“
《个人信息保护法》今日正式实施,作为个人信息保护的专门立法,该法对散见于《民法典》《网络安全法》以及《个人信息安全规范》(GB/T 35273-2020)中的个人信息保护相关规定进行全面、系统的整合,更好地保护了个人信息权益,促进了个人信息的合理利用。《个人信息保护法》的实施,将对律师合规执业带来哪些挑战?律师执业活动中应当注意哪些事项?
本文旨在从风险防范角度对律师事务所、律师提出事前预防与改进的建议,探索《个人信息保护法》告知、同意规则在律师执业活动中的应用路径,形成示范文本,抛砖引玉,以飨同仁。
《个人信息保护法》第七十三条第(一)项规定:“个人信息处理者,是指在个人信息处理活动中自主决定处理目的、处理方式的组织、个人。”由该条可知,我国的个人信息立法是围绕“个人信息处理者”的一元模式,其与采用信息控制者(data controller)—信息处理者(data processor)二元模式的欧盟《通用数据保护条例》(General Data Protection Regulation,简称GDPR)明显不同。在《个人信息保护法》视野下,个人信息处理者的“自主决定”特征被明显突出。也就是说,并非所有的实际处理个人信息的行为人均属于个人信息处理者。在判断信息处理主体是否为《个人信息保护法》视野下的个人信息处理者时,我们应首先考量该主体是否能够自主决定个人信息的处理目的与方式。《律师法》第三十八条第二款规定:“律师对在执业活动中知悉的委托人和其他人不愿泄露的有关情况和信息,应当予以保密。但是,委托人或者其他人准备或者正在实施危害国家安全、公共安全以及严重危害他人人身安全的犯罪事实和信息除外。”为维护当事人的合法权益、识别身份、了解事实,律师在执业时,无法避免地接触、处理与当事人、委托人或委托事项有关的个人信息。笔者倾向性认为,当律师需要对这些信息的收集、存储、使用等处理方式和目的作出自主决定时,律师即属于受《个人信息保护法》约束的个人信息处理者。律师事务所是律师的执业机构。根据《律师法》第二十五条的规定:“律师承办业务,由律师事务所统一接受委托,与委托人签订书面委托合同。”《中华全国律师协会律师执业行为规范(试行)》第八十六条规定:“律师事务所对本所执业律师负有教育、管理和监督的职责。”从上述条文可知,律师事务所在履行管理本所律师职责的同时,会接触、存储委托人、当事人的个人信息,甚至可能在展业、投标等活动中披露个人信息。《个人信息保护法》第二十条规定:“两个以上的个人信息处理者共同决定个人信息的处理目的和处理方式的,应当约定各自的权利和义务。但是,该约定不影响个人向其中任何一个个人信息处理者要求行使本法规定的权利。个人信息处理者共同处理个人信息,侵害个人信息权益造成损害的,应当依法承担连带责任。”笔者倾向性认为,当律师事务所与律师共同决定委托人、当事人或委托事项涉及的个人信息的处理目的和处理方式时,二者均为受《个人信息保护法》约束的个人信息处理者。如不当处理个人信息并造成个人信息权益损害的,律师事务所与律师可能面临承担连带责任。
《个人信息保护法》第四条规定:“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。”《民法典》第一千零三十四条第二款列举了“自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等”作为常见的个人信息。《个人信息保护法》第二十八条规定:“敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。”律师在执业活动中不仅可能接触到当事人的隐私,还会涉及到处理当事人或委托人的一般个人信息、敏感个人信息。个人信息的关键在于可识别性,只有能够单独或与其他方式结合后识别特定自然人的信息才属于个人信息。据《民法典》第一千零三十二条第二款规定,隐私指自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。个人信息虽然与隐私存在部分重合,但前者重在“可识别性”,而后者重在“不愿为公众所知悉”。个人信息与隐私的部分重合是个人信息权益与隐私权在权利客体上的部分重合。《民法典》第一千零三十二条第一款规定:“自然人享有隐私权。任何组织或者个人不得以刺探、侵扰、泄露、公开等方式侵害他人的隐私权。”《个人信息保护法》第二条规定:“自然人的个人信息受法律保护,任何组织、个人不得侵害自然人的个人信息权益。”