引言
《个人信息保护法》确立了以“告知—同意”为核心的个人信息处理规则,强调了个人信息处理中对个人信息主体的权利保障。同意并非个人信息处理的唯一合法性基础。《个人信息保护法》第13条第1款第2项规定“为订立、履行个人作为一方当事人的合同所必需”(以下简称“合同所必需规则”)同属个人信息处理的合法性基础之一。合同所必需规则借鉴了GDPR第61(b)条的规定,但国内对该规则的原理内涵与具体适用仍不明晰。为更好推动合同所必需规则的落地适用,本文结合GDPR第61(b)及相关规定,对合同所必需规则的内涵与实践适用进行了分析。1合同所必需规则的基本内涵 欧盟数据保护委员会曾通过了一项《关于在向个人信息主体提供在线服务时根据GDPR第61(b)条处理个人数据的准则》(2.0版)(以下简称《准则》),上述指南对GDPR第61(b)条对合同所必需规则的基本内涵和适用标准作了详细规定,对理解合同所必需规则的原理具有重要意义。11设立合同所必需规则的考虑个人信息处理的合法性基础主要有两大类:一是同意,二是法定许可(又称“同意例外”)。基于同意的个人信息处理体现了对个人同意授权的严格遵循,是在大数据时代赋予个人信息主体的一项自主决定权利。我国《个人信息保护法》允许个人信息处理者基于法定许可处理个人信息主要有三个层面的考虑。第一,个人信息来源于个人,但个人信息并非绝对独占的。个人信息还承载着除了个人利益之外的社会利益甚至国家利益。因此,特定情形下,个人信息主体需要让渡其享有的同意授权的权利,以实现不同利益之间的平衡[1]。这一利益平衡理念同样体现在GDPR,其序言指出“保护个人数据的权利不是一项绝对权利,必须考虑其在社会上的作用并应当根据比例性原则与其他基本权利保持平衡。”
作者信息:
伍旋航
(厦门大学法学院,福建厦门361005)
文章下载地址:https://www.chinaaet.com/resource/share/2000005906
