【条文主旨】
本条是关于个人信息处理者告知义务的规定。
【条文理解】
本条分三款详细规定了个人信息处理者的告知义务。第1款规定了个人信息处理者告知义务的内容和具体的履行要求;第2款规定了告知事项发生变更时的告知义务;第3款规定了通过制定个人信息处理规则的方式告知的规则。
《个人信息保护法(草案二次审议稿)》第18条与《个人信息保护法(草案)》第18条完全一致,《个人信息保护法》第17条作出了两处修改:第一,在“应当以显著方式、清晰易懂的语言向个人告知下列事项”中间新增了“真实、准确、完整地”的要求,进一步强化了个人信息处理者的告知义务;第二,将“个人信息处理者的身份”修改成“个人信息处理者的名称或者姓名”,使得表述更加清晰准确。
一、个人信息处理者告知义务的含义及其理论基础
(一)告知义务的含义
本条所规定的个人信息处理者的告知义务,是指为了让信息主体对其个人信息处理活动的相关事项知情,个人信息处理者依法负有的主动向信息主体告知与其个人信息处理相关重要事项信息的法定义务。
个人信息保护中的告知同意规则由告知规则与同意规则构成。在《个人信息保护法》中,告知规则对应信息主体的知情权和个人信息处理者的告知义务,同意规则对应信息主体的信息自决权,两者密不可分。让个人信息处理者承担告知义务的目的是保证信息主体的知情权,满足个人信息处理的公开透明原则,进而确保信息主体在充分知情的前提下,自愿、明确地作出有效的同意,为个人信息处理者的个人信息处理行为提供合法性基础。[1]换言之,同意以告知为前提。
信息主体的知情权包括积极和消极两个方面:前者是指信息主体主动要求个人信息处理者提供与其个人信息处理相关事项信息的自由和权利;后者是指无须信息主体主动行使其知情权,个人信息处理者负有对信息主体的主动告知义务。[2]本条正是从信息主体知情权的消极方面对个人信息处理者的主动告知义务作出明确规定。
(二)设立告知义务的正当性
要确保个人的同意是在充分知情的前提下自愿、明确地作出的,就必须对个人信息处理者的告知提出相应的要求。否则,个人的同意不可能是真实、自愿和明确的,处理者对个人信息的处理也不可能是公开透明的。这意味着个人信息处理的知情同意原则和公开透明原则要求个人信息处理者负有告知义务,这也是该义务产生的正当性基础。
一是知情同意原则要求个人信息处理者负有主动告知的义务。一方面,信息主体对其个人信息被谁处理、如何处理和如何行权等方面的信息主要通过个人信息处理者履行告知义务来获取;另一方面,信息主体的有效同意依赖于信息主体的充分知情,根本上也依赖于个人信息处理者依法履行告知义务。
二是公开透明原则要求个人信息处理者负有主动告知义务。公开透明原则,是指处理个人信息时应当采取公开、透明的方式,公开个人信息处理的规则,向信息主体明示个人信息处理的目的、处理的方式和处理的范围。[3]如果个人信息处理者不以公开、透明的方式处理个人信息,而是采取隐秘的“黑箱”方式,那么该处理行为就侵害了自然人对其个人信息享有的知情权和决定权,即侵害了个人信息权益,这种处理行为是非法的处理行为。为此,本法第7条明确规定,“处理个人信息应当遵循公开、透明原则,公开个人信息处理规则,明示处理的目的、方式和范围”。个人信息处理者负有主动告知义务是践行公开透明原则的必然要求。
应当注意的是,个人信息处理者无须取得信息主体的同意不等于不负有告知义务。告知的目的是保障信息主体的知情权,同意的目的是保障信息主体的自决权,信息主体的同意以知情为前提,但信息主体的知情又不限于须征得信息主体同意的情形,两者受限制的范围并不相同。[4]
个人信息处理活动的合法性根据并不仅仅在于个人的同意,除了个人的同意外,还有法律、行政法规等规定的合法性根据。根据我国《
