将个人信息共享给关联方的安全边界
作者:毛卫飞 于承伟 黄天逸 2021-03-11在这个5G、人工智能、大数据等新兴技术层出不穷的时代,个人信息的流动和利用为人类社会创造了巨大的价值,并且显示了广阔的发展前景。但是,个人信息的流动并不能任意而为,而须遵循法律为其限定的轨迹。这在个人信息监管环境日益严格的背景下尤显重要。
我们注意到不少互联网企业在其隐私政策中向消费者征求关于其可将收集的消费者个人信息共享给其关联方的同意,甚至未经消费者同意径直将个人信息共享给关联方。那么,就共享个人信息给关联方而言,是否适用一种类似“安全港”的机制可以直接提供给关联方而无需取得数据主体同意?如需取得数据主体同意,取得同意又是否足够?安全边界在哪里?前述问题直接映射了促进数据自由流动以创造更大价值与保护自然人个人信息之间的利益冲突。
本文考察了中国部分头部互联网企业的隐私政策,结合欧盟《通用数据保护条例》(General Data Protection Regulation,下称“GDPR”)和美国《加州消费者隐私法案》(California Consumer Privacy Act,下称“CCPA”)的相关规定,根据中国现行法律规定对前述问题进行探讨和分析,以期探索将个人信息共享给关联方之语境下,数据自由流动与保护自然人个人信息之间如何平衡。
本文认为,无论关联公司之间存在何种互相依赖的关系,从个人信息共享合规的角度,个人信息处理者[1]向关联方共享个人信息的,关联方也应视为第三方,与外部的合作伙伴或供应商并无不同。现行法律中似未规定包括多个法律实体的企业集团可以作为单一的个人信息处理者,因此,个人信息处理者向关联方共享个人信息的,同样需要遵循向非关联方共享个人信息所适用的标准,确保符合合法、正当和必要的原则。在共享个人信息给关联方时,应执行“告知+取得同意”的严格机制,在隐私政策中明确拟与之共享个人信息的关联方及相关必要性。对于非绝对必要的情形,还可借鉴美国CCPA的规定赋予用户选择不共享的权利。
一、互联网企业的隐私政策 (一) 研究样本 我们选取了十五家头部互联网企业,并对其相关App的隐私政策文本作了分析与研究,着重就共享个人信息给关联方的情况进行了梳理与总结。我们发现,这些App的隐私政策中通常会有专门的一节标题为“我们如何共享、转让、公开披露个人信息”或其他类似名称的内容,当中即有对个人信息处理者(App的开发者)如何共享个人信息的详细说明。 我们注意到,这15份隐私政策中的多数均于不久前进行了更新,其中一份隐私政策的最新版本生效日期甚至是2021年1月7日。这从侧面体现了数据合规治理的动态发展,以及来自于国家互联网信息办公室、工业和信息化部、公安部、市场监管总局等个人信息监管部门所施加的监管压力。 (二) 平台对关联方/关联公司的定义 这15个App中,有6个App的隐私政策对关联公司/关联方进行了定义,其余9个App的隐私政策未对关联公司/关联方进行定义。在未对关联公司/关联方作出定义的9个中,有的隐私政策直接使用“某某集团”的叫法以实现“关联方”在隐私政策中所承载的功能,有两份隐私政策则采用列举的方式罗列了几家关联方名称。前述6个对关联公司/关联方作出定义的App的隐私政策中对关联公司/关联方的定义各异,其中4个App的隐私政策中对关联公司/关联方的定义从文面上即可判断其与《企业会计准则第36号--关联方披露》关于关联方界定的精神基本吻合,该文件提到:“一方控制、共同控制另一方或对另一方施加重大影响,以及两方或两方以上同受一方控制、共同控制或重大影响的,构成关联方。”而对于某一隐私权政策中“关联公司”的定义,仔细分析可以发现其本质上也符合《企业会计准则第36号--关联方披露》关于关联方界定的精神。因此,在隐私政策未对关联公司/关联方作出定义时,我们认可参考适用《企业会计准则第36号--关联方披露》中“关联方”的定义用于分析和讨论相关数据共享情形的数据处理合规性。 总结而言,各企业App的隐私政策对关联公司/关联方的处置方式多种多样,有的有专门的定义,有的没有专门的定义,有的罗列了几家关联方,即使作了专门定义的情况下各方对关联公司/关联方的定义内容亦不一致。 (三) 关联方之间信息共享 通过观察研究样本的隐私政策可以发现,作为研究对象的这15个App,均会与相关关联方共享个人信息。而且,有14个App的隐私政策均明确表明,其各自在向关联方共享个人信息时,可能不取得数据主体二次授权,而直接共享给关联方。 只有1个App的隐私政策提及,即使是为了让用户完成交易、实现交易目的或因某些产品或服务可能由其关联方提供而需要向关联方共享个人信息,其也会征得用户同意或确认关联方已经征得用户同意后才执行。不仅如此,其还会进行个人信息共享的合法性、正当性和必要性评估,并要求关联方采取保护措施和严格遵守相关法律法规与监管要求。