第二章 個人信息處理規(guī)則

第一節(jié) 一般規(guī)定

重點解讀

本條明確了處理個人信息的合法性基礎。

作為《個人信息保護法》最核心、最重要的條文之一，本條擴張了處理個人信息的合法性基礎。從處理個人信息合法性基礎的演變看，《網(wǎng)絡安全法》第四十一條第一款明確了收集使用個人信息的合法性基礎為“被收集者同意”。自《網(wǎng)絡安全法》于2017年6月1日生效以來，同意成為收集使用個人信息的唯一合法性基礎。《民法典》第一千零三十五條第一款第一項沿用了“同意”作為合法性基礎，同時增加了“法律、行政法規(guī)另有規(guī)定的除外”的例外規(guī)定。《個人信息保護法》即屬于此處“另有規(guī)定”的法律，其與《民法典》第一千零三十五條第一款相銜接，并基于此增加了多項個人信息處理的合法性基礎。

從內(nèi)容看，本條第一款第一項到第五項的規(guī)定，與歐盟《通用數(shù)據(jù)保護條例》（GDPR）第6條第1款a-e項相類似，又存在一定區(qū)別。

第一項規(guī)定的情形為“同意”，結(jié)合《網(wǎng)絡安全法》實施以來的實踐情況，《個人信息保護法》就如何取得同意在本章中進行了進一步的細化，此處不再贅述。

第二項規(guī)定的情形為“為訂立、履行個人作為一方當事人的合同所必需，或者按照依法制定的勞動規(guī)章制度和依法簽訂的集體合同實施人力資源管理所必需”。

就“訂立、履行個人作為一方當事人的合同所必需”，系指如果一項個人信息處理行為系個人信息處理者作為一方當事人訂立或者履行合同時所必需的，則該等個人信息處理行為合法。換言之，若該等個人信息處理行為并非合同訂立時或履行過程中所期待會發(fā)生的，則無法適用本項作為合法性基礎。

“按照依法制定的勞動規(guī)章制度和依法簽訂的集體合同實施人力資源管理所必需”，旨在調(diào)整單位與員工的個人信息處理關系。實踐中，部分單位存在基于員工同意處理員工個人信息的情形。考慮到勞動關系中，員工對企業(yè)依附性較強，企業(yè)往往處于較為強勢的地位，在該等情形下，同意是否系員工自主作出，是否體現(xiàn)了員工的真實意思亦不易判斷。或是出于這樣的考量，《個人信息保護法》增加了“按照依法制定的勞動規(guī)章制度和依法簽訂的集體合同實施人力資源管理所必需”作為處理員工個人信息的合法性基礎。實踐中，若無法充分論證該等同意系員工自愿作出，或只能更多依據(jù)本項，在實施人力資源管理所必需的范疇內(nèi)處理員工個人信息。

第三項規(guī)定的情形為“為履行法定職責或者法定義務所必需”。在《網(wǎng)絡安全法》項下，同意是收集、使用個人信息的唯一合法性基礎，這意味著即使企業(yè)因法定職責或義務的要求而需要收集個人信息，仍需要取得個人同意。在該等情形下，若個人拒絕同意，可能產(chǎn)生不同法律關系下企業(yè)義務與個人同意之間的沖突，基于此，有必要明確個人信息處理者基于履行法定職責或者法定義務處理個人信息的合法性。根據(jù)本項規(guī)定，若個人信息處理者要以本項作為處理個人信息的合法性基礎，則意味著其個人信息處理行為需要有明確的法律依據(jù)作為支撐。例如，《反洗錢法》第三章專章規(guī)定了金融機構(gòu)的反洗錢義務，并在第三章第十六條第二款規(guī)定“金融機構(gòu)在與客戶建立業(yè)務關系或者為客戶提供規(guī)定金額以上的現(xiàn)金匯款、現(xiàn)鈔兌換、票據(jù)兌付等一次性金融服務時，應當要求客戶出示真實有效的身份證件或者其他身份證明文件，進行核對并登記”，在該等場景下，金融機構(gòu)收集客戶的身份證件信息屬于履行法定職責或者法定義務所必需的個人信息處理，具備合法性基礎。

