个人信息不可任意处理
6 个人信息不可任意处理
对个人信息的处理包括了对个人信息的收集、存储、使用、加工、传输、提供、公开、删除等行为,非法处理可能对信息主体的个人信息权益造成负面影响。因此,个人信息处理者不能任意处理个人信息,必须在法律规定的框架内进行。根据《个人信息保护法》的规定,个人信息处理者只能在下列情形中才可以处理个人信息:取得个人的同意;为订立、履行个人作为一方当事人的合同或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;为履行法定职责或者法定义务所必需;为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;依照本法规定在合理的范围内处理已公开的个人信息;法律、行政法规规定的其他情形。
一、取得个人的同意
同意是个人信息处理者进行个人信息处理活动所适用的最广泛的合法性基础,个人信息处理者通过向个人信息主体取得同意,进而建立起信息主体的信任感和参与感。同意对于个人信息主体来说应该是自由的,信息主体可以选择和控制信息处理者处理个人信息的方式。同意也应该是明确的,必须简洁易懂、易于理解,不受其他条款和条件的影响,且适用选择加入而非选择退出的模式。此外,它没有固定的时限要求,要结合具体情况和处理者的目的和处理活动进行判断。
二、为订立或者履行个人作为一方当事人的合同或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需
为订立或者履行个人作为一方当事人的合同所必需包括两种情形:第一种情形是履行个人作为一方当事人的合同所必需,比如小顾在淘宝上购买了一件衣服希望邮寄到家并用支付宝付款,为了完成这个买卖合同,淘宝必须要获取小顾的地址信息和支付信息。第二种情形是为订立个人作为一方当事人的合同所必需。例如,小林打算给自己买一份医疗保险,在经过一番搜索后,她关注到了某保险公司推出的一款“人人平安”百万医疗险。为了测算自己的保费,她需要提供性别、出生年月、疾病史等相关个人信息。在这个场景中,小林并没有与保险公司订立保险合同,但是保险公司为了响应小林测算保费来决定是否购买保险的需求,需要收集小林的个人信息。
在第一种情形下,需要注意的是,仅仅把“必需”二字写入与信息主体的合同中是不够的,而要从个人信息处理者的处理目的出发进行考量。处理者首先要明确在具体合同中处理个人信息的目的,并且必须明确清晰地告知信息主体,这也是处理者遵循公开透明原则的要求。在明确处理目的后,就要综合事实情况和目前的技术状况进行评估,考虑有没有其他收集更少个人信息达到同样目的的方式。如果有,则说明并不符合法律的必需性要求,只是能够达到目的并非合理的理由,具体的处理方式必须是能够达到处理目的中对个人信息主体干扰最小的一种。反过来说,个人信息处理者应该能够证明如果个人信息主体没有提供所需的信息,处理者就无法履行与之订立的合同。在评估过程中,我们可以考虑一些问题,例如提供给信息主体的服务的性质是什么,有什么特点?订立的合同中的关键要素有哪些?合同双方对于所订立的合同的共同期待是怎样的?任意一个普通的信息主体在接受这种服务时,是否能够合理地预期并认可这种处理活动是必要的?例如,如果小顾在淘宝上购买了衣服后选择了“门店自提”,在这种情况下,获取小顾的地址信息则不再满足“必需”的要求。(https://www.daowen.com)
在第二种情形下,为了促成合同的订立,在订立合同前预先处理信息主体的个人信息应是必需的。在这个阶段,最终双方是否订立合同还不确定,但只要是个人信息主体主动发起请求而处理活动是满足个人信息主体的请求必需即可;个人信息处理者自发地进行的市场营销或是其他第三方的请求都不适用于本情形。
此外,个人信息处理者还可为实施人力资源管理,按照依法制定的劳动规章制度和依法签订的集体合同进行个人信息的处理。这项合法性基础主要存在于雇主处理员工个人信息的场景之下,使得雇主处理员工信息在获得员工同意、为履行和订立劳动合同之外多了一项理由,即在合法有效的劳动规章和集体合同下为实施人力资源管理可以在未取得员工同意、劳动合同等已签订的合同未约定的情况下处理员工的个人信息。需要注意的是,“人力资源管理所必需”本身具有不确定性,是否为实施人力资源管理所必需应当结合具体情况具体分析。
三、为履行法定职责或者法定义务所必需
