下载掌阅APP,畅读海量书库
立即打开
在互联网数字技术扩张、数据共享与流通、数据和个人信息的复杂关系、互联网特殊商业模式等多种因素的作用下,个人信息的保护成为各界关注的焦点问题。在实践中,个人信息保护存在一系列现实问题,强制授权、过度索权、超范围收集、违法获取个人信息的违法违规现象较为突出,随意收集、利用个人信息侵扰人民群众生活安宁、危害人民群众生命健康和财产安全等问题仍十分明显。这些问题引发了个人信息主体与个人信息处理者之间的大量争议。而大多数情况下,个人信息主体甚至不知道自己的信息被违法违规收集了,只有在监管部门通报时才知情。
除平台对个人信息权益的侵害外,公权力运行与个人信息权益保护之间同样存在张力。有学者认为,信息社会的到来凸显出保障个人信息权益的必要性,民法、刑法、行政法领域的个人信息保护立法及相关研究都取得了相应进展,唯独在刑事司法执法领域,对公民个人信息权益的干预始终被视为法律规制的例外,业已成为个人信息保护的短板。就公民个人信息保护的视角观之,无论是犯罪侦查中的技术侦查措施还是犯罪预防与情报信息领域内的信息收集行为都存在明显的规范漏洞。
因此,公共安全与个人隐私保护同样需要寻找平衡点。
为应对互联网发展的趋势与满足公民对个人信息安全的需求,各国纷纷出台或更新个人信息保护相关的法律法规,并且在其中明确了处理个人信息应当遵循的原则。当前,国内外在个人信息的授权中普遍采用“知情+同意”模式。如欧盟GDPR第四条规定了“知情同意”原则,并在第六条中将该原则与其他五项“非同意”情形作为个人信息处理的合法性基础。
与欧盟不同的是,美国并未将“知情同意”作为个人信息处理的重要原则之一,在其最严格的隐私立法——《加州消费者隐私法案》(CCPA)中,对同意要求的适用范围较窄,而是采用赋予消费者“选择退出”权、披露请求权、公平服务权以及民事诉讼权的方式强化消费者对其个人信息的控制能力。我国和欧盟模式较为类似,在《个人信息保护法》第十三条规定了“同意+非同意”作为合法性基础,《民法典》则采用了“同意”为原则,“不同意”为例外的方式。新法的实施必将会给各方主体带来不同以往的巨大影响,故需对其中的重点难点问题充分研究。
1.知情同意原则
在个人信息收集领域,信息收集行为合法性的判断是核心争议点。在现行法律规范中,基本上都将“个人的知情同意”作为个人信息处理的合法性基础与前提。《网络安全法》第四十一条第一款规定,网络运营者收集个人信息应当遵循合法、正当、必要的原则,应当获得个人的知情同意。《个人信息保护法》第十三条第一款第一项规定,个人信息处理者处理个人信息必须取得个人的同意。“知情同意”的目的在于保证公民的知情权,不但要将个人信息处理情况告知个人信息主体,而且要以清晰易懂的语言告知用户个人信息处理规则,保证用户在充分自由的前提下作出自愿、明确的表示。在全球范围内个人信息保护的立法中,知情同意原则都得到普遍适用,随着来自实践的反馈,知情同意原则适用的界限、范围以及局限性在学界也引起了许多讨论。
作为个人信息保护法领域中的核心规则,知情同意规则的优势在于可以充分发挥个人的信息自决权,但其高度依赖于个人信息主体对数据处理过程的充分了解。而现实中,普遍存在的信息分布不均现象妨害了同意的认识基础,多环节的数据流通则进一步削弱了同意的有效性,在信息轰炸的时代同意决策也容易陷入非理性。
(1)“知情同意原则”的理论困境。理论界和实务界对于知情同意原则褒贬不一,争议不断,对于知情同意原则的质疑观点包括但不限于如下方面:
第一,知情同意原则假定了个人能理性地选择。知情同意原则隐含的假设是,个人是理性人,具备阅读能力和理解能力,在充分获知信息的基础上能理性独立决策并承担责任。知情同意原则简化掉了人的非理性部分,这和现实生活存在一定的差距。
