个人信息使用的合法性基础——数据上利益分析视角
|
摘要
根据我国现行个人信息相关立法,知情同意是个人信息收集和使用的普遍前提。通过对个人信息需要保护的利益分析,我们发现,个人信息上不仅附着了信息主体的人格尊严和自由利益,个人信息使用者的利益和公共利益也是个人信息法律制度需要保护的重要利益。基于此,本文认为,知情同意不是且不应成为个人信息处理的唯一合法性基础,在个人信息保护法制定中应首先明确个人信息上的利益,然后根据个人信息上的利益之间的平衡建构个人信息的使用规则,建立多元的合法性基础。
According to the legislation on personal information in China,informed consent is a common premise for the collection and use of personal information. Through the analysis of the interests of personal information protection,we find that personal information not only attaches the interests of the information subject,such as personal dignity and freedom. The interests of users of personal information and the public interest are also important interests that the personal information legal system needs to protect. Therefore,this paper believes that informed consent is not and should not be the sole legal basis for the processing of personal information. In the formulation of personal information protection law,we should first clarify the interests of personal information,and establish the rules based on the balance of the interests of personal information.
According to the legislation on personal information in China,informed consent is a common premise for the collection and use of personal information. Through the analysis of the interests of personal information protection,we find that personal information not only attaches the interests of the information subject,such as personal dignity and freedom. The interests of users of personal information and the public interest are also important interests that the personal information legal system needs to protect. Therefore,this paper believes that informed consent is not and should not be the sole legal basis for the processing of personal information. In the formulation of personal information protection law,we should first clarify the interests of personal information,and establish the rules based on the balance of the interests of personal information.
引文
[1]本文所述“个人信息处理”采欧盟《通用数据保护条例》第4条的定义:“个人信息处理指对个人信息进行的任何操作或者一系列操作,无论其是否通过自动化手段进行,如数据收集、记录、组织、建构(structuring)、存储、改编或修改,恢复、查询、使用、通过传播、分发(dissemination)方式进行披露或者其他使个人数据可被他人获得、排列或组合、限制、清除或销毁(destruction)的操作。”需要指出的是,个人信息处理是从技术的角度描述个人信息生命周期,而这些技术行为的核心是个人信息的收集和使用,个人信息处理规则,实质上是个人信息收集和使用的规则。因此,本文认为,个人信息处理的合法性基础实际上就是个人信息收集和使用的合法性基础,本文以个人使用涵盖。
[2]全国人大常委会《决定》第2条规定:“网络服务提供者和其他企业事业单位在业务活动中收集、使用公民个人电子信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经被收集者同意,不得违反法律、法规的规定和双方的约定收集、使用信息。网络服务提供者和其他企业事业单位收集、使用公民个人电子信息,应当公开其收集、使用规则。”
[3]就我国现行立法而言,除全国人大常委会《决定》、《消费者权益保护法》、《网络安全法》将知情同意作为个人信息处理合法性基础外,其他法律,如《统计法》第7条,也应属特别的个人信息处理的合法性基础,因此,《决定》所规定的具有一定普遍意义的合法性基础应属一般的、首要的合法性基础。
