摘要: 电商经济高速发展的今天,通过电商平台达成的交易行为越来越方便快捷,与此同时,消费者从在电商平台注册为平台用户开始,便不断地将自己的个人信息授权于电商平台、电商经营者等各个信息处理者进行采集、使用,这无疑会大大提高消费者个人信息受到不当利用等损害的风险。告知同意规则作为个人信息保护领域的“帝王规则”通过明确信息处理者的告知义务,使得信息主体能够对其个人信息将以何种方式参与个人信息处理进行了解、掌握并以此为基础做出同意。尽管通过类似用户知情协议、告知书等方式提高了消费者在享受产品、服务时对其个人信息的掌握,但不可否认的是,电商平台的告知同意规则适用过程中仍面临着一定的困境,电商平台对于应告知的事项、范围以及时间点都尚存在不明晰的情况。应当正确认识到,电商经济更快更好地发展离不开一个能够令消费者信赖的交易环境,因此,推进个人信息保护领域中发光发热的告知同意规则在电商平台交易行为中的适用,对促进电商经济繁荣稳定具有重要意义。
Abstract: Today, with the rapid development of e-commerce economy, transactions reached through e-commerce platforms are becoming more and more convenient and fast; at the same time, from the time a consumer registers as a user of an e-commerce platform, he or she constantly authorizes the e-commerce platforms, e-commerce operators, and other information processors to collect and use their personal information, which undoubtedly increases the risk of the consumer’s personal information being improperly utilized and other damages. The notification of consent rule, as an “imperial rule” in the field of personal information protection, makes it possible for the subject of information to know and understand the manner in which his or her personal information will be processed by the information processor by clarifying the information processor’s obligation to notify the subject of information, and to consent to the processing of his or her personal information based on such information. Although the user informed agreement, notice and other forms of ways to improve the consumer in the enjoyment of products and services on their personal information, undeniably, the e-commerce platform to inform the consent rules is still faced with certain difficulties in the process of application of the e-commerce platform for the matters to be informed, and the scope of the time and the point of time are not yet clear situation. It should be correctly recognized that the faster and better development of the e-commerce economy cannot be separated from a transaction environment that can