上政学报 | 程 啸:论个人信息处理者的告知义务
点击蓝字
关注我们
学术关注:聚焦《个人信息保护法》
论个人信息处理者的告知义务
本篇系《上海政法学院学报》2021年7月份的网络首发文章,正式刊登于2021年第5期。
特约主持人
石佳友
主持人按语
备受瞩目的《个人信息保护法》已于2021年8月20日通过,并于2021 年11月1日起施行。《个人信息保护法》是我国以集中和体系化的方式全面规定个人信息保护各个环节的专门性立法,是对《网络安全法》《民法典》等法律中个人信息保护制度的细化、完善与发展,也是继《网络安全法》《数据安全法》等立法之后夯实数据与信息安全、贯彻总体国家安全观的又一标志性立法成果。中国的个人信息立法工作虽然起步略晚,但可谓起点高、进展快、效果好。立法机关充分发挥“后发优势”,立足于我国国情,深入研究借鉴比较法的先进经验,在此基础上创立了中国的个人信息保护模式:在调整对象上,《个人信息保护法》采纳了一般个人信息和敏感个人信息的二元分类;在规制对象上,《个人信息保护法》既调整平台企业等私法主体的信息处理活动,也对国家机关处理个人信息作出了特别规定;在监管模式上,《个人信息保护法》采取了统筹协调和分散监管相结合的模式。为深入剖析《个人信息保护法》,本期刊载了多篇专题研究成果,聚焦于《个人信息保护法》的立法创新(告知义务、知情同意规则、个人信息处理的限度)、立法争议(个人信息的匿名化处理)、与其他民事权利制度的关系(隐私权、数据权等)等层面。这些成果以草案文本为基础,结合比较法经验,从不同视角对草案相关条文提出了深入的分析,以期进一步深化对立法相关制度及条文的思考,也期待在相关主题上学术界能有更多的深入思考、讨论和争鸣。
作者:程啸,清华大学法学院教授,博士生导师。
内容摘要
告知同意规则由告知规则与同意规则组成。告知规则意味着处理者在处理个人信息前负有向个人进行告知相关事项的义务。无论个人信息处理行为是否基于个人的同意,处理者原则上都负有告知的义务,除非法律规定了可以免于告知。告知义务对于确保自然人对其个人信息处理的知情权,贯彻落实公开透明原则具有重要作用。我国《个人信息保护法(草案二审稿)》对免除告知义务的情形、告知义务的履行方式、告知的内容等作了详细的规定,是非常正确的,但是还需要进一步通过相关立法和标准作更细致明确的规定。
关键词
个人信息保护;处理者;告知同意规则;告知义务
一、引言
个人信息保护法中的告知同意规则,也称“知情同意规则”,是指任何组织或个人在处理个人信息时都应当对信息主体,即其个人信息被处理的自然人进行告知,并在取得同意后方可从事相应的个人信息处理活动,否则该等处理行为即属违法,除非法律另有规定。告知同意的规则最早为1970年德国黑森州的数据保护法所确认,目前已经成为绝大多数国家个人信息保护法承认的基本规则。之所以告知同意规则被认为是个人信息处理中的基本规则,原因在于个人信息是可直接或间接识别特定自然人的信息,与自然人的人格尊严和人格自由息息相关。为了保护人格尊严和人格自由这一最高位阶的法益,自然人对其个人信息享有受到法律保护的民事权益。我国《中华人民共和国民法典》(以下简称“《民法典》”)明确承认了自然人的个人信息权益,赋予了自然人对其个人信息享有作为民事权益的人格权益。这就意味着其他人需要尊重该权益而不得侵犯它。同样,承认自然人的个人信息权益就必然导致对他人行为自由的限制,即任何组织或个人没有得到自然人的同意而处理其个人信息的行为,属于侵害个人信息权益的不法行为,具有非法性。个人信息从来不是什么任由他人使用的公共物品,以维护公共利益与公共安全并促进个人数据的流动共享为由否定自然人对其个人信息的权利,将个人信息作为公共品完全交由政府通过公法规制的观点,漠视了个人信息上承载的民事权益,只能导致大量以维护公共利益之名而行侵害私权利之实的恶行,最终的结果是既无法维护公共利益,更无法保护民事权益。私权保护与公法规制之间不是非此即彼的关系,而是应当通过两者共同构建个人信息保护的制度基石。
我国个人信息保护方面的法律明确采取了告知同意规则。2012年的《全国人民代表大会常务委员会关于加强网络信息保护的决定》第2条要求,网络服务提供者和其他企业事业单位在业务活动中收集、使用公民个人电子信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。《中华人民共和国网络安全法》(以下简称“《网络安全法》”)第41条第1款规定:“网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。”《民法典》第1035条第1款更是明确规定:“处理个人信息的,应当遵循合法、正当、必要原则,不得过度处理,并符合下列条件:(一)征得该自然人或者其监护人同意,但是法律、行政法规另有规定的除外;(二)公开处理信息的规则;(三)明示处理信息的目的、方式和范围;(四)不违反法律、行政法规的规定和双方的约定。”《中华人民共和国个人信息保护法(草案一审稿)》第13条曾将作为基本原则的告知同意规则与其他例外情形并列,虽然条文表述上简洁了一些,却弱化了告知同意规则的基本原则地位。令人高兴的是,《中华人民共和国个人信息保护法(草案二审稿)》(以下简称“《草案二审稿》”)第13条进行了修改,该条增加了一款,即“依照本法其他有关规定,处理个人信息应当取得个人同意,但有前款第二项至第七项规定情形的,不需取得个人同意。”如此一来,就凸显了告知同意规则在个人信息处理活动中基本规则的地位,即取得同意是原则,不需要取得同意是例外,《草案二审稿》的这一修改值得肯定。
