在大数据时代个人信息安全与数据流转的矛盾日益突显的环境中,对同意机制和隐私条款的设计是平衡个人信息保护与信息流转效率的重要途径。在2017年12月29日发布的《个人信息安全规范》中,同意机制占据重要地位。我国对欧盟相关规则进行借鉴融合,并在同意内容的区分和告知方式等方面进行创新。但与欧盟《指南》相比,我国规范并不严格细致。我国应进一步做出针对同意机制的指导,细化同意标准,以最大化保障数据主体的知情权和选择权。

罗尔纯

《个人信息安全规范》的同意机制评析

文 / 中山大学法学院副教授、硕士生导师 谢琳

中山大学法学院硕士研究生 慕璧阳

2017年12月29日,由国家质量监督检验检疫总局、全国信息安全标准化技术委员会联合发布了国家推荐性标准《信息安全技术个人信息安全规范》(以下简称“《规范》”),并于2018年5月1日正式实施。《规范》在《网络安全法》的基础上进行更加详细的指导性规定,对个人信息处理活动给出了具体操作规范。本文通过对比我国《规范》与欧盟29条工作组的同意指南,分析其如何对传统知情同意机制的困境进行突破,保障数据主体的选择权和控制权。

一、《个人信息安全规范》的制定

(一)《个人信息安全规范》中同意机制的内容创新

《网络安全法》第41条指出:“网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。”《网络安全法》所遵循的是“知情-同意”的传统模式,但并未对“合法、正当、必要”原则的界定做具体阐述,也没有对知情同意的方式做出要求。并且传统的知情同意模式限制了数据流转,在大数据时代隐私保护安全与效率的矛盾更加突显。如何走出用户知情同意困境?我国《个人信息安全规范》给出了新的处理方法。

《规范》将个人信息区分为一般信息和个人敏感信息,收集个人敏感信息时要取得个人信息主题的明示同意。对个人敏感信息的判定和列举在附录B中有详细说明。①另外,在5.5条中,根据是否为用户基本需求的标准,又将网络产品与服务分为核心业务功能与附加业务功能:“产品或服务如提供其他附加功能,需要收集个人敏感信息时,收集前应向个人信息主体逐一说明个人敏感信息为完成何种附加功能所必需,并允许个人信息主体逐项选择是否提供或同意自动采集个人敏感信息。当个人信息主体拒绝时,可不提供相应的附加功能,但不应以此为理由停止提供核心业务功能,并应保障相应的服务质量。”这意味着,只有当用户使用附加功能并涉及到个人敏感信息时,才需要向其逐一明示数据收集的目的、方式和范围,并得到用户的主动同意,如点击或主动填写。当特定项目中出现隐私风险时,通过创新科技设计进行数据保护可以在带来经济效益的同时实现隐私保护。②在这种情况下,通过设计保护隐私(privacy by design)既保障了用户知情的透明度和用户选择自由,又提高了数据流转的效率。

并且,就个人敏感信息的收集、使用,以及个人信息的共享、转让、公开披露等事项征求授权同意如何实现的问题,在附录C中清晰地给出了参考界面模版。给互联网企业提供了清晰的指引。事实上,也已经有很多企业,如高德、京东等按此规范制定了相应隐私政策,并依据该模版在APP内使用“增强式告知”的方式向再次用户告知附加功能相关的隐私条款。可见,我国《规范》中对同意机制的创新,无论是从突破知情同意机制理论困境,还是从有效保护个人信息的企业实务角度都有重要意义。

(二)同意机制的地位

欧盟《通用数据保护条例》(GDPR)第4(11)条将同意定义为:“数据主体依照其意愿自愿做出的任何指定的、具体的、知情的及明确的指示。通过声明或明确肯定的行为作出的这种指示,意味着其同意与他或她有关的个人数据被处理。”在GDPR中,“同意”并不是数据处理的唯一合法基础,除用户同意外还有五种可以处理数据的合法理由:为履行与数据主体的合同;为履行法律职责;为保护数据主体或另一自然人核心利益;为了公共利益或官方要求履行的任务;为数据控制者或第三方的正当利益。可以看出,用户同意与其他合法基础处于平等地位。

