《個(gè)人信息保護(hù)法》中告知同意原則的問題與完善

張琬悅

信陽師范學(xué)院法學(xué)與社會(huì)學(xué)學(xué)院，河南 信陽 464000

一、問題的提出

《中華人民共和國個(gè)人信息保護(hù)法》（以下簡稱《個(gè)人信息保護(hù)法》）頒布之后，在告知同意原則適用上延續(xù)了《中華人民共和國民法典》（以下簡稱《民法典》）中規(guī)定的模式，除訂立、履行合同所必需等情形外，處理個(gè)人信息應(yīng)當(dāng)取得個(gè)人同意。在個(gè)人信息的范圍界定上，《個(gè)人信息保護(hù)法》以“識(shí)別+關(guān)聯(lián)”為標(biāo)準(zhǔn)，客觀上擴(kuò)大了所調(diào)整的個(gè)人信息范圍及告知同意原則的適用情形。在取得同意的形式上，以明示同意的擇入為核心，僅在極少數(shù)情況下允許拒絕機(jī)制，且要求為用戶提供撤回同意的便捷方式。[1]隨著互聯(lián)網(wǎng)技術(shù)的蓬勃發(fā)展，信息主體與信息處理者之間的關(guān)系日益復(fù)雜，信息主體掌控其信息的權(quán)利逐漸削弱，對其信息的保障逐漸弱化，這就使得告知同意原則在信息保護(hù)中容易被架空。[2]雖然在《個(gè)人信息保護(hù)法》中確立了告知同意原則的核心地位，但其在實(shí)施過程中仍然面臨諸多困境。首先，信息主體的知情權(quán)是否充分得到保障？其次，信息處理者設(shè)置的同意模式是否流于形式？最后，信息主體對其信息授權(quán)之際是否缺乏自由選擇的空間？鑒于此，筆者在下文進(jìn)行詳細(xì)分析。

二、現(xiàn)行告知同意原則適用的局限性

實(shí)踐中，告知同意原則的適用經(jīng)常面臨諸多困境。企業(yè)APP 所設(shè)置的隱私協(xié)議、格式條款等只存在于形式層面，并非真正想要告知用戶并征得其同意。雖然近幾年國家已經(jīng)出臺(tái)了《中華人民共和國網(wǎng)絡(luò)安全法》《個(gè)人信息保護(hù)法》等相關(guān)法規(guī)制度，但其在應(yīng)用中仍自相矛盾?！拔乙验喿x并同意隱私協(xié)議”這類條款的設(shè)置在形式上似乎符合告知同意原則的表面含義，但實(shí)質(zhì)上并未真正保障用戶的知情權(quán)與同意權(quán)，用戶通常在無法正常使用APP 的前提下才會(huì)勾選同意，并非其真實(shí)意愿。當(dāng)信息有泄漏的潛在風(fēng)險(xiǎn)時(shí)，首先侵害的是信息主體的權(quán)益，用戶作為信息所有權(quán)人有權(quán)知悉自己的信息是否被收集與利用，是否許可或不予許可他人使用。對此，告知同意原則意在當(dāng)信息處理者對信息進(jìn)行收集與使用時(shí)，對信息所有人進(jìn)行充分告知，平衡個(gè)人與信息處理者之間的信息不對稱，使得個(gè)人在追求自己使用軟件服務(wù)的前提下，不用過多擔(dān)心自己的信息被非法泄漏與利用。告知同意原則作為《個(gè)人信息保護(hù)法》的核心制度，在實(shí)踐中卻困難重重，深陷難關(guān)。其具體表現(xiàn)在以下幾個(gè)方面：

