李愛(ài)君 孫彥東

一、問(wèn)題的提出

盡管適用存在諸多困境，立足于“告知—同意”進(jìn)行立法仍然是目前的必然選擇。[1]因此，長(zhǎng)期以來(lái)學(xué)界對(duì)個(gè)人信息保護(hù)的討論，多集中于“告知—同意”的制度構(gòu)建與困境應(yīng)對(duì)。但是，在個(gè)人信息保護(hù)制度建構(gòu)時(shí)，立法者并沒(méi)有將“告知—同意”作為個(gè)人信息利用與處理的唯一標(biāo)準(zhǔn)，而是選擇將其作為個(gè)人信息處理的合法事由之一，同時(shí)留下無(wú)需“告知—同意”的例外情形，使得在滿足特定條件時(shí)個(gè)人信息處理者無(wú)需取得該個(gè)人信息主體的同意即可處理個(gè)人信息。此制度在邏輯上與著作權(quán)的合理使用制度相類似，故而在司法實(shí)踐中法官生動(dòng)地將其稱為個(gè)人信息的合理使用①，實(shí)際上已有一些學(xué)者的研究關(guān)注到了此類非基于個(gè)人同意的個(gè)人信息處理，同樣稱此種“非基于個(gè)人同意的個(gè)人信息處理”為個(gè)人信息的合理使用。[2,3]故而，本文亦將此類無(wú)需取得個(gè)人信息主體同意的個(gè)人信息處理行為稱為個(gè)人信息的“合理使用”。例如《中華人民共和國(guó)個(gè)人信息保護(hù)法》（以下簡(jiǎn)稱《個(gè)人信息保護(hù)法》）第13條第2款規(guī)定了“履行合同或人力資源管理所必需”等六種無(wú)需取得同意的情形。立法者設(shè)立個(gè)人信息合理使用規(guī)則的本意在于協(xié)調(diào)個(gè)人信息保護(hù)與利用，但同時(shí)其也屬于對(duì)自然人的人格權(quán)益進(jìn)行一定限制和克減的規(guī)則，應(yīng)當(dāng)明確其界限并警惕其擴(kuò)張化趨勢(shì)。

合理使用規(guī)則作為“告知—同意”的例外，個(gè)人信息的合理使用并非基于個(gè)人的“一般同意”，那它與敏感信息、數(shù)據(jù)公開(kāi)、信息跨境等特殊個(gè)人信息處理場(chǎng)景下的“單獨(dú)同意”的關(guān)系為何，現(xiàn)行立法并沒(méi)有明確規(guī)定。具言之，在“實(shí)施人力資源管理所必需”等情形下，如果個(gè)人信息處理涉及上述需要單獨(dú)同意的場(chǎng)景，無(wú)需個(gè)人同意的合理使用規(guī)則與單獨(dú)同意規(guī)則何者可優(yōu)先適用，是無(wú)需取得個(gè)人同意，抑或需要取得單獨(dú)同意？這個(gè)問(wèn)題有待于對(duì)相關(guān)規(guī)則的進(jìn)一步解釋。

如今《中華人民共和國(guó)民法典》（以下簡(jiǎn)稱《民法典》）、《中華人民共和國(guó)數(shù)據(jù)安全法》（以下簡(jiǎn)稱《數(shù)據(jù)安全法》）、《個(gè)人信息保護(hù)法》的立法已經(jīng)完成，形成了較為完善的個(gè)人信息保護(hù)的制度體系。個(gè)人信息保護(hù)的研究也有必要從立法論視角的法政策學(xué)研究轉(zhuǎn)變?yōu)榻忉屨撘暯堑囊?guī)則適用研究。因而本文擬立足于現(xiàn)行法律規(guī)定，對(duì)個(gè)人信息合理使用規(guī)則的制度構(gòu)造及其對(duì)個(gè)人信息權(quán)益的影響進(jìn)行研究，進(jìn)而探究其與單獨(dú)同意規(guī)則之間的關(guān)系，最終明晰特殊場(chǎng)景下兩種規(guī)則在排斥競(jìng)合時(shí)的適用位階，以解決個(gè)人信息保護(hù)與數(shù)據(jù)要素流通實(shí)踐中可能出現(xiàn)的問(wèn)題。

二、個(gè)人信息合理使用規(guī)則的學(xué)理考察

出于對(duì)個(gè)人信息權(quán)益的保護(hù)，“告知—同意”規(guī)則已經(jīng)被國(guó)際與國(guó)內(nèi)立法所廣泛采納。誠(chéng)然，在權(quán)益保護(hù)方面“告知—同意”規(guī)則的確立可以很大程度上保障個(gè)人對(duì)其個(gè)人信息自主決定的權(quán)利，體現(xiàn)了立法對(duì)人格權(quán)益與私人自治的尊重與保護(hù)。[4]但隨著信息社會(huì)的發(fā)展，人作為社會(huì)關(guān)系的總和，其個(gè)人信息的利用將涉及更加多元的利益糾葛。[5]對(duì)個(gè)人信息的保護(hù)不同于對(duì)隱私權(quán)的絕對(duì)保護(hù)，關(guān)鍵在于構(gòu)建個(gè)人信息保護(hù)與利用的良好合理秩序。[6]因此，立法者并沒(méi)有將“告知—同意”作為個(gè)人信息處理的唯一合法性基礎(chǔ)，而是將其作為一般規(guī)則的同時(shí)亦留下了一定的例外情形，來(lái)彌補(bǔ)“告知—同意”規(guī)則的不足?；趥€(gè)人同意的“告知—同意”規(guī)則是意定基礎(chǔ)，非基于個(gè)人同意的“個(gè)人信息合理使用規(guī)則”是法定基礎(chǔ)，二者共同構(gòu)成了我國(guó)法上個(gè)人信息處理的合法性基礎(chǔ)（lawful basis for processing）[7]，從而協(xié)調(diào)個(gè)人信息保護(hù)與其他價(jià)值之間的關(guān)系，這些例外情形就是本文所探討的個(gè)人信息合理使用規(guī)則。

（一）個(gè)人信息合理使用的規(guī)則內(nèi)涵

所謂個(gè)人信息的合理使用，是指在有法律明確規(guī)定的前提下，不需要經(jīng)過(guò)個(gè)人同意即可在合理限度內(nèi)對(duì)個(gè)人信息進(jìn)行的處理和利用。[8]其制度定位在于彌補(bǔ)“告知—同意”過(guò)分剛性的不足，在特定情況下可以確保和促進(jìn)個(gè)人信息的合理利用。若從立法技術(shù)方面評(píng)價(jià)，此規(guī)定并非一律允許或否定未經(jīng)同意的個(gè)人信息處理行為，而是采用一個(gè)“原則—例外”式規(guī)定，來(lái)表達(dá)立法者對(duì)個(gè)人信息保護(hù)與利用的傾向：首先，原則上應(yīng)當(dāng)優(yōu)先保護(hù)個(gè)人的人格權(quán)益，只有取得個(gè)人的同意才可以進(jìn)行相應(yīng)的處理；其次，在少數(shù)情況下兼顧個(gè)人信息的利用價(jià)值，在有限列舉的特定例外情形下不需要取得個(gè)人的同意而處理其個(gè)人信息。

在國(guó)際視野上，歐盟《通用數(shù)據(jù)保護(hù)條例》（General Data Protection Regulation）規(guī)定了個(gè)人信息的合理使用規(guī)則②，即“告知—同意”僅為個(gè)人信息處理的合法性來(lái)源之一，除了取得同意外另行規(guī)定了不需要取得個(gè)人同意的個(gè)人信息處理情形。例如，在其第6條第1款列舉的“處理的合法性”中，除了第a項(xiàng)為取得個(gè)人同意外，第b項(xiàng)至第f項(xiàng)列舉了“履行契約所必需”“履行法定義務(wù)所必需”“維護(hù)其他人核心利益所必需”“維護(hù)公共利益所必需”等情形，這些情形就是取得個(gè)人同意以外的個(gè)人數(shù)據(jù)處理的合法性事由。[9]歐盟的這種制度設(shè)計(jì)方式被我國(guó)立法所借鑒，我國(guó)《個(gè)人信息保護(hù)法》第13條第2款規(guī)定“……有前款第二項(xiàng)至第七項(xiàng)規(guī)定情形的，不需取得個(gè)人同意”，也即在“履行合同所必需”“實(shí)施人力資源管理所必需”等情形下，個(gè)人信息處理者不需要取得個(gè)人的同意即可實(shí)施個(gè)人信息的合理使用。

若從規(guī)范結(jié)構(gòu)上分析，我國(guó)現(xiàn)行立法上的合理使用的規(guī)定可以分為兩種類型：第一類，法律規(guī)定個(gè)人信息處理者無(wú)需獲得個(gè)人信息主體的同意授權(quán)即可處理的合理使用；第二類，法律規(guī)定個(gè)人信息處理者處理自然人個(gè)人信息而無(wú)需承擔(dān)責(zé)任的使用。前者通過(guò)免除同意授權(quán)而賦予未經(jīng)同意的個(gè)人信息處理行為合法性，而后者則通過(guò)直接免除未經(jīng)同意的個(gè)人信息處理行為的相關(guān)責(zé)任來(lái)賦予該處理行為合法性。當(dāng)然，有學(xué)者提出，合理使用規(guī)則還包括不可抗力、正當(dāng)防衛(wèi)、緊急避險(xiǎn)等情形，作為抽象層次的合理使用[10]，鑒于它們?yōu)橐话阋饬x上的免責(zé)事由，暫不將其納入本文討論范圍。

上述兩種類型沒(méi)有本質(zhì)區(qū)別，相應(yīng)的個(gè)人信息處理行為均屬于合法行為，可以阻卻民事侵權(quán)責(zé)任以及其他法律責(zé)任。現(xiàn)行法體系下，第一種規(guī)定如《個(gè)人信息保護(hù)法》第13條的規(guī)定，若個(gè)人信息處理者處理個(gè)人信息屬于為“履行合同所必需”“實(shí)施人力資源管理所必需”“為履行法定職責(zé)或者法定義務(wù)所必需”“為應(yīng)對(duì)突發(fā)公共衛(wèi)生事件，或者緊急情況下為保護(hù)自然人的生命健康和財(cái)產(chǎn)安全所必需”“為公共利益實(shí)施新聞報(bào)道、輿論監(jiān)督等行為”，以及“處理個(gè)人自行公開(kāi)或者其他已經(jīng)合法公開(kāi)的個(gè)人信息”等情形時(shí)，不需要取得個(gè)人的同意即可對(duì)其個(gè)人信息進(jìn)行處理；再如，《民法典》第999條明確授權(quán)可以“為公共利益實(shí)施新聞報(bào)道與輿論監(jiān)督”而進(jìn)行個(gè)人信息的合理使用。第二種規(guī)定如《民法典》第1036條規(guī)定在“為維護(hù)公共利益或者該自然人合法權(quán)益而實(shí)施的處理行為”和“合理處理已經(jīng)公開(kāi)的信息”等情形下，即使未經(jīng)過(guò)個(gè)人的同意，個(gè)人信息處理者處理個(gè)人信息不必承擔(dān)民事責(zé)任。

