个人信息处理中的“告知同意”规则
2022-09-22胡利玲
胡利玲
(中国政法大学民商经济法学院 北京 100088)
《个人信息保护法》(以下简称《个保法》)是个人信息保护法律体系中的基本法,也是规范个人信息处理的专门法。该法对个人信息处理作了全面系统的规范,目的在于实现对个人信息权益的保护,并促进对个人信息的合理利用,其核心内容是个人信息处理规则,这些规则又以“告知同意”为核心而构建。能否准确理解告知同意规则,直接关系到《个保法》能否正确适用,并发挥其在个人信息权益保护中的基础作用。
1 告知同意的含义、实质与意义
告知同意,是指除法律另有规定外,个人信息处理者在处理个人信息时,应向个人信息主体告知必要事项并征得其同意,否则将构成对个人信息权益的侵害。该规则是个人信息处理的基本规则,是公开透明原则的要求,也是个人对处理其信息享有知情权和决定权的体现。《个保法》规定,个人信息处理是指对个人信息的收集、存储、使用、加工、传输、提供、公开和删除等活动,这意味着基于个人同意的个人信息处理,处理者无论在取得、使用还是消灭个人信息时均须受告知同意规则约束,且仅能在个人同意范围内利用个人信息,其实质是承认个人对其信息享有支配和控制的权利。
该规则对保护个人信息权益具有重要意义。因为个人信息是与已识别或可识别的自然人有关的信息,与自然人人格尊严和人格自由密切相关,故自然人对其个人信息享有受法律保护的民事权益。该权益是一种人格权益,信息处理者须尊重此种人格权益。除法律另有规定外,只有取得个人同意才能为其处理行为提供合法基础,其处理活动不得不受到个人信息权益优先的限制。
2 告知同意的一般要求
2.1 一般告知事项及其例外
同意须以知情为前提,在个人信息处理中,处理者与个人之间信息不对称,处理者的告知义务就更为重要。处理者在处理个人信息前,原则上都应及时向个人履行告知义务。告知的目的是使个人在充分知情下作出同意与否的真实意思表示。因此,处理者应以显著方式、清晰易懂的语言来真实、准确、完整地向个人告知必要处理事项,以确保个人实质性地知情。法定的一般告知事项包括处理者的身份、处理的目的和方式、信息种类、保存期限、个人行使权利的方式和程序,以及依法应告知的其他事项。若告知事项发生变更,则应告知变更的内容。
但下列情形下允许例外:一是法定免予告知,即有法律、行政法规规定应当保密或不需告知情形的,可不予告知;二是出现阻碍履行告知义务的紧急情况,即紧急情况下为保护自然人的生命健康和财产安全无法及时告知的,可延迟告知。于后一种情形,处理者的告知义务并未免除,在紧急情况消除后仍应及时告知。
2.2 取得同意
2.2.1 同意作为合法化基础及其有效要件
《个保法》为个人信息处理规定了七项合法化基础(第13条),“取得个人同意”是基于同意而处理个人信息的合法化基础,体现的是立法承认个人拥有对其信息处理的自决权。正如欧盟《通用数据保护条例》(GDPR)及其指南所言,同意作为数据处理的合法基础的前提是,个人数据主体对自己的数据有实际的控制权,并且有真正的选择。同意表明个人对其信息被处理的方式、目的、范围等的认可,法律性质上属意思表示。因此,同意应是个人主体在完全知情的基础上自主作出的真实选择。
同意的有效要件如下。第一,同意的前提是个人充分知情,包括对处理的目的和方式及信息种类等,使个人实质性地了解处理活动产生的风险。第二,同意是由个人自愿明确地作出的。同意须针对处理的特定目的作出,确保个人可就每一个目的进行单独选择。第三,处理者对信息的利用限于同意的范围,如果处理目的、方式或信息种类变更,须重新取得个人同意。
2.2.2 撤回同意
