论我国个人信息保护法中的个人信息处理规则.docx

论我国个人信息保护法中的个人信息处瞰则一、引言个人信息保护法是个人信息保护领域的基本法律，以规范个人信息处理活动为核心，旨在实现个人信息权益保护与个人信息合理利用之间的协调。个人信息上承载多种利益，不仅有自然人的人格尊严、隐私权及个人信息权益等民事权益，也有企业、国家机关等主体合理利用个人信息的利益，还涉及言论自由、公共安全、国家安全等。（1）参见高富平：个人信息保护：从个人控制到社会控制，载法学研究2018年3期，第84页以下；程啸：论我国民法典中个人信息权益的性质，熨政治与法律2020年第8期，第2页以下；丁晓东：个人信息权利的反思与宣塑一论个人信息保护的适用前提与法益基础，载中外法学2020年第2期，第339页以下。个人信息处理规则的主要功能在于科学合理地协调这些利建。故此，个人信息保护法需要对个人信息处理规则作出详细规定。2018年5月25日起施行的欧盟一段数据保护条例（GDPR）专设第二章"原则二对与个人数据处理相关的原则、处理的合法性、同意的要件、特殊类型的个人数据处理、无需识别个人数据的处理等作出了详细的规定（第511条）。此种立法模式对不少国家的个人信息保护立法产生了重要的影响。（2）参见张继红、姚约茜主编：“一带一路”沿线国家数据保护与网络安全法律指南，知识产权出版社2021年版，第1页以下。我国也采纳了该立法模式。十三届全国人大常委会第二十二次会议审议的我国个人信息保护法草案（以下简称草案（一审稿）的第二章即“个人信息处理规则”，该章共分“一般规定”“敏感个人信息的处理规则”以及国家机关处理个人信息的特别规定等三节，采用了25个条文对个人信息处理规则作出了详尽的规定.2021年4月29日第十三届全国人大常委会第二十八次会议审议的个人信息保护法草案（二次审议稿）（以下简称草案（二审稿）第二章与一审稿基本相同，条文数量也是25条。我国个人信息保护法应如何构速科学合理的个人信息处理规则，值得研究，其中，需要重点思考的问题有以下三个：首先，个人信息处理的涵义，即我国个人信息保护法调整的个人信息处理活动的范围问题。其次，个人信息处理行为的合法性基础是什么？告知同意规则在确定个人信息处理规则中处于何种地位？不适用告知同意规则的合法处理个人信息的情形有哪些？再次，个人信息保护法中的敏感信息与民法典中的私密信息是什么关系？如何针对敏感信息的处理作出有针对性的规定？二、个人信息处理的涵义与个人信息保护法的调整范围（一）我国民法典中的个人信息处理“个人信息於理（PrOCeSSingofpersonalinformation）”也称"个人数据处理"，该词来源于欧盟指令和相关立法。1995年10月24日欧洲议会以及欧盟理事会关于对于个人数据处理有关的个人进行保护以及数据自由流动的指令（95/46号指令）（DPD）笫2条第2款规定：“个人数据处理（简称处理），是指不管是否以自动方式对个人数据进行的任何操作，如收集、录制、组织、存储、改变或修改、检索、查同、使用、通过传送使数据公开、传播或者使数据可被他人获取、#列或组合、冻结、删除或销毁。”欧盟一般数据保护条例（GDPR）总体上延续了这一规定，其第4条第2款规定："'处理是指针对个人数据或个人数据集合的任何一个或一系列操作，如收集、记录、组织、建构、存储、调整、修改、检索、咨询、使用、披露、传播或其他方式利用、排列或组合、限制、删除或销毁，无论该等操作是否采用自动化方式。"不少国家的个人信息保护法或个人数据保护法梆接受了“个人信息依理.这一概念，如日本个人信息保护法菲律宾数据隐私法南非个人信息保护法韩国个人信息保护法等。民法典之前我国的法律均未采取个人信息处理的概念。2012年全国人民代表大会常务委员会关于加强网络信息保护的决定采用的是“收集、使用”公民个人电子信息的表述，此后的网络安全法电子商务法也都延续了这L概念。在我国编纂民法典的过程中，就如何表述与个人信息相关的各种活动经历了一个变化的过程。2018年9月的民法典各分编（草案）与2019年4月的民法典人格权编（草案）（二次审议稿”采取的仍是1收集、使用”个人信息的表述。2019年8月的民法典人格权编（草案）（三次审议稿”首次使用了“处理”一词，但将其与“收集”并列，该草案第814条第2款将“个人信息的处理”界定为"包括个人信息的使用、加工、传输、提供、公开等（3）石冠彩主编：中华人民共和国民法典立法演进与新旧法对照，法律出版社2020年版，第387页。