|
张蓉 赵琪 广东广信君达律师事务所
一、相关用语的含义及个人信息的双重属性 1.相关用语的含义 个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。 个人信息去标识化是指个人信息经过处理,使其在不借助额外信息的情况下无法识别特定自然人的过程。匿名化是指个人信息经过处理无法识别特定自然人且不能复原的过程。 2.个人信息的双重属性 人格权属性,结合上文中提及的个人信息的含义可知,通过个人信息可识别该自然人,与其人身权益密不可分当然具有人格权属性。 财产权属性,数字经济时代,个人信息的数据化利用往往能够极大降低成本和提升效率,从市场实践看,个人数据的商品化充分说明了其具有财产性质。这种财产性不仅体现为个人数据具有使用价值,更体现在其转让价值得到了市场的认可。 也有学者认为个人信息权在性质上属于一种集人格利益与财产利益于一体的综合性权利,并不完全是精神性的人格权,其既包括了精神价值,也包括了财产价值。[1]
二、个人信息处理者的合规义务 1.案例引入 大数据时代,大量的个人生活轨迹有了数字化呈现,个人信息可能存在个人自主、社会交往、公共利益价值上的交融。 以北京互联网法院(2019)京0491民初16142号案件为例,该案中微信读书在未清晰告知和获得用户明确授权同意的情况下,“迁移微信好友关系、微信读书默认向未关注的微信好友公开读书信息等因素,微信读书存在较高的侵害用户隐私的风险”,并认定其软件许可及服务协议中对“关于微信好友列表与读书信息的使用方式上,微信读书的告知是不充分的”“微信读书收集原告微信好友列表,向原告并未主动添加关注的微信好友自动公开读书信息,并未以合理'透明度’告知原告并获得原告的同意。因此,腾讯公司违反了法律关于处理个人信息的规定,具有过错,侵害了原告的个人信息权益。” 微信与微信读书作为两个不同的个人信息处理者,在何种情况下,能够实现在用户授权同意其中一个个人信息处理者处理其个人信息时,该处理者能够同时将部分或者全部的个人信息合法同步到另一个信息处理者处? 2.常用APP隐私条款及共享规则情况对比(举例)
图二(表格内容摘录日期为2022年4月25日)
3.个人信息处理者在处理个人信息时应遵守的合规义务 (1)告知同意 个人信息处理者应遵守“告知同意规则”,即任何组织或个人在处理个人信息时都应当对信息主体进行告知,并在取得同意后方可从事相应的个人信息处理活动,否则该等处理行为即属违法,除非法律另有规定。[2] 根据《数据安全法》与《个保法》的规定,处理个人信息以取得个人的同意为原则,无需事先同意为例外。个人信息处理者在处理个人信息需要事先经过个人的同意,《个保法》规定的例外情形为其第13条第(二)至第(七)款的情形,《民法典》第1035条第1款也明确规定了需要以告知为原则,《GB/T35273-2020 信息安全技术个人信息安全规范》第5.6条亦规定了征得授权同意的例外情形。 与此同时,个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项:(一)个人信息处理者的名称或者姓名和联系方式;(二)个人信息的处理目的、处理方式,处理的个人信息种类、保存期限;(三)个人行使本法规定权利的方式和程序;(四)法律、行政法规规定应当告知的其他事项。前款规定事项发生变更的,应当将变更部分告知个人。基于个人同意处理个人信息的,个人有权撤回其同意。个人信息处理者应当提供便捷的撤回同意的方式。个人撤回同意,不影响撤回前基于个人同意已进行的个人信息处理活动的效力。个人信息处理者向其他个人信息处理者提供其处理的个人信息的,应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意。 对于告知的形式,可分为以下两种: 其一为逐一告知,即个人信息的处理者在处理个人信息前,向每一个其个人信息被处理的自然人告知,并逐一取得自然人的同意。此种方式在以人工的或非自动化的方式处理个人信息时使用较多。例如不动产登记部门在登记不动产证时会告知处理该申请人的个人信息的目的、方式和范围等内容,进而取得申请人的同意。 其二为统一告知,即个人信息的处理者通过提前制订好统一适用的个人信息处理规则来告知个人信息被处理的自然人,进而取得同意。这种方式是在自动化处理个人信息,即网络进行个人信息的处理时使用。例如在用户手机下载使用各应用时,会弹出来的《xx服务协议及隐私政策》。该形式适用于一对多的情形,即某个特定的个人信息处理者面向不特定的个人而处理个人信息。优点是效率较高。 (2)个人信息处理者在处理个人信息时应满足“合理、正当、必要”的要求 《个保法》第6条规定,处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。 即使豁免个人事先同意的情形下,也要满足个人信息使用的合理必要原则,在必要情形下收集,否则可能涉嫌过度收集个人信息。 《网络安全法》专章规定网络用户数据信息取用行为要遵循“合法、正当、必要”与目的限定原则。 (3)最短时间 根据《个保法》第19条的规定,除法律、行政法规另有规定外,个人信息的保存期限应当为实现处理目的所必要的最短时间。 4.