查看原文
其他

APP运营商等个人信息处理者应如何履行“告知”义务?


2021年11月1日,《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)正式施行。作为我国第一部专门针对个人信息保护的系统性、综合性法律,《个人信息保护法》积极回应“禁止APP过度收集个人信息”等社会热点话题,构建了以“告知-同意”为核心的个人信息处理规则,掀开了我国个人信息保护的新篇章。


告知同意规则由告知规则与同意规则构成,告知是同意的前提。那么,APP运营商等个人信息处理者应如何更好地履行“告知”义务呢?请看下文。


《中华人民共和国个人信息保护法》 第十七条


个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项:

(一)个人信息处理者的名称或者姓名和联系方式;

(二)个人信息的处理目的、处理方式,处理的个人信息种类、保存期限;

(三)个人行使本法规定权利的方式和程序;

(四)法律、行政法规规定应当告知的其他事项。

前款规定事项发生变更的,应当将变更部分告知个人。

个人信息处理者通过制定个人信息处理规则的方式告知第一款规定事项的,处理规则应当公开,并且便于查阅和保存。


一、告知义务的含义

《个人信息保护法》第17条规定的个人信息处理者的告知义务,是指为了让信息主体对其个人信息处理活动的相关事项知情,个人信息处理者依法负有的主动向信息主体告知与其个人信息处理相关重要事项信息的法定义务。


个人信息保护中的告知同意规则由告知规则与同意规则构成。在《个人信息保护法》中,告知规则对应信息主体的知情权和个人信息处理者的告知义务,同意规则对应信息主体的信息自决权,两者密不可分。让个人信息处理者承担告知义务的目的是保证信息主体的知情权,满足个人信息处理的公开透明原则,进而确保信息主体在充分知情的前提下,自愿、明确地作出有效的同意,为个人信息处理者的个人信息处理行为提供合法性基础。[1]换言之,同意以告知为前提。


信息主体的知情权包括积极和消极两个方面:前者是指信息主体主动要求个人信息处理者提供与其个人信息处理相关事项信息的自由和权利;后者是指无须信息主体主动行使其知情权,个人信息处理者负有对信息主体的主动告知义务。[2]本条正是从信息主体知情权的消极方面对个人信息处理者的主动告知义务作出明确规定。


[1] 参见程啸:《论我国个人信息保护法中的个人信息处理规则》,载《清华法学》2021年第3期。

[2] 参见张新宝、葛鑫:《个人信息保护法(专家建议稿)及其立法理由书》,中国人民大学出版社2021年版,第33页。


二、告知义务的内容

告知义务的内容,是指处理者应当向个人信息被处理的个人告知的事项。一般而言,告知的内容越多,信息主体的知情权就越能够得到充分的保障。但对企业而言,告知义务的履行必然需要一定的成本,告知的内容越多,需要的成本就越高,因此告知义务的内容就应当具有合理的限制。


我国《个人信息保护法》在借鉴比较法经验的基础上通过“一般规定+特殊规定”的方式对处理者应当向个人告知的事项作了规定。所谓一般规定,就是《个人信息保护法》第17条第1款规定的事项。这些事项是任何个人信息处理前,个人信息处理者都应当向个人告知的共同事项或一般性事项。所谓特殊规定,就是针对一些特殊的个人信息处理行为而增加一些告知事项的规定,如《个人信息保护法》第22条、第23条、第30条、第39条等的规定。告知义务的具体内容包括以下几个方面:


1. 个人信息处理者的名称或者姓名和联系方式


由于处理者主体复杂多元和处理行为隐秘专业,为了确保个人信息处理的公开透明与公正,处理者必须向个人告知其名称或者姓名与联系方式,从而使得个人知悉其个人信息究竟是被何人处理。不同的信息处理者的个人信息保护水平是不同的,信息处理者的身份会对信息主体决定是否同意让其处理个人信息产生重大影响。此外,只有知道个人信息处理者的名称或者姓名和联系方式,信息主体才能够向个人信息处理者行使其在个人信息处理中的权利,如查阅、复制、更正、补充、删除等权利。


