编辑:[db:作者] 时间:2024-08-25 02:14:32
奉告赞许规则由奉告规则与赞许规则构成,奉告是赞许的条件。那么,APP运营商等个人信息处理者应如何更好地履行“奉告”责任呢?请看下文。
《中华公民共和国个人信息保护法》 第十七条
个人信息处理者在处理个人信息前,应该以显著办法、清晰易懂的措辞真实、准确、完全地向个人奉告下列事变:
(一)个人信息处理者的名称或者姓名和联系办法;
(二)个人信息的处理目的、处理办法,处理的个人信息种类、保存期限;
(三)个人行使本法规定权利的办法和程序;
(四)法律、行政法规规定应该奉告的其他事变。
前款规定事变发生变更的,应该将变更部分奉告个人。
个人信息处理者通过制订个人信息处理规则的办法奉告第一款规定事变的,处理规则应该公开,并且便于查阅和保存。
一、奉告责任的含义
《个人信息保护法》第17条规定的个人信息处理者的奉告责任,是指为了让信息主体对其个人信息处理活动的干系事变知情,个人信息处理者依法负有的主动向信息主体奉告与其个人信息处理干系主要事变信息的法定义务。
个人信息保护中的奉告赞许规则由奉告规则与赞许规则构成。在《个人信息保护法》中,奉告规则对应信息主体的知情权和个人信息处理者的奉告责任,赞许规则对应信息主体的信息自决权,两者密不可分。让个人信息处理者承担奉告责任的目的是担保信息主体的知情权,知足个人信息处理的公开透明原则,进而确保信息主体在充分知情的条件下,志愿、明确地作出有效的赞许,为个人信息处理者的个人信息处理行为供应合法性根本。[1]换言之,赞许以奉告为条件。
信息主体的知情权包括积极和悲观两个方面:前者是指信息主体主动哀求个人信息处理者供应与其个人信息处理干系事变信息的自由和权利;后者是指无须信息主体主动行使其知情权,个人信息处理者负有对信息主体的主动奉告责任。[2]本条正是从信息主体知情权的悲观方面对个人信息处理者的主动奉告责任作出明确规定。
[1] 拜会程啸:《论我国个人信息保护法中的个人信息处理规则》,载《清华法学》2021年第3期。
[2] 拜会张新宝、葛鑫:《个人信息保护法(专家建议稿)及其立法情由书》,中国公民大学出版社2021年版,第33页。
二、奉告责任的内容
奉告责任的内容,是指处理者应该向个人信息被处理的个人奉告的事变。一样平常而言,奉告的内容越多,信息主体的知情权就越能够得到充分的保障。但对企业而言,奉告责任的履行一定须要一定的本钱,奉告的内容越多,须要的本钱就越高,因此奉告责任的内容就应该具有合理的限定。
我国《个人信息保护法》在借鉴比较法履历的根本上通过“一样平常规定+分外规定”的办法对处理者应该向个人奉告的事变作了规定。所谓一样平常规定,便是《个人信息保护法》第17条第1款规定的事变。这些事变是任何个人信息处理前,个人信息处理者都应该向个人奉告的共同事变或一样平常性事变。所谓分外规定,便是针对一些分外的个人信息处理行为而增加一些奉告事变的规定,如《个人信息保护法》第22条、第23条、第30条、第39条等的规定。奉告责任的详细内容包括以下几个方面:
1. 个人信息处理者的名称或者姓名和联系办法
由于处理者主体繁芜多元和处理行为隐秘专业,为了确保个人信息处理的公开透明与公道,处理者必须向个人奉告其名称或者姓名与联系办法,从而使得个人知悉其个人信息究竟是被何人处理。不同的信息处理者的个人信息保护水平是不同的,信息处理者的身份会对信息主体决定是否赞许让其处理个人信息产生重大影响。此外,只有知道个人信息处理者的名称或者姓名和联系办法,信息主体才能够向个人信息处理者行使其在个人信息处理中的权利,如查阅、复制、更正、补充、删除等权利。
2. 个人信息的处理目的、处理办法,处理的个人信息的种类、保存期限
