个人信息处理合法性基础的前瞻性——谈2020版《个人信息安全规范》对支付清算行业的影响

2021-01-14 来源: 全国信息安全标准化技术委员会网站

一、引言

2020年3月6日,国家市场监督管理总局、国家标准化管理委员会正式发布国家标准GB/T35273-2020《信息安全技术 个人信息安全规范》(下称“《规范》”),并已于2020 年10月1日起正式实施。自2017第一版《规范》实施以来,《规范》便依靠其先进性、专业性、科学性和实用性,迅速在业内获得了广泛认可并已成为处理个人信息保护的重要参考文件。


长久以来,由《全国人民代表大会常务委员会关于加强网络信息保护的决定》(以下简称“《决定》”)、《网络安全法》(以下简称“《网安法》”)(一法一决定)所确立的授权同意原则,一直被视作个人信息处理唯一合法性基础,也成为随后出台的相关部门规章、规范性文件的基本原则。而2017年版《规范》设置了收集、使用个人信息征得授权同意的例外条款,对个人信息处理的合法性基础做出了扩展解释,具有一定的前瞻性。新版《规范》继续沿用了2017年版《规范》相关内容,结合《民法典》及《个人信息保护法(草案)》最新公布的内容,《规范》对于上述问题的规定在许多领域和行业都具有重要指导意义和参考意义,这其中也包括承担国家金融基础设施职能的支付清算行业。


二、支付清算业务处理个人信息法律分析

(一)支付清算业务难获授权同意


支付清算业务属性决定其必须处理大量用户个人信息甚至敏感信息。支付清算机构为银行业金融机构、第三方支付机构提供转接清算服务,需处理包括身份证号、短信验证码、银行账号等身份认证信息,付款金额等交易信息以及自然人商户信息等。因此从某种程度上说,清算业务本身就是对个人信息的处理业务,清算机构作为银行业金融机构间以及和第三方支付机构间信息转接中枢,处理的个人信息为海量级别。此外,支付清算机构不仅在转接清算业务上需要处理个人信息,还需要按照人民银行相关监管要求,在履行包括风险监控、交易信息分析等职责时,同样需要处理大量个人信息。但是,支付清算机构不直接面向C端客户,无法直接获得个人信息主体授权。清算机构所面对的客户仅为银行业金融机构和支付机构,而非C端个人信息主体。无论从清算业务性质还是清算机构自身机构客户商业利益角度,清算机构无需也无法直接与C端客户进行交互,因此无法直接获得信息主体的授权同意。虽然清算机构尽量通过与机构客户的协议要求其代为获得信息主体授权,但是这种处理方式存在瑕疵。一是即便清算机构明确通过协议要求银行业金融机构和第三方支付机构代为获取信息主体授权,该协议效力具有相对性,仅能约定协议方民事责任,不能成为行政处罚免责事由;二是清算机构服务机构数量庞大,且C端客户与机构所签协议具有保密性质,清算机构既无资源也无权利进行逐一确认,即便机构未按要求获取信息主体授权,清算机构也难以获知。因此,清算机构难以从实质层面确保完全满足信息主体授权同意的要求。


(二)授权同意不是唯一合法性基础

根据2012年发布的《决定》第2条的规定,网络服务提供者和其他企业事业单位在业务活动中收集、使用个人电子信息时,除应当遵循合法、正当、必要等原则外,还应当取得被收集者的同意。2016年公布的《网安法》第41条采用类似表述,即“网络运营者在收集、使用个人信息时,既需要遵循合法、正当、必要等原则,也需要经被收集者同意”。先于《民法典》实施的《民法总则》也仅仅是明确个人信息受法律保护,但亦未突破授权同意的合法性基础,仅在第111条规定应依法取得个人信息。部门规章也纷纷以此为据制定相关规定,如《电信和互联网用户个人信息保护规定》第9条规定,未经用户同意,电信业务经营者、互联网信息服务提供者不得收集、使用用户个人信息。

