引言
现代社会的个人信息保护越来越受到重视。个人信息的保护,不仅关涉到每一个自然人的人格尊严和人身财产权益,也与数字经济的健康发展以及国家利益、社会公共利益等息息相关。正因如此,2020年5月28日第十三届全国人民代表大会第三次会议审议通过的《中华人民共和国民法典》(以下简称《民法典》)第四编“人格权”中专设“隐私权和个人信息保护”一章 (第6章),对个人信息的涵义、自然人个人信息权益的内容与行使、个人信息处理规则、个人信息的合理使用、保护个人信息安全的义务等重大基本问题作出了规定。此外,个人信息保护法的起草也纳入了本届全国人大常委会的立法规划,该法的草案稿亦已形成。[1]相信在不久的将来,我国《个人信息保护法》也将正式颁行。
民法典调整平等主体的自然人、法人和非法人组织之间的人身关系和财产关系,是市民社会中最重要的法律,是民商事领域的基本法。我国《民法典》对于个人信息保护作出规定,具有极为重要的意义!通过在《民法典》人格权编中对个人信息保护作出规定,立法者明确了自然人对个人信息享有的是民事权益,属于人格权益,从而体现了我国《民法典》的编纂以人民为中心的基本立场,彰显了《民法典》对自然人的人格尊严和人格自由的尊重,落实了我国《宪法》关于“公民的人格尊严不受侵犯”的要求。《民法典》颁行后,无论是解释适用《网络安全法》《电子商务法》等现行法律中的个人信息保护规范,还是制定《个人信息保护法》《数据安全法》等个人信息保护与数据权属相关立法,都应以充分尊重和保护自然人个人信息权益为前提。任何与此偏离的观念或立法,都与《民法典》的规定背道而驰。
我国《民法典》在确认自然人个人信息权益并对其内容、行使等作出规定的同时,也高度关注自然人个人信息权益与信息自由、言论自由以及商业活动之间关系的协调,“合理平衡保护个人信息与维护公共利益之间的关系”。[2]换言之,《民法典》中的个人信息保护制度不仅是对自然人的个人信息权益的保护,也是对信息自由、言论自由和商业活动自由的保护。[3]正因如此,一方面,《民法典》虽然明确规定自然人的个人信息受法律保护,自然人对个人信息享有人格权益,但并未确认自然人对其个人信息享有排他的、绝对的支配与控制。无论是从个人信息本身的属性抑或域外立法来看,还没有哪一个国家将自然人的个人信息权利或个人数据权利规定得如同生命权、所有权那样,是一种绝对的、排他的权利以及不可克减的权利。几乎所有国家或地区在保护个人信息的法律规范中,都要关注民事权益保护与合理自由维护这一对价值的协调,既尊重和保护自然人的人格尊严等基本人权,也充分维护公共利益,保护言论与信息自由、商业活动的正常进行。例如,欧盟《通用数据保护条例》在作为导言性质的“鉴于条款”中首先明确了自然人在个人数据处理方面获得保护是一项基本权利,受到《欧盟基本权利宪章》第8条第1款和《欧盟运行条约》第16条第1款的保护。同时,《通用数据保护条例》在“鉴于条款”第2条和第4条中就明确指出,“本条例致力于实现自由、安全、公平和经济联盟,致力于经济和社会进步,加强并聚集内部市场的经济,实现个人的幸福”, “保护个人数据的权利不是一项绝对权利,必须考虑其在社会中的作用并应当根据比例原则与其他基本权利保持平衡。本条例尊重所有基本权利,并奉行《欧盟运行条约》基于《欧盟基本权利宪章》承认的自由和原则,尤其是在以下方面:个人和家庭生活、家庭和通信、个人数据保护、思想自由、意识和宗教、言论和信息自由、商业活动自由、获得有效救济和公正审判的权利、文化、宗教和语言多样性。”日本于2015年大幅度修订的《个人资料保护法》第1条就明确了“本法的立法目的在于,在高度信息通信社会的深化所带来的对个人信息的利用显著扩大的背景下,通过对个人信息之正当处理的基本理念、由政府制定基本方针及采取其他保护个人信息的措施等基本事项做出规定,明确国家和地方公共团体的职责等,并对个人信息处理业者应遵守的义务等做出规定,从而重视个人信息的正当且有效利用在促进新兴产业的创造、实现充满活力的经济社会和富足的国民生活上的作用以及其他个人信息的作用,保护个人的权利或利益。”我国台湾地区的“个人资料保护法”第1条也指出,该法的立法目的在于“规范个人资料之搜集、处理及利用,以避免人格权受侵害,并促进个人数据之合理利用”。
为了能够科学有效地协调个人信息的保护与合理利用,[4]我国《民法典》在确认个人信息权益性质、内容及其保护规则的同时,也规定了完善的个人信息合理使用制度。为有助于理论界与实务界准确地理解并适用《民法典》中的个人信息合理使用制度,本文将对我国《民法典》中个人信息合理使用的涵义、规范层次及具体适用情形等问题进行详细的探讨,以供理论界与实务界参考。
一、个人信息合理使用的涵义
(一)个人信息合理使用无需取得自然人的同意
