下载掌阅APP,畅读海量书库
立即打开
个人同意规则是个人信息保护的基本规则,据学者考证,最早确认个人同意规则的是1970年德国黑森州的《数据保护法》。
从域外法的规定来看,各国大多确认了个人信息处理中的个人同意规则。当然,从各国(地区)的立法规定来看,其规定个人同意规则的做法存在一定的区别,具体而言主要有如下三种做法:
一是将个人同意与其他依法处理个人信息的事由合并规定。有的国家和地区在规定个人信息处理合法性事由时,将个人同意与其他合法性事由合并规定。例如,《韩国个人信息保护法》第15条对个人信息的收集和利用规则作出了规定,依据该条第1款第1项规定,在“经过信息主体同意的情形”下,个人信息处理者可以收集个人信息,并在其收集目的范围内使用。该条第1款第2~7项对各种不需要个人同意处理个人信息的法定情形作出了规定。又如,GDPR第6条第1款在列举个人信息个人数据处理的合法性事由时,在第a项即将“数据主体同意其个人数据为一个或者多个特定目的而处理”作为个人数据处理的合法性事由。该条第1款第b~f项对各类依法处理个人信息的情形作出了规定。
二是单独规定个人同意规则。有的国家(地区)在规定个人同意规则时,为了凸显个人同意在个人信息处理合法性事由中的基础性地位,单独规定了个人同意规则。例如,《日本个人信息保护法》第16条对个人信息处理的合法性事由作出了规定,该条前两款规定:“个人信息处理业者不得未事先取得本人的同意,而超出达到依照前一条的规定所特定的利用目的所必要的范围,处理个人信息。个人信息处理业者在因合并或其他事由而从其他个人信息处理业者处承受业务并取得个人信息后,不得未事先取得本人的同意,而超出达到业务承受前该个人信息的利用目的所必要的范围,处理个人信息。”该款规定专门就个人同意规则作出了较为具体的规定,该条第3款对不需要个人同意而处理个人信息的规则作出了规定。又如,《意大利个人数据保护法》第23条和第24条分别对基于个人同意处理个人数据的规则与不需要个人同意处理个人数据的规则作出了规定,该法第23条规定:“1.私人实体或营利性公共机构对个人数据的处理只有在数据主体明确同意的情况下才被允许。2.数据主体的同意可以指整个处理,也可以指其中的一项或多项操作。3.数据主体的同意仅在以下情况下才被视为有效:就明确标识的处理操作自由而具体地给予,如果以书面形式记录在案,并且如果数据主体已获得上述信息。4.如果处理涉及敏感数据,应以书面形式给予同意。”该法第24条对各类依法处理个人数据的规则作出了规定。再如,《爱沙尼亚个人数据保护法》第10条对处理个人数据的许可规则作出了规定,依据该条第1项规定,“除非法律另有规定,否则只有在数据主体同意的情况下才允许处理个人数据”。该法同样将个人同意作为依法处理个人数据的一般情形。
三是并未将个人同意作为依法处理个人信息的一般规则。有的国家(地区)的个人信息保护法立法在规定个人同意规则时,并未将个人同意作为个人信息处理的一般性规则。例如,美国尚未制定统一的个人信息保护法,而是在各个特别领域制定了相关的个人信息保护法律,其个人信息保护主要是通过市场和行业自律的方式实现的
,美国法在调整个人信息时,更注重对个人信息的利用
,因此,其并没有将个人同意作为处理个人信息的基础性规则。《美国统一个人数据保护法》第8条规定了不相容的数据实践规则
,该条第b款规定:“在收集数据主体的个人数据时,控制者向数据主体提供的通知与信息足以使数据主体认识到不相容数据实践的本质,并且赋予数据主体合理的不予同意的机会的,该控制者可以以不相容数据实践的方式处理个人数据,但是其中不得包含敏感数据。”该条第c款规定:“控制者不得以不相容数据实践的方式处理数据主体的敏感信息,除非每一个数据实践均取得信息主体的明确同意并且签名记录(a signed record)。”从该法规定来看,除个人予以拒绝外,数据控制者原则上可以处理敏感数据之外的其他个人数据。
从上述各国(地区)的规定来看,除个别国家(地区)并未将个人同意作为依法处理个人信息的一般规则外,绝大多数国家和地区都对个人同意规则作出了规定,而且从各国(地区)的规定来看,有的国家将个人同意规定为与其他依法处理个人信息的事由相并列的事由,凸显了个人同意在依法处理个人信息事由中的重要地位;有的国家(地区)的立法虽然没有单独规定个人同意规则,但其在规定依法处理个人信息的事由时,也将个人同意规则规定在各类依法处理个人信息的事由之首,这同样凸显了个人同意在依法处理个人信息事由体系中的重要地位。比较法上各国(地区)的做法具有合理性,其符合个人信息保护的基本原理,体现了强化个人信息自决权利保护的立法理念。
随着互联网、大数据产业的发展,个人信息的经济价值日益凸显,各类处理个人信息的行为以及由此引发的纠纷逐渐增多,我国相关立法也日益重视调整个人信息保护问题。关于个人信息处理活动中的个人同意,2012年的全国人民代表大会常务委员会《关于加强网络信息保护的决定》首次规定了个人信息处理中的个人同意规则。该决定第2条第1款规定:“网络服务提供者和其他企业事业单位在业务活动中收集、使用公民个人电子信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经被收集者同意,不得违反法律、法规的规定和双方的约定收集、使用信息。”该条明确规定了个人信息的收集、使用应当经被收集者同意,并将被收集者同意作为个人信息收集、使用的必要条件。2017年施行的《网络安全法》也对个人同意规则作出了规定,该法第41条规定:“网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。”依据该规定,网络运营者在收集、使用个人信息时,应当经被收集者同意;网络运营者在处理其保存的个人信息时,应当依据法律、行政法规和用户的约定。这实际上也要求个人信息的处理原则上应当取得用户的同意。同时,《网络安全法》还就网络用户个人信息共享情形下的个人同意规则作出了规定,该法第42条第1款规定:“网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。”个人信息共享行为性质上也属于个人信息处理行为,该条要求网络运营者在实施个人信息共享行为时应当取得个人同意,具有合理性,其实际上也是前述个人同意规则的一种具体化,该条对个人信息共享情形下的个人同意规则作出规定,不仅具有价值宣示意义,其也明确了网络运营者实施个人信息共享行为应当具备的条件,对于规范网络运营者共享用户个人信息的行为、强化个人信息保护具有重要意义。
