究竟是“谁”在通过《隐私政策》收集个人信息？ （下）

2021-11-08

我们已于《究竟是“谁”在通过<隐私政策>收集个人信息？（上）》中，针对各大平台所公示《隐私政策》中“我们”的表述进行了梳理，发现不少平台似乎试图通过混淆或模糊个人信息处理者的范围边界以实现集团内用户个人信息的自由融通、共享。

然而，上述安排是否符合《个信法》的规定？对此，我们以《个信法》及《GDPR》的规定为指引，对其合规性进行论证，厘清《隐私政策》下的“我们”的应有之义。

一、《个信法》及《GDPR》视阈下的“我们”

关于主体身份明确问题，作为《个信法》制定蓝本的《GDPR》已在第十三条及第十四条中明确：数据控制者在收集数据时，应当向数据主体告知其身份与详细联系方式及代表（如适用）、处理数据的目的及依据、数据的接收者或接收者的类型（如有）等信息。

与《GDPR》一脉相承，《个信法》亦于第十七条中明确：个人信息处理者在处理个人信息前，应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知个人信息处理者的名称或者姓名和联系方式。

对此，我们系统梳理了《个信法》中规定的“个人信息处理者”主体身份相关的规定，总结出以下违规风险点：

由上表我们可以分析得出以下结论：

（1）《隐私政策》中应明确清晰界定“我们”是谁。

平台作为个人信息处理者，必须在隐私协议中清晰明确告知用户，“我们”是谁，个人信息处理者的名称必须清楚准确。

当平台在将“我们”的范围拓宽至包括关联公司时，若其对“关联公司”的定义及范围模糊处理，使得用户对此无法直接界定的，则显然违背《个信法》中关于“最小必要原则”、“公开透明原则”、“知情同意”、“主体明确”的规定。

（2）关联主体共同处理/共享不可“随意”。

即使对“关联公司”的定义及范围予以清晰界定，且明确集团内通用的《隐私政策》与某一产品/服务单独设立的《隐私政策》之间的效力适用规则，但未履行个人信息共享或共同处理义务，亦存在违反《个信法》的法律风险。

以爱奇艺为例，其集团通用型《隐私政策》中仅列出集团内两家主要运营主体，并未予以穷尽列举。如果在用户使用集团项下产品/服务过程中，涉及两个以上的个人信息处理者共同处理个人信息，则应当明确双方的权利义务，否则一旦造成用户个人信息权益受到侵害，在向用户承担连带责任后无法就内部责任予以明确划分。

而如果涉及集团内个人信息处理者之间的个人信息共享，但平台只是在《隐私政策》的格式条款中予以简单宽泛说明，未履行接收方的告知义务并取得用户的单独同意，亦存在违反《个信法》规定的“个人信息共享”义务的法律风险。

而对于用户而言，其并不清楚在使用爱奇艺集团旗下的产品/服务时，具体的个人信息处理者究竟是集团项下哪个主体，这将导致其在发生个人信息权益受损时难以申诉维权，无疑进一步违反了《个信法》中关于“明确个人行使权力机制”的规定。

（3）“我们”不清、“罚则”无边。

一旦存在违法处理个人信息，或者处理个人信息未履行本法规定的个人信息保护义务，且情节严重的，平台将面临“双罚制”下的严厉处罚：

针对平台企业而言，除有关部门责令改正、没收违法所得外，将并处5000万元以下或上一年度营业额5%以下的罚款，并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销业务许可或者营业执照。

而针对个人信息处理者的直接责任人，则将被处10万元以上100万元以下罚款，且可能被禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。

然而，在“我们”不清的情况下，上述处罚应当落于集团内哪个主体之上？营业额是否直接在集团内各主体所创收的营业额上予以全额加总？如果是这样，则将导致法律风险责任在集团多主体之间穿透，不利于隔离划分集团内各方的自身安全边界，无异于搬起石头砸自己的脚。

二、结论：《隐私政策》中的“我们”应该是谁？

虽然各大平台《隐私政策》中关于“我们”的定义存在各种差异，但是根据《个信法》的规定，个人信息处理者的信息必须明确具体，对于“我们”的模糊化处理或者将模棱两可的关联公司纳入到“我们”的范畴，均不符合《个信法》的规定。

而由此带来两个连锁反应：

（1）用户“投诉无门”。由于个人信息处理者的身份不明确，导致用户无法确定维权主体，从而导致平台进一步违反《个信法》；

（2）平台集团内风险穿透。对于平台自身而言，其本想通过混淆或模糊处理“我们”而实现个人信息自由融通的目的，但因为该个人信息处理的主体不明晰，一旦出现诸如个人信息泄露等个人信息权益受损事件，却导致“罚则无边”，将在很大程度上导致法律风险责任在集团多主体之间穿透，面临最高5000万元以下或上一年度营业额5%以下的罚款，极不利于隔离划分集团内各方的自身安全边界。

对此，各大平台应当重新审视《隐私政策》，审慎用词，明确边界，并根据不同情况按照《个信法》的规定履行以下义务：

（1）各大平台企业在更新《隐私政策》时，应当明确“我们”的定义，清晰明确告知用户“我们”的名称和联系方式；若涉及相应的第三方关联公司，也应当予以明确，不应该只给出关联公司一词而绕开定义，或者给出无法清晰界定的模糊定义；

（2）对于两个以上个人信息处理者共同处理个人信息的，各大平台应当约定清楚各自的权利和义务，在内部有效隔离风险；

（3）针对集团内个人信息处理者之间的个人信息共享，各大平台则应当根据《个信法》的规定，明确各方共享规则，并向用户履行告知义务，向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类，并取得用户的单独同意。

《个信法》的达摩克利斯之剑高悬头顶，明确《隐私政策》中 “我们”的定义只是平台合规的一小步，在个人信息及数据监管和立法不断趋严的当下，平台合规之路依旧漫漫。

本文作者：