1、第 卷第期 年月同 济 大 学 学 报(社会科学版)J o u r n a l o fT o n g j iU n i v e r s i t y(S o c i a lS c i e n c eE d i t i o n)V o l N o J u n 收稿日期:作者简介:刘颖,同济大学法学院助理教授.O r l yL o b e l,“T h eL a wo f t h eP l a t f o r m”,M i n n e s o t aL a wR e v i e w,(),p p 根据 国务院反垄断委员会关于平台经济领域的反垄断指南 第条第项规定:“平台经济领域经营者,包括平台经营者
2、、平台内经营者以及其他参与平台经济的经营者”.本文认为,其他参与平台经济环境塑造过程的经营者包括移动智能终端生产企业、网络接入服务提供者等.同时,中华人民共和国个人信息保护法 第 条提出了“提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者”的概念,该条所称“个人信息处理者”指平台经营者.E l e t t r aB i e t t i,“C o n s e n t a saF r e eP a s s:P l a t f o r mP o w e ra n dt h eL i m i t so f t h eI n f o r m a t i o n a lT u r n”,
3、P a c eL a wR e v i e w,(),p 【法学论坛】平台经济中个人信息“告知同意”的性质认定与规范解释刘颖,王佳伟(同济大学 法学院,上海 ;上海市人工智能社会治理协同创新中心,上海 )摘要:现有的实践显示,平台经济领域中个人信息的“告知同意”模式深陷困境:经营者的告知义务流于形式,信息主体的同意行为缺乏有效性,该模式未能平衡好保护个人权益和促进数据利用之间的关系.面对实践中的困境,须以法律解释方法,在明确告知义务与同意行为法律性质的基础上,寻求“告知同意”新的解释框架.告知义务兼具公法和私法属性.隐私政策仅是告知义务的履行行为,不应认定为合同,信息主体作出同意的表示是基于对
4、经营者和国家监管的信赖.构建“告知同意”新的解释框架,应以告知义务为核心,塑造以信赖为中心的互动环境.告知义务应朝着标准化和场景化发展,宜采用网络用户类群化标准判断,针对不同类别的信息主体确立不同程度的告知责任.而互信环境的建立,不仅需要明确信息主体的多项请求权基础,还应规范好平台经济领域的数据处理活动和竞争秩序.关键词:“告知同意”规则;告知义务;个人信息;平台经济;同意机制中图分类号:D 文献标识码:A文章编号:()第三代互联网商业模型(W e b )催生了众多大型数字平台,打破了传统的产业分类,塑造了全新的平台经济模式.按照 国务院反垄断委员会关于平台经济领域的反垄断指南 中的定义,平台
5、是指通过网络信息技术,使相互依赖的双边或者多边主体 在特定载体 提供的规则 下交互,以此共同创造价值的商业组织形态.平台经济是指以互联网平台为主导,协调资源配置,挖掘尚待利用的人力、数据、资本,重构生产要素体系的新经济形态.平台经济领域经营者(以下简称经营者)通过智能终端、A P I(应用程序接口)、S D K(软件工具开发包)、I o T设备、浏览器、传感器等自动收集用户的个人信息,并运用智能算法对用户进行数字“画像”,以此进行针对性营销、定制广告等行为.中华人民共和 国个人信息 保护法(以下简称 个人信息保 护法)确 立了以“告知同意”为核心的一系列规则,该模式已成为经营者在处理个人信息时
6、最为重要的合法性基础.然而,在固有的制度性缺陷、显著的权力不对称等因素的影响下,“告知同意”模式嬗变为平台经济领域经营者侵犯个人信息权益、无限制攫取商业利益的“自由通行证”.现有理论学说与司法实践一般强调以格式条款作为对“告知同意”规则进行规制的方式,缺乏针对告知义务和同意行为法律性质方面的深入探讨.本文在探讨告知义务和同意行为法律性质的基础上,剖析当前“告知同意”模式面临的困境,构建新的解释框架,以期发挥该制度应有的价值.同济大学学报(社会科学版)第 卷一、问题的提出:“告知同意”模式深陷困境平台经济不仅是商业的范式转变,也是法律理论的范式转变.个人在使用平台服务过程中对自身的信息数据无法实
