论“知情同意”制度在大数据时代的嬗变
2019-03-27戴中璧
摘 要 “支付宝年度账单”事件暴露出在大数据时代,知情同意制度所遭遇的理论基础不牢固、真实性无法保证、不符合经济考量等困境。但以上困境源自错误的理论基础和对该制度作用不切实际的期待。因此个人信息保护法应当回归传统的隐私权理论,坚持信息利用和隐私保护相平衡的理念。知情同意亦应回归一项工具性制度的定位,并结合大数据技术的特点对其具体规则、配套措施做出相应的改进。
关键词 知情同意制度 大数据 隐私权 敏感信息 一般信息
基金项目:本文系江苏高校哲学社会科学研究基金项目“大数据时代隐私保护的理论基础”(项目编号:2018SJA1085)的阶段性成果。
作者简介:戴中璧,江苏科技大学人文社科学院副教授,研究方向:经济法学。
中图分类号:D923 文献标识码:A DOI:10.19387/j.cnki.1009-0592.2019.03.123
一、从“支付宝年度账单”事件说起
2018年伊始,许多支付宝用户在各大网络社交平台分享了他们的年度消费账单。但很快有法律界人士指出,支付宝年度账单存在“授权漏洞”:如果用户没有注意到页面下端的一行晦暗小字并取消已经默认勾选的“我同意”按钮,晒出账单很可能意味着——在本人不知情的状态下——允许支付宝收集包括第三方保存的信息在内的个人信息……支付宝的上述做法立刻引起了广大用户的质疑与不安,也引起了央行、国家网信办的关注与强力监管。此事件以支付宝方面的迅速纠正并道歉作为终结。 但是,我国对个人信息处理“知情同意”的理论研究和制度完善却似乎远远没有终结。
笔者认为,上述事件暴露出我国个人信息保护立法中的两大不足:一是理论基础不明确,二是“知情同意”的执行标准较为模糊。目前,我国在该领域的立法首先是“一法一决定”,即《网络安全法》与《全国人大常委会关于加强网络信息保护的决定》;其次有行政法规《征信业管理条例》、部门规章《电信和互联网用户个人信息保护规定》和《网络交易管理办法》等。以上立法都大同小异的包含了旨在保护个人信息的“知情同意”制度,如《网络安全法》第41条规定“网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。…”
然而,何谓“经被收集者同意”?除明示之外,理论上尚有“行为人以使人可推知的方式间接表示其内在意思的表意形式” ,即“默示同意”或“默许同意”,如明知信息被收集而继续使用服务的动作,明知预设同意勾选而不选择“退出”等情形。这些默许同意是否可以构成有效的同意?上述法律法规均未置可否。相关解释最早出现在一部不具有法律效力的国家指导标准《公共及商用服务信息系统个人信息保护指南》(GB/Z 28828-2012)中,根据该标准5.2.3条:“处理个人信息前要征得个人信息主体的同意,包括默许同意或明示同意。收集个人一般信息时,可认为个人信息主体默许同意,如果个人信息主体明确反对,要停止收集或删除个人信息;…”因而,在参照上述标准的前提下,如果确实仅涉及用户一般性的、非敏感信息,且保障了其选择退出(opt-out)的权利,支付宝从自身商业利益出发,通过默认勾选的方式取得用户默许同意的做法似乎也存在情有可原之处。
但是,新近制定的两部国家推荐标准《信息技术产品供应方行为安全准则》(GB/T 32921-2016)和《個人信息安全规范》(GB/T 35273—2017)并未再次明确规定可以对个人信息的处理进行默许同意,并强调了“明示同意”的核心地位。这是否意味着我国的个人信息保护立法彻底继受了个人信息自决权理论,试图通过更严格的同意标准建立起个人对其信息的全面支配?然而耐人寻味的是,与上述两部标准的理念相左,不少学者认为该做法与大数据时代的发展趋势背道而驰,甚至“知情同意”本身的作用和价值也受到了一定的质疑。那么,“知情同意”在个人信息保护法中究竟扮演着怎样的角色?它的正当性基础是否真的因大数据时代的到来而岌岌可危?抑或可以通过自身变革更好的发挥这一机制的独特价值?本文以“支付宝年度账单”事件为契机,试对上述问题进行一个初步的回答。
