河北省高阳县人民法院
摘要:大数据时代下,个人信息的重要性随着信息技术的迅速发展逐步提升,作为个人信息保护基础性制度之一的知情同意规则在现实适用中却面临着各种各样的困境。对此,本文立足于当下社会发展的现状,对我国知情同意规则提出完善意见,以期其可以更好的发挥在个人信息保护中应有的作用。
关键词:大数据;个人信息保护;知情同意规则;匿名化豁免
随着移动互联网、物联网、大数据、云计算等技术等信息技术的高速发展,个人信息作为大数据时代下的一种无形资产,逐渐成为企业乃至国家的核心竞争力之一,我国法律确立了知情同意规则作为保护个人信息的基本制度之一,即在对个人信息进行处理前,应当尊重信息主体的意愿,获得信息主体的同意。
为使知情同意规则更好地适应飞速发展的社会,本文拟从知情同意规则实质化和明确其豁免与排除情形两大方面,对现有的知情同意规则提出完善意见,提高同意的告知要求,限制同意的表达方式,充分尊重信息主体的自由意志,以此来保证个人信息的安全。
一、知情同意规则实质化
1.提高同意的告知要求
知情同意规则能够保护个人对自身信息的控制,从而保护个人利益以用户认真阅读并理解信息保护条款的含义为前提。认真阅读并理解信息保护条款的目的即是为了使个人在“知情”的基础上作出自愿同意的意思表示,这时同意的意思表示才是真实的、有效的,这与民法中的自愿原则一脉相承。经营者对保证用户的“知情”负有不可推卸的责任,因此其应当充分告知相关信息处理活动的情况。
未来对经营者的告知应当从两个方面进行要求,在形式上控制方的告知应当以醒目、透明以及易获得的形式提供给数据主体,可以将信息条款以弹窗形式发送给用户,且要求用户在此界面停留一定时间,并将进度条拉至页面尾端才可选择同意;在内容上控制方的告知应当使用清晰易懂、简洁明了的语言,必要的时候提供一定的语言范本,以保证数据主体对个人信息相关情况的充分了解。
2.限制同意的表达方式
中国未来的《个人信息保护》应当摆脱窠臼,针对要求获得主体知情同意的处理行为,规定必须获得信息主体的清晰的、明示的同意。与此同时,应当认识到严格的同意要求一方面虽然的确加强了个人控制权的落实,提升了公民对自身信息安全的重视,另一方面却降低了用户体验,也使得用户更加不倾向于提供个人信息。因此,我国在处理行为的事前同意行为上也可使用“选退”的方式,一方面减少用户的操作次数,降低企业获得同意的成本,另一方面迫使用户进行操作,使其对自身权利的状态拥有充分的自主控制。
3.尊重个人真实的意志
未来我国应规定经营者向个人收集信息前应当逐项说明收集信息的目的,其所服务的功能,以及没有此项信息的后果。如果无法获得个人信息就无法完成核心功能或产品的使用,经营者应当充分合理地向用户解释这种情况。如果某项信息只是用于产品的某项附加功能或虽然是主要功能,但其他功能仍可以独立于这项功能使用的,经营者应当允许用户逐项选择不提供这些个人信息,而仍然使用能够继续运行的产品和服务,并应保障相应的服务质量。
此外,允许用户撤销同意,也是国际上完善知情同意制度,保护个人自由意志的一个举措。用户同意使得经营者的信息处理行为有了充足的正当性,这是消费者利用自己的个人信息换取了相应的服务,类似的当消费者不再愿意以个人信息换取服务时,其同意的撤销应当同当初选择同意时一样便捷。未来我国应当对撤销同意的方式和同意的方式一样作出细致严格的规定,保证个人不同意的自由,全方位保证同意的有效性和真实性。
二、知情同意规则的豁免与排除
1.知情同意规则的豁免
(1)多样的合法性基础
