1. 利益平衡方法
随着“法学思考的确信之丧失”,人们开始怀疑,严格适用法律的三段论演绎过程并不能给现实中的问题得出一个唯一正确的答案 [1] 。赫克承接耶林的目的法学,提出了利益法学方法,以纠正实证法的偏颇。赫克认为,法律的不完美是确定的,而法官的职责,不是要自由创造新的法律制度,而是在现有的法律制度范围内参与实现那些已经被承认的观念( [2] , p. 8)。正是以这种方式,法官能够实现实证法所不能实现的目标。尽管赫克认为利益平衡可以作为法律方法使用,但他并没能指出,利益平衡作为一种法律方法,如何能在类似情形下重复适用并得出规律性的结果。对于利益平衡能否作为法律方法进行适用,如今还未有定论。尽管有学者认为,在法律论证中能否使用利益平衡方法还存有争论,但他们承认,在法律发现过程当中运用利益平衡方法是合理且有利的 [1] 。庖丁解牛时,“批大郤,导大窾,因其固然,技经肯綮之未尝,而况大軱乎!”法官裁判案件如刀尖在牛骨间行动,但更为精湛的解法不仅要避开牛骨,还要避开筋络静脉相连的地方与筋骨结合之处。利益平衡的精准结果或许很难量化或直观的呈现于众人面前,但是当找到那个位于筋骨间隙的平衡点时,案件便如牛肉一样,“謋然已解,如土委地”。利益平衡方法在利用时,应当遵循以下步骤:第一,利益冲突的发现,第二,平衡相冲突的利益,即平衡标准的发现。
1.1. 利益冲突的发现
赫克认为,法律制度是由命令组成的,而现实生活则是由相互竞争的利益推动的,而法律命令之所以不是悬浮于现实之上的虚幻,是因为每一个法律命令都决定着一种利益冲突,都建立在各种对立利益之间的相互作用之上,或许还体现了这些对立利益较量的结果( [2] , p. 18)。任何利益都不是真空的,其背后都有人的存在与人的实际需求。因此根据相冲突利益的代表主体对利益进行分类,是合理的。但也应当注意,并非所有的利益冲突代表主体都不相同,利益与主体也并非一一对应的关系,应当细分主体与利益。
1.2. 冲突利益的平衡
为了避免利益法学沦落为方法论之上的盲目飞行 [1] ,在进行利益平衡时,应当先寻求这种利益冲突是否在立法者的其他法律规范表述中得到了确认。赫克所言的“狭义的利益法学”,即除了法律类推之外的,需要法官进行利益填充的情况。即在进行利益平衡之前,应当先确认,法律是否已其他事实构成的形式决定了同样的利益冲突。只有当法律明确授权,或在法条中适用不确定的、需要填充价值的字眼,或者法律漏洞、法律冲突的情形下,法官才能进行利益平衡( [2] , p. 30)。
冲突利益是否能进行比较,以及如何进行比较的问题上,人们同样产生了分歧。德国法学家阿列克西(R. Alexy)试图将利益量化,并运用数学思维计算利益冲突的结果。但这样粗暴简单的量化无法体现价值在具体情形中的准确分量,因此也难以担起利益平衡的重任。“不可通约性”是平衡面临的最重要的方法论之一。菲尼斯认为,就如同拿“一页纸的尺寸”与“一本书的重量”相比较一样,不同利益的通约毫无意义( [3] , p. 183)。但于柏华学者认为,不可通约并不意味着不可比较,价值并非关于“是什么”的概念,而是关于“有多好”的概念。因此拿不同物理量的比较并不能等同于“两者哪个更好”的比较。在价值比较的问题上,也有学者曾提出可以设定价值位阶以确定判断标准,即不论何种场景,一种价值总是重于另一种价值,但这种观点遭到了“容易导致价值专制”的批评。日本利益法学代表学者加藤一郎认为,对于利益冲突的标准,“……应该‘站在历史的社会的认识上,所作出的最大多数人的最大幸福以及国民多数的意思之类的东西’。” [4] 但这种类似于“共同善”的标准也缺乏明确的标准,难以据此进行规律性判断。
