文/王 進(jìn)（西南政法大學(xué)民商法學(xué)院，重慶 401120）

論個人信息處理正當(dāng)性的特殊依據(jù)
——以歐盟《一般數(shù)據(jù)保護(hù)條例》為視角

文/王 進(jìn)（西南政法大學(xué)民商法學(xué)院，重慶 401120）

在大數(shù)據(jù)時代背景下，知情同意原則難以為某些特殊的信息處理行為提供正當(dāng)性依據(jù)。因此，許多國家的立法都規(guī)定了個人信息處理正當(dāng)性之特殊依據(jù)體系，其中尤以歐盟2016年4月27日通過的《一般數(shù)據(jù)保護(hù)條例》最為完善。我國立法應(yīng)同時規(guī)定個人信息處理之一般依據(jù)和特殊依據(jù)，借鑒歐盟經(jīng)驗將個人信息處理之特殊依據(jù)劃分為六種類型，明確各種特殊依據(jù)的判定標(biāo)準(zhǔn)以便于司法審判的認(rèn)定，不斷完善個人信息處理正當(dāng)性之特殊依據(jù)體系以符合時代的要求。

個人信息 正當(dāng)性 特殊依據(jù) 信息處理

一、為履行或訂立合同

GDPR第6條第1款b項規(guī)定了 “為履行或訂立合同”這一特殊依據(jù)，其包含了兩種情形，即為履行合同而處理個人信息和為訂立合同而處理個人信息。下面就這兩種情形分別進(jìn)行分析。

（一）為履行合同

為履行合同而處理個人信息是指信息控制者與信息主體分別為合同雙方當(dāng)事人，而信息處理行為屬于為履行合同義務(wù)所必需。例如，在買賣合同中賣家（信息控制者）需要處理買家（信息主體）的收貨地址，以便交付買賣合同的標(biāo)的物，或處理其支付寶信息以便向買家收款。而在勞務(wù)合同中，信息控制者處理信息主體的銀行賬戶信息則可以是為了支付薪酬。

但在司法實務(wù)之中，合同義務(wù)與處理目的具有復(fù)雜性，所以筆者認(rèn)為有必要對履行合同目的進(jìn)行嚴(yán)格解釋，將并非為真正履行合同所必需的處理行為排除在本規(guī)定之外，并將其定性為信息控制者侵犯信息主體個人信息權(quán)的行為。即使某些信息處理本來就已經(jīng)訂立在合同內(nèi)，但卻未必為履行合同所需要。例如在朱燁與北京百度網(wǎng)訊科技公司隱私權(quán)糾紛上訴案中［4］，百度公司根據(jù)用戶在網(wǎng)站上的搜索和瀏覽記錄，建立用戶喜好或習(xí)慣的Cookie檔案，并根據(jù)其推送相關(guān)的廣告，此時履行合同便不能作為信息處理的合法依據(jù)，原因在于百度公司并沒有因為收集用戶Cookie而專門訂立合同，就算雙方的網(wǎng)絡(luò)服務(wù)合同在其隱私保護(hù)聲明中曾經(jīng)明確提及了收集用戶Cookie并建立檔案，其收集行為是為了向用戶推送廣告而非為履行合同主要內(nèi)容所“必需”。

判斷某一信息處理行為是否為履行合同所必須，必須先明確合同的準(zhǔn)確意向，即合同本質(zhì)和基本目的。如果合同目的不明確，則難以通過履行合同這一依據(jù)為處理行為提供正當(dāng)性，此時就需要調(diào)查更具體的事實，例如已經(jīng)征得信息主體同意，或?qū)ζ洳扇×顺浞值谋Ｗo(hù)措施，即可通過其他正當(dāng)性來源來證明處理的合法性。如果合同目的是明確的，此時可根據(jù)合同的義務(wù)群進(jìn)行判定，這些義務(wù)主要包括主給付義務(wù)、從給付義務(wù)、附隨義務(wù)、不真正義務(wù)［5］。只要信息控制者為履行這些義務(wù)而為的處理行為皆可通過本項證明其合法性。

