□民法典將敏感個人信息處理的合法性基礎(chǔ)置于統(tǒng)一性的個人信息處理模式下,個人信息保護法為敏感個人信息設(shè)置了專門的處理規(guī)則。對于非基于個人同意的敏感個人信息處理的合法性基礎(chǔ),需要在解釋論的視角下,明確前述規(guī)則同樣適用于敏感個人信息處理,但應(yīng)根據(jù)敏感個人信息處理的具體場景進行嚴格解釋與相應(yīng)調(diào)適。

我國個人信息保護法規(guī)定,個人敏感信息是一旦泄露或者非法使用,容易導(dǎo)致自然人的人格尊嚴受到侵害或者人身、財產(chǎn)安全受到危害的個人信息,包括生物識別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息,以及不滿十四周歲未成年人的個人信息。該法還在第二章第二節(jié)專門設(shè)置了敏感個人信息的處理規(guī)則。這些規(guī)定為處理敏感個人信息提供了直接法律依據(jù)。但是,面對該法第1條表明的“保護個人信息權(quán)益,規(guī)范個人信息處理活動,促進個人信息合理利用”之立法目的以及比較法上基于公共利益等事由對個人信息權(quán)益呈克減的現(xiàn)象,筆者認為,尚需要在解釋論的視角下對敏感個人信息處理的合法性基礎(chǔ)予以進一步調(diào)適,從而平衡敏感個人信息保護與合理利用之間的關(guān)系。

民法典上的敏感個人信息處理的合法性基礎(chǔ)

(資料圖)

我國民法典第1035條設(shè)定了個人信息處理的“知情同意”原則,第1036條則設(shè)立了個人信息的合理使用制度,賦予個人信息處理者不經(jīng)信息主體或監(jiān)護人同意直接處理個人信息的行為以合法性基礎(chǔ),也即處理個人信息的免責事由。除此之外,民法典第999條還規(guī)定“為公共利益實施新聞報道、輿論監(jiān)督等行為的,可以合理使用民事主體的個人信息”。由此,“知情同意”原則與合理使用制度共同形成了民法典上的個人信息處理的合法性基礎(chǔ)。那么,上述規(guī)范能同時適用于敏感個人信息嗎?答案是肯定的。民法典中關(guān)于個人信息的相關(guān)規(guī)定并未對個人信息的種類作出區(qū)分,敏感個人信息作為個人信息的重要組成部分,自然應(yīng)該適用民法典上的個人信息處理合法性基礎(chǔ)。值得注意的是,民法典對敏感個人信息處理的合法性基礎(chǔ)作出的是統(tǒng)領(lǐng)性規(guī)定,隨著個人信息保護法的出臺,處理敏感個人信息還應(yīng)遵循個人信息保護法的相關(guān)規(guī)定。

敏感個人信息處理的限制性原則

個人信息保護法第28條第2款設(shè)置了限制性原則,要求個人信息處理者處理敏感個人信息必須滿足“特定的目的”“充分的必要性”以及“采取嚴格保護措施”三個限制性條件。按照體系解釋,信息處理者在處理敏感個人信息時,必須同時遵循上述三個限制性條件,確保在促進信息的流通和利用、發(fā)展數(shù)字經(jīng)濟的同時,有效維護信息主體的人格尊嚴和人身財產(chǎn)安全。

所謂“特定的目的”,即為達成某項任務(wù)在必要的法定范圍內(nèi)處理敏感個人信息。這源于個人信息保護法第6條目的限制原則的要求,在“明確、合理的目的”要件之上增設(shè)了“特定的目的”這一限制。其主要涉及處理范圍的問題,即在必要范圍內(nèi),有多少敏感個人信息與執(zhí)行任務(wù)有關(guān),如果沒有關(guān)聯(lián)性就不必處理,絕不可以預(yù)設(shè)“將來可能有用”作為處理敏感個人信息的理由。而對于明確性的要求,實踐中可以相對人的“可理解性”“可預(yù)見性”及“司法可審查性”作為判斷標準,不得僅以“公益”或“為維持社會秩序”等抽象的不確定的法律概念之判斷作為“特定的目的”。對于“充分的必要性”,“必要”系屬不確定的法律概念,必須經(jīng)過解釋與涵攝的過程。這一原則也寓有比例原則的含義,基于此原則,信息處理者應(yīng)秉持“少優(yōu)于多”的原則,不可過度收集敏感個人信息,信息處理者可能會基于成本的考量,追求收集越多個人信息越好的目的,甚至利用機器自動化收集,但是,出于預(yù)防敏感個人信息發(fā)生泄露的風(fēng)險,應(yīng)當是越少越好。至于“采取嚴格保護措施”,在實踐中,信息處理者是否在處理敏感個人信息時“采取嚴格保護措施”尚難以依據(jù)明確的規(guī)定予以判別。因此,對于信息處理者處理敏感個人信息時應(yīng)采取哪些保護措施或是否采取了嚴格的保障措施,可以通過出臺相關(guān)司法解釋予以規(guī)定。

個人信息保護法上的敏感個人信息處理的合法性基礎(chǔ)

