论敏感个人信息的合理使用
2022-03-15李世刚
李世刚 屈 然
内容提要 为平衡个人信息的保护与利用,促进数字经济的有序发展,《个人信息保护法》第13条确立的个人信息合理使用制度应被解释为可适用于敏感个人信息。有关敏感个人信息处理需要获得“单独同意”“监护人同意”的特殊规则,系针对处理个人信息需取得信息主体同意之一般规定的特别规定,并非排斥、否认《个人信息保护法》第13条第1款第2—7项所列个人信息合理使用情形在敏感个人信息处理领域的适用。在依据第13条合理使用敏感个人信息时,一方面应受《个人信息保护法》第28条“特定的目的”和“充分的必要性”之规定的“双重约束”;另一方面应始终围绕保护信息主体人格权益对合理使用情形加以严格解释,防止宽泛适用导致合理使用制度的滥用。
一、引言
《中华人民共和国民法典》(以下简称《民法典》)确立了个人信息保护的私法框架,将“知情-同意”原则设定为个人信息处理行为合法性的基础(第1035条)。同时,为平衡个人信息的保护和利用,例外地设立了个人信息的合理使用制度,允许个人信息处理者不经信息主体或监护人同意直接处理个人信息,基于法律规定而赋予处理行为以合法性。例如《民法典》第1036条及第999条列举了个人信息合理使用的若干情形。更进一步的是,《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)第1条明确将“促进个人信息合理利用”作为其立法目的,且第13条在“取得个人的同意”外还列举了6项合理使用个人信息的更加具体之情形。
不过,敏感个人信息合理使用的正当性及其边界依然需要在理论上进行探讨。例如,《个人信息保护法》第13条确立的合理使用制度是否适用于敏感个人信息?基于处理敏感个人信息可能使自然人的权益面临高度风险,第13条关于个人信息合理使用的一般规则可否不加严格限制即作为敏感个人信息的处理规则?面对比较法对个人信息权益克减的趋势以及敏感个人信息的特殊性,解释论上需要对此予以回应。
二、敏感个人信息合理使用的体系解释
为平衡个人信息保护立法所兼顾的“保护个人信息权益”和“促进个人信息合理利用”的立法目的,《民法典》在确认个人信息权益性质、内容及保护规则的同时,设定了个人信息合理使用制度。《民法典》第1036条为信息处理者列举了多种不经自然人同意而得以合法处理个人信息的情境,阻却信息处理者处理个人信息行为的违法性,如处理自然人自行公开或其他已经合法公开的信息,以及为维护公共利益或该自然人合法权益。此外,第999条还规定“为公共利益实施新闻报道、舆论监督等行为的,可以合理使用民事主体的个人信息”。由于上述规范并未对个人信息的种类作区分,《民法典》中个人信息合理使用制度应当被认为同时适用于敏感个人信息和非敏感个人信息。
而在《个人信息保护法》第二章“个人信息处理规则”框架内,立法者于第一节“一般规定”之后设立第二节“敏感个人信息的处理规则”,显然是将后者作为前者的特别规定——该第二节有特别规定的,应适用该节规定;没有特殊规定的,则优先适用第一节的“一般规定”。由此,第二节中第29条和第31条的解释成为敏感个人信息合理使用制度的关键。第29条和第31条分别确立了处理敏感个人信息的“单独同意”规则和处理不满十四周岁未成年人个人信息的“监护人同意”制度。就二者与第一节中规定处理个人信息7类合法情形的第13条第1款的关系,可以有两种解释:一种解释是第29条和第31条排除第13条第1款之全部7类合法情形,即在一切情形下,处理敏感个人信息均应当取得信息主体的单独同意,并且于处理不满十四周岁未成年人个人信息时,还应取得未成年人父母或者其他监护人的同意。申言之,在此种理解下,不存在敏感个人信息的合理使用制度。另一种解释是第29条和第31条确立的“单独同意”规则和“监护人同意”制度仅作为第13条第1款第1项“取得个人同意”之例外,不排除、不否认第13条第1款第2到7项可适用于敏感个人信息。后一种解释更符合《个人信息保护法》《民法典》及其他法律规范的体系目标,有助于相关规范的协调从而保障法秩序之统一,切合《个人信息保护法》的立法目的,兼顾民事权益保护和数字经济发展的双重目标。
1.《个人信息保护法》之外部体系视角
(1)《宪法》第51条为个人信息权益之克减提供了宪法依据
《宪法》第51条规定,“公民在行使自由和权利的时候,不得损害国家的、社会的、集体的利益和其他公民的合法的自由和权利”。尽管信息主体对个人信息享有知情权、同意权和拒绝权等一系列权能,但当个人信息权益与公共利益、他人的合法权益产生冲突,经利益衡量后,信息主体往往会被要求让渡相应的个人信息权益。
