【条文主旨】
本条是关于个人信息处理者不负有告知义务和紧急情况下的事后及时告知的规定。
【条文理解】
本条分两款分别规定了个人信息处理者不负有告知义务的情形和紧急情况下事后及时告知的规则。本条与本法第17条构成原则和例外的关系,即原则上个人信息处理者应当依照本法第17条负有事前告知的义务,例外情况下依据本条可以免于告知或者事后及时告知。
《个人信息保护法(草案二次审议稿)》第19条第2款在《个人信息保护法(草案)》第19条第2款的基础上作了一处修改:将“予以告知”修改成“及时告知”,突出强调在紧急情况消除后告知的及时性。《个人信息保护法》第18条则延续了这一修改,同时在《个人信息保护法(草案二次审议稿)》第19条第1款“可以不向个人告知前条规定的事项”中的“前条”后面新增“第一款”的限定,使得表述更加清晰准确。
一、个人信息处理者免于告知义务的规则
(一)免于告知义务的含义及其与无须取得同意的关系
所谓免于告知义务,是指在特殊情况下,个人信息处理者不负有向信息主体主动告知与其个人信息处理相关事项信息的义务。之所以免除个人信息处理者的告知义务,是因为存在法律、行政法规规定应当保密、不需要告知和告知将妨碍国家机关履行法定职责等情形。这意味着信息主体的知情权会受到国家安全、公共利益、其他信息主体隐私等事项的限制,此时个人信息处理者也相应地负有不告知这种禁止性义务。[1]而对于知情权的限制,需要以法律、行政法规作为明确的依据。
值得注意的是,在个人信息处理中,免除告知义务的情形和无须同意的情形存在差别,这尤其体现为对于免除告知义务情形的规定应当比无须取得个人同意的情形更加严格。在个人信息的处理中,如果以取得个人同意作为处理行为合法的唯一根据,就会损害个人信息的合理利用,因为个人不同意,处理者就不能处理个人信息,所以法律上必须在协调个人信息权益与个人信息合理利用的基础上,明确各种不需要同意的具体情形。由于需要考虑的利益众多,如公共利益、法定职责、国家利益、自然人的生命健康和财产安全,所以,法律和行政法规上规定的不需要同意的情形自然就会比较多。但是,告知义务则有所不同,告知义务的履行既有利于维护个人的知情权,也不会如同意规则那样构成对处理者实施个人信息处理活动的法律障碍。故此,法律上对于免于告知的情形应当作更加严格的限制。
(二)免于告知义务的具体情形
比较法上对处理者免除告知义务的情形有不同的规定。有些国家或地区是在区分处理者究竟是直接从个人处收集个人信息,还是非直接从个人处收集个人信息的基础上,分别作出对处理者免除告知义务的情形的规定。例如,GDPR第13条和第14条分别对控制者从数据主体处收集个人数据和并非从数据主体处收集个人数据、控制者应当提供的信息以及免于提供信息的问题作了规定。依据第13条第4款规定,如果控制者是直接从数据主体处收集个人数据的,那么只有当数据主体已经获得了该条第1款至第3款列举的信息时,才免除控制者提供信息给数据主体的义务,即告知义务。如果控制者并非从数据主体处获取的个人数据,依据GDPR第14条第5款的规定,该条第1款至第4款的规定在以下情形不适用:(a)数据主体已经获得上述信息;(b)上述信息的提供是不可能的,或者是需要不成比例的投入,尤其是根据本条例第89条第1款的条件和保障,处理出于公共利益、科学、历史研究或数据统计目的;或者本条第1款所述的义务有可能导致处理目标无法实现或严重影响处理目标的实现。在此情况下,控制者应当采取适当的措施(包括采取公开信息的措施)保护数据主体的权利、自由以及合法利益;(c)控制者应当根据欧盟或成员国法律所规定的获取或者披露个人信息的规定,采取合适的措施保护数据主体的合法利益;(d)根据数据主体应遵守的包括保密法在内的欧盟或成员国法律规定的专业保密制度,个人数据必须保密。再如,我国台湾地区“个人资料保护法”也是依据处理者直接向个人收集个人资料,抑或收集非由当事人提供之个人资料,而对告知义务的免除作出了不同的规定。依据该法第8条的规定,在公务机关或非公务机关依该法第15条或第19条的规定向当事人搜集个人资料时,如果有下列情形之一的,可以免于告知义务:(1)依法律规定得免告知;(2)个人资料之搜集系公务机关执行法定职务或非公务机关履行法定义务所必要;(3)告知将妨害公务机关执行法定职务;(4)告知将妨害公共利益;(5)当事人明知应告知之内容;(6)个人资料之搜集非基于营利之目的,且对当事人无不利之影响。