江林紅

（安徽大學(xué) 法學(xué)院，安徽 合肥 230000）

一、告知義務(wù)的理論基礎(chǔ)

（一）信義關(guān)系理論

從民法的角度來看，信息處理者與提供者之間很顯然是一種平等的民事法律關(guān)系，以企業(yè)為例，企業(yè)作為主要的個人信息提供者，其與個人之間應(yīng)該是民事上的平等主體，權(quán)利義務(wù)對等。但在個人信息保護這個問題上，《個人信息保護法》顯然將企業(yè)作為重點規(guī)制對象，原因在于企業(yè)與用戶之間存在著嚴(yán)重的信息不對稱。這種關(guān)系類似于消費者和商家，二者之間也存在很大的力量差距，所以需要出臺《消費者權(quán)益保護法》對處于弱勢地位的消費者進行單獨的立法保護。

回歸到企業(yè)與用戶之間，當(dāng)企業(yè)推出一項新的產(chǎn)品，用戶基于對產(chǎn)品的喜愛和對企業(yè)的信賴自愿向企業(yè)平臺組織提交個人信息后，企業(yè)與用戶之間就形成一種不對等的關(guān)系，在西方國家將其稱為信義關(guān)系。作為強勢一方的企業(yè)對處于弱勢一方的用戶要承擔(dān)起信義義務(wù)，信義義務(wù)最早出現(xiàn)于英美法系，后來被大陸法系國家引進和使用，并逐漸成為社會組織中通行的一種規(guī)則。所謂的信義義務(wù)是對那些由于接受信賴邀請而處于特殊不利地位的人承擔(dān)的照顧、保密和真誠義務(wù)，而且信息越不平衡，力量懸殊越大，控制力度就越大，對信義義務(wù)的要求也會越高。顯然信息處理者與信息提供者之間存在信義關(guān)系，信息處理者基于信義關(guān)系不可避免地要承擔(dān)起信義義務(wù)，而告知義務(wù)屬于信義義務(wù)的一部分。

（二）個人信息的雙重屬性

關(guān)于個人信息的屬性問題，目前學(xué)術(shù)界仍存在爭議，大多數(shù)學(xué)者贊同雙重屬性說，即個人信息兼具財產(chǎn)權(quán)和人格權(quán)。雙重屬性理論認為，作為權(quán)利客體的個人信息具有人格與財產(chǎn)的雙重價值，所以個人信息在本質(zhì)上是一種包含財產(chǎn)利益的人格權(quán)。這種說法不難理解，個人信息的財產(chǎn)屬性是外在的，是可以通過經(jīng)濟利益進行衡量的，并且個人信息具有很大的經(jīng)濟價值，所以日常生活中違法買賣、提供個人信息問題越來越嚴(yán)重，顯然違法者將其看作一種財產(chǎn)，獲取到個人信息意味著可以賺錢。但是從本質(zhì)上來說，財產(chǎn)屬性離不開個人這個信息載體，人格屬性才是最終歸屬。人格屬性體現(xiàn)在個人信息是反映某個人一些具體特征從而能夠識別出該特定人的一系列信息，它與特定人的個人評價和社會評價是緊密聯(lián)系的。如果信息處理者未經(jīng)告知隨意收集、處理、使用他人的個人信息，就會侵犯到他人的人格利益，降低人格尊嚴(yán)價值，進而侵害到他人作為人的主體地位，后果是非常嚴(yán)重的。《個人信息保護法》設(shè)定告知義務(wù)規(guī)則目的在于強化個人信息提供者的人格尊嚴(yán)和主體地位，更大程度上維護其對個人信息的知情權(quán)，而知情權(quán)的行使則是以信息處理者履行告知義務(wù)為前提。

