《民商法争鸣》｜郑淑琳、陈龙江：论个人信息处理的“合法利益”事由

郑淑琳、陈龙江：《论个人信息处理的“合法利益”事由》，载王竹主编：《民商法争鸣》（第23辑），四川大学出版社2024年10月版，第105-119页。

摘要：《个人信息保护法》第13条的个人信息处理事由清单呈封闭列举形式，当前司法立场上存在不少处理者或第三方主张的符合“合法利益”而处理个人信息的场景，裁判立场虽认可其属于合理使用，但因缺乏“合法利益”规则作为事由之一导致裁判立场在说理上游离于规范条文之外，因此规则缺失的疏漏与补充的必要性值得讨论。借鉴自欧盟GDPR的合法利益规则，分别从构成要件与法律效果上解析这一合法处理事由，使之从判断标准与结构逻辑上符合《个人信息保护法》的规范意旨，可有力解释我国立法上引入这一规则作为合法处理事由的补充。

关键词：个人信息  合法处理事由  合法利益  构成要件

一、问题的提出

《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）第13条第1款就个人信息的合法处理事由，从处理规则的角度做了封闭列举，与《民法典》的另一种合法处理依据规范群共同构成个人信息处理的合法事由。逻辑结构上，合法处理事由设定了基于同意与无需同意的多种情形，这一封闭清单为个人信息处理行为的合法性提供了明确指引，但随着多元主体多元利益的迫切诉求，对个人信息处理的合法事由研究提出了新问题。

比较法上，合法处理事由是个人信息保护立法不可或缺的一环。德国“小普查案”和“人口普查案”引起了对具有私权类型意义上的个人信息自决权的热议，虽然德国联邦宪法法院认为“个人信息自决权”是一般人格权中的基本权利，但仍然不排除个人信息处理者符合法律规定的事由或其本身的正当利益需求，1950年的《欧洲保护人权与基本自由公约》（European Convention on Human Rights, ECHR）第8条就引入了合法性基础理论，1981年的《关于个人数据自动化处理的个人保护公约》（Convention for the Protection of Individuals with regard to Automatic processing of Personal Data）第5条规定了个人数据处理的合法性基础，2013年更新的《关于隐私保护与个人数据跨界流动的指导方针》（OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data）第7条也将包括同意在内的合法性基础引入个人信息收集领域，欧盟《关于个人数据处理和自由流动的个人保护的第 95/46/EC 号指令》（以下简称《95指令》）第7条列举了满足个人信息处理的合法性基础，一般称为“四类目的条款”和“合法利益条款”，自此之后，“合法利益”规则在欧洲立法上渐露雏形并得到发展，包括欧盟《通用数据保护条例》（以下简称GDPR）、德国《联邦数据保护法》在内的均规定了个人数据处理的合法性事由。《一般数据保护条例》延续《95指令》，在第6条、第9条及第23条都涉及个人信息合法处理，具体的合法情形规定在第6条，尤其第6条(f)项的合法利益条款为多国个人信息或数据立法所采用。以GDPR为例，第6条规定了数据处理的合法性，除第(a)项同意外的五种处理个人信息情形可以经由合理使用规则得到豁免：(f)处理是为数据控制者或第三方追求正当利益所必需。第(f)项为数据处理中的冲突提供了缓和的空间。欧盟“第29条”工作组也曾提出考虑数据控制者的合法利益作为数据流通规则的衡量标准。对于合法利益的解释，GDPR在序言部分也对具体范畴进行了列举，序言第47条就提到了“市场营销”可作为合法利益的情形之一。同时，理论研究也认为传统的“公平信息实践原则”难以满足数据利用的需求，主张引入“场景导向理念”“风险导向理念”等机制，来验证数据处理行为具备合法性，从而实现个人信息保护与利用的平衡。

