欧盟个人信息保护法中当事人同意的立法经验与启示*
2018-01-25姜盼盼吉林大学法学院吉林长春130012
姜盼盼 ( 吉林大学法学院 吉林 长春 130012 )
1 引 言
个人信息(又称个人数据、个人资料)保护法中的当事人同意,又称告知后同意原则或者知情同意原则,一直以来被认为是个人信息和隐私权保护的核心原则[1],其制度设计的要义是从程序上强化当事人的信息自决权[2],增加个人信息处理的透明性[3],真正地实现个人信息的自主性[4]。我国《信息安全技术公共及商用服务信息系统个人信息保护指南》(以下简称《指南》)、《信息安全技术个人信息安全规范》(以下简称《规范》)等规范性法律文件皆对当事人同意作出明确的规定,除此之外,欧盟《一般数据保护条例》(以下简称GDPR)和德国《联邦个人资料保护法》(以下简称BDSG)也在立法上将当事人同意居于核心位置[5]。然而,随着信息科技、社交网络、电子商务等新兴网络媒体的蓬勃发展,当事人同意遭受到了诸多的质疑和批判[6],新兴的网络经济逐渐削弱了当事人同意的功能[7],使同意的外溢效应无法有效应对第三人的个人信息保护影响,以及同意的无限授权效应无法有效应对信息主体的个人信息保护影响[8]。概言之,这些问题都根源于当事人同意的有效性实现[9],即如何确保当事人作出一个有意义的同意行为[10],基于此,本文分别从当事人同意的表示方式、生效要件等这几个维度,对我国与欧盟个人信息保护法中的当事人同意展开比较研究,最终为我国的个人信息保护法律制度构建提出有效的建议,也希望对图书馆管理过程中的读者信息保护有所裨益。
2 实践难题:当事人同意的外溢效应和无限授权效应
2.1 外溢效应:缔结同意之双方以外的第三人信息自决权的保障落空
个人信息的正当性处理,是拥有信息自决权的主体和处理个人信息的主体达成合意的结果[11],无论是单方面的同意还是契约上的允许,二者都是通过当事人的同意,而使侵害当事人权利的行为正当化而阻却违法[12],一旦当事人同意的目的落空,其信息自决权就难以得到有效保障。一般情况,当事人的同意发生在缔结双方主体之间,不会影响到第三人的信息自决权。然而,新兴的互动式电子商品在声音及声音内容的采集上,会影响到第三人的信息自决权。以美泰(Mattel)公司推出的新款芭比娃娃——“你好芭比”(HelloBarbie)为例[13],这款产品能记录孩子们的对话内容,再借助Wi-Fi将声音内容传达到软件公司ToyTalk,ToyTalk 公司通过研发的语音处理技术装置,来分析孩子们的声音内容,进而改善芭比娃娃回应使用者的对话内容[14]。为了便于讨论,暂且将购买产品且使用智能服务的使用者,叫做原始使用者,反之,叫做非原始使用者,又或者是缔结同意之双方以外的第三人。首先,原始使用者并不了解自己的个人信息会被第三方服务商采集,主观上没有意识到自己的个人信息被侵犯的风险;其次,原始使用者即使知悉第三方服务商会采集自己的个人信息,但对于原始使用者周围的人们来说,他们是非原始使用者,是缔结同意之双方以外的第三人,他们并不知悉或者知悉但没有同意自己的声音内容被第三方服务商采集,这在客观上会侵犯到他们的信息自决权,当事人同意的目的就会落空,产生原始使用者的同意取代了非原始使用者的同意的外溢效应。
2.2 无限授权效应:无法预见信息处理目的的个人信息自决权保障落空
处理者对个人信息的处理,要遵循目的明确原则,即处理者主观上具有合法、正当、必要、明确的个人信息处理目的,一旦超出个人信息处理目的的范围,就会产生当事人同意的无限授权效应,因此,无法预见信息处理目的的个人信息自决权保障也就会落空。大数据的发展引发了新形态的个人信息保护的争议[15],大数据时代的个人信息需要进一步的保护[16]。 以Google流感趋势(Google Flu Trends,简称GFT)预测计划为例[17],根据Google制定的隐私权政策①,Google最初使用人们利用搜索引擎留下的记录,改善Google 的搜索功能,而不是在收集个人信息目的之外进行流感趋势预测,因为这超出了当事人同意的处理目的范围,导致无限授权效应。这种信息处理目的之外产生的无限授权效应,影响到个人信息的保护,突破了传统的当事人同意的规范性框架。
