对个人信息合理使用中个人知情权的保障体现了立法对人格权益更高程度的保护。三、合理使用场景下个人信息权益的限制(一)合理使用规则限制个人的决定权与撤回权撤回权是指个人有权取消其对自己已经作出的“同意信息处理者对其个人信息进行处理”的授权的权利24,而决定权是指个人有权限制或者拒绝他人对其个人信息进行处理的权利。二者的关系非常紧密,前者是通过决定是否撤回已有授权的方式体现个人对其个人信息的支配,后者是决定是否给予个人信息处理者授权的方式体现个人对其个人信息的支配,故在此处一并进行讨论。在个人信息保护领域
21、,立法者赋予了个人撤回权和决定权,以彰显个人对其人格权益的自主支配,体现了法律对人的主体性和自主性的尊重25,这是保护个人信息权益的意义和价值所在。二者都是当事人对其个人信息权益的支配体系的重要组成部分,在不同方面发挥协同作用。但个人信息合理使用规则是“知情同意”规则的替代制度,在个人信息处理者满足合理使用的条件时即可对个人信息进行相应的处理而不需要取得个人的同意,是对个人信息的自主支配利益的克减,这种克减将对个人的决定权和撤回权产生一定的影响。对于撤回权,依据个人信息保护法第15条,基于个人同意而处理个人信息的,个人有权撤回其同意,这一规则明确限制了个人享有撤回权的前提是“基于个人同意”而处
22、理其个人信息。因116李爱君孙彦东:论非基于个人同意的个人信息处理与单独同意规则的体系解释此,对于构成合理使用的处理行为,并非属于“基于个人同意”的个人信息处理行为,个人信息处理者处理其个人信息的正当性基础来自合理使用规则的法定授权,而非个人的授权同意。简言之,合理使用并非基于个人的同意,当然个人也没有撤回同意的权利。而对于决定权,依据个人信息保护法第44条的规定,个人有权自主决定(限制或拒绝)他人是否可以对其个人信息进行处理,但是“法律、行政法规另有规定的除外”。正面来看,这一规则表明当不存在其他另有规定时个人有权同意或者拒绝处理者处理其个人信息,表现为支配性权利。26同样也表示,如果存在其
23、他“另有规定”时,个人的决定权将会被限制。而依据个人信息保护法第13条“有前款第二项至第七项规定情形的,不需取得个人同意”的规定,此处的第2项至第7项其实就是本文所谓“个人信息的合理使用”,法律规定在构成合理使用时“不需取得个人同意”,属于法律对决定权的限制。因此,可以认为无需取得个人同意的合理使用规则属于个人信息保护法第44条规定的个人享有决定权的“另有规定”。综上,初步结论是在符合个人信息合理使用的条件时,个人原则上不再享有撤回权与决定权。原因在于决定权与撤回权共同指向的要素是个人信息自主支配利益,享有决定权与撤回权的前提是个人主体有“同意的权利”,而个人信息的合理使用规则正是立法者出于促
24、进信息利用的目的而对个人权利的克减,因此个人的决定权等自主支配利益受到了合理使用规则的限制。但是值得注意的是,个人信息保护法对合理使用的某些情形明确规定了个人享有可以拒绝的权利,此时个人的决定权因为法律的特别规定而恢复。例如,个人信息保护法第27条明确规定了“个人明确拒绝的除外”,因此对于“已经自行公开、合法公开信息”情形下的合理使用,当事人因法律的明确规定而仍享有相应的自主决定权,可以拒绝个人信息处理者对其自行公开和已经公开的信息的合理使用。而对于没有明确规定当事人享有拒绝权的情形,合理使用将仍然对其决定权进行限制,即无权拒绝个人信息处理者对其个人信息的处理。例如,当事人并不能依其决定权而拒