某音乐App的隐私政策列举了12项无需取得数据主体同意即可向第三方共享个人信息的情形,范围非常之广,部分情形比如“维护和改善我们的服务”、“实现本《隐私政策》第一条‘我们如何收集和使用信息’部分所述目的”等甚至赋予其较大的主观决定权。不过,在列举完前述12项情形后,该音乐App作了自我限缩,其强调仅会出于合法、正当、必要、特定、明确的目的共享,且对与之共享信息的主体,该音乐App会与其签署严格的保密协议。在与关联方的必要共享方面,该音乐App提供的说明是:“为方便于我们基于统一的帐号体系向您提供一致化服务以及便于您进行统一管理、个性化推荐、保障系统和帐号安全等,您的个人信息可能会在我们和我们的关联方之间进行必要共享。例如:在您使用我们的音乐服务时所收集的您的信息,可能在我们的另一项服务(包括该音乐公司旗下K歌产品“音街”、直播产品“look直播”等)中用于向您提供特定内容或向您展示与您相关的、而非普遍推送的信息”。其余App的做法此处不再一一展开。 另外,有9个App的隐私政策提到,如果获得共享之个人信息的关联方改变个人信息的处理目的,则需再次取得数据主体的授权同意。值得特别注意的是,研究对象中除了3个App之外的其余12个App的隐私政策甚至规定了向关联方之外的第三方(比如:合作伙伴、业务合作伙伴、授权合作伙伴、服务提供商和其他合作伙伴、供应商或商业合作伙伴等)进行必要的共享也无需取得二次授权。 为考察前述个人信息处理者向关联方共享信息相关安排,我们将结合欧盟和美国等法域的立法,并按照中国相关法律规定进行分析和讨论。 二、域外经验 (一)GDPR的相关规定及分析 1. 数据处理的合法性分析 生效于2018年5月25日的GDPR是涉及个人信息保护的重磅欧盟法规,并进一步带动了世界各国的个人信息保护立法。GDPR第6条“数据处理的合法性”第1款规定:“只有符合以下情况之一的个人数据处理行为才是合法的:(a) 数据主体已经对基于一个或多个具体目的而处理其个人数据的行为表示同意;(b) 履行数据主体为一方当事人的合同或在订立合同前为实施数据主体要求的行为所必要的数据处理;(c) 为履行数据控制者的法定义务所必要的数据处理;(d) 为保护数据主体或另一自然人的重大利益所必要的数据处理;(e) 为履行涉及公共利益的职责或实施已经授予数据控制者的职务权限所必要的数据处理;(f) 数据控制者或第三方为追求合法利益目的而进行的必要数据处理,但当该利益与要求对个人数据进行保护的数据主体的利益或基本权利和自由相冲突时,尤其是当该数据主体为儿童时,则不得进行数据处理。” GDPR规定个人信息保护是公民的基本权利,但仍然允许基于履行法定义务之必要、保护数据主体或其他自然人的重大利益之必要、履行涉及公共利益的职责/数据控制者的职务权限之必要等考量而对该项基本权利进行缩减。在共享个人信息给关联方之场合下,按照GDPR的逻辑,只要符合上述(a)项至(f)项中的任何一项,即被视为满足了数据处理合法性的要件。例如,对于基于疫情监测、防控、隔离等目的,互联网公司利用已经掌握的相关个人信息为其关联方进行疫情防控提供数据支撑,此时的数据共享可不取得数据主体的同意,因其可援引上述(d)项“为保护数据主体或另一自然人的重大利益所必要的数据处理”或(e)项“为履行涉及公共利益的职责或实施已经授予数据控制者的职务权限所必要的数据处理”,当然这还受制于监管部门最终是否认同。 很多情况下,共享个人信息给关联方的行为并不适用GDPR第6条第1款的(c)项、(d)项或(e)项。更多的是,数据控制者出于商业方面的考虑,为更大地发挥个人信息的效用和实现更多的业务目的而将个人信息共享给其关联方。在GDPR框架下,此时需要着重分析是否符合GDPR第6条第1款第(a)项、(b)项或(f)项的情形以研判数据处理的合法性。倘若数据控制者已将个人信息共享的目的明确、完整地告知数据主体并取得数据主体的充分同意或者数据控制者为追求合法利益目的而进行必要数据处理而将个人信息共享给其关联方(且与数据主体的利益或基本权利和自由不相冲突)或者数据控制者确为履行数据主体为一方当事人的合同或在订立合同前为实施数据主体要求的行为而进行必要的数据处理而共享,则我们认为该等个人信息共享行为在数据处理合法性上是安全的。但是,何谓“为追求合法利益目的”,何谓“必要数据处理”,何时又可能构成“与数据主体的利益或基本权利和自由相冲突”,需要结合具体情境进行深入分析和判断。例如,“合法利益目的”并非由数据控制者单方主张即可成立,还应考虑监管机构的立场。此处列举一个因不符合GDPR下数据处理合法性要求向第三人提供个人信息而被处罚的案例以进一步说明。一直以来,荷兰皇家网球协会(下称“KNLTB”)将其收集的个人信息提供给第三方。2007年之前其在章程中所述的目的是促进网球比赛的练习以及荷兰网球运动的发展,2007年之后其将目的改为是为了直接营销目的提供给赞助商。