知情同意规则的现实困境与对策检视
2021-01-28马新彦张传才
马新彦 张传才
知情同意规则的核心是尊重信息主体的意愿,并在个人信息处理的实践中贯彻信息主体的意图。①参见齐爱民:《信息法原论——信息法的产生与体系化》,武汉大学出版社2010年版,第76页。就具体表述而言,有的学者还将知情同意表述为告知同意②参见张新宝:《个人信息收集:告知同意原则适用的限制》,《比较法研究》2019年第6期;万方:《隐私政策中的告知同意原则及其异化》,《法律科学(西北政法大学学报)》2019年第2期;翟相娟:《个人信息保护立法中“同意规则”之检视》,《科技与法律》2019年第3期;吕炳斌:《个人信息保护的“同意”困境及其出路》,《法商研究》2021年第2期。,而有的学者则坚持知情同意的表述。③参见范为:《大数据时代个人信息保护的路径重构》,《环球法律评论》2016年第5期;王利明:《数据共享与个人信息保护》,《现代法学》2019年第1期;叶名怡:《论个人信息权的基本范畴》,《清华法学》2018年第5期;田野:《大数据时代知情同意原则的困境与出路——以生物资料库的个人信息保护为例》,《法制与社会发展》2018年第6期。尽管表达的内涵基本一致,但从语义上来看,告知同意更强调告知行为,而知情同意则更偏重信息主体是否知悉信息处理者处理行为的目的、途径等。相比较而言,告知同意的表述表现出一定的“轻实质重形式”的倾向,因此采用知情同意的表述更为妥当。就知情同意属何种法律要素而言,一说认为知情同意属于个人信息保护法的基本原则④同注①,第75页;同注②万方文。,部分学者更认为知情同意是个人信息保护的首要基本原则⑤同注③叶名怡文;同注③田野文。;一说认为知情同意为一项具体规则。⑥同注③王利明文;同注③范为文;参见高富平:《个人信息使用的合法性基础——数据上利益分析视角》,《比较法研究》2019年第2期;谢琳:《大数据时代个人信息使用的合法利益豁免》,《政法论坛》2019年第1期。从具体适用上来看,知情同意应确定地、“全有全无”地适用,不存在选择适用的空间,因此认为知情同意是一项规则的观点更为妥当。
一、知情同意规则的现实困境
信息主体与信息处理者之间地位的不对等,决定双方缔约能力的强弱。信息处理者在整个知情同意过程中的优势地位,使其可以对信息主体“予取予求”,信息主体只能被动接受,而现行知情同意规则并不能改变这一现状。
(一)“同意”缺乏真实性、自主性
知情同意规则的目的在于,信息处理者将自己处理个人信息的目的、用途、后果告知信息主体,使信息主体出于自身的意志,同意信息处理者的请求,从而强调对人格独立性与自主性的尊重。①参见郑维炜:《个人信息权的权利属性、法理基础与保护路径》,《法制与社会发展》2020年第6期。然而在实际运作中,信息主体作出“同意”可能不是出于自身的自由意志。
一方面,告知的模糊导致了“同意”的不自由。信息处理者多会通过用户隐私政策、隐私协议等方式,告知信息主体个人信息的处理情况。但此类模式的告知,可能不能使用户真正理解隐私政策的含义。在绝大多数情况下,非出于特殊目的,用户不会详细阅读信息处理者提供的隐私政策,而直接选择同意或接受。即使阅读隐私政策,绝大多数隐私政策不仅使用极小的字号,还篇幅冗长,人为地制造了阅读的障碍。且隐私政策中无实质作用的条款过多,使得宣示性效果大于实质性作用。用户的知识水平存在客观差异,而信息处理者为了转移合规风险,往往用专业化、模糊化的用语来描述收集个人信息的目的、用途。在不具有专业知识的情况下,信息主体可能无法正确理解用语和条款的含义。以上情况难以认定信息处理者未尽到相应的告知义务,但告知行为并未使信息主体全面理解个人信息的处理情况。
