收集、存储、使用、加工、传输、提供、公开等个人信息处理都应当遵循合法、正当、必要原则,并符合本条规定的征得信息主体同意、公开个人信息处理规则等各项具体要求。
(一)合法原则
处理个人信息应遵循合法原则。
合法是指法律法规对处理个人信息有规定的,处理者应当遵循法律法规的规定,其中基础性规范包括《民法典》《个人信息保护法》《网络安全法》《数据安全法》等的相关规定。
合法原则的内涵具体可分为两个方面:
其一,处理者处理个人信息必须具备法律法规规定的合法性基础。
依照《个人信息保护法》第13条的规定,如不存在该条第1款第2至7项规定的情形,处理者处理个人信息应当取得个人的同意。不同场景对同意提出了不同的要求,例如《个人信息保护法》第29条对敏感个人信息的处理提出了更为严格的要求,处理者只有在取得个人单独同意时方可处理。
其二,处理者在处理个人信息时必须履行法律法规为其设定的义务。
《个人信息保护法》以及相关法律法规为处理者设定了广泛的个人信息保护义务。
例如,《个人信息保护法》第五章规定了处理者采取必要措施保障个人信息安全、指定个人信息保护负责人、对个人信息处理活动进行定期合规审计并进行事前风险评估、当发生个人信息泄露时及时采取补救措施等义务。
(二)正当原则
处理个人信息应遵循正当原则。处理个人信息的目的和手段要正当,尤其是个人信息处理者应当依据特定的使用目的并将该目的告知信息主体,并在取得信息主体同意之后严格按照告知时的目的进行处理。
如果依照法律、行政法规的规定处理个人信息的,也应当严格按照法定目的处理个人信息。
《个人信息保护法》围绕使用目的特定具体设计了相关条款。
例如,《个人信息保护法》第17条规定个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知个人信息的处理目的、处理方式,处理的个人信息种类、保存期限等。
同时,第14条第2款还规定:“个人信息的处理目的、处理方式和处理的个人信息种类发生变更的,应当重新取得个人同意。”
这意味着如果在处理个人信息过程中,需要新增或者变更处理目的,应当重新取得个人同意,这是个人信息处理正当性原则的重要体现。
同时,正当原则也要求处理个人信息的手段必须正当,处理者在处理个人信息过程中不得强迫用户授权、或者以捆绑服务、强制停止适用等不正当手段强迫或者变相强迫用户提供个人信息,更不得以欺骗、窃取或者使用其他非法手段处理他人的个人信息。
(三)必要原则
处理个人信息应当遵循必要原则。必要原则,也称为数据最小化原则。为避免信息控制者利用订约优势过度收集个人信息,有必要从外部对个人信息的收集范围予以限制,以实现对信息主体合法权益的有效保护。
必要原则最能体现个人信息保护立法的根本制度功能,即在于限制采集,减少损害可能性。个人信息的处理应当限定在必要限度内,不得进行与处理目的无关的个人信息处理。
例如,《个人信息保护法》第34条规定:“国家机关为履行法定职责处理个人信息,应当依照法律、行政法规规定的权限、程序进行,不得超出履行法定职责所必需的范围和限度。”
同时,公民、法人和其他社会组织收集个人信息也应当限制在提供相应商业服务职能的范围内。此外,在目的范围内也要尽可能少采用或者不采用个人信息。目的特定就意味着目的实现,个人信息即不再必要。
因此,目的完成或者业务不再需要,法律没有规定需要继续保存时,就应当删除该信息。有些法律配置删除权给个人,在信息使用者不主动删除时,请求使用者删除不必要的信息。
(四)个人信息处理的具体要求
本条第1款第1至4项规定了处理个人信息的具体要求,在处理个人信息时应当具备相应的合法性基础,公开处理信息的规则,明示处理信息的目的、方式和范围,并且不得违反法律、行政法规的规定和双方的约定,不满足上述要求时的个人信息处理构成非法处理。
1.具备合法性基础
处理个人信息必须具备合法性基础。根据本条第1项规定,处理个人信息的合法性基础有二:一是告知同意;二是法律、行政法规的特别规定。
简言之,处理个人信息时,如无法律、行政法规的特别规定,应当遵循告知同意规则。
(1)一般规则:告知同意规则。告知同意规则,又称“知情同意规则”,是指任何组织或个人在处理个人信息时都应当对信息主体即其个人信息被处理的自然人进行告知,并在取得同意后方可从事相应的个人信息处理活动,否则该等处理行为即属违法,除非法律另有规定。
