从“微信读书案”到《个保法》,关联企业间个人数据共享的合规探索

来源:广悦数据合规研究院

文章摘要
此前,我们选取了18家企业的隐私政策条款进行调研,并基于“拼多多共享数据侵权”案就关联主体能否打通壁垒实现数据互通的问题进行了探讨(详情可戳:《从“拼多多共享数据侵权”案,探讨关联主体数据“互通”法则

此前,我们选取了18家企业的隐私政策条款进行调研,并基于“拼多多共享数据侵权”案就关联主体能否打通壁垒实现数据互通的问题进行了探讨(详情可戳:《从“拼多多共享数据侵权”案,探讨关联主体数据“互通”法则》)。如调研结果所示,各企业的《隐私政策》似乎都通过如是表述以“概括授权”的方式征得用户对关联企业间共享个人数据【1】的同意——“您的个人信息可能会在我们的关联方之间共享,但我们只会共享必要的信息,且受本隐私政策所声明目的约束。关联方如改变个人信息的处理目的,将再次征求您的授权同意。”
如果我们细细推究,所谓“关联公司”实则包含了哪些主体?共享的目的是什么?共享的个人数据涉及什么类型?共享后又将如何使用?接收方将采取何种措施保护个人数据?是否确已控制在必要共享范围内?……上述条款似乎无法通过这接连的拷问。
经检索发现,“拼多多共享数据侵权”案并非首案,早在《个人信息保护法》(以下简称《个保法》)颁布前,已有个人以诉讼方式就关联主体间的数据共享行为进行维权,如此前同样引起广泛关注的“微信读书案”【2】。随着《个保法》生效,“关联企业概括授权”条款背后所暗藏的数据合规风险,正在放大。
基于此,我们将结合《个保法》等相关法律法规文件及司法实践,重点分析关联企业间是否可以共享个人数据以及应如何履行告知同意义务,探索关联企业间个人数据共享与流动的合规路径,以供参考。
一、从“场景”到“概念”,如何理解关联企业间个人数据共享
无论是《个保法》,还是此前在保护个人数据领域主要适用的《民法典》《网络安全法》,均未专门就个人数据的“共享”行为进行界定。
实践中,关联企业间个人数据共享的场景十分多样。广告投放与数据分析的商业营销合作、提供用户一体化管理服务、合作实现业务功能、保障用户账号及交易安全等,关联企业或是基于自身功能需求,或是为了对方业务发展,在彼此间交互使用个人数据,并在《隐私政策》中统一界定为“共享”。
那么,“共享”的法律概念到底是什么?
我们在目前实践应用较为广泛的国标文件《信息安全技术 个人信息安全规范》(GB/T 35273—2020)中找到了答案。根据该文件第3.13款的明确定义,共享是指个人信息控制者向其他控制者提供个人信息,且双方分别对个人信息拥有独立控制权的过程。这意味着,在个人数据“共享”的法律概念里,提供方和接收方是彼此独立的数据控制者。
同时,根据《公司法》规定,关联企业间虽存在直接或间接的控制关系,但法人有独立的财产,享有法人财产权并依法独立承担民事责任。换言之,除非关联企业间构成总分公司,否则仍应独立履行个人数据处理方面的合规义务。
有鉴于此,如企业向关联主体共享个人数据的,属于“对外提供”行为。正如“微信读书案”中,微信读书App为实现部分业务功能之目的,与关联产品微信进行了用户好友关系共享。按照个人数据处理的普遍要求,“对外提供”行为应当满足“必要”及“告知同意”原则。
二、从“必要”到“最小必要”,关联企业间是否可以共享个人数据
无论是《个保法》,还是此前在保护个人数据领域主要适用的《民法典》《网络安全法》,均未专门就个人数据的“共享”行为进行界定。
个人数据共享的必要性如何理解?我们从“提供方”和“接收方”两个角度探讨。
对于提供方而言,其收集、处理的用户个人数据首先应仅限于业务功能的必要范围,在共享阶段,提供方向关联企业共享的个人数据也应符合必要原则,即以实现接收方的特定业务需求为限。一个常见场景就是关联App间的授权登录。如图1所示,为了方便微信App用户登录企业微信App,微信App可以共享用户的昵称和头像,这对于授权登录企业微信App显然具有必要性。

