【条文主旨】
本条是关于处理个人信息基本要求的规定。
【条文理解】
关于处理个人信息的基本要求,在《个人信息保护法(草案)》中,第5条规定:“处理个人信息应当采用合法、正当的方式,遵循诚信原则,不得通过欺诈、误导等方式处理个人信息。”《个人信息保护法(草案二次审议稿)》增加了不得通过胁迫的方式处理个人信息。在正式出台的《个人信息保护法》中,则明确将“合法、正当的方式”纳入处理个人信息要遵循的基本原则范畴,同时增加了“必要原则”。现就本条的规定解读如下。
一、个人信息处理基本原则的沿革
本条是个人信息保护的核心条款,明确了个人信息处理的基本原则。在以往的立法中,《全国人民代表大会常务委员会关于加强网络信息保护的决定》第2条规定了网络服务提供者和其他企业事业单位在业务活动中收集、使用公民个人电子信息,应当遵守合法、正当、必要的原则,该规定确立了个人信息收集与处理的合法、正当、必要的基本原则。此后的《
网络安全法》第41条采纳了这一原则。《
消费者权益保护法》第29条也规定:“经营者收集、使用消费者个人信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经消费者同意。经营者收集、使用消费者个人信息,应当公开其收集、使用规则,不得违反法律、法规的规定和双方的约定收集、使用信息。经营者及其工作人员对收集的消费者个人信息必须严格保密,不得泄露、出售或者非法向他人提供。经营者应当采取技术措施和其他必要措施,确保信息安全,防止消费者个人信息泄露、丢失。在发生或者可能发生信息泄露、丢失的情况时,应当立即采取补救措施。经营者未经消费者同意或者请求,或者消费者明确表示拒绝的,不得向其发送商业性信息。”在总结以往经验的基础上,《
民法典》对于个人信息处理的基本要求作出了规定,其第1035条第1款规定了“应当遵循合法、正当、必要原则”。《个人信息保护法》在此基础上再进一步。二者相较,《个人信息保护法》增加了“诚信原则”的要求。本来,在《民法典》规范中,通过对《民法典》关于诚信原则的体系化解读,诚信原则当然要适用于个人信息保护领域,本条的这一规定应该属于《个人信息保护法》将《民法典》中的诚信原则在个人信息保护领域予以了突出强调。本条对此作了进一步明确。
二、个人信息处理基本原则的内容
依据本条规定,个人信息处理应当遵循以下原则:
其一,合法原则。这一原则要求所有对个人信息的收集和处理的活动都要符合我国的法律规范,这里的法律规范不仅是指民法中的相关内容,还包括其他部门法对个人信息保护有所涉及的内容,如《
电子商务法》《网络安全法》以及最高人民法院的相关
司法解释等。合法原则的核心要求是个人信息的收集、处理应当具有法律依据,并且符合所有的法律要求。[1]比较法上,GDPR第5条第1款a项规定,对于设计数据主体的个人数据,应当以合法、合理和透明的方式进行处理。具体而言,合法原则主要包含如下两方面的内容:第一,收集、处理信息的主体必须合法。何种主体有权收集、处理他人的个人信息,需要依据法律的规定来具体确定。通常个人信息的收集、处理机构主要有两类:一是法律授权的主体,如国家机关(包括权力机关、立法机关和司法机关等)。无论当事人同意与否,有关部门都可以在法律授予职权的范围内依法收集、处理和利用个人信息。[2]二是获得信息主体同意的信息收集机构。例如,信息主体出于参加某项活动的需要,填写某些表格或申报个人信息;为登录某些网站而填写某些信息。信息的收集者都可以经过当事人的同意而成为合法的个人信息收集者。第二,收集、处理个人信息的手段必须合法。除要遵守《民法典》及本法中有关个人信息收集、处理的规范外,例如个人信息的收集必须基于自然人或者监护人的同意,还要尽到收集、处理信息的相关公开公示义务,保证自然人的知情权,《网络安全法》等还对个人信息收集、处理者有关行为规范提出了特别要求。