个人信息保护制度中告知同意原则的法理阐释与规范建构
2022-11-27冯健鹏
冯健鹏
一、问题的提出
随着《个人信息保护法》的通过,我国的个人信息保护制度初步完成了法律框架体系的建设,相关法律制度的实施和完善细化就成为接下来的重点。在现有制度中,告知同意①“告知同意”,又作“知情同意”,即英文的notice-and-consent。原则处于核心地位,也可说是当前个人信息处理规则体系的基础。②参见周汉华:《〈个人信息保护法(草案)〉:立足国情与借鉴国际经验的有益探索》,载《探索与争鸣》2020 年第11 期。但与此同时,对于告知同意原则的质疑从未停止:早在本世纪初,欧美国家的实践就已表明根植于传统商业模式和社会环境的告知同意原则已难以适应信息时代的发展,③参见范为:《大数据时代个人信息保护的路径重构》,载《环球法律评论》2016 年第5 期。甚至“无可挽回地走向瓦解”④Rubinstein,Ira,Big Data:The End of Privacy or a New Beginning? (October 5,2012).International Data Privacy Law (2013 Forthcoming),NYU School of Law,Public Law Research Paper No.12-56.,实务部门至今仍在批评其缺陷⑤如美国联邦贸易委员会(FTC)在当地时间2021 年10 月21 日发布的关于互联网服务提供商(ISP)隐私实践报告的声明中,将告知同意原则的缺陷作为互联网服务提供商隐私实践存在的首要问题。Remarks of Chair Lina M.Khan Regarding the 6(b) Study on the Practices of Six Major Internet Service Providers Commission File No.P195402.;在国内,也有学者认为告知同意原则在“刷脸”等典型场景中已经失灵,⑥参见韩旭至:《刷脸的法律治理:由身份识别到识别分析》,载《东方法学》2021 年第5 期。甚而本来就不宜作为我国个人信息处理法律制度的基础⑦参见任龙龙:《论同意不是个人信息处理的正当性基础》,载《政治与法律》2016 年第1 期。——这些都表明,虽然我国在立法上确立了告知同意原则的法律地位,但其在实施过程中仍会面临许多障碍。因而有必要在理论上对“信息时代⑧类似表述还有“网络时代”“数据时代”“大数据时代”等。本文为了与“个人信息保护”相一致,选用“信息时代”这一表述。的告知同意原则”进行充分阐释,并结合我国当前社会现状,探讨其在个人信息保护制度中的完善之道;而这也将成为提升我国网络治理能力的重要着力点。
目前学界的相关探讨主要有私法和公法两条进路:私法进路以民事权利(权益)为基点,构建告知同意的运作规则乃至整个个人信息保护法律体系,⑨参见张新宝:《论个人信息权益的构造》,载《中外法学》2021 年第5 期。同时也隐隐地担忧公权力扩张至相关民事领域的可能性;公法进路则强调国家机关的职责,⑩参见王锡锌:《个人信息国家保护义务及展开》,载《中国法学》2021 年第1 期。并指出私法保护的进路困难重重⑪参见丁晓东:《个人信息私法保护的困境与出路》,载《法学研究》2018 年第6 期。——这两者均有理论和规范上的依据,而两者间存在的张力则显示出在这个领域融合公法与私法的必要性,这一点在当前的探讨中也不无体现:如告知同意原则被认为既受通信自由和秘密的宪法权利限制,也受民法上隐私权保护制度的限制;⑫参见张新宝:《个人信息收集:告知同意原则适用的限制》,载《比较法研究》2019 年第6 期。再如传统上属于公法原则的比例原则也被认为适用于私主体的个人信息处理行为。⑬参见刘权:《论个人信息处理的合法、正当、必要原则》,载《法学家》2021 年第5 期。这种融合体现出一种问题导向,而非学科导向的“领域法”研究范式,⑭刘剑文、胡翘:《“领域法”范式适用:方法提炼与思维模式》,载《法学论坛》2018 年第7 期。进而显示出在法理层面对相关理论问题展开全面阐释的必要性。
本文以我国现有的法律规范体系为对象,分析告知同意原则的规范结构及其在实施过程中可能遭遇的挑战。在分析前述实施障碍深层原因的基础上,围绕“信息时代的人格尊严”展开相关问题的法理阐释框架。结合我国当前社会治理的政策导向和网络治理的特点,提出以“实质性参与”为取向的规范建构路径。
二、告知同意原则的规范结构及其实施的挑战
(一)告知同意原则的规范结构
告知同意原则,即个人信息处理者只有在取得个人同意后才能处理相关的个人信息,一般认为最早是在1970 年由德国黑森州所确认的,⑮参见程啸:《论个人信息处理者的告知义务》,载《上海政法学院学报(法治论丛)》2021 年第5 期。之后逐渐成为世界各国普遍采用的个人信息保护基本原则:无论是欧洲基于“人的尊严”的个人信息保护理论,还是美国基于个人自由的隐私保护理论,⑯参见高富平:《个人信息保护:从个人控制到社会控制》,载《法学研究》2018 年第3 期。在制度机制上均以“告知同意架构”作为基础。⑰同前注③。
