劉益欣

東南大學法學院碩士研究生

要目

一、個人信息權益限制的法律依據

二、告知同意規則排除适用的理論基礎

三、告知同意規則排除适用的具體情形

四、告知同意規則排除适用的限制

結語

個人信息保護法第35條規定，國家機關處理個人信息采用的并非嚴格的、絕對的告知同意規則，但個人信息法律體系中鮮有作為排除适用告知同意規則合法性依據的法律、行政法規。從個人信息權益限制的法律依據入手，分析國家機關處理個人信息排除适用告知同意規則的正當性，厘定國家機關排除适用告知同意規則的範圍，并通過目的限制原則、比例原則等原則的約束來規範國家機關排除适用告知同意規則的行為，充分保護信息主體的合法權益，促使個人信息在國家機關社會治理和公共管理中的發揮作用。

網絡安全法第41條規定網絡運營者收集、使用個人信息必須取得個人同意，首次明确我國個人信息處理的告知同意原則。但随着數字經濟的發展，嚴格的告知同意規則的實施效果不盡如人意。《個人信息安全規範》試圖改變這一局面，明确了12種同意的例外情形，但其作為推薦行國家标準，不具備強制執行力。民法典新增3項與“同意”相并列的個人信息處理合法性基礎，也明确在“法律、行政法規另有規定”時可無須征得信息主體的同意，使告知同意成為個人信息處理合法的充分但非必要條件。

個人信息保護法在以告知同意規則為支點的處理個人信息的一般規則上，通過第13條規定了5項與同意相并列的合法性基礎，在符合其他任一條件時，處理個人信息無須獲得信息主體同意。但個人信息保護法第35條又規定，國家機關處理個人信息應當依照本法規定向個人告知并取得其同意，應保密或為履行法定職責處理個人信息時除外。因此，個人信息保護法第13條和第15條的規定如何協調值得讨論，即國家機關為履行法定職責處理個人信息時，是應依13條的規定滿足包含告知同意在内的多項合法性基礎之一即可，還是依據第35條規定，通常必須取得個人的同意？從體系解釋的角度看，國家機關處理個人信息時應當遵循個人信息保護法第二章第三節國家機關處理個人信息特别規定中告知同意的要求。在個人信息保護法第33條規定，該節規定為特殊規定，國家機關處理個人信息的活動适用本法;本節有特别規定的，适用本節規定，即國家機關處理個人信息通常應依據第35條取得信息主體同意，符合但書規定時可排除告知同意規則的适用。

個人信息保護法第35條規定，國家機關處理個人信息适用告知同意規則的例外情形規定有兩項，分别是“法律、行政法規規定應當保密”以及“告知、取得同意将妨礙國家機關履行法定職責”，該兩項例外的規定存在明顯的缺陷。一方面，現有法律、行政法規規定鮮有規定國家機關處理個人信息應當保密的相應法條，使該條的規定難以應用到實踐中；另一方面，“告知、取得同意将妨礙國家機關履行法定職責”中“履行法定職責”的内涵過于廣泛，未給予相應的限制，若僅依法律授權或部門授權即可使國家機關處理個人信息排除适用告知同意的行為獲得合法性，将可能導緻國家機關借由此規定架空國家機關處理個人信息領域的告知同意規則，嚴重侵害私人主體對自身個人信息享有的權益。

基于以上思考，本文旨在解決以下問題，國家機關處理個人信息排除告知同意規則的理論基礎何在？是否所有的國家機關履行法定職責時的處理的個人信息都可排除“告知”規則和“同意”規則的其一或全部？在排除适用告知同意規則時，可通過何種方式來防止因國家機關與私人主體地位的不平等性帶來的對個人信息權益的過度侵害？

一、個人信息權益限制的法律依據

我國現有法律規範從四個層面為限縮和削減個人信息權益提供了法律上的依據。憲法和民法典總則編為個人信息權益在特定情形下的權利限制提供了指導性規定，個人信息專門立法在個人信息領域作出了更細緻的規定，分散的法律、行政法規和其他規範針對将個人信息權益限制進行了具體場景的規定。

