Tag: legal basis

  • 依靠“隐私政策”弹窗可以满足合规要求吗?

    依靠“隐私政策”弹窗可以满足合规要求吗?

    依靠“隐私政策”弹窗可以满足合规要求吗? 目前绝大部分App通过在用户首次打开App时以弹窗形式展示用户协议和隐私政策(或者个人信息保护政策),依靠用户勾选的方式履行告知义务和取得同意义务。《个人信息保护法》(《个保法》)规定了除同意以外的其他合法性基础以及有效同意的构成要件,但是目前大多数隐私政策在《个保法》生效后,对于个人信息处理告知内容和形式,仍然未出现突破性的变化。 勾选隐私政策,构成有效同意吗?可以满足合规要求吗? 要彻底搞清这个问题,本文认为需要对隐私政策和同意的性质和法律意义作深入探究,因此通过梳理不同学者的研究,学习与思考,然后再尝试提出隐私政策在内容和形式层面的一点建议:应将不同合法性基础所进行的个人信息处理活动分别列明,并结合不同的用户交互设计充分履行告知义务;将基于同意而进行的数据处理单独列出以取得同意,实现真正的充分知情,自愿明确。 一、同意的定义和性质? 除了我国台湾地区“个人资料保护法”明确将同意界定为“意思表示”。大多数国家和地区的个人信息保护法律,包括我国相关法律法规基本上并没有界定什么是个人同意,而只是规定了同意的要件。 在我国个人信息保护法的起草过程中,在一审稿第14条第1款第1句曾规定:“处理个人信息的同意,应当由个人在充分知情的前提下,自愿、明确作出意思表示。” 二审稿则删除了“意思表示”一词,该条第1款第1句被修改为:“处理个人信息的同意,应当由个人在充分知情的前提下自愿、明确作出。” 正式颁布的《个保法》第14条第1款第1句则规定:“基于个人同意处理个人信息的,该同意应当由个人在充分知情的前提下自愿、明确作出。” 因此,我国《个保法》未将“同意”规定为“意思表示”,但究竟同意的含义是什么呢? 1、为什么个人同意的性质不是意思表示? 根据程啸教授《论个人信息处理中的个人同意 》中的解释,个人对于个人信息处理者就其个人信息所要实施的处理活动而作出的同意,并非旨在发生民事法律后果的内心意思的外在表示,个人与个人信息处理者之间也没有就设立、变更、终止民事法律关系达成合意,即,个人作出的同意不是意思表示。 如果将个人同意的性质理解为意思表示,将导致民法中关于意思表示的法律规则被错误地适用于个人信息处理活动当中。 这一方面,会混淆民事行为能力与同意能力。个人信息处理中个人同意的年龄不同于民事行为能力的年龄规定,这是因为个人信息处理活动不是一种交易行为,而是对个人信息进行收集、存储、加工、使用、提供等活动的事实行为,不能将适用于交易行为的民事行为能力套用在个人信息处理。另外,个人信息处理中的个人同意的有效性还受到个人信息保护法中其他规定的制约,尤其是个人信息处理者是否充分地履行了告知义务。如果未充分告知,即使有个人同意,则仍然是无效的同意。 另一方面,会错误地将意思表示的撤销和撤回适用于个人信息处理中的个人同意。民法上关于意思表示的撤回、撤销以及撤销权的除斥期间的规定,都不能适用于个人信息处理中的个人同意。只要是基于个人同意处理个人信息的,个人有权随时撤回同意。试想如果一旦个人作出了同意,就不能撤回或者很难撤回,那么个人的同意就不可能是真正的同意,其对个人信息的处理就没有真正的决定权,无法充分地维护人格尊严和人身自由的。另外,就法律行为的撤销而言,撤销权的行使具有溯及力。但是,在个人信息处理中的个人撤回同意则不具有溯及力。由于处理者必须随时做好个人会撤回同意的准备,所以为了实现个人信息权益的维护与个人信息的合理使用之间的利益平衡,法律上必须作出这样的规定,这也是诚信原则与公平原则的要求。 2、个人同意的性质是什么? 程啸教授认为,自然人享有个人信息权益意味着,其他组织或个人应尊重而不得侵犯该权益,承认自然人的个人信息权益就必然导致对他人行为自由的限制。处理者对个人信息进行的任何处理行为(无论是收集、存储、使用,还是加工、传输、提供、公开等),客观上就构成对个人信息权益空间的侵入或干扰,违反了法秩序,具有(暂时认定的)非法性。要排除这种非法性,就必须具备法律上的正当性。在个人信息保护法上,此种正当性要么来自于个人的同意,要么来自于法律、行政法规的规定即法定的许可。  在消极的层面上,个人同意属于违法阻却事由即免责事由,排除行为的违法性(或过错)而使得行为人无需承担侵权责任,如同意(《民法典》第1219条、第1036 条)、自助行为、紧急避险、正当防卫; 在积极的层面上,个人同意是个人信息处理活动的合法根据或正当理由之一。个人信息处理中的个人同意为个人信息处理行为提供了合法根据,排除了该行为的非法性,从而使得处理行为具有合法基础,不构成对个人信息权益的侵害行为。 《民法典》第1036条  处理个人信息,有下列情形之一的,行为人不承担民事责任: (一)在该自然人或者其监护人同意的范围内合理实施的行为; (二)合理处理该自然人自行公开的或者其他已经合法公开的信息,但是该自然人明确拒绝或者处理该信息侵害其重大利益的除外; (三)为维护公共利益或者该自然人合法权益,合理实施的其他行为。 《民法典》第1219条  医务人员在诊疗活动中应当向患者说明病情和医疗措施。需要实施手术、特殊检查、特殊治疗的,医务人员应当及时向患者具体说明医疗风险、替代医疗方案等情况,并取得其明确同意;不能或者不宜向患者说明的,应当向患者的近亲属说明,并取得其明确同意。 医务人员未尽到前款义务,造成患者损害的,医疗机构应当承担赔偿责任。 