王诺亚|“同意”在个人信息处理中的实践与发展:基于主要应用程序隐私政策的内容分析
政务:Penny_needs_freedom 2022-12-23 07:30

原创 王诺亚 上海市法学会 东方法学 收录于合集 #上海法学研究 954个

王诺亚

中国人民公安大学侦查学院博士研究生

要目

一、研究背景:同意的制度与理论地位流变

二、研究设计:隐私政策的理论契合性

三、研究发现:同意规则的操作性困境

四、研究结论:操作性困境的理解与应对

结语

蕴藏强大分析潜力与应用价值的个人信息在个体控制与外部控制之间面临必然的利益博弈,而协调内外部控制冲突的同意理论却因实践困境饱受质疑。梳理同意在国内外个人信息规范中的体系位置及其现实困境、理论批判的基础上,以内容分析方法为主要方法,选取国内42款主要应用程序隐私政策为样本并探究其与同意理论的契合程度。同意困境主要表现在操作性层面,与同意能力、同意范围、支持制度紧密相关。应在理解同意的思想脉络及实践路径的前提下,从制度短板、理论症结、社会背景中寻求原因,通过理论基准及制度安排的合理设置实现系统性应对。

个人信息蕴含丰富的情报价值,获得商业组织、公共机构乃至国家层面的高度重视。尽管个人主体对本体论意义上的个人信息的产生具有决定作用,但信息承担的自然及社会功能又使其在识别、收集、使用等处理环节中面临与处理者等外部主体之间近乎必然的利益博弈,个体对自身信息的控制在信息生命周期后续阶段有所松动甚至失控。普遍认为,个人信息并非由个人排他性享有,而是承载着多元主体的复杂权益,如信息主体人格尊严及自由、经营者及信息业者等的商业利益、政府管理之下的公共利益等。伴随数据技术的高度发达和所谓大数据时代的深入发展,相关利益冲突在主体、呈现形式等方面的复杂性与激烈程度愈发凸显。制度设计之下的深层利益衡量及伦理框架,引导、制约着利益相关者态度以及制度安排的走向。内涵丰富的同意概念在主要制度体系中长期占据重要位置,但也因“同意困境”而遭遇诸多理论质疑。结合同意在国内外规则体系中的规定情况、实践问题、理论探讨等,研究同意在国内实际运行状况及趋向,有助于对同意的理论地位、制度设置的准确认识与合理改造。在遵循这一思路的前提下,拟选取国内主要应用程序隐私政策作为考察同意实践的样本,据以分析同意困境的典型表现、形成原因及理论应对,回应关于同意的理论地位与制度地位的问题。

一、研究背景:同意的制度与理论地位流变

国外规则概览

同意在世界主要规则体系中获得较为广泛的认同并占据重要地位。对现代数据保护法影响深远的“公平信息实践准则”(Fair Information Practice Principles,FIPPs)1973年即提出包括确保个人同意在内的数项数据处理原则;经合组织(OECD)1980年《隐私保护和个人数据跨境流通指南》确立的基本原则之一为限定个人数据的处理经过主体同意或符合法律要求;亚太经合组织2004年确立的隐私框架(APEC Privacy Framework)要求个人信息的使用经过主体的同意及其他必要或法定情形;欧盟2018年通用数据保护条例第6条规定的六项数据处理合法性事由中,数据主体基于某个或数个特定目的作出的同意居于首要位置;美国2018年加州消费者隐私法案及2020年加州隐私权法案等代表性立法逐步充实了对于同意的界定及其适用情形、豁免情形的规定;日本在其2017年个人信息保护法中秉承尊重个人人格的基本理念,第15、16条规定个人信息处理者利用目的必须尽可能加以特定以及超出利用目的必须范围应当经过本人事先同意的义务,第23条还确立未经同意不得向第三方提供个人数据的原则性规定。

国内规则演变

同意在国内规范体系中获得规则制定者的逐步肯定,同意条款在主要规范中不断丰富。将近年来主要规范中的同意条款作为考察对象,抽取其中的受规制主体、同意主体、处理对象和处理环节等关键要素,有助于发现同意在正式规范体系中的现实趋势(见表1)。需要说明的是:1.选取规范以全国人大及其常委会制定的规范为主并按时间顺序纵向排列;2.受规制主体即同意条款中负有获取对方同意之义务的主体,同意主体即对相关信息权益具有处分地位的主体;3.处理对象、处理环节字段的内容主要为取自原条款的术语,为便于表述而对极个别用语进行了语言简化。

