作者:程啸,清华大学法学院教授,法学博士。
一、问题的提出
数据是一种重要的、新型的民事权利客体。数据上存在复杂的权益体系,既包括个人信息权益、隐私权等人身权益,也有著作权、数据产权等财产权益。随着《中共中央、国务院关于构建数据基础制度更好发挥数据要素作用的意见》(以下简称“数据二十条”)的颁布,我国正在大力构建包括数据产权、数据要素流通和交易、数据要素收益分配以及数据要素治理等制度在内的数据基础制度。个人数据是最重要的一类数据,个人数据的开发和利用无论对于网络信息科技还是数字经济的发展都至关重要。由于个人数据是与已识别或可识别的自然人相关的数据,故个人数据交易的底线就是不得侵害个人信息权益等自然人的人格权益。否则,不仅该交易违法,归于无效,当事人还要承担侵害个人信息权益的民事责任、行政责任甚至刑事责任。因此,在个人数据交易中如何保护个人信息权益,避免交易行为因侵害个人信息权益而被认定为违法无效,已经成为整个数据基础制度构建中的“阿喀琉斯之踵”。倘不解决该问题,则整个数据要素的流通和交易、数据要素收益分配等制度的建设与发展,均无从谈起。
要保护个人信息权益,确保个人数据交易的合法有效,并在出现违法时科学合理地界定各方的法律责任,就必须从理论上深入研究个人数据交易的合法性审查义务。所谓个人数据交易的合法性审查义务,即当事人确保个人数据交易合法的注意义务,它是指当事人依据法律规定及合同约定所负有的对个人数据来源合法以及防止个人数据交易侵害个人信息权益的注意义务。负有合法性审查义务的当事人未尽到该义务,将被认定具有过错,不仅要就数据交易无效的后果承担相应的责任,还要承担侵害个人信息权益的各种法律责任。目前,学界对于个人数据交易的私法构造、个人数据上经济利益的实现方式等问题已有较为深入的研究,但对于个人数据交易中的合法性审查义务还缺乏研究。有鉴于此,本文将依据我国个人数据保护法律规范体系,立足于数据交易的类型与场景,从个人数据的来源与个人数据交易行为两个层面分别讨论合法性审查义务的内容、性质、分配及证明责任,并确定违反合法性审查义务时当事人的法律责任。
二、个人数据来源的合法性审查义务
个人数据交易的合法性审查义务包括两个层次:第一,确定个人数据的来源合法与否,也就是说,处理者用于交易的个人数据应是合法取得的个人数据,而非通过窃取等非法方式取得。如果个人数据的来源是非法的,后续围绕该数据实施的所有数据交易活动往往都是非法的。第二,在个人数据是合法取得的前提下,应当确保个人数据交易行为符合《个人信息保护法》的要求,没有侵害个人信息权益。个人数据处理者取得个人数据的方式有两种:一是初始取得,即从自然人处直接取得其个人数据,《个人信息保护法》将之称为个人信息的收集。二是继受取得,即处理者从其他已经合法取得个人数据的主体那里取得个人数据,包括个人数据的提供、转移以及委托处理,统称为个人数据的交易。关于个人数据来源的合法性审查义务,具体阐述如下:
(一)处理者负有保证个人数据来源合法的结果性义务
为了贯彻落实《宪法》关于尊重和保护人权以及维护人格尊严、人身自由的规定,《个人信息保护法》第44条赋予了个人对其个人信息处理享有知情权和决定权。这使得个人对其个人数据的处理享有了排他的和控制的权利,即个人不需要任何理由就可以禁止任何组织或个人对其个人数据进行收集、存储、加工、使用等处理活动,也可以对已经同意的对其个人数据的收集等处理活动加以相应的限制。个人对其个人数据处理的知情权和决定权属于基础性权利和概括性权利,在个人信息权益中处于核心枢纽的地位,对于维护人格尊严和人格自由,确立个人在个人数据处理中的主体地位,并尊重其自主价值,防范个人数据处理对其产生风险和损害具有决定性意义。
正是由于个人对其个人数据享有知情权和决定权,所以《民法典》第1035条第1款明确规定了个人信息处理必须满足四项要件,《个人信息保护法》第13条第1款第1句也规定,只有符合该款所列七项情形之一,个人信息处理者方可处理个人信息。这就是说,法律上给不特定的处理者施加了一项指向性义务,即原则上任何组织或个人都不能针对个人数据实施收集等处理活动,除非具有相应的法律根据。因此,任何实施个人数据收集行为的组织或个人都负有确保其个人数据的收集具有法律根据的注意义务。由于处理者本身就是个人数据收集行为的实施者,其负有的该注意义务不是方式性义务而是结果性义务。结果性义务意味着,只有义务人实现了某种特定的结果,才能认定其履行了该义务。而方式性义务并不要求确保某种结果的出现,只要求按照法律规定或合同约定满足了相应的行为方式、主观要件即可。对于方式性义务的履行采取的是过错责任原则,而对于结果性义务的履行则采取的是严格责任原则。简言之,结果性义务的履行只看结果,没有达到相应的结果就要承担责任。处理者保证个人数据收集的合法性义务属于结果性义务,意味着只要个人数据的收集缺乏法律根据,该收集行为就是非法的。此种非法被当然地视为处理者的过错,处理者没有推翻的可能,应当承担法律责任。《民法典》第111条、《个人信息保护法》第10条、《网络安全法》第44条等法律都明确规定,任何组织、个人不得非法收集、非法出售或者非法向他人提供个人信息。处理者将非法收集的个人数据用于交易的,该个人数据交易合同将因违反法律、行政法规的强制性规定而属于部分无效或全部无效的合同。非法收集个人数据的处理者应当依法主动删除非法收集的个人数据,就合同无效而产生的损失承担相应的责任,同时承担由此产生的民事责任等法律责任。