另一方面,告知的强硬又加剧了“同意”的不自由。信息不对称使得信息主体并不能充分了解自己的哪些个人信息被收集,用途为何,以及在使用过程中可能遭遇的风险和危害。②参见丁晓强:《个人数据保护中同意规则的“扬”与“抑”——卡-梅框架视域下的规则配置研究》,《法学评论》2020年第4期。而隐私政策中包含大量格式条款,信息主体不能根据自身的意志修改。这种“一揽子”式同意的方式进一步削弱了信息主体同意的效力。目前,用户对部分互联网企业提供的服务已经形成了高度的依赖性,在社交、即时通信、网络购物、搜索引擎等领域较为明显,信息主体为了获取服务,只能“同意”信息处理者的隐私政策。在这种捆绑效应下,用户无暇顾及声明的实体内容,对于隐私政策也并无实体控制权。③参见万方:《隐私政策中的告知同意原则及其异化》,《法律科学(西北政法大学学报)》2019年第2期。在用户“别无选择”的前提下,即使信息处理者根据相关标准,多次征求用户同意,也并不能起到补强“同意”的效果。同时,很多服务并不需要提供手机号码、社交软件账号等个人信息,而网络经营者不提供手机号码、社交软件账号以外的注册方式,以一种信息主体不能拒绝的方式获取了“同意”。尽管国家互联网信息办、工业和信息化部、公安部、国家市场监督管理总局联合印发的《App违法违规收集使用个人信息认定方法》规定,“因用户不同意收集非必要个人信息或打开非必要权限,拒绝提供业务功能”属于违反必要原则的信息处理行为,但该规定并未得到真正的实施。
(二)知情范围的不当限缩
个人信息及数据在企业之间的流转已成为个人信息经济价值的重要体现,但是多元信息处理主体的存在及与用户直接联系的缺失,使得对个人信息后续利用的第三方主体,尤其是数据中间商的监管几近真空,数据中间商与第一方信息收集者的责任界定十分模糊,用户对后续流通环节的权利更是无从行使。①参见范为:《大数据时代个人信息保护的路径重构》,《环球法律评论》2016年第5期。为了解决这一问题,《中华人民共和国个人信息保护法(草案二审稿)》(以下简称“《草案二审稿》”)第24条规定,向第三方提供个人信息时,应取得信息主体的单独同意。但《草案二审稿》并未对信息处理者委托第三方处理数据时,是否需要信息主体的知情作出规定,仅在第22条对处理者的监督义务作出规定,在此过程中信息主体完全没有参与的空间。该条与欧盟的《一般数据保护条例》(General Data Protection Regulation)(以下简称“《条例》”)第28条的思想基本一致,只需要信息处理者的委托,第三方即可开展信息处理活动。然而,《条例》区分了数据处理者与数据控制者,而从《草案二审稿》来看,立法者无意创设数据控制者的概念,数据控制者与处理者均属于信息处理者的范畴。笔者并不支持区分处理者与控制者,因为二者在信息处理的过程中进行的工作并无二致,信息主体对于控制者的授权仅是使用授权,并非转让个人信息的授权②参见王洪亮:《〈民法典〉与信息社会——以个人信息为例》,《政法论丛》2020年第4期。,控制者也仅能控制个人信息的载体、代码以及由个人信息所产生的数据,个人的信息自决也并不能因主体的授权而被他人“控制”。从效率和可行性上来说,对信息处理者委托第三方处理个人信息的行为不应加以限制,但将委托活动单纯地视为合同双方的权利义务关系并不妥当。尽管信息主体并非合同的当事人,但个人信息事关人格尊严,而委托合同的当事人非为信息主体利益进行处理行为,完全排除信息主体参与的空间,并不利于自然人掌握个人信息的处理情况,还会造成法律过度关注信息的收集,而忽略后续的加工、传输等过程的问题。由于信息主体与委托处理行为有密切的利害关系,信息处理者至少应当告知信息主体合同的受委托方、处理目的、期限、方式、个人信息种类、保护措施等内容,我国国家质量监督检验检疫总局、国家标准化管理委员会2012年发布的《信息安全技术公共及商用服务信息系统个人信息保护指南》(2013年2月1日实施)(以下简称“《个人信息保护指南》”)5.2.2即采此种观点。
