◆ 条文要旨

本条是对个人信息处理者不告知个人以及无法及时告知个人的规定。

◆ 理解与适用

一、规范目的

告知规则与同意规则具有紧密的关系，即凡是需要取得个人同意的个人信息处理活动即基于个人同意的处理活动，处理者都需要履行向个人的告知义务，只有在取得个人同意后，才能实施个人信息处理活动，否则该处理活动就是非法的。对此，不存在疑问。然而，个人信息处理活动的合法性根据并不仅是个人的同意，还有所谓法定许可，即法律、行政法规所规定的情形。为了既能保护个人信息权益，又能实现个人信息的合理利用，并维护公共利益、国家利益，法律和行政法规有必要规定无须取得个人同意的一些情形。《个人信息保护法》第13条第1款第2项至第7项对此作出了详细的规定。

显然，同意规则在上述法律、行政法规规定的情形中是不适用的。然而，不需要取得个人的同意，不等于不需要告知个人。换言之，即便个人信息处理者是依据法律、行政法规的规定而无须取得个人同意即可处理个人信息，也并不等于其可以不告知个人，不履行告知义务。例如，处理者为了订立或者履行个人作为一方当事人的合同而必须处理个人信息时，依据《个人信息保护法》第13条第1款第2项以及第2款的规定，可以不需要取得个人的同意。但是，处理者仍然必须履行告知义务，即在处理个人信息前，向个人告知相应的事项。再如，依据《反洗钱法》的规定，金融机构负有反洗钱义务，这是一种法定义务。故此，该法第16条规定，金融机构应当按照规定建立客户身份识别制度。金融机构在与客户建立业务关系或者为客户提供规定金额以上的现金汇款、现钞兑换、票据兑付等一次性金融服务时，应当要求客户出示真实有效的身份证件或者其他身份证明文件，进行核对并登记。由于金融机构是为了履行反洗钱这一法定义务而处理客户的个人信息，故此，该处理行为不需要取得个人的同意，但是，金融机构仍然必须履行告知义务，使作为客户的个人知道自己的个人信息被以何种方式为实现何种处理目的而处理。

之所以在无须个人同意的个人信息处理活动中，原则上也必须适用告知规则，使处理者负有告知义务，根本原因在于要贯彻落实公开透明原则，保护个人对其个人信息处理的知情权。个人信息本身无须法律保护，法律保护的只是个人信息上承载的自然人的人格尊严、人身自由等《宪法》上的基本权利以及人身财产权益等民事权益。《个人信息保护法》的根本目的就在于通过对个人信息处理行为的规范，防止因非法的个人信息处理行为而给信息主体即个人的人格尊严、人身自由等《宪法》上的基本权利以及人身权益、财产权益造成危害。大数据时代，个人信息被收集、储存、转让和使用已经成为每个自然人被嵌入其中的社会生活常态，无法改变。然而，无论是数据企业、政府部门还是其他主体，它们出于不同的目的而实施个人信息处理行为，极有可能会给个人带来各种前所未有的危险。例如，基于收集的个人信息而形成的大数据，通过算法等技术进行社会分选、歧视性对待，进而损害人格尊严的危险；再如，通过大数据和人工智能技术进行人格画像，将作为民事主体的自然人降格为客体并加以操控，进而损害人格自由等。[62]为了消除上述各种新的危险，法律上必须承认自然人对个人信息具有一种防御性的利益，并给予保护。如此才可能为信息社会的每个自然人筑起一道坚实的法律保护屏障，使之免于遭受上述危险现实化后所带来的损害。所以，《个人信息保护法》需要赋予个人对个人信息处理的知情权，使其知道为实现何种处理目的，哪些个人信息被以何种处理方式加以处理。为此，公开透明原则（The transparency principle）成为个人信息处理的一项基本原则。[63]我国《个人信息保护法》第7条规定：“处理个人信息应当遵循公开、透明原则，公开个人信息处理规则，明示处理的目的、方式和范围。”

由此可见，虽然基于公共利益等诸多考量，法律和行政法规规定了不需要取得个人同意即可处理个人信息的情形，但是，基于公开透明原则和保障个人对个人信息处理的知情权的要求，不能认为无须个人同意就等于无须向个人告知。无论是基于个人同意处理个人信息，还是依据法律、行政法规的规定处理个人信息，原则上，个人信息处理者都必须履行告知义务，即向个人告知《个人信息保护法》第17条第1款规定的事项。

二、免于告知的情形

与同意规则一样，告知规则也有不适用的情形，即在特定的情形下，处理者不负有告知的义务，但是，在个人信息处理中，免除告知义务的情形和无须同意的情形是存在差别的，前者也明显少于后者。因为个人信息处理中如果以取得个人同意作为处理行为合法的唯一根据，会极大损害个人信息的合理利用，所以法律上必须协调个人信息权益保护与个人信息的合理利用，明确各种不需要同意的具体情形。由于需要考虑的利益众多，如公共利益、法定职责、国家利益、自然人的生命健康和财产安全，所以，《个人信息保护法》等法律和行政法规上规定的不需要同意的情形就会比较多。但是，告知义务则有所不同，告知义务的履行既有利于维护个人的知情权，也不会构成对处理者实施个人信息处理活动的法律障碍。故此，法律上对免于告知的情形应当作更加严格的限制，否则就会使得个人信息的处理变得不公平和不透明，这样会产生极大的危害。此外，法律上也不应当允许处理者与个人约定免除告知义务或者通过格式条款来排除告知义务，这种做法是无效的。

