《个人信息保护法》(下称“个保法”)于2021年8月20日第十三届全国人民代表大会常务委员会第三十次会议通过,并于2021年11月1日正式施行。标志着我国从《网络安全法》、《数据安全法》《个人信息保护法》三部重要法律搭建起“大数据合规保护时代”的正式到来。三部法律在立法定位上,《数据安全法》是数据安全领域的基础法律,与现行的《网络安全法》和《个人信息保护法》并行成为网络空间治理和数据保护的三驾马车,《网络安全法》重点针对网络空间安全整体的治理,《数据安全法》侧重于数据处理活动的安全与开发利用,而今天正式施行的《个人信息保护法》则更重点加强针对个人信息的保护。
虽然我国针对大数据合规及信息保护立法工作起步较晚,但由于借鉴国外先进立法经验及法律法规,譬如欧盟《通用数据保护条例》简称“GDPR”及美国的《加州消费者隐私法案》简称“CPPA”等法案的颁布,故起点较高。这使得我国不少关于个人信息保护&数据合规保护的立法条款已经散见于不少行政规章或管理办法中。随《个保法》的出台实施,本文将研究重点集中在个人信息保护及数据合规保护领域项下,数据全生命周期保护中的重要环节——个人信息数据处理中“告知+同意”的法律规则的理解及操作指引进行简要阐述。
查阅《个保法》全文,笔者发现“告知+同意”已经成为整个个人信息数据合规保护领域中不可或缺的一个事项,尤其是在数据的采集端、应用端(包括变更信息数据的使用目的,使用方式、委托第三方处理等)、处理个人敏感数据、数据跨境等方面,更是必不可少的一个操作程序。
一
个人信息数据收集:个人信息处理者的告知义务
第一个出现“告知”重要义务的条文是在“个人信息数据收集”环节,即第十七条:个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项:
(一)个人信息处理者的名称或者姓名和联系方式;
(二)个人信息的处理目的、处理方式,处理的个人信息种类、保存期限;
(三)个人行使本法规定权利的方式和程序;
(四)法律、行政法规规定应当告知的其他事项。
前款规定事项发生变更的,应当将变更部分告知个人。
个人信息处理者通过制定个人信息处理规则的方式告知第一款规定事项的,处理规则应当公开,并且便于查阅和保存。
举例说明:
上述这个网站个人信息数据采集的页面是比较传统,也是比较常见的界面,按照目前最新标准来评判是不符合《个保法》的基本要求的,因为既没有告知个人用户上述数据采集的法律主体情况(如公司名称及联系方式),也无任何采集相关数据的处理目的、使用方式,是否符合“最小必要”原则,以及用户申请删除、更正等操作方式。而且整个网站首页也无法查询到“隐私保护政策”的链接。
对比招商银行APP程序,在“设置”页面点击“关于APP”后,在明确显著位置有关于用户“服务协议”及“隐私政策”的链接:
以上用户隐私政策用了非常详细的篇幅向招行App用户告知了注册收集信息的法律主体、联系方式、用户个人信息及敏感信息的处理目的,处理方式等条款,以便用户知晓自己在使用该款程序时提供的个人信息数据处于何种保护措施、合理使用的边界以及个人行使权利方式等重要事项。笔者认为上述条款是符合《个保法》就个人信息数据采集端的法规要求。
二
个人信息处理者向其他个人信息处理者提供其处理的个人信息
第二个重要的“告知+同意”义务,体现在《个保法》第二十三条:个人信息处理者向其他个人信息处理者提供其处理的个人信息的,应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意。接收方应当在上述处理目的、处理方式和个人信息的种类等范围内处理个人信息。接收方变更原先的处理目的、处理方式的,应当依照本法规定重新取得个人同意。
笔者认为,该条是关于个人信息数据在转移处理环节中,需要加强注意的重点,在数据合规领域中,参与的主体越多意味着数据处于不安全的状态和可能被泄露的概率也增大,但是随着社会分工的日益精细化,很多企业在处理个人信息数据时,可能只是数据控制者,而非真正的数据处理者(备注:由中国政法大学互联网金融法律研究院组织翻译的欧盟GDPR条例版本中,分为“数据控制者”与“数据处理者”;而《个保法》第七十三条将“数据控制者”定义为“个人信息处理者”,另从第二十一、二十三条可以看出,将“数据处理者”定义为“接收方/受托方” ),在个人信息数据处理过程中需要分工协作时,如何安全合规进行数据转移就成为一个难点问题。
从《个保法》的立法原则分析,当个人用户将自己的信息数据授权提交给信息处理者(比如某网站/APP),该个人用户仅仅是授权许可该网站/APP自己使用,该次授权许可并不包含“向第三方转移”的权限(事实上也不允许一次性打包授权),如果网站/APP要向第三方转移处理该个人信息数据,还需要向该个人用户进行充分告知接收方的详细信息,等于个人用户还得再次授权许可第三方采集使用。