在常鹏翱教授《对准法律行为的体系化解读》中认为,患者同意应归准法律行为,理由主要是: 第一,它在构成上要求患者书面同意医疗机构的诊疗活动,表明患者有接受诊疗活动的意愿,这并非效果意思; 第二,它的法律效果是排除诊疗活动的违法性,与权利变动无关; 第三,这种法律效果的发生是法律所规定的,即在患者同意的前提下,只要医疗机构尽到了相应的审慎诊疗义务,就无需对患者因诊疗活动而产生的损害承担赔偿责任,即便患者同意的真实意思并不在排除诊疗活动的违法性,或患者并无不追究医疗机构损害赔偿责任的意思,也不影响该法律效果。与此不同,在医疗损害发生后,患者放弃损害赔偿请求权的行为是法律行为,因为它产生权利消灭的效果,而该效果又完全取决于患者的意思表示。 把患者同意应归准法律行为,前提需要认可常鹏翱教授对准法律行为作出的定义,准法律行为是指对外表示内心状态,但效果由法律直接规定的行为,可以简化为“表示行为+效果法定”的法律规范,表示行为是其构成要素,但法律效果完全由法律规定。 法律行为的制度功能旨在实现自由意志,其内在逻辑是通过表示行为来引起特定效果的效果意思,因而效果意思是法律行为最为根本的特质。准法律行为有表示意思,却没有效果意思,表示行为的对象可以是某种意愿,也可以是对某种事实情况的认知,还可能是某种情感态度或立场,但是准法律行为的表示对象绝非效果意思。 因此,金震华、吕伟欣律师在《隐私政策可诉吗?》中结合以上理论,认为个人同意作为信息处理者免责事由的同时,是一种准法律行为: (1)在构成上个人同意个人信息处理者的处理活动,表明个人有被处理个人信息的意愿,但这个意愿并非效果意思,即不构成意思表示; (2)在法律效果上通过个人的表示行为排除了个人信息处理者的违法性,且与权利变动无关; (3)该等表示行为的法律效果的发生是由《民法典》、《个人信息保护法》等法律直接规定的。 二、目前隐私政策的法律意义是什么? 首先,同意隐私政策不构成合同关系。 一般而言,合同成立的典型方式是要约和承诺方式。要约是希望与他人订立合同的意思表示,承诺是受要约人同意要约的意思表示。 金震华、吕伟欣律师基于“表示行为+效果法定”的法律规范,认为隐私政策尽管不存在个人信息处理者表达自由意志的空间,但毕竟存在依照法律要求表达希望处理个人信息的诉求,这种意思应属于表示意思,同时该等表示意思需通过隐私政策发布的表示行为来落实,且该隐私政策的法律后果取得个人同意后可处理个人的信息系由《个保法》直接规定,因此符合准法律行为的构成要件。隐私政策发布的表示行为没有效果意思,不能构成意思表示,即不构成要约。 如上文所述,个人“同意”亦不构成意思表示,不能构成合同成立中的承诺,因此,个人就处理其个人信息表示同意,两者之间不能构成合同关系。 值得注意的是,如果仅仅为订立、履行个人作为一方当事人的合同所必需而处理个人信息的情况,本文认为仅同意隐私政策也不应该表示个人对整体合同(用户协议)的成立的意思表示,隐私政策可构成合同内容(用户协议)约定的一部分,可类比技术服务合同里的服务标准。 其次,隐私政策最大程度的功效是个人信息处理者遵循透明性原则,履行《个保法》规定的告知义务。 但目前隐私政策的内容和展现方式,无法满足《个保法》第17条著方式、清晰易懂的语言真实、准确、完整的标准,也更无法表明用户是在充分知情的前提下自愿、明确作出的同意。个人信息处理者必须充分地告知,从而确保个人是在充分知情的前提下而作出同意的。如果,个人在完全不知情或不充分知情的情况下所作出的同意,则是无效的。 例如,在内容层面,目前的隐私政策包含个人信息处理的全部基本情况。一般从如何收集和使用个人信息开始,其中一小节说明不需要取得同意的情形。对于突发卫生事件、为公共利益实施新闻报道或者处理合法公开的个人信息,由于其本身的不确定性,确也无法说明个人信息处理的情况。而对于为订立或者履行合同所必需,或者基于法定义务而进行的个人信息处理情况,却未单独说明。个人并无法清晰理解哪些个人信息处理是为履行合同所必需或者履行法定义务而展开的。最终,用户读完也并不清楚哪些个人信息处理是不需要取得自己的同意的。 另外,从形式上,隐私政策采用一次性告知,用户因为内容的冗长繁琐且没有可选择的余地而放弃阅读隐私政策。另外,即使目前仅仅使用基础功能,也要同意APP未来个人信息的处理活动。在后续具体的业务场景中个人信息处理涉及收集更多个人信息、敏感个人信息或对个人权益可能产生显著影响的处理活动,未再次告知用户,或者通过更新隐私政策增加个人信息处理目的,未将变动部分单独加强告知个人。 三、隐私政策的内容和形式的一点建议 本文认为隐私政策应作为个人信息处理情况告知书,如果个人信息处理包括除同意以外的合法性基础,则不应该通过用户勾选隐私政策获取同意。一般而言,个人信息处理者处理个人信息的法律基础可能有多种,因此应将不同合法性基础所进行的个人信息处理活动分别列明,并结合不同的用户交互设计充分履行告知义务。例如,为履行法律义务处理了哪些个人信息、为履行合同所必需处理哪些个人信息。对于基于非同意法律基础处理个人信息时,隐私政策或者隐私通知文案,应该是“我已阅读或者我已知晓”,而不是“我同意”。 将基于同意而进行的数据处理单独列出以取得同意,实现真正的充分知情,自愿明确。对于需要取得《个保法》要求单独同意的情形,则需要、在处理前单独弹窗或者其他形式取得同意;处理活动涉及敏感个人信息,或对个人权益可能产生显著影响的,还需要再次告知并取得用户单独同意。 合规要求与业务需求并不绝对是鱼和熊掌不可兼得,创造性设计合规的交互页面是我们必须要走的道路。 数据合规与治理  2022-02-18 02:46 #个人信息保护法…