《个保法》第15 条规定:“基于个人同意处理个人信息的,个人有权撤回其同意。个人信息处理者应当提供便捷的撤回同意的方式。个人撤回同意,不影响撤回前基于个人同意已进行的个人信息处理活动的效力。”允许个人享有撤回同意权,再次体现了立法对自然人享有对其个人信息控制权的认可。撤回同意权是同意权的组成部分。个人有权随时撤回其同意,原则上处理者不得附加限制条件,且应提供便捷的撤回方式。对于何为便捷,GDPR规定“撤回同意应与作出同意一样容易”(第7条第3款),值得借鉴。
撤回同意通常应产生以下法律效果:一是处理者不得继续处理撤回同意的信息;二是撤回无溯及力,即撤回前基于个人同意的信息处理的效力不受影响;三是个人有权请求处理者删除信息。但处理者不得以个人撤回同意为由拒绝提供产品或服务,除非处理这些信息为提供产品或服务所必需,即若不处理这些信息将无法提供产品或服务的基本功能。
3 告知同意的特殊要求
针对个人信息处理的特殊情形,《个保法》提出了更高的告知同意要求。
3.1 因处理主体变更而转移个人信息的
《个保法》第22 条规定:“在个人信息处理者因合并、分立、解散、被宣告破产等原因需转移个人信息时,应当向个人告知接收方的名称或者姓名和联系方式。接收方应当继续履行个人信息处理者的义务。接收方变更原先的处理目的、处理方式的,应当依本法重新取得个人同意。”
立法对此作特殊要求的原因在于:其一,由于主体身份变动而转移信息将导致处理个人信息的主体变更;其二,新的信息处理者(接收者)处理个人信息的目的、方式、范围可能发生变化,从而超出原个人知情同意的范围。其目的在于确保个人了解信息处理者的变化,保障其对个人信息处理的知情权,也便于个人向接收方主张权利。
但对于因处理主体变更而转移个人信息,并不要求都取得个人的“重新同意”,而是以是否变更原先的处理目的、处理方式为判断标准。若不发生变更,则转移个人信息行为并未超出同意—合法性基础的范围,故尽到特别告知义务即可。
3.2 个人信息处理者之间提供个人信息的
《个保法》第23 条规定:“个人信息处理者向其他个人信息处理者提供其处理的个人信息的,应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意。接收方应当在上述处理目的、处理方式和个人信息的种类等范围内处理个人信息。接收方变更原先的处理目的、处理方式的,应当依照本法规定重新取得个人同意。”
此种特殊情形是信息处理者将其处理的个人信息共享或转移给第三方,并由第三方(接收方)对个人信息进行处理的活动。“提供”应为合法提供,区别于非法买卖个人信息。至于提供方提供的个人信息,并不限于基于同意而处理的个人信息。“提供”包括共享和转移,都是个人信息再利用的方式。允许个人信息共享和转移,有利于防止垄断个人信息,实现信息的合理利用和流动,但提供信息过程中可能导致信息被泄露、窃取、篡改或丢失等的风险也会加大,从而严重影响个人权益。故要求提供方除须告知特别事项外,还须取得个人的“单独同意”。所谓单独同意,即个人信息主体针对特定类型信息独立作出的、明确表示同意的意思表示,以区别于对一般信息的概括授权同意或一揽子同意。单独同意往往适用于重要的个人信息的处理。
在提供方向个人告知接收方的个人信息、处理目的、处理方式和个人信息种类并取得个人单独同意后,接收方应在个人单独同意的范围内处理这些信息。若接收方变更处理目的、处理方式和个人信息种类的,则应重新取得个人同意。在解释上与前述转移个人信息的情形相同。
3.3 处理敏感个人信息的
《个保法》将个人信息区分为敏感个人信息与一般个人信息,确定了不同的处理规则,并对处理敏感个人信息提出了更严格的要求。敏感个人信息,是指一旦泄露或非法使用,容易导致自然人人格尊严受到侵害或人身、财产安全受到危害的个人信息。典型敏感信息包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等,以及不满十四周岁未成年人的个人信息。尽管各国对敏感信息的范围界定不同,但都将其作为“特殊的个人信息”加以特别规定。其原因就在于敏感信息因其“特殊性”和“重要性”特点而与个人的人格尊严、人格自由等基本权利和重大人身财产权益具有更密切的联系,对自然人而言意味着巨大的风险,更易受到侵害,而这种损害难以恢复。
