【条文主旨】
本条是关于个人信息处理的合法性基础的规定。
【条文理解】
由于本法以规范个人信息处理活动为基本内容,而个人信息处理的合法性基础条款又是衡量个人信息处理者处理个人信息行为合法性的前提,因此本条在整部法律中具有基石性作用。个人信息处理行为,只有符合本条规定的合法性基础之一,才具备进一步讨论是否符合保护个人信息权益的可能性。与《个人信息保护法(草案)》《个人信息保护法(草案二次审议稿)》相比,本条有三处重要变化:第一,在“为订立、履行个人作为一方当事人的合同所必需”这一事由后,又补充了“或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需”这一情形。第二,在二审稿“依照本法规定在合理的范围内处理已公开的个人信息”基础上,进一步明确为“依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息”两类属于已公开的个人信息,排除了个人信息被他人非法公开等情形。第三,在各个合法性基础的适用顺序上,调整了相关表述,使得语言表达更加准确、严谨。
一、个人信息处理的合法性基础的法理基础与适用范围
(一)个人信息处理的合法性基础的法理基础
在我国《个人信息保护法》的起草过程中,就是否应当以告知同意作为个人信息处理行为的合法性基础以及哪些情形下无须告知并取得个人的同意也可以合法地处理个人信息等问题,一直存在争议。[1]最终,《个人信息保护法》将告知同意规则作为个人信息处理的合法性基础,并规定了无须个人同意的例外情形。告知同意规则充分体现了尊重和保护民事权益的精神和意思自治原则。作为个人信息处理行为的基本规范,告知同意规则对个人信息处理行为进行了限定,它是判断个人信息处理行为合法与否的基本规则(除非法律另有规定),在个人信息处理规则的构建中发挥了重要的作用。处理者在处理个人信息时,原则上必须遵循告知同意规则,在依法告知并取得信息主体的同意后才能对个人信息进行收集、存储、使用、加工、传输、提供、公开等活动。为了在保护个人信息权益的同时,也能实现个人信息的合理利用,同时维护公共利益、国家利益等,法律上有必要规定不适用告知同意规则的例外情形。
《个人信息保护法》在延续《
民法典》立法思路并借鉴GDPR相关规则的基础上,增加了处理个人信息的其他合法情形,将订立或履行合同所必需、保护自然人的重大利益以及公共利益等情形作为例外情况纳入合法性基础场景,并结合新冠肺炎疫情防控的现状,增加了突发公共卫生事件的例外情形,为疫情防控时期基础电信企业、地图平台等企业收集疫情信息提供法律依据。值得注意的是,《个人信息保护法》在二审稿的基础上,新增了“按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需”的情形,为用人单位处理员工个人信息提供了相应的法律依据。此外,虽然个人信息处理者可以在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息,但根据《个人信息保护法》第27条规定,如个人明确拒绝,则不得处理其公开的个人信息,并且个人信息处理者处理已公开的个人信息,对个人权益有重大影响的,还应当取得个人同意。据此,《个人信息保护法》第13条建立了个人信息处理活动的多元化合法性基础,以协调个人信息权益保护与个人信息合理利用之间的关系。技术革新改变了社会基础、商业模式和生活方式,植根于传统社会基础的告知同意规则在数据时代呈现出极度的不适应,单一的告知同意规则难以实现对个人信息上个人利益的有效保护,相反,可能会给信息产业从业者带来巨大的法律风险,进而妨碍个人信息的社会化利用,阻滞我国信息产业的发展。个人信息上不仅附着了信息主体的人格尊严和自由利益,个人信息使用者的利益和公共利益也是个人信息法律制度需要保护的重要利益。为实现个人利益保护与个人信息利用的平衡,应充分衡量信息主体的人格尊严和自由利益、信息使用者的利益、公共利益。[2]因此,基于协调个人信息权益保护与个人信息合理利用的考量,《个人信息保护法》第13条设置了个人信息处理活动的多元化合法性基础。