在总结上述立法经验的基础上,《民法典》也对个人信息处理中的个人同意规则作出了规定,依据《民法典》第1035条的规定,在个人信息处理者处理个人信息时,除法律、行政法规另有规定外,应当征得个人或者其监护人的同意。同时,《民法典》第1036条在规定个人信息处理行为的合法性事由时,也首先规定了个人同意规则。此外,《民法典》第1038条还规定了个人信息共享情形下的个人同意规则,该条第1款规定:“信息处理者不得泄露或者篡改其收集、存储的个人信息;未经自然人同意,不得向他人非法提供其个人信息,但是经过加工无法识别特定个人且不能复原的除外。”
《个人信息保护法》同样对个人同意这一个人信息处理的基本规则作出了规定,从该法的规定来看,共有13个条文直接规定了个人同意规则(第13~16条、第22条、第23条、第25~27条、第29条、第31条、第39条、第47条),其范围涉及个人信息处理的规则(一般规定、敏感个人信息的处理规则)、个人信息跨境提供的规则、个人在个人信息处理活动中的权利等内容,具体包括个人信息处理行为的合法性、个人撤回同意、个人信息共享、个人单独同意、个人书面同意、个人信息公开、已公开个人信息的处理、个人信息跨境流动、敏感个人信息的处理、未成年人个人信息保护、个人信息的删除等内容。《个人信息保护法》中,虽然其他内容没有直接规定个人同意规则,但许多规则也涉及个人同意规则。例如,该法第一章(总则)规定了个人信息保护的基本规则,该法第5条规定:“处理个人信息应当遵循合法、正当、必要和诚信原则,不得通过误导、欺诈、胁迫等方式处理个人信息。”该原则涉及个人同意规则,如个人信息处理者通过欺诈、胁迫等方式使个人作出同意的,将影响个人同意的效力,并进而影响个人信息处理行为的合法性。又如,该法第七章规定了法律责任,该章第66条规定了违反该法规定处理个人信息的法律责任,也涉及个人同意规则,如个人信息处理者违反个人同意规则处理个人信息,其需要依据该规则承担法律责任。可见,个人同意规则作为个人信息保护的基本规则,是个人信息保护法的主线性规则,贯穿于《个人信息保护法》的全文,《个人信息保护法》对个人同意规则作出了系统、全面的规定,极大地丰富和发展了个人信息处理中的个人同意规则,对于强化个人信息权益保护、规范个人信息处理行为具有重要意义。
除上述立法和有关法律问题、重大问题的决定外,有关的行政法规、行政规章以及司法解释等也对个人同意规则作出了规定。例如,《生成式人工智能服务管理暂行办法》第7条规定,生成式人工智能服务提供者应当依法开展预训练、优化训练等训练数据处理活动,“涉及个人信息的,应当取得个人同意或者符合法律、行政法规规定的其他情形”。该条对生成式人工智能训练数据处理活动中的个人信息保护规则作出了规定,该条要求生成式人工智能服务提供者在实施该活动时应当依法取得个人同意,此种规定具有合理性,因为生成式人工智能在训练数据处理活动时,如果涉及个人信息,则其在性质上属于个人信息处理行为,除法律另有规定的情形外,该行为原则上应当取得个人的同意。又如,《征信业务管理办法》第13条规定:“征信机构通过信息提供者取得个人同意的,信息提供者应当向信息主体履行告知义务。”该条对征信机构通过信息提供者取得个人同意时信息提供者的告知义务作出了规定。再如,依据最高人民法院《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》(下文简称《人脸识别处理个人信息司法解释》)第2条的规定,信息处理者“基于个人同意处理人脸信息的,未征得自然人或者其监护人的单独同意,或者未按照法律、行政法规的规定征得自然人或者其监护人的书面同意”的,人民法院应当认定属于侵害自然人人格权益的行为。该条对人脸信息处理中的个人同意规则作出了规定,该条所规定的单独同意、书面同意等规则,均是个人同意规则的增强保障措施,其意在强化对个人人脸信息的保护。
从前述规定可以看出,我国法上个人同意规则的发展主要具有三个特征。
第一,从无到有,个人同意的体系日益完善。在大数据分析技术蓬勃发展之前,个人信息保护的必要性并未凸显,其主要是作为隐私权的客体受到法律保护的对象,但随着大数据分析技术的发展,个人信息保护的必要性也日益突出,自2012年的全国人民代表大会常务委员会《关于加强网络信息保护的决定》首次规定了个人信息处理中的个人同意规则以来,我国法上个人信息处理中的个人信息规则日益完善,《民法典》尤其是《个人信息保护法》,对个人同意规则作出了较为体系化的规定,确立了个人信息保护的基本规则;除《民法典》《个人信息保护法》外,有关的行政法规、行政规章以及司法解释等也对特殊情形下的个人信息处理中个人同意规则作出了规定,从而初步形成了由法律、行政法规、部门规章、司法解释等多个位阶的法律规范所构成的个人同意规则的规范体系。
第二,从简到繁,个人同意的规则日益丰富。我国早期的个人信息处理中的同意规则较为简略,其侧重于宣示个人信息处理活动应当经个人同意这一价值理念,没有规定较为细化的个人同意规则。随着个人信息处理实践的发展,我国法上的个人同意规则也日益丰富。例如,《个人信息保护法》除规定个人同意的一般规则外,还对个人信息共享、敏感个人信息处理、个人信息跨境流动等情形规定了特殊的个人同意规则;同时,《个人信息保护法》还细化了同意的形式,专门规定了个人单独同意、个人书面同意等特殊规则。除此之外,相关行政法规、司法解释等也就特殊个人信息处理场景下的个人同意规则作出了细化规定。可以预见的是,随着个人信息处理活动的发展,我国法上的个人信息处理中的个人同意规则将日益丰富。
第三,将个人同意规则作为最为重要的个人信息处理合法性事由加以规定。从前述立法规定来看,无论是《民法典》《个人信息保护法》,还是相关的部门规章、司法解释等法律规范,都将个人同意作为最为重要的个人信息处理规则加以规定,其他依法处理个人信息的规则不过是个人同意规则的例外情形,即只要法律、行政法规没有对个人信息处理者处理个人信息的规则作出特别规定,个人信息处理者处理个人信息前都应当取得个人同意。
从前述立法来看,无论是域外的个人信息保护法律制度,还是我国的个人信息保护法,均将个人同意作为依法处理个人信息最为重要的基础,此种做法具有合理性,其符合个人信息保护的特点。具体而言,个人同意作为依法处理个人信息事由的理论基础主要包括如下两点:一是维护个人的人格尊严,二是保护以人格尊严为基础的个人信息自决权利。
