个人信息网络侵权中知情同意的边界问题

2024-05-29 16:25
中阿科技论坛(中英文) 2024年3期
关键词:服务提供者信息处理知情

尹 洋

(青海民族大学,青海 西宁 810007)

确立于前信息时代的知情同意规则在数字时代逐渐显现出制度上的不适应。知情同意规则的功能本位本应是衡平个人信息的利用和保护,使其既能保护当事人在个人信息上的合法权益,又能发挥其作为生产要素促进经济发展的作用。然而,近年来,不断攀升的个人信息侵权事件让知情同意规则面临诸多质疑。例如,Mozilla基金会发布的一项关于25家车企隐私评价报告中显示,25家车企都会过度收集个人信息,其中84%的车企会与第三方共享,76%的车企会将这些个人信息售卖给第三方[1]。在工信部2023年发布的侵害个人信息权益的App清单中,最普遍的侵权情形就是过度收集个人信息,其中不乏百度、360等互联网巨头[2]。因此,需要重塑知情同意规则的功能,在现有的规范体系下明确知情同意规则网络适用的应有之义,以是否为对价场景为标准,建立场景类型化的适用标准,以此来明确知情同意规则的适用边界,以期缓和知情同意困境,发挥其应有的功能。

1 知情同意规则的功能

知情同意规则体现了个人对人格自由与发展具有第一性,这仅从人文主义的角度进行解读。为了更深层次地认识为何知情同意能成为个人信息流通的核心规则,可以从功能主义的角度解读。功能主义的视角就是要看法律这一工具是否满足、实现人们对它的功能定位与期待,也就是说功能主义注重某种需要、意图或者目标,而不是恪守现存的规范体系,这使得功能主义更具有现实回应性[3]。因此,功能主义的释义能明晰知情同意规则的现实功能,这也为后续完善知情同意规则提供了方向。

1.1 保护市场主体合法权益

个人信息具有私人属性,但网络化时代的个人信息已经成了一种重要的资源被运用于社会管理、企业创新等方面,使得个人信息被收集处理的过程中,其他市场主体通过合法信息处理行为,在个人信息或者个人数据上形成了自身合法利益。因此,个人和信息处理者都有可能成为相关利益主体。首先,对于个人信息利益相关度最高的个人而言,个人信息承载了自然人的人格属性,体现了自然人的价值观和偏好,自然人通过对个人信息的掌控,能够建立自己在社会中的地位、角色和关系,进而形成独特的身份认同,又是这些与自然人高度相关的身份信息,通过自然人的展示和共享与他人建立起社会关系网络。因此,可以说个人信息是自然人在社会中的一张名片。其次,对于信息处理者而言,个人信息经过合法处理后,享有在个人数据上的合法权益。人类社会的发展离不开信息的流通,特别是在信息技术发达的今天,信息处理规模化、自动化放大了个人信息的经济效用,个人信息经过去标识化处理成为个人数据,已经成为推动市场经济发展的重要生产要素,并广泛运用于社会管理、数据分析和企业创新等方面。但是个人信息并不天然地属于个人数据,需经过信息处理者投入大量的成本来收集个人信息,并建立安全保障、信用体系与风险控制等相关制度,可以说正是信息处理者的高昂投入赋予了个人数据的高价值。因此,承认信息处理者在个人数据上的财产价值的控制权更符合个人财产权配置的原则和目标[4]。综上,个人和信息处理者对于个人信息均享有合法权益。

1.2 增进信息流通透明和信任

知情同意规则的一项重要功能是提高流通的透明度,使信息主体明晰信息处理逻辑,进而增强对信息处理者的信任度。市场交易中的一个重要原则是交易公平,公平交易在个人信息流通中的体现就是交易中双方应该具有相对对等的信息,以确保个人信息主体在交易中的劣势地位得到平衡。因为在个人信息处理中,个人往往不具备与信息处理者同等的专业知识,从而造成信息不对称。知情同意规则要求通过隐私政策、用户协议等方式清晰、全面地告知个体有关信息处理的各个方面,有助于消除信息不对称问题。个人信息主体在充分理解的基础上作出真实的意思表示,而非基于信息不足或者被误导。知情同意规则还可以被视为一种社会契约,信息提供方和信息处理者之间建立明确的协议,规定了信息的使用和处理方式,形成了相互尊重和信任的基础,同时知情同意要求信息处理者履行告知和获得信息主体提供方同意的义务,这些义务的履行使得各主体间的信任得以构建。由此可见,知情同意规则平衡了个人信息主体的不对等地位,促进了各主体之间信任关系的建立,从而形成健康的信息交易市场。

