由此观之，在个人信息生命周期层面，个人信息“传输”与“提供”均涉及个人信息管控者发生实质性变化，但两者依然存在细微差别：“传输”行为更加侧重个人信息从一个个人信息处理者转移至另一个个人信息处理者，故而相应的法律关系大多涉及两方法律主体，即“一对一”的关系。“提供”则更加侧重一方个人信息主体对外提供个人信息的状态，故而相应的法律关系涉及多方法律主体，即“一对多”的关系。在个人信息层面，“传输”行为因为仅仅涉及两方法律主体，相应的个人信息义务内容是以传输过程的保密性和个人信息不被毁损为前提；“提供”行为因为涉及多方法律主体，且个人信息对外扩散状态是以单个个人信息处理者为起点，故而需要从风险可控性、风险来源等角度考量，对外提供个人信息的个人信息处理者需要对提供方式、提供对象等承担相应的数据安全保障义务。并且，《个人信息保》第23条所描述的“提供”行为也是“个人信息处理者向其他个人信息处理者提供其处理的个人信息”这类“一对多”的方式，也与聚合平台向入驻的多家网络平台转移用户订单信息这一业务实践相契合。此外，需要说明的是，“转让”与“提供”均具有个人信息转移之特征，但“转让”更暗含了权益归属转移的含义，属于《个人信息保》第22条所的“因合并、分离、解散、被宣告解散等原因需要转移个人信息”的情形。

　　聚合平台与网络平台之间的数据提供关系是以“履行合同目的之必要”为基础。因为聚合平台所提供的网络信息服务属于撮合性、中介性信息服务类型，聚合平台向网络平台提供用户个人信息的行为是为了促成用户与网络平台之间缔结合同之必要。然而，这里也就产生了另外一个法律适用问题：按照《个人信息保》第13条的，如果属于“订立、履行个人作为一方当事人的合同所必需”，个人信息处理者可以在不取得个人同意的情况下处理个人信息。这显然与《个人信息保》第23条要求的个人信息提供方、接收方应当获得个人同意相悖，进而意味着第23条所的数据提供方、接收方义务不适用于聚合平台业务场景。因此，需要解释的是，《个人信息保》第13条所的“合同必要”与聚合业务必要存在本质区别：第13条的“合同必要”仅限于个人与个人信息处理者之间，并且所处理的个人信息是合同缔结成立或履行的必要信息，如个人的身份信息等。换言之，如果没有这些信息，按照《民》合同编的相关规则，合同也就无法成立或履行。“聚合业务之必要”则是指聚合平台与网络平台之间的个人信息转移行为，自然人并非聚合平台与网络平台之间合同的当事人。

上一页  [1] [2] [3] [4] [5] [6] [7] [8] [9] [10] [11] [12] [13] [14] [15] [16] [17] [18] [19]  下一页