一、非國家機(jī)關(guān)的收集和處理要件

非國家機(jī)關(guān)收集和處理個(gè)人信息的法律要件，是指非國家機(jī)關(guān)收集和處理個(gè)人信息必須滿足的法律規(guī)定條件?？v觀全球立法，對于非國家機(jī)關(guān)處理個(gè)人信息的條件規(guī)定比國家機(jī)關(guān)略為嚴(yán)苛，一般對目的外利用限制較大。非國家機(jī)關(guān)收集和處理個(gè)人信息的法律要件包括資格要件、特定目的要件和選擇性要件。

(一)資格要件

我國臺灣地區(qū)“資料法”第19條規(guī)定，非公務(wù)機(jī)關(guān)未經(jīng)目的事業(yè)主管機(jī)關(guān)依本法登記并發(fā)給執(zhí)照者，不得為個(gè)人資料之搜集、電腦處理或國際傳遞及利用。征信業(yè)及以搜集或電腦處理個(gè)人資料為主要業(yè)務(wù)之團(tuán)體或個(gè)人，應(yīng)經(jīng)目的事業(yè)主管機(jī)關(guān)許可并經(jīng)登記及發(fā)給執(zhí)照。前兩項(xiàng)之登記程序、許可要件及收費(fèi)標(biāo)準(zhǔn)，由中央目的事業(yè)主管機(jī)關(guān)定之。

非國家機(jī)關(guān)處理個(gè)人信息應(yīng)該首先取得或具有法律認(rèn)可的資格，并經(jīng)有關(guān)主管機(jī)關(guān)登記?？v觀全球個(gè)人信息保護(hù)立法，對非國家機(jī)關(guān)進(jìn)行個(gè)人信息處理的主張可分為申報(bào)主義和許可主義兩種。所謂申報(bào)主義，也稱準(zhǔn)則主義，是指非國家機(jī)關(guān)必須向有關(guān)主管機(jī)關(guān)申請，通過有關(guān)主管機(jī)關(guān)的形式審查，并予以登記發(fā)給執(zhí)照后才能收集個(gè)人信息。根據(jù)我國臺灣地區(qū)“資料法部分條文修正草案”第20條的規(guī)定，非公務(wù)機(jī)關(guān)申請書的六項(xiàng)必載事項(xiàng)為:申請人之姓名、居住所，如系法人或非法人團(tuán)體，其名稱、主事務(wù)所、分事務(wù)所或營業(yè)所;個(gè)人資料檔案名稱;個(gè)人資料檔案保有之特定目的;個(gè)人資料之類別;個(gè)人資料之范圍;個(gè)人資料檔案之保有期限。并且，同條還規(guī)定了變更登記和終止登記的處理?！皥?zhí)照”，是指為進(jìn)行個(gè)人信息處理而專門領(lǐng)取的資格證書。關(guān)于主管機(jī)關(guān)，有兩種立法例。一種是以專門的個(gè)人信息保護(hù)的監(jiān)督機(jī)關(guān)為主管機(jī)關(guān)。這種立法例有德國、法國;還有一種是不設(shè)專門的監(jiān)督機(jī)關(guān)，而由主管機(jī)關(guān)負(fù)責(zé)。我國臺灣地區(qū)是這種立法例的代表。我國臺灣地區(qū)“資料法”第19條規(guī)定，非公務(wù)機(jī)關(guān)未經(jīng)目的事業(yè)主管機(jī)關(guān)依本法登記并發(fā)給執(zhí)照者，不得為個(gè)人資料之搜集、電腦處理或國際傳遞及利用。征信業(yè)及以搜集或電腦處理個(gè)人資料為主要業(yè)務(wù)之團(tuán)體或個(gè)人，應(yīng)經(jīng)目的事業(yè)主管機(jī)關(guān)許可并經(jīng)登記及發(fā)給執(zhí)照。前兩項(xiàng)之登記程序、許可要件及收費(fèi)標(biāo)準(zhǔn)，由中央目的事業(yè)主管機(jī)關(guān)定之。

