□民法典將敏感個人信息處理的合法性基礎置于統一性的個人信息處理模式下,個人信息保護法為敏感個人信息設置了專門的處理規則。對于非基于個人同意的敏感個人信息處理的合法性基礎,需要在解釋論的視角下,明確前述規則同樣適用于敏感個人信息處理,但應根據敏感個人信息處理的具體場景進行嚴格解釋與相應調適。

我國個人信息保護法規定,個人敏感信息是一旦泄露或者非法使用,容易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害的個人信息,包括生物識別、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌跡等信息,以及不滿十四周歲未成年人的個人信息。該法還在第二章第二節專門設置了敏感個人信息的處理規則。這些規定為處理敏感個人信息提供了直接法律依據。但是,面對該法第1條表明的“保護個人信息權益,規范個人信息處理活動,促進個人信息合理利用”之立法目的以及比較法上基于公共利益等事由對個人信息權益呈克減的現象,筆者認為,尚需要在解釋論的視角下對敏感個人信息處理的合法性基礎予以進一步調適,從而平衡敏感個人信息保護與合理利用之間的關系。

民法典上的敏感個人信息處理的合法性基礎

(資料圖)

我國民法典第1035條設定了個人信息處理的“知情同意”原則,第1036條則設立了個人信息的合理使用制度,賦予個人信息處理者不經信息主體或監護人同意直接處理個人信息的行為以合法性基礎,也即處理個人信息的免責事由。除此之外,民法典第999條還規定“為公共利益實施新聞報道、輿論監督等行為的,可以合理使用民事主體的個人信息”。由此,“知情同意”原則與合理使用制度共同形成了民法典上的個人信息處理的合法性基礎。那么,上述規范能同時適用于敏感個人信息嗎?答案是肯定的。民法典中關于個人信息的相關規定并未對個人信息的種類作出區分,敏感個人信息作為個人信息的重要組成部分,自然應該適用民法典上的個人信息處理合法性基礎。值得注意的是,民法典對敏感個人信息處理的合法性基礎作出的是統領性規定,隨著個人信息保護法的出臺,處理敏感個人信息還應遵循個人信息保護法的相關規定。

敏感個人信息處理的限制性原則

個人信息保護法第28條第2款設置了限制性原則,要求個人信息處理者處理敏感個人信息必須滿足“特定的目的”“充分的必要性”以及“采取嚴格保護措施”三個限制性條件。按照體系解釋,信息處理者在處理敏感個人信息時,必須同時遵循上述三個限制性條件,確保在促進信息的流通和利用、發展數字經濟的同時,有效維護信息主體的人格尊嚴和人身財產安全。

所謂“特定的目的”,即為達成某項任務在必要的法定范圍內處理敏感個人信息。這源于個人信息保護法第6條目的限制原則的要求,在“明確、合理的目的”要件之上增設了“特定的目的”這一限制。其主要涉及處理范圍的問題,即在必要范圍內,有多少敏感個人信息與執行任務有關,如果沒有關聯性就不必處理,絕不可以預設“將來可能有用”作為處理敏感個人信息的理由。而對于明確性的要求,實踐中可以相對人的“可理解性”“可預見性”及“司法可審查性”作為判斷標準,不得僅以“公益”或“為維持社會秩序”等抽象的不確定的法律概念之判斷作為“特定的目的”。對于“充分的必要性”,“必要”系屬不確定的法律概念,必須經過解釋與涵攝的過程。這一原則也寓有比例原則的含義,基于此原則,信息處理者應秉持“少優于多”的原則,不可過度收集敏感個人信息,信息處理者可能會基于成本的考量,追求收集越多個人信息越好的目的,甚至利用機器自動化收集,但是,出于預防敏感個人信息發生泄露的風險,應當是越少越好。至于“采取嚴格保護措施”,在實踐中,信息處理者是否在處理敏感個人信息時“采取嚴格保護措施”尚難以依據明確的規定予以判別。因此,對于信息處理者處理敏感個人信息時應采取哪些保護措施或是否采取了嚴格的保障措施,可以通過出臺相關司法解釋予以規定。