尽管利益法学因利益划分与衡量标准无法确定被批判,但利益衡量确有客观性在其中。法律在解释者本人能够自律并严格遵循一定规则的前提下时可以形成其外在的、客观的标准的 [5] 。对利益冲突作出评判,无非是人类在理性与情感的共同支配下作出的一项决策而已。麦考密克将康德的绝对律令与斯密的理想观察者结论结合起来,称为“私密式绝对律令”:
“尽可能充分体会深处某事件(或关系)之中或受其影响者的感受,无偏私地形成一种判断正误的准则。该判准需要能够被所有致力于维护这样一种相互信任的人所接受,即形成一种适用于他们的界分臧否的共同标准。结合相关事件(或关系)作出与该判准相一致的行动。”( [3] , p. 202)
即,这种客观性体现在具体个案(或相同场景)的案情事实上,还体现在利益冲突各方对该个案判决所达成的共识部分,此即利益平衡是存在的客观之所在。利益平衡或许不是一种很好的证立法律结论的方式,但其价值在于引导法官作出满足法律规范与社会实践相统一的法律结论。又或者,即使利益平衡不具有普遍适用性,但其仍然可以作为评价具体个案、具体适用的评价标准。
2. 知情同意原则的适用现状
2.1. 实然层面的挫折
2.1.1. 信息控制力的转移
知情同意原则以信息主体对自身信息的实际占有与控制为前提,而在大数据时代,信息控制权力向更为强力的信息企业(即作为私主体的信息收集者与信息处理者,下同)转移。笔者所指的“信息控制权”并非信息主体应当具有的权利,而是事实上能够排他性地决定信息如何处理、流转的权力。同时,让信息控制权利掌握再自然人手中,将会成为信息流通、挖掘个人信息商业价值的阻力。在实然与应然的推力与拉力下,知情同意原则的适用陷入了二难困境。
知情同意原则适用的背景已发生变化。在前信息时代,信息传播的效率与规模同信息时代之前已有较大发展,但传播模式仍未发生质变,信息主体对于自己所控制的绝大多数个人信息都能做到心中有数,对信息的传播路径、传播范围也有较为准确的认知。即,信息主体仍然实际上掌握大部分的信息控制权力。大数据时代信息收集与信息处理技术的快速发展,使得信息主体未曾在意的信息也成为个人信息,比如浏览网页时的点击偏好、不同社交平台的碎片信息等。许多曾被认为是无意义、无价值的信息也成为了可以挖掘的资源宝库。但要求信息主体对种类日益增多的个人信息都保持高度关注,是一件不现实的事情。其次,个人信息的新兴价值的利用要求建立数据库,统筹利用。这只有在除信息主体之外的其他主体经专业处理后才能体现,即信息主体只能通过第三方处理信息之后才能获取便利的服务、享受数字生活。因此,许可其他主体处理信息是一种无奈之举。个人信息种类之繁多、利用之复杂使得信息主体对个人信息的实际控制权力正在逐步丧失。
知情同意原则的适用前提在大数据时代难以被满足。知情同意原则理论建立在“理性人”的基础上。它的存在就已经预设了这样一个前提,即信息主体对其信息实际占有与事实控制,并能够使个人信息的处理与使用对自己产生最大的效益。与专业又强大的信息企业相比,许多信息主体的思维仍然停留小数据时代,对个人信息受保护的种类都不甚了解,更遑论要求其在“知情”的情况下作出实质的“同意”了。知情同意原则本身具有一部分完善信息主体理性的能力,其中的“知情”或“充分告知”意在加强信息主体对个人信息的控制,即知情同意原则本身就包含了强化信息控制权的内容。但这样的强化能力并不是无限的,一旦超过某个程度,知情同意原则的适用前提将不复存在。小数据时代的知情同意原则,信息处理者的充分告知能够使得信息主体了解并知悉自己信息将被如何处理,以便其作出真正符合信息主体自身利益的决定。但在大数据时代,个人信息的种类的多样性,流转过程的复杂性,后续处理情况的多变性,使传统的事前“未雨绸缪”的告知与“一锤定音”的同意无法与当前信息的处理速度与复杂程度相适应。