自然人同意是处理个人信息的基本依据,若自然人属于无民事行为能力或限制行为能力人,在得到其监护人同意的情况下也可以处理其个人信息。
告知同意规则包含了告知规则与同意规则,二者紧密联系,不可分割。没有告知,自然人无法就其个人信息被处理作出同意与否的表示;即便告知了,但没有充分、清晰的告知,自然人作出的同意也并非真实有效的同意。
反之,虽然充分、清晰地告知,却未取得自然人的同意,对个人信息的处理也是非法的,侵害了个人信息权益。
告知同意规则意味着:
第一,个人信息处理者对其处理行为合法与否具有更明确的预期。
第二,对于个人信息保护执法机构来说,告知同意规则为查处违法的个人信息处理行为提供了明确的标准。
第三,在个人信息权益民事纠纷案件的裁判中,告知同意规则是法院认定处理者应否承担侵权责任的重要标准。
关于告知同意规则中“同意”的法律性质问题,学界认识不一,主要有意思表示说、违法阻却事由说、双重属性说等学说。
上述学说均有一定道理,我们倾向认为,个人信息处理活动的“同意”,不完全等同于传统民法中的意思表示,二者既有区别也有联系。
第一,纵观各国和地区立法,个人信息领域的“同意”有着其特殊的适用规则,比如通行的“撤回同意”规则,不同于意思表示的“撤回”和“撤销”,不能用传统的民法理论进行严格意义上的逻辑推演。
第二,《民法典》第993条规定:“民事主体可以将自己的姓名、名称、肖像等许可他人使用,但是依照法律规定或者根据其性质不得许可的除外。”
尽管此处并未规定个人信息的许可使用,但从体系解释上看,第993条属于人格权编的一般规定,对于个人信息也可适用。许可使用又是典型的意思表示行为。
因此,对《个人信息保护法》中的“同意”的解读既不能脱离意思表示,又不能完全适用意思表示的相关规则,比如:胁迫、欺诈的可撤销。
(2)法律、行政法规的特别规定。处理个人信息可以不取得信息主体同意的例外情形,必须由法律、行政法规作出明确规定。
比如,《民法典》第1036条规定的情形既是处理他人个人信息可以免除民事责任的情形,也是处理他人个人信息无须取得信息主体同意的情形。
《个人信息保护法》第13条在《民法典》第1036条的基础上进一步细化,明确规定了个人信息处理活动的法定事由。根据该条第2项至第7项规定,基于如下事由处理个人信息的,不需要征得自然人或者其监护人同意:
第一,为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;
第二,为履行法定职责或者法定义务所必需;第三,为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;
第四,为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;
第五,依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;
第六,法律、行政法规规定的其他情形。
需要注意的是,告知是取得同意的前提,但告知义务并非依附于个体同意而存在。
“同意”的例外并不必然导致“告知”的例外。虽然在上述情形下可以不征得同意即处理个人信息,但并不代表可以同时免除告知义务。
例如,《个人信息保护法》第13条规定在“为应对公共卫生事件或者紧急情况所必需”的情形下处理个人信息可以不需取得个人同意,但该法第19条第2款又同时规定“紧急情况下为保护自然人的生命健康和财产安全无法及时向个人告知的,个人信息处理者应当在紧急情况消除后及时告知”。
也就是说,当法律、行政法规另有规定时,处理个人信息虽然不需要取得个人的同意,但并不当然免除信息处理者的告知义务。
2.公开处理信息的规则
公开处理信息的规则是公开透明原则的基本要求。公开并不是对个人信息内容的公开,而是对个人信息处理的过程与规则进行公开。
本条所规定的公开处理信息的规则主要是指信息处理者要将处理个人信息的基本程序进行公开,如收集处理的信息类型、信息处理者的身份、收集个人信息的目的等进行公开。
公开的方式包括两种:直接告知与公告。
针对特定人的公开,考虑到特定信息存在一定的保密性,一般采取直接告知的方式。直接告知的具体形式很多,一般以书面形式为准,比如通过信函、文字短信、电子邮件等形式,而情况紧急时也可以采用口头形式直接告知。
针对不特定多数人的公开,考虑到涉及大范围的公众利益,也是出于效率和成本考量,一般采取公告的方式,而公告的媒介可以是公文、报纸、网络等。
3.明示处理信息的目的、方式和范围
