摘要:长久以来,知情同意原则作为个人信息保护制度的基础,贯穿于个人信息保护的全过程,其核心地位不可撼动。然而随着大数据时代的到来,知情同意原则的理论框架开始面临各种冲突与困境,随处可见的信息风险伴随着数据传播效率与知情同意原则之间难以调和的矛盾,信息侵权对应人身、财产权属的特殊性也使得侵权救济难以实现。突破知情同意原则的现实困境,寻求现代个人信息保护制度的制度完善,首先应当充分实现用户的“知情”权、“同意”权与“撤回”权,以“实质性参与”实现“实质性的知情同意”,从规范层面构建实质性指引。其次,以程序性保障相佐,构建多元保障机制,充分发挥社会力量,为知情同意原则制度寻求全新的出路。
关键词:大数据 个人信息保护 知情同意 原则 制度构建
互联网移动平台的飞速发展使个人信息数据成为时代进步的“润滑油”,而人们对信息泄露的担忧也从未停止过。我国《数据安全法》和《网络安全法》及2021年11月1日起施行的《个人信息保护法》等多项法律均明确个人信息受法律保护,任何个人或组织采集、使用个人信息都应当获得信息主体的授权同意,由此延伸出我国当下个人信息与隐私保护的基本原则——知情同意原则。知情同意原则起源于医疗领域,最初是指医生必须向患者披露足够的信息,使具有表达能力的患者能够在充分了解某项医疗措施、医疗方案后,对是否接受医生所提供的治疗方案做出选择,以保护患者的自主选择权[]。随着时代发展,该项原则逐渐运用到个人信息保护领域当中,成为个人信息保护制度的基本原则。
知情同意原则作为我国个人信息保护制度的基础,其核心地位不可撼动,而相应的,对于知情同意原则的质疑也从未停止。知情同意原则的理论框架尽管已被全球各国立法采纳,但其在大数据时代信息洪流的冲击之下,其自身应用与发展的困境也日趋明显。本文将从大数据时代背景下个人信息保护制度中知情同意原则的困境出发,深入剖析其表现形式与产生的根本原因,寻求、探析我国知情同意原则制度构建的路径与对策。
一、个人信息保护制度中知情同意原则的法理基础与立法现状
1. 知情同意原则的法理基础
(1)以人格尊严为理论基础
首先,人格尊严作为人类普遍性的内在价值,是个人信息保护制度的理论基础。我国宪法第38条规定:“公民的人格尊严不受侵犯”;《民法典》第109条也规定:“自然人的……人格尊严受法律保护”。意味着“人格尊严”的保护已经跨越公法与私法的界限,成为我国法律体系当中的基础性法律概念。由此可见,以人格尊严作为理论基础构建个人信息保护制度及其相关权益,是合理且可行的路径。其次,告知同意原则作为个人信息保护制度的基础制度,同样也需要以人格尊严作为理论基础。《民法典》将个人信息保护规定在人格权编中,将个人信息权益视为人格权的一种表现,而“知情同意”则是个人信息所有者依照其主体意愿自由处置其权利的表现,法律上对这种“处置自己权利”的认可和保护,正是以权利主体的人格尊严为基础的[]。
(2)以自主行为为表现方式
知情同意原则的表现方式——自主行为,体现在信息主体个人自主、个人自决,这对于个人信息保护是底线一般的存在。大数据时代,随着信息技术的发展,特定主体搜集个人信息的能力形成了在个人信息领域的直接强制力,该种强制力可被称为“数据权力”[]。“数据权力”的崛起直接威胁到了个人信息主体对其个人信息的自决权利,知情同意原则以自主行为为表现方式,其内核在于信息主体能够自由控制其个人信息流通的“阀门”。即在全面了解信息读取的范围及信息处理的方式、程序后,信息主体能够自主选择是否同意特定主体读取、应用其个人信息,或限定其读取信息的时间、范围。在个人信息主体已然处于弱势地位的当下,坚守信息主体的自主、自决为知情同意原则的核心内涵,从长远来看不失为一种经济的考量。
2. 知情同意原则的立法现状
(1)国际立法现状