（二）個(gè)人信息合理使用的制度緣起

《民法典》與《個(gè)人信息保護(hù)法》先后設(shè)置了同著作權(quán)的合理使用制度相似的個(gè)人信息合理使用規(guī)則來(lái)實(shí)現(xiàn)個(gè)人信息保護(hù)與利用的協(xié)調(diào)?！睹穹ǖ洹放c《個(gè)人信息保護(hù)法》中的個(gè)人信息合理使用規(guī)則的立法目的存在一個(gè)變遷和演進(jìn)的過(guò)程，并且個(gè)人信息的合理使用與著作權(quán)合理使用的制度特征存在一定區(qū)別。

1.從維護(hù)公共利益到促進(jìn)信息利用的目的變遷

個(gè)人信息的合理使用規(guī)則，最早出現(xiàn)在《民法典》第999條和第1036條。在全國(guó)人大的立法說(shuō)明中明確表示該部分條文的立法目的是“構(gòu)建自然人與信息處理者之間的基本權(quán)利義務(wù)框架，……合理平衡保護(hù)個(gè)人信息與維護(hù)公共利益之間的關(guān)系”[11]。個(gè)人信息作為自然人的人格權(quán)益，本應(yīng)受到法律的嚴(yán)格保護(hù)，但是同時(shí)個(gè)人信息也可能會(huì)涉及社會(huì)公共利益，例如言論自由與輿論監(jiān)督等事項(xiàng)。此時(shí)，公共利益與個(gè)人利益就產(chǎn)生了價(jià)值沖突，從公共哲學(xué)的內(nèi)在邏輯審視，“基本權(quán)利保障必須讓渡部分自由給公共利益，公共利益反哺基本權(quán)利保障”，個(gè)人信息的合理讓渡有利于實(shí)現(xiàn)功利主義效用最大化。[12]但立法的天平不應(yīng)該完全倒向任何一方，通過(guò)立法來(lái)完全剝奪個(gè)人的個(gè)人信息權(quán)益或完全忽視社會(huì)公共利益都是不可取的，而是應(yīng)當(dāng)通過(guò)規(guī)則與制度的預(yù)先安排對(duì)其進(jìn)行一定的價(jià)值平衡。因此，我國(guó)《民法典》在確認(rèn)自然人對(duì)個(gè)人信息享有人格權(quán)益時(shí)，并未規(guī)定自然人對(duì)其個(gè)人信息享有排他的、絕對(duì)的支配與控制[13]，而是通過(guò)規(guī)定處理個(gè)人信息不必承擔(dān)責(zé)任的免責(zé)事項(xiàng)來(lái)構(gòu)建個(gè)人信息的合理使用規(guī)則，例如在“新聞報(bào)道”“輿論監(jiān)督”以及“維護(hù)公共利益”等合理使用情形中，個(gè)人信息處理者不承擔(dān)責(zé)任。正如全國(guó)人大常委會(huì)的立法說(shuō)明總結(jié)一樣，這一階段的合理使用規(guī)則主要是用來(lái)協(xié)調(diào)個(gè)人信息保護(hù)與公共利益之間的關(guān)系。

但是，時(shí)代的現(xiàn)實(shí)需要決定了立法在個(gè)人信息保護(hù)和利用之間進(jìn)行協(xié)調(diào)的情形并不局限于《民法典》的列舉情形，《個(gè)人信息保護(hù)法》第13條的個(gè)人信息合理使用規(guī)則應(yīng)運(yùn)而生。在全國(guó)人大常委會(huì)對(duì)《個(gè)人信息保護(hù)法（草案）》的說(shuō)明中提到，因?yàn)椤翱紤]到經(jīng)濟(jì)社會(huì)生活的復(fù)雜性和個(gè)人信息處理的不同情況”，而對(duì)“基于個(gè)人同意以外合法處理個(gè)人信息的情形作了規(guī)定”[14]，這一點(diǎn)也可以在《個(gè)人信息保護(hù)法》平衡個(gè)人信息的保護(hù)與利用的立法目的中得到印證。[15]這表明《個(gè)人信息保護(hù)法》中的合理使用規(guī)則不同于《民法典》中的合理使用規(guī)則，《民法典》中主要是出于公共利益的考慮，而《個(gè)人信息保護(hù)法》則增加了更加復(fù)雜的考量維度——個(gè)人信息利用的效率。從信息化時(shí)代走向大數(shù)據(jù)時(shí)代，個(gè)人信息不再是單純的人格權(quán)益，更是數(shù)據(jù)要素市場(chǎng)中數(shù)據(jù)要素的重要來(lái)源，個(gè)人信息的利用價(jià)值被立法者逐漸重視。因此，個(gè)人信息不再只是涉及社會(huì)公共利益時(shí)被合理限制。個(gè)人信息和數(shù)據(jù)的相關(guān)立法的立法目的之一就是要促進(jìn)個(gè)人信息保護(hù)與利用[16]，從而實(shí)現(xiàn)權(quán)益保護(hù)與整體效率的平衡。[17]這一結(jié)論同樣可以從《個(gè)人信息保護(hù)法》合理使用規(guī)則的具體列舉事項(xiàng)中得出，例如“為履行合同所必需”“實(shí)施人力資源管理所必須”等情形不屬于一般意義上出于維護(hù)公共利益目標(biāo)的合理利用，而是屬于“提高個(gè)人信息利用效率”的合理利用。若從功利主義法哲學(xué)視角審視，則是通過(guò)在保護(hù)自然人的個(gè)人信息權(quán)益的同時(shí)也進(jìn)行適當(dāng)限制來(lái)實(shí)現(xiàn)對(duì)于整個(gè)社會(huì)而言更大的“共同善”（common good）[18]。

2.與著作權(quán)合理使用制度似而不同的制度特征

在制度邏輯上，個(gè)人信息的合理使用與著作權(quán)的合理使用十分相似，都是出于某種利益的考量而對(duì)既存權(quán)利（權(quán)益）進(jìn)行一定的限制。著作權(quán)領(lǐng)域的合理使用制度是指在一定條件下不經(jīng)著作權(quán)人的許可，也不必向其支付報(bào)酬而對(duì)作品進(jìn)行的使用。著作權(quán)作為著作權(quán)人對(duì)其獨(dú)創(chuàng)性作品享有的合法權(quán)益，本應(yīng)被法律所保護(hù)。但是出于“促進(jìn)社會(huì)主義文化和科學(xué)事業(yè)的發(fā)展與繁榮”的立法目的，立法選擇通過(guò)設(shè)定合理使用規(guī)則對(duì)著作權(quán)進(jìn)行一定限制，從而協(xié)調(diào)權(quán)益保護(hù)和作品利用之間的關(guān)系。著作權(quán)的合理使用制度使得公眾在“個(gè)人學(xué)習(xí)、研究和欣賞”等情形下可以不經(jīng)過(guò)著作權(quán)人的同意且不必支付報(bào)酬，從而促進(jìn)知識(shí)與信息的廣泛傳播，以最大限度地實(shí)現(xiàn)社會(huì)文化、科學(xué)事業(yè)的進(jìn)步和繁榮。[19]但同時(shí)也通過(guò)有限列舉和目的限制等方式對(duì)這種限制著作權(quán)的制度進(jìn)行約束，試圖在保護(hù)作者的著作權(quán)與限制作者的著作權(quán)中尋求平衡。[20]個(gè)人信息的合理使用規(guī)則與著作權(quán)的合理使用具有相似的特征，同樣是規(guī)定在特定條件下無(wú)需經(jīng)過(guò)個(gè)人信息主體的同意即可對(duì)其個(gè)人信息進(jìn)行處理，同時(shí)也通過(guò)明文列舉的方式對(duì)具體情形進(jìn)行嚴(yán)格限制，從而實(shí)現(xiàn)個(gè)人信息利用與保護(hù)的平衡。

但是，個(gè)人信息的合理使用與著作權(quán)的合理使用仍然存在一定的區(qū)別。其一，二者所限制的主要權(quán)益類型不同。在個(gè)人信息合理使用中，個(gè)人信息處理者無(wú)需取得同意即可處理屬于人格權(quán)益的個(gè)人信息，因此合理使用所限制的是自主支配與決定其個(gè)人信息權(quán)益的人格權(quán)益。[21]而在著作權(quán)的合理使用中，其他主體可以不取得同意、不支付報(bào)酬地利用著作權(quán)人的相關(guān)作品，主要限制著作權(quán)人的取得收益的財(cái)產(chǎn)權(quán)益[22]，在其他主體合理使用作品時(shí)作者的署名權(quán)等人格權(quán)益則仍然被法律所嚴(yán)格保護(hù)。其二，在著作權(quán)的合理使用中，著作權(quán)人不享有對(duì)合理使用情況的知情權(quán)，合理使用人無(wú)需告知權(quán)利人即可對(duì)作品加以合理利用。而對(duì)于個(gè)人信息的合理使用，個(gè)人依法享有關(guān)于個(gè)人信息處理情況的知情權(quán)，個(gè)人信息處理者原則上仍需要履行相應(yīng)的告知義務(wù)。知情是權(quán)利遭到侵犯的權(quán)利人尋求救濟(jì)的事實(shí)前提，如果無(wú)法得知其合法權(quán)益被侵害，權(quán)利人就不可能主動(dòng)尋求對(duì)合法權(quán)益的救濟(jì)。法學(xué)研究視域下一般認(rèn)為對(duì)人格權(quán)和人格利益的保護(hù)優(yōu)先于財(cái)產(chǎn)權(quán)的保護(hù)[23]，個(gè)人信息合理使用所克減的權(quán)益為人格權(quán)益，對(duì)個(gè)人信息合理使用中個(gè)人知情權(quán)的保障體現(xiàn)了立法對(duì)人格權(quán)益更高程度的保護(hù)。

三、合理使用場(chǎng)景下個(gè)人信息權(quán)益的限制

（一）合理使用規(guī)則限制個(gè)人的決定權(quán)與撤回權(quán)