人格尊严是指作为法律主体得到承认和尊重的法律地位,是人作为人应当受到的尊重。
人格尊严是人作为社会关系主体的基本前提,是人格权法律制度的基石
,人格权制度的构建是以人格尊严的尊重与保护为中心而展开的。受传统伦理哲学观念的限制,人格尊严最初仅具有消极的内涵,其效力主要体现为人格尊严消极地不受侵害,并不具有积极利用的内涵。
按照康德伦理哲学的观点,没有理性的东西只具有一种相对的价值,只能作为手段,因此叫做物;而有理性的生灵叫做人,因为人以其本质为目的本身,而不能仅仅作为手段来使用。
人作为法权的主体,是他自己的主人,但不是他自己的所有者,人不能像支配财产一样随意处分自己,包括自己的身体,否则将导致“人之非人”
。康德提出的“人是目的”的思想成为尊重和保护人格尊严的哲学基础。由这一论点可以推出,人是法律的主体,是法律的目的,不能作为法律的手段,不能成为利用的对象。因此,人格尊严仅具有消极防御的效力,并不具有积极利用的内涵。为了防止“人的物化”,个人不能积极利用其生命、身体等人身利益。
但是,自19世纪末到20世纪中叶,世界政治经济格局发生巨大变迁,两次世界大战极大地冲击了旧有的社会观念和哲学体系,尤其在政治哲学和法律领域,反思与重建在战后成为一种趋势。以德国为例,在纳粹时代,纳粹政府主张“民族全体”高于一切,以虚拟的集体权威反对个体人格,将对个体人格的维护视为对民族整体利益的损害,并在法律领域取消了人格权。
[1]
纳粹德国败亡之后,德国思想界和学术界进行了深入而系统的反思,并逐步取得共识,认为传统意义上人格尊严消极地不受侵犯难以充分保障个人人格尊严,人格尊严的内涵发生了扩展,逐渐具有人格自由发展的内涵。例如,《德国基本法》第2条第1款规定:“只要未侵犯他人的权利,未抵触宪法规定以及未违背善良风俗,那么任何人都有权使其人格自由地形成和发展。”1948年的《世界人权宣言》第1条规定:“人人生而自由,在尊严和权利上一律平等……”学者也逐渐就人格尊严包含人格自由发展这一内涵达成共识。“人格自由发展”与“人格尊严不受侵犯”一起,共同构成了人格尊严的内涵。这也是学者所称的人格尊严的“积极面向”和“消极面向”
。与此相应,人格权制度也发生了一些变化,在人格权的效力方面,人格权逐渐具有积极利用的权能,如个人逐渐具有自主和自我决定的权利,人格权由消极防御性的权利逐渐转变为一项主观权利。
如Ahrens认为,应该从更深的视角去理解人格权,人格权的效力并不仅仅在于保护个人的人格权免遭他人的侵害,还在于保护个人自我决定的可能,即在最大程度上保障个人自我实现。
[2]
在具体人格权的类型方面,随着人格权中积极利用和自主决定权能的发展,人格权的内涵逐渐丰富。除传统的肖像权、姓名权之外,一些新的人格权也不断出现,如隐私权、名誉权、个人信息权、信用权等。
在个人信息处理活动中,将个人信息作为个人信息处理行为合法性的基础,本质上是为了维护个人的人格尊严。个人信息作为一项人格利益,其与个人的人格尊严保护存在直接关联,对个人信息的保护彰显的正是对个人人格尊严的保护。
就前述人格尊严的消极面向而言,强调个人信息处理行为原则上应当取得个人同意,有利于防止行为人未经许可擅自处理他人的个人信息,从而维护个人的个人信息权益、隐私权等权益不受侵害。而就人格尊严的积极面向而言,将个人同意作为个人信息处理活动的合法性基础,不仅承认了个人信息的积极利用权能,而且能够使个人积极控制其个人信息的利用行为,即个人有权自主决定由哪些个人信息处理者处理其个人信息,并有权自主决定个人信息处理者在何种期限内、以何种方式处理其哪些个人信息,这既凸显了个人信息的主观权利属性,也有利于保护个人的自我决定和自我实现。
信息自决权(informational self-determination right)是指个人有权自主决定其个人信息是否被处理,以及处理的方式、范围等内容。
对个人信息自决权的保护也是个人信息保护的重要理论基础。最先提出信息自决概念的是德国学者马尔曼(Christoph Mallmann)教授,其主张个人与外界交流的唯一手段是自我表现,而个人的自我表现本质上是对个人信息的使用。
据此,马尔曼教授就将个人对其个人信息的控制与利用上升到了人格构建和人格发展的层面,凸显了个人信息自决对个人人格自由发展的重要意义。事实上,对信息自决权的保护也体现了对个人人格尊严的保护,即承认个人对其个人信息的自主决定,体现了对个人人格尊严的尊重与保护。
[3]
我国《民法典》《个人信息保护法》在规定个人信息保护制度时,也将保护信息自决权作为构建个人信息保护制度与规则的理论基础。例如,《个人信息保护法》第49条规定了死者个人信息保护规则,该规则的设计体现了对个人信息自决权的保护。个人信息自决不仅体现为个人在生存期间内有权决定其个人信息的处理问题,而且体现为个人有权在生前决定其死后个人信息的处理。换言之,个人对其死后个人信息处理的决定也应当是个人信息自决的当然组成部分,相关主体按照死者生前意愿处理其个人信息本质上是死者生前信息自决的一种延伸。从域外法的规定来看,一些国家的立法也允许死者生前对其死后个人信息的处理作出安排,其目的也在于强化对个人信息自决的保护。例如,《法国民法典》1978年的改革没有为死者个人信息提供保护,但该做法被后来的《数字共和国法》以及《个人数据保护法》修改,如依据《数字共和国法》第20条规定,个人可以在生前就其死后个人信息的储存以及流转等作出安排,个人可以通过向法国国家信息自由委员会或者个人信息处理者发送有关处理其个人信息的说明,也可以指定负责执行其指示的人员;同时,依据上述法律的规定,如果个人没有预先作出安排,则其继承人也可以对死者个人信息行使删除、修改等权利。 [4] 我国《个人信息保护法》第49条对死者个人信息保护作出规定,将个人对其个人信息的自我决定从生前延伸到死后,同时,其在保护死者个人信息时,特别强调对死者生前意愿的尊重与保护,也意在进一步强化对个人信息自决权的保护。
就个人信息处理活动而言,我国《民法典》《个人信息保护法》等将个人同意作为个人信息处理行为最为重要的合法性基础,体现了对个人信息自决权的保护,即除法律另有规定外,个人信息处理者处理个人信息应当取得个人的同意。信息自决权并非仅具有消极防御的效力,其也包含积极利用的内涵。基于个人信息自决权,个人可以自主决定其个人信息是否被处理,以及允许个人信息处理者在何种期限内、以何种方式处理其哪些个人信息。
