第一节 一般规定

◆ 条文要旨

本条是对个人信息处理的合法性根据的规定。

◆ 理解与适用

一、个人信息处理的合法性根据

个人信息的处理活动，从客观上来说，就是对自然人的个人信息权益的侵入或影响，因此，如果没有合法的根据或者合法的理由（Legal Justifications for Data Processing），那么，该处理活动就是侵害个人信息权益的行为，属于不法行为。正因如此，《民法典》第111条第2句中才明确规定“任何组织或者个人需要获取他人个人信息的，应当依法取得并确保信息安全”。《网络安全法》第44条则从反面规定：“任何个人和组织不得窃取或者以其他非法方式获取个人信息，不得非法出售或者非法向他人提供个人信息。”《民法典》第111条中的“依法取得”，就是指具备合法理由而取得个人信息。《网络安全法》第44条中的“非法方式获取”，就是指欠缺合法理由而取得个人信息；“非法出售”或“非法向他人提供”，就是指欠缺合法理由将取得的个人信息出售或提供给他人。

总的来说，个人信息处理的合法理由就是两大类：一是告知并取得个人的同意，这种情形下的个人信息处理活动就是“基于个人同意处理个人信息的”活动，处理行为的合法性来自信息主体即个人的有效同意；二是法定理由，即在具备法律、行政法规规定的情形或理由的时候，处理者无须取得个人的同意即可实施个人信息处理活动，该处理活动就是合法的。从比较法上来看，对于告知并取得个人的同意后可以处理个人信息或个人数据即“基于同意的处理”（Processing Based on Consent），各国都是普遍认可的，没有什么争议。但是，究竟在哪些情形下个人信息处理者无须取得个人同意就能处理个人信息或个人数据，即“基于法定许可的处理”（Processing Based on a Legal Permission）的情形有哪些，则有很大的不同。例如，欧盟《一般数据保护条例》第6条规定了五类无须同意即可处理个人数据的情形，分别是：（1）为了履行数据主体作为一方当事人的合同或在订立合同时为实施数据主体要求的行为所必需的数据处理；（2）为履行数据控制者的法定义务所必要的数据处理；（3）为保护数据主体或另一自然人的重大利益所必要的数据处理；（4）为履行涉及公共利益的职责或实施已经授予数据控制者的职务权限所必要的数据处理；（5）数据控制者或第三方为追求合法利益目的而进行的必要数据处理，但当该利益与要求对个人数据进行保护的数据主体的基本权利和自由相冲突时，尤其是当该数据主体为儿童时，则不得进行数据处理。巴西《通用数据保护法》第7条规定： “个人数据只能在以下情况下被处理：I.经数据主体同意；II.控制者为遵守法律或监管义务；III.根据本法第四章的规定，公共行政部门处理和共享使用为履行法律法规所要求的，或者基于合同、协议或者类似文件所必需的数据；IV.研究机构为开展研究，并尽可能确保对个人数据进行匿名化；V.应数据主体的要求，当履行以该数据主体为一方当事人的协议或者与该协议相关的初步程序为必需时；VI.为定期行使司法、行政或仲裁程序中的权利（最后一点是根据1996年9月23日第9307号法律（巴西《仲裁法》）作出的规定）；VII.为保护数据主体或第三方的生命或人身安全；VIII.为保护健康，按医护人员或医疗机构执行的程序；IX.为满足控制者或第三方合法利益所必需的，但根据数据主体普适性的基本权利和自由要求保护个人数据的情况除外；X.为了保护信用，包括所适用的法律中关于信用的规定。”再如，韩国《个人信息保护法》第15条第1款规定：“有下列情形的，个人信息处理者可以收集个人信息，并在其收集目的范围内使用：1.经过信息主体的同意的情形；2.法律上有特别的规定或者为了遵守法律上的义务而不可避免的情形；3.公共机关为执行法令等规定的所管业务而不可避免的情形；4.为了与信息主体签订、履行合同所必要且不可避免的情形；5.信息主体或法定代理人处于不能作出意思表示的状态，或者由于住所不明等原因无法征得事先同意，且明确被认定为因信息主体或者第三人的生命、身体、财产的紧迫利益所必要的情形；6.为实现个人信息处理者的正当利益所必要，且明确优先于信息主体的权利的情形。在此情况下，仅限于与个人信息处理者的正当利益有相当的关联性，且不超过合理范围的情形。”[5]

《个人信息保护法》颁布之前，我国《民法典》第1035条第1项规定，处理个人信息的，应当征得该自然人或者其监护人同意，但是法律、行政法规另有规定的除外。所谓法律、行政法规另有规定的除外情形，就是法定许可的情形。《民法典》中规定了三类具体的情形：其一，依据《民法典》第999条，为公共利益实施新闻报道、舆论监督等行为的，可以合理使用民事主体的个人信息；其二，依据《民法典》第1036条第2项，合理处理该自然人自行公开的或者其他已经合法公开的信息，但是该自然人明确拒绝或者处理该信息侵害其重大利益的除外；其三，依据《民法典》第1036条第3项，为维护公共利益或者该自然人合法权益，合理实施的其他行为。

在《个人信息保护法》的制定过程中，围绕第13条究竟应当规定哪些法定理由，存在很大的争议。有些人尤其是企业的代表总是希望尽可能将无须个人同意处理个人信息的法定理由规定得越多越好。例如，为了历史、文化和科学研究，为了处理者自己的或者第三人的合法、正当的利益等，都应当规定为不需要取得个人的同意就可以处理个人信息的情形。在持这些观点的人士看来，个人信息处理的合法性基础越广泛，越有利于个人信息的合理利用，促进网络科技与数字经济的发展，更好地实现公共利益。另外一些人则认为，对于除个人同意外的法定情形不能规定得太宽，否则很容易被滥用，毕竟《个人信息保护法》是以保护个人信息权益为中心的，我国当前的主要问题不是个人信息没有被合理使用的问题，而是个人信息权益没有得到有效的保护，个人信息的非法买卖、泄露等侵害个人信息权益的现象十分严重。

立法机关经过反复权衡，最终于《个人信息保护法》第13条第1款第2项至第7项规定了六类无须取得个人同意即可处理个人信息的情形，分别是：（1）为订立、履行个人作为一方当事人的合同所必需，或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需；（2）为履行法定职责或者法定义务所必需；（3）为应对突发公共卫生事件，或者紧急情况下为保护自然人的生命健康和财产安全所必需；（4）为公共利益实施新闻报道、舆论监督等行为，在合理的范围内处理个人信息；（5）依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息；（6）法律、行政法规规定的其他情形。本书认为，这一规定是非常科学合理的，它充分考虑了我国的国情，兼顾现实与未来的发展，与《民法典》等现行法律规定保持了一致，还吸收借鉴了比较法上的优秀成果，值得高度肯定！

二、告知同意规则

（一）含义

告知同意规则，也称“知情同意规则”，是指任何组织或个人在处理个人信息时都应当告知信息主体即其个人信息被处理的自然人，并在取得同意后，方可从事相应的个人信息处理活动，否则该等处理行为即属违法，除非法律、行政法规另有规定。[6]告知同意规则包含了告知规则与同意规则，二者紧密联系，不可分割。没有告知，自然人无法就其个人信息被处理作出同意与否的表示；即便告知了，但没有充分、清晰地告知，自然人作出的同意也并非真实有效的同意。反之，虽然充分、清晰地告知，却未取得自然人的同意，对个人信息的处理也是非法的，侵害了个人信息权益。

告知同意对于保护个人信息权益非常重要，故此，该规则在《个人信息保护法》中属于基本规则。个人信息是与已识别或可识别的自然人有关的各种信息，因此，个人信息与自然人的人格尊严和人格自由等权益密切相关。为了保护人格尊严和人格自由这一最高位阶的法益，自然人对其个人信息享有受到法律保护的民事权益。我国《个人信息保护法》《民法典》承认了自然人的个人信息权益，赋予了自然人对其个人信息享有作为民事权益的人格权益。[7]这就意味着其他人需要尊重该权益，不得加以侵害。同样，承认自然人的个人信息权益就意味着对他人行为自由的限制，即任何组织或个人没有得到自然人的同意而处理其个人信息的行为均属于侵害个人信息权益的不法行为，具有非法性。在现代网络信息社会中，个人信息处理的规范上并不存在有的学者提出的如下假设——“个人信息是可以自由使用的，除非个人信息上存在明确可识别的个人权益，否则就不能赋予信息主体干预他人使用的自由”[8]。在一般的人际社会交往中，个人信息的使用主要受社交礼仪的调整，[9]也受隐私权、名誉权等民法人格权制度的规范。在这个意义上，只要个人信息的使用不侵害自然人的隐私权等人格权，的确是可以自由使用的。例如，A请朋友B告诉他C的电话号码或电子邮箱，B将C的这些个人信息告知A，无须经过C的同意。当然，出于社交礼仪，B最好先征求一下C的意见。不过，即便没有征求意见就告知，B的行为也不构成侵权行为。但是，进入个人信息处理领域，个人信息绝不能任由他人使用，而应当确立自然人对其个人信息的控制权。因为个人信息存在特定自然人的受法律保护的民事权益，对个人信息的处理行为（无论是营利目的还是行政管理目的等）会产生侵害自然人的人格尊严和人身财产等民事权益的风险。个人信息不是什么任由他人使用的公共物品，那种以维护公共利益与公共安全并促进个人数据的流动共享为由，否定自然人对其个人信息的权利，甚至将个人信息作为公共物品完全交由公法规制的观点，[10]漠视了个人信息上承载的民事权益，只会导致大量以维护公共利益之名而行侵害私权利之实的恶行，最终的结果是既无法维护公共利益，又无法保护民事权益。私权保护与公法规制之间不是非此即彼的关系，而是应当通过两者共同构建个人信息保护的制度基石。

