论个人信息处理中无需取得个人同意的情形

 

发布部门:《人民司法》2021年第22期  施行日期:2021/7/15    整理者:窦振东      

目次

引言
一、订立或履行个人作为一方当事人的合同
二、履行法定职责或者法定义务
三、应对突发公共卫生事件
四、紧急情况下保护自然人的生命健康和财产安全
五、合理范围内处理已公开的个人信息
六、为公共利益实施新闻报道、舆论监督等行为

引言

作为个人信息处理行为的基本规范,告知同意规则对个人信息处理行为进行了限定,它是判断个人信息处理行为合法与否的基本规则(除非法律另有规定),在个人信息处理规则的构建中发挥了重要的作用。原则上,处理者在处理个人信息时必须遵循告知同意规则,在依法告知并取得信息主体的同意后才能对个人信息进行收集、存储、使用、加工、传输、提供、公开等活动。惟其如此,才能有效地保护自然人的个人信息权益。

但是,个人信息保护法并不仅以保护个人信息权益作为唯一的立法目的,还需要实现个人信息的合理利用,同时也要维护公共利益、国家利益等。

所以,在个人信息保护法上有必要规定不适用告知同意规则的例外情形,即所谓处理者可以基于法定的许可(legal permission)而未经个人同意处理其个人信息。从比较法上来看,欧盟的《一般数据保护条例》以及德国、英国、美国、日本、韩国等国家的数据保护法或个人信息保护法中,对于不适用告知同意规则,即无需取得个人同意即可处理个人信息的情形作出了明确而又具体的规定。

我国民法典第一千零三十五条第(一)项规定,处理个人信息的,应当征得该自然人或者其监护人同意,但是法律、行政法规另有规定的除外。所谓法律、行政法规另有规定的除外情形,就是法定许可的情形。

民法典规定了3类情形:一是为公共利益实施新闻报道、舆论监督等行为的,可以合理使用民事主体的个人信息(第九百九十九条);二是合理处理该自然人自行公开的或者其他已经合法公开的信息,但是该自然人明确拒绝或者处理该信息侵害其重大利益的除外[第一千零三十六条第(二)项];三是为维护公共利益或者该自然人合法权益,合理实施的其他行为[第一千零三十六条第(三)项]。

当前,我国正在起草个人信息保护法,个人信息保护法草案二审稿(以下简称《二审稿》)第十三条第一款对不适用告知同意规则的例外情形作出了详细规定。对这些规定应当如何理解,存在的问题有哪些,值得深入研究。

一、订立或履行个人作为一方当事人的合同

依据《二审稿》第十三条第一款第(二)项和第二款的规定,为订立或者履行个人作为一方当事人的合同所必需时,个人信息处理者不需要取得个人同意即可处理个人信息。

所谓“为订立或履行个人作为一方当事人的合同所必需”,是指当个人作为一方当事人与作为另一方当事人的处理者正在订立合同或者履行已经成立的合同。

处理者必须处理该个人的某些个人信息才能与之缔结合同或履行合同。这种例外情形仅适用于处理者与个人作为平等的民事主体之间订立或履行合同的场合,所谓合同主要就是民事合同,我国民法典第四百六十四条第一款规定,合同是指“民事主体之间设立、变更、终止民事法律关系的协议。”

例如,A公司经营一家网店销售食品,顾客B浏览该网站后想向A公司购买某些食品。此时,A公司为了向B交货,就必须收集B的收货地址、姓名和必要的联系方式。如果B通过银行转账或信用卡支付,那么A公司就需要处理顾客B的银行账户或信用卡信息。当然,如果是货到付款,则A公司无需处理此等信息。

目前,我国行政诉讼法等法律和司法解释上还有所谓的行政协议,即行政机关为了实现行政管理或者公共服务目标,与公民、法人或者其他组织协商订立的具有行政法上权利义务内容的协议,如政府特许经营协议;土地、房屋等征收征用补偿协议;矿业权等国有自然资源使用权出让协议;政府投资的保障性住房的租赁、买卖等协议;某些政府与社会资本合作协议等(最高人民法院《关于审理行政协议案件若干问题的规定》第2条)。

