内容
借助比较法视野,反思告知同意制度的法律性质,有助于深化对告知同意制度的认识。其一,美国法上,有时将告知同意视为传统合同,但更多情况下将其视为类似产品说明书的企业声明。其二,欧盟法上,整体上将设置隐私政策与获得告知同意视为公法基本权利的合规措施,但也在一定程度上具有消费者合同的性质。
结合比较法与我国法律,可以发现告知同意制度的性质应做多维解读。一方面,《个人信息保护法》将个人信息被保护权视为一种基本权利,将告知同意制度视为处理个人信息的合法性基础之一。我国现行立法下的告知同意具备合规要求的属性,而非传统合同或格式合同。另一方面,《个人信息保护法》并未将个人信息被保护权的基本权利高度抽象化,反而在整体上比较关注消费者权利保护,采取了多部门监管与救济体制。在理论和制度优化层面,应将告知同意视为一种兼具消费者合同、声明、基本权利合规的多维制度。
(一)告知的困境
就告知而言,隐私政策常常无法有效告知用户。用户面对冗长、专业、枯燥的隐私政策,阅读需要大量时间和专业知识,很难理解或容易误解各类隐私政策中的内容。此外,用户很少会对隐私政策提起兴趣,存在“隐私悖论”现象。现代社会中的产品说明与信息披露早已面临许多困境,在信息过载的背景下,消费者拒绝阅读隐私政策或产品说明,其实是一种理性选择。
(二)同意的困境
就用户同意而言,首先,在个人没有充分知情的前提下,个人同意可能变成了一种没有理性的情绪表达,无法反映个人的真实想法与意志。其次,个体同意可能具有被诱导性或胁迫性,常常为被支配或操控下的非真实意思表示。最后,个体的同意也常被绑定,无法作出具有“颗粒度”的同意,即无法对信息处理者的多重目的进行“颗粒化”分析,并分别一一作出同意或拒绝。同意机制由此异化,常导致个人信息被用于个人并不真正认同的初始目的,违反“目的限定”原则。
(三)强化告知同意的困境
现行不少法律、指南与意见都看到了告知同意的困境,并进行了针对化的改进。但如果仅从个体认知出发,此类告知仍难以解决上述无兴趣、无时间、无专业、信息过载等难题。要求信息处理者在一个交互界面对微型不确定的专业风险问题进行充分告知,无异于一个不可能完成的任务。同意的困境同样难以解决,《一般数据保护条例》对同意作出进一步针对性规定,但仍无法解决个体无意进行太多决断这一根本困境。当法律作出强制规定,要求信息处理获得个人同意必须获得更高级别同意,此类强制规定只会增加用户负担。
(一)自我规制的章程
从专业人员的角度看,隐私政策是理解企业处理个人信息的重要参照,帮助信息处理者建立良性的合规流程与制度。通过隐私政策的人员设置、前期调研、条款拟定、协调沟通,隐私政策可以成为信息处理者自我规制的章程。各国法律都将企业自我规制作为个人信息保护的重要一环,比如《个人信息保护法》第51条规定企业应当“制定内部管理制度和操作规程”等措施。
(二)声誉机制的媒介
隐私政策还可以成为声誉机制的重要媒介,建构个人信息保护的市场机制。市场中存在大量的中介机构,这些机构可以通过对隐私政策的理解、评级与认证,为信息处理者的信息处理提供打分机制,促成声誉机制的形成。声誉机制与社会监督制度在各国法律中也被广泛应用,比如《个人信息保护法》第58条要求大型平台建立“个人信息保护合规制度体系,成立主要由外部成员组成的独立机构对个人信息保护情况进行监督”。
(三)法律实施的依据
隐私政策还可能成为个人信息申诉、司法与执法的重要依据,此时其变成“硬法”治理的一部分。一方面,个体、社会组织可能依据隐私政策提起申诉或诉讼,各国都在不同程度上赋予了个体与社会组织的申诉权或诉讼权,比如《个人信息保护法》第50条第2款与第69条分别赋予了个体的个人信息权利之诉与侵犯个人信息权利导致的侵权之诉,第70条规定了可以提起的公益诉讼。另一方面,监察机构、检察机构的执法活动也高度依赖隐私政策。
(四)沟通教育的工具
对普通用户而言,隐私政策中的告知内容还可能具有沟通教育功能。一方面,隐私政策可能成为一种沟通工具。隐私政策还包含联系性信息、执法性信息等各类信息,有利于个体建立对信息处理者的信任。另一方面,隐私政策可能增强用户的个人信息保护意识,从而间接促进个人信息保护。近年来,个人信息保护面临“大规模微型侵权”的难题,集体监管以及公权力支持的司法救济要发挥作用,需要公民提高隐私意识,通过个体维权、公共舆论监督等方式促进个人信息保护制度的落地。此外,隐私政策的适度合理呈现也扮演关键性角色,使得用户在日常生活中意识到个人信息保护的重要性。
