摘要: 随着社会的不断发展,个人信息的重要性日益凸显,并在各个领域广泛应用,《中华人民共和国个人信息保护法》应运而生,构筑了以“告知–同意”为核心的处理规则。然而,在大数据时代,现行法律框架下的“告知–同意”规则虽取得一定成效,但由于信息处理技术的复杂性,导致实践中出现了信息处理者的告知可能过于复杂使信息主体知情不足、企业告知方式存在缺陷使用户同意流于形式、部分用户对“告知–同意”规则的认识不足、企业在收集和使用个人信息时存在欺诈和误导行为等诸多问题,使得个人信息难以在“告知–同意”规则的适用下得到有效保护。针对“告知–同意”规则实践中的突出问题,本文建议加强信息处理者的法律责任、建立完善的信息告知和同意机制、加强对于个人信息安全和隐私保护意识的宣传和教育,以确保个人信息得到全面、有效的保护。
Abstract:
With the continuous development of society, the importance of personal information has become increasingly prominent, and is widely used in various fields. The Personal Information Protection Law of the People’s Republic of China came into being, and established the processing rules with “informing-consent” as the core. However, in the era of big data, although the “notify-consent” rule under the current legal framework has achieved some results, due to the complexity of information processing technology, as a result, there are many problems in practice, such as excessive complexity of information processors’ notification, insufficient knowledge of information subjects, defects in enterprise notification methods, insufficient understanding of user consent, and fraud and misleading behaviors in the collection and use of personal information by enterprises. It makes it difficult for personal information to be effectively protected under the application of the “notice- consent” rule. In view of the prominent problems in the practice of the “notify-consent” rule, this paper proposes to strengthen the legal responsibility of information processors, establish a sound information notification and consent mechanism, and strengthen the publicity and education on the awareness of personal information security and privacy protection, so as to ensure the comprehensive and effective protection of personal information.
1. 引言
