【摘要】利用手机App等互联网应用在收集用户个人信息时,应该对告知同意原则作出合理限制。具体而言,告知同意原则要受通信自由和通信秘密宪法权利的限制,要受隐私权的限制,还要受目的原则与必要原则的限制。因此,不能简单地以告知同意原则作为任何情况下不当收集个人信息的合格抗辩。在实践层面,对告知同意原则的合理限制,不应仅仅满足于对隐私政策的评估,更需要进行价值层面的衡量并做出执法和司法上的正确判断。同时,还可以从技术路径及信息主体的自主控制出发,加强对个人私密信息的保护,以实现信息主体个人权益与信息业者经营利益的平衡。
【关键词】个人信息保护;告知同意原则;通信自由和通信秘密;隐私权保护
一、问题的提出
人类进入信息社会之后,如何在利用信息和保护自然人个人信息权益之间取得平衡的问题,在世界范围内引发个人信息保护立法热潮。及至我国,《全国人大关于加强网络信息保护的决定》、《网络安全法》、《民法总则》等均明确个人信息受法律保护,任何组织和个人需要获取他人个人信息的,应当依法取得,不得非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息。对于“依法”与“非法”的判定,《网络安全法》第41条第1款划定了基本的边界,“网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意”,也即我国个人信息收集、使用应遵循告知同意原则。
告知同意原则是指信息业者在收集个人信息之时,应当对信息主体就有关个人信息被收集、处理和利用的情况进行充分告知,并征得信息主体明确同意的原则。具体而言,告知即信息业者合理有效地使当事人了解其个人信息将会被如何收集和处理,该制度旨在实现信息业者收集和处理个人信息过程的透明化,以有利于当事人同意权之行使。告知同意原则源于人的信息自决权,同意乃信息主体个人意思自治的体现,能自主地对个人信息进行处分,恰如洛克在其《政府论》中所提及:“一切自然人都是自由的,除了他自己的同意以外,无论什么事情都不能使他受制于任何世俗权力。”
实际上,告知同意原则为全球范围内的个人信息保护立法普遍适用。20世纪70年代,国际社会关于个人信息保护的基本原则和理念初步形成。1970年欧洲的第一部个人信息保护立法《德国黑森州信息法》便将告知同意原则作为个人信息收集原则予以确定。1973年,美国政府成立的“关于个人数据自动系统的建议小组”发布“公平信息实践准则”报告,五项准则中便包含告知同意原则的内容,该准则在此后美国个人信息保护立法中具有关键性作用,基本确立了美国个人信息保护的基本框架,此后美国《公平信用报告法》、《儿童网络隐私保护法》等立法中均沿用了告知同意原则。除此之外,瑞典、奥地利、丹麦等国均在本国的个人信息保护的法律文件也有类似规定。
本文不打算讨论信息业者收集个人信是否充分履行告知义务以及是否得到了信息主体同意的问题,而主要讨论哪些个人信息是不应当通过告知同意来取得,要对告知同意原则的适用范围进行限制,并探索这一理论的主要实现路径。限于篇幅原因,本文将重点讨论App等互联网应用收集用户“通讯录、短信、通话记录”等个人信息的情形。
二、告知同意原则的适用受通信自由和通信秘密宪法权利的限制
(一)信息时代的通信方式
(二)作为宪法权利的通信自由和通信秘密
1.通信自由和通信秘密的含义
2.作为基本权利的通信自由和通信秘密
自新中国成立以来,通信权利一直是宪法赋予公民的基本权利。如1954年新中国颁布的第一部《宪法》第90条第1款明确规定,“公民的通信秘密受法律的保护”;1975年《宪法》第28条规定,“公民有言论、通信、出版、集会、结社、游行、示威、罢工的自由,有信仰宗教的自由和不信仰宗教、宣传无神论的自由”;1978年《宪法》延续1975年《宪法》的规定。我国1982年《宪法》在总结前几次修宪经验的基础上,加强了对通信权利的保护。与此前的宪法规定相比,1982年《宪法》第40条不仅规定了对公民通信自由的保护,还明确规定了对通信秘密的保护,并以单独条款对通信权作出专门规定。可以看出,我国《宪法》的不断完善也使得通信自由和通信秘密作为基本权利的地位受到充分的重视和应有的保护。