1.3 构建信息社会良好秩序

信息社会的形成离不开信息技术的发展,对信息技术应用的考量逐渐形成了信息社会的伦理特征。比如信息公平与公正、隐私保护、数字包容性和信息诚信等伦理规范,这些伦理规范共同塑造了当今的信息社会。知情同意规则通过规范信息处理流程,强调透明和告知原则,体现了信息伦理学中的关键价值,从而在信息处理中建立了伦理准则的基础。同时,知情同意规则强调个体权益的保护,明确信息提供方和信息处理方的权利和义务,以法治原则为基础,确保信息处理行为在法律框架下有序进行,使信息处理者在信息社会中承担起更大的责任,强化了信息处理者的社会责任观念。综上可知,知情同意规则通过法定框架和伦理原则规范信息处理行为,确保了信息处理在法律和道德两个维度具有可接受性,从而保障信息社会中信息处理的秩序。

2 知情同意规则网络适用的异化

个人信息的流通依赖于知情同意规则功能作用的发挥,然而依托前信息时代基础理论构建的知情同意规则在网络空间中的适用出现困境。网络空间所具有的开放性、信息过载和实时互动等特征使知情同意规则的功能无法正常发挥,从而造成了网络空间中知情同意规则适用的异化。

2.1 知情同意规则流于形式

知情同意规则本应遵循信息处理者充分告知、信息主体在充分知情的情况下作出同意的逻辑,但是这3个阶段在网络空间中出现了不同的异化,导致知情同意流于形式。首先,在信息社会中,网络充斥着人们的日常生活,每个人都需要使用大量的App。为了满足个人信息处理的合法性要求,这些应用会通过隐私政策来履行告知义务。信息主体为了浏览网页或使用App必须阅读信息处理者提供的隐私政策,隐私政策中包含的法律术语具有一定的专业性,信息处理者为节省成本不会以用户易于理解的方式作出解释,这就使告知缺乏实质性,甚至有的不履行告知义务直接获取个人信息,严重侵犯了用户的知情权。其次,不少用户在面对数量众多、内容专业且冗长的隐私政策时,往往会感到信息过载。有研究表明,如果信息主体要阅读其所有的隐私政策,每年需平均付出244个小时[5]。而隐私政策的专业性也为信息主体理解隐私政策的内容筑起了壁垒,这些内容可能使用户无法准确理解而在形式上同意。最后,信息主体同意流于形式。有的信息处理者可能设置默认同意或预设项,使信息主体在注册或者使用服务时已被默认同意某些款项。此种情况下,信息主体的同意是否真实有效存在疑问。虽然《个人信息保护法》对于同意进行了不同种类的划分,但是实践中信息处理者往往为了经济利益,以最小成本、最大限度内获取信息主体的个人信息。默认同意是信息处理者获取的常见同意类型之一,此外还有概括同意,即收集信息时不会告知收集何种信息、用于何种目的等与信息主体利益高度相关的内容。而且信息处理者还会以提供免费服务或者其他经济激励来换取信息主体的同意,信息主体可能为了经济利益采取形式上同意。综上来看,知情同意规则3个阶段在网络空间的异化共同导致了其适用流于形式的弊病。

2.2 隐私政策的适用困境

隐私政策是网络服务提供者自律的重要工具,其一方面让信息处理在法律框架内合法运行,减少了法律风险;另一方面使信息主体了解如何收集、使用、存储和分享用户信息,并提供撤销同意的方式保护用户的权益。隐私政策作为网络服务提供者与用户之间订立的合同,其规定了双方的权利和义务内容,属于格式条款[6]。然而,网络空间中隐私政策适用主要存在以下3个方面问题。一是许多用户通常不阅读隐私政策或者隐私政策设置默认同意。碍于用户的理解能力,其通常只是简单点击同意并继续,对于同意的内容还处于不明晰的状态,而有些网络服务提供者正是利用这一点,通过设置概括或者默认同意收集个人信息。二是隐私政策平衡问题。现代互联网企业通过收集和分析个人信息为信息主体提供个性化服务,增进用户体验。但隐私政策格式条款性质让用户处于劣势地位,其为网络服务提供者过度收集个人信息提供了有利性工具,压榨了个人对个人信息享有的权益空间。三是隐私政策的监管上,受到行政机关的制约,行政机关对隐私政策的监管主要考虑内容合规性,在发生侵权事件后也以规制企业为重点,这不利于个人信息保护上国家义务的展开,且行政机关规制也是在侵权大规模、有损害后果发生后才介入,这显然不利于个人信息保护。正是隐私政策内部与外部问题的交织导致了隐私政策网络适用出现问题。

