2021-03-02 17:10:57 來源:中國周刊
韓旭至:法學博士,華東政法大學法律學院特聘副研究員,數字法治研究院副院長。
告知同意在個人信息保護中的法律地位存在較大理論爭議。有學者認為,告知同意是個人信息保護的基礎,屬于個人信息保護的重要原則。亦有學者認為,告知同意已經無法實現其原有功能,應弱化告知同意,轉為適用風險規則。該爭議已對我國個人信息保護立法產生了不容忽視的影響。2020年第十三屆全國人民代表大會常務委員會第二十二次會議對《中華人民共和國個人信息保護法(草案)》(下稱《草案》)進行了審議。《草案》雖未直接將告知同意規定為個人信息保護的原則,且第13條在告知同意以外列舉了5類合法處理個人信息的情形,并擴充了《中華人民共和國民法典》(下稱《民法典》)第1036條之規定,但其他合法的個人信息處理事由并未貫穿《草案》始終。“立法說明”仍然認為,告知同意是個人信息處理規則的核心,然而,告知同意機制已不適應現代信息處理的發展,難以實現其原有功能。因此,必須從告知同意的適用困境出發,對告知同意機制的理論基礎進行辨析,以正確處理告知同意與數據合法處理的關系,構建適應于時代發展的個人信息保護制度。
一、告知同意的內在缺陷
運用“法律—社群規范—市場—架構”的網絡法基本分析框架,告知同意應放在具體應用場景中進行分析,以判斷這一機制是否與用戶習慣、交易模式、數據處理技術相適應。分析可知,告知同意無論是作為一種授權機制抑或視為一種免責/問責機制,均面臨困境,實難以成為個人信息保護的基點。
(一)作為授權機制的失靈
第一,用戶難以在獲得有效信息的基礎上作出同意的授權。為實現“告知—同意”,各類App、網頁都會展示相關“隱私政策”,常常需要用戶去點擊同意相關條款。為避免用戶不經閱讀就直接點擊,不少條款還需要用戶下拉至底端或等待若干秒以后才允許點擊同意。即便如此,實際上也并沒有多少用戶真正閱讀這些條款。如果一個人將其1年內遇到的所有“隱私政策”全部閱讀完畢,不眠不休地進行也將需要花費數月時間。由此可見,“隱私政策”實際上也是不可讀的。同時,若對“隱私政策”進行閱讀便會發現,其條文充斥著各種“法言法語”,具有較強的專業性,對于普通群眾而言,也是讀不懂的。由此可見,“隱私政策”實際上無人讀、不可讀、讀不懂,告知同意無法實現其應有功能,難以通過該機制保護個人信息。在這個意義上,告知同意也被稱作“控制的幻象”。
第二,由于用戶習慣不經閱讀即點擊同意,告知同意機制存在被濫用的危險。企業常常在“隱私政策”中設置不合理、不公平、侵害個人信息權益的條款。最為典型的案例是,2019年“ZAO”App極其不規范的“隱私政策”即受到了廣泛關注。該款“AI換臉”App在其“隱私政策”中約定,用戶上傳相關照片后,即視為同意授予“ZAO”及其關聯公司以及“ZAO”用戶在“全球范圍內完全免費、不可撤銷、永久、可轉授權和可再許可的權利”。事實上,即便是大型平臺企業的“隱私政策”也存在眾多對個人信息保護不利的約定。如百度規定,其可使用算法抓取用戶信息。支付寶也規定,其有權向關聯方、合作伙伴提供所采集的用戶個人信息。顯然,這些條款在披上告知同意的外衣后,將對個人信息保護形成更大威脅。
第三,用戶對“隱私政策”難以真正行使拒絕權。雖然,理論上用戶若不同意“隱私政策”即可拒絕。但實際上,網絡服務提供商所提供的協議通常為一攬子安排的格式合同,并未提供菜單式選擇,用戶往往面臨“要么同意,要么放棄”的困境。對于許多App的使用,實際上用戶是無法拒絕的。例如,當今微信、釘釘、支付寶等App已經緊密嵌入人們生活之中,若無法使用這些產品,將嚴重影響工作和生活,甚至成為“數字弱勢群體”而被邊緣化。在這個意義上,也可以說用戶的同意是“被脅迫”的。在“霸王條款”面前,告知同意形同虛設。
