以場景理論為基礎的告知-同意規則完善研究

萬秋伶 李德學

(貴州財經大學法學院，貴州 貴陽 550025)

大數據時代，所有的技術和交易都與數據密切相關，但隨著大數據技術的發展，濫用個人信息的情況卻屢見不鮮。個人信息大多通過手機應用程序被收集，而App作為使用手機不可或缺的組成部分，其在收集用戶信息前通常會將要收集的信息范圍和使用目的以告知-同意書的形式告知用戶，以征求用戶的許可同意。告知-同意規則最初的設想是用戶仔細閱讀相關條款內容后，就其不理解部分詢問專業人士，在充分、完全知曉條款所涉及的權益內容的條件下做出理性的自主性抉擇。實際上，告知-同意規則并未按照預期設想發揮作用。雖然《個人信息保護法》增加了個人信息處理者收集處理個人信息的合法性基礎，但被收集者的同意仍然是最為關鍵的合法性基礎。基于此，對告知-同意規則進行運行考察十分必要。

一、告知-同意規則之運行考察

通過考察平臺和信息主體對告知-同意規則的設計、認識情況，以了解由“告知-同意-撤回-刪除”構成的告知-同意規則體系的實際運行情況。本文以司法典型案例為基礎，分析信息處理方制定的告知-同意規則和信息主體對告知-同意規則的認識，從而分析告知-同意規則運行不順的根本原因。

(一)司法實踐中關于告知-同意規則之考察

本文在法律文書數據庫進行案例檢索①：將關鍵詞設定為“隱私政策&用戶協議”，案件類型為“民事案件”，文書類型為“判決書”，共檢索到裁判文書143篇。經過進一步人工篩查，選取其中與本文研究內容較貼切的典型案件進行分析。剔除其他案例的原因主要為：一是涉及知識產權糾紛，不是本文的研究范疇；二是案例與個人信息保護無關，包含相關關鍵詞的文段主要為事實描述、合同條款等。

1.案例概況

2019年黃某訴騰訊公司，主張騰訊公司名下的閱讀軟件在未經授權的情況下向黃某的微信好友公開了其閱讀書目和讀書感想等信息，侵害了其個人信息權益和隱私權。騰訊公司辯稱，微信讀書的用戶協議中明確說明了將向使用者的微信好友公開閱讀書目等相關信息，該用戶協議經黃某閱讀并同意，不構成侵權。

對黃某“侵犯個人信息權益”的主張，需要確定的是：微信讀書公開的信息是否屬于“個人信息”？根據《個人信息保護法》第4條、《網絡安全法》第76條、《民法典》第1034條的規定，對于個人信息的界定標準采用“識別+關聯”的方式。根據雙方提出的證據，微信讀書收集的好友列表和讀書信息均為黃某在使用App時依其活動產生的數據信息，應當被認定為屬于黃某的“個人信息”。微信讀書在收集用戶個人信息前也通過用戶協議作出了相應的提示并取得了黃某同意，符合法律所規定的合法、正當的基本原則。但用戶協議中并未明確告知黃某所收集的閱讀信息將向好友公開，并就該行為取得黃某的同意。因而，法院認為微信讀書等公開用戶個人信息的行為侵犯了黃某的個人信息權益。②

2.案例分析

從這個案件可以看出“告知-同意”是網絡平臺服務商處理個人信息的合法性基礎之一，但告知-同意書對于用戶而言，專業性較強、內容冗長、涉及的權益多樣且復雜，以至于用戶難以在短時間內閱讀理解并做出理性決定。且對于部分與社交生活關聯性較高的App而言，用戶若行使拒絕權將對自身的社交生活造成極大的不便。要讓“告知-同意”規則發揮預期的作用，需要判斷以下三個問題：

第一，個人信息處理者是否真正意義上為用戶提供了選擇的自由？第二，個人信息處理者能否提升信息數據處理的透明度？讓用戶全面了解其信息收集、利用的程度。第三，如何避免個人信息處理者采用一攬子協議的方式獲取用戶授權，實現對不同類別信息的分開保護？