个人信息保护制度不仅仅是对个人信息权益的保护，也是对基本人权和公共利益关系的协调。不过，我国《个人信息保护法》并未引入“合法利益”这一情形，包括两次草案稿与正式出台的文本，均未将这一规则纳入其中，使得利益平衡存在关键性的规范遗漏。如此安排的妥当性值得反思。一方面，“同意”的唯一性受到许多学者的批驳。譬如，同意在实践中往往被架空，信息主体本身的有限理性以及在信息处理者的逐利本质下形成的冗长繁杂的告知文件（常以“隐私政策”形式出现）使得同意规则形同虚设。另一方面，学界对个人信息处理合法事由的必要性与正当性认知一致，但对于“合法利益”规则缺失则有不同看法，部分研究出于法的安定性考虑，选择解释适用《民法典》第998条、第999条、第1020条、第1035条及第1036条来弥补《个人信息保护法》合法利益条款的缺失，通过判断处理目的、行为、方式之合理性，并以此拓展至利益对比与衡量。另有部分研究则关注到合法利益规则的基本结构上，在《个人信息保护法》制定初期就主张引进这一规则，并开门见山地对以合法利益豁免规则为研究对象，在借鉴欧盟平衡测试框架的基础上提出不同的规则运行机制，一是构建动态价值秩序识别优位利益与信息控制者义务规范，二是评估合法利益、对数据主体的影响以及一般性义务的平衡，并且对这一规则的适用应当有所制约和问责。

毋庸讳言，《个人信息保护法》提供的第13条之合法处理事由能够解决绝大部分的个人信息处理需求，但除同意外的其他非基于同意的合法事由——订立或履行合同所必需、处理公开的个人信息、基于公共利益的新闻报道或舆论监督等等，在目的之上均有所限制，无法涵盖至包含处理者或第三方主体合法利益的范围。囿于上述种种窒碍，检验“合法利益”规则作为个人信息合法处理事由才越显必要，这也是本文试图展开的部分，以期解决个人信息保护与利用冲突，协调不同利益并弥合规范与实践的罅隙。为此，本文所称“合法利益”规则是指当个人信息的处理是为信息处理者或第三方主体追求合法利益所必需，则信息处理者无需经过个人同意可得处理个人信息。本文拟从规则构建的角度出发，梳理个人信息处理事由的实证法规定及其适用困境，对合法利益规则作为合法处理事由的必要性与具体规则构造进行讨论。

二、《个人信息保护法》合法处理事由的适用范围与困境

个人信息处理规则虽以知情同意规则为核心内容，但为处理行为合法与否的判断构建了一个体系性的合法处理事由清单，其中除知情同意外，合法处理事由还包括非基于同意的其他情形。但现行法的处理事由清单存在明显的结构性困境，《个人信息保护法》第13条的合法事由清单是一个穷尽式的权利限制与例外清单，这种封闭式立法模式可以防止不当侵害个人信息主体的信息权益，随着个人信息利用的需求增大与频繁，这一模式的滞后性和弊端也渐趋显现，尤其是作为合法利益的合法事由的欠缺，致使多数本身具备合法利益主张的信息处理者难以进行信息处理，而告知同意带来的预期效果的消极化也正面反映了这一封闭清单亟需打开口子，容纳值得保障的合法利益。这一限制在以“抖音案”为典型案件的讨论中尤为激烈。本案中，原告凌某某在手机通讯录除本人外没有其他联系人的情况下，使用该手机号码注册登录抖音APP 4.3.1版后，被推荐大量“可能认识的人”，凌某某认为抖音APP非法获取其个人信息，侵害其个人信息权益和隐私权，将抖音APP的运营者北京微播视界科技有限公司诉至北京互联网法院。本案所涉及的信息类型包括姓名、手机号码、社交关系、地理位置、手机通讯录等个人信息，裁判立场首先认可案涉信息属于个人信息，但处理该个人信息需经过授权同意，而涉及社交关系的个人信息需要“双重同意”，但因双重同意的苛责性以及基于社会经济发展效益的考量，若适度的利用不损害个人利益，则处理行为可以构成个人信息合理使用，无需征得信息主体同意。也即，法院得出的可构成个人信息合理使用的前提是：双重同意过于严苛，兼之考虑社会经济效益与适度利用不损害个人权益。类似地在WhatsApp一案中，同样是获取非注册用户电话号码数据的处理行为，爱尔兰数据保护局指出，在处理行为与合法性基础之间应当建立完整的映射关系，需要能够识别具体的处理行为与对应合法性基础，即应当依据GDPR第13条第1款第(c)项与第(d)项之规定提供处理目的与满足GDPR第6条第1款规定之合法事由。因此，“抖音案”构成合理使用的定论难以提供强有力的支撑的根本原因在于，并不是依据法律规定意义上的判断标准进行，强烈的资源意识倾向暗含裁判立场与处理者立场的趋同，但这情有可原，彼时《民法典》尚未生效，《个人信息保护法》尚未通过，因此两部法律中关于个人信息合法性基础的情形并未被用于裁判说理中，也即在缺乏直接法律规则的情形下，法院的论证收集利用行为的合法性与正当性与否主要是在理论层面展开。那么若将本案置于《个人信息保护法》第13条第1款的合法处理事由之下，是否可解释其中的合理使用之裁判立场。依据本案的实际情况，可分别考量除同意外的订立、履行合同所必需（第二项）、为公共利益在合理范围内处理个人信息（第五项）、处理已公开的个人信息（第六项）的合法事由。