7、际掌控,导致“告知同意”模式存在着“虚化”的风险,并使同意机制深陷困境.告知沦为经营者获取个人信息的程序性事项,同意也无法发挥使个人了解风险、有效控制个人信息的作用.(一)告知义务流于形式网络空间中的信息具有非竞争性和非排他性,随着数据应用链条的不断拉长,个人信息处理的场景愈发多样化,链条上的个人信息处理者也随之增加,告知作为确保用户“知情同意”的决定因素,面临着适应多样化场景的颗粒度挑战.实践中,经营者为降低成本,往往在隐私政策中以“一揽子”方式规定所有涉及个人信息的处理活动:或采用概括笼统的内容而未结合自身业务进行着重说明;抑或隐瞒某一步骤和某一关键信息;也可能是在未征得同意的情况下违规处
8、理个人信息.经营者对隐私条款内容、阅读界面显示、弹窗按键安排等具有绝对掌控力.研究表明,向个人展示通知的时间,以及通知的视觉设计和框架语言,都会影响用户作出与隐私相关的决定.在隐私条款内容上,经营者往往并未考虑普通公众的理解能力,其在隐私条款内容中采用专业的术语和冗长的篇幅,使得用户难以清楚地知悉个人信息被处理后的风险.在界面安排上,经营者设置复杂、不可回撤的步骤阻碍用户阅读隐私政策.例如,要求用户退出当前交易或浏览界面才能链接到隐私政策文件.在弹窗形式上,则设置较短的时限(包括倒计时的形式),促使用户跳过隐私政策.(二)同意的作出缺乏有效性同意作为独立的法律行为,具有改变作出同意之人与相对人
9、之间的法律关系的规范力量.因此,有效的同意不仅要求信息主体实际知悉,还要求该同意由信息主体自主作出.而在平台经济中,这两项要素都难以得到满足.信息主体的实际知情要素难以得到保障.由于隐私政策篇幅冗长且语言晦涩难懂,个人往往不会阅读这些隐私政策.即使用户进行了阅读,其在短时间内也无法理解将会产生怎样的实质风险.特别是平台经营者将智能算法应用于个人信息的分析,导致风险走向不可控的边缘.此外,个人信息保护法 多处规定了须取得单独同意的情形,由于依托平台技术的企业数量众多,个人使用对应服务都须进行相应的同意决策.诚如有研究认为,“同意”制度已然进入了“微观同意”(m i c r o c o n s e
10、 n t)时代,精细而看似无害的决策使得用户产生“同意疲劳”,因而无法清晰地理解每一个决策背后的意义.平台经济中的权力不对等显著影响同意的自主性.经营者往往将信息主体的同意作为使用相应服务的必要条件,用户首次登陆平台时,会出现“登陆/注册即表示您同意服务协议和隐私政策”的字样,甚至有些经营者在隐私政策中明确规定“本隐私政策属于服务协议不可分割的一部分”.这实际上混淆了个人信息处理的同意与签订互联网服务合同的同意,全国信息安全标准化技术委员会发布的 信息安全技术 个人信息告知同意指南(征求意见稿)第 条d)项指出,个人信息控制者应当将个人信息处理的同意与其他同意区分开来,不得将其隐匿在其他事项中
11、并使得个人信息主体接O r l yL o b e l,“T h eL a wo f t h eP l a t f o r m”,M i n n e s o t aL a wR e v i e w,(),p 刘颖:数字社会中算法消费者的个人信息保护体系构建,广东社会科学,年第期,第 页.W o r l dE c o n o m i cF o r u mR e p o r t s,“R e d e s i g n i n gD a t aP r i v a c y:R e i m a g i n i n gN o t i c e&C o n s e n t f o rH u m a nT e c
12、h n o l o g y I n t e r a c t i o n”,h t t p s:/w w w w e f o r u m o r g/r e p o r t s/r e d e s i g n i n g d a t a p r i v a c y r e i m a g i n i n g n o t i c e c o n s e n t f o r h u m a n t e c h n o l o g y i n t e r a c t i o n,第期刘颖等:平台经济中个人信息“告知同意”的性质认定与规范解释受.信息主体必须以合理的方式被告知自身的信息被谁收集、何时被收
13、集以及将用于什么目的.此外,有学者指出,受到人的有限理性、外部的可得性启发(认为熟悉的风险比不熟悉的风险更危险)以及经营者与 他 人 的 影 响,个 人 在 平 台 经 济 中 作 出 的 是 一 种“被 扭 曲 的 决 策”(s k e w e dd e c i s i o n m a k i n g).而经营者在信息、技术、资金上具有优势,大数据挖掘以及深度学习算法的应用能够让经营者进行操纵性引导,通过不断推荐和修正用户感兴趣的内容,潜移默化地改变用户的决策.同意必须是自主的,它不能是轻推、操纵、错误信念或知识差距的结果.如果同意是由系统性的、无形的权力实践所塑造的,那么这样的同意是无效的
