論非基于個人同意的個人信息處理與單獨同意規則的體系解釋

李愛君 孫彥東

一、問題的提出

盡管適用存在諸多困境，立足于“告知—同意”進行立法仍然是目前的必然選擇。[1]因此，長期以來學界對個人信息保護的討論，多集中于“告知—同意”的制度構建與困境應對。但是，在個人信息保護制度建構時，立法者并沒有將“告知—同意”作為個人信息利用與處理的唯一標準，而是選擇將其作為個人信息處理的合法事由之一，同時留下無需“告知—同意”的例外情形，使得在滿足特定條件時個人信息處理者無需取得該個人信息主體的同意即可處理個人信息。此制度在邏輯上與著作權的合理使用制度相類似，故而在司法實踐中法官生動地將其稱為個人信息的合理使用①，實際上已有一些學者的研究關注到了此類非基于個人同意的個人信息處理，同樣稱此種“非基于個人同意的個人信息處理”為個人信息的合理使用。[2,3]故而，本文亦將此類無需取得個人信息主體同意的個人信息處理行為稱為個人信息的“合理使用”。例如《中華人民共和國個人信息保護法》（以下簡稱《個人信息保護法》）第13條第2款規定了“履行合同或人力資源管理所必需”等六種無需取得同意的情形。立法者設立個人信息合理使用規則的本意在于協調個人信息保護與利用，但同時其也屬于對自然人的人格權益進行一定限制和克減的規則，應當明確其界限并警惕其擴張化趨勢。

合理使用規則作為“告知—同意”的例外，個人信息的合理使用并非基于個人的“一般同意”，那它與敏感信息、數據公開、信息跨境等特殊個人信息處理場景下的“單獨同意”的關系為何，現行立法并沒有明確規定。具言之，在“實施人力資源管理所必需”等情形下，如果個人信息處理涉及上述需要單獨同意的場景，無需個人同意的合理使用規則與單獨同意規則何者可優先適用，是無需取得個人同意，抑或需要取得單獨同意？這個問題有待于對相關規則的進一步解釋。

如今《中華人民共和國民法典》（以下簡稱《民法典》）、《中華人民共和國數據安全法》（以下簡稱《數據安全法》）、《個人信息保護法》的立法已經完成，形成了較為完善的個人信息保護的制度體系。個人信息保護的研究也有必要從立法論視角的法政策學研究轉變為解釋論視角的規則適用研究。因而本文擬立足于現行法律規定，對個人信息合理使用規則的制度構造及其對個人信息權益的影響進行研究，進而探究其與單獨同意規則之間的關系，最終明晰特殊場景下兩種規則在排斥競合時的適用位階，以解決個人信息保護與數據要素流通實踐中可能出現的問題。

二、個人信息合理使用規則的學理考察

出于對個人信息權益的保護，“告知—同意”規則已經被國際與國內立法所廣泛采納。誠然，在權益保護方面“告知—同意”規則的確立可以很大程度上保障個人對其個人信息自主決定的權利，體現了立法對人格權益與私人自治的尊重與保護。[4]但隨著信息社會的發展，人作為社會關系的總和，其個人信息的利用將涉及更加多元的利益糾葛。[5]對個人信息的保護不同于對隱私權的絕對保護，關鍵在于構建個人信息保護與利用的良好合理秩序。[6]因此，立法者并沒有將“告知—同意”作為個人信息處理的唯一合法性基礎，而是將其作為一般規則的同時亦留下了一定的例外情形，來彌補“告知—同意”規則的不足?；趥€人同意的“告知—同意”規則是意定基礎，非基于個人同意的“個人信息合理使用規則”是法定基礎，二者共同構成了我國法上個人信息處理的合法性基礎（lawful basis for processing）[7]，從而協調個人信息保護與其他價值之間的關系，這些例外情形就是本文所探討的個人信息合理使用規則。

（一）個人信息合理使用的規則內涵

所謂個人信息的合理使用，是指在有法律明確規定的前提下，不需要經過個人同意即可在合理限度內對個人信息進行的處理和利用。[8]其制度定位在于彌補“告知—同意”過分剛性的不足，在特定情況下可以確保和促進個人信息的合理利用。若從立法技術方面評價，此規定并非一律允許或否定未經同意的個人信息處理行為，而是采用一個“原則—例外”式規定，來表達立法者對個人信息保護與利用的傾向：首先，原則上應當優先保護個人的人格權益，只有取得個人的同意才可以進行相應的處理；其次，在少數情況下兼顧個人信息的利用價值，在有限列舉的特定例外情形下不需要取得個人的同意而處理其個人信息。

在國際視野上，歐盟《通用數據保護條例》（General Data Protection Regulation）規定了個人信息的合理使用規則②，即“告知—同意”僅為個人信息處理的合法性來源之一，除了取得同意外另行規定了不需要取得個人同意的個人信息處理情形。例如，在其第6條第1款列舉的“處理的合法性”中，除了第a項為取得個人同意外，第b項至第f項列舉了“履行契約所必需”“履行法定義務所必需”“維護其他人核心利益所必需”“維護公共利益所必需”等情形，這些情形就是取得個人同意以外的個人數據處理的合法性事由。[9]歐盟的這種制度設計方式被我國立法所借鑒，我國《個人信息保護法》第13條第2款規定“……有前款第二項至第七項規定情形的，不需取得個人同意”，也即在“履行合同所必需”“實施人力資源管理所必需”等情形下，個人信息處理者不需要取得個人的同意即可實施個人信息的合理使用。

若從規范結構上分析，我國現行立法上的合理使用的規定可以分為兩種類型：第一類，法律規定個人信息處理者無需獲得個人信息主體的同意授權即可處理的合理使用；第二類，法律規定個人信息處理者處理自然人個人信息而無需承擔責任的使用。前者通過免除同意授權而賦予未經同意的個人信息處理行為合法性，而后者則通過直接免除未經同意的個人信息處理行為的相關責任來賦予該處理行為合法性。當然，有學者提出，合理使用規則還包括不可抗力、正當防衛、緊急避險等情形，作為抽象層次的合理使用[10]，鑒于它們為一般意義上的免責事由，暫不將其納入本文討論范圍。

上述兩種類型沒有本質區別，相應的個人信息處理行為均屬于合法行為，可以阻卻民事侵權責任以及其他法律責任?，F行法體系下，第一種規定如《個人信息保護法》第13條的規定，若個人信息處理者處理個人信息屬于為“履行合同所必需”“實施人力資源管理所必需”“為履行法定職責或者法定義務所必需”“為應對突發公共衛生事件，或者緊急情況下為保護自然人的生命健康和財產安全所必需”“為公共利益實施新聞報道、輿論監督等行為”，以及“處理個人自行公開或者其他已經合法公開的個人信息”等情形時，不需要取得個人的同意即可對其個人信息進行處理；再如，《民法典》第999條明確授權可以“為公共利益實施新聞報道與輿論監督”而進行個人信息的合理使用。第二種規定如《民法典》第1036條規定在“為維護公共利益或者該自然人合法權益而實施的處理行為”和“合理處理已經公開的信息”等情形下，即使未經過個人的同意，個人信息處理者處理個人信息不必承擔民事責任。

