將個(gè)人信息共享給關(guān)聯(lián)方的安全邊界
作者:毛衛(wèi)飛 于承偉 黃天逸 2021-03-11在這個(gè)5G、人工智能、大數(shù)據(jù)等新興技術(shù)層出不窮的時(shí)代,個(gè)人信息的流動(dòng)和利用為人類社會(huì)創(chuàng)造了巨大的價(jià)值,并且顯示了廣闊的發(fā)展前景。但是,個(gè)人信息的流動(dòng)并不能任意而為,而須遵循法律為其限定的軌跡。這在個(gè)人信息監(jiān)管環(huán)境日益嚴(yán)格的背景下尤顯重要。
我們注意到不少互聯(lián)網(wǎng)企業(yè)在其隱私政策中向消費(fèi)者征求關(guān)于其可將收集的消費(fèi)者個(gè)人信息共享給其關(guān)聯(lián)方的同意,甚至未經(jīng)消費(fèi)者同意徑直將個(gè)人信息共享給關(guān)聯(lián)方。那么,就共享個(gè)人信息給關(guān)聯(lián)方而言,是否適用一種類似“安全港”的機(jī)制可以直接提供給關(guān)聯(lián)方而無(wú)需取得數(shù)據(jù)主體同意?如需取得數(shù)據(jù)主體同意,取得同意又是否足夠?安全邊界在哪里?前述問題直接映射了促進(jìn)數(shù)據(jù)自由流動(dòng)以創(chuàng)造更大價(jià)值與保護(hù)自然人個(gè)人信息之間的利益沖突。
本文考察了中國(guó)部分頭部互聯(lián)網(wǎng)企業(yè)的隱私政策,結(jié)合歐盟《通用數(shù)據(jù)保護(hù)條例》(General Data Protection Regulation,下稱“GDPR”)和美國(guó)《加州消費(fèi)者隱私法案》(California Consumer Privacy Act,下稱“CCPA”)的相關(guān)規(guī)定,根據(jù)中國(guó)現(xiàn)行法律規(guī)定對(duì)前述問題進(jìn)行探討和分析,以期探索將個(gè)人信息共享給關(guān)聯(lián)方之語(yǔ)境下,數(shù)據(jù)自由流動(dòng)與保護(hù)自然人個(gè)人信息之間如何平衡。
本文認(rèn)為,無(wú)論關(guān)聯(lián)公司之間存在何種互相依賴的關(guān)系,從個(gè)人信息共享合規(guī)的角度,個(gè)人信息處理者[1]向關(guān)聯(lián)方共享個(gè)人信息的,關(guān)聯(lián)方也應(yīng)視為第三方,與外部的合作伙伴或供應(yīng)商并無(wú)不同。現(xiàn)行法律中似未規(guī)定包括多個(gè)法律實(shí)體的企業(yè)集團(tuán)可以作為單一的個(gè)人信息處理者,因此,個(gè)人信息處理者向關(guān)聯(lián)方共享個(gè)人信息的,同樣需要遵循向非關(guān)聯(lián)方共享個(gè)人信息所適用的標(biāo)準(zhǔn),確保符合合法、正當(dāng)和必要的原則。在共享個(gè)人信息給關(guān)聯(lián)方時(shí),應(yīng)執(zhí)行“告知+取得同意”的嚴(yán)格機(jī)制,在隱私政策中明確擬與之共享個(gè)人信息的關(guān)聯(lián)方及相關(guān)必要性。對(duì)于非絕對(duì)必要的情形,還可借鑒美國(guó)CCPA的規(guī)定賦予用戶選擇不共享的權(quán)利。
一、互聯(lián)網(wǎng)企業(yè)的隱私政策 (一) 研究樣本 我們選取了十五家頭部互聯(lián)網(wǎng)企業(yè),并對(duì)其相關(guān)App的隱私政策文本作了分析與研究,著重就共享個(gè)人信息給關(guān)聯(lián)方的情況進(jìn)行了梳理與總結(jié)。我們發(fā)現(xiàn),這些App的隱私政策中通常會(huì)有專門的一節(jié)標(biāo)題為“我們?nèi)绾喂蚕怼⑥D(zhuǎn)讓、公開披露個(gè)人信息”或其他類似名稱的內(nèi)容,當(dāng)中即有對(duì)個(gè)人信息處理者(App的開發(fā)者)如何共享個(gè)人信息的詳細(xì)說明。 我們注意到,這15份隱私政策中的多數(shù)均于不久前進(jìn)行了更新,其中一份隱私政策的最新版本生效日期甚至是2021年1月7日。這從側(cè)面體現(xiàn)了數(shù)據(jù)合規(guī)治理的動(dòng)態(tài)發(fā)展,以及來自于國(guó)家互聯(lián)網(wǎng)信息辦公室、工業(yè)和信息化部、公安部、市場(chǎng)監(jiān)管總局等個(gè)人信息監(jiān)管部門所施加的監(jiān)管壓力。 (二) 平臺(tái)對(duì)關(guān)聯(lián)方/關(guān)聯(lián)公司的定義 這15個(gè)App中,有6個(gè)App的隱私政策對(duì)關(guān)聯(lián)公司/關(guān)聯(lián)方進(jìn)行了定義,其余9個(gè)App的隱私政策未對(duì)關(guān)聯(lián)公司/關(guān)聯(lián)方進(jìn)行定義。在未對(duì)關(guān)聯(lián)公司/關(guān)聯(lián)方作出定義的9個(gè)中,有的隱私政策直接使用“某某集團(tuán)”的叫法以實(shí)現(xiàn)“關(guān)聯(lián)方”在隱私政策中所承載的功能,有兩份隱私政策則采用列舉的方式羅列了幾家關(guān)聯(lián)方名稱。前述6個(gè)對(duì)關(guān)聯(lián)公司/關(guān)聯(lián)方作出定義的App的隱私政策中對(duì)關(guān)聯(lián)公司/關(guān)聯(lián)方的定義各異,其中4個(gè)App的隱私政策中對(duì)關(guān)聯(lián)公司/關(guān)聯(lián)方的定義從文面上即可判斷其與《企業(yè)會(huì)計(jì)準(zhǔn)則第36號(hào)--關(guān)聯(lián)方披露》關(guān)于關(guān)聯(lián)方界定的精神基本吻合,該文件提到:“一方控制、共同控制另一方或?qū)α硪环绞┘又卮笥绊懀约皟煞交騼煞揭陨贤芤环娇刂啤⒐餐刂苹蛑卮笥绊懙模瑯?gòu)成關(guān)聯(lián)方。”而對(duì)于某一隱私權(quán)政策中“關(guān)聯(lián)公司”的定義,仔細(xì)分析可以發(fā)現(xiàn)其本質(zhì)上也符合《企業(yè)會(huì)計(jì)準(zhǔn)則第36號(hào)--關(guān)聯(lián)方披露》關(guān)于關(guān)聯(lián)方界定的精神。因此,在隱私政策未對(duì)關(guān)聯(lián)公司/關(guān)聯(lián)方作出定義時(shí),我們認(rèn)可參考適用《企業(yè)會(huì)計(jì)準(zhǔn)則第36號(hào)--關(guān)聯(lián)方披露》中“關(guān)聯(lián)方”的定義用于分析和討論相關(guān)數(shù)據(jù)共享情形的數(shù)據(jù)處理合規(guī)性。 總結(jié)而言,各企業(yè)App的隱私政策對(duì)關(guān)聯(lián)公司/關(guān)聯(lián)方的處置方式多種多樣,有的有專門的定義,有的沒有專門的定義,有的羅列了幾家關(guān)聯(lián)方,即使作了專門定義的情況下各方對(duì)關(guān)聯(lián)公司/關(guān)聯(lián)方的定義內(nèi)容亦不一致。 (三) 關(guān)聯(lián)方之間信息共享 通過觀察研究樣本的隱私政策可以發(fā)現(xiàn),作為研究對(duì)象的這15個(gè)App,均會(huì)與相關(guān)關(guān)聯(lián)方共享個(gè)人信息。