Tag: legal basis
-
依靠“隐私政策”弹窗可以满足合规要求吗?
依靠“隐私政策”弹窗可以满足合规要求吗? 目前绝大部分App通过在用户首次打开App时以弹窗形式展示用户协议和隐私政策(或者个人信息保护政策),依靠用户勾选的方式履行告知义务和取得同意义务。《个人信息保护法》(《个保法》)规定了除同意以外的其他合法性基础以及有效同意的构成要件,但是目前大多数隐私政策在《个保法》生效后,对于个人信息处理告知内容和形式,仍然未出现突破性的变化。 勾选隐私政策,构成有效同意吗?可以满足合规要求吗? 要彻底搞清这个问题,本文认为需要对隐私政策和同意的性质和法律意义作深入探究,因此通过梳理不同学者的研究,学习与思考,然后再尝试提出隐私政策在内容和形式层面的一点建议:应将不同合法性基础所进行的个人信息处理活动分别列明,并结合不同的用户交互设计充分履行告知义务;将基于同意而进行的数据处理单独列出以取得同意,实现真正的充分知情,自愿明确。 一、同意的定义和性质? 除了我国台湾地区“个人资料保护法”明确将同意界定为“意思表示”。大多数国家和地区的个人信息保护法律,包括我国相关法律法规基本上并没有界定什么是个人同意,而只是规定了同意的要件。 在我国个人信息保护法的起草过程中,在一审稿第14条第1款第1句曾规定:“处理个人信息的同意,应当由个人在充分知情的前提下,自愿、明确作出意思表示。” 二审稿则删除了“意思表示”一词,该条第1款第1句被修改为:“处理个人信息的同意,应当由个人在充分知情的前提下自愿、明确作出。” 正式颁布的《个保法》第14条第1款第1句则规定:“基于个人同意处理个人信息的,该同意应当由个人在充分知情的前提下自愿、明确作出。” 因此,我国《个保法》未将“同意”规定为“意思表示”,但究竟同意的含义是什么呢? 1、为什么个人同意的性质不是意思表示? 根据程啸教授《论个人信息处理中的个人同意 》中的解释,个人对于个人信息处理者就其个人信息所要实施的处理活动而作出的同意,并非旨在发生民事法律后果的内心意思的外在表示,个人与个人信息处理者之间也没有就设立、变更、终止民事法律关系达成合意,即,个人作出的同意不是意思表示。 如果将个人同意的性质理解为意思表示,将导致民法中关于意思表示的法律规则被错误地适用于个人信息处理活动当中。 这一方面,会混淆民事行为能力与同意能力。个人信息处理中个人同意的年龄不同于民事行为能力的年龄规定,这是因为个人信息处理活动不是一种交易行为,而是对个人信息进行收集、存储、加工、使用、提供等活动的事实行为,不能将适用于交易行为的民事行为能力套用在个人信息处理。另外,个人信息处理中的个人同意的有效性还受到个人信息保护法中其他规定的制约,尤其是个人信息处理者是否充分地履行了告知义务。如果未充分告知,即使有个人同意,则仍然是无效的同意。 另一方面,会错误地将意思表示的撤销和撤回适用于个人信息处理中的个人同意。民法上关于意思表示的撤回、撤销以及撤销权的除斥期间的规定,都不能适用于个人信息处理中的个人同意。只要是基于个人同意处理个人信息的,个人有权随时撤回同意。试想如果一旦个人作出了同意,就不能撤回或者很难撤回,那么个人的同意就不可能是真正的同意,其对个人信息的处理就没有真正的决定权,无法充分地维护人格尊严和人身自由的。另外,就法律行为的撤销而言,撤销权的行使具有溯及力。但是,在个人信息处理中的个人撤回同意则不具有溯及力。由于处理者必须随时做好个人会撤回同意的准备,所以为了实现个人信息权益的维护与个人信息的合理使用之间的利益平衡,法律上必须作出这样的规定,这也是诚信原则与公平原则的要求。 2、个人同意的性质是什么? 