随着信息技术的迅猛发展,个人信息已成为当今社会最为珍贵的资源之一,而个人信息的收集、存储、处理和使用,已成为一个极其重要的话题。近年来,由于网络安全问题的不断曝光,个人信息泄露事件时有发生,引发了社会广泛关注。在这样的背景下,为保障人民权益,个人信息保护法的颁布是必然趋势。为此,我国于2021年11月1日正式实施《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》),这个法律确立了一系列的规定和措施,以保障公民、法人和其他组织的个人信息安全,其中最为重要的规则之一就是“告知–同意”规则 [1] 。这一规则的实施,旨在保护个人信息安全,防止个人信息被滥用或泄露。本文将探讨“告知–同意”规则的含义和意义,并分析当前“告知–同意”规则在实施中所存在的问题,进而提出相应的改进建议。
2. 《个人信息保护法》中“告知–同意”规则及其意义
2.1. “告知–同意”规则的含义
“告知–同意”规则是指企业在收集、使用、存储和传输个人信息时,应当向信息主体告知其个人信息的收集目的、使用方式、范围和期限等方面的情况,并明确告知用户同意授权后将产生的后果,在取得信息主体的明确同意后才能进行信息采集 [2] 。该规则适用于涉及个人信息收集、处理、使用的所有范畴,包括但不限于:个人身份信息、财产信息、行为习惯、健康状况、专业技能等方面的信息。此外,个人信息在使用、处理、分析、推断个人信息的过程中所产生的衍生数据能够分析出用户喜好、偏向、行为趋势等,若这些数据能够单独或结合其他信息识别出特定个人身份,那么个人信息的衍生数据属于告知–同意规则的涵盖对象之一,应该受到保护。“告知–同意”规则的基本原则是信息主体自主选择和知情同意,让用户充分了解自己个人信息的使用情况,从而更好地掌控自己个人信息的流向和使用,而企业应当保护信息主体的隐私权和自由意志。在该规则下,企业需要向用户明确说明其所提供的服务或者产品中所包含的隐私条款的内容。用户在明确了解相关条款后,可以自主决定是否继续接受服务或购买商品。
2.2. “告知–同意”规则的意义
随着互联网技术的不断发展和普及,我们生活中所涉及到的信息也越来越多,而这些信息的保护就显得尤为重要。《个人信息保护法》的实施,为保护个人信息提供了有力的法律保障。在个人信息保护法中,“告知–同意”作为其中一个重要的规则,其意义也备受关注。
2.2.1. 维护信息主体的知情权
个人信息的泄露和滥用往往是因为企业没有严格遵守“告知–同意”规则,使当事人对个人信息的处理情况不明确,对于个人信息的流向和使用范围等不清楚,从而导致自己的个人信息被不法分子盗取或滥用。而“告知–同意”规则要求个人信息处理者在进行个人信息的处理前,必须向当事人详细告知个人信息的处理情况,包括个人信息的用途、范围、方式等,以及提供个人信息所可能产生的影响,从而确保信息主体对自己的个人信息有充分的了解和掌控权,保障了当事人的知情权。同时,“告知–同意”规则实施过程中,信息处理者需要经常接受数据主体的真实意见和反馈,故能够提高数据主体对数据安全和隐私保护意识,并避免恶意分析和不当用益。
2.2.2. 保护信息主体的自主选择权
“告知–同意”规则明确规定,个人信息处理者必须在征得当事人的同意后才能进行个人信息的收集、使用、处理、传输等操作。在获取同意方面,个人信息处理者必须采用明确、充分和自由的形式向信息主体告知其个人信息的收集、使用目的、方式、范围等情况 [3] ,使信息主体可以理性地决定是否向个人信息处理者提供其所需信息、是否进行这些操作和如何参与数据的使用和管理,从而保障了当事人的自主选择权。同时,在告知过程中,个人信息处理者还需告知当事人拒绝提供个人信息所可能产生的影响,让当事人在选择是否同意提供自己的个人信息时,能够更全面地考虑自己的利益和权益。
2.2.3. 促进个人信息处理者规范经营
在以往的个人信息处理活动中,由于缺乏明确的规定,许多个人信息处理者在收集、使用个人信息时往往没有充分考虑信息主体的权益,甚至存在着滥用个人信息的情况。“告知–同意”规则为保护个人信息提供了有力的法律基础,使得个人信息处理者在处理个人信息时更为谨慎,也更为规范。在这一规则的指引下,可以让个人信息处理者更加清楚地了解自己的责任和义务,并有意识地遵循明确的规范操作流程,确保信息主体充分了解个人信息处理的情况,避免在处理个人信息时出现不合规的操作行为。此外,在“告知–同意”规则的约束下,个人信息处理者必须严格遵守相应的规则,如果个人信息处理者未经信息主体同意就擅自处理其个人信息,信息主体也能追究个人信息处理者的法律责任。
2.2.4. 保护个人信息的安全性
在“告知–同意”规则的要求下,个人信息处理者必须事先向当事人告知个人信息的处理情况,从而使得当事人对个人信息的处理情况有了全面的了解。同时,“告知–同意”规则还要求个人信息处理者在进行个人信息的处理时,必须按照信息主体告知的范围和方式进行,不能越权处理个人信息。这就保障了个人信息的安全性,避免个人信息被不法分子盗取或滥用。由于“告知–同意”原则要求信息控制者在操作前获得信息主体的同意,因此可以促使信息控制者更加谨慎地处理个人信息,加强了个人信息保护。
