个人信息处理“合法正当必要”原则的理解与适用

摘要：如何正确地理解与适用处理个人信息的“合法正当必要”原则，是当前个人信息保护法律实施过程中面临的一个重要问题。“合法正当必要”是处理个人信息应当遵循的一项基本法律原则，多部法律出于不同立法目的都规定了“合法正当必要”原则，并且“合法正当必要”所包含的合法、正当和必要之间也存在一定程度的交叉融合。因此，在具体适用“合法正当必要”原则时，应当从多个方面予以考虑并妥善处理。

当前，以数据为新型生产要素的数字经济正在蓬勃发展，有关数据的竞争已成为市场竞争的重要领域，而个人信息是大数据的主要来源和核心基础。为应对数字经济的快速发展，我国的个人信息保护立法从刑事、民事、行政等多个方面快速推进，目前由《民法典》《个人信息保护法》《网络安全法》《数据安全法》和《刑法》及其修正案等构成的个人信息保护法律框架已经基本形成。虽然个人信息保护的立法仍然需要进一步加强和完善，但是当前我国个人信息保护工作的重点应当由加快推动立法转移到加快法律实施。

个人信息保护的法律实施，一方面有赖于，甚至可以说主要依赖于行政执法，另一方面也有赖于民事、行政和刑事等司法审判。在实践中，如何正确地理解和适用处理个人信息的“合法正当必要”原则，是当前个人信息保护法律实施过程中面临的一个重要问题。我国《民法典》和《个人信息保护法》虽然在表述上不尽一致，但都规定了处理个人信息的“合法正当必要”原则。本文以《民法典》和《个人信息保护法》的有关规定为依据，探讨在审判实践中如何正确理解和适用处理个人信息的“合法正当必要”原则。

《民法典》上的“合法正当必要”原则

《民法典》在编纂过程中，积极回应数字经济发展的现实需要，吸收互联网时代民法规则的新创制、新发展，具有鲜明的时代价值。对于个人信息保护来说，《民法典》从总则编到分则人格编、侵权责任编等都作出了相应规定。《民法典》总则编第111条和分则人格权编第1035条专门规定了处理个人信息保护的“合法正当必要”原则。

《民法典》第111条的具体分析

《民法典》总则编“民事权利”章第111条规定：“自然人的个人信息受法律保护。任何组织或者个人需要获取他人个人信息的，应当依法取得并确保信息安全，不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息。”

“自然人的个人信息受法律保护”，一方面宣示自然人就其个人信息享有受法律保护的权益，另一方面宣示其他民事主体在处理自然人的个人信息时负有一定的法律义务。对于前者，《民法典》分则人格编作了具体规定 ；对于后者，本条第二句比较笼统地规定了其他民事主体处理自然人个人信息的一般义务，即任何组织或者个人需要获取他人个人信息的，应当依法取得并确保信息安全，不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息。

本条第二句从“依法”和“不得非法”的正反两个方面阐述了处理个人信息的“合法”原则。一方面，其他民事主体要“依法”处理自然人的个人信息。换言之，就是处理个人信息应当具有相应的法律依据。另一方面，其他民事主体“不得非法”处理自然人的个人信息。换言之，就是处理个人信息不得违反国家有关规定。[1]“不得非法”“非法”这样的用语，常常用于行政法、刑法等公法领域，就所指行为来说，行为主体往往需要具备法律规定的特定资质或者相关行为需要经过有关职权部门的事先审查、审批、许可等特定程序。本条第二句虽然采用“不得非法”的表述，但是我们应当从民法理念和民法思维的角度去理解“不得非法”。在具体案件中，处于“依法”处理个人信息与“非法”处理个人信息范围之外的处理个人信息，其合法性判断应当借助《民法典》的基本原则。民法总则编规定的民法基本原则，具有指导整个《民法典》立法的作用、对民法具体条文和具体制度加以解释的作用，以及在具体条文规定不详备的情况下直接适用的作用。[2]

