掃一掃
關注中圖網
官方微博
本類五星書更多>
-
>
法律的悖論(簽章版)
-
>
中華人民共和國憲法
-
>
中華人民共和國勞動法
-
>
私人財富保護、傳承與工具
-
>
再審洞穴奇案
-
>
法醫追兇:破譯犯罪現場的156個冷知識
-
>
法醫追兇:偵破罪案的214個冷知識
個人信息保護法理解與適用 版權信息
- ISBN:9787521621297
- 條形碼:9787521621297 ; 978-7-5216-2129-7
- 裝幀:70g膠版紙
- 冊數:暫無
- 重量:暫無
- 所屬分類:>>
個人信息保護法理解與適用 本書特色
全景式多角度詳細解讀 闡釋新理念新理論新規則 【條文主旨】精準提煉條旨,快速定位內容 【理解與適用】闡釋法條涵義,指明適用要點 【疑點與難點】聚焦前沿問題,指引解決思路 【關聯規定】列舉相關規定,拓展適用規范
個人信息保護法理解與適用 內容簡介
本書以《個人信息保護法》的條文為藍本,結合我國《民法典》關于個人信息的相關規定,逐條、深入、細致地闡釋法律條文的涵義及適用要點。全書從條文要旨、規范目的、立法理由、疑點與難點及相關爭議等不同層面,全景式地介紹了《個人信息保護法》的新規定新理念和新精神。
個人信息保護法理解與適用 目錄
**章總則
◆ 本章概述
**條【立法目的】
◆ 條文要旨
◆ 理解與適用
一、立法背景
二、立法目的
三、我國的個人信息保護法律體系
◆ 疑點與難點
《個人信息保護法》與《民法典》的關系問題
◆ 相關規定
第二條【個人信息受法律保護】
◆ 條文要旨
◆ 理解與適用
一、個人信息受法律保護
二、個人信息權益的性質
◆ 疑點與難點
一、隱私權與個人信息權益的區別
二、私密信息與非私密信息的區分
◆ 相關規定
第三條【空間適用范圍】
◆ 條文要旨
◆ 理解與適用
一、法律的空間適用范圍與域外效力
二、我國個人信息保護法的空間適用范圍
◆ 相關規定
第四條【個人信息與個人信息處理的含義】
◆ 條文要旨
◆ 理解與適用
一、個人信息的含義
二、個人信息處理的含義
◆ 疑點與難點
一、數據與信息、個人數據與個人信息的關系
二、大數據與個人信息的處理
◆ 相關規定
第五條【合法、正當、必要與誠信原則】
◆ 條文要旨
◆ 理解與適用
一、規定個人信息處理活動基本原則的意義
二、合法原則
三、正當原則
四、必要原則
五、誠信原則
◆ 疑點與難點
民法與個人信息保護法上的脅迫
◆ 相關規定
第六條【目的限制原則】
◆ 條文要旨
◆ 理解與適用
一、目的限制原則的概念
二、目的限制原則的意義
三、目的限制原則的具體要求
四、個人信息*小化原則
◆ 相關規定
第七條【公開透明原則】
◆ 條文要旨
◆ 理解與適用
一、公開透明原則的意義
二、公開透明原則的體現
◆ 相關規定
第八條【質量原則】
◆ 條文要旨
◆ 理解與適用
一、質量原則的含義
二、質量原則的具體要求
◆ 疑點與難點
個人信息不準確或不完整的民事責任問題
◆ 相關規定
第九條【責任原則與安全原則】
◆ 條文要旨
◆ 理解與適用
一、責任原則
二、安全原則
◆ 相關規定
第十條【禁止非法的個人信息處理活動】
◆ 條文要旨
◆ 理解與適用
一、合法原則的體現
二、非法處理個人信息行為的類型
◆ 相關規定
第十一條【建立健全個人信息保護制度】
◆ 條文要旨
◆ 理解與適用
◆ 相關規定
第十二條【個人信息保護的國際交流與合作】
◆ 條文要旨
◆ 理解與適用
◆ 相關規定
第二章個人信息處理規則
◆ 本章概述
**節一般規定
第十三條【個人信息處理的合法性根據】
◆ 條文要旨
◆ 理解與適用
一、個人信息處理的合法性根據
二、告知同意規則
三、法定許可
◆ 疑點與難點
一、為訂立個人作為一方當事人的合同所必需時是否可以無需取得個人同意
二、為履行法定職責或法定義務所必需之間的差別
三、緊急情況下為保護自然人的生命健康和財產安全所必需與其他合法理由的差異
四、是否應當規定處理者可以為了自身或第三人的合法利益而處理個人信息
◆ 相關規定
第十四條【同意的要件與方式】
◆ 條文要旨
◆ 理解與適用
一、同意的含義
二、同意的要件
三、同意的類型
四、重新取得同意
◆ 疑點與難點
一、同意的明確與具體的關系
二、單獨同意與書面同意的關系
三、同意的期限問題
◆ 相關規定
第十五條【同意的撤回】
◆ 條文要旨
◆ 理解與適用
一、個人可以撤回同意的理由
二、個人有權撤回同意
三、處理者有義務告知個人有權撤回同意
四、撤回同意的法律效果
◆ 疑點與難點
一、撤回同意與意思表示的撤回、撤銷
二、撤回同意與反對權
三、撤回同意與刪除權
◆ 相關規定
第十六條【不得因撤回同意而拒絕提供產品或服務】
◆ 條文要旨
◆ 理解與適用
一、規范目的
二、處理個人信息屬于提供產品或者服務所必需的含義
◆ 疑點與難點
一、《個人信息保護法》第16條與第13條第1款2項的關系
二、處理者對個人的脅迫的認定與舉證責任
◆ 相關規定
第十七條【告知的內容與方式】