依据《个人信息保护法》等法律的规定,个人数据收集应当具备的法律根据(legal
justification for
processing)分为两大类:一是基于个人同意收集个人数据,即处理者向个人履行告知义务并取得个人(或其监护人)的同意。因此,处理者需要按照法律规定将依法应当告知的事项以显著方式、清晰易懂的语言真实、准确、完整地向个人予以告知,并取得个人或其监护人的同意(单独同意或书面同意)后,才能开始收集该自然人相应的个人数据。二是基于法定许可而收集个人数据,即处理者在符合法律、行政法规所规定的个人数据合理使用的情形下,如《个人信息保护法》第13条第1款第2—7项的规定,可以无须取得个人同意就收集个人数据。我国法上的个人数据的法定许可情形被严格限定为法律、行政法规的规定,不包括地方性法规、政府规章以及其他规范性文件。
随着网络信息科技的发展,特别是人工智能技术的运用,个人数据的收集往往是在个人无法感知的情形下,通过自动化采集技术进行的。例如,智能网联车在运行中通过摄像头、传感器等设备对车外人员、车辆、自然环境等数据进行收集。此种情形下,处理者既无法履行告知并取得同意的义务,也常常不满足法律、行政法规所规定的可以无须告知并取得同意的情形。此时,个人数据的收集当然是非法的。但人工智能技术的发展和运用又必须大量使用相关的数据。在这种情况下,处理者必须对个人数据进行匿名化处理,使其成为非个人数据后才能实施收集等处理活动。个人数据的匿名化,是指个人数据经过处理无法识别特定自然人且不能复原的过程。由于经过匿名化处理的个人数据不属于个人数据,故处理者通过自动化采集技术收集到的个人数据被匿名化处理后,其数据收集行为就是非个人数据收集行为,不再适用《个人信息保护法》等法律规定。
(二)处理者负有证明个人数据收集行为合法的举证责任
已经收集了个人数据的组织或个人,无论是以该个人数据为标的而与他人开展数据交易,还是在有关当事人或执法机构就该个人数据收集行为的合法性存在疑问或者发生争议时,该收集个人数据的处理者都负有证明个人数据收集行为合法的举证责任。如果无法证明,则个人数据的收集行为被视为非法,处理者必须承担由此产生的侵害个人信息权益的法律责任。例如,欧盟《通用数据保护条例》第7条第1款规定:“如果处理是基于同意,控制者应能证明数据主体已经同意处理其个人数据。”也就是说,如果数据主体声称其未给予或未有效给予同意的,则控制者承担举证责任。这也是与《通用数据保护条例》第5条第2款规定的控制者对数据处理合法性的可问责性(accountability)相一致的。
如果个人数据处理者是通过履行告知义务并取得同意的方式来收集个人数据的,则处理者应当提出证据证明已严格依法履行了告知有关事项的义务,并取得了个人或其监护人的同意(或单独同意、书面同意)。例如:网络服务提供者是通过隐私政策或个人信息处理规则以一对多的方式履行告知义务并取得同意的,则该网络服务提供者应当提供留存的网络数据加以证明;如果是线下一对一告知并取得同意的,应当提供电子方式或其他方式留存的证据予以证明。倘若处理者是按照法律、行政法规的规定,无须取得同意即收集个人数据的,则其必须证明收集行为符合法律、行政法规所规定的某一情形。例如,处理者利用自然语言处理、大模型等人工智能技术自动探测和智能监测取得个人医疗健康信息而未取得个人单独同意的,可以通过证明是为了“应对突发公共卫生事件”或“紧急情况下为保护自然人的生命健康”所必需而确定处理行为的合法性。
(三)处理者未能保证个人数据来源合法的法律责任
倘若处理者不能提供证据证明其履行了个人数据收集合法性的审查义务,则该个人数据的收集行为被视为非法行为。由于法律上明确禁止任何个人、组织非法收集个人数据,因此处理者应当主动删除这些非法收集的个人数据,个人也有权请求删除。如果在技术上难以删除非法收集的个人数据的,则处理者应当停止除存储和采取必要的安全保护措施之外的处理。此外,个人数据收集者还要因为非法收集个人数据的行为承担相应的法律责任。实践中,虽然不少个人数据的收集行为不具备《个人信息保护法》等法律所规定的法律根据,但该行为是发生在《个人信息保护法》实施之前的。例如,按照《个人信息保护法》第29条,收集敏感的个人数据应当取得个人的单独同意。但在该法施行前,有关单位已经收集了这些敏感的个人数据且未取得个人的单独同意。那么,在《个人信息保护法》实施之后,处理者是否应当删除已经收集的个人数据呢?首先,依据《立法法》第104条,我国法律法规原则上不溯及既往,除非为了更好地保护公民、法人和其他组织的权利和利益而作出了特别规定。