绮惠说法 个人信息处理的合法性基础

绮惠说法 个人信息处理的合法性基础本站　　前面笔者简单探讨了《中华人民共和国个人信息保（草案）》（以下简称草案）的基本原则和理念，今天再谈谈草案中确立合法性原则的具体规则——　　大数据时代，数据和信息本身就是最重要的资源，个人信息的合法处理和运用尤为重要，但个人信息需要遵循哪些基本规则才称之为合法呢？我国《网络安全法》将信息主体“同意”作为个人信息处理的唯一合法性基础

　　前面笔者简单探讨了《中华人民共和国个人信息保（草案）》（以下简称草案）的基本原则和理念，今天再谈谈草案中确立合法性原则的具体规则——

　　大数据时代，数据和信息本身就是最重要的资源，个人信息的合法处理和运用尤为重要，但个人信息需要遵循哪些基本规则才称之为合法呢？我国《网络安全法》将信息主体“同意”作为个人信息处理的唯一合法性基础。这一规定在当时的背景下无疑是合理的，能够彰显个人的主体地位，限制对个人信息的窃取、贩卖或隐秘收集等明显侵犯个人信息的行为。但随着我国数字经济的发展，加之相应具体的“同意”规则缺失或者不完善，无差别地要求企业获得用户同意已经难以满足日益复杂多样的个人信息处理场景，容易导致“同意”在实践中流于形式。

　　《民法典》首次规定了“同意的例外”：根据第1035条，处理自然人个人信息的，应征得该自然人或者其监护人同意，但是法律、行政法规另有规定的除外。结合《民法典》第1036规定的三种豁免情形，第999条为公共利益而进行新闻报道、监督的特别例外情形，我国《民法典》确立的个人信息处理的合法基础为：

　　（1）个人信息主体或其监护人同意；（2）个人信息系自然人自行公开或已合法公开（但是该自然人明确拒绝或者处理该信息侵害其重大利益的除外）；（3）为维护公共利益或该自然人合法权益，包括基于公共利益目的而进行新闻报道或监督；（4）法律、行政法规规定的其他合法基础。

　　尤其是“在符合法律、行政法规规定的前提下，可以不经个人信息主体同意而处理其个人信息。”的原则性规定为当前《个人信息保》的立法留下了空间。

　　草案延续了《民法典》的一些规定内容，充分借鉴了GDPR关于合法基础的规定，建立起了我国个人信息处理的合法性基础和“知情-同意”规则。草案除了继续强调个人同意的首要合法性基础外，另外增加了五种个人信息处理的合法基础，具体包括：为订立或者履行个人作为一方当事人的合同所必需；为履行法定职责或者法定义务所必需；为应对突发公共卫生事件，或者紧急情况下为保护自然人的生命健康和财产安全所必需；为公共利益实施新闻报道、监督等行为在合理的范围内处理个人信息；以及法律、行政法规规定的其他情形等。草案与《民法典》和GDPR的合法性基础的简单对比如下图：

　　通过上述对比可以看出，在《民法典》的基础上，《草案》将订立或履行合同所必需、保护自然人的重大利益以及公共利益纳入个人信息处理的合法基础的范围，结合疫情防控的现状，突出了突发公共卫生事件的规定。综合考虑我国国情和现实情况，《草案》未引入GDPR中正当利益这一合法基础。这样的安排非常必要，也是科学合理的。

　　显然，此后“同意”已经不是个人信息处理的唯一合法性，此后也不排除其他法律、行政法规继续增加个人信息处理的合法性基础。当前新冠肺炎疫情仍未结束，这也使得为了公共安全、重大公共利益目的强制通过各种健康码、行程信息来收集利用相关个人信息具有了合法性基础，国人不会也不应再就这一点来吐槽。当然，这并不意味着“个人同意”不再重要，草案同时还建立一整套的“知情-同意”规则加以规范，具体内容，有待下回详细解读。