本条第1款第2项和第3项则规定了自然人同意生效的前提条件是:必须向该自然人履行告知义务,使其充分知悉收集和使用其个人信息的规则、目的、方式和范围,这是公开透明原则的重要体现。
处理者应当将相关事项等予以公开,自然人有权知悉其个人信息处理的一般情况。
在个人信息处理活动中,处理者掌握个人所不具备的技术优势,个人难以知晓其信息将以何种方式被处理,也难以了解其个人信息被用于何种处理目的,更难以预测个人信息处理活动可能产生的效果与影响。
基于算法的自动化决策或者辅助决策处理个人信息还有可能威胁个人的自主性或自主选择,对个人的行为进行控制或者对其施加不公正待遇,而个人却无法看清其中的规则,无法提出不同意见,也不能参与决策过程,只能被迫接受最终的结果。
为了强化个人在个人信息处理活动中的主体地位,保护个人对其个人信息以公平、公正的方式被处理得合理信赖,处理者应当在个人信息处理活动中严格遵循公开透明原则,明示处理信息的目的、方式和范围。
4.不违反法律、行政法规的规定和双方的约定
本条第1款第4项规定了处理个人信息必须不违反法律、行政法规的规定和当事人的约定。当然,当事人的约定必须以合法有效为前提条件。
本项规定还具有兜底条款的性质,为将来法律和行政法规规定其他禁止性行为提供了空间。由于个人信息的处理给民事主体所带来的风险是一种新型的风险,在当前的社会背景与技术条件下,很难预见到未来个人信息处理是否会产生其他侵害人身、财产安全的现象。
因此,人格权编对个人信息进行规定时,留有一定空间有利于应对未来出现的情形。
(五)个人信息处理
本条第2款规定了个人信息处理的典型情形,包括个人信息的收集、存储、使用、加工、传输、提供、公开等。
本款为不完全列举,其中的“等”属于“等外等”,虽未列举但在其他相关立法中出现的行为,也被本款“等”字所包含。
比如,《个人信息保护法》第4条第2款规定的“删除”、第10条规定的买卖行为、第21条规定的委托处理行为,第22条规定的移转行为等,均属于个人信息处理的范畴。
适用指引
一、关于有效同意的要件
我国《个人信息保护法》第14条第1款第1句对同意的一般有效要件作出了规定:“基于个人同意处理个人信息的,该同意应当由个人在充分知情的前提下自愿、明确作出。”
从这一规定可知,有效的同意应当具备三项条件:(1)充分知情;(2)自愿;(3)明确。此外,依据《个人信息保护法》第14条第1款第2句,如果法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的,从其规定。
也就是说,法律、行政法规规定的单独同意或书面同意属于特殊的有效要件。
(一)同意是个人在充分知情的前提下作出的
知情是同意的内在规范要求,同意的前提是信息控制者的充分告知,只有充分了解同意所针对的内容,权利人才能做出有效的同意。在明确了知情要素的基本要求后,还必须正确判断信息控制者是否尽到了告知义务,即其所提供的资讯是否足以使信息主体知情。
我国《个人信息保护法》第17条规定了个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知事项,从该条来看我国只规定了告知的可理解性,并未要求书面或电子形式,就信息处理者的告知义务范围,主要包括:
(1)个人信息处理者的名称或者姓名和联系方式;
(2)个人信息的处理目的、处理方式,处理的个人信息种类、保存期限;
(3)个人行使本法规定权利的方式和程序;
(4)法律、行政法规规定应当告知的其他事项。
(二)同意必须是个人自愿作出的
取得个人同意,可以理解为个人信息处理者处理个人信息的目的、方式等获得了相应个人信息主体的肯定、允许或认可。
结合前文所述,如果从意思表示的角度看,只有同意是在个人充分知情的前提下自愿、明确作出,这个同意才能被认定为个人的真实意思表示,从而认定个人信息处理者基于该同意处理个人信息的行为是合法有效的。
如果从违法阻却事由角度看,作为处理个人信息合法性基础的同意亦必须真实、自由作出,方才构成有效的违法阻却事由。
(三)同意必须是明确具体的
明确的同意并不意味着一定需要有书面和签字盖章的声明,甚至可以是口头的声明,但必须针对数据处理有特定、清楚的表示,有学者提出“明示同意”在规范要求上恰恰处在欧洲法的“同意”和“明确同意”之间。
明示同意与默示同意相对应,明示同意指的是以肯定性动作的方式表示同意,而明确同意指的是由明确的行为产生出来的同意,该行为应当是具体的和表达性的。