本法第10条规定的“任何组织、个人不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息;不得从事危害国家安全、公共利益的个人信息处理活动”等,以及后续规定的个人信息处理规则都是处理个人信息合法原则的具体化。在此需要注意的是,本条规定的适用,要注意与《民法典》第1035条第1款第4项规定相衔接,该项明确要求处理个人信息不得违反法律、行政法规的规定和双方的约定。这也是对合法性原则的具体化。对于处理个人信息,
法律法规未作规定的事项,信息处理者还应当遵循相关行业规范和目前一些行业组织已制定的相关个人信息保护自律规范。[3]有关部门规章,比如工业和信息化部制定的《电信和互联网用户个人信息保护规定》,信息处理者也都要严格遵循,不得违反。
其二,正当原则。这一原则较为抽象,需要在审判实践中结合具体案例判断。通常而言,正当原则是指处理个人信息的目的和手段要正当。有观点认为,正当原则包括业务正当性,指个人信息的收集、使用应当是其开展业务所需要的,不得超出其业务能力范围开展信息收集活动;还包括目的正当性,一般而言,私法主体收集、使用目的是否正当,法律不过多干涉,只要该目的在社会的惯例和人们认识中合理即可。[4]根据GDPR第5条第1款2项规定,个人数据的收集应当遵循具体的、情形的和正当的目的,对个人数据的处理不应当和此类目的不相容。我们认为,正当性原则通常是要求进行信息收集和处理的目的和手段要正当。目的正当,一方面要求信息收集者不能超越法律规定或者商业机构事先确定的目的收集其他信息。如房产登记机构可以收集与财产登记相关的个人信息,而不能收集与登记无关的其他个人信息。另一方面,不能将收集的信息作超出目的的利用。例如,房产登记机构收集产权人的财产信息只能用于公示的目的,而不能将此登记信息用于商业目的,如出售。手段正当则是要求信息处理者处理相关信息要符合诚实信用原则要求,同时要尽量满足透明的要求,以便当事人能够充分了解相关信息的收集、使用目的,行使相关权利。[5]这就要求信息处理者对处理个人信息的行为进行自我管理,确保处理个人信息行为的正当性。[6]目的正当性的要求就是目的的合理性,这就意味着信息处理者处理个人信息必须符合法律规定或者当事人约定的特定目的,而这一约定也要以合法有效为前提。在没有明确的法律规定(比如为了特定公共利益)和当事人明确约定的情况下,则要以合理性作为判断正当性的标准。当然,目的特定、明确应当是正当处理个人信息的前提。如果个人信息处理目的过于宽泛、抽象,不仅无法有效指引后续的个人信息处理活动,无法有力限制个人信息处理范围,而且也无法使个人形成合理预期而可能始终处于“信息惶恐”状态。[7]
其三,必要原则。必要原则是指在从事某一特定活动时可以收集、处理,也可以不收集、处理个人信息时,要尽量不收集、处理,在必须使用并征得权利人许可时,要尽量少地进行收集、处理。必要原则也被称为最小化原则或最少够用原则。根据GDPR第5条第1款c项规定,个人数据的处理应当是为了实现数据处理目的而适当的、相关的和必要的。概言之,处理个人信息应该有特定目的,并且应当依据该特定的、明确的目的进行,通常不得超出目的范围处理个信息,不得处理与实现所涉目的无关的个人信息。具体而言,必要原则要求:一方面,在收集个人信息时,其所获取的个人信息应当以满足相应的使用目的为限,即要收集对于实现其正当目的范围内最少够用的个人信息。例如,在论坛注册账号时,除非有正当理由,否则不得要求用户提供家庭地址和手机号码等信息。在安装手机软件时,若该软件只服务于地图位置搜索,则不应当要求用户提供不必要的短信内容信息。另一方面,在利用个人信息时,也应遵循必要原则。即使收集个人信息已满足最小够用原则的要求,也不意味着其他处理个人信息的行为可以不受约束。本法第6条明确要求采取对个人权益影响最小的方式处理个人信息。《
