“告知知情同意”原則在銀行業(yè)金融機構中的應用與困境破解

張冉

《個人信息保護法》的出臺推動個人信息處理的“知情同意”原則向“告知知情同意”原則轉變。本文探討了“告知”“知情”“同意”的含義，提出落實“告知知情同意”原則的理想路徑。隨機抽取銀行業(yè)金融機構，通過手機銀行APP的下載使用驗證規(guī)則落實情況。被抽到的銀行在流程和形式上基本符合了個人信息處理的“告知知情同意”原則，但該原則的有效落實仍在各環(huán)節(jié)存在困難，克服這些困難，需要銀行機構、行業(yè)自律組織、金融消費者等的共同努力。

個人信息處理規(guī)則是信息處理者在處理消費者金融信息時需要遵循的基本原則。隨著個人信息保護立法的逐步完善，我國正逐步建立以《個人信息保護法》為統(tǒng)領，其他法律法規(guī)、部門規(guī)章等相互銜接的法律體系。有序推動構建個人信息動態(tài)保護機制，明確個人信息收集、存儲、使用、加工、傳輸、提供、公開、刪除等的基本原則。本文立足《個人信息保護法》，重點分析個人信息處理的“告知知情同意”原則在銀行業(yè)金融機構中的應用，結合銀行業(yè)金融機構個人信息處理實務，提出有效落實“告知知情同意”原則的建議。

一、產品和服務的提供同信息處理密切相關

產品和服務的提供者通常也是個人信息的處理者。個人信息處理者對個人信息的使用同具體業(yè)務場景緊密相關，個人購買產品和服務的時間、地點、數量、金額等的記錄經過積累，可以形成個人購買習慣的記錄。基于大量消費者對相似產品的數據或單個消費者的長期購買數據，產品提供者可以對消費者的行為進行分析，推動產品和服務的改進，對消費者進行精準畫像，開展精準營銷，提升對消費者的促達能力和服務能力，使得個性化、精準化、小眾化的服務成為可能。基于上述原因，產品和服務的提供者有不斷提高數據收集范圍、加大數據利用程度的動力。數據量的多少、數據分析能力的好壞漸漸成為產品和服務的提供者提高競爭力的重要因素。

銀行機構是銀行業(yè)金融產品和服務的提供者，也是消費者金融信息的處理者，金融科技的發(fā)展加深了銀行業(yè)對個人信息的運用。金融科技的發(fā)展帶來銀行業(yè)的變革，支付類工具的深入運用對銀行機構傳統(tǒng)的運營模式提出重要考驗，迫使銀行業(yè)改變傳統(tǒng)盈利模式，順應市場環(huán)境轉型。大數據是信息時代的“石油”，消費者金融信息構成大數據的重要組成內容，越來越多的金融交易與客戶消費或工作生活場景相關聯，通過對金融消費者行為數據的分析，甚至有可能推導出消費者潛在的金融需求和財務狀況，互聯網銀行的發(fā)展便是數據在銀行業(yè)深度運用的典型例子。從有利的角度看，對數據的深度分析推動普惠金融的發(fā)展，提高了金融產品和服務的可得性;從不利的角度看，數據的深度利用引發(fā)信息過度收集、過大范圍共享、過度使用的風險。在個人信息處理前，如何做好信息處理規(guī)則的告知，推動金融消費者樹立風險責任意識，正確看待金融產品和服務帶來的便利性同個人應承擔的風險之間的關系，推動個人信息處理的逐步規(guī)范，也是銀行業(yè)金融機構發(fā)展中需要解答的新問題。