撤回權(quán)是指?jìng)€(gè)人有權(quán)取消其對(duì)自己已經(jīng)作出的“同意信息處理者對(duì)其個(gè)人信息進(jìn)行處理”的授權(quán)的權(quán)利[24]，而決定權(quán)是指?jìng)€(gè)人有權(quán)限制或者拒絕他人對(duì)其個(gè)人信息進(jìn)行處理的權(quán)利。二者的關(guān)系非常緊密，前者是通過(guò)決定是否撤回已有授權(quán)的方式體現(xiàn)個(gè)人對(duì)其個(gè)人信息的支配，后者是決定是否給予個(gè)人信息處理者授權(quán)的方式體現(xiàn)個(gè)人對(duì)其個(gè)人信息的支配，故在此處一并進(jìn)行討論。在個(gè)人信息保護(hù)領(lǐng)域，立法者賦予了個(gè)人撤回權(quán)和決定權(quán)，以彰顯個(gè)人對(duì)其人格權(quán)益的自主支配，體現(xiàn)了法律對(duì)人的主體性和自主性的尊重[25]，這是保護(hù)個(gè)人信息權(quán)益的意義和價(jià)值所在。二者都是當(dāng)事人對(duì)其個(gè)人信息權(quán)益的支配體系的重要組成部分，在不同方面發(fā)揮協(xié)同作用。但個(gè)人信息合理使用規(guī)則是“知情—同意”規(guī)則的替代制度，在個(gè)人信息處理者滿足合理使用的條件時(shí)即可對(duì)個(gè)人信息進(jìn)行相應(yīng)的處理而不需要取得個(gè)人的同意，是對(duì)個(gè)人信息的自主支配利益的克減，這種克減將對(duì)個(gè)人的決定權(quán)和撤回權(quán)產(chǎn)生一定的影響。

對(duì)于撤回權(quán)，依據(jù)《個(gè)人信息保護(hù)法》第15條，基于個(gè)人同意而處理個(gè)人信息的，個(gè)人有權(quán)撤回其同意，這一規(guī)則明確限制了個(gè)人享有撤回權(quán)的前提是“基于個(gè)人同意”而處理其個(gè)人信息。因此，對(duì)于構(gòu)成合理使用的處理行為，并非屬于“基于個(gè)人同意”的個(gè)人信息處理行為，個(gè)人信息處理者處理其個(gè)人信息的正當(dāng)性基礎(chǔ)來(lái)自合理使用規(guī)則的法定授權(quán)，而非個(gè)人的授權(quán)同意。簡(jiǎn)言之，合理使用并非基于個(gè)人的同意，當(dāng)然個(gè)人也沒(méi)有撤回同意的權(quán)利。而對(duì)于決定權(quán)，依據(jù)《個(gè)人信息保護(hù)法》第44條的規(guī)定，個(gè)人有權(quán)自主決定（限制或拒絕）他人是否可以對(duì)其個(gè)人信息進(jìn)行處理，但是“法律、行政法規(guī)另有規(guī)定的除外”。正面來(lái)看，這一規(guī)則表明當(dāng)不存在其他另有規(guī)定時(shí)個(gè)人有權(quán)同意或者拒絕處理者處理其個(gè)人信息，表現(xiàn)為支配性權(quán)利。[26]同樣也表示，如果存在其他“另有規(guī)定”時(shí)，個(gè)人的決定權(quán)將會(huì)被限制。而依據(jù)《個(gè)人信息保護(hù)法》第13條“有前款第二項(xiàng)至第七項(xiàng)規(guī)定情形的，不需取得個(gè)人同意”的規(guī)定，此處的第2項(xiàng)至第7項(xiàng)其實(shí)就是本文所謂“個(gè)人信息的合理使用”，法律規(guī)定在構(gòu)成合理使用時(shí)“不需取得個(gè)人同意”，屬于法律對(duì)決定權(quán)的限制。因此，可以認(rèn)為無(wú)需取得個(gè)人同意的合理使用規(guī)則屬于《個(gè)人信息保護(hù)法》第44條規(guī)定的個(gè)人享有決定權(quán)的“另有規(guī)定”。

綜上，初步結(jié)論是在符合個(gè)人信息合理使用的條件時(shí)，個(gè)人原則上不再享有撤回權(quán)與決定權(quán)。③原因在于決定權(quán)與撤回權(quán)共同指向的要素是個(gè)人信息自主支配利益，享有決定權(quán)與撤回權(quán)的前提是個(gè)人主體有“同意的權(quán)利”，而個(gè)人信息的合理使用規(guī)則正是立法者出于促進(jìn)信息利用的目的而對(duì)個(gè)人權(quán)利的克減，因此個(gè)人的決定權(quán)等自主支配利益受到了合理使用規(guī)則的限制。

但是值得注意的是，《個(gè)人信息保護(hù)法》對(duì)合理使用的某些情形明確規(guī)定了個(gè)人享有可以拒絕的權(quán)利，此時(shí)個(gè)人的決定權(quán)因?yàn)榉傻奶貏e規(guī)定而恢復(fù)。例如，《個(gè)人信息保護(hù)法》第27條明確規(guī)定了“個(gè)人明確拒絕的除外”，因此對(duì)于“已經(jīng)自行公開(kāi)、合法公開(kāi)信息”情形下的合理使用，當(dāng)事人因法律的明確規(guī)定而仍享有相應(yīng)的自主決定權(quán)，可以拒絕個(gè)人信息處理者對(duì)其自行公開(kāi)和已經(jīng)公開(kāi)的信息的合理使用。而對(duì)于沒(méi)有明確規(guī)定當(dāng)事人享有拒絕權(quán)的情形，合理使用將仍然對(duì)其決定權(quán)進(jìn)行限制，即無(wú)權(quán)拒絕個(gè)人信息處理者對(duì)其個(gè)人信息的處理。例如，當(dāng)事人并不能依其決定權(quán)而拒絕媒體為了公共利益而實(shí)施輿論監(jiān)督的個(gè)人信息合理使用。綜上所述，作為立法者出于信息利用效率考量而設(shè)立的規(guī)則，合理使用在一般情況下將限制個(gè)人的撤回權(quán)與決定權(quán)，但是在有特別規(guī)定時(shí)個(gè)人仍然享有決定權(quán)。

（二）合理使用規(guī)則原則上不影響個(gè)人的知情權(quán)

如前所述，在著作權(quán)的合理使用中，合理使用人無(wú)需取得個(gè)人同意，也無(wú)需告知著作權(quán)人即可進(jìn)行著作權(quán)的合理使用，因而著作權(quán)人并不享有合理使用的知情權(quán)。對(duì)于個(gè)人信息的合理使用，同樣是對(duì)個(gè)人信息權(quán)益進(jìn)行了一定的限制，來(lái)實(shí)現(xiàn)個(gè)人信息保護(hù)和利用的平衡?？梢悦鞔_得出的結(jié)論是，合理使用在一定程度上限制了當(dāng)事人的自主決定權(quán)與撤回權(quán)，但是否會(huì)對(duì)知情權(quán)產(chǎn)生影響？依據(jù)《個(gè)人信息保護(hù)法》第14條的規(guī)定要求個(gè)人在“同意”時(shí)要“充分知情”，那么“非基于同意”的合理使用是否需要達(dá)到“充分知情”的程度？若從現(xiàn)行個(gè)人信息保護(hù)法律體系進(jìn)行考察，立法者對(duì)這一問(wèn)題并沒(méi)有進(jìn)行明確的規(guī)定，這一問(wèn)題的答案有賴于對(duì)個(gè)人信息合理使用規(guī)則的進(jìn)一步解釋。

個(gè)人信息合理使用對(duì)個(gè)人信息的自主支配利益進(jìn)行限制時(shí)是否對(duì)知情權(quán)進(jìn)行限制，這一問(wèn)題是個(gè)人信息利用的效率價(jià)值與個(gè)人信息保護(hù)的權(quán)益價(jià)值之間的價(jià)值衡量，實(shí)質(zhì)是立法者出于效率的考量可以對(duì)個(gè)人信息的權(quán)益限制到何種程度。在邏輯上，這一衡量過(guò)程包括兩個(gè)極限情況，就像是一個(gè)天平的兩端：一端是在克減個(gè)人決定權(quán)的同時(shí)也完全克減對(duì)其個(gè)人信息處理的知情權(quán)，也即個(gè)人信息處理者在合理使用時(shí)不需要征得當(dāng)事人的同意，也無(wú)需履行相應(yīng)的告知義務(wù)；另一端是克減個(gè)人決定權(quán)的同時(shí)完全不減損個(gè)人對(duì)其個(gè)人信息處理的知情權(quán)，也即在進(jìn)行合理使用時(shí)個(gè)人信息處理者仍然需要履行同“告知—同意”信息處理完全相同的告知義務(wù)，只不過(guò)不需要征得同意。天平的傾斜程度就代表了立法對(duì)效率與權(quán)利二者的態(tài)度傾向。由于個(gè)人信息影響到人格權(quán)、公共利益、國(guó)家利益等多方面關(guān)系，在相關(guān)規(guī)則進(jìn)行制度構(gòu)建與具體適用時(shí)應(yīng)當(dāng)注重對(duì)相關(guān)利益的協(xié)調(diào)。[27]

從知情權(quán)條款的文義進(jìn)行考察，《個(gè)人信息保護(hù)法》第44條規(guī)定了知情權(quán)，但知情權(quán)與個(gè)人的決定權(quán)列于同一條款，二者均有“法律、行政法規(guī)另有規(guī)定的除外”的表述。如何理解此處的“另有規(guī)定”，是解決此問(wèn)題的重要突破點(diǎn)。如上文“合理使用與決定權(quán)的關(guān)系”部分所述，在理解決定權(quán)是否被克減時(shí)將合理使用規(guī)則歸入了第44條的“另有規(guī)定”，原因在于第13條第2款的合理使用規(guī)則明確規(guī)定了“……有前款第二項(xiàng)至第七項(xiàng)規(guī)定情形的，不需取得個(gè)人同意”，該種表述實(shí)質(zhì)上是對(duì)決定權(quán)的克減。但是在此處，本文認(rèn)為不可以簡(jiǎn)單一句“同理可知”，將合理使用規(guī)則同樣地歸入對(duì)知情權(quán)克減的“另有規(guī)定”，從而草率地得出知情權(quán)同決定權(quán)一樣被合理使用制度所克減的結(jié)論。這是因?yàn)樵诘?3條第2款的合理使用規(guī)則僅明確規(guī)定了“不需取得個(gè)人同意”，而立法并未直接表述“無(wú)需告知個(gè)人”。對(duì)于個(gè)人信息權(quán)益而言，其屬于《民法典》《網(wǎng)絡(luò)安全法》《個(gè)人信息保護(hù)法》等法律明確規(guī)定的個(gè)人享有的人格權(quán)益。人格權(quán)是基本民事權(quán)利，與人格尊嚴(yán)直接相關(guān)，對(duì)其的限制應(yīng)采取法律保留原則，對(duì)個(gè)人權(quán)益克減都應(yīng)該有法律的明確規(guī)定[28]，而不應(yīng)該草率地通過(guò)類推得出權(quán)益被克減的結(jié)論。依據(jù)個(gè)人信息保護(hù)法的基本原理同樣可以得出否定的結(jié)論。因?yàn)椤肮_(kāi)透明原則”是我國(guó)乃至國(guó)際個(gè)人信息保護(hù)領(lǐng)域的立法中的一項(xiàng)重要原則[29]，這一原則要求個(gè)人信息處理者在處理個(gè)人信息時(shí)應(yīng)當(dāng)盡可能地保障個(gè)人的知情權(quán)。為保障個(gè)人知情權(quán)而建立和健全的良好信息披露機(jī)制，盡管給處理者帶來(lái)了更大的合規(guī)壓力，但可以使個(gè)人“保持清醒的在場(chǎng)”[30]，這是個(gè)人行使其他個(gè)人信息權(quán)益的基礎(chǔ)。在個(gè)人信息保護(hù)規(guī)則存在適用的模糊地帶時(shí)，可以依據(jù)個(gè)人信息的基本原則進(jìn)行解釋，得出應(yīng)當(dāng)保障個(gè)人知情權(quán)的結(jié)論。因此，在沒(méi)有明文規(guī)定對(duì)知情權(quán)進(jìn)行限制時(shí)，不能通過(guò)類推解釋將合理使用規(guī)則納入對(duì)知情權(quán)克減的“另有規(guī)定”之中。實(shí)際上，《個(gè)人信息保護(hù)法》第17條規(guī)定了“個(gè)人信息處理者的名稱或者姓名和聯(lián)系方式”等個(gè)人信息處理者的告知義務(wù)的具體事項(xiàng)。從權(quán)利義務(wù)相對(duì)應(yīng)的角度切入，個(gè)人信息處理者的義務(wù)實(shí)際上就是個(gè)人的權(quán)利?？梢岳斫鉃?，在法律沒(méi)有明確規(guī)定豁免個(gè)人信息處理者的告知義務(wù)時(shí)，個(gè)人對(duì)其個(gè)人信息的處理享有相應(yīng)的知情權(quán)。

