程 嘯

引 言

個人信息保護(hù)法中的告知同意規(guī)則，也稱“知情同意規(guī)則”，是指任何組織或個人在處理個人信息時都應(yīng)當(dāng)對信息主體，即其個人信息被處理的自然人進(jìn)行告知，并在取得同意后方可從事相應(yīng)的個人信息處理活動，否則該等處理行為即屬違法，除非法律另有規(guī)定。①參見王利明、程嘯、朱虎：《中華人民共和國民法典人格權(quán)編釋義》，中國法制出版社2020年版，第419頁。告知同意的規(guī)則最早為1970年德國黑森州的數(shù)據(jù)保護(hù)法所確認(rèn)，目前已經(jīng)成為絕大多數(shù)國家個人信息保護(hù)法承認(rèn)的基本規(guī)則。之所以告知同意規(guī)則被認(rèn)為是個人信息處理中的基本規(guī)則，原因在于個人信息是可直接或間接識別特定自然人的信息，與自然人的人格尊嚴(yán)和人格自由息息相關(guān)。為了保護(hù)人格尊嚴(yán)和人格自由這一最高位階的法益，自然人對其個人信息享有受到法律保護(hù)的民事權(quán)益。我國《中華人民共和國民法典》（以下簡稱“《民法典》”）明確承認(rèn)了自然人的個人信息權(quán)益，賦予了自然人對其個人信息享有作為民事權(quán)益的人格權(quán)益。②參見程嘯：《論我國民法典中個人信息權(quán)益的性質(zhì)》，《政治與法律》2020年第8期。這就意味著其他人需要尊重該權(quán)益而不得侵犯它。同樣，承認(rèn)自然人的個人信息權(quán)益就必然導(dǎo)致對他人行為自由的限制，即任何組織或個人沒有得到自然人的同意而處理其個人信息的行為，屬于侵害個人信息權(quán)益的不法行為，具有非法性。個人信息從來不是什么任由他人使用的公共物品，以維護(hù)公共利益與公共安全并促進(jìn)個人數(shù)據(jù)的流動共享為由否定自然人對其個人信息的權(quán)利，將個人信息作為公共品完全交由政府通過公法規(guī)制的觀點(diǎn)，漠視了個人信息上承載的民事權(quán)益，只能導(dǎo)致大量以維護(hù)公共利益之名而行侵害私權(quán)利之實(shí)的惡行，最終的結(jié)果是既無法維護(hù)公共利益，更無法保護(hù)民事權(quán)益。私權(quán)保護(hù)與公法規(guī)制之間不是非此即彼的關(guān)系，而是應(yīng)當(dāng)通過兩者共同構(gòu)建個人信息保護(hù)的制度基石。③參見程嘯：《論我國個人信息保護(hù)法中的個人信息處理規(guī)則》，《清華法學(xué)》2021年第3期。

我國個人信息保護(hù)方面的法律明確采取了告知同意規(guī)則。2012年的《全國人民代表大會常務(wù)委員會關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》第2條要求，網(wǎng)絡(luò)服務(wù)提供者和其他企業(yè)事業(yè)單位在業(yè)務(wù)活動中收集、使用公民個人電子信息，應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則，明示收集、使用信息的目的、方式和范圍，并經(jīng)被收集者同意?！吨腥A人民共和國網(wǎng)絡(luò)安全法》（以下簡稱“《網(wǎng)絡(luò)安全法》”）第41條第1款規(guī)定：“網(wǎng)絡(luò)運(yùn)營者收集、使用個人信息，應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則，公開收集、使用規(guī)則，明示收集、使用信息的目的、方式和范圍，并經(jīng)被收集者同意?！薄睹穹ǖ洹返?035條第1款更是明確規(guī)定：“處理個人信息的，應(yīng)當(dāng)遵循合法、正當(dāng)、必要原則，不得過度處理，并符合下列條件：（一）征得該自然人或者其監(jiān)護(hù)人同意，但是法律、行政法規(guī)另有規(guī)定的除外；（二）公開處理信息的規(guī)則；（三）明示處理信息的目的、方式和范圍；（四）不違反法律、行政法規(guī)的規(guī)定和雙方的約定?！薄吨腥A人民共和國個人信息保護(hù)法（草案一審稿）》第13條曾將作為基本原則的告知同意規(guī)則與其他例外情形并列，雖然條文表述上簡潔了一些，卻弱化了告知同意規(guī)則的基本原則地位。令人高興的是，《中華人民共和國個人信息保護(hù)法（草案二審稿）》（以下簡稱“《草案二審稿》”）第13條進(jìn)行了修改，該條增加了一款，即“依照本法其他有關(guān)規(guī)定，處理個人信息應(yīng)當(dāng)取得個人同意，但有前款第二項(xiàng)至第七項(xiàng)規(guī)定情形的，不需取得個人同意?！比绱艘粊?，就凸顯了告知同意規(guī)則在個人信息處理活動中基本規(guī)則的地位，即取得同意是原則，不需要取得同意是例外，《草案二審稿》的這一修改值得肯定。

告知同意規(guī)則由告知規(guī)則與同意規(guī)則組成。要確保個人的同意是在充分知情的前提下，自愿、明確地作出的，就必須對個人信息處理者的告知提出相應(yīng)的要求。否則，個人的同意不可能是真實(shí)、自愿和明確的，處理者對個人信息的處理也不可能是公開透明的。故此，告知規(guī)則與同意規(guī)則相輔相成，不可或缺。我國理論界與實(shí)務(wù)界對告知同意規(guī)則已有一定的研究，但主要集中在對同意規(guī)則的研究①參見任龍龍：《論同意不是個人信息處理的正當(dāng)性基礎(chǔ)》，《政治與法律》2016年第1期；方禹：《個人信息保護(hù)中的“用戶同意”規(guī)則：問題與解決》，《網(wǎng)絡(luò)信息法學(xué)研究》2018年第1期；林洹民：《個人信息保護(hù)中知情同意原則的困境與出路》，《北京航空航天大學(xué)學(xué)報(bào)（社會科學(xué)版）》2018年第3期；陸青：《個人信息保護(hù)中“同意”規(guī)則的規(guī)范構(gòu)造》，《武漢大學(xué)學(xué)報(bào)（哲學(xué)社會科學(xué)版）》2019年第5期；張新寶：《個人信息收集：告知同意原則適用的限制》，《比較法研究》2019年第6期；寧園：《個人信息保護(hù)中知情同意規(guī)則的堅(jiān)守與修正》，《江西財(cái)經(jīng)大學(xué)學(xué)報(bào)》2020年第2期；萬方：《個人信息處理中的“同意”與“同意撤回”》，《中國法學(xué)》2021年第1期。，而對告知規(guī)則即處理者的告知義務(wù)的研究相對較少。有鑒于此，本文將結(jié)合《草案二審稿》的規(guī)定，就個人信息保護(hù)法中處理者的告知義務(wù)進(jìn)行研究，研究的問題主要包括：個人信息處理中告知義務(wù)的產(chǎn)生，主要澄清告知規(guī)則和同意規(guī)則的關(guān)系；處理者何時免除告知義務(wù)；告知的內(nèi)容即處理者應(yīng)當(dāng)向個人告知的事項(xiàng)；告知義務(wù)的履行方式，包括告知的時間、告知的方式等。

