刁勝先，劉 韻

（重慶郵電大學a.期刊社；b.網絡空間安全與信息法學院，重慶 400065）

一、數(shù)字經濟時代個人信息法律治理的宗旨

（一）個人信息構成數(shù)字經濟的基礎資源

數(shù)字經濟是以數(shù)字化的知識和信息作為關鍵生產要素，以現(xiàn)代信息網絡為重要載體，通過數(shù)字技術與實體經濟深度融合，不斷提高經濟社會的數(shù)字化、網絡化、智能化水平，加速重構經濟發(fā)展與治理模式的新型經濟形態(tài)①中國信息通信研究院《中國數(shù)字經濟發(fā)展白皮書（2020年）》第1頁。。在數(shù)字經濟時代，個人信息②個人信息也叫個人數(shù)據(jù)。對二者是否能夠完全等同，雖然學術界尚未形成一個統(tǒng)一定論，但在立法實踐中基本不做特別區(qū)分。域外立法上，《加州消費者隱私法案》與GDPR在行文中多處混用信息（information）與數(shù)據(jù)（data）兩詞；國內立法中，《中華人民共和國數(shù)據(jù)安全法》對“數(shù)據(jù)”的定義“以電子或者其他方式對信息的記錄”與《個人信息保護法》對“個人信息”的定義“以電子或其他方式記錄的……信息”在用詞上也相差無幾。為方便對核心問題進行集中討論，本文在后續(xù)論述時不對二者做特別區(qū)分。的“石油價值”展露無遺，是數(shù)字經濟得以運行的源代碼，具備難以替代的基礎資源作用，其價值屬性日漸多元，至少表現(xiàn)為三個方面[1]：第一，產生時體現(xiàn)出個人基本權利中的人格尊嚴與自由[2]；第二，流通時表現(xiàn)出商業(yè)化等財產價值；第三，集中后承載著言論自由、國家與社會安全等公共利益。

《中華人民共和國民法典》（以下簡稱《民法典》）第1034條將個人信息定義為“以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人的各種信息”；《中華人民共和國個人信息保護法》（以下簡稱《個人信息保護法》）第4條則表述為“以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息，不包括匿名化處理后的信息”?？梢姡翱勺R別”成為關鍵詞[3]，前者采取“能夠識別”的可能性標準，包括“單獨識別”與“結合識別”；后者采取“有關”標準，對象限定為“已識別”或“可識別”兩種情形，較前者擴大了內涵與外延[4]。從加強保護角度看，這賦予“有關”以自由裁量權，便于動態(tài)地、場景化地認定個人信息；但從操作性看，“有關”標準凌駕于“識別”標準之上，其界限過于模糊與寬泛，容易造成濫用，不利于數(shù)字經濟下個人信息的利用與數(shù)據(jù)產業(yè)的發(fā)展。因此，具體制度設計上，個人信息保護與限制的平衡已構成內在需要。

（二）數(shù)字經濟時代個人信息法律治理宗旨是公私兼顧的利益平衡

在數(shù)字經濟時代，個人信息的聚合與處理對于國家安全、經濟發(fā)展與社會福祉等公共利益已然具備無法忽視的影響力，因此公私兼顧的利益平衡成為個人信息法律治理的宗旨。一方面，保護個人信息私權益是數(shù)字經濟可持續(xù)發(fā)展的基本前提。目的上，提高個人幸福感是數(shù)字經濟下個人信息處理的終極目標之一；為發(fā)展數(shù)字經濟而犧牲掉私權益的行為從一開始便有違于此，屬于本末倒置。過程上，忽略私權益保護的數(shù)字經濟發(fā)展將得不償失，因為信息主體會面臨其個人信息被泄露或濫用等風險，而信息處理者也會難堪訴累。結果上，若不強調私權益保護的必要性，極易導致信息處理者在激烈競爭中肆意犧牲處于技術弱勢地位的信息主體，將數(shù)字經濟推向惡性發(fā)展的深淵。另一方面，限制個人信息私權益保護是數(shù)字經濟發(fā)展的必然要求。個人信息被寫入《中華人民共和國刑法修正案（九）》《民法典》《個人信息保護法》等法律中，這確認了其公私利益兼具的法益屬性。信息收集者、使用者等關涉主體的多元化和信息搜集、使用等處理行為的多樣化表明，個人信息已成為數(shù)字經濟發(fā)展的核心樞紐之一，越發(fā)體現(xiàn)出社會公共性[5]。如何在個人信息人格利益不受非法侵害的基礎上對其進行開發(fā)利用、實現(xiàn)多元價值，已成為數(shù)字經濟發(fā)展的關鍵問題[6]。

二、個人信息合理處理的制度源流

（一）源起：著作權合理使用制度及借鑒

1.個人信息與著作權在合理使用上的耦合

著作權合理使用制度是指著作權人以外的人在法律規(guī)定條件下可以不經著作權人許可、不向其支付報酬而使用其作品的行為規(guī)范[7]。其特征為：無需同意、無需付費③是否付費因不同國家地區(qū)的立法與具體情形而不完全相同，我國目前主要表現(xiàn)為無需付費。、直接使用以及違法阻卻，具體使用行為表現(xiàn)為復制、展覽、表演、信息網絡傳播以及改編等。我國立法中并未明確“合理使用”這一說法，該概念主要為學界所用，并對應《中華人民共和國著作權法》（以下簡稱《著作權法》）第2章“著作權”第4節(jié)“權利的限制”下第24條規(guī)定④該節(jié)下共兩個條文，第25條對應學術界的“法定許可”內容，即未經許可、但需付報酬的使用情形。該立法表明，立法上的著作權限制制度包含學術界的合理使用與法定許可兩種類型。。

