第一千零三十五条

第一千零三十五条

处理个人信息的，应当遵循合法、正当、必要原则，不得过度处理，并符合下列条件：

（一）征得该自然人或者其监护人同意，但是法律、行政法规另有规定的除外；

（二）公开处理信息的规则；

（三）明示处理信息的目的、方式和范围；

（四）不违反法律、行政法规的规定和双方的约定。

个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等。

【条文主旨】

本条是关于处理个人信息的原则和个人信息处理的含义与范围的规定。

【条文理解】

与《民法典》人格权编草案二审稿的规定相比，三审稿将本条第1款中的“收集、使用”修改为“收集、处理”，此后本条又将“收集”删除，统一将此包括在“处理当中”。在三审稿时增设第2款，明确“处理”的含义。“处理”相比“使用”，概念内涵更为丰富，这就使得本条以下的条款适用范围更为广泛，对个人信息的保护更为充分。此外，本条第1款较三审稿还增加了“不得过度处理”个人信息的要求。现将本条规定内容解读如下：

一、个人信息处理基本原则的沿革

本条是个人信息保护的中心条款，明确了个人信息处理的基本原则。本条第2款规定了个人信息处理的范围，包括个人信息的收集、使用、加工、传输、提供、公开等。也就是有关这些个人信息处理的具体情形，都要适用本条第1款规定的个人信息处理规则。这其中最为重要的就是个人信息处理三原则，即合法性、正当性和必要性。

《全国人民代表大会常务委员会关于加强网络信息保护的决定》第2条的规定，网络服务提供者和其他企业事业单位在业务活动中收集、使用公民个人电子信息，应当遵守合法、正当、必要的原则，该规定确立了个人信息收集与处理的合法、正当、必要的基本原则。此后，2017年6月1日起施行的《网络安全法》第41条采纳了这一原则。《消费者权益保护法》第29条也规定：“经营者收集、使用消费者个人信息，应当遵循合法、正当、必要的原则，明示收集、使用信息的目的、方式和范围，并经消费者同意。经营者收集、使用消费者个人信息，应当公开其收集、使用规则，不得违反法律、法规的规定和双方的约定收集、使用信息。经营者及其工作人员对收集的消费者个人信息必须严格保密，不得泄露、出售或者非法向他人提供。经营者应当采取技术措施和其他必要措施，确保信息安全，防止消费者个人信息泄露、丢失。在发生或者可能发生信息泄露、丢失的情况时，应当立即采取补救措施。经营者未经消费者同意或者请求，或者消费者明确表示拒绝的，不得向其发送商业性信息。”本条对此作出了进一步明确。

二、个人信息处理基本原则的内容

（一）关于合法性原则

这一原则要求所有对个人信息的收集和处理的活动都要符合我国的法律规范，这里的法律规范不仅是指民法中的相关内容，还包括其他部门法对个人信息保护有所涉及的内容，如《电子商务法》《网络安全法》以及最高人民法院的相关司法解释等。合法原则的核心要求是个人信息的收集、处理应当具有法律依据，并且符合所有的法律要求。具体而言，合法性原则主要包含如下两方面的内容：（1）收集、处理信息的主体必须合法。何种主体有权收集、处理他人的个人信息，需要依据法律的规定来具体确定。通常个人信息的收集、处理机构主要有两类：一是法律授权的主体，如国家机关（包括权力机关、立法机关和司法机关等）。无论当事人同意与否，有关部门都可以在法律授予职权的范围内依法收集、处理和利用个人信息。二是获得信息主体同意的信息收集机构。例如，信息主体出于参加某个俱乐部的需要，而填写某些表格或申报个人信息，为登录某些网站而填写某些信息。信息的收集机构可以经过当事人的同意而成为合法的个人信息收集者。（2）收集、处理个人信息的手段必须合法。除要遵守《民法典》中有关个人信息收集、处理的规范外，例如个人信息的收集必须基于自然人或者监护人的同意，还要尽到收集、处理信息的相关公开公示义务，保证自然人的知情权，《网络安全法》等还对个人信息收集、处理者有关行为规范提出了特别要求。