（三）公開透明原則

公開透明原則最初被用來約束政府等行政機關(guān)活動，后來被引入到各個階層和領(lǐng)域，《個人信息保護法》也將其確立為一項基本原則。公開透明原則是個人行使知情權(quán)和決定權(quán)的保障。在處理個人信息過程中，信息處理者處于技術(shù)優(yōu)勢地位，個人對于自己的何種信息會被以何種方式處理，以及用于何種目的都是不得而知的，對于處理活動可能會產(chǎn)生的后果也難以預(yù)測。公開透明原則要求信息處理者全面告知個人信息處理活動中的相關(guān)重要事項，包括處理目的、方式和范圍等，有統(tǒng)一處理規(guī)則的，還應(yīng)當(dāng)公開處理規(guī)則。即便是不需要相對人同意就可收集的個人信息，法律也是規(guī)定了告知義務(wù)，因為不需要征得同意并不等于可以不告知，取得同意本質(zhì)上側(cè)重于保護“信息”這個客體，而告知是對攜帶信息的主體的人格尊重。從這個意義上來說，不論是基于個人同意還是基于法律規(guī)定，在公開透明原則的要求之下，信息處理者都有義務(wù)履行告知義務(wù)，個人都有權(quán)知悉其個人信息的處理進展情況。

二、告知義務(wù)的法律規(guī)定

（一）告知事項

根據(jù)《個人信息保護法》第十七條規(guī)定，個人信息處理者在處理個人信息前，應(yīng)當(dāng)將下列四種事項告知個人信息提供者，在個人信息提供者知情同意的范圍內(nèi)合理使用其個人信息。

1.個人信息處理者的名稱和聯(lián)系方式。個人信息處理者作為信息收集者在很大程度上也是信息使用者，但也不排除將個人信息提供給他人使用的可能，不管供誰使用，都必須將使用主體告知相對人，這樣保障了信息主體明白何人在收集自己的個人信息，為進一步維權(quán)奠定基礎(chǔ)。

2.處理個人信息的目的、方式，以及個人信息的種類和保存期限。告知處理目的原因在于信息處理者必須保證合理的使用這些信息，不得超過目的范圍，一定要在信息提供者個人知情的范圍之內(nèi)合目的的使用。關(guān)于處理方式，個人信息處理者究竟是收集、存儲、使用個人信息等其中一種，還是對其進行綜合處理，此種事項必須告知相對人且要獲得其同意才能處理。告知個人信息種類是確保信息提供者內(nèi)心有個判斷，即對于所提供的信息具體屬于哪一類有個區(qū)分，因為越是敏感程度高的信息，其存在的風(fēng)險就越大。保存期限也是必須告知的內(nèi)容，明確期限意味著禁止無期限的使用個人信息，同時也為信息提供者行使刪除權(quán)提供時效保障。

3.行使《個人信息保護法》規(guī)定權(quán)利的方式和程序。日常生活中信息提供者大部分都是普通民眾，對于法律的規(guī)定了解不夠詳細，對于自身合法擁有的權(quán)利認識不到位，信息處理者作為信息關(guān)系中的強勢一方，理應(yīng)告知相對人維護合法利益的方式和途徑。

4.其他應(yīng)當(dāng)告知的事項。任何一項法律規(guī)定都不能過于絕對，窮盡一切可能，社會是變化多端的，要為將來的立法活動預(yù)留適當(dāng)?shù)目臻g。

除此之外，個人信息處理者之間將個人信息進行二次傳輸時也必須履行相應(yīng)的告知義務(wù)，包括信息單向傳遞和信息共享，確保用戶的知情權(quán)和決定權(quán)得到充分保障。具體來說就是個人信息處理者在信息進行二次傳輸前，要盡到合理審查的義務(wù)，將相對方的基本情況、收集信息的目的和使用信息的范圍等內(nèi)容進行登記，然后要將信息傳輸情況告知個人信息提供者本人，對于必須經(jīng)過同意方可處理的信息還要取得個人的授權(quán)同意。一般來說傳輸相對方在接受傳輸信息后是不需要履行告知義務(wù)的，因為信息處理者已經(jīng)事先履行了告知義務(wù)，信息提供者對應(yīng)當(dāng)知情的事項已經(jīng)知悉。但是如果傳輸相對方改變了個人信息的使用目的和方式，則要重新取得本人同意，此時告知義務(wù)就不能免除了。