正式颁布的民法典使用“个人信息的处理”统称围绕着个人信息展开的各种行为、活动。民法典第1035条第2款规定：“个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等。”这一规定的理由在于：一方面，个人信息处理的内涵极为丰富，种类众多，收集也属于处理的一种方式，无须单列；另一方面，统一采取个人信息处理的表述很方便，也与国际上通行的做法基本保持一致。（4）黄筱主编：中华人民共和国民法典人格权编解读，中国法制出版社2020年版，第218-219页。草案（一审稿）第4条第2款规定：“个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等活动。”草案（二审稿）删除了活动”一词，从而与民法典第1035条第2款完全一致。个人信息保护法是个人信息保护领域最重要的法律，但该法也不可能解决所有的个人信息保护问题，更不可能取代民法典等法律中已有的个人信息保护的规则或制度（如姓名权、肖像权、隐私权等人格权），而应当各有侧重，合理分工，共同实现个人信息权益保护与个人信息合理利用的协调。因此，需要研究的问题是：在民法典已经界定个人信息处理的前提下，我国的个人信息保护法是与©民法典保持L致即可，还是有必要对个人信息处理的涵义作出独特的规定？如果是后者，该独特性如何体现？笔者认为，要解决这一问题，首先应当清楚个人信息保护法对个人信息处理行为予以规范的必要性，才能据此确定个人信息保护法规范的个人信息处理的涵义。（二）通过个人信息保护法规范个人信息处理的必要性在进入网络信息时代之前，自然人的姓名、身份证号码、电话号码、家庭住址、肖像、声音、指纹、财产信息、病历资料等个人信息就巳存在，并被政府、企业等主体所处理。民法、刑法等法律巳经对自然人的这些个人信息给予相应的保护。例如，通过姓名权、M像权、隐私权等耒保护自然人的姓名、肖像和隐私等个人信息不被他人非法使用、公开或以其他方式加以侵害。但是，在进入网络信息时代之后，基于以下原因，有必要通过个人信息保护法来对个人信息处理予以规范：1 .个人信息类型和范围的发展变化。现代网络信息社会之前，个人信息的类型相对较少且产生渠道有限。但是，随着网络信息等科学技术的高速发展，个人信息的范围越来越广，种类也越来越多。一方面，现代科技的发展产生了以往没有的新类型的个人信息，如电子邮箱、通信记录、网络交易信息、上网浏览痕迹、网络社交媒体留言、行踪轨迹、脸部特征信息等。此前，这些信息要么根本不存在，要么无法被收集和存储，现在，这些个人信息每天大量的产生并且很容易地被各种智能设备加以收集和保存。另一方面，除了传统的能够直接识别特定自然人的信息（如姓名、身份证号码、家庭地址、电话号码等）之外，现代信息社会中还出现了大量本身不足以识别特定的自然人但与其他信息结合后就能识别出特定自然人的信息，如爱好、习惯、兴趣、性别、年龄、职业等。在这种情况下，仅仅依靠民法的陛私权、肖像权、姓名权等人格权制度，既难以充分保护自然人的人格尊严与人格自由，也无法预防由于个人信息的处理而产生的对自然人人身财产权益的危险。故此，迫切需要基于现代网络信息科技的特点而由个人信息保护法对个人信息处理进行全面的规范。2 .个人信息处理行为的发展变化。进入网络信息社会前，个人信息的处理方法较为简单，主要表现为收集的手段单一，分析与传播的能力较弱。这种情形下，人格权及侵权法规范可以满足个人信息保护的需要。例如，未经同意公开或披露自然人的私密信息（如性取向、病历资料等）的,构成对隐私权或名誉权的侵害；未经许可将他人的姓名、肖像等用于商业目的，属于侵害姓名权、肖像权的侵权行为。但是，随着科技尤其是大数据与人工智能的发展，个人信息的处理方式发生了巨大的变化。一方面，个人信息处理行为的类型越来越多，现代网络信息技术已将现代社会生活高度数字化，COOkie技术和各种传感舞可以自动地收集与存储个人信息。个人信息被大规模、自动化地收集和存储变得越来越普遍，几乎无处不在、无时不在。另一方面，对个人信息的使用具有人们难以想象的无限可能性，只要新技术不断发展，就会产生各种前所未有的使用方法，这也导致了处理者不仅不愿意删除已经收集并存储的个人信息，（5）删除这些个人信息的成本远远大于收集、存储的成本。参见美迈克尔费蒂克、戴维C.