25、绝媒体为了公共利益而实施舆论监督的个人信息合理使用。综上所述,作为立法者出于信息利用效率考量而设立的规则,合理使用在一般情况下将限制个人的撤回权与决定权,但是在有特别规定时个人仍然享有决定权。(二)合理使用规则原则上不影响个人的知情权如前所述,在著作权的合理使用中,合理使用人无需取得个人同意,也无需告知著作权人即可进行著作权的合理使用,因而著作权人并不享有合理使用的知情权。对于个人信息的合理使用,同样是对个人信息权益进行了一定的限制,来实现个人信息保护和利用的平衡。可以明确得出的结论是,合理使用在一定程度上限制了当事人的自主决定权与撤回权,但是否会对知情权产生影响?依据个人信息保护法第14条的
26、规定要求个人在“同意”时要“充分知情”,那么“非基于同意”的合理使用是否需要达到“充分知情”的程度?若从现行个人信息保护法律体系进行考察,立法者对这一问题并没有进行明确的规定,这一问题的答案有赖于对个人信息合理使用规则的进一步解释。个人信息合理使用对个人信息的自主支配利益进行限制时是否对知情权进行限制,这一问题是个人信息利用的效率价值与个人信息保护的权益价值之间的价值衡量,实质是立法者出于效率的考量可以对个人信息的权益限制到何种程度。在逻辑上,这一衡量过程包括两个极限情况,就像是一个天平的两端:一端是在克减个人决定权的同时也完全克减对其个人信息处理的知情权,也即个人信息处理者在合理使用时不需要
27、征得当事人的同意,也无需履行相应的告知义务;另一端是克减个人决定权的同时完全不减损个人对其个人信息处理的知情权,也即在进行合理使用时个人信息处理者仍然需要履行同“告知同意”信息处理完全相同的告知义务,只不过不需要征得同意。天平的倾斜程度就代表了立法对效率与权利二者的态度倾向。由于个人信息影响到人格权、公共利益、国家利益等多方面关系,在相关规则进行制度构建与具体适用时应当注重对相关利益的协调。27从知情权条款的文义进行考察,个人信息保护法第44条规定了知情权,但知情权与个人的决117 李爱君孙彦东:论非基于个人同意的个人信息处理与单独同意规则的体系解释定权列于同一条款,二者均有“法律、行政法规另
28、有规定的除外”的表述。如何理解此处的“另有规定”,是解决此问题的重要突破点。如上文“合理使用与决定权的关系”部分所述,在理解决定权是否被克减时将合理使用规则归入了第44条的“另有规定”,原因在于第13条第2款的合理使用规则明确规定了“有前款第二项至第七项规定情形的,不需取得个人同意”,该种表述实质上是对决定权的克减。但是在此处,本文认为不可以简单一句“同理可知”,将合理使用规则同样地归入对知情权克减的“另有规定”,从而草率地得出知情权同决定权一样被合理使用制度所克减的结论。这是因为在第13条第2款的合理使用规则仅明确规定了“不需取得个人同意”,而立法并未直接表述“无需告知个人”。对于个人信息权
29、益而言,其属于民法典网络安全法个人信息保护法等法律明确规定的个人享有的人格权益。人格权是基本民事权利,与人格尊严直接相关,对其的限制应采取法律保留原则,对个人权益克减都应该有法律的明确规定28,而不应该草率地通过类推得出权益被克减的结论。依据个人信息保护法的基本原理同样可以得出否定的结论。因为“公开透明原则”是我国乃至国际个人信息保护领域的立法中的一项重要 原则29,这一原则要求个人信息处理者在处理个人信息时应当尽可能地保障个人的知情权。为保障个人知情权而建立和健全的良好信息披露机制,尽管给处理者带来了更大的合规压力,但可以使个人“保持清醒的在场”30,这是个人行使其他个人信息权益的基础。在个
30、人信息保护规则存在适用的模糊地带时,可以依据个人信息的基本原则进行解释,得出应当保障个人知情权的结论。因此,在没有明文规定对知情权进行限制时,不能通过类推解释将合理使用规则纳入对知情权克减的“另有规定”之中。实际上,个人信息保护法第17条规定了“个人信息处理者的名称或者姓名和联系方式”等个人信息处理者的告知义务的具体事项。从权利义务相对应的角度切入,个人信息处理者的义务实际上就是个人的权利。可以理解为,在法律没有明确规定豁免个人信息处理者的告知义务时,个人对其个人信息的处理享有相应的知情权。除上述论证外,从体系逻辑的一致性方面考虑,个人的知情权在合理使用场景下亦不应当被限制。“履行法定职责”是
