1. 引言

数字经济已经成为我国“经济发展新动能”[1]。而对数据，特别是对其中蕴含的个人信息价值的分析处理则是数字经济发展的重要环节。在这一现实情景下，如何平衡作为数据的社会公益和作为个人信息的私权保障成为亟待解决的问题。19世纪，英美判例中先后出现“合理使用”的概念并在司法实践中得到持续地发展与规范[2]。在信息社会中，合理使用制度中的权利冲突、利益相斥在个人信息利用的场景下更加明显[3]。不同于著作权领域，个人信息领域面临的主要挑战是隐私领域边界不明导致的对个人信息权益保护不足，个人信息被各方滥用[4]。在个人信息保护与数据经济发展的冲突中，划出一片属于公共利益的停火区，构建个人信息权利限制理论和合理使用制度是为规范产业发展，促进权利保障，推动社会数字治理的对症之策。

2. 个人信息合理使用制度的概念

我国《个人信息保护法》立法说明中强调，要“合理平衡保护个人信息与维护公共利益之间的关系”[5]。基于此，《个人信息保护法》第13条第1款和其他条款分别规定了“知情同意规则”和“合理使用规则”，构建了个人信息处理的二元合法性基础[6]。根据《民法典》和《个人信息保护法》的一般性规定，处理个人信息需要获得个人的“知情同意”。《个人信息保护法》第13条第1款明确了“取得个人同意”为个人信息处理的基本规则。其第14至16条，以及《民法典》第993、1035、1036条等具体款项进一步明确了基于知情同意的个人信息处理行为合法性。

个人信息合理使用制度在概念上与个人信息知情同意存在本质差别，即基于合理使用而使用、处理个人信息无需取得个人同意，不需个人知情同意[7]。具体而言，《个人信息保护法》第13条第2至7款即规定了包括履行合同、履行义务、经济情况、新闻报道等6种无须取得个人同意的合理使用情形。¹可以认为，个人信息合理使用制度即是基于法定情形，为保护公共利益等而对自然人享有的个人信息权益进行限制的制度设计。

3. 个人信息合理使用制度的内在特征

将中美欧三部主要的个人信息保护法律进行整理，个人信息合理使用制度的特征有三。

3.1. 无需取得数据主体的同意且不用支付报酬

一般个人信息使用的合法性基础是知情同意原则，即用户的授权。通过整理中美欧三国主要的数据立法中关于责任豁免的条款可以发现，个人信息合理使用本质上即是为维护特定利益而对个人权利进行合理且必要的限制。各国法律均规定，在法定情景中的行为可以得到责任豁免，换言之，为了维护法定特殊利益可对“本法”所规定的义务和责任进行免除[8]。虽然合理使用制度本身是对权利进行的限制，是个人利益与社会公共利益和国家利益的平衡，但是并非所有对权利的限制都属于“合理使用”制度。应该说，合理使用制度只是限制权利的“责任豁免”制度所下辖的一个子集。比如《2020年加州隐私权法》(California Privacy Rights Act，2020，以下简称CPRA)第15条第(a)款7项、《通用数据保护条例》(General Data Protection Regulation，以下简称GDPR)第23条第2款因域外效力而豁免的就显然不属于合理使用制度的实然范畴。而在限制的诸多数据权利中，最核心的权利应属“同意权”。欧美关于个人信息处理的部分豁免条款虽然看似是在限制其他权利，如删除权、可携权等，但其本质上还是未经数据主体同意授权的个人信息处理行为。如CPRA第15条第(a)款2项规定企业因遵守政府或其他执法机关法律授权的执法行为而延长储存个人信息的时间可以获得法律豁免，其表面上看似是对用户删除权的限制，但是该条款本质上是规定了一种“未经用户授权而延长个人信息储存时间，超时储存、处理个人信息”的行为，内核仍是对数据主体同意权的限制。