荷兰数据保护局认为,对于KNLTB 在2007年前收集的个人信息,数据处理目的没有很好地进行定义,因此KNLTB成员无法由此推断他们的个人信息也将提供给赞助商进行直接营销活动。因此,KNLTB行为违反了GDPR第5条第1款(a)的合法性原则要求,不具备数据处理的合法性基础。对于2007年以后收集的个人信息,监管机构认为KNLTB所举证的“给会员增值”和“降低会员减少产生的损失”不符合GDPR第6条第1款(f)项所规定的“合法利益”,缺乏紧迫性,因此这部分数据处理也不具备充分的合法性基础,违反了GDPR第5条第1款(a)的合法性原则要求。最终,KNLTB在2020年3月3日被荷兰数据保护局处以525,000欧元的处罚。[2] 2. GDPR框架下合规要求分析 除数据处理的合法性外,我们还拟从行为性质和双方角色的角度分析。对于直接收集个人信息的数据控制者而言,其将收集的个人信息共享给关联方用于其他目的的行为(当然,也有可能关联方并不改变处理目的,则另当别论),属于变更初始目的的个人信息处理行为;对于接收个人信息的关联方而言,属于个人信息的间接收集;对前述二者而言,属于个人信息共享行为,双方构成共同控制者(Joint Controller)。 (1) 关于变更初始目的的个人信息处理行为 GDPR第13条第3款规定:“当数据控制者意图基于不同于数据收集初始目的的其他目的处理数据时,数据控制者应当在进行进一步处理之前向数据主体提供有关新目的的信息以及本条第2款所规定的所有相关信息。” 尤其是变更后的个人信息处理目的、个人信息处理的法律依据、个人信息接收方或其类别等。GDPR第13条第2款同时又援引了GDPR第13条第1款,因此,在向关联方共享个人信息的情况下,严格而言,数据控制者应遵照GDPR第13条的全部规定向数据主体提供一系列信息(只是部分信息在之前已经提供过,而部分信息发生了变化需要着重提供)以确保处理行为符合GDPR所要求的公平、透明原则。 (2) 关于间接收集个人信息的行为 GDPR第14条第1款规定:“当个人数据并非自数据主体处获得时,数据控制者应当向数据主体提供以下信息:(a) 数据控制者的身份信息和联系方式,以及数据控制者代表人(如果有)的身份信息和联系方式;(b) 数据保护专员(如果有)的身份信息和联系方式;(c) 处理个人数据的目的以及其合法基础;(d) 相关个人数据的种类;(e) 个人数据的接收者或者接收者的类别(如果有);(f)……”。GDPR第14条第2款还要求数据控制者进一步提供个人数据存储期限、个人数据来源等信息。 概言之,对于接收个人信息的关联方,其须遵照GDPR第14条的规定向数据主体提供相关信息。 (3) 关于个人信息共享行为 GDPR第26条第1款提到:“除非欧盟和成员国已经规定了数据控制者作为主体分别负担各自的责任外,共同数据控制者应当共同以一种透明的方式安排其各自的责任以履行本法所规定的各项义务,尤其涉及数据主体行使权利和本法第13条和第14条规定的各自通知义务。数据控制者的安排应当包括为数据主体指定一个联络点。”GDPR第26条第2款明确,本条第1款所规定的内部安排应当完全反映各自的职责以及面对数据主体时共同数据控制者的关系。安排的实质内容应被数据主体获知。GDPR第26条第3款强调,无论共同数据控制者的内部安排如何规定,数据主体都可以根据本条例相关规定向每一位数据控制者行使权利。 因此,共同数据控制者之间应当明确各自的责任,特别是涉及数据主体权利行使和向数据主体履行告知义务。而且,在该等方面,共同数据控制者向数据主体承担的是一种类似连带责任的负担,即数据主体可向其中任一数据控制者行使权利。 3. 小结 回到前文提出的问题,如果仅且完全适用GDPR,共享个人信息给关联方是否需要取得数据主体同意的问题取决于数据处理的合法性分析,有些情况下需要,有些情况下不需要。在需要取得数据主体同意的情况下,还需进一步按照GDPR的规定遵守和履行相关合规要求。另一方面,我们理解,GDPR并未承认包括多个法律实体的企业集团可以作为单一的个人信息控制者。即个人信息控制者将个人信息共享给关联方的,也同样需要遵守相关的原则,并不会因为关联关系而在任何方面被豁免或得以适用更为宽松的原则。 (二) CCPA的相关规定及分析 于2018年6月28日通过、于2020年1月1日生效的CCPA被认为是美国有史以来对消费者隐私保护最全面的州级法案。与GDPR相比,CCPA存在很多不同之处。最明显的不同是适用对象以及数据主体的权利。按照CCPA第1798.140节第(c)条,CCPA的适用对象为在美国加州开展业务而收集消费者个人信息的营利性企业,或其他为其股东或其他所有者的利益或经济利益而组织或经营的法律实体,或是收集该资料的代表机构,并且符合以下一项或多项条件:(a) 年总收入超过2,500万美元;(b) 每年单独或与其他企业共同购买、接收、共享或出售超过50,000个加州消费者、家庭或设备的个人信息;(c) 年营收的50%或以上来自销售加州消费者个人信息。