查看原文
其他

刘益欣|国家机关处理个人信息中告知同意规则的排除适用

刘益欣 上海市法学会 东方法学 2022-11-11

刘益欣

东南大学法学院硕士研究生

要目

一、个人信息权益限制的法律依据二、告知同意规则排除适用的理论基础三、告知同意规则排除适用的具体情形四、告知同意规则排除适用的限制结语


个人信息保护法第35条规定,国家机关处理个人信息采用的并非严格的、绝对的告知同意规则,但个人信息法律体系中鲜有作为排除适用告知同意规则合法性依据的法律、行政法规。从个人信息权益限制的法律依据入手,分析国家机关处理个人信息排除适用告知同意规则的正当性,厘定国家机关排除适用告知同意规则的范围,并通过目的限制原则、比例原则等原则的约束来规范国家机关排除适用告知同意规则的行为,充分保护信息主体的合法权益,促使个人信息在国家机关社会治理和公共管理中的发挥作用。

网络安全法第41条规定网络运营者收集、使用个人信息必须取得个人同意,首次明确我国个人信息处理的告知同意原则。但随着数字经济的发展,严格的告知同意规则的实施效果不尽如人意。《个人信息安全规范》试图改变这一局面,明确了12种同意的例外情形,但其作为推荐行国家标准,不具备强制执行力。民法典新增3项与“同意”相并列的个人信息处理合法性基础,也明确在“法律、行政法规另有规定”时可无须征得信息主体的同意,使告知同意成为个人信息处理合法的充分但非必要条件。

个人信息保护法在以告知同意规则为支点的处理个人信息的一般规则上,通过第13条规定了5项与同意相并列的合法性基础,在符合其他任一条件时,处理个人信息无须获得信息主体同意。但个人信息保护法第35条又规定,国家机关处理个人信息应当依照本法规定向个人告知并取得其同意,应保密或为履行法定职责处理个人信息时除外。因此,个人信息保护法第13条和第15条的规定如何协调值得讨论,即国家机关为履行法定职责处理个人信息时,是应依13条的规定满足包含告知同意在内的多项合法性基础之一即可,还是依据第35条规定,通常必须取得个人的同意?从体系解释的角度看,国家机关处理个人信息时应当遵循个人信息保护法第二章第三节国家机关处理个人信息特别规定中告知同意的要求。在个人信息保护法第33条规定,该节规定为特殊规定,国家机关处理个人信息的活动适用本法;本节有特别规定的,适用本节规定,即国家机关处理个人信息通常应依据第35条取得信息主体同意,符合但书规定时可排除告知同意规则的适用。

个人信息保护法第35条规定,国家机关处理个人信息适用告知同意规则的例外情形规定有两项,分别是“法律、行政法规规定应当保密”以及“告知、取得同意将妨碍国家机关履行法定职责”,该两项例外的规定存在明显的缺陷。一方面,现有法律、行政法规规定鲜有规定国家机关处理个人信息应当保密的相应法条,使该条的规定难以应用到实践中;另一方面,“告知、取得同意将妨碍国家机关履行法定职责”中“履行法定职责”的内涵过于广泛,未给予相应的限制,若仅依法律授权或部门授权即可使国家机关处理个人信息排除适用告知同意的行为获得合法性,将可能导致国家机关借由此规定架空国家机关处理个人信息领域的告知同意规则,严重侵害私人主体对自身个人信息享有的权益。

基于以上思考,本文旨在解决以下问题,国家机关处理个人信息排除告知同意规则的理论基础何在?是否所有的国家机关履行法定职责时的处理的个人信息都可排除“告知”规则和“同意”规则的其一或全部?在排除适用告知同意规则时,可通过何种方式来防止因国家机关与私人主体地位的不平等性带来的对个人信息权益的过度侵害?

