数字经济时代下知情同意规则的法律研究

白硕 曹宇轩

中国互联网近年来发展迅速，数据信息正以前所未有的速度传播，但是随之而来的是不同程度的个人信息泄露，以知情同意为原则的个人信息保护面临着诸多挑战。本文主要分析了数字平台隐私政策中的“同意”，再从三个角度分析数字经济时代下知情同意规则的不足，结合我国相关的法律规制，最后提出四个法律对策，从知情同意的角度改变“同意”的方式；根据信息等级，进行分层式“同意”；网络平台经营者加强对数据信息的管理；信息网络侵权案件实行举证责任倒置。

自从2012年进入大数据时代，每天人们都在享受数据带来的各种福利，在极大促进人们交流的同时，也在极大改变着我们生产生活的方式。手机移动App占据着我们大量的时间，我们的个人信息也随着我们使用App而流入数据世界。2021年2月3日，中国互联网络信息中心（CNNIC）在北京发布的第47次《中国互联网络发展状况统计报告》显示，我国网民规模达9.89亿，较2020年3月增长8540万，互联网普及率达70.4%。传统的“同意”模式让知情同意原则丧失其存在的价值，使得我们在“不知情”中不停点击“同意”，使得我们的个人信息时刻面临着被侵犯的风险。传统的“同意”规则无法更好地保障公民的个人信息安全。研究知情同意规则，是理论创新的重要尺度。特别在当今大数据时代，公民的个人信息极易泄露的背景下，在《民法典》《个人信息保护法》出台的背景下，知情同意原则的创新有利于法律跟上时代的步伐，更好地解决现实生活中个人信息的诸多问题。

目前市面上的移动社交类App的隐私政策基本都以格式条款的形式呈现，信息收集者单方面规定了一次性全部授权的同意方式，作为用户，基本丧失了选择的余地以及对个人信息的控制。同时，隐私政策的位置往往比较隐蔽，用户一般情况下不会选择寻找隐私政策来阅读，即使找到隐私政策，又由于其篇幅过长等原因不愿意阅读。在这种不知情的情况下，信息主体很难实现真正意义上的“同意”，有以下三个困境。

非知情的“同意”

目前，知情同意原则是个人信息合法性的来源之一，包括“知情原则”和“同意原则”。知情是指对信息掌控者收集的个人信息的内容、类型和目的的了解。同意是指对个人信息处理或授权行为的同意，是个人意志的一种表现形式。立法者针对这一点，在《个人信息保护法》第14条强调了“充分知情”。但是现实中 App的运营商并没有真正落实这一点。隐私政策的阅读时间成本较高，大多数人并不会主动读App的隐私政策；其次，即使人们阅读了App的隐私政策，他们也无法掌握晦涩难懂的语言表达；再次，即使人们阅读和理解App的隐私政策，但缺乏相关的背景知识来支持其深思熟虑后的决定；最后，即使人们已经阅读并理解了同意政策，并且有相关的背景知识能够做出深思熟虑的决定，数据掌控者并不总是提供相应的条件让人们选择。可见，大多数用户对App内的隐私政策并不知情，无法做到信息主体对信息收集者收集个人信息的内容、类型、用途有所了解。因此大多数的隐私政策割裂了“知情”与“同意”。

二次利用信息中“同意”的缺位

二次利用是数据从业者对信息主体在初始信息收集的基础上，对以数字或图像形式呈现的数据进行处理、分析和处理，并加以利用的过程，这是通过在不同的层次和层次上使用初始信息来最大化信息的效用。移动社交类App的隐私政策，用户往往勾选“同意”即确认接受该App提供的各项服务，相应地App会收集用户的个人信息以提高服务效率。然而，许多信息收集者在用户的实际使用中未能遵守相关承诺，可能超出了承诺的适用范围，或者未经信息主体同意和授权与第三方共享数据信息，这些都是侵犯用户数据隐私的行为。

“同意”缺失撤回权

目前法院的司法实践中普遍将隐私政策视为合同，例如《最高人民法院公报》“来云鹏与北京四通立方公司服务合同纠纷案”的判决书中，将新浪网在网站页面上向用户展示的网站服务条款内容认定为格式条款的合同。《民法典·合同编》中对格式条款作出了有利于消费者的规定，但是在互联网信息的处理中仍难以消除对信息主体的不利影响。若个人信息仍具有人格属性，其遭受损害之后果往往无法弥补。大数据时代，信息主体由于缺失撤回权使得“同意”变得无保障。

在大数据时代，以移动社交App隐私政策为切入点，个人信息的收集和处理非常复杂，信息主体随时可能失去对个人信息的控制。传统的“同意”规则受到挑战，因此有必要在中国的个人信息保护中改进知情同意规则。