第一，为订立、履行个人作为一方当事人的合同所必需。合同所必须分别以合同的订立和履行这两个处理目的为限，但并非完全不受同意规则的限制，订立和履行都在不同程度上取决于信息主体的个人意愿，尤其是订立阶段的处理行为，这一阶段又可称之为前合同阶段，处理者并不负有约定或法定的合同履行义务，因此处理者与信息主体处于要约，或者进一步磋商阶段，信息主体也可主动提供个人信息，事先就合同条款达到合意，订立合同是一个宽泛的概念，合同的准备与磋商均属于订立合同的阶段性行为，区别在于是否更接近于合同的正式成立，以及是否有订立合同的意图，这一意图可以通过是否进行要约-反要约-承诺等意思表示体现，但是否以此来区分二者并非该款作为合法性基础的旨趣。在《个人信息保护法》中，订立合同作为合法性基础并非意在产生先合同义务，其仅仅作为合法处理个人信息的一个事由，同理，即便存在先合同义务也不意味着处理行为当然地合法，也即这一事由并不要求存在合法有效的合同法律关系，如为发放贷款而考察借款方的信贷记录，评估其还款能力等合同准备行为，为合同订立创造可能性。但这仅是满足了订立的要求，具体是否能够以该项为合法事由还需进一步考察其他构成要件。“履行个人作为……合同所必需”共同落入《个人信息保护法》与《民法典》合同编的规范范围之内，一方面，合同成立有效是该规则适用的前提，其检验标准由合同法所规范，另一方面，该项是纯粹以信息主体的个人利益为处理目的的合法事由。对这一项的适用，存在区分为客观必要性与主观必要性的两种必要性限制路径，前者以合同内容所涉的处理场景为处理行为合法性与否的检验标准，后者则衍生至合同双方因合同约定所产生的权利义务。然而这两种标准都存在一定的局限性，一个过分强调信息自决，另一个过分侧重意思自治，显然两种标准都仅体现了《个人信息保护法》与合同法的单一面向，难以充分反映本项作为合法处理事由的正确内涵。因此有学者提出应当采取区分个人信息保护与合同法的双层构造，从中抽离出“作为个人信息处理目的之履行合同”来决定必要性标准的范围，也即应当将处理行为本身作为评价对象，当行为完全服务于纯粹的信息主体合同利益时，信息处理者才取得合法基础。那么，抖音从已注册用户（设用户同意开放通讯录信息）处收集原告个人信息的行为是否可以依托该合法性基础呢？显然，暂不论该合法性基础蕴含的意思自治底色，无论从订立合同还是履行合同的角度看，前者之不符合体现在抖音之收集处理行为并未与原告进行磋商，后者之不符合体现在抖音之收集处理行为并非纯粹为个人信息主体利益而为之。

第二，为公共利益在合理范围内处理。当然，信息处理者主张的经济效益与所谓为公共利益实施的“新闻报道、舆论监督”行为两不相干。不过将考察视角转化到第三方主体身上，则可资进一步分析，也即本案中抖音从已注册用户处收集原告的个人信息是否可理解为达到“关键基础设施”的标准，从而可得为支撑产业发展而限制适当限制第三人个人信息权益？显然这一论断的说服力较弱，《民法典》第999条与第1035条也均规定了以公共利益为目的的使用行为可以作为人格权合理使用的事由，作为新闻报道与舆论监督的抗辩事由，但相同事务应作相同理解，法律条文未列举的法律条文未被列举的概括性概念与作出示例的事项应当属于同类，其中作为示例的“新闻报道”“舆论监督”，以及作为兜底性规定的“等”字，在理解上应当相同，信息处理者实施的处理行为应当是与新闻报道、舆论监督处于相当的水平，这不代表当然限制在传统时政类新闻框架下，报道涉娱乐明星偷漏税等带有娱乐属性的新闻报道同样可满足为保障民众知情权的公共利益所需，但抖音案中获取通讯录个人信息的行为既不在以上场景中，处理者的行为也难以直接链接至典型的公共利益，支撑产业发展也并非由是否获取通讯录个人信息所决定，因此这一合法事由无法作为抖音案收集处理个人信息的合法性基础。

