第二章 个人信息处理规则

第一节 一般规定

第十三条 【处理个人信息的合法性基础】

符合下列情形之一的,个人信息处理者方可处理个人信息:

(一)取得个人的同意;

(二)为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;

(三)为履行法定职责或者法定义务所必需;

(四)为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;

(五)为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;

(六)依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;

(七)法律、行政法规规定的其他情形。

依照本法其他有关规定,处理个人信息应当取得个人同意,但是有前款第二项至第七项规定情形的,不需取得个人同意。

重点解读

本条明确了处理个人信息的合法性基础。

作为《个人信息保护法》最核心、最重要的条文之一,本条扩张了处理个人信息的合法性基础。从处理个人信息合法性基础的演变看,《网络安全法》第四十一条第一款明确了收集使用个人信息的合法性基础为“被收集者同意”。自《网络安全法》于2017年6月1日生效以来,同意成为收集使用个人信息的唯一合法性基础。《民法典》第一千零三十五条第一款第一项沿用了“同意”作为合法性基础,同时增加了“法律、行政法规另有规定的除外”的例外规定。《个人信息保护法》即属于此处“另有规定”的法律,其与《民法典》第一千零三十五条第一款相衔接,并基于此增加了多项个人信息处理的合法性基础。

从内容看,本条第一款第一项到第五项的规定,与欧盟《通用数据保护条例》(GDPR)第6条第1款a-e项相类似,又存在一定区别。

第一项规定的情形为“同意”,结合《网络安全法》实施以来的实践情况,《个人信息保护法》就如何取得同意在本章中进行了进一步的细化,此处不再赘述。

第二项规定的情形为“为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需”。

就“订立、履行个人作为一方当事人的合同所必需”,系指如果一项个人信息处理行为系个人信息处理者作为一方当事人订立或者履行合同时所必需的,则该等个人信息处理行为合法。换言之,若该等个人信息处理行为并非合同订立时或履行过程中所期待会发生的,则无法适用本项作为合法性基础。

“按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需”,旨在调整单位与员工的个人信息处理关系。实践中,部分单位存在基于员工同意处理员工个人信息的情形。考虑到劳动关系中,员工对企业依附性较强,企业往往处于较为强势的地位,在该等情形下,同意是否系员工自主作出,是否体现了员工的真实意思亦不易判断。或是出于这样的考量,《个人信息保护法》增加了“按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需”作为处理员工个人信息的合法性基础。实践中,若无法充分论证该等同意系员工自愿作出,或只能更多依据本项,在实施人力资源管理所必需的范畴内处理员工个人信息。

第三项规定的情形为“为履行法定职责或者法定义务所必需”。在《网络安全法》项下,同意是收集、使用个人信息的唯一合法性基础,这意味着即使企业因法定职责或义务的要求而需要收集个人信息,仍需要取得个人同意。在该等情形下,若个人拒绝同意,可能产生不同法律关系下企业义务与个人同意之间的冲突,基于此,有必要明确个人信息处理者基于履行法定职责或者法定义务处理个人信息的合法性。根据本项规定,若个人信息处理者要以本项作为处理个人信息的合法性基础,则意味着其个人信息处理行为需要有明确的法律依据作为支撑。例如,《反洗钱法》第三章专章规定了金融机构的反洗钱义务,并在第三章第十六条第二款规定“金融机构在与客户建立业务关系或者为客户提供规定金额以上的现金汇款、现钞兑换、票据兑付等一次性金融服务时,应当要求客户出示真实有效的身份证件或者其他身份证明文件,进行核对并登记”,在该等场景下,金融机构收集客户的身份证件信息属于履行法定职责或者法定义务所必需的个人信息处理,具备合法性基础。

第四项规定的情形为“为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需”。此项明确了在某些特殊情形下,公共利益、自然人的生命健康和财产安全优先于自然人的个人信息权益。例如,在应对新冠肺炎疫情中,大数据应用为联防联控提供了有力支持,特别是在进行流行病学调查和查找密切接触者方面。但在开展上述联防联控工作的过程中,往往需要收集、使用和分析大量的个人信息。该等个人信息的处理是基于应对突发公共卫生事件、维护公共利益的角度出发,在此情形下,相较于自然人的个人信息权益,公共利益的保护应当优先。同样,在某些紧急情况下,可能需要为保护自然人的生命健康和财产安全处理自然人的个人信息,此时如再通过同意或其他方式获取个人信息主体的同意,或难以实现在紧急情况下保护自然人生命健康和财产安全的需要。此项实质上为个人信息处理者在特定情形下处理个人信息提供了依据。

第五项规定的情形为“为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息”。本条明确了为实施新闻报道、舆论监督等行为可以在合理范围内处理个人信息,但对于该等行为施加了“公共利益”目的作为限缩。例如,若为了报道某官员的贪腐行为,收集并通过新闻向社会公众传递其贪腐行为相关的个人信息,一般来说可以适用本项。

第六项规定为“依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息”。对于已经依法公开的个人信息,信息主体往往对于个人信息公开的情形已经知悉,且其公开个人信息的行为亦意味着信息主体对于该等被公开的个人信息可能被收集、使用的情况有所预期。同时,在部分情形下个人信息处理者直接接触个人信息主体可能存在一定的困难,允许其在合理范围内处理已公开的个人信息亦是为解决该等现实需求。