《民法典》第1035条的具体分析

《民法典》编纂时，不仅将原《民法总则》中保护个人信息的相关规定全部吸收到《民法典》总则编中，同时在分则人格权编中新增了保护个人信息的基本制度以及一些具体规则。其中，《民法典》分则人格权编第1035条第1款规定：“处理个人信息的，应当遵循合法、正当、必要原则，不得过度处理，并符合下列条件：（一）征得该自然人或者其监护人同意，但是法律、行政法规另有规定的除外；（二）公开处理信息的规则；（三）明示处理信息的目的、方式和范围；（四）不违反法律、行政法规的规定和双方的约定。”第1035条第2款规定：“个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等。”由此，《民法典》分则人格权编第1035条第1款正式确立了处理个人信息的“合法正当必要”原则，还特别强调处理个人信息时“不得过度处理”，同时要求在“遵循合法、正当、必要原则，不得过度处理”的基础上还要符合特定条件。

对于“不得过度处理”，有两点应当予以明确。其一，“不得过度处理”并不是独立于“合法正当必要”原则之外的一项基本原则或者特殊规定。“不得过度处理”本应是“必要”原则的应有之义，但是在《民法典》编纂过程中，不少意见提出，针对实践中不少网络服务提供商特别是一些手机App应用服务提供商过度处理个人信息的现象比较普遍，严重损害信息主体权益的情况，建议明确规定不得过度处理个人信息。本条采纳这一意见，特别强调“不得过度处理”。[3]其二，依据第1035条第2款的字面含义，“不得过度处理”中的“处理”，并不仅仅限于最为常见的过度收集个人信息，还包括个人信息的存储、使用、加工、传输、提供、公开等，涵盖个人信息处理的全过程、各环节。《个人信息保护法》第6条第1款规定目的限制原则，同时在第2款进一步强调“不得过度处理”，但是此处的“不得过度处理”仅限于“不得过度收集个人信息”。[4]在这一点上，《民法典》规定的“不得过度处理”与《个人信息保护法》规定的“不得过度收集个人信息”不尽相同。

上述第一项和第四项，实际上就是后来《个人信息保护法》第13条规定的处理个人信息的法律依据，即为《民法典》第111条第二句所规定的“依法”。其中，第一项属于处理个人信息法律依据的“告知—同意”条款[5]，第四项属于处理个人信息法律依据的兜底条款[6]。上述第二项和第三项，实际上就是后来《个人信息保护法》第7条规定的处理个人信息的公开透明原则[7]，属于《个人信息保护法》确立的处理个人信息的一项原则，与“合法正当必要”原则一样，均属于处理个人信息的基本原则。

综上可以看出，《民法典》第1035条第1款不仅确立了处理个人信息的两项基本原则，即合法正当必要原则和公开透明原则，还确立了处理个人信息的具体法律依据，即自然人“同意”和法定许可。但是必须指出，《民法典》第1035条第1款在文字表达和句式结构上并没有将“公开透明”作为处理个人信息的一项基本原则，而是将其作为处理个人信息的一项具体的法律依据来对待。这一点在理解和适用《民法典》第1035条时应当予以特别注意。

《民法典》第111条与第1035条之间的关系

《民法典》总则编在整个法典之中居于统率地位与核心地位，对《民法典》分则各编的具体规范和制度具有统辖的效力，《民法典》分则各编对于总则编处于遵从地位。所谓统辖，就是《民法典》总则编的规定对于分则各编的规定具有统辖或者统率的效力，分则各编的规定必须遵从总则编的规定。[8]《民法典》总则编对分则各编的统辖作用，首先体现在它所规定的民法基本原则和一般规则方面。

《民法典》第111条处于《民法典》总则编，但不属于民法基本原则，而是《民法典》总则编所规定的民法一般规则；但是就个人信息保护来说，其却是处理个人信息的一项基本原则。《民法典》第1035条处于《民法典》分则人格权编。因此，《民法典》第111条对第1035条具有统辖的效力，包括第1035条在内的《民法典》分则人格权编有关个人信息保护的规定，在本质上属于对《民法典》第111条的具体化，不能理解为对《民法典》第111条进行了实质性的修改。