我国《民法典》第111条与第1034条第1款规定,自然人的个人信息受法律保护。这种保护主要表现在:一方面,自然人的个人信息遭受侵害后,其有权要求侵害人承担停止侵害、排除妨碍、消除危险以及赔偿损失等民事责任;另一方面,自然人有权对其个人信息进行积极的支配和利用。《民法典》第993条规定:“民事主体可以将自己的姓名、名称、肖像等许可他人使用,但是依照法律规定或者根据其性质不得许可的除外。”这是《民法典》关于人格权的商业化利用即人格权主体许可他人使用某些人格权客体的规定。[5]虽然该条仅列了“姓名、名称、肖像”三项,但是,因其规定于《民法典》人格权编的第一章“一般规定”中,属于在法律没有相反规定的情况下可以普遍适用于所有人格权益的共通性规定。加之,该条在列举后使用了“等”字来兜底。故此,从解释论上说,只要不属于“依照法律规定或者根据其性质不得许可的除外”情形,自然人当然可以将其个人信息许可他人使用。如果认为这种理解还不具有说服力的话,那么《民法典》第1035条和第1036条则从正反两方面都非常明确地肯定了自然人有权同意(即许可)处理者处理自己的个人信息。依据《民法典》第1035条第1款第1项,处理自然人的个人信息,必须“征得该自然人或者其监护人同意,但是法律、行政法规另有规定的除外”。这就说明,自然人或者其监护人的同意是个人信息处理行为合法性的基础。同时,依据《民法典》第1036条第1项,如果行为人处理个人信息的行为属于“在该自然人或者其监护人同意的范围内合理实施的行为”,那么行为人不承担民事责任。这就意味着,自然人或者其监护人的同意阻却了处理者处理个人信息行为的非法性。
由此可见,自然人完全可以在不违反法律的规定或者个人信息性质的情形下,许可他人使用自己的个人信息。然而,个人信息的合理使用与自然人同意他人处理其个人信息完全不同,前者的根本特征在于:处理者可以不取得自然人或者其监护人的同意就对个人信息进行包括收集、存储、使用、加工、传输、提供、公开等处理行为。具体而言,一方面,个人信息合理使用中,处理行为的合法性不是建立在自然人同意的基础上,不是立基于自然人行使个人信息权益的意思表示或者处理者与自然人之间达成的合意而实施的行为,而是直接依据法律的规定所从事的行为,该行为在性质上属于民事法律事实中的合法事实行为,[6]而法律的规定赋予此种未经自然人同意而处理个人信息的行为以合法性;另一方面,由于个人信息的合理使用是合法的行为,不具有违法性,故此,其产生的法律效果是免除了处理者的民事责任。在作为个人信息主体的自然人请求处理者承担民事责任时,处理者可以以此为由主张免责。此外,在行政法和刑法上,由于个人信息的合理使用是得到法律允许的,不是违反个人信息保护法律的违法行为或犯罪行为。因此,个人信息保护机构以及公安等有权机关也不得追究处理者的行政违法行为或犯罪行为,不产生行政责任或刑事责任的问题。
需要注意的是,个人信息的合理使用与匿名化信息处理行为之间存在联系和区别。《民法典》第1038条第1款第2句以及《网络安全法》第42条第1款规定,对于“经过处理无法识别特定个人且不能复原的”信息,可以不经被收集者同意而向他人提供。所谓经过处理无法识别特定个人且不能复原的信息就是指信息的匿名化,即被匿名化处理的信息。[7]个人信息的合理使用与匿名化信息的处理行为既有联系又有差异。二者的共同之处在于,均无需得到自然人的同意即可实施,属于合法的信息处理行为,处理者无需承担法律责任。区别在于:一方面,二者的适用范围不同。个人信息的合理使用涉及对个人信息的各种处理行为,包括收集、存储、加工、使用、传输、提供、公开等;然而,匿名化信息的处理仅限于向他人提供信息的情形,不包括其他情形。另一方面,行为合法的理由不同。个人信息的合理使用之所以是合法的行为,是因为法律基于公共利益等利益考量而对自然人的个人信息权益作出了限制。匿名化信息的处理之所以合法,是因为匿名化信息不属于个人信息。因为个人信息的本质特征在于可识别特定自然人(无论直接识别还是间接识别),然而,信息或数据匿名化处理后,已经无法识别特定的自然人且不能复原,故此不属于个人信息。为了促进大数据的发展和应用,法律上有必要规定,向他人提供匿名化信息作时无须经过自然人本人的同意。[8]
(二)个人信息合理使用是法律基于公共利益等对人格权益进行的限制
个人信息合理使用的理论基础在于民事权益限制理论。[9]所谓民事权益的限制,就是指立法者基于价值考量通过法律对民事权益作出的正当与合理的限制。此种限制既可以发生在两种或者更多的民事权益存在冲突的情形,如相同属性的权益或不同属性的权益之间发生冲突。前者如,依据《民法典》第456条,同一动产上已设立抵押权或者质权,该动产又被留置的,留置权人优先受偿。考虑其为,留置权一般是由于留置权人就标的物提供了材料或劳务却未得到适当补偿而产生的。为了保证留置权人为标的物提供材料或劳务而使标的物增加的价值能得以收回,应当承认留置权优先。否则,不仅不公平,还会使承揽人因害怕自己投入的劳务和材料得不到有保障的回报而拒绝任何加工、承揽服务,这对于社会也是不利的。后者如,《民法典》第1019条第2款规定:“未经肖像权人同意,肖像作品权利人不得以发表、复制、发行、出租、展览等方式使用或者公开肖像权人的肖像。”依据该规定,肖像权属于人格权,保护的是自然人的人格尊严等人格利益,而肖像作品上的权利是著作权或邻接权,虽然也有精神性权利,但更侧重于保护权利人的财产利益。为了更好保护自然人的人格权,法律特别规定了肖像权构成对肖像作品权利的限制。当然,如果没有民事权益的冲突,也可以出于维护公共利益、国家利益等理由对民事权益所做的限制。例如,《民法典》第245条规定:“因抢险救灾、疫情防控等紧急需要,依照法律规定的权限和程序可以征用组织、个人的不动产或者动产。”抢险救灾、疫情防控等紧急需要,当然属于公共利益的需要,故此,以该理由可以对私人财产权利加以限制,无需私人同意即可依照法定权限和程序强制使用其不动产或动产。再如,《民法典》第1025条规定:“行为人为公共利益实施新闻报道、舆论监督等行为,影响他人名誉的,不承担民事责任,但是有下列情形之一的除外:①捏造、歪曲事实;②对他人提供的严重失实内容未尽到合理核实义务;③使用侮辱性言辞等贬损他人名誉。”该规定的理由在于:为了公共利益而进行新闻报道或舆论监督,不仅涉及到宪法层面的言论自由、出版自由的保护,还涉及对人民的知情权、监督公权力等公共利益的尊重和保护。故此,基于公共利益实施新闻报道、舆论监督行为而影响名誉时,要对民事主体的名誉权加以限制。
