一、問題的提出
大數(shù)據(jù)時代,個人信息的保護和利用已成為一個突出的問題。《中華人民共和國民法典》(以下簡稱《民法典》)先行以“入典”的方式確立了個人信息保護的若干核心規(guī)范。其中,告知同意規(guī)則無疑是最為基礎和重要的法律規(guī)范。對《民法典》個人信息保護規(guī)范的解釋論研究,首當其沖的是明晰告知同意的規(guī)范內(nèi)涵。所謂個人信息保護的告知同意規(guī)則,一般稱之為告知同意原則或知情同意原則,也有少數(shù)學者稱其為規(guī)則。可見,在術語表達上存在分歧。基于《民法典》第1035條第1款已將該原則具體化,將告知同意作為通常情況下處理個人信息應當滿足的“條件”,故學理上的抽象原則已轉(zhuǎn)變?yōu)榱⒎ㄖ械木唧w規(guī)則。本文據(jù)此將其稱為規(guī)則。至于“告知同意”和“知情同意”的用語分歧,兩者的英語詞源均為“informed consent”,指的是告知后的同意。從其英語詞源和我國立法表達來看,有將“告知后”或“被告知”推定為“知情”之意。在原理上,民事活動中的各當事人一般應自行收集必要信息;當在特定情形下需要保障一方知情利益時,民法往往通過對另一方施加告知、說明義務來實現(xiàn)。原因在于,知情與否屬于當事人主觀事項,難以知悉;與其糾纏于一方的知情與否,不如對另一方施加相對客觀的告知義務,以提高規(guī)則的可行性。由此可見,一方的告知與另一方的知情在法律構造上是一種對應關系,法律往往通過施加告知義務來保障對方的知情,個人信息保護規(guī)則亦不例外。根據(jù)立法上的表達,筆者更傾向于使用“告知同意”的術語。此外,在告知同意機制之下,告知是同意的內(nèi)在規(guī)范要求,故亦可將告知同意規(guī)則簡稱為同意規(guī)則。
個人信息處理通常應獲得信息主體的同意,看似不證自明,然而,從國內(nèi)外的實踐來看,同意規(guī)則在實施上面臨困境,甚至會形同虛設,進而致使以此為基礎構架的個人信息保護制度被架空。我國學界也已認識到這一困境,展開了一些研究。但縱觀現(xiàn)有的文獻發(fā)現(xiàn),對該困境及其成因的分析尚不透徹;并且,拘于之前的研究背景,大多數(shù)的研究是從立法或制度構建的角度提出建議。甚至,其中不乏如下觀點:“知情同意作為保障個人信息的基礎性機制已經(jīng)走向窮途末路”, “同意不應是個人信息處理的正當性基礎”。然而,我國立法逆水行舟,在《民法典》中明確規(guī)定了個人信息處理的告知同意要求,正在制訂的《中華人民共和國個人信息保護法》(以下簡稱《個人信息保護法》)中也將進一步確立這種要求。此時,針對這一立法上日益穩(wěn)固的規(guī)則再言放棄,已不合時宜,理性的選擇應當是研究如何緩解乃至化解同意規(guī)則的實施困境。這也是目前亟待解決的一個問題。
《個人信息保護法》尚在制定之中,草案還存在修改完善的空間,但一個基調(diào)是與《民法典》相關規(guī)定進行銜接和保持一致。因此,本文最終提出的解決方案將依據(jù)已經(jīng)生效的《民法典》相關規(guī)則進行解釋。面對個人信息保護的“同意”困境,既然《民法典》已將相應規(guī)則納入其中,就有必要在《民法典》的體系之下,基于同意規(guī)則的評價基礎和規(guī)范意旨,在解釋論上得出既具有正當性和可行性,又有助于化解困境的同意規(guī)則的適用基準。
二、同意規(guī)則的實施困境
在告知同意機制之下,同意是一種告知后的同意。這一要求在形式上較易滿足。在實踐中,信息處理者通常會通過隱私政策、個人信息保護政策等文件履行告知義務,并給個人點擊同意的機會。然而,個人的同意卻未必建立在知情的基礎上。畢竟,一方的告知并不等于對方的知情,在網(wǎng)絡空間尤為如此。個人信息保護的“同意”困境的形成,具有較復雜的原因,既有告知同意中的結構性問題,也有信息主體的認知問題。
(一)告知同意中的結構性問題
1.信息過載及其規(guī)模效應
在告知同意機制之下,信息處理者若有所隱瞞,將面臨不利后果。然而,企業(yè)出于逐利動機,往往通過信息混雜、行文冗長等方式隱藏重要信息,使個人不易發(fā)現(xiàn)。告知文件似乎并不是為了促進個人知情而擬定并提供的。具言之,于企業(yè)而言,其履行告知的“目的僅在于規(guī)避法律風險”,為其信息處理行為尋求最大的合法化可能;而法律設定的、個人期待的目的在于通過告知促進個人信息保護。在對告知的動機和目的的理解上,不同主體之間可謂存在著一個根本性的背離。上述告知動機和目的上的背離,導致出現(xiàn)信息過載問題。告知文件的篇幅普遍較長,且用語專業(yè)晦澀,提供的信息趨于飽和,甚至嚴重過載。并且,信息過載還存在規(guī)模效應。一個人面對的是需要收集個人信息的成千上萬的網(wǎng)站平臺、手機應用以及線下商家,有些網(wǎng)站、應用和商家還經(jīng)常修改、調(diào)整相關政策。因此,個人面對的是數(shù)百份乃至更多的可能隨時修改的文件。信息過載會使接受者不知所措,導致接受者隨意瀏覽、挑選信息甚至放棄閱讀,這干擾了告知同意背后的基本機制的實現(xiàn)。以上信息過載的負面效應也可得到實證數(shù)據(jù)的支撐。國外有研究成果表明,如果信息主體要閱讀提供給他們的所有隱私政策,那么每年需平均付出244個小時;如果只是粗略閱讀,那么每年需平均付出154個小時。這意味著在信息網(wǎng)絡社會,每人將平均每天花費40分鐘閱讀和理解各種網(wǎng)站、手機應用等服務的隱私政策。上述時間還只是閱讀的時間,如果計入準確理解所需的時間、專業(yè)知識和精力,那么這一“知情”的成本更為高昂。在我國,據(jù)統(tǒng)計報道,在2020年第一季度,網(wǎng)民人均安裝63款手機應用程序。這些手機應用程序的隱私政策文件普遍較長。例如,百度的隱私政策包括總則和10個分則,其總則就有10 467字;分則是按照產(chǎn)品服務分類規(guī)定的,每個分則也有上萬字。若粗略地以每份隱私政策一萬字計算,則網(wǎng)民每年需要閱讀63萬字的隱私政策文件。由于隱私政策復雜,閱讀和理解的成本高昂,加之潛在風險的遙遠,因此信息主體對其置之不理便是自然而然的事情。這也符合個人行為的成本和效益的考量。
