個人信息處理知情同意規(guī)則研究

導(dǎo)語：個人信息處理知情同意規(guī)則研究一文來源于網(wǎng)友上傳，不代表本站觀點，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

摘要:知情同意是個人信息處理的規(guī)則之一,而非原則。同意行為的性質(zhì)可以從兩方面理解,在積極層面上是意思表示,消極層面上是免責(zé)事由。隨著大數(shù)據(jù)的發(fā)展,知情同意規(guī)則遭遇挑戰(zhàn),同意愈發(fā)形式化,不足以充分保障信息主體權(quán)益。通過構(gòu)建場景制度和動態(tài)同意制度兩種方式對知情同意規(guī)則進行修正,前者是指將具體場景下的合理使用替代信息主體同意作為個人信息處理的合法性基礎(chǔ);后者旨在使知情同意成為一個持續(xù)的過程。

關(guān)鍵詞:知情同意規(guī)則;個人信息自決;場景與風(fēng)險管理;

動態(tài)同意知情同意規(guī)范是個人信息處理的核心規(guī)范,其強調(diào)除了法律、行政法規(guī)有例外規(guī)定的場合,一般個人信息的處理都要取得信息主體的明確同意。知情同意規(guī)范在我國的適用由來已久,時至今日仍有兩大現(xiàn)象值得我們注意。一是對于知情同意規(guī)范的法律性質(zhì)眾說紛紜,甚至在規(guī)則和原則上都難以厘清。二是知情同意規(guī)范的現(xiàn)實適用不盡人意,以隱私政策為代表的告知方式并不能反映信息主體的真實意愿,侵權(quán)現(xiàn)象多有發(fā)生。因此,有必要對知情同意規(guī)范進行反思。反思包含兩個層面:形式層面上應(yīng)當(dāng)厘清知情同意規(guī)范的法律性質(zhì),統(tǒng)一用語,明確概念;實質(zhì)層面上應(yīng)當(dāng)分析知情同意規(guī)范在現(xiàn)實中面臨的困境,提出針對性的改進意見,以實現(xiàn)個人信息保護與數(shù)字經(jīng)濟發(fā)展之間的平衡。

一、知情同意規(guī)范的法律性質(zhì)

知情同意規(guī)范的法律性質(zhì)涉及兩大方面,一是在法律規(guī)范方面上,需要明確其是法律規(guī)則或法律原則。二是有關(guān)同意行為的法律性質(zhì)。

