中国的《个人信息保护法》于2021年生效,但关于关键条款的解释仍存在许多问题。其中一点是第13条,该条与《欧盟通用数据保护条例》一样,要求组织有合法的理由收集和处理个人数据。
1
第13条列出了一份法律依据的说明性清单,其中大部分在世界各地的其他数据保护法中都有参考,包括获得同意、遵守法律义务、保护个人的重大利益和完成符合公共利益的任务。
2
第13条第(2)款也包含了处理履行合同所需数据这一熟悉概念。尽管语言与GDPR和其他全球数据保护法相似,但在中国数据保护法中,合同必要性仍然是一个未经充分审查的话题。
中国网信办等主管部门在实践中如何解释这一规定,企业在选择这一依据时应考虑哪些因素?
1
关于合同必要性的现有指南
在中国,监管机构经常发布指导意见或实施规则,以澄清法律的具体方面。这些文书有不同的形式,如条例、行政措施、准则和技术标准,在该国的监管和决策过程中发挥着关键作用。这些文书的范围、意义和适用性各不相同——有些是强制性的,编纂了广泛的政策条款,而另一些则是建议性的,反映了行业最佳实践。然而,它们都在中国法律运作中发挥着重要作用。
监管机构利用这些工具来执行全国人民代表大会通过的法律(全国人大有专家委员会,通常由这些监管机构的代表组成)或国务院和其他政府机构领导小组起草的政策意见。此外,他们还可以通过整合行业反馈并提供实用指导,为未来的法规奠定基础。
例如,中国网络空间管理局下属的国家信息安全标准化技术委员会发布了许多技术标准,这些标准后来成为监管的核心部分。例如,《2020年个人信息安全规范》早于PIPL,仍然是日常合规中使用的关键指导文件之一。
近年来,许多此类文书被发布,以澄清法律的关键方面,并为新的政策发展引入规则。其中一些包括对现有法律义务的指导,如同意、跨订单数据传输、技术和组织措施、重要数据识别以及数据保护影响评估。其他是为特定行业量身定制的,如联网汽车,或涵盖新兴的监管重点,如生成人工智能、沉浸式技术和算法管理系统。
关于合同必要性解释的具体指导意见显然没有出现在这一法规汇编中。监管机构在今年早些时候发布的最新《个人信息处理通知和同意实施指南》中间接谈到了这一主题。
本文件第6.2.1条介绍了满足合同必要性的场景,包括处理个人数据是提供“基本业务功能”所必需的,例如通过电子商务交付货物时处理交货地址和联系信息。
值得注意的是,在第6.2.1(a)(3)条中,指南规定,处理必须与产品和服务的核心基础部分有关,并且在使用的个人数据的类型和数量以及处理频率方面对数据主体的影响最小。披露处理细节的隐私政策不能是PIPL意义上的合同。
虽然这些准则代表着法律编纂的一个显着步骤,但它们只是对合同必要性的简要介绍,并留下了许多有待遵守的实际问题。然而,组织可能会求助于其他来源,以了解这一法律基础在实践中的运作方式,以及中国当局在解释其适用性时可能会求助的原则。
2
欧盟判例:中国组织的潜在指南?