31、个人信息保护法明确规定的个人信息合理使用情形之一,国家机关在“履行法定职责”时不需要取得个人同意。但个人信息保护法第35条的规定为国家机关确立了一般性的告知义务31,原则上“履行法定职责”时国家机关应当依法履行告知义务。只有在“法律、行政法规规定应当保密或者不需要告知”或“告知将妨碍国家机关履行法定职责”等明确规定的情形时其告知义务才被豁免。虽然履行法定职责属于第13条第2款的合理使用规则的情形,但在此处仍然需要履行告知义务。再如,对于“紧急情况下为保护自然人的生命健康和财产安全所必需”的个人信息处理,属于不需取得个人同意的个人信息合理使用。但个人信息保护法第18条第2款规定在该种合理使用情形
32、下“个人信息处理者应当在紧急情况消除后及时告知”,而非完全不需要告知。这两点可以从侧面印证以下结论:尽管个人信息处理的合理使用规则限制了个人的自主决定权(不需要取得个人的同意),但个人原则上仍然享有知情权(尽管可能在紧急情况下是嗣后告知)。(三)合理使用场景下告知义务豁免条款限制个人的知情权延续上文思路,个人信息处理者告知义务的豁免规则其实就是个人信息保护法第44条中减损个人对其个人信息处理的知情权的“另有规定”。此类“另有规定”如个人信息保护法第18条和第35条,规定了特殊情形下免除个人信息处理者的告知义务,在这些情形下个人对其个人信息处理的知情权被限制。反之,在无法满足有豁免告知义务的“另
33、有规定”的情形时,个人信息处理者的告知义务没有被豁免,个人仍然享有对其个人信息处理的相应知情权。总而言之,合理使用制度虽然是“告知同意”的例外规则,对个人信息权益进行了一定限制,但是这种限制主要表现在对个人的自主决定权的限制,并不必然可以对个人的知情权进行同样的限制,只有在法律有特殊规定(如豁免告知义务的规定)时,基于这些另有规定个人知情权才受到限制。32限制自主决定权和限制知情权的情118李爱君孙彦东:论非基于个人同意的个人信息处理与单独同意规则的体系解释形存在差别,而且在理论上免除告知义务的规定应当比无需取得个人同意的情形更加严格。33目前,有学者提出国家机关作为个人信息处理者时,可以分为
34、三种类型:“取得同意应当告知”“无需同意应当告知”和“无需告知无需同意”三种可能的情形。34其实,这三种类型的划分不仅适用于国家机关作为个人信息处理者的情形,所有的个人信息处理都可以采用这种划分方式,如表1所示。表1同意与知情的情形情形个人信息处理的法律依据取得同意-应当告知1.个人信息保护法第13条第1款第1项(取得个人同意)2.个人信息保护法第17条(告知义务)无需同意-应当告知1.个人信息保护法第13条第1款第27项(合理使用规则)2.个人信息保护法第17条(告知义务)无需同意-无需告知1.个人信息保护法第13条第1款27项(合理使用规则)2.个人信息保护法第18条、第35条(限制告知义
35、务)举例以说明:表中第一种情形是一般的“告知同意”情形,不再赘言。表中列举的第二种“无需同意应当告知”情形:用人单位为实施人力资源管理而处理个人信息,属于个人信息的合理使用,不需要取得个人同意。但由于用人单位的合理使用不属于法定免除告知义务的情形,则其仍然需要履行个人信息保护法第17条的告知义务,此时个人的知情权没有被限制。表中列举的第三种“无需同意无需告知”情形:对于侦查机关以收集处理嫌疑人个人信息为手段来实施的刑事侦查行为,属于“履行法定职责”的合理使用,国家机关不需要取得个人同意。同时,处理嫌疑人的个人信息属于个人信息保护法第35条规定的限制知情权条款中的“告知将妨碍国家机关履行法定职责
