葉 敏 瑪麗亞木·艾斯凱爾
(江南大學(xué),江蘇 無(wú)錫 214122)
隨著個(gè)人信息價(jià)值的不斷被挖掘,對(duì)信息安全與人身利益保護(hù)的擔(dān)憂也日益增長(zhǎng),世界各國(guó)開(kāi)始紛紛制定和升級(jí)相應(yīng)的法律法規(guī)以應(yīng)對(duì)現(xiàn)實(shí)中出現(xiàn)的各類問(wèn)題與糾紛,最為典型的是以歐盟《通用數(shù)據(jù)保護(hù)條例》為代表的個(gè)人數(shù)據(jù)保護(hù)模式和以美國(guó)《消費(fèi)者隱私權(quán)利法案》為代表的隱私權(quán)保護(hù)模式。我國(guó)近年來(lái)相關(guān)立法的發(fā)展也緊隨此趨勢(shì),2020年頒布的《中華人民共和國(guó)民法典》(下文簡(jiǎn)稱《民法典》)首次在法律層面明確了對(duì)個(gè)人信息的保護(hù),且基本采納的是歐盟《通用數(shù)據(jù)保護(hù)條例》下的“知情同意”個(gè)人信息保護(hù)模式。但隨著我國(guó)互聯(lián)網(wǎng)經(jīng)濟(jì)的迅猛發(fā)展,“知情同意”模式日益暴露出其明顯的不足,主要體現(xiàn)在:
我國(guó)原有“知情同意”制度的設(shè)計(jì)偏重于在信息收集環(huán)節(jié)的規(guī)制,但由于在大數(shù)據(jù)分析中信息收集僅為其初始階段,對(duì)信息商業(yè)利用的真正價(jià)值主要體現(xiàn)在后續(xù)的深度分析與流通中,因此對(duì)海量信息的二次甚至N次利用呈現(xiàn)出復(fù)雜性、多元性和流動(dòng)性。在此情形下,信息處理者無(wú)法在信息收集時(shí)針對(duì)其后續(xù)的全部信息利用內(nèi)容要求信息主體給予廣泛授權(quán),也無(wú)法在信息商業(yè)利用中取得信息主體的再次授權(quán)(謝琳,2019),顯然這是無(wú)法適應(yīng)數(shù)據(jù)產(chǎn)業(yè)發(fā)展需求的?!吨腥A人民共和國(guó)個(gè)人信息保護(hù)法》(下文簡(jiǎn)稱《個(gè)人信息保護(hù)法》)第14條增加了“個(gè)人信息的處理目的、處理方式和處理的個(gè)人信息種類發(fā)生變更的,應(yīng)當(dāng)重新取得個(gè)人同意”的規(guī)定,看似拓展了“知情同意”的適用范圍,但由于數(shù)據(jù)后續(xù)利用的不可預(yù)測(cè)性,這項(xiàng)規(guī)定如果要不打折扣地完全落實(shí),不僅使企業(yè)數(shù)據(jù)合規(guī)的難度加大、成本上升,甚至還可能阻礙大數(shù)據(jù)產(chǎn)業(yè)的發(fā)展(田野,2018)。
為了“滿足”法律中的知情同意規(guī)定,各類應(yīng)用軟件往往采取在其首頁(yè)用最不引人矚目的方式展現(xiàn)相關(guān)“隱私政策”,并需要用戶點(diǎn)擊同意相關(guān)條款后才能進(jìn)入下一步操作,只有合規(guī)意識(shí)較強(qiáng)的能夠做到要求用戶下拉隱私政策條款或在隱私條款頁(yè)面停留幾秒才能點(diǎn)擊同意,以此避免用戶不經(jīng)閱讀就直接點(diǎn)擊同意。實(shí)際上,這樣的“知情-同意”很難取得實(shí)際效果。一方面,用戶由于處于市場(chǎng)弱勢(shì)地位無(wú)法真正行使拒絕權(quán)。雖然理論上用戶若不同意隱私條款的內(nèi)容,就可以行使拒絕權(quán)(張新寶,2019),但實(shí)踐中應(yīng)用軟件提供的隱私協(xié)議往往讓用戶陷入不同意授權(quán)就無(wú)法使用服務(wù)的兩難困境。有些軟件早已成為大家日常生活的必備產(chǎn)品,如果無(wú)法使用,就很有可能面臨工作和生活上的各種不便,甚至淪為“數(shù)字弱勢(shì)群體”而被邊緣化(韓旭至,2021)。在這個(gè)意義上,用戶的“知情-同意”早已是“只能同意”,普通個(gè)人消費(fèi)者面對(duì)生活中必備應(yīng)用軟件的霸王條款無(wú)從選擇,“告知同意”規(guī)則無(wú)異于形同虛設(shè)。另一方面,在當(dāng)下信息科技發(fā)展的快節(jié)奏背景下,應(yīng)用軟件為了不斷提升其服務(wù)質(zhì)量和用戶滿意度幾乎日日都在進(jìn)行修復(fù)、更新等工作,其制定的隱私條款也需要相應(yīng)更新,但用戶很難高頻率地在隱私政策被一次次更新后重新“知情”且授權(quán)同意。因此,這大大削減了“知情同意”規(guī)則的實(shí)際效果。
綜上所述,原有的“知情同意”規(guī)則在面對(duì)大數(shù)據(jù)技術(shù)的重大挑戰(zhàn)時(shí),不僅未能很好地保護(hù)自然人的信息控制權(quán),在很大程度上反而阻礙了個(gè)人信息資源的合理共享與數(shù)據(jù)產(chǎn)業(yè)發(fā)展(王涵,2019)。同意撤回權(quán)作為信息廣義“退出”的方式之一,能夠彌補(bǔ)“告知同意”固有的缺陷,為個(gè)人信息主體提供有效救濟(jì)(萬(wàn)方,2021),在一定程度上能夠在現(xiàn)行法律體系中緩解信息利用與信息權(quán)利保護(hù)之間的沖突。