信息控制权逐渐从信息主体转移至信息企业等具有更强控制力的主体手中,是知情同意原则在大数据时代受挫的实然层面的原因。若不能保证知情同意原则能真正为信息主体所使用,法律越是赋予个人更强的权利、更大的自由,就越是难以达成目标。最终这些法律给予的权利与自由将会异化,成为信息企业的免责事由甚至是出罪依据,反而成为侵犯信息主体权益的工具。因此在适用知情同意原则时,应当注重对个体人格尊严、意志自由以及人格发展权的保障。维护知情同意原则的目的价值,能够降低知情同意原则异化的可能,减轻知情同意原则异化的程度。
2.1.2. 完善理论
传统的同意模式即知情同意原则的规范结构。首先,信息控制人在获取信息主体的同意前,应当向信息主体说明收集信息的内容、收集目的、处理方式。理想情况中,该告知为充分告知,经过告知后,信息主体可以完全理解自己信息的未来走向,以及如何重新掌控个人信息。在我国商业实践当中,服务提供者一般通过用户隐私协议对用户进行告知。其次,实质同意以充分告知为必要条件。具备完全行为能力的主体在充分了解个人信息处理的一切风险的基础上,作出同意的决定。
但由于大数据时代,信息收集的种类、处理的方式以及后续的使用异常复杂,向信息主体完全阐释充分告知的成本骤然升高。而且由于信息主体专业知识的匮乏,即使信息企业进行充分的告知,信息主体也很难做到充分知情。为了解决传统同意模式的问题,概括同意(Broad Consent)应运而生。概括同意即退而求其次,因为充分、详尽的告知难以实现,那么就降低告知与知情的程度,进要求信息主体对信息处理的过程与风险有一个大概的了解即可,使用概括同意模式可大大降低信息企业收集处理信息的成本,也可以降低其因未能进行充分告知而获得无效同意的法律风险,给信息企业带来了极大的便利,对大数据技术与产业的发展也是大有裨益。但这种退让是以信息主体对自身信息控制力的缩减为代价的,信息主体无法得知完整的风险,自然就难以作出真实的同意。概括同意实质上是个体人格尊严价值与处理个人信息的商业价值、社会价值发生冲突时,个体价值保护的退让。概括同意重新划定了利益平衡的标准,无法做到双赢。
针对概括同意的宽泛性与模糊性,有学者提出了分类、分层的同意。所谓分类,即根据个人信息敏感程度的不同,对敏感个人信息予以更强的保护,对知情同意的程度作出更高的要求,而对一般个人信息则放宽知情程度。现将敏感个人信息与个人信息中分离出来,已成为各国个人信息保护的共识。所谓分层,指的是对信息处理活动的了解程度不同,依据此设定不同的知情程度。当然也可以根据获取个人信息对信息主体造成的风险不同等标准进行分层。浅层信息,即用户获取商品或服务时必须提供的必要信息,只有同意之后才能继续使用该商品或服务的基础功能。深层信息并非用户使用商品或享受服务的必要条件,但若用户在在使用商品的过程中,有意向使用额外的或附加的功能,可以此时再对所需要的信息进行授权。按照该理论,信息收集的分层最少可以分为两层,即必要信息与额外信息。分层的层数越多,对信息主体自主性的保护程度就越高,但是随着层数的增多,分层同意理论就越来越向特别同意理论靠拢,对外的表现就是不断上升的同意成本,即信息主体不厌其烦地重复地选择同意。可以说,分层同意是平衡特别同意与概括同意地方案,选取的层数即是人格尊严与商业利益的平衡点的对外表现。此外,信息技术的发展也可以降低不断获取同意的成本。