2. 个人信息的处理目的、处理方式,处理的个人信息的种类、保存期限


所谓个人信息处理的目的,是指处理者究竟是为了什么而处理个人信息。之所以要求必须告知处理目的,是因为处理目的在个人信息处理中非常重要。目的限制原则是个人信息处理中的基本原则,其要求处理者在处理个人信息时应当具有明确、合理的目的,并应当限于实现处理目的所必要的最小范围,采取对个人权益影响最小的方式,不得进行与处理目的无关的个人信息处理。故此,只有明确处理目的,个人才能有针对性地决定是否就基于特定处理目的的处理行为作出同意。个人信息的处理方式,主要是指处理者对个人信息采取何种处理方法,具体包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。因此,处理者必须告知个人,其采取哪些处理方式,是仅仅收集、存储,但不使用、加工,抑或收集、存储、使用、加工但不提供等。不同的处理方式对于个人信息权益的影响不同,故需要告知个人并取得同意。个人信息的种类很多,包括但不限于自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。个人信息可以分为敏感的个人信息与非敏感的个人信息,不同的个人信息对于个人信息权益的影响不同。敏感个人信息的处理对于个人信息权益会产生很大的风险,因为此类信息一旦泄露或者被非法使用,就有可能导致个人受到歧视或者人身、财产安全受到严重侵害。所以,个人信息的种类属于必须告知的事项。处理者在向个人告知处理的个人信息的种类时,应当遵循公开透明的原则,不能过于笼统。例如,不能简单告知所处理的个人信息是“健康信息”或“与健康有关的信息”,该范围过于广泛,可能涵盖无数的信息,处理者必须明确具体的信息种类,如“心率”“血压”和“怀孕年龄”,这取决于处理行为及处理目的。个人信息的保存期限也很重要,保存期限越长,出现泄露或被非法使用的可能性就越大,对个人信息权益的不利影响就越大,因此需要告知个人。个人知悉保存期限也有利于其在保存期限届满时及时依据《个人信息保护法》第47条的规定行使删除权。


3. 个人行使本法规定权利的方式和程序


所谓“行使本法规定权利”,是指《个人信息保护法》第4章所规定的个人在个人信息处理活动中的权利,包括知情决定权、查阅复制权、数据携带权、更正补充权、删除权、解释说明权等。之所以要告知个人行使《个人信息保护法》规定权利的方式和程序,是为了鼓励和便利信息主体行权。


4. 法律、行政法规规定应当告知的其他事项


这是兜底性规定,一方面与《个人信息保护法》关于特殊告知事项的规定相衔接,另一方面也为相关法律和行政法规的规定留下空间。


特殊的告知事项具体主要包括四类情形:首先,在个人信息处理者因为法人或非法人组织的合并、分立等原因而需要转移个人信息时,依据《个人信息保护法》第22条的规定,应当向个人告知接收方的名称或者姓名和联系方式,这主要是为了确保个人能够向接收方主张个人信息处理中的权利。其次,个人信息处理者向其他个人信息处理者提供其处理的个人信息的,依据《个人信息保护法》第23条的规定,还必须向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意。这是因为,处理者将个人信息提供给他人的,接收方并非单纯地接受个人信息,有可能要按照新的处理目的,采取新的处理方式对个人信息进行处理。故此,要求处理者而非接收方向个人进行告知并取得单独同意,否则不得向他人提供个人信息。再次,为了更好地保护敏感的个人信息,《个人信息保护法》第30条要求,个人信息处理者在处理敏感的个人信息时,不仅要告知第17条第1款规定的事项,还应当向个人告知处理敏感个人信息的必要性以及对个人的影响,依照《个人信息保护法》规定可以不向个人告知的除外。之所以要求处理敏感的个人信息时必须告知处理的必要性,是因为敏感的个人信息一旦泄露或被非法使用,可能会导致个人受到歧视或人身、财产安全受到严重侵害,故法律上应当给予更强的保护。虽然我国《个人信息保护法》没有采取原则上禁止、例外才允许的处理敏感个人信息的模式,但通过强化对处理敏感个人信息的必要性的要求,可以更好地保护个人信息权益。所谓对个人的影响,是指处理敏感的个人信息可能会对个人产生的影响,主要是指不利的影响。只有充分披露这种影响,才能保证个人是在充分知情的情况下作出自愿的同意。最后,在个人信息跨境提供时,依据《个人信息保护法》第39条,处理者应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使《个人信息保护法》规定权利的方式和程序等事项,并取得个人的单独同意。


