个人信息保护中告知同意规则的完善

金 麟

(华东政法大学，上海 200042)

一、问题的提出

自第三代计算机正式应用以来，人类对于个人信息泄露的担忧从未停止，早在1973年瑞典就推出了世界上首部规范个人数据保护的《隐私法》。二战后人们对于人权的反思则进一步推动了个人信息保护法的出台，以人格尊严为基础的个人信息自决权理论也为个人信息的个人控制提供了支撑，由此诞生了以知情同意为核心的个人信息保护模式。

由于告知同意被认为是信息主体对个人信息控制力的核心[1]，我国也以此为基础，出台了《网络安全法》《民法典》《个人信息保护法》等多部法律。然而，实践中很难认为这一模式起到了良好的保护效果，随意收集、过度使用个人信息等情况屡屡发生。截至2021年8月，公安部已累计下架1100余款违法违规收集使用个人信息APP。

在告知同意被明确规定的前提下却仍然有如此多的违规行为，这一方面是由于个人信息集合可带来巨大经济价值。麦肯锡曾在其报告《分析的时代：在大数据的竞争》中指出，大数据在各行业的潜在经济影响可以达到千亿甚至万亿美元；另一方面则是因为目前的事前同意结合事后救济的方式不甚适应信息时代，对于个人信息保护范围、知情同意类型及处理主体义务等要件仅作总括规定，难以应对具有隐蔽性、泛在性的个人信息侵权行为。

那么，传统模式在新时代下的水土不服具体是由哪些原因导致？在明确已有局限后，应当如何恰当地对原有模式进行改造？数据的经济效用与人格尊严的保护之间又应当如何平衡？为了切实地保护个人信息并健康地促进数字经济的发展，有必要回答这些问题。

二、我国告知同意制度的建立及现状

(一)制度沿革

告知同意规则首次出现于2012年《全国人民代表大会常务委员会关于加强网络信息保护的决定》。此后，工信部于2013年出台了《信息安全技术、公共及商用服务信息系统个人信息保护指南》，明确了个人同意等多项个人信息处理基本原则，为个人信息保护提供了国家标准及技术指引。

立法上，2016年通过的《网络安全法》完善并修改了部分信息处理规则，如转让匿名化的个人信息无需经被搜集者同意。2020年通过的《民法典》则将个人信息保护定位为一种人格权益[2]，并于第六章对个人信息保护作了详细规定。

《个人信息保护法》在告知同意规则上延续了《民法典》的模式，除订立、履行合同所必需等情形外，处理个人信息应当取得个人同意。在个人信息的范围界定上，《个人信息保护法》采纳了“识别+关联”作为标准，客观上扩大了所调整的个人信息范围及告知同意规则的适用情形。由于不存在类似GDPR中追求第三方的正当利益这一合法性基础，在常见的商业模式下，信息处理通常都需要取得个人的同意。在取得同意的形式上，以明示同意的择入为核心，仅在极少数情况下允许拒绝机制，且要求为用户提供撤回同意的便捷方式。总体上，《个人信息保护法》提供的是个人信息保护的框架性规范，存在一定的转致规定，对于如何具体落实相关规定需要依靠其他法规进行细化。例如，尽管目前仍处于征求意见阶段，《网络数据安全管理条例》《数据出境安全评估办法》等规定从具体操作的角度对于告知同意的各个环节进行了落实细化，且对于部分场景(如个性化推荐)作了更加严格的限制。

(二)运行效果

在理想情况下，告知同意使得用户能够实际控制个人信息的去向及使用方式。然而，这种愿景是以用户具备专业知识、分析能力等为前提。在实践中，普通人往往不具备这些条件，同时也并不总能基于理性作出自身利益的最佳选择[3]，此时的个人控制反而成为了个人信息保护责任的转嫁。

