李世剛 屈 然

內(nèi)容提要 為平衡個人信息的保護(hù)與利用，促進(jìn)數(shù)字經(jīng)濟(jì)的有序發(fā)展，《個人信息保護(hù)法》第13條確立的個人信息合理使用制度應(yīng)被解釋為可適用于敏感個人信息。有關(guān)敏感個人信息處理需要獲得“單獨同意”“監(jiān)護(hù)人同意”的特殊規(guī)則，系針對處理個人信息需取得信息主體同意之一般規(guī)定的特別規(guī)定，并非排斥、否認(rèn)《個人信息保護(hù)法》第13條第1款第2—7項所列個人信息合理使用情形在敏感個人信息處理領(lǐng)域的適用。在依據(jù)第13條合理使用敏感個人信息時，一方面應(yīng)受《個人信息保護(hù)法》第28條“特定的目的”和“充分的必要性”之規(guī)定的“雙重約束”；另一方面應(yīng)始終圍繞保護(hù)信息主體人格權(quán)益對合理使用情形加以嚴(yán)格解釋，防止寬泛適用導(dǎo)致合理使用制度的濫用。

一、引言

《中華人民共和國民法典》（以下簡稱《民法典》）確立了個人信息保護(hù)的私法框架，將“知情-同意”原則設(shè)定為個人信息處理行為合法性的基礎(chǔ)（第1035條）。同時，為平衡個人信息的保護(hù)和利用，例外地設(shè)立了個人信息的合理使用制度，允許個人信息處理者不經(jīng)信息主體或監(jiān)護(hù)人同意直接處理個人信息，基于法律規(guī)定而賦予處理行為以合法性。例如《民法典》第1036條及第999條列舉了個人信息合理使用的若干情形。更進(jìn)一步的是，《中華人民共和國個人信息保護(hù)法》（以下簡稱《個人信息保護(hù)法》）第1條明確將“促進(jìn)個人信息合理利用”作為其立法目的，且第13條在“取得個人的同意”外還列舉了6項合理使用個人信息的更加具體之情形。

不過，敏感個人信息合理使用的正當(dāng)性及其邊界依然需要在理論上進(jìn)行探討。例如，《個人信息保護(hù)法》第13條確立的合理使用制度是否適用于敏感個人信息？基于處理敏感個人信息可能使自然人的權(quán)益面臨高度風(fēng)險，第13條關(guān)于個人信息合理使用的一般規(guī)則可否不加嚴(yán)格限制即作為敏感個人信息的處理規(guī)則？面對比較法對個人信息權(quán)益克減的趨勢以及敏感個人信息的特殊性，解釋論上需要對此予以回應(yīng)。

二、敏感個人信息合理使用的體系解釋

為平衡個人信息保護(hù)立法所兼顧的“保護(hù)個人信息權(quán)益”和“促進(jìn)個人信息合理利用”的立法目的，《民法典》在確認(rèn)個人信息權(quán)益性質(zhì)、內(nèi)容及保護(hù)規(guī)則的同時，設(shè)定了個人信息合理使用制度?！睹穹ǖ洹返?036條為信息處理者列舉了多種不經(jīng)自然人同意而得以合法處理個人信息的情境，阻卻信息處理者處理個人信息行為的違法性，如處理自然人自行公開或其他已經(jīng)合法公開的信息，以及為維護(hù)公共利益或該自然人合法權(quán)益。此外，第999條還規(guī)定“為公共利益實施新聞報道、輿論監(jiān)督等行為的，可以合理使用民事主體的個人信息”。由于上述規(guī)范并未對個人信息的種類作區(qū)分，《民法典》中個人信息合理使用制度應(yīng)當(dāng)被認(rèn)為同時適用于敏感個人信息和非敏感個人信息。

而在《個人信息保護(hù)法》第二章“個人信息處理規(guī)則”框架內(nèi)，立法者于第一節(jié)“一般規(guī)定”之后設(shè)立第二節(jié)“敏感個人信息的處理規(guī)則”，顯然是將后者作為前者的特別規(guī)定——該第二節(jié)有特別規(guī)定的，應(yīng)適用該節(jié)規(guī)定；沒有特殊規(guī)定的，則優(yōu)先適用第一節(jié)的“一般規(guī)定”。由此，第二節(jié)中第29條和第31條的解釋成為敏感個人信息合理使用制度的關(guān)鍵。第29條和第31條分別確立了處理敏感個人信息的“單獨同意”規(guī)則和處理不滿十四周歲未成年人個人信息的“監(jiān)護(hù)人同意”制度。就二者與第一節(jié)中規(guī)定處理個人信息7類合法情形的第13條第1款的關(guān)系，可以有兩種解釋：一種解釋是第29條和第31條排除第13條第1款之全部7類合法情形，即在一切情形下，處理敏感個人信息均應(yīng)當(dāng)取得信息主體的單獨同意，并且于處理不滿十四周歲未成年人個人信息時，還應(yīng)取得未成年人父母或者其他監(jiān)護(hù)人的同意。申言之，在此種理解下，不存在敏感個人信息的合理使用制度。另一種解釋是第29條和第31條確立的“單獨同意”規(guī)則和“監(jiān)護(hù)人同意”制度僅作為第13條第1款第1項“取得個人同意”之例外，不排除、不否認(rèn)第13條第1款第2到7項可適用于敏感個人信息。后一種解釋更符合《個人信息保護(hù)法》《民法典》及其他法律規(guī)范的體系目標(biāo)，有助于相關(guān)規(guī)范的協(xié)調(diào)從而保障法秩序之統(tǒng)一，切合《個人信息保護(hù)法》的立法目的，兼顧民事權(quán)益保護(hù)和數(shù)字經(jīng)濟(jì)發(fā)展的雙重目標(biāo)。

1.《個人信息保護(hù)法》之外部體系視角

（1）《憲法》第51條為個人信息權(quán)益之克減提供了憲法依據(jù)

《憲法》第51條規(guī)定，“公民在行使自由和權(quán)利的時候，不得損害國家的、社會的、集體的利益和其他公民的合法的自由和權(quán)利”。盡管信息主體對個人信息享有知情權(quán)、同意權(quán)和拒絕權(quán)等一系列權(quán)能，但當(dāng)個人信息權(quán)益與公共利益、他人的合法權(quán)益產(chǎn)生沖突，經(jīng)利益衡量后，信息主體往往會被要求讓渡相應(yīng)的個人信息權(quán)益。

