陳文煊 吳東霖 向帆

目 錄

上篇
一 什麽樣的信息屬於受法律保護的個人信息？
二 個人信息是什麽性質的權益？其與隱私權等具體人格權是什麽關系？
三 個人信息保護的義務主體和義務類型有哪些？
四 個人信息糾紛法律適用中的利益平衡原則指什麽？“知情同意”壹般規則為何存在例外？
五 個人信息糾紛案件的地域管轄規則有何特殊性？

下篇
六 是否應當賦予個人信息主體以人格權請求權？
七 個人信息的敏感程度對案件審理有何影響？
八 個人信息是否存在合理使用制度？有哪些構成合理使用的情形？
九 兩個以上義務主體之間共同責任的類型有哪些？
十 損害賠償如何計算？

個人信息保護是全球當下最具熱度的話題之壹。壹方面，國外大規模的個人信息泄露事件和爭端初現端倪，如Facebook因2018年“選舉門”面臨多項指控和調查，頂級酒店集團萬豪國際（Marriott International）因泄露會員數據被英國監管機構處以9900萬英鎊罰款；另壹方面，中國互聯網公司與用戶之間的爭議也日益增多，從2014年的朱某訴百度cookie“偷窺”用戶上網蹤跡案，到2017年龐某訴“去哪兒”網和東航泄露訂票信息案，到2019年仍處於在審理過程中的劉某訴“開心消消樂”APP運營方過度索權案，再到AI換臉軟件ZAO的個人信息和隱私合規事件，反映了科技進步、互聯網大數據行業迅猛發展同個人信息安全、個人隱私保護之間的內在微妙關系。對此，各國的立法者也迅速作出了回應。歐盟於2017年出臺了《通用數據保護條例》（GDPR），美國加州2018年頒布了被稱為“史上最嚴厲的個人信息保護法”的《加州消費者隱私法案》（CCPA）；在中國，與個人信息保護有關的規範性法律文件如雨後春筍，從2012年全國人大常委會頒布《關於加強網絡信息保護的決定》，到2017年的《網絡安全法》和《民法總則》這兩部正式法律的加持，再到學術界在2019年提出的專門針對個人信息糾紛征求意見的《關於審理個人信息糾紛案件適用法律若幹問題的解釋（學者建議稿）》（ “《個人信息糾紛司法解釋建議稿》”），無壹不顯示出頂層設計者對於該問題的重視。

在大數據產業發展不斷提速、互聯網對國民經濟的滲透逐步加深、個人信息糾紛日趨復雜化的今天，有必要對這種新型糾紛所涉及的法律問題進行梳理和探討，以回應社會和經濟發展對立法、司法和執法日益迫切的需求。本文擬從民事訴訟的視角，對個人信息糾紛中的重點爭議問題進行探討。

一、什麽樣的信息屬於受法律保護的個人信息？

個人信息保護壹直以來都是國家維護網絡安全、保護消費者權益、監管電信和互聯網行業以及打擊犯罪的重要主題，它雖然體現在眾多規範性文件之中，但始終沒有落地為自然人可以獨立主張的民事權利或權益。直到2017年實施的《民法總則》第111條明確規定了“自然人的個人信息受法律保護”，自此才正式將個人信息作為壹類獨立的、具有兜底性質的民事權益¹納入民法保護的體系。在此基礎上，自然人單獨就個人信息提起訴訟才有了明確的請求權基礎。

然而，並非壹切與個人有關的信息都屬於《民法總則》承認和保護的“個人信息”。哪些屬於法律保護的個人信息、依法應當符合何種條件等問題，《民法總則》沒有給出明確的回答，但這卻是提起個人信息糾紛訴訟的前提。對此，其他規範性文件的規定可資參考。

《網絡安全法》第76條規定：“個人信息，是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別自然人個人身份的各種信息，包括但不限於自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等。”《最高人民法院、最高人民檢察院關於辦理侵犯公民個人信息刑事案件適用法律若幹問題的解釋》第1條規定：“刑法第二百五十三條之壹規定的‘公民個人信息’，是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人身份或者反映特定自然人活動情況的各種信息，包括姓名、身份證件號碼、通信通訊聯系方式、住址、賬號密碼、財產狀況、行蹤軌跡等。”

