1. 个人信息保护知情同意原则概述
1.1. 知情同意概念
知情同意原则又称为告知同意原则,是以信息自决为核心的制度建构,即在个人信息处理过程中,信息业者应充分尊重信息主体知情权,向信息主体告知其处理行为目的、范围、方式等事项,并征得信息主体同意的机制 [1] 。这代表了信息业者只有在充分尊重数据用户的权利、应用范围和处理方法,以及与处理和同意有关的其他事项的情况下,才能够处理数据主体的信息,未经当事人同意而处理信息主体的个人信息是违法的行为。
1.2. 知情同意发展历程
知情同意原则在每个领域,如医疗伦理方面、个人数据保护方面、消费者保护方面都有所体现,因此每个领域的知情同意原则的起源也各不相同。本文主要研究个人信息保护方面知情同意原则的起源及其发展。
(一) 国外发展沿革
在个人信息保护领域的知情同意原则最早起源于1970年德国黑森州所颁布的《数据保护法》,目前已经成为绝大多数国家个人信息保护法承认的基本规则。而后具有代表性的欧盟1995年《个人数据保护指令》以及美国众多分散式立法,如《健康保险流通和责任法》(HIPAA)、《视频隐私保护法》(VPPA)等亦纷纷效仿。
(二) 国内发展沿革
我国立法来看,2012年全国人大常委会通过了《关于加强网络信息保护的决定》,首次在法律层面将信息主体的“同意”作为我国个人信息处理的合法性基础。而后,《消费者权益保护法》第29条、《网络安全法》第22条、《民法典》第1053条、《征信业管理条例》第12条、《关于加强网络信息保护的决定》第2条、《电信和互联网用户个人信息保护规定》第9条以及作为推荐性国家标准的《个人信息安全规范》第4(c)条均对知情同意原则作出了明确规定 [2] 。从上述立法的时间线及内容可以看出,我国正日益重视个人信息保护的立法进程,并且仍在不断加大保护力度。
1.3. 知情同意正当性基础
知情同意的正当性基础,即知情同意原则之所以能够适用的理论条件和依据,目前学界的共识主要集中于两个理论,分别是信息自决理论和信息不对称理论。
(一) 信息自决理论
信息自决理论是1971年在德国的《个人信息保护法草案》中所提出的,该理论的提出正是顺应了那个普遍重视人格权利的年代的时代要求。根据信息自决理论,只有在信息主体允许的情况下,组织和个人才能处理个人信息。信息自由是个人的选择,是属于个人隐私的一部分。因此,侵犯了个人信息自决权就等同于侵犯个人隐私,从而侵犯了个人的人格尊严。只是信息自决理论作为知情同意原则的正当性基础之一,该理论并非完全等同于知情同意原则,二者在对于个人信息的控制程度上仍存在一定的区别。信息自决理论主张的是对于个人信息的绝对掌控,如何处理个人信息完全由信息主体自己做决定,决定的方式单一并且决策空间也不足,容易出现决策风险。而知情同意原则为信息主体提供了一个独立决策的空间,可事先对个人信息的处理情况进行预判,这不仅有利于保障个人知情权的行使,而且有利于降低信息被过度使用的风险。
(二) 信息不对称理论
信息不对称理论是指现代市场经济条件下,不同的市场主体之间对其所认识和掌握的信息内容存在一定差距,该理论规定了各主体之间的权利和义务。在实践活动中,不同的社会成员对信息的掌握程度存在差异,从而导致了信息资源在社会层面分布不均的情况。在社会活动中掌握更多信息资源的群体往往处于优势地位,反之则处于劣势地位,由此可能引发道德风险或逆向选择 [3] 。对应到当今社会现状,那就是信息主体目前普遍依赖于各大平台所提供的第三方服务。虽有法律规制,但由于客观存在的资源分布差异以及对于第三方服务的依赖性,信息主体最终还是被迫接受信息控制者的支配。
2. 知情同意立法现状分析
2.1. 《关于加强网络保护的决定》
该决定于2012年做出,是我国首次将知情同意原则引入到个人信息保护领域的文件,是个人信息保护知情同意原则在我国开始发展的起点。
这一决定首次在立法层面确定了个人信息的概念,同时对网络信息利用主体如何利用个人信息提出了要求,即在利用和处理个人信息时,必须提前告知信息主体将来可能会出现的情况,在经过信息主体的认可以后才可进行处理,并且对于个人信息的保护范围也有所扩大。这个决定着重强调了信息主体的同意权利和信息处理者的告知义务,对之后我国的个人信息保护立法思路产生了深刻影响。
