张冉

《个人信息保护法》的出台推动个人信息处理的“知情同意”原则向“告知知情同意”原则转变。本文探讨了“告知”“知情”“同意”的含义，提出落实“告知知情同意”原则的理想路径。随机抽取银行业金融机构，通过手机银行APP的下载使用验证规则落实情况。被抽到的银行在流程和形式上基本符合了个人信息处理的“告知知情同意”原则，但该原则的有效落实仍在各环节存在困难，克服这些困难，需要银行机构、行业自律组织、金融消费者等的共同努力。

个人信息处理规则是信息处理者在处理消费者金融信息时需要遵循的基本原则。随着个人信息保护立法的逐步完善，我国正逐步建立以《个人信息保护法》为统领，其他法律法规、部门规章等相互衔接的法律体系。有序推动构建个人信息动态保护机制，明确个人信息收集、存储、使用、加工、传输、提供、公开、删除等的基本原则。本文立足《个人信息保护法》，重点分析个人信息处理的“告知知情同意”原则在银行业金融机构中的应用，结合银行业金融机构个人信息处理实务，提出有效落实“告知知情同意”原则的建议。

一、产品和服务的提供同信息处理密切相关

产品和服务的提供者通常也是个人信息的处理者。个人信息处理者对个人信息的使用同具体业务场景紧密相关，个人购买产品和服务的时间、地点、数量、金额等的记录经过积累，可以形成个人购买习惯的记录。基于大量消费者对相似产品的数据或单个消费者的长期购买数据，产品提供者可以对消费者的行为进行分析，推动产品和服务的改进，对消费者进行精准画像，开展精准营销，提升对消费者的促达能力和服务能力，使得个性化、精準化、小众化的服务成为可能。基于上述原因，产品和服务的提供者有不断提高数据收集范围、加大数据利用程度的动力。数据量的多少、数据分析能力的好坏渐渐成为产品和服务的提供者提高竞争力的重要因素。

银行机构是银行业金融产品和服务的提供者，也是消费者金融信息的处理者，金融科技的发展加深了银行业对个人信息的运用。金融科技的发展带来银行业的变革，支付类工具的深入运用对银行机构传统的运营模式提出重要考验，迫使银行业改变传统盈利模式，顺应市场环境转型。大数据是信息时代的“石油”，消费者金融信息构成大数据的重要组成内容，越来越多的金融交易与客户消费或工作生活场景相关联，通过对金融消费者行为数据的分析，甚至有可能推导出消费者潜在的金融需求和财务状况，互联网银行的发展便是数据在银行业深度运用的典型例子。从有利的角度看，对数据的深度分析推动普惠金融的发展，提高了金融产品和服务的可得性;从不利的角度看，数据的深度利用引发信息过度收集、过大范围共享、过度使用的风险。在个人信息处理前，如何做好信息处理规则的告知，推动金融消费者树立风险责任意识，正确看待金融产品和服务带来的便利性同个人应承担的风险之间的关系，推动个人信息处理的逐步规范，也是银行业金融机构发展中需要解答的新问题。

二、“告知知情同意”原则的含义

“告知知情同意”原则作为个人信息的处理规则之一，随着个人信息处理规则的完善、发展及不断演进。《消费者权益保护法》《网络安全法》《民法典》《个人信息保护法》均提到了个人信息处理规则，《数据安全法》侧重强调数据收集、使用符合相关法律法规规定，《刑法》对侵犯公民个人信息罪明确了刑罚处罚。《消费者权益保护法》《网络安全法》《民法典》强调信息处理要明示收集、使用（处理）信息的目的、方式和范围;公开收集、使用（处理）规则;征得同意。《个人信息保护法》除包含上述规则外，明确“基于个人同意处理个人信息的，该同意应当由个人在充分知情的前提下自愿、明确作出。”强调了个人信息处理者的告知义务，推动个人信息处理规则从“知情-同意”向“告知-知情-同意”的转变[1]。此外，在金融业务的具体业务条线，也有相应的法律法规对个人信息做出规定，如《商业银行法》《反洗钱法》《征信业管理条例》对相关业务中涉及的信息处理做出规定。

