◎白峰铭 周萍 周侗
科技发展在为大数据价值开发提供可能性的同时,也为数据滥用提供便利。个人数据安全问题日益成为社会的核心议题,“知情同意”规则作为个人数据保护法的基础,自诞生之日起就被立法者寄予厚望。随着个人数据保护法的研究趋势从立法论转向解释论和适用论,也促使人们反思“知情同意”规则的适用。
一、问题的提出
“知情同意”规则滥觞于20世纪70年代,当时互联网的作用局限于数据的发布和传输,电子商务应用尚未真正出现,因此,“知情同意”规则创设于简单计算机自动化处理个人数据的背景之下。历经半个世纪,数字技术已然成熟,互联网商务无处不在,大数据时代的来临使数据处理规模不断增长,个人数据更加开放化和全球化。此时,“知情同意”规则的正当性遭到质疑:数据主体对个人数据的持续控制仍有必要吗?数据主体的知情同意权能否有效行使并保证数据处理的规范性?国内外学界争论激烈。而个人信息保护法仍然以“知情同意”规则为核心,更加有必要对“知情同意”规则适用进行全面检视。
二、“知情同意”规则贯彻的障碍
(一)“告知”的虚化和架空
数据处理者的“告知”是“知情同意”规则运行的起点和关键,极大影响“知情同意”规则设计初衷的实现。但在实践中,“告知”似乎并不是为了保障数据主体的合法权益而进行,反而成为数据处理者规避法律风险甚至应对执法监管的主要途径。个人数据保护政策中个人数据收集、使用、共享和用户权利等事项的完整性、明确性及易懂性直接影响数据主体的阅读意愿和情绪,进而影响数据主体知情权的实现。然而,诸多企业急于寻求数据处理正当化与合法化的基础,同时考虑规避责任,致使个人数据保护政策成为摆设。就形式而言,个人数据保护政策条款冗长,篇幅往往在一万字以上,数据处理者甚至通过技术手段在相关界面设置具有误导性、错误性甚至无效性的链接,或者插设复杂难懂的表格和无效按键等,致使个体知情同意权行使效果大打折扣。就内容而言,个人数据保护政策中还充斥着技术和法律领域的专业术语,仅有少部分提供重点摘要并对专业术语进行解释和说明,这对普通用户的阅读能力提出极大挑战。形式化和机械化的告知误导和阻碍数据主体对个人数据保护政策的理解,其适用已背离个人数据保护政策的初衷。
(二)数据主体同意的决策困境
同意的前提是知情,而告知并不必然导致知情。在实践中,个人数据保护政策的通读率并不高,能够耐心完整地阅读文本内容的用户少之又少,甚至存在用户在使用服务时完全不阅读的情况。原因在于数据主体自身陷入决策困境,致使“知情同意”规则在适用过程中呈现出消极被动的样态。首先,在移动互联网时代,智能手机的广泛应用使个人每天浏览无数的网站、使用无数的应用程序,海量的个人数据保护条款给数据主体带来极大的心理负担和巨大的时间成本。同时,受框架效应影响,个体面对不同的个人数据保护条款时,即使所涉事项大致相同,在感知上也会作出不同的理解和评价。其次,个人数据保护条款洋洋洒洒数万字,不仅客观上给数据主体造成包含充分信息的错觉,也使其在主观上自认为已充分知情,从而忽略关键性信息。最后,数据主体还可能受到重复出现的不同内容和形式的个人数据保护条款的影响,从而出现心理学上的知觉定势效应,即个体在初次作出同意时非常谨慎,但在多次作出同意之后,所投入的时间和精力会逐渐减少,数据处理者频繁请求授权或同意无疑会加剧个体的倦怠感并进而影响决策——不假思索地作出同意,个人数据保护条款进一步被忽视。
(三)“知情同意”规则在大数据环境下运行的失灵
