吕炳斌:个人信息保护的“同意”困境及其出路

选择字号:   本文共阅读 634 次 更新时间:2021-09-27 06:47:48

进入专题: 个人信息保护     告知同意     行为区分说     民法典     解释论  

吕炳斌  
离法律设想的理性、自觉的知情同意相去甚远。在同意规则的实施中,应当将个人从疲于应对的状态中解放出来。

   (三)告知同意的内在悖论

   除了上述结构性问题和认知问题之外,告知同意还存在内在悖论。这也是导致告知同意机制实施困境的重要原因。(1)隐私政策、个人信息保护政策在“充分告知”和“简单易懂”之间存在一个根本性的悖论。(21)充分告知会导致内容冗长,致使个人不愿投入时间去阅读和理解;简单易懂的告知可促进个人的阅读,但往往难以传递复杂的内容,难以促进和保障个人的知情。(2)在同意与否的选择之间也同样存在一个悖论。在现实中普遍采取接受或不接受的二选一模式。在此之外增加选项,似乎可扩大个人的选择空间,但也将带来新的问题。选项的多样化会增加复杂性,相应地会带来更大的混乱风险,(22)未必总是有利于个人。(3)告知同意规则的实施在强度上也存在悖论。根据法治的基本理念,法律规则应当严格实施。然而,一律以最严格的态势适用同意规则,其结果将适得其反,未必有利于强化对个人信息权益的保护。具言之,信息网络服务商会发出更多的同意请求,对用户造成更多的干扰;信息网络服务商也会告知更多的乃至超负荷的信息,使用户难以有效阅读和理解。然而,用户却缺乏有效的选择空间,仍不得不以同意个人信息的采集和利用为条件接受服务,进而会导致用户对信息网络服务商发出的同意请求更不敏感,在绝大多数场合直接点击同意,同意规则的实效将更加糟糕。(23)可见,同意的强度并非越强越好。这也意味着在实践中不宜一味追求严格的同意要求。总之,告知同意机制存在内在悖论,其实施中难免遭遇困境。并且,内在悖论的存在,也意味着这一困境无法得到彻底解决,只能试图缓解。

   (四)小结

   告知同意规则旨在改变个人信息的处理者与提供者之间的信息不对称状态,致力于保护个人信息权益,有其存在的必要性和正当性。然而,告知同意机制具有内在缺陷,其实施将面临困境,很可能流于形式。规则形同虚设,会使法律的整体实效大打折扣。法律不能被有效实施或实效不佳,也会影响人们对法治的信任和期待。如果以最严格的要求实施告知同意规则,那么又会加剧个人面临的告知过度、信息过载、同意过频、疲于应对等问题,难以使该规则担当起个人信息保护的基础性规则的重任。那么,如何化解告知同意规则的实施困境?在立法明确纳入这一规则的背景下,放弃和废除这一规则的观点已不可取,解决问题的方案应当是改善法律规则的实施,从而促进其有效性的发挥。

   三、现有解决思路的不足

   (一)抽象的场景导向理念

   面对同意规则在实践中的僵化,探寻弹性合理的适用方法和判断标准,在个人信息保护和利用之间构建一个动态的利益平衡空间获得了学者的推崇。(24)有论者在比较法研究的基础上,建议引入场景导向的理念,对个人信息的处理行为进行风险评估,依据风险的高低程度适用不同的同意要求;甚至,在风险属于可预期范围、信息处理行为合理时,豁免同意要求。(25)也有论者在吸收场景理念和风险理念的基础上,提出建立在场景和规则遵循情况之上的“情景合理测试”,具体考虑因素包括环境、时空、行为等场景要素以及风险控制能力等规则遵循情况。(26)然而,纳入场景、风险等因素的考量,并不能提供明确的判断标准。即使在此学说提倡者的进一步论述中,合理、可预期、风险高低等的判断仍具有高度的不确定性,难以为个人信息利用关系中的各方提供明确的行为指引。在基于场景和风险导向理念的多因素判断法背后,隐含着动态体系论的方法论基础。该方法论导致的规则弹性化,为部分学者所推崇,并被赋予过高的期待,但一不小心,就会滑入自由法学的泥潭,造成过大的自由裁量空间,进而致使法律规则的实施存在恣意和不确定性,影响法的安定性。(27)为克服这一弊端,动态体系论要求要素的限定性,具体包括“要素是哪些要确定”以及“要素的数量要有确定性”。(28)然而,场景和风险导向理念出于对法律效果的弹性化追求,并不能提出明确限定的要素,更不用说赋予这些要素不同的权重,从而提供理性的、可反驳的法律论辩平台和法律解释空间。场景和风险导向理念存在的恣意和不确定性只会加剧个人信息保护和利用中的乱象。

