數據保護|程嘯:論我國民法典中的個人信息合理使用制度

　　為了能夠科學有效地協調個人信息的保護與合理利用，我國《民法典》規定了完善的個人信息合理使用制度。為有助於理論界和實務界準確地理解並適用《民法典》中個人信息合理使用制度，本文將對我國《民法典》中個人信息合理使用的涵義、規範層次及具體適用情形等問題進行詳細的探討。

　　（一）個人信息合理使用無需取得自然人的同意

　　我國《民法典》第111條與第1034條第1款規定，自然人的個人信息受法律保護。這種保護表現在：一方面，自然人的個人信息被侵犯後可以請求侵害人承擔民事責任；另一方面，自然人可以對個人信息進行積極的支配和利用。《民法典》第993條規定關於人格權的商業化利用，該條屬於在法律沒有相反規定的情況下可以普遍適用於所有人格權益的共通性規定。除此之外，《民法典》第1035條和第1036條則從正反兩方面都非常明確地肯定了自然人有權同意（即許可）處理者處理自己的個人信息。

　　由此可見，自然人完全可以在不違反法律的規定或者個人信息性質的情形下，許可他人使用自己的個人信息。然而，個人信息的合理使用與自然人同意他人處理其個人信息完全不同，前者的根本特徵在於：處理者可以不取得自然人或者其監護人的同意就對個人信息進行處理行為，產生的法律效果是免除了處理者的民事責任、行政責任和刑事責任。

　　需要注意的是個人的合理適用與匿名化信息的處理行為既有聯繫又有差異。兩者的共同之處在於，均無需得到自然人的同意即可實施。區別在於：一方面，兩者的適用範圍不同。個人信息的合理使用涉及對個人信息的各種處理行為。另一方面，行為合法的理由不同。個人信息合理使用的合法理由是法律基於公共利益等利益考量對自然人個人信息權益作出的限制，匿名化信息的合法理由在於匿名化信息不屬於個人信息。

　 （二）個人信息合理使用是法律基於公共利益等對人格權益進行的限制

　　個人信息合理使用的理論基礎在於民事權益限制理論。個人信息的合理使用是立法者基於價值權衡，為了維護公共利益對自然人的個人信息權益所作出的限制，其性質上屬於對人格權益而非財產權益的限制。具體闡述如下：

　　第一，個人信息上存在的是自然人的民事權益。個人信息的根本特徵在於識別性（直接識別與間接識別）。除了能夠被識別的自然人，其他民事主體針對該自然人的個人信息本身並不享有任何民事權益（這一點不同於數據企業針對數據資產的權益）。

　　第二，自然人對其個人信息享有的民事權益屬於人格權益，而非財產權益。如果將自然人對個人信息的權益直接確定為「個人信息權」，可能會導致自然人對其個人信息享有過於絕對的支配權和控制權，以致影響信息自由流動，不利於網絡信息社會和數字經濟的發展。

　　雖然《民法典》沒有規定個人信息權，但是一方面，《民法典》總則編第五章「民事權利」在列舉了具體人格權後，於第111條對個人信息的保護作出了宣示性規定。另一方面，《民法典》明確將個人信息保護的內容放在第四編「人格權」中。由於該編調整著自然人享有的基於人身自由、人格尊嚴產生的其他人格權益（第990條第2款）。這就更加明確了自然人對其個人信息享有的民事權益屬於人格權益。

　　第三，既然自然人的個人信息權益屬於人格權益，那麼個人信息的合理使用在本質上就是對自然人的人格權益的限制，而非對其財產權益的限制。需要指出的是，由於我國對於人格權利益採取「一元化保護」模式。故此，我國法上允許人格權的商業化利用（《民法典》第993條）。因此，將自然人的個人信息權益規定為人格權益，既不妨礙自然人在許可他人使用其個人信息時收取費用，也不影響企業取得自然人的同意進而處理其個人信息。