故此,《个人信息保护法》等法律不溯及既往,不能据此认定法律实施之前的个人数据收集行为是非法行为。其次,要区分个人数据的收集行为是基于个人同意还是法定许可,分别加以判断。对基于个人同意收集个人数据的,虽然该收集行为发生在法律实施之前,不应被认定为非法,但为了更好地保护个人信息权益,在《个人信息保护法》实施之后,除非满足了法律所规定的条件而可以继续进行存储、加工、使用等处理行为,否则,处理者应当删除这些个人数据或者对其进行匿名化处理,如果技术上无法删除,则应当停止除存储和采取必要的安全保护措施之外的处理行为。如果个人数据收集行为符合法定许可情形,则可以认定收集行为是合法的(参照适用《最高人民法院关于适用〈中华人民共和国民法典〉时间效力的若干规定》第3条)。这样既有利于促进个人数据的流通利用、维护公共利益,也没有明显减损当事人合法权益、增加当事人法定义务或者背离当事人合理预期。
三、个人数据交易行为的合法性审查义务
个人数据交易是指各方当事人以个人数据作为标的而开展的交易活动,有狭义和广义之分。狭义的个人数据交易是指已经合法取得个人数据的处理者与他人之间进行的以个人数据为标的的交易活动,如个人数据的转移、许可使用或委托处理等。广义的个人数据交易除狭义的个人数据交易外,还包括个人数据处理者从个人处收集个人数据而实施的交易活动,如以提供网络产品或服务作为对价而收集个人数据。有学者将处理者从个人处获得个人数据的交易称为“初级个人数据交易”,将数据处理者之间的个人数据交易称为“次级个人数据交易”。不过,次级个人数据交易的概念无法包含个人数据处理者委托他人处理个人数据的情形。本部分主要讨论的是已合法取得个人数据的处理者与他人(包括处理者以及非处理者)进行个人数据交易时的合法性审查义务及相应的法律责任。
(一)个人数据转让中的合法性审查义务及法律责任
个人数据转让有多种分类。依据转让的原因可以将个人数据转让分为个人数据的提供与个人数据的转移。个人数据的提供是指,按照合同约定,某一处理者将其合法收集的个人数据提供给另一处理者的情形。个人数据的转移是指,作为处理者的法人或非法人组织发生分立、合并、解散、被宣告破产等情形,从而导致其合法收集的个人数据发生了转移。《个人信息保护法》第22条就此种类型的个人数据转让作出了规定。依据个人数据是否出境,还可以将个人数据的转让分为个人数据的境内转让与个人数据的跨境转让。前者是指个人数据的转让发生在我国境内,提供者与接收者都是我国境内的个人数据处理者。后者是指我国境内的个人数据处理者将个人数据提供给境外的处理者。由于各国的个人数据保护水平存在差异,个人数据的跨境转让会对个人信息权益、国家安全、公共利益等产生较高的风险,因此各国法律对于个人数据的跨境转让都严格加以规范,我国也不例外。结合上述两种分类,下面分别从境内个人数据提供、境内个人数据转移以及个人数据跨境转让三方面讨论其中的合法性审查义务及法律责任问题。
1. 境内个人数据提供
在我国数据交易实践中,境内个人数据的提供主要是不同的处理者基于商业利益的考虑而由一方向另一方提供个人数据的情形,典型的场景如授权登录、广告推送、网络购物、贷款审核、求职招聘、房屋租售、相亲交友等。个人数据提供活动的当事人可能是不同的公司,也可能是在同一集团下属的各个子公司或相互持股的公司。就境内的个人数据提供而言,个人数据提供方与接收方分别负有相应的个人数据交易合法性审查义务。我国司法实践中发展出来的“三重授权原则”就是这一合法性审查义务的具体体现。“三重授权原则”是针对第三方应用通过开放应用程序接口获取用户信息提出的一项规则。所谓三重授权,包括用户授权、平台授权与用户授权。具体而言,是指互联网企业在Open
API合作开发时,应事先取得用户的同意(第一重授权)再收集、利用相关信息,如果第三方应用基于Open
API合作模式利用用户的个人信息,除了要取得网络平台提供方的同意(第二重授权),还应再次取得用户的同意(第三重授权)。对于个人数据的提供方来说,其应负有确保作为交易标的的个人数据是合法取得的这一结果性义务,对此前文已经论述。除此之外,提供方还负有以下义务:
(1)进行个人信息保护影响评估的义务。提供者在向其他处理者提供个人数据之前,应当依法履行个人信息保护影响评估义务并加以记录(《个人信息保护法》第55—56条)。个人信息保护影响评估的内容包括:个人信息的处理目的、处理方式等是否合法、正当、必要;对个人权益的影响及安全风险;所采取的保护措施是否合法、有效并与风险程度相适应。这种义务意味着提供方要对接收方的个人数据处理目的和方式的合法性加以审查,以防止接收方用个人数据实施非法行为。倘若个人数据的提供方知道或应当知道接收方处理个人数据的实际目的或方式等是违法的(如将要用个人数据进行电信网络诈骗活动),那么提供方仍然向其提供个人数据的行为就构成帮助行为,应当承担共同侵权以及共同犯罪的法律责任。例如,《反电信网络诈骗法》第25条第1款第1项明确规定,任何单位和个人不得通过出售、提供个人信息的方式为他人实施电信网络诈骗活动提供支持或者帮助。