2.數(shù)據(jù)聚合效應及難以預測的未來風險
個人信息遭遇泄露和濫用的風險是潛在的,在大數(shù)據(jù)技術背景下尤為如此。一個人在不同時間提供的單條個人信息可能并不敏感,從而不會感到存在風險或威脅,但在數(shù)據(jù)聚合技術下,不敏感的個人信息互相疊加,互為線索,可能分析得出敏感的信息。這種處于未知領域的風險,個人實在難以預測和把握。人們對未來福利或風險的決策選擇的難度明顯高于對當下福利或風險的抉擇,這一因素加劇了個人信息保護的“同意”困境。面對潛在的風險,個人也會抱有僥幸心理,喪失提防之心。如今,承載著個人信息的數(shù)據(jù)泄露事件不斷出現(xiàn),但作為信息主體的個人對此卻無能為力。與其為這種風險所煩擾,不如選擇忽視這種并不迫切的潛在風險,可能是大多數(shù)人的心態(tài)。與未知風險相比,同意處理個人信息的利益卻近在眼前,如獲得某種特定的信息網(wǎng)絡服務。因此,個人的選擇往往會受短期獲益的影響。同意規(guī)則要求自然人在個人信息被收集時就評估信息處理的潛在風險,這其實存在一個結構性缺陷。個人信息的利用期限較長,甚至沒有時間限制。從短期來看,個人或許是受益的,但風險往往潛伏在未來。概言之,同意時的成本效益考量依賴于對未知風險的判斷,是同意機制中的一個結構性缺陷。
3.選擇空間的缺乏
即使個人仔細閱讀了隱私政策,但在作出個人信息利用的許可決定時往往缺乏選擇的空間,只有一種全有或全無的選擇狀態(tài)。數(shù)據(jù)已成為信息網(wǎng)絡時代最重要的資源之一,很多信息網(wǎng)絡服務的商業(yè)模式依賴于個人信息的收集和數(shù)據(jù)的開發(fā)利用。個人在就信息處理作出是否同意的決定時,通常伴隨著對相應的信息網(wǎng)絡服務的需求。網(wǎng)絡服務商利用了這種無法放棄的需求。雖然在法律的要求下,告知是網(wǎng)絡服務商必須履行的義務,但用戶也很難作出同意之外的選擇,除非放棄使用該服務。于是,個人往往會即刻點擊同意,而不會先研究隱私政策。對于沒有選擇余地的個人用戶來說,研究也幾乎不能改變選擇的結果。
(二)信息主體的認知問題
1.理性人假設與現(xiàn)實不符
一項法律原則或規(guī)則的假定前提至關重要,事關這一原則或規(guī)則得以存在的理論支撐。告知同意規(guī)則中存在一個假定前提,即自然人是一個理性人,會閱讀并理解所有的隱私政策聲明,并仔細權衡利益得失,最終作出一個自覺的、理性的選擇。然而,這一假定前提在很大程度上與現(xiàn)實并不相符。2018年,中國消費者協(xié)會和北京市消費者協(xié)會分別進行了手機應用程序個人信息保護的實證調(diào)研。中國消費者協(xié)會的問卷調(diào)查顯示,認真閱讀手機應用權限和用戶協(xié)議或隱私政策的受訪者僅占26.7%。北京市消費者協(xié)會的調(diào)查報告則得出更低的比例,“只有6.15%的人在安裝或使用手機應用程序之前會經(jīng)常看授權須知”。由此可見,人并非具有無限的關注力和完全的理性。相反,人的行為會受到有限理性的約束,并會采取試探等帶有風險性的決策策略,還可能受到習慣的影響,在同意決策上采取近似策略。正視這一點,意味著需要放棄對告知同意規(guī)則實施效果的完美追求,而采取更為現(xiàn)實的態(tài)度。
2.知覺定式和邊際遞減效應
告知同意機制高度依賴于自然人的認知。在心理學上,影響形成正確認知的因素包括背景知識、行為人的預期和知覺定式。在知覺定式的影響下,人們對經(jīng)常出現(xiàn)的事物會降低敏感度,通俗地講,就是會產(chǎn)生“熟視無睹”的反應。不同的信息處理者征求類似內(nèi)容的同意,也會引發(fā)心理學上的邊際遞減效應。也許個人對第一次或前幾次的“同意”比較謹慎,越是往后,這種謹慎程度就會日益降低。甚至,過度的同意請求、超負荷的信息告知可能引發(fā)個人的抵觸心理,但在不存在選擇空間的情況下,為了使用信息網(wǎng)絡服務,又不得不選擇同意。邊際遞減效應實際上也是受習慣影響的。有學者對80人進行分組實驗,結果表明:針對拖放、滑動、多選框選擇或者只是簡單的點擊同意等不同的同意方式,網(wǎng)絡用戶在初期的反應會有所差別,其中左右或上下拖放的方式最容易引起用戶的注意,但在習慣的影響之下,隨著告知同意次數(shù)的增多,不同組別的用戶對不同的同意方式所付出的時間都會減少,并在最后趨于相同。這也印證了我們通常所說的“習以為常”這種行為習慣。
3.疲于應對與堪憂的同意質(zhì)量