[4]《消费者权益保护法》第29条第1款:“经营者收集、使用消费者个人信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经消费者同意。经营者收集、使用消费者个人信息,应当公开其收集、使用规则,不得违反法律、法规的规定和双方的约定收集、使用信息。”
[5]《网络安全法》第41条规定:“网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。”
[6]《最高人民法院关于审理网络侵权民事案件若干问题的规定》第12条规定:“网络用户或者网络服务提供者利用网络公开自然人基因信息、病历资料、健康检查资料、犯罪记录、家庭住址、私人活动等个人隐私和其他个人信息,造成他人损害,被侵权人请求其承担侵权责任的,人民法院应予支持。但下列情形除外:(一)经自然人书面同意且在约定范围内公开;(二)为促进社会公共利益且在必要范围内;(三)学校、科研机构等基于公共利益为学术研究或者统计的目的,经自然人书面同意,且公开的方式不足以识别特定自然人;(四)自然人自行在网络上公开的信息或者其他已合法公开的个人信息;(五)以合法渠道获取的个人信息;(六)法律或者行政法规另有规定。”
[7]任龙龙从知情同意的理论根基及其有效性的角度直接否定知情同意作为个人信息处理的正当性基础,并提出“宽进严出+删除权”的保护模式。参见任龙龙:《论同意不是个人信息处理的正当性基础》,载《政治与法律》2016年第1期。姬蕾蕾否定知情同意模式作为个人信息制度的核心构架,其主张引进具体场景的风险管理理念,对个人信息的处理采用动态风险管理模式。参见姬蕾蕾:《个人信息保护立法路径比较研究》,载《图书馆建设》2017年第9期。范为也同样主张引进风险和场景理论,重构个人信息保护制度。范为:《大数据时代个人信息保护的路径重构》,载《环球法律评论》2016年第5期。相反,徐丽枝认为不能因知情同意的适用效果不理想而否定其必要性和正当性,应当通过明确知情同意的适用范围和形式以提供其有效性。参见徐丽枝:《个人信息处理中同意原则适用的困境与破解思路》,载《图书情报知识》2017年第1期。林洹民倡导多样化的合法性基础,并强调匿名化情况下排除知情同意的适用。参见林洹民:《个人信息保护中知情同意原则的困境与出路》,载《北京航空航天大学学报》2018年第3期。
[8]数据控制人概念源自欧洲委员会的《个人数据自动化处理中的个人保护公约》(第108号公约),公约使用是“档案控制人”(controller of the file),之后欧盟个人数据保护法(1995年《个人数据保护指令》,2016年5月制定的《通用数据保护条例》,简写GDPR,于2018年5月27日生效并替代了《个人数据保护指令》)采取数据控制人,用来涵盖所有可以决定数据处理或使用目的的主体,并非实际控制个人数据者。因此,数据控制人与数据使用人(或个人信息使用人)是一个可以互换的概念。
[9]美国个人信息的概念强调该信息是否联系到一个已识别的个人,而欧盟则关注个人信息的可识别性,即便该信息本身不能直接识别特定个人,但结合其他信息后具有识别的合理可能,就属于个人信息。
[10]Paul M.Schwartz&Daniel J.Solove,Reconciling Personal Information in the United States and European Union,102 Calif.L.Rev.877(2014).
[11]实际上,一切信息或数据皆描述特定的对象,该对象是信息的主题(subject)。当描述(关于)的对象是人时,subject被译为主体;而当描述(关于)的对象是物(自然界)时,就不需要这样的转换。
[12]张新宝教授同样认为个人信息的价值包括人格尊严和自由价值,并指出,“个人信息对于信息主体的人格尊严和自由价值,应当是个人信息保护立法中首要考虑的因素”。参见张新宝:《从隐私到个人信息:利益再衡量的理论与制度安排》,载《中国法学》2015年第3期。
[13]The Universal Declaration of Human Rights,http://www.un.org/en/universal-declaration-human-rights/,2017年7月1日访问。《世界人权宣言》第12条规定:“任何人的隐私、家庭、住宅和通信不受任意干涉,对他的荣誉和名誉不得加以攻击。人人有权享受法律保护,以免受这种干涉或攻击。”
[14]Regulation(EU)2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data,and repealing Directive 95/46/EC(General Data Protection Regulation).
[15]Alan F.Westin,Privacy and Freedom 7(New York:Atheneum 1967);Edward J.Janger&Paul M.Schwartz,The Gramm-LeachBliley Act,Information Privacy,and the Limits of Default Rules,86 Minn.L.Rev.1219,1247(2002).
[16]David A.J.Richards,Rights and Autonomy,in The Inner Citadel:Essays on Individual Autonomy 203,205(John Christman ed.,Oxford:Oxford University Press 1989).
[17]Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data[CETS No.108,Strasbourg,28/01/1981],https://rm.coe.int/1680078b37.