(2)履行告知义务并取得个人单独同意。由于个人数据的转移会给个人信息权益主体增加风险,故《个人信息保护法》第23条要求个人信息提供方应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意。该义务的履行主体是提供方,而非接收方。如果提供方未履行上述告知义务且未取得个人单独同意,则其向他人提供个人数据属于非法买卖或非法提供个人数据的违法行为,需要承担法律责任。在目前基于大模型发展人工智能技术的过程中,由于这些模型通常采用大量数据进行训练,如果对每个个人数据都逐一采取告知并取得单独同意的方式,确实会严重妨碍人工智能技术的发展。有学者认为,个人数据处理者在向第三方提供个人数据时无须频繁征求个人的同意,只需集中告知并取得概括同意后就可以直接将收集的个人数据流转给不同的人工智能企业,而服务提供者在与其他个人数据处理者通过交易获取个人数据语料时也无须取得个人的同意。这种观点有一定道理,但仍应通过相关法律、行政法规作出特别规定后才能施行,否则不符合《个人信息保护法》的规定。
(3)提供者与接收者应当在个人数据转让合同中明确约定个人数据的处理目的、方式、范围以及安全保护义务等,并对接收方履行义务的情况进行监督。同时,要保存向其他处理者提供个人数据的处理情况记录,应当至少保存3年(《网络数据安全管理条例》第12条第1款)。
就个人数据的接收方而言,其负有以下合法性审查义务:(1)对于所接收的个人数据来源合法的审查义务。由于法律已经明确禁止非法收集和非法买卖或提供个人数据,因此在接收方知道或者应当知道提供方的个人数据是非法收集的个人数据时,不得与之进行交易。虽然接收方无须像提供方那样负有确保个人数据收集合法的结果性义务,但为了避免构成非法买卖个人数据等违法行为,接收方对于提供方所提供的个人数据的来源是否合法也负有一定程度的注意义务。这就是说,接收方不能仅通过提供方提交的书面文件而对个人数据的合法性进行形式审查就能免责,更不可能通过合同约定来完全排除自身对交易数据合法性的注意义务。接收方应当对提供方所提供个人数据的合法性尽到合理审慎的审查义务,具体包括:一方面,要求提供方提供已经履行告知义务并取得个人同意的证据,在非基于同意的情况下必须提供证据证明个人数据的收集符合法律、行政法规所规定的情形;另一方面,接收方要根据个人数据交易中的具体情况,如个人数据的类型(是否属于敏感的个人数据)、提供方的业务活动类型与转让的个人数据的匹配度(如非金融机构却提供了大量的个人金融数据)、转让个人数据的数量、是否明显存在侵害个人信息权益的情形等,予以合理的核实。例如,当提供方宣称其个人数据是从其他处理者处合法取得时,接收方不仅应要求对方提供在先提供者合法转让个人数据的证据,还要联系在先提供方以便核实在先提供方的个人数据来源是否合法。因为只要个人数据是非法收集的,那么围绕着该个人数据开展的所有转让行为都是违法的。只有当接收方尽到了应尽的合法性审查义务后,其购买或接收个人数据的行为才不会构成非法买卖行为,同时其就个人数据交易行为无效而遭受的损失还有权要求提供方赔偿。如果接收方没有尽到或未充分尽到个人数据来源合法性的审查义务,仅具过失的,虽然个人数据交易是无效的,但只要接收方是为了合法经营活动而购买或收受该等非法收集的个人数据的,其行为不构成侵害公民个人信息罪,无须承担刑事责任。倘若接收方知道或者应当知道所接收的个人数据是非法收集的,其行为属于故意与提供方实施非法买卖个人数据的非法行为,不仅构成共同侵权,应承担连带赔偿责任,还可能需要承担相应的行政责任以及刑事责任。
(2)对提供方是否履行告知义务并取得单独同意的合法性审查义务。虽然《个人信息保护法》第23条仅要求个人数据的提供方履行告知义务并取得个人的单独同意,但是个人数据的接收方仍应就提供者是否履行该义务予以相应的审查。一方面,接收方应当要求提供方提供其已经就个人数据的提供对个人进行了相应的告知并取得了单独同意的证据。另一方面,接收方应就个人数据转让合同中约定的个人数据的处理目的、方式、范围及个人数据的种类等与提供方向个人所告知的处理目的、方式、范围及个人数据的种类是否一致予以核对,如发现不一致,应向提供方指出,并要求提供方重新告知或者变更合同。如果接收方知道或者应当知道提供方并未履行告知并取得个人单独同意的义务,其与提供方构成共同故意,需要承担共同侵权以及共同犯罪的法律责任。接收方因为过失而没有审查的,不仅对个人数据转让合同无效的损害承担相应的责任,该过失行为也属于侵害个人信息权益的侵权行为,接收方应当在其过失范围内向被侵权人承担相应的责任。倘若提供方通过伪造证据等方式对接收方进行欺诈,使得接收方误以为提供方已履行上述义务的,则接收方并不存在过错。