總之b項僅適用于履行合同所必需的情況，既不適用于違反合同目的所導(dǎo)致的所有后續(xù)行為，也不適用于執(zhí)行合同過程中發(fā)生的對合同目的實現(xiàn)而言無關(guān)緊要的事實，只要信息的處理與執(zhí)行合同內(nèi)容有關(guān)，履行合同就可成為其正當(dāng)性依據(jù)。

（二）為訂立合同

為訂立合同而處理個人信息是指在合同尚未締結(jié)之前，信息處理者應(yīng)信息主體的要求而處理其個人信息。前者，例如在財產(chǎn)保險合同中，投保人要求保險人提供其財產(chǎn)的保價，保險人基于投保人的請求而處理汽車的車牌號、行駛證等相關(guān)資料，此等處理發(fā)生在合同生效前，也并非為履行合同義務(wù)，而是為了雙方當(dāng)事人成功訂立合同。

值得思考的一個問題是為履行先合同義務(wù)而處理個人信息能否通過本項規(guī)定獲得正當(dāng)性依據(jù)，這就需對厘清先合同義務(wù)的性質(zhì)。“所謂先合同義務(wù)是指締約人雙方為簽訂合同而互相磋商時依誠實信用原則逐漸產(chǎn)生的注意義務(wù)，而非合同有效成立后產(chǎn)生的給付義務(wù)，包括互相協(xié)助、保護(hù)、通知、忠誠等義務(wù)。”［6］我國理論界普遍認(rèn)為“先合同義務(wù)是一種法律義務(wù)，即是法律強(qiáng)制締約雙方承擔(dān)的義務(wù)，而不是由合同雙方自我約定的義務(wù)。因此，違反先合同義務(wù)的行為是違法行為而不是違反合同的行為”［7］。該義務(wù)產(chǎn)生于法定的誠實信用原則，所以為履行先合同義務(wù)屬于改款c項所規(guī)定之法定義務(wù)，而非通過訂立合同為其提供正當(dāng)性依據(jù)。

二、法定義務(wù)

第6條第一款c項為信息控制者為履行法定義務(wù)而處理信息主體的個人信息的情況提供了合法依據(jù)。例如，在商業(yè)銀行貸款之時往往需要對貸款人的相關(guān)財務(wù)信息進(jìn)行處理，此時商業(yè)銀行依據(jù)的是《商業(yè)銀行法》第三十五條之規(guī)定，即“商業(yè)銀行貸款，應(yīng)當(dāng)對借款人的借款用途、償還能力、還款方式等情況進(jìn)行嚴(yán)格審查。”這種義務(wù)屬于《商業(yè)銀行法》直接施加給商業(yè)銀行的法律義務(wù)，而非當(dāng)事人間和合同約定，應(yīng)通過本項規(guī)定為其提供正當(dāng)性。

筆者認(rèn)為，正確理解與適用法定義務(wù)這一正當(dāng)性依據(jù)還必須明確以下兩點。首先，該法定義務(wù)僅指本國法律所規(guī)定的的義務(wù)。因為個人信息處理往往涉及跨境信息轉(zhuǎn)移的情形，信息處理者在遵守本國法律的同時還往往會受到國際機(jī)構(gòu)和目標(biāo)國家的規(guī)則和法律限制。此時若其法律或規(guī)則未受到本國法律認(rèn)可，如通過加入國際組織使其成為國內(nèi)法，則不能通過本項為其處理行為提供正當(dāng)性基礎(chǔ)。其次，即使該項為信息主體履行法定義務(wù)而處理個人信息提供了正當(dāng)性基礎(chǔ)，也并不意味著該處理行為脫離了GDPR的約束，其仍要受到公開、目的限制和數(shù)據(jù)最小化等原則的限制［8］。即其所采取的處理過程必須是公開的，其處理行為不能偏離這一目的，要能夠被履行法定義務(wù)這一初始目的所兼容，要采取對信息主體而言損害最小的處理方式，采取相應(yīng)的保護(hù)措施。所以本款僅僅使處理行為滿足了合法性的要求。

