百道网
 您现在的位置:Fun书 > 个人信息保护法理解与适用
个人信息保护法理解与适用


个人信息保护法理解与适用

作  者:程啸

出 版 社:中国法制出版社

出版时间:2021年09月

定  价:128.00

I S B N :9787521621297

所属分类: 人文社科  >  法律  >  法律读物  >  法律普及读物    

标  签:

[查看微博评论]

分享到:

TOP内容简介

本书以《个人信息保护法》的条文为蓝本,结合我国《民法典》关于个人信息的相关规定,逐条、深入、细致地阐释法律条文的涵义及适用要点。全书从条文要旨、规范目的、立法理由、疑点与难点及相关争议等不同层面,全景式地介绍了《个人信息保护法》的新规定新理念和新精神。

TOP作者简介

程啸,法学博士、清华大学法学院教授、博士生导师、法学院副院长。入选2017年度教育部长江学者奖励计划青年学者,兼任最高人民法院执行特邀咨询专家、最高人民检察院民事行政诉讼监督案件专家委员会委员、中国消费者协会专家委员会专家、北京市不动产法研究会副会长、中国银行间市场交易商协会第三届法律专业委员会副主任委员、北京仲裁委员会/北京国际仲裁中心仲裁员、中国法学会民法学研究会理事等。另兼任北京金融法院、北京市朝阳区人民法院、北京市海淀区人民法院、广州市中级人民法院等法院的专家咨询委员会委员,曾挂职担任北京市怀柔区人民法院副院长 (2015—2019)。 

主要研究领域为民法、个人信息保护法、不动产法等,先后参与民法典、个人信息保护法等法律法规与司法解释的起草论证工作。在 《中国社会科学》 《法学研究》 《中国法学》等期刊发表论文100余篇,在 《人民日报》 《法治日报》等报刊发表文章数十篇;出版 《侵权责任法》 《担保物权研究》 《不动产登记法研究》《保证合同研究》等独著著作11部;出版 《民法学》 《中国民法典释评·人格权编》《最高人民法院新担保司法解释理解与适用》等合著著作7部。主持国家社科基金重大项目、重点项目等国家和省部级课题7项,横向课题10余项。