14、.在大数据背景下,同意规则遭遇了危机.由于平台经济中权力的不对等,个人的同意在多数场合沦为反射性的动作,无法体现个人的真实意愿.二、厘清“告知同意”模式的法律性质“告知同意”作为个人信息保护的基础性制度已被成文法明确规定,面对实践中的困境,须运用法律解释方法,明确告知义务与同意行为的法律性质,并在此基础上寻求“告知同意”新的解释框架,保护好个人信息处理过程中的主体权益,促进数据发挥基础性资源的作用.(一)告知义务兼具公私法混合的性质“告知同意”是个人与平台经济领域经营者建立法律关系的前置程序.私法上,作为持续性合同的缔约方,经营者应承担 民法典合同编 规定的各项义务.告知义务涉及合同成立、履行
15、及终止的整个过程.经营者在订立合同过程中违反告知义务,故意隐瞒与订立合同有关的重要事实或者提供虚假情况,应当承担缔约过失责任.在合同履行过程中,经营者应根据合同的性质、目的和交易习惯履行通知、保密等义务.合同终止后,经营者应遵循诚信原则,根据交易习惯履行通知和保密等义务,例如,服务终止后经营者应通知用户其个人信息的后续处理方式.作为格式合同的提供者,经营者亦负有提示和说明与对方有重大利害关系的条款的义务,例如履行服务合同所必须收集的个人信息类别.由此可知,经营者承担合同法上告知义务的范围较广,但由于缺乏明确的规定,仅能依诚实信用等原则来推论义务的具体内容.在公法层面,网络安全法 第 条从网络信
16、息安全的角度规定经营者“公开收集、使用规则,明示收集、使用信息的目的、方式和范围”的义务.个人信息保护法 则规定了透明度义务,经营者不仅要向用户告知第 条规定的具体事项,还需要保持数据处理过程的透明度,以便能够向用户、监管机构证明其履行了相应的技术和组织措施来保障用户个人信息的安全.此外,经营者的告知义务必须满足相应的国家标准和行业标准,否则就会受到行政执法层面的制裁.因此,平台经济领域经营者的告知义务兼具公法和私法性质.隐私政策不是合同而是告知义务的履行隐私政策系经营者履行告知义务最主要的方式.不少学者认为,应将其界定为格式合同,发挥D a n i e l J S o l o v e,“I
17、n t r o d u c t i o n:P r i v a c yS e l f M a n a g e m e n ta n dt h eC o n s e n tD i l e mm a”,H a r v a r dL a w R e v i e w,(),p p E l e t t r aB i e t t i,“C o n s e n t a saF r e eP a s s:P l a t f o r mP o w e r a n d t h eL i m i t so f t h e I n f o r m a t i o n a lT u r n”,P a c eL a wR
18、 e v i e w,(),p p 梅傲、谢冰姿:个人数据反对权的欧盟范式及中国方案,德国研究,年第期,第 页.陆青:论消费者保护法上的告知义务 兼评最高人民法院第 号指导性案例,清华法学,年第期,第 页.“通信行程卡”服务宣告下线后,中国联通发布通告称,将同步删除用户行程相关数据,依法保障个人信息安全.参见 中国联通关于删除用户通信行程卡相关数据的通告,h t t p:/ww w c h i n a u n i c o m c o m c n/n e w s/h t m l,年 月 日.同济大学学报(社会科学版)第 卷合同法的调整作用.有学者提出,应当将经营性网站隐私声明之性质界定为格式合同
19、,也有学者认为,通过合同法调整隐私政策符合用户与网络服务提供者之间关系的本质特征.司法实践也往往将隐私政策视为用户与经营者签订的合同,如在“许昌与趣游时代北京科技有限公司网络服务合同纠纷案”中,法院将网络游戏注册页面中显示的“须勾选阅读并同意”的用户协议和用户隐私政策认定为预先拟定的格式合同.尽管从现有的讨论来看,隐私政策属于合同似乎并无争议,但本文认为,将隐私政策界定为合同既不符合现行法,也无任何必要.为平衡好个人信息处理过程中各方的利益,仅将隐私政策认定为告知义务的履行行为更具现实意义.首先,将隐私政策认定为合同不符合现有个人信息保护的规范体系.个人信息保护法 第 条第款第项前半句规定了经