GDPR的适用对象兼顾属地、属人原则,囿于篇幅,此处不详细展开。关于数据主体权利方面,GDPR的各项制度一般建构于取得数据主体的同意之上,而CCPA大部分情况下只需企业履行告知消费者的义务,仅在少数情况下需要取得消费者同意,比如出售消费者的个人信息时需要消费者同意。 1.消费者的知情权—需告知消费者个人信息共享/出售事宜 CCPA第二节提及:“立法机构认可并申明:…… (c)……没有个人信息共享,几乎无法实现求职、抚养孩子、驾车或者预约等活动……”,说明立法者意识到个人信息共享的不可避免性。CCPA第1798.110节第(a)条规定,消费者有权要求收集消费者个人信息的企业向消费者披露“收集或出售个人信息的企业或商业目的”、“与企业共享个人信息的第三方类别”等信息。CCPA第1798.110节第(c)条规定,收集消费者个人信息的企业应根据第1798.130条第(a)款第(5)款第(B)项披露“收集或出售个人信息的企业或商业目的”、“与企业共享个人信息的第三方类别”等信息。前述二款规定从消费者的权利和企业的义务两个维度为消费者设立了知情权。在企业将个人信息共享给关联方的情况下,CCPA要求告知消费者第三方类别、出售个人信息的目的等信息,以保障消费者知情权。 2. 消费者的选择退出权—消费者有权决定不出售个人信息 CCPA第 1798.140节第(t)条对“出售”的定义是:“销售”,“出售”或“被出售”系指以一个企业以口头、书面或电子形式或者其他方式来出售、出租、发布、披露、传播、提供、转让消费者的个人信息给另一企业或第三方,以获得金钱或其他有价值的对价。CCPA下的个人信息“出售”具有广泛的含义,似也涵盖了个人信息“共享”之含义,但其要求以获得金钱或其他有价值的对价为条件。 CCPA第1798.120节第(a)条规定:“消费者有权在任何时候指示一个欲将消费者个人信息出售给第三方的企业不得出售该消费者的个人信息。这项权利可以被称为‘选择退出’权。”CCPA第1798.120节第(b)条进一步规定:“向第三方出售消费者个人信息的企业应根据第1798.135节第(a)条的规定向消费者发出通知,告知消费者该信息可能会被出售并且消费者有权选择不出售他们的个人信息。”根据前述规定,企业将个人信息出售给第三方,须事先告知消费者,且消费者有权选择不出售。再进一步的,CCPA还要求,对于选择行使不出售其个人信息权利的消费者,企业就不得出售收集的关于该消费者的个人信息,且至少在其选择后的12个月内不得再要求消费者授权出售其个人信息。 CCPA第1798.135节第(a)条还详细说明了企业确保消费者实现选择退出权的具体操作要求:企业应采取消费者可合理获取的形式(a) 在其互联网主页上提供一个清晰且明显的,命名为“不得出售我的个人信息”的链接,使消费者或经消费者授权的人可以选择不出售消费者的个人信息;(b) 根据第1798.120节的规定,制作关于消费者权利的描述,同时在在线隐私政策或任何加利福尼亚州对消费者隐私权的具体描述相关界面中有一个单独的“不得出售我的个人信息”的链接。 3. 关于个人信息“出售”的例外 CCPA第1798.140节第(t)条提到:“……就本标题而言,企业在下列情况下并不出售个人信息:……(C)如果满足以下两个条件,业务使用或与服务提供者共享用于执行业务目的所需的消费者个人信息:服务提供者[3]代表业务执行的服务,前提是服务提供者也不会出售个人信息。(i)在符合第1798.135节规定的企业条款和条件中,企业已告知了信息会被使用或共享。(ii)服务提供者不会进一步收集、出售或使用消费者的个人信息,除非为履行商业目的之必要……”。 假如企业将个人信息共享给关联方的行为符合上述两个要件,且又构成与服务提供者共享用于执行业务目的所需的消费者个人信息,则属于个人信息“出售”的例外情形,因而不适用消费者的选择退出权等规定。 值得特别关注的是,2020年11月3日,美国加利福尼亚州选民投票通过了《加州隐私权法案》(California Privacy Rights Act,下称“CPRA”),其在CCPA的基础上,将进一步赋予加州居民一些新的权利。从广义上讲,CPRA将于2023年1月1日取代CCPA。在个人信息共享的问题上,不同于CCPA,CPRA不考虑双方是否交换了金钱或其他有价值的对价。 三、中国法规 众多App所采取的未经数据主体二次授权而向关联方直接共享个人信息的做法是否合规?我们下面就从中国法律的角度予以探讨。 (一)法律层面 1. 《民法典》 2021年1月1日生效的《中华人民共和国民法典》(下称“《民法典》”)在第四编“人格权”第六章“隐私权和个人信息保护”中用专门的一章对隐私权和个人信息保护作出了规定,向民事主体提供了相关指引。