第三重“同意”该由谁取得以及同意与告知的关系探究
一、第三重“同意”中的单独同意该由谁取得?
上文《个人信息保护法生效后,“三重授权原则”还能继续适用吗?》讨论了“三重授权原则”的适用性。论述其中“三重授权”应该为“三重同意”,而对于第三重同意中的单独同意该由谁取得,未进行深入探讨。
即,当A公司向B公司提供用户个人信息,按照《个人信息保护法》(以下简称“个保法”)第23条,A公司应当向个人告知B公司的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意。此处的同意本文认为是第三重同意,但这里的同意是应由A公司取得还是B公司取得,在实践中存在不确定性。另外延伸出的问题是,如果A公司告知信息主体其要向B公司提供个人信息且取得单独同意后,B公司作为信息接收者是否还需要再取得同意,并告知信息主体?
对此,本文尝试分两种情形讨论,认为这取决于A机构是否是主动向B机构提供个人信息。
(1)如果A机构基于同意的合法性基础主动向B机构提供个人信息的,例如,A卖家取得单独同意并告知个人将其家庭地址提供给快递公司B,以完成送货上门服务,则B公司不需要再取得个人的单独同意,并告知个人。(这里假定卖家将个人家庭地址给物流公司不是履行买卖合同所必需;B公司也不是个保法中的“受托人”)
(2)如果A机构是被动的或者说B机构是个人信息的需求方,B机构取得个人同意向A机构索取其个人信息(第三重同意)后,还在于A是否同意向B提供个人信息(即第二重同意),此时关键问题是A机构是否需要就向B机构提供个人信息的行为向个人取得单独同意(即第一重同意)?这在实践中是个非常棘手的问题。从理论上来讲,A机构为了向个人提供服务而收集并存储用户个人信息的法律依据是合法正当的,但并没有对外提供用户个人信息的合法性基础,即,如果不是基于合同或者法律义务等“非同意的合法性基础”需要向其他机构提供用户个人信息的,A机构就需要在向B机构提供个人信息前取得单独同意。这种单独同意显然不能在用户刚开始使用A机构的服务时,在隐私政策里面通过一揽子告知实现。
另外,事实上某些A类机构很难取得个人的单独同意。例如在电子支付链路中涉及很多不会直接面向用户的机构,电商平台接入很多家第三方支付服务,在支付过程会随机路由选择其中一家第三方支付机构传递支付请求,又通过银联和网联到达银行完成扣款,因此上述机构都合法存有大量个人消费记录信息。持牌征信机构则很需要这些交易信息以生成个人征信报告。如果要求上述机构都严格做到每次交易都要取得单独同意,例如,服务接口被吊起时弹窗取得单独同意。那么以现在的技术和管理手段来看,对于在线支付运行效率影响以及相应合规成本都是难以评估的,除非未来法律法规另有规定。
二、同意与告知的关系
根据个保法23条,对外提供个人信息需要告知个人,并取得单独同意。似乎同意和告知是需要同步进行的,取得同意必须同时告知,但在很多情形下需要告知个人,并不总需要取得同意;然后也有既无须同意,也无须告知的情形。
首先,基于个人同意的个人信息处理活动,个人信息处理者都需要履行告知义务,再取得个人同意或者单独同意后才能实施个人信息处理活动。
非基于同意而处理个人信息,仍需要按照个保法第17条告知个人。一是,满足个人信息处理透明性原则;二是,保障个人的知情权。知情权是保护个人人格权与财产权的前提,因此除非涉及重大公共利益或者国家利益,个人信息处理者都应该履行告知义务。
其次,既无须同意,也无须告知的情形在个保法第18条和第35条予以规定。
第十八条 个人信息处理者处理个人信息,有法律、行政法规规定应当保密或者不需要告知的情形的,可以不向个人告知前条第一款规定的事项。
紧急情况下为保护自然人的生命健康和财产安全无法及时向个人告知的,个人信息处理者应当在紧急情况消除后及时告知。
