袁立志、潘舒然：关于个人信息保护法草案的七个疑问

点击蓝字｜关注我们

袁立志：北京市竞天公诚律师事务所上海分所合伙人律师

021-2613 6222

yuan.lizhi@jingtian.com

潘舒然：021-2613 6174

pan.shuran@jingtian.com

备受社会关注的《个人信息保护法》渐行渐近。2020年10月21日，全国人大发布了《个人信息保护法》草案（以下简称“草案”），公开征求意见。在研究草案的过程中，我们对草案的一些条款如何理解和适用、是否存在不协调不一致的问题，有一些疑问和思考，遂梳理成此文，以推动对草案的讨论和完善。

一、非基于同意处理个人信息时，是否需要履行告知义务？

草案第13条规定：“符合下列情形之一的，个人信息处理者方可处理个人信息：（一）取得个人的同意；（二）为订立或者履行个人作为一方当事人的合同所必需；（三）为履行法定职责或者法定义务所必需；（四）为应对突发公共卫生事件，或者紧急情况下为保护自然人的生命健康和财产安全所必需；（五）为公共利益实施新闻报道、舆论监督等行为在合理的范围内处理个人信息；（六）法律、行政法规规定的其他情形。”

该条规定了个人信息处理的合法性基础。除个人同意外，草案增加了五种合法性基础，即签订或履行合同、法定职责和义务、紧急情况、新闻报道以及法律法规另有规定。这五种情况可视为同意的例外。

关于告知义务，草案第18条第1款规定了告知的一般要求，并在第19条规定了例外情形：“个人信息处理者处理个人信息，有法律、行政法规规定应当保密或者不需要告知的情形的，可以不向个人告知前条规定的事项。 紧急情况下为保护自然人的生命健康和财产安全无法及时向个人告知的，个人信息处理者应当在紧急情况消除后予以告知。”

告知与同意是相互关联的，无告知则无同意，但反之是否成立，则有疑问。在非基于个人同意处理个人信息时，处理者是否需要履行告知义务呢？

草案在很大程度上借鉴了欧盟《统一数据保护条例》（以下简称“GDPR”），所以我们先来看GDPR的规定。GDPR第6条规定了处理个人信息的六项合法性基础，第13条和第14条规定了告知的具体要求，分别针对从数据主体处收集个人信息时应提供的信息与非从数据主体处获取个人信息时应提供的信息。这两条均为第12条下透明原则的要求。根据WP29的解释，无论基于哪项合法性基础，透明原则的要求都应当在数据处理全生命周期中得到满足。因此，在GDPR下，对于任何处理数据的行为，数据控制者都应当履行告知义务，而不管其依赖何种合法性基础。

不过，GDPR第13条和第14条均规定了免除告知义务的情形，第13条规定个人已经了解告知内容时告知义务可以免除，第14条则在第13条规定的情形外，增加了三种无需告知的情形：（1）告知会带来不对等的投入或事实上不可能完成，数据控制者可以通过公开告知内容等适当措施保护数据主体的合法权益；（2）数据控制者是根据欧盟法或成员国法获取或披露个人信息的，且会采取适当措施保护数据主体的合法利益；（3）根据欧盟法或成员国法规定的保密义务无需披露的。

由此可见，在GDPR下，非基于个人同意处理个人信息时，原则上需要履行告知义务，但存在多项豁免告知的情形。

草案第18条规定一般告知义务时，并未将其限定于基于同意处理个人信息的情形。根据文义解释和体系解释，应当理解为，无论是基于同意还是其他合法性基础，处理个人信息前都应当履行告知义务，除非属于第19条规定的例外情形。第19条规定的例外情形包括无需告知和事后告知两种情形，前者为法律、行政法规规定应当保密或不需要告知，后者为紧急情况。与GDPR相比，草案规定的例外情形要狭窄得多。“法律、行政法规规定”也使得适用例外的门槛非常高，因为其他法律、行政法规中很少会明确说出“不需要告知”这句话。这样狭窄的、高门槛的告知豁免能否满足实践要求呢？比如，电视台播放新闻前是否需要以及如何向个人履行告知义务？是否需要逐个告知？在签订合同时，如果缔约过程或合同内容已足以使个人知晓个人信息处理情况，还需要告知吗？

我们认为，对于非基于同意处理个人信息时处理者的告知义务，草案应当借鉴GDPR的做法，给予更大的灵活空间，以应对复杂的实践情况。

二、受托处理者是否直接承担行政法上义务和责任？

草案第22条规定：“个人信息处理者委托处理个人信息的，应当与受托方约定委托的目的、处理方式、个人信息的种类、保护措施以及双方的权利和义务等，并对受托方的个人信息处理活动进行监督。 受托方应当按照约定处理个人信息，不得超出约定的处理目的、处理方式等处理个人信息，并应当在合同履行完毕或者委托关系解除后，将个人信息返还个人信息处理者或者予以删除。 未经个人信息处理者同意，受托方不得转委托他人处理个人信息。”除该条之外，草案其他条款都没有明确提到受托处理者的义务或责任。