（一）個(gè)人對其信息處理的知情權(quán)未得到保障

個(gè)人是否知情以及是否充分知情，在很大程度上取決于信息處理者在使用其個(gè)人信息時(shí)，是否告知其處理方式與處理范圍。通常，企業(yè)在信息技術(shù)的理解和運(yùn)用方面占據(jù)著優(yōu)勢地位，其與用戶之間存在著信息不對稱的情形，使得用戶不能準(zhǔn)確理解企業(yè)告知內(nèi)容中的技術(shù)含義，因而難以實(shí)現(xiàn)《個(gè)人信息保護(hù)法》第十四條要求的“充分知情”。①參見《個(gè)人信息保護(hù)法》第十四條規(guī)定。個(gè)人信息處理者有主動(dòng)告知的義務(wù)，因?yàn)閭€(gè)人信息處理者最清楚其為何要收集特定的個(gè)人信息以及將如何收集和處理，且處理活動(dòng)可能會(huì)對個(gè)人產(chǎn)生何種影響等。用戶基于信任通過有償或者無償?shù)姆绞脚c企業(yè)建立合同關(guān)系，使用企業(yè)的產(chǎn)品與服務(wù)，并將其信息作為對價(jià)。因此，關(guān)于該產(chǎn)品與服務(wù)的各項(xiàng)規(guī)定用戶都應(yīng)享有知情權(quán)，但是在大數(shù)據(jù)背景下，出現(xiàn)了各種高難度算法技術(shù)，使得用戶與企業(yè)之間的信息不對稱現(xiàn)象更加嚴(yán)重。用戶對于其信息怎樣收集與使用以及是否在未得到許可的情形下肆意流轉(zhuǎn)等情形都不予知曉。各類互聯(lián)網(wǎng)企業(yè)均為了不違法而制定出自己的隱私協(xié)議，但協(xié)議內(nèi)容大都屬于格式條款，使用較小字體，語言表述模棱兩可，并對涉及個(gè)人信息的條款不予重視，不進(jìn)行標(biāo)注等，因其存在于大量篇幅之中，使得信息主體常常因?yàn)闂l款的冗雜性而不會(huì)花費(fèi)大量時(shí)間細(xì)致閱讀，無法獲取真正有效的信息，在隱私協(xié)議形同虛設(shè)的情形下，用戶對企業(yè)的信賴度也會(huì)降低，不利于用戶與企業(yè)之間的良性交易。因此，只有信息處理者充分履行告知義務(wù)，完善隱私協(xié)議內(nèi)容，減少條款的復(fù)雜性，個(gè)人的“充分知情”才有可能實(shí)現(xiàn)。

（二）一般同意與特殊同意流于形式

根據(jù)《個(gè)人信息保護(hù)法》第十三條的規(guī)定，基于個(gè)人同意是個(gè)人信息處理者處理個(gè)人信息的一項(xiàng)主要的法定情形，第十四條在第十三條的基礎(chǔ)上，進(jìn)一步規(guī)定了不同情形下同意的方式與類型。[3]《個(gè)人信息保護(hù)法》第十四條第一款后半部分的規(guī)定，“法律、行政法規(guī)規(guī)定處理個(gè)人信息應(yīng)當(dāng)取得個(gè)人單獨(dú)同意或者書面同意的，從其規(guī)定”。①可見其是有關(guān)于個(gè)人信息處理者在處理信息時(shí)的特殊同意規(guī)定。在日常使用時(shí)，個(gè)人信息的適用情況錯(cuò)綜復(fù)雜。因此，將同意分為一般同意與特殊同意是處理信息的必要選擇，特殊同意又包括單獨(dú)同意與書面同意。然而，這種看似加強(qiáng)信息保護(hù)的分類卻在實(shí)踐中不免流于形式，形同虛設(shè)。例如，在最高檢發(fā)布的典型案例中，某APP允許兒童注冊賬號，其在未采取清晰簡潔的方式對監(jiān)護(hù)人進(jìn)行告知并獲取監(jiān)護(hù)人的明示同意的情形下，不僅混亂管理兒童賬號，還收集、儲(chǔ)存、利用兒童賬戶與其聯(lián)系方式，以及兒童面部識(shí)別特征、聲音識(shí)別特征等個(gè)人敏感信息。②參見最高人民檢察院第三十五批指導(dǎo)性案例：“浙江省杭州市余杭區(qū)人民檢察院對北京某公司侵犯兒童個(gè)人信息權(quán)益提起民事公益訴訟案?！碧幚砦闯赡耆说男畔儆谔幚砻舾袀€(gè)人信息，信息處理者在進(jìn)行使用前，需采取特殊同意的方式予以告知其監(jiān)護(hù)人并需經(jīng)過監(jiān)護(hù)人的明示同意后方可進(jìn)行操作。在實(shí)踐中，信息處理者往往不注重對同意進(jìn)行區(qū)分，只采取形式主義的一般同意方式，這就使得一般同意與特殊同意看似加強(qiáng)適用，實(shí)則只停留在文字表面。