行政协议兼具行政性与协议性,既有行政行为的属性,又采取了合同的方式,故此,行政协议中是否存在订立或履行该协议所必须的个人信息的情形,需要具体判断,如果从平等主体的角度而言,存在这种需要,则可以适用《二审稿》的该项规定,否则可以依据第十三条条第一款第(三)项关于履行法定职责所必需的规定。

对于哪些个人信息的处理属于为订立或履行合同所必需,笔者认为,应当在合同订立或履行前就基于全部的具体情形加以分析评估。

具体而言,一方面,应当符合比例原则,也就是说,需要考虑是否存在侵入性比处理个人信息更小的方式,如果有此种方式,就不满足第十三条第一款第(一)项的要求。

另一方面,要从处理者与信息主体等双方当事人的角度来考虑合同的目的,即对于实现合同的目的而言,信息的处理是否必不可少。处理个人信息的主体依据该项规定处理个人信息的,处理者负担证明责任,其必须证明如果有关个人信息的特定处理活动不在不取得个人同意的情形下就进行的话,那么个人作为一方当事人的该合同就无法订立或者予以履行。

当然,依据该项规定,处理者虽然可以不取得个人的同意就从事处理特定个人信息的行为,但是,处理者在个人信息处理中负有的其他义务不受影响,其仍然应当履行确保个人信息处理活动符合法律、行政法规的规定以及保护个人信息安全的义务。对此,民法典等法律有相应的规定。

例如,民法典第五百零九条第二款规定:“当事人应当遵循诚信原则,根据合同的性质、目的和交易习惯履行通知、协助、保密等义务。”第五百五十八条规定:“债权债务终止后,当事人应当遵循诚信等原则,根据交易习惯履行通知、协助、保密、旧物回收等义务。”这两条中规定的保密义务,即包括对个人信息的保密义务。

需要注意的是,《二审稿》的上述规定借鉴了欧盟《一般数据保护条例》的规定。该条例第6条第1款第(1)项b目规定:“处理是数据主体作为合同主体履行合同之必要,或者处理是因数据主体在签订合同前的请求而采取的必要措施”时,该处理是合法的,也就是说,处理行为即便没有告知并取得数据主体的同意也是合法的。

欧盟《一般数据保护条例》这一规定未改变1995年《欧洲议会以及欧盟理事会关于在个人资料处理和个人资料自由流通过程中对个人资料进行保护的指令(95/46号指令)》第7条的规定。《一般数据保护条例》作此规定的理由在于:如果对于合同一方当事人(即数据主体)的数据的处理,对于该合同的另一方当事人(即数据控制者)履行该合同是必要的,那么后者对该数据的处理就是有法律基础的。因为数据控制者作为合同的当事人,根据一般的法律原则负有履行其合同的法定义务,因此为履行合同义务而处理数据的合法性也可以理解为法定义务甚至控制者的合法利益的特殊情况,这一规定能够大大地简化《一般数据保护条例》列举合法处理情形的清单。



但是,《二审稿》第十三条第一款第(二)项与欧盟《一般数据保护条例》上述规定的不同之处在于,我国扩张了例外情形的范围,即不仅为了履行个人作为一方当事人的合同所必需的,而且为了订立个人作为一方当事人的合同所必需的,都可以不适用告知同意规则,不需要取得个人同意。

笔者认为,将合同还没有成立时仅仅是缔约磋商或者初步接触的情形也作为不适用告知同意规则的情形,是不合适的。

首先,合同没有合法成立前,处理者既不负有法定的也不负有约定的履行合同的义务,故此,其不存在可以排除适用告知同意规则而处理个人信息的确定的正当利益。

其次,合同订立阶段即前合同关系的范围很广泛,既包括个人仅仅是出于兴趣而询问价格、了解相关商品或服务信息的阶段,也包括双方进入实质性的缔约磋商阶段,在这些阶段中,自然人当然可以主动向处理者提供个人信息或请求处理者处理自己的个人信息,从而顺利缔结合同并在将来履行合同。

