金善港
(新疆財(cái)經(jīng)大學(xué)法學(xué)院,新疆 烏魯木齊 830012)
數(shù)字經(jīng)濟(jì)時(shí)代,個(gè)人信息新的存在方式賦予了人的數(shù)字屬性,個(gè)人信息成為數(shù)字經(jīng)濟(jì)運(yùn)行中的重要內(nèi)容。個(gè)人數(shù)據(jù)信息的收集、分析和利用是構(gòu)成數(shù)字經(jīng)濟(jì)的基石,其關(guān)系到數(shù)字經(jīng)濟(jì)的運(yùn)行、發(fā)展和繁榮。而知情同意原則作為個(gè)人信息保護(hù)中的重要原則,在?網(wǎng)絡(luò)安全法??數(shù)據(jù)安全法?和2021 年11月1 日正式開始實(shí)施的?個(gè)人信息保護(hù)法?等多部法律法規(guī)中均有明確規(guī)定。但在錯(cuò)綜復(fù)雜的數(shù)字化時(shí)代,知情同意原則的功能并沒有得到充分釋放,個(gè)人信息保護(hù)還面臨著許多困境,威脅到公民隱私權(quán)的保護(hù),阻礙了數(shù)字經(jīng)濟(jì)的發(fā)展。
德國(guó)學(xué)者施特姆勒在1971 年首次提出了“信息自決權(quán)”這一概念。施特姆勒認(rèn)為信息自決權(quán)是一種信息主體能夠自由充分地決定自己個(gè)人信息的支配和使用,保障自己的個(gè)人信息不被外界隨意侵犯的權(quán)利。然而在網(wǎng)絡(luò)信息發(fā)達(dá)的數(shù)字經(jīng)濟(jì)時(shí)代,對(duì)個(gè)人信息保護(hù)的屏障往往更加脆弱,尤其是信息收集者與信息主體間的不對(duì)等問題非常突出。所以用戶如果想在數(shù)字社會(huì)有效行使其信息自決權(quán)則需要通過知情同意原則的保障。知情同意原則的基本邏輯結(jié)構(gòu)是知情權(quán)和同意權(quán),即首先個(gè)人信息的處理者有義務(wù)充分告知信息所有人關(guān)于其需要收集、存儲(chǔ)、使用、加工、傳輸、提供、公開、刪除有關(guān)該用戶個(gè)人信息的具體細(xì)節(jié),再由該用戶根據(jù)本人意愿自由做出決定是同意還是拒絕[1]。知情是同意的必要前提,而在知情同意基礎(chǔ)上,信息主體所做出的對(duì)個(gè)人信息處理的任何決定才具有正當(dāng)性。故知情+同意的模式確保了信息主體的信息自決權(quán)。因此知情同意原則是公民行使信息自決權(quán)的基礎(chǔ)和必要條件。
程序正義作為一個(gè)重要的法治概念,其本質(zhì)是一種過程性的正義,即在法律活動(dòng)的過程中主體之間進(jìn)行法律行為的程序是否正當(dāng),是否符合法律規(guī)定或雙方約定的程序。程序正義能夠減少人為的隨意性,增加事件結(jié)果的確定性和可期待性,從而實(shí)現(xiàn)社會(huì)正義。在虛擬的網(wǎng)絡(luò)世界中,知情同意原則能充分體現(xiàn)信息主體與信息收集者之間關(guān)于信息主體個(gè)人信息的收集、處理、使用、存儲(chǔ)過程中雙方真實(shí)意思表示的程序正當(dāng)性。例如,用戶在互聯(lián)網(wǎng)平臺(tái)進(jìn)行購(gòu)物時(shí),平臺(tái)因運(yùn)行安全、數(shù)據(jù)分析、提供服務(wù)等原因基于用戶的同意并授權(quán)收集該用戶的某些個(gè)人信息。