各部门法在根本法的基础上,将通信自由和通信秘密的权利予以具体保护。如《刑法》第252条、第253条,《全国人大常委会关于维护互联网安全的决定》第4条第2项,《计算机信息网络国际联网安全保护管理办法》第7条均规定了对公民通信自由和通信秘密权利的保护。
通信自由和通信秘密作为基本人权受到世界各国的普遍确认。如被誉为世界自由、正义与和平的基础的《世界人权宣言》第12条规定:“任何人的私生活、家庭、住宅和通信不得任意干涉。”《公民权利和政治权利国际公约》(以下简称《公约》)第17条规定:“任何人的私生活、家庭、住宅或通信不得加以任意或者非法干涉。”我国作为《世界人权宣言》的主要起草国之一,努力践行《世界人权宣言》的要求,积极保障本国公民的权利。尽管我国尚未批准《公民权利和政治权利国际公约》,但对于《公约》关于保护公民权利和政治权利的要求都无保留接受,中国宪法和法律赋予人民广泛的公民权利和政治权利,如通信自由和通信秘密,并且将不遗余力地在民主与法制建设道路上改善对公民权利和政治权利的法律保护,为我国加入《公约》及其后的履约创造良好条件。
(三)收集通讯录、短信内容、通话记录的行为性质
那么,收集用户通讯录、短信内容、通话记录等信息的行为,是否已经构成对《宪法》所保障的通信自由和通信秘密权利的侵害?如前所述,通信主体对整个通信过程享有不被第三方知晓、刺探和侵扰的权利,通讯录、短信内容、通话记录属于通信主体交流的内容,是通信主体极不愿意公之于众或者说是不愿意让他人知晓的信息。如果通信主体的短信内容、通话记录能被第三方所知晓,意味着通信内容的秘密得不到保障,那么就会使通信主体谨慎地去限制通讯的对象和内容,通信自由也就无从谈起。又如通信主体的通讯录被第三方所收集,这不仅使得通信主体的秘密得不到保障,更会使通迅录上的联系人的秘密也得不到保障。毫无疑问,手机App等互联网应用擅自收集用户通讯录、短信内容、通话记录等信息的行为,已经侵犯《宪法》所保障的通信自由和通信秘密。
(四)宪法权利的优越地位与实现路径
三、告知同意原则的适用受隐私权保护制度的限制
(一)个人信息与隐私的关系
隐私主要包括私生活安宁和私生活秘密两个方面。个人信息被普遍接受为能单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。关于个人信息与隐私的关系,有学者认为既有明显的界分也存在部分重合的现象,当个人信息与隐私之间存在交叉关系时,制度的重心在于防范个人秘密不被非法披露。也有的学者认为个人信息可以归入隐私的范畴,不需对个人信息再单独作出规定。如按照DanielJ.Solove和PaulM.Schwartz的看法,个人信息本质上是一种隐私,法律上将其作为一种隐私加以保护,可以界定其权利范围。
笔者赞同前述观点,认为个人隐私与个人信息呈交叉关系,即有的个人隐私属于个人信息,而有的个人隐私则不属于个人信息(如个人想享有的私生活安宁不被他人打扰属于个人隐私,但却不属于个人信息);有的个人信息特别是涉及个人私生活的私密信息属于个人隐私(如婚姻状况、身体健康情况、征信信息、行踪轨迹等),但也有一些个人信息因高度公开而不属于隐私(如姓名、性别、籍贯等)。个人隐私与个人信息交叉的部分就是个人敏感信息或者私密信息。