be trusted by consumers; therefore, it is of great significance to promote the application of the notification of consent rule, which has been glowing in the field of protection of personal information, in the transaction behavior of e-commerce platforms to promote the prosperity and stability of the e-commerce economy.
1. 个人信息保护中的告知同意规则
1.1. 告知同意规则的历史沿革
告知同意规则具有悠久的历史,早在1767年的Slater. Baker & Stapleton案中做出“术前取得患者的同意应为外科医生的惯例和原则”的判定[1];1891年,普鲁士政府在医疗备忘录中明确了“参照患者意愿”原则;1947年,《纽伦堡法典》则是现代意义上告知同意规则形成的里程碑[2],其在国际上首次明确了医疗领域的告知同意规则。1964年,世界医学会通过了《赫尔辛基宣言》并对参与者的知情、同意进行明确规定[3]。在医疗领域中,告知同意规制要求作为处于信息优势地位的医生应充分、有效告知未来医疗过程中存在的风险,以最大程度降低信息地位不对等带来的影响[4],确保患者拥有切实掌控自身情况并以此为基础自行做出选择的权利。
告知同意规则于个人信息保护领域的体现,可追溯至艾伦·威斯汀1967年著作中的表达“个人有权自行决定传输信息的方式”[5]。1970年德国《黑森州信息法》将告知同意规则在立法中得到确认[6],1974年美国《隐私权法》中明确规定“非经信息内容相关者的书面申请、同意,任何机关不允许以任何方式提供系统中的信息。”1980年OECD发布的《关于隐私保护与个人数据跨界流通的指南》中也对信息主体的同意做出了相关规定。1995年通过的欧盟《第95/46/EC号指令》中规定了,数据当事人明确同意才能进行处理活动,在此影响下2016年的GDPR有着更准确的表述,明确了数据主体的同意要以充分知情为前提,自由、清晰地通过令人确信的方式做出,并对同意的认定进行了细化[7]。
1.2. 电商平台交易行为中适用告知同意规则的理论基础
1.2.1. 法律对告知同意规则的明确规定
首先,《个人信息保护法》第17条规定了个人信息处理者在进行个人信息处理行为前应当对处理的相关要素进行告知1,第13条第1款将“取得个人同意”视为重要的合法依据,第13条第2款以个人同意为视角构建了告知同意规则,其事实上是“告知”与“同意”的结合[8]。一般而言,告知的内容越详细就越能保障信息主体的知情权,这对信息处理者如何确保信息主体的充分知情提出了更高的要求:应以显著方式、清晰易懂的语言进行告知[9];对于信息主体拥有的知情决定权、删除权等明确规定的权利行使方式和程序进行告知;个人信息处理行为的过程中可能因需求变化而调整[10],在处理目的、方式等出现变化时应告知信息主体并取得其同意,确保持续告知贯穿信息处理行为始终[11]。
其次,《消费者权益保护法》第8条、第18条规定了消费者有权知悉商品的生产者、用途、性能、规格、主要成分等要素,提供商品或服务的应当提供相应单据,有义务对于可能危及人身、财产的商品或服务进行明确的告知与说明。经营者没有尽到相应的提醒和告知义务的,对于消费者受到的损害应当承担一定责任。在以电商平台为媒介的电商交易活动中,由于经营者与消费者双方更易产生信息不对等,作为提供交易平台的电商平台,其对电商经营者显然相比于消费者天然更加熟悉、掌握经营者的商品经营活动,应当创造并保障一个良好的交易环境。
1.2.2. 契约自治能够为告知同意规则提供理论支撑
以合同法中意思自治理论为出发点来肯定告知同意规则的正当性。信息主体当然享有契约自由,其同意并自愿将个人信息进入信息处理行为之中时,信息处理者的信息处理行为才具有正当性[12]。意思自治是合同法的灵魂,在电商平台交易行为愈发灵活、多元的今天尤为突出,合同主体应以自己意志判断为基础,平等自愿地订立、变更或终止合同法律关系。目前电商平台、电商经营者常以“用户服务协议”等方式进行履行告知义务,其可视为平台、经营者同消费者、用户对于使用互联网产品、服务所达成的民事合同,尽管目前没有针对该合同种类的明确划分,但其同样具有对待给付,符合契约自治精神。以信息主体的视角来看,用户有权获得平台提供的产品、服务,同时有义务履行为实现服务所需的必要给付;从信息处理者角度以观,其收集的个人信息本身就是不可量化的庞大资源,能够获得巨大的收益,因此有义务对信息主体提供的个人信息给予安全保护。
