下载掌阅APP,畅读海量书库
立即打开
《民法典》在规定个人信息处理行为的合法性规则时,一方面规定了依法处理个人信息应当遵循的规则,如《民法典》第1035条第1款规定:“处理个人信息的,应当遵循合法、正当、必要原则,不得过度处理,并符合下列条件:(一)征得该自然人或者其监护人同意,但是法律、行政法规另有规定的除外;(二)公开处理信息的规则;(三)明示处理信息的目的、方式和范围;(四)不违反法律、行政法规的规定和双方的约定。”该条确立了依法处理个人信息应当具备的条件。
另一方面,《民法典》还明确规定了依法处理个人信息的事由,具体包括如下两项规范:一是人格利益合理使用规则。《民法典》第999条规定:“为公共利益实施新闻报道、舆论监督等行为的,可以合理使用民事主体的姓名、名称、肖像、个人信息等;使用不合理侵害民事主体人格权的,应当依法承担民事责任。”该条规定了为公共利益实施新闻报道、舆论监督等行为时合理使用人格利益的规则,其中包括对个人信息的合理使用,此种情形属于依法处理个人信息的特殊情形。二是个人信息处理行为合法性事由的集中规定。《民法典》第1036条规定:“处理个人信息,有下列情形之一的,行为人不承担民事责任:(一)在该自然人或者其监护人同意的范围内合理实施的行为;(二)合理处理该自然人自行公开的或者其他已经合法公开的信息,但是该自然人明确拒绝或者处理该信息侵害其重大利益的除外;(三)为维护公共利益或者该自然人合法权益,合理实施的其他行为。”该条明确列举了依法处理个人信息的各种具体情形,为依法处理个人信息提供了较为明确的法律依据。
关于依法处理个人信息应当具备的条件,《个人信息保护法》在总则、个人信息处理规则部分对《民法典》第1035条第1款的规定作出了较为细化的规定。同时,《个人信息保护法》也集中规定了依法处理个人信息的事由。该法第13条规定:“符合下列情形之一的,个人信息处理者方可处理个人信息:(一)取得个人的同意;(二)为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;(三)为履行法定职责或者法定义务所必需;(四)为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;(五)为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;(六)依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;(七)法律、行政法规规定的其他情形。依照本法其他有关规定,处理个人信息应当取得个人同意,但是有前款第二项至第七项规定情形的,不需取得个人同意。”该条明确列举了个人信息处理者依法处理个人信息的各种情形,个人信息处理者主张其个人信息处理行为具有合法性时,必须举证证明其行为至少符合上述一种合法性事由的要件。
从前述《个人信息保护法》与《民法典》的规定来看,二者有关个人信息处理行为合法性事由的规定具有一定的相似之处:一方面,二者均规定了多种个人信息处理行为的合法性事由,而没有限定为某一特定类型的合法性事由;另一方面,二者均规定了个人同意与个人同意之外这两大类依法处理个人信息的事由。此外,二者在具体列举各种个人信息处理行为合法性事由的同时,均设置了兜底性规定,保持了依法处理个人信息事由的开放性。但《个人信息保护法》与《民法典》关于依法处理个人信息事由的规定也存在一定的区别。具体论述如下。
一方面,《个人信息保护法》规定的依法处理个人信息的事由在形式上更为多样化。从《个人信息保护法》与《民法典》的规定来看,二者规定的依法处理个人信息的事由存在部分重合。但与《民法典》的规定相比,《个人信息保护法》新增了如下三种事由:一是为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;二是为履行法定职责或者法定义务所必需;三是为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需。因此,与《民法典》相比,《个人信息保护法》规定的个人信息处理行为合法性事由在形式上更为丰富。
另一方面,二者所规定的依法处理个人信息事由的开放性程度不同。《民法典》《个人信息保护法》在规定依法处理个人信息的事由时,都设置了兜底性规定,依据《民法典》第1036条第3项,“为维护公共利益或者该自然人合法权益,合理实施的其他行为”也属于依法处理个人信息的事由。这就保持了依法处理个人信息事由的开放性。
至于为维护公共利益或者该自然人的合法权益究竟包括哪些情形,该条并没有作出明确规定。依据《个人信息保护法》第13条第1款第7项规定,“法律、行政法规规定的其他情形”也属于依法处理个人信息的情形。该规则同样保持了依法处理个人信息事由的开放性。