在我国,告知同意原则最早出现在规范性法律文件中是在2013 年工信部制定的《电信和互联网用户个人信息保护规定》第9 条,规范对象为“电信业务经营者”和“互联网信息服务提供者”,内容包括告知方式和告知范围等。2017 年的《网络安全法》第41 和42 条以法律的形式明确了告知同意原则,并对其进一步具体化从而初步建立了规范体系:将规范对象界定为“网络运营者”,并且明确了“合法、正当、必要”的基本前提和“公开收集、使用规则,明示收集、使用信息的目的、方式和范围”等条件,同时还规定了匿名信息作为告知同意原则的例外。2020 年的《民法典》第四编第六章“隐私权和个人信息保护”从民事基本法律的角度对告知同意原则作了规范;同年的《信息安全技术个人信息安全规范(GB/T 35273-2020)》以国家标准的形式明确了收集个人信息时“授权同意”的具体要求,以及具体的例外情形;2021 年的《个人信息保护法》则最终完成了告知同意原则的规范框架体系。
《个人信息保护法》首先明确了“实质性的告知同意”,即“由个人在充分知情的前提下自愿、明确作出”(第14 条)和告知的具体内容(第17 条),以及个人的撤回同意权(第15、16 条)、信息转移时的重新取得同意要求(第22、23 条)等特别要求;其次规定了敏感个人信息(第二章第二节)、国家机关处理个人信息(第二章第三节)和跨境提供个人信息(第二章第四节)等特别情况下的具体要求;再次,对利用个人信息进行自动化决策这样的当前常见商业模式中的告知同意作了特别规定(第24 条);同时具体规定了告知同意原则的例外情形(第13 条第2 至第7 项)。此外,《个人信息保护法》中明确的个人信息搜集必须遵循的“合法、正当、必要和诚信原则”(第5 条)、最小影响和最小范围原则(第6、7 条)及公开透明原则(第8 条)等也对告知同意的有效实施有直接的影响——可以说,《个人信息保护法》在法律的层面上构建了告知同意原则的规范框架,同时也回应了强制同意、默认同意、一揽子授权等社会反映强烈的现实问题;结合其他相关法律规范,基本形成了个人信息保护制度中告知同意原则的基本规范体系。
(二)告知同意原则实施的挑战
《个人信息保护法》所确立的告知同意原则规范体系无疑会对相关主体的行为产生规范和指引作用,从而改善社会氛围和市场环境。但这一规范体系在实施过程中也将面对与技术发展或社会变迁相关的种种挑战。能否积极应对这些挑战,在很大程度上决定了告知同意原则能否有效实施,甚而影响到个人信息保护制度整体的实施效果。这些挑战大致可以归纳为以下几方面:
第一,“数字鸿沟”令许多个人用户难以“充分知情”。所谓“数字鸿沟”是指“不同社会群体之间在拥有和使用现代信息技术方面存在的差距”⑱张新红、于凤霞、[澳] 罗彼得:《聚焦“第四差别”——中欧数字鸿沟比较研究》,商务印书馆2010 年版,第5 页。以及由此产生的行为能力上的差距。这个概念自20 世纪90年代中期被提出以来,一直随着信息技术和信息社会的发展而广受关注,被认为是继传统“三大差别”之后的“第四差别”⑲同上注,第5-15 页。。通常,个人信息处理者在信息技术的理解和运用方面天然地占据优势地位,其与个人用户间存在结构性的“数字鸿沟”,使得后者往往对于个人信息处理者提供的告知内容中包含的技术含义缺乏准确理解,从而难以实现《个人信息保护法》第14 条要求的“充分知情”。例如个人用户在不了解cookies 追踪技术的具体影响时,在“为了提升您的用户体验”的提示下选择“同意”,就不能认为是“充分知情”的。⑳2019 年欧盟法院(CJEU)关于cookies 案件的判决(Case C-673/17)认为,这种情况不能认定权利人做出了有效的同意。这种“数字鸿沟”必然造成个人信息处理者所提供的告知内容对个人用户而言过于冗长、模糊、难以理解。随着《个人信息保护法》的实施,因为滥用格式条款或者默认同意等商业模式所造成的“走过场式告知”有望得到改善;但“数字鸿沟”作为信息时代的结构性问题,其影响则难以骤然消除。
第二,敏感个人信息与非敏感个人信息的区分标准模糊。《个人信息保护法》第二章第二节区分了敏感个人信息和非敏感个人信息,对前者规范了“单独同意”等更严格的告知同意要求。这种区分可以认为是对“隐私与个人信息关系之争”21相关争议,可参见周汉华:《平行还是交叉:个人信息保护与隐私权的关系》,载《中外法学》2021 年第5 期。的立法回应,同时也构建了告知同意原则场景化、精准化运用的基本框架,具有极为重要的意义。22参见程啸:《论我国个人信息保护法中的个人信息处理规则》,载《清华法学》2021 年第3 期。但是这种二分法本身存在模糊之处,不可避免地会给适用造成困难:《个人信息保护法》第28 条明确敏感个人信息的特点是“一旦被非法使用则‘容易’给当事人造成损害”,虽然后面列举了若干典型例子,但“容易”这样的表述仍然过于模糊,并且预示了敏感与非敏感个人信息的区别是程度上的,而非截然二分,因此和立法上“敏感信息/非敏感信息”的二分法存在冲突。但是,“容易”的表述及其模糊性本身是立法对于社会现实相当准确的描述:某种个人信息遭到泄露或非法使用,是否会给当事人造成损害、会造成怎样的损害,很大程度上取决于当事人的主观感受和具体场景中的社会评价;在信息时代的风险社会中,某些看似不敏感的个人信息被泄露后也可能损害个人隐私23参见李忠夏:《数字时代隐私权的宪法建构》,载《华东政法大学学报》2021 年第3 期。——可以说,在“造成损害”和“不造成损害”之间存在大量的中间状态。立法在进行二元区分的同时保留了判断标准的模糊性,并且列举了典型的敏感个人信息,这是最合理的选择。这种由社会现状造成的立法模糊性,只能在法律适用的过程中进行个案裁量,而这难免会增加告知同意原则适用于相关场景时的不确定性。
