下载掌阅APP,畅读海量书库
立即打开
在我国,随着计算机技术手段的高速发展,如何保障网络信息安全以及公民、法人和其他组织的合法权益,维护国家安全和社会公共利益成为社会重点关切问题。早在2012年,全国人大常委会通过了《关于加强网络信息保护的决定》,首次确立了网络服务提供者和其他企业事业单位在业务活动中收集、使用公民个人电子信息时,应当遵守的基本原则和基本要求。基本原则包括合法、正当、必要三项原则;基本要求是应当向个人信息主体明示告知收集、使用信息的目的、方式和范围,并且应当经过个人的同意。此外,对个人信息的收集和使用还需满足不得违反法律、法规的规定和双方的约定的要求。这一规定首开收集和使用公民个人信息应当经被收集者同意之先河,基本确立了个人信息收集和使用的同意规则,为其后的法律规范、国家标准关于同意原则的规范奠定了基础,成为其他法律规范文本的基本范式。
在消费者保护领域,《消费者权益保护法》作为保护消费者基本权益的基本法,同时涵盖了对消费者的个人信息的合法保护,规定经营者收集和使用消费者个人信息时应当遵循的基本原则和基本要求,其规定内容与《关于加强网络信息保护的决定》的内容一致。此外,还补充规定了在经营者没有获得消费者的同意,或者消费者明确表示拒绝时,不得向消费者发送商业性信息的规范条款,成为经营者在经营活动中应当履行的一项法定义务。
2016年《网络安全法》将个人信息收集和使用的基本原则以及同意规则落实在网络运营活动中,其第41条沿袭《关于加强网络信息保护的决定》的内容,未进行任何修改;第42条进一步明确了“未经收集者同意,不得向他人提供个人信息”。由此,各类主体收集、利用个人信息的基本原则和要求大体形成:基本原则为:合法、正当、必要;收集、利用个人信息的要求为:公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经信息主体同意。《网络安全法》将同意作为收集、利用个人信息的唯一合法性基础。
2020年5月28日,十三届全国人大三次会议通过《中华人民共和国民法典》(简称《民法典》),首部《民法典》的诞生标志着我国迎来“民法典时代”。《民法典》共设七编,其中单独规定一章对“隐私权和个人信息保护”作出了全面系统的规范。依据《民法典·总则》提出的保护个人信息的要义,《民法典·人格权编》第六章通过8个条文分别确立了对隐私权和个人信息的私法保护,尤其确立了个人信息作为一项新型人格权益的合法地位,其中对个人信息保护的内容主要集中在第1034—1039条,包括:对个人信息的定义;
处理个人信息的基本原则和必要条件;
实施处理个人信息行为的免责事由;
个人信息主体的合法权利例如查阅、复制权及更正与删除权;
个人信息收集者和处理者应承担的义务,
以及国家机关及其工作人员对个人信息的保密义务。
而个人信息保护规范建构中最能践行这一理念的便是同意原则,即个人信息的收集、处理等行为经个人信息主体同意的法律规范。关于个人信息主体的同意原则首见于《民法典·人格权编》第1035条,其不仅明确了收集、处理自然人的个人信息应遵循合法、正当、必要原则,而且应当符合以下四项条件:①征得该自然人或者其监护人同意,但是法律、行政法规另有规定的除外;②公开处理个人信息的规则;③明示处理个人信息的目的、方式和范围;④不违反法律、行政法规的规定和双方的约定。从语义表达上看,这四项要件需同时满足方可对个人信息进行处理,假如缺少或违反任何一项要求,都可能构成违法行为。从逻辑顺序上看,“自然人或其监护人同意”成为四项要件之首,也是民法规定唯一一项个人信息处理的合法性事由,即必要条件。