传染病防治法》第12条第1款规定:“在中华人民共和国领域内的一切单位和个人,必须接受疾病预防控制机构、医疗机构有关传染病的调查、检验、采集样本、隔离治疗等预防、控制措施,如实提供有关情况。疾病预防控制机构、医疗机构不得泄露涉及个人隐私的有关信息、资料。”《突发公共卫生事件应急条例》第25条要求卫生行政主管部门负责向社会发布突发公共卫生事件的信息。公布传染病人的位置、行踪,有利于密切接触者进行自我防护,但并无必要公开传染病人的姓名、家庭信息、手机号、个人病史等。对于敏感个人信息,本法第28条第2款明确要求,只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下才可以处理。此外,个人信息的存储也应遵循存储时间最小化的原则,即除却法律法规另有规定或个人信息主体另行授权,原则上信息处理者不得存储个人的原始生物信息,若属必须存储的情形,也必须与个人的其他信息相分开。而且,个人信息存储期限应为实现个人信息主体授权使用的目的所必需的最短时间。在必要的情况下,对于个人信息处理是否符合必要原则,同时为了降低个人信息处理带来的安全风险,可以采取个人信息保护影响评估的做法,对此,欧盟确立了数据保护影响评估制度,我国在2020年也发布了《信息安全技术个人信息安全影响评估指南》,对个人信息安全影响评估机制的实施办法、程序作了具体规定。有关精神也被吸收到《个人信息保护法》当中。本法第55条要求处理个人敏感信息、利用个人信息进行自动化决策等情形下,均应进行事先的评估。
其四,诚信原则。诚信原则作为民法最为重要的基本原则,被称为《民法典》的“帝王条款”,是各国民法公认的基本原则。《民法典》第7条规定:“民事主体从事民事活动,应当遵循诚信原则,秉持诚实,恪守承诺。”通常而言,诚信原则要求民事主体从事民事活动应当讲诚信、守信用,以善意的方式行使权利、履行义务、不诈不欺,言行一致,信守诺言。诚信原则在内涵和外延都是概况性的、抽象的,诚信原则有很大的适用性,民事主体从事任何民事活动都应当遵守该原则。民事主体无论自己行使权利,还是在与他人建立民事法律关系之前、之中、之后都必须始终贯彻诚信原则,按照诚信原则的要求善意行事。[8]如上所述,本条规定明确将诚信原则作为个人信息处理的基本原则,即是对诚信原则在个人信息保护领域的强调。这就意味着诚信原则不仅是今后制定个人信息有关司法解释具体条文时,特别是制定涉及处理个人信息合法性规则时重要的遵循和指导,而且在《个人信息保护法》及其他法律、行政法规对于个人信息处理规则在某些情形下没有具体规定,特别是随着时代发展进步而出现新问题新情况时,诚信原则将作为填补法律漏洞、依法裁判相关案件的有力规范。
在此需要强调的是,2018年发布的《信息安全技术个人信息安全规范》对个人信息保护基本原则进行了较为系统的规定,包括:(1)权责一致原则,即因个人信息处理给信息主体合法权益造成损害的应承担责任;(2)目的明确原则,即具有合法、正当、必要、明确的个人信息处理目的;(3)选择同意原则,即向个人信息主体明示信息处理的目的、方式、范围、规则等,征求其授权同意;(4)最少够用原则,除另有约定的以外,只处理满足个人信息授权同意的目的所需的最少的个人信息类型和数量,目的达成后,应及时按约定删除个人信息;(5)公开透明原则,即要求以明确、易懂的方式公开处理个人信息的范围、目的、规则等,并接受外部监督;(6)确保安全原则,即要求具备与所面临的安全风险相匹配的安全能力,并采取足够的管理措施和技术手段,保护个人信息的保密性、完整性、可用性;(7)主体参与原则,即向个人信息主体提供能够访问、更正、删除其个人信息,以及撤回同意、注销账户等方法。这些原则有的与上述四原则存在重复交叉,有的则属于这四原则的细化和补充。这是保障信息主体知情权、自决权以及其他相关权利的前提和基础,能有效弥补合法、正当、必要等原则的不足。[9]在审判实践中,可以结合这些标准来确定个人信息处理者处理信息的行为是否违法及是否存在过错。
