【中文摘要】我国个人信息保护法对国家机关处理个人信息作出了特别规定,但未明文解释其适用对象或澄清处理的合法性基础。个人信息保护领域的国家机关应采广义,除了通常的国家机关,还包括法律、法规授权提供公共服务的组织和规章授权组织。根据我国个人信息保护法第13条和民法典第1036条,国家机关处理个人信息具有多元的合法性基础:法定基础包括履行法定职责所必需,订立、履行合同或人事管理所必需,为应急所必需,合理处理已自愿或合法公开的个人信息,法律、行政法规规定的其他情形;意定基础指取得个人同意;酌定基础指为维护公共利益或者信息主体合法权益而合理处理个人信息。不同的合法性基础对应不同的告知同意规则,需准确理解适用。
【全文】
01.问题的提出
2021年11月1日生效的《中华人民共和国个人信息保护法》(以下简称“《个人信息保护法》”)第二章第三节对国家机关处理个人信息作出了特别规定。但令人遗憾的是,有关个人信息保护的研究绝大部分都围绕非国家机关处理者展开,针对国家机关的讨论凤毛麟角。这既不符合国家机关作为个人信息处理者的重要地位,也无益于落实《个人信息保护法》的相关要求。本文对国家机关处理个人信息的合法性基础进行研究和探讨。
所谓个人信息处理的合法性基础(lawful basis for processing),是指“处理关于个人的信息所依据的正当的法律理由”。在个人信息保护法上,这是一个最为基础的问题,因为“个人信息的处理活动,从客观上来说,就是对自然人的个人信息权益的侵入或影响,如果没有合法的根据或者合法的理由(legal justification for data processing),那么,该处理活动就是侵害个人信息权益的不法行为”。因此,我国现行法从正反两方面对处理个人信息必须具备的合法性基础作出明确规定。正面规定的典型如《民法典》第111条第2句要求“任何组织或者个人需要获取他人个人信息的,应当依法取得”以及《民法典》第1035条和《个人信息保护法》第5条均规定“处理个人信息应当遵循合法原则”;反面规定的典型如《网络安全法》第44条明确“任何个人和组织不得窃取或者以其他非法方式获取个人信息”以及《个人信息保护法》第5条第2句规定“不得通过误导、欺诈、胁迫等方式处理个人信息”。同时,《民法典》第1036条和《个人信息保护法》第13条对一般情形下个人信息处理的合法性基础作了细化规定。在既有的个人信息保护法研究中,也有大量文献对此进行分析,其中尤以关于“同意”(consent)的讨论居多。然而,综观《个人信息保护法》第二章第三节的五个条文,并无一条专门、系统地表述国家机关处理个人信息的合法性基础:第33条确立国家机关处理个人信息活动的准据法,第34条提出国家机关为履行法定职责处理个人信息的行为准则,第35条规定国家机关为履行法定职责处理个人信息的告知义务及其例外,第36条明确国家机关的个人信息本地化要求及跨境流动制度,第37条将法律、法规授权的具有管理公共事务职能的组织纳入该节适用对象的范围。事实上,除第36条外,其他四个条文均涉及国家机关处理个人信息的合法性基础。本文分四步对此展开详述:首先,明确个人信息保护法上国家机关处理个人信息特别规定的适用对象。其次,辨析有关国家机关个人信息处理合法性基础的三种理解,包括“一元说”、“叠加说”和“多元说”,论证“多元说”才最为恰切。第三,在“多元说”之下,逐项阐释每一种国家机关处理个人信息的合法性基础及其适用场景与具体要求。第四,在前述讨论的基础上,说明国家机关处理个人信息的告知同意规则。
02.国家机关处理个人信息特别规定的适用对象
在《个人信息保护法》出台前,关于我国个人信息保护法律制度究竟应采何种模式,学界曾有“统一立法”和“分别立法”之争。前者指不区分私主体和公权主体,所有个人信息处理者统一适用一部个人信息保护立法,典型的如欧盟《通用数据保护条例》(以下简称“GDPR”);后者指区分私主体和公权主体、对其分别立法,典型的如日本制定了个人信息保护法、行政机关保有个人信息保护法和独立行政法人保有的个人信息保护法。我国最终选择了“统一立法”模式,即私人和公权个人信息处理者适用同一部个人信息保护法,但考虑到两种处理者之间确实存在差异,故在《个人信息保护法》第二章第三节对公权处理者作出特别规定。根据《个人信息保护法》第33、37条,这些特别规定既适用于“国家机关”,也适用于“法律、法规授权的具有管理公共事务职能的组织”等“准国家机关”。在个人信息保护语境下,两者具有相同法律性质,需遵守相同法律规则。下文分析二者的含义,以确定本文所讨论的合法性基础的适用范围。
在《个人信息保护法》出台前,三部由专家学者起草的个人信息保护法建议稿,都在“统一立法”模式下以专门章节对公权个人信息处理者作出特别规定,但对何为公权处理者有不同界定。齐爱民稿使用的概念是“国家机关”,但未给出具体定义,也未明文将法律、法规授权组织列为适用对象。周汉华稿第二章规定“政府机关的个人信息处理”,“政府机关”指“行政机关与法律、法规授权行使行政管理职能或提供公共服务的其他组织”。张新宝稿第五章采用“政务部门”一词,即“政府部门及法律法规授权具有行政职能的事业单位和社会组织”,但同时也规定“权力机关、审判机关、检察机关、军事机关等其他国家机关涉及公民个人信息处理事项的,除法律、行政法规另有规定外,应遵守本法”。
比较《个人信息保护法》与上述三部专家建议稿,可以发现:尽管齐爱民稿使用了与《个人信息保护法》相同的术语,但从内容来讲,张新宝稿与《个人信息保护法》最为接近,选择了最广义的公权个人信息处理者概念。这是因为在中国法上,“国家机关”是“国家为实现其政治统治职能和管理职能而设立的国家机构的总称”,包括立法、行政、军事、监察、审判、检察机关,也包括党的各级机关、人民政协、民主党派机关。由此,《个人信息保护法》中规定的“国家机关+准国家机关”与张新宝稿“政务部门+非政务部门”的范围基本一致。与此不同,周汉华稿第二章将适用对象限于行政主体,即行政机关与法律法规授权行使行政管理职能或提供公共服务的组织,排除立法、军事、监察、审判机关以及党的机关等非行政主体。这主要缘于救济机制的制约,因为只有行政主体才是行政诉讼或行政复议的适格被告或被申请人。将非行政主体的国家机关纳入适用范围,无法适用周汉华稿确立的行政法律救济机制,“进而会影响整部法律的实施效果”。