（二）发展演进

告知同意的规则最早为1970年德国黑森州的《数据保护法》所确认。目前，它已经成为绝大多数国家和地区的数据保护法或个人信息保护法中的一项基本规则。1973年美国政府成立的“自动化个人数据系统咨询委员会”（Advisory Committee on Automated Personal Data System）在当年7月发布了《记录、计算机与公民权利》（Records，Computers and the Rights of Citizens）的报告。该报告建议，针对所有的自动化个人数据系统制定联邦“公平信息实践准则”（Code of Fair Information Practice），该准则共有五项，其中的两项分别是：“必须确保个人知晓其被收集的信息是什么以及该信息被如何使用”（There must be a way for an individual to find out what information about him is in a record and how it is used.）；“必须确保个人能够阻止未经其同意将基于某一目的所获取的信息用于其他的目的，或未经其同意该其信息提供给他人用于其他目的”（There must be a way for an individual to prevent information about him that was obtained for one purpose from being used or made available for other purposes without his consent.）。[11]1974年美国的《隐私权法》（The Privacy Act）明确采取了告知同意规则，该法明确规定：任何机关不得以任何方式向任何个人或者其他机关提供其档案系统中的任何材料，除非有该档案内容相关者的书面申请或者事前的书面同意为根据，但有该法规定的12项例外情形的除外。1980年《经济合作与发展组织关于隐私保护和个人数据跨疆界流动的指导原则》第10条规定：“如果不是依据第9条载明的目的，个人数据不应当被披露和公开使用，除非：（a）经过数据主体的同意；或者（b）经过法律的授权。”1995年《个人数据保护指令》第7条规定：“各成员国应当规定，只有在下列条件下才可以对数据进行处理：（a）数据主体明确表示同意；或（b）处理对于履行数据主体作为当事人的合同是必要的，或者为了根据数据主体提出的要求从而在合同生效前采取某些措施；或（c）处理对于管理者履行其合法义务是必要的；或（d）处理对于保护数据主体的重要利益是必要的；或（e）处理对于为了公共利益或管理者以及向其公开数据的第三方在行使官方授权中所执行的任务是必要的；或（f）处理对于管理者或第三方或其他向其公开数据的当事人的合法利益是必要的，除非第1条第1款所保护的数据主体的基本权利和自由的利益优先于这些利益。”2018年，欧盟《一般数据保护条例》在导言部分第32条指出：“处理个人数据之前应征得数据主体的同意，通过清楚明确的行为自愿表明同意对其个人数据进行处理，例如通过书面陈述（包括电子形式）或者口头声明。同意方式可以包括在浏览网页时在方框里打上钩，对信息社会服务进行技术设置或者其他陈述或行为以清楚表示接受对其个人数据的处理。因此，默示、预选方框或者不作为不构成同意。同意范围应当包括所有基于同一目的或同一类目的而进行的数据处理活动。当数据处理活动存在多种目的时，每项目的都应当征得同意。如果数据主体是基于电子形式的请求而做出的同意，请求应清晰、简洁且不影响所提供服务的使用。”

《个人信息保护法》颁布前，我国在法律上就已经明确采取了告知同意规则。《全国人民代表大会常务委员会关于加强网络信息保护的决定》第2条规定，网络服务提供者和其他企业事业单位在业务活动中收集、使用公民个人电子信息，应当遵循合法、正当、必要的原则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。《网络安全法》第41条第1款规定：“网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。”《民法典》第1035条第1款更是明确规定：“处理个人信息的，应当遵循合法、正当、必要原则，不得过度处理，并符合下列条件：（一）征得该自然人或者其监护人同意，但是法律、行政法规另有规定的除外；（二）公开处理信息的规则；（三）明示处理信息的目的、方式和范围；（四）不违反法律、行政法规的规定和双方的约定。”

（三）《个人信息保护法》以告知同意为核心构建个人信息处理规则

首先，《个人信息保护法》第13条将“取得个人的同意”作为个人信息处理者可处理个人信息的第一类情形，这就明确了个人信息处理中的告知同意规则，同时还确立了告知同意在个人信息处理规则中的核心地位。[12]《个人信息保护法》分别对告知义务的履行和内容、同意的有效要件、同意的类型以及同意的撤回等作出了详细的规定。

其次，《个人信息保护法》第13条第1款将“取得个人的同意”与“为履行法定职责或者法定义务所必需”等七大类可以合法处理个人信息的情形并列加以规定。这样一来，就大大拓宽了个人信息处理的合法性基础或根据的范围。

最后，《个人信息保护法》第13条第2款规定：“依照本法其他有关规定，处理个人信息应当取得个人同意，但有前款第二项至第七项规定情形的，不需取得个人同意。”这就是说，依据《个人信息保护法》的其他有关规定，如第22条、第23条、第25条、第26条、第29条、第31条、第39条等，这些条目所列举的个人信息处理活动都应当取得个人同意。但是，如果在这些个人信息处理活动中，也存在《个人信息保护法》第13条第1款第2—7项规定的情形的，是不需要取得个人同意的。如此一来，则明确了告知同意规则与法律、行政法规规定的其他情形之间的适用关系。

（四）告知同意规则的重要意义

原则上，任何人都不得侵害他人的民事权益，但民事主体可以对自己的权益进行合法的处分，既包括自行处分，也包括在不违反法律强制性规定和公序良俗原则的前提下同意他人对自己民事权益的处分。告知同意规则充分体现了尊重和保护民事权益的精神和意思自治原则。作为个人信息处理行为的基本规范，告知同意规则对个人信息处理行为进行了限定，它是判断个人信息处理行为合法与否的基本规则（除非法律另有规定），在个人信息处理规则的构建中发挥了重要的作用，具体阐述如下。

1.告知同意规则是判断个人信息处理行为合法与否的基本标准，凡是没有遵守该规则的处理行为，原则上都是非法的，除非法律、行政法规另有规定（《民法典》第1035条第1款第1项）。这就意味着：首先，个人信息处理者对其处理行为合法与否具有更明确的预期，即知道在处理个人信息时应当怎么做才使得处理行为是合法的；对于信息主体即自然人而言，由于被告知了个人信息将被处理，在知情权得到充分尊重的基础上享有了同意或拒绝的权利。故此，告知同意这种标准化的模式无论是对于用户还是信息处理者而言均为成本最小化的解决方式，双方减少了因不信任而产生的交易成本，能直接进入个人信息权益行使最为核心的地带：同意及同意的撤回，甚至删除权。[13]其次，对于个人信息保护执法机构来说，告知同意规则为其查处违法的个人信息处理行为提供了明确的标准。凡是没有遵循该规则且没有法律、行政法规例外规定的个人信息处理行为就是违法行为，就可以查处。最后，在个人信息权益民事纠纷案件的裁判中，告知同意规则是法院认定处理者应否承担侵权责任的重要标准。只要没有遵循告知同意规则而进行处理，当然就是侵害他人个人信息权益的不法行为，至少应当承担停止侵害、排除妨碍、消除危险等侵权责任；如果因此造成损害并符合其他损害赔偿请求权的构成要件的，还要承担损害赔偿责任。尽管告知同意规则的实践操作没有让用户真正了解个人信息处理的目的、方式或范围等，但该规则的存在至少使得用户知悉自己的个人信息正在被哪个信息处理者所处理并且自己曾经同意处理。这样一来，知情同意规则不仅建立了处理行为的合法性基础，也不影响下文将要提及的即便经过同意的处理行为也可能构成违法行为的法律评价。无论信息处理者在告知同意规则中使用如何复杂冗长甚至含混的表述，也无论个人信息被处理的自然人是否实际阅读或理解了告知的内容，只要因此发生纠纷，行政机构在执行或法院裁判案件时，首先要审查的就是处理者是否依法履行了告知同意规则。只要没有履行该规则，就是非法处理行为，应当承担法律责任。如果处理者履行了告知同意规则，就不存在非法处理个人信息的行为，自然人原则上也不得对该合法处理行为进行阻碍。因此，告知同意规则在具体落实中存在的一些问题，如处理者的告知含混不清、琐屑烦琐，自然人缺乏真正的意思自由等，[14]都不称其为问题。实践中暴露出来的这些问题不仅没有削弱告知同意规则在个人信息处理中的重要意义，反而彰显了该规则的重要性，否则那些违法处理个人信息的处理者也不会想尽办法来规避告知同意规则。

