本条第二款规定,个人撤回同意,不影响撤回前基于个人同意已进行的个人信息处理活动的效力。根据该规定,撤回同意权利的行使不具有溯及力,即同意的撤回不影响在撤回前基于同意而进行的个人信息处理的合法性。个人撤回同意后,处理者应当停止处理,并且应当按照规定删除基于同意处理的个人信息,除非法律、行政法规规定的保存期限未届满,或者删除个人信息从技术上难以实现。
撤回同意不同于民事法律行为中意思表示的撤销和撤回。根据民法典第一百四十一条、第四百七十五条至第四百七十七条的规定,撤回意思表示须在意思表示未生效之前到达相对人,其产生的效力是使得此前作出的意思表示不发生效力;而撤销是在意思表示到达相对人并生效之后作出的取消前一意思表示的行为。从民法典的规定可以看出,撤回同意与撤销、撤回意思表示有以下不同:一是同意处理个人信息的撤回不受任何时间和条件限制。意思表示的撤回有时间限制。意思表示的撤销也应当在规定的时间内作出,例外情形:要约人以确定承诺期限或者其他形式明示要约不可撤销;受要约人有理由认为要约是不可撤销的,并已经为履行合同做了合理准备工作。二是撤回同意的效力是个人信息处理者不得再继续处理个人信息,并应当删除个人信息,但是撤回同意之前的处理行为的效力不受影响。意思表示的撤回和撤销的效力都是使之前作出的意思表示不发生效力。
第十六条 个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由,拒绝提供产品或者服务;处理个人信息属于提供产品或者服务所必需的除外。
[释义]本条是关于禁止以提供产品或者服务为由强制获取用户同意的规定。
实践中,一些App往往采用捆绑式同意方式强制获取用户的同意,如捆绑多项业务功能一揽子征求用户同意,不同意则不提供任何单一服务,或者捆绑提供产品或服务的必要信息以及其他非必要信息一揽子征求用户同意,不同意则不提供服务。本条规定就是针对捆绑式同意这一问题作出的有针对性规定。
本法第五条规定,处理个人信息应当遵循合法、正当、必要和诚信原则,不得通过误导、欺诈、胁迫等方式处理个人信息。第六条规定,处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。在捆绑式同意情形中,用户如不对一揽子事项作出提供个人信息的同意就不能使用相关产品或者服务,导致用户的选择权和决定权实际被架空,该种同意并非自愿作出,而是迫于使用产品或者服务的需要不得不作出的,在此种情形下,个人信息处理者违反了处理个人信息的必要、诚信和最小化处理原则。为了避免个人信息处理者采用这种捆绑式同意的方式侵害用户的决定权,本法规定,个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由,拒绝提供产品或者服务;处理个人信息属于提供产品或者服务所必需的除外。这一规定要求个人信息处理者处理个人信息应当与提供产品或者服务的目的直接相关,不能收集与提供产品或者服务无关的个人信息。直接相关是指该信息是实现业务功能所必需的信息;无关是指该信息并非实现业务功能所必需;所谓必需要基于产品或者服务的性质来确定,而非个人信息处理者的主观判断,必需的个人信息是指保障产品和服务功能正常运行所最少够用的个人信息,一旦缺少这些必要的信息将导致相关产品或者服务无法实现或无法正常运行。例如,在使用导航App过程中,若用户不同意提供自己的实时位置信息,商家则不能提供该服务;又如,打车App,若用户不同意提供其位置信息,网约车便不能搭载乘客。但是,如果上述App超出定位和搭载乘客目的范围收集其个人信息,如通讯录、照片等,用户不同意或者撤回此前关于处理者收集的同意,个人信息提供者不得拒绝提供导航或者网约车服务。
第十七条 个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项:
(一)个人信息处理者的名称或者姓名和联系方式;
(二)个人信息的处理目的、处理方式,处理的个人信息种类、保存期限;(www.xing528.com)
(三)个人行使本法规定权利的方式和程序;
(四)法律、行政法规规定应当告知的其他事项。
前款规定事项发生变更的,应当将变更部分告知个人。
个人信息处理者通过制定个人信息处理规则的方式告知第一款规定事项的,处理规则应当公开,并且便于查阅和保存。