3 欧盟个人信息保护法中当事人同意的立法经验
3.1 当事人同意的表示方式:以积极肯定的方式表示同意
在我国有关个人信息保护的规范性法律文件中,只在《指南》和《规范》中明确规定了当事人同意的表示方式,在《指南》第3.10和第3.11中明确规定了默许同意和明示同意这两种同意的表示方式,其中默许同意是指在个人信息主体无明确反对的情况下,认为个人信息主体同意;《规范》第3.6、第5.3和第5.5中分别规定了明示同意、收集个人信息时的授权同意和收集个人敏感信息的明示同意,将同意的表示方式分为两种:明示同意和授权同意,其中明示同意是指个人信息主体通过书面声明或主动做出肯定性动作,对其个人信息进行特定处理做出明确授权的行为,并且对肯定性动作作出了明确的指示:肯定性动作包括个人信息主体主动作出声明(电子或纸质形式)、主动勾选、主动点击“同意”“注册”“发送”“拨打”等;授权同意包括明示同意和默示同意;将产品和服务的功能分为核心业务功能和附加业务功能,当收集一般个人信息时,核心业务功能和附加业务功能采用明示同意或默示同意,而当收集个人敏感信息时,核心业务功能应当采用明示同意,附加业务功能应当采用逐一明示同意。这是我国关于当事人同意表示方式的规定。
德国BDSG第4a条规定:同意的意思表示应采用书面形式,在特殊情形下,可授权使用其他形式。如果将书面同意和其他书面声明一起提供,那么,书面同意和其他书面声明也应该有严格的区分。第4a条就是一个明确的独立条款,不能推定为同意,原则上当事人同意的方式只能采用书面同意,这样可以避免当事人轻率地同意[18]。欧盟GPDR第4条第11款规定:数据主体的“同意”是一种通过积极的行为自愿做出的一种指定的、具体的、知情的及明确的指示②,同时第9条规定了特殊种类的个人数据处理应当采用明示同意。德国BDSG和欧盟GPDR规定的对当事人同意的表示方式包括了明示同意和默示同意,虽然德国规定当事人同意原则上采用书面形式,联邦法院的判决也承认了默示同意的效力,但是在德国理论界有一定的争议。总之,无论是默示同意还是明示同意,当事人同意都通过一个积极肯定的行为来完成,比如说,当事人通过签名或者主动勾选同意方框的方式表示同意其个人信息被收集;反之,如果当事人不同意其个人信息被收集,那么,可以选择拒绝签名或者勾选同意方框,这种方式与当事人积极签名或者主动勾选同意方框的方式在个人信息保护的效力上有所减弱,理由就是沉默或者不作为并不符合同意的规定[19]。
3.2 当事人同意的生效要件
按照欧盟GPDR关于数据主体的同意定义,当事人的同意系出于自由意志、目的特定及告知后所表示之期望。2018年4月10日,欧盟“第29条”工作组发布新修订的GDPR实施指南③,该指南提出构成GDPR下同意的生效要件包括:(1)同意必须为自主同意(freely given);(2)同意必须特定(specific);(3)同意必须基于告知后所为(informed consent);(4)同意必须清晰且毫不含糊、明确地指出其意愿(unambiguous indication of the data subject's wishes)。这4个构成要件缺一不可,只有满足这4个构成要件,同意才是有效的。
3.2.1 自由要素:当事人同意必须为自主同意
在我国《规范》第3.6对明示同意的定义中,明示同意是个人信息主体主动做出的肯定性动作,也就是说当事人同意系出于其自主决定,而不受欺诈、诱骗、强迫而做出的无效同意,这一点也在第5.1(a)收集个人信息的合法性要求中体现出来。德国BDSG第4a条第1项则明文规定当事人同意必须出于自主决定,由此可以看出,德国立法者将个人资料主体的自主决定性作为同意的首要生效要件。欧盟“第29条”工作组在新修订的GDPR实施指南中对自主同意的解释主要从双方关系不对等(Imbalance of power)、附加条件(Conditionality)、细致程度要求(Granularity)以及不利后果(Detriment)这4个方面展开。