(2)《民法典》与《个人信息保护法》构成个人信息权益保护的一般法和特别法之关系
特别法不应该违背《民法典》的基本原则,即使特别法与《民法典》发生冲突时,也要以基础性法律所体现的价值为依据进行解释,并在《民法典》框架体系内展开[1]王利明:《论〈个人信息保护法〉与〈民法典〉的适用关系》,《湖湘法学评论》2021年第1期。。
有观点认为,《个人信息保护法》是个人信息保护领域的基本法律,它明确了个人信息保护的基本原则和制度,不能将《个人信息保护法》视为民法的特别法[1]周汉华:《个人信息保护的法律定位》,《法商研究》2020年第3期。。诚然,《个人信息保护法》是个人信息保护领域基础性和专门性的法律,但就保护对象而言,个人信息权益是自然人人格权益的构成部分,无论是通过公法还是私法路径对其予以保护均不能改变其作为民事权益的性质。《民法典》确立了个人信息权益在人格权体系中的地位以及我国个人信息保护的基本模式与路径,而《个人信息保护法》则是具体通过公法手段与私法手段对个人权益进行保护的法律。《民法典》作为基本法律,具有普通法的地位和一般性,而《个人信息保护法》作为单行法,其中的私法规范具有特别法的属性,对《民法典》作出了大量的补充和例外规定。在单行法有规定的情况下,单行法应予以优先适用;而在单行法没有规定的情况下,应适用作为一般法的《民法典》。但《个人信息保护法》不能违背《民法典》的基本原则,如关于合法、正当、必要等处理原则、免责事由和侵权责任等[2]石佳友:《〈个人信息保护法〉与〈民法典〉如何衔接协调》,《人民论坛》2021年第2期。,《个人信息保护法》仅是在此基础上对上述制度和规则作出了细化规定。
就个人信息合理使用制度而言,《个人信息保护法》第13条所规定的合理使用情形是对《民法典》第1036条、第999条信息处理者免责条款的整合与细化,适用于包括敏感个人信息在内的全部个人信息。《个人信息保护法》第29条和第31条宜解释为仅针对第13条第1款第1项“取得个人同意”之特别规定,即“单独同意”和“监护人同意”规则,并非针对第13条第1款第2到7项之情形,更不意味着对这些情形的排斥或否认。如此,《个人信息保护法》规定的个人信息合理使用制度与《民法典》保持整体一致,避免了《个人信息保护法》在具体适用时与《民法典》产生柔性或刚性冲突[3]夏伟:《个人信息嵌套保护模式的提出与构造》,《中国政法大学学报》2021年第5期。。
(3)《个人信息保护法》下的敏感个人信息合理使用制度的解释应与其他法律、规范保持一致
除了《民法典》和《个人信息保护法》,也有其他法律、规范对敏感个人信息的合理使用作出了具体规定。《电子商务法》第25条规定:“有关主管部门依照法律、行政法规的规定要求电子商务经营者提供有关电子商务数据信息的,电子商务经营者应当提供。”此处并未对提供的“电子商务数据信息”做匿名化处理之限定,亦即包括了敏感个人信息。显然,“提供”属于《个人信息保护法》所规范的个人信息“处理”情形之一。可见,电子商务经营者根据本条规定“提供”个人信息无需信息主体同意,属于《个人信息保护法》第13条第1款第3项“为履行法定职责或法定义务所必需”之情形,涉及对敏感个人信息的合理使用。《电子商务法》规定了敏感个人信息合理使用制度。《深圳经济特区数据条例》第16条亦指出,数据处理者应当在处理个人数据前征得自然人的同意,法律、行政法规以及该条例另有规定的除外;第18条涉及敏感个人数据的处理规则,即在处理前应征得该自然人的明示同意;第20条将未满十四周岁未成年人个人数据视为敏感个人数据,规定处理前须征得其监护人的明示同意。然而,设置在上述条文之后的第21条规定了处理个人数据可以不征得数据主体同意的情形,包括处理数据主体自行公开或其他已合法公开的数据,为公共利益处理个人数据,为保护数据主体和第三人之利益而处理个人数据。通过体系解释,第21条作为自然人同意规则之例外(即合理使用之场景),适用于该条之前列举的包括敏感个人数据在内的个人数据。在国家标准层面,2020年修订的国家推荐性标准《信息安全技术 个人信息安全规范》(GB/T 35273—2020)亦规定了征得授权同意的例外情形,未对敏感个人信息和非敏感个人信息作区分[4]如《信息安全技术 个人信息安全规范》(GB/T 35273—2020)第5.6条规定了“征得授权同意的例外”,第9.5条规定了“共享、转让、公开披露个人信息时事先征得授权同意的例外”。。
