论大数据时代的用户同意机制.pdfVIP

简析大数据时代的用户同意机制 大数据时代，信息保护与数据利用之间的矛盾日益突显。2019年8月8 日， 《信息安全技术移动互联网应用（App）收集个人信息基本规范（草案）》面向 社会公开征求意见，草案中明确要求，“对外共享、转让个人信息前，App 应事 先征得用户明示同意”。另外，《网络安全法》第41条也指出：“网络运营者收集、 使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示 收集、使用信息的目的、方式和范围，并经被收集者同意。”但该条遵循的是“知 情同意”模式，并未对同意机制进行明确，亦未对合法、正当、必要原则作出界 定，相反，“知情同意”模式大大限制了数据的利用效率。可见，完善用户同意 机制，不仅是有效平衡两者矛盾的重要途径，更是当务之急。 好在，欧盟于2016年4月14 日通过的《通用数据保护条例》和我国于2017 年12月29 日发布的《信息安全技术个人信息安全规范》都关注到了这一问题， 分别对用户同意机制作出了一些创新性的规定，对进一步完善该机制具有重要启 发意义。 一、概述 《信息安全技术个人信息安全规范》（下称《规范》）在定义个人信息时， 将其区分为非敏感个人信息和个人敏感信息，个人信息控制者在收集前者时往往 只需要取得授权同意，而在收集后者时则需要取得明示同意。同时，《规范》又 根据某一功能在所提供产品或服务中的重要程度，将其分为核心业务功能和附加 功能：“产品或服务如提供其他附加功能，需要收集个人敏感信息时，收集前应 向个人信息主体逐一说明个人敏感信息为完成何种附加功能所必需，并允许个人 信息主体逐项选择是否提供或同意自动采集个人敏感信息。当个人信息主体拒绝 时，可不提供相应的附加功能，但不应以此为理由停止提供核心业务功能，并应 保障相应的服务质量。”这就表明，用户在使用一项产品或服务时，除该产品或 服务所必须收集的个人敏感信息外，只有当用户选择使用附加功能，并且该附加 功能需要收集个人敏感信息时，个人信息控制者才需要向个人信息主体逐一说明 并取得明示同意。采用这种方式，既保障了用户的知情权和选择权，又提高了数 据的利用效率。 欧盟《通用数据保护条例》（下称GDPR）第4 （11）条规定：“数据主体的 ‘同意’是指数据主体依照其意愿自愿做出的任何指定的、具体的、知情的及明 确的指示。通过声明或明确肯定的行为作出的这种指示，意味着其同意与他或她 有关的个人数据被处理。”除获得数据主体的“同意”外，GDPR第6 （1）条还 规定了其他五种视为合法处理个人数据的情形：“（b）处理是为履行数据主体参 与的合同之必要，亦或处理是因数据主体在签订合同前的请求而采取的措施；（c） 处理是为履行控制者所服从的法律义务之必要；（d）处理是为了保护数据主体或 另一个自然人的切身利益之必要；（e）处理是为了执行公共利益领域的任务或行 使控制者既定的公务职权之必要；（f）处理是控制者或者第三方为了追求合法利 益的之必要，但此利益被要求保护个人数据的数据主体的利益或基本权利以及自 由覆盖的除外，尤其是数据主体为儿童的情形下。”我国《规范》也在第 5.4 条 中规定了11种无需征得个人信息主体授权同意即可收集、使用个人信息的情形。 这样的规定，在一定程度上平衡了用户同意与其他合法利益，同样也从另一个角 度证明了用户同意与其他合法利益的平等法律地位。 下文，将结合我国《规范》及欧盟GDPR，简析用户同意机制的有效性。 二、被充分告知是“同意”的前提条件 GDPR第7 （2）条规定，“如数据主体通过书面声明的方式作出同意，且书 面声明涉及其他事项，那么同意应以易于理解且与其他事项显著区别的形式呈 现。”结合GDPR 的序言及其他相关规定，这意味着数据控制者在征求用户同意 时，首先要确保文本是易于普通人理解的，而不能以只有专业人士才能理解的晦 涩语言展现；其次如果文本中还包含大量与“同意”无关的其他内容，则应将“同 意”在文本中以显著的方式突出，或作为单独的文档，而不能仅以文本的一段普 通内容展现。 我国《规范》第4条明确规定，个人信息控制者开展个人信息处理活动，应 当遵守公开透明原则，即“以明确、易懂和合理的方式公开处理个人信息的范围、 目的、规则等，并接受外部监督”。第5.3条也规定，“收集个人信息前，应向个 人信息主体明确告知所提供产品或服务的不同业务功能分别收集的个人信息类 型，以及收集、使用个人信息的规则，并获得个人信息主体的授权同意。” 另外，《规范》还在附录C 中举例了保障个