個人信息處理合規原則與范式要求

顧雷

近年來，我國個人信息安全問題頻發。本文探討在個人真實意思表示情況下，如何準確把握處理個人信息的合規要求和范式要求，實現個人信息處理目的、處理范圍、處理方式達成平等互惠的充分合意，禁止過度使用個人信息，矯正國家、個人信息處理機構與個人之間的不平等態勢，厘清個人信息處理關系順位。

近年來，我國個人信息安全問題頻發。2018年上半年支付寶年度賬單默認勾選《芝麻服務協議》被質疑侵犯隱私權，百度涉嫌侵害消費者個人信息安全被江蘇省消保委提起公益訴訟。下半年又爆發不少企業平臺大規模數據泄露公民個人身份信息，包括華住酒店集團旗下連鎖酒店4.5億條用戶信息被泄露，12306網站480余萬條用戶數據在網絡上被販賣，上市公司“數據堂”涉嫌侵犯公民個人信息罪被查，“巧達科技”非法交易個人信息多達2億條，引起社會廣泛關注和擔憂。

值得慶幸的是，我國立法機關十分重視個人信息保護法律體系的建設，《個人信息保護法》《數據安全法》和《征信業務管理辦法》紛紛出臺，《刑法》（修正案）也補充規定了侵犯公民個人信息罪，特別是2021年《民法典》實行以來，對個人信息保護進一步加強，讓越來越多不法人員和機構不敢再鋌而走險。但是，在處理個人信息過程中，對個人信息合規處理依然存在理論上的分歧，司法實踐也有不同判例。因此，如何厘清個人信息處理關系順位，解決好處理個人信息合規性和范式要求，顯得尤為重要。

個人信息處理關系順位合規要求

從相互關系上說，個人信息與隱私范圍存在一定交叉重合，即個人信息保護客體與隱私權保護客體是基本重疊，諸如個人健康信息、身份證號碼、銀行卡號碼等私密信息既是個人信息載體，又是隱私權保護對象。個人信息與隱私權保護對象都是人格利益，有著極高相似性。但是，兩者是有區別的。個人信息指的是以電子或其他方式記錄的能夠單獨或者與其他信息相結合識別特定自然人的各種信息，核心特征是“識別性”。而隱私權保護的是私人生活安寧、個人空間以及私人活動，這些私人信息不能或不愿意被他人知曉，核心特征是“私密性”。一旦個人隱私信息被非法獲取或者濫用，極易對個人的生活安寧造成侵害。因此，當個人信息與隱私權重疊時，對同屬個人信息的私密信息應該更加重視，需要優先適用隱私權保護規則。

在個人信息和隱私雙重語境下，產生的重合就是根據對信息主體產生影響作用大小進行的“一對一”價值衡量過程。單一的個人信息的保護價值來自信息本身的概念性、社會性內涵，而隱私信息表達出更多的不為人知或不應人知的人格性、生物性內涵。舉例來說，某人姓名在不結合其他信息情況下，其被保護的必要性是弱于“某人是新冠肺炎確診者”這一私密信息的。也就是說，單一的、非私密的個人信息在面對更為隱私消息時并沒有特殊保護價值。于是，在處理個人信息時首先需要保護的是個人隱私權，然后才是個人信息，隱私權優于個人信息等級，順序不能顛倒，否則就是對公民隱私權的另一種無視和侵犯。

當前，我國個人隱私權正在經歷著前所未有的挑戰，尤其在抗擊新冠肺炎疫情過程中，在采集（疑似）患者信息時，不少醫療機構，包括私人診所、民營醫療機構以及部分公立醫院，并不十分重視保護患者隱私權，易引發個人信息泄露和侵犯個人隱私權的問題。