随着物联网、云计算、人工智能等技术的成熟,大数据处理技术也逐渐常态化。首先,数据处理的全流程可以通过数字化设备进行,为数据处理秘密化创造了技术条件,数据处理者完全可以在数据主体不知情的情况下进行数据处理。其次,大数据的核心功能在于发现和预测,突破了传统的因果推理的逻辑思维模式,转而探索事物之间的相关关系。这导致个人数据处理的目的和环境不再具有单一性,个人数据的应用场景也呈现动态化、多元化和复杂化趋势,预测个人数据处理的基本事项及可能产生的风险变得更加困难,不仅客观上阻碍数据处理者履行告知义务,更对没有专业知识的数据主体的理解提出巨大挑战,因此数据主体同意的有效性也就令人生疑。最后,大数据技术下的数据聚合效应愈发明显。即使个体从未提供或分享过个人数据,大数据也可以通过算法来整合不同数据库中的个人和非个人数据猜测甚至识别特定的主体,导致主体权益被侵害。在此种情况下,数据处理者似乎在形式上并没有违反“知情同意”规则,但实质上极有可能使用个人数据进行商业利用或其他处理活动,随之而来的风险正是“知情同意”规则欲加以预防和分散的。
三、“知情同意”规则适用的厘正与前路
(一)择入机制与择出机制的区分适用
择入机制的内核在于数据主体基于自由意志表示同意,数据处理者由此获得处理个人数据的合法基础。择出机制意在当数据处理者告知数据主体将采取合适的方式处理个人数据,如果对方不采取特别措施,那么将推定数据主体“同意”对方使用自己的个人数据。个别情况下,还可从信息主体的特定行为中推出其“同意”的意思。择入机制和择出机制的分工协同是统筹个人数据保护和数据社会化利用的重要途径。
根据《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)第十四条规定,无论是初始的数据收集阶段还是后续的数据利用阶段,均应当在数据主体明示同意的范围内进行。但大数据的整合功能以及数据应用场景的多样态化使得数据处理者也不可能事先预知全部数据处理的对象、目的、功能、作用、方式和应用价值等基本特点及其可能产生的风险,因此就无法履行完全告知的义务,及完全确定数据主体的授权范围。此时若要求数据处理者对数据处理相关事项的全部变动予以告知并且取得明示同意,未免过于苛刻。因此可以结合《个人信息保护法》中所确立的个人数据处理影响评估机制,将处理行为的风险初步划分为低风险和高风险两大类,划分的标准可以参考数据处理的对象、性质、目的、方式、背景、范围以及对数据主体可能造成的危害性等因素确定。在将数据处理行为判定为低风险等级或高风险等级的基础上,对之进行动态地披露并分别适用择出机制或择入机制。当然,上述两分法具有抽象性,仅仅是初步设想,在未来的择入机制和择出机制适用过程中,还应当进一步细化,甚至可以将风险等级进一步划分为较低风险、一般风险、显著风险、高度风险、极其危险等多种类别并进行量化,进而提供具体化的指引,减少评估和判定成本。
需要强调的是,在《个人信息保护法》的框架下,择入机制始终是择出机制的基础,择出机制始终是择入机制的延伸,只有明示同意的作出才使默示同意的适用有正当性和合法性基础。数据主体初始的明示同意并不代表无限的授权或同意,而是存在基本的边界,二者的区分适用也局限于明示同意的一次数据处理周期范围。因此,当数据处理的目的、方式和范围等明示同意的事项发生显著改变的情况下,择入机制应当明确适用。
(二)正确处理同意与数据处理其他合法化事由的关系
出于数据处理场景和社会生活的多样化以及利益平衡的考量,《个人信息保护法》第十三条并没有将同意作为数据处理的唯一依据,而是构建了多元化的数据处理合法性基础。但并不能由此认为同意与其他数据处理的合法性事由是一种并列关系。由于该条第二项至第四项“必需”和第五项与第六项“合理范围”之表述,结合第二款但书,应当认为同意与其他事项是原则与例外的关系,因此应当对该条第二项至第六项的适用范围予以严格限制,否则例外事由就可能上升为常态化的数据处理依据,从而架空“知情同意”规则。
