个保法学习笔记之十三至十五：合法基础、有效同意、未成年人文/梁灯

文/梁灯，首发于“创投法律顾问”
《个人信息保护法（草案）》2020年10月21日第一次审议稿（下称“一审稿”）首次亮相，其后该草案二次审议稿（下称“二审稿”）于2021年4月29日公布，向社会公开征求意见至5月28日截止。同步进行二审稿征求意见的《数据安全法》最终于2021年6月10日经全国人大常委会第三次审议正式颁行，而《个人信息保护法（草案）》的第三次审议却并未被列入本次全国人大常委会议程，可见后者的争议问题比前者更多。
本文以一审稿和二审稿之比对作为学习文本，逐条总结了学习笔记如下。
第十三条：合法基础

文章图片
第十三条是规定个人信息处理的合法性基础，可谓个保法最重要的条款（可无之一）。试想，倘无法界定处理行为的合法基础，个人信息处理无法进行，保护也无从谈起。我从以下五个方面谈一下我对这一条的看法。
1.填补既往立法漏洞的第十三条
一方面《网络安全法》第四十一条规定“同意”是收集、使用个人信息的唯一合法基础，这是当时网安法立法最大的bug 。个保法二审稿第十三条第一款列举了六项处理个人信息的合法基础， “同意”是其中一项而已，从而填补了网安法漏洞；
另一方面，《民法典》第一千零三十六条规定“同意”、“已公开”、“公共利益”三种情况作为个人信息处理者行为人不承担民事责任的免责事宜。表面看起来如此规定与本条规定精神一致，但从立法逻辑看，合法基础和免责事由却大相径庭。合法基础是行为的前提条件，而免责事由是行为豁免法律责任的条件。前者是认定合法与否的问题，是价值判断；后者是解决责任承担问题，是事实判断。误把前者设置为后者，贬损了前者的基石意义。个保法二审稿的这一规定，实际上是对《民法典》的拨乱反正，也印证了我上面所说的《民法典》不是个保法上位法，个保法并非不能对《民法典》有关制度进行调整修正的观点。
2.二审稿增加了一项合法基础：已公开的个人信息
一方面，这同时也是把《民法典》第一千零三十六条规定的“已公开”从免责事由调整修正为合法基础。
另一方面，需要注意处理已公开的个人信息还受本法第二十八条的限制条件约束，即处理行为不得超出与该等被公开个人信息公开时的用途相关的合理范围。实务中已出现这类案例，如梁某诉北京某公司网络侵权责任纠纷一案，梁某认为北京某公司转载已公开的判决书所载的信息，侵犯其个人信息权益。最终法院认定北京某公司所转载的案涉裁判文书来源于对外发布审判信息的北京法院审判信息网，北京某公司在转载过程中未对原裁判文书进行增删、改动，不存在不当行为。北京某公司转载案涉文书不存在过错，不需要为其转载行为承担侵权责任。（参见（2021）京04民终71号号案）可见，虽个保法未施行，该案法官的裁判思路与个保法草案相近，即认定转载裁判文书未增删、改动信息（即未超过信息公开时的合理范围），故不认定侵权。
3.二审稿比一审稿增加规定了第二款
本条的第二款是在一审稿基础上新增的，有人质疑这是画蛇添足，有人批评这一款规定把“同意”这一项合法性基础提升至比其他六项合法基础更高的位置， “同意”似成为其他六项合法基础的一般性基础。我认为这些观点都是对这一款的误解，这一款关键的一个词不能忽略，即“依照本法其他有关规定”中的“其他” 。因此，该款既不是针对第一款的同义反复，也不是对第一款各项作重要性排序，它指向的是本法的其他条款。为了行文方便，当其他条款论及个人信息处理时只规定需个人信息主体同意，这一款即解释了根据本条的其他合法性基础，其他条规定的个人信息处理行为也是合法的。例如，本法第二十四条、第二十六条、第二十七条所规定的个人信息处理，除了通过“个人同意”可获得合法性外，也可根据本条第二款的规定取得处理行为的合法性基础。
4．“为订立或履行合同所必需”的理解
本条第一款第（三）项规定的合法基础是“为订立或履行合同所必需” 。网络服务场景中如何判断是否属于订约或履约，可通过是否属于所处理的个人信息是产品或服务所提供的基本业务功能之必须。在APP个人信息保护语境下，可参考2021年5月1日，国家互联网信息办公室、工业和信息化部、公安部、国家市场监督管理总局四部门联合发布的《常见类型移动互联网应用程序必要个人信息范围规定》，值得注意的是在此规定前的2019年6月1日全国信息安全标准化技术委员会发布了《网络安全实践指南—移动互联网应用基本业务功能必要信息规范》，该规范也对APP的必要个人信息范围作了规定。