個人信息處理正當性合規要求

正當性要求為首的合規要求

目前，世界各國對個人信息處理合規要求并不統一，主要有以下幾種類型：第一種是信息處理明確原則?！缎畔踩夹g 個人信息安全規范》規定處理個人信息時必須具有清晰、具體的個人信息處理目的，而不是籠統地處理個人信息。第二種是信息處理限制原則。經濟合作與發展組織在《隱私保護和個人數據跨境流動準則》（1980年）中規定“個人數據收集的目的應當在收集時確定，隨后的使用限制在實現該目的的必要范圍內，或者用于實現其他與該目的不沖突的目的和每次更改時確定的目的”。我國《數據安全法》第32條也要求“應當在法律、行政法規規定的目的和范圍內收集、使用數據”。

實際上，處理個人信息明確原則、限制原則之間并不是平行關系。明確原則是個人信息處理的前提條件，但僅有明確原則可能導致合規性虛設，還需要對個人信息處理目的進行一定限制，只有禁止為了不正當目的處理個人信息行為，個人信息處理才具有最高層次合規要求，才能有效維護處理個人信息的正當性。

個人信息處理的特定、明確要求

長期以來，我國對于個人信息保護正當原則規定得比較寬泛。在實踐中政府部門、金融機構、非銀金融機構更喜歡用比較模糊或不確定的詞匯來表述其個人信息保護目的，諸如“為了公共利益”“為了金融產品創新需求”以及“為了提升客戶體驗度”，等等。在這里，我們不討論背后的動機究竟是什么，但這些寬泛、模糊和宏大抽象的表述容易引發個人信息收集范圍過大、使用場景過多問題，最后導致個人信息保護限制性、明確性原則形同虛設。

從范式要求上看，個人信息處理目的應盡可能特定、明確，目的表述應盡可能提供細節。例如“公共利益”概念比較模糊，屬于不確定性社會概念，并不是一個法律概念，容易被誤用、濫用或惡意使用。如果個人信息處理目的過于寬泛、抽象，不僅無法控制個人信息處理范圍，也無法有效指引后續個人信息處理活動。因此，政府在進行個人信息保護時，必須實現特定、明確的具體公共利益目標，不宜同時設定多個處理目的，也不宜以抽象的“為了公共利益”為名而隨意處理個人信息。

處理個人信息目標要求與標準

第一個標準：國家或公共利益

歐盟《通用數據保護條例》（General Data Protection Regulation，簡稱GDPR）將公共衛生事項、歷史研究、醫療健康、公共資料保存披露、人道主義救助以及國家選舉事項六大類作為社會公共領域的正當性表征。我國《信息安全技術 個人信息安全規范》也列舉了無須經過個人同意的公共利益多個類型，諸如國防安全、重大公共利益、公共衛生、公共安全、刑事司法等?！秱€人信息保護法》第13條和第26條還規定，鑒于公共利益實施社會性新聞報道、社會輿論監督、網絡共同宣傳等目的就可以在合理范圍內處理個人信息，諸如在公共場所安裝圖像采集、個人身份識別設備。這使得國家或公共利益在個人信息處理范圍上的擴張有了法律依據。

第二個標準：私人或機構組織利益

在特定情形下，為了私人或機構組織利益，未經個人同意也可進行個人信息處理。第一種情形：為保護個人或其他自然人的重大利益。歐盟《通用數據保護條例》第6條規定：“為保護數據主體或另一自然人的重大利益所必要的數據處理。”我國《個人信息保護法》第13條規定，“為應對突發公共衛生事件，或者緊急情況下為保護自然人的生命健康和財產安全所必需”，可以不經同意處理個人信息?！睹穹ǖ洹返?036條也認可為了保護自然人合法權益而未經自然人同意的，可以視為合理利用個人信息行為，并不需要承擔民事責任。

第二種情形：為了順利簽訂或履行特定合同或特定條款，個人信息處理者不經個人同意，可以在必要限度內處理個人信息。例如《信息安全技術 個人信息安全規范》就規定，“維護所提供產品或服務的安全穩定運行所必需的，如發現、處置產品或服務的故障”，可以未經個人同意處理個人信息。

第三種情形：為了更好開展經濟組織內部管理，個人信息處理者對其員工或客戶相關數據可以進行必要處理。歐盟《通用數據保護條例》第9.2條規定，為實現數據控制者或數據主體在勞動、社會保障以及社會保障法的范疇內履行義務、實現特定權利所必需，可以依法處理數據。