（二）個人信息合理使用的制度緣起

《民法典》與《個人信息保護法》先后設置了同著作權的合理使用制度相似的個人信息合理使用規則來實現個人信息保護與利用的協調?！睹穹ǖ洹放c《個人信息保護法》中的個人信息合理使用規則的立法目的存在一個變遷和演進的過程，并且個人信息的合理使用與著作權合理使用的制度特征存在一定區別。

1.從維護公共利益到促進信息利用的目的變遷

個人信息的合理使用規則，最早出現在《民法典》第999條和第1036條。在全國人大的立法說明中明確表示該部分條文的立法目的是“構建自然人與信息處理者之間的基本權利義務框架，……合理平衡保護個人信息與維護公共利益之間的關系”[11]。個人信息作為自然人的人格權益，本應受到法律的嚴格保護，但是同時個人信息也可能會涉及社會公共利益，例如言論自由與輿論監督等事項。此時，公共利益與個人利益就產生了價值沖突，從公共哲學的內在邏輯審視，“基本權利保障必須讓渡部分自由給公共利益，公共利益反哺基本權利保障”，個人信息的合理讓渡有利于實現功利主義效用最大化。[12]但立法的天平不應該完全倒向任何一方，通過立法來完全剝奪個人的個人信息權益或完全忽視社會公共利益都是不可取的，而是應當通過規則與制度的預先安排對其進行一定的價值平衡。因此，我國《民法典》在確認自然人對個人信息享有人格權益時，并未規定自然人對其個人信息享有排他的、絕對的支配與控制[13]，而是通過規定處理個人信息不必承擔責任的免責事項來構建個人信息的合理使用規則，例如在“新聞報道”“輿論監督”以及“維護公共利益”等合理使用情形中，個人信息處理者不承擔責任。正如全國人大常委會的立法說明總結一樣，這一階段的合理使用規則主要是用來協調個人信息保護與公共利益之間的關系。

但是，時代的現實需要決定了立法在個人信息保護和利用之間進行協調的情形并不局限于《民法典》的列舉情形，《個人信息保護法》第13條的個人信息合理使用規則應運而生。在全國人大常委會對《個人信息保護法（草案）》的說明中提到，因為“考慮到經濟社會生活的復雜性和個人信息處理的不同情況”，而對“基于個人同意以外合法處理個人信息的情形作了規定”[14]，這一點也可以在《個人信息保護法》平衡個人信息的保護與利用的立法目的中得到印證。[15]這表明《個人信息保護法》中的合理使用規則不同于《民法典》中的合理使用規則，《民法典》中主要是出于公共利益的考慮，而《個人信息保護法》則增加了更加復雜的考量維度——個人信息利用的效率。從信息化時代走向大數據時代，個人信息不再是單純的人格權益，更是數據要素市場中數據要素的重要來源，個人信息的利用價值被立法者逐漸重視。因此，個人信息不再只是涉及社會公共利益時被合理限制。個人信息和數據的相關立法的立法目的之一就是要促進個人信息保護與利用[16]，從而實現權益保護與整體效率的平衡。[17]這一結論同樣可以從《個人信息保護法》合理使用規則的具體列舉事項中得出，例如“為履行合同所必需”“實施人力資源管理所必須”等情形不屬于一般意義上出于維護公共利益目標的合理利用，而是屬于“提高個人信息利用效率”的合理利用。若從功利主義法哲學視角審視，則是通過在保護自然人的個人信息權益的同時也進行適當限制來實現對于整個社會而言更大的“共同善”（common good）[18]。

2.與著作權合理使用制度似而不同的制度特征

在制度邏輯上，個人信息的合理使用與著作權的合理使用十分相似，都是出于某種利益的考量而對既存權利（權益）進行一定的限制。著作權領域的合理使用制度是指在一定條件下不經著作權人的許可，也不必向其支付報酬而對作品進行的使用。著作權作為著作權人對其獨創性作品享有的合法權益，本應被法律所保護。但是出于“促進社會主義文化和科學事業的發展與繁榮”的立法目的，立法選擇通過設定合理使用規則對著作權進行一定限制，從而協調權益保護和作品利用之間的關系。著作權的合理使用制度使得公眾在“個人學習、研究和欣賞”等情形下可以不經過著作權人的同意且不必支付報酬，從而促進知識與信息的廣泛傳播，以最大限度地實現社會文化、科學事業的進步和繁榮。[19]但同時也通過有限列舉和目的限制等方式對這種限制著作權的制度進行約束，試圖在保護作者的著作權與限制作者的著作權中尋求平衡。[20]個人信息的合理使用規則與著作權的合理使用具有相似的特征，同樣是規定在特定條件下無需經過個人信息主體的同意即可對其個人信息進行處理，同時也通過明文列舉的方式對具體情形進行嚴格限制，從而實現個人信息利用與保護的平衡。

但是，個人信息的合理使用與著作權的合理使用仍然存在一定的區別。其一，二者所限制的主要權益類型不同。在個人信息合理使用中，個人信息處理者無需取得同意即可處理屬于人格權益的個人信息，因此合理使用所限制的是自主支配與決定其個人信息權益的人格權益。[21]而在著作權的合理使用中，其他主體可以不取得同意、不支付報酬地利用著作權人的相關作品，主要限制著作權人的取得收益的財產權益[22]，在其他主體合理使用作品時作者的署名權等人格權益則仍然被法律所嚴格保護。其二，在著作權的合理使用中，著作權人不享有對合理使用情況的知情權，合理使用人無需告知權利人即可對作品加以合理利用。而對于個人信息的合理使用，個人依法享有關于個人信息處理情況的知情權，個人信息處理者原則上仍需要履行相應的告知義務。知情是權利遭到侵犯的權利人尋求救濟的事實前提，如果無法得知其合法權益被侵害，權利人就不可能主動尋求對合法權益的救濟。法學研究視域下一般認為對人格權和人格利益的保護優先于財產權的保護[23]，個人信息合理使用所克減的權益為人格權益，對個人信息合理使用中個人知情權的保障體現了立法對人格權益更高程度的保護。

三、合理使用場景下個人信息權益的限制

（一）合理使用規則限制個人的決定權與撤回權

撤回權是指個人有權取消其對自己已經作出的“同意信息處理者對其個人信息進行處理”的授權的權利[24]，而決定權是指個人有權限制或者拒絕他人對其個人信息進行處理的權利。二者的關系非常緊密，前者是通過決定是否撤回已有授權的方式體現個人對其個人信息的支配，后者是決定是否給予個人信息處理者授權的方式體現個人對其個人信息的支配，故在此處一并進行討論。在個人信息保護領域，立法者賦予了個人撤回權和決定權，以彰顯個人對其人格權益的自主支配，體現了法律對人的主體性和自主性的尊重[25]，這是保護個人信息權益的意義和價值所在。二者都是當事人對其個人信息權益的支配體系的重要組成部分，在不同方面發揮協同作用。但個人信息合理使用規則是“知情—同意”規則的替代制度，在個人信息處理者滿足合理使用的條件時即可對個人信息進行相應的處理而不需要取得個人的同意，是對個人信息的自主支配利益的克減，這種克減將對個人的決定權和撤回權產生一定的影響。