如前所述,在个人信息处理活动中,个人同意是依法处理个人信息的基础性规则,我国相关的立法、司法解释在规定个人信息保护规则时,均强调个人信息的收集与利用原则上应当取得被收集者的同意。例如,依据全国人民代表大会常务委员会《关于加强网络信息保护的决定》第2条的规定,网络服务提供者和其他企业事业单位在业务活动中收集、使用个人电子信息时,除应当遵循合法、正当、必要等原则外,还应当取得被收集者的同意。又如,依据《网络安全法》第41条,网络运营者在收集、使用个人信息时,既需要遵循合法、正当、必要等原则,又需要“经被收集者同意”;网络运营者在处理其保存的个人信息时,除了依照法律、行政法规规定外,还必须依据“与用户的约定”进行。该条实际上也强调个人信息的收集与利用应当取得被收集者同意。也有学者认为,违反个人同意收集和利用个人信息,即属于非法收集和利用个人信息。
笔者认为,从《民法典》《个人信息保护法》等法律的规定来看,其在规定个人信息处理的合法性事由时,并没有限于个人同意,因此,在解释上应当认定,个人同意并非个人信息处理行为的唯一合法事由,从个人信息保护与利用的层面看,此种规定也具有合理性阐述如下。
第一,一概要求个人信息的处理需要个人同意,可能不当影响个人信息的有效利用。21世纪是互联网时代,也是大数据时代,大数据时代的到来预示着信息化的发展进入了新的历史阶段。正如有学者指出,每个时代都有其最具代表性的历史标签,19世纪是煤炭和蒸汽机,20世纪是内燃机、石油和电力,而21世纪则是大数据,大数据是21世纪的“石油”和“金矿”,是提升国家综合国力的关键资源。
个人信息中包含巨大的经济价值,能够为企业带来客观的经济效益。
[5]
例如,通过对用户的个人消费习惯信息进行整合分析,企业可以准确定位市场需求,并在此基础上妥当安排和调整其经营计划,这有利于提高企业的市场竞争力。也正是因为这一原因,收集、利用用户的个人信息也成为许多企业的经营战略。
[6]
有效利用个人信息,发掘其经济效用,是大数据时代的必然要求
,而大数据分析作为一种技术手段,其有效运用依赖于由海量信息汇聚而成的“大数据”。数据的流通既是信息再利用的形式,又是信息再利用的条件。数据的流通与获取是信息有效利用的前提,如果个人信息数据无法流通、无法获取,大数据产业也将成为无水之源。
因此,要求所有的个人信息收集、利用行为都必须取得权利人的同意,一方面,可能使个人信息的收集与利用变得极为困难,这将从源头上减少可供分析的个人信息数量,从而造成所谓的“信息孤岛”现象,影响大数据技术的有效运用。另一方面,此种做法会增加个人信息收集与利用的成本,影响个人信息的利用效率。
第二,要求个人信息的处理一概需要个人同意的正当性不足。根据学者的考证,各国和各地区立法保护个人信息主要源于对隐私权保护的需要
,即通过规范个人信息收集与利用行为,弥补既有法律规则对隐私权保护的不足,从而强化对个人信息中包含的个人隐私利益的保护。笔者认为,个人信息是独立于隐私权的人格利益,其保护的理论基础并不在于保护个人的隐私权,而在于维护个人的人格尊严与个人信息自决权,但即便从隐私权保护的角度而言,也并不意味着所有个人信息的收集、利用都必须经过被收集者同意,因为并非所有的个人信息都涉及个人隐私。隐私主要是一种私密信息或者私人活动,凡是个人不愿意公开披露且不涉及公共利益的部分都可以成为个人隐私。
而《个人信息保护法》第4条第1款规定:“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息……”个人信息主要包括自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等信息。可见,与隐私的私密性不同,个人信息的侧重点在于身份的识别性。
个人信息的外延是十分宽泛的,只要是能够直接或者间接识别出个人身份的信息,都可以纳入个人信息的范畴,其中许多个人信息并不属于个人隐私。正如有学者所言,“有的个人信息特别是涉及个人私生活的敏感信息属于个人隐私,但也有一些个人信息因高度公开而不属于隐私”
。因此,就不涉及个人隐私的个人信息而言,对其进行收集与利用并不当然导致对个人隐私权的侵害,要求此类信息的收集一概征得被收集者的同意并不妥当。
第三,要求个人信息处理行为一概需要个人同意,有违个人信息立法的发展趋势。从比较法来看,个人信息的保护主要有两种模式,即美国的“特别立法+经营者自律”模式与欧洲的政府主导立法模式。美国尚未制定统一的个人信息保护法,而是在各个特别领域制定了相关的个人信息保护法律,其个人信息保护主要是通过市场和行业自律的方式实现的
;而欧洲法主要通过个人信息数据保护指令与各个成员国立法的方式保护个人信息。
两种模式相比较,美国法更注重对个人信息的利用,而欧洲法则更加注重对信息主体权利的保护。
但即便是在格外强调对个人信息权利进行保护的欧洲,也并非所有的个人信息收集与利用行为都需要经过被收集者的同意。GDPR第6条对合法处理个人信息的行为作出了规定,该条列举了多种合法处理个人信息的行为,个人同意只是其情形之一。基于公共利益、他人的合法权益甚至经济利益方面因素的考虑
,都可以对个人信息进行处理和利用。可见,个人信息保护立法总的发展趋势是强化对个人信息的利用
,而不是一概要求个人信息的处理和利用等都必须经过个人同意。
如前所述,在个人信息处理活动中,强调个人同意的重要性意在维护个人的人格尊严与个人信息自决,这也是法律保护个人信息最为根本的原因。在这一意义上,虽然个人信息只是处理个人信息的合法性事由之一,但不应当将其与其他依法处理个人信息事由的地位等同,个人同意应当是处理个人信息最为重要的合法性事由。
如前所述,从各国和地区的立法规定来看,在规定个人同意规则时,都强调了个人同意规则的重要地位。有的国家立法在规定个人信息处理的合法性事由时,单独规定了个人同意规则,而将其他依法处理个人信息的事由进行合并规定,如《日本个人信息保护法》与《意大利个人数据保护法》这实际上凸显了个人同意规则的重要性。有的国家和地区的立法虽然没有单独规定个人同意规则,而将其与其他依法处理个人信息的事由合并在一起规定,但其在列举依法处理个人信息的事由时,也将个人同意规则置于最靠前的位置,如GDPR《韩国个人信息保护法》等,这也凸显了个人同意在个人信息处理合法性事由体系中的重要地位。