二、作为“工具”而非“原则”的知情同意制度
一般认为,知情同意的做法“已经为各国个人信息或隐私保护法律规范和实践所采用,构成了保护个人信息安全的‘告知同意框架,已成为现代数据保护法的一个基础”。 甚至在不少文献中被称为“同意原则”,被赋予“核心”“首要基础”的地位。但是,通过比较法考察不难发现,尽管世界各国(地区)相关立法几乎无一例外的规定了该制度,但其重要性和所发挥作用在各国(地区)却表现出较大的差别。
(一)美国法
在隐私权概念的诞生地美国,法律对个人信息的保护建立在“隐私权”理论之上。总的来说,信息自由的理念在美国得到较高的认同,法律对于非政府机构处理个人信息的限制较为宽松。 根据印第安纳大学Fred H. Cate教授的总结,美国相关立法有以下特点:“一是鼓励信息的自由流动;二是有限的隐私期待;三是实质损害利益平衡;四是以行业自律为主”。 相应的,知情同意在美国个人信息保护立法中远称不上具有基础地位,更不是一项法律原则,无需同意或默许同意的情况普遍存在。比如在征信领域,根据《公平信用报告法》《金融服务现代化法》等法律法规,首先,征信机构采集个人信用信息并不以征得信息主体的同意为合法前提。其次,信息使用者查询个人信用信息只需证明其查询符合法律规定的正当理由和使用目的,并不需要取得信息主体的同意。 最后,金融机构之间分享个人信用信息只需保障信息主体的知情权和选择退出(opt-out)的权利,也不需要征得其明示同意。但是,知情同意作为隐私保护措施中的一种,在美国特定领域立法中依然发挥着重要的作用。如根据《健康保险转移与责任法》的规定,除了治疗、支付费用或履行公法义务等目的,披露个人健康信息必须获得主体明确的书面授权。
(二)欧盟法
相较而言,由于受到德国“个人信息自决权”理论的强烈影响,欧盟的个人信息保护立法,不论是早期的《个人数据保护指令》(95/46/EC)还是其新进继任者《数据保护通用条例》(the General Data Protection Regulation,以下简称GDPR)都格外强调知情同意对于个人信息保护的意义。如GDPR规定:(1)同意是处理个人信息的合法性基础之一(第7条);(2)同意应当通过明示方式进行,沉默、预先勾选的选项框、或不作为,均不构成同意(前言第32条);(3)同意应当是数据主体在充分知情、意思自由的前提下做出的(第8条);(4)信息主体有权随时撤回其同意(第8条)。但是,如果就此认为“知情同意”是欧盟个人信息立法的基本原则则言过其实,这不仅是由于GDPR第5条“处理个人资料的原则”中并无此表述,更是因为GDPR规定了大量不需要“知情同意”的例外(第7条),如:(1)为订立或履行与信息主体的合同;(2)为遵守法定义务(3)为信息主体或其他自然人的重大利益;(4)为了公共利益或履行公共职能;(5)为了信息控制者的合理利益。“这些例外规定…几乎涵盖了现有个人信息处理最主要的类型,因此极大地削弱了同意本身的效力”使其“作为个人信息处理的正当性基础的规定因诸多例外的存在而效力大减”。
(三)比较
通过以上比较不难看出,即使在“前大数据”时代,即使在奉行个人对信息进行全面支配的欧洲,知情同意在法律体系和功能定位上都无法作为一项具有全面性、本源性的“原则”。但是,它作为一项平衡信息利用和隐私保护的法律制度却发挥着不可或缺的工具作用,虽然其重要性在欧、美存在不小的差异。如今,大数据时代已经到来了,传统的知情同意制度的理论基础和功能是否需要重新评估?它的适用范围和适用方式又是否需要重新调整呢?