汤普森：信誉经济：大数据时代的个人信息价值与商业变革，王臻译，中信出版臬团2016年版，笫35页。还渴求获取更多的个人信息。大数据与人工智能技术的发展使得对海量数据的分析与使用变得非常简单，个人信息被滥用的可能性极大地增加。例如，各种网络平台通过分析和利用海量的个人信息，对目标群体做人格画像，实施精准营销，甚至行为操纵，严重危害自然人的人格尊严，妨害人格的自由发展。3 .个人信息处理主体日渐复杂。现代网络信息社会中的信息处理主体越来越复杂,个人信息处理活动也不限于单纯的作为平等主体的自然人、法人和非法人组织之间。由于个人信息的处理无论对企业的经营活动还是政府的管理行为，都具有越来越重要的作用。因此处理个人信息的主体日渐增多，它们都具有处理个人信息的强烈渴求。虽然信息代理者与作为信息主体的自然人的法律地位是平等的，但双方在信息、技术、经济等方面的地位实际上完全不对等。面对强大的网络企业和国家机关实施个人信息处理行为时，个人难以依敕意思自治以及侵权责任的规则来维护自己的权益。例如，民法中的人格权制度虽然发展出了停止侵害、排除妨碍、消除危险等人格权请求权，但行使这些请求权是以人格权主体能够及时发现侵害人格权的行为为前提的。现代网络信息社会中，收集、使用个人信息的处理行为日益普遍，成为生产生活的重要组成部分，不可或缺。个人信息被谁结理及被如何於理，难以为信息主体所知悉或真正了解。从效率上说，势单力薄的个人对大量收集、存储和利用个人信息的大公司或政府机关以起诉的方式来保护个人信息，也很不现实。无论是人格权请求权还是侵权损害赔偿请求权，均难以满足全方面保护个人信息权益的需要。有必要通过专门的个人信息保护立法，对个人信息处理行为进行全方位的规范，以做到未雨绸缪，防患于未然。事实上，从个人信息保护法的发展源流来看，个人信息保护法制定之初，其主要立法宗旨就是要解决计算机处理个人信息所带来的巨大风险问题，发理好技术进步与个人权利保护之问的关系。（6）OttoMallmann1ComputerandCivilLiberties:TheSituationintheFederalRepublicofGermany,inUnitedStatesSenateCommitteeonGovernmentOperations,PrivacyandProtectionofPersonalInformationinEurope,UnitedStatesGovernmentPrintingOffice,1975,pp.90-91.转弓I自王苑：个人信息保护在民法中的表达一兼论民法与个人信息保护法之关系，载华东政法大学学报2021年第2期，第71页。4 .个人信息承载多种需要协调的利益。现代信息社会中个人信息上呈现了多元化的利益格局，既有自然人对其个人信息加以掌控，以免人格尊严以及人身财产权益受到侵害或遭受损害的需要，也有营利法人通过处理个人信息推销商品或服务的营业自由的诉求，还包括保障言论自由，实现舆论监督，以及国家机关利用个人信息提升社会治理与行政管理能力、维护市场竞争秩序、保护消费者权益、维护公共安全、国家安全等公共利益和国家利益的需要。这种多元化的利益格局是民法、刑法、行政法、国际法等传统的法律部门单独无法完成的，故此，需要专门的个人信息保护法对个人信息处理行为加以规范，从而科学地协调这些多元化的利益。（三）个人信息保护法所规范的个人信息处理正是基于上述原因，有必要制定专门的个人信息保护法，对个人信息处理加以更详细具体的规范。同样的原因，也决定了即便民法典对个人信息处理作出了规定，我国个人信息保护法对个人信息处理规则作出详细规定也有重要意义。1 .个人信息保护法需要对个人信息处理行为迸行全方位、动态性的规范，无诒是利用网络信息科技自动化处理个人信息，还是手工等非自动化处理个人信息；无论是个人信息的收集、存储，还是使用、加工抑或传输、提供、公开以及跨境提供；无论是为了生产经营等营利目的，还是行政管理、公共股务的目的而迸行个人信息处理，均应纳入个人信息保护法的调整范围。有观点认为，个人信息保护法不应调整所有的个人信息处理行为，而仅限于以识别分析为目的对个人信息的收集、控制、分享、分析和应用行为，因为只有这些行为才会对信息主体的权益有显著的影响，至于一般的个人信息适用行为留给其他法律或行业准则或社会习惯规范加以调整。（7）商富平：个人信息处理：我国个人信息保护法的规范对象，载法商研究2021年第2期，第81页。