一、“数据共享”的概念与辨析
谈“数据共享”,先明确其概念,实属当然,按照概念的种属关系之分,“数据共享”应当是“数据处理”的一个子概念、下位概念。如是理解,则数据控制者或者数据处理者,对数据进行一系列的处理行为,其中的一个方面或者一种方式是“共享”。
1.概念探寻的第一层问题
但是,如果顺着前述思路展开,就会发现如下的问题:
按照《个人信息保护法》第四条关于“数据处理”的描述,个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。
按照《网络安全法》第三条关于“数据处理”的描述,数据处理,包括数据的收集、存储、使用、加工、传输、提供、公开等。
似乎在数据合规领域的“至高依仗”《个人信息保护法》《网络安全法》中,对“数据共享”或者“共享”并没有通过直接列举的方式作为“数据处理”的典型方式,“数据共享”难道就是《个人信息保护法》《网络安全法》所述所指的“数据传输”、“数据提供”、“数据公开”,只是用词用语的差别?还是在兜底概括的“等”之中呢?
2.概念探寻的第二层问题
在法律法规层面没有解决的问题,为进一步释明和剖析“数据共享”的概念,我们尝试向地方性法规、规范性文件层面寻找“数据共享”的概念依据:
按照《交通运输政务数据共享管理办法》第五条之规定,政务数据共享应遵循以下原则:
(一)以共享为原则,不共享为例外。政务数据原则上均应共享,国家相关法律法规或政策制度明确不得共享的除外。
(二)需求导向,无偿使用。使用部门提出明确的共享需求和政务数据使用用途,提供部门应及时响应并无偿提供共享服务。
(三)统一标准,平台交换。按照国家及行业相关标准规范进行政务数据的编目、采集、存储、交换和共享工作。政务部门应基于部、省两级共享平台开展政务数据共享。
(四)建立机制,保障安全。建立健全政务数据共享管理机制。加强对政务数据共享全过程的身份鉴别、授权管理和安全保障,确保政务数据安全。
按照《贵州省政府数据共享开放条例》第三条之规定,本条例所称的政府数据,是指行政机关在依法履行职责过程中制作或者获取的,以一定形式记录、保存的各类数据,包括行政机关直接或者通过第三方依法采集、管理和因履行职责需要依托政府信息系统形成的数据。
本条例所称的政府数据共享,是指行政机关因履行职责需要使用其他行政机关政府数据和为其他行政机关提供政府数据的行为。
本条例所称的政府数据开放,是指行政机关面向公民、法人或者其他组织依法提供政府数据的行为。
虽然本文主要围绕“企业数据合规”展开论述,但是仅就“数据共享”的一个侧面——“政务数据共享”来看,《贵州省政府数据共享开放条例》将“共享行为”理解为一种主体与主体之间的互动关系,是一个双向而非单向的环节,也即“一方需要使用,而另一方予以提供”。
那么,如果再结合《个人信息保护法》《网络安全法》中关于“数据处理”的规定,是否可以得到这样的推论,“数据共享”本身可能涉及多个具体的“数据处理”环节,至少涉及“使用”、“提供”,还可能涉及“加工”、“存储”,“数据共享”和其他概念似乎不是一个并列关系,而更像一种组合关系,至少是“1+1+....”的关系。
3.概念探寻的第三层问题
在地方性法规、规范性文件层面,虽然有了一个看似稳妥的依据,但是毕竟只是“数据共享”的一个侧面,为此,我们尝试向国标行标、自律性指引层面,进一步寻找“数据共享”的概念依据:
按照《互联网个人信息安全保护指南》(以下简称“《指南》”)第3.8 条之规定,个人信息生命周期:包括个人信息持有者收集、保存、应用、委托处理、共享、转让和公开披露、删除个人信息在内的全部生命历程。
仅就前述规定来看,似乎《指南》与第一层中的《个人信息保护法》《网络安全法》,以及第二层中的《贵州省政府数据共享开放条例》采取了截然不同的定义描述方式,对“共享”本身并没有加以区别,而是与“收集、保存、应用、委托处理、转让、公开披露、删除”等视为并列的关系。同时,按照《指南》第6.6条之规定,共享和转让:
“个人信息原则上不得共享、转让。如存在个人信息共享和转让行为时,应满足以下要求:...... ”,也即在具体适用上,《指南》将“共享”和“转让”行为的性质、程度等同待之,并一体规范,而就《指南》列举的全部“数据处理”形式或者环节来看,“共享”和“转让”也是规范程度和要求最高的,一旦出现风险,可能产生的不利影响和损失后果也更为严重。并且,个人信息控制者向其他控制者提供个人信息,且双方分别对个人信息拥有独立控制权的过程。