36、”的情形,此时侦查机关不需要履行告知义务,嫌疑人的知情权被限制。综上所述,只有在法定的特殊情形下(即上表中的“无需同意无需告知”情形),立法者才对个人的决定权与知情权进行“双重限制”,此时个人信息处理者既不需要取得同意,也不再需要履行告知义务。值得注意的是,对知情权的限制并非来自合理使用规则本身,而是来自限制个人知情权(豁免个人信息处理者的告知义务)的“另有规定”。若沿此思路,一个不可回避的问题是如何合理界定和理解“限制知情权的规则”。个人信息保护法第18条“有法律、行政法规规定应当保密或者不需要告知的情形的,可以不向个人告知前条第一款规定的事项”的表述方式,留下了一定的模糊地带。其中,对于明
37、确规定“应当保密”的情形无需过多讨论,不会产生过多争议;但对于“不需要告知”的情形,却有两种理解方式:一种理解方式认为“法律、行政法规规定”作为“应当保密”和“不需要告知”两种情形的共同定语,也即此处规定的是:“法律、行政法规规定”的“应当保密”和“法律、行政法规规定”的“不需要告知”两种情形35,36;另一种理解方式则认为“法律、行政法规规定”作为“应当保密”情形的定语,而“不需要告知”则作为与前项“法律、行政法规规定”的“应当保密”并列的单独一项情形。37,38前种理解方式意味着只有法律、行政法规明确规定“不需要告知”时个人信息处理者才不须告知,后种理解下的“不需要告知”涵盖范围则更加宽阔
38、,留下了实质判断是否需要告知的空间。此处宜采第二种解释路径,原因在于:其一,第二种解释路径有利于个人信息保护法与其他法律的协调,可以减少相应的立法成本。目前我国已有的法律规定一般是采取规定保密的方式,而“不需要告知”这一表述实质上是个人信息保护法的独创表述。由于其他法律并没有做出此种规定,此时如果严格要求“法律、行政法规”规定的“不需要告知”,该规则将无法与现有法律体系有效衔接。其二,第二种解释路径有利于个人信息保护法的内部自洽。目前,对于非基于个人同意的个人信息合理使用规则中的部分情形,若从成本效益方面考量本应纳入上文所提到的“无需同意无需告知”的情形,例如“为公共利益实施新闻报道与舆论监督
39、”以及“处理已经公开的信息”等情形时,如果要求处理者满足相应的告知义务,将会导致成本收益的失衡,甚至对于“处理已经公开的信息”,履行告知义务可能由于搜寻成本等问题而119 李爱君孙彦东:论非基于个人同意的个人信息处理与单独同意规则的体系解释不具有现实可行性,并面临实际操作上的障碍。39上述情形显然不符合“应当保密”的条件,同时个人信息保护法亦未明确规定其属于“不需要告知”的情形。如果采第一种解释路径,则相应的结论是“为公共利益实施新闻报道与舆论监督”以及“处理已经公开的信息”属于“无需同意应当告知”的类型,也即:处理者必须满足相应的告知义务。但这样的结论显然不具有现实可行性,同时也与个人信息保
40、护和利用相平衡的立法目的相悖。对于已经合法公开的个人信息,在学理上亦有观点认为个人信息处理者原则上无需履行告知义务即可自由处理。40因此,本文认可第二种解释思路:将“不需要告知”的情形作为一项实质判断事项,而非“有法律、行政法规规定”时的准用事项。此时,可以将“为公共利益实施新闻报道与舆论监督”以及“处理已经公开的信息”解释为无需告知的事项,从而达到妥适平衡个人信息保护与利用的目的。当然,此时何种情形属于“不需要告知”的指涉范围,需要进一步明确,防止实质判断空间的过度扩张。四、我国法中合理使用与单独同意的体系协调所谓特殊同意制度是指依据个人信息保护的有关法律的要求,在处理个人信息时区别于一般情
