【条文主旨】
本条是关于国家机关处理个人信息时的告知义务以及除外情形的规定。
【条文理解】
《
民法典》第111条规定:“自然人的个人信息受法律保护。任何组织或者个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。”该条规定的任何组织当然包括国家机关,国家机关系保护个人信息的义务主体之一。《个人信息保护法》第33条则明确规定:“国家机关处理个人信息的活动,适用本法;本节有特别规定的,适用本节规定。”根据上述规定,国家机关系《个人信息保护法》所规范的个人信息处理者,其在处理个人信息时,与其他个人信息处理者一样,均需遵循《个人信息保护法》所规定的处理个人信息的基本原则和基本规则,比如遵循合法、正当、必要和诚信原则,处理个人信息应当具有明确、合理的目的,采取必要措施保障所处理的个人信息的安全等。但是,因机构性质、工作职能等方面的不同,国家机关明显有别于一般的个人信息处理者,其处理个人信息的行为更多地是为了履行职责,其处理个人信息更多的是为了公共安全、公共利益甚至国家利益。因此,《个人信息保护法》专设一节对国家机关处理个人信息作出特别规定,既充分考虑了国家利益、公共利益等因素在国家机关处理个人信息时的影响,同时又合理平衡个人信息保护、个人信息处理与国家利益之间的关系。本条是对国家机关处理个人信息时处理规则的特别规定。准确理解该条,需要从以下几个层面进行把握。
一、国家机关处理个人信息的必要性
随着信息社会、大数据时代的到来,大数据已成为推动经济转型发展的新动力,重塑国家竞争优势的新机遇,提升政府治理能力的新途径。个人信息作为大数据技术重要的原材料,无论对企业的经营活动还是政府的管理行为,都具有越来越重要的作用,特别是对于国家机关而言,为了更好地履行法定职责,提升公共事务管理能力,实现治理体系和治理能力现代化,国家机关具有处理个人信息的强烈需求。国家机关通过处理个人信息,维护市场竞争秩序、保护消费者权益、维护公共安全、国家安全等公共利益和国家利益,提高了国家机关服务的管理水平和决策的科学性以及服务效率。信息时代,说国家机关是个人信息最大的处理者和持有者并不为过。因此,为了更好保护好个人信息,必须规范好国家机关处理个人信息的行为,明确国家机关处理个人信息的基本原则和基本规则以及国家机关与其他信息处理者处理个人信息规则的异同,以更好地平衡各种法益之间的关系,实现各方利益的最大化。
二、国家机关处理个人信息的行为分类
按照国家机关处理个人信息的权力来源,可以将国家机关处理个人信息的行为分为两类:一是为履行法定职责处理个人信息的行为。国家机关作为国家机构,是国家为实现其职能而建立并执行国家意志的具体单位,从行使职权的性质上看,可以分为权力机关、行政机关和司法机关等,从行使职权的地域范围看,可以分为中央国家机关和地方国家机关。根据我国国家性质,国家机关的权力来源于人民赋予,并通过法律、法规的形式予以明确,国家机关履行法定职责即是依据法律、行政法规规定的权限和程序实现人民利益的过程。二是非为履行法定职责处理个人信息的行为。国家机关作为国家机构,既是国家事务的管理者,也是社会生活的参与者。国家机关的正常运行,除按照法律、行政法规的规定履行法定职责之外,还具有其他多重身份。比如,国家机关作为我国《民法典》规定的其他组织,可以以民事主体的身份参与社会生活。个人信息的处理涉及各个领域,国家机关非为履行法定职责进行其他行为时,也可能涉及个人信息的处理行为。此外,国家机关的法定职责由法律、法规明确规定,如果国家机关超越自身法定职权处理个人信息,则应认定其行为系“非法履行法定职责所必须”。
三、国家机关处理个人信息的特殊处理规则