但这一考虑未被立法者采纳,其原因可能有二:其一,《个人信息保护法》自始未将针对国家机关处理个人信息活动的救济机制限于行政诉讼或复议,而是规定了包括上级机关或履行个人信息保护职责的部门责令改正和对负责人员给予处分的行政责任,此种救济机制对非行政主体也完全适用。其二,即使《个人信息保护法》明文确立了行政诉讼或复议的救济机制,也不影响通过其他途径对非行政主体的国家机关违法处理个人信息寻求救济——不同类型的国家机关,完全可以在同一部《个人信息保护法》下,遵守相同处理规则,承担相同合规义务,但适用不同救济机制。因此,《个人信息保护法》第二章第三节的适用对象包括“国家机关”和“准国家机关”,最大程度囊括了各类公权力主体。从全球范围看,这一规定也是相当全面的。例如1974年美国《隐私法案》(Privacy Act)仅适用于特定的联邦行政机构(federal agencies),不适用于州和州以下的公权部门。又如GDPR第2条第3款规定欧盟机构(EU Institutions)豁免适用,第2条第2款(d)项规定“有权机关以预防、调查、侦查或起诉刑事犯罪,或执行刑事处罚为目的,包括保障并预防公共安全受到威胁”而进行的数据处理活动豁免适用。据此,GDPR不适用于警察、国安、公诉、监狱等执法部门(law enforcement authorities)为上述目的进行的个人信息处理。相较而言,我国个人信息保护法涵盖的公权处理者范围是最广的。尽管如此,放在我国现行法体系下考察,《个人信息保护法》规定的公权机关范围仍有两点值得补充之处。
一是法律、法规授权的提供公共服务的组织。周汉华稿对此有所涉及,《个人信息保护法》第37条并无明文规定。但此类组织同样应适用国家机关个人信息保护规则,理由是:在我国法上,在信息治理领域,管理公共事务和提供公共服务往往如影随形。如2008年生效的《中华人民共和国政府信息公开条例》第37条规定:“公共企事业单位在提供社会公共服务过程中制作、获取的信息的公开,参照本条例执行”。这将提供公共服务的组织所处理的信息视为政府信息。又如《福建省政务数据管理办法》第2条规定:“本办法所称政务数据是指国家机关、事业单位、社会团体或者其他依法经授权、受委托的具有公共管理职能的组织和公共服务企业(以下统称数据生产应用单位)在履行职责过程中采集和获取的或者通过特许经营、购买服务等方式开展信息化建设和应用所产生的数据。”这些规定将与提供公共服务有关的信息视同政务数据。再如《贵州省政务服务条例》第2条规定:“其他负有政务服务职责的机构,包括法律、法规授权具有管理公共事务职能的组织和利用公共资源提供公共服务的企事业单位。”这更是直接把提供公共服务的组织界定为政务服务组织。之所以有上述规定,是因为公共管理本质上也是一种公共服务,而公共服务也必然涉及对某个领域资源分配的管理。以高等院校为例,根据《中华人民共和国高等教育法》第18条,高等学校和其他高等教育机构负责实施高等教育,这既包括该法第31条授权的“开展教学、科学研究和社会服务”等公共服务职能,也包括该法第19、20条授权的招生录取、颁发证书等公共管理职能。此外,《国务院关于在线政务服务的若干规定》第4条明确“政务服务事项包括行政权力事项和公共服务事项”。因此,虽然《个人信息保护法》第37条字面上仅提及管理公共事务的授权组织,法律、法规授权提供公共服务的组织应当而且可以被纳入《个人信息保护法》第二章第三节的适用范围。
二是规章授权管理公共事务职能或提供公共服务的组织。现实中,此类组织不在少数。例如车辆管理所由《机动车登记规定》、《机动车驾驶证申领和使用规定》两部规章授权行使车辆管理的公共职能,其在履职过程中无疑会处理大量个人信息,理应承担与国家机关相同的个人信息保护义务。事实上,我国2014年修订的行政诉讼法第2条已将规章授权组织列为适格被告,意味着公民对于此类组织的违法处理个人信息行为可通过行政诉讼来救济。不得不说,遗漏此类规章授权组织,是《个人信息保护法》第37条的立法疏失,有待未来的司法解释或法律修订时加以弥补。
03.国家机关处理个人信息合法性基础的三种理解及辨正
既有研究对国家机关处理个人信息的合法性基础有三种不同理解,分别为“一元说”、“叠加说”和“多元说”。
“一元说”认为《个人信息保护法》第34条“国家机关为履行法定职责处理个人信息,应当依照法律、行政法规规定的权限、程序进行,不得超出履行法定职责所必需的范围和限度”就是对国家机关处理个人信息合法性基础的特别规定。根据《个人信息保护法》第33条“本节有特别规定的,适用本节规定”,履行法定职责就是国家机关处理个人信息唯一的合法性基础。此理解也出现在多部个人信息保护法专家建议稿中,如周汉华稿第11条要求“政府机关只能在其法定职权范围内,为履行其职责收集个人信息”;齐爱民稿第9条规定国家机关只能在职权范围内收集个人信息,除非有信息主体的书面同意。比较法上,美国1974年《隐私法案》也以履行法定职责作为联邦机构处理公民个人信息的唯一合法性基础。但基于以下四点理由,我国个人信息保护法上,“一元说”难以成立:第一,从历史解释的角度看,个人信息保护法草案一、二审稿第35条曾规定“国家机关为履行法定职责处理个人信息,应当依照本法规定向个人告知并取得其同意”,将“依法履职+告知同意”作为国家机关处理个人信息的合法性基础。这表明在起草过程中立法者并未将履行法定职责当作唯一的合法性根据。第二,从文义解释的角度看,《个人信息保护法》第34条仅仅是规定如果国家机关选择以履行法定职责作为处理个人信息的合法性基础,那就一定要严守法定职责的边界,而不是说只能以履行法定职责作为合法性基础。第三,从体系解释的角度看,《民法典》第1036条允许“在信息主体同意的范围内处理个人信息”、“合理处理已经公开的个人信息”、“为维护公共利益或信息主体合法权益合理处理个人信息”。作为个人信息处理者的国家机关可以而且应当适用《民法典》规定的这些合法性基础。同时,《个人信息保护法》第13条规定了依法履职之外的六项个人信息处理合法性基础,鉴于《个人信息保护法》第33条第1款规定“国家机关处理个人信息的活动,适用本法”,故国家机关处理个人信息亦可适用《个人信息保护法》第13条。第四,从比较法的角度看,GDPR第6条、我国台湾地区“个人资料保护法”第15—16条均规定了公权部门处理个人信息的多元合法性基础。因此,不应把履行法定职责当作我国国家机关处理个人信息的唯一合法性依据。