不仅决定是否同意体现了主体的自主性,决定适用何种同意方式也体现了主体的自主性。动态同意允许个人选择其偏好的知情方式、频率以及内容,并自由决定授予同意或退出同意,动态同意是以信息主体为中心的 [6] 。动态同意在信息主体与信息处理者之间搭建了一个平台,并将信息处理的整个过程置于平台之上,供信息主体选择。信息主体可以根据获得的商品或服务以及自己所要授权的信息种类,自由地选择不同的方案。与分层同意不同的是,动态同意强调信息主体可以随时获得有关信息处理的信息,并据此随时作出决策,信息主体处于主动选择的地位,而信息企业则处于被动接受的地位。信息的收集、处理或删除都是由信息主体发动的,信息企业只能根据信息主体的行为对后续处理进行决策。这种主、被动地位的转换使得信息主体对自己的信息保护更具参与性,也能够提高其积极性与主动性。理论上看动态同意模式比分层同意模式更加科学,对个体人格尊严的保护程度也更高,但该原则有以下两个不足。首先,动态同意有赖于信息主体的主动决策,这就对信息主体的积极性与专业性提出了一定的要求。在实践动态同意模式时,应当注意防止信息企业通过对某些关键同意设置默认选项,架空信息主体的主体地位。其次,动态同意模式要求建立起信息企业与信息主体之间完全透明的信息处理活动共享平台,平台运行的模式可以沿用信息企业适用的自动化决策技术,这在技术层面没有太大的困难。但实现这一前提会面临技术方面之外两重阻力。第一,该共享平台要覆盖所有需要收集信息的企业与所有信息被收集的信息个体。平台的建立、维护所耗费的人力、物力、财力由何方来提供。第二,建立高透明度的信息收集处理平台可能会提高商业主体收集信息的成本,并且降低信息的流通速度,这与信息企业的商业利益相悖。就目前商业实践来看,动态同意的应用程度还比较低。
2.2. 价值层面的冲突
《个人信息保护法》第一章第一条规定,为了保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用,根据宪法,制定本法。个保法的立法目的不仅在于保护个人信息权益,而且要在该前提下促进个人信息合理利用。数据处理技术的快速发展,使得个人信息背后蕴含的巨大商业利益得以呈现。个人对其个人信息享有的利益应当与其他主体的利益相平衡,并受到相应的限制 [7] 。知情同意原则必然要求信息主体实现对自身信息的占有与控制,这与如何在不违背个人基本权利的要求下,继续挖掘个人信息的深层价值,为整个社会谋发展、谋福利,才是新时代个人信息保护的重大课题。
2.2.1. 知情同意原则维护的价值
知情同意原则的正当性论证大多都是在自由主义视域下的讨论,知情同意原则存在的价值即保障个人自主性、人格完整性以及意志自由,这便是知情同意原则的价值之所在。在目前,还找不到一种比同意更有效的保护个人信息的方法。“在个人和信息处理者的不对等关系中,权利人同意是一个最好的制约性权利。” [8]
Goffman 1959年提出自我表现的概念,1971年该理论在信息保护领域被使用,并成为支持信息自决权的依据。人格权中的自我表现概念来源于社会学和社会心理学,是指个人在和他人交互活动中的外在行为 [9] 。自我表现理论认为,人们处在一定的社会环境中,并不是被动地对其所处的社会环境作出反应,他们总是试图影响周围的环境,以便建立起有利于自己的形象,实现自己的目标。对环境的操纵始于操纵自己。主体会不断地矫正、控制呈现给其他人地信息,特别是有关他们自己的信息 [10] 。因此,个人的成长发展、与其他主体建立联系,与对自己及周身信息的操纵行为是分不开的。主体对信息的操纵并不必然具有主观意识,但主体对控制他人的关系具有利益。因此,可以说个体对个人信息是否为他人知晓、知晓程度的控制是具有利益的。据此,马尔曼(Mallmann)首先提出了“信息自决(informationelle Selbstbestimmung)”的概念。他认为,个人信息对于人格构建和发展具有决定性的意义,因为自我表现是个人和外界交流的唯一手段,而自我表现的实质就是对个人信息的使用 [9] 。因此,个人信息具有自主价值,信息自决权是保障信息主体人格自由发展的必要条件。