当然,自然人在订立合同的阶段也完全可以不提供个人信息,如果因此导致合同无法成立,也是其自负责任而已,不应当允许处理者有权不经告知同意即可处理个人信息。例如,张三走进A 商场,该商场未经其同意即通过其手机信号而收集其位置信息,并推送广告。如果仅仅将自然人走入商场就视为订立合同的意思表示,那么A商场收集张三的地理位置的信息就成为合法的处理行为,这显然是错误的。

正因如此,《一般数据保护条例》第6条第1款第(1)项b目并不包括为订立合同而必须处理个人信息的情形。条例的起草者认为,合同订立前的各个阶段很多,差别很大,当事人前合同关系是非常模糊的,不能认为在订立合同阶段就可以回避告知同意规则。

为更好地保护数据主体的权益,一方面,《一般数据保护条例》在第6条第1款第(1)项b目中增加了一种情形,即“处理是因数据主体在签订合同前的请求而采取的必要措施”,如果不是数据主体的请求,那么仅仅在前合同关系中,还不能认为处理者有权不经告知同意即可处理信息主体的个人信息;另一方面,如果在前合同阶段,确实是为了数据主体的利益,处理者要么取得数据主体的同意,要么在符合《一般数据保护条例》第6条第1款第(1)项f目的规定,即“处理是控制者或者第三方为了追求合法利益之必要”时,可以不经数据主体的同意,“但此利益与被要求保护个人数据的数据主体的利益或基本权利自由相冲突的除外,尤其是数据主体为儿童的情形下”。

二、履行法定职责或者法定义务

从比较法上来看,各国各地区的数据保护法和个人信息保护法都将履行法定职责和法定义务作为不适用告知同意规则的典型情形。

例如,欧盟《一般数据保护条例》第6条第1款第(1)项c目和e目就分别规定了“处理是控制者履行法律义务之必要”以及“处理是为了执行公共利益领域的任务或行使控制者既定的公务职权之必要”这两种不适用告知同意规则的情形。

再如,韩国个人信息保护法第15条第1款第(2)项、第(3)项规定,“法律上有特别的规定或者为了遵守法律上的义务而不可避免的情形”以及“公共机关为执行法令等规定的所管业务而不可避免的情形”,个人信息处理者可以收集个人信息,并在其收集目的范围内使用。

我国《二审稿》第十三条第一款第(三)项明确规定,为履行法定职责或者法定义务所必需的,个人信息处理者可以不取得个人同意而进行个人信息的处理。

所谓法定职责包括法定职权和法定责任,是指立法机关、行政机关以及司法机关等公权力机关依据法律法规的规定而享有的职权以及必须履行的义务。

履行法定职责是依法治国原则的体现,即一方面,公权力机关的职权来自法律法规的授权,不得任意扩张其职权,否则就是超越职权范围的违法行为;另一方面,公权力机关依法行使职权是其法定的责任,不依法履行职责也属于违法行为,应当承担法律责任。中共中央《关于全面推进依法治国若干重大问题的决定》明确指出:“依法全面履行政府职能。完善行政组织和行政程序法律制度,推进机构、职能、权限、程序、责任法定化。行政机关要坚持法定职责必须为、法无授权不可为,勇于负责、敢于担当,坚决纠正不作为、乱作为,坚决克服懒政、怠政,坚决惩处失职、渎职。行政机关不得法外设定权力,没有法律法规依据不得作出减损公民、法人和其他组织合法权益或者增加其义务的决定。推行政府权力清单制度,坚决消除权力设租寻租空间。” 

为确保公权力机关能够履行法定职责,《二审稿》第十三条第一款第(三)项规定,为履行法定职责所必需的,不需要取得个人同意。

例如,依据道路交通安全法第十九条的规定,驾驶机动车,应当依法取得机动车驾驶证。申请机动车驾驶证,应当符合国务院公安部门规定的驾驶许可条件;经考试合格后,由公安机关交通管理部门发给相应类别的机动车驾驶证。