个人信息的合理使用是立法者对自然人的个人信息权益的限制,此种限制并非因为自然人的个人信息权益与其他民事权益之间存在效力位阶上的冲突,而是立法者基于价值权衡,为了维护公共利益对自然人的个人信息权益所作出的限制,其性质上属于对人格权益而非财产权益的限制。具体阐述如下:
第一,个人信息上存在的是自然人的民事权益。[10]所谓个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等(《民法典》第1034条第1款)。由此可见,个人信息的根本特征在于识别性(直接识别与间接识别),其与特定的自然人直接或间接相联系。不能识别特定的自然人的信息也是信息,但不属于个人信息,不受到《民法典》个人信息保护制度的规范。正是由于个人信息与特定的自然人密切相关,故此,才产生了保护个人信息的需要。除了能够被直接或间接识别的自然人,其他民事主体针对该自然人的个人信息本身并不享有任何民事权益(这一点不同于数据企业针对数据资产的权益)。
第二,自然人对其个人信息享有的民事权益属于人格权益,而非财产权益。关于自然人对个人信息享有的究竟是民事权利抑或民事利益,[11]是人格权还是财产权等问题,[12]一直存在很大的争议。尽管在我国《民法典》的编纂过程中,有学者不断呼吁《民法典》中应当明确规定“个人信息权”, [13]而不应当仅使用“个人信息保护”表述。然而,《民法典》最终还是没有使用“个人信息权”的概念。《民法典》人格权编在规定具体人格权的各章(即第2-6章)都以“某某权”为章名,如第2章“生命权、身体权和健康权”,第3章“姓名权和名称权”,第4章“肖像权”,第5章“名誉权和荣誉权”。可是,唯独在第6章使用了“隐私权和个人信息保护”这样的表述。之所以如此,根本原因还是在于就是否规定“个人信息权”的问题争议较大。特别是部分人担心将自然人对个人信息的权益直接确定为“个人信息权”,会导致自然人对其个人信息享有过于绝对的支配权和控制权,以致影响信息自由流动,不利于网络信息社会和数字经济的发展。
虽然《民法典》没有规定个人信息权,但是,其非常明确的肯定了自然人的个人信息权益是民事权益,属于人格权益,而非财产权益。一方面,《民法典》总则编第五章“民事权利”在列举了自然人的生命权、身体权、健康权、姓名权、肖像权、名誉权、荣誉权、隐私权、婚姻自主权等具体人格权后,于第111条对个人信息的保护作出了宣示性规定。这说明立法者认为,自然人就其个人信息享有的是应当受到保护的人格利益,而非单纯的财产利益。否则,立法者就会在规定了物权、债权、知识产权、股权等财产权利的部分宣示自然人的个人信息受法律保护。另一方面,《民法典》明确将个人信息保护的内容放在第四编“人格权”中,并与隐私权合并在第6章。由于我国《民法典》的人格权编不仅调整人格权的享有与保护产生的民事关系,也调整自然人享有的基于人身自由、人格尊严产生的其他人格权益(第990条第2款)。所谓其他人格权益,既包括其他人格权,也包括其他人格利益(第126条)。这就更加明确了自然人对其个人信息享有的民事权益属于人格权益。
第三,既然自然人的个人信息权益属于人格权益,那么个人信息的合理使用在本质上就是对自然人的人格权益的限制,而非对其财产权益的限制。这一点与著作权的合理使用有很大区别。著作权的合理使用也属于对于著作权进行的权利限制,[14]但其本质上是对著作权中财产权利的限制,而非对作者精神权利的限制(虽然对著作权人的发表权、保护作品完整权等精神权利也存在相应限制)。[15]有观点从著作权合理使用制度的角度出发认为,“数据保护领域的合理使用也应当是对他人个人信息权中财产权部分的利用,表现为使用人对他人的数据所享有的不经同意,而加以使用的某种利益”。[16]显然,这种看法不符合《民法典》对自然人个人信息权益的性质的规定,也不符合事实。在大数据时代,一方面,自然人个体既无法了解自己总共产生了什么样的及多少数量的个人数据,也根本没有就其个人数据的价值与处理者进行协商的空间和议价的能力。实践中出现的极个别自然人给自己的个人数据定价的情形也只是一个吸引眼球的噱头而已。[17]事实上,单个自然人的个人数据本身并无价值,“普通人恐怕永远无法真正地靠出售个人数据赚钱。一条个人信息连一分钱都卖不了。除非被收集后与其他来自相近社会经济类别的个人资料汇总在一起加以利用,无名之辈的个人资料并不值钱。”[18]真正蕴涵巨大经济价值的是政府以及数据从业者即数据企业所收集和储存的海量的个人数据。需要指出的,由于我国对于人格权利益采取“一元化保护”模式,而非美国的“二元化保护”模式(即在隐私权之外再设立所谓的公开权或商品化权), [19]人格权不仅保护民事主体的人格利益也保护其经济利益。故此,我国法上允许人格权的商业化利用(《民法典》第993条)。因此,将自然人的个人信息权益规定为人格权益,既不妨碍自然人在许可他人使用其个人信息时收取费用,也不影响企业通过各种经济激励机制来取得自然人的同意进而处理其个人信息。[20]