不過(guò),該制度雖然已寫(xiě)入《個(gè)人信息保護(hù)法》,在立法層面明確了個(gè)人的同意撤回權(quán),但對(duì)該權(quán)利行使渠道的建立、提供同意撤回的義務(wù)人違反該規(guī)定的法律責(zé)任及權(quán)利受損后的個(gè)人救濟(jì)措施的規(guī)定還不夠具體。同時(shí),這些問(wèn)題也未得到學(xué)界很大的關(guān)注與討論。目前,我國(guó)關(guān)于同意撤回權(quán)的理論研究還主要停留在個(gè)人信息保護(hù)法引入同意撤回權(quán)的正當(dāng)性與可行性(萬(wàn)方,2021)、對(duì)同意撤回權(quán)內(nèi)涵的理解(韓旭至,2021)、同意撤回與“選擇退出”在現(xiàn)實(shí)運(yùn)行中的區(qū)別(馮愷,2020)等立法前的理論研究上,并未涉及同意撤回權(quán)立法后在制度實(shí)施過(guò)程中可能出現(xiàn)的現(xiàn)實(shí)問(wèn)題的討論。然而,就我國(guó)的社會(huì)現(xiàn)狀及人性的固有弱點(diǎn)來(lái)看,同意撤回制度的實(shí)施可能面臨較大的現(xiàn)實(shí)困境。
因此,本文試圖通過(guò)對(duì)“同意撤回”制度日后可能出現(xiàn)的問(wèn)題進(jìn)行初步探索,從心理學(xué)和博弈論的角度在法律規(guī)制邏輯上進(jìn)行一個(gè)逆向的探討,以期達(dá)到拋磚引玉之效。希望本文的研究能夠啟發(fā)關(guān)于應(yīng)如何通過(guò)落實(shí)同意撤回制度實(shí)現(xiàn)我國(guó)信息的廣義“退出”,以暫時(shí)彌補(bǔ)“知情同意”框架的缺陷,及在大數(shù)據(jù)背景下應(yīng)如何獲得數(shù)據(jù)產(chǎn)業(yè)發(fā)展與個(gè)人信息保護(hù)之間更優(yōu)平衡等問(wèn)題的相關(guān)思考,為我國(guó)同意撤回權(quán)制度的進(jìn)一步深入研究提供參考。
隨著我國(guó)大數(shù)據(jù)技術(shù)和互聯(lián)網(wǎng)經(jīng)濟(jì)的飛速發(fā)展,從事信息處理相關(guān)行業(yè)的企業(yè)在經(jīng)濟(jì)實(shí)力、處理個(gè)人信息的技術(shù)能力等方面都占據(jù)了絕對(duì)的優(yōu)勢(shì)地位,個(gè)人信息主體的弱勢(shì)地位在對(duì)比之下更為明顯。如果堅(jiān)持傳統(tǒng)民法中的合同自由與契約精神,隱私協(xié)議似乎就是個(gè)人信息保護(hù)過(guò)程中形式正義的體現(xiàn)。但是,缺乏個(gè)人信息保護(hù)意識(shí)與能力的普通大眾由于現(xiàn)實(shí)的弱勢(shì)地位,早已難以在信息處理者與信息來(lái)源主體間的合同中獲得實(shí)質(zhì)公平。如前文所述,淪為形式的用戶隱私協(xié)議正在以這種只滿足形式正義卻偏離實(shí)質(zhì)正義的方式侵害著大多數(shù)信息來(lái)源主體的合法權(quán)益。
雖然我國(guó)《民法典》已經(jīng)在合同編中設(shè)置了情勢(shì)變更、單方合同解除權(quán)等制度來(lái)作為民事主體在特定情形下單方撤回其前期基于自由意志作出的同意的救濟(jì)方式,但同時(shí)也規(guī)定了嚴(yán)格的適用條件,要借助這樣的渠道來(lái)為個(gè)人信息權(quán)利主體提供保障是遠(yuǎn)遠(yuǎn)不夠的。同意撤回權(quán)不設(shè)置額外的限制條件,賦予信息主體基于自愿前提同意授權(quán)后又可以單方面撤回這一項(xiàng)同意的權(quán)利,既是對(duì)實(shí)質(zhì)正義的貫徹,也體現(xiàn)了對(duì)合同自由原則的合理限制和補(bǔ)充。
同意撤回權(quán)的立法邏輯并不僅僅是因?yàn)樾畔⒅黧w是弱者,所以需要被特殊保護(hù),更深一層的本質(zhì)在于:在個(gè)人信息處理的語(yǔ)境下,信息主體本身存在對(duì)于信息處理者的服務(wù)依賴,導(dǎo)致信息主體缺乏表意自由(萬(wàn)方,2021)。這種表意不自由既包括認(rèn)知能力上的弱勢(shì)造成的不自由,也包括信息不完全、不充分、不對(duì)稱方面的弱勢(shì)造成的意思不自由。同意撤回權(quán)的設(shè)立,就是通過(guò)法律強(qiáng)制賦權(quán)的方法來(lái)救濟(jì)這種不自由,使信息主體看似“自愿”的情形下授權(quán)同意后還能通過(guò)二次思考、權(quán)衡利弊形成其相對(duì)真實(shí)的意思,避免在缺乏認(rèn)知和信息弱勢(shì)情況下的“不真實(shí)授權(quán)”同意給個(gè)人主體帶來(lái)的過(guò)重負(fù)擔(dān),平衡了信息處理者與信息主體之間的利益沖突,從而在個(gè)人信息處理領(lǐng)域真正體現(xiàn)民法的“意思自治”本意。
從民事權(quán)利類型劃分的角度來(lái)看,我國(guó)的個(gè)人信息保護(hù)立法借鑒了歐盟的做法,在《民法典》中將個(gè)人信息納入自然人的人格權(quán)范疇,將其提升到人格自由與人格尊嚴(yán)的高度來(lái)進(jìn)行保護(hù)。在具體權(quán)利內(nèi)容上,我國(guó)相關(guān)法律雖并未明確采用自然人的信息控制權(quán)這一提法,但同意撤回權(quán)本身就是對(duì)信息控制權(quán)的一種體現(xiàn),意在保障個(gè)人自由自主地決定其信息是否被處理,從而保護(hù)自然人的自由人格。這一承載著自然人人格利益的權(quán)利在法律的價(jià)值序列中明顯是高于企業(yè)基于數(shù)據(jù)商業(yè)利用所帶來(lái)的財(cái)產(chǎn)權(quán)利的,因此,即使撤回會(huì)對(duì)企業(yè)造成財(cái)產(chǎn)上的損失,仍然要優(yōu)先保護(hù)自然人的人格利益。在這個(gè)意義上,《個(gè)人信息保護(hù)法》明確規(guī)定同意撤回權(quán),表明我國(guó)法律努力在人權(quán)保障和市場(chǎng)活力之間尋求平衡點(diǎn),是我國(guó)個(gè)人信息保護(hù)立法既保障基本人權(quán)又可能釋放市場(chǎng)活力與創(chuàng)造力的舉措。