(二)个人信息处理的合法性基础的适用范围
个人信息处理的合法性基础的适用范围主要涉及以下方面:个人信息处理的主体限定。根据《个人信息保护法》第13条规定,个人信息处理者在法律规定的情形下方可处理个人信息。因此,个人信息处理的合法性基础主要适用于个人信息处理者。同时,本法第73条对于“个人信息处理者”作出了明确的规定,即“个人信息处理者,是指在个人信息处理活动中自主决定处理目的、处理方式的组织、个人”。由上述规定可知,个人信息处理者原则上包括个人及组织,以“自主决定处理目的、处理方式”为判断标准。因此,《个人信息保护法》不仅调整公司企业等普通民事主体出于经营目的处理个人信息的行为,也调整国家机关基于公权力和履行公共管理职能处理个人信息的活动。作为调整平等主体的自然人、法人和非法人组织之间的人身财产关系的《民法典》,无法对国家机关处理个人信息的活动进行全方位的规范,这就要求《个人信息保护法》加以调整。国家机关即便是在履行法定职责处理个人信息时,也应当严格依照法律、行政法规规定的权限和程序进行,受到《个人信息保护法》在内的法律的规范。唯有如此,方能更好地实现个人信息上的多元利益关系的协调。同时,本法第72条规定:“自然人因个人或者家庭事务处理个人信息的,不适用本法。法律对各级人民政府及其有关部门组织实施的统计、档案管理活动中的个人信息处理有规定的,适用其规定。”根据该例外规定,自然人因个人或家庭事务处理个人信息的,不适用《个人信息保护法》,自然也就没有个人信息处理合法性基础规则的适用余地。这是因为,自然人之间因为个人或家庭事务而处理个人信息的行为,属于平等主体之间的个人信息处理行为,往往是为了维持正常的社会交往所必需的,并不涉及侵害个人信息权益的问题,无须给此等情形中的信息处理者施加各种法定义务,更无须个人信息保护机关强制介入。只有涉及利用信息能力的不平等收集、处理个人信息的行为,才是信息时代保护个人信息的法律真正要调整的对象。
二、告知同意规则
(一)告知同意规则的内涵
个人的同意是信息利用的基本依据,若个人属于无民事行为能力或限制行为能力人,在得到其监护人同意的情况下也可以处理权利人的个人信息。告知同意规则,又称“知情同意规则”。是指任何组织或个人在处理个人信息时都应当对信息主体即其个人信息被处理的自然人进行告知,并在取得同意后方可从事相应的个人信息处理活动,否则该等处理行为即属违法,除非法律另有规定。[3]告知同意规则包含了告知规则与同意规则,二者紧密联系,不可分割。没有告知,自然人无法就其个人信息被处理作出同意与否的表示;即便告知了,但没有充分、清晰的告知,自然人作出的同意也并非真实有效的同意。反之,虽然充分、清晰地告知,却未取得自然人的同意,对个人信息的处理也是非法的,侵害了个人信息权益。[4]告知同意规则意味着:第一,个人信息处理者对其处理行为合法与否具有更明确的预期。第二,对于个人信息保护执法机构来说,告知同意规则为查处违法的个人信息处理行为提供了明确的标准。第三,在个人信息权益民事纠纷案件的裁判中,告知同意规则是法院认定处理者应否承担侵权责任的重要标准。
(二)告知同意规则的法理基础
