《個(gè)人信息保護(hù)法》逐條解讀:個(gè)人信息處理規(guī)則(二)
第十七條 個(gè)人信息處理者在處理個(gè)人信息前,應(yīng)當(dāng)以顯著方式、清晰易懂的語(yǔ)言真實(shí)、準(zhǔn)確、完整地向個(gè)人告知下列事項(xiàng):
(一)個(gè)人信息處理者的名稱或者姓名和聯(lián)系方式;
(二)個(gè)人信息的處理目的、處理方式,處理的個(gè)人信息種類、保存期限;
(三)個(gè)人行使本法規(guī)定權(quán)利的方式和程序;
(四)法律、行政法規(guī)規(guī)定應(yīng)當(dāng)告知的其他事項(xiàng)。
前款規(guī)定事項(xiàng)發(fā)生變更的,應(yīng)當(dāng)將變更部分告知個(gè)人。
個(gè)人信息處理者通過(guò)制定個(gè)人信息處理規(guī)則的方式告知第一款規(guī)定事項(xiàng)的,處理規(guī)則應(yīng)當(dāng)公開(kāi),并且便于查閱和保存。
第十八條 個(gè)人信息處理者處理個(gè)人信息,有法律、行政法規(guī)規(guī)定應(yīng)當(dāng)保密或者不需要告知的情形的,可以不向個(gè)人告知前條第一款規(guī)定的事項(xiàng)。
緊急情況下為保護(hù)自然人的生命健康和財(cái)產(chǎn)安全無(wú)法及時(shí)向個(gè)人告知的,個(gè)人信息處理者應(yīng)當(dāng)在緊急情況消除后及時(shí)告知。
根據(jù)第十四條的規(guī)定“基于個(gè)人同意處理個(gè)人信息的,該同意應(yīng)當(dāng)由個(gè)人在充分知情的前提下自愿、明確作出”,這就要求個(gè)人信息處理者在處理個(gè)人信息之前,有告知的義務(wù)。告知的程度,應(yīng)該達(dá)到個(gè)人“充分知情”的地步。
第十七條規(guī)定了需要向個(gè)人告知的事項(xiàng)。在這些事項(xiàng)中,名稱(姓名)和聯(lián)系方式是一種常規(guī)告知。個(gè)人信息處理目的、處理方式,這一部分可能會(huì)成為一些企業(yè)重點(diǎn)考慮的問(wèn)題,也可能是容易發(fā)生變更的事項(xiàng)。很多企業(yè)有最大限度處理個(gè)人信息的想法,但是目前要求明確處理目的和處理方式,無(wú)疑對(duì)之后個(gè)人信息處理的范圍進(jìn)行了限制。另外,經(jīng)營(yíng)模式的發(fā)展以及企業(yè)和技術(shù)的發(fā)展,會(huì)產(chǎn)生新的個(gè)人信息的處理目的和處理方式。
當(dāng)已經(jīng)告知的事項(xiàng)發(fā)生變化的時(shí)候,需要再次將變更部分告知個(gè)人。同時(shí),根據(jù)第十四條的規(guī)定,需要個(gè)人再次同意。這就為一些產(chǎn)品或者服務(wù)的提供者提出了新的要求。
第十八條規(guī)定了向個(gè)人告知的例外情況,主要有兩種例外情況:1、法律、行政法規(guī)(不包括部門規(guī)章、地方性規(guī)定等法律類文件)應(yīng)當(dāng)保密的或者不需要告知的;2、緊急情況,為了更高位階的法律價(jià)值(生命健康、財(cái)產(chǎn)安全)無(wú)法及時(shí)告知的,可以在緊急情況消除后告知。這種情況不是不告知,只是可以暫緩告知義務(wù)。
第十九條 除法律、行政法規(guī)另有規(guī)定外,個(gè)人信息的保存期限應(yīng)當(dāng)為實(shí)現(xiàn)處理目的所必要的最短時(shí)間。
本條是關(guān)于個(gè)人信息的保存期限的問(wèn)題。對(duì)這個(gè)問(wèn)題,《個(gè)人信息保護(hù)法》并沒(méi)有做出統(tǒng)一的規(guī)定,而是規(guī)定了一個(gè)確定時(shí)間的規(guī)則,即:為實(shí)現(xiàn)處理目的所必要的最短時(shí)間。
這條規(guī)則,如果遇到法律糾紛,其實(shí)是苛以了信息處理者一個(gè)舉證義務(wù):說(shuō)明或者證明某種信息為什么需要保存一個(gè)月或者兩個(gè)月,必要性在哪里?如果信息處理者無(wú)法說(shuō)明或者證明“必要最短時(shí)間”的話,應(yīng)該承擔(dān)相應(yīng)的法律責(zé)任。
