学术咨询服务正当时学报期刊咨询网是专业的学术咨询服务平台!
发布时间:2020-03-27 16:48所属平台:学报论文发表咨询网浏览: 次
摘要:大数据时代人们产生了同意失灵和同意过度的双重担忧。对此,欧盟《统一数据保护条例》通过对同意规则的修正和例外事由的增补给予回应,既体现出对同意规则的强化也对现实作出了不小的妥协。纵观我国个人信息保护的相关立法,基本体现了以同意规则为主导
摘要:大数据时代人们产生了“同意失灵”和“同意过度”的双重担忧。对此,欧盟《统一数据保护条例》通过对同意规则的修正和例外事由的增补给予回应,既体现出对同意规则的强化也对现实作出了不小的妥协。纵观我国个人信息保护的相关立法,基本体现了以“同意规则”为主导的个人信息自主权保护模式,但这一模式的理论局限和现实挑战已日益凸显。为此,我们有必要在未来的个人信息保护法中适度弱化同意规则的地位,同时应细化和充实同意规则的内容,即根据个人信息处理主体、个人信息敏感度和个人信息处理的不同阶段来区分同意要求和同意方式。
关键词:个人信息;同意规则;信息主体;信息处理主体
经济合作与发展组织(OECD)于1980年提出了信息主体对其个人信息的收集使用应有知悉与同意机会,这一原则在日后各国制定个人信息保护相关法律时得到落实,纷纷构建了以告知同意为基础的信息收集、处理与利用机制。赋予个人同意权使得权利的运作由具有强烈动机收集个人信息的业界向欲防止个人信息遭滥用的个人一方倾斜,迫使产业界对于个人信息更加重视,进而促成权利的平衡。已于2018年5月25日生效的欧盟《统一数据保护条例》(GDPR,下文简称《条例》)在争议声中继续强化了同意规则。我国法律对于信息的收集利用,从《消费者权益保护法》到《网络安全法》均构筑了以同意规则为中心的信息保护模式。
以告知同意为核心内涵的个人信息自主权在近四十年来成为个人信息保护的金科玉律,甚至成为难以撼动的宪法基本权利,但在大数据时代却面临着诸多困难与挑战,导致许多学者纷纷质疑甚至否定这一制度。其根本原因在于,告知同意的传统架构与大数据时代个人信息生态系统的新格局产生抵牾。OECD指导原则及欧盟数据保护指令均制定于互联网尚未产生的年代,信息的收集比对及挖掘分析能力不可同日而语,更遑论当今盛行的云计算、大数据技术,因而已无法适应当今商业模式的发展需求[1]。随着《个人信息保护法》被列入十三届全国人大常委会立法规划,“同意规则”在新法中将何去何从,希望本文的探讨能为未来立法提供些许借鉴。
一、大数据背景下“同意规则”遭遇的危机
(一)虚化无效的同意导致对个人信息保护不力
首先,信息处理主体充分告知信息的义务在现实中难获保证。以接受网络服务为例,网络服务提供商的隐私权政策通常不会单独显示,而是以小字体的方式与同意选择一起出现,其表述通常为“阅读并同意……”,这很难引起信息主体足够的重视。何况这些协议、条款或政策通常十分抽象冗长,充斥着大量不重要的含糊其辞的规定,使当事人难以理解与掌握。相反,关于个人信息处理真正重要的内容则夹杂其中,并不显著。况且相关条款对于个人信息的收集范围、保存时限、处理方式以及应用场景等规定也不够详尽合理,消费者更不具有任何磋商和修改的权利。
造成上述问题的原因,除了告知事项规定本身的缺漏,也有可能缘于信息收集者的故意为之,其目的在于尽量保持后续信息处理或利用的弹性,避免被自己先前具体、明确的告知内容拘束,从而降低告知事项的可理解性与可读性。此外,大数据时代,个人信息用途丰富多样,数据挖掘和处理技术日新月异,而信息主体对个人信息处理一时一事之同意并不代表他时他事之同意。在这一过程中,信息处理者可能会改变信息的使用目的,而在具体危害发生之前,信息主体对此也许毫不知情。如此,信息主体根本没有作出新的同意的机会,即使能够作出,其真实性也难以保证[2]。