第二,同意原则假定了个人能充分理解告知内容。这实际上混淆了充分告知和充分理解之间的区别,个人信息收集使用客观上是一个复杂的、包含众多非专业人士难以理解的内容组合,所以事实上在告知和理解中间存在不可忽视的困难,充分告知不能保证带来充分理解。此外,理解程度还受到个人的认知水平、告知的方式和途径、时间、精力等限制。在某些情况下,企业为了满足充分告知的要求,传递的内容过多,甚至有意回避和隐藏重点内容,不少App收集个人信息的告知中存在规避法律风险的情形,而个人的时间精力和认识水平有限,所谓的告知过程仅仅是一个形式。
第三,同意原则假定了个人能自由选择。同意原则默认的一个隐含前提是个人在仔细阅读告知内容后,有充分的选择权,能自由选择是否接受、接受什么。但是就实际经验而言,个人自由选择的空间有时并不大,由于大数据的网络效应,某些服务可以使用的应用软件或者高质量的应用软件较少,甚至只有一两个,很多情况下用户不同意App收集个人信息的要求,就无法使用该App的服务。在这种选择余地较小的情形下,消费者为了使用某种服务只能选择接受个人信息处理者的隐私政策,所以用户的同意也不符合真正意义上的同意,并不是用户的真实意思表示。
第四,同意原则存在结构上的不合理。同意原则其实要求个人基于当下的认识,对未来的风险做出判断,这对于个人来说提出了过高的认知要求和风险预判要求,赋予与个人能力不匹配的选择自由未必能达到立法目的所期待的效果。
(2)“知情同意原则”的实践困境。知情同意原则在实践中也面临诸多困境,一方面,主体的认知影响主体的实践行为,不同主体对知情同意原则在理解上的差异可能导致对实践行为性质的认知冲突。由于数据的处理是动态的、过程化的以及多元主体参与的,客观上存在实践主体对于同意原则理解和解释的多元性。在动态过程中如何理解并达到“充分告知”的“充分”要求、如何确定用户的意思表示无效力瑕疵、怎样确定动态过程中个人同意的效力范围、怎样理解动态过程中同意和侵权责任的关系等,不同的主体对上述问题或许有不同的理解,在用户同意不构成理性选择的情况下,个人信息知情权和选择权也会造成企业与公共机构无法有效地收集和利用信息为个人提供服务,
这不仅将影响到企业的行动和个人的决定,也将影响到执法机关和司法机关的判断,需要统一多元主体对实践中核心行为性质的认识。另一方面,关于同意原则的实施强度也存在争议,即个人信息确实应受到保护,但是应保护到何种程度才能平衡数据利用与个人信息保护之间的关系。
一个法律规则的实施强度不仅要考虑当前的发展阶段下的需求,更要具备一定的前瞻性,这使得有关实施强度的讨论存在很大的空间。
针对知情同意原则的理论困境和实践困境,学术界和产业界都贡献了很多解决方案,比如有学者通过引入“卡-梅框架”(Calabresi-Melamed Framework)作为分析工具,将知情同意原则的理解分为一般情况与特殊情况两个维度:一般情况下,“知情同意”应当被界定为财产规则,即以法益拥有者(数据主体)的自愿让与作为该法益移转的前提条件;但如果涉及国家安全、公共利益等特殊情况,使用个人数据则无需通过当事人的授权同意,这是责任规则。
但还有很多未能解决的问题、未达成共识的问题等待讨论。
2.最小必要原则
《个人信息保护法》第五条规定,“处理个人信息应当遵循合法、正当、必要和诚信原则,不得通过误导、欺诈、胁迫等方式处理个人信息”,第六条要求处理个人信息应当“采取对个人权益影响最小的方式”,“不得过度收集个人信息”。对于人脸识别信息等敏感信息,更是在事前和事后的多个维度限定了信息收集和处理的范围,比如明确规定在公共场所安装的人脸设备,应当为维护公共安全所必需,收集的信息只能用于维护公共安全而不得用于其他目的,只有在具有特定的目的和充分的必要性并采取严格保护措施的情形下,个人信息处理者方可处理。据统计,个人信息保护法全文10处使用“必要”,7处使用“必需”,2处使用“最小”,充分体现了最小必要原则的立法导向。