(一)知情同意規(guī)范是法律規(guī)則而非法律原則

以“個人信息知情同意”為關(guān)鍵詞在中國知網(wǎng)上進行檢索,發(fā)現(xiàn)2021年以來發(fā)表在中文核心期刊上的36篇相關(guān)文章中,使用“知情同意規(guī)則”表述的有18篇,使用“知情同意原則”表述的有17篇,有1篇文章將二者同時使用。規(guī)則和原則作為兩類獨立的法律規(guī)范類型,二者之間的區(qū)別涇渭分明,因而在論及知情同意規(guī)范的法律性質(zhì)時,首先應(yīng)當(dāng)對其屬于規(guī)則還是原則進行厘清。1.法律規(guī)則和法律原則的區(qū)分第一,法律規(guī)則和法律原則的區(qū)分首先體現(xiàn)在邏輯結(jié)構(gòu)上。關(guān)于法律規(guī)則的邏輯結(jié)構(gòu),目前學(xué)界主要有兩種看法:一種是“三要素說”(假定、行為模式、法律后果);另一種是“二要素說”(構(gòu)成要件、法律后果)。無論依照哪種邏輯要素,法律規(guī)則都可以表述為“如果……那么”的假言條件句;法律原則缺少這樣的結(jié)構(gòu),它是由妥當(dāng)感和制度性支持構(gòu)成的,本身欠缺必要的限制條件,是一個沒有前件的直言句[1]。第二,法律規(guī)則和法律原則在適用上也有差別,主要體現(xiàn)在以下兩方面。一是適用方式不同。規(guī)則在適用時,是以完全有效或完全無效的方式進行的。而法律原則的適用方式是衡量,涉及程度和分量的問題[2]。此外,法律規(guī)則的適用方式是“涵射”,即將特定案件事實置于法律規(guī)范的要件之下,以獲得一定結(jié)論的思維過程,一般以三段論模式呈現(xiàn)。而法律原則由于缺乏明確的行為模式和法律后果無法適用三段論推理,其本質(zhì)上是對特定案件中的法律依據(jù)及案件事實等內(nèi)部論證前提的論證[3]。二是適用位階不同。一般認為,法律規(guī)則的適用應(yīng)當(dāng)優(yōu)先于法律原則,只有當(dāng)沒有法律規(guī)則可以適用或者適用法律規(guī)則存在矛盾時,才可以引入法律原則發(fā)揮漏洞補充或者衡平作用。此外,有學(xué)者提出,法律原則在司法裁判中可以發(fā)揮“修正作用”,即當(dāng)嚴格適用規(guī)則會造成極不妥當(dāng)?shù)暮蠊?而案件更有必要實現(xiàn)法律原則的價值時,可引入法律原則對規(guī)則進行修正,形成但書[4]。第三,法律規(guī)則和法律原則在法律條文中的位置不同。法律規(guī)則通常位于總則后的各個分章之中,而法律原則一般位于總則部分,起到統(tǒng)領(lǐng)全篇的價值宣示作用。2.知情同意規(guī)范是法律規(guī)則首先,知情同意規(guī)范滿足法律規(guī)則應(yīng)當(dāng)具備的邏輯結(jié)構(gòu),是一個充分條件假言命題?？梢员硎鰹椤叭绻麄€人信息處理者在處理個人信息前做到法律規(guī)定的告知要求并取得信息主體的同意,那么其處理就是合法的?！逼浯?知情同意規(guī)范在適用方式上與法律規(guī)則相一致。知情同意規(guī)范在適用上沒有權(quán)衡的空間,必須嚴格遵循、全部適用。個人信息處理者在處理個人信息時倘若有一絲一毫沒有遵循《個人信息保護法》的相關(guān)規(guī)定,那么處理行為將具有瑕疵。此外,知情同意規(guī)范的適用也不存在先后問題,作為個人信息處理合法性論證的首要依據(jù),其適用不會產(chǎn)生“向一般條款逃逸”的質(zhì)疑。最后,知情同意規(guī)范在條文位置上符合法律規(guī)則的特征。知情同意規(guī)范位于《個人信息保護法》第二章,而個人信息保護的基本原則均規(guī)定在總則部分。綜上所述,知情同意規(guī)范是法律規(guī)則而非法律原則,對于學(xué)界普遍存在的“知情同意原則”的稱呼應(yīng)當(dāng)予以糾正。

(二)同意行為是免責(zé)事由、意思表示

同意行為的法律性質(zhì)可以從兩方面理解,在侵權(quán)法領(lǐng)域,它是免除個人信息處理者民事責(zé)任的免責(zé)事由。在合同法領(lǐng)域,它是信息主體與個人信息處理者之間訂立以個人信息利用與服務(wù)提供為內(nèi)容的合同的意思表示。

1.同意行為是免責(zé)事由

同意行為的免責(zé)事由屬性是基于信息主體對其個人信息權(quán)益的消極防御地位而產(chǎn)生的。個人信息處理者處理個人信息顯然是對他人權(quán)益的侵犯,除非基于社會公共利益或基于他人利益而構(gòu)成無因管理,否則任何人不得干預(yù)他人事務(wù)。信息主體的同意恰恰是阻卻了信息處理行為的違法性,賦予了其合法性基礎(chǔ)。同意行為滿足受害人同意的各種特征①。首先,信息主體的同意是具體明確的,指向的正是個人信息處理者所告知的個人信息處理內(nèi)容。其次,個人信息處理者的告知義務(wù)應(yīng)當(dāng)是“真實、準確、完整”的,符合通說認為受害人同意應(yīng)當(dāng)明確、具體的要求。最后,針對同意能力,普遍認為受害人的同意能力不能簡單以民事行為能力作為判斷標準,應(yīng)當(dāng)結(jié)合具體情況分析。《個人信息保護法》將信息主體的同意年齡限定在了14周歲,處理14周歲以下未成年人個人信息的,應(yīng)當(dāng)取得其監(jiān)護人的同意。因此,從消極層面上看,同意行為是個人信息處理的免責(zé)事由。