信息過載、同意過頻、風險難以預測以及各種認知問題綜合在一起,導致自然人管理個人信息的難度越來越大,甚至處于失控狀態(tài)。有實證研究成果表明,隨著網(wǎng)絡用戶對個人信息的管理難度日益增大,加之數(shù)據(jù)泄露事件層出不窮,用戶對個人信息保護會產(chǎn)生一種徒勞和厭倦之感;并且,比起保護個人信息的關注和需求,這種徒勞和厭倦之感會在更大程度上影響人們的行為。在疲于應對的狀態(tài)下,人們在作出決定時一般會付出更少的精力。甚至,即使網(wǎng)站或應用軟件提供修改隱私和個人信息保護默認設置的機會,很多用戶也不會再花心思去修改,因為個人已經(jīng)陷入疲倦的狀態(tài)。個人在疲倦狀態(tài)下作出的同意決定的質(zhì)量甚為堪憂,離法律設想的理性、自覺的知情同意相去甚遠。在同意規(guī)則的實施中,應當將個人從疲于應對的狀態(tài)中解放出來。
(三)告知同意的內(nèi)在悖論
除了上述結構性問題和認知問題之外,告知同意還存在內(nèi)在悖論。這也是導致告知同意機制實施困境的重要原因。(1)隱私政策、個人信息保護政策在“充分告知”和“簡單易懂”之間存在一個根本性的悖論。充分告知會導致內(nèi)容冗長,致使個人不愿投入時間去閱讀和理解;簡單易懂的告知可促進個人的閱讀,但往往難以傳遞復雜的內(nèi)容,難以促進和保障個人的知情。(2)在同意與否的選擇之間也同樣存在一個悖論。在現(xiàn)實中普遍采取接受或不接受的二選一模式。在此之外增加選項,似乎可擴大個人的選擇空間,但也將帶來新的問題。選項的多樣化會增加復雜性,相應地會帶來更大的混亂風險,未必總是有利于個人。(3)告知同意規(guī)則的實施在強度上也存在悖論。根據(jù)法治的基本理念,法律規(guī)則應當嚴格實施。然而,一律以最嚴格的態(tài)勢適用同意規(guī)則,其結果將適得其反,未必有利于強化對個人信息權益的保護。具言之,信息網(wǎng)絡服務商會發(fā)出更多的同意請求,對用戶造成更多的干擾;信息網(wǎng)絡服務商也會告知更多的乃至超負荷的信息,使用戶難以有效閱讀和理解。然而,用戶卻缺乏有效的選擇空間,仍不得不以同意個人信息的采集和利用為條件接受服務,進而會導致用戶對信息網(wǎng)絡服務商發(fā)出的同意請求更不敏感,在絕大多數(shù)場合直接點擊同意,同意規(guī)則的實效將更加糟糕。可見,同意的強度并非越強越好。這也意味著在實踐中不宜一味追求嚴格的同意要求。總之,告知同意機制存在內(nèi)在悖論,其實施中難免遭遇困境。并且,內(nèi)在悖論的存在,也意味著這一困境無法得到徹底解決,只能試圖緩解。
(四)小結
告知同意規(guī)則旨在改變個人信息的處理者與提供者之間的信息不對稱狀態(tài),致力于保護個人信息權益,有其存在的必要性和正當性。然而,告知同意機制具有內(nèi)在缺陷,其實施將面臨困境,很可能流于形式。規(guī)則形同虛設,會使法律的整體實效大打折扣。法律不能被有效實施或?qū)嵭Р患眩矔绊懭藗儗Ψㄖ蔚男湃魏推诖H绻宰顕栏竦囊髮嵤└嬷庖?guī)則,那么又會加劇個人面臨的告知過度、信息過載、同意過頻、疲于應對等問題,難以使該規(guī)則擔當起個人信息保護的基礎性規(guī)則的重任。那么,如何化解告知同意規(guī)則的實施困境?在立法明確納入這一規(guī)則的背景下,放棄和廢除這一規(guī)則的觀點已不可取,解決問題的方案應當是改善法律規(guī)則的實施,從而促進其有效性的發(fā)揮。
三、現(xiàn)有解決思路的不足
(一)抽象的場景導向理念
面對同意規(guī)則在實踐中的僵化,探尋彈性合理的適用方法和判斷標準,在個人信息保護和利用之間構建一個動態(tài)的利益平衡空間獲得了學者的推崇。有論者在比較法研究的基礎上,建議引入場景導向的理念,對個人信息的處理行為進行風險評估,依據(jù)風險的高低程度適用不同的同意要求;甚至,在風險屬于可預期范圍、信息處理行為合理時,豁免同意要求。也有論者在吸收場景理念和風險理念的基礎上,提出建立在場景和規(guī)則遵循情況之上的“情景合理測試”,具體考慮因素包括環(huán)境、時空、行為等場景要素以及風險控制能力等規(guī)則遵循情況。然而,納入場景、風險等因素的考量,并不能提供明確的判斷標準。即使在此學說提倡者的進一步論述中,合理、可預期、風險高低等的判斷仍具有高度的不確定性,難以為個人信息利用關系中的各方提供明確的行為指引。在基于場景和風險導向理念的多因素判斷法背后,隱含著動態(tài)體系論的方法論基礎。該方法論導致的規(guī)則彈性化,為部分學者所推崇,并被賦予過高的期待,但一不小心,就會滑入自由法學的泥潭,造成過大的自由裁量空間,進而致使法律規(guī)則的實施存在恣意和不確定性,影響法的安定性。為克服這一弊端,動態(tài)體系論要求要素的限定性,具體包括“要素是哪些要確定”以及“要素的數(shù)量要有確定性”。然而,場景和風險導向理念出于對法律效果的彈性化追求,并不能提出明確限定的要素,更不用說賦予這些要素不同的權重,從而提供理性的、可反駁的法律論辯平臺和法律解釋空間。場景和風險導向理念存在的恣意和不確定性只會加劇個人信息保護和利用中的亂象。
(二)不易界定的敏感信息與一般信息
