AD
在对网络用户信息进行处理过程中,欧美及我国基于其互联网发展历程、数据产业特点以及个人信息保护角度等不同会采取不同的保护机制。本文主要从opt-in及opt-out的角度进行讨论。opt-in即选择加入机制,由数据主体自主决定是否加入到某一数据处理活动内,这一自主决定基本上是在数据收集环节就会做出,且自主决定的权利会贯彻整个数据处理的环节;opt-out即选择退出机制,即数据处理决定权由企业拥有,但是在此过程中数据主体可以对此提出拒绝,该拒绝的提出可以发生在数据处理的任何环节内。
一、欧洲网络用户信息处理机制:opt-in
欧洲对于个人数据的保护是提升到了基本人权的高度,因此从《一般数据保护条例》即GDPR的规定来看其设定的数据处理机制是opt-in机制,将数据处理权的初始决策交由用户来决定,同时数据处理整个过程均需要数据主体的同意或基于数据主体的权益而展开。
GDPR六项合法处理场景:场景一数据主体的授权同意即为主动选择机制;场景二基于数据主体参与合同的必要性,说明数据处理的前提是数据主体签订或需要履行合同情况下,主体参与决策权依然在数据主体侧;场景六基于控制者追求的合法利益,且这种利益与数据主体的权利和自由不冲突时,在此情况下数据主体的利益依然为最高的。而在场景三、四、五中,基于控制者的法律义务、数据主体或第三人的切身利益、履行公务职权时对数据的处理虽然不需要征得数据主体的事先同意,但是也是从根本上在保障数据主体基本权益。
另外,从GDPR所确立的数据主体各项权益来看,数据主体在每一个处理环节均享有决策权,是在整个数据处理过程中对于用户opt-in权利的切实履行和实现。
二、美国网络用户信息处理机制:
opt-out为主,opt-in为辅
美国适用的是opt-out为主,opt-in为辅的机制,将数据处理的初始决策权交由公司,提供用户选择退出的权利。在该机制下收集无需事先征得数据主体的同意,但是在后续使用、售卖过程中需要给用户拒绝的权利。美国opt-out机制的盛行得益于在线广告业务的发展,大型互联网公司组成了行业自律组织,积极制定并完善了opt-out机制,并最终获得了政府的认可。当在线广告业务需求可能涉及到直接涉及个人隐私或敏感信息时,行业内则是目前的选择了opt-in的机制。
opt-out为主
《2018年加州消费者隐私法案》是美国各州目前就个人信息保护最为具体且严格的法律条款,但是从其1798.100(a)消费者有权要求收集消费者个人信息的企业向其披露企业收集的个人信息的类别和具体要素。首先确定的是企业披露的义务,即企业在收集后应当对其收集的信息向消费者告知。只有事先进行了信息的收集,才会产生后续向消费者的披露。
1798.100(b)收集消费者个人信息的企业应当在收集时或者收集前告知消费者所收集个人信息的类别以及个人信息的使用目的。在未向消费者提供符合本节要求的告知情况下,企业不得收集其他类别的个人信息,或者将所收集个人信息用于其他目的。此处使用的是“告知”,即企业无需征得明确的同意,只要满足告知义务即可。结合目前通过线上协议勾选获得的授权可以想到此处的告知可以通过多种方式一次性便捷的完成。
1798.120(a)消费者有权在任何时候指示一个欲将消费者个人信息出售给第三方的企业不得出售该消费者的个人信息。在以出售为目的的个人信息商业化使用过程中,明确消费者拥有的是opt-out机制。
opt-in为辅
1798.120(d)尽管有第(a)条规定,如果企业实际明知消费者年龄小于16岁,企业不应出售该消费者的个人信息,除非消费者的年龄是在13至16岁之间,或父母或监护人已明确授权企业可以出售年龄小于13岁的消费者个人信息。企业任何故意忽视消费者年龄的行为应被视为其已明确知晓该消费者年龄。当涉及未成年人信息的处理时,消费者拥有的则是opt-in的权利。