事实上，近年来已发生多起个人信息不当使用的事件，如2019年大热的换脸软件ZAO在隐私协议中约定用户上传照片后即视为同意授予该公司“全球范围内完全免费、不可撤销、永久、可转授权和可再许可的权利”。另一方面，相关调查指出这些问题的出现并非源于当事人的随意，而是制度本身所存在的局限。2018年企鹅智酷发布的《中国网民个人隐私状况调查报告》中显示，对于注册帐号前弹出的条款协议，仅大体浏览或直接勾选同意的受访者各占四成，而只有16.1%的受访者会仔细阅读协议。对于直接勾选同意的原因，“字数过多，浪费时间”占73.8%，“有看不懂的术语，理解不了”占54.2%，但认为“无关紧要，觉得不影响利益”的仅有22%。这些数据直观地证明了当前个人注重保护个人信息但却难以从信息处理者的告知中获取有用的信息，无法满足有效同意的条件，有学者将这种告知同意称为“控制的幻象”[4]。尽管《个人信息保护法》进一步强化了信息主体的权利，但是在未对告知同意制度作出根本性改变的前提下，制度的内在局限导致保护效果不佳。

三、现行告知同意制度的内在局限

(一)难以保证信息主体的实质性知情

“在个人信息处理中，实质性知情和自由选择是有效同意的重要条件。”[5]由于告知不充分将带来法律上的不利后果，信息处理者为了合规，势必会将可能涉及的内容事无巨细地进行告知，甚至是通过混杂信息的方式来避免法律风险，这就导致告知内容通常冗长难懂。“技术性与制度性说明过于复杂，可能只有少部分专业人士才能给出全面的解释。”[6]

在这种情况下，人们可能会挑选阅读协议或是直接不阅读。同时，由于不同用户在受教育程度、知识背景等方面的差异，即便完整阅读了用户协议也难以保证对于同意的理解是正确恰当的[7]。此外，除单独同意出于合规要求存在严格的告知形式外，适用于更广泛场景的一般同意并未明确实现方式，无法保证效果。基于这些因素，现有的告知同意制度难以保证信息主体的实质性知情。

(二)规模效应导致的高成本

伴随着信息过载所带来的还有规模效应的高成本。由于当前服务提供商众多，有调查指出，如果信息主体要阅读提供给他们的所有隐私政策，则每年需平均付出244个小时。如果对这一时间价值进行预估，则为7810亿美元[8]。除了信息主体在作出同意选择时的高额成本外，告知同意制度也增加了信息处理者的成本。根据《个人信息保护法》第14条的规定，如信息处理者对个人信息的处理目的、处理方式和处理的个人信息种类发生变更的，应当重新取得个人同意。在当前数据要素市场快速建设的背景下，新技术、新商业领域的出现并不罕见，加之软件的版本迭代通常以7—14天为周期，这就导致信息处理者可能会频繁地修订隐私政策并告知用户再获取同意，带来可观的经济支出。

(三)信息主体实质上缺乏选择的空间

除实质性知情的缺乏外，当前告知同意制度下个人是否能够进行自由选择也是有待商榷的。一方面，微信、支付宝等部分软件已经是日常生活必需，用户几乎不可能拒绝隐私协议而不使用软件。另一方面，对于隐私协议，服务提供商几乎只提供了同意或拒绝同意这样的二元选择，用户只能以全有或全无的方式作出同意而无法以部分同意的方式使用部分功能，这种一揽子同意使得告知同意流于形式，并不存在自由选择的空间。

此外，尽管根据《个人信息保护法》第16条的规定，除属于提供产品或者服务所必需外，不得以不同意处理个人信息为由拒绝提供产品或服务，但是实践中何为必需既需要法律上的界定，又涉及代码层面的技术问题。一方面，不同业务所必需的信息种类及数量显然不同，但现有的司法案例不足以进行类型化分析，也缺少可供参考的具体标准。另一方面，系统自带的权限管理无法精确查看软件为收集信息调用的API或SDK等，在信息处理者不提供源码的情况下，处理流程对于用户而言无异于黑箱，判断是否为必需也无从谈起。在这种情况下，用户想要寻求司法救济的难度及成本都相当高，最终仍然只能被动同意。

(四)存在“同意”异化为“授权”的风险

个人的同意原本是允许数据使用者搜集数据，并合法、正当、必要地在特定范围内使用数据。但是在当前阶段，这种同意往往被企业异化为授权，借助隐私协议成为超范围收集、使用个人信息的工具，实质上是以“同意”之名行“授权”之实，使得企业能够自由地使用个人信息[9]。