告知同意规则由告知规则与同意规则组成。要确保个人的同意是在充分知情的前提下,自愿、明确地作出的,就必须对个人信息处理者的告知提出相应的要求。否则,个人的同意不可能是真实、自愿和明确的,处理者对个人信息的处理也不可能是公开透明的。故此,告知规则与同意规则相辅相成,不可或缺。我国理论界与实务界对告知同意规则已有一定的研究,但主要集中在对同意规则的研究,而对告知规则即处理者的告知义务的研究相对较少。有鉴于此,本文将结合《草案二审稿》的规定,就个人信息保护法中处理者的告知义务进行研究,研究的问题主要包括:个人信息处理中告知义务的产生,主要澄清告知规则和同意规则的关系;处理者何时免除告知义务;告知的内容即处理者应当向个人告知的事项;告知义务的履行方式,包括告知的时间、告知的方式等。
一、个人信息处理中告知义务的产生
告知规则与同意规则具有紧密的关系,即凡是需要取得个人同意的个人信息处理活动,处理者都需要履行向个人的告知义务,在取得个人同意后才能实施个人信息处理活动。否则,该处理活动就是非法的。对此,不存在疑问。然而,个人信息处理活动的合法性根据并不仅仅在于个人的同意,除了个人的同意外,还有法律、行政法规等规定的合法性根据。申言之,为了在保护个人信息权益的同时,也能实现个人信息的合理利用,同时维护公共利益、国家利益等,法律上有必要规定不适用告知同意规则的例外情形。我国《民法典》第1035条第1项规定,处理个人信息的,应当征得该自然人或者其监护人同意,但是法律、行政法规另有规定的除外。所谓法律、行政法规另有规定的除外情形,《民法典》列举了三种情形:其一,依据《民法典》第999条,为公共利益实施新闻报道、舆论监督等行为的,可以合理使用民事主体的个人信息;其二,依据《民法典》第1036条第2项,合理处理该自然人自行公开的或者其他已经合法公开的信息,但是该自然人明确拒绝或者处理该信息侵害其重大利益的除外;其三,依据《民法典》第1036条第3项,为维护公共利益或者该自然人的合法权益,合理实施的其他行为。《草案二审稿》第13条第1款详细列举了六项无须取得个人同意的情形,分别是:⑴为订立或者履行个人作为一方当事人的合同所必需;⑵为履行法定职责或者法定义务所必需;⑶为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;⑷依照本法规定在合理的范围内处理已公开的个人信息;⑸为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;⑹法律、行政法规规定的其他情形。《草案二审稿》第13条第2款明确规定,处理者处理个人信息时,有上述六种情形的,无需取得个人同意。
然而,同意规则在前述法律、行政法规规定的情形中不适用,并不等于告知规则就不适用。也就是说,处理者即便基于法律、行政法规规定的情形处理个人信息,虽然不需要取得个人的同意,但是仍然要履行告知义务。例如,处理者为了订立或者履行个人作为一方当事人的合同而必须处理个人信息时,依据《草案二审稿》第13条第1款第2项以及第2款的规定,可以不需要取得个人的同意。但是,处理者仍然必须履行告知义务,即在处理个人信息前,向个人告知相应的事项。再如,依据《中华人民共和国反洗钱法》的规定,金融机构负有反洗钱义务,这是一种法定义务。故此,该法第16条规定,金融机构应当按照规定建立客户身份识别制度。金融机构在与客户建立业务关系或者为客户提供规定金额以上的现金汇款、现钞兑换、票据兑付等一次性金融服务时,应当要求客户出示真实有效的身份证件或者其他身份证明文件,进行核对并登记。由于金融机构是为了履行反洗钱这一法定义务而处理客户的个人信息,故该处理行为不需要取得个人的同意,但是,金融机构仍然必须履行告知义务,使作为客户的个人知道自己的个人信息被以何种方式、为实现何种处理目的而处理。
之所以在无须个人同意的个人信息处理活动中,原则上也必须适用告知规则,使处理者负有告知义务,根本原因在于要贯彻落实公开透明原则,保护个人对个人信息处理的知情权。个人信息本身无须法律保护,法律保护的只是个人信息上承载的自然人的人格尊严、人身自由等宪法上的基本权利,以及人身财产权益等民事权益。申言之,个人信息保护法的根本目的就在于通过对个人信息处理行为的规范,防止因非法的个人信息处理行为而给信息主体,即个人的人格尊严、人身自由等宪法上的基本权利,以及人身权益、财产权益造成侵害或损害。在大数据时代,个人信息被收集、储存、转让和使用已经成为每个自然人被嵌入其中的社会生活常态,无法改变。然而,无论是数据企业、政府部门还是其他主体,它们出于不同的目的而实施的个人信息处理行为,极有可能会给个人带来各种前所未有的危险。例如,基于收集的个人信息而形成的大数据,通过算法等技术进行社会分选、歧视性对待,进而损害人格尊严的危险;再如,通过大数据和人工智能技术进行人格画像,将作为民事主体的自然人降格为客体并加以操控,进而损害人格自由等。为了消除上述各种新的危险,法律上必须承认自然人对个人信息具有一种防御性的利益,并给予保护。如此,才可能为信息社会的每个自然人筑起一道坚实的法律保护屏障,使之免于遭受上述危险现实化后所带来的损害。所以,个人信息保护法需要赋予个人对个人信息处理的知情权,使其知道为实现何种处理目的,哪些个人信息被以何种处理方式加以处理。为此,个人信息保护法将“公开透明原则”(The Transparency Principle)作为一项基本原则。
