第三十九條 個人資訊處理者向中華人民共和國境外提供個人資訊的,應當向個人告知境外接收方的名稱或者姓名、聯系方式、處理目的、處理方式、個人資訊的種類以及個人向境外接收方行使本法規定權利的方式和程式等事項,并取得個人的單獨同意。
【條文主旨】
本條是關于向境外提供個人資訊應告知的事項和取得個人單獨同意的規定。
【條文了解】
随着經濟全球化和網絡科技的高速發展,個人資訊的跨境流動日益頻繁。由于不同國家或地區的個人資訊保護法律制度、保護水準和程度存在差異,使得個人資訊跨境風險問題更加複雜。個人資訊主體在此種情形下,其合法權益更有可能受到損害,是以必須對其進行充分、有效的提示。為此,本法對跨境提供個人資訊的“告知—同意”作出了更嚴格的要求,旨在切實保障個人的知情權與決定權。本條與第38條共同構成了跨境提供個人資訊的核心條款,有所不同的是第38條所規定的個人資訊出境條件更側重于滿足國家監管要求,而第39條則是為維護個人資訊權益,保障個人權益而需要個人資訊處理者履行的義務。
一、告知的内容和告知的形式
(一)告知的内容
凡是需要取得個人同意的個人資訊處理活動,處理者都需要履行向個人告知的義務,在取得個人同意後才能實施個人資訊處理活動。有效的同意意味着當事人必須知情,即請求當事人作出同意之時,應向其提供與之有關的全部必要資訊;這種資訊應包括資料處理的所有實質内容,否則有關的同意并不足以使這種資料的處理合法化。這涉及資訊透明度的問題。雖然透明度本身不足以使資料處理合法化,然而,這是確定任何當事人能夠對其自身的資料實作控制,并確定其作出有效同意的必要條件。本條在告知的内容上采取了“列舉+兜底”的方式,包括“境外接收方的身份、聯系方式、處理目的、處理方式、個人資訊的種類以及個人向境外接收方行使本法規定權利的方式”等事項。相較于一審稿、二審稿所規定的告知義務,《個人資訊保護法》将告知“境外接收方的身份”修改為“境外接收方的名稱或姓名”,進一步明确了告知的内容。
個人資訊出境中的告知義務也要符合一般告知規則的要求。本法第17條是對個人資訊處理前的告知形式、内容、方式的基本規定,而本條在此基礎上,對個人資訊跨境傳輸情形下的告知内容進一步作出特别規定。在個人資訊出境前,相關個人資訊處理者既需要遵守本條的告知内容要求,也需要遵守本法第17條所規定的告知形式,包括以顯著方式、清晰易懂的語言真實、準确、完整地告知個人資訊主體相關事項。
關于個人資訊的告知同意問題,全國資訊安全标準化技術委員會2020年1月20日釋出了《資訊安全技術個人資訊告知同意指南(征求意見稿)》對此作出了專門指引,包括“告知同意的适用情形”“免于告知同意的情形”“告知同意的基本原則”“告知的内容、方式、展示、适當性”“同意的模式選擇和機制設計、變更與撤回、證據留存”等,待該指南生效後可作為參考。
(二)告知的形式
本條對于“告知同意”所作出的核心要求為“單獨同意”。單獨的同意意味着“單獨的告知”。以App收集使用個人資訊的場景為例,此場景下個人資訊處理者往往是通過使用者勾選隐私政策的方式擷取使用者同意,在本法生效之前,法律法規層面僅規定了個人資訊出境情形下也需要取得“同意”,而未作“單獨同意”的要求,App的隐私政策中的個人資訊出境條款往往與其他個人資訊處理的場景混合在一起,使用者隻要勾選了一個統一的同意選項,就意味着對全部的個人資訊處理活動的“同意”,即所謂典型的“一攬子同意”,這種做法在此前較為普遍,而随着本法的出台,以“一攬子同意”的方式所取得的關于個人資訊出境的同意将不再有效。在個人資訊出境前,相關個人資訊處理者必須通過單獨的提示,比如App或網頁的單獨彈窗等方式,單獨告知使用者相關事項,使用者單獨同意後,其同意才是有效的。
二、單獨同意
(一)同意在個人資訊出境中的地位
一些國家或地區規定,同意與風險評估、訂立标準合同等處于同一地位,均為個人資訊出境的通道之一。如《澳洲昆士蘭州資訊隐私法》規定:資訊處理者取得個人同意後,可以将個人資訊移轉至境外。
但根據本條規定,同意并非個人資訊出境的獨立通道,獲得同意并不意味着個人資訊處理者可以規避其他規定。個人資訊處理者向境外提供個人資訊的,在滿足第38條規定的條件後,仍需依照本條規定取得資訊主體的單獨同意。換言之,資訊處理者向境外提供個人資訊的,既要滿足本法第38條的規定,又要依照本條規定取得個人的單獨同意。