按照上述规定，受托处理者的义务包括：（1）在委托范围内处理个人信息；（2）及时返还或删除；（3）不得擅自转委托。疑问是，该等义务是法定义务还是纯合同义务呢？亦或是两者兼具？由此引发的进一步疑问是，受托处理者违反该等义务，是仅对委托者承担违约责任，还是要直接承担行政违法责任，并对个人承担侵权责任？

先来看一下GDPR是如何处理这个问题的。在GDPR下，受托处理者被称为“处理者”，与草案定义的“处理者”含义不同，为了方便讨论，我们将其称为受托处理者。GDPR项下个人数据保护义务的主要承担者是数据控制者，但GDPR也在多个条款中直接规定了受托处理者义务，包括：（1）遵守GDPR对数据处理协议内容的强制性要求，如处理者仅应按照控制者的要求处理数据；（2）未经控制者同意，不得转委托；（3）保存数据处理活动的记录；（4）设置数据保护官（DPO）；（5）采取适当的数据安全保护措施；（6）遵守数据跨境传输规则；（7）获悉数据泄露事件，立即通知控制者；（8）配合监管机构等。由此可见，在GDPR下，受托处理者需要直接承担法定义务，相应地，GDPR规定的行政处罚责任和个人民事索赔也直接适用于受托处理者。

根据草案第22条，个人信息的委托处理关系是通过处理者与受托处理者之间的协议来构建的，双方的权利义务的具体内容由双方通过协议来约定。但是，为了保护个人信息，草案对双方的契约自由施加了限制，一是对双方协议的必备内容提出强制要求，二是对受托处理者的三项核心义务做出直接规定，即无论双方协议是否对此有约定，受托处理者都应遵守这三项义务。

在上述逻辑下，受托处理者的义务就不仅是对委托者的合同义务，而是兼具法定义务性质；违反该等义务，不仅要对委托者承担违约责任，还要直接面临行政处罚责任（草案第62条未限定处罚对象），并面临个人提起的侵权索赔（草案第65条未限定侵权责任人范围）。

不过，仍然有疑问：除了上述三项义务，受托处理者还要承担其他法定义务吗？如上所述，草案其他条款都没有直接提到受托处理者的义务，这是不是意味着受托处理者不用承担其他义务呢？

我们认为，受托处理者至少还应当承担个人信息安全保护义务，毕竟受托处理者才是实际的信息处理者，草案应当明确规定受托处理者的安全保护义务。

三、处理者向第三方提供个人信息时，由谁来向个人进行告知同意？

根据草案第24条，个人信息处理者（“提供方”）向第三方（“接收方”）提供其处理的个人信息的，应当向个人告知接收方的身份、联系方式、处理目的、处理方式和个人信息的种类（“初始告知同意”），并取得个人的单独同意。接收方应当在上述处理目的、处理方式和个人信息的种类等范围内处理个人信息。接收方变更原先的处理目的、处理方式的，应当重新向个人告知并取得其同意（“重新告知同意”）。

根据上述规定，提供方应履行初始告知同意义务，而接收方则承担重新告知同意的义务。疑问是，如果初始告知同意可以由接收方来实现吗？反过来，重新告知同意可以由提供方来实现吗？

《个人信息安全规范》对此有规定。其第9.2条对个人信息共享的行为作出了规定，第5.4条则对间接收集个人信息做出规定。共享和间接收集是一体两面的，区别只在于表述角度。第9.2条规定了提供方的初始告知同意义务，第5.4条则规定了接收方的重新告知同意义务，但后者允许通过提供方来实现。

在实践中，很多情况下提供方只就其自身收集和使用个人信息履行了告知同意义务，并未就对外提供个人信息进行告知同意，即初始告知同意不存在。在此情况下，如果接收方能够获得个人的同意，一般认为也是满足法律要求的，可以提供个人信息。典型的场景是贷款风控场景，提供风控数据的上游数据源在获得个人信息时尚未确定下游接收方，所以无法获得个人的充分有效同意，或者甚至没有告知同意，此时就只能依赖下游的数据使用方来获得个人的同意。反过来，如果数据接收方要变更使用目的，而其与个人之间缺乏便捷的交互途径，则可以依赖提供方来实现重新告知同意。

