数据主体的“弱同意”及其规范结构
|
摘要
数据主体同意关乎数据保护强度与数据利用效率,对个人信息保护具有重要意义。我国《网络安全法》规定的同意原则属于强控制模式,因赋予数据主体绝对化的信息自决权而导致信息流通效率降低与数据利用价值减损。在数据控制与数据利用的张力间建立"弱同意"的概念体系与规范结构,可以通过同意体系地位的降低与规范结构的削弱,对信息自决权产生相当程度的限制,有效解决此问题。"弱同意"的规范结构为"情境合理+拟制同意=合法处理",其中拟制同意化解了"强同意"因僵硬适用和过高标准所带来的有效性困境,情境合理测试则充分吸收了场景理念和风险认知,使同意架构从封闭走向开放,由此个人数据保护从一刀切的权利分割迈向了激励相容的合作治理。
The consent of data subject is related to the strength of data protection and the efficiency of data utilization,which is of great significance to personal information protection. The consent principle stipulated in Cybersecurity Law of China is a strong control mode,which reduces the efficiency of information circulation and the value of data utilization due to the absolute right of information self-determination granted to data subjects. Establishing the conceptual system and normative structure of "weak consent"can effectively solve this problem by reducing the status of consent principle and weakening the normative structure,which will restrict the right of information self-determination. The normative structure of "weak consent"is "situational reasonableness + legal fiction consent = lawful processing". Legal fiction resolves the validity problem caused by stiffness and high standards of consent principle. Reasonableness test absorbs the concept of the context and risk,making the consent framework more open. As a result,the law of personal data protection moves from one-size-fits-all packet toward the incentive-compatible cooperative governance.
The consent of data subject is related to the strength of data protection and the efficiency of data utilization,which is of great significance to personal information protection. The consent principle stipulated in Cybersecurity Law of China is a strong control mode,which reduces the efficiency of information circulation and the value of data utilization due to the absolute right of information self-determination granted to data subjects. Establishing the conceptual system and normative structure of "weak consent"can effectively solve this problem by reducing the status of consent principle and weakening the normative structure,which will restrict the right of information self-determination. The normative structure of "weak consent"is "situational reasonableness + legal fiction consent = lawful processing". Legal fiction resolves the validity problem caused by stiffness and high standards of consent principle. Reasonableness test absorbs the concept of the context and risk,making the consent framework more open. As a result,the law of personal data protection moves from one-size-fits-all packet toward the incentive-compatible cooperative governance.
引文
[1]See US Department of Health,Education&Welfare,Records,Computers,and the Rights of Citizens(1973),https://epic.org/privacy/hew1973report(accessed May 5,2019).
[2]See Organization for Economic Co-operation and Development,OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data(1980),http://www.oecd.org/sti/ieconomy/oecdguidelinesontheprotectionofprivacyandtransborderflowsofpersonaldata.htm(accessed May 5,2019).
[3]See Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data(1995),https://eur-lex.europa.eu/eli/dir/1995/46/oj(accessed May 5,2019).
[4]See Federal Data Protection Act of Germany(2017),Section 4(1);French Data Processing,Data Files and Individual Liberties(Amended version 2014),Article 7;UK Data Protection Act(2018),Article 2(1).
[5]《全国人民代表大会常务委员会关于加强网络信息保护的决定》(2012)(以下简称《决定》)首次在法律文件中确定同意原则,但仅提到收集、使用阶段的用户同意(参见《决定》第2条、第7条);《中华人民共和国网络安全法》第22条、第41-42条。
[6]2018年9月5日全国人大常委会发布的《民法典各分编(草案)---人格权编(第三编)》第814条。
[7]任龙龙:《论同意不是个人信息处理的正当性基础》,载《政治与法律》2016年第1期,第130页。
[8]参见范为:《大数据时代个人信息保护的路径重构》,载《环球法律评论》2016年第5期,第109页。
[9]张新宝:《从隐私到个人信息:利益再衡量的理论与制度安排》,载《中国法学》2015年第3期,第45页。
[10]叶名怡:《论个人信息权的基本范畴》,载《清华法学》2018年第5期,第153页。
[11]高富平:《个人信息保护:从个人控制到社会控制》,载《法学研究》2018年第3期,第99页。
[12]See Robert C.Post,Three Concepts of Privacy,89 Geo.L.J.2087(2001).
