一、问题的提出
《中华人民共和国个人信息保护法》(以下简称《个保法》)已于2021年11月1日起正式实施,这是我国在信息网络时代保障个人权利的基本立法,也是中国特色社会主义法治体系建设的重要成果。个人信息承载着个人尊严和自由,还包括社会管理价值和商业价值,其重要性不言而喻。
根据《个保法》要求,提供处理个人信息需经个人单独同意,并向信息主体披露信息接收方的相关信息。在《个保法》生效之际,笔者为某大型互联网平台(下简称“A平台”)提供了数据合规专项法律服务,在银行的贷款业务中,A平台接受银行的委托进行贷款反欺诈查询,其合作银行为避免“触雷”,要求将A平台的相关信息披露给银行客户。然而,该银行的做法实则是未将“委托处理”与“提供处理”进行区分,统一按照“提供处理个人信息”的法规要求进行合规整改,既给合作方带来了不必要的麻烦,增加了自身的合规成本,还给数据市场的流动性带来了一定阻力。
鉴于实务中这种错误做法仍然普遍存在,笔者认为有必要对二者进行区分辨析,在厘清二者区别的基础上,进一步明晰实际业务场景下个人的知情同意权的范围及个人信息处理者的披露义务、第三方的相关义务及责任承担等法律问题,确保市场主体合法合规经营,推动数据要素市场自由流动。
二、个人信息相关概念厘清
(一)个人信息与个人数据
个人信息是数据控制者、数据处理者处理的客体,虽然目前各国对“个人信息”的立法表述存在差异,但内涵基本一致。欧盟在《一般数据保护条例》(General Data Protection, 简称GDPR)中对个人数据的定义为“能够直接或间接通过识别要素得以识别特定自然人的信息”,我国香港特别行政区1996年《个人资料(隐私)条例》、澳门2005年《个人资料(数据)保护法》,以及德国《联邦数据保护法》、挪威《资料登录法》等均采用了“个人数据”的称谓。而中国、俄罗斯、日本、韩国以及加拿大等均采用“个人信息”的称谓。那么个人数据与个人信息有何区别呢?
个人数据(个人资料)是个人信息的形式,包括纸质载体和电子载体呈现的文字、照片、视频、声音等形式;个人信息是个人数据(个人资料)所体现的内容。立法保护的一般是以可处理的个人数据(个人资料)为形式的个人信息。因此,尽管个人信息、个人数据(个人资料)两个概念从文义上有差别,但从个人信息保护与利用的角度谈及两概念时差别极小。为与我国现行立法保持一致,本文参照我国《民法典》《个保法》以及《网络数据安全管理条例(征求意见稿)》(以下简称《数安条例》)的相关规定,统一采用“个人信息”的称谓。
关于个人信息的概念界定,学界及各国立法规范各有区别也有共性。在学界,王利明认为个人信息是指与特定个人相关联的、反映个体特征的具有可识别性的符号系统,包括个人身份、工作、家庭、财产、健康等各方面的信息。齐爱民侧重可固定于可处理的载体上和可识别两个要素。周汉华则强调自然人相关性与识别性。可见,学者们对个人信息的定义虽有不同,但均强调个人信息的识别性和关联性。
目前各国或地区个保法对个人信息的定义,也强调识别性。欧盟在《一般数据保护条例》第四条规定,个人数据是指已识别或可识别的自然人的信息。我国2016年颁布的《网络安全法》第七十六条第五项规定,个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。我国《民法典》则采取“识别说”,即能够单独或者与其他信息结合识别特定自然人作为确定该信息是否属于个人信息的标准。
我国2021年颁布的《个保法》第四条规定,个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。可以看出,《个保法》第四条借鉴了GDPR的标准,在“识别说”的基础上增加了“关联说”,从这个方面看,《个保法》在一定程度上扩张了个人信息的范围。
可见,不论是学界还是立法规范,都存在如下共识:第一,个人信息具备人格属性;第二,个人信息体现在可再现的载体上,并可处理;第三,个人信息具有可识别性。
(二) 数据控制者与数据处理者