因此,私密信息既要受到个人信息的保护,还要受到隐私权的保护。适用个人信息的保护是一种弱保护,即有些一般个人信息可以通过告知同意来收集,有些甚至不需要告知同意也可能收集。例如某些公共路段安装了监控,行人信息将被自动收录,这个过程不需要告知行人,也不需要征得行人的同意。而隐私权作为一项具有排他性的人格权,相比个人信息保护是一种强保护,适用隐私权保护就不能仅通过告知同意来去攫取私密信息或者是隐私信息。个人信息是一种民事权益,而隐私权则是一种民事权利,从权利位阶上看,权利的位阶要高于权益,因此隐私权作为高位阶的权利,具有适用的优先性。或许正是基于这一原因,在我国司法实践中,法院经常采取隐私权的保护方法为个人信息的权利人提供救济。
(二)《民法总则》的制度安排
1.将隐私权作为重要的人格权加以保护
《民法总则》使得对于个人信息的保护和对于隐私的保护在民事权利一章里相遇:既设一个条文规定了对各种人格权利包括隐私权的保护,同时又设有专门条文规定对个人信息保护。可见,立法对隐私权和个人信息呈现出不同的保护路径。也就是说,个人信息的保护问题,如果落入了隐私权的保护范围,就要受第110条的保护,这就为敏感信息或者私密信息的保护提供必要的法律依据。
2.单独规定个人信息保护
尽管其他法律和立法性决定在此之前对个人信息保护作出过规定,但《民法总则》单独规定个人信息保护具有重要意义:首先,它从民事基本法的高度赋予自然人个人信息权益,也为个人信息保护在民法典人格权编里进一步细化,以及与侵权责任编、个人信息保护法相衔接奠定了基础。其次,它将个人信息保护与隐私权保护区别开来,使得个人信息保护获得独立的地位及救济基础。个人信息保护在民法领域的这一“成长”过程,与隐私权在我国立法和司法实践中的发展轨迹是极为相似的。尽管个人信息与隐私特别是私人信息类隐私有诸多重合和交叉之处,个人信息中的敏感信息往往也是隐私权保护的客体,但是,隐私权制度和个人信息保护制度毕竟有实质的差异性,这一差异主要体现在个人信息经过去个人化处理后的合理利用问题,以及与此关联的数据财产保护问题之上。
(三)民法典人格权编的制度安排
1.在体系上沿用了《民法总则》的规定
2.在内容上对隐私权和个人信息作了更全面的规定
3.在隐私权与个人信息之间建立了一个制度桥梁——私密信息
《民法总则》用单独两个条文分别对隐私权等人格权的保护和对个人信息的保护加以规定,使得两个条文看似具有紧密联系,实际上又存在很多差异,但是《民法总则》对此并没有作出解释。然而,人格权编草案在个人信息与隐私权之间建立了一个制度桥梁,那就是“私密信息”。
(1)“私密信息”“敏感信息”“具有私密性的私人信息”的概念界定
(2)人格权编草案加强对私密信息的保护
人格权编草案之所以要出现“私密信息”概念,就是要强调对这一部分个人信息的特殊保护。个人信息保护法立足于对个人人格尊严和自由的保护,对人格尊严和自由的保护属于立法追求的目的价值,而对个人信息的利用则属立法追求的工具价值。相较之下,目的价值应优先于工具价值。大数据时代并没有削弱个人私密信息保护的基础价值,而我们更应在保护的种类和方法上予以变更,以回应时代的发展。
对于私密信息的保护规则,从比较法上的经验来看,欧盟在明确界定私密信息标准的基础上,原则性禁止对个人私密信息的收集和处理。例如德国立法明确列出了种族、宗教信仰、犯罪记录、政治观点等属于禁止收集的私密数据。而美国则认为数据并非本质上就是“私密的”,而是因为它们的内容和用途才具有私密属性,因此,美国的法律没有对私密信息作出明确的界定,而是在分散的法律中来加强对其的保护。但是,也存在一些类似的限制性规定,体现在不得以私密信息作为做出某些决定的依据,否则将被视为歧视性决定。例如,在美国征信行业中,征信机构虽然可以收集种族、国籍、婚姻状况等私密信息,但是不得进行传播,也不得在进行信用计分时加以考虑或计算,否则会被联邦贸易委员会视为歧视性决定而受到惩罚。
(3)收集私密信息受到隐私权的限制
个人信息不仅具有人格尊严和自由价值,经过处理后还具有商业财产价值。在个人信息商业化利用的过程中,信息业者收集一般个人信息时,告知同意作为合格手段当无疑问。然而收集个人私密信息时,告知同意是否还是合格依据?