而《民法典》第1037条对同意法律效果的规定不同于第1035条,其并未从正面约束个人信息处理者的信息处理行为,而是列举了三项个人信息处理者可以免于承担民事责任的事由(即免责事由),其中第一项即个人信息主体或其监护人的同意。与2014年《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》相比,《民法典》1037条将规范行为的范围扩大,适用情形仅用“收集、处理自然人个人信息”表述,既包括依托互联网进行的个人信息收集、处理活动,又将线下个人信息收集、处理行为
纳入法律规制,而对后者的采集通过人们参与社会活动方式获得,是人类社会生活中不可或缺的重要个人信息来源。此外,1037条对个人信息主体做出同意的形式并无限制,放宽单一的书面同意形式的限制更具合理性和现实可行性。
2021年4月29日,备受关注的《中华人民共和国个人信息保护法》(简称《个人信息保护法》)由第十三届全国人大常委会第二十八次会议审议并发布第二次审议稿,并于4月29日—5月28日期间向全社会征求意见。《个人信息保护法》为我国建立良善的个人信息利用和流通秩序奠定了基础,其内容总共包括八章,分别是总则、个人信息处理规则、个人信息跨境提供的规则、个人在个人信息处理活动中的权利、个人信息处理者的义务、履行个人信息保护职责的部门、法律责任以及附则。总体来看,其既规定了个人信息主体的法定权利和个人信息处理者的法定义务及责任,也规定了个人信息处理活动应遵循的基本原则和行为规范,全面、细致地确立了我国个人信息处理行为的法律规范依据。
关于《个人信息保护法》(审议稿)的讨论持续进行,其中关注焦点之一便是贯穿整部法律的同意规则。从体系结构上看,同意规则在总则中的个人信息处理基本原则和一般规则、特殊类型个人信息的处理规则、个人信息跨境传输的规则、个人信息主体的权利章节中均有规定。
在个人信息处理的基本原则规定上,《个人信息保护法》第6条规定:“处理个人信息应当具有明确、合理的目的,并应当限于实现处理目的所必要的最小范围、采取对个人权益影响最小的方式,不得进行与处理目的无关的个人信息处理。”同意须针对明确、合理的个人信息处理目的,这是对于同意实质要件的要求,并应当进一步符合目的限定的要求。第7条规定:“处理个人信息应当遵循公开、透明的原则,公开个人信息处理规则,明示处理的目的、方式和范围。”这一条是对知情的要求,体现为个人信息处理者应当履行告知个人信息处理规则及公开、透明的个人信息处理义务。总则部分虽然是对个人信息处理活动基本原则的规定,但暗含了同意规则的具体要求,需要在整个个人信息处理活动过程中贯彻落实。
在个人信息处理的一般规则中,《个人信息保护法》确立了全面的同意规则,其第13条扩充了《民法典》1035条的内容。第14条是对同意的全面规定,包含两层含义:一是对同意的具体要求,应当满足知情、自愿、明确的要求,而对于同意的一般形式并未直接规定,只在特殊法定情况下需要符合单独同意或书面同意要求;二是需要重新取得同意的情形,由于个人信息处理的目的、方式、种类发生变更,其与之前个人信息主体掌握的情况不同,因此是否可以合法处理个人信息就还需要再次征得个人同意。第15条关注未成年人个人信息权益,其规定划分未成年人是否具有同意能力的界线是14周岁,与法律行为能力的规定有明显区别,可以看出,立法者对于同意能力的理解与民法上行为能力的理解不同。第16、17条确立了个人信息主体享有撤回同意的自由,并且对个人信息处理者提出限制要求时不得以个人拒绝同意或撤回同意为由拒绝提供产品或者服务,旨在建立真正符合自由要件要求的同意规范。当下很多商品或服务均设置了使用限制,如果用户不点击“同意”便无法获取基本的商品或者服务,而这一现象在《个人信息保护法》的规定下无疑是应当被禁止的。《个人信息保护法》的另一亮点是充分规定了个人信息处理者的告知义务内容,具体体现在第18、19条的规定,包括告知的时间点、告知的要求、告知的形式和告知的具体内容,以及不需要告知的特殊情形。此外,第22条规定了对个人信息转委托处理需要经个人处理者的同意;第24、28、30条规定了个人信息处理者向第三方提供个人信息、公开个人信息、处理敏感个人信息时应当取得个人同意的规则。
