关键词:知情同意规则;个人信息自决;场景与风险管理;动态同意

知情同意规范是个人信息处理的核心规范,其强调除了法律、行政法规有例外规定的场合,一般个人信息的处理都要取得信息主体的明确同意。知情同意规范在我国的适用由来已久,时至今日仍有两大现象值得我们注意。一是对于知情同意规范的法律性质众说纷纭,甚至在规则和原则上都难以厘清。二是知情同意规范的现实适用不尽人意,以隐私政策为代表的告知方式并不能反映信息主体的真实意愿,侵权现象多有发生。因此,有必要对知情同意规范进行反思。反思包含两个层面:形式层面上应当厘清知情同意规范的法律性质,统一用语,明确概念;实质层面上应当分析知情同意规范在现实中面临的困境,提出针对性的改进意见,以实现个人信息保护与数字经济发展之间的平衡。

一、知情同意规范的法律性质

知情同意规范的法律性质涉及两大方面,一是在法律规范方面上,需要明确其是法律规则或法律原则。二是有关同意行为的法律性质。

(一)知情同意规范是法律规则而非法律原则

以“个人信息知情同意”为关键词在中国知网上进行检索,发现2021年以来发表在中文核心期刊上的36篇相关文章中,使用“知情同意规则”表述的有18篇,使用“知情同意原则”表述的有17篇,有1篇文章将二者同时使用。规则和原则作为两类独立的法律规范类型,二者之间的区别泾渭分明,因而在论及知情同意规范的法律性质时,首先应当对其属于规则还是原则进行厘清。

1.法律规则和法律原则的区分

第一,法律规则和法律原则的区分首先体现在逻辑结构上。关于法律规则的逻辑结构,目前学界主要有两种看法:一种是“三要素说”(假定、行为模式、法律后果);另一种是“二要素说”(构成要件、法律后果)。无论依照哪种逻辑要素,法律规则都可以表述为“如果……那么”的假言条件句;法律原则缺少这样的结构,它是由妥当感和制度性支持构成的,本身欠缺必要的限制条件,是一个没有前件的直言句[1]。第二,法律规则和法律原则在适用上也有差别,主要体现在以下两方面。一是适用方式不同。规则在适用时,是以完全有效或完全无效的方式进行的。而法律原则的适用方式是衡量,涉及程度和分量的问题[2]。此外,法律规则的适用方式是“涵射”,即将特定案件事实置于法律规范的要件之下,以获得一定结论的思维过程,一般以三段论模式呈现。而法律原则由于缺乏明确的行为模式和法律后果无法适用三段论推理,其本质上是对特定案件中的法律依据及案件事实等内部论证前提的论证[3]。二是适用位阶不同。一般认为,法律规则的适用应当优先于法律原则,只有当没有法律规则可以适用或者适用法律规则存在矛盾时,才可以引入法律原则发挥漏洞补充或者衡平作用。此外,有学者提出,法律原则在司法裁判中可以发挥“修正作用”,即当严格适用规则会造成极不妥当的后果,而案件更有必要实现法律原则的价值时,可引入法律原则对规则进行修正,形成但书[4]。第三,法律规则和法律原则在法律条文中的位置不同。法律规则通常位于总则后的各个分章之中,而法律原则一般位于总则部分,起到统领全篇的价值宣示作用。

2.知情同意规范是法律规则

首先,知情同意规范满足法律规则应当具备的逻辑结构,是一个充分条件假言命题。可以表述为“如果个人信息处理者在处理个人信息前做到法律规定的告知要求并取得信息主体的同意,那么其处理就是合法的。”其次,知情同意规范在适用方式上与法律规则相一致。知情同意规范在适用上没有权衡的空间,必须严格遵循、全部适用。个人信息处理者在处理个人信息时倘若有一丝一毫没有遵循《个人信息保护法》的相关规定,那么处理行为将具有瑕疵。此外,知情同意规范的适用也不存在先后问题,作为个人信息处理合法性论证的首要依据,其适用不会产生“向一般条款逃逸”的质疑。最后,知情同意规范在条文位置上符合法律规则的特征。知情同意规范位于《个人信息保护法》第二章,而个人信息保护的基本原则均规定在总则部分。综上所述,知情同意规范是法律规则而非法律原则,对于学界普遍存在的“知情同意原则”的称呼应当予以纠正。

