個人信息保護(hù)中知情同意原則的困境和應(yīng)對措施

李雪鋒

吉首大學(xué)法學(xué)與公共管理學(xué)院，湖南 吉首 416000

隨著大數(shù)據(jù)時代的不斷發(fā)展，個人信息在企業(yè)市場競爭中發(fā)揮著越來越重要的作用?；ヂ?lián)網(wǎng)信息收集者通過對個人信息的收集和處理，向不同的信息主體提供精確化、個性化的服務(wù)，以便滿足信息主體的需求。在我國現(xiàn)有的法律規(guī)定中，對知情同意原則有著明確的規(guī)定。知情同意原則是信息收集者要告知信息主體個人信息采集的目的和范圍，并取得信息主體的同意。在現(xiàn)實生活中，信息收集者往往通過信息主體對APP中隱私政策協(xié)議的勾選和許可，告知信息主體采集的目的，并進(jìn)行處理和運用信息主體的個人信息。知情同意原則雖然得到了全球立法的普遍認(rèn)可，但是自身的局限性也在不斷顯現(xiàn)出來。所以，需要對知情同意原則進(jìn)行細(xì)化和完善，由此實現(xiàn)個人信息保護(hù)和數(shù)據(jù)產(chǎn)業(yè)發(fā)展的雙贏。

一、知情同意原則的基本概述

知情同意原則的基本含義是互聯(lián)網(wǎng)信息收集者采集信息主體的個人信息要告知采集的范圍、采集的目的和采集的方式，以及如何進(jìn)行處理，并且要經(jīng)過信息主體的同意，得到授權(quán)之后才能使用公民個人的基本信息。

知情同意原則起源于醫(yī)療領(lǐng)域［1］，起初是醫(yī)生在給患者進(jìn)行治療或者需要進(jìn)行手術(shù)時，要告知患者治療方式或者手術(shù)方案存在的風(fēng)險，患者做出同意之后才能進(jìn)行治療或者手術(shù)。隨著市場經(jīng)濟的不斷發(fā)展，知情同意原則在個人信息保護(hù)領(lǐng)域逐漸開始適用?；ヂ?lián)網(wǎng)信息收集者按照知情同意原則的基本要求，往往通過提供隱私政策協(xié)議來獲取信息主體的許可。隱私政策協(xié)議是以文字的形式展現(xiàn)給用戶，其中的內(nèi)容包含了采集的范圍、采集的目的和采集的方式，以及如何處理個人信息。雖然協(xié)議中提供的文字冗長、繁瑣，但是能夠最大限度保證信息主體的知情權(quán)和同意權(quán)。在大數(shù)據(jù)時代，互聯(lián)網(wǎng)信息收集者在獲得信息主體的許可之后，經(jīng)過大數(shù)據(jù)的整合計算，然后給信息主體提供需要的基本信息和服務(wù)，這是知情同意原則在實踐當(dāng)中具體的運用場景?；ヂ?lián)網(wǎng)信息收集者和信息主體的關(guān)系是微妙的，知情同意原則是兩者之間的橋梁，隱私政策協(xié)議是具體運用的體現(xiàn)。

我國最早提出知情同意原則的規(guī)范條文是2012年12月28日第十一屆全國人民代表大會常務(wù)委員會第三十次會議通過的《全國人民代表大會常務(wù)委員會關(guān)于加強網(wǎng)絡(luò)信息保護(hù)的決定》［2］，隨后通過的《征信業(yè)管理條例》《中華人民共和國消費者權(quán)益保護(hù)法》《中華人民共和國網(wǎng)絡(luò)安全法》等法律先后確立了知情同意原則，2021年施行的《中華人民共和國民法典》和《中華人民共和國個人信息保護(hù)法》更是明確將知情同意原則確立為個人信息保護(hù)領(lǐng)域的基本原則。