一、个人信息权益限制的法律依据

我国现有法律规范从四个层面为限缩和削减个人信息权益提供了法律上的依据。宪法和民法典总则编为个人信息权益在特定情形下的权利限制提供了指导性规定,个人信息专门立法在个人信息领域作出了更细致的规定,分散的法律、行政法规和其他规范针对将个人信息权益限制进行了具体场景的规定。

第一,宪法第51条提供了个人信息权益削减和限缩的宪法上的依据。宪法第51条规定公民在行使自由和权利的时候,不得损害国家的、社会的、集体的利益和其他公民的合法的自由和权利。虽然信息主体对个人信息享有知情权、同意权、删除权等一系列控制权来保障自身个人信息权益的实现,但其实现的前提是不损害国家利益、社会利益、他人利益。当国家机关使用个人信息的目的是为实现上述利益,经利益衡量后认为对个人信息权益进行限制具有正当性时,可要求信息主体让渡相应个人信息权益。

第二,民法典总则编第6条至第8条、第131条、第132条规定民事主体行使权利时的限制。民事主体行使权利应遵守公平原则、诚信原则、公序良俗原则,不得滥用民事权利损害国家利益、社会公共利益或者他人合法权益。即信息主体在维护自身个人信息权益时,应综合考虑行使权利对国家利益、社会公共利益或者他人合法权益产生的外部影响。如若信息主体坚决反对个人信息被国家机关在特定情形下不经同意的采集和处理,可能导致国家机关履职效率的降低、社会福祉不能实现等损害全社会利益情形时,其权利的行使方式被认为具有不合理性。此外,民法典人格权编第1035条规定,处理个人信息的,应当遵循合法、正当、必要原则,并符合一定的条件,在条件部分采用了不同于以往严格告知同意规则的模式,将征得自然人或监护人同意规定为处理个人信息的合法性基础之一,并但书规定法律、行政法规另有规定时无须征得信息主体的同意。

第三,个人信息保护的专门立法兼顾个人信息流通和保护的平衡,赋予信息主体控制权的同时也提供了权益限缩的法律依据。在法律层面,个人信息保护法第13条规定了处理个人信息合法性基础,既包含个人同意,又新增了为履行法定职责或义务所必需、为应对突发公共卫生事件等与同意并列存在的合法性基础,个人信息保护法第35条明确规定国家机关为履行法定职责处理个人信息时无须信息主体同意。在国家标准层面,《个人信息安全规范》5.4采用列举的方式专门规定了使用个人信息无须征得个人信息主体同意的十二项规定,如与国家安全、国防安全直接相关。

第四,法律、行政法规、其他规范也可作为国家机关处理个人信息征得信息主体同意例外性的依据。这些法律规范多集中于与涉及公民自身利益、社会利益的与公民生活信息相关的领域,如在公共卫生领域,传染病防治法第12条规定了一般公民具有如实提供疾控调查信息的义务;在社会福利领域,《社会救助暂行办法》第13条规定,最低生活保障家庭的人口状况、收入状况、财产状况发生变化的,应当及时告知乡镇人民政府、街道办事处。在此类情况下,国家机关将个人信息用于行政服务和行政管理等目的,信息主体提供个人信息被规定为法律上的义务,没有同国家机关协商的权利。

虽然这些自上而下的法律规范为国家机关使用个人信息排除适用告知同意规则提供了一定法律条文上的依据,但仍然存在明显的瑕疵。一方面,宪法第51条和民法典总则编的规定仅具有指导性的作用,无法为实践中国家机关排除适用告知同意规则的适用情景提供具体的法条依据。宪法第51条只能被看作时具有宣誓意义的规定,不能对具体的基本权利构成法律效力的制约。民法典总则编对不得滥用民事权利的规定也仅是原则性的规定,仅能依个案判断,无法为国家机关排除适用告知同意规则的情形。另一方面,民法典第1035条和个人信息保护法第13条、第35条虽然较前两条规定较为细化,但书规定“法律、行政法规另有规定”可作为告知同意规则的例外,但现有法律、行政法规却鲜少为此规定。现有的可适用的法律规范存在着数目少、覆盖领域不完善等瑕疵,难以为国家机关处理个人信息排除使用告知同意规则的范围划定较为清晰的界限。《个人信息安全规范》5.4虽规定了仅需告知信息主体使用目的而无需征得同意的若干较为具体的情形,却因其作为国家强制性规范不具有法律强制力,且作为国家推荐性标准无权设定法律的例外条件。