所谓公开透明原则,是指处理个人信息时应当采取公开、透明的方式,公开个人信息处理的规则,向信息主体明示个人信息处理的目的、处理的方式和处理的范围。如果个人信息处理者不以公开、透明的方式处理个人信息,而是采取隐秘的、暗箱操作的方式,那么该处理行为就侵害了自然人对其个人信息享有的知情权和决定权,即侵害了个人信息权益,这种处理行为是非法的处理行为。欧盟《一般数据保护条例》(General Data Protection Regulation)(以下简称“《条例》”)在“鉴于部分(也称序言部分)”的第39条指出,透明原则“特别涉及数据主体关于控制者身份的信息和处理目的以及进一步处理的信息,以确保对有关自然人的公正和透明的处理以及获得有关其正被在处理的数据的个人确认和通信的权利。应该让自然人了解与处理个人数据有关的风险、规则、保障和权利,以及如何行使与处理有关的权利。特别是,处理个人数据的具体目的应清晰且合法,并在收集个人数据时予以明确。”许多国家或地区的数据保护和个人信息保护法都要求处理者必须遵循公开透明的原则。例如,早在 1980 年以欧盟为主导的经济合作与发展组织颁布的《隐私保护和个人数据跨疆界流动的指导原则》中就提出了公开原则,该指导原则指出:“公开原则可能被视为个人参与原则的先决条件,后一原则要生效,获得关于个人数据的收集、储存或利用的信息在实践上必须是可能的。在自愿的基础上从数据控制者处获得的常规信息,涉及个人数据处理活动描述的官方登记者的出版活动和公共机构的登记,是一些(虽然不是全部)可能实现此种原则的方法。”再如,2018年的美国《加州消费者隐私法案》(California Consumer Privacy Act)第2节立法目的明确指出:“人们期许隐私和其信息的更多控制。加利福尼亚消费者应当能够就其个人信息行使控制权,并且期待防治个人信息滥用的保护措施。企业可能在尊重消费者隐私的同时,就其企业活动提供高水平的透明度。”依据2018年《巴西通用数据保护法》第6条第6款的规定,个人数据处理应当遵循透明原则,即“保证数据主体能够就数据处理和相应的处理代理人获得清晰、准确和易得的信息,且遵守商业和企业机密”。我国《草案二审稿》第7条也明确了公开透明原则,该条规定:“处理个人信息应当遵循公开、透明的原则,公开个人信息处理规则,明示处理的目的、方式和范围。”
由此可见,虽然基于公共利益等诸多考量,法律和行政法规规定了不需要取得个人同意即可处理个人信息的情形,但是,基于公开透明原则和保障个人对个人信息处理的知情权的要求,不能认为无须个人同意就等于无须向个人告知。因此,无论个人信息处理是基于个人的同意还是基于其他合法性根据,原则上处理者都必须履行向个人进行告知的义务,除非法律另有规定。
二、处理者不负有告知义务的情形
与同意规则一样,告知规则也有不适用的情形,即在特定的情形下,处理者不负有告知的义务。但是,在个人信息处理中,免除告知义务的情形和无须同意的情形存在差别。换言之,对于免除告知义务的情形的规定应当比无须取得个人同意的情形更加严格。在个人信息的处理中,如果以取得个人同意作为处理行为合法的唯一根据,就会极大地损害个人信息的合理利用,因为个人不同意,处理者就不能处理个人信息,所以法律上必须在协调个人信息权益与个人信息合理利用的基础上,明确各种不需要同意的具体情形。由于需要考虑的利益众多,如公共利益、法定职责、国家利益、自然人的生命健康和财产安全,所以,法律和行政法规上规定的不需要同意的情形自然就会比较多。但是,告知义务则有所不同,告知义务的履行既有利于维护个人的知情权,也完全不会如同意规则那样构成对处理者实施个人信息处理活动的法律障碍。故此,法律上对于免于告知的情形应当作更加严格的限制。不仅如此,法律上也不应当允许处理者与个人约定免除告知义务,或者通过格式条款来排除告知义务,因为这种约定或排除告知义务的做法,构成对自然人就其个人信息享有的知情权的侵害,也违反了公开透明度原则,是无效的。
比较法上对处理者免除告知义务的情形有不同的规定。有些国家或地区是在区分处理者究竟是直接从个人处收集个人信息,还是非直接从个人处收集个人信息的基础上,分别作出对处理者免除告知义务的情形的规定。例如,欧盟《条例》第13条和第14条分别对控制者从数据主体处收集个人数据和并非从数据主体处收集个人数据,分别对控制者应当提供的信息以及免于提供信息的问题作了规定。依据第13条第4款,如果控制者是直接从数据主体处收集个人数据的,那么只有当数据主体已经获得了该条第1款至第3款列举的信息时,才免除控制者提供信息给数据主体的义务,即告知义务。如果控制者并非是从数据主体处获取的个人数据,依据《条例》第14条第5款的规定,该条第1款至第4款的规定在以下情形不适用:(a)数据主体已经获得上述信息。(b)上述信息的提供是不可能的,或者是需要付出不适当的工作量,尤其是根据本条例第89条第(1)款的条件和保障,处理出于公共利益、科学、历史研究或数据统计目的;或者本条第1款所述的义务有可能导致处理目标无法实现或严重影响处理目标的实现。在此情况下,控制者应当采取适当的措施(包括采取公开信息的措施)保护数据主体的权利、自由,以及合法利益。(c)控制者应当根据欧盟或成员国法律所规定的获取或者披露个人信息的规定,采取合适的措施保护数据主体的合法利益。