[13]参见金耀;《消费者个人信息保护规则之检讨与重塑---以隐私控制理论为基础》,载《浙江社会科学》2017年第11期,第62-63页。
[14]金耀;《消费者个人信息保护规则之检讨与重塑---以隐私控制理论为基础》,载《浙江社会科学》2017年第11期,第63页。
[15]参见赵宏:《从信息公开到信息保护:公法上信息权保护研究的风向流转与核心问题》,载《比较法研究》2017年第2期,第40-42页。
[16]王籍慧:《个人信息处理中的同意原则的正当性---基于同意原则双重困境的视角》,载《江西社会科学》2018年第6期,第180页。
[17]参见任龙龙:《论同意不是个人信息处理的正当性基础》,载《政治与法律》2016年第1期,第129页。
[18]吴伟光:《大数据技术下个人数据信息私权保护论批判》,载《政治与法律》2016年第7期,第119页。
[19]参见胡凌:《“非法兴起”:理解中国互联网演进的一个视角》,载《文化纵览》2016年第5期,第125页。
[20]周汉华:《探索激励相容的个人数据治理之道》,载《法学研究》2018年第2期,第6页。
[21]参见徐丽枝:《个人信息处理中同意原则适用的困境与破解思路》,载《图书情报知识》2017年第1期,第110页。
[22]Lisa M.Austin,Is Consent the Foundation of Fair Information Practices?Canada's Experience under Pipeda,56(2)The University of Toronto Law Journal 181,184(2006).
[23]See Aleecia M.McD onald&Lorrie Faith Cranor,The Cost of Reading Privacy Policies,4∶3 ISJLP(I/S:A Journal of Law and Policy)543,565(2008);任龙龙:《论同意不是个人信息处理的正当性基础》,载《政治与法律》2016年第1期,113-114页。
[24]范为:《大数据时代个人信息保护的路径重构》,载《环球法律评论》2016年第5期,第94页。
[25]L.Brandimarte,A.Acquisti&G.Loewenstein,Misplaced Confidences:Privacy and the Control Paradox,4(3)Social Psychological and Personality Science 340,347(2013).
[26]Alessandro Acquisti,Laura Brandimarte&G.Loewenstein,Privacy and Human Behavior in the Age of Information,347(6221)Science509,510(2015).
[27]参见程啸,《论大数据时代的个人数据权利》,载《中国社会科学》2018年第3期,第106-107页。
[28]范为:《大数据时代个人信息保护的路径重构》,载《环球法律评论》2016年第5期,第99页。
[29]李超:《侵权责任法中的受害人同意问题研究》,中国政法大学出版社2017年版,第51页。
[30]Bart W.Schermer,Bart Custers&Simone van der Hof,The Crisis of Consent:How Stronger Legal Protection May Lead to Weaker Consent in Data Protection,16(2)Ethics and Information Technology 171,182(2014).
[31]任龙龙:《论同意不是个人信息处理的正当性基础》,载《政治与法律》2016年第1期,第132页。
[32]Regulation(EU)of the European Parliament and of the Council on the Protection of Individuals with Regard to the Processing of Personal Data and on the Free Movement of Such Data(GDPR)(2018),Article 1.
