李奕凡

沈陽(yáng)工業(yè)大學(xué)，遼寧 沈陽(yáng) 110870

一、問(wèn)題的提出

“告知—同意”規(guī)則是個(gè)人信息保護(hù)的重要基礎(chǔ)，“告知—同意”規(guī)則，也被稱作“知情同意”規(guī)則，是指任何組織或者個(gè)人在處理個(gè)人信息時(shí)應(yīng)當(dāng)充分告知信息主體及其個(gè)人信息被處理的自然人，只有在取得同意之后才可進(jìn)行相應(yīng)的個(gè)人信息處理行為，沒(méi)有告知或未取得同意就進(jìn)行個(gè)人信息處理即為違法行為，除非法律、行政法規(guī)另有規(guī)定。[1]隨著數(shù)據(jù)收集與挖掘技術(shù)的愈發(fā)先進(jìn)，數(shù)字經(jīng)濟(jì)時(shí)代的到來(lái)給個(gè)人信息保護(hù)帶來(lái)更多不穩(wěn)定因素，例如出現(xiàn)過(guò)度收集、濫用以及泄露個(gè)人信息的風(fēng)險(xiǎn)，這些風(fēng)險(xiǎn)都呈現(xiàn)不可控的狀態(tài)，“傳統(tǒng)”的“告知—同意”規(guī)則已無(wú)法有效規(guī)避這些風(fēng)險(xiǎn)。如若嚴(yán)格實(shí)施“告知—同意”規(guī)則，也會(huì)對(duì)個(gè)人信息的流動(dòng)造成一定的阻礙，從而不利于當(dāng)下依靠大數(shù)據(jù)的經(jīng)濟(jì)發(fā)展。因此，有學(xué)者認(rèn)為將“告知—同意”作為個(gè)人信息保護(hù)的正當(dāng)性基礎(chǔ)并不恰當(dāng)。[2]誠(chéng)然，“告知—同意”規(guī)則的實(shí)施在大數(shù)據(jù)的沖擊之下面臨諸多困境，但是，設(shè)置“告知—同意”規(guī)則對(duì)于保護(hù)個(gè)人的信息自決權(quán)益，捍衛(wèi)自身人格尊嚴(yán)，追求幸福與自由有著重要意義，不能輕言摒棄。在西方多個(gè)國(guó)家的現(xiàn)行法中，“告知—同意”也是作為首要的合法性基礎(chǔ)來(lái)建構(gòu)個(gè)人信息保護(hù)的一般規(guī)則。

“告知—同意”規(guī)則包含了告知規(guī)則與同意規(guī)則，沒(méi)有進(jìn)行告知，自然人就無(wú)法對(duì)是否同意其個(gè)人信息被處理作出表示，且告知必須是充分、清晰的告知，如若沒(méi)有達(dá)到要求，便不能說(shuō)明自然人所作出的同意是真實(shí)有效的。相反，沒(méi)有取得自然人的同意，僅僅進(jìn)行充分、清晰的告知，也構(gòu)成對(duì)個(gè)人信息的非法處理?？梢?jiàn)告知與同意相輔相成、相互制約，要得出“告知—同意”規(guī)則的優(yōu)化路徑也需從這兩個(gè)規(guī)則分別入手，使得“告知—同意”規(guī)則更能適應(yīng)大數(shù)據(jù)時(shí)代的發(fā)展，繼續(xù)在個(gè)人信息保護(hù)中發(fā)揮調(diào)和沖突的重要作用。

二、“告知—同意”規(guī)則是個(gè)人信息保護(hù)的正當(dāng)性基礎(chǔ)

（一）自由主義思想

“告知—同意”規(guī)則源于深刻的自由主義思想。以約翰·?洛克為代表的理論家們提出一系列自由主義的民主政治理論，著重強(qiáng)調(diào)天賦人權(quán)，認(rèn)為一切人生而享有一系列不可剝奪的權(quán)利，包括生命、自由、平等、財(cái)產(chǎn)、追求幸福等權(quán)利，這些權(quán)利不允許政府及任何人侵犯。[3]該理論解放了人們的思想，使人們從沉重的封建統(tǒng)治與宗教思想的枷鎖中逃離出來(lái)，鼓勵(lì)人們把握自己的應(yīng)有權(quán)利。個(gè)人信息權(quán)益事關(guān)我們的財(cái)產(chǎn)安全，也事關(guān)我們的人格尊嚴(yán)，我們理應(yīng)牢牢把握住這一權(quán)益，來(lái)實(shí)現(xiàn)自身的自由與幸福追求。

