网络安全检测|网络安全服务|网络安全扫描-香港墨客投资移动版

我国对于收集、使用及对外提供个人数据时明确规定需要数据主体的同意。但是考虑到一些具体的业务无法事先获得同意的情况下则赋予数据主体事后拒绝的权利。

opt-in为主

《网络安全法》第四十一条网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。经被收集者同意说明我国对于网络运营者信息收集采用的是数据主体opt-in机制。但是需要注意的是，此条并未考虑到其他合理处理情况、例外豁免情况或实际无法获得同意的情况。

《消费者权益保护法》第二十九条经营者收集、使用消费者个人信息，应当遵循合法、正当、必要的原则，明示收集、使用信息的目的、方式和范围，并经消费者同意。经营者收集、使用消费者个人信息，应当公开其收集、使用规则，不得违反法律、法规的规定和双方的约定收集、使用信息。消法二十九条为2014年修订时新增，但是在当时仍然没有考虑到数据处理可能面临的复杂情况，因此仅规定了opt-in的处理机制。

《最高人民法院最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第三条第二款未经被收集者同意，将合法收集的公民个人信息向他人提供的，属于刑法第二百五十三条之一规定的“提供公民个人信息”，但是经过处理无法识别特定个人且不能复原的除外。此条明确了及时合法收集的公民个人信息在对外提供时也是需要征得被收集者同意的，即将opt-in的机制延伸到了数据处理的对外提供环节。

opt-out为辅

在广告发布、短信营销等过程中，由于无法事先获得数据主体的同意时，针对此类具体业务则是在部门规章内明确了opt-out机制。

《互联网广告管理暂行办法》第八条利用互联网发布、发送广告，不得影响用户正常使用网络。在互联网页面以弹出等形式发布的广告，应当显著标明关闭标志，确保一键关闭。在线广告发布同时需要给予用户拒绝接受的权利，但是需要明确的是此类关闭仅是对当前广告的操作处理，而不是对个人信息用于营销广告整个行为的拒绝，因为此类页面只是在线广告的终端展示页面，仅能对当下展示情况进行处理。在实际情况中，对于是否接收营销广告的关闭入口一般会放在浏览器或者APP应用软件的设置里。

《通信短信息服务管理规定》第二十条短信息服务提供者、短信息内容提供者向用户发送商业性短信息，应当提供便捷和有效的拒绝接收方式并随短信息告知用户，不得以任何形式对用户拒绝接收短信息设置障碍。通过短信营销是可以直接触达到接收方的一直营销模式，在此情况下设置的拒绝接收是对整个发送行为的拒绝，而不仅仅是当次的发送。

总体而言，结合个人信息处理方式的复杂性，一般会综合利用opt-in与opt-out机制进行规范，opt-out机制明确由企业为主导推进网络用户信息的处理；然而即使欧盟使用单一的opt-in机制，也是在保护数据主体基本人权的基础上给予了企业诸多的自觉权，由企业自行完成个人信息处理的风险评估及合规判断。因此opt-in及opt-out机制更多的是确立了数据处理的基本路径，但是实际的执行和操作依然需要由企业来完成。在我国，也应当给企业预留更多的数据自觉处理的空间，转变企业被动遵守法律法规为主动创新创建网络用户信息处理技术与机制，对数据处理过程中数据主体的权利进行切实有效的保护。

《金融科技观察》由京东金融研究院与《银行家》联合出品，跟踪评析最新金融科技行业和法律政策动态，敬请关注。（文章仅代表作者本人观点）

本期策划：孟昭莉，京东金融研究院院长