TOP目录

第一章总则

◆ 本章概述

第一条【立法目的】

◆ 条文要旨

◆ 理解与适用

一、立法背景

二、立法目的

三、我国的个人信息保护法律体系

◆ 疑点与难点

《个人信息保护法》与《民法典》的关系问题

◆ 相关规定

第二条【个人信息受法律保护】

◆ 条文要旨

◆ 理解与适用

一、个人信息受法律保护

二、个人信息权益的性质

◆ 疑点与难点

一、隐私权与个人信息权益的区别

二、私密信息与非私密信息的区分

◆ 相关规定

第三条【空间适用范围】

◆ 条文要旨

◆ 理解与适用

一、法律的空间适用范围与域外效力

二、我国个人信息保护法的空间适用范围

◆ 相关规定

第四条【个人信息与个人信息处理的含义】

◆ 条文要旨

◆ 理解与适用

一、个人信息的含义

二、个人信息处理的含义

◆ 疑点与难点

一、数据与信息、个人数据与个人信息的关系

二、大数据与个人信息的处理

◆ 相关规定

第五条【合法、正当、必要与诚信原则】

◆ 条文要旨

◆ 理解与适用

一、规定个人信息处理活动基本原则的意义

二、合法原则

三、正当原则

四、必要原则

五、诚信原则

◆ 疑点与难点

民法与个人信息保护法上的胁迫

◆ 相关规定

第六条【目的限制原则】

◆ 条文要旨

◆ 理解与适用

一、目的限制原则的概念

二、目的限制原则的意义

三、目的限制原则的具体要求

四、个人信息最小化原则

◆ 相关规定

第七条【公开透明原则】

◆ 条文要旨

◆ 理解与适用

一、公开透明原则的意义

二、公开透明原则的体现

◆ 相关规定

第八条【质量原则】

◆ 条文要旨

◆ 理解与适用

一、质量原则的含义

二、质量原则的具体要求

◆ 疑点与难点

个人信息不准确或不完整的民事责任问题

◆ 相关规定

第九条【责任原则与安全原则】

◆ 条文要旨

◆ 理解与适用

一、责任原则

二、安全原则

◆ 相关规定

第十条【禁止非法的个人信息处理活动】

◆ 条文要旨

◆ 理解与适用

一、合法原则的体现

二、非法处理个人信息行为的类型

◆ 相关规定

第十一条【建立健全个人信息保护制度】

◆ 条文要旨

◆ 理解与适用

◆ 相关规定

第十二条【个人信息保护的国际交流与合作】

◆ 条文要旨

◆ 理解与适用

◆ 相关规定

第二章个人信息处理规则

◆ 本章概述

第一节一般规定

第十三条【个人信息处理的合法性根据】

◆ 条文要旨

◆ 理解与适用

一、个人信息处理的合法性根据

二、告知同意规则

三、法定许可

◆ 疑点与难点

一、为订立个人作为一方当事人的合同所必需时是否可以无需取得个人同意

二、为履行法定职责或法定义务所必需之间的差别

三、紧急情况下为保护自然人的生命健康和财产安全所必需与其他合法理由的差异

四、是否应当规定处理者可以为了自身或第三人的合法利益而处理个人信息

◆ 相关规定

第十四条【同意的要件与方式】

◆ 条文要旨

◆ 理解与适用

一、同意的含义

二、同意的要件

三、同意的类型

四、重新取得同意

◆ 疑点与难点

一、同意的明确与具体的关系

二、单独同意与书面同意的关系

三、同意的期限问题

◆ 相关规定

第十五条【同意的撤回】

◆ 条文要旨

◆ 理解与适用

一、个人可以撤回同意的理由

二、个人有权撤回同意

三、处理者有义务告知个人有权撤回同意

四、撤回同意的法律效果

◆ 疑点与难点

一、撤回同意与意思表示的撤回、撤销

二、撤回同意与反对权

三、撤回同意与删除权

◆ 相关规定

第十六条【不得因撤回同意而拒绝提供产品或服务】

◆ 条文要旨

◆ 理解与适用

一、规范目的

二、处理个人信息属于提供产品或者服务所必需的含义

◆ 疑点与难点

一、《个人信息保护法》第16条与第13条第1款2项的关系

二、处理者对个人的胁迫的认定与举证责任

◆ 相关规定

第十七条【告知的内容与方式】

◆ 条文要旨

◆ 理解与适用

一、规范目的

二、告知的时间

三、告知的方式

四、通过制定个人信息处理规则的方式告知

五、应当告知的事项

◆ 疑点与难点

隐私政策与个人信息处理规则的关系

◆ 相关规定

第十八条【不向个人告知的情形】

◆ 条文要旨

◆ 理解与适用

一、规范目的

二、免于告知的情形

三、无法告知的情形

◆ 相关规定

第十九条【个人信息的保存期限】

◆ 条文要旨

◆ 理解与适用

一、规范目的

二、个人信息的保存期限应当为实现处理目的所必要的最短时间

三、法律、行政法规对个人信息保存期限的规定

◆ 相关规定

第二十条【共同处理个人信息及侵权连带赔偿责任】

◆ 条文要旨

◆ 理解与适用

一、共同处理者的含义

二、共同处理者侵害个人信息权益的民事责任

三、共同处理者内部约定的法律效力

◆ 疑点与难点

共同处理者内部的分摊与追偿

◆ 相关规定

第二十一条【委托处理个人信息】

◆ 条文要旨

◆ 理解与适用

一、规范目的

二、处理个人信息的委托合同

三、委托人与受托人的义务

四、返还或删除个人信息的义务

◆ 疑点与难点

一、委托处理个人信息未订立合同

二、委托处理个人信息中受托人给委托人造成损失的赔偿责任

三、受托人侵害个人信息权益的民事赔偿责任

◆ 相关规定

第二十二条【因合并、分立等原因转移个人信息】

◆ 条文要旨

◆ 理解与适用

一、规范目的

二、转移个人信息的法定情形

三、告知义务的履行

四、接收方的义务

◆ 相关规定

第二十三条【向其他个人信息处理者提供个人信息】

◆ 条文要旨

◆ 理解与适用

一、概述

二、提供个人信息的具体场景

三、告知并取得单独同意

四、接收方的义务

◆ 疑点与难点

“三重授权原则”与提供个人信息

◆ 相关规定

第二十四条【利用个人信息进行自动化决策】

◆ 条文要旨

◆ 理解与适用

一、规范目的

二、个人信息处理者负有保证决策的透明度和结果公平、公正的义务

三、个人信息处理者通过自动化决策方式进行信息推送、商业营销

四、个人要求处理者说明并拒绝自动化决策的权利

◆ 疑点与难点

如何认定差别待遇是否合理?