第一，憲法第51條提供了個人信息權益削減和限縮的憲法上的依據。憲法第51條規定公民在行使自由和權利的時候，不得損害國家的、社會的、集體的利益和其他公民的合法的自由和權利。雖然信息主體對個人信息享有知情權、同意權、删除權等一系列控制權來保障自身個人信息權益的實現，但其實現的前提是不損害國家利益、社會利益、他人利益。當國家機關使用個人信息的目的是為實現上述利益，經利益衡量後認為對個人信息權益進行限制具有正當性時，可要求信息主體讓渡相應個人信息權益。

第二，民法典總則編第６條至第８條、第131條、第132條規定民事主體行使權利時的限制。民事主體行使權利應遵守公平原則、誠信原則、公序良俗原則，不得濫用民事權利損害國家利益、社會公共利益或者他人合法權益。即信息主體在維護自身個人信息權益時，應綜合考慮行使權利對國家利益、社會公共利益或者他人合法權益産生的外部影響。如若信息主體堅決反對個人信息被國家機關在特定情形下不經同意的采集和處理，可能導緻國家機關履職效率的降低、社會福祉不能實現等損害全社會利益情形時，其權利的行使方式被認為具有不合理性。此外，民法典人格權編第1035條規定，處理個人信息的，應當遵循合法、正當、必要原則，并符合一定的條件，在條件部分采用了不同于以往嚴格告知同意規則的模式，将征得自然人或監護人同意規定為處理個人信息的合法性基礎之一，并但書規定法律、行政法規另有規定時無須征得信息主體的同意。

第三，個人信息保護的專門立法兼顧個人信息流通和保護的平衡，賦予信息主體控制權的同時也提供了權益限縮的法律依據。在法律層面，個人信息保護法第13條規定了處理個人信息合法性基礎，既包含個人同意，又新增了為履行法定職責或義務所必需、為應對突發公共衛生事件等與同意并列存在的合法性基礎，個人信息保護法第35條明确規定國家機關為履行法定職責處理個人信息時無須信息主體同意。在國家标準層面，《個人信息安全規範》5.4采用列舉的方式專門規定了使用個人信息無須征得個人信息主體同意的十二項規定，如與國家安全、國防安全直接相關。

第四，法律、行政法規、其他規範也可作為國家機關處理個人信息征得信息主體同意例外性的依據。這些法律規範多集中于與涉及公民自身利益、社會利益的與公民生活信息相關的領域，如在公共衛生領域，傳染病防治法第12條規定了一般公民具有如實提供疾控調查信息的義務；在社會福利領域，《社會救助暫行辦法》第13條規定，最低生活保障家庭的人口狀況、收入狀況、财産狀況發生變化的，應當及時告知鄉鎮人民政府、街道辦事處。在此類情況下，國家機關将個人信息用于行政服務和行政管理等目的，信息主體提供個人信息被規定為法律上的義務，沒有同國家機關協商的權利。

雖然這些自上而下的法律規範為國家機關使用個人信息排除适用告知同意規則提供了一定法律條文上的依據，但仍然存在明顯的瑕疵。一方面，憲法第51條和民法典總則編的規定僅具有指導性的作用，無法為實踐中國家機關排除适用告知同意規則的适用情景提供具體的法條依據。憲法第51條隻能被看作時具有宣誓意義的規定，不能對具體的基本權利構成法律效力的制約。民法典總則編對不得濫用民事權利的規定也僅是原則性的規定，僅能依個案判斷，無法為國家機關排除适用告知同意規則的情形。另一方面，民法典第1035條和個人信息保護法第13條、第35條雖然較前兩條規定較為細化，但書規定“法律、行政法規另有規定”可作為告知同意規則的例外，但現有法律、行政法規卻鮮少為此規定。現有的可适用的法律規範存在着數目少、覆蓋領域不完善等瑕疵，難以為國家機關處理個人信息排除使用告知同意規則的範圍劃定較為清晰的界限。《個人信息安全規範》5.4雖規定了僅需告知信息主體使用目的而無需征得同意的若幹較為具體的情形，卻因其作為國家強制性規範不具有法律強制力，且作為國家推薦性标準無權設定法律的例外條件。