第四,对自然人个人信息权益的限制必须是基于维护公共利益等正当理由,同时要符合法律保留原则和比例原则。法律保留原则最早是由德国著名法学家奥托·迈耶提出的,他认为“法治是由三部分构成的:形成法律规范的能力,法律优先及法律保留”,所谓法律保留意味着“通过对基本权利的明示或默示保留,保证公民个人自由、财产不可侵犯和其他权利不受侵犯,除非有法律对此作出规定或基于法定理由才可以对上述权利进行干涉。”[21]法律保留原则是建立在民主原则和法治国原则基础上,限制公权力,保护私权利的重要原则。我国《立法法》第8条关于只能制订法律的事项之规定就是法律保留原则的体现。依据该条第8项,民事基本制度只能制订法律。自然人的个人信息保护涉及自然人的人格尊严,属于自然人人格权益的范畴,属于民事基本制度。包括个人信息合理使用在内的个人信息保护的规则和制度必须制订法律。正因如此,我国《民法典》中才对个人信息的合理使用作出了规定。
比例原则有广狭义之分。狭义的比例原则主要适用于负担行政行为以及所有的行政领域,而广义的比例原则产生于法治国原则,不仅约束行政,也约束立法,同时被适用于一般性确定基本权利的界线,“即作为个人自由请求权和限制自由的公共利益之间的权衡要求适用”。[22]在民法中,比例原则意味着“只有在以下情形当中,个人自由及其私法自治才能受到干预,即对于维护更高的利益而言这是必要的,且此种干预既适于实现预期的目标,也是实现该目的的最缓和的方式。”[23]个人信息处理中应遵循的必要原则也是比例原则的体现。个人信息合理使用作为基于公共利益等正当理由对自然人个人信息权益的限制,当然要符合比例原则。合理使用中的“合理”一词,本身就是比例原则的要求。所谓合理使用,是指无论收集、加工,使用抑或提供、公开个人信息,都应当是在服务于法律规定合理使用所希望达到的目的的范围内,且手段和方式没有超过为实现该目的而可以采取的最缓和的方式。使用不合理而侵害民事主体人格权的,应当依法承担民事责任(《民法典》第999条)。
二、个人信息合理使用的规范层次
民法典是成文法的最高形式,具有高度的体系性和逻辑性。作为一部符合中国国情和社会生活实际,体例科学、结构严谨、规范合理、内容协调一致的法律,我国《民法典》既具有内部体系性,也具有外部体系性。所谓内部体系性,是指贯穿于我国《民法典》并决定民法规范的价值、理念与原则是统一与和谐的,而外部体系性是指依据形式逻辑规则建构的抽象、一般概念式的体系。[24]《民法典》对于个人信息的合理使用构建了一套全面系统的规范体系,具体来说,可将之分为以下三个规范层次。
(一)总则编的抽象规范
对个人信息合理使用的第一个规范层次在《民法典》第一编“总则”中,这是最一般也是最抽象层面对个人信息合理使用的规范。我国《民法典》第6条至第8条确立了民事活动应当遵循的三项基本原则,即公平原则、诚信原则、公序良俗原则,同时还分别在第131条规定:“民事主体行使权利时,应当履行法律规定的和当事人约定的义务。”第132条规定:“民事主体不得滥用民事权利损害国家利益、社会公共利益或者他人合法权益。”民法的基本原则贯穿于全部的民事法律规范之中,是指导各种民事行为、民事立法和司法活动的根本准则,[25]虽然基本原则并不直接涉及当事人的具体权利义务,但它是“指导和协调着全部社会关系或某一领域的社会关系的法律调整机制。”[26]故此,无论是自然人行使个人信息权益,还是信息处理者依法或依约处理个人信息,以及个人信息的合理使用,性质上都属于民事活动,应当遵循上述民法的基本原则,履行法律规定的和当事人约定的义务,不得损害国家利益、社会公共利益和他人的合法权益。虽然民法的基本原则并不能直接作为个人信息合理使用的理由,但是,若对于个人信息合理使用发生理解上的分歧,且法律没有规定或者规定不明确的,就应当遵循上述民法的基本原则加以判断。此外,《民法典》总则编第8章“民事责任”对于不可抗力、正当防卫、紧急避险等免责事由的规定,原则上也适用于包括个人信息权益在内的所有民事权益,从而构成对个人信息权益的限制,除非《民法典》或者其他法律另有规定。
(二)人格权编的共通性规范
对个人信息合理使用的第二个层面的规定是从人格权共通性或一般性法律规范角度做出的关于人格权限制的规定。这些法律规范主要规定在《民法典》人格权编第一章“一般规定”。该章属于人格权法的总论或总则部分,是对人格权益的共性问题以及通用规则的规定。故此,凡是《民法典》人格权编第2章至第6章以及其他法律中没有特别规定,都可以适用人格权编第1章。该章主要规定了以下两项非常重要的人格权限制性规范。
第一,《民法典》第998条规定:“认定行为人承担侵害除生命权、身体权和健康权外的人格权的民事责任,应当考虑行为人和受害人的职业、影响范围、过错程度,以及行为的目的、方式、后果等因素。”该规范目的在于:首先,其明确了生命权、身体权、健康权这三项人格权不得任意限制和克减的原则,体现了对这三类人格权的充分尊重和严格保护。申言之,在侵害生命权、身体权与健康权这三类人格权的民事责任(无论是侵权责任还是违约责任)的成立和民事责任的承担这两大问题上,不应当考虑行为人和受害人的职业、影响范围、过错程度及行为的目的、方式、后果等因素,而应当严格依据法律的相应规定。生命权、身体权和健康权与自然人的生命安全与生存息息相关,是最基本的人的生存的权利,是不得限制和克减的权利。我国《宪法》明确规定尊重和保障人权,同时,我国政府也在1998年10月签署了《公民权利和政治权利国际公约》。[27]因此,《民法典》这一规定是对宪法尊重和保障人权的精神的贯彻落实。其次,除了生命权、身体权、健康权之外的人格权(包括人格利益),在认定侵害人格权益的民事责任时,应当考虑行为人和受害人的职业、影响范围、过错程度,及行为的目的、方式、后果等因素。立法者在《民法典》第998条中采取了动态系统论的观点。由于人格权几乎总是会涉及相互之间的冲突以及与公共利益等的冲突。故此,如何在相互对立的利益之间划出一条明显的界限,必然需要综合权衡所有的利益,以得到一个使各方利益最大化的解决办法。[28]《民法典》第998条通过明确需要考虑的各种因素,既为涉及人权益冲突与限制的相关立法,也为法官裁判解决人格权益纠纷案件提供了参考因素,最终做到人格尊严与个人合理自由的协调。具体而言,考虑到行为人和受害人的职业以及行为的目的、方式,就意味着法院在认定侵权责任时,要考虑保护为了公共利益而进行的新闻报道与舆论监督,从而协调言论自由与权益保护的关系;考虑受害人的职业,实际上就是引入了公众人物的概念,从而对公众人物的包括个人信息在内的人格权益加以必要限制,以便更好维护公共利益。