（2）《民法典》與《個人信息保護(hù)法》構(gòu)成個人信息權(quán)益保護(hù)的一般法和特別法之關(guān)系

特別法不應(yīng)該違背《民法典》的基本原則，即使特別法與《民法典》發(fā)生沖突時，也要以基礎(chǔ)性法律所體現(xiàn)的價值為依據(jù)進(jìn)行解釋，并在《民法典》框架體系內(nèi)展開[1]王利明：《論〈個人信息保護(hù)法〉與〈民法典〉的適用關(guān)系》，《湖湘法學(xué)評論》2021年第1期。。

有觀點認(rèn)為，《個人信息保護(hù)法》是個人信息保護(hù)領(lǐng)域的基本法律，它明確了個人信息保護(hù)的基本原則和制度，不能將《個人信息保護(hù)法》視為民法的特別法[1]周漢華：《個人信息保護(hù)的法律定位》，《法商研究》2020年第3期。。誠然，《個人信息保護(hù)法》是個人信息保護(hù)領(lǐng)域基礎(chǔ)性和專門性的法律，但就保護(hù)對象而言，個人信息權(quán)益是自然人人格權(quán)益的構(gòu)成部分，無論是通過公法還是私法路徑對其予以保護(hù)均不能改變其作為民事權(quán)益的性質(zhì)?！睹穹ǖ洹反_立了個人信息權(quán)益在人格權(quán)體系中的地位以及我國個人信息保護(hù)的基本模式與路徑，而《個人信息保護(hù)法》則是具體通過公法手段與私法手段對個人權(quán)益進(jìn)行保護(hù)的法律?！睹穹ǖ洹纷鳛榛痉?，具有普通法的地位和一般性，而《個人信息保護(hù)法》作為單行法，其中的私法規(guī)范具有特別法的屬性，對《民法典》作出了大量的補(bǔ)充和例外規(guī)定。在單行法有規(guī)定的情況下，單行法應(yīng)予以優(yōu)先適用；而在單行法沒有規(guī)定的情況下，應(yīng)適用作為一般法的《民法典》。但《個人信息保護(hù)法》不能違背《民法典》的基本原則，如關(guān)于合法、正當(dāng)、必要等處理原則、免責(zé)事由和侵權(quán)責(zé)任等[2]石佳友：《〈個人信息保護(hù)法〉與〈民法典〉如何銜接協(xié)調(diào)》，《人民論壇》2021年第2期。，《個人信息保護(hù)法》僅是在此基礎(chǔ)上對上述制度和規(guī)則作出了細(xì)化規(guī)定。

就個人信息合理使用制度而言，《個人信息保護(hù)法》第13條所規(guī)定的合理使用情形是對《民法典》第1036條、第999條信息處理者免責(zé)條款的整合與細(xì)化，適用于包括敏感個人信息在內(nèi)的全部個人信息。《個人信息保護(hù)法》第29條和第31條宜解釋為僅針對第13條第1款第1項“取得個人同意”之特別規(guī)定，即“單獨同意”和“監(jiān)護(hù)人同意”規(guī)則，并非針對第13條第1款第2到7項之情形，更不意味著對這些情形的排斥或否認(rèn)。如此，《個人信息保護(hù)法》規(guī)定的個人信息合理使用制度與《民法典》保持整體一致，避免了《個人信息保護(hù)法》在具體適用時與《民法典》產(chǎn)生柔性或剛性沖突[3]夏偉：《個人信息嵌套保護(hù)模式的提出與構(gòu)造》，《中國政法大學(xué)學(xué)報》2021年第5期。。

（3）《個人信息保護(hù)法》下的敏感個人信息合理使用制度的解釋應(yīng)與其他法律、規(guī)范保持一致

除了《民法典》和《個人信息保護(hù)法》，也有其他法律、規(guī)范對敏感個人信息的合理使用作出了具體規(guī)定?！峨娮由虅?wù)法》第25條規(guī)定：“有關(guān)主管部門依照法律、行政法規(guī)的規(guī)定要求電子商務(wù)經(jīng)營者提供有關(guān)電子商務(wù)數(shù)據(jù)信息的，電子商務(wù)經(jīng)營者應(yīng)當(dāng)提供?！贝颂幉⑽磳μ峁┑摹半娮由虅?wù)數(shù)據(jù)信息”做匿名化處理之限定，亦即包括了敏感個人信息。顯然，“提供”屬于《個人信息保護(hù)法》所規(guī)范的個人信息“處理”情形之一?？梢?，電子商務(wù)經(jīng)營者根據(jù)本條規(guī)定“提供”個人信息無需信息主體同意，屬于《個人信息保護(hù)法》第13條第1款第3項“為履行法定職責(zé)或法定義務(wù)所必需”之情形，涉及對敏感個人信息的合理使用?！峨娮由虅?wù)法》規(guī)定了敏感個人信息合理使用制度?！渡钲诮?jīng)濟(jì)特區(qū)數(shù)據(jù)條例》第16條亦指出，數(shù)據(jù)處理者應(yīng)當(dāng)在處理個人數(shù)據(jù)前征得自然人的同意，法律、行政法規(guī)以及該條例另有規(guī)定的除外；第18條涉及敏感個人數(shù)據(jù)的處理規(guī)則，即在處理前應(yīng)征得該自然人的明示同意；第20條將未滿十四周歲未成年人個人數(shù)據(jù)視為敏感個人數(shù)據(jù)，規(guī)定處理前須征得其監(jiān)護(hù)人的明示同意。然而，設(shè)置在上述條文之后的第21條規(guī)定了處理個人數(shù)據(jù)可以不征得數(shù)據(jù)主體同意的情形，包括處理數(shù)據(jù)主體自行公開或其他已合法公開的數(shù)據(jù)，為公共利益處理個人數(shù)據(jù)，為保護(hù)數(shù)據(jù)主體和第三人之利益而處理個人數(shù)據(jù)。通過體系解釋，第21條作為自然人同意規(guī)則之例外（即合理使用之場景），適用于該條之前列舉的包括敏感個人數(shù)據(jù)在內(nèi)的個人數(shù)據(jù)。在國家標(biāo)準(zhǔn)層面，2020年修訂的國家推薦性標(biāo)準(zhǔn)《信息安全技術(shù) 個人信息安全規(guī)范》（GB/T 35273—2020）亦規(guī)定了征得授權(quán)同意的例外情形，未對敏感個人信息和非敏感個人信息作區(qū)分[4]如《信息安全技術(shù) 個人信息安全規(guī)范》（GB/T 35273—2020）第5.6條規(guī)定了“征得授權(quán)同意的例外”，第9.5條規(guī)定了“共享、轉(zhuǎn)讓、公開披露個人信息時事先征得授權(quán)同意的例外”。。