总的来说,我国现有立法难以为国家机关处理个人信息排除适用告知同意规则划定清晰的边界,不利于多元化合法性基础的落实与个人信息权益的保护。前述法律法规和国家标准无论在效力层级,或是适用范围上均存在冲突和不一致,无法为民法典分则编和个人信息保护法第35条中告知同意规则的排除适用规定相呼应。

二、告知同意规则排除适用的理论基础

民法典在总则编和人格权编均围绕信息主体对个人信息享有的权益展开,但未使用“个人信息权”或“信息自决权”的概念。不同于隐私权、姓名权、肖像权等具体人格权利等性质上的支配权、对世权和绝对权,民法典并未确认自然人对其个人信息享有排他的、绝对的支配与控制。事实上,各国和地区的法律均未赋予信息主体对个人信息的绝对控制权,而是综合衡量保护自然人人格尊严与个人信息利用的利益和价值,依据各自立法的价值取向对个人信息享有的利益进行一定削减与限缩,给予个人信息权益不同程度的保护。例如,欧盟《通用数据保护条例》(GDPR)规定六项个人数据原则并赋予数据主体八项权利,对个人数据权利进行多方面、多层次保护;而美国更注重市场自由,采用分散立法和行业自律相结合的立法模式,在个人信息保护与利用中倾向于促进信息的流通。

个人信息具有社会属性,信息主体并非绝对独立的个体,不能脱离所生存的社会环境而存在,其产生的个人信息本质上也是社会的信息,折射出社会的形象。一方面,个人信息除私人人格权益和财产权益外,还涉及国家利益、社会利益和第三人利益等利益。具体到国家机关处理个人信息中,政府机构作为社会管理和社会福利的承担者,包含个人信息在内各种信息的充分供给成为政府进行公共安全、公共管理和公共福利的基础资源,详细、准确地掌握与其管理对象、职权范围相关的个人信息有利于行政管理的有效实施,促进公共行政效率与治理能力的提升,为社会整体带来利益,承认国家机关收集处理个人信息的正当性有利于实现个人信息的社会价值。反之,数字时代的信息闭塞会极大地影响行政决策的准确性、正确性和效率性,过度追求个人利益将会减损社会利益。此外,因社会资源具有有限性,个人利益与公共利益往往不能理想化地被完全实现,当公共利益与信息主体的人格尊严或自由发生冲突时,基于依据正当程序原则、利益补偿原则及法律明文规定,可对信息主体对其个人信息享有的权利和自由加以限缩,通过信息主体让渡部分或全部的权利以保障公共利益的实现。

另一方面,个人信息上承载着多元价值,如正义、秩序、自由等价值。各种价值均不可被过分夸大,若将个人利益置于群体利益之上,将不利于社会的发展。在告知同意规则的使用当中,若一味要求国家机关遵循该规则,可能导致个人信息上所涉社会价值严重失衡。具体而言,一是大数据时代个人信息使用目的具有不可预测性,国家机关使用的个人信息具有种类繁杂和数量大的特点,出于维护社会秩序和公共利益等目的,政府可能对原来收集的信息进行增值使用,在履职过程中反反复复获得信息主体的同意,将增加不必要的时间和金钱成本,违背对效率价值的追求。二是严格的告知同意规则困难导致国家机关执法困难。在国家机关执法中,存在法律的秩序价值与自由价值的冲突,严格遵循告知同意规则有利于维护信息主体的自由,但不利于保障公民在有序秩序下享受权利,对个人信息的过度强调可能会造成信息的不流通,继而打破社会的有序性。比如,若要求执法机构获取个人信息严格遵循告知同意规则,将会给违法者时间与机会藏匿或删除执法所需信息,破坏执法所需要的信息与证据,与秩序、正义价值相悖。三是国家机关具有个人信息使用者和管理者的双重身份,不同于私人领域信息使用者不经同意往往不能使用个人信息,国家机关与信息主体处于不平等地位,在特定情形下,为实现更值得保护的价值,国家机关对个人信息的获得与使用不因信息主体的拒绝而无效,在国家机关使用个人信息时,同意可能仅是一种形式同意,而并不具有实质效力。