二十世纪六十至七十年代,信息通信技术(ICT)开始大量运用在欧洲信息收集和数据处理领域,与此同时,人们也逐渐对信息数据保护产生关注。1970年,《德国黑森州信息法》作为欧洲第一步个人信息立法,就已经纳入了知情同意原则[]。1980年,欧洲委员会(Council of Europe)发布了“108号公约”,即《关于个人数据自动化处理的个人保护公约》。该公约被公认为是个人信息保护中最为重要的的国际公约性法律文件,进一步确认了授权使用个人信息的形式同意要求。1995年10月24日,欧洲议会公布《关于涉及个人数据处理的个人保护以及此类数据自由流动的指令》(95/46/EC)(“95指令”)。2016年4月27日,欧盟理事会公布了《通用数据保护条例》[]。欧盟现行法律体系中,“95指令”与《通用数据保护条例》已成为个人信息保护法律体系的主要组成部分。
(2)国内立法现状
2013年2月1日,《信息安全技术公共及商用服务信息系统个人信息保护指南》正式实施,作为我国首个个人信息保护国家标准,该标准明确了信息主体的“同意”作为个人信息获取和使用的前提。2013年6月28日,中华人民共和国工业和信息化部第2次部务会议审议通过了《电信和互联网用户个人信息保护规定》,这是知情同意原则首次出现在我国规范性法律文件中,规范的主体为电信业务经营者、互联网信息服务提供者。2016年通过的《中华人民共和国网络安全法》完善了部分个人信息处理规则,其中第四十一条、四十二条规定正式以法律的形式明确了知情同意原则。2020年通过的《民法典》将个人信息保护纳入人格权编,以民事基本法的形式进一步规范了个人信息保护制度。同年,《信息安全技术个人信息安全规范》正式发布并实施,正式以国家标准的形式明确了“授权同意”的具体要求,并将知情同意纳入个人信息安全基本原则,细化、明确了个人信息获取政策、个人信息储存、使用的限制等。2021年,《个人信息保护法》颁布,知情同意原则的规范框架体系正式构建完成。
二、个人信息保护制度中知情同意原则实施的困境与挑战
《个人信息保护法》的颁布,代表我国已将知情同意原则正式确立为个人信息保护规则的基本原则之一,贯穿于个人信息保护的全过程。然而在信息数据爆炸式增长的时代,个人信息保护与大数据信息技术的发展的取舍与冲突,造成在严格的制度管理之下个人信息保护的法律效果却始终低于预期的后果。实践中知情同意原则的运用,也不断面临着各种困境与挑战。
1. 隐私条款冗杂,信息风险随处可见
个人信息收集者在信息收集前,往往以隐私政策条款的形式对个人信息主体进行告知,在收集个人信息前准确告知信息主体信息收集的全部内容、方式。隐私政策条款的作用应当是给予信息主体充分的知情权,但实际上,大部分App的隐私政策条款并未起到该作用。相反,为了获取更多利益,某些App会运用各种方式在隐私政策条款中隐瞒重要信息,使用户“充分知情”的难度进一步提高,以达到规避部分法律风险的目的。
(1)“数字鸿沟”造成个人信息用户无法“充分知情”
“数字鸿沟”的概念自20实际90年代中期被提出,是指“不同社会群体之间在拥有和使用现代信息技术方面存在的差距”[]以及由此产生的行为能力上的差距。在大数据信息收集处理过程中,信息处理者往往在技术层面具有天然优势,个人信息用户对于信息处理者提供的告知条款中繁多、冗杂的技术性条款往往并不能充分理解,甚至完全无法理解。例如,2019 年欧盟法院(CJEU)关于cookies 案件的判决(Case C-673/17)认为,个人用户在不了解cookies追踪技术的具体影响时,在“为了提升您的用户体验”提示下选择同意,此种情况并不能认定为用户是“知情”的,更无从谈“同意”。个人信息处理者滥用“过场式条款”进行告知的现象,自《个人信息保护法》颁布实施后有望得到改善,但“数字鸿沟”作为信息化时代的结构性社会问题,其影响难以骤然消除[]。
(2)数据信息服务垄断造成个人信息用户“胁迫式同意”
知情同意原则的实际意义,建立在用户“知情”的基础上,最终为信息用户的选择权服务,然而实务中用户的选择权被“假告知,真捆绑”的隐私条款大大限制,“胁迫式”同意严重压缩着用户的自主选择权。几乎所有App的隐私政策条款均附带“同意”与“不同意”两个选项,选择“同意”选项即表示授权App收集个人信息,选择“不同意”选项,则会直接导致用户无法使用App或App的主要功能,迫使用户只能点击“同意”选项。在此种“胁迫”之下,用户点击“同意”按钮授权事实上为无奈之举,此种“胁迫式同意”违反了同意的实质——即在信息主体不受任何外力作用的影响之下做出的授权同意。大数据时代,人们的日常生活无法离开某些必要的数据应用,因此,此类影响力巨大的App凭借自身强大的垄断能力,以提供免费服务的形式,收集、获取了大量用户信息,而用户对于该种“胁迫式同意”的拒绝与撤回,也面临着极大的困难。
