原标题：【思考】个人信息“共享”：真实的风险在哪里？

随着金融科技的蓬勃发展，为其提供“基础设施”的大数据行业也不断壮大迭代。大量数据服务商从上游数据源获取海量数据，建构属于自己的数据分析模型，再针对不同的应用场景对外输出数据产品。伴随着欧盟GDPR等规范的出台，国内数据行业几家头部企业，如某盾、某羯因数据服务引发官司甚至刑事风险，业内不得不开始思考，在现有中国法律框架下，如何合法合规地流转数据？我们结合已有规范以及正在征求意见的可参考规范、专家意见稿等，对数据企业中的“个人信息共享”问题提出几点建议，供大家参考。

文/飒姐团队

来源/肖飒lawyer

1. 经营数据传输，需关注“个人信息共享”问题；

2. 需核验：参与者传输个人信息数据已获授权；

3. 仍需核验：企业输出的源数据已获授权；

4. 未尽核验义务，需承担法律责任。

公司间传输个人信息数据，需关注共享问题

“个人信息共享”一词根据《信息安全技术 个人信息安全规范（征求意见稿）》（以下简称《个人信息安全规范》）第3.12条，指的是：“个人信息控制者向其他控制者提供个人信息，且双方分别对个人信息拥有独立控制权的过程”，属于间接收集个人信息的方式之一。

当然，有些数据源公司与下游数据服务商之间的数据传输用加密方式进行，当该加密技术一般技术人员不可破解，则该加密方法在现有技术条件下我们认为是可用的。

参与“共享”需明确：数据是否需要且已获授权

参考《个人信息保护法（专家意见稿）》第三十一条，“信息业者收集个人信息，应当通过用户协议、隐私政策、即时通知等方式，以清晰、易懂的用语告知信息主体下列事项……信息业者间接收集信息主体个人信息时，应当在收集个人信息后不超过一个月的合理期限内告知信息主体前款各项事项；间接收集的个人信息用于联络信息主体时，应当在初次联络信息主体时告知其前款各项事项”。

我们可以看到，目前国家标准规范以及未来立法，对数据共享这种间接收集个人信息的授权要求存在以下两种情形：

b)数据接收方获得的个人信息并未去标识化的，则需要提供数据方事先征得个人信息主体同意，履行告知义务，而间接收集到个人信息的接收方需在收集个人信息后的合理期限内告知个人信息主体相关事项。

数据公司的朋友们，您家属于哪种呢？

仍需核验：输出企业的源数据是否已获授权

数据公司的朋友们在确保自身授权手续的情况下，是否就万无一失了呢？

答案是否定的。

根据《个人信息安全规范》第5.4.d条：“间接获取个人信息时：（1）应要求个人信息提供方说明个人信息来源，并对其个人信息来源的合法性进行确认；（2）应了解个人信息提供方已获得的个人信息处理的授权同意范围，包括使用目的，个人信息主体是否授权同意转让、共享、公开披露、删除等；（3）如开展业务所需进行的个人信息处理活动超出已获得的授权同意范围的，应在获取个人信息后的合理期限内处理个人信息前，征得个人信息主体的明示同意，或通过个人信息提供方征得个人信息主体的明示同意”。

也就是说，数据企业在间接获取个人信息时，还须要求数据源公司提供证据或承诺证明其个人信息来源的合法性，并对此予以确认。

未尽核验义务：需承担法律责任！

如数据公司没有履行数据核验义务而使用上游提供的风险数据，则可能承担《个人信息安全规范》项下规定的过错责任以及其他衍生法律风险。需注意的是，我国目前没有建立完备的个人信息保护法律体系，未能明确相应的数据核验责任。

但实践中，《个人信息安全规范》却可成为监管机关所参照的重要标准。一旦个人信息控制者因间接收集数据造成侵权或者其他后果，是否履行核验义务将作为判断数据企业是否存在主观过错的重要依据之一。

数据企业逐步来到历史的拐点，目前法律规则不甚明朗，但基本发展方向却有迹可循。对此，我们建议数据公司的朋友们尽早开展自检自查，同时也可以着手向数据源公司请求出示相应授权文件，以核验核查数据源是否合法合规，并有相应授权。

END

免责声明：转载内容仅供读者参考。如您认为本公众号的内容对您的知识产权造成了侵权，请立即告知，我们将在第一时间核实并处理。