第五条 【合法、正当、必要与诚信原则】
处理个人信息应当遵循合法、正当、必要和诚信原则,不得通过误导、欺诈、胁迫等方式处理个人信息。
【释义】
《个人信息保护法》中合法、正当、必要和诚信原则,是个人信息处理原则中重要的限制性原则,收集、储存、使用、加工、传输、提供、公开等个人信息处理环节都应当遵守上述原则的要求。
保护公民个人信息的合法权益,是个人信息保护相关立法的重要价值基点。我国个人信息保护相关立法,一以贯之地专门强调收集、使用等个人信息处理行为需要满足合法性、正当性等原则的要求。正如全国人大常委会法工委在《关于〈中华人民共和国个人信息保护法(草案)〉的说明》中指出:“违法收集、使用个人信息等行为不仅损害人民群众的切身利益,而且危害交易安全,扰乱市场竞争,破坏网络空间秩序。”[16]因此,我国个人信息保护立法进程中数部重要的法律都将合法性、正当性等原则作为个人信息处理的基本原则加以规定。2012年,全国人大常委会通过的《关于加强网络信息保护的决定》首次就合法性原则和必要性原则进行规定。[17]2013年修改的《消费者权益保护法》在消费者权益保护领域具体化了合法性、正当性原则。[18]2016年通过的《网络安全法》针对网络平台和服务大量收集使用公民个人信息的情形进行了进一步的规范,[19]并且以专门条款强调个人信息处理需要满足合法性要件。[20]2018年通过的《电子商务法》进一步延续了个人信息使用的合法性要求,对电商平台等电子商务经营者处理用户个人信息的行为进行规范。[21]2020年通过的《民法典》基于“个人信息的处理直接关系到信息主体的人格尊严”的考量,[22]在人格权编中专门设置了“隐私权和个人信息保护”一章,其中第1035条对“处理个人信息应当遵循的基本原则及应当满足的条件作了规定,是关于个人信息保护的核心内容”[23]。《民法典》第1035条明确规定处理个人信息应当遵循合法、正当、必要原则,不得过度处理。
《个人信息保护法》的制定继承了我国个人信息保护立法的既有经验和制度成果。在《个人信息保护法草案》中就将“处理个人信息应当采用合法、正当的方式”放置在较为突出的第5条的位置,在《个人信息保护法草案(二次审议稿)》中,针对过度收集、使用个人信息等较为突出的问题,增加了“不得通过胁迫方式处理个人信息”的表述。最终通过的《个人信息保护法》进一步完善了个人信息处理原则,明确个人信息处理应当遵循合法、正当、必要、诚信原则,既有利于《个人信息保护法》与《民法典》规范的衔接和协调,也实现了在个人信息保护专门立法中,更有针对性和更具系统性地强调处理个人信息需要以合法、正当、必要的方式进行的立法目的。
首先,对于“处理个人信息应当遵循合法原则”的理解可以从两个维度展开。
一是处理个人信息需要满足法律、行政法规的规定。诚如有学者所言,合法性原则首先要求“使用者追求的利益合乎现行法律的规定,不得以非法目的展开个人信息处理”[24]。“合法”中的“法”应当理解为广义的法律,包括全国人大及其常委会制定的法律,以及行政法规、地方性法规、部门规章等。一方面,法律规范的事项存在《立法法》的必要约束。例如,《立法法》第8条第8项规定民事基本制度必须制定法律,因此,个人信息处理的部分制度设计如果属于民事基本制度,则必须由法律统一规定。另一方面,《个人信息保护法》具体规定了个人信息处理规则,这些规则可以视为对个人信息处理合法性原则的具体化,在处理个人信息的不同环节和领域,应当优先遵循具体规则,尤其是要注意“法律”的内涵不尽相同,需要遵循的法律层级有所不同。例如,对于个人信息处理的“告知—同意”规则,《个人信息保护法》第18条规定了“应当保密或者不需要告知”的事项可以不向个人告知,所依据的法律仅包括法律和行政法规。再如,对于个人信息的保存期限应当限制在实现处理目的所必要的最短时间(第19条),但个人信息处理者同时需要遵循法律、行政法规对个人信息保存期限的特别规定。而在个人信息跨境提供规则中,个人信息处理者需要满足法律、行政法规或国家网信部门规定的其他条件(第38条第1款第4项),即网信部门的部门规章也可以作为个人信息跨境提供的合法性依据。
