互联网平台知情同意规则的适用规制探析

doi:10.12677/ojls.2025.135122

期刊菜单

互联网平台知情同意规则的适用规制探析
An Exploration of the Applicable Regulation of Informed Consent Rules on Internet Platforms

DOI: 10.12677/ojls.2025.135122, PDF, HTML, XML,
作者: 王曼妮：宁波大学法学院，浙江宁波
关键词: 知情同意规则；互联网平台；个人信息；Informed Consent Rules； Internet Platforms； Personal Information

摘要: 知情同意规则作为个人信息保护的核心规则，在《个人信息保护法》中已予以明确规定。然而，随着互联网经济的蓬勃发展，知情同意规则在实践中面临诸多困境，包括平台告知义务的缺失引发的用户同意这一意思表示的非真实性、用户隐私泄露等问题。为此，有必要规范知情同意规则，明确平台的告知义务；同时构建多元化的救济模式，完善损害赔偿机制，建立行业自律，共同致力于维护网络用户的合法权益，为互联网经济的健康、有序发展筑牢根基。

Abstract: As the core rule of personal information protection, the rule of informed consent has been clearly stipulated in the Personal Information Protection Law. However, with the booming development of the Internet economy, the rule of informed consent is facing many difficulties in practice, including the lack of the platform’s obligation to inform the user of the non-authenticity of the expression of consent and the leakage of the user’s privacy. For this reason, it is necessary to regulate the rules of informed consent and clarify the notification obligations of platforms; at the same time, it is also necessary to construct diversified relief modes, improve the mechanism of compensation for damages, and establish industry self-regulation, so as to work together to safeguard the lawful rights and interests of network users, and lay a solid foundation for the healthy and orderly development of the Internet economy.

文章引用：王曼妮. 互联网平台知情同意规则的适用规制探析[J]. 法学, 2025, 13(5): 859-865. https://doi.org/10.12677/ojls.2025.135122

1. 引言

数字化背景下，个人数据安全面临着前所未有的挑战。随着数据泄露事件的频发，信息主体的合法权益往往难以得到有效维护，这使得传统的知情同意机制在实践中的有效性备受质疑。作为数据生态系统中至关重要的参与者，互联网平台企业理应在隐私保护方面承担更多责任，通过完善用户协议来落实知情同意原则。但当前普遍存在的“一键式同意”模式，实质上弱化了这一原则的实际效力。在此背景下，构建真实有效的用户同意机制已成为当前亟待突破的重要课题。鉴于此，本文将深入探讨知情同意规则在实际应用中所面临的困境，并从多个角度出发分析解决困境的路径，维护网络用户的合法权益。

2. 当前“知情同意”规则的适用困境

2.1. 平台告知义务刻板化

互联网平台作为数据处理者以及网络服务的提供者，有必要履行告知义务，以期用户知情权得以落实。然而目前互联网平台企业在设计隐私政策时，总会默认用户能够完整阅读、准确理解相关条款，并据此作出合理判断。事实上，这种假设与用户实际行为存在显著差异，相当比例的用户从未完整浏览过隐私政策文本。平台制定的隐私条款通常具有篇幅冗长、字体狭小、内容专业性强等特点，用户无法快速获取关键信息。从用户认知能力来看，即便部分用户尝试阅读隐私政策，其理解程度也受到多重个体差异的影响，包括但不限于阅读能力、教育程度、专业知识储备、理解水平以及注意力持续时间等因素。

具体而言，常见的手机应用程序其隐私政策文档就动辄数十页，涵盖了从数据收集来源、使用目的到共享对象等方方面面的信息，这些信息相互交织，形成了一个庞大复杂的信息网。同时充斥着大量诸专业术语，对于普通用户而言，这些术语犹如天书，难以理解其确切含义。例如，腾讯微信《软件许可及服务协议》中的第三方技术条款为例：“若本软件采用第三方软件或技术，腾讯将依据相关法律法规或协议要求，通过本协议附件、软件安装包特定目录或开源软件页面等途径展示相关协议文件，这些文件可能以‘软件使用许可协议’‘授权协议’‘开源代码许可证’等形式呈现。”[1]

