【个人对跨境内容的告知同意】
个人信息处理者向中华人民共和国境外提供个人信息的,应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项,并取得个人的单独同意。
【条文主旨】
本条是关于个人信息处理者向境外提供个人信息的“告知同意”规则的规定。
【条文理解】
一、修订情况
正式法律将本法二次审议稿中的“应当向个人告知境外接收方的身份”修改为“应当向个人告知境外接收方的名称或者姓名”,进一步细化了个人信息处理者的告知事项。
二、告知同意规则
“告知同意”又称“知情同意”,是个人信息保护的核心原则,贯穿于个人信息保护法律体系的始终。抽象而言,“告知同意”是指个人信息处理者在处理个人信息时,应当将处理事宜之情况充分告知个人并征得其同意。具体而言,该原则赋予了个人“同意”的权利,同时也对个人信息处理者赋予了“告知”及“取得个人同意”的义务。可以看出,“告知同意”的核心仍在于“同意”:当法律规定个人具有知情同意的权益时,为了尽量减小甚至消除信息处理者与个人之间的信息差距,保障个人在了解相关事宜后尽可能作出体现其自身真实意图的决定,进一步提高规则的可行性,法律必须在直接规定个人具有“同意”之权利的同时,对个人信息处理者施加“告知义务”。因此,这一原则有利于个人对个人信息处理者的制约,防止信息处理者凭借拥有个人信息的优势恣意妄为。
从前述“告知同意”的要求可以看出,该规则从设计之初便以个人的自主和自治为基础,体现着对人的尊重和对人自由决定的认可,是尊重公民权利的充分表达。具言之,“告知”和“同意”体现的是“意思自治”和“信息公平”。一方面,“意思自治”的核心内容是当事人的生活应当自主、自治,这也是实现当事人选择自由的主要法律形式,在民法领域中“意思自治”通过“契约自由”等形式体现,在个人信息保护领域则通过“个人同意”来体现。另一方面,“信息公平”则保证了个人的同意具有法律意义,在对相关事宜充分了解后作出的选择可以体现个人的自由意志。因此,在决定个人信息如何处理时,个人在充分了解相关事宜的前提下,根据自身意志决定个人信息之去向,并将对自己事务的控制权让渡一部分给信息处理者,使得个人信息处理者合法合理地处理其提供的个人信息,这一过程是个人行使信息自决权的体现,有利于实现信息主体对其个人信息的自主处分。
“告知同意”原则自2012年起便出现在我国有关个人信息保护的规范性文件之中。例如,《全国人民代表大会常务委员会关于加强网络信息保护的决定》第二条明确规定:“网络服务提供者和其他企业事业单位在业务活动中收集、使用公民个人电子信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经被收集者同意,不得违反法律、法规的规定和双方的约定收集、使用信息。”此后,消费者权益保护法、网络安全法、民法典、《信息安全技术 个人信息安全规范》等法律、标准等规范均规定了“告知同意”原则。
三、单独同意
个人同意是处理个人信息的必备要件,当然也是个人信息跨境传输所必需的条件。在本条语境中,“告知义务”是指个人信息处理者应当告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项;“取得个人同意”则要求信息处理者在个人对相关事宜知情的前提下获取个人对信息处理行为的单独同意。从制度意义来看,“单独同意”进一步提高了对个人知情的要求,不同于境内的个人信息处理活动,当个人知晓其个人信息需要“跨境”这一特殊处理行为时,个人可以拒绝并撤回此前授予的同意。
本法第一次在国内提出“单独同意”这一概念,区别于在以往的法律条文中提到的“明示同意”或“书面同意”。除了本条以外,本法还规定了五处需要个人“单独同意”的情形:
(1)第十四条第一款——个人同意处理其个人信息:基于个人同意处理个人信息的,该同意应当由个人在充分知情的前提下自愿、明确作出。法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的,从其规定。