第四,告知同意機制偏重于數據收集環節,難以適應大數據處理的發展要求。大數據分析往往不限于數據收集目的,對海量數據的二次利用展現出復雜性、多元性與流動性的特征。信息處理者既難以在數據收集時要求信息主體給予廣泛的授權,也難以在信息處理時獲得信息主體的二次授權。此時,不僅告知同意的難度加大、成本上升,強調告知同意還可能會阻礙大數據產業的發展。此外,大數據時代中個人信息與群體數據密切相關。在標簽化分類之下,一個人可能同時屬于多個群組。其基于告知同意作出的某個決定,將同時對多個群組的數據分析產生影響。也就是說,針對個人的告知同意,將可能對群體利益產生影響。在這個意義上,技術倫理指出,“‘個人決定’將會轉化成一種‘個人—集體決定’”。因此,已難以允許僅憑個人意志就作出涉及他人利益的同意。
(二)作為免責/問責機制的失效
當前,告知同意已從一種失靈的授權機制轉變成為一種失效的免責/問責機制,無法全面回應實踐中出現的數據利用問題。司法實踐中,告知同意常被用于考察個人信息處理的合法性,成為企業處理個人信息的免責依據,或企業違反“隱私政策”處理個人信息時的問責依據。2016年,北京知識產權法院通過“新浪訴脈脈案”提出第三方獲取個人信息須堅持“用戶授權+平臺授權+用戶授權”的“三重授權”原則。《草案》第24條沿襲這一思路規定,個人信息處理者向第三方提供其處理的個人信息的,應當再次使用告知同意機制。然而,這一機制仍然存在忽視個人信息復合利益的問題。第三方只取得用戶同意而未取得原信息處理者同意時,能否獲取信息存在疑問。2017年華為公司未經微信同意,僅通過用戶授權的方式采集微信記錄,即曾經引發爭議。根據告知同意的邏輯,似乎三重授權之中的“平臺授權”并無必要,但這顯然與數據權利保護內容不符。從數據權屬的角度來看,告知同意之下企業似乎是基于繼受取得獲得數據權利,這又將與企業基于算法投入“勞動賦權”的原始取得邏輯相沖突。
此外,告知同意的授權范圍存在局限。以通信錄信息為例,記載的常常是其他人的個人信息,用戶的授權無法指向相關內容,其授權合法性存疑,然而,眾多社交軟件關鍵的商業模式即為通過用戶授權,獲取通信錄信息以進行推廣。2020年“凌某某訴抖音案”實際上已經涉及這一問題。該案中,與一般意義的通訊錄不同,凌某某在其通訊錄中僅保留了其自身信息,但該平臺在獲取相應信息后,基于其他人通訊錄中記載的關于凌某某的信息,對其推薦了“可能認識的人”。北京互聯網法院認為,抖音未基于告知同意而收集凌某某手機上的個人信息屬于侵權,但“可能認識的人”的推薦不構成侵權。然而,該案中法院實際上并未對基于告知同意獲取通訊錄中第三方信息的行為作出分析,僅以該推送未侵害生活安寧為由否定了凌某某的第二項主張,事實上混淆了隱私侵權與個人信息侵權的區別。在域外或我國特別行政區的相關司法實踐中,通訊錄的授權需要所涉信息主體的同意已獲得普遍認可。2016年我國香港法院在“梁竣杰案”中即認為,未經信息主體授權向他人展示第三人的名片,以供他人謄抄名片上的個人信息構成違法。2017年德國“WhatsAPP案”中,法院亦認為獲取通信錄信息需要獲得所有聯系人的書面同意。然而,告知同意的這一要求,必將對眾多社交軟件的商業模式帶來毀滅性的打擊。由此可見,即便是作為一種免責/問責機制,告知同意也難以回應實踐中產生的問題。
二、告知同意的理論誤讀