依据该法第9条的规定,如果公务机关或非公务机关依该法第15条或第19条规定,搜集非由当事人提供之个人资料,有下列情形之一的,可以免除告知义务:(1)该法第8条第2款所列的各种情形之一;(2)当事人自行公开或其他已合法公开之个人资料;(3)不能向当事人或其法定代理人告知;(4)基于公共利益为统计或学术研究之目的而有必要,且该资料须经提供者处理后或搜集者依其揭露方式,无从识别特定当事人者为限;(5)大众传播业者基于新闻报道之公益目的而搜集个人资料。
应当说,区分个人信息的来源而规定告知义务免除的情形是有一定道理的。因为在处理者直接面向信息主体收集信息时,与从信息主体之外的其他来源取得个人信息时,告知义务的意义不同。直接从信息主体处收集信息,告知义务的履行能够有效地保障个人是在充分知情的前提下自愿作出同意,该义务之履行对于贯彻落实个人信息处理中的公开透明原则等具有重要意义。故此,免于告知义务的情形应当作非常严格的限制。但是,从其他来源处取得信息时,处理者并非直接面向个人,其有可能是从已经公开的信息中获取的个人信息,也有可能是从其他处理者那里获取的个人信息。此时,如果提供个人信息给处理者的其他处理者已经告知了个人并取得了同意,则接受者无须再行告知。如果处理者获取的是合法公开的个人信息,也无须告知并取得同意,因为对于合法公开的信息是可以合理利用的,要求处理者告知个人也没有实际意义。
本法没有采取上述模式来分别规定处理者免除告知义务的情形,而是采取了统一规定的模式。本法第18条第1款规定:“个人信息处理者处理个人信息,有法律、行政法规规定应当保密或者不需要告知的情形的,可以不向个人告知前条第一款规定的事项。”该法第35条规定:“国家机关为履行法定职责处理个人信息,应当依照本法规定履行告知义务;有本法第十八条第一款规定的情形,或者告知将妨碍国家机关履行法定职责的除外。”这意味着,免除告知义务的情形可以分为三类:第一,法律、行政法规规定应当保密的情形;第二,不需要告知的情形;第三,告知将妨碍国家机关履行法定职责的情形。在这三类情形下,虽然处理者都免除告知义务,但性质上存在差别。第一种情形是法律、行政法规规定了保密的义务,故此,无论处理者是否属于国家机关,都依法负有保密义务,不仅不能告知个人,而且一旦告知了个人还违反了法定的保密义务,属于违法行为,应当承担法律责任。第二种情形只是免除了处理者的告知义务,处理者自愿决定告知个人的也没问题。第三种情形则仅适用于国家机关以及法律、法规授权的具有管理公共事务职能的组织,为履行法定职责而处理个人信息的情形,必须是告知将妨碍法定职责的履行才可以免除告知义务。本条第1款仅规定了前两种情形。
1.法律、行政法规规定应当保密的情形。法律、行政法规规定应当保密的情形是非常明确的。这是指基于侦查犯罪、反恐怖主义等维护公共安全、国家安全等社会公共利益和国家利益的考虑,而由法律、行政法规规定的处理者的保密义务。《
保守国家秘密法》第9条规定:“下列涉及国家安全和利益的事项,泄露后可能损害国家在政治、经济、国防、外交等领域的安全和利益的,应当确定为国家秘密:(一)国家事务重大决策中的秘密事项;(二)国防建设和武装力量活动中的秘密事项;(三)外交和外事活动中的秘密事项以及对外承担保密义务的秘密事项;(四)国民经济和社会发展中的秘密事项;(五)科学技术中的秘密事项;(六)维护国家安全活动和追查刑事犯罪中的秘密事项;(七)经国家保密行政管理部门确定的其他秘密事项。政党的秘密事项中符合前款规定的,属于国家秘密。”再如,公安机关、国家安全机关或国家情报工作机构依据《
反恐怖主义法》第45条、《
反间谍法》第12条、《
国家情报法》第15条等规定,公安机关依据《
刑事诉讼法》第150条的规定,经过严格的批准手续,可以采取技术侦查措施处理个人信息的,不仅其信息无须被处理的个人同意,并且基于保密义务的规定,更不能告知个人。