　　第四，對自然人個人信息權益的限制必須是基於維護公共利益等正當理由，同時要符合法律保留原則和比例原則。符合法律保留原則即包括個人信息合理使用在內的個人信息保護的規則和制度必須制訂法律。符合比例原則即要求使用「合理」。所謂合理使用，是指使用個人信息，都應當是在服務於法律規定合理使用所希望達到的目的的範圍內，且手段和方式沒有超過為實現該目的而可以採取的最緩和的方式。 

　　《民法典》對於個人信息的合理使用構建了一套全面系統的規範體系，具體來說，可將之分為以下三個規範層次。

　　（一）總則編的抽象規範

　　對個人信息合理使用的第一個規範層次在《民法典》第一編「總則」中。民法的基本原則是指導各種民事行為、民事立法和司法活動的根本準則，故此，個人信息的合理使用，應當遵循民法的基本原則。對於個人信息合理使用發生理解上的分歧，且法律沒有規定或者規定不明確的，就應當遵循民法的基本原則加以判斷。此外，《民法典》總則編第8章中關於免責事由的規定，原則上也適用於包括個人信息權益在內的所有民事權益，除非法律另有規定。

　　（二）人格權編的共通性規範

　　對個人信息合理使用的第二個層面的規定是從人格權共通性或一般性法律規範角度做出的關於人格權限制的規定。主要規定在《民法典》人格權編第一章「一般規定」。該章主要規定了以下兩項非常重要的人格權限制性規範。

　　第一，《民法典》第998條規定：「認定行為人承擔侵害除生命權、身體權和健康權外的人格權的民事責任，應當考慮行為人和受害人的職業、影響範圍、過錯程度，以及行為的目的、方式、 後果等因素。」該規範目的在於：首先，明確了生命權、身體權、健康權這三項人格權不得任意限制和克減的原則。其次，除了生命權、身體權、健康權之外的人格權（包括人格利益），在認定侵害人格權益的民事責任時，應當考慮上述因素。

　　第二，《民法典》第999條規定：「為公共利益實施新聞報導、輿論監督等行為的，可以合理使用民事主體的姓名、名稱、肖像、個人信息等；使用不合理侵害民事主體人格權的，應當依法承擔民事責任。」該條明確規定了可以合理使用的人格權的客體。一方面，只有基於公共利益而實施新聞報導、輿論監督等行為的，才可以使用自然人的個人信息；另一方面，應當做到 「合理」使用。在判斷使用是否合理時，可以依據《民法典》第998條規定的因素加以判斷。

　　（三）針對個人信息權益限制的專門規範

　　《民法典》對個人信息合理使用的第三個層次的規範，就是直接作出的、專門的針對個人信息作出的限制性規定。我國《民法典》在第1036條列舉了三大類處理個人信息免責事由。其中第一類「在該自然人或者其監護人同意的範圍內合理實施的行為」，屬於權利的自願限制，只有第二、三類即「合理處理該自然人自行公開的或者其他已經合法公開的信息」以及「為維護公共利益或者該自然人合法權益，合理實施的其他行為」，屬於法律限制，即個人信息的合理使用。

　　由於我國《民法典》專設「侵權責任編」用以保護所有的人身權益和財產權益，因此，該編中關於侵權責任的免責事由的規定，構成相應的權利限制。

　　我國《民法典》所規定的個人信息合理使用的情形與比較法上的規定基本一致，下面分別予以論述。

　　（一）實施新聞報導、輿論監督等行為

　　依據《民法典》第999條，為公共利益實施新聞報導、輿論監督等行為的，可以合理使用自然人的個人信息，使用不合理侵害民事主體人格權的，應當依法承擔民事責任。需要注意的是，在社交媒體時代，不僅是新聞單位，自媒體上的普通用戶的言論集合也可以形成輿論監督。