[18]《欧盟基本人权宪章》由欧盟主导起草并于2000年发布,该宪章吸收许多宪法传统、国际人权公约文本,其中包括《欧洲人权公约》,对公民享有的政治、社会和经济权利的规定构成欧盟法律的基础。该宪章最初只是政治宣言,2004年宪章被正式纳入《欧盟宪法条约》,实现了欧盟基本权利的宪法化。后来,欧盟宪法条约陷入僵局,宪章再次被并入2009年生效的《里斯本条约》(是在原《欧盟宪法条约》基础上修改而成,被视为简版的《欧盟宪法条约》),由此,《欧盟基本人权宪章》正式成为具有法律效力的文件。2000年文本参见The Charter of Fundamental Rights of the European Union(2000/C 364/01),http://www.europarl.europa.eu/charter/pdf/text_en.pdf,2017年9月1日访问。
[19]参见《个人数据保护指令》第1条第一款:“成员国应当依据本指令保护自然人的基本权利和自由,特别是有关个人数据处理中的隐私权。”《通用数据保护条例》第1条第二款:“本条例旨在保护自然人的基本权利和自由,尤其是个人数据保护的权利。”显然,两者相比的一大变化是后者以“个人数据保护的权利”替代了“个人数据处理中的隐私权”。
[20]Paul M.Schwartz&Daniel J.Solove,Reconciling Personal Information in the United States and European Union,102 Calif.L.Rev.877(2014).
[21]中共中央办公厅、国务院办公厅:《2006-2020国家信息化发展战略》,http://www.gov.cn/jrzg/2006-05/08/content_275560.htm,2017年7月1日访问。
[22]参见钟裕民、许开轶:《大数据与政府管理创新:国内研究进展与研究展望》,载《当代世界与社会主义》2016第6期。
[23]根据欧盟《通用数据保护条例》第89条之规定,基于科学或历史研究目的、统计目的而进行的个人数据处理,欧盟法律或成员国法律可以针对条例第15、16、18和21条规定的权利和第89条第一款规定的安全保护措施设定克减条款。
[24]欧盟2016年《通用数据保护条例》第1条第三款规定:“个人数据在欧盟境内的自由流通不得因为在个人数据处理过程中保护自然人而被限制和禁止。”
[25]Paul M.Schwartz&Daniel J.Solove,Reconciling Personal Information in the United States and European Union,102 Calif.L.Rev.877(2014).
[26]《身份证法》第2条规定:“居住在中华人民共和国境内的年满十六周岁的中国公民,应当依照本法的规定申请领取居民身份证;未满十六周岁的中国公民,可以依照本法的规定申请领取居民身份证。”
[27]《身份证法》第三条规定:“居民身份证登记的项目包括:姓名、性别、民族、出生日期、常住户口所在地住址、公民身份号码、本人相片、指纹信息、证件的有效期和签发机关。公民身份号码是每个公民唯一的、终身不变的身份代码,由公安机关按照公民身份号码国家标准编制。公民申请领取、换领、补领居民身份证,应当登记指纹信息。”
[28]《刑事诉讼法》第152条规定:“采取技术侦查措施,必须严格按照批准的措施种类、适用对象和期限执行。侦查人员对采取技术侦查措施过程中知悉的国家秘密、商业秘密和个人隐私,应当保密;对采取技术侦查措施获取的与案件无关的材料,必须及时销毁。采取技术侦查措施获取的材料,只能用于对犯罪的侦查、起诉和审判,不得用于其他用途。公安机关依法采取技术侦查措施,有关单位和个人应当配合,并对有关情况予以保密。”
[29]Priscilla M.Regan,Legislating Privacy:Technology,Social Values and Public Policy(Chapel Hill,NC:University of North Carolina Press 1995).
[30]这样的法律规则的出现同样也有理论学说的支撑。我国长期存在将个人信息保护权利化的倾向,将德国宪法上的个人信息自决权直接转化为民法上的个人信息权,认为个人对个人信息的使用具有决定权利。但是,根据杨芳的研究,将个人信息自决权等同于私法上人个信息支配权是一种误读。参见杨芳:《个人信息自决权理论及其检讨---兼论个人信息保护法之保护客体》,载《比较法研究》2015年第6期。
[31]《统计法》第6条第一款规定:“统计机构和统计人员依照本法规定独立行使统计调查、统计报告、统计监督的职权,不受侵犯。”第7条规定:“国家机关、企业事业单位和其他组织以及个体工商户和个人等统计调查对象,必须依照本法和国家有关规定,真实、准确、完整、及时地提供统计调查所需的资料,不得提供不真实或者不完整的统计资料,不得迟报、拒报统计资料。”
[32]默示同意模式:如百度(www.baidu.com)在其《隐私保护声明》中明确指出:“您使用百度公司任一产品和/或服务时,则表示您同意且完全理解本隐私政策的全部内容。”与此同时,《隐私保护声明》中规定:“为了向您提供更好、更个性化的产品和服务,您同意百度公司收集以下信息……”格式条款模式更为常见,如在登录各类应用软件时,经常会跳出提示框要求使用者同意其收集软件使用者的某种信息,如不同意,通常就无法继续使用该软件。
[33]See Sylvia Kierkegaarda,Nigel Watersb,Graham Greenleafc,Lee A.Bygraved,Ian Lloyde&Steve Saxbyf,30 Years on-The Review of the Council of Europe Data Protection Convention 108,27(3)Computer Law&Security Review 223-231(2011).
