知情同意原則在信息采集中的適用與規則構建

鄭佳寧

內容摘要：用戶的知情同意作為企業采集用戶行為信息應遵守的一項原則，是用戶行為信息采集的合法性基礎。在信息采集中的選擇與參與機制中，我國宜采擇入為主的知情同意規則設計。在其必備前提——告知環節，針對信息采集行為的主體、行為信息的類別和使用目的、采集后的處理行為和用戶行為信息流向的第三方等方面，均應履行告知義務。對用以進行行為化定位等特殊用途，還應進行專門披露。在用戶同意規范制度的設計上，用戶同意類型需要進一步區分;同意的有效形式應該更加審慎;同時，對用戶同意外的其他采集合法性基礎應進行明確。

關鍵詞：數據信息 信息采集 合法性基礎 知情同意 擇入機制 擇出機制

中圖分類號：D913文獻標識碼：A文章編號：1674-4039-（2020）02-0198-208

用戶行為信息，可被定義為用戶使用互聯網企業所提供的服務或產品時，伴隨使用服務之行為而生成的一系列數據信息。具言之，包括用戶通過鼠標、鍵盤、手機、智能手環、語音識別設備、智能化觸控設備等信息輸入端硬件設備訪問瀏覽器、網頁或其他設備界面，以進行諸如點開視窗、滑動瀏覽、輸入信息、關鍵詞搜索、發表評論、上傳圖片、提供定位、在線交易、下達指令、個性化設置等具體行為。用戶行為信息的生成既可能是用戶在使用互聯網產品或服務時主動、有意識地提供，也可能是用戶使用在線服務的行為軌跡，在無意識狀態下不知不覺地被互聯網企業的自動化信息抓取工具所采集而生成。用戶行為信息能夠直接反映用戶個人在信息世界中的行為概況，經分析后進行的數據畫像與基于畫像結果的定向廣告推送更關乎用戶的個人隱私與人格自由。因此，用戶對行為信息似乎理所應當地應擁有某種控制權利——不管這項權利是被視為獨立的自決權，還是被認作個人隱私空間在數據信息視域中的自然延伸。無論如何，均需承認的是，用戶才是行為信息商業化流轉的初始源頭。也正基于此，各國立法幾乎不約而同地將征求用戶的知情同意作為企業采集用戶個人信息時應遵守的一項原則。

一、知情同意—用戶行為信息采集的合法性基礎

同意原則根植于契約自治理論之中。在行為信息采集的場景下，不同的互聯網企業與用戶之間均存在著內容近似的合同關系，而企業對用戶行為信息的采集恰是用戶與企業所訂立合同的內容之一。自動化、信息化的網絡平臺雖使得借助互聯網技術訂立的合同在細節上與傳統意義上的合同有所不同——如我國《電子商務法》即規定用戶“提交訂單”之行為可以被視為締結電子商務合同的承諾行為。〔1 〕互聯網上用戶與企業之間的種種交易當屬合同法規制范疇，用戶行為信息的采集自然也在其列，其法理前提理應是由用戶與企業間訂立的諸如“服務協議”“軟件使用許可協議”甚至“隱私協議”等一系列協議而構建的合同關系。這種互聯網企業與用戶間就互聯網產品使用與互聯網服務而訂立的系列約定，因其權利義務關系的復雜且不斷發展的現狀而暫未在合同法中取得有名化地位，〔2 〕但亦在基本的對待給付上擁有共性，可資分析。

具言之，以合同理論的視角來看，互聯網服務合同的對待給付一面是企業所提供的諸多網絡產品或服務，另一面則相應地是用戶為企業所貢獻的價值。后者既可能體現為直接的現金給付，如用戶所支付的注冊費、會員費抑或直接為產品付出之費用。與此同時，也可能是間接的、潛在的價值讓渡，其典型正是企業對用戶進行的行為信息采集。這些用戶行為信息正如同隱藏的黃金礦脈，具有極高的價值回報潛力，將為企業帶來高額的收益——與用戶相關的數據信息已經被人們視作一種價值豐富的商品，只需極少的數據挖掘成本投入，就可能收獲巨額的利潤回報?！? 〕應特別說明的是，商業實踐中用戶所享受的免費互聯網服務，并非毫無對價，往往是以用戶對行為信息采集之容忍為代價。正是因基于用戶行為信息的定向廣告推送所帶來的巨大利潤，以搜索引擎網站為首的眾多互聯網企業方能向用戶提供“免費”的服務或產品。當然，在一些用戶為互聯網產品或服務付費的場景下，用戶行為信息本身也許并不單獨地構成合同的對待給付。但無論如何，在當今以用戶需求為導向的互聯網商業模式下，采集用戶行為信息已經與互聯網服務的個性化提供模式密不可分，互聯網企業很難對唾手可得的用戶數據信息資源做到視而不見、過而不取。

