首页
日前,北京师范大学主办的“数字服务提供者处理个人信息的合法性基础”研讨会在京举行。与会专家围绕最高人民法院发布的指导性案例第265号(罗某诉某科技有限公司隐私权、个人信息保护纠纷案)和第266号(黄某欢诉某信用管理有限公司个人信息保护纠纷案)中的核心议题展开研讨。
完善个人信息保护的裁判规则体系
中央财经大学法学院武腾教授以《整体视角下订立、履行合同所必需规则的若干思考》为题发言。他认为,《个人信息保护法》将民法典确立的原则细化并分散规定,形成了完整体系。对于“合同所必需”规则的适用争议,学界既存在对规则进行目的论限缩的主张,也有为适应人工智能发展需求而宽松适用的观点,各自均有道理。他提出,司法裁判中应协同适用原则条款、合法性基础规则与告知义务规则,同步考量敏感个人信息处理、跨境传输等特别规则,兼顾信息主体权益、处理者正当利益与社会公共利益。
武腾还结合个性化教育、先享后付等新业态场景,提出了合规实践的探索方向,建议未来司法实践应当不断完善个人信息保护的裁判规则体系。
应当建立“场景化分层同意”机制
安徽大学法学院夏庆锋教授发言的题目为《“合同所必需”中“合同”概念的理论解释与规则续造》。他认为,《个人信息保护法》第13条第2款所称的“合同”在理解上存在争议,而两则指导性案例实现了对“合同”概念的司法续造与审查转向。其中,265号指导性案例对合同范围作出目的性限缩,将合同内容区分为基础服务与附加功能,重点审查用户合意的自愿性,否定了捆绑同意的效力;266号指导性案例则将合同关系从双边合同扩张至“联立合同”,同时确立了信息处理行为合比例性、最小必要的审查标准。
夏庆锋分析了网信办《互联网应用程序个人信息收集使用规定(征求意见稿)》对“合同所必需”规则的回应与局限,认为其虽回应了实践争议,但仍存在原则裁量空间大、静态清单适配性滞后、对目的变更的规制不足、执行效能面临挑战的问题。对此,他提出应限缩解释“合同”范畴,构建“核心功能合同”与“场景化分层同意”二元体系,严格限定“核心功能合同”,同时按信息处理风险等级建立“场景化分层同意”机制,对网络服务法律关系进行规范性重塑与精确性界定。
个人信息处理同意与缔约承诺存在差异
上海交通大学法学院林洹民副教授分享的题目是《承诺式同意下的订立、履行合同所必需规则》。他认为,立法层面“必需”概念的弹性表述,导致实践中对个人信息收集的必要性边界难以界定。无论是教育场景中关联主体信息的收集,还是信用评估场景下替代数据的使用,均对“必需”的认定标准提出了现实挑战,也直接引发了该规则是否会架空个人信息同意原则、弱化个人信息自决权的争议。
基于此,针对核心争议梳理了个人信息处理“同意”与合同缔结“承诺”在性质上的差异,林洹民认为二者在行为能力要求、作出方式、撤回规则等方面存在显著区别。他提出,《个人信息保护法》第13条第1款第2项是第一项同意原则的特殊情形,其正当性基础在于缔约承诺同时符合个人信息同意的法定要件。进而,他明确了该规则的司法适用逻辑为先审查信息处理者是否履行法定告知义务并取得个人有效同意,再判断处理行为是否属于“合同所必需”。“必需”的核心价值在于作为判断同意有效性的客观标准,而非替代同意原则。(朱非 整理)
放大
上一版