我国《网络安全法》采用了以知情同意为核心的保护框架,《规范》尝试对这一问题进行修正。在第5.4条同意的例外中,列举出了11种无需征得信息主体授权同意的情形。虽然同意的例外不足以扭转同意为核心的体系,但是在一定程度上平衡了同意机制与其他合法利益,对同意机制的地位做出了新的调整。

无论在欧盟还是我国,同意机制在个人信息保护中都占据重要地位。那么,何种同意才是有效的呢?下文对欧盟和我国的有效同意标准做出比较研究。

二、同意必须是自由做出的

2017年11月28日,欧盟“第29条”工作组(WP29)发布关于同意的指南(以下简称《指南》),①对欧盟《一般数据保护条例》(GDPR)中的同意机制做出了具体指导。判断同意是否有效必须要求其是自由做出的;明确特定的;充分告知的并且是不含糊的意思表示。欧盟《指南》对每一标准进行了详细解释,并进行了举例说明。

“自由做出”意味着对数据主体的真正选择和控制。作为一般规则,GDPR规定,如果用户没有真正的选择权,即如果他们不同意则会承担消极后果,那么同意将是无效的。②如果将同意作为一种条款中不可协商的捆绑部分,那么推定为没有自由给出。因此,如果数据主体无法在不受损失的情况下拒绝或撤回其同意,则不会认定这种同意是自由的。

(一)权力失衡情况下同意很难自由做出

在权力失衡的情况下,数据主体很难真正自由地做出同意。例如,当数据控制者为政府时,政府不可能只依靠同意进行处理个人信息,此时数据控制者与数据主体之间的关系往往存在明显的权力失衡。在大多数情况下,数据主体除了接受数据控制者的条款外,没有其他可行的选择。但在GDPR的法律框架之下,并不完全排除政府将同意作为数据处理基础的合法性。举例说明,某地市政正在规划道路维修工程,由于道路工程可能会长时间中断交通,市政当局为其市民提供电子邮件订阅服务,以获取工程进度和预计延误的最新信息。市政当局明确表示市民没有参加订阅的义务,并要求同意将电子邮件地址用于此专用目的。不同意的公民不会错过市政府的任何核心服务或行使任何权利,因此他们能够自由地接受或拒绝同意使用这些数据。①这种情形中,市民的同意是自由做出的,并不受权力失衡的影响。

另外,在雇佣关系中也会出现权力失衡。鉴于雇佣关系造成的依赖性,数据主体不可能拒绝同意他的雇主进行数据处理,且不担心拒绝同意而造成的不利影响。员工不可能在不感到任何压力的情况下自由地回应其雇主的同意请求。因此,29条工作组认为雇主以同意为基础,处理雇员的个人数据存在问题,因为它不可能是自由的。②然而,同样这也并不意味着雇主绝对不能以同意作为处理数据信息的合法基础。比如,摄制组将在办公室的某个部分进行拍摄。雇主要求所有坐在该区域的员工同意拍摄,因为他们可能会出现在视频背景中。那些不想被拍摄的人不会受到任何影响,在拍摄期间雇主会为他们在大楼的其他地方安排相同的办公室。③在这种情形下,无论员工是否同意,都不会产生任何不利后果,此时的同意可以证明是由员工自由做出的。

当然,除了政府与市民、雇主与雇员的关系背景,还有其他情况会产生权力的失衡。此时,就要特别注意如果有任何强迫,压力或无法行使自由意志的情况,同意都将会是不自由的。

(二)“限制性”同意被认为是不自由的

将同意与接受条款“捆绑”,或将合同条款、服务与要求同意处理接受该项服务非必需的个人数据的请求“打包”在一起,是不被允许的。如果同意是在这种情况下做出的,则推定它不是自由的。为处理个人数据征得的同意不能直接或间接地成为合同的对待履行,不能以履行合同为交换条件强制客户同意处理不必要的个人数据。

评估是否出现“捆绑”或“打包”的情况,确定合同或服务的范围很重要。 根据29条工作组的意见,“履行合同所必需的”一词需要严格解释。对数据的处理必须是为了履行与每个单独数据主体的合同所必要的。例如,公司需要获取员工的银行账户信息,以便支付工资。①在数据处理和履行合同之间必须要有直接的客观的联系,这种情况下,处理是为履行数据主体参与的合同之必要②则不需要其他的合法基础。但由于合同履行的必要性不是处理特殊类别数据的法律依据,因此注意处理的数据是否为特殊类别的数据,对于数据控制者而言尤为重要。