面對告知同意的困境,雖有學者提出場景化的且基于風險的分析路徑,但實際仍未脫離告知同意的制度。告知同意仍被部分學者奉為個人信息保護必須堅守的核心原則。甚至有學者將告知同意稱為“個人信息保護之魂”“個人信息保護大廈之基”,或稱“告知同意原則”是個人信息保護制度的“帝王條款”,如同意思自治在民法中的地位。事實上,無論是從個人信息保護理論體系還是制度規范體系來看,告知同意從來都不是個人信息保護的原則,而是一項具體規則。
(一)私法視角的誤讀
告知同意植根于個人信息保護的兩大理論基礎:一是歐盟個人信息保護體制中的個人信息自決權理論;二是美國法上的信息隱私權理論。從個人信息自決權來看,德國1983年“人口普查案”對現代個人信息保護的產生與發展具有重大意義。在對該案判決的解讀中,個人信息自決權的概念首次被提出。此后,個人信息自決成為域外個人信息立法的重要理論基礎。從1995年歐盟《數據保護指令》(Data Protection Directive,DPD)到2018年《通用數據保護條例》(General Data Protection Regulation,GDPR),均受這一理論的影響。從信息隱私權來看,美國1977年“惠倫案”確立了信息隱私權。隱私權被認為是個人對其個人信息披露的控制權。無論是個人信息控制權還是信息隱私權,均強調信息主體對信息的控制力,而告知同意被認為是個人信息控制力的核心。
基于上述邏輯,有學者進一步認為,信息主體的訪問權、可攜帶權和收益權等積極權能,以及更正權、限制或反對處理權和刪除權(被遺忘權)等消極權能,均源于告知同意。這一分析實際上是通過私法角度解讀個人信息自決權與信息隱私權,并在私法上強調個人自主決定的重要性。尤其是在混淆隱私與個人信息保護之時,極為容易將隱私保護的同意原則套用于個人信息保護之中。此外,部分學者將同意理解為授權,通過授權機制又進一步塑造企業數據財產權。甚至有部分學者將個人信息保護中的告知同意與患者知情同意權進行比較。
同上述理解相左,個人信息所涵蓋的利益多種多樣,是人格利益、財產利益、公共利益的復合。個人信息保護經過數十年的歷史發展,已經與傳統私法上的隱私保護相分離,經過公法上的個人信息保護制度的構建,最終形成了大數據時代個人信息的復合利益保護結構。無論在歐美還是在我國,個人信息保護均為公法色彩濃郁的規范。“人口普查案”與“惠倫案”均是經典的憲法案例。我國《民法典》已經意識到,單純的私法保護路徑較難在個人信息保護方面取得實效,《民法典》第1034~1039條亦不是以任意性規范為主的純粹私法規范。《草案》更是從新的技術時代出發,制定于新的制度環境之下,融合并兼顧了私法和公法的保護路徑,從體系性的角度對于重要的權利提供多維度的保護。
《草案》第1條即明確指出,在保護個人信息權益外,個人信息保護的目的至少還包括“規范個人信息處理活動,保障個人信息依法有序自由流動,促進個人信息合理利用”。《草案》中的個人信息控制權體系,亦并不能直接等同于私法上的個人信息權。個人信息保護制度中的告知同意與傳統私法上的同意不盡相同,是一種植根于公法規范的個人信息處理的合法規則。在這個意義上,方可理解《草案》第15條中,為何立法者對獨立作出告知同意的年齡標準采用了14周歲這一常見于刑事責任能力的標準,而沒有選擇與民事行為能力標準相一致(該條規定有待商榷,下文將作出分析)。從個人信息保護的多元利益出發,告知同意能且只能是信息處理的合法情形之一。
(二)數據保護制度的誤讀
在制度文本中,告知同意從來就不是個人信息處理的原則。1980年,經濟合作與發展組織“數據保護指導原則”規定了收集限制原則、數據質量原則、目的特定化原則、使用限制原則、安全保護原則、公開原則、個人參與原則、責任原則。1995年,歐盟DPD規定了數據質量原則、數據處理合法原則、敏感數據處理原則、告知當事人原則。2018年,歐盟GDPR規定了合法、公平和透明原則、目的限制原則、最小范圍原則、準確性原則、存儲限制原則、完整性和保密性原則。這些主流的關于個人信息保護原則的規定中,從未有出現告知同意的原則,即便透明原則或告知當事人原則中涉及了告知的內容,但其并未強調同意,至少在歐盟法中,告知同意一直以來都只是個人信息合法處理的規范之一。
