个人信息保护中知情同意规则的困境与出路.pdf

1、 113法治时空个人信息保护中知情同意规则的困境与出路2021年315晚会曝光了猎聘、智联招聘等多款App违规收集、使用用户个人信息，使得数以万计的用户简历流入黑市。侵犯个人信息的事件频发，使得我们必须重视规范信息处理行为，作为处理个人信息最重要的合法性基础，知情同意规则的完善应首先提上日程。知情同意规则旨在维护个人的信息自决，奠基于“小数据时代”，当步入大数据时代之后，需要收集个人信息的情况之多，隐私条例内容之复杂，使得个人往往无法仔细阅读，更不知自己个人信息的用途，知情同意规则陷入困境。为了保护个人信息，应立足大数据时代的特点，调整知情同意规则的不足，达到保护与利用个人信息的平衡。知情同意

2、规则的法理基础与立法现状法理基础知情同意规则的法哲学解释。知情同意规则根植于自主，自主是自由意志的体现，而同意就相当于自主的外在表现形式。洛克在政府论中指出：“一切自然人都是自由的，除他自己同意以外，无论什么事情都不能使他受制于任何世俗的权力。”1知情是同意的前提，只有了解信息收集与处理的目的才能做出真实的表示。知情同意规则是尊重信息主体对个人信息控制的体现，我们每个人都需要能够自主的决定是否收集与处理个人信息，他人无权干涉，这样才能做自己的主人。知情同意规则与意思自治。意思自治作为民法的一项基本原则，指民事主体根据自己的意思产生、变更、终止民事关系，不受国家公权力和其他人的干预。信息主体为了

3、获取网络经营者提供的服务同意其处理个人信息，同时网络经营者获得了个人信息这一重大资源，有义务为信息主体提供网络服务，并对用户个人信息提供保护。知情同意规则是意思自治规则在个人信息保护上的具体体现，常钰欣（山东理工大学山东淄博255049）摘要：知情同意规则是个人信息保护法规定的个人信息处理活动最重要的合法性基础，根基于“小数据时代”，现阶段的知情同意规则无法适应时代的变化，面临许多问题：未充分保障用户的知情权、缺少规制措施与救济途径、影响数据流通，为此，应立足于大数据时代的特点，完善知情同意规则：规范信息处理者的告知义务、进行持续的信息披露、限制性引入惩罚性赔偿、加强行业自律与第三方认证。作为

4、个人信息处理活动最重要的合法性基础，知情同意规则出现问题会严重损害个人信息安全，为了平衡信息的保护与利用，应当对该规则进行完善，使其顺应时代发展。关键词：知情同意；持续披露；行业自律；惩罚性赔偿自然人享有对本人个人信息的控制，排除他人的控制。使用知情同意规则，就是保障自然人的意志自由，确保个人信息的收集与处理都必须遵循个人意志。国内外立法现状我国2009年年底通过的侵权责任法规定“隐私”是一种民事权益，依赖事后机制进行救济，然而事后救济机制难以使个人权益得到足够的保护，因此开始探讨个人信息的事前保护机制。知情同意规则被首次提出是在2012年，关于加强网络信息保护的决定明确要求在处理个人信息前，

5、企业应当将有关信息进行告知并取得被收集者同意。随后，信息安全技术、公共及商用服务信息系统个人信息保护指南出台，我国正式确立了个人信息保护的国家标准。指南明确了处理个人信息时应遵循的基本规则，同时提出在信息处理的各个阶段都应当保障信息主体的知情同意。2016年通过的网络安全法主要针对网络空间的信息保护，网络经营者不得收集与其提供的服务无关的个人信息，用户如认为收集到的个人信息有错误，有修改或者删除的权利。22021年通过的数据安全法 从国家安全的角度对数据的处理行为进行规制，然而基于数据安全法的公法定位，并不能很好的保护个人信息安全。2021年11月1日个人信息保护法 正式施行之前，我国对于个人

6、信息保护的规定散见在效力不同的法律规范中，个人信息保护法的出台构筑起以“知情同意”为核心的个人信息处理规则，以法律的形式规定了信息处理者处理个人信息的条件、告知方式等义务与信息主体的权利。个人信息保护法规定了七种可以处理个人信息的情形，这表明个人信息保护法在维护个人信息安全的同时，也更加兼顾社会利益和国家利益。至此个人信114 法治时空息保护法与网络安全法 数据安全法一起形成了个人信息保护的体系。国外欧盟：实质化的知情同意模式。实质化的知情同意模式采用最严格的保护措施，该模式的代表地区是欧盟。1995年，欧盟通过了 数据保护指令，明确规定了取得数据主体的同意后数据控制者才有权处理个人数据。随着

