個人信息處理告知同意規則的實踐困境與改進建議
——基于《中華人民共和國個人信息保護法》的解讀與思考

文/劉洋

2021年8月20日，十三屆全國人大常委會第三十次會議表決通過《中華人民共和國個人信息保護法》（以下簡稱《個人信息保護法》），這標志著我國個人信息保護進入到一個全新的法治階段。為協調處理好個人、企業和社會公共利益之間的關系，《個人信息保護法》通過多個條文系統地搭建了告知同意規則。該規則以保護個人信息為最終目的，基于民法上的“意思自治”原則構建而成。但在數字網絡技術條件下，個人信息處理主要通過網絡大規模實現，且隱私協議往往晦澀難懂，導致在實踐中遇到不少困境和挑戰。因此，個人信息保護在規制方法、規制理念上與傳統的“意思自治”具有較大差異，需結合用戶視角和公共秩序的考量，有針對性地予以改進優化，使其適應互聯網時代發展的特點，從而起到有效的保護作用。

一、告知同意規則的合法性基礎

告知同意規則，是指任何組織或者個人在處理個人信息前，必須將處理信息的必要事項如實告知所涉及的個人，只有在取得權利主體的同意后，才可合法地開展信息處理活動。該規則可細化拆分為兩部分：告知規則要求信息處理者在實施處理行為之前，必須將信息處理的目的、方式、范圍等內容對個人如實充分說明，以保障個人的知情權；同意規則是指個人在充分知情的前提下，根據自己的真實意愿明確地做出決定，以保障個人的決定權。

告知同意規則作為個人信息合法利用的基本依據，有著不可替代的存在價值，也是國際通行的個人信息處理規則。美國在隱私保護實踐中最早提出了“公平信息實踐”的五項基本原則，并在《全球電子商務政策框架》中將告知許可作為個人隱私保護的原則。歐盟通過的《一般數據保護條例》（GDPR）中明確提出，同意是數據處理合法性的首要情形。“我的權利我做主”的立法理念，同樣體現在我國個人信息保護的立法當中。我國《民法典》第1035條、《個人信息保護法》第13條均將取得個人同意作為信息處理合法性的首要原則。在立法中，告知同意規則之所以作為個人信息保護的“黃金條款”，具有基礎性、根本性的法律地位，根本原因就在于個人信息與自然人的人格尊嚴和人格自由息息相關，部分敏感信息甚至關系到人身和財產安全，而保護人格尊嚴和人身安全屬于最高位階的法益。

二、網絡時代傳統“意思自治”原則遭遇新挑戰

實踐中，由于信息處理者往往面對億萬量級的潛在用戶，并將處理個人信息與其所提供的產品或者服務直接關聯，出于標準化和效率因素的考慮，告知同意規則所指向的“意思自治”，與傳統民法的自由意志相比，在網絡時代遇到了新的情況，進而產生了新的問題。《個人信息保護法》第14條強調個人的同意，必須達到“充分知情”“自愿明確”的法定標準，這也正是立法對網絡領域個人信息保護特殊性的積極回應。具體而言，傳統“意思自治”原則在網絡時代所面臨的挑戰主要有以下四點：

1．個人同意內容均來自處理者的單向告知。與傳統的“意思自治”相比，信息處理的雙方實質處于不對等的地位。由于個人信息處理的專業性、技術性和復雜性，信息處理者在技術的理解和運用方面天然占據優勢地位，雙方處于嚴重的信息不對等狀態，二者之間存在結構性的“數字鴻溝”。信息處理者在實踐中往往是大型的平臺企業，與個人相比，實力也相差懸殊。因此，在告知同意規則中，個人的知情和同意完全倚重于處理者單向的信息告知，個人僅有同意或者不同意的選擇權。

2．信息處理內容屬于典型的格式條款。顯著區別于傳統民法的“意思自治”，告知同意的內容屬于典型的格式條款。實踐中，信息處理者主要通過提供隱私協議的方式履行告知義務。面對如此眾多的潛在用戶，為節約處理成本，信息處理者只能提供一份固定內容的隱私協議。雖然用戶能夠面對千人千面的信息展示頁面，但在所有用戶面前，隱私協議只能是同一份格式合同。用戶不能基于個人的理解或者不同意見，單獨去找處理者予以個性化磋商或者修改，針對不懂的地方進行咨詢的機會都可能沒有，只能面對整份協議的固有內容自行做出決定。