可見，從《民法典》及其他法律規(guī)范看，對《個人信息保護(hù)法》第13條作可適用于敏感個人信息的解釋是恰當(dāng)?shù)摹２煌ЯΦ燃壍囊?guī)范性法律文件所構(gòu)成之法律體系應(yīng)當(dāng)具備統(tǒng)一性和協(xié)調(diào)性[1]王學(xué)輝：《“依法治法”的整體性圖式構(gòu)建——基于“法”的多重含義的統(tǒng)合與超越》，《當(dāng)代法學(xué)》2011年第1期。，維護(hù)法制的統(tǒng)一是維護(hù)法制尊嚴(yán)的前提和基礎(chǔ)。若法律規(guī)定的行為模式不統(tǒng)一，將影響法律的有效施行，可能使法律調(diào)整社會關(guān)系的功能落空，立法目的難以有效實現(xiàn)[2]楊宗科：《論〈國家安全法〉的基本法律屬性》，《比較法研究》2019年第4期。。法秩序的統(tǒng)一性要求法律應(yīng)被作為一個整體來解釋，排除法律規(guī)范之間的矛盾，從而保障法的安定性。法律的解釋應(yīng)當(dāng)先探求由多數(shù)法規(guī)范有意義的結(jié)合狀況所顯現(xiàn)的“主導(dǎo)形象”，然后以此為基準(zhǔn)來解釋個別規(guī)范[3]卡爾·拉倫茨：《法學(xué)方法論》，陳愛娥譯，商務(wù)印書館2004年版，第344頁。。因此，在不同種類法律規(guī)范之間、上位法與下位法之間，應(yīng)當(dāng)統(tǒng)一敏感個人信息合理使用的基本制度，維護(hù)法秩序的統(tǒng)一性。

2.《個人信息保護(hù)法》內(nèi)部體系之視角

為保證規(guī)范的協(xié)調(diào)與統(tǒng)一，還需要從《個人信息保護(hù)法》內(nèi)部考察該法與敏感個人信息合理使用相關(guān)的條文。

第一，就立法目的而言，確立敏感個人信息合理使用制度符合《個人信息保護(hù)法》“促進(jìn)個人信息合理利用”之立法目的?！秱€人信息保護(hù)法》第1條明確指出“保護(hù)個人信息權(quán)益”和“促進(jìn)個人信息合理利用”為立法宗旨，表明對個人信息的保護(hù)并非其唯一立法目的。為確保信息主體個人權(quán)益和公共利益之平衡，《個人信息保護(hù)法》于第13條開啟了個人信息于“同意”外利用之可能性，系立法者基于“促進(jìn)個人信息合理利用”、利于數(shù)字經(jīng)濟(jì)有序發(fā)展之考量。信息分享或流通規(guī)則是個人信息作為生產(chǎn)要素和資源化利用的關(guān)鍵。建立個人信息流通利用或再利用的渠道，是實現(xiàn)信息社會化的必經(jīng)之路[4]高富平：《制定一部促進(jìn)個人信息流通利用的〈個人信息保護(hù)法〉》，《探索與爭鳴》2020年第11期。。隨著大型互聯(lián)網(wǎng)平臺的發(fā)展，這種資源交換的廣度、深度和便捷度更為突出。過于嚴(yán)苛地束縛信息的流通和利用，抑制了信息處理者的創(chuàng)新行為，不利于數(shù)字經(jīng)濟(jì)的發(fā)展[5]任龍龍：《論同意不是個人信息處理的正當(dāng)性基礎(chǔ)》，《政治與法律》2016年第1期。。敏感個人信息是個人信息的重要組成部分，為保證“促進(jìn)個人信息合理利用”立法目的之落實，應(yīng)當(dāng)通過敏感個人信息的合理使用制度對個人信息權(quán)益的邊界進(jìn)行適當(dāng)限制。當(dāng)然始終需要強(qiáng)調(diào)的是，基于敏感個人信息的特殊性，理應(yīng)在其合理使用的場域下對其施以更高水平保護(hù)。適用敏感個人信息合理使用制度時應(yīng)對《個人信息保護(hù)法》第13條列舉情形做嚴(yán)格解釋，結(jié)合“特定的目的和充分的必要性，采取嚴(yán)格保護(hù)措施”，在確保敏感個人信息合理使用的同時，維護(hù)信息主體的人格尊嚴(yán)及人身、財產(chǎn)安全。

第二，就體系而言，審視《個人信息保護(hù)法》的體例結(jié)構(gòu)可知，第13條位于第二章“個人信息處理規(guī)則”第一節(jié)“一般規(guī)定”中。根據(jù)體系解釋，該條規(guī)定屬于在法律沒有相反規(guī)定的情況下可以普遍適用于個人信息處理的共通規(guī)定。一方面，第13條第2款指出：“依照本法其他有關(guān)規(guī)定，處理個人信息應(yīng)當(dāng)取得個人同意，但是有前款第二項至第七項規(guī)定情形的，不需取得個人同意?！庇纱?，處于同一章第二節(jié)“敏感個人信息的處理規(guī)則”之下的規(guī)定，包括對于取得個人“單獨同意”“監(jiān)護(hù)人同意”等涉及信息主體同意的要求，均屬于第13條第2款應(yīng)當(dāng)取得個人同意的“本法其他有關(guān)規(guī)定”，應(yīng)適用第13條第2款的但書規(guī)定。由上可推導(dǎo)出，在第13條第1款第2項到第7項情形下，處理敏感個人信息不需要取得個人的單獨同意；處理不滿十四周歲未成年人的個人信息時，亦不需要其父母或其他監(jiān)護(hù)人的同意。另一方面，如果立法者希望通過“單獨同意”和“監(jiān)護(hù)人同意”制度排除第13條在敏感個人信息領(lǐng)域的適用，則第二節(jié)“敏感個人信息的處理規(guī)則”的表述應(yīng)當(dāng)仿效該章第三節(jié)“國家機(jī)關(guān)處理個人信息的特別規(guī)定”之“本節(jié)有特別規(guī)定的，適用本節(jié)規(guī)定”的表述，而事實上并沒有采用。是故，可將第29條和第31條“單獨同意”和“監(jiān)護(hù)人同意”制度僅置于“知情-同意”規(guī)則下進(jìn)行解釋。

