DPO社群线上讨论第二期:“出售 & 提供” 个人信息之法律与实务对话
小编探春引言:
DPO线上社群,今天又热闹非凡啦!大家针对个人信息的“出售“与”提供”两个问题展开了激烈讨论。这一讨论既是对7月10日DPO 社群线上讨论第一期【DPO社群对数据堂事件的精彩点评】的精彩延续,又是对7月20日即将开班的数据保护官(DPO)第二期沙龙的【数据保护官(DPO)沙龙第二期通告】提前预热。
当然,预热的小高潮会在接下来的一周内频频出现,探春小编一定认真记录,将这些精华讨论的内容进行编辑,一并奉献给所有网安寻路人,供大家一起探讨与交流,期待我们一起并肩前行的网安之路越走越宽,有越来越多的同路人相伴!
本期讨论,探春小编将所有法务美眉和帅锅的真实姓名做了去标识化与假名化处理,这样大家的发言不会有所顾忌,观点表达更加真实,不会让人将其所分享的内容映射其所在单位。
探春提醒:本期红楼梦版人物仅为发言者代号,与真实发言者无匹配关系,各位看官只需要关心对话内容即可,无需去猜各位红楼人物究竟是谁,切忌喧宾夺主影响学习效果。本公号对所有发言者观点的准确性不承担任何责任,所有发言均为自由表达。
第一问,来自贾政:执法中,无需证明非法出售或提供/窃取或非法获取公民个人信息造成任何损害结果,而仅需证明相关信息根据其敏感度达到法定数量即可。这里的"非法出售"的判定条件是什么样的?
方达杨建媛律师答:
此处的“非法”释义宽泛。反过来说,合法提供需具备以下条件:
经被收集者同意;
未经被收集者同意,但提供的信息经过处理无法识别特定个人且不能复原;
确定信息接收方的合法使用目的,避免个人信息被用于违法犯罪。《两高解释》第3条第2款显示了立法的严苛:未经被收集者同意,将合法收集的公民个人信息向他人提供的,属于刑法第二百五十三条之一规定的“提供公民个人信息”,但是经过处理无法识别特定个人且不能复原的除外。
竞天公诚冯坚坚律师答:
在不同的法条中,对于“出售和提供”有不同的表述,我之前做过一些个人归纳,供参考:
刑法253条之一:“违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,……”
消法29条:“经营者及其工作人员对收集的消费者个人信息必须严格保密,不得泄露、出售或者非法向他人提供。”
网安法44条:“任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息。”
电信和互联网用户个人信息保护规定:“电信业务经营者、互联网信息服务提供者及其工作人员对在提供服务过程中收集、使用的用户个人信息应当严格保密,不得泄露、篡改或者毁损,不得出售或者非法向他人提供。”
从上述条文的字面和语义分析可知:
刑法条文中有“违反国家有关规定”为前提,所以“出售和提供”必须满足“非法性”的要件;
消法条文中“出售”前没有“非法”二字,“提供”前有“非法”二字,如严格按字面理解,出售属于当然违法,提供有非法性前提,但何为“非法”,不明;另外,消法有适用主体限制,即“经营者及其工作人员”,个人信息主体为“消费者”;
网安法条文中“出售“和”提供”前均有“非法”二字,即要满足非法性前提,但“非法”如何定性,是否依据网安法42条来判断(两个合法前提之一:经被收集者同意,或者经过处理无法识别特定个人且不能复原)。但从网安法42条条文上看,仅涉及“提供”,未涉及“出售”。由此,到底是否何为“合法出售”,是否存在“合法出售”,不明;网安法有适用主体限制,即“网络运营者”;
电信和互联网用户个人信息保护规定在“出售”和“提供”的表述上与消法雷同,“出售”前没有“非法”二字,“提供”前有“非法”二字。该规定有适用主体限制,即电信业务经营者、互联网信息服务提供者及其工作人员。