民法典》第1035条第1项的规定,处理个人信息的,应当征得该自然人或者其监护人同意,但是法律、行政法规另有规定的除外。所谓法律、行政法规另有规定的除外情形,《民法典》列举了三种:(1)依据《民法典》第999条规定,为公共利益实施新闻报道、舆论监督等行为的,可以合理使用民事主体的个人信息;(2)依据《民法典》第1036条第2项规定,合理处理该自然人自行公开的或者其他已经合法公开的信息,但是该自然人明确拒绝或者处理该信息侵害其重大利益的除外;(3)依据《民法典》第1036条第3项规定,为维护公共利益或者该自然人的合法权益,合理实施的其他行为。《个人信息保护法》第13条第1款第2~7项则进一步详细规定了无须取得信息主体同意就可以处理个人信息的情形:(1)为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;(2)为履行法定职责或者法定义务所必需;(3)为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;(4)为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;(5)依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;(6)法律、行政法规规定的其他情形。
然而,同意规则在前述法律、行政法规规定的情形中不适用,并不等于告知规则就不适用。处理者即便基于法律、行政法规规定的情形处理个人信息,不需要取得个人的同意,但是仍然要履行告知义务。例如,处理者为了订立或者履行个人作为一方当事人的合同而必须处理个人信息时,依据本法第13条第1款第2项以及第2款的规定,可以不取得个人的同意。但是,处理者仍然应当履行告知义务,即在处理个人信息前,应向个人告知相应的事项。再如,依据《
反洗钱法》的规定,金融机构负有反洗钱义务,这是一种法定义务。故该法第16条规定,金融机构应当按照规定建立客户身份识别制度。金融机构在与客户建立业务关系或者为客户提供规定金额以上的现金汇款、现钞兑换、票据兑付等一次性金融服务时,应当要求客户出示真实有效的身份证件或者其他身份证明文件,进行核对并登记。由于金融机构是为了履行反洗钱这一法定义务而处理客户的个人信息,故该处理行为不需要取得个人的同意,但是,金融机构仍然应当通过适当的方式履行告知义务,使作为客户的个人知道自己的个人信息被以何种方式、为实现何种处理目的而处理。
之所以在无须个人同意的个人信息处理活动中,原则上也适用告知规则,使处理者负有告知义务,根本原因在于要贯彻落实公开透明原则,保护个人对个人信息处理的知情权。因此,无论个人信息处理是基于个人的同意还是基于其他合法性根据,原则上处理者都应当履行向个人进行告知的义务,除非法律、行政法规另有规定。
二、告知义务的内容
告知义务的内容,是指处理者应当向个人信息被处理的个人告知的事项。一般而言,告知的内容越多,信息主体的知情权就越能够得到充分的保障。但对企业而言,告知义务的履行必然需要一定的成本,告知的内容越多,需要的成本就越高,因此告知义务的内容就应当具有合理的限制。
在《个人信息保护法》颁布之前的我国法律中,就处理者应当向个人告知哪些事项并无详细规定。《民法典》第1035条以及《
网络安全法》第41条第1款只是规定了“处理信息的目的、方式和范围”等内容,没有作出具体的规定。较为详细地规定处理者告知内容的,目前主要是一些规章和标准。例如,国家互联网信息办公室颁布的《儿童个人信息网络保护规定》对网络运营者收集儿童个人信息时应当告知的事项作了较为详细的列举。依据该规定第10条第1款,网络运营者征得同意时,应当同时提供拒绝选项,并明确告知以下事项:(1)收集、存储、使用、转移、披露儿童个人信息的目的、方式和范围;(2)儿童个人信息存储的地点、期限和到期后的处理方式;(3)儿童个人信息的安全保障措施;(4)拒绝的后果;(5)投诉、举报的渠道和方式;(6)更正、删除儿童个人信息的途径和方法;(7)其他应当告知的事项。再如,《信息安全技术规范个人信息安全规范》(GB/T 35273—2020)第5.4条规定,收集个人信息,应向个人信息主体告知收集、使用个人信息的目的、方式和范围等规则。
