網絡隱私政策“告知同意”規(guī)則的反思與重構

陳黎明

(湖南師范大學 法學院，湖南 長沙 410081)

0 引言

建立在個人信息自決權基礎之上的告知同意，是個人信息保護領域的核心規(guī)則。我國《個人信息保護法》第十三條明確“處理個人信息應當取得個人同意”，《民法典》第一千零三十五條規(guī)定了處理個人信息的“合法、正當、必要”三項原則，《網絡安全法》第四十一條進一步對網絡運營者收集、使用個人信息做出了專門性規(guī)定。從上述規(guī)范可知，我國個人信息保護法律體系圍繞著告知同意規(guī)則建構。這一尊重信息主體意思自治、體現個人信息自決權的個人信息保護規(guī)則在理論與實踐中均發(fā)揮重要作用。

但隨著數字技術席卷全球，人工智能、區(qū)塊鏈、云計算普遍應用，個人信息逐步脫離了封閉式構造。數據的財產屬性、社會屬性進一步凸顯。網絡平臺紛紛制定隱私政策作為處理用戶個人信息、開展數據加工的書面合規(guī)說明，告知用戶個人信息收集、使用、共享情況，以獲取用戶對平臺個人信息處理行為的同意。這一基于傳統(tǒng)告知同意規(guī)則設定的網絡隱私政策，在信息過載、數據共享頻繁的后數據時代，面臨“形式化”風險。以百度APP隱私政策(2023年4月7日生效版)為例，其篇幅長達2萬字，且存在圖表及諸多需跳轉頁面的超鏈接，譬如《百度兒童個人信息保護聲明》《百度隱私權保護聲明》以及第三方SDK情況說明。普通用戶相對難以弄懂條款內涵及可能出現的法律后果。平臺不考慮隱私政策專業(yè)性、耗時性問題，用戶淺層閱讀隱私政策、以隱私換取極小便利[1]，共同導致有效“告知”難以實現。二是網絡隱私政策場景下用戶的知情權、選擇權被架空，若用戶不同意平臺設定的隱私政策，則無法使用相關功能和接受平臺服務。這種“全有全無”的模式架構實際上擠占了用戶的選擇空間，用戶為獲取網絡服務只能同意網絡平臺隱私政策，此情形下的不同意選項形同虛設[2]。三是傳統(tǒng)告知同意框架下的既有強化措施可行性低下?！秱€人信息保護法》第十七條要求以“顯著方式、清晰易懂”的語言進行告知，歐盟《通用數據保護條例》亦規(guī)定“以清晰和平白的語言”來提供個人信息處理事項，但落實法律的概括規(guī)定往往存在難度。若網絡平臺以增加“警示”的方式強化告知，則會引起用戶的“警示疲勞”；若網絡平臺采用通俗語言表達個人信息處理規(guī)則，隱私政策則會更加冗長；若網絡平臺采用簡潔表達以減輕用戶閱讀負擔，則難以做到顯著、全面、清晰告知。從上述分析可知，傳統(tǒng)告知同意框架下的三種強化措施均難以達到理想化效果，亟需新理論、新方案以破除網絡隱私政策中告知同意規(guī)則面臨的現實困境。

基于告知同意規(guī)則在網絡隱私政策場景中存在的上述問題，本文對傳統(tǒng)告知同意規(guī)則的理論基礎——“理性人假設”學說、個人信息私有化預設、個人信息控制論進行逐一反思，梳理出了傳統(tǒng)告知同意架構與網絡隱私政策場景不適配的癥結。并從有限理性預設及歐美個人信息改革法案中普遍采用、能夠有效突破告知同意理論困境的情景脈絡完整性理論出發(fā)，對網絡隱私政策場景中個人信息保護的底層邏輯進行詳細論證?；谏鲜隼碚?，本文主張構建強告知弱同意的告知同意規(guī)則新模式。一方面，以《民法典》規(guī)定的格式條款規(guī)則嚴格規(guī)范網絡平臺的告知行為，確保用戶充分知情；另一方面，基于情景脈絡完整性理論明確同意規(guī)則彈性適用限度，以是否符合用戶合理期待這一實質標準取代傳統(tǒng)的個人信息敏感程度界分標準，助力告知同意規(guī)則在網絡隱私政策場景下煥發(fā)出新的蓬勃生機。