（一）“告知”的含义

个人信息处理者的告知义务是指个人信息处理者需以一定形式使个人知悉信息的处理规则。《个人信息保护法》对告知内容、形式均做出明确规定。在内容方面，要告知个人信息处理者的名称或者姓名和联系方式，个人信息的处理目的、处理方式，处理的个人信息种类、保存期限，个人行使相应权利的方式和程序等。在告知的具体要求上，要“以显著方式、清晰易懂的语言真实、准确、完整”地告知。

信息处理者的“告知”义务同个人的“同意”紧密关联。对信息处理规则的告知是个人充分知情的基础，被告知者只有在充分知情的前提下才能自愿、明确做出决定，凡是需要取得个人同意的个人信息处理活动，处理者都需要履行向个人的告知义务，在取得个人同意后才能实施个人信息处理活动。而信息处理者“告知”的范围却超过必须要取得个人同意的事项，现有法律法规虽然列举了在处理个人信息时不需要取得个人同意的具体情形，但从遵循公开透明原则的角度，信息处理者仍需要主动告知信息是以何种方式、处于什么目的被处理[2]。

（二）“知情”的含义

个人对告知内容的充分知情是做出有效“同意”的基础。个人的充分知情应当包括两方面含义：一是个人阅读了信息处理规则，对于使用产品和服务前需要做出个人信息使用的授权具有清晰、强烈的感知，知晓针对个人信息使用发生争议时可以依据相关协议对争议做出判断;二是个人理解了信息处理规则的含义，知道信息处理者会在何种情况下如何处理个人信息，并清楚个人授权的内容以及可能产生的后果[3][4]。

（三）“同意”的含义

按照是否取得事前同意，获取同意的机制可以分为择入机制、择出机制。择入机制将主动征求用户的知情同意作为信息处理的前提，也就是说信息处理者会在处理个人信息之前取得个人的授权同意。择出机制是将个人的不作为推定为个人的知情同意，不针对个人信息处理事前征得个人同意，但赋予个人拒绝继续采集的权力。

按照授权表示方式的不同，授权同意可分为明示同意和默示同意[5]。明示同意指个人信息主体通过书面、口头等方式主动作出纸质或电子形式的声明，或者自主作出肯定性动作，对其个人信息进行特定处理作出明确授权的行为。其中肯定性动作包括个人信息主体主动勾选、主动点击“同意”“注册”“发送”“拨打”、主动填写或提供等。同明示同意相对应的是通过消极的不作为而作出授权（如在信息采集区域内在被告知信息收集行为后没有离开该区域）①，该类同意属于默示同意。

按照是否针对特定场景专门取得同意，可分为单独同意和一般同意。单独同意指对特定信息或特定场景，信息处理者需对个人专门告知并取得授权。在取得单独同意的告知时个人信息处理者需将特定情形专门区分，不能同其他情景杂糅。《个人信息保护法》对处理个人敏感信息、向其他个人信息处理者提供其处理的个人信息、公开其处理的个人信息、向境外提供个人信息等情形下需取得单独同意。除应取得单独同意的特殊情况外，个人信息处理者在告知信息处理相关要件的情况下，所获得的集合性的或“一揽子”的同意为一般同意。

根据“告知”“知情”“同意”各项内容的含义，为充分保障金融消费者合法权益，个人信息授权使用的理想路径为：个人信息处理者采用择入机制，充分告知个人信息的使用场景和处理规则，根据不同场景分别获得个人的一般同意或单独同意，并提供个人信息修改、删除等的路径。个人要在充分阅读、清楚知悉个人信息处理规则的基础上，依据对授权结果后果的评估判断，理性做出授权，并关注后续使用。

三、“告知知情同意”原则在银行业金融机构中的应用现状

为了解银行业金融机构对个人信息处理“告知知情同意”原则的应用，笔者随机抽取2家大型国有商业银行、2家全国性股份制商业银行、2家地方法人银行，下载手机银行APP进行实际体验。

从整体上看，6家银行均在个人金融消费者下载并首次登录手机银行APP时，通过弹窗的形式，要求金融消费者阅读并知悉包含个人信息使用规则的隐私政策，隐私政策以链接形式展示，金融消费者在点击文字链接时可以阅读隐私政策的具体内容。在弹窗中，金融消费者需要自主勾选隐私政策或主动点击“同意”进入下一步，该授权同意的获得，形式上符合了择入机制及明示同意的要件。