◆ 相关规定

第二十五条【没有取得个人单独同意就不得公开个人信息】

◆ 条文要旨

◆ 理解与适用

一、规范目的

二、个人信息公开的含义

三、公开个人信息应取得个人的单独同意

四、无须取得个人单独同意而公开个人信息

◆ 疑点与难点

一、政府信息公开与个人信息公开

二、非法公开个人信息的法律责任

◆ 相关规定

第二十六条【公共场所收集个人信息】

◆ 条文要旨

◆ 理解与适用

一、规范目的

二、公共场所安装图像采集和个人身份识别设备的要求

三、收集的个人信息只能用于特定目的

◆ 相关规定

第二十七条【处理已经公开的个人信息】

◆ 条文要旨

◆ 理解与适用

一、规范目的

二、公开的个人信息的含义与类型

三、对公开的个人信息的处理规则

◆ 相关规定

第二节敏感个人信息的处理规则

第二十八条【敏感个人信息的含义与处理的特别要求】

◆ 条文要旨

◆ 理解与适用

一、敏感个人信息的含义

二、敏感个人信息的规范意义

三、处理敏感个人信息的要件

◆ 疑点与难点

一、私密信息与敏感个人信息的关系

二、个人没有被公开的犯罪记录是否属于敏感个人信息

◆ 相关规定

第二十九条【处理敏感个人信息应取得单独同意或书面同意】

◆ 条文要旨

◆ 理解与适用

一、处理敏感的个人信息应当取得单独同意

二、法律行政法规规定取得个人书面同意的情形

◆ 相关规定

第三十条【处理敏感个人信息的特别告知事项】

◆ 条文要旨

◆ 理解与适用

◆ 相关规定

第三十一条【处理儿童的个人信息】

◆ 条文要旨

◆ 理解与适用

一、规范目的

二、十四岁以下未成年人的个人信息处理需要取得监护人同意

三、个人信息处理者的义务

◆ 疑点与难点

我国并未采取双重同意规则

◆ 相关规定

第三十二条【处理敏感个人信息的行政许可或其他限制】

◆ 条文要旨

◆ 理解与适用

◆ 相关规定

第三节国家机关处理个人信息的特别规定

第三十三条【国家机关处理个人信息的法律适用】

◆ 条文要旨

◆ 理解与适用

一、国家机关与非国家机关处理个人信息的立法模式

二、国家机关处理个人信息活动的法律适用

◆ 疑点与难点

处理个人信息的国家机关的不同类型

◆ 相关规定

第三十四条【国家机关为履行法定职责处理个人信息】

◆ 条文要旨

◆ 理解与适用

一、规范目的

二、国家机关应当严格依法处理个人信息

◆ 相关规定

第三十五条【国家机关的告知义务】

◆ 条文要旨

◆ 理解与适用

一、国家机关为履行法定职责处理个人信息应当履行告知义务

二、国家机关免除告知义务的情形

◆ 相关规定

第三十六条【国家机关处理的个人信息应当在境内存储】

◆ 条文要旨

◆ 理解与适用

一、规范目的

二、国家机关处理的个人信息应当在境内存储

三、确需向境外提供的应当进行安全评估

◆ 相关规定

第三十七条【具有管理公共事务职能组织处理个人信息的参照

适用】

◆ 条文要旨

◆ 理解与适用

一、规范目的

二、法律、法规授权的具有管理公共事务职能的组织的含义

与类型

◆ 相关规定

第三章个人信息跨境提供的规则

◆ 本章概述

第三十八条【个人信息跨境转移的条件】

◆ 条文要旨

◆ 理解与适用

一、概述

二、个人信息处理者因业务等需要确需向我国境外提供个人

信息

三、跨境提供个人信息应当具备的条件

四、我国缔结与参加的国际条约或协定的规定

五、个人信息处理者负有保障境外接收方达到我国个人信息

保护标准的义务

◆ 相关规定

第三十九条【个人信息跨境提供时的告知同意】

◆ 条文要旨

◆ 理解与适用

一、规范目的

二、需要告知的事项

三、取得单独同意

第四十条【关键信息基础设施运营者等的境内存储信息和安全

评估义务】

◆ 条文要旨

◆ 理解与适用

一、关键信息基础设施运营者

二、处理个人信息达到国家网信部门规定数量的个人信息

处理者

三、境内存储的含义

四、确需向境外提供的应当通过安全评估

◆ 疑点与难点

一、个人信息跨境提供的安全评估与个人信息保护影响评估

二、个人信息出境安全评估与网络安全审查、数据安全审查

◆ 相关规定

第四十一条【国际司法协助与行政执法协助中个人信息的提供】

◆ 条文要旨

◆ 理解与适用

一、规范目的

二、国际司法协助和行政执法协助中境内存储的个人信息

的提供

三、外国司法或执法机构要求个人信息处理者提供存储于

我国境内的个人信息

◆ 相关规定

第四十二条【黑名单制度】

◆ 条文要旨

◆ 理解与适用

一、规范目的

二、适用要件

三、限制或禁止个人信息提供清单

◆ 相关规定

第四十三条【对等原则】

◆ 条文要旨

◆ 理解与适用

一、规范目的

二、实施机关与措施

◆ 相关规定

第四章个人在个人信息处理活动中的权利

◆ 本章概述

第四十四条【知情权与决定权】

◆ 条文要旨

◆ 理解与适用

一、知情权

二、决定权

三、知情权与决定权的排除

◆ 疑点与难点

◆ 相关规定

第四十五条【查阅复制权与可携带权】

◆ 条文要旨

◆ 理解与适用

一、查阅复制权

二、可携带权

◆ 疑点与难点

一、个人信息保护法中的查阅复制权与民法上的其他查阅

复制权的关系

二、个人信息的查阅复制权与政府信息公开的关系

三、查阅复制权行使中的具体问题

◆ 相关规定

第四十六条【更正补充权】

◆ 条文要旨

◆ 理解与适用

一、规范目的

