文/王 進(jìn)（西南政法大學(xué)民商法學(xué)院，重慶 401120）

論個(gè)人信息處理正當(dāng)性的特殊依據(jù)
——以歐盟《一般數(shù)據(jù)保護(hù)條例》為視角

文/王 進(jìn)（西南政法大學(xué)民商法學(xué)院，重慶 401120）

在大數(shù)據(jù)時(shí)代背景下，知情同意原則難以為某些特殊的信息處理行為提供正當(dāng)性依據(jù)。因此，許多國(guó)家的立法都規(guī)定了個(gè)人信息處理正當(dāng)性之特殊依據(jù)體系，其中尤以歐盟2016年4月27日通過(guò)的《一般數(shù)據(jù)保護(hù)條例》最為完善。我國(guó)立法應(yīng)同時(shí)規(guī)定個(gè)人信息處理之一般依據(jù)和特殊依據(jù)，借鑒歐盟經(jīng)驗(yàn)將個(gè)人信息處理之特殊依據(jù)劃分為六種類型，明確各種特殊依據(jù)的判定標(biāo)準(zhǔn)以便于司法審判的認(rèn)定，不斷完善個(gè)人信息處理正當(dāng)性之特殊依據(jù)體系以符合時(shí)代的要求。

個(gè)人信息 正當(dāng)性 特殊依據(jù) 信息處理

一、為履行或訂立合同

GDPR第6條第1款b項(xiàng)規(guī)定了 “為履行或訂立合同”這一特殊依據(jù)，其包含了兩種情形，即為履行合同而處理個(gè)人信息和為訂立合同而處理個(gè)人信息。下面就這兩種情形分別進(jìn)行分析。

（一）為履行合同

為履行合同而處理個(gè)人信息是指信息控制者與信息主體分別為合同雙方當(dāng)事人，而信息處理行為屬于為履行合同義務(wù)所必需。例如，在買(mǎi)賣(mài)合同中賣(mài)家（信息控制者）需要處理買(mǎi)家（信息主體）的收貨地址，以便交付買(mǎi)賣(mài)合同的標(biāo)的物，或處理其支付寶信息以便向買(mǎi)家收款。而在勞務(wù)合同中，信息控制者處理信息主體的銀行賬戶信息則可以是為了支付薪酬。

但在司法實(shí)務(wù)之中，合同義務(wù)與處理目的具有復(fù)雜性，所以筆者認(rèn)為有必要對(duì)履行合同目的進(jìn)行嚴(yán)格解釋，將并非為真正履行合同所必需的處理行為排除在本規(guī)定之外，并將其定性為信息控制者侵犯信息主體個(gè)人信息權(quán)的行為。即使某些信息處理本來(lái)就已經(jīng)訂立在合同內(nèi)，但卻未必為履行合同所需要。例如在朱燁與北京百度網(wǎng)訊科技公司隱私權(quán)糾紛上訴案中［4］，百度公司根據(jù)用戶在網(wǎng)站上的搜索和瀏覽記錄，建立用戶喜好或習(xí)慣的Cookie檔案，并根據(jù)其推送相關(guān)的廣告，此時(shí)履行合同便不能作為信息處理的合法依據(jù)，原因在于百度公司并沒(méi)有因?yàn)槭占脩鬋ookie而專門(mén)訂立合同，就算雙方的網(wǎng)絡(luò)服務(wù)合同在其隱私保護(hù)聲明中曾經(jīng)明確提及了收集用戶Cookie并建立檔案，其收集行為是為了向用戶推送廣告而非為履行合同主要內(nèi)容所“必需”。