3．操作流程上具有不可更改的預設性。相較于傳統的合意達成，告知同意的流程實踐中基本遵循了“彈窗”“閱讀”“同意”的操作流程。個人對隱私協議的同意，必須在處理個人信息之前完成，否則就構成了提前收集的違規行為。個人也不能通過傳統民法事后追認的方式，使事前的信息處理行為合法化。在個人瀏覽隱私協議后，表達同意的方式在流程上也已被預設，主要通過點擊勾選框或滑動同意按鈕來實現，而并沒有傳統化的簽名蓋章等方式。

4．規模化的個人信息處理關系到社會公共利益。從單個主體的情形看，個人對其信息處理的同意，屬于對其私權的處置。但在大數據時代，規模化、批量化、自動化的個人信息處理，已經超出了私人“意思自治”的范疇，更事關社會秩序和公共利益，具有一定的公法色彩，也成為行政監管的對象。對個人信息處理行為的監管，我國的執法部門已強力介入，如網信、工信、公安等部門，先后組織多輪APP違法違規收集個人信息的專項整治和通報整改，糾正了大量不合法的處理行為。

三、告知同意規則在實踐中的困境

雖然告知同意規則來源于傳統民法的“意思自治”，但基于上述所遇到的挑戰，不得不面臨網絡時代的各種實踐困境，甚至對規則本身產生了挑戰。

1．語言表述偏重技術化專業化，用戶往往不能理解。理解是用戶“充分知情”的前提。個人信息處理本身源于技術，與計算機等技術操作有直接密切的關聯。因此，隱私協議的語言表述，大量使用計算機、網絡等方面的專業術語，導致普通用戶難以理解。即使在《個人信息保護法》中，對“個人信息處理”的界定也帶有較濃郁的技術色彩，涵蓋了“收集、存儲、使用、加工、傳輸、提供、公開、刪除”等8種方式，屬于對個人信息處理不同環節的高度凝練和總結歸納。但不可否認的是，這種泛技術化的定義過于繁雜和生硬。信息處理者為達到合規目的，更多是從操作者的視角草擬隱私協議，而不是從用戶理解的考慮出發。實踐中，隱私協議的用語和表達明顯帶有技術化、術語化以及專業化的傾向，導致信息處理的實質內涵無法真正傳遞到個人，知情效果難以得到保障。

2．個人沒有足夠精力閱讀繁雜冗長的內容，閱讀率明顯偏低。基于信息處理的復雜性，信息處理者往往將隱私協議寫得詳盡繁雜、枯燥無味。當用戶面對冗長繁雜的隱私協議時，無法投入足夠的時間和精力去閱讀所有的條款，更多只是象征性地瀏覽劃過，實質放棄了對內容進行審查的機會。在告知同意規則當中，往往認為告知和知情是正相關的關系，詳細充分的告知會讓個人充分知情，其實只是一種理論上的一廂情愿，實踐中反而會產生“告知越多、知情越少”的悖論。對于枯燥乏味的長篇隱私協議，即使真實、準確、完整地描述了信息處理的所有詳情，但幾乎沒有人愿意耐著性子認真讀完，甚至連美國聯邦最高法院的大法官，都坦言自己不會閱讀平常遇到的隱私協議。

3．個人信息處理活動的復雜性，可能導致信息并未全部列明。從知情同意規則的本質要求看，信息處理者必須將所有可能影響信息主體權益的必要事項全部告知。但是，這種理論假設在實際中卻很難實現。隨著現代信息處理技術的不斷更新迭代，個人信息可識別性的技術邊界和處理操作模式都在不斷拓展。比如，處理個人信息的規制主體已經從APP服務提供者，進一步延伸到軟件工具開發包（SDK）提供者。同時，由于處理過程中的信息不對稱，可能導致一定的道德風險，處理者可能故意模糊或者忽略一些關鍵因素，以此來獲得個人粗略而廣泛的同意。