第四項規(guī)定的情形為“為應對突發(fā)公共衛(wèi)生事件，或者緊急情況下為保護自然人的生命健康和財產(chǎn)安全所必需”。此項明確了在某些特殊情形下，公共利益、自然人的生命健康和財產(chǎn)安全優(yōu)先于自然人的個人信息權(quán)益。例如，在應對新冠肺炎疫情中，大數(shù)據(jù)應用為聯(lián)防聯(lián)控提供了有力支持，特別是在進行流行病學調(diào)查和查找密切接觸者方面。但在開展上述聯(lián)防聯(lián)控工作的過程中，往往需要收集、使用和分析大量的個人信息。該等個人信息的處理是基于應對突發(fā)公共衛(wèi)生事件、維護公共利益的角度出發(fā)，在此情形下，相較于自然人的個人信息權(quán)益，公共利益的保護應當優(yōu)先。同樣，在某些緊急情況下，可能需要為保護自然人的生命健康和財產(chǎn)安全處理自然人的個人信息，此時如再通過同意或其他方式獲取個人信息主體的同意，或難以實現(xiàn)在緊急情況下保護自然人生命健康和財產(chǎn)安全的需要。此項實質(zhì)上為個人信息處理者在特定情形下處理個人信息提供了依據(jù)。

第五項規(guī)定的情形為“為公共利益實施新聞報道、輿論監(jiān)督等行為，在合理的范圍內(nèi)處理個人信息”。本條明確了為實施新聞報道、輿論監(jiān)督等行為可以在合理范圍內(nèi)處理個人信息，但對于該等行為施加了“公共利益”目的作為限縮。例如，若為了報道某官員的貪腐行為，收集并通過新聞向社會公眾傳遞其貪腐行為相關的個人信息，一般來說可以適用本項。

第六項規(guī)定為“依照本法規(guī)定在合理的范圍內(nèi)處理個人自行公開或者其他已經(jīng)合法公開的個人信息”。對于已經(jīng)依法公開的個人信息，信息主體往往對于個人信息公開的情形已經(jīng)知悉，且其公開個人信息的行為亦意味著信息主體對于該等被公開的個人信息可能被收集、使用的情況有所預期。同時，在部分情形下個人信息處理者直接接觸個人信息主體可能存在一定的困難，允許其在合理范圍內(nèi)處理已公開的個人信息亦是為解決該等現(xiàn)實需求。

第七項進行了兜底規(guī)定，為“法律、行政法規(guī)規(guī)定的其他情形”留下了口子，保留了一定的條款彈性。

同時，本條第二款明確，依照“同意”之外的合法性基礎處理個人信息，無須取得個人同意，強調(diào)了七項合法性基礎之間是并列關系，亦有效避免了法律內(nèi)在的沖突。

實務要點

1.如何理解“訂立、履行合同所必需”

對于何謂“訂立、履行合同所必需”，筆者認為，主要需要從以下幾個方面綜合考量：

其一，此處的“必需”應當是客觀上的必需，而非個人信息處理者或信息主體所理解的必需。具體而言，可以參考《個人信息安全規(guī)范》第5.2條a項對個人信息處理是否必需進行判定，即該等個人信息處理行為是否與實現(xiàn)產(chǎn)品或服務的業(yè)務功能（合同的目的）有直接關聯(lián)。如果某項個人信息處理行為沒有實施，將導致合同無法訂立或履行的，則該項個人信息處理行為可以被認定為“訂立、履行個人作為一方當事人的合同所必需”。例如，電商平臺在為消費者提供商品配送服務時需要收集消費者的收貨地址以完成配送，如果不收集收貨地址，則無法提供配送服務。此時，消費者的收貨地址即是電商平臺為履行同消費者的服務合同所必需收集的個人信息。但如果不需要實施個人信息處理行為，或通過實施對個人信息主體的個人信息權(quán)益影響更小的個人信息處理行為亦可以實現(xiàn)合同目的，則原個人信息處理行為不宜被認定為“履行合同所必需”的個人信息處理行為。