在用户不会认真阅读协议的情况下，这种风险是极难被监管的。为了避免企业使用概括同意的方式来不合理地获取数据，监管者通常会采用具体化同意的方式来进行管理，但随着这种监管模式越发具体，企业也越容易逃避监管，只需在用户协议中针对性地对监管重点进行说明即可。此外，由于目前的同意机制属于事前同意，也更加倾向于对信息收集而非流通的控制，这就导致对于数据的二次利用管控效果不佳，例如，在凌某某诉抖音案①中，如何合法利用从数据主体处取得的第三方信息就存在规制上的空白。

(五)小结

目前的告知同意制度事实上已经难以适应数据处理的发展需要。究其根本，主要是由于原有的绝对化的知情同意规则无法完全适应现实经济关系逻辑[10]。从历史发展的角度来说，知情同意规则实际上产生于前大数据时代。当时人们对于个人信息安全的担忧主要是由于计算机运算速度提升及自动化技术的使用，此时人们既不会因为各类机器自动收集信息而产生大量信息，也基本不存在通过分析数据产生经济利益的问题。在大数据时代以前，数据处理无论是在数量上还是在可供使用的技术手段上都远远少于当今。在这种情况下，知情同意规则是能够满足个人信息保护的需要的。

然而，伴随着人类进入大数据时代，这种现状被打破了。在当今社会，数据已经成为社会运行的基础资源，物联网等技术使得整个世界都可以被数字化地记录下来，对数据的利用代表了对现实世界的利用。在这样的背景下，原有的数据利用模式发生了根本性的变化。一方面，只有将每个人的信息集合起来形成大数据才能对其有效利用，需求的信息数量激增。另一方面，在数据利用上，想要在数据处理前明确地告知信息使用的目的几乎是不可能的，因为大数据分析本身是“没有目的”的。大数据分析并非像传统分析那样预设了前提并通过实验加以验证，而是通过对全部数据的分析来发现事物之间的相关性。这种追求全部数据并注重相关性的分析使原有的思维路径发生了根本性变革[11]。那么，原先的知情同意规则无法发挥应有的作用也并不意外。

四、个人信息保护制度的比较分析

(一)对域外相关制度的考察

当前各国对于个人信息保护的立法模式大致可以分为制定统一法的欧洲法模式与分散立法的美国法模式[12]。前者使用统一的法律规则与明确的保护标准来保护个人信息，如欧盟的GDPR。后者则以隐私法为体系，依靠市场调节和行业自治及特别领域立法，如美国联邦的《隐私法》、澳大利亚的《隐私法》等[13]。

从立法体例与文本来看，我国目前的个人信息保护制度具有典型的欧洲法模式特征，《个人信息保护法》也在很大程度上与GDPR相类似。

在欧洲法的制度框架下，个人信息处理中的同意规则与个人信息自决权紧密相连。个人信息自决权主要是德国法上的概念，即是指人们有权自由决定周遭的世界在何种程度上获知自己的所思所想以及行动，这一权利被认为是德国联邦宪法法院通过“人口普查案”等判例所确立的一般人格权的一种类型，不过德国法院并不承认一般、绝对的个人信息自决权[14]。由于德国法院在创设一般人格权时将人的尊严和人格发展强调为法律的最高价值[15]，在这一意义上，个人信息自决权为数据自动化处理背景下的人格尊严与自由发展提供了保障。

在个人信息自决权提出后，这一概念成为欧洲个人信息立法的重要基础，无论是1995年欧盟的《数据保护指令》还是此后的GDPR都受其影响[16]。比利时、法国、瑞典等欧盟国家也在宪法中将数据保护作为一项基本权利。

简言之，在欧洲法模式下，欧盟是从基本权利这一角度保护个人信息的，其理论基础来源于宪法上对于个人尊严的保护，反映出信息主体对数据的自主控制，也是导向个人控制模式的原因。需要说明的是，这种自主控制并不意味着信息主体对于数据的绝对支配。在“人口普查案”的判决中，虽然法院承认个人对其数据享有自决法益，但是个人数据保护仍然需要受到比例原则等的限制[17]。同样地，欧盟委员会也在《个人数据自动化处理中的个人保护公约》中指出，个人数据保护需要考虑其在社会中的作用、与其他人权的协调、信息的自由流通等。