2.3 知情同意规则内在结构失衡

网络服务提供者通过隐私政策来履行告知义务并寻求用户同意。然而在现实中,多数网络服务提供者仅强化逻辑链条的告知和同意两端,忽略了网络用户的知情权导致出现逻辑断裂的现象。首先,这种强化告知却忽略用户知情的错位使知情权尚未得到实现,因此也无从谈起用户作出的同意内容上的真实性,即同意被架空。以默认同意为例,用户需要专门查找和更改设置,而网络服务提供者通常采用隐蔽的设计,使用户很难找到或理解同意或拒绝个人信息收集的选项,这使得用户在不经意间就同意了数据处理。其次,告知端再详细也难以保障网络服务提供者不会限制选择或者强制同意。比如生活中常见的不接受隐私政策即无法获得相应的服务,这种全有或全无的适用方式会带来诸多问题。这种情况下,平台通过限制用户的选择,强制用户要么接受所有对个人信息的处理,要么完全停止使用服务,正是这种捆绑式的隐私政策为网络服务提供者提供了风险规避的途径[7],通过一揽子同意取得个人信息已经屡见不鲜。为了规避法律责任,网络服务提供者还会在履行告知义务上用合法包装的形式增加用户负担,比如使用复杂、晦涩难懂的术语来描述隐私政策中如何收集、分析和共享个人信息。比如以“提升用户体验”“设备改进计划”等方式迷惑用户,使用户在无法协商的情况下被迫接受。另外,还存在弹窗告知的形式,但弹窗告知会多次跳出来提示用户选择,用户在缺乏理性的情况下连续点击同意弹窗就会暴露自己的个人信息。因为,无论对于网络服务提供者还是用户来说,传统知情同意规则的逻辑在网络空间中无法发挥其正常功能,变革迫在眉睫。

3 网络空间知情同意规则适用的应有之义

在用户点击同意并使用相应的服务时,网络服务提供者与用户之间就达成了合同关系,网络服务提供者就可以依照隐私政策来收集、分析和共享个人信息。因此,此时的同意应当被认为具有意思表示的属性,受到《民法典》中关于民事法律行为及《个人信息保护法》相关规定的约束。但网络空间中的意思表示具有特殊性,具有重新认识其在网络空间的内涵。

3.1 区分信息类型的知情同意规则

对不同类型的个人信息采取不同强度的同意模式是世界范围内的普遍做法,这有助于保护个人隐私并确保信息处理合法。比如,欧盟的《通用数据保护条例》(GDPR)中规定和区分了在收集与处理数据时,针对个人数据需要征得数据主体的无争议同意与针对敏感数据需要征得数据主体的明示同意两种不同的同意类型[8]。并为同意增加了自愿给出的、特定的、知情的和无争议的限定词。相较于欧盟的统一立法模式,美国采取了分散立法与行业自律相结合的方式。比如加州的《消费者隐私法》(CCPA)要求企业在收集、使用和共享消费者个人信息时提供透明度,并为消费者提供选择拒绝其信息被出售的权利。此外,企业通常通过隐私政策来告知用户其信息的使用方式,并在必要时取得明示的同意。在特定行业如医疗领域,美国的《医疗保健信息可移植性和责任法案》(HIPAA)规定了对医疗信息的保护措施,并要求患者提供明确的同意,尤其是在共享或使用其医疗信息方面。可以看出,对于同意规则美国对同意结构的设置是选择退出机制,非敏感数据应用事前同意具有很强的形式特征;在敏感信息场景下则强化事前同意。总体而言,美国采取分散立法,相较于行业自律模式,前者更有利于个人信息价值的发挥和信息高效流通,而欧盟的统一立法被称为最严格的个人信息保护立法的原因在于对个人信息采取严格保护。

我国《个人信息保护法》对知情同意的规定依然遵循依个人信息类型区分使用同意规则。在知情同意规则设计上,《个人信息保护法》并没有说明同意的概念,而是在第十四条以“在充分知情的前提下自愿、明确作出”来限定同意。对于敏感信息则采取单独同意和书面同意的形式。由此可见,我国虽然也是依信息类型区分适用同意规则,但仍存在如下问题:一是对于同意的内涵和外延不明确,以知情、自愿和明确来限定同意实际是抽象对同意的描述,是一种简化规定,需要在具体实践中剖析其内涵;二是信息区分说本身受到个人信息定义模糊、信息聚合效应和技术重新识别等多重挑战。对此,在网络空间中知情同意规则应从静态的、宏观的适用走向场景化的、动态的判断适用,不是所有的个人信息都以知情同意为合法基础,这是推动信息社会发展和人格利益保护的内在要求,因此需明确知情同意规则在网络空间中的适用边界。

