【律师视点】周杨、杨雪娇:“告知同意”原则的新发展及对保险业务数据应用带来的影响
北京德和衡律师事务所合伙人
北京德和衡律师事务所律师助理
2020年1月20日,春节临近之际,信安标委发力公布一波国家标准向公众征求,其中包括《信息安全规范 告知同意指南》(以下简称为“《告知同意指南(征求意见稿)》”)。
通读征求意见稿全文觉得不合理之处颇多,而笔者在为企业提供数据合规服务的实操中就“告知同意”原则也产生了不少疑惑。本文将以保险业务为例,并结合《告知同意指南(征求意见稿)》和国内其它相关法律法规、国家标准以及欧盟GDPR相关规定,就“告知同意”原则的实务现状进行分析和反思。
“告知同意”原则是指个人信息控制者在收集处理个人信息前应充分告知个人信息主体有关处理其个人信息的情况,在个人信息主体在充分了解相关情况的前提下就收集处理其个人信息征得其明确同意。具体而言,告知即信息业者合理有效地使当事人了解其个人信息将会被如何收集和处理,该制度旨在实现信息业者收集和处理个人信息过程的透明化,以有利于当事人同意权之行使。告知同意原则源于人的信息自决权,同意乃信息主体个人意思自治的体现,能自主地对个人信息进行处分。
《全国人大关于加强网络信息保护的决定》、《民法总则》、《网络安全法》均明确规定自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的需依法取得,不得非法收集、使用、加工、传输个人信息。《全国人大关于加强网络信息保护的决定》和《网络安全法》规定,个人信息控制者收集、使用个人信息应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。未经被收集者同意,不得向他人提供个人信息,除非法律、行政法规另有规定除外。根据上述规定,个人信息控制者在收集处理个人信息时是否遵循“告知同意”原则成为判定“依法”或“非法”获取和处理个人信息的界限 [1]。
无论是《全国人大关于加强网络信息保护的决定》和《网络安全法》,还是新近发布的《民法典(草案)》《人格权编》的规定,除了法律、行政法规的规定外,“告知同意”似乎成为个人信息控制者收集处理个人信息的唯一合法性基础。在立法层面外,信安标委编制的《信息安全技术 个人信息安全规范》(以下简称为“《个人信息安全规范》”)规定了收集使用无需征得个人信息主体授权同意的十一个例外情形 [2]。《告知同意指南(征求意见稿)》在《个人信息安全规范》的基础上,针对收集场景又增加了六种无需征得个人信息主体授权同意的例外情形,包括(1)与个人信息控制者履行法律法规规定的强制性义务相关,例如反洗钱监管要求;(2)与商业或职务行为直接相关,例如企业依法注册登记、备案的法定代表人、股东、监事、高管的个人信息等;(3)与个人信息主体求职、就业直接相关;(4)专为未成年人提供服务的产品或应用,为保障未成年人的合法权益,在充分告知监护人的前提下,可以豁免征求同意;(5)收集已进行匿名化处理的个人信息,该个人信息无法单独识别到个人身份(不具有可识别性的信息;(6)个人信息控制者因被收购、兼并、重组、分拆等主体变更导致向继受者提供或者转移个人信息的情形。
虽非法律依据,但作为国家标准的《个人信息安全规范》一直以来是执法机构的重要参考依据。然而在“告知同意”原则上,即便《个人信息安全规范》规定了诸多豁免情形,执法机构在具体执法中依然把征得用户同意当作认定个人信息控制者合法合规收集使用个人信息前提标准。例如颁布的《App违法违规收集使用个人信息自评估指南》、《App违法违规收集使用个人信息行为认定方法》,均把“未经用户同意收集使用个人信息”未作区分而一刀切得认定为违法违规收集使用个人信息的行为,这也间接导致了即使《个人信息安全规范》规定了豁免用户同意的例外情形,App运营者在实践中也不敢轻易援引。