之所以将国家机关处理个人信息的行为作如上分类,系为了更好地理解该条对国家机关处理个人信息处理规则所作的特殊规定。根据该条规定,只有国家机关为履行法定职责处理个人信息的,才适用本条规定的特殊处理规则,即国家机关仅需向当事人履行告知义务即可,无须再经过当事人的同意。如果国家机关非为履行法定职责处理个人信息的,则不能适用该条的特殊规定,仍需遵守个人信息处理的一般规则。
(一)个人信息处理规则之告知同意规则
告知同意也称“知情同意规则”,最早为1970年德国黑森州的《黑森州数据保护法》所确认,目前已经成为绝大多数国家个人信息保护法承认的基本规则,我国《民法典》第1035条第1款第1项以及《个人信息保护法》第13条和第15条均明确了告知同意规则作为个人信息处理的基本规则。该规则的内容如同该规则的定义一样浅显易懂,即任何组织或个人在处理个人信息时都应当对信息主体即其个人信息被处理的自然人进行告知,并在取得同意后方可从事相应的个人信息处理活动,否则该等处理行为即属违法,除非法律另有规定。[1]告知同意规则包含了紧密联系且不可分割的两个方面:告知规则与同意规则。没有告知,信息主体无法就其个人信息被处理作出同意与否的表示;即便告知了,但没有充分、清晰的告知,自然人作出的同意也并非真实有效的同意。反之,虽然充分、清晰地告知,却未取得自然人的同意,对个人信息的处理也是非法的,侵害了个人信息权益。[2]
告知同意规则是世界各国个人信息保护立法中所普遍确立的一项基本规则,即便存在法律规定不适用该规则的情形(如基于公共利益、履行法定职责、维护自然人权益等),也不能据此就否定告知同意规则在个人信息处理中的原则性地位,因为该规则是自然人对其个人信息自主决定权的体现,它奠定了个人信息处理的正当性与合法性的基础。
(二)告知同意规则的例外——国家机关处理个人信息的特别规定
本条系告知同意规则的例外。根据该条规定,国家机关为履行法定职责处理个人信息的,无须经过个人的同意,仅需履行告知义务即可。
本条制定过程中,主要的争论在于国家机关为履行法定职责处理个人信息,是否需要突破“告知同意”规则,也即是否需要经过信息主体的同意。《个人信息保护法(草案)》及《个人信息保护法(草案二次审议稿)》第35条均规定:“国家机关为履行法定职责处理个人信息,应当依照本法规定向个人告知并取得其同意;法律、行政法规规定应当保密,或者告知、取得同意将妨碍国家机关履行法定职责的除外。”上述条文明确规定国家机关为履行法定职责处理个人信息,需要向个人告知并取得其同意。《个人信息保护法(草案三次审议稿)》将第35条统一修改为:“国家机关为履行法定职责处理个人信息,应当依照本法规定履行告知义务;有本法第十八条第一款规定的情形,或者告知将妨碍国家机关履行法定职责的除外。”修改后的条文一锤定音,明确了国家机关为履行法定职责处理个人信息的,仅需履行告知义务即可,无须取得个人的同意。
如前论述,告知和同意是“告知同意”规则不可分割的两个部分,特别是信息主体的同意更是具有重要意义,正如有的学者指出,“同意权是个人信息自主控制的手段,是对市场地位不平等的最有效回应,能够平衡信息利用者和信息主体之间的权利分配,使得信息主体获得更多的谈判筹码。相反地,如果轻视同意则可能成为信息从业者滥用个人信息的‘免死金牌’”。[3]在处理国家机关与信息主体之间的个人信息处理法律关系时,《个人信息保护法》之所以在终审稿中将“同意”删除,主要是基于如下考量。