笔者不赞同此种观点。个人信息处理行为的类型多种多样，从收集、存储，到使用、加工再到传输、公开、共享等，每一个环节梆存在侵害自然人民事权益的风险，不能任意切割。例如，大量的个人信息尤其是敏感的个人信息被泄露或被非法买卖，无需利用高科技进行分析识别，也足以被违法犯罪分子用来实施诈弱、抢劫、杀人等犯罪活动。个人信息处理中的风险是多重的、难以颈测的，不限于以识别分析为目的的处理行为。况且，个人信息处理本身具有易变性和发展性，现在不以识别分析为目的的处理行为不等于将来就不会进行识别分析，更不等于不会对个人信息权益产生危险。因此，将个人信息保护法调整的个人信息处理行为限定于以识别分析为目的的行为显然过于狭窄。2 .个人信息保护法需要从内外两方面以强行性规范来构建个人信息处理规则。从外部来说，个人信息保护法在区分不同的个人信息处理行为、不同种类的个人信息以及不同的个人信息处理者的基础上，明确处理者在各类个人信息处理行为中所负的义务（如告知、取得同意、安全保护、报告、监管等义务），同时，以法律责任保障其履行。特别是个人信息保护执法机关应当采取动态监督执法确保义务的现行和法律责任的落实，对于违反义务的信息苑理者依法采取罚款、给予处分、记入信用档案、停业整顿、吊销许可、吊销营业执照等处罚措施，严重的追究刑事责任。从内部来说，个人信息保护法强制性要求信息处理者速立健全相应的管理制度和操作规程，对个人信息进行分级分类管理并采取加密等安全技术措施，制定个人信息安全事件的应急，页案，公布个人信息保护负责人的联系方式等。同时，强化大型的网络平台对于利用其提供的网珞服务处理个人信息的处理者进行相应的监管义务。3 .个人信息保护法不仅调整公司企业等普通民事主体出于经营目的处理个人信息的行为，也调整国家机关基于公权力和履行公共管理职能处理个人信息的活动。随着信息社会的到来，数字经济的发展需要对个人信息进行合理利用，数字社会和数字政府的建设也畲要对个人信息的合理利用。个人信息等数据在提升和优化国家治理能力，提高政府行政服务和管理水平，提高决策的科学性和服务效率等方方面面，将发挥越来越重要的作用。作为调整平等主体的自然人、法人和非法人组织之间的人身财产关系的民法，无法对国家机关处理个人信息的活动进行全方位的规范，这就要求个人信息保护法加以调整。国家机关即便是履行法定职贲处理个人信息时，也应当严格依照法律、行政法规规定的权限和程序进行，受到个人信息保护法在内的法律的规范。惟其如此，方能更好地实现个人信息上的多元利益关系的协调。故此，民法典第1039条规定："国家机关、承担行政职能的法定机构及其工作人员对于殖行职责过程中知悉的自然人的隐私和个人信息，应当予以保密，不得泄露或者向他人非法提供。”草案（二审稿）也在第二章中专节对国家机关处理个人信息作出了规定。4 .自然人之间因个人、家庭事务处理个人信息的不属于个人信息保护法调整的范围。民法典并未对个人信息处理的范围进行任何限定，依据该法第1035条第2款，无论是通过自动方式还是非自动方式处理个人信息，无论是公司企业、国家机关等个人信息使用者处理个人信息，还是纯粹的私人或家庭活动中的个人信息处理（如家人朋友之间进行的通信联络、保存联系方式或者社交活动中的个人信息的提供等），都属于个人信息的处理。但是，草案（二审稿）第71条第1款规定："自然人因个人或者家庭事务而处理个人信息的，不适用本法。”该款借鉴了欧盟一般数据保护条例的规定。欧盟一般数据保护条例在“饕于条款"第18条指出，该条例“不适用于自然人在不涉及任何职业或商业的纯个人或家庭活动中为个人数据的处理活动。个人或家庭活动可以包括通信、保存地址，或者社交活动以及在类似活动背景下进行的线上活动。但本条例适用于为上述个人日常活动提供个人数据处理方法的控制者或处理者。"该条例笫2条“适用范围"的第2款C规定，本条例不适用于“自然人在纯粹的个人或家庭生活中进行的处理活动"。所谓纯粹的个人或家庭生活中（intheurseofapurelypersonalorhouseholdactivity）"的个人信息处理行为是指，为了休闲活动、爱好、度假或娱乐目的而处理的个人数据，或者用于社交网络，或者数据只是作为个人收集的地址、生日或其他重要日期（如周年纪念）一部分。然而，一旦所处理的个人信息涉及私人的同时也是商业的信息，则该例外就不适用。所谓"商业”是指任何经济活动，无论是否支付报酬。