從借鑒角度綜觀私權益限制制度，著作權合理使用制度對于個人信息限制制度的參考性與適配度較高。首先，個人信息與作品同屬信息，都具有非物質屬性、可傳播、可共享等特點，這構成兩者相互借鑒的邏輯起點。其次，宗旨相同。兩者都秉持衡平原則，以平衡公益與私益。著作權合理使用旨在平衡科學、文化行業(yè)發(fā)展等公共利益與個人基于創(chuàng)新激勵所能獲得的私人利益，而個人信息合理處理所平衡的則是數(shù)字經濟時代社會發(fā)展需求與信息主體的私權益。最后，發(fā)揮價值的法律機制與方式手段相同：即以自愿授權或非自愿許可方式為使用核心，構建作品或個人信息的價值利用機制。抽象層面，兩者都以個人為中心進行制度設計，即在各自個人權益保障體系中的“授權許可”或“知情同意”基礎上搭建一條可以“繞行”的例外規(guī)則。具象層面，無論是《著作權法》第24-25條，還是《個人信息保護法》第13條等，其規(guī)范邏輯均是在一般原則條款指導下，采用“概括式列舉+兜底性條款”的開放式規(guī)定和適合“立法+司法”的雙軌模式。因此，個人信息可以借鑒著作權合理使用制度。

2.個人信息與著作權在合理使用上的區(qū)別

雖然著作權與個人信息在合理使用上可以實現(xiàn)方法論層面的互通互鑒，但后者不能完全照搬與機械套用前者；只有明確二者差別，才能在有機融合后提煉和沉淀出適合各自的規(guī)則和制度。首先，產生背景與客體不同。著作權誕生于工業(yè)社會，是商品經濟下精神產品的商品化表現(xiàn)[8]，客體為智力成果，其合理使用主要針對經濟利益，即著作財產權部分；而個人信息亮相于信息社會，是數(shù)字經濟的發(fā)展要素，表現(xiàn)為人格利益屬性的個人數(shù)據(jù)，其經濟價值只能附屬在人格利益上。其次，承載的利益與價值不同。著作權合理使用意在平衡其作為文化資源的經濟價值，保護與激勵個人是階段性的、手段性的，終極目的是平衡作者個人利益與社會公眾利益，為人類提供更多公共的文化資源并傳承下去。而個人信息所承載的利益首先是人格尊嚴屬性的主體價值，并不會必然表現(xiàn)出附屬性的經濟價值；基于“主體性的人本身才是目的”這一基本認識，個人信息私權益的保護與限制屬于一體兩面的同步存在，沒有階段性與終極性的區(qū)別。最后，權益立場與行為表現(xiàn)不同。在權益立場上，著作權合理使用在經濟層面將作者預期的經濟收益重新分配，致其潛在市場收益減少；而對于信息主體，合理使用是為公共利益、他人必要利益與自身其他利益而接受對個人信息自控權利的限制，其人格利益損害風險會因此增加。在行為層面，為避免合理使用對權利人合法利益的損害，著作權合理使用需要盡力降低對原權利人潛在市場的影響，將作者與作品捆綁打包，標明來源等；相反，個人信息合理使用最需要信息脫敏，將信息與個人解綁，在行為人義務體系搭建中需要強調信息處理的轉換性以及與信息主體的切割程度。

（二）立法確立：從人格利益合理“使用”到個人信息合理“處理”

《民法典》第999條作為新增條款⑤該條正面規(guī)定“為公共利益實施新聞報道、輿論監(jiān)督等行為的,可以合理使用民事主體的姓名、名稱、肖像、個人信息等”，同時反面規(guī)定“使用不合理侵害民事主體人格權的,應當依法承擔民事責任”。，正式確立了人格利益合理使用制度，其立法表述“合理使用”較著作權領域限于學理表述的情況更加明確。但是，《民法典》并未對該條確立的姓名、名稱的合理使用具體展開，只對肖像和個人信息作出進一步規(guī)定，其中第1020條封閉式列舉了五種可以不經肖像權人同意而合理實施肖像的情形⑥具體包括：(一)為個人學習、藝術欣賞、課堂教學或者科學研究,在必要范圍內使用肖像權人已經公開的肖像;(二)為實施新聞報道,不可避免地制作、使用、公開肖像權人的肖像;(三)為依法履行職責,國家機關在必要范圍內制作、使用、公開肖像權人的肖像;(四)為展示特定公共環(huán)境,不可避免地制作、使用、公開肖像權人的肖像;(五)為維護公共利益或者肖像權人合法權益,制作、使用、公開肖像權人的肖像的其他行為。。值得注意的是，第999條雖然使用“合理使用”一詞，但并未明確其要件；而第1020條明確提出肖像合理使用的要件是“不經肖像權人同意”，但對于是否支付報酬、其法律后果如何等沒有直接明確。對于個人信息，第1036條則從“行為人不承擔民事責任”的免責角度規(guī)定三種處理情形⑦具體包括：(一)在該自然人或者其監(jiān)護人同意的范圍內合理實施的行為；(二)合理處理該自然人自行公開的或者其他已經合法公開的信息,但是該自然人明確拒絕或者處理該信息侵害其重大利益的除外；(三)為維護公共利益或者該自然人合法權益,合理實施的其他行為。。有學者認為該條前兩項“不屬于個人信息的合理使用情形，其是基于意思自治而對人格權的許可使用，屬于人格權的意定限制而非其法定限制”[9]。