上述規範對個人信息的概念采取了概括定義加開放列舉的方式加以界定。不難看出，受法律保護的個人信息應當具備以下要件：（1）相關性，即特定信息與特定自然人之間具有聯系因素；（2）可識別性，即他人對該特定信息與該特定自然人之間聯系因素的辨認，這種識別既可以是直接的，也可以是通過其他信息及環境因素間接指向具體個人；（3）滿足特定形式，即以電子或其他方式記錄。其中，“可識別性”是核心。

對於個人信息的定義，有三個需要特別關註的問題：

1. 個人信息是相當寬泛的概念，包括自然人的姓名、肖像、出生日期、民族、婚姻狀況、家庭狀況、教育背景、工作履歷、健康信息、財務狀況、行動軌跡等，上述法律條文並沒有窮盡所有的個人信息類型，只要滿足個人信息構成要件的“三性”，均可能構成受保護的個人信息。

2. 就“可識別性”而言，除姓名、肖像、身份證號等之外，大量需要與其他信息相結合才能夠識別到個人身份的信息是否可以單獨構成個人信息？我們認為，“可識別性”是個人信息的核心特征，如果某信息單獨不能識別到自然人個人身份，需要和其他信息相結合才能識別到個人身份，那麽只有結合之後的全部信息整體才能構成個人信息。例如，入學時間本身作為獨立的信息，如果不能對應到特定的個人，則未必構成個人信息；但是，壹旦和姓名相結合，則形成了可識別的個人教育背景，很可能對應到具體的個人，從而滿足個人信息的構成要件。

3. 由第2點可以進壹步推論：第壹，在實踐中，所結合的信息種類越多、信息量越大，整體上的可識別性就越強，就越可能構成個人信息；第二，當權利人主張的個人信息的內容包括多項信息、且被控行為也包含多項信息時，往往不需要將多項信息拆開分別審理其是否屬於個人信息，而只需要將多項信息作為壹個整體來作出評判。例如，當涉案信息包括姓名、年齡、性別、工作單位等類型時，則無需再單獨討論年齡是否屬於個人信息、性別是否屬於個人信息、工作單位是否屬於個人信息，而是打包判斷四類信息在整體上是否構成個人信息。

二、個人信息是什麽性質的權益？其與隱私權等具體人格權是什麽關系？

以往涉及個人信息的糾紛主要以侵害隱私權、姓名權、名譽權等侵權案由的形式出現，鮮見以個人信息糾紛案由出現的案件。目前，中國裁判文書網上可以檢索到的適用《民法總則》第111條的公開案例只有1個²。壹方面，這是因為個人信息保護仍屬於“新生事物”，無論對於權利人、使用人，還是對於法院來說，仍有許多具體問題尚需討論；另壹方面，也說明了個人信息與隱私權、姓名權、名譽權等具體人格權具有緊密聯系，存在壹定的關聯乃至競合關系。

然而，如何認識個人信息與隱私權等具體人格權的關系，是否以個人信息糾紛為由提起訴訟，是解決有關爭議首先要確定的問題。

首先，個人信息與隱私權等在性質上都屬於人格權。有學者認為，“法律對自然人個人信息予以保護，本質上是保護其人格利益，包括人的尊嚴和自由。自然人對於其自身的個人信息，無論是單壹的還是集合的，其直接經濟價值是可以忽略不計的”，這是因為“對自然人而言，其所在意並應當得到保護的是人格利益。商業化利益通常只有通過大量的個人信息（數據）收集加工後進行利用才能實現，此時的信息（數據）往往已經不是個人信息，或者其商業化價值不依賴於個別個人的個人信息而實現，故而作為個人信息主體的自然人往往無法從自己的個人信息中直接得到經濟（商業）利益。”³我們贊同這壹觀點，即自然人享有的“個人信息權益”主要是壹種人格利益而非財產利益，其應受法律保護的正當性基礎也主要在於保證自然人尊嚴和自由的實現。這壹性質決定了就單純侵犯個人信息、不涉及非法利用個人信息造成其他人身或者財產損害的行為而言，救濟方式壹般僅限於人格利益的救濟方式，在損害賠償救濟方面，壹般也主要限於精神損害賠償。

