《个人信息保护法》第13 条第1 款(个人信息处理的合法性基础)评注
2023-02-07杨旭
杨 旭
《中华人民共和国个人信息保护法》第13 条第1 款:符合下列情形之一的,个人信息处理者方可处理个人信息:
(一)取得个人的同意;
(二)为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;
(三)为履行法定职责或者法定义务所必需;
(四)为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;
(五)为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;
(六)依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;
(七)法律、行政法规规定的其他情形。
一、总 述
本条规定了个人信息处理的合法性基础,是《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)中最为重要的核心规范之一,“在整部法律中具有基石性作用”。〔1〕江必新、郭锋主编:《〈中华人民共和国个人信息保护法〉条文理解与适用》,人民法院出版社2021 年版,第121 页。本款开宗明义地规定,“符合下列情形之一的,个人信息处理者方可处理个人信息……”其中的“方可”清楚表明,信息处理者要取得合法处理个人信息的法律地位必须具备合法性基础,否则其处理行为即属违法行为。由此,便在现行法上确立“原则禁止,例外允许”的基本立场。本款既含有我国个人信息保护立法的本土内容,又明显受欧盟《通用数据保护条例》(以下简称GDPR)第6 条第1 款影响。为准确解释和续造本款规定,有必要先行探究其规范目的。
(一)规范目的
个人信息保护立法的宗旨在于平衡“保护个人信息权益”与“促进个人信息合理利用”(《个人信息保护法》第1 条)两大目标。假如说《个人信息保护法》的“基本立场、理念、精神”是在保护与利用之间求得平衡,〔2〕申卫星:《论个人信息保护与利用的平衡》,载《中国法律评论》2021 年第5 期。那么合法性基础便是达此平衡的重要制度工具。就此而言,本款之规范目的在于化解以信息自决为核心的多元价值及利益冲突。
之所以要“保护个人信息权益”,主要是基于信息自决这一核心价值理念。其要义在于“个人原则上有权决定其个人数据(信息)的公开与利用”,〔3〕BVerfGE 65, 1 ff.(33-34) - Volkszählung.相应的规范依据为《中华人民共和国宪法》(以下简称《宪法》)第38 条〔4〕《全国人民代表大会宪法和法律委员会关于〈中华人民共和国个人信息保护法(草案)〉审议结果的报告》,载申卫星主编:《个人信息保护法手册》,中国政法大学出版社2022 年版,第335 页。和《中华人民共和国民法典》(以下简称《民法典》)第109 条关于“人格尊严”的规定。作为对人格尊严的具体化,信息自决既包含人格发展的自由,在私法领域尤其体现为私人自治及合同自由,又蕴含人之尊严。〔5〕杨旭:《个人信息处理中履行合同必需规则的限制适用》,载《法学》2023 年第6 期。有些特殊种类的个人信息也可能承载多种价值及利益,例如,敏感个人信息涉及其他关乎人格尊严的利益和人身财产安全等,而电话号码、手机通讯录等个人信息还应受到通信自由及通信秘密(《宪法》第40 条)的保护。〔6〕张新宝:《个人信息收集:告知同意原则适用的限制》,载《比较法研究》2019 年第6 期。此外,个人信息还可能承载“国家安全”和“公共利益”等。
至于“促进个人信息合理利用”所涉价值及利益,则应区分不同性质的信息处理者。倘若是公权力承担者处理个人信息,则旨在维护国家利益和社会公共利益。若是私人主体处理个人信息,则主要服务于私人利益,但也可能涉及第三人权益、社会公共利益和国家利益。其中,商业平台等互联网企业是最为典型且重要的私人处理者,其往往对个人信息进行商业化利用,旨在实现个体性商业利益。此类利益之所以受法律保护,系基于从《宪法》第16 条第1 款、第17 条第1 款并连同第6 条第2 款、第11 条与第15 条第1 款等规定推导出的营业自由,而《民法典》第5 条关于私人自治的规定也能为此提供依据。
个人信息处理通常涉及双方当事人,此时主要在《个人信息保护法》所称“个人”即信息主体的信息自决与信息处理者的营业自由之间发生冲突。而在涉及第三人的情形,其价值及利益既可能支持信息主体一方,又可能支持信息处理者一方。倘若该第三人为自然人,则其信息自决也可能参与其中。这些价值及利益均属于“最佳化命令”,即“要求某事在事实上和法律上可能的范围内尽最大可能被实现”,并且“能以不同的程度被实现”。〔7〕[德]罗伯特·阿列克西:《法:作为理性的制度化》,雷磊编译,中国法制出版社2012 年版,第132 页。所以必须尽可能实现其各自之要求,而不得偏废于任何一端。
(二)体系脉络
1.本款与“合法、正当、必要”三原则的关系
对于“合法、正当、必要”三原则,《个人信息保护法》第6 条和第7 条、《民法典》第1035条第1 款前段、《中华人民共和国网络安全法》(以下简称《网络安全法》)第41 条第1 款前段等均作有规定。〔8〕对此所作深入研究,参见刘权:《论个人信息处理的合法、正当、必要原则》,载《法学家》2021 年第5 期。但必须注意,此三原则不构成独立的合法性基础,而只能在适用本款及相关规定时发挥辅助功能。〔9〕杨旭:《正当利益条款的中国法构造》,载《法制与社会发展》2022 年第1 期。合法性原则为本款“原则禁止、例外允许”的基本立场提供了根据。正当性原则主要是对处理目的之要求,即“处理个人信息应当具有明确、合理的目的”(《个人信息保护法》第6条第1 款前段),对理解合法性基础规定中关于处理目的之内容具有重要指引作用。必要性原则主要指向处理行为与处理目的之关系,即二者应“直接相关”,并“采取对个人权益影响最小的方式”等(《个人信息保护法》第6 条第1 款后段、第2 款),尤其能够被用于具体化本款及相关规定中的“为……所必需”“合理的范围”等不确定概念。