故此,自然人在向公安机关交通管理部门申请机动车驾驶证时,必须提供相应的个人信息,公安机关交通管理部门可以无需取得个人的同意。

再如,我国刑事诉讼法第一百三十二条第一款规定:“为了确定被害人、犯罪嫌疑人的某些特征、伤害情况或者生理状态,可以对人身进行检查,可以提取指纹信息,采集血液、尿液等生物样本。”显然,这种情形下,公安机关或检察机关为侦查犯罪而强制收集个人生物识别信息等,就属于履行法定职责,无需取得个人同意。

需要注意的是:

首先,法定职责中的“法”是广义的法,既包括全国人大及其常委会颁布的法律,也包括行政法规、地方性法规、部门规章和地方政府规章等规范性法律文件。

其次,国家机关等为履行法定职责而处理个人信息时,只有为履行法定职责所必需的,才可以不需要取得个人同意。这就是说,并非只要是国家机关为履行法定职责而处理个人信息的,就一定是不需要取得个人同意的情形。

对此,《二审稿》第三十五条规定:“国家机关为履行法定职责处理个人信息,应当依照本法规定向个人告知并取得其同意;法律、行政法规规定应当保密,或者告知、取得同意将妨碍国家机关履行法定职责的除外。”

由此可知,只有在取得同意将妨碍国家机关履行法定职责时,才属于履行法定职责所必需的,否则,国家机关为履行法定职责而处理个人信息的,仍然需要告知并取得个人同意。

所谓法定义务,是指信息处理者依据法律法规的规定而负有的义务。法定义务不同于法定职责,后者仅指公权力机关即国家机关以及法律法规授权的具有管理公共事务职能的组织,前者则限于普通的民事主体即自然人、法人和非法人组织。

我国法律中规定了很多的法定义务,例如,我国社会保险法、劳动合同法、劳动法、工伤保险条例等法律法规要求,职工应当参加工伤保险,由用人单位缴纳工伤保险费,职工不缴纳工伤保险费。

故此,用人单位在为职工投保工伤保险时,就必须收集职工的相关个人信息,否则就无法履行该义务。

再如,依据我国反洗钱法的规定,金融机构负有反洗钱的法定义务,该义务就包括必须从事某些个人信息处理行为,

例如,依据反洗钱法第十六条的规定,金融机构应当按照规定建立客户身份识别制度。金融机构在与客户建立业务关系或者为客户提供规定金额以上的现金汇款、现钞兑换、票据兑付等一次性金融服务时,应当要求客户出示真实有效的身份证件或者其他身份证明文件,进行核对并登记。客户由他人代办业务的,金融机构应当同时对代理人和被代理人的身份证件或者其他身份证明文件进行核对并登记。与客户建立人身保险、信托等业务关系,合同的受益人不是客户本人的,金融机构还应当对受益人的身份证件或者其他身份证明文件进行核对并登记。金融机构不得为身份不明的客户提供服务或者与其进行交易,不得为客户开立匿名账户或者假名账户。金融机构对先前获得的客户身份资料的真实性、有效性或者完整性有疑问的,应当重新识别客户身份。任何单位和个人在与金融机构建立业务关系或者要求金融机构为其提供一次性金融服务时,都应当提供真实有效的身份证件或者其他身份证明文件。当然,金融机构对在履行反洗钱的法定义务中获取的个人信息,负有保密的义务,不得泄露,非依法律规定,不得向任何单位和个人提供(反洗钱法第五条第一款)。

虽然在为了履行法定职责或者法定义务所必需的情形下,不需要取得个人同意即可处理个人信息,但是,由于不同的组织或个人履行法定职责或法定义务的情形很复杂,目的也各不相同,因此,这些不需要个人同意的处理行为在强制性程度上是存在差别的。

例如,公安机关或检察机关为了侦查犯罪而必须取得个人信息,强制性程度就非常高,因为这涉及维护国家秩序和公共利益,不存在商量或选择的余地。

故此,在国外的立法中往往将这种情形排除在个人信息保护法的适用范围之外。

例如,欧盟《一般数据保护条例》第2条第2款d目规定:“有权机关以预防、调查、侦查或起诉刑事犯罪,或执行刑事处罚为目的,包括保障并预防公共安全受到威胁”而进行的数据处理活动,不适用本条例。