20、营者可径行处理“为订立或者履行个人作为一方当事人的合同所必需”的个人信息,此条款中的“合同”指的是网络服务合同或买卖合同.若将隐私政策视为格式条款而成为合同的一部分,就会造成适用上的困境.为了履行该“隐私合同”,经营者所有处理个人信息的行为都具有合法依据,从而架空了“同意”制度.比较法上,欧盟 一般数据保护条例(G D P R)第条同样规定了“为履行数据主体作为合同一方当事人的必要(n e c e s s a r y)行为”.欧盟数据保护委员会(E D P B)指出,数据处理行为的“必要性”需要基于合同目的本身进行判断,而并非将数据处理行为作为合同的目的或标的之一.易言之,个人信息的处理行为不
21、能被视为一项服务而成为合同的标的.全国信息安全标准化技术委员会 年月日发布了国家标准 信息安全技术 个人信息安全规范(以下简称 个人信息安全规范),其中第 条的g)项注释明确指出,个人信息保护政策(隐私政策)的主要功能为公开个人信息控制者收集、使用个人信息的范围和规则.因此,不宜将其视为合同.其次,将隐私政策认定为合同不符合规范信息处理的原则.民法典人格权编 规定个人信息受到保护,这意味着个人信息权益是一项新型的人格权益.个人信息的保护是法律赋予个人干预信息处理过程的权利,其不同于姓名权人、肖像权人能够积极利用自己姓名、名称、肖像的权利,因此对隐私政策的同意不能被视为一项交易行为.另外,将隐私
22、政策视为合同就必须追问其合同目的.合同目的是典型交易目的,在某些情况下动机也可被认定为目的.经营者的动机或目的可以被认为是在获得用户的同意后进行信息处理的活动,但从用户角度来说,其目的很难被准确地界定.最后,将隐私政策认定为合同无法为信息主体提供充分的救济.用户购买商品或服务,已经与经营者形成了合同关系,隐私政策属于经营者履行私法上告知的义务,用户受到损害,完全可以通过私法上的请求权主张相应违约或侵权责任.在救济方式上,消费者权益保护法 第 条第、款将经营者的通知、声明、店堂告示等方式视同格式条款进行规制,将不公平不合理的通知、声明、店堂告示等内容视为无效.因此,通过类推适用,用户同样可以通过
23、主张隐私条款无效获得救济.更为重要的是,合同法的进路强调探究合同双方的合意,无法完全规制经营者的行为.“告知同意”饱受诟病的一个原因,就是经营者能够通过使用有关“知情同意”的自制合同从而绕开其法律责任.法院必须审查隐私政策以及经营者的处理活动是否符合法律规定、是否符合国家标准,而不能仅仅停留在双方意思表示万方:网站隐私声明的效力与解释规则,北外法学,年第期,第 页.王叶刚:网络隐私政策法律调整与个人信息保护:美国实践及其启示,环球法律评论,年第期,第 页.北京市第四中级人民法院民事判决书,()京 民终 号.E D P B,“G u i d e l i n e s/o nt h eP r o c
24、 e s s i n go fP e r s o n a lD a t au n d e rA r t i c l e()(b)G D P Ri nt h eC o n t e x t o f t h eP r o v i s i o no fO n l i n eS e r v i c e s t oD a t aS u b j e c t s”,h t t p s:/e d p b e u r o p a e u/s i t e s/d e f a u l t/f i l e s/f i l e s/f i l e/e d p b_g u i d e l i n e s a r t_ b
25、a d o p t e d_a f t e r_p u b l i c_c o n s u l t a t i o n_e n p d f,高富平:论个人信息处理中的个人权益保护 “个保法”立法定位,学术月刊,年第期,第 页.崔建远:论合同目的及其不能实现,吉林大学社会科学学报,年第期,第 页.王雪乔:论欧盟G D P R中个人数据保护与“同意”细分,政法论丛,年第期,第 页.第期刘颖等:平台经济中个人信息“告知同意”的性质认定与规范解释是否真实的基础上.如果仅仅关注合意的成立与范围,反而会因缺少规范性审查而无法有效保障信息主体的权益.将隐私政策界定为告知义务的履行行为,更具有现实意义.在此前