(3)变更处理目的等重新取得同意的义务。接收方应当严格按照提供方告知个人的以及合同中约定的处理目的、处理方式和个人数据的种类等处理个人数据。如果其变更原先的处理目的、处理方式和个人数据的种类等,既要与提供方协商一致,变更个人数据处理合同,也要依法重新取得个人同意。即便个人数据提供方是依据《个人信息保护法》第13条第1款第2—7项的规定而向接收方提供个人数据,虽然该个人数据的提供不需要取得个人同意,但如果接收方变更原先的处理目的、处理方式和个人数据的种类等,并非《个人信息保护法》第13条第1款第2—7项规定的情形的,仍然要重新取得个人同意。此时,接收方所负有的确保新的处理行为具有法律根据的义务也是结果性义务。
2. 境内个人数据转移
《个人信息保护法》第22条规定,个人信息处理者因合并、分立、解散、被宣告破产等需要转移个人信息的,应当向个人告知接收方的名称或者姓名和联系方式。接收方应当继续履行个人信息处理者的义务。接收方变更原先的处理目的、处理方式的,应当依照《个人信息保护法》的规定重新取得个人同意。根据这一规定可知,在个人数据因为处理者的法律主体地位改变而发生转移时,并不需要如该法第23条规定的个人数据提供那样取得个人的同意或单独同意,但这主要适用于个人数据接收方的业务与原先个人数据处理者的业务是一致的或类似的情形。例如,A银行在经营活动中合法收集并生产了大量的个人金融数据,而A银行被B银行吸收合并后,接收A银行的个人金融数据的B银行也是金融机构,从事的是相同的业务。这种情形下,由于个人数据的处理目的、方式等不会发生实质性改变,且B银行为个人数据提供保护的程度与原先的处理者A银行是相同的,故不需要重新取得个人的单独同意。
对于个人数据因处理者的法律主体地位改变而发生转移情形中的合法性审查义务及法律责任,应区分不同情况讨论:(1)在法人或非法人组织的合并、分立而导致个人数据转移时,旧的与新的处理者之间需要就合并、分立事项进行约定,其中往往也包含了对个人数据转移的相关约定。此时,个人数据转让人应当约定受让人仍然在原先的处理目的、方式范围内处理个人数据,同时应当对受让人是否会变更处理目的和方式予以相应的审查。如果知道或者应当知道受让人会变更处理目的、方式的,双方应当在相关协议中明确受让人必须依法履行重新取得个人同意的义务。如果受让人不按照法律规定重新取得个人同意,则应由其承担侵害个人信息权益的法律责任。受让人通过合并或分立要接收原先的个人数据处理者的全部或部分营业的,客观上更有能力对原先的处理者的个人数据来源的合法性进行审查。如果发现个人数据的来源不合法,则应当依法主动删除。
(2)法人或非法人组织解散或破产而导致个人数据转移的,依据《民法典》等法律的规定,清算人(清算组)或者破产管理人要负责清理法人或非法人组织的财产、债权债务以及处理与破产清算相关的事务。清算人(清算组)或破产管理人处置个人数据时的合法性审查义务也是勤勉义务的要求(《公司法》第238条、《企业破产法》第27条),具体包括:一方面,应当审查个人数据的接收方与原先的个人数据处理者是否属于同一行业或具有相同或相似的营业范围;另一方面,与接收方签订协议明确接收方应当遵循清算或破产的个人数据处理者的隐私政策或个人信息处理规则,在原先的个人数据的处理目的、方式等范围内处理个人数据,如果发生变化的,则要重新取得个人同意。如果清算人(清算组)或破产管理人知道或应当知道个人数据的接收方与破产或清算的个人数据处理者不属于同一行业或不具有相似的营业范围或将个人数据用于非法处理目的的,则清算人(清算组)或破产管理人与接收方构成侵害个人信息权益的共同侵权或共同犯罪行为,应当承担法律责任。
3. 个人数据跨境转移
网络科技已经打破了物理上的国境限制,随着网络科技高速发展与经济全球化,各国间无时无刻不在进行着人员往来、货物流动、服务提供,云计算、物联网和跨境电子商务的飞速发展,使得包括个人数据在内的各种数据的跨境流动越来越频繁,全球数据流动对经济增长有明显的拉动效应。据麦肯锡预测,数据流动量每增加10%,将带动GDP增长0.2%。预计到2025年,全球数据流动对经济增长的贡献将达到11万亿美元。根据经济合作与发展组织(OECD)测算,数据流动对各行业利润增长的平均促进率为10%,在数字平台、金融等行业中可达到32%。总之,数据的跨境流动在全球蓬勃发展的数字经济中发挥着越来越重要的作用,被认为是全球资金、信息、技术、人才、货物等资源要素交换与共享的基础。然而,个人数据的跨境流动也产生了不少新问题,尤其是给个人信息权益保护以及国家安全带来了很大的风险。因此,我国《个人信息保护法》《数据安全法》《网络安全法》《网络数据安全管理条例》等法律、行政法规以及《促进和规范数据跨境流动规定》等部门规章对个人数据的跨境转让作出了专门规范。在个人数据跨境转移的情况下,主要是作为个人数据提供方的境内处理者负有以下合法性审查义务:
(1)依据《个人信息保护法》第55条和第56条,在向境外提供个人数据之前,提供者应当履行个人信息保护影响评估义务并加以记录。个人信息保护影响评估的内容包括:个人信息的处理目的、处理方式等是否合法、正当、必要;对个人权益的影响及安全风险;所采取的保护措施是否合法、有效并与风险程度相适应。尤其需要注意的是,提供者要审查接收个人数据的境外组织、个人是否因从事侵害我国公民的个人信息权益,或者危害我国国家安全、公共利益的个人数据处理活动而被国家网信部门列入限制或者禁止个人数据提供清单,对于被纳入该清单的接收者,按照国家规定,提供者应当限制或者禁止向该接收者提供个人数据。
(2)提供者应当严格按照法律法规规章的规定履行相应的义务,如根据《个人信息保护法》第38条、《网络数据安全管理条例》第35条等规定,或通过国家网信部门组织的安全评估;或按照国家网信部门的规定经专业机构进行个人信息保护认证;或按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务。在个人数据跨境转移通过了数据出境安全评估后,个人数据处理者向境外提供个人数据的,不得超出评估时明确的个人数据出境目的、方式、范围和种类、规模等。同时,还应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使《个人信息保护法》规定权利的方式和程序等事项,并取得个人的单独同意。即便是符合《个人信息保护法》第13条第1款第2—7项所规定的不需要取得个人同意的情形,也必须严格予以核实,以确保符合上述情形。如果我国缔结或者参加的国际条约、协定对向我国境外提供个人信息的条件等有规定的,应当保证符合相关规定。
(3)跨境提供个人数据的提供者应当通过合同等与个人数据接收方约定处理目的、方式、范围以及安全保护义务等,并对接收方履行义务的情况进行监督。此外,还要对个人数据的处理情况加以记录并应当至少保存该记录3年。
(二)个人数据授权许可使用中的合法性审查义务及法律责任
“数据二十条”明确提出了建立健全个人信息数据确权授权机制的要求。个人数据授权许可包括两种情形:一是作为个人数据主体(即个人信息主体)的个人将其针对个人数据的某些财产性权利授予处理者,许可处理者以一定的方式,在一定的时间和地域范围对个人数据进行收集、存储、加工、使用。作为许可人的个人与被许可的处理者之间成立个人数据许可使用合同。自然人对其个人数据享有的是个人信息权益,而个人数据许可使用合同体现了个人对个人信息权益中财产性权利的处分,故个人数据许可使用合同可以参照适用《民法典》第1021条和第1022条关于肖像许可使用合同的规定。二是合法收集个人数据的处理者许可其他个人数据处理者使用该等个人数据。本文讨论的个人数据授权许可仅指第二种类型的个人数据授权许可。
在个人数据授权许可使用的情形下,许可人与被许可人之间会成立个人数据许可合同或个人数据访问合同。个人数据的授权许可使用不会发生个人数据的转移,除非因此形成了衍生的个人数据。例如,A公司是许可人,B公司是被许可人,B公司通过向A公司发出验证请求的方式使用A公司合法收集的个人数据。目前,我国正在大力推进数据可信空间的建设。国家数据局印发的《可信数据空间发展行动计划(2024—2028年)》明确提出,要“稳慎探索个人可信数据空间建设试点,通过制度创新和技术创新,提供依场景授权许可的个人数据转移流动和开发利用服务”。在特定的可信个人数据空间通过隐私计算、区块链技术等方法能使个人数据可用不可见,被许可人可以获得对个人数据的使用。总的来说,在授权许可使用的情形下,由于个人数据并不发生从一个处理者到另一个处理者的转移,因此许可人与被许可人的合法性审查义务要远少于个人数据转让的情形。
许可人的合法性审查义务主要体现在:许可人在与被许可人签订许可使用合同前,要审查被许可人使用个人数据的目的、方式和种类是否在许可人从个人处获得同意的处理目的、方式和种类范围内。如果不在,要审查被许可人是否符合《个人信息保护法》第13条第1款第2—7项所列的情形。倘若许可人知道或者应当知道被许可人将个人数据用于非法目的(如网络电信诈骗)或者超越从个人处获得同意的处理目的、方式和种类而加以使用,那么该许可使用合同因违反法律、行政法规的强制性规定而无效。同时,被许可人与许可人构成共同故意侵害个人信息权益,应当承担共同侵权的连带赔偿责任,还会遭受行政处罚。不过由于《刑法》第253条之一规定的侵害公民个人信息犯罪行为中不包括明知是非法收集的个人数据而许可他人使用或者加以使用的情形,因此许可人与被许可人不会构成侵害公民个人信息罪的共同犯罪。对于被许可人来说,因其并不取得个人数据,只需对所使用的个人数据是否属于被许可人合法收集的数据予以形式审查即可,即要求许可人提供证据证明其许可被许可人所使用的个人数据是合法取得的。如果被许可人知道或者应当知道许可人是通过窃取等非法方式取得的个人数据,则被许可人不得使用该数据。否则,要承担侵害个人信息权益的法律责任。
(三)个人数据委托处理中的合法性审查义务及法律责任