第三,将匿名信息作为告知同意例外情形的可靠性存疑。《个人信息保护法》第4 条将匿名信息排除在该法保护的范围之外,处理这些匿名信息也无需经过告知同意。考虑到信息时代的特点,“匿名信息”将成为告知同意原则一个极为常见且重要的例外。但是信息匿名技术至少在目前来看并不可靠:早有国外实践显示,匿名后的信息和其他公开数据相结合后仍然有可能暴露信息主体的身份。24“美国在线(AOL)”和“奈飞(Netflix)”公开的用户匿名数据很快被人“反匿名化”,这是个人信息匿名化失败的两个著名例子。参见[英] 凯伦·杨、马丁·洛奇:《驯服算法:数字歧视与算法规制》,林少伟、唐林垚译,上海人民出版社2020 年版,第74 页。当前,彻底匿名的个人信息在技术上尚难以做到;即使做到了,这种匿名信息对信息处理者来说也是没有价值的。25万方:《隐私政策中的告知同意原则及其异化》,载《法律科学(西北政法大学学报)》2019 年第2 期。因此,匿名信息在实践中是否可以“反匿名化”很大程度上只与成本有关。可以说,如果要求匿名信息也经过告知同意,将极大地增加信息处理者的运作成本、降低信息利用的可能性;而如果处理匿名信息无需告知同意,那么大量未经告知同意的匿名信息仍然有损害当事人的风险。这样的两难处境无疑增加了告知同意原则落实的难度。
第四,“法定其他情形”的兜底式例外条款可能被滥用。《个人信息保护法》第13 条规定了无需当事人同意的例外情形,其中第7 项为“法律、行政法规规定的其他情形”。这种兜底式的例外条款无异于给法律和行政法规的制定机关签发空白支票,如果这种“法定其他情形”被滥用,告知同意原则就会被架空而失去实际意义。但另一方面,这种兜底式例外条款可以令法律和行政法规的制定机关在面对相关的社会变化时具有足够的应对能力,从而确保立法的社会适应性,这对于个人数据保护这样随着技术日新月异而不断变化的领域来说尤其重要。对此,理论上可以借鉴刑法解释兜底条款时所采用的“同质性解释规则”,即兜底的具体内容要与已列举的事项一致,26李军:《兜底条款中同质性解释规则的适用困境与目的解释之补足》,载《环球法律评论》2019 年第4 期。从而既确保立法的灵活性又约束其无限扩张的冲动。但是《个人信息保护法》并没有提供告知同意原则例外情形的一致性标准,第13 条第2 至第6 项列举的例外情形均涉及不同的典型场景,从中难以看出其内在一致性,无法为第13 条第7 项的“同质性解释”提供支持。结合相关技术的发展和社会变化,可以认为立法在这里优先选择了社会适应性,而将确定性留待法律适用和后续的立法。
总体来看,这些挑战有些涉及信息时代的社会结构(如数字鸿沟和匿名信息)、有些与法律规范本身的特点有关(如敏感信息和兜底条款),都是个人信息保护制度的深层问题,并非改变具体条文所能直接解决的。因此有必要从理论上全面梳理、明确告知同意原则的法理基础和理论框架,以此为基础才能系统地探讨其制度改善之道。
三、以信息时代人格尊严为基础的理论框架
人格尊严是个人信息保护制度的重要基础,在我国也被认为是告知同意原则之所以具有关键地位的根本原因。27同前注 。但是现有研究对于人格尊严作为告知同意原则的具体理据分析仍有不足,对信息时代人格尊严的变化及其相关影响也缺乏深入探讨——以下拟从这两方面展开,并初步构建一个有针对性的理论框架。
(一)人格尊严作为告知同意原则基础的理据
“尊严”在许多文化中都意指“较高的社会地位”及其所带来的“荣誉和尊敬”。28[美] 迈克尔·罗森:《尊严:历史和意义》,石可译,法律出版社2015 年版,第12 页。传统上,“人格尊严”(或“人的尊严”)被认为是“人类作为一个整体”的特质;29同上注,第13 页。在康德哲学的影响下,人格尊严指人类“内在的、无条件的、不可比拟的价值”30同上注,第31 页。和“人是目的而非手段”的基本理念,从而具有了政治哲学上的意义。我国传统思想中同样不乏有关“尊严”或“人格尊严”的理念:如儒家强调“人皆有之”的道德潜能,虽然这种潜能“庶民去之、君子存之”31《孟子·离娄下》。,从而与社会等级相关;但这并不影响儒家关切人类普遍性的内在价值,并且将这种关切与“为政”相联系从而同样具有政治哲学的意义,如孔子因人俑酷似真人而强烈谴责君主用人俑陪葬的习俗,32参见《孟子·梁惠王上》。荀子更是直言“人有气、有生、有知且有义,故最为天下贵也”。33《荀子·王制》。时至今日,人格尊严已经在许多国家成为宪法性的概念,如德国基本法第1 条第1 款即强调“人的尊严不可侵犯……”;我国现行宪法也在第38 条规定“……公民的人格尊严不受侵犯……”——可以说,对人格尊严的重视和尊崇,无论在观念上还是在制度上,都是“人同此心、心同此理”的。
当前,作为个人信息保护制度的理论基础,主要有欧洲的人格尊严理论和美国的隐私权理论:前者主要体现在2000 年的《欧盟基本人权宪制》里集中规定的个人数据保护,而这一规范的根基就在于“需要防止个人在个人数据处理中被仅仅视为客体对待”的人格尊严理念;34同前注⑯。后者则是在隐私权保护的框架内,通过“信息隐私权”“隐私控制论”等理论,针对各种涉及个人信息的情况展开分散式的保护35同前注,第91 页。——当然,这两种模式得出的结论是类似的,即法律要保护个人对自己信息的控制。但是就我国而言:首先,已经有了《个人信息保护法》这样的集中式立法;其次,个人信息和隐私的差异无论在学界还是在实务界都已形成了一定程度的共识;第三,除了前述宪法对人格尊严的规定外,《民法典》第109 条也总括性地规定“自然人的……人格尊严受法律保护”,意味着“保护人格尊严”在我国已经成为跨越公法和私法的基础法律理念——因此,以人格尊严作为个人信息保护制度及其相关权益的理论基础,就是更可行、更合理的选择。
