程 嘯

一、引言

個人信息保護法是個人信息保護領(lǐng)域的基本法律，以規(guī)范個人信息處理活動為核心，旨在實現(xiàn)個人信息權(quán)益保護與個人信息合理利用之間的協(xié)調(diào)。個人信息上承載多種利益，不僅有自然人的人格尊嚴、隱私權(quán)及個人信息權(quán)益等民事權(quán)益，也有企業(yè)、國家機關(guān)等主體合理利用個人信息的利益，還涉及言論自由、公共安全、國家安全等。(1)參見高富平：《個人信息保護：從個人控制到社會控制》，載《法學研究》2018年3期，第84頁以下；程嘯：《論我國民法典中個人信息權(quán)益的性質(zhì)》，載《政治與法律》2020年第8期，第2頁以下；丁曉東：《個人信息權(quán)利的反思與重塑——論個人信息保護的適用前提與法益基礎(chǔ)》，載《中外法學》2020年第2期，第339頁以下。個人信息處理規(guī)則的主要功能在于科學合理地協(xié)調(diào)這些利益。故此，個人信息保護法需要對個人信息處理規(guī)則作出詳細規(guī)定。2018年5月25日起施行的歐盟《一般數(shù)據(jù)保護條例》(GDPR)專設(shè)第二章“原則”，對與個人數(shù)據(jù)處理相關(guān)的原則、處理的合法性、同意的要件、特殊類型的個人數(shù)據(jù)處理、無需識別個人數(shù)據(jù)的處理等作出了詳細的規(guī)定(第5—11條)。此種立法模式對不少國家的個人信息保護立法產(chǎn)生了重要的影響。(2)參見張繼紅、姚約茜主編：《“一帶一路”沿線國家數(shù)據(jù)保護與網(wǎng)絡(luò)安全法律指南》，知識產(chǎn)權(quán)出版社2021年版，第1頁以下。我國也采納了該立法模式。十三屆全國人大常委會第二十二次會議審議的我國《個人信息保護法草案》(以下簡稱《草案(一審稿)》)的第二章即“個人信息處理規(guī)則”，該章共分“一般規(guī)定”“敏感個人信息的處理規(guī)則”以及“國家機關(guān)處理個人信息的特別規(guī)定”等三節(jié)，采用了25個條文對個人信息處理規(guī)則作出了詳盡的規(guī)定。2021年4月29日第十三屆全國人大常委會第二十八次會議審議的《個人信息保護法草案(二次審議稿)》(以下簡稱《草案(二審稿)》)第二章與一審稿基本相同，條文數(shù)量也是25條。

我國《個人信息保護法》應如何構(gòu)建科學合理的個人信息處理規(guī)則，值得研究，其中，需要重點思考的問題有以下三個：首先，個人信息處理的涵義，即我國《個人信息保護法》調(diào)整的個人信息處理活動的范圍問題。其次，個人信息處理行為的合法性基礎(chǔ)是什么？告知同意規(guī)則在確定個人信息處理規(guī)則中處于何種地位？不適用告知同意規(guī)則的合法處理個人信息的情形有哪些？再次，《個人信息保護法》中的敏感信息與《民法典》中的私密信息是什么關(guān)系？如何針對敏感信息的處理作出有針對性的規(guī)定？

二、個人信息處理的涵義與個人信息保護法的調(diào)整范圍

(一)我國《民法典》中的個人信息處理

“個人信息處理(processing of personal information)”也稱“個人數(shù)據(jù)處理”，該詞來源于歐盟指令和相關(guān)立法。1995年10月24日歐洲議會以及歐盟理事會《關(guān)于對于個人數(shù)據(jù)處理有關(guān)的個人進行保護以及數(shù)據(jù)自由流動的指令(95/46號指令)》(DPD)第2條第2款規(guī)定：“個人數(shù)據(jù)處理(簡稱處理)，是指不管是否以自動方式對個人數(shù)據(jù)進行的任何操作，如收集、錄制、組織、存儲、改變或修改、檢索、查閱、使用、通過傳送使數(shù)據(jù)公開、傳播或者使數(shù)據(jù)可被他人獲取、排列或組合、凍結(jié)、刪除或銷毀?！睔W盟《一般數(shù)據(jù)保護條例》(GDPR)總體上延續(xù)了這一規(guī)定，其第4條第2款規(guī)定：“‘處理’是指針對個人數(shù)據(jù)或個人數(shù)據(jù)集合的任何一個或一系列操作，如收集、記錄、組織、建構(gòu)、存儲、調(diào)整、修改、檢索、咨詢、使用、披露、傳播或其他方式利用、排列或組合、限制、刪除或銷毀，無論該等操作是否采用自動化方式?！辈簧賴业膫€人信息保護法或個人數(shù)據(jù)保護法都接受了“個人信息處理”這一概念，如《日本個人信息保護法》《菲律賓數(shù)據(jù)隱私法》《南非個人信息保護法》《韓國個人信息保護法》等。

《民法典》之前我國的法律均未采取“個人信息處理”的概念。2012年《全國人民代表大會常務(wù)委員會關(guān)于加強網(wǎng)絡(luò)信息保護的決定》采用的是“收集、使用”公民個人電子信息的表述，此后的《網(wǎng)絡(luò)安全法》《電子商務(wù)法》也都延續(xù)了這一概念。在我國編纂民法典的過程中，就如何表述與個人信息相關(guān)的各種活動經(jīng)歷了一個變化的過程。2018年9月的《民法典各分編(草案)》與2019年4月的《民法典人格權(quán)編(草案)(二次審議稿)》采取的仍是“收集、使用”個人信息的表述。2019年8月的《民法典人格權(quán)編(草案)(三次審議稿)》首次使用了“處理”一詞，但將其與“收集”并列，該草案第814條第2款將“個人信息的處理”界定為“包括個人信息的使用、加工、傳輸、提供、公開等”。(3)石冠彬主編：《中華人民共和國民法典立法演進與新舊法對照》，法律出版社2020年版，第387頁。正式頒布的《民法典》使用“個人信息的處理”統(tǒng)稱圍繞著個人信息展開的各種行為、活動?！睹穹ǖ洹返?035條第2款規(guī)定：“個人信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開等?！边@一規(guī)定的理由在于：一方面，個人信息處理的內(nèi)涵極為豐富，種類眾多，收集也屬于處理的一種方式，無須單列；另一方面，統(tǒng)一采取個人信息處理的表述很方便，也與國際上通行的做法基本保持一致。(4)黃薇主編：《中華人民共和國民法典人格權(quán)編解讀》，中國法制出版社2020年版，第218-219頁?！恫莅?一審稿)》第4條第2款規(guī)定：“個人信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開等活動。”《草案(二審稿)》刪除了“活動”一詞，從而與《民法典》第1035條第2款完全一致。

《個人信息保護法》是個人信息保護領(lǐng)域最重要的法律，但該法也不可能解決所有的個人信息保護問題，更不可能取代《民法典》等法律中已有的個人信息保護的規(guī)則或制度(如姓名權(quán)、肖像權(quán)、隱私權(quán)等人格權(quán))，而應當各有側(cè)重，合理分工，共同實現(xiàn)個人信息權(quán)益保護與個人信息合理利用的協(xié)調(diào)。因此，需要研究的問題是：在《民法典》已經(jīng)界定個人信息處理的前提下，我國的《個人信息保護法》是與《民法典》保持一致即可，還是有必要對個人信息處理的涵義作出獨特的規(guī)定？如果是后者，該獨特性如何體現(xiàn)？筆者認為，要解決這一問題，首先應當清楚個人信息保護法對個人信息處理行為予以規(guī)范的必要性，才能據(jù)此確定個人信息保護法規(guī)范的個人信息處理的涵義。

(二)通過個人信息保護法規(guī)范個人信息處理的必要性

在進入網(wǎng)絡(luò)信息時代之前，自然人的姓名、身份證號碼、電話號碼、家庭住址、肖像、聲音、指紋、財產(chǎn)信息、病歷資料等個人信息就已存在，并被政府、企業(yè)等主體所處理。民法、刑法等法律已經(jīng)對自然人的這些個人信息給予相應的保護。例如，通過姓名權(quán)、肖像權(quán)、隱私權(quán)等來保護自然人的姓名、肖像和隱私等個人信息不被他人非法使用、公開或以其他方式加以侵害。但是，在進入網(wǎng)絡(luò)信息時代之后，基于以下原因，有必要通過個人信息保護法來對個人信息處理予以規(guī)范：

1.個人信息類型和范圍的發(fā)展變化?，F(xiàn)代網(wǎng)絡(luò)信息社會之前，個人信息的類型相對較少且產(chǎn)生渠道有限。但是，隨著網(wǎng)絡(luò)信息等科學技術(shù)的高速發(fā)展，個人信息的范圍越來越廣，種類也越來越多。一方面，現(xiàn)代科技的發(fā)展產(chǎn)生了以往沒有的新類型的個人信息，如電子郵箱、通信記錄、網(wǎng)絡(luò)交易信息、上網(wǎng)瀏覽痕跡、網(wǎng)絡(luò)社交媒體留言、行蹤軌跡、臉部特征信息等。此前，這些信息要么根本不存在，要么無法被收集和存儲，現(xiàn)在，這些個人信息每天大量的產(chǎn)生并且很容易地被各種智能設(shè)備加以收集和保存。另一方面，除了傳統(tǒng)的能夠直接識別特定自然人的信息(如姓名、身份證號碼、家庭地址、電話號碼等)之外，現(xiàn)代信息社會中還出現(xiàn)了大量本身不足以識別特定的自然人但與其他信息結(jié)合后就能識別出特定自然人的信息，如愛好、習慣、興趣、性別、年齡、職業(yè)等。在這種情況下，僅僅依靠民法的隱私權(quán)、肖像權(quán)、姓名權(quán)等人格權(quán)制度，既難以充分保護自然人的人格尊嚴與人格自由，也無法預防由于個人信息的處理而產(chǎn)生的對自然人人身財產(chǎn)權(quán)益的危險。故此，迫切需要基于現(xiàn)代網(wǎng)絡(luò)信息科技的特點而由個人信息保護法對個人信息處理進行全面的規(guī)范。

