【数据法学】郑佳宁:知情同意原则在信息采集中的适用与规则构建(二)
B D A I L C
欢 迎 关 注
用户的知情同意作为企业采集用户行为信息应遵守的一项原则,是用户行为信息采集的合法性基础。在信息采集中的选择与参与机制中,我国宜采择入为主的知情同意规则设计。在其必备前提——告知环节,针对信息采集行为的主体、行为信息的类别和使用目的、采集后的处理行为和用户行为信息流向的第三方等方面,均应履行告知义务。对用以进行行为化定位等特殊用途,还应进行专门披露。在用户同意规范制度的设计上,用户同意类型需要进一步区分;同意的有效形式应该更加审慎;同时,对用户同意外的其他采集合法性基础应进行明确。
Edward Brain Seagoa
知情同意原则在信息采集中的适用与规则构建
文 / 中国政法大学民商经济法学院教授 博士生导师 郑佳宁
三、告知—知情同意原则的必备前提
知情同意原则下,企业应负告知义务已广为立法与实务界所认可。然而,告知的内容和方式在各国却尚无统一的标准。企业往往通过行文冗长、信息混杂、用词艰涩的隐私政策等方式向用户告知其行为信息的采集情况,知情环节时常沦为形式,用户基于不充分知情所作同意在效力上亦饱受争议。可以说,知情前提上存在的瑕疵,很大程度上影响了知情同意原则理论践行的有效性。因此,知情同意原则中的告知环节应达到下列标准:
第一,采集告知的表现形式应当是清晰且显著的。诚如前文所述,当前,载有告知内容的隐私政策、隐私协议、信息共享协议等文件在用语上青睐专业词汇,致整体行文生涩难懂;在篇幅上好长篇大论,似把告知文稿当作免责协议,欲将所有相关内容融于一体;在结构设计上复杂混乱,轻重失调,将重要信息混藏于海量无关信息之中。这类采集告知使得用户难以在真正知情的前提下作出同意,企业与用户也就无法在行为信息的采集上达成合意。就此,立法者呼吁企业加强隐私政策的透明度,有学者亦对采集告知环节信息透明度的增强提出了如下建议:其一,用语上避免采用生涩的法律或计算机技术专业术语,转而使用平实且直白的语言进行表达。在向用户告知采集相关信息的环节中,专业的用语非但不能有利于表达,反而将使不具有专业素养的用户难以理解有关内容。其二,告知形式应当显著,这意味着记录告知内容的隐私政策等形式须出现在用户可能看见的界面之中,且这种看见的可能性至少应当是合理的。譬如,在用户需要以电子签名等方式提交采集同意之确认的界面上,既应简明扼要地显示将采集信息的类别、用途、采集方式、第三方等要点信息,又应在该界面上提供显著的链接,以便用户查看完整的隐私协议内容。
第二,采集告知的程度应当深入揭示采集行为信息的方法与目的,并适当提示行为信息经采集处理后的预备用途与潜在风险。有些企业以复杂且模糊的形式向用户告知情况,其目的在于刻意隐藏或回避信息采集后的处理和应用方式,以免用户意识到风险而拒绝同意。目前,采集告知所缺失的典型内容,并非通过积极或消极方式所采集的行为信息本身之类别,而是这些被采集行为信息的后续处理过程,后者往往能够在某种程度上改变行为信息的价值和其可能带来的风险。因此,采集告知内容需要得到清晰化、分层化的处理。企业就行为信息采集所进行的告知不应当将确定的事实与可能的风险混为一谈,不能对无法确知的后果进行武断的保证,当然更不能刻意地模糊可能对用户带来隐私风险的后续处理过程。采集的告知在内容上应当是渐进的,具备一定的层次。第一层次的告知应当在采集行为本身的层面进行。企业应当以清晰且平实的方式向用户说明采集主体、被采集行为信息的属性和内容,以及所使用自动化采集工具的基本功能等情况。第二层次的告知则不应仅停留在采集环节本身,而应深入采集后自动化处理的层面,将人工智能和算法对行为信息后续利用环节带来的不确定性和潜在风险毫无保留地充分告知用户。
具言之,企业至少应加强下述方面信息的告知:
首先,采集行为的主体。主体是合同缔结时必须显现的内容,不知主体,则用户无法凭借外部信息对采集者的信息安全把控能力作出预判。譬如,欧盟即要求隐私声明等告知文件,应明确展示数据控制者的身份。欧盟语境下的数据控制者,实际上仅指向采集主体中单独或共同决定个人数据采集、处理目的与方式的实体。笔者认为,披露控制者固然是必须之举,其余参与、辅助或者能直接经采集而获取用户行为信息的主体亦应被定义为采集者,并在告知中如实披露。如采集用户信息的企业可能隶属于某一集团,则其控制者既可能为母公司,又可能为承担某一浏览器、网页或手机App项目的特定子公司。此时无须踟蹰于判断控制者之身份,参与采集之采集者均应得到披露,且其在采集中的不同角色担当亦应载明,以助用户对采集主体形成正确认知。类似的做法亦应适用于同一界面多采集主体的情境,与因收购等控制权变动而发生主体性变化的情形。之所以对采集主体的告知作出堪称严苛的要求,是因为用户作出同意采集的决定在一定程度上是基于对所有采集者的商誉、隐私保护政策和措施的信赖。
其次,行为信息的类别和使用目的。行为信息是采集行为的对象,当然地居于应被告知内容的核心地位。用户同意的具体性要求,是指就个人信息处理的同意,必须针对具体的情形明确作出。从合同理论的基本原理出发,意思表示必须是明确且具体的,概括的同意显然不符合法理之要求。具体的同意自然需要相应的具体化告知,以消除用户与企业间的信息不对称。一是要明确欲采集信息的类别。即企业应对目标信息以合理的标准进行分类,向用户告知具体的类别。二是要明确采集和使用用户行为信息的目的,这既包括通用目的,也包括特殊目的。美国加州《消费者隐私法案》也明确要求企业对所采集消费者信息的特定使用目的进行告知。采集和使用行为信息的目的应事前即被明确告知,行为信息不得为未被告知的目的而使用。
再次,采集后的处理行为。企业的告知应如实阐述行为信息分析的深度,着力于消除采集后续处理行为中的信息不对称现象。企业对信息的处理手法决定了数据挖掘所能达到的深度。Web 3.0时代下,各源头信息的相互融合已成为大势。特别需要注意的是,互联网企业完全有能力,将通过电脑、手机客户端、智能家居设备等多源头采集的用户行为信息融合一体,如Apple集团同时为电脑、手机、家居设备提供软件服务,并通过Siri等跨平台项目同时采集用户信息。这种多传感器信息融合(Multi-sensor Information Fusion, MSIF)的信息采集和处理方式很可能使得诸多原本十分简单的行为信息在无数次的智能化融合后,成为能够反映更为复杂现象的重要信息。此外,多传感器信息融合处理还可能由人工智能算法进行,其结果无法被完全预测,故原本与隐私等人格权益无涉的行为信息经融合后亦可能变得更为敏感。因而,倘若企业将可能同时通过多种设备采集用户行为信息,应当对此进行清晰的特别告知。
复次,告知用户行为信息流向的第三方。即便是经企业采集、处理后,用户行为信息亦不同于企业制造的产品,不可为企业所自行交易、自由处置。这是因为只要未经匿名化这一特殊处理环节,行为信息就仍与用户个体的人格紧密关联,企业只有在满足个人信息保护的基本条件后,才能对采集、处理后的信息具有完全的支配权,充分实现经营者信息的财产价值与个人人格尊严的和平共处。因而,行为信息的后续处置与流转同样不能绕开用户,应在征得用户同意后方可为之。出于商业利益最大化的考量,互联网企业与第三方之间的数据流通被刻意地隐瞒,利益相关者之外的知情者寥寥无几。这也使得实际掌握了用户行为信息的众多数据中间商隐匿在社会视线和规范底线之外。这些身份晦暗的数据中间商专营数据处理与分析,采集到用户行为信息的企业将信息传输给数据中间商,后者将其进行格式转化、内容萃取或者行为化定位等处理,再将其打包转卖。数据中间商因而成为用户行为信息商业化流转过程中必经环节。这一灰色交易链条显然威胁到了用户个人信息的安全,因而,是否有第三方参与处理或受让用户信息,理应在告知内容中占有一席之地,用户需在充分知情的前提下决定自身行为信息的进一步去向。