2.同意行為是意思表示

同意行為在消極層面上是免責(zé)事由并不能證成其在積極層面上是意思表示,因為大多數(shù)受害人同意不一定具備主觀上發(fā)生一定法律效果的目的,即不具備法效意思,僅屬于準法律行為。因此,同意行為是否屬于意思表示仍然需要從法律行為和準法律行為的區(qū)分入手。法律行為與準法律行為的區(qū)別在于法律行為具有完整的意思表示要素,而準法律行為不一定包含效果意思,或者即使包含效果意思,仍然按照法律規(guī)定而非行為人的表達發(fā)生法律效果。信息主體的同意應(yīng)當(dāng)屬于意思表示,因為同意旨在踐行個人信息自決,所實現(xiàn)的正是其所欲實現(xiàn)的法律效果[5]。雖然法律上對這一效果同樣有所規(guī)定,但是只是對其賦予法律保護的一種承認,這與觀念通知、意思通知這些典型的準民事法律行為有著明顯的不同。倘若將所有法律對效果的承認都作為效果創(chuàng)設(shè),那么即使最一般的買賣合同也可以被當(dāng)作準法律行為,這顯然是不合理的。有觀點認為,個人信息處理活動不是交易行為,因而不能將適用于交易行為的民事行為能力制度套用其中。筆者不認同此種觀點,個人信息處理活動雖然與傳統(tǒng)的交易活動不同,但本質(zhì)上并無差別,其內(nèi)容是以提供個人信息為代價獲得便利的互聯(lián)網(wǎng)服務(wù),個人免費使用互聯(lián)網(wǎng)平臺其實只是“數(shù)據(jù)付費”替代“金錢付費”的假象[6]。個人信息實際上已經(jīng)成為企業(yè)的“黃金礦脈”,基于用戶瀏覽偏好而進行的定向廣告推送為企業(yè)帶來了巨大的利潤,才使免費上網(wǎng)成為可能[7]。

二、知情同意規(guī)則面臨的困境

(一)理論基礎(chǔ)遭遇挑戰(zhàn)

知情同意規(guī)則的理論基礎(chǔ)是個人信息自決理論,其含義是個人有權(quán)控制其個人信息并決定如何被使用。個人信息自決理論以人格尊嚴保障為出發(fā)點,嚴格控制能夠識別自然人身份的個人信息,最大限度避免了信息泄露造成不利影響。然而,大數(shù)據(jù)時代的到來使得這一理論基礎(chǔ)遭到挑戰(zhàn)。

1.個人信息處理者的增加使得信息主體逐漸失去了對個人信息的控制

通常情況下,個人信息處理者只有一個,全程負責(zé)信息從收集到刪除的全部環(huán)節(jié)。這樣的情況對信息主體來講更為有利,因為沖突的解決只需要與這一個信息處理者進行溝通即可,信息主體對信息處理者往往也比較熟悉,能及時知曉個人信息處理情況。在大數(shù)據(jù)時代,個人信息處理者往往并非只有收集者本身。一方面源于數(shù)據(jù)處理的復(fù)雜性,需要更加專業(yè)的數(shù)據(jù)處理者提供支持,形成了專門從事數(shù)據(jù)處理業(yè)務(wù)的第三方服務(wù)機構(gòu)。另一方面源于大數(shù)據(jù)產(chǎn)業(yè)對于個人信息流動的需求,使得個人信息一經(jīng)收集就成為滋養(yǎng)大數(shù)據(jù)產(chǎn)業(yè)發(fā)展的養(yǎng)料,在多個信息處理者之間輾轉(zhuǎn)騰挪[8]。導(dǎo)致信息主體很難知曉其個人信息被收集之后的狀態(tài),再加上信息主體往往無法與信息處理者直接接觸,致使信息主體對個人信息的控制地位被大大削弱。