(二)评析

我国《个人信息保护法》在总体框架上与GDPR较为相似，而告知同意部分则略严于GDPR，因此GDPR的实践情况对于我国立法具有一定的参考价值。通过上文的论述可以发现，依托GDPR建立的欧洲法模式以保护信息主体权利为本位，个人拥有在数据处理前、处理中及处理后对信息处理者进行干预的权利。在判断处理行为的规范性时，引入了合法性基础与原则性相结合的标准[18]。值得肯定的是，这套规则对于欧盟数字经济的发展与保障起到了一定的推动作用，也建立了较为合理的个人信息保护框架，但是就实践情况而言，GDPR仍然有许多不理想的地方。一方面，尽管GDPR试图促进个人信息在欧盟之内的流动，但是由于其本身并未侧重设计资源流通的相关规定，在促进信息流通上的实际效果并不理想。另一方面，GDPR在实施中的复杂性为企业带来了较大的合规成本(如需要针对不同情形制定不同的告知形式等)，这也为GDPR完满地实现其理想目的增加了难度。

GDPR实施中所遇到的负面反馈无疑为我们提供了经验教训。首先，以保护信息主体权利为重心的模式下个人控制与数据流通之间是存在紧张关系的，如果立法没有针对性地制定流通方面的规定将难以保障信息的自由流通。数据的资源属性决定了在大数据时代下立法应当体现出数据作为生产要素的价值，在保障个人人格尊严的同时，也要重视信息利用，否则企业仍可能因为巨大的经济利益而铤而走险。其次，在法律实施上应以精细化为操作取向。我国在同意这一常见的合法性基础上又提出了单独同意的概念。然而，对于同意与单独同意的关系立法并没有明确，这导致信息处理的合法性边界不明。最后，信息主体对于个人信息的支配能力是有限的，告知同意规则应当基于这一现实基础建立。目前的告知同意模式侧重于信息主体的事前同意，传统静态、一次性地批量告知并要求同意的模式既模糊了保护的重点，也无法实现有效告知，不利于信息处理的全周期控制。在信息时代应当发挥技术优势，构建动态的标准化同意管理平台。

五、对现有告知同意规则的完善

(一)明确同意与单独同意的关系

我国《个人信息保护法》第13条将同意作为七项合法性基础之一，并增设了单独同意这一全新概念，意图为特定场景提供更严格的保障。不过，条文的不明导致单独同意与同意之间的关系处于悬而未决的状态。由于立法对于单独同意的合规提出了极高的要求，在严格保护敏感个人信息的同时，客观上也增加了企业成本。如不明确划定边界，既不利于企业及时跟进立法更新，也可能导致企业为避免潜在的违法风险而对争议义务一刀切，继而影响用户体验。

由于《个人信息保护法》中单独同意的规则是以独立条文进行封闭式列举，因此对其是否属于特殊规定便成为了争论焦点。若认为单独同意属于特殊规定，则根据特殊规定优于一般规定的原则，即便存在合法性基础，亦必须再次取得用户的单独同意。若认为单独同意仅属于同意的增强要件，则基于同意以外的合法性基础处理信息便不需要单独同意。两种观点都存在一定的合理性，但从整体考虑，应采后者观点为宜。

从目的论上来说，《个人信息保护法》第1条明确指出立法目的为“保护个人信息权益，规范个人信息处理活动，促进个人信息合理利用”，包含保护主体权益与促进经济发展两方面内容。存在同意以外的合法性基础即是为了在合理范围内减免数据处理者告知同意的负担，给予数据处理者利用数据上的自由。如果将单独同意作为独立的合法性要件，无疑与这一目的矛盾。若从此解释，企业为了合规向监管部门报送信息亦需取得用户单独同意，显然不甚合理。

从体系解释上来说，同意与单独同意的关系之争可以理解为两者之间是包含关系还是并列关系。从最高院的观点可以推出，单独同意是指必须就个人信息活动单独取得个人的同意，不能通过一揽子告知同意等方式征得个人同意[19]，即主要针对的是格式合同等告知方式。换言之，除单独要件外，知情、自愿等其他要件是与普通同意一致的，这表明单独同意模式属于告知同意规则的一种[20]，是同意的细化或者说子集，处理敏感个人信息的单独同意自然也就仅限于基于个人同意处理的情形[21]。