三、信息主體或他人的重大利益

第6條第一款C項是基于“處理是為保護(hù)信息主體或另一自然人的重大利益所必須的”，而成為處理的正當(dāng)性依據(jù)。該項的表述與第9條第2款c項有些類似，但后者更為嚴(yán)格，其要求“處理對保護(hù)信息主體或另一自然人的重大利益是必要的，且信息主體身體上或法律上無能力給予同意”［9］。其原因在于第9條規(guī)定的是敏感個人信息處理的正當(dāng)性，相較一般個人信息而言，該種信息往往涉及個人隱私［10］，如私人和家庭生活等。GDPR基于對私人生活和家庭生活的尊重，提高了對個人信息的保護(hù)標(biāo)準(zhǔn)［11］，所以即使是為信息主體或另一自然人的切身利益而必須處理其敏感個人信息，仍需符合信息主體身體上或法律上無能力給予同意這一前提。

在明確其區(qū)別之后，還需要正確理解這兩條中所規(guī)定涉及之“重大利益”一詞為何意，究竟達(dá)到何種程度方為GDPR所言之重大利益，以及何時才能為第三人的重大利益處理信息主體的個人信息。關(guān)于這兩個問題，GDPR在其序言第46段給出了解答。［12］首先，若某一權(quán)益事關(guān)信息主體或另一自然人的生命或人身安全，則該種權(quán)益方可稱之為個人信息法中的“重大利益”，此時為了保障這項權(quán)益所進(jìn)行的必要的個人信息處理應(yīng)被視作是合法的。例如在施某某、張某某、桂某某訴徐某某肖像權(quán)、名譽權(quán)、隱私權(quán)糾紛案［13］中，法院正是基于保護(hù)未成年人免受養(yǎng)父母虐待這一正當(dāng)性依據(jù)，認(rèn)定徐某某的公布未成年人受傷害信息的行為不屬于侵權(quán)行為。其次，原則上只有在明顯無法以另一法律依據(jù)為基礎(chǔ)進(jìn)行信息處理的情形下，才能基于另一自然人的重大利益進(jìn)行個人信息處理。

在某些信息處理類型中，該項還可能與其他正當(dāng)性依據(jù)同時并存，例如在某些自然災(zāi)害和人為災(zāi)害之中對信息主體的個人信息進(jìn)行處理，既是為了信息主體和其他自然人的生命和人身安全，更是為了社會公眾利益，此時信息主體或他人的重大利益與公共利益這兩種正當(dāng)性依據(jù)就同時并存，信息控制者可選擇通過重大利益或公共利益作為處理依據(jù)以證明其合法性。

四、行使公權(quán)力

GDPR之所以將行使公權(quán)單獨規(guī)定為一項信息處理正當(dāng)性的特殊依據(jù)，原因在于其采用了國家機(jī)關(guān)和非國家機(jī)關(guān)統(tǒng)一規(guī)定個人信息保護(hù)立法模式。而在采用分別規(guī)定的立法模式中，例如我國臺灣地區(qū)《個人信息保護(hù)法》［14］和我國學(xué)者的《個人信息保護(hù)法專家建議稿》［15］均將其放到了國家機(jī)關(guān)收集個人信息所應(yīng)遵守基本原則之中，即要求信息收集、處理的目的是為實現(xiàn)其自身職能，將其視為信息處理正當(dāng)性的一般依據(jù)。

