作者简介：梁君瑜，法学博士，武汉大学法学院讲师。

《传染病防治法》与《突发事件应对法》的立法目的都包括保障人民生命健康和公共卫生安全，这是立法者对宪法价值具体化的表现。在应急管理方面，《突发事件应对法》按阶段详细规定了突发事件的信息公开体系。

国家紧急权力在制度设计上应当是一种宪制的集权，即是一种有限的、受制约的集中性权力，既保障国家有足够的能力采取各种必要的措施应对危机，又能够对该权力施加有效的监督和制约。[12] 参见杨登峰：《法律冲突与适用规则》，法律出版社2017年版，第212页。在应急状态下，公众的知情权不受限制，因为被告知和了解突发事件信息是公民自我防控的基本前提。[11]所以法律为了适应社会生活的变化需要作出适当调整，而法律的变动可能引发新旧法律的冲突。不同的法律对同一调整对象作了不同的规范性要求，这是法律冲突的最明显特征。

发生重大突发卫生事件以后，当地政府应该统一调度各职能部门，相关职能部门则在职责范围内进行疫情调查与研判，将信息汇总上报给政府，由政府对信息进行筛查确信后统一公开。德国学者认为较新的一般法律只在适当的解释中表明废除旧的特别法律时方优于旧法（否则旧法仍作为特别法或例外规定继续有效）…任何新法律的立法者在未明确表示废除或优先于现行法律时，即意味着立法者欲把新法作为现行法的补充。正当原则是对个人信息处理目的的正当性评价，聚焦于个人信息处理目的本身。

必要原则可以防止个人信息处理脱缰。不同场景的处理目的与方式可能会发生变化，如果反复利用告知同意机制，不仅会使用户产生同意疲劳而疲于同意，而且还会增加互联网企业的运营成本。作为个人信息处理的重要实体原则，正当、必要原则可以弥补日益流于形式的告知同意机制的缺陷。[6]参见［美］伊恩·艾瑞斯：《大数据：思维与决策》，宫相真译，人民邮电出版社2014年版，第63页。

{3}程啸：论我国民法典中的个人信息合理使用制度，《中外法学》2020年第4期。准确把握合法、正当、必要原则的规范内涵，并加以正确适用，有利于实现个人信息保护与流通利用的平衡。

如《一般数据保护条例》第6条（b）项规定：履行数据主体作为一方当事人的合同，或在订立合同前为实施数据主体要求的行为所必要的数据处理。必要原则包括禁止过度损害和禁止保障不足两大方面。倘若该项措施有效性很强，相对于成本而言成比例，个人信息处理者就有义务采取该项措施。《信息安全技术个人信息安全规范》规定了征得授权同意的11种例外情形，包括履行法定义务、保障公共利益、履行合同、开展合法的新闻报道、维护产品或服务的安全稳定运行等。

[52]比例原则约束一切国家公权力，属于公法的帝王原则。例如近些年来，移动互联网应用程序（APP）存在过度收集用户信息的现象，APP强制要求用户必须同意读取短信内容、访问通讯录、获取地理位置、获取摄像录音授权等高达数百项的权限。[1]另有学者研究了个人信息保护中的利益平衡，提出应实现个人、信息业者和国家利益的三方平衡。告知同意原则建立在个人意志自由与意思自治的基础上，体现了对用户权利的尊重，在某种程度上可以防止个人信息滥用。

应当从整体上理解具有内在统一关系的合法、正当、必要原则，不宜无限扩大任何一者的内涵，否则任何一个子原则就可能涵盖其他子原则的内容。从另一个角度而言，如果私主体的个人信息处理违反了比例原则，如个人信息处理目的不正当、超出必要的限度，或没有采取必要的措施保障个人信息安全，监管机构和法院就可能会适用比例原则否定个人信息处理行为。

[25]参见广州互联网法院（2019）粤0192民初11652号民事判决书。《网络安全法》第10条、《电子商务法》第30条要求，采取技术措施和其他必要措施，保障网络安全、稳定运行。