   (二)不易界定的敏感信息与一般信息

   另一种思路是区分敏感信息与一般信息,施加不同的同意要求,从而改善规则的实施。这其实是一种着眼于客体的场景化区分对待的思路。2013年2月1日实施的国家质量监督检验检疫总局、中国国家标准化管理委员会《信息安全技术公共及商用服务信息系统个人信息保护指南》(GB/Z 28828-2012)第5.2.3节即采用了这种两分法。《个人信息保护法(草案)》的立法也延用这种思路,在草案中专设一节规定敏感信息的处理规则,其中提高了对处理敏感信息的同意要求。(29)然而,这种界分法存在不确定性,极大地影响了这种思路的可行性。首先,敏感信息的概念难免存在模糊性。《个人信息保护法(草案)》第29条规定“敏感个人信息是一旦泄露或者非法使用,可能导致个人受到歧视或者人身、财产安全受到严重危害的个人信息”,并进行了举例说明,包括宗教信仰、民族、种族、个人行踪等信息。该定义试图将敏感信息与隐私中的私密信息相区别,但仍然存在“可能导致”“严重危害”等不确定因素,而这会影响对敏感信息的认定。其次,敏感信息的本质和关键在于信息的敏感性,而个人对信息的敏感度会受到文化传统、教育背景、生活经历和法治环境等外部因素的影响。不同的个人、不同的群体对敏感信息的认知会存在差异,很难得出一个完全一致的确定性结果。例如,有学者就中美大学生对敏感信息的感知进行实证调研,发现中国大学生的平均敏感度高于美国大学生,但美国大学生在电子邮件内容等事项上的敏感度则明显高于中国大学生。(30)最后,敏感信息的认定,也难免纳入对情景和风险等因素的考量。由于敏感信息的判断依赖于敏感度的认定,存在不确定性,因此以封闭式列举的方式对敏感信息加以明示列举存在弊端,对其弥补的措施是辅之以个人信息处理的情景和目的等因素的综合考量。(31)这就增加了敏感信息的判断难度,并会导致不确定性。以最常见的上网储存在用户本地终端上的数据为例。网站收集储存在用户本地终端上的数据既可能是信息网络服务的必要(为提高用户体验),也可能是为了绘制个人数字画像,进而进行自动化分析和决策。对于前者而言,此时处理的信息并不敏感,而在后一场合,储存在用户本地终端上的数据就变成了敏感信息。可见,同样的信息在不同的情境下的敏感度存在区别。综上所述,基于敏感信息与一般信息的区别差异化适用同意要求,首先会面临敏感信息与一般信息的认定困难,而这会严重影响同意规则的适用。笔者赞同对敏感信息提供特殊保护,但一般信息与敏感信息的区分对待在解决个人信息保护的“同意”困境方面作用有限。

   (三)并不可靠的“匿名化”

   除上述两种方案之外,还有一种方案是鼓励匿名化处理个人信息。这种方案也聚焦于作为客体的个人信息。长期以来,国内外个人信息保护立法均将匿名化当作灵丹妙药,《民法典》第1038条也将“经过加工无法识别特定个人且不能复原的”作为个人信息保护的例外。匿名化似乎为个人信息保护找到了出路。有学者就认为个人信息的匿名化处理可产生豁免知情同意的效果。(32)这似乎也可以缓解“同意”困境。然而,这种观点是建立在匿名化技术足够可靠的假设之上,但这一假设可能与现实不符。(1)匿名化技术和重新识别技术好比一对处于对抗游戏中的竞争技术,从目前来看,重新识别技术更胜一筹。有学者甚至认为它“占据了永久的优势”。(33)在计算机科学中,不断有人基于各种目的研究“去匿名化”算法。(34)即使经过匿名化处理,在数据中剩余的琐碎信息也可能和外部的辅助信息相结合,用来解锁身份。实证研究亦表明,在匿名数据中重新识别出个人并不困难。(35)法律鼓励匿名,但信息技术的发展已可使得个人信息在“可识别”与“不可识别”的双重维度中摇摆动荡。(36)(2)在大数据技术背景下,彻底的匿名化更不可能,因为大数据分析可以使残缺的个人信息互相关联和重新组合,再度识别出个人。随着大数据的聚集和外部信息的丰富,解锁匿名数据中的模糊身份的概率也会相应递增。早在20余年前,科研人员就已经认识到匿名化在理论上的局限性,并放弃了强大的匿名化假设。(37)在大数据时代,匿名化的局限性更为凸显。(3)在数据的效用与个人信息的匿名化之间存在着一个根本矛盾。信息越是匿名,数据的效用就越低。因此,数据处理者存在巨大的经济动机使数据信息处于匿名与不匿名的中间模糊地带。任何有用的数据集合都不可能处于完全匿名状态。随着数据实用性的提高,其包含的信息内容就会越多,对隐私和个人信息的保护就会相应降低。正如有的学者指出的那样:“数据既可能是有用的,也可以是完全匿名的,但绝不可能两者兼而有之。”(38)