總的來說，《個人信息保護法》關(guān)于信息處理者應(yīng)當(dāng)告知的事項規(guī)定的很細致全面，但是考慮到信息提供者對于個人信息風(fēng)險的識別能力并不強，就算信息處理者如實履行目前法律規(guī)定的告知義務(wù)，取得個人的同意，如果提供者并沒有正確認識到同意的后果，即可能會發(fā)生的風(fēng)險問題，對個人來說是極大的危害，也不利于個人信息保護。所以為了保證法律在實踐中適用時可以達到更好的適用效果，有必要對個人信息的風(fēng)險評估等級進行研究。

（二）告知形式

《個人信息保護法》對告知形式規(guī)定的是采用“顯著方式、清晰易懂的語言真實、準(zhǔn)確、完整”地告知。在日常生活中很多企業(yè)平臺的告知義務(wù)是以“一紙合同”的方式來履行，且內(nèi)容也過于空泛，并沒有達到淺顯易懂、告知事項一目了然的程度。很多企業(yè)為了實現(xiàn)自身利益使用傳統(tǒng)的隱私聲明對本該認真履行的告知義務(wù)敷衍了事，并不能真正維護到用戶的知情權(quán)。故此《個人信息保護法》創(chuàng)設(shè)此項條款，突出“顯著方式”是為了解決很多企業(yè)用繁雜冗長的隱私政策條款將告知義務(wù)包含在其中一帶而過，造成大部分用戶并沒有仔細瀏覽條款而直接同意的普遍現(xiàn)象，嚴(yán)重侵害了個人的知情權(quán)和決定權(quán)。通過將告知形式明確規(guī)定為“清晰易懂”，是防止信息處理者采用晦澀難懂，甚至帶有技術(shù)色彩的語言進行告知。該項規(guī)定讓信息提供者對重要事項有一目了然的認識，能很好地維護個人信息權(quán)利，有效打擊個人信息處理者以不真誠的方式獲取個人信息的行為，確保告知規(guī)則可以落到實處，真正發(fā)揮作用。

但是在實踐中，告知對象可能存在不同的情形，比如“一對一告知”模式和“一對多告知”模式，前者主要針對人員數(shù)量較少的情形下采用的人工告知；后者則是上文提到的企業(yè)平臺采取的自動化告知，屬于較為普遍的告知方式。兩種情形下告知義務(wù)的履行還是存在差異的，為了更好地規(guī)范履行方式，可以對兩種情形作出區(qū)分。

（三）免除告知義務(wù)的情形

個人信息作為一種人格利益，一旦信息處理者免除告知義務(wù)，不僅個人的知情權(quán)會受到侵害，而且發(fā)生危害后也難以尋求救濟，所以立法對于告知義務(wù)的免除慎之又慎。但是個人信息保護不只是保護個人利益，在大數(shù)據(jù)時代，社會的整體運作也需要信息的流通和共享?；趪液凸怖婵紤]，有些情形下不得不免除信息處理者的告知義務(wù)，否則公共利益會受到侵害。所以立法要在兩種利益之間尋求平衡。