除上述論證外，從體系邏輯的一致性方面考慮，個(gè)人的知情權(quán)在合理使用場(chǎng)景下亦不應(yīng)當(dāng)被限制?！奥男蟹ǘ氊?zé)”是《個(gè)人信息保護(hù)法》明確規(guī)定的個(gè)人信息合理使用情形之一，國(guó)家機(jī)關(guān)在“履行法定職責(zé)”時(shí)不需要取得個(gè)人同意。但《個(gè)人信息保護(hù)法》第35條的規(guī)定為國(guó)家機(jī)關(guān)確立了一般性的告知義務(wù)[31]，原則上“履行法定職責(zé)”時(shí)國(guó)家機(jī)關(guān)應(yīng)當(dāng)依法履行告知義務(wù)。只有在“法律、行政法規(guī)規(guī)定應(yīng)當(dāng)保密或者不需要告知”或“告知將妨礙國(guó)家機(jī)關(guān)履行法定職責(zé)”等明確規(guī)定的情形時(shí)其告知義務(wù)才被豁免。雖然履行法定職責(zé)屬于第13條第2款的合理使用規(guī)則的情形，但在此處仍然需要履行告知義務(wù)。再如，對(duì)于“緊急情況下為保護(hù)自然人的生命健康和財(cái)產(chǎn)安全所必需”的個(gè)人信息處理，屬于不需取得個(gè)人同意的個(gè)人信息合理使用。但《個(gè)人信息保護(hù)法》第18條第2款規(guī)定在該種合理使用情形下“個(gè)人信息處理者應(yīng)當(dāng)在緊急情況消除后及時(shí)告知”，而非完全不需要告知。這兩點(diǎn)可以從側(cè)面印證以下結(jié)論：盡管個(gè)人信息處理的合理使用規(guī)則限制了個(gè)人的自主決定權(quán)（不需要取得個(gè)人的同意），但個(gè)人原則上仍然享有知情權(quán)（盡管可能在緊急情況下是嗣后告知）。

（三）合理使用場(chǎng)景下告知義務(wù)豁免條款限制個(gè)人的知情權(quán)

延續(xù)上文思路，個(gè)人信息處理者告知義務(wù)的豁免規(guī)則其實(shí)就是《個(gè)人信息保護(hù)法》第44條中減損個(gè)人對(duì)其個(gè)人信息處理的知情權(quán)的“另有規(guī)定”。此類“另有規(guī)定”如《個(gè)人信息保護(hù)法》第18條和第35條，規(guī)定了特殊情形下免除個(gè)人信息處理者的告知義務(wù)，在這些情形下個(gè)人對(duì)其個(gè)人信息處理的知情權(quán)被限制。反之，在無(wú)法滿足有豁免告知義務(wù)的“另有規(guī)定”的情形時(shí)，個(gè)人信息處理者的告知義務(wù)沒(méi)有被豁免，個(gè)人仍然享有對(duì)其個(gè)人信息處理的相應(yīng)知情權(quán)?？偠灾侠硎褂弥贫入m然是“告知—同意”的例外規(guī)則，對(duì)個(gè)人信息權(quán)益進(jìn)行了一定限制，但是這種限制主要表現(xiàn)在對(duì)個(gè)人的自主決定權(quán)的限制，并不必然可以對(duì)個(gè)人的知情權(quán)進(jìn)行同樣的限制，只有在法律有特殊規(guī)定（如豁免告知義務(wù)的規(guī)定）時(shí)，基于這些另有規(guī)定個(gè)人知情權(quán)才受到限制。[32]限制自主決定權(quán)和限制知情權(quán)的情形存在差別，而且在理論上免除告知義務(wù)的規(guī)定應(yīng)當(dāng)比無(wú)需取得個(gè)人同意的情形更加嚴(yán)格。[33]目前，有學(xué)者提出國(guó)家機(jī)關(guān)作為個(gè)人信息處理者時(shí)，可以分為三種類型：“取得同意-應(yīng)當(dāng)告知”“無(wú)需同意-應(yīng)當(dāng)告知”和“無(wú)需告知-無(wú)需同意”三種可能的情形。[34]其實(shí)，這三種類型的劃分不僅適用于國(guó)家機(jī)關(guān)作為個(gè)人信息處理者的情形，所有的個(gè)人信息處理都可以采用這種劃分方式，如表1所示。

舉例以說(shuō)明：表中第一種情形是一般的“告知—同意”情形，不再贅言。表中列舉的第二種“無(wú)需同意-應(yīng)當(dāng)告知”情形：用人單位為實(shí)施人力資源管理而處理個(gè)人信息，屬于個(gè)人信息的合理使用，不需要取得個(gè)人同意。但由于用人單位的合理使用不屬于法定免除告知義務(wù)的情形，則其仍然需要履行《個(gè)人信息保護(hù)法》第17條的告知義務(wù)，此時(shí)個(gè)人的知情權(quán)沒(méi)有被限制。表中列舉的第三種“無(wú)需同意-無(wú)需告知”情形：對(duì)于偵查機(jī)關(guān)以收集處理嫌疑人個(gè)人信息為手段來(lái)實(shí)施的刑事偵查行為，屬于“履行法定職責(zé)”的合理使用，國(guó)家機(jī)關(guān)不需要取得個(gè)人同意。同時(shí)，處理嫌疑人的個(gè)人信息屬于《個(gè)人信息保護(hù)法》第35條規(guī)定的限制知情權(quán)條款中的“告知將妨礙國(guó)家機(jī)關(guān)履行法定職責(zé)”的情形，此時(shí)偵查機(jī)關(guān)不需要履行告知義務(wù)，嫌疑人的知情權(quán)被限制。綜上所述，只有在法定的特殊情形下（即上表中的“無(wú)需同意-無(wú)需告知”情形），立法者才對(duì)個(gè)人的決定權(quán)與知情權(quán)進(jìn)行“雙重限制”，此時(shí)個(gè)人信息處理者既不需要取得同意，也不再需要履行告知義務(wù)。

值得注意的是，對(duì)知情權(quán)的限制并非來(lái)自合理使用規(guī)則本身，而是來(lái)自限制個(gè)人知情權(quán)（豁免個(gè)人信息處理者的告知義務(wù)）的“另有規(guī)定”。若沿此思路，一個(gè)不可回避的問(wèn)題是如何合理界定和理解“限制知情權(quán)的規(guī)則”?！秱€(gè)人信息保護(hù)法》第18條“……有法律、行政法規(guī)規(guī)定應(yīng)當(dāng)保密或者不需要告知的情形的，可以不向個(gè)人告知前條第一款規(guī)定的事項(xiàng)”的表述方式，留下了一定的模糊地帶。其中，對(duì)于明確規(guī)定“應(yīng)當(dāng)保密”的情形無(wú)需過(guò)多討論，不會(huì)產(chǎn)生過(guò)多爭(zhēng)議；但對(duì)于“不需要告知”的情形，卻有兩種理解方式：一種理解方式認(rèn)為“法律、行政法規(guī)規(guī)定”作為“應(yīng)當(dāng)保密”和“不需要告知”兩種情形的共同定語(yǔ)，也即此處規(guī)定的是：“法律、行政法規(guī)規(guī)定”的“應(yīng)當(dāng)保密”和“法律、行政法規(guī)規(guī)定”的“不需要告知”兩種情形[35,36]；另一種理解方式則認(rèn)為“法律、行政法規(guī)規(guī)定”作為“應(yīng)當(dāng)保密”情形的定語(yǔ)，而“不需要告知”則作為與前項(xiàng)“法律、行政法規(guī)規(guī)定”的“應(yīng)當(dāng)保密”并列的單獨(dú)一項(xiàng)情形。[37,38]前種理解方式意味著只有法律、行政法規(guī)明確規(guī)定“不需要告知”時(shí)個(gè)人信息處理者才不須告知，后種理解下的“不需要告知”涵蓋范圍則更加寬闊，留下了實(shí)質(zhì)判斷是否需要告知的空間。