其次,信息主体“同意”的意思表示未必建立在自愿理性的基础之上。因为信息主体缺乏对个人信息的决定自由和控制能力,所以当事人同意往往不是真正出于自由、理性选择的结果。大数据时代,个人信息处理很大程度上依赖于网络,而在网络中,信息主体欲保持同意的自由则更难实现。在使用网络服务商提供的服务时,信息主体除了同意之外几乎别无选择,因为如果不向其提供所需要的个人信息,就无法享受它们所提供的服务和产品。如果消费者为了获得其所需要的服务和商品,除了同意别无选择,那么这种选择和同意就是臆想的和不切实际的。
个人信息的“累积效果”也让当事人难以在收集之初就确实了解、掌握信息经累积、组合后所可能产生的影响,尤其所谓“大数据”的概念,正是假设透过大量信息的比对、分析,可以发现原先收集信息时意想不到的信息使用方式与结果,当事人要如何在信息收集之初就正确了解眼下看似微小、片段且无害的信息,未来经过累积、分析后所可能产生的危害,从而作出同意与否的正确决定?因此,网络用户面对同意才能继续购买或使用产品或服务的选择时,基本都会点击同意,甚至连相关的用户协议、服务条款和隐私权政策都不会阅读。因为个人信息泄露或滥用的危险一般是将来的、潜在的和不确定的,而在将当期的收益与未来可能的成本损失作比较时,我们往往误认为同意是“利大于弊”的选择。
随着物联网时代的来临,个人信息的收集将更为容易与普遍,需要进行信息收集告知的情形也会大大增加,当事人负担更为加重的结果使得阅读的可能性会再降低。在这种情况下,同意的真实性自然大打折扣。在司法实践中,对消费者同意规则的侵权救济也是困难重重。以新浪微博诉脉脉不正当竞争案为例,消费者面对第三方平台未经其同意使用其用户信息的行为依然无能为力,尽管该判决确立了互联网中收集用户数据信息的基本原则“用户明示同意”+“最少够用”的原则,但如何确保同意的真实性、有效性、可救济性等问题依然不明[3]。
最后,信息的自动化和智能化处理行为往往在信息主体毫不知情的情况下进行。大数据时代,绝大多数个人信息并非由本人提供,而是由信息系统、网络运行、各种传感器等实时记录形成,无时不在、无处不在的互联网形成了能够关联到个人或识别个人的信息海洋,而个人却不知道哪些信息被收集和利用,甚至不知道被谁收集和利用。机器抓取和各种算法的层出不穷,更使得个人无法查知所提供信息的后续加工、分派和流转过程,自然也无从得知个人信息的利用将终结于何处。这种可怕的后果使得信息主体连知情同意的机会都没有,同意规则自然形同虚设。
(二)过度同意使信息主体和信息处理主体不堪重负
同意规则给信息主体带来沉重负担。按照同意规则,需要收集和处理个人信息的主体必须制定冗长的用户协议,要求用户点击同意,以使可能的法律风险降至最低。然而,此类用户协议结构复杂、条款众多,阅读理解耗时费力,在移动互联网高度普及、对效率的期待与追求无所不在的时代,奢望用户详加关注不太现实[4]。这种信息的“过度披露”无疑大大增加了用户选择同意的困难。在一项对浏览量位列前75位网站的研究中,研究者估算:如果所有的美国用户逐字逐句地阅读网站的隐私政策,一年损失的机会成本大概是7810亿美元。这显然是无法承受之重。正因如此,就像其他的实证调查所发现的:在美国,平均只有4%的用户阅读了用户协议或隐私政策[5]。
同意规则大大提高了个人信息处理成本。在个人信息处理方式和目的日益多样化的过程中,信息处理者将面临无休止的告知须取得信息主体同意的境况。此外,对于某些个人信息的处理,信息处理者可能缺乏或根本没有告知并征求同意的途径,此时要求其履行同意义务无疑会产生不合比例的成本。而这些成本,最终会反映在其向信息主体提供的产品和服务上。对于一个掌握了大量有价值个人信息的信息处理者而言,若仅因无法取得信息主体同意而剥夺其处理的权利,会严重阻碍数据流通及创新应用,成为数据经济时代开发数据价值、释放数据红利的障碍,反过来必将影响信息主体福祉的实现。