表1 国内主要规范中的同意条款

分析关键信息可发现:1.从条款数量与性质来看,经历了由个别原则性规定到兼具原则性规定与具体规则的过渡,同意条款数量及内容趋于充实。2.对主体的规定由具体领域中的特定主体扩展至抽象程度更高的一般主体,如“网络服务提供者”“经营者”“网络运营者”等,向“个人信息处理者”“任何组织与个人”等转变。同意条款的适用主体处于扩张趋势,任何机关、企事业组织、自然人从事个人信息处理活动都应受到规制。3.针对处理对象的形式和领域的限制逐步淡化,早期表述多为“电子信息”“用户信息”等,近期则主要为“个人信息”以及特定主体、性质的个人信息为主(如“未成年人个人信息”“敏感个人信息”等)。4.处理环节存在延伸趋势,早期侧重于收集、使用、向他人提供等数个特定环节,近期一般将上位概念“处理”作为规范对象,且突出部分特殊处理情境,实现全面、有效覆盖。概言之,同意条款的数量及内容显著充实,其所适用的主体、对象及环节更为泛化、全面,这种演变说明规则制定者对同意适用空间方面的扩张态度。

同意困境及理论质疑

同意在实践中似乎并未发挥应有作用,其理论有效性受到质疑。中消协2018年调查显示,应用程序超过必要限度采集个人信息问题严峻,通过应用程序泄漏个人信息的受访者占比高达85.2%,信息处理者未经消费者本人同意而收集信息为泄露主要途径(占比约为62.2%)。针对不当采集与利用等问题,网信办等四部门发布《App违法违规收集使用个人信息行为认定方法》,列举了未经同意采集个人信息的9类典型行为;专项工作组制定了配套《App违法违规收集使用个人信息自评估指南》,其第6评估项列举了与用户同意时间、同意范围相关的两个评估点;《个人信息安全规范》(GB/T35273—2020)将“选择同意”作为基本原则,在收集、存储、使用等诸多环节提出个人信息控制者为保障个人同意而应达到的要求,在相关附录中罗列了保障个人自主意愿的具体方法及个人信息保护政策模板(以下称“信息规范”)。这些问题与规定均表明同意的现实处境。

基于现实困境,学者对同意的争议集中在:1.理论依据局限。知情同意的逻辑在于避免信息主体与收集者之间关于信息处理状态“资讯不对称”的危害,通过处理状况透明化方便主体行使同意权,但同意在现实中难以解决不对称问题,且个人对信息的决定自由、控制能力有限,个人信息自决权根本难以实现。2.实效性困境。信息控制能力、技术力量之悬殊,致使信息主体与处理者通过不合理且非对等的格式化隐私政策传达意思表示,冗长、繁杂的文本及可能的时间成本等使得同意表示沦为形式化产物而不具备真实性。3.经济性顾虑。同意的适用可能面临高昂成本而使企业和个人陷入困局,潜在经济负外部性可能制约数字产业及经济发展效率:对处理者而言主要是告知所需的合规成本(如隐私政策设计、测试、传递费用);对权利人而言主要是时间花费对应的经济成本以及通信费用等。4.社会属性背离。知情同意模式侧重于保护个人利益而忽视个人信息共享、流通所创造的社会价值,由此导致的同意僵局或高成本可能使得公共利益目的落空,破坏个人信息保护与利用的平衡。

研究现状及切入依据

个人信息保护法(以下简称“个保法”)权威、系统且有针对性地为同意的适用提供了依据。词频分析显示:“同意”出现频次高达27次,出现频率约为0.473%,与同意紧密相关的“告知”出现频次为16次,出现频率约为0.2803%,二者在该法全部778个用词中分别排名32、52位,均属于相对高频、重要的术语。与同意相关的条文达到14条,与告知相关的条文达到8条,二者在全部74个条文中占有相当比重。然而,同意面临的理论困惑及各项批判仍有待进一步回应,有必要对同意的体系架构及实践样貌进行深入考察。除根据法律规定、学说进行必要理论分析外,主要应用程序隐私政策中有关同意的具体事项及统计数据将作为实证数据来源和分析对象。这种切入方式的理由在于:

其一,对主要隐私政策的内容分析可促进对同意具体实践的探索。个人信息处理频次最高、规模最大且最广泛也最具代表意义的实践莫过于基于移动终端进行的一系列采集、管理、共享等。移动应用普遍以隐私政策作为双方权利义务的界定依据,不仅在文本内容上设置大量有关同意的具体规则,还在文本制定及实践运行中现实地折射出个人、组织、社会对同意规则的态度及数据资源的实际控制情况。