将“限制性”作为同意是否自由的判断标准,则要求这一条件的审查需要十分严格。GDPR第7(4)条中使用的“最大可能”③一词不是绝对的,因此由于这种状况导致同意无效的情况可能会非常有限。GDPR的一般原则是举证责任在数据控制者一方,在此款适用时,数据控制者要证明同意是由数据主题自由做出的将更加困难。然而,数据控制者可能会辩称,他们为数据主体提供了自由的选择。一方面,用户可以选择接受包括同意将数据用于其他目的处理的服务,另一方面,也可以拒绝同意而选择其他同等服务。因此,在用户拒绝同意的情况下,只要数据控制者有可能履行合同,就意味着该服务不是限制性的。前提是这两种服务都需要具有真正的等效性,不需要支付额外费用。

(三)同意包含多个目的时必须是可分的

一项服务可能涉及用于多个目的多项数据处理操作。在这种情况下,数据主体应该可以自由选择他们接受的目的,而不必同意一揽子处理。GDPR绪言43条(Recital 43)解释说,如果获得同意的程序不允许数据主体对个人数据处理分别做出同意,则认为同意不会被自由做出。绪言32条指出“同意应包含为同一或不同目进行的所有处理操作。当处理有多重目的时,同意应包含所有目的。” 如果数据控制者将多个处理目的混为一谈,并未试图去为每个目的寻求单独的同意,则同意缺乏自由。

(四)拒绝或撤销同意不受损害

欧盟《指南》表明,数据控制者需要证明可以拒绝或撤销同意而不受损害。例如,控制者需要证明撤回同意不会导致数据主体支付任何费用,因此对于撤回同意的数据主体来说没有明显不利。①即使数据主体拒绝同意,也不会遭受欺骗,恐吓,胁迫或承担重大不利后果。如果控制者能够证明某项服务可以撤销同意,而没有任何负面结果,这便可以表明同意是自由的。

在GDPR中,同意的撤回也被作为有效同意的标准之一。控制人必须确保数据主体有权随时撤回同意,撤回同意应该与做出同意同样方便。此外,数据主体应在撤回其同意时不受任何损害,控制者必须免费撤销同意并不降低服务水平。如果撤回同意,在撤销同意之前发生并进行的数据处理操作仍然合法,但是,控制者必须停止相关处理行为。如果没有其他合法的理由来处理数据的处理,则应由管理者删除或匿名处理。除了控制者有删除义务外,个人数据主体也有要求删除其仍储存于控制者一方中数据的“被遗忘权”。29条工作组建议,即使没有数据主体的删除请求,控制者也应该评估继续处理有关数据是否是适当的。②

相比之下,我国《规范》对与同意自由标准的要求体现在第5.1条收集个人信息的合法性中:“数据控制者不得欺诈、诱骗、强迫个人信息主体提供其个人信息。”及第5.5条:“应确保个人信息主体的明示同意是其在完全知情的基础上自愿给出的、具体的、清晰明确的愿望表示。”我国《规范》在第7.7条个人信息主体撤回同意中做出了与欧盟《指南》相似的规定,明确撤回同意后不得再继续处理个人信息。但在7.6条个人信息删除中并未包含撤回同意的情形,而仅明确了信息控制者违反法律法规规定或与信息主体约定时,应当停止并删除。可见这种信息主体的“删除权”与GDPR中的“被遗忘权”还是存在明显区别的。

另外,我国《规范》对于同意的“可分性”给出了创造性的处理方式,即区分产品的核心业务功能和附加业务功能。如上文说述,信息主体可以单独拒绝附加功能部分的同意,而并不影响接收核心业务功能,数据控制者应保障相应的服务质量。且当附加功能需要收集用户的敏感信息时,需要明示同意。用户点击同意隐私政策后,还需要二次授权即再次点击同意才能开启附加功能。如此便破解了“一揽子”授权的情况。相比欧盟《指南》中对同意需要自由做出的规定,我国《规范》的区分框架更为清晰和严格。