另一種思路是區(qū)分敏感信息與一般信息,施加不同的同意要求,從而改善規(guī)則的實施。這其實是一種著眼于客體的場景化區(qū)分對待的思路。2013年2月1日實施的國家質(zhì)量監(jiān)督檢驗檢疫總局、中國國家標準化管理委員會《信息安全技術 公共及商用服務信息系統(tǒng)個人信息保護指南》(GB/Z 28828-2012)第5.2.3節(jié)即采用了這種兩分法。《個人信息保護法(草案)》的立法也延用這種思路,在草案中專設一節(jié)規(guī)定敏感信息的處理規(guī)則,其中提高了對處理敏感信息的同意要求。然而,這種界分法存在不確定性,極大地影響了這種思路的可行性。首先,敏感信息的概念難免存在模糊性。《個人信息保護法(草案)》第29條規(guī)定“敏感個人信息是一旦泄露或者非法使用,可能導致個人受到歧視或者人身、財產(chǎn)安全受到嚴重危害的個人信息”,并進行了舉例說明,包括宗教信仰、民族、種族、個人行蹤等信息。該定義試圖將敏感信息與隱私中的私密信息相區(qū)別,但仍然存在“可能導致”“嚴重危害”等不確定因素,而這會影響對敏感信息的認定。其次,敏感信息的本質(zhì)和關鍵在于信息的敏感性,而個人對信息的敏感度會受到文化傳統(tǒng)、教育背景、生活經(jīng)歷和法治環(huán)境等外部因素的影響。不同的個人、不同的群體對敏感信息的認知會存在差異,很難得出一個完全一致的確定性結果。例如,有學者就中美大學生對敏感信息的感知進行實證調(diào)研,發(fā)現(xiàn)中國大學生的平均敏感度高于美國大學生,但美國大學生在電子郵件內(nèi)容等事項上的敏感度則明顯高于中國大學生。最后,敏感信息的認定,也難免納入對情景和風險等因素的考量。由于敏感信息的判斷依賴于敏感度的認定,存在不確定性,因此以封閉式列舉的方式對敏感信息加以明示列舉存在弊端,對其彌補的措施是輔之以個人信息處理的情景和目的等因素的綜合考量。這就增加了敏感信息的判斷難度,并會導致不確定性。以最常見的上網(wǎng)儲存在用戶本地終端上的數(shù)據(jù)為例。網(wǎng)站收集儲存在用戶本地終端上的數(shù)據(jù)既可能是信息網(wǎng)絡服務的必要(為提高用戶體驗),也可能是為了繪制個人數(shù)字畫像,進而進行自動化分析和決策。對于前者而言,此時處理的信息并不敏感,而在后一場合,儲存在用戶本地終端上的數(shù)據(jù)就變成了敏感信息。可見,同樣的信息在不同的情境下的敏感度存在區(qū)別。綜上所述,基于敏感信息與一般信息的區(qū)別差異化適用同意要求,首先會面臨敏感信息與一般信息的認定困難,而這會嚴重影響同意規(guī)則的適用。筆者贊同對敏感信息提供特殊保護,但一般信息與敏感信息的區(qū)分對待在解決個人信息保護的“同意”困境方面作用有限。
(三)并不可靠的“匿名化”
除上述兩種方案之外,還有一種方案是鼓勵匿名化處理個人信息。這種方案也聚焦于作為客體的個人信息。長期以來,國內(nèi)外個人信息保護立法均將匿名化當作靈丹妙藥,《民法典》第1038條也將“經(jīng)過加工無法識別特定個人且不能復原的”作為個人信息保護的例外。匿名化似乎為個人信息保護找到了出路。有學者就認為個人信息的匿名化處理可產(chǎn)生豁免知情同意的效果。這似乎也可以緩解“同意”困境。然而,這種觀點是建立在匿名化技術足夠可靠的假設之上,但這一假設可能與現(xiàn)實不符。(1)匿名化技術和重新識別技術好比一對處于對抗游戲中的競爭技術,從目前來看,重新識別技術更勝一籌。有學者甚至認為它“占據(jù)了永久的優(yōu)勢”。在計算機科學中,不斷有人基于各種目的研究“去匿名化”算法。即使經(jīng)過匿名化處理,在數(shù)據(jù)中剩余的瑣碎信息也可能和外部的輔助信息相結合,用來解鎖身份。實證研究亦表明,在匿名數(shù)據(jù)中重新識別出個人并不困難。法律鼓勵匿名,但信息技術的發(fā)展已可使得個人信息在“可識別”與“不可識別”的雙重維度中搖擺動蕩。(2)在大數(shù)據(jù)技術背景下,徹底的匿名化更不可能,因為大數(shù)據(jù)分析可以使殘缺的個人信息互相關聯(lián)和重新組合,再度識別出個人。隨著大數(shù)據(jù)的聚集和外部信息的豐富,解鎖匿名數(shù)據(jù)中的模糊身份的概率也會相應遞增。早在20余年前,科研人員就已經(jīng)認識到匿名化在理論上的局限性,并放棄了強大的匿名化假設。在大數(shù)據(jù)時代,匿名化的局限性更為凸顯。(3)在數(shù)據(jù)的效用與個人信息的匿名化之間存在著一個根本矛盾。信息越是匿名,數(shù)據(jù)的效用就越低。因此,數(shù)據(jù)處理者存在巨大的經(jīng)濟動機使數(shù)據(jù)信息處于匿名與不匿名的中間模糊地帶。任何有用的數(shù)據(jù)集合都不可能處于完全匿名狀態(tài)。隨著數(shù)據(jù)實用性的提高,其包含的信息內(nèi)容就會越多,對隱私和個人信息的保護就會相應降低。正如有的學者指出的那樣:“數(shù)據(jù)既可能是有用的,也可以是完全匿名的,但絕不可能兩者兼而有之。”
由上可見,數(shù)據(jù)匿名化的作用有被過分夸大之嫌,試圖通過匿名化來充分保護個人信息是一個虛幻的承諾,在實踐中已被無情地打破。我們應該放棄對匿名化的盲目崇拜,否則匿名化的幻覺將繼續(xù)掩蓋個人信息的安全保護與流通利用之間的權衡問題。數(shù)據(jù)不可能被徹底匿名化,我們所能追求的是降低重新識別的風險。可能的出路之一是要求信息網(wǎng)絡服務商、數(shù)據(jù)企業(yè)在數(shù)據(jù)交易時,不提供原始數(shù)據(jù)、基礎數(shù)據(jù),只提供大數(shù)據(jù)分析結果。雖然這能夠堵住反向識別之路,但也會導致數(shù)據(jù)的效用大幅降低。可能的出路之二是在法律上施加“禁止反向識別”要求。然而,這一要求在執(zhí)法層面會面臨困境。重新識別、反向識別往往是在企業(yè)內(nèi)部進行的,或由個人私下操作,在監(jiān)控上存在難度。可見,匿名化技術并非解決上述問題的靈丹妙藥。著眼于客體的思維難以為解決“同意”困境覓得良策,我們需要超越客體思維,從行為的角度去求得更佳的出路。
