論網絡環境下知情同意原則保護的完善

論網絡環境下知情同意原則保護的完善

摘要

知情同意是個人信息保護法的一項重要原則，它主要是通過知情同意的強制性程序來保護信息主體的正當利益。隨着計算機技術的迅速發展,信息數據的交流越來越便捷，使知情同意原則面臨着同意困境的嚴峻挑戰。

本文認為，一方面，出於對錶示同意後產生的結果沒有客觀認識、沒有行使權利的自覺性以及被迫同意等原因，導致信息主體告而不知，同意是否有效遭到質疑；另一方面，知情同意原則會形成巨大的經濟成本和社會成本，不利於信息行業的發展和社會的進步。因此，同意困境應當如何破解成為擺在我們面前無法迴避的難題。信息收集者以何種方式盡到通知義務方能讓信息主體知情？信息主體不夠知情的同意是否有效？知情同意原則還有無存在的必要？構建一套科學合理的知情同意體系既有助於加強我國個人信息保護，也可以推動網絡環境產業發展，是我國在網絡環境時代發展的客觀要求。

關鍵詞：知情同意原則；個人信息保護；網絡環境

1、緒 論

1.1 研究背景

知情同意最初的使用場合其實是醫學領域[1]，作為醫學中的一項基本原則，其原意是指醫生在向患者進行説明之時，應當保證有相當的與患者自身權利相掛鈎的信息被患者充分的瞭解，並且在患者對於該醫療方案、醫療行為等進行了明確的認識之後，基於其自由意志而對結果進行選擇與決定，以保證對於患者的自由意志權利以及身體權得到充分的保障。伴隨着時代的逐漸發展，該原則的適用範圍已然擴大，尤其是在個人信息的保護領域，其基本立足點乃是每個人都有權利對其自身信息的使用得到充分的瞭解，因此該原則在個人信息的保護上也發揮着重要的作用。

1.2 研究意義

在個人信息保護領域，知情同意主要強調其企業與政府在蒐集個人信息時確保個人的充分知情權利[2]。至於其內涵，有學者認為其淵源起源於康德和密爾的道德理論，也有學者認為是起源於黑格爾的忍的自由意志理論，即人的意志只有在決定之後才屬於現實的意志，因此決定的重要性需要確保本人對於與自己有關的事物應當自治自決，個人不應當處於被操縱的地位。

1.3 研究內容

伴隨着網絡環境時代的發展，互聯網、信息化等成為了現在信息的主要特點，數字化特性也表明現階段的信息性質已經發生了質的改變，信息不再是侷限於人們主動獲得，而是被信息收集者進行了蒐集與進行相關運用。在這個過程中，對於信息的控制不再是個人專屬的權利，逐漸演變成社會性的掌握，那麼原本依附於個人控制信息的最重要的合法性基礎——知情同意原則則受到了網絡環境時代的強烈衝擊。

2、網絡環境背景下知情同意原則概述

2.1 知情同意原則的涵義

知情同意原則，也有稱其為通知選擇原則告知同意原則[3]，其最基本的內涵簡單來説就是在獲取信息一方獲取到個人的相關信息時應當對於被收集信息人進行説明使其瞭解並徵得同意。那麼具體來説，其含義則在於兩個層面：一是知情，即被收集信息的一方對於自身信息被收集情況具有一定的瞭解與認識；二是同意，即被收集信息的主體在知情的前提下對於收集信息的一方所做出的行為的同意與許可。其主要目的在於避免雙方處於信息不平等的狀態，以期更好的保障個人的自由意志。

在個人信息保護領域層面，我國最早提出知情同意原則應當追溯到2012年全國人大頒佈的《關於加強網絡信息保護的決定》[4]，由於知情原則的本質目的在於約束信息收集一方，保護被收集信息者，而信息收集一方往往是企業等對於信息有一定利用的主體。針對該種情況，該決定明確了企業在收集信息時應當用明示手段對於信息的收集、利用、方式和目的進行明確説明並獲得對方同意。知情同意原則在保護個人信息上影響力巨甚，甚至有學者認為該原則在個人信息保護上的地位可以等同於意思自治原則在民法中的地位。