  • Can “Privacy Policy” Pop-Ups Satisfy Compliance?

    Can “Privacy Policy” Pop-Ups Satisfy Compliance?

    Will Relying on “Privacy Policy” Pop-Ups Satisfy Compliance? At present, most apps display the user agreement and privacy policy (or personal information protection policy) in the form of a pop-up window when the user opens the app for the first time, relying on the way the user checks to fulfill the obligation of notification and…

  • 第三重“同意”该由谁取得以及同意与告知的关系探究

    第三重“同意”该由谁取得以及同意与告知的关系探究

    第三重“同意”该由谁取得以及同意与告知的关系探究 一、第三重“同意”中的单独同意该由谁取得? 上文《个人信息保护法生效后,“三重授权原则”还能继续适用吗?》讨论了“三重授权原则”的适用性。论述其中“三重授权”应该为“三重同意”,而对于第三重同意中的单独同意该由谁取得,未进行深入探讨。 即,当A公司向B公司提供用户个人信息,按照《个人信息保护法》(以下简称“个保法”)第23条,A公司应当向个人告知B公司的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意。此处的同意本文认为是第三重同意,但这里的同意是应由A公司取得还是B公司取得,在实践中存在不确定性。另外延伸出的问题是,如果A公司告知信息主体其要向B公司提供个人信息且取得单独同意后,B公司作为信息接收者是否还需要再取得同意,并告知信息主体? 对此,本文尝试分两种情形讨论,认为这取决于A机构是否是主动向B机构提供个人信息。 (1)如果A机构基于同意的合法性基础主动向B机构提供个人信息的,例如,A卖家取得单独同意并告知个人将其家庭地址提供给快递公司B,以完成送货上门服务,则B公司不需要再取得个人的单独同意,并告知个人。(这里假定卖家将个人家庭地址给物流公司不是履行买卖合同所必需;B公司也不是个保法中的“受托人”) (2)如果A机构是被动的或者说B机构是个人信息的需求方,B机构取得个人同意向A机构索取其个人信息(第三重同意)后,还在于A是否同意向B提供个人信息(即第二重同意),此时关键问题是A机构是否需要就向B机构提供个人信息的行为向个人取得单独同意(即第一重同意)?这在实践中是个非常棘手的问题。从理论上来讲,A机构为了向个人提供服务而收集并存储用户个人信息的法律依据是合法正当的,但并没有对外提供用户个人信息的合法性基础,即,如果不是基于合同或者法律义务等“非同意的合法性基础”需要向其他机构提供用户个人信息的,A机构就需要在向B机构提供个人信息前取得单独同意。这种单独同意显然不能在用户刚开始使用A机构的服务时,在隐私政策里面通过一揽子告知实现。 另外,事实上某些A类机构很难取得个人的单独同意。例如在电子支付链路中涉及很多不会直接面向用户的机构,电商平台接入很多家第三方支付服务,在支付过程会随机路由选择其中一家第三方支付机构传递支付请求,又通过银联和网联到达银行完成扣款,因此上述机构都合法存有大量个人消费记录信息。持牌征信机构则很需要这些交易信息以生成个人征信报告。如果要求上述机构都严格做到每次交易都要取得单独同意,例如,服务接口被吊起时弹窗取得单独同意。那么以现在的技术和管理手段来看,对于在线支付运行效率影响以及相应合规成本都是难以评估的,除非未来法律法规另有规定。 二、同意与告知的关系 根据个保法23条,对外提供个人信息需要告知个人,并取得单独同意。似乎同意和告知是需要同步进行的,取得同意必须同时告知,但在很多情形下需要告知个人,并不总需要取得同意;然后也有既无须同意,也无须告知的情形。 首先,基于个人同意的个人信息处理活动,个人信息处理者都需要履行告知义务,再取得个人同意或者单独同意后才能实施个人信息处理活动。 