[34]欧盟《通用数据保护条例》鉴于条款第4款。原文参见Regulation(EU)2016/679 of the European Parliament and of the Council of27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data,and repealing Directive 95/46/EC(General Data Protection Regulation)。
[35]如GDPR第6条共规定了六项合法性基础,同意仅为其第一项合法性基础。而我国现行个人信息保护规则均将同意作为个人信息收集、使用的必要条件。国内实践中,尤其是互联网平台、客户端及手机应用端均将会在收集个人信息前要求点击确认同意相应的“隐私政策”或同意使用位置信息、摄像头等。
[36]如北京淘友天下科技发展有限公司等与北京微梦创科网络技术有限公司不正当竞争案[(2016)京73民终588号]中法院明确认为“对用户个人信息的采集和利用必须以取得用户的同意为前提”。在淘宝(中国)软件有限公司诉安徽美景信息科技有限公司不正当竞争案((2017)浙8601民初4034号)中,法院也持该观点。
[37]参见《世界人权宣言》第1条、第12条、第22条,http://www.un.org/zh/universal-declaration-human-rights/index.html,2017年7月1日访问。
[38]参见《世界人权宣言》第1条、第2条、第3条、第7条、第17条等,http://www.un.org/zh/universal-declaration-human-rights/index.html,2017年7月1日访问。
[39]参见许娟:《关于生命权位阶的确定性》,载《武汉大学学报》(哲学社会科学版)2012年第2期。
[40]《信息安全技术个人信息安全规范》第5.4条规定:“以下情形中,个人信息控制者收集、使用个人信息无需征得个人信息主体的授权同意:……d)出于维护个人信息主体或其他个人的生命、财产等重大合法权益但又很难得到本人同意的。”
[41]经济合作与发展组织(OECD)《隐私保护和个人数据跨境流通指南》(1980)。
[42]参见许娟:《关于生命权位阶的确定性》,载《武汉大学学报》(哲学社会科学版)2012年第2期。
[43]参见范旭斌:《论公共利益与个人利益的平衡》,载《云南社会科学》2009年第6期。
[44]参见齐茵:《个人信息权利与公共利益的博弈---从公共利益视角探讨个人信息权利的边界》,载《哈尔滨师范大学社会科学学报》2015年第4期。
[45]同注44引文。
[46]《全国人口普查条例》第5条第1款规定:“普查机构和普查机构工作人员、普查指导员、普查员(以下统称普查人员)依法独立行使调查、报告、监督的职权,任何单位和个人不得干涉。”第24条规定:“人口普查对象应当按时提供人口普查所需的资料,如实回答相关问题,不得隐瞒有关情况,不得提供虚假信息,不得拒绝或者阻碍人口普查工作。”
[2]全国人大常委会《决定》第2条规定:“网络服务提供者和其他企业事业单位在业务活动中收集、使用公民个人电子信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经被收集者同意,不得违反法律、法规的规定和双方的约定收集、使用信息。网络服务提供者和其他企业事业单位收集、使用公民个人电子信息,应当公开其收集、使用规则。”
[3]就我国现行立法而言,除全国人大常委会《决定》、《消费者权益保护法》、《网络安全法》将知情同意作为个人信息处理合法性基础外,其他法律,如《统计法》第7条,也应属特别的个人信息处理的合法性基础,因此,《决定》所规定的具有一定普遍意义的合法性基础应属一般的、首要的合法性基础。
[4]《消费者权益保护法》第29条第1款:“经营者收集、使用消费者个人信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经消费者同意。经营者收集、使用消费者个人信息,应当公开其收集、使用规则,不得违反法律、法规的规定和双方的约定收集、使用信息。”
[5]《网络安全法》第41条规定:“网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。”