但若是沒有知情同意原則為框架,平臺(tái)不經(jīng)過用戶同意就直接收集用戶的個(gè)人信息,則是對(duì)用戶隱私權(quán)的侵犯。而且用戶通過與平臺(tái)簽訂的隱私保護(hù)協(xié)議,以白紙黑字的形式明晰用戶的權(quán)益以及其做出的授權(quán)平臺(tái)收集和處理其某些個(gè)人信息的權(quán)利,這也是給予互聯(lián)網(wǎng)平臺(tái)一定自由,有利于促進(jìn)數(shù)字經(jīng)濟(jì)的高效發(fā)展,也為日后可能出現(xiàn)的糾紛提供明確的解決依據(jù)。法諺有云:“無程序即無正義”,通過知情+同意這種用戶可以感知的合法程序,用戶和平臺(tái)可以更加明確雙方的權(quán)責(zé)義務(wù),因此知情同意原則體現(xiàn)并保障程序正義。
保障人權(quán)是法治社會(huì)的價(jià)值追求,對(duì)公民隱私權(quán)的保護(hù)是人權(quán)保障中的重要內(nèi)容。在當(dāng)下數(shù)字經(jīng)濟(jì)時(shí)代,個(gè)人信息的保護(hù)直接關(guān)系到公民隱私權(quán)的保障。無論是個(gè)人、團(tuán)體還是政府在收集和處理公民個(gè)人信息數(shù)據(jù)時(shí)均應(yīng)當(dāng)尊重和保護(hù)信息主體真實(shí)自由的意思表示。自主和自由是人發(fā)展的主體性前提,缺乏自主和自由,人就會(huì)淪為發(fā)展的工具,而不是發(fā)展的主體[2]。無論是在現(xiàn)實(shí)社會(huì)還是虛擬的數(shù)字化世界里,人人都有權(quán)自由地決定個(gè)人信息的收集、處理、使用、存儲(chǔ)。這種自由是人權(quán)中關(guān)于人的自由的應(yīng)有之義。數(shù)字社會(huì)中的信息取自每一位使用者,這些信息經(jīng)過加工整理最終也服務(wù)于每一位參與者。在進(jìn)行虛擬世界的活動(dòng)中,參與者允許他方收集和利用自己的個(gè)人信息也間接促進(jìn)了個(gè)人的發(fā)展。知情同意原則能夠保護(hù)信息主體的個(gè)人信息,也能夠保護(hù)信息主體的人性價(jià)值,諸如人性尊嚴(yán)、個(gè)人自主權(quán)利、個(gè)人自決權(quán)利,這些人性價(jià)值在世界上被普遍接受與認(rèn)同,也是人權(quán)保護(hù)的基本內(nèi)容[3]。
?個(gè)人信息保護(hù)法?第十七條規(guī)定,“個(gè)人信息處理者在處理個(gè)人信息前,應(yīng)當(dāng)以顯著方式、清晰易懂的語言真實(shí)、準(zhǔn)確、完整地向個(gè)人告知下列事項(xiàng):……”但在現(xiàn)實(shí)的網(wǎng)絡(luò)服務(wù)過程中,通過對(duì)市面上多種App 例如淘寶、抖音、安居客、微博等互聯(lián)網(wǎng)主流平臺(tái)的?用戶須知?和?隱私保護(hù)協(xié)議?的分析,發(fā)現(xiàn)這些信息收集方提供的?隱私保護(hù)協(xié)議?基本都是內(nèi)容冗長(zhǎng)的、充滿專業(yè)性法律術(shù)語的格式化合同。從正面看貌似是個(gè)人信息收集方為了充分保障被收集者的知情權(quán)而精心設(shè)置的隱私保護(hù)條款,但據(jù)調(diào)查,95%的App 使用者基本不會(huì)去仔細(xì)閱讀這些協(xié)議的內(nèi)容,更不必說去判斷這些條款是否符合自己對(duì)本人信息保護(hù)的意愿。