數(shù)字經(jīng)濟時代“告知—同意”規(guī)則的實施困境與優(yōu)化路徑

李奕凡

沈陽工業(yè)大學(xué)，遼寧 沈陽 110870

一、問題的提出

“告知—同意”規(guī)則是個人信息保護的重要基礎(chǔ)，“告知—同意”規(guī)則，也被稱作“知情同意”規(guī)則，是指任何組織或者個人在處理個人信息時應(yīng)當(dāng)充分告知信息主體及其個人信息被處理的自然人，只有在取得同意之后才可進行相應(yīng)的個人信息處理行為，沒有告知或未取得同意就進行個人信息處理即為違法行為，除非法律、行政法規(guī)另有規(guī)定。[1]隨著數(shù)據(jù)收集與挖掘技術(shù)的愈發(fā)先進，數(shù)字經(jīng)濟時代的到來給個人信息保護帶來更多不穩(wěn)定因素，例如出現(xiàn)過度收集、濫用以及泄露個人信息的風(fēng)險，這些風(fēng)險都呈現(xiàn)不可控的狀態(tài)，“傳統(tǒng)”的“告知—同意”規(guī)則已無法有效規(guī)避這些風(fēng)險。如若嚴格實施“告知—同意”規(guī)則，也會對個人信息的流動造成一定的阻礙，從而不利于當(dāng)下依靠大數(shù)據(jù)的經(jīng)濟發(fā)展。因此，有學(xué)者認為將“告知—同意”作為個人信息保護的正當(dāng)性基礎(chǔ)并不恰當(dāng)。[2]誠然，“告知—同意”規(guī)則的實施在大數(shù)據(jù)的沖擊之下面臨諸多困境，但是，設(shè)置“告知—同意”規(guī)則對于保護個人的信息自決權(quán)益，捍衛(wèi)自身人格尊嚴，追求幸福與自由有著重要意義，不能輕言摒棄。在西方多個國家的現(xiàn)行法中，“告知—同意”也是作為首要的合法性基礎(chǔ)來建構(gòu)個人信息保護的一般規(guī)則。

“告知—同意”規(guī)則包含了告知規(guī)則與同意規(guī)則，沒有進行告知，自然人就無法對是否同意其個人信息被處理作出表示，且告知必須是充分、清晰的告知，如若沒有達到要求，便不能說明自然人所作出的同意是真實有效的。相反，沒有取得自然人的同意，僅僅進行充分、清晰的告知，也構(gòu)成對個人信息的非法處理?？梢姼嬷c同意相輔相成、相互制約，要得出“告知—同意”規(guī)則的優(yōu)化路徑也需從這兩個規(guī)則分別入手，使得“告知—同意”規(guī)則更能適應(yīng)大數(shù)據(jù)時代的發(fā)展，繼續(xù)在個人信息保護中發(fā)揮調(diào)和沖突的重要作用。

二、“告知—同意”規(guī)則是個人信息保護的正當(dāng)性基礎(chǔ)

（一）自由主義思想

“告知—同意”規(guī)則源于深刻的自由主義思想。以約翰·?洛克為代表的理論家們提出一系列自由主義的民主政治理論，著重強調(diào)天賦人權(quán)，認為一切人生而享有一系列不可剝奪的權(quán)利，包括生命、自由、平等、財產(chǎn)、追求幸福等權(quán)利，這些權(quán)利不允許政府及任何人侵犯。[3]該理論解放了人們的思想，使人們從沉重的封建統(tǒng)治與宗教思想的枷鎖中逃離出來，鼓勵人們把握自己的應(yīng)有權(quán)利。個人信息權(quán)益事關(guān)我們的財產(chǎn)安全，也事關(guān)我們的人格尊嚴，我們理應(yīng)牢牢把握住這一權(quán)益，來實現(xiàn)自身的自由與幸福追求。

政治經(jīng)濟學(xué)家亞當(dāng)·?斯密認為，每個人最能了解和判斷自己的切身利益，社會應(yīng)當(dāng)允許個人自主安排自身事務(wù)，自由選擇自己的生活方式。[4]個人信息作為個人事務(wù)，應(yīng)受個人所支配，而“告知—同意”規(guī)則便是我們支配個人信息的有效途徑。通過設(shè)置“告知—同意”規(guī)則，對信息處理者施加告知義務(wù)保障信息主體的知情權(quán)，賦予信息主體在衡量與判斷自己的利益之后選擇是否行使同意行為的權(quán)利。