《个人信息保护法》上的“合法正当必要”原则

第十三届全国人民代表大会常务委员会第三十次会议于2021年8月20通过的《中华人民共和国个人信息保护法》，是我国个人信息保护领域的专门立法。《个人信息保护法》采取了总则与分则相区分的立法结构。“总则”部分主要界定该法的相关用语，明确该法的适用范围，以及确立个人信息处理应遵循的基本原则，等等。“分则”部分主要包括个人信息处理规则、个人信息跨境提供的规则、个人在个人信息处理活动中的权利、个人信息处理者的义务、履行个人信息保护职责的部门以及法律责任。

《个人信息保护法》确立了个人信息处理应遵循的基本原则，强调处理个人信息应当采用合法、正当的方式，具有明确、合理的目的，限于实现处理目的的最小范围，公开处理规则，保证信息准确，采取安全保护措施等，并将上述原则贯穿于个人信息处理的全过程、各环节。[9]其中，第五条规定了“合法、正当、必要、诚信”原则，即处理个人信息应当遵循合法、正当、必要和诚信原则，不得通过误导、欺诈、胁迫等方式处理个人信息。

同《民法典》相比，《个人信息保护法》在“合法正当必要”原则基础上增加了“诚信”原则。诚信原则是我国《民法典》总则编规定的一项民法基本原则，[10]在从事民事活动时，民事主体应当讲诚信、守信用，以善意的方式行使权利、履行义务，不诈不欺，言行一致，信守诺言。[11]《民法典》总则编规定的包括诚信原则在内的这些民法基本原则，对于《民法典》分则各编的统辖作用十分强大。可以说，全部的民事活动都要服从民法基本原则的要求。[12]因此，任何民事主体从事任何民事活动时都应当遵守诚信原则。据此，笔者认为，该条规定的处理个人信息应当遵循的“诚信”原则是独立于“合法正当必要”原则的，并且在效力上是高于“合法正当必要”原则的，“不得通过误导、欺诈、胁迫等方式处理个人信息”进一步从反面阐述了“诚信”原则的具体内容。

“合法正当必要”是《个人信息保护法》确立的一项基本原则，必然贯穿个人信息处理的全过程、各环节，《个人信息保护法》的各分则将对“合法正当必要”原则进行具体化。单就《个人信息保护法》所确立的“合法正当必要”原则的具体内容来说，依据立法机关《关于〈中华人民共和国个人信息保护法（草案）〉的说明》，其中的“合法正当”原则强调处理个人信息应当采用合法、正当的方式，其中的“必要”原则则限于实现处理目的的最小范围。

“合法正当必要”原则的适用

“合法正当必要”是处理个人信息应当遵循的一项基本法律原则，多部法律出于不同立法目的都规定了“合法正当必要”原则，并且“合法正当必要”原则所包含的合法、正当和必要之间也存在一定程度的交叉融合。因此，在具体适用“合法正当必要”原则时，应当从多个方面予以考虑并妥善处理。

应当劣后适用且限制性适用“合法正当必要”原则

“合法正当必要”原则是《民法典》分则人格权编的具体条款，按照法学理论和立法结构，属于可以直接适用的具体规则。但是，“合法正当必要”原则规定在《个人信息保护法》的总则部分，是处理个人信息应当遵循的一项基本原则。因此，结合《民法典》和《个人信息保护法》，我们应当将“合法正当必要”原则作为一般条款来处理。根据“禁止向一般条款逃逸”的法律适用规则，个人信息保护的法律规则应当优先于包括“合法正当必要”原则在内的法律原则的适用。只有当没有个人信息保护的法律规则可以适用于个案，或者现有个人信息保护的法律规则适用于个案可能产生不公时，才可以适用“合法正当必要”原则，并且应当充分说明相关理由。