(二)同意行为是免责事由、意思表示

同意行为的法律性质可以从两方面理解,在侵权法领域,它是免除个人信息处理者民事责任的免责事由。在合同法领域,它是信息主体与个人信息处理者之间订立以个人信息利用与服务提供为内容的合同的意思表示。

1.同意行为是免责事由

同意行为的免责事由属性是基于信息主体对其个人信息权益的消极防御地位而产生的。个人信息处理者处理个人信息显然是对他人权益的侵犯,除非基于社会公共利益或基于他人利益而构成无因管理,否则任何人不得干预他人事务。信息主体的同意恰恰是阻却了信息处理行为的违法性,赋予了其合法性基础。同意行为满足受害人同意的各种特征①。首先,信息主体的同意是具体明确的,指向的正是个人信息处理者所告知的个人信息处理内容。其次,个人信息处理者的告知义务应当是“真实、准确、完整”的,符合通说认为受害人同意应当明确、具体的要求。最后,针对同意能力,普遍认为受害人的同意能力不能简单以民事行为能力作为判断标准,应当结合具体情况分析。《个人信息保护法》将信息主体的同意年龄限定在了14周岁,处理14周岁以下未成年人个人信息的,应当取得其监护人的同意。因此,从消极层面上看,同意行为是个人信息处理的免责事由。

2.同意行为是意思表示

同意行为在消极层面上是免责事由并不能证成其在积极层面上是意思表示,因为大多数受害人同意不一定具备主观上发生一定法律效果的目的,即不具备法效意思,仅属于准法律行为。因此,同意行为是否属于意思表示仍然需要从法律行为和准法律行为的区分入手。法律行为与准法律行为的区别在于法律行为具有完整的意思表示要素,而准法律行为不一定包含效果意思,或者即使包含效果意思,仍然按照法律规定而非行为人的表达发生法律效果。信息主体的同意应当属于意思表示,因为同意旨在践行个人信息自决,所实现的正是其所欲实现的法律效果[5]。虽然法律上对这一效果同样有所规定,但是只是对其赋予法律保护的一种承认,这与观念通知、意思通知这些典型的准民事法律行为有着明显的不同。倘若将所有法律对效果的承认都作为效果创设,那么即使最一般的买卖合同也可以被当作准法律行为,这显然是不合理的。有观点认为,个人信息处理活动不是交易行为,因而不能将适用于交易行为的民事行为能力制度套用其中。笔者不认同此种观点,个人信息处理活动虽然与传统的交易活动不同,但本质上并无差别,其内容是以提供个人信息为代价获得便利的互联网服务,个人免费使用互联网平台其实只是“数据付费”替代“金钱付费”的假象[6]。个人信息实际上已经成为企业的“黄金矿脉”,基于用户浏览偏好而进行的定向广告推送为企业带来了巨大的利润,才使免费上网成为可能[7]。

二、知情同意规则面临的困境

(一)理论基础遭遇挑战

知情同意规则的理论基础是个人信息自决理论,其含义是个人有权控制其个人信息并决定如何被使用。个人信息自决理论以人格尊严保障为出发点,严格控制能够识别自然人身份的个人信息,最大限度避免了信息泄露造成不利影响。然而,大数据时代的到来使得这一理论基础遭到挑战。