而“纯粹”一词则表明应当对该例外作限缩解释。（8）PaulVoigt&AxelvondemBussche1TheEUGeneralDataProtectionRegulation（GDPR）:APracticalGuide,Springer,2017,p.16.草案（二审稿）将自然人因个人或家庭事务处理个人信息的活动排除在该法所调整的个人信息处理的范围之外，是非常必要的。这是因为：自然人之间因为个人或家庭事务而处理个人信息的行为，属于平等主体之间的个人信息处理行为，往往是为了维持正常的社会交往所必须的,并不涉及侵害个人信息权益的问题，无需给此等情形中的信息处理者施加各种法定义务，更无须个人信息保护机关强制介入；只有涉及利用信息能力的不平等收集、处理个人信息的行为，才是信息时代保护个人信息的法律真正要调整的为象。（9）同前注（6）,王苑文，第72页。否则，即便在此等情形中的个人信息处理行为侵害了其他自然人的合法权益，也完全可以由民法典中的姓名权、肖像权、隐私权和个人信息保护制度等加以调整。三、告知同意规则与个人信息处理行为的合法性在我国个人信息保护法的起草过程中，就是否应当以告知同意作为个人信息处理行为的合法性基础以及哪些情形下无须告知并取得个人的同意也可以合法地处理个人信息等问题，一直存在争议。（10）相关讨论参见陆青：个人信息保护中“同意”规则的规范构造，载武汉大学学报（哲学社会科学版）2019年第5期，第121页；万方：个人信息处理中的“同意”与"同意做回号,载中国法学2021年第1期，第168页。草案（一审稿）第13条规定：“符合下列情形之一的,个人信息处理者方可处理个人信息:（L）取得个人的同意;（二）为订立或者履行个人作为一方当事人的合同所必需;（三）为履行法定职责或者法定义务所必需;（四）为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;（五）为公共利益实施新闻报道、舆论监督等行为在合理的范围内处理个人信息;（六）法律、行政法规规定的其他情形。”由此可见，该条第1项只是将取得个人的同意作为合法处理个人信息行为的情形之一，而与第2至6项规定的无需个人同意而合法处理个人信息的情形相并列。笔者认为，这种立法模式显然没有凸显告知同意规则在个人信息处理活动中的基本规则的地位，不利于个人信息保护执法与司法审判中确认个人信息处理行为的合法性。（一）告知同意规则是认定个人信息处理行为合法与否的基本规则告知同意规则，也称"知情同意规则”，是指任何组织或个人在处理个人信息时都应当对信息主体即其个人信息被处理的自然人进行告知，并在取得同意后方可从事相应的个人信息处理活动，否则该等处理行为即属违法，除非法律另有规定。（11）王利明、程啸、朱虎：中华人民共和国民法典人格权编释义，中国法制出版社2020年版，第419页。告知同意规则包含了告知规则与同意规则，二者紧密联系，不可分割。没有告知，自然人无法就其个人信息被处理作出同意与否的表示；即便告知了，但没有充分、清晰的告知，自然人作出的同意也并非真实有效的同意。反之，虽然充分、清晰的告知，却未取得自然人的同意，对个人信息的处理也是非法的，侵害了个人信息权益。告知同意的规则最早为1970年德国黑森州的数据保护法所确认，目前已经成为绝大多数国家个人信息保护法承认的基本规则。我国个人信息保护方面的法律明确采取了告知同意规则。2012年全国人民代表大会常务委员会关于加强网络信息保护的决定第2条要求，网络服务提供者和其他企业事业单位在业务活动中收集、使用公民个人电子信息，应当遵循合法、正当、必要的原则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。网络安全法第41条第1款规定：“网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。”民法典第1035条第1款更是明确规定：处理个人信息的，应当遵循合法、正当、必要原则，不得过度处理，并符合下列条件：（L）征得该自然人或者其监护人同意，但是法律、行政法规另有规定的除外；（二）公开处理信息的规则；（三）明示处理信息的目的、方式和范围；（四）不违反法律、行政法规的规定和双方的约定。”