另外,在在线广告自律组织行为准则内,对于直接的个人信息、位置信息、敏感信息三类时需要做到opt-in。由数字广告公司于2000年成立的自律协会NAI在其《NAI 行为准则》内将在线数据分为三类,即个人识别信息(Personal identifiable Information,简称 PII,即可以直接识别个人的信息,如公民姓名、住址、电话号码等)、设备识别信息(Device identifiable information,简称DII,即与设备、浏览器相关的信息,如IP地址等)、去识别信息(De-identified Data,此类信息主要是经过加工处理后无法进行识别的个人信息)。在此基础上,又将精准位置信息(Precise Location Data)及敏感信息(Sensitive Data,包括PII中涉及人身、财产、健康及性倾向等的敏感信息和DII中涉及到医疗、性取向的信息)进行了单独分类。当处理到直接的个人信息、精准的位置信息及敏感信息时依然使用的是opt-in的处理机制。
三、中国网络用户信息处理机制:
opt-in为主opt-out为辅
我国对于收集、使用及对外提供个人数据时明确规定需要数据主体的同意。但是考虑到一些具体的业务无法事先获得同意的情况下则赋予数据主体事后拒绝的权利。
opt-in为主
《网络安全法》第四十一条网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。经被收集者同意说明我国对于网络运营者信息收集采用的是数据主体opt-in机制。但是需要注意的是,此条并未考虑到其他合理处理情况、例外豁免情况或实际无法获得同意的情况。
《消费者权益保护法》第二十九条经营者收集、使用消费者个人信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经消费者同意。经营者收集、使用消费者个人信息,应当公开其收集、使用规则,不得违反法律、法规的规定和双方的约定收集、使用信息。消法二十九条为2014年修订时新增,但是在当时仍然没有考虑到数据处理可能面临的复杂情况,因此仅规定了opt-in的处理机制。
《最高人民法院最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第三条第二款未经被收集者同意,将合法收集的公民个人信息向他人提供的,属于刑法第二百五十三条之一规定的“提供公民个人信息”,但是经过处理无法识别特定个人且不能复原的除外。此条明确了及时合法收集的公民个人信息在对外提供时也是需要征得被收集者同意的,即将opt-in的机制延伸到了数据处理的对外提供环节。
opt-out为辅
在广告发布、短信营销等过程中,由于无法事先获得数据主体的同意时,针对此类具体业务则是在部门规章内明确了opt-out机制。
《互联网广告管理暂行办法》第八条利用互联网发布、发送广告,不得影响用户正常使用网络。在互联网页面以弹出等形式发布的广告,应当显著标明关闭标志,确保一键关闭。在线广告发布同时需要给予用户拒绝接受的权利,但是需要明确的是此类关闭仅是对当前广告的操作处理,而不是对个人信息用于营销广告整个行为的拒绝,因为此类页面只是在线广告的终端展示页面,仅能对当下展示情况进行处理。在实际情况中,对于是否接收营销广告的关闭入口一般会放在浏览器或者APP应用软件的设置里。
《通信短信息服务管理规定》第二十条短信息服务提供者、短信息内容提供者向用户发送商业性短信息,应当提供便捷和有效的拒绝接收方式并随短信息告知用户,不得以任何形式对用户拒绝接收短信息设置障碍。通过短信营销是可以直接触达到接收方的一直营销模式,在此情况下设置的拒绝接收是对整个发送行为的拒绝,而不仅仅是当次的发送。
总体而言,结合个人信息处理方式的复杂性,一般会综合利用opt-in与opt-out机制进行规范,opt-out机制明确由企业为主导推进网络用户信息的处理;然而即使欧盟使用单一的opt-in机制,也是在保护数据主体基本人权的基础上给予了企业诸多的自觉权,由企业自行完成个人信息处理的风险评估及合规判断。因此opt-in及opt-out机制更多的是确立了数据处理的基本路径,但是实际的执行和操作依然需要由企业来完成。在我国,也应当给企业预留更多的数据自觉处理的空间,转变企业被动遵守法律法规为主动创新创建网络用户信息处理技术与机制,对数据处理过程中数据主体的权利进行切实有效的保护。
《金融科技观察》由京东金融研究院与《银行家》联合出品,跟踪评析最新金融科技行业和法律政策动态,敬请关注。(文章仅代表作者本人观点)
本期策划:孟昭莉,京东金融研究院院长
本期作者:龚嫄,京东金融法律合规部法律顾问
本文首发于微信公众号:银行家杂志。文章内容属作者个人观点,不代表和讯网立场。投资者据此操作,风险请自担。