二、GDPR针对“同意规则”危机作出的回应
纵观欧盟《条例》全文,无论是文本内容本身还是立法理由说明都体现出对“同意规则”的遵循与强化。与此同时,《条例》也直面现实对同意规则在大数据时代遭遇的种种挑战和质疑进行制度回应,以使这一规则能够重新焕发活力继续成为个人信息保护的利器。
(一)修补“同意规则”以保障同意的真实有效性
1.告知义务的修正
在草案阶段,除曾极具创意地试图新增“图形化、标准化”的告知方式,以方便当事人迅速阅读吸收基本重要信息,也进一步扩大应告知事项的范围,其目的似乎在于回应目前当事人难以消化相关告知信息,或未能获得充分信息,以致无法有意义行使信息自主权的质疑。虽然最终通过的版本与草案稍有不同,但基本方向仍然维持“确保当事人容易理解”、“扩大告知事项范围”的基调。
首先,《条例》第12条新增告知的一般性要求,将告知内容形式、告知方式、费用收取、当事人权利滥用等事项集中予以规定。依据第12条第1项的规定,告知事项内容:应简洁、清楚易懂、具有可接近性,并使用浅白词语,向儿童告知时,尤应遵守这一规定。同项后段则针对告知的方式加以规定,原则上应以书面或其他方式(包括电子方式)告知;如信息主体要求,且其身份经确认,相关信息可以口头方式告知。
其次,在告知事项的内涵上,不论直接收集还是间接收集,基本告知事项都有增加;同时,更值得注意的是《条例》采取“两阶段告知”的模式,即区分必要告知的“基本告知事项”,以及为了确保信息收集、处理或利用公平与透明的“进阶告知事项”。最后,在草案阶段曾提出的图形化、标准化告知,最终并未强制采行。依据《条例》第12条第7项规定,信息处理者可自由选择是否搭配其他告知事项一并为之,以便信息主体轻松掌握与理解信息收集、处理或利用的活动。有关标准图示的内容及取得程序,则授权执委会另行规定(第12条第8项),不在条例本身予以规范[6]。
2.同意条件的增加
在《条例》第7条中,新增的四项“同意条件”是本次修法的一大亮点。
第一,以同意作为合法使用个人信息的事由时,当事人是否同意,应由信息处理者“证明”。虽然最终通过的条文并未采取先前草案版本中所使用的“负举证责任”文字,但二者实际上应无明显差异。这一条件可认为是《条例》没有强制规定信息主体同意须以“书面”为之的配套措施:即通过要求信息处理者证明同意的存在,缓和了欠缺书面证明文件对信息主体可能造成的不利后果,并使信息处理者可以自行斟酌取得书面同意的成本与将来发生争议举证困难的风险;
第二,如果信息主体同意以书面声明为之,而该声明同时包含其他事项,则信息主体同意的部分必须与其他事项清楚分离,并且以清晰可理解、易于接近、清楚且浅白的文字呈现。任何违反本规则要求的声明,都没有拘束力。考察此一条件的目的,主要在使信息主体对同意的事项有清楚认识,避免信息处理者以夹带方式,将个人信息使用的同意隐藏在其他事项之中,使信息主体在不注意的情形下给予同意;
第三,信息主体有权随时撤回其同意。信息主体撤回同意,对撤回前基于同意所为收集、处理或利用的合法性没有影响。在信息主体同意前,应告知上述事项。撤回同意应与给予同意一样容易。此一规定进一步确保信息主体的自主权,只有信息主体可以无疑的选择撤回同意,其同意才是真正自由选择的结果;第四,当评估同意是否出于自由意愿时,最重要的考量因素,诸如:契约的履行,包括服务的提供,是否以信息主体同意收集、处理或利用非属履行该契约必要范围内的信息为条件。此一规定主要在回应目前信息主体经常“被迫同意”的问题。