告知同意原则作为个人信息保护的关键制度,同样需要以人格尊严为理论基础:第一,个人信息所含的权利属性决定了告知同意原则的基础在于人格尊严。《民法典》将“个人信息保护”规定在人格权编中,将个人信息权益视为人格权的一种表现;而在信息时代,个人信息也不可避免地会涉及到财产权。36参见刘德良:《个人信息的财产权保护》,载《法学研究》2007 年第3 期。无论涉及何种权利,告知同意都是个人信息所有者作为权利主体处置自己权利的必要前提。法律上对这种“处置自己权利”的认可和保护,正是以权利主体的人格尊严为基础的。第二,国家机关处理个人信息时须遵循的告知同意是对人格尊严的尊重。个人信息除了权利属性外,还带有多方面的公共属性,37参见胡凌:《功能视角下个人信息的公共性及其实现》,载《法制与社会发展》2021 年第5 期。这也是国家机关介入个人信息处理的基础。正如《个人信息保护法》第35 条规定的,国家机关在处理个人信息时同样需遵循告知同意原则,这种“权力的正当性得自被统治者的同意”背后也正是对“被统治者”人格尊严的尊重。第三,告知同意原则边界的确定也需要充分考虑人格尊严。由于公共利益等原因,某些情况下处理个人信息无需经过告知同意,这些例外情况也就构成了告知同意原则的边界。但这并不意味着个人作为“个人信息的载体”而仅被视为实现公共目标的工具;换言之,只有在充分实现人格尊严的前提下,才能设定告知同意的例外——总之,告知同意原则意味着将个人视为具备识别能力、能够理性思考、拥有自身价值的主体,而这正是人格尊严的基本内涵。
值得注意的是,《个人信息保护法》第28 条第1 款涉及到了人格尊严,但仅是将“一旦泄露则人格尊严容易受到侵害”作为敏感个人信息的界定标准(而且并非唯一标准)。这一规定虽然与告知同意原则的运用有关,但是远未达到“理论基础”的程度。这主要是因为无论在理论上还是在立法上,都还只将人格尊严视为抽象概念、缺乏联系社会现实的具体阐述。因此,有必要对“信息时代的人格尊严”展开具体分析,从而在告知同意原则和人格尊严之间建立起具体的联系。
(二)信息时代的人格尊严
美国行为主义心理学家斯金纳认为:尊严不是一种个人特性,而是社会环境影响的结果。38参见[美] B.F.斯金纳:《超越自由与尊严》,方红译,中国人民大学出版社2018 年版,第48-64 页。虽然斯金纳的环境决定论也许过于极端,但从社会环境的角度探讨尊严内涵及其变化确有必要。只有深入探讨信息时代下社会环境对于人格尊严的影响,才能恰当把握人格尊严作为告知同意原则理论基础的具体内涵。概括而言,相关社会环境的变化有以下几点值得关注。
“信息茧房”影响人们理性选择与沟通的能力,加剧了实现人格尊严的复杂性。桑斯坦在《信息乌托邦》中用“信息茧房”描述当代信息技术对人的影响:用户对信息的需求是有偏好的,而当代的算法技术也能投其所好地向用户推送其偏好的信息;同时,在互联网的海量信息资源中,无论多小众的偏好都能获得足够的信息支持。久而久之,用户会将自己限制在蚕茧一样的“茧房”中而无法接触到多样化的信息。39参见[美] 凯斯·桑斯坦:《信息乌托邦:众人如何生产知识》,毕竞悦译,法律出版社2008 年版,第104-105 页。——于是一个悖论就出现了:互联网本是为了便于信息沟通和交流而产生的,但是在“信息茧房”效应下,人们越来越不愿意接受不同意见,反而令信息沟通和交流更加困难。受此影响,社会观念难免越来越撕裂和极端,“和而不同”式的互相尊重也会越来越困难,现代社会建立在主体间彼此尊重基础上的人格尊严40同前注,第52-60 页。最终难以实现。出于认知偏好的本能,人们几乎是自愿走进“信息茧房”的,所以并不会直接违反告知同意的要求。这种可能影响人格尊严的自愿行为使得公权力有了介入网络信息内容确定和发布机制的理由。这种介入不同于传统上针对仇恨言论或商业言论等的规制,后者已经形成了较为成熟的规制经验及其合法性评价标准;而针对“信息茧房”的规制,如何在尊重个人自主选择和避免社会观念分裂之间达到平衡,既是互联网治理的重要问题,也是信息时代人格尊严得以实现的重要保障。
个人信息的价值对于个体和对于群体呈现巨大差异,使得人格尊严的实现处于不对称状态。个人信息具有价值,但是这种价值需要大量信息的汇聚才能发挥出来,这也是个人信息具有公共性的基础。41同前注 。换言之,个人信息虽然是个人的,但对于其本人来说价值其实并不大;只有当无数人的信息在信息技术下汇聚成“大数据”,才会成为信息时代极为重要的资源,42同前注⑨。而且这种资源往往是以信息的个人所有者难以察觉,甚至无法想象的方式发挥作用的43参见[英] 维克托·迈尔·舍恩伯格、肯尼思·库克耶:《大数据时代》,周涛译,浙江人民出版社2012 年版,第102-103 页。——这使得个人用户很难从财产的角度准确地判断其某一具体信息的价值。与传统的人格权不同,个人信息背后的人格尊严在很大程度上正是通过对个人信息财产权益的保护而实现的。44同前注 。个人信息处理者在确定个人信息价值方面的能力远高于个人用户,这就使得两者间处于不对称的状态;面对这种不对称,个人用户通过告知同意机制有可能在两种偏颇的选择之间摇摆:一是无视自身信息的价值而轻易地让渡出信息使用权、令自身承受不必要的风险和负担;一是过度保护自身信息、令个人信息难以发挥生产要素的作用。要令个人用户以合乎人格尊严的方式恰当地处置个人信息,除了在个案中进行利益衡量外,更重要的还在于打破个人用户和个人信息处理者之间的这种不对称状态。