而在中国的相关法律规定中，这一特征则更为明显。虽然我国《民法典》第999条和1036条也仅是概括性地做出了免责规定，但《个人信息保护法》第13条第2款明确规定“依照本法其他有关规定，处理个人信息应当取得个人同意，但是有前款第二项至第七项规定情形的，不需取得个人同意”，且《民法典》第1020条关于肖像权使用的特殊规定中也明确“可以不经肖像人同意”，明确其主要限制的权利为“同意权”。即在法律明文规定的合理使用情境下，个人信息处理者的有关行为无需取得数据主体的同意授权，对因损害主体数据权利而产生的法律责任发生豁免和阻却，这种豁免和阻却的效力同样也是来源于法律的直接规定。

3.2. 适用于非匿名个人信息

需要注意的是，知情同意原则是处理个人信息的基本原则，但除去合理使用制度可以不经同意外，匿名的或者经过去可识别化处理的个人信息根据法律规定同样可以不经数据主体的同意。我国《民法典》1038条规定，未经自然人同意，信息处理者不得向他人非法提供其个人信息，但是经过加工处理去可识别化且不能复原的除外。这是因为匿名信息本质并上不符合个人信息的定义，不属于个人信息。关于个人信息的定义曾经存在识别型和关联型两种学说，但自欧洲理事会颁布《关于自动化处理的个人数据保护公约》(简称“108公约”)以来，识别型的个人信息定义逐渐为世界各国所接受，成为学界通说。识别说认为通过该信息可识别到特定的自然人的信息即属于个人信息。我国《个人信息保护法》第4条明确“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。”如此，立法将“匿名化处理后的信息”已排除在个人信息的定义之外，那么以我国法的视角考察，“适用于匿名个人信息”则并非个人信息合理使用制度的特征之一。

换言之，个人信息这个概念存在进入和退出机制，这个机制便是匿名化处理。《个人信息保护法》第73条第4款规定匿名化是指“个人信息经过处理无法识别特定自然人且不能复原的过程”。个人信息包含多种与公民个人强相关的信息，诸如姓名、出生日期、宗教信仰、生物识别信息、居民身份证号、健康医疗信息等等，此类信息可以直接或间接的识别到数据主体，而经过匿名化的个人信息已经无法再关联到该信息原本关联的特定自然人，且不同于去标识化等处理手段，经过匿名化处理的个人信息无法复原，不能与原本关联的特定自然人再次发生关联。从法益保护的层面来说，个人信息保护抑或个人信息合理使用制度，考量的主要数据主体风险为不当个人信息处理、使用等行为对特定自然人的私生活安宁等人格利益造成损害。故而经过匿名化处理的个人信息已经无法再与个人关联，其已从个人信息概念退出而进入信息甚至数据的范畴中，自然不受个人信息保护法律法规所约束。而仅仅去标识化的个人信息，虽然其表面上已经无法与特定自然人发生关联，但是与其他数据集一起经过机器学习算法的深度处理后仍有可能重新与特定自然人发生关联，对其数据权利以及个人信息权益产生威胁，故而只有非匿名的个人信息——包括个人信息和去标识化等虽经处理但仍非匿名的个人信息才属于个人信息保护法所管辖的范畴，也可在一定条件下为个人信息合理使用制度所适用。

3.3. 保护社会公共利益和国家安全利益不受损害

只有社会公共利益才可以成为民法中对民事主体的自由进行限制的根据[9]。各国立法主要明确的几大合理使用情形可概括为：维护国家安全、维护社会公共利益、因履行其他合法行为所必须以及公民自行公开个人信息的情形。从积极的角度来说，个人信息合理使用制度本身所平衡的或者维护的主要为国家利益和社会公共利益。而对于公民的数据权利，虽然合理使用制度进一步明确和保障了公民的数据权利和个人信息权益，但其更主要的仍是对个人信息上公民知情同意等一些数据权利、人格权益的限制。可以说，合理使用制度其内核是一种权益限制。具体而言，这种限制既可以发生在民事主体之间，也可以发生在不对等主体之间。