虽然我国法律规范中并未明确出现“信息自决权”,甚至也没有个人信息权,仅明确了个人信息权益,但信息自决权天然地蕴含“知情同意”的核心要素,因此是证成知情同意原则的强力理由。下文将知情同意原则所要维护的利益称为个体核心利益。
2.2.2. 知情同意原则对抗的价值
在知情同意原则适用领域以及个人信息保护领域,信息企业对信息资源的挖掘与利用符合庞德所曰的社会资源保护的社会利益以及社会进步的社会利益,本文称其为通过商业行为获得的利益,简称为商业利益。数据处理技术的快速发展,使得个人信息背后蕴含的巨大商业利益得以呈现。在信息时代到来之前,个人信息价值主要是为信息主体的社会生活服务的,涉及的其他个体范围也只是围绕该信息主体展开。但在大数据时代,收集、处理个人信息不仅仅是对信息主体有利益,对于信息企业、社会而言,也具有利益,典型的受益者即互联网企业。
商业利益的实现有时也实现了对个人的利益。首先,信息企业是挖掘信息资源的主要力量,对信息技术的发展成熟有着不可忽视的重要作用。其次,信息企业在获得信息主体明确同意的前提下使用个人信息时,能够为信息主体提供其需要的商品或服务。信息企业通过个人信息获利新方式主要分为三类:一是直接处理信息得出结论,比如电商行业利用大数据预测消费趋势、消费特征,分析顾客消费行为习惯等;第二是将信息用于机器决策,最终由自动化决策算法辅助引导信息主体选择决定;第三是将信息用于机器学习,训练AI的语言模型,比如ChatGPT的三个关键技术之一就是大数据。 根据利用信息的直接目的来看,第一、第二项的直接目的都是为了满足商业盈利需要,第三项中个人信息被用于新技术的发展、生产力的提升。根据对信息主体信息控制权的影响来看,第一项、第三项所使用的个人信息即使经过匿名化、去标识化处理也不影响其使用,而第二项用于机器决策的个人信息,需要随时保持与信息主体的联系。而且,自动化决策过程中,需要对信息主体进行的“画像”处理,与匿名化处理相反,画像基于个体在网络空间内流动的信息对该用户“贴标签”,所贴的标签越多,用户画像就越精准,就越能从网络形象定位到现实中的个人。因此,这种利用方式对信息主体信息控制权的影响最大,也最有可能与个体的核心利益发生冲突。
个人对其个人信息享有的利益应当与其他主体的利益相平衡,并受到相应的限制。知情同意原则必然要求信息主体对自身信息的占有与控制,这与如何在不违背个人基本权利的要求下,继续挖掘个人信息的深层价值,为整个社会谋发展、谋福利,才是大数据时代个人信息保护的重大课题。
2.3. 平衡法则
知情同意原则能够增强个体与信息企业相抗衡的能力。在私主体之间适用的过程中,个体的人格尊严、意志自由等人格利益与信息主体要求利用并挖掘个人信息商业价值的利益是最主要的利益冲突。因此,在知情同意原则的总体框架中,信息主体利益与信息企业利益的平衡,构成了利益平衡的核心内容。
运用利益衡量的方法,应当统一主客观标准,在正确判断客观情况的基础上进行价值判断。为了避免“价值专制”与“毫无客观性”,阿列克西提出同时考虑利益的“抽象重要性”与冲突时的干涉强度。抽象重要性即不依赖于个案情形的重要性( [3] , p. 150)。这样就可以判断两利益在具体冲突情景中的重要性。
知情同意原则所维护的核心利益为个体的自主性、自由意志以及人格自由发展的权利,具有不依赖于个案情形的重要性。而信息自由对经济与社会的发展进步也是非常重要的。但早不考虑具体情形时,大部分人或许会同意,个体的核心利益要重于信息自由,促进信息的利用应当在不侵犯个体核心利益的前提下进行。在不侵犯到该核心利益的情况下,可以适当考虑降低商业成本,增强信息流通速度与利用效率。
