1. 引言
个人信息保护制度的核心即知情同意规则,为此该规则成为学界研究的热点。《个人信息保护法》出台后,部分学者对于知情同意规则呈否定批判态度,例如在《个人数据保护中同意规则的“扬”与“抑”——卡–梅框架视域下的规则配置研究》一文中,丁晓强学者主张知情同意规则陷入现实困境,并不能发挥其应有的实际作用 [1] ;宁园在《个人信息保护中知情同意规则的坚守与修正》中提出学术界针对知情同意规则的批判主要集中于形式大于实质、妨碍数据经济发展、违背个人信息的社会属性三个方面 [2] ;姚佳在《企业数据的利用准则》中主张暂时搁置同意的问题 [3] ,甚至有学者主站废除知情同意规则。然而目前学界多数观点主张对知情同意规则进行修正和完善,范海潮、顾理平在《探寻平衡之道:隐私保护中知情同意原则的实践困境与修正》一文中,提出知情同意规则存在“知情”鸿沟、“同意”失灵、“执行”漏洞等现实困境,需要对其进行修正 [4] ;高富平在《个人信息保护:从个人控制到社会控制》一文中明确了个人信息的双重法律属性,主张以社会控制论代替个人控制,进而推动个人信息保护立法 [5] 。在实践运行中,知情同意规则确实存在规则运行成本过高、部分信息处理者“默示同意”、同意的有效性不足等适用困境,我们应该客观的看待该规则在APP隐私政策中的作用,寻求纾解困境之路径。
2. 隐私政策中知情同意规则适用困境
在数字经济时代,APP在为信息主体的生活带来便利的同时,亦催生一系列问题。知情同意规则既可以判断个人信息处理正当性基础,又可以保障信息主体自决权的行使。知情同意规则,有学者称其为告知同意原则 [6] 或知情同意原则 [7] [8] ,也有少数学者称其为规则 [9] [10] 。随着互联网技术的发展,信息处理者面对的个人信息愈加繁杂,在信息个人信息保护的过程中,知情同意规则的适用局限不断放大,最终演化为适用困境。
2.1. 规则运行成本过高
对于信息处理者而言,其履行告知的目的仅在于“规避法律风险” [6] ,为其处理个人信息行为寻求合法可能性,然而,《个人信息保护法》的立法目的则在于通过知情同意规则,促进个人信息保护,其与立法理念相背离。因此,信息处理者提供的隐私政策通常信息冗长、行文复杂、用语专业晦涩,造成信息过载。规则运行成本,在信息主体方面表现为“知情成本”,信息主体阅读隐私政策所花费的时间精力成本,即信息过载导致的规模效应 [11] 。据报道,在我国,网民人均安装63款手机应用程序1,其中大多数APP隐私政策或用户协议均有较长篇幅。信息主体面对海量的隐私政策条款不知所措,导致接受者随意浏览、挑选信息甚至放弃阅读,影响告知同意背后的基本机制的实现。例如,淘宝的隐私政策字数达到179,00字,哔哩哔哩隐私政策字数更是高达20,370字。若是以每个APP隐私政策一万五千字计算,则信息主体需要阅读94万字的隐私政策文件,加之复杂专业的文字表述无疑增加了信息主体的阅读和理解的时间和精力成本。信息主体的知情成本过高,加上潜在风险的遥不可及,造成信息主体基于成本和效益的考量通常采取一眼扫过忽略潜在风险即勾选“同意”按钮。
2.2. 部分信息处理者“默示同意”
