个人信息保护中知情同意原则的局限性及完善路径--中国期刊网

字体：大中小

首页> 原创作品> 正文

个人信息保护中知情同意原则的局限性及完善路径

发表时间：2020/12/17 来源：《文化研究》2020年10月上作者：石家乐

[导读] 近年来随着科技的发展，人们享受着移动设备带来的便捷，却也面临着成为“透明人”的风险。如何保护个人信息成为各界讨论的热点话题，包括《民法典》的制定也强调对个人信息的保护。

上海市华东政法大学法律学院石家乐 20042

摘要：近年来随着科技的发展，人们享受着移动设备带来的便捷，却也面临着成为“透明人”的风险。如何保护个人信息成为各界讨论的热点话题，包括《民法典》的制定也强调对个人信息的保护。在保护个人信息的相关制度中最重要的即为“知情同意原则”。然而知情同意原则在实践中存在着诸多局限性，其有效性十分有限，而通过引入“电子签名”等措施完善该原则可以更有力的保护个人信息，充分发挥其作用。
关键词：个人信息保护；知情同意；数据隐私
        一、问题的提出
        2017年杨某在J省T市一家联通营业厅办理宽带业务时被身为营业厅工作人员的李某所欺骗，办理了所谓的“350元充值400元话费”的联通官方业务。在未明确告知客户杨某的情况下，李某私自将身份证、银行卡与手机信息绑定在某金融APP上。
        杨某认为工作人员李某在其不知情的情况下绑定金融APP的行为侵犯了其个人信息，诉请法院依法对该行为进行处罚并要求李某解除绑定于金融APP上的银行卡。而李某则主张相关身份信息、银行卡信息等是杨某主动提供的，并未采取任何欺诈的方式，应该视为杨某同意。法院认为李某在未向杨某充分说明的情况下，将杨某的相关信息绑定于金融APP上违反了《消费者权益保护法》第29条第一款之“明示收集、使用信息的目的、方式和范围，并经消费者同意。”即被告负有向原告明示使用信息之目的、方式和范围的义务且要征得消费者本人同意。而李某所主张的杨某主动提供相关信息仅仅说明杨某同意为了办理联通官方业务而收集，换言之，杨某“同意”的并非李某使用相关信息绑定金融APP。因此，李某利用杨某相关信息绑定APP并未告知杨某且征得其同意，这一个人信息处理行为缺乏正当性基础，违背了个人信息处理中的“知情同意原则”。
        信息采集、利用，均绕不开“知情同意”。该原则在《消保法》、《网络安全法》、《电商法》、《民法典》中均有体现，可谓个人信息保护的“帝王条款”。知情同意原则的应用在各国立法中形式多样，主要区别体现于“明示同意”或“默示同意”。“明示同意”是信息采集者将主动征求用户的知情同意作为一项必须的采集正当化前提，否则采集行为就不具备合法性基础，这也被称为“知情同意的择入机制”。而“默示同意”是信息采集者“凭借用户的不作为表现径直推定用户的知情同意，转而赋予用户不同意继续被采集时的拒绝权利”，这也被称为“知情同意的择出机制”。我国的个人信息保护相关规定主要以明示同意为核心，但是均为概括性规定，需要向用户告知什么内容？用户“同意”之表示行为何以具有效力？是否包含着授权？同意的范围如何界定？知悉或同意如何判断？（有何构成要件）？相关法律均为作出规定。但是过分依赖知情同意原则保护个人利益亦存在一定的局限性。
        二、知情同意原则的局限性
        （一）该原则与个人信息保护的法律定位相悖。
        之所以要通过相关立法保护个人信息，旨在禁止不法、不当使用个人信息（Unlawful or unfair use），即个人无使用控制权，只有权拒绝加害性使用，来保障和促进数据的正常流通。在本案中绑定APP固然需要征得用户同意，但是在收集大量个人信息时遵循“知情同意”会产生巨大的成本，在大数据时代，信息收集者在收集初期明确告知收集目的是异常困难的。因为通过对海量数据的分析将并不具备关联的信息进行整合使得作出数据分析前没有绝对的目的表示。