《民法典》部分其他条款也涉及公民的个人信息,如第111条、第999条、第1030条、第1226条等。《民法典》没有使用个人信息“共享”的概念,而是使用了个人信息“传输”、“提供”的说法。 《民法典》第1035条明确规定处理个人信息应当遵循合法、正当、必要原则,不得过度处理,且还应符合相关条件。同时,《民法典》第1036条规定了三种不承担责任的例外情况,即:(1) 在该自然人或者其监护人同意的范围内合理实施的行为;(2) 合理处理该自然人自行公开的或者其他已经合法公开的信息,但是该自然人明确拒绝或者处理该信息侵害其重大利益的除外;(3) 为维护公共利益或者该自然人合法权益,合理实施的其他行为。尤其是前述第三项为维护该自然人合法权益合理实施的其他行为,似乎可为企业向其关联方进行必要的个人信息共享提供一定的法律依据。 2. 《刑法》 《中华人民共和国刑法》(下称“《刑法》”)第二百五十三条之一第1款规定:“违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。” 违法向他人提供个人信息,如达到《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》规定的追诉标准的,存在刑事合规风险,必须非常重视。 3. 《网络安全法》 2017年6月1日生效的《中华人民共和国网络安全法》(下称“《网络安全法》”)同样规定了收集、使用个人信息应遵守的合法、正当、必要三原则。《网络安全法》也未使用个人信息“共享”的概念,而是使用了“传输”、“提供”的说法。《网络安全法》第42条第1款还规定:“网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。”由此可见,《网络安全法》规定的原则是向他人提供个人信息应经被收集者同意。 4. 《消费者权益保护法》 2013年修正之后的《中华人民共和国消费者权益保护法》(下称“《消费者权益保护法》”)只有少数几个条款涉及个人信息。其同样规定了收集、使用个人信息应当遵循的合法、正当、必要三原则。《消费者权益保护法》第29条第2款还提到:“经营者及其工作人员对收集的消费者个人信息必须严格保密,不得泄露、出售或者非法向他人提供。”《消费者权益保护法》强调“不得泄露、出售或者非法向他人提供”个人信息。 5.《个人信息保护法》草案 全国人民代表大会常务委员会2020年10月21日发布的《个人信息保护法(草案)》征求意见稿(下称“《个保法草案》”)虽然尚未生效,但考虑到其代表了立法机关对个人信息保护事宜的基本态度和倾向,故在此也予以分析。《个保法草案》也未使用个人信息“共享”的概念,而是使用“传输”、“提供”的说法。《个保法草案》在处理个人信息应当遵循的合法、正当、必要三原则之外又增加了诚信、公开、透明原则。 《个保法草案》第24条第1款规定:“个人信息处理者向第三方提供其处理的个人信息的,应当向个人告知第三方的身份、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意。接收个人信息的第三方应当在上述处理目的、处理方式和个人信息的种类等范围内处理个人信息。第三方变更原先的处理目的、处理方式的,应当依照本法规定重新向个人告知并取得其同意。”可见,就向第三方共享个人信息事宜,《个保法草案》确立的是一种“告知+取得同意”的严格机制。此外,《个保法草案》要求,基于个人同意处理敏感个人信息的,个人信息处理者还应当取得个人的单独同意。 《个保法草案》第13条的内容是判定数据处理合法性的重要依据,其内容为:“符合下列情形之一的,个人信息处理者方可处理个人信息:(一)取得个人的同意;(二)为订立或者履行个人作为一方当事人的合同所必需;(三)为履行法定职责或者法定义务所必需;(四)为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;(五)为公共利益实施新闻报道、舆论监督等行为在合理的范围内处理个人信息;(六)法律、行政法规规定的其他情形。”前述条款的立法借鉴了GDPR第6条第1款。我们理解,一项个人信息处理行为,倘若未取得个人同意,但符合前述另外五种情形中的一种,则因此而追究数据处理者相关责任之依据将大大克减。回到未经同意向关联方共享个人信息之情形,倘若处理者能证明其行为符合《个保法草案》第13条第2项的情形“为订立或者履行个人作为一方当事人的合同所必需”,则按照《个保法草案》的逻辑,相关处理者是可以这样做的。由于《个保法草案》尚未生效,我们将进一步关注《个保法草案》的生效文本在这一问题上的规定。 (二)部门工作文件/规范性文件 1.