论网络环境下知情同意原则保护的完善

论网络环境下知情同意原则保护的完善

摘要

知情同意是个人信息保护法的一项重要原则，它主要是通过知情同意的强制性程序来保护信息主体的正当利益。随着计算机技术的迅速发展,信息数据的交流越来越便捷，使知情同意原则面临着同意困境的严峻挑战。

本文认为，一方面，出于对表示同意后产生的结果没有客观认识、没有行使权利的自觉性以及被迫同意等原因，导致信息主体告而不知，同意是否有效遭到质疑；另一方面，知情同意原则会形成巨大的经济成本和社会成本，不利于信息行业的发展和社会的进步。因此，同意困境应当如何破解成为摆在我们面前无法回避的难题。信息收集者以何种方式尽到通知义务方能让信息主体知情？信息主体不够知情的同意是否有效？知情同意原则还有无存在的必要？构建一套科学合理的知情同意体系既有助于加强我国个人信息保护，也可以推动网络环境产业发展，是我国在网络环境时代发展的客观要求。

关键词：知情同意原则；个人信息保护；网络环境

1、绪 论

1.1 研究背景

知情同意最初的使用场合其实是医学领域[1]，作为医学中的一项基本原则，其原意是指医生在向患者进行说明之时，应当保证有相当的与患者自身权利相挂钩的信息被患者充分的了解，并且在患者对于该医疗方案、医疗行为等进行了明确的认识之后，基于其自由意志而对结果进行选择与决定，以保证对于患者的自由意志权利以及身体权得到充分的保障。伴随着时代的逐渐发展，该原则的适用范围已然扩大，尤其是在个人信息的保护领域，其基本立足点乃是每个人都有权利对其自身信息的使用得到充分的了解，因此该原则在个人信息的保护上也发挥着重要的作用。

1.2 研究意义

在个人信息保护领域，知情同意主要强调其企业与政府在搜集个人信息时确保个人的充分知情权利[2]。至于其内涵，有学者认为其渊源起源于康德和密尔的道德理论，也有学者认为是起源于黑格尔的忍的自由意志理论，即人的意志只有在决定之后才属于现实的意志，因此决定的重要性需要确保本人对于与自己有关的事物应当自治自决，个人不应当处于被操纵的地位。

1.3 研究内容

伴随着网络环境时代的发展，互联网、信息化等成为了现在信息的主要特点，数字化特性也表明现阶段的信息性质已经发生了质的改变，信息不再是局限于人们主动获得，而是被信息收集者进行了搜集与进行相关运用。在这个过程中，对于信息的控制不再是个人专属的权利，逐渐演变成社会性的掌握，那么原本依附于个人控制信息的最重要的合法性基础——知情同意原则则受到了网络环境时代的强烈冲击。

2、网络环境背景下知情同意原则概述

2.1 知情同意原则的涵义

知情同意原则，也有称其为通知选择原则告知同意原则[3]，其最基本的内涵简单来说就是在获取信息一方获取到个人的相关信息时应当对于被收集信息人进行说明使其了解并征得同意。那么具体来说，其含义则在于两个层面：一是知情，即被收集信息的一方对于自身信息被收集情况具有一定的了解与认识；二是同意，即被收集信息的主体在知情的前提下对于收集信息的一方所做出的行为的同意与许可。其主要目的在于避免双方处于信息不平等的状态，以期更好的保障个人的自由意志。

在个人信息保护领域层面，我国最早提出知情同意原则应当追溯到2012年全国人大颁布的《关于加强网络信息保护的决定》[4]，由于知情原则的本质目的在于约束信息收集一方，保护被收集信息者，而信息收集一方往往是企业等对于信息有一定利用的主体。针对该种情况，该决定明确了企业在收集信息时应当用明示手段对于信息的收集、利用、方式和目的进行明确说明并获得对方同意。知情同意原则在保护个人信息上影响力巨甚，甚至有学者认为该原则在个人信息保护上的地位可以等同于意思自治原则在民法中的地位。

但是在我国现行法律渊源中并无相关的对于个人信息的描述。比较法上，欧盟将个人信息保护置于一般人格权概念之下，作为人格权的延伸被纳入保护范围；美国则是将个人信息保护作为隐私权的下属权利，以对自身信息的控制权利作为保护理由。综上所述，笔者将个人信息总结为：人格尊严不容侵犯、自由发展不受限制、生活安宁不被打扰。而知情同意原则恰恰是为了实现该目的而产生的制度体现。