2.本款与其他合法性基础规定的关系
在“前民法典时代”的分散立法中,《中华人民共和国消费者权益保护法》第29 条第1 款第1句后段、《网络安全法》第41 条第1 款后段等均规定了个人信息处理的合法性基础,但只有信息主体同意一种。这种“同意一元论”的做法太过封闭,难以充分顾及信息主体、处理者、第三人、社会、国家等各方主体之间的价值及利益冲突。所以在《民法典》及《个人信息保护法》颁行后,应将此类规定纳入合法性基础的“多元化格局”,认为其仅构成特殊情形下对同意的提示性规定,而不当然排除其他合法性基础的适用。
在《民法典》中,第1035 条第1 款和第1036 条是关于私人领域处理个人信息合法性基础的专门规定,而第998 条和第999 条关于人格权的一般规定也能为此提供依据。〔10〕程啸:《论我国民法典中的个人信息合理使用制度》,载《中外法学》2020 年第4 期。其中,第1035 条第1 款第一项和第1036 条第一项规定了信息主体同意,对应本款第一项;第1036 条第二项规定了处理已公开个人信息的情形,对应本款第六项以及《个人信息保护法》第27 条;第1036 条第三项第一种情形规定了为公共利益处理个人信息的情形,其连同第999 条对应本款第四项第一种情形和第五项;第1036 条第三项第二种情形规定了为信息主体利益处理个人信息的情形,对应本款第四项第二种情形,但后者在保护范围上还包括信息主体以外的第三人;第998 条关于侵害非物质性人格权责任认定的一般规定属于本款第七项“法律、行政法规规定的其他情形”,其意义尤其在于为从现行法上确立正当利益规则提供规范依据。
经梳理不难发现,《民法典》及其他法律未规定履行合同必需规则、订立合同必需规则、人力资源管理必需规则、〔11〕由于问题的复杂性,本文对人力资源管理必需规则(本款第二项后段)暂不作探讨。法定职责必需规则、法定义务必需规则等其他合法性基础,其依据应为本款规定。此外,不同于《民法典》仅针对私人领域的个人信息处理,本款及《个人信息保护法》相关规定将私人领域和公共领域熔于一炉,有必要予以明确区分。
3.本款与法律责任规定的关系
倘若不具备合法性基础,信息处理者便违反本款规定的禁令,因此应承担法律责任。具体而言,可能涉及的责任类别包括《个人信息保护法》第69 条规定的民事侵权责任、第66 条和第68条规定的行政责任以及《中华人民共和国刑法》第253 条之一等规定的刑事责任等。反过来,符合本款各项规定的处理行为,便因不具有违法性而不必承担法律责任。
(三)基本分类
目前较为普遍的做法是区分信息主体同意和同意以外的其他合法性基础。〔12〕前引〔1〕,江必新、郭锋主编书,第124-129 页;张新宝主编:《〈中华人民共和国个人信息保护法〉释义》,人民出版社2021 年版,第110 页;龙卫球主编:《中华人民共和国个人信息保护法释义》,中国法制出版社2021 年版,第57-63 页;程啸:《个人信息保护法理解与适用》,中国法制出版社2021 年版,第115 页;周汉华主编:《个人信息保护法条文精解与适用指引》,法律出版社2022 年版,第100 页。但这一划分过于简略,既忽视了公法与私法的重大差别,又未能凸显各种合法性基础的实质。本文认为,更加可取的分类方式是根据合法性的效力来源分三类,即自主决定型合法性基础、引致条款型合法性基础和法益权衡型合法性基础。三者之间的核心区别在于,解决各种价值及利益冲突的权限究竟是交给信息主体,抑或立法机关,还是司法机关等。以此为基础,便能进一步考虑其各自在公私法领域的适用可能性,并合理界定相应的适用范围及主要场景。
二、自主决定型合法性基础之一:信息主体同意
信息主体同意构成最典型也是最为重要的自主决定型合法性基础。长期以来,学说及实务上较多采取“告知—同意”或者“知情同意”的表述,但二者均存在不小的误导性。因为一方面,信息处理者的告知义务(《个人信息保护法》第17 条)普遍适用于各种合法性基础,而非专属于信息主体同意。然而,“告知—同意”恰恰容易在此方面导致误解,即认为告知义务仅适用于以同意作为合法性基础的情形。另一方面,所谓“知情”即《个人信息保护法》第14 条第1 款第1 句中“在充分知情的前提下”之简称,而这只是同意的若干成立或有效要件之一。所以“知情同意”有过度凸显知情要件的地位之嫌,实无必要。归根结底,此类表述之所以被广泛使用,系源于对信息主体同意作为合法性基础的正当性之疑虑。
(一)正当性根据
在我国个人信息保护立法前后,学说及实务上出现了许多对信息主体同意作为合法性基础的批判与反思:少数学者从根本上否定同意的正当性,〔13〕任龙龙:《论同意不是个人信息处理的正当性基础》,载《政治与法律》2016 年第1 期;范为:《大数据时代个人信息保护的路径重构》,载《环球法律评论》2016 年第5 期。更多学者着力探索化解同意之困境的可行路径。〔14〕林洹民:《个人信息保护中知情同意原则的困境与出路》,载《北京航空大学学报(社会科学版)》2018 年第3 期;前引〔6〕,张新宝文;姚佳:《知情同意原则抑或信赖授权原则》,载《暨南学报》2020 年第2 期;韩旭至:《个人信息保护中告知同意的困境与出路》,载《经贸法律评论》2021 年第1 期;吕炳斌:《个人信息保护的“同意”困境及其出路》,载《法商研究》2021 年第2 期。在此背景下,尽管本款第一项及《民法典》第1035 条第1 款第一项等已作有明确规定,但依然有必要探寻同意的正当性根据及其在各种合法性基础中所处地位。
首先必须看到,现行立法始终坚持以信息主体同意作为合法性基础,并不断对整个合法性基础的规范体系予以优化。如前所述,“前民法典时代”之分散立法仅以同意作为唯一合法性基础,难以充分顾及纷繁复杂的价值及利益冲突。但为此,立法者并未从根本上推翻同意的正当性,而只是陆续增设其他合法性基础:《民法典》人格权编一改此前将合法性基础仅系于同意之一途的僵化模式,通过第1035 条第1 款第一项之但书和第1036 条第二项、第三项确立的其他免责事由相配合,为私人处理者合法处理个人信息提供了更多的可能选项;本款则以此为基础作进一步的补充、整合与完善,并将多元合法性基础扩展至公权力承担者处理个人信息的情形。如此说来,信息主体同意在现行法上的正当性已不容否认。