2.個人信息新價值的產(chǎn)生使得保護利益更加多元化

傳統(tǒng)上,個人信息的價值都圍繞著信息主體產(chǎn)生,因為它所能反映的僅限于信息主體的基本情況。然而,將海量的個人信息匯聚成大數(shù)據(jù)后,個人信息就可以產(chǎn)生超脫于信息主體的分析與預(yù)測價值。例如,某個人購買機票的價格信息除了能夠反映其個人花費以外沒有別的作用,但是美國Farecast公司卻能通過分析其收集到的近10萬億條價格記錄,準確預(yù)測美國國內(nèi)航班的票價。新的價值不僅體現(xiàn)在信息本身,也為信息處理者帶來了巨大的財富增益。目前,多數(shù)網(wǎng)絡(luò)平臺都會收集用戶的瀏覽記錄并根據(jù)偏好進行推送,這成了巨大的用戶增長點。美國奈飛公司75%的新訂單都來自個性化推薦系統(tǒng),亞馬遜公司通過提高個性化推薦的精準度使其銷售額增加了33.3%。有學(xué)者指出,應(yīng)當(dāng)對企業(yè)收集并儲存的數(shù)據(jù)賦權(quán)保護,明確企業(yè)對數(shù)據(jù)享有占有、使用、收益、處分等所有者權(quán)益[9]。由此可見,個人信息新價值的產(chǎn)生使得保護利益更加多元,既要保護信息主體利益,又要保護大數(shù)據(jù)帶來的產(chǎn)業(yè)創(chuàng)新、技術(shù)進步,以及由此形成的企業(yè)數(shù)據(jù)權(quán)利。以個人信息自決為核心,完全倒向信息主體的傳統(tǒng)個人信息保護模式已經(jīng)不再適應(yīng)時代發(fā)展。

(二)同意的表示不真實,淪為形式同意

告知是同意的基礎(chǔ),同意意味著信息主體在對個人信息處理過程完全知情的情況下愿意接受信息處理的風(fēng)險和后果,因此法律通常會對信息處理者施加嚴格的告知義務(wù)。然而,事無巨細的告知方式恰恰使得信息主體的同意愈發(fā)不真實,體現(xiàn)在以下兩個方面。

1.信息主體對信息處理目的無法完全知曉

大數(shù)據(jù)時代信息處理目的難以完全預(yù)知,信息處理目的不再只是為信息主體提供服務(wù)那么簡單,人們渴望從對大數(shù)據(jù)分析中獲取新的知識。對大數(shù)據(jù)的分析宛如一個“尋寶游戲”,人們并不確定到底能發(fā)現(xiàn)什么,因而需要反復(fù)調(diào)整目標。例如,谷歌公司所收集的瀏覽器搜索記錄一般只是用于分析用戶偏好以進行個性化推薦,但是在2008年美國流感期間,這些搜索記錄幫助谷歌預(yù)測了流感暴發(fā)的地區(qū)[10]3-9。在大數(shù)據(jù)分析所能得到的結(jié)果不能確定的情況下,自然無法作為處理目的提前告知信息主體,進而影響到同意的真實性。2.信息主體對隱私政策事實上缺乏閱讀或難以理解面對繁重的告知義務(wù),信息處理者往往采取提供隱私政策的方式應(yīng)對之,而且隱私政策往往行文冗長、用語艱澀。例如,小米公司旗下的68個軟件的隱私政策平均有6681個字,按照每分鐘500字的閱讀速度,平均閱讀時長超過13分鐘,很難想象真的有人會耐心閱讀[11]。有的軟件將隱私政策拆成兩部分并置于不同的地方,例如支付寶有關(guān)刷臉支付的隱私政策,需要在“支付設(shè)置”———“生物支付”中的《生物識別服務(wù)通用規(guī)則》里才能找到,通用的隱私政策中沒有相關(guān)內(nèi)容。有的隱私政策晦澀難懂、重點不明,不明確寫明個人信息儲存期限,而用“合理期限”“所必需的時間期限”等模糊詞語,有的隱私政策缺乏對用戶個人信息的技術(shù)保障和管理制度保障的說明,并且沒有對用戶的敏感信息進行提示。

