張琬悅

信陽師范學院法學與社會學學院，河南 信陽 464000

一、問題的提出

《中華人民共和國個人信息保護法》（以下簡稱《個人信息保護法》）頒布之后，在告知同意原則適用上延續(xù)了《中華人民共和國民法典》（以下簡稱《民法典》）中規(guī)定的模式，除訂立、履行合同所必需等情形外，處理個人信息應當取得個人同意。在個人信息的范圍界定上，《個人信息保護法》以“識別+關聯(lián)”為標準，客觀上擴大了所調整的個人信息范圍及告知同意原則的適用情形。在取得同意的形式上，以明示同意的擇入為核心，僅在極少數(shù)情況下允許拒絕機制，且要求為用戶提供撤回同意的便捷方式。[1]隨著互聯(lián)網(wǎng)技術的蓬勃發(fā)展，信息主體與信息處理者之間的關系日益復雜，信息主體掌控其信息的權利逐漸削弱，對其信息的保障逐漸弱化，這就使得告知同意原則在信息保護中容易被架空。[2]雖然在《個人信息保護法》中確立了告知同意原則的核心地位，但其在實施過程中仍然面臨諸多困境。首先，信息主體的知情權是否充分得到保障？其次，信息處理者設置的同意模式是否流于形式？最后，信息主體對其信息授權之際是否缺乏自由選擇的空間？鑒于此，筆者在下文進行詳細分析。

二、現(xiàn)行告知同意原則適用的局限性

實踐中，告知同意原則的適用經(jīng)常面臨諸多困境。企業(yè)APP 所設置的隱私協(xié)議、格式條款等只存在于形式層面，并非真正想要告知用戶并征得其同意。雖然近幾年國家已經(jīng)出臺了《中華人民共和國網(wǎng)絡安全法》《個人信息保護法》等相關法規(guī)制度，但其在應用中仍自相矛盾。“我已閱讀并同意隱私協(xié)議”這類條款的設置在形式上似乎符合告知同意原則的表面含義，但實質上并未真正保障用戶的知情權與同意權，用戶通常在無法正常使用APP 的前提下才會勾選同意，并非其真實意愿。當信息有泄漏的潛在風險時，首先侵害的是信息主體的權益，用戶作為信息所有權人有權知悉自己的信息是否被收集與利用，是否許可或不予許可他人使用。對此，告知同意原則意在當信息處理者對信息進行收集與使用時，對信息所有人進行充分告知，平衡個人與信息處理者之間的信息不對稱，使得個人在追求自己使用軟件服務的前提下，不用過多擔心自己的信息被非法泄漏與利用。告知同意原則作為《個人信息保護法》的核心制度，在實踐中卻困難重重，深陷難關。其具體表現(xiàn)在以下幾個方面：

（一）個人對其信息處理的知情權未得到保障

個人是否知情以及是否充分知情，在很大程度上取決于信息處理者在使用其個人信息時，是否告知其處理方式與處理范圍。通常，企業(yè)在信息技術的理解和運用方面占據(jù)著優(yōu)勢地位，其與用戶之間存在著信息不對稱的情形，使得用戶不能準確理解企業(yè)告知內容中的技術含義，因而難以實現(xiàn)《個人信息保護法》第十四條要求的“充分知情”。①參見《個人信息保護法》第十四條規(guī)定。個人信息處理者有主動告知的義務，因為個人信息處理者最清楚其為何要收集特定的個人信息以及將如何收集和處理，且處理活動可能會對個人產(chǎn)生何種影響等。用戶基于信任通過有償或者無償?shù)姆绞脚c企業(yè)建立合同關系，使用企業(yè)的產(chǎn)品與服務，并將其信息作為對價。因此，關于該產(chǎn)品與服務的各項規(guī)定用戶都應享有知情權，但是在大數(shù)據(jù)背景下，出現(xiàn)了各種高難度算法技術，使得用戶與企業(yè)之間的信息不對稱現(xiàn)象更加嚴重。用戶對于其信息怎樣收集與使用以及是否在未得到許可的情形下肆意流轉等情形都不予知曉。各類互聯(lián)網(wǎng)企業(yè)均為了不違法而制定出自己的隱私協(xié)議，但協(xié)議內容大都屬于格式條款，使用較小字體，語言表述模棱兩可，并對涉及個人信息的條款不予重視，不進行標注等，因其存在于大量篇幅之中，使得信息主體常常因為條款的冗雜性而不會花費大量時間細致閱讀，無法獲取真正有效的信息，在隱私協(xié)議形同虛設的情形下，用戶對企業(yè)的信賴度也會降低，不利于用戶與企業(yè)之間的良性交易。因此，只有信息處理者充分履行告知義務，完善隱私協(xié)議內容，減少條款的復雜性，個人的“充分知情”才有可能實現(xiàn)。

