《滴滴被罚80.26亿背后一个信息处理中的核心问题亟需引起重视.docx》由会员分享,可在线阅读,更多相关《滴滴被罚80.26亿背后一个信息处理中的核心问题亟需引起重视.docx(18页珍藏版)》请在第壹文秘上搜索。
1、滴滴被罚80.26亿背后,一个信息处理中的核心问题亟需引起重视2012年12月28日,全国人大常委会发布关于加强网络信息保护的决定(以下简称决定),标志着我国开始引人个人信息保护制度。决定确立的个人信息保护规则后被消费者权益保护法网络安全法电子商务法等法律所吸收。个人信息保护规范的基本内容为:个人信息收集和使用应遵循合法、正当、必要等原则,经被收集者同意,收集和保存后,应当依法或依约处理或使用。由于这些法律没有规定“同意”的例外情形,加上“同意”是组织(法人和非法人、营利性和非营利性法人)最容易做到且能够证明其合法性的方式,因此同意规则被泛化。国家互联网信息办公室对滴滴全球股份有限公司依法作出
2、网名查相关行政处罚的决定网信中国一一一1一一一CfAt点击“网信中国”关注官方账号根据网络安全审查结论及发现的问题和线索,国家互联网信息办公室依法对份有限公司涉嫌违法行为进行立案调查。经查实,滴滴全球股份有限公司违反法数据安全法个人信息保护法的违法违规行为事实清楚、证据确凿、性质恶劣。7月21日,国家互联网信息办公室依据网络安全法数据安全法个.法行政处罚法等法律法规,对滴滴全球股份有限公司处人民币80.26亿元罚全球股份有限公司董事长兼CEO程维、总裁柳青各处人民市100万元罚款。其危害有两方面:一方面,造成个体对个人信息享有一般性决定权的错觉。因为按照形式逻辑,既然使用个人信息要经个人同意,
3、那么似乎可以得出未经个人同意就构成侵权的结论。只是未经同意使用个人信息是否构成民事侵权,仍然存在争议,至少没有为司法实践采纳。但是,在公法领域,未经个人同意的使用(含收集)即构成违法行为,而违法行为即应承担相应的法律责任(行政处罚甚至刑事责任)o公法规则的强制性进一步强化了个人信息属于个人,由个人控制或决定的观念。另一方面,只要有了个人的同意(哪怕是形式意义上的概括式同意),组织使用个人信息即合法使“同意”反而成为个人信息滥用的“保护伞”。民法典以个人信息“处理”替代了个人信息“收集和使用”,但仍然坚持以“同意”为前提,只是明确“同意”存在法定例外(第1035条第1款第1项),并规定了免责情形
4、(第1036条)。在个人信息保护模式(权利保护或法益保护)存在争议的背景下,当不存在法定例外时,对未经同意处理个人信息是否构成侵权,恐怕仍然会有不同的理解。这不仅是由于法律规定不清晰,还有实践中存在将信息主体的“同意”等同于“授权”的原因。例如,国家推荐标准个人信息安全规范(GB/T352732020)第5.4条“收集个人信息时的授权同意”规定:a)收集个人信息,应向个人信息主体告知收集、使用个人信息的目的、方式和范围等规则,并获得个人信息主体的授权同意。同样,互联网个人信息安全保护指南直接将同意表述为“授权同意”或“同意和授权”。司法实践中也普遍将同意视为授权,甚至提出“三重授权说。如果将“
5、同意”理解为“授权”,那么未经信息主体授权使用个人信息当然构成侵权。滴滴出行”8分钟前来自微博今天,国家互联网信息办公室对滴滴全球股份有限公司依法作出网络安全审查相关行政处罚的决定,对此我们做恳揍受,坚决服从,严格按照处罚决定和相关法褥法规要求,全面深入自查,积极配合监管,认真完成整改.我们真诚地感谢主管部门的检查和指导,嫡射社会公众的批评和监督,我们将引以为戒,坚持安全与发展并重,进一步加强网络安全.数据安全建设,加强个人信息保护,切实履行社会责任,服务好每T立乘客.司机师傅和合作伙伴,实现企业安全健康可持续发展.滴滴全球股份有限公司2022年7月21日改Dj6E350u566在民法典实施后
