47.处理自然人的个人信息应当遵循什么原则?
对于个人信息的处理直接关系到信息主体的人格尊严,《民法典》第1034条第1款明确规定,自然人的个人信息受法律保护。“自然人的个人信息受法律保护”主要体现在两方面:一方面,自然人对自己的个人信息享有一系列权能,例如本章规定的知情同意权、查阅复制权、更正删除权等;另一方面,处理他人个人信息的主体应当履行相应的义务,遵循一些基本原则和规则。对于处理个人信息应当遵循的基本原则和应当满足的条件,世界经济合作和发展组织发布的《隐私保护与个人数据跨国流通指南》规定了收集限制原则、数据质量原则、目的特定化原则、使用限制原则、安全原则、公开原则、个人参与原则等。欧盟2018年5月25日正式开始实施的《一般数据保护条例》规定了合法、正当、透明原则,特定、明确目的原则,目的适当、相关、限制原则等。我国《网络安全法》第41条规定,网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。消费者权益保护法和我国的一些司法解释和规范性文件也对处理个人信息应当遵循的原则和条件作了一些规定。《民法典》第1035条在我国现行有关法律法规和个人信息保护实践的基础上,借鉴吸收国际上的通行规定,对处理个人信息应当遵循的基本原则并应当满足的条件作了规定。根据该规定,处理个人信息应当遵循以下原则:
一是合法原则,即信息处理者处理个人信息必须要有合法的依据,且处理的方法应当符合法律的规定。合法的依据主要来自两个方面:第一,法律法规的明确规定。除本章的相关规定,目前我国还有网络安全法、消费者权益保护法、电子商务法等多部法律和多部行政法规,都对处理个人信息作了相关规定。相关主管部门也依法制定了一些部门规章,例如工业和信息化部制定的《电信和互联网用户个人信息保护规定》,信息收集者、信息控制者应当严格遵守这些规定,不得违反。立法机关正在起草的个人信息保护法也将对此作规定。所以,《民法典》第1035条第1款第4项明确规定,处理个人信息不得违反法律、行政法规的规定和双方的约定。该项规定是对合法原则的具体化。对于处理个人信息,法律法规未作规定的事项,信息处理者还应当遵守相关行业规范,目前一些行业组织已制定了相关的个人信息保护自律规范。第二,信息主体的同意。收集、处理个人信息取得信息主体的同意是个人信息保护的核心原则。除法律、行政法规另有规定外,收集、处理个人信息原则上应当征得该自然人或者其监护人同意。将自然人或者其监护人的知情同意作为合法处理个人信息的主要合法性前提,充分体现了信息主体在个人信息处理中的主导地位,可以有效保障信息主体对自身个人信息的控制。“监护人同意”是指自然人因年龄、精神等原因为无民事行为能力人或者限制民事行为能力人时,由其监护人决定是否同意他人处理其个人信息。这突出强调了对未成年人等行为能力欠缺者的特别保护。信息主体同意的方式多样,可以是通过与信息处理者签订协议的方式,也可以是单方授权的方式,还可以是其他方式。但是,针对个人信息敏感度的不同,对同意的要求程度不同,处理某些个人信息应当取得信息主体明示同意,例如对于信息主体敏感度较高的信息或者隐私信息,根据《民法典》第1033条第5项的规定,任何组织或者个人未取得权利人明确同意,不得处理他人的私密信息。《民法典》第1035条第1款第1项中的“但是法律、行政法规另有规定的除外”是指收集、处理个人信息可以不取得信息主体同意的例外情形,但这些例外情形必须由法律、行政法规作出明确规定,例如本章第1037条规定的情形既是处理他人个人信息可以免除民事责任的情形,实际上也是处理他人个人信息无须取得信息主体同意的情形。此外,我国正在制定中的个人信息保护法也可以对处理个人信息无须取得信息主体同意的具体情形作出更为详细的规定。
二是正当原则。所谓正当原则是指处理个人信息除了要遵循合法原则外,信息处理的目的和手段还要正当,应当尊重公序良俗和遵守诚实信用,并且要尽量满足透明的要求,以便当事人能够充分了解情况,自主行使自己的权利。这就要求信息处理者对处理个人信息的行为进行自我管理,确保处理个人信息行为的正当性。特别是在收集、处理个人信息过程中不得强迫用户授权,或者以捆绑服务、强制停止使用等不正当手段变相诱导、胁迫用户提供个人信息,更不得欺骗、窃取或者其他非法手段处理他人的个人信息。实践中的“大数据杀熟”就是一种典型的违反正当原则的行为。
三是必要原则。所谓必要原则是指处理个人信息的目的应当特定,处理应当受限制。处理个人信息应当有特定目的,并且应当依据该特定的、明确的目的进行,通常不得超出目的范围处理个人信息,与实现所涉目的无关的个人信息不得处理。例如医疗机构收集患者的疾病信息的目的是用于分析患者病情或者分析疾病之用,不得将其用于非医疗目的;还比如电商承诺只将收集到的消费者个人信息用于研究分析消费发展趋势目的的,就不得将其用于其他目的。此外,必要原则还包括即使按照特定目的收集、处理个人信息,也应当按照对信息主体影响最小的方式进行,应当在必要的限度内进行。这就要求信息处理者在收集信息时不应当收集对提供服务没有必要的个人信息,只有那些对开展相关服务而言非收集不可或者不收集就无法满足用户服务需要的信息,才可被收集;在处理个人信息时,处理的内容和范围不应过于宽泛,只有在不得不处理时才可以处理个人信息。不得过度处理个人信息本应是必要原则的应有之义,但是在立法过程中,不少意见提出,针对实践中不少网络服务提供商,特别是一些手机APP应用服务提供商过度收集处理个人信息的现象比较普遍,严重损害了信息主体的权益,建议明确规定,不得过度处理个人信息。这一条采纳了这一意见,特别强调不得“过度处理”个人信息。这一规定针对性是较强的。
四是公开透明原则。所谓公开透明原则是指信息处理者在处理个人信息时应当公开处理信息的规则,并明示处理信息的目的、方式和范围,确保信息主体享有知情权。公开透明原则极为重要,其是确保信息主体知情同意的前提。只有让信息主体充分知悉和了解处理个人信息的规则、目的、方式和范围,了解个人信息被处理的后果和可能的影响,才可以保护信息主体的意思判断是自主、真实和合理的。这里的公开透明并非指个人信息内容公开,而是指处理个人信息的过程和规则应当公开。这就要求信息处理者在处理个人信息时要主动增强透明度,用通俗易懂、简洁明了的语言说明处理个人信息的目的、方式和范围,并将处理个人信息的规则予以公开。由于这些规则是由个人信息处理者单方制定的,属于格式条款,因此应当受民法典合同编和其他相关法律关于格式条款规定的规范。