我国《民法典》与《个人信息保护法》在规定个人同意规则时,采取了前述后一种做法,即将个人同意规则与其他依法处理个人信息的事由合并规定。且与前述做法类似,我国《民法典》《个人信息保护法》将个人同意置于各类依法处理个人信息事由的首位予以规定,这也凸显了个人同意的重要地位。
从《民法典》《个人信息保护法》的规定来看,其虽然将个人同意与其他个人信息处理的合法性事由合并规定在同一个法条中,从法律适用层面看,个人同意与其他依法处理个人信息的事由存在一定的区别。
一方面,二者的适用条件不同。个人同意之外的依法处理个人信息的事由,其适用需要具备法律规定的条件。例如,就履行法定职责或者法定义务所必需的处理个人信息的行为而言,实施个人信息处理行为必须是为了履行法定职责或者法定义务,并且只有在履行法定职责或者法定义务必需的情形下,个人信息处理者才能处理相关的个人信息。虽然基于个人同意处理其个人信息也需要依法取得个人的同意,其也需要符合法律规定的条件,但个人可以与个人信息处理者约定个人信息处理的具体事项,这体现了对当事人意思自治的尊重与保护,与其他依法处理个人信息的情形存在明显区别。同时,由于依法处理个人信息的各种情形属于法律规定的例外情形,为了防止其适用范围被不当扩大、变相架空个人同意规则的适用,应当对其适用条件进行严格把握。
另一方面,二者的适用范围不同。如前所述,就依法处理个人信息的各种事由而言,其仅适用于法律规定的特定情形,适用范围较为狭窄;而对基于个人同意而处理个人信息的情形而言,其适用范围较为广泛,个人信息处理者可以基于各种合法需要与个人就个人信息处理作出约定,并基于个人同意处理相关的个人信息。
此外,二者的适用顺序也不同。虽然基于个人同意处理个人信息是依法处理个人信息的一般情形,基于法律规定处理个人信息是例外情形,但在当事人就处理个人信息的合法性发生争议的情形下,首先应当看个人信息处理者处理个人信息是否已经取得个人同意,如果已经取得个人同意,则不需要考虑其他个人信息处理的法定事由;如果个人信息处理者并未取得个人同意,就要看其是否符合依法处理个人信息的情形,进而认定相关的个人信息处理行为是否具有合法性。因此,与法律适用从特殊规则到一般规则的适用规则不同,在判断个人信息处理行为合法性时,一般遵循的是从个人同意这一一般情形到法律规定这一特殊情形的判断顺序。
可见,个人同意不仅是依法处理个人信息最为重要的事由,而且是依法处理个人信息的一般情形。从《民法典》《个人信息保护法》等法律的规定来看,除依法不需要取得个人同意的情形外,个人信息处理者处理个人信息均需要取得个人的同意。
我国《民法典》《个人信息保护法》虽然都对基于个人同意处理个人信息的规则作出了规定,但关于个人同意的性质,立法并未作出明确规定。从学理层面看,学者主要从侵权与合同两个层面观察个人同意的性质。从侵权的层面看,个人同意应当具有阻却违法的效力,换言之,在个人作出同意后,个人信息处理者处理其个人信息的行为即具有了合法性,不再构成侵权,个人信息处理者也无须对此承担侵权责任。
对于个人同意具有的阻却违法的效力,理论上并不存在大的争议。
而从合同的层面看,个人同意是否为意思表示?在个人作出同意后,能否在个人与个人信息处理者之间成立合同关系?对此存在较大争议。
在个人信息处理过程中,关于个人同意在性质上是否为意思表示,存在不同观点。一是肯定说。此种观点认为,个人同意在性质上属于意思表示,同时,为了保证个人同意的有效性,个人在作出同意的意思表示时应当是自由的。因此,意思表示的效力规则也应当适用于同意行为,如果个人在作出同意时受到欺诈或者胁迫,则可能导致个人同意的意思表示在效力上存在瑕疵。
个人同意个人信息处理者处理其个人信息体现了个人的自主、自治,同意的法律后果也是基于当事人的意思而产生的。
按照上述观点,个人同意在性质上属于意思表示,应当适用意思表示的相关规则认定个人同意的效力。二是否定说。此种观点认为,个人信息处理活动中,在获得个人同意后,个人信息处理者即享有处理个人信息的特权,个人同意在性质上属于侵权法意义上的责任抗辩事由,即“受害人同意”
。从消极的层面看,个人同意属于违法阻却事由,而从积极的层面看,个人同意是个人信息处理活动的合法根据,不属于意思表示。
从我国《个人信息保护法》的立法过程来看,《个人信息保护法》(草案一审稿)曾经将个人同意规定为意思表示,该草案第14条第1款第一句规定:“处理个人信息的同意,应当由个人在充分知情的前提下,自愿、明确作出意思表示。”但后来《个人信息保护法》删除了这一表述。对于《个人信息保护法》立法过程中的此种变化,有观点认为,《个人信息保护法》删除了草案规定个人同意为意思表示的规则,表明立法机关放弃了意思表示说的立场。
但也有学者主张,这一立法变化只是表明立法者回避了个人同意的定性问题,不能当然认定立法否定了同意的意思表示属性。
应当看到,《个人信息保护法》虽然没有明确保留草案中将个人同意明确规定为意思表示的规则,但也没有明确否定其意思表示的属性。
意思表示是民事法律行为的核心要素,个人作出意思表示的意图在于使法律关系发生变动,而且只要当事人追求的意图不违反法律、行政法规的强制性规定和公序良俗,通常即可产生当事人所预期的效力。
同时,当事人实施民事法律行为是按照其意愿来安排相关的利益关系,即相关的法律效果是当事人主动追求的,而非法律直接规定的,这也是民事法律行为与事实行为的重要区别。
笔者认为,从个人同意的理论基础和实践情况来看,应当将其认定为意思表示更为妥当,主要理由有两点:一方面,个人同意会引起民事权利义务关系的变化。就个人信息处理活动而言,个人同意实际上是对个人信息处理者处理其个人信息作出了授权
[7]
这将在个人与个人信息处理者之间产生一定的权利义务关系,就个人信息处理者而言,其因个人授权取得处理相关个人信息的权利;而对个人而言,个人信息处理者在其同意的范围内处理其个人信息时,其负有容忍的义务。上述权利、义务的产生均源于个人同意。另一方面,上述民事权利义务关系的变化是当事人意欲追求的结果。在个人信息处理活动中,多数情形下,虽然个人并非主动作出同意,主要基于个人信息处理者的要求而同意
[8]
,但个人在作出同意时,也意在赋予个人信息处理者处理其个人信息的权利,个人信息处理者在授权范围内实施个人信息处理行为时,其负有容忍的义务。个人在同意时对这一法律效果是明知的。这是个人作出同意时主动追求的效果,也是个人行使信息自决权的重要体现。