第七项进行了兜底规定,为“法律、行政法规规定的其他情形”留下了口子,保留了一定的条款弹性。

同时,本条第二款明确,依照“同意”之外的合法性基础处理个人信息,无须取得个人同意,强调了七项合法性基础之间是并列关系,亦有效避免了法律内在的冲突。

实务要点

1.如何理解“订立、履行合同所必需”

对于何谓“订立、履行合同所必需”,笔者认为,主要需要从以下几个方面综合考量:

其一,此处的“必需”应当是客观上的必需,而非个人信息处理者或信息主体所理解的必需。具体而言,可以参考《个人信息安全规范》第5.2条a项对个人信息处理是否必需进行判定,即该等个人信息处理行为是否与实现产品或服务的业务功能(合同的目的)有直接关联。如果某项个人信息处理行为没有实施,将导致合同无法订立或履行的,则该项个人信息处理行为可以被认定为“订立、履行个人作为一方当事人的合同所必需”。例如,电商平台在为消费者提供商品配送服务时需要收集消费者的收货地址以完成配送,如果不收集收货地址,则无法提供配送服务。此时,消费者的收货地址即是电商平台为履行同消费者的服务合同所必需收集的个人信息。但如果不需要实施个人信息处理行为,或通过实施对个人信息主体的个人信息权益影响更小的个人信息处理行为亦可以实现合同目的,则原个人信息处理行为不宜被认定为“履行合同所必需”的个人信息处理行为。

其二,此处的“合同”,应理解为同产品和服务直接相关的合同,而非仅将个人信息处理行为作为合同目的的合同。例如,App用户同App服务提供者之间的隐私政策不应被视为此处的“合同”。

其三,就处理期间来看,由于这一合法性基础依赖于合同的订立或履行,故当合同履行完毕之后,个人信息处理者不宜再基于“订立、履行合同所必需”实施个人信息处理行为。

就具体可适用“为履行合同所必需”作为合法性基础的个人信息范围而言,《常见类型移动互联网应用程序必要个人信息范围规定》划定了三十九种常用类型App收集个人信息的最小必要信息范围,在一定程度上可以作为实践中的判定参考。

2.如何理解这七项合法性基础之间的界限

从《个人信息保护法》的立法体例来看,这七项合法性基础是并列关系,即一项个人信息处理行为只要符合这七项中的一项,即为合法。

从实务角度如何综合理解这几项合法性基础的界限呢?试以银行贷款业务为例。例如,自然人去银行办理住房贷款业务,根据《反洗钱法》的规定,银行需要收集自然人的身份证件,这属于“为履行……法定义务所必需”而处理个人信息的情形;如果该自然人想及时了解每期还款后银行账户的款项变动情况,则需要开通短信通知,银行为了向该自然人提供短信通知的服务就需要收集该自然人的手机号码,这就属于“为订立、履行……合同所必需”而处理个人信息的情形;在贷款审批过程中,为贷款风控之目的,银行可能需要通过公开途径检索该自然人的涉诉情况,如果检索到相应的涉诉判决书,银行往往会下载留档,此时即是在合理范围内处理已公开的个人信息的体现;而如果银行想要使用自然人的个人身份信息、理财信息、贷款信息等进行分析,用于后续对该自然人进行个性化营销,这不属于本条规定的第二至七项,因此若银行想要在该场景下处理该自然人的信息,就需要获得该自然人的同意。

案例解析

*案情介绍

某会计师事务所基于同意处理了其员工的个人信息,希腊数据保护局根据欧盟《通用数据保护条例》(GDPR)向该会计师事务所处以15万欧元的处罚,理由是:

(1)该会计师事务所使用了不恰当的法律依据——“同意”,非法处理其员工的个人信息;

(2)该会计师事务所以不公平且不透明的方式处理其员工的个人信息,使员工错误地认为公司处理他们个人信息的法律依据是GDPR第6条第1款第a项,即数据主体已经对基于一个或多个具体目的而处理其个人数据的行为表示同意,而这些信息实际是基于员工从未被告知的其他法律依据进行处理的;

(3)该会计师事务所负有证明其信息处理行为符合GDPR的义务,但其却无法证明,而这违反GDPR规定的可问责性原则。

为此,执法机构要求该会计师事务所在3个月内进行整改。

*法律解析

本案是GDPR项下首个涉及员工个人信息违规的处罚,或可作为“按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需”之参照。实践中,若无法充分论证该等同意系员工自愿作出,或只能更多依据本项,在实施人力资源管理所必需的范畴内处理员工个人信息。

对于用人单位而言,并不是所有场景下都可以将同意作为处理员工个人信息的合法性基础。考虑到用人单位与员工之间并非绝对的平等主体关系,两者之间可能存在一定的权利不平等,若用人单位无法证明该等同意是基于员工的自由意志,则应当审慎考虑是否以同意作为处理员工个人信息的合法性基础。

关联法条

《网络安全法》第四十一条;《民法典》第一千零三十六条。