从法律体系安排上看,《民法总则》对人格权的制度安排优先于财产权。《民法总则》第1章“基本规定”的第2条规定“民法调整平等主体的自然人、法人和非法人组织之间的人身关系和财产关系”。法律制度是理性构建的产物,也是利益平衡的产物。将“人身关系”置于“财产关系”之前,突出了民法构建制度上的价值选择,即优先保护个人的人身权益。《民法总则》第5章“民事权利”中第110条规定的是人格权利的保护,第127条规定的是对财产权利的保护。显然,人格尊严作为法律保护的更高价值,应当具有优先于财产利益和私法自治的价值。将其作为重要价值加以保护,也体现了民法的现代性。
因此,从价值衡量和民法制度上的安排可以看到,人格权益高于财产权益,即私密信息所蕴涵的人格权益高于其潜在的财产权益。当信息业者在收集个人私密信息时,告知同意作为信息业者实现经济利益的手段,并不具有普遍的合格依据,因而不能以告知同意来限制或者侵害他人的人格权益。也就是说,告知同意是一种弱保护,不能为收集私密信息提供必要的保护,收集私密信息应该适用隐私权保护规则。
(4)通讯录、短信内容、通话信息构成个人私密信息
综上,我国已有立法及法律草案重视对隐私权及个人信息的保护,尤其是重视对个人私密信息的保护。私密信息是个人信息与隐私交叉重叠的部分。这一部分既要受到个人信息的保护,还要受到隐私权的保护。当两种适用规则发生聚合时,需采取“就高不就低”的原则,适用于比“告知同意”更严格的标准,如此方能最大限度地保护信息主体的权益。
四、正当目的原则和必要原则对告知同意的限制
(一)正当目的原则、必要原则与告知同意原则的关系
从我国有关个人信息保护的立法及国家标准文件来看,对个人信息保护的基本原则体系已经达成了初步共识,即个人信息保护的原则分为基本原则和具体原则。基本原则是具体原则的上位原则,指导具体原则的实践。具体原则是基本原则的具体化,配合基本原则的实施。不同层级的原则之间是指导与被指导的关系,相同层级之间是平行且互为补充的关系。
全国人大常委会《关于加强网络信息保护的决定》第2条表明:正当目的原则、必要原则与告知同意原则的关系,或是平行关系,或是指导与被指导的关系。当正当目的原则、必要原则与告知同意原则是平行关系的时候,相同层级之间是互为补充制衡的关系,在信息业者收集个人信息时,除了要受到告知同意的限制以外,还要受到目的原则和必要原则的限制。当正当目的原则、必要原则高于告知同意原则时,正当目的原则和必要原则作为基本原则指导告知同意原则的具体实施。信息业者在收集个人信息时,就需要先考虑目的正当性和必要性。只有在符合正当目的原则和必要原则的前提下,才能去考虑获取信息主体的同意。如果收集个人信息与使用目的无关,那就失去了要求信息主体同意的前提,如2015年荷兰数据保护局对谷歌数据融合事件的调查报告所指出的,“谷歌隐私政策中所阐述的目的是含糊不清的,违反《荷兰数据保护法》第7条;谷歌与被动用户之间不存在合同关系,但却收集了被动用户的个人数据,违反了必要原则”。谷歌数据融合事件表明,即便用户同意谷歌的隐私条款,但由于隐私政策本身违反目的原则和必要原则,谷歌收集用户信息的行为也不能合法。
总之,正当目的原则、必要原则与告知同意原则的关系,或是平行关系,或是指导与被指导关系。平行时,是互为补充的关系;于指导与被指导时,首先需要先考虑目的正当性和必要性。但无论正当目的原则、必要原则与告知同意原则是何种关系,正当目的原则、必要原则与告知同意原则都应当是结合适用,且告知同意原则都要受这两个原则的约束。
(二)告知同意原则受到正当目的原则和必要原则的限制
个人信息保护的原则并不是孤立适用的,基本原则与具体原则共同构成一个有机、协调的整体,控制收集、使用个人信息的整个过程。任何法律原则的使用都是有前提的,都需要与其他的原则相配合,或者是受较高位阶原则的制约,或是与同位阶的原则的相互制约。然而,在实践中过度强调告知同意原则在收集个人信息中的作用,不免让原则体系的天平出现倾斜,破坏了原则体系的立法平衡状态。应当看到,告知同意原则的适用,需要受到其他原则的限制。
1.告知同意原则要受到正当目的原则的制约
2.告知同意原则要受到必要原则的制约
五、执法检讨与改进:不应满足于“隐私政策”评估
(一)“告知同意原则”存在被滥用的现实风险
目前所谓的“已获得用户同意”(告知同意原则)存在着被滥用的现实风险,这主要体现在以下方面:
首先,很多情况下,手机App等互联网应用所谓的“告知”并不是真正的告知。这主要是指手机App等互联网应用在其格式化的“告知”过程中,只是机械地将一份早已拟就的、目的仅在于规避法律风险的所谓“告知”文件呈现在用户面前。真正的告知应当是指行使告知的主体将其内心真正的意思完整、准确、具体地告知用户。否则,这一所谓的告知过程就仅仅是形式,而如果肯认这样一种“走过场”的告知可以产生完全的抗辩效力,就无疑是赋予了信息业者完全规避法律监管的特权,这显然不是立法的本意。
其次,很多情况下,用户的“同意”并非真正的“同意”。一个不容忽视的现实是,在极大多数情况下,用户只要不同意手机App等互联网应用所要求的概括同意,就完全无法使用或在相当程度上无法使用该App的服务。在这一事实情况下,用户的“同意”只是一种无可奈何、不得不作出的“同意”,难谓用户的真实意思表示。
最后,不乏大量手机App等互联网应用采取隐瞒方式获取用户同意的情形。这是指一些手机App等互联网应用虽然在个人信息或隐私条款中详细罗列了其要收集的个人信息的范围、用途等需要用户予以同意的具体内容,但是其实际收集、上传、储存、使用的个人信息及其用途却与同意条款中的情形并不符合。用户在具有极大技术劣势的情况下,对于这样一种欺诈行为可以说是毫无招架之力。
(二)监管部门未能全面正确理解和适用告知同意原则
一方面,未来监管部门对隐私政策的评估,不能只局限于考察有没有隐私政策,以及其隐私政策是否符合评估标准,更重要的是区分哪些信息是不能收集的,哪些信息是即便履行告知同意也是不能收集的。另一方面,网络监管部门要严格地执法,对违规收集个人信息的行为不能仅限于责令下架整改,更要和企业信息信用系统关联,向社会公示企业违规收集行为,以此达到强化监管的目的。
(三)互联网企业未能全面正确理解和遵守告知同意原则
互联网企业一方面为了主动迎合信息时代的发展,另一方面是迫于被下架整顿的压力,不断调整向用户告知的方式。
信息业者从提高自身服务的角度出发,因地制宜制定或修改隐私政策,这对消费者隐私权保护及数字经济发展是一个好的开端,它实现了由“自发”到“自觉”的转变。然而,信息业者自律改进隐私政策的措施,只是在履行一个更充分的告知、更明确的同意要求,并没考虑到履行告知同意的限制前提。如果信息业者收集的个人信息是宪法和法律所禁止的,是有损社会公共利益或者违背公序良俗的,那么即便信息主体对有关隐私政策作出清楚、明确同意的意思表示,那么该“同意”也不能被认定是有效的。实践中,不同信息业者的隐私政策可能存在巨大的差异。隐私政策的不规范性主要表现为不同信息处理者的隐私政策在具体标准、内容结构、呈现形式以及被查找的容易性等方面参差不齐。因此,还需要各个互联网信息行业达成基本的共识,在隐私政策中贯彻告知同意原则的限制收集精神,共同制定隐私政策,并予以统一实施。
六、规范告知同意的若干技术路径
互联网企业的发展离不开对客户的隐私保护。为了提升隐私保护水平,首先需要互联网运营商具有自律意识,从战略高度认识隐私保护的重要性,同时从技术路径角度限制个人信息的收集,如此才能真正把发展愿景变为现实。
(一)操作系统的整体控制
在规范个人信息收集的过程中,一方面要强化对个人隐私的保护,另一方面还要强化对个人一般信息的利用,因而在设计系统程序时要正确贯彻“两头强化”的理念。具体而言,可以预先在操作系统里嵌入分级管理程序,使其成为系统运行的默认规则。按照个人信息的私密程度不同,设置四个不同级别的管理程序。第一个级别是针对收集一般个人信息,获取用户的一般概括的同意即可;第二个级别是需要用户作出一般考量的;第三个级别是需要用户特别考量的;第四个级别是保障某类型服务正常运行所必需的最少系统权限后,默认禁止收集其他个人信息。这就使得信息业者要获取特殊权限的数据就会变得困难,一些信息根本收集不到,有一些是需要经过比较特别的程序才能收集到,而有的信息又是比较容易收集到。如此操作的意义在于:其一,在信息生命周期的最开始就去思考个人信息和隐私保护的问题,而不是在事件发生之后,更具保护效率;其二,将个人信息保护的需求设计为系统运行的默认规则,意味着用户无须采取过多额外的行动就可以维护个人信息的安全;其三,既满足了信息主体对隐私权保护的要求,也使得信息业者的收集活动变得简便且成本降低,实现信息主体与信息业者之间的共赢。
(二)应用软件运营者的自律