2.個人信息處理行為的發(fā)展變化。進入網(wǎng)絡(luò)信息社會前，個人信息的處理方法較為簡單，主要表現(xiàn)為收集的手段單一，分析與傳播的能力較弱。這種情形下，人格權(quán)及侵權(quán)法規(guī)范可以滿足個人信息保護的需要。例如，未經(jīng)同意公開或披露自然人的私密信息(如性取向、病歷資料等)的，構(gòu)成對隱私權(quán)或名譽權(quán)的侵害；未經(jīng)許可將他人的姓名、肖像等用于商業(yè)目的，屬于侵害姓名權(quán)、肖像權(quán)的侵權(quán)行為。但是，隨著科技尤其是大數(shù)據(jù)與人工智能的發(fā)展，個人信息的處理方式發(fā)生了巨大的變化。一方面，個人信息處理行為的類型越來越多，現(xiàn)代網(wǎng)絡(luò)信息技術(shù)已將現(xiàn)代社會生活高度數(shù)字化，Cookie技術(shù)和各種傳感器可以自動地收集與存儲個人信息。個人信息被大規(guī)模、自動化地收集和存儲變得越來越普遍，幾乎無處不在、無時不在。另一方面，對個人信息的使用具有人們難以想象的無限可能性，只要新技術(shù)不斷發(fā)展，就會產(chǎn)生各種前所未有的使用方法，這也導致了處理者不僅不愿意刪除已經(jīng)收集并存儲的個人信息，(5)刪除這些個人信息的成本遠遠大于收集、存儲的成本。參見[美]邁克爾·費蒂克、戴維·C.湯普森：《信譽經(jīng)濟：大數(shù)據(jù)時代的個人信息價值與商業(yè)變革》，王臻譯，中信出版集團2016年版，第35頁。還渴求獲取更多的個人信息。大數(shù)據(jù)與人工智能技術(shù)的發(fā)展使得對海量數(shù)據(jù)的分析與使用變得非常簡單，個人信息被濫用的可能性極大地增加。例如，各種網(wǎng)絡(luò)平臺通過分析和利用海量的個人信息，對目標群體做人格畫像，實施精準營銷，甚至行為操縱，嚴重危害自然人的人格尊嚴，妨害人格的自由發(fā)展。

3.個人信息處理主體日漸復雜?，F(xiàn)代網(wǎng)絡(luò)信息社會中的信息處理主體越來越復雜，個人信息處理活動也不限于單純的作為平等主體的自然人、法人和非法人組織之間。由于個人信息的處理無論對企業(yè)的經(jīng)營活動還是政府的管理行為，都具有越來越重要的作用。因此處理個人信息的主體日漸增多，它們都具有處理個人信息的強烈渴求。雖然信息處理者與作為信息主體的自然人的法律地位是平等的，但雙方在信息、技術(shù)、經(jīng)濟等方面的地位實際上完全不對等。面對強大的網(wǎng)絡(luò)企業(yè)和國家機關(guān)實施個人信息處理行為時，個人難以依賴意思自治以及侵權(quán)責任的規(guī)則來維護自己的權(quán)益。例如，民法中的人格權(quán)制度雖然發(fā)展出了停止侵害、排除妨礙、消除危險等人格權(quán)請求權(quán)，但行使這些請求權(quán)是以人格權(quán)主體能夠及時發(fā)現(xiàn)侵害人格權(quán)的行為為前提的。現(xiàn)代網(wǎng)絡(luò)信息社會中，收集、使用個人信息的處理行為日益普遍，成為生產(chǎn)生活的重要組成部分，不可或缺。個人信息被誰處理及被如何處理，難以為信息主體所知悉或真正了解。從效率上說，勢單力薄的個人對大量收集、存儲和利用個人信息的大公司或政府機關(guān)以起訴的方式來保護個人信息，也很不現(xiàn)實。無論是人格權(quán)請求權(quán)還是侵權(quán)損害賠償請求權(quán)，均難以滿足全方面保護個人信息權(quán)益的需要。有必要通過專門的個人信息保護立法，對個人信息處理行為進行全方位的規(guī)范，以做到未雨綢繆，防患于未然。事實上，從個人信息保護法的發(fā)展源流來看，個人信息保護法制定之初，其主要立法宗旨就是要解決計算機處理個人信息所帶來的巨大風險問題，處理好技術(shù)進步與個人權(quán)利保護之間的關(guān)系。(6)Otto Mallmann, Computer and Civil Liberties: The Situation in the Federal Republic of Germany, in United States Senate Committee on Government Operations, Privacy and Protection of Personal Information in Europe, United States Government Printing Office, 1975, pp.90-91. 轉(zhuǎn)引自王苑：《個人信息保護在民法中的表達——兼論民法與個人信息保護法之關(guān)系》，載《華東政法大學學報》2021年第2期，第71頁。

4.個人信息承載多種需要協(xié)調(diào)的利益?，F(xiàn)代信息社會中個人信息上呈現(xiàn)了多元化的利益格局，既有自然人對其個人信息加以掌控，以免人格尊嚴以及人身財產(chǎn)權(quán)益受到侵害或遭受損害的需要，也有營利法人通過處理個人信息推銷商品或服務(wù)的營業(yè)自由的訴求，還包括保障言論自由，實現(xiàn)輿論監(jiān)督，以及國家機關(guān)利用個人信息提升社會治理與行政管理能力、維護市場競爭秩序、保護消費者權(quán)益、維護公共安全、國家安全等公共利益和國家利益的需要。這種多元化的利益格局是民法、刑法、行政法、國際法等傳統(tǒng)的法律部門單獨無法完成的，故此，需要專門的個人信息保護法對個人信息處理行為加以規(guī)范，從而科學地協(xié)調(diào)這些多元化的利益。

(三)個人信息保護法所規(guī)范的個人信息處理

正是基于上述原因，有必要制定專門的個人信息保護法，對個人信息處理加以更詳細具體的規(guī)范。同樣的原因，也決定了即便《民法典》對個人信息處理作出了規(guī)定，我國《個人信息保護法》對個人信息處理規(guī)則作出詳細規(guī)定也有重要意義。

1.個人信息保護法需要對個人信息處理行為進行全方位、動態(tài)性的規(guī)范，無論是利用網(wǎng)絡(luò)信息科技自動化處理個人信息，還是手工等非自動化處理個人信息；無論是個人信息的收集、存儲，還是使用、加工抑或傳輸、提供、公開以及跨境提供；無論是為了生產(chǎn)經(jīng)營等營利目的，還是行政管理、公共服務(wù)的目的而進行個人信息處理，均應納入個人信息保護法的調(diào)整范圍。有觀點認為，個人信息保護法不應調(diào)整所有的個人信息處理行為，而僅限于以識別分析為目的對個人信息的收集、控制、分享、分析和應用行為，因為只有這些行為才會對信息主體的權(quán)益有顯著的影響，至于一般的個人信息適用行為留給其他法律或行業(yè)準則或社會習慣規(guī)范加以調(diào)整。(7)高富平：《個人信息處理：我國個人信息保護法的規(guī)范對象》，載《法商研究》2021年第2期，第81頁。筆者不贊同此種觀點。個人信息處理行為的類型多種多樣，從收集、存儲，到使用、加工再到傳輸、公開、共享等，每一個環(huán)節(jié)都存在侵害自然人民事權(quán)益的風險，不能任意切割。例如，大量的個人信息尤其是敏感的個人信息被泄露或被非法買賣，無需利用高科技進行分析識別，也足以被違法犯罪分子用來實施詐騙、搶劫、殺人等犯罪活動。個人信息處理中的風險是多重的、難以預測的，不限于以識別分析為目的的處理行為。況且，個人信息處理本身具有易變性和發(fā)展性，現(xiàn)在不以識別分析為目的的處理行為不等于將來就不會進行識別分析，更不等于不會對個人信息權(quán)益產(chǎn)生危險。因此，將個人信息保護法調(diào)整的個人信息處理行為限定于以識別分析為目的的行為顯然過于狹窄。

2.個人信息保護法需要從內(nèi)外兩方面以強行性規(guī)范來構(gòu)建個人信息處理規(guī)則。從外部來說，《個人信息保護法》在區(qū)分不同的個人信息處理行為、不同種類的個人信息以及不同的個人信息處理者的基礎(chǔ)上，明確處理者在各類個人信息處理行為中所負的義務(wù)(如告知、取得同意、安全保護、報告、監(jiān)管等義務(wù))，同時，以法律責任保障其履行。特別是個人信息保護執(zhí)法機關(guān)應當采取動態(tài)監(jiān)督執(zhí)法確保義務(wù)的履行和法律責任的落實，對于違反義務(wù)的信息處理者依法采取罰款、給予處分、記入信用檔案、停業(yè)整頓、吊銷許可、吊銷營業(yè)執(zhí)照等處罰措施，嚴重的追究刑事責任。從內(nèi)部來說，《個人信息保護法》強制性要求信息處理者建立健全相應的管理制度和操作規(guī)程，對個人信息進行分級分類管理并采取加密等安全技術(shù)措施，制定個人信息安全事件的應急預案，公布個人信息保護負責人的聯(lián)系方式等。同時，強化大型的網(wǎng)絡(luò)平臺對于利用其提供的網(wǎng)絡(luò)服務(wù)處理個人信息的處理者進行相應的監(jiān)管義務(wù)。

3.個人信息保護法不僅調(diào)整公司企業(yè)等普通民事主體出于經(jīng)營目的處理個人信息的行為，也調(diào)整國家機關(guān)基于公權(quán)力和履行公共管理職能處理個人信息的活動。隨著信息社會的到來，數(shù)字經(jīng)濟的發(fā)展需要對個人信息進行合理利用，數(shù)字社會和數(shù)字政府的建設(shè)也需要對個人信息的合理利用。個人信息等數(shù)據(jù)在提升和優(yōu)化國家治理能力，提高政府行政服務(wù)和管理水平，提高決策的科學性和服務(wù)效率等方方面面，將發(fā)揮越來越重要的作用。作為調(diào)整平等主體的自然人、法人和非法人組織之間的人身財產(chǎn)關(guān)系的民法，無法對國家機關(guān)處理個人信息的活動進行全方位的規(guī)范，這就要求個人信息保護法加以調(diào)整。國家機關(guān)即便是履行法定職責處理個人信息時，也應當嚴格依照法律、行政法規(guī)規(guī)定的權(quán)限和程序進行，受到個人信息保護法在內(nèi)的法律的規(guī)范。惟其如此，方能更好地實現(xiàn)個人信息上的多元利益關(guān)系的協(xié)調(diào)。故此，《民法典》第1039條規(guī)定：“國家機關(guān)、承擔行政職能的法定機構(gòu)及其工作人員對于履行職責過程中知悉的自然人的隱私和個人信息，應當予以保密，不得泄露或者向他人非法提供?！薄恫莅?二審稿)》也在第二章中專節(jié)對國家機關(guān)處理個人信息作出了規(guī)定。

