关键词:隐私政策;告知同意;个人信息;意思自治;公私法融合
作者简介:丁晓东,中国人民大学法学院教授、博士生导师,中国人民大学未来法治研究院副院长
一问题的提出
告知同意是个人信息保护的核心制度。《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)将告知同意作为信息处理者处理个人信息的“一般规定”,其中第13-18条详细规定了告知同意制度,其他条款在不同场景对如何适用这一制度进行了规定。稍早之前出台的《中华人民共和国民法典》(以下简称《民法典》)也将征得“自然人或者其监护人同意”作为处理个人信息的首要条件。在域外,隐私政策与告知同意也扮演了重要角色。美国在20世纪60-70年代引入了公平信息实践制度,在若干立法领域要求收集个人信息必须向个人进行告知;到了20世纪90年代,随着互联网的兴起,企业纷纷采取隐私政策,逐渐成为通行做法。欧盟等其他地区虽然与美国市场化的模式不同,但在隐私政策与告知同意方面,也将其作为立法与规制的核心。
二告知同意的性质反思
将其视为公法基本权利的合规要求,但也具有一定的消费者合同的特征。《个人信息保护法》采取和欧盟类似的保护型的立法进路,但和欧盟与美国都有所不同。无论是我国还是欧美,隐私政策都呈现公私法融合特征,是一种多维法律制度工具。
(二)欧盟:作为基本权利的合规措施
欧盟采取个人信息基本权利保护的路径,将个人信息被保护权视为一种宪法基本权利。《欧盟基本权利宪章》第8条第1款规定:“每个人都有权保护与其有关的个人数据。”《一般数据保护条例》第1条第2款也规定:“本条例保护自然人的基本权利和自由,特别是其个人数据被保护的权利。”在这一背景下,欧盟整体上将设置隐私政策与获得告知同意视为公法基本权利的合规措施,但也在一定程度具有消费者合同的性质。
其次,欧盟法下的告知同意也并非侵权法上的免责事由或违法阻却事由。免责事由将告知同意视为过失相抵、受害人故意、第三人过错、自甘风险、正当防卫、紧急避险的行为,但告知同意仅仅是信息处理者合规的一环。信息处理者即使获得用户的明确同意,也可能因为违反“目的限制”“数据最小化”等诸多原则而被认定违法。正如库纳(ChristopherKuner)教授所言:企业总是痴迷于将告知同意视作为获取个人信息“提供充分法律依据的机制,但忽略了处理的法律依据”,欧盟法所规定的数据处理的合法性基础“不是一项具体行动,而是一项重要原则,在公司合规计划的所有阶段都应牢记”。
再次,欧盟在隐私政策的司法与执法问题上也采取了合规进路。当信息处理者的隐私政策不够清晰明确,或者其信息处理行为与其隐私政策存在不一致,其救济一般通过行政执法进行救济。个体也可以参与这一过程,可以向独立数据监管机构或法院提起申诉或诉讼,但这种申诉或诉讼都是依据基本权利的合规要求而提起,并非依据信息处理者违反合同而提起。在信息处理者对个人造成损害的侵权诉讼中,《一般数据保护条例》也以违法性作为前置条件,即只有信息处理者违规的前提下,个体才能进行侵权之诉。
最后,欧盟的隐私政策也具有一定的消费者合同特征。一方面,虽然欧盟坚持个人信息保护的基本权利特征,并且引入了“目的限定”“数据最小化”等原则,但《一般数据保护条例》等法律仍然给予了个人与信息处理者一定的平等协商空间。例如,当信息处理者希望获取更多个人信息,以便为个人提供更多服务,此时信息处理者仍然可以在基础服务所需的个人信息之外,通过告知同意而获取更多个人信息。只不过,信息处理者不能通过“捆绑”“搭售”等方式拒绝为个人提供基础服务,也不能拒绝个人的撤回权等其他权利。另一方面,欧盟也在很多地方借鉴了消费者保护法的规则,例如,《一般数据保护条例》“重述”第42条直接引用了《1993年关于消费者合同中不公平条款的理事会指令》,指出任何未经单独协商的合同条款,如果“导致合同双方的权利和义务发生重大不平衡,损害消费者利益”,都是不公平的。
(三)我国告知同意制度的性质
结合比较法与我国法律,可以发现告知同意制度的性质应做多维解读。一方面,《个人信息保护法》与欧盟《一般数据保护条例》具有较高的相似性,都将个人信息被保护权视为一种基本权利,并将告知同意制度视为处理个人信息的合法性基础之一。这就意味着我国现行立法下的告知同意也具备合规要求的属性,而非传统合同或格式合同。事实上,《个人信息保护法》在立法过程中曾经试图用合同中的意思表示来进行规定。一审稿第14条曾经规定:“处理个人信息的同意,应当由个人在充分知情的前提下,自愿、明确作出意思表示”,但二审稿很快就删除了“意思表示”。这表明,我国的立法者也清晰地觉察到了告知同意制度与传统合同自治之间的区别,将告知同意制度视为具有保护型特征的法律制度。