(三)默示同意的滥用
在互联网技术快速发展的今天,一般个人无法“洞悉”自己每一条信息的走向,大多数人正在默示同意的情况下生活在个人数据日益透明化的环境中。③参见王雪乔:《论欧盟GDPR中个人数据保护与“同意”细分》,《政法论丛》2019年第4期。2012年的《个人信息保护指南》5.2.3、2018年的《信息安全技术移动智能终端个人信息保护技术要求》6.2.6、2020年的《信息安全技术个人信息安全规范》5.4都允许默示同意作为信息处理的授权方式。默示同意相较于明示同意的优势在于不需要信息主体以明确的方式表示自身的意思,只要主体不明确反对即可进行信息的处理行为。但即使仅需要信息主体的默示同意也要进行充分的告知,由此可能产生两个问题:第一,信息处理者会忽略告知这一过程,预先为信息主体作出“同意”信息处理的选择,从而跳过信息主体自决的过程;第二,信息处理者虽然进行了告知,但告知不充分,或者限制信息主体的同意撤销权,此时知情同意规则将成为单纯的“告知”规则。
另外,即便上述国家标准对需要明示同意的范围作出了规定,但范围之间存在交叉重合,实际操作中脱离具体的场景机械地对同意的条件进行区分也缺乏可行性。在目前信息处理过程中,信息的收集在信息类型判断之前进行,不结合特定的场景,处理者很难在个人信息处理之前就明确判断某一特殊的个人信息是敏感的还是非敏感的、信息主体是否成年等问题,所以,大多数网络服务提供者都会采用输入选择框或者“同意”的声明模式,来避免无效的法律授权。①参见王雪乔:《论欧盟GDPR中个人数据保护与“同意”细分》,《政法论丛》2019年第4期。即使在未要求所有个人信息的处理均需要信息主体明示同意的情况下,很多网络服务提供者还是会选择在提供服务前征得用户的明示同意,允许默示同意的随意使用反而会降低现有的个人信息保护水平。值得一提的是,2019年的《App违法违规收集使用个人信息行为认定办法》将“以默认选择同意隐私政策等非明示方式征求用户同意”规定为9类可被认定为未经同意收集使用个人信息行为之一。同年,国家互联网信息办公室发布的《数据安全管理办法(征求意见稿)》第9条也规定,“仅当用户知悉收集使用规则并明确同意后,网络运营者方可收集个人信息”。
二、学者既有对策之检视
即使知情同意规则面临着诸多困境,主张抛弃该规则的观点仍是少数。②参见任龙龙:《论同意不是个人信息处理的正当性基础》,《政治与法律》2016年第1期。在知情同意规则约束之下,信息处理者尚通过格式条款、功能捆绑等敷衍了事,一旦弱化或剔除知情同意规则,依赖信息处理者主动进行自我约束实属无稽之谈。③参见宁园:《个人信息保护中知情同意规则的坚守与修正》,《江西财经大学学报》2020年第2期。基于此,有学者更多地主张在知情同意规则的框架下对制度加以完善与修改。
1.2 金丝小枣浆烂果致病菌及主要症状 金丝小枣浆烂病致病菌主要为囊孢壳菌。果实感病后的症状表现是:果实白熟期病斑初为黄色小点,迅速扩大形成圆形红色病斑,病斑扩展快,病组织呈土黄色至浅褐色软腐,脓状,5~7天可导致整个果实腐烂。
(一)择入机制之检视
择入机制与择出机制相对,二者的主要区别在于信息处理者在收集个人信息之前是否主动征求信息主体的同意。择入机制指用户通过肯定性的表示,选择参与行为信息的采集进程,在择入机制下信息处理者获取个人信息必须取得用户的许可。④参见郑佳宁:《知情同意原则在信息采集中的适用与规则构建》,《东方法学》2020年第2期。相比较择出机制,择入机制更能防止信息处理者利用默示同意攫取个人信息,也更加符合知情同意规则的含义。有学者进一步建议将择入机制作为缺省规则确定下来,即规定信息处理者只有在获得信息主体明示同意的情况下才可以进行处理行为,同时又允许当事人约定排除适用,这样的制度设计既可以利用缺省规则的制度黏性,引导当事人遵守缺省规则而非另行约定,又可以兼具灵活性。⑤同注④。
