成全在线观看免费完整的,成全影视大全免费追剧大全,成全视频高清免费播放电视剧好剧,成全在线观看免费完整,成全在线观看高清全集,成全动漫视频在线观看完整版动画

在這個5G、人工智能、大數據等新興技術層出不窮的時代，個人信息的流動和利用為人類社會創造了巨大的價值，并且顯示了廣闊的發展前景。但是，個人信息的流動并不能任意而為，而須遵循法律為其限定的軌跡。這在個人信息監管環境日益嚴格的背景下尤顯重要。

我們注意到不少互聯網企業在其隱私政策中向消費者征求關于其可將收集的消費者個人信息共享給其關聯方的同意，甚至未經消費者同意徑直將個人信息共享給關聯方。那么，就共享個人信息給關聯方而言，是否適用一種類似“安全港”的機制可以直接提供給關聯方而無需取得數據主體同意？如需取得數據主體同意，取得同意又是否足夠？安全邊界在哪里？前述問題直接映射了促進數據自由流動以創造更大價值與保護自然人個人信息之間的利益沖突。

本文考察了中國部分頭部互聯網企業的隱私政策，結合歐盟《通用數據保護條例》（General Data Protection Regulation，下稱“GDPR”）和美國《加州消費者隱私法案》（California Consumer Privacy Act，下稱“CCPA”）的相關規定，根據中國現行法律規定對前述問題進行探討和分析，以期探索將個人信息共享給關聯方之語境下，數據自由流動與保護自然人個人信息之間如何平衡。

本文認為，無論關聯公司之間存在何種互相依賴的關系，從個人信息共享合規的角度，個人信息處理者[1]向關聯方共享個人信息的，關聯方也應視為第三方，與外部的合作伙伴或供應商并無不同?，F行法律中似未規定包括多個法律實體的企業集團可以作為單一的個人信息處理者，因此，個人信息處理者向關聯方共享個人信息的，同樣需要遵循向非關聯方共享個人信息所適用的標準，確保符合合法、正當和必要的原則。在共享個人信息給關聯方時，應執行“告知+取得同意”的嚴格機制，在隱私政策中明確擬與之共享個人信息的關聯方及相關必要性。對于非絕對必要的情形，還可借鑒美國CCPA的規定賦予用戶選擇不共享的權利。

（一） 研究樣本

我們選取了十五家頭部互聯網企業，并對其相關App的隱私政策文本作了分析與研究，著重就共享個人信息給關聯方的情況進行了梳理與總結。我們發現，這些App的隱私政策中通常會有專門的一節標題為“我們如何共享、轉讓、公開披露個人信息”或其他類似名稱的內容，當中即有對個人信息處理者（App的開發者）如何共享個人信息的詳細說明。

我們注意到，這15份隱私政策中的多數均于不久前進行了更新，其中一份隱私政策的最新版本生效日期甚至是2021年1月7日。這從側面體現了數據合規治理的動態發展，以及來自于國家互聯網信息辦公室、工業和信息化部、公安部、市場監管總局等個人信息監管部門所施加的監管壓力。

（二） 平臺對關聯方/關聯公司的定義

這15個App中，有6個App的隱私政策對關聯公司/關聯方進行了定義，其余9個App的隱私政策未對關聯公司/關聯方進行定義。在未對關聯公司/關聯方作出定義的9個中，有的隱私政策直接使用“某某集團”的叫法以實現“關聯方”在隱私政策中所承載的功能，有兩份隱私政策則采用列舉的方式羅列了幾家關聯方名稱。前述6個對關聯公司/關聯方作出定義的App的隱私政策中對關聯公司/關聯方的定義各異，其中4個App的隱私政策中對關聯公司/關聯方的定義從文面上即可判斷其與《企業會計準則第36號--關聯方披露》關于關聯方界定的精神基本吻合，該文件提到：“一方控制、共同控制另一方或對另一方施加重大影響，以及兩方或兩方以上同受一方控制、共同控制或重大影響的，構成關聯方?！倍鴮τ谀骋浑[私權政策中“關聯公司”的定義，仔細分析可以發現其本質上也符合《企業會計準則第36號--關聯方披露》關于關聯方界定的精神。因此，在隱私政策未對關聯公司/關聯方作出定義時，我們認可參考適用《企業會計準則第36號--關聯方披露》中“關聯方”的定義用于分析和討論相關數據共享情形的數據處理合規性。

總結而言，各企業App的隱私政策對關聯公司/關聯方的處置方式多種多樣，有的有專門的定義，有的沒有專門的定義，有的羅列了幾家關聯方，即使作了專門定義的情況下各方對關聯公司/關聯方的定義內容亦不一致。

（三） 關聯方之間信息共享

通過觀察研究樣本的隱私政策可以發現，作為研究對象的這15個App，均會與相關關聯方共享個人信息。而且，有14個App的隱私政策均明確表明，其各自在向關聯方共享個人信息時，可能不取得數據主體二次授權，而直接共享給關聯方。