(一)告知与同意的适度解绑
告知与同意应当进行适度解绑。告知的对象在更多的情形下对个体产生的作用有限,而对信息处理者内部人员、市场与社会主体、法律实施者,其告知有效。同意不应成为隐私政策的唯一或最重要目标,而告知不应以个体作为唯一对象。在同意要求方面,应适度放松其形式要求,避免同意要求的不断“升级加码”。当然,避免同意的升级加码并不意味着取消同意,或在所有情形下都应放松同意的形式要求。当个体所需同意的信息处理属于较为重要的事项,且普通个体对于此类事项具有充分认知时,此时同意必要,且需要严格要求同意的形式。
从各国法律看,美国在同意方面要求较低,相较之下,欧盟的要求则较高。目前,我国《个人信息保护法》对于个人同意的规定仍然较为原则,很多制度仍有待实践进一步探索。其中第14条规定“自愿、明确作出”,第23条向第三方提供个人信息应当获取“单独同意”,第29条规定处理敏感信息应当获得“单独同意”或“书面同意”。这些规定对同意作出原则性规定,但并未对同意的具体要求作出特别明确的规定,为信息处理者在具体实践中建构同意标准留出空间,我国应在实践中探索更符合具体场景和用户合理期待的同意机制。
(二)多样分层的沟通机制
在告知与同意适度分离的思路下,告知应进一步强化和完善。告知的对象较为丰富,故告知应当采取分层框架,在简洁性、清晰性、具体性等方面作出细致安排,以实现与多主体的有效交流沟通和实质性参与。在呈现警示度方面,告知可以采取链接、弹窗、警示等不同程度的呈现形式。法律对于呈现度的要求可以兼顾引起用户注意与对用户体验的影响,在具体场景中对相关设置进行判断与优化。在呈现结构方面,隐私政策可以采取分层结构,采取各类复杂产品说明书的展开模式,要求或倡导企业采取双层或多层的隐私政策,兼顾专业性与平白性。
(三)隐私政策的合规内嵌
隐私政策应当成为信息处理者内部的合规指引,内嵌到信息处理的不同部门,成为产品设计的一部分。其一,隐私政策应当前置和融入信息处理者的内部,在企业内部交流、协调、探讨后确定。在企业内部合规前置方面,我国目前还有较大不足,我国法务人员在企业中的地位相对较低,其协调沟通的能力也相对较弱。未来我国还需加大力度,在政府执法过程中,应加大对企业内部合规的执法检查。其二,隐私政策还应与产品设计结合,成为隐私设计或个人数据保护设计的一部分。《个人信息保护法》虽然未直接规定隐私设计原则,但也规定了“采取相应的加密、去标识化等安全技术措施”的一些类似规定。在隐私政策的形成与撰写过程中,应将隐私政策视为与前端产品设计密切沟通协调后的产物,而非仅仅是产品成型后的解释说明。
(四)隐私政策的风险与模块化设计
隐私政策还应基于风险,对相关风险点进行模块化设计。政府执法部门与市场中的第三方机构可以不断发现、调整与列明信息市场中的风险点,引导信息处理者对其进行防范,并在隐私政策中对这些风险点进行模块化的设计。其一,采取基于风险的模块化披露,有利于司法诉讼与行政执法。隐私政策应当针对个人信息保护中的实际风险进行阐述,形成模块化的清单。此类清单一旦模块化,监督者与执法者就能对隐私政策进行批量化监督,实现监管的智能化与高效化。我国目前的规定或指引探索仍较为初步,需要未来进一步围绕风险点进行动态调整与合理设计。其二,采取基于风险的模块化披露,也有利于个人信息保护市场机制的发挥,以重新激活个人信息保护的市场声誉机制。
基于隐私政策的告知同意已经成为个人信息保护法的一般规则,应从比较法与法律原理出发,对这一制度进行重思,可以发现其性质与制度都应进行重构。就性质而言,告知同意制度的性质具有多维特征,我国告知同意制度也被视为一种兼具消费者合同、声明、基本权利合规的多维制度。就实施效果而言,从多维视角看待基于隐私政策的告知同意,会发现隐私政策的多重功能。制度重构上,告知与同意应适度解绑,并建立隐私政策多样分层的沟通机制,且隐私政策应成为信息处理者内部的合规指引,内嵌到信息处理的不同部门,成为产品设计的一部分,最后应采取基于风险的模块化披露,助推司法诉讼、行政执法与市场声誉机制的有效运行。
(本文文字编辑胡玥。本文未经原文作者审核。本文为中国民商法律网“原创标识”作品。凡未在“中国民商法律网”微信公众号正式发布的文章,一律不得转载。)