判斷某一信息處理行為是否為履行合同所必須，必須先明確合同的準(zhǔn)確意向，即合同本質(zhì)和基本目的。如果合同目的不明確，則難以通過(guò)履行合同這一依據(jù)為處理行為提供正當(dāng)性，此時(shí)就需要調(diào)查更具體的事實(shí)，例如已經(jīng)征得信息主體同意，或?qū)ζ洳扇×顺浞值谋Ｗo(hù)措施，即可通過(guò)其他正當(dāng)性來(lái)源來(lái)證明處理的合法性。如果合同目的是明確的，此時(shí)可根據(jù)合同的義務(wù)群進(jìn)行判定，這些義務(wù)主要包括主給付義務(wù)、從給付義務(wù)、附隨義務(wù)、不真正義務(wù)［5］。只要信息控制者為履行這些義務(wù)而為的處理行為皆可通過(guò)本項(xiàng)證明其合法性。

總之b項(xiàng)僅適用于履行合同所必需的情況，既不適用于違反合同目的所導(dǎo)致的所有后續(xù)行為，也不適用于執(zhí)行合同過(guò)程中發(fā)生的對(duì)合同目的實(shí)現(xiàn)而言無(wú)關(guān)緊要的事實(shí)，只要信息的處理與執(zhí)行合同內(nèi)容有關(guān)，履行合同就可成為其正當(dāng)性依據(jù)。

（二）為訂立合同

為訂立合同而處理個(gè)人信息是指在合同尚未締結(jié)之前，信息處理者應(yīng)信息主體的要求而處理其個(gè)人信息。前者，例如在財(cái)產(chǎn)保險(xiǎn)合同中，投保人要求保險(xiǎn)人提供其財(cái)產(chǎn)的保價(jià)，保險(xiǎn)人基于投保人的請(qǐng)求而處理汽車的車牌號(hào)、行駛證等相關(guān)資料，此等處理發(fā)生在合同生效前，也并非為履行合同義務(wù)，而是為了雙方當(dāng)事人成功訂立合同。

值得思考的一個(gè)問(wèn)題是為履行先合同義務(wù)而處理個(gè)人信息能否通過(guò)本項(xiàng)規(guī)定獲得正當(dāng)性依據(jù)，這就需對(duì)厘清先合同義務(wù)的性質(zhì)?！八^先合同義務(wù)是指締約人雙方為簽訂合同而互相磋商時(shí)依誠(chéng)實(shí)信用原則逐漸產(chǎn)生的注意義務(wù)，而非合同有效成立后產(chǎn)生的給付義務(wù)，包括互相協(xié)助、保護(hù)、通知、忠誠(chéng)等義務(wù)?！保?］我國(guó)理論界普遍認(rèn)為“先合同義務(wù)是一種法律義務(wù)，即是法律強(qiáng)制締約雙方承擔(dān)的義務(wù)，而不是由合同雙方自我約定的義務(wù)。因此，違反先合同義務(wù)的行為是違法行為而不是違反合同的行為”［7］。該義務(wù)產(chǎn)生于法定的誠(chéng)實(shí)信用原則，所以為履行先合同義務(wù)屬于改款c項(xiàng)所規(guī)定之法定義務(wù)，而非通過(guò)訂立合同為其提供正當(dāng)性依據(jù)。

二、法定義務(wù)

第6條第一款c項(xiàng)為信息控制者為履行法定義務(wù)而處理信息主體的個(gè)人信息的情況提供了合法依據(jù)。例如，在商業(yè)銀行貸款之時(shí)往往需要對(duì)貸款人的相關(guān)財(cái)務(wù)信息進(jìn)行處理，此時(shí)商業(yè)銀行依據(jù)的是《商業(yè)銀行法》第三十五條之規(guī)定，即“商業(yè)銀行貸款，應(yīng)當(dāng)對(duì)借款人的借款用途、償還能力、還款方式等情況進(jìn)行嚴(yán)格審查?！边@種義務(wù)屬于《商業(yè)銀行法》直接施加給商業(yè)銀行的法律義務(wù)，而非當(dāng)事人間和合同約定，應(yīng)通過(guò)本項(xiàng)規(guī)定為其提供正當(dāng)性。

