《个人信息保护法》对心理咨询行业的影响

来源:星瀚微法苑

文章摘要
引言 《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)经过三次审议已于2021年11月1日起正式生效实施。
引言
《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)经过三次审议已于2021年11月1日起正式生效实施。作为我国首部针对个人信息保护的专门性立法,《个人信息保护法》构建了完整的个人信息保护框架,对个人信息处理规则、个人信息处理活动的权利、信息处理者的义务、监管部门职责以及罚则等作出了全面的规定。因心理咨询从业人员在从业中会接触大量个人信息,为防范法律风险,心理咨询从业人员应熟知相应处理规则及权利义务。本文即从《个人信息保护法》的新规着手、结合案例分析对心理咨询行业的执业风险和防范进行相应讨论。
一、《个人信息保护法》在心理咨询行业中有哪些新规定?
01专门规定敏感个人信息的认定与处理规则
首先《个人信息保护法》采取了一般个人信息和敏感个人信息分级保护规则的方法,分别对二者的定义、处理规则进行说明。
1)认定:敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。
2)处理规则:
a.《个人信息保护法》对处理敏感个人信息作出了严格的限制性规定,即在履行“告知-知情-同意”原则的基础上,只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息。
b.单独同意:特别是处理敏感个人信息应当取得个人的单独同意,且需同时满足“明示同意”。
c.授权同意:如果法律、行政法规规定处理敏感个人信息应当取得书面同意的,应当从其规定。
d.告知要求:遵从个人信息处理的告知要求;应当向个人告知处理敏感个人信息的必要性以及对个人权益的影响;处理不满十四周岁未成年人个人信息的,应当取得其父母或者其他监护人的同意;[1]法律、行政法规对处理敏感个人信息规定应当取得相关行政许可或者作出其他限制的,从其规定。
02明确个人信息处理规则
首先,在个人信息处理规则中的前提条件中,《个人信息保护法》扩大个人信息处理的合法性基础,除取得个人同意外,明确了个人信息处理的多元合法性基础。
1)个人信息处理者可处理个人信息的前提条件:
(一)取得个人的同意;
(二)为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;
(三)为履行法定职责或者法定义务所必需;
(四)为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;
(五)为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;
(六)依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;
(七)法律、行政法规规定的其他情形。[2]
其中(二)至(七)项不需取得个人同意。个人同意具体分类和要求如下:

2)个人信息处理者的告知义务及要求:
个人信息处理者除了要满足前提条件,还需履行告知义务。具体要求为个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项:
(一)个人信息处理者的名称或者姓名和联系方式;
(二)个人信息的处理目的、处理方式,处理的个人信息种类、保存期限;
(三)个人行使本法规定权利的方式和程序;
(四)法律、行政法规规定应当告知的其他事项。[3]
03规定连带责任及过错推定原则
首先,规定连带责任内容。本次正式出台的《个人信息保护法》第二十条对信息处理者承担连带责任作出规定:“两个以上的个人信息处理者共同决定个人信息的处理目的和处理方式的,应当约定各自的权利和义务。但是,该约定不影响个人向其中任何一个个人信息处理者要求行使本法规定的权利。个人信息处理者共同处理个人信息,侵害个人信息权益造成损害的,应当依法承担连带责任。”该规定明确确立了共同信息处理者的连带责任关系,并强调了承担连带责任的方式。建议心理咨询行业从业者在处理客户信息、共享信息时应注重隐私保护,提前征询客户的同意与告知相应内容以防范在共同处理客户信息的法律风险。
其次,侵权责任认定采取过错推定原则。《个人信息保护法》第六十九条规定处理个人信息侵害个人信息权益造成损害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。这与《民法典》第一千一百六十五条规定保持一致,这就意味着个人信息处理者在举证时必须提出证据证明自己无过错,否则将承担对应的不利后果。在以往的司法实践中,作为普通用户的个人很难有效承担起举证责任。此次《个人信息保护法》的出台加大了个人信息处理者的应诉难度,但也使得个人提起诉讼及主张的阻力大大减小,对个人信息的保护力度明显加强。
04细致明确地规定了个人信息主体的权利和个人信息处理者的义务
除规定个人信息主体享有的知情权、决定权、查阅复制权、转移权、更正补充权、要求解释权,还赋予了个人信息主体删除权。有下列情形之一的,个人信息处理者应当主动删除个人信息;个人信息处理者未删除的,个人有权请求删除:(一)处理目的已实现、无法实现或者为实现处理目的不再必要;(二)个人信息处理者停止提供产品或者服务,或者保存期限已届满;(三)个人撤回同意;(四)个人信息处理者违反法律、行政法规或者违反约定处理个人信息;(五)法律、行政法规规定的其他情形。法律、行政法规规定的保存期限未届满,或者删除个人信息从技术上难以实现的,个人信息处理者应当停止除存储和采取必要的安全保护措施之外的处理。[4]
在对个人信息处理者义务的规定上,主要规定了个人信息处理者应当制定内部管理制度和操作规程;对个人信息实行分类管理;采取相应的加密、去标识化等安全技术措施;合理确定个人信息处理的操作权限,并定期对从业人员进行安全教育和培训;制定并组织实施个人信息安全事件应急预案;[5]定期对其处理个人信息遵守法律、行政法规的情况进行合规审计[6]。
除此以外,特别规定了对个人信息保护影响进行评估的义务,适用情形和内容要求见下表:

如在个人信息发生泄露、篡改、丢失后,《个人信息保护法》还规定了事后事项的通知以尽量减少侵害程度。具体通知内容主要包括信息种类、泄漏篡改丢失原因、危害分析、补救措施、减轻危害的措施、联系方式。通知的对象包括履行个人信息保护职责的部门和个人,但通知个人在采取措施能够有效避免信息泄露、篡改、丢失造成危害的,个人信息处理者可以不通知个人。与此同时,相关部门认为可能造成危害的,也有权要求个人信息处理者通知个人。
二、在个人信息保护方面,心理咨询行业会面临哪些执业风险及如何防范?
01关注对敏感个人信息的规定
因心理咨询涉及“敏感个人信息”认定中有关医疗健康等信息,其与一般个人信息有所不同,敏感个人信息的处理要求更为复杂和严格,因此心理咨询行业从业者应细致浏览《个人信息保护法》第二十八条到第三十二条对敏感个人信息的处理规则,积极履行“告知-知情-同意”的原则,明确可进行处理的情形,建议心理咨询行业从业者结合第十三条、第二十七条定期进行学习培训,分情形讨论进行案例化学习,但也需注意第二十七条的“除外”条款:明确拒绝或者是处理该信息侵害重大利益的除外。
02关注单独同意的规定
对于单独同意,《个人信息保护法》并未明确规定其含义。从规范层面来看,“单独同意”应理解为针对特定个人信息类别进行特定处理行为的独立、额外同意。[7]它是在一般性授权同意的基础上更进一步的概念。对于心理咨询行业来说,建议及时关注有关单独同意标准的政策法规出台和及后续司法实践的认定标准。
单独同意在《个人信息保护法》中共出现了五次,具体条文见下表:

03关注《个人信息保护法》第五章对个人信息处理者义务的规定
第五章第五十一条的规定可以很好规范心理咨询行业从业者的操作规范,同时第五十五条也再次提及对敏感个人信息的保护影响评估。保护影响评估是最终《个人信息保护法》定稿的用语,在第二次征求意见稿中的表述为“风险评估”,从风险评估到保护影响评估可以看到要评估的内容和程度不局限于风险本身,还需要考察风险的不利影响,防范措施等一系列因素,对个人信息处理者的要求更高。这也同时提醒个人信息处理者要结合《个人信息保护法》总则中的原则要求,及时关注后续司法实践或行政法规等配套措施的出台,并随之及时更新培训内容,将新出台的法规或裁判要旨向心理咨询从业者传达使其知悉。
三、案例分析
01案件事实
张某某、王某、李某系北京某高校学生处职工,其中王某为该高校心理发展指导中心(以下简称心理中心)咨询师,张某某为心理中心办公室主任,李某为心理中心主任。2017年,赵某某系该高校在校学生,2017年3月8日与心理中心签订《心理咨询协议》,咨询原则:本中心尊重来访者的个人隐私,任何个人信息都不会被泄露,除非有你本人的授权。但在你的信息暗示你将危及自己或他人或社会安全时,咨询师有权和有关方面联系。随后,赵某某开始在心理中心进行心理咨询,咨询师为王某,陆续咨询20余次。赵某某于2018年通过王某无意得知其个人情况在心理中心督导会上进行讨论,双方遂产生争议。
02裁判说理
从行为人主观来看,李某、张某某、王某为赵某某进行心理咨询或参与督导会讨论的目的是为了给赵某某提供专业的咨询和帮助,而并非为了泄露赵某某的个人隐私,三人不存在侵权的故意。从行为的违法性看,首先,李某、张某某作为心理中心主任建立督导制度的行为不具有违法性,根据李某提交的文件可以看出,督导制度是为了保证咨询师的专业性,根据心理咨询领域的行业规范而设立的,并不违法;其次,根据《心理咨询协议》约定,来访者咨询过程中出现危机时,咨询师有权和有关方面联系,王某在为赵某某进行心理咨询过程中遇到困难提请督导会讨论的行为不违反协议约定,也不违反法律规定;再次,赵某某提交的邮件和录音不足以认定李某、张某某、王某在集体督导会上实施了泄露、传播其隐私的行为,关于心理中心的答复,法院认为该答复是心理中心向伦理组就内部管理和制度完善提交的整改意见,并非对心理中心存在侵权行为的认可。从损害后果来看,赵某某主张其个人隐私在督导会上被泄露并传播,并面临着向外泄露的风险,但其并未就此提供相关证据,录音中其自述“听说前台也参与督导会”,且自认为前台知道其隐私,均无相关证据予以证明,故赵某某提交的证据不足以证明其主张的损害后果已经发生。综上,法院认为李某、张某某、王某的行为不构成侵权行为。
03结合《个人信息保护法》的法律分析及意见
此案判决书裁判日期为2020年12月15日,当时此案的裁判法律依据主要为《侵权责任法》(《民法典》于2021年1月1日起施行)。除《民法典》侵权编规定外,我们主要结合《个人信息保护法》中的部分规定对本案案情作进一步分析,以提示心理咨询行业从业者应注意防范的风险点:
1、关于在处理个人信息时的要求:第二十九条要求处理敏感个人信息应当取得个人的单独同意。但第十三条规定依照本法其他有关规定,处理个人信息应当取得个人同意,但是有前款第二项至第七项规定情形的,不需取得个人同意。上述案例中,法院即认定北京某高校心理中心为其职务行为,无违法性,与第十三条第(三)款为履行法定职责或者法定义务所必需相匹配。但本案具有特殊性,涉案主体为高校心理中心,与一般商业心理咨询服务机构有差别。因此,一般心理咨询服务机构在处理个人信息时,还应当遵守第二十九条对个人单独同意的要求,避免后续纠纷发生。
2、关于告知:本案中心理中心与赵某某签订了《心理咨询协议》,其中约定了除非得到个人授权,任何个人信息不得泄漏。而心理中心将赵某某的情况公开讨论在督导会之前如果提前告知赵某获其同意就不会产生后续的法律诉讼。因此建议心理咨询行业从业者在处理个人信息时应严格履行告知义务,以减少法律风险。除了要告知第十七条规定的信息外,还应当向个人告知处理敏感个人信息的必要性以及对个人权益的影响。
3、关于连带责任:如果本案王某的行为被认定为侵犯隐私权,则根据《个人信息保护法》规定的个人信息处理者的连带责任规定,李某、张某某将会承担连带侵权责任。这一规定对心理咨询行业从业者提出了更高的要求,不仅是接待客户的心理咨询师个人,与之相关的个人信息处理者皆会受到追责。这就要求心理咨询行业从业者在工作中严格按照之前所述的征求同意要求和告知要求规范执业行为,以减少后续潜在的法律风险。
4、关于过错推定原则:根据判决书,可知本案中皆为原告赵某某(学生)提交其认为心理中心侵犯其隐私权的证据。而根据《个人信息保护法》及《民法典》侵权编的规定,个人信息处理者个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。这在一定程度上加大了心理咨询服务行业从业者的应诉难度。为防范这一风险,建议心理咨询行业从业者在日常工作中就应及时做好登记管理、档案封存,使工作内容形成规范的书面文件,在处理个人信息的每一个步骤都应保存相应材料,以便后续在发生纠纷时留有相应证据材料。
综上,《个人信息保护法》作为一部新施行的法律,更加强调对公民个人信息的保护,作为直接接触大量来访者的心理咨询行业从业者,应加强对新法的学习,并应结合《民法典》、《精神卫生法》及各地精神卫生条例、行业伦理规范要求,充分重视对个人信息的保护原则,知晓自己权利和义务,并在实际工作中注重保存记录、档案管理,做到严格规范执业,这也很大程度上可以预防产生不必要的法律风险。
[1] 《个人信息保护法》第29、30、31、32条
[2] 《个人信息保护法》第13条
[3] 《个人信息保护法》第17条
[4] 《个人信息保护法》第47条
[5] 《个人信息保护法》第51条
[6] 《个人信息保护法》第54条
[7] 熊定中、张宇涵:《个人信息保护法》重大产业影响条款深度解析及条文对比解读,载微信公众号“中国法律评论”,2021年8月21日,https://mp.weixin.qq.com/s/NQeJwMIBxQ-B_JN2uAxd0g
技术驱动法律,专业成就未来