数字经济时代个人信息保护中知情同意原则适用的研究

金善港

(新疆财经大学法学院，新疆 乌鲁木齐 830012)

数字经济时代，个人信息新的存在方式赋予了人的数字属性，个人信息成为数字经济运行中的重要内容。个人数据信息的收集、分析和利用是构成数字经济的基石，其关系到数字经济的运行、发展和繁荣。而知情同意原则作为个人信息保护中的重要原则，在«网络安全法»«数据安全法»和2021 年11月1 日正式开始实施的«个人信息保护法»等多部法律法规中均有明确规定。但在错综复杂的数字化时代，知情同意原则的功能并没有得到充分释放，个人信息保护还面临着许多困境，威胁到公民隐私权的保护，阻碍了数字经济的发展。

一、数字经济时代个人信息保护中知情同意原则的重要性

(一)知情同意原则保障公民的信息自决权

德国学者施特姆勒在1971 年首次提出了“信息自决权”这一概念。施特姆勒认为信息自决权是一种信息主体能够自由充分地决定自己个人信息的支配和使用，保障自己的个人信息不被外界随意侵犯的权利。然而在网络信息发达的数字经济时代，对个人信息保护的屏障往往更加脆弱，尤其是信息收集者与信息主体间的不对等问题非常突出。所以用户如果想在数字社会有效行使其信息自决权则需要通过知情同意原则的保障。知情同意原则的基本逻辑结构是知情权和同意权，即首先个人信息的处理者有义务充分告知信息所有人关于其需要收集、存储、使用、加工、传输、提供、公开、删除有关该用户个人信息的具体细节，再由该用户根据本人意愿自由做出决定是同意还是拒绝[1]。知情是同意的必要前提，而在知情同意基础上，信息主体所做出的对个人信息处理的任何决定才具有正当性。故知情＋同意的模式确保了信息主体的信息自决权。因此知情同意原则是公民行使信息自决权的基础和必要条件。

(二)知情同意原则体现程序正义

程序正义作为一个重要的法治概念，其本质是一种过程性的正义，即在法律活动的过程中主体之间进行法律行为的程序是否正当，是否符合法律规定或双方约定的程序。程序正义能够减少人为的随意性，增加事件结果的确定性和可期待性，从而实现社会正义。在虚拟的网络世界中，知情同意原则能充分体现信息主体与信息收集者之间关于信息主体个人信息的收集、处理、使用、存储过程中双方真实意思表示的程序正当性。例如，用户在互联网平台进行购物时，平台因运行安全、数据分析、提供服务等原因基于用户的同意并授权收集该用户的某些个人信息。但若是没有知情同意原则为框架，平台不经过用户同意就直接收集用户的个人信息，则是对用户隐私权的侵犯。而且用户通过与平台签订的隐私保护协议，以白纸黑字的形式明晰用户的权益以及其做出的授权平台收集和处理其某些个人信息的权利，这也是给予互联网平台一定自由，有利于促进数字经济的高效发展，也为日后可能出现的纠纷提供明确的解决依据。法谚有云:“无程序即无正义”，通过知情＋同意这种用户可以感知的合法程序，用户和平台可以更加明确双方的权责义务，因此知情同意原则体现并保障程序正义。

(三)知情同意原则体现人权保障的内涵

保障人权是法治社会的价值追求，对公民隐私权的保护是人权保障中的重要内容。在当下数字经济时代，个人信息的保护直接关系到公民隐私权的保障。无论是个人、团体还是政府在收集和处理公民个人信息数据时均应当尊重和保护信息主体真实自由的意思表示。自主和自由是人发展的主体性前提，缺乏自主和自由，人就会沦为发展的工具，而不是发展的主体[2]。无论是在现实社会还是虚拟的数字化世界里，人人都有权自由地决定个人信息的收集、处理、使用、存储。这种自由是人权中关于人的自由的应有之义。数字社会中的信息取自每一位使用者，这些信息经过加工整理最终也服务于每一位参与者。在进行虚拟世界的活动中，参与者允许他方收集和利用自己的个人信息也间接促进了个人的发展。知情同意原则能够保护信息主体的个人信息，也能够保护信息主体的人性价值，诸如人性尊严、个人自主权利、个人自决权利，这些人性价值在世界上被普遍接受与认同，也是人权保护的基本内容[3]。

