《个人信息保》第23条明确提及个人信息处理者应当向个人告知个人信息对外提供的基本情况，例如接收方名称、联系方式、处理目的等，并获取个人的单独同意。按照该基本情况，接收方仅能根据既定的处理目的、处理方式等处理个人信息。如果接收方需要变更原先的“基本情况”，则需要重新获得个人同意。在聚合平台业务场景下，该条规范实际上延伸出两项义务内容：一是聚合平台作为个人信息提供方，应当事前明确个人信息对外提供的目的、方式和范围，并获得个人的单独同意。结合《个人信息保》的关联性，聚合平台所收集的用户订单信息应当满足最小必要原则，向入驻的网络平台提供用户订单信息仅以实现特定合同目的为限。如聚合支付平台涉及的“合同目的”是支付，依据《常见类型移动互联网应用程序必要个人信息范围》所列举的网络支付类App的必要个人信息，相应的订单信息应当仅以用户的移动电话号码、姓名、证件号码、银行卡号码等为限。二是网络平台作为个人信息的接收方，应当与聚合平台事前明确约定彼此的个人信息义务，明确在整个“提供”环节中各自的法律责任。双方的约定内容不仅需要涉及《个人信息保》第51条的个人信息措施，还需要明确聚合平台对网络平台的监督方式，预防网络平台超出合同约定的方式处理个人信息。

　　与聚合平台的注意义务相比，狭义的义务虽然同样涉及对入驻网络平台数据安全保障的监督，但是注意义务更加侧重侵权结果发生或防止损害扩大，故而相应的义务履行标准仅限于形式层面的审核。基于数据提供关系的义务则更加强调聚合平台有义务主动要求其聚合的网络平台按照合同约定采取必要措施个人信息。这类义务表面上似乎扩大了聚合平台的数据安全保障义务范围；但是，聚合平台的核心特征始终是聚合性和撮合性，其向网络平台提供的用户个人信息范围与用户直接向网络平台提供的个人信息范围存在显著差异。以为例，在其网约车聚合平台提供的《用车信息服务个人信息处理规则》中提及，向第三方用车服务提供商提供的信息包括手机号后四位、虚拟手机号、行程信息、用车特别需求信息。相对地，用户与网约车之间所涉及的用户个人信息范围则可能更多，不仅包括用车订单信息，还包括支付信息等其他内容。两相比较，聚合平台的数据安全保障义务内容并没有实质性扩张。此外，在聚合业务中，个人信息安全风险主要来源于数据提供行为，故而聚合平台在该环节需要承担高于一般标准的数据安全保障义务。

　　结合聚合平台的业务实践来看，该场景下的数据安全保障义务大致可以分为三个阶段：第一个阶段是与用户和聚合平台的法律关系对应的数据安全保障义务。该类义务属于一般意义上的数据安全保障义务。聚合平台应当履行《个人信息保》等现行立法所的个人信息处理义务，诸如设置个人信息责任人、定期进行个人信息合规升级等。例如，在用户注册阶段，聚合平台应当按照“知情—同意”规则的要求向用户告知个人信息收集的目的、范围和方式等信息，并获得用户明确同意。特别是在向网络平台提供用户个人信息时，还需要征得用户的单独同意。在实践中，部分聚合平台直接将收集用户个人信息和向第三方转移用户个人信息的平台规则一并呈现给用户，并没有凸显所谓的“单独同意”。若结合聚合平台的业务模式来看，其核心业务便是撮合用户与网络平台缔结合同。这种“合并式”的平台规则展示方式看似没有履行“征得个人单独同意”之要求，但用户在注册阶段实质上已经作出了单独同意，因为其所同意的“数据处理活动”便是“由聚合平台向网络平台提供个人信息，再由网络平台与用户之间达成交易”。

上一页  [1] [2] [3] [4] [5] [6] [7] [8] [9] [10] [11] [12] [13] [14] [15] [16] [17] [18] [19]  下一页