而且,有14個(gè)App的隱私政策均明確表明,其各自在向關(guān)聯(lián)方共享個(gè)人信息時(shí),可能不取得數(shù)據(jù)主體二次授權(quán),而直接共享給關(guān)聯(lián)方。 只有1個(gè)App的隱私政策提及,即使是為了讓用戶完成交易、實(shí)現(xiàn)交易目的或因某些產(chǎn)品或服務(wù)可能由其關(guān)聯(lián)方提供而需要向關(guān)聯(lián)方共享個(gè)人信息,其也會(huì)征得用戶同意或確認(rèn)關(guān)聯(lián)方已經(jīng)征得用戶同意后才執(zhí)行。不僅如此,其還會(huì)進(jìn)行個(gè)人信息共享的合法性、正當(dāng)性和必要性評(píng)估,并要求關(guān)聯(lián)方采取保護(hù)措施和嚴(yán)格遵守相關(guān)法律法規(guī)與監(jiān)管要求。某音樂App的隱私政策列舉了12項(xiàng)無(wú)需取得數(shù)據(jù)主體同意即可向第三方共享個(gè)人信息的情形,范圍非常之廣,部分情形比如“維護(hù)和改善我們的服務(wù)”、“實(shí)現(xiàn)本《隱私政策》第一條‘我們?nèi)绾问占褪褂眯畔ⅰ糠炙瞿康摹钡壬踔临x予其較大的主觀決定權(quán)。不過,在列舉完前述12項(xiàng)情形后,該音樂App作了自我限縮,其強(qiáng)調(diào)僅會(huì)出于合法、正當(dāng)、必要、特定、明確的目的共享,且對(duì)與之共享信息的主體,該音樂App會(huì)與其簽署嚴(yán)格的保密協(xié)議。在與關(guān)聯(lián)方的必要共享方面,該音樂App提供的說明是:“為方便于我們基于統(tǒng)一的帳號(hào)體系向您提供一致化服務(wù)以及便于您進(jìn)行統(tǒng)一管理、個(gè)性化推薦、保障系統(tǒng)和帳號(hào)安全等,您的個(gè)人信息可能會(huì)在我們和我們的關(guān)聯(lián)方之間進(jìn)行必要共享。例如:在您使用我們的音樂服務(wù)時(shí)所收集的您的信息,可能在我們的另一項(xiàng)服務(wù)(包括該音樂公司旗下K歌產(chǎn)品“音街”、直播產(chǎn)品“l(fā)ook直播”等)中用于向您提供特定內(nèi)容或向您展示與您相關(guān)的、而非普遍推送的信息”。其余App的做法此處不再一一展開。 另外,有9個(gè)App的隱私政策提到,如果獲得共享之個(gè)人信息的關(guān)聯(lián)方改變個(gè)人信息的處理目的,則需再次取得數(shù)據(jù)主體的授權(quán)同意。值得特別注意的是,研究對(duì)象中除了3個(gè)App之外的其余12個(gè)App的隱私政策甚至規(guī)定了向關(guān)聯(lián)方之外的第三方(比如:合作伙伴、業(yè)務(wù)合作伙伴、授權(quán)合作伙伴、服務(wù)提供商和其他合作伙伴、供應(yīng)商或商業(yè)合作伙伴等)進(jìn)行必要的共享也無(wú)需取得二次授權(quán)。 為考察前述個(gè)人信息處理者向關(guān)聯(lián)方共享信息相關(guān)安排,我們將結(jié)合歐盟和美國(guó)等法域的立法,并按照中國(guó)相關(guān)法律規(guī)定進(jìn)行分析和討論。 二、域外經(jīng)驗(yàn) (一)GDPR的相關(guān)規(guī)定及分析 1. 數(shù)據(jù)處理的合法性分析 生效于2018年5月25日的GDPR是涉及個(gè)人信息保護(hù)的重磅歐盟法規(guī),并進(jìn)一步帶動(dòng)了世界各國(guó)的個(gè)人信息保護(hù)立法。GDPR第6條“數(shù)據(jù)處理的合法性”第1款規(guī)定:“只有符合以下情況之一的個(gè)人數(shù)據(jù)處理行為才是合法的:(a) 數(shù)據(jù)主體已經(jīng)對(duì)基于一個(gè)或多個(gè)具體目的而處理其個(gè)人數(shù)據(jù)的行為表示同意;(b) 履行數(shù)據(jù)主體為一方當(dāng)事人的合同或在訂立合同前為實(shí)施數(shù)據(jù)主體要求的行為所必要的數(shù)據(jù)處理;(c) 為履行數(shù)據(jù)控制者的法定義務(wù)所必要的數(shù)據(jù)處理;(d) 為保護(hù)數(shù)據(jù)主體或另一自然人的重大利益所必要的數(shù)據(jù)處理;(e) 為履行涉及公共利益的職責(zé)或?qū)嵤┮呀?jīng)授予數(shù)據(jù)控制者的職務(wù)權(quán)限所必要的數(shù)據(jù)處理;(f) 數(shù)據(jù)控制者或第三方為追求合法利益目的而進(jìn)行的必要數(shù)據(jù)處理,但當(dāng)該利益與要求對(duì)個(gè)人數(shù)據(jù)進(jìn)行保護(hù)的數(shù)據(jù)主體的利益或基本權(quán)利和自由相沖突時(shí),尤其是當(dāng)該數(shù)據(jù)主體為兒童時(shí),則不得進(jìn)行數(shù)據(jù)處理。” GDPR規(guī)定個(gè)人信息保護(hù)是公民的基本權(quán)利,但仍然允許基于履行法定義務(wù)之必要、保護(hù)數(shù)據(jù)主體或其他自然人的重大利益之必要、履行涉及公共利益的職責(zé)/數(shù)據(jù)控制者的職務(wù)權(quán)限之必要等考量而對(duì)該項(xiàng)基本權(quán)利進(jìn)行縮減。在共享個(gè)人信息給關(guān)聯(lián)方之場(chǎng)合下,按照GDPR的邏輯,只要符合上述(a)項(xiàng)至(f)項(xiàng)中的任何一項(xiàng),即被視為滿足了數(shù)據(jù)處理合法性的要件。例如,對(duì)于基于疫情監(jiān)測(cè)、防控、隔離等目的,互聯(lián)網(wǎng)公司利用已經(jīng)掌握的相關(guān)個(gè)人信息為其關(guān)聯(lián)方進(jìn)行疫情防控提供數(shù)據(jù)支撐,此時(shí)的數(shù)據(jù)共享可不取得數(shù)據(jù)主體的同意,因其可援引上述(d)項(xiàng)“為保護(hù)數(shù)據(jù)主體或另一自然人的重大利益所必要的數(shù)據(jù)處理”或(e)項(xiàng)“為履行涉及公共利益的職責(zé)或?qū)嵤┮呀?jīng)授予數(shù)據(jù)控制者的職務(wù)權(quán)限所必要的數(shù)據(jù)處理”,當(dāng)然這還受制于監(jiān)管部門最終是否認(rèn)同。 很多情況下,共享個(gè)人信息給關(guān)聯(lián)方的行為并不適用GDPR第6條第1款的(c)項(xiàng)、(d)項(xiàng)或(e)項(xiàng)。更多的是,數(shù)據(jù)控制者出于商業(yè)方面的考慮,為更大地發(fā)揮個(gè)人信息的效用和實(shí)現(xiàn)更多的業(yè)務(wù)目的而將個(gè)人信息共享給其關(guān)聯(lián)方。在GDPR框架下,此時(shí)需要著重分析是否符合GDPR第6條第1款第(a)項(xiàng)、(b)項(xiàng)或(f)項(xiàng)的情形以研判數(shù)據(jù)處理的合法性。倘若數(shù)據(jù)控制者已將個(gè)人信息共享的目的明確、完整地告知數(shù)據(jù)主體并取得數(shù)據(jù)主體的充分同意或者數(shù)據(jù)控制者為追求合法利益目的而進(jìn)行必要數(shù)據(jù)處理而將個(gè)人信息共享給其關(guān)聯(lián)方(且與數(shù)據(jù)主體的利益或基本權(quán)利和自由不相沖突)或者數(shù)據(jù)控制者確為履行數(shù)據(jù)主體為一方當(dāng)事人的合同或在訂立合同前為實(shí)施數(shù)據(jù)主體要求的行為而進(jìn)行必要的數(shù)據(jù)處理而共享,則我們認(rèn)為該等個(gè)人信息共享行為在數(shù)據(jù)處理合法性上是安全的。