無論企業對用戶行為信息的采集是互聯網服務合同訂立的本質目的，還是互聯網服務提供所必然伴生的副產品，行為信息的采集均匿于用戶與企業間合同法律關系之中。那么，用戶對于采集其行為信息的同意在這一過程中又處于何種位置呢？依循合同法理論的思路，用戶當然地享有締約之自由。因此，當且僅當用戶作出同意之意思表示，自愿進入包含行為信息采集內容的契約關系時，企業對用戶行為信息的采集方才具備了正當化基礎。事實上，用戶同意所展示出的正當化采集行為之法律效力，并非僅停留在合同法理論中契約自由的層面。用戶自行選擇與企業建立以行為信息采集為內容的法律關系，更蘊含了作為私法筑基之石的私人自治原則之價值。就行為信息采集的情境而言，同意是用戶個人就信息進行自決的意思表示，故而，將用戶同意作為企業采集用戶行為信息的合法化基礎無疑是對私人自治的尊重與保護。

誠如前論，征詢用戶的同意正是私人自治原則在涵蓋信息采集內容的互聯網服務合同情境中的應有之義，亦是判定企業能否合法采集用戶行為信息的關鍵節點。應補充說明的是，用戶的同意并非徑直作出，同意與知情這一前提牢牢綁定，難以分離。如從契約自由的角度出發，個人自愿創設契約關系并受其約束的當然前提便是清楚地知曉該契約的權利、義務與責任內容，任何合同的當事人都不會也不應受到未知條款的約束，這是合同法中不言自明的原理。從經濟學意義上而言，個人在信息不對稱的前提下對自身事務的安排當然也不再具有效率上的優先性。由此可知，用戶的知情是用戶對采集行為作出同意表示的必然邏輯前提，欠缺知情的同意無疑將存有瑕疵。

用戶的知情同意是用戶作為個體就本人事務自決之行為，那么法律何以如此關注采集的同意這一私人自治之環節，甚至專門就其內容和形式作出規定呢？背后的原因在于，私人自治只有在各有關交易主體之間在經濟、社會等諸多方面力量均衡的條件下才能得以實現。在當前的技術背景下，諸多因素共同決定了，用戶在與企業就行為信息的采集的潛在角力過程中，幾乎必然落于下風。因而，用戶很難真正地在知情和理解的基礎上自由地行使對于自身行為信息采集和后續處理過程的自決權利。其中，最重要的影響因素如下：

其一，在經濟上占據強勢地位的互聯網企業得以通過對隱私政策、用戶界面的刻意設計，使用戶難以形成對行為信息采集范圍、方式、用途的正確認知。隱私政策設計上，企業往往會向用戶提供篇幅冗長、排版混亂、結構復雜且文字詰詘聱牙的隱私相關條款，使得用戶難以清晰地知悉其行為信息經采集后可能伴隨的隱私風險。界面安排上，企業可以輕易地通過技術手段，在界面上插設誤導性鏈接、無法返回的按鍵、無必要且復雜的表格，甚至刻意遮蓋有關內容的彈窗，以在用戶瀏覽信息采集相關的隱私警示條款或作出同意表示時進行干擾或影響。由此，復雜的隱私政策使得用戶無從確切地認識到行為信息采集的過程與潛在風險，不友好的界面則使得用戶即便對企業的采集行為心存顧慮，亦難以作出“不同意”的拒絕表示。

其二，信息的過載和不足同時存在，導致用戶知情大打折扣。一方面，在采集前的知情環節中，用戶面臨著大量數據信息的不間斷轟炸。宏觀上，當前數據主導的商業模式使得用戶行為信息的采集已經成為了互聯網企業生存和發展的必然手段，用戶無時無刻不面對著企業請求采集其信息的請求和附帶的告知條款。微觀上，正如前述，形形色色隱私政策都具有篇幅冗長、信息繁多的共通之處。故而，有助于用戶作出決定的少數有效信息被刻意混雜在海量無效、無關信息之中，信息篩選無異于大海撈針。如此畸高的信息提煉成本用戶當然無力承擔，知情流程自然將流于形式。因而，所接收信息總量過載并不意味著用戶擁有充足的信息來源，反而，用戶還同時面臨著信息不對稱所導致的有效信息不足。

其三，用戶固有的認知局限和行為偏差，加之智能化處理的黑箱效應，使得用戶信息自決的結果難以被準確預料。撇開信息不對稱的外部影響，理性的局限往往會使得人類陷入諸多偏差之中，最終將使用戶很難真正認識到用戶行為信息經采集、處理后可能對其隱私等人格權益帶來的不良影響，或即便認識到了風險，亦會因為對未來利益的忽視、過于樂觀和感性，忽略而容忍存在不可控風險的采集和處理行為，因而作出于己不利的信息自決。除此之外，即便是企業，亦無法完全掌控數據信息經自動化處理后可能帶來的嗣后風險，因為大多的處理行為已經在人工智能的“黑盒”中進行，其極高的運算速度和復雜的程式設計無疑加劇了結果的不可預料性。

