敏感個人信息單獨同意條款適用研究

陶斌智 軒雅倩

(廣西師范大學(xué) 法學(xué)院，廣西桂林 541000)

“單獨同意”條款系《個人信息保護(hù)法》第28條所規(guī)定。所謂“單獨”只能起到排除概括同意適用的作用，是同意的形式之一，還包括明確同意和書面同意[1]，是指立法時對處置敏感信息或特定情況所采取的特殊規(guī)范，意在對信息管理者提出更為嚴(yán)格的規(guī)定，以維護(hù)個人信息主體知情權(quán)等個人信息權(quán)利。在該法實施前，對該規(guī)定的爭論一直不絕于耳，論者主要圍繞同意本身缺乏必要性和真實性，而使得單獨同意條款的適用流于形式展開。

本文認(rèn)為，該條款的設(shè)置是否科學(xué)合理，取決于人們對它在司法與社會實際運(yùn)用過程中的深入檢視。因此，筆者于“小包公·法律AI”類案檢索平臺中，對包含“敏感個人信息”的判決進(jìn)行檢索，共檢索出46份有效判決書，其中，“淘寶公司訴美景公司不正當(dāng)競爭糾紛”系列判決最具參考價值，本案的爭議焦點之一為“用戶勾選同意淘寶公司隱私政策的行為是否缺乏真實性”。兩審法院均認(rèn)為，淘寶公司在注冊界面設(shè)置隱私政策鏈接提示用戶在注冊成功前閱讀，表明其已經(jīng)履行告知同意的義務(wù)；用戶注冊賬號時勾選了淘寶公司的隱私政策，代表用戶同意了淘寶公司處理其敏感個人信息，淘寶公司基于用戶同意處理敏感個人信息的行為具有正當(dāng)基礎(chǔ)。但筆者認(rèn)為兩審法院將“勾選隱私政策即同意”作為裁判依據(jù)，有浮于表面之嫌，未深入考究“點擊即同意是否代表實質(zhì)同意”“隱私政策是否合法合規(guī)”等問題，這些問題的判斷對裁判結(jié)果具有決定作用，而解決上述問題，首先需要對隱私政策的文本設(shè)計與實施進(jìn)行考察并剖析成因。為此，筆者隨機(jī)調(diào)查了5類20款A(yù)PP隱私政策文本(1)需要說明的是，由于檢索出的判決時間大都在《個人信息保護(hù)法》實施以前，我國法律當(dāng)時并未要求處理敏感個人信息需要用戶單獨同意，僅僅運(yùn)用以往的案例研究單獨同意條款的適用情況，則說服力較弱。本文著重研究法律實施以后單獨同意條款的使用情況，考慮到兩者本質(zhì)上屬于同一問題，故在此合并研究。，發(fā)現(xiàn)APP供應(yīng)商將勾選隱私政策作為使用軟件基本服務(wù)的前置條件，變相強(qiáng)制用戶同意隱私政策，實則逃避了對個人信息及隱私的約束，剝奪了用戶的選擇權(quán)，使得立法條款的適用流于形式。因此，筆者認(rèn)為對單獨同意條款的適用進(jìn)行更為深入地探討極為必要。

一、問題的提出：單獨同意條款適用流于形式

《個人信息保護(hù)法》《常見類型移動互聯(lián)網(wǎng)應(yīng)用程序必要個人信息范圍規(guī)定》等文件共同明確了APP供應(yīng)商在收集敏感個人信息之前應(yīng)當(dāng)履行告知義務(wù)，以及不同種類的APP可以且必要收集的敏感個人信息之范圍，其目的是保障用戶的敏感個人信息在最小限度內(nèi)被收集，以貫徹單獨同意條款。筆者從地圖導(dǎo)航類、問診掛號類、學(xué)習(xí)教育類、拍攝美化類、求職招聘類各選取4個代表性的APP隱私政策進(jìn)行考察。為了評估隱私政策對單獨同意條款實施的達(dá)成度，筆者將影響隱私政策的達(dá)成度細(xì)化為以下8個測度指標(biāo)：a. 是否有隱私政策；b. 文本字?jǐn)?shù)是否超過一萬字；c.是否有簡略版文本；d.是否存在強(qiáng)制授權(quán)； e.是否超出必要范圍收集； f. 是否出現(xiàn)或出現(xiàn)類似“單獨同意”的表述；g.對個人敏感信息搜集實際是否讓用戶單獨同意；h.是否提前要求授權(quán)個人敏感信息(表1中分別用字母a-h以此表示這8個指標(biāo))。