4.自然人之間因個人、家庭事務(wù)處理個人信息的不屬于個人信息保護法調(diào)整的范圍?！睹穹ǖ洹凡⑽磳€人信息處理的范圍進行任何限定，依據(jù)該法第1035條第2款，無論是通過自動方式還是非自動方式處理個人信息，無論是公司企業(yè)、國家機關(guān)等個人信息使用者處理個人信息，還是純粹的私人或家庭活動中的個人信息處理(如家人朋友之間進行的通信聯(lián)絡(luò)、保存聯(lián)系方式或者社交活動中的個人信息的提供等)，都屬于個人信息的處理。但是，《草案(二審稿)》第71條第1款規(guī)定：“自然人因個人或者家庭事務(wù)而處理個人信息的，不適用本法?！痹摽罱梃b了歐盟《一般數(shù)據(jù)保護條例》的規(guī)定。歐盟《一般數(shù)據(jù)保護條例》在“鑒于條款”第18條指出，該條例“不適用于自然人在不涉及任何職業(yè)或商業(yè)的純個人或家庭活動中對個人數(shù)據(jù)的處理活動。個人或家庭活動可以包括通信、保存地址，或者社交活動以及在類似活動背景下進行的線上活動。但本條例適用于為上述個人日?；顒犹峁﹤€人數(shù)據(jù)處理方法的控制者或處理者?！痹摋l例第2條“適用范圍”的第2款C規(guī)定，本條例不適用于“自然人在純粹的個人或家庭生活中進行的處理活動”。所謂“純粹的個人或家庭生活中(in the course of a purely personal or household activity)”的個人信息處理行為是指，為了休閑活動、愛好、度假或娛樂目的而處理的個人數(shù)據(jù)，或者用于社交網(wǎng)絡(luò)，或者數(shù)據(jù)只是作為個人收集的地址、生日或其他重要日期(如周年紀念)一部分。然而，一旦所處理的個人信息涉及私人的同時也是商業(yè)的信息，則該例外就不適用。所謂“商業(yè)”是指任何經(jīng)濟活動，無論是否支付報酬。而“純粹”一詞則表明應當對該例外作限縮解釋。(8)Paul Voigt & Axel von dem Bussche, The EU General Data Protection Regulation (GDPR): A Practical Guide, Springer, 2017, p.16.《草案(二審稿)》將自然人因個人或家庭事務(wù)處理個人信息的活動排除在該法所調(diào)整的個人信息處理的范圍之外，是非常必要的。這是因為：自然人之間因為個人或家庭事務(wù)而處理個人信息的行為，屬于平等主體之間的個人信息處理行為，往往是為了維持正常的社會交往所必須的，并不涉及侵害個人信息權(quán)益的問題，無需給此等情形中的信息處理者施加各種法定義務(wù)，更無須個人信息保護機關(guān)強制介入；只有涉及利用信息能力的不平等收集、處理個人信息的行為，才是信息時代保護個人信息的法律真正要調(diào)整的對象。(9)同前注〔6〕，王苑文，第72頁。否則，即便在此等情形中的個人信息處理行為侵害了其他自然人的合法權(quán)益，也完全可以由《民法典》中的姓名權(quán)、肖像權(quán)、隱私權(quán)和個人信息保護制度等加以調(diào)整。

三、告知同意規(guī)則與個人信息處理行為的合法性

在我國《個人信息保護法》的起草過程中，就是否應當以告知同意作為個人信息處理行為的合法性基礎(chǔ)以及哪些情形下無須告知并取得個人的同意也可以合法地處理個人信息等問題，一直存在爭議。(10)相關(guān)討論參見陸青：《個人信息保護中“同意”規(guī)則的規(guī)范構(gòu)造》，載《武漢大學學報(哲學社會科學版)》2019年第5期，第121頁；萬方：《個人信息處理中的“同意”與“同意撤回”》，載《中國法學》2021年第1期，第168頁?！恫莅?一審稿)》第13條規(guī)定：“符合下列情形之一的,個人信息處理者方可處理個人信息:(一)取得個人的同意;(二)為訂立或者履行個人作為一方當事人的合同所必需;(三)為履行法定職責或者法定義務(wù)所必需;(四)為應對突發(fā)公共衛(wèi)生事件,或者緊急情況下為保護自然人的生命健康和財產(chǎn)安全所必需;(五)為公共利益實施新聞報道、輿論監(jiān)督等行為在合理的范圍內(nèi)處理個人信息;(六)法律、行政法規(guī)規(guī)定的其他情形?！庇纱丝梢?，該條第1項只是將取得個人的同意作為合法處理個人信息行為的情形之一，而與第2至6項規(guī)定的無需個人同意而合法處理個人信息的情形相并列。筆者認為，這種立法模式顯然沒有凸顯告知同意規(guī)則在個人信息處理活動中的基本規(guī)則的地位，不利于個人信息保護執(zhí)法與司法審判中確認個人信息處理行為的合法性。

(一)告知同意規(guī)則是認定個人信息處理行為合法與否的基本規(guī)則

告知同意規(guī)則，也稱“知情同意規(guī)則”，是指任何組織或個人在處理個人信息時都應當對信息主體即其個人信息被處理的自然人進行告知，并在取得同意后方可從事相應的個人信息處理活動，否則該等處理行為即屬違法，除非法律另有規(guī)定。(11)王利明、程嘯、朱虎：《中華人民共和國民法典人格權(quán)編釋義》，中國法制出版社2020年版，第419頁。告知同意規(guī)則包含了告知規(guī)則與同意規(guī)則，二者緊密聯(lián)系，不可分割。沒有告知，自然人無法就其個人信息被處理作出同意與否的表示；即便告知了，但沒有充分、清晰的告知，自然人作出的同意也并非真實有效的同意。反之，雖然充分、清晰的告知，卻未取得自然人的同意，對個人信息的處理也是非法的，侵害了個人信息權(quán)益。告知同意的規(guī)則最早為1970年德國黑森州的《數(shù)據(jù)保護法》所確認，目前已經(jīng)成為絕大多數(shù)國家個人信息保護法承認的基本規(guī)則。

我國個人信息保護方面的法律明確采取了告知同意規(guī)則。2012年《全國人民代表大會常務(wù)委員會關(guān)于加強網(wǎng)絡(luò)信息保護的決定》第2條要求，網(wǎng)絡(luò)服務(wù)提供者和其他企業(yè)事業(yè)單位在業(yè)務(wù)活動中收集、使用公民個人電子信息，應當遵循合法、正當、必要的原則，明示收集、使用信息的目的、方式和范圍，并經(jīng)被收集者同意?！毒W(wǎng)絡(luò)安全法》第41條第1款規(guī)定：“網(wǎng)絡(luò)運營者收集、使用個人信息，應當遵循合法、正當、必要的原則，公開收集、使用規(guī)則，明示收集、使用信息的目的、方式和范圍，并經(jīng)被收集者同意。”《民法典》第1035條第1款更是明確規(guī)定：“處理個人信息的，應當遵循合法、正當、必要原則，不得過度處理，并符合下列條件：(一)征得該自然人或者其監(jiān)護人同意，但是法律、行政法規(guī)另有規(guī)定的除外；(二)公開處理信息的規(guī)則；(三)明示處理信息的目的、方式和范圍；(四)不違反法律、行政法規(guī)的規(guī)定和雙方的約定?！?/p>

在個人信息保護法中，告知同意之所以被認為是基本規(guī)則，具有極為重要的地位，根本原因在于：個人信息是可直接或間接識別特定自然人的信息，與自然人的人格尊嚴和人格自由息息相關(guān)，為了保護人格尊嚴和人格自由這一最高位階的法益，自然人對其個人信息享有受到法律保護的民事權(quán)益。我國《民法典》明確承認了自然人的個人信息權(quán)益，賦予了自然人對其個人信息享有作為民事權(quán)益的人格權(quán)益。(12)同前注〔1〕，程嘯文，第7頁。這就意味著其他人需要尊重該權(quán)益而不得侵犯它，同樣，承認自然人的個人信息權(quán)益就必然導致對他人行為自由的限制，即任何組織或個人沒有得到自然人的同意而處理其個人信息的行為屬于侵害個人信息權(quán)益的不法行為，具有非法性。在個人信息處理的規(guī)范方面，并不存在下列假設(shè)即“個人信息是可以自由使用的，除非個人信息上存在明確可識別的個人權(quán)益，否則就不能賦予信息主體干預他人使用的自由”。(13)同前注〔7〕，高富平文，第74頁。在一般的人際社會交往中，個人信息的使用主要受到社交禮儀的調(diào)整，(14)See Robert Post, The Social Foundation of Privacy: Community and Self in the Common Law Tort, California Law Review, 1989, Vol.77, p.965.同時也受到隱私權(quán)、名譽權(quán)等民法人格權(quán)制度的規(guī)范，在這個意義上，只要個人信息的使用不侵害自然人的隱私權(quán)等人格權(quán)，的確是可以自由使用的。例如，A請朋友B告訴他C的電話號碼或電子郵箱，B將C的這些個人信息告知A，無需經(jīng)過C的同意。當然，出于社交禮儀，B最好是先征求一下C的意見。但是，進入到個人信息處理領(lǐng)域，個人信息絕不能任由他人使用，而應當確立自然人對其個人信息的控制權(quán)。因為個人信息是能夠單獨或者與其他信息結(jié)合識別特定自然人的信息，該信息上就已經(jīng)存在特定自然人的受法律保護的民事權(quán)益，對個人信息的處理行為(無論是營利目的還是行政管理目的等)會產(chǎn)生侵害自然人的人格尊嚴和人身財產(chǎn)等民事權(quán)益的風險。個人信息從來不是什么任由他人使用的公共物品，以維護公共利益與公共安全并促進個人數(shù)據(jù)的流動共享為由否定自然人對其個人信息的權(quán)利，將個人信息作為公共品完全交由政府通過公法規(guī)制的觀點，(15)吳偉光：《大數(shù)據(jù)技術(shù)下個人數(shù)據(jù)信息私權(quán)保護論批判》，載《政治與法律》2016年第7期，第116頁。漠視了個人信息上承載的民事權(quán)益，只能導致大量以維護公共利益之名而行侵害私權(quán)利之實的惡行，最終的結(jié)果是既無法維護公共利益，更無法保護民事權(quán)益。私權(quán)保護與公法規(guī)制之間不是非此即彼的關(guān)系，而是應當通過兩者共同構(gòu)建個人信息保護的制度基石。毫無疑問，未來的我國《個人信息保護法》應當堅持告知同意規(guī)則，并將其作為個人信息處理中應遵循的基本原則加以凸顯。故此，《草案(一審稿)》第13條將作為基本原則的告知同意規(guī)則與其他例外情形并列，雖然條文表述上簡潔了一些，卻弱化了告知同意規(guī)則的基本原則地位。

