论大数据时代的用户同意机制

《论大数据时代的用户同意机制》由会员分享，可在线阅读，更多相关《论大数据时代的用户同意机制（15页珍藏版）》请在金锄头文库上搜索。

1、简析大数据时代的用户同意机制大数据时代，信息保护与数据利用之间的矛盾日益突显。2019 年 8月 8日，信息安全技术移动互联网应用（App）收集个人信息基本规范（草案）面向 社会公开征求意见，草案中明确要求，“对外共享、转让个人信息前，App应事 先征得用户明示同意”。另外，网络安全法第41条也指出：“网络运营者收集、 使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示 收集、使用信息的目的、方式和范围，并经被收集者同意。”但该条遵循的是“知 情同意”模式，并未对同意机制进行明确，亦未对合法、正当、必要原则作出界 定，相反，“知情同意”模式大大限制了数据的利用效率。可见，完

2、善用户同意 机制，不仅是有效平衡两者矛盾的重要途径，更是当务之急。好在，欧盟于 2016 年4 月14 日通过的通用数据保护条例和我国于 2017 年12月29日发布的信息安全技术 个人信息安全规范都关注到了这一问题， 分别对用户同意机制作出了一些创新性的规定，对进一步完善该机制具有重要启 发意义。一、概述信息安全技术 个人信息安全规范（下称规范在定义个人信息时，将其区分为非敏感个人信息和个人敏感信息，个人信息控制者在收集前者时往往 只需要取得授权同意，而在收集后者时则需要取得明示同意。同时，规范又 根据某一功能在所提供产品或服务中的重要程度，将其分为核心业务功能和附加 功能：“产品或服务如提

3、供其他附加功能，需要收集个人敏感信息时，收集前应 向个人信息主体逐一说明个人敏感信息为完成何种附加功能所必需，并允许个人 信息主体逐项选择是否提供或同意自动采集个人敏感信息。当个人信息主体拒绝 时，可不提供相应的附加功能，但不应以此为理由停止提供核心业务功能，并应 保障相应的服务质量。”这就表明，用户在使用一项产品或服务时，除该产品或 服务所必须收集的个人敏感信息外，只有当用户选择使用附加功能，并且该附加 功能需要收集个人敏感信息时，个人信息控制者才需要向个人信息主体逐一说明 并取得明示同意。采用这种方式，既保障了用户的知情权和选择权，又提高了数 据的利用效率。欧盟通用数据保护条例（下称GDP

4、R）第4 （11 ）条规定：“数据主体的 同意是指数据主体依照其意愿自愿做出的任何指定的、具体的、知情的及明 确的指示。通过声明或明确肯定的行为作出的这种指示，意味着其同意与他或她 有关的个人数据被处理。”除获得数据主体的“同意”外，GDPR第6 （1）条还 规定了其他五种视为合法处理个人数据的情形：“（b）处理是为履行数据主体参 与的合同之必要，亦或处理是因数据主体在签订合同前的请求而采取的措施；（c） 处理是为履行控制者所服从的法律义务之必要；（d）处理是为了保护数据主体或 另一个自然人的切身利益之必要；（e）处理是为了执行公共利益领域的任务或行 使控制者既定的公务职权之必要；（f）处理是

5、控制者或者第三方为了追求合法利 益的之必要，但此利益被要求保护个人数据的数据主体的利益或基本权利以及自 由覆盖的除外，尤其是数据主体为儿童的情形下。”我国规范也在第 5.4 条 中规定了 11 种无需征得个人信息主体授权同意即可收集、使用个人信息的情形。 这样的规定，在一定程度上平衡了用户同意与其他合法利益，同样也从另一个角 度证明了用户同意与其他合法利益的平等法律地位。下文，将结合我国规范及欧盟GDPR，简析用户同意机制的有效性。二、被充分告知是“同意”的前提条件GDPR第7 （2）条规定，“如数据主体通过书面声明的方式作出同意，且书 面声明涉及其他事项，那么同意应以易于理解且与其他事项显著

