数字时代，人们在使用各种商品与服务的同时，或主动或被动、或直接或间接、或知情或不知情地向经营者提供着大量个人信息。获得便利体验的同时，模糊的安全边界也造成了个人信息安全领域乱象丛生，引发了人们对技术滥用的隐忧。

近日，备受关注的“人脸识别第一案”——“郭兵诉杭州野生动物世界有限公司服务合同纠纷案”(以下简称“郭兵案”)二审落下帷幕。

2019年4月，郭兵支付1360元购买野生动物世界双人年卡，确定指纹识别入园方式。2019年7月、10月，野生动物世界两次向郭兵发送短信，通知年卡入园识别系统更换事宜，要求激活人脸识别系统，否则将无法正常入园。但是，郭兵认为人脸信息属于高度敏感个人隐私，不同意接受人脸识别，要求园方退卡，终致双方对簿公堂。

该案引发了人们对如何评价和规范经营者处理消费者个人信息(尤其是指纹和人脸等生物识别信息)行为的探讨，具有里程碑意义。

我国个人信息保护立法的现状

个人信息保护发端于个人基本权利保护，但是自然人对个人信息并不享有绝对权和支配权，而只享有应受法律保护的利益，即防止因个人信息被非法收集、泄露、买卖或利用等进而导致人身、财产权益遭受侵害或人格尊严、个人自由受到损害的利益。

我国目前尚未出台专门的个人信息保护法，个人信息保护法的最新进展为第十三届全国人大常委会第二十二次会议审议的《中华人民共和国个人信息保护法(草案)》。我国现行法律尚未将自然人对个人信息享有的利益上升至一项独立的法定权利——“个人信息权”，而只是强调“个人信息保护”，例如《中华人民共和国民法典》在人格权编中设专章规定了“隐私权和个人信息保护”;个人信息保护法(草案)也只是称之为“个人信息权益”，而非独立的“个人信息权”。

按照《中华人民共和国民法典》第一千零三十四条、《中华人民共和国网络安全法》第七十六条、《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第一条、《互联网个人信息安全保护指南》第3.1条等规定的定义，(自然人/公民的)个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息，包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。

从文本来看，民法典之前的相关立法规制的是经营者“收集”“使用”个人信息的行为，而民法典将规制范围扩张至所有处理个人信息的行为，包括个人信息的收集、存储、使用、加工、传输、提供、公开等。那么，处理个人信息，应遵循什么样的规范性要求呢?

个人信息保护与隐私权的区分

应根据个人信息的种类对处理个人信息行为科以不同的要求。民法典第一千零三十四条区分了个人信息中的私密信息与一般信息，其中私密信息适用有关隐私权的规定;没有规定的，适用有关个人信息保护的规定。也就是说，个人隐私与个人信息呈交叉关系，二者既有各自的专属领域，也有交叉领域，二者交叉的部分便是私密信息。

那么何为“私密信息”?可以参考个人信息保护法(草案)关于“敏感个人信息”的规定。个人信息保护法(草案)在明确个人信息处理的一般规则的同时，亦专门规定了敏感个人信息的处理规则，其第二十九条规定：“敏感个人信息是一旦泄露或者非法使用,可能导致个人受到歧视或者人身、财产安全受到严重危害的个人信息,包括种族、民族、宗教信仰、个人生物特征、医疗健康、金融账户、个人行踪等信息。”可见，体现个人生物特征的生物识别信息一般而言属于敏感个人信息。在“郭兵案”中，二审法院亦在判决中多次强调，生物识别信息作为敏感的个人信息，深度体现自然人的生理和行为特征，具备较强的人格属性，一旦被泄露或者非法使用，可能导致个人受到歧视或者人身、财产安全受到不测危害，更应谨慎处理和严格保护。

“合法、正当、必要”原则的理解与适用

无论是敏感个人信息还是一般个人信息，均需在处理目的、处理方式(手段)等方面遵循一定的原则与规则(当然，法律对敏感个人信息/私密信息的保护更加严格)。就现行法而言，民法典第一千零三十五条、网络安全法第四十一条、消费者权益保护法第二十九条、《全国人民代表大会常务委员会关于加强网络信息保护的决定》第二条、《互联网个人信息安全保护指南》第6.1条等规定，确立了处理个人信息应当遵循“合法、正当、必要”之原则。在“郭兵案”中，一审法院亦在判决书中指出，我国法律对于个人信息在消费领域的收集、使用并未采取禁止的态度，而是强调对个人信息处理过程的监督管理，即在前端收集个人信息阶段需要遵循“合法、正当、必要”的原则和征得当事人同意的规则;在中端控制信息过程中需要遵循确保安全原则，不得泄露、出售或者非法向他人提供个人信息;在末端出现个人信息被侵害之时，经营者依法需要承担采取补救措施等相应的侵权责任。