令人高興的是，《草案(二審稿)》第13條進行了修改，該條增加了一款，即“依照本法其他有關(guān)規(guī)定，處理個人信息應當取得個人同意，但有前款第二項至第七項規(guī)定情形的，不需取得個人同意。”如此一來，就凸顯了告知同意規(guī)則在個人信息處理活動中基本規(guī)則的地位，即取得同意是原則，不需要取得同意是例外，《草案(二審稿)》的這一修改值得肯定！但是，由于告知規(guī)則與同意規(guī)則是密切結(jié)合在一起的，原則上必須是告知并取得自然人或其監(jiān)護人的同意，處理個人信息的行為才是合法的，例外才不需要同意(包括需要告知但不需要同意或者既不需要告知更無須同意)。為明確此點，筆者認為，還應當將《草案(二審稿)》第13條第1款第1項修改為“告知并取得個人的同意”。

(二)告知同意規(guī)則在個人信息處理規(guī)則構(gòu)建中的作用

原則上，任何人都不得侵害他人的民事權(quán)益，但民事主體可以對自己的權(quán)益進行合法的處分，既包括自行處分，也包括在不違反法律強制性規(guī)定和公序良俗原則的前提下同意他人對自己民事權(quán)益的處分。告知同意規(guī)則充分體現(xiàn)了尊重和保護民事權(quán)益的精神和意思自治原則。作為個人信息處理行為的基本規(guī)范，告知同意規(guī)則對個人信息處理行為進行了限定，它是判斷個人信息處理行為合法與否的基本規(guī)則(除非法律另有規(guī)定)，在個人信息處理規(guī)則的構(gòu)建中發(fā)揮了重要的作用。

告知同意規(guī)則是判斷個人信息處理行為合法與否的基本標準，凡是沒有遵守該規(guī)則的處理行為，原則上都是非法的，除非法律、行政法規(guī)另有規(guī)定(《民法典》第1035條第1款第1項)。這就意味著：首先，個人信息處理者對其處理行為合法與否具有更明確的預期，即知道在處理個人信息時應當怎么做才使得處理行為是合法的；對于信息主體即自然人而言，由于被告知了個人信息將被處理，在知情權(quán)得到充分尊重的基礎(chǔ)上享有了同意或拒絕的權(quán)利。故此，告知同意這種標準化的模式無論對于用戶還是信息處理者而言均為成本最小化的解決方式，雙方減少了因不信任而產(chǎn)生的交易成本，能直接進入到與個人信息權(quán)益行使最為核心的地帶：同意及同意的撤回，甚至刪除權(quán)。(16)同前注〔10〕，萬方文，第173頁。其次，對于個人信息保護執(zhí)法機構(gòu)來說，告知同意規(guī)則為查處違法的個人信息處理行為提供了明確的標準。凡是沒有遵循該規(guī)則且沒有法律、行政法規(guī)例外規(guī)定的個人信息處理行為就是違法行為，就可以查處。再次，在個人信息權(quán)益民事糾紛案件的裁判中，告知同意規(guī)則是法院認定處理者應否承擔侵權(quán)責任的重要標準。只要沒有遵循告知同意規(guī)則而進行處理，當然就是侵害他人個人信息權(quán)益的不法行為，至少應當承擔停止侵害、排除妨礙、消除危險等侵權(quán)責任；如果因此造成損害并符合其他損害賠償請求權(quán)的構(gòu)成要件的，還要承擔損害賠償責任。盡管告知同意規(guī)則的實踐操作沒有讓用戶真正了解個人信息處理的目的、方式或范圍等，但該規(guī)則的存在至少使得用戶知悉自己的個人信息正在被哪個信息處理者所處理并且自己曾經(jīng)同意處理。這樣一來，知情同意規(guī)則不僅建立了處理行為的合法性基礎(chǔ)，也不影響下文將要提及的即便經(jīng)過同意的處理行為也可能構(gòu)成侵權(quán)行為的法律評價。無論信息處理者在告知同意規(guī)則中使用如何復雜冗長甚至含混的表述，也無論個人信息被處理的自然人是否實際閱讀或理解了告知的內(nèi)容，只要因此發(fā)生糾紛，那么在行政機構(gòu)執(zhí)法或法院裁判案件中，首先要審查的就是處理者是否依法履行了告知同意規(guī)則。只要沒有履行該規(guī)則，就是非法處理行為，應當承擔法律責任。如果處理者履行了告知同意規(guī)則，就不存在非法處理個人信息的行為，自然人原則上也不得對該合法處理行為進行阻礙。因此，告知同意規(guī)則在具體落實中存在的一些問題，如處理者的告知含糊不清、瑣屑繁瑣，自然人缺乏真正的意思自由等，(17)任龍龍：《論同意不是個人信息處理的正當性基礎(chǔ)》，載《政治與法律》2016年第1期；方禹：《個人信息保護中的“用戶同意”規(guī)則：問題與解決》，載《網(wǎng)絡(luò)信息法學研究》2018年第1期。都不成其為問題。實踐中暴露出來的這些問題不僅沒有削弱告知同意規(guī)則在個人信息處理中的重要意義，反而彰顯了該規(guī)則的重要性，否則那些違法處理個人信息的處理者也不會想盡辦法來規(guī)避告知同意規(guī)則。

告知同意規(guī)則只是解決個人信息處理行為合法與否的問題，而非意味著發(fā)生侵害個人信息權(quán)益的違法行為時，處理者可以據(jù)此免于承擔任何法律責任，更不能以告知同意規(guī)則的履行來排除其他個人信息保護規(guī)則的適用。首先，即便處理者充分適當?shù)芈男辛烁嬷庖?guī)則，也只是使得處理行為本身不具有非法性而已，即存在違法阻卻事由，可能無需承擔行政責任或刑事責任。(18)例如，依據(jù)《最高人民法院、最高人民檢察院關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》第2條的規(guī)定，違反法律、行政法規(guī)、部門規(guī)章有關(guān)公民個人信息保護的規(guī)定的，應當認定為《刑法》第253條之一規(guī)定的“違反國家有關(guān)規(guī)定”。但是，在處理的過程中，因為不合理的處理行為如處理者的故意或過失等造成自然人的人身財產(chǎn)權(quán)益受到侵害的，依然要承擔民事責任。我國《民法典》第1036條第1項就是要表明，即便是在自然人或其監(jiān)護人同意的范圍內(nèi)實施的個人信息處理行為也必須是合理的，如果不合理，依然要承擔民事責任。(19)同前注〔4〕，黃薇主編書，第220頁。也就是說，合法的個人信息處理行為應當遵循比例原則。其次，告知同意規(guī)則并非一勞永逸的規(guī)則，而只是針對依法告知并取得同意的特定處理者的特定個人信息處理行為而言。這就是說，并非告知并取得同意后，處理者就可以隨意的無限制的處理個人信息，處理者仍然應當嚴格遵循法律規(guī)定和當事人約定的相應的義務(wù)。例如，因為處理的范圍或目的以及處理主體等發(fā)生變化的，處理者仍然需要繼續(xù)履行告知同意規(guī)則。再次，告知同意規(guī)則應當符合個人信息處理行為必須遵循的必要、正當、合法原則(《民法典》第1035條)，并且該規(guī)則的履行不能免除個人信息處理者負有的義務(wù)，例如，經(jīng)告知并取得同意而收集自然人的個人信息后，處理者負有不得泄露或者篡改其收集、存儲的個人信息的義務(wù)，應當采取技術(shù)措施和其他必要措施以確保其收集、存儲的個人信息安全，防止信息泄露、篡改、丟失并在發(fā)生或者可能發(fā)生個人信息泄露、篡改、丟失時及時采取補救措施，按照規(guī)定告知自然人并向有關(guān)主管部門報告(《民法典》第1038條)。同樣，告知同意規(guī)則也不能排除信息主體享有的權(quán)利，如查閱或者復制其個人信息的權(quán)利，發(fā)現(xiàn)信息有錯誤的有權(quán)提出異議并請求及時采取更正等必要措施的權(quán)利等(《民法典》第1037條)。即便處理者在告知時通過格式條款排除了自然人的這些權(quán)利并取得了自然人的同意，依據(jù)《民法典》第497條，該等格式條款也是無效的。

需要注意的是，告知同意規(guī)則涉及了自然人的個人信息權(quán)益，該權(quán)益屬于人格權(quán)益，故此，告知同意規(guī)則的適用需要受到相應的限制。一方面，人格權(quán)益具有專屬性，《民法典》第992條明確規(guī)定：“人格權(quán)不得放棄、轉(zhuǎn)讓或者繼承?！钡?93條規(guī)定：“民事主體可以將自己的姓名、名稱、肖像等許可他人使用,但是依照法律規(guī)定或者根據(jù)其性質(zhì)不得許可的除外。”因此，任何單位或個人都不能通過告知同意規(guī)則而一次性取得對他人的個人信息的無限制、永久的處理權(quán)限，自然人本身也不能放棄、轉(zhuǎn)讓其個人信息權(quán)益。另一方面，告知同意規(guī)則不得違背公序良俗原則，不得抵觸更高位階的權(quán)益，否則即便遵循了告知同意規(guī)則，處理行為也是違法的?！睹穹ǖ洹返?條規(guī)定：“民事主體從事民事活動，不得違反法律，不得違背公序良俗。”通信自由和通信秘密作為憲法保護的高位階的權(quán)利，不應該受到告知同意的限制。(20)張新寶：《個人信息收集：告知同意原則適用的限制》，載《比較法研究》2019年第6期，第6頁。