第三十五条 国家机关为履行法定职责处理个人信息,应当依照本法规定履行告知义务;有本法第十八条第一款规定的情形,或者告知将妨碍国家机关履行法定职责的除外。
总结来看,既无须同意,也无须告知的情形:
(1)法律、行政法规规定应当保密或者告知个人将妨碍国家机关履行法定职责的情形法律、行政法规规定应当保密的情形,根据一般理解是指基于侦查犯罪、反恐怖主义等维护公共安全、 国家安全等社会公共利益和国家利益的考虑,而由法律、行政法规规定的个人信息处理者需要保密的情形。例如,《保守国家秘密法》《反恐怖主义法》《反间谍法》《国家情报法》等。
而告知个人将妨碍国家机关履行法定职责的情形,是指如果在处理个人信息前告知个人,国家机关将无法履行法定职责。不得不说,这里仍然是模糊的,需要根据实际情况确定是否使得国家机关无法履行法定职责以及比例原则,谨慎排除个人的知情权。
(2)不需要告知的情形
信息主体已经知悉需要告知的信息,让我们再次回到上文的例子:
情形一:如果A机构基于同意的合法性基础主动向B机构提供个人信息的,当A机构已经告知个人并取得同意,则B机构作为个人信息接受者无须再行告知。
情形二:如果A机构是被动的或者说B机构是个人信息的需求方,B取得个人同意向A机构索取其个人信息(第三重同意)后,还在于A是否同意向B提供个人信息(即第二重同意),此时A机构是否需要就向B机构提供个人信息的行为向个人取得单独同意,并告知个人呢?本文倾向于认为,B机构取得个人同意向A机构索取其个人信息,如果能够认定为个人信息主体已经知悉需要告知的信息,即A机构向B机构提供的信息类型和目的,那么A机构不需要再取得单独同意,也无需再告知个人。
处理已经合法公开的个人信息
如果要求处理已经公开的个人信息也逐一告知并取得同意,不仅难以实现,也不利于个人信息合法利用。但是,个人信息处理者必须在“合理的范围”内处理已经合法公开的信息,才免除告知义务。对于非法公开的息,或者合法公开但是处理超出合理范围的情形,个人信息处理者仍有告知义务。至于在实践中如何把握“合理的范围”可以考虑个人信息处理的目的与公开个人信息目的是否一致兼容,并且同时符合信息主体的主观期待和社会公众的客观期待。
三、 为公共利益实施新闻报道、舆论监督等行为,个人有拒绝的机会吗?
第二十七条 个人信息处理者可以在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;个人明确拒绝的除外。个人信息处理者处理已公开的个人信息,对个人权益有重大影响的,应当依照本法规定取得个人同意。
个保法第27条,规定了如果个人明确拒绝处理其自行公开或者合法公开的个人信息,个人信息处理者不能擅自处理,但是个人如何行使拒绝权利,尚需要讨论。在此本文结合个保法第13条第5款【为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息】,稍作分析。
新闻报道或者舆论监督曝光的内容既可能是合法公开的个人信息,也可能是未公开的个人信息。如果是合法公开的个人信息,为了新闻报道或者舆论监督在合理范围内公开披露则无需取得个人的同意,似乎也无须告知,因为如果对当事人不利的情形,告知当事人似乎是不合逻辑的,谁会同意呢?在这种场景下,似乎个人没有拒绝的机会,除非在各种公开个人信息的场景都注释声明【未经允许,不得挪作他用】。但当公共利益占上风的时候,个人利益则会被挤压,声明似乎也是无用的;如果是非公开的个人信息,则个人信息处理者为新闻报道或者舆论监督曝光的目的需要着重考虑是否是在“合理范围”内处理个人信息。
欢迎讨论,不吝赐教。
数据合规与治理 2022-01-14 17:00
#个人信息 #保护法 #告知 #同意