【条文主旨】
本条是关于处理个人信息公开透明原则的规定。
【条文理解】
公开透明原则(The Transparency Principle)是处理个人信息的基本原则之一。同上述的合法、必要原则一样,公开透明原则在个人信息保护法律适用规则中具有重要意义。相较于《个人信息保护法(草案二次审议稿)》的规定,本条在综合有关方面意见的基础上,新增了“明示处理的目的、方式和范围”的要求,并作了个别文字调整。
关于公开透明原则的要求,早在2012年的《全国人民代表大会常务委员会关于加强网络信息保护的决定》中就有相应规定,其第2条规定:“网络服务提供者和其他企业事业单位在业务活动中收集、使用公民个人电子信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经被收集者同意,不得违反法律、法规的规定和双方的约定收集、使用信息。网络服务提供者和其他企业事业单位收集、使用公民个人电子信息,应当公开其收集、使用规则。”此后的《
网络安全法》第41条规定:“网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。”在此基础上,《
民法典》第1035条对公开透明的要求也作了规定,其内容与本条规定大致一致,该条第2项明确要求处理个人信息应当遵循公开处理信息的规则;第3项则进一步要求明示处理信息的目的、方式和范围。这些规定在本条当中都有体现。应该说,本条规定属于在《民法典》这一规定基础上的进一步升华,将处理个人信息公开性的要求明确上升到基本原则的高度,并将公开原则明确为公开、透明原则,这符合目前加强个人信息保护的整体趋势,也与比较法上的先进做法一致。GDPR第5条第1款a项规定:“对涉及数据主体的个人数据,应当以合法的、合理的和透明的方式进行处理。”第12条第1款规定:“对于和个人信息处理相关的第13条和第14条规定的所有信息或者第15条至第22条以及第34条所规定的所有交流、控制者应当以一种坚决、透明、易懂和容易获取的方式,以清晰和平白的语言来提供;对于针对儿童的所有信息,尤其应当如此。”在行业标准上,我国的《信息安全技术个人信息安全规范》(GB/T?35273—2020)也要求“以明确、易懂和合理的方式公开处理个人信息的范围、目的、规则等,并接受外部监督”。
所谓公开透明原则,是指信息处理者在处理个人信息时应明示处理信息的目的、方式、范围和规则等,确保信息主体享有知情权。公开透明原则不仅要求个人信息处理者公开个人信息处理规则,而且公开的个人信息处理规则应当明示处理目的、方式和范围等核心内容。公开透明原则是确保信息主体有效行使知情同意权的重要保障。只有让信息主体充分知悉和了解处理个人信息的规则、目的和范围,了解个人信息被处理的后果和可能的影响,才可以确保信息主体的意思判断是自主、真实和合理的,并使个人信息处理者充分接受外部的监督。公开透明原则的要求并不是对个人信息内容的公开,而是对处理个人信息的过程和规则的公开。这就要求信息处理者在处理个人信息时要主动增强透明度,用通俗易懂、简洁明了的语言说明处理个人信息的目的、方式和范围,并将处理个人信息的规则予以公开。[1]本条规定的公开信息处理的规则,主要是指要将信息处理者处理信息的基本规则,如收集处理的信息类型、信息处理者的身份、信息收集处理的目的等公开。理论上,信息处理者可以采用报纸、广播、发布会等多种方式公开个人信息处理规则。[2]但在实践中,信息处理者多采用低成本、高效率的隐私政策的方式进行公开。例如,绝大多数App在向用户提供服务前,都会通过隐私政策的形式向用户说明其收集用户个人信息的方式、用途等信息。