之所以如此,是因为只有同意才能完整实现信息自决的价值理念。前已指出,信息自决具有双重内涵,即一方面包含人格发展自由,在私人领域尤其体现为私人自治及合同自由,另一方面又蕴含人之尊严。而信息主体同意恰好与此若合符节。因为一方面,作为以意思表示为核心的法律行为,〔15〕Michael Funke, Dogmatik und Voraussetzungen der datenschutzrechtlichen Einwilligung im Zivilrecht, 2017, S.82-84;王洪亮、李依怡:《个人信息处理中“同意规则”的法教义学构造》,载《江苏社会科学》2022 年第3 期。同意能直接基于信息主体意愿创设合法处理个人信息的法律地位,从而充分彰显存于个人信息之上的私人自治;另一方面,同意作为法律行为应具有独立性,即便在基于合同处理个人信息的情形也是如此,〔16〕刘召成:《人格权法上同意撤回权的规范表达》,载《法学》2022 年第3 期。以便为包括人之尊严在内的整个信息自决区隔出相对独立的效力空间,从而在与其他价值及利益的权衡中形成整个同意制度。但如后文所述,在适用其他合法性基础的情形,要么只能部分地实现信息自决,要么就是让整个信息自决向其他相对优先的价值及利益作出退让。
应当承认的是,信息主体与信息处理者之间往往存在一种结构性不平等关系,有学者称其为“持续性不平等信息关系”。〔17〕丁晓东:《个人信息权利的反思与重塑》,载《中外法学》2020 年第2 期。在此关系中,对于信息处理者为履行告知义务而提出的《用户协议》《隐私政策》等关键性文件,信息主体经常处于“不会看,看了也不懂,懂了也不能改”的困境。然而,这并不足以否定信息主体同意的正当性。为切实维护信息自决,《个人信息保护法》已确立较为完备的规则体系,如第14条第1款第1句针对同意的成立与有效性设定“充分知情”“自愿”“明确”等要求,第15 条赋予信息主体任意撤回同意的权利,第16 条确立禁止捆绑规则,第31 条第1 款规定未成年人的同意能力。其实,这些正是平等原则(如《民法典》第4 条)之实质面向〔18〕易军:《民法基本原则的意义脉络》,载《法学研究》2018 年第6 期。的当然之义。倘若能以信息自决为核心对这些规则予以妥当解释和续造,即便不能彻底根除同意所面临之困境,也至少可以在很大程度上加以缓解。
退一步而言,信息主体同意即便并非最理想方案,但依然是现有的“最优解”。因为其实质是一种“去中心化的利益平衡”(dezentraler Interessenausgleich)机制,〔19〕Benedikt Buchner, Informationelle Selbstbestimmung im Privatrecht, 2006, S.110.能够更好地应对纷繁复杂的价值及利益冲突。尤其在私人领域,要解决此类冲突不能寄希望于事前作出概括、抽象的终局决定,而只能取向于具体场景中各种因素的综合权衡。这既使立法者难以担此重任,又让行政监管机关和司法裁判者不堪重负。所以相较于同意而言,引致条款型合法性基础和法益权衡型合法性基础均存在显著劣势。故此,切实可行之路径在于将是否允许处理个人信息的实质问题交由个人判断,而国家则为其自主决定提供程序保障并在必要时予以妥当救济。那么从国家对信息自决之干预程度而言,通过同意解决价值及利益冲突也明显更加温和。
(二)适用范围及主要场景
基于上述分析,信息主体同意不但具有充分的正当性,而且在各种合法性基础中居于核心地位。这还可以获得诸多权威理由的支持:不论是《民法典》第1036 条有关免责事由的逐一列举,还是本款对各种合法性基础的全面整合,同意均在其中居于首位。为避免重复进而提升立法之简明与体系性,本条第2 款统一规定,其他合法性基础在后续条文仅规定同意之处均得适用。这种“只提同意、不写其他”的立法安排彰显了同意的显赫地位。而立法说明也指出,《个人信息保护法》旨在“确立以‘告知—同意’为核心”的个人信息处理规则,并“考虑到经济社会生活的复杂性和个人信息处理的不同情况”对其他“合法处理个人信息的情形作了规定”。〔20〕刘俊臣:《关于〈中华人民共和国个人信息保护法(草案)〉的说明》,载前引〔4〕,申卫星主编书,第322 页。尽管如此,仍有必要对同意的适用范围及主要场景作进一步界定和澄清。
2.1发病概况2011~2016年大庆市细菌性痢疾累计报告病例4642例,年平均发病率为26.88/10万。2011年发病率最高,为30.57/10万;2014年发病率最低,为23.19/10万。见图1。
1.主要适用于私人领域,公共领域仅属例外
所谓“同意的核心地位”应主要就私人领域而言,在信息处理者为公权力承担者的情形却并非如此。适用于后者的最重要合法性基础为本款第三项第一种情形,即“为履行法定职责……所必需”。倘若已符合该规定就“不能也难以以获得个人同意为前提”,〔21〕杨合庆主编:《中华人民共和国个人信息保护法释义》,法律出版社2022 年版,第48 页。否则便会从根本上违背公权力的性质及其行使逻辑,甚至严重阻碍公务的正常执行。例如,很难想象公安机关依法发布通缉令,却需要取得犯罪嫌疑人同意才能进行。〔22〕彭錞:《论国家机关处理个人信息的合法性基础》,载《比较法研究》2022 年第1 期。也正因为如此,个人信息保护法“草案”及“二次审议稿”第35 条第1 分句均规定,“国家机关为履行法定职责处理个人信息,应当依照本法规定向个人告知并取得其同意”,但最终的《个人信息保护法》第35 条第1 分句已删除其中关于“取得其同意”的内容。〔23〕前引〔4〕,申卫星主编书,第298 页。何况,即便信息主体在此情形确已作出同意,也往往难以确保其同意之有效性。GDPR第43 段立法理由第1 句前段指出,“为确保同意系自愿作出,不应在数据主体与控制者之间存在明显不对等的特定情形由同意为处理个人数据提供有效合法性基础,尤其在因控制者为公权力机关而导致同意在考虑该特定场景之所有情况下几无可能自由作出的情形”。如此看来,信息主体同意与“履行法定职责”往往存在天然的矛盾。