三告知同意的实施困境
在实践中,告知同意面临多方面的困境,学术界更是从多个不同角度对告知同意进行了批评,指出这一制度可能走向形式主义。同时,一些试图强化告知同意的做法不仅无法有效回应这些困境和批评,反而可能加剧某些问题。告知同意面临的困境,与前一部分提到的分析有密切关系。如果仅以合同的视角看待隐私政策与告知同意,这一制度将很难取得积极效果。
(一)告知的困境
(二)同意的困境
就用户同意而言,首先,在个人没有充分知情的前提下,个人同意可能变成了一种没有理性的情绪表达,无法反映个人的真实想法与意志。理查德(NeilM.Richards)和哈特佐格(WoodrowHartzog)两位教授曾将这类同意概括为“非知情的同意”(unwittingconsent)。两位学者指出,由于个体不理解法律协议、不理解技术背景或不理解后果风险,个体在很多情形下所作出的同意只是一个空壳,远非“知情和自愿同意的黄金标准”(goldstandardofknowingandvoluntaryconsent)。
最后,个体的同意也常常被绑定,无法作出具有“颗粒度”(granularity)的同意。信息处理者处理个人信息,有时是为了实现基础服务功能,有的是为了提供额外的增值服务或进行数据的进一步利用,还有的则可能对用户产生危害。面对信息处理者的多重目的,用户常常很难对所有目的进行“颗粒化”的分析,并分别一一作出同意或拒绝。更多的情况是,用户常常同意为了实现各种不同目的的信息处理,导致同意机制的异化。伯特·贾普·库普斯(Bert-JaapKoops)教授将这类异化称为“功能蠕变”(functioncreep),认为同意机制常常导致个人信息被用于个人并不真正认同的初始目的,违反“目的限定”原则。
(三)强化告知同意的困境
四隐私政策的另类用途
从个体控制出发,告知同意面临困境,效果有限。但转换视角,从信息处理者自我规制、市场声誉机制、法律有效实施、沟通教育工具等角度出发,却可以发现作为告知同意载体的隐私政策的若干“意外”作用,隐私政策除了为用户个体提供告知,还可以发挥其他作用。
(一)自我规制的章程
从消费者或用户的角度看,隐私政策艰深晦涩且无足轻重,但从专业人员的角度看,隐私政策却是理解企业处理个人信息的重要参照,帮助信息处理者建立良性的合规流程与制度。在没有隐私政策之前,企业内部可能各自为政,没有专业人士专门从事个人信息保护工作,也没有人了解个人信息处理的整体图景、形成处理个人信息的统一流程。但通过隐私政策的人员设置、前期调研、条款拟定、协调沟通,此类情形却可以大为改善。在这个意义上,隐私政策可以成为信息处理者自我规制的章程。
如今,各国法律都将企业自我规制作为个人信息保护的重要一环。例如,《个人信息保护法》第51条规定,企业应当“制定内部管理制度和操作规程”等措施,第52条规定,符合要求的信息处理者“应当指定个人信息保护负责人,负责对个人信息处理活动以及采取的保护措施等进行监督”;《一般数据保护条例》也规定了企业内部合规建设、数据保护官(DataProtectionOffice,DPO)等制度。这些制度与隐私政策的功能密切相连,离开了隐私政策,企业内部将很难建立统一的个人信息保护政策,所谓企业的自我规制也无法展开。
(二)声誉机制的媒介
隐私政策还可以成为声誉机制的重要媒介,建构个人信息保护的市场机制。单就个体而言,个人信息保护由于其专业性与信息高度不对称性,无法形成普通商品的信誉市场,甚至可能导致劣币驱逐良币的“柠檬市场”,造成企业处理个人信息的机会主义行为倾向。但市场中存在大量的中介机构,这些机构可以通过对隐私政策的理解、评级与认证,为信息处理者的信息处理提供打分机制,促成声誉机制的形成。
事实上,在隐私政策的发展历程中,此类机构就扮演了重要角色。例如,成立于1998年的在线隐私联盟(OnlinePriracyAlliance,OPA),这一机构由80多家全球化公司组成,将“领导和支持自律倡议,为在线隐私创造一个信任的环境”作为其使命。该机构不仅自己发布在线隐私通知指南、自我规制执法框架,而且要求其所有成员都使用并公布其自身的隐私政策。通过对其成员隐私政策的监督,该机构在早期个人信息的行业保护方面发挥了重要作用,促进了市场声誉机制的有效发挥。
