【条文主旨】
本条是关于向境外提供个人信息应告知的事项和取得个人单独同意的规定。
【条文理解】
随着经济全球化和网络科技的高速发展,个人信息的跨境流动日益频繁。由于不同国家或地区的个人信息保护法律制度、保护水平和程度存在差异,使得个人信息跨境风险问题更加复杂。个人信息主体在此种情形下,其合法权益更有可能受到损害,因此必须对其进行充分、有效的提示。为此,本法对跨境提供个人信息的“告知—同意”作出了更严格的要求,旨在切实保障个人的知情权与决定权。本条与第38条共同构成了跨境提供个人信息的核心条款,有所不同的是第38条所规定的个人信息出境条件更侧重于满足国家监管要求,而第39条则是为维护个人信息权益,保障个人权益而需要个人信息处理者履行的义务。
一、告知的内容和告知的形式
(一)告知的内容
凡是需要取得个人同意的个人信息处理活动,处理者都需要履行向个人告知的义务,在取得个人同意后才能实施个人信息处理活动。[1]有效的同意意味着当事人必须知情,即请求当事人作出同意之时,应向其提供与之有关的全部必要信息;这种信息应包括数据处理的所有实质内容,否则有关的同意并不足以使这种数据的处理合法化。这涉及信息透明度的问题。虽然透明度本身不足以使数据处理合法化,然而,这是确保任何当事人能够对其自身的数据实现控制,并确保其作出有效同意的必要条件。本条在告知的内容上采取了“列举+兜底”的方式,包括“境外接收方的身份、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式”等事项。相较于一审稿、二审稿所规定的告知义务,《个人信息保护法》将告知“境外接收方的身份”修改为“境外接收方的名称或姓名”,进一步明确了告知的内容。
个人信息出境中的告知义务也要符合一般告知规则的要求。本法第17条是对个人信息处理前的告知形式、内容、方式的基本规定,而本条在此基础上,对个人信息跨境传输情形下的告知内容进一步作出特别规定。在个人信息出境前,相关个人信息处理者既需要遵守本条的告知内容要求,也需要遵守本法第17条所规定的告知形式,包括以显著方式、清晰易懂的语言真实、准确、完整地告知个人信息主体相关事项。
关于个人信息的告知同意问题,全国信息安全标准化技术委员会2020年1月20日发布了《信息安全技术个人信息告知同意指南(征求意见稿)》对此作出了专门指引,包括“告知同意的适用情形”“免于告知同意的情形”“告知同意的基本原则”“告知的内容、方式、展示、适当性”“同意的模式选择和机制设计、变更与撤回、证据留存”等,待该指南生效后可作为参考。
(二)告知的形式
本条对于“告知同意”所作出的核心要求为“单独同意”。单独的同意意味着“单独的告知”。以App收集使用个人信息的场景为例,此场景下个人信息处理者往往是通过用户勾选隐私政策的方式获取用户同意,在本法生效之前,
法律法规层面仅规定了个人信息出境情形下也需要取得“同意”,而未作“单独同意”的要求,App的隐私政策中的个人信息出境条款往往与其他个人信息处理的场景混合在一起,用户只要勾选了一个统一的同意选项,就意味着对全部的个人信息处理活动的“同意”,即所谓典型的“一揽子同意”,这种做法在此前较为普遍,而随着本法的出台,以“一揽子同意”的方式所取得的关于个人信息出境的同意将不再有效。在个人信息出境前,相关个人信息处理者必须通过单独的提示,比如App或网页的单独弹窗等方式,单独告知用户相关事项,用户单独同意后,其同意才是有效的。
二、单独同意
(一)同意在个人信息出境中的地位
一些国家或地区规定,同意与风险评估、订立标准合同等处于同一地位,均为个人信息出境的通道之一。如《澳大利亚昆士兰州信息隐私法》规定:信息处理者取得个人同意后,可以将个人信息移转至境外。
但根据本条规定,同意并非个人信息出境的独立通道,获得同意并不意味着个人信息处理者可以规避其他规定。个人信息处理者向境外提供个人信息的,在满足第38条规定的条件后,仍需依照本条规定取得信息主体的单独同意。换言之,信息处理者向境外提供个人信息的,既要满足本法第38条的规定,又要依照本条规定取得个人的单独同意。