總的來說，我國現有立法難以為國家機關處理個人信息排除适用告知同意規則劃定清晰的邊界，不利于多元化合法性基礎的落實與個人信息權益的保護。前述法律法規和國家标準無論在效力層級，或是适用範圍上均存在沖突和不一緻，無法為民法典分則編和個人信息保護法第35條中告知同意規則的排除适用規定相呼應。

二、告知同意規則排除适用的理論基礎

民法典在總則編和人格權編均圍繞信息主體對個人信息享有的權益展開，但未使用“個人信息權”或“信息自決權”的概念。不同于隐私權、姓名權、肖像權等具體人格權利等性質上的支配權、對世權和絕對權，民法典并未确認自然人對其個人信息享有排他的、絕對的支配與控制。事實上，各國和地區的法律均未賦予信息主體對個人信息的絕對控制權，而是綜合衡量保護自然人人格尊嚴與個人信息利用的利益和價值，依據各自立法的價值取向對個人信息享有的利益進行一定削減與限縮，給予個人信息權益不同程度的保護。例如，歐盟《通用數據保護條例》（GDPR）規定六項個人數據原則并賦予數據主體八項權利，對個人數據權利進行多方面、多層次保護；而美國更注重市場自由，采用分散立法和行業自律相結合的立法模式，在個人信息保護與利用中傾向于促進信息的流通。

個人信息具有社會屬性，信息主體并非絕對獨立的個體，不能脫離所生存的社會環境而存在，其産生的個人信息本質上也是社會的信息，折射出社會的形象。一方面，個人信息除私人人格權益和财産權益外，還涉及國家利益、社會利益和第三人利益等利益。具體到國家機關處理個人信息中，政府機構作為社會管理和社會福利的承擔者，包含個人信息在内各種信息的充分供給成為政府進行公共安全、公共管理和公共福利的基礎資源，詳細、準确地掌握與其管理對象、職權範圍相關的個人信息有利于行政管理的有效實施，促進公共行政效率與治理能力的提升，為社會整體帶來利益，承認國家機關收集處理個人信息的正當性有利于實現個人信息的社會價值。反之，數字時代的信息閉塞會極大地影響行政決策的準确性、正确性和效率性，過度追求個人利益将會減損社會利益。此外，因社會資源具有有限性，個人利益與公共利益往往不能理想化地被完全實現，當公共利益與信息主體的人格尊嚴或自由發生沖突時，基于依據正當程序原則、利益補償原則及法律明文規定，可對信息主體對其個人信息享有的權利和自由加以限縮，通過信息主體讓渡部分或全部的權利以保障公共利益的實現。

另一方面，個人信息上承載着多元價值，如正義、秩序、自由等價值。各種價值均不可被過分誇大，若将個人利益置于群體利益之上，将不利于社會的發展。在告知同意規則的使用當中，若一味要求國家機關遵循該規則，可能導緻個人信息上所涉社會價值嚴重失衡。具體而言，一是大數據時代個人信息使用目的具有不可預測性，國家機關使用的個人信息具有種類繁雜和數量大的特點，出于維護社會秩序和公共利益等目的，政府可能對原來收集的信息進行增值使用，在履職過程中反反複複獲得信息主體的同意，将增加不必要的時間和金錢成本，違背對效率價值的追求。二是嚴格的告知同意規則困難導緻國家機關執法困難。在國家機關執法中，存在法律的秩序價值與自由價值的沖突，嚴格遵循告知同意規則有利于維護信息主體的自由，但不利于保障公民在有序秩序下享受權利，對個人信息的過度強調可能會造成信息的不流通，繼而打破社會的有序性。比如，若要求執法機構獲取個人信息嚴格遵循告知同意規則，将會給違法者時間與機會藏匿或删除執法所需信息，破壞執法所需要的信息與證據，與秩序、正義價值相悖。三是國家機關具有個人信息使用者和管理者的雙重身份，不同于私人領域信息使用者不經同意往往不能使用個人信息，國家機關與信息主體處于不平等地位，在特定情形下，為實現更值得保護的價值，國家機關對個人信息的獲得與使用不因信息主體的拒絕而無效，在國家機關使用個人信息時，同意可能僅是一種形式同意，而并不具有實質效力。