《個人信息保護法》第13條第一款第（二）至（七）項可被認為是對《民法典》個人信息合理使用的發(fā)展，將用語“合理使用”變?yōu)椤昂侠硖幚怼保涮幚怼安恍枞〉脗€人同意”，但未明確是否支付報酬?！疤幚怼睂τ趥€人信息具有特定含義，即《民法典》第1035條明確為“個人信息的收集、存儲、使用、加工、傳輸、提供、公開等”行為。顯然，其內涵與外延不能完全等同于著作權的“使用”。因此，對個人信息，筆者贊同并采用“合理處理”的表述，但與“合理使用”不矛盾，在沒有特別說明時，二者可在“合理使用”語境下通用。

（三）發(fā)展：個人信息合理處理的制度展開

隨著個人信息事實處理行為的出現(xiàn)，我國立法與司法在應對相關糾紛中逐漸確立了合理處理制度。首先，司法中合理處理的制度邏輯在相關案例中得以適用，如在“凌某某與微播視界公司網絡侵權責任糾紛案”中，法院在裁判說理時參考著作權合理使用中的“三步檢驗法”與“四因素說”而創(chuàng)設了“三方面說”，體現(xiàn)了合理處理制度的司法適配性。其次，立法上我國個人信息合理處理制度已初具雛形，例如：《民法典》第999條規(guī)定的人格利益合理使用、第1036條規(guī)定的處理個人信息的免責事由⑧具體包括取得同意后在同意范圍內的合理實施行為、合理處理自行公開等已經合法公開的信息的行為（自然人明確拒絕或行為侵害其重大利益除外）以及為維護公共利益或保護該自然人合法權益而合理實施的行為。、《個人信息保護法》第13條規(guī)定的可以處理個人信息的七類情形。由此，我國個人信息合理處理制度表現(xiàn)出“立法與司法”雙軌展開、“一般法+特別法”、“一般條款+具體規(guī)范+專門條款”的立體結構，但是由于溯源上可供借鑒的著作權合理使用制度在立法中并未明確、個人信息合理處理制度尚屬初建，其制度展開中還存在較多問題需要探討和完善。

三、個人信息合理處理的界定考量與具體情形

（一）“合理性”界定：標準+構成要件+考量因素

英國法官丹寧勛爵曾在1972年Hubbard and Another v.Vosper and Another一案的裁判書中寫道：“什么是‘合理使用’是不可能明確界定的，這必須是一個程度問題。[10]”“合理性”標準是個人信息合理處理制度的核心問題，對此從立法與司法兩方面進行探討。

1.立法技術：“因素主義”與“規(guī)則主義”

國際上個人信息處理的“合理性”認定可總結為兩種立法技術，即“因素主義”與“規(guī)則主義”⑨“因素主義模式”與“規(guī)則主義模式”最初用于對比分析以美國版權法“四因素說”為代表的合理使用制度模式與其他僅列舉具體情形的合理使用制度的立法模式。。前者指通過確認行為是否符合法律規(guī)定中應當考慮的因素來判定其“合理性”，后者則是明確規(guī)定行為的具體情形或類型[10]。但現(xiàn)實立法中，很少僅僅采取一種主義，而是常常融合二者，不是在“因素”下列舉具體規(guī)則就是在“規(guī)則”中蘊含著多種因素。

日本《個人信息保護法》第16條在明確“須本人同意并基于特定目的、在必要范圍內”得以處理個人信息的基礎上，規(guī)定了四種例外：以法令為依據(jù)的情形，難以取得本人同意的兩種必要情形（為保護任意人生命、身體或財產的必要，為提高公眾衛(wèi)生或推進兒童健康成長的特殊必要），協(xié)助執(zhí)法的必要情形（執(zhí)法事務主體限于國家機關或地方公共團體或者受其委托的主體，且取得本人同意可能導致執(zhí)行障礙）。美國《加州消費者隱私法案》第1798.100（d）款也將合同約定、檢測安全事件、行使言論自由、法定義務以及公共利益等規(guī)定為例外情形。歐盟GDPR雖然設定了相對嚴厲的個人數(shù)據(jù)保護標準，但允許數(shù)據(jù)控制者在特定場合出于其合法利益處理數(shù)據(jù)，前提是證明其合法利益顯著高于個人私權益、明確界定權利限制范圍以及符合比例原則。我國《民法典》與《個人信息保護法》相關條款都是具體類型或情形的列舉，并未明確給出通用的因素判定公式。

目前，境內外關于個人信息合理處理的主要立法偏向于“規(guī)則主義”，但同時蘊含著部分共同因素，比如法定義務或法令規(guī)定、公共衛(wèi)生及安全等公共利益、特殊或必要的私人利益等。當然，對相同因素的具體列舉或表述，不同立法文本表現(xiàn)有別。

2.司法依據(jù)：“三步檢驗法”與“四因素說”

目前，關于個人信息合理處理標準的探討方興未艾，有觀點認為應采用“雙清單模型”，即同時滿足“開放情形清單”與“開放評估清單”[11]；也有觀點提出以隱私風險作為“合理使用”的衡量標準，根據(jù)具體場景中的風險評估采取差異化保障措施[12]。事實上，著作權合理使用制度中的“合理性”判準也有較強參考性，典型者有“三步檢驗法”與“四因素說”。