程啸教授认为,自然人享有个人信息权益意味着,其他组织或个人应尊重而不得侵犯该权益,承认自然人的个人信息权益就必然导致对他人行为自由的限制。处理者对个人信息进行的任何处理行为(无论是收集、存储、使用,还是加工、传输、提供、公开等),客观上就构成对个人信息权益空间的侵入或干扰,违反了法秩序,具有(暂时认定的)非法性。要排除这种非法性,就必须具备法律上的正当性。在个人信息保护法上,此种正当性要么来自于个人的同意,要么来自于法律、行政法规的规定即法定的许可。 在消极的层面上,个人同意属于违法阻却事由即免责事由,排除行为的违法性(或过错)而使得行为人无需承担侵权责任,如同意(《民法典》第1219条、第1036 条)、自助行为、紧急避险、正当防卫; 在积极的层面上,个人同意是个人信息处理活动的合法根据或正当理由之一。个人信息处理中的个人同意为个人信息处理行为提供了合法根据,排除了该行为的非法性,从而使得处理行为具有合法基础,不构成对个人信息权益的侵害行为。 《民法典》第1036条 处理个人信息,有下列情形之一的,行为人不承担民事责任: (一)在该自然人或者其监护人同意的范围内合理实施的行为; (二)合理处理该自然人自行公开的或者其他已经合法公开的信息,但是该自然人明确拒绝或者处理该信息侵害其重大利益的除外; (三)为维护公共利益或者该自然人合法权益,合理实施的其他行为。 《民法典》第1219条 医务人员在诊疗活动中应当向患者说明病情和医疗措施。需要实施手术、特殊检查、特殊治疗的,医务人员应当及时向患者具体说明医疗风险、替代医疗方案等情况,并取得其明确同意;不能或者不宜向患者说明的,应当向患者的近亲属说明,并取得其明确同意。 医务人员未尽到前款义务,造成患者损害的,医疗机构应当承担赔偿责任。 在常鹏翱教授《对准法律行为的体系化解读》中认为,患者同意应归准法律行为,理由主要是: 第一,它在构成上要求患者书面同意医疗机构的诊疗活动,表明患者有接受诊疗活动的意愿,这并非效果意思; 第二,它的法律效果是排除诊疗活动的违法性,与权利变动无关; 第三,这种法律效果的发生是法律所规定的,即在患者同意的前提下,只要医疗机构尽到了相应的审慎诊疗义务,就无需对患者因诊疗活动而产生的损害承担赔偿责任,即便患者同意的真实意思并不在排除诊疗活动的违法性,或患者并无不追究医疗机构损害赔偿责任的意思,也不影响该法律效果。与此不同,在医疗损害发生后,患者放弃损害赔偿请求权的行为是法律行为,因为它产生权利消灭的效果,而该效果又完全取决于患者的意思表示。 把患者同意应归准法律行为,前提需要认可常鹏翱教授对准法律行为作出的定义,准法律行为是指对外表示内心状态,但效果由法律直接规定的行为,可以简化为“表示行为+效果法定”的法律规范,表示行为是其构成要素,但法律效果完全由法律规定。 法律行为的制度功能旨在实现自由意志,其内在逻辑是通过表示行为来引起特定效果的效果意思,因而效果意思是法律行为最为根本的特质。准法律行为有表示意思,却没有效果意思,表示行为的对象可以是某种意愿,也可以是对某种事实情况的认知,还可能是某种情感态度或立场,但是准法律行为的表示对象绝非效果意思。 因此,金震华、吕伟欣律师在《隐私政策可诉吗?》中结合以上理论,认为个人同意作为信息处理者免责事由的同时,是一种准法律行为: (1)在构成上个人同意个人信息处理者的处理活动,表明个人有被处理个人信息的意愿,但这个意愿并非效果意思,即不构成意思表示; (2)在法律效果上通过个人的表示行为排除了个人信息处理者的违法性,且与权利变动无关; (3)该等表示行为的法律效果的发生是由《民法典》、《个人信息保护法》等法律直接规定的。 二、目前隐私政策的法律意义是什么? 首先,同意隐私政策不构成合同关系。 一般而言,合同成立的典型方式是要约和承诺方式。