原则上,任何人都不得侵害他人的民事权益,但民事主体可以对自己的权益进行合法的处分,既包括自行处分,也包括在不违反法律强制性规定和公序良俗原则的前提下同意他人对自己民事权益的处分。告知同意规则则充分体现了尊重和保护民事权益的精神以及意思自治原则。告知同意植根于信息保护的两大理论基础:一是欧盟个人信息保护体制中的个人信息自决权理论;二是美国法上的信息隐私权理论。个人信息自决权理论的基本内涵是指个人对其自身信息的控制权,定性为人格权的一种。从信息隐私来看,美国1977年“惠伦案”确立了信息隐私权,隐私权被认为是个人对其个人信息披露的控制权。[5]无论是个人信息控制权还是信息隐私权,均强调信息主体对信息的控制力,而告知同意被认为是个人信息控制力的核心。[6]
三、告知同意规则的例外情形
(一)对告知同意规则例外情形具体规定的认识
1.缔约或履约之必需,制定劳动规章制度或签订集体合同实施人力资源管理所必需。《个人信息保护法》第13条第1款第2项关于“订立、履行个人作为一方当事人的合同所必需”的规定借鉴了GDPR第6条第1款b项的规定。这一规定的理由在于:如果对于合同一方当事人信息的处理,对于该合同的另一方当事人履行该合同是必要的,那么后者对该信息的处理就是有法律依据的,因为信息控制者作为合同当事人,根据一般法律原则负有履行其合同的法定义务,因此为履行合同义务而处理信息的合法性也可以理解为“法定义务”甚至“控制者的合法利益”的特殊情况。处理者必须处理该个人信息才能与之缔结合同或履行合同,这种例外情形仅适用于处理者与个人作为平等的民事主体之间订立或履行合同的场所。对于哪些个人信息的处理属于为订立或履行合同所必需,一方面,应当符合比例原则;另一方面,要从处理者与信息主体等双方当事人的角度来考虑合同的目的,即对于实现合同目的而言,信息的处理是否必不可少。[7]
《个人信息保护法》在二审稿的基础上,新增了“按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需”的情形,为用人单位处理员工个人信息提供了相应的法律依据。这里需要注意的是,用人单位不能随意以“人力资源管理所必需”而对其处理个人信息的行为主张免责,必须是“按照依法制定的劳动规章制度和依法签订的集体合同”实施的人力资源管理所必需,防止企业任意扩大处理范围。
2.为履行法定职责或者法定义务所必需。所谓的法定职责,包括法定职权和法定责任,是指立法机关、行政机关以及司法机关等公权力机关依据
法律法规的规定而享有的职权以及必须履行的义务。为确保公权力机关能够履行法定职责,为履行法定职责所必须处理个人信息的,不需要取得个人同意。例如,依据《
道路交通安全法》第19条的规定,驾驶机动车,应当依法取得机动车驾驶证。申请机动车驾驶证,应当符合国务院公安部门规定的驾驶许可条件;经考试合格后,由公安机关交通管理部门发给相应类别的机动车驾驶证。故此,自然人在向公安机关交通管理部门申请机动车驾驶证时,必须提供相应的个人信息,公安机关交通管理部门可以无须取得个人的同意。又如,根据《
出境入境管理法》第30条第2款规定,申请办理外国人居留证件,应当提交本人的护照或者其他国际旅行证件,以及申请事由的相关材料,并留存指纹等人体生物识别信息。据此,外国人所持签证注明入境后需要办理居留证件的,必须向拟居留地县级以上地方人民政府公安机关出入境管理机构提供相应的个人信息。再如,我国《
刑事诉讼法》第132条第1款规定:“为了确定被害人、犯罪嫌疑人的某些特征、伤害情况或者生理状态,可以对人身进行检查,可以提取指纹信息,采集血液、尿液等生物样本。”显然,这种情形下,公安机关或检察机关为侦查犯罪而强制收集个人生物识别信息等,就属于履行法定职责,无须取得个人同意。
所谓法定义务,是指信息处理者依据法律法规的规定而负有的义务。法定义务的主体限于普通的民事主体即自然人、法人和非法人组织。我国法律中规定了很多的法定义务。比如,根据《
反洗钱法》的规定,金融机构应当按照规定建立客户身份识别制度。金融机构在履行反洗钱的法定义务时所收集的用户的相关个人信息,不需要取得个人同意。又如我国《社会
保险法》《
劳动合同法》《