2.2. 《民法典》
人格权独立成编是我国《民法典》的重大特色,其中第1035条规定了个人信息处理的原则和条件,便是知情同意原则在我国《民法典》的体现了,这代表着个人信息保护开始了系统性的立法,而知情同意则是这一严密系统里的重要组成部分。其主要有四个创新之处:第一,明确了个人信息权益的性质,包含了人格利益、经济利益和精神利益三重属性;第二,区分了个人信息的类型,即私密信息和非私密信息;第三,明确了信息主体的权利义务;第四,规定了个人信息的侵权免责事由。
2.3. 《个人信息保护法》
《个人信息保护法》首次在法律层面上确立了个人信息处理的合法性依据,并以知情同意原则为核心,完善了我国的信息处理规则,以平衡个人信息保护与利用,充分实现保护个人信息权益的立法目的 [4] 。
作为我国首部个人信息保护的专门法规,其主要有五大创新之处:第一,划定统一标准,除明确规定的例外情形之外,信息主体仅在个人信息处理活动中才享有部分权利;第二,采用关联说认定保护范围,将个人信息划分为已识别和可识别信息;第三,采用了以属地管辖为主,保护性管辖为辅的管辖原则;第四,赋予了信息主体明确的权利,如知情权,决定权和限制他人对个人信息处理的权利;第五,规范知情同意原则内容。
3. 知情同意原则的局限与建议
3.1. 知情同意原则的局限
知情同意原则已经在世界上绝大部分主流国家的立法中有所体现,并且日益成为个人信息保护立法领域的通用主流规范。但实施中,知情同意原则并没有达到期望中的效果,主要原因是因为知情同意原则存在其自身的局限性以及在实施过程中对于个人信息控制以及信息流动利益的规范程度不平衡。
从民事法律关系这一角度来看,民事客体至少应当具有确定性、特定性、独立性,而个人信息则是属于是欠缺的状态,并不能成为合格的民事客体。而在信息自决理论之下,知情同意原则被定性为财产规则,也就是说信息所有者作为法益拥有者,必须要通过自愿让与才能使法益发生变动,而不能为了公共利益而不经过法益拥有者使其发生变动。但是由于前文所提到的,个人信息被视为民事客体所必需的基本要求即确定性特定性以及独立性这三性的问题上处于一种欠缺的状态,并且无法通过自身来补充这三性。由此得来,个人信息不能被简单地视作财产又或者是其他纯粹的民事客体,如果采用单一的财产规则适用于个人信息保护领域,那么知情同意原则就不能发挥作用。
日常生活实践中,由于信息所有者个体之间的差异,主要集中在学历、思维逻辑、社会经验方面上的差异性,这会导致个人信息保护知情同意原则所发挥的效果参差不齐。一方面是信息个体之间的差异会导致他们利用知情同意原则的程度不同,那么就会导致个人信息保护的效果也不尽相同。
3.2. 引入优位利益豁免规则
(一) 优位利益豁免规则概念
优位利益豁免规则主要是指信息处理者在经过相关的利益识别、对比后,如果能够通过特定的标准认定其处理个人信息后所能保护的利益能够高于个人信息主体的利益,那么信息处理者就有权不需要经过信息所有者的同意而处理信息所有者的个人信息。该规则的目的是在现有的个人信息保护的强度基础上,弱化对信息所有者的保护力度,平衡对信息主体的过度保护,促进个人信息的流通和利用 [5] 。
(二) 优位利益豁免规则的现实意义
优位利益豁免规则可以促进个人信息高效率的流通。在个人信息保护领域,目前出现的主要问题之一就是无法科学的兼顾对个人信息权益的保护以及合理的促进信息流通。如果说知情同意原则是针对信息所有者的积极赋权,那么优位利益豁免规则就是针对信息处理者的积极赋权。通过优位利益豁免规则信息处理者就可以实现上文所说的,通过特定的方式协助信息主体进行对自己个人信息的处理,即代替信息所有者直接对某些有利于公共利益的信息进行处理,这毫无疑问地会极大地提升社会对于个人信息流通和利用的效率。
除了信息主体对于个人信息享有广泛而自由的权利以外,信息处理者在处理个人信息上也应当享有某些对等的正当利益。比如抖音短视频通过大数据计算,推送给用户更能投其所好的短视频一样,而且用户也同样可以通过对某个短视频点击喜欢或者是不喜欢来提醒大数据,强化大数据对于该账号的喜好内容和点赞习惯。现在基本所有的短视频平台包括网购平台都在积极主动地用大数据来清晰用户画像,从而促进商业运营效率的提高,这都是法律所承认的、非特殊情况不能随意扼杀的营商自由。
