“无可奉告”?个人信息保护的合法性基石

上海区块链技术协会

    个人信息是指与已识别或可识别的自然人相关的各种信息,因此,个人信息与自然人的人格尊严和人格自由等权益密切相关。承认自然人的个人信息权益就意味着对他人行为自由的限制,他人处理自然人信息没有合法性基础的即为非法。
    知情同意规则,又称“告知同意规则”,其作为个人信息处理的合法性基础,任何组织或个人在处理个人信息时都应当告知个人信息被处理的自然人(即信息主体),并在取得其同意后,方可从事相应的个人信息处理活动,否则该等处理行为即属违法,除非法律、行政法规另有规定。
    知情同意规则包括知情规则与同意规则,两者紧密联系,不可分割。没有告知,自然人无法就其个人信息被处理作出同意与否的表示;即便告知了,但没有充分、清晰地告知,自然人作出的同意也非真实有效的同意,因此,“无法奉告”在个人信息保护上势必行不通,而且不仅要告知,且要真实、准确、完整地告知。但是,这并不意味着发生侵害个人信息权益的违法行为时,处理者可以主张其已经履行告知同意规则据此免于承担任何法律责任,也不能排除其他个人信息保护规则的适用。
    告知同意规则在具体落实中也出现很多现实问题,如处理者的告知含混不清、内容烦琐、自然人缺乏真实的意思自由等。对于作为个人信息处理者的企业而言,如何合法恰当地履行知情规则显得尤为重要。
    一、知情规则的法律规定
    知情规则在各国立法中都有确认和体现,诸如欧盟GDPR第13、14条、韩国《个人信息保护法》第15条第2款、美国《加利福尼亚消费者隐私权法案》第1798.100条。在我国《个人信息保护法》(以下简称“个保法”)第7条中规定:“处理个人信息应当遵循公开、透明原则,公开个人信息处理规则,明示处理的目的、方式和范围。”同样,在《民法典》1035条和《网络安全法》第41条中都予以强调。《个人信息保护法》第17条在上述基础上,对处理者告知的时间、告知方式和告知内容等问题作出了更详细、具体的规定。
    《个人信息保护法》第十七条?个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项:
    ■??个人信息处理者的名称或者姓名和联系方式;
    ■??个人信息的处理目的、处理方式,处理的个人信息种类、保存期限;
    ■??个人行使本法规定权利的方式和程序;
    ■??法律、行政法规规定应当告知的其他事项。
    前款规定事项发生变更的,应当将变更部分告知个人。
    个人信息处理者通过制定个人信息处理规则的方式告知第一款规定事项的,处理规则应当公开,并且便于查阅和保存。
    二、知情规则的构成要件
    结合《个保法》第17条及相关法律规定,全面履行并维护信息主体的知情权利则需要符合如下要件:
    01 告知的时间
    个人信息处理者必须是在“处理个人信息前”向信息主体进行告知,而不能在已经实施了个人信息处理行为后再告知个人。另外如果在取得在先同意后,信息处理者针对个人信息的处理目的、处理方式、处理的个人信息种类发生了变更,那么依据《个保法》第14条的规定,需要重新告知并取得同意。
    02 告知的方式
    NO.1 显著方式、清晰易懂的语言:基于个人信息处理的强专业性、强技术性特征,个人与信息处理者存在严重信息不对称。为使得个人能够理解此种个人信息处理对自己权益、风险的利弊,作出自愿、有效的同意,信息处理者应当:
    
    “显著方式”的要求是信息处理者以个人容易识别且易于获取的方式,不能隐藏在一大堆包含各种内容的所谓的“隐私政策”当中,或者以极小、难以辨识的字体等方式。实践中信息处理者喜欢用“捆绑式”的方式列出冗长的隐私政策条款,甚至有研究表明,用户仅阅读一年中所使用的网络服务的隐私政策就需要花费224个小时,同时还要考虑到用户教育背景的差异等。
    《App违法违规收集使用个人信息行为认定方法》中规定,在App首次运行时未通过弹窗等明显方式提示用户阅读隐私政策等收集使用规则;隐私政策等收集使用规则难以访问,如进入App主界面后,需多于4次点击等操作才能访问到;隐私政策等收集使用规则难以阅读等都属于“未公开收集使用规则”。
    