筆者認(rèn)為，正確理解與適用法定義務(wù)這一正當(dāng)性依據(jù)還必須明確以下兩點(diǎn)。首先，該法定義務(wù)僅指本國(guó)法律所規(guī)定的的義務(wù)。因?yàn)閭€(gè)人信息處理往往涉及跨境信息轉(zhuǎn)移的情形，信息處理者在遵守本國(guó)法律的同時(shí)還往往會(huì)受到國(guó)際機(jī)構(gòu)和目標(biāo)國(guó)家的規(guī)則和法律限制。此時(shí)若其法律或規(guī)則未受到本國(guó)法律認(rèn)可，如通過(guò)加入國(guó)際組織使其成為國(guó)內(nèi)法，則不能通過(guò)本項(xiàng)為其處理行為提供正當(dāng)性基礎(chǔ)。其次，即使該項(xiàng)為信息主體履行法定義務(wù)而處理個(gè)人信息提供了正當(dāng)性基礎(chǔ)，也并不意味著該處理行為脫離了GDPR的約束，其仍要受到公開(kāi)、目的限制和數(shù)據(jù)最小化等原則的限制［8］。即其所采取的處理過(guò)程必須是公開(kāi)的，其處理行為不能偏離這一目的，要能夠被履行法定義務(wù)這一初始目的所兼容，要采取對(duì)信息主體而言損害最小的處理方式，采取相應(yīng)的保護(hù)措施。所以本款僅僅使處理行為滿足了合法性的要求。

三、信息主體或他人的重大利益

第6條第一款C項(xiàng)是基于“處理是為保護(hù)信息主體或另一自然人的重大利益所必須的”，而成為處理的正當(dāng)性依據(jù)。該項(xiàng)的表述與第9條第2款c項(xiàng)有些類似，但后者更為嚴(yán)格，其要求“處理對(duì)保護(hù)信息主體或另一自然人的重大利益是必要的，且信息主體身體上或法律上無(wú)能力給予同意”［9］。其原因在于第9條規(guī)定的是敏感個(gè)人信息處理的正當(dāng)性，相較一般個(gè)人信息而言，該種信息往往涉及個(gè)人隱私［10］，如私人和家庭生活等。GDPR基于對(duì)私人生活和家庭生活的尊重，提高了對(duì)個(gè)人信息的保護(hù)標(biāo)準(zhǔn)［11］，所以即使是為信息主體或另一自然人的切身利益而必須處理其敏感個(gè)人信息，仍需符合信息主體身體上或法律上無(wú)能力給予同意這一前提。

在明確其區(qū)別之后，還需要正確理解這兩條中所規(guī)定涉及之“重大利益”一詞為何意，究竟達(dá)到何種程度方為GDPR所言之重大利益，以及何時(shí)才能為第三人的重大利益處理信息主體的個(gè)人信息。關(guān)于這兩個(gè)問(wèn)題，GDPR在其序言第46段給出了解答。［12］首先，若某一權(quán)益事關(guān)信息主體或另一自然人的生命或人身安全，則該種權(quán)益方可稱之為個(gè)人信息法中的“重大利益”，此時(shí)為了保障這項(xiàng)權(quán)益所進(jìn)行的必要的個(gè)人信息處理應(yīng)被視作是合法的。例如在施某某、張某某、桂某某訴徐某某肖像權(quán)、名譽(yù)權(quán)、隱私權(quán)糾紛案［13］中，法院正是基于保護(hù)未成年人免受養(yǎng)父母虐待這一正當(dāng)性依據(jù)，認(rèn)定徐某某的公布未成年人受傷害信息的行為不屬于侵權(quán)行為。其次，原則上只有在明顯無(wú)法以另一法律依據(jù)為基礎(chǔ)進(jìn)行信息處理的情形下，才能基于另一自然人的重大利益進(jìn)行個(gè)人信息處理。