(2)第二十三条——个人信息处理者向其他个人信息处理者提供其处理的个人信息:个人信息处理者向其他个人信息处理者提供其处理的个人信息的,应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意。接收方应当在上述处理目的、处理方式和个人信息的种类等范围内处理个人信息。接收方变更原先的处理目的、处理方式的,应当依照本法规定重新取得个人同意。
(3)第二十五条——个人信息处理者公开其处理的个人信息:个人信息处理者不得公开其处理的个人信息,取得个人单独同意的除外。
(4)第二十六条——在公共场所安装图像采集、个人身份识别设备,将所收集的个人图像、身份识别信息用于维护公共安全以外的目的:在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显著的提示标识。所收集的个人图像、身份识别信息只能用于维护公共安全的目的,不得用于其他目的;取得个人单独同意的除外。
(5)第二十九条——基于个人同意处理敏感个人信息:处理敏感个人信息应当取得个人的单独同意;法律、行政法规规定处理敏感个人信息应当取得书面同意的,从其规定。
对于本条提出的“单独同意”,可以想见其目的是加强对特定个人信息的类型及处理行为的保护,充分扩大个人信息主体的参与度,同时这一规定也是本法第四十四条“个人对其个人信息的处理享有知情权、决定权,有权限制或者拒绝他人对其个人信息进行处理”的重要体现。换言之,“向境外提供个人信息的行为”应当区别于“在境内处理个人信息”,明确向个人告知相关事项,并征得个人的明示同意。
除本法以外,最新出台的文件也有提到“单独同意”这一概念。如《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》第二条:“信息处理者处理人脸信息有下列情形之一的,人民法院应当认定属于侵害自然人人格权益的行为:……(三)基于个人同意处理人脸信息的,未征得自然人或者其监护人的单独同意,或者未按照法律、行政法规的规定征得自然人或者其监护人的书面同意……”
【适用指南】
从法律体系和立法目的来看,本条是针对个人信息跨境传输的要求,不同于其他处理事项的“书面同意”“明示同意”,“单独同意”适用于重要的个人信息处理事项。由于本法第二十九条等条文同样规定了“单独同意”:“处理敏感个人信息应当取得个人的单独同意;法律、行政法规规定处理敏感个人信息应当取得书面同意的,从其规定。”因此,“单独同意”制度似乎暗示了不同信息类型、信息处理行为的保护等级,即境内“敏感信息”等特殊信息类型的保护水平高于境内其他个人信息类型的保护水平,个人信息跨境的保护水平则高于境内个人信息的保护水平。对于个人信息处理者而言,尽管第二十九条并未明确规定告知事项,但本条的告知事项应当不同于第二十九条的告知事项,个人信息处理者按照本条所列举的告知事项如实披露相关信息,并获其“单独同意”即可。对于个人而言,由于法律规定的不一致,个人在了解相关事宜后应当谨慎选择是否同意。
除了本法以外,还应当注意个人信息跨境的其他法律规范性文件。例如,2019年公布的《个人信息出境安全评估办法(征求意见稿)》对数据跨境流动中的个人信息安全评估制度进行了规定。根据该征求意见稿,当个人信息出境后,个人享有如下权利:(1)当个人合法权益受损时要求索赔的权利(第十三条);(2)了解网络运营者和接收者基本情况,以及向境外提供个人信息的目的、类型和保存时间的权利(第十四条);(3)要求查看信息跨境合同(指网络运营者与个人信息接收者就个人信息跨境所签订的合同或者其他有法律效力的文件)副本的权利(第十四条);(4)对个人信息接收者提出诉求的权利(第十四条);(5)向责任方要求提供个人信息途径及更正或者删除其个人信息的权利(第十五条)。
随着未来新规范的出台,对于个人信息处理者在向境外提供个人信息时,如何以合乎法理与情理的方式征得个人的同意,相关程序及事项会更加明晰。在现阶段缺乏下位法更为明确的规定时,可以参考网络安全法、民法典及本法其他条文等已正式施行的法律规定;对于尚未施行的征求意见稿、草案等文件,仍然可以将其作为未来立法之趋势,引导个人信息跨境的实践。综上所述,个人信息处理者在收集个人信息时,应当保持更为谨慎的态度。
【相关规定】
《中华人民共和国个人信息保护法》第二十九条;《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》第二条。