6、区别的形式呈 现。”结合GDPR的序言及其他相关规定，这意味着数据控制者在征求用户同意 时，首先要确保文本是易于普通人理解的，而不能以只有专业人士才能理解的晦 涩语言展现；其次如果文本中还包含大量与“同意”无关的其他内容，则应将“同 意”在文本中以显著的方式突出，或作为单独的文档，而不能仅以文本的一段普 通内容展现。我国规范第4 条明确规定，个人信息控制者开展个人信息处理活动，应 当遵守公开透明原则，即“以明确、易懂和合理的方式公开处理个人信息的范围、 目的、规则等，并接受外部监督”。第5.3条也规定，“收集个人信息前，应向个 人信息主体明确告知所提供产品或服务的不同业务功能分别收集的个人信息

7、类 型，以及收集、使用个人信息的规则，并获得个人信息主体的授权同意。” 另外，规范还在附录 C 中举例了保障个人信息主体选择同意权的方法， 并“建议个人信息控制者采用分阶段、分窗口、分屏幕等方式向个人信息主体展 示”同意的内容。以这种方式展示的内容虽非隐私政策本身，但却浓缩了隐私政 策的核心内容，以显著方式突出展示了用户最关心的信息。这样做的好处是，即 使用户没有阅读隐私政策文本，但通过这一展示，也能了解到隐私政策的关键、 核心内容，了解到风险较高的个人信息处理行为。这也是“充分告知”在实践中 的具体体现。三、明确的意思表示是“同意”的应有之义我国规范及欧盟GDPR中都规定了 “明示同意”(e

8、xplicit consent)和“授 权同意(unambiguous consent)两种同意方式，但具体定义却不同。GDPR中 的“明示同意”指明确写着“同意”字样让用户点击或勾选，而“授权同意”则 指通过点击“发送”或者点击“拨打”等动作表明同意，但并不出现明文同意。首先明确了明示同意的定义。同意包括书面声明和主动做出的肯定性动作, 其中肯定性动作包括个人信息主体主动作出声明(电子或纸质形式)、主动勾选、 主动点击“同意”、“注册”、“发送”、“拨打”等。在收集个人敏感信息时需要获 得明示同意。但我国规范中的“明示同意”与欧盟的“明示同意”范围不同。规范 的起草者洪延青指出：“GDPR中

9、有两种同意的方式，一种是明示同意(explicit consent)，指明确写着“我同意”的字样让用户点击或勾选。而另一种是授权同 意(unambiguous consent)，指通过点击“发送”或者点击“拨打”等动作表明 同意，但并不出现明文同意。我国规范将这两种同意合并称为“明示同 意”，范围比欧盟的更为宽泛。”其次，我国规范中并未提及到默示同意，而是采用“授权同意”方式， 并将GDPR中考虑“正当利益”的部分归入到授权同意的例外中。洪延青解释： “首先，未提及默示同意，而采用授权同意是怕企业会滥用默示同意。其次， 目前承认授权同意，是希望互联网企业做到明示同意，但如果现实大量的场 景做不

10、到明示同意的话，还是需要用到授权同意的。”而采用“授权同意例外” 的列举方式而不是“正当利益”的灵活方式，是为了不超出网络安全法的框 架，网安法原文中规定的是“经被收集者同意”，而并未出现“或其他正当事由”的字眼。所以为与网安法保持一致，并未采纳正当利益的说法。四、能自由作出是“同意”的必要保障2017年11月28日，欧盟“第29条”工作组（WP29）发布关于同意的指 南（以下简称指南），对欧盟一般数据保护条例（GDPR）中的同意机 制做出了具体指导。判断同意是否有效必须要求其是自由做出的；明确特定的； 充分告知的并且是不含糊的意思表示。欧盟指南对每一标准进行了详细解释， 并进行了举例说明。“

11、自由做出”意味着对数据主体的真正选择和控制。作为一般规则， GDPR 规定，如果用户没有真正的选择权，即如果他们不同意则会承担消极后果，那么 同意将是无效的。如果将同意作为一种条款中不可协商的捆绑部分，那么推定 为没有自由给出。因此，如果数据主体无法在不受损失的情况下拒绝或撤回其同 意，则不会认定这种同意是自由的。（一）权力失衡情况下同意很难自由做出在权力失衡的情况下，数据主体很难真正自由地做出同意。例如，当数据控 制者为政府时，政府不可能只依靠同意进行处理个人信息，此时数据控制者与数 据主体之间的关系往往存在明显的权力失衡。在大多数情况下，数据主体除了接 受数据控制者的条款外，没有其他可行的