不同于“一元说”,“叠加说”认为依法履职不是国家机关处理个人信息的唯一合法性基础,但属于必要前提,即其他合法性基础必须叠加建立在依法履职之上。张新宝稿第52条规定:“政务部门处理个人信息应当在法定职权范围内,具有特定目的,并符合下列情形之一:(一)行使法定职权;(二)经信息主体同意;(三)为保护信息主体或第三人的重大人身、财产利益所必要,但依其情形,难以获得信息主体的同意;(四)为了国家利益、社会公共利益的需要,依照法律规定权限和程序处理个人信息;(五)法律、行政法规规定的其他情形。”这是将依法履职作为国家机关处理个人信息之前提性的合法性基础,其理由是“政务部门进行个人信息处理,以履行法定职责为必要,特定政务部门进行个人信息处理,应当具有法律的明确授权”,“政务部门在其法定职权范围内、为履行法定职责的基本前提条件下,还需要进一步符合具体的个人信息处理活动的正当性依据”。前已言及,《个人信息保护法》草案一、二审稿第35条也有类似规定,要求国家机关处理个人信息同时具备依法履职和取得同意两种合法性基础。然而,基于以下四点理由,这种“依法履职+其他合法性依据”的理解并不成立:第一,将依法履职和取得同意叠加作为国家机关处理个人信息的合法性基础,看似是要求更高的“双保险”,但事实上会架空信息主体撤回同意的权利。正如欧盟第29条工作组在《对第2016/679号条例下同意的解释指南》中所指出的,“数据控制者不能从同意转换到其他合法性基础。例如在同意有效性遇到问题的情况下,不允许回溯性地利用正当利益基础来证明处理的合理性。对外表明数据处理将依据同意进行,而实际上依据着其他法律基础,这对数据主体是极为不公平的。”在依法履职的前提下“锦上添花”地适用个人同意,会导致即便信息主体撤回同意,国家机关依旧可以依据法定职责处理个人信息,反而使同意沦为“空中楼阁”。同理,将依法履职与订立、履行合同所必需叠加适用也会面临类似问题,致使信息主体无法以解除合同来终止个人信息处理。第二,将依法履职和公共利益需要叠加作为国家机关处理个人信息的合法性基础,难免自相矛盾。前引张新宝稿第52条第四项允许国家机关“为了国家利益、社会公共利益的需要,依照法律规定权限和程序处理个人信息”,这看似与该条第一句规定的国家机关“处理个人信息应当在法定职权范围内”重复,但只不过是语言表述造成的误解,因为究其本意,第四项是指“在国家或社会出现危机事件或状态之时,出于恢复社会秩序等考量,应当允许政务部门基于国家利益、公共利益需要进行个人信息处理,此时不可刻板限定政务部门具有具体的法定授权,而应当以其法定职权相关为限”。换言之,在应急状态下,为了公共利益所需,国家机关可以超越法定职权处理个人信息。这无疑与履行法定职责相矛盾,两者不可同时适用。第三,将履行法定职责与为保护信息主体或第三人的重大人身、财产利益所必要,为实施新闻报道、舆论监督合理处理个人信息,合理处理公开的个人信息等其他合法性基础叠加适用,要么重复,要么矛盾。这是因为若其他处理活动本就是国家机关的法定职责,则无需额外适用;若不是,则不能同时适用。第四,叠加适用会不必要地提高国家机关处理个人信息的难度,特别是阻碍本就无须取得个人同意的公务活动的有效进行。难以想象公安机关依法发布通缉令,需要取得犯罪嫌疑人同意方可进行。因此,不应采用“依法履职+其他合法性依据”的“叠加说”。
“多元说”认为国家机关处理个人信息具有多元合法性基础,依法履职只是众多基础之一,各项基础之间互不重叠,不同情境下国家机关可择一适用不同的合法性基础。就比较法经验而言,GDPR第6条第1款规定了六项合法性基础,均适用于公权机关(public authority)。我国台湾地区“个人资料保护法”第15、16条规定除了执行法定职务外,公务机关收集或处理个人资料还可基于以下合法性依据:“当事人同意”、“对当事人权益无侵害”、“法律明文规定”、“为维护国家安全或增进公共利益所必要”、“为免除当事人之生命、身体、自由或财产上之危险”、“为防止他人权益之重大危害”、“基于公共利益为统计或学术研究而有必要,且资料经过提供者处理后或经收集者依其揭露方式无从识别特定之当事人”、“有利于当事人权益”。尽管未在一个法律条文中系统表述,但我国同样承认国家机关处理个人信息的多元合法性基础。如前所述,国家机关可依据《民法典》第1036条和《个人信息保护法》第13条获得个人信息处理的合法性根据。由此可初步推论在我国法上,国家机关处理个人信息的合法性基础包括:(1)取得个人的同意;(2)为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;(3)为履行法定职责所必需;(4)为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;(5)为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;(6)在合理范围内处理已经自愿或合法公开的个人信息;(7)法律、行政法规规定的其他情形;(8)为维护公共利益或者信息主体的合法权益合理实施的个人信息处理行为。在此理解下,《个人信息保护法》第34条既未限定国家机关处理个人信息只能基于履行法定职责,也不要求以此为前提再叠加其他合法性基础。这无疑为国家机关处理个人信息提供了更加丰富的合法性依据,同时也避免叠加适用多项合法性基础带来的问题。以下逐项解读这八项合法性基础,以确认其是否适用于国家机关并揭示其适用场景和具体要求。
04.国家机关处理个人信息的多元合法性基础
(一)为履行法定职责所必需
此项合法性基础适用于国家机关殆无疑义,但有三个具体问题有待澄清。