然而,择入机制不宜采缺省规则的方式,因为缺省规则并不能实质上解决信息主体与信息处理者之间的地位不对等问题。缺省规则看似为当事人之间的约定预留了空间,但由于不具有对信息处理者的强制效力,信息处理者可以在隐私政策中以格式条款的形式“约定”,在信息主体默示同意的情况下即可进行信息处理活动,信息主体无法凭自身的意思排除此类条款的适用,只能选择接受服务或不接受服务,此时择入规则将被虚置,看似得到兼顾的灵活性和制度黏性将因为当事人之间协商能力的巨大差异而无法实现。
另一问题在于,以缺省条款形式规定的择入机制,在实质上仍是目前的个人敏感信息处理需要明示同意、一般个人信息仅需默示同意的模式,无法消除信息处理过程中先收集再定性与法律规定之间的龃龉。尽管侵害敏感个人信息可能造成更为严重的后果,但强调其保护应该从加重损害赔偿责任、加大惩罚力度、严格限定处理的条件等方面入手,而并非认定一般个人信息的保护应“劣后”于敏感个人信息,从而降低一般个人信息保护中个人的自决水平。脱离具体的应用场景,预设信息的敏感程度,将使自然人难以判断个人信息的性质,只会加剧处理者与自然人之间的信息不对等。
《草案二审稿》第14条规定,个人信息处理的同意应当明确作出。从文义上看,此处的明确同意应当与明示同意作同等理解,实质上《草案二审稿》已经排除了默示同意的适用空间。尽管《中华人民共和国民法典》(以下简称“《民法典》”)第140条规定,在有法律规定、当事人约定或者符合当事人交易习惯的情况下,允许默示作出意思表示。但是,考虑到允许默示同意所造成的自然人一般个人信息自决不足的情况,应当确立“纯粹”的择入机制,排除默示同意的授权处理方式。
(二)动态同意模式之检视
目前,个人信息处理者多采用隐私政策的方式来获取信息主体的概括同意,尽管该模式更符合效率价值,但也因为不能真正使信息主体理解处理行为的风险而遭受批判,基于此动态同意的概念被创造出来。动态同意模式主张,运用现代网络信息技术手段在信息主体与信息处理者之间搭建一个交流平台,使得信息披露与知情同意成为一个持续、动态、开放的过程。借助这一技术平台,信息主体可以随时了解个人信息处理的情况,并且选择同意加入或者退出,还可以进行个性化的知情同意偏好设置,包括希望接收的信息范围、种类、时间段与频度等,并可随时对设置进行更改。①参见田野:《大数据时代知情同意原则的困境与出路——以生物资料库的个人信息保护为例》,《法制与社会发展》2018年第6期。
尽管动态同意被视为一种兼具灵活、便捷、效率的模式,但关于具体如何实现同意的动态,却是所言阙如,并无学者能真正阐述清楚动态同意的内涵。根据学者的观点,动态同意模式既可以表述为信息利用与信息安全风险的披露制度②同注①。,又可以理解为赋予信息主体撤销同意的权利③参见宁园:《个人信息保护中知情同意规则的坚守与修正》,《江西财经大学学报》2020年第2期。,还可以被表述为信息主体的同意附期限。④参见梅傲、苏建维:《数据治理中“打包式”知情同意模式的再检视》,《情报杂志》2021年第2期。以上理解都有利于实现同意的“动态”,但考察其本质,依然是将我国法上既有的制度解释为动态同意规则。很明显,以上理解均属于动态同意模式的应有之义,但将现有规则“打包”很难真正诠释动态同意的实质内涵,将现有规则的简单“集合”视为解决知情同意规则困境的对策值得商榷。动态同意的目的实际上在于弥合信息主体与处理者之间的信息差距,不仅强调“动态”,还要考虑到双方当事人之间的互动与影响。从这个意义上来说,以上解释仍有不足,动态同意模式的内涵还有待进一步厘清。
