理论教育 个人信息商业利用的具体操作规范

个人信息商业利用的具体操作规范

时间:2023-07-06 理论教育 版权反馈
【摘要】:告知机制也是个人信息保护法中知情原则的体现。《决定》对征求信息被利用人的“同意”规定较为抽象,缺少具体操作性指导。使用主体在一般情况下有权将其合法获得的个人信息进行特定的商业化使用,但是在信息主体明确反对的情况下则必须停止使用。

个人信息商业利用的具体操作规范

(一)明示告知

使用主体在将个人一般信息用于市场营销中,需明确告知信息主体使用人的身份、使用信息的范围、使用方式、可能的后果以及拒绝的权利和方式等。告知机制也是个人信息保护法中知情原则的体现。

欧盟1995年《关于个人数据处理的保护及自由流通指南》第14条(b):数据主体对于数据被用于直接销售目的或第三方披露或代表第三方利益为直接销售目的而使用之前,有被告知的权利。成员国应当采取必要措施以确保数据主体知道存在这项权利。

美国FTC在其《2012年关于隐私权的建议》中明确指出“在三类情形下,企业在收集和使用用户数据时,无需事前征得用户同意:(1)在交易场合、交易目的一致的情况;(2)与消费者或用户之间的关系一致的情况;(3)法律授权或要求进行的收集和使用。在此三种情形下,商业的收集和使用行为虽然无需获得信息主体的同意,但必须为其所知情。”

《决定》对信息被利用人知情权的保护表现在两个方面:一是要求信息使用者“明示”收集、使用信息的目的、方式和范围;二是需要征求信息被利用人“同意”。

明示规则有三个体现:第一,信息使用前需要“事先”明示规则,这就要求使用人在从事搜集和利用信息之前以必要和醒目的方式做出“明示”。对那些内容表述不清、明示位置不醒目、模棱两可的表达,不应属于“明示”范围。第二,信息使用的目的、方式和范围需要详细标明。《决定》以列举的方式说明了信息使用者的义务范围,按照比较法的角度看,信息使用者义务还应该包括信息使用的期限。所谓期限指的是权利人授权的时间限制,在理论上不应该存在没有任何时间限制的“授权”。第三,信息使用者应该公开使用的规则。这些规则并不仅是法律意义上的,更多的应着重在技术层面上,应包括以下规则:信息收集技术、信息记录技术、权利人拒绝信息收集的技术渠道、查询自己信息收集使用情况的技术渠道等。

《决定》对征求信息被利用人的“同意”规定较为抽象,缺少具体操作性指导。结合比较法来看,“同意”应有几个层面构成:其一,网民协议的授权。这种“同意模式”是当下网络服务提供者从网民处得到授权的最主要形式。优点在于方便快捷,缺点在于门户网站可能以“格式条款”实际剥夺了网民自主决定权。所以,对以网民协议为基础的同意模式,有关机构和网络协会需要对网络服务提供者的“网民协议”格式条款事先做出审核,以保障网民合法权益。其二,推定同意。在针对维护网民自身利益或第三人利益的前提下,遵守“正当、合法和必要”的原则,在无法得到特定网民直接授权的情况下,可以“推定”已经得到授权。这种特殊的同意模式应该谨慎适用,事后需要得到权利人的追认,如果事后没有得到追认,或者行为造成了权利人利益的额外损害,行为人需要承担因此产生的侵权责任。其三,同意应为书面。书面同意既包括纸质版,还包括电子版。如果在特殊情况下无法得到书面授权的话,经授权人口头承诺后可以预先进行,但是事后需要补交相关材料。

(二)提供退出机制

从国外比较法来看,出于信息利用效率的考虑,大都同意对于一般信息可以未经用户的同意进行收集和利用,但为了修正和纠正这种机制对于用户个人权利可能带来的侵害,必须配合辅助机制,即退出机制。

使用主体在一般情况下有权将其合法获得的个人信息进行特定的商业化使用,但是在信息主体明确反对的情况下则必须停止使用。例如:欧盟1995年《关于个人数据处理的保护及自由流通指南》第14条(b)规定数据主体有权不支付任何费用即可拒绝个人数据用于直接销售目的,处理或代表第三方利益为直接销售目的而使用。欧洲议会和理事会《关于电子通信领域个人数据处理和隐私保护的指令》:“如果自然人或者法人依据95/46/EC指令在销售产品或服务时从其顾客处获得他们电子邮件的电子联系详细资料,那么同一自然人或法人可以将这些电子联系详细资料用于自己类似产品或服务的直销,但必须在收集时以及发送每一条信息时明确给予顾客以免费简易方式拒绝此种利用的机会并且顾客最初没有拒绝此种使用。”