綜上,我國(guó)個(gè)人信息保護(hù)法中增設(shè)個(gè)人信息同意撤回權(quán)是具有充分的立法理由的,也貫徹了清晰的立法邏輯,但這一良好的立法目的是否能夠在現(xiàn)實(shí)中得到貫徹落實(shí),并取得預(yù)期的效果,仍然需要考量更多的現(xiàn)實(shí)因素方能作出判斷。
1.合規(guī)成本加重
隨著互聯(lián)網(wǎng)技術(shù)的不斷發(fā)展,知情同意的電子化、網(wǎng)絡(luò)化已經(jīng)成為一個(gè)普遍的趨勢(shì),在這一背景下,《個(gè)人信息保護(hù)法》第15條明確要求個(gè)人信息處理者應(yīng)當(dāng)提供便捷的撤回同意的方式。當(dāng)然,良好的行權(quán)渠道有利于促進(jìn)信息處理者與信息主體之間的持續(xù)互動(dòng),以實(shí)現(xiàn)多次的授權(quán)同意與撤回同意,但這一技術(shù)渠道的建立也明顯為企業(yè)增加了巨大的營(yíng)業(yè)成本。雖然承擔(dān)這項(xiàng)支出確實(shí)是企業(yè)承擔(dān)社會(huì)責(zé)任的表現(xiàn),但法律制度在要求企業(yè)承擔(dān)一定社會(huì)責(zé)任的同時(shí),也需要為企業(yè)的健康發(fā)展負(fù)責(zé)(呂加嶺 等,2017)。尤其是對(duì)一些用戶群極為龐大的互聯(lián)網(wǎng)龍頭企業(yè),同意、撤回同意的訴求數(shù)量可能會(huì)遠(yuǎn)遠(yuǎn)超出單個(gè)企業(yè)的正常處理能力,這一行權(quán)技術(shù)渠道的建設(shè)與維護(hù)勢(shì)必會(huì)使相關(guān)企業(yè)面臨巨大的合規(guī)成本,而這將直接決定同意撤回權(quán)能否能夠有效付諸實(shí)踐。
2.可能選擇的規(guī)避途徑
企業(yè)是為營(yíng)利而生的典型商主體,其在面臨巨大的合規(guī)成本時(shí)可能的選擇就是尋求某種規(guī)避途徑?,F(xiàn)行的《個(gè)人信息保護(hù)法》第15條中正好存在這一漏洞。因?yàn)樵摋l僅適用“基于個(gè)人同意而進(jìn)行的個(gè)人信息處理活動(dòng)”,也就是說(shuō),撤回是在同意的前提下方有的權(quán)利。如果不是基于個(gè)人同意而收集的信息,如依據(jù)《個(gè)人信息保護(hù)法》第13條列舉的情形,除第1款外,為訂立或履行合同、為履行法定職責(zé)或法定義務(wù)、為應(yīng)對(duì)突發(fā)公共衛(wèi)生事件、為緊急情況下保護(hù)自然人的生命健康和財(cái)產(chǎn)安全、為公共利益實(shí)施新聞報(bào)道和輿論監(jiān)督等情形而必需處理的個(gè)人信息,以及在合理范圍內(nèi)處理已公開(kāi)的個(gè)人信息等情形,都不適用撤回同意權(quán)。尤其是其中第2款的規(guī)定“為訂立、履行個(gè)人作為一方當(dāng)事人的合同所必需”特別容易為企業(yè)所利用,如通過(guò)使用“微型合同”來(lái)提供個(gè)人信息,使得每項(xiàng)信息的提供都顯得是為訂立或履行合同所必需,從而很容易規(guī)避同意撤回條款(Scassa,2000),造成個(gè)人很難解決的“撤回困境”。
1.個(gè)人行使同意撤回權(quán)的心理障礙分析
國(guó)外有文獻(xiàn)從心理學(xué)角度展開(kāi)研究,通過(guò)假設(shè)信息主體在授權(quán)同意其信息被處理中的心理過(guò)程,提出大眾在已經(jīng)授權(quán)同意使用其信息的情況下,通常會(huì)拒絕審查、修改或撤回他們的同意的觀點(diǎn)(Barrigar et al.,2006)。多項(xiàng)研究都支持“一旦給予同意,就不太可能撤回”的觀點(diǎn)(Johnson et al.,2002)。本文基于心理學(xué)的互通性和資本運(yùn)作的基本規(guī)律等相同的背景,以在線讀書(shū)軟件為例,設(shè)定了相同的假設(shè)來(lái)嘗試研究我國(guó)的實(shí)踐狀況,也得出了相同的結(jié)論。
欣欣讀書(shū)(1)此名為本文因?qū)懽餍枰僭O(shè),并非真實(shí)存在的讀書(shū)軟件。是最近新上線的讀書(shū)軟件,因其提供即時(shí)和免費(fèi)的聽(tīng)書(shū)服務(wù),極大地方便了既想學(xué)習(xí)又不愿意自己讀書(shū)的群體。用戶只要戴上耳機(jī),選擇一本自己感興趣的書(shū),輕松點(diǎn)擊聽(tīng)書(shū)就能夠通過(guò)AI人聲獲取書(shū)中的內(nèi)容。但是,為了獲得這樣的服務(wù),用戶必須提供大量的個(gè)人信息,注冊(cè)成為其免費(fèi)會(huì)員。為了獲取這種便利的聽(tīng)書(shū)服務(wù),大眾紛紛提供個(gè)人信息并同意被其處理。