(三)经济激励机制之检视
美国《加州消费者隐私法案》(California Consumer Privacy Act)第1798.125条规定,企业可以为个人信息的收集、出售或删除提供经济激励,包括向消费者支付赔偿金。企业还可以以不同的价格、费率、水平或质量向消费者提供产品或服务,如果价格或差异与消费者通过提供其数据而产生的价值直接相关。企业向消费者提供经济激励,应当按照规定的方式获得消费者的同意,并事先通知消费者,且不得采用任何不正当、不合理、强制或有高利贷性质的经济激励措施。支持经济激励机制的学者认为,经济激励既体现了自决权的内容,又重视个人信息的经济价值。经济激励机制为不同个人信息敏感度的用户提供了不同的选择,避免所有的信息主体均要做出“全有全无式”选择的弊端,在这样的模式下,信息主体与信息处理者之间的对立将得到缓和。同时,由于经济补偿的存在,将使信息主体意识到自身个人信息所具有的经济价值,从而更加谨慎地作出决定。而信息处理者从信息主体处以有偿方式获得个人信息,将促使其努力改善服务质量,提高个人信息利用的透明度与安全性,从而获取用户信任。①参见蔡培如、王锡锌:《论个人信息保护中的人格保护与经济激励机制》,《比较法研究》2020年第1期。
除了由信息处理者支付对价激励信息主体不行使删除权的模式外,学者还提出了“普遍免费+个别付费”的模式,即由网络服务提供者向不同类型的用户提供三种相互独立的服务:一是面向大众的免费服务,其实质是用户通过个人数据进行“支付”;二是面向专业人士的增值服务,用户通过支付金钱拓展基础服务,实现个性化定制;三是面向隐私敏感人士的个人信息保护增强型收费服务,用户额外支付金钱取得更多的对自己的数据之控制权。②参见张新宝:《“普遍免费+个别付费”:个人信息保护的一个新思维》,《比较法研究》2018年第5期。
相比较其他方案,以经济激励机制完善知情同意规则,理论上更能兼顾个人信息的经济价值与其中蕴含的人格尊严,但是,该规则在我国法语境下可能难以适用。尽管经济激励机制并非强制性地要求信息主体提供信息,而是利用相对市场化的方式,但该机制与我国个人信息领域加强对信息主体保护的取向是相反的,会产生严重的价值不协调问题。经济激励机制发轫的美国,更加注重个人信息的利用价值。我国法语境下个人信息权益是自决权,尽管与身体权、健康权等权利应达到的保护程度不同,我国也承认个人信息的经济价值,但从《草案二审稿》来看,以“不得”“应当”方式规定的强制性规范多于任意性规范,这也证明在立法的整体倾向上,相较于个人信息的利用更注重保护。而且,经济激励机制在一定程度上将冲击必要原则,甚至完全架空必要原则。受必要原则的限制,信息处理者所能处理的个人信息的范围不应过于宽泛,暗含着“履行合同所必需”的要求。而经济激励机制所允许的信息主体以个人信息换取金钱的模式,必然会打破这一限制。在我国法语境下,处理行为符合必要原则是信息处理者所应遵守的义务,是否能够因当事人之间的约定而免除存在疑问。并且,经济激励机制所采取的方式是差别对待,针对不同的信息主体提供不同的服务、价格。尽管该机制笼统地作出了非歧视的规定,但实际操作中将很难把握。《消费者权益保护法》第10条规定,“消费者享有公平交易的权利”,而经济激励机制所产生的歧视与差别对待之间的模糊地带,将可能成为信息主体任意解释隐私政策,降低应有服务水平,侵害消费者公平交易权的“避风港”。