《通用数据保护条例》《以下简称为“GDPR”》在第5条“个人数据处理原则”中规定,对数据主体而言,个人数据应当以合法、公平和透明的方式进行处理。即处理个人数据须遵循合法性、公平性和透明度三个原则。
关于合法性要求,GDPR在第6条规定,数据控制者处理个人数据只有符合下列条件之一才合法:(1)数据主体同意;(2)与数据主体订立或履行合同所必须;(3)为遵守法律义务所必须;(4)为保护数据主体或他人的重大利益所必须;(5)为公共利益执行职务或受托行使公权力所必须;(6)个人信息控制者或第三者为追求正当利益目的所必须,但数据主体的利益或基本权和自由优先于该等利益除外。因此,在GDPR下,“同意”只是个人信息控制者处理个人信息的六个合法性基础之一。
根据GDPR第4条第(11)款规定,有效的“同意”须满足自由/自愿作出、具体的和知情的这三个前提要件。“自由/自愿作出”意味着给予数据主体真正的选择和控制。如果数据主体没有真正的选择、感到被迫去同意或者不同意将承担负面后果,那么该种同意应为无效[3]。该原则通过希腊数据保护管理局HDPA对普华永道的处罚案例得以进一步确认。
2019年7月31日,希腊数据保护管理局HDPA对普华永道罚款15万欧元。HDPA认为,鉴于雇主和与员工之间的不平等关系,员工的同意不应被视为是自由作出,普华永道将同意作为处理个人数据的法律依据并不适当。适当的合法依据应该是,数据控制者为了实施与履行劳动合同直接相关的行为,遵守个人信息控制者的义务,以及为了顺利和有效的运营公司等 “正当利益”。
而“知情的”要求数据控制者在获取同意之前应当向数据主体提供相关信息,这样能使数据主体在知情的前提下作出决定,理解他们同意了什么,同时理解他们可以行使例如撤回同意等权利 [4]。知情要求源于“透明度”原则,它要求“对于自然人来说,收集、使用、咨询或者以其他方式处理有关他们的个人数据以及处理个人数据的程度都应该是透明的。透明度原则要求与这些处理个人数据有关的任何信息和联系都应当易于获取和易于理解,并且使用清晰明了的语言。该原则特别关注向数据主体公开数据控制者身份和处理目的以及进一步的信息,用以确保数据处理的公正性和透明度,并确保数据主体得以确认及沟通其所被处理之数据的权利。[5]”
透明度原则不局限于基于用户“同意”进行的数据处理活动,对于基于其它合法性基础进行的数据处理活动同样适用并贯穿数据处理活动全流程,它除了要求数据控制者在收集个人数据进行处理活动前或处理活动时向数据主体提供与处理有关的信息外,还体现在整个数据处理流程中与数据主体就GDPR下的权利进行沟通,以及在数据处理活动的特定节点例如发生数据泄漏时或处理活动发生重大变化时告知数据主体相关情况。[6]
综上所述,透明度原则不但对告知的方式和内容都有要求,还贯穿于数据处理的整个生命周期。限于篇幅本文将着重于数据控制者在收集个人信息须告知的内容这一环节展开讨论。
基于透明度原则,GDPR第13条和第14条分别规定了数据控制者直接从数据主体处收集个人信息(“直接收集”)和间接收集个人信息(“间接收集”)场景下,须向数据主体提供的信息也即告知的内容。当直接从数据主体处收集个人信息时,须告知(1)数据控制者的身份和联系方式;(2)数据保护专员的联系信息;(3)数据处理目的和处理的合法性基础;(4)个人数据接收者或接收者的类别(5)数据跨境传输的情况;(6)数据存储期限;(7)数据主体的权利;(8)收集数据是基于数据主体的同意时,数据主体享有撤回同意的权利;(9)向监管机构投诉的权利;(10)自动化决策情况等。当个人数据是间接从第三方收集时,数据控制者除须同样向数据主体提供上述告知内容外,还须在特定期限内告知数据主体个人数据的来源信息。