总之,刑法中的“违反国家有关规定”可以指消法、网安法和电信和互联网用户个人信息保护规定等法律规定,那么在这些法律规定条文中出现的“非法”又指向何处,不明。
林黛玉答:
刑法里的非法一般指违反前置法的行为,包括民法、行政法、经济法等。就侵犯公民个人信息罪这条来看,非法=违反国家有关规定=违反法律、行政法规、部门规章。目前我国有关个人信息的规范多见于行政法中,行政法通常是处罚行为不法而不看主观,可以推断刑法该条意在处罚严重的行政违法行为。按照目前网安法的表述,一切非匿名化的个人信息,在对外提供时经被收集者同意是唯一的合法性前提,可以导出未经同意/未匿名化就可以约等于非法了。出售也是对外提供的一种方式。
当前个人信息保护领域的其他部门法都在对刑法口诛笔伐,觉得一律按照行政违法的规则去认定犯罪,打击面儿太大了,希望司法中能有所限缩克制。但这些只能靠各地司法人员自行把握,法律文本上看不出来。
各家隐私政策的内容不断在扩充,也是降低刑事风险的必然选择。
贾雨村答:
出售和提供本质上没有区别。只不过前者有获利的意图在里面。对于这一点,消保法确实和网安法有冲突。
薛宝钗答:
在当前的实在法体系下,还是要充分认识到"同意"在网安法下作为正当性事由之"帝王条款"的地位,相应的,对无需同意的豁免情形做扩大解释是有很大的舆情风险和刑事责任风险的。
这也是为何我一直认为"委托处理"的情况应该获得用户同意,以免被视为"非法提供",而且用户一旦发现原本不知情的委托处理也会很反感。
我们甚至不能指望在中国境内就"委托处理"以GDPR项下的"合法利益"做"告知",而不用"同意"。实践中,披露个人信息接收方和处理方的大体类型和场景,已经是很多隐私权政策中的常见条款,例如披露使用了哪个云服务商。
同时,无论是否披露委托处理方,数据收集者相对于用户的责任都是无法免除的,并不能推论出"因为我提前告知用户会把PI披露给供应商了,所以我就可以就供应商泄密行为而减免责任了",否则这样的推论可能有违合同相对性的基本原理。同理,可以参照我们常见的保密协议、委托开发协议中的转披露同意、转委托同意条款——这些条款是"转授权"之前必须签署的,但并不意味着接收方、受托方可以不为"转授权"的后果负责。
第二问,来自竞天公诚冯坚坚:在提供的界定上,如不提供下载或复制,仅可访问(肉眼看见),是否构成提供;对个人信息的真实性进行确认(回答yes或者no),是否构成提供?
史湘云答:
换一种问法,提供是以making available为标准还是交付为标准,提供信息真实性验证接口算不算提供?
可以access和可下载复制,我理解没有本质区别,只是传播效率大小的不同。
提供真实性的验证,验证结果数据可以和请求方已经获得的个人数据结合定位个人身份,对验证结果的提供应该属于这里说的提供,能联想到的是例如微博账号授权这样的接口,在业务层面仍然会做授权的要求。
竞天公诚冯坚坚又问:
如果按此理解,验证结果数据也属于个人信息的话,在2B提供核验服务的场景下(企业X为核验需求方,企业Y为核验服务提供方),企业X可以获得用户的授权(将其个人信息提供给第三方进行核验),企业Y是否也要去取得用户授权呢(假定企业Y获得该个人信息有合法性基础,但原始授权中并不包含做真实性验证,或者说将“个人信息是否属实”这一个人信息提供给第三方的授权),还是说,个人提供给企业X的授权中,也自然包含了对企业Y的验证结果数据授权呢(通常个人不知道企业Y的存在)?
贾政答:
按此说法,核验业务需要得到用户授权,那目前市面的身份证号码、手机号、银行卡号等核验,其数据拥有方是否需要先行获得用户授权?