綜上，根據(jù)《個人信息保護(hù)法》的立法目的和條文體系設(shè)置，應(yīng)當(dāng)將第二節(jié)“敏感個人信息的處理規(guī)則”中第29條和第31條的適用場景限定于第13條第1款第1項“取得個人的同意”之情形。

三、敏感個人信息合理使用的比較法觀察

在比較法上，基于保護(hù)公共利益等個人信息權(quán)益克減事由，在敏感個人信息領(lǐng)域不乏合理使用之立法例，并且為順應(yīng)數(shù)字經(jīng)濟(jì)的發(fā)展，對敏感個人信息合理使用情形的列舉呈現(xiàn)擴(kuò)張趨勢。

1.敏感個人信息合理使用場域的擴(kuò)張

通過對比較法的考察，為兼顧公共利益、他人利益甚至自然人本人利益，各國普遍在保護(hù)個人信息主體權(quán)益的基礎(chǔ)上創(chuàng)設(shè)克減機(jī)制，不存在絕對禁止處理敏感個人信息的規(guī)定，只是在法律術(shù)語或表述上存在差異。

整體而言，有的法域在禁止處理敏感個人信息的同時，允許例外情形的存在，如歐盟《一般數(shù)據(jù)保護(hù)條例》（GDPR）就屬此類，在“知情-同意”原則外，依據(jù)規(guī)定可以合理使用敏感個人信息。有的立法例則采取分散立法模式，如美國在較為敏感的領(lǐng)域采取單獨立法的模式許可敏感個人信息的合理使用，而加拿大和新加坡則側(cè)重于保護(hù)信息（數(shù)據(jù)）處理者的商業(yè)利益，為提高個人信息處理者間的商業(yè)交易效率，非交易相對方的個人信息權(quán)益應(yīng)做出相應(yīng)的讓渡。

具體而言，敏感個人信息在GDPR中被稱為“特殊種類個人數(shù)據(jù)”（special categories of personal data）。在其“鑒于條款”第51條中，歐盟委員會指出特殊種類個人數(shù)據(jù)即等同于“敏感數(shù)據(jù)”（sensitive data）——此系1981年歐洲理事會在《關(guān)于個人數(shù)據(jù)自動化處理的個人保護(hù)公約》（簡稱“108號公約”）中提出的概念[1]R.Wong,"Data Protection Online:Alternative Approaches to Sensitive Data?",Journal of International Commercial Law and Technology,2007,2(1),p3.。根據(jù)該公約，除非國內(nèi)法已經(jīng)提供適當(dāng)保障，否則禁止自動處理有關(guān)種族出身、政治觀點、宗教或其他信仰、健康或性生活以及與違法行為、刑事訴訟和定罪有關(guān)的個人數(shù)據(jù)（第6條）。GDPR第9條第1款規(guī)定了特殊種類個人數(shù)據(jù)禁止處理之規(guī)則，第2款則出于公共利益等克減事由列舉了除同意外的9種例外情形。敏感數(shù)據(jù)的合理使用本質(zhì)上是對個人信息主體權(quán)益的克減。早在《歐洲保障人權(quán)和基本自由公約》（簡稱《歐洲人權(quán)公約》）中對隱私權(quán)之限制便采用原則上禁止、例外情形允許的模式。該公約明確禁止干涉隱私權(quán)，除非“依照法律”和“民主社會之必要”以滿足特定的、令人信服的公共利益（第8條）。不過，《歐洲人權(quán)公約》未對隱私權(quán)克減的情形進(jìn)行列舉。前述“108號公約”則將個人數(shù)據(jù)作為獨立于隱私權(quán)的單獨概念進(jìn)行保護(hù)，并引入“敏感數(shù)據(jù)”術(shù)語。遺憾的是，“108號公約”僅規(guī)定了數(shù)據(jù)處理的基本原則（第5條），個人信息處理的詳細(xì)法律依據(jù)缺位是不爭的事實。隨后《第95/46/EC號保護(hù)個人在數(shù)據(jù)處理和自動移動中權(quán)利的指令》（簡稱“95指令”）在同意之外羅列了4種構(gòu)成處理特殊種類個人數(shù)據(jù)合法性依據(jù)的要件，包括為雇傭之必要、為自然人的核心利益之必要、非營利機(jī)構(gòu)合法活動之需要以及數(shù)據(jù)主體明顯公開的或為捍衛(wèi)法律訴求之必需（第8條第2款）?！?5指令”因GDPR的實施而被廢止，GDPR第9條將除同意外的合理使用特殊種類個人數(shù)據(jù)的情形擴(kuò)充至9種。歐盟“95指令”第29條數(shù)據(jù)保護(hù)工作組（即“歐盟第29條工作組”）在第6/2014號意見書中認(rèn)為，“個人信息權(quán)和隱私權(quán)一樣，都不是絕對權(quán)，應(yīng)當(dāng)置于特定場景下進(jìn)行解釋”。數(shù)據(jù)處理者提供適當(dāng)保障，可以與他人的權(quán)利相權(quán)衡或以公共利益為由進(jìn)行限制，強(qiáng)調(diào)數(shù)據(jù)使用價值的實現(xiàn)?？梢?，敏感個人信息合理使用制度的應(yīng)用在歐洲呈現(xiàn)持續(xù)擴(kuò)大的態(tài)勢。