二、更正补充权的主体

三、更正补充权的要件

◆ 相关规定

第四十七条【删除义务和删除权】

◆ 条文要旨

◆ 理解与适用

一、规范目的

二、删除权的主体

三、应当删除的情形

四、不得行使删除权的情形

五、删除的方式

六、处理者主动删除时的告知义务

七、删除的时间

◆ 疑点与难点

一、删除权与被遗忘权

二、删除权与被侵权人通知网络服务提供者采取删除等措施

的权利

◆ 相关规定

第四十八条【解释说明权】

◆ 条文要旨

◆ 理解与适用

一、规范目的

二、个人信息处理规则

三、解释说明权的主体

第四十九条【死者的个人信息】

◆ 条文要旨

◆ 理解与适用

一、规范目的

二、比较法上对死者个人信息的不同规范模式

三、我国《民法典》对死者人格利益的保护

四、我国《个人信息保护法》的规定

五、近亲属对死者个人信息行使相应权利的要件

六、近亲属能够对死者个人信息行使的权利的类型

◆ 相关规定

第五十条【个人信息处理者保障权利行使和说明的义务】

◆ 条文要旨

◆ 理解与适用

一、规范目的

二、便捷的个人行使权利的申请受理和处理机制

三、拒绝个人行使权利的请求的应说明理由

四、个人有权提起诉讼

◆ 疑点与难点

《网络安全法》第49条的规定

◆ 相关规定

第五章个人信息处理者的义务

◆ 本章概述

第五十一条【采取措施确保个人信息处理活动合法并保护安全】

◆ 条文要旨

◆ 理解与适用

一、规范目的

二、个人信息处理者采取必要措施时的考量因素

三、措施的类型

四、具体的措施

◆ 相关规定

第五十二条【个人信息保护负责人】

◆ 条文要旨

◆ 理解与适用

一、规范目的

二、个人信息保护负责人的指定

三、个人信息保护负责人的任职资格

四、个人信息保护负责人的地位

五、个人信息保护负责人的任务

六、公布并报送个人信息保护负责人的联系方式

◆ 疑点与难点

网络安全负责人与个人信息保护负责人

第五十三条【境外个人信息处理者设立专门机构或指定代表】

◆ 条文要旨

◆ 理解与适用

一、规范目的

二、设立专门机构或指定代表并报送相关信息

◆ 疑点与难点

《个人信息保护法》第53条与第52条的区别

第五十四条【定期合规审计义务】

◆ 条文要旨

◆ 理解与适用

一、规范目的

二、定期合规审计义务

第五十五条【个人信息保护影响评估与记录义务】

◆ 条文要旨

◆ 理解与适用

一、规范目的

二、个人信息保护影响评估义务

三、记录义务

◆ 疑点与难点

一、个人信息保护影响评估与安全评估的关系

二、个人信息保护影响评估与重要数据处理中的风险评估

◆ 相关规定

第五十六条【个人信息保护影响评估的内容】

◆ 条文要旨

◆ 理解与适用

一、个人信息保护影响评估的内容

二、个人信息保护影响评估保护和处理情况记录的保存期限

第五十七条【个人信息泄露时的补救措施与通知义务】

◆ 条文要旨

◆ 理解与适用

一、规范目的

二、个人信息泄露、篡改、丢失

三、个人信息处理者应当采取的补救措施

四、个人信息处理者的通知义务

◆ 疑点与难点

个人信息安全事件与网络安全事件

◆ 相关规定

第五十八条【特殊的个人信息处理者的义务】

◆ 条文要旨

◆ 理解与适用

一、规范目的

二、特殊的个人信息处理者

三、个人信息保护的特殊义务

◆ 相关规定

第五十九条【委托处理中受托人的义务】

◆ 条文要旨

◆ 理解与适用

一、规范目的

二、保障所处理的个人信息安全的义务

三、协助个人信息处理者的义务

◆ 相关规定

第六章履行个人信息保护职责的部门

◆ 本章概述

第六十条【履行个人信息保护职责的部门的界定与职责分工】

◆ 条文要旨

◆ 理解与适用

一、履行个人信息保护职责的部门的含义

二、国家网信部门负责统筹协调个人信息保护工作和相关

监督管理工作

三、国务院有关部门依法履行个人信息保护和监管工作

四、县级以上地方人民政府有关部门按照国家规定确定个人

信息保护和监督管理职责

◆ 相关规定

第六十一条【履行个人信息保护职责的部门应当履行的职责】

◆ 条文要旨

◆ 理解与适用

一、规范目的

二、个人信息保护职责的具体内容

◆ 相关规定

第六十二条【国家网信部门统筹协调的个人信息保护工作】

◆ 条文要旨

◆ 理解与适用

一、规范目的

二、统筹协调个人信息保护工作的具体内容

◆ 相关规定

第六十三条【履行个人信息保护职责的部门的执法措施】

◆ 条文要旨

◆ 理解与适用

一、规范目的

二、履行个人信息保护职责的部门可以采取的措施

◆ 疑点与难点

有权实施现场检查不等于可以搜查公民住宅

◆ 相关规定

第六十四条【行政约谈与强制合规审计】

◆ 条文要旨

◆ 理解与适用

一、行政约谈

二、强制进行合规审计

三、发现违法处理个人信息涉嫌犯罪的应当移送公安机关

◆ 相关规定

第六十五条【对违法个人信息处理行为的投诉和举报】

◆ 条文要旨

◆ 理解与适用

一、投诉和举报违法个人信息处理活动是个人和组织的权利

二、有关部门应当依法及时处理

三、有关部门公布接受投诉、举报的联系方式

……

TOP书摘

第十四条【同意的要件与方式】

基于个人同意处理个人信息的,该同意应当由个人在充分知情的前提下自愿、明确作出。法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的,从其规定。