一、個人信息處理中告知義務(wù)的產(chǎn)生

告知規(guī)則與同意規(guī)則具有緊密的關(guān)系，即凡是需要取得個人同意的個人信息處理活動，處理者都需要履行向個人的告知義務(wù)，在取得個人同意后才能實(shí)施個人信息處理活動。否則，該處理活動就是非法的。對此，不存在疑問。然而，個人信息處理活動的合法性根據(jù)并不僅僅在于個人的同意，除了個人的同意外，還有法律、行政法規(guī)等規(guī)定的合法性根據(jù)。申言之，為了在保護(hù)個人信息權(quán)益的同時，也能實(shí)現(xiàn)個人信息的合理利用，同時維護(hù)公共利益、國家利益等，法律上有必要規(guī)定不適用告知同意規(guī)則的例外情形。我國《民法典》第1035條第1項(xiàng)規(guī)定，處理個人信息的，應(yīng)當(dāng)征得該自然人或者其監(jiān)護(hù)人同意，但是法律、行政法規(guī)另有規(guī)定的除外。所謂法律、行政法規(guī)另有規(guī)定的除外情形，《民法典》列舉了三種情形：其一，依據(jù)《民法典》第999條，為公共利益實(shí)施新聞報(bào)道、輿論監(jiān)督等行為的，可以合理使用民事主體的個人信息；其二，依據(jù)《民法典》第1036條第2項(xiàng)，合理處理該自然人自行公開的或者其他已經(jīng)合法公開的信息，但是該自然人明確拒絕或者處理該信息侵害其重大利益的除外；其三，依據(jù)《民法典》第1036條第3項(xiàng)，為維護(hù)公共利益或者該自然人的合法權(quán)益，合理實(shí)施的其他行為?！恫莅付徃濉返?3條第1款詳細(xì)列舉了六項(xiàng)無須取得個人同意的情形，分別是：⑴為訂立或者履行個人作為一方當(dāng)事人的合同所必需；⑵為履行法定職責(zé)或者法定義務(wù)所必需；⑶為應(yīng)對突發(fā)公共衛(wèi)生事件，或者緊急情況下為保護(hù)自然人的生命健康和財(cái)產(chǎn)安全所必需；⑷依照本法規(guī)定在合理的范圍內(nèi)處理已公開的個人信息；⑸為公共利益實(shí)施新聞報(bào)道、輿論監(jiān)督等行為，在合理的范圍內(nèi)處理個人信息；⑹法律、行政法規(guī)規(guī)定的其他情形。《草案二審稿》第13條第2款明確規(guī)定，處理者處理個人信息時，有上述六種情形的，無須取得個人同意。

然而，同意規(guī)則在前述法律、行政法規(guī)規(guī)定的情形中不適用，并不等于告知規(guī)則就不適用。也就是說，處理者即便基于法律、行政法規(guī)規(guī)定的情形處理個人信息，雖然不需要取得個人的同意，但是仍然要履行告知義務(wù)。例如，處理者為了訂立或者履行個人作為一方當(dāng)事人的合同而必須處理個人信息時，依據(jù)《草案二審稿》第13條第1款第2項(xiàng)以及第2款的規(guī)定，可以不需要取得個人的同意。但是，處理者仍然必須履行告知義務(wù)，即在處理個人信息前，向個人告知相應(yīng)的事項(xiàng)。再如，依據(jù)《中華人民共和國反洗錢法》的規(guī)定，金融機(jī)構(gòu)負(fù)有反洗錢義務(wù)，這是一種法定義務(wù)。故此，該法第16條規(guī)定，金融機(jī)構(gòu)應(yīng)當(dāng)按照規(guī)定建立客戶身份識別制度。金融機(jī)構(gòu)在與客戶建立業(yè)務(wù)關(guān)系或者為客戶提供規(guī)定金額以上的現(xiàn)金匯款、現(xiàn)鈔兌換、票據(jù)兌付等一次性金融服務(wù)時，應(yīng)當(dāng)要求客戶出示真實(shí)有效的身份證件或者其他身份證明文件，進(jìn)行核對并登記。由于金融機(jī)構(gòu)是為了履行反洗錢這一法定義務(wù)而處理客戶的個人信息，故該處理行為不需要取得個人的同意，但是，金融機(jī)構(gòu)仍然必須履行告知義務(wù)，使作為客戶的個人知道自己的個人信息被以何種方式、為實(shí)現(xiàn)何種處理目的而處理。

之所以在無須個人同意的個人信息處理活動中，原則上也必須適用告知規(guī)則，使處理者負(fù)有告知義務(wù)，根本原因在于要貫徹落實(shí)公開透明原則，保護(hù)個人對個人信息處理的知情權(quán)。個人信息本身無須法律保護(hù)，法律保護(hù)的只是個人信息上承載的自然人的人格尊嚴(yán)、人身自由等憲法上的基本權(quán)利，以及人身財(cái)產(chǎn)權(quán)益等民事權(quán)益。申言之，個人信息保護(hù)法的根本目的就在于通過對個人信息處理行為的規(guī)范，防止因非法的個人信息處理行為而給信息主體，即個人的人格尊嚴(yán)、人身自由等憲法上的基本權(quán)利，以及人身權(quán)益、財(cái)產(chǎn)權(quán)益造成侵害或損害。在大數(shù)據(jù)時代，個人信息被收集、儲存、轉(zhuǎn)讓和使用已經(jīng)成為每個自然人被嵌入其中的社會生活常態(tài)，無法改變。然而，無論是數(shù)據(jù)企業(yè)、政府部門還是其他主體，它們出于不同的目的而實(shí)施的個人信息處理行為，極有可能會給個人帶來各種前所未有的危險。例如，基于收集的個人信息而形成的大數(shù)據(jù)，通過算法等技術(shù)進(jìn)行社會分選、歧視性對待，進(jìn)而損害人格尊嚴(yán)的危險；再如，通過大數(shù)據(jù)和人工智能技術(shù)進(jìn)行人格畫像，將作為民事主體的自然人降格為客體并加以操控，進(jìn)而損害人格自由等。①See Veil & Winfried, The GDPR: The Emperor’s New Clothes on the Structural Shortcomings of Both the Old and the New Data Protection Law (December 21, 2018). Vgl. Neue Zeitschrift für Verwaltungsrecht 10/2018: 686 696, at SSRN: https：//ssrn.com/abstract＝3305056(Last visited by July 6，2019)．為了消除上述各種新的危險，法律上必須承認(rèn)自然人對個人信息具有一種防御性的利益，并給予保護(hù)。如此，才可能為信息社會的每個自然人筑起一道堅(jiān)實(shí)的法律保護(hù)屏障，使之免于遭受上述危險現(xiàn)實(shí)化后所帶來的損害。所以，個人信息保護(hù)法需要賦予個人對個人信息處理的知情權(quán)，使其知道為實(shí)現(xiàn)何種處理目的，哪些個人信息被以何種處理方式加以處理。為此，個人信息保護(hù)法將“公開透明原則”（The Transparency Principle）作為一項(xiàng)基本原則。②有關(guān)比較法的介紹，參見個人信息保護(hù)課題組：《個人信息保護(hù)國際比較研究（第二版）》，中國金融出版社2021年版，第27頁以下。