告知-同意規則是現行保護個人信息的主要方式，由信息主體自主分析披露個人信息的利弊，做出是否披露個人信息的決定。告知-同意規則專注于在數據收集前獲得信息主體的同意。但有學者指出，告知-同意規則已經動搖了數據自我管理的根基，告知-同意框架已被大數據帶來的正面效益打敗，而且還需要面對數據規模化收集所帶來的問題。《個人信息保護法》作為保護個人數據的基礎性法律，與《民法典》《網絡安全法》《數據安全法》聯合搭建了我國個人信息保護的體系。告知-同意規則作為保護個人信息的重要規則，卻在實施的過程中因告知-同意規則的內在固有缺陷和程序性缺陷仍流于形式，所以需要對告知-同意規則進行細化和創新以適應時代的發展進步。

(二)網絡服務平臺告知-同意規則設計之考察

將微信、支付寶、微博、百度、愛奇藝、貴陽銀行等日常社交、購物、出行中使用頻率較高的20個App的隱私政策作為考察對象。對隱私政策中的字數、用戶撤回權、刪除權進行調查分析得出：③

表1 網絡服務平臺告知-同意規則設計

用戶在進入一個App時應當閱讀相關的隱私政策后自主做出同意選擇后才能正常進入App使用相關的功能。網絡平臺服務商將告知-同意規則設置為只需用戶自主勾選“知曉且同意”選項，無需打開告知-同意書直接進入應用軟件接受服務。隱私條款的內容冗長，用戶就算不閱讀其中文字，將告知書在手機上從開頭滑至底端也需要一定的時間。從表中可以看出，所分析的App的隱私政策幾乎都在1萬字以上，若用戶需要閱讀一篇15000字的隱私政策，按一分鐘閱讀300字的速度來計算，閱讀完畢需要耗時50分鐘。在略讀隱私條款時會發現網絡服務商雖已將重點內容進行加粗標明，但整篇隱私政策存在著幾乎滿屏粗體的情況。從表中可以看出，考察對象所設計的告知-同意書過半數因技術設計而無法下載，甚至有8家平臺無法復制和下載。這無疑與《個人信息保護法》第17條第三款對告知書便于查閱和保存的要求不符。考察發現，只有2家平臺設計了撤回同意的入口，大部分平臺甚至對《個人信息保護法》第15條賦予用戶的撤回同意權未加規定或只規定了用戶對第三方撤回同意。用戶除享有對第三方的撤回同意外還享有對平臺的撤回同意權，二者并不相同。對于刪除權，用戶要么通過注銷賬戶以刪除數據，要么直接在告知-同意書中不對用戶享有的刪除權進行規定。考察中還發現，平臺多將用戶撤回同意和刪除數據的通道隱蔽，或直接要求用戶聯系客服處理，具有對權利行使的路徑設計復雜化讓用戶知難而退的可能性。

(三)信息主體對告知-同意規則認識之考察

通過調查問卷和街邊訪談的方式，從信息主體的角度考察告知-同意規則的運行情況。在了解信息主體對于告知-同意書的認知情況基礎上，發現信息主體的不良操作習慣是導致告知-同意規則運行不良的關鍵原因之一。通過調查得知，只有28.71%的用戶會經常閱讀個人信息處理者設計的隱私條款。調查者中只有16.67%表明會主動維權。部分用戶對于個人信息的價值還未有正確的認識，且用戶在使用App時存在不經閱讀隱私政策直接同意告知書的習慣。在發現部分軟件違法收集個人信息后也因維權成本過高、沒時間等理由抗拒維權。用戶對于個人信息權益的消極態度在一定程度上也促成了個人信息處理者對于個人信息肆無忌憚地收集和分析。

二、告知-同意規則的缺陷

基于實證分析結論，發現告知-同意規則運行不良的主要原因在于規則框架的不完善。通過分析告知-同意規則的告知-同意-撤回-刪除各環節制度缺陷，并結合部分案例進行分析。