(二)單獨同意的内涵與形式要求
單獨同意,是指個人資訊處理者要專門就個人資訊出境這一具體事宜,以單獨的、特定的、差別于其他個人資訊處理事項的告知方式有效告知個人資訊主體,并在此基礎上取得個人對其個人資訊出境的特定、明确的同意,總結而言,即“一個處理行為+一個告知+一個同意”。
對于單獨同意的形式要求,以及單獨同意與書面同意之間的異同關系問題,兩者的共性在于其都是本法對特定的個人資訊處理情形下同意形式所作的特别嚴格要求。結合本法第29條的規定内容來看,處理敏感個人資訊應當取得個人的單獨同意;法律、行政法規規定處理敏感個人資訊應當取得書面同意的,從其規定。從文義解釋上來看,“單獨同意”與“書面同意”是交叉的關系,本法并未規定“單獨同意”必須以書面形式作出,因而單獨同意的形式可以包括書面、口頭或者其他的形式。此外,從資訊主體是否積極作為的角度來看,單獨同意可以是明示同意也可以是默示同意。
結合本法第14條、第22條、第23條的規定,當個人資訊處理者的隐私規則發生變更、資料出境目的、範圍、類型、數量發生較大變化、資料接收方發生變更或資料出境風險發生較大變化時,應重新取得個人資訊主體的單獨同意。
【條文适用】
一、關于告知的時間
一般情況下,個人資訊處理者必須是在處理個人資訊前向個人資訊被處理的個人進行告知,而不能在已經實施了個人資訊處理行為之後再告知個人。根據《個人資訊保護法》第18條規定,在一些緊急情況下為保護個人的生命健康和财産安全無法及時告知的,資訊處理者可以先行實施資訊處理行為。當然,在緊急情況消除後,處理者仍然應當履行告知義務。
二、關于告知的語言要求
個人資訊處理者應當以顯著方式、清晰易懂的語言真實、準确、完整地向個人進行告知。如果處理者通過一些難以了解的專業術語進行告知,個人很難預測資訊處理行為會對自己權益造成何種影響,是以難以作出自由的決定。顯著方式是指以一般人容易辨識并能夠了解處理者告知内容的方式,而不能使用極小的字型、冗雜的文字等方式,讓個人無法辨識處理者所告知的内容。清晰易懂的語言,意味着處理者應當以普通人能了解的語言表述進行告知,能夠使任何不具備個人資訊處理專業知識的個人了解處理者所告知的内容。
三、關于無須告知同意的情形
個人資訊處理者向境外提供個人資訊的,原則上均要履行告知義務并取得個人同意。但根據《個人資訊保護法》第18條第1款規定,個人資訊處理者處理個人資訊,有法律、行政法規規定應當保密或者不需要告知的情形的,可以不向個人告知。例如,根據《國際刑事司法協助法》規定,外國可以向中國請求調查驗證,其中調查驗證的内容可能包括金融賬戶、行蹤軌迹等個人資訊,此時向境外提供這些資訊時不宜向個人告知并取得個人同意,否則會有礙正常訴訟程式的進行。
四、關于擷取單獨同意的義務主體
在本法的立法過程中,有觀點認為應當明确履行告知義務和擷取單獨同意的主體。從本條文義來看,該義務應當是由提供個人資訊的處理者承擔。應注意的是,此前在司法實踐中,“新浪微網誌訴脈脈軟體不正當競争案”确立了個人資訊共享情形下的“三重授權原則”,即不僅是個人資訊提供者要擷取個人的同意,接收者也要擷取個人的同意,而且接收者同時還要擷取提供者的同意。顯然,該規則最大程度地保護了個人資訊主體的權益,但也是以對個人資訊的流通與利用設定了過多的障礙,不利于個人資訊資源的充分開發與利用。因而,在司法裁判中,建議放棄前述的三重授權原則,而采用本條的“告知與單獨同意”模式作為個人資訊流通的合法性基礎,并将告知與擷取同意的義務交由個人資訊提供者來承擔。個人資訊提供者在擷取了個人的單獨同意并符合本法規定的其他後,就可以向境外提供個人資訊。
五、關于告知的對象和作出單獨同意的主體
資訊處理者想要進行個人資訊出境的,其必須告知“個人”并取得其單獨同意。此處的“個人”一般指資訊主體,特殊情形下,如果涉及不滿14周歲未成年人個人資訊的,資訊處理者應當取得未成年人監護人的同意。當然,為保證監護人同意是在充分知情的前提下,合理考慮資訊出境對未成年人權益造成的影響後作出的,資訊處理者告知的對象也應當是未成年人的監護人。