(d)根据数据主体应遵守的包括保密法在内的欧盟或成员国法律规定的专业保密制度,个人数据必须保密。再如,我国台湾地区“个人资料保护法”也是依据处理者直接向个人收集个人资料,抑或搜集非由当事人提供之个人资料,而对告知义务的免除作出了不同的规定。依据“该法”第8条,在公务机关或非公务机关依该法第15条或第19条的规定向当事人搜集个人资料时,如果有下列情形之一的,可以免于告知义务:⑴依法律规定得免告知;⑵个人资料之搜集系公务机关执行法定职务或非公务机关履行法定义务所必要;⑶告知将妨害公务机关执行法定职务;⑷告知将妨害公共利益;⑸当事人明知应告知之内容;⑹个人资料之搜集非基于营利之目的,且对当事人无不利之影响。依据我国台湾地区“个人资料保护法”第9条的规定,如果公务机关或非公务机关依“该法”第15条或第19条规定,搜集非由当事人提供之个人资料,有下列情形之一的,可以免除告知义务:⑴“该法”第8条第2款所列的各种情形之一;⑵当事人自行公开或其他已合法公开之个人资料;⑶不能向当事人或其法定代理人告知;⑷基于公共利益为统计或学术研究之目的而有必要,且该资料须经提供者处理后或搜集者依其揭露方式,无从识别特定当事人者为限;⑸大众传播业者基于新闻报道之公益目的而搜集个人资料。
应当说,区分个人信息的来源而规定告知义务免除的情形是有一定道理的。因为在处理者直接面向信息主体收集信息时,与从信息主体之外的其他来源取得个人信息时,告知义务的意义不同。直接从信息主体处收集信息,告知义务的履行能够有效地保障个人是在充分知情的前提下自愿作出同意,该义务之履行对于贯彻落实个人信息处理中的公开透明原则等具有重要意义。故此,免于告知义务的情形应当作非常严格的限制,只有当个人已经知道了告知的内容,或者告知义务会损害公共利益或者妨害法定职责的履行时,才能免除告知义务。但是,从其他来源处取得信息时,处理者并非直接面向个人,其有可能是从已经公开的信息中获取的个人信息,也有可能是从其他处理者那里取得的个人信息。此时,如果提供个人信息给处理者的其他处理者已经告知了个人并取得了同意,则接受者无须再行告知。如果处理者获取的是合法公开的个人信息,也无须告知并取得同意,因为对于合法公开的信息是可以合理利用的,要求处理者告知个人也没有实际意义。
从《草案二审稿》来看,我国没有采取上述模式来分别规定处理者免除告知义务的情形。《草案二审稿》第19条第1款规定:“个人信息处理者处理个人信息,有法律、行政法规规定应当保密或者不需要告知的情形的,可以不向个人告知前条规定的事项。”第35条规定:“国家机关为履行法定职责处理个人信息,应当依照本法规定向个人告知并取得其同意;法律、行政法规规定应当保密,或者告知、取得同意将妨碍国家机关履行法定职责的除外。”这就是说,免除告知义务的情形可以分为三类:其一,法律、行政法规规定应当保密的情形;其二,不需要告知的情形;其三,告知将妨碍国家机关履行法定职责。在这三类情形下,虽然处理者都免除告知义务,但性质上存在差别。第一种情形是法律、行政法规规定了保密的义务,故此,无论处理者是否属于国家机关,都依法负有保密义务,不仅不能告知个人,而且一旦告知了个人还违反了法定的保密义务,属于违法行为,应当承担法律责任。第二种情形只是免除了处理者的告知义务,至于处理者自愿决定告知个人的,也没问题。第三种情形则仅适用于国家机关,以及法律、法规授权的具有管理公共事务职能的组织,为履行法定职责而处理个人信息的情形,必须是告知将妨碍法定职责的履行才可以免除告知义务。
法律、行政法规规定应当保密的情形是非常明确的。这是指基于侦查犯罪、反恐怖主义等维护公共安全、国家安全等社会公共利益和国家利益的考虑,而由法律、行政法规规定的处理者的保密义务。《中华人民共和国保守国家秘密法》第9条规定:“下列涉及国家安全和利益的事项,泄露后可能损害国家在政治、经济、国防、外交等领域的安全和利益的,应当确定为国家秘密:(一)国家事务重大决策中的秘密事项;(二)国防建设和武装力量活动中的秘密事项;(三)外交和外事活动中的秘密事项以及对外承担保密义务的秘密事项;(四)国民经济和社会发展中的秘密事项;(五)科学技术中的秘密事项;(六)维护国家安全活动和追查刑事犯罪中的秘密事项;(七)经国家保密行政管理部门确定的其他秘密事项。政党的秘密事项中符合前款规定的,属于国家秘密。”例如,公安机关、国家安全机关或国家情报工作机构依据《中华人民共和国反恐怖主义法》第45条、《中华人民共和国反间谍法》第12条、《中华人民共和国国家情报法》第15条等规定,公安机关依据《中华人民共和国刑事诉讼法》第150条的规定,经过严格的批准手续,可以采取技术侦查措施处理个人信息的,不仅其信息无须被处理的个人同意,并且基于保密义务的规定,更不能告知个人。
值得研究的是,何为“不需要告知的情形”及告知“将妨碍国家机关履行法定职责”的情形?《草案二审稿》并没有作具体的规定。笔者认为,所谓不需要告知的情形,至少应当包括以下几类情形:(1)作为信息主体的个人已经知悉了告知的内容,此时无须处理者告知。例如,在处理者A向处理者B提供其处理的个人信息时,根据《草案二审稿》第24条的规定,A应当向个人告知B的身份、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意。在这种情形下,由于A已经履行了告知义务,个人已经知道了告知的内容,B就无须再行告知了。(2)处理已经合法公开的个人信息。我国《民法典》第1036条第2项规定,合理处理该自然人自行公开的或者其他已经合法公开的信息,行为人不承担民事责任。这意味着,在处理合法公开的个人信息时,处理者不需要取得个人的同意。此时,应当认为也不需要告知个人。因为,如果要求对已经合法公开的个人信息也逐一告知并取得同意的话,不仅成本极为巨大、难以实现,也不利于个人信息的合理利用,妨碍数字经济的发展。