其二,文献梳理表明该切入方式同样是必要的。以往隐私政策研究在研究路径、研究方式、样本选取方式、分析框架构建等方面的特殊偏好,使得讨论局限于对表层问题的剖析和应对,但对共性规则进行抽象、反思相对较少,关键理论问题的覆盖相对有限。具体而言:1.分析网络平台、应用程序等的隐私政策或同类文件(如隐私声明、个人信息保护声明等)并发现问题、提出策略已形成较成熟的研究路径。2.具体研究方式主要包括两类,一是对隐私政策外部表现特征进行分析并提出交互性方面建议,二是对隐私政策文本实质内容进行分析并提出内容性方面的建议。3.样本选取方式上,少数研究按照应用程序或网站影响力对各类行业统一进行抽样;大部分研究限定某一行业并叠加影响力因素实现对特定行业的抽样,呈现出行业主题侧重,如图书馆或读者主题,社交媒体或社交应用主题,供应商主题,医疗健康主题,政府或政务主题,搜索引擎及浏览器主题等。后者通常行业针对性强但适用范围有限,理论意义未能彰显。4.分析框架方面:多数研究按照隐私政策的通常组成模块构建分析框架并形成针对各个模块问题的描述性分析及对应的模块化合规建议;极少数根据研究主题的理论需要构建特殊化分析框架并形成理论化建议,如关于删除权问题的研究。罕有实证研究对同意进行专题探讨,以隐私政策为切入探讨同意理论问题具有必要性。

二、研究设计:隐私政策的理论契合性

研究思路

以近期主要应用程序隐私政策为研究对象,考察同意规则在主要隐私政策文本中的贯彻情况,结合各项具体指标及已有成果,探讨同意困境的发生根源及应对。就实证研究部分而言,在影响力基础上选取多个代表性行业隐私政策,依据同意规则的理论内涵构建分析框架,抽取样本内隐私政策通用模块中的对应指标并就文本内容展开量化分析,搭建起模块具体指标——同意规则各要件——同意规则整体评述——同意理论剖析的研究途径。

数据来源

采用目的抽样法,结合应用程序在各自所属类别内排行及总体排行,考虑普通民众熟知程度,剔除因处于同一主体控制下而适用统一隐私政策的重复样本,从《互联网周刊》发布的《2020年度App分类排行》(以下称“分类排行”)及艾媒北极星2021年5月发布的《全网APP排行榜TOP1000》(以下称“全网排行”)中抽取42款移动客户端应用程序。抽样步骤为:1.从《分类排行》中确定样本选取的分类框架,结合生活经验从全部16个大类别及其下分类别中整合选取10个生活常用类别。进而选取常用类别中分别排名前六的应用,得到初次抽样结果。2.根据《全网排行》中“活跃人数”指标,验证前述分类排行所获得的第一次抽样结果,从中抽取活跃人数为2000万以上的应用程序并增添、调整部分《分类排行》中未列入但活跃人数在2000万以上的程序。归类整合后得到样本列表(见表2)。所选样本基本上在《分类排行》中处于各自所属类别的前六位,涵盖生活主要领域且活跃人数保持在2000万以上,从类别、用户数量、活跃程度来看具有相当代表性。

表2 应用程序隐私政策样本列表

测量

主要采用内容分析法(content analysis)对样本列表中隐私政策的文本信息特征进行提取及分析(提取时间为2021年8月22日)。国内应用程序隐私政策内容模块与框架相对稳定。考虑常规模块结构进行梳理,结合各模块所涉具体事项,将可能影响或有关个人同意的事项选取作为具体指标,形成内容分析类目(见表3)。

表3 内容分析类目

表3指标较繁杂且与同意规则的联系相对无序。需要根据同意规则的理论构造确立特殊分析框架,形成具体指标与同意规则内部各项要件的有序联系,以便直观测量、反映同意规则在样本中的表现。学理上通常认为同意规则通常由实质、形式两方面构成,包括对同意能力、真实性、处分权限、范围、时间等方面的要求。个保法以相当数量的条款厘定了同意规则的具体要求。结合该法规定及学理阐释,确定如下要件作为分析框架:1.同意能力:用户对信息处理的目的、范围、意义等有必要理解能力;2.同意范围:信息处理不得超出用户对隐私政策的明确同意的事项范围;3.同意形态:用户对隐私政策及信息处理的同意必须自愿、真实、明确;4.同意时间:于信息处理前取得的同意方为有效同意,改变、撤回同意等行为影响先前同意效力及后续处理行为;5.例外规定:基于公共利益等有关考量,特定条件下处理者不必获得用户的同意;6.支持制度:隐私政策规定了一系列基础事项、权利或沟通渠道作为支持,虽不属于传统具体式、个别式同意规则的范畴且所考察的指标不能直接归入传统规则各项要件,但其存在对于同意规则的实现具有积极意义,故纳入考量并予以适当评价。