四、“同意”困境的解釋論出路
(一)告知同意的規(guī)范內(nèi)涵
1.告知的規(guī)范內(nèi)涵和程度要求
根據(jù)《民法典》第1035條第1款第2、3項的規(guī)定,信息處理者履行告知義務的方式是“公開處理信息的規(guī)則”和“明示處理信息的目的、方式和范圍”,即采取公示的方式進行告知。如前文提及,法律上有將一方告知推定為對方知情之意。顯然,并不是所有的告知都會導致對方的知情。告知應當滿足一定的程度要求,以便促進對方知情,從而有助于緩解告知同意機制中的困境。立法規(guī)定告知義務旨在解決個人信息處理中的信息不對稱的問題,以及維護自然人的個人信息自決權益。為實現(xiàn)這兩個目的,告知的程度應當至少滿足以下兩點:(1)告知應當達到足以令相對人注意的程度,從而有助于解決信息不對稱問題;(2)與格式條款的提請注意義務類似,告知還應當給人以該文件載有足以影響當事人權益條款的印象。告知文件也應當將此類條款重點標出,以便引起個人的重點關注,減輕個人的閱讀成本。進一步而言,在判斷告知是否達到合理程度時,應當采用通常理性人標準,在網(wǎng)絡空間即為普通網(wǎng)絡用戶標準。告知文件應當清晰明白,也應對包括處理行為的潛在風險在內(nèi)的重點事項進行說明,以便具有通常認識能力的一般人理解。法律上對告知的程度要求只能如此,而無法進一步確保被告知者的充分知情。這在本質(zhì)上是基于私法自治的原理,被告知者是否愿意充分知悉告知內(nèi)容是其自由,由其自行選擇。法律上只能確保提供知情的機會,卻無法強制性地保障某人知情。事實上,信息也不可能強塞進某人的大腦。當被告知者可以知悉告知文件中載有影響其權益的條款時,也應當付出時間和合理的努力,去閱讀和理解這些文件。畢竟,從一方告知到另一方知情之間的間隙,需要告知者和被告知者雙方共同努力去消除。
2.同意的規(guī)范內(nèi)涵
根據(jù)《民法典》第1035條第1款第1項的規(guī)定,除了法律、行政法規(guī)另有規(guī)定的例外情形,處理自然人個人信息必須滿足的條件之一是“征得該自然人或者其監(jiān)護人同意”。如前文已經(jīng)明確,這一同意是告知后的同意。此外,在性質(zhì)上,此處的同意有別于物權處分中的同意,更類似于知識產(chǎn)權許可使用中的同意。從更一般的意義上講,由于個人信息具有無形性特征,其權利構建在非物質(zhì)化客體上,因此對個人信息保護規(guī)范內(nèi)涵的理解,在所有權思維與知識產(chǎn)權思維之間更宜借用后者思維。如果在人格權內(nèi)部尋求類比對象,那么個人信息處理中的同意也類似于肖像權許可使用中的同意。肖像權也以可識別性為特征, 與個人信息權益有共同之處。肖像權商業(yè)化利用中同意的當然不是肖像權的轉(zhuǎn)讓,而是使用許可。同理,個人信息利用中的同意也是一種對使用行為的許可,行為在其中起著關鍵的作用。
3.同意的不同強度
在《個人信息保護法》專門立法之外,將個人信息保護的核心規(guī)則納入《民法典》,有利于將相關規(guī)則置于法典體系之下進行解釋。在民法體系之下,同意是一種意思表示,可以由不同的方式作出,這體現(xiàn)著法律對同意的不同強度要求。根據(jù)《民法典》第140條的規(guī)定,包括同意在內(nèi)的意思表示可以明示或默示作出,但只有在“有法律規(guī)定、當事人約定或者符合當事人之間的交易習慣時”,沉默才可視為意思表示。符合交易習慣體現(xiàn)著當事人的信賴,而信賴正是將本人沉默視為意思表示的一個重要的正當性理由。也有學者將信賴原則、誠信原則和交易習慣并列,認為前兩項原則在若干例外情形下也可構成沉默的基礎,但應當非常謹慎。學界關于能否將沉默視為個人信息處理場合的同意,存在不同的觀點。有論者提出擬制同意,即“通過法律將沉默擬制為意思表示”。這種擬制同意也被理解為“推定的‘默示同意’”。然而,通過法律將沉默擬制為意思表示是對私人自治的一種較強的干預,其目的在于化解法律狀態(tài)不明的情形,促進交易安全和效率。在個人信息處理領域,同意可由明示或默示(行為推斷)作出。這既可明確法律狀態(tài),也可保障交易安全和效率,暫未見通過法律將沉默擬制為同意的必要性。在該領域,也難謂已經(jīng)形成交易習慣,沉默作為同意尚不具備典型的通常意義;對方也不能據(jù)此產(chǎn)生合理信賴,此處并不存在保護交易安全的需求。此外,個人信息主體保持沉默并不違背誠信原則。無論從何種正當性理由進行判斷分析,沉默都不能構成對個人信息處理的同意;否則,當事人什么都沒做就被視為同意,會使個人信息的采集和利用回歸初始的叢林狀態(tài),個人信息保護的立法目的和規(guī)范意旨就會落空。