所以從側(cè)面看,這些專業(yè)的格式條款的設(shè)置雖然符合法律規(guī)定,也具有保護(hù)公民個(gè)人信息的目的,但在現(xiàn)實(shí)生活中它們并沒有發(fā)揮出應(yīng)有的作用。因?yàn)閷?duì)使用者來說,如果要弄清楚這些隱私合同條款的意思,他們需要花費(fèi)大量的時(shí)間以及需要具備一定的法律知識(shí)背景。這也與數(shù)字經(jīng)濟(jì)方便、快捷、高效率的價(jià)值相違背。甚至大量的平臺(tái)信息收集者,有意利用這些客觀障礙來作為他們非法獲取和利用用戶信息的手段。所以這些平臺(tái)信息收集者的某些告知方式,對(duì)使用者來說往往只是一種形式上的知情,并未在實(shí)質(zhì)上有效地保護(hù)使用者的個(gè)人信息。
現(xiàn)實(shí)中網(wǎng)絡(luò)服務(wù)提供者總是強(qiáng)勢(shì)的一方,他們壟斷著技術(shù)、數(shù)據(jù)、服務(wù)以及平臺(tái)規(guī)則制定的話語權(quán)。而普通的使用者往往勢(shì)單力薄,因此在網(wǎng)絡(luò)服務(wù)過程中總是處于一種被動(dòng)地位。知情同意原則中的同意是指信息主體根據(jù)其真實(shí)意思表示自由地做出決定。基于網(wǎng)絡(luò)用戶和互聯(lián)網(wǎng)平臺(tái)之間不對(duì)等的地位,首先,就算使用者花費(fèi)一定的時(shí)間和精力去研讀信息收集方提供的隱私保護(hù)協(xié)議,其也只能做出事實(shí)了解,很難對(duì)該平臺(tái)收集其信息的必要性做出價(jià)值判斷,所以這種同意也只是一種走馬觀花式的同意。其次,部分平臺(tái)將隱私保護(hù)協(xié)議或者隱私提示設(shè)計(jì)成不顯眼的標(biāo)識(shí)或者放在不易被發(fā)現(xiàn)的位置,以至于使用者不能引起相應(yīng)的重視和警覺。與之相反,他們經(jīng)常把“同意”的選擇按鈕設(shè)置得非常醒目,這樣大量使用者基于人的惰性心理以及快速獲得該App 的服務(wù)的需求,看見“同意”按鈕通常會(huì)毫不猶豫地點(diǎn)擊。這種用戶在被誘導(dǎo)下忽視隱私保護(hù)協(xié)議的內(nèi)容而直接做出的表示,實(shí)難被認(rèn)為是用戶的有效同意。最后,還有部分平臺(tái)做出強(qiáng)制性規(guī)定,即如果用戶不同意其提供的隱私保護(hù)協(xié)議就無法使用該平臺(tái)提供的服務(wù)?,F(xiàn)實(shí)中,在無法找到替代App 的情況下,大多數(shù)人會(huì)選擇妥協(xié),從而被迫同意該平臺(tái)提供的隱私保護(hù)協(xié)議。而基于以上“走馬觀花”式的同意以及“被迫”的同意,其與知情同意原則想要達(dá)到的對(duì)個(gè)人信息保護(hù)的效果相差甚遠(yuǎn)。
互聯(lián)網(wǎng)是數(shù)據(jù)的汪洋大海,個(gè)人信息一旦以電子數(shù)據(jù)的形式傳輸?shù)骄W(wǎng)絡(luò)上便像脫韁的野馬難以由信息主體繼續(xù)有效地控制。對(duì)將在服務(wù)用戶過程中獲取的用戶個(gè)人數(shù)據(jù)信息進(jìn)行二次處理的這一行為通常是信息收集者追求效益最大化的常規(guī)操作。我國(guó)?個(gè)人信息保護(hù)法?第十四條明確規(guī)定,“個(gè)人信息的處理目的、處理方式和處理的個(gè)人信息種類發(fā)生變更的,應(yīng)當(dāng)重新取得個(gè)人同意?!