问:《民法典》出台了个人信息合理使用制度,修改了原来“非营利”,变成了“合理使用”,但其中又说,维护公共利益的除外。公益事业是不是法律说的公共利益?关于公共利益的需求,如何结合行业内应用场景去理解?
何国科:《民法典》中的个人信息合理使用制度需要结合不同的场景去理解。这里提到了“为公共利益”的概念,我们不能简单地把公益慈善活动与公共利益画等号。
《民法典》第九百九十九条 为公共利益实施新闻报道、舆论监督等行为的,可以合理使用民事主体的姓名、名称、肖像、个人信息等;使用不合理侵害民事主体人格权的,应当依法承担民事责任。
比如在一个大的救灾活动中,对救灾的事项要进行一个全方面的传播工作,为了让大家更好了解情况,不可避免地使用到民事主体的名字、名称、肖像和个人信息,这属于公共利益。但是如果说为了某一个人筹款,这是否属于公共利益?我认为要把握一个合理的界限。
比如说:关注残障群体的公益组织,为了更好的进行政策的倡导和宣传,提升残障群体可见度就可以使用群体的肖像、个人的一些信息。让我们看到残疾人群体及其处境,这属于合理使用。但如果在使用信息过程中,过度暴露了服务对象个人隐私,对他的个人正常工作、生活造成严重干扰,这就属于使用不合理,侵害民事主体的人格权,要承担民事责任。
判断个人信息的使用合理性问题,要基于目的是否妥当,一个是使用的目的是否妥当,另一个是使用的手段和范围是否是必要的,是否是合理的。《民法典》第1035条规定:处理个人信息的,应当遵循合法、正当、必要原则,不得过度处理。个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等。
第一千零三十五条 处理个人信息的,应当遵循合法、正当、必要原则,不得过度处理,并符合下列条件:
(一)征得该自然人或者其监护人同意,但是法律、行政法规另有规定的除外;
(二)公开处理信息的规则;
(三)明示处理信息的目的、方式和范围;
(四)不违反法律、行政法规的规定和双方的约定。
个人信息处理的时候非常重要的一个大的原则,合法、正当、必要和不过度处理。其中必要原则,也就是说你收集个人信息的时候一定是要有限度的,不能过度的去公开收集使用。举个例子,现在很多大病救助的项目,肯定会涉及到收集患者的一些个人信息用于筹款,但你不能把他所有的情况信息进行收集,要注意必要性的原则。
目前的法律对什么叫合法、正当、必要,没有更具体的一些条款。结合我们实践中的一些意见,不过度处理就是说我们这个项目需要多少信息,就收集多少信息,你不能过度收集、过度使用。比如项目可能就需要他的名字和一些基本情况,那么对于他的一些个人的私生活问题就不能去收集和公开,即使我们是为了公共目的,也得遵循这些原则来处理公开和使用一些个人信息。
在具体实践中还有几个大的原则。
第一个原则,收集未成年人信息,那么必须征得监护人同意,这是法律非常明确规定的。《儿童个人信息网络保护规定》明确规定,收集儿童个人信息应征得监护人同意。
第二,要告知收集对象处理信息的规定。从实操来说,如果涉及到个人信息的收集公开处理,你要公开信息处理的规则,也要告诉收集的对象处理信息的规则。
第三个原则要明示处理信息的目的、方式和范围。举个例子,我们会征集志愿者,发布志愿者报名的链接,报名的时候会填志愿者的身份证号码、名字、性别、家庭住址、电话等等一系列信息,你要明示告知所有被收集信息的对象,我们的目的、方式和使用范围。比如说为什么收集身份证号码?可以明确告知,因为这个活动会涉及到出差需要给大家买保险,需要用到身份证信息。这些都是在具体的业务开展当中要注意到一个细节问题。
问:刚才您提到了不要过度收集个人的信息。在大病众筹领域,平台会因为没有去收集资助对象的财产收入情况,事后被人诟病。如果涉及到公益领域的话,怎么处理?
何国科:不过度处理原则前面还有一个必要原则,两者是并列的概念。我们在做大病求助项目的时候,要对受益人的家庭情况进行了解,因为筹款的时候必须告诉社会公众其家庭情况。如果受益人家里还有其他大额资产筹款时隐瞒了,对公众来说是不负责任。
公益组织可以对受益人提出要求,必要性是指我必须知道,你需要告诉我的事情。不过度处理,是指你要告诉我你有没有车有没有房,大概值多少钱,但不需要告诉我你的车是什么牌子的、车牌号、房子在哪,这叫不过度。我们必须要遵循必要性,也要遵循不过度的原则。