二、知情同意原則現(xiàn)實中的困境

（一）隱私政策協(xié)議淪為形式

在大數(shù)據(jù)時代，隱私政策協(xié)議是貫徹知情同意原則的具體表現(xiàn)。在我們?nèi)粘Ｉ钪?，如果想要使用APP，除了注冊以外，必須要對隱私政策協(xié)議進(jìn)行同意勾選，才能使用其中的服務(wù)。與此同時，提供的隱私政策協(xié)議往往文字會冗長和繁多，而且涉及的內(nèi)容專業(yè)性強，信息主體會難以理解其中的意思。所以就會產(chǎn)生一個現(xiàn)象：用戶往往不會閱讀隱私政策協(xié)議里面的內(nèi)容，直接進(jìn)行同意勾選，以此來使用APP的服務(wù)。在市場經(jīng)濟中，信息主體與信息收集者相比較來說，處于一個弱勢地位。如果隱私政策協(xié)議不能保證信息主體的知情權(quán)和同意權(quán)，就會造成信息收集者濫用權(quán)利，非法使用信息主體的個人基本信息，甚至沒有經(jīng)過信息主體的許可，就將個人信息分享給第三方，導(dǎo)致出現(xiàn)類似于網(wǎng)絡(luò)詐騙的事件。在2018年的“A公司年度賬單事件”中，A公司在一個不顯眼的位置，用很小的字體標(biāo)注了“我同意A公司服務(wù)協(xié)議”的字體，并且是默認(rèn)信息主體同意，信息主體往往難以發(fā)現(xiàn)這個標(biāo)注，一旦信息主體默認(rèn)許可，A公司就可以采集所有的個人數(shù)據(jù)。類似這樣的事件還有很多，這個事件就是隱私政策協(xié)議淪為形式的具體表現(xiàn)。

（二）同意的成本增加

同意的成本包括兩個方面，一方面是信息收集者取得信息主體許可的成本，另一方面是信息主體做出許可的成本。對于信息收集者取得信息主體許可的成本來說，在大數(shù)據(jù)時代信息收集者需要對大量的個人信息進(jìn)行處理和運用，以此來提高自己的經(jīng)濟效益。知情同意原則要求信息收集者采集個人信息要履行告知義務(wù)，得到信息主體的授權(quán)和許可。信息收集者在取得信息主體許可的時候，會投入大量的資金來設(shè)計隱私政策協(xié)議，不僅是為了遵守國家的法律法規(guī)，而且是為了保證信息主體的知情權(quán)和同意權(quán)。這僅僅是初次取得信息主體的許可，在互聯(lián)網(wǎng)信息收集者之間會進(jìn)行數(shù)據(jù)產(chǎn)業(yè)的合作，在這樣的背景下合作意味著要分享收集到的個人基本信息，那么就必須要得到信息主體的同意。

大數(shù)據(jù)時代數(shù)據(jù)的處理每時每刻在發(fā)生，如果每一次的處理和分享都要取得信息主體的授權(quán)，就會導(dǎo)致信息收集者陷入無止境的征求同意的過程中，信息收集者的經(jīng)濟成本是巨大的，這樣對于信息收集者來說不公平，所以信息收集者在隱私政策協(xié)議中會模糊具體的內(nèi)容，使信息主體在不知情的情況下許可，以此來減少自身的經(jīng)濟成本和時間成本。對于信息主體做出許可的成本來說，信息主體要面對紛繁復(fù)雜的隱私政策協(xié)議，認(rèn)真閱讀協(xié)議不僅要花費大量的時間，而且協(xié)議的內(nèi)容晦澀難懂，導(dǎo)致出現(xiàn)信息主體無力閱讀而選擇同意的場景。