1 網絡隱私政策告知同意規(guī)則的理論反思

傳統(tǒng)告知同意規(guī)則建立在“理性人”學說、個人信息控制論及公私二元區(qū)分理論之上。但在大數據時代背景之下，用戶受模式設定的限制，面對是否同意平臺隱私政策的抉擇難以保持完全獨立、理性。網絡隱私政策“全有全無”的模式設定，導致用戶必須“一攬子”同意所有條款才能順利接受網絡平臺提供的服務，即使部分條款存在嚴重侵權風險。網絡平臺以服務為籌碼換取用戶同意的做法，實際剝奪了用戶自主決定個人信息的處理方式、范圍的權利[3]。大數據時代個人信息的財產屬性和社會屬性逐步凸顯，傳統(tǒng)的公私二元區(qū)分預設在網絡隱私政策場景中難以適配。

1.1 隱私政策情景下的“理性人假設”學說

“理性人”概念起源于經濟學，后被法經濟學沿用，是指主體處理事務時擁有完全理性、意志及自立[4]。近代民法體系中民事主體被視為“抽象理性人”即是該概念的法律應用。根據“理性人假設”的理論邏輯，具備完全理性的用戶面臨是否同意網絡平臺隱私政策的抉擇時，會遵從預期效益理論在兩種方案中進行成本效益分析[5]。然而，分析實踐狀況中用戶行為可知，互聯(lián)網場景下用戶僅表現出有限理性，極少依據上述邏輯抉擇，絕大多數人對待頁面突然跳轉出來的隱私政策采取徑直勾選，甚至漠不關心的態(tài)度。網絡隱私政策場景中，“理性人假設”適配性減弱，用戶注重個人隱私卻忽視審慎授權的割裂性反差的產生原因主要體現在以下三個方面：第一，受心理學上知覺定式的影響，用戶對于頻繁跳出且內容相似的平臺隱私政策會逐步降低敏感度[6]，進而引發(fā)邊際遞減效應，直至不假思索地勾選同意選項。第二，用戶對于未來概率事件傾向于做出樂觀風險決策。在前景理論下，用戶面對同意網絡隱私政策后可能發(fā)生的潛在風險，通常存有僥幸心理，認為隱私侵權的危害后果不會落在自己頭上，從而徑直同意隱私政策以獲取服務。第三，用戶在日常生活中做出判斷更依賴于生活經驗而不是專業(yè)理論。一方面，從眾心理使得絕大多數人為獲取服務快速勾選隱私政策的同意選項；另一方面，其在自身社會關系網中較少接觸到網絡隱私侵權造成極大損害的事例，也潛移默化地降低用戶對于網絡隱私政策潛在危害的警惕。

1.2 個人信息私有化預設脫離隱私政策場景

在網絡隱私政策場景中，只有當用戶以授權或瀏覽等方式做出明確同意后，網絡平臺識別、處理、共享用戶個人信息才具備正當性、合法性基礎。這種嚴格的告知同意模式架構實質建立在個人信息私有化的理念之上，認可用戶個人信息的私有屬性，而忽略其公共屬性。

然而，大數據、算法的出現，使得諸如姓名、性別、地理位置及消費偏好等用戶個人信息逐步濫觴于公共領域。在“用戶—平臺”的關系中，用戶的點贊記錄、瀏覽偏好，經算法處理后被平臺用于個性化推薦的情形幾乎無可避免。并不能僅僅依據某一記錄與特定用戶存在特定聯(lián)系，而認定該用戶對其享有排他控制權。網絡平臺，信息發(fā)布者，甚至普通用戶都可以知悉用戶點贊、評論行為。此外，受科學技術創(chuàng)新與數字經濟發(fā)展影響，個人信息的公共屬性更加突顯。

1.3 個人信息控制論無法適應隱私政策場景

個人信息控制理論是國際主體個人信息保護的理論支撐，亦是告知同意原則的源頭和根基，是指個人有權決定自己的個人信息是否被處理、被誰處理及處理的方式、范圍和目的。在網絡隱私政策場景下用戶目前能否自主決定個人信息的處理，個人信息控制理論的應用是否順暢，都是需要面對的問題。