根據(jù)《個人信息保護法》規(guī)定，對于一般個人信息處理者來說，有法律、行政法規(guī)規(guī)定應(yīng)當(dāng)保密或者不需要告知情形的可以不告知；對于國家機關(guān)來說，除上述情形外，如果告知妨礙國家機關(guān)履行法定職責(zé)的也可以不告知。這項規(guī)定在實踐中運用時可能存在，是有法律、行政法規(guī)規(guī)定不需要告知情形的可以不告知，還是主客觀判斷情形下的不需要告知。應(yīng)當(dāng)屬于第二種情形，因為應(yīng)當(dāng)保密的情形在《中華人民共和國保守國家秘密法》《刑事訴訟法》等法律中有所規(guī)定，但是并沒有哪些法律規(guī)定了不需要告知的情形。那么法律在具體適用時究竟哪些情形屬于不需要告知的情形呢？基于不同個人對不需要告知情形的主觀認識程度不同，難免會導(dǎo)致判斷標(biāo)準(zhǔn)不一。什么情況下可以被認為是妨礙國家機關(guān)履行法定職責(zé)？對于這個問題，站在不同的立場就會有不同的答案，同樣判斷標(biāo)準(zhǔn)難以統(tǒng)一。所以為了確?！秱€人信息保護法》在實踐中更好地發(fā)揮作用，真正落到實處，有必要對兩種免除告知情形作進一步規(guī)定。

三、完善告知義務(wù)的路徑思考

（一）告知事項增加風(fēng)險評估

關(guān)于評估在《個人信息保護法》第五十五條—五十六條有所涉及，即對于敏感個人信息等其他對個人權(quán)益影響重大的情況時，在處理個人信息前要進行影響評估。但這種影響評估不同于風(fēng)險評估，影響評估的目的在于通過事前評估，動態(tài)掌握個人信息保護的風(fēng)險，從而采用對信息主體損害最低的方式來處理個人信息。風(fēng)險評估是對欲收集的個人信息可能發(fā)生的合理風(fēng)險進行評估，信息提供者因為知識水平有限，通常情況下對個人信息可能預(yù)見的風(fēng)險并沒有什么認知，而信息處理者擁有專業(yè)的技術(shù)人才，掌握專門知識，根據(jù)信義關(guān)系理論其有義務(wù)將風(fēng)險評估事項告知信息提供者，充分保障個人知情權(quán)和決定權(quán)。

但是要求信息處理者對所有準(zhǔn)備收集的個人信息都進行風(fēng)險評估顯然不太現(xiàn)實，就像法律對于影響評估制度也是列舉了各種情形。在這個問題上可以參考美國實踐通行的做法。美國對于個人信息風(fēng)險評估是交給行業(yè)協(xié)會來辦理，行業(yè)協(xié)會作為風(fēng)險評估的專門機構(gòu)，給個人信息劃分出不同的風(fēng)險等級，信息處理者根據(jù)不同的風(fēng)險評估等級履行相應(yīng)的告知義務(wù)。也就是說對于風(fēng)險不大的個人信息的告知事項可以不包括風(fēng)險評估；對于專門機構(gòu)認定的風(fēng)險較大的個人信息，告知義務(wù)要求增加風(fēng)險評估。目前我國并沒有成立個人信息保護相關(guān)行業(yè)協(xié)會或者專門機構(gòu)，未來可以考慮向這個方向發(fā)展。

（二）區(qū)分不同告知方式

根據(jù)收集信息的場合、人員數(shù)量不同，區(qū)分不同的告知方式。

第一，“一對一”人數(shù)較少的情況，比如個人申請資格證書登記、不動產(chǎn)登記等事項，告知義務(wù)的方式可以采用書面的形式，比如登記申請書。在電子商務(wù)時代，個人信息的使用需要更多地使用互聯(lián)網(wǎng)和電子媒體，而書面紙質(zhì)文書在新網(wǎng)絡(luò)環(huán)境中的應(yīng)用凸顯了其局限性。為了適應(yīng)當(dāng)前網(wǎng)絡(luò)媒體的新方式，可以將告知義務(wù)的書面方式進一步抽象化，對書面方式做擴大解釋，書面方式不僅包括紙質(zhì)的形式，也包括電子形式。在提供個人信息之前，需要個人信息處理者對信息處理目的、處理方式等內(nèi)容通過書面形式具體告知。同時為了避免內(nèi)容繁雜，條款冗長，還可以采用問卷的形式，清晰明了，信息提供者可以在告知內(nèi)容中選擇同意或者不同意。此類紙質(zhì)文書或者電子文檔應(yīng)當(dāng)由信息提供者留檔保存，一旦就告知規(guī)則發(fā)生糾紛時，其可以作為信息處理者履行過告知義務(wù)的證據(jù)。