[33]《中华人民共和国网络安全法》第40-45条。
[34]周汉华:《中华人民共和国个人信息保护法(专家建议稿)及立法研究报告》,法律出版社2006年版,第1页。
[35]See Danial J.Solove,Introduction:Privacy Self-management and the Consent Dilemma,156 Harvard Law Review 126(2013);任龙龙:《论同意不是个人信息处理的正当性基础》,载《政治与法律》2016年第1期,第131页。
[36]See Aleecia M.McD onald&Lorrie Faith Cranor,The Cost of Reading Privacy Policies,4∶3 ISJLP(I/S:A Journal of Law and Policy),543,565(2008);Lorrie Faith Cranor,Necessary But Not Sufficient:Standardized Mechanisms for Privacy Notice and Choice,10 J.Telecom&High Tech.L.273,274(2012).
[37]See Lorrie Faith Cranor,Necessary But Not Sufficient:Standardized Mechanisms for Privacy Notice and Choice,10 J.Telecom&High Tech.L.273(2012);Danial J.Solove,Introduction:Privacy Self-management and the Consent Dilemma,156 Harvard Law Review126(2013);OmrrieB en-Shahar&Carl E.Schneider,The Failure of Mandated Disclosure,159 U.Pa.L.Rev.647,711(2011).
[38]See Jorge L.Contreras,Genetic Property,105 Georgetown Law Joural 105(2006);Lorrie Faith Cranor,Necessary But Not Sufficient:Standardized Mechanisms for Privacy Notice and Choice,10 J.Telecom&High Tech.L.273,275(2012);J.Howard Beales III&Timothy J.Muris,Choice or Consequences:Protecting Privacy in Commercial Information,75 U.Chi.L.Rev.109,114(2008)。
[39]See Gordon Hull&UNC Charlotte,Successful Failure:What Foucault Can Teach Us about Privacy Self-management in a World of Facebook and Big Data,17(2)Ethics and Information Technology 89,101(2015);Alessandro Acquisti,Laura Brandimarte&George Loewenstein,Privacy and Human Behavior in the Age of Information,347(6221)Science 509,510(2015).王文祥:《知情同意作为个人信息处理正当性基础的局限与出路》,载《东南大学学报》(哲学社会科学版)2018年6月(第20卷增刊),第143-144页;吴伟光:《大数据技术下个人数据信息私权保护论批判》,载《政治与法律》2016年第7期,第126页。
[40]范为:《大数据时代个人信息保护的路径重构》,载《环球法律评论》2016年第5期,第95页。
[41]See Lorrie Faith Cranor,Necessary But Not Sufficient:Standardized Mechanisms for Privacy Notice and Choice,10 J.Telecom&High Tech.L.273(2012);M.Ryan Calo,Against Notice Skepticism in Privacy,87 Notre Dame L.Rev.1027(2012).
[42]GDPR,Recitals(32)&Article 6.
[43]Guidelines on Consent under Regulation 2016/679(wp259rev.01),http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=623051,article 3.3(accessed May 5,2019).
[44]GDPR,Aticle 7.
[45]参见[德]卡尔·拉伦茨:《德国民法典》(下册),王晓晔等译,法律出版社2013年第1版,第398-405页。
[46]《中华人民共和国民法总则》第147-151条。
[47]欧盟GDPR要求数据主体同意需为明确、肯定的行为(GDPR,Article 4),我国《网络安全法》将同意作为数据收集、适用、转移的的唯一合法性要件(《中华人民共和国网络安全法》第22条、第41-42条);《德国联邦数据保护法》更严,特殊情况下的充分告知之外还须采取书面形式[Federal Data Protection Act of Germany,Section 26(1)]。
[48]See Alessandro Mantelero,The Future of Consumer Data Protection in the E.U.:Rethinking the“Notice and Consent”Paradigm in the New Era of Predictive Analytics,30(6)Computer Law&Security Review 643,660(2014).
[49]See Council of Europe,Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data,opened for signature on 28 January 1981 and entered into force on 1st October 1985,http://conventions.coe.int/Treaty/Commun/QueVoulezVous.asp?NT=108&CL=ENG accessed 27 February 2014(accessed May 5,2019);see Organization for Economic Co-operation and Development,OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data(1980),http://www.oecd.org/sti/ieconomy/oecdguidelinesontheprotectionofprivacyandtransborderflowsofpersonaldata.htm(accessed May 5,2019).