如《民法典》第990、991、993条等条款规定了自然人享有人格权、民事主体的人格权受法律保护、他人使用自然人姓名、名称、肖像等需要获得许可等，但是《民法典》第999、1020条所规定的合理使用情形则为了保护新闻报道、舆论监督、学习科研、公共传播等规定此类行为在一定条件下可不经权利人同意授权。这便是基于对不同权益的价值考量而对不同民事主体间的权利、义务做出的限制与豁免。如若不加限制放任权利人“意思自治”，则可能出现互不让步，为保全各私主体的权利和权益，最终却阻碍了公共利益实现的局面。如若不对肖像权规定合理使用，让个人的人格利益让位于新闻自由等公共利益，则影视业、娱乐业、媒体业不会有今天之长足发展，公民社会的监督权、知情权、言论自由等公民综合权利体系也会受损[10]。如在突发公共卫生事件期间，因为公共卫生的需要政府可依据《民法典》第1035条第1款、《个人信息保护法》第13条第4款和《中华人民共和国传染病防治法》第12条，不经公民同意而收集、处理和使用公民个人信息。此即为了保护社会公共利益和国家利益而做出的权益限制和个人信息合理使用。

4. 个人信息合理使用制度的现实意义

4.1. 个人层面：个人利益的公益保护

个人信息合理使用制度的确立虽是对部分个人权利的限制，但这种限制能在更高的层面通过公共利益的实现促进个人利益的保障。如一部电影需在闹市区取景，使用广角大镜头拍摄了数百来往市井群众，充分记录和体现了该地的社会民俗风貌，既传播了当地文化，也促进了当地旅游业发展。但若单一强调对公民肖像等个人信息权益的保护，要求拍摄者——取得所有入镜群众的同意授权，无疑提升了拍摄成本，阻碍了文化传播等公共利益的实现。类似的，若新闻报道、舆论监督、履行合同等需要在合理范围内使用个人信息的行为均需“事无巨细”的经过个人多重同意授权毫无疑问将提升社会的运行成本，同时也会损害公民的基本权利。而个人信息合理使用制度将社会公共利益作为部分行为对私权限制的违法阻却，对于在合理范围内降低社会运行成本、扩大属于公共的自由空间、促进社会利益进而保障公民权益的实现具有重要意义。

4.2. 社会层面：公序良俗的价值倡导

个人信息合理使用制度亦可促进社会主义核心价值观的弘扬，维护社会公序良俗。民事法律规范不同于刑事或其他公法规范，其不突出强调法的禁止性和强制性，而更加突出“私法自治”作为民法的基本原则地位[11]。我国《民法典》第一条首先便强调了对于社会主义核心价值观的弘扬属该法的重要立法目的之一，关于优秀文化传统中关于互尊互信、团结互助等的道德规范应当在我国民法规范中得到体现[12]。我国《民法典》在个人信息合理使用制度设计上也体现出了这一内容。《民法典》第1020条规定，为维护肖像权人合法权益，合理制作、使用、公开肖像权人的肖像的其他行为可以不经肖像权人同意。《个人信息保护法》第13条也规定，在紧急情况下为保护自然人的生命健康和财产安全所必须的情形可以不取得个人的同意直接处理个人信息。如在肖像权人下落不明，亲友为了寻人未经同意将其肖像加以处理使用。再如自然人伤重昏迷，旁人为了及时联系家属而擅自翻阅该自然人的手机通讯录的行为，都属个人信息合理使用的范畴无需担责。故而个人信息合理使用制度的确立对于公序良俗的维护和社会主义核心价值观的弘扬都起到了重要作用，具有重要意义。

4.3. 行政层面：依法规范公共行政

个人信息合理使用制度也有助于规范政府的公共行政行为，规范政府对公民数据的收集和处理行为。如在突发公共卫生事件中，因维护公共卫生安全和公民生命财产安全而未经同意收集、处理、使用包括公民必要的行踪轨迹信息等是属合理使用[13]。但“变色码”“文明码”因笼统的公共治理和维护社会公序良俗需要而未经公民同意授权收集公民的志愿服务信息、交通违章等信息为企业提供员工健康信息以及构建文明积分识别体系，毫无疑问属于政府公共治理行为的越界和对公民个人信息的不当收集和处理，不应属合理使用制度的场景范畴。之所以出现上述乱象是因为政府意识到了大数据作为智慧城市数字治理手段的“工具价值”，而没有意识个人信息保护本身具有的“权利价值”。无边界的收集处理使用个人信息将会不合理乃至不正当的扩大对私权限制和侵犯，包括但不限于公民的人格权、个人信息权益乃至其他基本权利等[14]。因此，在法律中确立个人信息合理使用制度的边界，明确法定的合理使用情形清单和评估清单[15]是促进政府合理行政，保持公私权平衡的必要措施，具有重要意义。

