论《个人信息保护法》中个人同意制度的完善
2022-12-04杨少飞郭杨骞
杨少飞,郭杨骞
(1.安徽财经大学 法学院,安徽 蚌埠 233030;2.北京大成律师事务所,北京 100020)
2019年,微信读书App在收集整理原告的微信好友关系数据和原告的阅读信息时,没有经过原告同意且原告没有对其进行授权,原告主张微信App读书,构成对个人信息权益的侵犯。经过法院认定,法院支持原告的诉讼请求,认为微信读书App侵犯了原告的个人信息权益(1)参考腾讯科技(深圳)有限公司网络侵权责任纠纷一审民事判决书。案号:(2019)京0491民初16142号。。该微信读书案在我国侵犯个人信息权益类案件中,属于比较典型和有一定积极意义的案件,对我国以后类似的侵犯个人信息权益类的案件有着相当大的影响。法院在判决时认定:微信读书App存在着较高的侵害用户个人信息权益的风险,应当对用户进行显著的告知,使用户充分了解其信息处理的方式、范围和风险等等。微信读书App收集原告微信的好友列表,并未告知原告也未获得原告的同意授权。因此有必要采取一种合理有效的个人同意的认定标准,只要相关企业在获取用户的个人信息时所采取的行为符合这种标准的要求,相关企业就会有一个更加清晰地自我认定,从而更好地促进企业的合规发展。
一、个人同意制度的界定
(一)个人同意的含义
个人同意是指信息处理者在处理个人信息的时候,要积极地获得相应个人信息主体的肯定、允许或者认可。从法律层面上来说,个人同意可以理解为个人信息主体自己做出的一种意思表示,并且该意思表示具有一定的法律效力,个人通过该意思表示来表达个人信息主体对信息处理者的行为和自己的行为的一种认可。但是根据2021年颁布的《中华人民共和国个人信息保护法》(下文简称《个人信息保护法》)第14条的规定:只有在个人充分知情的前提下做出的同意,才会被认定为个人信息者的真实意思表示。因此作为信息处理者尤其是相关企业不仅要重视个人同意,也要重视对个人同意之前的告知,以此来充分地保证个人是在其知情的情况下做出同意的意思表示。[1]作为信息处理者,应当清晰地了解《个人信息保法》中有关同意的规定,这是完善相关企业个人信息保护制度、践行保护个人信息安全的法律义务、提前预防个人信息处理方面的法律风险的重要基础和前提条件。
(二)个人同意的不同分类
从同意的形式来看,个人同意可划分为明示同意、默示同意、单独同意和书面同意。明示同意是指个人信息主体通过书面等方式主动做出的声明,或者做出一些积极肯定的动作,对处理个人信息所做出的明确授权的行为。默示同意是指个人信息主体通过消极的不作为而做出的授权,默示同意在一定程度上有可能造成个人信息支配者忽略信息处理者所制定的规则。单独同意和书面同意可以理解为法律对信息处理者在处理信息时所要求的特别规定,目的是加大对个人信息权益的保障。单独同意是指信息处理者在处理一些特殊的个人信息时,应该把涉及的处理目的、行为等单独向个人告知并且取得个人同意。单独同意要求信息处理者要做到一处理一告知一同意,不能一种信息隐藏在其他事项中,通过一种总的授权方式来取得个人同意,要尽量避免随意收集个人信息等违法情形。在实践中,互联网企业一般通过单独的告知同意界面的创新设计(如单独的弹框设计)等特别的提醒界面方式来获得个人同意。书面同意是指信息处理者在处理特殊的个人信息时,应该把收集个人信息的目的、行为等向信息支配者进行告知并且取得信息支配者的书面同意。根据2020年颁布的《中华人民共和国民法典》(下文简称《民法典》)第469条的规定,书面形式包括合同书、信件、电报、电传、传真等形式,数据电文也可以视为书面形式。因此为了进一步防范企业法律风险,即使在一般情形下取得个人信息主体同意的情况下,企业也应该获取用户个人的书面同意。