也就是说,当A数据控制者从数据控制者C处间接获取了B用户的个人数据时,则A需要在限定的期限内告知B法定要求的通知内容,除了额外告知B其个人数据来源于C外,还应当告知B处理其数据的合法性行基础,这个“合法性基础”就有可能包含B的同意。此时,我们理解B的同意应当是当初向C作出的,并包含了将数据共享给A的同意。
这与国内有关「间接获取」的合规要求存在一些差异,按照《个人信息安全规范》的要求,同样的案例中,A间接获取信息时,其核心义务为(1)确认信息的合法来源;(2)使用目的发生变化时再次获取用户授权。而如何去确认信息的合法来源并没有详细的指导,实践中通常通过C的承诺来实现,A无须向B作出通知或者确认。如此一来,导致大量授权不明的数据仅仅经过共享方的“承诺”而流入数据应用市场,例如爬虫数据,形成了数据应用的广泛的灰色区域,且很不利于保障用户知情权。反观GDPR,则是需要数据获取方A直接向B履行告知义务,这种设置无疑更有利于B了解自身数据被处理的情况,也对A提出了更高的数据合规梳理需求。
令人欣慰的是,《告知同意指南(征求意见稿)》中新作出了要求,要求“个人信息控制者从第三方间接接受、查询等方式间接获取”个人信息的,“需向个人信息主体告知收集、使用个人信息的类型、目的、方式和范围,并征得个人信息主体的明示同意”。
这个要求意味着上文中的个人信息控制者A在从C处间接获取B的个人数据时,需要向个人信息主体B履行告知义务,并征得个人信息主体的明示同意。由于对间接获取数据从根本上获取了个人信息主体的同意,这一条款也将大大肃清现有数据应用灰色地带的乱象,但同时,这将赋予间接获取个人信息的控制者相当高的合规义务和显著提高其合规成本,后续该条款是否会被采纳,我们将拭目以待。
A
保险业务需要收集的个人信息范围
以笔者近期处理的保险公司数据合规项目为例,保险公司通过互联网平台销售保险产品提供保险服务,主要涉及为以下目的收集使用个人信息:
a.互联网平台用户注册;
b.客户投保:保费试算、建立客户关系(包括建立客户身份识别制度,反洗钱和恐怖主义融资以及反欺诈调查)、评估承保风险(包括自动化决策手段进行核保)、缴付保费,以及保障保险销售行为可回溯;
c.保单管理:为客户提供保全等保单服务以及其它客服服务;
d.理赔处理:接收、调查、核定、处理理赔申请,支付赔偿金或者给付保险金,发生保险理赔纠纷时的起诉和应诉;
e.提供增值服务;
f.保险服务生命周期中的其它目的:一般保险风险管理(包括再保险、对已有客户通过大数据模型进行风险分析和筛查)、用户画像和个性化展示等;
B
“告知同意”原则的普遍适用方式及弊端
在如何应用“告知同意”原则上,我们研究了目前我国App运营方的通行做法,即在隐私政策的“我们如何收集使用您的个人信息”部分向用户逐项说明各业务功能收集使用个人信息的情况,并在该部分末尾告知用户根据《个人信息安全规范》无需征得用户授权同意收集使用个人信息的例外情形。以淘宝App和平安健康App的隐私政策为例:
《淘宝网隐私权政策》
(最近更新日期:2019年12月11日)
《平安健康App隐私政策》
(最近更新日期2019年12月24日)
这种做法存在两个弊端:(1)用户并不知晓各项具体业务功能收集使用个人信息所对应的真正的合法性基础,进而引起收集使用个人信息仅基于其“授权同意”误解。例如《淘宝网隐私权政策》的前文要求用户就淘宝提供产品及/或服务的基本业务功能和附加业务功能收集使用用户个人信息予以授权同意,即便后文列明了无需征得用户同意的例外情形,但用户也无法判断各项具体业务功能收集使用个人信息是否适用例外情形并进行一一对应。(2)用户基于误解,进而误以为其对于任何业务功能收集的个人信息都可以随时撤回同意并要求删除数据。
C
“告知同意”原则对保险公司间接获取用户个人信息的影响