此外,将个人同意界定为意思表示,即使其可以成为个人积极利用其个人信息的媒介。有观点主张,在不同情形下同意的性质和效力存在一定的区别。在某些情形下,其只具有排除行为人行为不法性的效力,如个人在医疗行为中作出的同意,仅具有排除医务人员行为不法性的效力;而在某些情形下,同意不仅具有排除行为人行为不法性的作用,而且具有积极利用其人格利益的功能。
此种观点值得赞同,就个人信息处理活动而言,个人同意不仅具有排除个人信息处理者行为不法性的作用,还体现了个人对其个人信息的积极利用,主要理由有两点。
一方面,个人信息并非纯粹精神性人格利益,也包含一定的财产价值。按照传统观点,人格权在性质上属于纯粹精神性权利,不包含财产价值,在人格权遭受侵害时,权利人也仅能主张精神损害赔偿,而无权主张财产损失赔偿。
随着人格利益许可使用制度的发展,人格权中的财产利益逐步受到法律保护。个人信息同样如此,一般认为,个人信息并非纯粹的精神性人格利益,其也包含一定的财产价值
,而有效发挥个人信息的财产价值是大数据产业发展的重要基础。《民法典》第993条规定:“民事主体可以将自己的姓名、名称、肖像等许可他人使用,但是依照法律规定或者根据其性质不得许可的除外。”一般认为,此处“依照法律规定或者根据其性质不得许可”的人格利益主要是生命、身体、健康等物质性人格利益,不包括个人信息。这也为个人许可个人信息处理者利用其个人信息提供了法律依据。
另一方面,个人同意个人信息处理者处理其个人信息,也体现了个人对其个人信息中财产利益的积极利用。个人对其个人信息的积极利用本质上是个人行使其个人信息自决权的一种体现,即个人有权自主决定其个人信息的利用方式,有权自主决定个人信息处理者在何种范围内、何种期限内、以何种方式处理其个人信息,而在个人信息处理活动中,这种自主决定权就主要以个人同意的方式实现。有观点认为,由于个人在个人信息处理流程中通常处于弱势地位,可供其选择的信息处理目的并不具有明显的获益性,更多的是承担风险和代价,此种情形下个人行使的是防御性的个人信息权益,而非主动行使自己的信息权益。
此种观点具有一定的合理性,但即便个人同意在此种情形下不具有明显的获益性,个人在作出同意时仍然有权自主决定同意个人信息处理者在何种范围内、以何种方式处理其个人信息,这仍然是个人积极行使个人信息权益的一种体现,其与个人信息权益遭受侵害后个人寻求侵权救济这种消极防御方式存在明显区别。可见,个人同意同时体现了个人对其个人信息的消极和积极控制,个人同意并不仅具有排除个人信息处理者个人信息处理行为不法性的效力,其也体现了个人对其个人信息的积极利用。
关于个人同意在合同层面的意义,有观点认为,在个人信息处理活动中,个人同意可能成为合同给付内容的一部分
;虽然同意与合同缔结行为可能是同时作出的,甚至是在同一份文件中作出的,但同意不同于合同缔结行为,应当对二者进行严格区分。缔约行为产生的是合同法上的权利义务关系,而同意使个人信息处理者取得针对个人信息的介入权限。
按照此种观点,个人同意并非缔约行为,而属于合同履行行为。笔者认为,此种观点值得商榷,主要理由如下所述。
第一,个人同意是合同订立的重要环节。从实践来看,个人信息处理者一般通过网络服务协议或者网络隐私政策公示其个人信息处理内容,个人的同意通常也体现为对网络服务协议或者网络隐私政策中有关个人信息处理条款的同意
,在个人同意后,即可在个人与个人信息处理者之间成立合同关系。
[9]
因此,个人同意本身是合同订立的重要环节,此种合同关系的成立采取的仍然是要约、承诺的方式,个人信息处理者通过网络服务协议或者网络隐私政策对个人公示相关的个人信息处理规则应当构成要约,而个人同意应当属于承诺,该承诺生效后,当事人之间的合同关系即成立。当然,在个人作出同意后,并不意味相关文件的所有条款都可以成为合同的内容
[10]
,尤其是网络隐私政策,其中可能包含大量的企业自律规则,或者与个人信息处理无关的条款,个人信息处理者公示此类内容,可能是出于依法、合规处理个人信息的需要
[11]
,而不是为了与个人订立合同关系。从个人信息处理的层面而言,个人作出同意后,即意味当事人就相关的个人信息处理规则达成了合意,此时可认定当事人之间成立了合同关系。
第二,个人同意并非合同履行行为。按照前述观点,个人同意赋予了个人信息处理者处理个人信息的权限,其在性质上属于合同履行行为。
此种观点具有一定的合理性,如果当事人事先在合同中约定,个人应当在合同履行过程中同意个人信息处理者处理其个人信息,此时,个人同意在性质上即属于合同履行行为。但此种情形较为少见,在个人信息处理过程中,个人同意通常体现为对网络服务协议或者网络隐私政策中个人信息处理条款的同意,个人同意与合同订立通常是同时发生的,个人同意个人信息处理者处理其个人信息的同时,当事人之间的合同关系随之成立。换言之,在个人作出同意前,当事人之间并不存在合同关系,更不可能事先约定个人负有作出此种同意的义务。
当然,在特殊情形下,个人也可能在合同履行阶段作出同意,例如,在合同履行过程中,个人在使用某种特殊的网络服务功能时,可能需要专门授权个人信息处理者处理其特殊类型的个人信息,如个人在使用某购物App时,如果需要该App向其推送附近的商家,就可能需要单独同意个人信息处理者处理其地理位置信息、购物偏好信息等。虽然此种个人同意行为发生在合同履行阶段,但个人在使用该项特殊的网络服务之前,当事人并未就个人同意个人信息处理者处理其特定个人信息作出约定,因此,不宜将此种个人同意认定为合同履行行为。笔者认为,此种情形下,应当认定当事人之间就相关个人信息的处理订立了新的合同关系,即个人在使用该特定网络服务功能之前,个人信息处理者就个人信息处理对个人作出的提示在性质上属于要约,个人同意在性质上属于承诺,该承诺生效后,即在当事人之间就该特殊类型的个人信息处理成立合同关系。
第三,个人同意本质上是个人对个人信息处理者处理其个人信息的许可,与其他人格利益的许可使用并不存在本质差别,应当进行同样的法律评价。在个人信息处理活动中,个人同意实质上是对个人信息处理者处理处理其个人信息的一种许可,除个人信息外,许多人格利益如姓名、肖像等,也都存在许可使用的现象。个人信息许可使用与其他人格利益的许可使用的外在表现形式存在一定的区别。一方面,对姓名、肖像等人格利益的许可使用而言,当事人通常会就此类人格利益的许可使用专门订立合同;而就个人信息的许可使用而言,当事人通常并不是就个人信息的许可使用专门订立合同,当事人的合意通常体现为就网络服务协议或者网络隐私政策中相关个人信息处理条款达成合意。另一方面,对姓名、肖像等人格利益的许可使用而言,当事人约定的被许可使用的人格利益具有单一性,即通常仅包括姓名或者肖像等某一特定的人格利益;而对个人信息许可使用而言,当事人通常会约定个人信息处理者有权处理个人的多种个人信息,被许可使用的个人信息的范围较广、类型较多,如当事人可能在一份网络协议中约定个人信息处理者有权处理个人的年龄、地址、消费习惯、电话号码、电子邮箱地址等多种个人信息。此外,姓名、肖像等人格利益的许可使用通常是有偿的,被许可人通常需要向权利人支付一定的许可使用费;而在个人信息许可使用的情形下,个人信息处理者通常并没有向个人支付相应的许可使用费。