對于撤回權，依據《個人信息保護法》第15條，基于個人同意而處理個人信息的，個人有權撤回其同意，這一規則明確限制了個人享有撤回權的前提是“基于個人同意”而處理其個人信息。因此，對于構成合理使用的處理行為，并非屬于“基于個人同意”的個人信息處理行為，個人信息處理者處理其個人信息的正當性基礎來自合理使用規則的法定授權，而非個人的授權同意。簡言之，合理使用并非基于個人的同意，當然個人也沒有撤回同意的權利。而對于決定權，依據《個人信息保護法》第44條的規定，個人有權自主決定（限制或拒絕）他人是否可以對其個人信息進行處理，但是“法律、行政法規另有規定的除外”。正面來看，這一規則表明當不存在其他另有規定時個人有權同意或者拒絕處理者處理其個人信息，表現為支配性權利。[26]同樣也表示，如果存在其他“另有規定”時，個人的決定權將會被限制。而依據《個人信息保護法》第13條“有前款第二項至第七項規定情形的，不需取得個人同意”的規定，此處的第2項至第7項其實就是本文所謂“個人信息的合理使用”，法律規定在構成合理使用時“不需取得個人同意”，屬于法律對決定權的限制。因此，可以認為無需取得個人同意的合理使用規則屬于《個人信息保護法》第44條規定的個人享有決定權的“另有規定”。

綜上，初步結論是在符合個人信息合理使用的條件時，個人原則上不再享有撤回權與決定權。③原因在于決定權與撤回權共同指向的要素是個人信息自主支配利益，享有決定權與撤回權的前提是個人主體有“同意的權利”，而個人信息的合理使用規則正是立法者出于促進信息利用的目的而對個人權利的克減，因此個人的決定權等自主支配利益受到了合理使用規則的限制。

但是值得注意的是，《個人信息保護法》對合理使用的某些情形明確規定了個人享有可以拒絕的權利，此時個人的決定權因為法律的特別規定而恢復。例如，《個人信息保護法》第27條明確規定了“個人明確拒絕的除外”，因此對于“已經自行公開、合法公開信息”情形下的合理使用，當事人因法律的明確規定而仍享有相應的自主決定權，可以拒絕個人信息處理者對其自行公開和已經公開的信息的合理使用。而對于沒有明確規定當事人享有拒絕權的情形，合理使用將仍然對其決定權進行限制，即無權拒絕個人信息處理者對其個人信息的處理。例如，當事人并不能依其決定權而拒絕媒體為了公共利益而實施輿論監督的個人信息合理使用。綜上所述，作為立法者出于信息利用效率考量而設立的規則，合理使用在一般情況下將限制個人的撤回權與決定權，但是在有特別規定時個人仍然享有決定權。

（二）合理使用規則原則上不影響個人的知情權

如前所述，在著作權的合理使用中，合理使用人無需取得個人同意，也無需告知著作權人即可進行著作權的合理使用，因而著作權人并不享有合理使用的知情權。對于個人信息的合理使用，同樣是對個人信息權益進行了一定的限制，來實現個人信息保護和利用的平衡?？梢悦鞔_得出的結論是，合理使用在一定程度上限制了當事人的自主決定權與撤回權，但是否會對知情權產生影響？依據《個人信息保護法》第14條的規定要求個人在“同意”時要“充分知情”，那么“非基于同意”的合理使用是否需要達到“充分知情”的程度？若從現行個人信息保護法律體系進行考察，立法者對這一問題并沒有進行明確的規定，這一問題的答案有賴于對個人信息合理使用規則的進一步解釋。

個人信息合理使用對個人信息的自主支配利益進行限制時是否對知情權進行限制，這一問題是個人信息利用的效率價值與個人信息保護的權益價值之間的價值衡量，實質是立法者出于效率的考量可以對個人信息的權益限制到何種程度。在邏輯上，這一衡量過程包括兩個極限情況，就像是一個天平的兩端：一端是在克減個人決定權的同時也完全克減對其個人信息處理的知情權，也即個人信息處理者在合理使用時不需要征得當事人的同意，也無需履行相應的告知義務；另一端是克減個人決定權的同時完全不減損個人對其個人信息處理的知情權，也即在進行合理使用時個人信息處理者仍然需要履行同“告知—同意”信息處理完全相同的告知義務，只不過不需要征得同意。天平的傾斜程度就代表了立法對效率與權利二者的態度傾向。由于個人信息影響到人格權、公共利益、國家利益等多方面關系，在相關規則進行制度構建與具體適用時應當注重對相關利益的協調。[27]

從知情權條款的文義進行考察，《個人信息保護法》第44條規定了知情權，但知情權與個人的決定權列于同一條款，二者均有“法律、行政法規另有規定的除外”的表述。如何理解此處的“另有規定”，是解決此問題的重要突破點。如上文“合理使用與決定權的關系”部分所述，在理解決定權是否被克減時將合理使用規則歸入了第44條的“另有規定”，原因在于第13條第2款的合理使用規則明確規定了“……有前款第二項至第七項規定情形的，不需取得個人同意”，該種表述實質上是對決定權的克減。但是在此處，本文認為不可以簡單一句“同理可知”，將合理使用規則同樣地歸入對知情權克減的“另有規定”，從而草率地得出知情權同決定權一樣被合理使用制度所克減的結論。這是因為在第13條第2款的合理使用規則僅明確規定了“不需取得個人同意”，而立法并未直接表述“無需告知個人”。對于個人信息權益而言，其屬于《民法典》《網絡安全法》《個人信息保護法》等法律明確規定的個人享有的人格權益。人格權是基本民事權利，與人格尊嚴直接相關，對其的限制應采取法律保留原則，對個人權益克減都應該有法律的明確規定[28]，而不應該草率地通過類推得出權益被克減的結論。依據個人信息保護法的基本原理同樣可以得出否定的結論。因為“公開透明原則”是我國乃至國際個人信息保護領域的立法中的一項重要原則[29]，這一原則要求個人信息處理者在處理個人信息時應當盡可能地保障個人的知情權。為保障個人知情權而建立和健全的良好信息披露機制，盡管給處理者帶來了更大的合規壓力，但可以使個人“保持清醒的在場”[30]，這是個人行使其他個人信息權益的基礎。在個人信息保護規則存在適用的模糊地帶時，可以依據個人信息的基本原則進行解釋，得出應當保障個人知情權的結論。因此，在沒有明文規定對知情權進行限制時，不能通過類推解釋將合理使用規則納入對知情權克減的“另有規定”之中。實際上，《個人信息保護法》第17條規定了“個人信息處理者的名稱或者姓名和聯系方式”等個人信息處理者的告知義務的具體事項。從權利義務相對應的角度切入，個人信息處理者的義務實際上就是個人的權利?？梢岳斫鉃?，在法律沒有明確規定豁免個人信息處理者的告知義務時，個人對其個人信息的處理享有相應的知情權。