“合法、正当、必要”原则本身具有抽象性，需要辅以相应的细化规则，以便司法适用。“合法”原则自无需赘言，司法实践中需要判断具体处理行为是否符合法律法规的具体规定。就最宽泛意义而言，法律对处理个人信息行为所施加的具体规则，都可以纳入“合法”原则的范畴内，即只要违背具体规则就意味着违背“合法”原则。当然，这样理解也就意味着虚置“正当”与“必要”原则。因此，“合法”原则本身仅具有笼统的宣示意义，不具有对法律适用的直接指导意义。

就“正当”原则而言，“正当”是一个伦理(道德、价值)判断意义上的词汇，通常而言合法的即是正当的，例外情况是将伦理上不正当的行为评价为合法，而这种法通常会被认为是“恶法”。“正当”可以理解为给“合法”提供兜底，即对于一些行为与目的，法律没有给出明确的合法与否的评价，这时可以根据一般的伦理道德对其进行正当与否的评价。

就“必要”原则而言，“必要”即“不得过度处理”，应采用对个人侵害最小的方式处理个人信息，应限于实现处理目的的最小范围，不得进行与处理目的无关的个人信息处理。由此也可以联想到“比例原则”。诞生自德国公法的“比例原则”有三大派生子原则：(1)适当性原则(suitability，合目的性原则)：所采取的手段有助于实现目的;(2)必要性原则(necessity，最小侵害原则)：若有多种有助于实现目的之手段，应采取对权益侵害最小者;(3)狭义比例原则(proportionality in its narrow，衡平性原则、过度禁止原则)：所采取的手段造成的损害，与所欲实现的目的之间，必须是相称的、成比例的，即两者不能显失均衡。可见，狭义比例原则明显不同于适当性与必要性这两项要求，其必然包括对目的本身的评价，而不单纯是对于手段的判断。

由此可见，适当性原则是必要性原则在适用时的先决条件，即判断手段必要性的前提是该手段有助于实现目的，因此适当性可以被必要性所吸收，从而将“比例原则”压缩为两个子原则。狭义“比例原则”的判断内容具有伦理色彩，可将其与审查处理个人信息行为的“正当”原则相联系;此外，近年来受到美国三重审查基准的影响，有些学者对“比例原则”的诠释也作出调整，在三大派生子原则外增加“目的正当性原则”，意即所欲达到的目的须正当。综上，“比例原则”所体现的审查步骤与审查内容，实质上可以纳入审查处理个人信息行为的“合法、正当、必要”原则之中。

在“郭兵案”中，一审法院认定野生动物世界基于年卡用户可在有效期内无限次入园畅游的实际情况，使用指纹识别、人脸识别等生物识别技术，以达到甄别年卡用户身份、提高年卡用户入园效率的目的，该行为本身符合前述法律规定的“合法、正当、必要”三原则的要求。但是合同当事人(郭兵及其妻子)在办卡时签订的是采用指纹识别方式入园的服务合同，野生动物世界收集郭兵及其妻子的人脸识别信息，未获取二人的同意，超出了必要原则的要求，不具有正当性;而除人脸识别信息之外的其他信息收集行为，符合法律规定的“合法、正当、必要”的原则。二审法院亦认定野生动物世界欲利用收集的照片扩大信息处理范围(指获取人脸识别信息)，超出事前收集目的，表明其存在侵害郭兵面部特征信息之人格利益的可能与危险(即不符合“必要”原则)。同时，鉴于野生动物世界停止使用指纹识别闸机，致使原约定的入园服务方式无法实现，故二审在原判决的基础上增判野生动物世界删除郭兵办理指纹年卡时提交的指纹识别信息(因为此时作为手段的指纹识别信息，已无助于实现作为目的的原约定的入园服务方式，不符合“比例原则”的“适当性”要求)。

“知情同意”原则的限度

前述关于处理个人信息的相关规定在确立应当遵循“合法、正当、必要”原则的同时，亦要求符合“知情同意”原则(“告知同意”原则)。当个人信息的处理超出一个社会中正常理性个体的合理预期时，个人信息的处理者必须对个体进行显著告知，确保个体理解伴随此类处理的风险，并且在此类情形中获得个体的明确授权。“知情(告知)”即要求处理个人信息的一方公开处理信息的规则，明示处理信息的目的、方式和范围，“同意”即要求征得个人信息被处理的自然人或者其监护人同意。“合法、正当、必要”原则与“知情同意”原则应结合适用，且后者要受前者的约束。因此，不能简单地以“知情同意”原则作为任何情况下不当收集个人信息的合格抗辩。

需要注意，征得同意并非处理个人信息的必要条件，民法典第一千零三十五条便为此设置了“但是法律、行政法规另有规定的除外”之但书条款。不需要征得同意的例外情况，包括合理处理该自然人自行公开的或者其他已经合法公开的信息(但是该自然人明确拒绝或者处理该信息侵害其重大利益的除外)、为维护公共利益或者该自然人合法权益合理实施的其他行为等。也就是说，对个人信息权益的主要限制在于公共利益考量。当然，如何判断此间的“合理”也是需要进一步探讨的问题。