1.体系考虑。我国《民法典》在确认自然人个人信息权益并对其内容、行使等作出规定的同时,也高度关注自然人个人信息权益与信息自由、言论自由以及商业活动之间关系的协调,“合理平衡保护个人信息与维护公共利益之间的关系”。[4]基于此,《民法典》及《个人信息保护法》在确认“知情同意”系处理个人信息需要遵循的基本规则的同时,亦规定了个人信息的合理使用制度。在个人信息合理使用的场景下,知情同意不再是处理个人信息合法性的唯一基础。《个人信息保护法》第13条具体规定了处理个人信息合法性的基础,除该条第1款第1项系知情同意规则的体现外,其他各项均是合理使用的具体场景。其中该款第3项明确规定,“为履行法定职责或者法定义务所必需”,系个人信息合理使用的具体场景之一,无须取得个人同意。本条规定的国家机关为履行法定职责处理个人信息的情形属于本法第13条第1款第3项规定的情形之一,按照第13条第2款的规定,此种场景下,不需取得个人同意。如果本条仍然保留“同意”规则,就会与第13条的规定相互矛盾。因此,将本条中的“同意”删除,在体系上可以保持与第13条的一致性。
2.法理分析。一方面,在个人信息合理使用中,处理行为的合法性不是建立在自然人同意的基础上,也不是基于自然人行使个人信息权益的意思表示或者处理者与自然人之间达成的合意而实施的行为,而是直接依据法律规定所从事的行为,该行为在性质上属于民事法律事实中的合法事实行为。[5]因履行法定职责处理个人信息,属于《个人信息保护法》第13条明确规定的个人信息合理使用场景,国家机关因履行法定职责获得处理个人信息的合法性基础,无须再经过个人的同意。另一方面,基于社会契约理论,国家权力来源于社会个体对自身权利的让渡,公民具有主权者和国家成员的双重角色。国家制定的
法律法规作为公意的表达和公民共同意志的记载,是“全体人民对全体人民的规定”“法律结合了意志的普遍性和对象的普遍性”,[6]当权利褪去权力因素时,公民就应当遵守法律、服从秩序,不得再要求行使同意权。换言之,国家通过法律形式将信息主体同意的权利和约定事项让渡给国家机关,[7]国家机关只要按照法律规定的职权和程序履行法定职责,相当于已经经过了信息主体的同意,无须再行征得信息主体的同意。
3.国家机关处理个人信息的特殊性。国家机关为履行法定职责处理个人信息,更多地是为了实现公共治理和公共安全,维护公共利益和国家利益。如果国家机关在处理个人信息前均需征得信息主体的同意,将会导致国家机关职权的行使得不到有效的保障。首先,在公共治理的成效层面,要求国家机关处理个人信息需征得信息主体的同意可能会从源头上减少信息的供给量,从而引发公共治理受阻等连锁反应。其次,在公共治理效率层面,如过度强调信息主体的同意权,则会大大增加公共治理的成本,减损治理效率。最后,在公共治理秩序层面,如果赋予信息主体同意权,根据《个人信息保护法》第15条的规定,信息主体亦享有撤回同意的权利,基于国家机关对个人信息的处理的公益性,如允许信息主体随意撤回信息,将会影响社会治理的安定性。[8]
4.域外实践。GDPR在规定“知情同意”规则时,亦是将其作为数据处理合法化的一种情形而非唯一情形。[9]根据该条例规定,如果数据处理“是为了执行公共利益领域的任务或行使控制者既定的公务职权之必要”,“知情同意”就不再适用,其也不再是数据处理的合法前提。从这个意义上说,欧盟法的一般观点也是,作为数据控制者的公权机关如在履行既定的公务职权,原则上就不再受制于“知情同意”原则。[10]
(三)国家机关非为履行法定职责或者超出法定职责处理个人信息应如何处理
如前所述,国家机关处理个人信息的行为分为为履行法定职责处理个人信息和非为履行法定职责处理个人信息。本条仅规范国家机关为履行法定职责处理个人信息时的处理规则,国家机关非为履行法定职责处理个人信息或者超出履行法定职责所必需的范围和限度处理个人信息的,不适用该条规定。该条将履行法定职责作为国家机关处理个人信息合法性的核心要件,如果国家机关为履行法定职责处理个人信息则无须征得信息主体同意,如果国家机关非为履行法定职责处理个人信息或者超出履行法定职责所必需的范围和限度处理个人信息的,仍然需要以同意作为处理个人信息合法性的前提。国家机关不能打着履行法定职责的名义过渡收集、使用和处理个人信息。