除上述論證外，從體系邏輯的一致性方面考慮，個人的知情權在合理使用場景下亦不應當被限制?！奥男蟹ǘ氊煛笔恰秱€人信息保護法》明確規定的個人信息合理使用情形之一，國家機關在“履行法定職責”時不需要取得個人同意。但《個人信息保護法》第35條的規定為國家機關確立了一般性的告知義務[31]，原則上“履行法定職責”時國家機關應當依法履行告知義務。只有在“法律、行政法規規定應當保密或者不需要告知”或“告知將妨礙國家機關履行法定職責”等明確規定的情形時其告知義務才被豁免。雖然履行法定職責屬于第13條第2款的合理使用規則的情形，但在此處仍然需要履行告知義務。再如，對于“緊急情況下為保護自然人的生命健康和財產安全所必需”的個人信息處理，屬于不需取得個人同意的個人信息合理使用。但《個人信息保護法》第18條第2款規定在該種合理使用情形下“個人信息處理者應當在緊急情況消除后及時告知”，而非完全不需要告知。這兩點可以從側面印證以下結論：盡管個人信息處理的合理使用規則限制了個人的自主決定權（不需要取得個人的同意），但個人原則上仍然享有知情權（盡管可能在緊急情況下是嗣后告知）。

（三）合理使用場景下告知義務豁免條款限制個人的知情權

延續上文思路，個人信息處理者告知義務的豁免規則其實就是《個人信息保護法》第44條中減損個人對其個人信息處理的知情權的“另有規定”。此類“另有規定”如《個人信息保護法》第18條和第35條，規定了特殊情形下免除個人信息處理者的告知義務，在這些情形下個人對其個人信息處理的知情權被限制。反之，在無法滿足有豁免告知義務的“另有規定”的情形時，個人信息處理者的告知義務沒有被豁免，個人仍然享有對其個人信息處理的相應知情權?？偠灾?，合理使用制度雖然是“告知—同意”的例外規則，對個人信息權益進行了一定限制，但是這種限制主要表現在對個人的自主決定權的限制，并不必然可以對個人的知情權進行同樣的限制，只有在法律有特殊規定（如豁免告知義務的規定）時，基于這些另有規定個人知情權才受到限制。[32]限制自主決定權和限制知情權的情形存在差別，而且在理論上免除告知義務的規定應當比無需取得個人同意的情形更加嚴格。[33]目前，有學者提出國家機關作為個人信息處理者時，可以分為三種類型：“取得同意-應當告知”“無需同意-應當告知”和“無需告知-無需同意”三種可能的情形。[34]其實，這三種類型的劃分不僅適用于國家機關作為個人信息處理者的情形，所有的個人信息處理都可以采用這種劃分方式，如表1所示。

舉例以說明：表中第一種情形是一般的“告知—同意”情形，不再贅言。表中列舉的第二種“無需同意-應當告知”情形：用人單位為實施人力資源管理而處理個人信息，屬于個人信息的合理使用，不需要取得個人同意。但由于用人單位的合理使用不屬于法定免除告知義務的情形，則其仍然需要履行《個人信息保護法》第17條的告知義務，此時個人的知情權沒有被限制。表中列舉的第三種“無需同意-無需告知”情形：對于偵查機關以收集處理嫌疑人個人信息為手段來實施的刑事偵查行為，屬于“履行法定職責”的合理使用，國家機關不需要取得個人同意。同時，處理嫌疑人的個人信息屬于《個人信息保護法》第35條規定的限制知情權條款中的“告知將妨礙國家機關履行法定職責”的情形，此時偵查機關不需要履行告知義務，嫌疑人的知情權被限制。綜上所述，只有在法定的特殊情形下（即上表中的“無需同意-無需告知”情形），立法者才對個人的決定權與知情權進行“雙重限制”，此時個人信息處理者既不需要取得同意，也不再需要履行告知義務。

值得注意的是，對知情權的限制并非來自合理使用規則本身，而是來自限制個人知情權（豁免個人信息處理者的告知義務）的“另有規定”。若沿此思路，一個不可回避的問題是如何合理界定和理解“限制知情權的規則”?！秱€人信息保護法》第18條“……有法律、行政法規規定應當保密或者不需要告知的情形的，可以不向個人告知前條第一款規定的事項”的表述方式，留下了一定的模糊地帶。其中，對于明確規定“應當保密”的情形無需過多討論，不會產生過多爭議；但對于“不需要告知”的情形，卻有兩種理解方式：一種理解方式認為“法律、行政法規規定”作為“應當保密”和“不需要告知”兩種情形的共同定語，也即此處規定的是：“法律、行政法規規定”的“應當保密”和“法律、行政法規規定”的“不需要告知”兩種情形[35,36]；另一種理解方式則認為“法律、行政法規規定”作為“應當保密”情形的定語，而“不需要告知”則作為與前項“法律、行政法規規定”的“應當保密”并列的單獨一項情形。[37,38]前種理解方式意味著只有法律、行政法規明確規定“不需要告知”時個人信息處理者才不須告知，后種理解下的“不需要告知”涵蓋范圍則更加寬闊，留下了實質判斷是否需要告知的空間。

此處宜采第二種解釋路徑，原因在于：其一，第二種解釋路徑有利于《個人信息保護法》與其他法律的協調，可以減少相應的立法成本。目前我國已有的法律規定一般是采取規定保密的方式，而“不需要告知”這一表述實質上是《個人信息保護法》的獨創表述。由于其他法律并沒有做出此種規定，此時如果嚴格要求“法律、行政法規”規定的“不需要告知”，該規則將無法與現有法律體系有效銜接。其二，第二種解釋路徑有利于《個人信息保護法》的內部自洽。目前，對于非基于個人同意的個人信息合理使用規則中的部分情形，若從成本效益方面考量本應納入上文所提到的“無需同意-無需告知”的情形，例如“為公共利益實施新聞報道與輿論監督”以及“處理已經公開的信息”等情形時，如果要求處理者滿足相應的告知義務，將會導致成本收益的失衡，甚至對于“處理已經公開的信息”，履行告知義務可能由于搜尋成本等問題而不具有現實可行性，并面臨實際操作上的障礙。[39]上述情形顯然不符合“應當保密”的條件，同時《個人信息保護法》亦未明確規定其屬于“不需要告知”的情形。如果采第一種解釋路徑，則相應的結論是“為公共利益實施新聞報道與輿論監督”以及“處理已經公開的信息”屬于“無需同意-應當告知”的類型，也即：處理者必須滿足相應的告知義務。但這樣的結論顯然不具有現實可行性，同時也與個人信息保護和利用相平衡的立法目的相悖。對于已經合法公開的個人信息，在學理上亦有觀點認為個人信息處理者原則上無需履行告知義務即可自由處理。[40]因此，本文認可第二種解釋思路：將“不需要告知”的情形作為一項實質判斷事項，而非“有法律、行政法規規定”時的準用事項。此時，可以將“為公共利益實施新聞報道與輿論監督”以及“處理已經公開的信息”④解釋為無需告知的事項，從而達到妥適平衡個人信息保護與利用的目的。當然，此時何種情形屬于“不需要告知”的指涉范圍，需要進一步明確，防止實質判斷空間的過度擴張。