可见,从《民法典》及其他法律规范看,对《个人信息保护法》第13条作可适用于敏感个人信息的解释是恰当的。不同效力等级的规范性法律文件所构成之法律体系应当具备统一性和协调性[1]王学辉:《“依法治法”的整体性图式构建——基于“法”的多重含义的统合与超越》,《当代法学》2011年第1期。,维护法制的统一是维护法制尊严的前提和基础。若法律规定的行为模式不统一,将影响法律的有效施行,可能使法律调整社会关系的功能落空,立法目的难以有效实现[2]杨宗科:《论〈国家安全法〉的基本法律属性》,《比较法研究》2019年第4期。。法秩序的统一性要求法律应被作为一个整体来解释,排除法律规范之间的矛盾,从而保障法的安定性。法律的解释应当先探求由多数法规范有意义的结合状况所显现的“主导形象”,然后以此为基准来解释个别规范[3]卡尔·拉伦茨:《法学方法论》,陈爱娥译,商务印书馆2004年版,第344页。。因此,在不同种类法律规范之间、上位法与下位法之间,应当统一敏感个人信息合理使用的基本制度,维护法秩序的统一性。
2.《个人信息保护法》内部体系之视角
为保证规范的协调与统一,还需要从《个人信息保护法》内部考察该法与敏感个人信息合理使用相关的条文。
第一,就立法目的而言,确立敏感个人信息合理使用制度符合《个人信息保护法》“促进个人信息合理利用”之立法目的。《个人信息保护法》第1条明确指出“保护个人信息权益”和“促进个人信息合理利用”为立法宗旨,表明对个人信息的保护并非其唯一立法目的。为确保信息主体个人权益和公共利益之平衡,《个人信息保护法》于第13条开启了个人信息于“同意”外利用之可能性,系立法者基于“促进个人信息合理利用”、利于数字经济有序发展之考量。信息分享或流通规则是个人信息作为生产要素和资源化利用的关键。建立个人信息流通利用或再利用的渠道,是实现信息社会化的必经之路[4]高富平:《制定一部促进个人信息流通利用的〈个人信息保护法〉》,《探索与争鸣》2020年第11期。。随着大型互联网平台的发展,这种资源交换的广度、深度和便捷度更为突出。过于严苛地束缚信息的流通和利用,抑制了信息处理者的创新行为,不利于数字经济的发展[5]任龙龙:《论同意不是个人信息处理的正当性基础》,《政治与法律》2016年第1期。。敏感个人信息是个人信息的重要组成部分,为保证“促进个人信息合理利用”立法目的之落实,应当通过敏感个人信息的合理使用制度对个人信息权益的边界进行适当限制。当然始终需要强调的是,基于敏感个人信息的特殊性,理应在其合理使用的场域下对其施以更高水平保护。适用敏感个人信息合理使用制度时应对《个人信息保护法》第13条列举情形做严格解释,结合“特定的目的和充分的必要性,采取严格保护措施”,在确保敏感个人信息合理使用的同时,维护信息主体的人格尊严及人身、财产安全。
第二,就体系而言,审视《个人信息保护法》的体例结构可知,第13条位于第二章“个人信息处理规则”第一节“一般规定”中。根据体系解释,该条规定属于在法律没有相反规定的情况下可以普遍适用于个人信息处理的共通规定。一方面,第13条第2款指出:“依照本法其他有关规定,处理个人信息应当取得个人同意,但是有前款第二项至第七项规定情形的,不需取得个人同意。”由此,处于同一章第二节“敏感个人信息的处理规则”之下的规定,包括对于取得个人“单独同意”“监护人同意”等涉及信息主体同意的要求,均属于第13条第2款应当取得个人同意的“本法其他有关规定”,应适用第13条第2款的但书规定。由上可推导出,在第13条第1款第2项到第7项情形下,处理敏感个人信息不需要取得个人的单独同意;处理不满十四周岁未成年人的个人信息时,亦不需要其父母或其他监护人的同意。另一方面,如果立法者希望通过“单独同意”和“监护人同意”制度排除第13条在敏感个人信息领域的适用,则第二节“敏感个人信息的处理规则”的表述应当仿效该章第三节“国家机关处理个人信息的特别规定”之“本节有特别规定的,适用本节规定”的表述,而事实上并没有采用。是故,可将第29条和第31条“单独同意”和“监护人同意”制度仅置于“知情-同意”规则下进行解释。
综上,根据《个人信息保护法》的立法目的和条文体系设置,应当将第二节“敏感个人信息的处理规则”中第29条和第31条的适用场景限定于第13条第1款第1项“取得个人的同意”之情形。
三、敏感个人信息合理使用的比较法观察
在比较法上,基于保护公共利益等个人信息权益克减事由,在敏感个人信息领域不乏合理使用之立法例,并且为顺应数字经济的发展,对敏感个人信息合理使用情形的列举呈现扩张趋势。
1.敏感个人信息合理使用场域的扩张