从效果上来说，由于其他合法性基础本身就已经过利益衡量，因此仅对同意这一合法性基础适用单独同意不会对个人信息安全造成过度影响，可兼顾个人信息保护与处理间的平衡。

(二)构建包含拒绝机制的分层同意制度

明确单独同意的性质定位后，就能够以此为基础构建分层同意制度。根据《民法典》第140条的规定，同意作为意思表示，可以明示或默示的方式作出。明示同意作为立法认可的形式自不必言，实践中敏感个人信息的告知同意模式也已相当成熟，如通过单独弹窗或最短阅读时间等确保告知有效性。对于默示同意，尽管《个人信息保护法》没有明确规定，但是司法实践也已经认可了这一形式。例如，在朱某诉百度隐私权纠纷案②中，法院以通过提供禁用按钮向用户提供选择退出机制来论证用户的默示同意。

当前个人信息保护体系并未给予默示同意过多的关注，这可能是由于对默认允许使用个人信息天然的不信任感。然而，事前同意本身的诸多缺陷，加之个人信息保护的侧重点应为使用而非收集，在敏感个人信息等重点场景通过单独同意严加保护的情况下，构建具体制度时可以将重心后移，将默示同意作为处理一般个人信息等对人格尊严影响较小信息的合规要件，从而减少不必要的事前同意，帮助个人从同意过频、迷失重点的情况中解脱出来，并重点应对那些事关人格尊严的信息处理行为。

当然，这一制度的构建不应降低对于个人信息的保护水平。为了避免企业借默示同意之便超范围收集信息，需要逐步构建标准化的统一操作平台并要求在一级菜单提供明显的入口，帮助用户快捷实现已获取信息管理、同意撤回、个人信息修改删除等一站式操作，例如，微软提供的Privacy Dashboard就允许用户回看已上传信息，方便用户及时对相关选项进行变更。事实上，根据工信部建立个人信息保护“双清单”的要求，APP中应当提供已收集个人信息清单和与第三方共享个人信息清单，包括信息种类、使用目的、使用场景等，这为此类平台的构建提供了可行性基础。

在同意的作出上，信息主体的控制主要通过拒绝(opt-out)机制来实现。所谓拒绝，即是指用户可以通过取消勾选等方式选择退出，《互联网广告管理暂行办法》等规章中已有类似的技术手段。在司法实践中，法院也认可这种拒绝带来的效力。在余某诉北京乐某达康有限公司等网络侵权责任纠纷案③中，法院指出“原告将该默认勾选取消，应当视为原告明确拒绝各被告对其个人信息实施共享行为”。

综上所述，包含拒绝机制的分层同意制度在技术及法理上都是可行的，其既适应了当前大数据时代收集信息请求增多的趋势，也为新类型个人信息的出现留下了灵活处理的空间，有助于在保证人格尊严的基础上减轻信息处理时的合规压力。

(三)引入告知同意规则的豁免机制

尽管同意在个人信息保护体系中至关重要，但除了同意以外，仍然存在着若干合法性基础，使得信息处理者能够在未取得当事人同意的情况下合法地处理其个人信息，这些因素是平衡个人信息自决权与信息流通价值的重要媒介。

个人数据并不完全属于个人，同时个人也无法完全控制个人数据，那么为了实现数据的经济价值，在流通利用领域留出自由空间是必要的。这在知情同意领域体现为豁免制度，例如，欧盟就存在着合法利益豁免机制以帮助信息使用价值的实现[22]。如前所述，在大数据时代下想要事前明确告知数据的使用目的几乎是不可能的。如果说分层同意制度是间接弱化了知情同意的负担，那么豁免机制则是通过利益衡量直接促进信息的流通。当然，这种衡量应当是相当严格的，否则就会有危害人格尊严保护的风险。

在侵害个人信息行为多发的背景下，目前《个人信息保护法》在同意外仅规定六种合法性基础，既严于个人信息安全规范的国家标准，也严于比较法上的同类法规。基于这一现实，不宜过分放开限制，而应针对个人信息处理的核心，即识别分析[23]进行规制。较为合适的路径是以能否仅从该信息本身指向特定个人为标准多样化数据活动的正当性事由，例如个人信息去标识化技术可以在去除个人信息与个人关联风险的基础上实现信息的社会化利用[24]，则可以以豁免告知同意的要求。通过引入豁免机制并构建多层次的告知同意制度，有助于满足数据活动的正当诉求，发挥数据的经济价值。

注释：

① (2019)京0491民初6694号民事判决书。

② (2014)宁民终字第5028号民事判决书。

③ (2018)京0108民初13661号民事判决书。