在某些信息處理類型中，該項(xiàng)還可能與其他正當(dāng)性依據(jù)同時(shí)并存，例如在某些自然災(zāi)害和人為災(zāi)害之中對(duì)信息主體的個(gè)人信息進(jìn)行處理，既是為了信息主體和其他自然人的生命和人身安全，更是為了社會(huì)公眾利益，此時(shí)信息主體或他人的重大利益與公共利益這兩種正當(dāng)性依據(jù)就同時(shí)并存，信息控制者可選擇通過(guò)重大利益或公共利益作為處理依據(jù)以證明其合法性。

四、行使公權(quán)力

GDPR之所以將行使公權(quán)單獨(dú)規(guī)定為一項(xiàng)信息處理正當(dāng)性的特殊依據(jù)，原因在于其采用了國(guó)家機(jī)關(guān)和非國(guó)家機(jī)關(guān)統(tǒng)一規(guī)定個(gè)人信息保護(hù)立法模式。而在采用分別規(guī)定的立法模式中，例如我國(guó)臺(tái)灣地區(qū)《個(gè)人信息保護(hù)法》［14］和我國(guó)學(xué)者的《個(gè)人信息保護(hù)法專家建議稿》［15］均將其放到了國(guó)家機(jī)關(guān)收集個(gè)人信息所應(yīng)遵守基本原則之中，即要求信息收集、處理的目的是為實(shí)現(xiàn)其自身職能，將其視為信息處理正當(dāng)性的一般依據(jù)。

GDPR此處的行使公權(quán)力是指為了履行涉及公共利益之任務(wù)，或者行使授予信息控制者的官方授權(quán)之任務(wù)所必需的信息處理。其中包含了兩種情形，并且同時(shí)與公共和私人領(lǐng)域相關(guān)。首先，它包括了信息控制者本身的身份是國(guó)家機(jī)關(guān)，其信息處理是行使公權(quán)力所需要的情形。例如，戶籍管理機(jī)關(guān)為了履行其戶籍管理的權(quán)力，而收集和處理新生嬰兒的個(gè)人信息。其次，他還包括信息控制者沒(méi)有相應(yīng)的公權(quán)力，卻可以基于公權(quán)力機(jī)關(guān)的授權(quán)或主動(dòng)向公權(quán)力機(jī)關(guān)披露他人信息而為信息處理行為。如企業(yè)基于公安機(jī)關(guān)的授權(quán)或主動(dòng)向公安機(jī)關(guān)舉報(bào)犯罪，處理相關(guān)人員的個(gè)人信息。

判斷某一行使公權(quán)力的信息處理行為是否具備正當(dāng)性，還需考慮其處理的方式是否合理，是否能夠符合個(gè)人信息保護(hù)法的要求。筆者認(rèn)為，可以將比例原則作為一種判斷標(biāo)準(zhǔn)，因?yàn)椤氨壤瓌t要求公權(quán)力必須在限制基本權(quán)利的目的和限制基本權(quán)利的手段之間進(jìn)行衡量，不能不擇手段地追求目的的實(shí)現(xiàn)”［16］?！耙话阏J(rèn)為，比例原則包含三個(gè)子原則（Teilgrunds tzen），即適當(dāng)性原則（Geeignetheit）、必要性原則 （Erfordlichkeit） 和均衡性原則（Angemessenheit）。 ”［17］所以在對(duì)處理行為進(jìn)行具體判斷時(shí)可以通過(guò)以下三個(gè)步驟：首先，國(guó)家機(jī)關(guān)所采取的個(gè)人信息處理方式是否是有利于其行使公權(quán)力之目的的達(dá)成，以判定其是否符合適當(dāng)性原則。其次在可以達(dá)到目的的數(shù)種信息處理方式中，國(guó)家機(jī)關(guān)是否采取了對(duì)信息主體的個(gè)人信息權(quán)損害最小的處理方式，以判定其是否符合必要性原則。最后，均衡性原則要求國(guó)家機(jī)關(guān)對(duì)個(gè)人信息權(quán)的干預(yù)與其行使公權(quán)力所追求的目的之間必須要相稱，二者在效果上不能不成比例。只有在符合這三次判定的基礎(chǔ)之上才能認(rèn)定行使公權(quán)力而為的信息處理行為符合個(gè)人信息保護(hù)法的要求，可以通過(guò)本項(xiàng)規(guī)定證明其正當(dāng)性。