美國在個人信息保護(hù)方面采用分散立法模式，應(yīng)用隱私權(quán)保護(hù)個人信息，從社會宏觀經(jīng)濟(jì)利益角度切入，主張以自律模式處理個人信息問題，個人信息流通的限度較大。美國《隱私權(quán)法案》第12條規(guī)定，在緊急情況下，為了自然人的健康或安全而使用個人記錄，行政機(jī)關(guān)披露個人記錄無需征得本人同意。在諸如兒童信息、醫(yī)療檔案、金融數(shù)據(jù)等較為敏感的領(lǐng)域，美國立法機(jī)關(guān)采取單獨立法的方式保護(hù)個人信息，列舉可以不經(jīng)信息主體同意使用個人信息的場景。例如《健康保險攜帶和責(zé)任法案》（Health Insurance Portability and Accountability Act/1996）規(guī)定，出于公共利益之目的，法律法規(guī)要求披露相關(guān)信息，或基于疾病防治之目的在公共健康監(jiān)管部門要求下披露，或出于研究目的收集有限的數(shù)據(jù)集時，可以不經(jīng)個人同意而披露或收集健康信息（45 C.F.R.§164.502）。在司法領(lǐng)域，美國法院在處理數(shù)據(jù)協(xié)助義務(wù)案件時一般會應(yīng)用“第三方原則”，即第三方機(jī)構(gòu)（如醫(yī)院、電信運(yùn)營商、保險公司等）應(yīng)政府部門要求提供其掌握的個人信息，不受美國憲法第四修正案（公民免受無理由搜查和扣押）的限制[1]韓新遠(yuǎn)：《個人行為軌跡信息的法律屬性與分類保護(hù)研究》，《交大法學(xué)》2021年第3期。。

與GDPR的定位不同，加拿大《個人信息保護(hù)與電子資料法》（The Personal Information Protection and Electronic Documents Act,PIPEDA）和新加坡《個人數(shù)據(jù)保護(hù)法》（Personal Data Protection Act 2012）側(cè)重保護(hù)信息（數(shù)據(jù)）處理者的商業(yè)利益，秉持的是平衡個人信息保護(hù)和商業(yè)發(fā)展的理念。二者均未區(qū)分敏感個人信息和非敏感個人信息，而采用一體化保護(hù)模式。列舉了大量無需信息主體同意，甚至無需知情即可被信息處理者收集、使用和披露個人信息的情形。值得關(guān)注的是，除了為公共利益和自然人的重大利益等情形外，兩部法律都對個人信息處理者間商業(yè)交易涉及的部分個人信息作出合理使用的規(guī)定：如果信息處理者間為完成預(yù)期商業(yè)交易之必要，為交易相關(guān)之特定目的，并采取相應(yīng)安全保障措施的，可以在信息主體不知情或未經(jīng)同意的情況下使用和披露個人信息[2]Art.7.2(1),PIPEDA;Art.1(3),Part 4,First Schedule,Personal Data Protection Act 2012.。

2.敏感個人信息合理使用場域擴(kuò)張的正當(dāng)性

很顯然，通過敏感個人信息的合理使用促進(jìn)個人信息的流通，是比較法的共同趨勢。

比較法的經(jīng)驗普遍顯示，信息主體的個人信息權(quán)益在與公共利益沖突的特定場景下應(yīng)作出讓渡。GDPR在“鑒于條款”中明確個人數(shù)據(jù)權(quán)利應(yīng)當(dāng)根據(jù)比例原則與其他基本權(quán)利保持平衡；加拿大《個人信息保護(hù)與電子資料法》和新加坡《個人數(shù)據(jù)保護(hù)法》更是為了個人信息處理者間的商業(yè)交易效率，設(shè)定了對非交易相對方個人信息的合理使用規(guī)則。

更進(jìn)一步，在比較法上，敏感個人信息合理使用情形的列舉呈現(xiàn)擴(kuò)張趨勢。即使被稱為“最嚴(yán)格數(shù)據(jù)保護(hù)法”的GDPR，為順應(yīng)科技的發(fā)展和社會之變遷，也從“籠統(tǒng)”到“具體”，使敏感個人信息合理使用的情形更加具象和多元化?！白兏锏某霭l(fā)點之一便是回應(yīng)過去二十余年信息技術(shù)浪潮快速更迭帶來的數(shù)據(jù)保護(hù)新問題?！盵3]張新寶、葛鑫：《個人信息保護(hù)法（專家建議稿）及立法理由》，中國人民大學(xué)出版社2021年版，第23頁?，F(xiàn)階段，在保護(hù)個人信息權(quán)益的同時，設(shè)置敏感個人信息的合理使用制度，推動信息合法流通，有助于構(gòu)筑國家數(shù)字經(jīng)濟(jì)發(fā)展新優(yōu)勢與公平競爭的法治環(huán)境。鑒于此，確立敏感個人信息的合理使用制度已成為數(shù)字經(jīng)濟(jì)時代不可抵擋之趨勢。

比較法對敏感個人信息權(quán)益的克減情形，可能發(fā)生在個人信息權(quán)益與公共利益、自然人利益沖突等不同的場景。在敏感個人信息合理使用中，公共利益保護(hù)是主要的面向。“個人權(quán)利是公共權(quán)力正當(dāng)性的根據(jù)，公共權(quán)力的行使也應(yīng)當(dāng)以擴(kuò)展個人權(quán)利為目的。”基于公權(quán)力整合個人和群體利益有差異的職能，可以也必須對個人的權(quán)益進(jìn)行相應(yīng)限制。但對損害公共利益的行為進(jìn)行干涉，應(yīng)當(dāng)考慮干涉的可能性、必要性和效率性而作出合理的選擇[1]葉傳星：《在私權(quán)利、公權(quán)力和社會權(quán)力的錯落處——“黃碟案”的一個解讀》，《法學(xué)家》2003年第3期。。因此，應(yīng)當(dāng)對敏感個人信息合理使用的情形進(jìn)行嚴(yán)格的分析與考量，以期尋求信息主體權(quán)益與公共利益的平衡。