应用软件作为收集个人信息的直接载体,应该在实践中发挥自律规范作用。一方面,应用软件功能的实现依赖于操作系统的运行,应用软件运营者应该严格遵守操作系统的权限要求。对于违反操作系统权限要求的应用软件,操作系统可以对其进行下架处理。例如2019年1月,Facebook在苹果系统上发布的一款“市场研究”App,因该App后来用于跟踪用户使用其他App的历史记录、私人消息和位置数据,违反了双方关于允许Facebook收集用户各种个人数据的协议,最后遭到苹果系统的下架处理。而在此之前,Facebook就发布了一个名为OnavoProtect的独立App来收集类似的用户数据,结果因为违反苹果的指导原则,在2018年8月从苹果应用商店里被下架。苹果公司通过操作系统对违规应用软件做下架处理,保证自身系统安全性的同时,也使得广大苹果用户信息免于被非法收集。应用软件只有符合操作系统的要求,才能保证自身的正常运营,可见,操作系统的默认权限设置与应用软件自律并行不悖。
另一方面,依据收集限制原则,应用软件运营者必须严格依照系统本身的功能目的来收集、处理和流转数据。例如,运动健身类App,其只需要收集用户定位信息、个人运动信息、身高体重等个人信息为用户提供运动记录、健康建议服务,而对于个人的通讯录、通话记录、短信内容等无关信息不应进行收集。应用软件运营者在界定所需要收集、处理以及流转的数据范围和类型后,按个人信息的敏感或者私密程度限定收集信息的范围,设置App收集个人信息的权限。值得注意的是,在国外的司法实践中,欧盟将默认设置的预勾选功能界定为影响个人选择的诱导因素。例如,2019年10月欧盟法院(CJEU)就涉Cookies案件作出的判决显示:有关Cookies的预勾选并不自然等于权利人有效的同意。可见,欧盟在逐步强化个人信息的限制收集意识。有了前车之鉴,在我国应用软件的隐私设置中,对于需要获取的用户的重要信息权限、私密信息权限,原则上应该设置默认关闭功能,并且排除不必要的预勾选开启功能,由用户初次使用时手动开启权限,以尊重用户的完全自主权。当然,应用软件运营者也可以通过具体参数的设置,开启应用软件的私人定制服务,来迎合市场对隐私定义的不同需求。
(三)从个人端点限制个人信息的收集
操作系统、应用软件在开源阶段,对个人信息加以严格区分及作出不同的保护标准,大大提高了信息主体作出“同意”的有效性。对于个人而言,信息主体从个人端点限制个人信息的收集,是在终端保护个人信息(尤其是个人私密信息)的重要手段。
综上,在收集个人信息的过程中,信息业者自觉为信息主体的核心隐私提供保护,积极研发规范个人信息收集的操作系统、应用软件等多重技术;个人对信息收集进行概括控制并适当让渡一般个人信息的使用权,形成企业自律、公众参与的齐头并进模式,共同建立符合我国社会经济发展需要的个人信息保护制度体系。未来在个人信息的执法或者司法规范中,不应仅局限于对隐私政策的评估,还应发挥操作系统和应用软件设置默认限制个人信息收集的功能,在源头上规范个人信息过度收集现象。同时,鼓励公民参与限制手机App等互联网应用对个人信息的收集,强化公民利益表达、救济和监督手段,达到在个人信息发展的全过程规范个人信息的收集规则。
七、结语
5G时代,万物为媒。新世界向人类开启无限机会的同时也时刻潜伏着危机,即人类和机器在挖掘信息价值的同时也对人类的隐私再次发起挑战。保护个人信息尤其是规范个人私密信息的收集,应该是当代法治的重要任务之一。
当下,利用手机App等互联网应用在收集用户个人信息时,应该对告知同意原则作出合理限制,以避免其滥用而侵害他人的宪法权利和其他合法权益。告知同意原则要受通信自由和通信秘密宪法权利的限制,要受隐私权保护的限制,还要受目的原则与必要原则的限制。因此,不能简单地以告知同意原则作为任何情况下不当收集个人信息的合格抗辩。在实践层面,对告知同意原则的合理限制,不应仅仅满足于对隐私政策的评估,更需要进行价值层面的衡量并作出执法和司法上的正确判断。同时,作为互联网企业,在竞争日益激烈的互联网生态环境中,应该根据占据的市场支配地位,从操作系统、应用软件技术路径着手,规范个人信息的收集类型,依法依规收集个人信息。作为信息主体,正确理解告知同意的限制,加强保护个人私密信息的意识,适度让渡一般个人信息,以使信息业者得到收集、处理和利用的更大自由,实现信息主体与信息业者经营利益的平衡。此外,从技术路径及信息主体的自主控制出发,加强对个人私密信息的保护,也是实现信息主体个人权益与信息业者经营利益的平衡的重要路径。