所谓告知“将妨碍国家机关履行法定职责”的情形,主要是指虽然法律、行政法规没有规定国家机关的保密义务,但是如果处理个人信息前告知个人,就会使得国家机关无法履行法定职责。例如,依据《中华人民共和国税收征收管理法》第54条的规定,税务机关有权检查纳税人的账簿、记账凭证、报表和有关资料,检查扣缴义务人代扣代缴、代收代缴税款账簿、记账凭证和有关资料。在这种情形下,不仅处理个人的信息无须取得同意,也不需要告知,否则可能出现个人突击转移、篡改甚至销毁账簿、记账凭证、报表和有关资料,导致税务机关无法履行税收征收管理的法定职责。为了防止随意以告知将“妨碍国家机关履行法定职责”为由,不履行告知义务,未来我国法律法规有必要对于妨碍国家机关履行法定职责的情形予以明确。
三、告知的内容
告知义务的内容,是指处理者应当向个人信息被处理的个人告知哪些事项。例如,《条例》第13条和第14条分别对于控制者从数据主体处收集个人数据以及其他来源收集个人信息时应提供的信息作出了规定。依据第13条第1款,控制者应当在向数据主体获取其个人数据时,向数据主体提供以下信息:(a)控制者的身份和详细联系方式,如适用,还要提供控制者代表的身份和详细联系方式;(b)如适用,提供数据保护官的详细联系方式;(c)个人数据处理目的以及处理的法律依据;(d)当处理是依据本条例第6条(1)款(f)项的规定进行的,控制者或者第三方追求的合法利益;(e)如有,提供个人数据接收方或者接收方的种类;(f)如适用,控制者意图将个人数据向第三国或者国家组织进行传输的事实、欧盟委员会是否就此问题做出过充分决议,或者依据本条例第46条、第47条或者第49条(1)款第2段所述情形下,所采取的保护个人信息的合理安全措施以及获取副本的方式。依据同条第2款的规定,除第1款所述信息外,控制者在获取个人数据时,为确保处理过程的公正和透明之必要,应当向数据主体提供如下信息:(a)个人数据的存储期限,在无法提供的情形下,提供存储期限的确定标准;(b)数据主体具有向控制者主张其个人数据的获取、修改、删除、限制处理、反对处理、可携带的权利;(c)根据本条例第6条第⑴款(a)项或者本条例第9条第2款(a)项,在不触犯法律的前提下随时撤回同意的权利,撤回同意不影响同意撤回之前根据有效同意进行的数据处理活动的有效性;(d)向监管机构投诉的权利;(e)个人数据的提供是否基于法律规定、合同要求,或订立合同之必要,数据主体是否有义务提供个人数据,以及如无法提供数据可能产生的后果;(f)本条例第22条第⑴款以及第⑷款所述的自动决策机制,包括数据画像及有关的逻辑程序和有意义的信息,以及此类处理对数据主体的意义和预期影响。此外,该条第3款还规定,如果控制者进一步处理个人数据的意图与数据收集时的目的不同,控制者应当在此之前基于进一步处理目的向数据主体提供与第2款有关的信息。日本的《个人信息保护法》则区分不同类型的个人信息处理活动,分别规定了处理者应当告知的事项。依据该法第18条第1款,个人信息处理业者取得个人信息后,除已事先公布其利用目的的情形外,应当迅速将该个人信息的利用目的通知给本人或者予以公布。而依据该法第27条第1款,对于持有的个人数据,个人信息处理业者应当将下列事项置于本人容易知悉的状态(包括根据本人的要求立即予以答复):⑴该个人信息处理业者的姓名或名称;⑵全部持有的个人数据的利用目的(属于第18条第4款第1项至第3项规定的情形除外);⑶根据下一款规定的要求、或者下一条第一款、第29条第1款或第30第1款或第3款规定的请求而实施的程序(在依照第30条第2款的规定确定了手续费的金额时,包括该手续费的金额);⑷前三项规定的事项以外的、政令规定的在确保持有的个人数据之正当处理上所必要的事项。
在我国法律中,就处理者应当向个人告知哪些事项,《民法典》第1035条以及《网络安全法》第41条第1款只是规定了“处理信息的目的、方式和范围”等内容,没有作出具体的规定。从比较法上来看,对告知的具体内容都有明确的规定。较为详细地规定处理者告知内容的,目前主要是一些规章和标准。例如,国家互联网信息办公室颁布的《儿童个人信息网络保护规定》,对网络运营者收集儿童个人信息时应当告知的事项作了较为详细的列举。依据该规定第10条第1款,网络运营者征得同意时,应当同时提供拒绝选项,并明确告知以下事项:⑴收集、存储、使用、转移、披露儿童个人信息的目的、方式和范围;⑵儿童个人信息存储的地点、期限和到期后的处理方式;⑶儿童个人信息的安全保障措施;⑷拒绝的后果;⑸投诉、举报的渠道和方式;⑹更正、删除儿童个人信息的途径和方法;⑺其他应当告知的事项。我国的《个人信息保护法》中应当对告知的具体内容作更详细的规定。再如,《信息安全技术规范个人信息安全规范》(GB/T35273-2020)第5.4条规定,收集个人信息,应向个人信息主体告知收集、使用个人信息的目的、方式和范围等规则。
从《草案二审稿》来看,立法机关采取可称之为“一般规定+特殊规定”的方式对处理者应当向个人告知的事项作了规定。所谓一般规定,就是《草案二审稿》第18条第1款规定的事项。这些事项是任何个人信息处理前,处理者都应当向个人告知的共同事项或一般性事项。所谓的特殊规定,就是针对一些特殊的个人信息处理行为而新增加一些告知事项的规定,如《草案二审稿》第24条、第31条、第39条等的规定。具体阐述如下。
