□民法典將敏感個(gè)人信息處理的合法性基礎(chǔ)置于統(tǒng)一性的個(gè)人信息處理模式下,個(gè)人信息保護(hù)法為敏感個(gè)人信息設(shè)置了專門的處理規(guī)則。對于非基于個(gè)人同意的敏感個(gè)人信息處理的合法性基礎(chǔ),需要在解釋論的視角下,明確前述規(guī)則同樣適用于敏感個(gè)人信息處理,但應(yīng)根據(jù)敏感個(gè)人信息處理的具體場景進(jìn)行嚴(yán)格解釋與相應(yīng)調(diào)適。

我國個(gè)人信息保護(hù)法規(guī)定,個(gè)人敏感信息是一旦泄露或者非法使用,容易導(dǎo)致自然人的人格尊嚴(yán)受到侵害或者人身、財(cái)產(chǎn)安全受到危害的個(gè)人信息,包括生物識(shí)別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息,以及不滿十四周歲未成年人的個(gè)人信息。該法還在第二章第二節(jié)專門設(shè)置了敏感個(gè)人信息的處理規(guī)則。這些規(guī)定為處理敏感個(gè)人信息提供了直接法律依據(jù)。但是,面對該法第1條表明的“保護(hù)個(gè)人信息權(quán)益,規(guī)范個(gè)人信息處理活動(dòng),促進(jìn)個(gè)人信息合理利用”之立法目的以及比較法上基于公共利益等事由對個(gè)人信息權(quán)益呈克減的現(xiàn)象,筆者認(rèn)為,尚需要在解釋論的視角下對敏感個(gè)人信息處理的合法性基礎(chǔ)予以進(jìn)一步調(diào)適,從而平衡敏感個(gè)人信息保護(hù)與合理利用之間的關(guān)系。

民法典上的敏感個(gè)人信息處理的合法性基礎(chǔ)

(資料圖)

我國民法典第1035條設(shè)定了個(gè)人信息處理的“知情同意”原則,第1036條則設(shè)立了個(gè)人信息的合理使用制度,賦予個(gè)人信息處理者不經(jīng)信息主體或監(jiān)護(hù)人同意直接處理個(gè)人信息的行為以合法性基礎(chǔ),也即處理個(gè)人信息的免責(zé)事由。除此之外,民法典第999條還規(guī)定“為公共利益實(shí)施新聞報(bào)道、輿論監(jiān)督等行為的,可以合理使用民事主體的個(gè)人信息”。由此,“知情同意”原則與合理使用制度共同形成了民法典上的個(gè)人信息處理的合法性基礎(chǔ)。那么,上述規(guī)范能同時(shí)適用于敏感個(gè)人信息嗎?答案是肯定的。民法典中關(guān)于個(gè)人信息的相關(guān)規(guī)定并未對個(gè)人信息的種類作出區(qū)分,敏感個(gè)人信息作為個(gè)人信息的重要組成部分,自然應(yīng)該適用民法典上的個(gè)人信息處理合法性基礎(chǔ)。值得注意的是,民法典對敏感個(gè)人信息處理的合法性基礎(chǔ)作出的是統(tǒng)領(lǐng)性規(guī)定,隨著個(gè)人信息保護(hù)法的出臺(tái),處理敏感個(gè)人信息還應(yīng)遵循個(gè)人信息保護(hù)法的相關(guān)規(guī)定。

敏感個(gè)人信息處理的限制性原則

個(gè)人信息保護(hù)法第28條第2款設(shè)置了限制性原則,要求個(gè)人信息處理者處理敏感個(gè)人信息必須滿足“特定的目的”“充分的必要性”以及“采取嚴(yán)格保護(hù)措施”三個(gè)限制性條件。按照體系解釋,信息處理者在處理敏感個(gè)人信息時(shí),必須同時(shí)遵循上述三個(gè)限制性條件,確保在促進(jìn)信息的流通和利用、發(fā)展數(shù)字經(jīng)濟(jì)的同時(shí),有效維護(hù)信息主體的人格尊嚴(yán)和人身財(cái)產(chǎn)安全。