劳动法》《工伤保险条例》等法律法规要求,职工应当参加工伤保险,由用人单位缴纳工伤保险费,职工不缴纳工伤保险费。据此,用人单位在为职工投保工伤保险时,就必须收集职工的相关个人信息,否则就无法履行该义务。再如,根据《
传染病防治法》第31条规定,任何单位和个人发现传染病病人或者疑似传染病病人时,应当及时向附近的疾病预防控制机构或者医疗机构报告。据此,直接发现和疫情相关的信息应当主动向主管部门报告,不需要取得个人同意。
3.应对突发公共卫生事件或紧急情况所必需。《个人信息保护法》第13条第1款第4项规定了应对突发公共卫生事件或紧急情况下为维护自然人利益所必需的情形。自新冠肺炎疫情发生以来,围绕“早发现、早报告、早隔离、早治疗”的防治原则,借助大数据分析手段,位置信息、行动轨迹等个人信息在疫情预测预警方面发挥了极其重要的作用。因此,《个人信息保护法》专门对此予以规定,为应对突发公共卫生事件,对相关个人信息处理的,可以不经个人同意。
关于“紧急情况下为保护自然人的生命健康和财产安全所必需”,系在《民法典》第1036条第3项规定的基础上,进一步扩大了处理个人信息的范围,即不限于为了维护“该自然人合法权益”。只要是为保护自然人的生命健康和财产安全所必需,均可不经过自然人或其监护人的同意而合理实施个人信息的处理行为,行为人不承担民事责任。例如,甲突发疾病而生命垂危,急需在掌握其既往病史等个人信息的基础上进行对应的抢救治疗,而又无法取得其本人或近亲属的同意。此时,为了挽救甲的生命,可以实施个人信息的处理行为。又如,为了寻找失踪儿童或者追踪犯罪分子的行踪,而使用远距离人脸识别设备进行识别比对等。部分措施并非紧急,却与信息主体重大利益密切相关的,如反欺诈措施、支付安全措施等,这些措施是信息处理者的法律职责或法定义务,可直接适用《个人信息保护法》第13条第1款第3项的规定,无须在此处体现。
4.为公共利益实施新闻报道或舆论监督等行为所必需。《个人信息保护法》第13条第1款第5项规定了“为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息”的情形。本项规定适用必须符合两点:首先,必须是新闻报道、舆论监督等行为。其次,必须是为了公共利益。为公共利益而实施新闻报道、舆论监督的行为,对于维护广大民事主体的合法权益,保护表达自由,具有不可替代的重要作用。至于与公共利益无关,完全是娱乐性的新闻报道或者仅仅是涉及个人的不道德或违法行为的舆论监督,不能适用本项规定,如果处理者未经同意而处理他人的个人信息,就构成侵权。
对本项的“等”的解释将直接决定本项的适用范围。若作“等内等”理解,则本项为针对新闻报道、舆论监督的规定;若作“等外等”的解释,本项可作公共利益的扩大解释。以公共利益的必要性作为考量,对个人信息进行处理的情形至少包括“监控疫情和人道主义救援、确保网络和信息安全、基于劳动和社会保障目的、维护公共健康、新闻和文学艺术创作自由、科学研究等”。[9]为了与其他基于公共利益的信息流通规则相协调,本项中的等亦作“等外等”解释。
5.依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息。“个人自行公开”自己的个人信息就是个人主动将自己的某些个人信息向社会公开,如患者主动向社会公开自己的生病经历,自然人主动公开自己的性取向或宗教信仰。个人自行公开自己的个人信息意味着其在一定程度上同意他人对这些信息的处理。“其他已经合法公开”的个人信息,是指除个人自行公开的以外,其他以合法形式公开的个人信息,如媒体在新闻报道中依法处理这些已公开的个人信息、国家机关依法公开的个人信息。但是,必须在合理范围内处理上述个人信息。