26、提下,用户能够以经营者违反义务为由主张违约责任,排除经营者凭“用户已同意”之事由所进行的抗辩,而且监管力量也能够介入审查隐私政策的内容,对不合规的经营者施予行政监管措施.“告知”制度是自我约束和监管配合的重要机制学理上对于“告知同意”模式往往更强调同意的作用,而忽略告知行为的重要意义,仅仅将其作为“知情同意”的条件.本文认为,即使“同意”制度存在着诸多不足,“告知”制度仍是经营者实现自我约束和配合监管的重要机制.一方面,隐私声明为经营者提供了一个评估内部做法的机会,能够确保其个人信息处理行为是必要和适当的.根据品牌、法律、政策以及市场发展的考虑,隐私政策可以作为一个决策平台,使经营者决定是否继
27、续数据处理或部署相应技术.随着我国对于个人信息保护的重视,经营者的隐私政策开始受到公共的关注和监督.年,一款名为“Z AO”的换脸软件风靡网络,其“用户协议”第条第款就规定了极不合理的授权条款:“您同意或者确保实际权利人同意授予Z AO及其关联公司以及Z AO用户全球范围内完全免费、不可撤销、永久、可转授权和可再许可的权利.”在舆论和监管压力之下,Z AO修改了用户协议,增加“删除”功能.这一负面案例说明,经营者对于隐私政策的制定必须符合法律法规的要求,不得不公正、不合理地免除自身的责任或增加自身的权利.那些做出更高保护水平承诺的经营者将会获得用户更多的信赖.因此,隐私政策的透明化可以激励经营
28、者通过实施各种技术与组织措施来保障用户的权益.另一方面,告知义务的履行能够增强维护信息主体权益的第三方的力量,从而起到间接维护信息主体的作用.经营者的隐私政策大多采取的是可机读的电子形式,其提供的个人信息处理规则越详细,监管力量对其越能够发挥作用.此处的监管力量不仅来自国家机关,也来自那些以保护用户信息安全为盈利模式的商业主体.第三方商业机构通过各种追踪应用和检测工具,能够发现经营者隐私政策中存在的漏洞以及信息处理实践与承诺不相符合的情形.这些实体对经营者无序收集和利用个人信息的行为起到了良好的制约作用,显著保障了用户的知情权.在网络安全漏洞治理产业中,经营者为了检测系统的安全性,会将其系统上
29、传到网络安全众测平台上,并设置相应的测试目标和奖励,由“白帽子”(计算机专家和网络黑客)测试漏洞并予以反馈.经营者告知义务的实践也可采用此种思路,由“隐私白帽”、普通用户实现隐私政策或通知程序的众测.(二)同意系单方授权行为同意的特殊法律问题恰恰在于,一方面法律秩序将其作为独立的法律行为加以规范,而另一方面它仅构成需经同意法律行为的辅助行为,其法律效果始终仅涉及需经同意法律行为的效力.诚然,在众多场景下,个人为获取某项产品和服务,须同意经营者处理其相应的个人信息,此时同意仅构成订立买卖合同或服务协议的辅助行为.例如,个人使用网约车服务必须向平台经营者提供手机号码和位置信息.但是,同意还是一项独
30、立的法律行为.在平台与用户的持续性法律关系中,即使单笔交易完成,经营者仍然会保有该个人信息,并将其用于后续的处理行为.有学者将信息主体与信息处理者的关系认定为信息信托法律关系,并将同意行为视为信托法上的D a n i e lS u s s e r,“N o t i c e A f t e r N o t i c e a n d C o n s e n t:W h yP r i v a c y D i s c l o s u r e s A r e V a l u a b l eE v e nI fC o n s e n tF r a m e w o r k sA r e nt”,J o u r
31、 n a l o fI n f o r m a t i o nP o l i c y,p p “Z A O”被 屏 蔽:无 视 用 户 隐 私 权 利 值 得 反 思,h t t p:/ww w c h i n a n e w s c o m c n/s h/s h t m l,年月日.维尔纳弗卢梅:法律行为论,迟颖译,法律出版社,年,第 页.同济大学学报(社会科学版)第 卷授权行为.有学者认为,信息控制者为信息主体提供了一种持续性的代理行为.亦有学者从积极与消极两个层面进行分析后提出:从积极层面上来讲,个人同意是个人信息处理活动的合法根据或正当理由之一;而从消极层面上来说,个人同意属于违法阻
