8月27日，民法典各分編草案首次提請(qǐng)十三屆全國人大常委會(huì)第五次會(huì)議審議。在格外引人關(guān)注的“人格權(quán)編”一編，個(gè)人信息和隱私保護(hù)寫入其中，引發(fā)關(guān)注。

草案提出，自然人的個(gè)人信息受法律保護(hù)。收集使用自然人個(gè)人信息的，應(yīng)當(dāng)遵循合法、正當(dāng)、必要原則，并應(yīng)當(dāng)征得被收集者同意等。 

8月27日，民法典邁出新一步，民法典各分編草案首次提請(qǐng)十三屆全國人大常委會(huì)第五次會(huì)議審議。在格外引人關(guān)注的“人格權(quán)編”一編，個(gè)人信息和隱私保護(hù)寫入其中，引發(fā)關(guān)注。

全國人大常委會(huì)法制工作委員會(huì)主任沈春耀在作草案說明時(shí)表示，針對(duì)隱私權(quán)和個(gè)人信息保護(hù)領(lǐng)域存在的突出問題，在現(xiàn)行法律規(guī)定基礎(chǔ)上，草案進(jìn)一步強(qiáng)化對(duì)隱私權(quán)和個(gè)人信息的保護(hù)，并為即將制定的個(gè)人信息保護(hù)法留下銜接空間。

草案提出，自然人的個(gè)人信息受法律保護(hù)。收集使用自然人個(gè)人信息的，應(yīng)當(dāng)遵循合法、正當(dāng)、必要原則，并應(yīng)當(dāng)征得被收集者同意等內(nèi)容。

對(duì)外經(jīng)貿(mào)大學(xué)數(shù)字經(jīng)濟(jì)與法律創(chuàng)新研究中心執(zhí)行主任許可在接受民主與法制社記者采訪時(shí)表示，近年來，不少專家學(xué)者一直在呼吁制定個(gè)人信息保護(hù)的單行法，現(xiàn)在看來，專門的個(gè)人信息保護(hù)法有望在未來幾年出臺(tái)。

就企業(yè)如何合法地處理個(gè)人信息的問題，目前規(guī)定最細(xì)致、最嚴(yán)格的，要屬今年5月歐盟出臺(tái)的《一般數(shù)據(jù)保護(hù)條例》（GDPR）。在GDPR施行前后，很多企業(yè)就開始了為“合規(guī)”改變產(chǎn)品和服務(wù)設(shè)計(jì)的工作，這給歐盟企業(yè)乃至全球企業(yè)帶來前所未有的影響，也似乎給個(gè)人信息和隱私保護(hù)帶來了些許希望。

嚴(yán)格的用戶“同意”

不久前，上海消保委授權(quán)相關(guān)單位對(duì)五款主流地圖類APP進(jìn)行測評(píng)，結(jié)果發(fā)現(xiàn)，除騰訊地圖外，包括百度地圖、高德地圖在內(nèi)的地圖類APP均有不同程度的過度索取用戶個(gè)人信息權(quán)限的行為，出現(xiàn)申請(qǐng)的敏感權(quán)限與實(shí)際功能不符的現(xiàn)象。

近日，谷歌也被曝出在用戶已經(jīng)關(guān)閉授權(quán)的情況下，仍在獲取用戶的位置等隱私信息。數(shù)據(jù)時(shí)代的一個(gè)現(xiàn)實(shí)問題是，類似于此類手機(jī)APP越權(quán)或者過度獲取用戶信息的現(xiàn)象，基本上每天都在上演。

關(guān)于用戶“同意”，去年6月1日開始施行的《網(wǎng)絡(luò)安全法》中，第41條、42條明確規(guī)定了網(wǎng)絡(luò)運(yùn)營者收集、使用或者向他人提供個(gè)人信息等應(yīng)當(dāng)經(jīng)被收集者同意。

也因此，今年初的支付寶年度賬單事件，支付寶因以“一行不起眼的小字提醒用戶并默認(rèn)勾選同意”的方式引發(fā)輿論譴責(zé)。而在去年《網(wǎng)絡(luò)安全法》實(shí)施后不久，螞蟻花唄的用戶協(xié)議也曾因過度收集用戶個(gè)人信息，且用戶只有點(diǎn)擊“同意”的權(quán)利，而引起軒然大波。

曾有專家分析這是企業(yè)在履行網(wǎng)絡(luò)安全法等法律法規(guī)規(guī)定的合規(guī)要求。但顯然，這樣的“合規(guī)”處理方式不能為公眾接受。

關(guān)于用戶同意，GDPR的規(guī)定相較網(wǎng)絡(luò)安全法的規(guī)定來說，更加明確、具體，具有可操作性，“用戶同意”是作為企業(yè)合法處理數(shù)據(jù)的前提之一。

許可表示，GDPR前言部分第32項(xiàng)規(guī)定，同意應(yīng)當(dāng)通過明確的、肯定的行為來體現(xiàn)數(shù)據(jù)主體對(duì)于處理與其相關(guān)的個(gè)人數(shù)據(jù)的行為，并且應(yīng)當(dāng)是用戶自愿表達(dá)作出的特定的、具體的、知情的以及清晰明確的同意。