(三)信息主體缺乏同意能力

1.信息主體對信息處理過程缺乏足夠認識

知情同意旨在實現(xiàn)個人信息自決,故個人的自決能力至關(guān)重要,關(guān)鍵在于個人是否能真實理解個人信息收集利用可能帶來的風(fēng)險[12]。將信息主體假定為有足夠理解能力的自然人的理論預(yù)設(shè)在傳統(tǒng)小數(shù)據(jù)時代是成立的,信息處理一般不會超過信息主體的預(yù)期范圍。然而,在大數(shù)據(jù)時代,在復(fù)雜的自動化信息處理系統(tǒng)的加持下,普通人已經(jīng)難以對信息處理過程中的風(fēng)險做到心中有數(shù)了。例如,信息主體一般都會知曉允許軟件訪問手機GPS傳感器會暴露自己的位置信息,因而對于訪問GPS的請求一般都會很謹慎。然而,有學(xué)者研究發(fā)現(xiàn),通過對手機加速度傳感器收集的步態(tài)信息進行除燥處理,結(jié)合陀螺儀的偏轉(zhuǎn)角度,就能夠?qū)π腥说男雄欆壽E進行重構(gòu),從而在不需要GPS定位的情況下獲取其位置信息[13],這無疑遠遠超出一般信息主體的認識能力。認識是同意的基礎(chǔ),認識能力欠缺自然會對同意能力造成影響。

2.信息主體面對過度收集個人信息時缺乏拒絕能力

缺乏同意能力的另外一個含義是信息主體面對信息處理者往往缺乏拒絕能力。雖然《民法典》第1035條明確規(guī)定“不得過度處理”個人信息,《個人信息保護法》第6條也規(guī)定個人信息的收集應(yīng)當(dāng)限定在“實現(xiàn)目的的最小范圍”,但是因為缺乏足夠的監(jiān)管,超范圍處理個人信息的情況仍然屢見不鮮。2022年3月11日,中國消費者協(xié)會發(fā)布的《2021年網(wǎng)絡(luò)消費領(lǐng)域消費者權(quán)益保護報告》指出,“利用數(shù)據(jù)、算法等技術(shù)手段非法收集、分析、使用消費者個人信息”仍然是侵犯消費者合法權(quán)益的主要情形之一。然而,面對信息處理者動輒以拒絕提供服務(wù)為要挾,信息主體即使知道存在過度收集個人信息的情況也不得不同意。

三、大數(shù)據(jù)時代的知情同意規(guī)則修正

固守傳統(tǒng)的知情同意規(guī)則顯然已經(jīng)不適應(yīng)時代發(fā)展,無論是作為知情同意規(guī)則理論基礎(chǔ)的個人信息自決,還是知情同意規(guī)則的現(xiàn)實適用都面臨困境,需要我們對其進行修正。