但这也并非绝对。在极少数情形,尽管处理行为旨在履行法定职责,但未必符合必要性要求,此时若允许以同意作为合法性基础,便能显著提升公权力的运行效率。例如,某块土地的权利人需获得其所在地两级政府之许可,而两级政府为发放许可要求相同信息,但并未彼此分享数据库。所以为避免重复处理,两级政府请求权利人同意将文件并库,且承诺即便不同意也分别处理其许可申请。〔24〕EDPB, Guidlines 05/2020 on consent under Regulation 2016/679, Version 1.1, 4.5.2020, p.8.职是之故,公权力承担者虽然很少基于同意处理个人信息,但仍应为此留下必要的空间。〔25〕前引〔22〕,彭錞文。于此情形,信息主体所作同意必须符合自愿性等要求。
2.私人领域的具体场景,尤其是个人信息的商业化利用
在私人领域中,只要信息主体的信息自决及其他支持性价值及利益未被反对性价值及利益部分或者全部地压倒,信息处理者便应以同意作为合法性基础。至于具体适用边界,则需从反面予以划定,即只要不能适用履行合同必需规则、订立合同必需规则、法定义务必需规则、正当利益规则等其他合法性基础,便需诉诸信息主体同意。个人信息的商业化利用即为典型,因为信息主体作为人之尊严在此尤其容易遭受侵害,甚至会由于显著的利益冲突而在很大程度上沦为被操控的客体。
所谓个人信息的商业化利用,是指商业平台等以营利为目的之私人信息处理者为实现其自身的商业利益而处理个人信息,主要包括三种典型情形:〔26〕Marlene Voigt, Die datenschutzrechtliche Einwilligung, 2020, S.161-169.一是营销与广告。通过收集和利用个人信息,处理者能对所有当下及潜在的顾客进行人格画像,并借此查清各个用户的购买力、兴趣领域等事项。基于此,处理者通过针对特定目标群体的广告而对顾客产生个性化影响,从而实现“在正确的时间以正确的理由给正确的顾客以量身定做的供给”。二是评分。这是基于既存数据对未来事件加以预测的数理统计操作,其基本思想为具有类似特征之人将来很可能会实施类似的行为。处理者通常将其用于有关潜在客户的风险评估与管理,例如保险和信贷等行业借此并结合其他情况来决定是否与特定客户进行交易以及如何设定交易条件。三是产品开发与企业战略。不少企业时常利用个人信息研发新产品或者改进既有产品,此外还可以通过数据分析发现既有的市场漏洞或者使其产品更加符合顾客的兴趣。基于个人信息处理优化企业战略,还可以提升效率、减少成本。于此三类情形,只要信息处理者未对个人信息进行匿名化处理,便可能因其单方面追求自身的商业利益而明显伤及信息自决。
倘若以信息处理者与信息主体之间有无合同等特别结合关系为标准,则可以将基于同意的个人信息处理分为无合同场景、先合同场景与合同场景等。在此三种场景下,信息处理者均可能对个人信息进行商业化利用,但尤以合同场景最常见且重要。例如,在“信息换给付”的商业模式下,即时通讯、搜索引擎、社交网络等商业平台的运营者虽然向用户提供所谓的“免费”服务,但同时借助用户画像、个性化推荐等技术手段,通过向第三方经营者收取广告费等方式实现营利。〔27〕张新宝:《“普遍免费+个别付费”:个人信息保护的一个新思维》,载《比较法研究》2018 年第5 期;郑观:《个人信息对价化及其基本制度构建》,载《中外法学》2019 年第2 期。又如,在网络购物、旅游服务等商业平台运营者为用户提供个性化交易撮合等服务的情形,要履行此类合同义务就必须进行用户画像等个人信息处理行为,但如后文所述,其合法性基础并非履行合同必需规则,而是信息主体同意。
(三)同意与合同的区分
在依据合同关系对个人信息进行商业化利用的场景下,应当从概念上严格区分有关个人信息处理的合同(基础合同)与信息主体同意,二者分别构成两个彼此独立的法律行为。此即所谓“分离原则”(Trennungsprinzip)。〔28〕前引〔26〕,Marlene Voigt 书,第71-72 页。具体而言,不论是信息主体有义务提供个人信息,例如借此换取所谓的“免费”服务,还是信息处理者有义务处理个人信息,例如将提供个性化服务约定为信息处理者的义务,均不能直接依据有效合同取得合法性基础。〔29〕正因为如此,此处使用“依据”而非“基于”合同关系,因为“基于”在《个人信息保护法》中具有合法性基础的含义,如第14 条第1 款第1 句、第15 条第1 款第1 句等均使用“基于个人同意处理个人信息”的表述。为此,信息处理者必须在合同以外另行取得信息主体同意。尤其应予注意,基础合同与同意均为规范构造物,而非经验性事实。所以在实践中,即便信息主体可能通过一次性点击“同意”便完成整个注册过程,但并不妨碍从规范的意义上区分缔结基础合同的承诺与同意两个独立的意思表示,〔30〕有不同观点认为,此处仅存在一个行为,但具有双重的法律意义,进而称其为“承诺式同意”。参见林洹民:《个人数据交易的双重法律构造》,载《法学研究》2022 年第5 期。从而构成不同的法律行为。
确立分离原则主要出于化解规范冲突的迫切需要。在诸多问题上,《个人信息保护法》与《民法典》存在重大差异,尤其体现为:第一,《民法典》以8 周岁和18 周岁为界区分无行为能力、限制行为能力和完全行为能力,而《个人信息保护法》第31 条第1 款规定无同意能力的上限为14 周岁;第二,《民法典》奉行合同严守原则,除非存在违约、情势变更、不可抗力等特定事由,当事人不得任意推翻有效合同的约束力,而《个人信息保护法》第15 条赋予信息主体任意撤回同意的权利;第三,《民法典》在合同订立阶段以缔约自由为原则,在履行阶段承认双务合同的履行抗辩权制度,而《个人信息保护法》第16 条确立了禁止捆绑规则,即信息处理者不得以信息主体不同意或者撤回同意为由拒绝提供产品或者服务。〔31〕对此所作更具体分析,参见前引〔5〕,杨旭文。假如不严格区分基础合同与信息主体同意,而是将后者包含在合同当中,这些差异就必然成为不可避免的规范冲突,给相关规范的适用带来重大难题。
