个保法学习笔记之十三至十五：合法基础、有效同意、未成年人( 二 ) 文/梁灯

另一方面，作为提供网络服务的个人信息处理者，往往存在多方关联企业，其提供网络服务的主体与实际处理个人信息的主体可能分属于同一集团内的不同关联主体。此情况下，订约或履约能否成为非提供服务的关联方处理个人信息的合法性基础，对此应作扩充解释还是限缩解释，有待后续立法、司法解释和司法实践的进一步阐明。
5.“合理使用”的理解
本条第一款第（六）项规定为公共利益实施新闻报道、舆论监督的合理范围内处理是合法基础。此处表述类似于知识产权领域的“合理使用” 。但不免让人担忧的是，根据文义，此处新闻报道、舆论监督仅为为公共利益所实施的“合理使用”的行为举例，还可能存在其他以公共利益为目的的其他“合理使用”行为，这是否会使公共利益的目标被滥用？
这一担忧并非多虑，即使尚未有法律明确规定的情况下，就有司法判例在裁判中提交需考察个人信息处理者是否存在“合理使用”的情况，且提及考察“合理使用”是否存在的理由竟然是获取个人同意的成本过高，而该案所讨论的情形与公共利益无关。（参见凌某某诉北京微播视界公司侵权一案（2019）京0491民初6694号）因此，若立法明确了公共利益为目的的“合理使用”时，更应高度警惕滥用的情形。
第十四条：有效同意

文章图片
本条规定的是“有效同意”的条件，即要求同意是“知情”的、“自愿”和“明确”的。这一规定还是相对原则，具体的“知情”、“自愿”和“明确”有待配套制度（如通过制定国家标准的方式）进一步明确。
2020年1月20日全国信息安全标准化技术委员会曾公布《信息安全技术个人信息告知同意指南》（征求意见稿），但至今该指南尚未“转正” 。而欧盟EDPB针对GDPR的同意规则在2020年5月也发布了《同意指南》，该指南的内容非常详尽，我国后续制定或修改有关标准可依此作参考。 EDPB《同意指南》的主要内容如下图所示。

文章图片
第十五条：未成年人

文章图片
这一条是对未成年人个人信息处理的特别规定，有两方面注意的点：
其一，特别保护年龄不以传统民法界定民事行为能力的8岁、16岁、18岁来划分，而是与《未成年人保护法》第七十二条所规定的年龄保持一致。这再一次印证了个人信息权益不止是民事权益，个保法非《民法典》下位法的观点。
其二，二审稿删除了一审稿规定的“知道或应当知道”的表述，意味着对个人信息处理者提出更高的注意义务标准。个人信息处理者在具体处理场景需具备识别个人信息主体是否是未满14周岁未成年人的能力，否则，只要其处理的个人信息是未满14周岁未成年人的个人信息，则不论其实际知道与否，均按本条规定进行规制。
声明
１、本文系“创投法律顾问”梁灯律师原创。本文仅为作者个人观点，不代表作者所任职机构的立场。
２、其他媒体、网站或刊物如需转载，须事前获得作者授权。
３、获得授权的转载须严格遵守以下规范：须在文章首部显著位置注明作者“梁灯”及出处“创投法律顾问”公众号两项信息，且不得改动本文原标题进行转载。
【个保法学习笔记之十三至十五：合法基础、有效同意、未成年人】４、本文不能视为正式法律意见。