保险公司业务中存在间接获取用户个人信息的情况。例如在与银行的合作业务中,或与大数据公司合作的核保过程当中等。根据上文第(3)部分谈到的《告知同意指南(征求意见稿)》的新要求,要求“个人信息控制者从第三方间接接受、查询等方式间接获取”个人信息的,“需向个人信息主体告知收集、使用个人信息的类型、目的、方式和范围,并征得个人信息主体的明示同意”。若该条款正式生效,则很有可能导致保险公司不再继续或寻求与合作方共同探讨更新新的合作方式,以符合新拔高的合规义务。
D
保险业务应用“告知同意”原则的可行性探讨
个人信息控制者收集使用个人信息的合法性基础应结合具体目的和场景来判定。以保险公司通过互联网平台经营保险产品和服务为例,其中客户投保、保单管理、理赔处理时收集使用个人信息一是为用户与保险公司签订和履行保险合同所必须(包括保费试算、评估承保风险、缴付保费和支付赔偿金和保险金、理赔处理等),二是为履行法律法规所规定的强制性义务(包括《反洗钱法》《保险法》等相关法律法规规定的强制性义务)。在我国数据合规体系项下,此时保险公司处理用户的个人信息符合告知同意原则的例外情形,无须获取用户同意,但保险公司应当告知信息主体收集使用其个人信息的情形。因此,《隐私政策》或弹窗交互设计中虽然不必要求用户对此项作出明确同意,但仍应列明保险公司使用该个人信息的情形。
需要注意的是,那些是那些履约必要和强制性义务之外的个人信息,不应捆绑在数据控制者的强制性义务之上来获取用户同意,即用户注册保险公司平台账户、购买增值服务等服务中被收集的个人信息,应与用户购买保险产品和享受保险服务的此类履约必要或强制性义务所需的个人信息区别开来,分别告知用户使用情形,并针对那些基于用户自愿提供的数据获取用户的明确同意。
而为了避免前文所述的弊端,以及协助用户理解其个人信息的处理中哪些需要其同意,哪些豁免了用户的同意,我们建议可参考GDPR的规定要求数据控制者告知数据处理的目的同时还要告知数据处理的合法性基础。以下图英国保险行业协会LIoyd’s Market Association公布的保险行业隐私声明模版为例[7],其具体对到每一个保险业务环节收集使用个人信息涉及的合法性基础进行明确。笔者认为国内的保险业务参与者也可借鉴这个做法,在隐私政策文件中说明个人信息处理目的同时列明个人信息处理的合法性基础。
A
保险业务对外提供个人信息时的主要场景
保险业务主要涉及通过以下三种方式对外向第三方提供客户个人信息:
(1)合作共享:例如在线诊疗,健康测评等增值服务合作方;
(2)履行法律法规的强制性义务对外共享:例如根据《反洗钱法》、《非税收居民金融账户涉税信息尽职调查》等法律法规规定和保险监管政策向监管部门和机构共享;根据《保险法》相关规定办理再保险向再保险公司共享等;
(3)委托处理:例如数据处理外包方,将各类申请书及相关资料交给外包商进行数据录入处理;保单、信函打印外包方,委托外包商对客户的保单、信函等进行打印、封装和邮寄;理赔外包方,将一般理赔案件的收单、扫描、归档、数据录入、理赔、审核结案工序交予外包商处理;客服外包等。
B
合作共享
合作共享对外提供个人信息的合法性基础也应结合合作共享的具体目的和场景来判定。对于在线诊疗、国际救援等增值性服务来说,其不属于保险公司的主营业务,客户是否选择增值性服务应不影响其购买保险产品和享受保险服务。在这种情形下,客户对于是否选择增值性服务有真正的控制权和选择权,因此,客户的同意可以成为保险公司以提供增值性服务为目的收集使用个人信息并对合作方共享个人信息的有效合法性基础。
