数字经济时代,互联网与经济社会各领域的融合日益加深,个人信息处理的主体和场景更加多样化。鉴于个人信息处理活动广泛存在于社会生产生活中,个人信息保护法不可能穷尽所有处理个人信息的合法性基础,其他法律、行政法规可以根据相关行业、领域的实际,对处理个人信息的合法性基础作出有针对性规定。本条对此留下了必要的空间。
对于个人信息处理的合法性基础应当注意:一是个人信息处理者具备处理个人信息的合法性基础,特别是取得同意以外的合法性基础,也应当遵循合法、正当、必要等个人信息处理的基本原则和具体规则,履行个人信息安全保护义务,并不因具备合法性基础就免除其个人信息保护的义务。二是处理者在开始收集个人信息前就应当确定其合法性基础,不能在收集之后随意变更个人信息处理的合法性基础。三是根据本条第二款的规定,本法中所有要求应当取得个人同意以及单独同意、书面同意的规定,都是对基于同意这一合法性基础处理个人信息作出的要求,如果处理者是基于本条第一款同意以外的合法性基础处理个人信息则不需要适用取得同意的要求。
第十四条 基于个人同意处理个人信息的,该同意应当由个人在充分知情的前提下自愿、明确作出。法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的,从其规定。
个人信息的处理目的、处理方式和处理的个人信息种类发生变更的,应当重新取得个人同意。
[释义]本条是关于同意的作出和重新取得同意的规定。(www.xing528.com)
“同意”是个人信息处理活动中个人决定权的重要体现,即个人有权决定个人信息能否被他人处理以及如何被处理。
国外相关立法均将“同意”作为个人行使对其个人信息决定权的重要手段。如欧盟《通用数据保护条例》明确“同意”是指数据主体通过声明或者明确肯定的方式,自愿作出的具体的、知情的,明确地同意其个人数据被处理的指示,并要求如果是基于同意的处理活动,应由控制者来证明数据主体同意处理其个人数据。经济合作与发展组织(OECD)制定的《隐私保护和个人数据跨境流动指南》中明确,除非获得个人的同意或者法律授权,个人信息不应被公开、被他人获取或在列明目的之外使用。美国《记录、计算机与公民权利》报告提出的“公平信息实践”原则,明确“个人应有渠道防止为特定目的采集的个人信息未经其同意用于其他目的”,并在《健康保险携带和责任法》及其相关隐私保护规则中得到贯彻落实,对医疗服务提供者使用、披露相关健康信息是需得到个人的书面授权,还是仅需提供同意或反对的机会,以及无须通知的不同情形作了规定。新加坡《个人数据保护法》规定,个人作出或和视为作出同意后,机构方可收集、使用、披露个人数据。其中,“同意”是指机构已依法向个人告知所需信息的前提下个人所给予的同意。如果要求个人同意提供超出产品或服务合理范围的个人数据,或者使用欺骗、误导方式获取或企图获取个人的同意,则同意是无效的。如果个人没有实际作出同意,但为收集、使用、披露个人数据的目的自愿向机构提供个人数据,且自愿提供数据的行为是合理的,则应视为个人作出同意。韩国《个人信息保护法》规定,信息主体享有是否同意处理其个人信息的权利以及确定同意处理范围的权利。个人信息处理者获取信息主体的同意时,应单独将需要获得同意的事项通知信息主体,并帮助其确认同意,分别获得信息主体的同意;应将需要获得信息主体同意和无须同意的情形进行区分;个人信息处理者为了宣传推销商品或服务而意图获取信息主体同意的,需要通知信息主体,帮助其确认通知并获取同意;信息主体选择性同意或者不同意时,个人信息处理者不得拒绝向信息主体提供商品或服务。俄罗斯《联邦个人数据法》规定,对基于商业目的、政治宣传目的而处理个人信息,自动化决策以及其他对个人权利和合法利益产生重大影响的个人信息处理,赋予了个人同意或反对权。日本《个人信息保护法》赋予了个人对超出使用目的以及敏感信息等的限制处理权,非经个人同意不得超出使用目的,不得处理敏感个人信息。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
