第151页_中国民法典释评·人格权编第151章

    （二）我国法上处理个人信息的基本原则
    对个人信息的处理，《民法典》第1035条第1款确立了合法、正当与必要等三项原则。这三项原则在《全国人民代表大会常务委员会关于加强网络信息保护的决定》第2条和《网络安全法》第41条第1款中也有明确的规定。
    1.合法原则
    所谓合法原则，就是指在对个人信息进行收集、存储、加工、使用、提供、公开等活动时，行为人应当严格按照法律法规的规定，不得违法处理个人信息。具体而言，合法原则体现在：首先，除非法律、行政法规另有规定，否则处理个人信息必须得到自然人或其监护人的同意或者符合当事人之间的约定；其次，处理个人信息的方法（如目的、方式、范围等）符合法律法规规定，并且不违反双方的约定。
    2.正当原则
    所谓正当原则，也称公正原则，是指处理个人信息的行为必须是符合正当的目的，此种目的的“正当性”或在于信息主体所同意的收集处理个人信息的特定目的，或在于是有关国家机关依据法律法规规定履行职责所必要的，或在于是维护公共利益或国家安全所必需的。任何组织或者个人不能超出特定的目的或者出于不正当的目的去收集个人信息。正当原则也是世界各国个人信息保护立法中所确立的基本原则。例如，欧盟《一般数据保护条例》第5条规定：“为特定的、明确的、合法的目的收集，不符合以上目的不得以一定的方式进一步处理；为公共利益、科学或历史研究或者统计目的而进一步处理，应符合本条例第89条第（1）款规定，不应被视为不符合初始目的。”2017年日本《个人信息保护法》第3条规定：“在尊重个人人格的理念下，个人信息应被慎重对待，鉴于此，应当实现个人信息之正当处理。”再如，2012年新加坡《个人信息保护法》第20条规定：“根据本法，机构可以收集、使用或披露个人信息，只用于以下目的——（a）一个理性的人认为在某种情况下是合适的；以及（b）若适用，该机构依据第22条通知到个人。”
    3.必要原则
    该原则也称数据最小化或信息最小化原则，是指无论是收集还是处理个人信息，都必须只是收集和处理那些为了满足个人信息处理目的之必要为限度的个人信息，不能超出这个限度去收集与满足个人信息处理目的无关的个人信息。从基础理论上说，个人信息处理中应当遵循的必要原则是比例原则（der Grundsatz der Verhaeltnismaessigkeit）的具体体现。狭义的比例原则主要适用于负担行政行为以及所有的行政领域，而广义的比例原则产生于法治国家原则，不仅约束行政，也约束立法，同时被适用于确定一般性基本权利的界线，“即作为个人自由请求权和限制自由的公共利益之间的权衡要求适用”[1]。在民法中，比例原则意味着“只有在以下情形当中，个人自由及其私法自治才能受到干预，即对于维护更高的利益而言这是必要的，且此种干预既适于实现预期的目标也是实现该目的的最缓和的方式”[2]。个人信息或个人数据处理的必要原则也是世界各国（地区）个人信息或个人数据保护立法所坚持的一项基本原则。例如，欧盟《一般数据保护条例》在“鉴于条款”的第39条指出：“个人数据应当充分、相关并且仅限于其处理目的所需的必要数据。这尤其要求确保对个人数据的存储期限的必要限制。只有在处理目的不能通过其他方式合理实现的情况下，才能进行个人数据处理。为确保个人数据的保存时间不超过必要时间，应由控制者制定时间限制以进行删除或定期审查。”该条例第5条将必要原则概括为“充分、相关，及以个人数据处理目的之必要为限度进行处理”“准确、必要、及时：以个人数据处理目的为限，应采取一切合理步骤确保不准确的个人数据被及时地处理、删除或修正。”再如，我国台湾“个人资料保护法”第5条规定：“个人资料之搜集、处理或利用，应尊重当事人之权益，依诚实及信用方法为之，不得逾越特定目的之必要范围，并应与搜集之目的具有正当合理之关联。”关于必要原则的具体要求，我国现行法律没有规定。国家标准《信息安全技术个人信息安全规范》第5.2条则认为，基于收集个人信息的最小必要这一原则，对个人信息控制者应提出如下要求：（1）收集的个人信息的类型应与实现产品或服务的业务功能有直接关联；直接关联是指没有上述个人信息的参与，产品或服务的功能无法实现。（2）自动采集个人信息的频率应是实现产品或服务的业务功能所必需的最低频率。（3）间接获取个人信息的数量应是实现产品或服务的业务功能所必需的最少数量。


    三、告知同意规则

    （一）告知同意规则的含义
    所谓告知同意规则，也被称为“知情同意规则”，是指任何组织或个人在处理个人信息时都应当对信息主体即其个人信息被处理的自然人进行告知并取得其同意，除非法律另有规定。由此可见，告知同意规则包含了两项规则：一是告知规则，二是同意规则。二者紧密联系，不可分割。没有告知，自然人无法就其个人信息被处理作出同意与否的表示；告知了，但没有充分的、清晰的告知，自然人即便作出了同意的表示，该同意也并非真实有效的同意。反之，虽然告知了且充分、清晰地告知了，可并未取得自然人的同意，对个人信息的处理也是非法的，构成对自然人个人信息权益的侵害。
    告知同意的规则是世界各国个人信息保护立法中所普遍确立的一项基本规则，该规则被认为奠定了个人信息处理的正当性与和合法性的基础。告知同意规则最早为1970年的德国黑森州的信息法所确认。1973年，美国政府成立的“关于个人数据自动系统的建议小组”发布的“公平信息实践准则”报告中提出了处理个人数据的五项原则，其中就包括了“必须确保个人了解其被收集的档案信息是什么，以及信息如何被使用”和“必须确保个人能够阻止未经同意而将其信息用于个人授权使用之外的目的，或者将其信息提供给他人，用作个人授权之外的目的”[3]。1974年美国颁发了适用于联邦政府部级以上机构收集和处理个人信息活动的《隐私法》，该法明确了自然人享有决定是否同意公开自己资料的权利，禁止行政机关在没有取得本人同意的情况下公开其个人信息。[4]到目前为止，绝大多数国家（地区）的个人信息保护立法都明确规定了告知同意规则。例如，欧盟《一般数据保护条例》明确规定：“处理个人数据之前应征得数据主体的同意，通过清楚明确的行为自愿表明同意对其个人数据进行处理，例如，通过书面陈述（包括电子形式）或者口头声明。同意