三、知情同意制度在大数据时代的困境
大数据产业指以数据生产、采集、存储、加工、分析、服务为主的相关经济活动,包括数据资源建设、大数据软硬件产品的开发、销售和租赁活动,以及相关信息技术服务。数据是国家基础性战略资源,为誉为21世纪的“钻石矿”。 大数据运营者不可避免的处理大量与个人相关的信息,隐私保护成为大数据技术无法回避的问题。然而,自上世纪七十年代以来,以知情同意制度为主的基本保护方法总体上却没有变过。 事实上,知情同意制度的困境在“前大数据”时代已初见端倪,而革命性技术和商业模式的出现更加剧了困境的程度。
(一)理论基础存在疑问
一般认为,知情同意制度的法理基础源自德国法上的个人信息自决权理论。“信息自决权的精髓在于信息主体对自身信息的控制与选择,即自我决定的权利,由公民基于其内心、自由地决定其自身信息何时、何地、以何种方式被收集、储存、处理以及利用的权利。” 它是一项具有支配权性质的人格权。该理论面临的主要诘问是:不问与主体利益的远近程度并经过与对立利益的权衡,就将一切关于个人的信息均交由信息主体支配在事实上是否可能,在利益衡量上是否妥当?在信息社会,个人信息并不全部的必然的属于信息主体,应当允许甚至鼓励公开的、一般性的、非敏感的个人信息的流通和有效利用,这是人的社会属性的必要要求,也是人与人交往合作的基础性条件之一,在大数据时代尤为如此。所以,企图不加区分的对所有个人信息进行识别,告知主体并取得其同意甚至是明示同意的做法既无可行性也缺乏必要性和正当性。
(二)真实性无法保证
美国华盛顿大学的Daniel J. Solove教授以网站隐私政策为例,将真实性困境归纳为四个障碍:(1)人们通常不会阅读晦涩冗长的隐私政策;(2)即使人们阅读,也很可能不能理解其内容;(3)即使閱读并理解其内容,人们往往缺乏足够的背景知识做出明智的选择;(4)即使人们阅读并理解其内容,而且可以做出自由的选择,但他们的选择也可能因为心理偏差而被扭曲。 例如人们口诛笔伐支付宝暗中收集用户信息的行为,但却对主动展示同样属于个人信息的消费账单乐此不疲,对可能来带的风险浑然不觉。这就是一种叫做“可获得性启发”(Availability Heuristic)心理偏差的体现。此外,在大数据时代,经营者往往通过格式条款公布其隐私政策,用户只要接受其服务便很难有选择不提供个人信息的余地。
(三)不符合经济考量
一方面,知情同意“防君子不防小人”的特点使其效用有限。目前我国在信息安全领域最大的威胁在于信息的非法泄露以及由此引发的骚扰和诈骗,对此刑法尚且力有不逮。同时,大数据时代特有的通过数据挖掘侵犯隐私、歧视性待遇等风险(如大数据“杀熟”)已有苗头,但通过加强个人对其信息的支配予以防范似乎也并非最佳路径。另一方面,建立在个人信息控制之上知情同意保护制度成本很高,而大数据具有海量性、多样性、聚合性等特征,若事事都需要告知信息主体并取得同意,不论在经济上还是技术上,要么成为企业不可承受之重,要么使制度流于形式。况且作为信息主体的消费者也并非总能因此受益,无休无止的同意通知很可能对其精神之安宁形成滋扰,从而威胁到另一种隐私权——独处的权利。
四、知情同意制度在大数据时代的价值
鉴于上述困境,不少学者主张在大数据时代应当抛弃知情同意制度,如任龙龙博士认为“同意不应是个人信息处理的正当性基础” ;纽约大学的Ira S. Rubinstein教授也指出知情同意制度将在“在大数据海啸中瓦解,并超出任何制度的修复能力”。 但笔者认为上述观点有失偏颇,知情同意制度在大数据时代也有着不可替代的理论和实践价值。它所遭遇的困境很大程度上来自人们将其视为“原则”所引发的不切实际的期待,而根源则是个人信息自决权的理论谬误。如果能够放弃个人对其信息进行全面支配的幻想,回归传统的隐私权理论,坚持信息利用和隐私保护相平衡的理念,将知情同意作为保护隐私的一项工具性制度,并针对大数据技术的特点对其进行完善,就可以最大程度发挥其作用,体现其价值。