[50]See Alessandro Mantelero,The Future of Consumer Data Protection in the E.U.:Rethinking the“Notice and Consent”Paradigm in the New Era of Predictive Analytics;30(6)Computer Law&Security Review 643-660(2014).
[51]See Spiros Simitis,Reviewing Privacy in an Information Society,135(3)Pen.L.Rev.707,737(1987);Paul M.Schwartz,Privacy and Democracy in Cyberspace,52 Vand.L.Rev.1661(1999).
[52]高富平:《个人信息使用的合法性基础---数据上利益分析视角》,载《比较法研究》2019年第2期,第80页。
[53]Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data(1995 Data Protection Directive)(30),https://eur-lex.europa.eu/eli/dir/1995/46/oj(accessed May 5,2019).
[54]See GDPR,Aticle 6.
[55]See Administration Discussion Draft:Consumer Privacy Bill of Rights Act of 2015,The White House,http://www.Whitehouse.gov/sites/default/files/omb/legislative/letters/cpbr-act-of2015-discussion-draft.pdf.F.T.C.(accessed May 5,2019).
[56]《中华人民共和国民法总则》第111条。
[57]2014年《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》第12条。
[58]2017年全国信息安全标准化技术委员会《信息安全技术个人信息安全规范》第5.4条。
[59]特别权力关系为德国行政法的重要理论,特别权力关系的主体拥有概括的权力,相对人承受不特定义务,如监狱与犯人、公立学校与学生、行政机关与公务员。参见张翔主编:《德国宪法案例选释》第1辑,法律出版社2012年版,第86页。
[60]京东法律研究院:《欧盟数据宪章:〈一般数据保护条例〉GDPR评述及实务指引》,法律出版社2018年版,第48页。
[61]GDPR,Article 6.1(d)&(f).
[62]高富平:《个人信息保护:从个人控制到社会控制》,载《法学研究》2018年第3期,第85页。
[63]童万菊:《谷歌数字图书馆“选择退出”机制的分析及思考》,载《图书馆杂志》2014年第6期,第92页。
[64]See Federal Trade Commission,Priacy Online:Fair Infornation Practices in the Electronic Marketplace:A Report to Congress 11(2000),https://www.ftc.gov/reports/privacy-online-fair-information-practices-electronic-marketplace-federal-tradecommission(accessed May 5,2019).
[65]See Federal Trade Commission,Priacy Online:Fair Infornation Practices in the Electronic Marketplace:A Report to Congress 11(2000),https://www.ftc.gov/reports/privacy-online-fair-information-practices-electronic-marketplace-federal-tradecommission(accessed May 5,2019).
[66]《中华人民共和国消费者权益保护法》第29条。
[67]我国台湾地区“电脑处理个人资料保护法实施细则”第30条。
[68]参见《信息安全技术公共及商用服务信息系统个人信息保护指南》第5.2.3条。
[69]参见江苏省南京市中级人民法院民事判决书(2014)宁民终字第5028号。
[70]参见王玉林:《“默示同意”在数据收集中的适用问题研究》,载《情报资料工作》2017年第2期,第22-23页。
[71]江波、张亚男:《大数据语境下的个人信息合理使用原则》,载《交大法学》2018年第3期,第114页。
[72]See Federal Trade Commission,Protect Consumer Privacy in an Era of Rapid Change,March 2012 F.T.C.,Protecting Consumer Privacy in an Era of Rapid Change:A Proposed Framework for Businesses and Policymakers-Preliminary FTC Staff Report(2010),http://www.Ftc.gov/os/2010/12/101201privacyreport.pdf(accessed May 5,2019).
[73]See Administration Discussion Draft:Consumer Privacy Bill of Right Act of 2015,Administration Discussion Draft:Consumer Privacy Bill of Rights Act of 2015,The White House,http://www.whitehouse.gov/sites/default/files/omb/legislative/letters/cpbr-act-of2015-discussion-draft.pdf(accessed May 5,2019).