表1 移動互聯(lián)網(wǎng)應(yīng)用程序的隱私政策評估

通過上述實證分析發(fā)現(xiàn)APP適用單獨同意條款普遍存在以下問題。第一，用戶被要求強(qiáng)制授權(quán)。筆者發(fā)現(xiàn)調(diào)查中65%的APP都出現(xiàn)強(qiáng)制授權(quán)的現(xiàn)象，它們與淘寶公司訴美景公司案的情況相同，利用用戶對APP的剛性需求要求用戶在注冊時點擊同意隱私政策，將勾選隱私政策作為使用軟件基本服務(wù)的前置條件，變相強(qiáng)制用戶同意隱私政策，否則便不允許用戶使用APP，實則逃避了對數(shù)據(jù)信息及隱私的約束，剝奪了用戶的選擇權(quán)。例如，“好大夫在線”APP在用戶拒絕勾選隱私政策后便迫使用戶退出，或不受用戶控制而自行閃退到手機(jī)主頁面，當(dāng)用戶再次進(jìn)入APP主頁面則要求用戶登錄賬號，但登錄賬號的前提是要去勾選同意隱私政策，否則不能登錄；“趕集直招”APP在用戶進(jìn)入時提示收集用戶的位置信息，用戶點擊“不允許”后再次彈出授權(quán)彈窗并言辭決絕不容用戶選擇，暗示性要求用戶非同意收集其位置信息不可；進(jìn)入“作業(yè)幫”APP時，出現(xiàn)“是否同意APP收集您的位置信息”的彈窗，但當(dāng)用戶并未點擊“同意”時，在APP界面的左上角的定位處便已經(jīng)顯示出了用戶所在的城市位置信息。

第二，信息收集者僅形式上履行告知義務(wù)?！案嬷卑▋蓚€要點，一是APP供應(yīng)商應(yīng)當(dāng)將所收集敏感個人信息的范圍、使用事項等使用戶真知知曉并理解，二是告訴用戶其敏感個人信息是如何被收集、使用等事項。調(diào)查發(fā)現(xiàn)APP供應(yīng)商往往認(rèn)為出現(xiàn)“隱私政策”即完成了法律規(guī)定的告知義務(wù)，在上述“淘寶公司訴美景公司案”判決中法官也是如此判斷，即淘寶公司在界面設(shè)置了隱私政策鏈接，即認(rèn)定淘寶公司履行了告知義務(wù)，對用戶是否真正知情隱私政策的條款或意義在所不問。但實際上APP供應(yīng)商僅停留在了告知的第一個步驟，只是告訴用戶具有“告知同意”的權(quán)利，并沒有讓用戶真正行使同意權(quán)。

第三，敏感個人信息仍被一攬子夾雜授權(quán)。敏感個人信息之單獨同意條款要求APP供應(yīng)商在收集敏感個人信息時應(yīng)當(dāng)將該部分的授權(quán)請求單獨拿出來，一項一項地征求用戶同意，而不能將其打包捆綁、不加區(qū)分地一攬子納入隱私政策，要求用戶一次性整體授權(quán)。然而，調(diào)查中發(fā)現(xiàn)只有15%的APP在其隱私政策中出現(xiàn)了“單獨同意”或類似表述，25%的APP對敏感個人信息收集實際上也沒有經(jīng)過用戶單獨同意。例如，“足跡”APP在隱私政策中仍將用戶的實時地理位置信息置于非敏感個人信息中，要求用戶一攬子授權(quán)。

如此看來，“行為同意”不等于“思想同意”，隱私政策僅為“點擊即同意”協(xié)議[2]，用戶不真正享有自主決定權(quán)，使得單獨同意條款的適用流于形式。

二、失靈成因：法律規(guī)范的局限分析

我國法律上敏感個人信息保護(hù)相關(guān)的法規(guī)多從框架性的角度出發(fā)，即從敏感個人信息處理的“單獨同意”以及“必要目的”“嚴(yán)格保護(hù)”等原則性安全保障措施展開，法律規(guī)范關(guān)于是否貫徹保護(hù)制度的界定規(guī)則較為粗略，實用性較低。

