【条文主旨】
本条是关于适用主体范围的例外规定。
【条文理解】
我国个人信息的立法立足于国内个人信息利用的具体实践,逐步分为了针对两大类主体的规制。2012年《全国人民代表大会常务委员会关于加强网络信息保护的决定》分别使用了“任何组织和个人”与“网络服务提供者和其他企业事业单位”两组概念,前者范围更广,旨在重点打击一切非法获取和贩卖个人信息的行为;后者范围较窄,主要指向个人信息处理单位的合法性规制。该理念在此后的多次立法中得以延续。《
民法典》分别采用了“任何组织或者个人”与“信息处理者”的概念,并将“国家机关、承担行政职能的法定机构及其工作人员”也纳入规制范畴。但《民法典》并未对信息处理者这一概念进行限定,依据该法第1035条第2款的规定,无论是通过自动方式还是非自动方式处理个人信息,无论是公司企业、国家机关等个人信息使用者处理个人信息,还是纯粹的私人或家庭活动中的个人信息处理(家人朋友之间进行的通信联络、保存联系方式或者社交活动中的个人信息的提供等),都可能被纳入个人信息处理的范畴。《个人信息保护法》对主体范围和概念界定进一步予以明确,继续沿用了“任何组织、个人”和“个人信息处理者”的概念,并明确个人信息处理者是指在个人信息处理活动中自主决定处理目的、处理方式的组织、个人。同时明确,将国家机关纳入《个人信息保护法》适用的主体范围之内,而对因个人或家庭事务处理个人信息的法律适用豁免,并对统计、档案管理活动的法律适用衔接作了规定。
一、关于自然人因个人或者家庭事务处理个人信息
《个人信息保护法》关于自然人因个人或者家庭事务处理个人信息不适用的规定借鉴了欧盟GDPR的规定。欧盟GDPR在“鉴于条款”第18条指出,该条例不适用于自然人在不涉及任何职业或商业的纯个人或家庭活动中对个人数据的处理活动。个人或家庭活动可以包括通信、保存地址,或者社交活动以及在类似活动背景下进行的线上活动。但适用于为上述个人日常活动提供个人数据处理方法的控制者或处理者。该条例第2条“适用范围”的第2款(c)规定,该条例不适用于自然人在纯粹的个人或家庭生活中进行的处理活动。所谓“纯粹的个人或家庭生活中的个人信息处理行为”,是指为了休闲活动、爱好、度假或娱乐目的而处理的个人数据,或者用于社交网络,或者数据只是作为个人收集的地址、生日或其他重要日期,如周年纪念的一部分。然而,一旦所处理的个人信息涉及私人的同时也是商业的信息,则该例外就不适用。所谓“商业”是指任何经济活动,无论是否支付报酬。而“纯粹”一词则表明应当对该例外作限缩解释。
理论上对于《个人信息保护法》适用的主体范围曾存在争议。有观点认为,个人信息处理应限定为以识别分析目的而使用个人信息的行为,这样的定义有利于区别《个人信息保护法》的规范对象,将碎片化的使用、具有保密义务情形下的知悉或存储个人信息等行为排除在《个人信息保护法》的规范之外。[1]这一观点将信息处理行为限定于更小的特殊范围,体现的价值取向更倾向于促进信息的利用和流通。而另有观点认为,《个人信息保护法》需要对个人信息处理行为进行全方位、动态性的规范,无论是利用网络信息科技自动化处理个人信息,还是手工等非自动化处理个人信息;无论是个人信息的收集、存储,还是使用、加工抑或传输、提供、公开以及跨境提供;无论是为了生产经营等营利目的,还是行政管理、公共服务的目的而进行个人信息处理,均应纳入《个人信息保护法》的调整范围。[2]
《个人信息保护法》最终采纳的意见几乎把经营性的处理行为均纳入其规制的范围,以强化个人信息保护的力度。与此同时,《个人信息保护法》将自然人因个人或家庭事务处理个人信息的活动排除在该法所调整的个人信息处理的范围之外,是非常必要的。这是因为,自然人之间因为个人或家庭事务而处理个人信息的行为,属于平等主体之间的个人信息处理行为,往往是为了维持正常的社会交往所必需的,并不涉及侵害个人信息权益的问题,无须给此等情形中的信息处理者施加各种法定义务,更无须个人信息保护机关强制介入;只有涉及利用信息能力的不平等收集、处理个人信息的行为,才是信息时代保护个人信息的法律真正要调整的对象。[3]也就是说,目前面临的主要问题是个人信息处理从个人直接收集信息进行运算分析的阶段进入到大量依赖机器产生的数据和间接获取的数据对个人进行智能分析的阶段,正是面临对个人信息规模化、自动化利用的背景和背后潜在的更大风险,才需要强化对个人信息的倾斜性保护,并加强对信息处理者的规制和监管。在平等民事主体之间的信息使用行为,一般情况下,不宜通过《个人信息保护法》进行倾斜性保护,可通过《民法典》等民事规范予以调整。