(三)不適用告知同意規(guī)則的情形

處理者在處理個人信息時原則上必須遵循告知同意規(guī)則，在依法告知并取得信息主體的同意后才能對個人信息進行收集、存儲、使用、加工、傳輸、提供、公開等活動。為了在保護個人信息權(quán)益的同時，也能實現(xiàn)個人信息的合理利用，同時維護公共利益、國家利益等，法律上有必要規(guī)定不適用告知同意規(guī)則的例外情形。依據(jù)《民法典》第1035條第1項，處理個人信息的，應當征得該自然人或者其監(jiān)護人同意，但是法律、行政法規(guī)另有規(guī)定的除外。所謂法律、行政法規(guī)另有規(guī)定的除外情形，在《民法典》中列舉了三種情形：①依據(jù)《民法典》第999條，為公共利益實施新聞報道、輿論監(jiān)督等行為的，可以合理使用民事主體的個人信息；②依據(jù)《民法典》第1036條第2項，合理處理該自然人自行公開的或者其他已經(jīng)合法公開的信息，但是該自然人明確拒絕或者處理該信息侵害其重大利益的除外；③依據(jù)《民法典》第1036條第3項，為維護公共利益或者該自然人合法權(quán)益，合理實施的其他行為?！恫莅?一審稿)》對不適用告知同意規(guī)則的例外情形作出了詳細的列舉，其第13條列舉了以下5種情形：①為訂立或者履行個人作為一方當事人的合同所必需；②為履行法定職責或者法定義務(wù)所必需；③為應對突發(fā)公共衛(wèi)生事件,或者緊急情況下為保護自然人的生命健康和財產(chǎn)安全所必需；④為公共利益實施新聞報道、輿論監(jiān)督等行為在合理的范圍內(nèi)處理個人信息；⑤法律、行政法規(guī)規(guī)定的其他情形。這些例外情形中的第3、4種與《民法典》第1036條第3項、第999條的規(guī)定相同，第1、2種屬于新增的規(guī)定。就《草案(一審稿)》第13條關(guān)于不適用告知同意規(guī)則的例外情形的規(guī)定，筆者認為，有以下幾個問題需要討論。

1.為訂立個人作為一方當事人的合同所必需的個人信息不屬于例外情形

《草案(一審稿)》第13條第2項關(guān)于“為訂立或者履行個人作為一方當事人的合同所必需”的規(guī)定借鑒自歐盟《一般數(shù)據(jù)保護條例》。該條例第6條第1款b規(guī)定：“處理是數(shù)據(jù)主體作為合同主體履行合同之必要，或者處理是因數(shù)據(jù)主體在簽訂合同前的請求而采取的必要措施”時，該處理是合法的，也就是說，即便沒有告知并取得數(shù)據(jù)主體的同意也是合法的處理行為。歐盟《一般數(shù)據(jù)保護條例》這一規(guī)定來自于DPD的第7條，未做任何變化。這一規(guī)定的理由在于：如果對于合同一方當事人(即數(shù)據(jù)主體)的數(shù)據(jù)的處理，對于該合同的另一方當事人(即數(shù)據(jù)控制者)履行該合同是必要的，那么后者對該數(shù)據(jù)的處理就是有法律基礎(chǔ)的。因為數(shù)據(jù)控制者作為合同的當事人，根據(jù)一般的法律原則負有履行其合同義務(wù)的法定義務(wù)，因此為履行合同義務(wù)而處理數(shù)據(jù)的合法性也可以理解為“法定義務(wù)”甚至“控制者的合法利益”的特殊情況，這一規(guī)定能夠大大地簡化歐盟《一般數(shù)據(jù)保護條例》在列舉合法處理情形的清單。(21)Christopher Kuner, Lee A.Bygrave & Christopher Docksey eds., The Eu General Data Protection Regulation (GDPR): A Commentary, Oxford University Press, 2020, p.330.

筆者認為，《草案(一審稿)》借鑒歐盟《一般數(shù)據(jù)保護條例》上述規(guī)定時，擴張了適用范圍，將合同還沒有成立僅僅是締約磋商或者初步接觸的情形也作為不適用告知同意規(guī)則的例外，是不合適的。首先，合同沒有合法成立前，處理者既不負有法定的也不負有約定的履行合同的義務(wù)，故此，其不存在可以排除適用告知同意規(guī)則而處理個人信息的確定的正當利益。其次，合同訂立階段即前合同關(guān)系的范圍很廣泛，既包括個人僅僅是出于興趣而詢問價格，了解相關(guān)商品或服務(wù)信息的階段，也包括雙方進入實質(zhì)性的締約磋商階段，在這些階段中，自然人當然可以主動向處理者提供個人信息或請求處理者處理自己的個人信息，從而順利締結(jié)合同并在將來履行合同。當然，自然人在訂立合同的階段也完全可以不提供個人信息，如果因此導致合同無法成立也是其自負責任而已，不應當允許處理者有權(quán)不經(jīng)告知同意即可處理個人信息。例如，張三走進A商場，該商場未經(jīng)其同意即通過其手機信號而收集到其位置信息，并推送廣告。如果僅僅將自然人走入商場就視為訂立合同的意思表示，那么A商場收集張三的地理位置的信息就成為合法的處理行為，這顯然是錯誤的。正因如此，歐盟《一般數(shù)據(jù)保護條例》第6條第1款b并不包括為訂立合同而必須處理個人信息的情形。條例的起草者認為，合同訂立前的各個階段很多，差別很大，當事人“前合同關(guān)系”是非常模糊的，不能認為在訂立合同階段就可以回避告知同意規(guī)則。(22)同上注。為更好的保護數(shù)據(jù)主體的權(quán)益。一方面，歐盟《一般數(shù)據(jù)保護條例》在第1款b中增加了一種情形，即“處理是因數(shù)據(jù)主體在簽訂合同前的請求而采取的必要措施”，如果不是數(shù)據(jù)主體的請求，那么僅僅在前合同關(guān)系中，還不能認為處理者有權(quán)不經(jīng)告知同意即可處理信息主體的個人信息；另一方面，如果在前合同階段，但是確實是為了數(shù)據(jù)主體的利益，處理者要么取得數(shù)據(jù)主體的同意，要么在符合歐盟《一般數(shù)據(jù)保護條例》第6條第1款f的規(guī)定——即“處理是控制者或者第三方為了追求合法利益之必要，但此利益與被要求保護個人數(shù)據(jù)的數(shù)據(jù)主體的利益或基本權(quán)利自由相沖突的除外，尤其是數(shù)據(jù)主體為兒童的情形下”——時，也可以不經(jīng)數(shù)據(jù)主體的同意。綜上所述，應當刪除《草案(一審稿)》第13條第2項中“訂立”的表述。令人遺憾的是，《草案(二審稿)》第13條第1款第2項仍然維持了該規(guī)定，未做修改。

2.告知同意規(guī)則與對合法公開的個人信息進行的合理使用

對于已經(jīng)合法公開的個人信息，無論是自然人自行公開的還是其他已經(jīng)合法公開的個人信息，原則上是可以無需告知并取得自然人的同意即進行合理處理的，因為這有利于促進信息的流動與利用，對于網(wǎng)絡(luò)信息社會和數(shù)字經(jīng)濟的發(fā)展是有利的。我國《民法典》第1036條第2項規(guī)定，合理處理該自然人自行公開的或者其他已經(jīng)合法公開的信息的，行為人不承擔民事責任，除非該自然人明確拒絕或者處理該信息侵害其重大利益。(23)該規(guī)定來自于《最高人民法院關(guān)于審理利用信息網(wǎng)絡(luò)侵害人身權(quán)益民事糾紛案件適用法律若干問題的規(guī)定》原第12條(該條已被廢止)。這就是說，對于已經(jīng)合法公開的個人信息，行為人原則上可以無須告知該自然人，也無需取得其同意，就可以進行處理，只要這種處理是合理的并且該自然人沒有明確拒絕或者處理該信息沒有侵害其重大利益。申言之，一方面，即便是已經(jīng)合法公開的個人信息依然受到個人信息保護法的保護，自然人對這些個人信息并不因其公開而失去控制的權(quán)利，其有權(quán)拒絕他人對這些信息進行處理。另一方面，由于個人信息的保護對于維護自然人的人格尊嚴和人格自由具有很重要的意義，所以即便是已經(jīng)合法公開的個人信息，也不得任意進行處理，如果處理該信息將侵害自然人的重大利益的，也要承擔民事責任。所謂“侵害自然人重大利益”的情形是指該處理將有害于自然人的生命、身體、自由、財產(chǎn)或其他重大利益。