虽然隐私权与个人信息权益在权利客体上存在着重合,但隐私权与个人信息权益并不相同,其主要区别有以下三点:二是权利的性质不同。隐私权是偏向于精神性质的人格权,虽然也可以被利用但其财产价值并非十分突出[i]。隐私权重在防范个人秘密不被披露,权利人通常只有在隐私受到侵犯时才被动主张。与此不同的是,个人信息权益具有识别自然人身份的重要意义,其部分权能具有财产权的属性,权利人可以主动支配个人信息的保护与利用等。三是保护宗旨不同。隐私权旨在保护人格尊严而个人信息重在自然人对自己信息的决定权,旨在彰显“私法自治”,即在信息自决的基础上处理个人信息。《个人信息保护法》的条款内容多次涉及“双方约定”表述、第四章“个人在个人信息处理活动中的权利”与第五章“个人信息处理者的义务”呼应,可见立法在个人信息保护方面重在意思自治。在德国法中,信息自决权指“个人依照法律控制自己的个人信息,并决定是否被收集和利用的权利”[ii]。在英美法系中,个人信息也被称为信息自决权(informational self-determination right),以体现对个人自决等人格利益的保护[iii]。《民法典》第一千零三十四条第三款规定“隐私权与个人信息权益的权利客体重合时,优先适用隐私权规则”,主要是基于人格尊严保护高于私法自治的考量。律师不仅是委托人合法利益的捍卫者,更是法律实施的践行者。律师保护当事人、委托人个人信息权益对《个人信息保护法》的贯彻与落实有着积极的意义。① 签署委托协议时,将涉及当事人或委托人本人的姓名、出生日期、身份证件号码、户籍地址、通讯地址、电话号码、电子邮箱、个人即时通讯账号(如微信、抖音、博客)、银行账户等个人信息。② 承办案件或项目过程中,还可能涉及到因办理委托事项而获取的自然人健康信息、生物信息、行踪轨迹、特定身份、金融账户、亲属关系、财产线索、职务信息等敏感个人信息或未成年人的个人信息,特别是不满十四周岁的未成年人个人信息。《个人信息保护法》共八章七十四条,对个人信息的处理规则、敏感个人信息的处理规则、个人信息跨境提供的规则、个人信息处理者的义务等作出了较为详尽的规定,其中,共出现了16处“告知”和27处“同意”字样,涉及19个条文,本文仅就个人信息保护的首要防线——告知同意规则在律师执业活动中的应用浅谈观点。1. 以显著方式在与委托人签署的协议、授权或风险告知书等文件中充分告知与个人信息处理相关的事项《个人信息保护法》第十四条第一款规定:“个人对其个人信息处理作出的同意应当在其对信息处理事宜充分知情的前提下自愿、明确作出”。律师在处理当事人个人信息前负有向委托人进行告知相关事项的义务。无论个人信息处理行为是否基于自然人的同意,原则上都负有告知的义务,除非法律、行政法规规定应当保密或者不需要告知。当紧急情况下为保护当事人人身、财产合法权益无法及时告知的,应在紧急情况消除后及时告知。告知事项包括但不限于个人信息处理者的姓名或名称、联系方式、处理目的、处理方式、存储时间以及行使权利的方式与程序等。告知方式应当显著、语言应当清晰易懂。2. 涉及敏感个人信息的,应明确列举同意事项和范围,征得委托人单独同意《个人信息保护法》第十三条规定:“符合下列情形之一的,个人信息处理者方可处理个人信息:(二)为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;(四)为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;(五)为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;(六)依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;依照本法其他有关规定,处理个人信息应当取得个人同意,但是有前款第二项至第七项规定情形的,不需取得个人同意。”第二十七条规定:“个人信息处理者可以在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;个人明确拒绝的除外。个人信息处理者处理已公开的个人信息,对个人权益有重大影响的,应当依照本法规定取得个人同意。”第二十九条规定:“处理敏感个人信息应当取得个人的单独同意;法律、行政法规规定处理敏感个人信息应当取得书面同意的,从其规定。”第三十一条规定:“个人信息处理者处理不满十四周岁未成年人个人信息的,应当取得未成年人的父母或者其他监护人的同意。个人信息处理者处理不满十四周岁未成年人个人信息的,应当制定专门的个人信息处理规则。”