[74]GDPR,Article 6.4(a)&(b).
[75]Lisa M.Austin,Is Consent the Foundation of Fair Information Practices?Canada's Experience under Pipeda,56(2)The University of Toronto Law Journal 181,201(2006).
[76]相关论述参见丁晓东:《个人信息私法保护的困境与出路》,载《法学研究》2018年第6期,第204-205页;梁泽宇:《个人信息保护中目的限制原则的解释与适用》,载《比较法研究》2018年第5期,第22-23页;范为:《大数据时代个人信息保护的路径重构》,载《环球法律评论》2016年第5期,第97-100页;金耀;《消费者个人信息保护规则之检讨与重塑---以隐私控制理论为基础》,载《浙江社会科学》2017第11期,第66-68页。
[77]情境理论的相关观点,参见[美]欧文·戈夫曼:《日常生活的自我呈现》,冯钢译,北京大学出版社08年版,第5-12页;[美]约书亚·梅罗维茨:《消失的地域:电子媒介对社会行为的影响》,肖志军译,清华大学出版社2002年版,第29-42页。
[78]Alessandro Acquisti&Laura Brandimarte,George Loewenstein,Privacy and human Behavior in the Age of Information,347(6221)Science 509,511(2015).
[2]See Organization for Economic Co-operation and Development,OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data(1980),http://www.oecd.org/sti/ieconomy/oecdguidelinesontheprotectionofprivacyandtransborderflowsofpersonaldata.htm(accessed May 5,2019).
[3]See Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data(1995),https://eur-lex.europa.eu/eli/dir/1995/46/oj(accessed May 5,2019).
[4]See Federal Data Protection Act of Germany(2017),Section 4(1);French Data Processing,Data Files and Individual Liberties(Amended version 2014),Article 7;UK Data Protection Act(2018),Article 2(1).
[5]《全国人民代表大会常务委员会关于加强网络信息保护的决定》(2012)(以下简称《决定》)首次在法律文件中确定同意原则,但仅提到收集、使用阶段的用户同意(参见《决定》第2条、第7条);《中华人民共和国网络安全法》第22条、第41-42条。
[6]2018年9月5日全国人大常委会发布的《民法典各分编(草案)---人格权编(第三编)》第814条。
[7]任龙龙:《论同意不是个人信息处理的正当性基础》,载《政治与法律》2016年第1期,第130页。
[8]参见范为:《大数据时代个人信息保护的路径重构》,载《环球法律评论》2016年第5期,第109页。
[9]张新宝:《从隐私到个人信息:利益再衡量的理论与制度安排》,载《中国法学》2015年第3期,第45页。
[10]叶名怡:《论个人信息权的基本范畴》,载《清华法学》2018年第5期,第153页。
[11]高富平:《个人信息保护:从个人控制到社会控制》,载《法学研究》2018年第3期,第99页。
[12]See Robert C.Post,Three Concepts of Privacy,89 Geo.L.J.2087(2001).
[13]参见金耀;《消费者个人信息保护规则之检讨与重塑---以隐私控制理论为基础》,载《浙江社会科学》2017年第11期,第62-63页。
[14]金耀;《消费者个人信息保护规则之检讨与重塑---以隐私控制理论为基础》,载《浙江社会科学》2017年第11期,第63页。
[15]参见赵宏:《从信息公开到信息保护:公法上信息权保护研究的风向流转与核心问题》,载《比较法研究》2017年第2期,第40-42页。
[16]王籍慧:《个人信息处理中的同意原则的正当性---基于同意原则双重困境的视角》,载《江西社会科学》2018年第6期,第180页。
[17]参见任龙龙:《论同意不是个人信息处理的正当性基础》,载《政治与法律》2016年第1期,第129页。
[18]吴伟光:《大数据技术下个人数据信息私权保护论批判》,载《政治与法律》2016年第7期,第119页。
[19]参见胡凌:《“非法兴起”:理解中国互联网演进的一个视角》,载《文化纵览》2016年第5期,第125页。
[20]周汉华:《探索激励相容的个人数据治理之道》,载《法学研究》2018年第2期,第6页。
[21]参见徐丽枝:《个人信息处理中同意原则适用的困境与破解思路》,载《图书情报知识》2017年第1期,第110页。
[22]Lisa M.Austin,Is Consent the Foundation of Fair Information Practices?Canada's Experience under Pipeda,56(2)The University of Toronto Law Journal 181,184(2006).