《草案(一審稿)》并沒有在第13條單列對已合法公開的個人信息的合理處理行為，而是在單列一條即第28條規(guī)定：“個人信息處理者處理已公開的個人信息，應當符合該個人信息被公開時的用途；超出與該用途相關(guān)的合理范圍的,應當依照本法規(guī)定向個人告知并取得其同意。個人信息被公開時的用途不明確的,個人信息處理者應當合理、謹慎地處理已公開的個人信息;利用已公開的個人信息從事對個人有重大影響的活動，應當依照本法規(guī)定向個人告知并取得其同意?！睆倪@一規(guī)定來看，只要處理者的處理行為符合該個人信息被公開時的用途或者用途不明確時進行合理謹慎的處理，那么處理者就不需要告知自然人并取得其同意。顯然，《草案(一審稿)》第28條提出了認定《民法典》第1036條第2項規(guī)定的“合理處理”的標準，即：其一，在個人信息被公開時用途明確的，則處理行為的用途應當“符合該個人信息被公開時的用途”或在“與該用途相關(guān)的合理范圍”之內(nèi)。其二，如果個人信息被公開時用途不明確的，則應當合理謹慎地處理，并且不會對個人有重大影響。然而，《草案(一審稿)》沒有解決的問題是：首先，《民法典》第1036條第2項將已經(jīng)公開的信息界定為“自然人自行公開的或者其他已經(jīng)合法公開的信息”，而《草案(一審稿)》第28條使用的是“已公開的個人信息”，這二者的涵義是否相同？其次，如果這些被合法公開的信息被公開時有明確的用途的，但處理行為不符合該用途或超出了與該用途相關(guān)的合理范圍的，是否都一律適用告知同意規(guī)則？其與《草案(一審稿)》第13條第2至5項情形屬于何種關(guān)系？由于很多個人信息被公開時的用途并不明確，此時如何理解所謂的“個人信息處理者應當合理、謹慎地處理”？再次，《草案(一審稿)》第28條規(guī)定的“利用已公開的個人信息從事對個人有重大影響的活動”與《民法典》第1036條第2項規(guī)定的“處理該信息侵害其重大利益的”的涵義是否一致？最后，《民法典》該項規(guī)定“該自然人明確拒絕”時，處理者也不得處理，無論此種處理是否屬于合理處理，但《草案(一審稿)》對此未予明確。事實上，《民法典》這一規(guī)定非常重要(甚至隱含了對所謂被遺忘權(quán)的認可)。如果我國未來的《個人信息保護法》不予規(guī)定，實際上就是不當?shù)乜藴p了《民法典》賦予自然人的民事權(quán)利，極為不妥。

《草案(二審稿)》在一定程度上彌補了該缺陷，其第13條第1款第5項規(guī)定“依照本法規(guī)定在合理的范圍內(nèi)處理已公開的個人信息”。不過，該項將合理處理公開信息僅限于“依照本法規(guī)定”不妥，畢竟《民法典》也做出了規(guī)定，而且未來也可能有其他法律作出規(guī)定，因此，該項為“依照本法和其他法律規(guī)定”更為妥當。

3.刪除為履行法定職責或者法定義務(wù)所必需的例外情形

《草案(一審稿)》第13條第3項和《草案(二審稿)》第13條第1款第3項均規(guī)定了，為履行法定職責和法定義務(wù)所必需是不適用同意規(guī)則的例外情形。這一規(guī)定是否意味著在履行法定職責和法定義務(wù)而必須處理個人信息時，無需告知并取得自然人的同意呢？從《草案(二稿)》的其他規(guī)定來看，回答是否定的。因為從該草案第35條規(guī)定來看，即便是國家機關(guān)為履行法定職責而處理個人信息的，也應當依照本法規(guī)定向個人告知并取得其同意，除非“法律、行政法規(guī)規(guī)定應當保密，或者告知、取得同意將妨礙國家機關(guān)履行法定職責”。此外，《草案(二審稿)》第34條還明確規(guī)定：“國家機關(guān)為履行法定職責處理個人信息,應當依照法律、行政法規(guī)規(guī)定的權(quán)限、程序進行,不得超出履行法定職責所必需的范圍和限度?！币簿褪钦f，依照第34條和第35條的規(guī)定，即便國家機關(guān)履行法定職責，也應當做到：一方面，依照法律、行政法規(guī)規(guī)定的權(quán)限和程序進行，不能超出履行法定職責所必須的范圍和限度來處理個人信息；另一方面，原則上也必須告知并取得自然人的同意，除非法律、行政法規(guī)另有規(guī)定或者告知、取得同意將妨礙國家機關(guān)履行法定職責。既然如此，在第13條第3項規(guī)定為履行法定職責所必須是什么意思呢？該項的獨立價值何在呢？如果是依據(jù)法律、行政法規(guī)的規(guī)定，而使得國家機關(guān)或者其他法律法規(guī)授權(quán)具有管理公共事務(wù)職能的組織負有法定職責或法定義務(wù)，也完全可以納入第6項的規(guī)定當中。將履行法定職責或法定義務(wù)單列，容易導致不適當?shù)臄U張其適用范圍，故此，建議刪除第13條第3項。

四、敏感信息在建構(gòu)個人信息處理規(guī)則中的功能

個人信息有多重分類方法，但在個人信息保護法中最重要的分類就是敏感信息與非敏感信息的區(qū)分，并且，該分類在個人信息處理規(guī)則的構(gòu)建中具有無可替代的作用。(24)對敏感信息的論述，參見張新寶：《從隱私到個人信息：利益再衡量的理論與制度安排》，載《中國法學》2015年第3期，第50-53頁；葉名怡：《論個人信息權(quán)的基本范疇》，載《清華法學》2018年第5期，第143-158頁；胡文濤：《我國個人敏感信息界定之構(gòu)想》，載《中國法學》2018年第5期，第235-254頁。

(一)區(qū)分敏感與非敏感信息的意義

敏感的個人信息(personal sensitive information)，也被稱為“特殊的個人信息”。何為敏感的個人信息，比較法有不同的界定，如歐盟《一般數(shù)據(jù)保護條例》第9條第1款將敏感的個人信息界定為“揭示種族或者民族出身，政治觀點、宗教或者哲學信仰，工會成員的個人數(shù)據(jù)，以及以唯一識別自然人為目的的基因數(shù)據(jù)、生物特征數(shù)據(jù)，健康數(shù)據(jù)，自然人的性生活或者性取向的數(shù)據(jù)”。再如，日本法上將敏感的個人信息稱為“需注意的個人信息”，《日本個人信息保護法》第2條第3款規(guī)定：“本法所稱的‘需注意的個人信息’是指，含有政令規(guī)定的、為避免發(fā)生針對本人的人種、信條、社會身份、病歷、犯罪經(jīng)歷、因犯罪而被害的事實及其他方面的不當歧視、偏見以及其他不利益而需要在處理上予以特別注意的記述等之個人信息。”(25)類似的規(guī)定還有《韓國個人信息保護法》第23條、我國臺灣地區(qū)“個人資料保護法”第6條等?？偟膩砜?，敏感的個人信息基本上就是兩類：一類是可能危及到個人憲法基本權(quán)利(如言論自由、信仰自由等)的安全的信息，如思想、信念、黨派、宗教等；另一類是涉及個人重大的人身財產(chǎn)權(quán)益安全的私密信息，如犯罪經(jīng)歷、性生活、生物信息、病歷等。

我國《民法典》《網(wǎng)絡(luò)安全法》等法律、行政法規(guī)雖然界定了個人信息的涵義，但并未區(qū)分敏感與非敏感的個人信息，《征信業(yè)管理條例》第14條規(guī)定：“禁止征信機構(gòu)采集個人的宗教信仰、基因、指紋、血型、疾病和病史信息以及法律、行政法規(guī)規(guī)定禁止采集的其他個人信息?！痹摋l所列舉的實際上就是敏感的個人信息。此外，一些部門規(guī)章和標準文件中明確區(qū)分了敏感的與非敏感的個人信息。(26)最早對個人敏感信息作出規(guī)定的是原國家質(zhì)量監(jiān)督檢驗檢疫總局與國家標準化管理委員會于2012年11月5日批準發(fā)布的《信息安全技術(shù)公共及商用服務(wù)信息系統(tǒng)個人信息保護指南》，該指南第3.2條將個人信息分為個人敏感信息與個人一般信息，并對個人敏感信息進行了界定?！恫莅?二審稿)》明確采取了敏感個人信息與非敏感個人信息的分類，其第29條第2款將敏感個人信息的界定為：“一旦泄露或者非法使用,可能導致個人受到歧視或者人身、財產(chǎn)安全受到嚴重危害的個人信息，包括種族、民族、宗教信仰、個人生物特征、醫(yī)療健康、金融賬戶、個人行蹤等信息?！惫P者認為，我國《個人信息保護法》應當區(qū)分敏感與非敏感的信息，并在此基礎(chǔ)上確定相應的個人信息處理規(guī)則，其具有以下重要意義：

1.有利于更好地保護自然人的合法權(quán)益。如前所述，敏感的個人信息與自然人的人格尊嚴、人格自由等基本權(quán)利和重大人身財產(chǎn)權(quán)益具有極為密切的聯(lián)系，對這些個人信息的處理行為會使得自然人的基本權(quán)利及人身財產(chǎn)安全產(chǎn)生重大風險。例如，自然人的基因、指紋、聲紋、掌紋、臉部特征等生物識別信息“不可逆轉(zhuǎn)地改變了身體和身份之間的關(guān)系，它們使得人體的特征變?yōu)椤畽C器可讀’(machine-readable)并能夠進一步予以永久性的使用”。(27)EDPS 2005, p.19, cited in the Opinion of Advocate General Megozzi in Case C-291/ 12, Schwarz (AG Opinion), para.1.掌握這些信息的主體就可以永久的識別特定自然人，其未來會挖空心思地想著如何利用這些信息來謀取各種利益，這對個人的基本權(quán)利和人身財產(chǎn)權(quán)益可能造成何種危險將難以預測和控制。人類歷史的經(jīng)驗教訓一再證明，濫用敏感個人信息(如種族或宗教的信息)會極大地助長大規(guī)模侵犯人權(quán)的行為，(28)同前注〔21〕，Christopher Kuner, Lee A.Bygrave & Christopher Docksey編書，第369頁。如種族歧視、宗教歧視甚至種族滅絕和屠殺。在法律上，對于更高價值位階的法益應給予更高強度的保護。所以，對于與這些高位階法益密切相關(guān)個人信息即敏感個人信息的處理也必須予以專門的、更加嚴格的規(guī)范。

2.有利于協(xié)調(diào)個人信息的保護與利用的關(guān)系。個人信息的合理利用對于個人、社會和國家的發(fā)展都是有益的，在現(xiàn)代網(wǎng)絡(luò)信息時代，完全禁止對個人信息的利用顯然是不可能的，如何劃定個人信息保護與合理使用的邊界就成為問題的核心。敏感與非敏感的個人信息的區(qū)分有助于更科學地劃定這一邊界。對于敏感的個人信息，法律的天平應當向保護自然人個人信息權(quán)益傾斜，因此，原則上應當禁止處理敏感的個人信息，除非處理者基于更高位階的法益且履行更嚴格的程序。至于非敏感的個人信息，則可以在保護個人權(quán)益的前提下更多地允許信息處理者合理的使用，程序也可以更寬松一些、法律義務(wù)上更弱一些。