6、,个人信息民事保护将成为个人维权重要方式,法院将面临非经个人同意使用信息是否构成侵权的拷问。同时个人信息保护法正在制定过程中,如何规定“同意”也关系着未经个人同意是否侵权的判断。因此,我们有必要对个人信息保护法(下文简称“个保法”)中的“同意”在私法中的法律效果进行探讨,寻求其正确的法律意义和效果。各类“同意”的私法效果检讨个人在许多场景中都需要表达同意。最常见的有,在社会活动中,作为同行专家同意推荐、同意结项等签字;在组织活动中,上级领导对下属某种行为的许可,如同意报销、同意下属从事某行为等。“同意”也会进入到民事法律行为中,从民法典来看,至少以下情形涉及到“同意”:法定代理人对被代理人(监
7、护人)行为的同意(第19、22、145条)、监护人选择的同意(第27、28条)、被代理人同意(第168、169条)、义务人同意履行过诉讼时效的债务(第192、195条)、权利人同意登记簿记载事项的同意(第220、221条)、业主对表决事项的同意(第278.279条)、共有人的同意(第301条)、用益物权人对所有权设定地役权的同意(第379条)、担保人对债务转让的同意(391条)、抵押权人对抵押权变更的同意(第409条)、出质人对质权人使用质物和转质同意(第431、434条)、在合同订立过程对要约的同意(第479条)、标的变更的同意(第516条)、债权人对债务转移的同意(第551条)、合同权利义
8、务转让同意(第555条)、保证人对债务合同变更的同意(第695至697条)、租赁合同中出租人同意(第715至718条,第753条)和承租人同意(第744条)、承揽合同中定作人同意(第772条)、建设工程合同中的发包人同意(第790条)、合作开发人对专利申请的同意(第860条)、委托合同中委托人同意(第922、923条)和受托人同意(第931条)行纪合同中委托人同意(第954.955条)合伙人对合伙事务的同意(第970、974条)、器官捐献的同意(第106条)、伦理委员会对新药或治疗方法进行临床试验的审查同意(第1008条)、肖像权人对使用肖像的同意(第1019、1020条)、权利人对侵害隐私行
9、为的同意(第1033条)、自然人对个人信息处理的同意(第10361038条)、现役军人对配偶离婚的同意(第1081条)、抚养义务人对孤儿送养同意(第1096条)、收养关系建立的同意(第1103、1104、1109、1114条)、诊疗活动中患者或近亲属的同意(第1219、1226条)等。显然,这些“同意”是当事人的意思表示,其基本含义是认可某事实或允许某人做某事,从而产生特定的法律效果,但法律效果却不尽相同。有些“同意”产生变更法律关系或权利义务内容的效果,有些可能仅阻却违法或接受某种法律后果,甚或放弃某种权禾U;也有个别“同意”含有授权意思,比如,民法典第1019条规定“未经肖像权人同意,不得
10、制作、使用、公开肖像权人的肖像”,实质上这里的“同意”即为“授权”。但是,民法典所规定的其他“同意”却鲜有“授权”的含义或效果。那么,民法中的“授权”又是什么含义呢?民法典较少使用“授权”,仅有委托代理中使用了代理权授予(第165、174、925条)。显然,代理权授予中授权的法律属性属于单方意思表示,其法律效果是限制自己行为,为他人创设了意志自由(被称为权限或法律地位)。类似地,民法典中也大量使用“许可”一词,如专有技术许可合同中技术许可(第843条、第862875条)。同时,集成电路布图设计专有权、植物新品种权、计算机软件著作权等其他知识产权许可也可以参照适用技术许可合同(第876条)。实际
11、上,在著作权法商标法专利法等知识产权法律中,均承认知识产权人许可他人使用受保护智力成果的权利。另外,民法典赋予自然人许可他人使用姓名、肖像等识别性人格要素的权利(第993条)。显然,“许可”适用于民事主体享有法律规定的权利,权利人通过限制自己的权利,而为他人创设使用某种财产或人格要素的自由(权利)。“许可”有时候也被称为“授权”,均内含当事人的同意的意思表示,只是它为受许可人(被授权人)创设明确的行为自由(边界),在法律上明确为“授权”或“许可”,而不称为“同意”。人脸识别进校通过上述梳理,我们可以得出基本结论:仅从民法典的用语来看,若要表达“授权”的含义,往往会明确使用“授权”“许可”等词汇
