數字經濟時代下知情同意規則的法律研究

白碩 曹宇軒

中國互聯網近年來發展迅速，數據信息正以前所未有的速度傳播，但是隨之而來的是不同程度的個人信息泄露，以知情同意為原則的個人信息保護面臨著諸多挑戰。本文主要分析了數字平臺隱私政策中的“同意”，再從三個角度分析數字經濟時代下知情同意規則的不足，結合我國相關的法律規制，最后提出四個法律對策，從知情同意的角度改變“同意”的方式；根據信息等級，進行分層式“同意”；網絡平臺經營者加強對數據信息的管理；信息網絡侵權案件實行舉證責任倒置。

自從2012年進入大數據時代，每天人們都在享受數據帶來的各種福利，在極大促進人們交流的同時，也在極大改變著我們生產生活的方式。手機移動App占據著我們大量的時間，我們的個人信息也隨著我們使用App而流入數據世界。2021年2月3日，中國互聯網絡信息中心（CNNIC）在北京發布的第47次《中國互聯網絡發展狀況統計報告》顯示，我國網民規模達9.89億，較2020年3月增長8540萬，互聯網普及率達70.4%。傳統的“同意”模式讓知情同意原則喪失其存在的價值，使得我們在“不知情”中不停點擊“同意”，使得我們的個人信息時刻面臨著被侵犯的風險。傳統的“同意”規則無法更好地保障公民的個人信息安全。研究知情同意規則，是理論創新的重要尺度。特別在當今大數據時代，公民的個人信息極易泄露的背景下，在《民法典》《個人信息保護法》出臺的背景下，知情同意原則的創新有利于法律跟上時代的步伐，更好地解決現實生活中個人信息的諸多問題。

目前市面上的移動社交類App的隱私政策基本都以格式條款的形式呈現，信息收集者單方面規定了一次性全部授權的同意方式，作為用戶，基本喪失了選擇的余地以及對個人信息的控制。同時，隱私政策的位置往往比較隱蔽，用戶一般情況下不會選擇尋找隱私政策來閱讀，即使找到隱私政策，又由于其篇幅過長等原因不愿意閱讀。在這種不知情的情況下，信息主體很難實現真正意義上的“同意”，有以下三個困境。

非知情的“同意”

目前，知情同意原則是個人信息合法性的來源之一，包括“知情原則”和“同意原則”。知情是指對信息掌控者收集的個人信息的內容、類型和目的的了解。同意是指對個人信息處理或授權行為的同意，是個人意志的一種表現形式。立法者針對這一點，在《個人信息保護法》第14條強調了“充分知情”。但是現實中 App的運營商并沒有真正落實這一點。隱私政策的閱讀時間成本較高，大多數人并不會主動讀App的隱私政策；其次，即使人們閱讀了App的隱私政策，他們也無法掌握晦澀難懂的語言表達；再次，即使人們閱讀和理解App的隱私政策，但缺乏相關的背景知識來支持其深思熟慮后的決定；最后，即使人們已經閱讀并理解了同意政策，并且有相關的背景知識能夠做出深思熟慮的決定，數據掌控者并不總是提供相應的條件讓人們選擇。可見，大多數用戶對App內的隱私政策并不知情，無法做到信息主體對信息收集者收集個人信息的內容、類型、用途有所了解。因此大多數的隱私政策割裂了“知情”與“同意”。

二次利用信息中“同意”的缺位

二次利用是數據從業者對信息主體在初始信息收集的基礎上，對以數字或圖像形式呈現的數據進行處理、分析和處理，并加以利用的過程，這是通過在不同的層次和層次上使用初始信息來最大化信息的效用。移動社交類App的隱私政策，用戶往往勾選“同意”即確認接受該App提供的各項服務，相應地App會收集用戶的個人信息以提高服務效率。然而，許多信息收集者在用戶的實際使用中未能遵守相關承諾，可能超出了承諾的適用范圍，或者未經信息主體同意和授權與第三方共享數據信息，這些都是侵犯用戶數據隱私的行為。

“同意”缺失撤回權

目前法院的司法實踐中普遍將隱私政策視為合同，例如《最高人民法院公報》“來云鵬與北京四通立方公司服務合同糾紛案”的判決書中，將新浪網在網站頁面上向用戶展示的網站服務條款內容認定為格式條款的合同。《民法典·合同編》中對格式條款作出了有利于消費者的規定，但是在互聯網信息的處理中仍難以消除對信息主體的不利影響。若個人信息仍具有人格屬性，其遭受損害之后果往往無法彌補。大數據時代，信息主體由于缺失撤回權使得“同意”變得無保障。

在大數據時代，以移動社交App隱私政策為切入點，個人信息的收集和處理非常復雜，信息主體隨時可能失去對個人信息的控制。傳統的“同意”規則受到挑戰，因此有必要在中國的個人信息保護中改進知情同意規則。

