《敏感个人信息处理的告知同意.docx》由会员分享,可在线阅读,更多相关《敏感个人信息处理的告知同意.docx(36页珍藏版)》请在第一文库网上搜索。
1、敏感个人信息处理的告知同意一、问题与方法针对敏感个人信息处理的多种告知同意理论模型已为立法所扬弃。例如,不少学者主张,信息处理者应在清晰、明确告知后获得信息主体的明示同意,并构建相应的同意撤回机制。在我国个人信息保护法中,这些关于敏感个人信息告知同意的特殊主张已经升格为告知同意的一般要求。值得辨析的是,主张结合信息处理的具体场景、处理目的、处理方式进行动态分析的场景理论能否直接用于解释敏感个人信息处理的告知同意规范。在敏感个人信息的界定中,即有学者主张“兼顾敏感个人信息利用的情景、目的“。针对敏感个人信息处理的告知同意,又形成了分层同意、动态同意的理论,主张“从整齐划一的同意向基于信息分类、场
2、景化风险评估的分层同意转变,从一次性同意向持续的信息披露与动态同意转变”。场景理论与我国敏感个人信息保护的制度逻辑存在冲突。,场景理论被大量误读,成了 “具体问题具体分析”的代名词。尼森博姆(Helen Nissenbaum)所提出的“情境完整性理论”,旨在从社群规范的角度对美国法中的隐私概念进行解构。直接适用场景理论将与我国敏感个人信息的法律界定相冲突。根据个人信息保护法第28条第1款,敏感个人信息的风险判断存在确定的前提,即“一旦泄露或者非法使用”,此时具体的信息处理场景已不再相关,其关注的是信息脱离原处理场景后所对应的“高概率权益受侵害可能”。另一方面,分层同意、动态同意的基本逻辑不符合
3、我国法律规定。个人信息保护法中的同意是一种择入机制(opt-in),分层或动态地适用“拟制同意”“有条件的宽泛同意+退出权”的择出机制(opt-out)不符合同意的法定要求。在解释论意义上,区分敏感个人信息与一般个人信息,对应不同的告知同意要求,是立法所唯一认可的告知同意分类方式。敏感个人信息处理的告知同意必须回到条文的规范目的,以探寻恰当的解释路径。敏感个人信息处理的同意规定在个人信息保护法第29条之中。该条的规范目的在于强化个人对敏感个人信息处理的认知与控制,从而最终实现对敏感个人信息的充分保护。敏感个人信息处理的同意与一般个人信息处理的同意相区分,将起到警示的作用,使得信息主体充分认识到
4、敏感个人信息处理的情况。此时,信息主体可以只同意处理一般个人信息,而不对敏感个人信息处理表示同意,亦更加尊重了信息主体的决定权。另外,单独同意实际上提高了信息处理者的义务要求。实践中,每一次同意弹窗的出现均会使得企业流失一定客户。由于个人信息保护法关于同意的一般规则已属于明示同意,为更好地保护与自然人人格尊严以及人身、财产安全息息相关的敏感个人信息,法律规定了单独同意、书面同意的更高要求。敏感个人信息处理的告知则规定于个人信息保护法第30条。该条的规范目的则在于实现公开、透明原则,保障信息主体的知情权,使得信息主体在获得充分告知的前提下作出同意的决定。告知作为“信息处理者的一种公法上的义务”,
5、目的是确保同意这种“私法上个人信息自决权益”的行使。尤其是关于必要性以及对个人权益影响的告知事项,更是有助于个人全盘考虑、充分衡量利弊得失后作出决策。即便处理敏感个人信息的合法性基础为同意以外的其他法定事由,特殊的告知规定也能起到提高个人警惕、加强防备的作用。此外,个人信息保护法第1条载明了 “保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用”的立法目的。从比较法来看,我国关于敏感个人信息处理的告知同意规定较为严苛。例如,我国关于告知的一般要求已经涵盖了美国伊利诺伊州生物识别信息隐私法(BIPA)第15条特别列举的所有告知事项。单独同意、书面同意的要求显然亦强于欧盟通用数据保护条例