知情同意制度的功能主要有如下三点:(1)在逻辑上契合了隐私权的构造。隐私权是主客观相统一的权利,它的主观性要求个人必须显现对自己主张的隐私具有主观期待。而对于同样的个人信息,有人秘而不宣,有人则乐于分享。在大数据时代公开信息也可以成为主体获得利益的方式。因此必须有一种公示方法将信息主体的主观期待昭示于外,而知情同意制度则发挥了这一基础性的功能。(2)在价值上保持了个人的主体地位,构建了主体对信息的相对自治。通过知情同意机制使得信息控制者在处理个人隐私信息时始终明确——信息主体才是特定信息真正的主人,自己只是暂时对其控制、处理、利用。因而数据控制者必须尊重(不得歧视)信息主体、维护其利益。(3)在利益衡量中体现了主体的合理期待。虽然知情同意在理论上受到一定质疑,但迄今为止在实践中却鲜有其他机制可以替代之。比如2015年美国《消费者隐私权利法案(草案)》讨论稿第一次引入了“尊重场景”的理念。其规定“机构只能通过相应场景中合理的手段收集、留存及利用个人信息。…若个人信息的处理在相应场景中不合理,机构需要进行隐私风险评估,并采取适当的手段降低风险”。而“适当的手段”主要是指“机构须告知用户场景中不合理的事项,并以合理的方式为用户提供是否要承担风险以及是否希望降低风险的选择机制”。 不难看出,这种利益衡量手段仍然没有脱离“合理场景中默示同意即可,不合理场景中须明示同意”的知情同意机制。
五、知情同意制度在大数据时代的完善
理念转换的实质是将个人对其信息形式上的“独裁”转变为法律家长制干预下的、根据个人信息的不同类型进行有针对性的、程度不同的信息自治。未来我国立法可参考如下建议:
(一)建立个人信息分类制度
具体包括以下两点:(1)完善知情同意制度的例外规则。目前我国的“一法一决定”对此基本尚未涉及。笔者认为这类例外规则应出于公共利益和法律家长主义的考虑,参考欧盟GDPR的规定,可将为履行与信息主体的合同、为维护信息主体的重大利益、为维护社会公共利益、为遵守法律行政法规规定的义务等情况明确规定为例外,以上情形中未经信息主体知情同意也可对信息进行处理。但GDPR中为了“信息控制者的合理利益”以及对于个人已经公开的信息,目前宜主要通过默示同意机制调整,盖由于“合理”“公开”等要素的判断缺乏明确标准,故应赋予信息主体随时退出(opt-out)的权利。(2)坚持《公共及商用服务信息系统个人信息保护指南》(GB/Z 28828-2012)中对个人信息根据敏感度进行分类的做法,并采用相应的有差别的同意方式。根据与个人隐私利益的远近以及一旦泄漏对主体造成危险的程度,可将个人信息分为敏感信息和一般信息。为了便于实施,敏感信息的范围现阶段宜采用法定主义,可包括身份证件信息、家庭住址和通信信息、基因和医疗健康信息、财务信息、犯罪记录、未成年个人信息等,其他信息均为一般信息。需要说明的是,个人一般信息亦很可能属于隐私信息,只是与主体利益較远,泄漏后危险程度较低,因此处理一般信息可以建立在默许同意的基础上,当然,信息处理者仍须履行告知义务并允许信息主体反对或退出(opt-out)。而处理与主体隐私利益较近的敏感信息,则必须获得主体的明示同意。
(二)结合大数据技术的特点改进具体规则