表3反映了隐私政策各模块及其下设的与同意规则相关的各基础指标之间的关系。对42个隐私政策样本分别按照内容分析类目中44项具体指标进行评价即可得知其具体指标对同意规则相关事项的契合情况。进一步将某个或数个指标的契合情况与同意规则各要件联系起来,即可得知同意规则要件在隐私政策的实际设定及契合情况(见表4)。后文将以同意规则各要件为主线对各项测量指标展开分析及评价。值得说明的是,应用程序的使用前提通常是同意隐私政策,用户常存在表面上“现实的”同意。但基于格式条款的实质不对等,同意形态要件在表4中缺乏有效的对应指标。

表4 同意规则要件与测量指标的对应关系

三、研究发现:同意规则的操作性困境

对各要件对应指标群分析后发现,样本与同意规则在同意时间、例外规定方面基本契合,在同意范围方面部分契合,在同意能力、支持制度方面存在显著的操作性层面的背离。就契合方面而言:1.同意范围:样本对采集范围、采集环节、敏感权限、推送信息关闭方法、使用目的变更、cookie技术的使用等事项的告知趋于完善,符合度均接近100%(指标2-6、9);绝大多数样本(约95.2%)将非个人信息转化而来的个人信息纳入了保护范围(指标8);个人信息共享均被列入知情同意范围,共享的目的基本明确且规定了去标识化措施,信息转让需要获得同意且原则上被禁止,信息披露及跨境转让需要获得同意(指标10-11、13-17、40)。2.同意时间:用户决定改变或撤回同意后,样本普遍规定由此停止决定之后的信息处理,但不影响决定之前的信息处理(指标25-26),这与《信息规范》及个保法第15条的精神基本一致;除一个特殊样本外,其余均对注销账号的流程规定明确、合理,且规定后续删除信息的措施(指标30-31)。3.例外规则:样本规定的同意豁免事项普遍遵循《信息规范》第5.6条、第9.5条,限定在与国家利益、社会公共利益、个人重大合法权益等相关的情形,集中于收集、使用以及共享、转让、公开披露环节(指标7、17)。以下为背离方面:

同意能力

样本对未成年人同意能力的关注与保障不足。表现在:1.未成年人专门规则设置有限。未成年人信息处理规则包括专门的单行隐私政策或内设内特殊条款两种形式。约11.9%的样本设置专门针对未成年人的单行规则。约88.1%的样本仅设置未成年人特殊条款且操作性较差(指标37-39)。例如,规定处理未成年人信息需经监护人同意,只是简单重申法律精神,且有悖于个保法第31条第2款的规定。2.未经监护人同意而获取未成年人信息后约束有限。约51.2%的样本规定此类信息需删除,约48.8%的样本并无交代。如此设置状况较难从结果纠正意义上扭转对同意能力要求的先前违背。(3)应用分级设置与同意能力要求不匹配。根据华为应用市场的数据,样本应用分级设定值包括3岁、7岁、12岁、16岁、18岁。设定值为3岁、7岁、12岁的样本总共约达73.8%。以个保法规定的14岁为标准,则多数样本在未成年人规则、应用分级设置方面并不匹配。

同意范围

对个人权益具有较高潜在风险的同意事项被忽视。1.对于基础概念的定义缺失。多数样本(约52.4%)并未明确规定个人信息、个人敏感信息等重要概念的定义或给出详尽列举(指标1)。2.信息共享的范围并不明确。服务商基于特定服务功能、广告投放、安全运行等目的,需与第三方或关联方共享用户信息,但其范围应当明确、具体。76.2%的样本并未规定明确、具体的共享范围,而是采用有限列举加兜底规定的模糊表述(指标12)。3.停止营运后的处理措施遭普遍忽视。仅有38.1%的样本规定服务商停止营运后的信息处理规则并向用户进行告知,而61.9%的服务商则未制定相应规则或不予通知(指标34)。同时,仅有33.3%的服务商在停止营运后会停止信息采集(指标35)并对个人信息进行删除或匿名化处理(指标36),而高达66.7%的服务商则不停止信息采集或未设定相关规则。4.隐私政策变更的单方性。隐私政策修改及变更时,因不同于用户已经同意的隐私政策,需在再次告知的情况下重新获取同意。但仍有4.7%的样本未对隐私变更设置通知条款(指标41),且有30.2%的样本变更隐私政策后并不征求用户同意(指标42)。