在个人信息保护法中，告知同意之所以被认为是基本规则，具有极为重要的地位，根本原因在于：个人信息是可直接或间接识别特定自然人的信息，与自然人的人格尊严和人格自由息息相关，为了保护人格尊严和人格自由这一最商位阶的法糠，自然人对其个人信息享有受到法律保护的民事权益。我国民法典明确承认了自然人的个人信息权益，赋予了自然人对其个人信息享有作为民事权益的人格权益。（12）同前注（1）,程啸文，第7页。这就意味着其他人需要尊重该权芨而不得侵犯它，同样，承认自然人的个人信息权益就必然导致对他人行为自由的限制，即任何组织或个人没有得到自然人的同意而处理其个人信息的行为属于侵害个人信息权益的不法行为，具有非法性。在个人信息处理的规范方面，并不存在下列假设即"个人信息是可以自由使用的，除非个人信息上存在明确可识别的个人权益，否则就不能鼠予信息主体干预他人使用的自由工（13）同前注（7）,高富平文，第74页。在一般的人际社会交往中，个人信息的使用主要受到社交礼仪的调整，（l4）SeeRobertPost,TheSocialFoundationofPrivacy:CommunityandSelfintheCommonLaWTort,CaHforniaLawReview,1989,Vol.77,p.965.同时也受到隐私权、名誉权等民法人格权制度的规范，在这个意义上，只要个人信息的使用不侵害自然人的隐私权等人格权，的确是可以自由使用的。例如，A请朋友B告诉他C的电话号码或电子邮箱，B将C的这些个人信息告知A,无密经过C的同意。当然，出于社交礼仪，B最好是先征求一下C的意见。但是，进入到个人信息处理领域，个人信息绝不能任由他人使用，而应当确立自然人对其个人信息的控制权。因为个人信息是能够单独或者与其他信息结合识别特定自然人的信息，该信息上就已经存在特定自然人的受法律保护的民事权益，对个人信息的处理行为（无论是管利目的还是行政管理目的等）会产生侵害自然人的人格尊严和人身财产等民事权益的风险。个人信息从来不是什么任由他人使用的公共物品，以维护公共利益与公共安全并促进个人数据的流动共享为由否定自然人对其个人信息的权利，将个人信息作为公共品完全交由政府通过公法规制的观点，（15）吴伟光：大数据技术下个人数据信息私权保护论批判，栽政治与法律2016年第7期，第116页。漠视了个人信息上承我的民事权益，只能导致大量以维护公共利益之名而行侵害私权利之实的恶行，最终的结果是既无法维护公共利益，更无法保护民事权益。私权保护与公法规制之间不是非此即彼的关系，而是应当通过两者共同构建个人信息保护的制度基石。毫无疑问，未来的我国个人信息保护法应当坚持告知同意规则，并将其作为个人信息处理中应遵循的基本原则加以凸显。故此，草案（一审稿）第13条将作为基本原则的告如同意规则与其他例外情形并列，虽然条文表述上简洁了一些，却弱化了告知同意规则的基本原则地位。令人高兴的是，草案（二审稿）第13条进行了修改,该条增加了一款，即"依照本法其他有关规定，处理个人信息应当取得个人同意，但有前款第二项至第七项规定情形的，不需取得个人同意。如此一来，就凸显了告知同意规则在个人信息处理活动中基本规则的地位，即取得同意是原则，不需要取得同意是例外，草案（二审稿）的这一修改值得肯定！但是，由于告知规则与同意规则是密切结合在一起的，原则上必须是告知并取得自然人或其监护人的同意，处理个人信息的行为才是合法的，例外才不需要同意（包括需要告知但不需要同意或者既不需要告知更无须同意）。为明确此点，笔者认为，还应当将草案（二审稿）第13条第1款第1项修改为"告知并取得个人的同意工（二）告知同意规则在个人信息处理规则构建中的作用原则上，任何人都不得侵害他人的民事权益，但民事主体可以对自己的权益进行合法的处分，既包括自行处分，也包括在不违反法律强制性规定和公序良俗原则的前提下同意他人对自己民事权益的处分。告知同意规则充分体现了尊重和保护民事权益的精神和意思自治原则。作为个人信息处理行为的基本规范，告知同意规则对个人信息处理行为进行了限定，它是判断个人信息处理行为合法与否的基本规则（除非法律另有规定），在个人信息处理规则的构建中发挥了重要的作用。告知同意规则是判断个人信息处理行为合法与否的基本标准，凡是没有遵守该规则的处理行为，原则上都是非法的，除非法律、行政法规另有规定（民法典第1035条第1款第1项）。这就意味着：首先，个人信息处理者对其处理行为合法与否具有更明确的手页期，即知道在处理个人信息时应当怎么做才使得代理行为是合法的；对于信息主体即自然人而言，由于被告知了个人信息将被处理，在知情权得到充分尊重的基础上享有了同意或拒绝的权利。