从同意的场景来看,不同的场景下对应着不同的同意方式,作为信息处理者应该注意分别不同场景下所适用的同意方式。根据《个人信息保护法》第23条、第25条、第26第、第29、第39条的规定,在个人信息对外提供、个人信息公开、公开场所收集的信息用于维护公共安全以外的其他目的、处理敏感个人信息、个人信息出境等五种场景下,信息处理者需要获得个人信息主体的单独同意。法律、行政法规等相关规定要求应当取得书面同意的,信息处理者还应该获取相应的书面同意。当互联网企业获取和整理个人信息的时候,特别是信息处理者处理一些敏感个人信息,不仅要获得信息支配者的单独同意,还要时刻关注该个人信息所涉及的法律和行政法规的规定,以此来确认在处理个人敏感信息的时候是否还需要获得其书面同意。清晰和准确地区分不同场景下同意的种类,可以更好地获取当事人同意的授权。
二、个人同意制度的法律现状及不足
(一)个人同意制度的法律现状
在我国现行的法律条文中,个人同意的认定标准相对来说是比较模糊的,各个层面的法律法规都只是在某种程度上强调个人知情同意的重要性。在我国法律体系中,最早有关个人知情同意的法律规范性文件是2012年颁布的《全国人民代表大会常务委员会关于加强网络信息保护的决定》,这部规范性文件首次将个人同意确定为信息处理者处理个人信息的合法性基础[2]。在这以后,工信部于2013年颁布的《信息安全技术、公共及商用服务信息系统个人信息保护指南》《电信和互联网用户个人信息保护规定》都明确规定个人同意等涉及处理个人信息的基本原则,这为后来的个人信息法律保护提供了国家标准和立法技术的指导。
在与个人同意制度相关立法中,2017年颁布的《网络安全法》在现有的法律基础上对处理个人信息的规则进行了修改和完善,《网络安全法》第41条要求网络运营者收集用户数据时要遵循合法、正当和必要原则,而且要经过用户同意,这也只是规定了网络运营者在处理个人信息时应该取得个人信息主体的同意。《网络安全法》第41条和第42条都以法律条文的形式明确个人知情同意原则,将知情同意原则进一步具体化,同时明确了“合法、正当、必要”的基本前提,而且还规定了转让那些经过匿名化的个人信息无须个人信息主体同意。《民法典》将相关的个人信息视为一种人格权益,第四编第六章“隐私权和个人信息保护”从民法的基本角度对个人同意原则做出了相应的规范,第1035条规定了信息处理者在处理个人信息时必须获得个人信息主体或者其法定监护人的同意,根据这一规定及司法实践的反馈,可以理解为只要个人信息主体未做出相反的意思表示就会认定其表示同意。
2020年颁布的《信息安全技术——个人信息安全规范(GB/T35273-2020)》从国家标准的角度明确了处理个人信息时获取个人同意的具体要求。《个人信息保护法》在综合现有的有关处理个人信息的法律规范,最终完成了关于个人知情同意的规范体系。《个人信息保护法》在个人知情同意规则上继续使用《民法典》对个人同意规定的模式,也是首次以法律条文的形式规定了“实质性的个人同意”。第14条规定:个人要在充分知情的前提下自愿、明确做出同意的意思表示;第17条规定:要明确告知个人信息主体其所获取的具体内容。《个人信息保护法》在法律规范的角度上建立了个人知情同意原则的规范体系,同时也回应了有关强制同意、默认同意等社会上具有争议的现实问题。结合其他与个人信息相关的法律规范,我国基本形成了个人信息保护制度中个人知情同意制度的基本法律规范体系。
(二)个人同意制度存在的不足
在现有的法律体系下,个人知情同意原则具有至关重要的作用,在某种程度上来说也是目前处理个人信息的基础。然而对于知情同意原则的质疑一直都有。在20世纪初的时候,域外国家以英美为例的法律实践已经说明了传统的知情同意原则已经无法适应现在信息社会的时代,甚至无可挽回地走向瓦解,实务部门至今仍在批评其缺陷。例如,FTC在2021年发布的关于互联网服务提供商隐私实践报告的声明中,将告知同意原则的缺陷作为互联网服务提供商隐私实践存在的首要问题。
在国内,有部分学者认为知情同意原则在公开场所收集的信息用于维护公共安全以外的其他目的等特殊场景中存在着许多漏洞,而且换句话说个人知情同意原则本来就不适合作为我国处理个人信息的基础,这些情况都说明虽然我国在立法中明确了知情同意原则的重要性,但是在具体的法律实施和运行过程中仍然会有许多问题。 关于个人同意的具体规定,相关法律法规并没有进一步明确。《个人信息保护法》第13条也规定:信息处理者处理个人信息时要取得个人的同意,这在一定程度上保护了个人信息的安全,但是该规定仍然不够清晰明确,因此需要对个人同意的有关标准进行明确。诸如此类的法律法规只是规定了信息处理者获取个人信息主体的同意作为其信息处理行为的合法性依据,但是在许多细节方面没有进行详细的规定,给信息处理者的具体操作留有大量的空白。比如需要对个人同意的范围、个人同意的形式、个人的理解能力等等做出明确的规定,以此来完善《个人信息保护法》中的个人同意制度的规定,保护和尊重个人的意思表示。