主要内容是:首先,当双方关系不对等时,需要在特定的场景下进行评估,比如存在雇佣合同的场景,按照GDPR第7条第4款的规定判断当事人的同意是否在其自主的情况下做出同意,应尽可能地考虑合同的履行情况,当当事人与雇主签订雇佣合同时,是否有必要同意其个人信息就要被雇主所处理,如果当事人个人信息的处理不是合同履行所必需的,则雇佣合同的签订不能以当事人同意为前提。其次,控制者一旦选择当事人同意为合法处理要件,不能放大当事人同意的效应,控制者只能在当事人同意的范围内对其个人信息进行处理,超出当事人同意的范围处理其个人信息不具有合法性。再次,在适当的时候,对于不同的数据处理业务,应分别取得同意。最后,信息处理者需要证明当事人拒绝同意或者撤回同意不会承担不利的后果。综上所述,当事人同意必须出于自由意志,且没有被欺诈、诱骗、强迫,否则,同意是无效的。
3.2.2 具体要素:当事人同意必须为具体特定的同意
当事人具体特定的同意,是指当事人对于收集、处理、利用其个人信息的目的和范围有明确认识后的同意。当然,概括的同意,因为没有具体指明信息处理的目的和范围,不符合明确要素,因此,并非是有效的同意。至于当事人的同意是否符合具体特定的要件,则应该审视信息处理者在事前是否将收集、处理和利用的目的和范围等事项充分告知当事人,同意的特定性离不开信息处理者的充分告知。德国BDSG第4条第2项规定了收集、处理和使用数据的目的,欧盟“第29条”工作组针对当事人同意的明确性要素指出,控制者处理信息的目的要特定,同时要将请求同意的内容明确体现出来,处理活动也受处理目的的限制。我国《规范》第4条中也明确规定了目的明确原则,即具有合法、正当、必要、明确的个人信息处理目的。
3.2.3 知情要素:当事人同意必须为告知后同意
所谓告知后同意,个人信息处理者在处理个人信息之前,应将其信息处理的目的和范围等信息明确告知当事人,使得当事人根据被告知的内容衡量利弊,并据此作出同意与否的决定。也就是说,信息处理者应履行向当事人充分告知的义务,然后取得当事人的同意方为有效。告知后同意的目的就是信息的透明化,能够让当事人真正评估其同意的影响,真正落实个人信息决定权。我国《规范》第5.3是有关收集个人信息时的授权同意,分别从直接收集个人信息和间接收集个人信息两个方面规定了个人信息控制者应履行的告知内容,以及在第5.5收集个人敏感信息时的明示同意中也做出了相应的规定。关于告知的内容,在《规范》第5.6隐私政策的内容和发布中规定了告知的具体内容。但是欧盟GDPR第13条第1项还进一步规定了数据保护局的详细联系方式以及向监督机构申诉的权利,因此,从当事人主张和行使其权利的角度而言,欧盟GDPR的规定更为具体,可为我国个人信息法律保护的制度构建提供参考。关于告知的方法,欧盟“第29条”工作小组还采用了分层次告知方法。关于个人信息提供的方式,欧盟GDPR第12条第1项规定:控制者应当以一种简单透明、明晰且容易获取的方式,通过清晰明确的语言,采取合理措施提供信息。控制者可以采取书面材料、电子方式或者口头方式。由此可以看出,欧盟GDPR提供信息的方式是多样的,只要能够采取清晰明确的语言,能够为信息控制者所理解,真实地表达自己的意愿即可。
3.2.4 明确要素:当事人同意必须清楚且明确地指出其意愿
欧盟GDPR第7条第2款指出:如数据主体通过声明的方式作出同意,且书面声明涉及其他事项,那么同意应以易于理解且与其他事项显著区别的形式呈现。构成违反本法的声明的任何部分,均不具有约束力。由此可以看出,当事人同意针对其信息被特定处理还需要一个积极的行为或者声明同意,当事人同意必须清楚且明确地指出其意愿,如果当事人同意的表达方式不明确或者含糊,则当事人的同意是无效的。信息处理者只有获得当事人明确的同意,才能合法地处理其个人信息。欧盟“第29条”工作组也指出:数据主体的沉默或者不作为不是数据主体清晰明确的愿望表示④。我国《规范》第5.5(a)规定:收集个人敏感信息时的明示同意,对个人信息控制者的要求内容包括应确保个人信息主体的明示同意是其在完全知情的基础上自愿给出的、具体的、清晰明确的愿望表示。由此可以看出,当事人同意必须是个人信息主体清晰明确的愿望表示。
