《个人信息保护法(草案)》逐条学习笔记之十三至十五:合法基础、有效同意、未成年人
文/梁灯 首发于“创投法律顾问”
《个人信息保护法(草案)》2020年10月21日第一次审议稿(下称“一审稿”)首次亮相,其后该草案二次审议稿(下称“二审稿”)于2021年4月29日公布,向社会公开征求意见至5月28日截止。同步进行二审稿征求意见的《数据安全法》最终于2021年6月10日经全国人大常委会第三次审议正式颁行,而《个人信息保护法(草案)》的第三次审议却并未被列入本次全国人大常委会议程,可见后者的争议问题比前者更多。
本文以一审稿和二审稿之比对作为学习文本,逐条总结了学习笔记如下。
第十三条:合法基础
第十三条是规定个人信息处理的合法性基础,可谓个保法最重要的条款(可无之一)。试想,倘无法界定处理行为的合法基础,个人信息处理无法进行,保护也无从谈起。我从以下五个方面谈一下我对这一条的看法。
1.填补既往立法漏洞的第十三条
一方面《网络安全法》第四十一条规定“同意”是收集、使用个人信息的唯一合法基础,这是当时网安法立法最大的bug。个保法二审稿第十三条第一款列举了六项处理个人信息的合法基础,“同意”是其中一项而已,从而填补了网安法漏洞;
另一方面,《民法典》第一千零三十六条规定“同意”、“已公开”、“公共利益”三种情况作为个人信息处理者行为人不承担民事责任的免责事宜。表面看起来如此规定与本条规定精神一致,但从立法逻辑看,合法基础和免责事由却大相径庭。合法基础是行为的前提条件,而免责事由是行为豁免法律责任的条件。前者是认定合法与否的问题,是价值判断;后者是解决责任承担问题,是事实判断。误把前者设置为后者,贬损了前者的基石意义。个保法二审稿的这一规定,实际上是对《民法典》的拨乱反正,也印证了我上面所说的《民法典》不是个保法上位法,个保法并非不能对《民法典》有关制度进行调整修正的观点。
2.二审稿增加了一项合法基础:已公开的个人信息
一方面,这同时也是把《民法典》第一千零三十六条规定的“已公开”从免责事由调整修正为合法基础。
另一方面,需要注意处理已公开的个人信息还受本法第二十八条的限制条件约束,即处理行为不得超出与该等被公开个人信息公开时的用途相关的合理范围。实务中已出现这类案例,如梁某诉北京某公司网络侵权责任纠纷一案,梁某认为北京某公司转载已公开的判决书所载的信息,侵犯其个人信息权益。最终法院认定北京某公司所转载的案涉裁判文书来源于对外发布审判信息的北京法院审判信息网,北京某公司在转载过程中未对原裁判文书进行增删、改动,不存在不当行为。北京某公司转载案涉文书不存在过错,不需要为其转载行为承担侵权责任。(参见(2021)京04民终71号号案)可见,虽个保法未施行,该案法官的裁判思路与个保法草案相近,即认定转载裁判文书未增删、改动信息(即未超过信息公开时的合理范围),故不认定侵权。
3.二审稿比一审稿增加规定了第二款
本条的第二款是在一审稿基础上新增的,有人质疑这是画蛇添足,有人批评这一款规定把“同意”这一项合法性基础提升至比其他六项合法基础更高的位置,“同意”似成为其他六项合法基础的一般性基础。我认为这些观点都是对这一款的误解,这一款关键的一个词不能忽略,即“依照本法其他有关规定”中的“其他”。因此,该款既不是针对第一款的同义反复,也不是对第一款各项作重要性排序,它指向的是本法的其他条款。为了行文方便,当其他条款论及个人信息处理时只规定需个人信息主体同意,这一款即解释了根据本条的其他合法性基础,其他条规定的个人信息处理行为也是合法的。例如,本法第二十四条、第二十六条、第二十七条所规定的个人信息处理,除了通过“个人同意”可获得合法性外,也可根据本条第二款的规定取得处理行为的合法性基础。