第一,什么是“法定职责”?张新宝教授认为“特定政务部门进行个人信息处理,应当具有法律的明确授权”。龙卫球教授也主张“国家机关处理个人信息,必须具有法律、行政法规的明确授权”。但遍览中国法,除极少数例外,绝大部分法规范并未正面、专门、明确授权国家机关处理个人信息。这是否意味着依法履职这项合法性基础会在实践中落空?答案是否定的,因为《个人信息保护法》第13条所言的“法定职责”并不是指必须由法律明确授权国家机关从事特定的个人信息处理活动。GDPR第6条第1款第e项规定的个人信息处理合法性基础是“为执行公共利益任务或行使数据控制者享有的公务职权所必要”,该条第3款明确这种“公共利益任务”(task carried out in the public interest)和“数据控制者享有的公务职权”(official authority vested in the controller)应当是“欧盟法律或管辖数据控制者的成员国法律所规定的”(laid down by Union law or Member State law to which the controller is subject),并进一步说明上述法律“可以包括具体条文来配合GDPR的实施,例如可以规定数据控制者处理活动合法性的基本条件、被处理的数据类型、相关数据主体、个人数据可能被披露的对象及披露目的、目的限制、存储期限以及处理操作和处理程序”等。这意味着授予个人信息处理者公务职权的法律本身并不必须包含个人信息处理的具体授权。根据英国信息专员办公室(Information Commissioner’s Office)对此条的解释,作为个人信息处理合法性基础的法定职责并不必须是专门关于处理活动的法定职责,而可以是一切依法获得的授权。因此,只要国家机关是在按照法定的权限和程序履行法定职责,而特定的个人信息处理活动又是履职所必需的,就可以合法处理,无需法律对处理活动本身特别授权。
第二,“法定职责”中的“法”有多大范围?如前所述,张新宝教授仅提及法律。龙卫球教授则认为限于法律、行政法规。从《个人信息保护法》第34条的表述来看,仿佛也指向法律和行政法规,因为该条规定“国家机关为履行法定职责处理个人信息,应当依照法律、行政法规规定的权限、程序进行”。若某项职责不是法律、行政法规授权的,且法律、行政法规没有规定相应的权限、程序,则似不属于第34条所指的法定职责。与此相反,程啸教授主张“法定职责中的‘法’是广义的法,既包括全国人大及其常委会颁布的法律,也包括行政法规、地方性法规、部门规章和地方政府规章等规范性法律文件”。基于如下五点理由,法定职责中的“法”应采广义解释。第一,《个人信息保护法》第37条将“法律、法规授权的具有管理公共事务职能的组织”视同国家机关,意味着法定职责不限于法律或行政法规授权,至少还包括地方性法规授权。第二,现实中,规章甚至规章以下规范性文件对国家机关的授权极为常见,若预先排除,将严重阻碍正常的公务。例如《中华人民共和国行政许可法》第15条规定,“尚未制定法律、行政法规和地方性法规的,因行政管理的需要,确需立即实施行政许可的,省、自治区、直辖市人民政府规章可以设定临时性的行政许可”。不难想见,行政机关在实施规章授权设定的行政许可过程中,若不能依据法定职责获取行政许可申请者的信息,会给行政管理造成极大的障碍,也使《个人信息保护法》第1条规定的“促进个人信息合理利用”之目的落空。第三,对法定职责之“法”作广义解释,使之含括规章及规章以下的规范性文件,并不必然架空法定职责之约束,因为即便下位规范违背上位法授权,也可通过行政复议或行政诉讼的附带审查来确认国家机关越权处理个人信息。第四,比较法上,根据GDPR鉴于条款(recital)第41条,授予公务职权的法律依据不必须是议会立法,只要这种法律依据是清晰、精确和可预见的。第五,《个人信息保护法》第34条中“应当依照法律、行政法规规定的权限、程序进行”之表述,不应被理解为把“法定”的范围限于法律、行政法规,而是在强调履行法定职责不能沦为处理个人信息的空泛借口,而应是真实的依法履职。因此,《个人信息保护法》第13条第1款第3项和第34条中的“法定职责”应理解为公开、有效、不违反上位法的任何法规范授予国家机关的职责。
第三,什么是“所必需”?比较法上,GDPR对此有清楚的界定,其第5条第1款C项规定个人信息处理应当“限于处理目的所必需的程度”,即所谓“数据最小化”(data minimisation)原则。GDPR鉴于条款第39条进一步明确该原则要求“确保个人数据储存限于最短期限,为确保个人数据储存时间不会超过必要限度,数据控制者应当设立定期删除或审查机制”,同时要求“个人数据仅在处理目的无法被其他手段合理实现时才可被处理”。关于如何判断储存时间和处理手段之必要性,欧盟法上采用比例原则。我国个人信息保护法也有类似规定,其第5条明确处理个人信息应当遵循必要原则,第6条要求“处理个人信息应当与处理目的直接相关,采取对个人权益影响最小的方式”,且“应当限于实现处理目的的最小范围”。我国《信息安全技术个人信息安全规范》第5条第2款也明确规定收集个人信息的最小必要要求,即收集的个人信息的类型应与实现产品或服务的业务功能有直接关联,直接关联是指没有该等信息的参与,产品或服务的功能即无法实现。据此,在我国法上判断国家机关处理个人信息是否“为履行法定职责所必需”同样应采用比例原则,具体分析可按如下三步渐次推进。
第一,适当性分析,即考察处理个人信息是否与履行法定职责直接相关,是否有助于法定职责的落实。比如为了履行疫情防控的法定职责,各地疾控机构有权收集公民姓名、身份证号、联系电话、健康情况、地理位置及行踪等个人信息,因为这些信息与疫情防控直接相关。但一些地方还收集既往病历、作息时间等与疫情防控并无直接关联的个人信息,属于违法过度收集。
第二,必要性分析,即考察法定职责是否可以通过特定个人信息处理活动以外的、能同等实现法定职责但对个人权益影响更小的非处理手段或者其他处理方式来履行,如有则不应进行特定处理。简言之,凡是履行法定职责能够不处理或少处理个人信息的,就应当不处理或少处理。须注意的是,《个人信息保护法》第6条“采取对个人权益影响最小的方式”不能简单地作字面理解,而要结合比例原则下的必要性子原则,将之理解为在能同等实现法定职责的前提下,选择那种对个人权益影响最小的个人信息处理方式,而非绝对意义上影响最小的方式。仍以疫情防控为例,上海市推出的“随申码”以绿码、黄码、红码的三色风险动态管理为基础,测算依据是来自铁路、航空、电信、搜索引擎、社交媒体等方面汇聚的个人信息,如是否购买飞机票或火车票、有无开车入沪登记记录、有无到医院发热门诊记录、是否到药店购买过退烧药等。行程轨迹或就医记录跟疫情防控密切关联,但来自搜索引擎、社交媒体的个人信息的关联度就不是那么大,在已经采集了前列信息实现防控职责的情况下,进一步采集网络通信中的个人信息,就有可能违反必要性原则。
