□ 程嘯
要保護個人信息權(quán)益��,確保個人數(shù)據(jù)交易的合法有效�,并在出現(xiàn)違法時科學合理地界定各方的法律責任����,需要從理論上深入研究個人數(shù)據(jù)交易的合法性審查義務����。
個人數(shù)據(jù)來源的合法性審查義務
首先���,處理者負有保證個人數(shù)據(jù)來源合法的結(jié)果性義務����。任何實施個人數(shù)據(jù)收集行為的組織或個人都負有確保其個人數(shù)據(jù)的收集具有法律根據(jù)的注意義務��。由于處理者本身就是個人數(shù)據(jù)收集行為的實施者���,其負有的該注意義務不是方式性義務而是結(jié)果性義務。
其次���,處理者負有證明個人數(shù)據(jù)收集行為合法的舉證責任�。已經(jīng)收集了個人數(shù)據(jù)的組織或個人負有證明個人數(shù)據(jù)收集行為合法的舉證責任�����。處理者應當提出證據(jù)證明已嚴格依法履行了告知有關(guān)事項的義務,并取得了個人或其監(jiān)護人的同意(或單獨同意��、書面同意)����,或者證明收集行為符合法律、行政法規(guī)所規(guī)定的某一情形����。
最后,處理者未能保證個人數(shù)據(jù)來源合法的法律責任�����。處理者不能提供證據(jù)證明其履行了個人數(shù)據(jù)收集合法性審查義務的�����,則該個人數(shù)據(jù)的收集行為非法�����,處理者應當主動刪除非法收集的個人數(shù)據(jù)����。在技術(shù)上難以刪除的���,處理者應當停止除存儲和采取必要的安全保護措施之外的處理。此外����,個人數(shù)據(jù)收集者還要承擔非法收集個人數(shù)據(jù)行為的法律責任。
個人數(shù)據(jù)交易行為的合法性審查義務
(一)個人數(shù)據(jù)轉(zhuǎn)讓中的合法性審查義務及法律責任
1.境內(nèi)個人數(shù)據(jù)提供
對于個人數(shù)據(jù)的提供方來說���,除確保個人數(shù)據(jù)是合法取得的這一結(jié)果性義務之外���,還負有以下義務:第一,進行個人信息保護影響評估的義務�����;第二�����,履行告知義務并取得個人單獨同意����;第三���,在個人數(shù)據(jù)轉(zhuǎn)讓合同中明確約定個人數(shù)據(jù)的處理目的���、方式���、范圍以及安全保護義務等,并對接收方進行監(jiān)督����。
就個人數(shù)據(jù)的接收方而言,其負有以下合法性審查義務:第一�,對于所接收的個人數(shù)據(jù)來源合法的審查義務。一方面��,要求提供方提供數(shù)據(jù)收集合法的相應證據(jù)�����;另一方面��,要根據(jù)個人數(shù)據(jù)交易中的具體情況��,予以合理的核實���。第二����,對提供方是否履行告知義務并取得單獨同意的合法性審查義務。一方面���,應當要求提供方提供相應證據(jù)�;另一方面��,應核對個人數(shù)據(jù)轉(zhuǎn)讓合同中約定的內(nèi)容與提供方向個人所告知的是否一致�����,如發(fā)現(xiàn)不一致����,應指出并要求提供方重新告知或變更合同。第三����,變更處理目的等重新取得同意的義務。接收方變更原先的處理目的�、處理方式和個人數(shù)據(jù)的種類等��,既要與提供方協(xié)商一致��,也要依法重新取得個人同意。
2.境內(nèi)個人數(shù)據(jù)轉(zhuǎn)移
對于個人數(shù)據(jù)因處理者的法律主體地位改變而發(fā)生轉(zhuǎn)移情形中的合法性審查義務及法律責任���,應區(qū)分不同情況討論:第一����,因法人或非法人組織的合并��、分立而導致個人數(shù)據(jù)轉(zhuǎn)移的����,轉(zhuǎn)讓人應當約定受讓人仍然在原先的處理目的、方式范圍內(nèi)處理個人數(shù)據(jù)���,同時應當對受讓人是否會變更處理目的和方式予以相應的審查���。第二,因法人或非法人組織解散或破產(chǎn)而導致個人數(shù)據(jù)轉(zhuǎn)移的���,清算人(清算組)或破產(chǎn)管理人�,一方面�,應當審查個人數(shù)據(jù)的接收方與原先的個人數(shù)據(jù)處理者是否屬于同一行業(yè)或具有相同或相似的營業(yè)范圍;另一方面,與接收方簽訂協(xié)議明確接收方應當遵循清算或破產(chǎn)的個人數(shù)據(jù)處理者的隱私政策或個人信息處理規(guī)則���,在原先的個人數(shù)據(jù)的處理目的��、方式等范圍內(nèi)處理個人數(shù)據(jù)����,如果發(fā)生變化則要重新取得個人同意����。