2.2. 用户同意层面真实性存疑

同意作为一种意思表示，是用户信息自决权的基础。真实性和自主性是同意的核心。实践中，用户的这一意思表示却存在流于形式的情形。首先，同意规则层面适用理性人假设存在困难。知情同意规则假设每个信息主体都能够充分了解自己的信息并分析其行为带来的影响，且有足够的信息能力和知识来理解数据处理的复杂性和后果。显然的，这种理性人假设在大数据背景下的个人信息保护方面难以发挥作用。第二，实践中，相关平台的《服务协议》多以超链接的形式出现，用户即便不读，点击“我同意”也能继续操作，使“同意”规则形同虚设。此外，隐私政策也并非一成不变。随着软件功能的迭代升级、业务拓展以及法律法规要求的变化，各类信息产品的隐私政策频繁更新。例如，某社交软件在更新版本后，新增了位置共享功能，其隐私政策中便会相应增添关于位置数据收集、存储和使用的条款；又或是某购物平台因与新的第三方支付机构合作，隐私政策里会加入涉及支付信息共享的新内容。这就使得用户在持续使用产品的过程中，需要不断跟进这些变化[2]。这一现象会导致用户辨别判断能力的下降，无法做出理性决策。这种明显地不平等且用户处于低位的情况下，即使其看似拥有自主同意权且隐私政策对其有倾向地保护，但实际上这种同意的真实性仍然值得深入探讨。

2.3. 平台同意规则的隐私滥用

在互联网环境下，用户时常面临这样的情境：当点击同意相关协议，授权网络平台在特定范围内使用自身个人信息。然而这一现象的背后却存在平台不正当使用用户个人信息、非法获取用户信息的情形。例如，部分网络服务提供者未清晰列出使用目的却许可第三方使用用户个人信息，这使得用户的个人信息在未知用途的情况下被随意流转，增加了用户信息泄漏的可能性。此外，部分平台的隐私政策言辞模糊，表意不清，网络用户或在不经意间点击“同意”，就此授权网络服务提供者某些信息的使用权限。其三，当用户明确点击“不同意”后，这些平台仍旧反复多次询问用户是否同意，以疲劳战术试图让用户妥协[3]。更有甚者，若用户拒绝打开非必要权限，一些App便直接拒绝向用户提供业务功能，将用户的合理诉求与正常服务进行不当捆绑。

3. 知情同意规则现有困境的法理反思

知情同意规则根植于宪法理论，个人信息自决权是其核心。个人信息自决权强调信息主体对个人信息的自我控制。一般而言，信息主体享有是否允许其个人信息被处理的自由、选择信息处理者的自由以及决定信息处理者获取、处理其个人信息的范围和方式的自由[4]。这就带来了当前用户大多无权选择个人信息处理的范围和方式，只能选择是否全盘同意平台的个人信息处理方案以及平台将其获取的用户信息泄露给第三方的问题。

从更深层次看，个人信息自我控制理论其实是“私法自治”理念在个人信息领域的具体表达。个人信息自我控制理论难以应用于隐私政策场景的事实表明，私法自治有其适用的限度。这些规则往往倾向于维护自身利益，用户面对此类隐私政策，仅能在“全部同意或拒绝”间做出选择。这种看似自主的选择，实际上是一种变相的“强制”。用户为获取服务，多数情况下不得不接受对自身权益限制较多的条款，这种“强制同意”的现象，严重动摇了私法自治的根基。

4. 知情同意规则的完善路径

4.1. 简化平台服务条款

正如上文所言，平台制定服务条款时会选择使用较为晦涩的文字与冗长的文本，用户在阅读时往往出现信息摄入的困难。因此，简化服务条款，使得用户能够快速抓取信息就显得尤为重要。但此处就易存在平台与用户之间的矛盾。个人数据权利涉及自然人的民事权益保护与数据企业的数据活动自由关系[5]。而大数据时代，尤有必要去协调二者之间的关系。事实上，简化知情同意流程并不必然影响告知效果，就告知过程而言，可从以下几个方面进行简化：第一，删除与信息主体权益无关内容，尽可能缩短文本内容，同时避免大量专业术语的堆砌，方便用户抓取关键信息。第二，对不利信息及敏感信息，用加粗、变色等显著标记提示。第三，推广简明版隐私条款，借流程图直观展示信息处理流程。