第三,相称性分析,又称狭义比例原则分析,即考察国家机关处理个人信息对履行法定职责的收益和对个人信息权益的干预之间是否平衡。GDPR第6条第1款第f项规定数据处理者可基于自身或第三方所追求的“正当利益”(legitimate interests)之必需而处理个人信息,但当该利益的重要性不及数据主体关于个人数据保护的利益和基本权利之重要性时便不得处理。同理,在我国法上国家机关依法履职处理个人信息的收益也要与由此给信息主体造成的限制或负担相权衡,当前者小于后者时,不应处理。当然,这种权衡要有意义,就不能笼统地将任何依法履职的处理活动之收益都界定为某种抽象的公共利益,否则把公共利益和信息主体的私人权益相权衡,得出的结论可能永远是前者更重要。所以,应狭义界定依法履职处理活动的收益,在个案中考虑特定职能所要达到的目标本身的领域、性质。从比较法经验看,欧盟数据保护委员会(EDPB)明确指出个人数据保护中的狭义比例原则是一个“基于事实的、需要一事一议的概念”(a “fact-based” concept requiring case-by-case assessment),它既是个案式的(in concreto),也是场景化的(contextual)。例如在2016年的Tele 2案中,欧盟法院判决认为:欧盟成员国法律基于打击犯罪之目的,要求通信服务商对所有用户的所有通信和位置数据进行普遍、无差别的留存,违背相称性要求。这些数据包括通信的来源和目的地、日期、时间及持续时间、用户的通信设备及其位置、用户的姓名和地址、来电者的电话号码、被叫号码和IP地址等,公权机关能借此完全重建公民的私人生活,构成对个人隐私和个人信息权益的严重干预。“打击犯罪”的价值不足以证成此种干预,故普遍、无差别的数据留存不符合狭义比例原则,除非是为了“打击严重犯罪”之目标。回到我国法的语境,国家机关依法履职虽然都是为了公共利益,但不同领域、性质的公共利益之重要程度是有差异的,与公民权益展开权衡时完全可能得出不同的结论。例如保障公民人身利益的公共职能之重要性原则上要高于保障公民财产利益,基于前者所能处理的个人信息范围便可大于后者。我国宪法第40条严格限定处理通信信息仅能为追查刑事犯罪和维护国家安全的目的进行,正是因为通信信息具有极强的人身属性,与人格尊严紧密关联,只能基于极其重大的公共利益才能合法干预。
(二)取得个人的同意
国家机关能否以信息主体的同意作为处理个人信息的合法性基础?我国台湾地区“个人资料保护法”第15、16条规定公务机关经当事人同意可处理个人资料,而GDPR原则上不承认国家机关可依据信息主体的同意处理个人信息,理由是国家机关与个人之间存在天然的权力不平等关系(power imbalances),个人的同意很难讲是真正自愿的。GDPR鉴于条款第43条明确指出:“为了确保同意是自由作出的,在数据主体和数据控制者之间存在明显权力不平等的情况下,特别是当数据控制者是公权机关而导致数据主体不大可能自由作出同意时,个人同意不应为处理个人数据提供有效的合法性基础。”尽管如此,鉴于条款第43条使用的措辞是“不大可能”(unlikely),而非“不可能”(impossible),这意味着国家机关仍然有可能在特殊情况下依据同意而处理个人信息。欧盟第29条工作组在《对第2016/679号条例下同意的解释指南》中列举了这方面的三个实例:(1)某市政府正着手规划道路维护工程,可能在一段时间内妨碍交通,市政府为市民提供了订阅电邮列表的机会,以接收有关工程进展和预期延误的最新信息。市政府明确表示市民没有义务订阅,不同意的公民也不会错过市政府的任何核心服务或行使任何权利,有关道路工程的所有信息仍将在市政府网站上提供。此种情形下,公民能够自由地同意或拒绝该种数据使用方式。(2)一位房产主需要获得市政府及省政府的许可。两级政府都需要相同的信息来发放许可,但不会互相分享数据,故两者都要求房产主提供相同信息。为了避免重复处理,市政府和省政府请求该房产主同意它们将各自储存的相同信息并库。两个政府都确保被征求同意者是有选择余地的,而且若决定不同意并库,其许可申请仍将被单独处理。此时,房产主就能针对数据并库这一处理行为自由地作出同意。(3)一所公立学校请求学生同意其在学生杂志上使用他们的照片。只要学生能在不受任何不利影响的情况下拒绝对其照片的使用,该种同意就是一种真正的同意。
上述实例在我国也完全可能出现,这意味着我国国家机关与公民个人之间并非任何时候都存在不平等关系。因此,在我国法上,有必要给国家机关依据同意处理个人信息留出空间,尽管此种情形是较为罕见的。值得注意的是,为了避免国家机关借助自身的权力优势,以获取信息主体同意之名,行规避法定职责之实,在国家机关使用同意作为处理个人信息的合法性依据时,应确保同意是真实、自愿、不受胁迫而作出的。参考《个人信息保护法》第16条规定的“个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由,拒绝提供产品或者服务”,可将具体判断标准确定为:只有在个人不同意或撤回同意也完全不影响获得国家机关的给付也不会招致国家机关的不利对待时,该同意才是有效的。
(三)为订立、履行合同或实施人力资源管理所必需
当国家机关作为平等民事主体与自然人签订民事合同,比如民政局向个人采购办公用品,就需要获得供货人的账户信息以支付账款。此时,由于处理个人信息是履行合同所必需,故可不以同意作为处理个人信息的合法性基础,而援用《个人信息保护法》第13条第1款第2项的“为订立、履行个人作为一方当事人的合同所必需”作为依据。同理,当国家机关因管理需要处理其工作人员的个人信息时,也可以《个人信息保护法》第13条第1款第2项的“依据法定劳动规章制度和依法签订的集体合同实施人力资源管理所必需”作为合法性基础,无需征得同意。除上述情形外,还有一类情形值得探讨,即行政协议。程啸教授认为《个人信息保护法》第13条第1款第2项所称的“个人作为一方当事人的合同”仅指“民事主体之间设立、变更、终止民事法律关系的协议”,即民事合同。这一观点难以成立,因为行政协议同样也是“个人作为一方当事人的合同”,只不过另一方是国家机关罢了。所以,基于文义解释,行政协议当属《个人信息保护法》第13条第1款第2项的涵摄范围。但问题是:众所周知,行政合同兼具行政性与协议性,在此语境下国家机关处理个人信息应适用何种合法性基础?是依法履职,还是合同必需?