通过对比较法的考察,为兼顾公共利益、他人利益甚至自然人本人利益,各国普遍在保护个人信息主体权益的基础上创设克减机制,不存在绝对禁止处理敏感个人信息的规定,只是在法律术语或表述上存在差异。
整体而言,有的法域在禁止处理敏感个人信息的同时,允许例外情形的存在,如欧盟《一般数据保护条例》(GDPR)就属此类,在“知情-同意”原则外,依据规定可以合理使用敏感个人信息。有的立法例则采取分散立法模式,如美国在较为敏感的领域采取单独立法的模式许可敏感个人信息的合理使用,而加拿大和新加坡则侧重于保护信息(数据)处理者的商业利益,为提高个人信息处理者间的商业交易效率,非交易相对方的个人信息权益应做出相应的让渡。
具体而言,敏感个人信息在GDPR中被称为“特殊种类个人数据”(special categories of personal data)。在其“鉴于条款”第51条中,欧盟委员会指出特殊种类个人数据即等同于“敏感数据”(sensitive data)——此系1981年欧洲理事会在《关于个人数据自动化处理的个人保护公约》(简称“108号公约”)中提出的概念[1]R.Wong,"Data Protection Online:Alternative Approaches to Sensitive Data?",Journal of International Commercial Law and Technology,2007,2(1),p3.。根据该公约,除非国内法已经提供适当保障,否则禁止自动处理有关种族出身、政治观点、宗教或其他信仰、健康或性生活以及与违法行为、刑事诉讼和定罪有关的个人数据(第6条)。GDPR第9条第1款规定了特殊种类个人数据禁止处理之规则,第2款则出于公共利益等克减事由列举了除同意外的9种例外情形。敏感数据的合理使用本质上是对个人信息主体权益的克减。早在《欧洲保障人权和基本自由公约》(简称《欧洲人权公约》)中对隐私权之限制便采用原则上禁止、例外情形允许的模式。该公约明确禁止干涉隐私权,除非“依照法律”和“民主社会之必要”以满足特定的、令人信服的公共利益(第8条)。不过,《欧洲人权公约》未对隐私权克减的情形进行列举。前述“108号公约”则将个人数据作为独立于隐私权的单独概念进行保护,并引入“敏感数据”术语。遗憾的是,“108号公约”仅规定了数据处理的基本原则(第5条),个人信息处理的详细法律依据缺位是不争的事实。随后《第95/46/EC号保护个人在数据处理和自动移动中权利的指令》(简称“95指令”)在同意之外罗列了4种构成处理特殊种类个人数据合法性依据的要件,包括为雇佣之必要、为自然人的核心利益之必要、非营利机构合法活动之需要以及数据主体明显公开的或为捍卫法律诉求之必需(第8条第2款)。“95指令”因GDPR的实施而被废止,GDPR第9条将除同意外的合理使用特殊种类个人数据的情形扩充至9种。欧盟“95指令”第29条数据保护工作组(即“欧盟第29条工作组”)在第6/2014号意见书中认为,“个人信息权和隐私权一样,都不是绝对权,应当置于特定场景下进行解释”。数据处理者提供适当保障,可以与他人的权利相权衡或以公共利益为由进行限制,强调数据使用价值的实现。可见,敏感个人信息合理使用制度的应用在欧洲呈现持续扩大的态势。
美国在个人信息保护方面采用分散立法模式,应用隐私权保护个人信息,从社会宏观经济利益角度切入,主张以自律模式处理个人信息问题,个人信息流通的限度较大。美国《隐私权法案》第12条规定,在紧急情况下,为了自然人的健康或安全而使用个人记录,行政机关披露个人记录无需征得本人同意。在诸如儿童信息、医疗档案、金融数据等较为敏感的领域,美国立法机关采取单独立法的方式保护个人信息,列举可以不经信息主体同意使用个人信息的场景。例如《健康保险携带和责任法案》(Health Insurance Portability and Accountability Act/1996)规定,出于公共利益之目的,法律法规要求披露相关信息,或基于疾病防治之目的在公共健康监管部门要求下披露,或出于研究目的收集有限的数据集时,可以不经个人同意而披露或收集健康信息(45 C.F.R.§164.502)。在司法领域,美国法院在处理数据协助义务案件时一般会应用“第三方原则”,即第三方机构(如医院、电信运营商、保险公司等)应政府部门要求提供其掌握的个人信息,不受美国宪法第四修正案(公民免受无理由搜查和扣押)的限制[1]韩新远:《个人行为轨迹信息的法律属性与分类保护研究》,《交大法学》2021年第3期。。