基于信息技术的“数据权力”崛起增加了来自私主体对于人格尊严的威胁。随着信息技术的发展,特定主体搜集个人信息的能力越来越强,由此形成了在信息领域对个人的直接强制力,可称之为“数据权力”。在此过程中,一些私主体基于其掌握的数据资源和技术而具有的力量虽然与国家机关行使数据处理职权时具有的权力在表现形式等方面存在区别,45同前注⑩。但其对个人的影响丝毫不亚于后者——这种掌握“数据权力”的私主体在社会关系中所占据的优势地位根源某种福柯式的对于个人“持续可见的监视”46参见[法] 米歇尔·福柯:《规训与惩罚》,刘北成、杨远婴译,三联书店出版社2003 年版,第226-227 页。以及由此产生的预知、诱导乃至操控个人行为的能力;“(信息时代的)危险不再是隐私的泄露,而是被预知的可能性”。47参见[英] 维克托·迈尔·舍恩伯格、肯尼思·库克耶:《大数据时代》,周涛译,浙江人民出版社2012 年版,第22 页。这种可能性构成了对人格尊严的直接威胁,相关私主体的“数据权力”因此相较于一般情况下基于市场垄断获得的优势地位而言更加强大,从而使得信息时代的人格尊严须着力防范“数据权力”所构成的威胁,而不论这种权力来自于国家机关还是私主体。长期以来,人格尊严的法律保障机制在很大程度上是基于“公法/私法”之分而构建的;但是面对“数据权力”,有必要超越这种划分,重新审视相关的理论框架及其规范建构。
(三)告知同意原则的理论框架
人格尊严的理念反对“只”把人当作手段,48同前注,第80-82 页。而实质性的“告知-同意”正意味着个人信息在为其他主体创造价值之前相关个人的自主选择和理性判断能力获得了尊重,这也是人格尊严作为告知同意原则理论基础的基本方式。不过正如前述,人格尊严在信息时代有其特点,这使得如何确保“告知-同意”具有实质性成为必须解决的前提性问题。对此,基于前文的分析,以下提出告知同意原则理论的三大支柱:
第一,告知同意原则的目标在于个人信息保护和信息自由流动的平衡。一般认为,包括告知同意原则在内的个人信息保护法律制度在整体上应当实现某种利益平衡,如个人利益与公共利益的平衡、个人信息权益和信息处理者权益的平衡、个人隐私保护和个人信息利用的平衡等。利益平衡的前提在于相关利益之间能够通约,这在涉及难以量化的利益(如人格利益)时尤其重要。49参见梁上上:《异质利益衡量的公度性难题及其求解——以法律适用为场域展开》,载《政法论坛》2014 年第4 期。在个人信息保护领域,人格尊严可以成为这种通约的基础:一方面,个人信息保护的基础在于人格尊严,这已有大量论述,这里不再重复。另一方面,个人信息保护的对立面不应当是商业利益或管治方便,而应当是人们通过信息技术获得的便利和发展潜能,亦即人格尊严在信息时代的表现。这是通过信息自由流动实现的,相关的公共利益或商业利益可以说是信息自由流动的结果。以此作为个人信息保护和信息自由流动相平衡的基础,意味着个人信息处理者即使在获得个人用户的同意后,对其信息的处理也应当以合乎信息自由流动的方式进行,而不应具有垄断或限制的色彩;同时,如果个人用户不同意对其信息的处理,也不应遭受过度的经济利益或公共服务减损,而应当基于这种不同意对信息自由流动的影响,而将相关的减损控制在最小限度内。
第二,告知同意原则的关键在于提升个人用户的数字理性。数字理性指适应信息时代人际交互关系的理性思维,从而能够认识到自己所享受的信息服务所包含的成本与风险、大致理解自己各种选择的后果。50参见郭春镇:《数字人权时代人脸识别技术应用的治理》,载《现代法学》2020 年第4 期。由于“信息鸿沟”的存在,个人用户对于信息技术的理解始终与信息处理者存在差距,这也是前述告知同意原则面临的重要挑战之一。“信息鸿沟”虽然难以填平,但是数字理性可以使个人用户正视这种差距,从而做出负责任的选择。提升数字理性需要个人、国家、社会等多方面的共同努力,而通过告知同意原则可以成为其中一条重要的提升途径。首先,个人信息处理者的告知应当删繁就简,明确告知相关服务所需要的个人信息种类、原因和信息泄露可能存在风险;其次,与特定个人信息相关联的告知内容应当允许个人用户随时复制、保存和查阅,以便个人用户有更多的时间和机会理解相关内容;最后,对老年人等特殊群体给予更多的关怀,按照国务院《关于切实解决老年人运用智能技术困难的实施方案》等政策精神,在告知内容和告知形式两方面均设置更适宜特殊群体认知和理解的版本。总之,数字理性为判断是否“实质性告知同意”提供了一个重要思路,而提升个人用户的数字理性也应当成为告知同意原则在个人信息保护法律制度中发挥作用的关键。