◆ 條文要旨
◆ 理解與適用
一、規范目的
二、告知的時間
三、告知的方式
四、通過制定個人信息處理規則的方式告知
五、應當告知的事項
◆ 疑點與難點
隱私政策與個人信息處理規則的關系
◆ 相關規定
第十八條【不向個人告知的情形】
◆ 條文要旨
◆ 理解與適用
一、規范目的
二、免于告知的情形
三、無法告知的情形
◆ 相關規定
第十九條【個人信息的保存期限】
◆ 條文要旨
◆ 理解與適用
一、規范目的
二、個人信息的保存期限應當為實現處理目的所必要的*短時間
三、法律、行政法規對個人信息保存期限的規定
◆ 相關規定
第二十條【共同處理個人信息及侵權連帶賠償責任】
◆ 條文要旨
◆ 理解與適用
一、共同處理者的含義
二、共同處理者侵害個人信息權益的民事責任
三、共同處理者內部約定的法律效力
◆ 疑點與難點
共同處理者內部的分攤與追償
◆ 相關規定
第二十一條【委托處理個人信息】
◆ 條文要旨
◆ 理解與適用
一、規范目的
二、處理個人信息的委托合同
三、委托人與受托人的義務
四、返還或刪除個人信息的義務
◆ 疑點與難點
一、委托處理個人信息未訂立合同
二、委托處理個人信息中受托人給委托人造成損失的賠償責任
三、受托人侵害個人信息權益的民事賠償責任
◆ 相關規定
第二十二條【因合并、分立等原因轉移個人信息】
◆ 條文要旨
◆ 理解與適用
一、規范目的
二、轉移個人信息的法定情形
三、告知義務的履行
四、接收方的義務
◆ 相關規定
第二十三條【向其他個人信息處理者提供個人信息】
◆ 條文要旨
◆ 理解與適用
一、概述
二、提供個人信息的具體場景
三、告知并取得單獨同意
四、接收方的義務
◆ 疑點與難點
“三重授權原則”與提供個人信息
◆ 相關規定
第二十四條【利用個人信息進行自動化決策】
◆ 條文要旨
◆ 理解與適用
一、規范目的
二、個人信息處理者負有保證決策的透明度和結果公平、公正的義務
三、個人信息處理者通過自動化決策方式進行信息推送、商業營銷
四、個人要求處理者說明并拒絕自動化決策的權利
◆ 疑點與難點
如何認定差別待遇是否合理?
◆ 相關規定
第二十五條【沒有取得個人單獨同意就不得公開個人信息】
◆ 條文要旨
◆ 理解與適用
一、規范目的
二、個人信息公開的含義
三、公開個人信息應取得個人的單獨同意
四、無須取得個人單獨同意而公開個人信息
◆ 疑點與難點
一、政府信息公開與個人信息公開
二、非法公開個人信息的法律責任
◆ 相關規定
第二十六條【公共場所收集個人信息】
◆ 條文要旨
◆ 理解與適用
一、規范目的
二、公共場所安裝圖像采集和個人身份識別設備的要求
三、收集的個人信息只能用于特定目的
◆ 相關規定
第二十七條【處理已經公開的個人信息】
◆ 條文要旨
◆ 理解與適用
一、規范目的
二、公開的個人信息的含義與類型
三、對公開的個人信息的處理規則
◆ 相關規定
第二節敏感個人信息的處理規則
第二十八條【敏感個人信息的含義與處理的特別要求】
◆ 條文要旨
◆ 理解與適用
一、敏感個人信息的含義
二、敏感個人信息的規范意義
三、處理敏感個人信息的要件
◆ 疑點與難點
一、私密信息與敏感個人信息的關系
二、個人沒有被公開的犯罪記錄是否屬于敏感個人信息
◆ 相關規定
第二十九條【處理敏感個人信息應取得單獨同意或書面同意】
◆ 條文要旨
◆ 理解與適用
一、處理敏感的個人信息應當取得單獨同意
二、法律行政法規規定取得個人書面同意的情形
◆ 相關規定
第三十條【處理敏感個人信息的特別告知事項】
◆ 條文要旨
◆ 理解與適用
◆ 相關規定
第三十一條【處理兒童的個人信息】
◆ 條文要旨
◆ 理解與適用
一、規范目的
二、十四歲以下未成年人的個人信息處理需要取得監護人同意
三、個人信息處理者的義務
◆ 疑點與難點
我國并未采取雙重同意規則
◆ 相關規定
第三十二條【處理敏感個人信息的行政許可或其他限制】
◆ 條文要旨
◆ 理解與適用
◆ 相關規定
第三節國家機關處理個人信息的特別規定
第三十三條【國家機關處理個人信息的法律適用】
◆ 條文要旨
◆ 理解與適用
一、國家機關與非國家機關處理個人信息的立法模式
二、國家機關處理個人信息活動的法律適用
◆ 疑點與難點
處理個人信息的國家機關的不同類型
◆ 相關規定
第三十四條【國家機關為履行法定職責處理個人信息】
◆ 條文要旨
◆ 理解與適用
一、規范目的
二、國家機關應當嚴格依法處理個人信息
◆ 相關規定
第三十五條【國家機關的告知義務】
◆ 條文要旨
◆ 理解與適用
一、國家機關為履行法定職責處理個人信息應當履行告知義務
二、國家機關免除告知義務的情形
◆ 相關規定
第三十六條【國家機關處理的個人信息應當在境內存儲】
◆ 條文要旨
◆ 理解與適用
一、規范目的
二、國家機關處理的個人信息應當在境內存儲
三、確需向境外提供的應當進行安全評估
◆ 相關規定
第三十七條【具有管理公共事務職能組織處理個人信息的參照
適用】
◆ 條文要旨
◆ 理解與適用
一、規范目的
二、法律、法規授權的具有管理公共事務職能的組織的含義