3.區(qū)分并明確列舉敏感的個人信息，對于自然人、信息處理者以及個人信息保護執(zhí)法機構(gòu)而言都具有極大的意義。對自然人而言，可以更充分意識到敏感信息的重要性，從而采取有效的自我保護行動(如更謹慎地行為以免泄露敏感信息、一旦發(fā)現(xiàn)違法行為及時舉報等)。對信息處理者而言，明確了哪些是敏感的個人信息，能夠降低履行個人信息保護義務(wù)的合規(guī)成本，提高對處理行為合法性的可預期性。就個人信息執(zhí)法機構(gòu)而言，可以集中資源，重點對侵害敏感信息的違法行為進行精準有效的執(zhí)法活動，提高執(zhí)法效率。

(二)《個人信息保護法》的敏感信息與《民法典》的私密信息的關(guān)系

我國《民法典》對個人信息有一個重要的分類，就是分為私密信息與非私密信息，并在此基礎(chǔ)上明確了隱私權(quán)保護與個人信息保護的規(guī)則適用?！睹穹ǖ洹返?034條第3款規(guī)定：“個人信息中的私密信息，適用有關(guān)隱私權(quán)的規(guī)定；沒有規(guī)定的，適用有關(guān)個人信息保護的規(guī)定。”這就是說，私密信息既受到隱私權(quán)保護，也受到個人信息保護規(guī)則的保護。依據(jù)《民法典》第1033條第5項，處理他人的私密信息要么是取得隱私權(quán)人的“明確同意”，要么是依據(jù)法律的規(guī)定，否則，任何組織或者個人實施的處理他人私密信息的行為都構(gòu)成侵害隱私權(quán)的行為。但是，對于處理非私密信息的個人信息，依據(jù)《民法典》第1035條，要么是依據(jù)法律、行政法規(guī)的規(guī)定，要么是得到該自然人或者其監(jiān)護的“同意”。(29)詳見程嘯：《我國民法典個人信息保護制度的創(chuàng)新與發(fā)展》，載《財經(jīng)法學》2020年第4期，第32頁以下。敏感信息與私密信息之間存在交叉的關(guān)系。有些個人信息既是私密信息也是敏感個人信息，如醫(yī)療健康、性取向；有些個人信息雖然是私密信息，卻并不是敏感個人信息，如個人的嗜好、被他人性騷擾的個人信息；有些信息是敏感個人信息卻未必是私密信息，如種族或民族、宗教信仰、政治主張、面貌特征等。

在我國個人信息保護法的起草過程中，不少人提出個人信息保護法草案中敏感與非敏感的個人信息的分類方法與《民法典》中私密與非私密信息的分類方法究竟是什么關(guān)系的疑問？(30)石佳友：《個人信息保護法與民法典如何銜接協(xié)調(diào)》，載《人民司法》2021年1月中，第93頁；王洪亮：《民法典與信息社會——以個人信息為例》，載《政法論壇》2020年第4期，第7頁。筆者認為，敏感信息與非敏感信息、私密信息與非私密信息的區(qū)分是《個人信息保護法》與《民法典》基于不同的規(guī)范目對個人信息所做的兩種不同的分類，二者均有重要意義。

1.敏感信息和非敏感信息是《草案(二審稿)》從規(guī)范個人信息處理行為的角度進行的一種重要分類，并在該區(qū)分的基礎(chǔ)上針對信息處理者提出了不同的處理規(guī)則上的要求，從而有針對性的提高處理者在處理敏感信息時的法定義務(wù)，更加充分的保護個人信息權(quán)益。由于敏感信息對于維護自然人的人身財產(chǎn)安全與人格尊嚴極為重要，該等信息一旦泄露或被非法使用，勢必會對自然人的人身財產(chǎn)權(quán)益造成嚴重的侵害或損害，故此，法律上對處理此類信息有非常嚴格的要求。但是，對于非敏感信息的處理而言，則沒有如此嚴格的要求。正是由于敏感信息和非敏感信息是為了確定不同的個人信息處理規(guī)則而對個人信息作出的區(qū)分，故此，該分類僅適用個人信息保護法所調(diào)整的個人信息處理行為，而不適用自然人因個人或者家庭事務(wù)而處理個人信息的活動。

私密信息和非私密信息則是從民事權(quán)益保護的角度即為正確區(qū)分隱私權(quán)與個人信息權(quán)益的保護方法，由《民法典》對個人信息進行的分類。依據(jù)《民法典》第1034條第3款，私密信息和非私密信息的區(qū)分的側(cè)重點在于民事權(quán)益的類型與保護方法的差異，而非如敏感信息與非敏感信息那樣基于對信息處理者處理個人信息的行為規(guī)范的不同所做的分類，兩種劃分的規(guī)范目的存在明顯的區(qū)別。此外，私密信息和非私密信息的區(qū)分適用于所有的侵害個人信息的侵權(quán)糾紛，即無論網(wǎng)絡(luò)企業(yè)、國家機關(guān)處理個人信息中發(fā)生的侵權(quán)糾紛，還是自然人之間因個人或家庭事務(wù)而出現(xiàn)的侵害個人信息的侵權(quán)行為，區(qū)分私密信息與非私密信息都是必要的。因為這涉及被告侵害的民事權(quán)益究竟是隱私權(quán)還是個人信息權(quán)益的認定。從《民法典》第1033條的規(guī)定來看，除了法律另有規(guī)定或者權(quán)利人明確同意，否則，任何處理他人私密信息的行為都構(gòu)成對他人隱私權(quán)的侵害。但是，非私密信息的處理行為的合法性基礎(chǔ)不僅包括取得信息主體(即個人)或其監(jiān)護人的同意，還包括法律和行政法規(guī)另有規(guī)定的情形。《民法典》第1036條還專門規(guī)定了處理個人信息的三類免責事由。

2.敏感與非敏感信息、私密與非私密信息的區(qū)分在侵權(quán)案件裁判中的作用不同。就人民法院審理侵害隱私權(quán)和個人信息權(quán)益的侵權(quán)案件而言，敏感與非敏感信息、私密與非私密信息這兩種分類方法的意義體現(xiàn)在侵權(quán)責任構(gòu)成要件的不同層次即侵害行為(即行為非法性)和侵害的民事權(quán)益類型。首先，在認定是否存在侵害個人信息的行為即判斷個人信息處理行為非法性的階段，敏感信息與非敏感信息的區(qū)分是十分重要的。由于信息處理者對敏感信息和非敏感信息的處理規(guī)則和法定義務(wù)不同，故此，認定針對敏感信息和非敏感信息的處理行為的非法性時，法院所依據(jù)的法律規(guī)范也不同。當某個信息屬于法律法規(guī)規(guī)章和國家標準規(guī)定的敏感信息時，法院就應當適用個人信息保護法中處理敏感信息的規(guī)范來確定處理者的義務(wù)，并據(jù)此判斷信息處理行為是否非法，反之則不能適用此類專門針對敏感信息的規(guī)范。對于私密信息，由于其受到隱私權(quán)的保護，故此只要權(quán)利人沒有明確同意并且沒有法律的另外規(guī)定，即可認定處理私密信息行為的非法性，即采取所謂的結(jié)果不法說。但是，認定非私密信息的非法性，仍然需要適用個人信息保護法所規(guī)定的個人信息處理規(guī)則。

其次，在確定行為非法性之后，需要認定非法的個人信息處理行為即侵害行為所侵害的民事權(quán)益的類型究竟是什么。在該層面上，確認個人信息究竟是私密信息還是非私密信息非常重要。這直接決定了侵害行為所侵害的客體究竟是隱私權(quán)還是個人信息權(quán)益。這種判斷在法院審理的幾乎所有的個人信息侵權(quán)糾紛中都會存在。(31)相關(guān)案例參見，龐理鵬與北京趣拿信息技術(shù)有限公司等隱私權(quán)糾紛案，北京市第一中級人民法院(2017)京01民終字第509號民事判決書；凌某某訴北京微播視界科技有限公司隱私權(quán)、個人信息權(quán)益網(wǎng)絡(luò)侵權(quán)責任糾紛案，北京互聯(lián)網(wǎng)法院(2019)京0491民初字第6694號民事判決書；黃某訴騰訊科技(深圳)有限公司等隱私權(quán)、個人信息權(quán)益網(wǎng)絡(luò)侵權(quán)責任糾紛案，北京互聯(lián)網(wǎng)法院(2019)京0491民初字第16142號民事判決書。侵害的民事權(quán)益不同，侵權(quán)責任的構(gòu)成要件、侵權(quán)責任的承擔方式等也有所不同。例如，對于私密信息，適用隱私權(quán)保護的規(guī)定，權(quán)利人有權(quán)行使人格權(quán)保護請求權(quán)，并可以向法院申請人格權(quán)禁令。(32)同前注〔11〕，王利明、程嘯、朱虎書，第123頁。但是，對于非私密信息，則不能如此。然而，哪些是私密信息，哪些是非私密信息，不可能如同敏感信息和非敏感信息那樣，由法律法規(guī)規(guī)章或標準加以確定，必須從社會公眾的一般認知和價值權(quán)衡的角度出發(fā)，逐一認定案涉?zhèn)€人信息是否屬于私密信息。比較重要的考慮因素包括：社會公眾對該信息作為私密信息的認知；該信息對于維護自然人的人身財產(chǎn)權(quán)益、人格尊嚴和人格自由的重要程度；該信息對于維護社會正常交往、信息自由的重要程度如何等。