综上,信息主体对个人信息享有的个人信息权并非绝对性的支配权利,且个人信息具有社会属性,承载多元化利益,在国家机关履职过程中和个人信息权益的行使中,应依据价值位阶原则、利益兼顾原则等原则解决价值冲突、平衡多方利益,国家机关在法定条件下依法干涉与限缩信息主体的个人信息权益具有正当性。

三、告知同意规则排除适用的具体情形

个人信息保护法第35条规定:“国家机关为履行法定职责或法律、行政法规规定应当保密”的规定应配合具体的法律、行政法规规定进行适用,不能作为利益衡量时绝对的、永恒的优先于个人信息权益的法律依据,无法当然地正当化所有国家机关排除适用告知同意规则的行为。需综合权衡履职行为所涉利益与个人信息权益等相互对立的利益,为国家机关排除适用告知同意规则的情形尽可能划出一条明显的界限,设定具体化的框定和说明,提供较为客观且相对稳定的标准。唯有排除适用的情形本身是足够清晰和特定的,才能保障国家机关排除适用告知同意的行为能被约束和监督,防止国家机关借由此例外规定滥用权力、不当地排除告知同意规则,侵害信息主体合法权益。

对告知规则的排除适用

告知与同意是相互关联的,基于信息主体同意这一合法性基础处理的个人信息时当然是建立在告知的前提下,但基于来源除同意外的其他合法性基础处理个人信息的行为是否也一定需要告知呢?部分学者认为,知情同意规则的例外仅为同意规则的例外,虽然个人信息处理者在特殊情形下无须征得信息主体的同意,但仍然需要受告知规则的约束,须向个人信息主体告知收集和使用个人信息的具体情形。因为告知规则的保留在于保障个人信息收集和使用行为的透明性,一旦将告知规则一并排除适用,在算法黑箱的庇护下免受同意的行为可能会不受监督和约束地悄悄演变为非法行为,对告知规则的保留有利于事先防范个人安全活动。

在国家权力的运行中,知情权既有公法权力的属性,比如在行政处罚、强制、许可等行政行为中,法律都规定行政机关应告知行政相对人行为的内容、理由以及受到影响的权利等事项;知情权也有民事权利的属性,具体体现于个人信息权益保护领域,信息主体有权清楚自己的个人信息在什么时间、被何种信息处理者以何种方式使用。多数知情权设置的目的是保障信息处理的透明度和公民对被侵害权利的及时救济,若免除国家机关处理个人信息时的告知义务,可能会使信息主体不知个人信息权益受损,或虽知道受损但不知具体的侵权内容,导致信息主体难以及时寻求救济。但国家机关履职中确有告知不充分、不宜告知或难以告知的情形存在,比如出于安放目的在公共场所进行图像采集、个人身份识别,由于监督对象数量众多和不特定性,对被监督对象的告知被简化为现场的提示标识。

从个人信息保护法的规定来看,也并未采用严格的无例外的告知规则。个人信息保护法第18条规定了一般告知义务,并未区分是基于同意还是其他几项并列合法性处理基础,从体系解释来看,个人信息保护法第18条认为无论基于何种合法性基础处理个人信息都需获得信息主体同意。但个人信息保护法第19条又规定了免于告知的三种例外情形,包含两项无须告知和一项事后告知的情形,前者是法律、行政法规规定应当保密或不需要告知,后者是为紧急情况下为保护自然人的生命健康和财产安全无法及向个人告知的。而个人信息保护法第35条规定“取得告知、同意将阻碍……”可以“无需告知并取得同意”,未清晰地界定该例外是仅指同意规则的例外,还是二者均可例外。依据文义解释和体系解释,个人信息保护法采取的并非绝对的告知规则,即国家机关处理个人信息在特定情形之下可以免除告知。从比较法来看,域外国家与地区采用的也并非严格的告知规则,GDPR第13条和第14条在个人信息处理者的透明处理原则要求之下,规定了免除告知义务的情形,第13条规定个人已经了解告知内容时告知义务可以免除,第14条第5款在第13条规定的情形外,增加了三种无需告知的情形,分别是告知是不可能、需付出不相称的工作、会严重妨碍处理目标,依据法律已对数据主体的正当利益制定了恰当的措施,以及个人数据必须保密。