此處宜采第二種解釋路徑，原因在于：其一，第二種解釋路徑有利于《個(gè)人信息保護(hù)法》與其他法律的協(xié)調(diào)，可以減少相應(yīng)的立法成本。目前我國(guó)已有的法律規(guī)定一般是采取規(guī)定保密的方式，而“不需要告知”這一表述實(shí)質(zhì)上是《個(gè)人信息保護(hù)法》的獨(dú)創(chuàng)表述。由于其他法律并沒(méi)有做出此種規(guī)定，此時(shí)如果嚴(yán)格要求“法律、行政法規(guī)”規(guī)定的“不需要告知”，該規(guī)則將無(wú)法與現(xiàn)有法律體系有效銜接。其二，第二種解釋路徑有利于《個(gè)人信息保護(hù)法》的內(nèi)部自洽。目前，對(duì)于非基于個(gè)人同意的個(gè)人信息合理使用規(guī)則中的部分情形，若從成本效益方面考量本應(yīng)納入上文所提到的“無(wú)需同意-無(wú)需告知”的情形，例如“為公共利益實(shí)施新聞報(bào)道與輿論監(jiān)督”以及“處理已經(jīng)公開(kāi)的信息”等情形時(shí)，如果要求處理者滿足相應(yīng)的告知義務(wù)，將會(huì)導(dǎo)致成本收益的失衡，甚至對(duì)于“處理已經(jīng)公開(kāi)的信息”，履行告知義務(wù)可能由于搜尋成本等問(wèn)題而不具有現(xiàn)實(shí)可行性，并面臨實(shí)際操作上的障礙。[39]上述情形顯然不符合“應(yīng)當(dāng)保密”的條件，同時(shí)《個(gè)人信息保護(hù)法》亦未明確規(guī)定其屬于“不需要告知”的情形。如果采第一種解釋路徑，則相應(yīng)的結(jié)論是“為公共利益實(shí)施新聞報(bào)道與輿論監(jiān)督”以及“處理已經(jīng)公開(kāi)的信息”屬于“無(wú)需同意-應(yīng)當(dāng)告知”的類型，也即：處理者必須滿足相應(yīng)的告知義務(wù)。但這樣的結(jié)論顯然不具有現(xiàn)實(shí)可行性，同時(shí)也與個(gè)人信息保護(hù)和利用相平衡的立法目的相悖。對(duì)于已經(jīng)合法公開(kāi)的個(gè)人信息，在學(xué)理上亦有觀點(diǎn)認(rèn)為個(gè)人信息處理者原則上無(wú)需履行告知義務(wù)即可自由處理。[40]因此，本文認(rèn)可第二種解釋思路：將“不需要告知”的情形作為一項(xiàng)實(shí)質(zhì)判斷事項(xiàng)，而非“有法律、行政法規(guī)規(guī)定”時(shí)的準(zhǔn)用事項(xiàng)。此時(shí)，可以將“為公共利益實(shí)施新聞報(bào)道與輿論監(jiān)督”以及“處理已經(jīng)公開(kāi)的信息”④解釋為無(wú)需告知的事項(xiàng)，從而達(dá)到妥適平衡個(gè)人信息保護(hù)與利用的目的。當(dāng)然，此時(shí)何種情形屬于“不需要告知”的指涉范圍，需要進(jìn)一步明確，防止實(shí)質(zhì)判斷空間的過(guò)度擴(kuò)張。

四、我國(guó)法中合理使用與單獨(dú)同意的體系協(xié)調(diào)

所謂特殊同意制度是指依據(jù)個(gè)人信息保護(hù)的有關(guān)法律的要求，在處理個(gè)人信息時(shí)區(qū)別于一般情形下的同意條件，而采取特殊的同意方式，方能處理該個(gè)人信息的有關(guān)制度。特殊同意比一般同意在內(nèi)容或形式方面有著更高的要求。例如，在歐盟《通用數(shù)據(jù)保護(hù)條例》中有區(qū)別于一般同意的“明確同意”（explicit consent）⑤；在韓國(guó)《個(gè)人信息保護(hù)法》中存在要求取得“另行同意”的處理情形。⑥我國(guó)《民法典》《個(gè)人信息保護(hù)法》等立法對(duì)于個(gè)人信息處理中的同意，亦采用了多元化而非一元化的設(shè)定模式[41]，《個(gè)人信息保護(hù)法》中存在一般同意和單獨(dú)同意等特殊同意的區(qū)別。各法域的立法者之所以規(guī)定特殊同意制度，是為了在涉及個(gè)人信息處理的特殊場(chǎng)景時(shí)將法律的天平更加傾向于個(gè)人，更加嚴(yán)格地限制處理者的處理行為，體現(xiàn)了立法對(duì)個(gè)人信息權(quán)益的加強(qiáng)保護(hù)。[42]一方面，可以增大個(gè)人信息處理者的收集成本，防止其對(duì)個(gè)人信息權(quán)益的肆意侵害，另一方面，更加嚴(yán)格的告知義務(wù)和同意條件更可能喚醒個(gè)人的權(quán)利保護(hù)意識(shí)從而謹(jǐn)慎授權(quán)。[43,44]

我國(guó)《個(gè)人信息保護(hù)法》中的特殊同意制度目前主要包括單獨(dú)同意和書(shū)面同意：其中書(shū)面同意主要由引致條款規(guī)定⑦，在此處不做贅述；單獨(dú)同意主要包括“敏感個(gè)人信息的處理”“個(gè)人信息的公開(kāi)”“非公共安全目的對(duì)個(gè)人圖像、身份識(shí)別信息的收集”“個(gè)人信息的跨境轉(zhuǎn)移”以及“向其他個(gè)人信息處理者提供個(gè)人信息”等類型。在上述場(chǎng)景下，如果沒(méi)有取得相應(yīng)的特殊同意，該個(gè)人信息處理行為則具有違法性[45]，應(yīng)當(dāng)承擔(dān)相應(yīng)的侵權(quán)責(zé)任。目前，最典型的特殊同意的場(chǎng)景是對(duì)個(gè)人敏感信息的處理，諸如歐盟《通用數(shù)據(jù)保護(hù)條例》、日本《個(gè)人信息保護(hù)法》、韓國(guó)《個(gè)人信息保護(hù)法》以及我國(guó)《個(gè)人信息保護(hù)法》等現(xiàn)實(shí)立法均在個(gè)人敏感信息上提高了處理門(mén)檻，設(shè)置了更高程度的特殊同意要求。[46]因此，下文將以個(gè)人敏感信息的單獨(dú)同意規(guī)則為例，探討其作為特殊同意規(guī)則與個(gè)人信息合理使用規(guī)則的關(guān)系。

（一）歐盟《通用數(shù)據(jù)保護(hù)條例》中合理使用規(guī)則的雙層結(jié)構(gòu)

歐盟的《通用數(shù)據(jù)保護(hù)條例》作為公認(rèn)的“最嚴(yán)格的個(gè)人信息保護(hù)規(guī)則”[47]，對(duì)個(gè)人敏感信息的處理采取了非常嚴(yán)格的制度設(shè)計(jì)——“原則禁止，特殊例外”的處理原則。[48]一方面，原則上禁止處理個(gè)人的敏感信息，其第9條第1款規(guī)定，對(duì)于“種族或民族背景、政治觀念、宗教或哲學(xué)信仰、工會(huì)成員、基因數(shù)據(jù)、為了特定識(shí)別自然人的生物性識(shí)別數(shù)據(jù)、自然人健康以及個(gè)人性生活或性取向”相關(guān)的個(gè)人信息，原則上應(yīng)當(dāng)禁止處理。另一方面，即使處理者欲通過(guò)取得個(gè)人的同意來(lái)獲得處理個(gè)人敏感信息的合法性，還需要取得個(gè)人的更高程度的同意——明確同意（explicit consent），即該同意必須是“自由給予、明確、具體、不含混”的，個(gè)人的任何被動(dòng)同意均不符合《通用數(shù)據(jù)保護(hù)條例》的規(guī)定。[49]值得注意的是，歐盟《通用數(shù)據(jù)保護(hù)條例》中的特殊同意是“明確同意”，與我國(guó)立法中的“單獨(dú)同意”存在區(qū)別。[50,51]盡管其在規(guī)范表述和條件要求上存在不同，但二者在各自立法體系中均為嚴(yán)格程度高于“一般同意”的“特殊同意”，在此意義上二者具有相似的地位。鑒于此，本文將以我國(guó)與歐盟法中的這兩種地位相似的“特殊同意”與各自立法體系中的個(gè)人信息合理使用規(guī)則的關(guān)系作為研究對(duì)象。

在本文第一部分已經(jīng)提到，《通用數(shù)據(jù)保護(hù)條例》第6條第1款“處理的合法性（除了第a項(xiàng)為取得個(gè)人同意外）”屬于本文研究之“合理使用規(guī)則”。但除此之外，在《通用數(shù)據(jù)保護(hù)條例》第9條“對(duì)特殊類型個(gè)人數(shù)據(jù)的處理”中，規(guī)定了處理個(gè)人特殊敏感信息的合法性事由，其中不僅包括更高程度要求的“特殊同意”，還包括了其他“非基于同意”的處理情形，同樣屬于本文所研究的“合理使用規(guī)則”。因此，在《通用數(shù)據(jù)保護(hù)條例》中，合理使用規(guī)則可以分為兩部分，分別是第6條第1款“處理的合法性”中除第a項(xiàng)“取得個(gè)人同意”之外的合法處理情形，以及第9條第2款“禁止處理敏感信息的例外”中除了第a項(xiàng)“取得個(gè)人特殊同意”之外的合法處理情形。其中，第6條第1款中的合理使用規(guī)則是合理使用的一般規(guī)則，而第9條第2款中的合理使用規(guī)則是敏感信息場(chǎng)景下的特殊規(guī)則，二者是特殊規(guī)則與一般規(guī)則的關(guān)系。依據(jù)特別法優(yōu)于一般法的法律適用原則，在特殊場(chǎng)景下第9條第2款的合理使用規(guī)則處于優(yōu)先適用的位階。

歐盟《通用數(shù)據(jù)保護(hù)條例》的雙層合理使用規(guī)則，可以在敏感信息場(chǎng)景下對(duì)非基于同意的個(gè)人信息合理使用設(shè)置更高程度的條件與要求。例如，對(duì)于一般情況下的個(gè)人信息合理使用，依據(jù)《通用數(shù)據(jù)保護(hù)條例》第6條第1款第d項(xiàng)的規(guī)定，當(dāng)個(gè)人信息屬于“處理對(duì)于保護(hù)數(shù)據(jù)主體或另一個(gè)自然人的核心利益所必要”的情形時(shí)，無(wú)需個(gè)人同意即可對(duì)個(gè)人信息進(jìn)行處理；而在“種族、民族、個(gè)人性生活或性取向相關(guān)”等敏感信息的處理場(chǎng)景下，依據(jù)第9條第2款第c項(xiàng)的規(guī)定，個(gè)人信息合理使用需要滿足“數(shù)據(jù)主體因?yàn)樯眢w原因或法律原因而無(wú)法表達(dá)同意，但處理對(duì)于保護(hù)數(shù)據(jù)主體或另一自然人的核心利益卻是必要的”的條件。相比之下，敏感信息場(chǎng)景下的合理使用被嚴(yán)格限制在“數(shù)據(jù)主體因?yàn)樯眢w原因或法律原因而無(wú)法表達(dá)同意”的條件下。此種嚴(yán)格條件的設(shè)置并非孤例，實(shí)際上第9條第2款中的第b項(xiàng)至第i項(xiàng)均為對(duì)第6條第1款中的一般情形下的合理使用規(guī)則的嚴(yán)格與細(xì)化。

綜上，歐盟立法中設(shè)置了雙層合理使用規(guī)則，在敏感信息場(chǎng)景下《通用數(shù)據(jù)保護(hù)條例》第9條的“明確同意”作為特殊同意規(guī)則與特殊的合理使用規(guī)則的共同構(gòu)成個(gè)人信息處理的合法事由，合理使用規(guī)則與特殊同意規(guī)則并不具有發(fā)生沖突的可能性。

