敏感个人信息处理应遵循“三重约束条件”
来源:检察日报 更新时间:2023-06-30


□民法典将敏感个人信息处理的合法性基础置于统一性的个人信息处理模式下,个人信息保护法为敏感个人信息设置了专门的处理规则。对于非基于个人同意的敏感个人信息处理的合法性基础,需要在解释论的视角下,明确前述规则同样适用于敏感个人信息处理,但应根据敏感个人信息处理的具体场景进行严格解释与相应调适。

我国个人信息保护法规定,个人敏感信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。该法还在第二章第二节专门设置了敏感个人信息的处理规则。这些规定为处理敏感个人信息提供了直接法律依据。但是,面对该法第1条表明的“保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用”之立法目的以及比较法上基于公共利益等事由对个人信息权益呈克减的现象,笔者认为,尚需要在解释论的视角下对敏感个人信息处理的合法性基础予以进一步调适,从而平衡敏感个人信息保护与合理利用之间的关系。

民法典上的敏感个人信息处理的合法性基础

我国民法典第1035条设定了个人信息处理的“知情同意”原则,第1036条则设立了个人信息的合理使用制度,赋予个人信息处理者不经信息主体或监护人同意直接处理个人信息的行为以合法性基础,也即处理个人信息的免责事由。除此之外,民法典第999条还规定“为公共利益实施新闻报道、舆论监督等行为的,可以合理使用民事主体的个人信息”。由此,“知情同意”原则与合理使用制度共同形成了民法典上的个人信息处理的合法性基础。那么,上述规范能同时适用于敏感个人信息吗?答案是肯定的。民法典中关于个人信息的相关规定并未对个人信息的种类作出区分,敏感个人信息作为个人信息的重要组成部分,自然应该适用民法典上的个人信息处理合法性基础。值得注意的是,民法典对敏感个人信息处理的合法性基础作出的是统领性规定,随着个人信息保护法的出台,处理敏感个人信息还应遵循个人信息保护法的相关规定。

敏感个人信息处理的限制性原则

个人信息保护法第28条第2款设置了限制性原则,要求个人信息处理者处理敏感个人信息必须满足“特定的目的”“充分的必要性”以及“采取严格保护措施”三个限制性条件。按照体系解释,信息处理者在处理敏感个人信息时,必须同时遵循上述三个限制性条件,确保在促进信息的流通和利用、发展数字经济的同时,有效维护信息主体的人格尊严和人身财产安全。

所谓“特定的目的”,即为达成某项任务在必要的法定范围内处理敏感个人信息。这源于个人信息保护法第6条目的限制原则的要求,在“明确、合理的目的”要件之上增设了“特定的目的”这一限制。其主要涉及处理范围的问题,即在必要范围内,有多少敏感个人信息与执行任务有关,如果没有关联性就不必处理,绝不可以预设“将来可能有用”作为处理敏感个人信息的理由。而对于明确性的要求,实践中可以相对人的“可理解性”“可预见性”及“司法可审查性”作为判断标准,不得仅以“公益”或“为维持社会秩序”等抽象的不确定的法律概念之判断作为“特定的目的”。对于“充分的必要性”,“必要”系属不确定的法律概念,必须经过解释与涵摄的过程。这一原则也寓有比例原则的含义,基于此原则,信息处理者应秉持“少优于多”的原则,不可过度收集敏感个人信息,信息处理者可能会基于成本的考量,追求收集越多个人信息越好的目的,甚至利用机器自动化收集,但是,出于预防敏感个人信息发生泄露的风险,应当是越少越好。至于“采取严格保护措施”,在实践中,信息处理者是否在处理敏感个人信息时“采取严格保护措施”尚难以依据明确的规定予以判别。因此,对于信息处理者处理敏感个人信息时应采取哪些保护措施或是否采取了严格的保障措施,可以通过出台相关司法解释予以规定。