对于国家机关处理个人信息告知规则的例外情形,个人信息保护法的规定较为粗糙,有赖于相应的法律、行政法规为具体情形提供合法性基础,而配套的法律、行政法规却较少,且排除告知规则将阻碍信息主体的知情权和救济渠道,应审慎对待国家机关处理个人信息排除适用告知规则的情形。在未来的立法上,应对排除告知规则的场景、程序、救济等具体内容进行细化。

对同意规则的排除适用

“为履行法定职责”的目的并不必然导致告知同意规则的排除适用,因履行法定职责无须获得信息主体同意的原因在于履职行为同样承担着国家利益、社会利益和第三人利益等可能优先于信息主体个人利益的利益。衡量个人信息上承载的多种价值与多方主体的利益,结合国家机关对个人信息的利用和保护需求,本文拟将国家机关处理个人信息排除同意规则的情形具体化为以下类型。

1.国家利益

对于国家利益,域内外不同派系的学者对国家利益的概念有不同的认知,但大都包含领土完整、国家独立、基本制度的存续、救济的发展等。依据最一般、最抽象的意义来说,国家利益是一个国家政治体制需要的满足,是一切能够满足或能够满足国家生存发展等方面需要并且对国家具有好处的事物,包含了政治、经济、文化、军事、金融等安全利益。国家利益具有优先性、特殊性和持久性的特点,在个人信息权益与国家利益存在冲突时,具有高于人格利益的价值位序,依据价值位阶理论,信息主体享有的个人信息权益当然地让步于国家利益。《个人信息安全规范》5.4在无须征得信息主体同意的规定中,也已将“与国家安全、国防安全直接相关”通过列举式方式规定在无须征得信息主体同意的第一项。

2.社会利益

社会利益是在国家利益和个人利益之外的一种独特的利益形式,在不同的社会和不同的历史时期,具有不同的内容,有学者认为不做特别的区分考虑,社会利益和社会公共利益、社会整体利益同义。依据功利主义价值观,个人的牺牲如果能增加社会总量,换取长远的更大的利益,那么这种牺牲则是正当且必要,是值得赞美的。信息主体享有的权利越多,社会资源就会相应的减少,不利于创造更多的社会财富。社会利益也是一个抽象的相对的概念,不应作为国家机关处理个人信息排除适用告知同意规则的直接依据,应尽可能地将社会利益具体化到特定情形中进行理解。结合现有的分散立法和对个人信息的保护需求,可在以下几种情形认定排除同意规则具有合法性。

第一,在公共卫生领域。公共卫生有别于一般的个人医疗服务,关系到国家人民大众健康的公共事业。大量准确、真实的个人信息采集和分析是国家公平、高效、合理地配置公共卫生资源,制定公共卫生事件防控政策的基础。不少国家和地区对突发公共卫生事件均采用公共利益优先原则,有限地突破个人信息保护屏障。我国突发公共卫生事件应急条例、传染病防治法中对突发公共卫生事件中个人信息的使用进行了规范,即为疫情防控需求,有关机关可依法强制收集身份证号码、住址、行踪轨迹等个人信息。新冠肺炎疫情期间,大量个人信息的收集和使用是建构动态疫情地图和制定疫情防控政策的数据支撑,在每日甚至每时更新的疫情实况下,若要求取得信息主体的同意,显然不利于疫情防控工作的开展,有损法律的效率、秩序价值。在此情形下,遵循“效率优先、兼顾公平”而在一定程度上压制自由,免去征得信息主体同意这一环节,能维护社会稳定性状态。