彪m然在平臺(tái)與用戶的隱保護(hù)協(xié)議中往往也明確了用戶“二次同意”的權(quán)利,但我們?nèi)粘I钪袔缀鯊膩頉]有收到過來自信息收集者的二次同意請(qǐng)求書,即大多數(shù)信息收集者實(shí)際未能遵守相關(guān)承諾。一方面,對(duì)互聯(lián)網(wǎng)中的個(gè)人信息的保護(hù),絕大多數(shù)人僅僅把關(guān)注的重點(diǎn)放在自己的個(gè)人信息被他人首次收集時(shí)的同意及授權(quán)上,但對(duì)其個(gè)人信息后續(xù)的處理、利用以及流轉(zhuǎn)并未有足夠的重視。另一方面是因?yàn)閷?duì)信息的二次利用往往比較隱秘,不像初次收集那樣容易被發(fā)現(xiàn)。在實(shí)踐中,不少信息收集者并未遵守相關(guān)的約定,或者超出約定的范圍與權(quán)限處理個(gè)人信息,甚至擅自將收集到的個(gè)人信息與他人進(jìn)行利益交換,這給信息主體的個(gè)人信息安全帶來極大的風(fēng)險(xiǎn)。
2021 年?個(gè)人信息保護(hù)法?的出臺(tái),補(bǔ)齊了中國(guó)網(wǎng)絡(luò)、數(shù)據(jù)安全和個(gè)人信息保護(hù)領(lǐng)域立法的重要一環(huán),其與?網(wǎng)絡(luò)安全法??數(shù)據(jù)安全法?共同構(gòu)成了該領(lǐng)域的三大支柱。但某些具體問題還缺乏相關(guān)配套細(xì)則。2022 年中央電視臺(tái)3?15 晚會(huì)曝光了大量的互聯(lián)網(wǎng)網(wǎng)站通過用戶瀏覽網(wǎng)站時(shí)使用的手機(jī)Mac號(hào)(手機(jī)識(shí)別碼)匹配到該用戶的手機(jī)或者利用技術(shù)手段獲取手機(jī)上網(wǎng)用戶的明碼手機(jī)號(hào)碼,然后將這些個(gè)人信息倒賣給電話銷售公司。這種現(xiàn)象的成因在于我們還缺乏有力的事前監(jiān)管手段,尤其是對(duì)用戶網(wǎng)絡(luò)上個(gè)人信息的保護(hù)一般是出現(xiàn)大規(guī)模信息泄露或者侵權(quán)事件后才后知后覺。而且事后對(duì)這一類的違法行為打擊力度不足,缺乏強(qiáng)有力的懲罰措施。另外,從實(shí)踐中看,大多數(shù)用戶個(gè)人信息被侵犯的事件是在造成嚴(yán)重的后果后才被曝光,但這些泄露的信息往往已經(jīng)給信息主體的人身或者財(cái)產(chǎn)造成了不可彌補(bǔ)的傷害。一方面是因?yàn)閭€(gè)體的敏感程度低,基于自身的能力不能夠及時(shí)有效地發(fā)現(xiàn)其個(gè)人信息被侵害的事實(shí)以及造成的損失程度;另一方面,面對(duì)具有強(qiáng)大的科技及經(jīng)濟(jì)實(shí)力的侵權(quán)者,普通人很難通過平等的民事救濟(jì)保障自身權(quán)利。