所谓个人信息处理的目的,是指处理者究竟是为了什么而处理个人信息。之以是哀求必须奉告处理目的,是由于处理目的在个人信息处理中非常主要。目的限定原则是个人信息处理中的基本原则,其哀求处理者在处理个人信息时应该具有明确、合理的目的,并应该限于实现处理目的所必要的最小范围,采纳对个人权柄影响最小的办法,不得进行与处理目的无关的个人信息处理。故此,只有明确处理目的,个人才能有针对性地决定是否就基于特定处理目的的处理行为作出赞许。个人信息的处理办法,紧张是指处理者对个人信息采纳何种处理方法,详细包括个人信息的网络、存储、利用、加工、传输、供应、公开、删除等。因此,处理者必须奉告个人,其采纳哪些处理办法,是仅仅网络、存储,但不该用、加工,抑或网络、存储、利用、加工但不供应等。不同的处理办法对付个人信息权柄的影响不同,故须要奉告个人并取得赞许。个人信息的种类很多,包括但不限于自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、康健信息、行踪信息等。个人信息可以分为敏感的个人信息与非敏感的个人信息,不同的个人信息对付个人信息权柄的影响不同。敏感个人信息的处理对付个人信息权柄会产生很大的风险,由于此类信息一旦透露或者被造孽利用,就有可能导致个人受到歧视或者人身、财产安全受到严重侵害。以是,个人信息的种类属于必须奉告的事变。处理者在向个人奉告处理的个人信息的种类时,应该遵照公开透明的原则,不能过于笼统。例如,不能大略奉告所处理的个人信息是“康健信息”或“与康健有关的信息”,该范围过于广泛,可能涵盖无数的信息,处理者必须明确详细的信息种类,如“心率”“血压”和“有身年事”,这取决于处理行为及处理目的。个人信息的保存期限也很主要,保存期限越长,涌现透露或被造孽利用的可能性就越大,对个人信息权柄的不利影响就越大,因此须要奉告个人。个人知悉保存期限也有利于其在保存期限届满时及时依据《个人信息保护法》第47条的规定行使删除权。
3. 个人行使本法规定权利的办法和程序
所谓“行使本法规定权利”,是指《个人信息保护法》第4章所规定的个人在个人信息处理活动中的权利,包括知情决定权、查阅复制权、数据携带权、更正补充权、删除权、阐明解释权等。之以是要奉告个人行使《个人信息保护法》规定权利的办法和程序,是为了鼓励和便利信息主体行权。
4. 法律、行政法规规定应该奉告的其他事变
这是兜底性规定,一方面与《个人信息保护法》关于分外奉告事变的规定相衔接,另一方面也为干系法律和行政法规的规定留下空间。
分外的奉告事变详细紧张包括四类环境:首先,在个人信息处理者由于法人或造孽人组织的合并、分立等缘故原由而须要转移个人信息时,依据《个人信息保护法》第22条的规定,应该向个人奉告吸收方的名称或者姓名和联系办法,这紧张是为了确保个人能够向吸收方主见个人信息处理中的权利。其次,个人信息处理者向其他个人信息处理者供应其处理的个人信息的,依据《个人信息保护法》第23条的规定,还必须向个人奉告吸收方的名称或者姓名、联系办法、处理目的、处理办法和个人信息的种类,并取得个人的单独赞许。这是由于,处理者将个人信息供应给他人的,吸收方并非纯挚地接管个人信息,有可能要按照新的处理目的,采纳新的处理办法对个人信息进行处理。故此,哀求处理者而非吸收方向个人进行奉告并取得单独赞许,否则不得向他人供应个人信息。再次,为了更好地保护敏感的个人信息,《个人信息保护法》第30条哀求,个人信息处理者在处理敏感的个人信息时,不仅要奉告第17条第1款规定的事变,还应该向个人奉告处理敏感个人信息的必要性以及对个人的影响,依照《个人信息保护法》规定可以不向个人奉告的除外。之以是哀求处理敏感的个人信息时必须奉告处理的必要性,是由于敏感的个人信息一旦透露或被造孽利用,可能会导致个人受到歧视或人身、财产安全受到严重侵害,故法律上应该给予更强的保护。虽然我国《个人信息保护法》没有采纳原则上禁止、例外才许可的处理敏感个人信息的模式,但通过强化对处理敏感个人信息的必要性的哀求,可以更好地保护个人信息权柄。所谓对个人的影响,是指处理敏感的个人信息可能会对个人产生的影响,紧张是指不利的影响。只有充分表露这种影响,才能担保个人是在充分知情的情形下作出志愿的赞许。末了,在个人信息跨境供应时,依据《个人信息保护法》第39条,处理者应该向个人奉告境外吸收方的名称或者姓名、联系办法、处理目的、处理办法、个人信息的种类以及个人向境外吸收方行使《个人信息保护法》规定权利的办法和程序等事变,并取得个人的单独赞许。