明示处理信息的目的、方式和范围,就是在具体的信息处理活动中,尤其是信息收集活动中,明确说明信息处理的目的、方式和范围等与具体信息处理活动和具体自然人信息主体密切相关的内容。和一般性的“公开”不同,“明示”所要求的,不仅是自然人有渠道可以获得相关的信息,而是信息处理者主动、明确地将相关信息告知自然人,并且鉴于信息处理活动高度的技术性和专业性,信息处理者还有义务以自然人可以理解的方式,清晰地告知相关内容。[3]就信息主体而言,只有对信息公开的内容充分知晓,才可能判断信息处理者处理个人信息的行为是否遵循了合法性、必要性、正当性原则。个人对处理信息的目的、方式和范围具有清晰的认识,才能理性地评价处理活动对自己的权益造成的影响,从而作出符合自己意志的决定。
有观点认为不仅信息处理的目的、方式和范围要公开,信息收集处理的过程也有必要公开。只有个人信息收集和处理的实施行为和实施过程公开,公开透明原则才有实际意义。否则,即使信息收集处理者公示了其收集的目的、规则和使用范围,信息主体无从判断信息处理者是否如其公示的那样实际执行。因此,信息处理者如果不能证明其收集、处理信息的过程是公开的,则应当认定其违反了处理信息的公开透明原则。[4]这一观点较有道理,值得参考借鉴。此外,《信息安全技术个人信息安全规范》第5.5条关于个人信息保护政策的规定也应该是司法实务中认定相关信息处理行为是否符合公开透明原则的重要参考标准。该条规定:“对个人信息控制者的要求包括:a)应制定个人信息保护政策,内容应包括但不限于:1)个人信息控制者的基本情况,包括主体身份、联系方式;2)收集、使用个人信息的业务功能,以及各业务功能分别收集的个人信息类型。涉及个人敏感信息的,需明确标识或突出显示;3)个人信息收集方式、存储期限、涉及数据出境情况等个人信息处理规则;4)对外共享、转让、公开披露个人信息的目的、涉及的个人信息类型、接收个人信息的第三方类型,以及各自的安全和法律责任;5)个人信息主体的权利和实现机制,如查询方法、更正方法、删除方法、注销账户的方法、撤回授权同意的方法、获取个人信息副本的方法、对信息系统自动决策结果进行投诉的方法等;6)提供个人信息后可能存在的安全风险,及不提供个人信息可能产生的影响;7)遵循的个人信息安全基本原则,具备的数据安全能力,以及采取的个人信息安全保护措施,必要时可公开数据安全和个人信息保护相关的合规证明;8)处理个人信息主体询问、投诉的渠道和机制,以及外部纠纷解决机构及联络方式。b)个人信息保护政策所告知的信息应真实、准确、完整;c)个人信息保护政策的内容应清晰易懂,符合通用的语言习惯,使用标准化的数字、图示等,避免使用有歧义的语言;d)个人信息保护政策应公开发布且易于访问,例如,在网站主页、移动互联网应用程序安装页、附录C中的交互界面或设计等显著位置设置链接;e)个人信息保护政策应逐一送达个人信息主体。当成本过高或有显著困难时,可以公告的形式发布;f)在a)所载事项发生变化时,应及时更新个人信息保护政策并重新告知个人信息主体。”
公开透明原则与一些个人信息保护具体规则存在密切的关联性,在理解具体的个人信息处理规则时,应注意公开透明原则的指导性作用。比如,根据本法第14条第1款规定,基于个人同意处理个人信息的,该同意应当由个人在充分知情的前提下自愿、明确作出。该款规定了同意的具体要件,个人信息处理者需要依据《个人信息保护法》第7条的规定向个人明示个人信息处理规则,在确保个人充分知情的基础上,由信息主体自由、具体、明确地作出同意。根据本法第17条第3款规定,个人信息处理者通过制定个人信息处理规则的方式告知其联系方式、处理目的、方式和范围等,处理规则应当公开且便于查阅和保存。根据本法第22条规定,个人信息处理者因合并、分立、解散、被宣告破产等原因需要转移个人信息的,应当向个人告知接收方的名称或者姓名和联系方式。本法第23条、《网络安全法》第42条第1款、《民法典》第1038条第1款规定了信息处理者向第三方提供个人信息时所应履行的告知义务。