关于合作共享个人信息控制者须向个人信息主体告知的内容,《个人信息安全规范》第5.6条“隐私政策的内容和发布”中要求公开对外共享个人信息的目的、涉及共享个人信息类型,接收个人信息的第三方类型,以及所承担的相应法律责任。第8.2条“个人信息共享、转让”中则进一步要求若共享涉及个人敏感信息的,还须明确告知数据接收方的身份和数据安全能力。《告知同意指南(征求意见稿)》的《附录F 互联网金融场景下的告知同意》(以下简称为“附录F”)不区分第三方类型和是否为个人敏感信息,要求告知第三方的姓名或者名称,第三方收集、处理、使用个人信息的特定的用途,范围和可能产生的后果。
实践中,因合作共享方的身份信息涉及个人信息控制者的商业利益甚至可能触及商业秘密,个人信息控制者并不情愿通过隐私政策等方式向公众披露。目前各App运营者公布的隐私政策中主流作法(包括头部保险公司)仍是限于披露合作共享第三方的类型。
对比GDPR的规定,其在第13条和14条“数据控制者应向数据主体提供的信息中”并未如强制要求提供数据控制者身份(identity of controller)一样,要求提供接收方的身份信息,而是使用了提供接收方或接收方类型的表述(recipients or categories of recipients)。笔者查阅欧盟成员国几家市场占比高的保险公司,例如德国安联集团旗下的安联全球企业和特殊风险公司(AGCS)[8]和慕尼黑再保险公司(Munich Re)[9]、法国安盛集团(AXA)[10]以及奥地利Unica保险集团[11],均未涉及告知接收方的身份信息,告知的信息大致包括接收方类型、对外提供的目的、涉及数据主体类型和个人信息类型。
保险公司 | 隐私政策中“就向第三方提供信息”告知的信息 |
AGCS | 接收方类型 |
Munich Re | 接收方类型、对外提供目的,涉及的数据主体类型 |
AXA | 接收方类型、对外提供目的 |
Unica | 接收方类型、对外提供目的,涉及的个人数据类型 |
通常情形下,告知客户合作共享方类型、合作共享目的、涉及的个人信息这些信息就可以使客户了解共享方式处理其个人信息的情况,从而作出是否购买或接受某项产品/服务的选择判断。在这种情形下一味追求数据处理的透明度保护客户的信息自决权而不断使数据控制者让渡其正当商业利益是否必要合理,确实值得探讨。
C
履行法律法规的强制性义务对外共享
《个人信息安全规范》第8.5条规定了共享、转让、公开披露个人信息时事先征得授权同意的六种例外情形,20191022版征求意见稿在原版的基础上补充了“与个人信息控制履行法律法规规定的义务相关的”这一例外情形。《告知同意指南(征求意见稿)》对比《个人信息安全规范》除增添了2个例外情形外[12],还增加了“法律法规规定的其他情形”的兜底性条款。这就为保险公司依照《反洗钱法》、《非居民金融账户涉税信息尽职调查管理办法》等法律法规规定和银保监会要求履行报送义务,向中国反洗钱监测中心、国家税务总局、中国银行保险信息技术管理有限公司等监管部门和机构共享客户个人信息提供了与实际情况密切贴合的有效合法性基础。
同时,《告知同意指南(征求意见稿)》在附录F的第G.3[13]条中又增加了互联网金融场景下(包括互联网保险业务)免于个人信息主体授权同意的三种情形:
a) 提供给中国人民银行个人征信中心或经其批准设立的合法征信机构;
b) 提供给中国互联网金融协会及其他合法成立的行业协会;
c) 基于非营利性科研目的的提供给科研机构。
如前文所述,虽然履行法律法规的强制性义务对外共享无须征得用户的授权同意,但个人信息控制者仍须向个人信息主体告知共享个人信息的目的信息,以保障个人信息处理活动的透明和公平。
D
委托处理
委托处理是受托处理者在个人信息控制者授权下依照个人信息控制者的指示进行数据处理活动。从委托代理的基本民事法律关系上看,数据委托处理行为是个人信息控制者和处理者之间的内部关系,其合法性基础源于个人信息控制者处理个人信息的合法性基础。若个人信息控制者收集处理个人信息基于个人信息主体的同意,那么只要处理行为未超出个人信息主体的授权范围,个人信息控制者就无需就委托处理行为单独获得个人信息主体的授权同意。