在排除沉默的方式之后,個人信息利用中的同意仍可有明示和默示兩種方式。在“朱燁訴百度隱私權糾紛案”中人民法院就認可了默示同意的合法性,但人民法院的論證思路有待商榷。該案是從百度“通過提供禁用按鈕向用戶提供選擇退出機制”方面去論證用戶存在默示同意。從選擇退出機制方面理解,用戶保持沉默,沒有選擇退出或表示反對,即被推定為同意。典型的選擇退出機制是將不作為的沉默推定為同意。例如,在版權領域,谷歌數(shù)字圖書館早期曾試圖采取這種策略,要求版權人通知谷歌公司其作品不想被掃描和收錄,否則視為同意。此處的權利人沉默即達到同意許可的效果。然而,在個人信息處理場合,用戶并不是什么都沒做,并不是真正的沉默。對于典型的上網(wǎng)或使用移動應用程序的行為,與其將用戶對個人信息的處理態(tài)度理解為沉默,不如認為是用戶通過使用網(wǎng)絡服務的行為構成默示同意。基于網(wǎng)站和移動應用程序采集個人信息的普遍性,加之以網(wǎng)絡服務商已將隱私政策公示告知,從用戶使用網(wǎng)絡服務的行為可以推斷出用戶的默示同意。
雖然默示同意中的知情和同意均源于推定,是知情同意的一種弱化版,但是默示同意確有其存在的必要性。個人信息的概念具有擴張性,越來越多的信息類型將成為個人信息,加之在各個領域的信息網(wǎng)絡服務不斷呈現(xiàn),收集個人信息的請求也會不斷增加。從這個角度看,以默示同意為代表的干擾較少的同意方式具有存在的價值,并將在實踐中發(fā)揮優(yōu)勢。更為重要的是,默示同意有利于為告知同意的實施提供一定的靈活性。并不是告知同意的強度越高,個人信息保護的力度就越大,“強同意”未必帶來“強保護”。此外,也在于告知同意機制具有規(guī)制工具的特性, 選擇合適的告知同意強度,可避免對個人信息收集和利用的規(guī)制過度,為大數(shù)據(jù)產(chǎn)業(yè)的發(fā)展保留足夠的空間。
由于在告知同意中存在難以解決的悖論,因而同意規(guī)則的困境是無法徹底解決的。理性的策略是緩解這一困境。明示同意與默示同意的不同強度為解決此問題提供了可能性。接下來的問題是如何區(qū)分適用不同的同意強度。
(二)同意強度的區(qū)分適用:“行為區(qū)分說”之提倡
1.同意規(guī)則的評價基礎
同意是個人信息自決的集中體現(xiàn)。我國法上的同意規(guī)則深受比較法上的個人信息自決權理論的影響。德國聯(lián)邦憲法法院基于人格尊嚴和自由發(fā)展的理念,從基本權利中推演出個人信息自決權,其社會背景正是數(shù)據(jù)的自動化處理技術引發(fā)的風險和對個人造成的恐懼。隨著信息技術的發(fā)展,互聯(lián)網(wǎng)企業(yè)已經(jīng)超過國家機關,成為個人信息的最大收集者和掌控者,這“促使該權利突破憲法性基本權利的限制,轉(zhuǎn)而具有民事權利的屬性”。從個人信息自決權的比較法淵源可見其旨在解決的問題和所維護的價值。近年來,我國加強個人信息保護的呼聲高漲,也源于對技術侵入個人領域的擔憂。在信息網(wǎng)絡和大數(shù)據(jù)時代,個人信息不當利用的風險給自然人造成了壓力。隨著人臉識別技術、拍照掃描技術的發(fā)展,線上線下的行為記錄都可以數(shù)字化,被儲存、計算、衡量、分析和評價。人類似乎進入透明人社會。與海量的大數(shù)據(jù)相比,“大分析”更令人不安,其結果除了用于對個人未來行為的預測之外,還可能產(chǎn)生個人的數(shù)字信譽,影響個人的投保、求職、交往等各種行為。個人信息保護立法體現(xiàn)了人類對隱私破壞技術、大數(shù)據(jù)和大分析技術的回應。從個人信息自決的比較法淵源、產(chǎn)生的技術背景中,可見個人信息自決旨在維護人的尊嚴和自由發(fā)展。這也有堅實的理論支撐。在德國學者康德的目的秩序理論中,人是目的本身,而不是手段。人作為理性存在的主體,不能作為計算機分析的對象或客體。在德國關于基本權利的教義學中,人的尊嚴是法秩序的最高原則。在德國民法中,個人信息自決權依托于一般人格權而存在和發(fā)展。德國法院在創(chuàng)設一般人格權時也強調(diào)人的尊嚴和人格發(fā)展是法律的最高價值。不僅是德國,“當今世界各國的法律制度,普遍以‘人的尊嚴’作為最高的倫理總綱”。我國民法學界的權威學者也認為,人的尊嚴是法律的最高原則。這一理念也體現(xiàn)在《民法典》的個人信息保護規(guī)范體系之中。盡管公法學者對將個人信息保護納入《民法典》人格權編存在一定的異議,但將其納入人格權編的好處即是確立個人信息屬于人格權益,可共享人格權益的價值基礎和一般規(guī)則。《民法典》總則編第5章(民事權利)第109條和人格權編第1章(一般規(guī)定)第990條第2款均規(guī)定了人格權益的一般條款,明確了人格權益保護的價值基礎在于人身自由和人格尊嚴。據(jù)此,個人信息保護的基本價值取向也在于維護人格尊嚴,而不是提高個人信息的經(jīng)濟效益,也不是促進數(shù)據(jù)產(chǎn)業(yè)的發(fā)展。維護人的尊嚴才是立法的目的價值,而對個人信息的利用則只是一種工具價值,工具價值應當服從目的價值。進一步而言,人格尊嚴包括消極和積極兩個方面,其范圍不限于人格尊嚴得到他人尊重的消極層面,還包括人格自由發(fā)展的積極層面。由于人格自由發(fā)展可謂人格尊嚴的外延所在,因此,也可以將個人信息保護的價值基礎明確地表達為尊重人格尊嚴和自由發(fā)展。同意規(guī)則作為個人信息保護的基礎性規(guī)范,其價值基礎也在此。綜上,個人信息保護的同意規(guī)則旨在保障自然人的信息自主和信息自決,該規(guī)則的評價基礎正是尊重人格尊嚴和自由發(fā)展。就自然人而言,其在意并希望得到保護的也是個人信息中的人格利益,而非財產(chǎn)利益。事實上,個人信息附屬的財產(chǎn)利益通常需要經(jīng)過大數(shù)據(jù)加工處理才能呈現(xiàn),難以歸個人享有。在目前的市場環(huán)境和技術背景下,個人信息易于被信息網(wǎng)絡服務商收集,卻難以被信息主體有效控制,自然人人格利益的保護存在不足。同意規(guī)則有利于改變其中的市場失靈和失衡狀態(tài)。同意機制的存在,起碼給出了一個停頓的時間,賦予了自然人控制個人信息、維護其中人格利益的機會。