32、却事由.本文认为,对于个人信息处理活动的同意应被认定为单方授权行为,它相对于需经同意法律行为而言具有独立性.因为同意在一定程度上体现了信息主体享有对自己的个人信息的处分权能.只要信息主体在充分知情的情况下自愿、明确地作出同意行为,作为相对人的经营者就享有了对该主体个人信息的使用权益.同时,正因为同意是一项单方法律行为,信息主体可基于自身意愿随时撤回先前作出的同意.民法典人格权编 第 条规定:“民事主体可以将自己的姓名、名称、肖像等许可他人使用,但是依照法律规定或者根据其性质不得许可的除外.”解释上,可将此条的“等”认定为“等外等”,即把个人信息解释进去,为个人信息的许可(授权)使用提供明确依据
33、.值得说明的是,个人信息的同意并不意味着信息主体与经营者之间建立起了许可合同法律关系.这是因为信息主体作出同意行为,并不像肖像权人那样有着指向商业化利用这一特定法律效果的意愿.将同意界定为授权行为要解决的问题是:授予经营者的权利为何?司法实践提出了区分“数据资源整体”和“单一数据个体”的思路,“数据资源整体”系经营者投入了大量人力、物力,经过合法经营而形成的,经营者对数据资源应当享有竞争权益.而就“单一数据个体”而言,经营者仅享有有限使用权,因为这些数据仍属于用户的原始数据,其对于社会的价值贡献仍未脱离用户信息所包含的资讯内容,数据采集主体并未提供创造性劳动成果.依此进路,信息主体的同意授权是
34、经营者对“单一数据个体”进行挖掘、聚合而使其成为“数据资源整体”这一过程的合法基础.授权行为的作出系基于信赖信息主体的授权是基于对经营者与国家监管力量的信赖而作出的.隐私政策开篇表明经营者保护个人信息权益的态度,即使未进行阅读,用户也愿意相信经营者维护隐私和个人信息安全的能力.此外,随着各类规范性文件以及个人信息安全规范国家标准的颁布,各行业的隐私政策和安全实践逐渐走向统一化和标准化,用户的信赖从根本上来说是对国家治理能力的信赖.信赖利益的保护是私法体系上的重要原则.美国合同法理论上的“全面同意”概念能够为解释信息主体的同意授权提供有益的思考.卡尔卢埃林(K a r lN L l e w e
35、l l y n)指出,消费者合同中并不存在真正意义上的同意,实际上已经同意的只是少数经过协商的条款和普遍的交易类型,不存在对任何不合理条款的全面同意.那些未被阅读的附属细则,以及对不合理条款的拒绝,没有理由削弱构成协议主要内容且经过协商的条款的合理含义.这意味着尽管消费者并没有完全了解合同包含的所有条款,但那些不合理、具有歧视性的条款并不会对消费者产生拘束力.如果另一方有理由相信,表意人若知道协议中含有某一特定条款就不会同意,则该条款不属于协议的一部分.上述观点的核心思想在J a c kM B a l k i n,“I n f o r m a t i o nF i d u c i a r i
36、e s a n dt h eF i r s tA m e n d m e n t”,U CD a v i sL a wR e v i e w,p B a r r i g a r J e n n i f e r,B u r k e l l J a c q u e l y n,K e r rI a n,“L e tsn o tG e tP s y c h e do u to fP r i v a c y:R e f l e c t i o n so n W i t h d r a w i n gC o n s e n tt ot h eC o l l e c t i o n,U s ea n dD
37、 i s c l o s u r eo fP e r s o n a lI n f o r m a t i o n”,C a n a d i a nB u s i n e s sL a w J o u r n a l,(),p p 程啸:论个人信息处理中的个人同意,环球法律评论,年第期,第 页.刘颖、王佳伟:算法规制的私法进路,上海大学学报(社会科学版),年第期,第 页.个人信息保护法 第 条第款:“基于个人同意处理个人信息的,个人有权撤回其同意.个人信息处理者应当提供便捷的撤回同意的方式.”浙江省杭州铁路运输法院民事判决书,()浙 民初 号.万方:个人信息处理中的“同意”与“同意撤回”,中国
38、法学,年第期,第 页.K a r lN L l e w e l l y n,T h eC o mm o nL a wT r a d i t i o n:D e c i d i n gA p p e a l s,L i t t l eB r o w n,p 美国法学会编写:美国合同法重述第二版 规则部分,徐文彬译,中国政法大学出版社,年,第 页.第期刘颖等:平台经济中个人信息“告知同意”的性质认定与规范解释于一方当事人并不受合理预期以外条款的制约,这暗含着对涉及消费者场景下合同条款的“实质重于形式”的审查比格式条款的救济更具灵活性.结合个人信息处理场景,信息主体授权同意的基础并不取决于隐私政策中