2.告知同意规则只是解决个人信息处理行为合法与否的问题，而非意味着发生侵害个人信息权益的违法行为时，处理者可以据此免于承担任何法律责任，更不能以告知同意规则的履行来排除其他个人信息保护规则的适用。首先，即便处理者充分适当地履行了告知同意规则，也只是使得处理行为本身不具有非法性而已，即存在违法阻却事由，可能无须承担行政责任或刑事责任。[15]但是，在处理的过程中，因为不合理的处理行为如处理者的故意或过失等造成自然人的人身财产权益受到侵害的，依然要承担民事责任。我国《民法典》第1036条第1项就是要表明，即便是在自然人或其监护人同意的范围内实施的个人信息处理行为也必须是合理的，如果不合理，依然要承担民事责任。[16]也就是说，合法的个人信息处理行为应当遵循比例原则。其次，告知同意规则并非一劳永逸的规则，而只是针对依法告知并取得同意的特定处理者的特定个人信息处理行为而言。这就是说，并非告知并取得同意后，处理者就可以随意地、无限制地处理个人信息，处理者仍然应当严格遵循法律规定和当事人约定的相应的义务。对此，《个人信息保护法》有明确的规定，例如，处理目的、处理方式等发生变更的，处理者应当将变更的部分告知个人（第17条第1款、第2款）。最后，告知同意规则应当符合个人信息处理中的基本原则，包括必要原则、正当原则、合法原则、诚信原则、目的限制原则等（《个人信息保护法》第5—10条），并且告知同意规则也不能免除个人信息处理者负有确保个人信息处理活动符合法律、行政法规规定的义务以及保护个人信息安全的义务。毫无疑问，基于个人同意处理个人信息时，处理者当然也负有不得泄露或者篡改个人信息的义务，应当采取措施以确保其收集、存储的个人信息安全，防止信息泄露、篡改、丢失并在发生或者可能发生个人信息泄露、篡改、丢失时及时采取补救措施，按照规定告知自然人并向有关主管部门报告（《个人信息保护法》第51条、第57条；《民法典》第1038条）。同样，告知同意规则也不能排除信息主体针对处理者享有的权利，如查阅或者复制其个人信息的权利，发现信息有错误的有权提出异议并请求及时采取更正等必要措施的权利等。即便处理者在告知时通过格式条款排除了自然人的这些权利并取得了自然人的同意，这些格式条款也是无效的（《民法典》第497条）。

3.告知同意规则涉及自然人的个人信息权益，该权益属于人格权益，故此，告知同意规则的适用需要受到相应的限制。一方面，人格权益具有专属性，《民法典》第992条明确规定：“人格权不得放弃、转让或者继承。”第993条规定：“民事主体可以将自己的姓名、名称、肖像等许可他人使用，但是依照法律规定或者根据其性质不得许可的除外。”因此，任何组织或个人都不能通过告知同意规则而一次性取得对他人的个人信息的无限制、永久的处理权限，自然人本身也不能放弃、转让其个人信息权益。《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》第11条规定：“信息处理者采用格式条款与自然人订立合同，要求自然人授予其无期限限制、不可撤销、可任意转授权等处理人脸信息的权利，该自然人依据民法典第四百九十七条请求确认格式条款无效的，人民法院依法予以支持。”另一方面，告知同意规则不得违背公序良俗原则，不得抵触更高位阶的权益，否则即便遵循了告知同意规则，处理行为也是违法的。《民法典》第8条规定：“民事主体从事民事活动，不得违反法律，不得违背公序良俗。”通信自由和通信秘密作为《宪法》保护的高位阶的权利，不应该受到告知同意的限制。[17]

（五）证明责任

个人信息处理者是否告知并取得个人的同意，应由其负证明责任，即处理者必须证明在处理个人信息之前已经依法告知并取得了个人的同意，如果处理者不能证明，就认为其个人信息处理行为并未取得个人的同意。此时，除非属于无须取得个人同意的情形，否则该处理活动就是非法的。对此，欧盟《一般数据保护条例》第7条第1款有明确的规定，即“如果处理是基于同意，控制者应能证明数据主体已经同意处理其个人数据”。《一般数据保护条例》并未对获得同意的形式有具体的要求，故此这一点非常重要。我国《个人信息保护法》没有规定处理者对于已经取得个人同意负有证明责任，但也应当作相同的理解。同时，《个人信息保护法》对于不同类型的处理活动中的处理者所取得的个人同意还有形式上的特别要求，如公开个人信息的，必须取得个人的单独同意（第25条），再如，处理敏感个人信息应当取得个人的单独同意，法律、行政法规规定处理敏感个人信息要求书面同意的，从其规定（第29条）。故此，在《个人信息保护法》等法律、行政法规对同意的形式作出了特殊规定的情形下，处理者不仅要证明已经取得了个人的同意，而且该同意的形式还必须符合法定的要求，如属于单独的同意或者书面的同意。

三、法定许可

（一）概述

告知并取得个人的同意并非个人信息处理活动的唯一合法性基础。为了维护他人的合法权益、公共利益或者国家利益，在特定的情形下，法律允许处理者无须取得个人同意就实施个人信息处理行为。这些情形是法律对于个人信息权益的限制，它使得客观上属于“侵害”个人信息权益的处理行为，不被评价为不法行为，法律上不认为它是对法律秩序的破坏。事实上，不少民事权益都存在法律上的合理限制，例如，我国《著作权法》第2章第4节“权利的限制”就规定了著作权的合理使用与法定许可，依据第24条的规定，在该条第1款所列举的13种情形下使用作品，可以不经著作权人许可，不向其支付报酬，但应当指明作者姓名或者名称、作品名称，并且不得影响该作品的正常使用，也不得不合理地损害著作权人的合法权益。再如，《民法典》第1020条规定，合理实施下列行为的，可以不经肖像权人同意：（1）为个人学习、艺术欣赏、课堂教学或者科学研究，在必要范围内使用肖像权人已经公开的肖像；（2）为实施新闻报道，不可避免地制作、使用、公开肖像权人的肖像；（3）为依法履行职责，国家机关在必要范围内制作、使用、公开肖像权人的肖像；（4）为展示特定公共环境，不可避免地制作、使用、公开肖像权人的肖像；（5）为维护公共利益或者肖像权人合法权益，制作、使用、公开肖像权人的肖像的其他行为。

总的来说，法律上是否对于某种民事权益进行限制以及何种程度的限制，取决于权益性质、权益位阶、价值权衡、是否符合比例原则等因素。例如，对于生命权、身体权、健康权，不存在什么合理限制的问题，因为这三类权利是自然人最基本也是最重要的权利，位阶最高，没有什么其他的权益或利益的考虑能够压倒这三类权利。故此，《民法典》第998条规定：“认定行为人承担侵害除生命权、身体权和健康权外的人格权的民事责任，应当考虑行为人和受害人的职业、影响范围、过错程度，以及行为的目的、方式、后果等因素。”这就是说，在认定侵害生命权、身体权和健康权的民事责任时，不能适用所谓的动态系统论。