虽然《民法典》第1036条第3项与《个人信息保护法》第13条第1款第7项均属于依法处理个人信息事由的兜底性规则,但二者的开放性程度存在一定的区别:依据《个人信息保护法》第13条第1款第7项的规定,只有法律、行政对相关的事由作出了规定,该事由才能成为依法处理个人信息的事由,个人信息处理者在依据规则主张其个人信息处理行为具有合法性时,应当举证证明法律、行政法规存在具体的规定。这实际上限定了依法处理个人信息事由的范围。因此,该规则只是使依法处理个人信息的事由保持了一种有限的开放性,或者说其形式上是一种开放性、兜底性规定,但实质上是一种封闭式规定。而依据《民法典》第1036条第3项规定,如果为维护公共利益或者该自然人的合法权益,个人信息处理者就可以合理实施个人信息处理行为,该规定中的“公共利益”在性质上属于不确定概念,而对于该规定中的“该自然人的合法权益”究竟包括哪些合法权益,该条也没有作出具体规定。因此,《民法典》第1036条第3项作为依法处理个人信息合法事由的兜底规定,真正保持了依法处理个人信息事由的开放性,其范围大于《个人信息保护法》第13条第1款第7项规定的依法处理个人信息的合法性事由。
如前所述,关于依法处理个人信息的事由,《个人信息保护法》与《民法典》的规定既存在重合之处,也存在不同之处,具体而言:二者规定的依法处理个人信息的事由主要体现为三种。
一是重合的事由。从《个人信息保护法》与《民法典》的规定来看,二者规定的依法处理个人信息的重合的事由包括三项,即“为公共利益实施新闻报道、舆论监督等行为,在合理范围内处理个人信息”“基于个人同意处理个人信息”“合理处理该自然人自行公开或者其他已经合法公开的个人信息”。对于这三项依法处理个人信息的事由,《个人信息保护法》与《民法典》的规定只是在文义上存在细微差别,但整体上保持了一致。
二是《个人信息保护法》新增的事由。从《个人信息保护法》与《民法典》的规定来看,《个人信息保护法》新增的事由包括三项,即“为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需”“为履行法定职责或者法定义务所必需”“为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需”。《民法典》并未对这三项事由作出规定,其均是《个人信息保护法》新增的事由。
三是《个人信息保护法》与《民法典》规定的事由虽为同一类型,但二者规定的是不同的事由。它是指个人信息处理行为合法性事由的兜底规定,如前所述,虽然《民法典》与《个人信息保护法》均就个人信息处理行为合法性事由设置了兜底规定,但二者存在一定的区别,在范围和开放性程度上,《民法典》的兜底规定要大于《个人信息保护法》的。
关于前述第一种《个人信息保护法》与《民法典》规定重合的事由,不论《民法典》与《个人信息保护法》的适用关系如何,毫无疑问,其应当成为依法处理个人信息的事由;关于《民法典》未规定而《个人信息保护法》新增的事由,无论是将《个人信息保护法》与《民法典》界定为新法与旧法的关系,还是将二者界定为特别法与一般法的关系,《个人信息保护法》新增的事由都应当可以适用,都应当成为依法处理个人信息的事由。但关于前述第三种事由,即《个人信息保护法》与《民法典》规定的兜底规则,确定二者的适用关系需要在《民法典》与《个人信息保护法》的关系这一更为宏观的框架下进行探讨。
关于《个人信息保护法》与《民法典》的关系,学理上存在不同的观点。一种观点认为,《个人信息保护法》与《民法典》的性质不同,二者之间不存在太大关联性,因为个人信息在性质上是公法上的权利,其使个人信息主体可以对抗信息控制者处理个人信息的行为;在个人信息遭受侵害时,也主要产生公法上的法律责任。
按照此种观点,《个人信息保护法》与《民法典》并不存在太大的关联性,不需要过多考虑二者之间的适用关系。笔者认为,此种观点并不妥当,虽然个人信息保护受公法规则的规范,但并不能据此否定其私权属性,法律保护个人信息权益旨在保护个人的信息自决权,维护个人的人格尊严,我国《民法典》已明确将个人信息规定为一种人格利益,并确立了个人信息保护的基本框架,这也是《个人信息保护法》的许多规则在民事基本法层面的立法依据。《个人信息保护法》属于领域法
,并非纯粹的私法,但其许多规则都具有私法属性。据学者统计,《个人信息保护法》全部74个条文中,约有53条属于私法规范。
也正是因为这一原因,在《个人信息保护法》与《民法典》规定不一致时,需要妥当协调二者之间的关系。
另一种观点认为,个人信息是《民法典》确认的人格利益,《个人信息保护法》中的私法规范与《民法典》的规范之间是特别法与一般法的关系,《民法典》确立了个人信息保护的基本框架和原则,这也是《个人信息保护法》立法的基本法律依据,《个人信息保护法》的适用应当在《民法典》的框架体系中展开。
