第二十三条 【向他人提供个人信息】
个人信息处理者向其他个人信息处理者提供其处理的个人信息的,应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意。接收方应当在上述处理目的、处理方式和个人信息的种类等范围内处理个人信息。接收方变更原先的处理目的、处理方式的,应当依照本法规定重新取得个人同意。
重点解读
本条明确了个人信息处理者向其他个人信息处理者提供个人信息的要求。
就作为提供方的个人信息处理者而言,同《网络安全法》第四十二条第一款和《民法典》第一千零三十八条第一款相类似,《个人信息保护法》要求其应当向个人告知“接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类”,并取得个人的单独同意。笔者个人理解,根据本法第十三条,上述“告知—同意”的要求限于基于同意开展的个人信息处理活动,若基于第十三条项下的其他合法性基础对外提供个人信息的,无须取得信息主体同意。
从接收个人信息的接收方的义务看,接收方不能超出信息主体的同意的目的、方式和范围处理个人信息,若确需变更处理目的和处理方式的,应当重新获得信息主体同意。
实务要点
就向他人提供个人信息的情形下告知的内容而言,《个人信息保护法》明确规定了告知的内容应当包含“接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类”。当前实践中,多数个人信息处理者仅会向信息主体概括性地告知接收方的类型,而较少精确到具体接收方的名称或者姓名,该等做法可能无法满足本条的要求。就告知的形式而言,《个人信息保护法》明确了“单独同意”的要求。就单独同意而言,一般宜以“单独弹窗”“单独协议”的方式,并通过信息主体主动勾选、主动点击确认的方式获得。
案例解析
*案情介绍
Z支付公司为L公司提供“智慧门店”相关服务,用户通过Z公司付款后,Z公司将订单信息传递到其关联公司T公司运营的“智慧门店”平台。“智慧门店”平台立即与该门店对应的线上商家所设置的优惠信息进行匹配,如有优惠活动(红包、优惠券等),且消费者此前已通过现场扫码、线上领取等方式获得红包或优惠券的,系统自动对用户的线下购物进行同步扣减、抵消,使用户在线下购物时能够享受该商家的线上优惠。
俞某来到L公司线下智慧门店购买儿童牙膏一盒,并使用手机中的Z公司App进行支付,在支付完成页面显示“支付成功59元,收款方为北京清河店”,页面中间显示“成为会员可享专属权益”右侧可点击“成为会员”。在该页面底端有“授权T公司获取你线下交易信息并展示”,前方勾选框中为默认勾选状态。打开T公司App,在订单详情页面显示“L公司北京清河店,儿童牙膏1盒,59元×1,商品总价59元,运费0,订单总价59元,实付款59元”,页面下方显示订单编号、交易号、创建时间2018-01-31 09 ∶48 ∶14、付款时间2018-01-31 09 ∶48 ∶16、成交时间2018-01-31 09 ∶48 ∶16。俞某回到Z公司支付App页面,将勾选框中的对号取消,在T公司App的订单中再刷新全部订单,查看已经不存在该交易订单。俞某随后又购买了“幼蓓宝宝面巾纸”一提,同样使用Z公司App进行支付,在支付完成页面显示“支付成功17.90元,收款方为北京清河店”,下方显示“成为会员可享专属权益”右侧可点击“成为会员”。页面底端无其他展示内容。打开手机中的T公司App,在“我的订单”中也可以找到其刚支付购买的纸巾的交易信息,包括交易店名、商品图片、商品名称、交易价格等。俞某交易全程未点击“成为会员”。
俞某认为,Z公司在未获得明示同意的前提下,将收集的交易订单信息等个人信息提供给T公司,侵犯了俞某的个人信息权益。
*法律解析
1.涉案交易信息属于个人信息
俞某在本案中主张的个人信息主要指交易信息,具体表现为两条交易记录,包括店铺信息、商品价格、购买门店、商品规格等信息,这些信息显然可以通过与其他信息结合的方式识别出自然人的身份信息,属于个人信息。
2.Z公司与T公司之间共享个人信息的合法性
网络运营者共享用户个人信息的行为不应概括授权。T公司在《隐私政策》中对可能涉及用户个人信息的情形提前告知和提示用户注意,但其并未针对其提供的本案所涉智慧门店服务专门、明确地告知用户并获取用户的授权。如果认为网络运营者仅仅采用概括式的授权即履行了其告知义务,而在具体场景的应用中无须再次取得用户同意,则个人信息相关权益的所有人在进行该种授权时对其个人信息的使用方式以及使用范围无法明确知晓,可能导致个人信息脱离用户意志而被不当收集和使用,不利于对个人信息的保护。
网络运营者即使向用户告知了其将共享用户的个人信息,在用户明确拒绝的情况下,亦不得再实施个人信息的共享行为。本案中,俞某第一次支付完成后,在支付完成界面已经出现了“授权T公司获取你线下交易信息并展示”字样,俞某应当已经知晓其交易信息会在T公司订单中出现,但是原告将该默认勾选取消,应当视为俞某明确拒绝各被告对其个人信息实施共享行为,用户主观上不希望T公司获取其线下交易并进行展示,则各被告理应遵从用户意愿,不应再对用户交易信息进行共享。但各被告未遵从用户意愿,反而在后续交易中不再征求用户同意,该行为违背用户意志,不当共享了用户个人信息。
关联法条
《网络安全法》第四十二条;《民法典》第一千零三十八条。