论非基于个人同意的个人信息处理与单独同意规则的体系解释
2023-03-03李爱君孙彦东
李爱君 孙彦东
一、问题的提出
尽管适用存在诸多困境,立足于“告知—同意”进行立法仍然是目前的必然选择。[1]因此,长期以来学界对个人信息保护的讨论,多集中于“告知—同意”的制度构建与困境应对。但是,在个人信息保护制度建构时,立法者并没有将“告知—同意”作为个人信息利用与处理的唯一标准,而是选择将其作为个人信息处理的合法事由之一,同时留下无需“告知—同意”的例外情形,使得在满足特定条件时个人信息处理者无需取得该个人信息主体的同意即可处理个人信息。此制度在逻辑上与著作权的合理使用制度相类似,故而在司法实践中法官生动地将其称为个人信息的合理使用①,实际上已有一些学者的研究关注到了此类非基于个人同意的个人信息处理,同样称此种“非基于个人同意的个人信息处理”为个人信息的合理使用。[2,3]故而,本文亦将此类无需取得个人信息主体同意的个人信息处理行为称为个人信息的“合理使用”。例如《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)第13条第2款规定了“履行合同或人力资源管理所必需”等六种无需取得同意的情形。立法者设立个人信息合理使用规则的本意在于协调个人信息保护与利用,但同时其也属于对自然人的人格权益进行一定限制和克减的规则,应当明确其界限并警惕其扩张化趋势。
合理使用规则作为“告知—同意”的例外,个人信息的合理使用并非基于个人的“一般同意”,那它与敏感信息、数据公开、信息跨境等特殊个人信息处理场景下的“单独同意”的关系为何,现行立法并没有明确规定。具言之,在“实施人力资源管理所必需”等情形下,如果个人信息处理涉及上述需要单独同意的场景,无需个人同意的合理使用规则与单独同意规则何者可优先适用,是无需取得个人同意,抑或需要取得单独同意?这个问题有待于对相关规则的进一步解释。
如今《中华人民共和国民法典》(以下简称《民法典》)、《中华人民共和国数据安全法》(以下简称《数据安全法》)、《个人信息保护法》的立法已经完成,形成了较为完善的个人信息保护的制度体系。个人信息保护的研究也有必要从立法论视角的法政策学研究转变为解释论视角的规则适用研究。因而本文拟立足于现行法律规定,对个人信息合理使用规则的制度构造及其对个人信息权益的影响进行研究,进而探究其与单独同意规则之间的关系,最终明晰特殊场景下两种规则在排斥竞合时的适用位阶,以解决个人信息保护与数据要素流通实践中可能出现的问题。
二、个人信息合理使用规则的学理考察
出于对个人信息权益的保护,“告知—同意”规则已经被国际与国内立法所广泛采纳。诚然,在权益保护方面“告知—同意”规则的确立可以很大程度上保障个人对其个人信息自主决定的权利,体现了立法对人格权益与私人自治的尊重与保护。[4]但随着信息社会的发展,人作为社会关系的总和,其个人信息的利用将涉及更加多元的利益纠葛。[5]对个人信息的保护不同于对隐私权的绝对保护,关键在于构建个人信息保护与利用的良好合理秩序。[6]因此,立法者并没有将“告知—同意”作为个人信息处理的唯一合法性基础,而是将其作为一般规则的同时亦留下了一定的例外情形,来弥补“告知—同意”规则的不足。基于个人同意的“告知—同意”规则是意定基础,非基于个人同意的“个人信息合理使用规则”是法定基础,二者共同构成了我国法上个人信息处理的合法性基础(lawful basis for processing)[7],从而协调个人信息保护与其他价值之间的关系,这些例外情形就是本文所探讨的个人信息合理使用规则。
(一)个人信息合理使用的规则内涵
所谓个人信息的合理使用,是指在有法律明确规定的前提下,不需要经过个人同意即可在合理限度内对个人信息进行的处理和利用。[8]其制度定位在于弥补“告知—同意”过分刚性的不足,在特定情况下可以确保和促进个人信息的合理利用。若从立法技术方面评价,此规定并非一律允许或否定未经同意的个人信息处理行为,而是采用一个“原则—例外”式规定,来表达立法者对个人信息保护与利用的倾向:首先,原则上应当优先保护个人的人格权益,只有取得个人的同意才可以进行相应的处理;其次,在少数情况下兼顾个人信息的利用价值,在有限列举的特定例外情形下不需要取得个人的同意而处理其个人信息。
在国际视野上,欧盟《通用数据保护条例》(General Data Protection Regulation)规定了个人信息的合理使用规则②,即“告知—同意”仅为个人信息处理的合法性来源之一,除了取得同意外另行规定了不需要取得个人同意的个人信息处理情形。例如,在其第6条第1款列举的“处理的合法性”中,除了第a项为取得个人同意外,第b项至第f项列举了“履行契约所必需”“履行法定义务所必需”“维护其他人核心利益所必需”“维护公共利益所必需”等情形,这些情形就是取得个人同意以外的个人数据处理的合法性事由。[9]欧盟的这种制度设计方式被我国立法所借鉴,我国《个人信息保护法》第13条第2款规定“……有前款第二项至第七项规定情形的,不需取得个人同意”,也即在“履行合同所必需”“实施人力资源管理所必需”等情形下,个人信息处理者不需要取得个人的同意即可实施个人信息的合理使用。
若从规范结构上分析,我国现行立法上的合理使用的规定可以分为两种类型:第一类,法律规定个人信息处理者无需获得个人信息主体的同意授权即可处理的合理使用;第二类,法律规定个人信息处理者处理自然人个人信息而无需承担责任的使用。前者通过免除同意授权而赋予未经同意的个人信息处理行为合法性,而后者则通过直接免除未经同意的个人信息处理行为的相关责任来赋予该处理行为合法性。当然,有学者提出,合理使用规则还包括不可抗力、正当防卫、紧急避险等情形,作为抽象层次的合理使用[10],鉴于它们为一般意义上的免责事由,暂不将其纳入本文讨论范围。
上述两种类型没有本质区别,相应的个人信息处理行为均属于合法行为,可以阻却民事侵权责任以及其他法律责任。现行法体系下,第一种规定如《个人信息保护法》第13条的规定,若个人信息处理者处理个人信息属于为“履行合同所必需”“实施人力资源管理所必需”“为履行法定职责或者法定义务所必需”“为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需”“为公共利益实施新闻报道、舆论监督等行为”,以及“处理个人自行公开或者其他已经合法公开的个人信息”等情形时,不需要取得个人的同意即可对其个人信息进行处理;再如,《民法典》第999条明确授权可以“为公共利益实施新闻报道与舆论监督”而进行个人信息的合理使用。第二种规定如《民法典》第1036条规定在“为维护公共利益或者该自然人合法权益而实施的处理行为”和“合理处理已经公开的信息”等情形下,即使未经过个人的同意,个人信息处理者处理个人信息不必承担民事责任。
