大数据时代知情同意原则困境及出路

□文/ 张笑语

（首都经济贸易大学 北京）

［提要］ 在技术快速发展情况下，信息高度依赖收集、分析和应用，因此信息处理主体和信息主体之间的摩擦频繁出现。信息处理主体凭借体量和技术可以大量收集、分析及应用信息主体信息，位于双方关系中的优势地位，而信息主体则处于劣势地位。为平衡两者之间关系，保护信息主体合法利益，限制数据处理者处理范围和处理方式，应当对知情同意原则进行新层次的分析，确保其在个人信息保护中发挥更为实质性的作用。

一、问题的提出

在使用App 时，用户需要阅读隐私政策并点击同意，这本来是为了保护用户的个人信息，为用户加一道保险。但从企业角度来看，隐私协议过于专业，将其通俗易懂地表达出来费时费力。互联网技术不具有普世性，并不是所有用户都能通过繁杂的隐私协议明白这些App 到底需要什么权限，到底会对自己的权利产生什么样的影响。从个人角度来看，隐私协议过于冗长，用户阅读成本高，所以大多数人都会放弃阅读，选择直接同意。此外，如果用户不同意便无法使用App，这就导致为了使用而迫不得已同意的情况，貌似同意，实则强迫。所以让人疑问，知情同意原则就成为了空谈吗？如何平衡个人信息保护和信息流通两者之间的关系？应该如何让知情同意原则在现在的信息时代发挥出其应有的作用呢？

当今世界，数据资源是经济发展的重要推动力，数据的分析和流通会产生巨大的经济价值和社会价值，因此法律制度应当在合理保护个人信息的基础上，给予企业和国家合理利用数据的便利。从微观层面来说，企业可以通过利用收集的信息进行经营服务和管理。从宏观层面来说，个人信息通过合法合理的渠道进入大数据库，汇集数据资源，可以充分发挥大数据综合分析效果。但是，无论如何强调企业大数据分析带来的效益，都应该明确其与个人信息利益之间的合理界限，平衡经济效用和个人信息安全的关系。现行法律将知情同意原则进行吸纳，并制定了部分条款，但是该原则的理解和具体条款的适用仍然存在讨论空间。关于知情同意原则，目前学界主要存在两类观点：（1）认可知情同意原则。有学者认为知情同意原则仍然有其实际价值和实践意义，针对知情同意原则不适应大数据时代的情况，应当与时俱进，进行相应革新。可借鉴该原则在生物资料库领域的发展，向基于信息分类、场景化风险评估的分层同意转变。有学者认为知情同意原则应脱虚向实，发展方向应为具体的实质化，一方面基于个人信息保护，获得用户清晰和准确的同意，另一方面平衡信息利用，为数据活动提供必要的豁免。也有学者认为，知情同意原则具有灵活性，可根据不同个体对于隐私保护倾向和程度的差异进行差别化保护。（2）否认知情同意原则。有学者认为同意并没有有效的理论支撑，同意本身缺乏必要性和真实性，且同意并不符合经济考量，故其认为同意并不能作为信息主体对个人信息处理的正当性基础。

二、知情同意原则面临的困境

知情同意原则之所以在大数据时代面临适用困境，其根本原因在于，在大数据时代，知情同意原则的绝对化应用不能有效应对现实经济关系。个人信息保护的知情同意原则的发展，同时受到了隐私权保护和个人信息自决权的重要影响。该理论在网络信息不发达的小数据时代发挥了一定的作用，但是当人类社会进入到大数据时代时，这一原则就出现不符合新时代的逻辑障碍。

（一）信息收集者获得同意的难度加大。传统的同意表现为将必要情形告知信息主体后，其对纸质知情同意书的签署。然而在大数据背景下，获得同意的难度与之前不可同日而语。首先，最主要的源于信息处理目的之不确定性。通常，信息主体在发生信息收集时才签署知情同意书，其后则发生信息处理者对个人信息的实际处理和利用。小数据时代信息利用目的较为固定，而大数据时代信息处理目的出现泛化趋势。原因在于，在同意个人信息授权时，同意内容是过于专业且复杂的，这使得信息主体真正知情的难度加大，进而影响同意的质量。其次，大数据处理的频繁性使征集同意的次数增加。由于同意只在特定范围内有效，当信息处理者对个人信息的利用超出原有范围时，原有同意无法对其进行涵盖。而用户需求和数据利用使得信息处理者需要重新告知，获取同意，这可能使信息处理者陷入无休止的同意征集中。