政治經(jīng)濟(jì)學(xué)家亞當(dāng)·?斯密認(rèn)為，每個(gè)人最能了解和判斷自己的切身利益，社會(huì)應(yīng)當(dāng)允許個(gè)人自主安排自身事務(wù)，自由選擇自己的生活方式。[4]個(gè)人信息作為個(gè)人事務(wù)，應(yīng)受個(gè)人所支配，而“告知—同意”規(guī)則便是我們支配個(gè)人信息的有效途徑。通過(guò)設(shè)置“告知—同意”規(guī)則，對(duì)信息處理者施加告知義務(wù)保障信息主體的知情權(quán)，賦予信息主體在衡量與判斷自己的利益之后選擇是否行使同意行為的權(quán)利。

（二）個(gè)人信息自決理論

1971年，德國(guó)學(xué)者施泰姆勒提出了“信息人格自決權(quán)”以及“個(gè)人信息自決權(quán)”概念，其描述該項(xiàng)權(quán)利的內(nèi)容是，人們有權(quán)自由決定周遭的世界獲知自己的思想以及行動(dòng)的程度。在1984年德國(guó)“人口普查案”的影響之下，越來(lái)越多的學(xué)者才開(kāi)始響應(yīng)該觀念。[5]在個(gè)人信息自決權(quán)的理論主張中，自決是核心概念，個(gè)人有權(quán)根據(jù)自己的意志決定自己的信息是否能被收集、處理或者利用，違反者則會(huì)侵犯?jìng)€(gè)人的人格利益。具體到實(shí)踐，數(shù)字經(jīng)濟(jì)時(shí)代，個(gè)人信息被泄露、被不當(dāng)利用的風(fēng)險(xiǎn)急劇增加，相較于掌握大量信息，并能運(yùn)用技術(shù)對(duì)各種細(xì)微信息進(jìn)行跟蹤、收集和分析的信息處理者來(lái)說(shuō)，信息主體明顯處于弱勢(shì)地位。因此，為了信息主體能與之抗衡，法律在個(gè)人信息自決權(quán)的基礎(chǔ)上，設(shè)置了諸多具體規(guī)則，“告知—同意”規(guī)則就包含在其中。

此外，個(gè)人信息自決權(quán)并不意味著對(duì)個(gè)人信息的絕對(duì)支配。德國(guó)聯(lián)邦憲法法院作出的“人口普查法”系違反憲法的判決，是限定在特殊的背景之下的，即信息自決權(quán)僅針對(duì)國(guó)家強(qiáng)制性的信息收集行為而不涉及私法領(lǐng)域，且只有自動(dòng)化處理之下，才“沒(méi)有不重要的個(gè)人信息”，法律才給予特別關(guān)注，德國(guó)聯(lián)邦憲法法院也明確拒絕一般性、絕對(duì)性的個(gè)人信息自決權(quán)。可見(jiàn)，法院并沒(méi)有主張所有的信息收集與利用行為都侵犯?jìng)€(gè)人信息自決權(quán)，都需要提供法律上的理由。個(gè)人作為人類社會(huì)中的一員，在社會(huì)中活動(dòng)，與他人密切往來(lái)，在這些過(guò)程中所產(chǎn)生的個(gè)人信息很難說(shuō)都?xì)w屬于自己所有，如果要實(shí)行絕對(duì)的個(gè)人信息自決權(quán)，那么很有可能會(huì)給個(gè)人信息交流造成障礙，人們無(wú)法在社會(huì)中自由發(fā)展，人與人之間的溝通交流不再具有正向的社會(huì)價(jià)值，就容易造成社會(huì)秩序的混亂。同樣，“告知—同意”規(guī)則絕不存在絕對(duì)的自由，其實(shí)施也需限定在一定的范圍之內(nèi)，在進(jìn)行個(gè)人信息處理時(shí)，當(dāng)有類似為公共利益所需要的法定豁免事由的出現(xiàn)，即可不必考慮信息主體是否同意。