四、敏感個人信息合理使用的限制

《個人信息保護(hù)法》將敏感個人信息定義為“一旦泄露或非法使用，容易導(dǎo)致自然人的人格尊嚴(yán)受到侵害或人身、財產(chǎn)安全受到危害的個人信息”（第28條第1款）。從規(guī)范體系考察，處理敏感個人信息與非敏感個人信息的要求區(qū)別于是否具有“特定的目的和充分的必要性”（第28條第2款），由此使得二者合理使用的規(guī)范方式有所不同，即以特殊、一般之方式分別予以解釋?；谇罢叩母叨让舾行裕瑢ζ溥M(jìn)行保護(hù)必然區(qū)別于一般的個人信息?？梢?，若簡單地將《個人信息保護(hù)法》第13條適用于敏感個人信息，將導(dǎo)致敏感個人信息的處理規(guī)則基本上與非敏感個人信息沒有差別[2]程嘯：《怎樣建立完善個人信息處理規(guī)則》，《經(jīng)濟(jì)參考報》2020年11月3日。。因此，敏感個人信息合理使用場景之認(rèn)定，自然應(yīng)采取更高程度的約束條件和更加嚴(yán)格的解釋標(biāo)準(zhǔn)。

1.特定目的原則和充分必要性原則

根據(jù)《個人信息保護(hù)法》第28條第2款，只有在具有特定的目的和充分的必要性，并采取嚴(yán)格保護(hù)措施的情形下，個人信息處理者方可處理敏感個人信息。本條作為處理敏感個人信息的特別條款，應(yīng)適用于敏感個人信息處理的全部情形。第13條第1款第2—7項所規(guī)定的情形本身，并不符合特定目的和充分必要性，不能僅以第2—7項的情形作為敏感個人信息合理使用的合法性基礎(chǔ)。敏感個人信息的合理使用應(yīng)受上述第2—7項的情形和第28條“特定的目的”和“充分的必要性”之規(guī)定的“雙重約束”，但《個人信息保護(hù)法》未對“特定的目的”和“充分的必要性”進(jìn)行具體說明。

特定目的原則在比較法上有可供參考之對象。例如GDPR強(qiáng)調(diào)“特定目的原則”之使用，要求處理個人信息必須具備“特定的、明確的、合法的目的”（第5條第1款第b項）。該原則被認(rèn)為體現(xiàn)在敏感個人信息合理使用的兩個階段：一是收集階段，個人信息處理者應(yīng)有特定的收集、使用目的；二是使用階段的使用限制，要求信息處理者在實際使用敏感個人信息時，目的不得與法律規(guī)定的可合理使用的目的相違背[3]龍衛(wèi)球主編：《中華人民共和國個人信息保護(hù)法釋義》，中國法制出版社2021年版，第136頁。。“特定”是指目的應(yīng)當(dāng)在不遲于收集個人信息時確定，目的描述必須提供足夠的細(xì)節(jié)，使之具備辨識度[4]Article 29 Data Protection Working Party,Opinion 03/2013 on purpose limitation 15(Article 29 Data Protection Working Party 00569/13/EN 2013),Adopted on 2 April 2013,p.15．。因此，目的不能過于模糊或流于一般化，諸如“法定職責(zé)目的”“公共利益目的”“財產(chǎn)安全目的”等表述就不符合“特定”的要求。在合理使用敏感個人信息時，處理者必須告知信息主體某項具體法定職責(zé)或義務(wù)、特定突發(fā)公共衛(wèi)生事件或為何種公共利益而處理敏感個人信息，除非有法律、行政法規(guī)規(guī)定應(yīng)當(dāng)保密或者不需要告知的情形。

充分必要性原則的核心功能在于防止個人信息處理者以“合理使用”為名，對敏感個人信息進(jìn)行過度處理。對于一般的個人信息，其處理只需有“必要性”即可，但對于敏感個人信息而言，處理必須具備“充分的必要性”[5]王利明：《敏感個人信息保護(hù)的基本問題——以〈民法典〉和〈個人信息保護(hù)法〉的解釋為背景》，《當(dāng)代法學(xué)》2022年第1期。，這實質(zhì)上是對信息處理程度進(jìn)一步降低。如依《信息安全技術(shù) 個人信息安全規(guī)范》（GB／T 35273—2020）與《深圳經(jīng)濟(jì)特區(qū)數(shù)據(jù)條例》“最小必要原則”的具體要求，信息處理者只能處理最少量的敏感個人信息類型和數(shù)量。個人信息的存儲時間亦受嚴(yán)格限制，在不需要時應(yīng)及時刪除或作匿名化處理，以此降低信息主體權(quán)益受到侵害的風(fēng)險。

2.敏感個人信息合理使用情形的嚴(yán)格解釋

由于敏感個人信息與自然人的人格尊嚴(yán)等基本權(quán)利、重大人身利益或財產(chǎn)利益具有極為密切的聯(lián)系，《個人信息保護(hù)法》第13條第1款第2到7項列舉之情形，理應(yīng)基于敏感個人信息的特殊性，作出區(qū)分于非敏感個人信息的更為嚴(yán)格的解釋。

以GDPR為例，考慮到個人信息的敏感度會隨文化背景、科技發(fā)展和公眾心理的變化而在不同地域和不同時代呈現(xiàn)迥然的樣貌[1]K.Mc Cullagh,"Data Sensitivity:Proposals for Resolving the Conundrum",Journal of International Commercial Law&Technology,2009(2),p.199.，歐盟各成員國可以對處理特殊種類個人數(shù)據(jù)的具體情形施以更詳細(xì)的規(guī)定，原則上不低于GDPR的基本要求[2]李世剛、包丁裕睿、王崢：《歐盟一般數(shù)據(jù)保護(hù)條例：文本和實用工具》，人民日報出版社2018年版，第5頁。。