(二)单独同意的内涵与形式要求
单独同意,是指个人信息处理者要专门就个人信息出境这一具体事宜,以单独的、特定的、区别于其他个人信息处理事项的告知方式有效告知个人信息主体,并在此基础上取得个人对其个人信息出境的特定、明确的同意,总结而言,即“一个处理行为+一个告知+一个同意”。
对于单独同意的形式要求,以及单独同意与书面同意之间的异同关系问题,两者的共性在于其都是本法对特定的个人信息处理情形下同意形式所作的特别严格要求。结合本法第29条的规定内容来看,处理敏感个人信息应当取得个人的单独同意;法律、行政法规规定处理敏感个人信息应当取得书面同意的,从其规定。从文义解释上来看,“单独同意”与“书面同意”是交叉的关系,本法并未规定“单独同意”必须以书面形式作出,因而单独同意的形式可以包括书面、口头或者其他的形式。此外,从信息主体是否积极作为的角度来看,单独同意可以是明示同意也可以是默示同意。[3]
结合本法第14条、第22条、第23条的规定,当个人信息处理者的隐私规则发生变更、数据出境目的、范围、类型、数量发生较大变化、数据接收方发生变更或数据出境风险发生较大变化时,应重新取得个人信息主体的单独同意。
【条文适用】
一、关于告知的时间
一般情况下,个人信息处理者必须是在处理个人信息前向个人信息被处理的个人进行告知,而不能在已经实施了个人信息处理行为之后再告知个人。根据《个人信息保护法》第18条规定,在一些紧急情况下为保护个人的生命健康和财产安全无法及时告知的,信息处理者可以先行实施信息处理行为。当然,在紧急情况消除后,处理者仍然应当履行告知义务。
二、关于告知的语言要求
个人信息处理者应当以显著方式、清晰易懂的语言真实、准确、完整地向个人进行告知。如果处理者通过一些难以理解的专业术语进行告知,个人很难预测信息处理行为会对自己权益造成何种影响,因此难以作出自由的决定。显著方式是指以一般人容易辨识并能够理解处理者告知内容的方式,而不能使用极小的字体、冗杂的文字等方式,让个人无法辨识处理者所告知的内容。清晰易懂的语言,意味着处理者应当以普通人能理解的语言表述进行告知,能够使任何不具备个人信息处理专业知识的个人理解处理者所告知的内容。
三、关于无须告知同意的情形
个人信息处理者向境外提供个人信息的,原则上均要履行告知义务并取得个人同意。但根据《个人信息保护法》第18条第1款规定,个人信息处理者处理个人信息,有法律、行政法规规定应当保密或者不需要告知的情形的,可以不向个人告知。例如,根据《
国际刑事司法协助法》规定,外国可以向中国请求调查取证,其中调查取证的内容可能包括金融账户、行踪轨迹等个人信息,此时向境外提供这些信息时不宜向个人告知并取得个人同意,否则会有碍正常诉讼程序的进行。
四、关于获取单独同意的义务主体
在本法的立法过程中,有观点认为应当明确履行告知义务和获取单独同意的主体。从本条文义来看,该义务应当是由提供个人信息的处理者承担。应注意的是,此前在司法实践中,“新浪微博诉脉脉软件不正当竞争案”[4]确立了个人信息共享情形下的“三重授权原则”,即不仅是个人信息提供者要获取个人的同意,接收者也要获取个人的同意,而且接收者同时还要获取提供者的同意。显然,该规则最大程度地保护了个人信息主体的权益,但也因此对个人信息的流通与利用设置了过多的障碍,不利于个人信息资源的充分开发与利用。因而,在司法裁判中,建议放弃前述的三重授权原则,而采用本条的“告知与单独同意”模式作为个人信息流通的合法性基础,并将告知与获取同意的义务交由个人信息提供者来承担。个人信息提供者在获取了个人的单独同意并符合本法规定的其他后,就可以向境外提供个人信息。
五、关于告知的对象和作出单独同意的主体
信息处理者想要进行个人信息出境的,其必须告知“个人”并取得其单独同意。此处的“个人”一般指信息主体,特殊情形下,如果涉及不满14周岁未成年人个人信息的,信息处理者应当取得未成年人监护人的同意。当然,为保证监护人同意是在充分知情的前提下,合理考虑信息出境对未成年人权益造成的影响后作出的,信息处理者告知的对象也应当是未成年人的监护人。