实践中,应当以“同意是否保障了个体的实质选择自由”为关键识别因素,来判断信息企业是否违规收集、处理信息。
3. 利益平衡方法在知情同意原则中的适用路径——以用户隐私协议为例
面对知情同意原则遭遇的困境,学者们在知情同意原则的规范结构基础上,提出了众多知情同意原则完善理论,包括概括同意、分层同意、动态同意模式。但不管是何种同意模式,其应用的情景与设置都离不开具体个案中的利益平衡。用户隐私协议是知情同意原则在商业实践中应用的主要体现形式,下文以用户隐私协议为例分析知情同意原则在具体情况中的运用。
3.1. 用户隐私协议之应用与限制
根据商业实践,信息企业获取用户同意的普遍方式是通过格式合同,即《用户隐私协议》实现,司法实践也对通过隐私协议获取的同意的效力进行了认可。尽管有学者批评隐私协议也存在异化适用的危险,但笔者认为,隐私协议的便捷同意形式为信息企业与信息主体都带来了极大的便利,不能因为其存在异化风险就取缔。隐私协议中并非全部的同意都面临异化风险。比如,用户使用应用时,所必需的必要信息也被写入隐私政策当中,而信息主体对这部分信息的收集是符合实质同意的。使用格式条款获取同意并未违反法律,也并非必然侵犯用户的权益,只是在部分情况下应当对这种方式作出限制。个保法第十六条规定,个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由,拒绝提供产品或者服务;处理个人信息属于提供产品或者服务所必需的除外。由此可见,法律认可获取信息与提供服务之间应当具有必要的联系。
首先,应当对隐私协议的呈现形式作出限制。隐私协议应当语言简练,对于专业词汇应当作出解释。鼓励信息企业使用表格、图像等便于用户理解的形式设计隐私协议。对于恶意增大用户理解难度的隐私协议,可以判定恶意增大理解难度部分的同意效力归于无效。其次,应当对隐私协议的内容进行限制。对于应当采用经典同意模式的内容,未采用经典同意模式而使用隐私政策的,可以判定其获得的同意无效。最后,在条件允许的情况下,鼓励信息企业采用多层同意模式,根据收集信息必要性对隐私协议的内容进行合理区分,增大用户的选择空间。
应当注意的是,在司法实践中,应当对用户是否具有实质的选择自由进行审查。对于一些生活中非必要的应用软件,或者有同款替代的应用软件,是否对隐私协议尽心分层设计属于企业的独特商业决策,不应过多干涉。而对于生活中的必要应用,比如微信、支付宝等,应当提高用户隐私协议分层的标准,严格审查用户自由选择的空间。在必要应用的商业使用上,用户没有拒绝使用的能力,一旦该商品的用户隐私协议出现违背用户选择自由的内容,个体的核心利益必然会受到侵犯。其次,用户使用特定应用的频率也应当纳入考虑。使用应用的频率越高,意味着该应用对于用户来说有着更强的不可替代性,且当个体核心利益与商业利益发生冲突时,商业利益对个体核心利益的干涉强度更高。
3.2. 排除内容
商业实践中,信息企业常使用Cookies等工具对用户的网络行为进行追踪。Cookie,有时也用其复数形式 Cookies,是某些网站为了辨别用户身份,进行Session跟踪而储存在用户本地终端上的数据(通常经过加密),由用户客户端计算机暂时或永久保存的信息。同时,Cookies也是自动化信息采集工具的一种。利用Cookies根据用户上网行为收集到的信息,信息企业可以更精确地定位用户喜好并投放对应广告。Cookies技术群的采集功能是多样的,依据采集信息重要性不同可以分为四类:特别必要的工具,与服务性能表现有关的工具,拥有特定功能的工具依据用于行为化定位或个性化推荐的工具。而后两种工具同该浏览器直接提供的核心服务没有关系。