《个人信息保护法》(个保法)第13条规定了6项确定的个人信息处理的合法性基础:
- 取得个人的同意;
- 为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;
- 为履行法定职责或者法定义务所必需;
- 为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;
- 为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;
- 依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息。
个保法马上要生效,但如何落地适用到各种复杂的业务场景,充满未知。每项合法性基础适用的判断依据,需要在司法和合规实践中不断沉淀和归纳。在个保法之前的法律法规中,个人信息处理的合法性基础往往是不清晰的,如何适用个保法以保护个人信息权益,面临上位法与特别法的协调以及新旧法律法规之间的衔接问题,甚至不同部门之间监管利益博弈的情况。本文尝试提出一些问题并初步探索适用合法性基础的依据以及它们之间的适用关系。
需要回答的难题有很多,本文首先集中探究以下问题:
- 为什么要选择适当的合法性基础?
- 如何选择合适的合法性基础?
- 合法性基础是否可以同时适用?
一、为什么要选择适当的合法性基础?
众所周知,个保法无论是从体例还是条文从GDPR借鉴很多。除合法利益(Legitimate Interest)以外,GDPR也有类似的几项合法性基础或者法律依据作为数据控制者处理个人数据的依据。在GDPR项下,选择适当的合法性基础进行数据处理非常重要:
首先,一项个人数据处理只能有一个合法性基础,而且在处理开始之前必须确定。数据控制者不能在处理个人数据后确立合法性基础,期间也不能交替适用合法性基础。
其次,无论选择何种法律依据,数据控制者都必须在任何时候都能够向数据主体和监管机构,出示适用某个合法性基础的决策依据和过程记录。例如,能够展示数据主体何时以及如何同意的,或为履行合同数据处理的必要性。
再次,个人数据处理的合法性基础对数据控制者响应数据主体权利请求的方式有重大影响,因为不同的合法性基础,其适用的条件、例外和限制都不同。选择法律依据取决于数据处理的目的、数据类型,以及数据控制者与数据主体的关系。如果选择错误的合法性基础,则可能导致数据处理不合法、对数据主体权利请求的响应不能、数据处理的组织和技术控制不到位等问题,进而影响个人的基本权利和自由。
因此,我国个保法中合法性基础选择适用的重要性不言而喻,个人信息处理者应该在处理之前确定合法性基础,或者梳理现有业务的合法性基础。适用错误的合法性基础,首先存在合法性问题,其次是无法满足某些合法性基础的适用条件。例如,本应该基于履行合同所必需处理个人信息而错误依据同意,但后期无法满足个人撤销同意的请求。而且如果基于同意,在法律规定需要取得个人单独同意的场景,个人信息处理者反而要遵守更多的法律义务。因此,在处理个人信息之前就厘清应该依据的合法性基础极为重要。
二、如何选择合适的合法性基础?
GDPR第5(1)(a)条规定,个人数据的处理要遵循合法、公平和透明原则。这不仅适用于个人数据处理,也适用于合法性基础的选择适用。遵循原则意味着承认数据主体的合理期待,考虑数据处理可能个人权益产生的不利后果,并考量数据主体与个人数据控制者之间的关系和不平衡的潜在影响。根据英国ICO关于合法性基础适用的指引,个人数据处理的合法性基础取决于数据处理特定目的和处理的场景。其中需要考虑的因素很多,例如:
- 谁会在个人数据处理中受益?
- 个人会预料到个人数据处理的发生吗?
- 数据控制者和个人的关系是怎么样的?个人是否处于弱势地位?
- 数据处理对个人权益有什么影响?
- 数据控制者是否可以根据个人要求随时停止处理?
另外,根据EDPB《在向数据主体提供在线服务的背景下根据GDPR第6(1)(b)条处理个人数据的指南(2/2019)》,在判断是否是“为了履行数据主体作为合同一方当事人的合同所必需的数据处理”时,要回答的问题:
- 向数据主体提供的服务的性质是什么?它的显著特征是什么?
- 合同的确切依据是什么(即其实质和基本目标)?
- 合同的基本要素是什么?
- 合同双方对合同履行内容的态度和期待是什么?数据控制者如何向数据主体推广或宣传服务?考虑到所提供服务的性质,一般用户是否有理由预期为履行其作为当事人的合同而进行的数据处理?