另一个问题在于,经济激励机制的实质在于以金钱或服务换取个人信息,这与我国一段时间内网络服务提供者的经营模式不符。目前,我国绝大多数软件所提供的基本服务都是免费的,只有在获取增值服务时才需要支付相应的对价。①本文不认为个人信息是为获取服务所支付的对价,实践中信息处理者通过提供服务获得用户,并通过推送广告、收集用户数据、提供内购等方式营利,部分服务不需要提供个人信息也可以获取;那种认为信息处理者免费提供服务必须要信息主体以个人信息“支付”来获取利益的观点是一种误读。因此,消费者、网络服务提供者已经习惯了免费提供服务、免费获取信息的模式。从网络服务提供者的角度来看,在目前的经营模式下,其可以免费获得个人信息而不用支付对价,则其将缺乏积极推动经济激励机制的动力,在没有行业协会、大型企业参与推动的情况下,即使规定经济激励机制也大概率会被虚置,无法实现信息主体与信息处理者之间的良性互动,并且经济激励所带来的成本不仅是换取个人信息所支付的对价,还包括征求用户同意加入的成本。经济激励的非强制性,要求信息处理者必须在处理个人信息的告知同意过程之外,再次就信息主体是否加入经济激励而进行告知。尽管不能简单地以叠加的方式来计算就经济激励向用户征求同意的成本,增加的成本也不会超出信息处理者可以接受的范围,但知情同意之外再追加知情同意所造成的操作上的复杂性,使得信息处理者更倾向于不选择经济激励的付费获取个人信息的模式。而学者提出的“个别付费”模式在目前的网络环境下更符合信息处理者的利益,因此可能更加容易推行。然而,该观点同样无法解决与必要原则的冲突问题,且在此模式下,要想充分行使信息自决权还要向信息处理者支付对价,造成的学理上的困难将更加难以克服。
三、本文应对策略之新解
学者所提出的解决对策一定程度上与目前我国个人信息保护的现状不符,脱离了我国的制度环境,从而削弱了制度的可行性。在目前立法过程中基本概念、权益属性等问题还存在争议的情况下,不宜“过度”创新,应在现有制度框架内通过规则本身的完善寻求解决困境的对策。
(一)明确信息主体同意的法律效力
对信息主体所进行的同意应该区分来看,不应仅因信息主体同意隐私政策就认定其允许信息处理行为。信息主体同意隐私政策的行为,仅代表其对信息处理者作出的要约进行了承诺,选择接受信息处理者的服务。而信息主体开启权限及其他同类可视为允许信息处理的行为,才应认定为行使自决权意义上的同意,仅同意隐私政策不能产生知情同意规则中“同意”的效力。之所以要作如此复杂的解释,原因在于不能将“同意”视为以个人信息换取服务的意思表示,因为除了履行合同所必需的情形外,信息主体同意信息处理行为,并非获取服务的必要条件,处理者不得因自然人不提供个人信息而拒绝提供服务。信息主体同意隐私政策接受服务后,也可能以不开启权限等方式不同意信息处理行为,此时两个同意是分开进行的。即使两个同意处于“叠加”状态,也应认定为是两个“行为”,即承诺行为与行使自决权的行为。《草案二审稿》第17条规定除合同必需的情况,处理者不得因信息主体不同意处理信息或“撤回”同意而拒绝提供服务,暗含着区分的思想。
同时,信息主体的同意并非信息处理者免责的正当性基础,知情同意规则不应作为信息处理者分散经营风险的手段。尽管《民法典》第1036条规定,在信息主体同意范围内合理实施的处理行为不承担民事责任,但显然侵权行为不在免责范围之内。信息处理者的侵权行为大致可分为两类:一类是消极的,信息处理者在处理过程中未尽到保障信息安全的义务,第三人侵权造成信息的泄露;另一类是积极的,信息处理者违反知情同意规则、必要原则等处理个人信息。无论是积极作为的还是消极不作为的侵权,信息主体的同意均不构成受害人同意这一免责事由。因为想要成立受害人同意,受害人所受到的损害必须是明确、具体的,同意的作出也必须针对特定的行为或某种特定的后果。①参见程啸:《侵权责任法》(第3版),法律出版社2021年版,第348页。侵害个人信息的损害结果在于,信息主体将处于某些不特定的风险中,这种概括性的风险往往会超出信息主体预见的范围,而信息处理者又往往存在超出授权范围进行处理的行为,在损害结果与行为都不特定的情况下,也就不成立对于侵权行为的承认。