(3)“同意”异化为“授权”的侵权风险
在App隐私条款冗杂的现状之下,几乎没有信息用户会完整、仔细地阅读信息收集者制定的隐私政策条款,在此情况下,即使用户点击了“同意”选项,多数企业往往将该种“同意”直接异化为“授权”,以“同意”之名行“授权”之实,自由地使用个人信息。为了避免企业概括地示明隐私条款,从而以不合理的方式获取个人数据,监管者往往采用具体化同意的方式来进行管理,但在此种模式下,企业只需在用户协议或隐私政策条款中针对性的对监管重点进行说明即可,反倒使企业更加容易逃避监管[]。
2. 数据传播效率与知情同意原则的冲突
在数据信息高速流通的大数据时代,数据的传播效率实际影响着人们生活的方方面面。严苛的知情同意原则致使个人信息用户对企业获取其信息的方式做到完全知情,需要花费大量时间,必然会使信息数据的研发与流通遭受负面影响。
(1)严苛的知情同意规则限制大数据时代信息流通
大数据具有高速、实时、多样的特征,通过计算机和云计算的方式进行传播与流通,信息处理呈现自动化、智能化特征。由于法律具有滞后性,无法做到完全跟随时代脚步,现代立法也缺少对企业等商业主体诉求的回应,而是着重于保护个人信息,对信息收集主体设定了各种限制及规范。如若严格依照知情同意原则的内核,在每次处理用户信息前都需要用户知情同意,那么,App的信息处理效率会大大下降,此种情况十分不利于用户的使用体验,企业也难以为用户提供针对性服务,用户在频繁的“同意”动作中,也会产生疲倦情绪,更不利于数据应用技术的发展。过于严苛的知情同意规则,将会限制信息数据的高速流通,从而使信息发展与个人信息保护失衡。
(2)知情同意原则实践中的双重成本
知情同意原则的实践,伴随着信息处理者和个人信息主体的双重成本。在数据信息技术快速更新迭代的当下,各类App升级、更新的频率保持在7-10天一次。依据《个人信息保护法》第十四条:“……个人信息的处理目的、处理方式和处理的个人信息种类发生变更的,应当重新取得个人同意” ,这就意味着在每次更新后,信息处理者都需要同时对隐私条款进行更新修订,并重新告知用户获取用户同意,从而造成大量的经济成本。而对信息用户来说,阅读隐私政策条款将会花费大量的时间成本,有研究表明,信息用户若阅读全部隐私政策,平均每年需付出约244个小时,对这部分时间价值进行预估,则为7810亿美元[]。
3. 信息侵权救济难以实现
近年来信息收集者利用其优势地位,肆意收集用户个人信息,以侵犯他人个人隐私权的方式争取利益最大化的侵权行为屡见不鲜,造成此种现象的原因,除去信息侵权本身的特殊性之外,也与我国现行规制惩罚措施的缺失息息相关。
(1)信息侵权的特殊性质致使维权困难
大数据时代的信息侵权存在即时性、易行性,且信息侵权的潜在受害主体存在极大的不确定性、广泛性,针对单独的信息侵权受害主体,其损害效果也并不明显,多数受害主体甚至对侵权行为的发生及损害并无任何察觉。在此基础上,当信息侵权发生时,同传统的侵权行为不同,受害人并不能第一时间知晓侵权行为的来源、侵权方式及损害结果,由此造成维权困难甚至无法维权。以中国cookies隐私第一案——北京百度网讯科技公司与朱烨隐私权纠纷案为例,法院认为百度公司以cookie技术为媒介,利用网络技术为朱烨提供个性化推荐服务的行为并未侵犯网络用户的知情权和隐私权。且终审法院提出,cookie技术是当前互联网领域普遍采用的信息技术,是网络服务提供者提供个性化推荐与服务的重要基础,只需依法明示告知即可,网络用户亦应当努力掌握互联网知识和使用技能,提高自我适应能力。从另一方面来看,若法院全面禁止cookie技术的追踪,将会给数据技术领域的发展带来巨大冲击,这也是信息用户在遭受侵权后难以维权的一大原因。
