吕炳斌:个人信息保护的“同意”困境及其出路

选择字号:   本文共阅读 636 次 更新时间:2021-09-27 06:47:48

进入专题: 个人信息保护     告知同意     行为区分说     民法典     解释论  

吕炳斌  
(66)可用于人格权具体规则的解释。在现实中个人信息处理行为多种多样,其分类可以从个人信息保护的价值基础上找到基准。这一价值基础既有立法上的依据,又有比较法和理论上的支撑,具有充分的正当性。个人信息保护需要落实到对处理行为的规范之中,对不同的处理行为的法律评价也应基于这一价值基准。据此,个人信息的处理行为可分为两大类型:(1)触及人格尊严和自由发展的个人信息处理行为;(2)与人格尊严和自由发展无涉的个人信息处理行为。这两大类型恰好可对应于同意的两种方式。这两大类型具有开放性,可容纳现实中多种多样、不断发展的个人信息处理行为。当然,这两大类型还略显抽象。为减少判断成本,进一步提供具体化的指引,还可在两大类型之下,根据现实中的个人信息处理情况,归纳出若干通常类型、典型类型作为其下的亚类型或子类型。在原理上,类型是规范与事实之间的中介,在其划分中,规范性因素和经验性因素均将参与其中。(67)以个人信息保护的价值基础为基准进行分类,考虑的是规范性因素;以个人信息处理情况为依据做进一步的类型塑造,考虑的则是经验性因素。在“触及人格尊严和自由发展的个人信息处理行为”这一大类之下,典型的子类型有:公开并向不特定对象出售个人信息或实施类似性质的行为,为了绘制用户画像的信息处理行为,即将人作为“客体”进行分析的处理行为。在“与人格尊严和自由发展无涉的个人信息处理行为”的大类之下,典型的子类型有:为了不针对特定个人的大数据分析而进行的信息处理行为,仅仅为了提供服务或维护系统正常运行而进行的信息处理行为。这些子类型只是目前的典型类型。在未来,随着实践的发展,对典型类型可以进行补充更新,但其划分和归类标准已经确立。如果有新的个人信息处理行为出现,那么首先可以运用类比思维,与上述典型的子类型进行比较,尝试将其归入既有的类型之中。至于类似性的认定,学界存在“构成要件类似说”“实质一致说”“同一思想基础说”“共同意义说”等不同的学说。(68)在探寻生活事实和典型类型之间的实质一致、思想基础相同或意义相同时,都难免涉及价值判断。此时,个人信息保护的价值基础依然可以发挥作用。其次,如果新的处理行为难以归入典型类型,那么可尝试直接依据前述两大类型的区分基准进行判断。最后,如果新的处理行为在是否触及人格尊严和自由发展的认定上存在难度,那么往往意味着其中的风险处于未知的领域,对此就应持谨慎的态度,可适用较为严格的同意要求。

   第三,同意强度的区分适用及其意义。同意规则面临形同虚设、名存实亡的实践危机,但并非无可救药。如前所述,告知以公示的方式进行,其灵活性有限,但同意的实施却存在较大的灵活空间。这为解决困境打开了通道。要缓解同意规则的实施困境,需要从同意强度的区分适用着手。同意有明示和默示两种方式,个人信息的处理行为也恰好可以分为两大类型。在此划分的基础上,对不涉及人格尊严和自由发展的行为类型适用默示同意可以使同意规则的实施产生灵活性;反之,对涉及人格尊严和自由发展的处理行为类型,坚持适用明示同意可以更好地维护个人权益。这种区分适用方法正契合同意规则的评价基础。当然,法律、行政法规也可以豁免前一类型中一些处理行为的同意要求,但若无明确的豁免,则其仍应适用默示同意的方式。依据不同类型的处理行为是否触及人格尊严和自由发展这一核心利益,区分适用明示同意与默示同意,不仅具有正当性,也具有可行性,并且有助于化解“同意”困境。(1)就个人而言,这一区分适用法在很大程度上可以将个人从同意过频、同意麻木和疲于应对的状态中解放出来,减少个人应付告知同意的时间和精力,同时使个人对可能影响其人格权益的信息处理行为更加敏感和谨慎,集中精力处理此类同意,从而提高同意的质量。(2)就信息处理者而言,互联网和大数据企业等信息处理者可能主张个人信息的敏感度不易把握、且依赖于场景和风险分析,从而难以判断个人信息是否属于敏感信息,但是信息处理者对由其自身主导的个人信息处理行为应有较为清晰的认识,这种行为是否触及自然人的人格尊严和自由发展也应当在其掌控之中。基于处理行为的类型去区别实施不同的同意方式,对其并不存在障碍。(3)就裁判者而言,若个人信息纠纷已经进入司法程序,则意味着被诉的侵害行为已经发生,此时法官只需重点对个人信息处理行为进行客观考察和分析,并可借助类型化思维,将之纳入典型类型,或与典型类型进行类比,较为轻松地判断该行为是否触及自然人的人格尊严和自由发展,从而区分适用明示同意与默示同意。这不仅可行,而且还可大幅度节省裁判成本、提高司法效率。