(一)單獨同意性質(zhì)不明

我國法律上規(guī)定可基于用戶的單獨同意處理用戶之敏感個人信息，同意與同意的撤回共同勾勒出用戶在數(shù)據(jù)處理活動中的能動性邊界。學(xué)界對告知同意存在的問題展開了廣泛討論，但目前對于“同意”的性質(zhì)及效力依然存在爭議。在法理論中，權(quán)利的性質(zhì)將直接對該條款的適用產(chǎn)生影響，不同性質(zhì)的權(quán)利其正當(dāng)化的理由亦不相同，而“同意”的性質(zhì)也勢必會影響單獨同意條款的適用。關(guān)于“同意”的性質(zhì)，學(xué)術(shù)界存在意思表示說、違法阻卻事由說。

立法機(jī)關(guān)曾在《個人信息保護(hù)法(草案)》一審稿中將同意界定為是自愿、明確作出的意思表示，但是在二審稿中改成了“同意由個人在充分知情的前提下，自愿、明確作出”，刪除了“意思表示”一詞，目前實施的《個人信息保護(hù)法》也維持了二審稿的表述。由此可見，我國法律上目前并未界定同意的性質(zhì)。意思表示說認(rèn)為，單獨同意是用戶作出的意思表示，其可適用《民法典》中關(guān)于意思表示的規(guī)定，即用戶撤銷因欺詐、脅迫或重大誤解而做出的意思表示[3]。違法阻卻事由說認(rèn)為，基于用戶單獨同意而處理用戶敏感個人信息的同意，屬于免責(zé)事由或違法阻卻事由，而非意思表示[4]。對此，筆者認(rèn)為違法阻卻事由說更加合理，而不贊同意思表示說。原因在于《個人信息保護(hù)法》第15條規(guī)定的“個人有權(quán)撤回其同意”無法完成民法意思表示理論上的邏輯推演。其一，處理者在處理信息前發(fā)出請求處理信息主體之敏感個人信息的要約，信息主體作出同于要約的意思表示(承諾)，同時滿足其他民事法律行為生效的條件，則該法律行為生效。民法理論上的意思表示撤回的意義在于阻止前項意思表示生效，故撤回的意思表示須較前項意思表示先行到達(dá)[5]，但實踐中信息主體根本無法達(dá)到法律的要求，暫且不論實踐中一般都是“點擊即同意即生效”的模式，設(shè)置“撤回同意”的端口的處理者也是極少數(shù)群體，例如小米直播APP便在其隱私設(shè)置中設(shè)立了“撤回同意”的勾選框，并解釋“您將撤回對小米直播隱私政策的同意”。相反，大多數(shù)處理者都不會設(shè)置撤回端口，還會事前聲明“如果你對隱私政策有疑問，請通過郵件的方式聯(lián)系我們，我們將在收到反饋后十五天內(nèi)予以回復(fù)”，可見若將其視為意思表示，信息主體則根本無法真正享有法律賦予的撤回權(quán)。其二，依梅仲協(xié)先生之見，意思表示的撤銷需存在法定原因[6]，而我國法律上規(guī)定的是基于同意處理的個人信息，信息主體對此享有任意撤回權(quán)。

若將用戶作出的同意視為一種意思表示，則APP供應(yīng)商不合法地適用或直接不適用單獨同意條款，用戶則將其意思表示擴(kuò)大解釋為一種脅迫或重大誤解，便可撤銷其意思表示。如此一來，勢必會影響敏感個人信息處理之穩(wěn)定性，增大APP供應(yīng)商的運(yùn)營成本，進(jìn)而造成對單獨同意條款適用的積極性降低。

(二)單獨同意實現(xiàn)路徑單一

如上文所述，APP經(jīng)營者與用戶往往時空交錯，若欲履行單獨同意條款設(shè)定的義務(wù)，APP經(jīng)營者往往會通過APP主界面的隱私政策鏈接實現(xiàn)。但我國法律上目前并無專門針對隱私政策而立的規(guī)范性文件，從而引發(fā)隱私協(xié)議的性質(zhì)不明、隱私政策文本合法性考察與規(guī)制缺乏直接依據(jù)等一系列問題。