个人信息的处理目的、处理方式和处理的个人信息种类发生变更的,应当重新取得个人同意。

 

◆ 条文要旨

本条是对同意的有效要件与同意的方式的规定。

◆ 理解与适用

一、同意的含义

个人对其个人信息的处理享有知情权、决定权,有权限制或者拒绝他人对其个人信息进行处理,除非法律、行政法规另有规定(《个人信息保护法》第44条)。个人信息处理中的告知同意规则正是为了尊重和保护个人对其个人信息处理的知情权和决定权而产生的规则。它要求个人信息处理者只有在告知并取得其信息被处理的个人的同意后,才能对该自然人的个人信息进行相应的处理活动,否则该处理行为就是非法行为,构成对个人信息权益的侵害。《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》第2条第3项规定,基于个人同意处理人脸信息的,未征得自然人或者其监护人的单独同意,或者未按照法律、行政法规的规定征得自然人或者其监护人的书面同意的,人民法院应当认定属于侵害自然人人格权益的行为。取得信息主体即个人的同意(Consent)是个人信息处理行为具有合法性的重要根据。此种在取得个人同意后才能实施的个人信息处理,被称为“基于个人同意处理个人信息”。

对于个人信息保护法上的“同意”的含义,一些国家和地区的立法作出了规定。欧盟《一般数据保护条例》第4条第11款将“数据主体的同意”(consent of the data subject)界定为:“数据主体依其个人意愿自由、明确、知情且清晰地通过陈述或积极行为,就与其相关的个人数据的处理作出的同意。”(consent of the data subject means any freely given,specific,informed and unambiguous indication of the data subject.s wishes by which he or she,by a statement or by a clear affirmative action,signifies agreement to the processing of personal data relating to him or her.)该定义与1995年10月24日欧洲议会《关于涉及个人数据处理的个人保护以及此类数据自由流动的第95/46/EC号指令》(DPD)中的定义是一致的,指令第2条(h)项将数据主体的同意界定为“数据主体自由作出的特定与知情的指示,表示其同意对于与其相关的数据进行处理”。2018年巴西《通用数据保护法》第5条第12款规定,同意是指“数据主体同意为特定目的处理其个人数据自由、知情和明确的声明”。我国台湾地区“个人资料保护法”第7条第1款、第2款规定:“第十五条第二款及第十九条第一项第五款所称同意,指当事人经搜集者告知本法所定应告知事项后,所为允许之意思表示。第十六条第七款、第二十条第一项第六款所称同意,指当事人经搜集者明确告知特定目的外之其他利用目的、范围及同意与否对其权益之影响后,单独所为之意思表示。”

同意是具有统一的法律性质,还是在不同的部门法中性质各有不同,存在很大的争议。See Michael Funke,Dogmatik und Voraussetzungen der datenschutzrechtlichen Einwilligung im Zivilrecht:Unter besonderer Berücksichtigung der Datenschutz-Grundverordnung,Nomos,2017.S.38-85.就个人信息保护法中个人同意的性质,学说上也存在不同的看法,主要有以下两种观点:

一是双重属性说,此说认为,同意具有双重属性,一方面它是侵权法上阻却违法的事由,另一方面它又是法律行为。刘召成:《人格商业化利用权的教义学构造》,载《清华法学》2014年第3期。换言之,在合同领域与在侵权领域中,同意有不同的含义。在侵权领域中,“同意”作为侵权法上的免责事由可归入“受害人同意”的范畴,在构成要件上包括必须有明确具体的内容、受害人须具有同意能力、同意必须真实自愿、加害人必须尽到充分的告知说明义务;在合同领域中,同意可能成为相关合同给付内容的一部分,因此当事人须具备相应的行为能力。陆青:《个人信息保护中“同意”规则的规范构造》,载《武汉大学学报(哲学社会科学版)》2019年第5期。持双重属性说的学者,主要是从个人信息既存在消极防御的问题,也存在积极利用的问题角度出发来认识同意的性质,即从消极防御的角度说,同意就是违法阻却事由,而从积极利用的层面看,同意就是个人在授权他人商业利用个人信息。

二是单一属性说,此说又可分为权益处分说、意思表示说。持权益处分说的学者认为,“同意”是一种对于个人信息权益的处分,但是,这种处分不能脱离商品或服务合同的语境而单独存在,只能被视为个人信息主体为了获得相应的商品或服务而必须作出的权利处分。万方:《个人信息处理中的“同意”与“同意撤回”》,载《中国法学》2021年第1期。持意思表示说的学者认为,同意本身是自然人作出的意思表示,《民法典》总则编关于意思表示的规定完全可以适用于自然人就个人信息处理所作出的同意。故此,自然人因欺诈、胁迫或重大误解而作出的意思表示,是可以撤销的意思表示。王利明、程啸:《中国民法典释评·人格权编》,中国人民大学出版社2020年版,第457页;陈.d、谢鸿飞主编:《民法典评注·人格权编》,中国法制出版社2020年版,第379页。《草案一审稿》曾采取意思表示说,该草案第14条第1款第1句规定:“处理个人信息的同意,应当由个人在充分知情的前提下,自愿、明确作出意思表示。”不过,在《草案二审稿》中该条被修改为“处理个人信息的同意,应当由个人在充分知情的前提下自愿、明确作出”。其中,删除了“意思表示”一词,这表明立法机关放弃了意思表示说。最终颁布的《个人信息保护法》也没有再将同意界定为“意思表示”。