基于上述立法实践,社会普遍认为授权同意是个人信息处理的唯一合法性基础,而未获取同意的个人信息处理都存在合规风险。事实上,这种理解有失偏颇。一方面,无论是《网安法》还是《决定》,并未排除其他法律法规的适用,相反,还多次出现应适用相关法律法规的规定,如《网安法》第三十条就明确规定“网络运营者不得收集与其提供的服务无关的公民个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用公民个人信息,并应当依照法律、行政法规的规定或者与用户的约定,处理其保存的公民个人信息”。另一方面,根据《中华人民共和国立法法》等九十二条的所规定的特别法优先于一般法的原则,特别事项、特别领域的规定优先于一般规定,如《中华人民共和国传染病防治法》规定了特定机构在特定目的下有权处理个人信息,而无需获得个人信息主体的同意,为相关机构迅速掌握重要信息,控制疫情提供了法律基础。因此,虽然授权同意是个人信息处理重要的法律原则,但不是唯一的合法性基础。


(三)《中国人民银行法》提供法律基础

根据《中国人民银行法》第四条、第二十七的规定,人民银行具有维护支付、清算系统正常运行的职权,并应协助组织或者组织清算系统,协调清算事项,提供清算服务。为保障支付清算业务顺利运行,确保金融市场稳定,人民银行采取了一系列重要措施确保上述法律义务的履行。

一是指导和建设支付清算系统。由人民银行组织建设的大额支付系统于2002年成功上线,成为中国第一个实时逐笔全额交收系统(RTGS)。此后,人民银行根据不同业务场景需要,相继上线了小额支付系统、支票影像交换系统、境内外币支付系统、电子商业汇票系统等多个支付清算业务系统。随着互联网经济的兴起,人民银行又于2010年上线网上支付跨行清算系统(IBPS),以满足不断增长的电子支付清算需求。此外,银行卡跨行支付系统(CUPS)及非银行网络支付机构网络支付清算平台(EPCC)均在中国人民银行的指导下建立和运行。上述清算系统在各自清算细分领域发挥了重要作用。二是指导和建立支付清算机构。在人民银行的参与和指导下,人民银行清算总中心、中国银联、农信银资金清算中心、跨境银行间支付清算公司、网联清算公司、城银清算公司纷纷成立。各机构按照人民银行监管要求,运营各自清算系统,确保了支付清算业务的顺利进行。三是对支付清算业务进行监督管理。人民银行通过制定制度规则、规范清算机构创新业务、提出清算机构风险监控要求及处罚纠正违规行为等,确保清算业务平稳运行。

人民银行上述举措均是履行《中国人民银行法》规定的职责,清算机构按照人民银行相关规范要求,通过清算系统处理个人信息,以确保支付清算顺利完成则是履行法律规定的义务。综上所述,虽然清算机构基于其业务特殊性难以获取授权同意,但《中国人民银行法》为清算机构处理相关个人信息提供了合法性基础。



三、《规范》对支付清算行业个人信息处理的重要启示

随着个人信息重要性不断提升,各国纷纷出台相关法律法规加强个人信息保护,通过专门性规定来规制个人信息处理法律问题已成为国际惯例。《中国人民银行法》虽然为清算业务处理个人信息提供了法律基础,但该法律授权较为概括,且《中国人民银行法》主要调整对象为人民银行,并不主要调整个人信息法律关系。结合国际国内立法实践,通过专门性规定扩大个人信息处理的合法性基础,将确保支付清算业务的合规性得到进一步完善和增强。

早在2017年,在国内个人信息法规制度均将授权同意作为个人信息处理的唯一合法性基础的背景下,第一版正式公布的《规范》便首次提出授权同意的例外情形,并在新版《规范》中继续沿用。《规范》细化了十一种情形,作为授权同意的例外。这些例外情形是是对授权同意合法性基础的有利补充,不仅有力促进数据相关行业的发展,对于维护国家安全、社会公共利益,鼓励科学研究等方面也具有重要作用。《规范》提出“根据个人信息主体要求签订和履行合同所必需”(合同履行所必需)以及“公共安全、公共卫生、重大公共利益直接相关”(社会公共利益)的两项例外,更为支付清算行业推动立法提供了重要启示,具有前瞻意义。