4.4. 刑事层面：划清个人信息利用的法律界限

最后，清晰的对合理使用做出界定，有助于区分何种程度的使用是“合理”，何种程度的使用的“不合理”的、非法的，甚至是涉嫌犯罪的[16]。今天，个人信息背后蕴含的巨大价值已被各界深入认知，诸多市场主体都在大数据产业投入了大量的人力物力财力去收集、处理、分析、使用个人信息。但是在行业发展的初期，法律法规还非常不完善，企业只能“摸石头过河”。其中不少企业逐渐迷失方向，进入了黑灰产这一“深水区”失足落水。作为业内最早“吃螃蟹”的大数据企业之一的数据堂市值一度高达21亿元，但在2018年却因涉及网络黑灰产，被检方以侵犯公民个人信息罪提起了公诉。相关业内人士在接受《财经》记者采访时表示，大数据行业一直处在野蛮生产的状态，“市面上70%的公司和商业模式都有问题”[17]。除去“误入歧途”的正规企业外，还存在大量在暴力驱动下专门从事数据黑灰产的犯罪组织，他们分工配合在现实中已经形成一条分工明确、精细完整的数据交易黑色产业链[18]。而滋生黑灰产业的原因既有网络匿名、流动灵活特点的客观因素，也有立法不全面的自身原因。我国较为系统规定个人信息保护的法律主要集中在2020年后出台，又多在2021年后生效，之前的法律体系中存在单行法规范不充分，而各部门法之间规定又存在真空的情况，这为个人信息黑灰产业提供了滋生的温床[19]。而合理使用制度则将不同主体在个人信息之上的权利义务予以界分明确，换言之，合理使用制度的明确也可进一步缩小法律的灰色地带，有利于加强对网络黑灰产的刑事打击和司法制裁，有助于从源头上遏制网络犯罪多发态势，维护社会公共利益和公民个人信息权益免受侵害。

5. 个人信息合理使用制度的完善路径

5.1. 个人信息合理使用制度的实践困境

即便当下个人信息合理使用制度已经具有较为清晰的概念特征和制度内涵，但在司法实践中仍存在应用障碍。具体体现在“合理”一词难以标准化、精确化，在实践中较为抽象，难以准确认定何为合理。这导致个人信息合理使用制度界限模糊。

在司法实践中，法官往往难以准确把握“合理性”的判断标准，导致二审再审改判、各地法院同案不同判的情况易发多发。相关案例如“刘春泉与工商银行上海分行侵权责任纠纷案”、²“苏州贝尔塔公司与伊某一般人格权纠纷案”³等。有法院在认定合理性时提出三要素判断法，⁴有法院则认为应以维护当事人间不同利益诉求的平衡为重点⁵。

而通过对数字平台用户协议研究发现，各大互联网应用平台在用户协议中对个人信息合理使用情形表述不一。微博、美团等部分企业在措辞上照搬法律表述；携程、微信等企业在措辞上则节选使用法律表述；京东等大部分企业则在合理使用情形分类和合理使用范围上各持一词，存在对《个人信息保护法》第13条扩大解释之嫌。此外，在对未成年个人信息保护方面，即便《个人信息保护法》第31条已经明确了14岁为法定界限，但仍有部分企业自行设定年龄标准。这些行为一方面反映了部分企业对个人信息合理使用制度理解存在偏差，另一方面也反映了现行个人信息合理使用制度存在一定程度的模糊性，为统一实践带来了较大挑战。