然而,社会保险经办机构作为依据法律授权而具有管理社会保险事务职能的组织(社会保险法第八条),其在履行法定职责时也有权处理个人信息,对此,社会保险法第七十四条第一款规定:“社会保险经办机构通过业务经办、统计、调查获取社会保险工作所需的数据,有关单位和个人应当及时、如实提供。”

但是,社会保险经办机构强制处理个人信息的必要性就没有那么高,即便个人不同意或拒绝提供,社会保险经办机构显然也不可能采取强制手段。

故此,《二审稿》第三十五条才规定,国家机关为履行法定职责处理个人信息,应当依照本法规定向个人告知并取得其同意,但告知、取得同意将妨碍国家机关履行法定职责的除外。

三、应对突发公共卫生事件

所谓突发公共卫生事件,是指突然发生,造成或者可能造成社会公众健康严重损害的重大传染病疫情、群体性不明原因疾病、重大食物和职业中毒以及其他严重影响公众健康的事件。

突发公共卫生事件属于突发事件的一类。依据我国突发事件应对法第三条的规定,突发事件是指突然发生,造成或者可能造成严重社会危害,需要采取应急处置措施予以应对的自然灾害、事故灾难、公共卫生事件和社会安全事件。

依据我国传染病防治法、突发事件应对法、突发公共卫生事件应急条例的规定,在发生突发公共卫生事件时,为了防控疫情,保护广大人民群众的生命财产安全,政府将依法采取相应的应急处置措施,包括:组织营救和救治受害人员,疏散、撤离并妥善安置受到威胁的人员以及采取其他救助措施;迅速控制危险源,标明危险区域,封锁危险场所,划定警戒区,实行交通管制以及其他控制措施;立即抢修被损坏的交通、通信、供水、排水、供电、供气、供热等公共设施,向受到危害的人员提供避难场所和生活必需品,实施医疗救护和卫生防疫以及其他保障措施;禁止或者限制使用有关设备、设施,关闭或者限制使用有关场所,中止人员密集的活动或者可能导致危害扩大的生产经营活动以及采取其他保护措施;采取防止发生次生、衍生事件的必要措施等。

在现代信息社会,借助大数据分析手段,位置信息、行动轨迹等个人信息在疫情预测预警、人员流动监控、物资调配分发等方面发挥了重要作用。这一点在最近两年来我国的新冠肺炎疫情防控中得到了鲜明的体现。

故此,为了更好地应对突发公共卫生事件,《二审稿》第十三条第一款第(四)项明确,为应对突发公共卫生事件所必需时,可以不取得个人同意而处理个人信息。

当然,虽然不需要取得个人的同意,但是相关部门对于处理的个人信息必须依法采取保密措施并履行信息处理者的相应义务,保护相关人员的隐私权和个人信息权益,从而实现保护合法权益与疫情防控、维护公共利益之间的协调。

四、紧急情况下保护自然人的生命健康和财产安全

依据民法典第一千零三十六条第(三)项,为了作为个人信息主体的“该自然人合法权益”,可以不经过自然人或其监护人的同意而合理实施个人信息的处理行为,行为人不承担民事责任。

所谓维护该自然人的合法权益,是指为了维护作为个人信息主体的自然人的人身财产权益。

例如,甲突发疾病而生命垂危,急需在掌握其既往病史等个人信息的基础上进行对应的抢救治疗,而又无法取得其本人或近亲属的同意。此时,为了挽救甲的生命,可以实施个人信息的处理行为。

比较法上许多国家或地区的个人信息保护立法中也有相同的规定,例如,欧盟《一般数据保护条例》第23条第1款第i目规定,为了“对数据主体或其他人的权利与自由的保护”,根据数据控制者或处理者应遵守的欧盟或成员国的法律规定,可以通过立法措施限制该条例第12条至第22条,第34条及第5条的权利与义务的范围,只要该限制符合该条例第12条至第22条规定的权利和义务,且实质符合基本权利和自由的本质,且是民主社会应采取的必要的适当的措施。