第一，個人信息的“過度”控制將擠壓數字經濟發(fā)展的空間。個人信息控制論強調個人對自我信息的絕對控制，在理論層面存在將其歸為具體人格權的私權化傾向[7]。用戶個人信息由個人嚴格控制的理念和行為，嚴重阻礙個人信息流動及網絡平臺的數據利用。然而，國際上高度重視個人信息的流通、利用。歐盟《通用數據保護條例》第1條第三款規(guī)定“個人數據在歐盟境內的自由流通不得因為在個人數據處理過程中保護自然人而被限制或禁止”，即體現了在保障個人數據權利的基礎上重視提升數據流通、利用效率的立法目的。因此，在數字經濟造就的網絡隱私政策場景下，平衡個人信息保護與數據高效流通是大勢所趨。

第二，“全有全無”的網絡隱私政策模式導致用戶選擇權被架空，無法實質控制個人信息的處理方式、范圍及目的。網絡平臺單方制定的隱私政策，具有格式條款屬性。用戶只能決定是否同意全部條款，而不能就某一條款的具體規(guī)定及留存問題與平臺進行協(xié)商?？v觀市面上的應用程序，幾乎所有平臺均以接受其制定的隱私政策作為用戶從平臺獲取服務的前提。以百度APP為例，應用安裝完成后，會彈出“同意”或“退出應用”的按鈕。用戶只有以點擊“同意”按鈕的方式表示對服務協(xié)議及隱私政策的了解及認可，才能開始使用百度搜索引擎并獲取相關服務。此種模式設定旨在引導用戶接受讓渡個人信息權利以換取當下網絡服務，實際上架空了用戶的選擇空間，使得告知同意規(guī)則深陷形式化的泥淖當中，難以達到設定目的及理想化效果。

2 重構網絡隱私政策中告知同意規(guī)則的理論突破

2.1 有限理性理論

行為經濟學認為，人在面對選擇時并非完全依據成本效益分析追求最大化利益的實現，反而會受到多元因素的影響，譬如對事件發(fā)生概率片面認識、認為風險極少發(fā)生的自信偏見以及種類繁雜的干擾選項[8]?！袄硇匀思僭O”中的完全理性決策成為空中樓閣，被“有限理性”取代。

網絡隱私政策場景與傳統(tǒng)市場環(huán)境不同。良性商業(yè)競爭糾正用戶次優(yōu)決策的效應在網絡空間異化為“贏者通吃”現象[9]?；ヂ?lián)網用戶受雙方信息不對稱、專業(yè)能力及精力條件的限制，面對是否同意平臺單方制定的網絡隱私政策，僅能基于有限理性做出決策。即使隱私政策對平臺如何處理用戶個人信息、在何種程度處理用戶個人信息在一定程度上進行了披露，但這種披露的完整性難以保證，雙方信息不對稱的問題沒有得到根本解決。一方面，平臺受利益驅使會對隱私條款進行技術處理，掩飾與《個人信息保護法》《網絡安全法》理念、條文相背離的個人信息處理手段，實施信息欺詐行為。譬如，網絡平臺對于存在嚴重隱私侵權風險的個人信息處理方式及程序進行模糊化處理，避免向用戶完整告知，以及在界面設計上誘導用戶做出令平臺受益的選擇。百度APP的隱私政策彈窗界面，即以顯著藍色底紋及加大號字體展示“同意”按鈕，以淡化白色底紋及縮小號字體展示“退出應用”按鈕。另一方面，如表1所示，以百度、微信、Google及Microsoft為代表的國內外大型互聯(lián)網平臺單方制定的隱私政策均是專業(yè)名詞及符號的集合體，繁冗復雜、晦澀難懂。頁面出現的各類圖表、超鏈接極易分散用戶注意力，致使用戶難以花費時間精力投入到隱私政策的閱讀與理解當中。當然，即使仔細閱讀隱私政策，用戶也會因專業(yè)知識的欠缺難以準確理解平臺的個人信息處理規(guī)則及流程。用戶基于有限理性對網絡隱私政策這一單方制定的、不可協(xié)商的格式條款做出“同意”的真實性、合理性飽受質疑。