无论是委托处理还是提供处理个人信息,均需要由数据控制者、数据处理者共同参与,故厘清这两个主体的差异便于我们后续的讨论。欧盟《一般数据保护条例》定义了数据控制者、数据处理者、第三方等概念,“数据控制者”是指能够单独或者联合决定个人数据的处理目的和方式的自然人、法人、公共机构、行政机关或非法人组织,是决策主体;而“数据处理者”是基于委托关系等为数据控制者处理个人信息的自然人、法人、公共机构、行政机关或非法人组织。
我国2021年11月公布的《网络数据安全管理条例(征求意见稿)》第七十三条规定,数据处理活动是指数据收集、存储、使用、加工、传输、提供、公开、删除等活动。数据处理者是指在数据处理活动中自主决定处理目的和处理方式的个人和组织。我国立法未明确给出“数据控制者”的定义,关于我国相关法律与GDPR对两者规定的区别与联系,将在下文详细展开。
三、个人信息委托处理与提供处理之概念
(一) GDPR:委托处理与提供处理
1、GDPR中委托处理的概念
根据GDPR序言(81)的规定,为了确保数据处理者代表数据控制者进行的处理符合条例的要求,当委托数据处理者开展数据处理活动时,数据控制者应仅委托在专业知识、可靠性和资源方面提供充分保证的数据处理者,以实施满足本条例要求(包括为了数据处理安全)的技术措施和组织措施。数据处理者遵守经批准的行为准则或经批准的认证机制,可作为证明遵守数据控制者义务的要素。数据处理者实施的数据处理应受合同或其他欧盟法律或成员国法律下法律行为的约束,该合同或其他法律行为对数据控制者委托的数据处理者具有法律约束力。
此外,考虑到处理数据时数据处理者的具体义务和法律责任,以及对数据主体权利和自由的风险,GDPR进一步明确了处理行为的内容和期限、性质和目的、个人数据的类型、数据主体的种类。数据控制者和处理者可以选择使用个别合同或标准合同条款,该标准合同条款可以是欧盟委员会直接批准的,或根据一致性机制被监管机构批准后再由委员会批准。在代表数据控制者完成数据处理后,数据处理者应根据数据控制者的选择,返还或删除个人数据,除非规制数据处理者的欧盟或成员国法律要求保存前述个人数据。
2、GDPR中提供处理的概念
根据GDPR序言(61)规定,当个人数据可以合法地披露给其他接收者时,应该在第一次向前述接收者披露个人数据时告知数据主体。当数据控制者意图基于数据收集初始目的以外的其他目的处理个人数据时,数据控制者应当在进行进一步处理之前向数据主体提供有关其他目的的信息和其他必要信息。
(二) 我国的相关规定及分析
1、我国《个保法》中的相关规定
根据《个保法》第二十一条[1]有关个人信息委托处理的规定,个人信息处理者委托处理个人信息的,应当与受托人约定委托处理的个人信息目的、范围、期限、处理方式、保护措施和双方权利义务等,并对受托人的个人信息处理活动进行监督。个人信息委托处理场景下,委托方是能够自主决定信息处理目的和方式的个人信息处理者。受托方无法自主决定处理目的和方式,只能严格在约定范围内处理个人信息,并在处理结束后删除或返还个人信息,不得保留或另作他用。
根据《个保法》第二十三条[2]的规定,当个人信息处理者向其他个人信息处理者提供个人信息时,应当向用户告知接收方的信息,并取得单独同意。个人信息共享场景下,提供方与接收方都能够自主决定信息处理目的和方式的个人信息处理者,双方应在用户同意的范围内,共享和处理个人信息。如变更处理目的和范围,接收方还应重新取得用户同意。
2、《数安条例》的相关规定
《数安条例》细化了数据处理者应当遵循的个人信息处理规则。例如,《数安条例》第二十条规定,数据处理者处理个人信息,应当制定个人信息处理规则并严格遵守。个人信息处理规则应当集中公开展示、易于访问并置于醒目位置,内容明确具体、简明通俗,系统全面地向个人说明个人信息处理情况。该条例还要求需明确个人信息处理规则,例如,依据产品或者服务的功能明确所需的个人信息,以清单形式列明每项功能处理个人信息的目的、用途、方式、种类、频次或者时机、保存地点等,以及拒绝处理个人信息对个人的影响;明确信息存储期限、到期后的处理方式;个人查阅、复制、删除、转移个人信息,以及注销账号、撤回处理个人信息同意的途径和方法等。