(三)敏感信息的特殊處理規(guī)則

《草案(二審稿)》在區(qū)分敏感與非敏感的信息的基礎(chǔ)上，于第二章專節(jié)規(guī)定了“敏感個人信息的處理規(guī)則”，明確了敏感個人信息適用不同于非敏感的個人信息的一些處理規(guī)則，具體表現(xiàn)在：首先，無論是敏感還是非敏感的個人信息，都是可以處理的，但處理敏感個人信息的要求處理者具有特定的目的和充分的必要性(第29條第1款)；其次，處理敏感的個人信息時，必須取得個人的單獨同意，在法律、行政法規(guī)要求取得書面同意時還應當取得書面同意(第30條)。對于非敏感的個人信息的處理只要取得同意即可，不要求是單獨同意。再次，處理者在處理敏感的個人信息時應當履行更多的告知事項，即除了《草案(二審稿)》第18條規(guī)定的告知事項外，還必須告知處理敏感個人信息的必要性以及對個人的影響(第31條)。第四，法律和行政法規(guī)可以對處理敏感的個人信息作出更嚴格的規(guī)定，包括要求取得相關(guān)行政許可等(第32條)。最后，個人信息處理者在處理敏感的個人信息前應當進行風險評估并予以記錄且至少保存三年(第55條)。結(jié)合上述規(guī)定，筆者認為，關(guān)于敏感信息的特殊處理規(guī)則尚有以下兩個問題需要深入研究。

1.敏感個人信息的處理究竟應當原則上允許還是例外允許

敏感個人信息的處理對于自然人而言意味著巨大的風險，但是也有可能帶來巨大的好處，最典型的例子就是在醫(yī)學研究中對個人健康信息的處理，有利于醫(yī)學科學的發(fā)展，治愈更多的疾病，挽救病人的生命和恢復健康，從而使個人和社會受益。在比較法上，有些國家或地區(qū)的個人信息保護立法對于敏感個人信息采取的是原則禁止，例外允許的處理模式。例如，歐盟《一般數(shù)據(jù)保護條例》第9條就明確規(guī)定，對于特殊類型的個人數(shù)據(jù)原則上禁止處理，除非符合該條第2款規(guī)定的特殊情形，如為了維護數(shù)據(jù)主體的切身利益、維護重大公共利益等。再如，我國臺灣地區(qū)“個人資料保護法”第6條規(guī)定，對于有關(guān)病歷、醫(yī)療、基因、性生活、健康檢查及犯罪前科之個人資料，不得搜集、處理或利用。但有下列情形之一者，不在此限：①法律明文規(guī)定；②公務(wù)機關(guān)執(zhí)行法定職務(wù)或非公務(wù)機關(guān)履行法定義務(wù)必要范圍內(nèi)，且事前或事后有適當安全維護措施；③當事人自行公開或其他已合法公開之個人資料；④公務(wù)機關(guān)或?qū)W術(shù)研究機構(gòu)基于醫(yī)療、衛(wèi)生或犯罪預防之目的，為統(tǒng)計或?qū)W術(shù)研究而有必要，且資料經(jīng)過提供者處理后或經(jīng)搜集者依其揭露方式無從識別特定之當事人。⑤為協(xié)助公務(wù)機關(guān)執(zhí)行法定職務(wù)或非公務(wù)機關(guān)履行法定義務(wù)必要范圍內(nèi)，且事前或事后有適當安全維護措施。⑥經(jīng)當事人書面同意。但逾越特定目的之必要范圍或其他法律另有限制不得僅依當事人書面同意搜集、處理或利用，或其同意違反其意愿者，不在此限。

在我國，《草案(二審稿)》采取了無論敏感的還是非敏感的個人信息，原則上都可以進行處理的立場。筆者認為，這種規(guī)定十分不妥。因為原則上允許處理敏感信息的做法弱化了對敏感信息的保護力度，雖然《草案(二審稿)》對處理敏感信息采取了特殊的處理規(guī)則，即提出了更多的法律上的要求，如處理敏感個人信息的要求處理者必須具有特定的目的和充分的必要性，必須取得個人的單獨同意等。但是，這些形式上的措施并不足以起到保護自然人，維護其基本權(quán)利和重大人身財產(chǎn)利益的要求。一則，何為特定的目的，《草案(二審稿)》并未明確。況且，并非目的特定就可以處理敏感的個人信息，除非該目的所保護的法益高于敏感的個人信息上承載的自然人的法益，(33)關(guān)于民法上各種利益的位階順序，可參見王利明：《民法上的利益位階及其考量》，載《法學家》2014年第1期，第79頁以下。否則不能僅僅因為目的特定就可以處理敏感的個人信息。二則，怎么判斷處理個人敏感信息具有充分的必要，至少這對于自然人而言，很難判斷，就個人信息執(zhí)法機構(gòu)來說，也難以判斷。三則，所謂單獨同意只是突出了個人對敏感信息處理的同意的針對性，即處理者必須明確告知信息主體被處理的信息是敏感信息并且其取得針對該等敏感信息被處理的同意，而不能概括性的、籠統(tǒng)的或一攬子式的。這種方式不僅不足以實現(xiàn)對自然人的保護，還為處理者無端增加了麻煩。況且，該單獨同意也只是針對需要取得同意的個人信息處理行為，并不適用于《草案(二審稿)》第13條第1款第2至7項所列舉的不需要同意的例外情形，這樣就導致了在不適用告知同意的個人信息處理的情形中，敏感的個人信息與非敏感的個人信息實際上完全沒有區(qū)分了。故此，筆者認為，我國個人信息保護法應當明確規(guī)定，對于敏感的個人信息原則上應當禁止處理，除非符合法律規(guī)定的例外情形(如為了科學研究、重大的公共利益、自然人自身的權(quán)益等)，同時就例外可以處理敏感個人信息的情形應規(guī)定更為嚴格的處理要求如單獨同意、詳細告知等，這樣才能真正實現(xiàn)對個人信息權(quán)益的更充分的保護。

2.侵害敏感個人信息的侵權(quán)損害賠償責任的歸責原則

侵害個人信息權(quán)益的民事責任的問題非常重要?！恫莅?一審稿)》第65條規(guī)定：“因個人信息處理活動侵害個人信息權(quán)益的,按照個人因此受到的損失或者個人信息處理者因此獲得的利益承擔賠償責任;個人因此受到的損失和個人信息處理者因此獲得的利益難以確定的,由人民法院根據(jù)實際情況確定賠償數(shù)額。個人信息處理者能夠證明自己沒有過錯的,可以減輕或者免除責任?！憋@然，這一規(guī)定并不妥當。因為一般來說，規(guī)定侵害個人信息權(quán)益的侵權(quán)責任的法律條文，應當明確侵害個人信息權(quán)益的侵權(quán)責任的歸責原則與責任成立要件，至于侵害個人信息權(quán)益的損害賠償責任如何確定，是侵權(quán)責任成立之后的問題。

從《草案(一審稿)》第65條的規(guī)定來看，對于侵害個人信息權(quán)益的侵權(quán)賠償責任似乎采取的是過錯推定責任。當然該條的表述比較模糊。因為處理者在能夠證明自己沒有過錯的時候，可能是減責也可能是免責。如果要規(guī)定過錯推定責任，就應當明確規(guī)定“個人信息處理者能夠證明自己沒有過錯的,可以免除責任”。有鑒于此，《草案(二審稿)》進行了修改完善，其第68條區(qū)分為兩款，第1款規(guī)定了侵害個人信息權(quán)益的歸責原則，即“個人信息權(quán)益因個人信息處理活動受到侵害，個人信息處理者不能證明自己沒有過錯的，應當承擔損害賠償?shù)惹謾?quán)責任?！钡?款規(guī)定了損害賠償?shù)拇_定方法，即“前款規(guī)定的損害賠償責任按照個人因此受到的損失或者個人信息處理者因此獲得的利益確定；個人因此受到的損失和個人信息處理者因此獲得的利益難以確定的，根據(jù)實際情況確定賠償數(shù)額?！?/p>

應當說，《草案(二審稿)》已有很大的改進，值得肯定。但是，仍然存在兩個問題：第一，無論是過錯責任、過錯推定責任還是無過錯責任，都是損害賠償?shù)臍w責原則，而非所有侵權(quán)責任的歸責原則。故此，《民法典》第1165條、1166條在表述歸責原則時都要求有“損害”，然而，《草案(二審稿)》第68條第1款卻沒有規(guī)定“損害”的要件，這樣就等于將過錯推定責任作為所有的侵權(quán)責任的歸責原則，導致了損害賠償責任與其他侵權(quán)責任承擔方式相混淆。

第二，對于侵害個人信息權(quán)益的侵權(quán)賠償責任應當區(qū)分個人信息的不同類型而規(guī)定不同的歸責原則。一概規(guī)定為過錯責任，顯然不利于保護自然人，因為自然人在侵害個人信息權(quán)益的侵權(quán)案件中往往很難證明加害人的過錯，很多時候甚至連具體的加害人都難以確定。(34)阮神裕：《民法典視角下個人信息的侵權(quán)法保護——以事實不確定性及其解決為中心》，載《法學家》2020年第4期，第29頁以下。但一概規(guī)定為過錯推定責任，也不妥當，因為沒有體現(xiàn)對敏感個人信息的特殊保護。正確的做法應當是，因處理敏感信息而產(chǎn)生的侵權(quán)賠償責任，應當適用危險責任即無過錯責任；處理非敏感的個人信息產(chǎn)生的侵權(quán)賠償責任，適用過錯推定責任。理由在于：首先，敏感信息的處理行為本身就屬于法律上的高度危險行為，因為敏感的個人信息與自然人的人格尊嚴和人格自由及人身財產(chǎn)安全等重大法益息息相關(guān)，處理此等信息的行為具有顯著的危險，正因如此，該處理行為原則上應當是禁止的，但是，基于各種更高的利益需求(如科學研究等公共利益、國家利益)而例外允許處理。既然如此，處理者應當承擔更嚴格的責任。其次，對敏感信息的處理行為客觀上開啟了危險源，且處理者具有處理行為具有控制力，故此，基于危險開啟理論與危險控制理論的要求，(35)程嘯：《侵權(quán)責任法》(第三版)，法律出版社2021年版，第126頁。敏感信息的處理者也應當承擔危險責任。再次，對侵害敏感信息的侵權(quán)賠償責任適用危險責任也會顯著提高處理敏感個人信息的成本，形成經(jīng)濟上的壁壘，使得一般的沒有足夠能力的處理者不敢輕易去處理此等信息，從而可以更好的保護個人信息權(quán)益。最后，對于符合法律規(guī)定的例外情形，可以處理敏感的個人信息的處理者而言，其可以通過購買責任保險等分散損失，并且通過適用無過錯責任，也避免了處理者與自然人之間就是否有過錯進行無謂的爭執(zhí)。