1.2.3. 基于信息不对称和信赖关系的需要
现代市场经济体系中,信息在相互对应的经济个体间不对称、不均匀分布的状态称为信息不对称[13],在医疗关系中,由于医患双方在能力、专业等方面的差距导致双方处于不对称的地位,即使双方能够自由对合同的权利和义务进行约定,但专业的医者一方在裁判中具备更大的优势,双方处于信息不平等地位[2]。这种情况在以电商平台为主导、电商经营者参与其中构建的电商交易活动中同样可能出现,为了平衡这种由于信息不对称、信赖缺失的现实需要,应要求处于优势地位的一方进行更多的信息披露,以避免信息主体对其个人信息在采集、流转过程中的风险一无所知。不仅如此,能够长久维系双方关系的关键在于消费者基于信赖所做出的授权,其确认电商平台、经营者订立的“服务协议”不是无意义的、孤立的行为,而是基于信赖做出的同意[14]。因此,信息主体通过信赖授权,赋予信息处理者进行信息处理、并将可能的风险交于信息处理者掌控,使得信息处理行为具有合法性。
2. 电商平台交易行为中告知同意规则的适用困境
2.1. 提高平台运维成本
一直以来,负担成本的提高均被当作告知同意规则的典型负外部性。在数据高速流通的背景下,数据的价值与其整合程度息息相关,碎片化的个人信息数量庞杂却又缺乏价值等特点,导致数据主体难以通过私权对其个人信息产生有效控制[15]。这在高效灵活的电子商务交易中的表现更为明显。
一方面,在各个数据流通阶段中全面适用告知同意规则无疑会提高信息处理者的成本,还可能由于个人拒绝同意而对数据资源的价值产生损失,从而限制数据生产经营活动和数据经济发展。另一方面,经营成本的提高将降低经营者的积极性,从而抑制经济活动的发展活力。但直面于此的数据控制者们却更显乐观,不论是苹果首席执行官认可不当使用个人信息将对我们产生损害,抑或是脸书的首席执行官也夸赞GDPR是推动互联网经济的积极举措,并修改隐私政策、进行定向披露。控制成本在正常的生产经营活动中本就是需要严格把控的一环,通过成熟且规模化的运营模式能够有效地均摊成本。
不仅如此,在当今个人隐私近乎透明的时代,失去信任的数据主体更倾向于拒绝将自己的数据信息进入流通环节,站在长远的角度,提高数据处理者的处理行为可视性、透明度,有利于重拾数据主体对数据处理活动的信心,从而提高数据经济的活力。在对信息主体产生影响较小的信息处理行为时,可以简化告知内容、优化告知方式以便信息主体更快决定;促进数据在不同主体间的交流共享以缓解告知同意带来的流通迟滞。
但是,将电商经营活动纳入告知同意规则的规制中来,更有助于创造一个安全、稳定的交易环境,有助于促进电商活动的发展,在电商平台面对个人信息保护中出现的问题时,既要意识到个人信息流通过程中的安全风险,又要正确认识到告知同意规则发挥的作用,更要眼光长远,肯定电商经济的发展与技术创新同告知同意规则的内在一致性。正如对待环境保护中的“宁要绿水青山,不要金山银山”,以牺牲个人信息安全为代价换取的经济繁荣注定是镜花水月,只会陷入立法愈追赶愈滞后、被动的不良循环。当此时,更要直面告知同意规则可能产生的阻力,鼓励电商平台在个人信息处理行为时起到带头作用,促进技术创新、数字经济发展,构建安全并值得信赖的电商交易发展模式,力求达到个人信息保护与电商经济发展的平衡。
2.2. 作为授权机制的失效
首先,电商平台履行告知义务时往往会受到不同用户自身能力的限制,冗长、复杂的言辞无疑会阻碍信息主体知悉其个人信息的处境并理性地做出同意。电商平台的优势在于通过对数据信息的交叉利用而充分释放资源潜能,因此要求其在信息处理目的产生改变时重新征得个人同意的操作性较低[16]。
其次,部分用户存在不经阅读便点击同意的习惯,告知同意规则存在被滥用的风险。部分平台企业通过在“隐私政策”中设置不合理、不公平的对个人隐私保护不利的条款,如支付宝APP规定,其有权将采集的用户个人信息向合作伙伴、关联方提供。显然,此类条款在披上告知同意的外衣后,将对个人信息保护形成更大威胁。
最后,用户难以真正行使拒绝权。尽管理论上用户可以对不合理的“服务协议”进行拒绝,但实际上,部分电商平台所提供的服务协议往往为无法进行菜单式选择的一揽子格式合同,用户通常要面临“要么放弃享受服务,要么同意授权”的困境,倘若无法使用相关服务,将极大地影响生活、工作,在此种意义上,用户更多的是被迫做出同意,告知同意规则形同虚设。
2.3. 作为问责、免责机制的失灵