(一)以“場景和風(fēng)險管理”制度替代前置性同意

“場景和風(fēng)險管理”制度源于美國2015年頒布的《消費者隱私權(quán)利法案(草案)》(以下簡稱CPBR)。法案以具體場景中的合理使用作為個人信息處理的合法性基礎(chǔ),只要個人信息處理者基于場景以合理的方式處理個人信息,那么該處理就是合法的,從而不需要獲取信息主體的前置性同意。這是對數(shù)十年來以知情同意為核心的傳統(tǒng)個人信息處理的一大顛覆。雖然該法案因聯(lián)邦與州之間管轄權(quán)等問題最終沒能獲得通過,但這一制度仍然值得我們借鑒?！皥鼍芭c風(fēng)險管理”制度要求個人信息處理者處理個人信息時,需要注意以下幾點。首先,應(yīng)當(dāng)判斷信息處理在具體場景中是否構(gòu)成合理使用,如果構(gòu)成合理使用,那么處理自動獲得合法性基礎(chǔ),而無需信息主體的授權(quán)。其次,當(dāng)個人信息處理根據(jù)場景不合理時,個人信息處理者應(yīng)當(dāng)對信息處理可能造成的隱私風(fēng)險進行分析,分析的內(nèi)容包括但不限于審查數(shù)據(jù)源以及數(shù)據(jù)用途。最后,為了降低隱私風(fēng)險,個人信息處理者需要提高信息處理的透明度并賦予個人對其個人信息的控制,控制手段主要包括獲得信息主體對個人信息處理的同意以及通過其他方式確定和實施信息主體的隱私偏好。“場景和風(fēng)險管理”制度強調(diào)個人信息處理的合法性應(yīng)當(dāng)依據(jù)多元場景綜合判斷,而非僅依靠在大數(shù)據(jù)時代缺乏判斷能力的信息主體的同意。這不僅促進了個人信息的流通和利用,而且大幅減輕了信息主體和個人信息處理者的負擔(dān),將關(guān)注的重點放在了信息利用的實質(zhì)性問題而非形式同意之上,提高了用戶控制的實際意義[14]。構(gòu)建“場景與風(fēng)險管理”制度時,不應(yīng)當(dāng)簡單模仿,而應(yīng)當(dāng)守正創(chuàng)新。首先,我們應(yīng)當(dāng)將隱私風(fēng)險評估貫穿信息處理的始終,使之成為判斷信息處理合理與否的一個標準,而非僅作為信息處理不合理時的應(yīng)對措施。其次,CPBR過分將個人控制依賴于信息主體的同意,實際上再次將風(fēng)險轉(zhuǎn)嫁給了信息主體。對此,我們應(yīng)當(dāng)增加隱私風(fēng)險發(fā)生時個人信息處理者的義務(wù),包括對相關(guān)個人信息進行匿名化處理、測試并維護信息處理系統(tǒng)的安全性等。最后,我們可以建立風(fēng)險等級差異化管理機制,對評估的隱私風(fēng)險進行分層,針對不同風(fēng)險等級采取不同的應(yīng)對措施。當(dāng)風(fēng)險等級較低時,個人信息處理者無須向信息主體披露隱私風(fēng)險,只需要測試信息處理系統(tǒng)的安全性并密切關(guān)注風(fēng)險等級變化;當(dāng)風(fēng)險等級為中時,個人信息處理者應(yīng)當(dāng)告知風(fēng)險因素并允許信息主體退出個人信息處理,并采取匿名化、加密等安全保障措施;當(dāng)風(fēng)險等級為高且無法有效降低風(fēng)險等級時,個人信息處理者應(yīng)當(dāng)立即向主管部門報告并暫停個人信息處理,封存并刪除相關(guān)個人信息。