[6]《最高人民法院关于审理网络侵权民事案件若干问题的规定》第12条规定:“网络用户或者网络服务提供者利用网络公开自然人基因信息、病历资料、健康检查资料、犯罪记录、家庭住址、私人活动等个人隐私和其他个人信息,造成他人损害,被侵权人请求其承担侵权责任的,人民法院应予支持。但下列情形除外:(一)经自然人书面同意且在约定范围内公开;(二)为促进社会公共利益且在必要范围内;(三)学校、科研机构等基于公共利益为学术研究或者统计的目的,经自然人书面同意,且公开的方式不足以识别特定自然人;(四)自然人自行在网络上公开的信息或者其他已合法公开的个人信息;(五)以合法渠道获取的个人信息;(六)法律或者行政法规另有规定。”
[7]任龙龙从知情同意的理论根基及其有效性的角度直接否定知情同意作为个人信息处理的正当性基础,并提出“宽进严出+删除权”的保护模式。参见任龙龙:《论同意不是个人信息处理的正当性基础》,载《政治与法律》2016年第1期。姬蕾蕾否定知情同意模式作为个人信息制度的核心构架,其主张引进具体场景的风险管理理念,对个人信息的处理采用动态风险管理模式。参见姬蕾蕾:《个人信息保护立法路径比较研究》,载《图书馆建设》2017年第9期。范为也同样主张引进风险和场景理论,重构个人信息保护制度。范为:《大数据时代个人信息保护的路径重构》,载《环球法律评论》2016年第5期。相反,徐丽枝认为不能因知情同意的适用效果不理想而否定其必要性和正当性,应当通过明确知情同意的适用范围和形式以提供其有效性。参见徐丽枝:《个人信息处理中同意原则适用的困境与破解思路》,载《图书情报知识》2017年第1期。林洹民倡导多样化的合法性基础,并强调匿名化情况下排除知情同意的适用。参见林洹民:《个人信息保护中知情同意原则的困境与出路》,载《北京航空航天大学学报》2018年第3期。
[8]数据控制人概念源自欧洲委员会的《个人数据自动化处理中的个人保护公约》(第108号公约),公约使用是“档案控制人”(controller of the file),之后欧盟个人数据保护法(1995年《个人数据保护指令》,2016年5月制定的《通用数据保护条例》,简写GDPR,于2018年5月27日生效并替代了《个人数据保护指令》)采取数据控制人,用来涵盖所有可以决定数据处理或使用目的的主体,并非实际控制个人数据者。因此,数据控制人与数据使用人(或个人信息使用人)是一个可以互换的概念。
[9]美国个人信息的概念强调该信息是否联系到一个已识别的个人,而欧盟则关注个人信息的可识别性,即便该信息本身不能直接识别特定个人,但结合其他信息后具有识别的合理可能,就属于个人信息。
[10]Paul M.Schwartz&Daniel J.Solove,Reconciling Personal Information in the United States and European Union,102 Calif.L.Rev.877(2014).
[11]实际上,一切信息或数据皆描述特定的对象,该对象是信息的主题(subject)。当描述(关于)的对象是人时,subject被译为主体;而当描述(关于)的对象是物(自然界)时,就不需要这样的转换。
[12]张新宝教授同样认为个人信息的价值包括人格尊严和自由价值,并指出,“个人信息对于信息主体的人格尊严和自由价值,应当是个人信息保护立法中首要考虑的因素”。参见张新宝:《从隐私到个人信息:利益再衡量的理论与制度安排》,载《中国法学》2015年第3期。
[13]The Universal Declaration of Human Rights,http://www.un.org/en/universal-declaration-human-rights/,2017年7月1日访问。《世界人权宣言》第12条规定:“任何人的隐私、家庭、住宅和通信不受任意干涉,对他的荣誉和名誉不得加以攻击。人人有权享受法律保护,以免受这种干涉或攻击。”
[14]Regulation(EU)2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data,and repealing Directive 95/46/EC(General Data Protection Regulation).
[15]Alan F.Westin,Privacy and Freedom 7(New York:Atheneum 1967);Edward J.Janger&Paul M.Schwartz,The Gramm-LeachBliley Act,Information Privacy,and the Limits of Default Rules,86 Minn.L.Rev.1219,1247(2002).