与GDPR的定位不同,加拿大《个人信息保护与电子资料法》(The Personal Information Protection and Electronic Documents Act,PIPEDA)和新加坡《个人数据保护法》(Personal Data Protection Act 2012)侧重保护信息(数据)处理者的商业利益,秉持的是平衡个人信息保护和商业发展的理念。二者均未区分敏感个人信息和非敏感个人信息,而采用一体化保护模式。列举了大量无需信息主体同意,甚至无需知情即可被信息处理者收集、使用和披露个人信息的情形。值得关注的是,除了为公共利益和自然人的重大利益等情形外,两部法律都对个人信息处理者间商业交易涉及的部分个人信息作出合理使用的规定:如果信息处理者间为完成预期商业交易之必要,为交易相关之特定目的,并采取相应安全保障措施的,可以在信息主体不知情或未经同意的情况下使用和披露个人信息[2]Art.7.2(1),PIPEDA;Art.1(3),Part 4,First Schedule,Personal Data Protection Act 2012.。
2.敏感个人信息合理使用场域扩张的正当性
很显然,通过敏感个人信息的合理使用促进个人信息的流通,是比较法的共同趋势。
比较法的经验普遍显示,信息主体的个人信息权益在与公共利益冲突的特定场景下应作出让渡。GDPR在“鉴于条款”中明确个人数据权利应当根据比例原则与其他基本权利保持平衡;加拿大《个人信息保护与电子资料法》和新加坡《个人数据保护法》更是为了个人信息处理者间的商业交易效率,设定了对非交易相对方个人信息的合理使用规则。
更进一步,在比较法上,敏感个人信息合理使用情形的列举呈现扩张趋势。即使被称为“最严格数据保护法”的GDPR,为顺应科技的发展和社会之变迁,也从“笼统”到“具体”,使敏感个人信息合理使用的情形更加具象和多元化。“变革的出发点之一便是回应过去二十余年信息技术浪潮快速更迭带来的数据保护新问题。”[3]张新宝、葛鑫:《个人信息保护法(专家建议稿)及立法理由》,中国人民大学出版社2021年版,第23页。现阶段,在保护个人信息权益的同时,设置敏感个人信息的合理使用制度,推动信息合法流通,有助于构筑国家数字经济发展新优势与公平竞争的法治环境。鉴于此,确立敏感个人信息的合理使用制度已成为数字经济时代不可抵挡之趋势。
比较法对敏感个人信息权益的克减情形,可能发生在个人信息权益与公共利益、自然人利益冲突等不同的场景。在敏感个人信息合理使用中,公共利益保护是主要的面向。“个人权利是公共权力正当性的根据,公共权力的行使也应当以扩展个人权利为目的。”基于公权力整合个人和群体利益有差异的职能,可以也必须对个人的权益进行相应限制。但对损害公共利益的行为进行干涉,应当考虑干涉的可能性、必要性和效率性而作出合理的选择[1]叶传星:《在私权利、公权力和社会权力的错落处——“黄碟案”的一个解读》,《法学家》2003年第3期。。因此,应当对敏感个人信息合理使用的情形进行严格的分析与考量,以期寻求信息主体权益与公共利益的平衡。
四、敏感个人信息合理使用的限制
《个人信息保护法》将敏感个人信息定义为“一旦泄露或非法使用,容易导致自然人的人格尊严受到侵害或人身、财产安全受到危害的个人信息”(第28条第1款)。从规范体系考察,处理敏感个人信息与非敏感个人信息的要求区别于是否具有“特定的目的和充分的必要性”(第28条第2款),由此使得二者合理使用的规范方式有所不同,即以特殊、一般之方式分别予以解释。基于前者的高度敏感性,对其进行保护必然区别于一般的个人信息。可见,若简单地将《个人信息保护法》第13条适用于敏感个人信息,将导致敏感个人信息的处理规则基本上与非敏感个人信息没有差别[2]程啸:《怎样建立完善个人信息处理规则》,《经济参考报》2020年11月3日。。因此,敏感个人信息合理使用场景之认定,自然应采取更高程度的约束条件和更加严格的解释标准。
1.特定目的原则和充分必要性原则
根据《个人信息保护法》第28条第2款,只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息。本条作为处理敏感个人信息的特别条款,应适用于敏感个人信息处理的全部情形。第13条第1款第2—7项所规定的情形本身,并不符合特定目的和充分必要性,不能仅以第2—7项的情形作为敏感个人信息合理使用的合法性基础。敏感个人信息的合理使用应受上述第2—7项的情形和第28条“特定的目的”和“充分的必要性”之规定的“双重约束”,但《个人信息保护法》未对“特定的目的”和“充分的必要性”进行具体说明。