或許就美國法的“公平信息實踐原則”(FIPPs)而言,“通知/知情”“選擇/同意”“接近/參與”“信息整全/信息安全”“執行/救濟”五項內容中,確有契合告知同意的要求,因此極易被誤讀。但相關要求應被解讀為個人信息保護的具體規則而非原則。首先,美國法上的同意,采取的是擇出(Opt-out)機制,與作為授權機制的擇入(Opt-in)有本質區別。其次,這種同意只是公平信息實現的一種具體方式,且告知同意的要求也不是絕對化的。
從法律原則與法律規則的關系來看,告知同意也不具有原則地位。在內容上,規則是具體明確的,而原則是高度抽象和概括的。告知同意是一項典型的具體制度,其有強同意/弱同意、擇入同意/擇出同意、特別同意/概括同意的區分,還有動態同意、空白同意、推定同意、單獨同意、書面同意等多種類型。在適用范圍與適用方式上,告知同意不具有統攝個人信息保護法的地位,只能以“全有或全無”的方式適用,并受個人信息保護原則的約束。告知同意本身決不能稱為個人信息保護的“帝王條款”。學界公認的個人信息保護“帝王條款”是“目的限制原則”。根據GDPR第5條第1款b項的規定,目的限制原則指“基于具體、明確、合法的目的收集個人信息,且隨后不得以與該目的相悖的方式進行處理”。我國《民法典》第1035條第1條第3項首次規定了目的限制原則的部分內涵,即處理個人信息必須“明示處理信息的目的”。《草案》第6條進一步拓展了《民法典》第1035條第1條第3項的規定,指出“處理個人信息應當具有明確、合理的目的,并應當限于實現處理目的的最小范圍,不得進行與處理目的無關的個人信息處理”。這一規定實際上結合了目的限制與數據最小化原則。目的限制作為基礎性原則,貫穿了個人信息保護制度始終。即便是主張告知同意具有原則地位的學者,亦無法否認告知同意受目的限制原則的限制。基于公共利益、履行法定義務、履行合同義務等無須告知同意的信息處理情形,也需要適用目的限制原則。
事實上,在我國的規范體系中,告知同意也只是個人信息處理的具體規則而非原則。《中華人民共和國網絡安全法》第41條規定了“合法、正當、必要”的三原則,《民法典》第1035條在此三原則基礎上,進一步明確了信息合法處理的要求。《民法典》第1036條更在告知同意以外列明了已公開信息、維護公共利益或信息主體的合法權益的免責情形。就個人信息保護規范體系而言,《民法典》第1036條存在的缺陷在于,一方面將個人信息合法處理情形規定為免責情形,另一方面未能周延地列舉個人信息合法處理的具體情形,并將信息是否公開的隱私保護要件不當地引入了個人信息保護范疇。對此,《草案》第13條通過6項規定較為明確地規定了個人信息合法處理的具體要求,包括告知同意、締約或履約之必需、履行法定職責或義務之必需、應對公共衛生事件或緊急情況之必需、公共利益實施新聞報道或輿論監督之必需、法律或行政法規所規定的其他情形。6項規定之間是并列的關系,不能把告知同意與其他條款理解為一般與例外的關系。由此可見,告知同意規則與其他個人信息保護規則一起,在諸多個人信息保護原則的統領下,共同服務于個人信息保護制度體系。
三、告知同意與數據合法處理的規則構造