个人数据的委托处理是指个人数据处理者将处理个人数据的事务委托给其他组织或个人,双方成立委托关系,个人数据处理者是委托人,受托处理个人数据事务的是受托人,受托人按照委托人的指示对个人数据进行处理。委托人可以特别委托受托人对某一类个人数据实施一种或多种处理活动,如存储、清洗或加工形成衍生数据、融合数据等。实践中,由于数据处理活动的专业分工,处理者委托专业的数据处理公司处理个人数据的情形很常见。例如,A公司是一家房地产公司,其委托B数据服务公司对其收集的客户数据进行分析,从而为自己开发能够进行购买力预测和市场需求预测的数据产品。
《个人信息保护法》第21条从个人数据的处理者与受托人的合同关系角度对个人信息的委托处理进行了专门规定。在委托处理个人数据时,委托人是决定处理目的和处理方式的主体,是个人数据的处理者,而受托人只是依据委托合同的约定,按照委托人决定的处理目的和方式来进行个人数据处理活动。故此,受托人虽然客观上实施了个人数据的处理活动,但并非《个人信息保护法》中的“个人信息处理者”。受托人不负有个人信息处理者的义务,而只负有保障个人信息安全的义务以及协助个人信息处理者履行《个人信息保护法》规定的义务(《个人信息保护法》第59条)。
在委托处理个人数据时,委托人和受托人各自负有相应的合法性审查义务。就委托人而言,一方面,委托他人处理的个人数据应是合法收集的,不能是窃取、非法买卖或者通过其他方式非法取得的。同时,委托的事项也应当是合法的,否则,也构成侵害个人信息权益的行为。例如,Z银行合法收集了客户的住址、联系方式等个人数据,其收集数据时告知的处理目的是便于催收债务,但是Z银行却委托M公司据此发送理财产品广告。另一方面,依据《个人信息保护法》第21条第1款、《数据安全法》第40条等规定,委托人需要对受托人按照合同约定和法律规定履行义务的情况进行监督,并保存相关记录。
受托人的合法性审查义务主要体现在:首先,受托人对个人数据来源合法的审查义务。申言之,在受托人知道或者应当知道委托人委托其处理的是非法取得的个人数据时,受托人不能接受委托处理这些个人数据,否则受托人也要承担相应的法律责任。如果受托人明知所处理的个人数据来源是非法的,仍对之进行加工、使用等处理活动,这就意味着受托人为委托人侵害个人信息权益的行为提供了帮助,构成帮助的侵权行为,委托人与受托人承担连带责任(《民法典》第1169条第1款)。倘若受托人不知道也不应当知道所处理的个人数据是非法取得的,由于受托人是依据委托人的指示实施个人数据处理活动,受托人不是个人数据的处理者,因此仍然由作为处理者的委托人承担侵权责任。由于受托人对个人信息权益被侵害并不存在过错,依据《民法典》第1165条第1款,受托人也不需要承担侵权责任。
问题在于,如何判断受托人知道或者应当知道委托人委托其处理的个人信息是非法取得的?受托人本身没有直接从个人处收集个人信息,而只是按照委托合同的约定行事,因此受托人无法也不应确保受托处理的个人数据是合法取得的。有学者认为,在委托处理的场合,整体业务链条以委托人取得特定信息主体对其信息进行验证、处理的授权为基础,这样受托人处理信息的正当性基础就被奠定了。笔者认为,受托人对受托处理的个人数据来源合法性负有合理范围内的审查义务,但该义务属于方式性义务而非结果性义务。具体而言,在认定受托人的合法性审查义务时,应当考虑以下因素:(1)委托人委托受托人实施的处理行为类型。如果只是单纯的存储或者传输,因为不会对个人信息权益造成新的损害风险,受托人注意的程度要求较低,只要委托人在与受托人签订的委托合同中明确承诺处理的个人数据是合法取得的即可;如果要求受托人对个人数据进行加密处理,由于加密行为不仅不会侵害个人信息权益,还有助于防止个人信息泄露,因此受托人也没有审查义务;如果是使用、加工个人数据的,受托人就要尽到更高程度的注意义务,应当要求委托人提供个人数据来源合法的证明材料。(2)受托人所处理的个人数据类型及其与委托人业务活动的匹配度。例如,委托人不是金融机构,主营业务更非金融活动,但其委托给受托人处理的个人数据却是个人的金融数据。金融数据是敏感的个人数据,既然委托人不是金融机构,其从何处取得的金融账户信息就值得怀疑。(3)其他具体因素,如审核的时间、成本、能力等。
其次,受托人对委托处理事项合法的审查义务。委托事项违法包括两种情形:其一,委托人委托受托人实施的个人数据处理行为的处理目的或处理方式超出了个人同意的范围,并且没有其他法律根据。例如,A公司履行告知义务并取得个人同意收集了个人数据,告知的处理目的是安全管理,结果A公司将这些个人数据委托给B公司处理,处理目的是广告推送。由于委托人决定个人数据处理的目的和方式,而受托人只要没有违反委托合同的约定,即便由此侵害个人信息权益造成损害,也应当由委托人承担侵权等法律责任。其二,委托事项违反法律、行政法规的强制性规定。例如,X公司将合法收集的个人信息委托Y公司处理,处理的目的是分析哪些人更容易上当受骗。显然,该处理事项本身就是违法的。受托人对委托处理的事项是否违反强制性规范当然负有合法性审查义务,不能以自己并非处理者,不自主决定处理目的为由免除此种审查义务。
四、数据交易中介服务机构的合法性审查义务