所謂“特定的目的”,即為達(dá)成某項(xiàng)任務(wù)在必要的法定范圍內(nèi)處理敏感個(gè)人信息。這源于個(gè)人信息保護(hù)法第6條目的限制原則的要求,在“明確、合理的目的”要件之上增設(shè)了“特定的目的”這一限制。其主要涉及處理范圍的問題,即在必要范圍內(nèi),有多少敏感個(gè)人信息與執(zhí)行任務(wù)有關(guān),如果沒有關(guān)聯(lián)性就不必處理,絕不可以預(yù)設(shè)“將來可能有用”作為處理敏感個(gè)人信息的理由。而對于明確性的要求,實(shí)踐中可以相對人的“可理解性”“可預(yù)見性”及“司法可審查性”作為判斷標(biāo)準(zhǔn),不得僅以“公益”或“為維持社會(huì)秩序”等抽象的不確定的法律概念之判斷作為“特定的目的”。對于“充分的必要性”,“必要”系屬不確定的法律概念,必須經(jīng)過解釋與涵攝的過程。這一原則也寓有比例原則的含義,基于此原則,信息處理者應(yīng)秉持“少優(yōu)于多”的原則,不可過度收集敏感個(gè)人信息,信息處理者可能會(huì)基于成本的考量,追求收集越多個(gè)人信息越好的目的,甚至利用機(jī)器自動(dòng)化收集,但是,出于預(yù)防敏感個(gè)人信息發(fā)生泄露的風(fēng)險(xiǎn),應(yīng)當(dāng)是越少越好。至于“采取嚴(yán)格保護(hù)措施”,在實(shí)踐中,信息處理者是否在處理敏感個(gè)人信息時(shí)“采取嚴(yán)格保護(hù)措施”尚難以依據(jù)明確的規(guī)定予以判別。因此,對于信息處理者處理敏感個(gè)人信息時(shí)應(yīng)采取哪些保護(hù)措施或是否采取了嚴(yán)格的保障措施,可以通過出臺(tái)相關(guān)司法解釋予以規(guī)定。

個(gè)人信息保護(hù)法上的敏感個(gè)人信息處理的合法性基礎(chǔ)

一方面,基于個(gè)人同意的敏感個(gè)人信息處理的合法性基礎(chǔ),即敏感個(gè)人信息處理的同意規(guī)則,個(gè)人信息保護(hù)法第29條規(guī)定了處理敏感個(gè)人信息的單獨(dú)同意規(guī)則,第31條設(shè)置了處理不滿十四周歲未成年人個(gè)人信息的監(jiān)護(hù)人同意規(guī)則。何為“單獨(dú)同意”?有學(xué)者認(rèn)為,應(yīng)從三個(gè)方面予以理解:第一,單獨(dú)同意規(guī)則禁止一攬子授權(quán);第二,單獨(dú)同意規(guī)則要求處理者負(fù)有明確告知義務(wù);第三,單獨(dú)同意規(guī)則應(yīng)當(dāng)貫徹拒絕提供服務(wù)的限制規(guī)則。個(gè)人信息保護(hù)法中專門設(shè)置兩個(gè)法律條文將敏感個(gè)人信息處理的同意與第13條第1款第1項(xiàng)對個(gè)人信息處理的同意相區(qū)分開來,其規(guī)范目的在于強(qiáng)化信息主體及信息處理者對敏感個(gè)人信息處理的認(rèn)知與控制,避免信息處理者利用格式合同架空同意規(guī)則,從而實(shí)現(xiàn)對敏感個(gè)人信息施以更嚴(yán)格的保護(hù)。單獨(dú)同意規(guī)則與監(jiān)護(hù)人同意規(guī)則都對信息處理者提出了更高的責(zé)任要求與義務(wù)承擔(dān)。