4.2. 确保用户同意的真实性与自主性

同意作为自然人的一种真实意思表示，其应当具备自主性和真实性。知情同意规则作为信息自决权的具体表现，自我决定是用户同意权得以享有的基础。而实践中，相当一部分用户的同意权流于形式。因此，有必要从知情同意规则本身出发，确保用户的同意权真实且自主。

其一，确保“同意”的表达契合网络用户的真实意愿。一些APP会在页面设置极为隐蔽的取消勾选选项，默认勾选“同意隐私政策”，诱导用户在不知情的状况下点击同意；还有部分平台会通过弹窗不断提示，若不点击同意则无法使用软件，此类行为严重侵犯了用户权益。因此，在签订相关合同时，网络服务提供者有义务以清晰易懂的方式，向用户全面告知真实情况与合同具体内容。绝不能利用自身与用户之间存在的信息不对称，诸如故意隐瞒某些关键信息、使用复杂晦涩的条款，将网络用户置于不利的交易境地。此外，由于同意内容对用户权益的影响程度各不相同，重新界定同意的内涵。用户针对互联网服务格式条款所做出的承诺，必须通过明示同意的方式达成，像常见的点击“我同意”按钮这种直观且明确的操作[6]。只有借助更为严格的形式规范同时倾向于保护网络用户权益的解释原则，才能够切实保障“同意”是网络用户基于自身真实意愿所作出的，让用户真正拥有对个人信息使用的自决权。

其二，需全面且充分地考量用户拒绝同意可能产生的不利后果。在制定互联网平台的相关规则时，平台应综合权衡经济利益、用户体验、市场竞争等各方面因素。例如，一些在线教育平台要求用户同意开放通讯录权限，若用户拒绝，便无法享受课程推荐等核心服务，此类不合理的限制应避免设置。当用户拒绝同意某些非必要的信息授权时，依然能够正常使用平台的主要功能，保证用户不会因合理拒绝而遭受诸如服务降级、功能缺失等不合理的权益损害，切实维护用户在拒绝同意时的合法权益。

其三，“同意”应具备鲜明的动态性特征。网络服务提供者应紧密依据实际情况的变化，适时主动地重新征求用户意见。若数据使用场景发生改变需要再次询问用户是否同意。简而言之，若要合理利用用户个人信息，平台方务必及时履行信息披露义务，通过动态调整的方式，如定期推送更新通知、在APP内显著位置展示信息使用变化等，切实强化对网络用户的保护力度，确保用户始终对自身信息的使用情况保持清晰认知与有效掌控。

4.3. 完善用户同意撤回权的行使

同意以及同意的撤回权，其根基在于信息主体所天然拥有的个人信息自决权。数字化时代，信息主体对自身个人信息拥有自主决定的权利，这是保障其人格尊严与合法权益的关键所在[7]。信息主体有权决定是否将个人信息提供给信息业者，以及在何种条件下进行提供。当信息主体基于对自身需求的考量，或是察觉到个人信息使用过程中存在风险，进而想要终止与信息业者之间基于个人信息交换所形成的利益交换关系时，信息业者理应毫无条件地允许其撤销同意。从维护信息主体权益的角度出发，此时的撤回不应受到任何时间限制或条件限制[8]。《个人信息保护法》第十五条规定，基于个人同意处理个人信息的，个人有权撤回其同意。个人信息处理者应当提供便捷的撤回同意的方式。个人撤回同意，不影响撤回前基于个人同意已进行的个人信息处理活动的效力。同意撤回权作为一种退出方式，相比删除权来说行使更为简单、便捷。删除权通常涉及到信息业者对已存储个人信息的彻底清除，可能会受到技术难题、数据备份机制等多种因素的制约。而同意撤回权，只需信息主体表明不再同意的意愿即可，无需过多考虑信息处理的后续复杂问题。正因如此，平台更应当积极主动地承担起责任，以显著方式告知用户同意撤销的方式。比如，在APP的设置页面中，以醒目的标识和简洁易懂的文字说明撤回同意的操作路径；在网站页面上，于显眼位置设置专门的撤回同意入口，并配以清晰的操作指南。如此一来，才能避免用户因不知晓撤销方式，在不情愿的情况下被迫继续同意信息业者对个人信息的处理，切实保障信息主体能够充分行使同意撤回权，维护自身的个人信息权益[9]。