2.基于處理行為的區(qū)分適用基準
第一,判斷要素的提取。“同意”強度的差異化適用有賴于一種區(qū)分的方法,因此需要提取合理可行的判斷要素。就方法論而言,法律其實也是一種決策和判斷的認知模型,而在現(xiàn)實世界中存在很多變量,“在全面把握這些變量的基礎上進行決策是不可能的”。法律規(guī)則尤其是具體的判斷方法更需提取關鍵的、決定性的要素,從而降低人們的認知負擔和決策成本。自然人同意的是他人對其個人信息的處理,從而涉及“主體—行為—客體”3個方面。下文將從這3個方面展開,以提取“同意”強度區(qū)分適用的判斷要素。在主體方面,由于政府處理個人信息大多屬于“法律、行政法規(guī)另有規(guī)定”的情形,因而需要重點討論的主體是企業(yè)。若處理個人信息的主體是提供獨占服務的壟斷企業(yè),則個人面臨的選擇機會將會更少,同意常是不得已的選擇。從這個角度看,似乎應當將主體作為一個判斷要素。然而,就個人信息保護規(guī)范旨在維護的人格尊嚴和自由發(fā)展而言,一般企業(yè)的數(shù)據(jù)泄露風險、數(shù)據(jù)濫用風險同樣存在,并且可能更大。由于對壟斷企業(yè)施加更嚴格的同意要求,而對一般企業(yè)降低標準,并不存在合理性,因此主體并不能成為同意要求區(qū)別適用的判斷要素。在客體方面,敏感信息與一般信息的區(qū)分似乎可以成為一個判斷要素,但是如前文已經(jīng)詳細展開,敏感信息與一般信息之間的界分并非總是輕而易舉的,敏感信息的認定就會受到個人敏感度的影響,也會受到情景和風險等外部因素的影響。這個變量存在很大的不確定性,極大地影響了告知同意作為行為規(guī)范的可預見性,也難以達到降低人們認知負擔、提高決策效率的功能性目的。經(jīng)過上述排除,唯一剩下的要素便是處理個人信息的行為。這恰恰是一個關鍵的、決定性的要素。每天都有大量的個人信息被收集,并以數(shù)字化的形式儲存成為數(shù)據(jù)。這些數(shù)據(jù)本身往往沒有多大的意義,真正的意義在于人們?nèi)绾翁幚砗蛯Υ占@些數(shù)據(jù)信息的行為。將個人信息的處理行為作為同意強度區(qū)分適用的判斷要素,也符合個人信息權益內(nèi)容和結構的特征。個人信息權益并不能像物權一樣建立在對有體物的占有基礎上,并不是對客體的圓滿狀態(tài)的保護,而是采取“行為規(guī)制權利化”的路徑,在特定的利用行為上架構權益保護空間。《民法典》第1037條確立的自然人對個人信息的查閱、復制的權利(訪問權)以及對錯誤信息、問題信息的更正權和刪除權均是建立在特定行為之上的。同意在本質(zhì)上也是自決權的體現(xiàn),但不宜作抽象的理解,而應當理解為對具體的處理行為同意與否的權利。如前文所述,個人信息處理中的同意類似于知識產(chǎn)權許可使用中的同意,針對的都是行為。因此,以處理行為作為同意強度區(qū)分適用的判斷要素,具有正當性。綜上所述,同意強度區(qū)分適用的判斷要素應當是對個人信息的“處理行為”這一單一要素。相較于多要素的動態(tài)體系平衡而言,單一的固定要素具有很大的優(yōu)勢:(1)單一要素可減少裁判者個人偏好影響和自由裁量空間;(2)單一要素相應地增強了規(guī)則的可預見性,保障行為主體和社會公眾的信賴利益,使規(guī)則更好地起到行為規(guī)范、裁判規(guī)范的引導作用,有利于實現(xiàn)法的安定性;(3)就成本和效率而言,單一要素可大幅度減少判斷成本,提高決策效率,既減輕了司法負擔,又可促進交易便利。
第二,處理行為的兩大類型。法典化的一大好處是可將具體規(guī)則置于法典體系下進行解釋。個人信息處理中的同意分為明示同意與默示同意,可依據(jù)《民法典》總則編第140條關于意思表示的規(guī)定解釋得出。出于區(qū)分適用兩種同意方式的目的,對處理行為進行分類,若法律上缺乏明確的規(guī)定,則其界分基準可求助于《民法典》總則編第109條規(guī)定的人格權益保護的價值基礎。《民法典》第109條具有“對人格權下屬各條文的統(tǒng)領作用”,可用于人格權具體規(guī)則的解釋。在現(xiàn)實中個人信息處理行為多種多樣,其分類可以從個人信息保護的價值基礎上找到基準。這一價值基礎既有立法上的依據(jù),又有比較法和理論上的支撐,具有充分的正當性。個人信息保護需要落實到對處理行為的規(guī)范之中,對不同的處理行為的法律評價也應基于這一價值基準。據(jù)此,個人信息的處理行為可分為兩大類型:(1)觸及人格尊嚴和自由發(fā)展的個人信息處理行為;(2)與人格尊嚴和自由發(fā)展無涉的個人信息處理行為。這兩大類型恰好可對應于同意的兩種方式。這兩大類型具有開放性,可容納現(xiàn)實中多種多樣、不斷發(fā)展的個人信息處理行為。當然,這兩大類型還略顯抽象。為減少判斷成本,進一步提供具體化的指引,還可在兩大類型之下,根據(jù)現(xiàn)實中的個人信息處理情況,歸納出若干通常類型、典型類型作為其下的亞類型或子類型。