从比较法的角度观察,一些国家的法律对于告知义务的内容一般会作出详细的规定。例如,GDPR通过区分个人信息的来源而分别规定了个人信息处理者告知义务的内容。其中,第13条规定了直接从数据主体处收集个人数据时的告知内容,第14条则规定了非从数据主体处收集个人数据时的告知内容。依据第13条第1款,控制者在向数据主体获取其个人数据时,应当向数据主体提供以下信息:(a)控制者的身份和详细联系方式,如适用,还要提供控制者代表的身份和详细联系方式;(b)如适用,提供数据保护官的详细联系方式;(c)个人数据处理目的以及处理的法律依据;(d)当处理是依据本条例第6条第1款f项的规定进行的,控制者或者第三方追求的合法利益;(e)如有,提供个人数据接收方或者接收方的种类;(f)如适用,控制者意图将个人数据向第三国或者国际组织进行传输的事实、欧盟委员会是否就此问题作出过充分决议,或者依据本条例第46条、第47条或者第49条第1款第2段所述情形下,所采取的保护个人信息的合理安全措施以及获取副本的方式。依据同条第2款的规定,除第1款所述信息外,控制者在获取个人数据时,为确保处理过程的公正和透明之必要,应当向数据主体提供如下信息:(a)个人数据的存储期限,在无法提供的情形下,提供存储期限的确定标准;(b)数据主体具有向控制者主张其个人数据的获取、修改、删除、限制处理、反对处理、可携带的权利;(c)根据本条例第6条第1款a项或者本条例第9条第2款a项,在不触犯法律的前提下随时撤回同意的权利,撤回同意不影响同意撤回之前根据有效同意进行的数据处理活动的有效性;(d)向监管机构投诉的权利;(e)个人数据的提供是否基于法律规定、合同要求,或订立合同之必要,数据主体是否有义务提供个人数据,以及如无法提供数据可能产生的后果;(f)本条例第22条第1款以及第4款所述的自动决策机制,包括数据画像及有关的逻辑程序和有意义的信息,以及此类处理对数据主体的意义和预期影响。此外,该条第3款还规定,如果控制者进一步处理个人数据的意图与数据收集时的目的不同,控制者应当在此之前基于进一步处理目的向数据主体提供与第2款有关的信息。《日本个人信息保护法》则区分不同类型的个人信息处理活动,分别规定了处理者应当告知的事项。[5]依据该法第18条第1款,个人信息处理业者取得个人信息后,除已事先公布其利用目的的情形外,应当迅速将该个人信息的利用目的通知给本人或者予以公布。而依据该法第27条第1款,对于持有的个人数据,个人信息处理业者应当将下列事项置于本人容易知悉的状态(包括根据本人的要求立即予以答复):(1)该个人信息处理业者的姓名或名称;(2)全部持有的个人数据的利用目的(属于第18条第4款第1项至第3项规定的情形除外);(3)根据下一款规定的要求,或者下一条第1款、第29条第1款、第30条第1款或第3款规定的请求而实施的程序(在依照第30条第2款的规定确定了手续费的金额时,包括该手续费的金额);(4)前三项规定的事项以外的、政令规定的在确保持有的个人数据之正当处理上所必要的事项。
我国《个人信息保护法》在借鉴比较法经验的基础上通过“一般规定+特殊规定”的方式对处理者应当向个人告知的事项作了规定。所谓一般规定,就是本条第1款规定的事项。这些事项是任何个人信息处理前,个人信息处理者都应当向个人告知的共同事项或一般性事项。所谓特殊规定,就是针对一些特殊的个人信息处理行为而新增加一些告知事项的规定,如《个人信息保护法》第22条、第23条、第30条、第39条等的规定。告知义务的具体内容包括以下几个方面:
第一,个人信息处理者的名称或者姓名和联系方式。由于处理者主体复杂多元和处理行为隐秘专业,为了确保个人信息处理的公开透明与公正,处理者必须向个人告知其名称或者姓名与联系方式,从而使得个人知悉其个人信息究竟是被何人处理。不同的信息处理者的个人信息保护水平是不同的,信息处理者的身份会对信息主体决定是否同意让其处理个人信息产生重大影响。此外,只有知道个人信息处理者的名称或者姓名和联系方式,信息主体才能够向个人信息处理者行使其在个人信息处理中的权利,如查阅、复制、更正、补充、删除等权利。
第二,个人信息的处理目的、处理方式,处理的个人信息的种类、保存期限。所谓个人信息处理的目的,是指处理者究竟是为了什么而处理个人信息的。之所以要求必须告知处理目的,是因为处理目的在个人信息处理中非常重要。目的限制原则是个人信息处理中的基本原则,其要求处理者在处理个人信息时应当具有明确、合理的目的,并应当限于实现处理目的所必要的最小范围,采取对个人权益影响最小的方式,不得进行与处理目的无关的个人信息处理。故此,只有明确了处理目的,个人才能有针对性地决定是否就基于特定处理目的的处理行为作出同意。个人信息的处理方式,主要是指处理者对个人信息采取何种处理方法,具体包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。因此,处理者必须告知个人,其采取哪些处理方式,是仅仅收集、存储,但不使用、加工,抑或收集、存储、使用、加工但不提供等。不同的处理方式对于个人信息权益的影响不同,故需要告知个人并取得同意。个人信息的种类很多,包括但不限于自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。个人信息可以分为敏感的个人信息与非敏感的个人信息,不同的个人信息对于个人信息权益的影响不同。敏感个人信息的处理对于个人信息权益会产生很大的风险,因为此类信息一旦泄露或者被非法使用,就有可能导致个人受到歧视或者人身、财产安全受到严重侵害。所以,个人信息的种类属于必须告知的事项。处理者在向个人告知处理的个人信息的种类时,应当遵循公开透明的原则,不能过于笼统。例如,不能简单告知所处理的个人信息是“健康信息”或“与健康有关的信息”,该范围过于广泛,可能涵盖无数的信息,处理者必须明确具体的信息种类,如“心率”“血压”和“怀孕年龄”,这取决于处理行为及处理目的。个人信息的保存期限也很重要,保存期限越长,出现泄露或被非法使用的可能性就越大,对个人信息权益的不利影响就越大,因此需要告知个人。个人知悉保存期限也有利于其在保存期限届满时及时依据本法第47条的规定行使删除权。
第三,个人行使本法规定权利的方式和程序。本项所谓的行使本法规定权利,是指本法第4章所规定的个人在个人信息处理活动中的权利,包括知情决定权、查阅复制权、数据携带权、更正补充权、删除权、解释说明权等。之所以要告知个人行使本法规定权利的方式和程序,是为了鼓励和便利信息主体行权。
第四,法律、行政法规规定应当告知的其他事项。这是兜底性规定,一方面与《个人信息保护法》关于特殊告知事项的规定相衔接,另一方面也为相关法律和行政法规的规定留下空间。
特殊的告知事项具体主要包括四类情形:首先,在个人信息处理者因为法人或非法人组织的合并、分立等原因而需要转移个人信息时,依据本法第22条的规定,应当向个人告知接收方的名称或者姓名和联系方式,这主要是为了确保个人能够向接收方主张个人信息处理中的权利。其次,个人信息处理者向其他个人信息处理者提供其处理的个人信息的,依据本法第23条的规定,还必须向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意。这是因为,处理者将个人信息提供给他人的,接收方并非单纯地接受个人信息,有可能要按照新的处理目的,采取新的处理方式对个人信息进行处理。