[23]See Aleecia M.McD onald&Lorrie Faith Cranor,The Cost of Reading Privacy Policies,4∶3 ISJLP(I/S:A Journal of Law and Policy)543,565(2008);任龙龙:《论同意不是个人信息处理的正当性基础》,载《政治与法律》2016年第1期,113-114页。
[24]范为:《大数据时代个人信息保护的路径重构》,载《环球法律评论》2016年第5期,第94页。
[25]L.Brandimarte,A.Acquisti&G.Loewenstein,Misplaced Confidences:Privacy and the Control Paradox,4(3)Social Psychological and Personality Science 340,347(2013).
[26]Alessandro Acquisti,Laura Brandimarte&G.Loewenstein,Privacy and Human Behavior in the Age of Information,347(6221)Science509,510(2015).
[27]参见程啸,《论大数据时代的个人数据权利》,载《中国社会科学》2018年第3期,第106-107页。
[28]范为:《大数据时代个人信息保护的路径重构》,载《环球法律评论》2016年第5期,第99页。
[29]李超:《侵权责任法中的受害人同意问题研究》,中国政法大学出版社2017年版,第51页。
[30]Bart W.Schermer,Bart Custers&Simone van der Hof,The Crisis of Consent:How Stronger Legal Protection May Lead to Weaker Consent in Data Protection,16(2)Ethics and Information Technology 171,182(2014).
[31]任龙龙:《论同意不是个人信息处理的正当性基础》,载《政治与法律》2016年第1期,第132页。
[32]Regulation(EU)of the European Parliament and of the Council on the Protection of Individuals with Regard to the Processing of Personal Data and on the Free Movement of Such Data(GDPR)(2018),Article 1.
[33]《中华人民共和国网络安全法》第40-45条。
[34]周汉华:《中华人民共和国个人信息保护法(专家建议稿)及立法研究报告》,法律出版社2006年版,第1页。
[35]See Danial J.Solove,Introduction:Privacy Self-management and the Consent Dilemma,156 Harvard Law Review 126(2013);任龙龙:《论同意不是个人信息处理的正当性基础》,载《政治与法律》2016年第1期,第131页。
[36]See Aleecia M.McD onald&Lorrie Faith Cranor,The Cost of Reading Privacy Policies,4∶3 ISJLP(I/S:A Journal of Law and Policy),543,565(2008);Lorrie Faith Cranor,Necessary But Not Sufficient:Standardized Mechanisms for Privacy Notice and Choice,10 J.Telecom&High Tech.L.273,274(2012).
[37]See Lorrie Faith Cranor,Necessary But Not Sufficient:Standardized Mechanisms for Privacy Notice and Choice,10 J.Telecom&High Tech.L.273(2012);Danial J.Solove,Introduction:Privacy Self-management and the Consent Dilemma,156 Harvard Law Review126(2013);OmrrieB en-Shahar&Carl E.Schneider,The Failure of Mandated Disclosure,159 U.Pa.L.Rev.647,711(2011).