所謂公開透明原則，是指處理個人信息時應(yīng)當(dāng)采取公開、透明的方式，公開個人信息處理的規(guī)則，向信息主體明示個人信息處理的目的、處理的方式和處理的范圍。如果個人信息處理者不以公開、透明的方式處理個人信息，而是采取隱秘的、暗箱操作的方式，那么該處理行為就侵害了自然人對其個人信息享有的知情權(quán)和決定權(quán)，即侵害了個人信息權(quán)益，這種處理行為是非法的處理行為。歐盟《一般數(shù)據(jù)保護(hù)條例》（General Data Protection Regulation）（以下簡稱“《條例》”）在“鑒于部分（也稱序言部分）”的第39條指出，透明原則“特別涉及數(shù)據(jù)主體關(guān)于控制者身份的信息和處理目的以及進(jìn)一步處理的信息，以確保對有關(guān)自然人的公正和透明的處理以及獲得有關(guān)其正被在處理的數(shù)據(jù)的個人確認(rèn)和通信的權(quán)利。應(yīng)該讓自然人了解與處理個人數(shù)據(jù)有關(guān)的風(fēng)險、規(guī)則、保障和權(quán)利，以及如何行使與處理有關(guān)的權(quán)利。特別是，處理個人數(shù)據(jù)的具體目的應(yīng)清晰且合法，并在收集個人數(shù)據(jù)時予以明確”。許多國家或地區(qū)的數(shù)據(jù)保護(hù)和個人信息保護(hù)法都要求處理者必須遵循公開透明的原則。例如，早在1980年以歐盟為主導(dǎo)的經(jīng)濟(jì)合作與發(fā)展組織頒布的《隱私保護(hù)和個人數(shù)據(jù)跨疆界流動的指導(dǎo)原則》中就提出了公開原則，該指導(dǎo)原則指出：“公開原則可能被視為個人參與原則的先決條件，后一原則要生效，獲得關(guān)于個人數(shù)據(jù)的收集、儲存或利用的信息在實(shí)踐上必須是可能的。在自愿的基礎(chǔ)上從數(shù)據(jù)控制者處獲得的常規(guī)信息，涉及個人數(shù)據(jù)處理活動描述的官方登記者的出版活動和公共機(jī)構(gòu)的登記，是一些（雖然不是全部）可能實(shí)現(xiàn)此種原則的方法。”再如，2018年的美國《加州消費(fèi)者隱私法案》（California Consumer Privacy Act）第2節(jié)立法目的明確指出：“人們期許隱私和其信息的更多控制。加利福尼亞州消費(fèi)者應(yīng)當(dāng)能夠就其個人信息行使控制權(quán)，并且期待防治個人信息濫用的保護(hù)措施。企業(yè)可能在尊重消費(fèi)者隱私的同時，就其企業(yè)活動提供高水平的透明度。”依據(jù)2018年《巴西通用數(shù)據(jù)保護(hù)法》第6條第6款的規(guī)定，個人數(shù)據(jù)處理應(yīng)當(dāng)遵循透明原則，即“保證數(shù)據(jù)主體能夠就數(shù)據(jù)處理和相應(yīng)的處理代理人獲得清晰、準(zhǔn)確和易得的信息，且遵守商業(yè)和企業(yè)機(jī)密”。我國《草案二審稿》第7條也明確了公開透明原則，該條規(guī)定：“處理個人信息應(yīng)當(dāng)遵循公開、透明的原則，公開個人信息處理規(guī)則，明示處理的目的、方式和范圍?！?/p>

由此可見，雖然基于公共利益等諸多考量，法律和行政法規(guī)規(guī)定了不需要取得個人同意即可處理個人信息的情形，但是，基于公開透明原則和保障個人對個人信息處理的知情權(quán)的要求，不能認(rèn)為無須個人同意就等于無須向個人告知。因此，無論個人信息處理是基于個人的同意還是基于其他合法性根據(jù)，原則上處理者都必須履行向個人進(jìn)行告知的義務(wù)，除非法律另有規(guī)定。

二、處理者不負(fù)有告知義務(wù)的情形

與同意規(guī)則一樣，告知規(guī)則也有不適用的情形，即在特定的情形下，處理者不負(fù)有告知的義務(wù)。但是，在個人信息處理中，免除告知義務(wù)的情形和無須同意的情形存在差別。換言之，對于免除告知義務(wù)的情形的規(guī)定應(yīng)當(dāng)比無須取得個人同意的情形更加嚴(yán)格。在個人信息的處理中，如果以取得個人同意作為處理行為合法的唯一根據(jù)，就會極大地?fù)p害個人信息的合理利用，因?yàn)閭€人不同意，處理者就不能處理個人信息，所以法律上必須在協(xié)調(diào)個人信息權(quán)益與個人信息合理利用的基礎(chǔ)上，明確各種不需要同意的具體情形。由于需要考慮的利益眾多，如公共利益、法定職責(zé)、國家利益、自然人的生命健康和財(cái)產(chǎn)安全，所以，法律和行政法規(guī)上規(guī)定的不需要同意的情形自然就會比較多。但是，告知義務(wù)則有所不同，告知義務(wù)的履行既有利于維護(hù)個人的知情權(quán)，也完全不會如同意規(guī)則那樣構(gòu)成對處理者實(shí)施個人信息處理活動的法律障礙。故此，法律上對于免于告知的情形應(yīng)當(dāng)作更加嚴(yán)格的限制。不僅如此，法律上也不應(yīng)當(dāng)允許處理者與個人約定免除告知義務(wù)，或者通過格式條款來排除告知義務(wù)，因?yàn)檫@種約定或排除告知義務(wù)的做法，構(gòu)成對自然人就其個人信息享有的知情權(quán)的侵害，也違反了公開透明度原則，是無效的。