第二十條 兩個(gè)以上的個(gè)人信息處理者共同決定個(gè)人信息的處理目的和處理方式的,應(yīng)當(dāng)約定各自的權(quán)利和義務(wù)。但是,該約定不影響個(gè)人向其中任何一個(gè)個(gè)人信息處理者要求行使本法規(guī)定的權(quán)利。
個(gè)人信息處理者共同處理個(gè)人信息,侵害個(gè)人信息權(quán)益造成損害的,應(yīng)當(dāng)依法承擔(dān)連帶責(zé)任。
兩個(gè)以上的個(gè)人信息處理者共同處理個(gè)人信息的情況非常多。有的是兩個(gè)以上的經(jīng)營(yíng)者共同經(jīng)營(yíng)一款產(chǎn)品或者服務(wù),有的是一個(gè)或者多個(gè)經(jīng)營(yíng)者在另外一個(gè)經(jīng)營(yíng)者提供的平臺(tái)上經(jīng)營(yíng),有的是兩個(gè)以上的經(jīng)營(yíng)者達(dá)成協(xié)議共同處理個(gè)人信息,無(wú)論哪種情況,如果共同決定個(gè)人信息的處理目的和處理方式的,應(yīng)該根據(jù)本條的規(guī)定,約定各自的權(quán)利和義務(wù)。
共同處理個(gè)人信息侵害個(gè)人權(quán)益的,屬于共同侵權(quán)行為,應(yīng)該承擔(dān)連帶責(zé)任。
第二十一條 個(gè)人信息處理者委托處理個(gè)人信息的,應(yīng)當(dāng)與受托人約定委托處理的目的、期限、處理方式、個(gè)人信息的種類、保護(hù)措施以及雙方的權(quán)利和義務(wù)等,并對(duì)受托人的個(gè)人信息處理活動(dòng)進(jìn)行監(jiān)督。
受托人應(yīng)當(dāng)按照約定處理個(gè)人信息,不得超出約定的處理目的、處理方式等處理個(gè)人信息;委托合同不生效、無(wú)效、被撤銷或者終止的,受托人應(yīng)當(dāng)將個(gè)人信息返還個(gè)人信息處理者或者予以刪除,不得保留。
未經(jīng)個(gè)人信息處理者同意,受托人不得轉(zhuǎn)委托他人處理個(gè)人信息。
本條是規(guī)定受托處理個(gè)人信息者的義務(wù)問(wèn)題。相比個(gè)人信息處理者的義務(wù),受托處理個(gè)人信息者的義務(wù)要小的多:1、關(guān)于合同內(nèi)容的要求,即約定委托處理的目的、期限、處理方式、個(gè)人信息的種類、保護(hù)措施以及雙方的權(quán)利和義務(wù)等;2、接受受托人對(duì)個(gè)人信息處理活動(dòng)的監(jiān)督;3、依照約定處理個(gè)人信息;4、合同無(wú)效或者終止的,返還或者刪除個(gè)人信息;5、不得轉(zhuǎn)委托。
因?yàn)橄啾葌€(gè)人信息處理者,受托處理信息者的義務(wù)小的多,所以有可能一些企業(yè)把自己定義為受托處理信息者,來(lái)躲避法定的義務(wù)。這個(gè)時(shí)候,我們需要根據(jù)實(shí)際情況來(lái)判決該企業(yè)究竟屬于個(gè)人信息處理者還是受托處理信息者。如果一個(gè)企業(yè)既是個(gè)人信息處理者又是收?qǐng)D圖哦處理個(gè)人信息者雙重身份,那么就需要根據(jù)其具體的經(jīng)營(yíng)行為來(lái)具體判斷承擔(dān)什么樣的法律義務(wù)。
第二十二條 個(gè)人信息處理者因合并、分立、解散、被宣告破產(chǎn)等原因需要轉(zhuǎn)移個(gè)人信息的,應(yīng)當(dāng)向個(gè)人告知接收方的名稱或者姓名和聯(lián)系方式。接收方應(yīng)當(dāng)繼續(xù)履行個(gè)人信息處理者的義務(wù)。接收方變更原先的處理目的、處理方式的,應(yīng)當(dāng)依照本法規(guī)定重新取得個(gè)人同意。
本條是關(guān)于個(gè)人信息處理者合并、分立、解散、被宣告破產(chǎn)等原因需要轉(zhuǎn)移個(gè)人信息的,怎么怎么辦的規(guī)則。需要指出的是,個(gè)人信息處理者合并、分立的時(shí)候未必需要轉(zhuǎn)移個(gè)人信息。而在解散、被宣告破產(chǎn)的時(shí)候,一定需要轉(zhuǎn)移個(gè)人信息。