但是在我國現行法律淵源中並無相關的對於個人信息的描述。比較法上，歐盟將個人信息保護置於一般人格權概念之下，作為人格權的延伸被納入保護範圍；美國則是將個人信息保護作為隱私權的下屬權利，以對自身信息的控制權利作為保護理由。綜上所述，筆者將個人信息總結為：人格尊嚴不容侵犯、自由發展不受限制、生活安寧不被打擾。而知情同意原則恰恰是為了實現該目的而產生的制度體現。

2.2 知情同意原則的淵源

目前對於個人信息保護立法的理論來源主要有二，其一為德國學者施泰姆勒首先提出的，在他的論述中，信息自決權的概念為人們有對自己所處環境進行一定的認知並得以作出相應決定的權利，即信息自決論[5]；除此之外還有學者將其個人隱私權闡述為每個人對自己私生活的管理和控制，並且認為它的主旨是維護本人對自己個人信息的支配權，而不是去制約他人對本人私生活鄰域的侵犯，該理論被稱為信息隱私權理論。無論是上述何種理論，其核心均強調信息主體對個人信息的掌控和支配，因此有學者將這兩種理論統一歸納為個人信息自主控制模式。

2.3 知情同意原則確立的必要性

當然，正如意思自治一樣，信息主體知情同意的權利不是也不是絕對的[6]。一則意思自治給予人們寬泛的自由，但這種自由並不是毫無約束的。在面對國家、社會、他人合法權益時，作為意思自治原則在個人信息領域體現的知情同意原則也並非毫無限制。

3、國內外知情同意原則立法保護的現狀

3.1 我國知情同意原則保護立法現狀

關於上文中的《決定》內容，其雖然提及了知情同意原則，但是在當時也只是原則性的規範，並無相關具體操作的細節[7]。因此在法無明文規定告知形式、如何保證同意以及確定同意方式的前提下，司法實踐中也無法具體操作。此種情況在2013年修訂的《消費者權益保護法》第14條和第29條也是如此，但是不得不説對於知情同意原則的提及仍然是一項重大的進步。

近些年來，知情同意原則在法律制度層面正在不斷的充實與壯大。2020年10月1日實施的《信息安全技術個人信息安全規範》（以下簡稱《信息安全規範》）明確了知情同意原則的規範結構，區分了個人信息，規定了授權同意和明示同意，解釋了敏感信息的知情同意，並規定了知情同意的例外[8]。之後，《信息安全技術個人信息披露與同意指南》（草案）對個人信息、個人敏感信息、個人信息控制人，這兩個國家標準是我國對個人信息保護較為系統和具體的規定，是對知情同意原則結構規定在規範層面的進步。

3.2、 國外知情同意原則保護及立法模式

3.2.1 歐盟：嚴格知情同意原則

由於歐盟將個人信息保護作為公民的一項基本權利，因此對個人信息保護的規定十分嚴苛，這種嚴苛也體現在信息收集、利用過程中的知情同意上。在《1995年個人數據保護指令》（以下簡稱95指令）中，信息主體明確同意即成為了合法處理個人信息的首要情形。不僅如此，在 2016 年頒佈的用於替代《95指令》作用的《一般數據保護條例》中明確了六種處理個人信息的合法情形，其中第一種即為信息主體同意[9]。從同意權作為控制個人信息的一般價值看，後五種情形可視為信息主體同意的例外情形。知情同意原則並沒有隨着網絡環境時代的發展和學者們的質疑得到絲毫削弱，反而不斷被強化。