比較法上對處理者免除告知義務(wù)的情形有不同的規(guī)定。有些國家或地區(qū)是在區(qū)分處理者究竟是直接從個人處收集個人信息，還是非直接從個人處收集個人信息的基礎(chǔ)上，分別作出對處理者免除告知義務(wù)的情形的規(guī)定。例如，歐盟《條例》第13條和第14條分別對控制者從數(shù)據(jù)主體處收集個人數(shù)據(jù)和并非從數(shù)據(jù)主體處收集個人數(shù)據(jù)，分別對控制者應(yīng)當(dāng)提供的信息以及免于提供信息的問題作了規(guī)定。依據(jù)第13條第4款，如果控制者是直接從數(shù)據(jù)主體處收集個人數(shù)據(jù)的，那么只有當(dāng)數(shù)據(jù)主體已經(jīng)獲得了該條第1款至第3款列舉的信息時，才免除控制者提供信息給數(shù)據(jù)主體的義務(wù)，即告知義務(wù)。如果控制者并非是從數(shù)據(jù)主體處獲取的個人數(shù)據(jù)，依據(jù)《條例》第14條第5款的規(guī)定，該條第1款至第4款的規(guī)定在以下情形不適用：(a)數(shù)據(jù)主體已經(jīng)獲得上述信息。(b)上述信息的提供是不可能的，或者是需要付出不適當(dāng)?shù)墓ぷ髁浚绕涫歉鶕?jù)本條例第89條第(1)款的條件和保障，處理出于公共利益、科學(xué)、歷史研究或數(shù)據(jù)統(tǒng)計(jì)目的；或者本條第1款所述的義務(wù)有可能導(dǎo)致處理目標(biāo)無法實(shí)現(xiàn)或嚴(yán)重影響處理目標(biāo)的實(shí)現(xiàn)。在此情況下，控制者應(yīng)當(dāng)采取適當(dāng)?shù)拇胧?包括采取公開信息的措施)保護(hù)數(shù)據(jù)主體的權(quán)利、自由，以及合法利益。(c)控制者應(yīng)當(dāng)根據(jù)歐盟或成員國法律所規(guī)定的獲取或者披露個人信息的規(guī)定，采取合適的措施保護(hù)數(shù)據(jù)主體的合法利益。(d)根據(jù)數(shù)據(jù)主體應(yīng)遵守的包括保密法在內(nèi)的歐盟或成員國法律規(guī)定的專業(yè)保密制度，個人數(shù)據(jù)必須保密。再如，我國臺灣地區(qū)“個人資料保護(hù)法”也是依據(jù)處理者直接向個人收集個人資料，抑或搜集非由當(dāng)事人提供之個人資料，而對告知義務(wù)的免除作出了不同的規(guī)定。依據(jù)“該法”第8條，在公務(wù)機(jī)關(guān)或非公務(wù)機(jī)關(guān)依“該法”第15條或第19條的規(guī)定向當(dāng)事人搜集個人資料時，如果有下列情形之一的，可以免于告知義務(wù)：⑴依法律規(guī)定得免告知；⑵個人資料之搜集系公務(wù)機(jī)關(guān)執(zhí)行法定職務(wù)或非公務(wù)機(jī)關(guān)履行法定義務(wù)所必要；⑶告知將妨害公務(wù)機(jī)關(guān)執(zhí)行法定職務(wù)；⑷告知將妨害公共利益；⑸當(dāng)事人明知應(yīng)告知之內(nèi)容；⑹個人資料之搜集非基于營利之目的，且對當(dāng)事人無不利之影響。依據(jù)我國臺灣地區(qū)“個人資料保護(hù)法”第9條的規(guī)定，如果公務(wù)機(jī)關(guān)或非公務(wù)機(jī)關(guān)依“該法”第15條或第19條規(guī)定，搜集非由當(dāng)事人提供之個人資料，有下列情形之一的，可以免除告知義務(wù)：⑴“該法”第8條第2款所列的各種情形之一；⑵當(dāng)事人自行公開或其他已合法公開之個人資料；⑶不能向當(dāng)事人或其法定代理人告知；⑷基于公共利益為統(tǒng)計(jì)或?qū)W術(shù)研究之目的而有必要，且該資料須經(jīng)提供者處理后或搜集者依其揭露方式，無從識別特定當(dāng)事人者為限；⑸大眾傳播業(yè)者基于新聞報(bào)道之公益目的而搜集個人資料。

應(yīng)當(dāng)說，區(qū)分個人信息的來源而規(guī)定告知義務(wù)免除的情形是有一定道理的。因?yàn)樵谔幚碚咧苯用嫦蛐畔⒅黧w收集信息時，與從信息主體之外的其他來源取得個人信息時，告知義務(wù)的意義不同。直接從信息主體處收集信息，告知義務(wù)的履行能夠有效地保障個人是在充分知情的前提下自愿作出同意，該義務(wù)之履行對于貫徹落實(shí)個人信息處理中的公開透明原則等具有重要意義。故此，免于告知義務(wù)的情形應(yīng)當(dāng)作非常嚴(yán)格的限制，只有當(dāng)個人已經(jīng)知道了告知的內(nèi)容，或者告知義務(wù)會損害公共利益或者妨害法定職責(zé)的履行時，才能免除告知義務(wù)。但是，從其他來源處取得信息時，處理者并非直接面向個人，其有可能是從已經(jīng)公開的信息中獲取的個人信息，也有可能是從其他處理者那里取得的個人信息。此時，如果提供個人信息給處理者的其他處理者已經(jīng)告知了個人并取得了同意，則接受者無須再行告知。如果處理者獲取的是合法公開的個人信息，也無須告知并取得同意，因?yàn)閷τ诤戏ü_的信息是可以合理利用的，要求處理者告知個人也沒有實(shí)際意義。

從《草案二審稿》來看，我國沒有采取上述模式來分別規(guī)定處理者免除告知義務(wù)的情形?！恫莅付徃濉返?9條第1款規(guī)定：“個人信息處理者處理個人信息，有法律、行政法規(guī)規(guī)定應(yīng)當(dāng)保密或者不需要告知的情形的,可以不向個人告知前條規(guī)定的事項(xiàng)?！钡?5條規(guī)定：“國家機(jī)關(guān)為履行法定職責(zé)處理個人信息，應(yīng)當(dāng)依照本法規(guī)定向個人告知并取得其同意；法律、行政法規(guī)規(guī)定應(yīng)當(dāng)保密，或者告知、取得同意將妨礙國家機(jī)關(guān)履行法定職責(zé)的除外?！边@就是說，免除告知義務(wù)的情形可以分為三類：其一，法律、行政法規(guī)規(guī)定應(yīng)當(dāng)保密的情形；其二，不需要告知的情形；其三，告知將妨礙國家機(jī)關(guān)履行法定職責(zé)。在這三類情形下，雖然處理者都免除告知義務(wù)，但性質(zhì)上存在差別。第一種情形是法律、行政法規(guī)規(guī)定了保密的義務(wù)，故此，無論處理者是否屬于國家機(jī)關(guān)，都依法負(fù)有保密義務(wù)，不僅不能告知個人，而且一旦告知了個人還違反了法定的保密義務(wù)，屬于違法行為，應(yīng)當(dāng)承擔(dān)法律責(zé)任。第二種情形只是免除了處理者的告知義務(wù)，至于處理者自愿決定告知個人的，也沒問題。第三種情形則僅適用于國家機(jī)關(guān)，以及法律、法規(guī)授權(quán)的具有管理公共事務(wù)職能的組織，為履行法定職責(zé)而處理個人信息的情形，必須是告知將妨礙法定職責(zé)的履行才可以免除告知義務(wù)。

法律、行政法規(guī)規(guī)定應(yīng)當(dāng)保密的情形是非常明確的。這是指基于偵查犯罪、反恐怖主義等維護(hù)公共安全、國家安全等社會公共利益和國家利益的考慮，而由法律、行政法規(guī)規(guī)定的處理者的保密義務(wù)。《中華人民共和國保守國家秘密法》第9條規(guī)定：“下列涉及國家安全和利益的事項(xiàng)，泄露后可能損害國家在政治、經(jīng)濟(jì)、國防、外交等領(lǐng)域的安全和利益的，應(yīng)當(dāng)確定為國家秘密：（一）國家事務(wù)重大決策中的秘密事項(xiàng)；（二）國防建設(shè)和武裝力量活動中的秘密事項(xiàng)；（三）外交和外事活動中的秘密事項(xiàng)以及對外承擔(dān)保密義務(wù)的秘密事項(xiàng)；（四）國民經(jīng)濟(jì)和社會發(fā)展中的秘密事項(xiàng)；（五）科學(xué)技術(shù)中的秘密事項(xiàng)；（六）維護(hù)國家安全活動和追查刑事犯罪中的秘密事項(xiàng)；（七）經(jīng)國家保密行政管理部門確定的其他秘密事項(xiàng)。政黨的秘密事項(xiàng)中符合前款規(guī)定的，屬于國家秘密?！崩纾矙C(jī)關(guān)、國家安全機(jī)關(guān)或國家情報(bào)工作機(jī)構(gòu)依據(jù)《中華人民共和國反恐怖主義法》第45條、《中華人民共和國反間諜法》第12條、《中華人民共和國國家情報(bào)法》第15條等規(guī)定，公安機(jī)關(guān)依據(jù)《中華人民共和國刑事訴訟法》第150條的規(guī)定，經(jīng)過嚴(yán)格的批準(zhǔn)手續(xù)，可以采取技術(shù)偵查措施處理個人信息的，不僅其信息無須被處理的個人同意，并且基于保密義務(wù)的規(guī)定，更不能告知個人。