此外,《数安条例》还明确了数据处理者向第三方提供时的规则及责任承担。在本次征求意见稿中,除了《个保法》第二十三条规定的内容,还增加了许多其他要求:第一,对于数据处理者通过嵌入收集个人信息第三方服务时,与数据收集者同样需要明确收集信息的“频次”等信息,保证在每个环节都落实在最小必要范围内收集用户个人信息;第二,意见稿第四十四条补充并细化了对于接入收集个人信息的第三方的平台运营者的责任,主要表现在强化了平台运营者的监督责任,在第三方造成损失时,平台运营者具有先行赔偿责任;平台运营者具有记录留存责任;第三,明确规定移动通信终端预装第三方产品时,适用第四十四条,不仅要督促第三方加强数据安全管理,而且互联网平台运营者要先行赔偿用户遭致的损失。
3、综合分析
我国《民法典》以统一的“信息处理者”囊括了在个人信息处理过程中承担不同角色与职能的主体,即针对个人信息进行的收集、存储、使用、加工、传输、提供、公开等各项操作统一被视为“个人信息的处理”。我国《个保法》也没有区分控制者与处理者,而是继续使用个人信息处理者的概念涵盖个人信息活动的参与者。处理者就是指在个人信息处理活动中自主决定个人信息处理目的和处理方式的组织或个人。个人信息的共同处理者,是指共同决定个人信息处理目的和处理方式的多个处理者。他们对处理目的和处理方式达成合意或者存在意思联络。因共同处理行为侵害个人信息权益而造成损害的,共同处理者应当依法承担连带赔偿责任。然而,笔者认为,有必要对具体概念进行辨析。
通过分析GDPR中关于委托处理与提供处理的规定,结合我国《民法典》《个保法》以及《数安条例》,两者之区别体现在以下几个方面:
第一,法律关系不同。委托处理活动参照适用《民法典》中的委托合同民事法律关系,在委托合同关系中,受托人根据合同约定处理委托人事务,处理个人信息的受托人仅能在委托合同范围内处理个人信息,无法脱离委托人意志自主决定处理个人信息的目的与处理方式。提供个人信息给他人处理时参照适用《民法典》中介合同的法律关系,提供者为接收者报告订立合同的机会,个人信息发生转移,提供方和接收方在个人信息处理目的、方式上没有合意,提供方提供个人信息给接收方,接收方可以自主决定个人信息处理目的与方式。从比较法的视角看,我国“个人信息处理者”的概念基本同义于欧盟GDPR中的“控制者”,个人信息委托处理中的“受托人”概念更接近GDPR中的“处理者”。
第二,双方权利义务不同。委托处理关系下,委托人应当与受托方约定委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利义务;对受托方的个人信息处理活动进行监督;并应在事前进行个人信息保护影响评估,并对处理情况进行记录。受托人则需要按照约定进行个人信息处理,并在委托结束后向委托方返还或者删除个人信息,且不得擅自转委托处理。提供处理关系下,提供方应当向个人告知接收方的名称或姓名、联系方式、个人信息的种类、处理目的和方式,并应当取得个人的单独同意。接收方应当在提供方向个人告知的处理目的、处理方式和个人信息的种类等范围内处理个人信息,在变更原先的处理目的、处理方式时,应依法重新取得个人同意。
第三,告知同意义务不同。在提供处理关系下,《个保法》第二十三条明确规定了对外提供应当经过个人信息主体“单独同意”;《民法典》第一千零三十八条[3]规定,未经自然人同意,信息处理者不得向他人非法提供自然人的个人信息。因此,在提供处理关系下,个人信息的提供应征得信息主体以及信息收集、控制者的同意,获得使用授权;第三方或者受让人也应当充分告知个人信息主体,征得其同意,保护个人信息承载的人格利益,满足个人对相应个人信息的自主决定。在委托处理关系下,《个保法》第七十三条[4]规定,个人信息处理者是指在个人信息处理活动中自主决定处理目的、处理方式的组织或个人。委托处理下的委托人系根据委托人的要求处理个人信息,那么受托人就不属于《个保法》中的“个人信息处理者”,所以不负有告知与取得单独同意的义务,委托方也就不具有对外披露合作方的义务。