[16]David A.J.Richards,Rights and Autonomy,in The Inner Citadel:Essays on Individual Autonomy 203,205(John Christman ed.,Oxford:Oxford University Press 1989).
[17]Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data[CETS No.108,Strasbourg,28/01/1981],https://rm.coe.int/1680078b37.
[18]《欧盟基本人权宪章》由欧盟主导起草并于2000年发布,该宪章吸收许多宪法传统、国际人权公约文本,其中包括《欧洲人权公约》,对公民享有的政治、社会和经济权利的规定构成欧盟法律的基础。该宪章最初只是政治宣言,2004年宪章被正式纳入《欧盟宪法条约》,实现了欧盟基本权利的宪法化。后来,欧盟宪法条约陷入僵局,宪章再次被并入2009年生效的《里斯本条约》(是在原《欧盟宪法条约》基础上修改而成,被视为简版的《欧盟宪法条约》),由此,《欧盟基本人权宪章》正式成为具有法律效力的文件。2000年文本参见The Charter of Fundamental Rights of the European Union(2000/C 364/01),http://www.europarl.europa.eu/charter/pdf/text_en.pdf,2017年9月1日访问。
[19]参见《个人数据保护指令》第1条第一款:“成员国应当依据本指令保护自然人的基本权利和自由,特别是有关个人数据处理中的隐私权。”《通用数据保护条例》第1条第二款:“本条例旨在保护自然人的基本权利和自由,尤其是个人数据保护的权利。”显然,两者相比的一大变化是后者以“个人数据保护的权利”替代了“个人数据处理中的隐私权”。
[20]Paul M.Schwartz&Daniel J.Solove,Reconciling Personal Information in the United States and European Union,102 Calif.L.Rev.877(2014).
[21]中共中央办公厅、国务院办公厅:《2006-2020国家信息化发展战略》,http://www.gov.cn/jrzg/2006-05/08/content_275560.htm,2017年7月1日访问。
[22]参见钟裕民、许开轶:《大数据与政府管理创新:国内研究进展与研究展望》,载《当代世界与社会主义》2016第6期。
[23]根据欧盟《通用数据保护条例》第89条之规定,基于科学或历史研究目的、统计目的而进行的个人数据处理,欧盟法律或成员国法律可以针对条例第15、16、18和21条规定的权利和第89条第一款规定的安全保护措施设定克减条款。
[24]欧盟2016年《通用数据保护条例》第1条第三款规定:“个人数据在欧盟境内的自由流通不得因为在个人数据处理过程中保护自然人而被限制和禁止。”
[25]Paul M.Schwartz&Daniel J.Solove,Reconciling Personal Information in the United States and European Union,102 Calif.L.Rev.877(2014).
[26]《身份证法》第2条规定:“居住在中华人民共和国境内的年满十六周岁的中国公民,应当依照本法的规定申请领取居民身份证;未满十六周岁的中国公民,可以依照本法的规定申请领取居民身份证。”
[27]《身份证法》第三条规定:“居民身份证登记的项目包括:姓名、性别、民族、出生日期、常住户口所在地住址、公民身份号码、本人相片、指纹信息、证件的有效期和签发机关。公民身份号码是每个公民唯一的、终身不变的身份代码,由公安机关按照公民身份号码国家标准编制。公民申请领取、换领、补领居民身份证,应当登记指纹信息。”
[28]《刑事诉讼法》第152条规定:“采取技术侦查措施,必须严格按照批准的措施种类、适用对象和期限执行。侦查人员对采取技术侦查措施过程中知悉的国家秘密、商业秘密和个人隐私,应当保密;对采取技术侦查措施获取的与案件无关的材料,必须及时销毁。采取技术侦查措施获取的材料,只能用于对犯罪的侦查、起诉和审判,不得用于其他用途。公安机关依法采取技术侦查措施,有关单位和个人应当配合,并对有关情况予以保密。”
[29]Priscilla M.Regan,Legislating Privacy:Technology,Social Values and Public Policy(Chapel Hill,NC:University of North Carolina Press 1995).