(一)告知-同意規則的框架缺陷

1.告知環節

生活節奏的加快讓用戶并沒有充足的時間在閱讀隱私條款并充分知曉內容后做出理性的意思表示。用戶每天接觸到的App數量眾多，甚至一個手機上就有20多個軟件，每個軟件都有相關隱私政策需要用戶閱讀了解，且隱私條款會隨時變更，用戶需實時關注平臺的隱私政策的更新。用戶面對眾多的隱私政策，就算不眠不休也要耗費數天才能將全部隱私條款閱讀完畢。《個人信息保護法》第17條對告知書進行了相關的要求，要求其語言要通俗易懂。實際中雖條款語言組成簡單，但之中還涉及了眾多的專業術語。仔細閱讀相關隱私條款會發現條款表述用語多為法律術語，這要求用戶需要具備一定的法學專業背景，才能對隱私條款所涉及的相關權益進行透徹理解。例如“餓了么”對信息公開發布功能中有“個人信息”“敏感信息”“監護人”“授權同意”等法學術語。各大軟件開發公司背后還有專業的法律團隊為其出謀劃策，用戶如何在龐大的利益集團下保護自己的個人信息不受侵犯成為亟待解決的問題。

通過考察發現，告知-同意書粗體內容幾乎占了全篇告知書的60%，網絡服務平臺恨不得把所有內容都標注為重點內容。這就導致涉及用戶人格權重要權益的條款和普通條款差別不大，用戶在閱讀時可能會因文字較長、內容晦澀而忽略掉重要條款。2019年的熱門換臉App“ZAO”直接在隱私條款中表明，用戶上傳照片即視為授予其在全球范圍內免費使用、不可撤銷、永久、可再許可的權利，此類不合理的條款被隱藏在眾多普通條款之間，用戶難以發現查明。

2.同意環節

網絡平臺服務的用戶眾多，為了實現高效和便利，平臺所提供的隱私條約都是格式合同。由網絡平臺服務商將事先擬好的格式合同展示給各用戶，用戶可以行使的權利僅是拒絕或接受。但拒絕網絡平臺服務商的隱私條款也就意味著拒絕使用此款App，這對于用戶而言就是要么全盤接受，要么全盤拒絕的不公平場面。部分App與大眾的生活息息相關，例如微信、支付寶等，用戶若是拒絕此類頭部App的隱私條款將導致無法使用相關功能，會讓自己成為新時代的“數字難民”。所以對于用戶而言，有的App所提出的隱私條款其根本沒有實質上拒絕的權利。用戶勾選隱私同意規則是在被逼無奈情況下的同意，其真實意思可能并非如此。個人信息處理者會隨時修改相關政策文件，用戶需要時時關注文件更新并對其進行重新閱讀，這無疑會對用戶造成巨額的時間花費。在個人信息保護法的第17條第三款要求告知書應該公開并利于保存和查閱，此條是為了方便用戶及時查閱告知書而制定。但是在實踐中，在首次閱讀隱私條款進入App后，用戶若想再次閱讀了解隱私條款的內容，操作也較為復雜。相當一部分網絡平臺服務商的隱私條款位置難以從紛繁復雜的功能中對其準確定位，且部分平臺還會使用特殊技術讓用戶無法下載和復制。

部分網絡平臺服務直接跳過告知-同意規則，默認用戶允許收集個人信息進行分析處理。用戶無需閱讀同意隱私條款內容，即可接受網絡平臺的相關服務。2019年“拼多多”購物App將“已閱讀并同意服務協議與隱私政策”用淺灰色字體置于頁面底端，在頁面設計上沒有設置是否同意選項，用戶可以不經閱讀隱私條款就進入App操作。④個人信息處理者在收集個人信息時由于技術的隱蔽性和專業性特點，網絡平臺服務商處于優勢地位，用戶并不知道平臺服務商在告知書之外是否額外收集不在告知書提及范圍內的信息數據。

