网络隐私政策“告知同意”规则的反思与重构
作者:陈黎明
发布日期:2024-01-25
来源:网络安全与数据治理 11期
0引言
建立在个人信息自决权基础之上的告知同意,是个人信息保护领域的核心规则。我国《个人信息保护法》第十三条明确“处理个人信息应当取得个人同意”,《民法典》第一千零三十五条规定了处理个人信息的“合法、正当、必要”三项原则,《网络安全法》第四十一条进一步对网络运营者收集、使用个人信息做出了专门性规定。从上述规范可知,我国个人信息保护法律体系围绕着告知同意规则建构。这一尊重信息主体意思自治、体现个人信息自决权的个人信息保护规则在理论与实践中均发挥重要作用。
但随着数字技术席卷全球,人工智能、区块链、云计算普遍应用,个人信息逐步脱离了封闭式构造。数据的财产属性、社会属性进一步凸显。网络平台纷纷制定隐私政策作为处理用户个人信息、开展数据加工的书面合规说明,告知用户个人信息收集、使用、共享情况,以获取用户对平台个人信息处理行为的同意。这一基于传统告知同意规则设定的网络隐私政策,在信息过载、数据共享频繁的后数据时代,面临“形式化”风险。以百度APP隐私政策(2023年4月7日生效版)为例,其篇幅长达2万字,且存在图表及诸多需跳转页面的超链接,譬如《百度儿童个人信息保护声明》《百度隐私权保护声明》以及第三方SDK情况说明。普通用户相对难以弄懂条款内涵及可能出现的法律后果。平台不考虑隐私政策专业性、耗时性问题,用户浅层阅读隐私政策、以隐私换取极小便利[1],共同导致有效“告知”难以实现。二是网络隐私政策场景下用户的知情权、选择权被架空,若用户不同意平台设定的隐私政策,则无法使用相关功能和接受平台服务。这种“全有全无”的模式架构实际上挤占了用户的选择空间,用户为获取网络服务只能同意网络平台隐私政策,此情形下的不同意选项形同虚设[2]。三是传统告知同意框架下的既有强化措施可行性低下。《个人信息保护法》第十七条要求以“显著方式、清晰易懂”的语言进行告知,欧盟《通用数据保护条例》亦规定“以清晰和平白的语言”来提供个人信息处理事项,但落实法律的概括规定往往存在难度。若网络平台以增加“警示”的方式强化告知,则会引起用户的“警示疲劳”;若网络平台采用通俗语言表达个人信息处理规则,隐私政策则会更加冗长;若网络平台采用简洁表达以减轻用户阅读负担,则难以做到显著、全面、清晰告知。从上述分析可知,传统告知同意框架下的三种强化措施均难以达到理想化效果,亟需新理论、新方案以破除网络隐私政策中告知同意规则面临的现实困境。
基于告知同意规则在网络隐私政策场景中存在的上述问题,本文对传统告知同意规则的理论基础——“理性人假设”学说、个人信息私有化预设、个人信息控制论进行逐一反思,梳理出了传统告知同意架构与网络隐私政策场景不适配的症结。并从有限理性预设及欧美个人信息改革法案中普遍采用、能够有效突破告知同意理论困境的情景脉络完整性理论出发,对网络隐私政策场景中个人信息保护的底层逻辑进行详细论证。基于上述理论,本文主张构建强告知弱同意的告知同意规则新模式。一方面,以《民法典》规定的格式条款规则严格规范网络平台的告知行为,确保用户充分知情;另一方面,基于情景脉络完整性理论明确同意规则弹性适用限度,以是否符合用户合理期待这一实质标准取代传统的个人信息敏感程度界分标准,助力告知同意规则在网络隐私政策场景下焕发出新的蓬勃生机。
本文下载请点击:网络隐私政策“告知同意”规则的反思与重构AET-电子技术应用-最丰富的电子设计资源平台 (chinaaet.com)
作者信息:
陈黎明
(湖南师范大学法学院,湖南长沙410081)