尽管CAC缺乏指导,但有证据表明,欧盟数据保护法可能具有部分指导意义。
欧洲数据保护委员会在其关于《通用数据保护条例》第6(1)(b)条的指导意见中规定,合同必要性将不“涵盖对履行合同服务有用但客观上不必要的处理……即使是出于控制者的其他业务目的而必要的处理。”
根据该指导意见,组织必须能够证明提供服务的侵入性没有降低,否则在欧盟法律的意义上,处理将不是严格必要的。出于透明和公平的目的,服务也必须是用户合理期望成为合同主要部分的服务。它不能仅仅是一个包含的术语或业务用来表示业绩的附加条件。
这一解释在爱尔兰数据保护委员会最近发布的WhatsApp决定中达到了顶点。在这种情况下,EDPB根据《通用数据保护条例》第60(4)条行使其争议解决权,发现WhatsApp Ireland不能依赖合同必要性来处理用户数据以“改善其服务”,包括使用分析。
这是因为处理过程对于提供用户合理期望的“基本且相互理解”的合同目的是不必要的,包括向联系人发送消息、视频和其他内容。值得注意的是,欧洲联盟法院最近在Meta诉Bundeskartellamt一案中认可了这一解释,当时它认为合同的必要性要求处理对履行合同“客观上不可或缺”。
中国政策制定者和数据保护专家对这种做法表示赞同。
在诉讼过程中,该案在中国的学术和专业职位上受到了关注,甚至有人认为,中国现有的指导意见已经规定了类似的标准。
例如,附件C中的个人信息安全规范区分了“基本业务功能”或核心功能和“扩展业务功能”(或辅助功能)。核心功能是指对提供产品或服务至关重要的方面,并且符合数据主体的期望。
相比之下,辅助功能是增加或改善用户对产品或服务的体验的附加功能,但对其提供来说不是必要的。根据附件C.2.b,这些内容包括“提高服务质量,增强消费者体验”,以及与个性化广告密切相关的研发特征。
在过去几年里,中国当局发布了一些规定,为电子商务、支付和即时通讯等一系列行业的常用移动应用程序确定“必要”信息。
区分核心功能和辅助功能的目的是实施PIPL第5条和第6条规定的必要性和数据最小化原则。监管机构依靠这一指导意见来执行同意规则,防止组织非法捆绑服务或以获得同意为条件。
然而,中国当局也可以采用这种区别来解释合同的必要性。这将与EDPB对该问题的处理方式产生显着共鸣,即涵盖允许以获得同意为条件提供服务的情况,因为提供服务需要处理,即需要履行合同时。
3
实际见解和收获
尽管这为合同必要性在中国的运作提供了一些指导,但组织应该意识到,在缺乏成文规则或标准的情况下,依赖这一基础的风险。
在过去几年中,食典委有能力解释和执行同意规则,包括为其官员举办培训研讨会,启动监管调查,以及发布通知和同意程序指南。
正因为如此,与包括合同必要性在内的其他合法理由相比,同意目前为在中国经营的组织提供了更大的法律确定性。
然而,PIPL第13(2)条与GDPR方法的可能趋同表明,标准可能适用于跨境和地方环境。跨国商业数据保护法的出现可能不仅仅是法律文本的相似性,还延伸到实施和解释。即使有像中国这样独特的法律体系,数据保护规则的趋同仍在继续。
*文章来源:iapp.org
*原标题:Practical considerations and insights on contractual necessity under PIPL
*整理编辑:A隐小私(yinxiaosi00)
▼关注我们,最新考试政策/合规资讯抢先看▼
全套资料试听课在线试讲
如何轻松通过IAPP CIPP/E?分享我考CIPP/E的4个关键
CIPPE+CIPM双证到手!他如何在3个月内完美通过的?
数据合规零基础,仅用三个月456分通过 IAPP CIPP/E!!
IAPP CIPT备考经验:数据合规人士如何克服全英文CIPT考试?
真实分享:考IAPP CIPP/E诀窍是什么?分享四点备考要素及考后感想
独家分享 | CIPP新型学习法?建立GDPR树状图,阶段式备考重点
四证连过!只用半个月,如何同时通过IAPP CIPP/E+CIPT+CIPPUS+CIPM
往/期/回/顾
合规官与律师:有何区别?
快报!2023年隐私合规薪资调查报告新鲜出炉!隐私工作者平均基本工资增长10%!
CIPPE+CIPM双证到手!他如何在3个月内完美通过的?
什么是合规性?不同的合规岗位的职责是什么?
示例解说:数据保护原则:GDPR 7 项原则详解
数据合规有哪些岗位?列举3个重要的合规岗类型及职责
■ DEPTH
想了解IAPP哪个证书适合你?
全套资料长按扫码领取
全套资料试听课在线试讲
-End-
■ DEPTH
想知道IAPP哪个证书适合你吗?
资格评价可直接扫描码
免费评价/赠送一份国际隐私认证学习资料一份
感觉不错你就赞赞我吧!
点分享
点点赞
点在看
戳这个,领取IAPP备考资料包
24小时贵宾咨询热线:400-115-9589
扫码关注公众号咨询
威普网校APP
学习由你“掌”握
iPhone/IPAD
威普网校APP
学习由你“掌”握
Android手机
