论网络环境下知情同意原则保护的完善
摘要
知情同意是个人信息保护法的一项重要原则,它主要是通过知情同意的强制性程序来保护信息主体的正当利益。随着计算机技术的迅速发展,信息数据的交流越来越便捷,使知情同意原则面临着同意困境的严峻挑战。
本文认为,一方面,出于对表示同意后产生的结果没有客观认识、没有行使权利的自觉性以及被迫同意等原因,导致信息主体告而不知,同意是否有效遭到质疑;另一方面,知情同意原则会形成巨大的经济成本和社会成本,不利于信息行业的发展和社会的进步。因此,同意困境应当如何破解成为摆在我们面前无法回避的难题。信息收集者以何种方式尽到通知义务方能让信息主体知情?信息主体不够知情的同意是否有效?知情同意原则还有无存在的必要?构建一套科学合理的知情同意体系既有助于加强我国个人信息保护,也可以推动网络环境产业发展,是我国在网络环境时代发展的客观要求。
关键词:知情同意原则;个人信息保护;网络环境
1、绪 论
1.1 研究背景
知情同意最初的使用场合其实是医学领域[1],作为医学中的一项基本原则,其原意是指医生在向患者进行说明之时,应当保证有相当的与患者自身权利相挂钩的信息被患者充分的了解,并且在患者对于该医疗方案、医疗行为等进行了明确的认识之后,基于其自由意志而对结果进行选择与决定,以保证对于患者的自由意志权利以及身体权得到充分的保障。伴随着时代的逐渐发展,该原则的适用范围已然扩大,尤其是在个人信息的保护领域,其基本立足点乃是每个人都有权利对其自身信息的使用得到充分的了解,因此该原则在个人信息的保护上也发挥着重要的作用。
1.2 研究意义
在个人信息保护领域,知情同意主要强调其企业与政府在搜集个人信息时确保个人的充分知情权利[2]。至于其内涵,有学者认为其渊源起源于康德和密尔的道德理论,也有学者认为是起源于黑格尔的忍的自由意志理论,即人的意志只有在决定之后才属于现实的意志,因此决定的重要性需要确保本人对于与自己有关的事物应当自治自决,个人不应当处于被操纵的地位。
1.3 研究内容
伴随着网络环境时代的发展,互联网、信息化等成为了现在信息的主要特点,数字化特性也表明现阶段的信息性质已经发生了质的改变,信息不再是局限于人们主动获得,而是被信息收集者进行了搜集与进行相关运用。在这个过程中,对于信息的控制不再是个人专属的权利,逐渐演变成社会性的掌握,那么原本依附于个人控制信息的最重要的合法性基础——知情同意原则则受到了网络环境时代的强烈冲击。
2、网络环境背景下知情同意原则概述
2.1 知情同意原则的涵义
知情同意原则,也有称其为通知选择原则告知同意原则[3],其最基本的内涵简单来说就是在获取信息一方获取到个人的相关信息时应当对于被收集信息人进行说明使其了解并征得同意。那么具体来说,其含义则在于两个层面:一是知情,即被收集信息的一方对于自身信息被收集情况具有一定的了解与认识;二是同意,即被收集信息的主体在知情的前提下对于收集信息的一方所做出的行为的同意与许可。其主要目的在于避免双方处于信息不平等的状态,以期更好的保障个人的自由意志。
在个人信息保护领域层面,我国最早提出知情同意原则应当追溯到2012年全国人大颁布的《关于加强网络信息保护的决定》[4],由于知情原则的本质目的在于约束信息收集一方,保护被收集信息者,而信息收集一方往往是企业等对于信息有一定利用的主体。针对该种情况,该决定明确了企业在收集信息时应当用明示手段对于信息的收集、利用、方式和目的进行明确说明并获得对方同意。知情同意原则在保护个人信息上影响力巨甚,甚至有学者认为该原则在个人信息保护上的地位可以等同于意思自治原则在民法中的地位。
但是在我国现行法律渊源中并无相关的对于个人信息的描述。比较法上,欧盟将个人信息保护置于一般人格权概念之下,作为人格权的延伸被纳入保护范围;美国则是将个人信息保护作为隐私权的下属权利,以对自身信息的控制权利作为保护理由。综上所述,笔者将个人信息总结为:人格尊严不容侵犯、自由发展不受限制、生活安宁不被打扰。而知情同意原则恰恰是为了实现该目的而产生的制度体现。
2.2 知情同意原则的渊源
目前对于个人信息保护立法的理论来源主要有二,其一为德国学者施泰姆勒首先提出的,在他的论述中,信息自决权的概念为人们有对自己所处环境进行一定的认知并得以作出相应决定的权利,即信息自决论[5];除此之外还有学者将其个人隐私权阐述为每个人对自己私生活的管理和控制,并且认为它的主旨是维护本人对自己个人信息的支配权,而不是去制约他人对本人私生活邻域的侵犯,该理论被称为信息隐私权理论。无论是上述何种理论,其核心均强调信息主体对个人信息的掌控和支配,因此有学者将这两种理论统一归纳为个人信息自主控制模式。
