智利新出台的《数据保护法》(Ley de Protección de Datos)当中的重大创新内容之一,是确立了新的合法依据,抛弃了过去同意-法律的二元论。新法承认了数据主体同意的重要性,并据此深入规范和定义了“有效同意”(“consentimiento válido”)的必要条件。这将是新的《个人数据保护法》实施过程中最具挑战性的一点,因此值得关注围绕这一合法性基础而展开的相关讨论。
1、 同意即合法性的基础
同意是数据处理的一般性规则,这种情况也得到了智利立法者的明确认可。有鉴于此,立法者对其进行了某些特殊规定,以确保数据主体的授权不受侵犯,同时防范出现不对称的情况。
具体来说,同意必须符合某些构成要件,否则新法律规定的有效同意将不成立。具体要件如下:(1)必须在处理数据之前表示同意、(2)同意必须是明示的、(3)同意的目的必须具体、(4)同意必须是知情的、(5)同意必须是准确无误的,以及最重要的(6)同意必须是自由的。
鉴于前述要件,某些问题随之而来,一旦新法律开始生效,这些问题就需要特别关注,因为它们很可能在未来会被广泛地讨论。事实上,与智利相比,在个人数据保护方面拥有更悠久传统的其他法域已经或正在讨论这些挑战,因此我们不妨分析一下这些挑战是如何解决的。
2、缺乏同意自由的推定
如果数据控制者在履行合同或提供服务的框架内收集数据,而这种收集并非必要的,法律则推定数据处理同意并非自由给予。
这方面的一个例子是捆绑销售,在这种情况下,如果数据主体不事先同意对其个人数据进行处理,则不能签订合同,即使是为了超出合同服务范围的处理目的。在这种情况下,同意并不符合作为处理合法性依据的必要条件。
3、集体同意
数据控制者应避免一揽子制定隐私和数据处理政策,只用一个复选框授权所有处理。为确保同意的自由,建议结合与特定目的相关的单独选项,允许数据主体选择全部、部分或全部不同意。亦即“微粒化同意”(consetimiento granular),虽然会带来诸如管理同意选项等挑战,但它是确保数据主体自由同意处理的机制之一。
4、付费或同意
新法律在未来还可能会引起的另一挑战是“付费或同意”(“Pay or Consent”)模式下的同意。这一模式为数据主体提供了两种选择:(1)免费使用服务,并同意将其数据用于广告宣传;或(2)付费购买不含广告的服务。欧洲数据保护委员会认为,数据控制着应提供更多的选择,以确保同意的自由,如不涉及支付费用的选项、允许以较少或不处理个人数据的形式进行广告宣传选项。如此可避免误导性同意,防止用户被迫同意数据的处理,有效促进数字公平。
作者:何塞·伊纳西奥·麦卡多(José Ignacio Mercado),Iván Meleda、Gabriela García。
声明:本内容由智利佳理律师事务所(Carey y Cía. Ltda.)提供,未经允许不得转载,仅供教育和宣传用,非法律建议。