首先,信息收集者可對(duì)告知的方式進(jìn)行創(chuàng)新,根據(jù)不同的受眾群體設(shè)置對(duì)應(yīng)的個(gè)性化的告知方式,如通過視頻、圖畫、語音等更直觀的手段來代替?zhèn)鹘y(tǒng)電子合同上冗長(zhǎng)的法言法語。在此尤其是對(duì)一些文化水平有限的群體,更應(yīng)當(dāng)使用通俗易懂的文字,或者可視化的圖片或視頻等方式,使其能夠一目了然。其次,對(duì)告知的內(nèi)容要更加有層次感,如參照?歐盟通用數(shù)據(jù)保護(hù)條例?,信息收集者事先對(duì)涉及的個(gè)人信息進(jìn)行風(fēng)險(xiǎn)評(píng)估,并將信息安全風(fēng)險(xiǎn)分為敏感、一般和弱風(fēng)險(xiǎn)三個(gè)等級(jí)。對(duì)敏感信息,根據(jù)我國(guó)?民法典?對(duì)格式合同的規(guī)定,當(dāng)事人為了重復(fù)使用而預(yù)先擬定,并在訂立合同時(shí)未與對(duì)方協(xié)商的條款,該條款本身應(yīng)當(dāng)遵循公平原則確定當(dāng)事人之間的權(quán)利和義務(wù),并采取合理的方式提請(qǐng)對(duì)方注意免除或者限制其責(zé)任,按照對(duì)方的要求,對(duì)該條款予以說明[4]。根據(jù)格式合同的合理告知義務(wù),信息收集者要明確地告知當(dāng)事人其敏感信息可能受到威脅的情況,并對(duì)當(dāng)事人進(jìn)行顯著的提示。對(duì)個(gè)人一般的信息可放在常規(guī)條款中,而弱風(fēng)險(xiǎn)的信息除信息主體明確拒絕外可默認(rèn)用戶同意。最后,對(duì)涉及的一些敏感信息,信息收集者還應(yīng)當(dāng)保證信息主體確實(shí)已知,其可強(qiáng)制要求用戶閱讀隱私保護(hù)條款足夠的時(shí)間,或者將關(guān)于敏感信息保護(hù)有關(guān)的內(nèi)容設(shè)計(jì)成選擇題的形式,用戶只有在答題通關(guān)后才能獲得該網(wǎng)絡(luò)服務(wù)。
同意是意思自治原則在個(gè)人信息保護(hù)領(lǐng)域的體現(xiàn),基于民法上的意思自治原則,同意應(yīng)當(dāng)是獨(dú)立的、自主的、有效的。某些平臺(tái)利用自己對(duì)部分網(wǎng)絡(luò)服務(wù)壟斷的優(yōu)勢(shì)地位,設(shè)置不對(duì)等的隱私保護(hù)條款,如超過提供該服務(wù)所應(yīng)當(dāng)收集的個(gè)人信息的范圍過度收集用戶個(gè)人信息,或者規(guī)定如果用戶不同意隱私協(xié)議就無法使用該平臺(tái)提供的服務(wù)。筆者認(rèn)為,用戶接受服務(wù)與同意平臺(tái)收集其個(gè)人信息二者是相互獨(dú)立的,不應(yīng)當(dāng)捆綁在一起。平臺(tái)完全可以以其他方式對(duì)用戶進(jìn)行限制,如設(shè)置游客模式,對(duì)不同意隱私保護(hù)協(xié)議的用戶只提供基本的服務(wù),或者開放部分不涉及個(gè)人信息的服務(wù)權(quán)限,或者提供暫時(shí)性的虛擬體驗(yàn)賬號(hào),再或者可以進(jìn)行服務(wù)收費(fèi)。這樣既可以使數(shù)字經(jīng)濟(jì)的社會(huì)效益與個(gè)人信息保護(hù)之間達(dá)到平衡,又能避免用戶為了接受服務(wù)而被迫同意隱私保護(hù)協(xié)議的情況發(fā)生。對(duì)用戶在沒能充分理解或者根本沒有閱讀隱私保護(hù)條款而草草做出同意的情況,信息收集者可對(duì)重要條款設(shè)置選項(xiàng),由用戶在閱讀中親自勾選,并且在協(xié)議后以電子簽名的形式進(jìn)行授權(quán)。此舉措能大大增加信息主體的參與感,增強(qiáng)其對(duì)個(gè)人信息保護(hù)的意識(shí),提高同意的有效性。