第三,告知同意原则范围和边界的确定是分层次、动态化的。《个人信息保护法》第13 条第2 至第7项规定了告知同意原则的例外,在立法上明确了告知同意并非个人信息处理的唯一前提;而这些例外情况从反面构成了告知同意原则的范围和边界,因此也是告知同意原则理论框架的重要组成部分。值得注意的是,《个人信息保护法》第13 条第2 至第7 项大量采用了原则性的表述,如“为……所必需”“在合理的范围内”等,这在很大程度上是由于信息技术发展迅速、商业模式复杂多变。也正因为如此,通过例外情况而对告知同意原则范围和边界的确定应当是分层次的、动态化的。所谓“分层次”是指“告知同意的例外”并不必然等同于“无需告知同意”,51同前注⑮。而是有必要根据个人用户知情程度构建阶梯式递减的“需详细告知但无需同意”“需概括告知但无需同意”和“无需告知同意”三个层次,从而最大限度地保障个人用户的知情权。所谓“动态化”是指在法定的原则性规范下,在个案中充分考虑使用的必要性、对个人用户的影响、补偿或救济的可能性等影响个人信息使用合理性的因素,恰当地在个案中确定是否需要采用告知同意、采用到何种程度,从而动态地明确告知同意原则的具体范围——总之,将“分层次”和“动态化”相结合,有助于得出《个人信息保护法》第13 条第2 至第7 项原则性表述的类型化适用方案。
四、以实质性参与为取向的规范路径
告知同意原则的理论基础在于人格尊严,具体而言就是将人视为目的而非手段、尊重个人用户的理性判断和选择,即使要为告知同意设置例外情形也必须充分考虑这一点。具体而言,就是要充分实现个人用户的“知情”“判断”和“选择”,以“实质性参与”作为实现“实质性告知同意”的基本方式。就规范路径而言,实质性参与的取向主要表现在以下几方面。
(一)“知情、同意、撤回、删除、更正”的权利体系
告知同意原则首先意味着个人用户有“获得告知(知情)”和“决定同意(或不同意)”的权利。为适应当前的技术发展和商业模式,这两者都有必要确立多样化的实现方式;同时,在法律上还有必要明确与这两者相关的撤回、删除、更正等权利及其实现方式,才能让个人用户充分参与个人信息处理的全过程。
个人用户的知情权对应于个人信息处理者的告知义务。如前所述,从保护个人用户的角度出发,《个人信息保护法》第13 条第2 至第7 项应被视为“无需个人用户同意”而非“无需告知个人用户”的情况。只有在为了重大公共利益,且告知将使该公共利益无法实现的情况下,“无需告知”才具有合理性。同时,处理匿名信息和紧急情况处置也均是限制个人用户知情权的理由,但前者需要告知“个人信息即将被匿名化”这一信息、后者则有必要事后告知。此外,个人用户知情权的实现方式也可以是多样化的,如公共场所的视频监控,如告知监控设备的具体位置则可能使监控形同虚设,但出于保护知情权的考虑,仍应在显著位置设立“本场所有监控设备”之类的提示语。
个人用户的同意权是告知同意原则的另一基本组成部分。《个人信息保护法》规定了单独同意、重新同意等制度,丰富了同意权的规范内涵。同时,除了常见的明示同意之外,在规范上还应对默示同意进一步明确——在当前的技术条件下,后者有时是一种更合理的同意方式,例如在已经显著提示“本场所有监控设备”的公共场所,个人用户进入该场所进行相关活动就可以视为其同意监控设备对个人信息的采集,而无需再额外耗费成本获得明示的同意。规范上对默示同意的明确需要实现个人信息保护和利用的平衡:一方面通过默示同意降低信息处理的成本、促进信息的自由流动,另一方面为默示同意限定应用的范围,避免这种同意方式被滥用。
个人用户撤回权的实现,一方面需要基于《个人信息保护法》第16 条的规定,要求信息处理者提供差异化的服务,将个人信息的使用严格限定在“个性化设置”等最相关的范围中,避免“撤回同意等于注销账号”;另一方面也需要明确个人用户撤回同意的行为本身不构成任何违约责任,亦即信息服务合同中不得约定类似“用户不得撤回同意”的内容。此外,《个人信息保护法》第15 条要求的“便捷的撤回同意的方式”也对撤回权的实现至关重要。这里可以参考欧盟《通用数据保护条例》提出的“撤回同意应当和表示同意一样容易”的标准,52Regulation (EU) 2016/679 of the European Parliament and of the Council,article 7.如许多信息处理者提供了“一键同意”的方式,那么同样也需要能够“一键撤回”。
个人用户的删除权指个人可以请求信息处理者删除其信息的权利。《个人信息保护法》第47 条规定了提出删除请求的理由,其中第3 项将“撤回同意”作为“请求删除”的理由,明确了个人用户可以自由地“先撤回、后删除”的权利。但规范上还有必要进一步明确“撤回同意并删除已搜集信息”和“撤回同意但不删除已搜集信息(仅不得在未来继续搜集信息)”两种情况,从而在功能上区分撤回权和删除权、减轻个人信息处理者的处理成本。53参见万方:《个人信息处理中的“同意”与“同意撤回”》,载《中国法学》2021 年第1 期。同时,相较于欧盟对于“被遗忘权”的严格定义,54同上注。我国当前对“删除”采取较温和的界定,仅要求“保持不可被检索、访问的状态”55《信息安全技术个人信息安全规范》3.10。而不要求将信息彻底删除。这固然令删除权在面对区块链等技术时更有实现的可能性,但也产生了“已删除信息被恢复”的风险,需要进一步加强规范应对。
个人用户的更正权以《个人信息保护法》第46 条为依据,是介于“同意”和“撤回(删除)”之间的权利。值得注意的是,《个人信息保护法》明确个人信息处理者在更正前须“予以核实”,但并未将个人信息作“事实”和“评价”的区分。这意味着当涉及到个人评价的信息时,个人用户同样可以认为对自己的相关评价“不准确或者不完整”而要求更正,此时个人信息处理者如完全迎合个人用户(尤其是公众人物)的这种更正要求则可能造成舆论的偏颇,而拒绝更正则容易引起纠纷。对此同样需要加强规范应对。