4.4. 构建多元化的救济体系

4.4.1. 降低侵权主体认定的证明标准

在个人信息侵权纠纷的司法实践中，被告通常是负有告知义务的信息控制者。然而，由于数据主体与平台之间显著的实力差距，用户往往会面临侵权主体难以认定的困境，特别是在互联网平台多次转手、重复利用个人信息且未履行告知义务的情形下。因此，为强化个人信息权益保护，在坚持过错推定原则的基础上，有必要适当调整侵权认定的证明标准。当数据主体提供的证据达到高度盖然性标准，而信息控制者无法有效证明其无过错时，应当认定其承担侵权责任[10]。

这种证明标准的适度降低具有重要的制度价值：其一，能够有效缓解数据主体的举证压力，平衡诉讼双方的对抗能力；其二，可以弱化知情同意规则对数据主体的过度约束，恢复其应有的自主地位；其三，有助于激发当事人的诉讼积极性，促进个人信息侵权纠纷的实质性解决。同时，这种制度设计也符合现代民事诉讼证明标准的改革趋势，即在特定类型的案件中，根据当事人举证能力的差异，适当调整证明要求，以实现实质公平。

4.4.2. 完善损害赔偿的认定

根据《个人信息保护法》的相关规定，在信息主体权益遭受侵害后，损害赔偿的认定主要依据三个标准：信息主体的实际损失、信息处理者的违法所得以及法官的自由裁量权。然而，在实际损害认定过程中，由于信息权益侵害往往具有持续性和难以量化的特点，如何确立科学合理的认定标准成为亟待解决的重要问题。例如，对信息泄露程度进行评估。信息泄露的严重程度与权益侵害的可能性呈正相关关系。在数字环境下，互联网平台的交互功能(如点赞、转发等)会加速信息的传播扩散。因此，通过一定的量化指标(如信息浏览量、点击量、转发层级等)评估泄露程度会更合理。假设侵权行为发生在相对封闭的环境中，且信息传播范围可控，那么其危害性也会相对较低。其次，对信息类型进行区分认定。我国现行法律对个人信息已实施分类分级保护制度，特别是对敏感个人信息给予特殊保护。对于涉及敏感个人信息的泄露行为，即使尚未造成实际损害后果，也应当认定其具有潜在危险性，要求侵权人承担相应赔偿责任。这种预防性赔偿机制有助于强化对敏感信息的特别保护。最后，损害成本的综合计算。信息主体为制止侵权行为、防止损害扩大所采取的合理措施产生的费用也应当纳入赔偿范围。

4.5. 明确知情同意规则适用的监管

个人信息处理是一个动态的、持续的过程，仅仅依靠规则完善和司法救济难以完全防止信息处理者滥用知情同意规则作为免责事由。因此，有必要构建包括行政监管、第三方评估和企业自律在内的多元化治理体系，以确保知情同意规则的有效实施。

4.5.1. 构建完善的行政监管机制

国家行政机关对互联网平台企业的监管应常态化开展，行政机关可以构建“事前–事中–事后”全周期监管：事前审查隐私政策，专家评估整改；事中动态监督，强制整改或下架；事后快速处置，依法追责并加重处罚。

4.5.2. 构建第三方专业评估机构

在当前时代背景下，个人信息所呈现出的复杂性与不稳定性愈发显著。个人信息并非单一、固定的存在形式，其涵盖了诸如姓名、身份证号、联系方式、消费偏好、浏览记录等丰富多样的内容，这些信息相互交织，构成了极为复杂的体系。相同的个人信息在不同场景下，所面临的风险指数有着明显差异。例如，在普通社交平台上分享的地理位置信息，可能仅仅面临被好友过度关注的风险；但若是在一些存在安全漏洞的电商平台中，该地理位置信息一旦泄露，便极有可能被不法分子利用，用于精准诈骗或者恶意推销，面临的风险将呈几何倍数增长。而风险程度的高低，直接影响着信息保护强度以及同意的严苛程度。风险越高，自然需要更强有力的信息保护措施，以及更为严格审慎的同意流程。因此，对风险展开全面、科学的评估，并依据评估结果来优化知情同意的适用，无疑是极具可行性且符合现实需求的举措。