學(xué)術(shù)界對隱私政策的性質(zhì)存在爭論，其性質(zhì)的不確定性必然影響對個人敏感信息保護(hù)強(qiáng)度，性質(zhì)之爭主要分為兩種學(xué)說：一是合同說，即將隱私政策視為APP經(jīng)營者與用戶之間的合同；二是規(guī)制工具說，即將隱私政策看作APP經(jīng)營者向用戶履行告知義務(wù)并讓用戶進(jìn)行選擇的一種方式[7]。若將隱私政策看作合同，即民事法律行為，其成立并生效的要件分別為行為人具有相應(yīng)的民事行為能力、意思表示真實、不違反法律和行政法規(guī)的強(qiáng)制性規(guī)定(2)《民法典》第143條“具備下列條件的民事法律行為有效：(一)行為人具有相應(yīng)的民事行為能力；(二)意思表示真實；(三)不違反法律、行政法規(guī)的強(qiáng)制性規(guī)定，不違背公序良俗。”，但仔細(xì)考察發(fā)現(xiàn)，APP隱私政策大多數(shù)均是無效的民事法律行為。原因在于隱私政策的同意與否決定用戶是否能使用APP，用戶往往是因為想要獲得APP服務(wù)才被迫同意隱私政策，這中間就夾雜了用戶的無奈與意思自治不自由，此時的同意是否為真實的意思表示有待考究。此外，法律規(guī)定處理個人敏感信息應(yīng)當(dāng)取得用戶的單獨同意，不能夾雜授權(quán)個人敏感信息，還規(guī)定處理敏感信息應(yīng)當(dāng)遵循非必要不收集原則，但考察發(fā)現(xiàn)仍有許多APP夾雜授權(quán)并收集非必要的敏感信息，此時隱私政策(合同)便違反了法律的強(qiáng)制性規(guī)定，故隱私政策歸于無效。若將隱私政策當(dāng)作供應(yīng)商履行義務(wù)的規(guī)制工具，其僅具有規(guī)制告知功能，故供應(yīng)商可以在告知文件中表述出所有的其想要告訴用戶的信息，不必遵循單獨告知同意等規(guī)定，此時便不違反法律和行政法規(guī)的強(qiáng)制性規(guī)定。

綜上，隱私政策的定性很大程度會影響APP供應(yīng)商對單獨同意條款的主動適用意愿，但目前我國法律并未明確隱私政策的性質(zhì)，其必然會留下法律漏洞或彈性解釋空間，勢必影響敏感個人信息的保護(hù)。

(三)實現(xiàn)單獨同意保障粗疏

《個人信息保護(hù)法》第七章“法律責(zé)任”僅7條，第66、67、68條羅列了懲罰性行政責(zé)任、強(qiáng)制性行政責(zé)任和補(bǔ)救性行政責(zé)任，第69條、第70條分別規(guī)定了民事責(zé)任和刑事責(zé)任。實踐中，被侵權(quán)人往往更關(guān)注自身經(jīng)歷不法侵害后所得到的救濟(jì)和補(bǔ)償，故筆者在此僅對民事法律責(zé)任進(jìn)行論述。