GDPR此處的行使公權(quán)力是指為了履行涉及公共利益之任務(wù)，或者行使授予信息控制者的官方授權(quán)之任務(wù)所必需的信息處理。其中包含了兩種情形，并且同時與公共和私人領(lǐng)域相關(guān)。首先，它包括了信息控制者本身的身份是國家機(jī)關(guān)，其信息處理是行使公權(quán)力所需要的情形。例如，戶籍管理機(jī)關(guān)為了履行其戶籍管理的權(quán)力，而收集和處理新生嬰兒的個人信息。其次，他還包括信息控制者沒有相應(yīng)的公權(quán)力，卻可以基于公權(quán)力機(jī)關(guān)的授權(quán)或主動向公權(quán)力機(jī)關(guān)披露他人信息而為信息處理行為。如企業(yè)基于公安機(jī)關(guān)的授權(quán)或主動向公安機(jī)關(guān)舉報犯罪，處理相關(guān)人員的個人信息。

判斷某一行使公權(quán)力的信息處理行為是否具備正當(dāng)性，還需考慮其處理的方式是否合理，是否能夠符合個人信息保護(hù)法的要求。筆者認(rèn)為，可以將比例原則作為一種判斷標(biāo)準(zhǔn)，因為“比例原則要求公權(quán)力必須在限制基本權(quán)利的目的和限制基本權(quán)利的手段之間進(jìn)行衡量，不能不擇手段地追求目的的實現(xiàn)”［16］?！耙话阏J(rèn)為，比例原則包含三個子原則（Teilgrunds tzen），即適當(dāng)性原則（Geeignetheit）、必要性原則 （Erfordlichkeit） 和均衡性原則（Angemessenheit）。 ”［17］所以在對處理行為進(jìn)行具體判斷時可以通過以下三個步驟：首先，國家機(jī)關(guān)所采取的個人信息處理方式是否是有利于其行使公權(quán)力之目的的達(dá)成，以判定其是否符合適當(dāng)性原則。其次在可以達(dá)到目的的數(shù)種信息處理方式中，國家機(jī)關(guān)是否采取了對信息主體的個人信息權(quán)損害最小的處理方式，以判定其是否符合必要性原則。最后，均衡性原則要求國家機(jī)關(guān)對個人信息權(quán)的干預(yù)與其行使公權(quán)力所追求的目的之間必須要相稱，二者在效果上不能不成比例。只有在符合這三次判定的基礎(chǔ)之上才能認(rèn)定行使公權(quán)力而為的信息處理行為符合個人信息保護(hù)法的要求，可以通過本項規(guī)定證明其正當(dāng)性。

五、信息控制者的正當(dāng)利益

該項依據(jù)為GDPR所規(guī)定的最后一項正當(dāng)性特殊依據(jù)，該項與其他依據(jù)相比不夠具體，往往難以判斷何種利益為正當(dāng)利益，以及是否足以為保護(hù)該正當(dāng)利益而限制信息主體的權(quán)利，所以該種正當(dāng)性依據(jù)的適用往往伴隨著雙方權(quán)利的沖突，需要運用權(quán)利位階和比例原則等方法來以衡量那種利益更為重要。所以對于該項而言權(quán)利沖突的解決方法至關(guān)重要，是評估信息控制者的正當(dāng)利益能否為信息處理行為提供正當(dāng)性的關(guān)鍵。在解決權(quán)利沖突時必須正確判斷信息控制者的利益是否正當(dāng)、評估對信息當(dāng)事人的影響以及信息控制者是否對信息主體采取了額外的保護(hù)措施，下面就這三項內(nèi)容之一進(jìn)行分析。

（一）判斷信息控制者的利益是否正當(dāng)