故此,要求处理者而非接收方向个人进行告知并取得单独同意,否则不得向他人提供个人信息。再次,为了更好地保护敏感的个人信息,本法第30条要求,个人信息处理者在处理敏感的个人信息时,不仅要告知第17条第1款规定的事项,还应当向个人告知处理敏感个人信息的必要性以及对个人的影响,依照本法规定可以不向个人告知的除外。之所以要求处理敏感的个人信息时必须告知处理的必要性,是因为敏感的个人信息一旦泄露或被非法使用,可能会导致个人受到歧视或人身、财产安全受到严重侵害,故法律上应当给予更强的保护。虽然我国《个人信息保护法》没有采取原则上禁止而例外才允许的处理敏感个人信息的模式,但通过强化对处理敏感个人信息的必要性的要求,可以更好地保护个人信息权益。所谓对个人的影响,是指处理敏感的个人信息可能会对个人产生的影响,主要是指不利的影响。只有充分披露这种影响,才能保证个人是在充分知情的情况下作出自愿的同意。最后,在个人信息跨境提供时,依据本法第39条,处理者应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项,并取得个人的单独同意。
三、告知义务的履行
(一)告知义务履行的时间
个人信息处理者必须在处理个人信息前向个人信息被处理的个人进行告知,而不能在已经实施了个人信息处理行为之后再告知个人,这是对处理者告知时间的要求。因为只有事前告知对于信息主体才有意义。
当然在例外情况下,如根据本法第18条的规定,可以免于告知或者事后及时告知。
(二)告知义务履行的方式
本条第1款明确规定了个人信息处理者告知义务履行的方式,即“应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知”。
所谓显著方式,是指个人信息处理者应当以个人容易辨识且易于获取的方式让个人了解到处理者告知的内容,而不能将其隐藏在一大堆包含各种内容的所谓的“隐私政策”当中,或者以极小、难以辨识的字体等其他不显著的方式,让个人无法容易辨识或获取处理者所告知的内容。这种所谓的告知也可认为本质上是一种欺诈或误导的做法。
清晰易懂的语言,意味着处理者应当以普通人能理解的语言表述进行告知,从而使得任何不具备个人信息处理专业知识的个人能够知道处理者所告知的内容。在实践中,为规避法律责任,个人信息处理者往往倾向于使用极其抽象或相当晦涩的语言来描述隐私政策中对个人信息收集和使用的目的,[6]如“改善服务质量”“提升用户体验”“研发新产品”“增强安全性”等。这种语言表述显然是非常模糊的,而且也使得处理者的处理目的很不明确,违反了目的限制原则和公开透明原则。
真实意味着个人信息处理者告知的信息不能是虚假的;准确意味着个人信息处理者告知的信息不能是错误的;全面意味着个人信息处理者告知的信息不能是不完整的。这些要求都是为了强化个人信息处理者的告知义务,保障信息主体的知情权。
之所以如此详细地规定告知义务的履行方式,是为了消除信息主体和个人信息处理者之间的信息不对称。个人信息处理具有很强的技术性,十分专业,而个人对此知之甚少,因此导致了二者的信息不对称。如果处理者通过一大堆专业术语或者含糊其辞的表述来告知,那么个人难以理解此种个人信息处理对自己的权益有何利弊,存在何种风险,这意味着信息主体难以作出自由的决定。在实践中,不少个人信息处理者为了满足法律的要求,规避法律风险,往往采取“捆绑式”的方式列出内容冗长烦琐的隐私政策条款,给用户带来阅读上的极大困难。[7]明确告知义务履行方式有利于破解实践中的此种难题,同时这也是本法第7条规定的公开透明原则的必然要求。
四、有关变更情况的告知
为保证告知内容的真实、准确和完整,当本条第1款规定的相关内容发生变更时,个人信息处理者应当将发生变更的信息告知信息主体。例如,当个人信息处理者的联系方式发生变更时,个人信息处理者就应当告知信息主体。
