場景理論對網絡隱私政策中告知同意原則的突破

陳 璨

（南京審計大學法學院,江蘇 南京 211815）

1 網絡隱私政策中引入“場景理論”問題的提出

告知同意原則是個人信息保護的核心原則，其基于個人信息自決權，內涵是指信息處理者收集個人信息之時，需充分告知被收集主體個人信息的收集、處理和后續(xù)利用情況，并取得被收集主體的同意。這一原則被廣泛接受，并在個人信息保護領域發(fā)揮著維護個人信息自決權的重要作用。在網絡平臺，其服務提供者與個人用戶之間簽訂的隱私政策中就適用了告知同意原則，主要表現(xiàn)為在個人用戶下載、使用App或者使用網頁服務之前，服務提供者在隱私政策中對用戶個人信息收集、使用的目的、范圍等進行說明，待個人用戶閱讀隱私政策并了解相關情況后，點擊同意，從而享用服務。

網絡隱私政策中適用告知同意原則的初衷是減小雙方當事人之間的信息落差，使處于弱勢地位的個人用戶能夠充分了解情況并處分自己的個人信息權益。然而，在實踐中，由于網絡平臺服務提供者在隱私政策中采集個人信息的操作空間過大，冗長的協(xié)議消耗了個人用戶的閱讀耐性，使之在未仔細閱讀甚至未閱讀的情況下就點擊同意，導致告知同意原則被濫用甚至淪為形式，個人信息收集亂象頻發(fā)。因此，有必要引入“場景理論”，其要求個人信息的收集和處理需要符合“場景一致”，并構建風險評估的判斷準則。在具體場景下，動態(tài)地判斷是否可以收集和處理此信息，從而確認信息處理行為的免責效力程度，在保護個人信息的同時，促進個人信息的流通。

2 網絡隱私政策中告知同意原則適用的困境分析

2.1 告知同意原則適用的告知困境

2.1.1 個人信息自決權悖論動搖告知與控制可能性的理論根基

個人信息自決權主張信息主體對其個人信息的控制權，個人可以自由決定自己在何時以及在何種范圍內披露個人生活事實，該理論在德國聯(lián)邦憲法法院1983年判決的“人口普查案”中確立。法院認為，自動化數(shù)據(jù)處理對數(shù)據(jù)的整合可以產生部分或者相當完整的“人格圖像”，故而不存在不重要的個人數(shù)據(jù)，因此個人擁有知曉并控制個人所有信息的可能性[1]。作為告知同意原則的理論根基，個人信息自決權在實踐中卻存在悖論。

首先，個人信息的范圍難以確定，并且個人難以對其進行控制。目前，我國對于用戶信息采用靜態(tài)的二分法，將其分為個人信息與非個人信息，對個人信息加以保護，但科技的發(fā)展使得個人信息越來越難以被定義。個人留下的信息范圍十分廣泛，不僅包括一些個人自身清晰了解、確認的信息，還包括個人自身也無法認知和掌控的信息，比如個人瀏覽網頁所留下的痕跡，在社交媒體中與他人的互動以及使用網絡平臺的頻率、時間長短等，致使原有的二分法失效。并且，即便被定義為個人信息，用戶僅憑個人力量也無法對其有清楚的認知，更無法對其收集、后續(xù)的處理、使用及轉讓加以控制。

其次，難以合理期待用戶精準識別自己將要面對的風險，從而對于收集權限做出理性的限制。有研究表明，用戶僅閱讀一年中所使用的網絡服務的隱私政策就需要花費224個小時[2]。實踐中，對于隱私政策中的相關告知，用戶通常是直接確認同意，在此種情形下，用戶的個人信息自決權被架空。

個人信息自決權理論在實踐中的兩個悖論說明了個人無法被清楚地告知有關于個人信息的所有事項，也無法在真正意義上實現(xiàn)對其信息的絕對的、排他性的掌控。這動搖了告知同意原則的理論根基，因此其在網絡隱私政策中的適用需要尋找其他理論支撐路徑。