只有1個App的隱私政策提及，即使是為了讓用戶完成交易、實現交易目的或因某些產品或服務可能由其關聯方提供而需要向關聯方共享個人信息，其也會征得用戶同意或確認關聯方已經征得用戶同意后才執行。不僅如此，其還會進行個人信息共享的合法性、正當性和必要性評估，并要求關聯方采取保護措施和嚴格遵守相關法律法規與監管要求。某音樂App的隱私政策列舉了12項無需取得數據主體同意即可向第三方共享個人信息的情形，范圍非常之廣，部分情形比如“維護和改善我們的服務”、“實現本《隱私政策》第一條‘我們如何收集和使用信息’部分所述目的”等甚至賦予其較大的主觀決定權。不過，在列舉完前述12項情形后，該音樂App作了自我限縮，其強調僅會出于合法、正當、必要、特定、明確的目的共享，且對與之共享信息的主體，該音樂App會與其簽署嚴格的保密協議。在與關聯方的必要共享方面，該音樂App提供的說明是：“為方便于我們基于統一的帳號體系向您提供一致化服務以及便于您進行統一管理、個性化推薦、保障系統和帳號安全等，您的個人信息可能會在我們和我們的關聯方之間進行必要共享。例如：在您使用我們的音樂服務時所收集的您的信息，可能在我們的另一項服務（包括該音樂公司旗下K歌產品“音街”、直播產品“look直播”等）中用于向您提供特定內容或向您展示與您相關的、而非普遍推送的信息”。其余App的做法此處不再一一展開。

另外，有9個App的隱私政策提到，如果獲得共享之個人信息的關聯方改變個人信息的處理目的，則需再次取得數據主體的授權同意。值得特別注意的是，研究對象中除了3個App之外的其余12個App的隱私政策甚至規定了向關聯方之外的第三方（比如：合作伙伴、業務合作伙伴、授權合作伙伴、服務提供商和其他合作伙伴、供應商或商業合作伙伴等）進行必要的共享也無需取得二次授權。

為考察前述個人信息處理者向關聯方共享信息相關安排，我們將結合歐盟和美國等法域的立法，并按照中國相關法律規定進行分析和討論。

（一）GDPR的相關規定及分析

1. 數據處理的合法性分析

生效于2018年5月25日的GDPR是涉及個人信息保護的重磅歐盟法規，并進一步帶動了世界各國的個人信息保護立法。GDPR第6條“數據處理的合法性”第1款規定：“只有符合以下情況之一的個人數據處理行為才是合法的：(a) 數據主體已經對基于一個或多個具體目的而處理其個人數據的行為表示同意；(b) 履行數據主體為一方當事人的合同或在訂立合同前為實施數據主體要求的行為所必要的數據處理；(c) 為履行數據控制者的法定義務所必要的數據處理；(d) 為保護數據主體或另一自然人的重大利益所必要的數據處理；(e) 為履行涉及公共利益的職責或實施已經授予數據控制者的職務權限所必要的數據處理；(f) 數據控制者或第三方為追求合法利益目的而進行的必要數據處理，但當該利益與要求對個人數據進行保護的數據主體的利益或基本權利和自由相沖突時，尤其是當該數據主體為兒童時，則不得進行數據處理?！?/p>

GDPR規定個人信息保護是公民的基本權利，但仍然允許基于履行法定義務之必要、保護數據主體或其他自然人的重大利益之必要、履行涉及公共利益的職責/數據控制者的職務權限之必要等考量而對該項基本權利進行縮減。在共享個人信息給關聯方之場合下，按照GDPR的邏輯，只要符合上述(a)項至(f)項中的任何一項，即被視為滿足了數據處理合法性的要件。例如，對于基于疫情監測、防控、隔離等目的，互聯網公司利用已經掌握的相關個人信息為其關聯方進行疫情防控提供數據支撐，此時的數據共享可不取得數據主體的同意，因其可援引上述(d)項“為保護數據主體或另一自然人的重大利益所必要的數據處理”或(e)項“為履行涉及公共利益的職責或實施已經授予數據控制者的職務權限所必要的數據處理”，當然這還受制于監管部門最終是否認同。