详言之,日后业者如再以履行契约或提供服务“捆绑交换”当事人同意收集、处理或利用“无关”的个人信息,否则即拒绝服务的做法,就有可能被认为剥夺信息主体选择机会,而非出于自由意愿,影响同意的效力。需要说明的是,此一规定虽然执行上可能产生不少争议(比如如何判断相关信息与契约履行或服务提供的相关性),但若能落实,确实有助于恢复个人对于信息的自主控制。最后,应强调的是,近年来第29条工作小组特别重视信息处理者与信息主体间地位不对等,可能影响后者同意是否出于自由意愿的问题,例如:医患关系、雇佣关系中信息收集、处理和利用的同意。
针对上述问题,在欧盟执委会最初提出的草案版本中,原本订有:“如信息主体与信息处理者间地位明显不对等,则同意不能作为信息收集、处理和利用的基础”的同意条件。虽然上述规定最终并未成为《条例》的正式条文,但相同的内涵却转而在立法理由中呈现。依据立法理由第(43)点的说明:在具体个案中,如信息主体与信息处理者间地位明显不对等,则同意不能作为信息收集、处理、利用有效、合法的基础,特别是在信息处理者是公务机关时,信息主体在任何情形下都不太可能出于自由意愿而同意。此外,如果信息主体针对不同的个人信息收集、处理或利用活动,不能分别同意,或履行契约、提供服务以信息主体同意为前提,而该同意又非履行契约所必要,则上述情况下的同意都将被推定非出于自由意愿[6]。
3.同意方式的明确和概括同意的承认
《条例》第4条关于数据主体的同意是这样定义的:是指数据主体依据其个人意愿,自由、明确、知情并清楚地通过陈述或积极行为表示对其个人数据进行处理的同意[7]。《条例》立法理由第(32)点指出:同意之给予必须是数据主体依其意思决定就其个人数据处理所为具体肯定且自由形成、明确、受充分告知及非模糊之指示,诸如:口头或书面之声明,包括以电子方式为之者。同意可能包括于浏览网页时所点选之选项、为资讯社会服务所技术设定之选择或其他声明,或依其脉络清楚显示信息主体接受被提案之个人信息处理的行为。因此,单纯沉默、预设选项为同意或不为表示不构成同意。同意应涵盖基于相同之一个或多个目的所为之全部处理活动。如个人信息之处理具有多重目的者,应为全部目的取得同意[8]。
欧盟《指令》修正过程中阐明的立法理由第(33)点清楚承认:要在信息收集时,完全确认供科学研究使用个人信息的目的,经常有其困难。因此,在符合科学研究伦理的前提下,应该允许信息当事人针对特定研究领域给予同意。上述说明打破同意应该具体特定的传统,允许因科学研究目的使用个人信息可以采取概括同意,在信息收集阶段就打开后续(再)利用的方便之门,自然是一项不小的妥协[6]。
(二)补充例外事由以实现信息自主权与其他利益的平衡
“同意”虽是个人信息保护的重要基石,但其适用范围并非绝对,即使有些国家赋予“同意”特殊的地位,但“取得当事人的同意”也仅是合法收集、处理或利用个人信息的理由之一。因此,针对收集、处理或利用个人信息之同意的取得,各个国家或国际组织的立法均有除外之规定。
《条例》第6条第1款只有符合以下情况之一的个人数据处理行为才是合法的:(a)数据主体已经对基于一个或多个具体目的而处理其个人数据的行为表示同意;(b)履行数据主体为一方当事人的合同或在订立合同前为实施数据主体要求的行为所必要的数据处理;(c)为履行数据控制者的法定义务所必要的数据处理;(d)为保护数据主体或另一自然人的重大利益所必要的数据处理;(e)为履行涉及公共利益的职责或实施已经授予数据控制者的职务权限所必要的数据处理;(f)数据控制者或第三方为追求合法利益目的而进行必要的数据处理,但当该利益与要求对个人数据进行保护的数据主体的基本权利和自由相冲突时,尤其是当该数据主体为儿童时,则不得进行数据处理[7]。通过该规定可以看出即使未经信息主体同意依然可以合法处理个人信息的事由包括:数据处理主体履行合同或法定义务所必须;为保护数据主体或他人的重大利益所必须;公共利益等。