（二）关于正当性原则

这一原则较为抽象，需要在审判实践中结合具体案例判断。有观点认为，正当原则包括业务正当性，指个人信息的收集、使用应当是其开展业务所需要的，不得超出其业务能力范围开展信息收集活动；还包括目的正当性，一般而言，私法主体收集、使用目的是否正当，法律不过多干涉，只要该目的在社会的惯例和人们认识中合理即可。我们认为，正当性原则通常是要求进行信息收集和处理的目的和手段要正当。目的正当，一方面要求信息收集者不能超越法律规定或者商业机构事先确定的目的收集其他信息。如房产登记机构可以收集与财产登记相关的个人信息，而不能收集与登记无关的其他个人信息。另一方面，不能将收集的信息做超出目的的利用。例如，房产登记机构收集产权人的财产信息只能用于公示的目的，而不能将此登记信息用于商业目的，如出售。手段正当则是要求信息处理者处理相关信息要符合诚信原则要求，同时要尽量满足透明的要求，以便当事人能够充分了解相关信息的收集、使用目的，行使相关权利。

（三）关于必要性原则

所谓必要性原则，是指在从事某一特定活动时可以收集、处理，也可以不收集、处理个人信息时，要尽量不收集、处理。在必须使用并征得权利人许可时，要尽量少地进行收集、处理。这应是必要原则在个人信息收集方面的体现。必要原则也被称为最小化原则或最少够用原则。具体而言，必要原则要求：一方面，在收集个人信息时，其所获取的个人信息应当以满足使用的目的为限，而不得超出该范围收集个人信息。例如，在论坛注册账号时，除非有正当理由，否则不得要求用户提供家庭地址和手机号码等信息。在安装手机软件时，若该软件只服务于地图位置搜索，则不应当要求用户提供不必要的短信内容信息。另一方面，在利用个人信息时，也应遵循必要原则。《传染病防治法》第12条第1款规定：“在中华人民共和国领域内的一切单位和个人，必须接受疾病预防控制机构、医疗机构有关传染病的调查、检验、采集样本、隔离治疗等预防、控制措施，如实提供有关情况。疾病预防控制机构、医疗机构不得泄露涉及个人隐私的有关信息、资料。”《突发公共卫生事件应急条例》第25条要求国务院卫生行政主管部门负责向社会发布突发事件的信息。公布传染病人的位置、行踪，有利于密切接触者进行自我防护，但并无必要公开传染病人的姓名、家庭信息、手机号、个人病史等。此外，个人信息的存储也应遵循存储时间最小化的原则，即除却法律法规另有规定或个人信息主体另行授权，个人信息存储期限应为实现个人信息主体授权使用的目的所必需的最短时间。

在此需要强调的是，《信息安全技术个人信息安全规范》对个人信息保护基本原则进行了较系统的规定，包括：（1）权责一致原则，即对其个人信息处理活动对个人信息主体合法权益造成损害的承担责任；（2）目的明确原则，即具有合法、正当、必要、明确的个人信息处理目的；（3）选择同意原则，即向个人信息主体明示个人信息处理目的、方式、范围、规则等，征求其授权同意；（4）最少够用原则，除与个人信息主体另有约定外，只处理满足个人信息主体授权同意的目的所需的最少个人信息类型和数量。目的达成后，应及时根据约定删除个人信息；（5）公开透明原则，即以明确、易懂和合理的方式公开处理个人信息的范围、目的、规则等，并接受外部监督；（6）确保安全原则，即要求具备与所面临的安全风险相匹配的安全能力，并采取足够的管理措施和技术手段，保护个人信息的保密性、完整性、可用性；（7）主体参与原则，即向个人信息主体提供能够访问、更正、删除其个人信息，以及撤回同意、注销账户等方法。这些原则有的与上述三原则存在重复交叉，有的则属于这三原则的细化和补充。这是保障信息主体知情权、自决权以及其他相关权利的前提和基础，能有效弥补合法、正当、必要等原则的不足。在审判实践中，可以结合这些标准来确定个人信息处理者处理信息的行为是否违法及是否存在过错。

三、个人信息处理的具体要求

本条第1款第1至4项对个人信息的处理提出了具体要求。现就有关具体规则阐述如下：

第1款第1项将自然人的知情同意视为合法信息收集和处理的合法性前提，这充分体现了当事人自己的意思在信息收集和使用中的重要地位，保障了当事人对自身个人信息的控制。对个人信息的收集和利用，必须经过本人充分知情前提下的同意，此即个人信息保护下的知情同意原则。个人信息保护是信息社会的重要问题，对个人信息保护而言，知情同意原则往往被认为具有“帝王条款”的地位。自1970年的《德国黑森州信息法》开始，告知同意原则便为全球范围内的个人信息保护立法普遍使用。世界经济合作与发展组织（OECD）在1980年《关于隐私保护与个人数据跨界流通的指南》中，也对信息主体的同意作出了相关规定。后续1995年欧盟《关于涉及个人数据处理的保护以及此类数据自由流动的指令（95/46/EC）》《德国联邦数据保护法》（Federal Data Protection Act），以及法国、英国等均分别在各自的个人信息保护相关法律中对知情同意规则作出了规定。我国在2012年《全国人民代表大会常务委员会关于加强网络信息保护的决定》第2条中明确要求，网络服务提供者和其他企业事业单位在业务活动中收集、使用公民个人电子信息，应当经被收集者同意。《网络安全法》第22条第3款中也明确规定：“网络产品、服务具有收集用户信息功能的，其提供者应当向用户明示并取得同意。”第41条也强调，网络运营者处理个人信息应当经过被征集者同意。