但是,对于如何区分核心业务功能和附加业务功能的问题,我国《规范》并未明确界定,仅在附录C中做了简单的说明。①一般认为:“核心功能是用户注册产品或服务的基本需求,而为提升用户体验而设计的功能则是附加功能。进一步如何界定基本需求和与提升用户体验的需求,则须按照行业现有的通行惯例和普通公众对某项功能收集个人信息的方式和用途的感受程度来确定。”②

三、同意必须是特定和充分告知的

(一)同意必须是具体特定的

根据GDPR第6(1a)条:数据主体的同意他或她的个人数据为一个或多个特定目而处理。即数据处理必须与“一项或多项特定”目的有关,并且数据主体可以选择其中的每一项。该“特定性”条件旨在确保数据主体的用户控制程度和透明度。欧盟《指南》指出数据控制者必须遵守如下要求:

1、对功能扩张做出限制

根据GDPR第5(1b)条,③获得有效同意的前提是,欲进行处理的行为是特定具体的,有合法目的的。在数据主体首次同意收集数据之后,要防止数据处理的目的逐渐扩大或模糊。这种现象也是被称为功能扩张,它可能导致控制者或第三方超出预期目的使用个人数据,并导致数据主体丧失控制权。

只有当数据主体被明确告知关于它们数据的预期使用目的时,才能获得具体特定的同意。如果数据控制者在处理数据时又产生了新的目的,就需要为新的目的寻求新的同意。原始的同意不会使新的处理目的合法化。

2、对信息进行区分

为了使数据主体真正了解他们进行不同选择将产生的影响,数据控制者应该将提供的信息明确区分为与获得同意有关的部分和其他事项的部分,为每个同意请求独立地提供信息。这样便于用户清晰地了解同意的具体信息,并基于此做出特定的选择。

我国《规范》根据“目的明确原则”对信息处理目的范围也做出了相似的规定。其中第7.3条对功能扩张做出了限制:“使用个人信息时,不得超出与收集个人信息时所称的目的具有直接或合理关联的范围。因业务需要,确需超出上述范围使用个人信息的,应再次征得个人信息主体明示同意。”

除此之外,我国《规范》还考虑到了个人信息转让的情况。第8.3条规定:“当个人信息控制者发生收购、兼并、重组等变更时,个人信息控制者应:a) 向个人信息主体告知有关情况;b) 变更后的个人信息控制者应继续履行原个人信息控制者的责任和义务,如变更个人信息使用目的时,应重新取得个人信息主体的明示同意。”这意味着,当个人信息转让后,使用目的超出原始同意范围的,需要重新获得同意。相较于欧盟《指南》,我国《规范》将功能扩张的情形进行了细化,强调了在个人信息确需共享、转让时要注意到的风险,保障数据主体的控制权。

(二)同意必须是充分告知的

1、告知内容的最低标准

透明性是GDPR的基本原则之一,在获得同意之前向数据主体提供充分的信息使他们了解将要同意的内容是至关重要的,这样才能使他们做出明智的选择。欧盟《指南》对同意告知的最低标准做出了要求,为获得有效同意,至少需要告知以下信息:(1)控制者的身份;(2)寻求同意的每个数据处理的目的;(3)将收集和使用哪些(类型)数据;(4)是否有撤回同意的权利;(5)仅根据自动化处理(包括分析)个人决策的数据信息;(6)如果同意涉及转让,则说明在决策不当和保障不足的情况下向第三方转移数据的风险。①

对于第(1)和(3)项,29条工作组强调,在实践中,如果是基于多个关联控制者寻求的同意,或者是数据将被转移给其他依赖原始同意的控制者,这些机构都应该被列明。②虽然数据处理者不需要被记为同意要求的一部分,但是为了遵守GDPR第13条和第14条,③控制者需要提供接收者或接收者类别(包括处理者)的完整信息。

2、告知的方式和形式

关于如何提供信息向用户告知,GDPR没有特别说明,这意味着信息可以通过书面或口头陈述、音频、视频等各种方式呈现。但对于信息提供的清晰度,在GDPR绪言中做出了明确要求。在寻求同意时,数据控制者应确保他们在任何情况下都能保证语言的清楚明晰。这意味着任何一个普通人,而不仅仅是律师,都应该很容易理解该信息内容。不能使用冗长晦涩的隐私政策或充满法律术语的陈述,并应将同意与其他事项区分开来,以易理解和易于获取的形式展现。这个要求本质上表明,与做出是否同意决定相关的信息,不能隐藏在一般条款中。

