文章分类
目前,未经个人事先同意,不得向第三方披露个人数据(即存储在数据库中的个人信息),除非处理个人信息的经营者采取选择退出的方式,提前向数据主体发出共同使用通知,在合并/业务转移或将个人信息处理委托给第三方服务提供商的情况下。
即使在集团公司内部披露个人信息也被视为向第三方披露个人信息,并且必须获得同意,除非符合共同使用的要求。APPI还允许“选择退出”方法,即经营者可以默认向第三方披露个人信息,除非个人选择不允许经营者这样做。修订后的APPI规定,通过选择退出措施从他人转移的个人信息或通过非法方式获得的个人信息,敏感个人信息不能通过选择退出措施转移。APPI要求企业经营者提前向PPC、公众或数据主体披露以下列出的与选择退出有关的某些项目。
- 经营者的名称、地址和代表人;
- 使用目的包括向第三方提供此类信息的事实;
- 提供给第三方的个人信息的性质;
- 获取个人信息的方法;
- 将个人信息提供给第三方的方法;
- 应数据主体的要求,将停止向第三方提供此类信息;
- 个人向企业经营者提交选择退出请求的方法;
- 更新已提供给各方的个人信息的方法;和
- 提供个人信息的计划日期。
APPI没有提供任何关于如何在共享个人信息之前最好地获得个人同意的示例。一般来说,应尽可能取得书面同意。在获得同意时,谨慎的做法是向数据主体明确披露将向其披露个人信息的第三方的身份、个人信息的内容以及第三方将如何使用所提供的个人信息。
PPC发布的指南提供了以下示例,作为获得数据主体披露个人信息同意的适当方法:
- 收到数据主体对口头或书面同意的确认(包括通过电子或磁性方法或任何其他人类感官无法识别的方法创建的记录);
- 收到数据主体的同意电子邮件;
- 数据主体对有关同意的确认框的检查;
- 数据主体点击网站上有关同意的按钮;和
- 数据主体的音频输入或触摸涉及同意的触摸板。
如果个人信息将被共同使用,经营者可以在共同使用之前通知数据主体或发布以下信息:
- 个人信息将被共同使用的事实;
- 待披露的个人信息项目;
- 联合用户的范围;
- 他们将使用个人信息的目的;和
- 负责个人信息管理的经营者的名称、地址和代表人。
个人可参考信息的传输(Personally Referable Information)
修订后的APPI规定,如果个人可参考信息被转移到第三方,并且接收方可以通过将此类个人可参考的信息与接收方已经拥有的任何信息进行参考来识别特定个人,则必须事先征得数据主体的同意。通常,此类同意应由接收方获得,因此,转让人需要在将个人可参考信息转让给第三方之前,确认接收方是否已经获得同意。也就是说,转让方有可能代表接收方收集数据主体的同意。
跨境转移
根据APPI,除了对第三方转让的一般要求外,向外国第三方传输数据需要事先获得指定接收国的数据主体的同意,除非该外国根据APPI的执行规则被列入白名单,或者接收个人信息的第三方已经制定了APPI执行规则中规定的类似的充分隐私保护标准。目前,根据2019年1月23日的充分性决定,英国和欧盟国家被指定为白名单国家。
根据APPI的执行规则,“同样充分的标准”是指经营者处理个人信息的做法至少与APPI下的个人信息保护要求相等,或者经营者已获得基于个人信息处理国际框架的认可。
根据离岸转移的指导方针,亚太经合组织CBPR体系是可接受的国际框架之一。关于数据主体同意将其个人信息转移到外国,经修订的APPI规定,经营者在获得数据主体的同意时,应向数据主体提供以下信息:(i)接收方居住的国家名称,(ii)该国的数据保护法律体系,以及(iii)接收方实施的数据保护措施。此外,经营者需要采取必要措施,确保该等个人信息的接收方持续采取适当措施,以与APPI要求相同的方式处理该等个人资料。
- 登录 发表评论