本条后段还从反面强调了处理个人信息的禁止性规定,即“不得通过误导、欺诈、胁迫等方式处理个人信息”。这一方面是与前面所述个人信息处理四原则相呼应,另一方面也是针对实践中存在的突出问题,对于这几种违法处理个人信息的行为提出了明令禁止的要求。在处理个人信息过程中不得强迫用户授权,或者以捆绑服务、强制停止使用等不正当手段变相诱导、胁迫用户提供个人信息,更不得欺骗、窃取或者使用其他非法手段处理个人信息。实践中的“大数据杀熟”就是一种典型的违反正当原则的行为。[10]“大数据杀熟”的情形在符合《消费者权益保护法》第55条规定的欺诈的情形下,应当依法适用惩罚性赔偿。在司法解释层面,近期最高人民法院发布的《使用人脸识别技术处理个人信息民事案件规定》第4条规定:“有下列情形之一,信息处理者以已征得自然人或者其监护人同意为由抗辩的,人民法院不予支持:(一)信息处理者要求自然人同意处理其人脸信息才提供产品或者服务的,但是处理人脸信息属于提供产品或者服务所必需的除外;(二)信息处理者以与其他授权捆绑等方式要求自然人同意处理其人脸信息的;(三)强迫或者变相强迫自然人同意处理其人脸信息的其他情形。”该法第10条第1款规定:“物业服务企业或者其他建筑物管理人以人脸识别作为业主或者物业使用人出入物业服务区域的唯一验证方式,不同意的业主或者物业使用人请求其提供其他合理验证方式的,人民法院依法予以支持。”该法第11条规定:“信息处理者采用格式条款与自然人订立合同,要求自然人授予其无期限限制、不可撤销、可任意转授权等处理人脸信息的权利,该自然人依据民法典第四百九十七条请求确认格式条款无效的,人民法院依法予以支持。”上述规定应该说属于本条规定的“不得通过误导、欺诈、胁迫等方式处理个人信息”在人脸信息保护领域的具体化,对于其他领域个人信息侵权案件具有很好的参考借鉴价值。
【条文适用】
关于本条的适用,要注意以下问题:
一是要明确个人信息处理基本原则的功能价值。同《民法典》的基本原则一样,《个人信息保护法》所规定的个人信息处理基本原则不仅是信息处理者从事个人信息处理活动应当遵守的基本行为准则,也是人民法院审理个人信息相关民事纠纷应当遵守的基本裁判准则。个人信息处理的基本原则不仅具有宏观指导性,是制定有关行政法规、部门规章乃至行业标准的基本遵循,同样也是最高人民法院制定司法解释的基本依据,而且也是在有关法律行政法规没有明确规定的情况下,人民法院裁判案件时认定信息处理者处理个人信息是否合法或者是否构成侵权行为的基本依据。
二是要注重公序良俗原则在个人信息保护领域的运用。公序良俗包括公共秩序和善良风俗。公共秩序是指政治、经济、文化等领域的基本秩序和根本理念,是与国家和社会整体利益相关的基础性原则、价值和秩序,在以往的民商事立法中被称为社会公共利益。善良风俗是指基于社会主流道德观念的习俗,也被称为社会公共道德,是全体社会成员所普遍认可、遵循的道德准则。善良风俗具有一定的时代性和地域性,随着社会成员的普遍道德观念的改变而改变。[11]实践中,歪曲、篡改个人信息对自然人进行丑化的情形不在少数,比如对人脸图像进行深度加工生成比较丑陋的形象等。《使用人脸识别技术处理个人信息民事案件规定》第2条第7项明确将“违背公序良俗处理人脸信息”的情形界定为“侵害自然人人格权益的行为”,应当依法承担相应的侵权责任,包括精神损害赔偿。这一规定对于其他类型个人信息的保护具有参照适用的价值。除此之外,公序良俗原则的适用,也要像上述个人信息处理四原则一样,发挥宏观指导、解释法律和填补漏洞的作用。