12、,而基本不会与“同意”混用。但是有例外,在肖像权相关规贝I(第1019条)中,“同意”即与“授权”含义基本相同。“同意”并不一定与“授权”联系在一起或具有相同法律后果,而“同意”的法律后果依据其适用的场景、针对的对象或事务而有所区别,呈现出多样性的趋势。那么,个人信息使用或处理的“同意”是否具有“授权”的法律效果呢?这可能还需要深入分析“个保法”中“同意”的法律基础。域外“个保法”中“同意”的法律效果“个保法”中的“同意”来源于社会生活中个人对个人事务处理的意志表达,类似于医疗过程中的患者同意,甚至可以说二者具有相同的法理基础,即根源于对自然人作为生命主体的尊重,是对人的尊严保护。因此,我们需
13、要寻找“个保法”为信息主体(数据主体)设置“同意”的背后逻辑。通过对“个保法”初期立法研究发现,个人信息保护的基本含义是对个人信息处理行为进行保护,而不是对个人信息的保护,个人信息保护并没有赋予个人对个人信息的决定权或支配权。法律给予信息主体以同意的基本逻辑是,个人信息是关于个人的,而个人是具有独立意志的主体,因而处理个人信息不能像处理客体那样随意,而应当尊重个人意志或者以不侵犯个人尊严或自由方式进行。但是,由于人是一种社会存在,披露个人信息和借助个人信息识别交往或交易的对象是社会运行的基本要求,因而个人信息又不是或不完全是属于个人、由本人决定才能为社会使用的“东西”。于是,个人信息处理中个人
14、保护面临的问题是:既要保护个人作为信息主体的权利,又不能让个人说了算,赋予其决定权。因此,“个保法”一开始就承认个人信息(个人数据)具有社会性、公共性,而不是属于个人可绝对支配的“财产”,也即承认个人信息(个人数据)是社会主体可用的资源,而不是非经个人决定不得使用的“财产”。这样的立法定位决定了如何设计和理解信息主体的“同意”成为“个保法”的关键问题。在美国,在联邦层面只有特殊领域的立法对特定情形和特定范围的个人信息设置了“事先同意”门槛,而总体上由使用个人信息主体自主决定选择是否要“同意”(oPLin),并认为“选退”(opt-OUt)也是对主体权利的尊重。因此,在美国,“同意”似乎只是判断
15、个人信息使用是否正当,进而是否侵犯信息隐私(数据隐私)的考量因素。在美国特有的法治环境下,灵活的同意规则满足了个人信息处理中个人保护(信息隐私)的目标。欧洲也是个人数据保护制度的发源地,一开始欧洲采取统一的制定法保护个人数据处理中个人的权益。考察欧洲个人数据保护法对“同意”的法律定位,对我们更具有借鉴意义。欧洲“个保法”源起于瑞典、德国、法国等国,形成于欧洲委员会(又译欧洲理事会,缩写COE)1981年制定个人数据自动处理中的个人保护公约(以下简称公约)。公约对个人保护的逻辑建立在基本权利基础上,它假定个人数据处理必须有合法性基础,遵循法律原则进行处理,以避免处理对个人权利的侵害。对于如何保护
16、个人数据处理中的个人权利,公约采纳的是基于原则的规范模式,并将数据主体的权利置于基本原则中。公约既不承认数据主体享有单一权利,也没有将“同意”明确为数据主体的一项权利,而是将之规定在第5条数据处理的合法性基础中,“同意”只是合法处理的法律依据或理由之一。第5条第3款实际上规定了数据处理的合法性有三个要件:(1)处理目的合法;(2)处理具有法律基础(同意或法律规定的合法事由);处理行为合法(比如公正、必要、正确等)。为落实公约并推进“个保法”规则的统一,欧盟议会和欧盟理事会于1995年通过了关于涉及个人数据处理的个人保护以及此类数据自由流通的95/46/EC/号指令(以下简称指令)。之后又以统一的欧盟法律统一数据保护条例(Regulation(EU)2016/679,缩写为GDP