[30]这样的法律规则的出现同样也有理论学说的支撑。我国长期存在将个人信息保护权利化的倾向,将德国宪法上的个人信息自决权直接转化为民法上的个人信息权,认为个人对个人信息的使用具有决定权利。但是,根据杨芳的研究,将个人信息自决权等同于私法上人个信息支配权是一种误读。参见杨芳:《个人信息自决权理论及其检讨---兼论个人信息保护法之保护客体》,载《比较法研究》2015年第6期。
[31]《统计法》第6条第一款规定:“统计机构和统计人员依照本法规定独立行使统计调查、统计报告、统计监督的职权,不受侵犯。”第7条规定:“国家机关、企业事业单位和其他组织以及个体工商户和个人等统计调查对象,必须依照本法和国家有关规定,真实、准确、完整、及时地提供统计调查所需的资料,不得提供不真实或者不完整的统计资料,不得迟报、拒报统计资料。”
[32]默示同意模式:如百度(www.baidu.com)在其《隐私保护声明》中明确指出:“您使用百度公司任一产品和/或服务时,则表示您同意且完全理解本隐私政策的全部内容。”与此同时,《隐私保护声明》中规定:“为了向您提供更好、更个性化的产品和服务,您同意百度公司收集以下信息……”格式条款模式更为常见,如在登录各类应用软件时,经常会跳出提示框要求使用者同意其收集软件使用者的某种信息,如不同意,通常就无法继续使用该软件。
[33]See Sylvia Kierkegaarda,Nigel Watersb,Graham Greenleafc,Lee A.Bygraved,Ian Lloyde&Steve Saxbyf,30 Years on-The Review of the Council of Europe Data Protection Convention 108,27(3)Computer Law&Security Review 223-231(2011).
[34]欧盟《通用数据保护条例》鉴于条款第4款。原文参见Regulation(EU)2016/679 of the European Parliament and of the Council of27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data,and repealing Directive 95/46/EC(General Data Protection Regulation)。
[35]如GDPR第6条共规定了六项合法性基础,同意仅为其第一项合法性基础。而我国现行个人信息保护规则均将同意作为个人信息收集、使用的必要条件。国内实践中,尤其是互联网平台、客户端及手机应用端均将会在收集个人信息前要求点击确认同意相应的“隐私政策”或同意使用位置信息、摄像头等。
[36]如北京淘友天下科技发展有限公司等与北京微梦创科网络技术有限公司不正当竞争案[(2016)京73民终588号]中法院明确认为“对用户个人信息的采集和利用必须以取得用户的同意为前提”。在淘宝(中国)软件有限公司诉安徽美景信息科技有限公司不正当竞争案((2017)浙8601民初4034号)中,法院也持该观点。
[37]参见《世界人权宣言》第1条、第12条、第22条,http://www.un.org/zh/universal-declaration-human-rights/index.html,2017年7月1日访问。
[38]参见《世界人权宣言》第1条、第2条、第3条、第7条、第17条等,http://www.un.org/zh/universal-declaration-human-rights/index.html,2017年7月1日访问。
[39]参见许娟:《关于生命权位阶的确定性》,载《武汉大学学报》(哲学社会科学版)2012年第2期。
[40]《信息安全技术个人信息安全规范》第5.4条规定:“以下情形中,个人信息控制者收集、使用个人信息无需征得个人信息主体的授权同意:……d)出于维护个人信息主体或其他个人的生命、财产等重大合法权益但又很难得到本人同意的。”
[41]经济合作与发展组织(OECD)《隐私保护和个人数据跨境流通指南》(1980)。
[42]参见许娟:《关于生命权位阶的确定性》,载《武汉大学学报》(哲学社会科学版)2012年第2期。
[43]参见范旭斌:《论公共利益与个人利益的平衡》,载《云南社会科学》2009年第6期。
[44]参见齐茵:《个人信息权利与公共利益的博弈---从公共利益视角探讨个人信息权利的边界》,载《哈尔滨师范大学社会科学学报》2015年第4期。
[45]同注44引文。
[46]《全国人口普查条例》第5条第1款规定:“普查机构和普查机构工作人员、普查指导员、普查员(以下统称普查人员)依法独立行使调查、报告、监督的职权,任何单位和个人不得干涉。”第24条规定:“人口普查对象应当按时提供人口普查所需的资料,如实回答相关问题,不得隐瞒有关情况,不得提供虚假信息,不得拒绝或者阻碍人口普查工作。”