按照此种观点,在《个人信息保护法》与《民法典》规定不一致时,《个人信息保护法》的规定作为特别法,应当优先适用。就前述个人信息处理行为合法性事由的兜底规则而言,《个人信息保护法》的规则应当优先适用。
还有观点认为,《个人信息保护法》与《民法典》在调整范围与调整方法上存在一定的差异,因此,不应简单地将二者的关系界定为特别法与一般法的关系,而应当进行类型化分析,具体包括如下情形:一是《个人信息保护法》的部分规则是对《民法典》规则的丰富与发展;二是《个人信息保护法》的部分规则的适用需要结合《民法典》的相关规定;三是《个人信息保护法》的规则相对于《民法典》的规则是特别规定,应当优先适用;四是《个人信息保护法》的部分规则与《民法典》具有不同的规范目的,二者应当分别适用于不同的情形。就个人信息处理行为合法性事由规则而言,《个人信息保护法》第13条关于个人信息处理行为合法性的规则是对《民法典》相关规则的丰富与发展。
虽然此种观点认为《个人信息保护法》关于个人信息处理行为合法性事由的规定是对《民法典》规定的丰富与发展,但对二者规定不一致时,如何确定其优先适用关系,此种观点并未作出明确回答。
笔者认为,就个人信息处理行为合法性事由规则而言,应当将《个人信息保护法》与《民法典》的关系界定为新法与旧法以及特别法与一般法的关系,即在二者就同一事项规定不一致时,应当优先适用《个人信息保护法》的规则。原因在于:一方面,在《民法典》已经就某种个人信息处理行为合法性事由作出规定的情形下,《个人信息保护法》再次对该事项作出规定,且该规定与《民法典》的规定不一致,这表明立法者就该事项的认识发生了一些变化,此时应当适用新法规定的规则。另一方面,《民法典》在性质上属于民事基本法,就个人信息保护而言,其规定的是个人信息保护的一般性规定;而《个人信息保护法》是有关个人信息保护的领域法,对个人信息保护的规定更为体系化,也更为具体,这也是《个人信息保护法》规定的依法处理个人信息的事由较《民法典》更为丰富和具体的重要原因。因此,将《个人信息保护法》有关依法处理个人信息事由的规则界定为《民法典》规定的特别规定,符合二者的规范特点。
除上述理由外,就前述《民法典》与《个人信息保护法》中有关个人信息处理行为合法性事由的兜底规定而言,优先适用《个人信息保护法》的规定也更符合个人信息处理行为法定合法事由的特征:个人信息处理行为合法性事由的兜底规定在性质上属于依法处理个人信息的情形,是基于个人同意处理个人信息的例外情形,此种例外情形的适用应当受到严格限制;换言之,个人信息处理者在基于此种兜底规定处理个人信息时,并不需要取得个人的同意,因此,从保护个人信息自决权这一立法政策出发,应当对包含此类兜底规定在内的依法处理个人信息事由的适用条件和适用范围作出严格限定,否则可能构成对个人同意规则的不当冲击。而如前所述,从《民法典》第1036条的兜底规定来看,无论是“公共利益”还是“自然人合法权益”,其内涵和范围都过于宽泛,将其作为依法处理个人信息的事由,会使依法处理个人信息的条件过于宽松,这不仅使相关个人信息处理行为是否符合该兜底规定变得难以判断,从而影响个人信息权益的保护,还可能赋予个人信息处理者过大的处理个人信息的权利,并在一定程度上架空个人同意这一处理个人信息的基本规则。而从《个人信息保护法》第13条的兜底规定来看,其虽然没有明确规定依法处理个人信息的条款,而是采用了引致条款的方式,将其他依法处理个人信息的事由交由法律、行政法规作出具体规定,但在法律、行政法规对特定依法处理个人信息的事由作出规定后,其适用条件也会相对明确。此种依法处理个人信息兜底条款的规范方式看似开放,实则封闭,更符合依法处理个人信息法定事由的特征。据此,就《民法典》与《个人信息保护法》有关个人信息处理行为合法性事由的兜底规定而言,应当优先适用《个人信息保护法》的规定。
基于前文分析,从《民法典》与《个人信息保护法》关于个人信息处理行为合法性事由的规定来看,应当以《个人信息保护法》的规定为依据认定依法处理个人信息的事由。当然,此种立场并不意味着否定《民法典》的规定,因为《个人信息保护法》关于个人信息依法处理事由的规定主要是对《民法典》规定的丰富和发展,只是在依法处理个人信息的兜底规则方面作出了不同的规定。据此,可以将依法处理个人信息的事由区分为两大类:一是基于个人同意处理个人信息。此种情形为依法处理个人信息的一般情形,也是最为常见的情形。二是基于法律规定处理个人信息。此种属于依法处理个人信息的例外情形,其适用应当符合法律规定的条件。此外,《民法典》与《个人信息保护法》均对个人信息的匿名化处理规则作出了规定,个人信息的匿名化处理可以消除个人信息与个人身份的关联性,从而消除相关信息利用中的隐私与个人信息等风险,其在性质上也应当属于依法处理个人信息的事由。