声誉机制与社会监督制度也在各国法律中被广泛应用。例如,《个人信息保护法》第58条要求大型平台建立“个人信息保护合规制度体系,成立主要由外部成员组成的独立机构对个人信息保护情况进行监督”。《一般数据保护条例》第40-41条规定了“行为准则”(codesofconduct),对代表信息处理者的行业协会制定更加细化的规则进行了规定,第42条对“建立数据保护认证机制、数据保护印章和标记,以证明控制者和处理者的处理”合规的认证(Certification)制度进行了规定。这些兼具合规与声誉机制的制度如要发挥作用,都离不开隐私政策这一工具。
(三)法律实施的依据
一方面,个体、社会组织可能依据隐私政策提起申诉或诉讼。为了调动社会各主体参与个人信息治理,各国都在不同程度上赋予了个体与社会组织的申诉权或诉讼权,以发挥此类主体被比喻为“私人总检察长”的作用。例如,《个人信息保护法》第50条第2款和第69条分别赋予了个体的个人信息权利之诉与侵犯个人信息权利导致的侵权之诉,第70条规定了“人民检察院、法律规定的消费者组织和由国家网信部门确定的组织”可以提起公益诉讼。《一般数据保护条例》也认可了个人申诉与司法诉讼权,并且在其第80条中首次引入了代表性诉讼,规定“数据主体有权委托非营利机构、实体或协会代表其行使”申诉和司法救济的权利。美国新近影响巨大的《数据隐私保护法案》(AmericanDataPrivacyandProtectionAct,ADPPA)也规定,个体可以向监管机构提起申诉,如果监管机构或总检察长对于个人投诉不采取行动,个体还可以直接提起诉讼。在此类诉讼中,隐私政策往往在其中扮演关键性角色,个体与社会组织往往依据隐私政策对信息处理者展开调查和提起诉讼。
(四)沟通教育的工具
五告知同意制度的重构
从上文分析出发,可以对告知同意进行重构。告知同意一旦重新设计,就既能避免告知同意在个体层面的困境,改善其作用;同时,这一制度也能保留甚至强化其多种功能。
(一)告知与同意的适度解绑
首先,告知与同意应当进行适度解绑。从个体意思自治的角度出发,告知与同意往往被视为一个问题的两面:同意必须先进行告知,告知最终是为了获得同意。但从上文的分析出发,会发现二者并不一定需要深度捆绑:告知的对象在有的情况下可能对个体发生作用,但在更多的情形下,其对个体产生的作用有限,而对信息处理者内部人员、市场与社会主体、法律实施者,其告知反而有效。既然如此,同意就不应成为隐私政策的唯一或最重要目标,而告知也不应以个体作为唯一对象。
当然,避免同意的升级加码并不意味着取消同意,或者在所有的情形下都应当放松同意的形式要求。当个体所需要同意的信息处理属于较为重要的事项,并且普通个体对于此类事项具有充分认知时,此时同意不但必要,而且还需要通过各种形式对同意的形式作出严格要求。例如,当电脑或手机调取摄像头,或者当网站获取账户、密码等个人信息,此时信息处理者应当获得个体的明确同意。此类明确同意不但有利于个人信息的自我保护,而且有助于信息处理者获取个人信任,促进和谐信息关系的建立。
从各国法律看,美国在同意方面要求较低。一方面,美国很多领域并不要求个人同意,但包括美国联邦贸易委员会在内的很多机构都出台了隐私政策指南,企业也基本都建立了隐私政策告知。另一方面,就要求同意的情形,美国在大部分情况下都采取了选择退出(opt-out)要求,即隐私政策的默认选项是企业可以处理个人信息。例如,《加州消费者隐私法》赋予了个体拒绝企业出售其个人信息的权利,但个体要行使这一权利,应该通过选择退出的方式拒绝。只有在涉及敏感信息或特定情况,美国法才以选择加入(opt-in)的方式来获取同意。
目前,《个人信息保护法》对于个人同意的规定仍然较为原则,很多制度仍然有待于实践的进一步探索。《个人信息保护法》第14条规定了“自愿、明确作出”,第23条规定向第三方提供个人信息应当获取“单独同意”,第29条规定处理敏感信息应当获得“单独同意”或“书面同意”。这些规定,一方面对同意作出原则性规定,对特殊情况作强化要求。另一方面,这一立法模式并未对同意的具体要求作出特别明确的规定,为信息处理者在具体实践中建构同意标准留出了一定的空间。我国可以在参考欧美经验的同时,在实践中探索更符合具体场景和用户合理期待的同意机制。
(二)多样分层的沟通机制