第二,《民法典》第999条规定:“为公共利益实施新闻报道、舆论监督等行为的,可以合理使用民事主体的姓名、名称、肖像、个人信息等;使用不合理侵害民事主体人格权的,应当依法承担民事责任。”该条明确规定了可以合理使用的人格权的客体,实际上就是对这些人格权作出了限制。就自然人的个人信息权益而言,一方面,只有基于公共利益而实施新闻报道、舆论监督等行为的,才可以使用自然人的个人信息;另一方面,即便是基于新闻报道、舆论监督等行为,此种对自然人的个人信息的使用也应当是“合理”使用。如果使用不合理而侵害了民事主体的人格权如隐私权、名誉权、姓名权、肖像权等的,依然要承担民事责任。在判断使用是否合理时,可以依据《民法典》第998条规定的因素——“行为人和受害人的职业、影响范围、过错程度,及行为的目的、方式、后果等”——加以判断。
(三)针对个人信息权益限制的专门规范
《民法典》对个人信息合理使用的第三个层次的规范,就是直接作出的、专门的针对个人信息作出的限制性规定。在法律上,规定权利的限制或者合理使用有两种方法:一是从正面的、积极的角度规定,民事权益主体之外的组织或个人可以在没有取得民事权益主体同意的前提下,使用民事权益的客体或干涉其权益的行使,如《民法典》第999条,《著作权法》第22条等;另一种则是从反面的、消极的角度规定,即便行为人未经民事权益人同意而实施了某种客观上构成对民事权益侵害、妨碍或造成损害的行为,也不需要承担民事责任。例如,《民法典》的正当防卫、紧急避险(第181-182条)以及自甘冒险、自助行为(第1176-1177条)等免责事由之规定。上述两种方式都是权利的限制或合理使用,没有本质差异。一般来说,采取合理使用的方法来限制民事权益往往是在更为一般或抽象的层面上,因此,受到限制的民事权益的范围也较广。而免责事由比较具体,直接针对某个特定的民事权益而作出相应规定。我国《民法典》在第1036条直接采取了规定处理个人信息免责事由的方式。该条列举了三大类免责事由,其中第一类“在该自然人或者其监护人同意的范围内合理实施的行为”,性质上属于自然人或者其监护人行使个人信息权益的行为,属于权利的自愿限制,[29]只有第二、三类即“合理处理该自然人自行公开的或者其他已经合法公开的信息”以及“为维护公共利益或者该自然人合法权益,合理实施的其他行为”,属于法律限制,即个人信息的合理使用。
由于我国《民法典》专设“侵权责任编”作为分则的最后一编,用以保护所有的人身权益和财产权益,因此,《民法典》侵权责任编中关于侵权责任的免责事由的规定,如第1174条规定的受害人故意、第1177条规定的自助行为也适用于自然人的个人信息权益,构成相应的权利限制。
三、个人信息合理使用的具体情形
从比较法上来看,各国或各地区的个人信息保护立法中,都有对个人信息合理使用或者免责事由的规定。欧盟《通用数据保护条例》分别在第6条“处理的合法性”、第9条“特殊类型的个人数据处理”、第23条“限制”对个人信息合理使用的情形作出了规定。日本的《个人信息保护法》第16-18条、第28条则分别对可以事先不取得自然人的同意而获取、处理自然人的个人信息的情形,不将个人信息利用目的通知给本人或者予以公布的情形以及即便本人请求要求公开个人信息但个人信息处理业者也不应公开的情形等问题,作出了规定。我国台湾地区“个人资料保护法”第6条对特殊的个人资料的收集、处理和利用的例外情形、第9条对收集个人资料而免于告知的情形,第10条对自然人的查询、阅览和复制其个人信息的权利的限制,第16条与第19-20条对公务机关和非公务机关超越个人资料处理目的的收集、处理和利用等情形作出了详细的规定。
各国或各地区个人信息保护立法中所规定的个人信息合理使用的情形具有很多共通之处,即主要是出于以下几类原因对自然人的个人信息权益作出限制:其一,维护公共利益,如国家安全、国防、公共卫生、公共安全、学术自由以及其他的公共利益中的重要目标(如经济或财政利益)等;其二,保护民事权益,包括保护个人信息主体以及其他自然人等民事主体的生命、身体、自由、财产或其他重要民事权益;其三,合法公开的个人信息,即自然人自行公开或者通过其他方式已经合法公开的个人信息。我国《民法典》所规定的个人信息合理使用的情形与比较法上的规定基本一致,下面分别予以论述。
(一)实施新闻报道、舆论监督等行为
依据《民法典》第999条,为公共利益实施新闻报道、舆论监督等行为的,可以合理使用自然人的个人信息,使用不合理侵害民事主体人格权的,应当依法承担民事责任。所谓新闻报道就是指对新近发生的事实进行的报道。在我国,能够进行新闻报道是依法设立的新闻单位,如报纸出版单位、新闻性期刊出版单位、通讯社、广播电台、电视台、广播电视台、新闻网站、网络广播电视台等。舆论监督是从功能或作用意义上使用的概念,简单的说,就是通过形成公众言论而对于公共事务、热点事件等与公共利益、国家利益相关的事情予以监督并加以评论的活动。以往,舆论监督一般就是指新闻单位新闻报道中的批评性报道。然而,在社交媒体时代,不仅是新闻单位,自媒体上的普通用户的言论集合也可以形成舆论监督。一般的社会大众也可以很容易通过网络(如微信、微博、Facebook、推特、博客、个人网站)等途径向外发布、分享某些事实与观点,评论公共事务,发挥舆论监督功能。
