特约丨网络用户信息处理的opt-in与opt-out ——金融科技观察第19期
时间:2018-10-22 17:34 来源:网络整理 作者:墨客科技 点击:次
在对网络用户信息进行处理过程中,欧美及我国基于其互联网发展历程、数据产业特点以及个人信息保护角度等不同会采取不同的保护机制。本文主要从opt-in及opt-out的角度进行讨论。opt-in即选择加入机制,由数据主体自主决定是否加入到某一数据处理活动内,这一自主决定基本上是在数据收集环节就会做出,且自主决定的权利会贯彻整个数据处理的环节;opt-out即选择退出机制,即数据处理决定权由企业拥有,但是在此过程中数据主体可以对此提出拒绝,该拒绝的提出可以发生在数据处理的任何环节内。 一、欧洲网络用户信息处理机制:opt-in 欧洲对于个人数据的保护是提升到了基本人权的高度,因此从《一般数据保护条例》即GDPR的规定来看其设定的数据处理机制是opt-in机制,将数据处理权的初始决策交由用户来决定,同时数据处理整个过程均需要数据主体的同意或基于数据主体的权益而展开。 GDPR六项合法处理场景:场景一数据主体的授权同意即为主动选择机制;场景二基于数据主体参与合同的必要性,说明数据处理的前提是数据主体签订或需要履行合同情况下,主体参与决策权依然在数据主体侧;场景六基于控制者追求的合法利益,且这种利益与数据主体的权利和自由不冲突时,在此情况下数据主体的利益依然为最高的。而在场景三、四、五中,基于控制者的法律义务、数据主体或第三人的切身利益、履行公务职权时对数据的处理虽然不需要征得数据主体的事先同意,但是也是从根本上在保障数据主体基本权益。 另外,从GDPR所确立的数据主体各项权益来看,数据主体在每一个处理环节均享有决策权,是在整个数据处理过程中对于用户opt-in权利的切实履行和实现。 二、美国网络用户信息处理机制: opt-out为主,opt-in为辅 美国适用的是opt-out为主,opt-in为辅的机制,将数据处理的初始决策权交由公司,提供用户选择退出的权利。在该机制下收集无需事先征得数据主体的同意,但是在后续使用、售卖过程中需要给用户拒绝的权利。美国opt-out机制的盛行得益于在线广告业务的发展,大型互联网公司组成了行业自律组织,积极制定并完善了opt-out机制,并最终获得了政府的认可。当在线广告业务需求可能涉及到直接涉及个人隐私或敏感信息时,行业内则是目前的选择了opt-in的机制。 opt-out为主 《2018年加州消费者隐私法案》是美国各州目前就个人信息保护最为具体且严格的法律条款,但是从其1798.100(a)消费者有权要求收集消费者个人信息的企业向其披露企业收集的个人信息的类别和具体要素。首先确定的是企业披露的义务,即企业在收集后应当对其收集的信息向消费者告知。只有事先进行了信息的收集,才会产生后续向消费者的披露。 1798.100(b)收集消费者个人信息的企业应当在收集时或者收集前告知消费者所收集个人信息的类别以及个人信息的使用目的。在未向消费者提供符合本节要求的告知情况下,企业不得收集其他类别的个人信息,或者将所收集个人信息用于其他目的。此处使用的是“告知”,即企业无需征得明确的同意,只要满足告知义务即可。结合目前通过线上协议勾选获得的授权可以想到此处的告知可以通过多种方式一次性便捷的完成。 1798.120(a)消费者有权在任何时候指示一个欲将消费者个人信息出售给第三方的企业不得出售该消费者的个人信息。在以出售为目的的个人信息商业化使用过程中,明确消费者拥有的是opt-out机制。 opt-in为辅 1798.120(d)尽管有第(a)条规定,如果企业实际明知消费者年龄小于16岁,企业不应出售该消费者的个人信息,除非消费者的年龄是在13至16岁之间,或父母或监护人已明确授权企业可以出售年龄小于13岁的消费者个人信息。企业任何故意忽视消费者年龄的行为应被视为其已明确知晓该消费者年龄。当涉及未成年人信息的处理时,消费者拥有的则是opt-in的权利。 另外,在在线广告自律组织行为准则内,对于直接的个人信息、位置信息、敏感信息三类时需要做到opt-in。由数字广告公司于2000年成立的自律协会NAI在其《NAI 行为准则》内将在线数据分为三类,即个人识别信息(Personal identifiable Information,简称 PII,即可以直接识别个人的信息,如公民姓名、住址、电话号码等)、设备识别信息(Device identifiable information,简称DII,即与设备、浏览器相关的信息,如IP地址等)、去识别信息(De-identified Data,此类信息主要是经过加工处理后无法进行识别的个人信息)。在此基础上,又将精准位置信息(Precise Location Data)及敏感信息(Sensitive Data,包括PII中涉及人身、财产、健康及性倾向等的敏感信息和DII中涉及到医疗、性取向的信息)进行了单独分类。当处理到直接的个人信息、精准的位置信息及敏感信息时依然使用的是opt-in的处理机制。 三、中国网络用户信息处理机制: opt-in为主opt-out为辅 (责任编辑:admin) |