(一)合同履行所必需

个人信息主体为了完成网络支付交易,实现货币资金的转移,清算是业务中重要的一环。以典型的快捷支付场景为例,付款人在支付宝上绑定工商银行账号,在天猫上购买一件商品,需要将银行账户资金支付到商户以完成交易。在绑定银行卡阶段或完成首笔付款时,支付宝需要将验证身份的要素,如身份证号、银行卡号、手机验证码等验证信息向清算机构发送,并由清算机构转发至工商银行进行身份核验。工商银行完成付款人的身份核验并确认银行账户有足够的金额,在完成交易后将相关回执发送给清算机构,由清算机构发起扣款指令,并在清算机构完成清分后将指令发送给人民银行结算系统(如人民银行大额系统),完成资金向商户的最终转移。在这个过程中,付款人无法感知到清算机构的存在,但清算环节必不可少。因此,“合同履行必需”可为支付清算机构无法获得用户授权而进行清算业务的提供明确法律依据。同时,也有利于践行PFMI对金融机构提出的合法性要求,更好地维护金融市场稳定。


(二)社会公共利益

清算机构不仅在业务层面为支付交易进行转接清算,保证支付行为的顺利完成,同时还肩负监管机构要求的,维护社会公共利益的重要职能。例如,为了防范网络犯罪,严控为互联网赌博、色情平台,互联网销售彩票平台,非法外汇、贵金属投资交易平台,非法证券期货类交易平台,代币发行融资及虚拟货币交易平台提供支付服务,保护人民群众财产安全和合法权益,人民银行发布《中国人民银行关于进一步加强支付结算管理防范电信网络新型违法犯罪有关事项的通知》(银发〔2019〕85号),明确要求清算机构应通过特约商户信息管理系统运用大数据分析技术,持续开展受理终端注册信息与交易信息监测校验,并强化收单业务风险管理,持续监测和分析交易金额、笔数、类型、时间、频率和收款方、付款方等特征,完善可疑交易监测模型。作为支付交易的中枢方,清算机构处理最全量的交易,处在监控风险交易、防范网络犯罪的关键节点。清算机构按照监管要求履行风险监测等相关职责对于防范网络犯罪,维护人民财产利益具有重大作用,可有效维护社会公共利益。《规范》5.6条将“社会公共利益”作为个人信息处理的合法性基础,为支付清算机构履行监管要求、进行风险监控提供了重要的立法启示和指导。


四、拓宽个人信息处理合法性基础法律分析

《规范》提出“合同履行所必需”以及基于“社会公共利益”作为授权同意的例外,有助于进一步明确支付清算业务处理个人信息的合法性基础。事实上,将上述两项处理方式作为合法性基础并非凭空臆想,而是法益平衡的审慎选择,体现国际社会的通行立法选择。


(一)知情选择权利益与合同利益的平衡

要求个人信息主体授权同意,目的在于保护信息主体的知情权和选择权,即给予信息主体知晓自身个人信息将被用于合同履行的权利以及选择是否签订合同的权利;而信息主体授权同意其个人信息的处理目的在于履行合同本身,以实现合同目的利益。因此应对个人信息保护的利益和合同利益进行平衡,不宜过度强调形式同意,因哽废食。

一方面,在直接面向个人信息主体的合同中,对个人信息处理、使用的目的、内容已经进行过告知,只要后期的个人信息处理没有突破合同范围,就已经从实质上保证了信息主体的知情权和选择权;间接处理者虽未获得直接授权同意,但根据合同要求进行信息处理,并遵循信息保护的相关要求,包括最小必要、非经同意不得转让共享,履行信息安全保护等,则并未突破合同约定,不应被视为损害信息主体个人信息处理的知情权和选择权;另一方面,如前文所述,若过分强调授权同意的形式,在间接处理者难以获得信息主体同意授权的同意的情形下,则将可能触发《合同法》五十四条合同无效条款,即便最终法院审定授权同意条款为管理型规定,不必然导致合同无效,也可能要求处理者承担责任,从而影响后续业务的正常开展,最终受损的将是信息主体。