第二,在公共安全领域。区别于国家利益所包含国家安全,公共安全侧重于社会的安全与秩序,包括对公民衣食住行在内的日常生活秩序和安全的维护,为社会和公民个人提供正常生活所需的稳定的外部环境和秩序。公共安全的维护需要政府机构直接介入公民私人生活才能够实现,这种介入以个人信息的收集和利用为最经常的表现形式。公共安全涉及涉及自由、秩序价值,为了维护社会的稳定、有序,信息主体有必要让渡和牺牲部分私人权益。如出于交通流量控制或公共治安维护目的,在街道和路口安装图像采集与识别装备,实时监控过往车辆和行人,难以避免地会采集到人脸信息,并一定程度上涉及行踪轨迹,而人群的高速流动性使征得每个信息主体的同意变得难以实现,严格的告知同意规则将导致国家机关难以实施流量管控或安全防护等维护社会秩序的行为。此外,在刑事司法领域,公安机关、检察机关、监察机关等国家有权机关处理与犯罪侦查、起诉、审判和判决执行等行为直接相关的个人信息时也无须征得同意。司法领域的个人信息使用具有预防和打击犯罪的功能,履行告知同意规则可能留给犯罪嫌疑人信息与证据的时间,与秩序、正义价值相悖。目前立法已有相关规定,如刑事诉讼法第150条规定,公安机关在立案后,为侦破特定犯罪行为的需要,经过严格的批准手续,可以采取技术侦查措施,其中技术侦查措施包括了对个人信息的收集等行为。

第三,在重大公共利益领域。出于重大公共利益排除适用告知同意规则的涉及的领域更宽泛,可能覆盖至交通、教育、社保等与公民日常生活信息相关的各领域。公共利益是一定社会条件下或特定范围内不特定多数主体利益相一致的方面,可能因覆盖不特定主体的规模、具体利益的种类而对社会的影响力度有所区别,作为排除适用依据的公共利益需要达到一定程度,足够被称作重大公共利益。比如在社会保障领域,社会保障是一种资格,是一种公共资源的利用,申请者需提交家庭的经济收入、来源、关系等个人信息,行政机关审核后决定是否发放社保,此时提交个人信息作为社保的启动条件,申请者实质上不得不同意对相关个人信息的处理,出于监督和防止福利欺诈目的,可以容忍因该目的牺牲个人享有的部分信息权益。在交通领域,为查明交通事故或出于疫情追溯的要求,可能会将涉及人脸和行踪轨迹等个人信息的监控信息调取适用或与其他部门进行共享,但因显著涉及生命与人身安全利益,可在法定程序下排除适用告知同意规则。总而言之,涉及重大公共利益时,国家机关需要以个人数据、现状为基础,进行社会资源公正、合理的分配,在社会利益之间取得平衡,使社会资源达到帕累托最优状态。

3.私人利益

私人利益并不当然具有限缩个人信息权益的优先性,以私人利益为由排除适用告知同意规则应在个案中综合衡量各方利益。《个人信息安全规范》5.4已经规定出于维护个人信息主体或其他个人的生命、财产等重大合法权益但又很难得到本人同意的,可以无需征得信息主体的同意。该项规定较为抽象,对重大合法权益的认定需结合具体情形进行判断。争议性较小的是生命权、健康权,作为公民其他一切权利的基础,其法律保护价值高于个人信息法益价值,但需明确的是,并非所有个人信息权益在面对生命权、健康权时均应做出让步,也需综合考量限缩个人信息权益的必要性,若征得信息主体的同意也不会对他人利益及效益、自由等价值造成损害,则需遵循一般的告知同意规则,即应在符合“又很难得到本人同意的”或其他不适合获得信息主体同意的情形时,才能排除告知同意规则的适用。总的来说,因私人主体间具有平等性,出于第三人利益类私人利益对信息主体权益进行限缩和削减时,应在更严格的情形下进行。

四、告知同意规则排除适用的限制

告知同意规则是对信息主体享有的个人信息控制权益的重要保障,一旦允许国家机关在特定情形下排除使用告知同意规则,便有可能出现国家机关权利的扩张而侵蚀个人信息权益。目前,已有法律在排除适用告知同意规则的同时对信息主体权益提供保护,如传染病防治法第12条规定,疾病预防控制机构、医疗机构不得泄露涉及个人隐私的有关信息、资料;身份证法第5条规定制作机关应对知悉的个人信息进行保密。但这些规定过于简单,尚不足以为国家机关处理个人信息排除告知同意规则提供明确的边界。在厘定国家机关处理个人信息排除告知同意规通过除适用的具体情形基础上,仍应重视法律保留原则、目的明确原则和目的限制原则、比例原则、正当程序原则和权责一致原则的运用,对排除告知同意规则的行为加以限制,避免国家机关借由“权利限制”,而彻底排除和掏空信息主体享有的知情权、同意权等信息控制权益。