2.2 知情同意原则的渊源

目前对于个人信息保护立法的理论来源主要有二，其一为德国学者施泰姆勒首先提出的，在他的论述中，信息自决权的概念为人们有对自己所处环境进行一定的认知并得以作出相应决定的权利，即信息自决论[5]；除此之外还有学者将其个人隐私权阐述为每个人对自己私生活的管理和控制，并且认为它的主旨是维护本人对自己个人信息的支配权，而不是去制约他人对本人私生活邻域的侵犯，该理论被称为信息隐私权理论。无论是上述何种理论，其核心均强调信息主体对个人信息的掌控和支配，因此有学者将这两种理论统一归纳为个人信息自主控制模式。

2.3 知情同意原则确立的必要性

当然，正如意思自治一样，信息主体知情同意的权利不是也不是绝对的[6]。一则意思自治给予人们宽泛的自由，但这种自由并不是毫无约束的。在面对国家、社会、他人合法权益时，作为意思自治原则在个人信息领域体现的知情同意原则也并非毫无限制。

3、国内外知情同意原则立法保护的现状

3.1 我国知情同意原则保护立法现状

关于上文中的《决定》内容，其虽然提及了知情同意原则，但是在当时也只是原则性的规范，并无相关具体操作的细节[7]。因此在法无明文规定告知形式、如何保证同意以及确定同意方式的前提下，司法实践中也无法具体操作。此种情况在2013年修订的《消费者权益保护法》第14条和第29条也是如此，但是不得不说对于知情同意原则的提及仍然是一项重大的进步。

近些年来，知情同意原则在法律制度层面正在不断的充实与壮大。2020年10月1日实施的《信息安全技术个人信息安全规范》（以下简称《信息安全规范》）明确了知情同意原则的规范结构，区分了个人信息，规定了授权同意和明示同意，解释了敏感信息的知情同意，并规定了知情同意的例外[8]。之后，《信息安全技术个人信息披露与同意指南》（草案）对个人信息、个人敏感信息、个人信息控制人，这两个国家标准是我国对个人信息保护较为系统和具体的规定，是对知情同意原则结构规定在规范层面的进步。

3.2、 国外知情同意原则保护及立法模式

3.2.1 欧盟：严格知情同意原则

由于欧盟将个人信息保护作为公民的一项基本权利，因此对个人信息保护的规定十分严苛，这种严苛也体现在信息收集、利用过程中的知情同意上。在《1995年个人数据保护指令》（以下简称95指令）中，信息主体明确同意即成为了合法处理个人信息的首要情形。不仅如此，在 2016 年颁布的用于替代《95指令》作用的《一般数据保护条例》中明确了六种处理个人信息的合法情形，其中第一种即为信息主体同意[9]。从同意权作为控制个人信息的一般价值看，后五种情形可视为信息主体同意的例外情形。知情同意原则并没有随着网络环境时代的发展和学者们的质疑得到丝毫削弱，反而不断被强化。

3.2.2 美国：基于行业自律的知情同意原则

美国的行业自律模式中的建议性行业指引以及网络隐私认证计划是独具特色的。交由隐私权保护自律组织制定相关的行业指引，参与该组织的成员承诺遵守其指定的相关隐私政策。但事实上，在线隐私指引只能为组织的成员提供一个可参照的模板，组织成员需要承诺自己制定的隐私保护政策的保护力度符合组织行业指引的要求。网络隐私认证计划并不是官方机构的知情同意保护模式，而是近似于张贴相关的网上隐私标志，从而让人们能够选择那些自愿遵守相应的规则的网站，另一方面也能体现出运营商自身对于该规则的遵守意愿。这种认证标志实际上也就具有表现商业信用的作用，对于商业信誉的提升有一定的积极意义。

4、网络环境背景下知情同意原则保护存在的问题

4.1 信息主体的同意存在有效性难题

4.1.1 告知形式化：告而不知

在一项中国互联网协会发布的报告中显示，约有一半以上的网民认为个人信息受到了较为严重的泄露，超过五分之四的网民或多或少感受到了关于信息泄露进而对自己生活产生的影响[10]。该数据显示我国对于个人信息的保护力度不足，虽然法律规范在逐步趋于完善，但是社会中的问题依然无法得到解决。结合一份依据《网络安全法》为基础的针对500网站的实证分析报告，半数以上的敏感信息网站与商业网站对于告知义务都持支持状态。该数据说明，至少在商业领域承担相关义务的运营商还是占了大多数。但是，出乎意料的是政府和教育机构主动承担起该项义务的比例反而最低。除了该报告之外，另一项关于10家社交网络的相关调查也体现出商业化的企业对于相关义务的承担状况更好。