2.1.2 實踐中充分告知的可能性仍不可期待

首先，信息不對稱現(xiàn)象始終存在，導致告知的效果不理想。網絡平臺服務提供者所提供的隱私政策內容冗長、界面紛亂復雜，未根據(jù)重要性程度對需告知內容的采取不同的告知方式，且表述過于專業(yè)化，甚至為取得個人信息收集和使用的操作空間而采用抽象化的語言。此外，雙方天然的信息差也使得非專業(yè)人士很難清晰認知隱私政策所告知的內容。其次，互聯(lián)網技術更新迭代迅速，網絡環(huán)境也因此變化多端，這就導致了對于個人信息的收集、處理和使用始終處于動態(tài)化的過程，不存在“一勞永逸”的隱私政策。信息處理者可能需要根據(jù)自己業(yè)務類型的調整而不斷地修訂其隱私政策，而信息處理方式的不斷變革使得清晰、透明且穩(wěn)定的個人信息處理方式不具有可期待性[3]。這些因素增加了告知帶來的各種成本，因此，實現(xiàn)使用者充分知情在客觀上存在難以解決的困境。

2.1.3 隱私政策適用格式合同路徑導致告知規(guī)避責任

隱私政策因其“全有或全無”的不可協(xié)商性以及對不同主體的重復適用性，在實踐中被歸為格式合同。用戶一旦點擊同意網絡平臺所告知的隱私政策，則視為對之后法律后果的全盤接受。然而，網絡平臺所采取的各種規(guī)避手段使得告知同意原則已淪為形式，導致加強保護使用者的目的落空。

首先，網絡平臺服務提供者利用復雜的責任追究鏈在隱私政策中規(guī)避告知，減免己方責任。網絡隱私政策涉及的主體繁多、法律關系復雜，因此只規(guī)定雙方權利義務的格式合同已經不再適合處理這種多主體的關系；并且這種復雜性更容易使信息處理者利用信息不對稱而減免自己的責任，比如信息處理者在網絡隱私政策中并未明確侵害情形及己方侵害使用者信息權益的法律責任。由此，個人事先在隱私政策中的籠統(tǒng)同意被視為對一切可能發(fā)生的法律后果的同意，屬于風險自負的范圍；個人合法權益無法得到真正保護，而涉及多個主體更是存在責任證明及承擔上的困難。

其次，實踐中出現(xiàn)隱私政策中格式條款的“內容壟斷”，同行業(yè)網絡平臺提供者往往采用幾近相同的用戶協(xié)議，這種無差異性導致法院難以通過比較的方式確定具體條款是否公平[4]。公平對照的缺失使得難以對隱私政策進行實質性的價值判斷。

2.2 告知同意原則適用的同意困境

2.2.1 個人信息權益的雙重屬性導致同意受雙重規(guī)制

從司法角度來看，個人信息權益源于人格權，保護個人信息權益的目的是防止人格權遭受損害。同時，個人信息權益也具有財產性，可以將內含于個人信息中的財產價值通過授權他人使用的方式實現(xiàn)其財產化[5]，創(chuàng)造商業(yè)價值。從公法角度看，個人信息權被視為一種基本權利，個人不僅可以防止其消極性的隱私權益受到相關主體的干擾，還可以保護積極性信息權利。例如，個人可以通過決定是否同意信息收集與處理行為以控制個人信息流向，保障自己的決定權[6]。個人信息權益兼具私法屬性和公法屬性，其保護的法益也是私益和公益的融合，這決定了同意性質的雙重性。在網絡隱私政策中，信息處理行為在多數(shù)情況下是由私法進行規(guī)制，但這并不意味著該領域屬于完全意義上的私法自治。人格權法允許法定范圍內的人格權益許可使用，但不允許脫離人格權法定秩序[7]。許可同意的個人信息內容及利用方式需受到人格權法的規(guī)制，不得損害個人的自由與尊嚴。此外，在涉及特定的公法領域時，同意所保障的個人信息權益也不能對抗位階更高的法益[8]。由此可見，網絡隱私政策中的個人同意僅屬于法定范圍內的自治，個人無法達到對其信息絕對自由的處分。