《个人保护法》第35条的特别规定以该法第13条规定的合理使用为基础,也即国家机关履行法定职责属于合理使用个人信息的场景之一,无须经过信息主体的同意。但是合理使用应当限于合理使用所希望达到的目的范围内,且手段和方式没有超过为实现该目的而可以采取的最缓和的方式。如果使用不合理而侵害民事主体人格权的,仍然应当依法承担民事责任。因此,国家机关非为履行法定职责处理个人信息或者超出履行法定职责所必需的范围和限度处理个人信息的,显然超出了“合理使用”的范围,也就无法再继续取得“同意”豁免权,仍然需要经过信息主体同意,方能取得处理个人信息的合法性。
同理,除“履行法定职责”外,合理使用还包括其他适用场景,在国家机关非为履行法定职责处理个人信息或者超出履行法定职责所必需的范围和限度处理个人信息的,如果符合本法第13条规定的其他合理使用的场景,仍然可以不用经过信息主体同意。比如在遇有紧急情况、突发事件时,即便未在法定职责范围内,也应允许国家机关未经信息主体的同意对其个人信息进行处理。此时,国家机关取得“同意”豁免权并非基于本条规定,而是基于本法第13条的相关条款。如果国家机关处理个人信息既无本条适用场景,也无本法第13条规定的其他场景,则应按照一般信息处理者的处理规则处理个人信息。
四、国家机关履行告知义务的除外情形
本法第17条规定了个人信息处理者的告知义务,确定了个人信息处理者处理个人信息时,以告知为基本原则。第18条第1款规定了告知原则的除外情形,即不需要告知的情形。本条虽然系国家机关处理个人信息的特别规定,但仍以告知作为国家机关处理个人信息的基本原则,以不告知作为例外。
因第18条规定于本法“个人信息处理规则”一章中,适用于所有的个人信息处理行为,国家机关处理个人信息作为一种特殊的个人信息处理情形,在本节无特别规定时,亦需遵循第18条的一般规定,即“个人信息处理者处理个人信息,有法律、行政法规规定应当保密或者不需要告知的情形的,可以不向个人告知前条第一款规定的事项”。除此之外,本条还规定了一种仅适用于国家机关处理个人信息的除外情形,即“告知将妨碍国家机关履行法定职责的除外”。需要注意的是,该除外情形所指的告知是指如果妨害国家机关履行法定职责的,是从根本上免除国家机关的告知义务,还是仅免除暂时的告知义务,在符合一定的条件下仍然需要履行告知程序?我们倾向于后一种意见,认为该条强调的具体场景是国家机关处理信息时的客观情况不便于告知,因为“妨碍国家机关履行法定职责”与本法第18条第2款规定的情形更为相似,即“紧急情况下为保护自然人的生命健康和财产安全无法及时向个人告知的,个人信息处理者应当在紧急情况消除后及时告知”。两者规定的可不予告知的情形仅是告知的临时障碍,并非永久障碍,与第18条第1款规定的“应当保密”和“不需要告知”存在本质不同,如果国家机关已经履行完毕法定职责或者不便于告知的客观情况消除后,则应当及时告知,以充分保障信息主体的知情权。
【条文适用】
一、强调国家机关处理个人信息的正当性和必要性
在个人信息处理法律关系中,虽然信息主体与信息处理者在法律地位上是平等的,但是在资源、技术、能力等各方面又客观存在着失衡现象,信息主体明显处于弱势地位。特别是与国家机关相比,信息主体很难与国家公权力进行对抗。为了维护公共利益和国家安全,《个人信息保护法》又对个人信息处理的基本规则即“知情同意”规则向国家机关一方进行了倾斜,规定国家机关因履行法定职责处理个人信息的,无须经过信息主体同意。在国家机关力量对比强于信息主体,信息处理规则又进行倾斜的情况下,加之国家机关具有对非法利用个人信息行为的监督管理者和最大的个人信息处理者的双重身份,既是裁判者,又是运动员,为了平衡国家机关和信息主体之间力量的悬殊,就必须在正当性和必要性方面对国家机关处理个人信息客以更严格的要求。也即,国家机关与信息主体的个人信息处理法律关系中,为了平衡私权与公权的利益关系,从个人层面来讲,个人该让渡的权利应当让渡;从国家层面来讲,国家该规范的行为必须规范。