图1:必要性图例
在“微信读书案”中,法院则评价了接收方的数据共享必要性。法院认为,企业对成功开发及运营产品所积累的用户关系数据,可以在其关联产品中予以合理利用。微信读书App作为接收方,获取用户的微信好友列表,其用途是在微信读书App中开展基于微信好友关系的社交功能,基于此目的进行原告好友列表的收集与共享,并不违反必要原则。
《个保法》背景下,《网络安全法》所规制的“必要”原则已升级为“最小必要”。因此,如企业为实现特定目的确需向关联企业共享(提供/接收)个人数据的,虽不违反必要性,但应确保共享的个人数据范围为实现共享目的的最小范围,并采取对个人权益影响最小的方式。
譬如,淘宝App与阿里妈妈同属阿里巴巴集团,淘宝App会向阿里妈妈共享数据以制作大数据产品,进行商业趋势分析。为满足最小必要原则,淘宝App共享的个人数据应仅限于商业分析所需的最小范围。鉴于商业分析所需数据无需识别到个人,淘宝App可以在共享前匿名化处理个人数据,尽力减少对个人权益的不利影响。
三、从“知情同意”到“单独同意”,企业如何履行告知同意义务
《个保法》生效前,关联企业间的个人数据共享应如何取得用户授权,存在较大争议,也是“微信读书案”的争议焦点之一。
该案原告主张微信读书App与微信App默认共享好友关系,侵犯其个人数据权益。
由于当时《个保法》尚未出台,法院仅能援引《网络安全法》对案涉行为进行认定。
判决指出,微信读书App作为共享数据的接收方,应满足“知情同意”原则,即保证在用户知情的情况下,获得用户对信息内容、收集使用目的、方式和范围的同意。
本案中,微信读书App在未明确显著告知用户并取得同意的情况下,在不同应用中迁移好友关系,向微信好友自动公开读书信息,不符合一般用户的合理预期,侵害了原告的个人数据权益。
“微信读书案”就关联企业间的个人数据共享明确了接收方应遵守“知情同意”原则,并进一步解释了告知用户同意的范围,但囿于司法领域“不告不理”原则,法院未就共享数据提供方微信App是否应向用户履行告知同意义务进行认定。
对此,《个保法》在第二十三条予以了回应,企业向其他个人信息处理者提供其处理的个人信息的,应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意。
关联企业间的个人数据共享,属于“向其他个人信息处理者提供个人信息”的“对外提供”行为,应取得用户的单独同意。
在关联关系复杂、共享场景多样、信息类型众多的情况下,如果数据提供方仅仅通过“用户概括授权”的方式履行告知义务,在触发共享场景时并未再次取得用户同意,则用户作为数据主体根本无法明确知悉其个人数据的使用方式及范围,极大可能导致个人数据脱离于用户意志而被不当收集和使用,有悖《个保法》的立法目的与保护法益。
仍然以微信App的授权界面为例(如图2),在向企业微信App共享“好友关系”时,微信App以单独弹窗的形式通知用户,且用户可以自行勾选、点击确认是否同意授权。这便属于一种有效的“单独同意”模式。