與類型
◆ 相關規定
第三章個人信息跨境提供的規則
◆ 本章概述
第三十八條【個人信息跨境轉移的條件】
◆ 條文要旨
◆ 理解與適用
一、概述
二、個人信息處理者因業務等需要確需向我國境外提供個人
信息
三、跨境提供個人信息應當具備的條件
四、我國締結與參加的國際條約或協定的規定
五、個人信息處理者負有保障境外接收方達到我國個人信息
保護標準的義務
◆ 相關規定
第三十九條【個人信息跨境提供時的告知同意】
◆ 條文要旨
◆ 理解與適用
一、規范目的
二、需要告知的事項
三、取得單獨同意
第四十條【關鍵信息基礎設施運營者等的境內存儲信息和安全
評估義務】
◆ 條文要旨
◆ 理解與適用
一、關鍵信息基礎設施運營者
二、處理個人信息達到國家網信部門規定數量的個人信息
處理者
三、境內存儲的含義
四、確需向境外提供的應當通過安全評估
◆ 疑點與難點
一、個人信息跨境提供的安全評估與個人信息保護影響評估
二、個人信息出境安全評估與網絡安全審查、數據安全審查
◆ 相關規定
第四十一條【國際司法協助與行政執法協助中個人信息的提供】
◆ 條文要旨
◆ 理解與適用
一、規范目的
二、國際司法協助和行政執法協助中境內存儲的個人信息
的提供
三、外國司法或執法機構要求個人信息處理者提供存儲于
我國境內的個人信息
◆ 相關規定
第四十二條【黑名單制度】
◆ 條文要旨
◆ 理解與適用
一、規范目的
二、適用要件
三、限制或禁止個人信息提供清單
◆ 相關規定
第四十三條【對等原則】
◆ 條文要旨
◆ 理解與適用
一、規范目的
二、實施機關與措施
◆ 相關規定
第四章個人在個人信息處理活動中的權利
◆ 本章概述
第四十四條【知情權與決定權】
◆ 條文要旨
◆ 理解與適用
一、知情權
二、決定權
三、知情權與決定權的排除
◆ 疑點與難點
◆ 相關規定
第四十五條【查閱復制權與可攜帶權】
◆ 條文要旨
◆ 理解與適用
一、查閱復制權
二、可攜帶權
◆ 疑點與難點
一、個人信息保護法中的查閱復制權與民法上的其他查閱
復制權的關系
二、個人信息的查閱復制權與政府信息公開的關系
三、查閱復制權行使中的具體問題
◆ 相關規定
第四十六條【更正補充權】
◆ 條文要旨
◆ 理解與適用
一、規范目的
二、更正補充權的主體
三、更正補充權的要件
◆ 相關規定
第四十七條【刪除義務和刪除權】
◆ 條文要旨
◆ 理解與適用
一、規范目的
二、刪除權的主體
三、應當刪除的情形
四、不得行使刪除權的情形
五、刪除的方式
六、處理者主動刪除時的告知義務
七、刪除的時間
◆ 疑點與難點
一、刪除權與被遺忘權
二、刪除權與被侵權人通知網絡服務提供者采取刪除等措施
的權利
◆ 相關規定
第四十八條【解釋說明權】
◆ 條文要旨
◆ 理解與適用
一、規范目的
二、個人信息處理規則
三、解釋說明權的主體
第四十九條【死者的個人信息】
◆ 條文要旨
◆ 理解與適用
一、規范目的
二、比較法上對死者個人信息的不同規范模式
三、我國《民法典》對死者人格利益的保護
四、我國《個人信息保護法》的規定
五、近親屬對死者個人信息行使相應權利的要件
六、近親屬能夠對死者個人信息行使的權利的類型
◆ 相關規定
第五十條【個人信息處理者保障權利行使和說明的義務】
◆ 條文要旨
◆ 理解與適用
一、規范目的
二、便捷的個人行使權利的申請受理和處理機制
三、拒絕個人行使權利的請求的應說明理由
四、個人有權提起訴訟
◆ 疑點與難點
《網絡安全法》第49條的規定
◆ 相關規定
第五章個人信息處理者的義務
◆ 本章概述
第五十一條【采取措施確保個人信息處理活動合法并保護安全】
◆ 條文要旨
◆ 理解與適用
一、規范目的
二、個人信息處理者采取必要措施時的考量因素
三、措施的類型
四、具體的措施
◆ 相關規定
第五十二條【個人信息保護負責人】
◆ 條文要旨
◆ 理解與適用
一、規范目的
二、個人信息保護負責人的指定
三、個人信息保護負責人的任職資格
四、個人信息保護負責人的地位
五、個人信息保護負責人的任務
六、公布并報送個人信息保護負責人的聯系方式
◆ 疑點與難點
網絡安全負責人與個人信息保護負責人
第五十三條【境外個人信息處理者設立專門機構或指定代表】
◆ 條文要旨
◆ 理解與適用
一、規范目的
二、設立專門機構或指定代表并報送相關信息
◆ 疑點與難點
《個人信息保護法》第53條與第52條的區別
第五十四條【定期合規審計義務】
◆ 條文要旨
◆ 理解與適用
一、規范目的
二、定期合規審計義務
第五十五條【個人信息保護影響評估與記錄義務】
◆ 條文要旨
◆ 理解與適用
一、規范目的
二、個人信息保護影響評估義務
三、記錄義務
◆ 疑點與難點
一、個人信息保護影響評估與安全評估的關系
二、個人信息保護影響評估與重要數據處理中的風險評估
◆ 相關規定
第五十六條【個人信息保護影響評估的內容】
◆ 條文要旨
◆ 理解與適用
一、個人信息保護影響評估的內容
二、個人信息保護影響評估保護和處理情況記錄的保存期限