因此,尽管《网络安全法》对外提供个人信息一刀切要求遵循 “告知同意”原则,但《个人信息安全规范》和《告知同意指南(征求意见稿)》还是将个人信息委托处理行为与个人信息共享、转让和公开披露进行了区别规定,将委托处理排除在需要获取个人信息主体的授权同意的对外提供个人信息情形[14]。但令人费解的是,《告知同意指南(征求意见稿)》的附录F与正文规定相冲突,在第G.1.2条第a)项注明要求金融机构将收集的个人信息委托给外包服务供应商或者外部合作机构处理的,也应当事先取得个人信息主体的明示同意。
关于个人信息控制者是否需要向个人信息主体告知委托处理的相关情况,《个人信息安全规范》在第5.6条“隐私政策的内容和发布”中未要求个人信息控制者向个人信息主体披露委托处理的相关情况,App专项治理工作组在《App违法违规收集使用个人信息自评估指南》也未作相关要求。实践中,国内App运营者也极少将委托处理的具体情形公布在隐私政策文件和弹窗声明中,供用户阅读并获取用户的同意。
但《告知同意指南(征求意见稿)》在附录F第G.1.2条中除不区分第三方类型要求公布第三方名称外,还进一步指出:1)将固定类型的委托外包服务在隐私政策或服务合同内予以列明,清晰告知客户;2)将不固定类型的委托外包服务在具体应用场景予以说明,显著标示、提示第三方服务商名称。
对比新公布的《个人金融信息保护技术规范》,其对于个人金融信息(保单信息等)的委托处理的限制并不多,但明确声明C3及C2类别信息中的用户鉴别辅助信息不应委托给第三方机构进行处理。比较之下,《告知同意指南(征求意见稿)》附录F的告知内容似乎超出必要和合理的范围,过于谨慎。对比GDPR的规定,GDPR在第13条和14条“数据控制者应向数据主体提供的信息中”包括了接收方或者接收方类型信息,而根据GDPR第4条第(9)款“接收方”的定义,接收方是指除了公权力部门外,个人信息控制者披露个人信息的所有对象,其中应包括数据处理者。如笔者上文提及的欧盟成员国几家市场占比高的保险公司均在隐私政策中对委托处理情况进行了不同详细程度的说明,比较好的实践是慕尼黑再保险公司(制定了专门的关联处理者列表)和奥地利Unica保险集团,将处理者类型和处理主题及目的信息对用户进行了公开。
笔者认为,虽然个人信息控制者无需就委托处理单独获得个人信息主体的同意或者具备其它合法性基础,但为了确保个人信息处理过程的透明度,个人信息控制者也需向个人信息主体公开委托处理的相关情况,包括处理者类型、委托处理的目的,以及委托处理的责任承担。
注释:
[1]张新宝:《个人信息收集:告知同意原则适用的限制》,载于《比较法研究》2019年第6期。
[2]《告知同意指南(征求意见稿)》“同意”的豁免情形区分为收集、使用目的变更和对外提供三种情形。限于篇幅考虑,我们将《告知同意指南(征求意见稿)》关于收集获取同意的豁免情形放置于篇末。
[3]见第29条工作组《关于第2016/679号条例(GDPR)下同意的指南》第3.1节。
[4]见第29条工作组《关于第2016/679号条例(GDPR)下同意的指南》第3.3节。
[5]GDPR前言第39条。
[6]见GDPR第12条以及第29条工作组《关于第2016/679号条例(GDPR)下透明度原则的指南》第5段。
[7]https://lmg.london/wp-content/uploads/2019/07/LMA-Insurance-Market-Information-Uses-Notice-post-enactment-31-05-2018.pdf.
[8]https://www.agcs.allianz.com/footer/privacy-notice.html.