二、数字经济时代知情同意原则面对的现实困境

(一)信息收集者难以充分履行告知义务

«个人信息保护法»第十七条规定，“个人信息处理者在处理个人信息前，应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项:……”但在现实的网络服务过程中，通过对市面上多种App 例如淘宝、抖音、安居客、微博等互联网主流平台的«用户须知»和«隐私保护协议»的分析，发现这些信息收集方提供的«隐私保护协议»基本都是内容冗长的、充满专业性法律术语的格式化合同。从正面看貌似是个人信息收集方为了充分保障被收集者的知情权而精心设置的隐私保护条款，但据调查，95%的App 使用者基本不会去仔细阅读这些协议的内容，更不必说去判断这些条款是否符合自己对本人信息保护的意愿。所以从侧面看，这些专业的格式条款的设置虽然符合法律规定，也具有保护公民个人信息的目的，但在现实生活中它们并没有发挥出应有的作用。因为对使用者来说，如果要弄清楚这些隐私合同条款的意思，他们需要花费大量的时间以及需要具备一定的法律知识背景。这也与数字经济方便、快捷、高效率的价值相违背。甚至大量的平台信息收集者，有意利用这些客观障碍来作为他们非法获取和利用用户信息的手段。所以这些平台信息收集者的某些告知方式，对使用者来说往往只是一种形式上的知情，并未在实质上有效地保护使用者的个人信息。

(二)信息主体无法有效同意

现实中网络服务提供者总是强势的一方，他们垄断着技术、数据、服务以及平台规则制定的话语权。而普通的使用者往往势单力薄，因此在网络服务过程中总是处于一种被动地位。知情同意原则中的同意是指信息主体根据其真实意思表示自由地做出决定。基于网络用户和互联网平台之间不对等的地位，首先，就算使用者花费一定的时间和精力去研读信息收集方提供的隐私保护协议，其也只能做出事实了解，很难对该平台收集其信息的必要性做出价值判断，所以这种同意也只是一种走马观花式的同意。其次，部分平台将隐私保护协议或者隐私提示设计成不显眼的标识或者放在不易被发现的位置，以至于使用者不能引起相应的重视和警觉。与之相反，他们经常把“同意”的选择按钮设置得非常醒目，这样大量使用者基于人的惰性心理以及快速获得该App 的服务的需求，看见“同意”按钮通常会毫不犹豫地点击。这种用户在被诱导下忽视隐私保护协议的内容而直接做出的表示，实难被认为是用户的有效同意。最后，还有部分平台做出强制性规定，即如果用户不同意其提供的隐私保护协议就无法使用该平台提供的服务。现实中，在无法找到替代App 的情况下，大多数人会选择妥协，从而被迫同意该平台提供的隐私保护协议。而基于以上“走马观花”式的同意以及“被迫”的同意，其与知情同意原则想要达到的对个人信息保护的效果相差甚远。

(三)“二次同意”无法保障

互联网是数据的汪洋大海，个人信息一旦以电子数据的形式传输到网络上便像脱缰的野马难以由信息主体继续有效地控制。对将在服务用户过程中获取的用户个人数据信息进行二次处理的这一行为通常是信息收集者追求效益最大化的常规操作。我国«个人信息保护法»第十四条明确规定，“个人信息的处理目的、处理方式和处理的个人信息种类发生变更的，应当重新取得个人同意。”虽然在平台与用户的隐保护协议中往往也明确了用户“二次同意”的权利，但我们日常生活中几乎从来没有收到过来自信息收集者的二次同意请求书，即大多数信息收集者实际未能遵守相关承诺。一方面，对互联网中的个人信息的保护，绝大多数人仅仅把关注的重点放在自己的个人信息被他人首次收集时的同意及授权上，但对其个人信息后续的处理、利用以及流转并未有足够的重视。另一方面是因为对信息的二次利用往往比较隐秘，不像初次收集那样容易被发现。在实践中，不少信息收集者并未遵守相关的约定，或者超出约定的范围与权限处理个人信息，甚至擅自将收集到的个人信息与他人进行利益交换，这给信息主体的个人信息安全带来极大的风险。

(四)缺少有效的规制手段和救济措施

2021 年«个人信息保护法»的出台，补齐了中国网络、数据安全和个人信息保护领域立法的重要一环，其与«网络安全法»«数据安全法»共同构成了该领域的三大支柱。但某些具体问题还缺乏相关配套细则。2022 年中央电视台3•15 晚会曝光了大量的互联网网站通过用户浏览网站时使用的手机Mac号(手机识别码)匹配到该用户的手机或者利用技术手段获取手机上网用户的明码手机号码，然后将这些个人信息倒卖给电话销售公司。这种现象的成因在于我们还缺乏有力的事前监管手段，尤其是对用户网络上个人信息的保护一般是出现大规模信息泄露或者侵权事件后才后知后觉。而且事后对这一类的违法行为打击力度不足，缺乏强有力的惩罚措施。另外，从实践中看，大多数用户个人信息被侵犯的事件是在造成严重的后果后才被曝光，但这些泄露的信息往往已经给信息主体的人身或者财产造成了不可弥补的伤害。一方面是因为个体的敏感程度低，基于自身的能力不能够及时有效地发现其个人信息被侵害的事实以及造成的损失程度；另一方面，面对具有强大的科技及经济实力的侵权者，普通人很难通过平等的民事救济保障自身权利。