   五、结论

   我们不得不承认,告知同意规则存在内在的困境,但这一规则对于个人信息的保护又是如此重要,以致不能轻言放弃。也正是因为这一规则在个人信息保护规范体系中的基础性地位,我们必须孜孜以求地寻求更佳的出路和方案。将个人信息保护规范置于《民法典》的体系之下进行解释,在明确同意的规范内涵、不同强度和评价基础之上,提出基于处理行为的判断基准,即“行为区分说”:对不涉及人格尊严和自由发展的个人信息处理行为,可适用默示同意;反之,则应适用明示同意。经过本文的论证分析,这种方案具有正当性和可行性。由于在告知同意机制中存在内在悖论,“同意”的困境是难以彻底解决的,而只能缓解。“行为区分说”扎根于个人信息保护规则的解释论,即兼顾了法的安定性和法律体系的融贯性,又允许同意强度存在合理差异,配之以告知义务的合理程度要求,可在很大程度上化解告知同意机制中的结构性问题和认知问题,将个人从疲于应对甚至失控的状态中解放出来,提高同意的质量,从而提升规则实施的效果。在未来,随着实践经验的积累,同意规则的实施困境有望得到进一步化解。

   注释:

   ①参见张新宝:《个人信息收集:告知同意原则适用的限制》,《比较法研究》2019年第6期;万方:《隐私政策中的告知同意原则及其异化》,《法律科学》2019年第2期。

   ②参见姚佳:《知情同意原则抑或信赖授权原则——兼论数字时代的信用重建》,《暨南学报》(哲学社会科学版)2020年第2期;郑佳宁:《知情同意原则在信息采集中的适用与规则构建》,《东方法学》2020年第2期。

   ③参见高富平:《个人信息使用的合法性基础——数据上利益分析视角》,《比较法研究》2019年第2期;陆青:《个人信息保护中“同意”规则的规范构造》,《武汉大学学报》(哲学社会科学版)2019年第5期。

   ④《中华人民共和国民法典》第1035条第1款规定:“处理个人信息的,应当遵循合法、正当、必要原则,不得过度处理,并符合下列条件:(1)征得该自然人或者其监护人同意,但是法律、行政法规另有规定的除外;(2)公开处理信息的规则;(3)明示处理信息的目的、方式和范围;(4)不违反法律、行政法规的规定和双方的约定”。该条第2款规定:“个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等”。本文也将在广义上使用“个人信息的处理”这一立法术语。

   ⑤这也是比较法上的通行观点。我国台湾地区所谓的“个人资料保护法”第7条就将一般情况下的“同意”定义为“当事人经采集者告知本法所定告知事项后,所为允许之意思表示”。《欧盟通用数据保护条例》第4条第11款也将被告知作为同意的内在要素。需要指出的是,2020年10月公布的《中华人民共和国个人信息保护法(草案)》第14条规定:“处理个人信息的同意,应当由个人在充分知情的前提下,自愿、明确作出意思表示”。此条规定的同意以个人的“充分知情”为前提是法律无法保障的,会造成判断上的困难,应参照比较法上的经验予以修正。