值得一提的是，如上所述，雖然在特定情況下未經個人同意也可以進行個人信息處理，并不表明可以隨意處理個人信息。比如，“第三種情形”所述，盡管基于經濟組織內部管理目標可以合理處理個人信息，但不能超越管理權限，處理個人信息的正當性、合理性要求必須同時得到滿足。又如，如果被告未經同意在微信群公開原告的隱私敏感信息，諸如個人嚴重疾病、家族遺傳病史、個人嚴重刑事犯罪記錄以及個人婚姻歷史等等，即便因公司內部管理需要，但可以視為“超出必要限度”，違反個人信息處理正當性合規要求，歸為侵害原告隱私權的不法行為之列。

個人信息處理目的變更許可

今天，在不同數據和信息場景中，很難保持最原始的處理目的。越來越多的數據和個人信息在處理之初并無意用作其他用途，最終卻產生了很多意想不到的結果。因此，在立法上應該留出適當空間，允許處理個人信息目的變更，確立合理變更制度，允許個人信息處理者根據情勢適當改變原初目的或增加新的合理目的。否則，過度要求個人信息處理目的特定和唯一，可能妨礙、限制或割裂個人信息流通，形成一個個信息（數據）孤島。

當然，允許個人信息處理目的發生變更有一個前提條件，就是變更后的目的同原初目的之間應具有因果關聯性，不能隨心所欲地變化，否則就違背正當原則和范式要求。例如，日本在處理個人信息變更前后目的時就強調必須具有“相當關聯性”。日本《個人信息保護法》第15條第2款規定，“個人信息處理者變更利用目的的，不得超出一定合理的范圍，變更后的目的應與變更前的目的具有相當關聯性”。歐洲國家也有類似目的變更的條款，歐盟《通用數據保護條例》（第5條明確規定：如果后續數據處理基于第89條第1款，是為了實現公共利益、歷史研究或科學統計目的等等，不應被視為違背原初目的。也就是說，如果變更后的目的與原初目的不存在必然聯系，超出預期的，個人信息處理者就應該再次履行告知程序，在獲取個人二次同意后才可以處理信息。

個人信息處理必要性合規要求

個人信息及時銷毀問題

近年來，我國工信部開展應用程序（application，簡稱app）侵害用戶權益專項整治行動，截至2021年6月，共完成73萬款app的技術檢測工作，責令整改3046款違規app，下架179款拒不整改的app。雖然治理工作取得了積極成效，但個人信息處理過程的及時銷毀問題不容忽視?！稓W盟2006/24號指令》要求留存所有使用電信服務人的生活習慣、居住地、日?；蛱厥饣顒印⑸鐣P系的數據，在規定時間內不被留存，統一銷毀處理。

但是，個人信息及時銷毀立法在我國并不健全。未來，我國應該出臺實施細則加以明確規定，對移動通信、餐飲外賣、網絡約車、網上購物、郵件快件寄遞、網絡借貸、交通票務、醫療問診掛號、銀行或非銀機構投資理財等app處理個人信息時必須及時刪除、銷毀，杜絕內容無邊界、收集無節制、銷毀無期限現象，經過匿名化處理后無法關聯到特定個人且無法復原的除外。

個人信息處理只能造成最小損害

必要原則要求以最小損害的方式處理個人信息。首先，在處理個人信息前，根據個人信息的類型、處理目的、處理范圍、處理場景，對個人信息處理引發的風險進行全面評估，分析不同處理手段帶來的損害大小，完成個人信息保護的制度性評價。歐盟很早就確立了數據保護影響評估制度（Data Protection Impact Assessment，簡稱DPIA），防止因為數據處理行為可能帶給個人信息安全的不利影響。

