第一千零三十五條
處理個人資訊的,應當遵循合法、正當、必要原則,不得過度處理,并符合下列條件:
(一)征得該自然人或者其監護人同意,但是法律、行政法規另有規定的除外;
(二)公開處理資訊的規則;
(三)明示處理資訊的目的、方式和範圍;
(四)不違反法律、行政法規的規定和雙方的約定。
個人資訊的處理包括個人資訊的收集、存儲、使用、加工、傳輸、提供、公開等。
一、本條主旨
本條是關于處理個人資訊的原則和條件的規定。
二、條文演變
大陸個人資訊保護相關立法一以貫之地強調收集、使用等個人資訊處理行為需要具備合法性、正當性的要求。2012年,全國人大常委會通過的《關于加強網絡資訊保護的決定》首次對合法性及必要性原則進行了規定;2013年修正的《消費者權益保護法》在消費者權益保護領域具體化了合法性、正當性原則;2016年通過的《網絡安全法》針對網絡平台和服務大量收集公民個人資訊進行了專門規範;2018年通過的《電子商務法》進一步延續了個人資訊使用的合法性要求,對電商平台等電子商務經營者處理使用者個人資訊的行為進行了規範;《民法典》第1035條第1款同樣強調了處理個人資訊應當遵循合法、正當、必要原則,不得進行過度處理。
在本條的立法過程中,《民法典各分編(草案)》人格權編規定收集、使用自然人的個人資訊應當“征得被收集者同意”,《民法典人格權編(草案)(二次審議稿)》将之修改為“征得該自然人或者其監護人同意,但是法律、行政法規另有規定的除外”。該修改一方面考慮到未成年人不具備作出同意的能力,是以增加了“監護人同意”;另一方面也考慮到了同意并非收集、使用個人資訊的唯一合法性事由,是以增加了“法律、行政法規另有規定的除外”。《民法典人格權編(草案)(三次審議稿)》增加了個人資訊處理的定義,其規定“個人資訊的處理包括個人資訊的使用、加工、傳輸、提供、公開等”。《民法典》對典型的個人資訊處理行為進行了擴充,新增了“收集、存儲”兩種處理行為。
三、條文解讀
本條是關于處理個人資訊的規定。
處理個人資訊,包括對個人身份資訊的收集、存儲、使用、加工、傳輸、提供、公開。
處理自然人個人資訊的原則是:(1)合法:必須依照法律規定收集、處理,不得非法進行。(2)正當:收集、處理自然人個人資訊應當具有正當性目的,不得非法收集、處理。(3)必要:即使合法、正當收集、處理自然人的個人資訊,也不得超出必要範圍。适用上述原則,應當堅持不得過度處理。
處理自然人個人資訊應當符合下列條件:
(1)征得該自然人或者其監護人同意,但是法律、行政法規另有規定的除外。其中,征得自然人監護人的同意,是指處理無民事行為能力人或者限制民事行為能力人的個人資訊,須征得其監護人的同意,例如未成年人或者喪失或部分喪失民事行為能力的成年人,未經其監護人同意進行處理,構成侵害個人資訊的行為。
(2)公開處理資訊的規則。處理自然人個人資訊,須将收集、處理的規則予以公開,以判明是否符合處理的規則。
(3)明示處理資訊的目的、方式和範圍,并且符合明示的處理資訊的目的、方式,在其明示的範圍内進行處理。
(4)不違反法律、行政法規的規定和雙方的約定。違反法律、行政法規的規定和雙方的約定進行處理,都構成侵害個人資訊。
四 案 例
孫某某訴魯山縣農村信用合作聯社侵犯公民個人資訊權糾紛案
案情:孫某某因買房需要向銀行申請貸款,銀行告知孫某某征信有不良記錄,拒絕放貸。孫某某在平頂山市人民銀行征信服務中心所提供的個人資訊中查詢到有不良信用記錄。孫某某為此找到魯山縣農村信用合作聯社,要求恢複資訊等級。後經信用合作聯社調查核實,擔保人孫某傑在辦理上述貸款手續時未到場簽字,是信用合作聯社從業人員違規辦理的冒名擔保,造成孫某某個人征信不良資訊記錄,而這并非本人原因造成的。孫某某訴至法院。法院認為:信用合作聯社從業人員違規辦理貸款時,将孫某某的征信納入不良記錄,給孫某某造成精神上、物質上的損失,信用合作聯社過錯明顯。孫某某請求魯山縣農村信用合作聯社消除孫某某在銀行系統的不良信用記錄,理由正當,予以支援。因信用合作聯社侵犯孫某某的個人資訊,将孫某某納入征信不良記錄确實給孫某某造成一定的精神痛苦和物質損失,酌定賠償數額為3萬元。
五 解 析
本案既是關于信用權保護的典型案件,也是關于個人資訊保護的典型案件。這在一定程度上反映了信用資訊本身的個人資訊屬性。在司法實踐中,對信用權的保護有通過保護名譽權的方式進行間接保護的,也有通過保護姓名權的方式進行間接保護的。民法典生效後,民法典第1035條規定的處理個人資訊原則與具體方式應被适用。這一規定為民事主體信用權的保護又提供了通過保護個人資訊的方式進行保護的路徑。從信用資訊本身的性質以及保護便利程度出發,個人資訊保護路徑相對科學,但民法典第1029、1030條對信用資訊已經作了具體規定,應優先适用。