现如今主要的矛盾点集中在两个方面，一来是信息收集主体对于其信息告知的义务已然已经承担与告知；但另一方面，却是被收集信息主体仍然饱受信息泄露的苦恼之中。隐私政策在互联网时代可以说是无处不在，据估计，已经有至少77%的网站发布了自己的隐私政策。这表明如果排除非法信息采集的可能，非常多的信息主体似乎并不知道自己正在或者已经同意了一些什么。而这并不完全因为信息收集者未尽到告知义务，更重要的原因是信息主体怠于行使权利，未浏览隐私协议即勾选同意。

4.1.2 信息主体对同意后果认知不足

知情同意机制暗含了一个基本前提，即理性人假设[11]。在这一假设下，个人应当基于理性做出自主决定来满足自身需要，然而在现实中，信息主体对于同意后果往往认识不足，导致其做出的决定并非完全理性。

信息主体缺乏做出正确判断的专业知识。在接受信息收集者服务的群体中，计算机或者网络环境专家只是极少数，大多数信息主体无法真正理解隐私协议中所列明的收集信息类别及原因、信息处理过程以及可能的危害后果。判断收集、使用信息以及信息泄露可能带来的影响等于是在预测未来发生的事情，在假设的未来情景里考虑自己现在的选择，对一般人而言难度较大。因此其做出的决定既有可能出于误解而并非信息主体的真实意愿，也无法通过知情同意保护机制来维护自身的合法权益。

4.1.3 信息主体缺乏知情主动性

信息主体自觉行使知情同意权的目的主要是保护个人信息安全，但其往往无法评估做出同意决定带来的后果，也就无法正确认识慎重做出同意的重要性。信息主体积极行使知情同意权带来的成本主要分为两方面：阅读隐私协议造成的直接成本和信息主体积极行使同意权造成的间接支出。卡内基梅隆大学研究人员的一项研究表明，一份隐私声明的阅读需要花费8-12分钟，当代的快节奏生活使得公众并不愿意花费时间去进行仔细阅读。其次，由于大部分隐私协议充斥着专业术语和名词，较为晦涩难懂，也给阅读造成了客观上的阻碍。

4.1.4 信息主体被迫同意

现实中信息主体和信息收集者的地位实质性不平等，信息收集者总是更强势一方[12]。对于信息主体而言，仅有两个选项：全盘同意信息收集者提供的隐私协议、无法接受其提供的任何服务。许多以互联网为依托的服务本身具有重大的垄断性影响力。例如在使用 QQ、微信等即时聊天软件，而这两款软件出品方——腾讯公司在国内市场即时通讯软件领域事实上处于某种垄断地位。如果腾讯要求信息主体提供某些个人信息作为使用这些软件的对价，信息主体将很难拒绝。

4.2 知情同意产生巨大成本

4.2.1 经济成本

知情同意产生的经济成本分为两类，一是信息收集者为了履行告知义务并征得同意付出的成本，另一种则是信息被收集者为做出有效同意而付出的成本。美国社区银行协会称，设计、测试和发布法律隐私政策通知的成本高达约数十亿美元，因此每年进行告知而消耗的成本在2亿至5亿美元之间。在2001年该协会估算，向每个消费者发送通知的消耗的费用约为1.37美元，每家银行的总费用约为120万美元。可见，知情同意使得信息收集者承担了无法忽视的了巨大成本。

4.2.2 社会成本

个人信息交流在任何社会都是无法避免的。信息保护的目的并不是为了孤立个人信息，而是为个人信息的传递和应用建立相应规则和选择。但是，知情同意原则的立足点就在于个体对于自身信息所拥有的绝对决定权，意味着除非获得迷宫却的同意，否则原则上禁止收集者收集、使用和传播，这必然会给信息的自由流动带来一定的挫折。