3.個人數(shù)據(jù)跨境轉(zhuǎn)移
在個人數(shù)據(jù)跨境轉(zhuǎn)移的情況下,主要是作為個人數(shù)據(jù)提供方的境內(nèi)處理者負有以下合法性審查義務:第一���,在向境外提供個人數(shù)據(jù)之前���,提供者應當履行個人信息保護影響評估義務并加以記錄。提供者要審查接收個人數(shù)據(jù)的境外組織��、個人是否被國家網(wǎng)信部門列入限制或者禁止個人數(shù)據(jù)提供清單��。第二���,提供者應當嚴格按照法律法規(guī)規(guī)章的規(guī)定履行相應的義務����。例如����,進行數(shù)據(jù)出境安全評估和履行告知義務、取得個人單獨同意���。依法不需要取得個人同意的情形����,也必須嚴格核實��。我國締結(jié)或者參加的國際條約���、協(xié)定對向我國境外提供個人信息的條件等有規(guī)定的���,應當保證符合相關(guān)規(guī)定。第三����,跨境提供個人數(shù)據(jù)的提供者應當通過合同等與個人數(shù)據(jù)接收方約定處理目的、方式���、范圍等�����,并對接收方履行義務的情況進行監(jiān)督����。
(二)個人數(shù)據(jù)授權(quán)許可使用中的合法性審查義務及法律責任
在合法收集個人數(shù)據(jù)的處理者許可其他個人數(shù)據(jù)處理者使用該個人數(shù)據(jù)的情形中,許可人的合法性審查義務主要體現(xiàn)在:簽訂許可使用合同前�����,要審查被許可人使用個人數(shù)據(jù)的目的���、方式和種類是否在許可人從個人處獲得同意的范圍內(nèi)����。如果不在�,要審查被許可人是否符合個人信息保護法第十三條第1款第2項至第7項所列的情形。
(三)個人數(shù)據(jù)委托處理中的合法性審查義務及法律責任
在委托處理個人數(shù)據(jù)時��,委托人和受托人各自負有相應的合法性審查義務��。就委托人而言���,委托他人處理的個人數(shù)據(jù)應是合法收集的��。同時�,委托的事項也應當是合法的。委托事項違法包括兩種情形:其一���,個人數(shù)據(jù)處理行為的處理目的或處理方式超出了個人同意的范圍,并且沒有其他法律根據(jù)����;其二,委托事項違反法律�、行政法規(guī)的強制性規(guī)定。
受托人的合法性審查義務主要體現(xiàn)在:首先��,受托人對個人數(shù)據(jù)來源合法的審查義務����。該義務屬于方式性義務而非結(jié)果性義務。在認定受托人的合法性審查義務時���,應當考慮以下因素:第一����,委托人委托受托人實施的處理行為類型;第二�,受托人所處理的個人數(shù)據(jù)類型及其與委托人業(yè)務活動的匹配度;第三��,其他具體因素���,如審核的時間�����、成本����、能力等���。其次�,受托人對委托處理事項合法的審查義務����。
數(shù)據(jù)交易中介服務機構(gòu)的合法性審查義務
為數(shù)據(jù)交易提供中介服務的組織就是數(shù)據(jù)交易中介服務機構(gòu)。簡單地說�����,數(shù)據(jù)交易所(或數(shù)據(jù)交易場所)就是為數(shù)據(jù)集中交易提供場所和設備并進行相應組織和管理的組織。
數(shù)據(jù)安全法第三十三條明確了數(shù)據(jù)交易中介服務機構(gòu)以下兩項合法性審查義務:其一�,要求數(shù)據(jù)提供方說明數(shù)據(jù)來源的義務;其二�����,對于數(shù)據(jù)交易當事人身份的審查義務����,落實實名制���,避免欺詐�����。
數(shù)據(jù)交易中介服務機構(gòu)沒有盡到上述義務��,由此給委托人造成損害的���,如果是有償合同,則因數(shù)據(jù)交易中介服務機構(gòu)的過錯造成委托人損失的���,委托人可以請求賠償損失����;如果是無償合同,在數(shù)據(jù)交易中介服務機構(gòu)存在故意或者重大過失時����,委托人可以請求其賠償損失。
(原文刊載于《華東政法大學學報》2025年第2期)
法治號