2021年3月,为了落实《网络安全法》规定的最小必要原则,规范App收集个人信息行为,保障公民个人信息安全,国家网信办秘书局、工信部办公厅、公安部办公厅、国家市场监管总局办公厅联合发布《常见类型移动互联网应用程序必要个人信息范围规定》
,明确“必要个人信息”是指保障App基本功能服务正常运行所必需的个人信息,缺少该信息App即无法实现基本功能服务,并要求移动互联网应用程序(App)运营者不得因用户不同意收集非必要个人信息而拒绝用户使用App基本功能服务。2021年5月,电信终端产业协会发布《APP收集使用个人信息最小必要评估规范》
,同样明确了最小必要基本原则:从事App个人信息处理活动,应当具有明确合理的控制,不得从事超出用户同意范围或者与服务场景无关的个人信息处理活动。
有学者认为,必要原则应包括禁止过度损害与保障不足,要求以最小损害的方式,处理合法收集的个人信息。
不可否认,最小必要原则为有效处理个人信息、平衡各方主体利益提供了相对清晰的进路,对个人信息的合法收集与处理起到一定规制作用,并适用于个人信息处理的多个阶段。但其在实践过程中,仍然存在一定争议内容,总体而言,最小必要原则由于授权标准、获权主体不明,具体规则过于抽象且不统一等可能产生落实难的问题。而如果层层明确以上内容,则有可能产生过高的立法、行政成本。
3.单独同意
《个人信息保护法》第二十三条规定:“个人信息处理者向其他个人信息处理者提供其处理的个人信息的,应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意……”第二十九条规定处理敏感个人信息应当取得个人的单独同意,第三十九条还要求就个人信息出境向个人告知和取得个人单独同意。
综观《个人信息保护法》,单独同意原则主要适用于五种情形:向其他个人信息处理者提供个人信息(第二十三条);公开个人信息(第二十五条);公共场所收集的个人图像、身份识别信息用于维护公共安全以外的目的(第二十六条);处理敏感个人信息(第二十九条);向境外提供个人信息(第三十九条)。故单独同意原则的运作一方面涉及个人信息在多个信息处理者之间的流转、披露问题,另一方面也涉及不同种类和性质的个人信息处理问题。单独同意原则与一般知情同意原则搭配适用,一定程度上可以兼顾个人信息保护与信息流通的经济效益。
单独同意原则旨在强化个人对自己信息的控制力。互联网大数据时代,在信息流转领域,数据控制权的重要性越发凸显。从平台角度看,平台更倾向于通过算法等技术挖掘用户个人信息,分析用户偏好以有针对性地刺激消费,推动更多交易达成。平台一般没有太多的外在和内在动力去保护消费者隐私。从个体用户角度看,则希望拥有对自身数据的控制力(例如透明性)。因此,单独同意制度能够赋予个人信息主体更多选择权,强化其对个人信息的控制力,平衡个体与平台之间的竞争。
但在实践操作中,单独同意原则具有与知情同意原则一致的弊病,同时也有自身特殊性的问题。有学者运用“法律—社群规范—市场—架构”的网络法基本分析框架,指出,“告知同意无论作为一种授权机制抑或视为一种免责/问责机制,均面临困境”
。从授权机制来看,存在用户难以在获得有效信息的基础上作出同意的授权,用户习惯不经阅读即点击同意,知情同意机制存在被滥用的危险,用户对“隐私政策”难以真正行使拒绝权等问题。从免责/问责机制视角来看,知情同意原则无法全面回应实践中出现的数据利用问题,且其授权范围存在局限。同样的,由于信息不对称和技术不对称,即使有了单独同意原则,用户的隐私信息在事实上也得不到较好的技术性安全保障,即使有保障也只能默认平台的优先使用权,并且单独同意原则常常因为互联网平台的格式条款而变得形同虚设。