非基于同意而处理个人信息,仍需要按照个保法第17条告知个人。一是,满足个人信息处理透明性原则;二是,保障个人的知情权。知情权是保护个人人格权与财产权的前提,因此除非涉及重大公共利益或者国家利益,个人信息处理者都应该履行告知义务。 其次,既无须同意,也无须告知的情形在个保法第18条和第35条予以规定。 第十八条 个人信息处理者处理个人信息,有法律、行政法规规定应当保密或者不需要告知的情形的,可以不向个人告知前条第一款规定的事项。  紧急情况下为保护自然人的生命健康和财产安全无法及时向个人告知的,个人信息处理者应当在紧急情况消除后及时告知。  第三十五条 国家机关为履行法定职责处理个人信息,应当依照本法规定履行告知义务;有本法第十八条第一款规定的情形,或者告知将妨碍国家机关履行法定职责的除外。  总结来看,既无须同意,也无须告知的情形: (1)法律、行政法规规定应当保密或者告知个人将妨碍国家机关履行法定职责的情形法律、行政法规规定应当保密的情形,根据一般理解是指基于侦查犯罪、反恐怖主义等维护公共安全、 国家安全等社会公共利益和国家利益的考虑,而由法律、行政法规规定的个人信息处理者需要保密的情形。例如,《保守国家秘密法》《反恐怖主义法》《反间谍法》《国家情报法》等。 而告知个人将妨碍国家机关履行法定职责的情形,是指如果在处理个人信息前告知个人,国家机关将无法履行法定职责。不得不说,这里仍然是模糊的,需要根据实际情况确定是否使得国家机关无法履行法定职责以及比例原则,谨慎排除个人的知情权。 (2)不需要告知的情形 信息主体已经知悉需要告知的信息,让我们再次回到上文的例子: 情形一:如果A机构基于同意的合法性基础主动向B机构提供个人信息的,当A机构已经告知个人并取得同意,则B机构作为个人信息接受者无须再行告知。 情形二:如果A机构是被动的或者说B机构是个人信息的需求方,B取得个人同意向A机构索取其个人信息(第三重同意)后,还在于A是否同意向B提供个人信息(即第二重同意),此时A机构是否需要就向B机构提供个人信息的行为向个人取得单独同意,并告知个人呢?本文倾向于认为,B机构取得个人同意向A机构索取其个人信息,如果能够认定为个人信息主体已经知悉需要告知的信息,即A机构向B机构提供的信息类型和目的,那么A机构不需要再取得单独同意,也无需再告知个人。 处理已经合法公开的个人信息 如果要求处理已经公开的个人信息也逐一告知并取得同意,不仅难以实现,也不利于个人信息合法利用。但是,个人信息处理者必须在“合理的范围”内处理已经合法公开的信息,才免除告知义务。对于非法公开的息,或者合法公开但是处理超出合理范围的情形,个人信息处理者仍有告知义务。至于在实践中如何把握“合理的范围”可以考虑个人信息处理的目的与公开个人信息目的是否一致兼容,并且同时符合信息主体的主观期待和社会公众的客观期待。 三、 为公共利益实施新闻报道、舆论监督等行为,个人有拒绝的机会吗? 第二十七条 个人信息处理者可以在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;个人明确拒绝的除外。个人信息处理者处理已公开的个人信息,对个人权益有重大影响的,应当依照本法规定取得个人同意。  个保法第27条,规定了如果个人明确拒绝处理其自行公开或者合法公开的个人信息,个人信息处理者不能擅自处理,但是个人如何行使拒绝权利,尚需要讨论。在此本文结合个保法第13条第5款【为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息】,稍作分析。 新闻报道或者舆论监督曝光的内容既可能是合法公开的个人信息,也可能是未公开的个人信息。如果是合法公开的个人信息,为了新闻报道或者舆论监督在合理范围内公开披露则无需取得个人的同意,似乎也无须告知,因为如果对当事人不利的情形,告知当事人似乎是不合逻辑的,谁会同意呢?在这种场景下,似乎个人没有拒绝的机会,除非在各种公开个人信息的场景都注释声明【未经允许,不得挪作他用】。但当公共利益占上风的时候,个人利益则会被挤压,声明似乎也是无用的;如果是非公开的个人信息,则个人信息处理者为新闻报道或者舆论监督曝光的目的需要着重考虑是否是在“合理范围”内处理个人信息。 欢迎讨论,不吝赐教。 数据合规与治理  2022-01-14 17:00 #个人信息 #保护法 #告知 #同意