(2)规制与惩罚措施的缺失
2022年3月7日,最高人民检察院发布最高检第三十五批指导性案例,其中一例北京某公司侵犯儿童个人信息权益行政公益诉讼案,是一例因信息侵权造成实质伤害后果的典型案例。某App在未以显著、清晰的方式告知并征得儿童监护人明示同意的情况下,允许儿童注册账号,并收集、存储儿童个人敏感信息。2018年1月至2019年5月,徐某某收到该App后台推送的含有儿童个人信息的短视频,通过其私信功能联系多名儿童,并对其中3名儿童实施了猥亵犯罪,该案经审理,确认该App的信息侵权行为与实害后果有因果关系。经审理,该案双方当事人达成调解协议,该公司立即停止侵权行为,对涉案App进行整改,对整改情况及效果进行评估、报送,接受审查并公开赔礼道歉。反思此案,信息侵权在发生之初,就由于我国预先规制措施的缺失而无法得到有效的限制,直至信息侵权行为造成实害结果后,再通过司法途径回溯侵权行为与实害结果间的因果关系,对于信息侵权行为的预防效果甚微。另一方面,由于缺少相关处罚制度,结合信息侵权对象的广泛性、不确定性,信息侵权者承担法律责任的方式有很大的局限性。
三、个人信息保护制度中知情同意原则的完善与构建
大数据时代信息收集的高速性、实时性和复杂性使知情同意原则处于危险状态[],实践中,信息收集者采取的隐私政策条款“迫使”用户为了能够正常使用数据应用而同意收集者收集其个人信息,无视信息主体的合法权益。企业制定隐私政策条款力求全面、细致,反而导致条款冗杂,用户无法真正理解隐私协议的内容,“知情同意原则”名存实亡,因此,完善知情同意原则势在必行。
1. 知情同意原则的实质性规范指引
完善知情同意原则,首先应当从其基础理论——人格尊严出发,知情同意原则的内核应当是真正尊重个人用户的选择和判断,充分实现用户的“知情”、“同意”,以“实质性参与”实现“实质性的知情同意”,而从规范层面构建实质性指引,是使知情同意原则不再流于形式化的重要保障之一。
(1)明确“知情”内容
知情同意原则首先意味着个人用户拥有“获得告知(知情)”的权利,即个人用户的知情权对应信息处理者的告知义务,信息处理者正确履行告知义务,是保障信息主体知情权的重要基础。面对信息收集者与信息用户信息不对称的现状,信息收集者必须改变隐私政策条款的冗长,突出重点,让信息用户能够真正理解隐私政策条款“所云为何”。首先,隐私政策条款必须明确主体信息,对此,信息收集者可以借鉴欧盟GDPR,要求隐私政策明确数据控制者的身份,说明采集主体在采集过程中所担任的角色,有多个采集主体的,均应当予以告知【13】。其次,依据《个人信息保护法》第六条规定:“处理个人信息应当具有明确、合理的目的……”,信息收集者必须明确信息收集、处理的目的与范围,依据相关法律规定,属于特殊信息的部分,应当给予单独告知。最后,隐私政策条款的用词应当精炼、准确,未来有望由相关机构对常见、多用的隐私条款进行统一释义,使人们能够充分理解隐私条款所包含的信息。
(2)规范“同意”体系
信息主体的同意权是知情同意原则的另一基本组成部分,除最基础的“明示同意”以外,知情同意原则在规范上还应当构建包含单独同意、默示同意等特殊机制的多层同意体系。首先,依据《个人信息保护法》规定,隐私政策条款应当区分敏感信息与一般信息,处理敏感信息前应当取得信息主体的单独同意。敏感信息包括:生物识别、金融账户、医疗健康、行踪轨迹、宗教信仰等,以及不满十四周岁未成年人的个人信息。此类信息涉及信息主体的人身、财产权利及人格尊严,一旦泄露,有可能造成无法挽回的实害结果。因此,必须对此类信息进行加粗展示、单独告知。而对于重要性与危险性不大的一般信息,隐私政策条款应当简洁列明,不宜设置过高的阅读门槛,增加信息用户的阅读障碍。其次,在当前技术条件下,部分信息收集者还多采用“默示同意”的形式,以达到更高效、更合理地收集部分个人信息。例如,在车站、商城等公共场所设立极为显著的“本场所设有监控设施”的标示,信息用户在进入该场所时,就视为同意该场所以监控方式信息收集其相关信息。对默示同意的规范需要实现个人信息保护及利用的平衡:一方面,通过默示同意降低信息处理的成本、促进信息的自由流动,另一方面应当限定默示同意运用的范围,避免这种同意方式被滥用[]。