支持制度

保障同意规则目的实现的部分基础事项、支持性渠道及个人管理权利存在操作困境。1.对个人信息存储时间等事项的规定极不明确,信息控制几乎无时限。约4.8%的样本规定在账号注销后3个月内不再保存个人信息;约2.4%的样本规定数据存储期限为20年;2.4%的样本规定存储期限为2年(指标19);约90.5%的样本对存储时间未予明确规定,而是规定在超过“必要时间”“必要期限”“必需的最短时间”等不确定时长后进行删除、匿名化等操作。“必要最短时间”等类似规定虽符合个保法第19条,但样本中并不明确的时限往往意味着服务商对信息的无限控制。2.处理者与个人的沟通渠道形式上比较多元化,但实质上受到制约。多元化的沟通渠道,如个人信息泄露等安全事件发生后的告知途径(指标20)、个人对接收信息及广告推送的控制方式(指标22、23)、个人改变或撤回同意的程序(指标24)、投诉或举报流程(指标32)以及一般性联系渠道(指标43)等,各项指标符合度趋近100%。但过半数样本(约61.9%)的隐私政策访问端口规定得并不明确,这可能成为个人有效利用前述渠道的限制因素(指标33)。问题反馈后的应对时效也是一项重要限制因素。约14.3%的样本未规定个人反馈问题后处理者回应的时间。85.7%的样本中,绝大多数规定的回应时间限制在收到意见、建议、投诉或验证个人身份后“15天”“15个工作日”“30天”内,只有个别样本规定48小时的回复期限(指标44)。3.个人对于信息的管理权利较为一致地得到规定,但在关于访问、更正、删除等重要支持性权利的具体事项规定上依然有所欠缺。样本普遍规定个人有权管理自己的信息,如:对个人信息进行查询、访问、更正、补充、清除、删除等操作,撤回同意,改变同意范围,注销个人账号,禁用及关闭手机或应用程序功能,管理电子推送或自动化决策等(指标21)。但行使此类权利的操作性规定显得匮乏得多,在访问、更正、删除个人信息等重要支持性权利方面尤其如此。约71.4%的样本只是进行了原则化描述而未就访问、更正、删除个人信息的方式、范围等具体事项进行操作化规定(指标27-29)。

四、研究结论:操作性困境的理解与应对

同意困境集中表现于隐私政策的文本表述及其运行过程,有其深刻成因。实证数据较为一致地指向了同意规则在同意能力、同意范围、支持制度方面的操作性难题,这些难题往往是现实中个人同意不被保障的表层原因,成为反对论者关于同意实效性、经济性、社会属性等方面批判的开端。对有关批判的回应及操作困境的解决,需从同意理论的架构展开深入分析。

同意的理论层次及实现路径

同意的层级化实现路径及其在各细分领域的差异化理论背景,是剖析个人信息同意问题的认识前提。最早生发于政治哲学领域的同意理论在本领域走向衰败,而作为其思想内核的同意观念却蕴含着自由、尊严、责任等丰富的伦理价值,外溢到经济、医疗、法律等社会生活的诸多方面。引入个人信息领域的同意原则只有短短数十年历史,但思想本源与内核却承继于同意观念,其价值可能性的实现需要一定的理论与制度条件。作为法律制度理论,遵循由抽象至具体的同意观念(价值层)—同意原则(规范层)—同意规则(规范层)—操作制度(事实层)的层次化实现路径。各部门法学处理同意理论时,内核理念相近,但在原则、规则组成的规范层,由于受规范目的、法律关系、适用对象、所涉法益等影响而差异较大,理论架构不尽相同,规范层介入事实层时的操作、支持细则体系更是千差万别。如,刑事领域被害人同意即显著区分于个人信息领域的主体同意。

厘清讨论对象所处语境及确切意义,是分析同意困境形成根源的基础。个人信息领域中,对同意的讨论与批判存在明显用语混淆。原则同规则存在深刻的理论差异,但有关学术讨论却并未严格区分:“同意原则”“同意规则”“知情同意原则”“知情同意规则”等术语被频繁混用于驳斥同意在个人信息处理中的地位,所凭借的理由却指向与操作制度层联系更密切的同意的有效性、经济性等问题。原则与规则属于应然范畴,其意义更主要地在于确立规范目的及提供法律关系的判断标准,并不能保障自身的实现。以有效性等现实问题以及经济性等潜在顾虑作为否定同意价值的理由略显偏颇,且存在重企业利益而轻个人价值、重经济效益而轻社会效益之嫌。