  • Who Should Obtain the Third “Consent”?

    Who Should Obtain the Third “Consent”?

    Who should obtain the third “consent” and the relationship between consent and notification. 1. Who should obtain the separate consent in the third “consent”? After the “Personal Information Protection Law” above takes effect, can the “triple authorization principle” continue to apply? “discusses the applicability of the “triple authorization principle”. It discusses that “triple authorization” should…

  • 个人信息保护法生效后,“三重授权原则”还能继续适用吗?

    个人信息保护法生效后,“三重授权原则”还能继续适用吗?

    个人信息保护法生效后,“三重授权原则”还能继续适用吗? 一、三重授权原则的来由 2016年,在新浪微博诉脉脉案中,“三重授权原则”首次被二审法院提出【北京淘友天下技术有限公司等与北京微梦创科网络技术有限公司不正当竞争纠纷二审民事判决,(2016) 京73民终588号】。在该案中,新浪微博主张脉脉的下述行为不当: (1)未经新浪授权获取微博用户的职业、教育信息。脉脉通过新浪微博提供的OpenAPI获取新浪微博用户的数据。根据双方间的《开发者协议》,脉脉获得的是普通级别权限,只能获得用户ID、头像等数据,无权获得用户职业、教育信息。但由于新浪微博的技术缺陷,只拥有普通级别权限的脉脉通过其获取的接口同样也获得了用户职业和教育信息。 (2)在新浪终止脉脉的API端口,终止双方合作协议后,脉脉违反《开发者协议》,仍使用之前获得的微博用户数据。 (3)未经新浪同意,绕过API获取了非脉脉用户的新浪微博数据。 (4)将获得的非脉脉用户,与脉脉用户手机通讯录中的联系人关联,导致非脉脉用户的微博信息展示在脉脉用户的脉脉软件联系人中。 法院认为脉脉的两项行为构成不正当竞争:一是获取、使用新浪微博用户信息的行为;二是获取、使用脉脉用户手机通讯录联系人与新浪微博用户对应关系的行为。 法院的主要理由是:脉脉的信息获取、使用行为违反了双方间的《开发者协议》,未经新浪微博授权,或未经非脉脉用户同意,损害了消费者知情权等,且对公平竞争秩序构成了损害。同时,二审法院在裁判中提出企业获取数据应遵循“三重授权原则”,即互联网企业在OpenAPI合作开发时,应事先取得用户的同意再收集、利用相关信息。第三方应用基于OpenAPI合作模式利用用户信息时,除应取得网络平台提供方同意外还应再次取得用户同意。 随后的几年,“三重授权原则”成为企业数据获取民事纠纷审判的重要依据。 新浪微博诉脉脉案被评为“2016年度北京市法院知识产权司法保护十大典型案例”,这表明司法系统对“三重授权原则”的认可。 在淘宝诉美景案【淘宝(中国)软件有限公司与安徽美景信息科技有限公司不正当竞争纠纷一审民事判决书(2017)浙8601民初4034号】中,法院重申了网络运营者通过其他平台收集使用网络用户的信息受到“三重授权原则”的规制:【一审法院认为,依照网络安全法第四十二条规定的规定,“生意参谋”数据产品使用其他网络运营者收集的用户信息,不仅应获得其他网络运营者的授权同意,还应获得该信息提供者的授权同意,即作为第三方的淘宝公司使用天猫网用户信息,受“用户授权网络运营者+网络运营者授权第三方+用户授权第三方”的三重授权许可使用规则限制。】 2019年,在腾讯与今日头条纠纷的裁定书【天津市滨海新区人民法院(2019)津0116民初2091号民事裁定书】中,法院认为“三重授权原则已成为开放平台领域网络经营者应当遵守的商业道德”。 但,是否“三重授权原则”可以成为企业间获取数据的通用原则呢?尤其是在《个人信息保护法》生效后,在同意不再是唯一的合法性基础的情况下,“三重授权”是否总是合法正当的?适用的空间如何? 二、还能继续适用吗? 其实无论是在理论层面还是在实践中,对于“三重授权原则”的合法正当性和适用场景质疑不乏。 首先,对“授权”的质疑。在数据权属尚无定论的情况下,各方并没有“授权”的法定权利基础。