但是,何謂“為追求合法利益目的”,何謂“必要數(shù)據(jù)處理”,何時(shí)又可能構(gòu)成“與數(shù)據(jù)主體的利益或基本權(quán)利和自由相沖突”,需要結(jié)合具體情境進(jìn)行深入分析和判斷。例如,“合法利益目的”并非由數(shù)據(jù)控制者單方主張即可成立,還應(yīng)考慮監(jiān)管機(jī)構(gòu)的立場(chǎng)。此處列舉一個(gè)因不符合GDPR下數(shù)據(jù)處理合法性要求向第三人提供個(gè)人信息而被處罰的案例以進(jìn)一步說明。一直以來,荷蘭皇家網(wǎng)球協(xié)會(huì)(下稱“KNLTB”)將其收集的個(gè)人信息提供給第三方。2007年之前其在章程中所述的目的是促進(jìn)網(wǎng)球比賽的練習(xí)以及荷蘭網(wǎng)球運(yùn)動(dòng)的發(fā)展,2007年之后其將目的改為是為了直接營(yíng)銷目的提供給贊助商。荷蘭數(shù)據(jù)保護(hù)局認(rèn)為,對(duì)于KNLTB 在2007年前收集的個(gè)人信息,數(shù)據(jù)處理目的沒有很好地進(jìn)行定義,因此KNLTB成員無(wú)法由此推斷他們的個(gè)人信息也將提供給贊助商進(jìn)行直接營(yíng)銷活動(dòng)。因此,KNLTB行為違反了GDPR第5條第1款(a)的合法性原則要求,不具備數(shù)據(jù)處理的合法性基礎(chǔ)。對(duì)于2007年以后收集的個(gè)人信息,監(jiān)管機(jī)構(gòu)認(rèn)為KNLTB所舉證的“給會(huì)員增值”和“降低會(huì)員減少產(chǎn)生的損失”不符合GDPR第6條第1款(f)項(xiàng)所規(guī)定的“合法利益”,缺乏緊迫性,因此這部分?jǐn)?shù)據(jù)處理也不具備充分的合法性基礎(chǔ),違反了GDPR第5條第1款(a)的合法性原則要求。最終,KNLTB在2020年3月3日被荷蘭數(shù)據(jù)保護(hù)局處以525,000歐元的處罰。[2] 2. GDPR框架下合規(guī)要求分析 除數(shù)據(jù)處理的合法性外,我們還擬從行為性質(zhì)和雙方角色的角度分析。對(duì)于直接收集個(gè)人信息的數(shù)據(jù)控制者而言,其將收集的個(gè)人信息共享給關(guān)聯(lián)方用于其他目的的行為(當(dāng)然,也有可能關(guān)聯(lián)方并不改變處理目的,則另當(dāng)別論),屬于變更初始目的的個(gè)人信息處理行為;對(duì)于接收個(gè)人信息的關(guān)聯(lián)方而言,屬于個(gè)人信息的間接收集;對(duì)前述二者而言,屬于個(gè)人信息共享行為,雙方構(gòu)成共同控制者(Joint Controller)。 (1) 關(guān)于變更初始目的的個(gè)人信息處理行為 GDPR第13條第3款規(guī)定:“當(dāng)數(shù)據(jù)控制者意圖基于不同于數(shù)據(jù)收集初始目的的其他目的處理數(shù)據(jù)時(shí),數(shù)據(jù)控制者應(yīng)當(dāng)在進(jìn)行進(jìn)一步處理之前向數(shù)據(jù)主體提供有關(guān)新目的的信息以及本條第2款所規(guī)定的所有相關(guān)信息。” 尤其是變更后的個(gè)人信息處理目的、個(gè)人信息處理的法律依據(jù)、個(gè)人信息接收方或其類別等。GDPR第13條第2款同時(shí)又援引了GDPR第13條第1款,因此,在向關(guān)聯(lián)方共享個(gè)人信息的情況下,嚴(yán)格而言,數(shù)據(jù)控制者應(yīng)遵照GDPR第13條的全部規(guī)定向數(shù)據(jù)主體提供一系列信息(只是部分信息在之前已經(jīng)提供過,而部分信息發(fā)生了變化需要著重提供)以確保處理行為符合GDPR所要求的公平、透明原則。 (2) 關(guān)于間接收集個(gè)人信息的行為 GDPR第14條第1款規(guī)定:“當(dāng)個(gè)人數(shù)據(jù)并非自數(shù)據(jù)主體處獲得時(shí),數(shù)據(jù)控制者應(yīng)當(dāng)向數(shù)據(jù)主體提供以下信息:(a) 數(shù)據(jù)控制者的身份信息和聯(lián)系方式,以及數(shù)據(jù)控制者代表人(如果有)的身份信息和聯(lián)系方式;(b) 數(shù)據(jù)保護(hù)專員(如果有)的身份信息和聯(lián)系方式;(c) 處理個(gè)人數(shù)據(jù)的目的以及其合法基礎(chǔ);(d) 相關(guān)個(gè)人數(shù)據(jù)的種類;(e) 個(gè)人數(shù)據(jù)的接收者或者接收者的類別(如果有);(f)……”。GDPR第14條第2款還要求數(shù)據(jù)控制者進(jìn)一步提供個(gè)人數(shù)據(jù)存儲(chǔ)期限、個(gè)人數(shù)據(jù)來源等信息。 概言之,對(duì)于接收個(gè)人信息的關(guān)聯(lián)方,其須遵照GDPR第14條的規(guī)定向數(shù)據(jù)主體提供相關(guān)信息。 (3) 關(guān)于個(gè)人信息共享行為 GDPR第26條第1款提到:“除非歐盟和成員國(guó)已經(jīng)規(guī)定了數(shù)據(jù)控制者作為主體分別負(fù)擔(dān)各自的責(zé)任外,共同數(shù)據(jù)控制者應(yīng)當(dāng)共同以一種透明的方式安排其各自的責(zé)任以履行本法所規(guī)定的各項(xiàng)義務(wù),尤其涉及數(shù)據(jù)主體行使權(quán)利和本法第13條和第14條規(guī)定的各自通知義務(wù)。數(shù)據(jù)控制者的安排應(yīng)當(dāng)包括為數(shù)據(jù)主體指定一個(gè)聯(lián)絡(luò)點(diǎn)。”GDPR第26條第2款明確,本條第1款所規(guī)定的內(nèi)部安排應(yīng)當(dāng)完全反映各自的職責(zé)以及面對(duì)數(shù)據(jù)主體時(shí)共同數(shù)據(jù)控制者的關(guān)系。安排的實(shí)質(zhì)內(nèi)容應(yīng)被數(shù)據(jù)主體獲知。GDPR第26條第3款強(qiáng)調(diào),無(wú)論共同數(shù)據(jù)控制者的內(nèi)部安排如何規(guī)定,數(shù)據(jù)主體都可以根據(jù)本條例相關(guān)規(guī)定向每一位數(shù)據(jù)控制者行使權(quán)利。 因此,共同數(shù)據(jù)控制者之間應(yīng)當(dāng)明確各自的責(zé)任,特別是涉及數(shù)據(jù)主體權(quán)利行使和向數(shù)據(jù)主體履行告知義務(wù)。而且,在該等方面,共同數(shù)據(jù)控制者向數(shù)據(jù)主體承擔(dān)的是一種類似連帶責(zé)任的負(fù)擔(dān),即數(shù)據(jù)主體可向其中任一數(shù)據(jù)控制者行使權(quán)利。 3. 小結(jié) 回到前文提出的問題,如果僅且完全適用GDPR,共享個(gè)人信息給關(guān)聯(lián)方是否需要取得數(shù)據(jù)主體同意的問題取決于數(shù)據(jù)處理的合法性分析,有些情況下需要,有些情況下不需要。在需要取得數(shù)據(jù)主體同意的情況下,還需進(jìn)一步按照GDPR的規(guī)定遵守和履行相關(guān)合規(guī)要求。另一方面,我們理解,GDPR并未承認(rèn)包括多個(gè)法律實(shí)體的企業(yè)集團(tuán)可以作為單一的個(gè)人信息控制者。