比如,结合《使用人脸识别技术处理个人信息民事案件规定》,对于自然人在互联网上发布照片或者视频,尽管其没有明确表示拒绝人脸识别,但是信息处理者使用人脸识别技术对其照片进行识别,已经超出了“合理”的范畴,对自然人的人格利益有重大影响,甚至可能侵害其隐私权、名誉权或者财产权等。因此,擅自对自然人自行公开的人脸图像进行人脸识别,不属于本条第6项以及《民法典》第1036条第2项所规定的情形。从人脸识别相关诉讼看,较为典型的是Facebook案。2015年,社交网络巨头Facebook因使用人脸识别技术扫描伊利诺伊州市民上传的照片而被提起集体诉讼,美国巡回法院认为,未经同意使用面部识别技术开发面部模板侵犯了个人的私人事务和具体利益。2021年2月27日,联邦法官批准了和解协议,Facebook将向这些用户支付6.5亿美元(约人民币42亿元),扣除9750万美元的律师费和接近91.5万美元的诉讼开销,三名原告代表每人将获得5000美元,其他人每人至少将获得345美元赔偿。除了交罚款、关闭人脸识别功能,和解协议还要求Facebook删除现有的人脸模板。
6.法律、行政法规规定的其他情形。法律、行政法规规定的其他情形为兜底性条款,没有将个人信息处理的合法性基础限于所明确列举的情形,保留了一定的弹性,可以针对社会状况的变化而进化,从而避免疏漏。
(二)告知同意规则例外情形具体规定的法理基础
处理者在处理个人信息时原则上必须遵循告知同意规则,在依法告知并取得信息主体的同意后才能对个人信息进行收集、存储、使用、加工、传输、提供、公开等活动。但是社会对个人信息的自由流动具有正当需求,若赋予信息主体绝对完整的权利,可能阻碍个人信息的自由流动。个体利益和其他利益发生冲突时,需要对个体自由加以适当的干预和限制,以求公共利益与个体利益的平衡。在此种情况下,保护了个人信息权益的同时,也实现了个人信息的合理利用,同时维护了社会利益和国家利益,即使未取得信息主体同意收集其个人信息,亦属合法行为。
【条文适用】
对于本条的适用,需要注意以下问题:
1.本条仅涉及个人信息处理行为合法与否的问题,而非意味着发生侵害个人信息权益的违法行为时,处理者可以据此免于承担任何法律责任,更不能以本条来排除其他个人信息保护规则的适用。首先,即便处理者充分适当地履行了告知同意规则,也只是使得处理行为本身不具有非法性而已,即存在违法阻却事由,可能无须承担行政责任或刑事责任。例如,依据《侵犯公民个人信息刑事案件解释》第2条的规定,违反法律、行政法规、部门规章有关公民个人信息保护的规定的,应当认定为《
刑法》第253条之一规定的“违反国家有关规定”。但是,在处理的过程中,因为不合理的处理行为如处理者的故意或过失等造成自然人的人身财产权益受到侵害的,依然要承担民事责任。其次,信息处理者实施的信息处理行为必须遵循本法规定的基本原则。例如,本法第7条规定,处理个人信息应当遵循公开、透明原则,公开个人信息处理规则,明示处理的目的、方式和范围。最后,并非告知并取得同意后,处理者就可以随意地、无限制地处理个人信息,处理者仍然应当严格遵循法律规定和当事人约定的相应义务。例如,经告知并取得同意而收集自然人的个人信息后,处理者负有不得泄露或者篡改其收集、存储的个人信息的义务,应当采取技术措施和其他必要措施以确保其收集、存储的个人信息安全,防止信息泄露、篡改、丢失,并在发生或者可能发生个人信息泄露、篡改、丢失时及时采取补救措施,按照规定告知自然人并向有关主管部门报告。