第四,责任承担不同。委托处理关系下,对外而言,《个保法》规定下的受托人是委托人在委托合同关系下的意定延伸,委托人和受托人是一个整体,因此,《个保法》规定的个人信息处理者的全部义务应当由委托人承担,个人要求行使《个保法》下的权利也应当向委托人主张,而不可以向受托人主张。对内而言,受托人违反与委托人之间的委托合同的,受托人应当承担合同约定的责任。而在提供处理关系中,因为提供方和接收方均拥有独立控制权,所以双方均属于《个保法》中的“个人信息处理者”。虽然《个保法》没有明确规定提供方是否应当对接收方的个人信息处理活动负责,但是接收方在接收个人信息后已经具有独立控制权,并可以自主处理,因此,接收方若违规处理个人信息,应当由其自身承担,不应苛求提供方来承担此责任。换言之,若因提供处理行为而对个人信息主体合法权益造成损害的,双方应各自承担相应的责任。
四、个人信息委托处理与提供处理的场景化具体分析
数据经济能够迅速发展,在于各主体能够充分利用信息、技术、服务提供方的专业化分工以及广泛合作,各主体合作参与个人信息处理的不同环节是数据经济的常态。本文基于对《个保法》第二十一条、二十三条规定的“委托处理”及“提供处理”两种处理活动的辨析,明晰不同业务场景下个人信息处理者的权利义务以及责任划分,意在确保个人信息处理者合法合规经营的同时,促进数据要素市场自由流通。上文已经对“委托处理”及“提供处理”相关概念进行了界定,在此基础上,笔者将结合具体的业务场景进一步明确上述两种处理活动中不同法律主体的权利义务以及责任承担方式等法律内容。
(一)个人信息委托处理法律分析
1、委托处理个人信息业务场景的引入
在实际业务中,“委托处理个人信息”的场景纷繁复杂,笔者结合自身实务经验出发,以商业银行提供信用贷款服务的业务场景为例详细展开讨论。客户(由于《个保法》保护对象限于中国境内的自然人,故此处客户仅指我国境内的自然人客户,不包含公司客户)向商业银行申请信用贷款,银行出于风险防控、贷款额度评估的需要,须对客户的信用等级进行评定。银行受限于自身数据源数量、种类的单一性,其通常会将该部分业务“外包”给第三方专业评估机构如征信机构进行查询。商业银行将客户相关个人信息提供给第三方专业评估机构,以查验客户的身份信息、历史信用状况、资产状况、涉诉情况等,商业银行基于查询结果再做出贷款决定。
图1 贷款业务风控查询流程图
此时,主要有银行与客户间的法律关系、银行与第三方评估机构的法律关系两组不同的法律关系,下文将对其法律内容进行具体分析。
2、银行与客户、银行与第三方评估机构的主要权利与义务
① 客户的知情同意权以及银行的披露范围
在上述业务场景下,客户作为个人信息的权利主体,享有相应的知情同意权,而商业银行作为个人信息的收集者、处理者,应当承担一定的告知、征得个人同意的法律义务。那么,在上述业务场景中,客户“知情同意”的范围界限在哪?银行是否需要向用户披露所有的合作商相关信息?接下来,笔者将一一分析。
首先,根据《个保法》要求,银行在收集客户的相关个人信息时,应该取得用户同意,若是收集敏感个人信息,还需要征得用户的单独同意。在实际业务中,银行的通常做法是在客户填写信息表单的同时,让其签署一份授权委托书,授权银行收集、处理其个人信息,若有“提供处理个人信息”的场景,还需要向客户披露接收方的相关信息。
因此,客户“知情同意”的范围应为银行收集、处理其个人信息的目的、方式、范围以及“提供给第三方处理”其个人信息的情形,此外《个保法》第二十一条还提到受托人“转委托”处理个人信息也须征得客户同意。上文中的业务场景下,A平台仅是接受银行委托,承办其贷款业务环节中的风控反欺诈,并非是独立的个人信息处理者,因此,客户无需知晓A平台的存在,银行也无需向客户披露A平台的相关信息,这不属于个人在《个保法》下享有的“知情同意”的范围。作为银行一方,其应在《个人隐私保护政策》中以清晰明了的语言告知客户存在委托处理的活动,但无需披露受托方的具体信息如名称或姓名、联系方式、处理方式、处理目的等内容。