三、告知义务的履行

1. 告知义务履行的时间


个人信息处理者必须在处理个人信息前向个人信息被处理的个人进行告知,而不能在已经实施个人信息处理行为之后再告知个人,这是对处理者告知时间的要求。因为只有事前告知对于信息主体才有意义。


在例外情况下,如根据《个人信息保护法》第18条的规定,可以免于告知或者事后及时告知。


2. 告知义务履行的方式


《个人信息保护法》第17条第1款明确规定了个人信息处理者告知义务履行的方式,即“应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知”。


所谓显著方式,是指个人信息处理者应当以个人容易辨识且易于获取的方式让个人了解到处理者告知的内容,而不能将其隐藏在一大堆包含各种内容的所谓的“隐私政策”当中,或者以极小、难以辨识的字体等其他不显著的方式,让个人无法容易辨识或获取处理者所告知的内容。这种所谓的告知也可认为本质上是一种欺诈或误导的做法。


清晰易懂的语言,意味着处理者应当以普通人能理解的语言表述进行告知,从而使得任何不具备个人信息处理专业知识的个人能够知道处理者所告知的内容。在实践中,为规避法律责任,个人信息处理者往往倾向于使用极其抽象或相当晦涩的语言来描述隐私政策中对个人信息收集和使用的目的,如“改善服务质量”“提升用户体验”“研发新产品”“增强安全性”等。这种语言表述显然是非常模糊的,而且也使得处理者的处理目的很不明确,违反了目的限制原则和公开透明原则。


“真实”意味着个人信息处理者告知的信息不能是虚假的;“准确”意味着个人信息处理者告知的信息不能是错误的;“全面”意味着个人信息处理者告知的信息不能是不完整的。这些要求都是为了强化个人信息处理者的告知义务,保障信息主体的知情权。


之所以如此详细地规定告知义务的履行方式,是为了消除信息主体和个人信息处理者之间的信息不对称。个人信息处理具有很强的技术性,十分专业,而个人对此知之甚少,因此导致二者的信息不对称。如果处理者通过一大堆专业术语或者含糊其辞的表述来告知,那么个人难以理解此种个人信息处理对自己的权益有何利弊,存在何种风险,这意味着信息主体难以作出自由的决定。在实践中,不少个人信息处理者为了满足法律的要求,规避法律风险,往往采取“捆绑式”的方式列出内容冗长烦琐的隐私政策条款,给用户带来阅读上的极大困难。明确告知义务履行方式有利于破解实践中的此种难题,同时这也是《个人信息保护法》第7条规定的公开透明原则的必然要求。


注:以上内容节选自《<中华人民共和国个人信息保护法>条文理解与适用》,江必新、郭锋主编,人民法院出版社出版。




国家互联网信息办公室公布《数据出境安全评估办法》(附全文+答记者问)

浙江法院发布侵犯公民个人信息犯罪十大典型案例


8月1日起施行!国家互联网信息办公室发布《互联网用户账号信息管理规定》(附全文+答记者问)司法案例课题 | 肖芄:大型互联网平台侵害儿童个人信息权益的认定——兼评某短视频平台侵害未成年人个人信息民事公益诉讼案田野:职场智能监控下的劳动者个人信息保护——以目的原则为中心利用黑客软件窃取“人脸信息”的司法规制



声明:本文转载自“人民法院出版社”微信公众号,在此致谢!


编辑:费嘉荣排版:王   俏审核:刘 畅

觉得内容还不错的话,给我点个“赞”和“在看”呗

继续滑动看下一个
向上滑动看下一个

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存