按照分类同意的思路,可以按照该工具对应的不同功能采取不同的同意模式,但我国个保法没有对追踪工具的使用作出明确规定。而在商业实践中,绝大多数信息企业都将同意一切cookies的使用写入用户隐私协议,限制了用户选择的空间。而整个追踪过程极为隐秘,大多数情况下,被悄悄收集信息的用户只有在浏览到特定信息时,才能意识到自己的信息被收集的事实。可以说,自动化收集工具与自动化决策程序关系紧密,前者是后者的前提,后者是前者的目的之一。而对于自动化决策程序,个保法第二十四条第二款规定,通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式。由此可见,个保法希望能够保护信息主体在自动化决策中主动拒绝的权利。而自动化信息收集工具,虽然法律没有明确规定,但根据必要性原则、手段与目的相匹配原则,对cookies等追踪工具的使用,也应当与自动化决策程序的应用保持统一,或者使用分层同意的方式,交由用户自己选择。无论如何,使用用户隐私协议获取用户对追踪工具的同意有失妥当。
3.3. 动态同意的试应用
个保法第七条规定,处理个人信息应当遵循公开、透明原则,公开个人信息处理规则,明示处理的目的、方式和范围。保证信息处理的公开透明是动态同意原则的目的之一。虽然动态同意与实践还有一定距离,但动态同意的信息动态性思维可以在实践中创意性地运用,也可以与用户隐私协议的适用相融合。
3.3.1. 信息已收集清单
以移动端应用为例,尽管法律没有设置信息收集清单的规定,大多数功能完备的应用软件都已推出信息已收集清单功能。在使用该应用软件之后,用户可以通过操作进入清单,查看应用已收集的信息种类、时间,并且,该清单会随着用户使用应用而增加与变更。但该清单只能供用户查看个人信息的收集情况,而无法供用户重新选择是否同意收集个人信息。因此与真正的动态同意原则还存有一定距离。
3.3.2. 联动同意与撤回
个人信息保护法第二十二条规定,个人信息处理者因合并、分立、解散、被宣告破产等原因需要转移个人信息的,应当向个人告知接收方的名称或者姓名和联系方式。由此可见,法律默认以公司为最小处理单位,而非以APP为独立处理单位,这为联动同意与撤回提供了依据。商业实践中,众多应用软件将关联APP将会使用用户在该APP内提供的信息写入用户隐私协议。在腾讯微视个人信息纠纷案1中,微信APP与微视APP的用户隐私协议之中存在联动同意的情况,用户可以在在微信APP中勾选的同意信息,隐私协议中写明该同意在微视APP中也有效。即,用户即使没有在微视APP授予同意,微视仍然可以通过用户在微信APP授予的同意获取其个人信息。这种写于用户隐私协议中的APP联动同意,实际上很难引起用户的注意。笔者认为,这种联动同意的思路在商业实践中也是可取的,联动同意可以减少用户重复同意的次数,加强信息流通的效率。但在设置联动同意时应当保证用户对该部分联动的内容是知情的,必要时应当采用特别同意的模式,将联动同意选项单独列出,供用户同意。此外,联动同意也必须保证同意撤回的联动。以腾讯微视案为例,若用户在微信APP中授予联动同意,又在微视APP中撤回联动同意,比如作出取消勾选同意选项等行为,则该同意的撤回也应当联动,用户曾在微信APP上授予的同意将失去效力。
4. 总结
知情同意原则适用时,应当以个体利益中的核心利益,即人格尊严、意志自由与人格发展权为红线。在没有威胁到个体核心利益的情况下,可以将重点放在匿名化处理、去标识化处理等操作规范上,以促进对个人信息的商业利用与社会利用。知情同意原则的适用实践应当向动态同意模式靠拢,在成本合理的前提下,尽可实现到信息企业与信息主体之间高透明度–高信任度的信息授权过程。
NOTES
1案号:(2021)粤03民终9583号。