尽管二者存在上述区别,但并不影响二者在功能和本质属性上的一致:无论是个人信息的许可使用,还是姓名、肖像等人格利益的许可使用,当事人对特定人格利益的许可使用实际上都存在合意,并且当事人都是通过要约、承诺的方式达成合意。
无论是个人同意个人信息处理者处理其个人信息,还是个人同意受许人利用其姓名、肖像等人格利益,实际上都存在个人对相对人的赋权行为,即赋予相对人利用其特定人格利益的权利。二者均体现了个人对其特定人格利益的积极利用,个人作出同意或者许可后,都可以产生前述违法阻却的效力,也都体现了个人对其人格利益的积极利用。因此,应当对个人信息许可使用与姓名、肖像等的许可使用进行同样的法律评价,既然姓名、肖像等人格利益的许可使用可以在当事人之间成立合同关系,也应当认定,在个人同意后,可以在个人与个人信息处理者之间成立合同关系。
就个人信息处理活动而言,个人同意后,对个人与个人信息处理者产生一定的效力。
在个人作出同意后,对个人主要产生两方面的效力。
一是个人应当受到其同意的拘束。在个人同意个人信息处理者处理其个人信息后,个人应当受到其同意的拘束,如前所述,个人同意在合同法与侵权法层面均会产生相应的效力。在合同法层面,个人在作出同意后,将在个人与个人信息处理者之间成立合同关系,个人有权按照网络服务协议、网络隐私政策等协议的约定利用个人信息处理者提供的网络服务或者产品等,而其也应当允许个人信息处理者在其同意的范围内实施个人信息处理行为。在侵权法层面,个人同意个人信息处理者处理其个人信息将成立受害人同意,具有阻却违法的效力。所谓受害人同意,是指权利人就他人针对自己民事权益的侵权行为或者将要对自己民事权益造成的特定的损害后果予以同意并表现于外部的意愿。
虽然我国《民法典》侵权责任编没有将受害人同意规定为独立的免责事由,但我国《民法典》在一些具体情形中对受害人同意作出了规定。例如,依据《民法典》第1219条第1款规定:“医务人员在诊疗活动中应当向患者说明病情和医疗措施。需要实施手术、特殊检查、特殊治疗的,医务人员应当及时向患者具体说明医疗风险、替代医疗方案等情况,并取得其明确同意;不能或者不宜向患者说明的,应当向患者的近亲属说明,并取得其明确同意。”在取得患者或者其近亲属明确同意的情形下,即便相关医疗措施造成患者损害,患者也无权请求医疗机构承担侵权责任。对个人信息处理活动而言,个人同意也会产生阻却违法的效力,对于个人信息处理者在约定范围内处理其个人信息的行为,个人不得请求个人信息处理者承担侵权责任。
二是个人享有任意撤回同意的权利。在个人作出同意后,虽然应当受到其同意意思表示的拘束,但为了保障个人的信息自决权,保障个人对其个人信息处理行为的控制和决定权,《个人信息保护法》第15条规定了个人撤回同意的规则。该规则的确立体现了个人信息权益优先于债权受到法律保护的理念,值得赞同。依据该规定,在个人作出同意后,其有权随时撤回同意而无须任何理由。而个人撤回同意后,也无须再受其同意的意思表示的拘束。
在个人作出同意后,对个人信息处理者主要产生如下效力。
一是个人信息处理者有权基于个人同意实施相关的个人信息处理行为。依据《民法典》第1035条与《个人信息保护法》第13条,个人的同意为个人信息处理者实施个人信息处理行为的合法性事由,因此,在个人作出同意后,个人信息处理者可以基于个人的同意实施相关的个人信息处理行为,不构成对个人信息的侵害,也无须就个人信息处理行为承担民事责任。当然,个人信息作为人格利益,具有人身专属性,个人同意个人信息处理者处理其个人信息,不会因此导致个人信息的移转,个人信息处理者仅享有合同债权。
在第三人未经许可利用相关个人信息的情形下,即便个人对个人信息处理者进行的是专有许可,个人信息处理者也无权请求第三人承担民事责任,仅个人有权依法请求第三人承担民事责任。当然,如果第三人实施的个人信息处理行为构成对个人信息处理者数据权益的侵害,如第三人非法爬取个人信息处理者的数据,其中包含相关的个人信息,个人信息处理者有权以其数据权益遭受侵害为由请求行为人承担民事责任。例如,在北京知识产权法院审结的“上诉人北京创锐文化传媒有限公司(简称创锐公司)与被上诉人北京微播视界科技有限公司(简称微播公司)不正当竞争纠纷案”中,微播公司在经营过程中,收集、存储、加工、传输了抖音平台数据,形成了包括抖音平台的用户信息、短视频、用户评论所构成的数据集合,该数据集合具有规模集聚效应,为微播公司带来了巨大的经济利益,在市场竞争中形成竞争优势。创锐公司未经微播公司许可,直接爬取了微播公司平台数据集合中的5万余条短视频文件、1万多个用户信息、127条用户评论内容,并在刷宝App进行展示和传播。微播公司主张创锐公司的行为构成不正当竞争,并请求其承担民事责任。法院认为,涉案数据集合对于微播公司具有独立的商业价值,微播公司享有反不正当竞争法保护的合法权益,创锐公司的行为构成不正当竞争,因此判决驳回上诉,维持原判。
在该案中,创锐公司非法爬取微播公司的数据,也构成对其数据权益的侵害。
在此情形下,个人与个人信息处理者请求权的救济对象不同,应当可以同时主张。当然,在行为人侵害个人信息处理者所处理的个人数据时,个人与个人信息处理者在损害的认定、侵权责任的承担方式、损害赔偿数额的确定等方面存在区别,在具体适用时需要进行必要的区分。例如,个人在主张财产损害赔偿时,确定财产损害赔偿数额的依据应当是《民法典》第1182条与《个人信息保护法》第69条,具体可以主张按照实际损失赔偿,按照行为人获利赔偿,或者由法院酌定赔偿数额;而个人信息处理者在主张财产损害赔偿时,由于数据权益在性质上属于财产权益,因此应当依据《民法典》第1184条关于侵害财产权益的损害赔偿规则确定赔偿数额,具体按照损失发生时的市场价格或者其他合理方式计算财产损失数额。