（三）信息主體缺乏自由選擇的空間

當(dāng)信息所有人在面臨大量隱私條款時(shí)，即便可能會(huì)耗費(fèi)較多時(shí)間，但往往為了保護(hù)其個(gè)人信息也會(huì)選擇瀏覽閱讀。然而，當(dāng)個(gè)人仔細(xì)閱讀隱私條款后，關(guān)于是否允許對其個(gè)人信息進(jìn)行使用缺乏自由選擇的空間。在數(shù)據(jù)廣泛利用的背景下，信息已逐漸成為互聯(lián)網(wǎng)時(shí)代最重要的資源之一，大多數(shù)互聯(lián)網(wǎng)服務(wù)的商業(yè)運(yùn)營依靠個(gè)人信息的收集與加工利用。當(dāng)信息主體在決定是否同意其對個(gè)人信息的使用時(shí)，往往存在著對相應(yīng)信息網(wǎng)絡(luò)服務(wù)的需求。盡管根據(jù)法律的規(guī)定，有效告知乃是信息處理者必須踐行的義務(wù)，但互聯(lián)網(wǎng)商業(yè)平臺(tái)抓住信息主體不會(huì)放棄的這一心理，使得用戶除了放棄該項(xiàng)服務(wù)以外別無他選，迫于無奈，信息主體才會(huì)作出同意的選擇。信息處理者對信息主體的選擇權(quán)置若罔聞，使得在實(shí)際操作中告知同意原則不能被有效適用。

三、告知同意原則適用問題的完善路徑

（一）充分保障信息主體的知情權(quán)

信息處理者在對信息進(jìn)行收集時(shí)，通常采取與信息主體簽訂隱私協(xié)議的方式，盡到合理提醒的義務(wù)，貫徹誠實(shí)信用原則，其目的是保障信息主體的知情權(quán)。因此，信息處理者應(yīng)當(dāng)全面完善隱私協(xié)議，隱私協(xié)議不必在數(shù)量上或者復(fù)雜程度上略勝一籌，而是要起到有效告知的作用。盡可能用最少的語言傳達(dá)出最重要的信息，[4]對需要特別提醒的信息采取加重或者劃線的方式使得信息主體能夠準(zhǔn)確了解。

一方面，信息主體會(huì)受到來自不同使用者的處理，為了防止信息被交叉使用，信息處理者首先應(yīng)對所有可能使用其信息的使用者全部進(jìn)行告知，使信息主體對所有使用其信息的處理者都充分知曉；其次，當(dāng)信息被使用后，信息主體最想知道的便是未來可能發(fā)生的風(fēng)險(xiǎn)，現(xiàn)在大部分隱私協(xié)議只關(guān)注信息處理者是否遵守法律、法規(guī)等使用信息，對隱私風(fēng)險(xiǎn)不是特別關(guān)注，在這種情況下普通用戶沒有信息安全意識(shí)，對自己的信息保護(hù)缺乏重視，因此加強(qiáng)隱私風(fēng)險(xiǎn)評估也是最重要的保護(hù)措施之一?！秱€(gè)人信息保護(hù)法》出臺(tái)之后，很多企業(yè)設(shè)置了相關(guān)風(fēng)險(xiǎn)評估，但對信息種類進(jìn)行了限制，并沒有普及到所有信息之中。因此，對于此項(xiàng)措施，除了需要相關(guān)法律法規(guī)以外還需要平臺(tái)以及社會(huì)各方的約束。

另一方面，信息處理者應(yīng)當(dāng)采取合理的方式全面而準(zhǔn)確地向信息主體進(jìn)行告知。首先，應(yīng)當(dāng)將免責(zé)條款以及讓步主體權(quán)利的條款采取加粗加重等方式使信息主體充分知曉；其次，對于上文所提及的隱私風(fēng)險(xiǎn)評估，可采取即時(shí)性的動(dòng)態(tài)方式告知用戶，使得用戶可以實(shí)時(shí)了解信息保護(hù)的進(jìn)度；最后，告知的目的意在保障信息主體的知情權(quán)，因此應(yīng)盡可能排除公告方式，采取短信或者私信彈窗等一對一的模式。