该条例在序言第46条指出:“当关乎数据主体或其他自然人至关重要的生命利益时,个人数据处理也应该被认为是合法的。基于其他自然人的切身利益而处理个人数据,原则上应仅在处理不能基于另一法律基础的情况下进行。某些类型的处理可能满足重要的公共利益和数据主体的切身利益,例如当处理是用于人道主义目的所必须的,包括监测传染病及其传播或紧急人道主义情况下,特别是在自然和人为灾害的情况下。”

再如,日本个人信息保护法第17条第2款第(2)项以及第23条第1款第(3)项规定,“为保护人的生命、身体或财产而有必要,却又难以取得本人同意的情形”,个人信息处理业者可以未事先取得本人的同意而获取自然人的个人数据,或者将其个人数据提供给第三人。

事实上,不仅为了维护个人信息或个人数据主体自身的合法权益可以实施对个人信息的合理使用,就是为了维护自然人之外的其他民事主体的合法权益时,也可以针对该自然人的个人信息实施合理使用行为。


民法典第一千零三十六条第(三)项仅规定了维护作为个人信息权益主体的“该自然人”合法权益,没有规定维护其他民事主体合法权益时的合理使用,但并不意味着我国民法典对此存在缺漏。

因为,如果是为了维护其他民事主体的合法权益而需要合理使用个人信息的话,那么该等情形属于紧急避险,完全可以适用民法典第一百八十二条,而无需重复规定。

为了明确此种情形,《二审稿》第十三条第一款第(四)项后半句作出了规定。依据本句之规定,只要是在紧急情况下为了保护自然人的生命健康和财产安全所必需的,就可以不需要取得个人同意,处理者即可实施个人信息处理行为。

相比于民法典第一千零三十六条第(三)项,《二审稿》第十三条第一款第(四)项后半句规定的特点在于:

一方面,明确了维护的法益是自然人的生命健康和财产安全。自然人的生命健康和财产安全是对于自然人而言更重要的利益,故此,在位阶上,对这些利益的保护应当优先于对个人信息的保护。

另一方面,由于《二审稿》的本句规定并未限定被保护的自然人,故此,无论是保护作为信息主体的自然人的生命健康和财产安全,还是保护其他自然人的生命健康和财产安全,都可以无需取得个人同意而实施个人信息处理行为。

关于《二审稿》第十三条规定的“紧急情况下为保护自然人的生命健康和财产安全所必需”的适用,需要注意的一个问题是,其与该条第一款所规定的其他各种不需要个人同意的例外情形的关系问题。

由于判断是否属于紧急情况下为保护自然人的生命健康和财产安全所必需具有不确定性,而《二审稿》第十三条第一款其他各项规定的不适用告知同意规则的情形相对比较确定,故此,在能够适用其他例外情形,如为履行法定义务或应对突发公共卫生事件,或者法律、行政法规有明确规定的其他情形时,就不能适用本项的规定。

欧盟《一般数据保护条例》也遵循这一逻辑。该条例在序言部分的第46条指出,“基于其他自然人的切身利益而处理个人数据,原则上应仅在处理不能基于另一法律基础的情况下进行”。

例如,民法典第一千零五条规定:“自然人的生命权、身体权、健康权受到侵害或者处于其他危难情形的,负有法定救助义务的组织或者个人应当及时施救。”这个法定救助义务就是法定义务。

而我国现行法律中明确规定了法定救助义务的单位或个人如人民警察(人民警察法第二十一条第一款第一句、反家庭暴力法第十五条)、人民武装警察(人民武装警察法第二十八条)、消防队(消防法第四十四条第四款),医师、护士及医疗机构(执业医师法第二十四条、医疗机构管理条例第三十一条、护士条例第十七条第一款)等。

故此,上述负有法定救助义务的主体,为了履行该义务而必须处理个人信息的,应当适用本条第1款第(3)项的规定,而不适用《二审稿》第十三条第一款第(四)项后半句规定的例外情形。

五、合理范围内处理已公开的个人信息

对于已经合法公开的个人信息,无论是自然人自行公开的还是其他已经合法公开的个人信息,原则上是可以无需告知并取得自然人的同意即进行合理处理的,因为这有利于促进信息的流动与合理利用,对于网络信息社会和数字经济的发展是有利的。