(二)構(gòu)建動態(tài)同意制度相比于“場景與風(fēng)險管理”制度對知情同意

規(guī)則的完全顛覆,動態(tài)同意則是在保留知情同意規(guī)則整體框架的情況下,對其運行方式進行調(diào)整。目前,個人信息處理者通常在對個人信息處理前通過隱私政策來獲取信息主體的概括同意。這種方法雖然極具效率,避免了頻繁溝通帶來高昂成本,但是同意儼然形同虛設(shè)。一方面,信息主體在個人信息處理前對于可能發(fā)生的風(fēng)險無法充分理解;另一方面,信息處理者也同樣無法完全預(yù)測個人信息的處理目的,所告知的內(nèi)容并不完整。概括同意下,知情同意規(guī)則完全淪為了免責(zé)工具,只具有形式意義。動態(tài)同意則是通過網(wǎng)絡(luò)技術(shù)手段,在個人信息處理者和信息主體之間搭建一個交流平臺。在平臺上,信息主體可以隨時查看其個人信息處理的情況、階段,個人信息處理者也可以隨時在平臺上告知個人信息處理的階段和流程。倘若處理目的發(fā)生變化或者需要傳輸至第三方進行處理,個人信息處理者也可以在平臺上通知信息主體。此外,信息主體還可以設(shè)置隱私偏好,選擇告知的時間、頻率以及內(nèi)容,滿足知情需要的同時,又不增添過多負擔(dān)。在動態(tài)同意制度下,信息披露成了一個持續(xù)、開放的過程[15]。動態(tài)同意制度具有以下優(yōu)點:第一,有效保障了同意的真實性。個人信息處理者隨著信息處理過程的深入而逐步告知的方式有助于信息主體根據(jù)具體情景理解隱私風(fēng)險,做出符合其內(nèi)心真意的意思表示。第二,信息主體處于個人信息處理的中心地位[16]。在動態(tài)同意下,信息主體有著根據(jù)信息處理情況選擇繼續(xù)接受服務(wù)或退出的空間,而不是為了獲取服務(wù)而不得不同意的被動地位。反倒是個人信息處理者,出于維護其用戶資源的目的,會不斷改進信息處理的安全性以滿足用戶的隱私偏好,二者地位儼然發(fā)生互換。第三,便于信息主體撤回同意。雖然我國《個人信息保護法》規(guī)定了撤回同意規(guī)則,允許信息主體隨時撤回同意,但是由于信息主體和個人信息處理者之間缺乏溝通渠道,現(xiàn)實中并不存在一個有效的同意撤回機制。雖然信息主體可以通過限制手機軟件訪問權(quán)限來阻止其進一步收集個人信息,但對于之前已經(jīng)收集到的信息仍無法干預(yù)。在動態(tài)同意制度下,信息主體與個人信息處理者直接聯(lián)系起來,信息主體可以在平臺上直接表達自己的意愿,極大地便利了同意撤回權(quán)的行使。此外,有學(xué)者提出將動態(tài)同意與場景制度相結(jié)合,構(gòu)建一種場景理論指導(dǎo)下的動態(tài)同意制度[17]。筆者認為,這一觀點值得借鑒。CPBR所規(guī)定的場景制度之所以難以落實,很大一部分原因在于其運行起來十分麻煩。信息處理無時無刻不在進行,隱私風(fēng)險也隨時可能發(fā)生,個人信息處理者需要及時反饋隱私風(fēng)險并獲取信息主體的意愿,倘若反饋不能及時獲得,那么場景制度目標帶來的信息高效利用價值即無法實現(xiàn)。動態(tài)同意平臺恰好為其提供了一個有效的交流渠道,為場景制度賦予了可操作性。二者的結(jié)合可以將個人信息處理者和信息主體從頻繁的告知同意中解放出來,進一步減輕雙方的壓力,使得應(yīng)對隱私風(fēng)險更加有的放矢。動態(tài)同意和場景制度的結(jié)合可以起到相輔相成的作用。

四、結(jié)語

知情同意規(guī)則根植于個人信息自決理念之中,有著悠久的歷史。我國從2002年第一部提及“個人信息”的規(guī)范性法律文件《深圳經(jīng)濟特區(qū)人才市場條例》①開始,信息主體同意一直是個人信息處理最主要的合法性基礎(chǔ)。時代的發(fā)展日新月異,大數(shù)據(jù)正以前所未有的方式塑造著社會,顛覆我們的認知,使以隱私政策和概括同意為代表的傳統(tǒng)知情同意規(guī)則形同雞肋。因而,對知情同意規(guī)則進行修正已成大勢所趨。對知情同意規(guī)則進行修正是一個由淺入深的過程?！秱€人信息保護法》采取的做法是擴大個人信息處理合法性基礎(chǔ)的范圍,增加5種與同意并列的合法性基礎(chǔ)。進一步的修正方法是借助信息技術(shù)的發(fā)展構(gòu)建動態(tài)同意制度,將隱私政策的瑣碎內(nèi)容按照信息處理的階段和流程分布告知,并通過單獨同意取代概括同意。最后一種方法最為激進,使用具體場景中合理使用概念取代信息主體的同意,僅將同意作為應(yīng)對風(fēng)險的手段。這一方法最大程度保障了個人信息的流通與利用,促進了大數(shù)據(jù)產(chǎn)業(yè)的快速發(fā)展。

