知情同意是电信和互联网行业用户个人信息保护的核心制度之一,体现了用户作为个人信息主体的知情权和控制权。其确立缘由主要包括信息不对称及个人信息权的人格属性,国内外告知同意制度的立法发展趋势正是基于这两项缘由。
一、国内立法现状
用户同意正在成为收集、使用个人信息的国际普遍趋势,我国的几部涉及用户个人信息保护的法规也都规定了用户同意规则。
《网络安全法》第四十一条规定:“网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外”。
《全国人民代表大会常务委员会关于加强网络信息保护的决定》第二条规定:“网络服务提供者和其他企业事业单位在业务活动中收集、使用公民个人电子信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经被收集者同意,不得违反法律、法规的规定和双方的约定收集、使用信息”。
《电信和互联网用户个人信息保护规定》第九条规定:“未经用户同意,电信业务经营者、互联网信息服务提供者不得收集、使用用户个人信息。电信业务经营者、互联网信息服务提供者收集、使用用户个人信息的,应当明确告知用户收集、使用信息的目的、方式和范围,查询、更正信息的渠道以及拒绝提供信息的后果等事项”。
除上述法律法规外,《移动智能终端应用软件(APP)预置和分发管理暂行规定》也规定了生产企业和互联网信息服务提供者所提供移动智能终端应用软件未经明示且经用户同意,不得实施擅自采集使用用户个人信息。国标《信息安全技术 个人信息安全规范》根据个人信息收集和使用的必要性不同,将网络产品与服务的功能分为核心业务功能和附加业务功能,并以此为根据进行针对性通知。如果提供附加功能需要收集个人信息主体的敏感信息的,收集前应向个人信息主体逐一说明个人敏感信息为完成何种附加功能所必需,并允许个人信息主体逐项选择是否提供或同意自动采集个人敏感信息。当个人信息主体拒绝时,可不提供相应的附加功能,但不应以此为理由停止提供核心业务功能,并应保障相应的服务质量。
二、国外立法现状
(一)欧盟《一般数据保护条例》
欧盟的告知同意制度可以追溯到1995年公布的《个人数据保护指令》,该指令规定了采集个人信息应告知信息主体,未经同意个人信息不得公开或分享给第三方,但未规定这种同意是“明示同意”还是“默认同意”。2014年以来,欧盟相继出台了《电子通信监管机构2015-2017战略计划》、《单一数字市场》等重大措施,以促进用户权益的保护。
2016年,欧盟发布了《一般数据保护条例》(General Data Protection Regulation,简称GDPR),相比于上述几部指令,GDPR在告知同意上强调用户的“明示同意”,不认可任何形式的“缺省同意”、“默认同意”或“推定同意”,规定数据的操作者(data processor)在采集和使用个人信息前必须以一种明确清晰和可接受的方式主动询问消费者,充分明确告知采集内容和目的、使用方式,以便让用户自由的作出明确的意思表示。同时,用户的同意权必须包括“选择性加入”的形式,以便拥有撤销的权利。
(二)英国《个人数据保护法》
英国《个人数据保护法》(Data Protection Act 1998)规定,数据控制者只有在获得数据主体同意的情况下才可以收集和处理个人数据。因GDPR在法律意义上具有强制实施效力,无需转化为各国的国内法即可在28个成员国直接适用,英国尚未完成脱欧法定程序,故目前已经生效的GDPR仍适用于英国。
同时,英国还积极探索出台新的《数据保护法案》,以取代1998年《个人数据保护法》。新的数据保护法案认为,公众需要知道其个人数据是安全且被合理使用的,有关机构在使用个人信息时须严格保密。在“知情同意”制度方面,个人的“同意”更加严格,并增加了若干新的条件,例如要求同意必须是“明确且易于撤销的”。特别是当处理个人敏感数据时,“同意”必须非常明确。
(三)美国《加州消费者隐私权利法案》
《加州消费者隐私权利法案》(Consumer Privacy Bill of Rights)确立了以公平信息实践法则(FIPPs)为基础的三大原则,即个人控制、透明度、情境一致,让告知同意制度的适用更加适合大数据时代的需求。在提升个人控制方面:对于那些不与用户直接接触的第三方,只要其对信息的使用会对用户权益产生重大影响,也应该赋予用户选择权,用户有权撤销第三方对个人信息的使用,这种撤销方式应当与授权方式具有相同的便捷性。在透明度要求方面:企业必须公开与个人信息原定使用场景和用户预期不一致的使用行为。在场景一致方面:对已经存在服务关系,且在大众理解基础上的服务所必需使用个人信息的情境,无需用户同意,提升了用户同意与控制的针对性,打破了传统保护框架中过于依赖用户同意作为个人信息使用的授权。
三、国内外告知同意制度发展趋势
目前大数据技术正在朝向采集、使用和存储对用户没有直接联系的信息上来,因此需要更加关注对信息的使用一端,国内外告知同意制度发展朝着更加透明化、可操作、针对性的方向进行。
良好的透明度能够增进用户参与,延伸用户控制,是大数据时代隐私保护的核心手段,可以为用户做出更加科学的、更能对自身负责的选择提供要件。强化透明度要求意味用户有权无障碍的理解和获取有关个人隐私及其安全保障措施的信息组织必须清楚的说明所采集个人信息的种类、采集原因、用途、是否分享等。
在可操作性方面,要求企业能够以简洁易懂的方式告知并让用户做出选择,而非采用冗长晦涩的一揽子告知方式,告知形式必须让用户能够在获取企业服务的同时在所使用设备上阅读。
在针对性方面,美国以“响应场景中合理”的标准取代了传统意义上的用户同意,联邦贸易委员会发布的《宽带网络服务提供商隐私指导草案》认为,在用户与网络服务提供商之间达成关系时,已经默认网络服务提供商使用必要数据,无需用户额外同意。
结语:告知同意制度与网络信息安全、互联网金融、医疗健康、数据主权等领域息息相关,我国在进行制度架构时不仅要关注信息收集时的告知同意,在信息使用端需着墨更多,以良好的透明度、更简洁的表达、更具针对性的条文保障用户的知情同意权。
个人简介:
燕丽华:就职于浙江工业大学奉化智慧经济研究院产业与规划研究所,担任法律与政策研究员,从事规范性文件编写、个人信息保护等研究工作。
电子邮箱:yanlihua@caict.ac.cn