3.2.2 美國：基於行業自律的知情同意原則

美國的行業自律模式中的建議性行業指引以及網絡隱私認證計劃是獨具特色的。交由隱私權保護自律組織制定相關的行業指引，參與該組織的成員承諾遵守其指定的相關隱私政策。但事實上，在線隱私指引只能為組織的成員提供一個可參照的模板，組織成員需要承諾自己制定的隱私保護政策的保護力度符合組織行業指引的要求。網絡隱私認證計劃並不是官方機構的知情同意保護模式，而是近似於張貼相關的網上隱私標誌，從而讓人們能夠選擇那些自願遵守相應的規則的網站，另一方面也能體現出運營商自身對於該規則的遵守意願。這種認證標誌實際上也就具有表現商業信用的作用，對於商業信譽的提升有一定的積極意義。

4、網絡環境背景下知情同意原則保護存在的問題

4.1 信息主體的同意存在有效性難題

4.1.1 告知形式化：告而不知

在一項中國互聯網協會發布的報告中顯示，約有一半以上的網民認為個人信息受到了較為嚴重的泄露，超過五分之四的網民或多或少感受到了關於信息泄露進而對自己生活產生的影響[10]。該數據顯示我國對於個人信息的保護力度不足，雖然法律規範在逐步趨於完善，但是社會中的問題依然無法得到解決。結合一份依據《網絡安全法》為基礎的針對500網站的實證分析報告，半數以上的敏感信息網站與商業網站對於告知義務都持支持狀態。該數據説明，至少在商業領域承擔相關義務的運營商還是佔了大多數。但是，出乎意料的是政府和教育機構主動承擔起該項義務的比例反而最低。除了該報告之外，另一項關於10家社交網絡的相關調查也體現出商業化的企業對於相關義務的承擔狀況更好。

現如今主要的矛盾點集中在兩個方面，一來是信息收集主體對於其信息告知的義務已然已經承擔與告知；但另一方面，卻是被收集信息主體仍然飽受信息泄露的苦惱之中。隱私政策在互聯網時代可以説是無處不在，據估計，已經有至少77%的網站發佈了自己的隱私政策。這表明如果排除非法信息採集的可能，非常多的信息主體似乎並不知道自己正在或者已經同意了一些什麼。而這並不完全因為信息收集者未盡到告知義務，更重要的原因是信息主體怠於行使權利，未瀏覽隱私協議即勾選同意。

4.1.2 信息主體對同意後果認知不足

知情同意機制暗含了一個基本前提，即理性人假設[11]。在這一假設下，個人應當基於理性做出自主決定來滿足自身需要，然而在現實中，信息主體對於同意後果往往認識不足，導致其做出的決定並非完全理性。

信息主體缺乏做出正確判斷的專業知識。在接受信息收集者服務的羣體中，計算機或者網絡環境專家只是極少數，大多數信息主體無法真正理解隱私協議中所列明的收集信息類別及原因、信息處理過程以及可能的危害後果。判斷收集、使用信息以及信息泄露可能帶來的影響等於是在預測未來發生的事情，在假設的未來情景裏考慮自己現在的選擇，對一般人而言難度較大。因此其做出的決定既有可能出於誤解而並非信息主體的真實意願，也無法通過知情同意保護機制來維護自身的合法權益。

4.1.3 信息主體缺乏知情主動性

信息主體自覺行使知情同意權的目的主要是保護個人信息安全，但其往往無法評估做出同意決定帶來的後果，也就無法正確認識慎重做出同意的重要性。信息主體積極行使知情同意權帶來的成本主要分為兩方面：閲讀隱私協議造成的直接成本和信息主體積極行使同意權造成的間接支出。卡內基梅隆大學研究人員的一項研究表明，一份隱私聲明的閲讀需要花費8-12分鐘，當代的快節奏生活使得公眾並不願意花費時間去進行仔細閲讀。其次，由於大部分隱私協議充斥着專業術語和名詞，較為晦澀難懂，也給閲讀造成了客觀上的阻礙。