本书认为,在个人信息保护法中,信息主体就其个人信息被处理而作出的同意(Einwilligung)在性质上属于违法阻却事由(免责事由),而非意思表示。所谓违法阻却事由,是在区分违法性与过错的立法例中采取的概念。例如,德国法认为,违法阻却事由是指对暂时认定的违法性的反驳,即法律所认可的针对假定违法性的一种特殊例外。\\[德\\]埃尔温·多伊奇、汉斯-于尔根·阿伦斯:《德国侵权法——侵权行为、损害赔偿及痛苦抚慰金(第五版)》,叶名怡、温大军译,中国人民大学出版社2016年版,第44页。德国法上的违法阻却事由包括正当防卫、紧急避险、自助行为、维护正当利益、同意等。我国《民法典》没有明确区分违法性与过错,学说上通常不使用“违法阻却事由”的概念,而是用免责事由来包含违法阻却事由。我国《民法典》中的免责事由包括:不可抗力(第180条)、正当防卫(第181条)、紧急避险(第182条)、自愿实施紧急救助行为(第184条)、受害人故意(第1174条)、第三人行为(第1175条)、自甘冒险(第1176条)、自助行为(第1177条)以及同意(第1219条、第1036条)。但是,这些免责事由中有些是通过排除加害行为与权益被侵害之间的因果关系以致侵权责任不成立,有些则是排除行为的违法性(或过错)而使得行为人无须承担侵权责任。前者如受害人故意、第三人行为等,后者如同意、自助行为、紧急避险、正当防卫。

就个人信息处理中信息主体的同意而言,其为个人信息处理行为提供了合法根据,排除了该行为的非法性,从而使得处理行为具有合法基础,不构成对个人信息权益的侵害行为。具体而言,个人的同意所引发的私法上的法律效果为:个人同意的公法上的效果即处理行为不构成行政违法行为,不会遭受有关行政机关的行政处罚。取得个人同意的个人信息处理行为,只要处理者不超出自然人同意的范围(包括自然人所同意的处理主体、处理目的、处理方式和处理的个人信息种类等),原则上该行为就不构成侵权行为。自然人享有个人信息权益,意味着其他组织或个人需要尊重该权益而不得侵犯它,同样,承认自然人的个人信息权益就必然导致对他人行为自由的限制。处理者对自然人的个人信息进行收集、存储、使用、加工、传输、提供、公开、删除等行为,客观上就构成对自然人的个人信息权益的侵入或干扰,破坏了法秩序,具有(暂时认定的)非法性。要排除这种非法性,就必须具备法律上的正当性(Legal Justifications)。在个人信息保护法上,此种正当性要么来自个人的同意,要么来自法律、行政法规的规定即法定的许可(legal permission),二者构成了全部个人信息处理的法律基础。Paul Voigt & Axel von dem Bussche,The EU General Data Protection Regulation(GDPR):A Practical Guide,Springer,2017,P.92.作为个人信息权益的所有者的个人,可以对自己的权益进行合法的处分,其可以自行处分,也可以同意他人对自己的民事权益作出处分。因此,在得到民事权益所有者的同意后,被同意者实施的客观上侵害他人民事权益的行为,对于同意者而言,不构成侵害。同时,法律、行政法规也可以基于促进个人信息的合理利用、维护公共利益、国家利益等理由而特别规定,某些情形下不需要取得个人的同意就可以处理其个人信息。《民法典》第1035条第1款第1项规定,处理个人信息必须“征得该自然人或者其监护人同意,但是法律、行政法规另有规定的除外”。所谓法律、行政法规另有规定的除外,包括《个人信息保护法》第13条第1款第2—7项列举的六大类无须取得个人同意的情形。