只要不涉及太敏感的隐私信息,对于x的正当需求,且获得用户的授权,数据拥有方y可以提供数据核验。比如x的风控、身份认证需求。
贾宝玉答:
企业Y如果不超出X的授权处理范围,他是不需要获取用户授权的,获取用户同意验证的证据应该由企业X完成,作为用户我只需要和企业X打交道,发生泄漏用户也只找X。X和Y应当就责任义务在验证协议中进行约定,包括数据泄漏后责任划分。
史湘云答:
我理解对XY的授权都是要有的。业务层面能否做成合规的一次性授权,取决于具体形式是否足够清晰。
贾雨村答:
X和Y都需要授权,显著的例子就是,支付宝和芝麻信用之间的共享信息,突出体现在年度账单事件。【个人信息安全影响评估有助于防范“年度账单”事件】X也可代Y取得授权,前提是取得方式真的很清晰。用户必须同意你拿着信息给出去(拿出去比对)。用户还必须同意另外一家企业可以把信息给出去(回复答案)。本质上就是双方共享个人信息了。上述两个同意若仅放在X和用户的协议里,或者只放在Y和用户的协议里,这种做法本质上可以,但是很危险。当时年度账单设计时,默认打勾和用户开启账单(具体就是一个单独的上滑动作),本质上完成了两个同意。用户难以获知,因而不宜合规。如果从GDPR来说,这个比对,是一个目的,包含了两个processing,必须用同一个合法事由来正当化两个动作。
王熙凤进而问:
在北京市知识产权法院于2016年12月30日公布的新浪诉脉脉案终审判决中,法院明确指出,“商业化利用个人信息必须告知用户并取得用户的同意,对用户个人信息的采集和利用必须以取得用户的同意为前提,这是互联网企业在利用用户信息时应当遵守的一般商业道德。Open API开发合作模式中数据提供方向第三方开放数据的前提是数据提供方取得用户同意,同时,第三方平台在使用用户信息时还应当明确告知用户其使用的目的、方式和范围,再次取得用户的同意。因此,在Open API开发合作模式中,第三方通过Open API获取用户信息时应坚持“用户授权”+“平台授权”+“用户授权”的三重授权原则。如果陌陌协议里写了向微博拿信息做***,是不是就可以?
贾雨村答:
多写了向微博拿,本质上是没问题的。但是你得确保用户真的是知情的啊!用户协议里面,基本不能保证是知情的。向这种要求用户同意你代表用户,跑到另外一边,告诉另外一边,我是用户的代表,用户同意你给什么东西。是不是应该单独弄?还是应该在协议中埋上一句话而已?
王熙凤答:
另一方给的时候审查用户协议里有这句话。
贾琏答:
从商业应用来看,无法做到极致的有成本,用户感受和技术限制有多重考虑。
贾雨村答:
但是事实上用户会真的读文本而知情?这时候你事实上是要把自己变成用户的代表,向另一方表达,这个就是用户的真实意思。
贾琏答:
商业中是想让客户也方便,比如用户授权登录,有的时候我们不愿意用手机注册,我就用不常用的微博登录,这样也保护我的隐私。
贾雨村答:
用户授权登录,那你的同意也是先自己跳到微博那,微博得到你自己做的同意(而不是第三方告诉微博说,用户同意你给了)。
贾琏继续问:
这是目前的操作,目前的操作就是底线或者是必须?
贾雨村答:
这是高风险动作。这你事实上是要把自己变成用户的代表,向另一方表达,这个就是用户的真实意思。信任链条传递了两次。本质上法律不禁止,但是如此高风险的动作,很容易引起纠纷。企业愿意承担,完全可以。
贾琏答:
就是在底线跟风险间的一个平衡。
贾雨村答:
微博要先跳转到自己页面上,就是要去确保自己和用户之间,不要再有个中间人。当一个企业要当这个中间人,让两边都信任,需要确保透明和真实,以及自主意思表达。否则这个中间人很容易被各方质疑。
竞天公诚冯坚坚答:
至少在B2B的用户个人信息核验(包括要素验证、空号验证等等)这个业务场景中,目前行业中应该很少有企业能做到三重授权的合规,第三方账户登录这个场景还好办一点,可以完成三重授权。
贾琏答:
至少要在授权书明确显著标识出来(加粗的方式),采取倒数秒的方式让用户阅读到。
贾政答:
第三方跳转授权在技术实现方面有些障碍,这会涉及应用方的客户端要内嵌数据方SDK,且服务一致性及网络时延难以保障,应用方最希望的是后台数据核验。
贾雨村答:
对此要看技术层面如何支撑合规要求了,或者是限制或者是便利化。
方达杨建媛律师答:
想到一个例子,比方说病患将自己的病历提供给慈善组织(或者任意的被求助方)希望得到救助,慈善组织需要核实真伪便向医院核验。此时医院只需回答是或否,此种行为的做出是否要病患同意?还是只需病患授权慈善组织去核验就可以了?单从合同法的角度,与委托处理不同,此时病患分别与医院和慈善组织存在合同关系,且医院对其负有保密义务,需要病患明示医院可以对特定第三方披露才可实现合同变更。当然,医院本身还受病案管理的内部规定,此时仅有病患授权是否就能实现合法提供还不一定。