3. “告知–同意”规则在实践中的现状及困境
3.1. “告知–同意”规则在实践中的现状
自从《个人信息保护法》颁布实施以来,“告知–同意”规则一直是备受关注的话题。《个人信息保护法》的实施,对企业主体的个人信息保护意识提高起到了积极的推动作用。各大互联网公司也在逐步完善其个人信息保护措施,尤其是在“告知–同意”规则的实施上,不断加大个人信息保护的力度。但是,“告知–同意”规则在实践中的总体效果并不尽如人意。目前,很多数据控制者在收集和使用个人信息时往往存在欺诈和误导行为,使信息主体的知情和选择能力不足,甚至在没有得到用户明确同意的情况下采集用户信息,而用户也很难对数据控制者的收集和使用行为进行监督和追责。在这种情况下,数据控制者可能会滥用个人信息,甚至将其出售给第三方,给用户带来隐私泄露和经济损失。
3.2. “告知–同意”规则在实践中的困境
《个人信息保护法》所确立的“告知–同意”原则规范体系无疑会对相关主体的行为产生规范和指引作用从而改善社会氛围和市场环境。但这一规范体系在实施过程中也将面对与技术发展或社会变迁相关的种种挑战,这些挑战大致可以归纳为以下几方面:
3.2.1. 个人信息主体的知情权难以保障
理解是用户“充分知情”的前提,但是信息主体常常因为信息处理者的告知方式不明确、不充分而无法完全理解其权利和义务,影响其做出明智的选择。首先,有一些信息处理者在采集个人信息前,只是简单地告知了一些基本的事项,而没有告知个人具体的信息采集、使用、处理等内容,使得个人难以理解信息收集的目的、用途和方式,难以做出正确的同意决策。其次,隐私协议的语言表述大量使用计算机方面的专业术语,例如,《淘宝网隐私政策》中的“Cookie和同类设备信息标识技术是互联网中普遍使用的技术。当您使用我们的服务时,我们可能会使用相关技术向您的设备发送一个或多个Cookie或匿名标识符”,导致很多用户并不能理解其中的内容。与此同时,隐私协议通常使用大量的法律术语和复杂的语句,就像《个人信息保护法》中“收集、存储、使用、加工、传输、提供、公开、删除”等词汇对于大多数信息主体来说是十分陌生的 [4] 。这主要是因为信息处理者为达到合规目的,更多是从操作者的视角草拟隐私协议,而不是从用户理解的考虑出发,导致信息处理的实质内涵无法真正传递到个人,知情效果难以得到保障。最后,个人没有足够精力和耐心阅读繁杂冗长的隐私协议。比如《微信隐私保护指引》在微信平台上有一万多字,在淘宝上有一万五千多字的《隐私权政策》。当用户需要使用某个应用程序时,大多数用户为了省时间可能会选择“一键同意”或者“忽略”按钮,而不去仔细阅读隐私协议中的内容。即使用户有足够的时间去阅读隐私协议,但当面对十分冗长的隐私协议时也不会阅读完所有的条款,更多只是象征性地浏览划过,故很多用户并不知道自己的个人信息被收集和使用的具体情况,也不知道这些信息会被用来做什么。
3.2.2. 个人信息主体的同意权难以实现
企业采集用户信息需要获得用户的明确同意,而用户要享受信息处理者所提供服务就必须提供必要的个人信息,从而产生信息主体和信息服务提供者两个紧密相关的双边关系,但是在实践中企业往往忽视和侵犯了用户的自主选择权。当前,法律并没有明确规定以什么样的告知方式和同意方式才能算是符合法规。有些数据控制者可能会采用一些模糊的措辞,或者将告知信息放在用户不易察觉的位置,以便在用户并未真正同意的情况下收集其个人信息。例如,一些APP在收集用户信息时,常常通过“一键授权”等方式,将用户的个人信息收集完全,而用户往往不知情。还有一些数据控制者可能会采用默认同意的方式,即在用户使用产品或服务时,默认用户已经同意了个人信息的收集和使用,个人需要自己去取消,这明显违反了“告知–同意”的规定 [5] 。虽然《个人信息保护法》第16条要求处理者不得以不同意为由,拒绝提供产品或者服务,但缺乏个人信息的用户服务,在实践中往往只具备最基本的功能,根本无法满足用户丰富的应用需求,导致用户拒绝隐私协议后当时就无法获得所期待的信息服务 [6] 。根据《2021年数据泄露调查报告》,超过60%的人因为拒绝无法获取服务而选择同意,将同意视为获取应用服务的必要条件,这实际上违反了同意原则的内在要求,导致同意成为了一种形式化的流程 [7] 。
3.2.3. 用户对“告知–同意”规则的认知水平存在差异