2.不需要告知的情形。关于何谓“不需要告知的情形”,《个人信息保护法》并没有具体的规定。我们认为,根据体系解释,不需要告知的情形,至少应当包括以下两类情形:(1)个人信息处理者已经向信息主体履行了告知义务,作为接收方的其他个人信息处理者就无须再向信息主体履行告知义务。例如,在处理者甲向处理者乙提供其处理的个人信息时,根据本法第23条的规定,甲应当向信息主体告知乙的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意。在这种情形下,由于甲已经履行了告知义务,信息主体已经知道了告知的内容,乙就无须再行告知了。(2)在合理范围内处理已经合法公开的个人信息。依据本法第13条第6项规定,依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息,无须取得信息主体的同意。这意味着,在处理合法公开的个人信息时,处理者不需要取得个人的同意。此时,应当认为也不需要告知个人。因为如果要求对已经合法公开的个人信息也逐一告知并取得同意的话,不仅成本极为巨大、难以实现,也不利于个人信息的合理利用,妨碍数字经济的发展。为了进一步明确不需要告知的情形,未来可以通过相应的
法律法规和标准等作进一步的细化规定。
二、紧急情况下的事后及时告知规则
尽管根据本法第17条的规定,个人信息处理者应当在处理个人信息之前履行告知义务,但是考虑到在有些情况下,由于情况紧急,为保护自然人的生命健康和财产安全无法及时向个人告知,此时应当免除个人信息处理者的事前告知义务,但是仍然要求个人信息处理者在紧急情况消除后,履行告知义务。这意味着即使在紧急情况下,为了保护自然人的生命健康和财产安全,免除的仅仅是个人信息处理者事前告知的义务而非告知义务本身。如果个人信息处理者没有在紧急情况消除后及时履行告知义务,依然构成违法处理个人信息。
这种紧急情况最主要的情形就是在发生个人信息泄露、篡改、丢失等个人信息安全事故的时候,为了保护自然人的生命健康和财产安全,个人信息处理者可能需要立即处理个人信息而来不及进行事前告知。本法第57条规定:“发生或者可能发生个人信息泄露、篡改、丢失的,个人信息处理者应当立即采取补救措施,并通知履行个人信息保护职责的部门和个人。通知应当包括下列事项:(一)发生或者可能发生个人信息泄露、篡改、丢失的信息种类、原因和可能造成的危害;(二)个人信息处理者采取的补救措施和个人可以采取的减轻危害的措施;(三)个人信息处理者的联系方式。个人信息处理者采取措施能够有效避免信息泄露、篡改、丢失造成危害的,个人信息处理者可以不通知个人;履行个人信息保护职责的部门认为可能造成危害的,有权要求个人信息处理者通知个人。”这里的立即处理个人信息主要目的是采取补救措施。
应当注意的是,个人信息处理者负有的告知义务与在发生个人信息安全事故情形下的通知义务的作用是不同的。前者是为了保障信息主体的知情权,后者则是为了让履行个人信息保护职责的部门和个人采取相应措施,避免损失进一步扩大,同时方便日后采取相应的救济措施。
【条文适用】
一、通过格式条款免除个人信息处理者告知义务的效力
对于免除告知义务情形的规定应当比无须取得个人同意的情形更加严格。法律上也不应当允许处理者与个人约定免除告知义务,或者通过格式条款来排除告知义务,因为这种约定或排除告知义务的做法,构成对自然人就其个人信息享有的知情权的侵害,也违反了公开透明度原则,是无效的。如果采取格式条款的方式,信息主体可以依据《
民法典》第497条第2项请求法院认定该格式条款无效。
二、对处理已经合法公开的个人信息时无须告知的理解
实践中对于处理合法公开的个人信息无须告知的理解不能过于宽泛,根据本法第27条的规定,“个人信息处理者可以在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;个人明确拒绝的除外。个人信息处理者处理已公开的个人信息,对个人权益有重大影响的,应当依照本法规定取得个人同意”。这意味个人信息处理者必须在合理的范围内处理已经合法公开的信息,才免除告知义务。但是对于非法公开的信息,或者合法公开但是处理超出合理范围的情形,个人信息处理者仍然负有告知义务。至于在事件中如何把握“合理的范围”可以考虑借鉴“隐私期待理论”,即处理的目的与公开个人信息的目的相关联,并且处理的目的同时符合信息主体的主观期待和社会公众的客观期待。