个人信息权益受保护的程度显然不可能如同生命权、身体权和健康权那样高，而对个人信息的利用又是现代社会不可或缺的，否则网络科技和数字经济就无法发展，社会治理与国家治理能力也无法提升。故此，对于个人信息权益的限制比较多。考虑到我国的国情，同时吸收借鉴比较法的优秀成果，我国《个人信息保护法》第13条第1款第2项至第7项规定了六类无须取得个人同意即可处理个人信息的情形。需要研究的是，这六类不需要取得个人同意即可处理个人信息的情形与需要取得个人同意的情形之间是什么样的适用关系。换言之，如果个人信息处理者完全可以依据《个人信息保护法》第13条第1款第2项以“履行个人作为一方当事人的合同所必需”为由，不取得个人同意即可处理个人信息时，其能否也按照告知同意规则，告知个人后并取得个人的同意，然后再处理个人信息。也就是说，个人信息处理者能否在已经符合可以不需要取得个人同意即可处理个人信息的条件时，仍然去取得个人同意？从理论上说，个人信息处理者这样去做当然是不违法的，也是无可指责的。但是，这种做法会产生一个问题，就是当个人撤回同意或者同意的效力存在问题时，个人信息处理者是否还能以存在其他合法性基础为由而继续处理个人信息，包括不删除个人信息？对此，欧盟第29条工作组在《对第2016/679号条例下同意的解释指南》中认为，如果控制者选择将其任何处理活动都依赖于同意这一基础，那么其必须做好尊重该选择的准备，且应在数据主体撤回同意时即停止相应部分的数据处理。在外表明数据处理将依据同意进行，而实际上还依据其他法律基础，这对数据主体是根本不公平的。换句话说，控制者不能从同意转换到其他法律基础。例如，在同意有效性遇到问题的情况下，不允许追溯利用合法利益基础来证明处理的合理性。由于要求控制者披露在收集个人数据时所依据的法律基础，其必须在收集之前就决定所适用的法律基础。本书赞同上述观点，即个人信息处理者只能在取得同意或者具备某一法定情形之间进行选择，不能采取双保险的做法。

（二）为订立或者履行个人作为一方当事人的合同所必需

依据《个人信息保护法》第13条第1款第2项和第2款的规定，为订立或者履行个人作为一方当事人的合同所必需时，个人信息处理者不需要取得个人同意即可处理个人信息。所谓为订立或履行个人作为一方当事人的合同所必需，是指当个人作为一方当事人与作为另一方当事人的处理者正在订立合同或者履行已经成立的合同时，处理者只有处理该个人的某些个人信息才能与之缔结或履行合同。这种例外情形仅适用于处理者与个人作为平等的民事主体之间订立或履行合同的场合，即处理者向个人提供产品或者服务而与个人之间订立或履行合同。依据《民法典》第464条第1款，合同是指“民事主体之间设立、变更、终止民事法律关系的协议”[18]。例如，A公司经营一家网店销售食品，顾客B浏览该网站后想向A公司购买某些食品。此时，A公司为了向B交货，就必须收集B的收货地址、姓名和必要的联系方式。如果采取通过银行转账或信用卡支付的方式，那么A公司就需要处理顾客B的银行账户或信用卡信息。当然，如果采取的是货到付款方式，则A公司无须处理此等信息。

对于哪些个人信息的处理属于为订立或履行合同所必需，应当在合同订立或履行前就基于全部的具体情形加以分析评估，具体而言，一方面，应当符合比例原则，也就是说，需要考虑是否存在可以比处理个人信息的侵入性更小的方式。[19]如有此种方式，就不满足《个人信息保护法》第13条第1款第2项的要求。另一方面，要从处理者与信息主体等双方当事人的角度来考虑合同的目的，即对于实现合同的目的而言，信息的处理是否属于必不可少的。处理个人信息的主体依据本项而处理个人信息的，处理者负担证明责任，其必须证明如果有关个人信息的特定处理活动不能在不取得个人同意的情形下就进行，那么个人作为一方当事人的该等合同就无法订立或者予以履行。当然，依据《个人信息保护法》第13条第1款第2项，处理者虽然可以不取得个人的同意就从事处理特定的个人信息的处理行为，但是，处理者在个人信息处理中应当负有相应的义务。对此，不仅《个人信息保护法》有明确的规定，《民法典》等其他法律也有规定。例如，《民法典》第509条第2款规定：“当事人应当遵循诚信原则，根据合同的性质、目的和交易习惯履行通知、协助、保密等义务。”第558条规定：“债权债务终止后，当事人应当遵循诚信等原则，根据交易习惯履行通知、协助、保密、旧物回收等义务。”这两条中规定的“保密”义务，就保护了对个人信息的保密义务。

（三）按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需

《草案一审稿》和《草案二审稿》都没有这一情形。在《个人信息保护法》起草过程中，就是否应当规定为了人力资源管理所必需的情形，存在争论。一种观点认为，人力资源管理涉及的内容非常广泛，所谓人力资源管理所必需的范围可能无法限制，不利于个人信息的保护。事实上，所谓人力资源管理所必需的个人信息处理活动完全可以通过告知同意规则以及其他法定事由分别解决。例如，在招聘时处理应聘者的个人信息可以以告知并取得个人的同意作为合法根据；对于准备签订劳动合同或已经签订了劳动合同的员工，处理个人信息的合法性根据可以是“为订立、履行个人作为一方当事人的合同所必需”。此外，依据《劳动合同法》《社会保险法》《工伤保险条例》等法律行政法规的规定，雇主即用人单位有法定义务为员工办理社会保险，此时处理个人信息完全可以用履行法定义务作为根据。由此可见，完全没有必要规定“人力资源管理所必需”作为处理个人信息的合法性根据。

另一种观点认为，应当增加“人力资源管理所必需”这一合法性根据，这也属于单位为了自身合法利益而无须取得同意的情形。单位尤其是公司企业处理员工的个人信息的情形越来越普遍，所涉及的场景非常多，并不是依靠取得个人同意、履行合同所必需和履行法定义务就可以解决的。从招聘新员工时处理应聘者的简历，到员工入职后办理社保、支付薪水、提供福利、绩效考评、业务培训，工作场所使用信息和通信监控技术，工作中使用单位车辆和各种记录仪，单位向第三人披露员工信息，公司集团内部员工信息的转移甚至是跨国提供等，都是个人信息的处理。[20]如果每一个个人信息的处理行为都要逐一取得同意，那么人力资源管理活动就无法正常进行。单位与员工之间的关系本来就是不对等的，在单位取得员工同意时，员工几乎不可能自愿地同意或拒绝、撤回同意。而且，仅仅是履行合同所必需和履行法定义务也不足以解决问题，故此，应当明确单位可以基于人力资源管理这种合法利益所必需而处理员工的个人信息。

在《个人信息保护法》起草过程中，有的常委委员和企业、专家提出，现实中有关企业、单位在人力资源管理工作中需要处理个人信息，建议在草案中将此类情况作为允许收集和处理个人信息的情形。宪法和法律委员会经研究，建议采纳上述意见。故此，《草案三审稿》第13条第1款第2项规定了“人力资源管理所必需”可以处理个人信息。但是，在讨论的过程中，不少人认为，人力资源管理所必需的范围还是过于宽泛，应当加以限制。最终颁布的《个人信息保护法》第13条第1款第2项增加了一个限制，即“按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需”。

从《个人信息保护法》这一规定可知，首先，处理个人信息必须是实施人力资源管理所必需。其次，也不是所有出于人力资源管理工作的需要都意味着可以不取得个人的同意就处理个人信息，只有在“按照依法制定的劳动规章制度和依法签订的集体合同”而实施的人力资源管理中必须处理个人信息的情形中，才可以不取得个人同意而处理个人信息。这样就排除了企业依据自身制定的不合理的劳动规章制度而以实施人力资源管理所必需为由处理职工的个人信息，也防止了企业随意扩大解释人力资源管理的范围任意处理员工的个人信息。所谓劳动规章制度，依据《劳动法》第4条和《劳动合同法》第4条规定，用人单位应当依法建立和完善劳动规章制度，保障劳动者享有劳动权利、履行劳动义务。用人单位在制定、修改或者决定有关劳动报酬、工作时间、休息休假、劳动安全卫生、保险福利、职工培训、劳动纪律以及劳动定额管理等直接涉及劳动者切身利益的规章制度或者重大事项时，应当经职工代表大会或者全体职工讨论，提出方案和意见，与工会或者职工代表平等协商确定。在规章制度和重大事项决定实施过程中，工会或者职工认为不适当的，有权向用人单位提出，通过协商予以修改完善。用人单位应当将直接涉及劳动者切身利益的规章制度和重大事项决定公示，或者告知劳动者。

所谓集体合同，是指工会或职工代表代表全体职工与用人单位之间根据法律、法规的规定，就劳动报酬、工作时间、休息休假、劳动安全卫生、保险福利等事项，在平等协商一致的基础上签订的协议。《劳动法》第33条规定，企业职工一方与企业可以就劳动报酬、工作时间、休息休假、劳动安全卫生、保险福利等事项，签订集体合同。集体合同草案应当提交职工代表大会或者全体职工讨论通过。集体合同由工会代表职工与企业签订；没有建立工会的企业，由职工推举的代表与企业签订。《劳动合同法》第51条规定，企业职工一方与用人单位通过平等协商，可以就劳动报酬、工作时间、休息休假、劳动安全卫生、保险福利等事项订立集体合同。集体合同草案应当提交职工代表大会或者全体职工讨论通过。集体合同由工会代表企业职工一方与用人单位订立；尚未建立工会的用人单位，由上级工会指导劳动者推举的代表与用人单位订立。