所謂許可主義，是指非國家機(jī)關(guān)向有關(guān)主管機(jī)關(guān)申請，通過有關(guān)主管機(jī)關(guān)依法進(jìn)行的實(shí)質(zhì)審查，并予以批準(zhǔn)、登記并發(fā)給執(zhí)照。許可主義具有審查煩瑣、國家干預(yù)性強(qiáng)、限制營業(yè)自由等明顯缺陷，而現(xiàn)代多以準(zhǔn)則主義為主流。我國臺灣地區(qū)欲將許可主義模式僅僅用于規(guī)范征信所業(yè)，這種做法值得借鑒。我國臺灣地區(qū)“資料法部分條文修正草案”第19條規(guī)定:征信業(yè)應(yīng)經(jīng)目的事業(yè)主管機(jī)關(guān)許可，并經(jīng)登記及發(fā)給執(zhí)照(第2款)。前兩款之登記程序、許可要件及收費(fèi)標(biāo)準(zhǔn)，由中央目的事業(yè)主管機(jī)關(guān)定之(第3款)。征信所業(yè)是直接以收集、處理和提供他方利用個(gè)人信息為主要業(yè)務(wù)的行業(yè)，危害個(gè)人信息的可能性極大，將征信所業(yè)與其他非國家機(jī)關(guān)區(qū)別對待有其合理性。

(二)特定目的要件

我國臺灣地區(qū)“資料法”第18條規(guī)定:“非公務(wù)機(jī)關(guān)對個(gè)人資料之搜集和電腦處理，非有特定目的，并符合下列情形之一者，不得為之。”根據(jù)目的限制原則，非國家機(jī)關(guān)處理個(gè)人信息必須遵守特定目的的拘束，不能超越特定目的去收集、傳輸和利用個(gè)人信息。然而，在現(xiàn)行的電子商務(wù)的境況下，網(wǎng)站對個(gè)人信息的收集已經(jīng)到了幾近瘋狂的程度，要求網(wǎng)絡(luò)用戶填寫各式各樣的個(gè)人信息，加重了網(wǎng)絡(luò)用戶的負(fù)擔(dān)，也帶來了人們對個(gè)人信息安全的普遍疑慮。而網(wǎng)站贏利的途徑有二:一是廣告費(fèi)用，這個(gè)靠點(diǎn)擊率來保障;二是個(gè)人信息數(shù)據(jù)庫銷售費(fèi)用，這個(gè)就要靠個(gè)人信息的數(shù)量和質(zhì)量了。目前，網(wǎng)站通常盡可能收集網(wǎng)絡(luò)用戶的所有信息，以儲備為將來之財(cái)。這明顯是違背特定目的要件的。

(三)五大選擇性要件

非國家機(jī)關(guān)的個(gè)人信息收集和處理，除滿足資格要件和特定目的要件外，還需要滿足五大選擇性要件中的任意一個(gè)。我國臺灣地區(qū)“資料法”第18條規(guī)定:非公務(wù)機(jī)關(guān)對個(gè)人資料之搜集和電腦處理，非有特定目的，并符合下列情形之一者，不得為之。

(1)經(jīng)當(dāng)事人書面同意者。

(2)與當(dāng)事人有契約或類契約之關(guān)系者，而對當(dāng)事人權(quán)益無侵害之虞者。

(3)已公開之資料且無害于當(dāng)事人之重大利益者。

(4)為學(xué)術(shù)研究而有必要，且無害于當(dāng)事人之重大利益者。

(5)依本法第3條第7款第2目有關(guān)之法規(guī)及其他法律有特別規(guī)定者。

信息管理者和信息主體之間最基本的關(guān)系:信息管理者控制著屬于信息主體的個(gè)人信息。也就是說，信息管理者事實(shí)上控制著屬于別人的東西。一個(gè)處理行為，滿足了主體要件和特定目的要件的基礎(chǔ)上，只有符合以下任一條件，非國家機(jī)關(guān)就可以處理個(gè)人信息。這些條件有:

1.書面同意要件

此要件同為“國家機(jī)關(guān)的收集和處理要件”中的選擇要件中的一個(gè)，不再贅述。

2.交易關(guān)系要件

交易關(guān)系要件，是指信息管理者和信息主體之間達(dá)成了交易關(guān)系的，而信息管理者為了交易的目的的實(shí)現(xiàn)得以收集和處理信息主體的個(gè)人信息。成就交易關(guān)系，信息管理者處理信息主體的個(gè)人信息，非國家機(jī)關(guān)可以對信息主體的個(gè)人信息進(jìn)行處理。“交易”并不是一個(gè)純粹的法律術(shù)語，對交易的理解并不一致。從交易的過程來看，可分為以下幾個(gè)階段:第一階段，即交易前，主要是指交易雙方在交易合同簽訂之前所進(jìn)行的一些活動，包括雙方聯(lián)絡(luò)、相互提供信息等。第二階段，即交易中，指合同階段。第三階段，即交易后，主要指在交易雙方履行合同后，仍然會存在的一定的聯(lián)系。這三個(gè)階段的行為都構(gòu)成交易，而基于這三個(gè)階段形成的關(guān)系都構(gòu)成交易關(guān)系。從法律角度看，交易形成的以上三種關(guān)系可以分為兩類:一類是合同關(guān)系。該處的合同，并不限于個(gè)人信息收集合同，而是泛指一切合同;另一類是類似合同關(guān)系，我國臺灣地區(qū)稱為“類似契約關(guān)系”。據(jù)我國臺灣地區(qū)“資料法施行細(xì)則”第32條第1款的規(guī)定，“類似契約關(guān)系”指以下兩種情形之一:(1)非公務(wù)機(jī)關(guān)與當(dāng)事人于契約成立前，為訂定契約或進(jìn)行交易為目的，所為接觸、磋商所形成之信賴關(guān)系。例如，消費(fèi)者向旅店預(yù)訂房間而提供姓名、身份證件號碼、通信方式甚或信用卡號碼等。(2)契約因無效、撤銷、解除、終止或履行而消滅時(shí)，非公務(wù)機(jī)關(guān)與當(dāng)事人為行使權(quán)利，履行義務(wù)或確保個(gè)人信息完整性之目的所形成之聯(lián)系關(guān)系。

《德國資料法》第28條規(guī)定:“有下列情形之一者，得儲存、變更或傳遞個(gè)人資料，或以利用個(gè)人資料為執(zhí)行自己業(yè)務(wù)目的之方法:(1)在與當(dāng)事人間之契約關(guān)系或類似契約之信任關(guān)系之目的范圍內(nèi)者?！迸c德國法相比，我國臺灣地區(qū)立法留給信息管理者的活動空間過大。德國法要求信息管理者必須在目的范圍內(nèi)收集、處理和利用，也就是說，必須是出于完成信息主體的基于該契約或者類似契約關(guān)系，所應(yīng)履行義務(wù)和行使權(quán)利而有必要的，才為法律所許可。而我國臺灣地區(qū)的立法，要求“對當(dāng)事人權(quán)益無侵害之虞者”，看似對“合同和類似合同關(guān)系”時(shí)的收集給予了必要限制，實(shí)際上過于寬泛和含糊，并且沒有任何可用之處，有合同或類似合同的關(guān)系存在，“非國家機(jī)關(guān)”就可以為了實(shí)現(xiàn)合同關(guān)系或者類似合同關(guān)系的目的范圍內(nèi)收集信息主體的個(gè)人信息。

3.已公開要件

已公開要件，是指信息管理者對信息主體已經(jīng)公開的個(gè)人信息可以徑行收集和處理。根據(jù)我國臺灣地區(qū)立法，這個(gè)要件包含兩個(gè)方面的內(nèi)容:第一，針對的是已經(jīng)公開的個(gè)人信息;第二，要求對信息主體的重大利益沒有損害。然而，對于已經(jīng)公開的個(gè)人信息，“非國家機(jī)關(guān)”并無不能收集和處理的道理，事實(shí)上也無法對此進(jìn)行管理和監(jiān)督，因此，后段規(guī)定多余，應(yīng)將“且無害于當(dāng)事人之重大利益者”刪除。

以是否公開為標(biāo)準(zhǔn)，個(gè)人信息可以分為公開個(gè)人信息和隱秘個(gè)人信息。公開個(gè)人信息，是指通過特定、合法的途徑可以了解和掌握的個(gè)人信息。我國臺灣地區(qū)“資料法施行細(xì)則”第32條3項(xiàng)規(guī)定:“電腦處理個(gè)人信息保護(hù)法第18條第3款所稱已公開之資料，指不特定之第三人得合法取得或知悉之個(gè)人信息?！?/p>