《民法典》《个人信息保护法》并没有赋予个人—个人信息权,而是个人享有个人信息权益,既有人格利益,也有财产利益。 而对于企业所持有的个人信息数据,在法律尚未确认的情况下,法院不予支持企业的数据财产权。在淘宝诉美景案中,法院对于淘宝公司诉称其对涉案“生意参谋”数据产品享有竞争性财产权益的诉讼主张,予以了支持。法院认定的具有“竞争性财产权益”的对象是【“生意参谋”:使用的网络用户信息经过匿名化脱敏处理后已无法识别特定个人且不能复原,公开“生意参谋”数据产品数据内容,对网络用户信息提供者不会产生不利影响】的数据产品。 可见即使是匿名化脱敏处理后已无法识别特定个人且不能复原的数据产品,对于淘宝公司诉称其对涉案“生意参谋”数据产品享有财产所有权的诉讼主张,法院也没有予以确认,认为,财产所有权作为一项绝对权利,如果赋予网络运营者享有网络大数据产品财产所有权,则意味不特定多数人将因此承担相应的义务。是否赋予网络运营者享有网络大数据产品财产所有权,事关民事法律制度的确定,限于我国法律目前对于数据产品的权利保护尚未作出具体规定,基于“物权法定”原则,故对淘宝公司该项诉讼主张不予确认。 而新浪微博诉脉脉案法官在审判之后发表的文章中【张玲玲、田芬:《涉及用户数据信息商业利用的竞争行为是否属于正当的司法判断———评上诉人淘友技术公司、淘友科技公司与被上诉人微梦公司不正当竞争纠纷案》】将“三重授权原则”的表述改为了“三重同意原则”:【第三方应用通过开放平台例如Open API 模式获取用户信息时应坚持“三重同意原则”,以“用户同意”+“平台同意”+“用户同意” 的三重同意为原则,保护用户权益,维护互联网络的公平竞争秩序,实现数据经济的合作共赢。】 其次,是对适用场景的质疑,即,是否总需要三方“同意”?个人信息保护法规定了六项合法性基础,同意只是其中一种。是否需要取得用户的同意,需要依据具体的场景来判断。而三重“同意”中的用户同意只适用于基于同意处理个人信息的情形。 《个人信息保护法》第十三条符合下列情形之一的,个人信息处理者方可处理个人信息: (一)取得个人的同意; (二)为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需; (三)为履行法定职责或者法定义务所必需; (四)为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需; (五)为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息; (六)依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息; (七)法律、行政法规规定的其他情形。 (个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等) 其一,对于“第一重同意”,主要涉及个人信息的收集和使用。个人信息的源头是个人信息主体,即个人用户。收集是个人信息处理的第一步,收集的合法性基础可以是上述合法性基础的任何一种。例如,A公司在取得用户的个人同意后收集、存储并使用其个人信息;或者基于合同,个人作为一方当事人,B机构为了履行合同所必需而收集存储并使用其个人信息;或者C机构基于法定义务或者法定职责收集和加工个人信息。 其二,对于“第二重和第三重同意”,涉及企业间个人信息的提供。提供行为的合法性基础也可以是上述合法性基础的任何一种。 例如,A公司向B公司提供用户个人信息,按照个人信息保护法第23条,A公司应当向个人告知B公司的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意。此处的同意本文认为是第三重同意,但这里的第三重同意是应由A公司取得还是B公司取得,在实践中存在不确定性,理论层面有待深入研究。但关键是只有当此处的提供行为的合法性基础是同意的情形下,才需要取得单独同意。一般情况下前半句的告知义务是必须的,但法律规定要求保密的除外。 以下分情况举例: 不需要个人同意的情形:例如A公司为履行合同所必需向C公司提供个人信息,则无需第三重同意。 既不需要A公司也不需要个人同意的情形:A基于法定义务向D机构提供个人信息的,则无需第二重和第三重同意。 因此,“三重同意”根据个人信息处理的不同场景,不同合法性基础,可能在任何个人信息处理的环节都不需要“同意”。而在合规实践中厘清个人信息处理合法性基础的重要性可见一斑。 数据合规与治理 2021-12-15, 01:42 #个人信息保护法 #三重授权原则