就同意的表达形式而言,有意见认为明确同意应包括明示同意,即明确同意不仅要求该同意是以明示方式作出的,而且强调同意的内容是特定的,而不能是模糊宽泛的。
有意见认为,应当明确在网络服务领域沉默(不作为)以及默示勾选的对话框不能构成同意。这是因为以默示方式作出的同意往往被推断为不明确和模糊的,默示同意实际上背离了知情同意规则。
如果从意思表示的角度看,个人信息保护中明示同意、默示同意甚至以沉默方式的同意也应遵循相关规范界定,尤其是沉默仅在法律规定、当事人约定或者符合当事人之间的交易习惯时才可以视为意思表示。
沉默在现行法上本就是意思表示例外的表达方式,因此,个人信息保护中的同意原则上也不能以沉默的方式作出。同时,有效的同意必须具体,即应清楚而精确地指明信息处理的范围和后果。
若某一信息处理活动的范围和后果无法限定,则该同意对其并不适用。所以从这个意义上来讲,同意的适用情形是有限度的。
同意必须针对信息处理的各个方面而作出,所以其所指必须明确,这些方面主要包含将要处理的哪种类型的信息以及为何种目的而处理。
如果不同的信息处理已经为信息当事人所合理期待,则原则上信息控制者只须就这类处理征求一次同意便已足够。相反,在不同的信息处理无法为信息当事人所合理期待时,信息控制者应当就每一信息处理行为征得信息主体的同意。
可见,具体作为同意有效的要素之一,其向信息处理者施加了分别征求信息主体同意的义务,保障了信息主体对其个人信息的控制权,便于当事人真正行使其信息自决权。
在比较法上,这一点也有所体现,根据《欧盟一般数据保护条例》的规定,如果数据控制者要基于其他新的目的处理数据,除非有其他合法性基础,否则必须寻求数据主体进一步的同意,而且不同处理目的之间要求一定的间隔尺度。
在这一点上,欧洲法上还进一步要求,数据处理者要就每个特定目的的数据处理告知数据主体相关的信息,以征得后者就每项处理事实的同意,如此确保数据主体能清楚意识到不同选择下会带来的具体影响。
二、关于侵害个人信息侵权行为的归责原则
侵害个人信息权益的归责原则,是确定侵害个人信息侵权责任的基本规范依据,是人民法院处理相关民事纠纷的基本法律遵循。
《个人信息保护法》颁布前,关于个人信息侵权的归责原则存在不同认识,司法裁判也不统一。
依照《民法典》第1165条第2款的规定,过错推定责任原则适用的基本要求是,“依照法律规定推定行为人有过错,其不能证明自己没有过错的,应当承担侵权责任”。
换言之,对于某一侵权行为是否适用过错推定责任要以法律对此情形作出具体规定为前提,如果没有相应法律对某一侵权行为明确要求适用过错推定责任,则无该归责原则适用的余地。
《个人信息保护法》第69条规定:“处理个人信息侵害个人信息权益造成损害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。”
该条明确了过错推定责任原则的适用,对审理个人信息保护纠纷案件意义重大。
就举证责任而言,考虑到专业能力及举证能力不对等的问题,从控制掌握证据的有利地位、便于查明案件事实以实质性解决纠纷的角度出发,依据过错推定责任原则的要求,信息处理者应当对其处理个人信息的行为没有过错承担举证责任,如果其举证不能,就应当依法认定侵权责任成立。在过错认定愈加客观化的背景下,这里的举证责任也是要更加聚焦在行为的违法性上,即信息处理者要对其行为的合法性承担举证责任。
至于原告方的举证责任,依据民事诉讼举证责任的一般法理,原告方应当对其受到的损害,明确的被告、被告的信息处理行为与其受到的损害存在因果关系承担举证责任。
但是考虑到侵害个人信息纠纷案件的特殊性,尤其是在网络空间涉及多个信息处理者的情形,明确的被告以及因果关系问题的举证都有一定难度,正因此,
如《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》(2020年修正)第3条第1~2款规定:“原告起诉网络服务提供者,网络服务提供者以涉嫌侵权的信息系网络用户发布为由抗辩的,人民法院可以根据原告的请求及案件的具体情况,责令网络服务提供者向人民法院提供能够确定涉嫌侵权的网络用户的姓名(名称)、联系方式、网络地址等信息。
网络服务提供者无正当理由拒不提供的,人民法院可以依据民事诉讼法第一百一十四条的规定对网络服务提供者采取处罚等措施。”
对于网络空间中涉及个人信息侵权案件中,可以直接适用上述规则。