其次，個人信息與隱私權等在內容上具有交叉重合的關系。個人隱私是指自然人不願公開的、針對其個人的、與公共利益無關的個人信息、私人活動和私有領域。其要件有三：（1）客觀上尚未公開；（2）主觀上自然人不願他人知曉，具有較強的主觀色彩；（3）內容為不涉及公共利益的個人信息、私人活動或私有領域。由此可見，個人信息與個人隱私的重合部分可以稱為隱私信息，即自然人不願為他人知曉的個人信息，如病史、犯罪記錄等；個人信息中的聯系方式、住址等如果已經被公開，則不屬於個人隱私範疇；而個人隱私中的私人活動、私有領域等不是以電子或其他形式記錄下來的信息，不滿足個人信息的形式要求。至於自然人的姓名、肖像等，則可能同時構成姓名權、肖像權和個人信息的客體。

個人信息與隱私權等其他具體人格權的這壹相互關系，決定了在某些情況下存在法律責任的競合以及請求權競合。在實務中，從裁判順位上來說，我們傾向於認為個人信息更類似於壹般人格利益的地位，也即如果隱私權、姓名權、肖像權等足以為權利主體提供保護，那麽請求人不必再訴諸個人信息的請求權基礎主張保護。如果原告堅持同時主張個人信息和其他具體人格權，或者僅僅主張個人信息，則可適用或者參照適用具體人格權的相關裁判規則。

 

（圖：個人信息與個人隱私、其他具體人格權客體的關系）

值得註意的是，實踐中爭議較大的壹個問題是，個人的姓名、肖像等既屬於個人信息的保護客體、也屬於具體人格權的保護客體，如果判定不構成姓名權、肖像權等侵權行為，是否仍然有可能構成對個人信息的侵害？此問題較為復雜，我們將另文討論。

再次，個人信息與隱私權等在司法救濟上具有不同的定位。隱私權等具體人格權是法定民事權利，強調的是自然人對其姓名、肖像、隱私等人格利益的支配和對他人不當入侵的制止及恢復。“個人信息權益”則是在此基礎上對人格利益的延伸保護。與姓名、肖像、隱私信息相比，在二者不重疊的部分，個人信息的人格利益屬性相對較弱，但其被用作侵害他人人身、財產權益的工具或入口的風險卻較高。換言之，個人信息受到侵害的嚴重後果有時並不指向侵害個人信息本身（如未經授權/同意收集、使用個人信息），而在於收集、使用個人信息或者個人信息泄露之後行為人所進壹步實施的侵犯信息主體的其他人身或者財產權利的行為。例如，A非法收集了個人隱私信息，因存儲不當，B獲得了該信息並非法轉讓給C，C根據B提供的信息實施了搶劫、盜竊、強奸、詐騙等嚴重犯罪行為。在此例子中， A或者B實施的行為本身均不足以造成嚴重後果，但A和B的行為是導致C實施重大人身、財產侵害行為的條件和原因力。單就侵犯個人信息權益行為本身而言（即上述例子中A或者B的行為），其損害主要涉及兩個方面，壹方面是其他合法權益受侵害的風險或者可能性增加，另壹方面是主體對其他合法權益受侵害的擔憂加深、從而受到精神上的困擾。例如個人信息被泄露後，並不必然產生危及個人人身、財產權益的後果，但個人信息主體的合法權益受到侵害的風險由此顯著上升，了解信息被泄露的民眾也由此產生了恐慌心理，造成擔心個人信息被非法利用的緊張感，產生對個人人身和財產安全的憂慮、對所期待掌控的信息失控所產生的冒犯感和憤怒感等。

綜上，我們認為，法律對個人信息的保護，旨在防範對人格和財產的抽象加害危險，構成人格利益和財產利益的前置保護性規範，同時它也有獨立的價值，承擔著對個人人格利益和精神安寧利益進行保障的功能。

三、個人信息保護的義務主體和義務類型有哪些？

“個人信息權益”雖然是壹項具有人身屬性、支配屬性的權益，但自然人對其個人信息的控制力不是絕對的。自然人要與社會進行信息交換，個人信息就無可避免地被他人持有、處理和使用，並在壹定範圍內被傳播。極端地，某些個人信息存在的重要意義就在於使用、分享和傳播，例如個人的姓名等。因此，作為硬幣的兩面，“個人信息權益”的支配效力，以及在社會生產、生活、交往的各個環節中個人信息控制者承擔的義務，應當根據具體的個人信息的屬性及其使用方式、使用目的、使用範圍等情形，結合個人利益、社會公共利益、公序良俗的基本原則，來準確地界分其邊界。