  • Can the “Triple Authorization Principle” Continue to Apply?

    Can the “Triple Authorization Principle” Continue to Apply?

    After the personal information protection law takes effect, can the “triple authorization principle” continue to apply? 1. The origin of the triple authorization principle In 2016, in the case of Sina Weibo v. Maimai, the “triple authorization principle” was raised by the court of second instance for the first time. (2016) Beijing 73 Minzhong No.…

  • 《个人信息保护法》下合法性基础的适用探析

    《个人信息保护法》下合法性基础的适用探析

    《个人信息保护法》(个保法)第13条规定了6项确定的个人信息处理的合法性基础: 个保法马上要生效,但如何落地适用到各种复杂的业务场景,充满未知。每项合法性基础适用的判断依据,需要在司法和合规实践中不断沉淀和归纳。在个保法之前的法律法规中,个人信息处理的合法性基础往往是不清晰的,如何适用个保法以保护个人信息权益,面临上位法与特别法的协调以及新旧法律法规之间的衔接问题,甚至不同部门之间监管利益博弈的情况。本文尝试提出一些问题并初步探索适用合法性基础的依据以及它们之间的适用关系。 需要回答的难题有很多,本文首先集中探究以下问题: 一、为什么要选择适当的合法性基础? 众所周知,个保法无论是从体例还是条文从GDPR借鉴很多。除合法利益(Legitimate Interest)以外,GDPR也有类似的几项合法性基础或者法律依据作为数据控制者处理个人数据的依据。在GDPR项下,选择适当的合法性基础进行数据处理非常重要: 首先,一项个人数据处理只能有一个合法性基础,而且在处理开始之前必须确定。数据控制者不能在处理个人数据后确立合法性基础,期间也不能交替适用合法性基础。 其次,无论选择何种法律依据,数据控制者都必须在任何时候都能够向数据主体和监管机构,出示适用某个合法性基础的决策依据和过程记录。例如,能够展示数据主体何时以及如何同意的,或为履行合同数据处理的必要性。 再次,个人数据处理的合法性基础对数据控制者响应数据主体权利请求的方式有重大影响,因为不同的合法性基础,其适用的条件、例外和限制都不同。选择法律依据取决于数据处理的目的、数据类型,以及数据控制者与数据主体的关系。如果选择错误的合法性基础,则可能导致数据处理不合法、对数据主体权利请求的响应不能、数据处理的组织和技术控制不到位等问题,进而影响个人的基本权利和自由。 因此,我国个保法中合法性基础选择适用的重要性不言而喻,个人信息处理者应该在处理之前确定合法性基础,或者梳理现有业务的合法性基础。适用错误的合法性基础,首先存在合法性问题,其次是无法满足某些合法性基础的适用条件。例如,本应该基于履行合同所必需处理个人信息而错误依据同意,但后期无法满足个人撤销同意的请求。而且如果基于同意,在法律规定需要取得个人单独同意的场景,个人信息处理者反而要遵守更多的法律义务。因此,在处理个人信息之前就厘清应该依据的合法性基础极为重要。 二、如何选择合适的合法性基础? GDPR第5(1)(a)条规定,个人数据的处理要遵循合法、公平和透明原则。这不仅适用于个人数据处理,也适用于合法性基础的选择适用。遵循原则意味着承认数据主体的合理期待,考虑数据处理可能个人权益产生的不利后果,并考量数据主体与个人数据控制者之间的关系和不平衡的潜在影响。根据英国ICO关于合法性基础适用的指引,个人数据处理的合法性基础取决于数据处理特定目的和处理的场景。其中需要考虑的因素很多,例如: 另外,根据EDPB《在向数据主体提供在线服务的背景下根据GDPR第6(1)(b)条处理个人数据的指南(2/2019)》,在判断是否是“为了履行数据主体作为合同一方当事人的合同所必需的数据处理”时,要回答的问题: 我国个保法同样采用了合法、公平和透明原则。 第五条 处理个人信息应当遵循合法、正当、必要和诚信原则,不得通过误导、欺诈、胁迫等方式处理个人信息。  