3.撤回環節

撤回同意權是指個人信息主體撤回自己先前同意個人信息處理者處理其個人信息數據的權利。告知-同意規則中的同意是一種信息主體為獲取服務而對個人信息權益的處分，撤回同意和同意都是個人信息主體行使個人信息自決權的體現。根據調查統計結果，部分個人信息處理者未在隱私政策中說明用戶的撤回同意權，或將其與對第三方的撤回同意混同。除此之外，《個人信息保護法》第三十一條雖對處分個人信息權益的能力進行了區分，但僅以十四周歲為界區別信息主體的個人信息權益處分能力過于籠統。以單一年齡劃分信息主體的處分能力無法適應網絡平臺處理個人信息的多樣化、復雜化場景。

4.刪除環節

《個人信息保護法》第47條規定了個人享有請求個人信息處理者刪除其信息的權利，其中將個人撤回同意作為請求刪除的理由，但還需要明確撤回同意并刪除已搜集信息和撤回同意但不刪除已搜集信息兩種情況，以區分撤回權和刪除權的功能。實踐中，個人信息處理者對刪除數據和注銷賬戶存在混同的情況。對于已刪除的信息被恢復的風險也需要加強規范。早在2012年，加利福尼亞大學伯克利分校的研究人員指出，被用戶刪除的Http Cookies可以利用Flash cookies中的信息重寫，這樣原來保存的數據就會重新呈現在分析者面前。何況經過十年的技術發展，對于數據的恢復也有了更多的方法，所以如何應對數據在被請求刪除后仍被個人信息處理者恢復的風險，需要進一步完善刪除制度。

(二)因數據利用交互性帶來的內在缺陷

信息的二次利用突顯了大數據分析利用的復雜性和交互性，網絡交互性的特點讓用戶無法控制其個人信息的流動。網絡平臺在隱私條款中均注明其收集的信息數據會分享給第三方使用，但第三方在利用用戶數據時，一般不會也不可能通知用戶其使用數據的目的及其分析方法，平臺對此也沒有相關說明，用戶對于第三方的數據使用甚至都沒有拒絕的機會。某些情況下，用戶經過利益權衡后可能會選擇披露部分個人信息，并認為此類碎片化信息不會對其產生威脅和影響，但事實并不然。在信息流動迅速和交互性極強的信息時代，這些碎片化的信息存在被串聯在一起的風險。這些經過串聯的信息在專業數據分析解碼后可能會揭露出個人的敏感信息，從而造成危害。

(三)網絡平臺服務商之間未形成行業自律

互聯網時代的發展帶來了巨大的經濟利益，也出現了眾多的網絡平臺服務商，不同網絡平臺服務商在隱私政策的標準、內容結構設計質量上良莠不齊；隱私條款的呈現形式、查找方式五花八門。網絡平臺服務商之間并未形成行業自律規則，設計隱私條款的標準尚未達成共識。網絡平臺服務商一方面為了配合監管部門的審查工作，另一方面為了適應大數據時代的發展，其需要不斷調整、修改隱私條款內容。來源于不同網絡平臺服務商的隱私條款再疊加上隨時修改的新條款會給用戶造成沉重的閱讀負擔。網絡平臺服務商之間具備行業自律規則，對告知-同意規則全面理解、隱私條款設計標準達成共識，一方面能減少監管部門工作量，另一方面，也能在維護用戶個人信息權益的同時促進行業發展達成良性競爭。

三、告知-同意規則之規范完善

對于告知-同意規則引入場景理論以實現動態的保護并落實用戶撤回同意權。除告知-同意規則框架的完善之外，信息處理主體間也應當加強自律，多機構聯合成立自律組織以規范個人信息的收集和保護。相關制度不斷完善是必然的，信息主體也需要從終端限制信息的收集，從根源上杜絕個人信息的收集濫用，維護自身權益。

(一)引入場景化動態保護

Helen Nissenbaum提出的隱私場景公正理論(Contextual Integrity Theory)，其核心思想是在不同的場景處理信息也應當受到不同的規范約束。[3]信息處理是由信息主體、傳播者、接收者多方共同參與的活動。不同的主體也因控制信息能力不同、合理期待不同、遵守的行為準則不同，需要對利益分配和風險承擔根據差異情況適用相應的信息傳播原則。[4]