（二）明確一般同意與特殊同意的關(guān)系

在我國《個(gè)人信息保護(hù)法》中，為了給予特定場景更加嚴(yán)格有效的保障，在之前的概括同意下新增單獨(dú)同意這一新興概念，使其可以針對不同的場景做出不同的規(guī)定，提供更加嚴(yán)格的保障?！秱€(gè)人信息保護(hù)法》中對一般同意與特殊同意的信息進(jìn)行了分類，因此為了有效保障信息主體的同意權(quán)，信息處理者在處理敏感個(gè)人信息與一般個(gè)人信息的同意時(shí)應(yīng)相互獨(dú)立，明確一般同意與特殊同意的關(guān)系，對敏感個(gè)人信息采取單獨(dú)同意的方式。[5]信息處理者應(yīng)當(dāng)遵循比例原則，不得過度收集用戶信息并采取一攬子同意的方式，使得信息主體缺乏實(shí)質(zhì)性的選擇權(quán)，在某種程度上剝奪了信息主體自由行使同意權(quán)的權(quán)利?；谕馓幚砻舾袀€(gè)人信息的告知，應(yīng)是一種與單獨(dú)同意對應(yīng)的單獨(dú)告知。采取更加顯著的方式進(jìn)行單獨(dú)告知，將處理敏感個(gè)人信息與一般個(gè)人信息的告知相獨(dú)立，單獨(dú)告知所處理的敏感個(gè)人信息內(nèi)容，切實(shí)符合立法初衷。

（三）提高告知同意原則實(shí)施的有效性

告知同意原則在對個(gè)人信息保護(hù)方面發(fā)揮著舉足輕重的作用，為了提高其實(shí)施的有效性，須厘清告知同意原則的范圍與邊界，對告知同意進(jìn)行層次劃分，使其更加具有實(shí)踐意義。信息主體之所以缺乏自由選擇的空間，原因在于信息處理者對告知同意原則經(jīng)常采用一刀切的做法，并沒有真正明確告知同意原則的范圍與界限，以至于當(dāng)信息主體面臨因其不同意冗長的協(xié)議條款而無法使用信息處理者提供的服務(wù)時(shí)，迫于無奈只能勾選同意。為了提高告知同意原則實(shí)施的有效性，首先，要使信息主體在自由意志下行使同意權(quán)，根據(jù)《民法典》在信息保護(hù)中的適用，自然人作出同意的意思表示必須基于意思自治，使其在自由的狀態(tài)下作出真實(shí)的選擇。其次，同意應(yīng)當(dāng)采取明示的方式，明示同意的模式會(huì)更加注重保護(hù)信息主體的自決權(quán)和人格權(quán)，不能因?yàn)橹黧w默示而視為其同意。信息處理者在征得信息所有人同意時(shí)，一般都是以隱私條款予以告知，用戶勾選同意后方可繼續(xù)，隱私條款屬于格式條款，沒有法律規(guī)定也不符合習(xí)慣，此時(shí)主體作出的默示并不符合同意的本質(zhì)。因此在主體行使同意權(quán)時(shí)，應(yīng)當(dāng)采取明示的方式。最后，個(gè)人信息的使用風(fēng)險(xiǎn)在潛移默化中發(fā)生著變化，告知同意原則在這個(gè)階段中發(fā)揮著重要的作用，信息主體需要時(shí)刻動(dòng)態(tài)掌握著自己信息的變化，這便要求信息處理者需要詳盡披露，信息所有人可以根據(jù)披露情況隨時(shí)隨地自由地作出同意與否的選擇。[6]為了使信息主體知情同意又減少負(fù)擔(dān)，信息處理者與信息主體可以取得長效合作共贏機(jī)制，信息處理者可以增加各種個(gè)性化選擇，設(shè)置分層同意機(jī)制，充分發(fā)揮告知同意原則的有效性。

四、結(jié)語

近幾年，隨著互聯(lián)網(wǎng)的發(fā)展，個(gè)人信息保護(hù)成為中心話題，告知同意原則在保護(hù)層面起著至關(guān)重要的作用，其蘊(yùn)含著深刻的自由價(jià)值與人文價(jià)值，可以緩解信息處理者與信息主體之間的不對稱性，是《民法典》中意思自治原則在個(gè)人信息保護(hù)中的具體體現(xiàn)。在實(shí)踐中，告知同意原則經(jīng)常應(yīng)用于隱私協(xié)議以及各種涉及個(gè)人信息保護(hù)的活動(dòng)之中，但因?yàn)榱⒎▽ζ湟?guī)定較為籠統(tǒng)使得其常常流于形式，并沒有起到真正意義上的保護(hù)作用。因此，需要個(gè)人、企業(yè)以及社會(huì)共同努力，提高信息主體的保護(hù)意識(shí)，加強(qiáng)企業(yè)的責(zé)任感，凝聚社會(huì)的共同付出，同時(shí)，規(guī)定相應(yīng)的豁免制度，使得信息在被保護(hù)的同時(shí)也可以廣泛流通，切實(shí)保障告知同意原則的有效應(yīng)用。在今后的研究中，應(yīng)進(jìn)行多元化探索，不斷對該原則進(jìn)行補(bǔ)充與細(xì)化，保障告知同意原則有效發(fā)揮價(jià)值。