（三）數(shù)據(jù)聚合效應(yīng)及存在著難以預(yù)測的風(fēng)險

在大數(shù)據(jù)時代，個人信息被信息收集者非法利用的事件時有發(fā)生，信息主體對這樣的情況難以預(yù)測，所以只能是被動地接受，導(dǎo)致在之后類似的事件中選擇視而不見，對個人信息的保護(hù)喪失信心。單獨的個人信息可能不會存在風(fēng)險，但是經(jīng)過數(shù)據(jù)的整合和運算，單獨的個人信息就會和其他的個人信息聯(lián)系起來，可能會導(dǎo)致重要的個人信息遭遇泄露，給信息主體的基本生活帶來困擾。這樣的風(fēng)險正常人難以預(yù)料，只能是聽之任之。這就給一些互聯(lián)網(wǎng)信息收集者可乘之機，在隱私政策協(xié)議中運用冗長繁雜的文字對存在的風(fēng)險輕描淡寫地描述，信息主體面對這樣的協(xié)議根本不會閱讀協(xié)議中的文字，只會被動地默認(rèn)許可，選擇忽視存在的風(fēng)險。與此同時，互聯(lián)網(wǎng)信息收集者企圖一次性就告知信息主體采集個人信息存在的風(fēng)險，這其實就是一個結(jié)構(gòu)性缺陷［3］。大數(shù)據(jù)產(chǎn)業(yè)的發(fā)展是瞬息萬變的，存在的風(fēng)險也會不斷產(chǎn)生和不斷變化，僅僅想通過隱私政策協(xié)議類似的文本就將存在的風(fēng)險充分告知，這不利于個人信息保護(hù)和數(shù)據(jù)產(chǎn)業(yè)發(fā)展之間的平衡，如果公民對于個人信息的保護(hù)存在了漠視的心態(tài)，數(shù)據(jù)產(chǎn)業(yè)發(fā)展得再繁榮也是沒有意義的。

三、知情同意原則困境的應(yīng)對措施

（一）完善信息收集者的告知義務(wù)

信息收集者收集個人信息是以信息主體的知情和同意為前提的。信息主體通過閱讀隱私政策協(xié)議知悉信息收集者采集個人信息的目的，然后決定是否做出同意的意思表示。在具體實踐中，信息收集者提供的隱私政策協(xié)議是以冗長難懂的文字展現(xiàn)給信息主體，里面的內(nèi)容專業(yè)性強、邏輯混亂，很容易讓信息主體產(chǎn)生煩躁心理，做出不真實的意思表示。

為了完善信息收集者的告知義務(wù)，需要對隱私政策協(xié)議進(jìn)行改善。首先，隱私政策協(xié)議的文字要盡可能簡潔明了，減少出現(xiàn)正常人難以理解的專業(yè)術(shù)語，把采集的目的、范圍，以及如何處理個人信息以一種醒目的方式展現(xiàn)給信息主體，使信息主體在短時間內(nèi)捕捉到重要信息，從而可以減少時間成本并且做出真實的意思表示。其次，判斷信息收集者履行告知義務(wù)的效果，信息主體對于隱私政策協(xié)議的真實感受是非常重要的。僅僅通過改善隱私政策協(xié)議是遠(yuǎn)遠(yuǎn)不夠的，可以在隱私政策協(xié)議之后增加一個信息主體的評價意見，評價內(nèi)容可以包括對協(xié)議內(nèi)容的理解程度，自身個人信息如何被處理等內(nèi)容，督促信息收集者改善表達(dá)方式，更好地完善告知義務(wù)。最后，可以針對不同的信息主體采用不同的告知方式。隱私政策協(xié)議的作用是讓信息主體了解個人信息的收集情況并做出許可。如果只是以一種通用的文本進(jìn)行告知，就會導(dǎo)致不同的信息主體由于年齡、自身能力等方面的差異，對于隱私政策協(xié)議產(chǎn)生不同的理解，出現(xiàn)信息主體沒有完全知情的場景，不利于對個人信息的保護(hù)。所以，針對不同的信息主體可以采用不同的告知方式，避免告知方式過于單一化和形式化。例如，針對未成年人，可以對一些具體的條款進(jìn)行單獨的告知，確保未成年的信息主體知悉協(xié)議的內(nèi)容，從而做出同意與否的真實意思表示。

（二）引入風(fēng)險評估機制

隨著科學(xué)技術(shù)的快速發(fā)展，大數(shù)據(jù)時代的個人信息會面臨無處不在的風(fēng)險。所以，可以引入風(fēng)險評估來保護(hù)信息主體的個人信息。引入風(fēng)險評估有兩方面的好處：一方面，引入風(fēng)險評估可以應(yīng)對個人信息保護(hù)中出現(xiàn)的不同情況。例如，信息收集者在收集信息主體的年齡、個人愛好和瀏覽記錄等個人信息時，會根據(jù)這些信息提供更多的精細(xì)化服務(wù)，推送信息主體感興趣的新聞資訊，滿足信息主體的個人需求。但是當(dāng)信息收集者將這些信息分享給其他的信息收集者，可能會導(dǎo)致出現(xiàn)網(wǎng)絡(luò)詐騙、個人信息被擅自使用的情況。所以引入風(fēng)險評估能夠靈活應(yīng)對不同的情況，保證個人信息的安全。另一方面是引入風(fēng)險評估能夠給信息主體提供重要的判斷依據(jù)。大數(shù)據(jù)時代信息的聚合和運算時刻在進(jìn)行，面對復(fù)雜的信息技術(shù)和冗長復(fù)雜的隱私政策文本，信息主體很難認(rèn)識到存在的風(fēng)險。引入風(fēng)險評估可以讓信息主體對于風(fēng)險有理性的認(rèn)識，從而能夠合理支配個人信息，做出真實的意思表示。