“所謂利益，就是人們受客觀規(guī)律制約的，為了滿足生存和發(fā)展而產(chǎn)生的，對于一定對象的各種客觀需求。”［18］在 GDPR 中“利益”的概念與第 5條中所述的“目的”的概念緊密相關(guān)，但二者又有所區(qū)別。在個人信息保護(hù)這一特殊領(lǐng)域中，“目的”是指處理信息的具體原因，即信息處理的目標(biāo)或意圖。而利益則是信息控制者在信息處理中可能涉及的更廣泛利害關(guān)系，或者信息控制者或社會可能從信息處理中產(chǎn)生的好處。在判定信息控制者的信息處理行為是否具有正當(dāng)性時，利益必須清晰明確，以便于和信息主體的利益和基本權(quán)利進(jìn)行法律抉擇。此外，涉及的利益還必須是“負(fù)責(zé)實體所追求的”。這就要求是真實的并且是現(xiàn)存的利益，是與目前的活動或利益相應(yīng)，亦可以是不久將來所追求的。換言之，太過模糊的或臆測的利益并不足夠。在清晰明確的了解信息控制者的利益后，還需要判定該利益是否正當(dāng)，所以需要明確“正當(dāng)性”的概念。所謂正當(dāng)指一個人的行為、要求、愿望等符合社會的政策和行為規(guī)范的要求，或者符合社會發(fā)展的需要和人民的利益。所以，經(jīng)過以上分析，筆者認(rèn)為，正當(dāng)利益應(yīng)當(dāng)符合以下三個特征。首先，合法（符合現(xiàn)行法律體系的規(guī)定）；其次，充分、清晰說明平衡測試是如何進(jìn)行的，當(dāng)中比較了解哪些信息當(dāng)事人的基本權(quán)利和利益（充分具體）；最后，代表真實和目前存在的利益（不是臆測的）。

（二）評估對信息當(dāng)事人的影響

在評估信息處理的影響時，必須對可能導(dǎo)致的任何后果都加以考量。包括不利影響和積極影響，同時也包括直接的負(fù)面影響和可能對當(dāng)信息主體造成的心理影響。筆者認(rèn)為以下四個方面的因素的考量，有利于評估對當(dāng)事人造成的影響。首先是個人信息的性質(zhì)，當(dāng)涉及的信息越敏感，對信息當(dāng)事人造成的各種后果就越多。其次是將要處理信息的方式，因為信息處理者的不同處理方式可能會對信息主體造成不同程度的影響。再次是信息主體的合理期待，如果某一行為合乎信息主體的合理期待，其可能在處理之前就通過相應(yīng)的措施減少了該信息處理行為可能對自身造成的損害。最后是信息控制者和信息主體的身份，此項因素主要是考慮雙方當(dāng)事人的地位差距是否懸殊，例如大型跨國公司當(dāng)然會比信息主體有更多的資源和談判實力，自然也較易向信息主體主張擁有“正當(dāng)利益”。屬于當(dāng)信息控制者本身擁有市場主導(dǎo)地位時，信息主體往往處于弱勢地位，如果放任此種現(xiàn)象，便對信息當(dāng)事人構(gòu)成損害。但需要強(qiáng)調(diào)的是需要加以考量的因素并不止于這四個方面，在進(jìn)行評估時還必須考慮其他因素，例如信息處理的透明度、信息主體的反對權(quán)等，以便全面且合理的判斷對信息主體的影響。

（三）信息控制者采取的額外保護(hù)措施

信息控制者所采用額外保護(hù)措施對權(quán)利抉擇的結(jié)果具有重大影響，在某些情況下，甚至能夠完全扭轉(zhuǎn)其結(jié)果。所以信息處理行為對資料當(dāng)事人產(chǎn)生的影響越大，信息控制者就更應(yīng)該更注重相關(guān)的保障措施。例如，其可以嚴(yán)格限制信息的收集范圍，或者在達(dá)到使用目的后立即刪除個人信息。在某些措施已經(jīng)是GDPR所強(qiáng)制要求的，但信息控制者卻仍可以加大該保護(hù)措施的力度，以求更好保護(hù)資料當(dāng)事人。例如負(fù)責(zé)實體可以收集更少的資料，并提供GDPR第10條和第11條所要求以外的額外資訊。如果某些保護(hù)措施GDPR并未要求其采取，信息控制者也可以主動提供，例如匿名化、隱名化技術(shù)以及定期的隱私風(fēng)險評估等。

在明確以上三項內(nèi)容的基礎(chǔ)之上，需要裁判者靈活運用價值沖突理論，通過權(quán)力位階以及比例原則這兩種方式對信息主體的權(quán)利和信息控制者的正當(dāng)利益進(jìn)行衡量［19］。只有當(dāng)信息控制者的正當(dāng)利益明顯超越信息主體的個人信息權(quán)之時，才能認(rèn)為其處理行為是正當(dāng)?shù)摹?/p>