在原理上,類型是規(guī)范與事實之間的中介,在其劃分中,規(guī)范性因素和經(jīng)驗性因素均將參與其中。以個人信息保護的價值基礎為基準進行分類,考慮的是規(guī)范性因素;以個人信息處理情況為依據(jù)做進一步的類型塑造,考慮的則是經(jīng)驗性因素。在“觸及人格尊嚴和自由發(fā)展的個人信息處理行為”這一大類之下,典型的子類型有:公開并向不特定對象出售個人信息或?qū)嵤╊愃菩再|(zhì)的行為,為了繪制用戶畫像的信息處理行為,即將人作為“客體”進行分析的處理行為。在“與人格尊嚴和自由發(fā)展無涉的個人信息處理行為”的大類之下,典型的子類型有:為了不針對特定個人的大數(shù)據(jù)分析而進行的信息處理行為,僅僅為了提供服務或維護系統(tǒng)正常運行而進行的信息處理行為。這些子類型只是目前的典型類型。在未來,隨著實踐的發(fā)展,對典型類型可以進行補充更新,但其劃分和歸類標準已經(jīng)確立。如果有新的個人信息處理行為出現(xiàn),那么首先可以運用類比思維,與上述典型的子類型進行比較,嘗試將其歸入既有的類型之中。至于類似性的認定,學界存在“構成要件類似說”“實質(zhì)一致說”“同一思想基礎說”“共同意義說”等不同的學說。在探尋生活事實和典型類型之間的實質(zhì)一致、思想基礎相同或意義相同時,都難免涉及價值判斷。此時,個人信息保護的價值基礎依然可以發(fā)揮作用。其次,如果新的處理行為難以歸入典型類型,那么可嘗試直接依據(jù)前述兩大類型的區(qū)分基準進行判斷。最后,如果新的處理行為在是否觸及人格尊嚴和自由發(fā)展的認定上存在難度,那么往往意味著其中的風險處于未知的領域,對此就應持謹慎的態(tài)度,可適用較為嚴格的同意要求。
第三,同意強度的區(qū)分適用及其意義。同意規(guī)則面臨形同虛設、名存實亡的實踐危機,但并非無可救藥。如前所述,告知以公示的方式進行,其靈活性有限,但同意的實施卻存在較大的靈活空間。這為解決困境打開了通道。要緩解同意規(guī)則的實施困境,需要從同意強度的區(qū)分適用著手。同意有明示和默示兩種方式,個人信息的處理行為也恰好可以分為兩大類型。在此劃分的基礎上,對不涉及人格尊嚴和自由發(fā)展的行為類型適用默示同意可以使同意規(guī)則的實施產(chǎn)生靈活性;反之,對涉及人格尊嚴和自由發(fā)展的處理行為類型,堅持適用明示同意可以更好地維護個人權益。這種區(qū)分適用方法正契合同意規(guī)則的評價基礎。當然,法律、行政法規(guī)也可以豁免前一類型中一些處理行為的同意要求,但若無明確的豁免,則其仍應適用默示同意的方式。依據(jù)不同類型的處理行為是否觸及人格尊嚴和自由發(fā)展這一核心利益,區(qū)分適用明示同意與默示同意,不僅具有正當性,也具有可行性,并且有助于化解“同意”困境。(1)就個人而言,這一區(qū)分適用法在很大程度上可以將個人從同意過頻、同意麻木和疲于應對的狀態(tài)中解放出來,減少個人應付告知同意的時間和精力,同時使個人對可能影響其人格權益的信息處理行為更加敏感和謹慎,集中精力處理此類同意,從而提高同意的質(zhì)量。(2)就信息處理者而言,互聯(lián)網(wǎng)和大數(shù)據(jù)企業(yè)等信息處理者可能主張個人信息的敏感度不易把握、且依賴于場景和風險分析,從而難以判斷個人信息是否屬于敏感信息,但是信息處理者對由其自身主導的個人信息處理行為應有較為清晰的認識,這種行為是否觸及自然人的人格尊嚴和自由發(fā)展也應當在其掌控之中。基于處理行為的類型去區(qū)別實施不同的同意方式,對其并不存在障礙。(3)就裁判者而言,若個人信息糾紛已經(jīng)進入司法程序,則意味著被訴的侵害行為已經(jīng)發(fā)生,此時法官只需重點對個人信息處理行為進行客觀考察和分析,并可借助類型化思維,將之納入典型類型,或與典型類型進行類比,較為輕松地判斷該行為是否觸及自然人的人格尊嚴和自由發(fā)展,從而區(qū)分適用明示同意與默示同意。這不僅可行,而且還可大幅度節(jié)省裁判成本、提高司法效率。
五、結 論
我們不得不承認,告知同意規(guī)則存在內(nèi)在的困境,但這一規(guī)則對于個人信息的保護又是如此重要,以致不能輕言放棄。也正是因為這一規(guī)則在個人信息保護規(guī)范體系中的基礎性地位,我們必須孜孜以求地尋求更佳的出路和方案。將個人信息保護規(guī)范置于《民法典》的體系之下進行解釋,在明確同意的規(guī)范內(nèi)涵、不同強度和評價基礎之上,提出基于處理行為的判斷基準,即“行為區(qū)分說”:對不涉及人格尊嚴和自由發(fā)展的個人信息處理行為,可適用默示同意;反之,則應適用明示同意。經(jīng)過本文的論證分析,這種方案具有正當性和可行性。由于在告知同意機制中存在內(nèi)在悖論,“同意”的困境是難以徹底解決的,而只能緩解。“行為區(qū)分說”扎根于個人信息保護規(guī)則的解釋論,即兼顧了法的安定性和法律體系的融貫性,又允許同意強度存在合理差異,配之以告知義務的合理程度要求,可在很大程度上化解告知同意機制中的結構性問題和認知問題,將個人從疲于應對甚至失控的狀態(tài)中解放出來,提高同意的質(zhì)量,從而提升規(guī)則實施的效果。在未來,隨著實踐經(jīng)驗的積累,同意規(guī)則的實施困境有望得到進一步化解。