特定目的原则在比较法上有可供参考之对象。例如GDPR强调“特定目的原则”之使用,要求处理个人信息必须具备“特定的、明确的、合法的目的”(第5条第1款第b项)。该原则被认为体现在敏感个人信息合理使用的两个阶段:一是收集阶段,个人信息处理者应有特定的收集、使用目的;二是使用阶段的使用限制,要求信息处理者在实际使用敏感个人信息时,目的不得与法律规定的可合理使用的目的相违背[3]龙卫球主编:《中华人民共和国个人信息保护法释义》,中国法制出版社2021年版,第136页。。“特定”是指目的应当在不迟于收集个人信息时确定,目的描述必须提供足够的细节,使之具备辨识度[4]Article 29 Data Protection Working Party,Opinion 03/2013 on purpose limitation 15(Article 29 Data Protection Working Party 00569/13/EN 2013),Adopted on 2 April 2013,p.15.。因此,目的不能过于模糊或流于一般化,诸如“法定职责目的”“公共利益目的”“财产安全目的”等表述就不符合“特定”的要求。在合理使用敏感个人信息时,处理者必须告知信息主体某项具体法定职责或义务、特定突发公共卫生事件或为何种公共利益而处理敏感个人信息,除非有法律、行政法规规定应当保密或者不需要告知的情形。
充分必要性原则的核心功能在于防止个人信息处理者以“合理使用”为名,对敏感个人信息进行过度处理。对于一般的个人信息,其处理只需有“必要性”即可,但对于敏感个人信息而言,处理必须具备“充分的必要性”[5]王利明:《敏感个人信息保护的基本问题——以〈民法典〉和〈个人信息保护法〉的解释为背景》,《当代法学》2022年第1期。,这实质上是对信息处理程度进一步降低。如依《信息安全技术 个人信息安全规范》(GB/T 35273—2020)与《深圳经济特区数据条例》“最小必要原则”的具体要求,信息处理者只能处理最少量的敏感个人信息类型和数量。个人信息的存储时间亦受严格限制,在不需要时应及时删除或作匿名化处理,以此降低信息主体权益受到侵害的风险。
2.敏感个人信息合理使用情形的严格解释
由于敏感个人信息与自然人的人格尊严等基本权利、重大人身利益或财产利益具有极为密切的联系,《个人信息保护法》第13条第1款第2到7项列举之情形,理应基于敏感个人信息的特殊性,作出区分于非敏感个人信息的更为严格的解释。
以GDPR为例,考虑到个人信息的敏感度会随文化背景、科技发展和公众心理的变化而在不同地域和不同时代呈现迥然的样貌[1]K.Mc Cullagh,"Data Sensitivity:Proposals for Resolving the Conundrum",Journal of International Commercial Law&Technology,2009(2),p.199.,欧盟各成员国可以对处理特殊种类个人数据的具体情形施以更详细的规定,原则上不低于GDPR的基本要求[2]李世刚、包丁裕睿、王峥:《欧盟一般数据保护条例:文本和实用工具》,人民日报出版社2018年版,第5页。。
GDPR第9条第2款是欧盟特殊种类个人数据处理的一般规则,各成员国可以根据本国情况变通、选择或保留,原则上不低于其基本要求,各成员国实际制定的标准往往高于GDPR[3]Ana-Elena Iunker,"Applicability of Article 9 of the Regulation(EU)2016/679 on the Protection of Personal Sensitive Data during COVID-19 Pandemic",Conferinta Internationalǎde Drept,Studii Europene si Relatii Internationale,2020,8(8),p.360.。以英国对GDPR第9条第2款第e项(对由数据主体“明显地公开”的特殊种类个人数据的处理不予禁止且无须数据主体的同意)的适用为例,英国信息专员办公室(ICO)对“由数据主体”(by the data subject)和“明显地公开”(manifestly public)分别作出严格解释。首先,“明显地公开”的条件相当于必须通过一个无障碍获取测试,即任何人均可无障碍地获取该个人信息,并且这些信息能够让普通公众实际获取。