其二，此處的“合同”，應理解為同產(chǎn)品和服務直接相關的合同，而非僅將個人信息處理行為作為合同目的的合同。例如，App用戶同App服務提供者之間的隱私政策不應被視為此處的“合同”。

其三，就處理期間來看，由于這一合法性基礎依賴于合同的訂立或履行，故當合同履行完畢之后，個人信息處理者不宜再基于“訂立、履行合同所必需”實施個人信息處理行為。

就具體可適用“為履行合同所必需”作為合法性基礎的個人信息范圍而言，《常見類型移動互聯(lián)網(wǎng)應用程序必要個人信息范圍規(guī)定》劃定了三十九種常用類型App收集個人信息的最小必要信息范圍，在一定程度上可以作為實踐中的判定參考。

2.如何理解這七項合法性基礎之間的界限

從《個人信息保護法》的立法體例來看，這七項合法性基礎是并列關系，即一項個人信息處理行為只要符合這七項中的一項，即為合法。

從實務角度如何綜合理解這幾項合法性基礎的界限呢？試以銀行貸款業(yè)務為例。例如，自然人去銀行辦理住房貸款業(yè)務，根據(jù)《反洗錢法》的規(guī)定，銀行需要收集自然人的身份證件，這屬于“為履行……法定義務所必需”而處理個人信息的情形；如果該自然人想及時了解每期還款后銀行賬戶的款項變動情況，則需要開通短信通知，銀行為了向該自然人提供短信通知的服務就需要收集該自然人的手機號碼，這就屬于“為訂立、履行……合同所必需”而處理個人信息的情形；在貸款審批過程中，為貸款風控之目的，銀行可能需要通過公開途徑檢索該自然人的涉訴情況，如果檢索到相應的涉訴判決書，銀行往往會下載留檔，此時即是在合理范圍內(nèi)處理已公開的個人信息的體現(xiàn)；而如果銀行想要使用自然人的個人身份信息、理財信息、貸款信息等進行分析，用于后續(xù)對該自然人進行個性化營銷，這不屬于本條規(guī)定的第二至七項，因此若銀行想要在該場景下處理該自然人的信息，就需要獲得該自然人的同意。

案例解析

*案情介紹

某會計師事務所基于同意處理了其員工的個人信息，希臘數(shù)據(jù)保護局根據(jù)歐盟《通用數(shù)據(jù)保護條例》（GDPR）向該會計師事務所處以15萬歐元的處罰，理由是：

（1）該會計師事務所使用了不恰當?shù)姆梢罁?jù)——“同意”，非法處理其員工的個人信息；

（2）該會計師事務所以不公平且不透明的方式處理其員工的個人信息，使員工錯誤地認為公司處理他們個人信息的法律依據(jù)是GDPR第6條第1款第a項，即數(shù)據(jù)主體已經(jīng)對基于一個或多個具體目的而處理其個人數(shù)據(jù)的行為表示同意，而這些信息實際是基于員工從未被告知的其他法律依據(jù)進行處理的；

（3）該會計師事務所負有證明其信息處理行為符合GDPR的義務，但其卻無法證明，而這違反GDPR規(guī)定的可問責性原則。

為此，執(zhí)法機構(gòu)要求該會計師事務所在3個月內(nèi)進行整改。

*法律解析

本案是GDPR項下首個涉及員工個人信息違規(guī)的處罰，或可作為“按照依法制定的勞動規(guī)章制度和依法簽訂的集體合同實施人力資源管理所必需”之參照。實踐中，若無法充分論證該等同意系員工自愿作出，或只能更多依據(jù)本項，在實施人力資源管理所必需的范疇內(nèi)處理員工個人信息。

對于用人單位而言，并不是所有場景下都可以將同意作為處理員工個人信息的合法性基礎。考慮到用人單位與員工之間并非絕對的平等主體關系，兩者之間可能存在一定的權(quán)利不平等，若用人單位無法證明該等同意是基于員工的自由意志，則應當審慎考慮是否以同意作為處理員工個人信息的合法性基礎。

關聯(lián)法條

《網(wǎng)絡安全法》第四十一條；《民法典》第一千零三十六條。