第五条 【合法、正当、必要、诚信原则】
处理个人信息应当遵循合法、正当、必要和诚信原则,不得通过误导、欺诈、胁迫等方式处理个人信息。
【条文主旨】
本条是关于处理个人信息的“合法、正当、必要和诚信原则”的规定。
【条文理解】
“合法、正当、必要”是我国立法中个人信息处理活动的基本原则之一,在《全国人民代表大会常务委员会关于加强网络信息保护的决定》第二条、网络安全法第四十一条第一款和民法典第一千零三十五条第一款中都有明确规定。
所谓合法原则,是指对个人信息的处理应当遵循法律法规的规定,不得违法对个人信息进行收集、存储、加工、使用、传输、提供、公开等行为。具体而言,合法原则首先体现在对个人信息的处理要有合法性依据,根据个人信息保护法第十三条第一款的规定,个人信息处理的合法性依据有七项,包括:(1)取得个人的同意;(2)为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;(3)为履行法定职责或者法定义务所必需;(4)为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;(5)为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;(6)依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;(7)法律、行政法规规定的其他情形。对个人信息的处理必须符合其中的一种情形。
此外,合法性原则还体现在处理个人信息的方法应当符合法律法规规定,比如法律(包括但不限于个人信息保护法)对于收集个人信息时的告知同意、存储期限、敏感个人信息的处理、个人信息跨境提供以及个人信息处理者的基本义务等都有更加具体的规范和特定的要求,在处理个人信息时需要依法合规。整体来看,所有法律规范规定的具体规则都可以纳入“合法”原则的范畴内,内容非常宽泛,所以“合法”原则本身更多是宣示意义,对法律适用的直接指导意义有限。
所谓正当原则,也即公正原则,是指处理个人信息的行为应当是正当的。这一原则比较抽象,需要结合实际情况进行判断。正当原则的要求可以分为两方面——目的正当性和手段正当性。目的正当性需要考虑初始收集目的和后续使用目的,初始收集信息的“正当性”可以来源于个人信息主体同意就特定目的处理其个人信息,也可以来源于政府机构依据法律法规履行其职责所必需,还可以来源于维护公共利益或者国家安全所必需。任何组织或个人不能基于不正当目的,比如以信息买卖的目的,收集、提供个人信息。后续使用信息的目的正当性表现在,不能将收集的信息做超出初始目的的适用。手段正当性要求信息处理者处理个人信息时,要尽量符合诚实信用和透明公开的要求,对相关信息主体进行清晰、明确、充分的告知,信息流通之前进行去标识化处理等,不利用不正当手段对个人信息进行处理,比如通过虚假告知诱导信息主体同意收集其个人信息。
所谓必要原则,是指对个人信息的处理应当是有必要性的,这种必要性体现在处理个人信息的范围和程度与处理个人信息目的的一致性上,只有在达成个人信息处理目的所必需的限度内对个人信息进行处理才是有必要的,在此限度之外对无关信息的处理就违背了必要原则。当进行某一特定活动时,对于个人信息既可以处理也可以不处理的情况下时,应当尽量不处理;为了特定目的必须要处理个人信息时,应当尽量少地处理个人信息。从基础理论上来说,处理个人信息所遵循的必要原则是比例原则的具体体现。[14]
在“合法、正当、必要”的个人信息处理基本原则以外,个人信息保护法中还增加了诚信原则。作为民事领域的“帝王条款”,诚信原则主要是为了对一些难以划归进“合法、正当、必要”原则内的行为进行约束。诚信原则要求以善意的方式对个人信息进行处理,在处理过程中遵循基本的社会道德和公序良俗。
在明确“合法、正当、必要、诚信”原则之后,本条还列出一些禁止性行为,即“不得通过误导、欺诈、胁迫等方式处理个人信息”,从反面对以上基本原则进行进一步说明。与民法典体系下可撤销、无效之法律行为的界定保持一致。根据全国人民代表大会常务委员会立法过程的介绍,增加“胁迫”方式也是对个人信息收集、使用规则不透明及过度收集、使用等问题的针对性完善的内容。[15]
以误导、欺诈、胁迫等方式处理个人信息,在实践中可能表现为在隐私协议中未向个人信息主体进行明确真实的说明,以诱导性语句使其同意个人信息的收集和处理,或者向个人信息主体隐瞒产品或服务所具有的收集个人信息的功能,或者在个人信息主体拒绝同意处理个人信息的情况下拒绝提供服务,以此胁迫个人信息主体同意其处理个人信息等。这些行为都在不同程度上违反了前述基本原则。
“合法、正当、必要、诚信”原则是个人信息处理的基本原则,明确了个人信息保护法的价值导向,后续的目的限制原则、公开透明原则、准确性原则、问责性原则、数据安全原则等,都是从不同角度对其进行延伸、细化的原则性规定。
【适用指南】
“合法、正当、必要、诚信”原则是个人信息处理的基本原则,指导个人信息处理的所有行为,具体制度规则的设置,均可与其相对应。但也因为这种内涵的宽泛性,基本原则很少单独作为权利人维权或者企业合规的依据,往往是与相对应的具体规则一起出现。
在实践中,“合法、正当、必要、诚信”基本原则对应的合规措施非常广泛,《信息安全技术 个人信息安全规范》中规定,合法性对个人信息控制者的要求包括:(1)不应以欺诈、诱骗、误导的方式收集个人信息;(2)不应隐瞒产品或服务所具有的收集个人信息的功能;(3)不应从非法渠道获取个人信息。必要性对个人信息控制者的要求包括:(1)收集的个人信息的类型应与实现产品或服务的业务功能有直接关联;(2)自动采集个人信息的频率应是实现产品或服务的业务功能所必需的最低频率;(3)间接获取个人信息的数量应是实现产品或服务的业务功能所必需的最少数量。
【相关规定】
《中华人民共和国网络安全法》第四十一条第一款;《中华人民共和国民法典》第一千零三十五条第一款;《中华人民共和国个人信息保护法》第十三条。