二、“告知知情同意”原則的含義

“告知知情同意”原則作為個人信息的處理規(guī)則之一，隨著個人信息處理規(guī)則的完善、發(fā)展及不斷演進。《消費者權益保護法》《網絡安全法》《民法典》《個人信息保護法》均提到了個人信息處理規(guī)則，《數據安全法》側重強調數據收集、使用符合相關法律法規(guī)規(guī)定，《刑法》對侵犯公民個人信息罪明確了刑罰處罰。《消費者權益保護法》《網絡安全法》《民法典》強調信息處理要明示收集、使用（處理）信息的目的、方式和范圍;公開收集、使用（處理）規(guī)則;征得同意。《個人信息保護法》除包含上述規(guī)則外，明確“基于個人同意處理個人信息的，該同意應當由個人在充分知情的前提下自愿、明確作出。”強調了個人信息處理者的告知義務，推動個人信息處理規(guī)則從“知情-同意”向“告知-知情-同意”的轉變[1]。此外，在金融業(yè)務的具體業(yè)務條線，也有相應的法律法規(guī)對個人信息做出規(guī)定，如《商業(yè)銀行法》《反洗錢法》《征信業(yè)管理條例》對相關業(yè)務中涉及的信息處理做出規(guī)定。

（一）“告知”的含義

個人信息處理者的告知義務是指個人信息處理者需以一定形式使個人知悉信息的處理規(guī)則。《個人信息保護法》對告知內容、形式均做出明確規(guī)定。在內容方面，要告知個人信息處理者的名稱或者姓名和聯系方式，個人信息的處理目的、處理方式，處理的個人信息種類、保存期限，個人行使相應權利的方式和程序等。在告知的具體要求上，要“以顯著方式、清晰易懂的語言真實、準確、完整”地告知。

信息處理者的“告知”義務同個人的“同意”緊密關聯。對信息處理規(guī)則的告知是個人充分知情的基礎，被告知者只有在充分知情的前提下才能自愿、明確做出決定，凡是需要取得個人同意的個人信息處理活動，處理者都需要履行向個人的告知義務，在取得個人同意后才能實施個人信息處理活動。而信息處理者“告知”的范圍卻超過必須要取得個人同意的事項，現有法律法規(guī)雖然列舉了在處理個人信息時不需要取得個人同意的具體情形，但從遵循公開透明原則的角度，信息處理者仍需要主動告知信息是以何種方式、處于什么目的被處理[2]。

（二）“知情”的含義

個人對告知內容的充分知情是做出有效“同意”的基礎。個人的充分知情應當包括兩方面含義：一是個人閱讀了信息處理規(guī)則，對于使用產品和服務前需要做出個人信息使用的授權具有清晰、強烈的感知，知曉針對個人信息使用發(fā)生爭議時可以依據相關協(xié)議對爭議做出判斷;二是個人理解了信息處理規(guī)則的含義，知道信息處理者會在何種情況下如何處理個人信息，并清楚個人授權的內容以及可能產生的后果[3][4]。

（三）“同意”的含義

按照是否取得事前同意，獲取同意的機制可以分為擇入機制、擇出機制。擇入機制將主動征求用戶的知情同意作為信息處理的前提，也就是說信息處理者會在處理個人信息之前取得個人的授權同意。擇出機制是將個人的不作為推定為個人的知情同意，不針對個人信息處理事前征得個人同意，但賦予個人拒絕繼續(xù)采集的權力。

按照授權表示方式的不同，授權同意可分為明示同意和默示同意[5]。明示同意指個人信息主體通過書面、口頭等方式主動作出紙質或電子形式的聲明，或者自主作出肯定性動作，對其個人信息進行特定處理作出明確授權的行為。其中肯定性動作包括個人信息主體主動勾選、主動點擊“同意”“注冊”“發(fā)送”“撥打”、主動填寫或提供等。同明示同意相對應的是通過消極的不作為而作出授權（如在信息采集區(qū)域內在被告知信息收集行為后沒有離開該區(qū)域）①，該類同意屬于默示同意。