（二）一般同意與特殊同意流于形式

根據(jù)《個人信息保護法》第十三條的規(guī)定，基于個人同意是個人信息處理者處理個人信息的一項主要的法定情形，第十四條在第十三條的基礎上，進一步規(guī)定了不同情形下同意的方式與類型。[3]《個人信息保護法》第十四條第一款后半部分的規(guī)定，“法律、行政法規(guī)規(guī)定處理個人信息應當取得個人單獨同意或者書面同意的，從其規(guī)定”。①可見其是有關于個人信息處理者在處理信息時的特殊同意規(guī)定。在日常使用時，個人信息的適用情況錯綜復雜。因此，將同意分為一般同意與特殊同意是處理信息的必要選擇，特殊同意又包括單獨同意與書面同意。然而，這種看似加強信息保護的分類卻在實踐中不免流于形式，形同虛設。例如，在最高檢發(fā)布的典型案例中，某APP允許兒童注冊賬號，其在未采取清晰簡潔的方式對監(jiān)護人進行告知并獲取監(jiān)護人的明示同意的情形下，不僅混亂管理兒童賬號，還收集、儲存、利用兒童賬戶與其聯(lián)系方式，以及兒童面部識別特征、聲音識別特征等個人敏感信息。②參見最高人民檢察院第三十五批指導性案例：“浙江省杭州市余杭區(qū)人民檢察院對北京某公司侵犯兒童個人信息權益提起民事公益訴訟案。”處理未成年人的信息屬于處理敏感個人信息，信息處理者在進行使用前，需采取特殊同意的方式予以告知其監(jiān)護人并需經(jīng)過監(jiān)護人的明示同意后方可進行操作。在實踐中，信息處理者往往不注重對同意進行區(qū)分，只采取形式主義的一般同意方式，這就使得一般同意與特殊同意看似加強適用，實則只停留在文字表面。

（三）信息主體缺乏自由選擇的空間

當信息所有人在面臨大量隱私條款時，即便可能會耗費較多時間，但往往為了保護其個人信息也會選擇瀏覽閱讀。然而，當個人仔細閱讀隱私條款后，關于是否允許對其個人信息進行使用缺乏自由選擇的空間。在數(shù)據(jù)廣泛利用的背景下，信息已逐漸成為互聯(lián)網(wǎng)時代最重要的資源之一，大多數(shù)互聯(lián)網(wǎng)服務的商業(yè)運營依靠個人信息的收集與加工利用。當信息主體在決定是否同意其對個人信息的使用時，往往存在著對相應信息網(wǎng)絡服務的需求。盡管根據(jù)法律的規(guī)定，有效告知乃是信息處理者必須踐行的義務，但互聯(lián)網(wǎng)商業(yè)平臺抓住信息主體不會放棄的這一心理，使得用戶除了放棄該項服務以外別無他選，迫于無奈，信息主體才會作出同意的選擇。信息處理者對信息主體的選擇權置若罔聞，使得在實際操作中告知同意原則不能被有效適用。

三、告知同意原則適用問題的完善路徑

（一）充分保障信息主體的知情權

信息處理者在對信息進行收集時，通常采取與信息主體簽訂隱私協(xié)議的方式，盡到合理提醒的義務，貫徹誠實信用原則，其目的是保障信息主體的知情權。因此，信息處理者應當全面完善隱私協(xié)議，隱私協(xié)議不必在數(shù)量上或者復雜程度上略勝一籌，而是要起到有效告知的作用。盡可能用最少的語言傳達出最重要的信息，[4]對需要特別提醒的信息采取加重或者劃線的方式使得信息主體能夠準確了解。

一方面，信息主體會受到來自不同使用者的處理，為了防止信息被交叉使用，信息處理者首先應對所有可能使用其信息的使用者全部進行告知，使信息主體對所有使用其信息的處理者都充分知曉；其次，當信息被使用后，信息主體最想知道的便是未來可能發(fā)生的風險，現(xiàn)在大部分隱私協(xié)議只關注信息處理者是否遵守法律、法規(guī)等使用信息，對隱私風險不是特別關注，在這種情況下普通用戶沒有信息安全意識，對自己的信息保護缺乏重視，因此加強隱私風險評估也是最重要的保護措施之一?！秱€人信息保護法》出臺之后，很多企業(yè)設置了相關風險評估，但對信息種類進行了限制，并沒有普及到所有信息之中。因此，對于此項措施，除了需要相關法律法規(guī)以外還需要平臺以及社會各方的約束。