要注意处理好涉及“合法正当必要”原则的有关法律的相互关系

如前所述，《民法典》《网络安全法》《数据安全法》《个人信息保护法》等有关法律都直接或间接涉及“合法正当必要”原则。但是，不同法律有不同的立法目的和体系定位，在适用“合法正当必要”原则时，应当有所区别对待。《民法典》对于个人信息的保护，旨在保护自然人的人格权益。《网络安全法》和《数据安全法》对于个人信息的保护，旨在保护整个网络安全和各领域数据安全。《个人信息保护法》一方面把握民事权益保护的立法定位，与《民法典》有关法律规定相衔接，细化、充实个人信息保护的民事制度和民法规则；另一方面，《个人信息保护法》与《网络安全法》《数据安全法》等有关法律规定相衔接，对于涉及个人信息保护的网络安全、数据安全监管相关制度措施，《个人信息保护法》未再作规定，可以直接适用《网络安全法》《数据安全法》等法律的相关规定。因此，在适用“合法正当必要”原则时，要明确有关法律之间的相互关系，依据案件性质、争议焦点等妥善适用“合法正当必要”原则。

应当采取分别审查、整体把握的思路适用“合法正当必要”原则

“合法正当必要”原则作为个人信息保护应当遵循的一项基本原则，其中的“合法”“正当”和“必要”彼此之间既有一定区别，又存在着密切联系。因此在适用“合法正当必要”原则时，既要对合法性、正当性、必要性分别进行审查，又要最终从整体上综合考虑和把握是否符合“合法正当必要”原则。对合法性的审查应当侧重于处理个人信息的法律依据，重点审查是否存在《民法典》《个人信息保护法》等法律法规规定的各种允许处理个人信息的情形，尤其是作为兜底条款的“法律、行政法规规定的其他情形”。另外，对合法性的审查既要注意私法上的禁止性规定，也要注意公法上的禁止性规定，例如不得从事危害国家安全、公共利益的个人信息处理活动等。对正当性的审查，应当侧重于处理个人信息目的和手段的正当性。处理个人信息目的和手段是否具有正当性，重点要审查涉案处理个人信息行为的目的和手段是否明确、合理，是否符合《民法典》的基本原则，是否违背公序良俗，以及是否符合《个人信息保护法》确立的基本原则。对必要性的审查，应当侧重审查处理个人信息的行为类型、个人信息类型、个人信息范围及数量、与处理目的的相关度、对个人权益的影响等。

注释：

[1]参见《民法典》第1035条第1款（四），处理个人信息“不违反法律、行政法规的规定和双方的约定”。

[2]孙宪忠：《中国民法典总则与分则之间的统辖遵从关系》，载于《法学研究》，2020年第3期。

[3]黄薇：《中华人民共和国民法典释义》，法律出版社2020年版，第1927页。

[4]参见《个人信息保护法》第6条第2款 ：收集个人信息，应当限于实现处理目的的最小范围，不得过度收集个人信息。

[5]参见《个人信息保护法》第13条第1款之（一）“取得个人的同意”。

[6]参见《个人信息保护法》第13条第1款之（七）“法律、行政法规规定的其他情形”。

[7]参见《个人信息保护法》第7条，处理个人信息应当遵循公开、透明原则，公开个人信息处理规则，明示处理的目的、方式和范围。

[8]孙宪忠：《中国《民法典》总则与分则之间的统辖遵从关系》，载于《法学研究》，2020年第3期。

[9]刘俊臣：在2020年10月13日在第十三届全国人民代表大会常务委员会第二十二次会议上《关于〈中华人民共和国个人信息保护法（草案）〉的说明》。

[10]《民法典》第7条规定 ：“民事主体从事民事活动，应当遵循诚信原则，秉持诚实，恪守承诺。”

[11] 黄薇：《中华人民共和国民法典总则编解读》，中国法制出版社2020年版，第20页。

[12] 孙宪忠：《中国民法典总则与分则之间的统辖遵从关系》，载于《法学研究》，2020年第3期。