人類進入信息社會後,如何在利用信息和保護自然人個人信息權益之間取得平衡,在世界範圍內引發了個人信息保護的立法熱潮。就我國而言,全國人大《關於加強網絡信息保護的決定》、《網絡安全法》、《民法通則》都明確了個人信息受法律保護。任何組織或者個人需要獲取他人個人信息的,應當依法獲取,不得非法獲取個人信息,不得非法出售或者非法向他人提供個人信息。關於“合法”和“非法”的認定,《網絡安全法》第41條第1款界定了基本邊界。“網絡運營者收集、使用個人信息應當遵循合法、公正、必要的原則,公開收集、使用的規則,明確說明收集、使用信息的目的、方式和範圍,並征得被收集人的同意。”
知情同意原則是指信息提供者在收集個人信息時,應當向信息主體充分告知個人信息的收集、處理和利用情況,並征得信息主體明確同意的原則。具體來說,通知是指信息提供者可以合理有效地讓當事人知道其個人信息將如何被收集和處理。這壹制度旨在實現信息提供者收集和處理個人信息過程的透明化,以方便當事人行使同意權。知情同意原則源於人們的信息自決權,同意是信息主體自主性的體現,可以自主處置個人信息,正如洛克在《政府論》中提到的:“壹切自然人都是自由的,除了他自己的同意,沒有任何東西可以使他受制於任何世俗權力。”
事實上,知情同意原則普遍適用於世界各國的個人信息保護立法。20世紀70年代,國際社會個人信息保護的基本原則和理念初步形成。65438-0970歐洲第壹部個人信息保護立法《德國黑森州信息法》將知情同意原則定義為個人信息收集的原則。1973年,美國政府成立的“個人數據自動化系統提案小組”發布了《公平信息實踐指南》報告,五大指南包含了知情同意原則的內容,對美國個人信息保護立法起到了關鍵作用,基本確立了美國個人信息保護的基本框架。此後,知情同意原則被納入美國的立法,如《公平信用報告法》和《兒童網絡隱私保護法》。此外,瑞典、奧地利、丹麥等國家在本國的法律文件中也有類似的保護個人信息的規定。
同時,知情同意原則也被與個人信息保護相關的國際文件所采納。在1980中,為了協調數據的跨境轉移,經濟合作與發展組織(OECD)發布了《個人數據的隱私保護和跨境流通指南》(以下簡稱OECD指南),指出在大多數情況下,個人數據的收集不僅應獲得數據主體的同意,而且應限制在為實現同意通知中指明的目的所必需的最小數據量,未經新的同意不得將數據用於其他目的。1981年,歐共體理事會頒布了《個人數據自動處理過程中的個人保護公約》(以下簡稱“108號公約”),明確了數據主體對個人數據自動處理應有知情權。1990年,歐洲體育委員會開始推動歐盟層面的個人數據保護統壹立法,並於1995年發布了《個人數據處理和此類數據自由流通中的個人保護指令》(以下簡稱“95指令”),明確數據控制者只有在獲得數據主體明確同意的情況下才能處理個人數據。近年來,隨著信息社會的進壹步發展,上述文件進行了現代化更新,均保留或加強了知情同意原則的相關內容。2012年,歐洲委員會修訂了108號公約,明確限制了信息主體的同意,即數據主體的同意必須是自由的、具體的、已知的、明確無誤地被接受的。2013年,OECD發布了OECD隱私框架,對OECD指南進行了大幅修改,但保留了知情同意原則的相關內容。歐盟2016頒布的《壹般數據保護條例(GDPR)》不僅進壹步細化了知情同意原則,增加了收集兒童數據時需要征得監護人同意的特殊情況,還賦予了該原則以法律強制力。可見,知情同意原則自產生以來就是個人信息保護的基本原則,其內涵幾乎是壹脈相承的,體現了數據主體對個人數據享有自主權和自決權。
請點擊輸入圖片說明(最多18字)。