二、擇入機制與擇出機制的討論—知情同意原則的實踐抑或背離

有鑒于私人自治價值的局限，盡管各國幾乎均對信息采集同意這一私人自治環節進行了一定規則干預，并將知情同意提高到了信息采集原則之高度。然而，知情同意原則在各國立法中的應用方式卻不盡相同，與保護個人信息和促進行為信息商業化利用的實效亦是大相徑庭。其中一項顯著的區別在于：是否將主動征求用戶的知情同意作為一項必須的采集正當化前提;還是可憑借用戶的不作為表現徑直推定用戶的知情同意，轉而賦予用戶不同意繼續被采集時的拒絕權利——這項區別標準正是知情同意的擇入機制與擇出機制劃分之關鍵。

擇入機制與擇出機制的提法圍繞著用戶在采集中的選擇與參與展開。企業雖然是用戶行為信息的采集者，但用戶行為信息的根本源頭是用戶本身，有關擇入機制與擇出機制的探討正體現了用戶在行為信息采集中不容忽視的角色。質言之，用戶對采集過程的參與有兩種基本的路徑：

一是擇入機制。即用戶主動通過肯定性的表示，選擇參與行為信息的采集進程。在擇入機制路徑下，用戶行為信息的采集前提是征求用戶的許可，否則，采集的進行將欠缺合法性基礎。

二是擇出機制。即用戶在采集過程中擁有選擇退出的權利。企業對用戶行為信息的采集無須征得用戶的事前同意即可開展，用戶所能做的選擇僅僅是采取行動退出采集流程。應予以明確的是，擇出機制中，所謂的用戶事前同意是被推定的“默示同意”，用戶所切實擁有的權利只是被采集后的“不同意”，即拒絕的權利。擇入機制與擇出機制的立法選擇背后體現了各國在平衡用戶與企業利益時不同的政策考量。擇入機制在設計上顯然更為偏重用戶對相關個人信息的掌控與自決，強調非經明示同意，企業不可擅自對用戶的行為信息進行任何方式的采集;而擇出機制則反而更為偏重用戶行為信息的商業化利用效率，企業對于采集便利化的訴求在這一機制下更易實現。

從當前全球的立法情況來看，歐盟由《一般數據保護條例》為統領的用戶個人信息保護規則采擇入機制作為主要的采集范式。該條例將用戶的知情同意作為采集合法最重要的前置條件，并將采集同意的證明責任置于數據控制者，即企業一方。〔4 〕故而，歐盟以擇入為主的采集機制設計更傾向于保護用戶就個人信息所擁有的權益。美國的用戶知情同意機制則以擇出式為主。聯邦立法上，按照《電信法案》的規定，互聯網內容提供商在為使用或分享采集敏感的用戶個人信息時，應當遵照擇入機制，取得用戶的同意;而在采集內容更為豐富的非敏感個人信息時，則只需采用擇出規則即可。〔5 〕值得注意的是，2016年美國聯邦通信委員會曾就加強寬帶和其他電信運營商在采集用戶個人信息時披露相關信息且征求用戶同意的義務方面頒布了命令，要求互聯網服務提供商也應適用并遵照上述電信法案的規定。不過，該命令在2017年于立法程序上遭到了美國國會的否決。從該命令受挫之結果可以推斷出，美國聯邦層面在用戶信息采集上的政策導向顯然以企業的商業化利用為先。在州立法層面上，即便是當前最為嚴格的2018年《加州消費者隱私法案》，從其規定亦足以看出擇出機制的主導地位——企業采集用戶個人信息時并無征求同意之義務。企業可先行采集用戶的行為信息，只是在采集行為發生時或發生前，應對用戶進行相應的信息披露?！? 〕可見，美國以擇出機制為主的采集機制設計對企業采集用戶行為信息的效率和便利更為看重。

倘若以規則適用的視角切入，擇入機制和擇出機制的區別即體現在，當用戶本身并未對行為信息的采集作出肯定的意思表示時，是否存在一項默認用戶對此表示同意的缺省規則。在擇入機制下，欠缺用戶的明確同意即意味著默認的規則是用戶行為信息采集的禁止，而在擇出機制下，只要用戶未曾通過某種流程表示反對，則默認用戶行為信息可被合法采集。事實上，在用戶行為信息采集這一過程中，缺省規則 〔7 〕的設置頗為必要：一方面，缺省規則有著強制性規則所不具有的靈活性，它并不對身處商業實踐中的用戶或企業施加任何法律上的強制力，而僅僅為不完備的私人約定提供兜底的補缺規則。如此一來，用戶行為信息采集情境的多樣性得以被顧及，進而促進了用戶行為信息的商業化利用。另一方面，缺省規則具有很強的規則粘性。事實上，相當比例的當事人在實際交易時會遵從缺省規則的內容而不是耗費額外的締約成本，進行另行約定，這可歸因于缺省規則對締約協商等交易成本的大幅減省之效。正因如此，用戶行為信息采集統一的缺省規則必須審慎設計。

