正如通知删除规则广泛适用于制止网络侵权行为的各种场景一样,告知同意规则作为我国个人信息保护领域的核心规则,分别规定于民法典、个人信息保护法、电子商务法、消费者权益保护法等多部法律中,对规范个人信息处理者的信息处理行为具有普遍且重要的意义。
告知同意规则主要是通过用户在各App移动端(包括网页端或外部设备端)阅读并勾选同意《隐私政策》(即个人信息保护法规定的个人信息处理规则)、《用户协议》以及各种授权页面来实现的。
今年以来,广州互联网法院对个人信息保护的司法实践开展多项课题研究,发现个人信息保护法虽然已经颁布实施三年,但是涉及个人信息保护纠纷的案件还相对较少。可以说,不仅未出现此前理论界一些学者所担忧的“滥诉”现象,反而存在侵权救济功能未被激活的问题。
在加强网络空间法治建设的视域下,公法治理与私权救济两种模式相互协同与补充,构成未来网络法治的基本范式。我国个人信息保护法的规范体系就凸显了公法与私法高度融合的显著特征。在法学研究中,两者并没有二元对立的清晰界限,但是在公法治理与私权救济的两种路径上,如何区分适用及程序衔接,对于个人信息保护法得以落地实施,却具有极为重要的意义。重点评析告知同意规则在司法裁判中的公法面向与私法面向,从救济路径与责任承担,对两类法规范作区分适用,将有助于对相关条款的理解与适用。
——告知同意规则的公法面向:隐私政策违反告知义务,依法承担公法整改责任
总体而言,在个人信息保护领域,公法治理是主要手段。由于公法治理存在响应不够及时、监管力量不足等多种原因,有必要将作为数据主体的个人引入到个人信息保护的治理中来,即以私权救济为治理手段,从而形成公法治理和私权救济的双重规制格局。因此,可以将个人信息保护法的立法意图理解为:立法赋予个人私权利,由个人作为用户或者消费者,在与互联网平台发生接受服务、购买商品等连接的过程中,对个人信息处理者不恰当的或违法处理个人信息行为,以类似“火警”警报的形式,向有关监管部门投诉或者向人民法院提起诉讼。从而促使作为个人信息主要处理者,即各类互联网平台经营者不断改进和优化其个人信息处理流程及处理规则,进而实现个人信息保护法的立法目的。
个人信息保护法具有鲜明的公法私法交融的特征,既是一部个人信息权益的保护法,又是对个人信息处理者的信息处理行为的规制法。该法较大的篇幅规定了个人信息处理规则及个人信息处理者的义务,这些条款对应的主要是公法治理意义上的责任。公法行为规制与私权权益保障,在网络空间治理中正在发挥越来越重要的作用。从这一角度考察个人信息保护法实施,行政监管部门和司法裁判机关应当保持执法与司法的一致性,并尽可能清晰划分出彼此的边界。
告知同意规则在个人信息保护法的规范体系中,一方面是公法规范的面向。其侧重点在于隐私政策的告知义务以及经个人同意取得的合法性。个人信息处理者应当将其信息处理规则作出明确的告知,只有这样才足以令用户(消费者)、行政监管者、司法裁判者确信,该个人信息处理者清晰知晓信息处理目的、处理方式和处理范围。同时,履行告知义务也帮助个人信息处理者形成明确的行为预期。
另一方面是私法规范的面向。其核心不仅在于告知,还需要取得个人同意,一是在以取得个人同意为合法性基础的场景中,个人信息处理者(平台)与信息主体(用户或消费者)通过告知同意的交互,实现保护个人信息权益,规范个人信息处理活动的立法目的。二是在以履行合同必需为合法性基础的场景中,个人信息处理者为履行合同,在符合合法、正当、必要的原则基础上,可以不经过个人同意处理个人信息。
这里需要区分《用户协议》与《隐私政策》,虽然两者密不可分,但内容侧重有所不同。《用户协议》侧重于约定平台基础服务内容、交易步骤,以及各参与方的权利义务,而《隐私政策》则是个人信息处理规则的公示。由于《隐私政策》动辄长达万字,通常情况下,用户或消费者几乎是毫无选择且不假思索地点击勾选同意,获得进一步的服务。针对这种普遍存在的现象,早在2017年7月,中央网信办等四部门就联合开展提升个人信息保护的隐私条款专项工作。个人信息保护法第7条、第17条规定要求个人信息处理者遵循公开、透明原则,明示处理个人信息的目的、方式和范围,并要求以显著方式和清晰易懂的语言真实、准确、完整地向个人告知。这是立法对个人信息处理者履行告知义务的基本要求,性质上更侧重于公法义务。
