民法典视野下海关处理 行政相对人个人信息的基本规则

广州海关所属天河海关关员在驻市政务中心窗口为企业加急办理注册备案业务。图 / 龙江

个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合来识别特定自然人的各种信息，包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。信息的可识别性是区分个人信息与非个人信息的关键标准。凡是单独可以识别出特定自然人的信息或者与其他信息结合后能够识别出特定自然人的信息，都是个人信息；反之，则为非个人信息。《中华人民共和国民法典》（以下简称民法典）第一千零三十四条明确提出了不同于隐私权的个人信息概念，并规定“自然人的个人信息受法律保护”。民法典之所以在隐私权保护的基础上，进一步明确个人信息保护制度，是因为随着信息社会的到来和数字经济的发展，在强调保护具有秘密性且当事人本身不想让其公开的隐私基础上，人格信息在同属于人格权的前提下，其强大的财产属性日益增进，越来越多地被利用，因此，个人信息在权利属性、客体、内容和保护方式等方面都大大超过了隐私信息的范畴。民法典第四编人格权的第六章专门强化了对隐私权和个人信息保护，界定了个人信息的定义，明确了处理个人信息应遵循的原则和条件，构建自然人与信息处理者之间的基本权利义务框架，平衡保护个人信息与维护公共利益之间的关系，还规定了国家机关及其工作人员负有保护自然人的隐私和个人信息的义务。海关在行政执法工作中处理行政相对人的个人信息，包括个人信息的收集、存储、使用、加工、传输、提供、公开等，这些均应遵循民法典规定的个人信息保护规则。

海关处理个人信息应当遵循合法、正当、必要原则

民法典第一千零三十五条规定：“处理个人信息的，应当遵循合法、正当、必要原则。”这是我国个人信息收集、使用的基本原则。

“合法”

“合法”是指海关在收集、使用行政相对人个人信息时，应符合目前我国有关收集、使用个人信息涉及法律法规，必须公平并依法进行，不得以非法目的收集个人信息。这既包括了“目的合法”，也包括了“程序合法”，且还延伸到主体合法、依据合法、内容合法、形式合法、使用合法等从信息收集到信息利用的各个环节。

同时，民法典第一千零三十五条（四）规定了海关在处理行政相对人个人信息方面负有合法守约义务，即“不违反法律、行政法规的规定和双方的约定”。一方面，私法自治是私法领域的最基本原则，因此“双方约定”的契约精神是受到法律保护的，海关收集的行政相对人个人信息，如果是通过双方约定而获得的，信息主体在知情的情况下做出的“同意”意思表示，就成为海关收集和使用其个人信息的正当性基础，海关的行为也应遵循双方的约定；另一方面，当个体利益与其他更高阶的利益发生冲突时，就需要对个人自由加以适当的干预和限制，以寻求公共与个体之间的利益平衡，因此，个人“让渡”部分个人信息给政府，使得个人信息具备了公共管理的价值，也使得政府收集、处理个人信息具有一定程度的正当性。为实施社会管理和提供公共服务，自古以来政府都普遍采用收集和利用个人信息的做法。在数字社会中，借助于现代信息技术，政府可以更加充分地发掘个人信息的公共管理价值，通过对行政相对人个人信息的收集和分析，可以有针对性地对公共政策做出调整，改善社会管理，推进公共秩序、公共安全和公共福利。于是，海关在收集和处理行政相对人个人信息时，除了尊重行政相对人的知情同意原则，遵守约定义务情况外，还存在不需要用户授权同意，依据法律法规，即可获取个人信息的情形。也就是说，海关收集和处理行政相对人个人信息的合法性基础，一是行政相对人知情同意而授权；二是法律法规的授权。故海关在从事此活动时，应遵守合法守约义务。这也与海关“五关建设”中的“依法把关”精神相一致。

如前所述，民法典第一千零三十五条（四）中“不违反法律、行政法规的规定和双方的约定”的规定，在明确海关处理行政相对人个人信息方面负有合法守约义务的同时，也指出了海关收集和处理个人信息的两个“正当性”基础：信息主体的知情同意和“让渡”。

“正当”

“正当”是指任何个人信息都必须采用合法、公平的手段收集。正当既包括业务正当性，指个人信息的收集、使用应当是海关开展行政执法所需要的，不得超出业务范围开展信息收集活动，也包括目的正当性，不应当超过海关工作的实际需求。

“必要”

“必要”是指海关在行政执法中收集和处理行政相对人的有关信息时，应控制信息搜集范围以及信息传输范围，且在达到执法目的之后，必须要立刻停止信息搜集工作和信息传输工作。海关在从事行政执法活动时，要尽可能少用甚至不用个人信息，为达到目的只需要使用行政相对人的非敏感个人信息，就不应该扩大信息收集的范围和利用范围。

海关不仅在收集行政相对人个人信息时，要实行数据量最小必要信息规则，在处理信息时，例如数据处理量、存储时限、加工程度、使用范围等，也应实行最小必要性规则，不得过度处理。海关在进行个人信息处理时应采取克制态度，所收集数据的数量、存储时间、处理方式、使用范围等必须与海关执法工作的基本目的相适应。