　　《民法典》之所以這樣規定，是因為在為公共利益而實施的新聞報導、輿論監督中不可避免的要涉及特定的自然人，且為公共利益實施新聞報導、輿論監督的行為，對於維護廣大民事主體的合法權益和保護表達自由是重要的。當然，與公共利益無關的新聞報導、輿論監督可能構成侵權。

　　（二）維護公共利益

　　《民法典》第1036條第3項規定明確了維護公共利益是合理使用個人信息的情形。基於哪些公共利益可以合理使用個人信息，筆者依據現行法律將可以合理使用個人信息的公共利益分為以下類型。

　　第一，國家利益，主要包括國家的安全利益、外交利益、軍事利益以及意識形態利益等，具體又分為國家安全、經濟安全、文化安全與環境安全。

　　第二，社會公共利益。筆者認為，基於社會公共利益而合理使用個人信息的情形具體包括：①基於社會治安即公共安全而合理使用個人信息；②基於維護其他社會安全利益如公共衛生安全等合理使用個人信息；③為確保社會資源公平合理的分配與使用而合理使用個人信息；④基於學術科研、文化藝術及公共教育發展的公共利益合理使用個人信息；⑤為維護社會公共道德而合理使用個人信息；⑥為了其他的社會公共利益而合理使用個人信息，如基於殘疾人保護、勞動者保護、消費者權益保護等弱者保護的考量，或者為了維護公平合理的市場競爭秩序而合理使用個人信息。

　　（三）維護自然人的合法權益

　　依據《民法典》第1036條第3項，為了作為個人信息主體的「該自然人合法權益」，可以不經過自然人或其監護人的同意而合理實施個人信息的處理行為，行為人不承擔民事責任。例如，甲突發疾病而生命垂危，需要掌握其既往病史等個人信息的情形。

　　事實上，我國臺灣地區相關法律規定為了維護自然人之外的其他民事主體的合法權益，也可以適用個人信息合理使用。我國《民法典》第1036條第3項沒有規定，但如果是為了維護其他民事主體的合法權益而需要合理使用個人信息，那麼該等情形屬於緊急避險，完全可以適用《民法典》第182條，無需重複規定。

　　（四）處理已合法公開的個人信息

　　依據《民法典》第1036條第2項，合理處理該自然人自行公開的或者其他已經合法公開的信息，即便沒有得到該自然人的同意，行為人也不承擔民事責任，但是該自然人明確拒絕或者處理該信息侵害其重大利益的除外。所謂合法公開的個人信息有兩個特徵：其一，合法性，公開有合法依據。其二，公開性，即個人信息被公之於眾，不特定的人可以通過合法的途徑而獲悉。

　　合法公開的個人信息包括兩大類：其一，自然人自行公開的個人信息。其二，其他已經合法公開的個人信息，這主要包括兩種情形：一是，依據行政行為而公開的個人信息。二是，依據司法行為而公開的個人信息。

　　《民法典》第1036條第2項規定，對於已經合法公開的個人信息，如果該自然人明確拒絕對已合法公開的個人信息進行處理或者處理該信息侵害其重大利益，則構成例外。

　　（五）其他問題

　　在比較法上，部分立法例還規定了一種為履行合同而必須處理個人信息的情形。筆者認為，這種情形下，處理者是在取得自然人的同意的基礎上處理個人信息的，而非僅因締結合同或履行合同本身就可以直接處理個人信息。故此，我國《民法典》第501條規定了訂立合同過程中對商業秘密或者其他應當保密的信息的限制。綜上，筆者認為，我國《民法典》以及未來的《個人信息保護法》中，均無必要將這種情形作為合理使用的情形。

 （本文經過作者授權許可，精選自《中外法學》2020年04期《論我國民法典中的個人信息合理使用制度》，未經許可，不得轉載。）

「人工智慧與網絡法前沿」公眾平臺

唯一投稿薦稿郵箱：

THAICLaw@163.com

團隊唯一微信號AICLaw

平臺僅會通過上述渠道聯繫作者