目的达成后，应及时删除个人信息。《电信和互联网用户个人信息保护规定》《网络安全法》等对于个人信息的收集范围作了总体性要求。对于私主体而言，无论是为了公共利益还是私人利益处理个人信息，只要涉及利益冲突，就应实现利益均衡。其第55条要求在处理敏感个人信息、利用个人信息进行自动化决策、委托处理、向第三方提供或公开个人信息、向境外提供个人信息等情形下，均应事前进行评估。美国旧金山为何禁止官方使用人脸识别技术？，《中国经济周刊》2019年第10期，第103页。第26条规定在公共场所安装图像采集、个人身份识别设备，只能用于维护公共安全的目的。

禁止个人信息处理目的宽泛、抽象。[55]京东法律研究院：《欧盟数据宪章——〈一般数据保护条例〉（GDPR）评述及实务指引》，法律出版社2018年版，第52页。

[8]参见万方：隐私政策中的告知同意原则及其异化，《法律科学》2019年第2期，第63—65页。[21]在欧盟，《一般数据保护条例》第5条明确了正当的目的变更条件，规定如果后续数据处理基于第89条第1款，是为了实现公共利益归档目的、科学或历史研究目的、统计目的，不应被视为违背原初目的。

尽管大多数国家和地区已普遍确立了个人信息处理的告知同意机制，但却无法从根本上实质保护个人信息。其第2条适用范围只是排除了部分公共机构的数据处理行为，如排除了有权机关为预防、调查、侦查、起诉刑事犯罪，或为执行刑罚的目的（包括预防与抵御公共安全风险）所进行的个人数据处理。

[13]齐爱民：论个人信息的法律保护，《苏州大学学报（哲学社会科学版）》2005年第2期，第33页。综上，正当、必要原则有助于弥补日益流于形式的告知同意机制的缺陷，可以有效规范告知同意机制的例外情形，有利于破解个人信息权利化的困境。欧盟《一般数据保护条例》第6条规定了处理个人数据的6种合法性条件，同意仅为其中一种情形。而且，告知同意并非个人信息处理的唯一合法原则，其适用存在的例外情形应受正当、必要原则的实体约束。

[24] 2.为了私人利益 在特定情形下，为了私人利益，未经个人同意也可进行个人信息处理。如张新宝认为，必要原则包括充足、相关、不过量等要素，告知同意原则要受到必要原则的制约。

通过理性调整个人信息处理目的与手段的关系，比例原则可以有效指引并规范个人信息处理。总而言之，告知同意机制步入困境，逐渐降低了数据保护的功能。

当然，即使未来确立了个人信息基础性权利，也并不表明个人信息处理就可以不受正当、必要原则的约束。对于究竟什么是必要原则，法律规定不完全相同，学界的认识也不统一。

必要原则要求以最小损害的方式，处理合法收集的个人信息。正当、必要原则评价个人信息处理的目的和手段，可以统合称之为现代四阶比例原则。《个人信息保护法》第13条规定为公共利益实施新闻报道、舆论监督等行为，可以在合理的范围内处理个人信息。根据个人信息的类型、处理目的、处理范围、处理场景等因素，对个人信息处理引发风险的可能性、严重性等不利影响进行全面评估，有助于比较不同处理手段的损害大小，最终选择一个最小损害的最佳处理手段。

还有学者研究了个人信息使用的合法利益豁免，认为数据控制者必须进行平衡测试，证明数据使用的合法利益高于数据主体的个人利益。然而，对于究竟如何准确界定并正确适用合法、正当、必要原则，现行法律规定没有给出明确的标准答案，相关学术研究也不多。

[32]参见周杰：比例原则下电子通信数据留存之限度——《欧盟2006/24号指令》无效案，《苏州大学学报（法学版）》2018年第3期，第159页。随着数字经济的不断发展，告知同意机制的例外情形必定会越来越多，个人信息安全隐患也将日益增多。

个案中个人信息处理目的的合理性，需要根据具体情形进行实质判断。在日本，个人信息处理者变更前后的目的，必须具有相当关联性。

本文地址： http://one.zhutima.com/?id=24

文章来源：天狐定制

版权声明：除非特别标注，否则均为本站原创文章，转载时请以链接形式注明文章出处。