參考文獻:

[1]宋旭光.論法律原則與法律規(guī)則的區(qū)分:從邏輯結(jié)構(gòu)出發(fā)[J].浙江社會科學(xué),2022(2):51-58,156.

[2]衣俊霖.論個人信息保護中知情同意的邊界:以規(guī)則與原則的區(qū)分為切入點[J].東方法學(xué),2022(3):55-71.

[3]徐雨衡.法律原則適用的涵攝模式:基礎(chǔ)、方法與難題[J].甘肅社會科學(xué),2020(2):21-28.

[4]雷磊.論依據(jù)一般法律原則的法律修正:以臺灣地區(qū)“司法院大法官會議”釋字362號為例[J].華東政法大學(xué)學(xué)報,2014,17(6):4-17.

[5]陸青.個人信息保護中“同意”規(guī)則的規(guī)范構(gòu)造[J].武漢大學(xué)學(xué)報(哲學(xué)社會科學(xué)版),2019,72(5):119-129.

[6]張新寶.“普遍免費+個別付費”:個人信息保護的一個新思維[J].比較法研究,2018(5):1-15.

[7]鄭佳寧.知情同意原則在信息采集中的適用與規(guī)則構(gòu)建[J].東方法學(xué),2020(2):198-208.

[8]鄧矜婷.論大數(shù)據(jù)產(chǎn)業(yè)中個人信息自決權(quán)的有效性限制[J].江蘇行政學(xué)院學(xué)報,2020(4):129-136.

[9]時明濤.大數(shù)據(jù)時代企業(yè)數(shù)據(jù)權(quán)利保護的困境與突破[J].電子知識產(chǎn)權(quán),2020(7):61-73.

[10]維克托·邁爾-舍恩伯格,肯尼思·庫克耶.大數(shù)據(jù)時代:生活、工作與思維的大變革[M].盛楊燕,周濤,譯.杭州:浙江人民出版社,2013.

[11]宋祎晨.生物識別信息的安全風(fēng)險及法律規(guī)制[J].河南牧業(yè)經(jīng)濟學(xué)院學(xué)報,2022,35(3):56-61.

[12]田野.大數(shù)據(jù)時代知情同意原則的困境與出路:以生物資料庫的個人信息保護為例[J].法制與社會發(fā)展,2018,24(6):111-136.

[13]郭英,劉清華,姬現(xiàn)磊,等.基于手機加速度計的行人步態(tài)分析[J].中國慣性技術(shù)學(xué)報,2017,25(6):708-712.

[14]范為.大數(shù)據(jù)時代個人信息保護的路徑重構(gòu)[J].環(huán)球法律評論,2016,38(5):92-115.

[15]馬新彥,張傳才.知情同意規(guī)則的現(xiàn)實困境與對策檢視[J].上海政法學(xué)院學(xué)報(法治論叢),2021,36(5):99-109.

[16]石佳友,劉思齊.人臉識別技術(shù)中的個人信息保護:兼論動態(tài)同意模式的建構(gòu)[J].財經(jīng)法學(xué),2021(2):60-78.

[17]姜野.由靜態(tài)到動態(tài):人臉識別信息保護中的“同意”重構(gòu)[J].河北法學(xué),2022,40(8):126-144.

作者:張建文 宋祎晨 單位:西南政法大學(xué) 民商法學(xué)院