任何权利的行使都是有其界限的,自然人对个人信息所享有的权益也不例外。
特别是在信息时代,信息的自由流通十分重要,信息时代人类社会所创造的巨大价值就是建立在信息的自由流通基础上的,如果信息处理者对任何信息进行任何处理都要花费不合理的成本来确定是否侵害他人的个人信息权益,或者允许信息主体频频打断信息的流通和传播,将严重影响信息产业的发展,整个社会也将会付出高昂的代价。
为了平衡个人信息保护和信息流转自由,本条规定了处理个人信息的免责事由,只要满足本条规定的条件,即便没有法律明确规定或者自然人同意,亦不需承担民事责任。
(一)在自然人或监护人同意范围内合理实施的行为
本项在内容上呼应《民法典》第1035条第1款第1项规定。
正如我们在《民法典》第1035条释义中提到的,告知同意是处理个人信息的重要合法性基础。除法律另有规定外,任何组织或个人在处理个人信息时都应当对信息主体即其个人信息被处理的自然人进行告知,并在取得同意后方可从事相应的个人信息处理活动,否则该等处理行为即属违法。
在征得该自然人或者其监护人同意后,行为人处理个人信息的行为就具有了合法性,只要是在同意范围内合理实施的行为,即使对该自然人的权益造成了影响,行为人也无须承担民事责任。这里需要注意的是,处理个人信息的行为必须是“合理”实施的,否则,不能免责。
例如,消费者允许电商处理自己的消费记录并向自己推送精准广告,但电商在处理该消费者的消费记录后,却不分白天黑夜频频向该消费者推送各种商品广告,对其生活造成了极大干扰,这种行为虽然是在该消费者同意的范围内实施,但不合理,并不能完全免除电商的民事责任。
(二)合理处理已公开的信息
1.原则上可以处理
已公开的个人信息是指权利人自行在网络上公开的信息或者其他已合法公开的个人信息。
已经公开的信息已经进入了社会公共领域,在某种意义上已经具有了公有物的性质。
对已经公开的个人信息只要其使用方式合法正当并且在合理的范围内,则不应当认定为侵害了他人的个人信息。因为这有利于促进信息的流动与合理利用,对于网络信息社会和数字经济的发展是有利的。
已经合法公开的信息通常为权利人自行向社会公众公开,已经经过权利人对个人信息利益的权衡,或是由于涉及公共利益而为特定机构或组织公开,例如通过合法的新闻报道、政府信息公开、刑事侦查、司法判决等渠道产生的个人信息。再比如依据网络报道、企事业单位依法公示等方式获得的个人信息,再次传播或公开原则上不能认为侵害个人信息权益。
对于这些信息的处理应该从两方面理解:
一方面,对于公开个人信息的收集和使用,原则上无须征得信息主体的同意,这为信息处理者合理使用并充分开发其中蕴含的价值提供了便利;
但另一方面,信息处理者在收集和使用这些公开的个人信息时,也应从诚实信用的角度,充分考虑自然人自身的合法权益,若其用途明显违背自然人的意愿,或可能对其合法权益造成严重侵害的,则不能仅以个人信息已经公开为由主张免责。
该个人信息必须是客观上已经公开的个人信息。所谓公开,是指信息主体向不特定的人公开,即不特定的人都可以通过合法的途径而获取该信息。
但是,如果信息主体只是在很小的亲友圈子内公开,如在微信的朋友圈中公开,那么无论该朋友圈中的人数是数人还是数百人,由于只有特定的人才可以获得该个人信息,只能认为信息主体是向该朋友圈中的特定人公开,而不能认为其已经公开个人信息。
已经公开的个人信息必须是自然人自行公开的或者其他已经合法公开的信息,也就是说,如果他人通过实施侵权行为甚至犯罪行为而非法披露或公开的个人信息,也不属于已经公开的个人信息,不能适用本条规定。
即便是对于已经公开的个人信息进行处理,也必须是在合理的范围内,即遵循正当、必要、限制等原则。
如果使用不合理,依然会构成对自然人的个人信息权益的侵害行为。这是因为,由于个人信息的保护对于维护自然人的人格尊严和人格自由具有很重要的意义,所以即便是已经合法公开的个人信息,也不得任意进行处理。
所谓合理与否,必须考虑两个方面:一是处理的目的是否合理;二是处理的方式是否合理,即如果有侵害性更小的处理方式时,就不能采取侵害性更大的处理方式。
2.例外情形
本条第2项规定,合理处理该自然人自行公开的或者其他已经合法公开的信息,但是该自然人明确拒绝或者处理该信息侵害其重大利益的除外。
也就是说,对于已经合法公开的个人信息,行为人原则上可以无须告知该自然人,也无须取得其同意,就可以进行处理,只要这种处理是合理的并且该自然人没有明确拒绝或者处理该信息没有侵害其重大利益。
一方面,即便是已经合法公开的个人信息依然受到《民法典》《
个人信息保护法》等
法律法规的保护,自然人对这些个人信息并不因其公开而失去控制的权利,其有权拒绝他人对这些信息进行处理。