按照是否針對特定場景專門取得同意，可分為單獨同意和一般同意。單獨同意指對特定信息或特定場景，信息處理者需對個人專門告知并取得授權。在取得單獨同意的告知時個人信息處理者需將特定情形專門區(qū)分，不能同其他情景雜糅。《個人信息保護法》對處理個人敏感信息、向其他個人信息處理者提供其處理的個人信息、公開其處理的個人信息、向境外提供個人信息等情形下需取得單獨同意。除應取得單獨同意的特殊情況外，個人信息處理者在告知信息處理相關要件的情況下，所獲得的集合性的或“一攬子”的同意為一般同意。

根據“告知”“知情”“同意”各項內容的含義，為充分保障金融消費者合法權益，個人信息授權使用的理想路徑為：個人信息處理者采用擇入機制，充分告知個人信息的使用場景和處理規(guī)則，根據不同場景分別獲得個人的一般同意或單獨同意，并提供個人信息修改、刪除等的路徑。個人要在充分閱讀、清楚知悉個人信息處理規(guī)則的基礎上，依據對授權結果后果的評估判斷，理性做出授權，并關注后續(xù)使用。

三、“告知知情同意”原則在銀行業(yè)金融機構中的應用現狀

為了解銀行業(yè)金融機構對個人信息處理“告知知情同意”原則的應用，筆者隨機抽取2家大型國有商業(yè)銀行、2家全國性股份制商業(yè)銀行、2家地方法人銀行，下載手機銀行APP進行實際體驗。

從整體上看，6家銀行均在個人金融消費者下載并首次登錄手機銀行APP時，通過彈窗的形式，要求金融消費者閱讀并知悉包含個人信息使用規(guī)則的隱私政策，隱私政策以鏈接形式展示，金融消費者在點擊文字鏈接時可以閱讀隱私政策的具體內容。在彈窗中，金融消費者需要自主勾選隱私政策或主動點擊“同意”進入下一步，該授權同意的獲得，形式上符合了擇入機制及明示同意的要件。

隱私政策主要載明個人信息收集、使用、存儲、保護、共享、轉讓、公開披露的原則，Cookie技術的使用方法，并提供個人訪問、更新、刪除、撤回授權等的方式。以加粗形式重點提醒特定情形下信息收集的內容，以及其他同金融消費者個人有重大利害關系的內容。隱私政策的合同文本在銀行官方網站可以查詢并下載。通過隱私政策，金融消費者基本能了解個人信息授權使用的范圍和處理規(guī)則。基本可以厘清個人信息授權、查詢、更改、刪除的路徑。

銀行業(yè)金融機構在形式上符合擇入機制及明示同意的要件是有效落實“告知知情同意”原則的第一步，受客觀因素及金融消費者個體差異等的影響，“告知知情同意”原則的有效落實仍存在許多挑戰(zhàn)。

四、銀行業(yè)金融機構有效落實“告知知情同意”原則的困境

（一）“告知”階段

格式合同的長度和深度影響告知效果。對于需要取得一般同意的事項，金融信息處理者主要以格式合同形式載明消費者金融信息的處理規(guī)則，并以消費者自主點擊方式獲得授權。格式合同具有廣泛性、細節(jié)性、嚴謹性，也就是說，格式合同會盡量載明消費者金融信息處理的各種場景和細節(jié)，并使用專業(yè)術語以避免歧義，從而獲得金融消費者對個人信息處理的充分理解和授權。這在客觀上導致格式合同篇幅較長，并涵蓋了金融、科技方面的專業(yè)術語。以6家銀行為例，隱私協(xié)議最長的超的2萬字，最短的也超1萬字，授權協(xié)議平均約1.6萬字;協(xié)議中普遍對使用Cookie技術、應用程序接口（API）、軟件工具開發(fā)包（SDK）等進行了約定。從有利的角度看，該種形式約定有利于金融消費者明確知悉并方便查看授權的內容和范圍，在雙方對金融信息使用存在爭議時能給出客觀依據。從不利的角度看，格式合同過長不利于金融消費者集中精力閱讀，在金融消費者缺少必要知識儲備的情況下，復雜、專業(yè)的解釋也不利于金融消費者對格式合同的理解。