可以说,上述五项权利是告知同意框架内的“权利束”,其合理搭配可以充分实现个人用户自主性;而从权利的角度出发,也对告知同意运作机制提出了更具体的规范要求。
(二)保障多方参与的程序机制
前述“权利束”侧重实体上的规范建构,而告知同意原则的程序保障同样不容忽视。当前,个人用户对信息技术的理解和运用能力参差不齐,并且总体上相对于个人信息处理者而言处于弱势地位,由此产生的“数据鸿沟”正是告知同意原则难以落实的重要原因之一。这种实体能力上的差异,在一定程度上可以通过程序的合理设置加以弥补;针对告知同意原则的实际情况,程序保障的关键在于通过多方参与提升个人用户的信息能力。《个人信息保护法》及相关法律明确了个人用户、个人信息处理者(含国家机关)和个人信息保护部门的主体地位,但是在告知同意原则相关的多种程序中,仍有必要重视与这三者相关的其他主体参与的重要意义。
首先是社会力量充分参与的基层治理程序。当前,基于信息技术的商业模式和管理模式存在于社会生活的方方面面,与之相关的“告知”和“同意”也早已成为现代生活不可避免的一部分;同时,基层治理本身也需要大量搜集个人信息——因此,基层治理可以说是落实告知同意原则相关法律要求的“主战场”之一。在此过程中,充分发挥社会团体、公益组织、社会工作人员等社会力量就成为推动多方参与的基本方式;为此,在治理程序上有必要关注两个制度重点:一是社区(村)。社区(村)在基层治理中本来就发挥着重要作用;而加强基层智慧治理能力建设的大量工作也需要社区(村)来落实。56参见《中共中央 国务院关于加强基层治理体系和治理能力现代化建设的意见(2021 年4 月28 日)》。在整合数据资源、拓展应用场景的过程中,社区(村)可以、也应当依据《个人信息保护法》的要求,在相关程序中发挥宣传、动员和纠纷解决的作用,就近满足“信息生活”的需求。另一个制度重点是基层志愿服务制度。这一制度既可以通过邻里互动促进公众在信息资源和信息知识等方面互通有无、互帮互助,同时也可以吸纳熟悉信息技术、掌握信息资源的各种社会力量以弥补基层组织的不足。因此有必要在基层治理的各项程序中确立志愿服务的地位,使其更好地发挥作用。
其次是行业组织积极参与的监管程序。《个人信息保护法》明确了个人信息保护部门对相关企业的监管职责,这是落实告知同意原则的重要保障;同时也要看到,对企业的监管不应妨碍企业的自主经营,尤其是不能因监管而限制科技企业的创新能力——换言之,个人信息保护的监管程序需要达成行政监管和企业自主经营的平衡,而处于监管者与被监管者之间的行业组织,在其中就可以起到关键作用:第一,基于信息技术和社会实际情况制定行业标准,如涉及“告知”和“同意”的格式合同标准、在特定场景中推定个人用户“充分知情”的评价标准、本行业对于“显著方式、清晰易懂的语言”等法定要求的具体判断标准等,这些标准在监管程序中显然具有广泛的应用空间。第二,在行政审批“简政放权”改革背景下承接部分监管职能,对本行业的专业技术资质、个人信息处理规范流程等进行认证和管理,使得围绕相关企业的监管程序更具针对性、更适应行业发展的需要。第三,在恰当范围内受理个人用户的咨询和投诉,运用行业组织的惩戒权对个人信息处理者的处理个案展开监督,尽可能以低成本、高效率的方式解决纠纷;同时与监管部门的个案监管相结合,增强监管程序处理不同类型纠纷的能力。
最后是中立第三方专业参与的个人信息保护影响评估程序。《个人信息保护法》第55 条确立了个人信息保护影响评估制度;而2020 年颁布的《安全技术-个人信息安全影响评估指南(GB ∕T 39335-2020)》已经明确了个人信息安全影响评估的国家标准,其中涉及到基本原理和实施流程等。可以想见,个人信息保护影响评估制度势必对个人用户的权益产生重要影响,而这种影响也会直接关系到个人用户在告知同意框架下的选择。值得注意的是,根据相关法律和国家标准,个人信息保护影响评估主要是各类组织自行开展的工作,但同时要求“不受到被评估方的影响”,并且明确了可以受来自监管部门或客户的审核——这就要求整个评估过程既要对相关业务情况非常熟悉,也要具有足够的独立性,因此第三方的参与就显得非常必要。这里的第三方指具有高度专业性但与被评估方无关(甚至不受被评估的行业利益的影响)的中立机构,如高等院校、专业研究机构等。第三方在评估过程中发挥作用的关键在于确保其在评估程序中的中立地位。这就需要在评估程序中明确第三方的正式地位,包括确立必须有第三方参与的情况及其参与范围、建立第三方专家库、明确第三方专家的选任和问责制度、完善第三方的报酬制度等,避免第三方被利害关系方“俘获”。
(三)多样化的纠纷解决机制和法律责任体系
随着信息技术发展和商业模式创新,围绕告知同意原则产生的法律关系不断呈现出新的样态,需要多样化的纠纷解决机制才能确保个人用户最大限度地展现自己的意愿;相应地,也需要确立多样化的法律责任体系、契合个人信息保护的不同场景,从而保障前述“告知同意权利束”的真正落实。