2.2.2 同意模式不周全導致同意效力瑕疵

首先，網絡平臺服務提供者對于是否同意收集、處理個人信息采取了“全有或全無”的模式。若使用者不同意隱私政策中的全部內容，就無法獲得預期服務，導致使用者喪失隱私政策協(xié)商的空間，在信息收集過程中處于劣勢地位。因此，該同意模式顯著缺乏真實性，而同意的真實性是保障其成為個人信息處理正當性基礎的關鍵所在[9]。

其次，個人信息處理者有時會不合理地擴大收集信息的范圍，使用者籠統(tǒng)的同意會導致其處分了自己都未意識到的某些信息權益，這使得同意不具備合法性和合理性。網絡平臺使用者享有的服務被分為基礎性服務和拓展性服務，但這兩種服務所需的個人信息的范圍不同。然而，在實踐中，網絡平臺服務提供者并未對基礎性服務和拓展性服務收集個人信息的范圍進行區(qū)分，而是統(tǒng)一將其羅列到隱私政策中，要求使用者籠統(tǒng)同意，致使其個人信息收集范圍被不適當擴大。

2.2.3 初始同意風險延續(xù)至信息共享及流轉的第三方

個人信息的第三方共享是指作為信息處理者的網絡平臺服務提供者，將其所收集、處理的個人信息提供給其他處理者，并在不同的時間分別或共同處理個人信息的行為。之所以要對該共享行為進行規(guī)制，是因為個人信息被網絡平臺服務提供者共享給其他處理者后，會導致信息主體，即個人在初次授權之后，喪失對個人信息處理活動的知情權和決定權[10]。在“北京淘友天下技術有限公司等與北京微夢創(chuàng)科網絡技術有限公司不正當競爭糾紛上訴案”中，針對第三方獲取用戶信息的行為，法院提出了“三重授權”原則，即要求“用戶授權平臺+平臺授權第三方+用戶授權第三方”。但是，該原則在實踐中仍然存在風險。首先，如前所述，告知同意原則已經形骸化，個人的同意具有效力瑕疵。這種瑕疵同樣也會通過傳播鏈條延續(xù)到個人信息共享時的同意行為上。其次，實踐中常見的情形是網絡平臺開發(fā)公司在同一集團內部、子公司或者關聯(lián)公司之間共享個人信息時，默認第三方可以直接獲得個人信息，個人信息的流轉共享界限完全取決于個人信息處理者的意志，而個人對此毫無反擊能力[11]。

3 場景理論對網絡隱私政策中告知同意原則困境的修復

3.1 場景理論的內涵分析

2012年，美國政府簽發(fā)了《消費者隱私權利法案》，其中確立了“尊重場景原則”，即“公司收集、使用和披露個人信息應與消費者提供數(shù)據(jù)的場景一致?！焙悺つ嵘U姆教授將場景解釋為一種社會場景，并認為“場景一致”意味著信息實踐符合信息規(guī)范。這些信息規(guī)范由參與主體、信息類型和傳輸原則構成：參與主體為特定場景中的各種主體，包括信息主體、信息發(fā)送者和信息接收者，他們可以是自然人，也可以是法人或者非法人組織。信息類型是指在各種領域中的信息，比如政治學領域中的選民投票信息、黨派關系信息。傳輸原則是對信息流通的約束規(guī)則，不同的場景下有著不同的傳輸原則。例如，在以安全為主要目標的場景中，傳輸原則傾向于對個人信息的保密；而在以促進流通為目的的場景中，傳輸原則傾向于放寬對信息處理者的約束。尼森鮑姆教授認為對個人信息的處理，即信息實踐，需根據(jù)不同的具體場景遵循不同的信息規(guī)范。由于信息規(guī)范的存在，人們對自己個人信息被保護有合理的期待，即隱私期待。當信息處理者違反此場景中的信息規(guī)范時，即違反了“場景一致”原則，破壞了人們合理的隱私期待[12]。