筆者認為，基于下述兩點理由，我國宜采擇入機制為主的知情同意的缺省規則：

其一，從缺省規則的法理來看，缺省規則的一大功能，是緩釋締約雙方在信息地位上的不對稱所引發的不完全契約問題。就企業對用戶行為信息的采集而言，企業作為采集主體掌握著包含采集方法、目的、后續處理與風險在內的大多數相關信息，當然地占據著信息高地。盡管將締約相關信息盡數披露給用戶能解決雙方在信息上的不匹配，有利于整體締約收益的提升，但企業作為逐利的理性人，顯然會更愿意隱瞞部分信息，以追求己方在締約過程中的最優位置——與其做大蛋糕，不如利用信息之不對稱為己方爭取更多的利益分配。因而，為緩解用戶信息采集過程中企業與用戶間的信息不對稱，缺省規則的安排就自然應當偏向處在信息劣勢的用戶一方，也即以須取得用戶事前知情同意的擇入機制為默認規則。如此一來，立法者將能借助擇入機制的規則粘性改善用戶在行為信息采集過程中的信息劣勢，消減企業信息尋租之行為，從整體上促進用戶行為信息采集的社會效益產出?！? 〕

其二，在某些歐洲學者看來，“先同意、后采集”的擇入機制無疑是對知情同意原則的根本貫徹;反之，擇出機制則是“掛羊頭賣狗肉”，以“默示同意”為幌子，實際則背離了知情同意原則的基本理念。蓋因從本質上看，這一擇出機制并沒有為用戶提供做出同意選擇的任何空間?！? 〕擇出機制的邏輯下，用戶的沉默，或者訪問網站、點開手機App等不相干行為，將被企業視作對行為信息采集的“默示同意”。故而，往往在用戶登陸網頁、打開App或其他智能設備的同時，企業即已經基于此“默示同意”，使用Cookies等自動化工具開展采集，用戶對此無置喙余地，所擁有的權利僅僅是退出與拒絕。況且在擇出機制下，即便是退出與拒絕權利的行使亦并不輕松，往往需要經由一系列程序方能成功退出，故用戶對應用擇出機制并不歡迎。故而，擇出機制在歐洲的實踐應用容易受到司法的否認。1995年英國的Linguaphone Institute Ltd訴Data Protection Registrar一案中，英國數據保護法庭即否認了該案件中Linguaphone公司向用戶所提供的擇出式采集同意征集方式的有效性。該案中，Linguaphone公司僅僅在訂單界面表格的尾部，用極小的字號，給用戶提供了表示拒絕個人信息采集的退出彈窗框。雖然，法庭未對擇出機制作出普遍意義上的論斷，但至少認為本案中Linguaphone公司采用的方式無法獲得用戶對采集的有效同意?！?0 〕

三、告知—知情同意原則的必備前提

知情同意原則下，企業應負告知義務已廣為立法與實務界所認可。然而，告知的內容和方式在各國卻尚無統一的標準。企業往往通過行文冗長、信息混雜、用詞艱澀的隱私政策等方式向用戶告知其行為信息的采集情況，〔11 〕知情環節時常淪為形式，用戶基于不充分知情所作同意在效力上亦飽受爭議。可以說，知情前提上存在的瑕疵，很大程度上影響了知情同意原則理論踐行的有效性。因此，知情同意原則中的告知環節應達到下列標準：

第一，采集告知的表現形式應當是清晰且顯著的。誠如前文所述，當前，載有告知內容的隱私政策、隱私協議、信息共享協議等文件在用語上青睞專業詞匯，致整體行文生澀難懂;在篇幅上好長篇大論，似把告知文稿當作免責協議，欲將所有相關內容融于一體;在結構設計上復雜混亂，輕重失調，將重要信息混藏于海量無關信息之中。〔12 〕這類采集告知使得用戶難以在真正知情的前提下作出同意，企業與用戶也就無法在行為信息的采集上達成合意。就此，立法者呼吁企業加強隱私政策的透明度，有學者亦對采集告知環節信息透明度的增強提出了如下建議：其一，用語上避免采用生澀的法律或計算機技術專業術語，轉而使用平實且直白的語言進行表達。在向用戶告知采集相關信息的環節中，專業的用語非但不能有利于表達，反而將使不具有專業素養的用戶難以理解有關內容。其二，告知形式應當顯著，這意味著記錄告知內容的隱私政策等形式須出現在用戶可能看見的界面之中，且這種看見的可能性至少應當是合理的。譬如，在用戶需要以電子簽名等方式提交采集同意之確認的界面上，既應簡明扼要地顯示將采集信息的類別、用途、采集方式、第三方等要點信息，又應在該界面上提供顯著的鏈接，以便用戶查看完整的隱私協議內容?！?3 〕