个人信息处理者在履行法定职责或承担法定义务时,也可以处理个人信息。法定职责和法定义务来源于法律、行政法规、部门规章、地方性法规等多种法律渊源,这种法定职责和法定义务并不需要明确到具体的处理活动,只要达到负有法定职责和法定义务的个人信息处理者能够预见到的程度即可。
此项合法性基础适用的场景繁多,例如根据《民事诉讼法》的相关规定,人民法院有权向有关单位和个人调查取证,有关单位和个人不得拒绝。因此,当法院经律师申请向某银行发出调查令寻找被执行人的财产线索时,该银行有义务进行配合。再如根据《反洗钱法》和《金融机构反洗钱和反恐怖融资监督管理办法》等规定,金融机构具有反洗钱的义务,需要建立客户身份识别制度,在办理的单笔交易或者在规定期限内的累计交易超过规定金额或者发现可疑交易的,应当及时向反洗钱信息中心报告。
四、为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需
当突发公共卫生事件时,为了保护人民的生命健康,个人信息处理者可以处理个人信息。例如,在新冠疫情期间,小黄在上海的大学读书,学期结束小黄乘坐高铁返回山东老家。刚到家,他就接到了来自当地公安局的电话,询问他的出发地、行程安排、身体状况信息,并督促他尽快到指定地点接受核酸检测。再比如,小红在开车过程中不幸发生车祸,在路过的群众报警和拨打120后被急救车紧急送往了医院。小红在急救车到达之前已经丧失了意识,无法主动向医生提供自己的个人信息、过敏史、相关病史等关键信息。在这种紧急情况下,医生可以未经小红同意,获取她的个人信息以更顺利地实施抢救。
五、为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息
该情形与《民法典》第999条相对接:“为公共利益实施新闻报道、舆论监督等行为的,可以合理使用民事主体的姓名、名称、肖像、个人信息等;使用不合理侵害民事主体人格权的,应当依法承担民事责任。”值得注意的是,“合理范围”具有不确定性,需要结合具体案情,对个人信息的利用方式,对个人信息主体的权益所造成的影响,以及主要报道内容等因素综合考量。
六、依照《个人信息保护法》规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息
个人信息处理者可以在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息。这一规定与《民法典》关于处理个人信息免责情形的条款相衔接:第1036条规定:处理个人信息,有下列情形之一的,行为人不承担民事责任……(二)合理处理该自然人自行公开的或者其他已经合法公开的信息,但是该自然人明确拒绝或者处理该信息侵害其重大利益的除外……可见,《民法典》在一定程度上承认处理合法公开信息的合理性。此外,根据《个人信息保护法》第27条,个人可以明确拒绝处理者对个人自行公开或者其他已经合法公开的个人信息。若个人信息处理者处理已公开的个人信息对个人权益有重大影响的,应依照本法规定取得个人同意。但需要注意的是,该条款具有很大的不确定性,因为对“合理范围”的理解没有统一的标准,需要结合具体利用场景、利用方式,考量是否存在违反法律规定的情形。
有一种理解认为,个人信息被公开时的预期是判断是否在合理范围内处理个人信息的关键,例如某公司从企查查上获取了个人信息进行电话推销,显然违背了公开时信息主体的预期,超出了合理范围。此外,实践中产生很大争议的一种场景是商业网站转载公示在中国裁判文书网上的裁判文书,许多裁判文书的当事人认为商业网站的转载行为侵犯了自己的个人信息权益而提起诉讼,请求法院判令商业网站删除转载的裁判文书。对于这个问题,法院认为在收集手段合法、利用方式正当的情况下,商业网站最初的转载并公开的行为是合法的。而在当事人提出异议之后,法院则需要在保护自然人个人信息权益和技术提升、经营模式创新、大数据产业发展所带来的社会效益上作出权衡。对此,有法院认为,个人信息主体对已公开个人信息的再次传播的控制的人格权益高于已经合法公开的个人信息流通所产生的潜在财产权益,个人信息主体对自己个人信息传播控制的权利不能因已合法公开而被当然剥夺。有法院认为,这是审判公开的延伸体现和对司法数据的再利用,至于当事人认为的自己的社会评价降低则属于社会信用方面的利益,应通过完善个人诚信制度和相关配套制度进行修复。可见,对于这个问题,目前司法实践还没有形成统一的认识,必须结合具体案情进行判断分析。
七、法律、行政法规规定的其他情形
这说明处理个人信息的合法性基础在《个人信息保护法》中并不是穷尽式列举,而是具有开放性。当社会实践情况发生变化时,可以由其他法律和行政法规另行规定。