合同关系中个人信息处理同意撤回权的限制与展开

《个人信息保护法》第15条赋予信息主体随时无条件、无负担地撤回信息处理同意的权利。然而,当同意信息处理正是信息主体的合同义务时,撤回权对合同的拘束力和履行构成冲击,因此应当对现有规范进行妥适解释和调整,以限制撤回权制度对合同关系的影响。撤回权的适用范围应当限定于个人信息处理行为对人格和财产存在加害高风险且既有人格权保护规则对此存在保护不足的合同场景,即主要限定在消费者合同和劳动合同情形。人格标志商业利用并非需要个人信息保护法事先防范机制介入的风险领域,人格标志许可使用合同中的人格权人也非处于弱势地位,撤回权因此不适用于人格标志许可使用合同。信息主体有权事先放弃撤回权。在撤回权行使后,以同意信息处理为对待给付的双务合同的效力不受影响;撤回属于履行迟延型违约;信息主体因不具可归责事由而不承担违约损害赔偿责任,也无需赔偿信赖利益损失;合同相对人在一定条件下享有解除权。     

“无意入镜者”个人信息权益的保护——以公共场所的个人信息权益为视角

随着科技的发展,公民更加频繁地用镜头记录其日常生活。在公共场所,拍摄者有可能也将他人摄入镜头之中,构成了"无意入镜者"的情形。我国《民法典》与《个人信息保护法》并未将"无意入镜者"在公共场所中的个人信息权益与非公共场所的个人信息权益进行区分对待,无论个人信息是否属于私密,都可以得到保护。在"无意入镜者"个人信息权益与拍摄者权益平衡的问题上,应对我国《民法典》与《个人信息保护法》确立的关于个人信息保护的告知同意规则进一步做出解释。公共场所本身的属性,意味着"无意入镜者"存在自行公开个人信息的可能。对于被认定为自行公开的个人信息,拍摄者无需再取得"无意入镜者"的同意。除此之外,在公共场所中,履行告知同意义务既应当像服务提供商或者公权力机构采集民事主体个人信息一样严苛,同时可以适用默示同意的推定行为的空间而无需取得"无意入镜者"的明示同意。     

个人信息保护中告知同意的开放结构及其公法实现

个人信息保护领域对告知同意的批评源于民法格式条款的路径依赖，将告知同意等同于实践中作为其表现形式之一的隐私政策，继而将隐私政策作为格式合同存在的弊病扩展为告知同意固有且不可避免的问题。事实上，个人信息保护中的告知同意呈现开放结构，包含复次的告知同意阶段，呈现多元的主体交互关系，强调行为授权的程序价值，为公法介入告知同意提供了基础。个人信息保护中告知同意的多元合作规制体系，按照政府规制、元规制和自我规制各自规制优势确立公法介入的形式和程度，在矫正信息主体与信息处理者之间的权力差距以确保意志自由的同时，促进信息流通与信息安全等信息处理社会价值的实现。     

敏感个人信息告知同意规则的制度逻辑、规范解释与补强

《个人信息保护法》区分信息类型,为敏感个人信息配置了强告知同意规则。告知同意规则以信息自主、自决为首要价值基础,有其自身制度逻辑,但也有诸多自限性缺陷。在信息风险社会,告知同意规则对于敏感个人信息的保护具有重要意义,应进一步发掘并赋予其新的价值功能内涵,即风险的预防与分配。为准确适用敏感个人信息之告知同意规则,消弭法规范中诸多不确定性及该制度的自身缺陷,应对告知同意规则之适用范围、告知事项与标准、同意形式与要求等做出恰当解释,以期在实现信息自决的同时能更好地实现风险的控制;同时,基于敏感个人信息“敏感度”与“风险性”的动态特征,应对其告知同意规则做动态性机制补强,以使信息处理符合信息主体的风险预期。     

数据主体的“弱同意”及其规范结构

数据主体同意关乎数据保护强度与数据利用效率,对个人信息保护具有重要意义。我国《网络安全法》规定的同意原则属于强控制模式,因赋予数据主体绝对化的信息自决权而导致信息流通效率降低与数据利用价值减损。在数据控制与数据利用的张力间建立“弱同意”的概念体系与规范结构,可以通过同意体系地位的降低与规范结构的削弱,对信息自决权产生相当程度的限制,有效解决此问题。“弱同意”的规范结构为“情境合理+拟制同意=合法处理”,其中拟制同意化解了“强同意”因僵硬适用和过高标准所带来的有效性困境,情境合理测试则充分吸收了场景理念和风险认知,使同意架构从封闭走向开放,由此个人数据保护从一刀切的权利分割迈向了激励相容的合作治理。     