“三步檢驗法”作為國際社會普遍采用的傳統(tǒng)準則，是著作權合理使用的主流認定方法，其三步為：是否為法定特殊情形、是否影響權利人的正常使用以及是否不合理損害權利人的合法權利。我國《著作權法》第24條的具體情形屬于第一步，而《著作權法實施條例》第21條則分別對應第二步和第三步⑩《著作權法實施條例》第21條：“依照著作權法有關規(guī)定，使用可以不經著作權人許可的已經發(fā)表的作品的，不得影響該作品的正常使用，也不得不合理地損害著作權人的合法利益?！?。

“四因素說”作為著作權合理使用制度的新興標準，是指在認定作品使用行為合理與否時應結合四種因素進行考量：使用行為的目的與性質、被使用作品的性質、被使用的部分與整部作品的比例關系、使用行為對被使用作品潛在市場的影響[7]。我國最高人民法院2011年發(fā)布的《關于充分發(fā)揮知識產權審判職能作用推動社會文化大發(fā)展大繁榮和促進經濟自主協(xié)調發(fā)展若干問題的意見》（以下簡稱《意見》）第8條也有類似規(guī)定?《意見》第8條：“在促進技術創(chuàng)新和商業(yè)發(fā)展確有必要的特殊情形下，考慮作品使用行為的性質和目的、被使用作品的性質、被使用部分的數(shù)量和質量、使用對作品潛在市場或價值的影響等因素，如果該使用行為既不與作品的正常使用相沖突，也不至于不合理地損害作者的正當利益，可以認定為合理使用?！薄Ｔ诿绹雀钄?shù)字圖書館一案中，法院在終審判決中采用“四因素說”，以轉換性因素（使用行為的目的與性質）與市場因素（使用行為對被使用作品潛在市場的影響）為主、其余兩個因素為輔進行合理性說明，具有典型意義[13]。

可見，“三步檢驗法”重在認定流程，其構成要件在邏輯上層層遞進；“四因素說”重在認定依據(jù)，提供的考量因素雖非線性，但更為具體、實操性更強。需注意的是，兩種方法雖然適用的背景、國家地區(qū)以及判例都有很大不同，但本質上相通互補，說理邏輯并不沖突。例如，“四因素說”中的轉換性因素，可以成為“三步檢驗法”中判斷是否影響權利人正常使用的衡量因素。二者是兩種不同的方法論，從不同角度來判定行為的合理性。有觀點主張，三步檢驗法用以確定合理使用的構成要件，即三步必須同時具備；但是，四因素則為考量因素，并不要求同時具備，甚至考量因素之間可以相互沖突、進而由法官側重選取某個因素進行裁量[14]。的確，立法上，“三步檢驗法”已被轉化為規(guī)則主義的構成要件，相對穩(wěn)定、不可或缺；而所謂考量“因素”，卻未必都上升為立法，即便在立法中也不必然穩(wěn)定不變，而可能與時俱進地增減變更。對此，認定個人信息合理處理時可以借鑒。

3.小結

雖然個人信息屬于人格利益，而作品主要屬于知識財產，但二者具有非物質性、可傳播共享性、兼具公私利益屬性，以及在利用中尋求保護與限制的利益平衡等共同特點，因此在合理性判斷標準上具備移植借鑒的適配性。若將兩種思路綜合應用于個人信息合理處理制度，則其構成要件可參考三步檢驗法，依“合理性”標準確立為：法律明確規(guī)定的特定情形、不影響信息主體的正常使用以及不損害信息主體的正當權益。在構成要件的具體認定中，考量因素可借鑒四因素說，明確為：信息處理行為的目的與性質、被處理信息的性質、被處理后的信息與原信息主體之間的關聯(lián)性、信息處理行為對信息主體既有權益的影響；對該四因素不要求同時具備，并允許其存在沖突，此時應結合個案情況對其主要因素加以判斷。但是，個人信息以人格屬性為主，作品以財產屬性為主，這決定著作權合理使用制度不能被完全照搬至個人信息合理處理制度中；必須直面二者區(qū)別，才能構建完全貼合各自屬性的限制制度。

（二）我國個人信息合理處理的立法情形分析

綜觀合理處理具體情形的立法例，可總結為“封閉式列舉”“類型化列舉”與“開放式列舉”三類。“封閉式列舉”指逐一列舉例外情形且沒有兜底性條款，如GDPR，對權利限制采取謹慎與限縮態(tài)度，司法自由裁量空間較小?！邦愋突信e”則以提取“公因式”替代窮舉方式，如《民法典》第999條將“公共利益”作為人格利益合理使用的核心要素進行歸納；該方式在釋法上更為靈活，但可能出現(xiàn)類型不夠清晰、具體和全面的問題，容易擴大解釋而超越“合理”邊界、進而侵害權利人權益?！伴_放式列舉”是由具體情形加“其他規(guī)定”作為兜底性條款的立法方式，兼具前兩種方式的優(yōu)點，能適應社會的飛速發(fā)展，但兜底項的司法裁量空間大、容易在利益間失衡，應謹慎適用。關于個人信息合理處理的具體情形或類型，各國和地區(qū)的規(guī)定異同并存，以下主要結合《民法典》與《個人信息保護法》，以具體場景中的利益比較與限制作為線索進行歸納。