4．隱私協議主要用于滿足合規，并未構成產品或服務的核心競爭力。在競爭激烈的信息服務市場中，處理者提供隱私協議的目的主要是合規，以滿足法定要求。《個人信息保護法》第17條逐一列明了必須告知事項的范圍。隱私協議的好與壞并不是吸引用戶增長的考慮因素。同時，對于個人而言，也并不是哪家隱私協議寫得好，就會去選擇哪家的服務。用戶更多考慮的是誰的產品或者服務更符合自身的需求，以滿足服務為導向。面對眾多的隱私協議時，個人也很難察覺到不同隱私協議之間的細微差別，但對產品服務體驗的差異則非常的明顯。

5．個人為立即獲得有效的服務，往往只能做出當場同意的決定。個人對隱私協議的同意并不是孤立的行為，是獲得信息處理者所提供服務的必要前提，從而產生“個人信息處理”和“信息服務提供”兩個緊密相關的雙邊市場。在此情形下，信息處理者的身份存在混同，既是個人信息處理者，也是信息服務的提供者；個人不僅是信息授權主體，還是接受服務的用戶。雖然《個人信息保護法》第16條要求處理者不得以不同意為由，拒絕提供產品或者服務，但缺乏個人信息的用戶服務，在實踐中往往只具備最基本的功能，根本無法滿足用戶豐富的應用需求，導致用戶體驗極差。另外，從用戶感知的角度看，拒絕隱私協議后當時就無法獲得所期待的信息服務，但如果勾選同意隱私協議后，個人信息是否存在被濫用的可能，則需較長時間才能感知，甚至無法確定到底是哪個信息處理者泄露了自己的個人信息。因此，在這種服務期待和現場滿足的隱形壓力下，個人往往只能做出當場同意的選擇。面對這種可預期的結果，個人是否詳細閱讀以充分理解隱私協議已變得不再重要，甚至都不會記得勾選同意過多少個隱私協議，實質上構成了對個人權利的自我放棄。

四、進一步完善告知同意規則的建議

正是由于告知同意規則在實踐中遭遇的諸多挑戰和問題，導致學界對該規則產生懷疑和批評，但這反而更加凸顯該規則的重要性。告知同意的實質內涵并未被真正動搖，當前存在的主要是實踐問題。在不能找到比告知同意規則更加行之有效地保護個人信息的其他規則的情形下，不能因其具有的現實局限性而否定其本身的必要性，告知同意規則基礎性的地位依舊不可撼動。因此，應當進一步完善規則，從積極喚起個人權利意識和加強外部監管兩個方向形成合力，進一步促進大數據背景下個人信息的合法收集和利用，提升信息保護的整體成效。

1．從維護個人權利的本源出發，改進告知方式和強化溝通反饋。基于個人在信息處理過程中的被動性，為有效滿足用戶“充分知情”的需要，需重點加強對告知環節的規制，以切實提高隱私協議的可讀性，使個人能夠在較短的時間內快速找到和準確理解信息處理的重要事項，并且增加個人與處理者之間進行溝通互動、反饋交流的有效渠道，確保將信息處理的最終決定權牢牢地掌握在個人手中。

一是從閱讀者的角度，告知用語和表達方式需符合一般用戶的認知范疇。隱私協議的撰寫不應從處理者的操作習慣和思維慣性出發，而應轉化為服從服務于一般用戶的閱讀理解。信息處理者在滿足法定的詳盡必要的基礎上，更加注重隱私協議的質量，避免出現復雜的法律術語、生澀的技術用語等，即使不得不出現，也需要予以相應的概念解釋和風險提示，確保最終以個人能夠理解的社會化語言進行表達。針對復雜處理事項，還可考慮情景舉例的方式，讓用戶明白其中的運行機制、邏輯關系和利害關系。另外，為解決紙質文本的枯燥性，甚至可以探索短視頻的方式，將隱私協議轉化為可視化的講解內容，增強隱私協議對用戶的吸引力。

二是同步推出更具高度歸納性或提示性的簡短版本，突出關鍵核心內容。為確保告知滿足效果性條件的要求，就需要把有限的空間留給最緊要的內容，可以對隱私協議一并提供“瘦身”版本，采取縮短篇幅、簡化表達等技術化的處理措施，避免信息過載；同時，采取措施使個人不輕易忽略關鍵信息，提高用戶的閱讀效率，提升閱讀體驗。目前，實踐中已經出現了一些有益的探索。比如，采取“告知摘要”的方式，通過發布隱私協議的簡要版本，增加清晰易懂、言簡意賅的內容概要和關鍵信息提示，直接告知對個人可能產生的重要影響；有的采取重點語句加粗高亮的方式，提示用戶在繁雜的內容中快速識別關鍵部分，增加閱讀的有效性。