图2:单独同意图例
综上,从接收方履行“知情同意”义务,到提供方符合“单独同意”条件,关联企业间共享个人数据的合规要求逐渐明晰。
一方面,数据提供方应通过单独弹窗、邮件通知等方式履行单独告知同意义务,充分披露关联企业间的个人数据共享行为;
另一方面,接收方作为个人数据的收集主体,亦应在自身的个人信息收集规则中对以共享方式获取用户个人数据的情形予以显著披露。
如涉及敏感个人数据共享的,接收方还应依照《个保法》要求履行单独告知同意义务。
四、从“数据共享”到“共同处理” 如何更好地释放数据价值
《个保法》生效后,关联企业间的个人数据共享显然面临着更严峻的合规挑战。企业如何寻得新出路,是亟待解决的实务问题。
回归问题本质,我们会发现数据共享只是手段,促进数据流动、释放商业价值方为目的。因此,除“对外提供”的共享模式外,是否还有其他更合适的方式实现关联企业间数据流通,成为破局关键。由于《个保法》同时保留了“对外提供”“委托处理”“共同处理”三种法律关系,目前实务中存在另外两种声音。
其一,认为关联企业间的个人数据流动可归为“委托处理”,而无需取得单独同意。
《个保法》强调“委托处理”关系下,个人数据处理者应当与受托人约定委托处理的目的、期限、处理方式、个人数据的种类、保护措施以及双方的权利和义务等,并对受托人的个人数据处理活动进行监督,但未提及委托方的单独告知同意义务。因此,部分观点认为“关联企业间的个人数据流动”应属于“委托处理”,无需用户单独同意。
根据《民法典》规定,委托处理行为本质上是委托关系,受托人仅能在委托人的委托范围内处理个人数据,无法脱离委托人意志自主决定处理个人数据的目的与方式,且委托处理关系通常发生在受托方具有更显著的专业或资源优势的情形。如医疗健康类产品可通过引入关联企业实现样本检测、专家会诊、异地诊疗等与产品功能直接相关的特定职能,此时关联企业可作为受托方在特定委托范围内处理个人数据,但不得超出委托范围用于市场营销、广告分析等目的。
由于关联企业间个人数据流动的业务场景中,数据互通多数为了达成资源互换、业务协同、公司管控等目的,而非实现个人数据的专业技术处理,因此,我们倾向于认为“委托处理关系”在关联企业间可能较难适用。
其二,认为关联企业间的个人数据流动可归为“共同处理”,同样无需取得单独同意。
根据《个保法》第二十条,“共同处理”是指两个以上的个人数据处理者共同决定个人数据的处理目的和处理方式,共同处理个人数据。与“共享”近似,共同处理关系下的多个处理者均有权决定个人数据的处理目的和方式。例如,一款产品的不同业务功能分由同一集团的不同子公司负责时,子公司之间可共同决定各功能模块所需处理的个人数据,并就各自权利义务达成一致协议,此时子公司之间构成共同处理关系,应通过在《隐私政策》中披露共同处理关系的方式向用户履行告知同意义务。
与“共享”不同的是,共同处理关系下的各处理者之间并非完全独立的数据控制者,所确定的个人数据处理目的仍应与共同向用户提供的对应产品服务直接相关,而不可用于自身的其他经营活动。
以WhatsApp与Facebook之间的数据流动被罚案为例,WhatsApp作为Facebook的子公司,向Facebook传输用户账户登记资料、交易资料、流动装置资讯、IP地址、通讯录联络人等十多项资料供其优化自身产品的个性化广告服务,显然超出WhatsApp提供自有产品功能之目的,即便在我国的《个保法》背景下,WhatsApp与Facebook也较难以“共同处理”关系进行开脱。
总体而言,如未超出特定产品业务功能,则“共同处理”更适用于关联企业的数据流通场景,可以满足公司管控的目的、实现彼此间业务协同。在合规层面,“共同处理”模式无需用户“单独同意”,相较于“数据共享”也更易达成监管要求,可作为关联企业间个人数据流通的新出路。若超出了特定产品业务功能,如用于优化独立运营的其他关联产品,则关联企业间的数据流动仍构成“对外提供”的数据共享模式,应取得用户单独同意,这也是企业发展过程中所必须承担的合规成本。
此外,值得注意的是,共同处理关系下的处理者间应承担连带责任。因此,企业在选择适用“共同处理”还是“数据共享”时,还应注意结合关联企业间的控制强弱、关系亲疏等因素加以判断,避免因考虑不周而遭受不利后果。
结语
作为继土地、劳动力、资本、技术之后的第五种生产要素,数据正逐步成为立法、执法、司法领域的聚焦点。
“万物皆数”时代下,关联企业间的技术数据、业务数据、商业数据等非个人数据应如何合法合规地流动同样值得关注。
但无论何种类型数据,企业只有构建可视、可控、可溯的数据安全管理体系,才能更深入地挖掘数据要素价值,实现数字化经济增长可持续。
注释[1]:根据《个人信息保护法》第四条,个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息,《深圳经济特区数据条例》则将“个人数据”定义为载有可识别特定自然人信息的数据,不包括匿名化处理后的数据,可见“个人信息”与“个人数据”两者在广义概念上没有明显区别,故本文暂不做区分。
注释[2]:参见北京互联网法院(2019)京0491民初16142号黄某与腾讯科技(深圳)有限公司广州分公司、腾讯科技(北京)有限公司隐私权、个人信息权益网络侵权责任纠纷一审民事判决书。
注释[3]:《网络安全法》第四十一条规定:网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。

技术驱动法律,专业成就未来