知情同意原則制度的設(shè)計(jì)初衷是信息主體同意收集者利用自己的信息來提供更好的商品或者服務(wù),而不是將收集個(gè)人信息作為提供商品或者服務(wù)的目的。在實(shí)踐中,用戶的第一次概括的同意往往成了網(wǎng)絡(luò)服務(wù)平臺(tái)后續(xù)侵犯?jìng)€(gè)人信息免責(zé)的依據(jù)。信息收集者應(yīng)當(dāng)建立一個(gè)動(dòng)態(tài)的信息反饋機(jī)制,其貫穿于信息的收集、處理、使用、流轉(zhuǎn)、刪除的全過程。在這每一環(huán)節(jié)中都要授予用戶隨時(shí)查看的權(quán)利,信息收集者可以不主動(dòng)向用戶公布具體的信息處理細(xì)節(jié),但必須明確告知信息主體其有這項(xiàng)權(quán)利,且隨時(shí)配合信息主體查看以及滿足其他合理的要求。在用戶進(jìn)行到不同的使用步驟,或者不同的個(gè)人信息處理的階段時(shí),平臺(tái)經(jīng)營(yíng)者應(yīng)當(dāng)及時(shí)對(duì)用戶進(jìn)行針對(duì)性的提醒和請(qǐng)求,只有在征得用戶明確同意后才能進(jìn)行下一步的信息收集和處理,而不是一次同意,終身獲取。同時(shí),應(yīng)嚴(yán)格落實(shí)?個(gè)人信息保護(hù)法?中關(guān)于信息主體同意的撤回權(quán)規(guī)定,即使信息主體起初授權(quán)服務(wù)平臺(tái)收集處理其個(gè)人信息,后期也有權(quán)隨時(shí)撤回其同意,以此來保障同意的全過程性。
政府牽頭建立互聯(lián)網(wǎng)行業(yè)個(gè)人信息保護(hù)評(píng)價(jià)機(jī)制,定期對(duì)網(wǎng)絡(luò)服務(wù)提供者進(jìn)行用戶個(gè)人信息保護(hù)情況考核,并通過專門的渠道定期向社會(huì)公布。此舉一方面可以鞭策那些對(duì)用戶個(gè)人信息保護(hù)存在問題的網(wǎng)絡(luò)服務(wù)提供者及時(shí)整改,從而保障知情同意原則的有效落實(shí);另一方面也可提醒公眾在接受該類網(wǎng)絡(luò)平臺(tái)提供的服務(wù)時(shí)應(yīng)保持謹(jǐn)慎,或者在有選擇的情況下盡量不要選擇該類平臺(tái)。如2017 年7月由中央網(wǎng)信辦牽頭的四部門聯(lián)合開展隱私條款專項(xiàng)工作,該工作分批選取重點(diǎn)網(wǎng)絡(luò)產(chǎn)品和服務(wù),對(duì)其隱私條款進(jìn)行分析梳理,最后通過評(píng)審和宣傳形成社會(huì)示范效應(yīng),此舉措推動(dòng)了行業(yè)整體對(duì)個(gè)人信息保護(hù)水平的提升[5]。筆者認(rèn)為這樣的工作應(yīng)當(dāng)常態(tài)化開展,且范圍不僅局限于對(duì)隱私條款的評(píng)審,還應(yīng)當(dāng)涵蓋到個(gè)人信息收集、處理、二次利用以及轉(zhuǎn)讓的全過程。對(duì)個(gè)人信息受侵害后救濟(jì)難的問題,首先,政府要出臺(tái)具體的認(rèn)定標(biāo)準(zhǔn),將侵害后果進(jìn)行細(xì)化。其次,壓實(shí)信息收集者的責(zé)任,要求其對(duì)個(gè)人信息的收集、處理都要有跡可循,為日后爭(zhēng)議解決留下判定的依據(jù)。最后,政府應(yīng)設(shè)立專門的投訴機(jī)構(gòu),暢通救濟(jì)渠道。