第二，采集告知的程度應當深入揭示采集行為信息的方法與目的，并適當提示行為信息經采集處理后的預備用途與潛在風險。有些企業以復雜且模糊的形式向用戶告知情況，其目的在于刻意隱藏或回避信息采集后的處理和應用方式，以免用戶意識到風險而拒絕同意。目前，采集告知所缺失的典型內容，并非通過積極或消極方式所采集的行為信息本身之類別，而是這些被采集行為信息的后續處理過程，后者往往能夠在某種程度上改變行為信息的價值和其可能帶來的風險。因此，采集告知內容需要得到清晰化、分層化的處理。企業就行為信息采集所進行的告知不應當將確定的事實與可能的風險混為一談，不能對無法確知的后果進行武斷的保證，當然更不能刻意地模糊可能對用戶帶來隱私風險的后續處理過程。采集的告知在內容上應當是漸進的，具備一定的層次。第一層次的告知應當在采集行為本身的層面進行。企業應當以清晰且平實的方式向用戶說明采集主體、被采集行為信息的屬性和內容，以及所使用自動化采集工具的基本功能等情況。第二層次的告知則不應僅停留在采集環節本身，而應深入采集后自動化處理的層面，將人工智能和算法對行為信息后續利用環節帶來的不確定性和潛在風險毫無保留地充分告知用戶。

具言之，企業至少應加強下述方面信息的告知：

首先，采集行為的主體。主體是合同締結時必須顯現的內容，不知主體，則用戶無法憑借外部信息對采集者的信息安全把控能力作出預判。譬如，歐盟即要求隱私聲明等告知文件，應明確展示數據控制者的身份。〔14 〕歐盟語境下的數據控制者，實際上僅指向采集主體中單獨或共同決定個人數據采集、處理目的與方式的實體?！?5 〕筆者認為，披露控制者固然是必須之舉，其余參與、輔助或者能直接經采集而獲取用戶行為信息的主體亦應被定義為采集者，并在告知中如實披露。如采集用戶信息的企業可能隸屬于某一集團，則其控制者既可能為母公司，又可能為承擔某一瀏覽器、網頁或手機App項目的特定子公司。此時無須踟躕于判斷控制者之身份，參與采集之采集者均應得到披露，且其在采集中的不同角色擔當亦應載明，以助用戶對采集主體形成正確認知。類似的做法亦應適用于同一界面多采集主體的情境，與因收購等控制權變動而發生主體性變化的情形。之所以對采集主體的告知作出堪稱嚴苛的要求，是因為用戶作出同意采集的決定在一定程度上是基于對所有采集者的商譽、隱私保護政策和措施的信賴。

其次，行為信息的類別和使用目的。行為信息是采集行為的對象，當然地居于應被告知內容的核心地位。用戶同意的具體性要求，是指就個人信息處理的同意，必須針對具體的情形明確作出。從合同理論的基本原理出發，意思表示必須是明確且具體的，概括的同意顯然不符合法理之要求。具體的同意自然需要相應的具體化告知，以消除用戶與企業間的信息不對稱。一是要明確欲采集信息的類別。即企業應對目標信息以合理的標準進行分類，向用戶告知具體的類別。二是要明確采集和使用用戶行為信息的目的，這既包括通用目的，也包括特殊目的。美國加州《消費者隱私法案》也明確要求企業對所采集消費者信息的特定使用目的進行告知?！?6 〕采集和使用行為信息的目的應事前即被明確告知，行為信息不得為未被告知的目的而使用。

第三，采集后的處理行為。企業的告知應如實闡述行為信息分析的深度，著力于消除采集后續處理行為中的信息不對稱現象。企業對信息的處理手法決定了數據挖掘所能達到的深度。Web 3.0時代下，各源頭信息的相互融合已成為大勢。特別需要注意的是，互聯網企業完全有能力，將通過電腦、手機客戶端、智能家居設備等多源頭采集的用戶行為信息融合一體，如Apple集團同時為電腦、手機、家居設備提供軟件服務，并通過Siri等跨平臺項目同時采集用戶信息。這種多傳感器信息融合（Multi-sensor Information Fusion， MSIF）的信息采集和處理方式很可能使得諸多原本十分簡單的行為信息在無數次的智能化融合后，成為能夠反映更為復雜現象的重要信息。此外，多傳感器信息融合處理還可能由人工智能算法進行，其結果無法被完全預測，故原本與隱私等人格權益無涉的行為信息經融合后亦可能變得更為敏感。因而，倘若企業將可能同時通過多種設備采集用戶行為信息，應當對此進行清晰的特別告知。