1.公共利益對私權益的限制

《民法典》第999條“人格利益的合理使用”是以公共利益為核心的概括性規(guī)定，第1036條規(guī)定公共利益可以作為處理個人信息的免責事由；《個人信息保護法》第13條也規(guī)定，為應對突發(fā)公共衛(wèi)生事件下的行為、為履行法定職責或義務的行為、為公共利益實施新聞報道等行為，可以被認定為合理處理。例如健康碼的使用，就屬于公共衛(wèi)生安全在特定條件下優(yōu)先于個人權益的情形[15]。在“吳某濤與遼寧省沈陽市公安局和平分局沈水灣派出所不履行法定職責糾紛上訴案”中，法院判定律師接受委托人的委托、經事務所指派調查被起訴人的個人信息行為符合《中華人民共和國律師法》第35條第2款規(guī)定，應予支持?遼寧省沈陽市中級人民法院（2019）遼01行終743號行政判決書。，此情形便屬于履行法定職責或義務這一事由?？梢?，我國個人信息合理處理規(guī)定中，以公共利益限制私權益的情形已經形成“一般規(guī)定+具體內容”的框架；同時，針對公共利益概念過于模糊的特點，立法中特別列舉出“應對突發(fā)公共衛(wèi)生事件”“為履行法定職責或法定義務”“為公共利益實施新聞報道、輿論監(jiān)督”等幾種具體的合理處理情形。

2.基于信息主體自身私權益的限制

首先，當個人信息主體明示或默示限制自身的相關私權益時，對該部分信息的處理行為構成合理處理。根據(jù)《民法典》第1036條，若處理的個人信息是在該自然人或其監(jiān)護人同意的范圍內，或者已經合法公開的，該行為構成合理處理。上述兩種情況中，自然人或其監(jiān)護人的同意是明示放棄自身對個人信息的絕對控制，屬于權益主體對私權益的明示限制。而已經合法公開的信息被先行推定為權益主體同意其他主體處理信息，除非明確拒絕或者行為侵害其重大利益，該情形屬于默示同意。

《個人信息保護法》第13條第6項規(guī)定“在合理的范圍內處理個人自行公開或者其他已經合法公開的個人信息”，也屬于權益主體對私權益限制的情形。當然，有學者認為，該種情形屬于意定限制和許可使用范疇，不應屬于合理處理，“因為權利人自行公開或其他已經合法公開的個人信息意味著普遍授權”[16]。筆者認為，該推理難以成立，因為公開只意味著讓人知曉，而不是任由人處理，該情形下合理處理的依據(jù)歸根結底還是來自于法律規(guī)定，因為“默示推定”的法律意思必須以法律規(guī)定為前提，否則會變成“一千個人眼里有一千個哈姆雷特”而失去法律的確定性與嚴謹性。同時，該情形下使用者如果不需支付報酬和不承擔法律責任，則可納入合理處理范疇。為防止該處凌駕于“授權同意”之上的法律規(guī)定過于強硬而傷及權利人意志，法律同時規(guī)定了事后“明確拒絕”或“侵害其重大利益”的例外情形，故可認為，這屬于相對的合理處理情形。有學者認為，套用“著作權合理使用屬于非授權許可使用”的學界主流認識，個人信息的該種使用不屬于合理使用，而是信息主體的授權使用，包括明示授權與默示推定授權[17]。但是，合理使用是屬于法定許可還是意定許可，即便在著作權領域，也主要是學術上的一種技術分類，而不是來自于“合理與否”這一根本性標準。換言之，在廣義與實質意義上，對個人信息該種情形的處理，因滿足“不需特定情形下單獨許可、不需支付報酬、使用情形合理”等核心含義，而將其歸入學理上的“合理使用”并無不當，至于立法上基于技術性需要而另行分類，則可再做探討。而且，《著作權法》第24條第一款第“（四）”項規(guī)定“報紙、期刊、廣播電臺、電視臺等媒體刊登或者播放其他報紙、期刊、廣播電臺、電視臺等媒體已經發(fā)表的關于政治、經濟、宗教問題的時事性文章，但著作權人聲明不許刊登、播放的除外”，該處著作權人“不聲明”的情形為合理使用，其實質也是著作權人默認的授權情形，只是該種情形被法定化而已；但如果明確聲明加以除外，則是對這種默認情形的否定。因此，對合理使用、法定許可等權利限制形式，立法上除了采取直接法定化并不允許以約定排除的剛性立法外，還采取“選擇退出”模式進行柔性限制，即雖然將默示授權法定化，但允許權利人在具體情形中以“聲明”加以排除、從而退出被限制的范圍。該種情形下,對個人信息“明示棄權”或“合法公開”與上述時事性文章“已經發(fā)表”的旨趣一致，基于同理而可歸屬于合理使用?！睹穹ǖ洹返?036條中“在該自然人或其監(jiān)護人同意的范圍內”的處理，其“合理性”不言而喻，但在技術劃分上已含在“信息主體同意”的處理范圍，故無必要再劃入“合理處理”，對此，修訂立法時可再斟酌完善。

其次，當其他主體為了信息主體自身利益處理個人信息時，可構成合理處理。比如，歐盟GDPR第6條規(guī)定便包括“為了數(shù)據(jù)主體……所追求的合法利益所必需”，韓國《個人信息保護法》第15條規(guī)定“當數(shù)據(jù)主體……的生命、身體或經濟利益面臨即將發(fā)生的危險，有保護之必要”。該情形與見義勇為、緊急避險等精神契合，有利于弘揚社會正能量。但實踐中需要把握好度，嚴格遵循比例原則，在純粹只關信息主體私人利益時，可賦予其明確拒絕的權利以尊重其意志，同時防止使用者借“為你好”之名而行“損害你”之實。