隐私政策主要载明个人信息收集、使用、存储、保护、共享、转让、公开披露的原则，Cookie技术的使用方法，并提供个人访问、更新、删除、撤回授权等的方式。以加粗形式重点提醒特定情形下信息收集的内容，以及其他同金融消费者个人有重大利害关系的内容。隐私政策的合同文本在银行官方网站可以查询并下载。通过隐私政策，金融消费者基本能了解个人信息授权使用的范围和处理规则。基本可以厘清个人信息授权、查询、更改、删除的路径。

銀行业金融机构在形式上符合择入机制及明示同意的要件是有效落实“告知知情同意”原则的第一步，受客观因素及金融消费者个体差异等的影响，“告知知情同意”原则的有效落实仍存在许多挑战。

四、银行业金融机构有效落实“告知知情同意”原则的困境

（一）“告知”阶段

格式合同的长度和深度影响告知效果。对于需要取得一般同意的事项，金融信息处理者主要以格式合同形式载明消费者金融信息的处理规则，并以消费者自主点击方式获得授权。格式合同具有广泛性、细节性、严谨性，也就是说，格式合同会尽量载明消费者金融信息处理的各种场景和细节，并使用专业术语以避免歧义，从而获得金融消费者对个人信息处理的充分理解和授权。这在客观上导致格式合同篇幅较长，并涵盖了金融、科技方面的专业术语。以6家银行为例，隐私协议最长的超的2万字，最短的也超1万字，授权协议平均约1.6万字;协议中普遍对使用Cookie技术、应用程序接口（API）、软件工具开发包（SDK）等进行了约定。从有利的角度看，该种形式约定有利于金融消费者明确知悉并方便查看授权的内容和范围，在双方对金融信息使用存在争议时能给出客观依据。从不利的角度看，格式合同过长不利于金融消费者集中精力阅读，在金融消费者缺少必要知识储备的情况下，复杂、专业的解释也不利于金融消费者对格式合同的理解。

由该种情形进行引申，就出现了告知环节存在的两难困境，即信息过载和不足均影响告知效果[6]。对规则解释过多会使合同过于冗长影响受众对关键条款的关注;而对规则解释不足不利于各水平阶段的人对规则的深入理解或会引发歧义。从保障金融消费者知情权角度看，消费者金融信息处理规则的告知应当全面、详细，而金融消费者因个人专业性不足导致的理解不到位则需要通过其他手段破解。

合同内容不全面或存在隐瞒内容影响告知效果。隐私协议作为格式文本，难以列举个人信息处理的所有情形，金融机构需要按照一定逻辑和分类，将主要事项和内容告知金融消费者。对金融信息处理的有关内容表述不清晰或使用概括性表述，都可能影响告知的效果。

（二）“知情”阶段

个人习惯影响知情结果。部分金融消费者并没有养成在做出授权之前仔细阅读格式合同，在知悉授权范围、内容的情况下审慎授权的习惯。部分金融消费者在首次下载手机银行并注册登录时，并不会仔细阅读隐私协议，甚至在未阅读信息的情况下就勾选了“已阅读”按钮或点击“同意”按钮进入下一步流程。在该过程中，金融消费者对隐私协议弱感知或无感知，虽然在形式上完成了授权，但却未真正理解本应知悉的内容。在双方发生争议时，第三方判断金融机构是否取得消费者金融信息处理授权的主要依据是签订的隐私协议，金融消费者以个人对应读内容未读、对应知内容未知而主张授权无效，往往缺乏客观依据，也可能会使自己在争议解决中处于不利地位。

个人知识积累影响知情结果。上文已经分析，隐私协议作为格式合同，涉及到大量金融、科技等方面专业术语，金融消费者需在具备专业知识情况下仔细阅读才能较好理解格式合同。目前金融消费者数量众多，在年龄、知识储备等方面存在较大差异，金融消费者个人素养的差异也会影响知情结果。

（三）“同意”阶段

捆绑的同意可能导致非自愿的同意。金融消费者的同意需建立在充分知情、自愿的基礎上。一方面，金融消费者购买金融产品和服务往往同其他活动相互关联，在捆绑活动中可能会因为重视达成其他目标而忽略信息使用授权环节。例如央视网曾报道一些未成年人为给明星打榜而向网络平台借款，因无力还款而遭遇借款平台暴力催收②。对于该类金融消费者，选择贷款的原因可能并不是基于个人财务状况做出的理性决定，助力打榜或许才是关键决定因素。另一方面，隐私协议作为“一揽子”的合同，金融消费者往往只能选择接受所有条款或拒绝所有条款，不具备对个别条款进行选择的权力，为使用特定金融产品或服务，金融消费者在对个别条款存在异议的情况下，仍可能选择接受隐私协议所有条款。