    “清晰易懂的语言”要求是指信息处理者应当以普通而非专业人士才能理解的语言表述来进行告知。实践中,为规避法律责任,一些信息处理者往往倾向于极其抽象含混或者晦涩难懂的词语来描述个人信息,例如“改善服务质量”“提升用户体验”“研发新产品”“增强安全性”等。
    NO .2 真实、准确、完整地告知:基于《个保法》确立的合法、正当、必要和诚信原则,信息处理者不能虚构事实欺骗个人,如明明是出于A处理目的而处理信息,却说是出于B处理目的;不能含糊不清的将事实告知个人,信息应当准确;不能隐瞒信息,如只说处理个人信息的好处但不说其中的风险等。
    03 通过制定个人信息处理规则的方式告知
    个人信息处理者履行告知义务的方式可分为以下两类:一种是逐一告知,即个人信息的处理者在处理个人信息前,以一对一的方式向每一个信息主体进行告知并逐一取得信息主体的同意。此种方式主要在以人工的或非自动化的方式处理个人信息时使用,例如在当事人申请不动产登记时,向不动产登记机构提交登记申请书,不动产登记机构应当在登记申请书中向申请人告知处理该申请人的个人信息的目的、方式和范围等内容,进而取得申请人的同意。
    另一种是统一告知,即个人信息的处理者通过提前拟制好的统一的、反复使用的个人信息处理规则来告知信息主体,进而取得同意。这种方式多用于通过网络进行个人信息的处理时使用,如用户在下载安装各类应用软件时,网络公司通过所谓“隐私政策”来明确个人信息处理规则并对信息主体进行告知。这种方式适用于一对多的情形,高效便捷,即某个特定的个人信息处理者面向不特定的个人。
    无论是通过逐一告知还是统一告知的方式,信息处理者都必须符合法定要求,将处理规则公开并便于查阅和保存,否则应当认为没有履行告知的义务。尤其是实践中个人信息处理规则以电子信息的方式进行保存,如果自然人无法方便地查阅和保存这些规则,就会出现个人没有完全阅读完毕这些规则就必须作出同意的情形。
    04 应当告知的事项
    就应当告知的事项,在比较法上存在与我国不同的规定,如欧盟GDPR是明确区分了控制者从数据主体处收集个人数据和非从数据主体处收集信息这两种情形,分别对应告知的信息作出了不同的规定。我国《个保法》对告知事项采取了“一般规定+特别规定”,一般规定就是第17条第1款规定的事项,特殊事项指的是针对一些特殊的个人信息处理行为,专门规定应当告知的事项,诸如《个保法》第23条规定的向其他处理者提供个人信息时应当告知的事项,第30条规定的处理敏感个人信息前应当告知的事项,第39条规定的向境外提供个人信息时应当告知的事项。
    就告知事项中应当要注意的是,收集个人信息也应当遵守“比例原则”,即应限于实现处理目的的最小范围,不能过度收集个人信息,那么,只有基于明确的处理目的,个人才能自由的决定,是否就特定目的的处理行为给予同意。常见的是信息处理者有多个处理目的,在这种情况下不能将处理目的进行合并并一次性获得授权,必须分别就具体的处理目的分别取得个人同意。
    结语
    综上,个人信息处理者在处理个人信息前只有充分、适当地履行告知义务,才能保证信息主体是在充分知情的前提下自愿作出同意,知情同意规则才能发挥保护个人信息权益的功能。即便对于那些法律、行政法规明确规定了无须取得个人同意的个人信息处理行为,知情规则依然适用,处理者不能以无须个人的同意为由而不履行告知义务。所以信息处理者应当正视并谨慎运用相关规则,在保护信息主体的同时也尽量避免自身陷入泥潭。