1.个人信息处理者的增加使得信息主体逐渐失去了对个人信息的控制

通常情况下,个人信息处理者只有一个,全程负责信息从收集到删除的全部环节。这样的情况对信息主体来讲更为有利,因为冲突的解决只需要与这一个信息处理者进行沟通即可,信息主体对信息处理者往往也比较熟悉,能及时知晓个人信息处理情况。在大数据时代,个人信息处理者往往并非只有收集者本身。一方面源于数据处理的复杂性,需要更加专业的数据处理者提供支持,形成了专门从事数据处理业务的第三方服务机构。另一方面源于大数据产业对于个人信息流动的需求,使得个人信息一经收集就成为滋养大数据产业发展的养料,在多个信息处理者之间辗转腾挪[8]。导致信息主体很难知晓其个人信息被收集之后的状态,再加上信息主体往往无法与信息处理者直接接触,致使信息主体对个人信息的控制地位被大大削弱。

2.个人信息新价值的产生使得保护利益更加多元化

传统上,个人信息的价值都围绕着信息主体产生,因为它所能反映的仅限于信息主体的基本情况。然而,将海量的个人信息汇聚成大数据后,个人信息就可以产生超脱于信息主体的分析与预测价值。例如,某个人购买机票的价格信息除了能够反映其个人花费以外没有别的作用,但是美国Farecast公司却能通过分析其收集到的近10万亿条价格记录,准确预测美国国内航班的票价。新的价值不仅体现在信息本身,也为信息处理者带来了巨大的财富增益。目前,多数网络平台都会收集用户的浏览记录并根据偏好进行推送,这成了巨大的用户增长点。美国奈飞公司75%的新订单都来自个性化推荐系统,亚马逊公司通过提高个性化推荐的精准度使其销售额增加了33.3%。有学者指出,应当对企业收集并储存的数据赋权保护,明确企业对数据享有占有、使用、收益、处分等所有者权益[9]。由此可见,个人信息新价值的产生使得保护利益更加多元,既要保护信息主体利益,又要保护大数据带来的产业创新、技术进步,以及由此形成的企业数据权利。以个人信息自决为核心,完全倒向信息主体的传统个人信息保护模式已经不再适应时展。

(二)同意的表示不真实,沦为形式同意

告知是同意的基础,同意意味着信息主体在对个人信息处理过程完全知情的情况下愿意接受信息处理的风险和后果,因此法律通常会对信息处理者施加严格的告知义务。然而,事无巨细的告知方式恰恰使得信息主体的同意愈发不真实,体现在以下两个方面。

1.信息主体对信息处理目的无法完全知晓

大数据时代信息处理目的难以完全预知,信息处理目的不再只是为信息主体提供服务那么简单,人们渴望从对大数据分析中获取新的知识。对大数据的分析宛如一个“寻宝游戏”,人们并不确定到底能发现什么,因而需要反复调整目标。例如,谷歌公司所收集的浏览器搜索记录一般只是用于分析用户偏好以进行个性化推荐,但是在2008年美国流感期间,这些搜索记录帮助谷歌预测了流感暴发的地区[10]3-9。在大数据分析所能得到的结果不能确定的情况下,自然无法作为处理目的提前告知信息主体,进而影响到同意的真实性。

2.信息主体对隐私政策

事实上缺乏阅读或难以理解面对繁重的告知义务,信息处理者往往采取提供隐私政策的方式应对之,而且隐私政策往往行文冗长、用语艰涩。例如,小米公司旗下的68个软件的隐私政策平均有6681个字,按照每分钟500字的阅读速度,平均阅读时长超过13分钟,很难想象真的有人会耐心阅读[11]。有的软件将隐私政策拆成两部分并置于不同的地方,例如支付宝有关刷脸支付的隐私政策,需要在“支付设置”———“生物支付”中的《生物识别服务通用规则》里才能找到,通用的隐私政策中没有相关内容。有的隐私政策晦涩难懂、重点不明,不明确写明个人信息储存期限,而用“合理期限”“所必需的时间期限”等模糊词语,有的隐私政策缺乏对用户个人信息的技术保障和管理制度保障的说明,并且没有对用户的敏感信息进行提示。