在基于个人同意处理个人信息的情形中,当个人信息的处理目的、处理方式和处理的个人信息种类发生变更的,个人信息处理者应当在变更前告知信息主体。因为不同的处理目的、处理方式和处理不同的个人信息种类,对信息主体的信息权益造成的风险都是不同的,应当重新告知信息主体并且获得其同意。这也是本法第14条第2款规定“个人信息的处理目的、处理方式和处理的个人信息种类发生变更的,应当重新取得个人同意”的原因。
五、通过制定个人信息处理规则的方式告知的规则
个人信息处理者履行告知义务的方式分为逐一告知和统一告知。逐一告知,是指个人信息的处理者在处理个人信息前,以一对一的方式向每一个其个人信息被处理的自然人进行告知,并逐一取得自然人的同意。此种方式在以人工的或非自动化的方式处理个人信息时使用较多,例如,在当事人申请不动产登记时,其向登记机构提交登记申请书,申请相应的不动产登记,不动产登记机构应当在登记申请书中向申请人告知处理该申请人的个人信息的目的、方式和范围等内容,进而取得申请人的同意。统一告知,是指个人信息的处理者通过提前制定好统一适用的个人信息处理规则来告知个人信息被处理的自然人,进而取得其同意。这种方式是在自动化处理个人信息时使用,主要表现为通过“隐私政策”来明确个人信息处理规则,就个人信息处理的目的、方式和范围等内容向个人进行告知。[8]这种方式适用于一对多的情形,即某个特定的个人信息处理者面向不特定的个人而处理个人信息,其优点是效率较高。
如果个人信息处理者以制定的个人信息处理规则来告知自然人,那么依据《民法典》第1035条和本条第3款的规定,该处理规则必须是公开的,并且是便于查阅和保存的。否则,应当认为个人信息处理者没有履行告知的义务。
【条文适用】
一、无须取得同意不等于无须告知
个人信息处理活动的合法性根据并不仅仅在于个人的同意,除了个人的同意外,还有法律、行政法规等规定的合法性根据。这是因为在保护个人信息权益的同时,也要实现个人信息的合理利用,同时维护公共利益、国家利益等,法律上有必要规定不适用告知同意规则的例外情形。但是,基于公开透明原则和保障个人对个人信息处理的知情权的要求,不能认为无须个人同意就等于无须向个人告知。因此,无论个人信息处理是基于个人的同意还是基于其他合法性根据,原则上处理者都必须履行向个人进行告知的义务,除非法律另有规定。实践中应当特别注意这一区分,避免两者发生混淆。
二、告知内容变更前的告知
基于个人同意处理个人信息的,实践中经常出现个人信息的处理目的、处理方式和处理的个人信息种类发生变更,但信息处理者没有在变更前告知信息主体并取得其有效同意就开始处理个人信息的情形。这违反了本法第14条第2款的规定,属于违法处理个人信息的情形,信息主体可以依据本法第44条拒绝个人信息处理者对其个人信息进行处理;依据本法第47条第1款第4项请求个人信息处理者删除其个人信息;依据本法第65条对违法个人信息处理活动向履行个人信息保护职责的部门进行投诉、举报;造成损害的,依据本法第69条请求个人信息处理者承担损害赔偿等侵权责任。
三、通过个人信息处理规则进行的告知
在实践中,个人信息处理规则通常是以电子信息的方式存在,尤其是隐私政策,如果自然人无法方便地查阅和保存这些规则,就容易出现个人没有阅读完毕这些个人信息处理规则就必须作出同意,或者处理者私自变更规则,以致双方就个人信息的处理发生纠纷时,个人无法提供相应的证据的情况。此时,如果处理者不能证明其规则是公开的并且是便于查阅和保存的,那么处理者与个人就是否遵循告知同意规则发生争议时,应当认为个人信息处理者没有履行告知义务。此外,如果个人所保存的处理者的个人信息处理规则与处理者提供的规则不一致,一般应当以个人提供的规则为准,除非处理者能够证明个人提供的规则是不真实的。