這些用戶中的很大一部分人在注冊(cè)時(shí)根本沒(méi)有意識(shí)到自己已經(jīng)泄露了個(gè)人信息(下文稱A群體),而另一部分有信息隱私意識(shí)的群體(下文稱B群體)相對(duì)清楚地知道自己授權(quán)了欣欣讀書(shū)軟件處理其個(gè)人信息,但此時(shí),其對(duì)于使用該軟件滿足自己便利讀書(shū)的渴望超過(guò)了其對(duì)信息隱私的擔(dān)憂,所以也都完成了注冊(cè)過(guò)程,同意授權(quán)該軟件對(duì)其個(gè)人信息的處理,甚至沒(méi)有試圖理解這些過(guò)程的含義。而且B群體中也一定有部分人對(duì)我國(guó)已經(jīng)通過(guò)的《個(gè)人信息保護(hù)法》有基本的認(rèn)知,知道可以在任何時(shí)候撤回自己的同意(下文稱C群體)。接下來(lái),分別分析不同群體面對(duì)個(gè)人信息被處理的不同態(tài)度及行為選擇。
首先,A群體完全缺乏行權(quán)意識(shí)。在注冊(cè)軟件、授權(quán)同意個(gè)人信息被處理的過(guò)程中,A群體對(duì)其行為幾乎沒(méi)有法律上的認(rèn)知,甚至無(wú)法意識(shí)到其行為究竟意味著什么可能的后果,更不會(huì)想到其個(gè)人信息正在被處理。因此,對(duì)A群體來(lái)說(shuō),同意撤回權(quán)的設(shè)置幾乎毫無(wú)意義。
其次,B群體清楚地知道自己通過(guò)披露個(gè)人信息給該讀書(shū)軟件獲得了聽(tīng)書(shū)服務(wù),明白自己的行為意味著將來(lái)可能出現(xiàn)的個(gè)人信息泄露隱患,更有一部分人在這種擔(dān)憂超過(guò)對(duì)聽(tīng)書(shū)服務(wù)需求的時(shí)候會(huì)產(chǎn)生主觀上的意愿去撤回當(dāng)初的授權(quán)同意。可是,B群體中是否真的會(huì)有人撤回其同意呢?這取決于許多心理因素,這些因素可能導(dǎo)致B群體未必會(huì)表現(xiàn)為完全遵循自身利益最大化的“理性人”狀態(tài)。
出于對(duì)中華民族優(yōu)秀傳統(tǒng)文化的崇尚,國(guó)人常常標(biāo)榜自己是知行合一的人,B群體也不例外,其認(rèn)為自己會(huì)根據(jù)自己的價(jià)值觀和喜好做出謹(jǐn)慎周到的決定。然而,面對(duì)欣欣讀書(shū)軟件的免費(fèi)服務(wù),其行為舉止與價(jià)值觀并不相符:輕松地同意自己的個(gè)人信息被處理,以換取相對(duì)較小的收益。這是心理學(xué)上的一種常見(jiàn)現(xiàn)象,被稱為“認(rèn)知失調(diào)”(Barrigar et al.,2006)。根據(jù)心理學(xué)理論,當(dāng)人們的行為與態(tài)度不一致時(shí),其會(huì)感到不舒服甚至緊張(Mao et al.,2010)。欣欣讀書(shū)的例子滿足引發(fā)認(rèn)知失調(diào)的所有條件(Cooper et al.,1987):(1)B群體對(duì)于信息隱私具有相對(duì)更完整的認(rèn)識(shí),也懂得授權(quán)同意欣欣讀書(shū)處理其個(gè)人信息的隱患;(2)B群體自主作出同意授權(quán)的決定,對(duì)其授權(quán)同意的后果負(fù)有個(gè)人責(zé)任;(3)B群體明白其授權(quán)同意決定導(dǎo)致自己所重視的信息隱私受到了損害;(4)B群體完全可以通過(guò)其他方式以較小的代價(jià)解決讀書(shū)需求。
心理研究表明,大眾一般傾向于通過(guò)以下三種方式解決認(rèn)知失調(diào)問(wèn)題(Harmon-Jones et al.,1996):(1)淡化相互競(jìng)爭(zhēng)意識(shí)(Simon et al.,1995)。在本例中,B群體可能用相比了解書(shū)的內(nèi)容、充實(shí)自己的大腦被侵犯隱私或隱私本身并不重要等理由來(lái)說(shuō)服自己,以此緩解自己知行不一的緊張感,達(dá)到認(rèn)知和諧。(2)有選擇地尋求與其決定一致的信息(Ehrlich et al.,1951)。在此路徑之下,B群體可能通過(guò)更多地關(guān)注與個(gè)人信息保護(hù)有關(guān)的正面信息,例如隱私政策來(lái)安慰自己。如因?yàn)樾佬雷x書(shū)具有符合法律規(guī)定的隱私政策,處理其個(gè)人信息并不構(gòu)成對(duì)其隱私的侵犯,其仍然享有信息控制權(quán)。(3)改變態(tài)度、觀念或者行為(Elliot et al.,1994)。此種情形下,B群體可以改變自己對(duì)信息隱私的態(tài)度,以使自己認(rèn)為隱私并沒(méi)有那么重要,或者使自己不那么重視已經(jīng)披露給欣欣讀書(shū)的特定信息。畢竟,相比改變行為(注銷賬戶),B群體更容易改變自己的態(tài)度。以上每一種方式都能夠解決B群體的心理不適;與此同時(shí),每種方式都減少了B群體之后撤回其同意的可能性(Scassa,2000)。實(shí)際上,一旦其成功地解決了內(nèi)心認(rèn)知失調(diào)帶來(lái)的不舒適感,B群體中的大部分人就沒(méi)有理由重新考慮自己最初的同意。畢竟現(xiàn)在,其已經(jīng)改變了自己對(duì)信息隱私的態(tài)度,抑或覺(jué)得軟件經(jīng)營(yíng)者有隱私政策,這不構(gòu)成侵權(quán),一切都符合自己的認(rèn)知,不會(huì)也沒(méi)有動(dòng)力去考慮撤回自己的同意。