7、全球化与大数据的发展，数据保护指令不再适应数字时代的发展，欧盟于2018年出台了通用数据保护条例，个人的同意仍处于核心位置，但是数据处理者取得数据主体同意的条件更为严格，只有在数据主体作出肯定，或是做出明确的肯定性动作的情况下，才被认为是有效的同意，而沉默、静止或者不清晰的同意，均不得认定为数据主体做出了同意。欧盟对个人信息保护采取有史以来最严格的保护措施，然而这种对个人信息处理严格限制的模式会阻碍信息的流通与技术的发展。美国：形式化的知情同意模式。形式化的知情同意模式更加倾向于信息的流动，更加依赖市场调节和行业自律。这种模式致力于个人信息保护和利用的平衡，该种模式的代表是美国。作为美国最重要

8、的一部保护个人信息的法律，1974年的隐私法案首次规定了知情同意规则。32015年发布的消费者隐私权利法案提出了场景导向理论，2018年美国加州出台了 加利福尼亚州消费者隐私保护法案，该法案规定只要满足在相应场景中处理该个人信息“合理”的标准，4就无需取得信息主体的同意，还设立了“网络隐私认证计划”，通过该机构审核的信息处理者可以获得认证标识。为了防止过度保护个人信息而影响商业的发展，美国通过行业自律管理各个行业，各行业组织个人根据本行业的特点制定本行业的标准，该组织的成员自觉遵守，以此达到保护个人信息的目的。知情同意规则的现实困境大数据的到来开启了一个新时代，人们的生活、工作与思维发生了重大

9、的变革，面对信息量庞大、多样化、高流动性、共享性的大数据时代，产生于小数据时代的知情同意规则出现了许多困境。非知情的“同意”。我国赋予信息主体的“同意”较高的法律地位，如需处理个人信息，个人信息处理者需要获得信息主体的同意，然而在大数据时代，需要针对数以万计的信息主体进行信息披露、制定隐私条款、获得多次同意，意味着花费更多的成本。企业为了逐利以及免责，一方面在隐私协议中故意模糊收集个人信息可能带来的风险，且受限于显示界面，文本字体设置过小，关于个人信息的说明未进行明显的提示，使该信息被过多的文字淹没。另一方面在隐私政策中使用大量的专业词汇，将所有内容合并在一起，使得隐私协议啰嗦冗长，晦涩难懂。

10、对于用户来说，每天都要面对多次的同意抉择，使得用户很难认真阅读隐私协议，即使阅读，也无法期待每一位用户都能知悉并理解其中的意义。这种同意无法真正保障用户的知情权，使知情同意规则流于表面。甚至部分隐私协议中如果用户不勾选“同意”，将无法使用该产品，同意已然成为用户获取某种产品或者服务的前提条件，5而不是自己真实的意思。缺少规制措施与救济途径。由于信息网络的发展，个人信息的收集、散播变得更加容易，使得侵权更加容易发展。6由于网络的特点，个人信息侵权后造成的损失往往难以弥补，当个人信息被滥用后，其损害后果已经形成，而且在大数据时代，当事人可能都不知道是谁造成了侵权，况且侵权主体的往往是企业，自然人对

11、抗大企业无疑会付出巨大的维权成本。现存的救济模式是补偿性损害赔偿，在实践中，个人信息侵权案件频发，补偿性损害赔偿起不到很好的威慑作用。影响数据流通。企业通过收集个人信息准确了解消费者的偏好，可以提供更好地个性化服务；政府部门通过收集个人信息来进行社会管理，维持社会秩序。而立法者赋予知情同意原则极高的地位，要想处理个人信息，很难绕过知情同意规则。大数据时代，信息处理具有具有高频、专业、复杂等特征，要求在每一次信息处理前都获得同意或将极大地损害效率，增加成本。7并且法律规定在信息收集时网络经营者只能在原始目的范围内处理个人信息，超出原始目的使用该信息必须以获得当事人的同意为前提。8然而知情同意书签

12、署在利用个人信息之前，要求信息处理者将未来可能的使用目的一并列入也有些强人所难。若一味强调知情同意规则，会降低数据利用的效率、影响数据流通，难以适应时代的发展。知情同意规则的规制路径立足于大数据时代的特点，针对知情同意规则暴露出来的问题提供解决思路，面对信息主体与信息处理者之间的信息不平等，应规范信息处理者的告知义务，使得隐私政策更加简洁；防止一次同意相当于永久同意现象的发生，进行持续的信息披露；并且采取惩罚性赔偿，更好地保障信息主体的权益，弥补损失；通过行业自律与第三机构认证，弥补法律的滞后性，完善知情同意规则。规范告知义务个人信息保护法对于告知义务仅做了规则性的规定，为了防止信息收集者故意