第四，告知用戶行為信息流向的第三方。即便是經企業采集、處理后，用戶行為信息亦不同于企業制造的產品，不可為企業所自行交易、自由處置。這是因為只要未經匿名化這一特殊處理環節，行為信息就仍與用戶個體的人格緊密關聯，企業只有在滿足個人信息保護的基本條件后，才能對采集、處理后的信息具有完全的支配權，充分實現經營者信息的財產價值與個人人格尊嚴的和平共處。〔17 〕因而，行為信息的后續處置與流轉同樣不能繞開用戶，應在征得用戶同意后方可為之。出于商業利益最大化的考量，互聯網企業與第三方之間的數據流通被刻意地隱瞞，利益相關者之外的知情者寥寥無幾。這也使得實際掌握了用戶行為信息的眾多數據中間商隱匿在社會視線和規范底線之外。這些身份晦暗的數據中間商專營數據處理與分析，采集到用戶行為信息的企業將信息傳輸給數據中間商，后者將其進行格式轉化、內容萃取或者行為化定位等處理，再將其打包轉賣。數據中間商因而成為用戶行為信息商業化流轉過程中必經環節。這一灰色交易鏈條顯然威脅到了用戶個人信息的安全，因而，是否有第三方參與處理或受讓用戶信息，理應在告知內容中占有一席之地，用戶需在充分知情的前提下決定自身行為信息的進一步去向。

最后，當用戶行為信息被進一步處理且用以進行行為化定位、個性化推薦、自動化決策等用途時，企業應當告知用戶行為化處理之事實、原因、基本算法邏輯、預期分析后果與可能產生的風險?！?8 〕行為化定位處理的核心做法是借助人工智能的高速運算和自我調整能力，構筑出用戶的數據畫像。當用戶的數據畫像被企業所掌握，對個人的隱私以及其他人格權益的影響將超乎一般的處理行為。與此同時，基于數據畫像，互聯網企業得以有針對性地進行個性化的客戶端界面設計、差異化的服務提供以及定向廣告推薦。這些額外的數據用途既為用戶帶來便利與舒適，也可能帶來隱私空間的侵擾、價格歧視、廣告騷擾等種種后果。此外，自動化決策，或稱AI輔助決策亦很可能給用戶帶來有失公平的待遇?！?9 〕基于行為信息的人工智能預判和決策也許在宏觀方向上并無謬誤，但由于其本質是對用戶的內在特征和行為模式的大數據推測，而非確定的事實，故其決策結果一定存在某種偏差。在數據分析技術廣泛運用的情形下，對于欠缺專業知識的普通用戶而言，用戶實際上很難知曉互聯網企業對其信息的知曉程度，自然也無從預知互聯網企業對其行為信息的上述用途究竟可能帶來怎樣的后果?！?0 〕故而，倘若企業欲將采集的行為信息用以進行行為化定位等特殊用途，則不僅應在使用目的中進行說明，還應當進行比一般用途更為具體的專門披露。

四、用戶同意規范制度的應然設計

（一）用戶同意的區別化樣式

用戶行為信息采集的情境千差萬別，所需同意的樣式不宜千篇一律，而應有合理的差異性。傳統的用戶同意規則界分方式，是因由采集或后續處理的情境之不同而設置寬嚴相異的同意規則。這種情境化分析的思路源于自然人隱私保護中將隱私侵害置于特定場景中看待的路徑。Nissenbaum教授提出了個人信息采集、處理和利用中涉及隱私保護的情境完整性理論，〔21 〕基于此，企業對于用戶行為信息的采集，理應符合用戶對由全部事件、行為、交易等共同構筑的情境下隱私受保護的合理期待。倘若企業的采集行為超出了用戶基于情境的合理期待，則將可能有侵害用戶隱私之嫌，故而只有在獲取用戶尤為明確的同意表示后，企業的采集方能具有合法性基礎。

在下述兩種情境下，企業對用戶行為信息的采集應取得用戶的明確同意，除此之外的其他情境則一般的同意亦可：一是采集敏感的個人信息。倘使企業所采集的行為信息涉及敏感的個人信息，則在采集時應獲取用戶的明確同意。二是有特殊的后續處理目的。企業采集用戶行為信息既可能是提供網絡服務所必須，也可能是為了以個性化方式提高用戶體驗，還可能是希望借此對用戶進行畫像，并基于畫像之結果進行行為化定位、個性化推薦甚至自動化決策。這些深層次的后續分析將更可能構成對用戶人格權益的侵害。故而，倘若用戶行為信息在采集后將被用于用戶畫像或基于此的行為化定位、個性化推薦、自動化決策等目的進行處理，則企業在采集時即應當告知用戶并征求其明確同意?！?2 〕

上述傳統的用戶同意規則界分方式是以采集行為可能對用戶帶來的后果為導向的。值得注意的是，英國信息專員辦公室（Information Commissioners Office， ICO）于2012年將當時互聯網企業用于采集用戶行為信息的Cookies技術群根據采集功能差異劃分為四種類型，并規定了所對應的不同的同意樣式。這種劃分的基礎是自動化采集工具所具備的不同功能，因而，倘若某一自動化工具兼具兩種以上功能，則應當同時滿足各功能對應的同意樣式之要求。換言之，無論企業在采集時使用的是Cookies、Spyware、DPI還是其他自動化采集工具，都應當按照該工具實際功能所對應的用意樣式征求用戶之同意。