最后,当用户行为信息被进一步处理且用以进行行为化定位、个性化推荐、自动化决策等用途时,企业应当告知用户行为化处理之事实、原因、基本算法逻辑、预期分析后果与可能产生的风险。行为化定位处理的核心做法是借助人工智能的高速运算和自我调整能力,构筑出用户的数据画像。当用户的数据画像被企业所掌握,对个人的隐私以及其他人格权益的影响将超乎一般的处理行为。与此同时,基于数据画像,互联网企业得以有针对性地进行个性化的客户端界面设计、差异化的服务提供以及定向广告推荐。这些额外的数据用途既为用户带来便利与舒适,也可能带来隐私空间的侵扰、价格歧视、广告骚扰等种种后果。此外,自动化决策,或称AI辅助决策亦很可能给用户带来有失公平的待遇。基于行为信息的人工智能预判和决策也许在宏观方向上并无谬误,但由于其本质是对用户的内在特征和行为模式的大数据推测,而非确定的事实,故其决策结果一定存在某种偏差。在数据分析技术广泛运用的情形下,对于欠缺专业知识的普通用户而言,用户实际上很难知晓互联网企业对其信息的知晓程度,自然也无从预知互联网企业对其行为信息的上述用途究竟可能带来怎样的后果。故而,倘若企业欲将采集的行为信息用以进行行为化定位等特殊用途,则不仅应在使用目的中进行说明,还应当进行比一般用途更为具体的专门披露。
四、用户同意规范制度的应然设计
(一)用户同意的区别化样式
用户行为信息采集的情境千差万别,所需同意的样式不宜千篇一律,而应有合理的差异性。传统的用户同意规则界分方式,是因由采集或后续处理的情境之不同而设置宽严相异的同意规则。这种情境化分析的思路源于自然人隐私保护中将隐私侵害置于特定场景中看待的路径。Nissenbaum教授提出了个人信息采集、处理和利用中涉及隐私保护的情境完整性理论,基于此,企业对于用户行为信息的采集,理应符合用户对由全部事件、行为、交易等共同构筑的情境下隐私受保护的合理期待。倘若企业的采集行为超出了用户基于情境的合理期待,则将可能有侵害用户隐私之嫌,故而只有在获取用户尤为明确的同意表示后,企业的采集方能具有合法性基础。
在下述两种情境下,企业对用户行为信息的采集应取得用户的明确同意,除此之外的其他情境则一般的同意亦可:一是采集敏感的个人信息。倘使企业所采集的行为信息涉及敏感的个人信息,则在采集时应获取用户的明确同意。二是有特殊的后续处理目的。企业采集用户行为信息既可能是提供网络服务所必须,也可能是为了以个性化方式提高用户体验,还可能是希望借此对用户进行画像,并基于画像之结果进行行为化定位、个性化推荐甚至自动化决策。这些深层次的后续分析将更可能构成对用户人格权益的侵害。故而,倘若用户行为信息在采集后将被用于用户画像或基于此的行为化定位、个性化推荐、自动化决策等目的进行处理,则企业在采集时即应当告知用户并征求其明确同意。
上述传统的用户同意规则界分方式是以采集行为可能对用户带来的后果为导向的。值得注意的是,英国信息专员办公室(Information Commissioner’s Office, ICO)于2012年将当时互联网企业用于采集用户行为信息的Cookies技术群根据采集功能差异划分为四种类型,并规定了所对应的不同的同意样式。这种划分的基础是自动化采集工具所具备的不同功能,因而,倘若某一自动化工具兼具两种以上功能,则应当同时满足各功能对应的同意样式之要求。换言之,无论企业在采集时使用的是Cookies、Spyware、DPI还是其他自动化采集工具,都应当按照该工具实际功能所对应的用意样式征求用户之同意。