39、的具体内容.由于经营者的告知义务由法律、国家标准及行业标准等所规制,因此某些不合理的条款因违反法律而自然无效,且某些被刻意删减的条款也应构成信息处理者应负义务的重要内容.信赖是解释专家民事责任基础的主要工具.作为塑造平台经济环境的参与者,经营者相对于用户来说在资金、技术、人力上均具有绝对优势,对于信息的流向、行为的影响更加了解,是个人信息处理活动的专家.因此,要求经营者承担作为专家的勤勉与忠实义务具有必要性.个人信息保护法 第五章规定了信息处理者的一系列义务,第 条特别强调了“提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者”的义务,这即是专家责任的实证法体现.此外,为保护信
40、息主体的信赖利益,在发生相应纠纷时,应当由个人信息处理者承担举证责任.个人信息保护法第 条第款明确了个人信息侵权行为适用过错推定原则,个人信息处理者若不能证明自己没有过错(表现为隐私政策制定的合理性和不存在误导、欺诈、胁迫等事由),则应当承担损害赔偿、恢复原状等责任.对信息主体“阅读义务”之否定法律行为的成立和生效与否,须依意思表示的解释规则检视之.按效果主义理论,法律行为的生效,以表意人尽了合理注意义务后是否能够期待受领人理解他的意思表示为判断基准.因此,表意人应考虑他能够认识到的情形后再作出相应的外在表示,否则便“可归责”于表意人.然而,平台经济领域中信息主体的“知情”要素难以得到保障.现
41、有“告知同意”的解释框架在将隐私政策认定为合同的前提下,以信息主体的“知情同意”为核心,且过度扩张了用户合理注意义务的范围,似乎要求作出同意之人负有积极的“阅读义务”.阅读义务指的是当民事主体签署了他们所认为的合同后,他们就有义务阅读这些条款.如果一份合同不需要被阅读就可以生效,那么接受合同的人就会面临这样的风险:未阅读的条款之后可能会产生不符合其利益的约束力.不少平台的隐私政策在前言部分均会要求用户应“仔细阅读、充分理解”,尽管未达到为用户设定义务的程度,但若发生纠纷,经营者往往会以此作为抗辩的事由.以用户的明示同意为由,主张其受到经营者隐私政策的约束,事实上就是要求用户必须仔细查阅相关政策
42、条款,防止其中存在侵犯自身权益的条款.如在“新浪邮箱缩减案”中,法院认为,原告注册了新浪的免费电子邮箱是表示确认网站服务条款内容的行为,即对被告四通利方公司“新浪网”服务条款要约的遵守.尽管该案中来云鹏实际上并未注意到新浪的单方修改权条款,而在新浪变更邮箱服务内容时方才了解,但法院仍然认可该权利的成立.而在“朱烨诉北京百度网讯科技有限公司”一案中,二审法院认为:“c o o k i e技术是当前互联网领域普遍采用的一种信息技术,仅涉及匿名信息的收集、利用,网络服务提供者对个性化推荐服务依法明示告知即可,网络用户亦应当努力掌握互联网知识和使用技能,提高自我适应能力.”上述司法裁判暗含的逻辑是:作
43、为完全民事行为能力人,网络用户应尽到阅读这些与自身权益相关条款内容的义务,不阅读或阅读以后继续使用的行为将被推定蒋云蔚:从合同到侵权:专家民事责任的性质,甘肃政法学院学报,年第期,第 页.卡尔拉伦茨:德国民法通论 下册,王晓晔、邵建东、程建英等译,法律出版社,年,第 页.S e eH i l l v G a t e w a y I n c,F d ,(t hC i r )例如 爱奇艺隐私政策 规定:“请您在使用/继续使用爱奇艺产品与/或服务前仔细阅读、充分理解全文,并在同意全部内容后使用/继续使用.”h t t p s:/w ww i q i y i c o m/c o mm o n/p r
44、i v a t e h h t m l,年 月 日.来云鹏诉北京四通利方信息技术有限公司服务合同纠纷案,中华人民共和国最高人民法院公报,年第期.江苏省南京市中级人民法院民事判决书,()宁民终字第 号.同济大学学报(社会科学版)第 卷为用户对这些条款表示同意.对“阅读义务”的否定即是对合同法进路下以同意为核心的解释框架之否定,背后的逻辑是保护信息主体对市场环境与监管力量的合理信赖.信息主体应承担的义务不能转变为搜寻具体条款的义务.当隐私政策隐匿在不显眼的超链接中时,或未能以明显的方式提示用户注意时,应由经营者承担未完全履行告知义务的不利后果.(三)总结:完善告知义务的必要性通过对告知义务与同意行
