下载掌阅APP,畅读海量书库
立即打开
同意规则最初是作为生物医学伦理领域对个人进行医疗活动和医学试验的法定必要条件,规定一切以人体为对象的医疗活动、临床试验、医学研究等活动须以个人的同意为前提。此后,新兴信息技术带来了对传统个人信息收集和使用的挑战,同意规则适用转入个人信息法律规制领域,成为个人信息处理者实施个人信息处理行为的合法化事由。个人信息保护领域的同意规则的基本内容,反映出同意制度的法律原理是个人对与其有关的信息承担不利后果或风险的一种容忍态度或者意愿。全面梳理同意规则的规范演进过程,有助于厘清同意规则的相关制度设计,作为探究同意法理基础和法律效果的规范依据。在世界各国家(地区)的个人信息保护法体系中,对于同意规则的法理基础以及法律效果尚无统一规定,理论界也并未有针对此项内容进行深入研究,因此本章对于确立个人信息保护中同意规则的法理基础进而推导出法律效果的内容具有参考价值。
从当前个人信息保护法律规范对于同意的要求来看,同意规则既不是私法上的主体权利保护规范,也不是构成个人信息处理行为合法性的实体要件。对于同意规则的法律定位应当是:各国个人信息保护的基本原则和个人信息处理的合法性基础,同意并非个人信息处理行为合法性的实体构成要件,其仅具有保障程序正当性的作用。从规范模式上看,同意规则属于行为规制保护模式,即通过设定个人信息处理行为的合法性标准以及个人信息主体享有的各项权利和个人信息处理者应承担义务的方式,来规范个人信息的正常使用秩序。
[1] Onora O'Neill. Autonomy and Trust in Bioethics . Cambridge University Press, 2002, p.1.
[2] Neil C. Manson, Onora O'Neill. Rethinking Informed Consent in Bioethics . Cambridge University Press, 2007, p.4.
[3] Van Dijk, Pieter et al. Theory and Practice of the European Convention on Human Rights . Oxford, 2006, p.665.
[4] Cannataci, Joseph A. Privacy and Data Protection Law: International Developments and Maltese Perspectives . Norwegian University Press, 1987, p.54.
[5] US Department of Health Education. Records, Computers and the Rights of Citizens . MIT Press, 1973.
[6] US Department of Health, Education & Welfare. Records, Computers and the Rights of Citizens . MIT Press, 1973.
[7] Eleni Kosta. Consent in European Data Protection Law. Nijhoff Studies in EU Law , Vol.3, 2013, p.34.
[8] Omer Tene. Privacy Law's Midlife Crisis: A Critical Assessment of the Second Wave of Global Privacy Laws. Ohio State Law Journal , Vol.74, 2013, p.1220.
[9] Deirdre K. Mulligan & Jennifer King. Bridging the Gap Between Privacy and Design. U. Pa. J. Const. L. , Vol.14, 2012, p.999.
[10] Fred H. Cate. The Failure of Fair Information Practice Principles, in Jane K. Winn ed. Consumer Protection in the Age of the“Information Economy” . Routledge, 2006, pp. 356-357.
[11] Federal Data Protection Act (BDSG) , Article 4, http://www.gesetze-im-internet.de/englisch_bdsg/englisch_bdsg.pdf.《联邦数据保护法》第4条第1款规定:“只有在本法或者其他法律条文允许或者规定,或者数据主体已经同意时,个人数据的收集、处理和使用才是被许可的”。第2款规定:“个人数据应该从数据主体处收集,只有在下列情形中,才可以进行没有数据主体参与的收集:①法律明文规定或者强制许可此种收集;②(a)应执行的行政职责的性质或者商业目的使从其他个人或者机构处收集数据成为必要,(b)从数据主体处收集数据需要付出不成比例的代价,并且没有迹象表明数据主体主要的合法利益受到了侵害。”参见刘金瑞:《德国联邦数据保护法2017年版译本及历次修改简介》,方小敏:《中德法学论坛》(第14辑·下卷),法律出版社2018年版,第343—388页。
[12] Data Protection Act , Article 84(2).
[13] Data Protection Act , Article 35(2).
[14] “敏感个人数据”是指涉及个人种族或种族起源、政治观点、宗教或者哲学信仰、社团身份、能够辨识个人的基因或生物数据、健康数据,以及性生活或性取向等信息。参见 Data Protection Act , Article 35(8).
[15] Data Protection Act , Article 35(4)(5).
[16] Data Protection Act , Article 99(1).
[17] Data Protection Act , Article 94(2).
[18] Data Protection Act , Article 94(6).
[19] Data Protection Act , Article 94(9).
[20] Shara Monteleone. Addressing the Failure of Informed Consent in Online Data Protection: Learning the Lessons from Behaviour-Aware Regulation. Syracuse Journal of International Law and Commerce , Vol.43, No.1, 2015. pp.69-120.
[21] General Data Protection Regulation , Article 4(11).
[22] General Data Protection Regulation , Article 7(3).
[23] Section 3(b) Conditions of Disclosure, the US Privacy Act of 1974.
[24] Section 3(b) Conditions of Disclosure, the US Privacy Act of 1974 .
[25] The White House. Consumer Privacy Bill of Rights Act of 2015 .