还需要澄清一点的是，提供环节的告知同意义务只需提供方或接收方中任意一方履行即可，即提供方向个人履行告知同意义务后，接收方就没必要再次进行告知同意，反之亦然。重复的告知同意是没有必要的。

基于上述分析，我们认为，草案可以将初始告知同意义务赋予提供方，将重新告知同意义务赋予接收方，但这并不妨碍一方在承担告知同意义务前提下，根据具体的业务场景，经由对方来具体实现告知同意。义务承担与具体实现路径是可以分离的。

四、公共场所采集个人图像或身份特征信息，“设置显著的提示标识”是告知同意的替代措施还是补充措施？

根据草案第27条，在公共场所安装图像采集、个人身份识别设备（“公共场所身份识别”），应当为维护公共安全所必需，遵守有关国家规定，并设置显著的提示标识（“设置标识”），所收集的个人图像、个人身份特征信息只能用于维护公共安全的目的，不得公开或者向他人提供；取得个人单独同意或者法律、行政法规另有规定的除外。

关于该条的第一个疑问是，设置标识究竟是一般告知同意方式的替代措施还是补充措施？我们根据此类行为所依赖的合法性基础的不同来分类讨论。

当公共场所身份识别条款的合法性基础是同意时，由于公共场所人员的数量众多和不特定性，尤其应当关注告知同意实现的方式。设置标识可以解释为一般告知同意方式的替代措施，也可以解释为告知同意的补充措施。在前者，相对于一般的告知同意方式，告知被简化为现场的提示标识，而同意则以默示的方式实现，比如，通过停留在该公共场所中代表同意，离开代表不同意。考虑到公共场所采集的人脸等识别信息高度敏感，这种解释很可能招致质疑。在后者，除了设置标识外，处理者还应当按照第13条至第18条的一般规则履行告知同意义务，这种解释虽然有利于充分保护个人的知情权和决定权，但较难实现，是当前实践中的一个难点。

公共场所身份识别条款的适用前提是“为维护公共安全所必需”，这很容易与第13条第3项“履行法定职责和义务”或第6项“法律法规规定的其他情形”联系起来。在疑问一的分析中，我们已指出，无论基于哪一种合法性基础，告知通常都是必需的，但是也存在一定例外。当公共场所身份识别的合法性基础是“履行法定职责和义务”或“法律法规规定的其他情形”时，不需要个人的同意，但可能仍然需要告知。此时，设置标识的要求也有替代措施和补充措施两种解释，同上面一样。不一样的是，由于此种情形下不需要个人同意，那么告知的要求是否可以相应降低？将设置标识解释为替代措施，相对容易让人接受。

按照第27条的文义，两种解释都有一定道理，但都面临一定的难题。草案既然为回应社会关切，特意引入这个条款，就应当尽可能消除歧义，把规则确定清楚。

五、经过个人单独同意，是否可以为公共安全以外的目的在公共场所安装识别设备？

关于草案第27条的第二个疑问是，在获得个人单独同意的情况下，是否可以为了公共安全以外的目的，在公共场所安装识别设备?

之所以提出这个问题，是因为按照现行法律对于公共场所的定义，商场或商店有可能属于公共场所。如果将安装识别设备采集个人信息的目的唯一限定在公共安全，则新零售场景的很多应用将受到严重影响。

从第27条的结构看，该条文共有两层意思并通过句号区分，第一句话规定了安装设备的条件（“收集行为”），第二句话通过分号分为两部分，前半句规定了将收集的个人信息对外提供、公开披露或用于其他目的禁止（“提供等行为”），后半句则规定了例外，即是征得个人的单独同意或者法律法规的规定。从标点符号的使用来看，个人单独同意作为例外，针对的是第二句话的前半句（即提供等行为），而并非第一句话（即收集行为）。按照这种理解，即使获得个人的单独同意，也不能为了公共安全以外的目的，在公共场所安装识别设备。

考虑到对文本的精雕细琢并不是我们立法传统的显著特点，不能排除上述标点符号的使用是草案文本的疏漏。但有一些理由支持这不是文本疏漏，上述理解可能正是立法者的本意。比如，草案引入第27条，是为了回应近年来社会对人脸识别技术广泛应用的担忧。从立法目的来看，该条就是为了防止在公共场所通过识别设备滥采滥用个人识别信息，所以对其设置了严格的限制，这也是国家严格保护公民基本权利的体现。

无论如何，第27条的引入将对相关行业产生重大影响，希望最终公布的正式文本能够明确规则，实现个人信息保护与利用的平衡。

无论如何，第27条的引入将对相关行业产生重大影响，希望最终公布的正式文本能够明确规则，实现个人信息保护与利用的平衡。

六、国家机关履行法律职责，需要遵循“告知同意”规则吗?