13、模糊披露事项和重点条款，应当对于告知义务进行细化。首先，涉及个人信息保护政 115法治时空策的文字应进行显著提示，可以使用下划线、加粗、标红等方式引起用户的注意；其次，应要求信息处理者删除无关紧要的内容，保留具有实质意义的内容，使隐私条例更加简洁易懂，减轻信息主体的阅读压力；最后，允许用户选择自己的个性化隐私偏好设置，每个人的接受能力不同，有些人希望获得全部的信息披露，有的人可能对海量的信息感到压力，对此应该具体问题具体分析，尊重个人的选择。但是处于安全考虑，对于高敏感性、高风险的个人信息必须进行披露。持续的信息披露目前，大多数企业只在首次收集个人信息时进行信息披露，信息主体的一次同意相当于永

14、久同意，此种方法无法很好的保护信息主体的个人信息，为此，企业应持续的进行信息披露，使信息主体能够随时了解自己个人信息的收集和使用情况。企业应当定期向信息主体提供信息使用报告，告知该段时间个人信息的使用情况，个人可以根据个人信息的利用情况做出新的决定，包括限制个人信息的适用范围，撤回同意等。这种持续披露机制，可以避免企业一次性的告知，使信息收集者更好地履行告知义务，使信息主体更好地了解个人信息的使用情况，提高个人信息收集与使用的透明度，使信息主体做到更好的知情。限制性引入惩罚性赔偿惩罚性赔偿主要是通过对侵权人施加高额的罚款来惩治不法行为，维护受害人的权益。我国个人信息保护法划分了敏感信息和一般信

15、息，敏感信息一旦滥用会对信息主体造成更严重的损害，因此，信息处理者应该施以更为严格的注意义务，在收集和处理个人信息时要采取比一般个人信息更加严格的标准。同时，只有主观上存在故意，才可以适用惩罚性赔偿，因为故意具有更强的可谴责性。引入惩罚性赔偿一方面可以更好地威慑潜在的侵权人，使其不敢轻易的实施违法行为，否则将会付出高额的成本。另一方面也可以更好地弥补受害人的损失，更好地保障个人的权益。加强行业自律与第三方认证与法律相比，各行业自己制定的规章更具灵活性，更能适应社会的发展。因此，应当发挥行业自律的作用，更好的筑牢个人信息保护的基石。首先，鼓励各行业积极成立行业自律组织，制定该行业的公约与隐私政策

16、模板，网络经营者可以根据情况对模板修改适用。其次，行业自律组织应定期对加入的成员进行审查，如发现有违反公约甚至违反法律的要及时报告给相应的监管部门。最后，还应接受用户的投诉与咨询，及时解决用户的问题，更好地促进行业的发展。第三方机构更具专业性与权威性，通过第三机构对符合条件的企业进行认证。可以借鉴美国加州的做法，要求企业每年将个人信息的收集情况进行披露，第三方机构针对企业提交的隐私协议收集情况出具评级报告，对符合标准的企业进行认证，获得认证的企业会获得消费者的信任，增强市场竞争力。为了提高企业的竞争力，企业会努力达到第三方认证机构的认证标准，以此形成良性循环，增强个人信息的保护力度。综上，完善

17、知情同意规则需要多方协同，首先，规范信息处理者的告知义务，使信息主体更好地知情。其次，信息的处理并不是一次性的，实行动态的信息披露可以使信息主体更好地了解个人信息的处理情况。最后，行业自律具有更高的灵活性，可以弥补法律的滞后性，能及时修改以适应社会的发展。作为处理个人信息最重要的合法性基础，知情同意规则更加完善才会更好的保障个人信息，通过规范告知义务、动态的信息披露、限制性引入惩罚性赔偿、加强行业自律与第三方认证，弥补告知同意规则的不足，为个人信息保驾护航。参考文献1洛克.政府论(下篇)M.叶启芳，瞿菊农译.北京:商务印书馆,2013:74.2张馨元.个人信息保护中的知情同意规则研究D.吉林:

18、吉林大学,2022:82022-7-05.http:/kns-cnki-net-:8118/KCMS/detail/detail.aspx?dbname=CMFDTEMP&filename=1022527625.nh3谢远扬.个人信息的私法保护M.北京:中国法制出版社,2016:73.4刘萍.个人信息保护中知情同意规则的完善路径研究D.河北:河北经贸大学,2022:232022-7-05.http:/kns-cnki-net-:8118/KCMS/detail/detail.aspx?dbname=CMFD202202&filename=1022475981.nh5张新宝.个人信息收集:告知同意规则适用的限制J.比较法研究,2019,(06):1-206王利明.人格权法的发展与完善以人格尊严的保护为视角J.法律科学(西北政法大学学报),2012,30(04):167-175.7田野.大数据时代知情同意规则的困境与出路以生物资料库的个人信息保护为例 J.法制与社会发展,2018,24(06):111-136.8江海洋.论疫情背景下个人信息保护以比例原则为视角J.中国政法大学学报,2020(04):183-194+209.