故此，告知同意这种标准化的模式无论对于用户迁是信息处理者而言均为成本最小化的解决方式，双方减少了因不信任而产生的交易成本，能直接进入到与个人信息权益行使最为核心的地带：同意及同意的撤回，甚至删除权。（16）同前注（10）,万方文，第173页。其次，对于个人信息保护执法机构来说，告知同意规则为查处违法的个人信息处理行为提供了明确的标准。凡是没有遵循该规则且没有法律、行政法规例外规定的个人信息处理行为就是违法行为，就可以查处。再次，在个人信息权益民事纠纷案件的裁判中，告知同意规则是法院认定处理者应否承担侵权责任的重要标准。只要没有遵循告知同意规则而进行处理，当然就是侵害他人个人信息权益的不法行为，至少应当承担停止侵害、排除妨碍、消除危险等侵权责任；如果因此造成损害并符合其他损害赔偿请求权的构成要件的，还要承担损害赔偿责任。尽管告知同意规则的实段操作没有让用户真正了解个人信息处理的目的、方式或范围等，但该规则的存在至少使得用户知悉自己的个人信息正在被哪个信息处理者所处理并且自己曾经同意处理。这样一来，知情同意规则不仅建立了处理行为的合法性基础，也不影响下文将要提及的即便经过同意的处理行为也可能构成侵权行为的法律评价。无论信息姐理者在告知同意规则中使用如何复杂冗长甚至含混的表逑，也无论个人信息被处理的自然人是否实际阅读或理解了告知的内容，只要因此发生纠纷，那么在行政机构执法或法院裁判案件中，首先要审查的就是处理者是否依法屐行了告知同意规则。只要没有屐行该规则，就是非法处理行为，应当承担法律责任。如果处理者履行了告知同意规则，就不存在非法处理个人信息的行为，自然人原则上也不得对该合法处理行为进行阻碍。因此，告知同意规则在具体落实中存在的一些问题，如处理者的告知含糊不清、琐屑繁琐，自然人缺乏真正的意思自由等，（17）任龙龙：论同意不是个人信息处理的正当性基础,载政治与法律2016年第1期；方禹：个人信息保护中的"用户同意"规则：问题与解决，栽网络信息法学研究2018年第1期。都不成其为问题。实践中暴露出耒的这些问题不仅没有削弱告知同意规则在个人信息处理中的重要意义，反而彰显了该规则的重要性，否则那些违法处理个人信息的处理者也不会想尽办法来规避告知同意规则。告知同意规则只是解决个人信息处理行为合法与否的问题，而非意味着发生侵害个人信息权益的违法行为时，处理者可以据此免于承担任何法律责任，更不能以告知同意规则的履行耒拌除其他个人信息保护规则的适用。首先，即便处理者充分适当地履行了告知同意规则，也只是使得处理行为本身不具有非法性而已，即存在违法阻却事由，可能无需承担行政责任或刑事责任。（18）例如，依据最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释第2条的规定，违反法律、行政法规、部门规章有关公民个人信息保护的规定的，应当认定为刑法第253条之一规定的.违反国家有关规定Z但是，在处理的过程中，因为不合理的处理行为如处理者的故意或过失等造成自然人的人身财产权益受到侵害的，依然要承担民事责任。我国民法典第1036条第1项就是要表明，即使是在自然人或其监护人同意的范围内实施的个人信息处理行为也必须是合理的，如果不合理，依然要承担民事责任。（19）同前注（4）,黄澈主编书，第220页。也就是说，合法的个人信息处理行为应当遵循比例原则。其次，告知同意规则并非一劳永逸的规则，而只是针对依法告知并取得同意的特定处理者的特定个人信息处理行为而言。这就是说，并非告知并取得同意后，处理者就可以附意的无限制的处理个人信息，处理者仍然应当严格遵循法律规定和当事人约定的相应的义务。例如，因为处理的范围或目的以及苑理主体等发生变化的，处理者仍然得要继续履行告知同意规则。再次，告知同意规则应当符合个人信息处理行为必须遵循的必要、正当、合法原则（民法典第1035条），并且该规则的履行不能免除个人信息处理者负有的义务，例如，经告知并取得同意而收集自然人的个人信息后，处理者负有不得泄露或者篡改其收集、存储的个人信息的义务，应当采取技术措施和其他必要措施以确保其收集、存储的个人信息安全，防止信息泄露、篡改、丢失并在发生或者可能发生个人信息泄露、篡改、丢失时及时采取补救措施，按照规定告知自然人并向有关主管部门报告（K民法典第1038条）。