綜上，信息主體對個人信息享有的個人信息權并非絕對性的支配權利，且個人信息具有社會屬性，承載多元化利益，在國家機關履職過程中和個人信息權益的行使中，應依據價值位階原則、利益兼顧原則等原則解決價值沖突、平衡多方利益，國家機關在法定條件下依法幹涉與限縮信息主體的個人信息權益具有正當性。

三、告知同意規則排除适用的具體情形

個人信息保護法第35條規定：“國家機關為履行法定職責或法律、行政法規規定應當保密”的規定應配合具體的法律、行政法規規定進行适用，不能作為利益衡量時絕對的、永恒的優先于個人信息權益的法律依據，無法當然地正當化所有國家機關排除适用告知同意規則的行為。需綜合權衡履職行為所涉利益與個人信息權益等相互對立的利益，為國家機關排除适用告知同意規則的情形盡可能劃出一條明顯的界限，設定具體化的框定和說明，提供較為客觀且相對穩定的标準。唯有排除适用的情形本身是足夠清晰和特定的，才能保障國家機關排除适用告知同意的行為能被約束和監督，防止國家機關借由此例外規定濫用權力、不當地排除告知同意規則，侵害信息主體合法權益。

對告知規則的排除适用

告知與同意是相互關聯的，基于信息主體同意這一合法性基礎處理的個人信息時當然是建立在告知的前提下，但基于來源除同意外的其他合法性基礎處理個人信息的行為是否也一定需要告知呢？部分學者認為，知情同意規則的例外僅為同意規則的例外，雖然個人信息處理者在特殊情形下無須征得信息主體的同意，但仍然需要受告知規則的約束，須向個人信息主體告知收集和使用個人信息的具體情形。因為告知規則的保留在于保障個人信息收集和使用行為的透明性，一旦将告知規則一并排除适用，在算法黑箱的庇護下免受同意的行為可能會不受監督和約束地悄悄演變為非法行為，對告知規則的保留有利于事先防範個人安全活動。

在國家權力的運行中，知情權既有公法權力的屬性，比如在行政處罰、強制、許可等行政行為中，法律都規定行政機關應告知行政相對人行為的内容、理由以及受到影響的權利等事項；知情權也有民事權利的屬性，具體體現于個人信息權益保護領域，信息主體有權清楚自己的個人信息在什麼時間、被何種信息處理者以何種方式使用。多數知情權設置的目的是保障信息處理的透明度和公民對被侵害權利的及時救濟，若免除國家機關處理個人信息時的告知義務，可能會使信息主體不知個人信息權益受損，或雖知道受損但不知具體的侵權内容，導緻信息主體難以及時尋求救濟。但國家機關履職中确有告知不充分、不宜告知或難以告知的情形存在，比如出于安放目的在公共場所進行圖像采集、個人身份識别，由于監督對象數量衆多和不特定性，對被監督對象的告知被簡化為現場的提示标識。

從個人信息保護法的規定來看，也并未采用嚴格的無例外的告知規則。個人信息保護法第18條規定了一般告知義務，并未區分是基于同意還是其他幾項并列合法性處理基礎，從體系解釋來看，個人信息保護法第18條認為無論基于何種合法性基礎處理個人信息都需獲得信息主體同意。但個人信息保護法第19條又規定了免于告知的三種例外情形，包含兩項無須告知和一項事後告知的情形，前者是法律、行政法規規定應當保密或不需要告知，後者是為緊急情況下為保護自然人的生命健康和财産安全無法及向個人告知的。而個人信息保護法第35條規定“取得告知、同意将阻礙……”可以“無需告知并取得同意”，未清晰地界定該例外是僅指同意規則的例外，還是二者均可例外。依據文義解釋和體系解釋，個人信息保護法采取的并非絕對的告知規則，即國家機關處理個人信息在特定情形之下可以免除告知。從比較法來看，域外國家與地區采用的也并非嚴格的告知規則，GDPR第13條和第14條在個人信息處理者的透明處理原則要求之下，規定了免除告知義務的情形，第13條規定個人已經了解告知内容時告知義務可以免除，第14條第5款在第13條規定的情形外，增加了三種無需告知的情形，分别是告知是不可能、需付出不相稱的工作、會嚴重妨礙處理目标，依據法律已對數據主體的正當利益制定了恰當的措施，以及個人數據必須保密。