有學者將當前學界所提出的應對告知同意困境的方式概括為“放寬同意的要求和形式”“降低告知的約束力”“用風險規則置換同意規則”,然而,前兩種路徑,都是從告知同意本身出發所提出的,未能完全把握個人信息保護制度中告知同意與其他規則的互動關系。風險規則的路徑,又試圖完全脫離告知同意,從而出現了忽略個人人格尊嚴保護,并難以有效約束“隱私政策”野蠻生長的問題。因此,在明晰告知同意的法律地位后,告知同意困境的最佳應對策略應為:一方面,在告知同意機制的內部改造中細化告知同意規則,以格式合同規范約束“隱私政策”;另一方面,充分把握告知同意與其他規則互動的關系,確立數據流通規則體系,引入個人信息保護設計。
(一)細化告知同意規則
就告知與同意的關系而言,我國應堅持擇入機制。在擇入機制中告知是前提和起點。在擇出機制中,實際上沒有告知也不存在同意,因此也被認為“以‘默示同意’為幌子,實際則背離了知情同意”。同時,我國個人信息立法以移植歐盟相關規定為主,又對截然不同的美國制度進行交叉引入,必將導致體系性混亂。在擇入機制的基本架構下,《草案》的告知同意規則應進行更為精細化的調整和完善。
第一,《草案》第14條規定了同意的實質要件為“特定、明確、自愿”,并在一般的同意規則外又指出了單獨同意和書面同意的特殊規定,然而,幾種同意形式在《草案》中體系混亂、關系不明。首先,書面同意可以刪除。《草案》僅在第30條規定了“法律、行政法規規定處理敏感個人信息應當取得書面同意的,從其規定”。其實,僅在此處強調同意的要式并無必要。其次,應對單獨同意與一般同意作進一步釋義和區分。《草案》規定,向第三方提供個人信息時(第24條)、公開其處理的個人信息時(第26條)、處理敏感個人信息時(第30條)、個人信息跨境時(第39條)需要取得單獨同意。由此可見,單獨同意對應的特殊的個人信息處理情形,伴隨有特殊的個人信息告知要求。因此,單獨同意實際上屬于一種特別同意,即要求將一切信息和可能風險告知信息主體,在“特定、明確、自愿”的基礎上,取得信息主體具體同意。而一般同意應理解為概括同意,雖然也要求“特定、明確、自愿”,但并不一定針對一個具體的事項,可以是針對將來信息處理行為概括的、一攬子的同意。
第二,《草案》第18條是對第7條透明原則的具體化。該條第1款規定了“個人信息處理者在處理個人信息前,應當以顯著方式、清晰易懂的語言向個人告知”的4個事項。前3個事項詳細列舉了告知的一般內容,第4項兜底性規定鏈接到向合并分立時的告知要求(第23條)、第三方提供個人信息時的告知要求(第24條)、敏感信息處理的必要性及對個人影響的告知要求(第31條)、數據跨境時的告知要求(第39條)等。該條總體上對告知規則進行了較為完善的規定。值得注意的是,由于《草案》第15條將14周歲規定為作出同意的年齡要求,因此“顯著方式、清晰易懂的語言”在針對未成年人之時應有更高的標準與要求。同時,《草案》第18條第2款僅規定“應當將變更部分告知個人”,實際上變更部分的告知方式也必須是“顯著方式、清晰易懂的語言”(第1款)以及“便于查閱和保存”(第3款)。
第三,《草案》第25條規定了自動化決策權,同時隱含了算法解釋權的內容,規定了“個人認為自動化決策對其權益造成重大影響的,有權要求個人信息處理者予以說明”。然而,信息處理者的說明義務對應的是客觀的重大影響,而非信息主體主觀認識的重大影響。實際上,《草案》在個人信息風險評估中的重大影響(第54條第1款第5項)、已公開的個人信息對個人的重大影響(第28條第2款)等規定中的“重大影響”均是客觀的標準。因此,建議將“個人認為”刪除,否則將造成說明義務適用前提不明;同時,對于“予以說明”的內容應進一步明確。此時的說明,并不要求公開自動化決策算法的內部機制,只應限于算法邏輯的說明。參照歐盟《監管目的的自動化個人決策和分析指南》規定,信息處理者只需要根據“若非A則無B”的反事實,以一個“沒有受過教育的門外漢”能理解的標準,通過簡潔、透明、易懂和容易取得的形式進行解釋。
