洪延青 2020-10-31 原载于 网安寻路人
《中华人民共和国个人信息保护法(草案)》非常重大的一个创新,是把个人信息处理的合法性基础,从单一的同意,扩展到了六个。这六个合法性基础,很多都有国际先例。【详见:中国个人信息保护立法 | 《个人信息保护法(草案)》与GDPR的比较】
第十三条 符合下列情形之一的,个人信息处理者方可处理个人信息:
(一)取得个人的同意;
(二)为订立或者履行个人作为一方当事人的合同所必需;
(三)为履行法定职责或者法定义务所必需;
(四)为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;
(五)为公共利益实施新闻报道、舆论监督等行为在合理的范围内处理个人信息;
(六)法律、行政法规规定的其他情形。
如何理解合同所必需
对于产业界来说,最重要的扩展是——“为订立或者履行个人作为一方当事人的合同所必需”。如何理解这个扩展,建议各位参考【EDPB关于GDPR中合同必要性指引的中文翻译(DPO沙龙出品)】在此仅重点强调EDPB对合同必要性的四点强调:
第一,必要的客观性问题。在指引中,EDPB强调:
“必要性”必须是客观上的必要(objectively necessary),而并不单纯是制定合同的在线服务提供商所认为的必要,而是要通过客观的事实来进行判断。判断这种必要性是假定了一个合理的数据主体在其与数据控制者订立合同时,就客观上期待和判断这项服务中必须要进行的数据处理行为。数据控制者需要承担举证责任来证明某一项数据处理行为如果没有进行,合同就会无法履行或者无法订立。
在公号君看来,客观必要是个非常高的标准。对此,大家可参见《个人信息安全规范(2020版)》【详见:新版《个人信息安全规范》(35273-2020)正式发布】中的判断准则——“直接关联”。
第二,在指引中,EDPB强调:
数据处理行为的“必要性”需要基于合同目的本身进行判断,而并非是将数据处理行为作为合同的目的或标的之一。
这句话稍微有些绕口,核心意思还是可参见《个人信息安全规范(2020版)》中的5.6的g)项。
第三,在指引中,EDPB强调:
如果合同目的可以不需要进行该数据处理行为即可以完成,或者是该合同目的可以通过另外一种对数据主体影响更小的数据处理行为完成,则该等数据处理行为不具有客观上的“必要性”。
对此,请大家参见《个人信息安全规范(2020版)》中的判断准则——“直接关联”。(如上文所罗列)
第四,在指引中,EDPB强调:
一旦合同终止后,因为不再存在任何履约的“必要性”,所以数据处理行为必须停止。合同一旦终止后,后续的留存行为在EDPB看来是一项单独的数据处理行为,并且一般需要依据法律法规的规定(例如为了满足最低留存期间的法定要求)或者是数据控制者自己的合法正当利益(例如留存合同直至过了诉讼时效)作为该等留存行为的合法性事由。
这点也非常重要,也就是说,对合同所必需的依赖,是有边界的。在合同完成之后,这个合法性基础就不应再继续使用了。
合同所必需与同意的区别
在《个人信息保护法(草案)》中,处理个人信息,是采用同意,还是合同所必需,存在一个重大的差别:
第十六条 基于个人同意而进行的个人信息处理活动,个人有权撤回其同意。
第十七条 个人信息处理者不得以个人不同意处理其个人信息或者撤回其对个人信息处理的同意为由,拒绝提供产品或者服务;处理个人信息属于提供产品或者服务所必需的除外。
综合第十六条、第十七条来看,可以得出以下三点:
- 如果个人信息处理者采用了合同所必需这个合法性基础,则个人没有撤回同意的选项。
- 个人要求使用特定的产品或者服务,可以认定为——个人与特定的个人信息处理者订立合同,特定个人信息处理者开始履行合同。
- 对于该特定的产品或者服务所必需的个人信息,应当采用合同所必需这个合法性事由。如果个人信息处理者采用了同意这个合法性事由,就面临几个具体的困难:
- 《个人信息保护法(草案)》对同意的高标准规定(第十四条);
- 个人撤回同意的权利(第十六条);
- 特定情形下应取得单独同意的要求(如向第三方转移数据时的单独同意,见第二十四条)
换句话说,采用合同所必需这个合法性基础,可以“规避”掉同意这个合法事由所伴随的难题。这一点,《个人信息保护法(草案)》的设计和GDPR是一样的。【详见:EDPB | 《对第2016/679号条例(GDPR)下同意的解释指南v1》中文翻译(DPO社群出品)】当然,合同所必需也有自身带来的限制,详见前文论述。
如何理解“产品或服务”
《个人信息保护法(草案)》的第十七条规定:个人信息处理者不得以个人不同意处理其个人信息或者撤回其对个人信息处理的同意为由,拒绝提供产品或者服务;处理个人信息属于提供产品或者服务所必需的除外。
我国互联网应用生态中一个非常显著的特点是单个APP往往提供了多种截然不同的服务(即平台型的APP),这一点与外国的互联网应用生态非常不同。例如,微信同时提供了即时通信服务和支付服务。滴滴出行同时提供了交通和钱包服务。
因此,合同所必需所指向的产品或服务,是微信这个app整体,还是其中具体的即时通信服务,还是支付服务?是指向滴滴出行这个app整体,还是交通服务,或钱包服务?这是个非常重要的一个区别。
显然,从立法意图来看,无论是合同所必需,还是同意,应当指向的是具体的服务。在《个人信息安全规范(2020版)》中,用的是业务功能这个概念。
在《个人信息安全规范(2020版)》中,5.3着重体现了《个人信息保护法(草案)》第十三条和第十七条综合的效果:
合同所必需如何实现
如果以上三点结论成立的话,互联网领域的个人信息处理者,特别是平台型的APP,该如何实现合同所必需这个合法事由?特别是当某些情况下,APP运营者还需要同意这个合法事由。事实上,对于这个问题,《个人信息安全规范》的附录C已经给出了解决方案。很有意思的是,无论是自从2018版本的《个人信息安全规范》公布以来,几乎没有人关注到附录C的用途。
当然,附录C给出的仅仅是一种解决方案。在这个方案中,附录C区分了基本业务功能和拓展业务功能。另一种方案可以不区分基本和拓展,而是将业务功能一视同仁,公号君相信产业界一定能够拿出这方面的方案。
作者简介:洪延青,现任北京大学互联网发展研究中心高级顾问,主要研究个人信息保护、数据跨境流动及关键信息基础设施保护等网络安全法律政策问题。毕业于中国人民公安大学,并获得荷兰乌特勒支大学法学博士学位。任现职之前,洪延青就职于中央网信办,具有丰富的网络安全战略、政策法规制定经验,参与了一系列重大网络安全政策、法规的起草,是中美、中英、中欧网络安全二轨对话中方代表之一。主要从事网络安全政策和法律研究,担任全国信息安全标准化技术委员会2016年重点标准制定项目《个人信息安全规范》编制组组长,2017年重点标准制定项目《数据出境安全评估指南》编制组副组长。