另一方面,由于个人信息的保护对于维护自然人的人格尊严和人格自由具有很重要的意义,所以即便是已经合法公开的个人信息,也不得任意进行处理,如果处理该信息将侵害自然人的重大利益的,也要承担民事责任。
所谓“侵害自然人重大利益”的情形是指该处理将有害于自然人的生命、身体、自由、财产或其他重大利益。
比如,对于自然人在互联网上发布照片或者视频,尽管没有明确表示拒绝人脸识别,但是信息处理者使用人脸识别技术对其照片进行识别,已经超出了“合理”的范畴,对自然人的人格利益有重大影响,甚至可能侵害其隐私权、名誉权或者财产权等。
因此,擅自对自然人自行公开的人脸图像进行人脸识别,不属于《个人信息保护法》第13条第6项以及《民法典》第1036条第2项所规定的情形。
(三)维护公共利益的需要合理实施
1.公共利益
此处的公共利益主要包括国家公权力机关为了制定国家经济、社会政策的需要而处理有关公民的个人信息,或是为了国家安全、公共安全、公共卫生等处理相关个人信息,以及与刑事侦查、起诉、审判和判决执行等相关事务而需要处理的个人信息。
《个人信息保护法》第13条对此作出了更细化的规定:“
(三)为履行法定职责或者法定义务所必需;
(四)为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;
(五)为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息。”具体而言:
第一,为履行法定职责或者法定义务所必需。所谓的法定职责,包括法定职权和法定责任,是指立法机关、行政机关以及司法机关等公权力机关依据法律法规的规定而享有的职权以及必须履行的义务。
为确保公权力机关能够履行法定职责,为履行法定职责所必须处理个人信息的,不需要取得个人同意。
例如,《
出境入境管理法》第30条第2款规定:“申请办理外国人居留证件,应当提交本人的护照或者其他国际旅行证件,以及申请事由的相关材料,并留存指纹等人体生物识别信息。”
据此,外国人所持签证注明入境后需要办理居留证件的,必须向拟居留地县级以上地方人民政府公安机关出入境管理机构提供相应的个人信息。
再如,我国《
刑事诉讼法》第132条第1款规定:“为了确定被害人、犯罪嫌疑人的某些特征、伤害情况或者生理状态,可以对人身进行检查,可以提取指纹信息,采集血液、尿液等生物样本。”
显然,这种情形下,公安机关或检察机关为侦查犯罪而强制收集个人生物识别信息等,就属于履行法定职责,无须取得个人同意。所谓法定义务,是指信息处理者依据法律法规的规定而负有的义务。
法定义务的主体限于普通的民事主体即自然人、法人和非法人组织。我国法律中规定了很多的法定义务。
比如,根据《
反洗钱法》的规定,金融机构应当按照规定建立客户身份识别制度。金融机构在履行反洗钱的法定义务时所收集的用户相关个人信息,不需要取得个人同意。
又如我国《社会
保险法》《
劳动合同法》《
劳动法》《工伤保险条例》等法律法规要求,职工应当参加工伤保险,由用人单位缴纳工伤保险费,职工不缴纳工伤保险费。
据此,用人单位在为职工投保工伤保险时,就必须收集职工的相关个人信息,否则就无法履行该义务。再如,《
传染病防治法》第31条规定:“任何单位和个人发现传染病病人或者疑似传染病病人时,应当及时向附近的疾病预防控制机构或者医疗机构报告。”
据此,直接发现和疫情相关的信息应当主动向主管部门报告,不需要取得个人同意。
第二,所谓突发公共卫生事件,是指突然发生,造成或者可能造成社会公众健康严重损害的重大传染病疫情、群体性不明原因疾病、重大食物和职业中毒以及其他严重影响公众健康的事件。例如新冠疫情期间防疫部门对个人健康码、行程码信息的处理。
第三,为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息。
依据《民法典》第999条,为公共利益实施新闻报道、舆论监督等行为的,可以合理使用自然人的个人信息,使用不合理侵害民事主体人格权的,应当依法承担民事责任。
《个人信息保护法》第13条第1款第5项规定:“为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息”的,不需要取得个人同意。这两项虽然都明确了对个人信息的合理使用,但它们的侧重点不同。
《民法典》强调的是此种对个人信息的使用行为不构成对自然人的个人信息权益的侵害,《个人信息保护法》则强调的是无须取得个人的同意。
至于处理是否合理,是否构成对个人信息权益的侵权行为,则依据《民法典》的规定处理。
2.合理实施
为了公共利益,不经过自然人或者监护人的同意,行为人也可以处理个人信息。
但是,仍应当在合理范围内处理个人信息,否则行为人应承担相应的责任。“合理实施”体现了比例原则。