德国规定“虽然要求告知数据主体用以数据分析的具体目的，但是可以是框架性和方向性的，而不必穷尽所有的细节”云计算、大数据技术的发展大大提升了数据挖掘及分析能力法律制度的设计也必须与相应技术的发展水平相适应否定知情同意原则建立新的机制的呼声也日渐高涨如鲁宾斯坦（S.Rubinstein）就指出大数据时代的知情同意机制已经“无可挽回地走向瓦解，超出了任何规制的修复能力”我国不久前通过的《民法典》第1035条第一款第1项规定了知情同意原则的例外：“处理个人信息，应当遵循合法、正当、必要原则，不得过度处理......但是法律、行政法规另有规定的除外；”这种例外只存在于国家利用公权力或者为了公共利益处理个人信息的情形中，在商业领域几乎不存在这种“法定例外”。在大数据时代，知情同意的绝对化“不完全符合现实经济关系逻辑”。
        （二）知情同意的有效性往往难以得到充分的保证。
        显然，用户知情并表示同意的必然前提是信息采集者相应的告知，因此目前无论是理论界还是实务界都普遍承认信息采集者（通常是企业）负有告知义务。但是法律并未规定告知的内容与方式。这就使得知情并表示同意发生了“异化”，一方面，信息收集者为了精确履行“告知义务”，设计了冗长晦涩，信息量巨大的隐私政策、使用协议告知相关信息的采集状况。例如每个人日常频繁使用的聊天工具——微信，其《隐私保护指引》用一行并不明显的小字藏在“设置”栏的二级菜单中，并且内容繁多。还有2019年12月11日生效的最新版本淘宝网的《隐私权政策》包括九个部分，高达1.5万余字，《京东隐私政策》包括八个部分，1.6万余字。另一方面，用户又被“知情同意原则”要求阅读生涩难懂的隐私政策说明，而缺乏相关法律知识的一般用户既不感兴趣又不甚了解。更不用说，各种各样的APP，相关服务使得用户不得不频繁地“同意”，这使得用户逐渐地将知情同意视为了一种负担而非对自身权益的保护，为了尽快地使用相关服务或产品，用户往往走马观花的浏览相关被“告知”的内容，然后匆匆点击同意。至于真的同意与否，并没有人在意，这种的同意泛化实际上就相当于没有同意。作为表示“同意”的前提环节，“知情”环节上存在的瑕疵甚至说形式化使得用户基于不知情、知情不充分所表示的“同意”在效力上亦受到了广泛的争议。在实践中，为了避免冗长的阅读环节，对于一般数据可以通过“默示方式”进行收集，但是默示不等于知情，对于“一般数据”之界定也存在着一些争议。如在浏览网页的时候网络运营商会利用cookie收集用户之个人信息，而用户并不知道上网浏览记录作为一种“一般数据”被运营商利用cookie技术收集，用户对此是“默示同意”的，这显然有待商榷。
        （三）知情同意原则前置性的形式限制了同意的有效性。
        当前采集数据这一在收集前征得用户同意前置性的形式，看起来似乎充分尊重了用户的知情同意权，但实际上并不能保证用户知情同意的有效性。“‘知情同意’作为一种行为，就像一道‘闸门’，只要作出表示知情并且同意的行为，其在法律上就会产生相应的效力，也由此产生了个体‘知情’的形式与实质的冲突。”
        “用户同意”规则是在用户同意基础上对信息的收集、处理，所以该规则应建立在信息主体能同等使用服务的提前下，即信息主体无论是否同意，均能直接享受服务，而不会因为作出不同意的选择而影响服务的质量，甚至是根本不能享受该服务。然而在实际过程中“用户同意”规则演变为“用户不同意即不可以接受同等服务”，这也就导致知情同意原则被削弱为只是企业的告知，而不能体现用户的同意，大大降低了信息主体在个人信息保护活动中的参与度和选择性。
        面对各种各样的隐私条款时，知情同意原则之所以沦为形式，无法有效发挥其作用，原因是违背了该原则设立的初衷。知情同意作为一项触发性规则，即信息收集者为信息主体提供服务的最初目的，并不是为了收集、使用其个人信息，而是在提供服务的过程中，因为需要收集、使用信息，而触发了知情同意原则，不会因为用户是否同意收集而影响服务。然而，在实践过程中则成为一项只要取得用户同意就可以收集、使用用户个人信息的免责性规则。