同样，告知同意规则也不能排除信息主体享有的权利，如查阅或者复制其个人信息的权利，发现信息有错误的有权提出异议并请求及时采取更正等必要措施的权利等（民法典第1037条）。即便处理者在告知时通过格式条款排除了自然人的这些权利并取得了自然人的同意，依据民法典第497条，该等格式条款也是无效的。需要注意的是，告知同意规则涉及了自然人的个人信息权益，该权益属于人格权益，故此，告知同意规则的适用带要受到相应的限制。一方面，人格权捡具有专属性，民法典第992条明确规定：“人格权不得放弃、转让或者继承。"第993条规定："民事主体可以将自己的姓名、名称、肖像等许可他人使用,但是依照法律规定或者根据其性质不得许可的除外。"因此，任何单位或个人都不能通过告知同意规则而一次性取得对他人的个人信息的无限制、永久的处理权限，自然人本身也不能放弃、转让其个人信息权益。另一方面，告知同意规则不得违背公序良俗原则，不得抵触更高位阶的权益，否则即便遵循了告知同意规则，处理行为也是违法的。民法典第8条规定："民事主体从事民事活动，不得违反法律，不得违背公序良俗J通信自由和通信秘密作为宪法保护的高位阶的权利，不应该受到告知同意的限制。（20）张新宝：个人信息收集：告知同意原则适用的限制，载比较法研究2019年第6期，第6页。（三）不适用告知同意规则的情形处理者在处理个人信息时原则上必须遵循告知同意规则，在依法告知并取得信息主体的同意后才能对个人信息进行收集、存储、使用、加工、传输、提供、公开等活动。为了在保护个人信息权益的同时，也能实现个人信息的合理利用，同时维护公共利益、国家利益等，法律上有必要规定不适用告知同意规则的例外情形。依据民法典第1035条第1项，处理个人信息的，应当征得该自然人或者其监护人同意，但是法律、行政法规另有规定的除外。所谓法律、行政法规另有规定的除外情形，在民法典中列举了三种情形：依据民法典第999条，为公共利益实施新闻报道、舆论监督等行为的，可以合理使用民事主体的个人信息；依据民法典第1036条第2项，合理处理该自然人自行公开的或者其他已经合法公开的信息，但是该自然人明确拒绝或者处理该信息侵害其重大利益的除外；依据民法典第1036条第3项，为维护公共利益或者该自然人合法权益，合理实施的其他行为。草案（一审稿）对不适用告知同意规则的例外情形作出了详细的列举，其第13条列举了以下5种情形：为订立或者履行个人作为L方当事人的合同所必需；为履行法定职责或者法定义务所必需；为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需；为公共利益实施新闻报道、舆论监督等行为在合理的范围内处理个人信息；法律、行政法规规定的其他情形。这些例外情形中的第3、4种与民法典第1036条第3项、第999条的规定相同，第1、2种属于新增的规定。就草案（一审稿）第13条关于不适用告知同意规则的例外情形的规定，笔者认为，有以下几个问题需要讨论。1 .为订立个人作为一方当事人的合同所必需的个人信息不属于例外情形草案（一审稿）第13条第2项关于“为订立或者履行个人作为一方当事人的合同所必需”的规定借鉴自欧盟一般数据保护条例。该条例第6条第1款b规定："处理是数据主体作为合同主体履行合同之必要，或者处理是因数据主体在签订合同前的请求而采取的必要措施”时，该处理是合法的，也就是说，即便没有告知并取得数据主体的同意也是合法的处理行为。欧盟一般数据保护条例这一规定来自于DPD的第7条，未做任何变化。这一规定的理由在于：如果对于合同一方当事人（即数据主体）的数据的处理，对于该合同的另一方当事人（即数据控制者）履行该合同是必要的，那么后者时该数据的处理就是有法律基础的。因为数据控制者作为合同的当事人，根据一般的法律原则负有履行其合同义务的法定义务，因此为履行合同义务而处理数据的合法性也可以理解为“法定义务"甚至"控制者的合法利益”的特殊情况，这一规定能够大大地简化欧盟一般数据保护条例在列举合法处理情形的清单。（21）ChriStOPherKUner,LeeA.Bygrave&ChristopherDockseyeds.,TheEuGeneralDataProtectionRegulation（GDPR）:ACommentary,OxfordUniversityPress,2020,p.330.笔者认为，草案（一审稿）借签欧盟