田野:大数据时代知情同意原则的困境与出路

——以生物资料库的个人信息保护为例
选择字号:   本文共阅读 407 次 更新时间:2018-12-03 01:23:48

进入专题:   知情同意原则   大数据   个人信息保护   生物资料库  

田野  
我国法律上也有将个人信息分类的经验,例如,2017年颁布的《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》将个人信息依重要程度区分为敏感信息、重要信息和普通信息三类,并分别规定了不同的定罪量刑标准。[63]

   对信息分类的难点在于依据何种标准、分几类,以及各种类别的边界如何划定。笔者不赞成个人信息的三分法或者更复杂的分类,其虽然看起来更加细致,但是将增加分类的困难,且易导致混乱。二分法已足够,即分为敏感个人信息和一般个人信息。当然,这二者的划分标准也不是泾渭分明的,各国法上列举的敏感个人信息范围不一。例如,欧盟《通用数据保护条例》规定的敏感信息包括:揭示种族或民族出身,政治观点、宗教或哲学信仰,工会成员的个人数据,以及以唯一识别自然人为目的的基因数据、生物特征数据,健康、自然人的性生活或性取向的数据。[64]《美国—欧盟隐私安全港原则》规定的敏感信息包括:医疗与健康、人种与种族、政治观点与宗教信仰、贸易组织的成员资格、个人性信息。我国台湾地区“个人资料保护法”列举的敏感信息有:有关医疗、基因、性生活、健康检查及犯罪前科的信息。敏感个人信息是具有高度本土化色彩的概念,并且是发展的概念。未来,我国也应完善对个人信息的科学分类,在立法中对敏感个人信息作出明确列举。对敏感个人信息应实行更加严格的知情同意标准,这一点在欧盟《通用数据保护条例》中清楚表明。相比之下,一般个人信息(例如消费习惯、上网记录、收入水平、年龄、位置等)则可以相对淡化知情同意的要求,实行更宽泛的同意标准,可以存在更多无需同意的豁免情形。张新宝教授曾提出对个人信息“两头强化”的策略,即强化敏感个人信息的保护,强化一般个人信息的利用。[65]对范围广阔的个人信息进行类型化规范,乃至于对部分敏感个人信息进行专门立法,是大数据时代个人信息保护的重要策略。

   其次,大数据处理的不同情境及其风险是同意分层的重要考量因素。即使是同一类个人信息,在不同的大数据利用场景下,也会产生差异化的风险。例如,同是针对基因信息,消费者从市场上购买基因检测服务与雇主收集雇员基因信息,所衍生的风险显然是不同的,后者因涉及劳动者的就业权并可能引发基因歧视而受到更严格的法律管制。美国在2008年颁布了《基因信息反歧视法》,特别规范了就业和保险领域的基因信息利用。德国2009年制定的《人类基因检测法》也从医疗、保险、就业、血缘鉴定等不同场景分别规范了基因检测。在我国,《涉及人的生物医学研究伦理审查办法》则是针对生物医学研究背景下的基因信息保护作出的单一场景性规范。个人信息的大数据利用场景多样,立法应对其中典型的利用场景作出重点规范。除了静态的场景性规范,由于风险是动态的,信息利用场景可能会发生转换,因此,场景风险评估也应该是动态的。风险是决定个人信息保护强度和同意模式设置严格程度的核心,故确定风险的评估机制至关重要。又因大数据应用场景的多样化,风险评估的工作必须在特定情境下进行。风险评估的方法受到推崇,从统一的个人信息保护转向以风险为导向的区别保护,是个人信息保护法发展的最新动向,这一点在美国和欧盟个人信息保护法的最新发展中均可窥见端倪。不过,对于风险评估应当扮演何种角色以及应具体如何实施,则有不同的看法。一些学者主张事中的风险评估,以之取代事前的知情同意。在笔者看来,风险评估不能取代知情同意,风险评估的结果应当告知给信息主体,以作为同意决定及其更新的参考。再者,由谁来进行风险评估也是一个存疑的问题。若由信息处理者自身进行评估,难免存在客观性和公正性的疑虑。由主管机构负责评估风险是一个备选方案,不过,考虑到大数据处理的专业性以及频繁性,主管机构是否有能力及精力担负风险评估之责,尚待考证。此外,还有观点主张由独立的第三方机构负责风险评估。[66]笔者认为,风险评估的主体未必是唯一的,相关各方主体均应该负担一定的风险评估之责,其中,第三方机构评估应该扮演最重要的角色。基于场景风险的个人信息保护与同意分层,从理念到制度实现尚需要一个过程。