二、同意的要件

对个人信息的处理影响了自然人的个人信息权益,属于非常重大的事情,为了更好地保护自然人,应当明确个人同意的有效要件,即在满足哪些条件之后,个人对其个人信息的处理所作的同意才是有效的,才能发生阻却处理行为违法性的法律效果。比较法上不少国家或地区的立法对此都有规定。例如,依据欧盟《一般数据保护条例》第4条第11款,有效的同意必须具备四个要件:(1)自由地作出(freely given);(2)具体的(specific);(3)被告知的(informed);(4)明确的(unambiguous)。这一标准被人们认为提高了有效同意的门槛,欧盟的数据保护机构也倾向于严格地解释这四项标准。Christopher Kuner,Lee A.Bygrave & Christopher Docksey ed.,The EU General Data Protection Regulation (GDPR):A Commentary,Oxford University Press,2020,P.181.依据德国《联邦数据保护法》第51条的规定,同意只有在数据主体自由作出决定时有效,而评估是否属于自由决定,必须考虑给予同意的情况。同时,应当告知数据主体处理的逾期目的,如有必要在个别情况下或数据主体提出要求时,还要将拒绝同意的后果告知数据主体。再如,巴西《通用数据保护法》第8条规定:“本法第七条第I项所规定的同意,应当以书面方式或者其他能够证明数据主体表现意愿的方式提供。(1)如果同意是以书面形式提供的,它应区分于其他合同条款,并单独、重点显示。(2)控制者有责任证明已依照本法取得同意。(3)如果同意有瑕疵,禁止处理个人数据。(4)同意应为了特定目的而作出。为处理个人数据获取的一般授权应为无效。(5)只要不做出根据本法第18条第VI项规定的删除请求,同意可以通过便捷和免费的流程,随时被数据主体明确表示撤回,这是对基于先前同意而做处理的矫正。(6)如果本法第9条第I、II、III或者V项所涉及的信息发生变更,数据控制者应当通知数据主体,尤其应告知其所变更的内容。在这种情况下,数据主体的同意是必须的,如果数据主体不同意该等变更,其可以撤回同意。”

《个人信息保护法》第14条第1款第1句对同意的一般有效要件作出了规定:“基于个人同意处理个人信息的,该同意应当由个人在充分知情的前提下自愿、明确作出。”从这一规定可知,有效的同意应当具备三项要件:(1)充分知情;(2)自愿;(3)明确。此外,依据第14条第1款第2句,如果法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的,从其规定。也就是说,法律、行政法规规定的单独同意或者书面同意属于特殊的有效要件。本部分仅讨论同意的一般有效要件,单独同意或者书面同意放在同意的类型中加以讨论。

(一)作出同意的个人应当具有同意能力

在个人信息处理中,只有当作出同意的自然人具有同意能力(capacity to consent/ Einwilligungsf.|higkeit)时作出的同意方属有效。例如,《美国侵权行为法重述(第二次)》第892A条第2款规定,有效的同意,是指有同意能力的人或经授权代理作出同意的人所作出的同意,且该同意是就特定行为而作出的或就实质上相同的行为而作出的。同意能力不同于行为能力。在法律行为制度中,为了维护交易安全从而要求从事法律行为的当事人必须具备行为能力,无民事行为能力人必须由其法定代理人代理实施民事法律行为,其单独实施的民事法律行为属于无效的民事法律行为(《民法典》第20条、第21条;第144条);限制民事行为能力人实施民事法律行为要由其法定代理人代理或者经其法定代理人同意、追认,未经同意或追认的法律行为无效或者相对人可以撤销,但是,限制民事行为能力人可以独立实施纯获利益的民事法律行为或者与其年龄、智力、精神健康状况相适应的民事法律行为(《民法典》第19条、第22条;第145条)。《民法典》第17条与第18条规定,十八周岁以上的自然人为成年人,不满十八周岁的自然人为未成年人。成年人为完全民事行为能力人,可以独立实施民事法律行为。十六周岁以上的未成年人,以自己的劳动收入为主要生活来源的,视为完全民事行为能力人。第19条至第22条规定,不满八周岁的未成年人以及不能辨认自己行为的成年人为无民事行为能力人;八周岁以上的未成年人以及不能完全辨认自己行为的成年人为限制民事行为能力人。

由于自然人的同意是其对自己权益的处分,不能完全适用民法中关于行为能力的规定。作出同意的个人是否具有同意能力,关键在于能否认识到行为的后果,即有无识别能力,而这需要根据案件的具体情形予以个别的判断。Soergel-Siebert,§823,1988,Rn.196f.也就是说,限制行为能力人或者无民事行为能力人并不一定就没有同意能力。例如,小学生A可以同意B将其书本扔掉,但是对于器官切除手术,则无行为能力人与限制行为能力不具有同意能力,必须经过法定代理人的允许。同意能力是一个人对其决定的性质、程度以及可能产生的后果的理解能力。儿童、醉汉、神志不清的人、精神病人或者低智能者作出的同意一般是无效的。他们的同意只能由其监护人作出。Vincent R.Johnson,Mastering Torts,Carolina Academic Press,1995,P.40.例如,在英国,依据1969年《家庭改革法》第8条,年满十六岁的未成年人可以就对其进行的医疗行为作出同意。而依据一些英国法院的判例,低于该年龄的未成年人只要能够充分了解医疗行为的后果,也能作出同意。如果未成年人就医疗行为已作出同意但是其监护人反对时,则该同意依然有效。W.V.H.Rogers,Winfield and Jolowicz on Tort,14th.ed.,Sweet & Maxwell,1994,P.725.