我国民法典第一千零三十六条第(二)项规定,合理处理该自然人自行公开的或者其他已经合法公开的信息的,行为人不承担民事责任,除非该自然人明确拒绝或者处理该信息侵害其重大利益。这就是说,对于已经合法公开的个人信息,行为人原则上可以无须告知该自然人,也无需取得其同意,就可以进行处理,只要这种处理是合理的,并且该自然人没有明确拒绝,或者处理该信息没有侵害其重大利益。

申言之,一方面,即便是已经合法公开的个人信息依然受到个人信息保护法的保护,自然人对这些个人信息并不因其公开而失去控制的权利,其有权拒绝他人对这些信息进行处理。另一方面,由于个人信息的保护对于维护自然人的人格尊严和人格自由具有很重要的意义,所以即便是已经合法公开的个人信息,也不得任意进行处理,如果处理该信息将侵害自然人的重大利益,也要承担民事责任。

所谓“侵害自然人重大利益”的情形,是指该处理将有害于自然人的生命、身体、自由、财产或其他重大利益。

在我国个人信息保护法的起草过程中,个人信息保护法草案一审稿并没有在第十三条单列对已合法公开的个人信息的合理处理行为,到《二审稿》时,才增加了本项规定。

这一修改是正确的,一则可以使得未来个人信息保护法的规定与民法典保持一致,二则也和比较法上立法例相互一致。

例如,欧盟《一般数据保护条例》第9条第2款规定,在处理被数据主体明显公开的个人数据时,不适用本条第1款禁止处理的规定。但是,如果该自然人明确拒绝对已合法公开的个人信息的处理或者处理该信息侵害其重大利益的除外。

再如,日本个人信息保护法第17条第2款第(5)项规定,当“该需注意的个人信息已经被本人、国家机关、地方公共团体、第76条第1款各项规定的主体及《个人信息保护委员会规则》规定的其他主体公开的情形”,则个人信息处理业者可以无需事先取得本人的同意。

关于在合理范围内处理已公开的个人信息,需要注意以下几点:

首先,个人信息处理者处理的必须是已经合法公开的个人信息。

一方面,个人信息必须是客观上已经公开的个人信息。所谓公开,是指信息主体向不特定的人公开,即不特定的人都是可以通过合法的途径而获取该信息的。例如,在接受记者的采访中公开自己的个人信息,他人皆可通过网络搜索而合法获得。但是,如果信息主体只是在很小的亲友圈子内公开,如在微信的朋友圈中公开,那么无论该朋友圈中的人数是数人还是数百人,由于只有特定的人才可以获得该个人信息,只能认为信息主体是向该朋友圈中的特定人公开,而不能认为其已经公开个人信息。

另一方面,已经公开的个人信息必须是自然人自行公开的或者其他已经合法公开的信息,也就是说,如果他人通过实施侵权行为甚至犯罪行为而非法披露或公开的个人信息,也不属于已经公开的个人信息,不能适用本条规定。

其次,即便是对于已经公开的个人信息进行处理,也必须是在合理的范围内,即遵循合法、正当、必要等原则。如果使用不合理,依然会构成对自然人的个人信息权益的侵害行为。这是因为,由于个人信息的保护对于维护自然人的人格尊严和人格自由具有很重要的意义,所以即便是已经合法公开的个人信息,也不得任意进行处理。

所谓合理与否,必须考虑两方面:

一是处理的目的是否合理。对此,《二审稿》第二十八条作出了详细的规定;

二是处理的方式是否合理,即如果有侵害性更小的处理方式时,就不能采取侵害性更大的处理方式。

再次,即便是合理处理已经公开的个人信息,但如果该自然人明确拒绝或者处理该信息侵害其重大利益的,除非取得该自然人的同意,否则也不得进行处理。

民法典第一千零三十六条第(二)项规定:“合理处理该自然人自行公开的或者其他已经合法公开的信息,但是该自然人明确拒绝或者处理该信息侵害其重大利益的除外”。

《二审稿》则从被公开的个人信息的用途以及是否对个人有重大影响的角度进行了限制。

《二审稿》第二十八条第一款规定:“个人信息处理者处理已公开的个人信息,应当符合该个人信息被公开时的用途。超出与该用途相关的合理范围的,应当依照本法规定取得个人同意。”