在司法实践中,通常将告知同意作为判断个人信息处理行为合法性的关键,在这种审判思路中,重点在于平台方在对个人信息采集时,将“告知同意”程序的设置与否,作为判定信息收集行为是否正当的判断标准[17]。但告知同意规则只是平台在个人信息采集时应遵循的若干规则之一。因此,平台设置了“告知同意”程序并不当然意味着其信息处理行为过程中侵害用户隐私时能够免于承担责任。《2019年APP违法违规收集使用个人信息专项治理报告》中,APP违法违规收集个人信息主要表现在六个方面,其中设置了告知同意程序的基础上仍有三种情况,例如:未提供做出同意后取消的方式,没有明确告知信息收集的方式、目的和范围,个人信息保护政策内容明确不合规等。
此外,当前众多商业平台较为关键的吸引潜在用户的模式为,通过已注册用户的授权对该用户周边的关联用户信息进行获取并推广[18]。例如,2020年“凌某某诉抖音案”中2,平台在获取凌某某个人信息后,通过其他人个人信息中关于凌某某的记载,对凌某某推荐了“可能认识的人”。然而裁判中未曾对基于告知同意采集到的第三方个人信息行为进行分析。但在域外司法实践中,如2017年德国WhatsAPP案[18],法院最终认为,获取涉及第三方用户个人信息的行为须得到所有第三方书面同意。可以预见,这一要求将对众多平台的商业模式带来严重打击。因此,作为一种问责、免责机制,告知同意规则面对实践中出现的问题也难以回应。
3. 完善电商平台交易行为中告知同意规则的适用
3.1. 电商平台告知规则的分阶段适用
3.1.1. 用户注册阶段
信息处理者及收集信息范围的告知要求强化。用户在电商平台进行账号注册时,通常需要以个人的身份信息例如手机号、实名认证等方式进行,因此,在此阶段所进行的信息收集行为,往往是较为基础的却同消费者用户自身联系最密切的信息,信息处理者应当对此类信息采取更加慎重的方式对待,在收集信息的源头即采取严格的措施,以降低后续处理阶段中用户的个人信息受到不当使用的风险。在此阶段,电商平台应当根据本平台的业务范围、平台内经营者的分类,将电商交易行为可能涉及到的个人信息处理行为进行概括性告知,尽管在此阶段尚不可确定后续用户的个人信息将具体参与到何种信息处理过程中,但电商平台履行告知义务能够让用户对自己信息后续处理提前做好相应准备,并且此阶段对于通用事项的告知能够在一定程度上降低电商平台对于告知行为的成本负担,通过设置差异化标准对不同的分类采取相应的告知方式。其次,在此阶段电商平台应当将能够掌握的信息处理行为的相关要素统一告知,对于用户信息的收集目的、处理过程等重点信息,要确保其清晰、准确、完整[19];对于收集的信息种类,应当对不同信息的区分标准进行说明;在涉及敏感个人信息的收集时,应当注意与一般个人信息进行区分,向用户明确告知处理此类信息时遵守的特殊规则;对于收集到的信息是否要存储以及相应的存储期限,应当告知存储的理由以及后续可能进行的其他处理行为,并采取最低的存储期限以避免用户信息的过度处理。
3.1.2. 商品公示阶段
电商平台同电商经营者合力确保告知义务的完整落实。尽管在商品公示过程中电商经营者相比于平台将更加接近消费者用户,但电商平台对于电商经营者相关信息处理行为仍负有监管责任,在此阶段,首先应合理分配电商平台与电商经营者之间的告知义务,电商经营者由于天然对其所公示的商品更加熟悉且主导后续交易的进行,因此对于从商品公示到交易过程中的所收集到的用户个人信息负有主要妥善保管的义务,并对其收集到的个人信息在交易的全程中可能涉及到的处理行为进行具体告知[20]。其次,对于电商平台,经营者应当定期对其收集的个人信息情况以及保管措施进行汇报,在未取得用户同意之前不得擅自将收集信息进行二次流通,因此应以合理的方式避免用户信息的泄露风险,对于用户消费者,电商经营者应当对于交易过程中可能存在的不同信息处理行为持续告知消费者,不得片面、选择性告知,对于可能出现的更改用户信息用途的处理行为,在变更前应当取得用户的重新同意,当然,对于此时用户的同意方式可以适当采取多种方式,但要确保用户在需要时能够知晓其个人信息究竟参与了何种信息处理行为之中。最后,电商平台应当明确告知用户行使法定权利的方式和程序,根据《个人信息保护法》之要求,信息处理者需要告知个人行使法律所规定的权利方式和程序,因此电商平台可以通过结合平台规定与电商经营者共同建立相应的具体程序和机制,以确保消费者个人权益受到损害时能够有效维护自身权益。
3.1.3. 交易后续阶段
对于后续阶段可能涉及的信息处理行为持续告知。信息处理的后续阶段存在第三方介入的可能,且完整的交易行为不仅终于交易行为完成的一刻。电商平台对于交易行为完成的后续同样应保持关注,当消费者的个人信息有可能在不同电商经营者之间进行流通时,应当确保消费者知悉其个人信息的流转全程;在初期收集、处理个人信息的目的发生变化时,变更后信息处理行为采取的方式同样应告知消费者;当下电商平台中的个性化推送服务涉及到了大量对于消费者个人信息的再处理,此时应当在个性化推送之前明确告知消费者此类服务,并且给予消费者拒绝的方式,不得未经消费者同意即采取个性化推送,将消费者群体进行划分。在告知信息主体时,除向信息主体告知公开目的、公开信息类型、公开方式以及个人行使法定权利的方式和程序外,还应当将评估结果一并告知信息主体,并对公开后的信息处理情况记录持续向信息主体披露[21]。