(一)数据交易中介服务机构的界定
数据交易需要很多第三方机构提供相关的专业服务,如数据集成、数据经纪、合规认证、安全审计、数据公证、数据保险、数据托管、资产评估、争议仲裁、风险评估、人才培训等。其中,为数据交易提供中介服务的组织就是数据交易中介服务机构。《数据安全法》第33条、第47条首次在法律上规定了“数据交易中介服务机构”的概念。中介服务对应到民法上就是中介合同法律关系。《民法典》第961条规定:“中介合同是中介人向委托人报告订立合同的机会或者提供订立合同的媒介服务,委托人支付报酬的合同。”也就是说,数据交易中介服务机构为数据交易的各方当事人提供的是报告订立数据转让等合同的机会或者订立相关数据合同的媒介服务。例如,A公司建立了一个数据交易平台,供会员注册后在该平台上发布数据的供求信息并进行交易。当然,实践中不少机构既提供数据交易中介服务,本身也收集数据并在加工后进行销售,这些机构也被称为“数据商”或“数商”。例如,深圳市发展和改革委员会颁布的《深圳市数据商和数据流通交易第三方服务机构管理暂行办法》第3条第1款将数据商界定为:“从各种合法来源收集或维护数据,经汇总、加工、分析等处理转化为交易标的,向买方出售或许可;或为促成并顺利履行交易,向委托人提供交易标的发布、承销等服务,合规开展业务的企业法人。”该条第2款将第三方服务机构界定为“辅助数据交易活动有序开展,提供法律服务、数据资产化服务、安全质量评估服务、培训咨询服务及其它第三方服务的法人或非法人组织”。
简单地说,数据交易所(或数据交易场所)就是为数据集中交易提供场所和设备并进行相应组织和管理的组织。我国现行法律中没有对数据交易所作出规定。“数据二十条”提出,要“出台数据交易场所管理办法”,“引导多种类型的数据交易场所共同发展,突出国家级数据交易场所合规监管和基础服务功能,强化其公共属性和公益定位,推进数据交易场所与数据商功能分离,鼓励各类数据商进场交易。规范各地区各部门设立的区域性数据交易场所和行业性数据交易平台,构建多层次市场交易体系,推动区域性、行业性数据流通使用。促进区域性数据交易场所和行业性数据交易平台与国家级数据交易场所互联互通”。从“数据二十条”的这一要求可知,各类数据交易所的功能定位存在区别。其中,国家级的数据交易场所既是数据市场集中交易的组织,也是数据交易的自律监管者,即依据国家法律法规和国家数据管理部门的授权对其组织的数据交易活动进行监管。至于各地区各部门设立的区域性数据交易场所和行业性数据交易平台,只是提供数据交易中介服务的营利性法人,无权对数据交易进行监管。例如,北京国际大数据交易所主要提供的就是数据信息登记服务、数据产品交易服务、数据运营管理服务、数据资产金融服务以及数据资产金融科技服务等五类。
(二)数据交易中介服务机构的合法性审查义务
从我国法律规定来看,数据交易中介服务机构并不负有数据交易合法性的担保义务。《数据安全法》第33条规定:“从事数据交易中介服务的机构提供服务,应当要求数据提供方说明数据来源,审核交易双方的身份,并留存审核、交易记录。”该条明确了数据交易中介服务机构以下两项合法性审查义务:其一,要求数据提供方说明数据来源的义务。所谓说明数据来源,就是要求数据提供方说明数据是以何种方式合法取得的。就个人数据来说,无非三种途径:一是履行告知义务并取得同意后从个人处直接收集而来;二是属于依据《个人信息保护法》等法律、行政法规规定的无须同意即可收集的个人数据;三是通过合法的个人数据交易而从其他个人数据处理者那里取得的。数据交易中介服务机构无法对数据来源合法性进行实质性审查,只要根据个案情形可以认定其尽到相应的注意义务即可。纵然出现了非法买卖个人数据的违法犯罪行为,也与数据交易中介服务机构无关。其二,对于数据交易当事人身份的审查义务,即数据交易中介服务机构无论是作为数据交易平台为交易场所内的数据交易提供中介服务,还是为交易场所外一对一的证券交易提供服务,都必须审查交易双方当事人的身份,从而落实实名制,避免欺诈。
数据交易中介服务机构没有尽到上述数据来源合法性审查义务以及对交易当事人身份的审查义务,由此给委托人造成损害的,依据《民法典》第929条第1款,如果是有偿合同,则因数据交易中介服务机构的过错造成委托人损失的,委托人可以请求赔偿损失;如果是无偿合同,在数据交易中介服务机构存在故意或者重大过失时,委托人可以请求其赔偿损失。
五、结 语
为了充分保护个人信息权益,个人数据交易的各方当事人都负有相应的合法性审查义务,以防止将非法取得的个人数据用于交易,出现侵害个人信息权益的结果。这种合法性审查义务的明晰化,能够极大地降低个人数据交易中当事人的认知难度,使人们的行为更具有可预期性。由此,才能保证个人数据交易的合法有效,节约交易成本,提高交易效率,最终推动网络信息科技的发展,激发数据要素潜能,做强做优做大数字经济。
(原文刊载于《华东政法大学学报》2025年第2期)
《数字法治》专题由上海市法学会数字法学研究会特约供稿,专题统筹:秦前松。