三是增強互動交流，信息處理者可建立有效的答疑反饋和內容改進渠道。為避免用戶只能在同意和不同意之間搖擺，應給予用戶更多溝通的渠道和反饋意見的方式，以用戶集體的力量來推動完善隱私協議。一方面，在用戶閱讀隱私協議過程中，針對不理解或者疑惑之處，信息處理者需樹立“提前服務”的理念，在個人成為正式用戶之前，設置指定的官方賬號或者服務熱線，專門解答信息處理方面的問題，及時做出合理解釋，盡量打消個人同意前的顧慮；另一方面，注重加強對用戶咨詢問題的收集整理，針對用戶多次反映、反復提問、提出質疑的地方，定期予以匯總，以便在下次修改隱私協議時，做出相應的完善。通過匯聚大量個人的反饋，進而使個人為完善隱私協議而貢獻自己的力量，達到間接參與制定隱私協議的目的。

四是建立隱私協議定期評估機制，確保文本內容與操作實踐保持動態一致。為確保告知同意的內容跟得上不斷發展的個人信息處理實踐，處理者可以對隱私協議進行定期評估。一方面，對既有內容的落地實踐予以總結，查遺補漏；另一方面，結合業務拓展和技術發展實踐，相應進行補充完善，對隱私協議及時予以升級，防止出現用戶同意一次，協議終身不變的情形。當然，如果出現《個人信息保護法》第14條第2款的情形，當處理目的、方式和處理信息種類達到實質變更的程度時，還需要重新取得個人的同意。

2．更加重視發揮個人信息保護監管部門的作用，集中整治重大違法違規問題。面對實力強大的個人信息處理者，個人主體并不能與之進行有效的抗衡。因此，即使法律賦予了個人最終同意的權利，但可能在實踐中也淪為“紙面上的權利”。為切實保護個人信息，不僅取決于個人權利的有效行使，更有賴于國家層面的嚴格監管。當前，與個人對隱私協議的權利漠視形成鮮明對比的是，實踐中反而是國家層面對用戶隱私協議監管的不斷強化，監管機關站在個人信息保護的第一線，以緩解個人行使權利的“無力感”，以有效彌補個人權利虛置和怠于行使的問題。因此，在個人信息的私權意識尚未完全覺醒和培育成熟之前，個人信息保護監管部門應當發揮更大的作用。一方面，通過加強專項監督檢查、公開通報、限期整改、處理處罰等“硬手段”，針對實踐當中突出的強制授權、過度索權、超范圍收集等問題，強化執法力度；另一方面，通過宣傳教育、制定國家推薦性標準、發布合規指引、組織制定有關隱私協議范本等“軟指導”的方式，通過公權力的積極介入，多管齊下集中整治個人信息處理的違法違規問題，重樹社會公眾的信心，引導用戶積極維護個人信息的合法權益。

3．充分發揮社會監督的激勵約束機制，讓個人信息保護得到更多關注。當前，個人信息保護當中的諸多問題引起了社會的廣泛關注和討論，多方參與共治的格局正在逐漸形成。應進一步發揮社會監督作用，發動更多的力量審視監督信息處理行為。如通過消費者協會開展監督評比、行業組織加強研討交流、相關媒體開辟專欄專版關注個人信息保護等方式，就能夠在一定程度上化解告知同意規則當中的數字鴻溝，減少信息不對稱造成的道德問題。《個人信息保護法》也體現了對重要信息處理者強化外部監督的思路，在第58條要求重要互聯網平臺服務、用戶數量巨大、業務類型復雜的個人信息處理者，應當定期發布個人信息保護社會責任報告，必須接受社會監督，進而讓社會有更多的渠道了解和評價個人信息保護的履行情況。針對告知同意規則落實較好的處理者，還可以通過行政監管機關實施認證認可、行業協會推廣先進經驗、社會輿論正向報道宣傳等方式，激勵信息處理者不僅滿足合規需求，更讓隱私協議成為其產品或者服務核心競爭力的一部分，構成吸引潛在用戶、提升企業聲譽的重要渠道。