《民法總則》第111條後半段規定：“任何組織和個人需要獲取他人個人信息的，應當依法取得並確保信息安全，不得非法收集、使用、加工、傳輸他人個人信息，不得非法買賣、提供或者公開他人個人信息。”該條對個人信息義務主體及其義務進行了原則性規定，即：（1）個人信息義務主體為需要獲取他人個人信息的任何組織和個人；（2）個人信息義務包括依法取得、確保信息安全和不得非法利用三大方面。

關於個人信息義務的具體內容，更早實施的《全國人民代表大會常務委員會關於加強網絡信息保護的決定》（ 下稱“《決定》”）第1至4條進行了細致的規定，其貫穿了個人信息收集、存儲、使用和向他人提供的完整周期，成為後來《網絡安全法》等其他規範性法律文件的範例。⁴此外，最新的《個人信息糾紛司法解釋建議稿》甚至還在第4條特別規定了國家機關及其工作人員因泄露或非法提供個人信息應當承擔民事責任⁵。

從現行法的規定來看，個人信息義務主體既包括任何需要獲取個人信息的信息收集者、存儲者和使用者（ 下稱“信息控制者”），也包括不特定第三人；個人信息義務既包括依法收集、確保安全等作為義務，也包括不得公開和非法使用等不作為義務。結合《民法總則》第111條等有關規定，個人信息義務主體及其義務種類可以初步概括為下表：

 

值得註意的是，上表概括的內容屬於壹般原則，義務主體的作為義務、不作為義務也存在著許多例外。

四、個人信息糾紛法律適用中的利益平衡原則指什麽？“知情同意”壹般規則為何存在例外？

由於“個人信息權益”的行使涉及眾多的個人信息義務主體和繁復的個人信息義務，而在當今信息社會，個人信息既是大數據分析和應用的來源，也是社會管理的基礎。如何處理個人信息保護與科技發展和公共利益的關系，成為立法者、裁判者和執法者必須要回答的問題。

我們認為，壹方面，個人信息與每壹個人息息相關，它包含著主體識別性信息，與個人生命權、健康權、人身自由等人身、財產權高度關聯。個人信息的泄露和非法使用，輕則導致個人的安寧被打擾、破壞，重則為侵犯人身和財產的惡性行為提供便利條件。同時，個人信息有時還承載著個人的榮譽、尊嚴、聲望、隱私等要素。因此，保護個人信息，既是法律的要求，也是社會道德倫理的要求。

另壹方面，在數字經濟時代，通過大數據畫像，收集和利用個人信息的企業和其他主體可以更好地建立“數字孿生”，通過大數據分析和運用的工具和系統，更好地降低交易成本、提升用戶體驗、創造社會財富。應當說，個人信息的利用是數字經濟發展的基石之壹。個人信息主體與信息控制者之間並非二元對立的關系；相反，個人信息利用得當，反過來便利了提供信息的個體，使其獲得更好的服務、更多物美價廉的商品，提高了效率並極大地改善了用戶體驗等。大數據是數據經濟的“水電煤”，本身具有交換價值和使用價值。數據產業的蓬勃發展和數據交易市場的完善，有利於資源的優化配置，增進消費者的福利。

所有的權利都存在被侵害的風險，同時也存在被濫用的風險。個人信息的保護離不開個人的努力，更離不開信息收集、使用、存儲、交易者的努力。任何個人信息糾紛訴訟，都可能深刻地影響市場的經濟活動規則。在此情況下，在制定有關裁判規則、審理有關個人信息糾紛案件時，我們認為應當在維持利益平衡的基礎上，協調公民個人信息的保護、公共利益的促進及產業的進步和發展的關系：既註意個人信息的保護，尤其針對敏感度高、較為脆弱、侵害後果嚴重的個人信息，形成多層次立體保護的態勢，也要避免壹刀切的做法，避免過度賦權自然人用戶，給信息收集和利用者施加過重的責任，以致於限制相關產業的發展，影響廣大用戶利益，導致個人濫訴盛行。要始終確保個人信息糾紛訴訟以公平、經濟、利益平衡的方式得以妥善處理。

例如，司法實踐中發生過多起因銀行錯誤登記個人征信信息或沒有及時刪除不良信息，導致當事人無法辦理貸款、降低內部評價等後果，被當事人起訴更改或刪除個人信息的案例⁶。在個人征信的場景下，個人信息義務主體負有如實、準確、完整錄入個人信息，當發現錯誤時，其負有及時更正或刪除的義務。然而，在某些互聯網場景下，個人信息的準確性要求並不高，如果壹概賦予用戶個人信息“完整權”、“變更權”、“被遺忘權”，可能既無必要，也容易導致社會資源的浪費、個人與信息產業之間的利益失衡。