用户对于“告知–同意”这一规则的认知水平会存在着较大的差异 [8] ,一些用户可能对于法律法规和政策不感兴趣,自然也就不太了解“告知–同意”规则的具体内容,他们可能更喜欢关注一些娱乐新闻和热点话题。根据中国消费者协会通过问卷调查分析得出,认真阅读应用权限、隐私政策、使用条款的用户仅为26.7%。这样一来,他们就会对相关的法律法规和政策了解不多,进而对自己的个人信息保护不够重视,在使用互联网服务时,他们可能没有看过相关法律条款,也没有仔细阅读过应用程序的隐私政策,直接点击“同意”按钮。这种行为不仅加大了个人信息泄露的风险,同时也使得企业有机可乘,进一步侵犯用户隐私。另一方面,还有一些用户可能对于这一规则的认知水平较高。他们可能会经常关注相关法律法规和政策,同时也会仔细阅读应用程序的隐私政策。这样一来,他们就能够更好地保护自己的个人信息安全。
3.2.4. 信息处理者的告知存在误导个人的情况
现实中有一些信息处理者为了获取更多的个人信息,不惜使用各种手段来欺骗、误导信息主体,损害了信息主体的知情权和自主决定权。一些信息处理者为了获取更多的个人信息,可能会采用一些虚假的手段,来诱导个人同意。比如,某些APP会在使用前告知“需要获取您的通讯录权限,以便更好地为您服务”,但实际上这些信息处理者并不需要通讯录权限,只是想通过这种方式获取更多的个人信息。此外,某些应用程序还通常会通过一些虚假的承诺或者奖励,来诱骗用户下载和安装这些应用程序,而这些应用程序往往会收集用户的个人信息,甚至将这些信息出售给广告商或者其他的第三方。这些应用程序通常会隐藏在一些广告或者链接中,一旦用户点击了这些链接或者广告,就会自动下载和安装这些应用程序。
4. 完善“告知–同意”规则的建议
4.1. 加强信息处理者的法律责任
信息处理者不仅仅是信息的传递者,更是信息的处理者和管理者。为了保护公民的信息安全和维护社会的稳定,必须加强信息处理者的法律责任。首先,政府应该建立完善的信息处理者法律责任体系。这个体系应该包括信息处理者的基本义务、违法行为的认定和处罚、赔偿责任等方面,让信息处理者明确自己的法律责任,从而更加谨慎地处理信息。其次,政府也应该在法律层面上加强对隐私协议的监管。监管机构应该对信息处理者的行为进行监督,及时发现和处理违法行为。同时,监管机构应该加强对信息处理者的培训和教育,提高他们的法律意识和责任意识。最后,我们应该加强对信息处理者的处罚力度。对于违法行为,应该依法严惩,让信息处理者付出相应的代价。只有这样,才能有效地遏制信息泄露等违法行为,保护公民的信息安全和社会的稳定。
4.2. 建立完善的信息告知和同意机制
建立完善的信息告知和同意机制,确保信息主体能够真正地了解信息的收集、使用等行为。信息处理者需要更加重视告知义务,采取更加明确、简单、易懂的告知方式,对于信息处理者收集使用个人信息的目的、范围、方式等进行详细且清晰的说明,使得信息主体能够充分理解和知情,做出正确的同意决策。对于法律和技术术语的使用,隐私协议的编写者应该尽可能使用通俗易懂的语言来描述。例如,可以用更加通俗易懂的词汇来替换术语,或者用图表等方式来解释复杂的概念。同时,应该适当减少隐私协议中的法律术语和复杂语句,让用户更容易理解。此外,也应该让信息主体有权选择是否同意信息处理者收集和使用其个人信息,确保信息主体的自主权,个人信息处理者还应该为用户提供方便的撤销同意的渠道。
4.3. 加强对于个人信息安全和隐私保护意识的宣传和教育
加强对于个人信息安全和隐私保护意识的宣传和教育,提高信息主体的自我保护能力。通过各种途径,向公众普及个人信息保护的重要性和技能,提高公众对于个人信息安全和隐私保护的意识,增强公众的自我保护能力。首先,我们需要让信息主体认识到个人信息安全和隐私保护的重要性。个人信息是指与个人身份有关的各种信息,这些信息一旦被泄露,可能会给个人带来严重的财产和精神损失。只有加强对于个人信息安全和隐私保护的认识,才能更好地保护自己的权益。其次,通过制作有关个人信息安全和隐私保护的短视频来增强大众的安全意识。比如可以制作有关密码管理、网络诈骗、隐私保护等的短视频,通过生动形象的动画和案例来让观众深刻认识到个人信息安全的重要性。同时,我们也可以通过制作有关安全软件、网络服务关闭等的教程短视频来帮助观众增强网络安全意识。
5. 结语
“告知–同意”规则是我国个人信息保护的重要法律规定之一,具有重要的作用和意义。个人信息保护法中“告知–同意”规则的实施现状仍然存在着不少的问题和挑战,我们需要采取更加有力的措施,加强信息收集方的监管和责任,提高信息主体的知情和防范能力,建立更加完善的“告知–同意”机制和制度,只有这样,才能更好地保障公民的个人信息安全和隐私。