41、形下的同意条件,而采取特殊的同意方式,方能处理该个人信息的有关制度。特殊同意比一般同意在内容或形式方面有着更高的要求。例如,在欧盟通用数据保护条例中有区别于一般同意的“明确同意”(explicit consent);在韩国个人信息保护法中存在要求取得“另行同意”的处理情 形。我国民法典个人信息保护法等立法对于个人信息处理中的同意,亦采用了多元化而非一元化的设定模式41,个人信息保护法中存在一般同意和单独同意等特殊同意的区别。各法域的立法者之所以规定特殊同意制度,是为了在涉及个人信息处理的特殊场景时将法律的天平更加倾向于个人,更加严格地限制处理者的处理行为,体现了立法对个人信息权益的加强保护。4
42、2一方面,可以增大个人信息处理者的收集成本,防止其对个人信息权益的肆意侵害,另一方面,更加严格的告知义务和同意条件更可能唤醒个人的权利保护意识从而谨慎授权。43,44我国个人信息保护法中的特殊同意制度目前主要包括单独同意和书面同意:其中书面同意主要由引致条款规定,在此处不做赘述;单独同意主要包括“敏感个人信息的处理”“个人信息的公开”“非公共安全目的对个人图像、身份识别信息的收集”“个人信息的跨境转移”以及“向其他个人信息处理者提供个人信息”等类型。在上述场景下,如果没有取得相应的特殊同意,该个人信息处理行为则具有违法性45,应当承担相应的侵权责任。目前,最典型的特殊同意的场景是对个人敏感信息
43、的处理,诸如欧盟通用数据保护条例、日本个人信息保护法、韩国个人信息保护法以及我国个人信息保护法等现实立法均在个人敏感信息上提高了处理门槛,设置了更高程度的特殊同意要求。46因此,下文将以个人敏感信息的单独同意规则为例,探讨其作为特殊同意规则与个人信息合理使用规则的关系。(一)欧盟通用数据保护条例中合理使用规则的双层结构欧盟的通用数据保护条例作为公认的“最严格的个人信息保护规则”47,对个人敏感信息的处理采取了非常严格的制度设计“原则禁止,特殊例外”的处理原则。48一方面,原则上禁止处理个人的敏感信息,其第9条第1款规定,对于“种族或民族背景、政治观念、宗教或哲学信仰、工会成员、基因数据、为了特
44、定识别自然人的生物性识别数据、自然人健康以及个人性生活或性取向”相关的个人信息,原则上应当禁止处理。另一方面,即使处理者欲通过取得个人的同意来获得处理个人敏感信息的合法性,还需要取得个人的更高程度的同意明确同意(explicit consent),即该同意必须是“自由给予、明确、具体、不含混”的,个人的任何被动同意均不符合通用数据保护条例的规定。49值得注意的是,欧盟通用数据保护条例中的特殊同意是“明确同意”,与我国立法中的“单独同意”存在区别。50,51尽管其在规范表述120李爱君孙彦东:论非基于个人同意的个人信息处理与单独同意规则的体系解释和条件要求上存在不同,但二者在各自立法体系中均为严
45、格程度高于“一般同意”的“特殊同意”,在此意义上二者具有相似的地位。鉴于此,本文将以我国与欧盟法中的这两种地位相似的“特殊同意”与各自立法体系中的个人信息合理使用规则的关系作为研究对象。在本文第一部分已经提到,通用数据保护条例第6条第1款“处理的合法性(除了第a项为取得个人同意外)”属于本文研究之“合理使用规则”。但除此之外,在通用数据保护条例第9条“对特殊类型个人数据的处理”中,规定了处理个人特殊敏感信息的合法性事由,其中不仅包括更高程度要求的“特殊同意”,还包括了其他“非基于同意”的处理情形,同样属于本文所研究的“合理使用规则”。因此,在通用数据保护条例中,合理使用规则可以分为两部分,分别