2.3 知情同意原则确立的必要性
当然,正如意思自治一样,信息主体知情同意的权利不是也不是绝对的[6]。一则意思自治给予人们宽泛的自由,但这种自由并不是毫无约束的。在面对国家、社会、他人合法权益时,作为意思自治原则在个人信息领域体现的知情同意原则也并非毫无限制。
3、国内外知情同意原则立法保护的现状
3.1 我国知情同意原则保护立法现状
关于上文中的《决定》内容,其虽然提及了知情同意原则,但是在当时也只是原则性的规范,并无相关具体操作的细节[7]。因此在法无明文规定告知形式、如何保证同意以及确定同意方式的前提下,司法实践中也无法具体操作。此种情况在2013年修订的《消费者权益保护法》第14条和第29条也是如此,但是不得不说对于知情同意原则的提及仍然是一项重大的进步。
近些年来,知情同意原则在法律制度层面正在不断的充实与壮大。2020年10月1日实施的《信息安全技术个人信息安全规范》(以下简称《信息安全规范》)明确了知情同意原则的规范结构,区分了个人信息,规定了授权同意和明示同意,解释了敏感信息的知情同意,并规定了知情同意的例外[8]。之后,《信息安全技术个人信息披露与同意指南》(草案)对个人信息、个人敏感信息、个人信息控制人,这两个国家标准是我国对个人信息保护较为系统和具体的规定,是对知情同意原则结构规定在规范层面的进步。
3.2、 国外知情同意原则保护及立法模式
3.2.1 欧盟:严格知情同意原则
由于欧盟将个人信息保护作为公民的一项基本权利,因此对个人信息保护的规定十分严苛,这种严苛也体现在信息收集、利用过程中的知情同意上。在《1995年个人数据保护指令》(以下简称95指令)中,信息主体明确同意即成为了合法处理个人信息的首要情形。不仅如此,在 2016 年颁布的用于替代《95指令》作用的《一般数据保护条例》中明确了六种处理个人信息的合法情 ……此处隐藏2439个字……>此外,《信息安全规范》中对于该种情况也有提及,更进一步将具体情形进行了说明,但由于效力层级较低,在具体的使用过程在还有诸多问题,也不足以起到影响知情同意原则在我国法律渊源中的结构作用。因此,笔者认为在未来的发展过程中,可以借鉴该规范中的部分具体做法,从而更好的促进个人信息保护的发展。
5.1.4 举证责任
原则上在侵权案件中,举证责任往往是根据谁主张,谁举证的规则进行,但是在个人信息保护案件中,有学者认为应当对其进行举证责任倒置规则,出于对双方地位以及信息获取不平等的角度考虑,此项措施具有一定的现实意义,对于降低个人的维权门槛,对个人进行二次保护有着重大意义。《通用数据保护条例》第7条第1款中对此也有相应的体现,对于个人产生的同意决定,信息处理者应当对其已经获取的同意承担证明责任,我国在未来的立法过程中也可以模仿此例进行规定,以便更好的保护个人权益。
5.2 引入其他知情同意保护机制
同传统社会不同,现代社会已然成为了一个风险社会,在网络环境时代背景下,由于科技的发展、数据处理技术的专业以及个人信息与个人本身的财产属性与人身属性联系更为紧密导致政府很难对于整个信息的收集使用过程进行全方位的监控,更多时候仅仅是由于侵权行为依然发生之后所采取一定的保护措施,这种情况下对于司法的要求更高,对于个人的取证与举证能力也提出了更高要求,使信息保护产生了流于形式的可能性。因此,笔者认为应当在完善相关规范的基础之上,以多元化的规制模式更好的对该问题进行应对。
5.2.1 事前告知阶段
在整个知情同意的流程中,告知往往指的是信息收集者采取合同的方式对消费者进行说明与告知,但是同很多格式条款类似,具有主导权的一方往往使某些权利流于形式。为此,为了应对数据化时代的节奏,应当通过建立社会自我规制的结构,通过国家介入以期更好的引导整个行业的良性发展,具体措施可以采取建立起较为完善的风险评估工具对于个人信息安全的风险进行评估,进而对可能产生的问题进行提前预知。另外,也可以以行业内部获取信息的流程与实践中本行业个人信息处理中暴露的侵权问题建立起一个可以普遍使用的行业模板,由政府主导进而更好的保障个人的知情权。
5.2.2 事中持续信息披露
