【条文主旨】
本条是关于个人信息处理者提供个人信息的规定。
【条文理解】
根据本法第4条第2款“个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等”以及《
民法典》第1035条第2款“个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等”的规定,提供个人信息是处理个人信息的一种方式。个人信息具有可复制性,可以由一个信息处理者转移至另外的信息处理者,并由不同的信息处理者分别按照自己的方式和目的进行处理。《个人信息保护法》并未对“提供个人信息”进行定义,有观点认为,提供个人信息包括两种情形:一是个人信息的共享,即处理个人信息的信息处理者将其处理的个人信息提供给另外的个人信息处理者,提供方和接收方分别按照自己的处理目的和方式对个人信息进行处理;二是个人信息的转让,即处理个人信息的信息处理者将其处理的个人信息提供给另外的个人信息处理者后,仅由接收方对个人信息进行处理,前者不再处理个人信息。大数据时代,允许个人信息的共享或转移有利于对个人信息进行深入的开发与利用。提供个人信息,尤其是个人信息的共享是个人信息再利用的方式,有利于防止个人信息的垄断,实现个人信息的合理利用,推动网络信息科技和数字经济的发展。[1]
本条所指提供个人信息,是指发生在两个以上个人信息处理者之间的处理活动。根据本法第73条规定,个人信息处理者是指在个人信息处理活动中自主决定处理目的、处理方式的组织、个人,也就是说提供个人信息和接收个人信息的主体都是自主决定处理目的、处理方式的组织、个人。这是提供个人信息与共同处理个人信息(本法第20条)、委托处理个人信息(本法第21条)的区别所在。根据本法第20条规定,共同处理个人信息是指两个以上的个人信息处理者共同决定个人信息的处理目的和处理方式。在共同处理个人信息的活动中,也可能发生个人信息从一个主体转移至另一个主体的情况,相对于个人信息所对应的个人来说,这两个实体的处理行为具有整体性。因此,在共同处理个人信息过程中发生的个人信息的移转并不是本条所规定的“提供个人信息”。共同处理个人信息的信息处理者在处理个人信息前应当按照本法第17条的规定履行告知义务,将共同处理个人信息的各个处理者的名称或者姓名告知个人。根据本法第21条规定,委托处理个人信息是指个人信息处理者委托受托人处理个人信息,受托人不能自主决定处理目的、处理方式,而是应当按照与个人信息处理者约定的目的、期限、处理方式、个人信息的种类、保护措施等处理个人信息,不得超出约定的处理目的、处理方式等。根据《民法典》关于委托合同的规定,委托合同是委托人和受托人约定,由受托人处理委托人事务的合同,受托人应当按照委托人的指示处理委托事务。在委托处理个人信息的活动中,同样可能发生个人信息从一个主体转移至另一个主体的情况,但由于受托人并非本法第73条所定义的“个人信息处理者”,因此在委托处理个人信息过程中发生的个人信息的移转并不是本条所规定的“提供个人信息”。委托处理个人信息应当按照本法第17条履行告知义务,同时,受托人应当根据本法第59条规定采取必要措施保障所处理的个人信息的安全,并协助个人信息处理者履行本法规定的义务。
提供个人信息应当履行告知义务。提供个人信息属于处理个人信息的一种,应当遵循公开、透明原则,确保个人对处理活动的知情权。根据本条以及结合本法第17条第1款规定,作为提供方的个人信息处理者应当取得个人的单独同意:提供方如果要将自己处理的个人信息向其他个人信息处理者提供,则应向个人告知:接收个人信息的个人信息处理者的姓名、联系方式、处理目的、处理方式和个人信息的种类,在取得个人对提供个人信息这一处理活动的单独同意后,方可将个人信息提供给接收方。提供个人信息应当告知的内容与第17条第1款规定的告知内容并不完全相同,按照本条规定,个人信息应当告知的内容包括:一是作为接收方的个人信息处理者的名称或者姓名、联系方式,便于个人能够清楚在权利受损害时向谁主张权利;二是接收方处理个人信息的目的、方式以及个人信息种类,以便于个人能够考量是否同意提供个人信息。本条是关于提供个人信息的特别规定,在提供个人信息这一处理活动中,应当按照本条规定的应当告知的内容来履行告知义务,而不是按照第17条第1款的规定。此外,本条虽然没有规定履行告知义务时的具体要求,但亦应当按照第17条第1款关于告知义务的具体要求来履行,即应当以显著方式、清晰易懂的语言真实、准确、完整地履行告知义务。除告知义务外,根据本法第55条规定,向其他个人信息处理者提供个人信息的,个人信息处理者应当事前进行个人信息保护影响评估,并对处理情况进行记录。