又如，在個人信息的收集和使用過程中，“知情同意”雖然是原則，但具有大量的例外。“知情同意”的具體方式也應具體視個人信息的性質、敏感程度、使用方式、使用目的和使用範圍而定。無論是最高人民法院的相關司法解釋⁷，還是我國涉及到用戶個人信息保護的相關國家標準⁸，抑或是歐盟GDPR中所規定的“正當利益例外”（Legitimate Interest Exception）⁹，均認為並非在任何情況下，對於個人信息的收集、使用都需要嚴格地履行信息主體“知情同意”的義務。例如，iPhone的“照片”App提供照片自動分類功能（如根據面部特征把每個人的照片整理到壹起，或根據拍攝地點定位進行整理等），這壹數據使用方式雖然沒有得到用戶的明示同意，但客觀上沒有侵犯用戶隱私，還能提升用戶體驗，就不具有可責性。

五、個人信息糾紛案件的地域管轄規則有何特殊性？

《最高人民法院關於審理利用信息網絡侵害人身權益民事糾紛案件適用法律若幹問題的規定》第2條規定：“利用信息網絡侵害人身權益提起的訴訟，由侵權行為地或者被告住所地人民法院管轄。侵權行為實施地包括實施被訴侵權行為的計算機等終端設備所在地，侵權結果發生地包括被侵權人住所地。”《 最高人民法院關於適用〈中華人民共和國民事訴訟法〉的解釋》第25條進壹步擴展到了整個網絡侵權行為：“信息網絡侵權行為實施地包括實施被訴侵權行為的計算機等信息設備所在地，侵權結果發生地包括被侵權人住所地。”可見，上述規定將原告住所地解釋為侵權結果發生地，進而將其納入了管轄連接點。這壹規則在網絡侵權的語境下有其合理性，原因在於網絡消除了地域分隔，使得侵權結果實際上能夠在全國範圍內產生和傳播，其中也包括原告住所地。

這壹規則同樣適用於個人信息糾紛，蓋因個人信息的收集、存儲和使用大都離不開計算機和互聯網（上世代的電話號碼簿或黃頁也已經逐漸電子化），個人信息糾紛也應當被歸類為利用信息網絡侵害人身權益民事糾紛的壹種新形態。據此，《個人信息糾紛司法解釋建議稿》第2條規定：“因個人信息被非法收集、使用引發糾紛提起的訴訟，由被告住所地或者侵權行為地人民法院管轄。侵權行為地包括侵權行為實施地、侵權結果發生地。侵權行為實施地包括實施被訴侵權行為的計算機等信息設備所在地,侵權結果發生地包括被侵權人住所地。”

然而，與壹般網絡侵權糾紛隨機發生和頻次較低的特征不同，個人信息控制者掌握的數據信息量涉及數以萬計的自然人，壹旦發生信息泄露等情況，可能導致的糾紛數量十分可觀。如果位於不同地域的數個原告都選擇在其住所地起訴，那麽會造成數個法院同時審理針對同壹被告且涉及同壹事實的個人信息糾紛案件的情況，既不符合訴訟的經濟原則，也可能出現由於裁判標準的差異導致的“同案不同判”的矛盾。

有鑒於此，為了節約訴訟成本、保障裁判標準和案件審理結果的壹致性，我們建議在程序設置上允許經當事人申請或者法院主動移送，將多個基於同壹事實的訴集中到最方便管轄的法院，如原告最為集中的區域所在地法院，或者被告住所地法院，或者最先受理、並已經進行了實質性審理的法院壹並審理並作出統壹判決。