45、为法律性质的分析,可知完善“告知”制度以确保经营者切实履行好告知义务的必要性.一方面,经营者的告知义务是信息主体掌控自身事务的重要前提.“知情”毕竟是主观概念的范畴,要求告知义务准确、明晰即是在最大程度上保证信息主体的知情可能性.合同法即以获取信息或通知的能力和途径来替代“知情”.因此,在确定信息主体的同意行为是否有效的问题上,应着重考察经营者是否充分保障了表意人的知情权,而非关注表意人的意思表示本身的真实性,以避免落入“阅读义务”的陷阱.另一方面,“告知”制度在维护信息主体权益方面有其独特的价值.经营者告知义务的实践,不仅能够帮助其实现自我行为的约束、及时调整策略,也能够增强第三方监管的力量
46、,进而促进个人权益保护与数据利用两者价值间的平衡.三、构建“告知同意”新的解释框架现有的实践困境表明,以“知情同意”为核心的解释框架难以保障个人信息处理过程中的主体权益.尽管立法要求同意的作出必须“自愿、明确”,但在解释上不宜仅关注同意,并对其进行“弱同意”“强同意”等程度的细分.信息主体受到时间成本、理解能力和有限理性等因素的影响,作出的同意授权行为难谓自由与明确.新的解释框架不再将重点放在对同意行为意思表示圆满度的考察,而是注重落实经营者的告知义务,规范平台经济领域的竞争秩序,构建起经营者与信息主体之间的互信结构,推动个人信息依法合理地流动.(一)构建以告知义务为核心的解释规则“告知同意”
47、制度具有风险分配的功能,强调告知义务为核心有利于落实对经营者的义务履行的实质性审查.在实行过错推定责任的背景下,个人信息处理者作为处理活动的掌控方,需要提供实质性的证据证明自己已履行了法定的义务,否则将承受不利后果.随着商业实践的不断发展,微观场景下通知与同意的混合使得个案事实均不相同,各项细节(包括超链接的形式、字体颜色、通知位置)都对信息主体作出同意授权有着重要影响.可以说,在平台经济中,考察经营者是否以合理方式提请用户注意成为一个事实密集型的问题.在互联网平台经济领域下,告知内容与同意授权通常被要求处于同一界面,告知的语言、展示形式、时机、频率和位置等均属于信息主体知情权的权益归属内容.
48、因此,通过设置细致严格的告知义务标准能够确保同意的有效性.推动告知义务的标准化和场景化告知义务的标准化指的是,随着国家各项治理的深入推进,经营者在相同或相似场景下的履行方式、告知内容、隐私政策具体条款等方面将逐渐统一、趋同化,信息主体也将对自身数据被处理的过程和标准产生集中、理性的认识.告知义务的场景化理论依据来源于情境脉络完整性理论,这一语境主S t a r k ev S q u a r e T r a d e,I n c,F d ,(dC i r )N a n c yS K i m,C o n s e n t a b i l i t y:C o n s e n t a n dI t sL
49、i m i t s,C a m b r i d g eU n i v e r s i t yP r e s s,p 蔡星月:数据主体的“弱同意”及其规范结构,比较法研究,年第期,第 页.第期刘颖等:平台经济中个人信息“告知同意”的性质认定与规范解释张信息流由三个要素构成 参与者(发送方、主体、接收方)、信息类型和传输原则.告知义务的场景化要求经营者必须根据不同的信息主体、信息类别、合同目的等调整义务履行的方式方法,真正确保信息主体在特定场景下的知情权.标准化和场景化并不是相互冲突的一对概念,标准化是相对同类经营者的横向对比,而场景化则针对的是个人信息处理链条上的不同场域,两者相辅相成,共同构成
50、互信环境的基础.现行民法上存在着与本文讨论主题关系密切的一组规范性表达,即医疗人员的“说明义务”与患者或近亲属的“明确同意”.两者存在某些类似之处,如:身体权与个人信息权益均属消极权益,病患的同意均可看作为一种持续性的授权,等等.对上述规则的分析可为本文解释平台经济中的告知义务提供一些规范性思路.民法典侵权责任编 第 条第款规定了医疗人员在诊疗活动中的普通说明义务和特殊说明义务.普通说明义务仅需说明病情和医疗措施,其目的是为了获得患者的配合和协作,无须患者同意;特殊说明义务是指在需要实施手术、特殊检查、特殊治疗时,医疗人员就医疗风险、替代医疗方案等情况向患者或在例外情况下向患者家属作出具体说明
浙ICP备2021020529号-1 | 浙B2-20240490 