2019年5月，美國舊金山市頒布全球首個禁止人臉識別技術的規定《反監控條例》，禁止當地警方和其他政府機關使用人臉識別技術，以防止公權力機關濫用人臉信息監控個人。2021年10月6日，歐洲議會通過決議，呼吁全面禁止基于人工智能（Artificial Intelligence，簡稱AI）生物識別技術的大規模監控，特別禁止警察在公共場所使用面部識別技術，逐漸限制在公共場所使用遠程生物識別技術，采取對個人權益影響最小的方式處理個人信息，以免對個人造成不必要的侵權。

近些年來，人臉識別技術在中國得到了廣泛運用，同時也引發濫用和過度損害的擔憂。在“中國人臉識別第一案”中，原告郭某因其未經注冊人臉識別將無法進入動物園，郭某不愿接受被收集人臉信息要求辦理退卡退費被拒而提起訴訟。一審法院經審理認為，被告收集人臉識別信息，“超出了必要原則要求”。二審法院認為，人臉識別不當使用將給公民的人身、財產帶來不可預測的風險，最后判決郭某勝訴。

盡管“刷臉”好用，方便商業活動，但很多時候過度使用可能會對個人造成過度損害，涉嫌對少數民族、老年人、殘疾人歧視，尤其是過度使用生物識別、醫療健康、金融賬戶、行蹤軌跡等敏感個人信息帶來的損害公民基本權利的風險可能遠遠超過帶給人們生活的便利。顯然，過度“刷臉”有違最小損害原則。

目前，我國對處理個人信息評價體系的立法比較簡單，未來立法機構應該頒布實施細則，對于利用個人信息進行自動化決策、委托第三方機構處理、向第三方提供或公開個人信息、向境外提供個人信息等均應事前評估，實現事先有效性評價控制。此外，在有效性評估處理后，比較個人信息處理不同方案的損害大小，在多種個人信息處理方式中選擇沒有損害或最小損害的處理方式，避免對個人造成過度損害。

個人信息處理具備關聯性

個人信息處理手段與目的之間具有一定合理關聯性。如果與原始目的沒有關聯而處理個人信息，即使是為了追求社會利益或第三方合法權益，也不具有法律上的正當性。亦如《歐盟2006/24號指令》規定的那樣，個人信息處理同合同履行之間必須具有“密不可分和實質性的聯系”，以減少合同履行成本或增加商業利益。

關聯性有助于減少不必要、非法的個人信息的處理方式，保持處理信息行為正當性。但是，我國《個人信息保護法》第6條有關個人信息處理“應當與處理目的直接相關”的規定，從立法角度有些過于狹窄。筆者認為，關聯性不等于直接相關，間接相關也應該成為處理個人信息的一種必要性合規要求。只要沒有過度收集個人信息，在最小范圍內處理個人信息的所有行為都應該被視為滿足了關聯性要求的合法行為。

處理個人信息的平衡原則

一是宏觀發展原則。目前，我國數據黑市、數據泄露及數據濫用等危害數據安全的情況嚴重，但同時數字經濟已成為我國經濟增長新引擎，通過加速數據的流動而實現產業發展也成為大趨勢。因此，我們必須在推進“數字化+”“互聯網+”“智能化+”“標準化+”過程與商業價值、社會道德和個人隱私之間尋找到一個平衡點。

其實，歐盟早就遇到類似問題。歐盟《通用數據保護條例》第1條第3款明確強調了平衡的重要性，即“個人數據在歐盟境內的自由流通不得因為在個人數據處理過程中保護自然人而被限制或禁止”。顯然，歐盟十分注重處理好個人信息保護與數據流動的平衡關系。為此，我國對接GDPR有關個人信息保護與數字經濟共同發展模式，樹立數據發展和信息保護同等重要觀念，不能為了避免矛盾而搞一個與世隔絕的“數據信息烏托邦”，做到安全風險防范為主、兼顧數字經濟發展，強調“數據監管+自由市場”雙向數據治理模式，絕對不能出現天平失衡問題。

二是微觀均衡原則。處理個人信息時必須兼顧收集目標實現和保護信息主體權益，實現個人、信息機構和國家三方主體的利益均衡，以免過度或不必要地使用或處理個人信息。