四、我國法中合理使用與單獨同意的體系協調

所謂特殊同意制度是指依據個人信息保護的有關法律的要求，在處理個人信息時區別于一般情形下的同意條件，而采取特殊的同意方式，方能處理該個人信息的有關制度。特殊同意比一般同意在內容或形式方面有著更高的要求。例如，在歐盟《通用數據保護條例》中有區別于一般同意的“明確同意”（explicit consent）⑤；在韓國《個人信息保護法》中存在要求取得“另行同意”的處理情形。⑥我國《民法典》《個人信息保護法》等立法對于個人信息處理中的同意，亦采用了多元化而非一元化的設定模式[41]，《個人信息保護法》中存在一般同意和單獨同意等特殊同意的區別。各法域的立法者之所以規定特殊同意制度，是為了在涉及個人信息處理的特殊場景時將法律的天平更加傾向于個人，更加嚴格地限制處理者的處理行為，體現了立法對個人信息權益的加強保護。[42]一方面，可以增大個人信息處理者的收集成本，防止其對個人信息權益的肆意侵害，另一方面，更加嚴格的告知義務和同意條件更可能喚醒個人的權利保護意識從而謹慎授權。[43,44]

我國《個人信息保護法》中的特殊同意制度目前主要包括單獨同意和書面同意：其中書面同意主要由引致條款規定⑦，在此處不做贅述；單獨同意主要包括“敏感個人信息的處理”“個人信息的公開”“非公共安全目的對個人圖像、身份識別信息的收集”“個人信息的跨境轉移”以及“向其他個人信息處理者提供個人信息”等類型。在上述場景下，如果沒有取得相應的特殊同意，該個人信息處理行為則具有違法性[45]，應當承擔相應的侵權責任。目前，最典型的特殊同意的場景是對個人敏感信息的處理，諸如歐盟《通用數據保護條例》、日本《個人信息保護法》、韓國《個人信息保護法》以及我國《個人信息保護法》等現實立法均在個人敏感信息上提高了處理門檻，設置了更高程度的特殊同意要求。[46]因此，下文將以個人敏感信息的單獨同意規則為例，探討其作為特殊同意規則與個人信息合理使用規則的關系。

（一）歐盟《通用數據保護條例》中合理使用規則的雙層結構

歐盟的《通用數據保護條例》作為公認的“最嚴格的個人信息保護規則”[47]，對個人敏感信息的處理采取了非常嚴格的制度設計——“原則禁止，特殊例外”的處理原則。[48]一方面，原則上禁止處理個人的敏感信息，其第9條第1款規定，對于“種族或民族背景、政治觀念、宗教或哲學信仰、工會成員、基因數據、為了特定識別自然人的生物性識別數據、自然人健康以及個人性生活或性取向”相關的個人信息，原則上應當禁止處理。另一方面，即使處理者欲通過取得個人的同意來獲得處理個人敏感信息的合法性，還需要取得個人的更高程度的同意——明確同意（explicit consent），即該同意必須是“自由給予、明確、具體、不含混”的，個人的任何被動同意均不符合《通用數據保護條例》的規定。[49]值得注意的是，歐盟《通用數據保護條例》中的特殊同意是“明確同意”，與我國立法中的“單獨同意”存在區別。[50,51]盡管其在規范表述和條件要求上存在不同，但二者在各自立法體系中均為嚴格程度高于“一般同意”的“特殊同意”，在此意義上二者具有相似的地位。鑒于此，本文將以我國與歐盟法中的這兩種地位相似的“特殊同意”與各自立法體系中的個人信息合理使用規則的關系作為研究對象。

在本文第一部分已經提到，《通用數據保護條例》第6條第1款“處理的合法性（除了第a項為取得個人同意外）”屬于本文研究之“合理使用規則”。但除此之外，在《通用數據保護條例》第9條“對特殊類型個人數據的處理”中，規定了處理個人特殊敏感信息的合法性事由，其中不僅包括更高程度要求的“特殊同意”，還包括了其他“非基于同意”的處理情形，同樣屬于本文所研究的“合理使用規則”。因此，在《通用數據保護條例》中，合理使用規則可以分為兩部分，分別是第6條第1款“處理的合法性”中除第a項“取得個人同意”之外的合法處理情形，以及第9條第2款“禁止處理敏感信息的例外”中除了第a項“取得個人特殊同意”之外的合法處理情形。其中，第6條第1款中的合理使用規則是合理使用的一般規則，而第9條第2款中的合理使用規則是敏感信息場景下的特殊規則，二者是特殊規則與一般規則的關系。依據特別法優于一般法的法律適用原則，在特殊場景下第9條第2款的合理使用規則處于優先適用的位階。

歐盟《通用數據保護條例》的雙層合理使用規則，可以在敏感信息場景下對非基于同意的個人信息合理使用設置更高程度的條件與要求。例如，對于一般情況下的個人信息合理使用，依據《通用數據保護條例》第6條第1款第d項的規定，當個人信息屬于“處理對于保護數據主體或另一個自然人的核心利益所必要”的情形時，無需個人同意即可對個人信息進行處理；而在“種族、民族、個人性生活或性取向相關”等敏感信息的處理場景下，依據第9條第2款第c項的規定，個人信息合理使用需要滿足“數據主體因為身體原因或法律原因而無法表達同意，但處理對于保護數據主體或另一自然人的核心利益卻是必要的”的條件。相比之下，敏感信息場景下的合理使用被嚴格限制在“數據主體因為身體原因或法律原因而無法表達同意”的條件下。此種嚴格條件的設置并非孤例，實際上第9條第2款中的第b項至第i項均為對第6條第1款中的一般情形下的合理使用規則的嚴格與細化。

綜上，歐盟立法中設置了雙層合理使用規則，在敏感信息場景下《通用數據保護條例》第9條的“明確同意”作為特殊同意規則與特殊的合理使用規則的共同構成個人信息處理的合法事由，合理使用規則與特殊同意規則并不具有發生沖突的可能性。