(二)个人信息合理使用的制度缘起
《民法典》与《个人信息保护法》先后设置了同著作权的合理使用制度相似的个人信息合理使用规则来实现个人信息保护与利用的协调。《民法典》与《个人信息保护法》中的个人信息合理使用规则的立法目的存在一个变迁和演进的过程,并且个人信息的合理使用与著作权合理使用的制度特征存在一定区别。
1.从维护公共利益到促进信息利用的目的变迁
个人信息的合理使用规则,最早出现在《民法典》第999条和第1036条。在全国人大的立法说明中明确表示该部分条文的立法目的是“构建自然人与信息处理者之间的基本权利义务框架,……合理平衡保护个人信息与维护公共利益之间的关系”[11]。个人信息作为自然人的人格权益,本应受到法律的严格保护,但是同时个人信息也可能会涉及社会公共利益,例如言论自由与舆论监督等事项。此时,公共利益与个人利益就产生了价值冲突,从公共哲学的内在逻辑审视,“基本权利保障必须让渡部分自由给公共利益,公共利益反哺基本权利保障”,个人信息的合理让渡有利于实现功利主义效用最大化。[12]但立法的天平不应该完全倒向任何一方,通过立法来完全剥夺个人的个人信息权益或完全忽视社会公共利益都是不可取的,而是应当通过规则与制度的预先安排对其进行一定的价值平衡。因此,我国《民法典》在确认自然人对个人信息享有人格权益时,并未规定自然人对其个人信息享有排他的、绝对的支配与控制[13],而是通过规定处理个人信息不必承担责任的免责事项来构建个人信息的合理使用规则,例如在“新闻报道”“舆论监督”以及“维护公共利益”等合理使用情形中,个人信息处理者不承担责任。正如全国人大常委会的立法说明总结一样,这一阶段的合理使用规则主要是用来协调个人信息保护与公共利益之间的关系。
但是,时代的现实需要决定了立法在个人信息保护和利用之间进行协调的情形并不局限于《民法典》的列举情形,《个人信息保护法》第13条的个人信息合理使用规则应运而生。在全国人大常委会对《个人信息保护法(草案)》的说明中提到,因为“考虑到经济社会生活的复杂性和个人信息处理的不同情况”,而对“基于个人同意以外合法处理个人信息的情形作了规定”[14],这一点也可以在《个人信息保护法》平衡个人信息的保护与利用的立法目的中得到印证。[15]这表明《个人信息保护法》中的合理使用规则不同于《民法典》中的合理使用规则,《民法典》中主要是出于公共利益的考虑,而《个人信息保护法》则增加了更加复杂的考量维度——个人信息利用的效率。从信息化时代走向大数据时代,个人信息不再是单纯的人格权益,更是数据要素市场中数据要素的重要来源,个人信息的利用价值被立法者逐渐重视。因此,个人信息不再只是涉及社会公共利益时被合理限制。个人信息和数据的相关立法的立法目的之一就是要促进个人信息保护与利用[16],从而实现权益保护与整体效率的平衡。[17]这一结论同样可以从《个人信息保护法》合理使用规则的具体列举事项中得出,例如“为履行合同所必需”“实施人力资源管理所必须”等情形不属于一般意义上出于维护公共利益目标的合理利用,而是属于“提高个人信息利用效率”的合理利用。若从功利主义法哲学视角审视,则是通过在保护自然人的个人信息权益的同时也进行适当限制来实现对于整个社会而言更大的“共同善”(common good)[18]。
2.与著作权合理使用制度似而不同的制度特征
在制度逻辑上,个人信息的合理使用与著作权的合理使用十分相似,都是出于某种利益的考量而对既存权利(权益)进行一定的限制。著作权领域的合理使用制度是指在一定条件下不经著作权人的许可,也不必向其支付报酬而对作品进行的使用。著作权作为著作权人对其独创性作品享有的合法权益,本应被法律所保护。但是出于“促进社会主义文化和科学事业的发展与繁荣”的立法目的,立法选择通过设定合理使用规则对著作权进行一定限制,从而协调权益保护和作品利用之间的关系。著作权的合理使用制度使得公众在“个人学习、研究和欣赏”等情形下可以不经过著作权人的同意且不必支付报酬,从而促进知识与信息的广泛传播,以最大限度地实现社会文化、科学事业的进步和繁荣。[19]但同时也通过有限列举和目的限制等方式对这种限制著作权的制度进行约束,试图在保护作者的著作权与限制作者的著作权中寻求平衡。[20]个人信息的合理使用规则与著作权的合理使用具有相似的特征,同样是规定在特定条件下无需经过个人信息主体的同意即可对其个人信息进行处理,同时也通过明文列举的方式对具体情形进行严格限制,从而实现个人信息利用与保护的平衡。
但是,个人信息的合理使用与著作权的合理使用仍然存在一定的区别。其一,二者所限制的主要权益类型不同。在个人信息合理使用中,个人信息处理者无需取得同意即可处理属于人格权益的个人信息,因此合理使用所限制的是自主支配与决定其个人信息权益的人格权益。[21]而在著作权的合理使用中,其他主体可以不取得同意、不支付报酬地利用著作权人的相关作品,主要限制著作权人的取得收益的财产权益[22],在其他主体合理使用作品时作者的署名权等人格权益则仍然被法律所严格保护。其二,在著作权的合理使用中,著作权人不享有对合理使用情况的知情权,合理使用人无需告知权利人即可对作品加以合理利用。而对于个人信息的合理使用,个人依法享有关于个人信息处理情况的知情权,个人信息处理者原则上仍需要履行相应的告知义务。知情是权利遭到侵犯的权利人寻求救济的事实前提,如果无法得知其合法权益被侵害,权利人就不可能主动寻求对合法权益的救济。法学研究视域下一般认为对人格权和人格利益的保护优先于财产权的保护[23],个人信息合理使用所克减的权益为人格权益,对个人信息合理使用中个人知情权的保障体现了立法对人格权益更高程度的保护。
三、合理使用场景下个人信息权益的限制
(一)合理使用规则限制个人的决定权与撤回权