[38]See Jorge L.Contreras,Genetic Property,105 Georgetown Law Joural 105(2006);Lorrie Faith Cranor,Necessary But Not Sufficient:Standardized Mechanisms for Privacy Notice and Choice,10 J.Telecom&High Tech.L.273,275(2012);J.Howard Beales III&Timothy J.Muris,Choice or Consequences:Protecting Privacy in Commercial Information,75 U.Chi.L.Rev.109,114(2008)。
[39]See Gordon Hull&UNC Charlotte,Successful Failure:What Foucault Can Teach Us about Privacy Self-management in a World of Facebook and Big Data,17(2)Ethics and Information Technology 89,101(2015);Alessandro Acquisti,Laura Brandimarte&George Loewenstein,Privacy and Human Behavior in the Age of Information,347(6221)Science 509,510(2015).王文祥:《知情同意作为个人信息处理正当性基础的局限与出路》,载《东南大学学报》(哲学社会科学版)2018年6月(第20卷增刊),第143-144页;吴伟光:《大数据技术下个人数据信息私权保护论批判》,载《政治与法律》2016年第7期,第126页。
[40]范为:《大数据时代个人信息保护的路径重构》,载《环球法律评论》2016年第5期,第95页。
[41]See Lorrie Faith Cranor,Necessary But Not Sufficient:Standardized Mechanisms for Privacy Notice and Choice,10 J.Telecom&High Tech.L.273(2012);M.Ryan Calo,Against Notice Skepticism in Privacy,87 Notre Dame L.Rev.1027(2012).
[42]GDPR,Recitals(32)&Article 6.
[43]Guidelines on Consent under Regulation 2016/679(wp259rev.01),http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=623051,article 3.3(accessed May 5,2019).
[44]GDPR,Aticle 7.
[45]参见[德]卡尔·拉伦茨:《德国民法典》(下册),王晓晔等译,法律出版社2013年第1版,第398-405页。
[46]《中华人民共和国民法总则》第147-151条。
[47]欧盟GDPR要求数据主体同意需为明确、肯定的行为(GDPR,Article 4),我国《网络安全法》将同意作为数据收集、适用、转移的的唯一合法性要件(《中华人民共和国网络安全法》第22条、第41-42条);《德国联邦数据保护法》更严,特殊情况下的充分告知之外还须采取书面形式[Federal Data Protection Act of Germany,Section 26(1)]。
[48]See Alessandro Mantelero,The Future of Consumer Data Protection in the E.U.:Rethinking the“Notice and Consent”Paradigm in the New Era of Predictive Analytics,30(6)Computer Law&Security Review 643,660(2014).
[49]See Council of Europe,Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data,opened for signature on 28 January 1981 and entered into force on 1st October 1985,http://conventions.coe.int/Treaty/Commun/QueVoulezVous.asp?NT=108&CL=ENG accessed 27 February 2014(accessed May 5,2019);see Organization for Economic Co-operation and Development,OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data(1980),http://www.oecd.org/sti/ieconomy/oecdguidelinesontheprotectionofprivacyandtransborderflowsofpersonaldata.htm(accessed May 5,2019).
[50]See Alessandro Mantelero,The Future of Consumer Data Protection in the E.U.:Rethinking the“Notice and Consent”Paradigm in the New Era of Predictive Analytics;30(6)Computer Law&Security Review 643-660(2014).
[51]See Spiros Simitis,Reviewing Privacy in an Information Society,135(3)Pen.L.Rev.707,737(1987);Paul M.Schwartz,Privacy and Democracy in Cyberspace,52 Vand.L.Rev.1661(1999).
[52]高富平:《个人信息使用的合法性基础---数据上利益分析视角》,载《比较法研究》2019年第2期,第80页。
[53]Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data(1995 Data Protection Directive)(30),https://eur-lex.europa.eu/eli/dir/1995/46/oj(accessed May 5,2019).
[54]See GDPR,Aticle 6.
[55]See Administration Discussion Draft:Consumer Privacy Bill of Rights Act of 2015,The White House,http://www.Whitehouse.gov/sites/default/files/omb/legislative/letters/cpbr-act-of2015-discussion-draft.pdf.F.T.C.(accessed May 5,2019).