三、“告知—同意”規(guī)則面臨的困境

（一）信息處理者的告知困境

數(shù)字分析處理技術(shù)具有許多不確定性，甚至在做數(shù)據(jù)分析之前可能根本不存在什么目的，只是因?yàn)樽罱K數(shù)據(jù)出現(xiàn)了相關(guān)性而創(chuàng)造出許多意想不到的用途。受限于“目的限制原則”，個(gè)人信息處理者僅能對(duì)已知的個(gè)人信息使用目的及過(guò)程進(jìn)行告知，而對(duì)于一些信息處理過(guò)程中衍生出的創(chuàng)新用途或者潛藏的危害風(fēng)險(xiǎn)，亦要求其在收集和使用數(shù)據(jù)之前給出明確的目的說(shuō)明，有些強(qiáng)人所難。

在個(gè)人信息流動(dòng)中，往往牽涉多方利益?；ヂ?lián)網(wǎng)企業(yè)所收集的用戶個(gè)人行為信息只有在進(jìn)行匿名化處理后，才能對(duì)其有完全的支配權(quán)，而這樣的處理是經(jīng)過(guò)數(shù)據(jù)中間商進(jìn)行的，其會(huì)將用戶個(gè)人在網(wǎng)絡(luò)活動(dòng)中的各種信息進(jìn)行格式轉(zhuǎn)化、內(nèi)容萃取等操作，再將其打包轉(zhuǎn)賣。[6]在這樣的交易鏈中，互聯(lián)網(wǎng)企業(yè)會(huì)為獲得更多的商業(yè)利益而選擇刻意隱瞞這一流通過(guò)程，且由于技術(shù)壁壘，有些小型互聯(lián)網(wǎng)企業(yè)也可能很難發(fā)現(xiàn)第三方數(shù)據(jù)處理所存在的安全威脅，也就無(wú)從告知。

此外，盡管互聯(lián)網(wǎng)企業(yè)聲稱已經(jīng)對(duì)個(gè)人信息進(jìn)行了匿名化處理，但也并不百分百地保證個(gè)人信息沒(méi)有不被濫用和泄露的風(fēng)險(xiǎn)，大數(shù)據(jù)技術(shù)能夠輕易對(duì)各種數(shù)據(jù)進(jìn)行結(jié)合檢驗(yàn)，從而重新識(shí)別出個(gè)人。而在我國(guó)的《個(gè)人信息保護(hù)法》中規(guī)定，匿名化后的個(gè)人信息因其無(wú)法識(shí)別出個(gè)人不屬于個(gè)人信息的范疇，也就很難得到相應(yīng)的保護(hù)，這種難以預(yù)測(cè)的風(fēng)險(xiǎn)存在顯然給實(shí)施告知規(guī)則帶來(lái)不小的挑戰(zhàn)。

（二）信息主體的同意困境

同意規(guī)則成立的前提是，信息主體作為一個(gè)理性人在閱讀并理解隱私政策內(nèi)容之后，能夠權(quán)衡利益得失從而作出選擇。然而在現(xiàn)實(shí)情況下，這種前提卻常常難以實(shí)現(xiàn)。2021年，光明日?qǐng)?bào)與武漢大學(xué)法學(xué)院、網(wǎng)絡(luò)治理研究院組成聯(lián)合調(diào)研組針對(duì)App隱私協(xié)議存在的問(wèn)題進(jìn)行問(wèn)卷調(diào)查發(fā)現(xiàn)，77．8%的用戶在安裝App時(shí)“很少或從未”閱讀過(guò)隱私協(xié)議，69．69%的用戶會(huì)忽略App隱私協(xié)議的更新提示。聯(lián)合調(diào)研組還發(fā)現(xiàn)，大多數(shù)用戶認(rèn)為隱私協(xié)議內(nèi)容文字過(guò)小，排版過(guò)密，且隱私協(xié)議充斥著大量專業(yè)法律術(shù)語(yǔ)，即使想閱讀也因不理解而直接放棄。

試想，一個(gè)App隱私政策的長(zhǎng)度及專業(yè)內(nèi)容已足夠讓用戶頭疼，更何況一個(gè)用戶可能要面對(duì)幾十甚至幾百個(gè)軟件的隱私政策告知，這就很容易引發(fā)心理學(xué)上的邊際遞減效應(yīng)。在前幾次用戶可能還會(huì)較有耐心地去細(xì)看隱私政策，越往后便越是麻木，為了能便捷地使用該APP，就直接點(diǎn)擊同意了事?？梢?jiàn)，用戶連隱私政策都疲于對(duì)待，更別說(shuō)能夠進(jìn)行利益權(quán)衡，因此，信息主體的同意行為在大多數(shù)情況下都不能說(shuō)是理性的。