（二）我國《個人信息保護法》視野下特殊同意與合理使用的規則沖突

不同于《通用數據保護條例》對一般情形和特殊場景下合理使用規則的區分設置，我國并沒有對特殊情形下的合理使用規則進行單獨設置，因此產生了合理使用與特殊同意相關規則適用的沖突。我國《個人信息保護法》對敏感信息處理等特殊場景設置了區別于“一般同意”的“特殊同意”——主要是“單獨同意”規則（“書面同意”由引致條款規定），但卻沒有如歐盟立法中一樣對于敏感信息等特殊場景下個人信息處理的合理使用進行單獨規定，只在第13條規定了單一的合理使用規則?；诖?，在構成個人信息的合理使用的情形時，是否仍然需要取得個人的特殊同意？或者表達為，在需要特殊同意的個人信息處理場景下，“非基于個人同意”的合理使用規則是否還有適用的空間？這一問題實質上是合理使用與特殊同意的體系關系為何，對于這一問題現行法并沒有給出明確的答案，仍有賴于對相關規則的解釋。

若從現行法考察，依據《個人信息保護法》第14條的規定，“基于同意”的個人信息處理，如果有法定特殊同意要求另有規定的需要取得相應的特別同意。再如《網絡數據安全管理條例（征求意見稿）》，其延續了《個人信息保護法》第14條的規定方式，第21條規定“處理個人信息應當取得個人同意的，數據處理者應當遵守以下規定：……（二）處理個人生物識別、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌跡等敏感個人信息應當取得個人單獨同意；……”。這一規定同樣只強調了：在涉及個人敏感信息的個人信息處理中，對于“基于個人同意”的個人信息處理，還需要取得個人的“單獨同意”，而沒有明確規定“非基于同意”（即本文所謂個人信息的合理使用）的個人信息處理是否需要取得對敏感信息的單獨同意。

在這一點上，可以認為立法存在較大的模糊地帶：從規則指向的反向理解來看可以得出疑問，“非基于同意”的個人信息處理是否同“基于同意”一樣需要取得個人的特殊同意？舉例而言，“人力資源管理所必需而處理個人信息”屬于法定的合理使用情形，一般情況下無需取得個人的同意即可處理個人信息，并無太大爭議。但在涉及生物識別、銀行賬戶等敏感信息特殊場景時，是否需要取得個人的單獨同意，是一個法律沒有明確規定的問題。這一問題的實質在于如何理解合理使用規則與特殊同意規則之間的適用位階關系。

若就制度定位而言，合理使用規則是立法者出于彌補“告知—同意”規則的過于剛性的目的，為協調個人信息利用與個人信息保護的平衡而設立的規則。因此，合理使用規則與基于同意的個人信息處理規則同樣被并列規定于《個人信息保護法》第13條中。立法者采取“原則-例外列舉”的立法技術，實際上是將合理使用規則理解為一般“告知—同意”的替代與補充制度，也即合理使用規則可以為個人信息處理提供與取得個人同意相同的正當性基礎。在這個意義上，“告知—同意”規則與合理使用規則是具有相同位階的制度，二者對于個人信息處理者而言是“或有”的關系，只需要符合其中之一，個人信息處理行為即具有合法性。而特殊同意制度是立法者出于對敏感信息處理、信息公開行為等特殊場景下個人信息的側重保護而設立的制度，要求單獨同意或者書面同意，體現了對個人信息處理更高程度的要求，是所有個人信息處理的特殊規則。因此，特殊同意規則、“告知—同意”規則以及合理使用規則之間的關系，是第一種解釋路徑，特殊同意規則是所有的個人處理行為（包括“一般同意”情形和“合理使用”情形）的特殊規定，效力位階上優先于作為一般規定的“告知—同意”規則與其“補充制度”——合理使用規則。

但僅對《個人信息保護法》第14條第1款⑧的條文表述進行文義解釋，此處還可以有另一種理解和適用的方式，將會得出相反的結論?？梢詫ⅰ秱€人信息保護法》第14條和《網絡數據安全管理條例（征求意見稿）》第21條的規定理解為：只有“基于同意”的個人信息處理行為在有法定特殊同意要求時，才需要取得相應的特殊同意。而對于“非基于同意”的個人信息合理使用，則不需要滿足相應的特殊同意的要求。第二種解釋路徑的實質是僅僅將單獨同意等特殊同意作為“告知—同意”規則的特別規定，亦即：只有在適用“告知—同意”規則時遇到需要特殊同意的處理場景時才需要特別同意，而對于非基于同意的合理使用，則不需要取得特殊同意。

總而言之，法律的模糊性為此處留下了兩種理解與適用的方式：前者認為，特殊同意規則是所有個人信息處理行為的特殊規則，而合理使用規則同“告知—同意”規則一樣，是個人信息處理的一般規則；后者認為，特殊同意規則僅是“告知—同意”規則的特殊規則，不影響合理使用規則的適用。依據特殊規定優先于一般規定的法律適用方法，二者的區別在于：前者認為特殊同意規則作為特殊規則，將優先于作為一般規則的“告知—同意”規則與合理使用規則，從而得出對于敏感個人信息等特殊同意情形，即使符合合理使用的要求，也應當取得個人的特殊同意；而后者的結論則正相反，符合個人信息合理使用的條件時，將不再需要取得個人的特殊同意。舉例而言，對于用人單位作為處理者的情形，員工的銀行賬戶、生物識別等敏感信息在滿足合理使用的條件時，前者認為用人單位仍然應當依法取得單獨同意，后者則認為只要屬于合理使用就不再需要取得單獨同意。目前，學界對于這一問題尚未形成共識，在理解上尚存在分歧：一部分學者支持第二種解釋路徑，譬如有觀點主張此處沒有限制“基于個人同意”只是為了“使表述更加嚴謹凝練”[52]，實際上僅限于“基于個人同意”的情形；再如有觀點認為“（單獨同意）當然是指那些基于個人同意處理個人信息情形，至于依據法律、行政法規的規定無需個人同意即可處理個人信息的情形，則不適用”[53]。但是，亦有學者支持第一種解釋路徑，并對前述觀點表示了質疑，認為“單獨同意”不應當被合理使用規則所豁免，其論據是：其一，體系解釋方面，《個人信息保護法》第13條第2款（即合理使用規則）中“不需要取得個人同意”的“同意”，僅指“一般個人信息處理的同意”，而非特殊場景下的“單獨同意”；其二，在利益衡量方面，如果“單獨同意”可以被合理使用規則所直接豁免，可能存在結果上的不合理。[54]