GDPR第9條第2款是歐盟特殊種類個人數(shù)據(jù)處理的一般規(guī)則，各成員國可以根據(jù)本國情況變通、選擇或保留，原則上不低于其基本要求，各成員國實際制定的標(biāo)準(zhǔn)往往高于GDPR[3]Ana-Elena Iunker,"Applicability of Article 9 of the Regulation(EU)2016/679 on the Protection of Personal Sensitive Data during COVID-19 Pandemic",Conferinta Internationalǎde Drept,Studii Europene si Relatii Internationale,2020,8(8),p.360.。以英國對GDPR第9條第2款第e項（對由數(shù)據(jù)主體“明顯地公開”的特殊種類個人數(shù)據(jù)的處理不予禁止且無須數(shù)據(jù)主體的同意）的適用為例，英國信息專員辦公室（ICO）對“由數(shù)據(jù)主體”（by the data subject）和“明顯地公開”（manifestly public）分別作出嚴(yán)格解釋。首先，“明顯地公開”的條件相當(dāng)于必須通過一個無障礙獲取測試，即任何人均可無障礙地獲取該個人信息，并且這些信息能夠讓普通公眾實際獲取。“明顯地公開”解釋的關(guān)鍵不在于個人信息在理論上是否屬于公共領(lǐng)域（如在圖書館的出版物中或法庭上提及），而在于該信息在實踐中是否具有實際的公共屬性。其次，關(guān)于“由數(shù)據(jù)主體”之要件，ICO強(qiáng)調(diào)了數(shù)據(jù)主體的意識和自愿的重要性，即應(yīng)當(dāng)是個人主動選擇將他們的特殊種類個人數(shù)據(jù)予以公開。例如，數(shù)據(jù)主體在博客發(fā)布自己的健康狀況和政治觀點等，并不能被想當(dāng)然地解釋為數(shù)據(jù)主體已明顯地將個人信息予以公開。若數(shù)據(jù)主體對誰能夠?qū)嶋H訪問數(shù)據(jù)存在誤解，可能造成對個人數(shù)據(jù)的披露并非出于自愿，結(jié)果或?qū)?dǎo)致處理該特殊種類個人數(shù)據(jù)的免責(zé)事由無效[4]Information Commissioner's Office(UK),"What are the Conditions for Processing?",available at https://ico.org.uk/fororganisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/special-category-data/whatare-the-conditions-for-processing/,last visited on 8 June 2022.。除此之外，某些歐盟會員國利用GDPR第9條第4款禁止處理特定類型的遺傳數(shù)據(jù)。例如，希臘禁止為健康和人壽保險目的而處理遺傳數(shù)據(jù)[5]Art 23,Law 4624/2019(Greece).。

五、敏感個人信息合理使用的展開

綜上，我國《個人信息保護(hù)法》在征得特別同意之外未單獨列舉敏感個人信息合理使用的情形，第13條關(guān)于個人信息合理使用的一般規(guī)則可以適用于敏感個人信息，只是必須附加嚴(yán)格限制。當(dāng)然，于實踐中，第13條所列舉的合理使用情況，還需結(jié)合敏感個人信息的特點不斷完善。

1.為合同、人力資源管理所必需

《個人信息保護(hù)法》第13條第1款第2項規(guī)定：“為訂立、履行個人作為一方當(dāng)事人的合同所必需，或者按照依法制定的勞動規(guī)章制度和依法簽訂的集體合同實施人力資源管理所必需?！蓖ㄟ^對第13條進(jìn)行文義解釋和體系解釋，本項合理使用場景應(yīng)適用于敏感個人信息，處理時不需要取得信息主體的“單獨同意”或“監(jiān)護(hù)人同意”。

不過，值得注意的是，比較法上對此呈現(xiàn)出不同的立法例。盡管GDPR第6條（數(shù)據(jù)處理的一般規(guī)則）規(guī)定，“為合同所必需”是合理使用一般個人數(shù)據(jù)的合法性基礎(chǔ)。但是，在涉及特殊種類個人數(shù)據(jù)（即敏感個人信息）時，“第29條工作組”在2018年發(fā)布的《關(guān)于GDPR“同意”指南》中強(qiáng)調(diào)，GDPR第9條第2款不承認(rèn)“為合同所必需”是一般禁止處理特殊種類個人數(shù)據(jù)的例外。因此，就此類數(shù)據(jù)而言，如果第（b）至（j）項的例外都不適用，則應(yīng)按照GDPR中的有效同意條件，獲得明確同意才是處理此類數(shù)據(jù)的合法例外[1]Article 29 Data Protection Working Party,Guidelines on consent under Regulation 2016/679,Adopted on 10 April 2018,p.19.。歐盟數(shù)據(jù)保護(hù)委員會（EDPB）于2020年發(fā)布《關(guān)于GDPR“同意”指南》，對上述觀點予以認(rèn)可[2]European Data Protection Board,Guidelines 05/2020 on consent under Regulation 2016/679,Version 1.1,Adopted on 4 May 2020,p.21.。我國也有學(xué)者指出，為訂立、履行合同而必需獲取或使用自然人個人信息，本質(zhì)上仍是當(dāng)事人基于意思自治而進(jìn)行的同意。因此應(yīng)將這種情形從個人信息合理使用的依據(jù)中排除，否則將與私法自治原則相抵觸[3]程嘯：《論我國民法典中的個人信息合理使用制度》，《中外法學(xué)》2020年第4期。。

2.為履行法定職責(zé)或者法定義務(wù)所必需

滿足《個人信息保護(hù)法》第13條第1款第3項規(guī)定的“為履行法定職責(zé)或者法定義務(wù)所必需”，可不需取得個人同意處理其個人信息。這里的“法定職責(zé)”和“法定義務(wù)”必須是法律具體的規(guī)定，應(yīng)清晰、明確、有可預(yù)見性。也就是說，只有法律明確規(guī)定了信息處理的性質(zhì)和目的，個人信息處理者方可基于本項合理使用敏感個人信息。

個人信息處理者履行該法定職責(zé)或法定義務(wù)還應(yīng)當(dāng)遵循比例原則。近年來，比例原則的適用在我國呈現(xiàn)不斷擴(kuò)張的趨勢，不僅行政法、刑法等公法領(lǐng)域強(qiáng)調(diào)比例原則的指導(dǎo)價值，私法領(lǐng)域也逐漸認(rèn)可比例原則的作用。更有學(xué)者主張比例原則應(yīng)當(dāng)作為民法的一項基本原則，強(qiáng)調(diào)比例原則在私法領(lǐng)域的普適性[4]鄭曉劍：《比例原則在民法上的適用及展開》，《中國法學(xué)》2016年第2期。。無論國家機(jī)關(guān)還是非國家機(jī)關(guān)，在履行法定職責(zé)和法定義務(wù)而合理使用敏感個人信息時，均應(yīng)遵循比例原則。根據(jù)比例原則，處理敏感個人信息應(yīng)當(dāng)考慮個人信息處理者法定義務(wù)或法定職責(zé)與信息主體個人信息權(quán)益的均衡性，對信息主體利益可能造成的損害應(yīng)與所要實現(xiàn)的法定目的具有相稱性，不能顯著失衡。相稱性內(nèi)蘊(yùn)多元的價值評價，需要在具體個案中綜合考量。