（二）個人信息自決理論

1971年，德國學(xué)者施泰姆勒提出了“信息人格自決權(quán)”以及“個人信息自決權(quán)”概念，其描述該項權(quán)利的內(nèi)容是，人們有權(quán)自由決定周遭的世界獲知自己的思想以及行動的程度。在1984年德國“人口普查案”的影響之下，越來越多的學(xué)者才開始響應(yīng)該觀念。[5]在個人信息自決權(quán)的理論主張中，自決是核心概念，個人有權(quán)根據(jù)自己的意志決定自己的信息是否能被收集、處理或者利用，違反者則會侵犯個人的人格利益。具體到實踐，數(shù)字經(jīng)濟時代，個人信息被泄露、被不當(dāng)利用的風(fēng)險急劇增加，相較于掌握大量信息，并能運用技術(shù)對各種細微信息進行跟蹤、收集和分析的信息處理者來說，信息主體明顯處于弱勢地位。因此，為了信息主體能與之抗衡，法律在個人信息自決權(quán)的基礎(chǔ)上，設(shè)置了諸多具體規(guī)則，“告知—同意”規(guī)則就包含在其中。

此外，個人信息自決權(quán)并不意味著對個人信息的絕對支配。德國聯(lián)邦憲法法院作出的“人口普查法”系違反憲法的判決，是限定在特殊的背景之下的，即信息自決權(quán)僅針對國家強制性的信息收集行為而不涉及私法領(lǐng)域，且只有自動化處理之下，才“沒有不重要的個人信息”，法律才給予特別關(guān)注，德國聯(lián)邦憲法法院也明確拒絕一般性、絕對性的個人信息自決權(quán)?？梢?，法院并沒有主張所有的信息收集與利用行為都侵犯個人信息自決權(quán)，都需要提供法律上的理由。個人作為人類社會中的一員，在社會中活動，與他人密切往來，在這些過程中所產(chǎn)生的個人信息很難說都歸屬于自己所有，如果要實行絕對的個人信息自決權(quán)，那么很有可能會給個人信息交流造成障礙，人們無法在社會中自由發(fā)展，人與人之間的溝通交流不再具有正向的社會價值，就容易造成社會秩序的混亂。同樣，“告知—同意”規(guī)則絕不存在絕對的自由，其實施也需限定在一定的范圍之內(nèi)，在進行個人信息處理時，當(dāng)有類似為公共利益所需要的法定豁免事由的出現(xiàn)，即可不必考慮信息主體是否同意。

三、“告知—同意”規(guī)則面臨的困境

（一）信息處理者的告知困境

數(shù)字分析處理技術(shù)具有許多不確定性，甚至在做數(shù)據(jù)分析之前可能根本不存在什么目的，只是因為最終數(shù)據(jù)出現(xiàn)了相關(guān)性而創(chuàng)造出許多意想不到的用途。受限于“目的限制原則”，個人信息處理者僅能對已知的個人信息使用目的及過程進行告知，而對于一些信息處理過程中衍生出的創(chuàng)新用途或者潛藏的危害風(fēng)險，亦要求其在收集和使用數(shù)據(jù)之前給出明確的目的說明，有些強人所難。

在個人信息流動中，往往牽涉多方利益?；ヂ?lián)網(wǎng)企業(yè)所收集的用戶個人行為信息只有在進行匿名化處理后，才能對其有完全的支配權(quán)，而這樣的處理是經(jīng)過數(shù)據(jù)中間商進行的，其會將用戶個人在網(wǎng)絡(luò)活動中的各種信息進行格式轉(zhuǎn)化、內(nèi)容萃取等操作，再將其打包轉(zhuǎn)賣。[6]在這樣的交易鏈中，互聯(lián)網(wǎng)企業(yè)會為獲得更多的商業(yè)利益而選擇刻意隱瞞這一流通過程，且由于技術(shù)壁壘，有些小型互聯(lián)網(wǎng)企業(yè)也可能很難發(fā)現(xiàn)第三方數(shù)據(jù)處理所存在的安全威脅，也就無從告知。