很多情況下，共享個人信息給關聯方的行為并不適用GDPR第6條第1款的(c)項、(d)項或(e)項。更多的是，數據控制者出于商業方面的考慮，為更大地發揮個人信息的效用和實現更多的業務目的而將個人信息共享給其關聯方。在GDPR框架下，此時需要著重分析是否符合GDPR第6條第1款第(a)項、(b)項或(f)項的情形以研判數據處理的合法性。倘若數據控制者已將個人信息共享的目的明確、完整地告知數據主體并取得數據主體的充分同意或者數據控制者為追求合法利益目的而進行必要數據處理而將個人信息共享給其關聯方（且與數據主體的利益或基本權利和自由不相沖突）或者數據控制者確為履行數據主體為一方當事人的合同或在訂立合同前為實施數據主體要求的行為而進行必要的數據處理而共享，則我們認為該等個人信息共享行為在數據處理合法性上是安全的。但是，何謂“為追求合法利益目的”，何謂“必要數據處理”，何時又可能構成“與數據主體的利益或基本權利和自由相沖突”，需要結合具體情境進行深入分析和判斷。例如，“合法利益目的”并非由數據控制者單方主張即可成立，還應考慮監管機構的立場。此處列舉一個因不符合GDPR下數據處理合法性要求向第三人提供個人信息而被處罰的案例以進一步說明。一直以來，荷蘭皇家網球協會（下稱“KNLTB”）將其收集的個人信息提供給第三方。2007年之前其在章程中所述的目的是促進網球比賽的練習以及荷蘭網球運動的發展，2007年之后其將目的改為是為了直接營銷目的提供給贊助商。荷蘭數據保護局認為，對于KNLTB 在2007年前收集的個人信息，數據處理目的沒有很好地進行定義，因此KNLTB成員無法由此推斷他們的個人信息也將提供給贊助商進行直接營銷活動。因此，KNLTB行為違反了GDPR第5條第1款（a）的合法性原則要求，不具備數據處理的合法性基礎。對于2007年以后收集的個人信息，監管機構認為KNLTB所舉證的“給會員增值”和“降低會員減少產生的損失”不符合GDPR第6條第1款（f）項所規定的“合法利益”，缺乏緊迫性，因此這部分數據處理也不具備充分的合法性基礎，違反了GDPR第5條第1款（a）的合法性原則要求。最終，KNLTB在2020年3月3日被荷蘭數據保護局處以525,000歐元的處罰。[2]

2. GDPR框架下合規要求分析

除數據處理的合法性外，我們還擬從行為性質和雙方角色的角度分析。對于直接收集個人信息的數據控制者而言，其將收集的個人信息共享給關聯方用于其他目的的行為（當然，也有可能關聯方并不改變處理目的，則另當別論），屬于變更初始目的的個人信息處理行為；對于接收個人信息的關聯方而言，屬于個人信息的間接收集；對前述二者而言，屬于個人信息共享行為，雙方構成共同控制者（Joint Controller）。

(1)  關于變更初始目的的個人信息處理行為

GDPR第13條第3款規定：“當數據控制者意圖基于不同于數據收集初始目的的其他目的處理數據時，數據控制者應當在進行進一步處理之前向數據主體提供有關新目的的信息以及本條第2款所規定的所有相關信息?！?尤其是變更后的個人信息處理目的、個人信息處理的法律依據、個人信息接收方或其類別等。GDPR第13條第2款同時又援引了GDPR第13條第1款，因此，在向關聯方共享個人信息的情況下，嚴格而言，數據控制者應遵照GDPR第13條的全部規定向數據主體提供一系列信息（只是部分信息在之前已經提供過，而部分信息發生了變化需要著重提供）以確保處理行為符合GDPR所要求的公平、透明原則。

(2)  關于間接收集個人信息的行為

GDPR第14條第1款規定：“當個人數據并非自數據主體處獲得時，數據控制者應當向數據主體提供以下信息：(a) 數據控制者的身份信息和聯系方式，以及數據控制者代表人（如果有）的身份信息和聯系方式；(b) 數據保護專員（如果有）的身份信息和聯系方式；(c) 處理個人數據的目的以及其合法基礎；(d) 相關個人數據的種類；(e) 個人數據的接收者或者接收者的類別（如果有）；(f)……”。GDPR第14條第2款還要求數據控制者進一步提供個人數據存儲期限、個人數據來源等信息。

概言之，對于接收個人信息的關聯方，其須遵照GDPR第14條的規定向數據主體提供相關信息。

(3)  關于個人信息共享行為

GDPR第26條第1款提到：“除非歐盟和成員國已經規定了數據控制者作為主體分別負擔各自的責任外，共同數據控制者應當共同以一種透明的方式安排其各自的責任以履行本法所規定的各項義務，尤其涉及數據主體行使權利和本法第13條和第14條規定的各自通知義務。數據控制者的安排應當包括為數據主體指定一個聯絡點?！盙DPR第26條第2款明確，本條第1款所規定的內部安排應當完全反映各自的職責以及面對數據主體時共同數據控制者的關系。安排的實質內容應被數據主體獲知。GDPR第26條第3款強調，無論共同數據控制者的內部安排如何規定，數據主體都可以根據本條例相關規定向每一位數據控制者行使權利。

因此，共同數據控制者之間應當明確各自的責任，特別是涉及數據主體權利行使和向數據主體履行告知義務。而且，在該等方面，共同數據控制者向數據主體承擔的是一種類似連帶責任的負擔，即數據主體可向其中任一數據控制者行使權利。

