浅论《个人信息保护法(草案)》中“告知义务”的豁免扩大

2021. 1. 25

浅论《个人信息保护法(草案)》中“告知义务”的豁免扩大

高级合伙人律师   张骏

      2020年10月21日,全国人大常委会审议了《中华人民共和国个人信息保护法(草案)》(以下简称“《草案》”),并向公众征求意见。《草案》虽然目前仍尚未被正式批准,但作为保护个人信息隐私的专法,《草案》中有许多新的亮点值得大家予以关注。本文将着重探讨《草案》第十八条中所规定的个人信息处理“告知义务”问题,同时就完善“告知义务”的豁免制度提出建议。

      我们认为,《草案》将“以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。”定义为个人信息,并且将对个人信息的“收集、存储、使用、加工、传输、提供、公开”行为均归入个人信息处理,同时就个人信息处理的规则进行规范,的确能够在最大程度上保护好个人信息,为规制滥用个人信息的现状划下了清晰的底线,也为如何规范使用个人信息提供了明确的指引。而就个人信息处理指引部分,根据《草案》第十八条规定,在处理个人信息前,个人信息处理者应当事先履行“告知义务”,也就是需将“个人信息处理者的身份和联系方式;个人信息的处理目的、处理方式,处理的个人信息种类、保存期限;个人行使本法规定权利的方式和程序”及其他法律、行政法规规定应当告知的其他事项告知个人信息持有者的个人,并且日后在所告知事项发生变化时,也需要履行二次“告知义务”。

      我们认为,《草案》第十八条这样的规定,的确有其积极的意义,能够加强对个人信息的保护,但我们也从现实层面发现,若根据《草案》第十八条的要求,在将来实行的时候,有可能会导致发生不合理的状况,因此亟待完善相应的“告知义务”豁免制度。

      具体而言,以个人于商业场合中交换名片为例,通常情况下,作为商业信息交换的一部分,企事业单位的人员在参与各种商务活动时,都不可避免地会交换名片,而因名片中含有姓名、联系方式等个人信息,所以对于名片相关信息的处理,也不可避免地会被归入到个人信息处理的活动之中。因此若严格按照《草案》第十八条的要求,如收到名片的企事业单位需对内共享信息或将名片交付第三方集中管理时,就应在收集名片之时依法向递交名片的个人履行冗长的事先告知义务。在此情况下,大家可以设想到一个非常滑稽的情景,即大家在交换名片的时候,都需要拿出长长的一纸告知书,告知对方会如何处理名片中的个人信息,并且为了留存相关记录,还可能要求对方签署书面的同意书。如此这般,不仅将可能造成商业信息沟通与交换效率的下降,而且从常识角度来说也实属滑稽。因此,我们认为将来的《个人信息保护法》理应完善“告知义务”豁免制度,从而免除个人信息处理者在类似情形下的“告知义务”。

      进一步而言,根据《草案》的相关规定,无论是基于“取得个人同意”还是非基于“取得个人同意”,个人信息处理者在处理个人信息前均应当以显著方式、清晰易懂的语言向个人履行告知义务。仅在“有法律、行政法规规定应当保密或者不需要告知的情形的”,或在“紧急情况下为保护自然人的生命健康和财产安全无法及时向个人告知的”情况下,可以不履行告知义务,而甚至在后者的情形下,个人信息处理者也只是被豁免了即时告知义务,其仍应当在紧急情况消除后履行告知义务。

      而我们认为,《草案》的这个豁免制度是无法满足现实个人信息合理处理需求的。即使与《民法典》相比,《草案》的这一豁免制度也是存在明显的缺陷。根据《民法典》第一千零三十六条的规定,行为人处理个人信息,如是在“合理处理该自然人自行公开的或者其他已经合法公开的信息,但是该自然人明确拒绝或者处理该信息侵害其重大利益的除外”或“为维护公共利益或者该自然人合法权益,合理实施的其他行为”的情形下,可不承担民事责任,就明显扩大了个人信息处理者的“告知义务”豁免范围。

      同样以交换名片为例分析,因为交换名片的目的就在于让获得名片的一方能够利用名片上的个人信息来进行商业联络,而且名片上的个人信息也是由提供名片的一方自行公开给接受名片的一方,无论其提供名片是基于本身的主动还是基于交换对方的请求。那么作为接受名片的一方,对该等名片上包含的个人信息进行相应的处理,也完全可以无需履行特别的告知义务,除非接受名片的一方处理该信息会侵害提供名片一方的重大利益。

      即使与欧盟个人信息保护方面的法律《欧盟数据通用保护条例》(General Data Protection Regulation,简称GDPR)比较,我们也发现GDPR中同样也规定了在特定条件下,通过采取合适的措施保障数据主体的数据权利,即可豁免告知义务的情形,包括:数据主体已被告知相关信息;履行告知义务不具有现实可能性或需要付出某种不相称的工作;欧盟成员国已另行制定获取或公开信息的法律,并且该法律为保护数据主体已制定了适当措施;个人数据的处理需要遵守欧盟或成员国法律所规定的执业秘密责任,包括制定法上的保守秘密责任。相较于《草案》,GDPR明显扩大了处理个人信息的告知义务豁免范围。

      因此,我们建议应当完善“告知义务”的豁免制度,将对于从类似于交换名片这样的行为中获得的个人信息,个人信息处理者可免于履行“告知义务”。而对于接受名片的一方处理信息侵害提供名片一方重大利益的问题,我们认为《草案》中已经对如何规范处理个人信息作出了规定,免于履行“告知义务”不会给提供个人信息一方造成额外的损害,也就无需专门在豁免制度中增加但书。

      与此同时,我们也发现《草案》第三十九条中也有关于向境外提供个人信息亦应履行事先告知义务的规定,但并无规定任何豁免的情形。而在中国与世界各国经贸交往如此密切的情况下,通过合规方式将个人信息传输出境也是现实中的合理需要,若因缺乏合理豁免制度,而导致中国境内子公司人员在交换名片时也需要履行“告知义务”,同样也会导致不合理的情形发生。因此,我们也建议对于跨境提供个人信息,也可参照上述方式提供相应的豁免制度。

      综上所述,虽然现在《草案》仍然处于审议阶段,最终出台的《个人信息保护法》对于处理个人信息的告知义务是否存在扩大豁免范围的可能,仍存悬念。但我们也期待着最终出台的《个人信息保护法》能够结合现实可操作性,做出合理的安排,从而让《个人信息保护法》成为一部真正落到实处的法律,推动全社会对于个人信息保护的重视,让每个人都能够保护好自己的个人信息。