点击蓝字丨关注我们
申请加入数据安全共同体计划,请在本公众号回复“申请表”获取下载链接
前文回顾:
“信任”的本质在于用户能够确定个人信息处理者将以预期的目的和方式处理其个人信息,并将影响限定在特定范围内。笔者认为,在个人信息处理活动中实现这一信任,个人信息处理活动需要具备以下五个要素:
(1)透明:用户充分知悉数据处理活动的主体、目的、方式。
(2)可预期:用户能够确定数据处理活动的边界、所产生的影响。
(3)可行权:用户可以依法行使访问、复制、删除、拒绝、撤回等权利,实体权利内容明确,程序清晰可操作。
(4)可救济(问责):发生权益侵害时自己可以提起诉讼,主动需求司法救济,个人信息处理者需要承担相应的法律责任。
(5)有兜底:以法律为基础制度保障,由行政监管捍卫用户权益。
法律的可预测性的特征,使人们可以预先估计到他们相互间的行为模式,由此产生确定感和信任感。这一作用的发挥,有赖于法律对权利义务的内容以及行为后果等方面的明确性规定。当前个人信息处理实践中,除了前文第二部分所述亟待明确的规则之外,最具有代表的问题之一是关于“同意”的法律性质争议。
如前文所述,用户在个人信息“收集”环节的焦虑往往是以作出“同意”的过程为载体。按照当前合规检测标准,APP首次运行时需向用户展示隐私政策并且至少具备表达“同意”、“拒绝”含义的两个按钮,而用户的焦虑由此触发。笔者认为,当前用户对于APP“不同意隐私政策就不让用”的反感,除了在数据生态关系认识方面持有对立思维外,很大程度上还源于用户习惯性地以合同关系看待隐私政策(的签署),用户认为:企业提供的隐私政策就是一份“格式合同”要约,而点击或勾选同意则意味着作出承诺,后续就要照合同履行、甚至“自甘风险”。而《个人信息保护法》上的“同意”并非无争议地等于民事法律行为,否则其无法与当前民法规范相衔接。将“同意”界定为民事法律行为性质所导致的不衔接表现在:
-
行为能力方面:已满14不满18周岁的未成年人可自主实施个保法上的同意;
-
意思自治方面:个人信息主体不能在“同意”中放弃个人信息请求权;
-
承诺规则方面:民法中合法有效的同意必须支持撤回同意,且撤回不受意思表示已经到达的限制,但《个人信息保护法》中的撤回同意却不受此限制。
笔者倾向于赞同将“同意”的性质界定为“准法律行为”,它是用户的意思表达,但这种表达的效果由法律直接规定,而非作为“意思自治”原则下对要约的承诺,所以用户并不承担对其权利的限制和减损,无论企业在隐私政策中如何设计条款,都不影响用户的个人信息请求权。
通过澄清“同意”的“准法律行为”属性,用户可以不必担心“自甘风险”,将关注点真正放在对数据处理活动本身的理解以及对法律赋予的各项权利保障上。
4.发挥监管导向对构建信任关系的助力作用
*本文整理自作者在数据安全共同体计划(DSC)、CCIA数据安全工作委员会、数据保护官沙龙(DPO)联合举办《<个人信息保护法>实施一周年暨个人信息保护影响评估常用工具表意见征求研讨会》上的发言。
数据安全共同体计划
(data security community)
“数据安全共同体计划”为了促进《数据安全法》《个人信息保护法》落地实施,推动数据开发利用和数据安全领域的技术推广和产业创新,致力于促进数据安全产业链各环节的交流与合作,推动数据安全政策、技术、人才多要素良性互动,构建数据安全产业生态共同体。
咨询电话:
曹京 15810981762
解伯延 18631643906
联系人邮箱:[email protected]
原文始发于微信公众号(数据安全共同体计划):《个人信息保护法》1周年:构建基于规范和信任的数据处理关系(下)
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论