最后,C群體對(duì)我國(guó)《個(gè)人信息保護(hù)法》有基本的認(rèn)知,知道自己可以在任何時(shí)候撤回同意,而這正表明在其同意授權(quán)時(shí),已經(jīng)權(quán)衡過(guò)眼前收益的主觀價(jià)值——獲得聽(tīng)書(shū)服務(wù)與對(duì)個(gè)人信息失去控制這一不太明顯的主觀價(jià)值,即放棄了自己的信息控制權(quán)。這雖然影響很大,但在此時(shí)此刻并不那么明顯和急迫。相反,撤回同意通常會(huì)導(dǎo)致立即的損失,例如失去聽(tīng)書(shū)服務(wù),并獲得相對(duì)遙遠(yuǎn)甚至虛幻的重新控制自己個(gè)人信息的權(quán)利。面對(duì)同意與撤回所帶來(lái)的收益與損失,絕大部分普通人都會(huì)缺乏行使撤回同意權(quán)的意志。
圖1 “同意撤回的心理障礙”形成路徑圖
根據(jù)前景理論,決策是在損失似乎大于收益的情況下作出的(Scassa,2000)。如果正在考慮的決定是是否提供同意,最顯著的效果表現(xiàn)為一種“收益”:現(xiàn)在C群體通過(guò)同意,就可以立刻獲得“免費(fèi)”的聽(tīng)書(shū)服務(wù);相比之下,如果正在考慮的是是否撤回同意的決定,那么顯著的結(jié)果則很可能表現(xiàn)為一種“損失”,即失去原本已經(jīng)擁有的聽(tīng)書(shū)服務(wù)。另外,前景理論還認(rèn)為,人們對(duì)損失和獲得的敏感程度是不同的(Scassa,2000),損失所帶來(lái)的痛苦遠(yuǎn)遠(yuǎn)大于獲得所帶來(lái)的快樂(lè)。舉一個(gè)通俗的例子來(lái)講,撿到100元所帶來(lái)的快樂(lè)難以抵消丟失100元所帶來(lái)的痛苦。因此,C群體在行使撤回同意權(quán)時(shí),失去聽(tīng)書(shū)服務(wù)的痛苦會(huì)被放大,而且這種痛苦是遠(yuǎn)距離且不明顯的重新獲得信息控制權(quán)的收獲所無(wú)法彌補(bǔ)的。更何況,聰明、專業(yè)的企業(yè)運(yùn)營(yíng)人員作為信息收集者,一直都在利用稟賦理論(2)稟賦理論是指當(dāng)一個(gè)人一旦擁有某項(xiàng)物品,那么其對(duì)該物品價(jià)值的評(píng)價(jià)要比未擁有之前大大增加。牢牢控制著信息主體的授權(quán)同意行為。
綜上所述,從信息主體角度來(lái)看,我國(guó)同意撤回權(quán)立法很可能面臨“同意撤回的心理障礙”,源于用戶缺乏充分的行權(quán)意識(shí)和行權(quán)意志,再加之商家的有意誘導(dǎo)。
“同意撤回的心理障礙”形成路徑如圖1所示。
2.在博弈中形成“撤回困境”
2018年,華誼兄弟榮獲了第九屆天馬獎(jiǎng)創(chuàng)業(yè)板最佳董秘、最佳新媒體運(yùn)營(yíng)獎(jiǎng)以及第23屆華鼎獎(jiǎng)最佳制作機(jī)構(gòu)獎(jiǎng)等諸多獎(jiǎng)項(xiàng),同時(shí)華誼兄弟制作或發(fā)行的電影依舊是大獎(jiǎng)、提名的鐘愛(ài),2018年一月由華誼兄弟和美國(guó)STX聯(lián)合出品的影片《茉莉的牌局》獲得美國(guó)電視金球獎(jiǎng)提名。同年四月電影《芳華》獲得最佳影片、最佳編劇、最佳導(dǎo)演、最佳男主角以及兩位最佳新銳演員5獎(jiǎng)大項(xiàng)的提名,而最終斬獲了華鼎獎(jiǎng)電影滿意度調(diào)查最佳新銳演員獎(jiǎng)。
從信息控制者和信息主體之間的博弈來(lái)看,如前所述,信息主體已經(jīng)做出同意授權(quán)出讓自己個(gè)人信息的控制權(quán),以此交換信息處理者所提供的看似“免費(fèi)“的網(wǎng)絡(luò)服務(wù),并對(duì)已經(jīng)獲得的便捷服務(wù)產(chǎn)生了一定的依賴。信息處理者通過(guò)給予信息主體各種蠅頭小利,誘導(dǎo)更多的人成為其用戶,可以以此吸引各大品牌廣告主,還可以通過(guò)深入挖掘分析信息主體的行為數(shù)據(jù),獲取信息主體的生活習(xí)慣、興趣愛(ài)好甚至是社交網(wǎng)絡(luò)進(jìn)行精準(zhǔn)營(yíng)銷,獲得額外的收益(徐漢明 等,2020)。當(dāng)然,考慮到目前日益嚴(yán)格的數(shù)據(jù)合規(guī)要求與已經(jīng)正式出臺(tái)的《個(gè)人信息保護(hù)法》,企業(yè)必須采取一定的技術(shù)措施來(lái)保障信息主體行使撤回同意權(quán),且今后很可能不可再延續(xù)當(dāng)前的“不同意就無(wú)法享受服務(wù)”、以逼迫消費(fèi)者“自愿”同意用戶隱私協(xié)議的二選一模式(3)《個(gè)人信息保護(hù)法》第16條規(guī)定:“個(gè)人信息處理者不得以個(gè)人不同意處理其個(gè)人信息或者撤回同意為由,拒絕提供產(chǎn)品或者服務(wù);處理個(gè)人信息屬于提供產(chǎn)品或者服務(wù)所必需的除外?!薄?duì)于不同意或撤回對(duì)其個(gè)人信息處理授權(quán)的用戶,企業(yè)也需要提供基礎(chǔ)的網(wǎng)絡(luò)服務(wù),只是可能通過(guò)給授權(quán)用戶提供更多增值服務(wù)的方式來(lái)體現(xiàn)差別。