3. 小結

回到前文提出的問題，如果僅且完全適用GDPR，共享個人信息給關聯方是否需要取得數據主體同意的問題取決于數據處理的合法性分析，有些情況下需要，有些情況下不需要。在需要取得數據主體同意的情況下，還需進一步按照GDPR的規定遵守和履行相關合規要求。另一方面，我們理解，GDPR并未承認包括多個法律實體的企業集團可以作為單一的個人信息控制者。即個人信息控制者將個人信息共享給關聯方的，也同樣需要遵守相關的原則，并不會因為關聯關系而在任何方面被豁免或得以適用更為寬松的原則。

（二） CCPA的相關規定及分析

于2018年6月28日通過、于2020年1月1日生效的CCPA被認為是美國有史以來對消費者隱私保護最全面的州級法案。與GDPR相比，CCPA存在很多不同之處。最明顯的不同是適用對象以及數據主體的權利。按照CCPA第1798.140節第（c）條，CCPA的適用對象為在美國加州開展業務而收集消費者個人信息的營利性企業，或其他為其股東或其他所有者的利益或經濟利益而組織或經營的法律實體，或是收集該資料的代表機構，并且符合以下一項或多項條件：(a) 年總收入超過2,500萬美元；(b) 每年單獨或與其他企業共同購買、接收、共享或出售超過50,000個加州消費者、家庭或設備的個人信息；(c) 年營收的50%或以上來自銷售加州消費者個人信息。GDPR的適用對象兼顧屬地、屬人原則，囿于篇幅，此處不詳細展開。關于數據主體權利方面，GDPR的各項制度一般建構于取得數據主體的同意之上，而CCPA大部分情況下只需企業履行告知消費者的義務，僅在少數情況下需要取得消費者同意，比如出售消費者的個人信息時需要消費者同意。

1.消費者的知情權—需告知消費者個人信息共享/出售事宜

CCPA第二節提及：“立法機構認可并申明：…… (c)……沒有個人信息共享，幾乎無法實現求職、撫養孩子、駕車或者預約等活動……”，說明立法者意識到個人信息共享的不可避免性。CCPA第1798.110節第（a）條規定，消費者有權要求收集消費者個人信息的企業向消費者披露“收集或出售個人信息的企業或商業目的”、“與企業共享個人信息的第三方類別”等信息。CCPA第1798.110節第（c）條規定，收集消費者個人信息的企業應根據第1798.130條第（a）款第（5）款第（B）項披露“收集或出售個人信息的企業或商業目的”、“與企業共享個人信息的第三方類別”等信息。前述二款規定從消費者的權利和企業的義務兩個維度為消費者設立了知情權。在企業將個人信息共享給關聯方的情況下，CCPA要求告知消費者第三方類別、出售個人信息的目的等信息，以保障消費者知情權。

2. 消費者的選擇退出權—消費者有權決定不出售個人信息

CCPA第 1798.140節第（t）條對“出售”的定義是：“銷售”，“出售”或“被出售”系指以一個企業以口頭、書面或電子形式或者其他方式來出售、出租、發布、披露、傳播、提供、轉讓消費者的個人信息給另一企業或第三方，以獲得金錢或其他有價值的對價。CCPA下的個人信息“出售”具有廣泛的含義，似也涵蓋了個人信息“共享”之含義，但其要求以獲得金錢或其他有價值的對價為條件。

CCPA第1798.120節第（a）條規定：“消費者有權在任何時候指示一個欲將消費者個人信息出售給第三方的企業不得出售該消費者的個人信息。這項權利可以被稱為‘選擇退出’權?！盋CPA第1798.120節第（b）條進一步規定：“向第三方出售消費者個人信息的企業應根據第1798.135節第（a）條的規定向消費者發出通知，告知消費者該信息可能會被出售并且消費者有權選擇不出售他們的個人信息。”根據前述規定，企業將個人信息出售給第三方，須事先告知消費者，且消費者有權選擇不出售。再進一步的，CCPA還要求，對于選擇行使不出售其個人信息權利的消費者，企業就不得出售收集的關于該消費者的個人信息，且至少在其選擇后的12個月內不得再要求消費者授權出售其個人信息。

CCPA第1798.135節第（a）條還詳細說明了企業確保消費者實現選擇退出權的具體操作要求：企業應采取消費者可合理獲取的形式(a) 在其互聯網主頁上提供一個清晰且明顯的，命名為“不得出售我的個人信息”的鏈接，使消費者或經消費者授權的人可以選擇不出售消費者的個人信息；(b) 根據第1798.120節的規定，制作關于消費者權利的描述，同時在在線隱私政策或任何加利福尼亞州對消費者隱私權的具體描述相關界面中有一個單獨的“不得出售我的個人信息”的鏈接。

3. 關于個人信息“出售”的例外

CCPA第1798.140節第（t）條提到：“……就本標題而言，企業在下列情況下并不出售個人信息：……（C）如果滿足以下兩個條件，業務使用或與服務提供者共享用于執行業務目的所需的消費者個人信息：服務提供者[3]代表業務執行的服務，前提是服務提供者也不會出售個人信息。（i）在符合第1798.135節規定的企業條款和條件中，企業已告知了信息會被使用或共享。（ii）服務提供者不會進一步收集、出售或使用消費者的個人信息，除非為履行商業目的之必要……”。