第二，“一對多”人數(shù)眾多的情況，主要是指網(wǎng)絡(luò)平臺作為信息處理者收集用戶個人信息進行自動化處理的過程。這種情形下企業(yè)平臺為了保證效率，一般都會事先擬出一份個人信息處理規(guī)則，然后對所有自愿加入平臺組織的用戶統(tǒng)一適用，也就是上文所提及的“隱私政策條款”。但是傳統(tǒng)的隱私條款不僅晦澀難懂，而且一經(jīng)同意成為用戶后就很難再找到，所以《個人信息保護法》規(guī)定了通過個人信息處理規(guī)則履行告知義務(wù)的，處理規(guī)則應(yīng)當(dāng)公開，而且要方便用戶保存和查詢。目前網(wǎng)絡(luò)APP 對于隱私條款可供查詢工作已經(jīng)基本落實，但是原文條款過于冗長，即使是事后也少有用戶會仔細審閱，于是各大APP 開始探索新的途徑，紛紛設(shè)置政策摘要或者簡明版，通過加粗重點字符，突出問題。比如淘寶就在《隱私權(quán)政策》基礎(chǔ)上，新增“隱私政策摘要”一欄，通過圖標(biāo)、表格的形式清晰透明地反映重點條款，讓用戶可以更直觀地進行自主選擇。在隱私權(quán)益保障措施方面，明確具體操作步驟，這些對于大部分用戶來說，都是可以直接操作的，提高自主保護優(yōu)勢。對于實踐中取得成效的做法，未來立法工作可以以其為導(dǎo)向，完善相關(guān)制度。

（三）細化免除告知義務(wù)的情形

一是不需要告知的情形。既然認定為不需要告知，要么就是信息提供者對告知事項已經(jīng)知悉，要么就是告知已經(jīng)沒有實際意義。上文提到過對于經(jīng)過二次流轉(zhuǎn)的個人信息在不改變處理目的和方式等的情況下，接收信息一方不需要再履行告知義務(wù)，因為在信息流轉(zhuǎn)前，信息處理者已經(jīng)告知了個人相關(guān)事項。另一種情況下是告知無意義，主要就是針對已經(jīng)公開的信息，可以默認這類信息主體對于他人處理自己已經(jīng)公開的信息表示同意，免除告知義務(wù)不僅可以節(jié)約社會資源，也可以減少對信息提供者的打擾，畢竟對于已經(jīng)公開的信息，提供者也不想一次又一次被征求意見。有學(xué)者提出，對于國家機關(guān)來說可能還存在行政成本過高而不需要告知的情形，比如行政機關(guān)因為行政管理的需要，所公布的視頻或者照片中出現(xiàn)的人臉信息，這種說法是可以的，但是應(yīng)該將處理者僅限于國家機關(guān)，對于企業(yè)等其他處理者來說就不能適用。二是告知會妨礙國家機關(guān)履行法定職責(zé)的情形。理解這種情形應(yīng)該將焦點放在“妨礙”上。

四、結(jié)語

個人信息保護是一個系統(tǒng)工程，也是一場持久戰(zhàn)，其中告知義務(wù)居于首要地位，因為它是信息處理者進行收集、使用、存儲等一系列個人信息處理活動的前提。《個人信息保護法》增設(shè)信息處理者的告知義務(wù)規(guī)定值得肯定，為信息主體的知情權(quán)提供了有效的法律保障。但是與此同時，為了增強法律的適用性和確定性，對于立法沒有明確規(guī)定的情形，今后依然需要繼續(xù)努力構(gòu)建完備的信息處理者告知義務(wù)規(guī)制體系，不斷強化對信息主體權(quán)益的保護。