鉴于此,将“合同履行所必需的”作为信息处理的合法性基础不仅不损害信息主体知情选择权,且能避免特定情形下合同效力不明确的风险,有利于合同目的的最终实现。 


(二)社会公共利益与个人利益的价值分析

个人授权本质是信息主体对自身个人信息及其处理活动的知情同意权利,是个人权利和利益的体现;社会公共利益指向社会不特定人可以享受的利益,同时也体现维持社会公共秩序的重要方面。数据在应用与开发过程中不仅应追求个体利益最大化,还要保证社会利益的最大化,为追求个体利益而牺牲社会利益的做法是无法持续发展的。因此,虽然两种权利都是法律所保护的对象,但当两者出现冲突时,在遵循比例原则前提下的位阶划分仍具有必要性和现实性。从法的价值来说,维护公共秩序、服务于社会公共利益具有优先性。因此,当社会公共利益和个人利益发生冲突时,个人利益应当进行适当让渡。考虑到现有法律框架未对两者关系进行明确,而仅将“授权同意”作为合法性基础,引入“社会公共利益”作为授权同意之例外具有必要性。 


(三)“合同履行所必需”及“社会公共利益”为国际立法惯例

从比较法的角度看,扩展个人信息处理的合法性授权属于国际通行做法。在欧盟区域,《通用数据保护条例》(GDPR)明确了六大合法性基础,除包括基于一个或多个具体目的而处理其个人数据的同意,还明确包括:“履行数据主体为一方当事人的合同或在订立合同前为实施数据主体要求的行为所必要的数据处理”以及“为履行涉及公共利益的职责或实施已经授予数据控制者的职务权限所必要的数据处理”;韩国《个人信息保护法》(Personal Information Protection Act)第15条第4款明确将“不可避免地履行与信息主体的合同”作为可进行个人信息收集和使用的事项;印度个人数据保护法案2018(The Personal Data Protection Bill 2018)第17条将“社会公共利益”作为“合理利益”的一种,明确可以作为不需获得同意而处理个人信息的合法性理由。

因此,无论是“履行合同所必需”还是“社会公共利益”作为授权同意外的个人信息处理合法性基础,在国际上都有充分的立法实践,中国借鉴相关立法思路均有据可循,并不突兀;而另一方面,扩大个人信息处理的合法性基础将利于我国个人信息保护相关标准与国际通行立法思路一致,促进信息跨境流动。


五、《规范》促进立法发展

虽然《规范》为国家参考标准,其合法性基础的设计不具有法律法规层面的约束力,但其具有深刻的前瞻性,“合同履行所必需”、“社会公共利益”也即将上升为法律条款。

2020年5月29日,全国人大表决通过了《中华人民共和国民法典》(以下简称《民法典》),并将于2021年1月1日起实施。作为新中国第一部以“典”命名的法律,在很多内容上进行了创新。在个人信息保护方面,首次将“社会公共利益”作为个人信息处理的基础之一,从法律层面扩大了《网安法》《决定》中授权同意的合法性基础。该法第1036条明确规定,为维护公共利益进行个人信息处理不承担民事责任。此外,2020年10月21日,全国人大法工委公开就《中华人民共和国个人信息保护法(草案)》征求意见,该《草案》第十三条明确规定“为订立或者履行个人作为一方当事人的合同所必需”可处理个人信息。这也是“合同履行所必需”首次上升为法律条款。一旦该法通过,将可能成为授权同意之外,最为重要的个人信息处理合法性基础。

《规范》所体现的前瞻性源于前期扎实的工作。一方面,《规范》扩大个人信息合法性基础是在充分借鉴国际法律制度的前提下做出,具有充分的法理依据和国际立法实践;同时,《规范》并非生搬硬套国外法律条文,而是结合了中国国情,总结出多项合法性基础,充分考虑了中国行业的发展需要;二是《规范》的制定是在行业充分调研的背景下做出,特别是本次修订既结合了2017版本发布以来的适用效果,又根据新的发展形势进行了局部调整,具有行业实践基础。

随着新版《规范》的公布和实施,其影响力和重要性将进一步提升,并有望在实施过程中验证其科学性和合理性,服务于后续法律法规的顶层设计,为包括支付清算行业在内的众多行业信息处理发挥重要的指导作用。


(作者及单位:长三角金融科技有限公司 蔡明阳)

来源:全国信息安全标准化技术委员会网站