   ⑥范为:《大数据时代个人信息保护的路径重构》,《环球法律评论》2016年第5期。

   ⑦任龙龙:《论同意不是个人信息处理的正当性基础》,《政治与法律》2016年第1期。

   ⑧在传统上,信息处理者一般通过“隐私政策”履行告知义务。2020年10月1日实施的国家市场监督管理总局、国家标准化管理委员会《信息安全技术个人信息安全规范》(GB/T 35273-2020)第5.5节要求个人信息控制者制定“个人信息保护政策”。在该推荐性标准实施后,“个人信息保护政策”也可成为专门的告知文件。

   ⑨See Daniel J.Solove,Introduction:Privacy Self-Management and the Consent Dilemma,126 Harvard Law Review,1888-1893(2013).

   ⑩由于在现实中最为典型和重要的信息处理者是信息网络服务商和数据企业,因此本文主要以这些企业的信息处理行为为探讨对象。

   (11)参见张新宝:《个人信息收集:告知同意原则适用的限制》,《比较法研究》2019年第6期。

   (12)See Omri Ben-Shahar & Carl E.Schneider,The Failure of Mandated Disclosure,159 University of Pennsylvania Law Review,658-665(2011).

   (13)See Aleecia M.McDonald,Lorrie Faith Cranor,The Cost of Reading Privacy Policies,4 I/S:A Journal of Law and Policy for the Information Society,563(2008).

   (14)参见远洋:《2020年第一季度中国网民人均安装63款App》,https://www.ithome.com/0/486/083.htm,2020-05-19。

   (15)参见《百度隐私政策总则》,http:///privacy.baidu.com/detail id=288,2020-05-06。

   (16)参见中国消费者协会:《App个人信息泄露情况调查报告》,https://www.sohu.com/a/251503286_100017648,2020-04-11。

   (17)杨滨:《北京市消协发布手机APP个人信息安全调查报告》,《北京晚报》2018年3月7日。

   (18)参见[美]菲利普·津巴多、[美]罗伯特·约翰逊、[美]薇薇安·麦卡恩:《津巴多普通心理学》,钱静、黄珏苹译,北京联合出版公司2017版,第115页。

   (19)See Farzaneh Karegar,John Sren Pettersson,Simone Fischer-Huübner,The Dilemma of User Engagement in Privacy Notices:Effects of Interaction Modes and Habituation on User Attention,23(1) ACM Transactions on Privacy and Security,5:1-5:35(2020).

   (20)See Hanbyul Choi,Jonghwa Park,Yoonhyuk Jung,The Role of Privacy Fatigue in Online Privacy Behavior,81 Computers in Human Behavior,42-51(2018).

(21)See Daniel J.Solove,Introduction:Privacy Self-Management and the Consent Dilemma,(点击此处阅读下一页)

    进入专题: 个人信息保护     告知同意     行为区分说     民法典     解释论  

本文责编:陈冬冬
发信站:爱思想(http://www.aisixiang.com),栏目:天益学术 > 法学 > 民商法学
本文链接:http://www.aisixiang.com/data/128741.html
文章来源:《法商研究》2021年第2期

2 推荐

在方框中输入电子邮件地址,多个邮件之间用半角逗号(,)分隔。

爱思想(aisixiang.com)网站为公益纯学术网站,旨在推动学术繁荣、塑造社会精神。
凡本网首发及经作者授权但非首发的所有作品,版权归作者本人所有。网络转载请注明作者、出处并保持完整,纸媒转载请经本网或作者本人书面授权。
凡本网注明“来源:XXX(非爱思想网)”的作品,均转载自其它媒体,转载目的在于分享信息、助推思想传播,并不代表本网赞同其观点和对其真实性负责。若作者或版权人不愿被使用,请来函指出,本网即予改正。
Powered by aisixiang.com Copyright © 2022 by aisixiang.com All Rights Reserved 爱思想 京ICP备12007865号-1 京公网安备11010602120014号.
工业和信息化部备案管理系统