② 委托内容的约定与处理活动的监督
那么银行与第三方评估机构基于委托合同关系,在数据处理活动中又分别具有哪些权利与义务呢?根据《个保法》第二十一条的要求,银行需与第三方评估机构签订书面的委托合同,并与其约定委托处理的目的、方式、范围、期限、保护措施及双方权利义务等内容。
作为受托人,第三方评估机构应当在约定的范围内处理个人信息,不得变更处理目的、方式、范围、个人信息的种类等,且未经客户同意不得转委托给第三方处理个人信息。《个保法》第五十九条[5]提到,第三方评估机构在受托处理个人信息过程中,还应当采取相应的安全保障措施,确保个人信息的安全。作为委托人,银行需要担负起监督受托机构处理活动的义务,确保受托机构在合同约定的范围内处理个人信息,并确保其采取了相应的安全保障措施,避免个人信息泄露等安全事件的发生。如果因受托人原因出现信息泄露或其他数据安全事件,给客户造成不当影响,客户只能向银行主张相应的法律责任,其后委托人可向受托人进行追偿。
3、主体的法律责任辨析
首先,第三方评估机构仅是接受商业银行的委托,为其查询相关信息并返回查询结果,此时第三方评估机构并非一个独立的个人信息处理者,不属于《个保法》第二十三条规定中的“个人信息处理者”。正如前文“基本概念厘清”中提到的,委托处理参照适用《民法典》中的委托合同关系。在委托合同关系中,受托人根据合同约定处理委托人事务,处理个人信息的受托人仅能在委托合同范围内处理个人信息,无法脱离委托人意志自主决定处理个人信息的目的与处理方式。因此,受托人不属于《个保法》中规定的纯正的“个人信息处理者”,故而不负有告知与取得同意的义务。
其次,结合GDPR来看,我国《个保法》没有采取GDPR的二元身份界定,即并未区分个人信息控制者和处理者,只是设立了“个人信息处理者”这一个概念。我国法律界定的“个人信息处理者”相当于GDPR下的控制者;而GDPR下的“处理者”相当于我国法律规定中的“受托方”。因此,第三方评估机构本质上属于“受托方”,进一步印证了上述业务场景中银行与第三方评估机构的委托处理不适用《个保法》第二十三条的规定的观点。
最后,从立法体系来看,《个保法》在第二章“个人信息处理规则”中,在其他特定处理情形(例如个人信息转移、提供、公开)中均直接规定了告知个人或征得个人同意的要求,唯独委托处理条款未作此规定。若法律确实要求委托处理需要履行完全的告知与同意义务,那么应该在对应条文里直接作出规定,没必要引用其他个人信息处理方式项下的规定。
综上所述,我们认为在委托处理个人信息的法律关系下,委托人(银行)无需向个人信息主体(客户)告知受托人(第三方评估机构)的身份,也无需征得客户对此种个人信息委托处理行为的同意,即披露受托方并非强制性要求。因此,在责任承担方面,对外而言,《个保法》下委托人和受托人是一个整体,受托人是委托人在委托协议下的意定延伸,《个保法》规定的个人信息处理者的全部义务仍应由委托人承担,客户要求行使《个保法》下的权利应当向委托人主张,而不可向受托人主张;对内而言,受托人违反和委托人之间的委托协议的,受托人应当承担委托协议约定的责任。
(二)个人信息提供处理
1、提供处理个人信息
业务场景的引入上文对“委托处理个人信息”进行了基本厘清,笔者将结合《个保法》第二十三条以及实际业务场景,对“提供处理个人信息”活动中,不同法律主体的权利义务以及法律责任进行具体的阐释和论述。笔者仍然是以接手的实际业务案例为例。设想某二手车App用户相中该App中一辆二手汽车,希望获取更多信息,或者想跟卖家联系,此时二手车App就会弹出对话框,让用户填写姓名、电话等个人信息并且同意App的《个人隐私保护政策》,随后,用户的姓名或昵称、手机号码等个人信息都会由该App提供给第三方(此处的第三方限定为二手车平台商家,如汽车之家等二手车交易平台)。
图2 二手车买卖提供信息流程图
在此种场景下,二手车App和第三方平台卖家是怎样的法律关系呢?二者又分别具有哪些权利与义务,各自需要承担怎样的法律责任呢?