还有更多的制度运行的细节问题等待讨论。单独同意原则作为对敏感信息或特别情形的额外保护程序,为整个信息收集、处理、流通的过程增加了成本。从信息处理者的角度出发,界分敏感信息与普通信息的标准不完全明确。虽然《个人信息保护法》第二十八条第一款将敏感信息界定为“生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息”,但仍有部分介于灰色地带的信息不可一概而论。从信息处理者的角度看,对这类个人信息的处理要求具有不确定性,是否要支出一定成本完成“单独同意”这一步、使用什么方法有效告知用户(尽到取得单独同意的义务),都仍然有争议的空间——事项过多对平台和用户都会造成负担,事项过少又可能面临信息侵权的风险。从用户角度来看,单独同意一定程度上欠缺对用户感受的考虑,大量的“单独同意”事项可能过度占用用户的时间和精力,导致用户体验质量下降。
针对上述问题,以人脸识别信息为例,我国法院给出了初步司法解决方案,廓清了一些权利义务责任范围。最高人民法院出台了《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》,这是我国第一部专门针对人脸识别信息民事纠纷的司法解释。该司法解释围绕“知情同意”“单独同意”原则,列举了典型侵权行为,规定了信息处理者抗辩审查、证明责任分配、责任承担方式等内容。个人信息处理者、个人信息主体可以从司法层面、侵权行为认定标准、事后追责等条款的规定,逻辑上倒推自己的部分事前注意义务和权利。但是真正想要打通整个个人信息保护链,除了司法保护,还需要结合行政保护、社会保护等方面的力量,构建协作保护体系。
综上所述,目前国内外在个人信息授权领域已出台多部法律法规予以规制,并探索了“知情—同意”模式,明确个人信息处理的“合法、正当、必要原则”“单独同意原则”等核心内容,在该领域做出很大努力并取得一定成效。
立法诚然重要,法律实施、法律实效同样重要。当前个人信息授权模式在实践中的表现欠佳。中国消费者协会于2018年发布的一份报告显示,用户在安装和使用手机App时,很少有人阅读应用权限和隐私政策。
中国信通院发布的《智能终端产业个人信息保护白皮书》
数据显示,2017年10月—2018年10月所检测的2722万余款应用中,存在资费损耗、妨害滋扰、隐私窃取等侵犯用户权益问题的应用有299万个,其中窃取敏感信息的应用的比例为11.86%。实践中普遍存在一揽子授权、不授权就不能用的现象,用户并没有充分的选择权,以至于不得不拿个人隐私换取便利。此外,在诸多规范出台的同时,损害用户个人信息的问题仍然屡禁不止,由此可见现有的监管手段和监管力度存在待加强的地方,作为个人信息处理帝王原则的“知情-同意”模式存在制度性缺陷以及实践缺陷。
提出知情同意原则是为了保护个人权益,目的是改变个人主体和信息处理者之间信息结构失衡的状态,就这点而言,知情同意原则在重构信息生态中有其存在的合理性和必要性。但是如上所述,知情同意原则的结构缺陷是真实存在的,面临的实施困境是可以预见的。立法既然已经明确采用这一规则,已经投入了大量制度成本,主张放弃自不可取,在现有制度成果的基础上修整完善是较为现实的进路。在理论层面,政府、理论界和实务界应当加深交流,针对痛点问题展开充分讨论。法律的生命在于实施,知情同意原则也需要在实施中展现它的生命力,应当在实践中总结经验,通过实践不断完善规则,在实践中摸索求证与发展阶段相匹配的实施强度。
大数据时代,监管治理的手段和理念都有了一些变化。在规范政府公权力、平衡公共利益与个人信息权益方面,应当审视政府行使公权力时在个人信息保护方面的不足,更新治理理念、机制与手段:第一,适度引入个人信息保护的法律原则与机制,防止公权力利用技术手段对个人信息的不当使用。第二,建构混合监管体系,授权个人信息的专门保护机构对公权力使用个人信息的情况进行监督,或者通过设置专门委员会,以年度报告、专项工作督查等形式开展事后监督。第三,健全政府部门数据库共享中的个人信息保护机制,厘定个人信息使用中的隐私保护范围,通过厘清“个人敏感隐私信息”的范围,助力个人、企业、国家三方主体的利益均衡。