撤回权是指个人有权取消其对自己已经作出的“同意信息处理者对其个人信息进行处理”的授权的权利[24],而决定权是指个人有权限制或者拒绝他人对其个人信息进行处理的权利。二者的关系非常紧密,前者是通过决定是否撤回已有授权的方式体现个人对其个人信息的支配,后者是决定是否给予个人信息处理者授权的方式体现个人对其个人信息的支配,故在此处一并进行讨论。在个人信息保护领域,立法者赋予了个人撤回权和决定权,以彰显个人对其人格权益的自主支配,体现了法律对人的主体性和自主性的尊重[25],这是保护个人信息权益的意义和价值所在。二者都是当事人对其个人信息权益的支配体系的重要组成部分,在不同方面发挥协同作用。但个人信息合理使用规则是“知情—同意”规则的替代制度,在个人信息处理者满足合理使用的条件时即可对个人信息进行相应的处理而不需要取得个人的同意,是对个人信息的自主支配利益的克减,这种克减将对个人的决定权和撤回权产生一定的影响。
对于撤回权,依据《个人信息保护法》第15条,基于个人同意而处理个人信息的,个人有权撤回其同意,这一规则明确限制了个人享有撤回权的前提是“基于个人同意”而处理其个人信息。因此,对于构成合理使用的处理行为,并非属于“基于个人同意”的个人信息处理行为,个人信息处理者处理其个人信息的正当性基础来自合理使用规则的法定授权,而非个人的授权同意。简言之,合理使用并非基于个人的同意,当然个人也没有撤回同意的权利。而对于决定权,依据《个人信息保护法》第44条的规定,个人有权自主决定(限制或拒绝)他人是否可以对其个人信息进行处理,但是“法律、行政法规另有规定的除外”。正面来看,这一规则表明当不存在其他另有规定时个人有权同意或者拒绝处理者处理其个人信息,表现为支配性权利。[26]同样也表示,如果存在其他“另有规定”时,个人的决定权将会被限制。而依据《个人信息保护法》第13条“有前款第二项至第七项规定情形的,不需取得个人同意”的规定,此处的第2项至第7项其实就是本文所谓“个人信息的合理使用”,法律规定在构成合理使用时“不需取得个人同意”,属于法律对决定权的限制。因此,可以认为无需取得个人同意的合理使用规则属于《个人信息保护法》第44条规定的个人享有决定权的“另有规定”。
综上,初步结论是在符合个人信息合理使用的条件时,个人原则上不再享有撤回权与决定权。③原因在于决定权与撤回权共同指向的要素是个人信息自主支配利益,享有决定权与撤回权的前提是个人主体有“同意的权利”,而个人信息的合理使用规则正是立法者出于促进信息利用的目的而对个人权利的克减,因此个人的决定权等自主支配利益受到了合理使用规则的限制。
但是值得注意的是,《个人信息保护法》对合理使用的某些情形明确规定了个人享有可以拒绝的权利,此时个人的决定权因为法律的特别规定而恢复。例如,《个人信息保护法》第27条明确规定了“个人明确拒绝的除外”,因此对于“已经自行公开、合法公开信息”情形下的合理使用,当事人因法律的明确规定而仍享有相应的自主决定权,可以拒绝个人信息处理者对其自行公开和已经公开的信息的合理使用。而对于没有明确规定当事人享有拒绝权的情形,合理使用将仍然对其决定权进行限制,即无权拒绝个人信息处理者对其个人信息的处理。例如,当事人并不能依其决定权而拒绝媒体为了公共利益而实施舆论监督的个人信息合理使用。综上所述,作为立法者出于信息利用效率考量而设立的规则,合理使用在一般情况下将限制个人的撤回权与决定权,但是在有特别规定时个人仍然享有决定权。
(二)合理使用规则原则上不影响个人的知情权
如前所述,在著作权的合理使用中,合理使用人无需取得个人同意,也无需告知著作权人即可进行著作权的合理使用,因而著作权人并不享有合理使用的知情权。对于个人信息的合理使用,同样是对个人信息权益进行了一定的限制,来实现个人信息保护和利用的平衡。可以明确得出的结论是,合理使用在一定程度上限制了当事人的自主决定权与撤回权,但是否会对知情权产生影响?依据《个人信息保护法》第14条的规定要求个人在“同意”时要“充分知情”,那么“非基于同意”的合理使用是否需要达到“充分知情”的程度?若从现行个人信息保护法律体系进行考察,立法者对这一问题并没有进行明确的规定,这一问题的答案有赖于对个人信息合理使用规则的进一步解释。
个人信息合理使用对个人信息的自主支配利益进行限制时是否对知情权进行限制,这一问题是个人信息利用的效率价值与个人信息保护的权益价值之间的价值衡量,实质是立法者出于效率的考量可以对个人信息的权益限制到何种程度。在逻辑上,这一衡量过程包括两个极限情况,就像是一个天平的两端:一端是在克减个人决定权的同时也完全克减对其个人信息处理的知情权,也即个人信息处理者在合理使用时不需要征得当事人的同意,也无需履行相应的告知义务;另一端是克减个人决定权的同时完全不减损个人对其个人信息处理的知情权,也即在进行合理使用时个人信息处理者仍然需要履行同“告知—同意”信息处理完全相同的告知义务,只不过不需要征得同意。天平的倾斜程度就代表了立法对效率与权利二者的态度倾向。由于个人信息影响到人格权、公共利益、国家利益等多方面关系,在相关规则进行制度构建与具体适用时应当注重对相关利益的协调。[27]
从知情权条款的文义进行考察,《个人信息保护法》第44条规定了知情权,但知情权与个人的决定权列于同一条款,二者均有“法律、行政法规另有规定的除外”的表述。如何理解此处的“另有规定”,是解决此问题的重要突破点。如上文“合理使用与决定权的关系”部分所述,在理解决定权是否被克减时将合理使用规则归入了第44条的“另有规定”,原因在于第13条第2款的合理使用规则明确规定了“……有前款第二项至第七项规定情形的,不需取得个人同意”,该种表述实质上是对决定权的克减。但是在此处,本文认为不可以简单一句“同理可知”,将合理使用规则同样地归入对知情权克减的“另有规定”,从而草率地得出知情权同决定权一样被合理使用制度所克减的结论。这是因为在第13条第2款的合理使用规则仅明确规定了“不需取得个人同意”,而立法并未直接表述“无需告知个人”。对于个人信息权益而言,其属于《民法典》《网络安全法》《个人信息保护法》等法律明确规定的个人享有的人格权益。人格权是基本民事权利,与人格尊严直接相关,对其的限制应采取法律保留原则,对个人权益克减都应该有法律的明确规定[28],而不应该草率地通过类推得出权益被克减的结论。依据个人信息保护法的基本原理同样可以得出否定的结论。因为“公开透明原则”是我国乃至国际个人信息保护领域的立法中的一项重要原则[29],这一原则要求个人信息处理者在处理个人信息时应当尽可能地保障个人的知情权。为保障个人知情权而建立和健全的良好信息披露机制,尽管给处理者带来了更大的合规压力,但可以使个人“保持清醒的在场”[30],这是个人行使其他个人信息权益的基础。在个人信息保护规则存在适用的模糊地带时,可以依据个人信息的基本原则进行解释,得出应当保障个人知情权的结论。因此,在没有明文规定对知情权进行限制时,不能通过类推解释将合理使用规则纳入对知情权克减的“另有规定”之中。实际上,《个人信息保护法》第17条规定了“个人信息处理者的名称或者姓名和联系方式”等个人信息处理者的告知义务的具体事项。从权利义务相对应的角度切入,个人信息处理者的义务实际上就是个人的权利。可以理解为,在法律没有明确规定豁免个人信息处理者的告知义务时,个人对其个人信息的处理享有相应的知情权。