(三)信息主体缺乏同意能力

1.信息主体对信息处理过程缺乏足够认识知情同意旨在实现个人信息自决,故个人的自决能力至关重要,关键在于个人是否能真实理解个人信息收集利用可能带来的风险[12]。将信息主体假定为有足够理解能力的自然人的理论预设在传统小数据时代是成立的,信息处理一般不会超过信息主体的预期范围。然而,在大数据时代,在复杂的自动化信息处理系统的加持下,普通人已经难以对信息处理过程中的风险做到心中有数了。例如,信息主体一般都会知晓允许软件访问手机GPS传感器会暴露自己的位置信息,因而对于访问GPS的请求一般都会很谨慎。然而,有学者研究发现,通过对手机加速度传感器收集的步态信息进行除燥处理,结合陀螺仪的偏转角度,就能够对行人的行踪轨迹进行重构,从而在不需要GPS定位的情况下获取其位置信息[13],这无疑远远超出一般信息主体的认识能力。认识是同意的基础,认识能力欠缺自然会对同意能力造成影响。

2.信息主体面对过度收集个人信息时缺乏拒绝能力缺乏同意能力的另外一个含义是信息主体面对信息处理者往往缺乏拒绝能力。虽然《民法典》第1035条明确规定“不得过度处理”个人信息,《个人信息保护法》第6条也规定个人信息的收集应当限定在“实现目的的最小范围”,但是因为缺乏足够的监管,超范围处理个人信息的情况仍然屡见不鲜。2022年3月11日,中国消费者协会的《2021年网络消费领域消费者权益保护报告》指出,“利用数据、算法等技术手段非法收集、分析、使用消费者个人信息”仍然是侵犯消费者合法权益的主要情形之一。然而,面对信息处理者动辄以拒绝提供服务为要挟,信息主体即使知道存在过度收集个人信息的情况也不得不同意。

三、大数据时代的知情同意规则修正

固守传统的知情同意规则显然已经不适应时展,无论是作为知情同意规则理论基础的个人信息自决,还是知情同意规则的现实适用都面临困境,需要我们对其进行修正。

(一)以“场景和风险管理”制度替代前置性同意

“场景和风险管理”制度源于美国2015年颁布的《消费者隐私权利法案(草案)》(以下简称CPBR)。法案以具体场景中的合理使用作为个人信息处理的合法性基础,只要个人信息处理者基于场景以合理的方式处理个人信息,那么该处理就是合法的,从而不需要获取信息主体的前置性同意。这是对数十年来以知情同意为核心的传统个人信息处理的一大颠覆。虽然该法案因联邦与州之间管辖权等问题最终没能获得通过,但这一制度仍然值得我们借鉴。“场景与风险管理”制度要求个人信息处理者处理个人信息时,需要注意以下几点。首先,应当判断信息处理在具体场景中是否构成合理使用,如果构成合理使用,那么处理自动获得合法性基础,而无需信息主体的授权。其次,当个人信息处理根据场景不合理时,个人信息处理者应当对信息处理可能造成的隐私风险进行分析,分析的内容包括但不限于审查数据源以及数据用途。最后,为了降低隐私风险,个人信息处理者需要提高信息处理的透明度并赋予个人对其个人信息的控制,控制手段主要包括获得信息主体对个人信息处理的同意以及通过其他方式确定和实施信息主体的隐私偏好。“场景和风险管理”制度强调个人信息处理的合法性应当依据多元场景综合判断,而非仅依靠在大数据时代缺乏判断能力的信息主体的同意。这不仅促进了个人信息的流通和利用,而且大幅减轻了信息主体和个人信息处理者的负担,将关注的重点放在了信息利用的实质性问题而非形式同意之上,提高了用户控制的实际意义[14]。构建“场景与风险管理”制度时,不应当简单模仿,而应当守正创新。首先,我们应当将隐私风险评估贯穿信息处理的始终,使之成为判断信息处理合理与否的一个标准,而非仅作为信息处理不合理时的应对措施。其次,CPBR过分将个人控制依赖于信息主体的同意,实际上再次将风险转嫁给了信息主体。对此,我们应当增加隐私风险发生时个人信息处理者的义务,包括对相关个人信息进行匿名化处理、测试并维护信息处理系统的安全性等。最后,我们可以建立风险等级差异化管理机制,对评估的隐私风险进行分层,针对不同风险等级采取不同的应对措施。当风险等级较低时,个人信息处理者无须向信息主体披露隐私风险,只需要测试信息处理系统的安全性并密切关注风险等级变化;当风险等级为中时,个人信息处理者应当告知风险因素并允许信息主体退出个人信息处理,并采取匿名化、加密等安全保障措施;当风险等级为高且无法有效降低风险等级时,个人信息处理者应当立即向主管部门报告并暂停个人信息处理,封存并删除相关个人信息。