对个人信息的合理使用,在一定程度上会限制自然人的个人信息权益,因此,应当符合比例原则的要求。
所谓的合理范围,就是指无论是收集、加工、使用还是提供、公开等各种个人信息处理活动,都应当在服务于法律规定合理使用所希望达到的目的,没有超过该目的范围,同时,所使用的手段和方式也没有超过为实现该目的而可以采取的最缓和的方式。
如果不是合理实施个人信息处理行为,侵害民事主体合法权益的,应当依法承担责任。
此外,有关机构和个人即便为了公共利益,实施个人信息处理行为,也应当将相关的具体情况和理由尽快告知被收集者。在法律规定的目的实现后,相关的机构和个人也不得继续处理该个人信息。
在个人信息处理的目的实现之后,有关机构和个人应当及时删除相关个人信息,或者对相关个人信息进行匿名化处理。
(四)维护该自然人的合法权益合理实施
依据《民法典》第1036条第3项,为了维护作为个人信息主体的“该自然人合法权益”,可以不经过自然人或其监护人的同意而合理实施个人信息的处理行为,行为人不承担民事责任。所谓维护该自然人的合法权益,是指为了维护作为个人信息主体的自然人的人身财产权益。
例如,甲突发疾病而生命垂危,急需在掌握其既往病史等个人信息的基础上进行对应的抢救治疗,而又无法取得其本人或近亲属的同意。此时,为了挽救甲的生命,可以实施个人信息的处理行为。
值得注意的是,《民法典》第1036条第3项规定的是“合法权益”,相较于《个人信息保护法》第13条第1款第4项规定的“生命健康和财产安全所必需”,范围较大。
我们认为,为了保护个人信息权益,在判断是否属于“合法权益”时,应从利益平衡的角度出发,相关的利益至少应当不小于因为对个人信息的处理而给自然人带来的损害。
此外,需要注意的是,根据《民法典》第1036条第3项规定,维护“该自然人”合法权益,可以合理实施个人信息的处理行为。然而,根据《个人信息保护法》第13条第1款第4项规定,紧急情况下为保护“自然人”的生命健康和财产安全所必需的,可以实施个人信息的处理行为。
《民法典》第1036条第3项仅规定了维护作为个人信息权益主体的“该自然人”合法权益,没有规定维护其他民事主体合法权益时的合理使用。
这并不意味着《民法典》的规定与《个人信息保护法》的规定不一致。
因为如果是为了维护其他民事主体的合法权益而需要合理使用个人信息,那么该等情形属于紧急避险,完全可以适用《民法典》第182条。
适用指引
《民法典》关于个人信息权益的限制性规定
民法典是成文法的最高形式,具有高度的体系性和逻辑性。《民法典》对于个人信息权益的限制性规定构建了一套全面系统的规范体系。
(一)对个人信息合理使用的第一个规范层次在《民法典》第一编“总则”中
我国《民法典》第6条至第8条确立了民事活动应当遵循的三项基本原则,即公平原则、诚信原则、公序良俗原则,同时还分别在第131条规定:“民事主体行使权利时,应当履行法律规定的和当事人约定的义务。”
第132条规定:“民事主体不得滥用民事权利损害国家利益、社会公共利益或者他人合法权益。”民法的基本原则贯穿于全部的民事法律规范之中,是指导各种民事行为、民事立法和司法活动的根本准则。
此外,《民法典》总则编第八章“民事责任”对于不可抗力、正当防卫、紧急避险等免责事由的规定,原则上也适用于包括个人信息权益在内的所有民事权益,从而构成对个人信息权益的限制,除非《民法典》或者其他法律另有规定。
(二)对个人信息合理使用的第二个层面的规定是从人格权共通性或一般性法律规范角度作出的关于人格权限制的规定
这些法律规范主要规定在《民法典》人格权编第一章“一般规定”。
该章属于人格权法的总论或总则部分,是对人格权益的共性问题以及通用规则的规定。
故此,凡是《民法典》人格权编第二章至第六章以及其他法律中没有特别规定的,都可以适用人格权编第一章。[8]
(三)《民法典》对个人信息合理使用的第三个层次的规范,就是直接的、专门的针对个人信息作出的限制性规定
在法律上,规定权利的限制或者合理使用有两种方法:
一是从正面的、积极的角度规定,民事权益主体之外的组织或个人可以在没有取得民事权益主体同意的前提下,使用民事权益的客体或干涉其权益的行使;
另一种则是从反面的、消极的角度规定,即便行为人未经民事权益人同意而实施了某种客观上构成对民事权益侵害、妨碍或造成损害的行为,也不需要承担民事责任。
《民法典》第1036条就采取了规定处理个人信息免责事由的方式。
(四)侵权责任编中的限制性规定
由于我国《民法典》专设“侵权责任编”作为分则的最后一编,用以保护所有的人身权益和财产权益,因此,《民法典》侵权责任编中关于侵权责任的免责事由的规定,如第1174条规定的受害人故意、第1177条规定的自助行为也适用于自然人的个人信息权益,构成相应的权利限制。
