原创 | 个人信息“共享”:真实的风险在哪里?
随着金融科技的蓬勃发展,为其提供“基础设施”的大数据行业也不断壮大迭代。大量数据服务商从上游数据源获取海量数据,建构属于自己的数据分析模型,再针对不同的应用场景对外输出数据产品。伴随着欧盟GDPR等规范的出台,国内数据行业几家头部企业,如某盾、某羯因数据服务引发官司甚至刑事风险,业内不得不开始思考,在现有中国法律框架下,如何合法合规地流转数据?我们结合已有规范以及正在征求意见的可参考规范、专家意见稿等,对数据企业中的“个人信息共享”问题提出几点建议,供大家参考。
1. 经营数据传输,需关注“个人信息共享”问题;
2. 需核验:参与者传输个人信息数据已获授权;
3. 仍需核验:企业输出的源数据已获授权;
4. 未尽核验义务,需承担法律责任。
公司间传输个人信息数据,需关注共享问题
我们接触过大量数据公司后,发现目前数据公司上下游之间相互传输的数据内容及数据类型包含多种形态。最常见的有物理数据明细、离散数据、内部逻辑数据等。物理数据明细是未经处理的个人具体信息。离散数据和内部逻辑数据则是对个人信息数字化或者以某种内部逻辑处理后,对外输出的有一定评价意义的数字。但以上内容对外输出时均与信息主体的姓名、身份证号、手机号等其他必要身份识别信息相对应,如此便属于法定的“个人信息”,在对外输出时,便涉及个人信息“共享”的问题。
“个人信息共享”一词根据《信息安全技术 个人信息安全规范(征求意见稿)》(以下简称《个人信息安全规范》)第3.12条,指的是:“个人信息控制者向其他控制者提供个人信息,且双方分别对个人信息拥有独立控制权的过程”,属于间接收集个人信息的方式之一。
当然,有些数据源公司与下游数据服务商之间的数据传输用加密方式进行,当该加密技术一般技术人员不可破解,则该加密方法在现有技术条件下我们认为是可用的。
参与“共享”需明确:数据是否需要且已获授权
《个人信息安全规范》第8.2条指出,个人信息控制者共享数据时,应充分重视风险,并符合以下要求:“……b)向个人信息主体告知共享、转让个人信息的目的、数据接收方的类型以及可能产生的后果,并事先征得个人信息主体的授权同意。共享、转让经去标识化处理的个人信息,且确保数据接收方无法重新识别或者关联个人信息主体的除外……”。
参考《个人信息保护法(专家意见稿)》第三十一条,“信息业者收集个人信息,应当通过用户协议、隐私政策、即时通知等方式,以清晰、易懂的用语告知信息主体下列事项……信息业者间接收集信息主体个人信息时,应当在收集个人信息后不超过一个月的合理期限内告知信息主体前款各项事项;间接收集的个人信息用于联络信息主体时,应当在初次联络信息主体时告知其前款各项事项”。
我们可以看到,目前国家标准规范以及未来立法,对数据共享这种间接收集个人信息的授权要求存在以下两种情形:
a) 数据接收方获得的个人信息属于去标识化处理的个人信息,且无法识别或关联到个人信息主体的,则数据接收方不必事先征得个人信息主体的授权同意;
b)数据接收方获得的个人信息并未去标识化的,则需要提供数据方事先征得个人信息主体同意,履行告知义务,而间接收集到个人信息的接收方需在收集个人信息后的合理期限内告知个人信息主体相关事项。
数据公司的朋友们,您家属于哪种呢?
仍需核验:输出企业的源数据是否已获授权
数据公司的朋友们在确保自身授权手续的情况下,是否就万无一失了呢?
答案是否定的。
根据《个人信息安全规范》第5.4.d条:“间接获取个人信息时:(1)应要求个人信息提供方说明个人信息来源,并对其个人信息来源的合法性进行确认;(2)应了解个人信息提供方已获得的个人信息处理的授权同意范围,包括使用目的,个人信息主体是否授权同意转让、共享、公开披露、删除等;(3)如开展业务所需进行的个人信息处理活动超出已获得的授权同意范围的,应在获取个人信息后的合理期限内处理个人信息前,征得个人信息主体的明示同意,或通过个人信息提供方征得个人信息主体的明示同意”。
也就是说,数据企业在间接获取个人信息时,还须要求数据源公司提供证据或承诺证明其个人信息来源的合法性,并对此予以确认。
未尽核验义务:需承担法律责任!
如数据公司没有履行数据核验义务而使用上游提供的风险数据,则可能承担《个人信息安全规范》项下规定的过错责任以及其他衍生法律风险。需注意的是,我国目前没有建立完备的个人信息保护法律体系,未能明确相应的数据核验责任。
但实践中,《个人信息安全规范》却可成为监管机关所参照的重要标准。一旦个人信息控制者因间接收集数据造成侵权或者其他后果,是否履行核验义务将作为判断数据企业是否存在主观过错的重要依据之一。
数据企业逐步来到历史的拐点,目前法律规则不甚明朗,但基本发展方向却有迹可循。对此,我们建议数据公司的朋友们尽早开展自检自查,同时也可以着手向数据源公司请求出示相应授权文件,以核验核查数据源是否合法合规,并有相应授权。
2019年,感谢大家的支持与关注。
2020年,小文继续,我们一起共克时艰!预祝大家新年快乐!
(文章来源于飒姐团队:肖飒 崔咪)
区块链及其应用领域,推荐阅读
《ICO黑洞:创新融资疯狂的背后》
扫描下方二维码即可购买
原创 | 如何找到肖飒"金融科技”法律团队?
用心 | 重启"飒姐约饭",中午见!
肖飒,垂直“金融科技”的深度法律服务者,中国银行法学研究会理事、中国社会科学院产业金融研究基地特约研究员、金融科技与共享金融100人论坛首批成员、人民创投区块链研究院委员会特聘委员、《区块链应用蓝皮书(2019)》撰稿人之一。被评为五道口金融学院未央网最佳专栏作者,互金通讯社、巴比特、财新、证券时报、新浪财经、凤凰财经专栏作家。
让金融科技人远离“囹圄”!!
办公邮箱:sa.xiao@dentons.cn