(二)构建动态同意制度

相比于“场景与风险管理”制度对知情同意规则的完全颠覆,动态同意则是在保留知情同意规则整体框架的情况下,对其运行方式进行调整。目前,个人信息处理者通常在对个人信息处理前通过隐私政策来获取信息主体的概括同意。这种方法虽然极具效率,避免了频繁沟通带来高昂成本,但是同意俨然形同虚设。一方面,信息主体在个人信息处理前对于可能发生的风险无法充分理解;另一方面,信息处理者也同样无法完全预测个人信息的处理目的,所告知的内容并不完整。概括同意下,知情同意规则完全沦为了免责工具,只具有形式意义。动态同意则是通过网络技术手段,在个人信息处理者和信息主体之间搭建一个交流平台。在平台上,信息主体可以随时查看其个人信息处理的情况、阶段,个人信息处理者也可以随时在平台上告知个人信息处理的阶段和流程。倘若处理目的发生变化或者需要传输至第三方进行处理,个人信息处理者也可以在平台上通知信息主体。此外,信息主体还可以设置隐私偏好,选择告知的时间、频率以及内容,满足知情需要的同时,又不增添过多负担。在动态同意制度下,信息披露成了一个持续、开放的过程[15]。动态同意制度具有以下优点:第一,有效保障了同意的真实性。个人信息处理者随着信息处理过程的深入而逐步告知的方式有助于信息主体根据具体情景理解隐私风险,做出符合其内心真意的意思表示。第二,信息主体处于个人信息处理的中心地位[16]。在动态同意下,信息主体有着根据信息处理情况选择继续接受服务或退出的空间,而不是为了获取服务而不得不同意的被动地位。反倒是个人信息处理者,出于维护其用户资源的目的,会不断改进信息处理的安全性以满足用户的隐私偏好,二者地位俨然发生互换。第三,便于信息主体撤回同意。虽然我国《个人信息保护法》规定了撤回同意规则,允许信息主体随时撤回同意,但是由于信息主体和个人信息处理者之间缺乏沟通渠道,现实中并不存在一个有效的同意撤回机制。虽然信息主体可以通过限制手机软件访问权限来阻止其进一步收集个人信息,但对于之前已经收集到的信息仍无法干预。在动态同意制度下,信息主体与个人信息处理者直接联系起来,信息主体可以在平台上直接表达自己的意愿,极大地便利了同意撤回权的行使。此外,有学者提出将动态同意与场景制度相结合,构建一种场景理论指导下的动态同意制度[17]。笔者认为,这一观点值得借鉴。CPBR所规定的场景制度之所以难以落实,很大一部分原因在于其运行起来十分麻烦。信息处理无时无刻不在进行,隐私风险也随时可能发生,个人信息处理者需要及时反馈隐私风险并获取信息主体的意愿,倘若反馈不能及时获得,那么场景制度目标带来的信息高效利用价值即无法实现。动态同意平台恰好为其提供了一个有效的交流渠道,为场景制度赋予了可操作性。二者的结合可以将个人信息处理者和信息主体从频繁的告知同意中解放出来,进一步减轻双方的压力,使得应对隐私风险更加有的放矢。动态同意和场景制度的结合可以起到相辅相成的作用。