在纠纷解决机制方面,需要完善各种适应信息技术的新型纠纷解决方式,同时整合制度资源、建立阶梯式的纠纷解决制度体系。围绕告知同意原则的个人信息权益纠纷呈现出数量大、标的额小、需即时解决、涉及生活面广等与信息技术及其应用相关的特点,由此产生了迅速解决争议的需要。相对而言,正式的纠纷解决机制,包括诉讼和仲裁等,都因为制度成本而显得门槛过高;57一项针对我国发达地区的实证研究表明,“成本过高”已经成为影响人们通过法律途径解决纠纷的主要原因,并且“时间成本”的影响超过了“金钱成本”。参见冯健鹏:《法治社会视野下的公众法治意识实证研究》,载《浙江学刊》2021 年第3 期。与此同时,一些网络平台在投诉处理机制的基础上逐渐发展出针对特定网络应用场景的线上纠纷解决机制(ODR),有效地在平台内部解决纠纷。值得注意的是,这类ODR 机制大多强调平台用户的共同参与,58如“闲鱼”二手市场网站的纠纷解决机制“闲鱼小法庭”就建立了平台用户共同参与纠纷解决的机制,强调“群众调解纠纷”的特征。参见韩烜尧:《我国非司法ODR 的适用与完善——以闲鱼小法庭为例》,载《北京工商大学学报(社会科学版)》2020 年第5 期。这为解决涉及“告知-同意”的纠纷提供了启发。其中,尤其有必要针对个人信息处理和使用过程中容易引发纠纷的环节(如法定需要取得个人用户单独同意的情况)设置专门的ODR 机制,确保相关纠纷能够及时有效的解决。在此基础上形成的ODR 机制体系可以处理大部分日常生活中产生的纠纷,而少数无法解决的复杂纠纷再转入诉讼或仲裁程序,以此整合纠纷解决的制度资源。当然,如果纠纷一方的个人信息处理者本身也是网络平台的掌控者,显然不会有太大的动力推动平台的其他用户参与纠纷的解决,甚至很难主动地设立公平的纠纷解决机制,此时平台用户的参与权利仍然需要法律规范上的明确。
在法律责任体系方面,围绕告知同意机制的个人信息保护产生了一些新的问题有待解决,而特定形式的参与可以为解决这些问题提供思路,其中比较突出的一类涉及赔偿标准。我国的损害赔偿主要是填补式的,因此个人信息权益损害的赔偿标准往往成了明确法律责任的前提。但在个人信息保护领域,受某一具体告知同意行为影响的个人信息往往是非常具体、零星,甚至琐碎的(如某次浏览购物网站的信息),并不容易确定这条信息本身的价值;从信息处理者的角度,大量此类信息构成的“大数据”确有很高的价值,但如果按比例计算则某一具体信息的价值又微不足道了。另一类较为突出的问题则涉及到责任形态。除了损害赔偿外,排除妨碍、恢复原状也是重要的责任形态;而围绕告知同意机制产生的排除妨碍、恢复原状主要是针对相关个人信息的删除(以及更正)。正如前述,个人信息的删除有程度之分,而不同的删除时间也会影响个人信息的利用;59同前注,第222 页。可以说,不同的删除程度和删除时间构成了不同的责任形态——这两方面都是新技术对传统责任理论提出的新问题。对此,除了理论上的进一步探索外,制度上另一个可以考虑的思路在于确保个人用户在面对侵害者时具有足够的议价能力,具体措施包括确保个人用户获得社会组织和专业机构等帮助的渠道、在法律上明确个人用户(尤其是信息能力较弱的用户)的优势地位,等等。总之,保障个人用户实质性参与的能力、促成个人用户能够与侵害者之间展开对等协商,以此解决前述新技术带来的问题。
五、代结语:迈向共建共治共享的网络治理
虽然告知同意原则由于技术等种种原因而受到来自学界和实务界的批评和质疑,但其人格尊严的价值内核决定了这仍然是个人信息保护法律制度的关键机制,至少目前还没有更好的替代方案。《个人信息保护法》也在规范层面明确了这一点。进一步而言,由无数个人信息构成的“大数据”使得信息处理者有可能实现对人们行为的预测甚至控制,这种在根本上可能侵犯自由意志的危险60同前注,第207 页。使得能够体现人们理性认知和自主选择的告知同意机制显得更加重要。从这一点出发,完善《个人信息保护法》所确立的告知同意原则首先需要体认信息时代对于人格尊严实现方式的影响,在此基础上明确告知同意原则的理论框架,进而构建以“实质性参与”为取向的规范体系、通过“实质性参与”实现“充分知情”的实质性告知同意目标。
在网络治理的层面,这个思路也是“共建共治共享”社会治理格局的具体表现:所谓“共建”,就是个人用户在使用网络服务的同时提供自己的信息、信息处理者通过技术和平台将这些信息加以整合与运用、国家机关发挥市场监管功能,三者共同创造信息时代的基础性资源及其运作机制,在此过程中共同推动相关规则的建立和完善;所谓“共治”,就是在共建的过程中,个人、企业、国家机关等多元主体共同参与相关规则的实施,在治理过程中发挥各自的主体作用;所谓“共享”,就是在实现了共建和共治的前提下,所有的社会主体均能从信息社会相关的经济模式中获益,由此形成的规则也能有利于社会全体。
个人信息保护是我国网络治理的基本组成部分,同时也体现出网络治理的基本特点:一方面,技术进步带来生活便利、社会福利和经济发展,使得网络治理具有大量新的手段和工具;另一方面,信息技术产生的风险,也对网络治理提出许多新的挑战——这就使得网络治理能力的现代化和法治化需要对应于一种“包容共享的法治原则与运行机制”,61参见马长山:《数字社会的治理逻辑及其法治化展开》,载《法律科学(西北政法大学学报)》2020 年第5 期。而这种原则和机制与“共建共治共享”的社会治理格局之间具有高度一致性。因此,本文对于告知同意原则的完善思路对于网络治理整体上也是有启发意义的。概言之,就是在网络社会各种新技术、新工具和新问题不断出现的背景下,坚持以社会成员的实质性参与为关键,对治理过程中遇到的问题形成即时反馈、同时推动相关规则的建立和实施,进而提升社会成员参与的意愿和能力,进一步增强制度反馈的效能——这样的治理循环正是共建共治共享网络社会治理格局的具体表现,而这样的治理循环也正是网络治理能力现代化和法治化的关键。