假如企業將個人信息共享給關聯方的行為符合上述兩個要件，且又構成與服務提供者共享用于執行業務目的所需的消費者個人信息，則屬于個人信息“出售”的例外情形，因而不適用消費者的選擇退出權等規定。

值得特別關注的是，2020年11月3日，美國加利福尼亞州選民投票通過了《加州隱私權法案》（California Privacy Rights Act，下稱“CPRA”），其在CCPA的基礎上，將進一步賦予加州居民一些新的權利。從廣義上講，CPRA將于2023年1月1日取代CCPA。在個人信息共享的問題上，不同于CCPA，CPRA不考慮雙方是否交換了金錢或其他有價值的對價。

眾多App所采取的未經數據主體二次授權而向關聯方直接共享個人信息的做法是否合規？我們下面就從中國法律的角度予以探討。

（一）法律層面

1. 《民法典》

2021年1月1日生效的《中華人民共和國民法典》（下稱“《民法典》”）在第四編“人格權”第六章“隱私權和個人信息保護”中用專門的一章對隱私權和個人信息保護作出了規定，向民事主體提供了相關指引。《民法典》部分其他條款也涉及公民的個人信息，如第111條、第999條、第1030條、第1226條等?！睹穹ǖ洹窙]有使用個人信息“共享”的概念，而是使用了個人信息“傳輸”、“提供”的說法。

《民法典》第1035條明確規定處理個人信息應當遵循合法、正當、必要原則，不得過度處理，且還應符合相關條件。同時，《民法典》第1036條規定了三種不承擔責任的例外情況，即：(1) 在該自然人或者其監護人同意的范圍內合理實施的行為；(2) 合理處理該自然人自行公開的或者其他已經合法公開的信息，但是該自然人明確拒絕或者處理該信息侵害其重大利益的除外；(3) 為維護公共利益或者該自然人合法權益，合理實施的其他行為。尤其是前述第三項為維護該自然人合法權益合理實施的其他行為，似乎可為企業向其關聯方進行必要的個人信息共享提供一定的法律依據。

2. 《刑法》

《中華人民共和國刑法》（下稱“《刑法》”）第二百五十三條之一第1款規定：“違反國家有關規定，向他人出售或者提供公民個人信息，情節嚴重的，處三年以下有期徒刑或者拘役，并處或者單處罰金；情節特別嚴重的，處三年以上七年以下有期徒刑，并處罰金。”

違法向他人提供個人信息，如達到《最高人民法院、最高人民檢察院關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》規定的追訴標準的，存在刑事合規風險，必須非常重視。

3. 《網絡安全法》

2017年6月1日生效的《中華人民共和國網絡安全法》（下稱“《網絡安全法》”）同樣規定了收集、使用個人信息應遵守的合法、正當、必要三原則?！毒W絡安全法》也未使用個人信息“共享”的概念，而是使用了“傳輸”、“提供”的說法?！毒W絡安全法》第42條第1款還規定：“網絡運營者不得泄露、篡改、毀損其收集的個人信息；未經被收集者同意，不得向他人提供個人信息。但是，經過處理無法識別特定個人且不能復原的除外?！庇纱丝梢?，《網絡安全法》規定的原則是向他人提供個人信息應經被收集者同意。

4. 《消費者權益保護法》

2013年修正之后的《中華人民共和國消費者權益保護法》（下稱“《消費者權益保護法》”）只有少數幾個條款涉及個人信息。其同樣規定了收集、使用個人信息應當遵循的合法、正當、必要三原則。《消費者權益保護法》第29條第2款還提到：“經營者及其工作人員對收集的消費者個人信息必須嚴格保密，不得泄露、出售或者非法向他人提供?！薄断M者權益保護法》強調“不得泄露、出售或者非法向他人提供”個人信息。

5.《個人信息保護法》草案

全國人民代表大會常務委員會2020年10月21日發布的《個人信息保護法（草案）》征求意見稿（下稱“《個保法草案》”）雖然尚未生效，但考慮到其代表了立法機關對個人信息保護事宜的基本態度和傾向，故在此也予以分析?！秱€保法草案》也未使用個人信息“共享”的概念，而是使用“傳輸”、“提供”的說法?！秱€保法草案》在處理個人信息應當遵循的合法、正當、必要三原則之外又增加了誠信、公開、透明原則。

《個保法草案》第24條第1款規定：“個人信息處理者向第三方提供其處理的個人信息的，應當向個人告知第三方的身份、聯系方式、處理目的、處理方式和個人信息的種類，并取得個人的單獨同意。接收個人信息的第三方應當在上述處理目的、處理方式和個人信息的種類等范圍內處理個人信息。第三方變更原先的處理目的、處理方式的，應當依照本法規定重新向個人告知并取得其同意?！笨梢姡拖虻谌焦蚕韨€人信息事宜，《個保法草案》確立的是一種“告知+取得同意”的嚴格機制。此外，《個保法草案》要求，基于個人同意處理敏感個人信息的，個人信息處理者還應當取得個人的單獨同意。