（二）信息主体同意能力的欠缺。知情同意的根本目的在于实现个人信息自决，因此个人的自决能力是重要影响因素。而同意的关键在于，个人能否真正理解该同意对其个人信息的收集、利用背后存在的利益与风险。知情同意提前预设理性信息主体具有相应同意能力，并能够真实理解同意给个人带来的利益和损失。该预设在小数据时代成立，信息主体只需要对较少的信息和较清晰的目的进行同意，但在如今大数据时代则不能完全适用。面对大量专业的数据和术语，一般的信息主体难以理解，基于不清晰的理解进行的同意，使得信息主体对有可能产生的利益增减难以做出准确的预测。而这在一定程度上不符合个人信息自决的根本目的，不能说是真正的自决。总之，个人同意能力的不足减弱了同意的有效性。

（三）信息主体缺乏知情主动性。民事权利者怠于行使权力的情况并非个人信息保护领域所独有，只要有民事权利存在，怠于行使权力的现象就有可能发生。部分信息主体怠于查看隐私协议是怠于行使自己的权力，缺乏知情主动性，存在搭便车心理。即在利益群体内，某个成员为了本利益集团的利益所做的努力，集团内所有的人都有可能基于先前的努力获得公共利益，但其成本则由这个人个人承担。因此，当利益群体聚在一起想为获取某一公共利益而奋斗时，其中每一个人都可能想让别人去为达到该目标而努力，而自己则坐享其成。具体到信息主体同意隐私协议过程中而言，当一个群体中有足够多的人使用过信息收集者提供的服务后，关于这项服务的种种评价事实上变成了一种公共产品，其中包括了对隐私协议的正面或负面评价。鉴于隐私协议一般冗长且晦涩，仔细阅读需要花费大量成本，导致相当一部分信息主体都希望别人认真阅读隐私协议后做出理性判断，自己再参考这种判断做出决定。如果没有人指出隐私协议存在问题，这些信息主体就会认为他人是在认真阅读隐私协议后未能发现问题，从而做出同样的选择。

（四）同意未能发挥相应作用。知情同意原则的初衷是实现真实的个人自决，然而在大数据时代下，单纯形式上做出的同意从根本上违背了初衷。个人若想进行正常的生活，享受社会发展带来的便利，很难拒绝各种信息处理者的弹窗——要求授权信息，并进行信息利用。在现代社会，拒绝同意一定程度上也就意味着无法享受服务，这使得个人可能在生活中面临各种不便利。信息处理者提供的用于同意的协议通常为一揽子授权的格式合同，并不能对不同的信息授权与否进行菜单式选择，用户通常面临“同意，或放弃”的选项。读完各种冗长的隐私声明对绝大多数人是一种考验，现实中很少有人去认真地阅读。“隐私政策”实际上无人读、不可读、读不懂，告知同意无法发挥其机制应有的功能，并难以通过该机制保护个人信息安全。在这个意义上，告知同意也被称作“控制的幻象”。

（五）同意难以适应大数据处理的发展要求。知情同意产生的经济成本分为两类，一类是信息收集者为了履行告知义务并征得同意付出的成本，另一类是信息主体为做出有效同意付出的成本。后者主要体现在信息主体阅读隐私协议而付出的时间成本，而前者给信息收集者带来的是不可忽视的巨大负担。如果说与知情同意原则所守护的人格尊严价值相比，适度的经济损失可以被接受，那么由于无差别适用知情同意原则给信息收集者带来的负担就是完完全全的浪费。

大数据是当下推动社会发展的核心科技之一，过于严格的知情同意会影响大数据的集成处理分析和利用。大数据分析往往会超出初始的数据收集目的，对海量数据的二次利用展现出复杂性、多元性的特征。信息处理者难以一开始便要求信息主体给予广泛的授权，在信息二次处理时获得信息主体的重复同意也存在难度。此时，对信息主体告知的难度加大，获得同意的成本上升，时效性也会出现延迟，不利于大数据产业的发展。

