公开透明原则(The Transparency Principle)是处理个人信息的基本原则之一。同上述的合法、必要原则一样,公开透明原则在个人信息保护法律适用规则中具有重要意义。相较于《个人信息保护法(草案二次审议稿)》的规定,本条在综合有关方面意见的基础上,新增了“明示处理的目的、方式和范围”的要求,并作了个别文字调整。
关于公开透明原则的要求,早在2012年的《全国人民代表大会常务委员会关于加强网络信息保护的决定》中就有相应规定,其第2条规定:“网络服务提供者和其他企业事业单位在业务活动中收集、使用公民个人电子信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经被收集者同意,不得违反法律、法规的规定和双方的约定收集、使用信息。网络服务提供者和其他企业事业单位收集、使用公民个人电子信息,应当公开其收集、使用规则。”此后的《网络安全法》第41条规定:“网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。”在此基础上,《民法典》第1035条对公开透明的要求也作了规定,其内容与本条规定大致一致,该条第2项明确要求处理个人信息应当遵循公开处理信息的规则;第3项则进一步要求明示处理信息的目的、方式和范围。这些规定在本条当中都有体现。应该说,本条规定属于在《民法典》这一规定基础上的进一步升华,将处理个人信息公开性的要求明确上升到基本原则的高度,并将公开原则明确为公开、透明原则,这符合目前加强个人信息保护的整体趋势,也与比较法上的先进做法一致。GDPR第5条第1款a项规定:“对涉及数据主体的个人数据,应当以合法的、合理的和透明的方式进行处理。”第12条第1款规定:“对于和个人信息处理相关的第13条和第14条规定的所有信息或者第15条至第22条以及第34条所规定的所有交流、控制者应当以一种坚决、透明、易懂和容易获取的方式,以清晰和平白的语言来提供;对于针对儿童的所有信息,尤其应当如此。”在行业标准上,我国的《信息安全技术个人信息安全规范》GB/T35273-2020)也要求“以明确、易懂和合理的方式公开处理个人信息的范围、目的、规则等,并接受外部监督”。
所谓公开透明原则,是指信息处理者在处理个人信息时应明示处理信息的目的、方式、范围和规则等.确保信息主体享有知情权。公开透明原则不仅要求个人信息处理者公开个人信息处理规则,而且公开的个人信息处理规则应当明示处理目的、方式和范围等核心内容。公开透明原则是确保信息主体有效行使知情同意权的重要保障。只有让信息主体充分知悉和了解处理个人信息的规则、目的和范围,了解个人信息被处理的后果和可能的影响,才可以确保信息主体的意思判断是自主、真实和合理的,并使个人信息处理者充分接受外部的监督。公开透明原则的要求并不是对个人信息内容的公开,而是对处理个人信息的过程和规则的公开。这就要求信息处理者在处理个人信息时要主动增强透明度,用通俗易懂、简洁明了的语言说明处理个人信息的目的、方式和范围,并将处理个人信息的规则予以公开。①本条规定的公开信息处理的规则,主要是指要将信息处理者处理信息的基本规则,如收集处理的信息类型、信息处理者的身份、信息收集处理的目的等公开。理论上,信息处理者可以采用报纸、广播、发布会等多种方式公开个人信息处理规则。①但在实践中,信息处理者多采用低成本、高效率的隐私政策的方式进行公开。例如,绝大多数App在向用户提供服务前,都会通过隐私政策的形式向用户说明其收集用户个人信息的方式、用途等信息。
明示处理信息的目的、方式和范围,就是在具体的信息处理活动中,尤其是信息收集活动中,明确说明信息处理的目的、方式和范围等与具体信息处理活动和具体自然人信息主体密切相关的内容。和一般性的“公开”不同,“明示”所要求的,不仅是自然人有渠道可以获得相关的信息,而是信息处理者主动、明确地将相关信息告知自然人,并且鉴于信息处理活动高度的技术性和专业性,信息处理者还有义务以自然人可以理解的方式,清晰地告知相关内容。②就信息主体而言,只有对信息公开的内容充分知晓,才可能判断信息处理者处理个人信息的行为是否遵循了合法性、必要性、正当性原则。个人对处理信息的目的、方式和范围具有清晰的认识,才能理性地评价处理活动对自己的权益造成的影响,从而作出符合自己意志的决定。
展开