第三，处理自行公开或他人合法公开的个人信息。公开的个人信息包括信息主体自行公开的和他人合法公开的信息，一方面，在自行公开角度，如果认为抖音处理的是已公开的个人信息，且原告对系争个人信息具有公开的合理期待，那么这一定论应经得起如下检讨——第三人将自己的姓名与手机号码告知特定对象构成《个人信息保护法》规定的自行公开的信息。信息自主是个人信息权益的内容，个人得自主决定是否、何时、以何种方式公开自己的个人信息，而认定个人对外提供个人信息的行为是否构成自行公开，需要考察其公开的范围以及对象。而公开的对象应是不特定人，公开的范围应当是面向公共领域，如在日本早稻田大学名簿事件中，被告早稻田大学因举行演讲会，预先募集申请参加演讲会者的学籍号码、姓名、住所及电话号码等信息，收录进名簿中，后早稻田大学将名簿资料交由警视厅。日本最高裁判所认为名簿攸关的申请参加演讲会者的隐私，主办方未经参加者同意且取得同意并无特殊障碍的情况下向警方出示名簿的行为构成侵害申请参加者的隐私。该案中，参加演讲会者将自己的姓名、电话号码提供给主办者并不意味着自行公开。“公开是指个人信息在客观上已经处于可由不特定人获取的状态，尤其是当个人信息出现在大众媒体之上时”。因此抖音案中将电话号码、姓名等告知特定好友并不属于自行公开。另一方面，他人合法公开与主动公开正相反，属于被动公开之范围，其对应主体是行使合法公开权利的主体，譬如裁判文书的公开或职权机关公开个人信息的场景，但这仍然不属于抖音案的情形，即便是第三人的合法授权也不构成对原告个人信息的合法被动公开。

综上，如果在《个人信息保护法》现行的合法处理事由中找寻抖音案的合法性基础，恐怕无法可施。除此之外，《民法典》中第998条、第999条、第1010条、第1036条第二项、第三项作为个人信息合法处理依据，与上述分析中的《个人信息保护法》三种可能性合法基础一样，无论是较为严格限制的人格权合理使用规则，还是维护公共利益与自然人合法权益的合理实施，以及处理公开的个人信息等均无法使“抖音案”的处理行为与合法性基础形成完整的映射关系。

三、“合法利益”规则作为合法处理事由之路径解析

（一）作为合法处理事由之必要性

个人信息保护实际上也是一个社会成本的问题，随意取用可能产生负外部性，而在经济学意义上人格利益符合实现社会整体福利的考量，那么保护能够产生的社会经济效益并不比不保护要低，就像保护私有财产一样，构建产权结构并使得产权界限清晰可自由交易，那么市场机制可以被充分激活从而达到资源的最有效配置，这就是科斯定理。科斯交易成本理论提出了著名的理论分析框架——卡-梅框架，以法益的转移自由和定价意愿为标准划分为财产规则、责任规则与禁易规则，我国学者凌斌在此基础上引入法益的初始归属和限价方式标准，增加管制规则与无谓规则。其中，知情同意作为财产规则范畴面临高交易成本与低经济效益的障碍，责任规则则属于以损害赔偿规则替代财产规则，易引发丛林法则，造成利益失调。禁易规则是禁止私人交易，这一规则一般适用于特定物，如禁止买卖国家所有矿藏、水源等，凌斌教授的管制规则的目的与禁易正好相反，旨在促成交易，法律通过明确法益的归属，并支持私人转让，同时又限定转让的法定条件，而无为规则则是一种法律立场，是一种法益否定或消灭，在逻辑上先于前述规则，本质上是“法律在法定情形下否认或取消一项利益获得法律救济的法益资格”。据此，可以将个人信息处理规则解释为是遵循卡-梅框架理论搭建的体系，而合法利益规则体现了管制规则下的利益协调，达到了平衡利益冲突，克服交易市场负外部性的目的。