本文認為后一觀點值得進一步商榷，原因在于：第一，后一觀點所采取的解釋方法為反向解釋，即是依照法律規定的命題（判斷），推斷其反方面命題（判斷）的一種法律解釋方法。[55]但是此種解釋方法需要滿足一定的條件：只有要件和效果構成必要條件或充要條件假言命題的法條，才可以采取“否定法律要件進而否定法律效果”的解釋方式。[56]而在此處，并沒有充分的理由認定《個人信息保護法》第14條第1款符合適用反對解釋的條件，因此無法得出該反向解釋的結論。具言之，第14條可以表達為：存在需要單獨同意的另有規定時，如果條件是“基于個人同意”的個人信息處理，則效果是“應當取得個人的單獨同意”。第二種解釋路徑是對第14條的反向解釋，具體為：存在需要單獨同意的另有規定時，如果條件是“非基于個人同意的個人信息處理”，效果是“無需取得個人的單獨同意”。根據形式邏輯推理的研究，這一結論成立所需要的條件是《個人信息保護法》第14條屬于“法律條件是法律效果的必要條件或充要條件的法律規范”。但是，該法條并沒有使用嚴格的邏輯學假言判斷的聯結項（如必要條件為“只有……才”，充分條件為“如果……就”）。此時，判斷命題的類型就還需要結合法律體系、立法目的、利益衡量等進行判斷。[57]由此，關于此問題的討論就必須從形式邏輯走向實質判斷，同時結合上文有學者提出的有關13條中“同意”的體系解釋與適用后果的利益分析的論據可知，此處不宜以“當然可知”等類似說法輕易通過反向解釋得出該結論。

第二，從體系解釋的角度來看，除了第14條第1款外，《個人信息保護法》并沒有明確規定將“單獨同意”規則只局限于“基于個人同意”的個人信息處理。例如，其第29條規定“處理敏感個人信息應當取得個人的單獨同意……”，其中并沒有像第14條第1款一樣限定“基于個人同意”，從單純文義解釋來看該規則是所有涉及敏感信息的個人信息處理均需要遵守的規則。

第三，從歷史解釋的角度來看，分析《個人信息保護法》第29條的變遷歷史亦可以得出相同的結論。第29條的規則表述在《個人信息保護法》立法過程中經歷過修改變動，在《中華人民共和國個人信息保護法（草案二次審議稿）》（以下簡稱“《二審稿》”）中其表述為“基于個人同意處理敏感個人信息的，個人信息處理者應當取得個人的單獨同意……”，這樣的表述其實是將敏感個人信息處理的“單獨同意”規則限制于“基于個人同意”的個人信息處理。與之相對，第23條、第25條、第26條、第39條同為“單獨同意”的個人處理情形，在《二審稿》中卻沒有“基于個人同意”的限制。通過對比可知，在《二審稿》中敏感個人信息的“單獨同意”僅限于“基于個人同意”的個人信息處理，而第23條、第25條、第26條、第39條等規則規定的“單獨同意”不限于“基于個人同意”的個人信息處理。而在最終的《個人信息保護法》中將第29條的“基于個人同意”的限定條件刪除，將其與第23條等規則的“單獨同意”同等對待，實際上是拓寬了敏感個人信息處理“單獨同意”規則的適用范圍。這一變化可以從側面印證上述結論——“單獨同意”規則并非僅限于“基于個人同意”的個人信息處理情形，除非有明確規定的限定條件（如《二審稿》中的敏感個人信息處理）。這樣也可以反駁前文提到的刪除“基于個人同意”僅是為了“使表述更加嚴謹凝練”的觀點。如果認為刪除“基于個人同意”僅是為了“使表述更加嚴謹凝練”，也即認為如果不規定“基于個人同意”就可以直接視同有“基于個人同意”的限制，就無法解釋為何在《二審稿》中的“單獨同意”在部分情形下有“基于個人同意”的表述，而部分情形并無此表述。假設《二審稿》中各情形均有“基于個人同意”的表述，然后再于最終立法文稿中統一刪去，此種解釋方式或許有存在的空間。實際上，《二審稿》中一部分“單獨同意”存在“基于個人同意”限制而另一部分沒有“基于個人同意”限制，正說明了有無限制這一條件之間的區別。因此，可以得出這樣的結論：以個人敏感信息處理為典型代表的特殊同意制度，是所有個人信息處理的特別規則，優先于個人信息合理使用與“告知—同意”的規則適用。

綜上所述，在涉及特殊的個人信息處理場景時，單獨同意作為我國法的“特殊同意”應當優先適用，個人信息處理者并不能依據合理使用規則而直接對個人信息進行處理，而仍須依法取得單獨同意。舉例而言，雖然根據合理使用規則，用人單位無需取得員工的同意即可實施人力資源管理所必需的個人信息處理行為。但是，對于員工個人的人臉識別信息、宗教信仰、醫療健康、金融賬戶等敏感信息，應當取得個人的單獨同意才可以進行收集等處理行為，此為《個人信息保護法》第29條優先于個人信息合理使用規則的結果。再如，國家機關依職權取得了大量的個人敏感信息，原則上除非取得個人的單獨同意，不能將個人的敏感信息公開[58]，此為第25條優先于個人信息合理使用規則適用的結果。

（三）知情權限制規則作為特殊場景下合理使用的補充制度

雖然上述論述可以較為妥適地解釋單獨同意的適用位階優先于合理使用規則，但由于我國《個人信息保護法》沒有像《通用數據保護條例》一樣設置雙層結構的合理使用規則，無法解決特殊場景下的個人信息的合理使用問題。在歐盟法下，雖然特殊場景中的合理使用需要滿足更加嚴格的適用條件，但是仍然有其適用的空間。而我國沒有在敏感信息等特殊場景下設定單獨的合理使用規則，同時一般合理使用規則因劣后于特殊同意規則而無法適用，在特殊場景下沒有合理使用個人信息的制度空間。但實際上，在國際視野下的個人信息保護專門立法中，許多國家規定了個人私密信息可予公開的特定情形，以確保在國家意志和公共利益層面上平衡公眾知情權、監督權與隱私權。[59]個人信息的社會性決定了其所指向的不僅僅是個體性利益，還具有公共性色彩[60]，私密信息、敏感信息等特殊場景下的個人信息處理有其保護的必要性，但是沒有必要將其設置為完全的絕對保護地位。因此，沒有必要“完全地、絕對地”要求在任何條件下對敏感信息等特殊場景都需要取得個人的單獨同意。舉例而言，國家安全機關或公安機關在履行偵查職權時，可能需要收集與處理被調查對象的個人信息，其中可能包括個人敏感信息。此時苛求公安機關取得被調查對象的單獨同意，恐怕是一個有悖于立法初衷與社會管理現實需要的結論。鑒于此類現實需要，此時還需要探究的問題其實是如何在承認單獨同意規則優先于合理使用規則的基礎上，為特殊場景下個人信息利用留下合適的制度敞口。

目前，在我國現行法體系下或許可以將知情權限制規則作為特殊場景下合理使用的補充制度，來實現敏感信息等特殊場景下對個人信息的合理使用。如本文第三部分所述，合理使用規則不影響個人的知情權，除非有法律的明確規定，這些“另有規定”不僅可以作為限制個人知情權的依據，亦可作為限制單獨同意規則適用的依據。嚴格來說知情是同意的內在規范要求[61]，限制知情權的條件比限制決定權的條件更加嚴格[62]，舉重以明輕，因為無需告知所以不必取得同意[63]，如果立法對個人的知情權都已經剝奪，自然不存在取得其同意的空間。簡言之，豁免告知義務的情形下，無需取得個人的同意。[64]例如，依據《個人信息保護法》第18條和第35條的規定，有“法律、行政法規規定應當保密或者不需要告知的”以及“告知將妨礙國家機關履行法定職責”等情形時，個人信息處理者依法不需要履行告知義務。因此，對于敏感信息等特殊場景下的個人信息處理，如果屬于法律明確規定的對知情權限制的情形，單獨同意規則由于限制知情權條款的存在而不適用，即個人信息處理者無需再取得個人的“單獨同意”。