五、有效执行“告知知情同意”原则的建议

（一）通过全流程管控推动建立原则落实的动态机制

金融机构要有效贯彻落实“负责任金融”理念，切实担负起金融消费权益保护的主体责任，将全流程管控运用到“告知知情同意”原则的落实环节。在事前审查阶段，主动筛选并更改业务流程、格式文本、营销宣传等环节中“告知知情同意”原则落实不到位的情形。在推广阶段，加强对金融产品和服务的检测和管控。理性看待金融消费者和公众针对金融产品和服务的评价和言论，及时调整不符合“告知知情同意”原则的产品和服务。

（二）通过有效的告知充分保障金融消费者知情权

银行业金融机构在通过隐私协议等格式合同载明消费者金融信息处理规则并获取授权同意时，要清晰、准确、完整地告知消费者金融信息处理规则，避免使用概括性语言或其他容易引起误解的内容，确保格式合同公平合理。同时，针对隐私协议设置便利化查看途径，方便金融消费者在遇到问题或存在疑问时随时翻看查找。

（三）通过增强授权感知获得金融消费者自愿同意

银行业金融机构要严格按照《个人信息保护法》等的规定，区分单独授权和概括性授权内容，以适当方式取得金融消费者同意。在获取授权同意时要增强金融消费者对信息处理规则的感知，做到金融产品和服务的推广和风险告知两手抓，既要让金融消费者认识到金融服务和产品更新升级带来的便利化，也要让金融消费者明晰需要进行的授权或需要承担的风险，鼓励金融消费者在充分知情的情况下自主决策，自主同意。

（四）通过专业组织等的力量推动格式文本的进一步规范

发挥金融行业协会、自律组织等在推动金融机构落实“告知知情同意”原则中的作用，对照法律法规和规章制度，发现银行业金融机构在隐私协议中存在的问题，进而推动银行业金融机构修改隐私协议等格式文本中不利于“告知知情原则”落实的内容，推动银行业金融机构为公众提供相对公平合理的格式文本。此外，专业组织可以邀请行业专家，通过专业讲座等方式，对隐私协议的关键条款进行解读，以加深公众对专业条款、专业术语的理解。

（五）通过宣传教育培养金融消费者风险责任意识

金融知识普及是金融消费者加深对金融产品和服务理解的重要措施，通过金融知识普及推动金融消费者树立风险责任意识，有利于金融消费者理性看待金融科技发展带来的便利化同潜在风险的关系，理性选择金融产品和服务;也有利于在双方出现争议时，通过合理方式推动争议解决。金融机构可以灵活运用线上、线下方式，针对不同人群，设计差异化脚本宣传“告知知情同意”原则相关的基本知识，帮助金融消费者形成良好个人习惯，在使用金融产品和服务时，形成了解产品、阅读协议、明确后果、做出决定的行为链条。

注释：

①一文读懂《个人信息保护法》中的“同意”规定，https：//cld.cdtf.gov.cn/public-info/info-detail/ab03e52754bf218125676c695c2d8112。

②“借贷追星”现象蔓延！贷款产品过度营销滋生追星贷，http：//news.cctv.com/2020/12/30/ARTI6OGsQiVd7xl2SMVN

29hM201230.shtml。

参考文献：

[1]王春晖.《个人信息保护法》的十大核心要点解析[J]，中国电信业.2022，（01）.

[2]程啸.论个人信息处理者的告知义务[J]，上海政法学院学报（法治论丛）. 2021，36（05）.

[3]丁晓东.论个人信息法律保护的思想渊源与基本原理——基于“公平信息实践”的分析[J]，现代法学.2019，41（03）.

[4]万方.隐私政策中的告知同意原则及其异化[J]，法律科学（西北政法大学学报）.2019，37（02）.

[5]宁园.个人信息保护中知情同意规则的坚守与修正[J]，江西财经大学学报.2020，（02）.

[6]郑佳宁.知情同意原则在信息采集中的适用与规则构建[J]，东方法学.2020，（02）.

作者单位：中国人民银行杭州中心支行，硕士研究生，经济师。