對于國家機關處理個人信息告知規則的例外情形，個人信息保護法的規定較為粗糙，有賴于相應的法律、行政法規為具體情形提供合法性基礎，而配套的法律、行政法規卻較少，且排除告知規則将阻礙信息主體的知情權和救濟渠道，應審慎對待國家機關處理個人信息排除适用告知規則的情形。在未來的立法上，應對排除告知規則的場景、程序、救濟等具體内容進行細化。

對同意規則的排除适用

“為履行法定職責”的目的并不必然導緻告知同意規則的排除适用，因履行法定職責無須獲得信息主體同意的原因在于履職行為同樣承擔着國家利益、社會利益和第三人利益等可能優先于信息主體個人利益的利益。衡量個人信息上承載的多種價值與多方主體的利益，結合國家機關對個人信息的利用和保護需求，本文拟将國家機關處理個人信息排除同意規則的情形具體化為以下類型。

1.國家利益

對于國家利益，域内外不同派系的學者對國家利益的概念有不同的認知，但大都包含領土完整、國家獨立、基本制度的存續、救濟的發展等。依據最一般、最抽象的意義來說，國家利益是一個國家政治體制需要的滿足，是一切能夠滿足或能夠滿足國家生存發展等方面需要并且對國家具有好處的事物，包含了政治、經濟、文化、軍事、金融等安全利益。國家利益具有優先性、特殊性和持久性的特點，在個人信息權益與國家利益存在沖突時，具有高于人格利益的價值位序，依據價值位階理論，信息主體享有的個人信息權益當然地讓步于國家利益。《個人信息安全規範》5.4在無須征得信息主體同意的規定中，也已将“與國家安全、國防安全直接相關”通過列舉式方式規定在無須征得信息主體同意的第一項。

2.社會利益

社會利益是在國家利益和個人利益之外的一種獨特的利益形式，在不同的社會和不同的曆史時期，具有不同的内容，有學者認為不做特别的區分考慮，社會利益和社會公共利益、社會整體利益同義。依據功利主義價值觀，個人的犧牲如果能增加社會總量，換取長遠的更大的利益，那麼這種犧牲則是正當且必要，是值得贊美的。信息主體享有的權利越多，社會資源就會相應的減少，不利于創造更多的社會财富。社會利益也是一個抽象的相對的概念，不應作為國家機關處理個人信息排除适用告知同意規則的直接依據，應盡可能地将社會利益具體化到特定情形中進行理解。結合現有的分散立法和對個人信息的保護需求，可在以下幾種情形認定排除同意規則具有合法性。

第一，在公共衛生領域。公共衛生有别于一般的個人醫療服務，關系到國家人民大衆健康的公共事業。大量準确、真實的個人信息采集和分析是國家公平、高效、合理地配置公共衛生資源，制定公共衛生事件防控政策的基礎。不少國家和地區對突發公共衛生事件均采用公共利益優先原則，有限地突破個人信息保護屏障。我國突發公共衛生事件應急條例、傳染病防治法中對突發公共衛生事件中個人信息的使用進行了規範，即為疫情防控需求，有關機關可依法強制收集身份證号碼、住址、行蹤軌迹等個人信息。新冠肺炎疫情期間，大量個人信息的收集和使用是建構動态疫情地圖和制定疫情防控政策的數據支撐，在每日甚至每時更新的疫情實況下，若要求取得信息主體的同意，顯然不利于疫情防控工作的開展，有損法律的效率、秩序價值。在此情形下，遵循“效率優先、兼顧公平”而在一定程度上壓制自由，免去征得信息主體同意這一環節，能維護社會穩定性狀态。