三、自主决定型合法性基础之二:合同必需规则
合同必需规则包括履行合同必需规则和订立合同必需规则,二者均在不同程度上系于信息主体的意愿,因此属于自主决定型合法性基础。其虽然主要适用于私人领域,但对公权力承担者处理个人信息的情形亦有适用空间,如行政协议。〔33〕前引〔22〕,彭錞文。本款第二项前段笼统将“为订立、履行个人作为一方当事人的合同所必需”作为合法性基础,并未严格区分合同的订立和履行两个阶段。学说上也往往对合同必需规则进行一体化探讨。〔34〕彭飞荣:《〈个人信息保护法〉第13 条第1 款第2 项(合同中个人信息处理)评注》,载《法治研究》2023 年第3 期;陈骞:《论个人信息处理的“合同所必需”规则》,载《行政法学研究》2023 年第6 期。与此不同,GDPR 第6 条第1 款第1 段(b)项在区分不同合同阶段的基础上分别设定相应的构成要件。两相比较,以后者更为可取。所以要准确理解本款第二项前段,就应当针对“履行”合同和“订立”合同分别加以展开。
(一)履行合同必需规则
对于履行合同必需规则,本款第二项前段确立了两项要件:一是处理目的为“履行个人作为一方当事人的合同”,二是“为……所必需”即必要性标准。其中最为核心的问题在于,如何妥当界定此合法性基础的适用范围。
1.限制适用范围的理由及方向
仅就本款第二项前段文义而言,履行合同必需规则的涵盖范围极其宽广。例如,电子商务平台经营者有义务为用户提供交易撮合等服务,其为提升交易撮合的成功率即有必要处理用户的浏览痕迹、订购记录等个人信息;搜索引擎经营者也可以将个性化广告投放约定为服务内容,为此有必要处理用户的搜索关键词、地理位置等个人信息;网约车应用程序经营者为向用户提供优质便捷的出行服务,也有必要处理用户的手机号码、行踪轨迹等个人信息。若由此推而广之,则无异于确立“合同即合法”的基本立场。
但这明显不妥。因为如前所述,立法者已明确强调应当以“告知—同意”为核心,并专门针对信息主体同意设有一系列规则;至于包括履行合同必需规则在内的其他合法性基础,则只是“考虑到经济社会生活的复杂性和个人信息处理的不同情况”所作例外规定。〔35〕刘俊臣:《关于〈中华人民共和国个人信息保护法(草案)〉的说明》,载前引〔4〕,申卫星主编书,第322 页。不仅如此,关于《个人信息保护法》的权威释义书还在承认其例外性的基础上进一步指出,履行合同必需规则“将成为绝大多数业务场景下收集信息的依据”,所以“必须受目的限制原则的约束”,且不得据此“进行个性化营销”。〔36〕前引〔1〕,江必新、郭锋主编书,第125 页、第131 页。由此看来,要让立法计划不至于全盘落空,并与权威的司法见解尽可能保持一致,就应当对履行合同必需规则的适用范围予以限制。
更深层次的缘由在于,履行合同必需规则并不能完整地表达信息自决之双重内涵。其仅以成立且有效的合同为前提,而与此相关的规则仅围绕私人自治及合同自由展开,并不能充分顾及信息主体作为人之尊严。落实到具体规则层面,这尤其体现为据此处理个人信息只需符合合同法的一般规定即可,而不适用前述针对信息主体同意的专门规定。据此,便应将履行合同必需规则限于处理行为无涉或者较少干预人之尊严的例外情形,而通常情形还应在有效合同的基础上进一步取得信息主体同意。〔37〕前引〔5〕,杨旭文。
2.对“必要个人信息”概念之反思
为此,多个国家行政监管机关联合发布的《常见类型移动互联网应用程序必要个人信息范围规定》提供了一种可能的选择,即先界定“必要个人信息”的概念,再分别列举网络约车、即时通信、网上购物、求职招聘、旅游服务等三十九类App 的“基本功能服务”与必要个人信息类别。其中第3 条规定,“必要个人信息”是指“保障App 基本功能服务正常运行所必需的个人信息,缺少该信息App 即无法实现基本功能服务”。而“基本功能服务”的概念则来自推荐性国家标准《信息安全技术 个人信息安全规范》(以下简称《个人信息安全规范》)关于“基本业务功能”和“扩展业务功能”的区分:处理者“应根据个人信息主体选择、使用所提供产品或服务的根本期待和最主要的需求”划定基本功能服务,此外的其他功能便属于扩展业务功能。此即客观必要性标准。
然而,这一限制路径难以令人赞同。因为一方面,该标准既缺乏确定性,又不便于实践操作。所谓“根本期待和最主要的需求”因过于抽象而充满评价因素,所以也被称为抽象评价式标准。〔38〕Malte Engeler, Das überschätzte Kopplungsverbot, ZD 2018, S.55, 57.表面上看,其似乎取向于合同法中的“必要之点”理论,但借此并不能消除因评价开放而产生的不确定性和操作难度。因为该理论原本的旨趣在于,为判断合同成立与否提供最低限度的合意标准,〔39〕王洪亮:《论合同的必要之点》,载《清华法学》2019 年第6 期。而不直接触及个人信息保护问题。申言之,该标准虽名曰“客观”,却无法提供相对确定的判断标准和简便易行的操作流程,因而往往会流于判断者的主观恣意。另一方面,采此标准还可能伤及私人自治及合同自由,因为其并未充分尊重当事人约定及合同条款。这种置当事人意思于不顾而另起炉灶的做法完全与信息自决的价值理念背道而驰。而私人自治与合同自由恰恰构成经济发展的原动力,假如将合同的“必要之点”等传统理论直接套用于数字经济,很可能会严重阻碍商业模式的多元化发展,〔40〕前引〔38〕,Malte Engeler 文。有违《中华人民共和国电子商务法》(以下简称《电子商务法》)第3 条明文确立的“鼓励发展电子商务新业态,创新商业模式”之法政策要求。
3.基于纯粹合同利益标准的限制路径