對于被處理者而言，合理使用規則和知情權限制規則達到了相似的效果——不再需要取得個人的同意，但是其發揮效果的原理存在不同，前者是直接限制個人的決定權而不再取得個人的同意，而后者是通過限制知情權來實現這一效果。在后者效果實現的過程中，限制知情權條款發揮了效力，但一個需要回應的問題是，合理使用規則在此過程中的作用是什么？實際上，二者各自的制度目標或許可以回答這一問題。合理使用規則的目的是賦予處理者以非基于個人同意的個人信息處理以合法性基礎，限制知情權條款則是出于某種目的使得被處理者不能了解處理的有關情況。由此可見，限制知情權條款并沒有解決個人信息處理的合法性基礎問題。而對于限制知情權情形下的個人信息處理，由于無告知義務而不可能適用“告知—同意”規則取得處理活動的合法性，僅可能通過合理使用規則取得合法性。在理論上存在這樣的可能性——處理者的行為符合限制知情權條款的規定，但是不符合合法性基礎的規定：譬如某單位的某項個人信息處理活動符合《中華人民共和國保守國家秘密法》第9條的規定，應當保密；但是仍然需要依據合理使用規則判斷其是否具有合法性基礎，如果超出法定權限職責就可能無法取得合法性基礎，因此可能會招致對單位的責令改正和相關人員的處分。⑨此時，個人信息的合理使用規則由于單獨同意規則的無法適用而仍可以適用，也即個人信息處理者仍需要通過個人信息合理使用規則獲得相應個人信息處理行為的合法性。此處可以做一個簡短小結：可以將法定的需要單獨同意的特殊場景下的合理使用場景區分為“個人依法享有知情權”和“個人依法不享有知情權”兩種類型，前者如“人力資源管理所必需”的合理使用，后者如國家安全機關“依法定職權”的合理使用。前者的個人信息處理行為仍然受到單獨同意規則的約束，個人合理使用規則不再適用；而后者則由于限制知情權的法律規定而不需要取得個人單獨同意，可以直接適用個人信息合理使用規則。這種理解與適用的思路可以彌補我國單層次合理使用規則的不足，可以在明確特殊同意優先于合理使用規則適用的前提下，在一定程度上通過解釋得出在特殊場景下仍存在無需取得特殊同意的制度空間，以回應個人信息利用的現實需求。

至于限制知情權規則的適用，也應當充分考慮個人信息保護目標與利用目標的平衡。如前文第三部分所述，主要包括“法律、行政法規規定應當保密”和“不需要告知”兩種情形，如果是國家機關處理者，則還包括“告知將妨礙國家機關履行法定職責”的情形。對于“應當保密”和“妨礙履行職責”這兩者規定較為清晰，不必贅述。但前文已經提到“不需要告知”作為一個靈活判斷條款，可能會較為復雜，需要側重考慮敏感信息等特殊場景下的個人信息權益保護目標：克減一般場景下的知情權和本應取得“單獨同意”的處理場景下的知情權，在實質判斷時的結果可能不同。譬如，前文第三部分已經論證，合理使用已公開的一般信息，屬于“不需要告知”的情形[65]，此為個人信息保護目標向利用目標平衡的結果；但是如果已公開的信息屬于敏感信息，因為敏感信息的定義本身就決定了其對個人權益有重大影響，所以應當適用《個人信息保護法》第27條的規定，仍應當取得個人同意[66,67]，并且依據《個人信息保護法》第29條應當是“單獨同意”。

五、結論與討論

出于個人信息保護與利用相協調的目的，立法者對個人信息設置了同著作權合理使用規則相似的個人信息合理使用規則。但由于我國立法沒有像《通用數據保護條例》對一般情形和特殊情形下將合理使用規則區分設置，因此產生了合理使用與單獨同意相關規則適用時的排斥競合。本文的初步結論是：在有單獨同意規定的特殊場景下，合理使用規則原則上不再適用。但鑒于特殊場景下對個人信息合理使用的實際需要，限制知情權的例外條款仍可作為特殊場景下個人信息合理使用規則的制度填補?？偠灾?，本文主要思路的底層邏輯是個人信息利用目標與保護目標之間不斷地平衡與再平衡：出于對個人信息保護目標的考慮，確立了“告知—同意”制度；但同時也確立了“合理使用”制度限制個人的自主決定權，賦予處理者以非基于個人同意的合法性基礎，作為向個人信息利用目標的平衡；出于對敏感個人信息、個人信息公開等特殊處理場景的個人信息的側重保護，單獨同意規則應當優先于合理使用規則適用，作為向個人信息保護目標的再平衡；由于確實存在個人信息處理的現實需要，需要將“限制知情權”規則作為向個人信息利用目標的再度平衡；之后，限制知情權條款（尤其是“不需要告知”作為實質判斷條款）使用時也要充分考慮個人信息保護目標，從而實現向個人信息保護目標的再度平衡。

注釋

①參見“凌某某與微播視界公司隱私權、個人信息權益網絡侵權責任糾紛案”，北京互聯網法院（2019）京0491民初6694號一審民事判決書。

②歐盟《通用數據保護條例》中的立法表述為“個人數據（Personal Data）”，該定義與我國數據立法中“數據”的定義有所不同（例如《數據安全法》第3條），但與我國《個人信息保護法》立法表述中的“個人信息”含義相近。鑒于“數據”與“信息”的詳細區分無關本文宏旨，故在本研究中作簡化處理，將歐盟法語境下的“個人數據”視為我國語境下的“個人信息”，以便于對規則的比較研究。

③但是值得注意的是，之所以此處表述為“原則上”，是因為個人的決定權因法律的特別規定而恢復。例如，《個人信息保護法》第27條明確規定了“當事人明確拒絕的除外”，因此對于“已經自行公開、合法公開信息”情形下的合理使用，當事人因法律的明確規定而仍享有相應的自主決定權。

④此處“不需要告知”所討論的是一般個人信息，如果是敏感個人信息，可能會因對“個人權益有重大影響”，而需要取得個人同意，此時個人仍然享有知情權。參見《個人信息保護法》第27條。

⑤參見歐盟《通用數據保護條例》第9條。

⑥參見韓國《個人信息保護法》第23條。

⑦譬如《個人信息保護法》第14條、第25條。

⑧《個人信息保護法》第14條第1款：“基于個人同意處理個人信息的，該同意應當由個人在充分知情的前提下自愿、明確作出。法律、行政法規規定處理個人信息應當取得個人單獨同意或者書面同意的，從其規定?！?/p>

⑨參見《個人信息保護法》第68條。