“明显地公开”解释的关键不在于个人信息在理论上是否属于公共领域(如在图书馆的出版物中或法庭上提及),而在于该信息在实践中是否具有实际的公共属性。其次,关于“由数据主体”之要件,ICO强调了数据主体的意识和自愿的重要性,即应当是个人主动选择将他们的特殊种类个人数据予以公开。例如,数据主体在博客发布自己的健康状况和政治观点等,并不能被想当然地解释为数据主体已明显地将个人信息予以公开。若数据主体对谁能够实际访问数据存在误解,可能造成对个人数据的披露并非出于自愿,结果或将导致处理该特殊种类个人数据的免责事由无效[4]Information Commissioner's Office(UK),"What are the Conditions for Processing?",available at https://ico.org.uk/fororganisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/special-category-data/whatare-the-conditions-for-processing/,last visited on 8 June 2022.。除此之外,某些欧盟会员国利用GDPR第9条第4款禁止处理特定类型的遗传数据。例如,希腊禁止为健康和人寿保险目的而处理遗传数据[5]Art 23,Law 4624/2019(Greece).。
五、敏感个人信息合理使用的展开
综上,我国《个人信息保护法》在征得特别同意之外未单独列举敏感个人信息合理使用的情形,第13条关于个人信息合理使用的一般规则可以适用于敏感个人信息,只是必须附加严格限制。当然,于实践中,第13条所列举的合理使用情况,还需结合敏感个人信息的特点不断完善。
1.为合同、人力资源管理所必需
《个人信息保护法》第13条第1款第2项规定:“为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需。”通过对第13条进行文义解释和体系解释,本项合理使用场景应适用于敏感个人信息,处理时不需要取得信息主体的“单独同意”或“监护人同意”。
不过,值得注意的是,比较法上对此呈现出不同的立法例。尽管GDPR第6条(数据处理的一般规则)规定,“为合同所必需”是合理使用一般个人数据的合法性基础。但是,在涉及特殊种类个人数据(即敏感个人信息)时,“第29条工作组”在2018年发布的《关于GDPR“同意”指南》中强调,GDPR第9条第2款不承认“为合同所必需”是一般禁止处理特殊种类个人数据的例外。因此,就此类数据而言,如果第(b)至(j)项的例外都不适用,则应按照GDPR中的有效同意条件,获得明确同意才是处理此类数据的合法例外[1]Article 29 Data Protection Working Party,Guidelines on consent under Regulation 2016/679,Adopted on 10 April 2018,p.19.。欧盟数据保护委员会(EDPB)于2020年发布《关于GDPR“同意”指南》,对上述观点予以认可[2]European Data Protection Board,Guidelines 05/2020 on consent under Regulation 2016/679,Version 1.1,Adopted on 4 May 2020,p.21.。我国也有学者指出,为订立、履行合同而必需获取或使用自然人个人信息,本质上仍是当事人基于意思自治而进行的同意。因此应将这种情形从个人信息合理使用的依据中排除,否则将与私法自治原则相抵触[3]程啸:《论我国民法典中的个人信息合理使用制度》,《中外法学》2020年第4期。。
2.为履行法定职责或者法定义务所必需
满足《个人信息保护法》第13条第1款第3项规定的“为履行法定职责或者法定义务所必需”,可不需取得个人同意处理其个人信息。这里的“法定职责”和“法定义务”必须是法律具体的规定,应清晰、明确、有可预见性。也就是说,只有法律明确规定了信息处理的性质和目的,个人信息处理者方可基于本项合理使用敏感个人信息。