依此區分，可將自動化采集工具區分為下述四類：一是特別必要的工具;二是與服務性能表現有關的工具;三是擁有特定功能的工具;四是用于行為化定位或個性化推薦的工具。其中，特別必要的工具往往是某種Cookie，其應用僅僅是為用戶提供互聯網產品或服務之必需，同時所采集的行為信息數量不多。故而，運用此類工具時可允許企業采用擇出機制，無須獲得用戶對于采集的明確同意，而是通過其持續不斷的訪問行為推定其默示同意，但企業至少應向用戶充分披露該采集工具的具體采集行為。至于后三者，則依其在采集用戶行為信息的規模、深度和影響上的不同，適用程度不同的征求用戶同意之機制——用于行為化定位或個性化推薦的工具在采集功能上表現最為強勢，故應適用最為嚴格的明確同意之樣式。〔23 〕與服務性能表現有關的工具和擁有特定功能的工具則介于最寬松與最嚴格的同意樣式之間。

（二）同意形式的改造

歐盟《一般數據保護條例》中用戶表示同意的有效形式分成兩種，一是表明同意意愿的聲明，二是某項清晰的確信行動?！?4 〕前者是主動地述說同意之意愿，乃是傳統的同意形式，此處無須贅言。后者是以用戶負有確定含義的特定行為昭示用戶同意之意愿。筆者認為，這在用戶行為信息的自動化采集中具有很強的實踐意義。因為在純粹的網絡化環境下，用戶通過點擊等行為所表示的同意信號能夠直接被自動化處理工具所接收，用戶行為信息的采集流程將始終得以自動、高效地進行。典型的表示同意的用戶行為是于在線的環境下點擊復選框。具言之，目前網站或手機App征求用戶同意的通行做法是在頁面上顯示“我同意”“我接受”等類似復選框，用戶以雙擊鼠標左鍵或手指輕摁的方式點擊同意按鈕，即可作出同意的意思表示。在高速的互聯網時代下，點擊的形式盡管便捷有余，可作為用戶同意的一般外部表達形式，但顯然慎重程度不足，至少不應當成為承載用戶明確同意的表示形式。

質言之，設置用戶明確同意之形式，并不以追求效率為本質，而應將關注點更多地投注于外在表示形式與內在意志內容的一致性和匹配性，促使用戶的真實意思能夠得到最為準確的表達。比之過于簡單、隨意的點擊方式，電子簽名似乎更適宜作為用戶明確同意的外在表彰。一是簽名行為有締約的潛在內涵。比起機械性地點擊頁面或彈窗中的諸多選項，用戶在以電子簽名形式作出同意時，更能意識到該同意決定與自我之間的聯系，以傳遞用戶內心之真意。二是具有多樣化的形式，能夠兼顧不同的采集情境。我國《電子簽名法》并未將電子簽名狹義地限定為數字簽名，而是以識別簽名人與確認簽名人認可兩項功能為電子簽名認定的核心?！?5 〕廣義的電子簽名認定路徑與網絡環境下多樣的采集情境更為匹配，不同敏感程度的用戶行為信息之采集可以采用不同的電子簽名形式要求?！?6 〕三是法定的電子簽名形式具有經法律確認的效力。電子簽名是互聯網商業交易普及背景下自然人簽字的衍生形式。為便利無紙化電子交易的進行，各國紛紛頒布法案，對電子簽名的法律效力加以確認。歐盟于1999年制定了《關于建立電子簽名共同法律框架的指令》;〔27 〕次年，美國頒布了《全球和國內商業法中的電子簽名法案》。〔28 〕我國亦于2004年公布《電子簽名法》，明確規定可靠的電子簽名具有與手寫簽名同等的法律效力?！?9 〕可靠的電子簽名在涉及用戶行為信息采集的互聯網服務合同場景下能夠完全有效地表示用戶的締約意思，這將使得用戶的同意擁有確定的合同法律效力，企業依約的采集行為將免于不確定的合規風險?！?0 〕此外，對于敏感程度極高的私密信息，一些學者提出要以嚴于告知同意原則的方式進行采集。〔31 〕于此，可靠的電子簽名作為同意形式的效力加強版本，或可成為私密行為信息采集同意的形式要件。

（三）同意的例外—其他采集合法性基礎的明確

采集行為的同意，本質上為用戶就個人信息進行自決的意思表示，故將用戶同意作為企業采集用戶行為信息的合法化基礎，無疑體現了對私人自治的尊重與保護。然而，盡管私人自治在私法領域中占據著無上的崇高地位，但私人自治不是私法唯一的價值基礎。自由從來不能自外于其他人文價值而獨存，私法同時還追求正義、平等、安全與效率等其他價值?！?2 〕這些價值追求同樣應當經由法律規范而得到明確。《歐盟基本權利憲章》即規定，個人信息處理的正當性基礎既可以是用戶本人的同意，也可能是基于其他的法定事由?！?3 〕