對于特定場景下的信息處理是否符合人們合理隱私期待的判斷，《消費者隱私權利法案》中規(guī)定了獨立的風險評估機制：當消費者信息被處理或者轉移時，有關機構需要對其風險進行動態(tài)評估[13]。如果評估結果顯示超出了“場景一致”的范圍，則該處理行為不符合人們合理的隱私期待，而機構此時需要告知信息主體哪些事項是不合理的，并為主體提供是否要承擔風險以及是否希望降低風險的選擇機制[2]。這是因為個人信息處理行為勢必會使得個人處于隱私被侵害的風險之中，但基于個人信息利用的不可避免性，只要將被侵害的風險控制在個人可接受程度之內，則認為是平衡了個人信息保護和利用的價值目標[2]。

場景理論適應大數(shù)據(jù)時代，衡平了個人信息保護與合理范圍內利用的利益考量，突破了逐漸形骸化的告知同意原則。

3.2 場景理論在網絡隱私政策中的運用路徑構建

3.2.1 個人信息探討重心的轉變：從定義到場景識別與保護

場景理論下的個人信息具有動態(tài)性，不再遵循原來的靜態(tài)“是或不是”二元分類模式，而是需要根據(jù)不同的場景，具體判斷此場景下所涉及的客體是否屬于個人信息以及是否需要加以保護。因此，應當轉變告知同意原則中的單維度思維，不再將重點放在個人信息的靜態(tài)定義及分類上，而是采用多元方法相結合，識別不同場景下的個人信息及風險，并據(jù)此采用不同強度的告知與同意模式。在此基礎上，可以采用初始場景細分與信息流轉階段場景細分相結合的方法，具體分析不同場景下個人信息面臨的不同風險，以此決定采用何種保護方式。

首先，可以針對不同主體提供網絡隱私政策的場景進行細分。根據(jù)不同網絡平臺功能的差別，可以大致將其分為社交類平臺、服務類平臺、視頻類平臺以及查詢類平臺；與此相對應的場景可被劃分為網絡社交場景、網絡服務場景、網絡視頻觀看場景以及網絡查詢場景。其次，個人信息的收集及利用是分階段進行的，大致可分為收集及儲存利用階段、分析及加工階段、共享及流轉階段，其中每個階段也對應著不同的細分場景。最后，將這兩種場景互相結合，可以大概識別應當收集個人信息的范圍，以此來確定保護的方式。保護的方式分為：弱保護，即無須告知和無須同意；保護，即在隱私政策中進行告知并取得用戶同意；強保護，即區(qū)分個人信息收集的程度。在保護的基礎上，如果涉及用戶敏感信息或者隱私的收集，需要進行風險評估，并對風險加以告知，得到用戶對相關風險認知的確認；而用戶的確認也并不能代表網絡隱私政策提供者一方的完全免責，其還需要采取措施降低風險。相關判斷如表1所示。

表1 個人信息的收集與利用以及保護方式的類別

在場景細分的基礎上，如果所收集或利用的個人信息超出了該場景下的范圍或采用了不合適的授權方式，導致收集和處理范圍被擴大，則可以認為其不符合“場景一致”原則。例如，第一，在網絡視頻觀看場景下，對個人信息的需求度較低。在個人信息收集及儲存利用階段，除提供登錄賬號所需的信息外，無須再提供額外信息。此時識別到個人以及個人敏感隱私的風險較低，因此為了提高企業(yè)效率，促進數(shù)據(jù)流通，可以采取弱同意或者無須同意的授權模式。第二，在網絡服務場景下，對個人信息的需求度較高。在個人信息收集及儲存利用階段，需要用戶提供相對更多和更精準的信息，以便網絡平臺提供針對性的服務，優(yōu)化服務質量。此時，網絡平臺服務提供者能夠根據(jù)信息較為精準地識別用戶，探求其喜好，并刻畫用戶人格圖像。因此，對于其個人信息的保護需要采取強保護模式，獲得用戶明確的授權；若涉及敏感信息搜集、利用的，還需采取明顯的方式對用戶進行風險及后果告知。第三，如果同處于收集及儲存利用階段，在網絡視頻觀看場景中收集了本該在網絡服務場景中才應當收集的信息，即為不合理地擴大了收集范圍，也致使原本的弱保護模式獲得了在強保護模式下才能收集的信息，破壞了信息收集的公平性。綜上所述，這些場景可能會出現(xiàn)交叉重合的情況，此時需要評估機構具體地分析所處場景并判斷風險。