个人信息的使用需要经信息主体“同意”,信息主体享有该信息的使用决定权,包括是否允许他人使用、如何使用 [12] 。随着网络技术的发展,默示许可逐渐成为一种实践,包括Google等在线搜索引擎在搜索、索引、缓存网站时,所适用的就是“默示许可” [11] 。就同意方式而言,部分信息处理者采取隐私政策字体过小、设置隐蔽、条文冗长、自动勾选“默示同意”按钮等行为,并未充分履行告知义务。在知情同意规则中,信息处理者的告知行为关系到用户能否知情。以孙某诉爱奇艺公司一案为例,爱奇艺公司曾经以“开通会员,免除广告”等用语吸引用户购买会员,原告孙某在开通会员后,发现爱奇艺公司仍然在视频观看过程中投放无法跳过或者关闭的广告,孙某认为与爱奇艺公司在隐蔽位置通过会员协议方式对其“免除广告”的权利进行限制,却未尽到明显的提示说明义务,与其承诺不符,侵犯其知情权,遂诉之。法院认为,爱奇艺公司在付款界面提供的《VIP会员服务协议》对其权益介绍、免除广告的含义做出明确说明,消费者可通过查看服务协议进行了解,爱奇艺公司已经履行了告知义务,主观上不存在欺诈消费者故意 [13] 。再者,在支付宝“年度账单”事件中,其“选择退出”选项位置非常隐蔽,字号偏小、字体颜色趋近背景颜色,大多数用户并不知情其在查看年度账单时,“默示”同意签订《芝麻服务协议》,并无及时“选择退出”的权利。由此可见,“默示”同意在实践中已成为部分信息处理者免责的避风港,缺乏显著的告知形式,只要勾选、点击或未明确“选择退出”即视为信息主体同意隐私协议的行为,并不能很好地保障用户的知情权。
2.3. 同意的有效性不足
首先,信息主体“被迫”同意。信息主体相较于信息处理者而言,通常处于劣势地位,其在信息势差方面,缺乏话语权。作为平台用户,信息主体如果不勾选“同意”平台隐私政策或用户协议,信息主体就无法享受平台提供的服务。信息主体选择空间的缺乏,全盘接受或全盘拒绝的选择方式,使得信息主体为获取信息处理者提供的服务,只能“被迫”同意隐私政策内容。
其次,信息主体对同意后果认知不足。在数字经济时代,信息处理技术不断趋于复杂。一方面,数据的聚合效应与变革性应用超出用户的理解能力与知识范畴。另一方面,信息的动态流转,加大了作为普通民众的信息主体对其信息安全认知和评估的难度,使其对其“同意”行为的后果难以做出准确的判断,进而导致其认知与结果存在偏差。
值得深思的是,信息主体在“被迫”同意和对同意后果认知不足等同意有效性不足的情况下做出的意思表示,会产生何种法律后果?能否认定其为意思表示瑕疵,进而撤销?
3. 知情同意规则的困境成因探析
3.1. 隐私政策缺乏统一规范
首先,信息处理者为了充分告知以达到免责,隐私政策的文本设计通常过于冗长,字数过多;在结构设计上,重要信息与次要信息混为一谈,权重失衡;在文意表达上,通常使用专业词汇,晦涩难懂,增加了信息主体的理解难度。不仅在无形中增加了信息处理者的运营成本,更是难以保障信息主体“充分”知情。在实际操作中,信息主体面对隐私协议仅有两种选择,对隐私条款内容全盘接受或全盘否定。信息处理者提供的通常是一揽子条款,并未经过类型化区分,信息主体只能同意或拒绝 [2] 。其次,在市场数据流动中,因为信息共享引发信息滥用或信息泄露问题屡见不鲜。工信部曾经通报,存在46款APP强行捆绑推广其他应用软件。依据《信息安全规范》,网络经营者向他人提供个人信息应当经过用户的明示同意。在司法实践中,部分信息处理者在隐私政策中对于关联方或第三方的界定模糊,各平台对于关联方的界定标准也不同。信息共享非常普遍,但部分信息处理者不会征得用户同意或者即使征得用户同意,但是却未明确数据共享的第三方范围等。这显然有违《信息安全规范》中关于个人信息共享的要求。
3.2. 知情同意与数据流通存在冲突