由該種情形進行引申，就出現了告知環(huán)節(jié)存在的兩難困境，即信息過載和不足均影響告知效果[6]。對規(guī)則解釋過多會使合同過于冗長影響受眾對關鍵條款的關注;而對規(guī)則解釋不足不利于各水平階段的人對規(guī)則的深入理解或會引發(fā)歧義。從保障金融消費者知情權角度看，消費者金融信息處理規(guī)則的告知應當全面、詳細，而金融消費者因個人專業(yè)性不足導致的理解不到位則需要通過其他手段破解。

合同內容不全面或存在隱瞞內容影響告知效果。隱私協(xié)議作為格式文本，難以列舉個人信息處理的所有情形，金融機構需要按照一定邏輯和分類，將主要事項和內容告知金融消費者。對金融信息處理的有關內容表述不清晰或使用概括性表述，都可能影響告知的效果。

（二）“知情”階段

個人習慣影響知情結果。部分金融消費者并沒有養(yǎng)成在做出授權之前仔細閱讀格式合同，在知悉授權范圍、內容的情況下審慎授權的習慣。部分金融消費者在首次下載手機銀行并注冊登錄時，并不會仔細閱讀隱私協(xié)議，甚至在未閱讀信息的情況下就勾選了“已閱讀”按鈕或點擊“同意”按鈕進入下一步流程。在該過程中，金融消費者對隱私協(xié)議弱感知或無感知，雖然在形式上完成了授權，但卻未真正理解本應知悉的內容。在雙方發(fā)生爭議時，第三方判斷金融機構是否取得消費者金融信息處理授權的主要依據是簽訂的隱私協(xié)議，金融消費者以個人對應讀內容未讀、對應知內容未知而主張授權無效，往往缺乏客觀依據，也可能會使自己在爭議解決中處于不利地位。

個人知識積累影響知情結果。上文已經分析，隱私協(xié)議作為格式合同，涉及到大量金融、科技等方面專業(yè)術語，金融消費者需在具備專業(yè)知識情況下仔細閱讀才能較好理解格式合同。目前金融消費者數量眾多，在年齡、知識儲備等方面存在較大差異，金融消費者個人素養(yǎng)的差異也會影響知情結果。

（三）“同意”階段

捆綁的同意可能導致非自愿的同意。金融消費者的同意需建立在充分知情、自愿的基礎上。一方面，金融消費者購買金融產品和服務往往同其他活動相互關聯，在捆綁活動中可能會因為重視達成其他目標而忽略信息使用授權環(huán)節(jié)。例如央視網曾報道一些未成年人為給明星打榜而向網絡平臺借款，因無力還款而遭遇借款平臺暴力催收②。對于該類金融消費者，選擇貸款的原因可能并不是基于個人財務狀況做出的理性決定，助力打榜或許才是關鍵決定因素。另一方面，隱私協(xié)議作為“一攬子”的合同，金融消費者往往只能選擇接受所有條款或拒絕所有條款，不具備對個別條款進行選擇的權力，為使用特定金融產品或服務，金融消費者在對個別條款存在異議的情況下，仍可能選擇接受隱私協(xié)議所有條款。

五、有效執(zhí)行“告知知情同意”原則的建議

（一）通過全流程管控推動建立原則落實的動態(tài)機制

金融機構要有效貫徹落實“負責任金融”理念，切實擔負起金融消費權益保護的主體責任，將全流程管控運用到“告知知情同意”原則的落實環(huán)節(jié)。在事前審查階段，主動篩選并更改業(yè)務流程、格式文本、營銷宣傳等環(huán)節(jié)中“告知知情同意”原則落實不到位的情形。在推廣階段，加強對金融產品和服務的檢測和管控。理性看待金融消費者和公眾針對金融產品和服務的評價和言論，及時調整不符合“告知知情同意”原則的產品和服務。