论个人信息处理的“合同所必需”规则

《个人信息保护法》新增“合同所必需”作为合法处理个人信息的条件之一，但该规则在适用中存在个人信息处理者以增加服务内容、扩大个人信息需求以及降低信息处理透明度的方式侵害用户权益的风险。通过分析欧盟“合同所必需”规则的适用前提、适用标准、适用条件，思考对规则异化的风险进行控制与化解的路径，可为我国建立健全相关适用规则提供借鉴。“合同所必需”规则的适用基础仍是知情同意，其本身不应是一项单独的法定事由，在适用时必须明确“合同依法成立并生效”这一独特前提，在此基础上依托合同自由与公平原则建立相应适用规范，在合法与正当原则下确立“关联性”标准，在目的明确与最小化原则下确立“必需性”标准，在强化告知义务中确立“透明度”标准。同时，基于法律的禁止性规定，在敏感个人信息处理和利用信息进行自动化决策中不能适用该规则。     

隐私政策中的告知同意原则及其异化

告知同意原则已成为个人信息保护领域的基本原则之一。随着技术的进步以及人们对于互联网依赖程度的加深，适用传统的告知同意原则易打乱个人信息保护与利用的平衡状态；同时，依据该原则产生的“全有全无”管理构架，也在客观上造成了实际适用中的高成本及低效率，甚至与信息自身的基本属性相悖。如今，各国已经逐渐意识到以上问题，并开始在立法中对告知同意原则进行革新以克服因其自身结构性僵化所带来的问题。这些措施包括:使用设立隐私设置选项，从择入机制到择出机制的逐渐演变，以及引入隐私风险评估机制等。在此背景之下，对个人信息进行分类并设立隐私评估系统，适当拓宽择入式同意的适用范围，以行业引导方式提供隐私政策模板均是应当考虑的策略。     

劳动者个人信息处理中同意的适用与限制

劳动者个人信息处理中同意的内在困境比其他社会关系都更为鲜明。应打破劳动法、民法与个人信息保护法的理论藩篱,重视对劳动者同意的适用及体系性限制。劳动者信息处理的合法性来源存在两种替代个人同意的适用,分别为"订立或履行合同所必需"的默示同意及以集体合同或劳动规章制度为载体的集体合意。为促进信息利用,应允许雇主在超越"订立或履行劳动合同所必需"时,以劳动者明示同意作为信息处理的合法性来源。无论同意的性质为默示同意、集体合意或明示同意,均应强调对同意自治性的审查,利用"目的限制"与比例原则,丰富"合法、正当、必要"体系性限制的内涵,平衡劳动者个人信息权益保护与信息利用,从而纾解劳动关系下同意的困境。     

刑事诉讼中适用《个人信息保护法》相关问题研究

《个人信息保护法》的颁布实施将刑事诉讼统一纳入个人信息保护法律规范体系当中,需要认真研究刑事诉讼中如何适用《个人信息保护法》的相关规定。个人信息保护中的核心规则“告知-同意”规则在刑事诉讼中基本失效,同意规则无须适用,告知规则设置了宽泛的例外,刑事诉讼法律规范中应当明确例外的界限与适用情形。对于个人信息保存时限、委托处理个人信息的相关规则、自动化决策和敏感个人信息的处理,刑事诉讼中都应当进一步予以细化规定。个人信息权益在刑事诉讼中呈减损状态,但不应被彻底剥夺,应当着力强化刑事执法、司法机关的个人信息保护的合规义务,构建《个人信息保护法》适用于刑事司法领域的若干支撑配套制度,包括将规制场景由技术侦查扩展至更为广阔的信息收集实践,强化事先数据合规制度建设,增设检察机关作为刑事司法系统中投诉处理的负责机构等。     

论个人信息主体同意的私法性质与规范适用——兼论《民法典》上同意的非统一性

个人信息主体同意通常属于准法律行为，在例外情况下也具有意思表示属性。当存在对价关系时，同意构成“承诺式同意”，合同关系与个人信息处理关系并存，数据交易的双重结构由此展开。作为准法律行为的同意能否参照适用法律行为规则，应结合特定利益状态进行判断。平台经营者与用户之间的不平等状态与格式条款提供方与相对方之间的关系类似，因此隐私政策、服务协议可以参照适用我国民法典合同编中的格式条款规则。具有意思表示属性的同意则同时受到法律行为规则与个人信息保护规则的双重规范。在民法典时代，法律人应克制体系化冲动，承认同意理论的非统一性，避免为了追求形式美感而忽视复杂规范框架的必要性与合理性。