知情同意規則是個人信息保護中的核心規則，目前的知情同意仍是單一且僵硬的。信息處理的場景也紛繁復雜，由于信息處理的場景不同，信息主體和信息處理者之間僅僅采用一種告知-同意模式則會導致風險利益分擔不均衡，從而影響個人信息的保護。處理數據前的知情同意并不能一勞永逸，需要伴隨場景的不斷變化而更改信息主體和信息處理者之間的權利義務分擔規則，以保持其長期處于平衡狀態。

1.場景理論的內在邏輯

在場景理論下，其內在邏輯是對個人信息追求動態保護，防控具體的而非抽象的風險。[5]動態保護和靜態保護是一體兩面，靜態保護主要是指對于個人信息處理采取靜態的規制手段，認為信息樣態在處理過程中固定不變，忽視了信息處理是一個動態過程，在不同的信息處理階段采取了相同的保護路徑。[6]在大數據背景下，信息作為一種基礎資源，個人信息處理涉及的場景不再單一，跨場景處理個人信息早已司空見慣。若是對于不同的場景仍適用靜態保護路徑，將導致個人信息在特殊的場景下無法獲得完整保護。因此需要轉變保護思路，動態地保護個人信息，在不同場景下權衡信息處理過程中各角色的預期和能力，合理分配權利義務，在個人信息的保護和利用之間尋找平衡點，構建場景化的動態個人信息保護框架。[7]

動態保護個人信息需要統籌兼顧各方利益，評估信息處理風險，充分關注信息主體的合理期待和容忍度，[2]根據不同場景設計不同的告知-同意規則。個人信息處理者在處理個人信息時應當以知情同意為一般規則，以不需獲得同意為例外。一般情況下的個人信息處理者處理信息前需要獲取信息主體的同意，在信息主體對于特定場景具有較高容忍度的情形下限縮告知-同意規則的適用范圍，推定信息主體默認同意，概括為“場景合理+知情+推定同意=合法處理”。[1]除此之外，相對固定的場景若發生變化也應重新獲取信息主體的同意，信息主體認為改變后的場景的信息處理會對其權益造成影響，設置便攜的撤回同意路徑。

2.場景的分化

標準的不同，個人信息處理的場景可以分化為若干場景。以個人信息處理的目的為標準，可將個人信息處理場景分為：為個人利益處理個人信息和為公共利益處理信息；以個人信息類型為標準可將個人信息處理場景分為：處理敏感個人信息和處理非敏感信息；以信息主體的類型為標準可將個人信息處理場景分為：處理成年人個人信息和處理未成年人個人信息。分類標準的不同導致場景類型化的多樣，個人信息處理場景的分類標準并不是絕對的，各場景存在重疊的情況，共同構成了個人信息處理的大場景。針對不同的場景設置差異化告知-同意規則，可以平衡信息處理者和信息主體之間的利益關系，動態地保護個人信息。在此基礎上由國家網信部門針對各場景牽頭制定隱私政策范本，規范市場上個人信息處理者對于隱私政策制定不標準的問題。對于相同場景間的隱私政策可以適用通用性隱私條款規則的基礎上，各信息處理者根據各自的服務不同而提供差異化條款，以減少用戶的閱讀時間。

3.告知-同意規則制定的考量

告知-同意規則制定的考量因素可以分為三個層級：第一層級指告知-同意規則在制定時需要遵循基本原則；第二層級指告知-同意規則制定時需要考量不同的場景包括信息主體、信息處理的目的等；第三層級指告知-同意規則設計時還需考量個人信息被不當處理的風險。

以第一層級的基本原則為基礎，三個層級之間逐層遞進。每個場景的告知-同意規則都需要符合合法、必要、正當原則，第二層級的具體場景決定了告知-同意規則的差異以及個人信息被不當處理后的風險。從第二層級入手，不同場景決定了風險的大小。以信息處理主體為例，信息處理主體可以分為個人、企業和政府，其中由于企業的逐利性，其過度處理個人信息的風險最高。不同的場景的排列組合能疊加出不同的風險，據此再進行針對性的動態告知-同意規則制定，能更高效地解決個人信息在各場景中處理不當的問題。