3.3 当事人的同意能力
当事人的同意是在信息主体具备同意能力的前提下做出的,如果信息主体没有同意能力,则信息控制者征得的同意是无效的。在现代科技社会,随着手机、平板、电脑等新兴电子产品的出现,对于它们的使用不分年龄,而对未成年人的个人信息处理,影响会更深,甚至影响其人格权的发展。有学者认为,当事人同意不要求具有行为能力,只需要具有理解能力,也就具有了辨识和判断力,能够理解同意的内涵和意义即可[20]。然而,未成年人理解能力的判断标准不明确,不利于保护未成年人的合法权益,因此,需要以年龄为界限决定其同意能力。我国《规范》第5.5(c)规定:收集年满14周岁的未成年人的个人信息前,应征得未成年人或其监护人的明示同意;不满14周岁的,应征得其监护人的明示同意。由此可以看出,我国对于未成年人的个人信息保护年龄是以14周岁为界限,如此可以更好地保护未成年人的信息自决权。德国BDSG对未成年人的年龄无规定,但是在有关宗教的儿童教育法律中,明确规定儿童在年满14周岁后,可自行决定是否加入或退出教会,并由此决定在校是否参加宗教课程。欧盟GPDR第8条规定了关于信息社会服务适用于儿童同意的条件,规定了16周岁以上儿童的个人数据处理为合法,儿童未满16周岁时,数据处理只有在征得其父母的同意或授权儿童同意的范围内合法。但会员国可以将年龄门槛降低,但是不得低于13周岁。由此可以看出,欧盟GPDR认为儿童和青少年仍然需要保护,尤其在网络上,未成年人可能毫无戒心地提供其个人信息。
4 欧盟个人信息保护法中当事人同意对我国的立法启示
4.1 严格限制默示同意:当事人同意原则上采用明示同意
欧盟GDPR和德国BDSG对默示同意的态度是持谨慎的态度,原则上是采用明示同意,严格限制默示同意。例如,德国BDSG第4a条第1款规定,当事人同意应当采用书面形式,特殊情况下可以采用其他形式,倘若采用默示同意,应在外观上与书面同意严格区分;欧盟GDPR第7条第2款规定,当事人同意倘若采用默示同意,则应以易于理解且与其他事项显著区别的形式呈现,一旦违反本法声明的任何部分,均不具有约束力。由此可以看出,欧盟和德国对默示同意采取严格限制的态度。但是,德国和欧盟对默示同意的态度是值得赞同的,但是对于默示同意的适用仍有一些难题需要厘清,比如说,外观上与书面同意严格区分的标准是什么,什么意义上才是易于理解,与其他事项显著区别的判断标准是什么,什么才是一个有意义的积极肯定的行为等等。除此之外,默示同意在个人信息收集中还有一些难点:信息主体的权益保护问题,比如说,隐私政策内容的霸王条款(无论信息主体是否同意,其个人信息都要被收集);未成年人的权益保护问题,未成年人由于智力程度受限,辨别意识不强,对于成年人易于理解的条款,可能对他们来说就不易理解,那么,期待未成年人个人信息的自我管理实为奢谈;默示同意的滥用问题,信息控制者往往在隐私条款中设置一些对自己有利的条款,使信息主体处于不利位置,信息控制者通常利用隐私条款中的“要约陷阱”或信息主体的疏忽大意收集个人信息,这样难以落实信息主体的信息自决权[21]。在朱烨与北京百度网讯科技有限公司隐私权纠纷一案中[22],案件的争议焦点就包括当事人的同意方式,一审判决否定了默示同意,而二审判决肯定了默示同意。由此可以看出,默示同意给当事人同意的适用带来了一定实践难题。建议立法上明确规定当事人同意采用明示同意,避免采用“默示同意”“授权同意”等模糊的术语产生一定的司法适用困境,不能因为增加信息控制者的成本和负担,而肯定默示同意,也不能因为片面的认为明示同意会无形之中阻碍信息科技的发展,而允许默示同意的存在空间。另外,默示同意的效力与明示同意的效力相比而言更弱一些,而且默示同意会弱化当事人的地位。
4.2 当事人同意的实质化:提倡同意的“四要件”生效模式
4.2.1 在自由要素方面:引入具体场景同意风险评估