信息不自由会导致公共秩序和公共福利受到影响。与公众联系紧密的相关权利需要充分的个体数据进行综合整理，可以说个人信息或成为相关决策依据数据库的基础。假若过分强调对于个人信息的保护以及对于知情同意原则的维护，那么一些基本信息的获取都会变得困难重重，费时费力并且最后的数据也可能与真实情况有着较大出入。例如，我国《征信业管理条例》规定，无论是商业征信机构还是国家设立的金融信用信息基础数据库，收集和使用个人信息原则上都需征得信息主体同意。根据此规定的表述，对于负面信息的处理也一律按照正常信息处理，如此一来其实也非常明确的表述对于信息保护，无论是何种信息都应当获得同意。但是该规定实际上也有着相应的缺陷，对于企业来说收集信息的成本 加大，并且也存在着对于收集到的信息的不全面而无法实现征信系统的作用。

5、网络环境背景下知情同意

5.1 完善知情同意原则适用过程中的立法保护

5.1.1 充分告知

出于对信息主体双方地位上的不平等，在信息收集、利用过程中，理应适用告知后选择和告知后同意的原则。在我国，目前信息收集者主要采取用户协议或隐私协议这些格式协议的方式来履行告知义务，并且很容易通过文字游戏来规避告知义务责任的承担。

除此之外，也可以在告知的具体方式和形式上加以改变，通过态度中立的第三方组织来保护个人信息。在这方面世界知识产权组织的一些做法就很值得借鉴，其通过图标的形式对一些知识产权进行统一定义来使其更加通俗易懂，让普通公众也可以很容易的进行理解。因此我们在知情同意原则的适用过程中也可以这样做，比如由第三方中立机构对隐私协议中经常出现的一些条款来进行统一的图标或者是文字定义，让它们变得更加简洁明了，易于理解。

5.1.2 实质同意

我国尚未对于信息采取相应的分类措施，导致我国一刀切的对所有的个人信息进行知情同意原则保护，造成企业获取数据难度提升，数据化社会进步缓慢；另外，也会造成在具体适用过程中往往过于流于形式。因此，可以从同意的分类进行入手，将同意区分为默示同意以及明示同意，本质上也是对于相关信息进行分类，确定哪些信息适用默示哪些信息必须明示。举例而言，对于个人的敏感数据应当适用需要个人的明示同意才得以收集、适用；针对未成年人、公众人物等特殊主体也应当进行区别对待，从而实现多方利益之间的平衡。

5.1.3 同意的撤回和例外

前文中也提及，民法典中有着对于个人信息的使用的豁免规定，具体而言指的是信息处理者对于已经公开的个人信息，并且其目的是为了维护社会公共利益的，那么其对信息做出的合理处理不应当承担民事责任。该规定对于合法合理使用个人信息进行了合法化的规定，进一步缓和了信息保护与使用之间的矛盾。

此外，《信息安全规范》中对于该种情况也有提及，更进一步将具体情形进行了说明，但由于效力层级较低，在具体的使用过程在还有诸多问题，也不足以起到影响知情同意原则在我国法律渊源中的结构作用。因此，笔者认为在未来的发展过程中，可以借鉴该规范中的部分具体做法，从而更好的促进个人信息保护的发展。

5.1.4 举证责任

原则上在侵权案件中，举证责任往往是根据谁主张，谁举证的规则进行，但是在个人信息保护案件中，有学者认为应当对其进行举证责任倒置规则，出于对双方地位以及信息获取不平等的角度考虑，此项措施具有一定的现实意义，对于降低个人的维权门槛，对个人进行二次保护有着重大意义。《通用数据保护条例》第7条第1款中对此也有相应的体现，对于个人产生的同意决定，信息处理者应当对其已经获取的同意承担证明责任，我国在未来的立法过程中也可以模仿此例进行规定，以便更好的保护个人权益。

5.2 引入其他知情同意保护机制

同传统社会不同，现代社会已然成为了一个风险社会，在网络环境时代背景下，由于科技的发展、数据处理技术的专业以及个人信息与个人本身的财产属性与人身属性联系更为紧密导致政府很难对于整个信息的收集使用过程进行全方位的监控，更多时候仅仅是由于侵权行为依然发生之后所采取一定的保护措施，这种情况下对于司法的要求更高，对于个人的取证与举证能力也提出了更高要求，使信息保护产生了流于形式的可能性。因此，笔者认为应当在完善相关规范的基础之上，以多元化的规制模式更好的对该问题进行应对。