第五十七條【個人信息泄露時的補救措施與通知義務】
◆ 條文要旨
◆ 理解與適用
一、規范目的
二、個人信息泄露、篡改、丟失
三、個人信息處理者應當采取的補救措施
四、個人信息處理者的通知義務
◆ 疑點與難點
個人信息安全事件與網絡安全事件
◆ 相關規定
第五十八條【特殊的個人信息處理者的義務】
◆ 條文要旨
◆ 理解與適用
一、規范目的
二、特殊的個人信息處理者
三、個人信息保護的特殊義務
◆ 相關規定
第五十九條【委托處理中受托人的義務】
◆ 條文要旨
◆ 理解與適用
一、規范目的
二、保障所處理的個人信息安全的義務
三、協助個人信息處理者的義務
◆ 相關規定
第六章履行個人信息保護職責的部門
◆ 本章概述
第六十條【履行個人信息保護職責的部門的界定與職責分工】
◆ 條文要旨
◆ 理解與適用
一、履行個人信息保護職責的部門的含義
二、國家網信部門負責統籌協調個人信息保護工作和相關
監督管理工作
三、國務院有關部門依法履行個人信息保護和監管工作
四、縣級以上地方人民政府有關部門按照國家規定確定個人
信息保護和監督管理職責
◆ 相關規定
第六十一條【履行個人信息保護職責的部門應當履行的職責】
◆ 條文要旨
◆ 理解與適用
一、規范目的
二、個人信息保護職責的具體內容
◆ 相關規定
第六十二條【國家網信部門統籌協調的個人信息保護工作】
◆ 條文要旨
◆ 理解與適用
一、規范目的
二、統籌協調個人信息保護工作的具體內容
◆ 相關規定
第六十三條【履行個人信息保護職責的部門的執法措施】
◆ 條文要旨
◆ 理解與適用
一、規范目的
二、履行個人信息保護職責的部門可以采取的措施
◆ 疑點與難點
有權實施現場檢查不等于可以搜查公民住宅
◆ 相關規定
第六十四條【行政約談與強制合規審計】
◆ 條文要旨
◆ 理解與適用
一、行政約談
二、強制進行合規審計
三、發現違法處理個人信息涉嫌犯罪的應當移送公安機關
◆ 相關規定
第六十五條【對違法個人信息處理行為的投訴和舉報】
◆ 條文要旨
◆ 理解與適用
一、投訴和舉報違法個人信息處理活動是個人和組織的權利
二、有關部門應當依法及時處理
三、有關部門公布接受投訴、舉報的聯系方式
……
展開全部
個人信息保護法理解與適用 節選
第十四條【同意的要件與方式】 基于個人同意處理個人信息的,該同意應當由個人在充分知情的前提下自愿、明確作出。法律、行政法規規定處理個人信息應當取得個人單獨同意或者書面同意的,從其規定。 個人信息的處理目的、處理方式和處理的個人信息種類發生變更的,應當重新取得個人同意。 ◆ 條文要旨 本條是對同意的有效要件與同意的方式的規定。 ◆ 理解與適用 一、同意的含義 個人對其個人信息的處理享有知情權、決定權,有權限制或者拒絕他人對其個人信息進行處理,除非法律、行政法規另有規定(《個人信息保護法》第44條)。個人信息處理中的告知同意規則正是為了尊重和保護個人對其個人信息處理的知情權和決定權而產生的規則。它要求個人信息處理者只有在告知并取得其信息被處理的個人的同意后,才能對該自然人的個人信息進行相應的處理活動,否則該處理行為就是非法行為,構成對個人信息權益的侵害。《*高人民法院關于審理使用人臉識別技術處理個人信息相關民事案件適用法律若干問題的規定》第2條第3項規定,基于個人同意處理人臉信息的,未征得自然人或者其監護人的單獨同意,或者未按照法律、行政法規的規定征得自然人或者其監護人的書面同意的,人民法院應當認定屬于侵害自然人人格權益的行為。取得信息主體即個人的同意(Consent)是個人信息處理行為具有合法性的重要根據。此種在取得個人同意后才能實施的個人信息處理,被稱為“基于個人同意處理個人信息”。 對于個人信息保護法上的“同意”的含義,一些國家和地區的立法作出了規定。歐盟《一般數據保護條例》第4條第11款將“數據主體的同意”(consent of the data subject)界定為:“數據主體依其個人意愿自由、明確、知情且清晰地通過陳述或積極行為,就與其相關的個人數據的處理作出的同意。”(consent of the data subject means any freely given,specific,informed and unambiguous indication of the data subject.s wishes by which he or she,by a statement or by a clear affirmative action,signifies agreement to the processing of personal data relating to him or her.)該定義與1995年10月24日歐洲議會《關于涉及個人數據處理的個人保護以及此類數據自由流動的第95/46/EC號指令》(DPD)中的定義是一致的,指令第2條(h)項將數據主體的同意界定為“數據主體自由作出的特定與知情的指示,表示其同意對于與其相關的數據進行處理”。