《信息安全规范》中对于个人信息的安全影响进行了分级,较为有针对性的对于个人信息进行了审查,对于不同级别的信息进行不同程度的保护,包括收集程度、处理方式等,进而归纳成为一套较为完整的评估体系。
(1)个人信息分类分级评估。根据《信息安全规范》表A.1关于个人信息的具体信息进行分类可以区别为个人基本资料、个人生物识别信息、财产信息、上网记录等等,通过对于个人的社会评价以及物质利益挂钩程度,从而制定出不同类别的保护细则。自上而下,可以分为需要特别同意、明示同意到自由度较大的空白同意,再发展到推定同意与默示同意阶段。
(2)用户授权机制过程中的充分性评估。具体操作流程则为用户、使用数据方、处理数据方等主体都可以从一个公链中进行已经经过授权同意的信息,进而避免重复授权的困扰。另外,由于区块链的稳定性与难以篡改,很大程度确保了信息的真实性。因此,此种模式最大的优势就在于仅需要解决第一次知情同意的问题以及后续若授权主体撤回后的相关处理,其优势非常明显可以对现实问题提供一定的解决方案。
5.2.3 事后有效救济
面对着现阶段的互联网平台治理现状以及相关法律规范的只顶,平台治理模式也逐渐显露出其优势。该模式通过对行业自身主导的大量信息的整合,采用适当的算法进行预测,进而可以提前将知情同意原则的具体内容传达给规制对象。
例如,以淘宝为例,最初淘宝依据人工处理投诉模式进而对双方之间的纠纷进行解决,该种模式费时费力且效率低、成效差。到后期,淘宝平台充分的采用了网络环境的优势,从整体结构上对于个体化需求进行抽象上升为集体需求,进而再分类采取了维权规范与程序。例如,对于消费者的投诉结果与流程进行网络环境整理之后,将其中的退款理由与原因进行梳理,形成相应的报告;再通过该报告建立起不同的处理流程。为消费者提供最合适的方案。
以淘宝为例,其纠纷解决机制的发展,实质上也能为知情同意原则的发展提供部分建议。在知情同意原则的事后救济中,也可以采取此种模式对于网络环境进行分析整理,提取出重点与常规解决方案,进而增加对于不同信息同意的分级分类以及动态同意的可行性,对于确保知情同意原则的确实实现有着重要意义。
知情同意原则是个人信息保护中的一项重要原则。在信息收集者、处理者这一主体与个人的地位不平等的关系中,权利人自身的知情且同意就成为了其能维护自己权利的最佳保障。面对着势不可挡的网络环境时代,更不能放弃对于信息自主的追求,知情同意原则更应当进行贯彻与落实。面对着落实的诸多困难,首先要建立其合理的知情同意规范结构,充分发挥主观能动性,提高自身的创新能力,协调坚持与创新法律原则的关系。同意存在的问题是必然要接受的时代挑战,无法避免。因此,知情同意原则作为个人信息保护的基石更应当被我们坚持。
参考文献
[1]李立丰.《个人信息保护法》中知情同意条款的出罪功能[J].武汉大学学报(哲学社会科学版),2022,75(01):143-156.
[2]刘睿文.智能投顾领域投资者个人信息法律保护研究[J].福建金融管理干部学院学报,2021,(03):17-23.
[3]易江鹏.个人信息保护中的知情同意原则:困境与出路[A].2021年世界人工智能大会组委会.《上海法学研究》集刊(2021年第5卷总第53卷)——2021世界人工智能大会法治论坛文集[C].2021年世界人工智能大会组委会:上海市法学会,2021:118-127.
[4]叶俊涵.权利属性视角下个人信息的法律保护[J].西部学刊,2021,(11):56-58.
[5]钱宇欣.论个人信息保护中知情同意原则的反思与重构[D].重庆邮电大学,2021.
[6]吴磊.网络环境视角下个人信息保护的知情同意原则研究[D].重庆工商大学,2021.
[7]范海潮,顾理平.探寻平衡之道:隐私保护中知情同意原则的实践困境与修正[J].新闻与传播研究,2021,28(02):70-85+127-128.
[8]熊峰,周宁,李晓燕,徐心怡,丁亚萍.知情同意原则在居家安宁疗护中的应用探讨[J].医学与哲学,2021,42(04):19-21.
[9]郭旨龙,李文慧.数字化时代知情同意原则的适用困境与破局思路[J].法治社会,2021,(01):26-36.
[10]张爱国.个人信息知情同意原则中的知情问题研究——以方式为视角[A].西北政法大学经济法学院、陕西省法学会金融法学研究会.长安金融法学研究(第11卷)[C].:西北政法大学经济法学院,2020:340-353.
[11]宁园.健康码运用中的个人信息保护规制[J].法学评论,2020,38(06):111-121.