告知同意等于用户实质同意?专家:个人信息保护法加强自决权
10月15日下午,“迎接数字经济时代:跨境贸易规制与在线纠纷解决”国际研讨会在线上召开,十余位嘉宾学者围绕“数字经济背景下的跨境贸易规则创新与挑战”展开对话。中国社会科学院法学研究所《环球法律评论》编辑部副主任、研究员姚佳分析了“告知-同意”原则的风险分配机制和个人信息保护立法的价值选择。
据了解,2012年,《全国人民代表大会常务委员会关于加强网络信息保护的决定》首次在法律文件中确定了个人信息收集的“用户同意原则”,规定网络服务提供者收集公民个人电子信息时,应当明示收集、使用信息的目的、方式和范围,并经被收集者同意,不得违反法律、法规的规定。
近年来,随着《网络安全法》和《民法典》等法律法规的出台,“告知-同意”原则已发展成为我国目前个人信息保护最主要的合法性基础。本月13日,向全国人大常委会提请初审的个人信息保护法草案也将“告知-同意”确立为个人信息处理规则的核心。
告知同意原则根植于自主价值,蕴含着个人信息自决权的思想。“告知同意原则在医疗领域的运用非常多”,姚佳说,“医方对患者的告知同意,实质上是风险的转移、让渡或者改变。”同时,她强调,医疗领域的知情同意,从实质上加强了个人自决权。转观个人信息领域,个人对信息持有者的知情同意实际属于非实质自决,“这是一个很遗憾的事情”。
继而,姚佳以德国社会学家乌尔里希·贝克提出的“风险社会”概念为背景,从“风险维度”考察告知同意原则对于个人信息保护的情况。“不同主体的风险地位不同”,姚佳表示,信息收集和被收集方地位天然不对等,在信息流动的过程中,作为信息主体的个人首当其冲,个体必须承载很多不确定的风险。同时,个人信息保护存在科技方面的固有客观风险,因而整体风险仍然掌握在信息持有者一方。
那么,主体之间的信任关系是如何的?姚佳提出,授权原则以信赖为核心要义,但因为个人与信息获取者之间不存在信任关系,同时用户签订隐私协议时的已知风险极为有限,此时的个人自决具有很强的涉他性,个人对风险实质的掌控实际上非常弱。在此情况下,个体的告知同意变为程序意义上的行为,而非私法实质化意义上的授权。
“我们需要建立信用关系”,姚佳称,“这就关系到个人信息保护立法时的价值选择。”立法需要在加强个人信息自决权、信息利用规律和现实可行性等价值之间进行选择,她表示,正在审议的个人信息保护法草案的核心就是从加强个人自决权和充分知情的角度构建制度设计,从立法的闸口拉紧对个人信息的保护。
南都记者注意到,刚亮相的个人信息保护法草案规定,处理个人信息应当在事先充分告知的前提下取得个人同意,并且个人有权撤回同意;重要事项发生变更的应当重新取得个人同意;不得以个人不同意为由拒绝提供产品或者服务。
最后,姚佳总结道,“尽管我们可能会从风险等各个方面的角度去质疑告知同意制度,但该制度在立法和各个方面是具有基本价值的。”同时,她补充道,除法律外,国家还应从行业治理制度等方面进行辅助加强,构建全方位的制度。
文|白小皛 李慧琪
编辑|石莹