在个人信息上并不能照搬物权制度目前已是学界共识，有价值之信息的流通同样是社会整体福利的要求，在信息数据充分开发利用的市场环境下，个人信息的收集利用不仅对信息主体的人格与物质利益，也对以网络平台为主的信息处理者近乎主导下的互联网新经济创造更高的价值存在直接影响，在此基础上，有价值之信息会在理性个体的选择下参与信息生产，这种选择所考虑的理性状态就是披露信息所产生的边际收益超过边际成本。也就是说，可能存在这样的情形：即便在遵循财产规则下赋予信息主体授权同意的权利，也难以避免信息主体基于策略性动机的主动过度披露，典型如为获得更多“处理者优待”而提供更多信息。此时有理由认为信息主体对于信息让渡这一现状是默许，尤其在强大机制保障下，不会造成实际损害，反而能获得额外“给付”时。同样的，作为对立面的信息处理者，利益最大化无疑是其根本追求，当个人信息的保护机制过于强大，个人信息的初次利用与增值利用所需要的成本或将成倍增加，那么为了降低边际成本，提高边际收益，信息处理者的行为导向就会倾向于采取措施，以信息主体青睐的优待换取信息数据的使用权，因此，合法利益规则的目的是促进资源配置，实现保护与利用的衡平。

（二）合法利益规则之引入

1. 欧盟法上的合法利益规则模式及其框架

GDPR的“合法利益”条款属于因素主义与规则主义的融合，前者可溯及，Joseph Story大法官在“Folsom v. Marsh”一案归纳的判断合理使用的多要素方法，从作品的使用主体、使用对象、使用影响三个方面界定了合理使用，后演化为美国1976年版权法第一百零七条判断合理使用的四要素标准，这一因素主义立法模式即在立法中设定合理使用的判断要件，依此提供裁判的适用依据，具有较强的开放性和弹性。但也存在掩盖立法原意的弊端，容易在忽视整理制度体系下对标准的僵硬操作。后者则是我国封闭式列举具体的个人信息处理的合法事由情形的体现，尽管该模式的精确翔实有助于法律适用中提高预见性，但也凸显了其难以适应新变化的规则僵化问题，这种结构性困境并无法借助行为类型化完成对因素主义抽象模糊适用的转化。而GDPR的“合法利益”条款综合二者优势，在规则之下考虑因素标准来判断处理行为，可有效化解前述矛盾。

在制度回应方面，欧盟“第29条”工作组引入了动态的平衡测试框架，要求数据控制者在基于“合法利益”开展个人信息处理活动前应进行三方面内容的合法利益评估测试：合法利益的识别、必要性测试和利益平衡测试。关于利益平衡测试的内容，欧盟“第29条”工作组引入了动态的平衡测试框架，平衡测试考察的要件包括：①数据控制者合法利益的评估；②对数据主体的影响；③临时平衡（provisional balance）；④数据控制者为防止对数据主体造成过度影响而采取的额外措施保障。

其中，要件①最为关键，只有存在合法利益且该合法利益具有优先性，才可能作为处理行为的合法性基础。英国信息专员办公司(ICO)认为平衡测试由三部分组成：①目的测试（确定合法权益）；②必要性测试（考虑处理行为的必要性）；③平衡测试（考虑个人的利益，确保个人利益不优先于控制者利益）。对于目的测试，欧盟的考量的因素有三：合法性、具体性及非投机性，ICO将其细化为以下追问：①您为什么要处理这些数据？②你期望从这个处理过程中得到什么好处？③是否有任何第三方从该处理中获益？④处理过程有更广泛的公共利益吗？⑤这些利益有多重要？⑥如果你不能继续下去，会产生什么影响？⑦对个人的预期结果是什么？⑧你是否遵守行业指导方针或业务守则？⑨在这个处理过程中会有什么道德问题吗？而这些拷问实际上也是欧盟的平衡测试在具体操作时需要面对的。

平衡所倚仗的各种个人信息关系，牵涉到的个人信息类型、用途、手段等变化无常，利益平衡的标准也随之异化，详述之，合法利益规则中需要识别的合法利益能否优先于信息主体利益，但这种优位性识别并不是一劳永逸的，并不代表第一次主张合法利益处理后，后续其他信息处理者可以不经过一系列要件评估即认定与此相同的利益具有优先性。