5.2. 个人信息合理使用制度的完善路径

面对合理使用制度模糊抽象之困，及时对个人信息合理使用进行类型化框定并明确裁判价值取向当为制度发展的应有之义。

个人信息合理使用制度的具体情形可分为三类，一是为了维护公共利益而合理使用个人信息的；二是为了维护第三人的合法权益而合理使用个人信息的；三是对已公开的个人信息的合理使用。首先，合理使用制度主要旨在保护社会公共利益和国家安全利益不受损害。公共利益可包括新闻报道、舆论监督等法定情形，还应当包括维护国家安全、建设社会征信制度或维护社会秩序等当然情形。公共利益即是指社会中不特定多数人的利益。当使用个人信息的行为系为追求不特定多数人的公共利益实现共同善时，这种行为便具有正当性，应属合理使用。第二，第三人合法权益包括其人身权和财产权，如在紧急情况下向医疗机构提供其个人信息等。为了维护第三人的合法利益而使用该第三人的个人信息，保护了第三人的利益且未造成其他损害，还可为“助人”行为提供制度激励。GDPR中即规定有此类合理使用情形。第三，对于已公开的个人信息，即如前文所述，合理使用制度适用于非匿名个人信息。已公开的个人信息包括信息主体自行公开和法定公开。自行公开属于对私权利的自行处分，而因法定事由而公开的个人信息则属于为了公共之需要，应当属于合理使用。

此外，对于司法裁判中的合理性认定难题，根本上应当坚持比例原则。具体而言，法官在适用比例原则时应坚持适当性、必要性、均衡性三项子原则。要求合理使用行为与制度目标间具有合理的因果关系；合理使用行为对信息主体权利限制最小；合理使用行为获得的益处大于限制权利所造成的损害。在衡量时需要考量的基本因素包括：合理使用行为的目的、合理使用信息的性质、对信息主体权利限制的影响、是否存在其他的保护措施等。若经过三原则四要素的考量后仍难以判断的，及应以保护个人信息权益人的法定权利为先，认定相关行为不构成个人信息合理使用。

6. 结语

个人信息合理使用制度的内涵可以总结为：法定合理使用范畴下个人信息的使用、处理等无需取得数据主体的同意；合理使用制度在处理非匿名个人信息时适用；主要旨在保护社会公共利益和国家安全利益不受损害。有学者通过对773份刑事判决书的实证检验提出了4个个人信息合理使用“合理性”判断标准，分别为个人信息的性质是否属于合理使用范畴、使用目的是否合法、处理行为是否以盈利为目的、是否经过匿名化处理[20]。此处可用这4标准对上述内涵加以检验。可以发现，前述三项内涵与其可分别对应，内涵与司法实践相符，具有理论上的周延性。

知情同意原则是目前多数国家数据立法所确立的基本个人信息处理原则。该原则通过保障数据主体对处理方式、使用目的的知情权和决定权保护其权益。但是在大数据时代，蓬勃发展的数字经济和信息产业对数据流动的范围、效率提出了更高的需求，从而对知情同意原则造成了挑战。合理使用制度核心之任务便是平衡数据主体的个人信息权益与社会公共利益，具体而言即平衡数据主体与数据控制者之间的权利义务关系[21]。面对上述利益间的冲突，在三者间划出一片公共领域——即在个人信息法律规范中加入合理使用制度在一定程度上或有助于平衡多方利益，促进个人信息的“合理使用”。

NOTES

¹《个人信息保护法》第13条规定：“符合下列情形之一的，个人信息处理者方可处理个人信息：(一)取得个人的同意；(二)为订立、履行个人作为一方当事人的合同所必需，或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需；(三)为履行法定职责或者法定义务所必需；(四)为应对突发公共卫生事件，或者紧急情况下为保护自然人的生命健康和财产安全所必需；(五)为公共利益实施新闻报道、舆论监督等行为，在合理的范围内处理个人信息；(六)依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息；(七)法律、行政法规规定的其他情形。依照本法其他有关规定，处理个人信息应当取得个人同意，但是有前款第二项至第七项规定情形的，不需取得个人同意。”

²参见上海市第一中级人民法院(2015)沪一中民六(商)终字第107号民事判决书。

³参见江苏省苏州市中级人民法院(2019)苏05民终4745号民事判决书。

⁴参见北京互联网法院(2019)京0491民初6694号民事判决书。

⁵参见安徽省芜湖市中级人民法院(2019)皖02民终1045号民事判决书。

参考文献