这里出现一个问题,即个人信息处理者的《隐私政策》告知不充分、不清晰,违反告知义务,但并未实施其他违法处理个人信息的行为,也没有造成任何物质性损失,个人信息处理者是否需要民事责任?目前的答案是否定的。如上所述,个人信息保护法第二章第三章是对个人信息处理规则的规定,第四章“个人在个人信息处理活动中的权利”才是私法条款、赋权条款,这种交叉立法容易造成执法者和裁判者在法律适用上的混淆。对于个人信息处理者《隐私政策》的告知不公开、不充分、不清晰的问题,违反个人信息处理规则的相关规定,根本上是个人信息处理者对于其处理规则的认识不清或表述不清,甚或有意为之,此时,个人信息处理者并未实际采取违法的个人信息处理行为,也未产生实际的损害结果。这种含混不清的笼统告知,其可能后果是,个人信息处理行为具有某种程度的潜在风险,即是说,由于个人信息处理者的认知不清晰,在实际的个人信息处理行为中存在违法处理的可能性。在个人信息权益的民法保护方面,对于具有潜在危险性的行为,其程度难以评估,结果并未发生,若此时要求个人信息处理者承担民事责任,可能并不合理。因此,我们认为,在《隐私政策》环节的告知义务主要是公法义务,未尽到告知义务的信息处理行为,应当负有整改的公法责任。反之,公法规范对《隐私政策》要求的告知,本质上是令个人信息处理者熟稔法律规定,通过公示处理规则,明确自身的行动预期。这对个人信息处理者,特别是互联网平台企业的发展具有至关重要的积极意义。
——告知同意规则的私法面向:履行告知义务,取得个人同意,是个人信息处理合法性基础之一
个人信息保护法第13条规定了个人信息处理的合法性基础的七种情形,分别指向信息自决、公共利益、效率优先等多元价值,而个人信息权益纠纷主要集中在个人信息商业化处理的平台与个人之间。因此,本文讨论的个人信息处理合法性基础就是两类:一类是取得个人同意,另一类是履行合同必需。其中,取得个人同意,是告知同意规则的法律渊源,也是告知同意规则的重要的私法面向。个人信息保护法通过该条的规定,将信息主体(个人)的同意作为个人信息处理的合法性基础,实际上是以赋权的形式,使个人得以采取权利救济的方式,向有关职能机关投诉,或向人民法院提起诉讼并获得保护,进而参与到个人信息处理行为的治理中。
特别需要强调的是,个人信息保护法不仅是行为规制法,而且还是全过程的信息处理行为规制法,即个人信息处理者对个人信息的收集、存储、使用、加工、传输、提供、公开、删除等全生命周期都应当遵循法律规定的个人信息处理规则。就告知同意规则而言,用户点击勾选同意《隐私政策》,不当然等于取得了个人同意,仅仅是证明个人信息处理者完成了“告知”的法定义务,并取得初步的个人信息处理的合法性。个人信息处理者不能因为用户点击勾选同意《隐私政策》的动作,就认为可以一劳永逸地获得合法性。个人信息处理者还需要结合后续的个人信息处理行为,综合判断,应当确保其处理行为一直具有合法性。
这种合法性基础的区分适用,在当前个人信息保护的司法实践中,常常被混淆,进一步的论述尤为必要。首先,个人信息处理者公示其个人信息处理规则,通常是展示隐私政策并经由用户或消费者点击勾选同意,这一环节,只是完成法定告知义务。其次,对于基于个人同意作为合法性基础的个人信息处理行为,如果后续的个人信息处理行为没有超出《隐私政策》所公示的个人信息处理目的、方式和范围,且不违反个人信息保护的相关规范要求,该个人信息处理者在该业务流程中的信息处理行为具备合法性。第三,根据GB/T 42574-2023标准,隐私政策形式的告知称为一揽子告知或笼统告知。如果后续的信息处理行为对信息主体的个人信息权益有重大影响的处理行为,需要另行向用户或消费者告知,并取得单独同意。因此,基于个人同意取得合法性基础的个人信息处理行为,需要持续地取得个人同意。