一方面,基于個人同意的敏感個人信息處理的合法性基礎(chǔ),即敏感個人信息處理的同意規(guī)則,個人信息保護法第29條規(guī)定了處理敏感個人信息的單獨同意規(guī)則,第31條設(shè)置了處理不滿十四周歲未成年人個人信息的監(jiān)護人同意規(guī)則。何為“單獨同意”?有學(xué)者認為,應(yīng)從三個方面予以理解:第一,單獨同意規(guī)則禁止一攬子授權(quán);第二,單獨同意規(guī)則要求處理者負有明確告知義務(wù);第三,單獨同意規(guī)則應(yīng)當貫徹拒絕提供服務(wù)的限制規(guī)則。個人信息保護法中專門設(shè)置兩個法律條文將敏感個人信息處理的同意與第13條第1款第1項對個人信息處理的同意相區(qū)分開來,其規(guī)范目的在于強化信息主體及信息處理者對敏感個人信息處理的認知與控制,避免信息處理者利用格式合同架空同意規(guī)則,從而實現(xiàn)對敏感個人信息施以更嚴格的保護。單獨同意規(guī)則與監(jiān)護人同意規(guī)則都對信息處理者提出了更高的責任要求與義務(wù)承擔。

另一方面,對于非基于個人同意的敏感個人信息處理的合法性基礎(chǔ),個人信息保護法并未直接規(guī)定除同意規(guī)則以外的敏感個人信息處理的合法性基礎(chǔ),若僅運用第二章第二節(jié)規(guī)定的“敏感個人信息的處理規(guī)則”來規(guī)范對敏感個人信息的處理,則難以有效契合個人信息保護法“促進個人信息合理利用”的立法目的,也不利于平衡民事權(quán)益保護和數(shù)字經(jīng)濟發(fā)展。具體來講,追求公共利益的場景大多涉及敏感個人信息的處理。鑒于此,盡管我國法律沒有明文確立敏感個人信息處理的除同意規(guī)則之外的合法性基礎(chǔ),但是可以使用體系解釋的方法,將個人信息保護法第13條作為合法性基礎(chǔ)一般規(guī)范,結(jié)合敏感個人信息在具體場景下的適用進行法教義學(xué)上的調(diào)適,從而構(gòu)成我國非基于個人同意的敏感個人信息處理的合法性基礎(chǔ)。

具體來講,個人信息保護法第13條第1款第2項至第7項作為除同意規(guī)則之外對個人信息處理的一般要求,其中第2項至第4項條文中提及的“為……所必需”這一要求具有不確定性,有待此后的相關(guān)司法解釋或指導(dǎo)性案例進行漏洞填補并加以細化。而對于敏感個人信息的處理,應(yīng)該在前述對“為……所必需”予以明確的基礎(chǔ)上,將“必需”進一步限定在“特定的目的”這一范圍內(nèi),即只有當且僅當特定的、具體的、明確的目的存在時方可處理敏感個人信息,從而體現(xiàn)敏感個人信息的特殊性。而對于“充分的必要性”,其本身即是“必需”的應(yīng)有之義,要求與處理敏感個人信息的目的直接相關(guān),具有不可或缺性。除此之外,應(yīng)該再輔以“采取嚴格的保護措施”來保護敏感個人信息主體的基本權(quán)利和利益。至于個人信息保護法第13條第5項、第6項中“在合理的范圍內(nèi)”這一限定表達,有學(xué)者指出“在合理的范圍內(nèi)”應(yīng)該以不得“對個人權(quán)益有重大影響”為內(nèi)在限制,以合法、正當、必要、誠實信用原則及目的特定、最小處理原則為外部統(tǒng)合。因此,對于非基于個人同意的敏感個人信息處理的合法性基礎(chǔ),其除了合法性基礎(chǔ)本身的限制以外,還應(yīng)遵循“特定的目的”“充分的必要性”以及“采取嚴格保護措施”三個限制條件,方可達到對敏感個人信息的保護水平。

我國民法典將敏感個人信息處理的合法性基礎(chǔ)置于統(tǒng)一性的個人信息處理模式下,個人信息保護法第二章第二節(jié)“敏感個人信息的處理規(guī)則”為敏感個人信息設(shè)置了專門的處理規(guī)則,具體為單獨同意規(guī)則與監(jiān)護人同意規(guī)則,除此之外還應(yīng)受到“特定的目的”“充分的必要性”以及“采取嚴格保護措施”之規(guī)定的三重約束。對于非基于個人同意的敏感個人信息處理的合法性基礎(chǔ),需要在解釋論的視角下,明確個人信息保護法第13條第1款第2項至第7項同樣適用于敏感個人信息的處理,但應(yīng)根據(jù)敏感個人信息處理的具體場景進行嚴格解釋與相應(yīng)調(diào)適,而對于上述三重約束條件,尚需相關(guān)司法解釋或指導(dǎo)性案例進行補充,以防止寬泛適用導(dǎo)致非基于個人同意的合法性基礎(chǔ)遭到濫用。

(作者單位:西南政法大學(xué))

關(guān)鍵詞：