第二，在公共安全領域。區别于國家利益所包含國家安全，公共安全側重于社會的安全與秩序，包括對公民衣食住行在内的日常生活秩序和安全的維護，為社會和公民個人提供正常生活所需的穩定的外部環境和秩序。公共安全的維護需要政府機構直接介入公民私人生活才能夠實現，這種介入以個人信息的收集和利用為最經常的表現形式。公共安全涉及涉及自由、秩序價值，為了維護社會的穩定、有序，信息主體有必要讓渡和犧牲部分私人權益。如出于交通流量控制或公共治安維護目的，在街道和路口安裝圖像采集與識别裝備，實時監控過往車輛和行人，難以避免地會采集到人臉信息，并一定程度上涉及行蹤軌迹，而人群的高速流動性使征得每個信息主體的同意變得難以實現，嚴格的告知同意規則将導緻國家機關難以實施流量管控或安全防護等維護社會秩序的行為。此外，在刑事司法領域，公安機關、檢察機關、監察機關等國家有權機關處理與犯罪偵查、起訴、審判和判決執行等行為直接相關的個人信息時也無須征得同意。司法領域的個人信息使用具有預防和打擊犯罪的功能，履行告知同意規則可能留給犯罪嫌疑人信息與證據的時間，與秩序、正義價值相悖。目前立法已有相關規定，如刑事訴訟法第150條規定，公安機關在立案後，為偵破特定犯罪行為的需要，經過嚴格的批準手續，可以采取技術偵查措施，其中技術偵查措施包括了對個人信息的收集等行為。

第三，在重大公共利益領域。出于重大公共利益排除适用告知同意規則的涉及的領域更寬泛，可能覆蓋至交通、教育、社保等與公民日常生活信息相關的各領域。公共利益是一定社會條件下或特定範圍内不特定多數主體利益相一緻的方面，可能因覆蓋不特定主體的規模、具體利益的種類而對社會的影響力度有所區别，作為排除适用依據的公共利益需要達到一定程度，足夠被稱作重大公共利益。比如在社會保障領域，社會保障是一種資格，是一種公共資源的利用，申請者需提交家庭的經濟收入、來源、關系等個人信息，行政機關審核後決定是否發放社保，此時提交個人信息作為社保的啟動條件，申請者實質上不得不同意對相關個人信息的處理，出于監督和防止福利欺詐目的，可以容忍因該目的犧牲個人享有的部分信息權益。在交通領域，為查明交通事故或出于疫情追溯的要求，可能會将涉及人臉和行蹤軌迹等個人信息的監控信息調取适用或與其他部門進行共享，但因顯著涉及生命與人身安全利益，可在法定程序下排除适用告知同意規則。總而言之，涉及重大公共利益時，國家機關需要以個人數據、現狀為基礎，進行社會資源公正、合理的分配，在社會利益之間取得平衡，使社會資源達到帕累托最優狀态。

3.私人利益

私人利益并不當然具有限縮個人信息權益的優先性，以私人利益為由排除适用告知同意規則應在個案中綜合衡量各方利益。《個人信息安全規範》5.4已經規定出于維護個人信息主體或其他個人的生命、财産等重大合法權益但又很難得到本人同意的，可以無需征得信息主體的同意。該項規定較為抽象，對重大合法權益的認定需結合具體情形進行判斷。争議性較小的是生命權、健康權，作為公民其他一切權利的基礎，其法律保護價值高于個人信息法益價值，但需明确的是，并非所有個人信息權益在面對生命權、健康權時均應做出讓步，也需綜合考量限縮個人信息權益的必要性，若征得信息主體的同意也不會對他人利益及效益、自由等價值造成損害，則需遵循一般的告知同意規則，即應在符合“又很難得到本人同意的”或其他不适合獲得信息主體同意的情形時，才能排除告知同意規則的适用。總的來說，因私人主體間具有平等性，出于第三人利益類私人利益對信息主體權益進行限縮和削減時，應在更嚴格的情形下進行。