(二)以合同法進行解讀
雖然個人信息保護法屬于公法色彩濃郁的法律,但亦無可否認其在屬性上兼具私法色彩,屬于領域法的范疇。因此,私法規范,尤其是合同法的相關規范,應與個人信息保護制度有機互動。在告知同意上,《草案》第14條將同意界定為意思表示,也就是說,在私法的角度,“隱私政策”應認定為合同。雖然,平臺規則的成立與生效受《中華人民共和國電子商務法》的特殊規制,但并不能否認“隱私政策”是平等主體之間通過意思表示一致達成的協議,經用戶點擊承諾后即成立。從合同法的角度,可對《草案》作進一步解讀。
第一,《草案》第15條似乎有兩種解釋的可能:一是以14周歲為標準界定同意的年齡標準;二是強調了信息處理者注意相對方年齡的義務,在相對方未滿14周歲時要求取得監護人同意。即便是采取后一種文義解釋,也必將引申出同意年齡標準的問題。雖然,《草案》并非私法,但為了與《草案》第14條的規定相一致,同意的行為能力標準也應與民事行為能力標準相一致,也唯有如此,《草案》才能與《民法典》相關個人信息保護規范相銜接。
第二,《草案》第16條規定了信息主體對同意具有撤回權,但此處的撤回不宜簡單理解為意思表示的撤回,否則根據法律行為理論,意思表示合法撤回后,合意不復存在,合同自始無效,進而使得信息處理者對于撤回前信息處理的合法性基礎不復存在,這顯然不合常理。因此,此處的撤回應理解為賦予信息主體任意解除權。由于該條將撤回的前提限于基于告知同意的信息處理,其充分為了保護信息主體的人格利益,因此不應對任意解除附加以其他限制條件。對于信息主體撤回同意的法律后果而言,對應的是不得繼續處理相關個人信息以及相關信息的刪除,然而,根據《草案》第47條第1款第3項的規定,信息主體撤回同意只是信息主體申請刪除個人信息的條件之一,也就是說,信息主體需要在撤回同意后另行申請才能行使刪除權。這一規定并不符合撤回的法律屬性。撤回后合法解除,信息處理者依法處理個人信息的基礎已經不復存在,而存儲也屬于《草案》規定的個人信息處理行為,因此個人信息處理者必須主動刪除相關信息,無須信息主體另行請求刪除。
第三,《草案》第17條明確規定了企業不得以個人不同意或撤回同意為由拒絕提供產品或者服務,實際上這是對格式合同規則的落實。若收集處理個人信息與相關產品或服務并不相關,基于格式條款的個人信息收集就屬于《民法典》第497條所規定的無效條款。例如,曾有一款手電筒App,試圖通過“隱私政策”大量收集包括地理位置、通訊錄、通話記錄等信息,但其唯一功能就是打開手機閃光燈。顯然這類格式條款因不合理、不公平、侵害個人信息權益而無效。同時,大量的App在人們日常生活中具有了越來越重要的影響,甚至與政府公共服務相捆綁。此時,就需要貫徹目的限制原則,探尋其信息收集的必要性。通過這一方式,該條確保了個人免予被“霸王條款”所綁架。
第四,《草案》第18條告知的內容在性質上屬于“與對方有重大利害關系的條款”。根據格式條款規則,應從提示的時間與提示的方式兩個方面進行判斷相關告知是否達到《民法典》第496條第2款中所要求的“合理”程度,以及《中華人民共和國消費者權益保護法》第26條第1款所要求的“顯著”程度。此外,應著重根據個人信息保護的相關規范,審查相關條款是否符合個人信息的保護原則與處理規則,并據以否定侵害個人權益條款的有效性,以此合同法手段,有效回應不合理、不公平、侵害個人信息權益的“霸王條款”問題。
(三)確立數據流通規則體系