(一)关于告知事项的一般规定
《草案二审稿》第18条第1款规定,个人信息处理者在处理个人信息前应当向个人告知4类共同的事项。
首先,个人信息处理者的身份和联系方式。之所以要求告知这一事项,是因为现代网络信息科技的发展,使得个人信息处理活动成为生产生活中的常态,不仅处理者主体复杂多元,而且处理行为隐秘专业。为了确保个人信息处理的公开透明与公正,处理者必须向个人告知处理者的身份与联系方式,从而使得个人知悉其个人信息究竟是被何人处理,并能够向处理者行使其在个人信息处理中的权利,如查阅、复制、更正、补充、删除等权利。
其次,个人信息的处理目的、处理方式,处理的个人信息的种类、保存期限。所谓个人信息处理的目的,是指处理者究竟是为了什么目的而处理个人信息的。之所以要求必须告知处理目的,是因为处理目的在个人信息处理中非常重要。目的限制原则是个人信息处理中的基本原则,其要求处理者在处理个人信息时应当具有明确、合理的目的,并应当限于实现处理目的所必要的最小范围,采取对个人权益影响最小的方式,不得进行与处理目的无关的个人信息处理。故此,只有明确了处理目的,个人才能有针对性地决定是否就特定处理目的的处理行为给予同意。正因如此,当处理者有多个处理目的时,为了确保个人作出的同意是明确的,不能将这些处理目的进行合并而一次性取得授权,必须就具体的处理目的分别取得个人的同意。
个人信息的处理方式主要是指处理者对个人信息采取何种处理方法,具体包括个人信息的收集、存储、使用、加工、传输、提供、公开等。因此,处理者必须告知个人,其采取哪些处理方式,是仅仅收集、存储,但不使用、加工,抑或收集、存储、使用、加工但不提供等。不同的处理方式对于个人信息权益的影响不同,故此需要告知个人并取得同意。
个人信息的种类很多,包括但不限于自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。个人信息可以分为敏感的个人信息与非敏感的个人信息,不同的个人信息对于个人信息权益的影响不同。敏感的个人信息的处理对于个人信息权益的危险很大,因为此类信息一旦泄露或者非法使用,就有可能导致个人受到歧视或者人身、财产安全受到严重危害。所以,个人信息的种类属于必须告知的事项。处理者在向个人告知处理的个人信息的种类时,应当遵循公开透明的原则,不能过于笼统。例如,不能简单告知所处理的个人信息是“健康信息”或“与健康有关的信息”,这个范围太广泛了,可能涵盖了无数的信息,处理者必须明确具体的信息种类,如“心率”“血压”和“怀孕年龄”,这取决于处理行为及处理目的。
个人信息的保存期限也很重要,保存期限越长,出现泄露或非法使用的可能性就越大,对个人信息权益的不利影响就越大。因此,需要告知个人。而且,个人知悉保存期限也有利于其在保存期限届满时及时依据《中华人民共和国个人信息保护法》第47条的规定行使删除权。
再次,个人行使本法规定权利的方式和程序。我国《民法典》和《网络安全法》赋予了自然人针对其被处理的个人信息享有查询、复制、抄录权,发现错误时的更正权,以及要求删除个人信息的权利。但是,《草案二审稿》第18条第1款第3项规定的是“个人行使本法规定权利的方式和程序”,言下之意就是,处理者只需要个人行使《个人信息保护法》规定的权利的方式和程序,至于《民法典》《网络安全法》等其他法律规定的个人针对个人信息的权利如何行使等,不属于告知的内容。作此规定的理由在于:个人信息保护法中规定的权利是个人在个人信息处理中的权利,这些权利指向的是个人信息处理者。而个人信息处理活动的范围是限定的,不包括自然人因个人或家庭事务处理个人信息的活动(《草案二审稿》第71条第1款)。但是,《民法典》和《网络安全法》并未排除自然人因个人或家庭事务处理个人信息的活动。此外,《草案二审稿》所规定的个人在个人信息处理中权利的范围非常广泛,已经完全包含了《民法典》《网络安全法》规定的个人信息权利类型。
最后,法律、行政法规规定应当告知的其他事项。这是兜底性规定,一方面与《个人信息保护法》关于特殊告知事项的规定相衔接,另一方面也为将来相关法律和行政法规的规定留下空间。
(二)关于告知事项的特别规定
《草案二审稿》除了第18条就处理者一般应当告知的事项外,还针对几类特殊的个人信息处理行为,就处理者的告知事项作了特别的规定,具体包括三种情况。首先,在个人信息处理者因为法人或非法人组织的合并、分立等原因而需要转移个人信息时,依据《草案二审稿》第23条的规定,应当向个人告知接收方的身份和联系方式,这主要是为了确保个人能够向接收方主张个人信息处理中的权利。其次,处理者向他人提供信息时,依据《草案二审稿》第24条的规定,还必须向个人告知接收方的身份、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意。这是因为处理者将个人信息提供给他人的,接收方并非单纯地接受个人信息,有可能要按照新的处理目的,采取新的处理方式对个人信息进行处理。故此,要求处理者而非接收方向个人进行告知并取得单独同意,否则不得向他人提供个人信息。再次,为了更好地保护敏感的个人信息,《草案二审稿》第31条要求个人信息处理者在处理敏感的个人信息时,不仅要告知第18条第1款规定的事项,还应当向个人告知处理敏感个人信息的必要性以及对个人的影响。