3.2 同意行为的法律属性明晰

明晰同意行为的法律属性对了解知情同意规则内涵、推动司法适用具有重要意义。目前,司法裁判中将同意视为意思表示,但是同意不一定与《民法典》中关于意思表示的规定相一致,因为用户选择同意隐私政策时内心一般没有意思表示中的效果意思,即没有追求特定的法律效果。从比较法的观点来看,欧盟《通用数据保护条例》中将同意视为一种意思通知,美国的司法判例也不将隐私政策视为合同。如果将同意行为一律适用意思表示则会导致其在行为能力制度、撤销的除斥期间制度下出现适用矛盾。但同意行为也可能是意思表示行为,当同意的意思内容与法律规定完全相同时,则所引发的自治效果与法定效果一致[9]。《民法典》第九百九十三条允许个人对人格利益的经济利用,且采用的半开放结构。那么用户同意则可以将个人信息出卖来换取服务,其中存在对价关系。如果不存在对价关系则没有效果意思,就不是意思表示。因此,同意行为是否是意思表示要看是否存在对价关系,而判断对价关系则需要结合具体场景进行判断。

4 知情同意规则网络适用的类型化构建

同意行为的法律属性可以表明其不是以单一属性而存在,而是在具体的法律关系场景中判断。因此,以是否存在对价关系为标准对网络空间中的个人信息流通进行场景类型化构建,以明确知情同意规则在实践中的适用内涵。

4.1 对价关系场景下的知情同意规则适用

存在对价关系的场景下,用户可以将自己的个人信息许可给网络服务提供者利用,网络服务提供者为用户提供服务或者产品。此种同意行为应当受到《民法典》中关于民事法律行为的约束,但是民事法律行为中默示也能构成同意的一种,这与《个人信息保护法》中对同意的限定为明确、自愿相差甚远,但默示同意可以达成债法上的效果,据此就可以约束网络服务提供者和用户,双方必须按照合同的内容享有权利和履行义务。根据《个人信息保护法》第十五条规定,用户可以随时撤回同意,因为个人信息承载的利益是多元的,既包括个人人格利益,也有信息处理者依投入的成本享有的经济利益,甚至还有社会公共利益。个人利益作为其中最重要的保护核心,应当允许个人撤回同意。但对于生效的合同,用户应当对网络服务提供者承担责任,这样才能保护个人利益和网络服务提供者的利益,使经济发展与法律制度在实践中实现耦合。因此,在对价交易关系中,知情同意规则是在民事法律行为框架下,受到《个人信息保护法》和《民法典》的双重规制,其类型化特征在于双方构成合同关系,当涉及一般个人信息时,合同双方依照合同订立和生效程序来达成交易;当涉及敏感个人信息交易时,显然同意必须限定为单独同意和书面同意,默示同意不能成为同意的一种。

4.2 非对价关系场景下的知情同意规则适用

非对价关系场景下用户的同意行为不是民事法律行为,不具有效果意思。用户同意隐私政策时一般内心没有受到法律拘束的意思。因为用户不会像订立合同一般仔细阅读合同条款,受巨大的时间成本和短期利益的影响,采取非理性行为是常态。此种解释也能较为妥当地处理《民法典》与《个人信息保护法》之间的关系,非对价关系场景的隐私政策就不能认定为合同,因为立法者若已经通过《个人信息保护法》分配利益和风险,就应当优先适用《个人信息保护法》的规则[10]。比如《个人信息保护法》第十三条规定的其他处理个人信息的合法基础,就不需要作出同意,即使同意不合格也不能实施同意撤回来阻却信息处理活动。此外,非对价关系中的隐私政策还具有格式条款的性质,不是双方经过合意达成的合同,《个人信息保护法》中没有排除适用概括同意,因此可以在格式条款中应用概括同意。当然此种概括同意只限于一般个人信息流通,对于敏感个人信息需要遵守专门的同意规则。

5 结语

在明确知情同意规则所具有功能的基础上,以功能性恢复为导向分析实践中知情同意规则适用困境,明晰其网络适用的具体内涵,结合个人信息类型进行场景类型化构建,达到恢复知情同意应有功能之目的。

猜你喜欢
服务提供者信息处理知情
东营市智能信息处理实验室
基于Revit和Dynamo的施工BIM信息处理
网络服务提供者的侵权责任研究
地震烈度信息处理平台研究
论网络服务提供者刑事责任的归责模式一一以拒不履行网络安全管理义务罪为切入点
CTCS-3级列控系统RBC与ATP结合部异常信息处理
论网络服务提供者的侵权责任
知情图报
网络服务提供者第三方责任的立法审视
浅析知情同意在药物临床试验中的实施