(二)落實用戶撤回同意權

根據《個人信息保護法》第15條之規定，用戶享有撤回其同意的權利。需要注意該條第二款明確用戶撤回授權同意不影響撤回前基于授權同意進行的個人信息處理，撤回授權同意不等同于注銷賬號。用戶撤回授權同意的行為系合法行為，不應構成違約責任。故而，個人信息處理者在隱私政策的制定中不能要求用戶不得撤回授權同意等內容。該條也對撤回同意的方式進行了要求，即應當提供便捷的撤回同意方式。實踐中，個人信息處理者大都隱蔽了撤回授權同意的路徑，或為撤回授權同意設置了不必要的障礙，以“誘導”用戶放棄撤回授權同意。歐盟的《通用數據保護條例》認為撤回同意的標準應是“撤回同意應當和表示同意一樣容易”⑤，實踐中很多信息處理者都使用了便捷的一鍵同意方式，那撤回同意也應當像做出同意一樣擁有一鍵撤回的路徑設計。

(三)網絡服務商之間形成行業自律

由中立的第三方建立知情風險評估機制，通過評估隱私政策的具體條款后將評估結果在網絡服務平臺的隱私政策中直接公示，讓用戶更為清晰直觀地了解即將使用的軟件對個人信息安全威脅的程度，從專業的角度輔助用戶決策是否同意個人信息處理者收集其個人信息。《個人信息保護法》第55條和56條明確了個人信息影響評估制度，事前個人信息保護影響評估作為特定個人信息保護的前置程序，對個人信息保護的影響顯著。通過事前評估能避免傳統監管上的“一刀切”，通過對個人信息處理程序進行量化，提升保護個人信息數據的有效性，降低潛在的合規風險。對于評估的標準可以參照2020年頒布的《安全技術個人信息安全影響評估指南》進行，該指南中明確了個人信息安全評估的國家標準和基本流程。結合《個人信息安全影響評估指南》和《個人信息安全規范》，評估的主體可以是個人信息處理者根據內部責任部門自行設置或聘請獨立第三方承擔具體的評估工作，但在開展評估時也要求其不能受到被評估方的影響，接收到來自監管部門或用戶的審核。由此看出，承擔評估義務的主體需要具有一定的獨立性，由中立第三方參與評估更符合要求。中立第三方應當是具有高度專業性但與被評估方無利益影響的中立機構，如國家機關、專業研究機構、高等院校等。在建立中立第三方評估機構時可以參考借鑒2002年為保障國家信息安全，技術研究機構、高等院校、大數據企業等多家機構聯合成立了全國信息安全標準化技術委員會的經驗。評估程序中還需要確定一系列的制度以免第三方受到被評估方利益的影響。

結 語

5G時代提出了個人信息合法利用的嚴峻挑戰。告知-同意規則是個人信息處理者處理信息的合法性基礎之一，依舊是保護個人信息的關鍵性制度。對數據進行收集的分析和預測在一定程度上甚至能影響控制人的決策行動，因此強調告知-同意規則的自主選擇和理性認知尤為重要。《個人信息保護法》需要進一步細化告知-同意規則，細化告知-同意的抉擇機制。在告知-同意規則的基本框架下，引入場景理論，動態保護個人信息，落實完善信息主體的撤回權；第三方中立機構介入評估隱私政策條款，簡化用戶閱讀幫助其從專業的角度理解條款內容。完善相關規則制度的同時，用戶個人也應當提升自我的個人信息保護意識，正確認識個人信息的價值，從個人端阻斷個人信息處理者對個人信息的收集。讓個人實質參與告知-同意規則進行理性分析后做出自主性抉擇，避免告知-同意規則流于形式。

注 釋：

①數據來源于“把手案例”(網址：www.lawsdata.com)法律文書數據庫，最后檢索時間為2022年7月2日。

②參見北京互聯網法院(2019)京0491民初16142號民事判決書。

③數據最后收集時間為2022年5月21日。

④上海尋夢信息技術有限公司、邢繼來網絡購物合同糾紛二審民事裁定書，(2019)湘01民轄終700號。

⑤ Regulation (EU)2016/679 of the European Parliament and of the Council，article 7.