在信息處理者和信息主體之間的動(dòng)態(tài)博弈中,雙方會(huì)根據(jù)我國(guó)個(gè)人信息保護(hù)執(zhí)行力度的加大、企業(yè)個(gè)人信息保護(hù)成本的變化、普通大眾個(gè)人信息保護(hù)意識(shí)的提升、同意撤回權(quán)制度的普及等條件作出決策,且會(huì)在此過(guò)程中通過(guò)學(xué)習(xí)、試錯(cuò)、模仿和總結(jié)他人的信息,從而調(diào)整和修正自己的行為策略。在每一次的博弈條件變化中,經(jīng)過(guò)重復(fù)博弈走向局部穩(wěn)定策略并實(shí)現(xiàn)穩(wěn)定均衡。
基于以上分析,本文對(duì)信息處理者和信息主體的收益做出如下假設(shè):
·信息主體在使用網(wǎng)絡(luò)服務(wù)時(shí)所獲得的固定收益為P1(P1≥0)
·信息主體通過(guò)授權(quán)同意獲得的增值收益為P2(P2>P1,P2>0)
·信息主體撤回同意時(shí)失去的收益為P3(P3>0)
·信息處理者為信息主體提供服務(wù)所能獲得的基礎(chǔ)收益為S1
·信息處理者獲得授權(quán)同意而進(jìn)行數(shù)據(jù)價(jià)值挖掘所能獲得的增值收益為S2(基于目前的信息技術(shù)及市場(chǎng)條件,一般S2>S1)
·信息處理者不滿足信息主體的同意撤回權(quán)時(shí)所承擔(dān)的違法成本為C2(C2>0,且將隨法律執(zhí)行力度加大而升高)
綜合以上假設(shè),在國(guó)家現(xiàn)行法律和政策不變、國(guó)民整體素質(zhì)穩(wěn)定的前提下,信息處理者和信息主體直接博弈的支付矩陣如圖2所示。
信息處理者信息主體 同意 不同意 撤回 (P1+P2-P3, S1+S2-C1) (P1+P2-P3, S1+S2-C2) 不撤回 (P1+P2, S1+S2-C1) (P1+P2, S1+S2)
圖2顯示,當(dāng)信息主體選擇撤回同意時(shí),對(duì)于信息處理者而言,在S1+S2-C1與S1+S2-C2中,信息處理者將會(huì)對(duì)其投入與產(chǎn)出進(jìn)行利益衡量。若C1>C2,則S1+S2-C1 同意撤回權(quán)被侵犯的信息主體,由于目前還缺乏直接針對(duì)信息主體的個(gè)人信息權(quán)益遭到侵害時(shí)便利的救濟(jì)措施,在很大程度上只能默認(rèn)有權(quán)利無(wú)法行使也無(wú)救濟(jì)的現(xiàn)狀,也就致使同意撤回權(quán)制度存在一定程度的虛化。若C1 上述分析表明:在信息處理者和信息主體之間的博弈中,僅有信息主體同意撤回的意愿并不能夠促成信息處理者為之作出同意撤回的結(jié)果,經(jīng)過(guò)自身利益及現(xiàn)實(shí)情況的衡量,最終信息主體和信息處理者都將選擇不同意撤回,造成“同意撤回困境”。然而,當(dāng)有政府機(jī)關(guān)的行政監(jiān)管介入該博弈模型,使得信息處理者的違法成本超過(guò)其建立同意撤回操作渠道的技術(shù)成本時(shí),信息處理者無(wú)論是從其資本投入還是從企業(yè)合規(guī)考慮,都會(huì)做出其投資更少、效果更好的選擇(高秦偉,2019),即愿意投入技術(shù)資本建立同意撤回渠道,保障信息主體的同意撤回權(quán)能夠行使。如果沒(méi)有行政外力的介入,(P1+P2,S1+S2)也就成了本次博弈唯一的納什均衡點(diǎn),能夠使雙方總收益達(dá)到最優(yōu)。這也就表明,除非有強(qiáng)有力的行政干預(yù)介入,否則信息主體一旦做出了授權(quán)同意,基本上也就沒(méi)有撤回其同意授權(quán)的可能,“撤回同意”困境將很難打破。 從前述研究可知,同意撤回權(quán)立法的實(shí)施主要面臨著信息主體心理因素上的撤回困境及博弈中的撤回困境,而在這兩個(gè)困境的解決中,與如何合理規(guī)制作為信息控制者的企業(yè)行為相比,如何破除個(gè)人信息主體的同意撤回心理障礙似乎是更為棘手的問(wèn)題。畢竟,企業(yè)作為營(yíng)利機(jī)構(gòu)有其明顯的目的性,政府完全能夠通過(guò)行政手段在與其博弈過(guò)程中逐漸規(guī)制其行為,以保障立法目的實(shí)現(xiàn)(魏益華 等,2019)。然而,普遍存在的民眾的心理障礙不是某個(gè)機(jī)關(guān)或簡(jiǎn)單的幾個(gè)法律條文就能夠解決的。正如馬斯洛在激勵(lì)原理中所言,人是一種欲壑難填的動(dòng)物,只會(huì)被自己所沒(méi)有卻能夠通過(guò)努力得到的東西而激勵(lì)(馬斯洛,1987)。這正是普通大眾愿意為了一點(diǎn)蠅頭小利而授權(quán)同意處理自己的個(gè)人信息的深層原因。薩特指出,人是意識(shí)到好處之后才會(huì)行動(dòng)的(薩特,1987)。那么個(gè)人信息保護(hù)立法應(yīng)如何給予信息主體拒絕不合法信息處理行為、及時(shí)撤回不必要的個(gè)人信息的同意授權(quán)的激勵(lì)呢?這還需要更進(jìn)一步深入的研究。 因此,在個(gè)人信息過(guò)度收集與濫用頻發(fā),個(gè)人的信息安全遭受到嚴(yán)重侵害,不得不重新平衡信息主體與信息處理者之間利益的當(dāng)下,有效激勵(lì)信息主體在必要時(shí)行使同意撤回權(quán)的路徑還不明朗,在同意撤回的博弈中信息主體處于絕對(duì)弱勢(shì)地位,信息處理者在信息、技術(shù)方面又有絕對(duì)優(yōu)勢(shì)?;诖耍疚慕ㄗh,在完善相關(guān)法律法規(guī),加強(qiáng)我國(guó)重視個(gè)人隱私、加強(qiáng)個(gè)人信息保護(hù)觀念的宣講及提高個(gè)人信息保護(hù)法律普及率的同時(shí),政府機(jī)關(guān)應(yīng)當(dāng)更有效地介入同意撤回權(quán)的法律實(shí)施中,有效改善信息主體與信息處理者之間的博弈,以在如今公眾個(gè)人信息保護(hù)意識(shí)還薄弱、能力還不具備、相關(guān)救濟(jì)措施并不明確的情況下,真正使《個(gè)人信息保護(hù)法》發(fā)揮實(shí)質(zhì)性作用。 