（二）通過有效的告知充分保障金融消費者知情權

銀行業(yè)金融機構在通過隱私協(xié)議等格式合同載明消費者金融信息處理規(guī)則并獲取授權同意時，要清晰、準確、完整地告知消費者金融信息處理規(guī)則，避免使用概括性語言或其他容易引起誤解的內容，確保格式合同公平合理。同時，針對隱私協(xié)議設置便利化查看途徑，方便金融消費者在遇到問題或存在疑問時隨時翻看查找。

（三）通過增強授權感知獲得金融消費者自愿同意

銀行業(yè)金融機構要嚴格按照《個人信息保護法》等的規(guī)定，區(qū)分單獨授權和概括性授權內容，以適當方式取得金融消費者同意。在獲取授權同意時要增強金融消費者對信息處理規(guī)則的感知，做到金融產品和服務的推廣和風險告知兩手抓，既要讓金融消費者認識到金融服務和產品更新升級帶來的便利化，也要讓金融消費者明晰需要進行的授權或需要承擔的風險，鼓勵金融消費者在充分知情的情況下自主決策，自主同意。

（四）通過專業(yè)組織等的力量推動格式文本的進一步規(guī)范

發(fā)揮金融行業(yè)協(xié)會、自律組織等在推動金融機構落實“告知知情同意”原則中的作用，對照法律法規(guī)和規(guī)章制度，發(fā)現銀行業(yè)金融機構在隱私協(xié)議中存在的問題，進而推動銀行業(yè)金融機構修改隱私協(xié)議等格式文本中不利于“告知知情原則”落實的內容，推動銀行業(yè)金融機構為公眾提供相對公平合理的格式文本。此外，專業(yè)組織可以邀請行業(yè)專家，通過專業(yè)講座等方式，對隱私協(xié)議的關鍵條款進行解讀，以加深公眾對專業(yè)條款、專業(yè)術語的理解。

（五）通過宣傳教育培養(yǎng)金融消費者風險責任意識

金融知識普及是金融消費者加深對金融產品和服務理解的重要措施，通過金融知識普及推動金融消費者樹立風險責任意識，有利于金融消費者理性看待金融科技發(fā)展帶來的便利化同潛在風險的關系，理性選擇金融產品和服務;也有利于在雙方出現爭議時，通過合理方式推動爭議解決。金融機構可以靈活運用線上、線下方式，針對不同人群，設計差異化腳本宣傳“告知知情同意”原則相關的基本知識，幫助金融消費者形成良好個人習慣，在使用金融產品和服務時，形成了解產品、閱讀協(xié)議、明確后果、做出決定的行為鏈條。

注釋：

①一文讀懂《個人信息保護法》中的“同意”規(guī)定，https：//cld.cdtf.gov.cn/public-info/info-detail/ab03e52754bf218125676c695c2d8112。

②“借貸追星”現象蔓延！貸款產品過度營銷滋生追星貸，http：//news.cctv.com/2020/12/30/ARTI6OGsQiVd7xl2SMVN

29hM201230.shtml。

參考文獻：

[1]王春暉.《個人信息保護法》的十大核心要點解析[J]，中國電信業(yè).2022，（01）.

[2]程嘯.論個人信息處理者的告知義務[J]，上海政法學院學報（法治論叢）. 2021，36（05）.

[3]丁曉東.論個人信息法律保護的思想淵源與基本原理——基于“公平信息實踐”的分析[J]，現代法學.2019，41（03）.

[4]萬方.隱私政策中的告知同意原則及其異化[J]，法律科學（西北政法大學學報）.2019，37（02）.

[5]寧園.個人信息保護中知情同意規(guī)則的堅守與修正[J]，江西財經大學學報.2020，（02）.

[6]鄭佳寧.知情同意原則在信息采集中的適用與規(guī)則構建[J]，東方法學.2020，（02）.

作者單位：中國人民銀行杭州中心支行，碩士研究生，經濟師。