不少學者已經注意到,個人信息保護應采取激勵相容的模式,不可“簡單施加各種禁止性或者強制性規定”。在財產規則外,引入管制規則與責任規則,“以多種類的技術監督機制以消弭權利配置進路的負外部性”。事實上,無論是激勵相容抑或法經濟學規則菜單的理論,均基于數據流通規則體系的構建,鼓勵數據依法自由流動。就此而言,《草案》第13條在參考GDPR相關規定的基礎上,在告知同意外,規定了5種合法的個人信息處理情形,大大拓展了《民法典》第1036條告知同意外的兩項免責事由,然而,這一規定仍有缺陷。一方面,數據流通規則未能貫穿《草案》始終,第13條往后的大量條文仍以告知同意為主。建議《草案》必須在堅持該條規定的基礎上,進一步明確承認信息處理者對數據的合法權益依法受到保護,并輔以相應的責任規則,構建從個人信息合法處理到數據合法利用的數據流通規則體系,發揮《個人信息保護法》在培育數據要素市場中的積極作用。另一方面,必須明確,數據流通規則必須受個人信息保護基本原則的約束。對于《草案》第13條第2~4項之中的“所必需”以及第5項之中的“合理的范圍”應有一定的判定基準。歐盟“第29條工作組”即曾經提出數據流通規則的衡量標準,參照這一標準,對5種情形的解釋必須考慮信息處理者的合法利益、對信息主體的影響、義務的平衡、額外的保障措施。
第一,《草案》第13條第2項規定了訂立或者履行信息主體作為相對人一方的合同所必需的情形。首先,可以預計該項將成為絕大多數業務場景下收集信息的依據。因此,其必須受目的限制原則的約束,不得利用這一條款進行個性化營銷。其次,從文本來看,該款對第三人不得適用,然而,涉及代理人時,雖然代理人是其所代理的合同關系中的第三人,但采集代理人的個人信息卻又是必要的。此外,對個人信息處理者而言,也難以僅將其限縮至合同相對方的范疇。許多時候,關聯方處理信息確實是履約所必要的。例如,某人在B平臺辦理了一張A品牌的會員卡,實際上每一個品牌分銷商、加盟店都是獨立的法人,若限于締約主體的獨立法人地位,將使得會員卡實際無法使用。因此,建議適當擴大該項范疇,涵蓋代理人的信息,同時在確有必要時允許關聯方使用相關信息。最后,必須解決《草案》其他條文與該項的矛盾與沖突。如《草案》第17條關于企業不得以個人不同意或撤回同意為由拒絕提供產品或者服務的規定中,指出“處理個人信息屬于提供產品或者服務所必需的除外”。這一規定,在表述上容易得出提供服務所必需的情形也需要告知同意,僅僅是此時信息處理者可拒絕提供服務而已。然而,根據第13條第2項,此時已與同意無關。又如,《草案》第24條向第三方提供信息時單獨同意的要求似乎是絕對的,但如前述在向關聯方轉移信息的事例中,確有為履行與信息主體作為相對人一方的合同之必要的情形。
第二,《草案》第13條第4項規定了應對公共衛生事件或緊急情況下為維護信息主體利益所必需的情形。或許有觀點會認為,部分措施并非緊急,卻與信息主體重大利益密切相關,如反欺詐措施、支付安全措施等。因此,不宜將維護信息主體利益所必需的情形限制在緊急情況之中。此觀點實際上忽視了這些措施多已是信息處理者的法律職責或法定義務,可直接適用《草案》第13條第3項,無須在此處體現。緊急情況的限制確有必要。此條款與《草案》第19條相對應,必須有相應的回復機制。根據《草案》第19條第2款的規定,在緊急情況消除后,信息處理者必須對信息主體履行告知義務。同時,應進一步明確由于緊急情況已經消除,應使用告知同意規則,在獲得同意后方可繼續處理相關信息。雖然公共衛生事件在此條文中予以單列,但實際上也屬于特殊的緊急情況,事后亦應履行告知義務。