随着大数据、互联网和物联网时代的到来,对同意规则的质疑之声不绝于耳,进而也引发了立法模式的分野。作为全球范围内一直引领个人信息保护立法潮流的GDPR,它对同意规则采取何种态度对各个国家的立法选择必将产生深远影响。通过前文分析可以看出,《条例》对同意规则的总体态度是肯定基础上的修补而非否定基础上的放弃。笔者认为,同意规则在今天所遭遇的危机大多与外因有关,也就是后天产生的或者说是规则执行中出现的问题,而制度本身似乎并没有太多的先天不足,国内许多学者在批评同意规则时也很少触及到规则本身和制度实质,更是无法提出具体可行的替代方案。
世界上并没有十全十美的制度安排,当我们在进行规则选择或制度设计时,应综合考量多方权衡,如果没有最优我们只能选择次优。至少在目前的制度框架下,我们很难找到替代同意规则来更好地实现个人信息自主权的制度设计。如果我们不能保证信息主体对自己信息收集、处理和使用的知情同意权,那么个人信息保护的重任将由谁承担?是靠信息业者的自律还是靠公权力的制约?或许这些力量都有助于我们实现个人信息保护,但绝对无法替代个人自主权,毕竟信息主体是信息产业链中的弱势主体、是自己利益的最佳感应者、是自身权利的最佳守护者。因此,“同意规则”应成为我国个人信息立法的一项基本准则,但要对其进行大刀阔斧的修改以适应今时今日之情势。
三、我国个人信息保护立法中同意规则的重塑
(一)同意规则地位的弱化
1.同意是个人信息收集、使用和处理的必要条件或合法要件之一
《民法总则》第一次从基本法的角度建立了个人信息保护规则,因为民法的一般性和普遍性,该条规定是目前所有关于个人信息保护立法中涵涉主体范围最广的立法,具有总则性和指导性。考虑到要适用不同类型的个人信息和个人信息处理主体以及个人信息处理行为的复杂性,所以该条并未明确提及“同意规则”,而是强调“依法”和“安全”。
越抽象的规定越具有普适的生命力,细化规则留给专门法和特别法规定。结合《消费者权益保护法》第29条和《网络安全法》第41条的具体规定,可以推导出同意是经营者和网络运营者收集和使用个人信息的必要条件,至于其他领域的个人信息处理行为就未必以同意为前提条件了。由此可见,相较于过去一刀切似的“以同意为必要条件”,同意在个人信息处理行为中的必要性有所降低。通常而言,个人信息的收集要合法或经信息主体知情同意;与收集目的不一致的处理和利用应当有法律规定或取得信息主体的同意或其他正当理由。
2.增补法定例外事由作为同意规则的补充
遵循同意规则有利于个人信息自主权的维护,但过度依赖同意规则又会阻碍个人信息的合理利用,为平衡两者之间的关系,立法在首肯同意规则的同时,有必要规定一些无需同意也可进行个人信息收集、处理和利用的情形,这样可以最大程度地缓解因过度同意而给信息相关主体带来的沉重负担,很好地兼顾信息主体的人格利益、信息业者的商业利益和社会公共利益。
具体到消费领域,应规定哪些例外情形呢?美国联邦贸易委员会于“在快速变迁的时代中保护消费者隐私——一个为产业及政策制定者提议的架构”报告中指出,在某些“普遍被接受的惯例”中,一旦消费者选择利用系争的产品或服务,公司不必再被要求应取得其同意方可使用该消费者个人信息。该等惯例包括:(1)产品及服务的履行:如网站收集通讯信息(如地址),以运送所要求的产品,并收集信用卡信息以利于付款;线上代为计算税额者及财务分析申请书收集财务信息,以为客户进行分析;(2)内部经营:旅馆及餐厅为改进顾客服务而收集顾客满意度调查;网站收集造访及点选率,以改进网站经营;(3)欺诈防止:当消费者以支票付款时,零售商要求查看驾照,以防止诈欺;线上经营者也设置欺诈侦测设施,以防止欺诈交易的发生。