要约是希望与他人订立合同的意思表示,承诺是受要约人同意要约的意思表示。 金震华、吕伟欣律师基于“表示行为+效果法定”的法律规范,认为隐私政策尽管不存在个人信息处理者表达自由意志的空间,但毕竟存在依照法律要求表达希望处理个人信息的诉求,这种意思应属于表示意思,同时该等表示意思需通过隐私政策发布的表示行为来落实,且该隐私政策的法律后果取得个人同意后可处理个人的信息系由《个保法》直接规定,因此符合准法律行为的构成要件。隐私政策发布的表示行为没有效果意思,不能构成意思表示,即不构成要约。 如上文所述,个人“同意”亦不构成意思表示,不能构成合同成立中的承诺,因此,个人就处理其个人信息表示同意,两者之间不能构成合同关系。 值得注意的是,如果仅仅为订立、履行个人作为一方当事人的合同所必需而处理个人信息的情况,本文认为仅同意隐私政策也不应该表示个人对整体合同(用户协议)的成立的意思表示,隐私政策可构成合同内容(用户协议)约定的一部分,可类比技术服务合同里的服务标准。 其次,隐私政策最大程度的功效是个人信息处理者遵循透明性原则,履行《个保法》规定的告知义务。 但目前隐私政策的内容和展现方式,无法满足《个保法》第17条著方式、清晰易懂的语言真实、准确、完整的标准,也更无法表明用户是在充分知情的前提下自愿、明确作出的同意。个人信息处理者必须充分地告知,从而确保个人是在充分知情的前提下而作出同意的。如果,个人在完全不知情或不充分知情的情况下所作出的同意,则是无效的。 例如,在内容层面,目前的隐私政策包含个人信息处理的全部基本情况。一般从如何收集和使用个人信息开始,其中一小节说明不需要取得同意的情形。对于突发卫生事件、为公共利益实施新闻报道或者处理合法公开的个人信息,由于其本身的不确定性,确也无法说明个人信息处理的情况。而对于为订立或者履行合同所必需,或者基于法定义务而进行的个人信息处理情况,却未单独说明。个人并无法清晰理解哪些个人信息处理是为履行合同所必需或者履行法定义务而展开的。最终,用户读完也并不清楚哪些个人信息处理是不需要取得自己的同意的。 另外,从形式上,隐私政策采用一次性告知,用户因为内容的冗长繁琐且没有可选择的余地而放弃阅读隐私政策。另外,即使目前仅仅使用基础功能,也要同意APP未来个人信息的处理活动。在后续具体的业务场景中个人信息处理涉及收集更多个人信息、敏感个人信息或对个人权益可能产生显著影响的处理活动,未再次告知用户,或者通过更新隐私政策增加个人信息处理目的,未将变动部分单独加强告知个人。 三、隐私政策的内容和形式的一点建议 本文认为隐私政策应作为个人信息处理情况告知书,如果个人信息处理包括除同意以外的合法性基础,则不应该通过用户勾选隐私政策获取同意。一般而言,个人信息处理者处理个人信息的法律基础可能有多种,因此应将不同合法性基础所进行的个人信息处理活动分别列明,并结合不同的用户交互设计充分履行告知义务。例如,为履行法律义务处理了哪些个人信息、为履行合同所必需处理哪些个人信息。对于基于非同意法律基础处理个人信息时,隐私政策或者隐私通知文案,应该是“我已阅读或者我已知晓”,而不是“我同意”。 将基于同意而进行的数据处理单独列出以取得同意,实现真正的充分知情,自愿明确。对于需要取得《个保法》要求单独同意的情形,则需要、在处理前单独弹窗或者其他形式取得同意;处理活动涉及敏感个人信息,或对个人权益可能产生显著影响的,还需要再次告知并取得用户单独同意。 合规要求与业务需求并不绝对是鱼和熊掌不可兼得,创造性设计合规的交互页面是我们必须要走的道路。 数据合规与治理 2022-02-18 02:46 #个人信息保护法…
-
Can “Privacy Policy” Pop-Ups Satisfy Compliance?