第二款规定:“个人信息被公开时的用途不明确的,个人信息处理者应当合理、谨慎地处理已公开的个人信息。利用已公开的个人信息从事对个人有重大影响的活动,应当依照本法规定取得个人同意。”

问题是,处理者即便没有超出个人信息被公开时的用途,利用该信息从事的也不是对个人有重大影响的活动,那么个人是否可以在得知该处理活动后明确表示反对,从而禁止处理者处理其公开的个人信息呢?

笔者认为,回答是肯定的。法律允许处理者在没有取得同意的情形下,合理处理已公开的个人信息,是为了实现信息的合理利用,但是,个人对其个人信息享有决定权,有权限制或拒绝他人对其个人信息进行处理。此种拒绝不仅包括在取得同意后撤回同意,也包括对于无需其同意而合理处理已公开个人信息的情形,除非法律、行政法规另有规定。

六、为公共利益实施新闻报道、舆论监督等行为

依据民法典第九百九十九条,为公共利益实施新闻报道、舆论监督等行为的,可以合理使用自然人的个人信息,使用不合理侵害民事主体人格权的,应当依法承担民事责任。

《二审稿》第十三条第一款第(六)项也规定,“为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息”的,不需要取得个人同意。

这两项虽然都明确了对个人信息的合理使用,但是侧重点不同。

民法典强调的是此种对个人信息的使用行为不构成对自然人的个人信息权益的侵害。

《二审稿》则强调的是无需取得个人的同意。至于处理中是否合理,是否构成对个人信息权益的侵权行为,则依据民法典的规定处理。

所谓“为公共利益实施新闻报道、舆论监督等行为而合理处理个人信息”是指:

首先,必须是新闻报道、舆论监督等行为。

所谓新闻报道,就是指对新近发生的事实进行的报道。在我国,能够进行新闻报道的是依法设立的新闻单位,如报纸出版单位、新闻性期刊出版单位、通讯社、广播电台、电视台、广播电视台、新闻网站、网络广播电视台等。

舆论监督是从功能或作用意义上使用的概念,简单地说,就是通过形成公众言论而对公共事务、热点事件等与公共利益、国家利益相关的事情予以监督并加以评论的活动。以往,舆论监督一般就是指新闻单位所做的新闻报道中的批评性报道。然而,在社交媒体时代,不仅仅是新闻单位,自媒体上的普通用户的言论集合也可以形成舆论监督。一般的社会大众也可以很容易地通过网络(如微信、微博、Facebook、推特、博客、个人网站)等途径向外发布、分享某些事实与观点,评论公共事务,从而发挥舆论监督功能。其次,必须是为了公共利益。

我国民法典之所以专门规定,为公共利益实施新闻报道、舆论监督等行为可以合理使用个人信息,可以不经个人同意而处理个人信息,就是因为在为公共利益而实施的新闻报道、舆论监督中不可避免地要涉及特定的自然人,会使用自然人的姓名、性别、家庭住址等一系列个人信息,如果使用这些个人信息都要逐一告知并征得自然人的同意,在自然人不同意的情况下就不能使用,新闻报道就无法正常进行。
尤其是为了维护公共利益的舆论监督,本来就是要揭露各种不道德的、违法和犯罪的人与事情,打击邪恶,监督公权力,维护社会正义,这是自由与法治的社会所不可或缺的。故此,更有必要合理使用自然人的个人信息。
总之,为公共利益而实施新闻报道、舆论监督的行为,对于维护广大民事主体的合法权益,保护表达自由,具有不可替代的重要作用,至于与公共利益无关,完全是娱乐性的新闻报道或者仅仅是涉及个人的不道德或违法行为的舆论监督,不能适用本项规定,如果处理者未经同意而处理他人的个人信息,就构成侵权。

作者:程啸 王苑

作者单位:清华大学法学院

 

   本法涉及的罪名:侵犯公民个人信息罪(第253条之一)
 


法律数据更新与维护:窦振东 微信 drxsfd