基于信息控制者和信息主体的不对等关系,按照GDPR第7条第4款的规定,当事人同意的自主性需要根据具体场景进行评估,应尽最大可能考虑,还应考虑合同的履行,包括服务的提供是否是基于对履行合同不必要的个人数据的同意。在现实中,当事人的同意往往缺乏自主性,并不是自主决定的,由于雇佣关系等双方地位不对等导致不能落实信息主体的信息自决权,通过在立法上引入具体场景同意风险评估,可以最大可能地保护信息主体的合法权益,在不同的具体场景下对同意的自主性做出评估,真正落实信息主体的信息自决权。总之,当事人同意必须出于自由意志,且没有被欺诈、诱骗、强迫,否则,同意是无效的。
4.2.2 在具体要素方面:规定可期待性的同意限制原则
根据欧盟GDPR和德国BDSG的规定,当事人同意的具体要素,要求当事人同意是一个具体特定的同意,是针对信息处理的目的和范围等特定事项有明确的同意。然而,具体特定的同意仍有解释的空间,比如说,在学术研究领域,信息收集之初并不能完全确定收集信息的目的,从有利于学术发展的角度,只要符合学术研究的伦理标准,应允许当事人针对特定学术研究领域或者研究计划而同意其个人信息被处理。本文认为,当事人同意固然必须为具体特定的同意,然而,在当事人合理可预见的范围内,应该承认其同意之合法性,因此,建议在立法上规定可期待性的同意限制。
4.2.3 在知情要素方面:细化告知内容和采用分层次告知方法
当事人同意的前提是信息控制者的充分告知,只有了解了告知内容,才能做出有效的同意。首先,细化告知内容。欧盟GDPR第13条第1项还进一步规定了数据保护局的详细联系方式以及向监督机构申诉的权利,在我国《规范》有关个人信息控制者的要求中,规定了个人信息控制者应当履行的告知内容,但是唯独没有将数据保护局的详细联系方式和向监督机构申诉的权利明确纳入其中,从当事人主张和行使其权利的角度而言,欧盟GDPR的规定更为全面,应当值得借鉴。其次,细化告知方法。根据欧盟GDPR第12条第1项的规定,除了在提供方式上要求简单透明、明晰且容易获取之外,还应该细化告知方法。根据欧盟“第29条”工作组的意见,采用分层次告知方法:第一层次,简短告知法。此方法就是将必要信息或者核心信息告知信息主体,这些信息包括信息控制者的联系方式、信息处理的目的等重要信息。第二层次,浓缩告知法。浓缩告知的内容包括公司的名称、信息处理的目的、信息接受者的类别、回复与否是强制性或者自愿性以及未回复的可能后果等。第三层次,完整告知法。完整告知的内容包括所有欧盟国家的要求与特殊性,告知方式例如可以添附连接欧盟各个国家的链接网址。2018年4月13日,欧盟“第29条”工作组在关于一般义务的透明度原则适用的解释中提到,使用分层隐私声明或者通知并为信息主体提供各类信息链接,克服了屏幕上通知方式的单一性,另外,还可以利用诸如“推送”和“拉取”通知等符合透明度要求的创新方法。我国个人信息保护立法可以借鉴欧盟的做法,根据本国的背景采用分层次告知方法,比如在隐私声明中采用醒目字体的形式,将告知内容中的必要信息、重要信息、全部信息分层次告知信息主体。
4.2.4 在明确要素方面:采用书面同意的方式比较妥当
明确要素要求当事人同意必须清楚且明确地指出其意愿。默示同意的方式,并非是当事人清楚且明确地指出其意愿,信息控制者处理个人信息之前,一定要征得当事人清晰、真实意愿的书面同意,否则同意是无效的。虽然在有些学者看来,无论在形式上是采取书面形式、口头形式还是其他行为方式,只要能足够清楚地表达当事人的意愿并为信息控制者能了解即可,因为信息控制者只要证明信息主体的同意是清楚明确的表达,是其真实的意愿,就是有效的同意[23]。本文认为,为了促使同意的进行能慎重其事,以减少争议及有助于当事人权益的进一步保障,建议我国个人信息保护立法规定当事人同意以以书面为之,较为妥当。
4.3 未成年人的同意:建立行之有效的确认机制