在大数据时代,信息在收集过程中,无法随时准确地知晓其收集和使用个人信息的目的。大数据分析的特点在于数据在分析之前是“没有目的”的,数据分析人员也没有能力知道结果如何。大数据时代,通过对数据的分析,发现看似无关事物,却存在关联性,由此获得技术创新的灵感。正是这种“无目的性”的数据分析消除了人们“前瞻性”的束缚,并促进了科技的创新和发展 [14] 。然而,在这种情形下,信息处理者很难在收集和使用信息前就明确收集目的。事实上,个人信息保护法的根本立法目的应为实现个人信息保护与信息自由流转利用之间的平衡,而并非单一地保护个人信息本身 [15] 。目前,在立法上,各国在数据收集和使用上均强调从伦理尊重向鼓励数据利用方向转变 [16] 。大数据时代可以创造出巨大经济价值得益于数据的流通,不同国家对数据立法的最终目标是在数据流通和个人信息保护之间寻求平衡。如果一味强调“知情同意”规则对个人信息的保护,将会阻碍数字经济的发展。
3.3. 行业自律规范尚存不足
《网络安全法》第11条鼓励行业协会制定行业标准促进行业自律。2011年,中国互联网行业协会制定《中国互联网自律条约》,以规范从业者行为,促进互联网行业健康发展。加强行业自律,有助于从源头上保障信息主体信息安全,但是该规范中仍存在问题。首先,自律公约中对于信息处理者采集个人信息的范围权限并未明确界定。例如,在实践中,美颜修图应用程序,对用户的通讯录、财务信息进行收集,明显超出操作系统所需权限。过度收集信息主体的个人信息的现象,在实践中屡见不鲜。其次,自律公约并未涉及隐私政策规范问题,导致部分信息处理者在隐私政策中设置不公平条款,侵犯信息主体的合法权益。例如,在隐私政策中常见的“最终解释权归本公司”“任何时候”等表述,以及在信息共享中,信息处理者并未明确第三方的权利、义务、责任范围等,侵害信息主体知情权。针对以上问题,需要完善行业自律规范以促进个人信息保护及行业健康发展。
4. 知情同意规则困境的应对路径
知情同意规则致力于保护个人信息权益,但在司法实践中存在适用困境。如何化解知情同意规则的适用困境,在《民法典》和《个人信息保护法》已经明确将其纳入的背景下,废除或放弃这一规则的观点显然已不合法理,本文认为可以从完善知情同意规则、健全行业规范方面寻找出路。
4.1. 完善知情同意规则
4.1.1. 完善告知义务,增加自主性选项
首先,隐私政策中的告知文字应当简洁易懂,一方面,可以使用通俗易懂的语言文字,减少晦涩用语;另一方面,对于专业词汇添加名词含义解释,将语句中的专业词汇通过超链接方式链接到名词解释处,优化信息主体阅读体验。其次,要补充告知内容,告知信息用途与流向,对潜在风险进行提示。信息处理者应当全面披露信息处理关联方或信息共享的第三方的有关信息。风险是一种损失的不确定性,也是成本的表现形式之一 [17] 。告知信息处理潜在风险,帮助信息主体做出理智决策。再者,丰富告知方式,实行持续披露。除隐私政策外,增加额外告知程序。譬如,当信息主体处理个人敏感信息时,通过弹窗或短信邮件方式,以显著、简短的内容向信息主体告知其处理行为的方式、目的、潜在风险等,完善告知义务履行方式。最后,App用户作为个人信息安全风险的最终承担者,其应当享有撤销同意的权利 [2] 。信息处理者应当为信息主体增加行使撤销权提供技术条件,在平台中设置撤销同意选项。
4.1.2. 引入隐私风险评估机制
隐私风险评估机制,是指使用行业中的隐私风险评估工具来评估处理风险性与合理性,将最终的风险等级划分为高、中、低等三种类型以对应不同级别的信息处理模式。风险评估机制实际上使得信息处理者突破个人信息处理的“最小应用”原则,个人信息的利用不仅局限于“原始收集”目的,发挥个人信息的价值最大化 [8] 。另一方面,引入隐私风险评估机制,可以引导信息处理者在经营过程中衡量其隐私政策带来的风险并建立相对的应对措施。应当考虑在明确的风险评估标准上,引入成熟的隐私风险评估工具,针对具体化环节和场景提出不同的要求 [8] 。