英国1998年《数据保护法》:“个人有权在任何时候向数据控制人发出书面通知,要求数据控制人在合理的期间结束时,停止或不开始以直接销售为目的地处理其作为数据主体的个人数据。”虽然英国法是针对处理行为而言,但是个人信息使用的场合,该规则同样适用。(www.daowen.com)

美国1999年通过的《Gramm-Leach-Bliley金融服务现代化法》对个人信息利用的三项实体限制:“如果数据主体明示拒绝,禁止为营销之目的向第三方提供账号和为营销之目的将个人信息转移给第三方。”美国联邦拒绝电话推销登记制允许个人信息使用者保留“联邦贸易委员会”下属的“国家拒绝电话推销登记处”登记记录的副本,以便对那些需要从电话推销计划中隐去姓名的客户提供服务。

加拿大的《个人信息保护与电子文件法案》和澳大利亚1988年《隐私法》也对客户的明示拒绝权利做出了规定。

根据瑞典《个人信息法案》,只要个人没有明确反对直销,则通过普通邮件和电话进行直销是被允许的。

德国《联邦个人数据保护法》中,第28条第(4)项,对于以“如果以广告、营销为目的”的特定个人信息可以直接使用,除非数据主体当面反对。

我国台湾地区2010年“个人资料保护法”第20条:“非公务机关依前项规定利用个人资料行销者,当事人表示拒绝接受行销时,应即停止利用其个人资料行销。非公务机关于首次行销时,应提供当事人表示拒绝接受行销之方式,并支付所需费用。”我国香港地区《个人资料(私隐)条例》第34条:“使用者将个人资料用于直接促销的目的:……(ii)如该资料当事人作此要求(要求停止使用),该资料使用者须在不向该当事人收费的情况下停止如此使用该等资料。”

从以上国内外及地区立法来看,对于一般个人信息,虽然允许使用主体未经信息主体的明确同意使用其信息,但相关的法律法规中都注意到对个人信息主体的尊重,允许其行使拒绝权来反对个人信息的商业化使用。同时,为了保证信息主体能够有效利用事后退出机制保护个人权利,有的国家在立法中还明确了用户拒绝权的行使应当简便易行。

在欧洲议会和理事会《关于电子通信领域个人数据处理和隐私保护的指令》(2002/58/EC)规定:“需为用户提供免费简易的拒绝机会以及没有可以使接收者发送停止此种通信的请求的有效地址的通信应被禁止。”目的即在于拒绝权的行使对于个人信息主体来说应该简易方便,多个地区法律规定拒绝权的行使费用应由使用者承担也是基于避免给信息主体带来过多的不便,繁琐和复杂的程序可能会让拒绝权有名无实,因此简便易行的拒绝权行使方式至关重要。

(三)限定使用方式

国外立法一般允许在未经用户明确同意的情况下,只要善意履行了告知义务以及为用户提供了简便易行的退出机制,便可以商业使用用户个人信息,但必须将使用的方式和目的限制在收集用户信息时所确定的方式和目的。此外,通过对国外立法的分析,国外立法一般允许将用户信息用于市场营销和数据分析,但明确禁止出售、向第三方提供等其他形式的转让交易等。

个人信息交易对信息主体的影响比较大,如果没有合同的明确约定,未经当事人同意的交易,会无法控制个人信息的流通,给当事人带来生活上的困扰,更容易形成和壮大个人信息买卖的交易链,且商业化使用主体不用支付合理的对价,牟利因素的膨胀更易使个人权利遭受侵害,因此对于个人信息交易应当进行严格的限制。《辽宁省个人信息保护规范》规定:“个人信息交易须征得个人信息主体同意,并限制在个人信息主体同意的范围内。”《中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知》(2011年)第4条规定:“使用个人信息,应当符合收集该信息的目的并不得进行以下行为:(1)出售个人金融信息;(2)向本金融机构以外的其他机构和个人提供个人金融信息,但为个人办理相关业务所必需并经个人书面授权或同意的,以及法律法规和中国人民银行另有规定的除外。”

免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。

我要反馈