另一方面，信息處理者應當采取合理的方式全面而準確地向信息主體進行告知。首先，應當將免責條款以及讓步主體權利的條款采取加粗加重等方式使信息主體充分知曉；其次，對于上文所提及的隱私風險評估，可采取即時性的動態(tài)方式告知用戶，使得用戶可以實時了解信息保護的進度；最后，告知的目的意在保障信息主體的知情權，因此應盡可能排除公告方式，采取短信或者私信彈窗等一對一的模式。

（二）明確一般同意與特殊同意的關系

在我國《個人信息保護法》中，為了給予特定場景更加嚴格有效的保障，在之前的概括同意下新增單獨同意這一新興概念，使其可以針對不同的場景做出不同的規(guī)定，提供更加嚴格的保障。《個人信息保護法》中對一般同意與特殊同意的信息進行了分類，因此為了有效保障信息主體的同意權，信息處理者在處理敏感個人信息與一般個人信息的同意時應相互獨立，明確一般同意與特殊同意的關系，對敏感個人信息采取單獨同意的方式。[5]信息處理者應當遵循比例原則，不得過度收集用戶信息并采取一攬子同意的方式，使得信息主體缺乏實質性的選擇權，在某種程度上剝奪了信息主體自由行使同意權的權利。基于同意處理敏感個人信息的告知，應是一種與單獨同意對應的單獨告知。采取更加顯著的方式進行單獨告知，將處理敏感個人信息與一般個人信息的告知相獨立，單獨告知所處理的敏感個人信息內容，切實符合立法初衷。

（三）提高告知同意原則實施的有效性

告知同意原則在對個人信息保護方面發(fā)揮著舉足輕重的作用，為了提高其實施的有效性，須厘清告知同意原則的范圍與邊界，對告知同意進行層次劃分，使其更加具有實踐意義。信息主體之所以缺乏自由選擇的空間，原因在于信息處理者對告知同意原則經(jīng)常采用一刀切的做法，并沒有真正明確告知同意原則的范圍與界限，以至于當信息主體面臨因其不同意冗長的協(xié)議條款而無法使用信息處理者提供的服務時，迫于無奈只能勾選同意。為了提高告知同意原則實施的有效性，首先，要使信息主體在自由意志下行使同意權，根據(jù)《民法典》在信息保護中的適用，自然人作出同意的意思表示必須基于意思自治，使其在自由的狀態(tài)下作出真實的選擇。其次，同意應當采取明示的方式，明示同意的模式會更加注重保護信息主體的自決權和人格權，不能因為主體默示而視為其同意。信息處理者在征得信息所有人同意時，一般都是以隱私條款予以告知，用戶勾選同意后方可繼續(xù)，隱私條款屬于格式條款，沒有法律規(guī)定也不符合習慣，此時主體作出的默示并不符合同意的本質。因此在主體行使同意權時，應當采取明示的方式。最后，個人信息的使用風險在潛移默化中發(fā)生著變化，告知同意原則在這個階段中發(fā)揮著重要的作用，信息主體需要時刻動態(tài)掌握著自己信息的變化，這便要求信息處理者需要詳盡披露，信息所有人可以根據(jù)披露情況隨時隨地自由地作出同意與否的選擇。[6]為了使信息主體知情同意又減少負擔，信息處理者與信息主體可以取得長效合作共贏機制，信息處理者可以增加各種個性化選擇，設置分層同意機制，充分發(fā)揮告知同意原則的有效性。

四、結語

近幾年，隨著互聯(lián)網(wǎng)的發(fā)展，個人信息保護成為中心話題，告知同意原則在保護層面起著至關重要的作用，其蘊含著深刻的自由價值與人文價值，可以緩解信息處理者與信息主體之間的不對稱性，是《民法典》中意思自治原則在個人信息保護中的具體體現(xiàn)。在實踐中，告知同意原則經(jīng)常應用于隱私協(xié)議以及各種涉及個人信息保護的活動之中，但因為立法對其規(guī)定較為籠統(tǒng)使得其常常流于形式，并沒有起到真正意義上的保護作用。因此，需要個人、企業(yè)以及社會共同努力，提高信息主體的保護意識，加強企業(yè)的責任感，凝聚社會的共同付出，同時，規(guī)定相應的豁免制度，使得信息在被保護的同時也可以廣泛流通，切實保障告知同意原則的有效應用。在今后的研究中，應進行多元化探索，不斷對該原則進行補充與細化，保障告知同意原則有效發(fā)揮價值。