此外,线上经营者也可浏览一般的伺服器记录,以侦测欺诈,并于不需要时,删除该等记录。商家利用埋伏的员工及监视器,以防止盗窃;(4)法律遵守及公共目的:搜索引擎、行动设备及当铺应执法单位的要求而与其分享个人信息。业者将消费者逾期债务不履行的账号信息通知信用信息交换中心;(5)第一手的行销:线上零售业者根据消费者先前在网站的购买记录而推荐产品及服务;一般商店于结账处给经常购置尿布者提供婴儿奶粉的折价券。但如果追踪消费者线上活动状况,则不是可接受的惯例,应另取得同意。据此,上述普遍被接受的惯例中,如果要求消费者必须决定是否同意公司收集、利用或分享其个人信息,将为消费者及业者带来弊大于利的额外负担[9]。
日本及加拿大的个人信息立法,对受规范主体收集、处理或利用个人信息之要件均以“当事人同意”为原则,而于有其它重要公共利益如国家安全,执行法律,或他人生命、身体、安全等重要权益需要保护时,始以但书或例外规定,揭示无须经当事人同意之事由。因此,收集个人信息时应以取得当事人同意为优先,于有法定例外事由时始得免除取得当事人同意之义务[9]。我国台湾地区《个人资料保护法》基于保护“公共利益”,或“第三人重大利益”,或“为统计、学术研究”之目的免除信息处理者告知或取得当事人同意之义务,或允许其在特定目的外利用个人信息,即在衡量个人信息自主权之保护与个人信息之有用性下,限缩个人信息自主权而容许他人合理利用个人信息。
结合其他国家或地区立法经验,考虑到我国现实情况,我们在未来的《个人信息保护法》中宜规定无需同意即可进行个人信息收集、处理和利用的具体情形应包括:(1)法律法规明文规定的;(2)为维护国家安全、公共安全或增进社会公共利益;(3)为防止信息主体或他人人身或财产上的重大利益遭受侵害所必要的;(4)进行学术研究所必要且无害于信息主体利益的,但研究人员或机构应当对使用的个人信息进行保密;(5)有利于信息主体权益的;(6)与信息主体有合同或类似合同关系,并不会损害信息主体的合法权益;(7)已公开的个人信息并不会损害信息主体的合法权益;(8)履行法定义务的;(9)为个人信息保护检查、个人信息安全、确保个人信息处理设备的正常运转目的而存储的个人信息,仅可依其目的而利用。这些概括规定需要搭配具体细则方可发挥实效,个人信息处理主体是国家机关还是非国家机关?个人信息敏感度如何?个人信息处于收集、处理、使用中的哪一环节?个人信息的后续处理行为是否在收集目的之外?这些都会影响例外情形的具体适用。
(二)同意规则内容的细化和充实
1.同意的重要性因个人信息处理主体不同而异
无需同意的情形:国家机关在职权范围内收集个人信息、国家机关在收集目的内处理和利用个人信息无需征得信息主体的同意。同意是必要条件的情形:国家机关超越职权收集个人信息必须取得信息主体的书面同意或授权。同意是合法要件之一的情形:国家机关在收集目的外处理和利用个人信息的情形之一是信息主体书面同意或授权;非国家机关超出特定目的收集、处理和利用个人信息的情形之一是信息主体书面同意或授权。
2.同意的要求和方式因个人信息敏感度不同而异
台湾学者范姜真微将德国的领域理论?譺?訛进行变通理解并加以重新阐发:将人活动领域从内至外分为三个领域,最内层内心之领域个人精神活动空间,应隔绝外界干涉保持绝对平静自由之领域,如个人日记、告解、信仰。往外再扩张一层之个人私生活领域,为个人周边亲疏远近之交际关系、经济状况、休闲嗜好、生活方式等,系个人依自己意思决定人际关系,塑造自己形象或社会评价之领域。