2018年巴西《通用數據保護法》第5條第12款規定,同意是指“數據主體同意為特定目的處理其個人數據自由、知情和明確的聲明”。我國臺灣地區“個人資料保護法”第7條第1款、第2款規定:“第十五條第二款及第十九條**項第五款所稱同意,指當事人經搜集者告知本法所定應告知事項后,所為允許之意思表示。第十六條第七款、第二十條**項第六款所稱同意,指當事人經搜集者明確告知特定目的外之其他利用目的、范圍及同意與否對其權益之影響后,單獨所為之意思表示。” 同意是具有統一的法律性質,還是在不同的部門法中性質各有不同,存在很大的爭議。See Michael Funke,Dogmatik und Voraussetzungen der datenschutzrechtlichen Einwilligung im Zivilrecht:Unter besonderer Berücksichtigung der Datenschutz-Grundverordnung,Nomos,2017.S.38-85.就個人信息保護法中個人同意的性質,學說上也存在不同的看法,主要有以下兩種觀點: 一是雙重屬性說,此說認為,同意具有雙重屬性,一方面它是侵權法上阻卻違法的事由,另一方面它又是法律行為。劉召成:《人格商業化利用權的教義學構造》,載《清華法學》2014年第3期。換言之,在合同領域與在侵權領域中,同意有不同的含義。在侵權領域中,“同意”作為侵權法上的免責事由可歸入“受害人同意”的范疇,在構成要件上包括必須有明確具體的內容、受害人須具有同意能力、同意必須真實自愿、加害人必須盡到充分的告知說明義務;在合同領域中,同意可能成為相關合同給付內容的一部分,因此當事人須具備相應的行為能力。陸青:《個人信息保護中“同意”規則的規范構造》,載《武漢大學學報(哲學社會科學版)》2019年第5期。持雙重屬性說的學者,主要是從個人信息既存在消極防御的問題,也存在積極利用的問題角度出發來認識同意的性質,即從消極防御的角度說,同意就是違法阻卻事由,而從積極利用的層面看,同意就是個人在授權他人商業利用個人信息。 二是單一屬性說,此說又可分為權益處分說、意思表示說。持權益處分說的學者認為,“同意”是一種對于個人信息權益的處分,但是,這種處分不能脫離商品或服務合同的語境而單獨存在,只能被視為個人信息主體為了獲得相應的商品或服務而必須作出的權利處分。萬方:《個人信息處理中的“同意”與“同意撤回”》,載《中國法學》2021年第1期。持意思表示說的學者認為,同意本身是自然人作出的意思表示,《民法典》總則編關于意思表示的規定完全可以適用于自然人就個人信息處理所作出的同意。故此,自然人因欺詐、脅迫或重大誤解而作出的意思表示,是可以撤銷的意思表示。王利明、程嘯:《中國民法典釋評·人格權編》,中國人民大學出版社2020年版,第457頁;陳.d、謝鴻飛主編:《民法典評注·人格權編》,中國法制出版社2020年版,第379頁。《草案一審稿》曾采取意思表示說,該草案第14條第1款第1句規定:“處理個人信息的同意,應當由個人在充分知情的前提下,自愿、明確作出意思表示。”不過,在《草案二審稿》中該條被修改為“處理個人信息的同意,應當由個人在充分知情的前提下自愿、明確作出”。其中,刪除了“意思表示”一詞,這表明立法機關放棄了意思表示說。*終頒布的《個人信息保護法》也沒有再將同意界定為“意思表示”。 本書認為,在個人信息保護法中,信息主體就其個人信息被處理而作出的同意(Einwilligung)在性質上屬于違法阻卻事由(免責事由),而非意思表示。所謂違法阻卻事由,是在區分違法性與過錯的立法例中采取的概念。例如,德國法認為,違法阻卻事由是指對暫時認定的違法性的反駁,即法律所認可的針對假定違法性的一種特殊例外。\[德\]埃爾溫·多伊奇、漢斯-于爾根·阿倫斯:《德國侵權法——侵權行為、損害賠償及痛苦撫慰金(第五版)》,葉名怡、溫大軍譯,中國人民大學出版社2016年版,第44頁。德國法上的違法阻卻事由包括正當防衛、緊急避險、自助行為、維護正當利益、同意等。我國《民法典》沒有明確區分違法性與過錯,學說上通常不使用“違法阻卻事由”的概念,而是用免責事由來包含違法阻卻事由。我國《民法典》中的免責事由包括:不可抗力(第180條)、正當防衛(第181條)、緊急避險(第182條)、自愿實施緊急救助行為(第184條)、受害人故意(第1174條)、第三人行為(第1175條)、自甘冒險(第1176條)、自助行為(第1177條)以及同意(第1219條、第1036條)。但是,這些免責事由中有些是通過排除加害行為與權益被侵害之間的因果關系以致侵權責任不成立,有些則是排除行為的違法性(或過錯)而使得行為人無須承擔侵權責任。前者如受害人故意、第三人行為等,后者如同意、自助行為、緊急避險、正當防衛。 就個人信息處理中信息主體的同意而言,其為個人信息處理行為提供了合法根據,排除了該行為的非法性,從而使得處理行為具有合法基礎,不構成對個人信息權益的侵害行為。