GDPR第7(2)条①涉及到了事先制定的书面同意书。当同意作为纸质合同的一部分时,同意申请应与其他事项明确区分。如果纸质合同包含许多与同意使用个人数据无关的内容,则应以明显突出的方式或在单独的文档中处理同意问题。 同样,如果以电子方式做出,同意请求也必须是单独的,它不能简单地作为条款中的一段出现。考虑到电子屏幕小或信息空间有限的情况,在适当的情况下可以分层呈现信息,以避免过度干扰用户体验和产品设计。

我国《规范》同样以“公开透明”作为原则之一,要求以明确、易懂和合理的方式公开处理个人信息的范围、目的、规则等,并接受外部监督。《规范》要求数据控制者充分尊重用户的知情权和选择权,第5.3条规定:“收集个人信息前,应向个人信息主体明确告知所提供产品或服务的不同业务功能分别收集的个人信息类型,以及收集、使用个人信息的规则,并获得个人信息主体的授权同意。间接获取个人信息时,也应说明信息来源和合法性。”

除了传统的通过隐私政策或服务协议中的个人信息条款完成告知,我国《规范》还提供了增强式告知(enhanced notice)和即时提示(just-in-time notice)的思路。“增强式告知,即注册账号、安装程序,或首次使用时向用户展示的关于个人信息的提示,浓缩了隐私政策的核心内容。即时提示,是在用户使用过程中即时展示的关于具体个人信息处理行为的提示。其往往用于个人敏感信息的二次授权前的告知。”②《规范》附录C中更鼓励以弹窗式方式进行告知,并提供了相应模版(图1)。通过这样的设计使冗长、晦涩的隐私条款清晰化,更加生动地向用户展示隐私条款的核心内容。并且严格区分“授权”和“同意”两个动作,充分保障用户的知情权和选择权。①

(图1)

事实上已经有很多企业按照《规范》的模版,在APP中做出了弹窗式告知的设计。例如京东,在首次安装或注册APP时清晰展现隐私政策(图2),用户点击同意后开始使用产品。在“隐私设置”选项中首次开启附加功能时,进行增强式告知(图3),并在使用过程中,通过即时提示告知用户,请求获得附加功能中涉及个人敏感信息的二次授权(图4)。

(图2)

(图3)

(图4)

四、同意必须是不含糊的意思表示

GDPR清楚表明,同意需要数据主体的声明或明确的肯定行为,这意味着它必须始终通过主动的积极行为或声明产生。被GDPR取代的欧盟旧指令《95指令》(95/46/EC)中第2(h)条仅将同意定义为“表明数据主体同意处理与他有关的个人数据的意思表示。” 29条工作组则指出,有效同意需要通过明确的肯定行为做出不含糊的表述。①“明确的肯定行为”意味着同意必须是数据主体的明示同意。

(一)明示同意、默示同意与授权同意

欧盟《指南》指出在出现严重数据保护风险的某些情况下需要明示同意,主要包括在处理特殊类别的数据时的明示同意。明示同意存在效率低成本高的困境,会给用户和数据控制者带来沉重的负担。而默示同意又存在被滥用的风险,会使用户丧失控制权。因此,需要找出一种平衡机制突破明示同意与默示同意的困境。

我国《规范》首先明确了明示同意的定义。②同意包括书面声明和主动做出的肯定性动作,其中肯定性动作包括个人信息主体主动作出声明(电子或纸质形式)、主动勾选、主动点击“同意”、“注册”、“发送”、“拨打”等。在收集个人敏感信息时需要获得明示同意。

但我国《规范》中的“明示同意”与欧盟的“明示同意”范围不同。《规范》的起草者洪延青指出:“GDPR中有两种同意的方式,一种是明示同意(explicit consent),指明确写着“我同意”的字样让用户点击或勾选。而另一种是授权同意(unambiguous consent),指通过点击“发送”或者点击“拨打”等动作表明同意,但并不出现明文‘同意’。我国《规范》将这两种同意合并称为“明示同意”,范围比欧盟的更为宽泛。”③