当事人的同意是在信息主体具备同意能力的前提下做出的,因此,当事人的同意能力在考虑同意的有效性这个问题上至关重要,尤其是未成年人的个人信息同意。网络发展迅猛,新兴电子产品的涌现,引起了未成年人对新兴产品的狂热,但是,由于他们智力有限,可能不会做出一个有效的同意行为,因此,在收集未成年人的个人信息前,应征得未成年人或其监护人的明示同意,这一点,在我国《规范》和欧盟GDPR关于收集未成年人的信息要求中都是有所体现。值得借鉴的是,欧盟GPDR第8条第2款还规定:考虑到现有技术,控制者应当做出合理的努力,去核实在此种情况下,父母作为责任主体的同意或授权。这款规定本质上是控制者核实未成年人做出同意行为有效性的义务,一种确认义务,只有在征得未成年人父母这一责任主体的同意或授权后,才可以合法地处理未成年人的个人信息。因此,建议我国在未来的个人信息保护立法过程中,将这一确认机制纳入进来。从风险分配这个角度上讲,通过建立行之有效的确认机制,而不是将确认当事人同意能力的风险转嫁给未成年人,这一点还是值得借鉴和参考的,因为未成年人通常在经济上、信息技术上都处于相对劣势地位,将风险由有能力控制的一方承担,比较符合风险分配原则,能够更好地贯彻法律保护未成年人的基本精神。
5 结 语
根据当事人同意的“四要件”生效模式,对于当事人同意的外溢效应而言,在美泰(Mattel)公司的新款芭比娃娃这个案例中,被窃听的周围的人们即非原始使用者没有做出任何有效的同意,当然,该产品服务的原始使用者也不能替代非原始使用者做出有效的同意,第三方服务提供商没有征得非原始使用者的同意,就对其信息进行处理,违背了当事人同意的“四要件”生效模式,因此,第三方服务提供商应该承当相应的法律责任;对于当事人同意的无限授权效应,在Google流感趋势预测计划这一案例中,个人信息的处理属于目的之外的信息处理,未经过当事人的同意,不符合当事人同意的“四要件”生效模式。总之,对于个人信息的保护,我们应立足我国国情,充分借鉴欧盟的立法经验,为我国的公民个人信息保驾护航。当然,个人信息的保护,除了需要完善立法之外,更需要信息主体的风险管理意识以及信息控制者的遵法意识。
注 释:
① "We collect information to provide better services to all of our users-from figuring out basic stuff like which language you speak, to more complex things like which ads you'll find most useful, the people who matter most to you online, or which YouTube videos you might like."
②Article 4(11): any freely given, specific, informed and unambiguous indication of the data subject's wishes by which he or she, by a statement or by a clear affirmative action, signifies agreement to the processing of personal data relating to him or her.
③This Working Party was set up under Article 29 of Directive 95/46/EC.It is an independent European advisory body on data protection and privacy.Its tasks are described in Article 30 of Directive 95/46/EC and Article 15 of Directive 2002/58/EC.
④ Silence or inactivity on the part of the data subject, as well as merely proceeding with a service cannot be regarded as an active indication of choice.