这些改进包括:(1)大数据存在“聚合效应”,即某条个人信息单独看并不敏感,但若以此为线索按图索骥可以推导出某人的隐私信息,大量个别的无害信息可以聚合成对信息主体有害的信息。因而,仅靠事先一次性的告知同意是远远不够的,应当建立起贯穿信息处理全周期的信息主体参与制度,使其可以随时便利的退出、删除或纠正。(2)引入在具体场景中是否合理的衡量标准,信息控制者应当建立数据分级分类、数据打标、数据流向、数据地图、数据血缘关系、留痕审计等内部制度和措施,在收集信息前或处理过程中进行隐私风险评估。如处理信息的行为在特定场景中被评估为不合理,即使所处理的是一般信息,也应当及时提示信息主体风险的存在并为其提供合理的降低风险的机制。(3)简化告知的内容。如可以在页面的明显位置用醒目的字体显示较为概括也是最核心的隐私政策,而具体内容则通过用户点击链接进行阅读。(4)提供更广泛的隐私权选项,改变原先“同意/离开”的二元选择。如微信朋友圈增加的“三天可见”“半年可见”等选项,让不同用户根据自身的主观隐私期待对个人信息进行自我管理。(5)有关部门、社会团体、企业应加强对消费者的教育,指导民众学习防范隐私风险的方法。
(三)重视对信息“二次利用”的规制
需要重点说明的是,大数据的最主要价值在于对信息的“二次利用”,而这又显然与收集目的明确、使用限制等个人信息保护的原则相冲突。对此笔者认为:(1)对信息控制者收集信息的“目的”“用途”不宜做过分严格的解释,在满足明确告知信息主体收集信息将被“二次利用”(如告知用户“收集的信息还将用于持续改善我们的服务”);信息处理主体没有变化(即信息未被转让);经过隐私风险评估不增加用户风险;为信息主体提供选择退出的机会等条件的前提下,不宜对合理的新用途做出过多事前限制。(2)鼓励去识别化(匿名化)技术的发展,对“经过处理无法识别特定个人且不能复原”的信息之处理、储存、使用、转让应不适用知情同意制度。同时加大对非法“反匿名化”行为的处罚力度。
注释:
方海平,王俊丹,包慧. 支付宝年度账单捆绑推广芝麻信用遭质疑,个人隐私保护规范待解.21世纪经济报道.2018-01-05(11).
董安生.民事法律行为.北京:中国人民大学出版社.1994.235.
徐丽枝.个人信息处理中同意原则适用的困境与破解思路.图书馆情报知识.2017(1).106-113.
相比之下,美国法律对政府机构处理个人信息的限制比较严厉,如1974年制定的《隐私权法》即是一部专门规范联邦政府收集、使用公民个人信息的法律。但限于主题,如无特殊说明,本文主要探讨非政府机构处理个人信息的相关制度。
Fred H.Cate. Personal Information in Government Records: Protecting the Public Interest in Privacy .Saint Louis University Public Law Review,2006,Vol.25:63-122.
姚朝兵. 征信视角下个人信用信息采集和使用的法律控制——基于信息主体同意权的比较法分析.情报理论与实践.2014(1).32-36.
任龙龙.论同意不是个人信息处理的正当性基础.政治与法律.2016(1).126-134.
中华人民共和国工业和信息化部. 大数据产业发展规划(2016-2020年)[EB/OL]. http://www.miit.gov.cn/n1146295/n1652858/n1652930/n3757016/c5464999/content.html
Daniel J. Solove. Introduction: Privacy Self-management and the Consent Dilemma.Harvard Law Review,2013,Vol.126:1880-1903.
姚岳絨. 论信息自决权作为一项基本权利在我国的证成.政治与法律.2012(4).72-83.
Ira S. Rubinstein. Big Data: The End of Privacy or a New Beginning? International Data Privacy Law,2013; NYU School of Law, Public Law Research Paper :12-56.
范为.大数据时代个人信息保护的路径重构.环球法律评论.2016(5).92-115.