3.2.2 “場景一致”的風險評估標準構建

如前所述，需要評估信息處理行為是否符合“場景一致”，以及不符合時帶來的風險。場景理論主張由獨立的第三方機構來進行風險評估，但是并未對風險評估的內容展開進一步的說明?；诰W絡平臺提供隱私政策的場景，可從以下幾個方面構建評估標準。

（1）初始場景與后續(xù)場景的對比

影響用戶接受程度或者對個人信息引用的敏感程度的因素，即統(tǒng)稱為“信息場景”或“場景”[2]。在判斷信息場景是否變更時，可以將初始場景分為網絡社交場景、網絡服務場景、網絡視頻觀看場景以及網絡查詢場景，再根據(jù)用戶后續(xù)使用來判斷信息場景是否變更。第一，可以根據(jù)使用的目的變化判斷信息場景是否變更。例如，用戶初始使用網絡社交平臺，主要以虛擬場景的社交為目的，在其后續(xù)使用時，該平臺也可以提供一些網絡服務，比如購買物品等。第二，結合個人信息處理階段的不同場景，也可以判斷是否發(fā)生變更。例如，原來個人信息僅是以儲存利用為目的，但是現(xiàn)在需要對其作進一步加工分析、深化提煉，以便為個人提供更具有指向性的服務，此時便可以判斷初始場景與后續(xù)場景不一致，有發(fā)生風險的可能。第三，對初始場景與后續(xù)場景進行綜合風險評估以判斷風險程度的變化。例如，在網絡社交場景下，僅為收集和儲存利用個人信息，但是后續(xù)卻變?yōu)榫W絡服務場景下的加工、分析個人信息，此時，多個場景的變更帶來的風險大于單個場景變更的風險。

（2）識別到個人或者具體設備的可能性

在場景理論的視角下，“關聯(lián)性”成為判斷個人敏感信息的重要標準之一。在特定場景中，如果信息控制者所能掌握的信息結合該具體情形，可以關聯(lián)到信息主體或者其設備，那么該信息屬于個人敏感信息[14]。能夠識別出個人敏感信息的場景通常具有較高的風險，需要加強保護措施。以網絡社交場景為例，第一，當其處于個人信息的收集、儲存及利用階段時，由于所需要收集的個人信息范圍廣、個體性明顯、識別性較高，故采取保護模式。網絡平臺應向用戶充分告知隱私政策并取得用戶明確的同意，特別是當涉及收集個人敏感信息時，用戶個體識別性較高，單一的信息便可以準確定位到個人，該場景下的風險也相應提高，因此，應向個人告知相關風險及后果，并采取法律的強制性保護。第二，當其處于個人信息的分析及加工階段時，由于需要對個人信息作進一步的挖掘，充分提煉價值，該階段的風險較前一階段更高。第三，當其處于共享及流轉階段，需要區(qū)分不同的情況。如果其流轉或共享的后續(xù)場景與初始場景相似，則認為能夠定位到個人的風險沒有發(fā)生變化；如果場景發(fā)生變化，當其流轉或者共享的個人信息范圍擴大時，風險增大。例如，流轉的是經過深度挖掘和分析的信息，可以識別到個人；當流轉或者共享的個人信息范圍減小時，或者個人信息經過匿名化時，風險會減小。

（3）個人信息處理符合場景目的程度

判斷個人信息處理行為是否符合目的，可以從兩個方面入手。一方面，判斷行為是否符合該場景下的傳輸原則。場景理論認為，在不同的具體場景中，有著不同的傳輸原則，有些以安全為導向，注重信息的保護；有些則以效率為導向，注重信息的流通。當信息處理行為符合傳輸原則中的目的時，便可認為該行為風險較小。例如，在網絡服務場景下，個人信息收集的范圍廣泛，可以幫助確定用戶喜好、精準推送服務、提高使用效率，這符合該場景下促進信息流通的目的。另一方面，判斷行為是否符合具體的目的。例如，在網絡視頻觀看場景下，收集、儲存?zhèn)€人地址的行為不符合用戶僅需觀看視頻的目的。故而，當一個信息處理行為同時符合具體場景下的傳輸原則以及具體的使用目的時，該行為風險較?。划斊涠叨疾环蠒r，風險較大。