针对第二项所规定的情形,不能认为只要数据处理处于合同成立前的缔约磋商阶段,就可以排除“知情同意”规则的适用。合同依法成立前的关系范围非常广泛,时间跨度可能较长,阶段可能较多,如果磋商阶段也可以作为数据处理的合法性基础,则在合同得到广泛应用的市场经济活动中,数据处理者可能会利用磋商阶段的规则漏洞,罔顾主体意愿处理个人数据,同时,消费者出于谨慎的心理与企业进行接触或交易,合同订立和履行成本将大幅上升。因此,只有当未经同意的个人数据处理成为订立和履行合同的必要条件时,该项方能适用。需要注意的是,此处合同的订立和履行过程中各方主体的意思表示应当是真实且无瑕疵的,即不存在法定或约定的合同不成立和无效的情形。若合同不成立、无效或在法定条件下被撤销,则未经同意的数据处理行为将自始违法,此时数据处理者应当立即停止数据处理,若欲进一步处理个人数据,需取得数据主体的同意。针对第三项所规定的情形,同样不能认为数据处理者只要履行法定职责或法定义务就可以不经同意而处理个人数据,结合《个人信息保护法》第十八条、第三十三条和第三十五条的规定,除非存在特别规定,只有在取得同意会妨碍数据处理者履行法定职责或法定义务的情形下,该项方能适用。第四项是立法机关进行利益权衡的产物,个人的生命和财产权益明显较数据主体的知情同意权更为重要,此处“自然人”同样包括数据主体以外的个人。未来该项适用的重点和难点在于准确界定“紧急情况”的内涵。在第五项中,立法机关对以公共利益为目的的言论自由给予了优先保护。第六项同样是出于平衡数据保护和流动的考虑,但该项中的个人数据应当处于已经合法公开的状态。公开指向不特定的主体披露,不特定主体均能通过合法途径了解个人数据。若个人数据公开是非法原因所致,则不能适用该项。
(三)有效同意机制的设计
“知情同意”规则是否能保障数据主体作出有效同意,很大程度上取决于数据处理者能否提供有效的同意作出机制。而且,《个人信息保护法》将个人数据权益侵权行为中的主观过错的证明责任分配至数据处理者一方,在以数据主体的同意作为数据处理合法性基础的情况下,数据处理者必须尽最大可能采取多元化的措施和架构来保障主体作出有效同意,否则数据处理者的举证将很难达到法律规定的证明标准,由此可能承担相应的不利法律后果。
对此,首先必须保证同意的自主性和自愿性,这意味着数据主体的同意应当是在拥有选择的机会和余地的前提下作出,而不应当是在强制的环境下作出。为此,数据处理者应当改变“全有全无”即不同意就退出的架构。在此,同意不应当与所有条款和协议捆绑作为不可协商的部分,而应当对产品或服务的基本业务功能或扩展业务功能进行划分——划分的依据应当结合产品或服务的客观功能、用户的主观期待和需求综合确定,并在此基础上分别获取同意。其次,自由的同意还意味着数据主体可以在利益不受任何损害或不承担任何成本的情况作出同意、拒绝同意或者撤回同意。最后,同意的范围应当是具体的。当数据处理涉及多重目的时,数据处理者不应当将所有目的混为一谈并试图获取“一揽子”授权或同意,而应当允许数据主体进行选择并分别决定是否作出同意。若同意的事项与其他事项相互掺杂在一起,则数据处理者应当证明同意的具体的事项或对象。
需要强调的是,同意的拒绝或撤回应当与其作出表示的操作难度大致相当,即不允许施加额外的负担阻碍同意的拒绝或撤回。在处理儿童个人数据时,数据处理者需要付出额外努力对儿童监护人的同意进行验证。
编者注:转载自《浙江审判》2023年第1期,略有删减。为方便阅读,已隐去注释。
作者单位:丽水市莲都区人民法院、龙泉市人民法院