[释义]本条是关于告知内容和告知方式的规定。
告知是个人信息处理公开透明原则的要求,是实现个人知情权的基础,也是个人行使本法规定的其他权利的前提。个人只有知晓与其个人信息处理有关的重要事项,才能自愿地、理性地作出相关决定。
有些国家和地区、国际组织均将“告知”作为保障个人知情权的一种必备手段作出规范,如欧盟《通用数据保护条例》规定,控制者应当在向数据主体收集其个人数据时提供以下信息:控制者的身份和详细联系方式,必要时还应提供控制者法定代表的身份和详细联系方式;若适用,应提供数据保护官的详细联系方式;个人数据的处理目的及处理的法律依据;控制者或者第三方所追求的合法利益;个人数据的接收方或接收方的类型;控制者意图向第三国或者国际组织传输个人数据的事实、依据,以及所采取的安全保护措施和数据主体获取副本的方式;个人数据的存储期限或者确定存储期限的标准;数据主体向控制者主张其个人数据的获取、修改、删除、限制处理、拒绝处理、可携带的权利;随时撤回同意的权利;向监管机构申诉的权利;个人数据的提供是否基于法律规定、合同要求或订立合同之必要,数据主体是否有义务提供个人数据以及不提供可能产生的后果;关于包括数据画像在内的与自动化决策有关的逻辑机制和有意义的信息,以及此类处理对数据主体的意义和预期影响。如果个人数据并非从数据主体处获得,控制者还应当额外向数据主体告知关于该数据的来源;如果控制者意图变更收集个人数据时的处理目的,则应当就新的处理目的向数据主体告知有关信息。亚太经济合作组织(APEC)制定的《隐私框架》要求,个人信息控制者应就个人信息方面的应用和政策提供清晰且容易查阅的声明,包括个人信息被收集的事实、收集目的、披露对象的类型、控制者的身份及地址,以及个人查阅、更正其信息和限制其信息被使用或披露的途径和方式。国际标准化组织(ISO)和国际电工委员会(IEC)联合制定的《ISO29100隐私框架》提出,信息控制者以清晰和易懂的方式向信息主体提供有关信息处理的政策、程序和规则,应向信息主体告知本人的信息是否被收集、收集的目的、披露给第三方的信息类型、控制者的身份以及访问、更正、删除本人信息的方式,当处理程序有重大变化时应提示信息主体。美国健康教育和福利部《记录、计算机与公民权利》报告提出“公平信息实践”原则,明确不允许存在秘密的个人信息记录系统,个人应有渠道获知其哪些信息被记录及如何被使用,这一原则被美国多部立法所采用,如《金融服务现代化法》要求金融机构需向用户告知其隐私政策,金融机构如向非关联机构分享用户信息需履行告知义务,明示哪些信息将向谁披露,并向用户说明如何行使退出权;美国《隐私法》规定,个人有权知道联邦机构是否保存有其本人的记录,并可要求查看和复制。韩国《个人信息保护法》规定,个人信息处理者获取同意时,应当向信息主体告知:收集和使用个人信息的目的;将要收集的个人信息的详情;个人信息保存和使用期限;信息主体有权拒绝同意以及因拒绝而产生的不利后果。俄罗斯《联邦个人数据法》明确个人有权获取有关处理者及其地址等信息、有权从处理者处确认是否存有其个人信息并知悉其个人信息的权利。有权获得处理的有关信息,包括:个人信息被处理的事实及处理的目的、处理的方式、接触或可能接触本人个人信息的人、所处理的个人信息的清单及其来源、处理和保管的期限、个人信息的处理可能会对个人产生的法律后果。我国台湾地区“个人资料保护法”规定,公务机关或非公务机关向当事人搜集个人资料时,应明确告知以下事项:公务机关或非公务机关名称;搜集目的;个人资料的类别;个人资料利用的期间、地区、对象及方式;当事人的权利及行使方式;当事人不提供个人资料将对其权益产生的影响。当搜集的个人资料非由当事人提供的,应在处理或利用前告知上述事项及个人资料的来源。
本法将公开透明作为个人信息保护的基本原则之一,并将保障个人的知情权贯穿于个人信息处理的全过程、各环节,形成了体系化的规定。其中,本条对个人信息处理者在处理个人信息时的告知事项、告知方式等一般性要求作出了规定,本法其他条款还对处理对外提供个人信息、处理敏感个人信息等特殊类型处理活动的告知作出了专门规定。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。