【专栏】新规之下,个人信息撤回权问题研究
肖飒 · 零壹财经 2021-11-12 14:23:39 阅读:4313
我国《个人信息保护法》(以下简称《个信法》)于2021年11月1日起正式施行,标志着我国以《网络安全法》《数据安全法》和《个信法》为基础构建的信息数据法律体系已经基本建设完毕。如此强力的全方位监管对各大金融机构、征信机构和数据驱动型企业来说,意味着针对个人信息野蛮掘金的时代正式结束。合法合规是唯一的出路。
《个信法》中规定的“同意撤回”既是一个在中国法律体系内的重要创新,也是目前是持续困扰企业的一个关键问题。既然“同意撤回”是本次企业数据合规的重中之重,那今天飒姐法律团队就以此为主题,与大家聊一聊企业在面对此问题时该如何应对。
知情同意——个人信息采集的合法性基础
众所周知,知情同意是我国《个信法》的核心,那为什么《个信法》要围绕知情同意去构建?
根本原因就在于,知情同意是个人信息采集的合法性基础。同意原则是私法领域最重要的原则之一,其直接体现了权利主体的自由意志和私法自治的核心精神内涵,深深地根植于人类长期建立的契约自治理论中。中国政法大学的郑佳宁老师认为,互联网用户与企业之间的种种交易属于合同契约,用户信息的采集也在其列。此时,互联网企业按照“服务协议”、“产品使用协议”等合同契约为用户提供网络产品或服务,而用户则以个人信息为企业贡献价值。
因此,当且仅当用户作出同意之意思表示,并自愿进入包含信息采集内容的契约关系时,企业对个人信息的采集方才具备了正当化基础。而鉴于知情是用户对信息采集行为作出同意表示的必然逻辑前提,“知情-同意”即构成了个人信息采集的核心原则。
《个信法》赋予了信息主体对于其个人信息的控制权,这既是对我国《宪法》第33条“国家尊重和保障人权”的落实,也是对公民信息自决权的回应。但正如无救济则无权利一样,无撤回也就没有真正意义上的“同意”。同意撤回应运而生。
同意撤回的法律性质
《个信法》第15条明确:基于个人同意处理个人信息的,个人有权撤回其同意。个人信息处理者应当提供便捷的撤回同意的方式。
同意撤回是指个人信息主体基于“告知同意”原则,对自己作出的“同意信息处理者对其个人信息进行处理”的授权予以撤回的意思表示。
我国学者普遍将同意撤回权定性为人格权体系下的撤销权。这就意味着:
01 同意撤回权属于形成权
对于同意撤回权法律不设门槛,信息主体行使权利不以其受到损害为前提,仅需单方面向信息处理者明确的发出撤回同意的意思表示即可产生法律效力。
02 同意撤回权属于撤销权
个人信息主体可以通过行使同意撤回权禁止信息处理者对其个人信息的后续处理行为。
企业需要注意到,既然该权利属于人格权体系下的撤销权,那么其必然与普通民事权利不同,集中体现在以下几个方面:
(1)法律更倾向于保护意思表示主体行使权利的便利性。这也就意味着除非信息主体具有故意或重大过失,即使信息主体行使同意撤回权会给信息处理者造成损失,信息处理者也不拥有损害赔偿请求权。此举是为了防止给信息主体行使同意撤回权带来顾虑,进而架空了同意撤回制度。
(2)同意撤回权的行使体现人格利益的特性,关系人格存续、生存利益和伦理道德且不带有直接的财产利益,故不受诉讼时效、除斥期间等限制。
(3)同意撤回不具有溯及力。关于溯及力的问题直接规定在《个信法》第15条第二款中:个人撤回同意,不影响撤回前基于个人同意已进行的个人信息处理活动的效力。同意撤回不具有溯及力的目的在于保障企业合法处理个人信息时不因信息主体撤回同意而受到较大影响。
企业应对同意撤回的现状
目前来看,企业在应对同意撤回方面的表现仍然不尽如人意,尚存在较大的合规风险。
近日,南方财经合规科技研究院出具了一份企业合规调查报告,基于调查目前市面上主流的20款社交资讯类App显示,有一半的主流App尚且无法在应用内或通过App直接跳转手机系统设置,直接关闭授权。在所有20款被调查的App中,仅有2款撤回同意操作便捷,步骤简单。某著名社交App甚至需点击6次才可进入APP内的“授权管理”功能,并且实际需要点击更多次才能真正关闭相关授权。可见,当前企业在个人信息撤回同意方面合规风险较高,应尽快提高重视。
如何合规应对同意撤回
在个人信息野蛮掘金的时代,金融机构、互联网公司等企业的应用软件(app)往往通过“不同意就不能用”的手段强制向用户索权,而用户一经同意往往难以撤销。在各个应用软件的用户隐私协议中显示,撤销授权的唯一途径就是主动注销账号,并没有设置专门的“同意撤回”按钮,而一旦注销账号用户也就理所当然的失去了正常使用的权利。正因为如此一刀切的做法一直以来备受诟病。
现如今,依据《个信法》第15条的规定:“个人信息处理者应当提供便捷的撤回同意的方式。”企业必须为用户提供撤回同意的选项,并且应当以“便捷”的方式提供。对于“便捷”的具体标准目前尚且有待立法机关和司法机关作出权威解释,但目前亦可参考2019年由国家网信办、工信部、公安部、市场监管总局联合制定的《App违法违规收集使用个人信息行为认定方法》中,关于“隐私政策等收集使用规则难以访问,如进入App主界面后,需多于4次点击等操作才能访问到”的规定,将撤回同意是否需要用户4次以上的点击作为参考来认定“便捷”的标准。
同时,对此问题大部分学者主张“便捷”的标准指的是撤回同意应当与App取得用户同意的方便程度相当,以此设置同意撤回。此观点来源于欧盟《通用数据保护条例》(REGULATION (EU) 2016/679 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL,简称GDPR)第7条第3款中“撤回同意应当和表示同意一样简单”的规定(The data subject shall have the right to withdraw his or her consent at any time......It shall be as easy to withdraw as to give consent. )知情同意与同意撤回本身即为信息主体自身自信自决权的一体两面,既然App为用户提供了便捷的一键授权,那相应的也就应当为信息主体提供一键撤销功能,并且在App的主要交互界面以简单易找的方式显示。
在知情同意目前可以直接参考使用的规范化模板方面,国家税务总局税务部门于2021年11月1日针对《个信法》要求的采集、使用个人信息前的知情同意和撤回同意制度,专门制作了下发各部门的同意书和撤回同意书以及针对需取得个人单独同意的敏感信息人脸识别信息的服务协议和单独告知书,企业可以自行登录国家税务总局官方网站下载参考(抄作业)。
如今《个信法》已经生效并成为刑法侵犯公民个人信息罪的前置法,企业在面对收集公民个人信息的知情同意和同意撤销面前一定要慎之又慎,防止在正常经营的过程中触犯刑法。就现阶段而言,无论是自行创新还是抄作业,企业做到合规的结果是应有之义。用某位法学大佬的话说,在具体监管规则较为模糊的地带,你只要做到监管机构也想不出更好的办法,那就大概率合规合法。
相关文章
用户评论
所有评论
他的文章 ( 866 )
资讯排行
- 48h
- 7天
专题推荐
more
第四届中国零售金融发展峰会(共15篇)
《陆家嘴》交流会第6期(共14篇)
2022第一届中国数字科技投融资峰会(共43篇)
2019年数字信用与风控年会(共15篇)
-
首页
-
评论
-
回顶部
游客
自律公约