江林红

（安徽大学 法学院，安徽 合肥 230000）

一、告知义务的理论基础

（一）信义关系理论

从民法的角度来看，信息处理者与提供者之间很显然是一种平等的民事法律关系，以企业为例，企业作为主要的个人信息提供者，其与个人之间应该是民事上的平等主体，权利义务对等。但在个人信息保护这个问题上，《个人信息保护法》显然将企业作为重点规制对象，原因在于企业与用户之间存在着严重的信息不对称。这种关系类似于消费者和商家，二者之间也存在很大的力量差距，所以需要出台《消费者权益保护法》对处于弱势地位的消费者进行单独的立法保护。

回归到企业与用户之间，当企业推出一项新的产品，用户基于对产品的喜爱和对企业的信赖自愿向企业平台组织提交个人信息后，企业与用户之间就形成一种不对等的关系，在西方国家将其称为信义关系。作为强势一方的企业对处于弱势一方的用户要承担起信义义务，信义义务最早出现于英美法系，后来被大陆法系国家引进和使用，并逐渐成为社会组织中通行的一种规则。所谓的信义义务是对那些由于接受信赖邀请而处于特殊不利地位的人承担的照顾、保密和真诚义务，而且信息越不平衡，力量悬殊越大，控制力度就越大，对信义义务的要求也会越高。显然信息处理者与信息提供者之间存在信义关系，信息处理者基于信义关系不可避免地要承担起信义义务，而告知义务属于信义义务的一部分。

（二）个人信息的双重属性

关于个人信息的属性问题，目前学术界仍存在争议，大多数学者赞同双重属性说，即个人信息兼具财产权和人格权。双重属性理论认为，作为权利客体的个人信息具有人格与财产的双重价值，所以个人信息在本质上是一种包含财产利益的人格权。这种说法不难理解，个人信息的财产属性是外在的，是可以通过经济利益进行衡量的，并且个人信息具有很大的经济价值，所以日常生活中违法买卖、提供个人信息问题越来越严重，显然违法者将其看作一种财产，获取到个人信息意味着可以赚钱。但是从本质上来说，财产属性离不开个人这个信息载体，人格属性才是最终归属。人格属性体现在个人信息是反映某个人一些具体特征从而能够识别出该特定人的一系列信息，它与特定人的个人评价和社会评价是紧密联系的。如果信息处理者未经告知随意收集、处理、使用他人的个人信息，就会侵犯到他人的人格利益，降低人格尊严价值，进而侵害到他人作为人的主体地位，后果是非常严重的。《个人信息保护法》设定告知义务规则目的在于强化个人信息提供者的人格尊严和主体地位，更大程度上维护其对个人信息的知情权，而知情权的行使则是以信息处理者履行告知义务为前提。

（三）公开透明原则

公开透明原则最初被用来约束政府等行政机关活动，后来被引入到各个阶层和领域，《个人信息保护法》也将其确立为一项基本原则。公开透明原则是个人行使知情权和决定权的保障。在处理个人信息过程中，信息处理者处于技术优势地位，个人对于自己的何种信息会被以何种方式处理，以及用于何种目的都是不得而知的，对于处理活动可能会产生的后果也难以预测。公开透明原则要求信息处理者全面告知个人信息处理活动中的相关重要事项，包括处理目的、方式和范围等，有统一处理规则的，还应当公开处理规则。即便是不需要相对人同意就可收集的个人信息，法律也是规定了告知义务，因为不需要征得同意并不等于可以不告知，取得同意本质上侧重于保护“信息”这个客体，而告知是对携带信息的主体的人格尊重。从这个意义上来说，不论是基于个人同意还是基于法律规定，在公开透明原则的要求之下，信息处理者都有义务履行告知义务，个人都有权知悉其个人信息的处理进展情况。

二、告知义务的法律规定

（一）告知事项

根据《个人信息保护法》第十七条规定，个人信息处理者在处理个人信息前，应当将下列四种事项告知个人信息提供者，在个人信息提供者知情同意的范围内合理使用其个人信息。

1.个人信息处理者的名称和联系方式。个人信息处理者作为信息收集者在很大程度上也是信息使用者，但也不排除将个人信息提供给他人使用的可能，不管供谁使用，都必须将使用主体告知相对人，这样保障了信息主体明白何人在收集自己的个人信息，为进一步维权奠定基础。

2.处理个人信息的目的、方式，以及个人信息的种类和保存期限。告知处理目的原因在于信息处理者必须保证合理的使用这些信息，不得超过目的范围，一定要在信息提供者个人知情的范围之内合目的的使用。关于处理方式，个人信息处理者究竟是收集、存储、使用个人信息等其中一种，还是对其进行综合处理，此种事项必须告知相对人且要获得其同意才能处理。告知个人信息种类是确保信息提供者内心有个判断，即对于所提供的信息具体属于哪一类有个区分，因为越是敏感程度高的信息，其存在的风险就越大。保存期限也是必须告知的内容，明确期限意味着禁止无期限的使用个人信息，同时也为信息提供者行使删除权提供时效保障。