操作性困境的形成背景

1.市场缺陷与利益障碍

数据市场中,利益主体实质上的非对等地位是制约同意有效性的基础因素。传统同意规则的适用领域中,合意双方在法律地位上具有形式上的对等性,在实力地位上的差距并不明显,承诺所指向的对象多为有形的人身或财产。但在数据领域,处理者基于数据大规模集中处理优势而形成数据垄断,双方间的严重不对等地位突破了传统的个人对个人在有形情境下的可见差距,个人数据权遭到严重漠视。面对数量庞大但彼此分散、技术和经验受限的个人,通常以组织形式呈现且处于市场优势地位的处理者在规则制定上占据主导地位。隐私政策制定过程中,处理者除在最低限度上遵循法律法规的强制性要求及其他规范的示范性指导外,几乎不考虑个人意见。个人在隐私政策运行过程中处于被动接受的地位。前述样本在同意规则的支持性权利、例外规则等内容方面以及模块架构等形式方面较为清晰地遵从有关立法及《信息规范》。但这种最低限度、粗线条、原则性的遵从带来的是巨大的操作性障碍:相关规范所规定的一般性权利、事项在隐私政策中几乎被简单复刻,个人权利保障的程序性事项普遍言之不清。国家、处理者与个人关系中,国家权威受到表面的、形式的遵从,但规范与标准的有效性被处理者架空,个人意志仅体现在对复杂条款的有限选项中。处理者利益膨胀而个人所受保护收缩的状态暴露无遗。

2.有效制度供给短板

可执行制度供给不足是同意困境出现的叠加因素。我国长期徒有同意原则而无规则及配套操作制度:个保法系统化地规定了同意原则以及同意形式、同意范围、同意撤回、同意豁免等规则,但此前包括民法典相关条文在内的诸多立法只是一般化地规定信息处理或特定环节需获取个人同意,这些规定更近乎原则,富有指导意义但操作性有限(见表1)。权威规则的缺失以及配套支持性制度、实施细则的不完善,是造成同意失效的制度性背景。由此,处理者凭借资本、技术的优势地位制定有利于己的隐私政策,同意在现实中沦为形式。前述实证部分表明,主要应用程序在其隐私政策中普遍存在对同意能力、同意范围、支持制度所涉事项规定过分模糊化和原则化的问题,在具体实施程序以及沟通、救济等关键环节上存在忽视用户权益与诉求的问题。显著缺乏操作性和保障性的隐私政策正是同意原则、规则在执行时收效甚微的制度因素。

3.理论症结及适用困惑

传统同意规则在数据时代受到剧烈冲击,而个人信息领域对专属理论的建构相对薄弱,成为制约制度构建及运行的理论根源。限制规则构建与实践的关键理论适用问题体现在三方面:(1)同意的理论基础。基于信息的“不对称”理由及个人信息自决权的理论推演,实质上属于单向强化个人对信息控制地位的主张,基本立场在于个人本位。由于逻辑上触发个人控制与外部利用间的矛盾,且同数字经济发展、公共管理服务等社会目的存在背离,控制论遭到了平衡论的批判。平衡论主张通过利益衡量方法协调各方对个人信息的多元需求,调和个人尊严、自由同商业、公共管理之间的价值冲突。但作为一般处理行为的理论框架,平衡论难以特殊化地说明同意的存在根据。理论基础对具体规则、制度在构建及实践中的指导不可或缺,缺乏适正的理论基础是同意实践效果不彰的关键制约因素。(2)同意原则的理论地位。同意通常被作为“正当性基础”或“合法性基础”问题讨论,经历了从唯一基础到与多种特定情形并列的多元基础之一的地位转变。有关其理论地位的问题还包括:其一,同意的法律效果究竟是法律赋予的还是前规范的?其二,同意原则的要求与其他原则的要求之间是何种关系?其三,同意与处理的关系如何?(3)同意规则的操作基准。数据时代令传统的告知同意模式面临系统性困境,恪守传统时代同意理论的各项要求则会使各方陷入信息汪洋。对同意规则进行适应时代的操作化界定与解释是确保其有效性的关键关节。这既需要同意各要件理论基准的合理设定与解释,也需要相关配套措施甚至是其他替代性措施的制定与保障。

操作性困境的因应对策

1.理论回应

虽然对自主性的阐释不尽相同,但普遍认为同意的核心基础即为着重于个人独立、自由、理性、责任的自主性。奠基于自主性的同意因而同样蕴涵自由、尊严、责任等价值。在国内相关探讨中,通过个人信息自决权、自由意志、决定自由等概念论证同意的理论基础时,大多倾向于强调个人尊严、自由,而忽略责任这一重要价值。这种理论基础上看似细微的偏向造成严重的逻辑断裂,同意的理论地位、规则要件以及操作基准等以自由、尊严的保障为导向,则会陷入个人控制论的理论陷阱,其本身所具有的外部积极功能被抹杀。事实上,同意还意味着主体可能被赋予或主动承担的责任。同意既有保障个人的意义,亦有消解个体与外部冲突的旨趣。倘若以这种更为均衡的观点看待同意的理论基础,则以往关于同意原则的理论地位、同意规则各要件及其操作方面的难题与误解可以有效化解。