相关部门有必要引入风险评估机制，由第三方评估机构承担起对互联网企业制定的隐私条款评审的重任。由行政机关赋予其评估结果的法律效力，使其能够切实对互联网企业的行为起到约束与规范作用。这一制度设立的理由如下：

首先，评估主体的多元化有效规避信息处理者对自身评估时可能出现的不公正性。信息处理者往往出于商业利益考量，在自我评估过程中可能会忽视一些潜在风险，或者对隐私条款中不利于用户权益的部分轻描淡写。通过设立独立的第三方评估机构，其能够秉持客观、公正的态度，深入市场调研，及时收集知情同意规则在实际应用中的各类相关情况。此外，第三方评估机构的评估对象也需着眼于信息主体授权同意后的发展状况。例如，在用户同意某APP收集位置信息后，该APP是否严格按照约定的用途使用该信息，是否存在超范围共享、滥用的情况。通过对这些动态过程的跟踪评估，能够全方位地判断在各类场景中知情同意规则的有效性与真实性，确保同意规则在复杂多变的互联网环境中始终能够切实保障用户权益。

其次，作为社会组织的第三方评估机构相较于行政部门，在人才吸纳方面展现出更强的灵活性与优势。第三方评估机构能够凭借其市场化、社会化的运作模式，广泛汇聚社会各领域的专业人才。其评估结果不仅能为行政机构的行政行为，如对互联网企业的监管执法、政策制定等提供合理合法的依据，增强行政决策的说服力与公信力；还可为信息处理者的相关实践活动，如隐私条款的制定优化、数据处理流程的合规调整等提供极具针对性的专业指导与建议，助力信息处理者提升自身的合规运营水平，在保障用户权益的同时，实现自身的可持续发展。

4.5.3. 构建互联网平台行业自律

平台在收集和处理用户个人数据时，应积极承担保护个人数据的责任。平台方应通过加强对隐私政策审查的承诺，通过建立行业自律机制，促进互联网企业与公共管理部门的共同治理，有力推动知情同意规则的实施。平台可以组建专业审查团队，成员涵盖法律专家、数据安全分析师、用户权益代表等，确保从不同专业视角审视隐私政策。在审查流程方面，设立多轮审查机制。从初步筛查，快速定位明显违规或不合理之处到深入审查，对隐私政策中复杂条款、模糊表述等进行详细剖析。同时，定期对已发布的隐私政策进行回溯审查，及时更新调整以适应法律法规变化及用户反馈。

参考文献

[1]	郭旨龙, 李文慧. 数字化时代知情同意原则的适用困境与破局思路[J]. 法治社会, 2021(1): 26-36.
[2]	万方. 个人信息处理中的“同意”与“同意撤回” [J]. 中国法学, 2021(1): 167-188.
[3]	杜金泽. 网络服务协议中的“同意”规则研究[D]: [硕士学位论文]. 长春: 吉林财经大学, 2021.
[4]	王俐智. 隐私政策“知情同意困境”的反思与出路[J]. 法制与社会发展, 2023, 29(2): 210-224.
[5]	程啸. 论大数据时代的个人数据权利[J]. 中国社会科学, 2018(3): 102-122, 207-208.
[6]	何柯颖. 互联网平台企业隐私政策中知情同意规则适用研究[J]. 科技创业月刊, 2024, 37(2): 171-175.
[7]	林洹民. 论个人信息主体同意的私法性质与规范适用——兼论《民法典》上同意的非统一性[J]. 比较法研究, 2023(3): 142-154.
[8]	张新宝. “普遍免费 + 个别付费”: 个人信息保护的一个新思维[J]. 比较法研究, 2018(5): 1-15.
[9]	项定宜, 申建平. 个人信息商业利用同意要件研究——以个人信息类型化为视角[J]. 北方法学, 2017, 11(5): 30-39.
[10]	李立丰. 《个人信息保护法》中“知情同意条款”的出罪功能[J]. 武汉大学学报(哲学社会科学版), 2022, 75(1): 143-156.

为你推荐

友情链接