（四）为履行法定职责或者法定义务所必需

从比较法上来看，各国各地区的数据保护法和个人信息保护法都将履行法定职责和法定义务作为不适用告知同意规则的典型情形。例如，欧盟《一般数据保护条例》第6条第1款（c）项和（e）项就分别规定了“处理是控制者履行法律义务之必要”以及“处理是为了执行公共利益领域的任务或行使控制者既定的公务职权之必要”这两种不适用告知同意规则的情形。再如，韩国《个人信息保护法》第15条第1款第2项、第3项规定，“法律上有特别的规定或者为了遵守法律上的义务而不可避免的情形”以及“公共机关为执行法令等规定的所管业务而不可避免的情形”，个人信息处理者可以收集个人信息，并在其收集目的范围内使用。我国《个人信息保护法》第13条第1款第3项明确规定，为履行法定职责或者法定义务所必需的，个人信息处理者可以不取得个人同意而进行个人信息的处理，具体阐述如下。

1.履行法定职责所必需

所谓法定职责包括法定职权和法定责任，是指立法机关、行政机关以及司法机关等公权力机关依据法律法规的规定而享有的职权以及必须履行的义务。履行法定职责是依法治国原则的体现，即一方面，公权力机关的职权来自法律法规的授权，不得任意扩张其职权，否则就是超越职权范围的违法行为；另一方面，公权力机关依法行使职权是其法定的责任，不依法履行职责也属于违法行为，应当承担法律责任。《中共中央关于全面推进依法治国若干重大问题的决定》指出：“依法全面履行政府职能。完善行政组织和行政程序法律制度，推进机构、职能、权限、程序、责任法定化。行政机关要坚持法定职责必须为、法无授权不可为，勇于负责、敢于担当，坚决纠正不作为、乱作为，坚决克服懒政、怠政，坚决惩处失职、渎职。行政机关不得法外设定权力，没有法律法规依据不得作出减损公民、法人和其他组织合法权益或者增加其义务的决定。推行政府权力清单制度，坚决消除权力设租寻租空间。”

为确保公权力机关能够履行法定职责，《个人信息保护法》第13条第1款第3项规定，为履行法定职责所必需的，不需要取得个人同意。例如，《道路交通安全法》第19条规定，驾驶机动车，应当依法取得机动车驾驶证。申请机动车驾驶证，应当符合国务院公安部门规定的驾驶许可条件；经考试合格后，由公安机关交通管理部门发给相应类别的机动车驾驶证。故此，自然人在向公安机关交通管理部门申请机动车驾驶证时，必须提供相应的个人信息，公安机关交通管理部门可以无须取得个人的同意。再如，《刑事诉讼法》第132条第1款规定：“为了确定被害人、犯罪嫌疑人的某些特征、伤害情况或者生理状态，可以对人身进行检查，可以提取指纹信息，采集血液、尿液等生物样本。”显然，这种情形下，公安机关或检察机关为侦查犯罪而强制收集的个人生物识别信息等，就属于履行法定职责，无须取得个人同意。

需要注意的是：首先，法定职责中的“法”是广义的法，既包括全国人大及其常委会颁布的法律，也包括行政法规、地方性法规、部门规章和地方政府规章等规范性法律文件。其次，国家机关等为履行法定职责而处理个人信息时，只有为履行法定职责所必需的，才可以不需要取得个人同意。这就是说，并非只要国家机关为履行法定职责而处理个人信息的，就一定是不需要取得个人同意的情形，只有为履行法定职责所必需即不处理个人信息就无法履行法定职责的情形，才可以不取得个人的同意。最后，国家机关履行法定职责而处理个人信息并非一定都伴随着具体的行政行为。以行政机关为例，其有时是在作出行政许可、审批、申报、征税、处罚等具体的行政行为时处理个人信息，有时则是专门以收集信息为目的而进行活动。例如，国家统计机关依据《统计法》《全国经济普查条例》《全国人口普查条例》等法律法规的规定进行统计调查对个人信息的处理，就并不伴随具体的针对特定个人的行政行为。但是，统计机构是在履行法定职责，故此，依据《统计法》等法律法规的规定，国家机关、企业事业单位和其他组织以及个体工商户和个人等统计调查对象，必须依法真实、准确、完整、及时地提供统计调查所需的资料，不得提供不真实或者不完整的统计资料，不得迟报、拒报统计资料。

2.履行法定义务所必需

法定义务是指信息处理者依据法律法规的规定而负有的义务。法定义务不同于法定职责，法定职责仅指公权力机关即国家机关以及法律法规授权的具有管理公共事务职能的组织，而法定义务限于普通的民事主体即自然人、法人和非法人组织。我国法律中规定了很多法定义务，例如，我国《社会保险法》《劳动合同法》《劳动法》《工伤保险条例》等法律法规要求，职工应当参加工伤保险，由用人单位缴纳工伤保险费，职工不缴纳工伤保险费。故此，用人单位在为职工投保工伤保险时，就必须收集职工的相关个人信息，否则就无法履行该义务。再如，依据我国《反洗钱法》的规定，金融机构负有反洗钱的法定义务，该义务就包括必须从事某些个人信息处理行为。例如，依据《反洗钱法》第16条的规定，金融机构应当按照规定建立客户身份识别制度。金融机构在与客户建立业务关系或者为客户提供规定金额以上的现金汇款、现钞兑换、票据兑付等一次性金融服务时，应当要求客户出示真实有效的身份证件或者其他身份证明文件，进行核对并登记。客户由他人代理办理业务的，金融机构应当同时对代理人和被代理人的身份证件或者其他身份证明文件进行核对并登记。与客户建立人身保险、信托等业务关系，合同的受益人不是客户本人的，金融机构还应当对受益人的身份证件或者其他身份证明文件进行核对并登记。金融机构不得为身份不明的客户提供服务或者与其进行交易，不得为客户开立匿名账户或者假名账户。金融机构对先前获得的客户身份资料的真实性、有效性或者完整性有疑问的，应当重新识别客户身份。任何单位和个人在与金融机构建立业务关系或者要求金融机构为其提供一次性金融服务时，都应当提供真实有效的身份证件或者其他身份证明文件。当然，金融机构在履行反洗钱的法定义务中获取的个人信息，其负有保密的义务，不得泄露，非依法律规定，不得向任何单位和个人提供（《反洗钱法》第5条第1款）。再如，《网络安全法》第21条规定，国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改：（1）制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任；（2）采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施；（3）采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月；（4）采取数据分类、重要数据备份和加密等措施；（5）法律、行政法规规定的其他义务。因此，当作为网络运营者的个人信息处理者出于防范计算机病毒和网络攻击而采取相应技术措施的必要，处理个人信息的，也可以认为属于为履行法定义务所必需。

（五）为应对突发公共卫生事件所必需

所谓突发公共卫生事件，是指突然发生，造成或者可能造成社会公众健康严重损害的重大传染病疫情、群体性不明原因疾病、重大食物和职业中毒以及其他严重影响公众健康的事件。突发公共卫生事件属于突发事件的一类。依据《突发事件应对法》第3条，突发事件是指突然发生，造成或者可能造成严重社会危害，需要采取应急处置措施予以应对的自然灾害、事故灾难、公共卫生事件和社会安全事件。依据《传染病防治法》《突发事件应对法》《突发公共卫生事件应急条例》的规定，在发生突发公共卫生事件时，为了防控疫情，保护广大人民群众的生命财产安全，政府将依法采取相应的应急处置措施，包括：组织营救和救治受害人员，疏散、撤离并妥善安置受到威胁的人员以及采取其他救助措施；迅速控制危险源，标明危险区域，封锁危险场所，划定警戒区，实行交通管制以及其他控制措施；立即抢修被损坏的交通、通信、供水、排水、供电、供气、供热等公共设施，向受到危害的人员提供避难场所和生活必需品，实施医疗救护和卫生防疫以及其他保障措施；禁止或者限制使用有关设备、设施，关闭或者限制使用有关场所，中止人员密集的活动或者可能导致危害扩大的生产经营活动以及采取其他保护措施；采取防止发生次生、衍生事件的必要措施等。在现代信息社会，借助大数据分析手段，位置信息、行动轨迹等个人信息在疫情预测预警、人员流动监控、物资调配分发等方面发挥了重要作用。这一点在最近两年我国的新冠肺炎疫情防控中得到了鲜明的体现。故此，为了更好地应对突发公共卫生事件，《个人信息保护法》第13条第1款第4项明确了，为应对突发公共卫生事件所必需时，可以不取得个人同意而处理个人信息。当然，虽然不需要取得个人的同意，但是相关部门对于处理的个人信息必须依法采取保密措施，保护相关人员的隐私权和个人信息权益，从而实现保护合法权益与疫情防控、维护公共利益之间的协调。