二是处理个人信息需要满足信息主体的知情同意。在《个人信息保护法》第13条确立的个人信息处理一般规则中,“取得个人同意”“法律、行政法规规定的其他情形”或者“为履行法定职责或法定义务所必需”等情形都是合法处理个人信息必须择一满足的要件。第14条第1款对于信息主体的“同意”作了进一步专门规定:“基于个人同意处理个人信息的,该同意应当由个人在充分知情的前提下自愿、明确作出。法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的,从其规定。”可以说,《个人信息保护法》将自然人的知情同意作为处理个人信息的一项重要的合法性前提,与《民法典》第1035条确定的个人信息处理原则的理解保持了一致。[25]但是,《个人信息保护法》作为个人信息保护专门立法,既有效保障了信息主体在个人信息处理中的主导地位,又兼顾了灵活性,对于无需信息主体同意而依法处理个人信息的场景和领域进行了更为详细的规定。例如,《个人信息保护法》第13条明确规定,对于“为订立、履行个人作为一方当事人的合同所必需”“按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需”“为履行法定职责或者法定义务所必需”等情形下处理个人信息都无需取得个人同意。
其次,处理个人信息应当遵循正当原则。主要是指处理个人信息的目的和手段要正当,尤其是个人信息处理者应当依据特定的使用目的并将该目的告知信息主体。从目的层面而言,如果是信息主体同意使用个人信息的,应当符合收集个人信息时告知信息主体的使用目的,如果是依法使用个人信息的,应当严格按照法定目的处理个人信息。《个人信息保护法》围绕使用目的特定具体设计了相关条款。例如,《个人信息保护法》第17条规定:“个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项:……(二)个人信息的处理目的、处理方式,处理的个人信息种类、保存期限……”同时,第14条第2款还规定:“个人信息的处理目的、处理方式和处理的个人信息种类发生变更的,应当重新取得个人同意。”这意味着如果在处理个人信息过程中,需要新增处理目的,应当重新取得个人同意,这是个人信息处理正当性原则的重要体现。从手段层面而言,个人信息处理者不得采用捆绑服务、诱导授权、违规窃取等不正当方式获取个人信息,如工信部对于手机App违规调用通信录、位置信息等问题多次进行处置,相关App的行为就是在手段上违反了正当原则的典型行为。
再次,处理个人信息应当遵循必要原则。个人信息的处理应当限定在必要限度内,不得进行与处理目的无关的个人信息处理。必要原则在《个人信息保护法草案(二次审议稿)》中被放置在第6条,但在最终的《个人信息保护法》中被统一放置在第5条规定的各项原则中。必要原则要求个人信息处理应当依据特定、明确的目的进行,是一种手段和目的之间的“工具理性关联”,但第6条的“最小范围限制”则是一种手段和手段之间的比较,要求选取对公民权益影响最小的方式开展个人信息处理活动。因此,《个人信息保护法》将必要原则放置在第5条,与第6条的“最小范围限制”分别进行规定更为科学合理。以收集个人信息为例,公权力机关要将收集个人信息的范围限制在履行公共职能的必要限度内,《个人信息保护法》第34条规定:“国家机关为履行法定职责处理个人信息,应当依照法律、行政法规规定的权限、程序进行,不得超出履行法定职责所必需的范围和限度。”而公民、法人和其他社会组织收集个人信息也应当限制在提供相应商业服务等职能的范围内。
最后,“诚信原则”是指个人信息处理者应当秉持诚信,不得通过误导、欺诈、胁迫等方式处理个人信息。诚信原则是民法特别是债法中的“帝王原则”。《民法典》第1035条对于处理个人信息“正当原则”的规定,已经包含了“遵守诚实信用原则”的要求。[26]但由于实践中,“大数据杀熟”等严重违背诚信原则的热点事件不断出现,《个人信息保护法草案》将“诚信原则”从正当性原则中独立出来,并且以负面列举的方式明确规定:“不得通过欺诈、误导等方式处理个人信息。”在《个人信息保护法草案(二次审议稿)》中,该条款修改为“不得通过误导、欺诈、胁迫等方式处理个人信息”,增加了“胁迫”的行为方式。这一变化主要是针对实践中以“胁迫”的手段处理个人信息的情况较为突出,尤其是以停止提供服务等作为条件胁迫个人提供个人信息或同意个人信息处理者使用、加工个人信息。《个人信息保护法》第16条专门针对此种情形进行了规范:“个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由,拒绝提供产品或者服务;处理个人信息属于提供产品或者服务所必需的除外。”《个人信息保护法》对于“诚信原则”的规定,也要求个人信息处理者在收集、存储、加工、传输、提供、公开等各个处理环节严守合同和允诺,不得随意违背合同损害公民合法的个人信息权益,更不得以误导、欺诈、胁迫的方式取得公民的同意或处理公民个人信息。
【关联规定】
《中华人民共和国网络安全法》第41条、第44条,《中华人民共和国数据安全法》第32条,《中华人民共和国消费者权益保护法》第29条,《中华人民共和国未成年人保护法》第72条,《网络交易监督管理办法》第13条,《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》第2条
(撰稿人:杜吾青、赵精武)