期刊文章分类查询,尽在期刊图书馆

在某种程度上而言，知情同意并没有成为对信息收集者的制约，反而成为了信息控制者超越权限使用用户个人信息的正当理由。无论提供的服务是否需要收集、使用个人信息，这种收集行为都成为了必要的，都进行“用户同意”的规则。这就导致了知情同意原则被滥用，实践中的同意很难起到应有的保护个人权益的作用。很多APP存在过度收集个人信息的状况，而这种情况都是我们所谓“知情同意”、“默示同意”之结果。
        （四）个人很难通过控制自己的信息，维护自己的权益。
        当用户为了享受某种服务或者使用某种产品知悉了信息收集者（企业）收集信息的目的并表示同意后，对于相关信息的二次使用是否需要继续明示“同意”相关法律缺乏规定。在相关案件中法院提出了“三重授权”之规则，即“平台方收集、使用用户数据需获得用户授权，第三方通过开放平台Open API接口间接获得用户数据，需获得用户授权和平台方授权。”，即用户——平台——用户，这虽然是一种为了更好的体现“知情同意原则”，避免其形式化的“主动授权”之规则，但是其具体操作十分困难。在个人信息利用如此成规模的、不确定性远大于确定性的行为中，又如何实现一种授权意义上的功能与法律效果？企业无法及时地，准确地向用户告知其信息的流向（况且也不愿意披露），面对如此海量、迅速的信息流通，这种三重授权显得捉襟见肘，所以作为个人信息的提供者，是很难控制自己的信息的。同时也引出了一些其他的问题，倘若企业将收集到的个人信息匿名化处理后再进行流转，是否还要征得用户的“同意”呢？换言之能不能构成一种知情同意的豁免呢？这不得不令人深思。
        三、知情同意原则的完善路径
        “在日常生活中，我们一般把没有充分理由否决他人所作的个人选择或没有获取对方的同意下做出影响他人的决定和行为视为道德错误”。“知情同意原则”的之所以受到广泛的重视体现于个人信息保护的分散立法之中是因为个人数据是人的延伸，而人应当独立自主（自治），因而个人数据亦应当由数据主体掌控，体现个人的意志。
如前所述，法律规定中对于知情同意原则的概括性规定以及知情同意原则本身所具有的一定局限性，导致了知情同意原则陷入了一种十分尴尬的境地。因此，对于知情同意原则的完善就显得十分必要，第三部分笔者将试图提出一些完善知情同意原则的路径。
       （一）在采集信息时应明示、清晰的告知用户。
        “知情”是同意的前提，提高用户对于同意的认知能力，必须要改变当前隐私政策，用户协议生涩难懂，冗长和看似于“免责声明”的文本，让用户真正在了解的情况下做出对“同意”的意思表示。例如欧盟在《一般数据保护条例》（简称“GDPR”）中要求企业在向用户要求同意时，“请求获得同意应当完全区别于其他事项，并且应当以一种容易理解的形式，使用清晰和平白的语言”。如果我们的某一行为有可能让他人陷入风险，那么我们事先必须征得他人的同意，否则我们在道德和法律上都是错误的。换言之，知情同意原则实质上就是一种对于信息收集者利用信息行为所带来之风险的知悉和承受。信息采集者应减少使用晦涩的法律术语或者计算机技术术语，采用日常生活中的文本。笔者认为释明收集信息之目的与方式并不难，只要用平白的语言如实告知采集信息之行为和潜在风险即可。这样既可以将用户从冗长难懂的文本中解脱出来，同时亦能减少科技黑箱带给用户的焦虑，清爽简单的文本也有利于那些缺乏专业素养的使用者阅读，这样才能充分保障用户在作出同意行为前已经“充分知悉”。此外，告知用户信息采集行为的文本应该置于显著位置，全面的展示给用户。