此外,按照《信息安全技术 个人信息安全规范》(GB/T 35273-2020)之规定,共享(sharing)是指个人信息控制者向其他控制者提供个人信息,且双方分别对个人信息拥有独立控制权的过程。在具体规范上,也是将“共享”和“转让”一体规范,表述为“个人信息共享、转让”。
4.回到“数据共享”的概念的小结
综合上述探寻和分析,在数据合规,特别是企业数据合规的语境下,我们可以对“数据共享”的概念初步形成如下理解:
其一,与“数据收集”“数据存储”“数据使用”不同,“数据共享”一般涉及两个以上,甚至多个数据控制者,在这一点上与“数据提供”、“数据转让”具有一定相似;
其二,与“数据提供”、“数据转让”不同,“数据共享”在功能或目的上往往具有复合目的,虽然“提供”、“转让”也涉及两个以上的数据控制者,往往呈现单向的目的动作,而“共享”更强调双向的互通、互动;
其三,“数据共享”的外延更大,“共享”的行为有时可以包括“处理、存储、使用、加工、传输、提供、删除”等一个或者多个环节。
二、“数据共享”的一般要求与实践参考
考虑到本系列文章的逻辑关系,以及本文所关注的重点问题,相关法律法规、监管规范、政策指引对于“数据处理”的一般性原则、要求,不再予以赘述,仅针对“数据共享”而言,尝试总结和梳理一般要求与实践。
1.从外部规范角度的梳理
按照《互联网个人信息安全保护指南》之规定,个人信息原则上不得共享、转让。如存在个人信息共享和转让行为时,应满足以下要求:
a) 共享和转让行为应经过合法性、必要性评估;
b) 在对个人信息进行共享和转让时应进行个人信息安全影响评估,应对受让 方的数据安全能力进行评估确保受让方具备足够的数据安全能力,并按照评估结果采取有效的保护个人信息主体的措施;
c) 在共享、转让前应向个人信息主体告知转让该信息的目的、规模、公开范围数据接收方的类型等信息;
d) 在共享、转让前应得到个人信息主体的授权同意,与国家安全、国防安全、公共安全、公共卫生、重大公共利益或与犯罪侦查、起诉、审判和判决执行等直接相关的情形除外;
e) 应记录共享、转让信息内容,将共享、转让情况中包括共享、转让的日期、数据量、目的和数据接收方的基本情况在内的信息进行登记;
f) 在共享、转让后应了解接收方对个人信息的保存、使用情况和个人信息主体的权利,例如访问、更正、删除、注销等;
g) 当个人信息持有者发生收购、兼并、重组、破产等变更时,个人信息持有者应向个人信息主体告知有关情况,并继续履行原个人信息持有者的责任和义务,如变更个人信息使用目的时,应重新取得个人信息主体的明示同意。
此外,按照《信息安全技术 个人信息安全规范》(GB/T 35273-2020)之规定,个人信息控制者共享、转让个人信息时,应充分重视风险。共享、转让个人信息,非因收购、兼并、重组、破产原因的,应符合以下要求:
a)事先开展个人信息安全影响评估,并依评估结果采取有效的保护个人信息主体的措施;
b)向个人信息主体告知共享、转让个人信息的目的、数据接收方的类型,并事先征得个人信息主体的授权同意。共享、转让经去标识化处理的个人信息,且确保数据接收方无法重新识别个人信息主体的除外;
c)共享、转让个人敏感信息前,除8.2 b)中告知的内容外,还应向个人信息主体告知涉及的个人敏感信息类型、数据接收方的身份和数据安全能力,并事先征得个人信息主体的明示同意;
d)准确记录和保存个人信息的共享、转让情况,包括共享、转让的日期、规模、目的,以及数据接收方基本情况等;
e)承担因共享、转让个人信息对个人信息主体合法权益造成损害的相应责任;
f)帮助个人信息主体了解数据接收方对个人信息的保存、使用等情况,以及个人信息主体的权利,例如,访问、更正、删除、注销账户等。
2.从实践参考角度的梳理
除外部规范外,“数据共享”对于企业而言是一个系统性的工程,需要一系列的制度、规范、手段、措施,而其中首先需要“抛投露面”本文亦通过公开渠道,对行业中涉及“数据共享”的隐私政策文件,进行摘要梳理,作为实践要求的一个参考。
范例一:以中信保诚隐私政策(最近更新日期:2020年【4】月【14】日)的某一版本为例:
三、我们如何共享、转让、公开披露您的个人信息
1.共享
1.1 我们不会与中信保诚以外的任何公司、组织和个人分享您的个人信息,但以下情况除外:
1.1.1 在获取明确同意的情况下共享:获得您的明确同意后,我们会与其他方共享您的个人信息。
1.1.2 我们可能会根据反洗钱和税务尽调等法律法规规定,或按政府主管部门的强制性要求,对外共享您的个人信息,例如国家税务总局、中国反洗钱检测中心、中国人民银行当地分支机构、中国银行保险信息技术管理有限公司等政府监管部门和机构。
1.1.3 与授权合作伙伴共享:仅为实现本隐私政策声明的目的,我们的某些服务将由我们授权合作伙伴共同提供。我们可能会与合作伙伴共享您的某些个人信息,以提供更好的客户服务和用户体验。我们仅会出于合法、正当、必要、特定、明确的目的共享您的个人信息,并且只会共享提供服务所必要的个人信息。我们的合作伙伴无权将共享的个人信息用于任何其他用途。对我们与之共享个人信息的公司、组织和个人,我们会与其签署严格的保密协定,要求他们按照我们的说明、本隐私政策以及其他任何相关的保密和安全措施来处理个人信息。
我们的授权合作伙伴类型如下表所列,有关授权合作伙伴共享的具体情况,请参见我们的公开页面【】:
合作伙伴类型 | 目的和法律依据 |
合作银行或者第三方支付平台 | 目的:保费代收代付;
法律依据:订立和履行合同所必须 |
再保险公司 | 目的:分散保险经营风险
法律依据:维护自身合法商业利益(分散经营风险),客户明确授权同意 |
人脸识别服务提供方 | 目的:对用户进行身份验证
法律依据:客户明确授权同意 |
增值服务提供方 | 目的:向合作方提供身份认证信息,由合作方为客户提供救援、健康检车、在线心理咨询等增值服务
法律依据:履行合同所必须,或客户明确授权同意 |
大数据分析公司 | 目的:向合作方提供身份验证信息,由合作方提供信用和风险评估信息
法律依据:客户的明确授权同意 |
1.1.4 需要特别提请您注意的是,当相关服务提供商以页面跳转至服务商页面等第三方接入的方式向您提供服务时,相应的服务提供商将直接与您达成相应的个人信息授权使用许可,该等由服务提供商直接收集的个人信息并非我们向其共享的个人信息范围。该等由第三方直接提供服务的情形我们将会在具体服务页面中明确标识第三方信息。为避免歧义,您应知悉并了解,前述由独立第三方运营的网站、应用程序、产品和服务的链接,仅为方便用户浏览相关页面而提供。当您访问该等第三方网站、应用程序、产品和服务链接时,应另行同意其为您提供的隐私政策或个人信息保护条款。我们与该等第三方网站、应用程序、产品和服务提供者在法律规定和双方约定的范围内各自向您承担独立的个人信息保护责任。
范例一:以京东隐私政策(版本更新日期:2021年【8】月【23】日)的某一版本为例:
三、我们如何共享、转让、公开披露您的个人信息
(一)共享
1.我们不会与京东以外的任何公司、组织和个人共享您的个人信息,但以下情况除外:
(1)事先获得您明确的同意或授权;
(2)根据适用的法律法规、法律程序的要求、强制性的行政或司法要求所必须的情况下进行提供;
(3)在法律法规允许的范围内,为维护京东、京东的关联方或合作伙伴、您或其他京东用户或社会公众利益、财产或安全免遭损害而有必要提供;
(4) 只有共享您的个人信息,才能实现我们的产品与/或服务的核心功能或提供您需要的服务;
(5)应您需求为您处理您与他人的纠纷或争议;
(6)符合与您签署的相关协议(包括在线签署的电子协议以及相应的平台规则)或其他的法律文件约定所提供;
(7)基于学术研究而使用;
(8)基于符合法律法规的社会公共利益而使用。
2.为实现基于京东账户向您提供相关产品或服务,向您展示可能感兴趣的内容,保护您的账户与交易安全,我们可能会将您的个人信息与我们的关联方共享。我们将会根据本隐私政策的约定与我们的关联方共享您的个人信息,但我们只会共享必要的个人信息,且受本隐私政策中所声明目的的约束。我们的关联方如要改变个人信息的处理目的,将再次征求您的授权同意。
3.我们可能会向合作伙伴等第三方共享您的订单信息、账户信息、设备信息以及位置信息,以保障为您提供的服务顺利完成。但我们仅会出于合法、正当、必要、特定、明确的目的共享您的个人信息,并且只会共享提供服务所必要的个人信息。我们的合作伙伴无权将共享的个人信息用于任何其他用途。我们的合作伙伴包括以下类型:
(1)商品或专业技术服务的供应商。我们可能会将您的个人信息共享给支持我们功能的第三方。这些支持包括为我们的供货或提供基础设施技术服务、物流配送服务、支付服务、数据处理等。我们共享这些信息的目的是可以实现我们产品与/或服务的核心购物功能,比如我们必须与物流服务提供商共享您的订单信息才能安排送货;当您下单的商品或服务由供应商直接发货或提供服务时,我们需要将您订单中的订购信息和收货信息共享给供应商,以指示其交付商品或提供服务。
(2)第三方商家。我们必须将您的订单信息与交易有关的必要信息与第三方商家共享来实现您向其购买商品或服务的需求,并促使其可以完成后续的售后服务。
(3)委托我们进行推广的合作伙伴。有时我们会代表其他企业向使用我们产品与/或服务的用户群提供促销推广的服务。我们可能会使用您的个人信息以及您的非个人信息集合形成的间接用户画像与委托我们进行推广的合作伙伴(“委托方”)共享,但我们仅会向这些委托方提供推广的覆盖面和有效性的信息,而不会提供您的个人身份信息,或者我们将这些信息进行汇总,以便它不会识别您个人。比如我们可以告知该委托方有多少人看了他们的推广信息或在看到这些信息后购买了委托方的商品,或者向他们提供不能识别个人身份的统计信息,帮助他们了解其受众或顾客。
4.对我们与之共享个人信息的公司、组织和个人,我们会与其签署严格的保密协定,要求他们按照我们的说明、本隐私政策以及其他任何相关的保密和安全措施来处理个人信息。为了保障数据在第三方安全可控,我们推出了云鼎服务,在云端提供安全可靠的数据使用和存储环境,确保用户数据的安全性。在个人敏感数据使用上,我们要求第三方采用数据脱敏和加密技术,从而更好地保护用户数据。关于我们接入的合作伙伴等第三方的SDK目录请见此处。
5.为了遵守法律、执行或适用我们的使用条件和其他协议,或者为了保护京东、您或其他京东客户的权利及其财产或安全,比如为防止欺诈等违法活动和减少信用风险,而与其他公司和组织交换信息。不过,这并不包括违反本隐私政策中所作的承诺而为获利目的出售、出租、共享或以其它方式披露的个人信息。
三、“数据共享”的特定场景与特殊应用
某金融控股集团S,同时持有银行、保险、证券、基金公司牌照,在相关业务开展过程中,其大客户A向集团S反映,在与其信托公司B合作时,B仍然将A作为新客户进行一系列的信息获取和材料填报工作,但是A已经在集团S项下的银行开户超过10年,还与集团内的保险、证券公司有密切的战略合作关系。
《个人信息保护法》在第28条中将金融机构所掌握的客户个人信息归类为‘敏感个人信息’这一特别类型,从而赋予了金融机构更高的保护义务。《中国人民银行关于金融机构进一步做好客户个人金融信息保护工作的通知》、《国务院办公厅关于加强金融消费者权益保护工作的指导意见》、《银行业金融机构数据治理指引》、《个人金融信息保护技术规范》等金融行业的特别规定与一般法律法规共同构成了金融机构的数据监管体系。
受限于本文的篇幅,仅通过《个人金融信息保护规范》等法规,尝试介绍一下数据共享的原则要求和必备步骤:
(1)共享的评估
开展个人金融信息安全影响评估,对共享的对象进行安全保障能力评估,对业务必要性和最小权限进行评估,以确定拟共享的数据是否必须进行共享,接受方是否有能力确保个人信息安全。
(2)共享的流程
首先,应就共享的信息范围、接受方、目的、必要原因等进行公示,并当获得个人信息主体的明确同意,包括但不限于在隐私政策中明确、另行出具弹窗等告知方式进行明确。特别需要注意的是,现行法律中并未将关联方的共享单列,因此向关联方共享个人信息的,关联方也应视为第三方,履行向第三方共享个人信息所需要的的程序。
其次,与信息的接受方签订合同,明确其数据保护责任及承诺。
最后,尽可能使用脱敏和去标识化等措施,如支付账号及其等效信息在共享和转让时,除法律法规和行业主管部门另有规定外,应使用支付标记化技术进行脱敏处理(因业务需要无法使用支付标记化技术时,应进行加密)。
(3)共享的监测
通过技术时手段全流程监控,包括部署信息防泄露监控工具、部署流量监控技术措施,对共享、转让的信息进行监控和审计,对个人金融信息的导出操作进行细粒度的访问控制与全过程审计,应采取两种或两种以上鉴别技术对导出信息操作人员进行身份鉴别,准确记录和保存个人金融信息共享和转让情况。记录内容应包括但不限于日期、规模、目的、范围,以及数据接收方基本情况与使用意图等,并应确保对共享和转让的信息及其过程可被追溯。
最后,对技术手段进行定期的检查,保证各种通道、自动化工具的安全性和可靠性。