(3)实现“撤回”自由
《个人信息保护法》第十五条至第十六条明确规定了信息主体享有对同意的撤回权,且信息主体的撤回不能影响信息收集者继续为其提供服务。“撤回”应当是自主的、自由的,信息主体有权随时撤回自己的授权,且同时应当保障其个人信息权益不受侵害,任何对撤回权的限制都是对信息主体合法权益的侵犯。实践中,部分数信息收集者以限制信息用户主体享受其提供的主要服务的方式,极大地限制用户实施“同意”的撤回。针对此类现象,知情同意原则在规范上应当限令信息收集者将个人信息的使用严格限制在“个性化服务”一类相关范畴内,避免用户行使撤回权等同于注销账号、停止使用。同时,必须明确用户行使同意的撤回权不等同于违约,不构成任何违约责任,信息收集者也不得在隐私条款中约定任何限制撤回权的条款。相对于多数信息收集者所设置的“一键同意”,撤回权的行使也应当做到能够“一键撤回”。
2. 知情同意原则的程序性完善路径
通过完善对知情同意原则的实质性规范,在“知情”、“同意”、“撤回”各方面做到夯实基础、回归本质,但知情同意原则的程序性保障机制也同样不容忽视。知情同意原则的程序性保障关键在于通过多方力量的介入参与,《个人信息保护法》已明确规定了信息用户、信息收集者及个人信息保护部门在个人信息保护中他主体地位,但基层管理部门、行政机关、组织行业等其他主体的参与,也对知情同意原则的完善与发展具有重要意义。
(1)“基层力量”参与治理
当前,对于个人信息收集的“知情”与“同意”已涉及到人们生活的方方面面,无法避开的个人信息数据传递已经成为现代生活的一部分,基于现代基层治理工作无法脱离,甚至依赖于个人信息收集与处理的现状,将“基层力量”融入知情同意原则的落实之中。督促“基层力量”参与治理,要做到充分发挥社会组织与社会团体的力量,社区及街道应当加强智慧信息治理能力建设,与时俱进,依据《个人信息保护法》的要求,社区及街道在信息治理相关程序中,应当充分发挥宣传动员作用,协助、促进相关纠纷解决,就近满足人们在“信息生活”中寻求合法权益保护的需求。
(2)行政机关预先规制
由于个人信息权益的保护对应个人信息财产权、人身权权属的复杂性、特殊性,且信息时代数据采集、处理技术的飞速发展、日新月异,行政机关难以对信息侵权进行全过程的监督,致使对于信息侵权行为的管制与惩罚往往处于滞后状态。因此,行政机关应当尽可能制定完善的预先规范制度,《个人信息保护法》第六十条已经对个人信息保护的职责部门做出了明确规定,行政机关可以预先制定政府标准,提前落实知情同意原则,同时以奖惩并行的方式进行预先引导,以形成良好的市场环境。
(3)行业组织实施监管
个人信息保护的监管机制,不仅以行政机关的预先规制为基础,更应当与行业组织的自我监管相辅相成。首先,企业作为被监管者,与监管者之间常存在着无法平衡的冲突,而行业组织作为两者的“中间人”,既能够以信息专业知识为基准,结合社会实践,为企业制定相应的标准,在规范企业行为的同时,防止任其自流,又避免被监管者因矫枉过正而规行矩止,影响发展。其次,个人信息用户遭遇侵权时,往往由于申诉途径的限制,其咨询、投诉无法高效、直接与监管者对接,而行业组织者在适当范围内能够受理部分来自于个人用户的反馈,尽可能以高效率、低成本的方式,利用组织惩戒权对信息侵权个案展开监督,使个案纠纷解决途径多元化,以进一步增强行业自律。
四、小结
《个人信息保护法》在信息主体的同意之外,仅规定了严于个人信息安全规范国家标准及同类法规的六种合法性基础[],在目前信息侵权频繁多发的现状下,奠定了从严治理的“主旋律”。知情同意原则在大数据时代信息洪流的冲击之下,已经成为信息侵权者的“避风港”,而突破知情同意原则现有的困境,并非是要否定知情同意原则在个人信息保护制度中的重要地位,而应当以《个人信息保护法》为框架,对知情同意原则做出适应性调整,针对知情同意原则的诸多争论做出更清晰的结论。