《App违法违规收集使用个人信息行为认定方法》 国家互联网信息办公室、工业和信息化部、公安部和国家市场监督管理总局于2019年11月28日发布并于同日生效的《App违法违规收集使用个人信息行为认定方法》为监管部门认定App违法违规收集使用个人信息行为提供了参考,并为App运营者自查自纠和网民社会监督提供了指引。其第5条规定:“以下行为可被认定为‘未经同意向他人提供个人信息’:(1) 既未经用户同意,也未做匿名化处理,App客户端直接向第三方提供个人信息,包括通过客户端嵌入的第三方代码、插件等方式向第三方提供个人信息;(2) 既未经用户同意,也未做匿名化处理,数据传输至App后台服务器后,向第三方提供其收集的个人信息;(3) App接入第三方应用,未经用户同意,向第三方应用提供个人信息。” 2. 《互联网个人信息安全保护指南》 公安部和北京市网络行业协会在2019年4月10日发布并于同日生效的《互联网个人信息安全保护指南》(下称“《个人信息保护指南》”)第6.6条清晰地列举了共享个人信息时应满足的各项要求: a) 共享行为应经过合法性、必要性评估; b) 在对个人信息进行共享时应进行个人信息安全影响评估,应对受让方的数据安全能力进行评估确保受让方具备足够的数据安全能力,并按照评估结果采取有效的保护个人信息主体的措施; c) 在共享前应向个人信息主体告知共享该信息的目的、规模、公开范围数据接收方的类型等信息; d) 在共享前应得到个人信息主体的授权同意,与国家安全、国防安全、公共安全、公共卫生、重大公共利益或与犯罪侦查、起诉、审判和判决执行等直接相关的情形除外; e) 应记录共享信息内容,将共享情况中包括共享的日期、数据量、目的和数据接收方的基本情况在内的信息进行登记; f) 在共享后应了解接收方对个人信息的保存、使用情况和个人信息主体的权利,例如访问、更正、删除、注销等; g) 当个人信息持有者发生收购、兼并、重组、破产等变更时,个人信息持有者应向个人信息主体告知有关情况,并继续履行原个人信息持有者的责任和义务,如变更个人信息使用目的时,应重新取得个人信息主体的明示同意。 (三)技术规范 在个人信息保护领域,许多技术规范,虽然在法律上不具备强制执行力,但其是监管部门据以执法的重要依据,故而该等技术规范实际上承担了“准法律”的功能。具有代表性的是《信息安全技术 个人信息安全规范(GB/T 35273-2020)》(下称“《个人信息安全规范》”)、《App违法违规收集使用个人信息自评估指南》(下称“《自评估指南》”)和《网络安全标准实践指南—移动互联网应用程序(App)收集使用个人信息自评估指南》(下称“《自评估指南实践指南》”)。 1. 《个人信息安全规范》 《个人信息安全规范》对“共享”的定义是“个人信息控制者向其他控制者提供个人信息,且双方分别对个人信息拥有独立控制权的过程。”按照GDPR和《个人信息安全规范》的说法,即共享方和受共享方均属于数据控制者(Data Controller)。 《个人信息安全规范》第9.2条对个人信息共享规定了详细的操作指引和要求,其具体内容为:共享个人信息,应符合:(a) 事先开展个人信息安全影响评估,并依评估结果采取有效的保护措施;(b) 向个人信息主体告知共享的目的、数据接收方的类型以及可能产生的后果,并事先征得个人信息主体的授权同意;(c) 共享个人敏感信息前,还应告知涉及的敏感信息类型、数据接收方的身份和数据安全能力,并事先征得个人信息主体的明示同意;(d) 通过合同等方式规定数据接收方的责任和义务;(e) 准确记录共享情况;(f) ……(i) 个人生物识别信息原则上不应共享,确需共享的应告知相关内容并征得个人信息主体明示同意。值得作展开介绍的是,2018年时 Yahoo! UK Services Limited被英国信息专员办公室(UK Information Commissioner’s Office)处以25万英镑的罚款,理由之一是其没有采取合适的措施确保其数据处理者Yahoo! Inc.依法保护用户个人信息而导致信息泄露,具体表现形式是其没有与代表其处理个人信息的雅虎集团内的公司Yahoo! Inc.签署数据处理协议。[4]虽然该案例是英国案例,但其执法思路与《个人信息安全规范》第9.2条(d)项“通过合同等方式规定数据接收方的责任和义务”体现的精神异曲同工。实务中,相关数据处理协议也已被部分企业提上日程或已经准备完毕,成为数据合规落地的一部分。 《个人信息安全规范》第9.5条规定了共享个人信息时无需事先征得授权同意的七种情况:(a) 与个人信息控制者履行法律法规规定的义务相关的;(b) 与国家安全、国防安全直接相关的;(c) 与公共安全、公共卫生、重大公共利益直接相关的;(d) 与刑事侦查、起诉、审判和判决执行等直接相关的;(e) 出于维护个人信息主体或其他个人的生命、财产等重大合法权益但又很难得到本人授权同意的;(f) 个人信息主体自行向社会公众公开的个人信息;(g) 从合法公开披露的信息中收集个人信息的,如合法的新闻报道、政府信息公开等渠道。