（二）我國(guó)《個(gè)人信息保護(hù)法》視野下特殊同意與合理使用的規(guī)則沖突

不同于《通用數(shù)據(jù)保護(hù)條例》對(duì)一般情形和特殊場(chǎng)景下合理使用規(guī)則的區(qū)分設(shè)置，我國(guó)并沒(méi)有對(duì)特殊情形下的合理使用規(guī)則進(jìn)行單獨(dú)設(shè)置，因此產(chǎn)生了合理使用與特殊同意相關(guān)規(guī)則適用的沖突。我國(guó)《個(gè)人信息保護(hù)法》對(duì)敏感信息處理等特殊場(chǎng)景設(shè)置了區(qū)別于“一般同意”的“特殊同意”——主要是“單獨(dú)同意”規(guī)則（“書(shū)面同意”由引致條款規(guī)定），但卻沒(méi)有如歐盟立法中一樣對(duì)于敏感信息等特殊場(chǎng)景下個(gè)人信息處理的合理使用進(jìn)行單獨(dú)規(guī)定，只在第13條規(guī)定了單一的合理使用規(guī)則。基于此，在構(gòu)成個(gè)人信息的合理使用的情形時(shí)，是否仍然需要取得個(gè)人的特殊同意？或者表達(dá)為，在需要特殊同意的個(gè)人信息處理場(chǎng)景下，“非基于個(gè)人同意”的合理使用規(guī)則是否還有適用的空間？這一問(wèn)題實(shí)質(zhì)上是合理使用與特殊同意的體系關(guān)系為何，對(duì)于這一問(wèn)題現(xiàn)行法并沒(méi)有給出明確的答案，仍有賴于對(duì)相關(guān)規(guī)則的解釋。

若從現(xiàn)行法考察，依據(jù)《個(gè)人信息保護(hù)法》第14條的規(guī)定，“基于同意”的個(gè)人信息處理，如果有法定特殊同意要求另有規(guī)定的需要取得相應(yīng)的特別同意。再如《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例（征求意見(jiàn)稿）》，其延續(xù)了《個(gè)人信息保護(hù)法》第14條的規(guī)定方式，第21條規(guī)定“處理個(gè)人信息應(yīng)當(dāng)取得個(gè)人同意的，數(shù)據(jù)處理者應(yīng)當(dāng)遵守以下規(guī)定：……（二）處理個(gè)人生物識(shí)別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等敏感個(gè)人信息應(yīng)當(dāng)取得個(gè)人單獨(dú)同意；……”。這一規(guī)定同樣只強(qiáng)調(diào)了：在涉及個(gè)人敏感信息的個(gè)人信息處理中，對(duì)于“基于個(gè)人同意”的個(gè)人信息處理，還需要取得個(gè)人的“單獨(dú)同意”，而沒(méi)有明確規(guī)定“非基于同意”（即本文所謂個(gè)人信息的合理使用）的個(gè)人信息處理是否需要取得對(duì)敏感信息的單獨(dú)同意。

在這一點(diǎn)上，可以認(rèn)為立法存在較大的模糊地帶：從規(guī)則指向的反向理解來(lái)看可以得出疑問(wèn)，“非基于同意”的個(gè)人信息處理是否同“基于同意”一樣需要取得個(gè)人的特殊同意？舉例而言，“人力資源管理所必需而處理個(gè)人信息”屬于法定的合理使用情形，一般情況下無(wú)需取得個(gè)人的同意即可處理個(gè)人信息，并無(wú)太大爭(zhēng)議。但在涉及生物識(shí)別、銀行賬戶等敏感信息特殊場(chǎng)景時(shí)，是否需要取得個(gè)人的單獨(dú)同意，是一個(gè)法律沒(méi)有明確規(guī)定的問(wèn)題。這一問(wèn)題的實(shí)質(zhì)在于如何理解合理使用規(guī)則與特殊同意規(guī)則之間的適用位階關(guān)系。

若就制度定位而言，合理使用規(guī)則是立法者出于彌補(bǔ)“告知—同意”規(guī)則的過(guò)于剛性的目的，為協(xié)調(diào)個(gè)人信息利用與個(gè)人信息保護(hù)的平衡而設(shè)立的規(guī)則。因此，合理使用規(guī)則與基于同意的個(gè)人信息處理規(guī)則同樣被并列規(guī)定于《個(gè)人信息保護(hù)法》第13條中。立法者采取“原則-例外列舉”的立法技術(shù)，實(shí)際上是將合理使用規(guī)則理解為一般“告知—同意”的替代與補(bǔ)充制度，也即合理使用規(guī)則可以為個(gè)人信息處理提供與取得個(gè)人同意相同的正當(dāng)性基礎(chǔ)。在這個(gè)意義上，“告知—同意”規(guī)則與合理使用規(guī)則是具有相同位階的制度，二者對(duì)于個(gè)人信息處理者而言是“或有”的關(guān)系，只需要符合其中之一，個(gè)人信息處理行為即具有合法性。而特殊同意制度是立法者出于對(duì)敏感信息處理、信息公開(kāi)行為等特殊場(chǎng)景下個(gè)人信息的側(cè)重保護(hù)而設(shè)立的制度，要求單獨(dú)同意或者書(shū)面同意，體現(xiàn)了對(duì)個(gè)人信息處理更高程度的要求，是所有個(gè)人信息處理的特殊規(guī)則。因此，特殊同意規(guī)則、“告知—同意”規(guī)則以及合理使用規(guī)則之間的關(guān)系，是第一種解釋路徑，特殊同意規(guī)則是所有的個(gè)人處理行為（包括“一般同意”情形和“合理使用”情形）的特殊規(guī)定，效力位階上優(yōu)先于作為一般規(guī)定的“告知—同意”規(guī)則與其“補(bǔ)充制度”——合理使用規(guī)則。

但僅對(duì)《個(gè)人信息保護(hù)法》第14條第1款⑧的條文表述進(jìn)行文義解釋，此處還可以有另一種理解和適用的方式，將會(huì)得出相反的結(jié)論?？梢詫ⅰ秱€(gè)人信息保護(hù)法》第14條和《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例（征求意見(jiàn)稿）》第21條的規(guī)定理解為：只有“基于同意”的個(gè)人信息處理行為在有法定特殊同意要求時(shí)，才需要取得相應(yīng)的特殊同意。而對(duì)于“非基于同意”的個(gè)人信息合理使用，則不需要滿足相應(yīng)的特殊同意的要求。第二種解釋路徑的實(shí)質(zhì)是僅僅將單獨(dú)同意等特殊同意作為“告知—同意”規(guī)則的特別規(guī)定，亦即：只有在適用“告知—同意”規(guī)則時(shí)遇到需要特殊同意的處理場(chǎng)景時(shí)才需要特別同意，而對(duì)于非基于同意的合理使用，則不需要取得特殊同意。

總而言之，法律的模糊性為此處留下了兩種理解與適用的方式：前者認(rèn)為，特殊同意規(guī)則是所有個(gè)人信息處理行為的特殊規(guī)則，而合理使用規(guī)則同“告知—同意”規(guī)則一樣，是個(gè)人信息處理的一般規(guī)則；后者認(rèn)為，特殊同意規(guī)則僅是“告知—同意”規(guī)則的特殊規(guī)則，不影響合理使用規(guī)則的適用。依據(jù)特殊規(guī)定優(yōu)先于一般規(guī)定的法律適用方法，二者的區(qū)別在于：前者認(rèn)為特殊同意規(guī)則作為特殊規(guī)則，將優(yōu)先于作為一般規(guī)則的“告知—同意”規(guī)則與合理使用規(guī)則，從而得出對(duì)于敏感個(gè)人信息等特殊同意情形，即使符合合理使用的要求，也應(yīng)當(dāng)取得個(gè)人的特殊同意；而后者的結(jié)論則正相反，符合個(gè)人信息合理使用的條件時(shí)，將不再需要取得個(gè)人的特殊同意。舉例而言，對(duì)于用人單位作為處理者的情形，員工的銀行賬戶、生物識(shí)別等敏感信息在滿足合理使用的條件時(shí)，前者認(rèn)為用人單位仍然應(yīng)當(dāng)依法取得單獨(dú)同意，后者則認(rèn)為只要屬于合理使用就不再需要取得單獨(dú)同意。目前，學(xué)界對(duì)于這一問(wèn)題尚未形成共識(shí)，在理解上尚存在分歧：一部分學(xué)者支持第二種解釋路徑，譬如有觀點(diǎn)主張此處沒(méi)有限制“基于個(gè)人同意”只是為了“使表述更加嚴(yán)謹(jǐn)凝練”[52]，實(shí)際上僅限于“基于個(gè)人同意”的情形；再如有觀點(diǎn)認(rèn)為“（單獨(dú)同意）當(dāng)然是指那些基于個(gè)人同意處理個(gè)人信息情形，至于依據(jù)法律、行政法規(guī)的規(guī)定無(wú)需個(gè)人同意即可處理個(gè)人信息的情形，則不適用”[53]。但是，亦有學(xué)者支持第一種解釋路徑，并對(duì)前述觀點(diǎn)表示了質(zhì)疑，認(rèn)為“單獨(dú)同意”不應(yīng)當(dāng)被合理使用規(guī)則所豁免，其論據(jù)是：其一，體系解釋方面，《個(gè)人信息保護(hù)法》第13條第2款（即合理使用規(guī)則）中“不需要取得個(gè)人同意”的“同意”，僅指“一般個(gè)人信息處理的同意”，而非特殊場(chǎng)景下的“單獨(dú)同意”；其二，在利益衡量方面，如果“單獨(dú)同意”可以被合理使用規(guī)則所直接豁免，可能存在結(jié)果上的不合理。[54]

本文認(rèn)為后一觀點(diǎn)值得進(jìn)一步商榷，原因在于：第一，后一觀點(diǎn)所采取的解釋方法為反向解釋，即是依照法律規(guī)定的命題（判斷），推斷其反方面命題（判斷）的一種法律解釋方法。[55]但是此種解釋方法需要滿足一定的條件：只有要件和效果構(gòu)成必要條件或充要條件假言命題的法條，才可以采取“否定法律要件進(jìn)而否定法律效果”的解釋方式。[56]而在此處，并沒(méi)有充分的理由認(rèn)定《個(gè)人信息保護(hù)法》第14條第1款符合適用反對(duì)解釋的條件，因此無(wú)法得出該反向解釋的結(jié)論。具言之，第14條可以表達(dá)為：存在需要單獨(dú)同意的另有規(guī)定時(shí)，如果條件是“基于個(gè)人同意”的個(gè)人信息處理，則效果是“應(yīng)當(dāng)取得個(gè)人的單獨(dú)同意”。第二種解釋路徑是對(duì)第14條的反向解釋，具體為：存在需要單獨(dú)同意的另有規(guī)定時(shí)，如果條件是“非基于個(gè)人同意的個(gè)人信息處理”，效果是“無(wú)需取得個(gè)人的單獨(dú)同意”。根據(jù)形式邏輯推理的研究，這一結(jié)論成立所需要的條件是《個(gè)人信息保護(hù)法》第14條屬于“法律條件是法律效果的必要條件或充要條件的法律規(guī)范”。但是，該法條并沒(méi)有使用嚴(yán)格的邏輯學(xué)假言判斷的聯(lián)結(jié)項(xiàng)（如必要條件為“只有……才”，充分條件為“如果……就”）。此時(shí)，判斷命題的類型就還需要結(jié)合法律體系、立法目的、利益衡量等進(jìn)行判斷。[57]由此，關(guān)于此問(wèn)題的討論就必須從形式邏輯走向?qū)嵸|(zhì)判斷，同時(shí)結(jié)合上文有學(xué)者提出的有關(guān)13條中“同意”的體系解釋與適用后果的利益分析的論據(jù)可知，此處不宜以“當(dāng)然可知”等類似說(shuō)法輕易通過(guò)反向解釋得出該結(jié)論。