强化国家机关处理个人信息的正当性和必要性,主要应从处理规则上予以限制:一是收集程序上,强化信息主体的知情权。本条将“知情同意”规则中的“同意”向国家机关进行了倾斜,规定国家机关为履行职权处理个人信息的,无须再征得信息主体的同意,因此,为了平衡双方利益,需要将“知情同意”规则中的“知情”向信息主体进行倾斜,也即需强化信息主体的知情权,国家机关应严格按照本法第17条的规定向信息主体进行真实、准确、完整的告知,在双方对是否告知、告知内容产生争议时,在举证责任方面应适当向信息主体一方倾斜。
二是收集内容和范围上,要坚持比例原则和最小影响原则。国家机关收集个人信息应符合法律的正当性目的,所处理的个人信息应是达成目的范围的最小值,此处的最小值不仅包括信息的数量,也应包括其类型,比如对个人敏感信息的收集应当更加谨慎,即只在收集一般个人信息不足以实现公共治理目标时方可收集个人的敏感信息。[11]在收集的范围上,不得进行过度收集、超使用范围收集,防止出现国家机关根据数据对人群进行“数据歧视”和“数据操控”。此外,数据的大量聚集,还可能导致数据安全隐患,这些因素都成为比例原则发生作用的空间。
三是处理方式上。明确个人信息的存储期限,对于超出必要存储期限的信息及时删除;保障信息主体的自决权,对于信息主体的查阅、更正、删除、迁移权给予充分保障;采取更为严格的安全保障措施,切实保障个人信息的安全,严防个人信息的泄露、篡改、丢失等。
二、对国家机关处理个人信息的合法性审查
审判实践中,人民法院审查判断国家机关处理个人信息是否合法,应注意如下几点:
一是审查合法性基础。人民法院适用该条审理案件时,应着重审查国家机关是否为履行法定职责处理个人信息,具体应按照本法第34条的规定,审查国家机关是否依照法律、行政法规规定的权限、程序履行法定职责,是否超出履行法定职责所必需的范围和限度。如果国家非为履行法定职责处理个人信息或者超出履行法定职责所必需的范围和限度处理个人信息的,则不应适用该条审查处理行为的合法性。
二是审查是否履行告知义务。国家机关处理个人信息的合法性的转变仅是公民让渡了同意权,而非丧失其知情权,国家机关为履行法定职责处理个人信息的,仍然需要按照本法第17条的规定履行告知义务,以充分保障信息主体的知情权。人民法院适用该条审理案件时,应全面审查国家机关是否履行了本条第17条规定的告知义务,包括是否以显著方式、清晰易懂的语言进行告知,告知的内容是否真实、准确和完整。如果国家机关未依法进行告知,则应认定其处理个人信息的行为不合法。
三是明确举证责任。首先,本条是个人信息合理使用的具体场景之一,是对个人信息的合理使用,如果国家机关在公共利益和个人的数据私益发生冲突时,以公益为由要求对个人私权予以合理限制,国家机关则应承担对“公共利益”予以具体化框定和说明的义务。[13]其次,按照《
行政诉讼法》和《
民事诉讼法》所规定的举证责任规则,如果国家机关主张其符合本条规定的除外情形,应由国家机关就除外情形承担举证责任,包括明确说明法律、行政法规规定的应当保密或者不需要告知的情形,举证证明告知如何妨碍国家机关履行法定职责等。
三、国家机关处理个人信息,仍需遵守个人信息处理的其他规则
该条规定了国家机关处理个人信息的特殊处理规则,即无须经过信息主体的同意。但是,国家机关作为信息处理者,在本节无具体规定时,同样应当履行本法所规定的信息处理者应尽的各项义务,而且从平衡各方利益的角度出发,还需更加严格,比如遵循信息处理的基本原则和其他基本规则,切实保障个人信息的安全,对敏感个人信息的处理要遵守本法有关敏感个人信息的规定等,在此不再赘述。