同意原则的理论地位应于广泛的价值权衡与利益衡量中进行考察。(1)权衡视角下,同意自然并非正当性的唯一依据。同意具有多维价值,对个体而言主要是自由、尊严等个体价值,对外而言主要体现在责任等具有外部意义的价值方面。个人信息则是多种利益的载体,对个体而言主要是尊严、自由等人格利益及其他非人格利益,对处理者、政府等而言主要是商业利益、公共管理利益等。将个人信息处理作为同意所指向的对象时,面临广泛的价值权衡与利益衡量问题。利益的价值基础、冲突利益的性质与位阶等均会影响价值权衡的结论。利益衡量亦以法律制度、法律规范、法律关系等为界限。概言之,同意并非凌驾于一切法律原则之上,应接受法律体系内其他基本权利及理论体系内其他基本原则的诸多限制。从自然状态下信息主体的决定性地位来说,个人对信息的控制是基础性的、先决性的,后续处理环节的失控需要矫正和均衡。对个人同意的尊重具有基础意义,其他例外考量受制于同意对其进行修正。(2)同意具有责任承担与豁免的意义,并非仅作为正当性依据。责任具有与自由、尊严明显不同的属性。根据所处阶段及指向的不同,同意可能具有截然不同的法律意义与效果,既可能是权利与自由的行使,也可能是对公共管理的遵从及社会责任的承担,还可能是对违法处理行为的私法责任的放弃等。个保法第13条规定获取同意“方可”处理个人信息,表明同意是处理的前提,在逻辑上与时序上应先于处理,其目的是为了强化对个人权利的前期保障。但这并不代表处理行为发生后的同意完全没有存在的必要与意义。自愿放弃权利或利益的同意行为,使得该权利或利益不再处于法律的保护范围之内,可能意味着个体让步于更高位阶的公共责任或承诺对违法者责任的豁免。(3)同意既是法定的事由,也是超法规的事由。个保法在内的诸多法律条款(见表1)将同意确立为给个人信息处理提供正当性的法定事由。结合历次审议情况可知,这种通过立法给予同意以法定地位的目的在于强调规范自身的权益保护本位及加强对个人信息的保护。法律所规定的除同意以外的合法处理情形中,亦包括正当业务行为、推定同意等数个在理论上原本属于超法规范围的事由类型。法律的重申,一方面确立了其在实证法意义上提供正当性的地位,另一方面也并非排斥超法规事由对个人信息处理正当性或责任等其他方面的影响。作为原本超法规的事由,同意除了提供正当性之外,对责任等其他方面的影响仍然是合理且可能的。

同意规则各要件的理论基准应兼顾人工处理与自动化处理两种场景,既要保留传统同意规则的基础框架与内核,又要在回应操作性困境的基础上合理修正。(1)同意主体。样本规定针对未满18周岁的“未成年人”或未满14周岁的“儿童”的信息处理须获得监护人同意。个保法第31条则设定14周岁为统一界限,在某种程度上放宽了对主体同意能力的法律基准。但被监护人及其监护人仅在终端操作,处理者对其身份及能力的识别、验证未必准确。这就使得该规则在有效性方面需作进一步的量,如外表上符合但实质上不符合能力要件的同意行为的后果、监护人事后同意问题等。(2)同意范围。个保法第14、17条等将处理目的与方式、所涉信息种类、处理者名称与联系渠道、个人行权方式与程序、处理规则及其他法定事项作为应当告知内容。样本在内容上有所呼应,但关键难题在于形式上如何达到显著、清晰、易懂的要求。从具体事项到处理规则的告知要求表明,个保法允许具体“事项告知”向抽象“规则告知”的转变,这与传统医疗、刑事领域恪守行为、结果等事项告知的要求有质的区别。规则化、标准化、结构化的同意可能是应对大规模信息处理的必然途径,而详尽、琐碎的事项性告知与同意则更有可能被限定于与重大、核心权益相关的场合。样本所呈现出的隐私政策在具体内容上的差异及可能导致的理解障碍、混乱,可以通过“通用规则+特殊要求”的方式向个人展现。(3)同意方式。同意方式与同意内容的设定紧密相关,在表现方式上有明示和默示之分,在存在形态上有现实同意、假设同意、推定同意之分。其区分设定根据常在于具体适用场景下的利益衡量。个保法第14条一般性地规定了同意应符合“明确”的要求,特殊法定情形下应有“单独”或“书面”方式。对位于公共场所的图像采集及人身识别设备所进行的信息处理,第27条采取了以显著提示告知个人且推定个人同意的方式。学理及法律规定均表明,同意方式应以同意内容、具体适用场景等为依据而作类型上的区分。样本普遍在登录环节设有隐私政策选项以及敏感权限选项,要求以勾选方式表达明确同意,但在隐私政策更新环节却常忽略对同意的形式要求。在规则基准设定及未来隐私政策实践中,使同意方式适应场景化需求,将是协调利用效率与权利保障的重要途径。(4)同意时间。一般要求在信息处理前进行告知并获得同意以保障个人的知情与决定自由。但如前所述,事后同意并非没有意义,其法律意义与效果显著区别于事前同意。在美国,基于安全目的进行的通讯数据截取实践中,事后告知亦是对权利人的一种重要救济。事后同意不仅在理论上存在可能空间,在现实中也存在大量实践,但当前法律规则及样本隐私政策中均未有体现。同意的时间基准及其效果区分的探讨仍有待充实。(5)例外规则。当前存在法定的例外与非法定的例外两种情形。样本普遍遵循《信息规范》,规定了11项不必获得个人同意的情形以及7项在公开、转让、披露环节不必事先获得同意的情形。个保法第13、18、27条等亦规定了不必获得或不必事先获得同意的情形。这些情形在理论上从属于法令行为、紧急避险、正当业务行为等基于法益衡量的例外事由,以及推定同意等基于法益阙如的例外事由。从实证法角度来说,同意为个人信息处理的一般规则,同意的例外规定应受到立法和理论的限制。法定的例外情形应遵循个保法等法律的相关规定,超出法定例外情形则需要依据法益原理并通过推定同意、正当业务行为等理论判断处理行为的合法性及责任。