（六）紧急情况下为保护自然人的生命健康和财产安全所必需

依据《民法典》第1036条第3项，为了维护作为个人信息主体的“该自然人合法权益”，可以不经过自然人或其监护人的同意而合理实施个人信息的处理行为，行为人不承担民事责任。所谓维护该自然人的合法权益，是指为了维护作为个人信息主体的自然人的人身财产权益。例如，甲突发疾病而生命垂危，急需在掌握其既往病史等个人信息的基础上进行对应的抢救治疗，而又无法取得其本人或近亲属的同意。此时，为了挽救甲的生命，可以实施个人信息的处理行为。比较法上许多国家或地区的个人信息保护立法中也有相同的规定，例如，欧盟《一般数据保护条例》第23条第1款（i）项规定，为了“对数据主体或其他人的权利与自由的保护”，根据数据控制者或处理者应遵守的欧盟或成员国的法律规定，可以通过立法措施限制该条例第12条至第22条，第34条及第5条的权利与义务的范围，只要该限制符合该条例第12条至第22条规定的权利和义务，且实质符合基本权利和自由的本质，且是民主社会应采取的必要的适当的措施。《一般数据保护条例》导言部分第46条指出：“当关乎数据主体或其他自然人至关重要的生命利益时，个人数据处理也应该被认为是合法的。基于其他自然人的切身利益而处理个人数据，原则上应仅在处理不能基于另一法律基础的情况下进行。某些类型的处理可能满足重要的公共利益和数据主体的切身利益，例如当处理是用于人道主义目的所必需的，包括监测传染病及其传播或紧急人道主义情况下，特别是在自然和人为灾害的情况下。”再如，日本《个人信息保护法》第17条第2款第2项以及第23条第1款第3项规定，“为保护人的生命、身体或财产而有必要，却又难以取得本人同意的情形”，个人信息处理业者可以未事先取得本人的同意而获取自然人的个人数据或者将其个人数据提供给第三人。

事实上，不仅为了维护个人信息或个人数据主体自身的合法权益，可以实施对个人信息的合理使用，就是为了维护自然人之外的其他民事主体的合法权益，也可以针对该自然人的个人信息实施合理使用行为。例如，我国台湾地区“个人资料保护法”第16条第1款第4项和第20条第1款第4项规定，“为防止他人权益之重大危害”，公务机关或非公务机关对个人资料之利用，可以在于搜集之特定目的必要范围之外利用个人资料。我国《民法典》第1036条第3项仅规定了维护作为个人信息权益主体的“该自然人”合法权益，没有规定维护其他民事主体合法权益时的合理使用。这并不意味着我国《民法典》对此存在缺漏。因为如果是为了维护其他民事主体的合法权益而需要合理使用个人信息，那么该等情形属于紧急避险，完全可以适用《民法典》第182条，而无须重复规定。

为了明确此种情形，《个人信息保护法》第13条第1款第4项后半句作出了规定。依据该句之规定，只要是在紧急情况下为了保护自然人的生命健康和财产安全所必需的，就可以不需要取得个人同意，处理者即可实施个人信息处理行为。相比于《民法典》第1036条第3项，本句规定的特点在于：一方面，明确了维护的法益是自然人的生命健康和财产安全。自然人的生命健康和财产安全是对于自然人而言更重要的利益，故此，在位阶上，对这些利益的保护应当优先于对个人信息的保护。另一方面，由于本句规定并未限定被保护的自然人，故此，无论是保护作为信息主体的自然人的生命健康和财产安全，还是保护其他自然人的生命健康和财产安全，都可以无须取得个人同意而实施个人信息处理行为。

（七）为公共利益实施新闻报道、舆论监督等行为，在合理的范围内处理个人信息

依据《民法典》第999条，为公共利益实施新闻报道、舆论监督等行为的，可以合理使用自然人的个人信息，使用不合理侵害民事主体人格权的，应当依法承担民事责任。《个人信息保护法》第13条第1款第5项规定：“为公共利益实施新闻报道、舆论监督等行为，在合理的范围内处理个人信息”的，不需要取得个人同意。这两项虽然都明确了对个人信息的合理使用，但它们的侧重点不同。《民法典》强调的是此种对个人信息的使用行为不构成对自然人的个人信息权益的侵害，《个人信息保护法》则强调的是无须取得个人的同意。至于处理是否合理，是否构成对个人信息权益的侵权行为，则依据《民法典》的规定处理。

关于《个人信息保护法》第13条第1款第5项，应当注意以下几点：首先，必须是新闻报道、舆论监督等行为。所谓新闻报道就是指对新近发生的事实进行的报道。在我国，能够进行新闻报道的是依法设立的新闻单位，如报纸出版单位、新闻性期刊出版单位、通讯社、广播电台、电视台、广播电视台、新闻网站、网络广播电视台等。舆论监督是从功能或作用意义上使用的概念，简单地说，就是通过形成公众言论而对于公共事务、热点事件等与公共利益、国家利益相关的事情予以监督并加以评论的活动。以往，舆论监督一般就是指新闻单位所做的新闻报道中的批评性报道。然而，在社交媒体时代，不仅仅是新闻单位，自媒体（We Media）上普通用户的言论集合也可以形成舆论监督。一般的社会大众也很容易通过网络（如微信、微博、脸书、推特、博客、个人网站）等途径向外发布、分享某些事实与观点，评论公共事务，从而发挥舆论监督功能。

其次，为了公共利益。也就是说，即便是新闻报道、舆论监督也必须是为了公共利益。我国《民法典》《个人信息保护法》之所以专门规定，为公共利益实施新闻报道、舆论监督等行为可以合理使用个人信息，可以不经个人同意而处理个人信息，就是因为在为公共利益而实施的新闻报道、舆论监督中不可避免地要涉及特定的自然人，会使用自然人的姓名、性别、家庭住址等一些个人信息，如果使用这些个人信息都要逐一告知并征得自然人的同意，在自然人不同意的情况下就不能使用，新闻报道就无法正常进行。尤其是为了维护公共利益的舆论监督，本来就是要揭露各种不道德的、违法和犯罪的人与事情，打击邪恶，监督公权力，维护社会正义，这是自由与法治的社会所不可或缺的。故此，更有必要合理使用自然人的个人信息。总之，为公共利益而实施新闻报道、舆论监督的行为，对于维护广大民事主体的合法权益、保护表达自由，具有不可替代的重要作用，至于与公共利益无关，完全是娱乐性的新闻报道或者仅仅是涉及个人的不道德或违法行为的舆论监督，不能适用本项规定，如果处理者未经同意而处理他人的个人信息，就构成侵权。[21]

最后，在合理的范围内处理个人信息。所谓“合理的范围”体现了比例原则。对个人信息的合理使用，属于自然人的个人信息权益的限制，应当符合比例原则的要求。所谓合理的范围，就是指无论是收集、加工、使用还是提供、公开等各种个人信息处理活动，都应当是在服务于法律规定合理使用所希望达到的目的，没有超过该目的范围，同时，所使用的手段和方式也没有超过为实现该目的而可以采取的最缓和的方式。如果不是在合理的范围内处理个人信息，侵害民事主体合法权益的，应当依法承担责任。

（八）在合理范围内处理个人自行公开或者其他已经合法公开的个人信息

对于已经合法公开的个人信息，无论是自然人自行公开的还是其他已经合法公开的个人信息，原则上是可以无须告知并取得自然人的同意即进行合理处理的，因为这有利于促进信息的流动与合理利用，对于网络信息社会和数字经济的发展是有利的。例如，在一起案件中，原告的相关民事纠纷被法院依法判决，其涉案姓名、性别及其相关民事纠纷等信息客观上作为已公开裁判文书的组成部分，而被合法公开，该等个人信息也不属于私密信息，而属于已经合法公开的个人信息，被告可以合理使用。法院认为，“对于裁判文书的公开和再利用，必须要在保护个人信息等人格权益的前提下，有效协调合理利用个人信息、促进司法公开、促进数据流通和使用等多重目的，作出具有一定开放性、合乎人格利益保护趋势和数字经济产业发展趋势的判断。在本案中，涉案裁判文书公开及再度利用的公共利益与个人信息利益之间的衡量，符合上述目的和要求，故梁某冰以汇法正信公司未经同意使用其个人信息为由，主张汇法正信公司侵害其个人信息权益的主张”[22]，法院不予支持。