《民法典》之所以专门规定,为公共利益实施新闻报道、舆论监督等行为可以合理使用个人信息,就是因为在为公共利益而实施的新闻报道、舆论监督中不可避免的要涉及特定的自然人,会使用自然人的姓名、性别、家庭住址等一些个人信息,如果使用这些个人信息都要逐一告知并征得自然人的同意,在自然人不同意的情况下就不能使用,新闻报道就无法正常进行。尤其是为了维护公共利益的舆论监督,本来就是要揭露各种不道德的、违法和犯罪的人与事情,打击邪恶,监督公权力,维护社会正义,这是自由与法治的社会所不可或缺的。故此,更有必要合理使用自然人的个人信息。总之,为公共利益而实施新闻报道、舆论监督的行为,对于维护广大民事主体的合法权益,保护表达自由,具有不可替代的重要作用,故此,《民法典》第999条专门就新闻报道、舆论监督中合理使用个人信息等人格权客体的行为作出了规定。当然,并非所有的新闻报道、舆论监督等行为都有权合理使用个人信息,必须是为了公共利益,一些只是单纯娱乐性的新闻报道或者仅仅是对某个人的不道德或违法行为的舆论监督,因为与公共利益无关,此时行为人也不得未经同意而使用他人的个人信息,否则就构成侵权。[30]
(二)维护公共利益
《民法典》第1036条第3项规定,为维护公共利益而合理实施的个人信息的处理行为,行为人不承担民事责任。该规定明确了维护公共利益是合理使用个人信息的情形。公共利益是很抽象的概念,具有很大的不确定性,因此,由法律来确认或者形成客观的公共利益成为法治社会的普遍做法。[31]例如,2019年我国新修订的《土地管理法》第45条第1款,就明确将征收农民集体所有的土地时的公共利益界定为六种类型。
基于哪些公共利益可以合理使用个人信息,对此,比较法上进行明确列举的国家或地区比较少。欧盟的《通用数据保护条例》是为数不多的进行了详细列举的立法例,其第23条第1款列举的公共利益主要有:国家安全;防卫;公共安全;刑事犯罪的预防、调查、侦查、起诉或者刑事处罚的执行,包括对公共安全威胁的防范和预防;欧盟或成员国一般公共利益的其他重要目标,特别是欧盟或成员国的重要经济或财政利益,包括货币、预算和税收等事项、公共卫生和社会保障;司法独立与司法程序的保护;违反职业道德规范的预防、调查、侦查和起诉;监督、检查或相关的监管职能等。我国《民法典》没有界定个人信息合理使用中的公共利益的涵义和类型,该任务应当交由现有的各个法律和未来颁布的个人信息保护法等完成。从《民法典》第132条来看,公共利益可以分为国家利益与社会公共利益两类。我国现行的法律如《国家安全法》《反间谍法》《国家情报法》《突发事件应对法》《传染病防治法》《网络安全法》等,对于国家利益、社会公共利益的涵义也有相应的规定。依据这些法律的规定,笔者将可以合理使用个人信息的公共利益分为以下类型。
第一,国家利益,主要包括国家的安全利益、外交利益、军事利益以及意识形态利益等,[32]具体又分为国家安全、经济安全、文化安全与环境安全。狭义的国家安全仅指军事安全,但是广义的国家安全既包括军事安全,也包括了经济安全、文化安全和环境安全等。我国《国家安全法》采取的就是广义的国家安全,其第2条将国家安全界定为“国家政权、主权、统一和领土完整、人民福祉、经济社会可持续发展和国家其他重大利益相对处于没有危险和不受内外威胁的状态,以及保障持续安全状态的能力”。该法具体列举的国家安全包括:军事安全、重大经济利益安全、金融安全、能源安全、粮食安全、意识形态安全、重大技术和工程的安全、网络与信息安全等。为了维护上述国家安全,可以对个人信息进行合理使用。例如,《国家情报法》第15条规定:“国家情报工作机构根据工作需要,按照国家有关规定,经过严格的批准手续,可以采取技术侦察措施和身份保护措施。”第16条规定:“国家情报工作机构工作人员依法执行任务时,按照国家有关规定,经过批准,出示相应证件,可以进入限制进入的有关区域、场所,可以向有关机关、组织和个人了解、询问有关情况,可以查阅或者调取有关的档案、资料、物品。”显然,国家情报工作机构依据上述两条采取的技术侦察措施就会包括处理个人信息,查阅、调取的相关资料中也包括了获取个人信息。
第二,社会公共利益,也称社会利益,不同于国家利益。社会利益主要侧重于社会这一既与国家紧密联系又独立于国家的自治共同体本身需要的安全利益、经济利益、文化利益和道德利益。[33]笔者认为,基于社会公共利益而合理使用个人信息的情形具体包括:①基于社会治安即公共安全而合理使用个人信息,如为了预防、制止、侦查、起诉或处理违法犯罪行为,公安机关、检察机关、监察机关等国家有权机关在依法履行职责过程中合理使用个人信息。例如,依据《刑事诉讼法》第150条第1款,公安机关在立案后,对于危害国家安全犯罪、恐怖活动犯罪、黑社会性质的组织犯罪、重大毒品犯罪或者其他严重危害社会的犯罪案件,根据侦查犯罪的需要,经过严格的批准手续,可以采取技术侦查措施。显然,所谓的技术侦查措施也就包括了对个人信息的收集等处理行为;②基于维护其他社会安全利益如公共卫生安全等合理使用个人信息。