基于本文的研究結(jié)果和解決同意撤回困境中的現(xiàn)實(shí)困難,在現(xiàn)有理論和實(shí)踐條件下,為促使同意撤回權(quán)制度的有效實(shí)施,在此提出以下政策建議: 針對(duì)前文討論的信息主體因同意撤回的心理障礙而缺乏有效的行權(quán)意識(shí)和行權(quán)意志的問(wèn)題,各國(guó)(地區(qū))采取的應(yīng)對(duì)方式一般是加強(qiáng)行政監(jiān)管的力量,構(gòu)建公權(quán)力主導(dǎo)的統(tǒng)一的個(gè)人信息監(jiān)督管理機(jī)構(gòu),諸如歐盟的數(shù)據(jù)保護(hù)專員、美國(guó)的隱私專員公署、日本的主管大臣、我國(guó)香港地區(qū)的個(gè)人資料隱私專員公署等。 我國(guó)目前的信息監(jiān)管權(quán)力比較分散,主要是由網(wǎng)信部門(mén)綜合協(xié)調(diào),公安部門(mén)、工信部門(mén)、市場(chǎng)監(jiān)督管理部門(mén)以及其他行業(yè)主管部門(mén)在各自職責(zé)范圍內(nèi)行使監(jiān)督管理職責(zé),這些行業(yè)主管部門(mén)又包括金融、醫(yī)療、教育、交通等非常廣泛的領(lǐng)域(肖登輝 等,2017)?!秱€(gè)人信息保護(hù)法》延續(xù)了這一行政監(jiān)管模式。但是,多頭治理很容易帶來(lái)執(zhí)法標(biāo)準(zhǔn)不一,交叉領(lǐng)域監(jiān)管難、監(jiān)管混亂等問(wèn)題,并非大數(shù)據(jù)時(shí)代的最佳選擇(曾錚 等,2021)。建立統(tǒng)一的個(gè)人信息監(jiān)督管理機(jī)構(gòu)對(duì)于統(tǒng)籌協(xié)調(diào)全國(guó)個(gè)人信息保護(hù)的行政監(jiān)管和執(zhí)法工作,脫離行業(yè)利益地解決有關(guān)機(jī)構(gòu)、組織和個(gè)人之間的信息利益沖突,構(gòu)建更加安全、健康、公平的個(gè)人信息管理秩序至關(guān)重要。同時(shí),建立統(tǒng)一的個(gè)人信息監(jiān)督管理機(jī)構(gòu),也有利于促進(jìn)全社會(huì)的個(gè)人信息保護(hù)意識(shí)提升,暢通個(gè)人消費(fèi)者的維權(quán)渠道,避免出現(xiàn)個(gè)人信息利益受損后求助無(wú)門(mén),甚至被各個(gè)部門(mén)“踢皮球”的現(xiàn)象發(fā)生,是加強(qiáng)我國(guó)個(gè)人信息保護(hù)的關(guān)鍵性一步(王磊,2021)。 因此,建議在網(wǎng)信部門(mén)下設(shè)置專門(mén)的機(jī)構(gòu)和職位,專職負(fù)責(zé)監(jiān)督個(gè)人信息領(lǐng)域的信息處理各環(huán)節(jié)、各主體的法定義務(wù)履行情況,切實(shí)保護(hù)個(gè)人信息安全,在信息主體與信息處理者之間的博弈中起到更有效的調(diào)節(jié)作用。 《個(gè)人信息保護(hù)法》第58條新增了超大互聯(lián)網(wǎng)平臺(tái)特定的個(gè)人信息保護(hù)義務(wù),即“提供重要互聯(lián)網(wǎng)平臺(tái)服務(wù)、用戶數(shù)量巨大、業(yè)務(wù)類型復(fù)雜的個(gè)人信息處理者,應(yīng)當(dāng)履行下列義務(wù):(一)按照國(guó)家規(guī)定建立健全個(gè)人信息保護(hù)合規(guī)制度體系,成立主要由外部成員組成的獨(dú)立機(jī)構(gòu)對(duì)個(gè)人信息保護(hù)情況進(jìn)行監(jiān)督;(二)遵循公開(kāi)、公平、公正的原則,制定平臺(tái)規(guī)則,明確平臺(tái)內(nèi)產(chǎn)品或者服務(wù)提供者處理個(gè)人信息的規(guī)范和保護(hù)個(gè)人信息的義務(wù);(三)對(duì)嚴(yán)重違反法律、行政法規(guī)處理個(gè)人信息的平臺(tái)內(nèi)的產(chǎn)品或者服務(wù)提供者,停止提供服務(wù);(四)定期發(fā)布個(gè)人信息保護(hù)社會(huì)責(zé)任報(bào)告,接受社會(huì)監(jiān)督。”這一規(guī)定首次從法律層面明確提出強(qiáng)化超大互聯(lián)網(wǎng)平臺(tái)個(gè)人信息保護(hù)義務(wù)的要求,是符合目前市場(chǎng)上超大平臺(tái)與個(gè)人用戶力量嚴(yán)重懸殊的現(xiàn)實(shí)狀況的。建議在下一步立法中進(jìn)一步明確超大互聯(lián)網(wǎng)平臺(tái)特定的個(gè)人信息保護(hù)義務(wù)的具體內(nèi)容,尤其是應(yīng)充分考慮個(gè)人用戶同意撤回權(quán)的落實(shí)措施,將相關(guān)具體內(nèi)容增加到該條款中。先從超大互聯(lián)網(wǎng)平臺(tái)開(kāi)始要求為信息主體提供便捷的撤回同意的方式,并為今后推廣到所有的信息處理者提供試點(diǎn)經(jīng)驗(yàn)。 1.