具體而言,個人的同意所引發的私法上的法律效果為:個人同意的公法上的效果即處理行為不構成行政違法行為,不會遭受有關行政機關的行政處罰。取得個人同意的個人信息處理行為,只要處理者不超出自然人同意的范圍(包括自然人所同意的處理主體、處理目的、處理方式和處理的個人信息種類等),原則上該行為就不構成侵權行為。自然人享有個人信息權益,意味著其他組織或個人需要尊重該權益而不得侵犯它,同樣,承認自然人的個人信息權益就必然導致對他人行為自由的限制。處理者對自然人的個人信息進行收集、存儲、使用、加工、傳輸、提供、公開、刪除等行為,客觀上就構成對自然人的個人信息權益的侵入或干擾,破壞了法秩序,具有(暫時認定的)非法性。要排除這種非法性,就必須具備法律上的正當性(Legal Justifications)。在個人信息保護法上,此種正當性要么來自個人的同意,要么來自法律、行政法規的規定即法定的許可(legal permission),二者構成了全部個人信息處理的法律基礎。Paul Voigt & Axel von dem Bussche,The EU General Data Protection Regulation(GDPR):A Practical Guide,Springer,2017,P.92.作為個人信息權益的所有者的個人,可以對自己的權益進行合法的處分,其可以自行處分,也可以同意他人對自己的民事權益作出處分。因此,在得到民事權益所有者的同意后,被同意者實施的客觀上侵害他人民事權益的行為,對于同意者而言,不構成侵害。同時,法律、行政法規也可以基于促進個人信息的合理利用、維護公共利益、國家利益等理由而特別規定,某些情形下不需要取得個人的同意就可以處理其個人信息。《民法典》第1035條第1款第1項規定,處理個人信息必須“征得該自然人或者其監護人同意,但是法律、行政法規另有規定的除外”。所謂法律、行政法規另有規定的除外,包括《個人信息保護法》第13條第1款第2—7項列舉的六大類無須取得個人同意的情形。 二、同意的要件 對個人信息的處理影響了自然人的個人信息權益,屬于非常重大的事情,為了更好地保護自然人,應當明確個人同意的有效要件,即在滿足哪些條件之后,個人對其個人信息的處理所作的同意才是有效的,才能發生阻卻處理行為違法性的法律效果。比較法上不少國家或地區的立法對此都有規定。例如,依據歐盟《一般數據保護條例》第4條第11款,有效的同意必須具備四個要件:(1)自由地作出(freely given);(2)具體的(specific);(3)被告知的(informed);(4)明確的(unambiguous)。這一標準被人們認為提高了有效同意的門檻,歐盟的數據保護機構也傾向于嚴格地解釋這四項標準。Christopher Kuner,Lee A.Bygrave & Christopher Docksey ed.,The EU General Data Protection Regulation (GDPR):A Commentary,Oxford University Press,2020,P.181.依據德國《聯邦數據保護法》第51條的規定,同意只有在數據主體自由作出決定時有效,而評估是否屬于自由決定,必須考慮給予同意的情況。同時,應當告知數據主體處理的逾期目的,如有必要在個別情況下或數據主體提出要求時,還要將拒絕同意的后果告知數據主體。再如,巴西《通用數據保護法》第8條規定:“本法第七條第I項所規定的同意,應當以書面方式或者其他能夠證明數據主體表現意愿的方式提供。(1)如果同意是以書面形式提供的,它應區分于其他合同條款,并單獨、重點顯示。(2)控制者有責任證明已依照本法取得同意。(3)如果同意有瑕疵,禁止處理個人數據。(4)同意應為了特定目的而作出。為處理個人數據獲取的一般授權應為無效。(5)只要不做出根據本法第18條第VI項規定的刪除請求,同意可以通過便捷和免費的流程,隨時被數據主體明確表示撤回,這是對基于先前同意而做處理的矯正。(6)如果本法第9條第I、II、III或者V項所涉及的信息發生變更,數據控制者應當通知數據主體,尤其應告知其所變更的內容。在這種情況下,數據主體的同意是必須的,如果數據主體不同意該等變更,其可以撤回同意。” 《個人信息保護法》第14條第1款第1句對同意的一般有效要件作出了規定:“基于個人同意處理個人信息的,該同意應當由個人在充分知情的前提下自愿、明確作出。”從這一規定可知,有效的同意應當具備三項要件:(1)充分知情;(2)自愿;(3)明確。此外,依據第14條第1款第2句,如果法律、行政法規規定處理個人信息應當取得個人單獨同意或者書面同意的,從其規定。也就是說,法律、行政法規規定的單獨同意或者書面同意屬于特殊的有效要件。本部分僅討論同意的一般有效要件,單獨同意或者書面同意放在同意的類型中加以討論。 (一)作出同意的個人應當具有同意能力 在個人信息處理中,只有當作出同意的自然人具有同意能力(capacity to consent/ Einwilligungsf.