   由上可见,数据匿名化的作用有被过分夸大之嫌,试图通过匿名化来充分保护个人信息是一个虚幻的承诺,在实践中已被无情地打破。我们应该放弃对匿名化的盲目崇拜,否则匿名化的幻觉将继续掩盖个人信息的安全保护与流通利用之间的权衡问题。数据不可能被彻底匿名化,我们所能追求的是降低重新识别的风险。可能的出路之一是要求信息网络服务商、数据企业在数据交易时,不提供原始数据、基础数据,只提供大数据分析结果。虽然这能够堵住反向识别之路,但也会导致数据的效用大幅降低。可能的出路之二是在法律上施加“禁止反向识别”要求。(39)然而,这一要求在执法层面会面临困境。重新识别、反向识别往往是在企业内部进行的,或由个人私下操作,在监控上存在难度。可见,匿名化技术并非解决上述问题的灵丹妙药。着眼于客体的思维难以为解决“同意”困境觅得良策,我们需要超越客体思维,从行为的角度去求得更佳的出路。

   四、“同意”困境的解释论出路

   (一)告知同意的规范内涵

   1.告知的规范内涵和程度要求

   根据《民法典》第1035条第1款第2、3项的规定,信息处理者履行告知义务的方式是“公开处理信息的规则”和“明示处理信息的目的、方式和范围”,即采取公示的方式进行告知。如前文提及,法律上有将一方告知推定为对方知情之意。显然,并不是所有的告知都会导致对方的知情。告知应当满足一定的程度要求,以便促进对方知情,从而有助于缓解告知同意机制中的困境。立法规定告知义务旨在解决个人信息处理中的信息不对称的问题以及维护自然人的个人信息自决权益。为实现这两个目的,告知的程度应当至少满足以下两点:(1)告知应当达到足以令相对人注意的程度,从而有助于解决信息不对称问题;(2)与格式条款的提请注意义务类似,告知还应当给人以该文件载有足以影响当事人权益条款的印象。(40)告知文件也应当将此类条款重点标出,以便引起个人的重点关注,减轻个人的阅读成本。进一步而言,在判断告知是否达到合理程度时,应当采用通常理性人标准,在网络空间即为普通网络用户标准。告知文件应当清晰明白,也应对包括处理行为的潜在风险在内的重点事项进行说明,以便具有通常认识能力的一般人理解。法律上对告知的程度要求只能如此,而无法进一步确保被告知者的充分知情。这在本质上是基于私法自治的原理,被告知者是否愿意充分知悉告知内容是其自由,由其自行选择。法律上只能确保提供知情的机会,却无法强制性地保障某人知情。事实上,信息也不可能强塞进某人的大脑。当被告知者可以知悉告知文件中载有影响其权益的条款时,也应当付出时间和合理的努力,去阅读和理解这些文件。毕竟,从一方告知到另一方知情之间的间隙,需要告知者和被告知者双方共同努力去消除。

   2.同意的规范内涵

根据《民法典》第1035条第1款第1项的规定,除了法律、行政法规另有规定的例外情形,处理自然人个人信息必须满足的条件之一是“征得该自然人或者其监护人同意”。(点击此处阅读下一页)

    进入专题: 个人信息保护     告知同意     行为区分说     民法典     解释论  

本文责编:陈冬冬
发信站:爱思想(http://www.aisixiang.com),栏目:天益学术 > 法学 > 民商法学
本文链接:http://www.aisixiang.com/data/128741.html
文章来源:《法商研究》2021年第2期

2 推荐

在方框中输入电子邮件地址,多个邮件之间用半角逗号(,)分隔。

爱思想(aisixiang.com)网站为公益纯学术网站,旨在推动学术繁荣、塑造社会精神。
凡本网首发及经作者授权但非首发的所有作品,版权归作者本人所有。网络转载请注明作者、出处并保持完整,纸媒转载请经本网或作者本人书面授权。
凡本网注明“来源:XXX(非爱思想网)”的作品,均转载自其它媒体,转载目的在于分享信息、助推思想传播,并不代表本网赞同其观点和对其真实性负责。若作者或版权人不愿被使用,请来函指出,本网即予改正。
Powered by aisixiang.com Copyright © 2022 by aisixiang.com All Rights Reserved 爱思想 京ICP备12007865号-1 京公网安备11010602120014号.
工业和信息化部备案管理系统