3.2. 电商平台信息处理行为中同意规则的适用
3.2.1. 多种同意形式并行
概括同意和具体同意都为同意知情权的表现形式。相对地,具体同意能更好地保护相对人的合法权益,但前文已述,电商平台面临着海量信息的收集、处理活动,具体同意在一定程度上增加了电商平台等信息处理者的工作量,同时,在信息高速流通、科技迅速发展的时代,电商平台在信息处理之初往往无法完全预见这些信息在未来将以何种方式被利用[22],在后续信息流通的过程中,由于外界环境的变化,其处理行为的目的也会进行动态调整,这导致与最初的信息处理行为产生偏移,在这种情形下,具体同意能够发挥作用的场合十分有限。因此,为达到信息处理行为与保护个人信息的平衡,概括同意和具体同意并不矛盾,初期由于条件不具备而取得的概括同意在后续条件达成且必要时仍应取得信息主体的具体同意。同时电商平台对于概括同意的条款制定时应尽到审慎义务,坚持诚信原则,最大限度将信息处理的目的及方式告知信息主体,以确保概括同意和具体同意的并行。
3.2.2. 畅通撤回同意的渠道
在当今电商经济高速发展的时代,同意的撤回不失为一种应对告知同意制度适用困境的措施。同意撤回的应用能够提高告知同意规则面对信息处理行为发生更改时的灵活性,同样能反馈到信息处理者自身应保持动态、持续的告知,电商平台有必要构建、维持一个畅通的撤回同意渠道,保证消费者在电商交易行为后根据自身实际情况做出调整,不仅如此,撤回同意可以和重新取得同意相结合,在变更后的信息处理行为对消费者告知时,赋予其是否继续同意后续信息处理行为的选择权利,电商平台可以建立相应的保障机制,同电商经营者共同确保持续告知、同意撤回抑或是重新取得同意。同时,为充分尊重消费者的信息自决权,在撤回同意的过程中尽量避免过多限制,对于撤回时间以及撤回条件应当合理,以鼓励的态度支持消费者对待产品、服务变更时进行回应,避免苛责的条件使得消费者事实上无法撤回同意,导致撤回同意制度的名存实亡。
3.3. 细化不同场景下告知同意的标准
根据不同的场景细分告知、同意的标准同样是平台遵循最小必要原则的体现。欧盟GDPR第25条第1款规定,信息处理方式应结合实施成本、最新技术水平等因素,采用最有效、适当的措施以保护信息主体的权益。值得注意的是,细分告知同意的标准不等于平台要在任何场景均单独、详尽地告知个人信息保护措施的全部内容,其意义在于提高信息处理行为透明度。为避免用户面对服务前冗长繁杂的步骤而失去耐心、拒绝同意,平台可以参考“弹窗提醒”“明示同意”等方法,在信息采集场景发生变化时,对于具体的修改部分进行强调。通过细分不同场景需求,将平面化的规则向着立体化、多层次的保护模式转变。在有助于保护用户个人信息的同时,也有利于电商平台根据相应信息保护技术来措施匹配不同的应用场景,提高电商交易行为中的用户信息安全。
4. 结语
在数据经济的高速发展的今天,电商平台对比传统商业平台有着更加灵活、快捷的优势,同时也更容易获取到大量的数据、信息资源,数据资源作为一种新型生产要素,无疑拥有着巨大的经济潜力,电商平台通过对其合理利用能够发掘更多的目标用户,精准为不同用户群体进行客制化服务,但不可忽略的是,用户在电商平台交易过程中更容易将个人信息给予信息处理者利用,因此用户理应对其个人信息将以何种方式、基于何种目的参与处理行为等要素做到掌握。告知同意规则作为信息主体享有信息自决权的有力保障,在电商平台交易行为中应当得到更具体且广泛的合理适用,这并不是为电商平台过分苛以成本负担,恰恰相反,明确具体且开诚布公地将处于优势地位的平台方所主导的信息处理行为的基本情况告知用户,更容易在这个信任缺失的时代赢得消费者的信赖,并且这种基于信赖关系达成的交易行为往往更加牢固,因此,有必要对电商平台交易行为中告知同意规则的适用不断探索,以达到个人信息保护和电商经济发展的平衡,为电商经济的发展保驾护航。
NOTES
1《个人信息保护法》第十七条:个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项:(一) 个人信息处理者的名称或者姓名和联系方式;(二) 个人信息的处理目的、处理方式,处理的个人信息种类、保存期限;(三) 个人行使本法规定权利的方式和程序;(四) 法律、行政法规规定应当告知的其他事项。前款规定事项发生变更的,应当将变更部分告知个人。个人信息处理者通过制定个人信息处理规则的方式告知第一款规定事项的,处理规则应当公开,并且便于查阅和保存。
2参见北京互联网法院(2019)京0491民初6694号民事判决书。