12、选择。但在 GDPR 的法律框架之下， 并不完全排除政府将同意作为数据处理基础的合法性。举例说明，某地市政正在 规划道路维修工程，由于道路工程可能会长时间中断交通，市政当局为其市民提 供电子邮件订阅服务，以获取工程进度和预计延误的最新信息。市政当局明确表 示市民没有参加订阅的义务，并要求同意将电子邮件地址用于此专用目的。不同 意的公民不会错过市政府的任何核心服务或行使任何权利，因此他们能够自由地 接受或拒绝同意使用这些数据。这种情形中，市民的同意是自由做出的，并不 受权力失衡的影响。另外，在雇佣关系中也会出现权力失衡。鉴于雇佣关系造成的依赖性，数据 主体不可能拒绝同意他的雇主进行数据处理，且不

13、担心拒绝同意而造成的不利影 响。员工不可能在不感到任何压力的情况下自由地回应其雇主的同意请求。因此， 29 条工作组认为雇主以同意为基础，处理雇员的个人数据存在问题，因为它不 可能是自由的。然而，同样这也并不意味着雇主绝对不能以同意作为处理数据 信息的合法基础。比如，摄制组将在办公室的某个部分进行拍摄。雇主要求所有 坐在该区域的员工同意拍摄，因为他们可能会出现在视频背景中。那些不想被拍 摄的人不会受到任何影响，在拍摄期间雇主会为他们在大楼的其他地方安排相同 的办公室。在这种情形下，无论员工是否同意，都不会产生任何不利后果，此 时的同意可以证明是由员工自由做出的。当然，除了政府与市民、雇主与雇员

14、的关系背景，还有其他情况会产生权力 的失衡。此时，就要特别注意如果有任何强迫，压力或无法行使自由意志的情况， 同意都将会是不自由的。（二）“限制性”同意被认为是不自由的将同意与接受条款“捆绑”，或将合同条款、服务与要求同意处理接受该项 服务非必需的个人数据的请求“打包”在一起，是不被允许的。如果同意是在这 种情况下做出的，则推定它不是自由的。为处理个人数据征得的同意不能直接或 间接地成为合同的对待履行，不能以履行合同为交换条件强制客户同意处理不必 要的个人数据。评估是否出现“捆绑”或“打包”的情况，确定合同或服务的范围很重要。根据29 条工作组的意见，“履行合同所必需的”一词需要严格解释。对数

15、据的处 理必须是为了履行与每个单独数据主体的合同所必要的。例如，公司需要获取员 工的银行账户信息，以便支付工资。在数据处理和履行合同之间必须要有直接 的客观的联系，这种情况下，处理是为履行数据主体参与的合同之必要则不需 要其他的合法基础。但由于合同履行的必要性不是处理特殊类别数据的法律依据 因此注意处理的数据是否为特殊类别的数据，对于数据控制者而言尤为重要。将“限制性”作为同意是否自由的判断标准，则要求这一条件的审查需要十 分严格。GDPR第7 (4)条中使用的“最大可能”一词不是绝对的，因此由 于这种状况导致同意无效的情况可能会非常有限。GDPR的一般原则是举证责任 在数据控制者一方，在此款

16、适用时，数据控制者要证明同意是由数据主题自由做 出的将更加困难。然而，数据控制者可能会辩称，他们为数据主体提供了自由的 选择。一方面，用户可以选择接受包括同意将数据用于其他目的处理的服务，另 一方面，也可以拒绝同意而选择其他同等服务。因此，在用户拒绝同意的情况下， 只要数据控制者有可能履行合同，就意味着该服务不是限制性的。前提是这两种 服务都需要具有真正的等效性，不需要支付额外费用。(三) 同意包含多个目的时必须是可分的一项服务可能涉及用于多个目的多项数据处理操作。在这种情况下，数据主 体应该可以自由选择他们接受的目的，而不必同意一揽子处理。 GDPR 绪言 43 条(Recital 43)解释说，如果获得同意的程序不允许数据主体对个人数据处理分 别做出同意，则认为同意不会被自由做出。绪言 32 条指出“同意应包含为同一 或不同目进行