即個(gè)人信息控制者將個(gè)人信息共享給關(guān)聯(lián)方的,也同樣需要遵守相關(guān)的原則,并不會(huì)因?yàn)殛P(guān)聯(lián)關(guān)系而在任何方面被豁免或得以適用更為寬松的原則。 (二) CCPA的相關(guān)規(guī)定及分析 于2018年6月28日通過、于2020年1月1日生效的CCPA被認(rèn)為是美國(guó)有史以來對(duì)消費(fèi)者隱私保護(hù)最全面的州級(jí)法案。與GDPR相比,CCPA存在很多不同之處。最明顯的不同是適用對(duì)象以及數(shù)據(jù)主體的權(quán)利。按照CCPA第1798.140節(jié)第(c)條,CCPA的適用對(duì)象為在美國(guó)加州開展業(yè)務(wù)而收集消費(fèi)者個(gè)人信息的營(yíng)利性企業(yè),或其他為其股東或其他所有者的利益或經(jīng)濟(jì)利益而組織或經(jīng)營(yíng)的法律實(shí)體,或是收集該資料的代表機(jī)構(gòu),并且符合以下一項(xiàng)或多項(xiàng)條件:(a) 年總收入超過2,500萬(wàn)美元;(b) 每年單獨(dú)或與其他企業(yè)共同購(gòu)買、接收、共享或出售超過50,000個(gè)加州消費(fèi)者、家庭或設(shè)備的個(gè)人信息;(c) 年?duì)I收的50%或以上來自銷售加州消費(fèi)者個(gè)人信息。GDPR的適用對(duì)象兼顧屬地、屬人原則,囿于篇幅,此處不詳細(xì)展開。關(guān)于數(shù)據(jù)主體權(quán)利方面,GDPR的各項(xiàng)制度一般建構(gòu)于取得數(shù)據(jù)主體的同意之上,而CCPA大部分情況下只需企業(yè)履行告知消費(fèi)者的義務(wù),僅在少數(shù)情況下需要取得消費(fèi)者同意,比如出售消費(fèi)者的個(gè)人信息時(shí)需要消費(fèi)者同意。 1.消費(fèi)者的知情權(quán)—需告知消費(fèi)者個(gè)人信息共享/出售事宜 CCPA第二節(jié)提及:“立法機(jī)構(gòu)認(rèn)可并申明:…… (c)……沒有個(gè)人信息共享,幾乎無(wú)法實(shí)現(xiàn)求職、撫養(yǎng)孩子、駕車或者預(yù)約等活動(dòng)……”,說明立法者意識(shí)到個(gè)人信息共享的不可避免性。CCPA第1798.110節(jié)第(a)條規(guī)定,消費(fèi)者有權(quán)要求收集消費(fèi)者個(gè)人信息的企業(yè)向消費(fèi)者披露“收集或出售個(gè)人信息的企業(yè)或商業(yè)目的”、“與企業(yè)共享個(gè)人信息的第三方類別”等信息。CCPA第1798.110節(jié)第(c)條規(guī)定,收集消費(fèi)者個(gè)人信息的企業(yè)應(yīng)根據(jù)第1798.130條第(a)款第(5)款第(B)項(xiàng)披露“收集或出售個(gè)人信息的企業(yè)或商業(yè)目的”、“與企業(yè)共享個(gè)人信息的第三方類別”等信息。前述二款規(guī)定從消費(fèi)者的權(quán)利和企業(yè)的義務(wù)兩個(gè)維度為消費(fèi)者設(shè)立了知情權(quán)。在企業(yè)將個(gè)人信息共享給關(guān)聯(lián)方的情況下,CCPA要求告知消費(fèi)者第三方類別、出售個(gè)人信息的目的等信息,以保障消費(fèi)者知情權(quán)。 2. 消費(fèi)者的選擇退出權(quán)—消費(fèi)者有權(quán)決定不出售個(gè)人信息 CCPA第 1798.140節(jié)第(t)條對(duì)“出售”的定義是:“銷售”,“出售”或“被出售”系指以一個(gè)企業(yè)以口頭、書面或電子形式或者其他方式來出售、出租、發(fā)布、披露、傳播、提供、轉(zhuǎn)讓消費(fèi)者的個(gè)人信息給另一企業(yè)或第三方,以獲得金錢或其他有價(jià)值的對(duì)價(jià)。CCPA下的個(gè)人信息“出售”具有廣泛的含義,似也涵蓋了個(gè)人信息“共享”之含義,但其要求以獲得金錢或其他有價(jià)值的對(duì)價(jià)為條件。 CCPA第1798.120節(jié)第(a)條規(guī)定:“消費(fèi)者有權(quán)在任何時(shí)候指示一個(gè)欲將消費(fèi)者個(gè)人信息出售給第三方的企業(yè)不得出售該消費(fèi)者的個(gè)人信息。這項(xiàng)權(quán)利可以被稱為‘選擇退出’權(quán)。”CCPA第1798.120節(jié)第(b)條進(jìn)一步規(guī)定:“向第三方出售消費(fèi)者個(gè)人信息的企業(yè)應(yīng)根據(jù)第1798.135節(jié)第(a)條的規(guī)定向消費(fèi)者發(fā)出通知,告知消費(fèi)者該信息可能會(huì)被出售并且消費(fèi)者有權(quán)選擇不出售他們的個(gè)人信息。”根據(jù)前述規(guī)定,企業(yè)將個(gè)人信息出售給第三方,須事先告知消費(fèi)者,且消費(fèi)者有權(quán)選擇不出售。再進(jìn)一步的,CCPA還要求,對(duì)于選擇行使不出售其個(gè)人信息權(quán)利的消費(fèi)者,企業(yè)就不得出售收集的關(guān)于該消費(fèi)者的個(gè)人信息,且至少在其選擇后的12個(gè)月內(nèi)不得再要求消費(fèi)者授權(quán)出售其個(gè)人信息。 CCPA第1798.135節(jié)第(a)條還詳細(xì)說明了企業(yè)確保消費(fèi)者實(shí)現(xiàn)選擇退出權(quán)的具體操作要求:企業(yè)應(yīng)采取消費(fèi)者可合理獲取的形式(a) 在其互聯(lián)網(wǎng)主頁(yè)上提供一個(gè)清晰且明顯的,命名為“不得出售我的個(gè)人信息”的鏈接,使消費(fèi)者或經(jīng)消費(fèi)者授權(quán)的人可以選擇不出售消費(fèi)者的個(gè)人信息;(b) 根據(jù)第1798.120節(jié)的規(guī)定,制作關(guān)于消費(fèi)者權(quán)利的描述,同時(shí)在在線隱私政策或任何加利福尼亞州對(duì)消費(fèi)者隱私權(quán)的具體描述相關(guān)界面中有一個(gè)單獨(dú)的“不得出售我的個(gè)人信息”的鏈接。 3. 關(guān)于個(gè)人信息“出售”的例外 CCPA第1798.140節(jié)第(t)條提到:“……就本標(biāo)題而言,企業(yè)在下列情況下并不出售個(gè)人信息:……(C)如果滿足以下兩個(gè)條件,業(yè)務(wù)使用或與服務(wù)提供者共享用于執(zhí)行業(yè)務(wù)目的所需的消費(fèi)者個(gè)人信息:服務(wù)提供者[3]代表業(yè)務(wù)執(zhí)行的服務(wù),前提是服務(wù)提供者也不會(huì)出售個(gè)人信息。(i)在符合第1798.135節(jié)規(guī)定的企業(yè)條款和條件中,企業(yè)已告知了信息會(huì)被使用或共享。(ii)服務(wù)提供者不會(huì)進(jìn)一步收集、出售或使用消費(fèi)者的個(gè)人信息,除非為履行商業(yè)目的之必要……”。 假如企業(yè)將個(gè)人信息共享給關(guān)聯(lián)方的行為符合上述兩個(gè)要件,且又構(gòu)成與服務(wù)提供者共享用于執(zhí)行業(yè)務(wù)目的所需的消費(fèi)者個(gè)人信息,則屬于個(gè)人信息“出售”的例外情形,因而不適用消費(fèi)者的選擇退出權(quán)等規(guī)定。 值得特別關(guān)注的是,2020年11月3日,美國(guó)加利福尼亞州選民投票通過了《加州隱私權(quán)法案》(California Privacy Rights Act,下稱“CPRA”),其在CCPA的基礎(chǔ)上,將進(jìn)一步賦予加州居民一些新的權(quán)利。