2.适用告知同意规则及其例外情形时要注意相关限制。首先,告知同意规则只解决个人信息处理行为合法与否的问题。进行了告知同意并不意味着发生侵害个人信息权益的违法行为时,处理者可以据此免于承担法律责任,更不能以告知同意规则的履行来排除其他个人信息保护规则的适用,即告知同意规则受到正当目的原则和必要原则的限制。同样,告知同意规则也不能排除信息主体享有的权利,其适用需要受到相应的限制。[10]其次,对于无须取得个人同意的情形,也必须满足合法、正当、必要与诚信原则。信息处理者不能超出实现目的必要范围对个人信息进行收集和处理,即使无须取得个人同意,处理者也要履行告知义务。告知是取得同意的前提,不满足法定要求的告知将导致同意无效,但告知义务并非依附于个体同意而存在。“同意”的例外并不必然导致“告知”的例外。虽然《个人信息保护法》同样规定了在特定情形下可以未经同意即处理个人信息,但并不代表这些情况下同时免除了告知义务。例如,第13条规定在“为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需”的情形下处理个人信息可以不须取得个人同意,但第18条第2款同时规定“紧急情况下为保护自然人的生命健康和财产安全无法及时向个人告知的,个人信息处理者应当在紧急情况消除后及时告知”。也就是说,处理者基于法律、行政法规规定的情形处理个人信息,虽然不需要取得个人的同意,但是仍然要履行告知义务。之所以在无须个人同意的个人信息处理活动中,原则上也必须适用告知规则,使处理者负有告知义务,根本原因在于要贯彻落实公开透明原则,保护个人对个人信息处理的知情权。
关于《个人信息保护法》第13条第1款第2项“缔约或履约之必需”之规定,将成为绝大多数业务场景下收集信息的依据。因此,其必须受目的限制原则的约束,不得利用这一条款进行个性化营销。关于《个人信息保护法》第13条第1款第4项“应对突发公共卫生事件或紧急情况之必需”之规定与《个人信息保护法》第18条相对应,必须有相应的回复机制。根据《个人信息保护法》第18条第2款的规定,在紧急情况消除后,信息处理者必须对信息主体履行告知义务。同时,应进一步明确由于紧急情况已经消除,应使用告知同意规则,在获得同意后方可继续处理相关信息。虽然突发公共卫生事件在此项中予以单列,但实际上也属于特殊的紧急情况,事后亦应履行告知义务。关于《个人信息保护法》第13条第1款第5项“为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息”,该项规定公共利益必须受“合理的范围”的约束。需要注意的是,“合理的范围”并不等于“所必需”。以该项所指向的新闻报道为例,实难以说明信息处理是必需的,若以必需为逻辑,记者大可不报道相关信息。因此,对于涉及公共利益的信息利用而言,其适用的是比必要性更为宽松的合理性要件。新闻报道若涉及家庭地址、人肉搜索等便是超出了合理范围。《个人信息保护法》第13条第1款第6项关于“对合法公开的个人信息进行的合理使用”应当与《民法典》第1036条第2项的规定保持含义上的一致,即在自然人明确拒绝时以及处理该信息侵害其重大利益时,该种处理不是合理处理。
3.注意敏感信息的特殊处理规则。本法在第二章中单独设立一节,规定敏感个人信息的处理规则。根据本法第28条的规定,敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满14周岁未成年人的个人信息。敏感信息和非敏感信息是《个人信息保护法》从规范个人信息处理行为的角度进行的一种重要分类,并在该区分的基础上针对信息处理者提出了不同的处理规则上的要求,从而有针对性地提高处理者在处理敏感信息时的法定义务,更加充分地保护个人信息权益。由于敏感信息对于维护自然人的人身财产安全与人格尊严极为重要,该等信息一旦泄露或被非法使用,势必会对自然人的人身财产权益造成严重的侵害或损害,故此,法律上对处理此类信息有非常严格的要求。但是,对于非敏感信息的处理而言,则没有如此严格的要求。因此,为正确理解本法第13条关于处理个人信息合法性基础的规则,应当区分敏感个人信息及非敏感个人信息,涉及敏感个人信息时,应当适用敏感个人信息的处理规则,而非一般规则。