表1 國內外互聯(lián)網平臺隱私政策中專業(yè)名詞、圖表、超鏈接數量一覽表

2.2 情景脈絡完整性理論

美國學者Nissenbaum提出的情景脈絡完整性理論[10]，主張個人信息的收集及后續(xù)的加工、共享，均應依據差異化的應用場景而定[11]。若特定場景下個人信息處理的方式、程度符合主體的“合理預期”，則無需獲得同意[12]。這一理論正視了網絡空間中個人信息的公共屬性，是對個人信息控制論的突破，實質弱化了同意規(guī)則的適用，使得個人信息不再處于主體的絕對控制之下。

情景脈絡完整性理論在網絡隱私政策場景中的應用可有效改變“全有全無”的邏輯架構，使得同意規(guī)則處于一種動態(tài)開放的過程之中。網絡平臺制定隱私政策條款及用戶選擇是否同意該條款時，均需考慮個人信息收集、處理的方式、范圍及目的，以判斷該個人信息處理條款的內容是否符合“合理期待”。用戶僅需要投入精力閱讀私密性較強、與個人關聯(lián)性程度較高、有潛在隱私侵權風險的個人信息處理條款，用戶的閱讀負擔將會大幅降低。美國《消費者隱私權利法案》致力于指引消費者充分了解自身對于個人信息處理者的期待[13]，將“尊重場景”獨立成章進行論述，并依據個人信息處理目的及是否符合主體“合理預期”對無需征得主體同意的情形作出了較為明確規(guī)定。《消費者隱私權利法案》在世界范圍內率先搭建起了以場景及風險為理念的個人信息保護架構，指明了數字經濟時代個人信息保護立法的改革方向[14]。歐盟《通用數據保護條例》第6條亦要求個人信息的處理需符合適當性原則，綜合考慮個人信息的性質、是否采取保護措施以及收集與進一步使用的目的之間的聯(lián)系等元素。

1)對花崗巖中粒子速度峰值和比例粒子位移峰值進行對數坐標下的線性擬合分析，結果表明粒子速度峰值和比例粒子位移峰值在靠近爆心的區(qū)域衰減慢，遠離爆心的區(qū)域衰減快；

3 規(guī)范網絡平臺告知行為

《個人信息保護法》第14條規(guī)定，同意應當建立在個人充分知情的前提之下。這一規(guī)定明確了個人信息保護中網絡平臺告知行為的基礎性價值，為規(guī)范告知行為、強化規(guī)制力度提供了法律依據。網絡隱私政策具有合同屬性，由于其系網絡平臺單方預先擬定，重復使用且不可協(xié)商，故屬于合同中的格式條款類型。有限理性論的視角下，用戶在網絡隱私政策場景中受信息不對稱、地位懸殊及“服務要挾”等因素影響，幾乎無法基于理性作出有利于己方的判斷與選擇。因此，應當積極適用《民法典》規(guī)定的格式條款訂入規(guī)則、效力規(guī)則和解釋規(guī)則，統(tǒng)一隱私政策制定標準，對用戶采取傾斜保護，以緩解《個人信息保護法》告知同意規(guī)則在網絡隱私政策場景中的乏力現象。

3.1 訂入規(guī)則：限縮同意的范圍

有學者提出，格式條款的訂入規(guī)則只有在網絡格式條款的交易情景下才能凸顯其真正的意義與價值[15]。與紙質合同不同，數字化的網絡隱私政策無容量限制。網絡平臺抓住這一特性，在隱私政策中設定并頻繁加入可能侵害用戶權益的條款，使得用戶個人信息陷入侵權風險之中。譬如，收集用戶搜索及閱讀偏好以推送個性化廣告，此行為存在將用戶個人信息泄露給廣告提供商的風險。鑒于此，應積極適用《民法典》第496條規(guī)定的格式條款訂入規(guī)則，排除網絡平臺未履行提示或說明義務的重大利害關系條款以限縮同意的范圍，使得網絡平臺處理用戶個人信息的部分行為喪失合法性。落實到具體操作中，關鍵是要界定好“重大利害關系條款”與網絡平臺的“提示說明義務”。