________________________________________

【註釋】¹ 就民法總則對個人信息的保護是壹種權利還是權益，民法學者之間尚存有不同意見。² 孫偉傑訴魯山縣農村信用合作聯社個人信息糾紛案【（2017）豫0423民初3728號】。³ 張新寶：“《民法總則》個人信息保護條文研究”，載《中外法學》2019年第1期。⁴《決定》第1條第2款規定：“任何組織和個人不得竊取或者以其他非法方式獲取公民個人電子信息，不得出售或者非法向他人提供公民個人電子信息。”第2條規定：“網絡服務提供者和其他企業事業單位在業務活動中收集、使用公民個人電子信息，應當遵循合法、正當、必要的原則，明示收集、使用信息的目的、方式和範圍，並經被收集者同意，不得違反法律、法規的規定和雙方的約定收集、使用信息。網絡服務提供者和其他企業事業單位收集、使用公民個人電子信息，應當公開其收集、使用規則。”第3條規定：“網絡服務提供者和其他企業事業單位及其工作人員對在業務活動中收集的公民個人電子信息必須嚴格保密，不得泄露、篡改、毀損，不得出售或者非法向他人提供。”第4條前半段規定：“網絡服務提供者和其他企業事業單位應當采取技術措施和其他必要措施，確保信息安全，防止在業務活動中收集的公民個人電子信息泄露、毀損、丟失。”⁵《個人信息糾紛司法解釋建議稿》第4條規定：“國家機關及其工作人員泄露或者非法向他人提供在履行職責過程中知悉的個人信息，造成自然人損害的，自然人向人民法院起訴請求國家機關及其工作人員承擔民事賠償責任的，人民法院應當受理。”⁶ 包括劉福忠訴金石期貨有限公司、中國工商銀行股份有限公司新疆維吾爾自治區分行營業部姓名權糾紛【（2010）烏中民壹終字第677號】、石某某與上海銀行股份有限公司壹般人格權糾紛【（2009）滬壹中民壹（民）終字第716號】、段明波訴中國工商銀行股份有限公司個舊支行、中國人民銀行征信中心人格權糾紛【（2010）雲高民壹終字第43號】、張軍訴江蘇如臯農村商業銀行股份有限公司名譽權糾紛【（2018）蘇06民終1457號】等。⁷《最高人民法院關於審理利用信息網絡侵害人身權益民事糾紛案件適用法律若幹問題的規定》第12條規定：“網絡用戶或者網絡服務提供者利用網絡公開自然人基因信息、病歷資料、健康檢查資料、犯罪記錄、家庭住址、私人活動等個人隱私和其他個人信息，造成他人損害，被侵權人請求其承擔侵權責任的，人民法院應予支持。但下列情形除外：（壹）經自然人書面同意且在約定範圍內公開；（二）為促進社會公共利益且在必要範圍內；（三）學校、科研機構等基於公共利益為學術研究或者統計的目的，經自然人書面同意，且公開的方式不足以識別特定自然人；（四）自然人自行在網絡上公開的信息或者其他已合法公開的個人信息；（五）以合法渠道獲取的個人信息；（六）法律或者行政法規另有規定。”以上規定的（二）至（六）項均為“知情同意”的例外。⁸《信息安全技術 個人信息安全規範》（GB-T 35273-2017）的相關規定如下： 5.4 征得授權同意的例外 以下情形中，個人信息控制者收集、使用個人信息無需征得個人信息主體的授權同意： a) 與國家安全、國防安全直接相關的； b) 與公共安全、公共衛生、重大公共利益直接相關的； c) 與犯罪偵查、起訴、審判和判決執行等直接相關的； d) 出於維護個人信息主體或其他個人的生命、財產等重大合法權益但又很難得到本人同意的； e) 所收集的個人信息是個人信息主體自行向社會公眾公開的； f) 從合法公開披露的信息中收集個人信息的，如合法的新聞報道、政府信息公開等渠道； g) 根據個人信息主體要求簽訂和履行合同所必需的； h) 用於維護所提供的產品或服務的安全穩定運行所必需的，例如發現、處置產品或服務的故障； i) 個人信息控制者為新聞單位且其在開展合法的新聞報道所必需的； j) 個人信息控制者為學術研究機構，出於公共利益開展統計或學術研究所必要，且其對外提供學術研究或描述的結果時，對結果中所包含的個人信息進行去標識化處理的； k) 法律法規規定的其他情形。⁹ 歐盟GDPR第6條第1款規定了“知情同意的”的5種例外，即（1）為履行數據主體參與的合同、（2）為履行控制者所服從的法律義務、（3）為了保護數據主體或另壹個自然人的切身利益、（4）為了執行公共利益領域的任務或行使控制者既定的公務職權、（5）控制者或者第三方為了追求合法利益，但需要避讓數據主體的利益、權利和自由。

北京世寧律師事務所在知識產權、競爭法、商事訴訟和仲裁領域深耕多年，由背景多元兼具豐富實踐經驗的資深從業者組成，曾為來自不同行業的眾多領先企業贏得關鍵性訴訟，以服務客戶的專業態度、精專的法律知識技能及豐富的實踐經驗而獲得認可。