五、信息控制者的正當(dāng)利益

該項(xiàng)依據(jù)為GDPR所規(guī)定的最后一項(xiàng)正當(dāng)性特殊依據(jù)，該項(xiàng)與其他依據(jù)相比不夠具體，往往難以判斷何種利益為正當(dāng)利益，以及是否足以為保護(hù)該正當(dāng)利益而限制信息主體的權(quán)利，所以該種正當(dāng)性依據(jù)的適用往往伴隨著雙方權(quán)利的沖突，需要運(yùn)用權(quán)利位階和比例原則等方法來(lái)以衡量那種利益更為重要。所以對(duì)于該項(xiàng)而言權(quán)利沖突的解決方法至關(guān)重要，是評(píng)估信息控制者的正當(dāng)利益能否為信息處理行為提供正當(dāng)性的關(guān)鍵。在解決權(quán)利沖突時(shí)必須正確判斷信息控制者的利益是否正當(dāng)、評(píng)估對(duì)信息當(dāng)事人的影響以及信息控制者是否對(duì)信息主體采取了額外的保護(hù)措施，下面就這三項(xiàng)內(nèi)容之一進(jìn)行分析。

（一）判斷信息控制者的利益是否正當(dāng)

“所謂利益，就是人們受客觀規(guī)律制約的，為了滿足生存和發(fā)展而產(chǎn)生的，對(duì)于一定對(duì)象的各種客觀需求。”［18］在 GDPR 中“利益”的概念與第 5條中所述的“目的”的概念緊密相關(guān)，但二者又有所區(qū)別。在個(gè)人信息保護(hù)這一特殊領(lǐng)域中，“目的”是指處理信息的具體原因，即信息處理的目標(biāo)或意圖。而利益則是信息控制者在信息處理中可能涉及的更廣泛利害關(guān)系，或者信息控制者或社會(huì)可能從信息處理中產(chǎn)生的好處。在判定信息控制者的信息處理行為是否具有正當(dāng)性時(shí)，利益必須清晰明確，以便于和信息主體的利益和基本權(quán)利進(jìn)行法律抉擇。此外，涉及的利益還必須是“負(fù)責(zé)實(shí)體所追求的”。這就要求是真實(shí)的并且是現(xiàn)存的利益，是與目前的活動(dòng)或利益相應(yīng)，亦可以是不久將來(lái)所追求的。換言之，太過(guò)模糊的或臆測(cè)的利益并不足夠。在清晰明確的了解信息控制者的利益后，還需要判定該利益是否正當(dāng)，所以需要明確“正當(dāng)性”的概念。所謂正當(dāng)指一個(gè)人的行為、要求、愿望等符合社會(huì)的政策和行為規(guī)范的要求，或者符合社會(huì)發(fā)展的需要和人民的利益。所以，經(jīng)過(guò)以上分析，筆者認(rèn)為，正當(dāng)利益應(yīng)當(dāng)符合以下三個(gè)特征。首先，合法（符合現(xiàn)行法律體系的規(guī)定）；其次，充分、清晰說(shuō)明平衡測(cè)試是如何進(jìn)行的，當(dāng)中比較了解哪些信息當(dāng)事人的基本權(quán)利和利益（充分具體）；最后，代表真實(shí)和目前存在的利益（不是臆測(cè)的）。