第一，“重大利害關系條款”這一表達過于抽象寬泛，應界定其在限縮隱私政策同意范圍方面的內涵外延，準確把握格式條款訂入規(guī)則的有效適用。《民法典》第496條的規(guī)定強化了格式條款提供方的責任要求[16]，將《合同法》第39條規(guī)定的范圍擴大至“免除或者減輕其責任等與對方有重大利害關系的條款”。梳理網絡平臺發(fā)布的隱私政策條款可知，涉他條款、信息加工條款、非必要信息收集條款及可單獨識別信息的處理條款一般被認定為“重大利害關系條款”。譬如，為提供個性化服務，平臺從合作企業(yè)、關聯(lián)公司等第三方供應商處獲取用戶個人信息并進行加工處理。這一行為因涉及第三方平臺及個人信息來源的合法性問題，而應屬于重大利害關系條款。

第二，網絡平臺履行提示說明義務，需對重大利害關系條款采用加粗、加下劃線、增大字號、變換字體等外在顯著標識方式，且應兼具內在可讀性。網絡平臺履行提示說明義務的標識方式種類繁多，只要具備凸顯條款重要性、警示用戶格外關注的實際效果，即滿足提示說明義務的形式要件。實踐中網絡平臺普遍采用多元化的顯著標識以突出顯示重大利害關系條款。Google隱私權政策(2023年10月4日生效版)采用了添加圖標、添加符號、加藍色下劃線、放大字體四種顯著標識方式，而百度APP隱私政策(2023年4月7日生效版)則采用了與之不同的字體加粗，加淺灰色底紋兩種顯著標識方式。若顯著標識條款明顯多于正常字體條款，不能有效提請用戶合理注意，則會被法院認定為過度使用顯著標識，未盡到提示說明義務。從《個人信息保護法》第17條所規(guī)定的告知事項來看，對于個人信息處理者的名稱、聯(lián)系方式，個人信息處理的目的及方式，被處理的個人信息種類、保存期限等重要事項，網絡平臺應當盡量優(yōu)化表達，以清晰易懂的語言使用戶充分知悉、準確理解。對于內容抽象繁雜、專業(yè)化程度高、用戶難以理解的程序性事項，只要求用戶了解基本內容，可據此做出理性判斷即可[17]。

3.2 效力排除規(guī)則：排除隱私政策的無效條款

《民法典》第496條規(guī)定針對雙方當事人之間利益的一般失衡，第497條規(guī)定則是為了解決當事人之間利益的嚴重失衡問題。網絡平臺受利益驅使，往往利用網絡隱私政策“全有全無”的特點，制定的損害用戶隱私權益的條款應當被認定為無效并加以排除。運用《民法典》第497條規(guī)定的格式條款規(guī)則排除網絡平臺制定的隱私政策無效條款，有利于走出告知同意規(guī)則的形式化泥淖，還原用戶內心真意。

《民法典》第497條規(guī)定由《合同法》第40條規(guī)定演變而來，主要差異是《民法典》在合同無效的三種情形前加上了“不合理”這一限制。關于“不合理”的確定標準，最高人民法院周恒宇法官主張以是否導致雙方權利義務過于失衡作為實質標準，結合合同性質與合同具體約定進行判定[16]。至于在網絡隱私政策中如何明確“不合理”的標準則未著筆墨。本文認為，可參考《App違法違規(guī)收集使用個人信息行為認定辦法》等文件，將網絡隱私政策中的無效條款區(qū)分為絕對無效與相對無效。未經用戶同意收集使用個人信息、向他人提供個人信息的行為，與告知同意規(guī)則相悖，嚴重侵害用戶的個人信息自決權，會導致雙方利益明顯失衡，屬于絕對無效條款。未公開收集使用規(guī)則、違反必要原則，收集與其提供的服務無關的個人信息、未明示收集使用個人信息的目的、方式和范圍等行為，應當被認定為相對無效條款，由法院在司法裁判中結合合同性質、相關條款及影響程度等因素綜合判定其效力。

鑒于實踐中網絡隱私政策呈現復雜化趨勢，對于上述分類無法窮盡的無效類型，應當借助誠實信用原則這一民法中的“帝王條款”加以判定。誠實信用原則的立法理念系填補損失，彌補當事方之間各種不平等，與格式條款效力判定的實質標準相契合。其被應用于判斷網絡隱私條款效力具有合理性。例如某些APP隱私政策，要求授權其與關聯(lián)公司、業(yè)務合作伙伴共享用戶的注冊信息、交易與支付數據，并允許進一步數據分析和商業(yè)利用，此條款“無限加重用戶個人信息使用風險”，達不到平衡雙方權利義務的立法目的，嚴重背離誠實信用原則，應當被認定為無效條款。