而且,前述本文第一部分所研究的15个App的隐私政策文本均吸收了《个人信息安全规范》第9.5条,以强调该等情形下无需取得数据主体授权同意。 2. 《自评估指南》 App违法违规收集使用个人信息专项治理工作组2019年3月3日发布并于同日生效的《自评估指南》主要用于App运营者对其收集使用个人信息的情况进行自查自纠。其规定的第14个评估点为“对外共享、转让、公开披露个人信息规则”,如果存在个人信息对外共享、转让、公开披露等情况,隐私政策中应明确以下内容:(1) 对外共享、转让、公开披露个人信息的目的;(2) 涉及的个人信息类型;(3) 接受方类型或身份。 在App专项治理工作组[5]发布的《关于61款App存在收集使用个人信息问题的通告》[6]中,公布了57款存在收集使用个人信息问题的App的详细附表。附表中“存在的问题”一列没有一条内容是针对关联公司之间共享个人信息的。因此,尽管目前诸多头部互联网企业仍然默认将个人信息共享给关联企业的做法,但从前述附表看,监管部门似并未仅就关联公司之间共享个人信息事宜提出质疑。 3. 《自评估指南实践指南》 全国信息安全标准化技术委员会2020年7月22日发布并于同日生效的 《自评估指南实践指南》是为落实《网络安全法》、《自评估指南》相关要求而编制的产物。其归纳总结了App收集使用个人信息的六项评估点。其中第五个评估点是“是否经用户同意后才向他人提供个人信息”,该评估点下面又分为“向他人提供个人信息前是否征得用户同意”和“向接入的第三方应用提供个人信息前是否经用户同意”两个子项。若未经用户同意向他人提供个人信息的,即为不符合评估要求。 (四)小结 总体上而言,对于CCPA和GDPR,中国在题述问题方面的立法更靠近于GDPR。 虽然《民法典》、《网络安全法》、《消费者权益保护法》和《个保法草案》都没有使用个人信息“共享”的概念,但“共享”可被“传输”、“提供”所涵盖,个人信息共享行为当然应受前述法规的约束与监管。前述4项法规均强调收集、使用/处理个人信息应当遵循合法、正当、必要原则,《个保法草案》还另外要求遵守诚信、公开、透明原则。前述4项法规对提供个人信息给第三方的相关规定存在差异,根据新法优于旧法的原则,若存在冲突,《民法典》应优先于《网络安全法》和《消费者权益保护法》。若数据控制者可以证明其向关联方共享个人信息的行为属于《民法典》第1035条规定的为维护相关自然人合法权益而合理实施的其他行为,则按照《民法典》其无需承担责任。再根据特别法优于一般法和新法优于旧法的原则,在《个保法草案》生效之后,《个人信息保护法》的规定将优先适用。当前,《个保法草案》对向第三方提供个人信息规定的是一种“告知+取得同意”的严格机制。 一般情况下,向关联方共享个人信息,须取得二次授权是原则,无需取得二次授权是例外。《个人信息保护指南》和《个人信息安全规范》为共享个人信息时应遵守的各项要求规定了详细又清晰的指引,值得重点关注。此外,按照北京知识产权法院在2016年就新浪微博诉脉脉案[7]提出的“三重授权”原则,即用户授权、平台授权和用户授权,若以该等“三重授权”原则作为分析框架,在共享的第三方主体确定,且授权共享、使用个人信息的内容、目的、范围均确定的条件下,“三重授权”原则中的第三重授权可被视为与第一重授权合二为一,又加之与关联方共享的情况基本不会给第二重授权“平台授权”创设障碍,故此时实质上已经符合“三重授权”原则,不过前述条件的成就亦非易事。 回到本文第一部分15个App的隐私政策文本,我们认为相关App未经二次授权径直向关联方共享个人信息的做法是值得商榷的,特别是如果向关联方共享个人信息的目的与App提供服务所收集个人信息的目的并不一致的情况下。例如,某一隐私保护指引提到:“目前,我们不会主动共享或转让你的个人信息至某某集团外的第三方,如存在其他共享或转让你的个人信息或你需要我们将你的个人信息共享或转让至某某集团外的第三方情形时,我们会直接征得或确认第三方征得你对上述行为的明示同意,但因保护用户权益或保护我们生态安全需要除外”,其将“因保护用户权益或保护我们生态安全需要”作为向第三方共享个人信息无需取得二次授权的依据,但对于“某某集团”内部的共享没有给出任何说法,令人质疑共享的必要性。还比如,某一隐私权政策提到:“与关联公司间共享:为便于我们基于我们平台帐号向您提供产品或服务,推荐您可能感兴趣的信息,识别帐号异常,您的个人信息可能会与我们的关联公司和/或其指定的服务提供商共享。我们只会共享必要的个人信息,且受本隐私政策中所声明目的的约束……”,尽管前述内容强调了只会共享必要的个人信息,我们认为以“推荐您可能感兴趣的信息”作为共享的目的,难言符合必要性,而且也可能被认为属于一项“一揽子授权”,剥夺了用户决定是否同意该等共享的选择权。