4.1.4 信息主體被迫同意

現實中信息主體和信息收集者的地位實質性不平等，信息收集者總是更強勢一方[12]。對於信息主體而言，僅有兩個選項：全盤同意信息收集者提供的隱私協議、無法接受其提供的任何服務。許多以互聯網為依託的服務本身具有重大的壟斷性影響力。例如在使用 QQ、微信等即時聊天軟件，而這兩款軟件出品方——騰訊公司在國內市場即時通訊軟件領域事實上處於某種壟斷地位。如果騰訊要求信息主體提供某些個人信息作為使用這些軟件的對價，信息主體將很難拒絕。

4.2 知情同意產生巨大成本

4.2.1 經濟成本

知情同意產生的經濟成本分為兩類，一是信息收集者為了履行告知義務並徵得同意付出的成本，另一種則是信息被收集者為做出有效同意而付出的成本。美國社區銀行協會稱，設計、測試和發佈法律隱私政策通知的成本高達約數十億美元，因此每年進行告知而消耗的成本在2億至5億美元之間。在2001年該協會估算，向每個消費者發送通知的消耗的費用約為1.37美元，每家銀行的總費用約為120萬美元。可見，知情同意使得信息收集者承擔了無法忽視的了巨大成本。

4.2.2 社會成本

個人信息交流在任何社會都是無法避免的。信息保護的目的並不是為了孤立個人信息，而是為個人信息的傳遞和應用建立相應規則和選擇。但是，知情同意原則的立足點就在於個體對於自身信息所擁有的絕對決定權，意味着除非獲得迷宮卻的同意，否則原則上禁止收集者收集、使用和傳播，這必然會給信息的自由流動帶來一定的挫折。

信息不自由會導致公共秩序和公共福利受到影響。與公眾聯繫緊密的相關權利需要充分的個體數據進行綜合整理，可以説個人信息或成為相關決策依據數據庫的基礎。假若過分強調對於個人信息的保護以及對於知情同意原則的維護，那麼一些基本信息的獲取都會變得困難重重，費時費力並且最後的數據也可能與真實情況有着較大出入。例如，我國《徵信業管理條例》規定，無論是商業徵信機構還是國家設立的金融信用信息基礎數據庫，收集和使用個人信息原則上都需徵得信息主體同意。根據此規定的表述，對於負面信息的處理也一律按照正常信息處理，如此一來其實也非常明確的表述對於信息保護，無論是何種信息都應當獲得同意。但是該規定實際上也有着相應的缺陷，對於企業來説收集信息的成本 加大，並且也存在着對於收集到的信息的不全面而無法實現徵信系統的作用。

5、網絡環境背景下知情同意

5.1 完善知情同意原則適用過程中的立法保護

5.1.1 充分告知

出於對信息主體雙方地位上的不平等，在信息收集、利用過程中，理應適用告知後選擇和告知後同意的原則。在我國，目前信息收集者主要採取用户協議或隱私協議這些格式協議的方式來履行告知義務，並且很容易通過文字遊戲來規避告知義務責任的承擔。

除此之外，也可以在告知的具體方式和形式上加以改變，通過態度中立的第三方組織來保護個人信息。在這方面世界知識產權組織的一些做法就很值得借鑑，其通過圖標的形式對一些知識產權進行統一定義來使其更加通俗易懂，讓普通公眾也可以很容易的進行理解。因此我們在知情同意原則的適用過程中也可以這樣做，比如由第三方中立機構對隱私協議中經常出現的一些條款來進行統一的圖標或者是文字定義，讓它們變得更加簡潔明瞭，易於理解。

5.1.2 實質同意

我國尚未對於信息採取相應的分類措施，導致我國一刀切的對所有的個人信息進行知情同意原則保護，造成企業獲取數據難度提升，數據化社會進步緩慢；另外，也會造成在具體適用過程中往往過於流於形式。因此，可以從同意的分類進行入手，將同意區分為默示同意以及明示同意，本質上也是對於相關信息進行分類，確定哪些信息適用默示哪些信息必須明示。舉例而言，對於個人的敏感數據應當適用需要個人的明示同意才得以收集、適用；針對未成年人、公眾人物等特殊主體也應當進行區別對待，從而實現多方利益之間的平衡。