四、结语

知情同意规则根植于个人信息自决理念之中,有着悠久的历史。我国从2002年第一部提及“个人信息”的规范性法律文件《深圳经济特区人才市场条例》①开始,信息主体同意一直是个人信息处理最主要的合法性基础。时代的发展日新月异,大数据正以前所未有的方式塑造着社会,颠覆我们的认知,使以隐私政策和概括同意为代表的传统知情同意规则形同鸡肋。因而,对知情同意规则进行修正已成大势所趋。对知情同意规则进行修正是一个由浅入深的过程。《个人信息保护法》采取的做法是扩大个人信息处理合法性基础的范围,增加5种与同意并列的合法性基础。进一步的修正方法是借助信息技术的发展构建动态同意制度,将隐私政策的琐碎内容按照信息处理的阶段和流程分布告知,并通过单独同意取代概括同意。最后一种方法最为激进,使用具体场景中合理使用概念取代信息主体的同意,仅将同意作为应对风险的手段。这一方法最大程度保障了个人信息的流通与利用,促进了大数据产业的快速发展。

参考文献:

[1]宋旭光.论法律原则与法律规则的区分:从逻辑结构出发[J].浙江社会科学,2022(2):51-58,156.

[2]衣俊霖.论个人信息保护中知情同意的边界:以规则与原则的区分为切入点[J].东方法学,2022(3):55-71.

[3]徐雨衡.法律原则适用的涵摄模式:基础、方法与难题[J].甘肃社会科学,2020(2):21-28.

[4]雷磊.论依据一般法律原则的法律修正:以台湾地区“司法院大法官会议”释字362号为例[J].华东政法大学学报,2014,17(6):4-17.

[5]陆青.个人信息保护中“同意”规则的规范构造[J].武汉大学学报(哲学社会科学版),2019,72(5):119-129.

[6]张新宝.“普遍免费+个别付费”:个人信息保护的一个新思维[J].比较法研究,2018(5):1-15.

[7]郑佳宁.知情同意原则在信息采集中的适用与规则构建[J].东方法学,2020(2):198-208.

[8]邓矜婷.论大数据产业中个人信息自决权的有效性限制[J].江苏行政学院学报,2020(4):129-136.

[9]时明涛.大数据时代企业数据权利保护的困境与突破[J].电子知识产权,2020(7):61-73.

[10]维克托·迈尔-舍恩伯格,肯尼思·库克耶.大数据时代:生活、工作与思维的大变革[M].盛杨燕,周涛,译.杭州:浙江人民出版社,2013.

[11]宋祎晨.生物识别信息的安全风险及法律规制[J].河南牧业经济学院学报,2022,35(3):56-61.

[12]田野.大数据时代知情同意原则的困境与出路:以生物资料库的个人信息保护为例[J].法制与社会发展,2018,24(6):111-136.

[13]郭英,刘清华,姬现磊,等.基于手机加速度计的行人步态分析[J].中国惯性技术学报,2017,25(6):708-712.

[14]范为.大数据时代个人信息保护的路径重构[J].环球法律评论,2016,38(5):92-115.

[15]马新彦,张传才.知情同意规则的现实困境与对策检视[J].上海政法学院学报(法治论丛),2021,36(5):99-109.

[16]石佳友,刘思齐.人脸识别技术中的个人信息保护:兼论动态同意模式的建构[J].财经法学,2021(2):60-78.

[17]姜野.由静态到动态:人脸识别信息保护中的“同意”重构[J].河北法学,2022,40(8):126-144.

作者:张建文 宋祎晨 单位:西南政法大学 民商法学院