从我国《未成年人保护法》及《个人信息保护法》的规定来看,个人信息处理者处理不满十四周岁未成年人个人信息的,应当取得未成年人的父母或者其他监护人的同意。故此,可以肯定的一点是:十四周岁以下的未成年人在个人信息处理中不具有同意的能力,其作出的同意是无效的。至于十四周岁以上的未成年人,以及因疾病等原因而不能辨认或不能完全辨认自己行为的成年人,一旦就是否具有同意能力发生争执时,法院需要根据个人信息的处理目的、处理方式、处理的个人信息的种类、可能对个人权益产生的不利益后果等多种因素加以具体的认定。

(二)同意是个人在充分知情的前提下作出的

任何有效的同意都应当在同意者充分知情的前提下作出。如果不知情,那么这种同意就不是真实的,是无效的。由于个人信息处理活动中,处理者与个人之间的信息是不对称的,因此,同意规则必须与告知规则密切联系,即要求处理者必须充分告知,从而确保个人是在充分知情的前提下作出同意的,否则,处理者不告知或告知不充分,而个人在完全不知情或不充分知情的情况下所作出的同意就是无效的。简言之,个人信息处理者为处理个人信息而取得个人同意之前,应当履行告知义务,为个人提供相应的知识。例如,要告知个人,处理其个人信息的主体是谁,处理的目的是什么,处理的方式与范围如何等相关知识。这一要求也是个人信息处理中的透明原则的要求。

透明原则(The transparency principle),也称公开透明原则。它是指处理个人信息时应当采取公开、透明的方式,公开个人信息处理的规则,向信息主体明示个人信息处理的目的、处理的方式和处理的范围。之所以要确立这一原则,是因为自然人对其个人信息的处理享有知情权和决定权。如果个人信息处理者不以公开、透明的方式处理个人信息,而是采取隐秘的、暗箱操作的方式,那么,即便个人表示了同意,其同意也不是真实的同意,此种处理行为也属于非法处理行为。欧盟《一般数据保护条例》在导言部分第39条对此有一个比较清晰的说明——“透明性原则要求任何有关这些个人数据处理的信息和通信都应可轻松获取且容易理解,并且使用通俗易懂的语言。这一原则特别涉及数据主体关于控制者身份的信息和处理目的以及进一步处理的信息,以确保对有关自然人的公正和透明的处理以及获得有关其正在被处理的数据的个人确认和通信的权利。应该让自然人了解与处理个人数据有关的风险、规则、保障和权利,以及如何行使与处理有关的权利。特别是,处理个人数据的具体目的应清晰且合法,并在收集个人数据时予以明确”。包括欧盟《一般数据保护条例》在内的许多国家或地区的数据保护和个人信息保护法都要求处理者必须遵循透明的原则。例如,早在1980年《经济合作与发展组织关于隐私保护和个人数据跨疆界流动的指导原则》中就提出了公开原则,并认为“公开原则可能被视为个人参与原则的先决条件,后一原则要生效,获得关于个人数据的收集、储存或利用的信息在实践上必须是可能的。在自愿的基础上从数据控制者处获得的常规信息,涉及个人数据处理的活动的描述的官方登记者的出版活动和公共机构的登记,是一些(虽然不是全部)可能实现此种原则的方法”。再如,2018年美国加利福尼亚州《消费者隐私法案》(CCPA)在第2节立法目的中明确指出:“人们期许隐私和其信息的更多控制。加利福尼亚消费者应当能够就其个人信息行使控制权,并且期待防治个人信息滥用的保护措施。企业可能在尊重消费者隐私的同时,就其企业活动提供高水平的透明度。”依据2018年巴西《通用数据保护法》第6条第6款的规定,个人数据处理应当遵循透明原则,即“保证数据主体能够就数据处理和相应的处理代理人获得清晰、准确和易得的信息,且遵守商业和企业机密”。

在我国,《全国人民代表大会常务委员会关于加强网络信息保护的决定》第2条规定:“网络服务提供者和其他企业事业单位在业务活动中收集、使用公民个人电子信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围??”《网络安全法》第41条第1款规定:“网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。”《民法典》第1035条也要求个人信息处理者应当“公开处理信息的规则”“明示处理信息的目的、方式和范围”。《个人信息保护法》第7条规定:“处理个人信息应当遵循公开、透明原则,公开个人信息处理规则,明示处理的目的、方式和范围。”

为了确保个人是在充分知情的前提下作出同意的,《个人信息保护法》第17条对于个人信息处理者在处理个人信息前应当先向个人告知的事项以及告知方式等作出了细致的规定。本书认为,处理者只有在处理个人信息之前,根据《个人信息保护法》第17条第1款的规定按照相应的方式告知了相应的事项,才能认为个人处于充分知情的前提下。欧盟第29条工作组在2017年通过的《对第2016/679号条例下同意的解释指南》中认为,获得有效同意至少需要以下信息:(1)控制者的身份;(2)需寻求同意的每个处理操作的目的;(3)将收集和使用什么(类型的)数据;(4)存在用户撤回同意的权利;(5)根据GDPR第22条第2款(c)项使用数据进行自动决策的相关信息;(6)由于缺乏充分性决定和GDPR第46条所述的适当保障措施,可能存在的数据转移风险。需要注意的是,所谓“在充分知情的前提下”,只是要求个人信息处理者在取得个人同意前,应当按照法律、行政法规的要求确保个人为作出有效同意而需要知道的东西,全部处于可以获取的状态。至于作出同意的个人事实上会不会去了解处理者通过个人信息处理规则或者隐私政策等方式所告知的事项,则取决于个人。


……


TOP 其它信息

开  本:16开

加载页面用时:48.8376