例如,当出现公共卫生安全事件(如当前的新冠肺炎疫情)时,为了防控疫情、保护广大人民群众的生命健康,依据《突发事件应对法》《传染病防治法》的规定,有关部门可以依照法律、法规、规章的规定采取应急处置措施,包括自行或授权有关组织强制收集自然人的个人信息,如身份证号码、住址、行踪轨迹等;③为确保社会资源公平合理的分配与使用而合理使用个人信息。例如,依据《政府信息公开条例》第15条的规定,“涉及商业秘密、个人隐私等公开会对第三方合法权益造成损害的政府信息,行政机关不得公开。但是,第三方同意公开或者行政机关认为不公开会对公共利益造成重大影响的,予以公开。”依据《最高人民法院关于审理政府信息公开行政案件若干问题的规定》第5条第2款的规定,因公共利益决定公开涉及商业秘密、个人隐私政府信息的,被告应当对认定公共利益以及不公开可能对公共利益造成重大影响的理由进行举证和说明。在一起案件中,原告依据《政府信息公开条例》要求被告房管局公开经适房、廉租房的分配信息并公开所有享受该住房住户的审查资料信息(包括户籍、家庭人均收入和家庭人均居住面积等),被告以这些信息涉及他人隐私为由拒绝公开。一审法院支持被告的观点认为,原告要求公开的政府信息包含享受保障性住房人的户籍、家庭人均收入、家庭人均住房面积等内容,此类信息涉及公民的个人隐私,不应予以公开,判决驳回原告的诉讼请求。二审法院则认为,虽然申请人申报的户籍、家庭人均收入、家庭人均住房面积等情况属于个人隐私,但这些信息属于申请人能否享受保障性住房的基本条件。只要申请经适房就必须要向主管部门提供符合相应条件的个人信息,以接受审核。“当涉及公众利益的知情权和监督权与保障性住房申请人一定范围内的个人隐私相冲突时,应首先考量保障性住房的公共属性,使获得这一公共资源的公民让渡部分个人信息,既符合比例原则,又利于社会的监督和住房保障制度的良性发展。”因此,被告房管局以涉及个人隐私为由拒绝公开是违法的,二审判决被告自判决生效之日起15个工作日内对申请人的信息公开申请重新作出书面答复;[34]④基于学术科研、文化艺术及公共教育发展的公共利益合理使用个人信息。需要注意的是,此种对个人信息的合理使用与我国《著作权法》第22条第1款第1、2、6、8项规定的合理使用以及第23条规定法定许可存在差别。如前所述,著作权的合理使用本身是对财产权的限制,而个人信息的合理使用是对人格权益的限制,因此,并非任何学术研究或文化艺术都可以合理使用个人信息,仅有利于实现公共利益者方可为之。仅仅是个人进行科研,就允许未经同意而使用个人信息,显然是不可以的;⑤为维护社会公共道德而合理使用个人信息,我国《民法典》第8条确立了公序良俗原则,所谓公序良俗,就包括了公共利益和公共道德,自然人行使个人信息权益不得违反公序良俗,同样基于公序良俗也可以对个人信息进行合理使用;⑥为了其他的社会公共利益而合理使用个人信息,如基于残疾人保护、劳动者保护、消费者权益保护等弱者保护的考量,或者为了维护公平合理的市场竞争秩序而合理使用个人信息。当然,这些合理使用的具体情形应当由法律加以规定。
(三)维护自然人的合法权益
依据《民法典》第1036条第3项,为了作为个人信息主体的“该自然人合法权益”,可以不经过自然人或其监护人的同意而合理实施个人信息的处理行为,行为人不承担民事责任。所谓维护该自然人的合法权益,是指为了维护作为个人信息主体的自然人的人身财产权益。例如,甲突发疾病而生命垂危,急需在掌握其既往病史等个人信息的基础上进行对应的抢救治疗,而又无法取得其本人或近亲属的同意。此时,为了挽救甲的生命,可以实施个人信息的处理行为。比较法上许多国家或地区的个人信息保护立法中也有相同的规定,例如,欧盟《通用数据保护条例》第23条第1款第i项规定,为了“对数据主体或其他人的权利与自由的保护”,根据数据控制者或处理者应遵守的欧盟或成员国的法律规定,可以通过立法措施限制该条例第12条至22条,第34条及第5条的权利与义务的范围,只要该限制符合该条例第12条至22条规定的权利和义务,且实质符合基本权利和自由的本质,且是民主社会应采取的必要的适当的措施。再如,日本《个人信息保护法》第17条第2款第2项以及第23条第1款第3项规定,“为保护人的生命、身体或财产而有必要,却又难以取得本人同意的情形”,个人信息处理业者可以未事先取得本人的同意而获取自然人的个人数据或者将其个人数据提供给第三人。
事实上,不仅为了维护个人信息或个人数据主体自身的合法权益,可以实施对个人信息的合理使用,就是为了维护自然人之外的其他民事主体的合法权益,也可以针对该自然人的个人信息实施合理使用行为。例如,我国台湾地区“个人资料保护法”第16条第1款第4项和第20条第1款第4项规定,“为防止他人权益之重大危害”,公务机关或非公务机关对个人资料之利用,可以在于搜集之特定目的必要范围之外利用个人资料。我国《民法典》第1036条第3项仅规定了维护作为个人信息权益主体的“该自然人”合法权益,没有规定维护其他民事主体合法权益时的合理使用。这并不意味着我国《民法典》对此存在缺漏。因为,如果是为了维护其他民事主体的合法权益而需要合理使用个人信息,那么该等情形属于紧急避险,完全可以适用《民法典》第182条,无需重复规定。当然,我国未来的《个人信息保护法》可以做出更细致明确的规定。
(四)处理已合法公开的个人信息