3.行使《个人信息保护法》规定权利的方式和程序。日常生活中信息提供者大部分都是普通民众，对于法律的规定了解不够详细，对于自身合法拥有的权利认识不到位，信息处理者作为信息关系中的强势一方，理应告知相对人维护合法利益的方式和途径。

4.其他应当告知的事项。任何一项法律规定都不能过于绝对，穷尽一切可能，社会是变化多端的，要为将来的立法活动预留适当的空间。

除此之外，个人信息处理者之间将个人信息进行二次传输时也必须履行相应的告知义务，包括信息单向传递和信息共享，确保用户的知情权和决定权得到充分保障。具体来说就是个人信息处理者在信息进行二次传输前，要尽到合理审查的义务，将相对方的基本情况、收集信息的目的和使用信息的范围等内容进行登记，然后要将信息传输情况告知个人信息提供者本人，对于必须经过同意方可处理的信息还要取得个人的授权同意。一般来说传输相对方在接受传输信息后是不需要履行告知义务的，因为信息处理者已经事先履行了告知义务，信息提供者对应当知情的事项已经知悉。但是如果传输相对方改变了个人信息的使用目的和方式，则要重新取得本人同意，此时告知义务就不能免除了。

总的来说，《个人信息保护法》关于信息处理者应当告知的事项规定的很细致全面，但是考虑到信息提供者对于个人信息风险的识别能力并不强，就算信息处理者如实履行目前法律规定的告知义务，取得个人的同意，如果提供者并没有正确认识到同意的后果，即可能会发生的风险问题，对个人来说是极大的危害，也不利于个人信息保护。所以为了保证法律在实践中适用时可以达到更好的适用效果，有必要对个人信息的风险评估等级进行研究。

（二）告知形式

《个人信息保护法》对告知形式规定的是采用“显著方式、清晰易懂的语言真实、准确、完整”地告知。在日常生活中很多企业平台的告知义务是以“一纸合同”的方式来履行，且内容也过于空泛，并没有达到浅显易懂、告知事项一目了然的程度。很多企业为了实现自身利益使用传统的隐私声明对本该认真履行的告知义务敷衍了事，并不能真正维护到用户的知情权。故此《个人信息保护法》创设此项条款，突出“显著方式”是为了解决很多企业用繁杂冗长的隐私政策条款将告知义务包含在其中一带而过，造成大部分用户并没有仔细浏览条款而直接同意的普遍现象，严重侵害了个人的知情权和决定权。通过将告知形式明确规定为“清晰易懂”，是防止信息处理者采用晦涩难懂，甚至带有技术色彩的语言进行告知。该项规定让信息提供者对重要事项有一目了然的认识，能很好地维护个人信息权利，有效打击个人信息处理者以不真诚的方式获取个人信息的行为，确保告知规则可以落到实处，真正发挥作用。

但是在实践中，告知对象可能存在不同的情形，比如“一对一告知”模式和“一对多告知”模式，前者主要针对人员数量较少的情形下采用的人工告知；后者则是上文提到的企业平台采取的自动化告知，属于较为普遍的告知方式。两种情形下告知义务的履行还是存在差异的，为了更好地规范履行方式，可以对两种情形作出区分。

（三）免除告知义务的情形

个人信息作为一种人格利益，一旦信息处理者免除告知义务，不仅个人的知情权会受到侵害，而且发生危害后也难以寻求救济，所以立法对于告知义务的免除慎之又慎。但是个人信息保护不只是保护个人利益，在大数据时代，社会的整体运作也需要信息的流通和共享。基于国家和公共利益考虑，有些情形下不得不免除信息处理者的告知义务，否则公共利益会受到侵害。所以立法要在两种利益之间寻求平衡。

根据《个人信息保护法》规定，对于一般个人信息处理者来说，有法律、行政法规规定应当保密或者不需要告知情形的可以不告知；对于国家机关来说，除上述情形外，如果告知妨碍国家机关履行法定职责的也可以不告知。这项规定在实践中运用时可能存在，是有法律、行政法规规定不需要告知情形的可以不告知，还是主客观判断情形下的不需要告知。应当属于第二种情形，因为应当保密的情形在《中华人民共和国保守国家秘密法》《刑事诉讼法》等法律中有所规定，但是并没有哪些法律规定了不需要告知的情形。那么法律在具体适用时究竟哪些情形属于不需要告知的情形呢？基于不同个人对不需要告知情形的主观认识程度不同，难免会导致判断标准不一。什么情况下可以被认为是妨碍国家机关履行法定职责？对于这个问题，站在不同的立场就会有不同的答案，同样判断标准难以统一。所以为了确保《个人信息保护法》在实践中更好地发挥作用，真正落到实处，有必要对两种免除告知情形作进一步规定。