其次,我国《规范》中并未提及到默示同意,而是采用“授权同意”方式,并将GDPR中考虑“正当利益”的部分归入到授权同意的例外中。洪延青解释:“首先,未提及默示同意,而采用‘授权同意’是怕企业会滥用默示同意。其次,目前承认‘授权同意’,是希望互联网企业做到明示同意,但如果现实大量的场景做不到明示同意的话,还是需要用到授权同意的。”而采用“授权同意例外”的列举方式而不是“正当利益”的灵活方式,是为了不超出《网络安全法》的框架,网安法原文中规定的是“经被收集者同意”,而并未出现“或其他正当事由”的字眼。①所以为与网安法保持一致,并未采纳正当利益的说法。②

(二)对儿童明示同意的特殊保护

GDPR对儿童的个人信息处理提供了特殊保护,如果儿童的年龄低于16岁,只有在征得监护人同意情况下或授权儿童同意的范围内,处理其个人信息才是合法的。欧盟《指南》指出该服务必须是是直接提供给儿童的,如果服务提供者向潜在用户明确表示它只向18岁以上用户提供服务,那么就不被认为是“直接提供给儿童”的。③关于有效同意的年龄限制,GDPR提供了灵活性,只要不低于13岁,成员国可以依法为这些目的规定较低的年龄。那么,提供跨境服务的控制者要注意遵守各成员国的国家法律来提供信息社会服务。发生冲突时应考虑儿童利益最大化来寻求处理办法。

我国《规范》选择的年龄标准是14岁,并归入到需要明示同意的范围中。5.5条第3款规定:“收集年满14的未成年人的个人信息前,应征得未成年人或其监护人的明示同意;不满14周岁的,应征得其监护人的明示同意。”

在同意的基础上向儿童提供信息社会服务时,数据控制应该采取一定措施验证用户是否已经达到了同意的年龄,验证的方式应与项目的风险相匹配,并且不能造成数据的过度处理。比如在一些低风险的项目中,可以要求新用户披露其出生年份或填写表明他们是否为未成年人。

(三)通过电子方式获得同意

明示同意的一种方法是明确书面声明确认同意。最符合标准的方式,是数据主体向控制者写信或发邮件解释他同意的具体内容,但这在现实中是不可行的。理论上口头陈述也可以获得有效的同意,但是在记录陈述时,可能难以向控制者证明符合有效明示同意的所有条件。目前常用的做法是通过电子方式获得同意,当同意请求用电子方式提出时要特别注意减少对服务提供造成的干扰。

在大数据环境中,用户可能每天都要通过大量的点击和滑动来回复同意请求,会造成点击疲劳,使同意提示的警示效果下降,这对于用户来说是有极大风险的。

另外还有部分数据控制者的同意提示并不显著,使用户在实际并不知情的情况下“被同意”。如2018年初的支付宝年度账单事件,支付宝将“我同意《芝麻服务协议》”以用户很难注意到的一行小子的形式标注在首页下方,并且默认勾选了同意,如果用户不取消勾选,就被视为自动同意。这便是对默示同意的滥用,“年度账单”的查看和《芝麻服务协议》并没有关联性,且这种预选的做法也是不被允许的。在国家互联网信息办公室网络安全协调局进行约谈后,支付宝立刻做出了整改,并对用户道歉。

五、结语

综上所述,在大数据时代,平衡个人信息保护与信息流转效率的重要途径就是对同意机制和隐私条款的设计。我国《规范》在借鉴融合GDPR的基础上,做出了几点创新处理方式。例如,在同意的可分性上,区分产品的核心业务功能和附加业务功能破解了“一揽子”授权的困境。在告知方式上,采用增强式告知和即时提示方式,弥补了传统隐私政策冗长、晦涩,或使用户点击疲劳而丧失信息控制权的情况。并以附录中隐私模版的形式呈现,对企业在实务中指导更为直接和清晰。还有其他等等创新之处是对《网络安全法》的细化,更是对传统知情同意困境的弥补。

我国《规范》中关于有效同意的标准的规定仍没有欧盟《指南》中的那么详细具体。在个人信息保护与数据流转矛盾日益突出的大数据时代,同意机制规范标准对保障数据主体的选择权和知情权意义重大。我国在《个人信息安全规范》的基础框架上,应进一步做出针对同意机制的指导,细化同意要素标准,使隐私条款更加清晰化,用户同意更具实效性。

① 《个人信息安全规范》附录B:个人敏感信息是指一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。通常情况下,14岁以下(含)儿童的个人信息和自然人的隐私信息属于个人敏感信息。

② ICO. Big data, artificial intelligence, machine learning and data protection .20170904.Version:2.2.P71.