[9]https://www.munichre.com/en/general/privacy.html.
[10]https://www-axa-com.cdn.axa-contento-118412.eu/www-axa-com%2Fc42c297c-365b-41c1-be83-2560d62ebef3_axa_privacy_notice_clients_prospects_202001_va.pdf.
[11]https://www.uniqa.at/versicherung/Uebersicht_Datenempfaenger_Versicherungsvertraege.pdf.
[12]对外提供已进行去标识化处理的个人信息,该个人信息无法单独识别到个人身份,且经个人信息安全影响评估后接收方不可识别个人身份的;个人信息控制者因被收购、兼并、重组、分拆等主体变更导致向数据接受者转让个人信息,且数据接收者承诺将继续履行安全义务的。
[13]编号应为F.3,为公布标准文本的笔误。
[14]《个人信息安全规范》第8.5条,《告知同意指南(征求意见稿)》第5.3d)款;《告知同意指南(征求意见稿)》甚至在第3.8条把“对外提供”定义个人信息控制者通过共享、转让、公开披露等方式将个人信息传输或披露给第三方的过程,把委托处理排除在“对外提供”情形之外。
附 录
《告知同意指南(征求意见稿)》
6.1 收集使用个人信息时免于告知同意的情形:
以下情形中,个人信息控制者收集、使用个人信息的,需以适当方式告知个人信息主体目的,但无需征得个人信息主体的明示同意:
(1) 与个人信息控制者履行法律法规规定的强制性义务相关的,例如为履行相关法律法规规定的反洗钱监管要求,收集实名身份信息及相关交易记录;
(2) 与国家安全、国防安全直接相关的;
(3) 与公共安全、公共卫生、公共网络安全、网络环境治理、重大公共利益直接相关的,例如为加强口岸防控人感染特定流感疫情,对疑似病例人员采样进行病原体监测,详细登记其个人信息、联系方式等;
(4) 与犯罪侦查直接相关的,例如为侦查刑事案件,收集、使用犯罪嫌疑人的指纹、DNA等生物信息、通话记录、上网记录等;
(5) 出于维护个人信息主体或其他个人的生命、财产等重大合法权益但又很难得到本人同意的,例如因患者陷入严重昏迷无法取得本人同意,医生为救助患者必须检测其血型以向其输血;
(6) 所涉及的个人信息是个人信息主体自行向不特定社会公众公开的,例如收集、使用用户在开放式社交平台上自行向所有平台用户公开的本人学历背景、就职单位等个人信息;
(7) 与商业或职务行为直接相关的个人信息,例如企业依法注册登记、备案的法定代表人、股东、监事、高管的个人信息,个体工商户依法登记、备案的个人信息等;
(8) 为履行或签订个人信息主体与个体信息控制者之间的合同所必需的,如,购物网站为实现其基本功能寄送用户网购的商品而收集、使用用户的姓名、住址和联系电话,网络租房平台为实现其基本功能与用户签订租房合同,收集用户的实名信息、手机号码等个人信息;
(9) 用于维护所提供的产品或服务安全、质量和稳定运行以及防范危害运营安全行为所必需的。例如某软件为确保产品或服务的安全稳定运行,收集用户的设备类型、网络运行日志、崩溃报告等日志信息用于分析和改善软件运行情况;或者防止恶意注册、批量点击等危害运营安全活动,收集用户设备信息、日志信息、网络接入情况等信息。
(10) 个人信息控制者为学术研究机构,出于公共利益开展统计或学术研究所科研机构必要,且其对外提供学术研究或描述的结果时,对结果中所包含的个人信息进行去标识化处理的,例如某学术研究机构为调查研究某公共政策对不同性别、不同年龄、不同地区的人群的影响情况,收集、使用被调查人员的性别、年龄、地区等个人信息,但在提供研究成果时对所包含的个人信息进行去标识化处理;