從廣義上講,CPRA將于2023年1月1日取代CCPA。在個(gè)人信息共享的問題上,不同于CCPA,CPRA不考慮雙方是否交換了金錢或其他有價(jià)值的對(duì)價(jià)。 三、中國(guó)法規(guī) 眾多App所采取的未經(jīng)數(shù)據(jù)主體二次授權(quán)而向關(guān)聯(lián)方直接共享個(gè)人信息的做法是否合規(guī)?我們下面就從中國(guó)法律的角度予以探討。 (一)法律層面 1. 《民法典》 2021年1月1日生效的《中華人民共和國(guó)民法典》(下稱“《民法典》”)在第四編“人格權(quán)”第六章“隱私權(quán)和個(gè)人信息保護(hù)”中用專門的一章對(duì)隱私權(quán)和個(gè)人信息保護(hù)作出了規(guī)定,向民事主體提供了相關(guān)指引。《民法典》部分其他條款也涉及公民的個(gè)人信息,如第111條、第999條、第1030條、第1226條等。《民法典》沒有使用個(gè)人信息“共享”的概念,而是使用了個(gè)人信息“傳輸”、“提供”的說法。 《民法典》第1035條明確規(guī)定處理個(gè)人信息應(yīng)當(dāng)遵循合法、正當(dāng)、必要原則,不得過度處理,且還應(yīng)符合相關(guān)條件。同時(shí),《民法典》第1036條規(guī)定了三種不承擔(dān)責(zé)任的例外情況,即:(1) 在該自然人或者其監(jiān)護(hù)人同意的范圍內(nèi)合理實(shí)施的行為;(2) 合理處理該自然人自行公開的或者其他已經(jīng)合法公開的信息,但是該自然人明確拒絕或者處理該信息侵害其重大利益的除外;(3) 為維護(hù)公共利益或者該自然人合法權(quán)益,合理實(shí)施的其他行為。尤其是前述第三項(xiàng)為維護(hù)該自然人合法權(quán)益合理實(shí)施的其他行為,似乎可為企業(yè)向其關(guān)聯(lián)方進(jìn)行必要的個(gè)人信息共享提供一定的法律依據(jù)。 2. 《刑法》 《中華人民共和國(guó)刑法》(下稱“《刑法》”)第二百五十三條之一第1款規(guī)定:“違反國(guó)家有關(guān)規(guī)定,向他人出售或者提供公民個(gè)人信息,情節(jié)嚴(yán)重的,處三年以下有期徒刑或者拘役,并處或者單處罰金;情節(jié)特別嚴(yán)重的,處三年以上七年以下有期徒刑,并處罰金。” 違法向他人提供個(gè)人信息,如達(dá)到《最高人民法院、最高人民檢察院關(guān)于辦理侵犯公民個(gè)人信息刑事案件適用法律若干問題的解釋》規(guī)定的追訴標(biāo)準(zhǔn)的,存在刑事合規(guī)風(fēng)險(xiǎn),必須非常重視。 3. 《網(wǎng)絡(luò)安全法》 2017年6月1日生效的《中華人民共和國(guó)網(wǎng)絡(luò)安全法》(下稱“《網(wǎng)絡(luò)安全法》”)同樣規(guī)定了收集、使用個(gè)人信息應(yīng)遵守的合法、正當(dāng)、必要三原則。《網(wǎng)絡(luò)安全法》也未使用個(gè)人信息“共享”的概念,而是使用了“傳輸”、“提供”的說法。《網(wǎng)絡(luò)安全法》第42條第1款還規(guī)定:“網(wǎng)絡(luò)運(yùn)營(yíng)者不得泄露、篡改、毀損其收集的個(gè)人信息;未經(jīng)被收集者同意,不得向他人提供個(gè)人信息。但是,經(jīng)過處理無(wú)法識(shí)別特定個(gè)人且不能復(fù)原的除外。”由此可見,《網(wǎng)絡(luò)安全法》規(guī)定的原則是向他人提供個(gè)人信息應(yīng)經(jīng)被收集者同意。 4. 《消費(fèi)者權(quán)益保護(hù)法》 2013年修正之后的《中華人民共和國(guó)消費(fèi)者權(quán)益保護(hù)法》(下稱“《消費(fèi)者權(quán)益保護(hù)法》”)只有少數(shù)幾個(gè)條款涉及個(gè)人信息。其同樣規(guī)定了收集、使用個(gè)人信息應(yīng)當(dāng)遵循的合法、正當(dāng)、必要三原則。《消費(fèi)者權(quán)益保護(hù)法》第29條第2款還提到:“經(jīng)營(yíng)者及其工作人員對(duì)收集的消費(fèi)者個(gè)人信息必須嚴(yán)格保密,不得泄露、出售或者非法向他人提供。”《消費(fèi)者權(quán)益保護(hù)法》強(qiáng)調(diào)“不得泄露、出售或者非法向他人提供”個(gè)人信息。 5.《個(gè)人信息保護(hù)法》草案 全國(guó)人民代表大會(huì)常務(wù)委員會(huì)2020年10月21日發(fā)布的《個(gè)人信息保護(hù)法(草案)》征求意見稿(下稱“《個(gè)保法草案》”)雖然尚未生效,但考慮到其代表了立法機(jī)關(guān)對(duì)個(gè)人信息保護(hù)事宜的基本態(tài)度和傾向,故在此也予以分析。《個(gè)保法草案》也未使用個(gè)人信息“共享”的概念,而是使用“傳輸”、“提供”的說法。《個(gè)保法草案》在處理個(gè)人信息應(yīng)當(dāng)遵循的合法、正當(dāng)、必要三原則之外又增加了誠(chéng)信、公開、透明原則。 《個(gè)保法草案》第24條第1款規(guī)定:“個(gè)人信息處理者向第三方提供其處理的個(gè)人信息的,應(yīng)當(dāng)向個(gè)人告知第三方的身份、聯(lián)系方式、處理目的、處理方式和個(gè)人信息的種類,并取得個(gè)人的單獨(dú)同意。接收個(gè)人信息的第三方應(yīng)當(dāng)在上述處理目的、處理方式和個(gè)人信息的種類等范圍內(nèi)處理個(gè)人信息。第三方變更原先的處理目的、處理方式的,應(yīng)當(dāng)依照本法規(guī)定重新向個(gè)人告知并取得其同意。”可見,就向第三方共享個(gè)人信息事宜,《個(gè)保法草案》確立的是一種“告知+取得同意”的嚴(yán)格機(jī)制。此外,《個(gè)保法草案》要求,基于個(gè)人同意處理敏感個(gè)人信息的,個(gè)人信息處理者還應(yīng)當(dāng)取得個(gè)人的單獨(dú)同意。 《個(gè)保法草案》第13條的內(nèi)容是判定數(shù)據(jù)處理合法性的重要依據(jù),其內(nèi)容為:“符合下列情形之一的,個(gè)人信息處理者方可處理個(gè)人信息:(一)取得個(gè)人的同意;(二)為訂立或者履行個(gè)人作為一方當(dāng)事人的合同所必需;(三)為履行法定職責(zé)或者法定義務(wù)所必需;(四)為應(yīng)對(duì)突發(fā)公共衛(wèi)生事件,或者緊急情況下為保護(hù)自然人的生命健康和財(cái)產(chǎn)安全所必需;(五)為公共利益實(shí)施新聞報(bào)道、輿論監(jiān)督等行為在合理的范圍內(nèi)處理個(gè)人信息;(六)法律、行政法規(guī)規(guī)定的其他情形。”前述條款的立法借鑒了GDPR第6條第1款。我們理解,一項(xiàng)個(gè)人信息處理行為,倘若未取得個(gè)人同意,但符合前述另外五種情形中的一種,則因此而追究數(shù)據(jù)處理者相關(guān)責(zé)任之依據(jù)將大大克減。回到未經(jīng)同意向關(guān)聯(lián)方共享個(gè)人信息之情形,倘若處理者能證明其行為符合《個(gè)保法草案》第13條第2項(xiàng)的情形“為訂立或者履行個(gè)人作為一方當(dāng)事人的合同所必需”,則按照《個(gè)保法草案》的邏輯,相關(guān)處理者是可以這樣做的。由于《個(gè)保法草案》尚未生效,我們將進(jìn)一步關(guān)注《個(gè)保法草案》的生效文本在這一問題上的規(guī)定。 (二)部門工作文件/規(guī)范性文件 1.《App違法違規(guī)收集使用個(gè)人信息行為認(rèn)定方法》 國(guó)家互聯(lián)網(wǎng)信息辦公室、工業(yè)和信息化部、公安部和國(guó)家市場(chǎng)監(jiān)督管理總局于2019年11月28日發(fā)布并于同日生效的《App違法違規(guī)收集使用個(gè)人信息行為認(rèn)定方法》為監(jiān)管部門認(rèn)定App違法違規(guī)收集使用個(gè)人信息行為提供了參考,并為App運(yùn)營(yíng)者自查自糾和網(wǎng)民社會(huì)監(jiān)督提供了指引。其第5條規(guī)定:“以下行為可被認(rèn)定為‘未經(jīng)同意向他人提供個(gè)人信息’:(1) 既未經(jīng)用戶同意,也未做匿名化處理,App客戶端直接向第三方提供個(gè)人信息,包括通過客戶端嵌入的第三方代碼、插件等方式向第三方提供個(gè)人信息;(2) 既未經(jīng)用戶同意,也未做匿名化處理,數(shù)據(jù)傳輸至App后臺(tái)服務(wù)器后,向第三方提供其收集的個(gè)人信息;(3) App接入第三方應(yīng)用,未經(jīng)用戶同意,向第三方應(yīng)用提供個(gè)人信息。” 2. 《互聯(lián)網(wǎng)個(gè)人信息安全保護(hù)指南》 公安部和北京市網(wǎng)絡(luò)行業(yè)協(xié)會(huì)在2019年4月10日發(fā)布并于同日生效的《互聯(lián)網(wǎng)個(gè)人信息安全保護(hù)指南》(下稱“《個(gè)人信息保護(hù)指南》”)第6.6條清晰地列舉了共享個(gè)人信息時(shí)應(yīng)滿足的各項(xiàng)要求: a) 共享行為應(yīng)經(jīng)過合法性、必要性評(píng)估; b) 在對(duì)個(gè)人信息進(jìn)行共享時(shí)應(yīng)進(jìn)行個(gè)人信息安全影響評(píng)估,應(yīng)對(duì)受讓方的數(shù)據(jù)安全能力進(jìn)行評(píng)估確保受讓方具備足夠的數(shù)據(jù)安全能力,并按照評(píng)估結(jié)果采取有效的保護(hù)個(gè)人信息主體的措施; c) 在共享前應(yīng)向個(gè)人信息主體告知共享該信息的目的、規(guī)模、公開范圍數(shù)據(jù)接收方的類型等信息; d) 在共享前應(yīng)得到個(gè)人信息主體的授權(quán)同意,與國(guó)家安全、國(guó)防安全、公共安全、公共衛(wèi)生、重大公共利益或與犯罪偵查、起訴、審判和判決執(zhí)行等直接相關(guān)的情形除外; e) 應(yīng)記錄共享信息內(nèi)容,將共享情況中包括共享的日期、數(shù)據(jù)量、目的和數(shù)據(jù)接收方的基本情況在內(nèi)的信息進(jìn)行登記; f) 在共享后應(yīng)了解接收方對(duì)個(gè)人信息的保存、使用情況和個(gè)人信息主體的權(quán)利,例如訪問、更正、刪除、注銷等; g) 當(dāng)個(gè)人信息持有者發(fā)生收購(gòu)、兼并、重組、破產(chǎn)等變更時(shí),個(gè)人信息持有者應(yīng)向個(gè)人信息主體告知有關(guān)情況,并繼續(xù)履行原個(gè)人信息持有者的責(zé)任和義務(wù),如變更個(gè)人信息使用目的時(shí),應(yīng)重新取得個(gè)人信息主體的明示同意。 (三)技術(shù)規(guī)范 在個(gè)人信息保護(hù)領(lǐng)域,許多技術(shù)規(guī)范,雖然在法律上不具備強(qiáng)制執(zhí)行力,但其是監(jiān)管部門據(jù)以執(zhí)法的重要依據(jù),故而該等技術(shù)規(guī)范實(shí)際上承擔(dān)了“準(zhǔn)法律”的功能。具有代表性的是《信息安全技術(shù) 個(gè)人信息安全規(guī)范(GB/T 35273-2020)》(下稱“《個(gè)人信息安全規(guī)范》”)、《App違法違規(guī)收集使用個(gè)人信息自評(píng)估指南》(下稱“《自評(píng)估指南》”)和《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實(shí)踐指南—移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序(App)收集使用個(gè)人信息自評(píng)估指南》(下稱“《自評(píng)估指南實(shí)踐指南》”)。 1. 《個(gè)人信息安全規(guī)范》 《個(gè)人信息安全規(guī)范》對(duì)“共享”的定義是“個(gè)人信息控制者向其他控制者提供個(gè)人信息,且雙方分別對(duì)個(gè)人信息擁有獨(dú)立控制權(quán)的過程。”按照GDPR和《個(gè)人信息安全規(guī)范》的說法,即共享方和受共享方均屬于數(shù)據(jù)控制者(Data Controller)。 《個(gè)人信息安全規(guī)范》第9.2條對(duì)個(gè)人信息共享規(guī)定了詳細(xì)的操作指引和要求,其具體內(nèi)容為:共享個(gè)人信息,應(yīng)符合:(a) 事先開展個(gè)人信息安全影響評(píng)估,并依評(píng)估結(jié)果采取有效的保護(hù)措施;(b) 向個(gè)人信息主體告知共享的目的、數(shù)據(jù)接收方的類型以及可能產(chǎn)生的后果,并事先征得個(gè)人信息主體的授權(quán)同意;(c) 共享個(gè)人敏感信息前,還應(yīng)告知涉及的敏感信息類型、數(shù)據(jù)接收方的身份和數(shù)據(jù)安全能力,并事先征得個(gè)人信息主體的明示同意;(d) 通過合同等方式規(guī)定數(shù)據(jù)接收方的責(zé)任和義務(wù);(e) 準(zhǔn)確記錄共享情況;(f) ……(i) 個(gè)人生物識(shí)別信息原則上不應(yīng)共享,確需共享的應(yīng)告知相關(guān)內(nèi)容并征得個(gè)人信息主體明示同意。值得作展開介紹的是,2018年時(shí) Yahoo! UK Services Limited被英國(guó)信息專員辦公室(UK Information Commissioner’s Office)處以25萬(wàn)英鎊的罰款,理由之一是其沒有采取合適的措施確保其數(shù)據(jù)處理者Yahoo! Inc.依法保護(hù)用戶個(gè)人信息而導(dǎo)致信息泄露,具體表現(xiàn)形式是其沒有與代表其處理個(gè)人信息的雅虎集團(tuán)內(nèi)的公司Yahoo! Inc.簽署數(shù)據(jù)處理協(xié)議。[4]雖然該案例是英國(guó)案例,但其執(zhí)法思路與《個(gè)人信息安全規(guī)范》第9.2條(d)項(xiàng)“通過合同等方式規(guī)定數(shù)據(jù)接收方的責(zé)任和義務(wù)”體現(xiàn)的精神異曲同工。實(shí)務(wù)中,相關(guān)數(shù)據(jù)處理協(xié)議也已被部分企業(yè)提上日程或已經(jīng)準(zhǔn)備完畢,成為數(shù)據(jù)合規(guī)落地的一部分。 《個(gè)人信息安全規(guī)范》第9.5條規(guī)定了共享個(gè)人信息時(shí)無(wú)需事先征得授權(quán)同意的七種情況:(a) 與個(gè)人信息控制者履行法律法規(guī)規(guī)定的義務(wù)相關(guān)的;(b) 與國(guó)家安全、國(guó)防安全直接相關(guān)的;(c) 與公共安全、公共衛(wèi)生、重大公共利益直接相關(guān)的;(d) 與刑事偵查、起訴、審判和判決執(zhí)行等直接相關(guān)的;(e) 出于維護(hù)個(gè)人信息主體或其他個(gè)人的生命、財(cái)產(chǎn)等重大合法權(quán)益但又很難得到本人授權(quán)同意的;(f) 個(gè)人信息主體自行向社會(huì)公眾公開的個(gè)人信息;(g) 從合法公開披露的信息中收集個(gè)人信息的,如合法的新聞報(bào)道、政府信息公開等渠道。