除上述论证外,从体系逻辑的一致性方面考虑,个人的知情权在合理使用场景下亦不应当被限制。“履行法定职责”是《个人信息保护法》明确规定的个人信息合理使用情形之一,国家机关在“履行法定职责”时不需要取得个人同意。但《个人信息保护法》第35条的规定为国家机关确立了一般性的告知义务[31],原则上“履行法定职责”时国家机关应当依法履行告知义务。只有在“法律、行政法规规定应当保密或者不需要告知”或“告知将妨碍国家机关履行法定职责”等明确规定的情形时其告知义务才被豁免。虽然履行法定职责属于第13条第2款的合理使用规则的情形,但在此处仍然需要履行告知义务。再如,对于“紧急情况下为保护自然人的生命健康和财产安全所必需”的个人信息处理,属于不需取得个人同意的个人信息合理使用。但《个人信息保护法》第18条第2款规定在该种合理使用情形下“个人信息处理者应当在紧急情况消除后及时告知”,而非完全不需要告知。这两点可以从侧面印证以下结论:尽管个人信息处理的合理使用规则限制了个人的自主决定权(不需要取得个人的同意),但个人原则上仍然享有知情权(尽管可能在紧急情况下是嗣后告知)。
(三)合理使用场景下告知义务豁免条款限制个人的知情权
延续上文思路,个人信息处理者告知义务的豁免规则其实就是《个人信息保护法》第44条中减损个人对其个人信息处理的知情权的“另有规定”。此类“另有规定”如《个人信息保护法》第18条和第35条,规定了特殊情形下免除个人信息处理者的告知义务,在这些情形下个人对其个人信息处理的知情权被限制。反之,在无法满足有豁免告知义务的“另有规定”的情形时,个人信息处理者的告知义务没有被豁免,个人仍然享有对其个人信息处理的相应知情权。总而言之,合理使用制度虽然是“告知—同意”的例外规则,对个人信息权益进行了一定限制,但是这种限制主要表现在对个人的自主决定权的限制,并不必然可以对个人的知情权进行同样的限制,只有在法律有特殊规定(如豁免告知义务的规定)时,基于这些另有规定个人知情权才受到限制。[32]限制自主决定权和限制知情权的情形存在差别,而且在理论上免除告知义务的规定应当比无需取得个人同意的情形更加严格。[33]目前,有学者提出国家机关作为个人信息处理者时,可以分为三种类型:“取得同意-应当告知”“无需同意-应当告知”和“无需告知-无需同意”三种可能的情形。[34]其实,这三种类型的划分不仅适用于国家机关作为个人信息处理者的情形,所有的个人信息处理都可以采用这种划分方式,如表1所示。
举例以说明:表中第一种情形是一般的“告知—同意”情形,不再赘言。表中列举的第二种“无需同意-应当告知”情形:用人单位为实施人力资源管理而处理个人信息,属于个人信息的合理使用,不需要取得个人同意。但由于用人单位的合理使用不属于法定免除告知义务的情形,则其仍然需要履行《个人信息保护法》第17条的告知义务,此时个人的知情权没有被限制。表中列举的第三种“无需同意-无需告知”情形:对于侦查机关以收集处理嫌疑人个人信息为手段来实施的刑事侦查行为,属于“履行法定职责”的合理使用,国家机关不需要取得个人同意。同时,处理嫌疑人的个人信息属于《个人信息保护法》第35条规定的限制知情权条款中的“告知将妨碍国家机关履行法定职责”的情形,此时侦查机关不需要履行告知义务,嫌疑人的知情权被限制。综上所述,只有在法定的特殊情形下(即上表中的“无需同意-无需告知”情形),立法者才对个人的决定权与知情权进行“双重限制”,此时个人信息处理者既不需要取得同意,也不再需要履行告知义务。
值得注意的是,对知情权的限制并非来自合理使用规则本身,而是来自限制个人知情权(豁免个人信息处理者的告知义务)的“另有规定”。若沿此思路,一个不可回避的问题是如何合理界定和理解“限制知情权的规则”。《个人信息保护法》第18条“……有法律、行政法规规定应当保密或者不需要告知的情形的,可以不向个人告知前条第一款规定的事项”的表述方式,留下了一定的模糊地带。其中,对于明确规定“应当保密”的情形无需过多讨论,不会产生过多争议;但对于“不需要告知”的情形,却有两种理解方式:一种理解方式认为“法律、行政法规规定”作为“应当保密”和“不需要告知”两种情形的共同定语,也即此处规定的是:“法律、行政法规规定”的“应当保密”和“法律、行政法规规定”的“不需要告知”两种情形[35,36];另一种理解方式则认为“法律、行政法规规定”作为“应当保密”情形的定语,而“不需要告知”则作为与前项“法律、行政法规规定”的“应当保密”并列的单独一项情形。[37,38]前种理解方式意味着只有法律、行政法规明确规定“不需要告知”时个人信息处理者才不须告知,后种理解下的“不需要告知”涵盖范围则更加宽阔,留下了实质判断是否需要告知的空间。
此处宜采第二种解释路径,原因在于:其一,第二种解释路径有利于《个人信息保护法》与其他法律的协调,可以减少相应的立法成本。目前我国已有的法律规定一般是采取规定保密的方式,而“不需要告知”这一表述实质上是《个人信息保护法》的独创表述。由于其他法律并没有做出此种规定,此时如果严格要求“法律、行政法规”规定的“不需要告知”,该规则将无法与现有法律体系有效衔接。其二,第二种解释路径有利于《个人信息保护法》的内部自洽。目前,对于非基于个人同意的个人信息合理使用规则中的部分情形,若从成本效益方面考量本应纳入上文所提到的“无需同意-无需告知”的情形,例如“为公共利益实施新闻报道与舆论监督”以及“处理已经公开的信息”等情形时,如果要求处理者满足相应的告知义务,将会导致成本收益的失衡,甚至对于“处理已经公开的信息”,履行告知义务可能由于搜寻成本等问题而不具有现实可行性,并面临实际操作上的障碍。[39]上述情形显然不符合“应当保密”的条件,同时《个人信息保护法》亦未明确规定其属于“不需要告知”的情形。如果采第一种解释路径,则相应的结论是“为公共利益实施新闻报道与舆论监督”以及“处理已经公开的信息”属于“无需同意-应当告知”的类型,也即:处理者必须满足相应的告知义务。但这样的结论显然不具有现实可行性,同时也与个人信息保护和利用相平衡的立法目的相悖。对于已经合法公开的个人信息,在学理上亦有观点认为个人信息处理者原则上无需履行告知义务即可自由处理。[40]因此,本文认可第二种解释思路:将“不需要告知”的情形作为一项实质判断事项,而非“有法律、行政法规规定”时的准用事项。此时,可以将“为公共利益实施新闻报道与舆论监督”以及“处理已经公开的信息”④解释为无需告知的事项,从而达到妥适平衡个人信息保护与利用的目的。当然,此时何种情形属于“不需要告知”的指涉范围,需要进一步明确,防止实质判断空间的过度扩张。