2. 用户与二手车App、二手车App与平台卖家的权利义务
① 用户的知情同意权与二手车App的披露义务
在上述场景中,二手车App在征得用户同意后收集其个人信息,并继而提供给第三方平台卖家(由于脱敏后的数据不是个人信息,向第三方提供无需征得个人同意,因而此处限定为明文提供),由平台卖家与买家用户取得联系。此时,二手车App将用户的手机号、姓名等个人信息提供给第三方平台卖家后,卖家就取得了对该信息的独立控制,可以自主决定处理的目的、方式、范围等,即此时的二手车App及第三方平台卖家都系个人信息的控制者,或者说是《个保法》中的“个人信息处理者”。
故而,根据《个保法》第十七条[6]、第二十三条的规定,二手车App在收集用户个人信息时,不仅需要告知其处理的目的、方式、范围、期限等内容,还需要告知信息接收方即第三方平台的相关信息,以及其处理个人信息的目的、方式、范围、内容、期限等。相较于“委托处理活动”,此时用户的知情同意权的范围更广,对应的二手车App的披露范围也更广。此外,二手车App作为个人信息的提供者,应当获取用户个人的单独同意,未获取或者用户不同意提供的,二手车App不得以此为由拒绝提供基础服务和产品。
② 二手车App与平台卖家的权利义务
二手车App作为二手车信息源的聚合平台,为买卖双方提供磋商机会,并不实际参与买卖交易,此时参照适用《民法典》的中介合同法律关系。二手车App将用户姓名或昵称、手机号码提供给平台卖家后,平台卖家则取得了该信息的自主控制权,可以自行决定处理的目的、方式。此时,二手车App作为信息提供方,应当与接收方即平台卖家约定处理的目的、方式、范围以及保存期限等内容,并将二手车App及平台卖家的名称或姓名和联系方式、处理目的、处理方式及种类、保存期限、个人享有的权利等事项一并对外披露告知。然而,平台卖家作为信息的接收方,首先应确保提供方已经取得用户的单独同意,否则可能因个人信息来源不符合法律规定而承担法律责任;其次,平台卖家应为自己的处理行为负责,严格按照与二手车App约定的处理方式、目的、范围等内容执行;最后,平台卖家若要变更处理目的、方式等,应当重新取得用户个人的单独同意,否则不仅需要对用户承担法律责任,还会面临与二手车App的违约责任。
总之,在此种业务场景下,二手车App与平台卖家均为独立的个人信息处理者,应当各自为其处理行为承担法律责任。
3、主体的法律责任辨析
结合上文对“委托处理”“提供处理”的辨析,笔者认为对二者区分的关键在于,接收信息一方是否取得了对个人信息的独立完整的控制权,可以自主决定处理方式、目的等内容,以及是否需要独立对个人信息主体承担相应的法律责任。
对于“提供处理个人信息”而言,信息的提供方与接收方均为独立的个人信息处理者。信息提供方作为直接从个人信息主体处取得信息的一方,应当以区别于传统的“一揽子”同意的方式取得用户单独同意;而信息接收方只有在变更其处理目的、方式等时,才需要重新获取用户同意。如果个人信息提供者没有获取用户单独同意或获取同意的形式不符合法律规定时,此时个人信息收集者将信息对外提供处理,属于超出用户授权范围的处理行为,将可能面临个人信息主体的民事诉讼以及行政主管部门的行政处罚。向第三方提供信息前应签署书面合同,明确双方的权利义务及责任,明确接收方处理目的、处理方式、个人信息的种类;遵守个人信息保护的承诺;违约责任等。
作为个人信息接收一方,应当严格按照个人信息提供者对外披露的处理目的、方式、范围及保存期限等处理个人信息,并在《个人隐私保护政策》中列明个人信息处理者的名称或姓名和联系方式,处理目的、处理方式,处理的个人信息种类、保存期限,个人的法定权利及行使方式程序等内容。
结 语
随着互联网经济与数字化的发展,社会各个行业有越来越多的应用场景涉及个人信息处理。目前,有许多App或是其他个人信息处理者的隐私政策并未区分“委托处理”与“提供处理”的概念,而是将二者统一以“提供处理”的法律法规要求进行合规整改。这意味着App需要重新弹窗取得用户的单独同意,这会极大地影响用户体验,而且可操作性也较差,且增加了企业的合规和产品端成本。在“委托处理”关系下,只需要在合同中明确约定即可,无需取得用户单独同意,在实践中更能节约成本,更具有可行性。因此,清楚辨析二者之边界,避免过多不必要的“单独同意”,将合规安全与成本效率进行有效结合和平衡,就显得尤为重要。正确区分两者,才能更好地确保企业在合规范围内持续经营,促进数据经济发展、促进数据流动,顺应数据交易的时代发展趋势。
注释及参考文献
注 释