最外一层之公共生活领域,为个人于公民社会中工作,行使权利或履行对所属群体义务之活动,在此领域中因需确认本人及法律关系,如姓名、性别、年龄、工作地点、联络方式,系属预定被归集或公开之基本个资。进而对此三领域之个资,分别定其收集、处理或利用之要件:(1)姓名、年龄、性别、工作地点等,属于公共领域生活被预定公开者,因其私密性低、有用性高,于无合理理由认定其被收集、处理或利用将使个人合法权益受损害时,事先无须经当事人同意即得收集、处理或利用,但如当事人事后表示反对时,即应停止收集、处理或利用;(2)与个人内在精神活动直接关联属内心领域之高敏感性个资,如医疗资料、DNA、性倾向、政治信仰等一般人均不欲为他人所知,公开将使特定个人私生活平稳遭破坏或受到歧视或偏见之个资,原则上应禁止收集、处理或利用,纵使当事人同意亦须经法定程序之审查或有明文规定始得为之;(3)上述二种以外属私生活领域之个资:如婚姻、交友、教育、家庭、财务、经济状况等一般人会因亲疏、远近关系选择公开之资料,其收集、处理及利用,原则上仍应征得当事人同意,于法律有明文规定或维护重要之公共利益、或有他人重要权利利益,如生命、身体、财产等需被保护者,或明显为当事人利益时,依一般人观点得合理推定当事人无反对理由者,始得例外容许收集、处理或利用。如此,一方面于保护个人资料自主权之原则下,另一方面依不同领域个资之有用性,以宽严不同之收集、处理或利用要件,适度调整其合理利用范围[10]。
在对个人信息作层级区分的基础上,对敏感信息(人格紧密型个人信息)和一般信息(人格疏远型个人信息)的收集和利用分别采取明示同意和默示同意的规则。对个人信息予以区分并对不同信息的收集、处理和利用予以区别对待,或许无法根治同意规则的痼疾,但至少能够缓和僵硬的明示同意带来的弊端,在一定程度上降低企业的合规成本,并同时发挥保护个人敏感信息的作用,更好地平衡个人信息保护与利用的关系[11]。
3.重收集阶段的同意转向重使用阶段的同意
在现代社会中,不论对公、私部门而言,个人信息的收集往往不可避免,且通常具有正当合法目的,在符合场景一致和消费者预期的情形下,信息的收集对个人不至产生重大危害,因此,无须将规制的重心置于信息收集阶段,反而是后续的信息使用才可能对当事人造成影响,必须投注更多资源、透过更细致的利益权衡才能在信息使用的利益与其对当事人、社会可能造成的损害之间,取得适当平衡[6]。
在规制重心转移的情形下,需要使用个人信息的公务、非公务机关得以从目前信息收集阶段繁琐的告知、同意要求中得到解放,不必耗费资源在往往不具实质意义的当事人同意上,或借由各种手段试图获得后续使用个人信息的方便。由于个人信息的再利用会对数据主体的利益产生影响,个人信息的再利用一般需要得到数据主体明确同意。
参考文献:
[1]范为.大数据时代个人信息保护的路径重构[J].环球法律评论,2016(5):92-115.
[2]任龙龙.论同意不是个人信息处理的正当性基础[J].政治与法律,2016(1):126-134.
[3]金耀.消费者个人信息保护规则之检讨与重塑——以隐私控制理论为基础[J].浙江社会科学,2017(11):61-69.
[4]曹博.论个人信息保护中责任规则与财产规则的竞争及协调[J].环球法律评论,2018(5):86-102.
相关论文投稿刊物:《辽东学院学报社会科学版》(双月刊)曾用刊名:辽宁财专学报;辽东学院学报,1988年创刊,为党校向的教学科研、管理和师资队伍建设服务,为我国改革开放和社会主义现代化建设服务,立足校内、面向全国,为繁荣我国后高等教育事业和财经事业作出贡献。
转载请注明来源。原文地址:http://www.xuebaoqk.com/xblw/5153.html
《个人信息保护立法中“同意规则”之检视》