第二，從體系解釋的角度來(lái)看，除了第14條第1款外，《個(gè)人信息保護(hù)法》并沒(méi)有明確規(guī)定將“單獨(dú)同意”規(guī)則只局限于“基于個(gè)人同意”的個(gè)人信息處理。例如，其第29條規(guī)定“處理敏感個(gè)人信息應(yīng)當(dāng)取得個(gè)人的單獨(dú)同意……”，其中并沒(méi)有像第14條第1款一樣限定“基于個(gè)人同意”，從單純文義解釋來(lái)看該規(guī)則是所有涉及敏感信息的個(gè)人信息處理均需要遵守的規(guī)則。

第三，從歷史解釋的角度來(lái)看，分析《個(gè)人信息保護(hù)法》第29條的變遷歷史亦可以得出相同的結(jié)論。第29條的規(guī)則表述在《個(gè)人信息保護(hù)法》立法過(guò)程中經(jīng)歷過(guò)修改變動(dòng)，在《中華人民共和國(guó)個(gè)人信息保護(hù)法（草案二次審議稿）》（以下簡(jiǎn)稱“《二審稿》”）中其表述為“基于個(gè)人同意處理敏感個(gè)人信息的，個(gè)人信息處理者應(yīng)當(dāng)取得個(gè)人的單獨(dú)同意……”，這樣的表述其實(shí)是將敏感個(gè)人信息處理的“單獨(dú)同意”規(guī)則限制于“基于個(gè)人同意”的個(gè)人信息處理。與之相對(duì)，第23條、第25條、第26條、第39條同為“單獨(dú)同意”的個(gè)人處理情形，在《二審稿》中卻沒(méi)有“基于個(gè)人同意”的限制。通過(guò)對(duì)比可知，在《二審稿》中敏感個(gè)人信息的“單獨(dú)同意”僅限于“基于個(gè)人同意”的個(gè)人信息處理，而第23條、第25條、第26條、第39條等規(guī)則規(guī)定的“單獨(dú)同意”不限于“基于個(gè)人同意”的個(gè)人信息處理。而在最終的《個(gè)人信息保護(hù)法》中將第29條的“基于個(gè)人同意”的限定條件刪除，將其與第23條等規(guī)則的“單獨(dú)同意”同等對(duì)待，實(shí)際上是拓寬了敏感個(gè)人信息處理“單獨(dú)同意”規(guī)則的適用范圍。這一變化可以從側(cè)面印證上述結(jié)論——“單獨(dú)同意”規(guī)則并非僅限于“基于個(gè)人同意”的個(gè)人信息處理情形，除非有明確規(guī)定的限定條件（如《二審稿》中的敏感個(gè)人信息處理）。這樣也可以反駁前文提到的刪除“基于個(gè)人同意”僅是為了“使表述更加嚴(yán)謹(jǐn)凝練”的觀點(diǎn)。如果認(rèn)為刪除“基于個(gè)人同意”僅是為了“使表述更加嚴(yán)謹(jǐn)凝練”，也即認(rèn)為如果不規(guī)定“基于個(gè)人同意”就可以直接視同有“基于個(gè)人同意”的限制，就無(wú)法解釋為何在《二審稿》中的“單獨(dú)同意”在部分情形下有“基于個(gè)人同意”的表述，而部分情形并無(wú)此表述。假設(shè)《二審稿》中各情形均有“基于個(gè)人同意”的表述，然后再于最終立法文稿中統(tǒng)一刪去，此種解釋方式或許有存在的空間。實(shí)際上，《二審稿》中一部分“單獨(dú)同意”存在“基于個(gè)人同意”限制而另一部分沒(méi)有“基于個(gè)人同意”限制，正說(shuō)明了有無(wú)限制這一條件之間的區(qū)別。因此，可以得出這樣的結(jié)論：以個(gè)人敏感信息處理為典型代表的特殊同意制度，是所有個(gè)人信息處理的特別規(guī)則，優(yōu)先于個(gè)人信息合理使用與“告知—同意”的規(guī)則適用。

綜上所述，在涉及特殊的個(gè)人信息處理場(chǎng)景時(shí)，單獨(dú)同意作為我國(guó)法的“特殊同意”應(yīng)當(dāng)優(yōu)先適用，個(gè)人信息處理者并不能依據(jù)合理使用規(guī)則而直接對(duì)個(gè)人信息進(jìn)行處理，而仍須依法取得單獨(dú)同意。舉例而言，雖然根據(jù)合理使用規(guī)則，用人單位無(wú)需取得員工的同意即可實(shí)施人力資源管理所必需的個(gè)人信息處理行為。但是，對(duì)于員工個(gè)人的人臉識(shí)別信息、宗教信仰、醫(yī)療健康、金融賬戶等敏感信息，應(yīng)當(dāng)取得個(gè)人的單獨(dú)同意才可以進(jìn)行收集等處理行為，此為《個(gè)人信息保護(hù)法》第29條優(yōu)先于個(gè)人信息合理使用規(guī)則的結(jié)果。再如，國(guó)家機(jī)關(guān)依職權(quán)取得了大量的個(gè)人敏感信息，原則上除非取得個(gè)人的單獨(dú)同意，不能將個(gè)人的敏感信息公開(kāi)[58]，此為第25條優(yōu)先于個(gè)人信息合理使用規(guī)則適用的結(jié)果。

（三）知情權(quán)限制規(guī)則作為特殊場(chǎng)景下合理使用的補(bǔ)充制度

雖然上述論述可以較為妥適地解釋單獨(dú)同意的適用位階優(yōu)先于合理使用規(guī)則，但由于我國(guó)《個(gè)人信息保護(hù)法》沒(méi)有像《通用數(shù)據(jù)保護(hù)條例》一樣設(shè)置雙層結(jié)構(gòu)的合理使用規(guī)則，無(wú)法解決特殊場(chǎng)景下的個(gè)人信息的合理使用問(wèn)題。在歐盟法下，雖然特殊場(chǎng)景中的合理使用需要滿足更加嚴(yán)格的適用條件，但是仍然有其適用的空間。而我國(guó)沒(méi)有在敏感信息等特殊場(chǎng)景下設(shè)定單獨(dú)的合理使用規(guī)則，同時(shí)一般合理使用規(guī)則因劣后于特殊同意規(guī)則而無(wú)法適用，在特殊場(chǎng)景下沒(méi)有合理使用個(gè)人信息的制度空間。但實(shí)際上，在國(guó)際視野下的個(gè)人信息保護(hù)專門(mén)立法中，許多國(guó)家規(guī)定了個(gè)人私密信息可予公開(kāi)的特定情形，以確保在國(guó)家意志和公共利益層面上平衡公眾知情權(quán)、監(jiān)督權(quán)與隱私權(quán)。[59]個(gè)人信息的社會(huì)性決定了其所指向的不僅僅是個(gè)體性利益，還具有公共性色彩[60]，私密信息、敏感信息等特殊場(chǎng)景下的個(gè)人信息處理有其保護(hù)的必要性，但是沒(méi)有必要將其設(shè)置為完全的絕對(duì)保護(hù)地位。因此，沒(méi)有必要“完全地、絕對(duì)地”要求在任何條件下對(duì)敏感信息等特殊場(chǎng)景都需要取得個(gè)人的單獨(dú)同意。舉例而言，國(guó)家安全機(jī)關(guān)或公安機(jī)關(guān)在履行偵查職權(quán)時(shí)，可能需要收集與處理被調(diào)查對(duì)象的個(gè)人信息，其中可能包括個(gè)人敏感信息。此時(shí)苛求公安機(jī)關(guān)取得被調(diào)查對(duì)象的單獨(dú)同意，恐怕是一個(gè)有悖于立法初衷與社會(huì)管理現(xiàn)實(shí)需要的結(jié)論。鑒于此類現(xiàn)實(shí)需要，此時(shí)還需要探究的問(wèn)題其實(shí)是如何在承認(rèn)單獨(dú)同意規(guī)則優(yōu)先于合理使用規(guī)則的基礎(chǔ)上，為特殊場(chǎng)景下個(gè)人信息利用留下合適的制度敞口。

目前，在我國(guó)現(xiàn)行法體系下或許可以將知情權(quán)限制規(guī)則作為特殊場(chǎng)景下合理使用的補(bǔ)充制度，來(lái)實(shí)現(xiàn)敏感信息等特殊場(chǎng)景下對(duì)個(gè)人信息的合理使用。如本文第三部分所述，合理使用規(guī)則不影響個(gè)人的知情權(quán)，除非有法律的明確規(guī)定，這些“另有規(guī)定”不僅可以作為限制個(gè)人知情權(quán)的依據(jù)，亦可作為限制單獨(dú)同意規(guī)則適用的依據(jù)。嚴(yán)格來(lái)說(shuō)知情是同意的內(nèi)在規(guī)范要求[61]，限制知情權(quán)的條件比限制決定權(quán)的條件更加嚴(yán)格[62]，舉重以明輕，因?yàn)闊o(wú)需告知所以不必取得同意[63]，如果立法對(duì)個(gè)人的知情權(quán)都已經(jīng)剝奪，自然不存在取得其同意的空間。簡(jiǎn)言之，豁免告知義務(wù)的情形下，無(wú)需取得個(gè)人的同意。[64]例如，依據(jù)《個(gè)人信息保護(hù)法》第18條和第35條的規(guī)定，有“法律、行政法規(guī)規(guī)定應(yīng)當(dāng)保密或者不需要告知的”以及“告知將妨礙國(guó)家機(jī)關(guān)履行法定職責(zé)”等情形時(shí)，個(gè)人信息處理者依法不需要履行告知義務(wù)。因此，對(duì)于敏感信息等特殊場(chǎng)景下的個(gè)人信息處理，如果屬于法律明確規(guī)定的對(duì)知情權(quán)限制的情形，單獨(dú)同意規(guī)則由于限制知情權(quán)條款的存在而不適用，即個(gè)人信息處理者無(wú)需再取得個(gè)人的“單獨(dú)同意”。