[56]《中华人民共和国民法总则》第111条。
[57]2014年《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》第12条。
[58]2017年全国信息安全标准化技术委员会《信息安全技术个人信息安全规范》第5.4条。
[59]特别权力关系为德国行政法的重要理论,特别权力关系的主体拥有概括的权力,相对人承受不特定义务,如监狱与犯人、公立学校与学生、行政机关与公务员。参见张翔主编:《德国宪法案例选释》第1辑,法律出版社2012年版,第86页。
[60]京东法律研究院:《欧盟数据宪章:〈一般数据保护条例〉GDPR评述及实务指引》,法律出版社2018年版,第48页。
[61]GDPR,Article 6.1(d)&(f).
[62]高富平:《个人信息保护:从个人控制到社会控制》,载《法学研究》2018年第3期,第85页。
[63]童万菊:《谷歌数字图书馆“选择退出”机制的分析及思考》,载《图书馆杂志》2014年第6期,第92页。
[64]See Federal Trade Commission,Priacy Online:Fair Infornation Practices in the Electronic Marketplace:A Report to Congress 11(2000),https://www.ftc.gov/reports/privacy-online-fair-information-practices-electronic-marketplace-federal-tradecommission(accessed May 5,2019).
[65]See Federal Trade Commission,Priacy Online:Fair Infornation Practices in the Electronic Marketplace:A Report to Congress 11(2000),https://www.ftc.gov/reports/privacy-online-fair-information-practices-electronic-marketplace-federal-tradecommission(accessed May 5,2019).
[66]《中华人民共和国消费者权益保护法》第29条。
[67]我国台湾地区“电脑处理个人资料保护法实施细则”第30条。
[68]参见《信息安全技术公共及商用服务信息系统个人信息保护指南》第5.2.3条。
[69]参见江苏省南京市中级人民法院民事判决书(2014)宁民终字第5028号。
[70]参见王玉林:《“默示同意”在数据收集中的适用问题研究》,载《情报资料工作》2017年第2期,第22-23页。
[71]江波、张亚男:《大数据语境下的个人信息合理使用原则》,载《交大法学》2018年第3期,第114页。
[72]See Federal Trade Commission,Protect Consumer Privacy in an Era of Rapid Change,March 2012 F.T.C.,Protecting Consumer Privacy in an Era of Rapid Change:A Proposed Framework for Businesses and Policymakers-Preliminary FTC Staff Report(2010),http://www.Ftc.gov/os/2010/12/101201privacyreport.pdf(accessed May 5,2019).
[73]See Administration Discussion Draft:Consumer Privacy Bill of Right Act of 2015,Administration Discussion Draft:Consumer Privacy Bill of Rights Act of 2015,The White House,http://www.whitehouse.gov/sites/default/files/omb/legislative/letters/cpbr-act-of2015-discussion-draft.pdf(accessed May 5,2019).
[74]GDPR,Article 6.4(a)&(b).
[75]Lisa M.Austin,Is Consent the Foundation of Fair Information Practices?Canada's Experience under Pipeda,56(2)The University of Toronto Law Journal 181,201(2006).
[76]相关论述参见丁晓东:《个人信息私法保护的困境与出路》,载《法学研究》2018年第6期,第204-205页;梁泽宇:《个人信息保护中目的限制原则的解释与适用》,载《比较法研究》2018年第5期,第22-23页;范为:《大数据时代个人信息保护的路径重构》,载《环球法律评论》2016年第5期,第97-100页;金耀;《消费者个人信息保护规则之检讨与重塑---以隐私控制理论为基础》,载《浙江社会科学》2017第11期,第66-68页。
[77]情境理论的相关观点,参见[美]欧文·戈夫曼:《日常生活的自我呈现》,冯钢译,北京大学出版社08年版,第5-12页;[美]约书亚·梅罗维茨:《消失的地域:电子媒介对社会行为的影响》,肖志军译,清华大学出版社2002年版,第29-42页。
[78]Alessandro Acquisti&Laura Brandimarte,George Loewenstein,Privacy and human Behavior in the Age of Information,347(6221)Science 509,511(2015).