依据《民法典》第1036条第2项,合理处理该自然人自行公开的或者其他已经合法公开的信息,即便没有得到该自然人的同意,行为人也不承担民事责任,但是该自然人明确拒绝或者处理该信息侵害其重大利益的除外。所谓合法公开的个人信息有两个特征:其一,合法性,包括自然人自行公开(即行使个人信息权益而针对个人信息进行处分),也包括依据法律、行政法规的规定被公开(如法院公开裁判文书中涉及到的个人信息)。至于那些因他人泄露或非法公开的个人信息,虽然客观上确实处于公开的状态,但因不属于合法公开的个人信息,故此不适用《民法典》上述规定。其二,公开性,即个人信息被公之于众,不特定的人可以通过合法的途径而获悉。例如,接受记者的采访报道中公开个人信息,他人皆可通过网络搜索合法获得。如果只是在很小的亲友圈子内公开,如在微信朋友圈中公开,只有特定的人才可以获得的个人信息,不应认为是公开的个人信息。
合法公开的个人信息包括两大类:其一,自然人自行公开的个人信息,如某教授将自己的办公室电话、手机号、电子邮箱、通信地址等在自己的个人网页上加以公开,从而使得这些个人信息进入了公共领域,任何人都可以获得。其二,其他已经合法公开的个人信息,这主要包括两种情形:一是,依据行政行为而公开的个人信息,即因政府机关履行职责而依法加以公开的个人信息,例如,依据国务院颁布的《企业信息公示条例》的规定,企业通过企业信用信息公示系统向工商行政管理部门报送上一年度年度报告,并向社会公示。企业的年度报告中涉及自然人的个人信息的内容如“企业为有限责任公司或者股份有限公司的,其股东或者发起人认缴和实缴的出资额、出资时间、出资方式等信息”“有限责任公司股东股权转让等股权变更信息”等。二是,依据司法行为而公开的个人信息,即因为法院的司法行为而公开法律文书,其中也会涉及合法公开的个人信息。例如,依据《最高人民法院关于人民法院在互联网公布裁判文书的规定》,人民法院作出的裁判文书除涉及国家秘密、未成年人犯罪等不应公开的情形外,都应当在互联网上公开。人民法院在互联网公布裁判文书时,虽然应当删除“自然人的家庭住址、通讯方式、身份证号码、银行账号、健康状况、车牌号码、动产或不动产权属证书编号等个人信息”“家事、人格权益等纠纷中涉及个人隐私的信息”等信息,但是,有些个人信息仍然应当在裁判文书中保留。对此,该司法解释第11条第1项有相应的规定,即人民法院在互联网公布裁判文书,“除根据本规定第八条进行隐名处理的以外,当事人及其法定代理人是自然人的,保留姓名、出生日期、性别、住所地所属县、区”。
《民法典》第1036条第2项来自于《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》第12条,依据该条第1款第4项,如果网络用户或者网络服务提供者利用网络公开的自然人基因信息、病历资料、健康检查资料、犯罪记录、家庭住址、私人活动等个人隐私和其他个人信息是自然人自行在网络上公开的信息或者其他已合法公开的个人信息,则不构成侵权行为,不承担侵权责任。但是,依据该条第2款,如果网络用户或者网络服务提供者以违反社会公共利益、社会公德的方式公开这些个人信息,或者公开该信息侵害权利人值得保护的重大利益,权利人请求网络用户或者网络服务提供者承担侵权责任的,人民法院应予支持。对于已经合法公开的个人信息,无论是自然人自行公开的还是其他已经合法公开的个人信息,原则上是可以无需告知并取得自然人的同意即能够自由处理。因为,这有利于促进信息的流动与利用,对于网络信息社会和数字经济的发展是有利的。但是,如果该自然人明确拒绝对已合法公开的个人信息进行处理或者处理该信息侵害其重大利益,则构成例外。这是说,一方面,即便是已经合法公开的个人信息依然受到法律的保护,自然人对这些个人信息并不因其公开而失去控制的权利,其有权决绝他人对这些信息进行处理;另一方面,由于个人信息的保护对于维护自然人的人格尊严和人格自由具有很重要的意义,所以,即便是已经合法公开的个人信息,也不得任意进行处理,如果处理该信息将侵害自然人的重大利益的,也要承担民事责任。所谓“侵害自然人重大利益”的情形,是指处理将有害于自然人的生命、身体、自由、财产或其他重大利益。例如,通过对各种合法公开的信息的处理而对自然人进行人格画像,从而导致该自然人在接受商品或服务的过程中遭受种族、性别的歧视等人格尊严之侵害,则该处理行为侵害了自然人的重大利益,是非法的。
(五)其他问题
在比较法上,部分立法例还规定了一种可以不经自然人同意而处理个人信息的情形,即为履行合同而必须处理个人信息的情形,如欧盟《通用数据保护条例》第6条第1款b项规定“处理是数据主体作为合同主体履行合同之必要,或者处理是因数据主体在签订合同前的请求而采取的必要措施”的,处理视为合法。有观点认为,我国法也应当将这种情形规定为合理使用的情形。[35]笔者认为,这种情形下,处理者也是在取得自然人的同意的基础上处理个人信息的,而非仅因缔结合同或履行合同本身就可以直接处理个人信息。因为,无论是合同的缔结过程中一方获取他方的个人信息,还是已成立合同的履行中双方使用对方的个人信息,本质上都是基于当事人意思自治而产生的或与之紧密相关的行为。缔约的意愿本身至少已经包含了同意相对方知晓自己的个人信息并在缔约目的范围内使用,履约就更不例外了。试想,如果自然人连个人信息都不愿意提供,遑论缔约和履约。而且,即便是缔约或履行取得对方关于处理个人信息之同意,显然也不能超越或违背缔约或履约这一目的范围。故此,我国《民法典》在合同编第二章“合同的订立”中规定:“当事人在订立合同过程中知悉的商业秘密或者其他应当保密的信息,无论合同是否成立,不得泄露或者不正当地使用。泄露、不正当地使用该商业秘密或者信息,造成对方损失的,应当承担赔偿责任”(第501条)。综上,笔者认为,我国《民法典》以及未来的《个人信息保护法》中,均无必要将这种情形作为合理使用的情形,否则不仅违反私法自治原则,也不利于保护自然人的个人信息权益。[36]
(责任编辑:许德风)