明確用戶同意外的其他采集合法性基礎，體現了一種利益沖突與衡量的邏輯進路。首先，行為信息反映了用戶的網絡化蹤跡，是對個體進行數據造像的基礎。行為信息的背后當然蘊藏著關乎自然人人格的利益，尤其是自然人的隱私利益。法律規范賦予了自然人對個人信息的自決權能，讓用戶自己掌控行為信息的去向。這就是將用戶同意作為采集行為合法化基礎的目的所在。但在用戶個體的人格利益之外，用戶行為信息采集和運用過程還可能牽涉諸多同樣應當得到法律規范保護的利益，這其中既有公共利益，也有其他社會個體的利益。這些利益有著不同的取向，很可能與自然人的人格利益在用戶行為信息采集的節點發生沖突。例如，杭州野生動物世界在未征得郭兵同意的情況下，將園區年卡系統升級為人臉識別，郭兵認為園區收集的面部特征等信息屬于個人敏感信息范疇，故將杭州野生動物世界告上了法庭?！?4 〕又如，在2018年“曬曬你的支付寶年度賬單”活動中，支付寶以默認勾選的方式隱秘地收集用戶信息，隨后，中國人民銀行杭州中心支行以支付寶實施7項違法行為為由，對其開出18萬元罰單?！?5 〕當認定公共利益或其他社會個體的利益在沖突中應得到優先考量時，即催生出知情同意原則的例外—其他應受法律保護之價值的存在，亦是用戶行為信息采集的合法性基礎。

這些合法性基礎通常包括下述內容：其一，公共利益的需要或政府的強制命令。作為社群主義哲學的產物，公共利益代表了社會中多數人的利益訴求。個人的權利行使并不能夠絕對自由，而是要顧及所在社會的公共利益。一旦面臨國家安全利益、公共衛生利益或其他重大公共利益受威脅的情形，企業應以公共利益為重，可不經用戶同意即采集必要的行為信息。此外，在犯罪偵查等情形下，企業應當遵照政府的強制性命令采集并向其提供相關信息。其二，企業踐行法定義務所必要。一些法定義務的承擔，需要企業通過采集用戶行為信息加以完成。譬如，為維護金融安全，我國從事網絡支付業務的互聯網企業不僅需要對用戶身份采取持續的識別措施，還應當確保用戶交易信息的真實、完整與可追溯性。這要求企業對用戶的交易類型、金額、時間、對象、大額支付用途和事由等進行記錄。其三，為企業或第三方的正當利益之必要。倘若法律設置了此項例外，則企業可以為追求自身或其他用戶的合法且正當之利益，在告知用戶后徑行采集其行為信息。這里的正當利益可能包括支持、維護公司業務經營、網絡系統安全、用戶信息安全，以及其他重要的商業利益和運營需求。〔36 〕其四，企業履行與用戶之間的合同所必要。一些行為信息的采集是出于企業與用戶間合同履行所需，如用戶欲享受網絡購物服務，根據服務協議，企業需采集并儲存其瀏覽記錄、購物車信息;在網絡社交服務中，社交App需采集用戶的點贊、評論等信息用以提供社交互動、參與服務;在快遞物流服務中，快遞物流平臺需采集用戶的名址、聯系方式、物品名稱等信息，以履行安全寄遞的服務內容。〔37 〕此時的采集行為以服務合同法律關系為其合法性基礎，無須再取得用戶同意。

筆者認為，設置用戶同意的例外宜審慎為之。這要求立法者妥善處理知情同意原則與其他合法性基礎背后的深層利益沖突，以達到兼顧社會公共利益、商業化的數據需求和用戶人格利益的立法目的。應當清楚地意識到，設置用戶同意的例外，是對以個人信息私人自治為內在的同意原則之突破。因而，用戶同意例外情形之設計應當盡可能地明確，否則，用戶同意機制將被諸多的例外所架空，其作為采集合法性基礎的效力也將相應地遭到削弱。除此之外，即便是無需取得用戶同意的例外情形，企業的告知義務亦不得被豁免。企業應當向用戶詳細地告知無需取得其同意即可采集的行為信息類別、目的等信息。

Abstract： The user's informed consent， as a principle that enterprises should abide by in order to collect users' information relates to behavior， is the legal basis of information collection. As for the selection and participation mechanism of collection， it is appropriate for China to choose the opt-in regime as the main while structuring the informed consent rules. During the notification process， enterprises should fulfill the obligation to inform users of the following matters， including the subjects performing the task of information collection， the categories， the ultimate purpose， disposal of information， and the flow of users' information to the third party. Special disclosure should also be utilized for unusual purposes such as behavioral targeting. Designing the users' consent regulation system， the types of users' consent need to be further distinguished， the effective form of consent should be set more prudently， meanwhile， other legal basis of collection apart from the user's consent is clearly defined.

Key words： data information; information collection; legal basis;informed consent; opt-in regime; opt-out regime