第七条 【公开透明原则】
处理个人信息应当遵循公开、透明原则,公开个人信息处理规则,明示处理的目的、方式和范围。
◆ 条文要旨
本条是对公开透明原则的规定。
◆ 理解与适用
一、公开透明原则的意义
公开透明原则(The transparency principle),是指处理个人信息时应当采取公开、透明的方式,公开个人信息处理的规则,向信息主体明示个人信息处理的目的、处理的方式和处理的范围。自然人对其个人信息的处理享有知情权和决定权(《个人信息保护法》第44条),如果个人信息处理者不以公开、透明的方式处理个人信息,而是采取隐秘的、暗箱操作的方式,那么该处理行为就侵害了自然人对其个人信息享有的知情权和决定权,损害了个人信息权益,这种处理行为是非法的处理行为。欧盟《一般数据保护条例》导言部分第39条指出,透明原则“特别涉及数据主体关于控制者身份的信息和处理目的以及进一步处理的信息,以确保对有关自然人的公正和透明的处理以及获得有关其被正在处理的数据的个人确认和通信的权利。应该让自然人了解与处理个人数据有关的风险、规则、保障和权利,以及如何行使与处理有关的权利。特别是,处理个人数据的具体目的应清晰且合法,并在收集个人数据时予以明确”。包括欧盟《一般数据保护条例》在内的许多国家或地区的数据保护和个人信息保护法都要求处理者必须遵循透明的原则。例如,早在1980年《经济合作与发展组织关于隐私保护和个人数据跨疆界流动的指导原则》中就提出了公开原则,该指导原则指出:“公开原则可能被视为个人参与原则的先决条件,后一原则要生效,获得关于个人数据的收集、储存或利用的信息在实践上必须是可能的。在自愿的基础上从数据控制者处获得的常规信息,涉及个人数据处理活动的描述的官方登记者的出版活动和公共机构的登记,是一些(虽然不是全部)可能实现此种原则的方法。”再如,2018年美国加利福尼亚州的《消费者隐私法案》(CCPA)在第2节立法目的中指出:“人们期许隐私和其信息的更多控制。加利福尼亚消费者应当能够就其个人信息行使控制权,并且期待防止个人信息滥用的保护措施。企业可能在尊重消费者隐私的同时,就其企业活动提供高水平的透明度。”依据2018年巴西《通用数据保护法》第6条第6款的规定,个人数据处理应当遵循透明原则,即“保证数据主体能够就数据处理和相应的处理代理人获得清晰、准确和易得的信息,且遵守商业和企业机密”。我国《个人信息保护法》第7条对个人信息处理中应当准许公开透明的原则作出了具体规定。
二、公开透明原则的体现
公开透明原则体现在以下两个方面:一方面,就个人而言,公开透明原则赋予了个人对其个人信息享有知情权,据此产生了其有权向个人信息处理者查阅、复制其个人信息的权利,《个人信息保护法》第44条、第45条对之作出了规定。另一方面,基于公开透明原则,个人信息处理者应当履行以下义务:
第一,个人信息处理者在处理个人信息时,应当通过清晰易懂的语言向个人告知相应的事项,从而确保个人是在充分知情的前提下,自愿、明确地作出同意的,除非是法律、行政法规规定应当保密或者不需要告知的情形。《个人信息保护法》第14条第1款第1句规定,基于个人同意处理个人信息的,该同意应当由个人在充分知情的前提下自愿、明确作出。第17条规定,个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项:(1)个人信息处理者的名称或者姓名和联系方式。(2)个人信息的处理目的、处理方式,处理的个人信息种类、保存期限。(3)个人行使本法规定权利的方式和程序。(4)法律、行政法规规定应当告知的其他事项。前款规定事项发生变更的,应当将变更部分告知个人。个人信息处理者通过制定个人信息处理规则的方式告知第1款规定事项的,处理规则应当公开,并且便于查阅和保存。这两条规定就是基于公开透明原则的要求。此外,在个人无法或难以理解个人信息处理规则时,依据《个人信息保护法》第48条,个人还有权要求个人信息处理者对其个人信息处理规则进行解释说明。
第二,当个人信息处理者因合并、分立、解散、被宣告破产等原因需要转移个人信息或者向其他个人信息处理者提供其处理的个人信息时,应当向个人告知接收方的名称或者姓名和联系方式、处理目的、处理方式和个人信息的种类等事项。《个人信息保护法》第22条和第23条分别对此作出了明确的规定。
第三,在利用个人信息进行自动化决策时,处理者应当保证决策的透明度和结果公平、公正。通过自动化决策作出对个人权益有重大影响的决定的,个人有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定(《个人信息保护法》第24条)。
第四,依据《个人信息保护法》第26条,在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显著的提示标识,从而保障个人对其个人信息的知情权。
第五,个人信息处理者在处理敏感个人信息时,不仅要依法告知《个人信息保护法》第17条第1款规定的事项,还应当向个人告知处理敏感个人信息的必要性以及对个人权益的影响。
第六,发生或者可能发生个人信息泄露、篡改、丢失的,个人信息处理者采取措施无法有效避免信息泄露、篡改、丢失造成危害的,应当通知履行个人信息保护职责的部门和个人。虽然采取措施能够有效避免信息泄露、篡改、丢失造成危害,但是履行个人信息保护职责的部门认为可能对个人造成损害的,有权要求个人信息处理者通知个人(《个人信息保护法》第57条)。
◆ 相关规定
《民法典》第1035条