《民法典》第1036条第2项规定，合理处理该自然人自行公开的或者其他已经合法公开的信息的，行为人不承担民事责任，除非该自然人明确拒绝或者处理该信息侵害其重大利益。[23]这就是说，对于已经合法公开的个人信息，行为人原则上可以无须告知该自然人，也无须取得其同意，就可以进行处理，只要这种处理是合理的并且该自然人没有明确拒绝或者处理该信息没有侵害其重大利益。申言之，一方面，即便是已经合法公开的个人信息依然受到《个人信息保护法》的保护，自然人对这些个人信息并不因其公开而失去控制的权利，其有权拒绝他人对这些信息进行处理。另一方面，由于个人信息的保护对于维护自然人的人格尊严和人格自由具有很重要的意义，所以即便是已经合法公开的个人信息，也不得任意进行处理，如果处理该信息将侵害自然人的重大利益的，也要承担民事责任。所谓“侵害自然人重大利益”的情形是指该处理将有害于自然人的生命、身体、自由、财产或其他重大利益。

在我国《个人信息保护法》的起草过程中，《草案一审稿》并没有在第13条单列对已合法公开的个人信息的合理处理行为，到了《草案二审稿》时才增加了本项规定。这一修改是正确的，一则可以使得本法与《民法典》保持一致，二则也与比较法上立法例相一致。例如，欧盟《一般数据保护条例》第9条第2款规定，在处理被数据主体明显公开的个人数据时，不适用本条第1款禁止处理的规定。但是，如果该自然人明确拒绝对已合法公开的个人信息的处理或者处理该信息侵害其重大利益的除外。日本《个人信息保护法》第17条第2款第5项规定，当“该需注意的个人信息已经被本人、国家机关、地方公共团体、第七十六条第一款各项规定的主体及《个人信息保护委员会规则》规定的其他主体公开的情形”，则个人信息处理业者可以无须事先取得本人的同意。

关于《个人信息保护法》第13条第1款第6项的适用，需要注意以下几点：首先，个人信息处理者处理的必须是已经合法公开的个人信息。一方面，该个人信息必须是客观上已经公开的个人信息。所谓公开，是指信息主体向不特定的人公开，即不特定的人都可以通过合法的途径而获取该信息。例如，接受记者的采访中公开自己的个人信息，他人皆可通过网络搜索而合法获得。但是，如果信息主体只是在很小的亲友圈子内公开，如在微信的朋友圈中公开，那么无论该朋友圈中的人数是数人还是数百人，由于只有特定的人才可以获得该个人信息，只能认为信息主体是向该朋友圈中的特定人公开，而不能认为其已经公开个人信息。另一方面，已经公开的个人信息必须是自然人自行公开的或者其他已经合法公开的信息，也就是说，如果他人通过实施侵权行为甚至犯罪行为而非法披露或公开的个人信息，也不属于已经公开的个人信息，不能适用本条规定。

其次，即便是对于已经公开的个人信息进行处理，也必须是在合理的范围内，即遵循正当、必要、限制等原则。如果使用不合理，依然会构成对自然人的个人信息权益的侵害行为。这是因为，由于个人信息的保护对于维护自然人的人格尊严和人格自由具有很重要的意义，所以即便是已经合法公开的个人信息，也不得任意进行处理。所谓合理与否，必须考虑两个方面：一是处理的目的是否合理；二是处理的方式是否合理，即如果有侵害性更小的处理方式时，就不能采取侵害性更大的处理方式。

最后，即便是合理处理已经公开的个人信息，但如果该自然人明确拒绝或者处理该信息侵害其重大利益的，除非取得该自然人的同意，否则也不得进行处理。《民法典》第1036条第2项规定：“合理处理该自然人自行公开的或者其他已经合法公开的信息，但是该自然人明确拒绝或者处理该信息侵害其重大利益的除外。”《个人信息保护法》则从被公开的个人信息的用途以及是否对个人有重大影响的角度进行了限制。该法第27条最后一句规定：“个人信息处理者处理已公开的个人信息，对个人权益有重大影响的，应当依照本法规定取得个人同意。”

（九）法律、行政法规规定的其他情形

这属于兜底性规定。例如，肖像既受到肖像权的保护，也因属于个人信息（敏感的个人信息）而适用《个人信息保护法》。我国《民法典》第1020条对肖像的合理使用作出了规定，即合理实施下列行为的，可以不经肖像权人同意：（1）为个人学习、艺术欣赏、课堂教学或者科学研究，在必要范围内使用肖像权人已经公开的肖像；（2）为实施新闻报道，不可避免地制作、使用、公开肖像权人的肖像；（3）为依法履行职责，国家机关在必要范围内制作、使用、公开肖像权人的肖像；（4）为展示特定公共环境，不可避免地制作、使用、公开肖像权人的肖像；（5）为维护公共利益或者肖像权人合法权益，制作、使用、公开肖像权人的肖像的其他行为。上述情形有些与《个人信息保护法》第13条的规定是重合或交叉的，如第2、3、5种情形，但是，第1、4种情形则是《个人信息保护法》第13条所没有规定的。

◆ 疑点与难点

一、为订立个人作为一方当事人的合同所必需时是否可以无须取得个人同意

《个人信息保护法》第13条第1款第2项关于为订立、履行个人作为一方当事人的合同所必需，可以无须取得个人同意的规定，借鉴了欧盟《一般数据保护条例》的规定，该条例第6条第1款（b）项规定“处理是数据主体作为合同主体履行合同之必要，或者处理是因数据主体在签订合同前的请求而采取的必要措施”时，该处理是合法的，也就是说，即便没有告知并取得数据主体的同意也是合法的处理行为。《一般数据保护条例》这一规定来自1995年10月24日《个人数据保护指令》第7条，未作任何改变。《一般数据保护条例》作此规定的理由在于：如果对于合同一方当事人（数据主体）的数据的处理，对于该合同的另一方当事人（数据控制者）履行该合同是必要的，那么后者对该数据的处理就是有法律基础的。因为数据控制者作为合同的当事人，根据一般的法律原则负有履行其合同义务的法定义务，因此为履行合同义务而处理数据的合法性也可以理解为“法定义务”甚至“控制者的合法利益”的特殊情况，这一规定能够大大地简化欧盟《一般数据保护条例》列举合法处理情形的清单。[24]但是，我国《个人信息保护法》第13条第1款第2项与欧盟《一般数据保护条例》上述规定的不同之处在于，其不论是为了履行个人作为一方当事人的合同所必需的，还是为了订立个人作为一方当事人的合同所必需的，都可以不适用告知同意规则，不需要取得个人同意。在立法的过程中，是否应当如此规定，曾有争议。

一种观点认为，将合同还没有成立仅仅是缔约磋商或者初步接触的情形也作为不适用告知同意规则的情形，是不合适的。[25]首先，合同合法成立前，处理者既不负有法定的也不负有约定的履行合同的义务，故此，其不存在可以排除适用告知同意规则而处理个人信息的确定的正当利益。其次，合同订立阶段即前合同关系的范围很广泛，既包括个人仅仅是出于兴趣而询问价格，了解相关商品或服务信息的阶段，也包括双方进入实质性的缔约磋商阶段，在这些阶段中，自然人当然可以主动向处理者提供个人信息或请求处理者处理自己的个人信息，从而顺利缔结合同并在将来履行合同。当然，自然人在订立合同的阶段也完全可以不提供个人信息，如果因此导致合同无法成立也是其自负责任而已，不应当允许处理者有权不经告知同意即可处理个人信息。例如，张三走进A商场，该商场未经其同意即通过其手机信号而收集其位置信息，并推送广告。如果仅仅将自然人走入商场就视为订立合同的意思表示，那么A商场收集张三的地理位置的信息就成为合法的处理行为，这显然是错误的。正因如此，欧盟《一般数据保护条例》第6条第1款（b）项并不包括为订立合同而必须处理个人信息的情形。条例的起草者认为，合同订立前的各个阶段很多，差别很大，当事人“前合同关系”是非常模糊的，不能认为在订立合同阶段就可以回避告知同意规则。[26]为更好地保护数据主体的权益，一方面，欧盟《一般数据保护条例》在第1款（b）项中增加了一种情形，即“处理是因数据主体在签订合同前的请求而采取的必要措施”，如果不是数据主体的请求，那么仅仅在前合同关系中，还不能认为处理者有权不经告知同意即可处理信息主体的个人信息；另一方面，如果在前合同阶段，但是确实是为了数据主体的利益，处理者要么取得数据主体的同意，要么在符合欧盟《一般数据保护条例》第6条第1款（f）项的规定——“处理是控制者或者第三方为了追求合法利益之必要，但此利益与被要求保护个人数据的数据主体的利益或基本权利自由相冲突的除外，尤其是数据主体为儿童的情形下”——时，也可以不经数据主体的同意。