對于已經(jīng)公開的個(gè)人信息，其上的隱私利益不復(fù)存在，各國立法傾向于在無損于信息主體重大權(quán)益的情況下，可于目的外儲存、變更和利用。德國資料法關(guān)于“資料的儲存、變更和利用”條款規(guī)定，自一般公眾可以獲得的個(gè)人信息或已公開的個(gè)人信息，可以進(jìn)行目的外的儲存、變更或利用，除非信息主體顯然享有值得保護(hù)的重大利益?！睹绹?dú)W盟的隱私安全港原則與常涉問題(FAQ)》規(guī)定，信息主體已經(jīng)向公眾公開公布的個(gè)人信息，盡管其本身構(gòu)成敏感信息，信息處理者可以不經(jīng)過向信息主體提供明示的選擇權(quán)就可以處理某些此類信息。我國臺灣地區(qū)“資料法”第18條規(guī)定，非公務(wù)機(jī)關(guān)對于“已公開之資料且無害于當(dāng)事人之重大利益者”，可不適用目的特定原則，也就是可以進(jìn)行目的外處理。

4.學(xué)術(shù)研究要件

此要件同為“國家機(jī)關(guān)的利用要件”中的目的外利用要件中的一個(gè)，不再贅述。

5.法定要件

法定要件，是指法律和政策明確規(guī)定的非國家機(jī)關(guān)收集和處理個(gè)人信息的要件。這里的法定，同樣包括法律、法規(guī)和政策等規(guī)定。信息管理者可以依據(jù)法律和政策的明確規(guī)定，收集和處理個(gè)人信息。根據(jù)我國臺灣地區(qū)“資料法”第18條有“依本法第3條第7款第2目有關(guān)之法規(guī)及其他法律有特別規(guī)定者”的規(guī)定，該法第3條第7款第2目是關(guān)于“醫(yī)院、學(xué)校、電信業(yè)、金融業(yè)、證券業(yè)、保險(xiǎn)業(yè)及大眾傳播業(yè)”這七類非國家機(jī)關(guān)的規(guī)定。也就是說，如果醫(yī)院、學(xué)校、電信業(yè)、金融業(yè)、證券業(yè)、保險(xiǎn)業(yè)及大眾傳播業(yè)這些領(lǐng)域，國家法律或者法規(guī)有特別規(guī)定，則依照這些法律規(guī)定也可以收集和處理個(gè)人信息。這個(gè)規(guī)定和我國臺灣地區(qū)“資料法”只調(diào)整征信業(yè)和醫(yī)院、學(xué)校、電信業(yè)、金融業(yè)、證券業(yè)、保險(xiǎn)業(yè)及大眾傳播業(yè)的主體規(guī)定有關(guān)，但明顯落后于個(gè)人信息處理的實(shí)際需要。應(yīng)該排除行業(yè)限制，對于所有收集和處理個(gè)人信息的行業(yè)和機(jī)構(gòu)一概適用。因此，此要件應(yīng)為法律和政策明確規(guī)定的，信息管理者既可收集個(gè)人信息，而不必以特殊行業(yè)為限。

為了預(yù)防洗錢活動，維護(hù)金融秩序，遏制洗錢犯罪及相關(guān)犯罪，《中華人民共和國反洗錢法》第3條規(guī)定:“在中華人民共和國境內(nèi)設(shè)立的金融機(jī)構(gòu)和按照規(guī)定應(yīng)當(dāng)履行反洗錢義務(wù)的特定非金融機(jī)構(gòu)，應(yīng)當(dāng)依法采取預(yù)防、監(jiān)控措施，建立健全客戶身份識別制度、客戶身份資料和交易記錄保存制度、大額交易和可疑交易報(bào)告制度，履行反洗錢義務(wù)?！备鶕?jù)該規(guī)定，金融機(jī)構(gòu)和特定的非金融機(jī)構(gòu)應(yīng)建立和健全客戶身份識別制度和客戶身份資料和交易記錄保存制度，這些都是通過個(gè)人信息的收集完成的。

從上述要件可知，非國家機(jī)關(guān)(主要是商業(yè)機(jī)構(gòu))對于個(gè)人信息的收集有嚴(yán)格的條件限制。商業(yè)機(jī)構(gòu)收集消費(fèi)者的個(gè)人信息應(yīng)該有合同或類似合同關(guān)系，并且還應(yīng)是為了促進(jìn)合同的實(shí)現(xiàn)收集個(gè)人信息，收集范圍必須在這個(gè)目的范圍之內(nèi)，不得逾越。如果不存在合同或類似合同關(guān)系，或者在目的范圍之外收集個(gè)人信息，就必須滿足信息主體的書面同意要件、已公開要件、學(xué)術(shù)研究要件或者法定要件中的任意一個(gè)。