2.合法利益规则作为合法处理事由的规则塑造

（1）构成要件

如前所述，借鉴欧盟的合法利益评估测试框架，该规则作为合法处理事由需要解决基本结构问题——利益合法性、处理必要性与利益优先性，这要求信息处理者或第三方主体：第一，能够证明其所主张的利益属于合法利益，第二，能够证明处理行为具有必要性，满足合理目的、合理方式以及信息主体未受不合理影响损害等要件，第三，能够证明所主张的合法利益具有压倒性优势。具体而言，合法利益规则应能够包含检验与评价处理行为是否具有合法性之构成要件与法律效果，那么基于前述考量，“合法利益”规则之构成要件分别为：①合法利益具有压倒性优势；②个人信息的处理具有必要性；③满足最小损害与最小影响；④处理者或第三方履行一般告知义务；⑤处理者提供额外保障措施。

首先，判断合法利益是否具有压倒性优势，首要前提是存在合法利益。合法利益规则关注的就是信息处理者与第三方的现实利益，合法利益应当是实际存在的，能够被实定法所体现的，具有实定法现实的确定性与可操作性的利益。合法利益是主张者享有具体社会好处的意图以及在某些情况下希望寻求国家主管机关的保护的利益。但合法利益一词属于总括性的表述，在GDPR中，这一合法利益是除数据主体之外的数据控制者、第三方的利益诉求，并且在比较法上就存在严格解释与宽泛解释的观点，前者认为限制基本权利只能以法律规定的另一基本权利为依据，合法利益应仅限定在法律上予以规定和认可的权利，后者则持合法利益的外延应涵盖到“不违法”的地步，只要不违反法律规定即为合法利益，譬如公共利益、私人利益等等。实际上，利益本身是一个客观范畴，强调特定对象以满足人类需求的程度，因此利益才会区分合法与非法。《民法典》第126条规定“民事主体享有法律规定的其他民事权利和利益”，显然，“合法利益”和“法律规定的利益”逻辑上对应着“不合法利益”与“法律规定之外的利益”，二者的区别就在于，不合法利益受到法律的否定评价，而法律规定之外的利益则是在法律的评价范围之外，因此，利益本身就是一个多义性的概念，而合法利益是“法律明显承认，但不一定明确承认的利益”，也就是说可以是法律规定的利益，也可能是法律规定之外但值得法律保护的利益，后者需要在司法实践中进行判断，只要不是受到法律否定评价的不合法利益即可。因此，合法利益的范围应采宽松解释说。此种利益的具体表现在GDPR中有所列举，如序言第47-50段中的“诈骗预防、直接市场营销、企业内部传输、网络与信息安全、向公权力机关移送疑似犯罪或威胁公共安全的个人数据等”，那么揆诸我国司法实践，“微信读书案”、“微视案”在关联产品中使用已经合法收集的个人信息，“平安案”中基于委托提供技术支持的委托处理、“周某、中国农业银行股份有限公司孝感分行隐私权、个人信息保护纠纷案”中的委外催收欠款以及“吴某诉北京爱奇艺科技有限公司、北京市融泰律师事务所隐私权、个人信息保护纠纷案”获取原告用户登录、观影记录信息作为证据等等均可作为合法利益规则适用的具体场景。

在识别完合法利益后，应进一步判断其是否具有压倒性优势。毋庸讳言，在对立的利益下，处理者或第三方的合法利益应让位于信息主体的优先性利益，如基本权利与自由，特别是儿童的优先性利益。保全一种利益而牺牲另一种利益需回应来自合法性、正当性、合理性的各种诘问，唯有应保全之利益价值远高于被牺牲的利益，才有牺牲利益的必要。以抖音案为例，裁判立场认为信息处理者的产业利益与信息主体的个人信息权益属于对立利益，其中抖音的利益是产业利益，借助的手段是个人信息的处理场景，处理的目的是建立社交功能，以此形成目的实现——利益实现的闭环。本文认为，可通过设置损害与影响的利益区间，分别判断对立利益的紧迫性与己方利益不实现所招致的严重损害程度，以及处理行为的唯一性。以信息处理者为例，如果在紧迫性上双方利益相当，那么应证明不实现己方合法利益所招致的损害程度是否比实现此种利益更甚，如果不实现将带来严重后果，且处理个人信息是实现此种利益的唯一手段，那么可通过优先性测试。如抖音案中，一方面抖音的商业利益需要通过获取个别非注册用户姓名与电话号码才能实现的理由较薄弱，另一方面，即便不收集此个人信息也不会致使抖音的商业利益无法实现，更不会影响其经营状况，因此保护原告的个人信息权益更具紧迫性。