5.1.3 同意的撤回和例外

前文中也提及，民法典中有着對於個人信息的使用的豁免規定，具體而言指的是信息處理者對於已經公開的個人信息，並且其目的是為了維護社會公共利益的，那麼其對信息做出的合理處理不應當承擔民事責任。該規定對於合法合理使用個人信息進行了合法化的規定，進一步緩和了信息保護與使用之間的矛盾。

此外，《信息安全規範》中對於該種情況也有提及，更進一步將具體情形進行了説明，但由於效力層級較低，在具體的使用過程在還有諸多問題，也不足以起到影響知情同意原則在我國法律淵源中的結構作用。因此，筆者認為在未來的發展過程中，可以借鑑該規範中的部分具體做法，從而更好的促進個人信息保護的發展。

5.1.4 舉證責任

原則上在侵權案件中，舉證責任往往是根據誰主張，誰舉證的規則進行，但是在個人信息保護案件中，有學者認為應當對其進行舉證責任倒置規則，出於對雙方地位以及信息獲取不平等的角度考慮，此項措施具有一定的現實意義，對於降低個人的維權門檻，對個人進行二次保護有着重大意義。《通用數據保護條例》第7條第1款中對此也有相應的體現，對於個人產生的同意決定，信息處理者應當對其已經獲取的同意承擔證明責任，我國在未來的立法過程中也可以模仿此例進行規定，以便更好的保護個人權益。

5.2 引入其他知情同意保護機制

同傳統社會不同，現代社會已然成為了一個風險社會，在網絡環境時代背景下，由於科技的發展、數據處理技術的專業以及個人信息與個人本身的財產屬性與人身屬性聯繫更為緊密導致政府很難對於整個信息的收集使用過程進行全方位的監控，更多時候僅僅是由於侵權行為依然發生之後所採取一定的保護措施，這種情況下對於司法的要求更高，對於個人的取證與舉證能力也提出了更高要求，使信息保護產生了流於形式的可能性。因此，筆者認為應當在完善相關規範的基礎之上，以多元化的規制模式更好的對該問題進行應對。

5.2.1 事前告知階段

在整個知情同意的流程中，告知往往指的是信息收集者採取合同的方式對消費者進行説明與告知，但是同很多格式條款類似，具有主導權的一方往往使某些權利流於形式。為此，為了應對數據化時代的節奏，應當通過建立社會自我規制的結構，通過國家介入以期更好的引導整個行業的良性發展，具體措施可以採取建立起較為完善的風險評估工具對於個人信息安全的風險進行評估，進而對可能產生的問題進行提前預知。另外，也可以以行業內部獲取信息的流程與實踐中本行業個人信息處理中暴露的侵權問題建立起一個可以普遍使用的行業模板，由政府主導進而更好的保障個人的知情權。

5.2.2 事中持續信息披露

《信息安全規範》中對於個人信息的安全影響進行了分級，較為有針對性的對於個人信息進行了審查，對於不同級別的信息進行不同程度的保護，包括收集程度、處理方式等，進而歸納成為一套較為完整的評估體系。

（1）個人信息分類分級評估。根據《信息安全規範》表A.1關於個人信息的具體信息進行分類可以區別為個人基本資料、個人生物識別信息、財產信息、上網記錄等等，通過對於個人的社會評價以及物質利益掛鈎程度，從而制定出不同類別的保護細則。自上而下，可以分為需要特別同意、明示同意到自由度較大的空白同意，再發展到推定同意與默示同意階段。

（2）用户授權機制過程中的充分性評估。具體操作流程則為用户、使用數據方、處理數據方等主體都可以從一個公鏈中進行已經經過授權同意的信息，進而避免重複授權的困擾。另外，由於區塊鏈的穩定性與難以篡改，很大程度確保了信息的真實性。因此，此種模式最大的優勢就在於僅需要解決第一次知情同意的問題以及後續若授權主體撤回後的相關處理，其優勢非常明顯可以對現實問題提供一定的解決方案。

