信息來源:安全內(nèi)參
*Photo by Amber Huang
“履約必要性條款”
我國《個人信息保護法》第十三條規(guī)定,為訂立、履行個人作為一方當事人的合同而必須收集、處理個人信息時,企業(yè)可以直接收集處理,不必再另行取得有關(guān)個人的同意。這一規(guī)則與北美、歐洲、日本、澳大利亞、中國香港等眾多司法管轄區(qū)的規(guī)定一致,是各國法律實踐中總結(jié)出的共同成果??蓪⑵浜喎Q為“履約必要性條款”。
對直接面對消費者個人的行業(yè)(即“To C”業(yè)務)而言,適用“履約必要性條款”的情況很多。這里以旅游度假和酒店住宿業(yè)為例說明。
舉個例子
通過網(wǎng)絡(luò)平臺預定酒店房間的情景就可以適用“履約必要性條款”。顧客訂房時只向平臺提供了自己的個人信息,并沒有直接將這些信息提供給酒店。而酒店收到訂單后,為了履行與顧客之間的住宿服務合同,就必須獲取顧客的姓名、身份證件信息、抵達酒店的時間乃至航班信息(如果預定有接送服務)。這些信息對合同的履行是必須的,根據(jù)“履約必要性條款”,酒店不需要從顧客那里再獲得授權(quán)或者同意,可以直接向訂房平臺索取這些信息。
再舉一例
滑雪場或戶外運動場地向顧客提供滑雪、溜冰和戶外運動設(shè)備租賃以及相應的教練服務時,也可以利用“履約必要性條款”降低自己的合規(guī)成本:
此外,在政府強監(jiān)管的法律環(huán)境下,為使合同合法生效而必須收集的個人信息也在“履約必要性條款”的覆蓋范圍內(nèi)。例如,法律規(guī)定特定游戲場所只能接待超過一定年齡的顧客,如不滿足年齡要求就可能造成服務合同的無效。這些場所自然也需要收集顧客的年齡信息,而且不必再單獨要求顧客簽署同意書。
“法定義務條款”
《個人信息保護法》還規(guī)定“為履行法定職責或者法定義務所必需”而處理個人信息時,也不需要獲得個人同意。這可以被稱為“法定義務條款”。例如,《中華人民共和國道路運輸條例》規(guī)定客運經(jīng)營者必須為旅客投保承運人責任險 。為了履行這個法定義務,服務提供者需要了解顧客的姓名、年齡、身份證號碼、行動軌跡等信息。根據(jù)“法定義務條款”,為投保目的收集、處理這些信息,就不必征求顧客的同意。
超越“同意”
有的企業(yè)把“用戶同意”當成隱私合規(guī)的靈丹妙藥,在形式上追求用戶同意的同時,卻沒有意識到“履約必要性條款”和“法定義務條款”可以更簡便地為度假和旅游產(chǎn)業(yè)的個人信息收集行為提供法律依據(jù)。這種思路常常會影響產(chǎn)品的開發(fā)推廣進度,也可能增加企業(yè)的合規(guī)成本。
事實上,與中國《個人信息保護法》一樣,全球隱私立法的標桿《歐洲通用數(shù)據(jù)保護條例》(即“GDPR”)也明確將“履約必要”和“法定義務”作為與“用戶同意”相并列的合法處理個人信息的理由。這意味著,只要相關(guān)個人信息是為了訂立和履行合同的目的而收集,企業(yè)就只需要以《隱私通知》的形式,告知顧客其使用了哪些個人信息即可,而不需要花費額外的成本獲取和保存用戶的“同意”動作(例如用戶的簽名或者在APP上作出勾選動作)。這樣的思路,可以盡量減少合規(guī)對業(yè)務的沖擊,增強業(yè)務的靈活性。
當然,如果企業(yè)希望把個人信息用于履行合同以外的目的,則仍然需要獲得用戶的同意。不過,成熟的合規(guī)顧問可以妥善和積極利用“履約必要性條款”和“法定義務條款”留給企業(yè)的空間,將隱私合規(guī)的資源更多地投放到對服務合同的雕琢和服務產(chǎn)品的迭代上,而不總是要求產(chǎn)品團隊犧牲用戶體驗,從而使合規(guī)成為企業(yè)發(fā)展的動力而非阻力。
畢竟,合規(guī)不是目的,業(yè)務的順暢運行和可持續(xù)發(fā)展才是。
作者董皓 系中國和美國紐約州執(zhí)業(yè)律師、國際隱私從業(yè)者協(xié)會認證信息隱私管理人(IAPP/CIPM)。