对于敏感信息的处理,立法要求处理者只有在具有特定目的和充分必要性,并采取严格保护措施的情形下才能进行,处理者在处理前须进行个人信息保护影响评估并对处理情况进行记录等。此外,除履行一般告知义务外,还须履行特别告知义务,除非依法可免予告知,且处理敏感信息须取得个人的“单独同意”或“书面同意”。可见,因敏感信息的性质不同于一般信息,故对其告知同意要求也有不同的强度。
履行特别告知义务,主要体现在特别告知事项上,具体包括如下几点。其一,处理敏感个人信息的必要性。若个人认为处理者处理其敏感信息无必要性或必要性不充分,则可选择不同意以阻却处理个人信息,从而保障个人的知情权和决定权。其二,对个人权益的影响。尽管依据目的限制原则,处理者应采取对个人权益影响最小的方式处理信息,但在处理敏感信息时,仍须尊重个人的知情权并贯彻公开透明原则,对可能给个人造成的不利影响特别告知。而取得单独同意,在解释上同前述单独同意适用的情形,同样体现了对重要个人信息的特殊保护。至于是否需要获得“书面同意”,则取决于法律、行政法规是否有书面同意的要求。
3.4 处理儿童个人信息的
《个保法》将不满十四周岁未成年人的个人信息(下称“儿童个人信息”)纳入敏感个人信息,并作为典型敏感信息加以列举。这说明立法将儿童信息保护与其他敏感信息保护视为具有相同的价值基础。因此,前述对于敏感信息的单独同意规则与特别告知事项,自然也适用于儿童信息的处理。但须承认,两者在逻辑结构上并不同,其他敏感个人信息多指向信息的具体内容,儿童信息则是源于其主体特殊性。因此,立法针对其主体特殊性在敏感信息保护的一般规则基础上予以更高的要求。对儿童信息予以特别保护,也是《未成年人保护法》中“最有利于未成年人原则”的体现。
根据《个保法》规定,“个人信息处理者处理不满十四周岁未成年人个人信息的,应当取得未成年人的父母或者其他监护人的同意。”这是因为有效的个人同意必须以作出同意的个人具有同意能力为要件,而儿童的同意能力显然受限于其年龄和智力。但立法未以民法上的无行为能力或限制行为能力的标准作为同意能力的标准,而是根据目前我国未成年人认知、判断网络风险能力的实际情况、参考其他法律并参照国际上的做法划定了年龄界线。
对儿童信息处理者而言,取得该儿童的父母或其他监护人同意是其法定义务。难题在于如何证明和确保真正获得其父母或其他监护人的同意。对此,GDPR规定,“控制者应采取合理的努力,结合技术可行性,确保此类情形中对儿童具有监护责任的主体已经同意或授权”。第29 条工作组也认为,这取决于个人信息处理活动的风险高低和现有技术能力,并认为通过可信的第三方提供验证服务是可行的办法。
3.5 跨境提供个人信息的
《个保法》第39 条规定:“个人信息处理者向境外提供个人信息的,应当向个人告知境外接收方的姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项,并取得个人的单独同意。”
个人信息跨境提供,即个人数据跨境传输,《个保法》并未对其概念明确规定,但根据《数据出境安全评估办法》,个人信息跨境提供是指数据处理者向境外提供在中国境内运营中收集和产生的个人信息的行为。立法之所以对跨境提供个人信息时的“告知同意”有特殊要求,不仅因为个人信息的出境加大了个人信息被篡改、破坏、泄露、丢失、转移或被非法获取、非法利用的风险,可能会对个人权益产生严重损害,放任个人信息跨境自由流动也不利于维护国家安全。因此,对个人信息跨境提供规定了应具备的前提条件,并对告知同意提出了更高要求。