   最后,信息主体的同意偏好应当在同意的分层中得到尊重。大数据中包含众多个体的信息,每个信息主体的同意偏好难求一致。有的个体希望获得全面的信息披露,有的则对接收海量信息感受到压力而抵触;有的个人愿意对信息处理作出宽泛同意的授权,有的则只接受特别同意。一些实证研究的统计结果证明了信息主体同意偏好的多样性,在这一问题上,共识并不存在。[67]某种同意模式可能为多数人所接受,但知情同意本质上是个人自主的问题,并非适合多数决的事项,持不同立场的少数者的自主利益也应得到保护。知情同意程序中应当有征询信息主体同意偏好的特别设计,并提供满足不同需求的同意选项。

   基于上述考量因素,应对同意进行分层化设计。在完整的同意层级体系中,从最严格的特别同意到自由度极大的空白同意,应包容多元化的同意模式,满足不同的同意需求。信息越重要、利用风险越大,对同意的要求就应当越严格。至于其中究竟应包含几种同意模式,很难以量化的方式表达。只要不违背法律的强制性规定,知情同意模式设计可以是无限多样和个性化的,包括但不限于特别同意、概括同意、空白同意、推定同意、指定信息共享范围的同意、排除特定目的利用之约款等等。在分层化的众多知情同意模式中,于个案中究竟应选择适用何种模式,涉及到同意模式的确定机制。知情同意模式的最终确定大体存在三种机制:约定机制、法定机制和酌定机制。在信息自决理念下,约定机制应被置于优越地位,何种信息应被告知、有效同意的宽严标准,均应首先依当事人的合意而确定,尊重信息主体本人的决定。对于敏感性高、利用风险极大的情形,个人决定不足以自保的,可以由立法直接规定较为严格的知情同意模式。而在信息处理涉及重大公共利益等特殊情形,法律可对知情同意作出限制或者豁免。除非是法律的强行性规范,当事人可以凭特别约定排除法律的规定。在既不存在法律规定也不存在当事人约定的情况下,应根据知情同意原则的一般原理作出解释适用。在纠纷解决程序中,知情同意是否适当则应由裁判者根据个案中的情况进行酌定。还需特别强调的是,对于宽泛型的同意模式的适用,应实行更严格的条件限制,包括接受主管机关的特别审查。

   3.持续有效的信息披露与动态同意

   传统的知情同意是一次性的,知情同意书的签署既是个人权利行使的开始,也是结束,这种僵化的模式无法满足大数据时代信息频繁处理和多次利用的需求。改革中,需要使知情同意成为一个长效机制,一方面信息披露应该持续有效地进行,另一方面应该使同意得以实时更新。

   信息主体同意能力的欠缺使同意的有效性大打折扣,而信息不对称是导致这种状况的根本原因。知情是同意有效的前提,大数据时代的同意困境,在一定意义上是知情的困境。在一次性的知情同意模式下,信息披露只发生在信息收集阶段,对个人信息后续被作何种利用,信息主体无从得知,更谈不上作出新的同意。这就使个人对信息的自决权在一次行使后即告用尽,失去了对未来利用的控制。要摆脱这一困境,使个人的知情能力和同意能力得以补强,应实行持续的信息披露,使信息主体得以全程追踪信息的利用,并根据变化了的风险作出新的决定。在这一新机制下,信息处理者的告知义务不因一次履行即消灭,而应持续不断地发生。同意也不是一次性的,而是可以作出灵活调整,包括限制个人信息的使用范围、撤回同意等等。

   持续的信息披露还需高度关注其有效性。隐私政策是信息处理者履行告知义务的主要形式,然而在现实中,隐私政策存在保护不足和作用虚化的问题,难以起到使信息主体真正知情的实效。这一问题在2017年顺丰与菜鸟的数据之争中充分暴露出来,快递公司在隐私政策中只是笼统地表示可能分享消费者的个人信息,但是消费者根本无从得知自己的信息如何被分享、分享给了谁。[68]信息主体在知情方面的障碍,一是源于信息获取的不足,二是源于理解能力的欠缺。要排除这些障碍,首先,应关注披露对象的选择,即究竟应向信息主体告知哪些信息。告知的事项务求清晰、具体,重要事项不能有遗漏。不过,需避免的一个认识误区是信息越多越好。当个人面对大量难以读懂的信息时,易产生挫败感。信息处理者为避免披露不足的责任,可能采取信息轰炸的方式,这对信息主体而言不是一件好事。基于此,应对披露的信息进行过滤,不追求毫无遗漏,而只披露实质信息。所谓实质信息,就是对于同意的决定可能产生影响的相关信息。决定哪些信息是实质性的本身是一个困难的事情,对此可利用大数据分析的手段,筛选出个人最希望获知的信息,就如同电商网站对消费者消费习惯的大数据分析。大数据在给知情同意原则造成困境的同时,也内生了化解困境的技术基因。对于个人明确表达的信息接受偏好,则应当予以尊重,网站应设计有征询信息主体信息获取偏好的机制与技术通道。其次,信息披露应以足够明显而能引起信息主体注意的方式进行,并使用易于理解的语言。信息主体常常注意不到隐私政策中的关键条款,而且不能理解一些专业性条款。信息处理者应采取一些特别手段,让信息主体看得到、看得懂被告知的内容。实践中,一些大数据处理者在隐私政策中对关键信息用加粗字体、标红的方式提醒个人注意,对专业性术语进行专门的解释——包括提供更详细解释的链接服务,采取弹出窗口的方式强化告知。基于持续有效的信息披露,信息主体能够享有对同意作出实时更新的权利,根据变化了的利用场景与风险,对原有的同意作出修正,包括对同意的范围进行更改、删除个人信息,乃至于撤回同意和注销账号。