《個保法草案》第13條的內容是判定數據處理合法性的重要依據，其內容為：“符合下列情形之一的，個人信息處理者方可處理個人信息：（一）取得個人的同意；（二）為訂立或者履行個人作為一方當事人的合同所必需；（三）為履行法定職責或者法定義務所必需；（四）為應對突發公共衛生事件，或者緊急情況下為保護自然人的生命健康和財產安全所必需；（五）為公共利益實施新聞報道、輿論監督等行為在合理的范圍內處理個人信息；（六）法律、行政法規規定的其他情形。”前述條款的立法借鑒了GDPR第6條第1款。我們理解，一項個人信息處理行為，倘若未取得個人同意，但符合前述另外五種情形中的一種，則因此而追究數據處理者相關責任之依據將大大克減。回到未經同意向關聯方共享個人信息之情形，倘若處理者能證明其行為符合《個保法草案》第13條第2項的情形“為訂立或者履行個人作為一方當事人的合同所必需”，則按照《個保法草案》的邏輯，相關處理者是可以這樣做的。由于《個保法草案》尚未生效，我們將進一步關注《個保法草案》的生效文本在這一問題上的規定。

（二）部門工作文件/規范性文件

1.《App違法違規收集使用個人信息行為認定方法》

國家互聯網信息辦公室、工業和信息化部、公安部和國家市場監督管理總局于2019年11月28日發布并于同日生效的《App違法違規收集使用個人信息行為認定方法》為監管部門認定App違法違規收集使用個人信息行為提供了參考，并為App運營者自查自糾和網民社會監督提供了指引。其第5條規定：“以下行為可被認定為‘未經同意向他人提供個人信息’：(1) 既未經用戶同意，也未做匿名化處理，App客戶端直接向第三方提供個人信息，包括通過客戶端嵌入的第三方代碼、插件等方式向第三方提供個人信息；(2) 既未經用戶同意，也未做匿名化處理，數據傳輸至App后臺服務器后，向第三方提供其收集的個人信息；(3) App接入第三方應用，未經用戶同意，向第三方應用提供個人信息。”

2. 《互聯網個人信息安全保護指南》

公安部和北京市網絡行業協會在2019年4月10日發布并于同日生效的《互聯網個人信息安全保護指南》（下稱“《個人信息保護指南》”）第6.6條清晰地列舉了共享個人信息時應滿足的各項要求：

a) 共享行為應經過合法性、必要性評估；

b) 在對個人信息進行共享時應進行個人信息安全影響評估，應對受讓方的數據安全能力進行評估確保受讓方具備足夠的數據安全能力，并按照評估結果采取有效的保護個人信息主體的措施；

c) 在共享前應向個人信息主體告知共享該信息的目的、規模、公開范圍數據接收方的類型等信息；

d) 在共享前應得到個人信息主體的授權同意，與國家安全、國防安全、公共安全、公共衛生、重大公共利益或與犯罪偵查、起訴、審判和判決執行等直接相關的情形除外；

e) 應記錄共享信息內容，將共享情況中包括共享的日期、數據量、目的和數據接收方的基本情況在內的信息進行登記；

f) 在共享后應了解接收方對個人信息的保存、使用情況和個人信息主體的權利，例如訪問、更正、刪除、注銷等；

g) 當個人信息持有者發生收購、兼并、重組、破產等變更時，個人信息持有者應向個人信息主體告知有關情況，并繼續履行原個人信息持有者的責任和義務，如變更個人信息使用目的時，應重新取得個人信息主體的明示同意。

（三）技術規范

在個人信息保護領域，許多技術規范，雖然在法律上不具備強制執行力，但其是監管部門據以執法的重要依據，故而該等技術規范實際上承擔了“準法律”的功能。具有代表性的是《信息安全技術 個人信息安全規范（GB/T 35273-2020）》（下稱“《個人信息安全規范》”）、《App違法違規收集使用個人信息自評估指南》（下稱“《自評估指南》”）和《網絡安全標準實踐指南—移動互聯網應用程序（App）收集使用個人信息自評估指南》（下稱“《自評估指南實踐指南》”）。

1. 《個人信息安全規范》

《個人信息安全規范》對“共享”的定義是“個人信息控制者向其他控制者提供個人信息，且雙方分別對個人信息擁有獨立控制權的過程?！卑凑誈DPR和《個人信息安全規范》的說法，即共享方和受共享方均屬于數據控制者（Data Controller）。