具体而言,除须告知第23 条规定的事项外,增加了特别告知事项——“个人向境外接收方行使本法规定的权利方式和程序”。而要求处理者取得个人的单独同意,在解释上与前述情形下要求取得个人单独同意相同,即不能将其他需要取得个人同意的事项与本事项混合而概括取得个人的同意。单独同意进一步提高了个人知情的要求,不同于境内个人信息处理活动,当个人知晓其信息需要跨境处理时,可拒绝或撤回此前的同意。如前所述,单独同意通常适用于重要个人信息的处理,由此也可以说个人信息的跨境保护要求高于境内个人信息的保护要求。
4 同意之例外
4.1 无需取得个人同意的法定情形
《个保法》第13 条在规定“取得个人同意”作为处理个人信息的合法性基础的同时,规定了无需取得个人同意而处理个人信息的6 种例外情形,包括:(1)为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;(2)为履行法定职责或者法定义务所必需;(3)为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;(4)为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;(5)依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;(6)法律、行政法规规定的其他情形。
以上6种例外情形同样构成了处理个人信息的合法化基础。这些例外意味着在立法上对同意规则的适用予以了限制,从反面构成了同意规则的范围和边界,即并非在任何情境下都应优先保证权利人的同意权。立法的目的是实现个人信息保护和信息自由流动的平衡。但须注意的是,该例外只是“无需取得个人同意”,而非“无需告知”。为了保障个人的知情权,在合理处理个人信息之前,原则上处理者仍应向个人履行告知义务,除非符合法律规定的免予告知的情形。
4.2 无需取得个人同意之特定情形的限制适用
为防止个人权益受到重大影响,《个保法》对无需取得个人同意的特定情形又进行了限制适用,集中体现在对处理已合法公开个人信息时的例外排除。第27条规定:个人信息处理者可在合理范围内处理已合法公开的个人信息,但个人明确拒绝的除外。个人信息处理者处理已合法公开的个人信息,对个人权益有重大影响的,应依法取得个人同意。
据此,若个人已明确表示不得利用其信息,则处理行为违法。若处理行为对个人权益产生重大影响,则仍须取得个人同意,由个人自主决定是否同意个人信息处理活动。这一规定将个人的知情同意摆在了优先地位,也表明《个保法》将是否“对个人权益有重大影响”作为分界线决定是以拒绝权还是以同意权的行使控制个人信息的处理,这意味着处理者在处理已合法公开的个人信息前就须对该处理行为是否对个人权益有重大影响进行评估,并据此判断是否需取得个人同意。但对判断标准立法本身未作规定。从比较法上看,GDPR 在“前言”中指出,“给数据主体的权利与自由带来的风险,其发生概率与严重程度取决于数据处理的性质、范围、内容及目的。应在客观评估的基础上对风险作出评价,通过客观评估,可判定数据处理操作是否存在风险或是高风险”(76 条),或可资借鉴。
5 结语
“告知同意”是个人信息处理的基本规则。对基于个人同意的个人信息处理,同意是处理个人信息的合法化基础,体现了个人对其信息享有控制权。但因所处理的个人信息性质不同,或个人信息主体有别,又或处理活动发生的情境不同,故立法对“同意”有不同的强度要求。同意须在个人充分知情前提下自愿、明确地作出,故须以切实保障个人对其信息处理享有知情权为基础,为此信息处理者必须要履行必要的“告知义务”。同样基于不同的情形,对告知义务也应有不同程度的要求,从而达到个人实质知情并作出真正的决定。同时,立法规定了同意的例外情形,以尽可能在保护个人信息权益与促进个人信息合理利用之间实现平衡。