三、奉告责任的履行
1. 奉告责任履行的韶光
个人信息处理者必须在处理个人信息前向个人信息被处理的个人进行奉告,而不能在已经履行个人信息处理行为之后再奉告个人,这是对处理者奉告韶光的哀求。由于只有事前奉告对付信息主体才故意义。
在例外情形下,如根据《个人信息保护法》第18条的规定,可以免于奉告或者事后及时奉告。
2. 奉告责任履行的办法
《个人信息保护法》第17条第1款明确规定了个人信息处理者奉告责任履行的办法,即“应该以显著办法、清晰易懂的措辞真实、准确、完全地向个人奉告”。
所谓显著办法,是指个人信息处理者应该以个人随意马虎辨识且易于获取的办法让个人理解到处理者奉告的内容,而不能将其隐蔽在一大堆包含各种内容的所谓的“隐私政策”当中,或者以极小、难以辨识的字体等其他不显著的办法,让个人无法随意马虎辨识或获取处理者所奉告的内容。这种所谓的奉告也可认为实质上是一种敲诈或误导的做法。
清晰易懂的措辞,意味着处理者应该以普通人能理解的措辞表述进行奉告,从而使得任何不具备个人信息处理专业知识的个人能够知道处理者所奉告的内容。在实践中,为规避法律任务,个人信息处理者每每方向于利用极其抽象或相称晦涩的措辞来描述隐私政策中对个人信息网络和利用的目的,如“改进做事质量”“提升用户体验”“研发新产品”“增强安全性”等。这种措辞表述显然是非常模糊的,而且也使得处理者的处理目的很不明确,违反了目的限定原则和公开透明原则。
“真实”意味着个人信息处理者奉告的信息不能是虚假的;“准确”意味着个人信息处理者奉告的信息不能是缺点的;“全面”意味着个人信息处理者奉告的信息不能是不完全的。这些哀求都是为了强化个人信息处理者的奉告责任,保障信息主体的知情权。
之以是如此详细地规定奉告责任的履行办法,是为了肃清信息主体和个人信息处理者之间的信息不对称。个人信息处理具有很强的技能性,十分专业,而个人对此知之甚少,因此导致二者的信息不对称。如果处理者通过一大堆专业术语或者暗昧其辞的表述来奉告,那么个人难以理解此种个人信息处理对自己的权柄有何利弊,存在何种风险,这意味着信息主体难以作出自由的决定。在实践中,不幼年我信息处理者为了知足法律的哀求,规避法律风险,每每采纳“捆绑式”的办法列出内容冗长啰嗦的隐私政策条款,给用户带来阅读上的极大困难。明确奉告责任履行办法有利于破解实践中的此种难题,同时这也是《个人信息保护法》第7条规定的公开透明原则的一定哀求。
注:以上内容节选自《<中华公民共和国个人信息保护法>条文理解与适用》,江必新、郭锋主编,公民法院出版社出版。
●浙江法院发布陵犯公民个人信息犯罪十大范例案例
国家互联网信息办公室发布《互联网用户账号信息管理规定》(附全文+答问)
本站所发布的文字与图片素材为非商业目的改编或整理,版权归原作者所有,如侵权或涉及违法,请联系我们删除,如需转载请保留原文地址:http://www.baanla.com/rsq/76616.html
Copyright 2005-20203 www.baidu.com 版权所有 | 琼ICP备2023011765号-4 | 统计代码
声明:本站所有内容均只可用于学习参考,信息与图片素材来源于互联网,如内容侵权与违规,请与本站联系,将在三个工作日内处理,联系邮箱:123456789@qq.com