       虽然大数据时代的对于数据分析实现了从“样本”到“全本”的飞跃，这种“科学的第四范式”（Fourth Paradigm of Science）使得数据分析摆脱了“目的”限制，但是这并不意味着可以此为由拒绝告知用户采集信息之目的。有些企业在这方面含糊其辞，因害怕用户意识到风险而拒绝表示同意。虽然数据分析没有明确目的，但亦应该在相当程度上明确被采集信息的后续处理之过程，告知用户收集信息后将要用于何种用途，存在何种风险。特别是现在大型企业通过其一系列智能产品（手机、平板电脑、智能穿戴设备、智能家居设备）同时收集用户个人信息并进行处理，这些看似毫无关联的信息通过算法自动化处理融合后可以勾勒出个人清晰的画像，这种通过多种设备采集用户信息之行为以及后续可能的融合处理必须事先特别告知用户。
         （二）完善“同意”之表示。
        随着互联网、智能设备的普及，5G的应用万物互联的时代即将到来。在“知情”的基础上如何更好的清晰作出“同意”的表示行为，也是需要深入思考的一个问题。
对于不同年龄的人所做出的的“同意”的表示行为是否有效，在笔者看来，可以借鉴民法中关于民事法律行为效力的相关规定。如未成年人使用某种APP或某种服务时所作出“同意”之表示行为应该征得其法定代理人的同意。
        欧盟在《一般数据保护条例》中规定用户表示“同意”的有效行为主要有两种：一是声明同意，二是“通过某项清晰的确信行动”而“自由作出的、充分知悉的、不含混的、表明同意对其相关个人数据进行处理的意愿”。在网络页面上表现为“我同意”或“我知悉”的复选框，在APP上则体现为使用之前在相关隐私政策下方的“同意”按钮。用户通过点按相关按钮完成“同意”的意思表示。这种方式显得过于“形式化”，显然无法体现作为理性人决定之慎重。因此笔者亦赞同有学者提出的将电子交易中产生并发展的“电子签名”引入知情同意的框架内作为体现“同意”之意思表示的载体。因为“比起机械地点击页面或弹窗中的诸多选项，用户再以电子签名形式作出同意时，更能意识到该同意决定与自我之间的联系，以传递用户内心之真意”。在提炼关键信息，减少无关信息的文本基础上，可以通过现有的让用户浏览完整个文本后才能在点按或勾选“同意”。
        （三）同意的可期待性限制
        尼森鲍姆提出的个人信息保护的情景诚信理论认为，在不同的场景或领域下，个人信息保护具有不同的期待。即便用户因为繁琐的文本而不加思索的点击了同意，如果这是不符合期待的，即便用户点击了同意，也依然构成违反知情同意原则侵犯个人信息。正如上述案件中，如果原告充分了解、知悉被告将自己的相关信息绑定于金融APP上，那么他显然不会表示同意，这种“同意”是不具有可期待性的。
        四、结语
        个人信息的授权模式选择，根本上来源于大数据利用方式和价值生产的需要。大数据的生命力在于高度流动、广泛共享和充分挖掘，而个人信息安全的核心要义则在于信息主体对个人信息是否、何时以及何种程度上暴露于数字世界的实际掌控能力。信息自决固然重要，但是仅仅依赖知情同意原则非但不能较好的保护的个人信息，反倒使用户与网络服务提供者均无法各取所需。因此我们应当借鉴欧盟对知情同意原则的规定，进一步细化何谓知情，何谓同意，同时完善信息主体同意的意思表示，充分保障用户的知情权，这样也能够提高对个人信息的利用效率，更加保护用户个人信息安全。
参考文献：
[1]林洹民. 个人信息保护中知情同意原则的困境与出路[J]. 北京航空航天大学学报：社会科学版, 2018(3):9-9.
[2]万方. 隐私政策中的告知同意原则及其异化[J]. 法律科学(西北政法大学学报), 2019(02):63-70.
[3]丁晓东. 什么是数据权利——从欧洲《一般数据保护条例》看数据隐私的保护[J]. 华东政法大学学报, 2018(04):40-54.
[4]郑佳宁. 知情同意原则在信息采集中的适用于规则构建[J].，东方法学，2020(02)
[5]姚佳. 知情同意原则抑或信赖授权原则[J]. 《暨南学报》:哲学社会科学版，2020(02)