根據(jù)我國現(xiàn)行法律法規(guī)的規(guī)定，用戶的敏感個人信息權(quán)益受到侵害后，行為人承擔(dān)的民事法律責(zé)任主要有停止侵害、賠禮道歉、賠償損失。《個人信息保護(hù)法》第69條規(guī)定了損害賠償責(zé)任，賠償數(shù)額標(biāo)準(zhǔn)有：其一是個人實際受到的損失；其二是侵權(quán)人實際利益所得；其三是對前兩條標(biāo)準(zhǔn)的兜底，可理解為當(dāng)上述標(biāo)準(zhǔn)均難以確定時，則根據(jù)實際情況確定賠償數(shù)額。該法的立法理念與最高人民法院通過的《關(guān)于審理利用信息網(wǎng)絡(luò)侵害人身權(quán)益民事糾紛案件適用法律若干問題的規(guī)定》第12條第2款規(guī)定一致，法官在無法確定具體損失數(shù)額時可以行使自由裁量權(quán)確定以50萬為上限的賠償數(shù)額(3)最高人民法院《關(guān)于審理利用信息網(wǎng)絡(luò)侵害人身權(quán)益民事糾紛案件適用法律若干問題的規(guī)定》第12條第2款規(guī)定“被侵權(quán)人因人身權(quán)益受侵害造成的財產(chǎn)損失以及侵權(quán)人因此獲得的利益難以確定的，人民法院可以根據(jù)具體案情在50萬元以下的范圍內(nèi)確定賠償數(shù)額?！?，而被侵權(quán)人也能基于此規(guī)定產(chǎn)生合理期待。由于信息系統(tǒng)的開放性與技術(shù)依賴性，司法實踐中很難通過《個人信息保護(hù)法》第69條規(guī)定的前兩條標(biāo)準(zhǔn)確定對于被侵權(quán)行為人如何進(jìn)行賠償、以及如何計算賠償數(shù)額，法條并未對賠償“實際情況”進(jìn)行概括式說明或?qū)?yīng)考量哪些因素進(jìn)行情景列舉，也沒有配套法律、法規(guī)或司法解釋對其輔助，故在這種“虛實結(jié)合”的法律關(guān)系中法官很難量化公民實際受到的損失。法律對侵害后果沒有給予明確規(guī)定，無法確認(rèn)具體賠償?shù)挠嬎?，這意味著沒有向被侵權(quán)人提供產(chǎn)生心理預(yù)期的條件，在一定程度上也無法向侵權(quán)人傳達(dá)法律規(guī)制其侵權(quán)行為的力度，被侵權(quán)人的人格權(quán)益無法得到很好的保護(hù)。也許有人會說，侵犯敏感個人信息的法律后果可以參照上述侵犯私密信息的法律后果。其實不然，采取了“隱私權(quán)”和“個人信息”的表達(dá)方式，說明將隱私作為人格“權(quán)”進(jìn)行保護(hù)，主要是適用的是侵害人格權(quán)的一般保護(hù)方法與精神損害賠償；而由于個人信息具有可利用性，將其作為人格“權(quán)益”進(jìn)行保護(hù)，而利益的保護(hù)是有限制的，以防止利益保護(hù)過于寬泛而影響他人的行為自由[8]。

由上可知，違反單獨同意條款后對用戶所應(yīng)承擔(dān)的法律后果，取決于“實際情況”，但法律規(guī)定的“實際情況”不明，認(rèn)定存在障礙，賠償金額無法確認(rèn)，導(dǎo)致處理者有恃無恐，使得單獨同意條款適用的實際效果大打折扣。

三、破局設(shè)想：優(yōu)化司法保護(hù)路徑

對于單獨同意條款適用的研究, 大多數(shù)學(xué)者聚焦于基礎(chǔ)理論上, 圍繞同一個問題去尋找法理上的支撐, 而忽略了在司法路徑上的具體研究。單獨同意條款之具體化，應(yīng)堅持科學(xué)、公正司法。從方法上來說，要堅持《個人信息保護(hù)法》的穩(wěn)定性與大數(shù)據(jù)時代的發(fā)展變動性相結(jié)合；從策略上來說，要正確處理立法具有滯后性的局限性；從技術(shù)上來說，要注意法律、規(guī)章及法律解釋之間橫、縱關(guān)系協(xié)調(diào)一致。解決單獨同意條款適用流于形式的問題，最重要的是實現(xiàn)從“宏觀思維”到“微觀思維”的轉(zhuǎn)變，需要司法機(jī)關(guān)運(yùn)用司法權(quán)以輔助法律適用。

(一)構(gòu)建單獨同意條款的規(guī)范標(biāo)準(zhǔn)以增強(qiáng)可操作性

實踐中在適用單獨同意條款呈現(xiàn)出僵化和不完善特征的原因，即在于我國法律未明確規(guī)定單獨同意的概念以及同意的性質(zhì)，制定法中該條款具有抽象性與模糊性，對于該條款援引沒有權(quán)威和準(zhǔn)確的法律框架指引。鑒于該領(lǐng)域的法律實施不久，應(yīng)維護(hù)制定法之穩(wěn)定性與權(quán)威性，司法解釋作為準(zhǔn)立法[9]，應(yīng)當(dāng)歸納基層法官基于裁判權(quán)對該類案件作出的裁判解釋，構(gòu)建一套符合我國國情的單獨同意條款法律評判標(biāo)準(zhǔn)，對該條款的立法原意進(jìn)行確認(rèn)與深化，彌補(bǔ)制定法本身的局限，以推動單獨同意條款在司法裁判中的價值實現(xiàn)。