第七条 处理个人信息应当遵循公开、透明原则,公开个人信息处理规则,明示处理的目的、方式和范围。  本文认为,上述需考虑的因素和要回答的问题,我们都可以在选择适用合法性基础的过程中借鉴。 在决定是否采用“同意”作为合法性基础,至少要考虑以下问题: 在决定是否采用“为订立或履行合同所必需”作为合法性基础,至少要考虑以下问题: 实践中,不同合同类型依据业务场景和技术水平,为履行合同所必需处理的个人信息类型或者需要采取的处理手段都存在差异。值得注意的是,还需要考虑合同的有效性问题。 在确定处理员工个人信息是否满足“实施人力资源管理所必需”时,首先要回答: 进一步,判断人力资源管理所必需,至少还需要根据不同工种对于信息安全管理的严格程度,以及特殊行业和高级职位的行业监管要求。特别考虑用人单位与员工之间的不平等关系,避免基于同意处理员工个人信息。另外也要考虑到企业的法定义务,如给员工的缴纳社会保险,或者在《网络安全法》项下的网络安全保障义务。 三、不同合法性基础是否可以同时适用? 如前所述,在处理个人信息之前确定合法性基础极为重要,那么单一的个人信息处理行为是否可以基于两个或者两个以上的合法性基础呢? 在个保法出台之前的法律法规中,确实存在这种疑问。例如: 《征信业管理条例》第29条规定,从事信贷业务的机构应当按照规定向金融信用信息基础数据库提供信贷信息。 从事信贷业务的机构向金融信用信息基础数据库或者其他主体提供信贷信息,应当事先取得信息主体的书面同意,并适用本条例关于信息提供者的规定。 其中的问题在于,从事信贷业务的机构向金融信用信息基础数据库提供信贷信息的行为的合法性基础是法定义务还是信息主体的同意? 国家设立金融信用信息基础数据库,是为了防范金融风险、促进金融业发展提供相关信息服务,是基于公共利益需要而构建的国家金融基础设施。从事信贷业务的机构应当向金融信用信息基础数据库提供信贷信息,是在《征信业管理条例》明确规定的法定义务。但第29条第2款的规定,结合个保法需要斟酌理解。 按照第29条的要求,银行作为开展信贷业务,与个人签订借贷合同,银行基于法定义务需要将个人的信贷记录上报给金融信用信息基础数据库,在此之前需要取得个人的书面同意。然而这里的同意无法满足个保法要求的“同意”效果,即充分知情且自愿。个人不同意签署书面同意书,显然无法获得贷款。即使自愿,签署之后在借贷合同履行完毕之前,也无法撤销同意。可见,在这种场景下的合法性基础,只能是“法定义务”。 从事信贷业务的机构向其他主体提供信贷信息,按照个保法的要求应当事先取得信息主体的书面同意,因为一般履行借贷合同所必需的信息处理,不包括向其他主体提供信贷信息的对外提供行为。 因此,本文认为,一般情况下,其他合法性基础无法与“同意”同时作为一项信息处理行为的合法性基础。而“法定义务”可能会与“履行合同所必需”存在重叠的情况,例如非银支付机构在基于合同所必需处理个人信息的同时,又有遵守反洗钱的义务。 本文并未将所有的合法性基础适用依据逐一做细致的分析,在之后的文章中,笔者将带着疑问逐步探寻。 在此特别感谢与我探讨问题的师兄师姐。 #个人信息保护法 #合法性基础 张晓丽 数据合规与治理 2021-10-18 17:00

  • Exploring the Legitimate Basis and Applicability of Personal Information Protection Law

    Exploring the Legitimate Basis and Applicability of Personal Information Protection Law

    The Personal Information Protection Law (PIPL) stipulates six definitive legal bases for the processing of personal information in Article 13: 1. Obtaining the consent of the individual; 2. Necessary for the conclusion and performance of a contract to which the individual is a party, or necessary for the implementation of human resource management according to…