對(duì)于被處理者而言，合理使用規(guī)則和知情權(quán)限制規(guī)則達(dá)到了相似的效果——不再需要取得個(gè)人的同意，但是其發(fā)揮效果的原理存在不同，前者是直接限制個(gè)人的決定權(quán)而不再取得個(gè)人的同意，而后者是通過(guò)限制知情權(quán)來(lái)實(shí)現(xiàn)這一效果。在后者效果實(shí)現(xiàn)的過(guò)程中，限制知情權(quán)條款發(fā)揮了效力，但一個(gè)需要回應(yīng)的問(wèn)題是，合理使用規(guī)則在此過(guò)程中的作用是什么？實(shí)際上，二者各自的制度目標(biāo)或許可以回答這一問(wèn)題。合理使用規(guī)則的目的是賦予處理者以非基于個(gè)人同意的個(gè)人信息處理以合法性基礎(chǔ)，限制知情權(quán)條款則是出于某種目的使得被處理者不能了解處理的有關(guān)情況。由此可見(jiàn)，限制知情權(quán)條款并沒(méi)有解決個(gè)人信息處理的合法性基礎(chǔ)問(wèn)題。而對(duì)于限制知情權(quán)情形下的個(gè)人信息處理，由于無(wú)告知義務(wù)而不可能適用“告知—同意”規(guī)則取得處理活動(dòng)的合法性，僅可能通過(guò)合理使用規(guī)則取得合法性。在理論上存在這樣的可能性——處理者的行為符合限制知情權(quán)條款的規(guī)定，但是不符合合法性基礎(chǔ)的規(guī)定：譬如某單位的某項(xiàng)個(gè)人信息處理活動(dòng)符合《中華人民共和國(guó)保守國(guó)家秘密法》第9條的規(guī)定，應(yīng)當(dāng)保密；但是仍然需要依據(jù)合理使用規(guī)則判斷其是否具有合法性基礎(chǔ)，如果超出法定權(quán)限職責(zé)就可能無(wú)法取得合法性基礎(chǔ)，因此可能會(huì)招致對(duì)單位的責(zé)令改正和相關(guān)人員的處分。⑨此時(shí)，個(gè)人信息的合理使用規(guī)則由于單獨(dú)同意規(guī)則的無(wú)法適用而仍可以適用，也即個(gè)人信息處理者仍需要通過(guò)個(gè)人信息合理使用規(guī)則獲得相應(yīng)個(gè)人信息處理行為的合法性。此處可以做一個(gè)簡(jiǎn)短小結(jié)：可以將法定的需要單獨(dú)同意的特殊場(chǎng)景下的合理使用場(chǎng)景區(qū)分為“個(gè)人依法享有知情權(quán)”和“個(gè)人依法不享有知情權(quán)”兩種類型，前者如“人力資源管理所必需”的合理使用，后者如國(guó)家安全機(jī)關(guān)“依法定職權(quán)”的合理使用。前者的個(gè)人信息處理行為仍然受到單獨(dú)同意規(guī)則的約束，個(gè)人合理使用規(guī)則不再適用；而后者則由于限制知情權(quán)的法律規(guī)定而不需要取得個(gè)人單獨(dú)同意，可以直接適用個(gè)人信息合理使用規(guī)則。這種理解與適用的思路可以彌補(bǔ)我國(guó)單層次合理使用規(guī)則的不足，可以在明確特殊同意優(yōu)先于合理使用規(guī)則適用的前提下，在一定程度上通過(guò)解釋得出在特殊場(chǎng)景下仍存在無(wú)需取得特殊同意的制度空間，以回應(yīng)個(gè)人信息利用的現(xiàn)實(shí)需求。

至于限制知情權(quán)規(guī)則的適用，也應(yīng)當(dāng)充分考慮個(gè)人信息保護(hù)目標(biāo)與利用目標(biāo)的平衡。如前文第三部分所述，主要包括“法律、行政法規(guī)規(guī)定應(yīng)當(dāng)保密”和“不需要告知”兩種情形，如果是國(guó)家機(jī)關(guān)處理者，則還包括“告知將妨礙國(guó)家機(jī)關(guān)履行法定職責(zé)”的情形。對(duì)于“應(yīng)當(dāng)保密”和“妨礙履行職責(zé)”這兩者規(guī)定較為清晰，不必贅述。但前文已經(jīng)提到“不需要告知”作為一個(gè)靈活判斷條款，可能會(huì)較為復(fù)雜，需要側(cè)重考慮敏感信息等特殊場(chǎng)景下的個(gè)人信息權(quán)益保護(hù)目標(biāo)：克減一般場(chǎng)景下的知情權(quán)和本應(yīng)取得“單獨(dú)同意”的處理場(chǎng)景下的知情權(quán)，在實(shí)質(zhì)判斷時(shí)的結(jié)果可能不同。譬如，前文第三部分已經(jīng)論證，合理使用已公開(kāi)的一般信息，屬于“不需要告知”的情形[65]，此為個(gè)人信息保護(hù)目標(biāo)向利用目標(biāo)平衡的結(jié)果；但是如果已公開(kāi)的信息屬于敏感信息，因?yàn)槊舾行畔⒌亩x本身就決定了其對(duì)個(gè)人權(quán)益有重大影響，所以應(yīng)當(dāng)適用《個(gè)人信息保護(hù)法》第27條的規(guī)定，仍應(yīng)當(dāng)取得個(gè)人同意[66,67]，并且依據(jù)《個(gè)人信息保護(hù)法》第29條應(yīng)當(dāng)是“單獨(dú)同意”。

五、結(jié)論與討論

出于個(gè)人信息保護(hù)與利用相協(xié)調(diào)的目的，立法者對(duì)個(gè)人信息設(shè)置了同著作權(quán)合理使用規(guī)則相似的個(gè)人信息合理使用規(guī)則。但由于我國(guó)立法沒(méi)有像《通用數(shù)據(jù)保護(hù)條例》對(duì)一般情形和特殊情形下將合理使用規(guī)則區(qū)分設(shè)置，因此產(chǎn)生了合理使用與單獨(dú)同意相關(guān)規(guī)則適用時(shí)的排斥競(jìng)合。本文的初步結(jié)論是：在有單獨(dú)同意規(guī)定的特殊場(chǎng)景下，合理使用規(guī)則原則上不再適用。但鑒于特殊場(chǎng)景下對(duì)個(gè)人信息合理使用的實(shí)際需要，限制知情權(quán)的例外條款仍可作為特殊場(chǎng)景下個(gè)人信息合理使用規(guī)則的制度填補(bǔ)?？偠灾疚闹饕悸返牡讓舆壿嬍莻€(gè)人信息利用目標(biāo)與保護(hù)目標(biāo)之間不斷地平衡與再平衡：出于對(duì)個(gè)人信息保護(hù)目標(biāo)的考慮，確立了“告知—同意”制度；但同時(shí)也確立了“合理使用”制度限制個(gè)人的自主決定權(quán)，賦予處理者以非基于個(gè)人同意的合法性基礎(chǔ)，作為向個(gè)人信息利用目標(biāo)的平衡；出于對(duì)敏感個(gè)人信息、個(gè)人信息公開(kāi)等特殊處理場(chǎng)景的個(gè)人信息的側(cè)重保護(hù)，單獨(dú)同意規(guī)則應(yīng)當(dāng)優(yōu)先于合理使用規(guī)則適用，作為向個(gè)人信息保護(hù)目標(biāo)的再平衡；由于確實(shí)存在個(gè)人信息處理的現(xiàn)實(shí)需要，需要將“限制知情權(quán)”規(guī)則作為向個(gè)人信息利用目標(biāo)的再度平衡；之后，限制知情權(quán)條款（尤其是“不需要告知”作為實(shí)質(zhì)判斷條款）使用時(shí)也要充分考慮個(gè)人信息保護(hù)目標(biāo)，從而實(shí)現(xiàn)向個(gè)人信息保護(hù)目標(biāo)的再度平衡。

注釋

①參見(jiàn)“凌某某與微播視界公司隱私權(quán)、個(gè)人信息權(quán)益網(wǎng)絡(luò)侵權(quán)責(zé)任糾紛案”，北京互聯(lián)網(wǎng)法院（2019）京0491民初6694號(hào)一審民事判決書(shū)。

②歐盟《通用數(shù)據(jù)保護(hù)條例》中的立法表述為“個(gè)人數(shù)據(jù)（Personal Data）”，該定義與我國(guó)數(shù)據(jù)立法中“數(shù)據(jù)”的定義有所不同（例如《數(shù)據(jù)安全法》第3條），但與我國(guó)《個(gè)人信息保護(hù)法》立法表述中的“個(gè)人信息”含義相近。鑒于“數(shù)據(jù)”與“信息”的詳細(xì)區(qū)分無(wú)關(guān)本文宏旨，故在本研究中作簡(jiǎn)化處理，將歐盟法語(yǔ)境下的“個(gè)人數(shù)據(jù)”視為我國(guó)語(yǔ)境下的“個(gè)人信息”，以便于對(duì)規(guī)則的比較研究。

③但是值得注意的是，之所以此處表述為“原則上”，是因?yàn)閭€(gè)人的決定權(quán)因法律的特別規(guī)定而恢復(fù)。例如，《個(gè)人信息保護(hù)法》第27條明確規(guī)定了“當(dāng)事人明確拒絕的除外”，因此對(duì)于“已經(jīng)自行公開(kāi)、合法公開(kāi)信息”情形下的合理使用，當(dāng)事人因法律的明確規(guī)定而仍享有相應(yīng)的自主決定權(quán)。

④此處“不需要告知”所討論的是一般個(gè)人信息，如果是敏感個(gè)人信息，可能會(huì)因?qū)Α皞€(gè)人權(quán)益有重大影響”，而需要取得個(gè)人同意，此時(shí)個(gè)人仍然享有知情權(quán)。參見(jiàn)《個(gè)人信息保護(hù)法》第27條。

⑤參見(jiàn)歐盟《通用數(shù)據(jù)保護(hù)條例》第9條。

⑥參見(jiàn)韓國(guó)《個(gè)人信息保護(hù)法》第23條。

⑦譬如《個(gè)人信息保護(hù)法》第14條、第25條。

⑧《個(gè)人信息保護(hù)法》第14條第1款：“基于個(gè)人同意處理個(gè)人信息的，該同意應(yīng)當(dāng)由個(gè)人在充分知情的前提下自愿、明確作出。法律、行政法規(guī)規(guī)定處理個(gè)人信息應(yīng)當(dāng)取得個(gè)人單獨(dú)同意或者書(shū)面同意的，從其規(guī)定?！?/p>

⑨參見(jiàn)《個(gè)人信息保護(hù)法》第68條。