从知情同意的角度改变“同意”的方式

根据《网络安全法》第四十一条的规定，信息收集者应当明示收集的目的、方式、范围。但是收集的个人信息是一个概括性的，无法明确真实的收集目的、方式和范围。不仅如此，以格式条款形式出现的隐私政策无法对用户的个人信息进行个性化设置。在传统“同意”模式下，信息收集者与信息主体之间有一道难以逾越的巨大鸿沟——“打包式” 同意，在 “概括同意”和“被迫同意”的前提下，声称保护用户个人隐私的隐私政策却没有达到预期的效果。笔者认为有必要设置一个长效的披露机制，不再是信息收集者发出一个“打包式”的同意，而是使“知情”与“同意 ”成为一个长期的过程，全程追踪信息的处理与利用。在此机制下，信息收集者的告知义务是长期且不定时的，同时信息主体同意的次数也是长期的。信息收集者需告知信息主体采集信息的主体、信息被收集后的使用目的、信息被处理后的潜在风险、信息流向的第三方等。

根据信息等级进行分层式“同意”

信息主体根据特定场景评估信息的安全风险等级，并应为此设计一套分层的同意机制。对于个人信息级别的分类，可以使用《欧盟通用数据保护条例》作为参考。根据风险评估的结果，数据风险等级可分为低，中和高等级。同意是意思自治原则在个人信息保护领域的体现，当存在风险等級为中的情况时，信息主体未明确表示退出信息处理过程的不作为视为沉默的意思效果。在此层级中，笔者将信息主体的沉默拟制为同意，这一点主要参考了《信息安全技术公共及商用服务信息系统个人信息保护指南》第5.2.3条的规定，处理个人信息前要征得个人信息主体的同意，包括默许同意或明示同意。收集个人一般信息时，可认为个人信息主体默许同意，如果个人信息主体明确反对，要停止收集或删除个人信息；收集个人敏感信息时，要得到个人信息主体的明示同意。当风险等级为高级时，信息收集者应向信息主体提供显著的告知方式，并需要信息主体做出积极的同意，事前的同意。

网络平台经营者加强对数据信息的管理

企业在收集信息主体的个人信息之后，可以根据信息主体的好恶，为其提供个性化的服务以提高该企业的产品竞争力。以阿里为例，阿里数据的商业用途包括：根据消费者的日常浏览分析该用户喜好什么商品，做到“比消费者更了解消费者”；为商家提供全方位的消费信息，有利于提高商家自身的优势；分析金融生态，帮助微小企业和商家在接受金融服务和贷款服务时更加快捷和顺利。但是，在大数据飞速发展的今天，个人信息在互联网上更容易被无形地收集和不正当利用，而媒体报道出来的信息基本上都是个人信息被不良商家收集与利用，侵害用户的合法权益。由此可知，信息收集者与信息主体之间存在着信息落差，而这样的信息落差使得信息主体未能真实感受到自己的个人信息被如何使用，同时使得市场机制未能有效加以回应。经济学中将市场比喻成一只看不见的手，那么在法律上亦可借鉴这种办法，鼓励企业规范收集、利用和分享个人信息，增强信息透明化，使信息主体的同意更加有效。但是，纵观工业革命的历史，市场常常存在失灵的状况，究其原因是不能实现资源的有效配置。因此笔者认为应当由政府的立法来弥补市场自律规范的不足。政府提高数字化治理能力和逐步完善法规、政策在内的管理机制，维护行业竞争规范，保护信息主体的个人信息，防止网络平台经营者侵害信息主体的个人隐私和信息。

信息网络侵权责任案件实行举证责任倒置

信息收集者在交易中占据着优势地位，收集了大量的个人信息，信息收集者对被侵害的事实证据比信息主体更近，应该由其来举证。因此，笔者认为要参照过错推定责任，要求信息收集者证明信息泄露等原因与其行为不存在因果关系、不存在过错。具体而言须围绕以下几个方面进行举证：其一，举证证明自己采取了安全措施；其二，通过操作痕迹举证证明公司员工接触信息的情况；其三，对数据系统的信息所有方、经营者的数据可修改能力进行举证等等。虽然在短期内这种举证责任倒置会使信息收集者疲于应诉，但是事物是不断发展变化的，随着举证责任倒置的规则运用成熟，会更好地保护个人信息和信息主体的合法权益。

[本文系基金项目：2020年北京市教育委员会大学生毕业设计科研类实培计划“民法典与个人信息保护”（项目编号：199）的研究成果。]

（北京物资学院）