海关处理个人信息的规则应予公开

民法典第一千零三十五条（二）规定了海关在处理行政相对人个人信息时应“公开处理信息的规则”，即处理信息的规则应当对信息主体公开透明，这是保障行政相对人知情权、自决权以及其他相关权利的前提和基础。这里应该包括：海关对个人信息加工处理的方式、信息使用范围、使用方式和使用期限、信息查询方式、信息知情范围和信息安全管理措施、个人信息转移和处置以及个人信息泄露的责任等规则。海关必须对个人信息的收集、保存、使用方式以明确、易懂、合理的方式公开，只有将这些信息全部向信息主体公开，一方面，信息主体才能对是否向海关提交自己的实名信息做出真实、自由的判断，充分行使自决权，以符合个人信息保护中个人知情可控原则；另一方面，接受包括个人信息主体在内的各方监督，以最大限度避免海关内部违规导致的个人信息受到威胁的情形出现。

海关处理个人信息的目的、方式和范围应予明示

民法典第一千零三十五条第2项规定了海关在处理行政相对人个人信息方面负有告知义务，即 “明示处理信息的目的、方式和范围”。这里包含两个要件：一是需以“明示”的形式做出，而意思表示的口头形式、书面形式和特别形式等均可视为明示；二是告知的内容包括处理信息的目的、方式和范围。

目的的告知是行政相对人作为信息主体对其个人信息进行控制的重要手段。目的的明确化是适用其他个人信息利用规则的前提，只有确定了目的，才能判断海关个人信息的收集是否符合最小必要信息规则，也才能判定海关是否超越了合法守约义务。海关收集和处理行政相对人个人信息需要有明确、清晰、具体的个人信息处理目的，收集的个人信息应是与行政执法行为有直接关联性的，只能最小化幅度进行信息收集，做到数量最少、频率最低、保存时间最短。本规则旨在减少个人信息的采集数量以及信息在海关手中停留保存的时间和处理范围，以更好保障个人信息安全。这里既包括了海关收集和处理个人信息需要目的明确，也包含了处理信息时的使用限制。目的明确是使用限制的逻辑前提，若不在收集阶段将目的予以特定和明确，则限制使用就无从谈起；更进一步也不允许海关在使用个人信息时随意变更目的，否则收集时确定的目的就会沦落为摆设。同时，民法典还进一步规定了处理信息的方式和范围也应明示。

海关对个人信息的安全保障义务

民法典第一千零三十八条明确规定：“信息处理者不得泄露或者篡改其收集、储存的个人信息；未经自然人同意，不得向他人非法提供其个人信息，但是经过加工无法识别特定个人且不能复原的除外。信息处理者应当采取技术措施和其他必要措施，确保其收集、存储的个人信息安全，防止信息泄露、篡改、丢失；发生或者可能发生个人信息泄露、篡改、丢失的，应当及时采取补救措施，按照规定告知自然人并向有关主管部门报告。”海关作为所采集个人信息的控制者，应采取充分且必要的技术措施和内部管理措施，确保个人信息收集、处理、流转、使用的质量及安全。海关应结合“金关”工程建设，根据“科技兴关”与“依法把关”的部署，建设更好更安全的信息储存系统，建立稳健、安全的个人信息存储系统，使其具有云服务器加密储存、信息匿名处理等技术。结合“从严治关”的理念，健全海关个人信息管理制度，需要明确具体的负责人和权限、调取使用数据的流程及范围等，并建立完备覆盖个人信息收集、储存、使用、泄露后救济的规章制度以应对个人信息事务的各项细节。 

海关对个人信息的保密义务

民法典第一千零三十九条特别规定了国家机关和其工作人员对个人信息的保密义务，即“国家机关、承担行政职能的法定机构及其工作人员对于履行职责过程中知悉的自然人的隐私和个人信息，应当予以保密，不得泄露或者向他人非法提供”。这里规定的海关及其工作人员对个人信息的保密义务，体现了民法中权责一致原则，为个人信息受侵害后，提供了合理的救济制度。海关如发生个人信息泄露、被窃取、滥用、篡改等事件，海关需要对信息主体承担相应的赔偿并做出补救措施，对涉及工作人员也应做出相应的处罚。

在大数据时代，单个自然人的个人信息本身并无甚价值，普通人恐怕无法真正地靠出售个人数据赚钱。卖一条个人信息连一分钱都不到。除非被收集并与其他来自相关社会经济类别的个人信息汇总且加以利用，否则普通个人信息并不值钱。真正具有巨大经济价值的是政府和数据企业所收集和存储的海量个人信息。所以保护海关行政相对人的个人信息的核心目的不在于实现个人信息的自我控制，而是保护信息主体享有的防止因个人信息被不正当使用而致使其隐私权、姓名权等人格权甚至人格尊严遭受侵害的利益。根据民法典第四编人格权的第六章专门对隐私权和个人信息保护的规定，一方面为了满足社会管理的需要，赋予海关行政执法中收集、处理、储存和利用必要个人信息的权力和能力；另一方面公权力的行使也需要约束，海关应当不过分利用技术手段和国家机器干预私人生活，对其行政相对人个人信息的收集、利用等方面的权力和能力加以规制和约束。

文 | 郭嵘

（广州海关）