（4）個人信息價值的大小以及泄露的后果

首先，不同場景下的個人信息具有不同的價值，其泄露后的風險大小也不同。例如，在一般情況下，個人信息在網絡視頻觀看場景和網絡查詢場景下的價值相對于網絡社交場景和網絡服務場景下的價值較小，因其收集的范圍較窄、精準度較低、泄露后的風險也較小；在收集及儲存利用階段的價值相對于分析及加工階段和共享及流轉階段的價值較小，因其信息提煉度較小，故相應的泄露風險也較小。其次，還存在其他的細分場景。例如，在商業(yè)場景下，個人信息因其收集范圍廣、提煉深度大、利用率高等原因，價值較大，泄露的可能性也較大。因此，該場景下的個人信息風險相對于公益場景下的個人信息利用更大。根據(jù)所處場景的具體情況，對判斷該場景下個人信息的價值以及泄露的后果進行具體判斷，可以作為風險評估的一個重要因素。

3.2.3 根據(jù)不同保護模式下的義務完成度確定信息處理者的免責程度

首先，利用前述構建的場景識別與保護模式以及風險評估標準，可以確定在具體的細分場景下信息處理者所受到的規(guī)制義務。例如，根據(jù)保護模式中的隱私政策，信息處理者應告知用戶信息的收集、使用和披露的程度，并取得用戶的同意。同時，在收集個人信息時，應采取適當?shù)募夹g手段和措施來降低風險。其次，信息處理者還應承擔企業(yè)自律的責任以及一定的信義義務，而非根據(jù)用戶的同意對其全部免責。若是信息處理者已經根據(jù)具體的場景，完成了自己的義務，此后用戶的個人信息權益仍然受到侵害，那么應當減輕信息處理者的責任。若是信息處理者未能評估出風險并告知個人，且未采取降低風險的措施，那么其應承擔個人信息權益被侵害的加重責任。再次，為了保護個人權利，應當從立法上加以調整。例如，因信息處理者未能遵循具體場景下的義務而導致個人信息權益受到損害，即風險超出合理預期，應當減輕使用者的舉證責任，由網絡平臺服務提供者承擔過錯推定責任；在發(fā)生了侵害個人信息權益的情況下，只要不能證明主觀上無過錯，就應該承擔損害責任，對使用者進行賠償。最后，限縮因果關系證明的清晰度，不要求證明行為導致?lián)p害后果的肯定，而是具有一定的可能性，就可確認具有因果關系。

4 結語

隨著信息技術的迅速發(fā)展和互聯(lián)網環(huán)境的不斷變化，對個人信息的利用是大勢所趨。然而，網絡隱私政策中的告知同意原則已經不再適應時代的潮流，其在告知和同意兩個方面都存在著適用困境，導致告知同意原則形骸化。為了解決這一問題，需要引入“場景理論”，將對個人信息的探討重點從靜態(tài)定義轉向動態(tài)識別保護，結合多元因素細分網絡場景，并要求信息處理行為符合“場景一致”。在此基礎上，可以進一步構建風險評估標準，以初始場景與后續(xù)場景的對比、識別到個人或者具體設備的可能性、個人信息處理符合場景目的程度和個人信息價值的大小以及泄露的后果作為綜合評判參考要素，以此確認個人信息處理行為的免責效力程度。在保護個人信息的同時，也促進個人信息的流通，發(fā)揮其經濟價值，節(jié)省企業(yè)成本。未來在落實《中華人民共和國個人信息保護法》時，我國也需要結合國際已有經驗，在保護個人信息的同時充分挖掘并利用其價值，提升我國數(shù)據(jù)產業(yè)的競爭力。