鉴于以上,笔者倾向性认为,在应用上述“取得同意”规则时,应注意以下三点:① 甄别个人信息的处理情形及种类,依法取得委托人知情同意当存在《个人信息保护法》第十三条第一款第(二)至(七)项情形时,律师处理个人信息无需征得同意。但应当注意到,在存在第十三条第一款(二)至(七)项情形时,仍应当充分履行告知义务,法律、行政法规规定应当保密或不需要告知的除外。当个人信息的处理目的、处理方式和处理的个人信息种类发生变更时,应当重新征得同意。律师在履行委托协议时无需征得委托人同意的个人信息是否包括敏感个人信息呢?笔者倾向性认为,《个人信息保护法》第十三条属于个人信息处理规则的一般规定,而第二十九条属于敏感个人信息处理规则,是特别规则。从立法体例以及立法保护人格尊严、尊重私法自治的宗旨来看,律师在履行委托协议时如需处理敏感个人信息,建议另行征得该个人的单独同意。所谓“单独同意”是指,个人信息处理者在征得自然人同意时,必须就敏感个人信息处理活动单独取得个人的同意,不能通过一揽子告知同意等方式征得自然人同意。当涉及到不满十四周岁未成年人,除征得其父母或其他监护人单独同意外,还需制定专门的个人信息处理规则。《个人信息保护法》施行后,敏感个人信息概念的细化、敏感个人信息单独同意的具体认定期待最高院出具司法解释以正确理解和适用。随着法律的施行以及司法实践活动开展,今后或有对特定行业进行特殊规定、豁免等文件陆续出台。笔者倾向性认为,同意应当仅限于明示方式作出,而不应当包括默示方式推定的同意。若包含默示同意,难以保障自然人的知情权和意思自治,有违立法初衷。实务中,可以通过由当事人作出“对所列事项进行勾选并签字”或“书面声明并签字”等方式确认其意愿。③ 处理当事人自行公开或者其他方式合法公开的个人信息时,不得超出必要限度律师可以在合理的范围内处理已公开的个人信息,当事人明确拒绝的除外。当律师认为处理该信息将对当事人权益产生重大影响时,应取得当事人同意。律师在执业活动中处理敏感信息、委托他人处理个人信息、向他人提供个人信息,应事先评估该行为对当事人个人权益的影响程度。向境外提供个人信息时,建议向有关部门事前审批、报备。个人信息存在泄露、丢失时,律师应当及时通知当事人并采取必要措施减少损害的进一步扩大。基于律师执业活动的基本特征,《个人信息保护法》的施行对律师行业开展法律专业服务存在重大的意义。律师及律师事务所应当重视将个人信息保护理念融入到承办案件或项目的各个阶段,妥善处理个人信息的保护与利用关系,防范执业风险,规范执业行为。我们建议:1. 行业进一步完善保护委托人个人信息的行业规范,对具体的信息保护方式作出明确指引,并明确律师在履行委托事项时,对委托人的敏感个人信息是否仍需征得单独同意。2. 律师事务所进一步加强制度建设、建立健全个人信息保护规则、档案管理规则、展业宣传规则等,定期就相关规则的实施反馈执行情况,发现存在合规问题及时纠正、改进。兹委托下列人员在 案由/法律专项服务/法律顾问/非诉讼业务等 法律专业服务中处理与委托事项有关的敏感个人信息:请在列表中逐一勾选,并填写至上方空白处,如列表中未涵盖,请一并补充。1. 特定身份信息:任职证明、资格证书、股东权利凭证、学历证书等
2. 银行金融信息:银行账户、证券账户、期货账户等3. 财产信息:保险订单、不动产权属证书、不动产登记号、机动车行驶证、车牌号等4. 医疗健康信息:体检报告、工伤鉴定信息、医院检查单、化验单、处置单、手术报告、药品底方等
5. 婚姻家庭信息:结婚证、离婚证、其他家庭成员姓名、年龄、职业等6. 行踪信息:家庭住址、行程单、交通出行数据、车载记录仪数据、物流记录等7. 通讯信息:电话号码、电子邮箱、微信号、视频直播ID等 |
[i]王利明:隐私权与个人信息的规则界分和适用,《法学评论》2021年第2期,第18页。[ii] Gola/Schomerus,Bundesdatenschutzgesetz(BDSG)Kommentar, 11. Auflage, Verlag C. H. Beck, München, 2012, Rn.9.[iii] MargaretC.Jasper, Privacy and the Internet: Your Exceptions and Rights under the Law,New York: Oxford University Press, 2009, p.52
# 大鱼聊天室 #
11月3日(星期三)晚8点,大鱼聊天室邀请到了北京大成律师事务所高级合伙人薛京律师,一起谈谈财富管理业务新趋势与律师的应对之道,欢迎预约。