——告知同意规则的私法面向:履行合同必需的个人信息处理,无需取得个人同意
个人信息处理者如果选择“履行合同必需”作为合法性的,制作了规范的《隐私政策》,履行了法定告知义务,则不需取得个人的同意。进而言之,即使在个人信息保护法规定需要单独同意的五种情形下,也不需要。也即是说,个人信息保护法关于单独同意的相关规定,是在个人信息处理者选择“取得个人的同意”作为合法性基础的情形下,才有适用的必要性。在互联网产业的实践中,我们看到,很多场景下的个人信息处理,都可以通过“履行合同必需”作为合法性基础。这是因为,个人信息处理者在提供商品或服务的过程中,对于个人信息的处理往往是一气呵成的,唯有如此,才能实现网络服务的快捷高效。例如,提供跨境购物、跨境寄递、机票酒店预订等服务的,个人信息处理者跨境处理的个人信息属于履行合同必需的,此时的个人信息出境,就无需按照个人信息保护法第39条的规定,另行取得个人的单独同意。
对于履行合同必需的理解,不仅应当根据行业自身的业务流程所需收集处理目的、方式和范围,同时还需要符合本法所规定的合法、正当、必要和诚信原则,明确合理的目的,以及范围最小、影响最小的方式。也就是说,个人信息处理者认为的履行合同必需与法律规定的最小必要原则之间,需要作出判断。对此,我国的相关监管部门先后发布了GB/T 35273-2020、GB/T 39335-2020,以及《App违法违规收集使用个人信息行为认定方法》等,上述国家推荐标准以及监管文件都可以作为个人信息处理规则的规范指引。因此,个人信息保护法规定的最小、必要原则,是一般性原则规定,“履行合同必需”则需结合个人信息处理者的业务流程,由执法与司法机关做出谨慎判断。
值得注意的是,常有一种错误的观点认为,只要选择履行合同必需的合法性基础,完成了隐私政策的告知义务,就无需任何的告知同意。基于合同履行必需的个人信息处理行为,如果在“必需”之外,个人信息处理者要收集更多个人信息,扩大处理目的,变更处理方式等,而这些收集及处理行为又不违反个人信息保护法相关原则要求的,个人信息处理者还需要依照告知同意规则,取得个人同意,以补足其合法性。反之,则是违法处理行为。举例而言,当前相当多的互联网平台正在通过“埋点”等技术收集用户行为信息,如果不能证明这些后续收集的个人信息经过充分的匿名化处理的,又不能证明属于履行合同必需、符合最小必要原则的,此种情况下,个人信息处理者需要获得用户的同意,以确保其处理行为一直具备合法性,否则属于违法。
总之,个人信息处理者需结合自身的业务流程,作出类似“二选一”的合法性基础的选择。无论走哪一条合法性路径,个人信息处理者都需要通过合法合规的隐私政策,公示并告知其个人信息处理规则。在此之后,走个人同意路径的,则全流程的处理行为均需要取得个人同意;走履行合同必需路径的,对于超出履行合同必需的处理目的、处理方式或收集范围,应在符合一般原则的前提下,通过单独同意的方式,补足其合法性基础,否则视为违法处理。可见,告知同意规则的两种私法面向,具有各不相同的适用规则和法律性质。
综上所述,网络空间治理中的告知同意规则,是个人信息保护的核心规则,也是保障个人对其个人信息处理的知情权和决定权的重要手段。这一规则已经被世界各国的个人信息保护立法所普遍采用,在个人信息保护领域发挥着极其重要的作用。当前个人信息保护法实施的重点在于如何正确理解告知同意规则,区分适用其中的公法规范抑或私法规范,并据此对应不同的救济途径及责任承担。我们需要通过更多的实践案例,在加强网络空间法治建设的背景下,力求行政监管和司法裁判保持一致,持之以恒,久久为功,促进我国个人信息保护的事业不断完善与发展。
(作者系广州互联网法院分党组成员、副院长)
● 责任编辑:虞文梁
图片 
本刊简介