三、我国《个人信息保护法》知情同意原则的立法完善

知情同意原则的相关内容是《个人信息保护法》的重要组成部分。因此，应当充分探究知情同意原则的基础，对其存在的困境进行更加充分合理的探讨，优化具体制度设计。一方面确保知情同意原则不能违背数据经济化的要求；另一方面不能流于表面而不能形成有效保护个人信息的机制。

（一）知情同意原则的优化

1、清晰和明确的同意。欧盟《通用数据保护条例》要求，企业在获得信息主体同意时，必须以清晰、可理解的格式，并采用清晰直白的语言；与此同时，在信息主体同意前必须保证信息主体清楚理解其将要授权同意的全部信息。《条例》明确了企业在信息处理过程中的通知义务，并且规定信息的提供应当明确、无迟延、免费；在信息处理将超出原授权范围时，信息处理者应当及时通知信息主体并对新范围获取同意；在个人信息被转让给第三方之前应当征得信息主体的同意等。信息收集者一般为有相应技术能力的企业，因此可以期望对隐私协议做出相应简单化的处理，使其符合一般人的认知能力。并使得信息主体对将要同意的事项有较为清晰的理解，不能因为技术的复杂性而排除一般人对将要处分的信息的知情权。我国目前的《个人信息保护法》第17 条是对第7 条透明原则的具体化。第17条第1 款规定“个人信息处理者在处理个人信息前，应当以显著方式、清晰易懂的语言向个人告知”的4 个事项，前3 个事项详细列举了告知的一般内容，第4 项兜底性规定链接到合并分立时的告知要求（第22 条）、第三方提供个人信息时的告知要求（第23 条）、敏感信息处理的必要性及对个人影响的告知要求（第29 条）等。

2、基于信息分类的同意分层。个人信息的范围广、类型多，大数据的处理也呈现多样化的态势，因此在不同的情形下个人信息面临的风险也是有区别的。粗暴地忽略复杂性，简单统一知情同意规则是不符合现实的。因此，基于信息重要程度实行分层的同意是具有积极意义的。

不同信息的重要性和特殊性是同意分层的基础，因此如何界定个人信息、如何分类是前提性问题。普遍的观点认为，身份识别性是个人信息的本质特征，即只有那些可据以追溯到所属者真实身份的信息（未脱敏的信息）才是个人信息，其构成了信息主体的人格剖面图。那些未脱敏的可以定位识别到信息主体的信息应该得到较高保护，而无关个人身份的信息受到的知情同意原则的限制应该是较轻的。进一步，在应受保护的个人信息内部也进行区分，实行有差别的保护。对与个人身份最密切的核心信息进行最高程度的同意保护，再依信息重要性依次降低保护程度。例如，欧盟诸国个人数据保护法就采取了敏感信息和非敏感信息的层级分类，着重保护敏感信息，次要保护非敏感信息。《个人信息保护法》对敏感个人信息的处理做出了相应规定，第28 条对敏感个人信息的范围进行了界定，但是该范围有些过于宽泛，导致未能体现出对其的独特保护。例如“行踪轨迹”，在不同的场景下个人的行踪并非都是敏感信息，因此将其和无论在任何情况下都属于敏感信息的个人生物特征等列在一起，其重要性并非是等同的。因此，接下来应当明确地界定敏感个人信息的范围。

3、持续有效的信息披露与动态同意。传统的知情同意不存在反复征求同意的情形，只需要一次性签署知情同意书即可。这在先前是足以应对绝大多数情况的，但无法适应大数据时代信息庞杂数据的处理需求。在新的个人信息保护法中，应当将知情同意视为一个长期机制。一方面进行真实有效的信息告知同意；另一方面针对超出先前“隐私协议”的内容进行实时更新，确保同意的实时更新。在实际操作层面来看，信息处理者在信息收集、分析和处理的全过程中，必须为信息主体提供可以获取、管理、更新信息和撤回同意的便捷方式。无论是持续的信息披露还是动态同意，都依赖于信息收集者搭建一个良好的平台，充分尊重信息主体的权利和个人意愿，无论其做出同意还是退出的决定，都应该为其提供相应的便利途径来实现个人意愿。《个人信息保护法》中部分条款对动态同意有所体现，例如第23 条和第24 条，在信息利用过程中转移个人信息应当重新取得个人同意，并且信息处理者在变更处理目的时应当重新取得个人同意。但是《个人信息保护法》没有对持续有效的信息披露做出相关的规定，导致动态同意有些像无根浮萍。全然依赖于信息收集者的意愿来决定要不要披露，没有一个持续有效的信息披露规则，信息主体就无法得知被收集的个人信息何时产生了何种变化，因而并不能及时有效地进行同意。