細(xì)化規(guī)則設(shè)計(jì),防范規(guī)避行為 如前文分析,因現(xiàn)行《個(gè)人信息保護(hù)法》對(duì)同意撤回權(quán)的適用劃定了嚴(yán)格的范圍限制,即僅限于根據(jù)其個(gè)人同意而授權(quán)的個(gè)人信息,這就為企業(yè)通過(guò)“微型合同”來(lái)規(guī)避該條款留下了較大操作空間。因此,在后續(xù)審議修改過(guò)程中要細(xì)化和完善規(guī)則的具體設(shè)計(jì):一是適當(dāng)擴(kuò)大該條的適用范圍,尤其要注意規(guī)定互聯(lián)網(wǎng)企業(yè)通過(guò)微型合同收集信息的撤回規(guī)則,規(guī)定人為切割合同的情形下應(yīng)將系列“微型合同”視為一個(gè)合同整體進(jìn)行法律適用;同時(shí),同意撤回權(quán)也必須受到一定的限制,如其行使不能影響數(shù)據(jù)信息的留存義務(wù)的履行(萬(wàn)方,2021)。二是嚴(yán)格規(guī)范主客觀適用條件,確保信息主體告知義務(wù)的完備性。信息主體通過(guò)“同意撤回”行使了更多的信息控制權(quán),而該權(quán)利在某種意義上是以信息處理者的利益損失為代價(jià)的,因此有必要完備信息主體的告知義務(wù),避免對(duì)信息處理者造成過(guò)大的合規(guī)負(fù)擔(dān)。三是規(guī)范同意撤回權(quán)的實(shí)現(xiàn)流程,如明確提出信息主體履行告知義務(wù)的流程及后期撤回同意結(jié)果的反饋流程等,將可能出現(xiàn)的相關(guān)風(fēng)險(xiǎn)盡量控制在合理的范圍之內(nèi)。 2.允許行業(yè)間的一定差異空間 互聯(lián)網(wǎng)企業(yè)作為同意撤回權(quán)行權(quán)的最終環(huán)節(jié),關(guān)系同意撤回權(quán)能在多大程度上得到落實(shí)并真正發(fā)揮作用。個(gè)人信息保護(hù)與數(shù)據(jù)產(chǎn)業(yè)發(fā)展并非水火不容,關(guān)鍵是要厘清企業(yè)發(fā)展權(quán)與其承擔(dān)社會(huì)責(zé)任之間的邊界,平衡互聯(lián)網(wǎng)企業(yè)發(fā)展權(quán)和個(gè)人同意撤回權(quán)之間的沖突(陽(yáng)鎮(zhèn) 等,2020)。由于不同行業(yè)的情況有所差異,如醫(yī)療行業(yè)應(yīng)更多考慮病人隱私權(quán)的保護(hù)與傳染病防治公共利益的協(xié)調(diào),金融行業(yè)應(yīng)注意國(guó)家宏觀經(jīng)濟(jì)調(diào)控的需求與反洗錢(qián)的監(jiān)管保障,因此應(yīng)當(dāng)結(jié)合行業(yè)特征制定具體的操作細(xì)則,盡可能地綜合平衡需要保護(hù)的多重利益,在保護(hù)自然人的個(gè)人信息利益的同時(shí)也要兼顧企業(yè)的發(fā)展權(quán)乃至國(guó)家的數(shù)據(jù)安全、公共利益維護(hù),爭(zhēng)取實(shí)現(xiàn)信息保護(hù)與信息利用之間的動(dòng)態(tài)平衡。 在個(gè)人信息泄露常態(tài)化、信息保護(hù)與數(shù)據(jù)安全制度亟待完善的今天,雖然《個(gè)人信息保護(hù)法》已經(jīng)出臺(tái),但要意識(shí)到個(gè)人信息處理領(lǐng)域仍然缺乏一套適合我國(guó)現(xiàn)狀的完善的制度設(shè)計(jì),尤其是現(xiàn)階段廣泛使用的“知情同意”框架存在巨大不足,甚至在一定程度上成了企業(yè)不合理處理個(gè)人信息時(shí)規(guī)避法律風(fēng)險(xiǎn)的工具。與之相對(duì)應(yīng)的,“同意撤回權(quán)”作為我國(guó)個(gè)人信息“退出”的可能路徑,雖得以確立,但其制度設(shè)置還不明確,有若干問(wèn)題沒(méi)有解決,且未能引起學(xué)界的廣泛關(guān)注。實(shí)際上,同意撤回權(quán)的設(shè)置能夠在現(xiàn)實(shí)邏輯和主觀理念上帶來(lái)新的啟發(fā),以尋求信息主體的信息利益與企業(yè)的商業(yè)利益之間的平衡與進(jìn)步。因此,本文通過(guò)心理學(xué)與經(jīng)濟(jì)學(xué)的方法對(duì)同意撤回的現(xiàn)實(shí)困境進(jìn)行研究發(fā)現(xiàn),基于我國(guó)的現(xiàn)實(shí)狀況,人性與各主體利益的復(fù)雜化使得同意撤回權(quán)的真正落實(shí)任重而道遠(yuǎn)。只有正視這一問(wèn)題,引導(dǎo)學(xué)界進(jìn)行廣泛討論與研究,設(shè)計(jì)有效的規(guī)則來(lái)保障這一權(quán)利的實(shí)效發(fā)揮,彌補(bǔ)“知情同意”制度的不足,引導(dǎo)企業(yè)合理合法地處理數(shù)據(jù),方能促進(jìn)信息資源的挖掘與數(shù)據(jù)產(chǎn)業(yè)的長(zhǎng)遠(yuǎn)健康發(fā)展。四、對(duì)同意撤回權(quán)制度的完善建議
(一)設(shè)置專門(mén)的個(gè)人信息監(jiān)督管理機(jī)構(gòu)與職位,彌補(bǔ)多頭管理模式的不足
(二)明確超大互聯(lián)網(wǎng)平臺(tái)特定的個(gè)人信息保護(hù)義務(wù)內(nèi)容,保障同意撤回權(quán)的操作便捷
(三)細(xì)化同意撤回權(quán)的適用規(guī)則,平衡信息保護(hù)與信息利用間的利益沖突
五、結(jié)語(yǔ)