3.3 解釋規(guī)則：解釋隱私政策爭議條款

在網絡隱私政策中，運用格式條款解釋規(guī)則有利于厘清合同當事方的真實意思表示，平衡合同當事方利益，應當注意以下兩個方面：

第一，如何界定“通常理解”。受用戶與網絡平臺信息不對稱，地位相差懸殊等影響，網絡隱私政策中當事方的合意程度較低，權利義務不對等，因此解釋隱私政策爭議條款時尤其需要作到解釋的客觀性，不能局限于個別案件及個別當事人的主觀意見。由于格式條款面對廣泛的社會群體，且具有重復使用特性，因此對隱私政策爭議條款進行解釋時，要注重在地域、職業(yè)、時間范圍等方面具有同一屬性的用戶中保持解釋的一慣性，做到統(tǒng)一解釋。隱私政策中有關信息處理的專業(yè)技術術語通常具有固定含義，適用通常解釋規(guī)則。若用戶在閱讀隱私政策時不理解專業(yè)術語含義可請求網絡平臺履行解釋說明義務。

第二，如何理解“不利解釋”在網絡隱私政策中的適用。網絡平臺掌握信息數據優(yōu)勢預先擬定條款，用戶受“一攬子”同意模式的影響，無法做出符合內心真意的意思表示，合同當事方之間利益嚴重失衡。在此情形下，不利解釋的適用是平衡網絡平臺與用戶之間利益失衡的一劑良藥。譬如，當隱私政策當事方之間就收集非必要信息條款發(fā)生爭議時，若非格式條款優(yōu)先規(guī)則與通常解釋規(guī)則無法破除當下困境，則需做出不利于網絡平臺的解釋，以降低用戶個人信息遭受侵害的風險。

4 同意規(guī)則：弱化適用的場景化建構

同意規(guī)則作為個人信息處理的前置規(guī)則在數據高速流通、資訊多樣交互的數字經濟時代已落入形式化窠臼。既有的同意規(guī)則強化措施亦難以發(fā)揮實效。作為個人信息保護基石的告知同意規(guī)則應參考歐美個人信息保護改革法案，引入的情景脈絡完整性理論，由嚴格的“同意”程序轉變?yōu)閺椥赃m用。但是當個人信息的某一要素被視為客觀類別而進行具體化研究時，個人信息背后潛藏的隱私利益與特定情景之間的關聯(lián)性則易被忽略[19]。不同情景下的隱私價值無法被靜態(tài)的個人信息分類規(guī)則所囊括。因此，在網絡隱私政策場景中，要想將情景脈絡完整性理論切實應用于“平臺—用戶”法律關系中，必須要回答下列問題：同意規(guī)則彈性適用的限度是什么？用戶在不同場景下應當設置何種強度的“同意”？適度弱化同意規(guī)則的適用基準如何界定？

4.1 同意規(guī)則動態(tài)適用的限度：避免強化與特定情形堅守

“平臺—用戶”法律關系中的同意作為意思表示的一種，受雙方信息不對稱、地位差異懸殊及用戶知覺定式、樂觀風險偏好等因素的影響，已經陷入了意思表示不自由的境地。理論與實務界普遍倡導的強化同意方案在具體落實的過程中至少存在以下兩個方面的困境：第一，同意強度與數據流通、利用的效率呈負相關[20]。在用戶同意強度上加碼會降低平臺數據流通效率。第二，高強度同意會加重用戶的閱讀、思考負擔，導致用戶疲于應對種種個人信息處理規(guī)則，告知同意規(guī)則的形式化矛盾將進一步激化。綜合上述，在用戶同意的真實性、自愿性得不到有效保障的網絡隱私政策場景中，同意規(guī)則動態(tài)適用的首要限度即為避免進一步提升用戶同意強度，逐步降低形式化同意的影響程度。