要准确理解履行合同必需规则,应当先对当事人约定的合同条款予以解释和补充。但如前所述,该规则虽然源于私人自治及合同自由,但仅限于处理行为无涉或者较少干预人之尊严的情形。换言之,正是人之尊严从反面限定其适用范围。究其实质,处理个人信息之所以可能危及信息自决,根源于信息处理者与信息主体之间往往并不一致的利益诉求。对于信息处理者而言,其收集的用户信息数量越多、种类越丰富、利用程度越充分,由此产生的商业利益也就越大。与此不同,个人信息处理活动尽管能够增进用户利益,但却同时隐含重大的潜在风险。以用户画像为例,由此往往会导致对用户行为的无察觉操控,甚至使用户丧失数字主权和信息自决,而在所收集信息与用户真实身份绑定的情形尤其如此。〔41〕Céline Wenhold, Nutzerprofilbildung durch Webtracking, 2018, S.109.这种显著的利益冲突意味着,绝不能将处理行为合法与否的决定权完全交由信息处理者掌控,而必须使信息主体的意愿切实贯彻在处理活动始终。为此,尤其需要为信息主体同意及其任意撤回等提供制度支撑,从而对处理者形成有效制衡。
由此作反面观察,便可以得出相对清晰的界定标准,从而对本款第二项前段予以目的性限缩:只有处理行为纯粹服务于信息主体的合同利益,才能适用履行合同必需规则。据此,其适用范围既不包括完全或者主要服务于信息处理者合同利益的情形,又不包括同时服务于双方合同利益的情形。因为归根结底,信息主体之所以面临人格操控等潜在风险,实则根源于信息处理者片面地追求自身商业利益。而只要处理行为纯粹服务于信息主体的合同利益,便不存在难以调和的利益冲突。于此情形,假如再允许信息主体任意撤回同意,或者对同意能力、与处理行为有关的交易条件等提出更高要求,反而有保护过度之嫌。
4.主要适用场景
基于纯粹合同利益标准,履行合同必需规则的适用范围便大幅缩减,尤其应排除个人信息商业化利用的情形。据此,该规则可得适用于地图导航、线上支付、网络约车、网上购物等各种场景。因为根据合同约定,经营者有义务向用户提供定位导航、账款支付、预约出行、商品寄送等服务,而且此类义务纯粹服务于用户合同利益,对经营者而言却完全是合同项下的负担即不利益。为使其合同义务能够被合法履行,就必须允许经营者处理用户的地理位置、银行账号、行踪轨迹、家庭住址等个人信息。
(二)订立合同必需规则
对于订立合同必需规则,本款第二项前段同样确立了两项要件:一是处理目的为“订立……个人作为一方当事人的合同”,二是“为……所必需”即必要性标准。其中最为核心的问题同样在于,如何妥当界定此合法性基础的适用范围。
1.“订立”合同的含义及其限制必要性
作为处理目的中的核心概念,“订立”合同包括合同准备(Vertragsverhandlung)与合同磋商(Vertragsanbahnung)两个前后相继的阶段。后者属于一种双方的事实过程,于此不必然存在要约、承诺等意思表示,旨在订立合同之预备性洽谈等所有形式的法律行为性接触均包含在内,但寄送价目表之类纯粹的单方措施不在此列。〔42〕MüKoBGB/Emmerich, 8.Aufl.2019, BGB § 311 Rn.43.前者是合同磋商开始前的预备性阶段,尤其体现在为促成法律行为性接触而开启交往,比如潜在顾客进入营业场所,不论其是否存有具体购买意图,只要不完全排除订立合同的可能性即可;完全无约束力的试探性洽谈、单方采取的广告措施等也属于此。〔43〕MüKoBGB/Emmerich, 8.Aufl.2019, BGB § 311 Rn.43-44, 46-47.而且,订立合同既可能因合同成立并生效而结束,又可能因当事人中途放弃缔约而告终结。以订立合同作为个人信息处理的合法性基础,并不要求双方当事人最终进入有效的合同关系,只需存在进入合同关系之潜在可能性即可。〔44〕EDPB, Guidelines 2/2019 on the processing of personal data under Article 6(1)(b) GDPR in the context of the provision of online services to data subjects, Verson 2.0, 8.10.2019, p.13.
那么仅就本款第二项前段文义而言,订立合同必需规则的适用范围就极其宽广。例如,有些品牌门店、销售中心等通过安装摄像头的方式收集顾客人脸信息、行踪信息等,通过分析其消费习惯等特征而采取不同的营销策略;银行等金融机构为决定是否发放贷款或者办理其他业务,基于顾客以往的信贷记录等信息对其进行信用审查。然而,这些处理行为均可能侵害信息主体的重要利益,构成对其信息自决尤其是人之尊严的显著干预,通常应当以信息主体同意作为合法性基础。由此可见,实有必要对订立合同必需规则予以适当限制。
2.增设“信息主体要求采取措施”要件
在订立合同过程中,通常不存在信息主体对其个人信息的自主决定。即便在合同磋商阶段可能存在要约、承诺等意思表示,但其往往与先合同阶段的个人信息处理并无直接关系。更何况,相关处理活动的发起者并不当然是信息主体,而完全可能是主要追求其自身商业利益的信息处理者。所以为维护信息自决,订立合同必需规则务必要包含处理活动由信息主体主动发起的限制要件。也正因此,GDPR 第6 条第1 款第1 段(b)项第二种情形关于处理目的之界定是“在进入合同前应信息主体要求采取措施”。〔45〕关于该规定的历史由来及比较法考察,参见杨旭:《论订立合同作为个人信息处理合法性基础的限缩适用》,载《南京社会科学》2022 年第4 期。基于相同理由,应当对本款第二项前段予以目的性限缩,增设“信息主体要求采取措施”作为限制。所以全国人大常委会法制工作委员会关于《个人信息保护法》的释义书中明确指出,“为订立个人作为一方当事人的合同所必需,一般情况下是指个人有订立合同的意向,个人信息处理者应其要求处理必要的个人信息”。〔46〕前引〔21〕,杨合庆主编书,第46 页。与此不同,我国《个人信息安全规范》第5.6 条(g)项虽然也规定“信息主体要求”,但被“要求”之对象却是“签订……合同”,疑似在借鉴GDPR 第6条第1 款第1 段(b)项时存在误解,将来更新该国家标准时应予修正。借此限制要件,便将那些并非信息主体主动要求,而是由信息处理者单方面决定的情形排除在外,以切实维护信息自决。
