旅游度假产业的隐私合规:并不总是需要“用户同意”


February 24, 2022

作者:董皓

“履约必要性条款”

我国《个人信息保护法》第十三条规定,为订立、履行个人作为一方当事人的合同而必须收集、处理个人信息时,企业可以直接收集处理,不必再另行取得有关个人的同意。这一规则与北美、欧洲、日本、澳大利亚、中国香港等众多司法管辖区的规定一致,是各国法律实践中总结出的共同成果。可将其简称为“履约必要性条款”。对直接面对消费者个人的行业(即“To C”业务)而言,适用“履约必要性条款”的情况很多。这里以旅游度假和酒店住宿业为例说明。

举个例子

通过网络平台预定酒店房间的情景就可以适用“履约必要性条款”。顾客订房时只向平台提供了自己的个人信息,并没有直接将这些信息提供给酒店。而酒店收到订单后,为了履行与顾客之间的住宿服务合同,就必须获取顾客的姓名、身份证件信息、抵达酒店的时间乃至航班信息(如果预定有接送服务)。这些信息对合同的履行是必须的,根据“履约必要性条款”,酒店不需要从顾客那里再获得授权或者同意,可以直接向订房平台索取这些信息。

再举一例

滑雪场或户外运动场地向顾客提供滑雪、溜冰和户外运动设备租赁以及相应的教练服务时,也可以利用“履约必要性条款”降低自己的合规成本:

  • 为了履行与顾客之间的设备租赁合同,滑雪场需要了解顾客的年龄、身高、体重、脚部和腿部的尺寸。
  • 教练在服务过程中需要了解、监控顾客的身体状况、健康记录、身体指标,甚至还需要了解顾客所服用的药物、特定疾病史的情况等。

此外,在政府强监管的法律环境下,为使合同合法生效而必须收集的个人信息也在“履约必要性条款”的覆盖范围内。例如,法律规定特定游戏场所只能接待超过一定年龄的顾客,如不满足年龄要求就可能造成服务合同的无效。这些场所自然也需要收集顾客的年龄信息,而且不必再单独要求顾客签署同意书。

“法定义务条款”

《个人信息保护法》还规定“为履行法定职责或者法定义务所必需”而处理个人信息时,也不需要获得个人同意。这可以被称为“法定义务条款”。例如,《中华人民共和国道路运输条例》规定客运经营者必须为旅客投保承运人责任险 。为了履行这个法定义务,服务提供者需要了解顾客的姓名、年龄、身份证号码、行动轨迹等信息。根据“法定义务条款”,为投保目的收集、处理这些信息,就不必征求顾客的同意。

超越“同意”

有的企业把“用户同意”当成隐私合规的灵丹妙药,在形式上追求用户同意的同时,却没有意识到“履约必要性条款”和“法定义务条款”可以更简便地为度假和旅游产业的个人信息收集行为提供法律依据。这种思路常常会影响产品的开发推广进度,也可能增加企业的合规成本。

事实上,与中国《个人信息保护法》一样,全球隐私立法的标杆《欧洲通用数据保护条例》(即“GDPR”)也明确将“履约必要”和“法定义务”作为与“用户同意”相并列的合法处理个人信息的理由。这意味着,只要相关个人信息是为了订立和履行合同的目的而收集,企业就只需要以《隐私通知》的形式,告知顾客其使用了哪些个人信息即可,而不需要花费额外的成本获取和保存用户的“同意”动作(例如用户的签名或者在APP上作出勾选动作)。这样的思路,可以尽量减少合规对业务的冲击,增强业务的灵活性。

*     *     *     *     *

当然,如果企业希望把个人信息用于履行合同以外的目的,则仍然需要获得用户的同意。不过,成熟的合规顾问可以妥善和积极利用“履约必要性条款”和“法定义务条款”留给企业的空间,将隐私合规的资源更多地投放到对服务合同的雕琢和服务产品的迭代上,而不总是要求产品团队牺牲用户体验,从而使合规成为企业发展的动力而非阻力。

毕竟,合规不是目的,业务的顺畅运行和可持续发展才是。

(作者董皓律师,系国际隐私从业者协会(IAPP)认证信息隐私管理人(CIPM)、香港个人资料保护专员协会会员)

Back