① Article 29 Data Protection Working Party. Guidelines on Consent under Regulation 2016/679. Adopted on 28 November 2017.

② Opinion 15/2011 on the definition of consent (WP187), p. 12.

① Article 29 Data Protection Working Party. Guidelines on Consent under Regulation 2016/679. P7.

② Article 29 Data Protection Working Party. Guidelines on Consent under Regulation 2016/679. P8.

③ 同上。

① Article 29 Data Protection Working Party. Guidelines on Consent under Regulation 2016/679. P9.

② GDPR第6条1(b):只有在适用以下至少一条的情况下,处理视为合法:处理是为履行数据主体参与的合同之必要,亦或处理是因数据主体在签订合同前的请求而采取的措施。

③ GDPR第7(4)条:当评估同意是否是自由作出时,应尽最大可能考虑,还应考虑合同的履行,包括服务的提供是否是基于对履行合同不必要的个人数据的同意。

① Article 29 Data Protection Working Party. Guidelines on Consent under Regulation 2016/679. P11.

② GDPR第17条第1款b项:数据主体有权要求控制者无不当延误地删除有关其的个人数据,并且在下列理由之一的情况下,控制者有义务无不当延误地删除个人数据:数据主体根据第6条第1款(a)项或第9条第2款(a)项撤回同意,并且在没有其他有关(数据)处理的法律依据的情况下。

①《规范》附录C说明6:附加业务功能是核心业务功能之外的其他功能,常见的附加业务功能如:提高产品(或服务)的使用体验的附加功能(如语音识别、图片识别、地理定位等)、提升产品(或服务)的安全机制的附加功能等(如收集密保邮箱、指纹等)。

《规范》附录C说明7:附加业务功能一般具有可选择、可退订、不影响核心业务等特点,个人信息控制者在识别附加业务功能时需要充分分析其是否具备这些特点,不得将附加业务功能等同于核心业务功能,强制收集个人敏感信息。

② 严少敏. 对用户知情同意规则的中国式探索兼论国标《个人信息安全规范》.http://www.dgcs-research.net/a/xueshuguandian/2018/0125/92.html.

③ GDPR第5(1b)条:个人数据应为特定的、明确的、合法的目的收集,并且不符合以上目的不得以一定的方式进行进一步的处理。

① Article 29 Data Protection Working Party. Guidelines on Consent under Regulation 2016/679. P13.

② Article 29 Data Protection Working Party. Guidelines on Consent under Regulation 2016/679. P14.

③ GDPR第13条为数据主体收集的个人数据的提供,14条为并非从数据主体处获得的个人数据的提供。

① GDPR第7(2)条:如数据主体通过书面声明的方式作出同意,且书面声明涉及其他事项,那么同意应以易于理解且与其他事项显著区别的形式呈现。构成违反本法的声明的任何部分,均不具约束力。

② 洪延青. 网络运营者隐私条款的多角色平衡和创新[J]. 网络空间战略论坛2017.9:46.

① 陈湉. 对隐私条款的再思考及国家标准《个人信息安全规范》的破局之路. http://www.yidianzixun.com/article/0IGxMGCE.

① Article 29 Data Protection Working Party. Guidelines on Consent under Regulation 2016/679. P16.

②《规范》3.6条:个人信息主体通过书面声明或主动做出肯定性动作,对其个人信息进行特定处理做出明确授权的行为。

③ 洪延青. 对“《个人信息安全规范》比欧盟与美国更严格”观点的几点回应.http://www.yidianzixun.com/article/0IJIuOEo.

①《网络安全法》第41条:网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。

②洪延青. 对“《个人信息安全规范》比欧盟与美国更严格”观点的几点回应.http://www.yidianzixun.com/article/0IJIuOEo.

③ Article 29 Data Protection Working Party. Guidelines on Consent under Regulation 2016/679. P24.

文章来源:张志安、卢家银主编:《互联网与国家治理发展报告(2018)》,社会科学文献出版社,第190-205页

本文仅作学习交流之用

声明:本文来自大数据和人工智能法律研究院,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。