笔者查询到2019年3月,一篇名为《法学博士生维权:我为什么起诉抖音、多闪侵犯我的隐私权?》的文章引发媒体关注。该博士生称,自己的手机通讯录未包含任何信息,个人也没有明确同意它们收集使用通讯录的情况下,“抖音”和“多闪”两款App仍然向他推荐很多微信好友。而且,在未经明确同意下,“抖音”还向“多闪”提供了自己在抖音App上的个人信息。该法学博士生以侵犯隐私为由,向北京互联网法院提起诉讼。这个纠纷存在未经用户授权,微信头像昵称出现在多闪App上,同时也与开放平台的数据接口授权相关。这就引发了一个个人信息数据转移过程中的“三重授权”原则问题。该原则之所以叫做“三重授权”, 即网站/APP直接收集、使用用户数据需获得用户授权,第三方通过开放平台Open API接口间接获得用户数据,需获得用户授权和网站/APP共同授权许可使用,意味着“用户授权(向网站/app)+平台方授权+用户授权(向第三方)”需同时满足,缺少任何一方授权,都是违反“三重授权原则”。
三
处理个人敏感信息的方式
第三个重要的“告知+同意”义务,体现在《个保法》处理“个人敏感信息”环节,暨第三十条:个人信息处理者处理敏感个人信息的,除本法第十七条第一款规定的事项外,还应当向个人告知处理敏感个人信息的必要性以及对个人权益的影响;依照本法规定可以不向个人告知的除外。
所谓“个人敏感信息”的定义,一般是指一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。(参见《个保法》第十八条)
而在处理“个人敏感信息”的时候,往往会要求信息处理者必须取得数据主体暨个人用户的“单独同意”为原则。(参见《个保法》第二十九条)
虽然《个保法》第十三条对于处理个人信息无需征得个人同意有例外情况的规定,但涉及个人敏感信息的时候,仍需要加强保护措施力度暨取得单独同意为原则,唯一例外的情况是按照《个保法》第三十条“依照本法规定可以不向个人告知的除外。”而这个例外条款是援引《个保法》第十八条“紧急情况下为保护自然人的生命健康和财产安全无法及时向个人告知的,个人信息处理者应当在紧急情况消除后及时告知。”信息处理者在紧急情况消除之后也应当向数据主体/个人尽到告知义务。
所以处理涉及个人敏感信息时,必须遵守“告知必要性和影响+单独同意”这条红线准则。换而言之,笔者认为从立法本意看,数据控制者或处理者在涉及个人敏感信息时,较好的风险控制措施就是“非必要不收集”+“不处理为原则,处理为例外”,数据合规保护最好的保护方式就是采集端不涉及个人敏感信息或最小化收集。
四
数据跨境的合规风险
第四个重要的“告知+同意”义务,体现在《个保法》“数据跨境”环节,即第三十九条:个人信息处理者向中华人民共和国境外提供个人信息的,应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项,并取得个人的单独同意。
提及“个人信息数据跨境”,相信很多人会想起今年6月30日“滴滴出行赴美上市事件”未经国家有关部门的安全影响评估及批准,滴滴公司就贸然赴美上市并将滴滴用户的个人打车信息数据向美国证监会披露一事。此事犹如一颗惊天巨雷平地炸响,从而引发了互联网全行业关于“个人信息数据合规保护”的话题。
《个保法》中明确了关于“数据跨境”之前必须遵循的前置先决条件,就是要求信息处理者应当向数据主体/个人用户充分尽到“告知+单独同意”的义务。而且对于告知的内容也做了非常充分的规定。但这从另外的角度上看,无疑极大提高了我国互联网行业企业境外上市的门槛及难度。单就用户个人“单独同意”这一环节能否客观实现的问题,还有待后续的规定和措施加以解决。笔者个人认为,在社会发展数字化背景的当下,互联网企业核心竞争力及先发优势无疑就是用户流量,而流量的背后就是“个人信息大数据”作为载体,因此未来也将在数据跨境的过程中运用合理的方式方法保护个人信息大数据这一问题上不断探寻,《个保法》的出台实施也或多或少暗示着境内拟上市企业“非必要不出境”。
综上所述,《个人信息保护法》的出台施行将成为大数据合规保护领域的一把重要利器,对目前很多企业尤其是互联网企业的运营形成了巨大的影响,从商业模式的设计,业务流程的搭建,以及投融资活动的开展,都离不开对个人信息保护的重视。未来,也将对《网络安全法》、《数据安全法》、《个人信息保护法》与欧盟GDPR条例、美国CPPA法案中的“数据跨境”问题做深入研究,敬请期待后续系列文章。
本文内容仅代表作者个人观点,依据作者个人对法律、案例以及结合自身经验而形成,不对其准确性做完全的保证,不代表申浩律师事务所的法律意见或对法律的解读。 本文为申浩律师事务所律师原创,版权归署名的作者所有,转载须经作者本人同意。本文可通过转发功能全文无修改之转发,不允许通过复制等方式全部或部分的方式于其他账号中的再次发表。 如您需要法律意见或其他专家意见,应当向具有相关资格的专业人士寻求专业的法律帮助。