比较法上对处理者免除告知义务的情形有不同的规定。有些国家或地区是在区分处理者究竟是直接从个人处收集个人信息还是非直接从个人处收集个人信息的基础上，分别对处理者免除告知义务的情形作出规定。例如，欧盟《一般数据保护条例》第13条和第14条分别对控制者从数据主体处收集个人数据和并非从数据主体处收集个人数据，分别对控制者应当提供的信息以及免于提供信息的问题作出了规定。依据第13条第4款，如果控制者是直接从数据主体处收集个人数据的，那么只有当数据主体已经获得了该条第1款至第3款列举的信息时，才免除控制者提供信息给数据主体的义务即告知义务。但是，当控制者并非从数据主体处获取个人数据的，那么依据《一般数据保护条例》第14条第5款的规定，该条第1款至第4款的规定在以下情形不适用：（1）数据主体已经获得上述信息。（2）上述信息的提供是不可能的或者是需要付出不适当的工作量，尤其是根据本条例第89条第1款的条件和保障，处理出于公共利益、科学、历史研究或数据统计目的；或者本条第1款所述的义务有可能导致处理目标无法实现或严重影响处理目标的实现。在此情况下，控制者应当采取适当的措施（包括采取公开信息的措施）保护数据主体的权利和自由以及合法利益。（3）控制者应当根据欧盟或成员国法律所规定的获取或者披露个人信息的规定，采取合适的措施保护数据主体的合法利益。（4）根据数据主体应遵守的包括保密法在内的欧盟或成员国法律规定的专业保密制度，个人数据必须保密。再如，我国台湾地区“个人资料保护法”依据处理者是直接向个人搜集个人资料抑或搜集非由当事人提供之个人资料而对告知义务的免除作出了不同的规定。依据该法第8条，在公务机关或非公务机关依该法第15条或第19条的规定向当事人搜集个人资料时，如果有下列情形之一的，可以免于告知义务：（1）依法律规定得免告知。（2）个人资料之搜集系公务机关执行法定职务或非公务机关履行法定义务所必要。（3）告知将妨害公务机关执行法定职务。（4）告知将妨害公共利益。（5）当事人明知应告知之内容。（6）个人资料之搜集非基于营利之目的，且对当事人显无不利之影响。依据该法第9条，如果公务机关或非公务机关依该法第15条或第19条规定搜集非由当事人提供之个人资料，有下列情形之一的，可以免除告知义务：（1）该法第8条第2款所列的各种情形之一。（2）当事人自行公开或其他已合法公开之个人资料。（3）不能向当事人或其法定代理人为告知。（4）基于公共利益为统计或学术研究之目的而有必要，且该资料须经提供者处理后或搜集者依其揭露方式，无从识别特定当事人者为限。（5）大众传播业者基于新闻报道之公益目的而搜集个人资料。

本书认为，区分个人信息的来源而相应地规定告知义务免除的情形有一定的合理性。因为，在处理者直接面向信息主体收集信息时，与从信息主体之外的其他来源取得个人信息时，告知义务的意义不同。直接从信息主体处收集信息，告知义务的履行能够有效地保障个人是在充分知情的前提下自愿作出同意，该义务之履行对于贯彻落实个人信息处理中的公开透明原则等具有重要意义。故此，免于告知义务的情形应当作非常严格的限制，只有当个人已经知道了告知的内容或者告知义务会损害公共利益或者妨害法定职责的履行时，才能免除告知义务。但是，如果处理者是从其他来源取得信息时，由于处理者并非直接面向个人，其有可能是从已经公开的信息中获取的个人信息，也有可能是从其他处理者那里取得个人信息。此时，如果提供个人信息给处理者的处理者已经告知个人并取得了同意，则接受者无须再行告知。如果处理者获取的是合法公开的个人信息，也无须告知并取得同意，因为对于合法公开的信息是可以合理利用的，要求处理者告知个人也没有实际意义。

我国《个人信息保护法》没有采取上述模式来分别规定处理者免除告知义务的情形。该法第18条第1款规定：“个人信息处理者处理个人信息，有法律、行政法规规定应当保密或者不需要告知的情形的，可以不向个人告知前条第一款规定的事项。”第35条规定：“国家机关为履行法定职责处理个人信息，应当依照本法规定履行告知义务；有本法第十八条第一款规定的情形，或者告知将妨碍国家机关履行法定职责的除外。”这就是说，免除告知义务的情形可以分为三类：其一，法律、行政法规规定应当保密的情形；其二，不需要告知的情形；其三，告知将妨碍国家机关履行法定职责。这三类情形下，虽然处理者都免除告知义务，但是性质上存在差别。第一种情形是法律、行政法规规定了保密的义务，故此，无论处理者是否属于国家机关，都依法负有保密义务，不仅不能告知个人，并且如果告知个人还违反了法定的保密义务，属于违法行为，应当承担法律责任。第二种情形下，所谓不需要告知的情形，只是免除了处理者的告知义务，至于处理者还是决定告知个人的，也没问题。第三种情形则仅适用于国家机关以及法律、法规授权的具有管理公共事务职能的组织为履行法定职责而处理个人信息的情形，必须是告知将妨碍法定职责的履行才可以免除告知义务。

