非国家机关的收集和处理要件

一、非国家机关的收集和处理要件

非国家机关收集和处理个人信息的法律要件，是指非国家机关收集和处理个人信息必须满足的法律规定条件。纵观全球立法，对于非国家机关处理个人信息的条件规定比国家机关略为严苛，一般对目的外利用限制较大。非国家机关收集和处理个人信息的法律要件包括资格要件、特定目的要件和选择性要件。

(一)资格要件

我国台湾地区“资料法”第19条规定，非公务机关未经目的事业主管机关依本法登记并发给执照者，不得为个人资料之搜集、电脑处理或国际传递及利用。征信业及以搜集或电脑处理个人资料为主要业务之团体或个人，应经目的事业主管机关许可并经登记及发给执照。前两项之登记程序、许可要件及收费标准，由中央目的事业主管机关定之。

非国家机关处理个人信息应该首先取得或具有法律认可的资格，并经有关主管机关登记。纵观全球个人信息保护立法，对非国家机关进行个人信息处理的主张可分为申报主义和许可主义两种。所谓申报主义，也称准则主义，是指非国家机关必须向有关主管机关申请，通过有关主管机关的形式审查，并予以登记发给执照后才能收集个人信息。根据我国台湾地区“资料法部分条文修正草案”第20条的规定，非公务机关申请书的六项必载事项为:申请人之姓名、居住所，如系法人或非法人团体，其名称、主事务所、分事务所或营业所;个人资料档案名称;个人资料档案保有之特定目的;个人资料之类别;个人资料之范围;个人资料档案之保有期限。并且，同条还规定了变更登记和终止登记的处理。“执照”，是指为进行个人信息处理而专门领取的资格证书。关于主管机关，有两种立法例。一种是以专门的个人信息保护的监督机关为主管机关。这种立法例有德国、法国;还有一种是不设专门的监督机关，而由主管机关负责。我国台湾地区是这种立法例的代表。我国台湾地区“资料法”第19条规定，非公务机关未经目的事业主管机关依本法登记并发给执照者，不得为个人资料之搜集、电脑处理或国际传递及利用。征信业及以搜集或电脑处理个人资料为主要业务之团体或个人，应经目的事业主管机关许可并经登记及发给执照。前两项之登记程序、许可要件及收费标准，由中央目的事业主管机关定之。

所谓许可主义，是指非国家机关向有关主管机关申请，通过有关主管机关依法进行的实质审查，并予以批准、登记并发给执照。许可主义具有审查烦琐、国家干预性强、限制营业自由等明显缺陷，而现代多以准则主义为主流。我国台湾地区欲将许可主义模式仅仅用于规范征信所业，这种做法值得借鉴。我国台湾地区“资料法部分条文修正草案”第19条规定:征信业应经目的事业主管机关许可，并经登记及发给执照(第2款)。前两款之登记程序、许可要件及收费标准，由中央目的事业主管机关定之(第3款)。征信所业是直接以收集、处理和提供他方利用个人信息为主要业务的行业，危害个人信息的可能性极大，将征信所业与其他非国家机关区别对待有其合理性。

(二)特定目的要件

我国台湾地区“资料法”第18条规定:“非公务机关对个人资料之搜集和电脑处理，非有特定目的，并符合下列情形之一者，不得为之。”根据目的限制原则，非国家机关处理个人信息必须遵守特定目的的拘束，不能超越特定目的去收集、传输和利用个人信息。然而，在现行的电子商务的境况下，网站对个人信息的收集已经到了几近疯狂的程度，要求网络用户填写各式各样的个人信息，加重了网络用户的负担，也带来了人们对个人信息安全的普遍疑虑。而网站赢利的途径有二:一是广告费用，这个靠点击率来保障;二是个人信息数据库销售费用，这个就要靠个人信息的数量和质量了。目前，网站通常尽可能收集网络用户的所有信息，以储备为将来之财。这明显是违背特定目的要件的。

(三)五大选择性要件

非国家机关的个人信息收集和处理，除满足资格要件和特定目的要件外，还需要满足五大选择性要件中的任意一个。我国台湾地区“资料法”第18条规定:非公务机关对个人资料之搜集和电脑处理，非有特定目的，并符合下列情形之一者，不得为之。

(1)经当事人书面同意者。

(2)与当事人有契约或类契约之关系者，而对当事人权益无侵害之虞者。

(3)已公开之资料且无害于当事人之重大利益者。

(4)为学术研究而有必要，且无害于当事人之重大利益者。

(5)依本法第3条第7款第2目有关之法规及其他法律有特别规定者。

信息管理者和信息主体之间最基本的关系:信息管理者控制着属于信息主体的个人信息。也就是说，信息管理者事实上控制着属于别人的东西。一个处理行为，满足了主体要件和特定目的要件的基础上，只有符合以下任一条件，非国家机关就可以处理个人信息。这些条件有:

1.书面同意要件

此要件同为“国家机关的收集和处理要件”中的选择要件中的一个，不再赘述。

2.交易关系要件

交易关系要件，是指信息管理者和信息主体之间达成了交易关系的，而信息管理者为了交易的目的的实现得以收集和处理信息主体的个人信息。成就交易关系，信息管理者处理信息主体的个人信息，非国家机关可以对信息主体的个人信息进行处理。“交易”并不是一个纯粹的法律术语，对交易的理解并不一致。从交易的过程来看，可分为以下几个阶段:第一阶段，即交易前，主要是指交易双方在交易合同签订之前所进行的一些活动，包括双方联络、相互提供信息等。第二阶段，即交易中，指合同阶段。第三阶段，即交易后，主要指在交易双方履行合同后，仍然会存在的一定的联系。这三个阶段的行为都构成交易，而基于这三个阶段形成的关系都构成交易关系。从法律角度看，交易形成的以上三种关系可以分为两类:一类是合同关系。该处的合同，并不限于个人信息收集合同，而是泛指一切合同;另一类是类似合同关系，我国台湾地区称为“类似契约关系”。据我国台湾地区“资料法施行细则”第32条第1款的规定，“类似契约关系”指以下两种情形之一:(1)非公务机关与当事人于契约成立前，为订定契约或进行交易为目的，所为接触、磋商所形成之信赖关系。例如，消费者向旅店预订房间而提供姓名、身份证件号码、通信方式甚或信用卡号码等。(2)契约因无效、撤销、解除、终止或履行而消灭时，非公务机关与当事人为行使权利，履行义务或确保个人信息完整性之目的所形成之联系关系。

《德国资料法》第28条规定:“有下列情形之一者，得储存、变更或传递个人资料，或以利用个人资料为执行自己业务目的之方法:(1)在与当事人间之契约关系或类似契约之信任关系之目的范围内者。”与德国法相比，我国台湾地区立法留给信息管理者的活动空间过大。德国法要求信息管理者必须在目的范围内收集、处理和利用，也就是说，必须是出于完成信息主体的基于该契约或者类似契约关系，所应履行义务和行使权利而有必要的，才为法律所许可。而我国台湾地区的立法，要求“对当事人权益无侵害之虞者”，看似对“合同和类似合同关系”时的收集给予了必要限制，实际上过于宽泛和含糊，并且没有任何可用之处，有合同或类似合同的关系存在，“非国家机关”就可以为了实现合同关系或者类似合同关系的目的范围内收集信息主体的个人信息。

3.已公开要件

已公开要件，是指信息管理者对信息主体已经公开的个人信息可以径行收集和处理。根据我国台湾地区立法，这个要件包含两个方面的内容:第一，针对的是已经公开的个人信息;第二，要求对信息主体的重大利益没有损害。然而，对于已经公开的个人信息，“非国家机关”并无不能收集和处理的道理，事实上也无法对此进行管理和监督，因此，后段规定多余，应将“且无害于当事人之重大利益者”删除。

以是否公开为标准，个人信息可以分为公开个人信息和隐秘个人信息。公开个人信息，是指通过特定、合法的途径可以了解和掌握的个人信息。我国台湾地区“资料法施行细则”第32条3项规定:“电脑处理个人信息保护法第18条第3款所称已公开之资料，指不特定之第三人得合法取得或知悉之个人信息。”

对于已经公开的个人信息，其上的隐私利益不复存在，各国立法倾向于在无损于信息主体重大权益的情况下，可于目的外储存、变更和利用。德国资料法关于“资料的储存、变更和利用”条款规定，自一般公众可以获得的个人信息或已公开的个人信息，可以进行目的外的储存、变更或利用，除非信息主体显然享有值得保护的重大利益。《美国—欧盟的隐私安全港原则与常涉问题(FAQ)》规定，信息主体已经向公众公开公布的个人信息，尽管其本身构成敏感信息，信息处理者可以不经过向信息主体提供明示的选择权就可以处理某些此类信息。我国台湾地区“资料法”第18条规定，非公务机关对于“已公开之资料且无害于当事人之重大利益者”，可不适用目的特定原则，也就是可以进行目的外处理。

4.学术研究要件

此要件同为“国家机关的利用要件”中的目的外利用要件中的一个，不再赘述。

5.法定要件

法定要件，是指法律和政策明确规定的非国家机关收集和处理个人信息的要件。这里的法定，同样包括法律、法规和政策等规定。信息管理者可以依据法律和政策的明确规定，收集和处理个人信息。根据我国台湾地区“资料法”第18条有“依本法第3条第7款第2目有关之法规及其他法律有特别规定者”的规定，该法第3条第7款第2目是关于“医院、学校、电信业、金融业、证券业、保险业及大众传播业”这七类非国家机关的规定。也就是说，如果医院、学校、电信业、金融业、证券业、保险业及大众传播业这些领域，国家法律或者法规有特别规定，则依照这些法律规定也可以收集和处理个人信息。这个规定和我国台湾地区“资料法”只调整征信业和医院、学校、电信业、金融业、证券业、保险业及大众传播业的主体规定有关，但明显落后于个人信息处理的实际需要。应该排除行业限制，对于所有收集和处理个人信息的行业和机构一概适用。因此，此要件应为法律和政策明确规定的，信息管理者既可收集个人信息，而不必以特殊行业为限。

为了预防洗钱活动，维护金融秩序，遏制洗钱犯罪及相关犯罪，《中华人民共和国反洗钱法》第3条规定:“在中华人民共和国境内设立的金融机构和按照规定应当履行反洗钱义务的特定非金融机构，应当依法采取预防、监控措施，建立健全客户身份识别制度、客户身份资料和交易记录保存制度、大额交易和可疑交易报告制度，履行反洗钱义务。”根据该规定，金融机构和特定的非金融机构应建立和健全客户身份识别制度和客户身份资料和交易记录保存制度，这些都是通过个人信息的收集完成的。

从上述要件可知，非国家机关(主要是商业机构)对于个人信息的收集有严格的条件限制。商业机构收集消费者的个人信息应该有合同或类似合同关系，并且还应是为了促进合同的实现收集个人信息，收集范围必须在这个目的范围之内，不得逾越。如果不存在合同或类似合同关系，或者在目的范围之外收集个人信息，就必须满足信息主体的书面同意要件、已公开要件、学术研究要件或者法定要件中的任意一个。