四、“告知—同意”規(guī)則的優(yōu)化路徑

（一）完善告知義務(wù)

數(shù)字經(jīng)濟(jì)時(shí)代，隱私政策內(nèi)容不應(yīng)當(dāng)僅僅停留在告知采集、處理個(gè)人信息的方法與目的，還應(yīng)當(dāng)揭示采集、處理個(gè)人信息后所潛在的風(fēng)險(xiǎn)。web 3．0時(shí)代，多傳感器信息融合已是大勢(shì)所趨，電腦、手機(jī)、智能家居設(shè)備等多方平臺(tái)都記載有我們的個(gè)人行為信息，互聯(lián)網(wǎng)企業(yè)完全有能力將這些信息融合。這些融合后的信息可能會(huì)被用來(lái)構(gòu)筑用戶的數(shù)據(jù)畫像，從而進(jìn)行個(gè)性化服務(wù)、推送定向廣告等等，類似的自動(dòng)化決策是基于人工智能的運(yùn)算，而運(yùn)算難免出現(xiàn)偏差，嚴(yán)重的偏差可能會(huì)給用戶帶來(lái)隱私侵?jǐn)_、價(jià)格歧視、廣告騷擾等后果。因此，如若互聯(lián)網(wǎng)企業(yè)需要同時(shí)通過(guò)多種設(shè)備來(lái)采集用戶個(gè)人信息，則應(yīng)當(dāng)進(jìn)行清晰告知，列明具體采集了哪些設(shè)備上的哪些信息，以及信息的使用目的及其經(jīng)過(guò)人工智能處理而存在哪些風(fēng)險(xiǎn)。此外，對(duì)于數(shù)據(jù)流向第三方而給個(gè)人帶來(lái)的信息安全威脅，互聯(lián)網(wǎng)企業(yè)應(yīng)當(dāng)增加數(shù)據(jù)流通的透明度，在條款中必須明確數(shù)據(jù)流向哪個(gè)第三方，第三方處理目的、處理過(guò)程和潛在風(fēng)險(xiǎn)為何，充分保障用戶的知情權(quán)，同時(shí)要限制第三方再將數(shù)據(jù)在企業(yè)和用戶不知情的情況下超過(guò)處理目的再行轉(zhuǎn)移使用。

此外，大數(shù)據(jù)處理技術(shù)背景下很難有絕對(duì)完美的匿名化，但匿名化在保護(hù)個(gè)人信息與促進(jìn)數(shù)據(jù)價(jià)值中仍發(fā)揮著積極作用，所以，針對(duì)個(gè)人信息匿名化后仍存在安全威脅的問(wèn)題，信息處理者可根據(jù)定期的可能風(fēng)險(xiǎn)評(píng)估保持動(dòng)態(tài)化告知。定期的可能風(fēng)險(xiǎn)評(píng)估是指在特定情況下，對(duì)給定的匿名化信息是否有可能潛在被識(shí)別的風(fēng)險(xiǎn)的評(píng)估，每隔一段時(shí)間進(jìn)行一次。當(dāng)評(píng)估發(fā)現(xiàn)匿名化個(gè)人信息存在去匿名化的可能，且該信息處理可能對(duì)個(gè)人造成損害時(shí)，互聯(lián)網(wǎng)企業(yè)應(yīng)當(dāng)有更嚴(yán)格的告知程序，即告知信息主體其個(gè)人信息正處于風(fēng)險(xiǎn)范圍，其可以通過(guò)企業(yè)問(wèn)詢相關(guān)風(fēng)險(xiǎn)問(wèn)題或直接對(duì)涉險(xiǎn)的個(gè)人信息進(jìn)行刪除。并且，企業(yè)在及時(shí)將去匿名化的信息重新匿名化后，也應(yīng)當(dāng)將其操作告知信息主體。