对告知同意排除的法律保留

我国个人信息保护立法在国家机关处理个人信息使用告知同意规则的例外规定上存有规范层级低和数量少的特点,应从两方面进行改善。一方面,在法律、行政法规层级完善相关立法,以满足民法典第1035条和个人信息保护法第35条的但书部分均将可限缩信息主体知情权、同意权的法律规范层级限定在“法律、行政法规”层级的要求。在实践中,一是合理安排立法进程,避免地方人大和政府通过地方性法规或规章对无须告知同意的情形先行立法;二是依据个人信息保护需求,将较低层级中对排除告知同意规则的规定上升至法律、行政法规的规定,如《个人信息安全规范》5.4中的例外规定、突发事件应对法、传染病防治法通过规章授权有关部门采取应急处置措施的规定,避免通过规章、国家推荐性标准做出法律的例外,损害法律的权威性。另一方面,法律、行政法规的规定应具有明确性,授权国家机关限缩个人信息权益的法律规范应当符合“授权明确性”的要求,避免采用如《国家突发公共卫生事件应急预案》中授权全国突发公共卫生事件应及指挥部处理突发公共卫生事件的规定,缺乏对授权目的、事项、范围和程序的明确规定,可能导致公权力的不当扩张而侵犯私人权益。

目的明确和目的限制的不排除

目的明确原则和目的限制原则作为个人信息保护原则,依据全国人大常委会委员《关于加强网络信息包保护的决定》第2条,各个人信息保护原则间互为补充制衡的关系。在以上国家机关处理个人信息不适用告知同意规则的特定情形下,也应严格遵循目的明确原则和目的限制原则。具体而言,目的明确原则是国家机关排除适用告知同意规则处理个人信息的逻辑前提,明确的、事先的目的规定有利于将整个个人信息生命周期中的处理行为约束在一定范围内。应依照个人信息保护法第18条规定,处理个人信息前应当以显著方式、清晰易懂的语言尽可能清晰地告知个人信息的处理目的,避免使用“出于保障社会公益的目的”“出于公共安全目的”这类笼统目的,而应结合具体的排除适用告知同意规则的场景,使处理个人信息目的尽可能精确化,且收集种类与目的应具有匹配性。同时,应明确所处理的个人信息种类、保存期限,禁止为未来不特定的目的而提前采集个人信息。

另一方面,在目的限制原则上,我国未将其作为独立的个人信息基本原则,但个人信息保护法第22条对处理个人信息不得超出约定的处理目的、处理方式等处理个人信息的规定部分体现了目的限制原则的内涵。目的限制原则的核心在于个人信息的处理行为不得与事先告知的目的相违背,国家机关处理个人信息排除同意规则采集的个人信息在处理过程中应遵循已经明确告知的目的进行个人信息的处理,不得将采集的信息作法定目的外使用。在超出原目的与其他国家机关进行其他目的的个人信息使用、共享时,应当重新依据个人信息保护法第35条的依据获得信息主体的同意。

对比例原则的延用

因国家利益、社会利益或他人利益对个人权利的克减必须遵守限度、合乎比例,否则就会造成对个人信息权益的彻底否定和排除。比例原则包含妥当性原则、必要性原则和狭义比例原则。就必要性原则而言,要求在能达成法律目的诸多方式中,应选择对信息主体权益侵害最小的方式。依据个人信息保护法第13条规定,处理个人信息的合法性基础具有多样性,告知同意规则作为个人信息制度的核心架构,若采用这一合法性基础能满足国家机关履职目的的实现,且不会对效率、秩序等价值产生不当减损,也不会造成国家利益、社会利益和第三人利益不当侵害,则应优先适用告知同意规则这一对信息主体权利自由伤害最轻的方式,而避免采用排除适用告知同意而对信息主体知情权、同意权造成不必要的限缩与削减。