而且,前述本文第一部分所研究的15個(gè)App的隱私政策文本均吸收了《個(gè)人信息安全規(guī)范》第9.5條,以強(qiáng)調(diào)該等情形下無(wú)需取得數(shù)據(jù)主體授權(quán)同意。 2. 《自評(píng)估指南》 App違法違規(guī)收集使用個(gè)人信息專項(xiàng)治理工作組2019年3月3日發(fā)布并于同日生效的《自評(píng)估指南》主要用于App運(yùn)營(yíng)者對(duì)其收集使用個(gè)人信息的情況進(jìn)行自查自糾。其規(guī)定的第14個(gè)評(píng)估點(diǎn)為“對(duì)外共享、轉(zhuǎn)讓、公開披露個(gè)人信息規(guī)則”,如果存在個(gè)人信息對(duì)外共享、轉(zhuǎn)讓、公開披露等情況,隱私政策中應(yīng)明確以下內(nèi)容:(1) 對(duì)外共享、轉(zhuǎn)讓、公開披露個(gè)人信息的目的;(2) 涉及的個(gè)人信息類型;(3) 接受方類型或身份。 在App專項(xiàng)治理工作組[5]發(fā)布的《關(guān)于61款A(yù)pp存在收集使用個(gè)人信息問題的通告》[6]中,公布了57款存在收集使用個(gè)人信息問題的App的詳細(xì)附表。附表中“存在的問題”一列沒有一條內(nèi)容是針對(duì)關(guān)聯(lián)公司之間共享個(gè)人信息的。因此,盡管目前諸多頭部互聯(lián)網(wǎng)企業(yè)仍然默認(rèn)將個(gè)人信息共享給關(guān)聯(lián)企業(yè)的做法,但從前述附表看,監(jiān)管部門似并未僅就關(guān)聯(lián)公司之間共享個(gè)人信息事宜提出質(zhì)疑。 3. 《自評(píng)估指南實(shí)踐指南》 全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)2020年7月22日發(fā)布并于同日生效的 《自評(píng)估指南實(shí)踐指南》是為落實(shí)《網(wǎng)絡(luò)安全法》、《自評(píng)估指南》相關(guān)要求而編制的產(chǎn)物。其歸納總結(jié)了App收集使用個(gè)人信息的六項(xiàng)評(píng)估點(diǎn)。其中第五個(gè)評(píng)估點(diǎn)是“是否經(jīng)用戶同意后才向他人提供個(gè)人信息”,該評(píng)估點(diǎn)下面又分為“向他人提供個(gè)人信息前是否征得用戶同意”和“向接入的第三方應(yīng)用提供個(gè)人信息前是否經(jīng)用戶同意”兩個(gè)子項(xiàng)。若未經(jīng)用戶同意向他人提供個(gè)人信息的,即為不符合評(píng)估要求。 (四)小結(jié) 總體上而言,對(duì)于CCPA和GDPR,中國(guó)在題述問題方面的立法更靠近于GDPR。 雖然《民法典》、《網(wǎng)絡(luò)安全法》、《消費(fèi)者權(quán)益保護(hù)法》和《個(gè)保法草案》都沒有使用個(gè)人信息“共享”的概念,但“共享”可被“傳輸”、“提供”所涵蓋,個(gè)人信息共享行為當(dāng)然應(yīng)受前述法規(guī)的約束與監(jiān)管。前述4項(xiàng)法規(guī)均強(qiáng)調(diào)收集、使用/處理個(gè)人信息應(yīng)當(dāng)遵循合法、正當(dāng)、必要原則,《個(gè)保法草案》還另外要求遵守誠(chéng)信、公開、透明原則。前述4項(xiàng)法規(guī)對(duì)提供個(gè)人信息給第三方的相關(guān)規(guī)定存在差異,根據(jù)新法優(yōu)于舊法的原則,若存在沖突,《民法典》應(yīng)優(yōu)先于《網(wǎng)絡(luò)安全法》和《消費(fèi)者權(quán)益保護(hù)法》。若數(shù)據(jù)控制者可以證明其向關(guān)聯(lián)方共享個(gè)人信息的行為屬于《民法典》第1035條規(guī)定的為維護(hù)相關(guān)自然人合法權(quán)益而合理實(shí)施的其他行為,則按照《民法典》其無(wú)需承擔(dān)責(zé)任。再根據(jù)特別法優(yōu)于一般法和新法優(yōu)于舊法的原則,在《個(gè)保法草案》生效之后,《個(gè)人信息保護(hù)法》的規(guī)定將優(yōu)先適用。當(dāng)前,《個(gè)保法草案》對(duì)向第三方提供個(gè)人信息規(guī)定的是一種“告知+取得同意”的嚴(yán)格機(jī)制。 一般情況下,向關(guān)聯(lián)方共享個(gè)人信息,須取得二次授權(quán)是原則,無(wú)需取得二次授權(quán)是例外。《個(gè)人信息保護(hù)指南》和《個(gè)人信息安全規(guī)范》為共享個(gè)人信息時(shí)應(yīng)遵守的各項(xiàng)要求規(guī)定了詳細(xì)又清晰的指引,值得重點(diǎn)關(guān)注。此外,按照北京知識(shí)產(chǎn)權(quán)法院在2016年就新浪微博訴脈脈案[7]提出的“三重授權(quán)”原則,即用戶授權(quán)、平臺(tái)授權(quán)和用戶授權(quán),若以該等“三重授權(quán)”原則作為分析框架,在共享的第三方主體確定,且授權(quán)共享、使用個(gè)人信息的內(nèi)容、目的、范圍均確定的條件下,“三重授權(quán)”原則中的第三重授權(quán)可被視為與第一重授權(quán)合二為一,又加之與關(guān)聯(lián)方共享的情況基本不會(huì)給第二重授權(quán)“平臺(tái)授權(quán)”創(chuàng)設(shè)障礙,故此時(shí)實(shí)質(zhì)上已經(jīng)符合“三重授權(quán)”原則,不過前述條件的成就亦非易事。 回到本文第一部分15個(gè)App的隱私政策文本,我們認(rèn)為相關(guān)App未經(jīng)二次授權(quán)徑直向關(guān)聯(lián)方共享個(gè)人信息的做法是值得商榷的,特別是如果向關(guān)聯(lián)方共享個(gè)人信息的目的與App提供服務(wù)所收集個(gè)人信息的目的并不一致的情況下。例如,某一隱私保護(hù)指引提到:“目前,我們不會(huì)主動(dòng)共享或轉(zhuǎn)讓你的個(gè)人信息至某某集團(tuán)外的第三方,如存在其他共享或轉(zhuǎn)讓你的個(gè)人信息或你需要我們將你的個(gè)人信息共享或轉(zhuǎn)讓至某某集團(tuán)外的第三方情形時(shí),我們會(huì)直接征得或確認(rèn)第三方征得你對(duì)上述行為的明示同意,但因保護(hù)用戶權(quán)益或保護(hù)我們生態(tài)安全需要除外”,其將“因保護(hù)用戶權(quán)益或保護(hù)我們生態(tài)安全需要”作為向第三方共享個(gè)人信息無(wú)需取得二次授權(quán)的依據(jù),但對(duì)于“某某集團(tuán)”內(nèi)部的共享沒有給出任何說法,令人質(zhì)疑共享的必要性。還比如,某一隱私權(quán)政策提到:“與關(guān)聯(lián)公司間共享:為便于我們基于我們平臺(tái)帳號(hào)向您提供產(chǎn)品或服務(wù),推薦您可能感興趣的信息,識(shí)別帳號(hào)異常,您的個(gè)人信息可能會(huì)與我們的關(guān)聯(lián)公司和/或其指定的服務(wù)提供商共享。