值得研究的是，何為“不需要告知的情形”及告知“將妨礙國家機(jī)關(guān)履行法定職責(zé)”的情形？《草案二審稿》并沒有作具體的規(guī)定。筆者認(rèn)為，所謂不需要告知的情形，至少應(yīng)當(dāng)包括以下幾類情形：⑴作為信息主體的個人已經(jīng)知悉了告知的內(nèi)容，此時無須處理者告知。例如，在處理者A向處理者B提供其處理的個人信息時，根據(jù)《草案二審稿》第24條的規(guī)定，A應(yīng)當(dāng)向個人告知B的身份、聯(lián)系方式、處理目的、處理方式和個人信息的種類，并取得個人的單獨(dú)同意。在這種情形下，由于A已經(jīng)履行了告知義務(wù)，個人已經(jīng)知道了告知的內(nèi)容，B就無須再行告知了。⑵處理已經(jīng)合法公開的個人信息。我國《民法典》第1036條第2項(xiàng)規(guī)定，合理處理該自然人自行公開的或者其他已經(jīng)合法公開的信息，行為人不承擔(dān)民事責(zé)任。這意味著，在處理合法公開的個人信息時，處理者不需要取得個人的同意。此時，應(yīng)當(dāng)認(rèn)為也不需要告知個人。因?yàn)椋绻髮σ呀?jīng)合法公開的個人信息也逐一告知并取得同意的話，不僅成本極為巨大、難以實(shí)現(xiàn)，也不利于個人信息的合理利用，妨礙數(shù)字經(jīng)濟(jì)的發(fā)展。

所謂告知“將妨礙國家機(jī)關(guān)履行法定職責(zé)”的情形，主要是指雖然法律、行政法規(guī)沒有規(guī)定國家機(jī)關(guān)的保密義務(wù)，但是如果處理個人信息前告知個人，就會使得國家機(jī)關(guān)無法履行法定職責(zé)。例如，依據(jù)《中華人民共和國稅收征收管理法》第54條的規(guī)定，稅務(wù)機(jī)關(guān)有權(quán)檢查納稅人的賬簿、記賬憑證、報(bào)表和有關(guān)資料，檢查扣繳義務(wù)人代扣代繳、代收代繳稅款賬簿、記賬憑證和有關(guān)資料。在這種情形下，不僅處理個人的信息無須取得同意，也不需要告知，否則可能出現(xiàn)個人突擊轉(zhuǎn)移、篡改甚至銷毀賬簿、記賬憑證、報(bào)表和有關(guān)資料，導(dǎo)致稅務(wù)機(jī)關(guān)無法履行稅收征收管理的法定職責(zé)。為了防止隨意以告知將“妨礙國家機(jī)關(guān)履行法定職責(zé)”為由，不履行告知義務(wù)，未來我國法律法規(guī)有必要對于妨礙國家機(jī)關(guān)履行法定職責(zé)的情形予以明確。

三、告知的內(nèi)容

告知義務(wù)的內(nèi)容，是指處理者應(yīng)當(dāng)向個人信息被處理的個人告知哪些事項(xiàng)。例如，《條例》第13條和第14條分別對于控制者從數(shù)據(jù)主體處收集個人數(shù)據(jù)以及其他來源收集個人信息時應(yīng)提供的信息作出了規(guī)定。依據(jù)第13條第1款，控制者應(yīng)當(dāng)在向數(shù)據(jù)主體獲取其個人數(shù)據(jù)時，向數(shù)據(jù)主體提供以下信息：(a)控制者的身份和詳細(xì)聯(lián)系方式，如適用，還要提供控制者代表的身份和詳細(xì)聯(lián)系方式；(b)如適用，提供數(shù)據(jù)保護(hù)官的詳細(xì)聯(lián)系方式；(c)個人數(shù)據(jù)處理目的以及處理的法律依據(jù)；(d)當(dāng)處理是依據(jù)本條例第6條(1)款(f)項(xiàng)的規(guī)定進(jìn)行的，控制者或者第三方追求的合法利益；(e)如有，提供個人數(shù)據(jù)接收方或者接收方的種類；(f)如適用，控制者意圖將個人數(shù)據(jù)向第三國或者國家組織進(jìn)行傳輸?shù)氖聦?shí)、歐盟委員會是否就此問題作出過充分決議，或者依據(jù)本條例第46條、第47條或者第49條(1)款第2段所述情形下，所采取的保護(hù)個人信息的合理安全措施以及獲取副本的方式。依據(jù)同條第2款的規(guī)定，除第1款所述信息外，控制者在獲取個人數(shù)據(jù)時，為確保處理過程的公正和透明之必要，應(yīng)當(dāng)向數(shù)據(jù)主體提供如下信息：(a)個人數(shù)據(jù)的存儲期限，在無法提供的情形下，提供存儲期限的確定標(biāo)準(zhǔn)；(b)數(shù)據(jù)主體具有向控制者主張其個人數(shù)據(jù)的獲取、修改、刪除、限制處理、反對處理、可攜帶的權(quán)利；(c)根據(jù)本條例第6條第⑴款(a) 項(xiàng)或者本條例第9條第2款(a) 項(xiàng)，在不觸犯法律的前提下隨時撤回同意的權(quán)利，撤回同意不影響同意撤回之前根據(jù)有效同意進(jìn)行的數(shù)據(jù)處理活動的有效性；(d)向監(jiān)管機(jī)構(gòu)投訴的權(quán)利；(e)個人數(shù)據(jù)的提供是否基于法律規(guī)定、合同要求，或訂立合同之必要，數(shù)據(jù)主體是否有義務(wù)提供個人數(shù)據(jù)，以及如無法提供數(shù)據(jù)可能產(chǎn)生的后果；(f)本條例第22條第⑴款以及第⑷款所述的自動決策機(jī)制，包括數(shù)據(jù)畫像及有關(guān)的邏輯程序和有意義的信息，以及此類處理對數(shù)據(jù)主體的意義和預(yù)期影響。此外，該條第3款還規(guī)定，如果控制者進(jìn)一步處理個人數(shù)據(jù)的意圖與數(shù)據(jù)收集時的目的不同，控制者應(yīng)當(dāng)在此之前基于進(jìn)一步處理目的向數(shù)據(jù)主體提供與第2款有關(guān)的信息。日本的《個人信息保護(hù)法》則區(qū)分不同類型的個人信息處理活動，分別規(guī)定了處理者應(yīng)當(dāng)告知的事項(xiàng)。依據(jù)該法第18條第1款，個人信息處理業(yè)者取得個人信息后，除已事先公布其利用目的的情形外，應(yīng)當(dāng)迅速將該個人信息的利用目的通知給本人或者予以公布。而依據(jù)該法第27條第1款，對于持有的個人數(shù)據(jù)，個人信息處理業(yè)者應(yīng)當(dāng)將下列事項(xiàng)置于本人容易知悉的狀態(tài)（包括根據(jù)本人的要求立即予以答復(fù)）：⑴該個人信息處理業(yè)者的姓名或名稱；⑵全部持有的個人數(shù)據(jù)的利用目的（屬于第18條第4款第1項(xiàng)至第3項(xiàng)規(guī)定的情形除外）；⑶根據(jù)下一款規(guī)定的要求，或者下一條第一款、第29條第1款或第30第1款或第3款規(guī)定的請求而實(shí)施的程序（在依照第30條第2款的規(guī)定確定了手續(xù)費(fèi)的金額時，包括該手續(xù)費(fèi)的金額）；⑷前三項(xiàng)規(guī)定的事項(xiàng)以外的、政令規(guī)定的在確保持有的個人數(shù)據(jù)之正當(dāng)處理上所必要的事項(xiàng)。