四、我国法中合理使用与单独同意的体系协调
所谓特殊同意制度是指依据个人信息保护的有关法律的要求,在处理个人信息时区别于一般情形下的同意条件,而采取特殊的同意方式,方能处理该个人信息的有关制度。特殊同意比一般同意在内容或形式方面有着更高的要求。例如,在欧盟《通用数据保护条例》中有区别于一般同意的“明确同意”(explicit consent)⑤;在韩国《个人信息保护法》中存在要求取得“另行同意”的处理情形。⑥我国《民法典》《个人信息保护法》等立法对于个人信息处理中的同意,亦采用了多元化而非一元化的设定模式[41],《个人信息保护法》中存在一般同意和单独同意等特殊同意的区别。各法域的立法者之所以规定特殊同意制度,是为了在涉及个人信息处理的特殊场景时将法律的天平更加倾向于个人,更加严格地限制处理者的处理行为,体现了立法对个人信息权益的加强保护。[42]一方面,可以增大个人信息处理者的收集成本,防止其对个人信息权益的肆意侵害,另一方面,更加严格的告知义务和同意条件更可能唤醒个人的权利保护意识从而谨慎授权。[43,44]
我国《个人信息保护法》中的特殊同意制度目前主要包括单独同意和书面同意:其中书面同意主要由引致条款规定⑦,在此处不做赘述;单独同意主要包括“敏感个人信息的处理”“个人信息的公开”“非公共安全目的对个人图像、身份识别信息的收集”“个人信息的跨境转移”以及“向其他个人信息处理者提供个人信息”等类型。在上述场景下,如果没有取得相应的特殊同意,该个人信息处理行为则具有违法性[45],应当承担相应的侵权责任。目前,最典型的特殊同意的场景是对个人敏感信息的处理,诸如欧盟《通用数据保护条例》、日本《个人信息保护法》、韩国《个人信息保护法》以及我国《个人信息保护法》等现实立法均在个人敏感信息上提高了处理门槛,设置了更高程度的特殊同意要求。[46]因此,下文将以个人敏感信息的单独同意规则为例,探讨其作为特殊同意规则与个人信息合理使用规则的关系。
(一)欧盟《通用数据保护条例》中合理使用规则的双层结构
欧盟的《通用数据保护条例》作为公认的“最严格的个人信息保护规则”[47],对个人敏感信息的处理采取了非常严格的制度设计——“原则禁止,特殊例外”的处理原则。[48]一方面,原则上禁止处理个人的敏感信息,其第9条第1款规定,对于“种族或民族背景、政治观念、宗教或哲学信仰、工会成员、基因数据、为了特定识别自然人的生物性识别数据、自然人健康以及个人性生活或性取向”相关的个人信息,原则上应当禁止处理。另一方面,即使处理者欲通过取得个人的同意来获得处理个人敏感信息的合法性,还需要取得个人的更高程度的同意——明确同意(explicit consent),即该同意必须是“自由给予、明确、具体、不含混”的,个人的任何被动同意均不符合《通用数据保护条例》的规定。[49]值得注意的是,欧盟《通用数据保护条例》中的特殊同意是“明确同意”,与我国立法中的“单独同意”存在区别。[50,51]尽管其在规范表述和条件要求上存在不同,但二者在各自立法体系中均为严格程度高于“一般同意”的“特殊同意”,在此意义上二者具有相似的地位。鉴于此,本文将以我国与欧盟法中的这两种地位相似的“特殊同意”与各自立法体系中的个人信息合理使用规则的关系作为研究对象。
在本文第一部分已经提到,《通用数据保护条例》第6条第1款“处理的合法性(除了第a项为取得个人同意外)”属于本文研究之“合理使用规则”。但除此之外,在《通用数据保护条例》第9条“对特殊类型个人数据的处理”中,规定了处理个人特殊敏感信息的合法性事由,其中不仅包括更高程度要求的“特殊同意”,还包括了其他“非基于同意”的处理情形,同样属于本文所研究的“合理使用规则”。因此,在《通用数据保护条例》中,合理使用规则可以分为两部分,分别是第6条第1款“处理的合法性”中除第a项“取得个人同意”之外的合法处理情形,以及第9条第2款“禁止处理敏感信息的例外”中除了第a项“取得个人特殊同意”之外的合法处理情形。其中,第6条第1款中的合理使用规则是合理使用的一般规则,而第9条第2款中的合理使用规则是敏感信息场景下的特殊规则,二者是特殊规则与一般规则的关系。依据特别法优于一般法的法律适用原则,在特殊场景下第9条第2款的合理使用规则处于优先适用的位阶。
欧盟《通用数据保护条例》的双层合理使用规则,可以在敏感信息场景下对非基于同意的个人信息合理使用设置更高程度的条件与要求。例如,对于一般情况下的个人信息合理使用,依据《通用数据保护条例》第6条第1款第d项的规定,当个人信息属于“处理对于保护数据主体或另一个自然人的核心利益所必要”的情形时,无需个人同意即可对个人信息进行处理;而在“种族、民族、个人性生活或性取向相关”等敏感信息的处理场景下,依据第9条第2款第c项的规定,个人信息合理使用需要满足“数据主体因为身体原因或法律原因而无法表达同意,但处理对于保护数据主体或另一自然人的核心利益却是必要的”的条件。相比之下,敏感信息场景下的合理使用被严格限制在“数据主体因为身体原因或法律原因而无法表达同意”的条件下。此种严格条件的设置并非孤例,实际上第9条第2款中的第b项至第i项均为对第6条第1款中的一般情形下的合理使用规则的严格与细化。
综上,欧盟立法中设置了双层合理使用规则,在敏感信息场景下《通用数据保护条例》第9条的“明确同意”作为特殊同意规则与特殊的合理使用规则的共同构成个人信息处理的合法事由,合理使用规则与特殊同意规则并不具有发生冲突的可能性。
(二)我国《个人信息保护法》视野下特殊同意与合理使用的规则冲突