然而,此限制要件不同于信息主体同意,因为二者在性质上存在根本区别:后者作为信息主体意思的直接体现属于法律行为,前者因包含法定因素而属于准法律行为。具体而言,此种要求仅直接指向特定措施,无需且不必然包含允许处理个人信息的意思。或许正因此,有观点正确地指出,为订立合同而处理个人信息的情形“并不要求个人信息主体对处理行为作出明确表态”。〔47〕江必新、李占国主编:《中华人民共和国个人信息保护法条文解读与法律适用》,中国法制出版社2021 年版,第46 页。那么,信息处理者之所以取得合法处理的法律地位,便不可能源于信息主体的效果意思,而只能基于本款第二项前段的直接规定。换言之,相应的法效果是据此规定从信息主体主动要求采取措施的意愿中间接推导而出。〔48〕Philipp Hacker, Datenprivatrecht, 2020, S.260.所以此限制要件属于准法律行为,原则上不适用专门针对信息主体同意的规定,但为强化未成年人保护应当类推适用《个人信息保护法》第31 条第1 款关于同意能力的特殊规定。
3.主要适用场景
基于上述限制,订立合同必需规则的适用范围便受较大限制。例如,为决定是否发放贷款或者办理其他业务对顾客进行的信用审查,若是由银行等金融机构主动发起,便不能以订立借款合同等为由处理顾客的信贷记录等信息;零售商未经要求向消费者寄送产品价目表、商业广告等,也不得基于订立合同处理消费者的地址等信息。与此不同,在消费者主动查询特定服务是否及于其所在区域时,服务提供者为作答复可以处理消费者所在区域的邮政编码等信息;只有投保人主动询问可能的保险费金额时,保险公司才能为确定保险费金额而处理其相关个人信息。当然,所处理的个人信息种类及范围等应以必要为限。
四、引致条款型合法性基础
所谓引致条款型合法性基础主要指本款第三项,包括法定职责必需规则和法定义务必需规则。有别于自主决定型合法性基础,此类合法性基础的效力来源并非信息主体意愿,而是法律的直接规定。确切地说,该项属于对构成要件的部分引致。只有将其他关于“法定职责”和“法定义务”的具体规定与该项中的必要性要求即“为……所必需”相结合,才能创设合法处理个人信息的法律地位。之所以有此效力,其依据并非其他具体规定,而是本款第三项。在此意义上,该项有别于本款第七项“法律、行政法规规定的其他情形”,因为后者只是单纯的提示性兜底规定,其本身并非合法性基础。
(一)法定职责必需规则
法定职责必需规则仅适用于公权力承担者处理个人信息的情形,而且是公法领域最重要的合法性基础。其规范依据为本款第三项第一种情形,而《个人信息保护法》第34 条并非独立的合法性基础规定,只是对“国家机关为履行法定职责处理个人信息”的细化要求。理解此合法性基础的关键有二:一是履行何种“职责”,二是依据何“法”而定。
1.法定“职责”的内容
所谓“职责”的范围极其宽广,例如“国家机关为维护国家安全、惩治犯罪、管理经济社会事务,以及提供公共服务,在很多情况下可能需要处理个人信息”。〔49〕前引〔21〕,杨合庆主编书,第46 页。于此情形并非“必须由法律明确授权国家机关从事特定的个人信息处理活动”,而是“只要国家机关是在按照法定的权限和程序履行法定职责,而特定的个人信息处理活动又是履职所必需的,就可以合法处理,无需法律对处理活动本身特别授权”。〔50〕前引〔22〕,彭錞文。例如,《中华人民共和国刑事诉讼法》第132 条第1 款关于“为了确定被害人、犯罪嫌疑人的某些特征、伤害情况或者生理状态……提取指纹信息,采集血液、尿液等生物样本”之规定已包含个人信息处理,而第136 条关于“为了收集犯罪证据、查获犯罪人……对犯罪嫌疑人以及可能隐藏罪犯或者犯罪证据的人的身体、物品、住处和其他有关的地方进行搜查”之规定并未直接提及。尽管如此,二者均属于本款第三项中的“法定职责”,因为只有借此与必要性要求相结合才能形成完整的合法性基础。倘若具体规定既包含对个人信息处理的授权,又明确设定必要性要求,则其本身便构成独立的合法性基础,属于本款第七项“法律、行政法规规定的其他情形”。
2.设定职责的“法”
对于“法定职责”之“法”应作最广义理解,其既不限于狭义的法律,也不止步于行政法规,此外还包括地方性法规、部门规章、地方政府规章等规范性法律文件。〔51〕前引〔12〕,程啸书,第132 页;前引〔22〕,彭錞文。因为法定职责必需规则旨在理顺个人信息保护与公权力规范体系的关系,以防止因保护个人信息而妨碍公权力的正常行使。因此,只要公权力承担者确实承担合乎法秩序的职责,并因此确有必要处理个人信息,个人信息保护领域就应予以承认,而不得另行创设额外要求。
(二)法定义务必需规则
法定义务必需规则仅针对私主体处理个人信息的情形,但所谓“法定义务”既可以是公法义务,又可以是私法义务。因此,本款第三项第二种情形的适用范围横跨公私法两大领域。但不论如何,义务人通常为信息处理者,而非信息主体。GDPR 第6 条第1 款第1 段(c)项明确规定“控制者所负担的法定义务”,可兹借鉴。与前述法定职责必需规则类似,此处的“法定义务”也不必直接包含个人信息处理。
1.公法义务
公法义务之相对人是公权力承担者,由此可能在信息主体、私人信息处理者和公权力承担者之间产生较为复杂的三方关系。例如,《电子商务法》第25 条第1 句规定,“有关主管部门依照法律、行政法规的规定要求电子商务经营者提供有关电子商务数据信息的,电子商务经营者应当提供”。此即电子商务经营者所负数据报送义务,〔52〕对此类义务的详细探讨,参见刘权:《论网络平台的数据报送义务》,载《当代法学》2019 年第5 期。而其中的“电子商务数据信息”便可能包括众多消费者信息。于此,参与“提供”的双方均实施个人信息处理行为,应当分别具备合法性基础。电子商务经营者的合法性基础即此处的法定义务必需规则,而主管部门的合法性基础是前述法定职责必需规则。在此意义上,前者构成后者的“镜像规定”(Spiegelvorschrift),也可以更直观地将二者合称为“双开门模式”(Doppeltürmodell)。〔53〕Buchner/Petri in Kühling/Buchner DS-GVO Art.6 Rn.78 und 79.