四、告知同意規則排除适用的限制

告知同意規則是對信息主體享有的個人信息控制權益的重要保障，一旦允許國家機關在特定情形下排除使用告知同意規則，便有可能出現國家機關權利的擴張而侵蝕個人信息權益。目前，已有法律在排除适用告知同意規則的同時對信息主體權益提供保護，如傳染病防治法第12條規定，疾病預防控制機構、醫療機構不得洩露涉及個人隐私的有關信息、資料；身份證法第5條規定制作機關應對知悉的個人信息進行保密。但這些規定過于簡單，尚不足以為國家機關處理個人信息排除告知同意規則提供明确的邊界。在厘定國家機關處理個人信息排除告知同意規通過除适用的具體情形基礎上，仍應重視法律保留原則、目的明确原則和目的限制原則、比例原則、正當程序原則和權責一緻原則的運用，對排除告知同意規則的行為加以限制，避免國家機關借由“權利限制”，而徹底排除和掏空信息主體享有的知情權、同意權等信息控制權益。

對告知同意排除的法律保留

我國個人信息保護立法在國家機關處理個人信息使用告知同意規則的例外規定上存有規範層級低和數量少的特點，應從兩方面進行改善。一方面，在法律、行政法規層級完善相關立法，以滿足民法典第1035條和個人信息保護法第35條的但書部分均将可限縮信息主體知情權、同意權的法律規範層級限定在“法律、行政法規”層級的要求。在實踐中，一是合理安排立法進程，避免地方人大和政府通過地方性法規或規章對無須告知同意的情形先行立法；二是依據個人信息保護需求，将較低層級中對排除告知同意規則的規定上升至法律、行政法規的規定，如《個人信息安全規範》5.4中的例外規定、突發事件應對法、傳染病防治法通過規章授權有關部門采取應急處置措施的規定，避免通過規章、國家推薦性标準做出法律的例外，損害法律的權威性。另一方面，法律、行政法規的規定應具有明确性，授權國家機關限縮個人信息權益的法律規範應當符合“授權明确性”的要求，避免采用如《國家突發公共衛生事件應急預案》中授權全國突發公共衛生事件應及指揮部處理突發公共衛生事件的規定，缺乏對授權目的、事項、範圍和程序的明确規定，可能導緻公權力的不當擴張而侵犯私人權益。

目的明确和目的限制的不排除

目的明确原則和目的限制原則作為個人信息保護原則，依據全國人大常委會委員《關于加強網絡信息包保護的決定》第2條，各個人信息保護原則間互為補充制衡的關系。在以上國家機關處理個人信息不适用告知同意規則的特定情形下，也應嚴格遵循目的明确原則和目的限制原則。具體而言，目的明确原則是國家機關排除适用告知同意規則處理個人信息的邏輯前提，明确的、事先的目的規定有利于将整個個人信息生命周期中的處理行為約束在一定範圍内。應依照個人信息保護法第18條規定，處理個人信息前應當以顯著方式、清晰易懂的語言盡可能清晰地告知個人信息的處理目的，避免使用“出于保障社會公益的目的”“出于公共安全目的”這類籠統目的，而應結合具體的排除适用告知同意規則的場景，使處理個人信息目的盡可能精确化，且收集種類與目的應具有匹配性。同時，應明确所處理的個人信息種類、保存期限，禁止為未來不特定的目的而提前采集個人信息。

另一方面，在目的限制原則上，我國未将其作為獨立的個人信息基本原則，但個人信息保護法第22條對處理個人信息不得超出約定的處理目的、處理方式等處理個人信息的規定部分體現了目的限制原則的内涵。目的限制原則的核心在于個人信息的處理行為不得與事先告知的目的相違背，國家機關處理個人信息排除同意規則采集的個人信息在處理過程中應遵循已經明确告知的目的進行個人信息的處理，不得将采集的信息作法定目的外使用。在超出原目的與其他國家機關進行其他目的的個人信息使用、共享時，應當重新依據個人信息保護法第35條的依據獲得信息主體的同意。

對比例原則的延用

因國家利益、社會利益或他人利益對個人權利的克減必須遵守限度、合乎比例，否則就會造成對個人信息權益的徹底否定和排除。比例原則包含妥當性原則、必要性原則和狹義比例原則。就必要性原則而言，要求在能達成法律目的諸多方式中，應選擇對信息主體權益侵害最小的方式。依據個人信息保護法第13條規定，處理個人信息的合法性基礎具有多樣性，告知同意規則作為個人信息制度的核心架構，若采用這一合法性基礎能滿足國家機關履職目的的實現，且不會對效率、秩序等價值産生不當減損，也不會造成國家利益、社會利益和第三人利益不當侵害，則應優先适用告知同意規則這一對信息主體權利自由傷害最輕的方式，而避免采用排除适用告知同意而對信息主體知情權、同意權造成不必要的限縮與削減。