（二）評(píng)估對(duì)信息當(dāng)事人的影響

在評(píng)估信息處理的影響時(shí)，必須對(duì)可能導(dǎo)致的任何后果都加以考量。包括不利影響和積極影響，同時(shí)也包括直接的負(fù)面影響和可能對(duì)當(dāng)信息主體造成的心理影響。筆者認(rèn)為以下四個(gè)方面的因素的考量，有利于評(píng)估對(duì)當(dāng)事人造成的影響。首先是個(gè)人信息的性質(zhì)，當(dāng)涉及的信息越敏感，對(duì)信息當(dāng)事人造成的各種后果就越多。其次是將要處理信息的方式，因?yàn)樾畔⑻幚碚叩牟煌幚矸绞娇赡軙?huì)對(duì)信息主體造成不同程度的影響。再次是信息主體的合理期待，如果某一行為合乎信息主體的合理期待，其可能在處理之前就通過(guò)相應(yīng)的措施減少了該信息處理行為可能對(duì)自身造成的損害。最后是信息控制者和信息主體的身份，此項(xiàng)因素主要是考慮雙方當(dāng)事人的地位差距是否懸殊，例如大型跨國(guó)公司當(dāng)然會(huì)比信息主體有更多的資源和談判實(shí)力，自然也較易向信息主體主張擁有“正當(dāng)利益”。屬于當(dāng)信息控制者本身?yè)碛惺袌?chǎng)主導(dǎo)地位時(shí)，信息主體往往處于弱勢(shì)地位，如果放任此種現(xiàn)象，便對(duì)信息當(dāng)事人構(gòu)成損害。但需要強(qiáng)調(diào)的是需要加以考量的因素并不止于這四個(gè)方面，在進(jìn)行評(píng)估時(shí)還必須考慮其他因素，例如信息處理的透明度、信息主體的反對(duì)權(quán)等，以便全面且合理的判斷對(duì)信息主體的影響。

（三）信息控制者采取的額外保護(hù)措施

信息控制者所采用額外保護(hù)措施對(duì)權(quán)利抉擇的結(jié)果具有重大影響，在某些情況下，甚至能夠完全扭轉(zhuǎn)其結(jié)果。所以信息處理行為對(duì)資料當(dāng)事人產(chǎn)生的影響越大，信息控制者就更應(yīng)該更注重相關(guān)的保障措施。例如，其可以嚴(yán)格限制信息的收集范圍，或者在達(dá)到使用目的后立即刪除個(gè)人信息。在某些措施已經(jīng)是GDPR所強(qiáng)制要求的，但信息控制者卻仍可以加大該保護(hù)措施的力度，以求更好保護(hù)資料當(dāng)事人。例如負(fù)責(zé)實(shí)體可以收集更少的資料，并提供GDPR第10條和第11條所要求以外的額外資訊。如果某些保護(hù)措施GDPR并未要求其采取，信息控制者也可以主動(dòng)提供，例如匿名化、隱名化技術(shù)以及定期的隱私風(fēng)險(xiǎn)評(píng)估等。

在明確以上三項(xiàng)內(nèi)容的基礎(chǔ)之上，需要裁判者靈活運(yùn)用價(jià)值沖突理論，通過(guò)權(quán)力位階以及比例原則這兩種方式對(duì)信息主體的權(quán)利和信息控制者的正當(dāng)利益進(jìn)行衡量［19］。只有當(dāng)信息控制者的正當(dāng)利益明顯超越信息主體的個(gè)人信息權(quán)之時(shí)，才能認(rèn)為其處理行為是正當(dāng)?shù)摹?/p>