我們應(yīng)當(dāng)立足我國法律體制現(xiàn)實，以憲法為依據(jù)(4)《個人信息保護(hù)法》最終納入“根據(jù)憲法”條款，表征著個人信息保護(hù)法律體系在底層邏輯上的更動。，在總結(jié)我國個人信息權(quán)益保護(hù)實踐，參考?xì)W盟、美國等經(jīng)驗的基礎(chǔ)上，規(guī)定單獨同意的概念和性質(zhì)。我國憲法為單獨同意條款具體化提供了價值指引，回溯憲法的基本價值決定是厘清單獨同意之意涵與性質(zhì)的邏輯起點?！稇椃ā返?3條第3款“國家尊重和保障人權(quán)”是其被公法給予保護(hù)的理論基石，第38條第1句“中華人民共和國公民的人格尊嚴(yán)不受侵犯”是其作為積極權(quán)利的規(guī)范依據(jù)，第40條第1句“中華人民共和國公民的通信自由和通信秘密受法律保護(hù)”屬于個人信息權(quán)益內(nèi)涵之一[10]。我們需要結(jié)合司法實踐對個人信息權(quán)益、人格尊嚴(yán)以及通信相關(guān)權(quán)利糾紛中涉及的單獨同意標(biāo)準(zhǔn)進(jìn)一步細(xì)化。就其內(nèi)涵，如何理解單獨同意的內(nèi)涵？筆者認(rèn)為單獨同意是指在處理敏感個人信息或處理其之特殊行為(例如，向第三方共享、公開披露等)時，處理者應(yīng)對此逐項取得信息主體的同意。申言之，其一是禁止概括授權(quán)(一攬子授權(quán))，處理者需要單獨向信息主體告知處理敏感個人信息的必要目的以及處理的影響，并取得信息主體明確的同意，若處理者采用捆綁授權(quán)迫使信息主體同意的，不能認(rèn)定為同意，亦未取得處理敏感信息的合法性基礎(chǔ)；其二是禁止強(qiáng)制授權(quán)，也有學(xué)者稱為應(yīng)貫徹拒絕提供服務(wù)的限制規(guī)則[11]，若處理者要求以用戶同意作為提供服務(wù)的置換條件，處理者發(fā)生糾紛時以此為由抗辯，人民法院不予支持。其三是需明確告知處理事項，只有處理者明確告知收集、存儲、使用、加工等事項，才可能使信息主體真正知曉同意的后果，從而做一個保護(hù)敏感個人信息的“理性人”[12]。就其性質(zhì)，應(yīng)當(dāng)將其定性為違法阻卻事由。用戶對其敏感個人信息享有合法權(quán)益，APP經(jīng)營者對敏感信息處理的行為，客觀上是對用戶敏感個人信息權(quán)益的干擾，違反了法秩序，具有暫時甚至永久的非法性，而APP經(jīng)營者必須具備正當(dāng)合法性才能排除處理敏感信息帶來的非法性。從我國法律上來看，該正當(dāng)合法性來自單獨同意和法定許可，二者構(gòu)成了處理用戶敏感個人信息的法基礎(chǔ)。作為敏感個人信息權(quán)益的所有者的用戶，在同意APP經(jīng)營者處理其敏感信息后，APP經(jīng)營者客觀上實施的干擾行為，對于用戶而言，便不構(gòu)成干擾。同時，用戶的敏感個人信息基于法定許可也可以被合理利用，從而平衡敏感個人信息權(quán)益之保護(hù)與利用的關(guān)系。

(二)強(qiáng)化類案檢索機(jī)制以統(tǒng)一責(zé)任承擔(dān)標(biāo)準(zhǔn)

法官在司法實踐中所面臨的首要問題應(yīng)當(dāng)是事實問題，而非法律問題。有關(guān)敏感個人信息權(quán)益案件的因素包含甚廣，許多案件涉及虛擬空間、現(xiàn)實空間等極為復(fù)雜的社會關(guān)系以及互聯(lián)網(wǎng)、大數(shù)據(jù)、云計算等專業(yè)性領(lǐng)域的問題，法官無法精通各領(lǐng)域的專業(yè)知識，缺乏類似案件的審判經(jīng)驗，個人固有的價值觀和經(jīng)驗會更深刻地影響到涉及公民個人信息權(quán)益問題的司法決定，加之《個人信息保護(hù)法》第69條“實際情況”規(guī)定不明等立法缺陷，這些都給司法保護(hù)帶來巨大的困難。公民在APP使用中涉及的敏感個人信息問題具有高度社會化的特質(zhì)，需要依賴司法外的社會資源。除了通過司法解釋厘清單獨同意條款涉及的理論概念問題之外，還需要建立該類案件的類案檢索機(jī)制，統(tǒng)一個人信息糾紛案件的責(zé)任承擔(dān)標(biāo)準(zhǔn)，追求“類案類判”，降低因“類案不類判”而導(dǎo)致的上訴率。