3.基于其他主體私權益的限制

除了公共利益以及信息主體自身利益的限制，同一位階序列的其他主體私權益能否在特定情形下對信息主體私權益加以限制呢？在一場室內音樂會中，觀眾A發(fā)現(xiàn)自己的錢包落在座位上被周圍某一觀眾撿走，此時觀眾A請求場地負責人讓自己查看現(xiàn)場監(jiān)控以及觀眾信息用以尋找拾包者，該要求有其正當性，能否構成個人信息合理處理事由呢？事實上，歐盟GDPR第6條便包括“處理是……為第三方所追求的合法利益所必需”，我國臺灣地區(qū)《個人資料保護法》第16條與第20條也有他人權益對信息主體私權益的限制情形[18]。我國《個人信息保護法》第13條第2款“為訂立、履行個人作為一方當事人的合同所必需”、第4款“緊急情況下為保護自然人的生命健康和財產安全所必需”等規(guī)定即屬此種情形，較GDPR而言，將得以限制的主體從第三方擴展到相對方，范圍更廣。

（三）我國個人信息合理處理的司法情形分析

在《民法典》與《個人信息保護法》實施之前，個人信息保護與限制之間的衡平已然出現(xiàn)在一線司法案例之中，其爭議焦點和判決理由與兩部法律高度契合，鋪墊了個人信息合理處理的制度空間。除公權益限制情形外，典型案例中對私權益限制與商業(yè)利益限制情形爭議較大。

1.私權益限制：“閆某與北京新浪互聯(lián)信息服務有限公司等糾紛案”

原告閆某在新浪微博等網站頁面上發(fā)現(xiàn)某博主發(fā)表了涉及其個人隱私的文章，遂以被告北京新浪互聯(lián)信息服務有限公司等侵犯其隱私權和名譽權為由起訴，請求判令被告承擔侵權責任并向其提供博主個人信息。經審理，法院最終判決被告承擔相應責任，并在技術能及范圍內向原告披露涉事博主個人信息?最高人民法院2014年10月9日公布的八起利用信息網絡侵害人身權益的典型案例。。

本案一大爭議焦點是：當侵權人在網絡上擅自發(fā)布被侵權人隱私信息，被侵權人是否有權要求網絡服務商向其提供侵權人相關信息。本案法院認為網絡侵權本具有匿名性，若被侵權人無法得知侵權人相關信息將難以行使訴權。雖然法律規(guī)定網絡服務商對用戶信息有保密義務，但當被侵權人主張合法權利時，網絡服務商應在技術能力范圍內和法院允許的情況下將涉事用戶個人信息如實向被侵權人披露。本案法院裁判的“合理性”正是以被侵權人私權益來限制侵權人個人信息權益的早期司法實踐。原告本無權獲得用戶個人信息，但由于自身權益遭到侵害，其向網絡服務商申請獲得涉事博主相關信息的要求具備正當性，獲得侵權人的個人信息成為維護受害人私權益的必要前提；后者被侵害的權益優(yōu)先于前者的個人信息權益，即為維護第三人合法權益而處理他人個人信息的限制事由有其必要性、可行性與正當性。當然，隨著立法的完善，從網絡服務者角度，獲取或提供用戶個人信息，也是基于法定義務的合理處理?《中華人民共和國網絡安全法》第24條規(guī)定：“網絡運營者為用戶辦理網絡接入、域名注冊服務，辦理固定電話、移動電話等入網手續(xù)，或者為用戶提供信息發(fā)布、即時通訊等服務，在與用戶簽訂協(xié)議或者確認提供服務時，應當要求用戶提供真實身份信息。用戶不提供真實身份信息的，網絡運營者不得為其提供相關服務?！薄吨腥A人民共和國電子商務法》第27條規(guī)定：“電子商務平臺經營者應當要求申請進入平臺銷售商品或者提供服務的經營者提交其身份、地址、聯(lián)系方式、行政許可等真實信息，進行核驗、登記，建立登記檔案，并定期核驗更新?！?。

2.商業(yè)利益限制：“凌某某與微播視界公司網絡侵權責任糾紛案”

原告凌某某認為被告微播視界公司旗下抖音APP在沒有授權的情況下，獲取用戶微信好友信息并將其推薦為“可能認識的人”，侵害了其隱私權與個人信息權，并據(jù)此起訴。經審理，法院最終判決被告刪除通過軟件收集的原告姓名以及地理位置等信息、書面道歉并賠償相應損失?北京互聯(lián)網法院（2019）京0491民初6694號民事判決書。。

