“告知同意”规则是个人信息保护的支点

2020-12-19 09:10:59 | 来源:人民法院报 | 作者:少楚
 

  我国个人信息保护法草案以“告知—同意”规则为支点,明确了同意处理个人信息的一般规则,即同意必须在充分知情前提下,自愿、明确地作出。以此,草案初步构建起了公民信息保护的一系列法律制度。

  2018年5月,欧盟《通用数据保护条例》正式生效,这部欧盟有史以来最为严格的网络数据管理法规,同样以获得用户同意作为企业处理个人数据的必要前提。并且明确,同意必须是具体的、清晰的,是用户在充分知情的前提下自由做出的。毫无疑问,这一规定将从根本上提升用户在互联网中的地位和话语权。

  将同意作为个人信息处理的正当性基础,已经成为个人信息保护领域的理论通说和实践中的通行做法。但在网络经济高度发达的当下,个人仍面临“难以自愿、自由作出同意决定”和“难以充分知情”的现实困境,比如,在使用网络服务提供商的服务时,用户除了同意外几乎别无选择,如果不同意提供个人信息,则无法享受服务和产品。并且,网络服务商提供的用户协议、服务条款通常不直接显示且冗长繁琐,关于个人信息收集的范围、保留时限、处理方式等重要条款难以识别且不尽合理,用户在这种情况下作出同意决定的真实性、自愿性大打折扣。

  个人信息保护法草案中的行为主体、保护措施、监管部门、责任追究等几个重要方面的相关规定都还比较模糊,“告知—同意”制度是否能有效落地、是否具有可操作性,还有较大的完善空间。除此之外,个人信息保护中倍受关注的防止泄露的防控手段、个人信息处理者应该履行的义务、主体责任的落实等应该更为具体。应当进一步强化对信息权利人的保护,以弥补“告知—同意”规则适用的不足,比如规定授权条款如表述不清楚或者明显违背一般预期情况下,即便获得个人同意,也不能认为获得了授权;对格式条款,应当作出不利于信息处理方的解释等等。

  随着大数据、人工智能、云计算等技术的广泛应用,基于推荐算法的个性化广告已非常普遍,虽然其最初目的在于提升信息传递的精准性,优化用户体验,但现实生活中由于浏览痕迹等用户信息的收集行为不易被察觉,对个人信息安全埋下了隐患。草案规定,通过自动化决策方式进行商业营销、信息推送,应当同时提供不针对其个人特征的选项,对个人信息保护明显不够充分。为尽可能弥补算法漏洞,为个人隐私和信息安全筑起保护屏障,修改为通过自动化决策方式进行商业营销、信息推送,应取得个人单独同意更为安全妥当。

  有必要说明的是,单独的个人数据是没有价值的,数据集中才能形成价值。个人数据如果受到过分保护,对“告知—同意”规则设计的过分严苛,社会大数据发展就会丧失基础。实际上,在互联网和大数据时代,传统的个人隐私观念将发生变化,要跟上时代步伐,实现经济社会“弯道超车”,每个人都要贡献个人数据。当然,这并不意味着个人信息成为任何组织和个人自由掠夺的资源,在万物互联的社会中,保护隐私关键是要尊重隐私,不滥用个人信息。


 
责任编辑:孙溯清
网友评论:
0条评论