在我國法律中，就處理者應(yīng)當(dāng)向個人告知哪些事項(xiàng)，《民法典》第1035條以及《網(wǎng)絡(luò)安全法》第41條第1款只是規(guī)定了“處理信息的目的、方式和范圍”等內(nèi)容，沒有作出具體的規(guī)定。從比較法上來看，對告知的具體內(nèi)容都有明確的規(guī)定。較為詳細(xì)地規(guī)定處理者告知內(nèi)容的，目前主要是一些規(guī)章和標(biāo)準(zhǔn)。例如，國家互聯(lián)網(wǎng)信息辦公室頒布的《兒童個人信息網(wǎng)絡(luò)保護(hù)規(guī)定》，對網(wǎng)絡(luò)運(yùn)營者收集兒童個人信息時應(yīng)當(dāng)告知的事項(xiàng)作了較為詳細(xì)的列舉。依據(jù)該規(guī)定第10條第1款，網(wǎng)絡(luò)運(yùn)營者征得同意時，應(yīng)當(dāng)同時提供拒絕選項(xiàng)，并明確告知以下事項(xiàng)：⑴收集、存儲、使用、轉(zhuǎn)移、披露兒童個人信息的目的、方式和范圍；⑵兒童個人信息存儲的地點(diǎn)、期限和到期后的處理方式；⑶兒童個人信息的安全保障措施；⑷拒絕的后果；⑸投訴、舉報(bào)的渠道和方式；⑹更正、刪除兒童個人信息的途徑和方法；⑺其他應(yīng)當(dāng)告知的事項(xiàng)。我國的《個人信息保護(hù)法》中應(yīng)當(dāng)對告知的具體內(nèi)容作更詳細(xì)的規(guī)定。再如，《信息安全技術(shù)規(guī)范 個人信息安全規(guī)范》（GB/T35273-2020）第5.4條規(guī)定，收集個人信息，應(yīng)向個人信息主體告知收集、使用個人信息的目的、方式和范圍等規(guī)則。

從《草案二審稿》來看，立法機(jī)關(guān)采取可稱之為“一般規(guī)定+特殊規(guī)定”的方式對處理者應(yīng)當(dāng)向個人告知的事項(xiàng)作了規(guī)定。所謂一般規(guī)定，就是《草案二審稿》第18條第1款規(guī)定的事項(xiàng)。這些事項(xiàng)是任何個人信息處理前，處理者都應(yīng)當(dāng)向個人告知的共同事項(xiàng)或一般性事項(xiàng)。所謂的特殊規(guī)定，就是針對一些特殊的個人信息處理行為而新增加一些告知事項(xiàng)的規(guī)定，如《草案二審稿》第24條、第31條、第39條等的規(guī)定。具體闡述如下。

（一）關(guān)于告知事項(xiàng)的一般規(guī)定

《草案二審稿》第18條第1款規(guī)定，個人信息處理者在處理個人信息前應(yīng)當(dāng)向個人告知如下4類共同的事項(xiàng)。

首先，個人信息處理者的身份和聯(lián)系方式。之所以要求告知這一事項(xiàng)，是因?yàn)楝F(xiàn)代網(wǎng)絡(luò)信息科技的發(fā)展，使得個人信息處理活動成為生產(chǎn)生活中的常態(tài)，不僅處理者主體復(fù)雜多元，而且處理行為隱秘專業(yè)。為了確保個人信息處理的公開透明與公正，處理者必須向個人告知處理者的身份與聯(lián)系方式，從而使得個人知悉其個人信息究竟是被何人處理，并能夠向處理者行使其在個人信息處理中的權(quán)利，如查閱、復(fù)制、更正、補(bǔ)充、刪除等權(quán)利。

其次，個人信息的處理目的、處理方式，處理的個人信息的種類、保存期限。所謂個人信息處理的目的，是指處理者究竟是為了什么目的而處理個人信息的。之所以要求必須告知處理目的，是因?yàn)樘幚砟康脑趥€人信息處理中非常重要。目的限制原則是個人信息處理中的基本原則，其要求處理者在處理個人信息時應(yīng)當(dāng)具有明確、合理的目的，并應(yīng)當(dāng)限于實(shí)現(xiàn)處理目的所必要的最小范圍，采取對個人權(quán)益影響最小的方式，不得進(jìn)行與處理目的無關(guān)的個人信息處理。故此，只有明確了處理目的，個人才能有針對性地決定是否就特定處理目的的處理行為給予同意。正因如此，當(dāng)處理者有多個處理目的時，為了確保個人作出的同意是明確的，不能將這些處理目的進(jìn)行合并而一次性取得授權(quán)，必須就具體的處理目的分別取得個人的同意。

個人信息的處理方式主要是指處理者對個人信息采取何種處理方法，具體包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開等。因此，處理者必須告知個人，其采取哪些處理方式，是僅僅收集、存儲，但不使用、加工，抑或收集、存儲、使用、加工但不提供等。不同的處理方式對于個人信息權(quán)益的影響不同，故此需要告知個人并取得同意。

個人信息的種類很多，包括但不限于自然人的姓名、出生日期、身份證件號碼、生物識別信息、住址、電話號碼、電子郵箱、健康信息、行蹤信息等。個人信息可以分為敏感的個人信息與非敏感的個人信息，不同的個人信息對于個人信息權(quán)益的影響不同。敏感的個人信息的處理對于個人信息權(quán)益的危險很大，因?yàn)榇祟愋畔⒁坏┬孤痘蛘叻欠ㄊ褂茫陀锌赡軐?dǎo)致個人受到歧視或者人身、財(cái)產(chǎn)安全受到嚴(yán)重危害。所以，個人信息的種類屬于必須告知的事項(xiàng)。處理者在向個人告知處理的個人信息的種類時，應(yīng)當(dāng)遵循公開透明的原則，不能過于籠統(tǒng)。例如，不能簡單告知所處理的個人信息是“健康信息”或“與健康有關(guān)的信息”，這個范圍太廣泛了，可能涵蓋了無數(shù)的信息，處理者必須明確具體的信息種類，如“心率”“血壓”和“懷孕年齡”，這取決于處理行為及處理目的。①See Christopher Kuner, Lee A. Bygrave & Christopher Dockseyed, The EU General Data Protection Regulation (GDPR): A Commentary,Oxford University Press, 2020, pp.444.