在比例原则中,最为重要的是狭义比例原则,在个人信息保护法领域被具体化为最少够用原则。比例原则和最少够用原则要求,除与个人信息主体另有约定外,只处理满足个人信息主体授权同意的目的所需的最少个人信息类型和数量。个人信息保护法中也有相应规定,如第20条规定个人信息的保存期限应当为实现处理目的所必要的最短时间。具体而言,国家机关无须征得信息主体处理其个人信息时,这部分个人信息应满足数量最少、频率最低与保存时间最短的要求。在收集范围上,应限定在本文第三章拟排除适用告知同意规则的范围内,此外的情形易引发国家机关借由告知同意规则的排除对个人信息进行的广泛采集和深度分析,使告知同意原则形同虚设。对于个人信息处理种类,区分一般个人信息和敏感信息、普通群体的个人信息和特殊群体的个人信息,如为达到目的只需要使用权利人的学历水平、社会经历等一般个人信息,就不应该将信息收集和使用的范围扩大到身份证号、指纹等敏感信息上。对于个人信息的采集数量,应与所达目的合乎比例,对所需个人信息的数量只需要满足国家机关履行该法定职责所必需的最低标准即可,而不得在超出必要限度的范围内进行非必要信息或无关信息的收集和处理。在个人信息的存储时间上,依据个人信息的使用目的,做出区分化规定,在达到目的后及时进行不可逆转的删除或规定明确的存储时间。

排除适用的正当程序要求和权责一致性保障

正当程序原则和权责一致原则可从程序上约束国家机关处理个人信息排除适用告知同意规则的行为。正当程序原则体现于个人信息保护法第34条,其规定国家机关为履行法定职责处理个人信息,应当依照法律、行政法规规定的权限、程序进行,不得超出履行法定职责所必需的范围和限度。在国家机关处理使用个人信息中,信息主体的处于较弱势的地位,易出现信息不对称的情况,在排除告知规则时,应为信息主体提供便利、可行的救济渠道。在排除同意规则时,国家机关处理个人信息也应遵循合法、正当、必要原则,在收集个人信息前,通过合理有效的方式履行清晰、明确的告知规则,使信息主体了解个人信息的适用规则、目的和范围,充分保障知情权的实现;在适用目的达到后,依法对收集、使用信息的过程进行书面和电子材料的留存,并依法在一定时间内存储或删除个人信息。

权责一致原则要求明确何种国家机关在出于何种目的时可不经同意使用哪些种类的个人信息,仅法律、行政法规规定的国家机关在特定目的下有权排除适用告知同意规则的适用。未经告知同意采集的个人信息在不同国家机关间共享时,因使用主体或及目的的变化需重新征得信息主体同意,避免因适用机关的变化导致多个机关间进行责任推诿,侵害信息主体及时获得救济的权利,确保有明确的国家机关能对个人信息处理活动中产生的权益侵害承担责任。

结语

个人信息保护法第35条的但书规定表明国家机关处理个人信息采用的并非严格的知情同意规则,但现有法律、行政法规未能对国家机关处理个人信息排除适用告知同意规则的情形提供充分的法律依据。本文将国家机关处理个人信息排除适用告知同意规则的情形具体化,并通过原则的适用对排除行为加以限制,避免国家机借由告知同意规则的排除,而彻底掏空信息主体享有的个人信息权益。尽管提出了排除适用告知同意规则的具体情形,但还需要进行进一步深入研究如下问题:一是结合司法案件,从实践需求入手深入探讨排除适用告知同意规则的更细化的情形;二是将视野拓展至原则外,构建更完善的国家机关处理个人信息排除适用告知同意的规则制度。

往期精彩回顾

刘涛|检察工作服务海南自贸港建设研究

张书凝|海上无人系统法律地位的认定

郭钺|反垄断法之法益的再检讨——以《平台经济领域的反垄指南》第17条为线索

康琳|APP用户个人信息安全问题研究——以6款相机类APP为研究对象

陈淇华|个人信息权与隐私权的关系——论个人信息包含说的科学性

刘旭峰|数据搜索与个人信息:规范表达与法律保护



上海市法学会官网

http://www.sls.org.cn


您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存