之所以要求处理敏感的个人信息时必须告知处理的必要性,是因为敏感的个人信息属于一旦泄露或非法使用,可能会导致个人受到歧视,或人身、财产安全受到严重危害,故法律上应当给予更强的保护。虽然我国个人信息保护法没有采取原则上禁止而例外才允许的处理敏感个人信息的模式,但通过强化对处理敏感个人信息的必要性的要求,可以更好地保护个人信息权益。所谓对个人的影响,是指处理敏感的个人信息可能会对个人产生的影响,主要是指不利的影响。只有充分披露这种影响,才能保证个人是在充分知情的情况下作出自愿的同意。最后,在个人信息跨境提供时,依据《草案二审稿》第39条,处理者还应当向个人告知境外接收方的身份、联系方式、处理目的、处理方式、个人信息的种类,以及个人向境外接收方行使本法规定权利的方式等事项。
四、告知义务的履行方式
(一)告知的时间
个人信息处理者必须是在处理个人信息前向个人信息被处理的个人进行告知,而不能在已经实施了个人信息处理行为之后再告知个人,这是对处理者告知时间的要求。如果告知的事项发生了变更,如处理的目的、处理的方式等发生了变化,那么,处理者应当在变更前将变更部分告知个人,而不能已经对处理目的或处理方式进行了变更,并按照变更后的目的和方式对个人信息进行了处理之后,才告知个人。否则,此种变更后的处理行为就是非法行为。
考虑到在有些情况下,处理者虽然应当履行告知义务,但是由于情况紧急,无法及时告知。此时,应当明确在紧急情况消除后,处理者仍然应当履行告知义务。依据《草案二审稿》第13条第1款第4项,在紧急情况下为保护自然人的生命健康和财产安全所必需时,无须取得个人的同意。但是,这种情形并不意味着个人信息处理者就可以不告知个人。同时,考虑到既然是紧急情况,那么就有可能无法及时向个人进行告知,故此,《草案二审稿》第19条第2款规定,紧急情况下为保护自然人的生命健康和财产安全无法及时向个人告知的,个人信息处理者应当在紧急情况消除后及时告知。
(二)以显著方式、清晰易懂的语言进行告知
由于个人信息处理具有很强的技术性,十分专业,而个人对此知之甚少,因此导致了二者的信息不对称,故此,如果处理者通过一大堆专业术语或者含糊其辞的表述来告知,那么个人难以理解此种个人信息处理对自己的权益有何利弊,存在何种风险,故此,难以作出自由的决定。在实践中,不少个人信息处理者为了满足法律的要求,规避法律风险,往往采取“捆绑式”的方式列出内容冗长繁琐的隐私政策条款,给用户带来阅读上的极大困难。有研究表明,用户仅阅读一年中所使用的网络服务的隐私政策就需要花费224个小时,同时还要考虑到用户的教育背景不一对于各个条款的理解能力有所偏差所带来的现实性困境。有鉴于此,个人信息保护法中以公开透明原则作为个人信息处理的一项基本原则。依据这一原则,处理者在履行告知义务时,应当使用清晰易懂的语言和显著的方式进行告知。对此,《草案二审稿》第18条第1款作出了规定,即处理者在履行告知义务的时候,应当“以显著方式、清晰易懂的语言”向个人进行告知。所谓显著方式,是指个人信息处理者应当以个人容易辨识且易于获取的方式了解到处理者告知的内容,而不能将其隐藏在一大堆包含各种内容的所谓的“隐私政策”当中,或者以极小的字号、难以辨识的字体等其他不显著的方式,让个人无法容易辨识或获取处理者所告知的内容。这种所谓的告知本质上就是一种欺诈或误导的做法。故此,《草案二审稿》第18条第1款要求,处理者必须以显著方式进行告知。
清晰易懂的语言,意味着处理者应当以普通人能理解的语言表述进行告知,从而使得任何不具备个人信息处理专业知识的个人能够知道处理者所告知的内容。在实践中,为规避法律责任,个人信息处理者往往倾向于使用极其抽象或相当晦涩的语言来描述隐私政策中对个人信息收集和使用的目的,如“改善服务质量”“提升用户体验”“研发新产品”“增强安全性”等。这种语言表述显然是非常模糊的,而且也使得处理者的处理目的变得很不明确,违反了目的限制原则和公平透明原则。
(三)告知的形式
个人信息处理者履行告知义务的方式分为以下两类。
一是逐一告知,即个人信息的处理者在处理个人信息前,以一对一的方式向每一个其个人信息被处理的自然人进行告知,并逐一取得自然人的同意。此种方式在以人工的或非自动化的方式处理个人信息时使用较多,例如,在当事人申请不动产登记时,其向登记机构提交登记申请书,申请相应的不动产登记,不动产登记机构应当在登记申请书中向申请人告知处理该申请人的个人信息的目的、方式和范围等内容,进而取得申请人的同意。再如,当个人信息处理者与某一自然人磋商订立合同时而收集该自然人的个人信息,也可能进行一对一的告知并取得同意。
二是统一告知。所谓统一告知,是指个人信息的处理者通过提前制订好统一适用的个人信息处理规则来告知个人信息被处理的自然人,进而取得同意。这种方式是在自动化处理个人信息,即网络进行个人信息的处理时使用,例如,用户在下载安装网络公司的各种应用软件时,网络公司通过所谓“隐私政策”来明确个人信息处理者规则,就个人信息处理的目的、方式和范围等内容向个人进行告知。这种方式适用于一对多的情形,即某个特定的个人信息处理者面向不特定的个人而处理个人信息。其优点是比较有效率。