2.私法义务
私法义务之相对人应为私主体。例如,在无因管理之债中,根据《民法典》第981 条第1 句规定,管理人有义务“采取有利于受益人的方法”管理他人事务,为此可能必需处理受益人信息;而根据《民法典》第982 条第1 句规定,管理人在管理结束后有义务“向受益人报告管理事务的情况”,为此可能必需处理管理事务所涉第三人信息。在合同之债的情形,相关义务首先源于当事人所作约定,但在约定不备处需借任意性规定加以补充,所生义务便基于法律规定。于此情形,法定义务必需规则与前述履行合同必需规则发生竞合。鉴于通过任意性规定补充之义务与当事人约定存在密切联系,为确保对合同之债的整体考虑,应当优先适用履行合同必需规则。此外,在家事法、公司法、劳动法等其领域也存在相关义务。
五、法益权衡型合法性基础
在适用法益权衡型合法性基础的情形,信息处理者之所以取得合法处理的法律地位,既非源于信息主体意愿,又非基于法律直接规定,而系出自对彼此冲突的价值及利益之权衡。也就是说,信息自决及相关价值和利益在个案中被反对性价值及利益所压倒。适用此类合法性基础充满价值判断,并需综合考量个案中的各种具体因素,从而存在较高程度的不确定性,因此通常仅适用于私人领域的个人信息处理。本款第四项至第六项、《民法典》第1036 条第二项和第三项及其他相关规定均属于此。根据其内容的抽象程度,可以将此类规定分为具体权衡条款和概括权衡条款两类。
(一)具体权衡条款
具体权衡条款包括三种。第一种旨在维护特定自然人利益,本款第四项中“紧急情况下为保护自然人的生命健康和财产安全所必需”属于此。其中的“自然人”既可以是信息主体,又可以是其他自然人。但与此不同,《民法典》第1036 条第三项中为维护“该自然人合法权益,合理实施的其他行为”仅适用于“该自然人”即信息主体。此外,二者之间并无实质区别。尽管前者以“紧急情况下”为条件并指明“生命健康和财产安全”,而后者只是笼统地规定“合理实施”及“合法权益”,但若不符合前者所定情形就不太会出现信息自决被压倒的结果。〔54〕倘若“部分措施并非紧急,却与信息主体重大利益密切相关的,如反欺诈措施、支付安全措施等,这些措施是信息处理者的法定职责或法定义务”,应当以本款第三项作为合法性基础,参见前引〔1〕,江必新、郭锋主编书,第127-128 页。鉴于本款第四项更为全面且细致,应予以优先适用。
第二种旨在维护社会公共利益,包括本款第四项中“为应对突发公共卫生事件”所必需和第五项“为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息”。由于后者中的“等”字具有开放性,〔55〕即所谓“等外等”,参见前引〔1〕,江必新、郭锋主编书,第128 页。其实质上相当于将《民法典》第1036 条第三项中“为维护公共利益”而“合理实施的其他行为”和第999 条规定的人格权合理使用在个人信息领域合而为一。就此而言,《民法典》中的两处规定已完全被本款第五项所吸纳,似无独立适用空间。要决定信息自决在个案中是否被公共利益所压倒,只需先考虑适用本款第四项第一种情形,再判断是否符合本款第五项即可。
第三种是处理已公开个人信息,通过本款第六项引向《个人信息保护法》第27 条,而《民法典》第1036 条第二项也属于此。鉴于《个人信息保护法》第27 条具有齐备的构成要件和法效果,并且在表述上更为周延,应以此作为合法性基础规定。〔56〕对此所作深入研究,参见宁园:《“个人信息已公开”作为合法处理事由的法理基础和规则适用》,载《环球法律评论》2022 年第2 期。于此情形,个人信息之所以处于公开状态,既可能是信息主体主动为之,又可能是其他合法事由所致。能由此创设合法处理的法律地位之根本原因在于,已公开状态使得信息自决的受保护程度有所降低,因此在特定情形下可能被其他反对性价值及利益所压倒。
(二)概括权衡条款:正当利益规则
本款第七项“法律、行政法规规定的其他情形”为法定兜底条款,如前所述,其意义尤其在于通过《民法典》第998 条确立正当利益规则。该规则并不直接限定相关价值及利益的种类与内容,因此属于概括权衡条款。
1.正当利益规则及其确立的必要性
正当利益条款的最典型表述为GDPR 第6 条第1 款第1 段(f)项,即“处理是为控制者或者第三人追求的正当利益之目的所必需,除非此种利益被要求保护个人数据之利益或者基本权利与自由压倒,特别在数据主体为儿童的情形”。借此规定,个人信息处理的合法性基础呈现趋于开放的结构,为各种纷繁复杂的价值及利益冲突留下必要的缓和空间。而我国既有合法性基础规定的问题恰恰在于其封闭性,尤其未能充分顾及商业平台等私人信息处理者的个体性商业利益。例如,在“凌某某诉北京某科技有限公司隐私权、个人信息权益网络侵权责任纠纷案”〔57〕凌某某诉北京某科技有限公司隐私权、个人信息权益网络侵权责任纠纷案,北京互联网法院(2019)京0491 民初6694 号民事判决书。(以下简称“抖音案”)中,案涉姓名、手机号码、社交关系等个人信息具有双重归属的特性,要求取得用户手机通讯录中所有联系人之同意并不妥当,只有借助正当利益规则才能调和彼此冲突的价值及利益。
2.现行法上的正当利益规则:基于《民法典》第998 条
受GDPR 影响,不少学者建议我国立法作类似规定。〔58〕江波、张亚男:《大数据语境下的个人信息合理使用原则》,载《交大法学》2018 年第3 期;谢琳:《大数据时代个人信息使用的合法利益豁免》,载《政法论坛》2019 年第1 期。但其实,构造现行法上的正当利益规则并非只有立法明文规定一途,《民法典》第998 条关于侵害非物质性人格权责任认定的一般规定已能实现相同功能。〔59〕对于《民法典》第998 条与欧盟正当利益规则的详细对比,参见前引〔9〕,杨旭文。该条适用于“除生命权、身体权和健康权外”的人格权,个人信息权也包含在内。其所列举的各种考量因素混合过错与违法性两个要件,应予严格区分。除去“过错程度”外,其他因素均主要指向违法性问题。而违法与合法实为一体两面,二者相互排斥,具有择一性关系:违法即不合法,合法即不违法,差别仅在于观察视角不同。所以第998 条完全能够被归为本款第七项所定“法律、行政法规规定的其他情形”,从而为相关个人信息处理提供合法性基础。
与GDPR 第6 条第1 款第1 段(f)项类似,《民法典》第998 条的动态体系构造也旨在解决纷繁复杂的价值及利益冲突,二者具有高度一致性。据此,基于《民法典》第998 条所构造的正当利益规则包括两部分:第一部分是各方价值及利益的确定及必要性审查。若能作出肯定回答,便需进行最终的权衡。第二部分即为权衡。为此,应分别衡量各方价值及利益之抽象与具体权重,再对其总体权重予以评价性比较。假如难以确定何者胜出,还需诉诸权衡负担分配规则。这两部分内容也构成在个案中适用正当利益规则的操作步骤。
3.主要适用场景
正当利益规则有其适用边界,尤其应止步于个人信息的商业化利用。在“抖音案”中,推荐、二次匹配及相关存储行为是直接针对凌某某个人信息的商业化利用,读取、初次匹配及相关存储行为却只关乎对其他手机用户个人信息的商业化利用,只有后者才能基于《民法典》第998 条。此外,自动驾驶系统为安全行驶而在合理范围内处理道路上行人的信息,也可能基于正当利益规则。