首先可以排除的选项是两者同时适用,因为如前所述,这将在事实上取消信息主体通过解除合同来停止信息处理的可能。程啸教授提出的解决方案是:需要具体判断行政协议中是否存在订立或履行该协议所必需的个人信息,如果存在,则可适用履约必需作为处理该个人信息的合法性基础,否则就可依据履职所需来处理。然而,此方案忽视了在合同和履职之外,国家机关还可根据同意来处理个人信息。实际上,行政合同语境下,国家机关处理个人信息一般可适用三种合法性基础:第一,个人信息处理既不属于订立、履行合同所必需,亦非依法履职所必需,则国家机关应当取得个人同意方可为之。例如在与自然人签订政府投资的保障性住房的租赁协议时,行政机关若已明确规定不对租户设置收入门槛,但仍希望收集租户的收入信息以作统计、分析之用,便可通过征得租户同意来收集信息。第二,个人信息处理属于订立、履行合同所必需,亦属于依法履职所必需,则可择一作为合法性基础。例如在土地、房屋等征收征用补偿协议中,行政机关给被征收征用者提供补偿,既是合同义务,也是法定职责,收集被征收征用者的银行账户信息也同时是履约和履职之必需。此时,行政机关应在两者之间择一作为收集信息的合法性依据。第三,个人信息处理属于订立、履行合同或者依法履职所必需的,适用相应的合法性基础。
(四)为应对突发公共卫生事件或者紧急情况下保护自然人人身财产安全所必需
《传染病防治法》第18条规定各级疾控机构履行收集、分析和报告传染病监测信息的职责;《突发事件应对法》第38条规定“县级以上人民政府及其有关部门、专业机构应当通过多种途径收集突发事件信息”;《安全生产法》第79条规定,国务院应急管理部门牵头建立全国统一的生产安全事故应急救援信息系统,推行网上安全信息采集;《网络安全法》第57条规定,因网络安全事件,发生突发事件或者生产安全事故的,应当依照《突发事件应对法》、《安全生产法》等有关法律、行政法规的规定处置。上述法条授权特定国家机关为应对突发公共卫生事件或其他紧急事件而处理个人信息。龙卫球教授认为国家机关据此可援引《个人信息保护法》第13条第1款第4项,将为满足应急之需作为处理个人信息的合法性基础,并强调“行政主体在此情形下处理个人信息的职权行为应满足法律保留的要求”,即为了应急而处理个人信息的职权本身应当是法定的。但这是一种误读,因为如果此种职权已被法定,则国家机关应以依法履职而非应急必需作为处理个人信息的合法性依据。《个人信息保护法》第13条第1款第3项和第4项若要有区分,就要求两者互不重合,故为应急处理个人信息本身就不能是特定国家机关的法定职责。2020年中央网信办出台的《关于做好个人信息保护利用大数据支撑联防联控工作的通知》曾明确规定:除国务院卫生健康部门依据《网络安全法》、《传染病防治法》、《突发公共卫生事件应急条例》授权的机构外,其他任何单位和个人不得以疫情防控、疾病防治为由,未经被收集者同意收集使用个人信息。据此,若某国家机关未经上述法律、法规授权,不具有应急的法定职责,亦未经信息主体同意,原则上就不得基于防疫需要来处理个人信息;但此时,该国家机关可以援引《个人信息保护法》第13条第1款第4项来处理个人信息。此等处理行为由于不具有法律、法规的明文授权,根据行政应急性原则,须在事后接受审查,确认属于应急所必需的,方能免责;若被判定不能免责,则应承担国家赔偿责任;即便免责,根据《民法典》第182条第2款,仍应给予适当补偿。
(五)为公共利益实施新闻报道、舆论监督而合理处理个人信息
根据《民法典》第999条,为公共利益实施新闻报道、舆论监督等行为的,可以合理使用民事主体的个人信息。《个人信息保护法》第13条第1款第5项有相同规定。此项合法性基础能否适用于国家机关的个人信息处理活动?答案应是否定的,原因有二:其一,在我国,新闻报道活动采许可制的管理模式。一方面,根据《报纸出版管理规定》第9、41条、《广播电视管理条例》第11条以及《新闻记者证管理办法》第2条,从事线下新闻报道的机构必须依法设立,从业人员必须持证上岗;另一方面,根据《互联网新闻信息服务管理规定》第5条,互联网新闻信息采编发布服务、转载服务、传播平台服务应当取得互联网新闻信息服务许可。现实中,无论线下抑或线上,都有国家机关参与新闻报道。比如大量线下纸媒实际上就是机关报,例如《北京日报》、《解放日报》等。线上亦是如此。2021年10月,国家网信办公布了最新的《互联网新闻信息稿源单位名单》,包含1358家单位,其中部分属于事业单位,如人民网、中央广播电视总台,也有部分属于行政机关,如政府的政务发布平台。然而,这些国家机关并不能依据《个人信息保护法》第13条第1款第5项来处理个人信息,而应以第13条第1款第3项规定的履行法定职责为合法性基础,因其法定职责就是新闻报道。不具有新闻报道法定职责的国家机关不得从事此类活动,否则就构成违法越权。若为了应对突发公共卫生事件或者在紧急情况下为了保护自然人生命健康和财产安全,无新闻报道职权的国家机关进行新闻报道,此时可援引《个人信息保护法》第13条第1款第4项规定而非第5项规定。其二,不同于新闻报道,舆论监督是我国新闻和宣传理论中的重要概念,首次正式出现于1987年党的十三大政治报告:“要通过各种现代化的新闻和宣传工具,增加对政务和党务活动的报道,发挥舆论监督的作用,支持群众批评工作中的缺点和错误,反对官僚主义,同各种不正之风作斗争。”可见,舆论监督的主体是人民,且无需事前许可;国家机关并非舆论监督的主体,而是对象。所以,无论是新闻报道还是舆论监督,都不能作为国家机关处理个人信息的合法性基础。
(六)合理处理已自愿或合法公开的个人信息
《民法典》第1036条第2项允许信息处理者合理处理自然人自行公开的或者已经合法公开的信息,除非信息主体明确拒绝或者处理该信息侵害其重大利益。《个人信息保护法》第27条也规定:“个人信息处理者可以在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;个人明确拒绝的除外。个人信息处理者处理已公开的个人信息,对个人权益有重大影响的,应当依照本法规定取得个人同意。”上述规定对国家机关同样适用,但须明确以下四点适用条件:第一,公开是指对世公开,而非有限范围内的披露。比如国家机关不能以个人信息已公布于公司内网作为处理该个人信息的合法性依据。第二,公开必须出于自愿或依法为之,否则不得处理。这要求国家机关在处理公开的个人信息前,承担合理的注意义务去查明、确认该公开确实基于个人自愿或合法。第三,对公开信息的处理必须是合理的。对国家机关而言,这里的“合理”是指其处理个人信息所追求的公共目标与处理给个人信息权益造成的干预成比例。第四,信息主体明确拒绝时,国家机关不得处理公开的个人信息;对信息主体个人权益有重大影响的,原则上不得处理,实在需要处理的,应当转而寻求《个人信息保护法》第13条第1款第1项的同意作为合法性基础。
(七)法律、行政法规规定的其他情形