草案在第2章设专节规定国家机关处理个人信息的规则，其中第35条规定：“国家机关为履行法定职责处理个人信息，应当依照本法规定向个人告知并取得其同意；法律、行政法规规定应当保密，或者告知、取得同意将妨碍国家机关履行法定职责的除外。”这将告知同意作为国家机关处理个人信息的一般要求。

但是，根据草案第13条关于处理个人信息合法性基础的规定，取得个人同意和为履行法定职责或义务所必需这两项合法性基础是并列存在的，为履行法定职责或义务而处理个人信息，是不需要个人同意的。这就产生了第13条与第35条如何协调适用的问题。在疑问一中，我们已经讨论过无论基于何种合法性基础，告知通常都是必要的，因此这里的疑问点就是，国家机关为履行职责处理个人信息是否通常必须取得个人的同意？根据不同的条款，我们可以得出不同的结论。

如果认为应当取得个人的同意，其法律依据可以是草案第33条，“国家机关处理个人信息的活动适用本法；本节有特别规定的，适用本节规定。”从体系解释的角度看，国家机关在处理个人信息时应当遵循国家机关专节中规定的告知同意要求，即使其依赖的合法性基础不是个人同意。

如果认为不应当取得同意，其法律依据可以是草案第13条，为履行法定职责所必需是与同意相并列的合法性基础，因此无需另行获得信息主体的同意。

综上，在草案第35条和第13条有所冲突的情形下，我们认为从实践角度出发，较为理想的情况应当是给予国家机关在不同处理场景下的选择权，既可以选择“同意”作为合法性基础，也可以选择法定义务或职责作为合法性基础，而不能一刀切要求国家机关遵循告知同意规则。

七、跨境委托处理是否需要遵循跨境提供规则？

草案第3章“个人信息跨境提供的规则”中对跨境提供个人信息的行为作出规定。疑问是，“跨境委托处理”是否属于“跨境提供”，进而适用第3章的规则呢？

之所以提出这个问题，是因为草案前后所使用的措辞。草案在第22条规定了委托处理规则，又在第24条规定了向第三方提供个人信息的规则，由此可见，草案将“委托处理”与“提供”视为两种不同的个人信息处理行为。据此，则“跨境提供”不包括“跨境委托处理”。

但是，我们认为“跨境委托处理”也应当遵守第3章的规则，原因在于，虽然委托处理与提供在法律上性质不同，委托处理下，只有一个处理者，受托处理者是处理者人格的延伸；而在提供场景下，存在两个处理者，一个是提供者，一个接收者，二者是独立的。但是从个人信息跨境监管的目的来说，无需进行这种区分。跨境监管着眼的是数据的转移，只要发生跨境转移，无论是基于委托处理还是提供，都会产生安全风险，都应当纳入监管。因此“跨境委托处理”和“跨境提供”应当适用同一套跨境规则。

GDPR在第5章规定了数据跨境传输的原则和规则，其原文用词是“transfer”。GDPR第44条规定，跨境数据传输规则应当同时适用于受托处理者与控制者。因此，GDPR中的“数据传输”包含了“委托处理”这一过程。对于“transfer”一词，GDPR也没有给出具体的定义。但ECJ在Lindquist一案[3]中提到“transfer”指的是通过积极主动的行为将数据传输到另一个国家，仅“making accessible”并不能构成“transfer”，但是欧盟数据保护监管机构（以下简称“EDPS”）认为以识别为目的的“making available”也有可能被认为“transfer”。[4]不过无论是根据Lindquist案的定义还是EDPS的定义，“transfer”指的都是数据从一国传输至另一国的过程，而“跨境委托处理”也需要将数据从一国传输至另一国。从这一角度看，“transfer”也包含了“委托处理”。因此，GDPR第5章关于数据跨境传输的规定应当适用于包括“跨境委托处理”在内的所有跨境传输行为。在欧盟委员会就数据跨境传输提供的三份标准合同条款中，有一个适用于从控制者传输数据至受托处理者的情形，可资佐证。

基于上述分析，我们相信，虽然草案第3章在标题和条文仅使用“提供”一词，但并无意排除跨境委托处理，只是文本的疏漏。只需将第3章中的“提供”改为传输“传输”或“转移”，即可覆盖委托处理。

结 语

从2003年开始筹划至今，个保法的制定终于接近尾声，而关于个保法草案的种种讨论，才刚刚开始。可以预料，个保法正式出台后，这种讨论会更多。我们将持续跟踪研究这部重要法律。

微信号 : DigitalLaw_ECUPL

探寻数字法治逻辑

展望数字正义图景

数字法治战略合作伙伴：理财魔方

北京市竞天公诚律师事务所上海分所