二是个人信息处理者仅能在个人同意的范围内实施个人信息处理行为。在个人作出同意后,个人信息处理者仅有权在个人同意的范围内实施个人信息处理行为,个人信息处理者处理个人信息的类型、范围以及处理个人信息的方式、期限等,均不得超出个人同意的范围。例如,如果个人信息仅同意个人信息处理者自己实施相关的个人信息处理行为,而没有赋予个人信息处理者共享个人信息的权利,则个人信息处理者就只能自己处理相关的个人信息,而不得将向其他个人信息处理者提供个人信息。又如,个人仅同意个人信息处理者在特定期间内实施个人信息处理行为,该期限届满后,个人信息处理者即不得再实施相关的个人信息处理行为。个人信息处理者超出个人同意范围处理相关个人信息的,其行为不再具有合法性,个人既有权依法请求个人信息处理者承担违约责任,又有权依法请求个人信息处理者承担侵权责任等民事责任。
三是个人信息处理者超越同意范围实施个人信息处理行为的,应当取得个人的同意。在个人作出同意后,如果个人信息处理者要超出个人同意的范围实施个人信息处理行为,其应当依据法律规定取得个人同意。例如,在前例中,个人并未同意个人信息处理者实施个人信息共享行为,个人信息处理者需要实施个人信息共享行为的,应当对个人尽到告知义务,并依据法律规定取得个人的单独同意。对此,《个人信息保护法》第23条第一句规定:“个人信息处理者向其他个人信息处理者提供其处理的个人信息的,应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意。”
[1] 德国民族社会党(纳粹党)的主张是:“人民全体的利益高于一切……据此,任何人都对于人民全体具有某种价值;此种价值相互配合,并可以根据其文化上、经济上和道德上的贡献进行计量,但于此亦须考虑其负面,也即,若某人与人民为敌或其行为有害于人民,则此种价值会有所降低甚至消失。”Heinz Hermann, Das Allgemeine Persönlichkeitsrecht , Walter,1935,S.26.
[2] Claus Ahrens, Die Verwertung persönlichkeitsrechtlicher Positionen ,Ergon (2002),S.375.
[3] See Edward J.Eberle, “ The Right to Information Self-Determination ”, Utah Law Review , Vol.2001, Issue 4 (2001), p.968;贺栩栩:《比较法上的个人数据信息自决权》,载《比较法研究》2013年第2期,第66页。
[4] See Asta Tubaite-Stalauskiene, “Data Protection Post-Mortem”, International Comparative Jurisprudence , Vol.4, Issue 2 (2018), pp.99-100.除法国法外,其他一些国家(地区)的立法也对死者个人信息保护规则作出了规定。例如,依据《爱沙尼亚个人数据保护法》第13条第1款的规定,在信息主体死亡后,除法律规定的情形外,行为人处理与该信息主体相关的个人信息应当取得信息主体的继承人、配偶、后代或者长辈、兄弟姐妹的书面同意。
[5] Schwartz, Paul M., “Property, Privacy, and Personal Data”, Harvard Law Review , Vol.117, 2004, pp.2056-2128.
[6] See Michael P. Goodyear, “Circumscribing the Spider: Trademark Law and the Edge of Data Scraping”, University of Kansas Law Review , Vol. 70, Issue 2 (December 2021), p.328.
[7] Brendon Beheshti, “Cross-Jurisdictional Variation in Internet Contract Regulation”, Journal of International Commercial Law and Technology , Vol.8, Issue 1 (2013),p.52.
[8] See Paul M.Schwartz & Daniel J.Solove, “The PII Problem: Privacy and a New Concept of Personally Identifiable Information”, New York University Law Review , Vol.86, Issue 6C(2011), pp.1814-1894.
[9] Scott Killingsworth, “Minding Your own Business: Privacy Policies in Principle and in Practice”, Journal of Intellectual Property Law , Vol.7, Issue 1 (1999),p.91;谈咏梅、钱小平:“我国网站隐私保护政策完善之建议”,载《现代情报》2006年第1期,第216页。
[10] Daniel J.Solove,Woodrow Hartzog, “The FTC and the New Common Law of Privacy”, Columbia Law Review ,Vol.114,Issue 3 (2014),p.595.
[11] Ian King, “On-Line Privacy in Europe-New Regulation for Cookies”, Information & Communications Technology Law , Vol.12, Issue 3 (2003),p.234.从我国现行立法规定来看,个人信息处理者在处理个人信息时,也应当公开其个人信息处理规则,《个人信息保护法》第7条规定,“处理个人信息应当遵循公开、透明原则,公开个人信息处理规则,明示处理的目的、方式和范围”。个人信息处理者通过网络服务协议或者网络隐私政策公示其个人信息处理规则,也是为了满足该条所规定的公开、透明原则。