個人信息的保存期限也很重要，保存期限越長，出現(xiàn)泄露或非法使用的可能性就越大，對個人信息權(quán)益的不利影響就越大。因此，需要告知個人。而且，個人知悉保存期限也有利于其在保存期限屆滿時及時依據(jù)《中華人民共和國個人信息保護(hù)法》第47條的規(guī)定行使刪除權(quán)。

再次，個人行使本法規(guī)定權(quán)利的方式和程序。我國《民法典》和《網(wǎng)絡(luò)安全法》賦予了自然人針對其被處理的個人信息享有查詢、復(fù)制、抄錄權(quán)，發(fā)現(xiàn)錯誤時的更正權(quán)，以及要求刪除個人信息的權(quán)利。但是，《草案二審稿》第18條第1款第3項(xiàng)規(guī)定的是“個人行使本法規(guī)定權(quán)利的方式和程序”，言下之意就是，處理者只需要個人行使《個人信息保護(hù)法》規(guī)定的權(quán)利的方式和程序，至于《民法典》《網(wǎng)絡(luò)安全法》等其他法律規(guī)定的個人針對個人信息的權(quán)利如何行使等，不屬于告知的內(nèi)容。作此規(guī)定的理由在于：個人信息保護(hù)法中規(guī)定的權(quán)利是個人在個人信息處理中的權(quán)利，這些權(quán)利指向的是個人信息處理者。而個人信息處理活動的范圍是限定的，不包括自然人因個人或家庭事務(wù)處理個人信息的活動（《草案二審稿》第71條第1款）。但是，《民法典》和《網(wǎng)絡(luò)安全法》并未排除自然人因個人或家庭事務(wù)處理個人信息的活動。此外，《草案二審稿》所規(guī)定的個人在個人信息處理中權(quán)利的范圍非常廣泛，已經(jīng)完全包含了《民法典》《網(wǎng)絡(luò)安全法》規(guī)定的個人信息權(quán)利類型。

最后，法律、行政法規(guī)規(guī)定應(yīng)當(dāng)告知的其他事項(xiàng)。這是兜底性規(guī)定，一方面與《個人信息保護(hù)法》關(guān)于特殊告知事項(xiàng)的規(guī)定相銜接，另一方面也為將來相關(guān)法律和行政法規(guī)的規(guī)定留下空間。

（二）關(guān)于告知事項(xiàng)的特別規(guī)定

《草案二審稿》除了第18條就處理者一般應(yīng)當(dāng)告知的事項(xiàng)外，還針對幾類特殊的個人信息處理行為，就處理者的告知事項(xiàng)作了特別的規(guī)定，具體包括三種情況。首先，在個人信息處理者因?yàn)榉ㄈ嘶蚍欠ㄈ私M織的合并、分立等原因而需要轉(zhuǎn)移個人信息時，依據(jù)《草案二審稿》第23條的規(guī)定，應(yīng)當(dāng)向個人告知接收方的身份和聯(lián)系方式，這主要是為了確保個人能夠向接收方主張個人信息處理中的權(quán)利。其次，處理者向他人提供信息時，依據(jù)《草案二審稿》第24條的規(guī)定，還必須向個人告知接收方的身份、聯(lián)系方式、處理目的、處理方式和個人信息的種類，并取得個人的單獨(dú)同意。這是因?yàn)樘幚碚邔€人信息提供給他人的，接收方并非單純地接受個人信息，有可能要按照新的處理目的，采取新的處理方式對個人信息進(jìn)行處理。故此，要求處理者而非接收方向個人進(jìn)行告知并取得單獨(dú)同意，否則不得向他人提供個人信息。再次，為了更好地保護(hù)敏感的個人信息，《草案二審稿》第31條要求個人信息處理者在處理敏感的個人信息時，不僅要告知第18條第1款規(guī)定的事項(xiàng)，還應(yīng)當(dāng)向個人告知處理敏感個人信息的必要性以及對個人的影響。之所以要求處理敏感的個人信息時必須告知處理的必要性，是因?yàn)槊舾械膫€人信息屬于一旦泄露或非法使用，可能會導(dǎo)致個人受到歧視，或人身、財(cái)產(chǎn)安全受到嚴(yán)重危害，故法律上應(yīng)當(dāng)給予更強(qiáng)的保護(hù)。雖然我國個人信息保護(hù)法沒有采取原則上禁止而例外才允許的處理敏感個人信息的模式，但通過強(qiáng)化對處理敏感個人信息的必要性的要求，可以更好地保護(hù)個人信息權(quán)益。所謂對個人的影響，是指處理敏感的個人信息可能會對個人產(chǎn)生的影響，主要是指不利的影響。只有充分披露這種影響，才能保證個人是在充分知情的情況下作出自愿的同意。最后，在個人信息跨境提供時，依據(jù)《草案二審稿》第39條，處理者還應(yīng)當(dāng)向個人告知境外接收方的身份、聯(lián)系方式、處理目的、處理方式、個人信息的種類，以及個人向境外接收方行使本法規(guī)定權(quán)利的方式等事項(xiàng)。

四、告知義務(wù)的履行方式

（一）告知的時間

個人信息處理者必須是在處理個人信息前向個人信息被處理的個人進(jìn)行告知，而不能在已經(jīng)實(shí)施了個人信息處理行為之后再告知個人，這是對處理者告知時間的要求。如果告知的事項(xiàng)發(fā)生了變更，如處理的目的、處理的方式等發(fā)生了變化，那么，處理者應(yīng)當(dāng)在變更前將變更部分告知個人，而不能已經(jīng)對處理目的或處理方式進(jìn)行了變更，并按照變更后的目的和方式對個人信息進(jìn)行了處理之后，才告知個人。否則，此種變更后的處理行為就是非法行為。

考慮到在有些情況下，處理者雖然應(yīng)當(dāng)履行告知義務(wù)，但是由于情況緊急，無法及時告知時，應(yīng)當(dāng)明確在緊急情況消除后，處理者仍然應(yīng)當(dāng)履行告知義務(wù)。依據(jù)《草案二審稿》第13條第1款第4項(xiàng)，在緊急情況下為保護(hù)自然人的生命健康和財(cái)產(chǎn)安全所必需時，無須取得個人的同意。但是，這種情形并不意味著個人信息處理者就可以不告知個人。同時，考慮到既然是緊急情況，那么就有可能無法及時向個人進(jìn)行告知，故此，《草案二審稿》第19條第2款規(guī)定，緊急情況下為保護(hù)自然人的生命健康和財(cái)產(chǎn)安全無法及時向個人告知的，個人信息處理者應(yīng)當(dāng)在緊急情況消除后及時告知。