4.“为订立或履行合同所必需”的理解
本条第一款第(三)项规定的合法基础是“为订立或履行合同所必需”。网络服务场景中如何判断是否属于订约或履约,可通过是否属于所处理的个人信息是产品或服务所提供的基本业务功能之必须。在APP个人信息保护语境下,可参考2021年5月1日,国家互联网信息办公室、工业和信息化部、公安部、国家市场监督管理总局四部门联合发布的《常见类型移动互联网应用程序必要个人信息范围规定》,值得注意的是在此规定前的2019年6月1日全国信息安全标准化技术委员会发布了《网络安全实践指南—移动互联网应用基本业务功能必要信息规范》,该规范也对APP的必要个人信息范围作了规定。
另一方面,作为提供网络服务的个人信息处理者,往往存在多方关联企业,其提供网络服务的主体与实际处理个人信息的主体可能分属于同一集团内的不同关联主体。此情况下,订约或履约能否成为非提供服务的关联方处理个人信息的合法性基础,对此应作扩充解释还是限缩解释,有待后续立法、司法解释和司法实践的进一步阐明。
5.“合理使用”的理解
本条第一款第(六)项规定为公共利益实施新闻报道、舆论监督的合理范围内处理是合法基础。此处表述类似于知识产权领域的“合理使用”。但不免让人担忧的是,根据文义,此处新闻报道、舆论监督仅为为公共利益所实施的“合理使用”的行为举例,还可能存在其他以公共利益为目的的其他“合理使用”行为,这是否会使公共利益的目标被滥用?
这一担忧并非多虑,即使尚未有法律明确规定的情况下,就有司法判例在裁判中提交需考察个人信息处理者是否存在“合理使用”的情况,且提及考察“合理使用”是否存在的理由竟然是获取个人同意的成本过高,而该案所讨论的情形与公共利益无关。(参见凌某某诉北京微播视界公司侵权一案(2019)京0491民初6694号)因此,若立法明确了公共利益为目的的“合理使用”时,更应高度警惕滥用的情形。
第十四条:有效同意
本条规定的是“有效同意”的条件,即要求同意是“知情”的、“自愿”和“明确”的。这一规定还是相对原则,具体的“知情”、“自愿”和“明确”有待配套制度(如通过制定国家标准的方式)进一步明确。
2020年1月20日全国信息安全标准化技术委员会曾公布《信息安全技术个人信息告知同意指南》(征求意见稿),但至今该指南尚未“转正”。而欧盟EDPB针对GDPR的同意规则在2020年5月也发布了《同意指南》,该指南的内容非常详尽,我国后续制定或修改有关标准可依此作参考。EDPB《同意指南》的主要内容如下图所示。
第十五条:未成年人
这一条是对未成年人个人信息处理的特别规定,有两方面注意的点:
其一,特别保护年龄不以传统民法界定民事行为能力的8岁、16岁、18岁来划分,而是与《未成年人保护法》第七十二条所规定的年龄保持一致。这再一次印证了个人信息权益不止是民事权益,个保法非《民法典》下位法的观点。
其二,二审稿删除了一审稿规定的“知道或应当知道”的表述,意味着对个人信息处理者提出更高的注意义务标准。个人信息处理者在具体处理场景需具备识别个人信息主体是否是未满14周岁未成年人的能力,否则,只要其处理的个人信息是未满14周岁未成年人的个人信息,则不论其实际知道与否,均按本条规定进行规制。
声明
1、本文系“创投法律顾问”梁灯律师原创。本文仅为作者个人观点,不代表作者所任职机构的立场。
2、其他媒体、网站或刊物如需转载,须事前获得作者授权。
3、获得授权的转载须严格遵守以下规范:须在文章首部显著位置注明作者“梁灯”及出处“创投法律顾问”公众号两项信息,且不得改动本文原标题进行转载。
4、本文不能视为正式法律意见。