随着互联网的普及和数字化时代的到来,强化个人信息保护早已成为社会共识。为强化对个人信息的保护,我国近年来颁行了一系列的法律和司法解释,构建了系统的个人信息保护规则体系。《民法典》人格权编将个人信息规定为一种独立的人格利益,从民事基本法的层面确立了个人信息保护的基本规则。《个人信息保护法》从领域法的层面系统规定了个人信息保护规则。而从实践来看,各种侵害个人信息权益的行为时有发生,个人信息“失控”同样是不争的事实,例如:网络服务提供者过度采集用户个人信息;物业服务企业违法采集业主人脸信息,甚至“倒卖”业主个人信息;旅行网站、航空公司非法利用个人信息进行大数据“杀熟”或者大数据“杀生”;等等。各种侵害个人信息权益的行为层出不穷,侵害方式多种多样,个人信息保护任重道远。各类侵害个人信息权益行为产生的重要原因之一,在于个人信息处理行为合法性的边界不清晰。现行立法虽然规定了依法处理个人信息的规则,但在特定的处理个人信息的场景下,判断个人信息处理行为是否合法,仍然存在一定的困难,这就变相为非法侵害个人信息权益的行为提供了一定的“法外空间”。这也是本书展开个人信息处理行为合法性研究的重要原因。研究个人信息处理行为的合法性,对于明确侵害个人信息权益民事责任的认定标准,划定行为自由的边界,切实保障个人信息权益等,均有重要意义。
个人信息处理行为的合法性对数据产业的发展具有重要的保障作用。依据中共中央、国务院《关于构建数据基础制度更好发挥数据要素作用的意见》(以下简称《数据二十条》)的规定,数据可以区分为企业数据、公共数据与个人数据。事实上,企业数据与公共数据是从数据产权的归属主体层面来构建的概念,指涉的重点是企业或者国家作为数据产权的产权人。无论是企业数据还是公共数据,其中都可能包含大量的个人数据。可见,个人数据在数据产业的发展中具有基础性的地位。个人数据是个人信息在数据法层面的表达,个人信息的有效利用是数据产业发展的重要支撑,个人数据甚至被誉为21世纪最富有价值的资源。《数据二十条》要求,“对承载个人信息的数据,推动数据处理者按照个人授权范围依法依规采集、持有、托管和使用数据,规范对个人信息的处理活动,不得采取‘一揽子授权’、强制同意等方式过度收集个人信息,促进个人信息合理利用”,“加大个人信息保护力度,推动重点行业建立完善长效保护机制,强化企业主体责任,规范企业采集使用个人信息行为。创新技术手段,推动个人信息匿名化处理,保障使用个人信息数据时的信息安全和个人隐私”。这实际上是要求数据的处理以依法处理个人信息为基本前提。从这一意义上说,对个人信息处理行为合法性的研究,对于保障数据产业依法、有序发展具有基础性意义。
我国现行立法虽然对个人信息处理行为合法性问题作出了规定,但如何界定个人信息处理行为的合法性,如何准确阐释相关的规则,仍有进一步研究的必要。一方面,虽然《民法典》与《个人信息保护法》均规定了个人信息处理行为合法性规则,但这两部法律的规定并不一致,究竟应当以哪部法律的规定为依据认定个人信息处理行为的合法性,涉及作为民事基本法的《民法典》与作为领域法的《个人信息保护法》之间的关系这一基础性的法律适用问题。对此理论上和实践中仍存在较大分歧。另一方面,无论是作为民事基本法的《民法典》,还是作为个人信息保护基本法的《个人信息保护法》,其有关个人信息处理行为合法性问题的有关规定仍较为抽象,有进一步阐释的必要。例如,为了保护个人信息权益,保障个人的信息自决,对于不需要个人同意而处理个人信息的情形,《民法典》与《个人信息保护法》大多要求个人信息处理者处理个人信息是为实现特定目的所“必需”,或者必须在“合理范围内”处理个人信息,但何谓“必需”,何谓“合理范围”,立法并未作出明确规定。这些不确定概念的使用也为个人信息处理行为合法性的认定带来了一定的不确定性。即便是基于个人同意处理个人信息,但何谓个人同意,何谓个人的明确同意、单独同意,个人同意的性质如何,《民法典》《个人信息保护法》均未作出明确规定。因此,探讨个人信息处理行为合法性问题,也是准确阐释《民法典》《个人信息保护法》相关规定,实现其个人信息保护立法目的的重要途径。
严格地说,个人信息处理行为合法性问题贯穿于整个个人信息保护法律制度,涉及个人信息保护法律制度的方方面面。例如,个人信息保护的基本原则、个人信息处理的基本规则、个人信息的跨境流动规则、非法处理个人信息的法律责任,等等,均涉及个人信息处理行为合法性问题。但本书并没有对个人信息保护法律制度进行全方位研究,而是将研究范围限于个人信息处理行为合法性事由。这主要是基于以下考虑:一方面,个人信息处理行为合法性事由是个人信息处理行为合法性问题的集中展现。虽然个人信息处理行为合法性贯穿于整个个人信息保护法律制度,但其集中体现在个人信息处理行为合法性事由方面,其他各种场景下的个人信息处理行为,如个人信息共享、个人信息的跨境提供等,都是个人信息处理行为合法性事由的展开或者具体化,奠基于个人信息处理行为合法性事由。另一方面,无论是个人信息处理实践的开展,还是个人信息处理纠纷的解决,都需要以法律有关个人信息处理行为合法性事由的规定为基本依循。换言之,判断相关的个人信息处理行为是否具有合法性,应当以法律有关个人信息处理行为合法性事由的规定为依据。本书将研究范围限于个人信息处理行为合法性事由,也旨在为个人信息处理实践和个人信息保护司法实践提供有益的理论参考。
本书依据《民法典》《个人信息保护法》等法律和相关司法解释的规定,结合我国司法实践情况,对个人信息处理行为合法性问题展开了系统研究。本书共分为五章。第一章为“个人信息处理行为合法性概述”,对个人信息处理行为合法性在个人信息保护法中的地位展开了研究,并结合我国现行立法界定了个人信息处理行为合法性的具体事由。第二章为“基于个人同意处理个人信息”,探讨了个人同意这一依法处理个人信息的基础性事由,主要对个人同意的性质和个人同意的效力,基于个人同意处理个人信息的条件,通过网络隐私政策取得个人同意的相关问题,以及个人撤回同意及其效力等问题展开了研究。第三章为“依法处理已公开的个人信息”,依次对已公开个人信息的规范基础及实践困境、已公开个人信息的界定以及依法处理已公开个人信息的条件等问题进行了研究。第四章为“基于公共利益等事由处理个人信息”,主要对为订立、履行个人作为一方当事人的合同等而处理个人信息,为履行法定职责或者法定义务而处理个人信息,为应对突发公共卫生事件等而处理个人信息,以及为实施旨在保护公共利益的新闻报道、舆论监督等而处理个人信息等问题进行了研究。第五章为“个人信息匿名化处理与个人信息处理行为的合法性”,对个人信息匿名化处理的相关问题展开了研究,具体探讨了个人信息匿名化处理的概念、个人信息匿名化处理的标准,以及个人信息匿名化处理作为依法处理个人信息的事由等问题。
本书是笔者对个人信息处理行为合法性问题的阶段性思考,由于资料所限,本书的相关内容难免存在不完善之处,祈请不吝批评指正。
王叶刚
2024年6月