个人信息处理者履行该法定职责或法定义务还应当遵循比例原则。近年来,比例原则的适用在我国呈现不断扩张的趋势,不仅行政法、刑法等公法领域强调比例原则的指导价值,私法领域也逐渐认可比例原则的作用。更有学者主张比例原则应当作为民法的一项基本原则,强调比例原则在私法领域的普适性[4]郑晓剑:《比例原则在民法上的适用及展开》,《中国法学》2016年第2期。。无论国家机关还是非国家机关,在履行法定职责和法定义务而合理使用敏感个人信息时,均应遵循比例原则。根据比例原则,处理敏感个人信息应当考虑个人信息处理者法定义务或法定职责与信息主体个人信息权益的均衡性,对信息主体利益可能造成的损害应与所要实现的法定目的具有相称性,不能显著失衡。相称性内蕴多元的价值评价,需要在具体个案中综合考量。
3.为应对突发公共卫生事件或者紧急情况下为保护自然人的财产安全所必需
在《个人信息保护法》第13条第1款第4项场景下,为应对“突发公共卫生事件”,合理使用敏感个人信息的主体应仅限于与公共卫生事件相关的行政主体,并遵循法律保留原则。突发公共卫生事件属于突发事件,依据《突发事件应对法》,在进入紧急状态前,行政主体只能采取法律、法规、规章规定的应急处置措施(第69条)。因此,在此情形下,行政机关为应对“突发公共卫生事件”而对自然人生物识别、行踪轨迹等敏感个人信息采取应急处置措施时,只有在法律、法规和规章的明确授权下,行政机关才可以对自然人的敏感个人信息进行合理使用。
依据该项,紧急情况下为保护自然人“财产安全”,未经信息主体同意处理敏感个人信息的,虽原则上构成合理使用,但仍须进行利益衡量,遵循特定目的原则、充分必要性原则以及公开透明原则等。以此为例,我们可以展开平衡测试,证明保护“财产安全”所带来的利益在具体场景下大于可能给信息主体带来的危害[1]朱晓峰:《人格权侵害民事责任认定条款适用论》,《中国法学》2021年第4期。。参考“欧盟第29条工作组”于第6/2014号意见书中对合法利益豁免机制之平衡测试的构建,结合“财产安全”之特性,平衡测试的内容具体有以下几点:第一,评估保护财产安全所带来的利益、财产安全受到侵害的可能性及严重性;第二,衡量信息处理者是否已尽到特定的信息保障义务,即满足“特定的目的和充分的必要性”;第三,考量信息处理者是否已采用严格保护措施,例如匿名化处理和无条件退出机制(opt-out)等。
4.为公共利益实施新闻报道、舆论监督等行为
“公共利益”“新闻报道”“舆论监督”本身皆为内涵与外延不易把握的概念,再加上“等”字,如果不加以严格限制,那么《个人信息保护法》第13条第1款第5项场景的适用范围将非常广泛。因此无论对敏感个人信息还是对非敏感个人信息,均要严格解释该项合理使用的要件,尤其要对信息主体让渡个人信息权益所服务的公共利益的范畴进行严格限定。例如,未经个人同意处理其敏感个人信息的前提是实施新闻报道和舆论监督以维护公共安全、公共卫生之类的公共利益为目的,而诸如娱乐性报道或对不道德行为的监督不符合本项规定的情形,或将构成侵权[2]程啸:《论我国民法典中的个人信息合理使用制度》,《中外法学》2020年第4期。。
5.处理个人自行公开或者其他已经合法公开的个人信息
为防止个人信息被滥用,《个人信息保护法》第13条第1款第6项亦应被严格解释。“自行公开”必须强调信息主体的自主意识,应当是个人主动将其敏感个人信息予以公开,且是任何人均可无障碍地获取。一方面,“自行公开”应当考虑信息主体具备将该信息进行公开的主观意识和自愿性。如在信息主体入驻网络服务平台时,由个人信息处理者事先以合同条款告知《个人信息保护法》第13条第1款各项情形,让用户知悉其自行公开的敏感个人信息存在被个人信息处理者收集并为特定目的使用之可能性。另一方面,“自行公开”和“合法公开”之情形均应当考量信息发布平台的公共程度,是否为任何人均可无障碍地获取。因此,在此场景下,信息主体在其朋友圈或微博好友圈等特定群体可见的平台发布敏感个人信息并不能被视为“自行公开”,个人信息处理者不得以此为由对该敏感个人信息进行处理。
六、结语
现行法律确立了敏感个人信息的合理使用制度。《个人信息保护法》第13条对于个人信息的合理使用制度应当解释为适用于敏感个人信息,而第29条和第31条“单独同意”和“监护人同意”规则应仅作为第13条第1款第1项的例外。合理使用敏感个人信息,一方面,应受第13条第2到7项之情形和第28条“特定的目的”和“充分的必要性”之规定的“双重约束”;另一方面,应始终突出保护信息主体人格权益,对敏感个人信息合理使用的场景进行严格解释,兼采比例原则和平衡测试,维护法律上公平价值和效率价值的统一,防止宽泛适用导致合理使用制度的滥用。合理使用制度在强调个人信息权益保护的同时为处理敏感个人信息提供了多元的正当性途径,是法治回应科技与社会发展的必然要求,有利于增强数字经济发展动能,健全完善平台经济公平竞争的法治要素。