(11) 个人信息控制者为新闻单位且其在开展合法的新闻报道所必需的,例如某报社为报道某大学志愿者在贫困山区支教的情况,收集、使用了志愿者的姓名、在读学校等个人信息等;
(12) 从合法公开披露的信息中收集个人信息的,如合法的新闻报道、政府信息公开等渠道,例如国家审计署网站公告的移送违纪违法问题线索的查处情况等;
(13) 与个人信息主体求职、就业直接相关的,例如用人单位收集个人信息主体投递的包含姓名、联系电话、学历背景、工作经验等个人信息的简历;
(14) 法律法规规定的其他情形,例如酒店、航空公司等按照相关法律法规规定收集旅客的实名身份信息等。
(15) 专为未成年人提供服务的产品或应用,为保障未成年人的合法权益(例如:教育应用为保障教学过程中教师不侵犯儿童合法权益而对教学视频进行抽检),在充分告知监护人的前提下,可以豁免征求同意。
(16) 收集已进行匿名化处理的个人信息,该个人信息无法单独识别到个人身份(不具有可识别性的信息);
(17) 个人信息控制者因被收购、兼并、重组、分拆等主体变更导致向继受者提供或者转移个人信息的情形;
(18) 法律法规规定的其他情形。
注:个人信息控制者在以上情形中收集使用个人信息的,应该告知信息主体收集使用其个人信息的情形。
或许您还想看
周杨:GDPR实践笔记 | GDPR辖内,cookie应何去何从?
周杨、张忠:从抖音被罚案审视未成年人个人信息保护——基于合规视角
周杨:信息保护标准解读系列之一 |《个人信息安全工程指南》解读
周杨、江智茹 | 隐私保护设计(PbD):个人信息保护的学霸方法论
周杨律师系北京德和衡律师事务所网络安全与数据合规业务部合伙人律师,北京律协科技与大数据法律事务专业委员会委员、互联网仲裁院副秘书长,德衡律师集团互联网与TMT业务中心副总监,电子商务合规业务专业委员会主任,具有十余年工作经验,致力于与客户及其互联网产品共同应对每一次合规挑战。
2012年之前在内资知名知识产权律师事务所担任公司部律师及负责人,主要负责高新技术、知识产权相关的企业法律事务,处理事务包含企业法律风险合规处理、投资并购及争议解决。2012年之后在国内著名互联网企业360专业从事网络安全及相关互联网产品合规工作,并在后续执业中专注于互联网高新技术企业及前沿领域研究,擅长领域主要包含个人数据保护、GDPR、信息安全和电子商务平台合规治理(含跨境电商)。
周杨律师代表业绩有:奇虎360多个产品线合规工作,《360隐私保护白皮书》首版撰稿人之一;为某国内知名地产客户提供个人信息保护合规治理项目法律服务;为某金融机构提供个人信息保护合规治理项目法律服务;为某跨国企业员工数据出境提供合规治理法律服务;为某央企下属科技企业提供产品合规治理法律服务;为某著名跨境电子商务平台提供产品合规服务,兼顾国内个人信息保护及GDPR合规需求,为客户产品设计、开发及上线的产品合规工作,以及线上线下运营的商务模式的法律合规工作提供咨询和文件起草服务;为国内大型清算交易中心提供多次GDPR及个人信息保护专题培训;为国内著名女性电子商务平台提供产品合规服务,除完成产品筛查、用户协议、隐私政策撰写及修订工作外,为信息安全部门提供了多轮个人信息保护培训。
联系方式
电话:18610123230
邮箱:zhouyang@deheng.com
杨雪娇,北京德和衡律师事务所互联网与TMT业务中心网络安全与数据合规业务部律师助理(实习律师),毕业于浙江大学和德国慕尼黑大学。擅长互联网产品法律风险分析及控制,并尤为擅长研究和解决网络安全与数据保护、电子商务等领域内的产品合规问题。
联系方式
电话:13810048335
邮箱:yangxuejiao@deheng.com
✦质控人:陈国彧 互联网与TMT业务中心副总监、金融科技合规应用专业委员会主任
✦本文仅代表作者观点,如需转载、节选,请在后台留言联系小编