且在信息主体表意不真实、不自由的情况下,也不应允许信息处理者因获得“同意”而免除责任。从意思上来看,也缺乏将同意解释为免责事由的空间,信息主体在授权给处理者时,信赖信息处理者能够将个人信息泄露的风险降到最低,同意虽然包含着处分自身权益的意思,却并不包含出现损害“责任自负”的意思。在信息处理者可以轻易获得同意的情况下,过度强化同意的效果对个人信息保护是不利的。另外,知情同意规则并非不受限制,通信自由、隐私权保护制度、正当目的原则、必要原则等均对知情同意规则的适用有一定的限制②参见张新宝:《个人信息收集:告知同意原则适用的限制》,《比较法研究》2019年第6期。,信息主体的同意并不能阻却处理者行为的违法性,因此,即使在获取了同意的情况下,信息处理者可能仍要承担侵权责任。
(二)赋予信息主体不受限制的撤销权
《草案二审稿》第16条规定了信息主体“撤回”其同意的权利,但“撤回”的用语并不准确,此时属于同意的撤销,为了用语的统一应当予以修改。此种撤销权不宜与合同中的撤销权作同等理解③参见万方:《个人信息处理中的“同意”与“同意撤回”》,《中国法学》2021年第1期。,原因在于个人信息保护中撤销权的行使,是信息自决的一种表现,尽管依信息主体的单方面意思表示即可发生法律效力,但为了保障信息主体的人格尊严,撤销权不应受到除斥期间的限制,也不会因行使撤销权而承担法律责任。单纯课以信息处理者义务并不能真正实现当事人地位的平等,同时赋予信息主体权利才能尽量消弭这种差距带来的“不自由”。赋予信息主体撤销权使得信息主体能最大限度地减小自身所遭受的损害。
由于承诺的同意与授权的同意应当加以区分,信息主体的撤销权的行使,并不意味着对隐私政策承诺的撤销,信息主体关闭、取消相应的权限,或者直接卸载软件、彻底注销账号都是行使撤销权的表现。但前者仅产生撤销处理信息同意的效果,在不影响使用的情况下,信息处理者不得拒绝提供服务;而后者则可以视为既撤销了处理信息的授权,又行使了合同的解除权,信息处理者可以停止提供服务。授权的撤销与解除权的行使均不产生溯及既往的效果,这也意味着信息处理者在信息主体撤销同意之后,仍然得以保存部分个人信息。信息处理者此时还需承担一定的附随义务,即妥善保存已经处理过的信息,保障信息的安全,并不得再对其进行处理。《草案二审稿》第47条还规定,信息主体撤销同意,在法律、行政法规规定的保存期限届满后,信息处理者应当主动删除个人信息,信息主体也有权请求删除信息。这也意味着,删除个人信息是信息处理者的一项法定义务,但此规定并不妥当。原因在于这实质上将混淆撤销权与删除权的效力,撤销同意后经过一段时间必然导致信息的删除,再单独规定信息主体的删除权略显多余。且在信息主体撤销同意后,信息处理者已不能对获取过的个人信息采取存储或安全保护之外的处理行为,此时再为信息主体设权宣示性效果大于实质意义。
还需要解决的问题在于,撤销权的行使是否应当受到限制,答案应是否定的。《草案二审稿》仅规定信息主体有权“撤回”同意,而《条例》7.3则规定,数据主体有权随时“撤回”同意,撤销权与同意权均源于自然人的自决权。从维护信息自决,保证法律体系统一的角度来看,允许信息主体随时、不受限制地撤销同意更加合理。况且在同意本就“不自由”的情况下,再对同意的撤销施加限制,只会加剧当事人之间地位的不对等问题。正如上文所述,信息处理中同意的撤销,与解除合同应当加以区分,且信息主体行使撤销权并不会对信息处理者造成损失,也就不存在对撤销权进行限制的理由。即使是订立或履行合同所必需的情况下,尽管信息主体行使撤销权违反合同义务,信息处理者仅能拒绝提供服务,而不得以合同约定形式排除信息主体的撤销权,即使约定,由于撤销权属于信息主体的主要权利,该条款也会因违反《民法典》第497条的规定而无效。