依此区分,可将自动化采集工具区分为下述四类:一是特别必要的工具;二是与服务性能表现有关的工具;三是拥有特定功能的工具;四是用于行为化定位或个性化推荐的工具。其中,特别必要的工具往往是某种Cookie,其应用仅仅是为用户提供互联网产品或服务之必需,同时所采集的行为信息数量不多。故而,运用此类工具时可允许企业采用择出机制,无须获得用户对于采集的明确同意,而是通过其持续不断的访问行为推定其默示同意,但企业至少应向用户充分披露该采集工具的具体采集行为。至于后三者,则依其在采集用户行为信息的规模、深度和影响上的不同,适用程度不同的征求用户同意之机制——用于行为化定位或个性化推荐的工具在采集功能上表现最为强势,故应适用最为严格的明确同意之样式。与服务性能表现有关的工具和拥有特定功能的工具则介于最宽松与最严格的同意样式之间。
(二)同意形式的改造
欧盟《一般数据保护条例》中用户表示同意的有效形式分成两种,一是表明同意意愿的声明,二是某项清晰的确信行动。前者是主动地述说同意之意愿,乃是传统的同意形式,此处无须赘言。后者是以用户负有确定含义的特定行为昭示用户同意之意愿。笔者认为,这在用户行为信息的自动化采集中具有很强的实践意义。因为在纯粹的网络化环境下,用户通过点击等行为所表示的同意信号能够直接被自动化处理工具所接收,用户行为信息的采集流程将始终得以自动、高效地进行。典型的表示同意的用户行为是于在线的环境下点击复选框。具言之,目前网站或手机App征求用户同意的通行做法是在页面上显示“我同意”“我接受”等类似复选框,用户以双击鼠标左键或手指轻摁的方式点击同意按钮,即可作出同意的意思表示。在高速的互联网时代下,点击的形式尽管便捷有余,可作为用户同意的一般外部表达形式,但显然慎重程度不足,至少不应当成为承载用户明确同意的表示形式。
质言之,设置用户明确同意之形式,并不以追求效率为本质,而应将关注点更多地投注于外在表示形式与内在意志内容的一致性和匹配性,促使用户的真实意思能够得到最为准确的表达。比之过于简单、随意的点击方式,电子签名似乎更适宜作为用户明确同意的外在表彰。一是签名行为有缔约的潜在内涵。比起机械性地点击页面或弹窗中的诸多选项,用户在以电子签名形式作出同意时,更能意识到该同意决定与自我之间的联系,以传递用户内心之真意。二是具有多样化的形式,能够兼顾不同的采集情境。我国《电子签名法》并未将电子签名狭义地限定为数字签名,而是以识别签名人与确认签名人认可两项功能为电子签名认定的核心。广义的电子签名认定路径与网络环境下多样的采集情境更为匹配,不同敏感程度的用户行为信息之采集可以采用不同的电子签名形式要求。三是法定的电子签名形式具有经法律确认的效力。电子签名是互联网商业交易普及背景下自然人签字的衍生形式。为便利无纸化电子交易的进行,各国纷纷颁布法案,对电子签名的法律效力加以确认。欧盟于1999年制定了《关于建立电子签名共同法律框架的指令》;次年,美国颁布了《全球和国内商业法中的电子签名法案》。我国亦于2004年公布《电子签名法》,明确规定可靠的电子签名具有与手写签名同等的法律效力。可靠的电子签名在涉及用户行为信息采集的互联网服务合同场景下能够完全有效地表示用户的缔约意思,这将使得用户的同意拥有确定的合同法律效力,企业依约的采集行为将免于不确定的合规风险。此外,对于敏感程度极高的私密信息,一些学者提出要以严于告知同意原则的方式进行采集。于此,可靠的电子签名作为同意形式的效力加强版本,或可成为私密行为信息采集同意的形式要件。
(三)同意的例外—其他采集合法性基础的明确
采集行为的同意,本质上为用户就个人信息进行自决的意思表示,故将用户同意作为企业采集用户行为信息的合法化基础,无疑体现了对私人自治的尊重与保护。然而,尽管私人自治在私法领域中占据着无上的崇高地位,但私人自治不是私法唯一的价值基础。自由从来不能自外于其他人文价值而独存,私法同时还追求正义、平等、安全与效率等其他价值。这些价值追求同样应当经由法律规范而得到明确。《欧盟基本权利宪章》即规定,个人信息处理的正当性基础既可以是用户本人的同意,也可能是基于其他的法定事由。