在社会生活实践中,关于个人同意标准的适用存在很大的空白,这不仅会在一定程度上违背相关立法的初衷,也会在一定程度上阻碍相关信息产业的发展。由此可见个人同意认定标准的重要性,不仅关乎个人的个人信息安全,也涉及企业的合规发展。由于相关法律法规没有对个人信息主体的同意进行进一步的具体规定,这在一定程度上导致了实践中关于同意标准认识错误的案件时有发生。[3]
个人同意在法律层面上并不是一项强制性规定,只有在信息处理者打算处理个人信息的时候才会向个人信息主体发出同意的请求。企业在为个人提供网络信息资源的同时,也需要获取一定的个人信息,个人是否打算提供个人信息并不会妨碍个人获取相应的使用权,但是这在一定程度上慢慢变为企业的免责性理由。由于相应的法律法规对于个人同意的标准没有进行准确的认定,这就导致了个人同意原则不能有效地限制信息处理者对个人信息的处理,有可能使信息处理者没有节制地处理个人信息。
三、对现有个人同意制度的完善建议
如何判断个人信息主体所做出的同意是其真实自愿的,这就需要探究其构成要素,将这些构成要素作为个人信息主体同意的认定条件。关于个人同意的构成要素,可以借鉴国外相关法律的规定。例如,欧盟规定的《一般数据保护条例》中第7条规定了一些个人同意的构成要素,其中第一款规定了个人信息主体要对信息处理者的处理知情,才能确立信息主体的同意。[4]232由该条款可以了解到个人信息主体做出同意的前提是知情,也就是个人信息主体要在知情的情况下才能做出相应的意思表示。意思表示是法律行为的核心要素,根据《民法典》的相关规定,民事法律行为生效的条件之一是当事人应当具备相应的民事行为能力,因此,个人信息主体的同意也要求信息主体具备相应的同意能力。
(一)个人同意的内容
完善个人同意制度,需要知道个人同意的内容,从同意的内容来具体判断获取个人同意不同的授权程度,以及通过哪种外在形式来表现当事人的授权。
1.个人同意的范围信息处理者在获得个人信息主体同意的时候,个人信息主体有时不能进行全部的授权。这是因为个人信息有时不仅涉及个人自身的权益,也会涉及他人的权益和公共利益。当个人信息牵涉到他人利益和公共利益时,个人信息的同意就不能仅仅是信息主体个人,还应当获得他人的同意和符合相关法律法规政策的要求。因此企业在收集和整理个人信息时,仅获得相关信息主体的同意也是不行的,为了防范相关潜在的法律风险,应注重该信息所涉及的各方主体以及相关法律法规的要求。
2.个人同意的形式从企业防范风险的角度出发,企业在收集和整理个人信息时,要尽量获得个人的书面同意,如合同书、信件、电报、电传、传真等。这是因为非书面形式的同意可能对个人信息权益保护不足,还可能增加企业在以后发生纠纷时举证的难度[5]。目前我国相关法律法规对于同意的形式并没有做出明确规定,仅有《信息安全技术——个人信息安全规范》对个人同意做出了相对明确的规定,即同意应当由用户个人做出书面声明或者做出一些积极行为来加以表示。由此可以推知,该规范归于个人同意持着积极行为的倾向,结合我国当前社会实践过程中所发生的案件,个人也应该做出书面的形式来表示自己同意,这样是基于日后发生纠纷时,可以方便多方主体进行取证,也在很大程度上帮助企业节约了技术和资金的成本。
(二)个人应知情
个人知情同意不是简单地让所涉及的信息主体填好一份纸质版或者电子版的知情同意表,不仅形式上要满足要求,实质上也要让信息主体知情。首先,相关法律要求信息处理者必须向每一个信息主体提供充足的信息,以此来方便个人决定是否同意他们获取自己的个人信息。这时就对应了企业的告知义务,企业是否进行了充分告知就会影响个人信息主体知情权的行使。因此企业应当如实履行告知义务,主动给个人信息主体提供全面、有重点、容易理解的信息和相关要求,这样个人才能更好地行使知情权。其次,个人信息主体还要明白和理解以下内容:信息采集的方式和所涉及的各项风险、信息使用的方式、信息识别的方式、信息保管者是谁、个人日后能否获取相关信息所带来的成果。再次,为了充分保障个人信息主体的知情权,相关企业还要注意给个人信息主体一些提问的机会,以此来加深他们对相关信息所涉及的问题的理解。