法院認為，被告對用戶通訊錄信息的收集、讀取與匹配行為除了滿足或促進用戶在抖音APP的社交需求外，還具有一定的商業(yè)目的，但“個人信息的合理使用并不必然排除出于商業(yè)目的的使用”，因此被告的讀取與匹配行為屬于合理處理。值得思考的是，單純的商業(yè)利益是否能夠限制信息主體私權益而成為個人信息合理處理的事由之一？數(shù)字經濟時代下，個人信息成為各大企業(yè)的核心資源，基于商業(yè)目的的個人信息處理行為自是常態(tài)，但這并不等于商業(yè)目的成為個人信息處理的正當性支撐。從立法理念上講，個人信息合理處理行為是一般情形下的例外規(guī)定，是可以免責的“特殊情形”，而基于商業(yè)目的的個人信息處理行為屬于一般情形，是需要規(guī)范的“常態(tài)”，兩者屬性根本不同。司法中，基于商業(yè)目的的個人信息合理處理會因過于寬泛而增加審判的不確定性，不利于司法衡平。一般情況下，基于商業(yè)目的的個人信息處理行為規(guī)范還是應當落腳于信息主體的授權上，這也是目前更為普適的實踐路徑。在數(shù)字經濟時代，企業(yè)與個人之間的商業(yè)往來依然需要盡量保證雙方平等的交易地位與權益空間。因此，單純商業(yè)利益不應成為個人信息合理處理的事由之一；只有如該判例中，被告的商業(yè)利益成為滿足原告先行且主要目的——使用抖音APP的附屬目的時，才具備合理性。因為此時原告為獲得更大的利益——使用抖音APP，就應當容忍被告合理地對其個人信息進行“讀取與匹配”并從中實現(xiàn)商業(yè)目的。但是，被告借機“收集原告姓名、手機號碼以及地理位置等信息”的行為，顯然超出原告獲得服務的必要范圍而擴大自身的商業(yè)利益，進而侵犯原告的個人信息權益，因此該超出部分不具備合理性而構成侵權。綜上，對商業(yè)目的的使用，不能簡單地判斷是否構成合理處理，而要對使用者的商業(yè)利益與信息主體的獲益目的進行因果關聯(lián)與主次關系的考量。

四、數(shù)字經濟時代我國個人信息合理處理制度的完善

我國個人信息合理處理制度并非“平地起高樓”，目前不缺基本盤，但需要明確不同法律、條款之間的銜接與適用關系，以及不同情形下信息主體私權益與公共利益、第三人私權益等之間的序位，進而串珠成鏈，形成一個相對完整而嚴謹?shù)闹贫润w系。對此，嘗試建議以供參考。

（一）加強立法條款的系統(tǒng)性：基礎+類型+具體情形+兜底規(guī)定

個人信息合理處理制度的主要內容已然蘊含在《民法典》與《個人信息保護法》的相關條款中，但目前不同法律、不同條款之間的銜接適用需要進一步明晰，應將其置于完整、系統(tǒng)的立法中，避免交叉重疊，以增強制度規(guī)則體系的有機性與體系性。筆者認為，個人信息合理處理制度的立法框架可以將《民法典》第999條“人格利益的合理使用”條款作為基礎，并以三步檢驗法為內容確立其一般要件；再以《民法典》第1036條“處理個人信息的免責事由”中的類型化規(guī)定為骨架；最后以《個人信息保護法》第13條的開放式具體規(guī)定為脈絡。在司法實踐中，可以先依據(jù)《個人信息保護法》第13條進行對比認定；若無法確定，則可就該規(guī)定兜底性條款中的“法律、行政法規(guī)規(guī)定的其他情形”往上找到《民法典》第1036條的類型化規(guī)定與第999條的三步檢驗法，以及其他特別法的特別規(guī)定，由此形成一個較為靈活且高效的“合理使用”立法體系與認定程序。

（二）明確個人信息合理處理的結構定位與構成要件

1.確立“合理”標準并將其內涵明確和細化

在個人信息處理的規(guī)則體系中，確立合理的分類標準，明確相關制度的適當邊界，以確保個人信息合理處理制度更具邏輯性、科學性與合理性。該“合理”的處理標準，內涵包括：（1）處理行為的依據(jù)合理，并被法定化，不需要信息主體的意定授權；（2）處理行為的方式方法合理，不能以不適當甚至不必要的加害方式進行處理，該層含義已蘊含在《民法典》第1036條“合理實施”的表述中；（3）處理行為對信息主體造成的后果合理，即“合理損害”，不能造成“不合理損害”。對此，在實踐認定中，需對人格尊嚴和財產利益進行雙重考量，要求恪守法律的強制性規(guī)定和比例原則等要求，前述第（2）（3）兩點即是比例原則的具體體現(xiàn)。

3.個人信息合理處理的構成要件

個人信息合理處理的構成要件應包括：（1）法律明確規(guī)定，可采取“列舉+其他”模式；（2）不影響信息主體的正常使用；（3）不會不合理損害信息主體的合法權益。鑒于該制度本質上是對個人信息權益的限制，對其特征、定位及要件建議見表1。

表1 個人信息合理處理的構成要件

綜上，個人信息合理處理可定義為：“個人信息處理者在法律規(guī)定的條件下可以不經個人信息主體同意、不向其支付報酬而處理個人信息的行為，并且不得影響信息主體的正常使用，也不得不合理損害信息主體的合法權益?！逼涮卣鳛椋簾o需同意、無需付費、直接使用以及違法阻卻，具體可表現(xiàn)為個人信息的收集、存儲、使用、加工、傳輸、提供、公開等行為。

（三）完善個人信息合理處理的法律規(guī)定

關于個人信息合理處理，我國立法雖有較多內容，但具體情形尚有增補空間。例如，早在2014年便出現(xiàn)因實現(xiàn)第三人合法權利所需而合理處理相關主體個人信息的糾紛，且司法中得到了法院支持。對現(xiàn)有立法的完善，建議如下：