我們只會(huì)共享必要的個(gè)人信息,且受本隱私政策中所聲明目的的約束……”,盡管前述內(nèi)容強(qiáng)調(diào)了只會(huì)共享必要的個(gè)人信息,我們認(rèn)為以“推薦您可能感興趣的信息”作為共享的目的,難言符合必要性,而且也可能被認(rèn)為屬于一項(xiàng)“一攬子授權(quán)”,剝奪了用戶決定是否同意該等共享的選擇權(quán)。此外,還有多個(gè)App的隱私政策中都提到了與關(guān)聯(lián)方的必要共享,其同時(shí)也單方強(qiáng)調(diào)了必要性。不過該等必要性是否充分,需要進(jìn)行個(gè)案評(píng)估或由監(jiān)管部門作出認(rèn)定,并非App單方說明符合必要性即可。 我們理解,個(gè)人信息保護(hù)法規(guī)并未認(rèn)可企業(yè)集團(tuán)可以作為單一的個(gè)人信息處理者,也未將向關(guān)聯(lián)方共享個(gè)人信息作為一項(xiàng)無(wú)須取得用戶同意或無(wú)須遵守“合法、正當(dāng)、必要”原則的例外情形。因此,無(wú)論企業(yè)集團(tuán)內(nèi)部公司之間存在多么緊密的互相依賴的關(guān)系,從個(gè)人信息共享合規(guī)的角度,App的個(gè)人信息處理者向關(guān)聯(lián)方共享個(gè)人信息的,關(guān)聯(lián)方也應(yīng)視為第三方,與向外部的合作伙伴或供應(yīng)商共享個(gè)人信息并無(wú)二致。同時(shí),個(gè)人信息處理者向關(guān)聯(lián)方共享個(gè)人信息的,同樣需要遵循向非關(guān)聯(lián)方共享個(gè)人信息所適用的標(biāo)準(zhǔn),確保符合合法、正當(dāng)和必要的原則。 四、總結(jié)與建議 數(shù)據(jù)的上下游流轉(zhuǎn)在當(dāng)前的商業(yè)社會(huì)普遍存在,稍有不慎,甚至涉及刑事風(fēng)險(xiǎn)。向關(guān)聯(lián)方共享個(gè)人信息是否需取得二次授權(quán)的答案不是絕對(duì)的,特定條件下無(wú)需取得二次授權(quán)。在需取得二次授權(quán)的情況下,僅取得二次授權(quán)是不夠的,還應(yīng)進(jìn)行合法性和必要性評(píng)估、進(jìn)行安全影響評(píng)估、告知一系列法定事項(xiàng)等。 我們?cè)诖颂岢鑫覀冋J(rèn)為比較合適與安全的操作實(shí)踐供讀者參考:執(zhí)行“告知+取得同意”的嚴(yán)格機(jī)制。在隱私政策中明確擬與之共享個(gè)人信息的關(guān)聯(lián)方及相關(guān)必要性,對(duì)于非絕對(duì)必要的情形,可借鑒美國(guó)CCPA的規(guī)定賦予用戶選擇不共享的權(quán)利。 同時(shí),我們建議,基于現(xiàn)有法律、國(guó)家標(biāo)準(zhǔn)、技術(shù)規(guī)范、監(jiān)管要求等,從嚴(yán)對(duì)待和重視向關(guān)聯(lián)方共享個(gè)人信息事宜,采取包括但不限于如下措施或做法:(1) 在隱私政策中為關(guān)聯(lián)方制定清晰、準(zhǔn)確的定義;(2) 對(duì)共享行為進(jìn)行合法性、必要性評(píng)估;(3) 在共享時(shí)進(jìn)行個(gè)人信息安全影響評(píng)估。包括對(duì)受讓方的數(shù)據(jù)安全能力進(jìn)行評(píng)估確保受讓方具備足夠的數(shù)據(jù)安全能力,并按照評(píng)估結(jié)果采取有效的保護(hù)個(gè)人信息主體的措施;(4) 共享前應(yīng)向個(gè)人信息主體告知共享該信息的目的、規(guī)模、類型、后果、公開范圍數(shù)據(jù)接收方的類型等信息;(5) 共享前應(yīng)得到個(gè)人信息主體的授權(quán)同意,與國(guó)家安全、國(guó)防安全、公共安全、公共衛(wèi)生、重大公共利益或與犯罪偵查、起訴、審判和判決執(zhí)行等直接相關(guān)的情形除外;(6) 應(yīng)記錄共享信息內(nèi)容,將共享情況中包括共享的日期、數(shù)據(jù)量、目的和數(shù)據(jù)接收方的基本情況在內(nèi)的信息進(jìn)行登記;(7) 在共享后應(yīng)了解接收方對(duì)個(gè)人信息的保存、使用情況和個(gè)人信息主體的權(quán)利,例如訪問、更正、刪除、注銷等;(8) 當(dāng)個(gè)人信息持有者發(fā)生收購(gòu)、兼并、重組、破產(chǎn)等變更時(shí),個(gè)人信息持有者應(yīng)向個(gè)人信息主體告知有關(guān)情況,并繼續(xù)履行原個(gè)人信息持有者的責(zé)任和義務(wù),如變更個(gè)人信息使用目的時(shí),應(yīng)重新取得個(gè)人信息主體的明示同意;(9) 通過合同等方式規(guī)定數(shù)據(jù)接收方的責(zé)任和義務(wù)。 注釋: [1] 考慮在中國(guó)個(gè)人信息保護(hù)法的語(yǔ)境下討論相關(guān)問題,本文并未使用GDPR中的“個(gè)人信息控制者”,而是使用了《個(gè)人信息保護(hù)法》草案使用的術(shù)語(yǔ)“個(gè)人信息處理者”。 [2] 參見《GDPR執(zhí)法案例全景白皮書(2019.5-2020.5)》,中興通訊數(shù)據(jù)保護(hù)合規(guī)部。 [3] 根據(jù)CCPA第1798.140節(jié)第(v)條,“服務(wù)提供者”系指為其股東或其他所有權(quán)人的利益或經(jīng)濟(jì)利益而組織或經(jīng)營(yíng)的獨(dú)資、合伙、有限責(zé)任公司、公司、協(xié)會(huì)或其他法律實(shí)體,這一實(shí)體代表企業(yè)處理個(gè)人信息并且企業(yè)根據(jù)書面合同向這一實(shí)體披露消費(fèi)者個(gè)人信息,但前提是,該合同禁止接收信息的實(shí)體保留、使用或披露個(gè)人信息以用于任何目的,除非為了履行業(yè)務(wù)合同規(guī)定的服務(wù)或本標(biāo)題所允許的其他目的,包括保留、使用或披露個(gè)人信息用于提供業(yè)務(wù)合同規(guī)定的服務(wù)之外的商業(yè)目的。此處關(guān)于“服務(wù)提供者”的定義有助于研判本小節(jié)第一段所述之“例外”情形是否適用。 [4] 鏈接: https://ico.org.uk/media/action-weve-taken/mpns/2258898/yahoo-uk-services-ltd-mpn-20180521.pdf [5] 根據(jù)《關(guān)于開展App違法違規(guī)收集使用個(gè)人信息專項(xiàng)治理的公告》,受中央網(wǎng)信辦、工信部、公安部、市場(chǎng)監(jiān)管總局委托,全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)、中國(guó)消費(fèi)者協(xié)會(huì)、中國(guó)互聯(lián)網(wǎng)協(xié)會(huì)、中國(guó)網(wǎng)絡(luò)空間安全協(xié)會(huì)成立App專項(xiàng)治理工作組。 [6] 鏈接: https://mp.weixin.qq.com/s?src=11×tamp=1613799626&ver=2901&signature=hg*fnh7zz1HlHHcgZdHqoMEvTk0DEa7onyVY9lLDkqYUzKzWHU7BtRepTOMG0D4UQWrlSUTfSqf560dBHYTpzYVPBlecjSEdCctd4NcsNfK5ZRwhM95VU*dCpYAfdlG3&new=1 [7] (2016)京73民終588號(hào)