3.為應(yīng)對突發(fā)公共衛(wèi)生事件或者緊急情況下為保護(hù)自然人的財產(chǎn)安全所必需

在《個人信息保護(hù)法》第13條第1款第4項場景下，為應(yīng)對“突發(fā)公共衛(wèi)生事件”，合理使用敏感個人信息的主體應(yīng)僅限于與公共衛(wèi)生事件相關(guān)的行政主體，并遵循法律保留原則。突發(fā)公共衛(wèi)生事件屬于突發(fā)事件，依據(jù)《突發(fā)事件應(yīng)對法》，在進(jìn)入緊急狀態(tài)前，行政主體只能采取法律、法規(guī)、規(guī)章規(guī)定的應(yīng)急處置措施（第69條）。因此，在此情形下，行政機(jī)關(guān)為應(yīng)對“突發(fā)公共衛(wèi)生事件”而對自然人生物識別、行蹤軌跡等敏感個人信息采取應(yīng)急處置措施時，只有在法律、法規(guī)和規(guī)章的明確授權(quán)下，行政機(jī)關(guān)才可以對自然人的敏感個人信息進(jìn)行合理使用。

依據(jù)該項，緊急情況下為保護(hù)自然人“財產(chǎn)安全”，未經(jīng)信息主體同意處理敏感個人信息的，雖原則上構(gòu)成合理使用，但仍須進(jìn)行利益衡量，遵循特定目的原則、充分必要性原則以及公開透明原則等。以此為例，我們可以展開平衡測試，證明保護(hù)“財產(chǎn)安全”所帶來的利益在具體場景下大于可能給信息主體帶來的危害[1]朱曉峰：《人格權(quán)侵害民事責(zé)任認(rèn)定條款適用論》，《中國法學(xué)》2021年第4期。。參考“歐盟第29條工作組”于第6/2014號意見書中對合法利益豁免機(jī)制之平衡測試的構(gòu)建，結(jié)合“財產(chǎn)安全”之特性，平衡測試的內(nèi)容具體有以下幾點：第一，評估保護(hù)財產(chǎn)安全所帶來的利益、財產(chǎn)安全受到侵害的可能性及嚴(yán)重性；第二，衡量信息處理者是否已盡到特定的信息保障義務(wù)，即滿足“特定的目的和充分的必要性”；第三，考量信息處理者是否已采用嚴(yán)格保護(hù)措施，例如匿名化處理和無條件退出機(jī)制（opt-out）等。

4.為公共利益實施新聞報道、輿論監(jiān)督等行為

“公共利益”“新聞報道”“輿論監(jiān)督”本身皆為內(nèi)涵與外延不易把握的概念，再加上“等”字，如果不加以嚴(yán)格限制，那么《個人信息保護(hù)法》第13條第1款第5項場景的適用范圍將非常廣泛。因此無論對敏感個人信息還是對非敏感個人信息，均要嚴(yán)格解釋該項合理使用的要件，尤其要對信息主體讓渡個人信息權(quán)益所服務(wù)的公共利益的范疇進(jìn)行嚴(yán)格限定。例如，未經(jīng)個人同意處理其敏感個人信息的前提是實施新聞報道和輿論監(jiān)督以維護(hù)公共安全、公共衛(wèi)生之類的公共利益為目的，而諸如娛樂性報道或?qū)Σ坏赖滦袨榈谋O(jiān)督不符合本項規(guī)定的情形，或?qū)?gòu)成侵權(quán)[2]程嘯：《論我國民法典中的個人信息合理使用制度》，《中外法學(xué)》2020年第4期。。

5.處理個人自行公開或者其他已經(jīng)合法公開的個人信息

為防止個人信息被濫用，《個人信息保護(hù)法》第13條第1款第6項亦應(yīng)被嚴(yán)格解釋。“自行公開”必須強(qiáng)調(diào)信息主體的自主意識，應(yīng)當(dāng)是個人主動將其敏感個人信息予以公開，且是任何人均可無障礙地獲取。一方面，“自行公開”應(yīng)當(dāng)考慮信息主體具備將該信息進(jìn)行公開的主觀意識和自愿性。如在信息主體入駐網(wǎng)絡(luò)服務(wù)平臺時，由個人信息處理者事先以合同條款告知《個人信息保護(hù)法》第13條第1款各項情形，讓用戶知悉其自行公開的敏感個人信息存在被個人信息處理者收集并為特定目的使用之可能性。另一方面，“自行公開”和“合法公開”之情形均應(yīng)當(dāng)考量信息發(fā)布平臺的公共程度，是否為任何人均可無障礙地獲取。因此，在此場景下，信息主體在其朋友圈或微博好友圈等特定群體可見的平臺發(fā)布敏感個人信息并不能被視為“自行公開”，個人信息處理者不得以此為由對該敏感個人信息進(jìn)行處理。

六、結(jié)語

現(xiàn)行法律確立了敏感個人信息的合理使用制度?！秱€人信息保護(hù)法》第13條對于個人信息的合理使用制度應(yīng)當(dāng)解釋為適用于敏感個人信息，而第29條和第31條“單獨同意”和“監(jiān)護(hù)人同意”規(guī)則應(yīng)僅作為第13條第1款第1項的例外。合理使用敏感個人信息，一方面，應(yīng)受第13條第2到7項之情形和第28條“特定的目的”和“充分的必要性”之規(guī)定的“雙重約束”；另一方面，應(yīng)始終突出保護(hù)信息主體人格權(quán)益，對敏感個人信息合理使用的場景進(jìn)行嚴(yán)格解釋，兼采比例原則和平衡測試，維護(hù)法律上公平價值和效率價值的統(tǒng)一，防止寬泛適用導(dǎo)致合理使用制度的濫用。合理使用制度在強(qiáng)調(diào)個人信息權(quán)益保護(hù)的同時為處理敏感個人信息提供了多元的正當(dāng)性途徑，是法治回應(yīng)科技與社會發(fā)展的必然要求，有利于增強(qiáng)數(shù)字經(jīng)濟(jì)發(fā)展動能，健全完善平臺經(jīng)濟(jì)公平競爭的法治要素。