关于知情同意的法理基础，有学者认为，这来自民法的自愿原则。从具体的行为性质来看，同意应属于意思表示的一种，同意既可能构成合同等交易行为的给付内容，也可以单纯表达对他人商业利用不法性的排除。两者分别体现了权利人对其个人信息的积极和消极控制。而无论是积极还是消极，信息主体同意他人收集、处理其个人信息，均旨在践行个人的行动自由和信息自决，实现的是其所欲实现的法律效果。虽然学界对这一原则的适用也存在反思和进一步研究的观点，但不可否认的是这一规则已经被我国立法及世界不少发达国家所确立，其核心内容体现的是个人对信息利用的自我决定权，从导向上而言，是在加强个人信息的保护。

另外，第1款第1项规定延续了二审稿与三审稿的规定，对无民事行为能力人和限制民事行为能力人的个人信息收集、处理特别要求取得监护人的同意。对个人信息收集、处理的同意，可以被视为对自身个人信息权益的支配，属于民事法律行为，应遵循《民法典》中的第17条至第22条关于无民事行为能力人、限制行为能力人实施民事法律行为的相关规定。要注意本项内容的适用不仅保护了未成年人，同时也保护了不能辨认或者不能完全辨认自己行为的成年人。

从另一个角度讲，知情同意就构成了他人处理自然人个人信息的合法理由或者免责理由。如果权利人同意他人理由其个人信息，比如网络服务提供者或者网络用户公开自己的个人信息，后者自然应予免责。在此应当注意的是，这里的“同意”，应当以信息处理者履行相应的告知义务为前提，而且告知的内容应当明确具体，涉及限制对方当事人权利、增加对方当事人义务的，应当给予必要的提示或者特别说明。本条第1款第2项和第3项即规定了自然人有效同意的前提条件是，必须向该自然人履行告知义务，让其充分知悉收集和使用的规则、目的、方式和范围，了解个人信息收集和使用的后果和可能的影响，以保证自然人的意思判断是真实的。

本条第1款第4项一方面明确规定了当事人的约定对于个人信息处理的限制作用，即处理个人信息必须不违反当事人的约定，当然这一约定必须以合法有效为前提条件。另一方面，本项规定也具有兜底条款的性质，为将来法律和行政法规规定其他禁止性行为提供了空间。由于个人信息的处理给民事主体所带来的风险是一种新型的风险，在当前的社会背景与技术条件下，很难预见到未来个人信息处理是否会产生其他侵害人身、财产安全的现象。因此，人格权编对个人信息进行规定时，留有一定空间有利于应对未来出现的情形。

【审判实践中应注意的问题】

1.本条第1款的4项关于个人信息处理规则的具体要求与个人信息处理三原则之间是并用的关系，即个人信息处理必须同时符合这两方面的要求，个人信息处理者才是没有过错的。仅具备其中之一的内容，并不足以排除侵权行为的构成。

2.对本条第1款规定的反对解释，再结合侵权责任编有关归责原则、责任构成的规定，即构成确立个人信息侵权责任构成要件的一般规则。《民法典》中缺乏明确的关于个人信息侵权责任的专门规定，这在一定程度上提高了审判实践中法律适用的难度。就目前的法律体系而言，侵害个人信息案件需要结合侵权责任编的有关规定。目前可以与个人信息保护具有一定关联性的是第1194条、第1195条关于网络侵权的规定，但这两条并未规定侵权责任的归责原则。而依据第1165条、第1166条关于归责原则的一般规定，在法律没有明确规定适用无过错责任和过错推定责任的情况下，就要适用过错责任的一般规则。这一基本规则是确定的，但在诉讼中涉及具体举证责任分配问题，有必要考虑原被告双方的举证能力、信息偏在、证据控制等因素，合理确定双方当事人的举证责任，对此，我们将在下一条中予以详细探讨。