5.2.3 事後有效救濟

面對着現階段的互聯網平台治理現狀以及相關法律規範的只頂，平台治理模式也逐漸顯露出其優勢。該模式通過對行業自身主導的大量信息的整合，採用適當的算法進行預測，進而可以提前將知情同意原則的具體內容傳達給規制對象。

例如，以淘寶為例，最初淘寶依據人工處理投訴模式進而對雙方之間的糾紛進行解決，該種模式費時費力且效率低、成效差。到後期，淘寶平台充分的採用了網絡環境的優勢，從整體結構上對於個體化需求進行抽象上升為集體需求，進而再分類採取了維權規範與程序。例如，對於消費者的投訴結果與流程進行網絡環境整理之後，將其中的退款理由與原因進行梳理，形成相應的報告；再通過該報告建立起不同的處理流程。為消費者提供最合適的方案。

以淘寶為例，其糾紛解決機制的發展，實質上也能為知情同意原則的發展提供部分建議。在知情同意原則的事後救濟中，也可以採取此種模式對於網絡環境進行分析整理，提取出重點與常規解決方案，進而增加對於不同信息同意的分級分類以及動態同意的可行性，對於確保知情同意原則的確實實現有着重要意義。

知情同意原則是個人信息保護中的一項重要原則。在信息收集者、處理者這一主體與個人的地位不平等的關係中，權利人自身的知情且同意就成為了其能維護自己權利的最佳保障。面對着勢不可擋的網絡環境時代，更不能放棄對於信息自主的追求，知情同意原則更應當進行貫徹與落實。面對着落實的諸多困難，首先要建立其合理的知情同意規範結構，充分發揮主觀能動性，提高自身的創新能力，協調堅持與創新法律原則的關係。同意存在的問題是必然要接受的時代挑戰，無法避免。因此，知情同意原則作為個人信息保護的基石更應當被我們堅持。

參考文獻

[1]李立豐.《個人信息保護法》中知情同意條款的出罪功能[J].武漢大學學報(哲學社會科學版),2022,75(01):143-156.

[2]劉睿文.智能投顧領域投資者個人信息法律保護研究[J].福建金融管理幹部學院學報,2021,(03):17-23.

[3]易江鵬.個人信息保護中的知情同意原則:困境與出路[A].2021年世界人工智能大會組委會.《上海法學研究》集刊（2021年第5卷總第53卷）——2021世界人工智能大會法治論壇文集[C].2021年世界人工智能大會組委會:上海市法學會,2021:118-127.

[4]葉俊涵.權利屬性視角下個人信息的法律保護[J].西部學刊,2021,(11):56-58.

[5]錢宇欣.論個人信息保護中知情同意原則的反思與重構[D].重慶郵電大學,2021.

[6]吳磊.網絡環境視角下個人信息保護的知情同意原則研究[D].重慶工商大學,2021.

[7]範海潮,顧理平.探尋平衡之道:隱私保護中知情同意原則的實踐困境與修正[J].新聞與傳播研究,2021,28(02):70-85+127-128.

[8]熊峯,周寧,李曉燕,徐心怡,丁亞萍.知情同意原則在居家安寧療護中的應用探討[J].醫學與哲學,2021,42(04):19-21.

[9]郭旨龍,李文慧.數字化時代知情同意原則的適用困境與破局思路[J].法治社會,2021,(01):26-36.

[10]張愛國.個人信息知情同意原則中的知情問題研究——以方式為視角[A].西北政法大學經濟法學院、陝西省法學會金融法學研究會.長安金融法學研究（第11卷）[C].:西北政法大學經濟法學院,2020:340-353.

[11]寧園.健康碼運用中的個人信息保護規制[J].法學評論,2020,38(06):111-121.