六、我國(guó)構(gòu)建個(gè)人信息處理正當(dāng)性之特殊依據(jù)體系的立法建議

通過(guò)對(duì)GDPR中的個(gè)人信息處理正當(dāng)性的特殊依據(jù)進(jìn)行系統(tǒng)的分析，筆者對(duì)我國(guó)構(gòu)建個(gè)人信息處理正當(dāng)性之特殊依據(jù)體系提出以下四點(diǎn)建議，希望為未來(lái)的個(gè)人信息保護(hù)立法提供一些參考。第一，為了應(yīng)對(duì)當(dāng)代信息處理方式和目的的復(fù)雜性，我國(guó)立法必須同時(shí)規(guī)定個(gè)人信息處理正當(dāng)性的特殊依據(jù)和一般依據(jù)。第二，GDPR將特殊依據(jù)分為履行或訂立合同、遵守法定義務(wù)、為保護(hù)信息主體或他人的重大利益、為行使公權(quán)力、為信息控制者的正當(dāng)利益六種，這種劃分具有全面性、科學(xué)性、靈活性與合理性，幾乎能夠?qū)F(xiàn)有各種信息處理行為囊括在法律規(guī)定之中，建議我國(guó)立法在規(guī)定正當(dāng)性特殊依據(jù)時(shí)學(xué)習(xí)歐盟的這種劃分方法。第三，分析時(shí)，立法應(yīng)明確各種特殊依據(jù)的判定方法，以便于司法審判中認(rèn)定某一處理行為是否具有正當(dāng)性。第四，通過(guò)歐盟的個(gè)人信息立法我們可以看出，技術(shù)創(chuàng)造新的信息，GDPR的完美也并非一蹴而就的。所以建議我國(guó)立法應(yīng)對(duì)人信息處理正當(dāng)性之特殊依據(jù)體系進(jìn)行不斷的修改和經(jīng)驗(yàn)積累，以使其符合社會(huì)發(fā)展的需求。

［1］［英］維克托·邁爾-舍恩伯格、肯尼思·庫(kù)克耶：《大數(shù)據(jù)時(shí)代》，盛楊燕、周濤譯，浙江人民出版社，2012：39.

［2］Article 29 Data Protection Working Party，Opinion 15/2011 on the definition of consent ［EB/OL］.（2011-07-13） ［2017-05-24］.http：//ec.europa.eu/justice/data -protection/article -29/documentation/opinion-recommendation/files/2011/wp187_en.pdf

［3］General Data Protection Regulation，Article 6 ［EB/OL］.（2016-04-27） ［2017-05-25］.http：//ec.europa.eu/justice/dataprotection/reform/files/regulation_oj_en.pdf.

［4］參見(jiàn)：江蘇省南京市中級(jí)人民法院（2014）寧民終字第5028號(hào)民事判決書(shū)。

［5］譚啟平.中國(guó)民法學(xué)［M］.北京：法律出版社，2015：367-370.

［6］馬俊駒，余延滿.民法原論.北京：法律出版社，2010：539.

［7］姜淑明.先合同義務(wù)及違反先合同義務(wù)之責(zé)任形態(tài)研究［J］.法商研究，2000（02）.

［8］General Data Protection Regulation，Article 5 ［EB/OL］.（2016-04-27） ［2017-05-25］.http：//ec.europa.eu/justice/dataprotection/reform/files/regulation_oj_en.pdf.

［9］General Data Protection Regulation，Article 9 ［EB/OL］.（2016-04-27） ［2017-05-25］.http：//ec.europa.eu/justice/dataprotection/reform/files/regulation_oj_en.pdf.

［10］齊愛(ài)民.論個(gè)人信息的法律保護(hù).蘇州大學(xué)學(xué)報(bào)（哲學(xué)社會(huì)科學(xué)版），2005（02）.

［11］Article 29 Data Protection Working Party，Opinion 4/2007 on the concept of personal data［EB/OL］.（2007-06-20） ［2017-05-24］.http：//ec.europa.eu/justice/data -protection/article -29/documentation/opinion-recommendation/files/2007/wp136_en.pdf

［12］General Data Protection Regulation，（46） ［EB/OL］.（2016-04-27） ［2017-05-25］.http：//ec.europa.eu/justice/dataprotection/reform/files/regulation_oj_en.pdf.

［13］最高人民法院辦公廳編.最高人民法院公報(bào)（2016年卷）.北京：人民法院出版社，2017：503.

［14］我國(guó)臺(tái)灣地區(qū)《電腦處理個(gè)人信息保護(hù)法》，第2條。

［15］齊愛(ài)民.中華人民共和國(guó)個(gè)人信息保護(hù)法示范法草案學(xué)者建議稿［J］.北方法學(xué)，2008（06）.