通观《个人信息保护法》全文,几乎可以得出这样的结论:个人信息处理活动以同意规则为核心行为规则,从个人信息处理的事前、事中、事后建立了全面的同意规制模式,并且对于同意的要求有较为详细的规定,具有可操作性。然而,对同意的法律效果较《民法典》而言没有发展。总之,在立法层面我国对于个人信息保护同意规则的法律效果为空白。
在电信和互联网领域,为保护用户的个人信息,工业和信息化部于2013年发布了《电信和互联网用户个人信息保护规定》,其第9条规定在未取得用户同意的前提下,电信业务经营者和互联网信息服务的提供者不得收集、使用用户个人信息的基本规则。同年颁布的《征信业管理条例》第13、14、16、20条规定,征信机构收集个人信息、利用个人信息、向他人提供信息必须经过信息主体的同意。上述两份规范性文件的内容均与《关于加强网络信息保护的决定》一脉相承。
为对未成年人个人信息权益提供充分保障,2019年国家互联网信息办公室审议通过了《儿童个人信息网络保护规定》,以“保护儿童个人信息安全,促进儿童健康成长”为基本目标,其第7条确立了网络运营者收集、存储、使用、转移、披露儿童个人信息的五项基本原则,即正当必要原则、知情同意原则、目的明确原则、安全保障原则、依法利用原则。第9条规定网络运营者应当以显著、清晰的方式告知儿童的监护人并征得其同意,依据第10条的规定,如果告知事项发生实质性变化,应当再次征得监护人的同意;同时,该条明确强调网络运营者在征得同意时,应当同时提供拒绝选项。
在司法解释层面,2014年最高人民法院《关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》
一改以往法律及行业规范的表述方式,并未从正面规定收集、使用个人信息须经被收集者同意,而是将自然人的书面同意列为一项行为人免于承担侵权责任的合法事由。这一规定涵盖的个人信息利用行为仅为网络用户或网络服务提供者利用网络公开个人信息,因其列举的个人信息多涉及隐私,对外公开后可能造成他人隐私利益受损,所以,为平衡信息主体与网络服务提供者之间的利益,将当事人同意列为一项可以免除网络服务提供者侵权责任的事由实属合情、合理之举。
在国家标准层面,涉及个人信息利用及保护的国家标准主要有:《信息安全技术公共及商用服务信息系统个人信息保护指南(GB/Z 28828—2012)》(简称《个人信息保护指南》)和《信息安全技术个人信息安全规范(GB/T 35273—2020)》(简称《个人信息安全规范》)。2012年,《个人信息保护指南》就明确在处理个人信息前要征得个人信息主体的同意,同意的形式既包括默许同意,也包括明示同意。
此外,还将个人信息分为个人一般信息与个人敏感信息两类。收集个人一般信息,既可以明示同意,也可以默许同意,但在收集个人敏感信息时,必须要得到主体的明示同意。2017年,《个人信息安全规范》除提出收集个人敏感信息时的明示同意规定
外,还对明示同意进行了定义并举例,即“个人信息主体通过书面声明或主动做出肯定性动作,对其个人信息进行特定处理做出明确授权的行为”,其中书面声明,即书面形式的同意,而肯定性动作包括“个人信息主体主动作出声明(电子或纸质形式)、主动勾选、主动点击‘同意’‘注册’‘发送’‘拨打’等”。
此外,《个人信息安全规范》规定的个人信息安全基本原则中有两条与同意有关,分别是选择同意原则和最少够用原则。选择同意原则要求“向个人信息主体明示个人信息处理目的、方式、范围、规则等,征求其授权同意”;最少够用原则规定:“除与个人信息主体另有约定外,只处理满足个人信息主体授权同意的目的所需的最少个人信息类型和数量。目的达成后,应及时根据约定删除个人信息。”
需指出的是,虽然《个人信息保护指南》和《个人信息安全规范》对同意的形式及告知的内容作出了比较细致的规定,但未有任何关于同意法律效果的规范性表达。