個人信息保護法上的敏感個人信息處理的合法性基礎

一方面,基于個人同意的敏感個人信息處理的合法性基礎,即敏感個人信息處理的同意規則,個人信息保護法第29條規定了處理敏感個人信息的單獨同意規則,第31條設置了處理不滿十四周歲未成年人個人信息的監護人同意規則。何為“單獨同意”?有學者認為,應從三個方面予以理解:第一,單獨同意規則禁止一攬子授權;第二,單獨同意規則要求處理者負有明確告知義務;第三,單獨同意規則應當貫徹拒絕提供服務的限制規則。個人信息保護法中專門設置兩個法律條文將敏感個人信息處理的同意與第13條第1款第1項對個人信息處理的同意相區分開來,其規范目的在于強化信息主體及信息處理者對敏感個人信息處理的認知與控制,避免信息處理者利用格式合同架空同意規則,從而實現對敏感個人信息施以更嚴格的保護。單獨同意規則與監護人同意規則都對信息處理者提出了更高的責任要求與義務承擔。

另一方面,對于非基于個人同意的敏感個人信息處理的合法性基礎,個人信息保護法并未直接規定除同意規則以外的敏感個人信息處理的合法性基礎,若僅運用第二章第二節規定的“敏感個人信息的處理規則”來規范對敏感個人信息的處理,則難以有效契合個人信息保護法“促進個人信息合理利用”的立法目的,也不利于平衡民事權益保護和數字經濟發展。具體來講,追求公共利益的場景大多涉及敏感個人信息的處理。鑒于此,盡管我國法律沒有明文確立敏感個人信息處理的除同意規則之外的合法性基礎,但是可以使用體系解釋的方法,將個人信息保護法第13條作為合法性基礎一般規范,結合敏感個人信息在具體場景下的適用進行法教義學上的調適,從而構成我國非基于個人同意的敏感個人信息處理的合法性基礎。

具體來講,個人信息保護法第13條第1款第2項至第7項作為除同意規則之外對個人信息處理的一般要求,其中第2項至第4項條文中提及的“為……所必需”這一要求具有不確定性,有待此后的相關司法解釋或指導性案例進行漏洞填補并加以細化。而對于敏感個人信息的處理,應該在前述對“為……所必需”予以明確的基礎上,將“必需”進一步限定在“特定的目的”這一范圍內,即只有當且僅當特定的、具體的、明確的目的存在時方可處理敏感個人信息,從而體現敏感個人信息的特殊性。而對于“充分的必要性”,其本身即是“必需”的應有之義,要求與處理敏感個人信息的目的直接相關,具有不可或缺性。除此之外,應該再輔以“采取嚴格的保護措施”來保護敏感個人信息主體的基本權利和利益。至于個人信息保護法第13條第5項、第6項中“在合理的范圍內”這一限定表達,有學者指出“在合理的范圍內”應該以不得“對個人權益有重大影響”為內在限制,以合法、正當、必要、誠實信用原則及目的特定、最小處理原則為外部統合。因此,對于非基于個人同意的敏感個人信息處理的合法性基礎,其除了合法性基礎本身的限制以外,還應遵循“特定的目的”“充分的必要性”以及“采取嚴格保護措施”三個限制條件,方可達到對敏感個人信息的保護水平。

我國民法典將敏感個人信息處理的合法性基礎置于統一性的個人信息處理模式下,個人信息保護法第二章第二節“敏感個人信息的處理規則”為敏感個人信息設置了專門的處理規則,具體為單獨同意規則與監護人同意規則,除此之外還應受到“特定的目的”“充分的必要性”以及“采取嚴格保護措施”之規定的三重約束。對于非基于個人同意的敏感個人信息處理的合法性基礎,需要在解釋論的視角下,明確個人信息保護法第13條第1款第2項至第7項同樣適用于敏感個人信息的處理,但應根據敏感個人信息處理的具體場景進行嚴格解釋與相應調適,而對于上述三重約束條件,尚需相關司法解釋或指導性案例進行補充,以防止寬泛適用導致非基于個人同意的合法性基礎遭到濫用。

(作者單位:西南政法大學)

關鍵詞：