46、是第6条第1款“处理的合法性”中除第a项“取得个人同意”之外的合法处理情形,以及第9条第2款“禁止处理敏感信息的例外”中除了第a项“取得个人特殊同意”之外的合法处理情形。其中,第6条第1款中的合理使用规则是合理使用的一般规则,而第9条第2款中的合理使用规则是敏感信息场景下的特殊规则,二者是特殊规则与一般规则的关系。依据特别法优于一般法的法律适用原则,在特殊场景下第9条第2款的合理使用规则处于优先适用的位阶。欧盟通用数据保护条例的双层合理使用规则,可以在敏感信息场景下对非基于同意的个人信息合理使用设置更高程度的条件与要求。例如,对于一般情况下的个人信息合理使用,依据通用数据保护条例第6条第1款第
47、d项的规定,当个人信息属于“处理对于保护数据主体或另一个自然人的核心利益所必要”的情形时,无需个人同意即可对个人信息进行处理;而在“种族、民族、个人性生活或性取向相关”等敏感信息的处理场景下,依据第9条第2款第c项的规定,个人信息合理使用需要满足“数据主体因为身体原因或法律原因而无法表达同意,但处理对于保护数据主体或另一自然人的核心利益却是必要的”的条件。相比之下,敏感信息场景下的合理使用被严格限制在“数据主体因为身体原因或法律原因而无法表达同意”的条件下。此种严格条件的设置并非孤例,实际上第9条第2款中的第b项至第i项均为对第6条第1款中的一般情形下的合理使用规则的严格与细化。综上,欧盟立法
48、中设置了双层合理使用规则,在敏感信息场景下通用数据保护条例第9条的“明确同意”作为特殊同意规则与特殊的合理使用规则的共同构成个人信息处理的合法事由,合理使用规则与特殊同意规则并不具有发生冲突的 可能性。(二)我国个人信息保护法视野下特殊同意与合理使用的规则冲突不同于通用数据保护条例对一般情形和特殊场景下合理使用规则的区分设置,我国并没有对特殊情形下的合理使用规则进行单独设置,因此产生了合理使用与特殊同意相关规则适用的冲突。我国个人信息保护法对敏感信息处理等特殊场景设置了区别于“一般同意”的“特殊同意”主要是“单独同意”规则(“书面同意”由引致条款规定),但却没有如欧盟立法中一样对于敏感信息等特
49、殊场景下个人信息处理的合理使用进行单独规定,只在第13条规定了单一的合理使用规则。基于此,在构成个人信息的合理使用的情形时,是否仍然需要取得个人的特殊同意?或者表达为,在需要特殊同意的个人信息处理场景下,“非基于个人同意”的合理使用规则是否还有适用的空间?这一问题实质上是合理使用与特殊同意的体系关系为何,对于这一问题现行法并没有给出明确的答案,仍有赖于对相关规则的解释。若从现行法考察,依据个人信息保护法第14条的规定,“基于同意”的个人信息处理,如果有法定特殊同意要求另有规定的需要取得相应的特别同意。再如网络数据安全管理条例(征求意见稿),其延续了个人信息保护法第14条的规定方式,第21条规定
50、“处理个人信息应当取得个人同意的,数据处理者应当遵守以下规定:(二)处理个人生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等敏感个人信息应当取得个人单独同意;”。这一规定同样只强调了:在涉及个人敏感信息的个人信息处理中,对于“基于个人同意”的个人信息处理,还需要取得121 李爱君孙彦东:论非基于个人同意的个人信息处理与单独同意规则的体系解释个人的“单独同意”,而没有明确规定“非基于同意”(即本文所谓个人信息的合理使用)的个人信息处理是否需要取得对敏感信息的单独同意。在这一点上,可以认为立法存在较大的模糊地带:从规则指向的反向理解来看可以得出疑问,“非基于同意”的个人信息处理是否同“
浙ICP备2021020529号-1 | 浙B2-20240490 