六、我國構(gòu)建個人信息處理正當(dāng)性之特殊依據(jù)體系的立法建議

通過對GDPR中的個人信息處理正當(dāng)性的特殊依據(jù)進(jìn)行系統(tǒng)的分析，筆者對我國構(gòu)建個人信息處理正當(dāng)性之特殊依據(jù)體系提出以下四點建議，希望為未來的個人信息保護(hù)立法提供一些參考。第一，為了應(yīng)對當(dāng)代信息處理方式和目的的復(fù)雜性，我國立法必須同時規(guī)定個人信息處理正當(dāng)性的特殊依據(jù)和一般依據(jù)。第二，GDPR將特殊依據(jù)分為履行或訂立合同、遵守法定義務(wù)、為保護(hù)信息主體或他人的重大利益、為行使公權(quán)力、為信息控制者的正當(dāng)利益六種，這種劃分具有全面性、科學(xué)性、靈活性與合理性，幾乎能夠?qū)F(xiàn)有各種信息處理行為囊括在法律規(guī)定之中，建議我國立法在規(guī)定正當(dāng)性特殊依據(jù)時學(xué)習(xí)歐盟的這種劃分方法。第三，分析時，立法應(yīng)明確各種特殊依據(jù)的判定方法，以便于司法審判中認(rèn)定某一處理行為是否具有正當(dāng)性。第四，通過歐盟的個人信息立法我們可以看出，技術(shù)創(chuàng)造新的信息，GDPR的完美也并非一蹴而就的。所以建議我國立法應(yīng)對人信息處理正當(dāng)性之特殊依據(jù)體系進(jìn)行不斷的修改和經(jīng)驗積累，以使其符合社會發(fā)展的需求。

［1］［英］維克托·邁爾-舍恩伯格、肯尼思·庫克耶：《大數(shù)據(jù)時代》，盛楊燕、周濤譯，浙江人民出版社，2012：39.

［2］Article 29 Data Protection Working Party，Opinion 15/2011 on the definition of consent ［EB/OL］.（2011-07-13） ［2017-05-24］.http：//ec.europa.eu/justice/data -protection/article -29/documentation/opinion-recommendation/files/2011/wp187_en.pdf

［3］General Data Protection Regulation，Article 6 ［EB/OL］.（2016-04-27） ［2017-05-25］.http：//ec.europa.eu/justice/dataprotection/reform/files/regulation_oj_en.pdf.

［4］參見：江蘇省南京市中級人民法院（2014）寧民終字第5028號民事判決書。

［5］譚啟平.中國民法學(xué)［M］.北京：法律出版社，2015：367-370.

［6］馬俊駒，余延滿.民法原論.北京：法律出版社，2010：539.

［7］姜淑明.先合同義務(wù)及違反先合同義務(wù)之責(zé)任形態(tài)研究［J］.法商研究，2000（02）.

［8］General Data Protection Regulation，Article 5 ［EB/OL］.（2016-04-27） ［2017-05-25］.http：//ec.europa.eu/justice/dataprotection/reform/files/regulation_oj_en.pdf.

［9］General Data Protection Regulation，Article 9 ［EB/OL］.（2016-04-27） ［2017-05-25］.http：//ec.europa.eu/justice/dataprotection/reform/files/regulation_oj_en.pdf.

［10］齊愛民.論個人信息的法律保護(hù).蘇州大學(xué)學(xué)報（哲學(xué)社會科學(xué)版），2005（02）.

［11］Article 29 Data Protection Working Party，Opinion 4/2007 on the concept of personal data［EB/OL］.（2007-06-20） ［2017-05-24］.http：//ec.europa.eu/justice/data -protection/article -29/documentation/opinion-recommendation/files/2007/wp136_en.pdf

［12］General Data Protection Regulation，（46） ［EB/OL］.（2016-04-27） ［2017-05-25］.http：//ec.europa.eu/justice/dataprotection/reform/files/regulation_oj_en.pdf.