“根據(jù)GDPR的規(guī)定，沉默、默認(rèn)勾選對(duì)話框或者不作為都不能構(gòu)成用戶同意。而且用戶在選擇同意的時(shí)候，必須要有一個(gè)主動(dòng)的、自主的選擇動(dòng)作，比如通過點(diǎn)擊或者滑動(dòng)屏幕等操作，就是所謂的選進(jìn)機(jī)制�！痹S可說。

而點(diǎn)擊“同意”也并不意味著一攬子授權(quán)。GDPR中還規(guī)定，同意應(yīng)當(dāng)涵蓋的是為相同目的開展的一切處理活動(dòng)，如果處理數(shù)據(jù)的行為有多個(gè)目的，所有的目的均應(yīng)獲得用戶的同意。

這其中就包括隱私政策中常見的與第三方共享數(shù)據(jù)信息的情形�！芭c第三方公司共享，實(shí)際上已經(jīng)改變了信息收集的目的，那么就仍需要再獲得用戶的同意�！痹S可說。

用戶“同意”并非唯一合法事由

而很多國內(nèi)網(wǎng)友困惑的另一個(gè)問題是，很多手機(jī)APP“不點(diǎn)同意就無法正常使用”。

許可介紹，國內(nèi)的個(gè)人信息安全規(guī)范區(qū)分兩種情況，一種是基礎(chǔ)服務(wù)，是為提供最核心的服務(wù)而必須要獲得的用戶權(quán)限，比如地圖類APP要獲得用戶位置權(quán)限，相機(jī)APP要獲得手機(jī)攝像頭及相冊(cè)的權(quán)限等。另外一種為附加服務(wù)，比如音樂APP要獲取用戶手機(jī)通訊錄，如此便可向好友推薦該用戶聽過的歌曲。

“對(duì)于基礎(chǔ)服務(wù)，用戶不點(diǎn)擊同意授權(quán)，確實(shí)就不能使用服務(wù)。但對(duì)于附加服務(wù)，用戶當(dāng)然也有權(quán)選擇不同意，同時(shí)，這種情況下，企業(yè)還應(yīng)當(dāng)提供基礎(chǔ)服務(wù)，不能因不同意附加服務(wù)就不提供基礎(chǔ)服務(wù)。”許可說。

值得注意的是，根據(jù)我國《網(wǎng)絡(luò)安全法》的規(guī)定，目前只規(guī)定了“收集者同意”作為企業(yè)合法使用數(shù)據(jù)的標(biāo)準(zhǔn)。

但許可強(qiáng)調(diào)，GDPR雖然作為所謂的最嚴(yán)格的保護(hù)個(gè)人信息和個(gè)人數(shù)據(jù)的法律，但它仍然賦予了企業(yè)除了“用戶同意”以外的其他共6項(xiàng)合法事由，來作為處理數(shù)據(jù)的依據(jù)，以此避免過于嚴(yán)苛的使用個(gè)人同意的條款，限制數(shù)據(jù)流通。

根據(jù)GDPR第6條第一款規(guī)定，除了數(shù)據(jù)主體同意條款以外，包括為履行數(shù)據(jù)主體參與的合同之必要、履行法律義務(wù)之必要、為了保護(hù)數(shù)據(jù)主體或另一個(gè)自然人的切身利益之必要、為執(zhí)行公共利益領(lǐng)域的任務(wù)或行使數(shù)據(jù)控制者既定的公務(wù)職權(quán)之必要，以及為了追求合法利益之必要。

“也就是說，很多信息的收集和使用未必一定要經(jīng)過用戶同意。比如為了履行合同所必須要收集的信息，不需要用戶同意也可以進(jìn)行處理。”許可說，同時(shí)，GDPR還賦予了數(shù)據(jù)主體隨時(shí)撤回同意的權(quán)利、選擇不同意的權(quán)利以及刪除個(gè)人數(shù)據(jù)的權(quán)利。

必須一提的是，GDPR之所以被稱為“最嚴(yán)數(shù)據(jù)法”的原因，除將個(gè)人信息保護(hù)上升到前所未有的高度之外，還在于其明確了相當(dāng)嚴(yán)格的處罰措施，違反該法律的公司將面臨最高2000萬歐元或全球年度營業(yè)額4%的罰款。

許可強(qiáng)調(diào)，要明確的前提是，個(gè)人信息是指向特定個(gè)人的可識(shí)別的信息，要與大數(shù)據(jù)區(qū)分開。

這也在日前民法典草案中人格權(quán)一編中得到體現(xiàn)，自然人的個(gè)人信息受法律保護(hù)。個(gè)人信息是以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識(shí)別自然人個(gè)人身份的各種信息，包括自然人的姓名、出生日期、身份證件號(hào)碼、個(gè)人生物識(shí)別信息、住址、電話號(hào)碼等。