1.《民法典》第999條規(guī)定保持不變

因為該條總括性地針對姓名、名稱、肖像、個人信息等具有優(yōu)先序位的人格利益確立合理使用制度，所以對其得以限制的利益類型應當限于“為公共利益實施新聞報道、輿論監(jiān)督等行為”，同時用語保留為“合理使用”而不必改為“合理處理”。此種情形下，三步檢驗中的“不得影響信息主體的正常使用”“不得不合理地損害信息主體的合法權益”已不言而喻蘊含其中，故無必要畫蛇添足。

2.對《民法典》第1036條“處理個人信息......不承擔民事責任”的內容增加一項：“（四）為維護或實現(xiàn)他人合法權益所必要而處理的行為”

該條是針對個人信息處理行為免責事由的規(guī)定，雖然不是專門服務于個人信息合理處理，但應盡可能包含各種類型；相對于《民法典》第999條僅基于公共利益的限制，該條第一款第（三）項已增加了“為維護該自然人合法權益”的限制類型。但是，鑒于個人信息在數(shù)字社會的基石地位和制度的周延性，為維護或實現(xiàn)第三方合法權益所必要的處理已成剛需，故有必要增設該類權益的限制。當然，一般情況下，信息主體的私權益與他人私權益處于平等地位，若以后者限制前者，應當符合“合法權益”與“必要”兩個條件。同時，若該行為侵害了信息主體的重大利益，行為人依舊需要承擔補償責任；如果實踐中他人難以證明己方權益的優(yōu)先性，可以訴至法院從而獲取公權力背書。該類型與緊急避險和正當防衛(wèi)發(fā)生競合的，適用競合規(guī)則，由當事人選擇行使。

3.在《個人信息保護法》中完善相關條款

《個人信息保護法》為特別法，需以《民法典》為指導，可在立法體系的完整性與司法實踐的可操作性等方面加以完善。建議在該特別法第2章“個人信息處理規(guī)則”的第1節(jié)“一般規(guī)定”里，將現(xiàn)行的第13條分為兩條規(guī)則，具體內容如下：

第13條個人信息處理者處理他人個人信息，應當取得個人的明確同意，除非法律、行政法規(guī)另有規(guī)定。

第14條 在下列情況下處理他人個人信息，可以不經信息主體授權同意，不向其支付報酬，但應當指明特定目的及必要性，并且不得影響信息主體的正常使用，也不得不合理地損害信息主體的合法權益：

（一）為訂立、履行個人作為一方當事人的合同所必需，或者按照依法制定的勞動規(guī)章制度和依法簽訂的集體合同實施人力資源管理所必需；

（二）為履行法定職責或者法定義務所必需；

（三）為滿足信息主體先行且主要目的而必要地處理其個人信息時，處理者借此實現(xiàn)自己附屬的商業(yè)目的所必需，但不得超出信息主體實現(xiàn)其目的的必要范圍；

（四）為應對突發(fā)公共衛(wèi)生事件，或者緊急情況下為保護自然人的生命健康和財產安全所必需；

（五）為公共利益實施新聞報道、輿論監(jiān)督等行為，在合理的范圍內處理個人信息；

（六）依照本法規(guī)定在合理的范圍內處理個人自行公開或者其他已經合法公開的個人信息，但是該自然人明確拒絕或者處理該信息侵害其重大利益的除外;

（七）在第三方請求下為維護或實現(xiàn)該第三方合法權益所必需，且該第三方合法權益已經或正在受到信息主體的侵害；

（八）為維護信息主體合法權益而合理實施的其他行為；

（九）法律、行政法規(guī)規(guī)定的其他情形。

如此整合后，《民法典》與《個人信息保護法》的內容更加豐富且更好銜接一致，但需要說明兩點。第一，將原來的一個法條分作兩條內容，可以先明確個人信息處理的一般權源即“知情—同意”，以強調個人信息主體的權利主體身份與控制地位，然后以合理處理規(guī)則明確其權益受到的限制情形，這樣既清楚明了、內容完整，又符合認識邏輯而具有周延性，易于接受。第二，對于建議的“第14條”列舉的8種具體情形，綜合了《民法典》第999條、第1036條，《個人信息保護法》第13條以及前文判例中的判決情形等相關內容。其中，第（一）（二）（四）（五）（九）項的表述與《個人信息保護法》第13條相關款項完全相同；第（三）（七）項則來自于判例內容的提煉與升華；第（六）（八）項是《民法典》與《個人信息保護法》結合的結果。

建議中第（三）項有幾個要點：第一，合理處理的目的是“為滿足信息主體先行且主要目的”及“處理者借此實現(xiàn)自己附屬的商業(yè)目的”，二者構成必要條件和附屬后果的關系；第二，合理處理的“度”受“必要性原則”限制，即目的必要的范圍，這是個人信息人格屬性的需要，因而不同于著作權合理使用情形的規(guī)定。同理，該條第（七）項的“所必需”也體現(xiàn)了最小必要原則的人格屬性要求，同時融合了正當防衛(wèi)與緊急避險的需求和功能。

建議中第（六）項針對“自行公開”與“合法公開”的個人信息處理情形，為防止處理“過度”而不合理和確保個人信息的人格尊嚴價值，事前科加了“在本法規(guī)定的合理范圍內處理”這一前提，事后則賦予雙重補救：一是考量信息主體的自由意志，以其“明確拒絕”來補救法律推定的合理處理情形可能對自己造成的傷害或損失；二是不論信息主體是否拒絕，明確將“處理該信息侵害其重大利益”列為合理處理的例外情形，彰顯了個人信息人格權益的優(yōu)先序位，表現(xiàn)出與著作權合理使用情形的不同之處。