[1]《个人信息保护法》第二十一条 个人信息处理者委托处理个人信息的,应当与受托人约定委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务等,并对受托人的个人信息处理活动进行监督。受托人应当按照约定处理个人信息,不得超出约定的处理目的、处理方式等处理个人信息;委托合同不生效、无效、被撤销或者终止的,受托人应当将个人信息返还个人信息处理者或者予以删除,不得保留。未经个人信息处理者同意,受托人不得转委托他人处理个人信息。
[2]《个人信息保护法》第二十三条 个人信息处理者向其他个人信息处理者提供其处理的个人信息的,应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意。接收方应当在上述处理目的、处理方式和个人信息的种类等范围内处理个人信息。接收方变更原先的处理目的、处理方式的,应当依照本法规定重新取得个人同意。
[3]《民法典》第一千零三十八条 信息处理者不得泄露或者篡改其收集、存储的个人信息;未经自然人同意,不得向他人非法提供其个人信息,但是经过加工无法识别特定个人且不能复原的除外。信息处理者应当采取技术措施和其他必要措施,确保其收集、存储的个人信息安全,防止信息泄露、篡改、丢失;发生或者可能发生个人信息泄露、篡改、丢失的,应当及时采取补救措施,按照规定告知自然人并向有关主管部门报告。
[4]《个人信息保护法》第七十三条 本法下列用语的含义:(一)个人信息处理者,是指在个人信息处理活动中自主决定处理目的、处理方式的组织、个人。(二)自动化决策,是指通过计算机程序自动分析、评估个人的行为习惯、兴趣爱好或者经济、健康、信用状况等,并进行决策的活动。(三)去标识化,是指个人信息经过处理,使其在不借助额外信息的情况下无法识别特定自然人的过程。(四)匿名化,是指个人信息经过处理无法识别特定自然人且不能复原的过程。
[5]《个人信息保护法》第五十九条接受委托处理个人信息的受托人,应当依照本法和有关法律、行政法规的规定,采取必要措施保障所处理的个人信息的安全,并协助个人信息处理者履行本法规定的义务。
[6]个人信息保护法》第十七条 个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项:(一)个人信息处理者的名称或者姓名和联系方式;(二)个人信息的处理目的、处理方式,处理的个人信息种类、保存期限;(三)个人行使本法规定权利的方式和程序;(四)法律、行政法规规定应当告知的其他事项。前款规定事项发生变更的,应当将变更部分告知个人。个人信息处理者通过制定个人信息处理规则的方式告知第一款规定事项的,处理规则应当公开,并且便于查阅和保存。
参考文献
[1]张新宝.从隐私到个人信息:利益再衡量的理论与制度安排[J].中国法学,2015(03):38-59.DOI:10.14111/j.cnki.zgfx.2015.03.003.
[2]王利明.论个人信息权的法律保护——以个人信息权与隐私权的界分为中心[J].现代法学,2013,35(04):62-72.
[3]京东法律研究院.欧盟数据宪章——《一般数据保护条例》(GDPR)评述及实务指引[M].法律出版社,2018.
[4]程啸.论个人信息共同处理者的民事责任[J].法学家,2021(06):17-29+191.DOI:10.16094/j.cnki.1005-0221.2021.06.002.
[5]王忠.大数据时代个人数据交易许可机制研究[J].理论月刊,2015(06):131-135.DOI:10.14180/j.cnki.1004-0544.2015.06.024.
[6]王泽鉴.民法总则.[M].北京大学出版社,2013.
[7]齐爱民.大数据时代个人信息保护法国际比较研究[M].法律出版社, 2015.
[8]齐晓丹. 《民法典》人格权编理解与适用应注意的十个问题[J]. 法律适用, 2020(17):12.
[9] Martin K. Understanding PrivacyOnline: Development of a Social Contract Approach to Privacy[J]. Journal ofBusiness Ethics, 2016, 137(3):551-569.
[10] Solove D. The DigitalPerson: Technology and Privacy in the Information Age[J]. New YorkUniversity Press, 2004.