此外,还有多个App的隐私政策中都提到了与关联方的必要共享,其同时也单方强调了必要性。不过该等必要性是否充分,需要进行个案评估或由监管部门作出认定,并非App单方说明符合必要性即可。 我们理解,个人信息保护法规并未认可企业集团可以作为单一的个人信息处理者,也未将向关联方共享个人信息作为一项无须取得用户同意或无须遵守“合法、正当、必要”原则的例外情形。因此,无论企业集团内部公司之间存在多么紧密的互相依赖的关系,从个人信息共享合规的角度,App的个人信息处理者向关联方共享个人信息的,关联方也应视为第三方,与向外部的合作伙伴或供应商共享个人信息并无二致。同时,个人信息处理者向关联方共享个人信息的,同样需要遵循向非关联方共享个人信息所适用的标准,确保符合合法、正当和必要的原则。 四、总结与建议 数据的上下游流转在当前的商业社会普遍存在,稍有不慎,甚至涉及刑事风险。向关联方共享个人信息是否需取得二次授权的答案不是绝对的,特定条件下无需取得二次授权。在需取得二次授权的情况下,仅取得二次授权是不够的,还应进行合法性和必要性评估、进行安全影响评估、告知一系列法定事项等。 我们在此提出我们认为比较合适与安全的操作实践供读者参考:执行“告知+取得同意”的严格机制。在隐私政策中明确拟与之共享个人信息的关联方及相关必要性,对于非绝对必要的情形,可借鉴美国CCPA的规定赋予用户选择不共享的权利。 同时,我们建议,基于现有法律、国家标准、技术规范、监管要求等,从严对待和重视向关联方共享个人信息事宜,采取包括但不限于如下措施或做法:(1) 在隐私政策中为关联方制定清晰、准确的定义;(2) 对共享行为进行合法性、必要性评估;(3) 在共享时进行个人信息安全影响评估。包括对受让方的数据安全能力进行评估确保受让方具备足够的数据安全能力,并按照评估结果采取有效的保护个人信息主体的措施;(4) 共享前应向个人信息主体告知共享该信息的目的、规模、类型、后果、公开范围数据接收方的类型等信息;(5) 共享前应得到个人信息主体的授权同意,与国家安全、国防安全、公共安全、公共卫生、重大公共利益或与犯罪侦查、起诉、审判和判决执行等直接相关的情形除外;(6) 应记录共享信息内容,将共享情况中包括共享的日期、数据量、目的和数据接收方的基本情况在内的信息进行登记;(7) 在共享后应了解接收方对个人信息的保存、使用情况和个人信息主体的权利,例如访问、更正、删除、注销等;(8) 当个人信息持有者发生收购、兼并、重组、破产等变更时,个人信息持有者应向个人信息主体告知有关情况,并继续履行原个人信息持有者的责任和义务,如变更个人信息使用目的时,应重新取得个人信息主体的明示同意;(9) 通过合同等方式规定数据接收方的责任和义务。 注释: [1] 考虑在中国个人信息保护法的语境下讨论相关问题,本文并未使用GDPR中的“个人信息控制者”,而是使用了《个人信息保护法》草案使用的术语“个人信息处理者”。 [2] 参见《GDPR执法案例全景白皮书(2019.5-2020.5)》,中兴通讯数据保护合规部。 [3] 根据CCPA第1798.140节第(v)条,“服务提供者”系指为其股东或其他所有权人的利益或经济利益而组织或经营的独资、合伙、有限责任公司、公司、协会或其他法律实体,这一实体代表企业处理个人信息并且企业根据书面合同向这一实体披露消费者个人信息,但前提是,该合同禁止接收信息的实体保留、使用或披露个人信息以用于任何目的,除非为了履行业务合同规定的服务或本标题所允许的其他目的,包括保留、使用或披露个人信息用于提供业务合同规定的服务之外的商业目的。此处关于“服务提供者”的定义有助于研判本小节第一段所述之“例外”情形是否适用。 [4] 链接: https://ico.org.uk/media/action-weve-taken/mpns/2258898/yahoo-uk-services-ltd-mpn-20180521.pdf [5] 根据《关于开展App违法违规收集使用个人信息专项治理的公告》,受中央网信办、工信部、公安部、市场监管总局委托,全国信息安全标准化技术委员会、中国消费者协会、中国互联网协会、中国网络空间安全协会成立App专项治理工作组。 [6] 链接: https://mp.weixin.qq.com/s?src=11×tamp=1613799626&ver=2901&signature=hg*fnh7zz1HlHHcgZdHqoMEvTk0DEa7onyVY9lLDkqYUzKzWHU7BtRepTOMG0D4UQWrlSUTfSqf560dBHYTpzYVPBlecjSEdCctd4NcsNfK5ZRwhM95VU*dCpYAfdlG3&new=1 [7] (2016)京73民终588号