（二）以顯著方式、清晰易懂的語言進(jìn)行告知

由于個人信息處理具有很強(qiáng)的技術(shù)性，十分專業(yè)，而個人對此知之甚少，因此導(dǎo)致了二者的信息不對稱，故此，如果處理者通過一大堆專業(yè)術(shù)語或者含糊其辭的表述來告知，那么個人難以理解此種個人信息處理對自己的權(quán)益有何利弊，存在何種風(fēng)險，故此，難以作出自由的決定。在實(shí)踐中，不少個人信息處理者為了滿足法律的要求，規(guī)避法律風(fēng)險，往往采取“捆綁式”的方式列出內(nèi)容冗長繁瑣的隱私政策條款，給用戶帶來閱讀上的極大困難。有研究表明，用戶僅閱讀一年中所使用的網(wǎng)絡(luò)服務(wù)的隱私政策就需要花費(fèi)224個小時，同時還要考慮到用戶的教育背景不一對于各個條款的理解能力有所偏差所帶來的現(xiàn)實(shí)性困境。①參見范為：《大數(shù)據(jù)時代個人信息保護(hù)的路徑重構(gòu)》，《環(huán)球法律評論》2016年第5期。有鑒于此，個人信息保護(hù)法中以公開透明原則作為個人信息處理的一項(xiàng)基本原則。依據(jù)這一原則，處理者在履行告知義務(wù)時，應(yīng)當(dāng)使用清晰易懂的語言和顯著的方式進(jìn)行告知。對此，《草案二審稿》第18條第1款作出了規(guī)定，即處理者在履行告知義務(wù)的時候，應(yīng)當(dāng)“以顯著方式、清晰易懂的語言”向個人進(jìn)行告知。所謂顯著方式，是指個人信息處理者應(yīng)當(dāng)以個人容易辨識且易于獲取的方式了解到處理者告知的內(nèi)容，而不能將其隱藏在一大堆包含各種內(nèi)容的所謂的“隱私政策”當(dāng)中，或者以極小的字號、難以辨識的字體等其他不顯著的方式，讓個人無法容易辨識或獲取處理者所告知的內(nèi)容。這種所謂的告知本質(zhì)上就是一種欺詐或誤導(dǎo)的做法。故此，《草案二審稿》第18條第1款要求，處理者必須以顯著方式進(jìn)行告知。

清晰易懂的語言，意味著處理者應(yīng)當(dāng)以普通人能理解的語言表述進(jìn)行告知，從而使得任何不具備個人信息處理專業(yè)知識的個人能夠知道處理者所告知的內(nèi)容。在實(shí)踐中，為規(guī)避法律責(zé)任，個人信息處理者往往傾向于使用極其抽象或相當(dāng)晦澀的語言來描述隱私政策中對個人信息收集和使用的目的②參見萬方：《隱私政策中的告知同意原則及其異化》，《法律科學(xué)》2019年第2期。，如“改善服務(wù)質(zhì)量”“提升用戶體驗(yàn)”“研發(fā)新產(chǎn)品”“增強(qiáng)安全性”等。這種語言表述顯然是非常模糊的，而且也使得處理者的處理目的變得很不明確，違反了目的限制原則和公平透明原則。

（三）告知的形式

個人信息處理者履行告知義務(wù)的方式分為以下兩類。

一是逐一告知，即個人信息的處理者在處理個人信息前，以一對一的方式向每一個其個人信息被處理的自然人進(jìn)行告知，并逐一取得自然人的同意。此種方式在以人工的或非自動化的方式處理個人信息時使用較多。例如，在當(dāng)事人申請不動產(chǎn)登記時，其向登記機(jī)構(gòu)提交登記申請書，申請相應(yīng)的不動產(chǎn)登記，不動產(chǎn)登記機(jī)構(gòu)應(yīng)當(dāng)在登記申請書中向申請人告知處理該申請人的個人信息的目的、方式和范圍等內(nèi)容，進(jìn)而取得申請人的同意。再如，當(dāng)個人信息處理者與某一自然人磋商訂立合同時而收集該自然人的個人信息，也可能進(jìn)行一對一的告知并取得同意。

二是統(tǒng)一告知。所謂統(tǒng)一告知，是指個人信息的處理者通過提前制訂好統(tǒng)一適用的個人信息處理規(guī)則來告知個人信息被處理的自然人，進(jìn)而取得同意。這種方式是在自動化處理個人信息，即網(wǎng)絡(luò)進(jìn)行個人信息的處理時使用，例如，用戶在下載安裝網(wǎng)絡(luò)公司的各種應(yīng)用軟件時，網(wǎng)絡(luò)公司通過所謂“隱私政策”來明確個人信息處理者規(guī)則，就個人信息處理的目的、方式和范圍等內(nèi)容向個人進(jìn)行告知。這種方式適用于一對多的情形，即某個特定的個人信息處理者面向不特定的個人而處理個人信息。其優(yōu)點(diǎn)是比較有效率。

如果個人信息處理者以制定的個人信息處理規(guī)則來告知自然人，那么依據(jù)《民法典》第1035條和《草案二審稿》第18條第3款的規(guī)定，該處理規(guī)則必須是公開的，并且是便于查閱和保存的。否則，應(yīng)當(dāng)認(rèn)為個人信息處理者沒有履行告知的義務(wù)。尤其在實(shí)踐中個人信息處理規(guī)則以電子信息的方式存在的情況下，如果自然人無法方便地查閱和保存這些規(guī)則，就容易出現(xiàn)個人沒有完全閱讀完畢這些個人信息處理規(guī)則就必須作出同意，或者處理者私自變更規(guī)則，以致雙方就個人信息的處理發(fā)生糾紛時，個人無法提供相應(yīng)的證據(jù)。故此，筆者認(rèn)為，如果處理者沒有證明其規(guī)則是公開的并且便于查閱和保存的，那么處理者與個人在遵循告知同意規(guī)則發(fā)生爭議時，應(yīng)當(dāng)認(rèn)為個人信息處理者沒有履行告知義務(wù)。此外，如果個人所保存的處理者的個人信息處理規(guī)則與處理者提供的規(guī)則不一致時，應(yīng)當(dāng)以個人提供的規(guī)則為準(zhǔn)，除非處理者能夠證明個人提供的規(guī)則是不真實(shí)的。

五、結(jié) 語

總之，告知規(guī)則與同意規(guī)則構(gòu)成了完整系統(tǒng)的告知同意規(guī)則，是個人信息處理行為合法的基本規(guī)則。個人信息處理者在處理個人信息前只有充分、適當(dāng)?shù)芈男懈嬷x務(wù)，才能保證個人是在充分知情的前提下，自愿作出同意，告知同意規(guī)則才能發(fā)揮保護(hù)個人信息權(quán)益的功能。并且，即便對于那些法律、行政法規(guī)明確規(guī)定了無須取得個人同意的個人信息處理行為，告知規(guī)則依然適用，處理者不能以無須個人的同意為由而不履行告知義務(wù)。惟其如此，才能確保個人對其個人信息處理的知情權(quán)，保證個人信息處理活動符合公開透明的原則。我國《草案二審稿》在《民法典》《網(wǎng)絡(luò)安全法》等既有立法的基礎(chǔ)上，吸收借鑒比較法上的先進(jìn)經(jīng)驗(yàn)，立足我國國情對處理者的告知義務(wù)作了詳細(xì)的規(guī)定，值得肯定！我國頒布《個人信息保護(hù)法》后，還應(yīng)當(dāng)通過相應(yīng)的法律法規(guī)和標(biāo)準(zhǔn)等對告知義務(wù)作出細(xì)化的規(guī)定，如明確不需要告知的情形，以及告知將妨礙國家機(jī)關(guān)履行法定職責(zé)的情形。同時，履行個人信息保護(hù)職責(zé)的部門也應(yīng)當(dāng)加強(qiáng)對處理者履行告知義務(wù)的執(zhí)法監(jiān)督，從而確保告知同意規(guī)則在個人信息保護(hù)中能夠發(fā)揮應(yīng)有的作用。