我国个保法同样采用了合法、公平和透明原则。
第五条 处理个人信息应当遵循合法、正当、必要和诚信原则,不得通过误导、欺诈、胁迫等方式处理个人信息。
第七条 处理个人信息应当遵循公开、透明原则,公开个人信息处理规则,明示处理的目的、方式和范围。
本文认为,上述需考虑的因素和要回答的问题,我们都可以在选择适用合法性基础的过程中借鉴。
在决定是否采用“同意”作为合法性基础,至少要考虑以下问题:
- 同意能否在个人充分知情的前提下自愿、明确作出?
- 法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的,例如处理敏感个人信息是否可以取得个人单独同意?
- 个人信息的处理目的、处理方式和处理的个人信息种类发生变更时,是否可以重新取得个人同意?
- 个人撤回其同意的,能否满足个人的撤销以及删除请求?
在决定是否采用“为订立或履行合同所必需”作为合法性基础,至少要考虑以下问题:
- 个人是否是合同一方当事人?
- 合同的主要内容和目的是什么?
- 合同所涉业务场景是否特殊?
- 个人信息处理所涉数据类型或者处理手段是否必需?
- 个人信息处理是服务于合同本身还是商业模式?
- 一般个人对合同履行所必需处理的个人信息的预期是什么?
实践中,不同合同类型依据业务场景和技术水平,为履行合同所必需处理的个人信息类型或者需要采取的处理手段都存在差异。值得注意的是,还需要考虑合同的有效性问题。
在确定处理员工个人信息是否满足“实施人力资源管理所必需”时,首先要回答:
- 所涉及的员工个人信息处理是否关系到劳动者切身利益?
- 劳动规章制度是否经过职工代表大会或者全体职工讨论?
- 劳动规章制度是否进行公示或者告知员工?
- 集体合同是否经过职工代表大会或者全体职工讨论?
进一步,判断人力资源管理所必需,至少还需要根据不同工种对于信息安全管理的严格程度,以及特殊行业和高级职位的行业监管要求。特别考虑用人单位与员工之间的不平等关系,避免基于同意处理员工个人信息。另外也要考虑到企业的法定义务,如给员工的缴纳社会保险,或者在《网络安全法》项下的网络安全保障义务。
三、不同合法性基础是否可以同时适用?
如前所述,在处理个人信息之前确定合法性基础极为重要,那么单一的个人信息处理行为是否可以基于两个或者两个以上的合法性基础呢?
在个保法出台之前的法律法规中,确实存在这种疑问。例如:
《征信业管理条例》第29条规定,从事信贷业务的机构应当按照规定向金融信用信息基础数据库提供信贷信息。
从事信贷业务的机构向金融信用信息基础数据库或者其他主体提供信贷信息,应当事先取得信息主体的书面同意,并适用本条例关于信息提供者的规定。
其中的问题在于,从事信贷业务的机构向金融信用信息基础数据库提供信贷信息的行为的合法性基础是法定义务还是信息主体的同意?
国家设立金融信用信息基础数据库,是为了防范金融风险、促进金融业发展提供相关信息服务,是基于公共利益需要而构建的国家金融基础设施。从事信贷业务的机构应当向金融信用信息基础数据库提供信贷信息,是在《征信业管理条例》明确规定的法定义务。但第29条第2款的规定,结合个保法需要斟酌理解。
按照第29条的要求,银行作为开展信贷业务,与个人签订借贷合同,银行基于法定义务需要将个人的信贷记录上报给金融信用信息基础数据库,在此之前需要取得个人的书面同意。然而这里的同意无法满足个保法要求的“同意”效果,即充分知情且自愿。个人不同意签署书面同意书,显然无法获得贷款。即使自愿,签署之后在借贷合同履行完毕之前,也无法撤销同意。可见,在这种场景下的合法性基础,只能是“法定义务”。
从事信贷业务的机构向其他主体提供信贷信息,按照个保法的要求应当事先取得信息主体的书面同意,因为一般履行借贷合同所必需的信息处理,不包括向其他主体提供信贷信息的对外提供行为。
因此,本文认为,一般情况下,其他合法性基础无法与“同意”同时作为一项信息处理行为的合法性基础。而“法定义务”可能会与“履行合同所必需”存在重叠的情况,例如非银支付机构在基于合同所必需处理个人信息的同时,又有遵守反洗钱的义务。
本文并未将所有的合法性基础适用依据逐一做细致的分析,在之后的文章中,笔者将带着疑问逐步探寻。
在此特别感谢与我探讨问题的师兄师姐。
#个人信息保护法 #合法性基础
张晓丽 数据合规与治理 2021-10-18 17:00