|higkeit)時作出的同意方屬有效。例如,《美國侵權行為法重述(第二次)》第892A條第2款規定,有效的同意,是指有同意能力的人或經授權代理作出同意的人所作出的同意,且該同意是就特定行為而作出的或就實質上相同的行為而作出的。同意能力不同于行為能力。在法律行為制度中,為了維護交易安全從而要求從事法律行為的當事人必須具備行為能力,無民事行為能力人必須由其法定代理人代理實施民事法律行為,其單獨實施的民事法律行為屬于無效的民事法律行為(《民法典》第20條、第21條;第144條);限制民事行為能力人實施民事法律行為要由其法定代理人代理或者經其法定代理人同意、追認,未經同意或追認的法律行為無效或者相對人可以撤銷,但是,限制民事行為能力人可以獨立實施純獲利益的民事法律行為或者與其年齡、智力、精神健康狀況相適應的民事法律行為(《民法典》第19條、第22條;第145條)。《民法典》第17條與第18條規定,十八周歲以上的自然人為成年人,不滿十八周歲的自然人為未成年人。成年人為完全民事行為能力人,可以獨立實施民事法律行為。十六周歲以上的未成年人,以自己的勞動收入為主要生活來源的,視為完全民事行為能力人。第19條至第22條規定,不滿八周歲的未成年人以及不能辨認自己行為的成年人為無民事行為能力人;八周歲以上的未成年人以及不能完全辨認自己行為的成年人為限制民事行為能力人。 由于自然人的同意是其對自己權益的處分,不能完全適用民法中關于行為能力的規定。作出同意的個人是否具有同意能力,關鍵在于能否認識到行為的后果,即有無識別能力,而這需要根據案件的具體情形予以個別的判斷。Soergel-Siebert,§823,1988,Rn.196f.也就是說,限制行為能力人或者無民事行為能力人并不一定就沒有同意能力。例如,小學生A可以同意B將其書本扔掉,但是對于器官切除手術,則無行為能力人與限制行為能力不具有同意能力,必須經過法定代理人的允許。同意能力是一個人對其決定的性質、程度以及可能產生的后果的理解能力。兒童、醉漢、神志不清的人、精神病人或者低智能者作出的同意一般是無效的。他們的同意只能由其監護人作出。Vincent R.Johnson,Mastering Torts,Carolina Academic Press,1995,P.40.例如,在英國,依據1969年《家庭改革法》第8條,年滿十六歲的未成年人可以就對其進行的醫療行為作出同意。而依據一些英國法院的判例,低于該年齡的未成年人只要能夠充分了解醫療行為的后果,也能作出同意。如果未成年人就醫療行為已作出同意但是其監護人反對時,則該同意依然有效。W.V.H.Rogers,Winfield and Jolowicz on Tort,14th.ed.,Sweet & Maxwell,1994,P.725. 從我國《未成年人保護法》及《個人信息保護法》的規定來看,個人信息處理者處理不滿十四周歲未成年人個人信息的,應當取得未成年人的父母或者其他監護人的同意。故此,可以肯定的一點是:十四周歲以下的未成年人在個人信息處理中不具有同意的能力,其作出的同意是無效的。至于十四周歲以上的未成年人,以及因疾病等原因而不能辨認或不能完全辨認自己行為的成年人,一旦就是否具有同意能力發生爭執時,法院需要根據個人信息的處理目的、處理方式、處理的個人信息的種類、可能對個人權益產生的不利益后果等多種因素加以具體的認定。 (二)同意是個人在充分知情的前提下作出的 任何有效的同意都應當在同意者充分知情的前提下作出。如果不知情,那么這種同意就不是真實的,是無效的。由于個人信息處理活動中,處理者與個人之間的信息是不對稱的,因此,同意規則必須與告知規則密切聯系,即要求處理者必須充分告知,從而確保個人是在充分知情的前提下作出同意的,否則,處理者不告知或告知不充分,而個人在完全不知情或不充分知情的情況下所作出的同意就是無效的。簡言之,個人信息處理者為處理個人信息而取得個人同意之前,應當履行告知義務,為個人提供相應的知識。例如,要告知個人,處理其個人信息的主體是誰,處理的目的是什么,處理的方式與范圍如何等相關知識。這一要求也是個人信息處理中的透明原則的要求。 透明原則(The transparency principle),也稱公開透明原則。它是指處理個人信息時應當采取公開、透明的方式,公開個人信息處理的規則,向信息主體明示個人信息處理的目的、處理的方式和處理的范圍。之所以要確立這一原則,是因為自然人對其個人信息的處理享有知情權和決定權。如果個人信息處理者不以公開、透明的方式處理個人信息,而是采取隱秘的、暗箱操作的方式,那么,即便個人表示了同意,其同意也不是真實的同意,此種處理行為也屬于非法處理行為。歐盟《一般數據保護條例》在導言部分第39條對此有一個比較清晰的說明——“透明性原則要求任何有關這些個人數據處理的信息和通信都應可輕松獲取且容易理解,并且使用通俗易懂的語言。