在告知与同意适度分离的思路下,告知不但不能省略,还应进一步强化和完善。由于告知的对象既包括普通个体,也包括企业合规人员、社会主体、司法与执法人员,告知应当采取分层框架,在简洁性、清晰性、具体性等方面作出细致安排,以实现与多主体的有效交流沟通和实质性参与。
在呈现结构方面,隐私政策可以采取分层结构,采取各类复杂产品说明书的展开模式。上文指出,隐私政策的简洁性与详细性、专业性与平白性要求各有优劣,为了最大限度发挥优势,避免劣势,可以要求或倡导企业采取双层或多层的隐私政策。在直接和用户交互的界面或第一层链接,隐私政策应简洁平白,为用户提供一目了然的信息目录,避免过于复杂和专业化的表述。第一层链接是信息处理者和普通用户对话的首要窗口,此类设置有利于普通用户获取更多有效信息。但到了第二层或第三层链接,此时的读者可能是企业、社会与执法部门的专业人士,或者对隐私政策抱有更具专业性期待的读者,此时的隐私政策应当展开得更为全面,以兼顾专业性与平白性,为这类读者提供更详细专业的指引。
(三)隐私政策的合规内嵌
如同上文所述,隐私政策不仅写给外部人士看,其对内部合规也具有重要意义。为了发挥隐私政策的这一功能,隐私政策应当成为信息处理者内部的合规指引,内嵌到信息处理的不同部门,成为产品设计的一部分。
隐私政策还应与产品设计结合,成为隐私设计或个人数据保护设计的一部分。隐私设计(privacybydesign)的概念为加拿大渥太华信息与隐私委员会前主席安·卡沃基安(AnnCavoukian)提出。卡沃基安认为,产品设计往往对于个人信息保护具有关键作用,当企业从产品源头对信息收集与处理的方式进行把关,可以比个人更有效地保护隐私,同时实现个人与企业的双赢。隐私设计的概念经过发展,逐渐成为个人信息保护领域的共识。例如,在《一般数据保护条例》采纳了“数据保护设计和默认数据保护”(DataProtectionbyDesignandbyDafault,DPbDD)的原则,第25条规定,数据处理者应当通过设计和默认设置来有效实现数据主体的权利和自由。《个人信息保护法》虽然未直接规定隐私设计原则,但也规定了“采取相应的加密、去标识化等安全技术措施”的一些类似规定。在隐私政策的形成与撰写过程中,应将隐私政策视为与前端产品设计密切沟通协调后的产物,而非仅仅是产品成型后的解释说明。
(四)隐私政策的风险与模块化设计
采取基于风险的模块化披露,有利于司法诉讼与行政执法。上文提到,隐私政策的一大功能是可以作为社会监督者、行政执法者的依据。为了使这种依据能够有效发挥作用,隐私政策就应当针对个人信息保护中的实际风险进行阐述,形成模块化的清单。一旦形成此类清单,信息处理者就能与监督者、执法者形成有效的风险交流与风险监管,而非对隐私政策中的每个细节都进行无差别的检查。此外,此类清单一旦模块化,特别是形成机器可读的模块,监督者与执法者就能对隐私政策进行批量化监督,实现监管的智能化与高效化。目前,包括我国在内的世界各国都对隐私政策的合规要求作出了某些规定,或者发布了某些指引,但这些规定或指引的探索仍然较为初步,需要未来进一步围绕风险点进行动态调整与合理设计。
采取基于风险的模块化披露,也有利于个人信息保护市场机制的发挥。如上所述,个人信息保护存在信息不对称的“柠檬市场”难题。为了应对这一难题,学者和专家们提出过不少建议,例如,保罗·欧姆(PaulOhm)教授主张,应借鉴商标的理念,将互联网企业的隐私政策商标化,供用户直观选择,以此解决隐私政策的信息不对称与市场无序问题。还有学者主张,隐私政策应模仿食品中的成分标签(label),要求信息处理者按标签进行披露。本文所提倡的建议与这些建议有一定相似之处,当隐私政策进行基于风险的模块化披露,并辅之以上文提到的个人信息保护认证等机制,隐私政策可以重新激活个人信息保护的市场声誉机制。
六结语
基于隐私政策的告知同意已经成为个人信息保护法的一般规则,也被视为信息主体不可转让的核心利益。本文从比较法与法律原理出发,对这一制度进行重思,可以发现其性质与制度都应当进行重构。
基于隐私政策的告知同意制度应进行制度重构。首先,告知与同意应适度解绑,在同意方面适度放松,避免同意要求的不断“升级加码”,但在告知方面则应进一步强化与优化。其次,隐私政策在警示度方面可以采取链接、弹窗、警示等不同程度的呈现形式;在结构方面可以采取分层框架,以实现隐私政策与多主体的有效沟通。再次,隐私政策应成为信息处理者内部的合规指引,内嵌到信息处理的不同部门,成为产品设计的一部分。最后,隐私政策应采取基于风险的模块化披露,助推司法诉讼、行政执法与市场声誉机制的有效运行。