《個人信息保護法》規(guī)定了向其他個人信息處理者提供個人信息、公開個人信息、非維護公共安全目的收集個人圖像、處理個人敏感信息、向境外提供個人信息時，個人信息處理者處理個人信息需取得信息主體單獨同意。這是告知同意作為個人信息保護核心規(guī)則的立法體現，也是在網絡隱私政策場景下堅守告知同意規(guī)則的重要警示。對于符合用戶合理期待的事項及用戶難以充分認知的事項，可放松同意規(guī)則的形式化要求，降低用戶同意強度。用戶瀏覽或知曉隱私政策的行為即可使網絡平臺具備處理用戶個人信息的合法性基礎，默示同意將被吸納進網絡隱私政策場景中個人信息保護的同意規(guī)則之中。但對于與用戶緊密相關、存在較大隱私侵權風險且用戶能夠對其具有充分認知的重要事項，譬如平臺獲取用戶賬號密碼信息、平臺啟用拍照權限等，在同意形式上應當更加嚴格要求[21]，即網絡平臺必須通過履行提示說明義務獲取用戶明確同意才可取得處理用戶個人信息的合法性基礎。

4.2 同意強度適用基準

有觀點認為，應當以用戶個人信息的敏感程度作為同意規(guī)則彈性適用的判斷基準，將個人信息的敏感度分為高、中、低、非四個等級，分別適用不同強度的同意規(guī)則[12]。但是，從我國《個人信息保護法》、歐盟《通用數據保護條例》及美國《消費者隱私權利法案》的規(guī)定來看，敏感信息與一般信息的界分尚未達成共識。且個人信息的敏感程度易受諸如風險、情景等外部因素的影響，會隨著情景脈絡的轉換而動態(tài)變化[22]，具有極大不確定性，不宜作為同意強度的適用基準。

情景脈絡完整性理論反對用傳統(tǒng)靜態(tài)標準區(qū)分個人信息的類型，主張在完整的情景脈絡中判斷該信息處理行為是否符合信息主體的“合理期待”。這一“合理期待”并非一成不變，信息主體會根據具體情景差異適時調整自我“合理期待”[23]。信息主體的合理期待建立在用戶對于網絡平臺信息處理行為的方式、范圍、程度及可預測風險的感受之上，實質是對該信息處理行為是否傷害個人人格尊嚴及自由發(fā)展的內在判斷。因此，在網絡隱私政策場景中應當以平臺信息處理行為是否傷害用戶人格尊嚴及自由發(fā)展作為同意規(guī)則適用強度的判斷基準。開放拍照權限、獲取賬號密碼等行為因觸及用戶肖像、私密聊天、瀏覽記錄，存在較大阻礙用戶自由發(fā)展、損害用戶人格尊嚴的風險，而需采取強同意模式，即用戶在對平臺個人信息處理行為的方式、范圍及潛在風險充分知情的基礎之上，以點擊授權等行為做出單獨明確同意。經用戶根據情景脈絡判斷得出的隱私侵權風險較低，對人格尊嚴及自由發(fā)展影響較小的個人信息處理行為，僅需用戶以知曉或瀏覽等默示行為表示同意。鑒于此，國內外立法所普遍采用的敏感信息與一般信息界分標準，譬如歐盟《個人信息處理中的個人保護公約》及我國《個人信息保護法》第二十九條，與網絡隱私政策場景并不適配，應修正為是否符合用戶合理期待這一界分基準，以逐步盤活網絡隱私政策場景中告知同意規(guī)則的適用。

5 結論

傳統(tǒng)的告知同意規(guī)則建立在“理性人假設”、個人信息私有化預設及個人信息控制理論之上，脫離網絡隱私政策場景，適配度較低。以有限理性假設及歐美個人信息保護法案普遍應用的情景脈絡完整性理論對告知同意規(guī)則面臨的現有困境進行突破，構建出“強告知、弱同意”模式，以破解網絡隱私政策中告知同意規(guī)則適用的病癥。嚴格適用格式條款規(guī)則規(guī)范網絡平臺的告知行為可以有效規(guī)制網絡平臺信息欺詐等不誠信行為，保障用戶知情權的充分實現，從根源降低隱私侵權風險。因此，根據情景脈絡完整性理論彈性適用同意規(guī)則，逐步明確同意規(guī)則的適用限度，以平臺處理行為是否符合用戶合理期待作為同意強度適用基準，取代國內外立法普遍采用的個人信息敏感程度這一模糊界分標準。