《个人信息保护法》第4条已明确将“提供”作为个人信息的处理方式之一。我国《刑法》通过第253条之一:将禁止违反国家有关规定而向他人提供个人信息。《个人信息保护法》第10条、《民法典》第111条、《网络安全法》第44条也均规定不得非法提供他人个人信息。但何为“提供”?包括上述法律在内的法律法规均未给出“提供”之定义。
程啸老师在《个人信息保护法理解与适用》一书中认为,提供个人信息,是指“个人信息处理者将其处理的个人信息提供给其他的个人信息处理者,并由接收方对个人信息进行处理。”《个人信息保护法(专家建议稿)及立法理由书》(张新宝老师等著)指出,“提供个人信息指的是个人信息处理者将个人信息提供给第三方个人信息处理者的情形,包括向他人传输个人信息数据副本或提供个人数据访问、检索途径等。”可以看出,个人信息的提供活动发生在提供方与接收方之间,提供个人信息是将个人信息相关权益比较完整地提供给第三方的行为。
“提供”对信息处理者来讲是合规义务最高的个人信息处理类型之一。主要义务包括:
1、告知义务。根据《个人信息保护法》第23条,个人信息处理者应向个人接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类。
此外,根据在《个人信息保护法》颁布前就已出台的《信息安全技术 个人信息安全规范》(GB/T 35273-2020)第9.2条b)项,个人信息控制者共享个人信息的,还应当向个人信息主体告知提供个人信息“可能产生的后果”,若该等个人信息系个人敏感信息的,还应告知数据接收方的“数据安全能力”。以上两项告知义务虽然没有被《个人信息保护法》作为告知的内容,但是仍需要在提供个人信息前进行评估。
2、取得个人的单独同意。《个人信息保护法》第13条第2款规定,个人信息处理者将其处理的个人信息提供给其他个人信息处理者,必须告知个人并取得其单独同意,除非存在法律、行政法规规定不需要取得个人同意的情形,如该条第1款第2至7项。
3、事前影响评估及记录处理情况的义务。值得注意的是,在提供个人信息前,还应进行个人信息保护影响评估,并对处理情况进行记录,评估范围应包括:a.个人信息的处理目的、处理方式等是否合法、正当、必要;b. 对个人权益的影响及安全风险;c.所采取的保护措施是否合法、有效并与风险程度相适应,个人信息保护影响评估报告和处理情况记录应当至少保存三年。(《个人信息保护法》第55、第56条)
1. 个人信息处理者向其关联公司提供个人信息的,同样也应遵循前述告知且单独同意的规定。按照文义解释,《个人信息保护法》第23条规定了“个人信息处理者向其他个人信息处理者提供其处理的个人信息的,应当……”,显然,提供方的关联公司属于“其他个人信息处理者”,因此个人信息处理者向其关联公司提供个人信息的,不能免除告知义务。
2. 告知应当明确、完整,告知内容中应列出接收者的完整名称或名字,若有多个接收方的,应将接收方全部列出,而不能仅告知提供给“关联公司”或“集团企业”。例如,D公司告知个人信息主体E,D公司收集的个人信息将共享给D公司的“关联公司”。显然,此种情况下,E不知道D公司的关联公司究竟有哪些,即便E是如律师这类专业人士,可以准确查询到D的关联公司为d1、d2、d3、d4、d5,那么也不可能知道接收个人信息的接收方具体是其中哪一家或哪几家公司,因此,E的有效同意从何谈起呢?
D公司的上述做法违反了《个人信息保护法》第23条之规定及个人信息处理要求的公开透明原则。在黄某与某某科技(深圳)有限公司广州分公司、某某科技(北京)有限公司隐私权、个人信息权益网络侵权责任纠纷案中,法院也采用了类似的裁判规则。(详可参见北京互联网法院(2019)京0491民初16142号民事判决书)
3. 基于某种特定目的之概括同意不属于单独同意。司法实务中有一种观点认为,个人信息主体A同意基于某目的(如A出于借款目的)向个人信息处理者B提供A的个人信息,那么B就有可能在无须征得A的单独同意的情况下而直接将A的个人信息提供给愿意向A提供借款的C。我们认为前述观点因违反《个人信息保护法》第13条之规定而不能成立。因此,建议作为个人信息处理者的企业在向他人提供前应明确而单独地针对该次提供行为取得个人的同意,防范侵权及刑事法律风险。