Will Relying on “Privacy Policy” Pop-Ups Satisfy Compliance? At present, most apps display the user agreement and privacy policy (or personal information protection policy) in the form of a pop-up window when the user opens the app for the first time, relying on the way the user checks to fulfill the obligation of notification and…
-
《个人信息保护法》下合法性基础的适用探析
《个人信息保护法》(个保法)第13条规定了6项确定的个人信息处理的合法性基础: 个保法马上要生效,但如何落地适用到各种复杂的业务场景,充满未知。每项合法性基础适用的判断依据,需要在司法和合规实践中不断沉淀和归纳。在个保法之前的法律法规中,个人信息处理的合法性基础往往是不清晰的,如何适用个保法以保护个人信息权益,面临上位法与特别法的协调以及新旧法律法规之间的衔接问题,甚至不同部门之间监管利益博弈的情况。本文尝试提出一些问题并初步探索适用合法性基础的依据以及它们之间的适用关系。 需要回答的难题有很多,本文首先集中探究以下问题: 一、为什么要选择适当的合法性基础? 众所周知,个保法无论是从体例还是条文从GDPR借鉴很多。除合法利益(Legitimate Interest)以外,GDPR也有类似的几项合法性基础或者法律依据作为数据控制者处理个人数据的依据。在GDPR项下,选择适当的合法性基础进行数据处理非常重要: 首先,一项个人数据处理只能有一个合法性基础,而且在处理开始之前必须确定。数据控制者不能在处理个人数据后确立合法性基础,期间也不能交替适用合法性基础。 其次,无论选择何种法律依据,数据控制者都必须在任何时候都能够向数据主体和监管机构,出示适用某个合法性基础的决策依据和过程记录。例如,能够展示数据主体何时以及如何同意的,或为履行合同数据处理的必要性。 再次,个人数据处理的合法性基础对数据控制者响应数据主体权利请求的方式有重大影响,因为不同的合法性基础,其适用的条件、例外和限制都不同。选择法律依据取决于数据处理的目的、数据类型,以及数据控制者与数据主体的关系。如果选择错误的合法性基础,则可能导致数据处理不合法、对数据主体权利请求的响应不能、数据处理的组织和技术控制不到位等问题,进而影响个人的基本权利和自由。 因此,我国个保法中合法性基础选择适用的重要性不言而喻,个人信息处理者应该在处理之前确定合法性基础,或者梳理现有业务的合法性基础。适用错误的合法性基础,首先存在合法性问题,其次是无法满足某些合法性基础的适用条件。例如,本应该基于履行合同所必需处理个人信息而错误依据同意,但后期无法满足个人撤销同意的请求。而且如果基于同意,在法律规定需要取得个人单独同意的场景,个人信息处理者反而要遵守更多的法律义务。因此,在处理个人信息之前就厘清应该依据的合法性基础极为重要。 二、如何选择合适的合法性基础? GDPR第5(1)(a)条规定,个人数据的处理要遵循合法、公平和透明原则。这不仅适用于个人数据处理,也适用于合法性基础的选择适用。遵循原则意味着承认数据主体的合理期待,考虑数据处理可能个人权益产生的不利后果,并考量数据主体与个人数据控制者之间的关系和不平衡的潜在影响。根据英国ICO关于合法性基础适用的指引,个人数据处理的合法性基础取决于数据处理特定目的和处理的场景。其中需要考虑的因素很多,例如: 另外,根据EDPB《在向数据主体提供在线服务的背景下根据GDPR第6(1)(b)条处理个人数据的指南(2/2019)》,在判断是否是“为了履行数据主体作为合同一方当事人的合同所必需的数据处理”时,要回答的问题: 我国个保法同样采用了合法、公平和透明原则。 第五条 处理个人信息应当遵循合法、正当、必要和诚信原则,不得通过误导、欺诈、胁迫等方式处理个人信息。 第七条 处理个人信息应当遵循公开、透明原则,公开个人信息处理规则,明示处理的目的、方式和范围。 