二、关于各级人民政府及其有关部门组织实施的统计、档案管理活动中的个人信息处理
国家机关基于履行法定职责的必要往往需对个人信息进行收集和处理。例如,公安部门需收集和管理包括自然人姓名、性别、身高、出生日期、家庭住址等在内的个人信息;教育部门需收集和管理相关教育经历、学历证书等个人信息。《个人信息保护法》第二章第三节第33条规定:“国家机关处理个人信息的活动,适用本法;本节有特别规定的,适用本节规定。”本条在国家机关依法履行职责处理个人信息仍需遵循个人信息保护法的大原则下,规定了对统计、档案管理活动两个领域的例外。在这两个领域内,如果其他
法律法规有相关规定,而《个人信息保护法》中没有相关规定或者《个人信息保护法》的规定与其他法律法规存在冲突,则应优先适用其他规定;如果无相关规定,则应依照个人信息保护法的相关规定。2021年6月10日通过的《
数据安全法》第53条第1款亦有类似规定:“开展涉及国家秘密的数据处理活动,适用《中华人民共和国
保守国家秘密法》等法律、行政法规的规定。”在统计、档案工作中开展数据处理活动,开展涉及个人信息的数据处理活动,还应当遵守有关法律、行政法规的规定。
关于统计活动。根据《
统计法》的规定,统计的基本任务是对经济社会发展情况进行统计调查、统计分析,提供统计资料和统计咨询意见,实行统计监督。《统计法》第9条规定:“统计机构和统计人员对在统计工作中知悉的国家秘密、商业秘密和个人信息,应当予以保密。”第39条规定:“县级以上人民政府统计机构或者有关部门有下列行为之一的,对直接负责的主管人员和其他直接责任人员由任免机关或者监察机关依法给予处分:(一)违法公布统计资料的;(二)泄露统计调查对象的商业秘密、个人信息或者提供、泄露在统计调查中获得的能够识别或者推断单个统计调查对象身份的资料的;(三)违反国家有关规定,造成统计资料毁损、灭失的。统计人员有前款所列行为之一的,依法给予处分。”
关于档案管理活动。根据《
档案法》的规定,档案是指过去和现在的机关、团体、企业事业单位和其他组织以及个人从事经济、政治、文化、社会、生态文明、军事、外事、科技等方面活动直接形成的对国家和社会具有保存价值的各种文字、图表、声像等不同形式的历史记录。国家机关保管的人事档案或个人档案中往往存在大量涉及个人信息的内容。《档案法》第28条第3款规定:“利用档案涉及知识产权、个人信息的,应当遵守有关法律、行政法规的规定。”《社会
保险法》第92条规定:“社会保险行政部门和其他有关行政部门、社会保险经办机构、社会保险费征收机构及其工作人员泄露用人单位和个人信息的,对直接负责的主管人员和其他直接责任人员依法给予处分;给用人单位或者个人造成损失的,应当承担赔偿责任。”
【条文适用】
如何协调本条与第4条之间的关系
关于《个人信息保护法》的适用范围,本法第3条从属地范围的角度进行了规定,第3条和本条从适用行为正反两方面的角度规定了《个人信息保护法》的适用范围。《个人信息保护法》除第10条的规定指向“任何组织、个人”外,其他规定主要指向个人信息的处理行为,第4条对何为个人信息处理行为、第73条对何为个人信息处理者进行了进一步规定,一般来讲,只有个人信息处理者进行的个人信息处理行为才属于本法规制的范畴。在此基础上,本条进行了适用范围的例外规定,并非所有个人信息处理者的信息处理行为均纳入《个人信息保护法》的适用范围。因此,在判断某行为是否属于《个人信息保护法》适用范围时,应首先适用《个人信息保护法》第4条的规定,确定该行为是否属于处理个人信息的行为,再对照本条规定,确定该行为是否属于排除《个人信息保护法》适用的范畴,最终确定是否适用《个人信息保护法》的规定。
