知情同意: 个人信息处理唯一的合法基础?
引言
数字经济方兴未艾, 正在日益与互联网、人工智能、云计算等行业深度融合发展。数据是数字经济的重要支撑, 已成为除土地、劳动力、资本和技术外的第五类“生产要素”。数据保护与规范亟需法律从个人信息与隐私保护、企业数据权益、国家安全与监管等维度作出系统性的制度安排。作为数据保护制度的基础法律, 《个人信息保护法》和《数据安全法》的重要性毋庸置疑。2021年4月29日, 《个人信息保护法(草案二次审议稿)》《数据安全法(草案二次审议稿)》公布。从企业使用数据和合规遵从的视角, 通力网安数据业务小组对审议稿作出系列解读, 本文为第四篇《知情同意: 个人信息处理唯一的合法基础?》。
一
知情同意将可能不再是个人信息处理唯一的合法基础
《个人信息保护法(草案一审稿)》(“一审稿”)公布时, 其第十三条对基于个人同意以外合法处理个人信息的情形作出了规定, 而《个人信息保护法(草案二审稿)》(“二审稿”)在一审稿的基础上, 又新增了一项例外情形(条文对比见下表), 关注和回应了实践中可能遇到的在合理限度内处理公开个人信息却难以获得授权的场景需要。
二
新增例外情形的必要性
考虑经济社会生活的复杂性和个人信息处理的不同情况, 以知情同意作为唯一的合法性基础存在很多缺陷, 亦不是国际通行做法。以GDPR为例, “为履行约定义务所必需”“为履行法定义务所必需”“为保护生命安全所必需”“为维护公共利益或行使公权力所必需”“为实现数据控制者或第三方的合法权益所必需”, 与知情同意并列, 均为处理个人信息的合法基础。
按照目前生效的中国法, 处理个人信息的唯一合法基础即是“获取个人信息主体的同意”, 这使得诸多商家在无法与个人信息主体建立连接点的情况下, 难以开展与个人信息处理相关的商业活动; 即使精心设计了建立连接的方式, 商业方案可能也因为获取同意的过程较为繁琐而无法取得预期的市场效果。在《个人信息保护法》草案审议期间, 拓宽个人信息处理的合法基础就一直是业界关注焦点。尽管二审稿未完全将《信息安全技术 个人信息安全规范》第5.6条“征得授权同意的例外”全数纳入, 二审稿已经很大程度放宽了个人信息处理的限制, 一定程度上突破了“告知同意”为核心的个人信息处理规则, 这将为诸多创新商业模式打开通道, 有利于促进个人信息保护与信息合理使用之间的平衡。从二审稿对一审稿第十三条“不删反增”的修改情况看来, 知情同意很可能将不再是处理个人信息唯一的合法基础, 且我们可以期待未来立法将纳入更多的有现实需求的情形。
三
在合理范围内处理已公开的个人信息
二审稿新增“依照本法规定在合理的范围内处理已公开的个人信息”作为处理个人信息的合法性基础。这一规定与《民法典》关于个人信息免责情形的条款相衔接:
《民法典》第一千零三十六条: 处理个人信息, 有下列情形之一的, 行为人不承担民事责任: …
(二)合理处理该自然人自行公开的或者其他已经合法公开的信息, 但是该自然人明确拒绝或者处理该信息侵害其重大利益的除外…
《民法典》以规定民事免责情形的方式, 一定程度上承认处理合法公开信息的合理性。二审稿直接将其作为合法基础, 免去了个人信息处理者在行政责任方面的担忧。但需要指出的是, 该条款在实际应用时, 仍然面临很大的挑战和不确定性, 即“合理范围”难以界定, 需要个案各判。比如, 实践中应用最多也是争议最多的, 爬取工商公示信息、爬取社交网络公开信息进行商业咨询分析、电商营销等, 该种处理行为的“合理性”论证就存在一定难度。且按照二审稿第二十八条, 如果超出已公开的个人信息被公开时的用途相关合理范围使用该个人信息, 仍应取得个人同意。
在判断“合理性”时, 结合个人信息被公开时的预期用途是关键。比如在某侵犯公民个人信息刑事案件中, 法院认为“信息持有人根据各自的用途在网络上公开个人信息, 被告人未经信息持有人同意搜集信息后非法向他人提供, 超出了信息持有人发布个人信息用途的预期, 是侵犯公民个人信息的行为, 具有社会危害性。” 再如, 某公司从公开渠道(启信宝)获取个人信息用于电话推销亦受到行政处罚。因此, 个人信息处理者需谨慎引用该例外情形处理个人信息。
四
明确同意这一合法基础与其他合法基础的关系
作者:
潘永建 合伙人 86 136 2172 0830 86 21 3135 8701 david.pan@llinkslaw.com |
|