不同于《通用数据保护条例》对一般情形和特殊场景下合理使用规则的区分设置,我国并没有对特殊情形下的合理使用规则进行单独设置,因此产生了合理使用与特殊同意相关规则适用的冲突。我国《个人信息保护法》对敏感信息处理等特殊场景设置了区别于“一般同意”的“特殊同意”——主要是“单独同意”规则(“书面同意”由引致条款规定),但却没有如欧盟立法中一样对于敏感信息等特殊场景下个人信息处理的合理使用进行单独规定,只在第13条规定了单一的合理使用规则。基于此,在构成个人信息的合理使用的情形时,是否仍然需要取得个人的特殊同意?或者表达为,在需要特殊同意的个人信息处理场景下,“非基于个人同意”的合理使用规则是否还有适用的空间?这一问题实质上是合理使用与特殊同意的体系关系为何,对于这一问题现行法并没有给出明确的答案,仍有赖于对相关规则的解释。
若从现行法考察,依据《个人信息保护法》第14条的规定,“基于同意”的个人信息处理,如果有法定特殊同意要求另有规定的需要取得相应的特别同意。再如《网络数据安全管理条例(征求意见稿)》,其延续了《个人信息保护法》第14条的规定方式,第21条规定“处理个人信息应当取得个人同意的,数据处理者应当遵守以下规定:……(二)处理个人生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等敏感个人信息应当取得个人单独同意;……”。这一规定同样只强调了:在涉及个人敏感信息的个人信息处理中,对于“基于个人同意”的个人信息处理,还需要取得个人的“单独同意”,而没有明确规定“非基于同意”(即本文所谓个人信息的合理使用)的个人信息处理是否需要取得对敏感信息的单独同意。
在这一点上,可以认为立法存在较大的模糊地带:从规则指向的反向理解来看可以得出疑问,“非基于同意”的个人信息处理是否同“基于同意”一样需要取得个人的特殊同意?举例而言,“人力资源管理所必需而处理个人信息”属于法定的合理使用情形,一般情况下无需取得个人的同意即可处理个人信息,并无太大争议。但在涉及生物识别、银行账户等敏感信息特殊场景时,是否需要取得个人的单独同意,是一个法律没有明确规定的问题。这一问题的实质在于如何理解合理使用规则与特殊同意规则之间的适用位阶关系。
若就制度定位而言,合理使用规则是立法者出于弥补“告知—同意”规则的过于刚性的目的,为协调个人信息利用与个人信息保护的平衡而设立的规则。因此,合理使用规则与基于同意的个人信息处理规则同样被并列规定于《个人信息保护法》第13条中。立法者采取“原则-例外列举”的立法技术,实际上是将合理使用规则理解为一般“告知—同意”的替代与补充制度,也即合理使用规则可以为个人信息处理提供与取得个人同意相同的正当性基础。在这个意义上,“告知—同意”规则与合理使用规则是具有相同位阶的制度,二者对于个人信息处理者而言是“或有”的关系,只需要符合其中之一,个人信息处理行为即具有合法性。而特殊同意制度是立法者出于对敏感信息处理、信息公开行为等特殊场景下个人信息的侧重保护而设立的制度,要求单独同意或者书面同意,体现了对个人信息处理更高程度的要求,是所有个人信息处理的特殊规则。因此,特殊同意规则、“告知—同意”规则以及合理使用规则之间的关系,是第一种解释路径,特殊同意规则是所有的个人处理行为(包括“一般同意”情形和“合理使用”情形)的特殊规定,效力位阶上优先于作为一般规定的“告知—同意”规则与其“补充制度”——合理使用规则。
但仅对《个人信息保护法》第14条第1款⑧的条文表述进行文义解释,此处还可以有另一种理解和适用的方式,将会得出相反的结论。可以将《个人信息保护法》第14条和《网络数据安全管理条例(征求意见稿)》第21条的规定理解为:只有“基于同意”的个人信息处理行为在有法定特殊同意要求时,才需要取得相应的特殊同意。而对于“非基于同意”的个人信息合理使用,则不需要满足相应的特殊同意的要求。第二种解释路径的实质是仅仅将单独同意等特殊同意作为“告知—同意”规则的特别规定,亦即:只有在适用“告知—同意”规则时遇到需要特殊同意的处理场景时才需要特别同意,而对于非基于同意的合理使用,则不需要取得特殊同意。
总而言之,法律的模糊性为此处留下了两种理解与适用的方式:前者认为,特殊同意规则是所有个人信息处理行为的特殊规则,而合理使用规则同“告知—同意”规则一样,是个人信息处理的一般规则;后者认为,特殊同意规则仅是“告知—同意”规则的特殊规则,不影响合理使用规则的适用。依据特殊规定优先于一般规定的法律适用方法,二者的区别在于:前者认为特殊同意规则作为特殊规则,将优先于作为一般规则的“告知—同意”规则与合理使用规则,从而得出对于敏感个人信息等特殊同意情形,即使符合合理使用的要求,也应当取得个人的特殊同意;而后者的结论则正相反,符合个人信息合理使用的条件时,将不再需要取得个人的特殊同意。举例而言,对于用人单位作为处理者的情形,员工的银行账户、生物识别等敏感信息在满足合理使用的条件时,前者认为用人单位仍然应当依法取得单独同意,后者则认为只要属于合理使用就不再需要取得单独同意。目前,学界对于这一问题尚未形成共识,在理解上尚存在分歧:一部分学者支持第二种解释路径,譬如有观点主张此处没有限制“基于个人同意”只是为了“使表述更加严谨凝练”[52],实际上仅限于“基于个人同意”的情形;再如有观点认为“(单独同意)当然是指那些基于个人同意处理个人信息情形,至于依据法律、行政法规的规定无需个人同意即可处理个人信息的情形,则不适用”[53]。但是,亦有学者支持第一种解释路径,并对前述观点表示了质疑,认为“单独同意”不应当被合理使用规则所豁免,其论据是:其一,体系解释方面,《个人信息保护法》第13条第2款(即合理使用规则)中“不需要取得个人同意”的“同意”,仅指“一般个人信息处理的同意”,而非特殊场景下的“单独同意”;其二,在利益衡量方面,如果“单独同意”可以被合理使用规则所直接豁免,可能存在结果上的不合理。[54]