《個人信息安全規范》第9.2條對個人信息共享規定了詳細的操作指引和要求，其具體內容為：共享個人信息，應符合：(a) 事先開展個人信息安全影響評估，并依評估結果采取有效的保護措施；(b) 向個人信息主體告知共享的目的、數據接收方的類型以及可能產生的后果，并事先征得個人信息主體的授權同意；(c) 共享個人敏感信息前，還應告知涉及的敏感信息類型、數據接收方的身份和數據安全能力，并事先征得個人信息主體的明示同意；(d) 通過合同等方式規定數據接收方的責任和義務；(e) 準確記錄共享情況；(f) ……(i) 個人生物識別信息原則上不應共享，確需共享的應告知相關內容并征得個人信息主體明示同意。值得作展開介紹的是，2018年時 Yahoo! UK Services Limited被英國信息專員辦公室（UK Information Commissioner’s Office）處以25萬英鎊的罰款，理由之一是其沒有采取合適的措施確保其數據處理者Yahoo! Inc.依法保護用戶個人信息而導致信息泄露，具體表現形式是其沒有與代表其處理個人信息的雅虎集團內的公司Yahoo! Inc.簽署數據處理協議。[4]雖然該案例是英國案例，但其執法思路與《個人信息安全規范》第9.2條(d)項“通過合同等方式規定數據接收方的責任和義務”體現的精神異曲同工。實務中，相關數據處理協議也已被部分企業提上日程或已經準備完畢，成為數據合規落地的一部分。

《個人信息安全規范》第9.5條規定了共享個人信息時無需事先征得授權同意的七種情況：(a) 與個人信息控制者履行法律法規規定的義務相關的；(b) 與國家安全、國防安全直接相關的；(c) 與公共安全、公共衛生、重大公共利益直接相關的；(d) 與刑事偵查、起訴、審判和判決執行等直接相關的；(e) 出于維護個人信息主體或其他個人的生命、財產等重大合法權益但又很難得到本人授權同意的；(f) 個人信息主體自行向社會公眾公開的個人信息；(g) 從合法公開披露的信息中收集個人信息的，如合法的新聞報道、政府信息公開等渠道。而且，前述本文第一部分所研究的15個App的隱私政策文本均吸收了《個人信息安全規范》第9.5條，以強調該等情形下無需取得數據主體授權同意。

2. 《自評估指南》

App違法違規收集使用個人信息專項治理工作組2019年3月3日發布并于同日生效的《自評估指南》主要用于App運營者對其收集使用個人信息的情況進行自查自糾。其規定的第14個評估點為“對外共享、轉讓、公開披露個人信息規則”，如果存在個人信息對外共享、轉讓、公開披露等情況，隱私政策中應明確以下內容：(1) 對外共享、轉讓、公開披露個人信息的目的；(2) 涉及的個人信息類型；(3) 接受方類型或身份。

在App專項治理工作組[5]發布的《關于61款App存在收集使用個人信息問題的通告》[6]中，公布了57款存在收集使用個人信息問題的App的詳細附表。附表中“存在的問題”一列沒有一條內容是針對關聯公司之間共享個人信息的。因此，盡管目前諸多頭部互聯網企業仍然默認將個人信息共享給關聯企業的做法，但從前述附表看，監管部門似并未僅就關聯公司之間共享個人信息事宜提出質疑。

3. 《自評估指南實踐指南》

全國信息安全標準化技術委員會2020年7月22日發布并于同日生效的 《自評估指南實踐指南》是為落實《網絡安全法》、《自評估指南》相關要求而編制的產物。其歸納總結了App收集使用個人信息的六項評估點。其中第五個評估點是“是否經用戶同意后才向他人提供個人信息”，該評估點下面又分為“向他人提供個人信息前是否征得用戶同意”和“向接入的第三方應用提供個人信息前是否經用戶同意”兩個子項。若未經用戶同意向他人提供個人信息的，即為不符合評估要求。

（四）小結

總體上而言，對于CCPA和GDPR，中國在題述問題方面的立法更靠近于GDPR。

雖然《民法典》、《網絡安全法》、《消費者權益保護法》和《個保法草案》都沒有使用個人信息“共享”的概念，但“共享”可被“傳輸”、“提供”所涵蓋，個人信息共享行為當然應受前述法規的約束與監管。前述4項法規均強調收集、使用/處理個人信息應當遵循合法、正當、必要原則，《個保法草案》還另外要求遵守誠信、公開、透明原則。前述4項法規對提供個人信息給第三方的相關規定存在差異，根據新法優于舊法的原則，若存在沖突，《民法典》應優先于《網絡安全法》和《消費者權益保護法》。若數據控制者可以證明其向關聯方共享個人信息的行為屬于《民法典》第1035條規定的為維護相關自然人合法權益而合理實施的其他行為，則按照《民法典》其無需承擔責任。再根據特別法優于一般法和新法優于舊法的原則，在《個保法草案》生效之后，《個人信息保護法》的規定將優先適用。當前，《個保法草案》對向第三方提供個人信息規定的是一種“告知+取得同意”的嚴格機制。