這一原則特別涉及數據主體關于控制者身份的信息和處理目的以及進一步處理的信息,以確保對有關自然人的公正和透明的處理以及獲得有關其正在被處理的數據的個人確認和通信的權利。應該讓自然人了解與處理個人數據有關的風險、規則、保障和權利,以及如何行使與處理有關的權利。特別是,處理個人數據的具體目的應清晰且合法,并在收集個人數據時予以明確”。包括歐盟《一般數據保護條例》在內的許多國家或地區的數據保護和個人信息保護法都要求處理者必須遵循透明的原則。例如,早在1980年《經濟合作與發展組織關于隱私保護和個人數據跨疆界流動的指導原則》中就提出了公開原則,并認為“公開原則可能被視為個人參與原則的先決條件,后一原則要生效,獲得關于個人數據的收集、儲存或利用的信息在實踐上必須是可能的。在自愿的基礎上從數據控制者處獲得的常規信息,涉及個人數據處理的活動的描述的官方登記者的出版活動和公共機構的登記,是一些(雖然不是全部)可能實現此種原則的方法”。再如,2018年美國加利福尼亞州《消費者隱私法案》(CCPA)在第2節立法目的中明確指出:“人們期許隱私和其信息的更多控制。加利福尼亞消費者應當能夠就其個人信息行使控制權,并且期待防治個人信息濫用的保護措施。企業可能在尊重消費者隱私的同時,就其企業活動提供高水平的透明度。”依據2018年巴西《通用數據保護法》第6條第6款的規定,個人數據處理應當遵循透明原則,即“保證數據主體能夠就數據處理和相應的處理代理人獲得清晰、準確和易得的信息,且遵守商業和企業機密”。 在我國,《全國人民代表大會常務委員會關于加強網絡信息保護的決定》第2條規定:“網絡服務提供者和其他企業事業單位在業務活動中收集、使用公民個人電子信息,應當遵循合法、正當、必要的原則,明示收集、使用信息的目的、方式和范圍????”《網絡安全法》第41條第1款規定:“網絡運營者收集、使用個人信息,應當遵循合法、正當、必要的原則,公開收集、使用規則,明示收集、使用信息的目的、方式和范圍,并經被收集者同意。”《民法典》第1035條也要求個人信息處理者應當“公開處理信息的規則”“明示處理信息的目的、方式和范圍”。《個人信息保護法》第7條規定:“處理個人信息應當遵循公開、透明原則,公開個人信息處理規則,明示處理的目的、方式和范圍。” 為了確保個人是在充分知情的前提下作出同意的,《個人信息保護法》第17條對于個人信息處理者在處理個人信息前應當先向個人告知的事項以及告知方式等作出了細致的規定。本書認為,處理者只有在處理個人信息之前,根據《個人信息保護法》第17條第1款的規定按照相應的方式告知了相應的事項,才能認為個人處于充分知情的前提下。歐盟第29條工作組在2017年通過的《對第2016/679號條例下同意的解釋指南》中認為,獲得有效同意至少需要以下信息:(1)控制者的身份;(2)需尋求同意的每個處理操作的目的;(3)將收集和使用什么(類型的)數據;(4)存在用戶撤回同意的權利;(5)根據GDPR第22條第2款(c)項使用數據進行自動決策的相關信息;(6)由于缺乏充分性決定和GDPR第46條所述的適當保障措施,可能存在的數據轉移風險。需要注意的是,所謂“在充分知情的前提下”,只是要求個人信息處理者在取得個人同意前,應當按照法律、行政法規的要求確保個人為作出有效同意而需要知道的東西,全部處于可以獲取的狀態。至于作出同意的個人事實上會不會去了解處理者通過個人信息處理規則或者隱私政策等方式所告知的事項,則取決于個人。 ……
個人信息保護法理解與適用 作者簡介
程嘯,法學博士、清華大學法學院教授、博士生導師、法學院副院長。入選2017年度教育部長江學者獎勵計劃青年學者,兼任最高人民法院執行特邀咨詢專家、最高人民檢察院民事行政訴訟監督案件專家委員會委員、中國消費者協會專家委員會專家、北京市不動產法研究會副會長、中國銀行間市場交易商協會第三屆法律專業委員會副主任委員、北京仲裁委員會/北京國際仲裁中心仲裁員、中國法學會民法學研究會理事等。另兼任北京金融法院、北京市朝陽區人民法院、北京市海淀區人民法院、廣州市中級人民法院等法院的專家咨詢委員會委員,曾掛職擔任北京市懷柔區人民法院副院長 (2015—2019)。 主要研究領域為民法、個人信息保護法、不動產法等,先后參與民法典、個人信息保護法等法律法規與司法解釋的起草論證工作。在 《中國社會科學》 《法學研究》 《中國法學》等期刊發表論文100余篇,在 《人民日報》 《法治日報》等報刊發表文章數十篇;出版 《侵權責任法》 《擔保物權研究》 《不動產登記法研究》《保證合同研究》等獨著著作11部;出版 《民法學》 《中國民法典釋評·人格權編》《最高人民法院新擔保司法解釋理解與適用》等合著著作7部。主持國家社科基金重大項目、重點項目等國家和省部級課題7項,橫向課題10余項。
書友推薦
- >
名家帶你讀魯迅:故事新編
- >
自卑與超越
- >
上帝之肋:男人的真實旅程
- >
小考拉的故事-套裝共3冊
- >
史學評論
- >
月亮虎
- >
新文學天穹兩巨星--魯迅與胡適/紅燭學術叢書(紅燭學術叢書)
- >
唐代進士錄
本類暢銷