在比例原則中，最為重要的是狹義比例原則，在個人信息保護法領域被具體化為最少夠用原則。比例原則和最少夠用原則要求，除與個人信息主體另有約定外，隻處理滿足個人信息主體授權同意的目的所需的最少個人信息類型和數量。個人信息保護法中也有相應規定，如第20條規定個人信息的保存期限應當為實現處理目的所必要的最短時間。具體而言，國家機關無須征得信息主體處理其個人信息時，這部分個人信息應滿足數量最少、頻率最低與保存時間最短的要求。在收集範圍上，應限定在本文第三章拟排除适用告知同意規則的範圍内，此外的情形易引發國家機關借由告知同意規則的排除對個人信息進行的廣泛采集和深度分析，使告知同意原則形同虛設。對于個人信息處理種類，區分一般個人信息和敏感信息、普通群體的個人信息和特殊群體的個人信息，如為達到目的隻需要使用權利人的學曆水平、社會經曆等一般個人信息，就不應該将信息收集和使用的範圍擴大到身份證号、指紋等敏感信息上。對于個人信息的采集數量，應與所達目的合乎比例，對所需個人信息的數量隻需要滿足國家機關履行該法定職責所必需的最低标準即可，而不得在超出必要限度的範圍内進行非必要信息或無關信息的收集和處理。在個人信息的存儲時間上，依據個人信息的使用目的，做出區分化規定，在達到目的後及時進行不可逆轉的删除或規定明确的存儲時間。

排除适用的正當程序要求和權責一緻性保障

正當程序原則和權責一緻原則可從程序上約束國家機關處理個人信息排除适用告知同意規則的行為。正當程序原則體現于個人信息保護法第34條，其規定國家機關為履行法定職責處理個人信息，應當依照法律、行政法規規定的權限、程序進行，不得超出履行法定職責所必需的範圍和限度。在國家機關處理使用個人信息中，信息主體的處于較弱勢的地位，易出現信息不對稱的情況，在排除告知規則時，應為信息主體提供便利、可行的救濟渠道。在排除同意規則時，國家機關處理個人信息也應遵循合法、正當、必要原則，在收集個人信息前，通過合理有效的方式履行清晰、明确的告知規則，使信息主體了解個人信息的适用規則、目的和範圍，充分保障知情權的實現；在适用目的達到後，依法對收集、使用信息的過程進行書面和電子材料的留存，并依法在一定時間内存儲或删除個人信息。

權責一緻原則要求明确何種國家機關在出于何種目的時可不經同意使用哪些種類的個人信息，僅法律、行政法規規定的國家機關在特定目的下有權排除适用告知同意規則的适用。未經告知同意采集的個人信息在不同國家機關間共享時，因使用主體或及目的的變化需重新征得信息主體同意，避免因适用機關的變化導緻多個機關間進行責任推诿，侵害信息主體及時獲得救濟的權利，确保有明确的國家機關能對個人信息處理活動中産生的權益侵害承擔責任。

結語

個人信息保護法第35條的但書規定表明國家機關處理個人信息采用的并非嚴格的知情同意規則，但現有法律、行政法規未能對國家機關處理個人信息排除适用告知同意規則的情形提供充分的法律依據。本文将國家機關處理個人信息排除适用告知同意規則的情形具體化，并通過原則的适用對排除行為加以限制，避免國家機借由告知同意規則的排除，而徹底掏空信息主體享有的個人信息權益。盡管提出了排除适用告知同意規則的具體情形，但還需要進行進一步深入研究如下問題：一是結合司法案件，從實踐需求入手深入探讨排除适用告知同意規則的更細化的情形；二是将視野拓展至原則外，構建更完善的國家機關處理個人信息排除适用告知同意的規則制度。

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!