4.1.3. 落实第三方信息处理者责任
个人信息控制权的保障,需要进一步落实第三方信息处理者责任。首先,明确信息流转中各方责任。信息主体将信息授权给信息处理者,那么信息处理者就应当承担起“信息管理人”的责任,监督信息流转过程中的第三方对信息主体的信息的安全保障。第三方信息处理者同样需要对信息主体持续保持信息披露,披露信息处理的范围、目的等。同时,信息主体可以通过系统设置实现各应用程序权限控制,通过限制访问权限等对超出必要限度的信息处理者行为进行限制 [18] 。
4.2. 建立同意撤销机制
同意撤销机制起源于“被遗忘的权利”。欧洲的《数据保护指令》规定信息主体有权要求信息处理者“修改、删除或者更正”其个人数据。2在GDPR中,被遗忘权被正式更名为删除权,这是GDPR在修订中增加的最为引人注目的权利,即信息主体有权要求信息处理者删除其在互联网上的信息,实现其被世界遗忘的功能。
同意撤销机制的建立可类比被遗忘权或删除权,赋予信息主体撤销其先前同意的行为,《民法典》第1037条明确规定信息主体享有要求删除其个人信息的权利。其行使删除权利的前提即信息处理者处理个人信息的行为违反法律、行政法规或双方当事人的约定。《民法典》并未涵盖同意撤销机制,该机制的建立可以有效促进信息主体自决权的实现,并促使信息处理者优化授权后的撤销机制,更加谨慎的处理个人信息 [19] 。
4.3. 健全行业自律规范
互联网的发展,给人们带来便捷的同时也带来了个人信息安全隐患,隐私协议过度索权、强制授权等均可能造成信息主体信息泄露。健全行业自律规范使得知情同意规则适用困境得到有效纾解 [20] 。
首先,自律公约应当明确信息处理者采集信息主体个人信息的范围与权限。关涉APP操作系统权限要隐私政策严格遵循个人信息处理的“最小应用”规则,对于违反该公约的信息处理者,任何单位和个人均有权向有关部门举报,有关部门视情况对其进行警告、通报批评等处罚,情况严重者将下架处理。其次,自律公约应当对隐私政策规范进行统一设置。例如,用词不得过于繁杂,以普通民众的一般认知作为衡量标准;全文不得过量使用专业用语,必要时使用专业用语,并进行相关的名词解释;在结构上,将信息主体敏感信息、重要信息置于每段显著位置,供信息主体查阅;在篇幅上,注意控制文字数量,以简洁明了、通俗易懂的语言适用于隐私政策。最后,还可以在自律公约附录中设置APP通用隐私政策模板,供信息处理者参考。
5. 结语
立法的脚步在某种程度上是必然要滞后于实践发展的,法律在实践中必然会因其不完备而出现不同种类和不可避免的瑕疵。在数字经济时代,人们均享受着信息带来的红利,但是对个人信息的收集却日益频繁,知情同意规则作为个人信息保护制度的核心,在实践中亦存在适用困境。知情同意规则的存废之争,本质上是个人信息保护与信息产业发展之间的价值冲突。在信息主体与信息处理者签订隐私政策或用户协议时,信息主体通常处于劣势地位,保障个人信息自决权,需要完善知情同意规则,规制APP依法合规收集和使用个人信息。而行业自律规范对于保障APP隐私政策合规发展至关重要。知情同意规则的完善有利于在个人信息保护和信息产业的发展之间寻求平衡。
NOTES
1参见远洋:《2020年第一季度中国网民人均安装63款APP》,https://www.ithome.com/0/486/083.htm,2020-04-19。
2《数据保护指令》。第12条规定:成员国应当保证数据主体有权要求数据控制者作出适当修改、删除或更正不准确、不完整的个人数据。