根据本法第26条规定,在公共场所安装图像采集、个人身份识别设备时应设置显著的提示标识,以保障信息主体的知情权。本法第48条进一步规定个人有权要求个人信息处理者对个人信息处理规则进行解释说明,个人信息处理者有义务向提出请求的个人进行解释说明,接受外界的监督。根据本法第58条第2项规定,提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,应当依据公开、公平、公正原则,明确并公开平台内产品或者服务提供者处理个人信息的平台规则。公开透明原则是个人信息保护领域的核心原则,前述规则均是公开透明原则在各个场景下的具体体现。
【条文适用】
关于本条的适用,要注意以下问题:
一是在体系化思维背景下,要注意本条规定与《民法典》相关规定的衔接适用。其一,公开透明原则作为处理个人信息的基本原则,在法律、行政法规没有具体规定的情况下,这一原则应当作为判断处理个人信息行为是否合法抑或是否构成侵权行为的一般条件。构成侵权行为的,则要注意和侵权责任编有关责任构成、损害赔偿包括精神损害赔偿的相关规定相衔接。其二,有关隐私政策问题,在实践中通常是以格式条款的形式出现。《民法典》合同编有关格式条款的规定对此具有直接适用的效力,特别是有关效力认定及格式条款解释的规定,比如《民法典》第496条、第497条的规定。但需要警惕的是,司法实践中,隐私协议已经成为法院判决网络服务商免责的关键支撑,如“Cookie隐私案”,然而将隐私协议中相关事项的告知等同于用户的知情,未免具有对网络服务商法律期待过低的嫌疑。隐私协议的一个重要作用是对用户个人信息处理的各项内容进行告知,其文本内容包含了个人信息收集处理的详细事项,一般应包括个人信息收集的范围、收集的目的、处理方式、存储位置和流动情况等内容,有些企业也会告知个人信息的修改、删除以及同意的撤回。但在实践中,大多数隐私协议都存在可读性差的问题,一些信息处理者为达到业务合规的要求,往往在隐私协议中使用大量专业化术语,这不仅超出用户的阅读能力,而且会大幅降低用户的阅读意愿,导致用户难以对个人信息处理可能产生的影响做出正确预判。如何解决这种形式与实质间的矛盾冲突,是个人信息保护实践中亟须进一步深化探索的问题。
二是如上所述,本条规定的公开透明原则与自然人的知情同意密切相连,要注意本条与本法中有关知情同意条款的关联,这些条款既是对信息处理者处理个人信息在特定领域的具体要求,也是认定其是否违反公开处理原则的重要判断标准,比如本法第14条规定:“基于个人同意处理个人信息的,该同意应当由个人在充分知情的前提下自愿、明确作出。法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的,从其规定。个人信息的处理目的、处理方式和处理的个人信息种类发生变更的,应当重新取得个人同意。”该条强调的“个人在充分知情”以及“个人信息的处理目的、处理方式和处理的个人信息种类发生变更的,应当重新取得个人同意”都体现了对信息处理者处理个人信息公开透明的要求。从实践角度,对于需要用户同意才能处理用户个人信息的情形,需要通过《个人信息保护政策》等个人信息授权文本,向用户充分说明处理个人信息的规则,并由用户手动点击确认、手动勾选同意等自主同意的方式获得用户的同意。此外,在实践中,经常发生个人同意进行的个人信息处理活动,但在个人信息处理期间发现个人信息处理者存在“过度处理”其个人信息的行为,该个人想撤回其之前的同意,但网络平台环境下,个人撤回其同意的行为必须得到个人信息处理者的配合,否则个人是无法实现所谓“有权撤回其同意”之目的。本法第15条确立了“个人信息处理者应当提供便捷的撤回同意的方式”的个人信息处理规则,遵循了“以人民为中心”的发展理念,体现了数据私权至上的个人信息处理规则。