2.制度应对

“三方”显失平衡的客观背景下,需要正视各方力量与利益关系,将保障同意的理念融入隐私政策设计、制定和执行中。

一方面,需要对信息处理者进行适度干预和引导,有侧重地强化和细化对个人同意的支持机制。其一是从主体切入,打破隐私政策由处理者单方面起草的格局。强化国家与行业组织等权威主体对信息处理者的引导,引入个人主体对信息处理者的制约,鼓励信息处理者的自律、自治,完善示范性隐私政策体系的多元利益主体参与及合意实现机制。其二是从内容与形式切入,标准隐私政策框架应通过合理设计提升内容友好程度及交互友好程度。凭借激励政策、互动沟通、安全控制等因素以及隐私政策的完整性、可见性、可读性、告知明确性等的提升增进个人信任并正向影响其提供信息的意愿。其三是从技术切入,推动个人信息保护技术的创新与应用。利用添加噪音、加密、限制发布等技术方法,通过个人信息安全领域公共产品开发或需求市场培育,以应用程序类别及适用场景为依据,有倾斜地通过技术赋权、维权的方式增强个人对于信息处理风险的识别、决定。

另一方面,应健全隐私政策执行问题的综合应对机制。一是处理者内部的个人行权机制。对于信息存储期限与后续处理等基本事项、查询权与更正权等支持性信息管理权利、投诉与意见反馈等沟通渠道,处理者应在政府与行业引导下朝着标准化、透明化方向发展,不仅关注隐私政策在内容上的合规,更要从可操作性角度关注行权机制在程序形式上的完整性。二是外部监管机制。在我国个人信息保护分散式执法的背景下,有必要形成专职主责部门统一受理与各职能部门分散处理相结合的监督机制,实现监管渠道的合理集中。以智能嵌入、附条件后置等形式,在隐私政策中融入投诉、举报、处理的统一外部渠道接口,提升问题的转接与解决效率。除了对投诉、举报或已发问题的调查和处理,还应按照个保法等法律规定,通过对应用程序的常态化测评及公示,强化隐私政策运行阶段的整体监督。三是法律救济机制。孤立的个人面对组织化的、强大的信息处理者时,需以法律的救济为保障底线。信息处理的隐蔽性、动态性、复杂性特征期待执法方式、诉讼方式的变革与衔接。强调处理者公法责任的同时,还应积极探索通过民事公益诉讼落实对个人的私法责任,实现多元法律责任的共同规制和多元利益的全面保障。

结语

个人意愿被普遍侵蚀与个人信息保护趋严的双重背景下,个保法重申同意原则的核心地位并充实了制定法对于主体同意的规范供给,为整个社会的理念转向与实践变革提供了关键先导。亦新亦旧的理论框架下,把握同意的实践路径、制度短板、理论症结、市场制约,通过理念、法律、技术等多维度途径综合施策方能有效回应理论痛点。同意困境的理解和应对,需以理论的可操作性为主线,遵循同意理论的基本逻辑与核心要素,从同意主体、同意时间、同意方式、例外情形等方面进行系统性反思与理论基准重构。遵循同意理论内核且适应数据时代发展现状、需求、趋势的同意规则,才能更好地消弭个人控制与社会控制之间的冲突,平衡个人、处理者、国家等主体间的关系。

原标题:《王诺亚|“同意”在个人信息处理中的实践与发展:基于主要应用程序隐私政策的内容分析》