   在操作层面,信息处理者必须为信息主体获取信息、管理信息、更新和撤回同意提供方便易行的技术通道。无论是持续的信息披露还是动态同意,都需要一个良好的沟通平台作为桥梁,以有效连接起信息处理者和信息主体。网络技术的发达提供了这种可能,知情同意的电子化、网络化正在成为一个发展趋势。良好交流平台的建设有利于促进信息主体与信息处理者的持续互动,以实现多次的信息披露和同意的实时更新。持续披露和动态同意可能带来成本增加的疑虑,不过,通过高科技手段,成本可以被大大降低,困难可能被想象夸大了。便利的、对使用者友好型的交流平台,是化解知情同意困境的技术化解决方案。[69]

   探索更好的知情同意实践的努力正在进行中。2017年7月,中央网信办、工信部、公安部、国家标准委联合开展了隐私条款专项工作,对微信、京东商城、高德地图、携程网等10个著名互联网产品和服务的隐私政策作出评估,9月公布了评估结果,还签署了加强隐私条款和个人信息保护的倡议书。专项行动产生了示范效应,包括京东在内的一大批著名互联网企业纷纷修改、更新隐私政策,实行更高层级的保护,例如,以增强告知或即时提示的方式给予用户明示选择权,允许用户即时撤销授权,对新的利用征集新的同意,提供便利的在线查询、更正和删除其个人信息的方式等等。这些新的尝试正在改变知情同意的面貌,使之朝着更加动态化、智慧化的方向前进,这对于化解大数据之困不无益处。

   4.有条件的宽泛同意+退出权模式

   在分层化的同意设置中,宽泛型同意具有突出的意义。大数据处理的目的不确定性与知情同意明确具体性要求的冲突是制度重塑中待解决的一个主要矛盾,如果令数据处理者对每一次利用重新获得同意,将使其陷入无休止的同意征集负累中。为解决这一问题,需处理好同意的具体与宽泛之间的关系。同意应当是具体的,其作为原则性要求应当被保留,与此同时,应当容许宽泛的同意在一定范围内有条件地存在。由于在个人信息采集之初,无法对未来的大数据处理用于何种目的作出全面准确的预估,因此,要使同意精确入微几乎是不可能的。对此,一个解决问题的思路是增加同意的涵摄性,使其得以容纳更多的处理利用,此即宽泛的同意模式。

所谓宽泛同意是一个框架性、描述性概念,泛指对信息披露和同意标准的要求较低的高度概括的知情同意模式。从概念的外延来看,(点击此处阅读下一页)

    进入专题:   知情同意原则   大数据   个人信息保护   生物资料库  

本文责编:陈冬冬
发信站:爱思想(http://www.aisixiang.com),栏目:天益学术 > 法学 > 宪法学与行政法学
本文链接:http://www.aisixiang.com/data/113774.html

0 推荐

在方框中输入电子邮件地址,多个邮件之间用半角逗号(,)分隔。

爱思想(aisixiang.com)网站为公益纯学术网站,旨在推动学术繁荣、塑造社会精神。
凡本网首发及经作者授权但非首发的所有作品,版权归作者本人所有。网络转载请注明作者、出处并保持完整,纸媒转载请经本网或作者本人书面授权。
凡本网注明“来源:XXX(非爱思想网)”的作品,均转载自其它媒体,转载目的在于分享信息、助推思想传播,并不代表本网赞同其观点和对其真实性负责。若作者或版权人不愿被使用,请来函指出,本网即予改正。
Powered by aisixiang.com Copyright © 2020 by aisixiang.com All Rights Reserved 爱思想 京ICP备12007865号 京公网安备11010602120014号.
易康网