6、(GDPR)第9条第2款第a项中的明确同意要求。个人信息保护切不可以禁锢信息流动为代价。敏感个人信息保护规范的解释适用必须平衡敏感个人信息保护与信息合理利用的关系。在上述认识下,本文将以法教义学的立场对个人信息保护法第29条、第30条进行分析,以进一步厘清三大基本问题:一是两个特殊告知事项的规范内涵,即信息处理者应如何履行处理敏感个人信息的特殊告知义务。二是敏感个人信息处理的单独同意与书面同意的实现路径,即针对处理敏感个人信息的同意在内容、对象、方式上的要求。三是敏感个人信息告知同意的法律限度,即何时能排除告知同意,何种情形中取得告知同意亦可能构成违法处理敏感个人信息。二、特殊告知事项的规范内
7、涵必要性与对个人权益影响两项内容是个人信息保护法第30条在该法第17条第1款所规定的5项告知事项外,针对处理敏感个人信息规定的特殊告知事项。其中,必要性的告知与敏感个人信息处理的必要性要求紧密相连,应展示个人信息处理与提供相关具体的服务/功能之间的必然联系。对个人权益影响的告知应根据个人信息保护影响评估的结果进行,并充分考虑泄露或者非法使用的可能后果、信息处理的应用场景/行业、信息处理者的信息收集能力/成本等具体因素。(一)特殊告知事项之一:处理的必要性必要性的告知要求来源于必要原则。强调必要性告知展现了基于“告知同意”处理敏感个人信息的特殊逻辑结构,即不能通过“告知同意”处理没有必要的敏感个
8、人信息。对于一般个人信息而言,信息处理者若希望处理与业务功能有关的非必要信息,则必须告知用户并获得其同意。App违法违规收集使用个人信息自评估指南第26段即指出,“当App运营者收集的个人信息超出必要信息范围时,应向用户明示所收集个人信息目的并经用户自主选择同意”。此时,告知同意是处理非必要个人信息唯一可行的合法性基础。然而,对于敏感个人信息而言,个人信息保护法第28条第2款明确指出“特定的目的和充分的必要性”本身就是信息处理者合法处理的重要前提。强调必要性的告知,绝不意味着可以以“告知同意”为由,在没有达到充分必要性前提之时处理敏感个人信息。告知处理敏感个人信息的必要性,显然要求信息处理者先
9、自行对必要性进行评估,但这并不意味着将必要性充分与否的判断权交给信息处理者来自行决定。多年前,基于隐私权的保护逻辑,部分法院在未对用人单位是否属于特殊行业进行分析的情况下,直接判定用人单位在入职体检中获取应聘者是否携带乙肝病毒、是否具有基因缺陷等健康信息的行为因未泄露信息而合法。实际上,此举起到了将健康信息获取的必要性交由用人单位自行判断的效果。在个人信息保护法的规范中,相关判决值得重新反思。个人信息处理的必要性是客观的。理论上,为实现个人信息保护法第28条第2款“充分的必要性”的要求,敏感个人信息处理受比例原则的约束,相关信息处理“应当保持最大的克制”。用人单位必须清晰地向劳动者告知其基于何
10、种正当理由,必须获取劳动者的何种健康信息。若个人在收到必要性的告知后认为相关个人信息处理没有必要或必要性并不充分,就可以不同意相关信息处理,从而充分保障个人的知情权、决定权。对于信息处理者而言,其在履行必要性告知义务的时候,亦必须对处理敏感个人信息的必要性有清晰的认识。简单来讲,敏感个人信息处理的必要性要求“收集敏感个人信息对于实现特定的处理目的是极为必要”。若不进行相关处理,信息处理者将无法提供相关服务,或无法履行相关法律义务、保护相关正当利益。以提供相关服务的必要性为例,可依据常见类型移动互联网应用程序必要个人信息范围规定进行判定。根据该规定第3条,“必要个人信息,是指保障App基本功能服