明确用户同意外的其他采集合法性基础,体现了一种利益冲突与衡量的逻辑进路。首先,行为信息反映了用户的网络化踪迹,是对个体进行数据造像的基础。行为信息的背后当然蕴藏着关乎自然人人格的利益,尤其是自然人的隐私利益。法律规范赋予了自然人对个人信息的自决权能,让用户自己掌控行为信息的去向。这就是将用户同意作为采集行为合法化基础的目的所在。但在用户个体的人格利益之外,用户行为信息采集和运用过程还可能牵涉诸多同样应当得到法律规范保护的利益,这其中既有公共利益,也有其他社会个体的利益。这些利益有着不同的取向,很可能与自然人的人格利益在用户行为信息采集的节点发生冲突。例如,杭州野生动物世界在未征得郭兵同意的情况下,将园区年卡系统升级为人脸识别,郭兵认为园区收集的面部特征等信息属于个人敏感信息范畴,故将杭州野生动物世界告上了法庭。又如,在2018年 “晒晒你的支付宝年度账单”活动中,支付宝以默认勾选的方式隐秘地收集用户信息,随后,中国人民银行杭州中心支行以支付宝实施7项违法行为为由,对其开出18万元罚单。当认定公共利益或其他社会个体的利益在冲突中应得到优先考量时,即催生出知情同意原则的例外—其他应受法律保护之价值的存在,亦是用户行为信息采集的合法性基础。
这些合法性基础通常包括下述内容:其一,公共利益的需要或政府的强制命令。作为社群主义哲学的产物,公共利益代表了社会中多数人的利益诉求。个人的权利行使并不能够绝对自由,而是要顾及所在社会的公共利益。一旦面临国家安全利益、公共卫生利益或其他重大公共利益受威胁的情形,企业应以公共利益为重,可不经用户同意即采集必要的行为信息。此外,在犯罪侦查等情形下,企业应当遵照政府的强制性命令采集并向其提供相关信息。其二,企业践行法定义务所必要。一些法定义务的承担,需要企业通过采集用户行为信息加以完成。譬如,为维护金融安全,我国从事网络支付业务的互联网企业不仅需要对用户身份采取持续的识别措施,还应当确保用户交易信息的真实、完整与可追溯性。这要求企业对用户的交易类型、金额、时间、对象、大额支付用途和事由等进行记录。其三,为企业或第三方的正当利益之必要。倘若法律设置了此项例外,则企业可以为追求自身或其他用户的合法且正当之利益,在告知用户后径行采集其行为信息。这里的正当利益可能包括支持、维护公司业务经营、网络系统安全、用户信息安全,以及其他重要的商业利益和运营需求。其四,企业履行与用户之间的合同所必要。一些行为信息的采集是出于企业与用户间合同履行所需,如用户欲享受网络购物服务,根据服务协议,企业需采集并储存其浏览记录、购物车信息;在网络社交服务中,社交App
需采集用户的点赞、评论等信息用以提供社交互动、参与服务;在快递物流服务中,快递物流平台需采集用户的名址、联系方式、物品名称等信息,以履行安全寄递的服务内容。此时的采集行为以服务合同法律关系为其合法性基础,无须再取得用户同意。
笔者认为,设置用户同意的例外宜审慎为之。这要求立法者妥善处理知情同意原则与其他合法性基础背后的深层利益冲突,以达到兼顾社会公共利益、商业化的数据需求和用户人格利益的立法目的。应当清楚地意识到,设置用户同意的例外,是对以个人信息私人自治为内在的同意原则之突破。因而,用户同意例外情形之设计应当尽可能地明确,否则,用户同意机制将被诸多的例外所架空,其作为采集合法性基础的效力也将相应地遭到削弱。除此之外,即便是无需取得用户同意的例外情形,企业的告知义务亦不得被豁免。企业应当向用户详细地告知无需取得其同意即可采集的行为信息类别、目的等信息。
刊发于《东方法学》2020年第2期
转载自上海市法学会
仅作学习交流之用
Edward Brain Seagoa
往期荐读
编辑:韩雨硕
欢迎点击“阅读原文”