我们应当认识到现实世界的复杂性,考虑多样的信息处理合法性基础,为信息活动提供空间和活力。除数据主体的知情同意外,《通用数据保护条例》还规定了数据处理必须满足数据主体的要求,即合同或协议签订之前。执行数据操作者的法律义务所需的数据处理,保护数据主体或其他自然人的重大利益所需的数据处理;执行与公共利益有关的责任所需的数据处理数据控制器或第三方为追求合法利益而实施的必要数据处理。我国《安全规范》也规定了知情同意的例外。中国未来立法应当规定个人信息收集、使用和转让过程中存在多样化正当性事由,充分考虑基于法定义务、公共利益以及某个自然人的重大利益等所做出的信息活动的正当性,为特定场景下基于一定公共目标的处理行为提供充足的知情同意规则豁免。
(2)匿名信息豁免
匿名化信息也应当得到知情同意规则的豁免。立法应当鼓励对个人信息匿名化,且对匿名数据的加工者规定较为严苛的限制和监管,为匿名化数据设定标准,一方面达到此标准的个人信息难以被识别原始的信息主体,另一方面立法禁止其进行数据溯源类的处理活动,保护其不可识别的状态。
中国未来的立法也应当推动个人信息的匿名化处理,为匿名处理后的信息提供统一的判断标准,此标准以可识别性风险为核心,排除匿名化信息在可能的技术手段处理后被识别出来的合理可能。在实践中,该判断标准可以随着技术手段的发展不断对匿名化信息提出更高的要求,避免技术进步而导致的立法滞后的弊端。另一方面匿名化信息的利用应当结合行政法、民法、刑法等规制手段,禁止高危的信息溯源行为,对违反相关规定的高风险匿名化处理行为处以严厉的行政处罚,以起到良好的保护个人信息的作用。
2.知情同意规则的排除
中国未来可通过可期待性原则对知情同意规则进行了修正补充。当企业的信息处理行为与采集时事前披露给消费者的使用情境一致符合用户期待时,这种处理行为是符合消费者预期的,即使这种特定的处理行为没有特别通知消费者,经营者也无需再次请求同意,但若此种处理行为是不符合期待的,亦即用户在事前阅读并同意告知条款时,不可能意识到个人信息将被用于此种目的和情境,或很可能不会同意相关条款,那么即使当初用户作出了明示的同意,此种同意也应当被认为是无效的。与此同时,对维护社会秩序的知情同意原则也应当做出必要的调整。
《安全规范》中的“个人敏感信息”,如性取向、婚史和宗教信仰等信息。由于个人敏感信息具有高度的私密性,或与个人利益的联系更为密切,对其不当利用会对信息主体造成重大影响,因此应当适度强化对个人敏感信息的保护,考虑到一些特殊的个人敏感信息与高危信息处理行为相结合可能产生的不良后果,我国立法应当对其进行绝对禁止性的规定,排除知情同意规则的适用。
三、结语
在保护个人信息方面,立法者亟需解决的问题是如何避免个人信息保护规则的复杂性,阻碍数据的流通和创新,从而有效、高效地保护个人信息。虽然我国还没有制定专门的个人信息保护法律,但国家已经出台了相关的法律法规,并在努力推进。当前,我国正在推进《个人信息保护法》《数据安全法》的立法工作,未来社会将更加关注个人信息的保护,法律对个人信息的保护将更加完善。
知情同意规则的适用范围应当通过豁免和排除加以限制,对于匿名化的信息或在某些特殊情形下,处理行为可以不经过个人同意,而是通过可期待与否及公共利益和社会秩序的限制。在某些情况下,即使用户明示同意也并不产生正当化信息活动的法律效果。最后社会应当通过多样化的制度设计为知情同意规则提供社会控制措施的衔接,充分体现国家对私权主体的尊重,推动法治社会建设。
参考文献:
[1]李晓磊,邓丹. 网络平台企业隐私协议存在的主要缺陷及完善对策——以隐私协议知情同意条款为中心展开实证研究[J]. 辽宁师范大学学报(社会科学版),2022,45(5):59-66.
[2]李伟,蒋文杰. 隐私协议用户知情同意的认定[J]. 中国检察官,2021(2):3-15.
作者简介:李珊珊,女,1986年1月出生,籍贯吉林省吉林市,研究生学历,河北省高阳县人民法院,职务副院长,研究方向,民事审判.