三、数字经济时代知情同意原则的完善

(一)规范隐私协议，充分履行告知义务

首先，信息收集者可对告知的方式进行创新，根据不同的受众群体设置对应的个性化的告知方式，如通过视频、图画、语音等更直观的手段来代替传统电子合同上冗长的法言法语。在此尤其是对一些文化水平有限的群体，更应当使用通俗易懂的文字，或者可视化的图片或视频等方式，使其能够一目了然。其次，对告知的内容要更加有层次感，如参照«欧盟通用数据保护条例»，信息收集者事先对涉及的个人信息进行风险评估，并将信息安全风险分为敏感、一般和弱风险三个等级。对敏感信息，根据我国«民法典»对格式合同的规定，当事人为了重复使用而预先拟定，并在订立合同时未与对方协商的条款，该条款本身应当遵循公平原则确定当事人之间的权利和义务，并采取合理的方式提请对方注意免除或者限制其责任，按照对方的要求，对该条款予以说明[4]。根据格式合同的合理告知义务，信息收集者要明确地告知当事人其敏感信息可能受到威胁的情况，并对当事人进行显著的提示。对个人一般的信息可放在常规条款中，而弱风险的信息除信息主体明确拒绝外可默认用户同意。最后，对涉及的一些敏感信息，信息收集者还应当保证信息主体确实已知，其可强制要求用户阅读隐私保护条款足够的时间，或者将关于敏感信息保护有关的内容设计成选择题的形式，用户只有在答题通关后才能获得该网络服务。

(二)增强同意的自主性、有效性

同意是意思自治原则在个人信息保护领域的体现，基于民法上的意思自治原则，同意应当是独立的、自主的、有效的。某些平台利用自己对部分网络服务垄断的优势地位，设置不对等的隐私保护条款，如超过提供该服务所应当收集的个人信息的范围过度收集用户个人信息，或者规定如果用户不同意隐私协议就无法使用该平台提供的服务。笔者认为，用户接受服务与同意平台收集其个人信息二者是相互独立的，不应当捆绑在一起。平台完全可以以其他方式对用户进行限制，如设置游客模式，对不同意隐私保护协议的用户只提供基本的服务，或者开放部分不涉及个人信息的服务权限，或者提供暂时性的虚拟体验账号，再或者可以进行服务收费。这样既可以使数字经济的社会效益与个人信息保护之间达到平衡，又能避免用户为了接受服务而被迫同意隐私保护协议的情况发生。对用户在没能充分理解或者根本没有阅读隐私保护条款而草草做出同意的情况，信息收集者可对重要条款设置选项，由用户在阅读中亲自勾选，并且在协议后以电子签名的形式进行授权。此举措能大大增加信息主体的参与感，增强其对个人信息保护的意识，提高同意的有效性。

(三)实现同意的全过程性

知情同意原则制度的设计初衷是信息主体同意收集者利用自己的信息来提供更好的商品或者服务，而不是将收集个人信息作为提供商品或者服务的目的。在实践中，用户的第一次概括的同意往往成了网络服务平台后续侵犯个人信息免责的依据。信息收集者应当建立一个动态的信息反馈机制，其贯穿于信息的收集、处理、使用、流转、删除的全过程。在这每一环节中都要授予用户随时查看的权利，信息收集者可以不主动向用户公布具体的信息处理细节，但必须明确告知信息主体其有这项权利，且随时配合信息主体查看以及满足其他合理的要求。在用户进行到不同的使用步骤，或者不同的个人信息处理的阶段时，平台经营者应当及时对用户进行针对性的提醒和请求，只有在征得用户明确同意后才能进行下一步的信息收集和处理，而不是一次同意，终身获取。同时，应严格落实«个人信息保护法»中关于信息主体同意的撤回权规定，即使信息主体起初授权服务平台收集处理其个人信息，后期也有权随时撤回其同意，以此来保障同意的全过程性。

(四)完善规制手段、保障权利救济

政府牵头建立互联网行业个人信息保护评价机制，定期对网络服务提供者进行用户个人信息保护情况考核，并通过专门的渠道定期向社会公布。此举一方面可以鞭策那些对用户个人信息保护存在问题的网络服务提供者及时整改，从而保障知情同意原则的有效落实；另一方面也可提醒公众在接受该类网络平台提供的服务时应保持谨慎，或者在有选择的情况下尽量不要选择该类平台。如2017 年7月由中央网信办牵头的四部门联合开展隐私条款专项工作，该工作分批选取重点网络产品和服务，对其隐私条款进行分析梳理，最后通过评审和宣传形成社会示范效应，此举措推动了行业整体对个人信息保护水平的提升[5]。笔者认为这样的工作应当常态化开展，且范围不仅局限于对隐私条款的评审，还应当涵盖到个人信息收集、处理、二次利用以及转让的全过程。对个人信息受侵害后救济难的问题，首先，政府要出台具体的认定标准，将侵害后果进行细化。其次，压实信息收集者的责任，要求其对个人信息的收集、处理都要有迹可循，为日后争议解决留下判定的依据。最后，政府应设立专门的投诉机构，畅通救济渠道。