本文认为后一观点值得进一步商榷,原因在于:第一,后一观点所采取的解释方法为反向解释,即是依照法律规定的命题(判断),推断其反方面命题(判断)的一种法律解释方法。[55]但是此种解释方法需要满足一定的条件:只有要件和效果构成必要条件或充要条件假言命题的法条,才可以采取“否定法律要件进而否定法律效果”的解释方式。[56]而在此处,并没有充分的理由认定《个人信息保护法》第14条第1款符合适用反对解释的条件,因此无法得出该反向解释的结论。具言之,第14条可以表达为:存在需要单独同意的另有规定时,如果条件是“基于个人同意”的个人信息处理,则效果是“应当取得个人的单独同意”。第二种解释路径是对第14条的反向解释,具体为:存在需要单独同意的另有规定时,如果条件是“非基于个人同意的个人信息处理”,效果是“无需取得个人的单独同意”。根据形式逻辑推理的研究,这一结论成立所需要的条件是《个人信息保护法》第14条属于“法律条件是法律效果的必要条件或充要条件的法律规范”。但是,该法条并没有使用严格的逻辑学假言判断的联结项(如必要条件为“只有……才”,充分条件为“如果……就”)。此时,判断命题的类型就还需要结合法律体系、立法目的、利益衡量等进行判断。[57]由此,关于此问题的讨论就必须从形式逻辑走向实质判断,同时结合上文有学者提出的有关13条中“同意”的体系解释与适用后果的利益分析的论据可知,此处不宜以“当然可知”等类似说法轻易通过反向解释得出该结论。
第二,从体系解释的角度来看,除了第14条第1款外,《个人信息保护法》并没有明确规定将“单独同意”规则只局限于“基于个人同意”的个人信息处理。例如,其第29条规定“处理敏感个人信息应当取得个人的单独同意……”,其中并没有像第14条第1款一样限定“基于个人同意”,从单纯文义解释来看该规则是所有涉及敏感信息的个人信息处理均需要遵守的规则。
第三,从历史解释的角度来看,分析《个人信息保护法》第29条的变迁历史亦可以得出相同的结论。第29条的规则表述在《个人信息保护法》立法过程中经历过修改变动,在《中华人民共和国个人信息保护法(草案二次审议稿)》(以下简称“《二审稿》”)中其表述为“基于个人同意处理敏感个人信息的,个人信息处理者应当取得个人的单独同意……”,这样的表述其实是将敏感个人信息处理的“单独同意”规则限制于“基于个人同意”的个人信息处理。与之相对,第23条、第25条、第26条、第39条同为“单独同意”的个人处理情形,在《二审稿》中却没有“基于个人同意”的限制。通过对比可知,在《二审稿》中敏感个人信息的“单独同意”仅限于“基于个人同意”的个人信息处理,而第23条、第25条、第26条、第39条等规则规定的“单独同意”不限于“基于个人同意”的个人信息处理。而在最终的《个人信息保护法》中将第29条的“基于个人同意”的限定条件删除,将其与第23条等规则的“单独同意”同等对待,实际上是拓宽了敏感个人信息处理“单独同意”规则的适用范围。这一变化可以从侧面印证上述结论——“单独同意”规则并非仅限于“基于个人同意”的个人信息处理情形,除非有明确规定的限定条件(如《二审稿》中的敏感个人信息处理)。这样也可以反驳前文提到的删除“基于个人同意”仅是为了“使表述更加严谨凝练”的观点。如果认为删除“基于个人同意”仅是为了“使表述更加严谨凝练”,也即认为如果不规定“基于个人同意”就可以直接视同有“基于个人同意”的限制,就无法解释为何在《二审稿》中的“单独同意”在部分情形下有“基于个人同意”的表述,而部分情形并无此表述。假设《二审稿》中各情形均有“基于个人同意”的表述,然后再于最终立法文稿中统一删去,此种解释方式或许有存在的空间。实际上,《二审稿》中一部分“单独同意”存在“基于个人同意”限制而另一部分没有“基于个人同意”限制,正说明了有无限制这一条件之间的区别。因此,可以得出这样的结论:以个人敏感信息处理为典型代表的特殊同意制度,是所有个人信息处理的特别规则,优先于个人信息合理使用与“告知—同意”的规则适用。
综上所述,在涉及特殊的个人信息处理场景时,单独同意作为我国法的“特殊同意”应当优先适用,个人信息处理者并不能依据合理使用规则而直接对个人信息进行处理,而仍须依法取得单独同意。举例而言,虽然根据合理使用规则,用人单位无需取得员工的同意即可实施人力资源管理所必需的个人信息处理行为。但是,对于员工个人的人脸识别信息、宗教信仰、医疗健康、金融账户等敏感信息,应当取得个人的单独同意才可以进行收集等处理行为,此为《个人信息保护法》第29条优先于个人信息合理使用规则的结果。再如,国家机关依职权取得了大量的个人敏感信息,原则上除非取得个人的单独同意,不能将个人的敏感信息公开[58],此为第25条优先于个人信息合理使用规则适用的结果。
(三)知情权限制规则作为特殊场景下合理使用的补充制度
虽然上述论述可以较为妥适地解释单独同意的适用位阶优先于合理使用规则,但由于我国《个人信息保护法》没有像《通用数据保护条例》一样设置双层结构的合理使用规则,无法解决特殊场景下的个人信息的合理使用问题。在欧盟法下,虽然特殊场景中的合理使用需要满足更加严格的适用条件,但是仍然有其适用的空间。而我国没有在敏感信息等特殊场景下设定单独的合理使用规则,同时一般合理使用规则因劣后于特殊同意规则而无法适用,在特殊场景下没有合理使用个人信息的制度空间。但实际上,在国际视野下的个人信息保护专门立法中,许多国家规定了个人私密信息可予公开的特定情形,以确保在国家意志和公共利益层面上平衡公众知情权、监督权与隐私权。[59]个人信息的社会性决定了其所指向的不仅仅是个体性利益,还具有公共性色彩[60],私密信息、敏感信息等特殊场景下的个人信息处理有其保护的必要性,但是没有必要将其设置为完全的绝对保护地位。因此,没有必要“完全地、绝对地”要求在任何条件下对敏感信息等特殊场景都需要取得个人的单独同意。举例而言,国家安全机关或公安机关在履行侦查职权时,可能需要收集与处理被调查对象的个人信息,其中可能包括个人敏感信息。此时苛求公安机关取得被调查对象的单独同意,恐怕是一个有悖于立法初衷与社会管理现实需要的结论。鉴于此类现实需要,此时还需要探究的问题其实是如何在承认单独同意规则优先于合理使用规则的基础上,为特殊场景下个人信息利用留下合适的制度敞口。
目前,在我国现行法体系下或许可以将知情权限制规则作为特殊场景下合理使用的补充制度,来实现敏感信息等特殊场景下对个人信息的合理使用。如本文第三部分所述,合理使用规则不影响个人的知情权,除非有法律的明确规定,这些“另有规定”不仅可以作为限制个人知情权的依据,亦可作为限制单独同意规则适用的依据。严格来说知情是同意的内在规范要求[61],限制知情权的条件比限制决定权的条件更加严格[62],举重以明轻,因为无需告知所以不必取得同意[63],如果立法对个人的知情权都已经剥夺,自然不存在取得其同意的空间。简言之,豁免告知义务的情形下,无需取得个人的同意。[64]例如,依据《个人信息保护法》第18条和第35条的规定,有“法律、行政法规规定应当保密或者不需要告知的”以及“告知将妨碍国家机关履行法定职责”等情形时,个人信息处理者依法不需要履行告知义务。因此,对于敏感信息等特殊场景下的个人信息处理,如果属于法律明确规定的对知情权限制的情形,单独同意规则由于限制知情权条款的存在而不适用,即个人信息处理者无需再取得个人的“单独同意”。