针对广州市国企(以下简称:市国企)合规的特别指引 国企作为推动国家经济发展的重要力量与保障民生的重要一环,在数据合规方面,除了需要满足法律法规的相关规定之外,往往还有更为严格和细化的指南。参考《广州市国资委监管企业数据安全合规管理指南(试行2021年版)》(以下简称《指南》)的相关规定,针对市国企在涉及第三方合作的数据保护与个人信息的合规部分给出如下建议: 1)涉及第三方合作的数据保护。市国企应加强及规范与商业伙伴合作中的数据安全管理;明确数据服务相关合作方的准入标准,并在合作方选择时进行资格审查;加强合同管理,在相关合同中明确数据安全合规相关条款;明确与合作方对接部门的数据安全管理责任;建立数据服务合作方定期的数据安全监测、检测和评估机制。 2)针对个人信息保护。市国企应建立企业内部个人信息分类标准,明确各类信息的处理规则;收集处理个人信息满足上文所述的规则要求;完善技术应用,采取安全技术措施,确保个人信息的储存安全; 梳理内部进行个人信息处理的各类场景,明确处理流程并制定规范要求;建立个人信息处理事前影响评估机制及主动删除的相关机制。
三、个人信息处理者之间共享使用个人信息的合规义务 1.关于权属问题的争议 个人信息的所有权,毋庸置疑归属于该个人所有,个人对于个人数据具有完整的控制权利,这种控制权利主要体现为以个人的意志对个人数据的占有(提供)、使用、处分做出安排。但是在个人数据基础上,对数据做出匿名化处理(或称之为去身份化处理)后的数据集的所有权应该归谁呢? 从法律层面看,处理者对于用户数据的匿名化处理,已然切断了用户对数据的法律联系。因为用户对于数据主张权利的来源是《个保法》。而《个保法》适用的对象是个人数据,在数据去身份化后,该数据已经与用户没有了法律关系,再回头看前文中个人信息的含义,《个保法》中规定的个人信息并不包括匿名化处理后的信息。这也是我国大数据交易合法性的基础。数据匿名化强调的是去除数据中的用户身份数据,消除数据的身份可识别性,笔者认为可以承认信息处理者对该数据享有限制性的所有权。 但对于如何认定匿名化,其是否有可操作性的具体标准,个人信息匿名化标准的模糊亦阻碍了司法实践中法院对匿名信息的准确界定。 例如杭州中院(2018)浙01民终7312号案件中,安徽某信息科技公司与某(中国) 软件公司围绕某(中国) 软件公司抓取并出售的用户浏览、搜索、收藏、加购、交易等行为痕迹信息是否构成个人信息发生了争议,可见,法院在判定相关信息是否具有“可识别性”,进而判定相关信息以及经一定处理的信息是否属于个人信息等问题时亦比较慎重,难以简单作出确定判断。 2.处理者之间共享使用个人信息的合规义务 举例一个大家都很熟悉的场景,某社交娱乐自媒体平台根据其千万个用户的个人信息和浏览关注及点赞记录,通过大数据分析和汇总编辑,得出了某一个年龄层更喜欢某一类产品,并通过其合作的广告商对相应用户进行精准投放。在此场景中,该自媒体平台将用户的信息共享给了其广告商,那么共享需要遵循那些规则呢? 笔者认为,结合《个保法》第23条的规定,信息数据的共享,同样需要遵循上文提及的个人信息处理的首要原则,也即告知同意原则(除法律另有规定外),明确告知用户在需要信息共享的第三方并获取用户的单独同意,告知的信息包括该第三方的名称、产品、共享信息的内容(种类)、使用范围(场景)、使用目的、处理方式、提供方式等应当在上述处理目的、处理方式和个人信息的种类等范围内处理个人信息。接收方变更原先的处理目的、处理方式的,应当依照本法规定重新取得个人同意。还应满足合法、正当、必要的原则,同时应履行安全保障义务,不能使信息在任一方处被泄露或者窃取盗用等。
四、个人信息处理者违反合规义务的民事责任形态 当存在第三人介入侵权时,个人信息处理者若承担侵权责任时,其责任形态必然为多数人之债,可以具体为以下三种情形: 其一为承担连带责任,根据《个保法》第20条的规定,若是两个或多个信息处理者共同处理个人信息,造成侵权的,承担连带责任,《民法典》1168条也规定了承担连带责任的情形。 其二为承担按份责任,例如处理者的信息数据库因安全措施不到位而被其他信息处理者、第三人非法窃取,而该其他信息处理者、第三人因过失导致窃取的信息泄露或者被公开,此时处理者与其他信息处理者、第三人对于信息被泄露或者公开,均存在过错。双方应按照《民法典》第1172条,各自承担按份责任。 其三为补充责任,主要见于两种情形:一是处理者委托第三人处理个人信息,第三人实施故意侵权行为的;二是第三人非法窃取个人信息后,实施故意侵权行为的。 结语 个人信息由于具有财产属性和人格属性的双重属性,个人信息处理者是个人信息商业价值挖掘的重要参与人,因此也可能会进一步导致个人信息双重属性的紧张关系。在大数据时代背景下,数据资源已成为市场竞争的重要尺度,我国对数据安全和个人信息保护的立法不断完善、执法不断加强,数据合规的重要性也日益凸显,作为个人信息处理者,需要将合规义务注入数据生命的全周期,既需要把好合规数据关,也要把好合法共享关。【律师视点531】
[1]王利明: “论个人信息权的法律保护———以个人信息权与隐私权的界分为中心”,载《现代法学》2013年第4期。 [2]王利明、程啸、朱虎:《中华人民共和国民法典人格权编释义》,中国法制出版社2020年版,第419页。
办庭上的那些案子 读手中的审判研究 
|
|
|