本文认为,上述需考虑的因素和要回答的问题,我们都可以在选择适用合法性基础的过程中借鉴。 在决定是否采用“同意”作为合法性基础,至少要考虑以下问题: 在决定是否采用“为订立或履行合同所必需”作为合法性基础,至少要考虑以下问题: 实践中,不同合同类型依据业务场景和技术水平,为履行合同所必需处理的个人信息类型或者需要采取的处理手段都存在差异。值得注意的是,还需要考虑合同的有效性问题。 在确定处理员工个人信息是否满足“实施人力资源管理所必需”时,首先要回答: 进一步,判断人力资源管理所必需,至少还需要根据不同工种对于信息安全管理的严格程度,以及特殊行业和高级职位的行业监管要求。特别考虑用人单位与员工之间的不平等关系,避免基于同意处理员工个人信息。另外也要考虑到企业的法定义务,如给员工的缴纳社会保险,或者在《网络安全法》项下的网络安全保障义务。 三、不同合法性基础是否可以同时适用? 如前所述,在处理个人信息之前确定合法性基础极为重要,那么单一的个人信息处理行为是否可以基于两个或者两个以上的合法性基础呢? 在个保法出台之前的法律法规中,确实存在这种疑问。例如: 《征信业管理条例》第29条规定,从事信贷业务的机构应当按照规定向金融信用信息基础数据库提供信贷信息。 从事信贷业务的机构向金融信用信息基础数据库或者其他主体提供信贷信息,应当事先取得信息主体的书面同意,并适用本条例关于信息提供者的规定。 其中的问题在于,从事信贷业务的机构向金融信用信息基础数据库提供信贷信息的行为的合法性基础是法定义务还是信息主体的同意? 国家设立金融信用信息基础数据库,是为了防范金融风险、促进金融业发展提供相关信息服务,是基于公共利益需要而构建的国家金融基础设施。从事信贷业务的机构应当向金融信用信息基础数据库提供信贷信息,是在《征信业管理条例》明确规定的法定义务。但第29条第2款的规定,结合个保法需要斟酌理解。 按照第29条的要求,银行作为开展信贷业务,与个人签订借贷合同,银行基于法定义务需要将个人的信贷记录上报给金融信用信息基础数据库,在此之前需要取得个人的书面同意。然而这里的同意无法满足个保法要求的“同意”效果,即充分知情且自愿。个人不同意签署书面同意书,显然无法获得贷款。即使自愿,签署之后在借贷合同履行完毕之前,也无法撤销同意。可见,在这种场景下的合法性基础,只能是“法定义务”。 从事信贷业务的机构向其他主体提供信贷信息,按照个保法的要求应当事先取得信息主体的书面同意,因为一般履行借贷合同所必需的信息处理,不包括向其他主体提供信贷信息的对外提供行为。 因此,本文认为,一般情况下,其他合法性基础无法与“同意”同时作为一项信息处理行为的合法性基础。而“法定义务”可能会与“履行合同所必需”存在重叠的情况,例如非银支付机构在基于合同所必需处理个人信息的同时,又有遵守反洗钱的义务。 本文并未将所有的合法性基础适用依据逐一做细致的分析,在之后的文章中,笔者将带着疑问逐步探寻。 在此特别感谢与我探讨问题的师兄师姐。 #个人信息保护法 #合法性基础 张晓丽 数据合规与治理 2021-10-18 17:00
-
Exploring the Legitimate Basis and Applicability of Personal Information Protection Law
The Personal Information Protection Law (PIPL) stipulates six definitive legal bases for the processing of personal information in Article 13: 1. Obtaining the consent of the individual; 2. Necessary for the conclusion and performance of a contract to which the individual is a party, or necessary for the implementation of human resource management according to…