个人信息保护法上的敏感个人信息处理的合法性基础

一方面,基于个人同意的敏感个人信息处理的合法性基础,即敏感个人信息处理的同意规则,个人信息保护法第29条规定了处理敏感个人信息的单独同意规则,第31条设置了处理不满十四周岁未成年人个人信息的监护人同意规则。何为“单独同意”?有学者认为,应从三个方面予以理解:第一,单独同意规则禁止一揽子授权;第二,单独同意规则要求处理者负有明确告知义务;第三,单独同意规则应当贯彻拒绝提供服务的限制规则。个人信息保护法中专门设置两个法律条文将敏感个人信息处理的同意与第13条第1款第1项对个人信息处理的同意相区分开来,其规范目的在于强化信息主体及信息处理者对敏感个人信息处理的认知与控制,避免信息处理者利用格式合同架空同意规则,从而实现对敏感个人信息施以更严格的保护。单独同意规则与监护人同意规则都对信息处理者提出了更高的责任要求与义务承担。

另一方面,对于非基于个人同意的敏感个人信息处理的合法性基础,个人信息保护法并未直接规定除同意规则以外的敏感个人信息处理的合法性基础,若仅运用第二章第二节规定的“敏感个人信息的处理规则”来规范对敏感个人信息的处理,则难以有效契合个人信息保护法“促进个人信息合理利用”的立法目的,也不利于平衡民事权益保护和数字经济发展。具体来讲,追求公共利益的场景大多涉及敏感个人信息的处理。鉴于此,尽管我国法律没有明文确立敏感个人信息处理的除同意规则之外的合法性基础,但是可以使用体系解释的方法,将个人信息保护法第13条作为合法性基础一般规范,结合敏感个人信息在具体场景下的适用进行法教义学上的调适,从而构成我国非基于个人同意的敏感个人信息处理的合法性基础。

具体来讲,个人信息保护法第13条第1款第2项至第7项作为除同意规则之外对个人信息处理的一般要求,其中第2项至第4项条文中提及的“为……所必需”这一要求具有不确定性,有待此后的相关司法解释或指导性案例进行漏洞填补并加以细化。而对于敏感个人信息的处理,应该在前述对“为……所必需”予以明确的基础上,将“必需”进一步限定在“特定的目的”这一范围内,即只有当且仅当特定的、具体的、明确的目的存在时方可处理敏感个人信息,从而体现敏感个人信息的特殊性。而对于“充分的必要性”,其本身即是“必需”的应有之义,要求与处理敏感个人信息的目的直接相关,具有不可或缺性。除此之外,应该再辅以“采取严格的保护措施”来保护敏感个人信息主体的基本权利和利益。至于个人信息保护法第13条第5项、第6项中“在合理的范围内”这一限定表达,有学者指出“在合理的范围内”应该以不得“对个人权益有重大影响”为内在限制,以合法、正当、必要、诚实信用原则及目的特定、最小处理原则为外部统合。因此,对于非基于个人同意的敏感个人信息处理的合法性基础,其除了合法性基础本身的限制以外,还应遵循“特定的目的”“充分的必要性”以及“采取严格保护措施”三个限制条件,方可达到对敏感个人信息的保护水平。

我国民法典将敏感个人信息处理的合法性基础置于统一性的个人信息处理模式下,个人信息保护法第二章第二节“敏感个人信息的处理规则”为敏感个人信息设置了专门的处理规则,具体为单独同意规则与监护人同意规则,除此之外还应受到“特定的目的”“充分的必要性”以及“采取严格保护措施”之规定的三重约束。对于非基于个人同意的敏感个人信息处理的合法性基础,需要在解释论的视角下,明确个人信息保护法第13条第1款第2项至第7项同样适用于敏感个人信息的处理,但应根据敏感个人信息处理的具体场景进行严格解释与相应调适,而对于上述三重约束条件,尚需相关司法解释或指导性案例进行补充,以防止宽泛适用导致非基于个人同意的合法性基础遭到滥用。

(作者单位:西南政法大学)