如果个人信息处理者以制定的个人信息处理规则来告知自然人,那么依据《民法典》第1035条和《草案二审稿》第18条第3款的规定,该处理规则必须是公开的,并且是便于查阅和保存的。否则,应当认为个人信息处理者没有履行告知的义务。尤其在实践中个人信息处理规则以电子信息的方式存在的情况下,如果自然人无法方便地查阅和保存这些规则,就容易出现个人没有完全阅读完毕这些个人信息处理规则就必须作出同意,或者处理者私自变更规则,以致双方就个人信息的处理发生纠纷时,个人无法提供相应的证据。故此,笔者认为,如果处理者没有证明其规则是公开的并且便于查阅和保存的,那么处理者与个人在遵循告知同意规则发生争议时,应当认为个人信息处理者没有履行告知义务。此外,如果个人所保存的处理者的个人信息处理规则与处理者提供的规则不一致时,应当以个人提供的规则为准,除非处理者能够证明个人提供的规则是不真实的。
五、结语
总之,告知规则与同意规则构成了完整系统的告知同意规则,是个人信息处理行为合法的基本规则。个人信息处理者在处理个人信息前只有充分、适当地履行告知义务,才能保证个人是在充分知情的前提下,自愿作出同意,告知同意规则才能发挥保护个人信息权益的功能。并且,即便对于那些法律、行政法规明确规定了无须取得个人同意的个人信息处理行为,告知规则依然适用,处理者不能以无须个人的同意为由而不履行告知义务。惟其如此,才能确保个人对其个人信息处理的知情权,保证个人信息处理活动符合公开透明的原则。我国《草案二审稿》在《民法典》《网络安全法》等既有立法的基础上,吸收借鉴比较法上的先进经验,立足我国国情对处理者的告知义务作了详细的规定,值得肯定!我国颁布《个人信息保护法》后,还应当通过相应的法律法规和标准等对告知义务作出细化的规定,如明确不需要告知的情形,以及告知将妨碍国家机关履行法定职责的情形。同时,履行个人信息保护职责的部门也应当加强对处理者履行告知义务的执法监督,从而确保告知同意规则在个人信息保护中能够发挥应有的作用。
往期推荐
●上政学报 | 刘晓红 冯 硕:对《仲裁法》修订的“三点”思考——以《仲裁法(修订)(征求意见稿)》为参照
●上政学报 | 曲新久:《刑法修正案(十一)》若干要点的解析及评论
●上政学报 | 张 建 俞小海:侵犯知识产权犯罪最新刑法修正的基本类型与司法适用
●上政学报 | 程 鑫:中国专属经济区司法管辖权之合法性证成
●转载 | 第九届“新兴(新型)权利与法治中国”学术研讨会征文启事
关于本刊
《上海政法学院学报》积极倡导学术民主,坚持特色化、专业化发展道路,在法学研究领域大胆探索,不断总结办刊经验,逐步成长壮大,在学界享有较高的知名度和影响力。2006年底,《上海政法学院学报》被南开大学科研评价系统认定为政治、法律类核心期刊;在2008年3月15日《光明日报》公布的中国人民大学书报资料中心“复印报刊资料”全文转载量的统计排名中,《上海政法学院学报》在所属的政治法律类1269种报刊中排名第25名;根据2011年北京大学“中文核心期刊目录”的分析统计,《上海政法学院学报》在全部法学期刊中位居第31位。本刊已连续六届成为上海市优秀学报、连续四届成为全国高校优秀社科期刊,2018年11月入选中国人文社会科学期刊AMI综合评价报告核心期刊(扩展版)。本刊为国家哲学社会科学学术期刊数据库,CNKI中国期刊全文数据库、北大法律信息网、万方数据-数字化期刊群、超星数据库、龙源期刊网和中国学术期刊(光盘版)全文收录期刊,上网即可查阅到本刊创刊以来的全部稿件。 近些年,以创建一流法学学术期刊为目标,在学校领导及学界、学术期刊界等各方的大力支持下,经过编辑部全体人员的共同努力,《上海政法学院学报》的学术质量及学术影响力都有了明显的提高。影响因子从2016年的0.237上升到2020年的1.97;刊文被《新华文摘》《中国社会科学文摘》《人大复印报刊资料》《高等学校文科学术文摘》等权威二次文献转载和摘编的篇次也明显提高;法学期刊学科排名从2016年的57名上升到第36名。 本刊以“问题意识”为导向,聚焦社会、学术前沿和热点问题,并以此为支撑进行选题策划和栏目、专题设置。2021年第1期在中国人民大学王利明教授、杨立新教授、郭锋副主任等学界大咖及实务界专家和中青年才俊的大力支持下,成功地出版了《民法典》专刊。现已(拟)开设主要特色栏目及专题有“学术关注”“上合组织法治”“新兴权利法律问题研究”“党内法规研究”“域外借鉴”及“<民法典>的解释和适用"“<民法典>背景下的公司法修改”“生物安全法治”“刑事合规研究”“刑法修正案十一专论”“网络法治”“大数据法治”“人工智能法治化”“区块链法治化”“电子商务法治”,等等。 35年来 , 我刊虽然取得了一些进步,但同全国许多优质兄弟期刊相比还存在着很大差距和不足。我们诚挚地欢迎广大海内外科研工作者关注和支持上政学报并惠赐大作,也欢迎各界朋友积极建言献策、批评指正,以期共同办好《上海政法学院学报(法治论丛)》。来稿请通过《上海政法学院学报》编辑部网站(http://www.shupl.edu.cn/xbbjb/)投审稿系统进行投稿。本刊对来稿严格遵守三审(二审外审)定稿制度,以确保稿件选用公开公平公正。 本刊刊稿版权包括纸质版与网络版版权,属于《上海政法学院学报》编辑部, 任何形式 、媒介的转载、摘登译或结集出版均须标明来源于本刊。刊稿仅反映作者个人的观点并不必然代表编辑部或主办单位的立场, 本刊不以任何形式收取版面费。
以法为基,寻社会治理之策
○
以文为器,求兴国安邦之道
投稿邮箱:xuebao@shupl.edu.cn
微信公众号:law-review1986
网址:http://www.shupl.edu.cn/html/xbbjb
电话:021-39227617 39227619