另一方面,對于非基于個(gè)人同意的敏感個(gè)人信息處理的合法性基礎(chǔ),個(gè)人信息保護(hù)法并未直接規(guī)定除同意規(guī)則以外的敏感個(gè)人信息處理的合法性基礎(chǔ),若僅運(yùn)用第二章第二節(jié)規(guī)定的“敏感個(gè)人信息的處理規(guī)則”來規(guī)范對敏感個(gè)人信息的處理,則難以有效契合個(gè)人信息保護(hù)法“促進(jìn)個(gè)人信息合理利用”的立法目的,也不利于平衡民事權(quán)益保護(hù)和數(shù)字經(jīng)濟(jì)發(fā)展。具體來講,追求公共利益的場景大多涉及敏感個(gè)人信息的處理。鑒于此,盡管我國法律沒有明文確立敏感個(gè)人信息處理的除同意規(guī)則之外的合法性基礎(chǔ),但是可以使用體系解釋的方法,將個(gè)人信息保護(hù)法第13條作為合法性基礎(chǔ)一般規(guī)范,結(jié)合敏感個(gè)人信息在具體場景下的適用進(jìn)行法教義學(xué)上的調(diào)適,從而構(gòu)成我國非基于個(gè)人同意的敏感個(gè)人信息處理的合法性基礎(chǔ)。

具體來講,個(gè)人信息保護(hù)法第13條第1款第2項(xiàng)至第7項(xiàng)作為除同意規(guī)則之外對個(gè)人信息處理的一般要求,其中第2項(xiàng)至第4項(xiàng)條文中提及的“為……所必需”這一要求具有不確定性,有待此后的相關(guān)司法解釋或指導(dǎo)性案例進(jìn)行漏洞填補(bǔ)并加以細(xì)化。而對于敏感個(gè)人信息的處理,應(yīng)該在前述對“為……所必需”予以明確的基礎(chǔ)上,將“必需”進(jìn)一步限定在“特定的目的”這一范圍內(nèi),即只有當(dāng)且僅當(dāng)特定的、具體的、明確的目的存在時(shí)方可處理敏感個(gè)人信息,從而體現(xiàn)敏感個(gè)人信息的特殊性。而對于“充分的必要性”,其本身即是“必需”的應(yīng)有之義,要求與處理敏感個(gè)人信息的目的直接相關(guān),具有不可或缺性。除此之外,應(yīng)該再輔以“采取嚴(yán)格的保護(hù)措施”來保護(hù)敏感個(gè)人信息主體的基本權(quán)利和利益。至于個(gè)人信息保護(hù)法第13條第5項(xiàng)、第6項(xiàng)中“在合理的范圍內(nèi)”這一限定表達(dá),有學(xué)者指出“在合理的范圍內(nèi)”應(yīng)該以不得“對個(gè)人權(quán)益有重大影響”為內(nèi)在限制,以合法、正當(dāng)、必要、誠實(shí)信用原則及目的特定、最小處理原則為外部統(tǒng)合。因此,對于非基于個(gè)人同意的敏感個(gè)人信息處理的合法性基礎(chǔ),其除了合法性基礎(chǔ)本身的限制以外,還應(yīng)遵循“特定的目的”“充分的必要性”以及“采取嚴(yán)格保護(hù)措施”三個(gè)限制條件,方可達(dá)到對敏感個(gè)人信息的保護(hù)水平。

我國民法典將敏感個(gè)人信息處理的合法性基礎(chǔ)置于統(tǒng)一性的個(gè)人信息處理模式下,個(gè)人信息保護(hù)法第二章第二節(jié)“敏感個(gè)人信息的處理規(guī)則”為敏感個(gè)人信息設(shè)置了專門的處理規(guī)則,具體為單獨(dú)同意規(guī)則與監(jiān)護(hù)人同意規(guī)則,除此之外還應(yīng)受到“特定的目的”“充分的必要性”以及“采取嚴(yán)格保護(hù)措施”之規(guī)定的三重約束。對于非基于個(gè)人同意的敏感個(gè)人信息處理的合法性基礎(chǔ),需要在解釋論的視角下,明確個(gè)人信息保護(hù)法第13條第1款第2項(xiàng)至第7項(xiàng)同樣適用于敏感個(gè)人信息的處理,但應(yīng)根據(jù)敏感個(gè)人信息處理的具體場景進(jìn)行嚴(yán)格解釋與相應(yīng)調(diào)適,而對于上述三重約束條件,尚需相關(guān)司法解釋或指導(dǎo)性案例進(jìn)行補(bǔ)充,以防止寬泛適用導(dǎo)致非基于個(gè)人同意的合法性基礎(chǔ)遭到濫用。

(作者單位:西南政法大學(xué))

關(guān)鍵詞：