［13］最高人民法院辦公廳編.最高人民法院公報（2016年卷）.北京：人民法院出版社，2017：503.

［14］我國臺灣地區(qū)《電腦處理個人信息保護(hù)法》，第2條。

［15］齊愛民.中華人民共和國個人信息保護(hù)法示范法草案學(xué)者建議稿［J］.北方法學(xué)，2008（06）.

［16］張翔.財產(chǎn)權(quán)的社會義務(wù)［J］.中國社會科學(xué)，2012（09）.

［17］Vgl．Michael Stürner，Der Grundsatz der Verh ltnism?βigkeit im Schuldvertragsrecht，Verlag Mohr Siebeck 2010，S.23．

［18］付子堂.法律功能論［M］.中國政法大學(xué)出版社，1999：147.

［19］梁迎修.權(quán)利沖突的司法化解［J］.法學(xué)研究，2014（02）.

D923.8

A

1008-6323（2017）05-0030-05

20世紀(jì)70年代以來，幾乎世界各國的個人信息保護(hù)立法都將知情同意原則作為個人信息處理正當(dāng)性的首要來源。但隨著大數(shù)據(jù)時代的到來，數(shù)據(jù)的總量不斷增加?！叭祟惔鎯π畔⒘康脑鲩L速度比世界經(jīng)濟(jì)的增長速度快4倍，而計算機(jī)數(shù)據(jù)處理能力的增長速度則比世界經(jīng)濟(jì)的增長速度快9倍?！保?］面對如此龐大復(fù)雜的數(shù)據(jù)總量，若在所有個人信息處理中都恪守知情同意原則，對于數(shù)據(jù)經(jīng)濟(jì)和個人信息保護(hù)而言，這既不經(jīng)濟(jì)，更無法保障個人信息權(quán)。正如歐盟第二十九條個人資料保護(hù)工作組所指出的：“同意并非總是使信息處理合法化的主要或最可取的依據(jù)，當(dāng)其被加以擴(kuò)張或限制以適用于本來不適用的情況時，構(gòu)成有效同意的要素可能不復(fù)存在，因而可能對當(dāng)事人構(gòu)成重大損害，實務(wù)上亦削弱了當(dāng)事人的地位?！保?］為了解決這一問題，在20世紀(jì)末至21世紀(jì)初，許多國家制定或修改個人信息保護(hù)法時都基于某些情形的特殊性，相應(yīng)地增加了個人信息收集、處理、傳輸和利用正當(dāng)性的特殊依據(jù)，我國學(xué)界也將其稱之為知情同意原則的例外規(guī)定。

但各國所規(guī)定的正當(dāng)性特殊依據(jù)各不相同，如何在特定情況下正確理解與適用這些依據(jù)更是困擾著各國的立法者。歐盟于2016年4月27日通過的《一般數(shù)據(jù)保護(hù)條例》（以下簡稱GDPR）系統(tǒng)地規(guī)定了個人信息處理正當(dāng)性的特殊依據(jù)，包括為履行或訂立合同、遵守法定義務(wù)、為保護(hù)信息主體或他人的重大利益、為行使公權(quán)力、為信息控制者的正當(dāng)利益［3］。GDPR作為歐盟數(shù)十年個人信息保護(hù)司法實踐經(jīng)驗的立法成果，對我國具有重要的借鑒意義。因此，筆者希望通過本文對GDPR的六項特殊依據(jù)進(jìn)行逐一分析和解讀，并在此基礎(chǔ)上對我國如何規(guī)定個人信息正當(dāng)性特殊依據(jù)提供一些建議，以期為未來的《個人信息保護(hù)法》立法提供一些參考。

王進(jìn)，西南政法大學(xué)民商法學(xué)碩士。

2017-08-15

責(zé)任編輯：曹麗娟