根据《个人信息保护法》第13条第1款第7项,上述情形之外,若法律、行政法规有特别规定的,国家机关也可处理个人信息。须强调的是,此项规定不能与依法履职相混同,即“法律、行政法规规定的其他情形”不能是国家机关的职责,否则可径直适用《个人信息保护法》第13条第1款第3项。例如《个人信息保护法》第72条第2款规定:“法律对各级人民政府及其有关部门组织实施的统计、档案管理活动中的个人信息处理有规定的,适用其规定。”这里的法律规定就是指我国统计法和档案法。有关国家机关据此处理个人信息,其合法性基础是履行法定职责,而非“法律、行政法规规定的其他情形”。根据《民法典》第1020条第4项的规定,为展示特定公共环境,不可避免地制作、使用、公开肖像权人的肖像,可以不经肖像权人同意。若某国家机关为了记录和宣传其在室外公共场所举办的某次大型活动,将出现在活动现场的某自然人拍摄入内,照片后续登载于该国家机关官网上。只要该自然人并非唯一、显著呈现,仅作为点缀,则国家机关可依据《民法典》上述规定处理其个人信息(肖像),无需取得当事人同意。
(八)为维护公共利益或者个人信息主体合法权益而合理实施的个人信息处理
根据《民法典》第1036条第3项,“为维护公共利益或者该自然人合法权益而合理实施”的个人信息处理行为,处理者不承担民事责任。须注意的是,这不能混同于本文前述第一、四项合法性基础,即维护特定公共利益或者特定个人信息主体合法权益不是特定国家机关的法定职责,也不指向应急所必需,否则可直接适用前述第一、四项合法性基础。但这就意味着国家机关可以超越法定职责,在非应急情形下,基于公共利益或者个人信息主体合法权益来合理处理个人信息。那么,《民法典》的这一规定能否作为国家机关处理个人信息的合法性基础?答案是肯定的,理由有四:第一,如前所述,国家机关是《民法典》的实施主体,可以而且应当适用《民法典》所规定的个人信息合理使用制度。第二,从比较法经验来看,我国台湾地区“个人资料保护法”第16条规定公务机关可在“为维护国家安全或增进公共利益所必要”、“为免除当事人生命、身体、自由或财产之上危险”、“有利于当事人权益”、“为防止他人权益之重大损害”的情形下处理个人信息。GDPR第6条第1款第e项也将“保护数据主体或其他自然人重大利益(vital interests)所必需”规定为个人信息处理的合法性依据。GDPR鉴于条款第46条将“重大利益”界定为对自然人的生命极其重要(essential for life),并规定原则上只有在其他合法性基础无法适用时方能援引“重大利益”。GDPR第6条第1款第f项规定数据处理者可根据自己或第三人所追求的“正当利益”(legitimate interests)来处理个人信息,前提是这种正当利益的重要性超过数据主体权益之重要性。这意味着,根据GDPR,为了保护自然人生命的重大利益或数据处理者和第三人之重要性超过数据主体权益的正当利益时,国家机关可以超越法定职责处理个人信息。第三,张新宝稿第52条规定政务部门“为保护信息主体或第三人的重大人身、财产利益所必要”时,可以超越法定职权处理个人信息。第四,允许国家机关绕过法定职责来处理个人信息,不必然会打开公权滥用的“潘多拉魔盒”,因为《民法典》第1036条第3项要求此种处理必须是“合理实施”的。这提出了程序和实体两方面的要求:程序上,国家机关逾越法定职责处理个人信息的行为,初步(prima facie)构成越权(ultra vires),根据公法的基本原理,当属效力待定状态,应经过上级行政机关、司法机关或立法机关的事后审查,来确定是否存在公共利益或信息主体的合法权益,以及是否属于“合理实施”,如果两个问题中有一个的结论是否定的,则越权处理行为无效;实体上,“合理实施”的判断标准为比例原则,可按照前文已述的框架展开分析。需要说明的是,《民法典》第1036条第3项使用的措辞是“该自然人”,而非“自然人”,显然没有效仿GDPR规定为了维护信息主体之外的第三人的合法权益可以合理处理个人信息。但有学者认为“这并不意味着我国民法典对此存在缺漏”,因为“如果是为了维护其他民事主体的合法权益而需要合理使用个人信息,那么该等情形属于紧急避险,完全可以适用《民法典》第182条,无需重复规定”。这一理解有待商榷。紧急避险是指“为了使本人或第三人的人身、财产或公共利益免遭正在发生的危险而不得已采取的致他人人身或财产损害的行为”。只有当第三人的人身、财产权益面临“正在发生的危险”,而处理个人信息又是避免此危险所必需的手段时,才构成紧急避险。这实际上已为《个人信息保护法》第13条第1款第4项所涵盖,而且无法推导出在非紧急情形下可以为了没有面临“正在发生的危险”的第三人合法权益而合理处理个人信息。事实上,我国现行个人信息保护法律制度并未一般性地将为了维护第三人合法权益而合理处理个人信息确立为个人信息处理的合法性基础。
综上,在我国法上,国家机关处理个人信息的合法性基础共七项:(1)履行法定职责所必需;(2)取得信息主体同意;(3)订立、履行合同或人事管理所必需;(4)为应对突发公共卫生事件或紧急情况下保护自然人权益所必需;(5)合理处理已自愿或合法公开的个人信息;(6)法律、行政法规规定的其他情形;(7)为维护公共利益或者个人信息主体合法权益而合理实施个人信息处理。本文将此七项合法性基础进一步分为三大类:(1)法定的合法性基础,包括上述1、3、4、5、6项。其“法定”性有两层含义:一是根据《个人信息保护法》第13条第2款,国家机关依据此类合法性基础处理个人信息,无须取得个人同意(包括订立、履行合同所必需这种合法性基础);二是此类合法性基础的适用情形已经被《民法典》、《个人信息保护法》以及其他相关法律、行政法规所明文列举。(2)意定的合法性基础,即上述第2项。国家机关依据此类合法性基础处理个人信息,应取得个人同意,并确保同意的真实、有效。(3)酌定的合法性基础,即上述第7项。之所以将此项《民法典》也有明文规定的合法性基础单列出来,而不是纳入法定的合法性基础,是因为与法定合法性基础相比,此项既不涉及国家机关的法定职责,也与合同、人事管理、应急、处理公开个人信息及其他明确的法定情形无关,而是采用“公共利益”、“合法权益”等抽象法律概念,授权国家机关在具体场景下自行确定处理个人信息之正当目的和恰当手段,裁量空间明显更大。为了避免国家机关滥用优势地位,通过胁迫取得个人的虚假同意,也为了约束国家机关滥用裁量自由,以维护公共利益或信息主体合法权益为名行违法侵权之实,本文建议应按照法定—意定—酌定的顺序选择这三类合法性基础,只有在前一顺位无法适用时方能进入下一顺位,以此确保国家机关处理个人信息必须先穷尽法律明文规定的、裁量空间较小的合法性基础,或至少应取得个人真实、有效的同意,只有在两者均不可能的前提下,才能援引裁量空间更大的酌定的合法性基础,而不能自始就援用后者。在法定的合法性基础内部,本文也建议确立适用顺位,以依法履职作为最优先级,其他合法性基础次之,只有当前者无法适用时,方能援用后者,以此最大程度地确保国家机关在既有权限范围内处理个人信息。以上分析如图1所示:
根据前文所述,中国法上,国家机关与非国家机关处理个人信息的合法性基础之区别不在于前者只有依法履职这一种,因为两者都是多元的。其真正的不同之处有三:(1)非国家机关不能依据“履行法定职责所必需”来处理个人信息,尽管其可以将“履行法定义务所必需”作为合法性基础;(2)国家机关无法像非国家机关那样援用“为公共利益实施新闻报道、舆论监督”作为处理个人信息的合法性基础;(3)非国家机关处理个人信息以“告知—同意”为核心规则,一般情况下应告知个人并取得同意,但国家机关因其权力优势地位,通常不能以个人同意作为处理个人信息的合法性基础,而应按照上述顺位依次适用三类不同的合法性基础。
05.代结语:国家机关处理个人信息的告知同意规则
《个人信息保护法》第35条规定:“国家机关为履行法定职责处理个人信息,应当依照本法规定履行告知义务;有本法第十八条第一款规定的情形,或者告知将妨碍国家机关履行法定职责的除外。”《个人信息保护法》第18条第1款规定:“个人信息处理者处理个人信息,有法律、行政法规规定应当保密或者不需要告知的情形的,可以不向个人告知。”有学者据此归纳出国家机关处理个人信息的三种告知同意规则:第一,“告知+同意”,包括国家机关取得当事人同意而处理个人信息以及法律、法规有特别规定要求告知并取得同意的;第二,“告知+无需同意”,即国家机关履行法定职责而处理个人信息;第三,“无需告知+无需同意”,包括《个人信息保护法》第18条第1款规定的“法律、行政法规规定应当保密或者不需要告知”和第35条规定的“告知将妨碍国家机关履行法定职责”。这初步搭建起理解国家机关处理个人信息告知同意规则的基本框架,但内容有待充实和调整。结合上文所揭示的国家机关处理个人信息合法性基础,可进行更为完整、准确的归纳,如表1所示:
对于上表作三点说明:第一,关于“告知+同意”的情形。有学者认为“由于不同的组织履行法定职责的情形很复杂,目的也各不相同,故不需要个人同意的处理行为在强制性程度上是存在差别的”,并举例说明公安机关和社会保险经办机构处理个人信息的强制性是不同的。但无论不同国家机关所拥有的权力在强制性方面有多大差别,都不影响其履行法定职责处理个人信息无需取得个人同意,除非法律、法规另有特别规定。对此,实务部门已然出现误解。例如2021年10月29日,浙江省税务局发布《关于落实〈个人信息保护法〉相关工作的通知》,要求税务业务处理个人信息适用告知同意规则。然而,税务业务是税务机关的法定职责,据此处理个人信息应当告知,但无需同意。要求同意的初衷固然是善意的,但实非落实《个人信息保护法》所需,反而平添麻烦。
第二,关于“告知+无需同意”的情形。鉴于《个人信息保护法》第35条规定国家机关在依法履职处理个人信息时原则上应告知当事人,当国家机关根据“法律、行政法规规定的其他情形”这一合法性基础处理个人信息时,原则上也应事前告知。而在合意性更强的订立、履行合同和人事管理所必需的合法性基础下,国家机关原则上同样应事前告知。至于为维护公共利益或者信息主体合法权益而合理实施个人信息处理这一合法性基础,尽管我国台湾地区“个人资料保护法”第8条第2款第6项规定“个人资料之收集非基于营利之目的,且对当事人显无不利之影响”时公务机关得免为告知,但《个人信息保护法》并无此规定,故纵使处理个人信息是为了维护信息主体合法权益,原则上也应事前告知。如此方能最大程度地符合《个人信息保护法》第7条确立的公开、透明原则,确保权力运行的全流程公开。
第三,关于“无需告知+无需同意”的情形。首先,根据《个人信息保护法》第18条第2款,尽管国家机关在应急处理个人信息时原则上无需事前告知,但应事后告知。其次,“告知将妨碍国家机关履行法定职责”中的“妨碍”应理解为将使法定职责之目的落空,比如公安机关告知犯罪嫌疑人其所掌握的犯罪信息,而不能只是给国家机关履职增加一些手续或成本,否则有被轻易规避之虞。再次,就《个人信息保护法》第18条第1款规定的“法律、行政法规规定应当保密或者不需要告知的情形”,既有研究有两种理解。一种认为其包括“法律、行政法规规定的应当保密的情形”和“法律、行政法规规定的不需要告知的情形”;另一种则认为其包括“法律、行政法规规定的应当保密的情形”和“不需要告知的情形”。基于两点理由,本文赞同后一种理解:其一,现行法律、行政法规有大量关于履行法定职责处理个人信息应当保密的规定,例如《刑事诉讼法》第150条、《人民警察法》第16条、《反恐怖主义法》第45条、《反间谍法》第22条等授权有关国家机关秘密侦察、调查违法犯罪活动,但没有法规范规定国家机关处理个人信息不需要告知信息主体;其二,即便未来立法增加此类规范,把“不需要告知的情形”限于法律、行政法规有规定的,仍会过分压缩该项例外的适用场景。国家机关在以下三类情形下处理个人信息不需要告知:(1)信息主体已经知道告知的内容。例如宾馆在旅客入住时已经告知旅客将向特定公安机关提供其入住信息,则特定公安机关收集、查阅该信息时无须再次告知旅客。(2)国家机关合理处理已自愿或合法公开的个人信息。例如法院按照某甲自己在社交媒体上公布的地址更新信息记录,并据此向其送达文书,尽管法院是在履行法定职责,按照《个人信息保护法》第35条应当告知某甲,但由于地址信息已由本人公开,此时要求事前告知缺乏实际意义。(3)告知带来的行政成本过高。例如国家机关展示公共场所活动照片时,公布在现场出现过的自然人的人脸信息,若要求事前告知方可处理,未免过于繁琐。又如国家机关将涉及任免提拔的信息提前告知当事人,无疑会给正常的人事管理造成巨大成本。上述情形下,告知不影响应急、不妨碍履职,亦无法律、行政法规明文要求保密,但仍应作为告知义务的例外。当然,为防止国家机关借此规避告知义务,可将“不需要告知的情形”严格限于上述三种。
综上,国家机关处理个人信息的七项合法性基础所对应的告知同意规则可总结为:(1)依法履职处理个人信息一律无需同意,但原则上应当告知,除非告知将妨碍职责履行或不需要告知;(2)基于同意处理个人信息,既要告知,也要同意;(3)为订立、履行合同或人事管理所必需处理个人信息无需同意,但原则上仍应告知,除非有不需要告知的情形;(4)为应急必需处理个人信息无需同意,原则上也不需事前告知,但应在紧急情况消除后告知;(5)合理处理已公开的个人信息原则上无需同意,亦无需告知,除非对个人权益产生重大影响;(6)根据法律、行政法规规定的其他情形处理个人信息无需同意,但原则上应当告知,除非有不需要告知的情形;(7)为维护公共利益或个人信息主体合法权益而合理处理个人信息无需同意,但原则上须告知,除非有不需要告知的情形。至于国家机关应如何履行告知义务,可按照《个人信息保护法》第17条的规定,即“以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项:(一)个人信息处理者的名称、或者姓名和联系方式;(二)个人信息的处理目的、处理方式,处理的个人信息种类、保存期限;(三)个人行使本法规定的权利的方式和程序;(四)法律、行政法规规定的应当告知的其他事项”。在此基础上,国家机关还应向信息主体明确告知其处理个人信息的合法性基础及具体法律依据,以便当事人了解。