3.3. 优位利益豁免规则构建
(一) 优位利益的确认
因为个人信息中所蕴含的利益并不是某种单一的利益,而是一种复杂的,多元的利益。因此在不同的情境之中,就要在不同的利益之间进行价值排序,一旦某一利益经过价值衡量后认定高于其他利益的,那么该种利益即为获得优位利益地位。在某些情况下,有利于社会公众的个人信息的流通和利用甚至会优先于信息主体对个人信息的控制和保护,这样可以极大地平衡目前这种过度保护信息主体的利益而压制信息流通的局面。
(二) 信息处理者的义务
在个人信息保护中一旦采用了优位利益豁免规则,配合上信息处理者远高于普通群众的信息处理能力和体系,其权利一定会被放大,因此必须对信息处理者所需要承担的义务做出更为明确且严明的规定来限制将来可能会出现的权力滥用的情况 [6] 。
在优位利益地位确认阶段,信息处理者在此阶段必须审慎开展识别确认工作,不但要将认定优位利益地位的标准公开化,其进行确认的程序也必须要公开透明,全程都需要做好数据记录,并且随时接受利益相关者的监督和检查。对优位利益地位的确认过程和结果不仅要书面送达信息主体,同时还应当以书面的形式送达给当地的行业管理协会以及县级以上的信息主管部门进行备案登记。如果能取得一定范围或路径上的行政许可的,只需要事前向相关部门登记备案即可。采用上述方式对信息处理者的义务进行明确规定后,一方面便宜于时候的审查监督,另一方面也便宜于信息主体多渠道行使知情权查阅权等。
(三) 对优位利益豁免规则的制约
需要明确的是优位利益豁免规则其存在的目的主要是是为了促进个人信息的流通和利用,而对于个人信息的保护与控制并不是其重点所在。处于绝大部分信息主体本身就处于弱势地位的考量,加入此规则后只会让信息主体的力量更为羸弱。因此必须对优位利益豁免规则作出一定的制约。本文主要通过增加信息主体的自我救济方式和加强政府的监管力度两个方面来对优位利益豁免规则进行制约。
一方面,本文认为信息主体除了享有对信息处理者进行个人信息处理的标准、程序以及结果的知情权以外,还应当再此权利上衍生出相应的反对权。所谓的反对权是指当信息主体认为信息处理者违反了任何相关规定又或者是损害了其利益的情况下都有权做出反对,要求信息处理者暂停处理,并承担相应的举证责任。如果信息处理者能够证明其进行的信息处理方式和结果是符合既定标准和程序的,那么就可以证明信息处理者无过错,可以继续进行个人信息处理工作。这种反对权是不同于拒绝权的,拒绝权一旦行使,处理者就只能停止处理工作,无法继续个人信息处理工作。如果赋予了信息主体以拒绝权,这显然是违背了增设优位利益豁免规则的初衷,也就是促进个人信息的流通与利用这一目的,而与之相比,反对全就很好地契合了该初衷,一方面保证了大部分情况下个人信息可以有效的流通和利用,另一方面也能保证信息主体在真正遇到不公的情况下有救济途径可用。
在另一方面,如果确有对信息主体不公的事情发生,信息主体主张反对权以后,并不能仅仅依靠信息处理者自身的自觉性。如果信息处理者足够自觉,就不会发生信息主体遭遇不公并且主张反对权的情形了,当然在此处我们需要排除恶意反对的情况。此时需要强大的外力来促使信息处理者不得不停止侵权的脚步,因此我们要加强政府的监管力度 [7] 。信息主体在主张反对权无效时,可以向县级以上信息管理部门申诉,相关部门应当在限定的时间内及时查明并予以救济。
4. 结语
不可否认,知情同意原则对于我国个人信息保护实践的是具有显著的积极意义,但是随着社会的发展和思想的解放,个人信息的流通和利用必然会成为主流趋势,传统的对于个人信息绝对的保护和控制在面对未来的社会将会面临着“失灵”的风险。增添了优位利益豁免规则可以有效地缓解规制失灵,同时将规制的重心向后调整,这样既可以促进个人信息的流通和利用,使《个人信息保护法》能够在不远的未来适应社会发展的规律,又可以在流通和利用中保证对其他信息主体的救济,最大限度地提高生产效率的同时又减少对相关主体的损害,是符合时代要求的数据治理办法。