此外，盡管互聯(lián)網(wǎng)企業(yè)聲稱已經(jīng)對個人信息進行了匿名化處理，但也并不百分百地保證個人信息沒有不被濫用和泄露的風(fēng)險，大數(shù)據(jù)技術(shù)能夠輕易對各種數(shù)據(jù)進行結(jié)合檢驗，從而重新識別出個人。而在我國的《個人信息保護法》中規(guī)定，匿名化后的個人信息因其無法識別出個人不屬于個人信息的范疇，也就很難得到相應(yīng)的保護，這種難以預(yù)測的風(fēng)險存在顯然給實施告知規(guī)則帶來不小的挑戰(zhàn)。

（二）信息主體的同意困境

同意規(guī)則成立的前提是，信息主體作為一個理性人在閱讀并理解隱私政策內(nèi)容之后，能夠權(quán)衡利益得失從而作出選擇。然而在現(xiàn)實情況下，這種前提卻常常難以實現(xiàn)。2021年，光明日報與武漢大學(xué)法學(xué)院、網(wǎng)絡(luò)治理研究院組成聯(lián)合調(diào)研組針對App隱私協(xié)議存在的問題進行問卷調(diào)查發(fā)現(xiàn)，77．8%的用戶在安裝App時“很少或從未”閱讀過隱私協(xié)議，69．69%的用戶會忽略App隱私協(xié)議的更新提示。聯(lián)合調(diào)研組還發(fā)現(xiàn)，大多數(shù)用戶認為隱私協(xié)議內(nèi)容文字過小，排版過密，且隱私協(xié)議充斥著大量專業(yè)法律術(shù)語，即使想閱讀也因不理解而直接放棄。

試想，一個App隱私政策的長度及專業(yè)內(nèi)容已足夠讓用戶頭疼，更何況一個用戶可能要面對幾十甚至幾百個軟件的隱私政策告知，這就很容易引發(fā)心理學(xué)上的邊際遞減效應(yīng)。在前幾次用戶可能還會較有耐心地去細看隱私政策，越往后便越是麻木，為了能便捷地使用該APP，就直接點擊同意了事?？梢?，用戶連隱私政策都疲于對待，更別說能夠進行利益權(quán)衡，因此，信息主體的同意行為在大多數(shù)情況下都不能說是理性的。

四、“告知—同意”規(guī)則的優(yōu)化路徑

（一）完善告知義務(wù)

數(shù)字經(jīng)濟時代，隱私政策內(nèi)容不應(yīng)當(dāng)僅僅停留在告知采集、處理個人信息的方法與目的，還應(yīng)當(dāng)揭示采集、處理個人信息后所潛在的風(fēng)險。web 3．0時代，多傳感器信息融合已是大勢所趨，電腦、手機、智能家居設(shè)備等多方平臺都記載有我們的個人行為信息，互聯(lián)網(wǎng)企業(yè)完全有能力將這些信息融合。這些融合后的信息可能會被用來構(gòu)筑用戶的數(shù)據(jù)畫像，從而進行個性化服務(wù)、推送定向廣告等等，類似的自動化決策是基于人工智能的運算，而運算難免出現(xiàn)偏差，嚴重的偏差可能會給用戶帶來隱私侵擾、價格歧視、廣告騷擾等后果。因此，如若互聯(lián)網(wǎng)企業(yè)需要同時通過多種設(shè)備來采集用戶個人信息，則應(yīng)當(dāng)進行清晰告知，列明具體采集了哪些設(shè)備上的哪些信息，以及信息的使用目的及其經(jīng)過人工智能處理而存在哪些風(fēng)險。此外，對于數(shù)據(jù)流向第三方而給個人帶來的信息安全威脅，互聯(lián)網(wǎng)企業(yè)應(yīng)當(dāng)增加數(shù)據(jù)流通的透明度，在條款中必須明確數(shù)據(jù)流向哪個第三方，第三方處理目的、處理過程和潛在風(fēng)險為何，充分保障用戶的知情權(quán)，同時要限制第三方再將數(shù)據(jù)在企業(yè)和用戶不知情的情況下超過處理目的再行轉(zhuǎn)移使用。