從知情同意的角度改變“同意”的方式

根據《網絡安全法》第四十一條的規定，信息收集者應當明示收集的目的、方式、范圍。但是收集的個人信息是一個概括性的，無法明確真實的收集目的、方式和范圍。不僅如此，以格式條款形式出現的隱私政策無法對用戶的個人信息進行個性化設置。在傳統“同意”模式下，信息收集者與信息主體之間有一道難以逾越的巨大鴻溝——“打包式” 同意，在 “概括同意”和“被迫同意”的前提下，聲稱保護用戶個人隱私的隱私政策卻沒有達到預期的效果。筆者認為有必要設置一個長效的披露機制，不再是信息收集者發出一個“打包式”的同意，而是使“知情”與“同意 ”成為一個長期的過程，全程追蹤信息的處理與利用。在此機制下，信息收集者的告知義務是長期且不定時的，同時信息主體同意的次數也是長期的。信息收集者需告知信息主體采集信息的主體、信息被收集后的使用目的、信息被處理后的潛在風險、信息流向的第三方等。

根據信息等級進行分層式“同意”

信息主體根據特定場景評估信息的安全風險等級，并應為此設計一套分層的同意機制。對于個人信息級別的分類，可以使用《歐盟通用數據保護條例》作為參考。根據風險評估的結果，數據風險等級可分為低，中和高等級。同意是意思自治原則在個人信息保護領域的體現，當存在風險等級為中的情況時，信息主體未明確表示退出信息處理過程的不作為視為沉默的意思效果。在此層級中，筆者將信息主體的沉默擬制為同意，這一點主要參考了《信息安全技術公共及商用服務信息系統個人信息保護指南》第5.2.3條的規定，處理個人信息前要征得個人信息主體的同意，包括默許同意或明示同意。收集個人一般信息時，可認為個人信息主體默許同意，如果個人信息主體明確反對，要停止收集或刪除個人信息；收集個人敏感信息時，要得到個人信息主體的明示同意。當風險等級為高級時，信息收集者應向信息主體提供顯著的告知方式，并需要信息主體做出積極的同意，事前的同意。

網絡平臺經營者加強對數據信息的管理

企業在收集信息主體的個人信息之后，可以根據信息主體的好惡，為其提供個性化的服務以提高該企業的產品競爭力。以阿里為例，阿里數據的商業用途包括：根據消費者的日常瀏覽分析該用戶喜好什么商品，做到“比消費者更了解消費者”；為商家提供全方位的消費信息，有利于提高商家自身的優勢；分析金融生態，幫助微小企業和商家在接受金融服務和貸款服務時更加快捷和順利。但是，在大數據飛速發展的今天，個人信息在互聯網上更容易被無形地收集和不正當利用，而媒體報道出來的信息基本上都是個人信息被不良商家收集與利用，侵害用戶的合法權益。由此可知，信息收集者與信息主體之間存在著信息落差，而這樣的信息落差使得信息主體未能真實感受到自己的個人信息被如何使用，同時使得市場機制未能有效加以回應。經濟學中將市場比喻成一只看不見的手，那么在法律上亦可借鑒這種辦法，鼓勵企業規范收集、利用和分享個人信息，增強信息透明化，使信息主體的同意更加有效。但是，縱觀工業革命的歷史，市場常常存在失靈的狀況，究其原因是不能實現資源的有效配置。因此筆者認為應當由政府的立法來彌補市場自律規范的不足。政府提高數字化治理能力和逐步完善法規、政策在內的管理機制，維護行業競爭規范，保護信息主體的個人信息，防止網絡平臺經營者侵害信息主體的個人隱私和信息。

信息網絡侵權責任案件實行舉證責任倒置

信息收集者在交易中占據著優勢地位，收集了大量的個人信息，信息收集者對被侵害的事實證據比信息主體更近，應該由其來舉證。因此，筆者認為要參照過錯推定責任，要求信息收集者證明信息泄露等原因與其行為不存在因果關系、不存在過錯。具體而言須圍繞以下幾個方面進行舉證：其一，舉證證明自己采取了安全措施；其二，通過操作痕跡舉證證明公司員工接觸信息的情況；其三，對數據系統的信息所有方、經營者的數據可修改能力進行舉證等等。雖然在短期內這種舉證責任倒置會使信息收集者疲于應訴，但是事物是不斷發展變化的，隨著舉證責任倒置的規則運用成熟，會更好地保護個人信息和信息主體的合法權益。

[本文系基金項目：2020年北京市教育委員會大學生畢業設計科研類實培計劃“民法典與個人信息保護”（項目編號：199）的研究成果。]

（北京物資學院）