第三,《草案》第13條第5項規定了“為公共利益實施新聞報道、輿論監督等行為在合理的范圍內處理個人信息”的情形。對該項的“等”的解釋將直接決定該項的適用范圍。若作“等內等”理解,則該項為針對新聞報道的規定;若作“等外等”的解釋,該項可作公共利益的擴大解釋。以公共利益的必要性作為考量,對個人信息進行處理的情形至少包括“監控疫情和人道主義救援、確保網絡和信息安全、基于勞動和社會保障目的、維護公共健康、新聞和文學藝術創作自由、科學研究等”。為了與其他基于公共利益的信息流通規則相協調,該款中的等亦作“等外等”解釋,同時建議進一步豐富列明公共利益的具體內容。在這個意義上,可進一步理解《草案》第27條關于公共場所監控的規定。該條規定,將公共場所監控限制在“為維護公共安全所必需”的情形,實際上已排除了告知同意規則的適用。因此,“設置顯著的提示標識”的要求并不能簡單理解為告知,亦無須信息主體同意才能進行信息處理。此外,回到《草案》第13條第5項,該項規定公共利益必須受“合理的范圍”的約束。“合理的范圍”并不等于“所必需”。以該項所指向的新聞報道為例,實難以說明信息處理是必須的,若以必須為邏輯,記者大可不報道相關信息。因此,對于涉及公共利益的信息利用而言,其適用的是比必要性更為寬松的合理性要件。新聞報道若涉及家庭地址、人肉搜索等便是超出了合理范圍。
(四)引入個人信息保護設計
設計本身就是權力,設計通過代碼決定了用戶的行為。“程序員是一個宇宙的創造者,他自身也是其中唯一的立法者。無論是多么有權勢的劇作家、舞臺劇導演或皇帝,也不曾行使過如此絕對的權力來安排一個舞臺或戰場,并指揮如此堅定不移盡職盡責的演員或軍隊。”為了更有效地回應告知同意的困境,必須通過技術架構的挑戰,以保護個人信息。根據助推理論,技術架構的設計可改變人們的行為。通過設計保護個人信息,將個人信息保護前置到產品設計環節,通過將個人信息保護融入默認設置、具體設計之中,以實現端對端的安全。這一概念的倡導者卡沃基安(Ann Cavoukian)提出,個人信息保護應自動而非被動、預防而非補償;注重設計與默認設置;實現多方利益、價值共存,端對端安全,可見性和透明性,以用戶個人信息為中心的產品設計。也就是說,個人信息保護設計是一種前置性的、預防性的保護手段,其不以告知同意為基礎。
遺憾的是,《草案》缺乏關于個人信息保護設計的規定。實際上,由于設計的重要性,法律對產品設計的關注并不少見。汽車設計中就有關于安全帶、安全氣囊、倒后鏡等各種設計的標準,未滿足相關標準的產品將不被允許上路。參照GDPR第25條的規定,個人信息保護設計應結合科技發展水平、標準實施成本以及個人信息處理行為的性質、范圍、環境和目的進行規范,并確保在默認設置中,個人信息受到適當保護。在具體的措施上,可借鑒哈托格(Woodrow Hartzog)個人信息保護設計的回應模式,明確禁止欺騙性的設計與存在危險的設計,輔之以一定的設計標準和規范,對違反設計規范的企業作出一定處罰,以個人信息保護設計,回應告知同意的失靈。唯有將個人信息保護前置到產品設計之中,才能從根本上解決隱私政策的功能危機。
四、結語
當前,我國雖然尚未頒布《個人信息保護法》,但通過近年來《刑法》《網絡安全法》《民法典》等法律中的相關制度,已經初步形成了具有中國特色、適應時代發展的個人信息保護制度體系。《個人信息保護法》的出臺,應在我國既有的制度資源基礎上,把握基礎理論命題,回應數據時代的發展需要。其中,告知同意作為個人信息保護的一項具體規則,連接著公法與私法的相關規范,具有重要作用。明晰告知同意的規則地位,并非完全否定告知同意規則本身,而是應從個人信息保護規則體系出發,進一步理順告知同意與其他個人信息合法處理規則的關系,正面回應告知同意的現實困境,更好地構建個人信息保護制度體系。
編輯:海洋