提供个人信息应当取得个人单独同意。本法明确了以“告知-同意”为核心的个人信息处理规则,处理个人信息应在事先充分告知的前提下取得个人同意或者符合法定条件。“告知-同意”是指在处理用户个人信息之前应当向用户告知其对个人信息的处理目的、规则等,并应征得用户明确同意。基于个人同意处理个人信息的,该同意应当由个人在充分知情的前提下自愿、明确作出,法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的,从其规定。我们认为,本法所规定的同意可以分为一般性的同意和单独同意。所谓单独同意,是指个人有针对性地、专门地就特定事项自愿作出明确同意,该同意是独立于其他个人信息处理行为及规则自由地作出同意。与单独同意相比,一般性的同意并不要求个人针对某特定事项单独作出同意的意思表示,比如以“一揽子”方式就数个事项取得同意或者以概括的方式取得同意。本法之所以要求对某些个人信息处理活动取得单独同意是因为这些处理活动或者所处理的个人信息对个人权益影响较大。就提供个人信息而言,个人信息在不同的个人信息处理者之间移转,处理个人信息的主体增多,这一过程中,个人信息被侵害的风险大大增加,一般性的同意难以有效提高个人对此项处理活动的重视程度,有必要以单独同意的方式提醒个人对此项处理活动进行重视;同时也对个人信息处理者设定更高门槛,防止个人信息处理者随意向其他个人信息处理者提供个人信息,降低个人信息被泄露、篡改或丢失的风险。
接收个人信息的个人信息处理者应当在告知范围内处理个人信息。提供个人信息的信息处理者应当在将所处理的个人信息转移给接收方之前向个人告知接收方的名称或者姓名、联系方式以及处理目的、处理方式和个人信息种类,接收方应当在上述处理目的、处理方式和个人信息的种类等范围内处理个人信息。接收方变更处理目的、方式的,应当重新取得同意。根据本法第14条规定,个人信息的处理目的、处理方式和处理的个人信息种类发生变更的,应当重新取得个人同意。法律之所以要求重新取得同意是因为个人信息的处理目的、处理方式和处理的个人信息种类对个人信息权益的影响较大,在发生变更时应重新取得个人的明确同意,以保证个人对处理目的、处理方式和处理的个人信息种类的知情权、决定权,同时也以这种方式防止个人信息处理者对处理目的、处理方式和处理的个人信息种类随意变更,降低信息处理者侵害个人信息权益的可能性。在提供个人信息这一处理活动中,由于提供方所提供的个人信息种类是确定的,如果提供方就所提供的个人信息种类进行变更,应当由提供方在提供个人信息之前征求个人单独同意。对接收方而言,其能够变更的主要是个人信息的处理目的、方式,因此与本法第14条相比,本条第三句并未对个人信息种类进行规定。按照本条第三句的规定,接收个人信息的个人信息处理者对处理目的、方式进行变更的,应当由接收方重新取得个人同意。
【条文适用】
实践中,提供个人信息的场景主要包括两个:一是经营者之间基于营利目的而提供个人信息;二是国家机关以及法律、法规授权的具有管理公共事务职能的组织为履行法定职责而提供个人信息。对于经营者之间基于商业考虑而提供个人信息的,应当注意保护个人合法权益与保障数字经济健康发展之间的平衡问题。对于国家机关以及法律、法规授权的具有管理公共事务职能的组织基于履行公共管理等职责的需求而提供个人信息的,应当注意两个问题:一是本条在体系上位于本法第二章第一节“一般规定”部分,根据本法第33条“国家机关处理个人信息的活动,适用本法;本节有特别规定的,适用本节规定”的规定,国家机关以及法律、法规授权的具有管理公共事务职能的组织基于履行公共管理等职责的需求而提供个人信息的也应当适用本条规定;二是由于提供个人信息属于处理个人信息的一种,在本条没有特别规定的情况下,提供个人信息应当遵守本法对于处理个人信息活动的其他规定,比如,根据本法第18条规定,个人信息处理者处理个人信息,有法律、行政法规规定应当保密或者不需要告知的情形的,可以不向个人告知第17条第1款规定的事项;再比如,根据本法第35条规定,国家机关为履行法定职责处理个人信息,应当依照本法规定履行告知义务;有本法第18条第1款规定的情形,或者告知将妨碍国家机关履行法定职责的除外,换言之,在有法律、行政法规规定应当保密或者不需要告知的情形的或者告知将妨碍国家机关履行法定职责的情况下,提供个人信息可以不向个人告知相关事项。
关于提供个人信息不需要取得个人同意的情形。根据本法第13条第2款“依照本法其他有关规定,处理个人信息应当取得个人同意,但是有前款第二项至第七项规定情形的,不需取得个人同意”的规定,在存在本法第13条第1款第2项至第7项规定的情形时,处理个人信息不需要取得个人同意。这些情形包括:为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;为履行法定职责或者法定义务所必需;为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;以及法律、行政法规规定的其他情形。在这些情形下,为了维护国家利益、公共利益以及他人合法权益,需要对个人信息权益进行必要的限制,法律允许个人信息处理者无须取得个人同意就实施处理个人信息的行为。提供个人信息属于处理个人信息的一种类型,当然适用第13条的规定,因此在上述情形下,个人信息处理者向其他个人信息处理者提供个人信息不需要取得个人同意。