此外，大數(shù)據(jù)處理技術(shù)背景下很難有絕對完美的匿名化，但匿名化在保護個人信息與促進數(shù)據(jù)價值中仍發(fā)揮著積極作用，所以，針對個人信息匿名化后仍存在安全威脅的問題，信息處理者可根據(jù)定期的可能風(fēng)險評估保持動態(tài)化告知。定期的可能風(fēng)險評估是指在特定情況下，對給定的匿名化信息是否有可能潛在被識別的風(fēng)險的評估，每隔一段時間進行一次。當(dāng)評估發(fā)現(xiàn)匿名化個人信息存在去匿名化的可能，且該信息處理可能對個人造成損害時，互聯(lián)網(wǎng)企業(yè)應(yīng)當(dāng)有更嚴格的告知程序，即告知信息主體其個人信息正處于風(fēng)險范圍，其可以通過企業(yè)問詢相關(guān)風(fēng)險問題或直接對涉險的個人信息進行刪除。并且，企業(yè)在及時將去匿名化的信息重新匿名化后，也應(yīng)當(dāng)將其操作告知信息主體。

（二）強化“同意”行為

人們難以在眾多網(wǎng)絡(luò)平臺的隱私政策或個人信息保護政策告知中始終保持理性去閱讀并作出“同意”行為，為解決這一問題，除了前面所述的在告知形式上下功夫外，人們的同意行為也需要作出適當(dāng)改變，使信息處理者能從信息主體處獲得更為審慎的同意，從而減少二者之間的糾紛。

一方面，根據(jù)《個人信息保護法》規(guī)定，對于不同類型的個人信息，同意行為應(yīng)當(dāng)有所區(qū)別。個人信息中的敏感信息因包含有生物識別、金融賬戶、行蹤軌跡等十分重要的個人信息，很容易會導(dǎo)致信息主體的人格權(quán)益以及財產(chǎn)權(quán)益受到侵害，因此要單獨征得信息主體的同意，即信息處理者需提供彈窗特別告知要收集、使用該類信息，由信息主體選擇是否同意。對于個人信息中的非敏感信息，因其重要程度及受安全威脅的程度較低，只需征得信息主體的一般同意，即信息主體可通過閱讀隱私政策后對該類信息進行“一攬子同意”即可，無需點擊彈窗告知選擇同意。另外，對于委托處理個人信息、向他人提供個人信息、公開處理個人信息、向境外提供個人信息以及收集個人圖像、身份識別信息用于維護公共安全目的等其他對個人權(quán)益有重大影響的個人信息處理活動，都應(yīng)當(dāng)取得信息主體的單獨同意。

另一方面，同意形式上可采用電子簽名的辦法，促進人們對于個人信息的處理能慎重對待。實踐中，網(wǎng)絡(luò)平臺大都以點擊同意選項的方式來取得用戶的授權(quán)，這一點擊方式在一定程度上能提高個人信息處理的效率，但卻不利于用戶準確表達自己的真實意思。而電子簽名能使得同意形式更為嚴肅和正式，更能使人們意識到自己是在與網(wǎng)絡(luò)企業(yè)簽訂一份合同，這份合同規(guī)定了自己與企業(yè)之間的權(quán)利義務(wù)分配以及雙方所要承擔(dān)的相關(guān)違約責(zé)任，從而提高對該同意行為的重視程度。并且，電子簽名的形式多樣，越是敏感的信息越應(yīng)當(dāng)采用更為嚴格的電子簽名形式。

五、結(jié)語

邁入數(shù)字經(jīng)濟時代后，“告知—同意”規(guī)則無論是在告知程序上還是同意程序上都遭遇到了適用困境，如果不及時進行改良很容易導(dǎo)致該規(guī)則形同虛設(shè)，因此在尋找優(yōu)化路徑時也需分別從告知規(guī)則和同意規(guī)則這兩方面入手，完善個人信息處理者的告知義務(wù)，對告知形式進行更新突出重點，強化對風(fēng)險內(nèi)容的披露。另外，強化個人信息主體的同意行為，通過分類型同意與電子簽名同意的形式要求個人對待信息處理時能更為審慎，同時落實同意撤回權(quán)的行使更能為信息主體的同意提供一份保障。當(dāng)然，“告知—同意”并非萬能規(guī)則，要使個人信息得到更妥善的保護還需其他規(guī)則、原則的相互配合，并且不論是個人信息主體還是個人信息處理者都應(yīng)提高保護個人信息的意識，在自己的能力范圍之內(nèi)認真履行自己的權(quán)利義務(wù)，由此個人信息保護才能真正趕上數(shù)字經(jīng)濟發(fā)展的步伐。