(三)个人同意应具备的能力
《民法典》规定自然人从事民事活动应当具有民事权利能力和民事行为能力,个人信息主体在对外做出同意授权的决定时,也应具有相应的同意能力和理解能力,这样才能更好地保护民事主体的意思自治和个人信息的安全。
1.个人应具备同意能力个人信息主体同意须要求个人信息主体在做出同意的意思表示之前具有相应的同意能力,否则有可能会影响同意的效力。企业作为信息处理者在个人信息主体同意之前应当确认个人信息主体有没有具有相应的同意能力,并且还要做出相应的判断。个人信息主体做出同意的意思表示在一定程度上来说属于民法上的民事法律行为,而民事法律行为生效的一个基本前提就是要求行为人应具备相应的行为能力,一般将其分成具有完全民事行为能力、具有限制民事行为能力和具有无民事行为能力三类,基于此来判断个人信息主体的同意能力,具有完全民事行为能力的个人可以由自己做出同意的意思表示,对于具有限制民事行为能力和无民事行为能力的个人,应由他们的法定代理人或者监护人代替他们做出同意的意思表示。[6]
法条中明确民事行为能力,主要考虑其在民事活动中的必要性。民事活动是民事主体根据其意思表示想要在民法上产生具有民事法律效果的活动,当民事主体进行民事活动时要在客观上认识到自己行为的意义,并且合理预见到自己行为后果的意思能力[7]127。因此个人信息主体只需具备相应的识别和预见能力,就可以做出和自己同意能力相当的意思表示。通过法律规定的行为能力制度这一客观标准来代替行为人的主观标准,这样有利于避免行为人主观标准的不确定性,进而有助于维护现实中的交易安全,更好地方便企业进行合规操作。尤其是涉及未成年人的信息处理时,满足民法中关于民事行为能力的要求之后,可以适当地降低未成年人的同意能力的年龄要求。这是因为当下网络的普及,一部分未成年人可以了解到信息收集所涉及的相关风险,而且可以综合未成年人的心智和社会阅历等因素来考虑其同意能力。
2.个人应具有相应的理解能力当信息处理者将所要处理的信息告知个人信息主体时,个人信息主体要对所涉及的信息及其作用有一定的理解能力,即知道这些信息所代表的含义。理解能力可以说是人体大脑对所涉及的信息的一种处理,那么这就会在一定程度上导致个人的理解能力存在一些区别。一般来说理解能力是指能够辨认和识别相应的对象,知道它是什么,在此基础上对事物的本质与内在联系有一定的认识,主要表现为可以理解相应的概念、原理和内涵,知道它是怎么样的。因此,个人信息主体不仅要认识到信息处理者所处理信息的表面含义,而且更要懂得其深层含义。如果个人信息主体对所涉及的信息有不明白的地方,特别是在与企业签订协议等文件时,企业有义务对此做出解释和说明,从而更好地保护个人信息权益。
(四)个人应自主选择
在企业获取个人信息时,个人信息主体有权选择哪些个人信息对企业进行授权,也有权选择哪些个人信息不对企业进行授权,即个人有权选择是否同意。企业也应该尊重用户真实的意思表示,不对个人信息主体的同意进行过多地干涉。然而在实际生活中,企业与个人双方或多或少存在地位不对等的情况,为了尽量减少这种不对等所带来的不利影响,可以由相关行政机关公布相应的书面文件规定一些应记载与不得记载的事项,来限制信息处理者的优势地位[5],这种由行政机关制定的相关规定可能会使企业与个人信息主体之间的利益处于一种平衡的状态。
随着《个人信息保护法》的颁布,个人信息的安全越来越受到法律重视,个人信息也会成为法律和人们关注的重点。企业在获取个人信息时,也会受到比以往更多的制约。个人信息主体的知情同意在社会活动中有着重要的作用,这有益于个人信息权益的保护,也为企业处理相关信息提供了合法性前提。个人知情同意的构成要素可以作为个人同意的认定标准,能够为企业明确相关的法律界限,防范法律风险,方便企业合规发展。