（一）法律、行政法规规定应当保密的情形

所谓法律、行政法规规定应当保密的情形，是指基于侦查犯罪、反恐怖主义等维护公共安全、国家安全等社会公共利益和国家利益的考虑，而由法律、行政法规规定的处理者的保密义务。《保守国家秘密法》第9条规定：“下列涉及国家安全和利益的事项，泄露后可能损害国家在政治、经济、国防、外交等领域的安全和利益的，应当确定为国家秘密：（一）国家事务重大决策中的秘密事项；（二）国防建设和武装力量活动中的秘密事项；（三）外交和外事活动中的秘密事项以及对外承担保密义务的秘密事项；（四）国民经济和社会发展中的秘密事项；（五）科学技术中的秘密事项；（六）维护国家安全活动和追查刑事犯罪中的秘密事项；（七）经国家保密行政管理部门确定的其他秘密事项。政党的秘密事项中符合前款规定的，属于国家秘密。”例如，公安机关、国家安全机关或国家情报工作机构依据《反恐怖主义法》第45条、《反间谍法》第12条、《国家情报法》第15条等规定，公安机关依据《刑事诉讼法》第150条的规定，经过严格的批准手续，可以采取技术侦查措施时处理个人信息的，不仅无须经过其信息被处理的个人的同意，并且基于保密义务的规定，更不能告知个人。

（二）不需要告知的情形

《个人信息保护法》没有具体的或典型的不需要告知的情形。本书认为，所谓不需要告知的情形，至少应当包括以下几类情形：（1）作为信息主体的个人已经知悉了告知的内容，此时无须处理者告知。例如，在处理者A向处理者B提供其处理的个人信息时，根据《个人信息保护法》第23条的规定，A应当向个人告知B的身份、联系方式、处理目的、处理方式和个人信息的种类，并取得个人的单独同意。在这种情形下，由于A已经履行了告知义务，个人已经知道了告知的内容，B就无须再行告知了。（2）处理已经合法公开的个人信息。《民法典》第1036条第2项规定，合理处理该自然人自行公开的或者其他已经合法公开的信息，行为人不承担民事责任。这意味着，在处理合法公开的个人信息时，处理者不需要取得个人的同意。此时，应当认为也不需要告知个人。因为如果要求对已经合法公开的个人信息也逐一告知并取得同意，不仅成本极为巨大，难以实现，也不利于个人信息合理利用，妨碍数字经济的发展。

（三）告知将妨碍国家机关履行法定职责

这一情形主要是指虽然法律、行政法规没有规定国家机关的保密义务，但是如果处理个人信息前告知个人，就会使得国家机关无法履行法定职责。例如，依据《税收征收管理法》第54条的规定，税务机关有权检查纳税人的账簿、记账凭证、报表和有关资料，检查扣缴义务人代扣代缴、代收代缴税款账簿、记账凭证和有关资料。这种情形下，不仅处理个人的信息无须取得同意，也不需要告知，否则可能出现个人突击转移、篡改甚至销毁账簿、记账凭证、报表和有关资料，导致税务机关无法履行税收征收管理的法定职责。为了防止随意以告知将“妨碍国家机关履行法定职责”为由，不履行告知义务，未来我国法律法规还是有必要对妨碍国家机关履行法定职责的情形予以明确。

三、无法告知的情形

《个人信息保护法》第13条第1款第4项规定，紧急情况下为保护自然人的生命健康和财产安全所必需时，无须取得个人的同意。但是，这种情形并不意味着个人信息处理者就可以不告知个人。同时，考虑到既然是紧急情况，那么就有必要及时向个人进行告知，故此，依据《个人信息保护法》第18条第2款，紧急情况下为保护自然人的生命健康和财产安全无法及时向个人告知的，个人信息处理者应当在紧急情况消除后及时告知。具体而言，首先，被保护的自然人可能是个人信息被处理的个人，也可能是其他的自然人。其次，必须是紧急情况下为保护自然人的生命健康和财产安全所必需的，例如，八岁的痴呆儿童A离家出走，被B公安机关的民警找到，找到时A被严重冻伤，情况危急，B公安机关将A送到医院后，急需联系到其家人。此时，公安机关将儿童的相貌等个人信息在电视台和网络上公开，以寻找其家人。最后，紧急情况后还是应当及时告知，从而维护个人对其个人信息处理享有的知情权。

◆ 相关规定

《民法典》第1036条；《保守国家秘密法》第9条；《反恐怖主义法》第45条；《反间谍法》第12条；《国家情报法》第15条；《刑事诉讼法》第150条