（二）知情同意原则的必要豁免。现代社会的数据处理不可预料的应用场景广泛，如果一味刻板适用知情同意原则，则不利于数据活动的进行，将会影响数据经济的合理化发展。因此，在坚持知情同意原则的基础上，对其进行必要的豁免，适当减少施加在信息收集者身上的压力是有必要的。

1、数据处理正当化事由多样化。知情同意是数据处理正当化的主要事由之一，但并不是正当化的唯一事由，出于考虑公众和他人正当利益的收集和处理同样应当成为法律支持的事由。例如，欧盟新出台的《条例》规定了六种合法性基础：用户知情同意、履行合同所需、履行法定义务、符合用户利益、公共利益需求、企业必须追求合理利益。由此可知，知情同意原则不是唯一的合法性基础。我国《个人信息保护法》也充分采纳吸收了这一点，第13 条在除告知同意外，列举了6 种合法处理个人信息的情形，包括履行合同所必需、法定职责和义务所需、公共安全所需、合理范围已处理的信息、公共利益的舆论监督、法律法规规定的其他情形。然而，这一规定一定程度上忽视了合理数据流通的需求，未能使数据流通规则贯穿《个人信息保护法》始终，第13 条往后的大量条文仍以告知同意为主。因此，应当在以第13 条为保护核心的基础上，进一步明确承认信息处理者对数据的合法权益依法受到保护，并辅以相应的责任规则，构建从个人信息合法处理到数据合法利用的数据流通规则体系，发挥《个人信息保护法》在数据流通中的积极作用。

2、个人信息可在匿名化后排除知情同意原则适用。网络社会个人信息实名化一方面促进电商发展，提高服务精准度；另一方面也有利于打击犯罪，保护国家安全。但是，当个人可以被识别时，个人信息保护的需求也愈发强烈。在目前网络社会个人信息实名化的情况下，应当对重要程度较高的个人信息进行匿名化处理，使得其可被汇总进入数据处理，但不能识别到个人。个人信息的匿名化一方面可以提高识别到个人的成本；另一方面有助于分离个人信息和直接的身份识别信息。从技术上，绝对匿名化是不能达到的，但是从法律上，可以通过行为规制使之成为一种可以达成的法律保护状态。

欧盟《条例》规定，匿名化是个人数据经脱敏处理后，在不使用额外信息的情况下，不能被识别到特定数据主体的方式。同时，强调个人信息可识别性的认定，应当以是否需要付出巨额成本方能识别为判断标准。例如，识别所需的费用、时间、现有的技术。欧盟通过界定个人信息的方式，给予匿名化个人信息充分的豁免———匿名化后的个人信息不受知情同意原则规制。美国同样鼓励匿名化，联邦贸易委员会使用了“合理性”标准，即识别为合理的匿名化数据在流通过程中大概率情况下不受限制。日本2015年新修正的《个人信息保护法》第2 条规定：有关个人信息保护的规定不适用于匿名加工信息。有鉴于此，中国未来的《个人信息保护法》也应着重发展个人信息的匿名化处理规制，提高技术识别门槛，联合法律辅助，更好地保护个人信息。

综上，中国的《个人信息保护法》目前对知情同意原则的设计还是过于简单，应当根据新形势进行更加合理的设计。首先，应该明确信息处理者收集个人信息应当征得用户清晰且明确的同意。其次，个人信息具有的个人和社会双重属性决定了信息主体决不能排他地掌控个人信息，对所有类型的个人信息不加区分地适用或者不适用知情同意原则显然都是理论上不合理、现实中不可行的。因此，划分个人信息种类，对不同种类的个人信息适用不同的知情同意规则，就成为了破解同意困境、实现个人信息保护和信息产业发展平衡的必然选择。最后，信息收集者收集和利用信息并非一次性的，因此持续有效的信息披露与动态同意是必不可少的后续环节。为了实现数据活动和数据经济之间的平衡，应当为合理的数据活动提供充足的法律豁免，包括：数据处理正当化事由多样化，以及鼓励个人信息匿名化。