另一种观点认为，虽然大多数时候合同所必需都是为履行个人作为一方当事人的合同所必需，但是，也不排除有些情况下，当事人之间没有订立合同，而是为了订立合同也必须要取得个人信息。例如，用户张某希望与A公司订立合同，但是在此之前他需要下载A公司运营的App，而此时他与A公司之间离成立合同还很远，但是为了下载并安装该App，张某需要提供一些个人信息。如果在这种情况下也需要取得个人同意，那么就必须由处理者先履行告知义务，然后再取得个人同意。这样显然是难以做到的，也不利于网络信息科技和数字经济的发展。

考虑到订立和履行合同的场景确实非常多，为订立个人作为一方当事人的合同所必需的情形也客观存在，故此《个人信息保护法》第13条将此种情形也作为无须取得个人同意的情形。

二、为履行法定职责或法定义务所必需之间的差别

虽然在为了履行法定职责或者法定义务所必需的情形下，处理者都不需要取得个人同意即可处理个人信息，而且《个人信息保护法》第13条第1款第3项也将二者并列加以规定，但必须注意的是，实践中不同的组织或个人履行法定职责或法定义务的情形很复杂，目的也各不相同，而这些行为在无须取得个人同意的强制性程度上是存在差别的。例如，公安机关或检察机关为了侦查犯罪而必须取得个人信息，这种强制处理个人信息的强度就非常高，因为这涉及维护国家秩序和公共利益，不存在商量或选择的余地。故此，在国外的立法中往往将这种情形排除在个人信息保护法的适用范围之外。例如，欧盟《一般数据保护条例》第2条第2款（d）项规定，“有权机关以预防、调查、侦查或起诉刑事犯罪，或执行刑事处罚为目的，包括保障并预防公共安全受到威胁”而进行的数据处理活动，不适用本条例。然而，社会保险经办机构作为依据法律授权而具有管理社会保险事务职能的组织（《社会保险法》第8条），其在履行法定职责时也有权处理个人信息，对此，《社会保险法》第74条第1款规定：“社会保险经办机构通过业务经办、统计、调查获取社会保险工作所需的数据，有关单位和个人应当及时、如实提供。”但是，社会保险经办机构强制处理个人信息的必要性就没有那么高，即便个人不同意或拒绝提供，社会保险经办机构显然也不可能采取强制手段。故此，《个人信息保护法》第35条规定，国家机关为履行法定职责处理个人信息，应当依照本法规定向个人告知并取得其同意，但告知、取得同意将妨碍国家机关履行法定职责的除外。

三、紧急情况下为保护自然人的生命健康和财产安全所必需与其他合法理由的差异

由于判断是否属于紧急情况下为保护自然人的生命健康和财产安全所必需，具有不确定性，而《个人信息保护法》第13条第1款其他各项规定的不适用告知同意规则的情形相对比较确定，故此，在能够适用其他例外情形，如为履行法定义务或应对突发公共卫生事件，或者法律、行政法规有明确规定的其他情形时，就不能适用《个人信息保护法》第13条第1款第4项的规定。这一点也得到了欧盟《一般数据保护条例》的认可。该条例导言部分第46条指出：“基于其他自然人的切身利益而处理个人数据，原则上应仅在处理不能基于另一法律基础的情况下进行。”例如，《民法典》第1005条规定：“自然人的生命权、身体权、健康权受到侵害或者处于其他危难情形的，负有法定救助义务的组织或者个人应当及时施救。”这个法定救助义务就是法定义务。而我国现行法律中明确规定了法定救助义务的单位或个人包括：（1）人民警察，《人民警察法》第21条第1款规定：“人民警察遇到公民人身、财产安全受到侵犯或者处于其他危难情形，应当立即救助……”《反家庭暴力法》第15条规定：“公安机关接到家庭暴力报案后应当及时出警，制止家庭暴力，按照有关规定调查取证，协助受害人就医、鉴定伤情。无民事行为能力人、限制民事行为能力人因家庭暴力身体受到严重伤害、面临人身安全威胁或者处于无人照料等危险状态的，公安机关应当通知并协助民政部门将其安置到临时庇护场所、救助管理机构或者福利机构。”（2）人民武装警察，《人民武装警察法》第28条规定：“人民武装警察遇有公民的人身财产安全受到侵犯或者处于其他危难情形，应当及时救助。”（3）消防队，《消防法》第44条第4款规定：“消防队接到火警，必须立即赶赴火灾现场，救助遇险人员，排除险情，扑灭火灾。”（4）旅游经营者、当地政府和相关机构，《旅游法》第81条规定：“突发事件或者旅游安全事故发生后，旅游经营者应当立即采取必要的救助和处置措施，依法履行报告义务，并对旅游者作出妥善安排。”第82条规定：“旅游者在人身、财产安全遇有危险时，有权请求旅游经营者、当地政府和相关机构进行及时救助。中国出境旅游者在境外陷于困境时，有权请求我国驻当地机构在其职责范围内给予协助和保护。旅游者接受相关组织或者机构的救助后，应当支付应由个人承担的费用。”（5）红十字会，《红十字会法》第11条第1项明确规定，红十字会的职责之一就是“在战争、武装冲突和自然灾害、事故灾难、公共卫生事件等突发事件中，对伤病人员和其他受害者提供紧急救援和人道救助”。（6）海难事故中附近的船舶、设施以及主管机关，《海上交通安全法》第75条规定：“船舶、海上设施、航空器收到求救信号或者发现有人遭遇生命危险的，在不严重危及自身安全的情况下，应当尽力救助遇难人员。”第76条规定：“海上搜救中心接到险情报告后，应当立即进行核实，及时组织、协调、指挥政府有关部门、专业搜救队伍、社会有关单位等各方力量参加搜救，并指定现场指挥。参加搜救的船舶、海上设施、航空器及人员应当服从现场指挥，及时报告搜救动态和搜救结果。搜救行动的中止、恢复、终止决定由海上搜救中心作出。未经海上搜救中心同意，参加搜救的船舶、海上设施、航空器及人员不得擅自退出搜救行动……”（7）医师、护士及医疗机构，《执业医师法》第24条规定：“对急危患者，医师应当采取紧急措施进行诊治；不得拒绝急救处置。”《医疗机构管理条例》第31条规定：“医疗机构对危重病人应当立即抢救。对限于设备或者技术条件不能诊治的病人，应当及时转诊。”《护士条例》第17条第1款规定：“护士在执业活动中，发现患者病情危急，应当立即通知医师；在紧急情况下为抢救垂危患者生命，应当先行实施必要的紧急救护。”故此，上述负有法定救助义务的主体，为了履行该义务而必须处理个人信息的，应当适用《个人信息保护法》第13条第1款第3项的规定，而不适用第4项之规定。

四、是否应当规定处理者可以为了自身或第三人的合法利益而处理个人信息

在《个人信息保护法》起草过程中，有观点认为，应当借鉴欧盟《一般数据保护条例》的规定，将个人信息处理者的合法利益也作为可以无须取得个人同意而合法处理个人信息的情形之一。从现实来看，处理者为了自身或第三人的合法利益处理个人信息的典型情形包括：维护网络安全、数据安全、防范欺诈等。但是，立法机关没有接受这一意见，这主要是考虑到：维护网络安全和数据安全可以纳入履行法定义务所必需，我国《网络安全法》《数据安全法》等对网络安全等级保护和数据安全保护义务的规定就是法定义务；所谓防范欺诈等制止犯罪行为的情形，要么属于紧急情况下为保护自然人的财产安全所必需的，要么属于维护自身合法权益（可以适用正当防卫或紧急避险的规定）。故此，《个人信息保护法》没有必要再规定处理者为了自身或第三人的合法利益而处理个人信息无须取得个人同意。此外，从欧盟《一般数据保护条例》第6条第1款第6项的规定来看，它也并不是简单地规定数据控制者或第三方为追求合法利益目的就可以进行数据处理，而是规定，一方面，能够进行的是必要的数据处理，另一方面，控制者或第三人的利益与要求不能与对个人数据进行保护的数据主体的基本权利和自由相冲突，尤其是当该数据主体为儿童时，如果存在这种冲突，也是不能进行数据处理的。如果我国《个人信息保护法》只是简单地规定，处理者为了自身或第三人的合法利益而处理个人信息就可以无须取得个人同意，那么在实践中就很容易被扩大解释，出现滥用，不利于保护人格尊严等基本权利和个人的民事权益。

◆ 相关规定

《全国人民代表大会常务委员会关于加强网络信息保护的决定》第2条；《网络安全法》第21条、第41条；《民法典》第998条、第999条、第1020条、第1035条、第1036条；《刑事诉讼法》第132条；《反洗钱法》第16条；《突发事件应对法》第3条