鑒于公號【隱私護衛(wèi)隊】這篇《臉書因數(shù)據(jù)不透明或被愛爾蘭罰三千萬,,合同代同意協(xié)議惹爭議》文章提及的“合同代替同意”對GDPR透明(transparency)原則的違反,,加之此前該領(lǐng)域的權(quán)威大家洪延青老師已經(jīng)對“合同所必需,、基本功能服務(wù)所必需與同意豁免”做過鞭辟入里的觀點論證,,【沐平】籍此偶發(fā)一次狼藉散漫不專業(yè)的思考與討論。
洪延青老師在公號【網(wǎng)安尋路人】發(fā)表的《對<常見類型移動互聯(lián)網(wǎng)應(yīng)用程序必要個人信息范圍規(guī)定>的兩點理解》一文中寫道:
“因此,,在公號君看來,,此次四部門秘書局和辦公廳聯(lián)合發(fā)布的《常見類型移動互聯(lián)網(wǎng)應(yīng)用程序必要個人信息范圍規(guī)定》,對應(yīng)的正是《個人信息保護法(草案)》第13條中的”履行個人作為一方當事人的合同所必需“,?;具壿嫗椤稠椆δ芊?wù)是用戶所需要的,即用戶作為一方當事人,,與企業(yè)之間簽訂了合同,;那么為了履行這個合同,企業(yè)必需的個人信息,,就是《規(guī)定》中所稱的必要個人信息。
因此,,《常見類型移動互聯(lián)網(wǎng)應(yīng)用程序必要個人信息范圍規(guī)定》實際上為后續(xù)《個人信息保護法》的落地,,提前針對”履行個人作為一方當事人的合同所必需“做出了細化規(guī)則。
關(guān)于合同所必需和同意之間的區(qū)別,,見【中國個人信息保護立法 | 合同所必需:魔鬼在細節(jié)之中】”
對此,,筆者有點兒想不太明白,不太明白的思路如下:
《個人信息保護法》第十三條的第(一)項合法性事由【取得個人的同意】和第(二)項合法性事由【為訂立,、履行個人作為一方當事人的合同所必需,,或者按照依法制定的勞動規(guī)章制度和依法簽訂的集體合同實施人力資源管理所必需】,一個是單方行為(單個意思表示發(fā)出),,一個是雙方行為(兩個意思表示合意),。但在個人信息保護實務(wù)中,往往兩者是糾纏在一起的,,基于第(一)項事由靠隱私協(xié)議的概括授權(quán)同意更像是一個雙方行為(合同),,或許只有《個保法》第二十九條的單獨同意才更像單方行為。而第(二)項事由,,也不能免除保護法上的同意,,(保護法上的同意或許根本就不是民法上的單方行為這么簡單),因為其從實踐上來說大多通過合同,、協(xié)議或規(guī)章制度來取得這種同意,?!昂贤匦琛睆腉DPR的角度來說,為了遵守“透明”原則,,不要將個人數(shù)據(jù)隱私收集隱藏在合同里來狡詐地獲取用戶同意,。相反恰巧合同里不隱藏、不涉及隱私收集的相關(guān)內(nèi)容,,才有確為履行合同所必需的真正的,、純粹的同意豁免。
《常見類型移動互聯(lián)網(wǎng)應(yīng)用程序必要個人信息范圍規(guī)定》所述的各類APP基本功能必要收集的范圍也不構(gòu)成《個保法》第十三條第(二)項的豁免,,因為消費者也有拒絕基本功能所必需的信息收集進而選擇不用該APP(基本功能服務(wù))的自由權(quán)利,。這個《常見類型移動互聯(lián)網(wǎng)應(yīng)用程序必要個人信息范圍規(guī)定》解決的是“不要超范圍搜集,不要強制收集”,,而不是讓消費者喪失掉選擇同意的權(quán)利,,授權(quán)同意不僅僅是一種單向意思表示,更多是一種自由選擇權(quán)利,。也即是說無論是《個保法》還是GDPR的“合同所必需”,,絕對不是“APP基本功能所必需”這種場景,連仿造也算不上,。此外,,必要性原則也絕不僅僅是“合同所必需”或“基本功能所必需”,其實質(zhì)上是對“處理目的所必要的最小化收集和使用”的倡導(dǎo)原則,。
也許“同意”,、“合同所必需”、“基本功能所必需”是一個顏色條上的三個頻譜,,還需再去深入立體式的描畫琢摹,。