［16］張翔.財(cái)產(chǎn)權(quán)的社會(huì)義務(wù)［J］.中國(guó)社會(huì)科學(xué)，2012（09）.

［17］Vgl．Michael Stürner，Der Grundsatz der Verh ltnism?βigkeit im Schuldvertragsrecht，Verlag Mohr Siebeck 2010，S.23．

［18］付子堂.法律功能論［M］.中國(guó)政法大學(xué)出版社，1999：147.

［19］梁迎修.權(quán)利沖突的司法化解［J］.法學(xué)研究，2014（02）.

D923.8

A

1008-6323（2017）05-0030-05

20世紀(jì)70年代以來(lái)，幾乎世界各國(guó)的個(gè)人信息保護(hù)立法都將知情同意原則作為個(gè)人信息處理正當(dāng)性的首要來(lái)源。但隨著大數(shù)據(jù)時(shí)代的到來(lái)，數(shù)據(jù)的總量不斷增加?！叭祟惔鎯?chǔ)信息量的增長(zhǎng)速度比世界經(jīng)濟(jì)的增長(zhǎng)速度快4倍，而計(jì)算機(jī)數(shù)據(jù)處理能力的增長(zhǎng)速度則比世界經(jīng)濟(jì)的增長(zhǎng)速度快9倍。”［1］面對(duì)如此龐大復(fù)雜的數(shù)據(jù)總量，若在所有個(gè)人信息處理中都恪守知情同意原則，對(duì)于數(shù)據(jù)經(jīng)濟(jì)和個(gè)人信息保護(hù)而言，這既不經(jīng)濟(jì)，更無(wú)法保障個(gè)人信息權(quán)。正如歐盟第二十九條個(gè)人資料保護(hù)工作組所指出的：“同意并非總是使信息處理合法化的主要或最可取的依據(jù)，當(dāng)其被加以擴(kuò)張或限制以適用于本來(lái)不適用的情況時(shí)，構(gòu)成有效同意的要素可能不復(fù)存在，因而可能對(duì)當(dāng)事人構(gòu)成重大損害，實(shí)務(wù)上亦削弱了當(dāng)事人的地位?！保?］為了解決這一問(wèn)題，在20世紀(jì)末至21世紀(jì)初，許多國(guó)家制定或修改個(gè)人信息保護(hù)法時(shí)都基于某些情形的特殊性，相應(yīng)地增加了個(gè)人信息收集、處理、傳輸和利用正當(dāng)性的特殊依據(jù)，我國(guó)學(xué)界也將其稱之為知情同意原則的例外規(guī)定。

但各國(guó)所規(guī)定的正當(dāng)性特殊依據(jù)各不相同，如何在特定情況下正確理解與適用這些依據(jù)更是困擾著各國(guó)的立法者。歐盟于2016年4月27日通過(guò)的《一般數(shù)據(jù)保護(hù)條例》（以下簡(jiǎn)稱GDPR）系統(tǒng)地規(guī)定了個(gè)人信息處理正當(dāng)性的特殊依據(jù)，包括為履行或訂立合同、遵守法定義務(wù)、為保護(hù)信息主體或他人的重大利益、為行使公權(quán)力、為信息控制者的正當(dāng)利益［3］。GDPR作為歐盟數(shù)十年個(gè)人信息保護(hù)司法實(shí)踐經(jīng)驗(yàn)的立法成果，對(duì)我國(guó)具有重要的借鑒意義。因此，筆者希望通過(guò)本文對(duì)GDPR的六項(xiàng)特殊依據(jù)進(jìn)行逐一分析和解讀，并在此基礎(chǔ)上對(duì)我國(guó)如何規(guī)定個(gè)人信息正當(dāng)性特殊依據(jù)提供一些建議，以期為未來(lái)的《個(gè)人信息保護(hù)法》立法提供一些參考。

王進(jìn)，西南政法大學(xué)民商法學(xué)碩士。

2017-08-15

責(zé)任編輯：曹麗娟