一般情況下，向關聯方共享個人信息，須取得二次授權是原則，無需取得二次授權是例外?！秱€人信息保護指南》和《個人信息安全規范》為共享個人信息時應遵守的各項要求規定了詳細又清晰的指引，值得重點關注。此外，按照北京知識產權法院在2016年就新浪微博訴脈脈案[7]提出的“三重授權”原則，即用戶授權、平臺授權和用戶授權，若以該等“三重授權”原則作為分析框架，在共享的第三方主體確定，且授權共享、使用個人信息的內容、目的、范圍均確定的條件下，“三重授權”原則中的第三重授權可被視為與第一重授權合二為一，又加之與關聯方共享的情況基本不會給第二重授權“平臺授權”創設障礙，故此時實質上已經符合“三重授權”原則，不過前述條件的成就亦非易事。

回到本文第一部分15個App的隱私政策文本，我們認為相關App未經二次授權徑直向關聯方共享個人信息的做法是值得商榷的，特別是如果向關聯方共享個人信息的目的與App提供服務所收集個人信息的目的并不一致的情況下。例如，某一隱私保護指引提到：“目前，我們不會主動共享或轉讓你的個人信息至某某集團外的第三方，如存在其他共享或轉讓你的個人信息或你需要我們將你的個人信息共享或轉讓至某某集團外的第三方情形時，我們會直接征得或確認第三方征得你對上述行為的明示同意，但因保護用戶權益或保護我們生態安全需要除外”，其將“因保護用戶權益或保護我們生態安全需要”作為向第三方共享個人信息無需取得二次授權的依據，但對于“某某集團”內部的共享沒有給出任何說法，令人質疑共享的必要性。還比如，某一隱私權政策提到：“與關聯公司間共享：為便于我們基于我們平臺帳號向您提供產品或服務，推薦您可能感興趣的信息，識別帳號異常，您的個人信息可能會與我們的關聯公司和/或其指定的服務提供商共享。我們只會共享必要的個人信息，且受本隱私政策中所聲明目的的約束……”，盡管前述內容強調了只會共享必要的個人信息，我們認為以“推薦您可能感興趣的信息”作為共享的目的，難言符合必要性，而且也可能被認為屬于一項“一攬子授權”，剝奪了用戶決定是否同意該等共享的選擇權。此外，還有多個App的隱私政策中都提到了與關聯方的必要共享，其同時也單方強調了必要性。不過該等必要性是否充分，需要進行個案評估或由監管部門作出認定，并非App單方說明符合必要性即可。

我們理解，個人信息保護法規并未認可企業集團可以作為單一的個人信息處理者，也未將向關聯方共享個人信息作為一項無須取得用戶同意或無須遵守“合法、正當、必要”原則的例外情形。因此，無論企業集團內部公司之間存在多么緊密的互相依賴的關系，從個人信息共享合規的角度，App的個人信息處理者向關聯方共享個人信息的，關聯方也應視為第三方，與向外部的合作伙伴或供應商共享個人信息并無二致。同時，個人信息處理者向關聯方共享個人信息的，同樣需要遵循向非關聯方共享個人信息所適用的標準，確保符合合法、正當和必要的原則。

數據的上下游流轉在當前的商業社會普遍存在，稍有不慎，甚至涉及刑事風險。向關聯方共享個人信息是否需取得二次授權的答案不是絕對的，特定條件下無需取得二次授權。在需取得二次授權的情況下，僅取得二次授權是不夠的，還應進行合法性和必要性評估、進行安全影響評估、告知一系列法定事項等。

我們在此提出我們認為比較合適與安全的操作實踐供讀者參考：執行“告知+取得同意”的嚴格機制。在隱私政策中明確擬與之共享個人信息的關聯方及相關必要性，對于非絕對必要的情形，可借鑒美國CCPA的規定賦予用戶選擇不共享的權利。

同時，我們建議，基于現有法律、國家標準、技術規范、監管要求等，從嚴對待和重視向關聯方共享個人信息事宜，采取包括但不限于如下措施或做法：(1) 在隱私政策中為關聯方制定清晰、準確的定義；(2) 對共享行為進行合法性、必要性評估；(3) 在共享時進行個人信息安全影響評估。包括對受讓方的數據安全能力進行評估確保受讓方具備足夠的數據安全能力，并按照評估結果采取有效的保護個人信息主體的措施；(4) 共享前應向個人信息主體告知共享該信息的目的、規模、類型、后果、公開范圍數據接收方的類型等信息；(5) 共享前應得到個人信息主體的授權同意，與國家安全、國防安全、公共安全、公共衛生、重大公共利益或與犯罪偵查、起訴、審判和判決執行等直接相關的情形除外；(6) 應記錄共享信息內容，將共享情況中包括共享的日期、數據量、目的和數據接收方的基本情況在內的信息進行登記；(7) 在共享后應了解接收方對個人信息的保存、使用情況和個人信息主體的權利，例如訪問、更正、刪除、注銷等；(8) 當個人信息持有者發生收購、兼并、重組、破產等變更時，個人信息持有者應向個人信息主體告知有關情況，并繼續履行原個人信息持有者的責任和義務，如變更個人信息使用目的時，應重新取得個人信息主體的明示同意；(9) 通過合同等方式規定數據接收方的責任和義務。