11、务正常运行所必需的个人信息,缺少该信息App即无法实现基本功能服务。具体是指消费侧用户个人信息,不包括服务供给侧用户个人信息”。该规定第5条更是进一步详细规定了39类常见类型App的必要个人信息范围。必要性的告知也需要符合个人信息保护法第17条第1款“清晰易懂” “真实、准确、完整”的要求。因此,必要性的告知不能是“若无敏感个人信息,则无法提供相关服务”的简单声明。必要性的告知至少应展示敏感个人信息处理与提供相关具体的服务/功能之间的逻辑关系,并对必要性进行分析。已有学者从“数据生命周期”的角度对必要性的告知要求进行描述指出,收集时需指明为实现合法、特定的目的,该信息处理方案是充足、相关且不过
12、量的,并不存在其他可替代的对个人影响更小的方式;存储时需告知处理目的之达成能否无须存储信息、能否利用匿名化信息、能否存储更短的时间;公开时需说明不公开、脱敏公开、一定范围内公开等方式均不足以实现处理目的。唯有如此,方可向个人充分展示信息处理的必要性。(二)特殊告知事项之二:对个人权益的影响个人信息保护法第28条第1款从“容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害”的角度对敏感个人信息进行界定,高度关注处理敏感个人信息对个人权益的影响。对个人权益的影响的范围广泛。一方面,个人权益包含了所有法律上认可的权益,既包括私法上的人身、财产权益,也包括公法上的人格尊严和人身自由等基本权利;
13、另影响也包括了现实存在的影响以及可能带来的不利后果。人类遗传资源管理条例第12条第1款、征信业管理条例第14条第2款、“公共及商用服务信息系统个人信息保护指南” (GB/Z28828-2012)第5. 2. 2条即分别就不同情形提出了告知“对健康可能产生的影响、个人隐私保护措施” “提供该信息可能产生的不利后果”“提供个人信息后可能存在的风险”以及“个人信息主体不提供个人信息可能出现的后果”等要求。具体而言,信息处理者应根据个人信息保护影响评估的结果,向信息主体履行相关告知义务。根据个人信息保护法第55条的规定,处理敏感个人信息,个人信息处理者应当事前进行个人信息保护影响评估,并对处理情况进行
14、记录。又根据个人信息保护法第56条,”对个人权益的影响及安全风险”本身就是个人信息保护影响评估应当包括的重要内容。参照“个人信息安全影响评估指南”(GB/T 39335-2020)的规定,可从“影响个人自主决定权引发差别性待遇”“个人名誉受损和遭受精神压力” “个人财产受损”四个维度,对个人信息主体的权益进行影响程度评价,并将影响程度分为“严重” “高” “中” “低”四个等级。例如,健康生理信息的泄露、滥用等可能会对个人生理、心理产生较严重的影响。此外,结合个人信息保护法第28条第1款敏感个人信息的定义,更应从泄露或者非法使用的角度进一步判断对个人权益的影响。信息处理者必须全面、详尽地向个人告知相关影响。值得注意的是,对个人权益的影响亦必须结合应用场景/行业、信息处理者的信息收集能力/成本等具体因素进行具体判断。不同的应用场景中,处理敏感个人信息所产生的影响大不相同。随着信息处理技术的发展与信息处理能力的提升,即便是匿名信息亦可能转化为个人信息。此外,与必要性的告知一致,个人权益影响的告知亦需要符合个人信息保护法第17条第1款的基本要求,在此不再赘述。(三)特殊的告知形式告知的形式要求,有助于解决信息不对称问题,使得信息主体能有效阅读、理解相关内容。地方立法、国家标准以及其他规范性
免费区 