对于被处理者而言,合理使用规则和知情权限制规则达到了相似的效果——不再需要取得个人的同意,但是其发挥效果的原理存在不同,前者是直接限制个人的决定权而不再取得个人的同意,而后者是通过限制知情权来实现这一效果。在后者效果实现的过程中,限制知情权条款发挥了效力,但一个需要回应的问题是,合理使用规则在此过程中的作用是什么?实际上,二者各自的制度目标或许可以回答这一问题。合理使用规则的目的是赋予处理者以非基于个人同意的个人信息处理以合法性基础,限制知情权条款则是出于某种目的使得被处理者不能了解处理的有关情况。由此可见,限制知情权条款并没有解决个人信息处理的合法性基础问题。而对于限制知情权情形下的个人信息处理,由于无告知义务而不可能适用“告知—同意”规则取得处理活动的合法性,仅可能通过合理使用规则取得合法性。在理论上存在这样的可能性——处理者的行为符合限制知情权条款的规定,但是不符合合法性基础的规定:譬如某单位的某项个人信息处理活动符合《中华人民共和国保守国家秘密法》第9条的规定,应当保密;但是仍然需要依据合理使用规则判断其是否具有合法性基础,如果超出法定权限职责就可能无法取得合法性基础,因此可能会招致对单位的责令改正和相关人员的处分。⑨此时,个人信息的合理使用规则由于单独同意规则的无法适用而仍可以适用,也即个人信息处理者仍需要通过个人信息合理使用规则获得相应个人信息处理行为的合法性。此处可以做一个简短小结:可以将法定的需要单独同意的特殊场景下的合理使用场景区分为“个人依法享有知情权”和“个人依法不享有知情权”两种类型,前者如“人力资源管理所必需”的合理使用,后者如国家安全机关“依法定职权”的合理使用。前者的个人信息处理行为仍然受到单独同意规则的约束,个人合理使用规则不再适用;而后者则由于限制知情权的法律规定而不需要取得个人单独同意,可以直接适用个人信息合理使用规则。这种理解与适用的思路可以弥补我国单层次合理使用规则的不足,可以在明确特殊同意优先于合理使用规则适用的前提下,在一定程度上通过解释得出在特殊场景下仍存在无需取得特殊同意的制度空间,以回应个人信息利用的现实需求。
至于限制知情权规则的适用,也应当充分考虑个人信息保护目标与利用目标的平衡。如前文第三部分所述,主要包括“法律、行政法规规定应当保密”和“不需要告知”两种情形,如果是国家机关处理者,则还包括“告知将妨碍国家机关履行法定职责”的情形。对于“应当保密”和“妨碍履行职责”这两者规定较为清晰,不必赘述。但前文已经提到“不需要告知”作为一个灵活判断条款,可能会较为复杂,需要侧重考虑敏感信息等特殊场景下的个人信息权益保护目标:克减一般场景下的知情权和本应取得“单独同意”的处理场景下的知情权,在实质判断时的结果可能不同。譬如,前文第三部分已经论证,合理使用已公开的一般信息,属于“不需要告知”的情形[65],此为个人信息保护目标向利用目标平衡的结果;但是如果已公开的信息属于敏感信息,因为敏感信息的定义本身就决定了其对个人权益有重大影响,所以应当适用《个人信息保护法》第27条的规定,仍应当取得个人同意[66,67],并且依据《个人信息保护法》第29条应当是“单独同意”。
五、结论与讨论
出于个人信息保护与利用相协调的目的,立法者对个人信息设置了同著作权合理使用规则相似的个人信息合理使用规则。但由于我国立法没有像《通用数据保护条例》对一般情形和特殊情形下将合理使用规则区分设置,因此产生了合理使用与单独同意相关规则适用时的排斥竞合。本文的初步结论是:在有单独同意规定的特殊场景下,合理使用规则原则上不再适用。但鉴于特殊场景下对个人信息合理使用的实际需要,限制知情权的例外条款仍可作为特殊场景下个人信息合理使用规则的制度填补。总而言之,本文主要思路的底层逻辑是个人信息利用目标与保护目标之间不断地平衡与再平衡:出于对个人信息保护目标的考虑,确立了“告知—同意”制度;但同时也确立了“合理使用”制度限制个人的自主决定权,赋予处理者以非基于个人同意的合法性基础,作为向个人信息利用目标的平衡;出于对敏感个人信息、个人信息公开等特殊处理场景的个人信息的侧重保护,单独同意规则应当优先于合理使用规则适用,作为向个人信息保护目标的再平衡;由于确实存在个人信息处理的现实需要,需要将“限制知情权”规则作为向个人信息利用目标的再度平衡;之后,限制知情权条款(尤其是“不需要告知”作为实质判断条款)使用时也要充分考虑个人信息保护目标,从而实现向个人信息保护目标的再度平衡。
注释
①参见“凌某某与微播视界公司隐私权、个人信息权益网络侵权责任纠纷案”,北京互联网法院(2019)京0491民初6694号一审民事判决书。
②欧盟《通用数据保护条例》中的立法表述为“个人数据(Personal Data)”,该定义与我国数据立法中“数据”的定义有所不同(例如《数据安全法》第3条),但与我国《个人信息保护法》立法表述中的“个人信息”含义相近。鉴于“数据”与“信息”的详细区分无关本文宏旨,故在本研究中作简化处理,将欧盟法语境下的“个人数据”视为我国语境下的“个人信息”,以便于对规则的比较研究。
③但是值得注意的是,之所以此处表述为“原则上”,是因为个人的决定权因法律的特别规定而恢复。例如,《个人信息保护法》第27条明确规定了“当事人明确拒绝的除外”,因此对于“已经自行公开、合法公开信息”情形下的合理使用,当事人因法律的明确规定而仍享有相应的自主决定权。
④此处“不需要告知”所讨论的是一般个人信息,如果是敏感个人信息,可能会因对“个人权益有重大影响”,而需要取得个人同意,此时个人仍然享有知情权。参见《个人信息保护法》第27条。
⑤参见欧盟《通用数据保护条例》第9条。
⑥参见韩国《个人信息保护法》第23条。
⑦譬如《个人信息保护法》第14条、第25条。
⑧《个人信息保护法》第14条第1款:“基于个人同意处理个人信息的,该同意应当由个人在充分知情的前提下自愿、明确作出。法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的,从其规定。”
⑨参见《个人信息保护法》第68条。