風(fēng)險評估貫穿于個人信息保護(hù)的始終，評估的結(jié)果直接決定了信息主體是否同意使用其個人信息。所以，為了保證風(fēng)險評估的真實性和客觀性，應(yīng)該由獨立的第三方機構(gòu)進(jìn)行評估。與此同時信息收集者也要在內(nèi)部設(shè)立專門的風(fēng)險評估機構(gòu)，與第三方機構(gòu)相互合作，通過隱私政策文本等形式將采集個人信息過程中可能會存在的風(fēng)險告知給信息主體，評估結(jié)果也要及時向信息主體反饋，充分保證信息主體個人信息的安全。

（三）建立個人信息保護(hù)的分層動態(tài)同意機制

在實踐中，互聯(lián)網(wǎng)信息收集者是以隱私政策協(xié)議的方式來采集信息主體的個人信息。這種方式雖然有助于提升收集的效率，但是由于信息主體不能夠真正理解協(xié)議中的條款而飽受批評。所以，可以去推動建立個人信息保護(hù)的分層動態(tài)同意機制。分層動態(tài)同意機制是為了方便互聯(lián)網(wǎng)信息收集者和信息主體更好地交流，可以使個人信息的處理、利用和保護(hù)成為一個動態(tài)的過程。一方面，信息主體可以隨時了解個人信息的使用情況，并且可以選擇同意繼續(xù)授權(quán)或者拒絕使用。另一方面，可以針對不同的信息主體提供不同的分層動態(tài)同意機制。信息主體對于個人信息沒有明確拒絕采集，就可以進(jìn)行一次性同意信息收集者的采集，避免二次同意的時間成本。如果出現(xiàn)信息主體對于個人的敏感信息明確拒絕授權(quán)使用，非敏感信息可以授權(quán)使用的情況，信息收集者就可以采取動態(tài)同意機制，分層次地獲取信息主體的授權(quán)或者拒絕。這樣既有利于信息收集者采集個人信息，也利于信息主體能夠做出真實的意思表示。

四、結(jié)語

知情同意原則作為個人信息保護(hù)中重要的原則，對保障信息主體的知情和同意發(fā)揮著關(guān)鍵的作用。但是隨著數(shù)字經(jīng)濟的不斷發(fā)展，知情同意原則也暴露了許多問題。隱私政策協(xié)議淪為形式，信息收集者企圖模糊內(nèi)容從而采集信息；同意的成本在增加，信息主體需要花費時間閱讀協(xié)議，信息收集者需要重復(fù)獲取同意；數(shù)據(jù)聚合效應(yīng)存在著難以預(yù)測的風(fēng)險，數(shù)據(jù)時代個人信息每時每刻在運算，存在著信息被泄露和非法收集的風(fēng)險。因此，本文針對問題提出了一些改進(jìn)措施：第一，完善信息收集者的告知義務(wù)，幫助信息主體理解隱私政策協(xié)議的含義。第二，引入風(fēng)險評估機制，將信息授權(quán)使用過程中存在的風(fēng)險告知信息主體。第三，建立個人信息保護(hù)的分層動態(tài)同意機制，對不同的個人信息使用不同的同意機制，實現(xiàn)個人信息保護(hù)的動態(tài)平衡。知情同意原則的完善是一個長期的過程，需要和數(shù)據(jù)產(chǎn)業(yè)的發(fā)展相協(xié)調(diào)。隨著《中華人民共和國個人信息保護(hù)法》的施行，知情同意原則將會發(fā)揮更為重要的作用。