（二）強(qiáng)化“同意”行為

人們難以在眾多網(wǎng)絡(luò)平臺(tái)的隱私政策或個(gè)人信息保護(hù)政策告知中始終保持理性去閱讀并作出“同意”行為，為解決這一問(wèn)題，除了前面所述的在告知形式上下功夫外，人們的同意行為也需要作出適當(dāng)改變，使信息處理者能從信息主體處獲得更為審慎的同意，從而減少二者之間的糾紛。

一方面，根據(jù)《個(gè)人信息保護(hù)法》規(guī)定，對(duì)于不同類型的個(gè)人信息，同意行為應(yīng)當(dāng)有所區(qū)別。個(gè)人信息中的敏感信息因包含有生物識(shí)別、金融賬戶、行蹤軌跡等十分重要的個(gè)人信息，很容易會(huì)導(dǎo)致信息主體的人格權(quán)益以及財(cái)產(chǎn)權(quán)益受到侵害，因此要單獨(dú)征得信息主體的同意，即信息處理者需提供彈窗特別告知要收集、使用該類信息，由信息主體選擇是否同意。對(duì)于個(gè)人信息中的非敏感信息，因其重要程度及受安全威脅的程度較低，只需征得信息主體的一般同意，即信息主體可通過(guò)閱讀隱私政策后對(duì)該類信息進(jìn)行“一攬子同意”即可，無(wú)需點(diǎn)擊彈窗告知選擇同意。另外，對(duì)于委托處理個(gè)人信息、向他人提供個(gè)人信息、公開(kāi)處理個(gè)人信息、向境外提供個(gè)人信息以及收集個(gè)人圖像、身份識(shí)別信息用于維護(hù)公共安全目的等其他對(duì)個(gè)人權(quán)益有重大影響的個(gè)人信息處理活動(dòng)，都應(yīng)當(dāng)取得信息主體的單獨(dú)同意。

另一方面，同意形式上可采用電子簽名的辦法，促進(jìn)人們對(duì)于個(gè)人信息的處理能慎重對(duì)待。實(shí)踐中，網(wǎng)絡(luò)平臺(tái)大都以點(diǎn)擊同意選項(xiàng)的方式來(lái)取得用戶的授權(quán)，這一點(diǎn)擊方式在一定程度上能提高個(gè)人信息處理的效率，但卻不利于用戶準(zhǔn)確表達(dá)自己的真實(shí)意思。而電子簽名能使得同意形式更為嚴(yán)肅和正式，更能使人們意識(shí)到自己是在與網(wǎng)絡(luò)企業(yè)簽訂一份合同，這份合同規(guī)定了自己與企業(yè)之間的權(quán)利義務(wù)分配以及雙方所要承擔(dān)的相關(guān)違約責(zé)任，從而提高對(duì)該同意行為的重視程度。并且，電子簽名的形式多樣，越是敏感的信息越應(yīng)當(dāng)采用更為嚴(yán)格的電子簽名形式。

五、結(jié)語(yǔ)

邁入數(shù)字經(jīng)濟(jì)時(shí)代后，“告知—同意”規(guī)則無(wú)論是在告知程序上還是同意程序上都遭遇到了適用困境，如果不及時(shí)進(jìn)行改良很容易導(dǎo)致該規(guī)則形同虛設(shè)，因此在尋找優(yōu)化路徑時(shí)也需分別從告知規(guī)則和同意規(guī)則這兩方面入手，完善個(gè)人信息處理者的告知義務(wù)，對(duì)告知形式進(jìn)行更新突出重點(diǎn)，強(qiáng)化對(duì)風(fēng)險(xiǎn)內(nèi)容的披露。另外，強(qiáng)化個(gè)人信息主體的同意行為，通過(guò)分類型同意與電子簽名同意的形式要求個(gè)人對(duì)待信息處理時(shí)能更為審慎，同時(shí)落實(shí)同意撤回權(quán)的行使更能為信息主體的同意提供一份保障。當(dāng)然，“告知—同意”并非萬(wàn)能規(guī)則，要使個(gè)人信息得到更妥善的保護(hù)還需其他規(guī)則、原則的相互配合，并且不論是個(gè)人信息主體還是個(gè)人信息處理者都應(yīng)提高保護(hù)個(gè)人信息的意識(shí)，在自己的能力范圍之內(nèi)認(rèn)真履行自己的權(quán)利義務(wù)，由此個(gè)人信息保護(hù)才能真正趕上數(shù)字經(jīng)濟(jì)發(fā)展的步伐。