在類案檢索機(jī)制強(qiáng)化構(gòu)建中，司法機(jī)關(guān)還需要增加援引單獨同意條款的案例指引。然而，至今最高人民法院發(fā)布的指導(dǎo)案例中尚無提及如何適用該條款的判決，與每年數(shù)以百計增長的網(wǎng)民數(shù)量與敏感個人信息權(quán)益糾紛案件數(shù)量相比，如今援引該條款的案例指導(dǎo)尚無法肩負(fù)起規(guī)范適用標(biāo)準(zhǔn)的重任。最高人民法院應(yīng)當(dāng)在兼顧權(quán)威性的同時加大單獨同意條款指導(dǎo)案例、公報案例、典型案例的發(fā)布力度，使之保持一定的規(guī)模和數(shù)量，才能回應(yīng)實踐中保護(hù)敏感個人信息權(quán)益時出現(xiàn)的各類疑難復(fù)雜問題。同時，應(yīng)當(dāng)在指導(dǎo)案例的發(fā)布主體和參照范圍等方面進(jìn)行擴(kuò)張和革新，提升各級法院對指導(dǎo)性案例的地位、功能和重要性的認(rèn)識，加大法官對指導(dǎo)案例援引力度，并對法官應(yīng)用指導(dǎo)案例進(jìn)行培訓(xùn)和開展學(xué)習(xí)，從而指導(dǎo)各級法院正確適用單獨同意條款。需要注意的是，構(gòu)建過程中還應(yīng)平衡類案類判與法官自由裁量權(quán)之間的沖突，應(yīng)當(dāng)辯證地看待《個人信息保護(hù)法》第69條“實際情況”規(guī)定不明的問題，一方面它在客觀上確實可能導(dǎo)致權(quán)益救濟(jì)偏頗、同案不同判的情況，另一方面它也是立法機(jī)關(guān)給予司法機(jī)關(guān)以自由裁量的空間，利于在特殊情況下實現(xiàn)實質(zhì)正義。試想當(dāng)基層法院遇到類似上述“淘寶公司訴美景公司案”時，若在最高人民法院曾發(fā)布的指導(dǎo)案例、公報案例、典型案例上出現(xiàn)過此類案件，那么基層法院斷然不敢做出與發(fā)布案例相反的判決，如此一來，當(dāng)事人的上訴權(quán)和申訴權(quán)便不再具有存在的意義。但是，不同用戶對敏感信息的主觀敏感性不同，以地理位置信息為例，一些用戶會在APP中主動展示自己的地理位置，而一些用戶卻認(rèn)為這暴露了其地理位置安全。因此，司法機(jī)關(guān)在審理敏感信息保護(hù)糾紛案件時，應(yīng)當(dāng)以聚焦案件當(dāng)事人、案件的情境等信息為原則，堅持具體情況具體分析，滿足被侵犯用戶的合理期待，在實質(zhì)上實現(xiàn)案件的公平正義。

(三)擴(kuò)大公益訴訟范圍以補(bǔ)強(qiáng)個人信息保護(hù)

利用公益訴訟制度護(hù)航單獨同意條款的適用，是現(xiàn)有法律框架下既有充分法律依據(jù)、又有較成熟實踐經(jīng)驗的優(yōu)良選擇，通過公益訴訟途徑確立單獨同意條款的司法認(rèn)定標(biāo)準(zhǔn)，并向全行業(yè)釋放法治信號，有利于解決目前實踐中的緊迫問題。