其次，处理具有必要性、满足最小损害与最小影响、处理者或第三方履行一般告知义务、处理者提供额外保障措施等在内的要件，与基于其余合法性基础进行的处理行为所需满足的额外要件本质相同，但区别在于考察因合法利益规则本身的特殊性而有所侧重，“合法利益”规则作为利益衡量的工具，较之其他非基于同意的合法事由而言，更能体现对信息处理者的倾向性保护，因此有必要在其他要件上进行制约，加强处理者的义务。

一方面，处理的必要性表现为在信息处理中要求处理目的与处理的个人信息数量、范围、保存期间相对称，要求信息处理者保持克制态度的原则，《个人信息保护法》第6条要求应有明确的处理目的且处理行为应限于实现目的的最小范围，当目的发生变更，则需要新的合法性基础支撑处理行为，但原则上确定了某一合法基础后，应禁止处理者随意变更，除非新的目的与原始目的兼容。当原始合法性基础与新的利用目的不兼容，那么需要新的合法性基础来支持新的处理行为，而非当然得沿用前一合法性基础。一般性的告知义务是对信息主体知情权与拒绝权等权能的保障，信息处理者应当向信息主体告知相应的合法性基础、处理目的、范围与方式等，应当认可即便是基于这一规则的合法处理，也应受到个人信息的各项权能的合力约束。如在知情权方面，WhatsApp一案中，爱尔兰数据保护局主要提出的指控是不符合透明性原则指南，包括未能告知用户传输的数据类型、目的以及后果等，那么WhatsApp欲以追求合法利益为目的作为合法性基础的请求就无法得到满足。在拒绝权方面，我国《个人信息保护法》中表述为拒绝权的权利借鉴自GDPR的反对权，GDPR第21条第1款规定数据主体享有反对基于合法利益规则的处理，第二款规定数据主体可反对直接营销目的的处理，前者仍有反驳空间，即控制者证明存在可令人信服的合法理由，能够超越数据主体的利益、权利和自由，或为确立、行使或捍卫法律主张而进行的处理，可见当控制者满足前述构成要件后，数据主体若提出拒绝权，仍应当尊重个人信息主体的权利，只不过并不当然产生无法处理的法律效果。但后者第二款的规定则没有给予控制者反驳的机会，这种数据主体的反对权具有终局效力。另一方面，是最小损害与最小影响、额外保障这两个因素，在损害与影响的判断上，着重突出“最小”要求，需要信息处理者优先选择没有损害或损害最小的方式，并评估可能的沉默风险，采取额外的安全保障措施（《个人信息保护法》第51条之规定），如采取匿名化处理方式、及时删除或设置紧急预案等应急补救措施。

（2）法律效果

这一规则作为合法处理事由之一，旨在肯认处理行为的合法性，但未创设或变动权利，当构成要件全部满足，则可作为合法性基础与处理行为形成对照，反之则不然，因不满足规则构成要件而处理个人信息的，属于违法处理，应承担相应的民事责任。

四、结论

尽管《个人信息保护法》自审议稿到最终稿对“合法利益”规则三缄其口，但从司法裁判立场的倾向可以窥见，缺少裁判规范致使理论分析层面的说理与现行合法性基础有所偏离。因此，仍有许多场景需要通过这一规则来获得合法性基础，以避免因无法取得同意而不能处理个人信息。故，建议我国《个人信息保护法》在后续的调整修改中可以考虑引入合法利益规则，作为第13条第1款的合法处理事由之一，以丰富原有的封闭清单，激活合法处理事由，使其更好地满足不同处理目的、场景的需求，包括但不限于以市场营销、委托处理、催收借款、纠纷解决等场景中，当存在这些合法利益时，信息处理者应证明其满足合法利益具有压倒性优势、处理具有必要性、满足最小损害与最小影响、履行一般性告知义务以及提供额外保障措施等构成要件，才可以此规则为合法处理事由。不过需注意的是，作为非基于同意的合法性基础，合法利益规则应仅具有同意豁免属性，赋予处理行为合法性，但并不总局决定处理者是否完全免责，处理者可能因为其他事由招致法律责任。

为阅读方便，脚注从略。如需引用，可参阅原文。

*郑淑琳，海南大学法学院硕士研究生。陈龙江，法学博士，海南大学法学院副教授，博士生导师。（通讯作者）。本文系国家社会科学基金一般项目“敏感个人信息保护法律问题研究”（21BFX089）的阶段性研究成果。