(三)规定信息处理者披露义务及责任
《草案二审稿》第18条以不完全列举的方式规定了告知的内容,为了保证信息主体的充分自决,处理者应当告知信息主体处理过程中可能的风险以及已经遭受的损害。风险与损害的披露是消除信息主体与处理者地位不对等问题的重要途径,但《草案二审稿》仅在第55条规定了处理者在处理敏感个人信息、进行自动化决策等过程中的风险评估义务,第56条规定了信息泄露时的通知义务,第57条规定了符合条件信息处理者发布社会责任报告的义务,并未对披露义务作出详细规定。评估是一种公法上的义务,仅评估而不披露,只能满足信息处理者优化生产经营与规避合规风险的要求。披露的意义不仅在于使信息主体意识到个人信息的价值与风险,还在于使得信息主体能够更加审慎地根据处理者的情况进行充分地自决,因此有必要以立法形式予以确定。
除信息处理者外,受委托处理个人信息的第三方、接受个人信息的第三方均应承担一定的披露义务,披露的范围包括信息处理中的风险种类、大小,可能遭受损害的严重程度,已经遭受的损害以及损害的补救情况。披露不及时造成损害或者致使损害扩大的,信息处理者应承担披露不及时的侵权责任。同时,为了规范第三方处理行为,又根据《草案二审稿》第21条的规定,受委托处理个人信息的第三方、接受个人信息的第三方若是对其受托处理或接受的个人信息风险披露不及时的,应当与信息处理者承担连带责任。为了与风险评估与披露制度相衔接,行政管理上应当构建统一的风险与企业信用评价机制①参见潘静:《个人信息的声誉保护机制》,《现代法学》2021年第2期。,利用企业信用档案的公信力,促使信息处理者规范自身的处理行为,也为信息主体是否同意处理行为提供参考。《草案二审稿》第66条对此作出了规定,值得肯定。
四、结 语
除以上列举的对策之外,仍有其他路径可以补充知情同意规则,如强化软件下载平台在个人信息保护中所起到的作用。在已经发布的iOS14.5正式版中,苹果公司要求所有App使用App Track Transparency框架来征得用户的许可后,才能对其进行跟踪或访问其设备的广告标识符。这也为解决知情同意规则目前所面临的问题提供了新的思路,即跳出传统的信息主体——信息处理者的双方当事人的权利义务架构,重视其他相关非合同当事人所能起到的作用。操作系统开发者可以从技术上对个人信息处理行为进行限制,告知用户信息处理者所调用的系统权限,协助信息主体维护权益,承担包括但不限于举证、保全等义务。换言之,《草案二审稿》第57条仍有继续完善的空间。
尽管知情同意规则的适用存在诸多困境,但立足于知情同意进行规则的制定是目前个人信息保护的必然选择。目前,我国已经建成了全球规模最大的信息通信网络,网络法治也逐步推进②参见中国互联网信息中心发布的第47次《中国互联网络发展状况统计报告》,第91-98页。,但在个人信息保护的立法过程中,依旧表现出了一定的“重利用轻保护”的倾向。以立足长远来看,我国庞大的人口数量、严重的个人信息泄露问题等,都要求我国必须在个人信息保护领域加紧发力,这就要求我国在借鉴域外法的基础上形成具有中国特色的个人信息保护制度。知情同意是信息主体的核心利益,不可让渡③参见王洪亮:《〈民法典〉与信息社会——以个人信息为例》,《政法论丛》2020年第4期。,除了法律明确规定的除外情形,信息主体的知情同意都应受到严格保护,真正保证人格尊严,才能实现信息主体与信息处理者利益的相对均衡。法律的生命力在于实施④参见习近平:《关于〈中共中央关于全面推进依法治国若干重大问题的决定〉的说明》,《求是》2014年第21期。,想要真正解决知情同意规则存在的问题,仍需要从基本的概念、制度的目的、权益的属性出发,寻求变革之道。