首先，違反單獨同意條款致使敏感個人信息受侵害屬于公益訴訟范圍。單獨同意條款已被《個人信息保護(hù)法》明確，彰顯了對敏感個人信息的特殊保護(hù)、優(yōu)先保護(hù)，個人信息權(quán)益是社會公益的應(yīng)有之義，故在該權(quán)益受到侵害時，國家承擔(dān)最終保護(hù)責(zé)任?！睹袷略V訟法》第55條賦予了檢察機(jī)關(guān)公益訴訟主體地位，并規(guī)定了公益訴訟范圍，損害社會公共利益是其核心要旨。近年來，公益訴訟案件的范圍的適度拓展，一直是理論研究和實踐共同關(guān)注的重點和亮點，但目前涉及個人信息保護(hù)的公益訴訟案件通常局限于非法買賣公民個人信息的刑事案件，針對APP通過隱私政策變相侵犯公民個人信息的案件較少，而此類案件的受害主體是不特定的用戶的個人信息權(quán)益和隱私權(quán)，其損害社會公共利益的程度并不低于非法買賣公民個人信息的案件。況且，由于用戶與APP供應(yīng)商信息的不對稱性，用戶很難知曉APP供應(yīng)商實際上是否對其敏感個人信息進(jìn)行非法買賣或處理，此類案件必然屬于社會公共利益受損的范圍。其次，除了民事公益訴訟，依據(jù)我國《行政訴訟法》第25條一并提起行政公益訴訟，更有利于促進(jìn)行業(yè)源頭性治理并形成長效機(jī)制。監(jiān)管作為敏感個人信息保護(hù)的重要方式，其效力直接影響保護(hù)成效，一方面要通過監(jiān)管活動規(guī)制網(wǎng)絡(luò)平臺處理信息的行為，更重要的是通過行政執(zhí)法手段的運(yùn)用，保障法律的有效實施，從而推動網(wǎng)絡(luò)平臺行業(yè)治理、促進(jìn)網(wǎng)絡(luò)平臺依法加強(qiáng)對敏感個人信息和隱私權(quán)保護(hù)。從長遠(yuǎn)目標(biāo)來看，采取同時提起行政公益訴訟方式進(jìn)行監(jiān)督，可以激活行政監(jiān)管職能，促進(jìn)行政機(jī)關(guān)聯(lián)合執(zhí)法，發(fā)揮優(yōu)勢、形成合力，實現(xiàn)行業(yè)源頭治理和形成長效機(jī)制。最后，公益訴訟有利于促進(jìn)互聯(lián)網(wǎng)企業(yè)合規(guī)化進(jìn)程和行業(yè)健康發(fā)展。2019 年美國聯(lián)邦貿(mào)易調(diào)查委員會指控抖音公司國際版TikTok，違背知情同意原則而非法收集敏感個人信息，抖音最終被處罰570萬美元，為我國互聯(lián)網(wǎng)企業(yè)敲響警鐘，互聯(lián)網(wǎng)行業(yè)健康發(fā)展必須規(guī)范個人信息保護(hù)，否則企業(yè)即使有暫時發(fā)展，走出去也會遭受損失。規(guī)范個人信息處理的公益訴訟不但不會制約行業(yè)發(fā)展，還可以促進(jìn)企業(yè)個人信息保護(hù)制度、機(jī)制和技術(shù)的不斷創(chuàng)新。抖音公司在美國被處罰后也加強(qiáng)了技術(shù)改進(jìn)，實現(xiàn)迅猛發(fā)展。實踐證明，選擇告知同意原則的切入口提起公益訴訟，能夠?qū)崿F(xiàn)兼顧保護(hù)敏感個人信息權(quán)益和促進(jìn)行業(yè)發(fā)展的社會效果。

四、結(jié)語

“單獨同意”條款是保障敏感個人信息權(quán)益的重要原則性條款，但其高度的抽象性與模糊性使得法官在援引時或APP供應(yīng)商使用時難免陷入主觀解釋。對該條款中各要素自由裁量的界定依舊是司法裁判領(lǐng)域的難點。我國法院受理個人信息糾紛的案件數(shù)量呈遞增趨勢，我國網(wǎng)民也呈現(xiàn)出遞增趨勢，但在缺乏規(guī)范性指引的背景下對該條款的適用仍較為形式化。法律適用的體系化完善是一項系統(tǒng)性工程，以構(gòu)建單獨同意條款的規(guī)范標(biāo)準(zhǔn)以增強(qiáng)可操作性為基礎(chǔ)，通過建立類案件所制度與擴(kuò)大公益訴訟的范圍完善對該條款的司法適用，是達(dá)成單獨同意條款立法目的、保障公民敏感個人信息權(quán)益的法律化路徑。