三、完善告知义务的路径思考

（一）告知事项增加风险评估

关于评估在《个人信息保护法》第五十五条—五十六条有所涉及，即对于敏感个人信息等其他对个人权益影响重大的情况时，在处理个人信息前要进行影响评估。但这种影响评估不同于风险评估，影响评估的目的在于通过事前评估，动态掌握个人信息保护的风险，从而采用对信息主体损害最低的方式来处理个人信息。风险评估是对欲收集的个人信息可能发生的合理风险进行评估，信息提供者因为知识水平有限，通常情况下对个人信息可能预见的风险并没有什么认知，而信息处理者拥有专业的技术人才，掌握专门知识，根据信义关系理论其有义务将风险评估事项告知信息提供者，充分保障个人知情权和决定权。

但是要求信息处理者对所有准备收集的个人信息都进行风险评估显然不太现实，就像法律对于影响评估制度也是列举了各种情形。在这个问题上可以参考美国实践通行的做法。美国对于个人信息风险评估是交给行业协会来办理，行业协会作为风险评估的专门机构，给个人信息划分出不同的风险等级，信息处理者根据不同的风险评估等级履行相应的告知义务。也就是说对于风险不大的个人信息的告知事项可以不包括风险评估；对于专门机构认定的风险较大的个人信息，告知义务要求增加风险评估。目前我国并没有成立个人信息保护相关行业协会或者专门机构，未来可以考虑向这个方向发展。

（二）区分不同告知方式

根据收集信息的场合、人员数量不同，区分不同的告知方式。

第一，“一对一”人数较少的情况，比如个人申请资格证书登记、不动产登记等事项，告知义务的方式可以采用书面的形式，比如登记申请书。在电子商务时代，个人信息的使用需要更多地使用互联网和电子媒体，而书面纸质文书在新网络环境中的应用凸显了其局限性。为了适应当前网络媒体的新方式，可以将告知义务的书面方式进一步抽象化，对书面方式做扩大解释，书面方式不仅包括纸质的形式，也包括电子形式。在提供个人信息之前，需要个人信息处理者对信息处理目的、处理方式等内容通过书面形式具体告知。同时为了避免内容繁杂，条款冗长，还可以采用问卷的形式，清晰明了，信息提供者可以在告知内容中选择同意或者不同意。此类纸质文书或者电子文档应当由信息提供者留档保存，一旦就告知规则发生纠纷时，其可以作为信息处理者履行过告知义务的证据。

第二，“一对多”人数众多的情况，主要是指网络平台作为信息处理者收集用户个人信息进行自动化处理的过程。这种情形下企业平台为了保证效率，一般都会事先拟出一份个人信息处理规则，然后对所有自愿加入平台组织的用户统一适用，也就是上文所提及的“隐私政策条款”。但是传统的隐私条款不仅晦涩难懂，而且一经同意成为用户后就很难再找到，所以《个人信息保护法》规定了通过个人信息处理规则履行告知义务的，处理规则应当公开，而且要方便用户保存和查询。目前网络APP 对于隐私条款可供查询工作已经基本落实，但是原文条款过于冗长，即使是事后也少有用户会仔细审阅，于是各大APP 开始探索新的途径，纷纷设置政策摘要或者简明版，通过加粗重点字符，突出问题。比如淘宝就在《隐私权政策》基础上，新增“隐私政策摘要”一栏，通过图标、表格的形式清晰透明地反映重点条款，让用户可以更直观地进行自主选择。在隐私权益保障措施方面，明确具体操作步骤，这些对于大部分用户来说，都是可以直接操作的，提高自主保护优势。对于实践中取得成效的做法，未来立法工作可以以其为导向，完善相关制度。

（三）细化免除告知义务的情形

一是不需要告知的情形。既然认定为不需要告知，要么就是信息提供者对告知事项已经知悉，要么就是告知已经没有实际意义。上文提到过对于经过二次流转的个人信息在不改变处理目的和方式等的情况下，接收信息一方不需要再履行告知义务，因为在信息流转前，信息处理者已经告知了个人相关事项。另一种情况下是告知无意义，主要就是针对已经公开的信息，可以默认这类信息主体对于他人处理自己已经公开的信息表示同意，免除告知义务不仅可以节约社会资源，也可以减少对信息提供者的打扰，毕竟对于已经公开的信息，提供者也不想一次又一次被征求意见。有学者提出，对于国家机关来说可能还存在行政成本过高而不需要告知的情形，比如行政机关因为行政管理的需要，所公布的视频或者照片中出现的人脸信息，这种说法是可以的，但是应该将处理者仅限于国家机关，对于企业等其他处理者来说就不能适用。二是告知会妨碍国家机关履行法定职责的情形。理解这种情形应该将焦点放在“妨碍”上。

四、结语

个人信息保护是一个系统工程，也是一场持久战，其中告知义务居于首要地位，因为它是信息处理者进行收集、使用、存储等一系列个人信息处理活动的前提。《个人信息保护法》增设信息处理者的告知义务规定值得肯定，为信息主体的知情权提供了有效的法律保障。但是与此同时，为了增强法律的适用性和确定性，对于立法没有明确规定的情形，今后依然需要继续努力构建完备的信息处理者告知义务规制体系，不断强化对信息主体权益的保护。