5.2.1 事前告知阶段

在整个知情同意的流程中，告知往往指的是信息收集者采取合同的方式对消费者进行说明与告知，但是同很多格式条款类似，具有主导权的一方往往使某些权利流于形式。为此，为了应对数据化时代的节奏，应当通过建立社会自我规制的结构，通过国家介入以期更好的引导整个行业的良性发展，具体措施可以采取建立起较为完善的风险评估工具对于个人信息安全的风险进行评估，进而对可能产生的问题进行提前预知。另外，也可以以行业内部获取信息的流程与实践中本行业个人信息处理中暴露的侵权问题建立起一个可以普遍使用的行业模板，由政府主导进而更好的保障个人的知情权。

5.2.2 事中持续信息披露

《信息安全规范》中对于个人信息的安全影响进行了分级，较为有针对性的对于个人信息进行了审查，对于不同级别的信息进行不同程度的保护，包括收集程度、处理方式等，进而归纳成为一套较为完整的评估体系。

（1）个人信息分类分级评估。根据《信息安全规范》表A.1关于个人信息的具体信息进行分类可以区别为个人基本资料、个人生物识别信息、财产信息、上网记录等等，通过对于个人的社会评价以及物质利益挂钩程度，从而制定出不同类别的保护细则。自上而下，可以分为需要特别同意、明示同意到自由度较大的空白同意，再发展到推定同意与默示同意阶段。

（2）用户授权机制过程中的充分性评估。具体操作流程则为用户、使用数据方、处理数据方等主体都可以从一个公链中进行已经经过授权同意的信息，进而避免重复授权的困扰。另外，由于区块链的稳定性与难以篡改，很大程度确保了信息的真实性。因此，此种模式最大的优势就在于仅需要解决第一次知情同意的问题以及后续若授权主体撤回后的相关处理，其优势非常明显可以对现实问题提供一定的解决方案。

5.2.3 事后有效救济

面对着现阶段的互联网平台治理现状以及相关法律规范的只顶，平台治理模式也逐渐显露出其优势。该模式通过对行业自身主导的大量信息的整合，采用适当的算法进行预测，进而可以提前将知情同意原则的具体内容传达给规制对象。

例如，以淘宝为例，最初淘宝依据人工处理投诉模式进而对双方之间的纠纷进行解决，该种模式费时费力且效率低、成效差。到后期，淘宝平台充分的采用了网络环境的优势，从整体结构上对于个体化需求进行抽象上升为集体需求，进而再分类采取了维权规范与程序。例如，对于消费者的投诉结果与流程进行网络环境整理之后，将其中的退款理由与原因进行梳理，形成相应的报告；再通过该报告建立起不同的处理流程。为消费者提供最合适的方案。

以淘宝为例，其纠纷解决机制的发展，实质上也能为知情同意原则的发展提供部分建议。在知情同意原则的事后救济中，也可以采取此种模式对于网络环境进行分析整理，提取出重点与常规解决方案，进而增加对于不同信息同意的分级分类以及动态同意的可行性，对于确保知情同意原则的确实实现有着重要意义。

知情同意原则是个人信息保护中的一项重要原则。在信息收集者、处理者这一主体与个人的地位不平等的关系中，权利人自身的知情且同意就成为了其能维护自己权利的最佳保障。面对着势不可挡的网络环境时代，更不能放弃对于信息自主的追求，知情同意原则更应当进行贯彻与落实。面对着落实的诸多困难，首先要建立其合理的知情同意规范结构，充分发挥主观能动性，提高自身的创新能力，协调坚持与创新法律原则的关系。同意存在的问题是必然要接受的时代挑战，无法避免。因此，知情同意原则作为个人信息保护的基石更应当被我们坚持。

参考文献

[1]李立丰.《个人信息保护法》中知情同意条款的出罪功能[J].武汉大学学报(哲学社会科学版),2022,75(01):143-156.

[2]刘睿文.智能投顾领域投资者个人信息法律保护研究[J].福建金融管理干部学院学报,2021,(03):17-23.

[3]易江鹏.个人信息保护中的知情同意原则:困境与出路[A].2021年世界人工智能大会组委会.《上海法学研究》集刊（2021年第5卷总第53卷）——2021世界人工智能大会法治论坛文集[C].2021年世界人工智能大会组委会:上海市法学会,2021:118-127.

[4]叶俊涵.权利属性视角下个人信息的法律保护[J].西部学刊,2021,(11):56-58.

[5]钱宇欣.论个人信息保护中知情同意原则的反思与重构[D].重庆邮电大学,2021.

[6]吴磊.网络环境视角下个人信息保护的知情同意原则研究[D].重庆工商大学,2021.

[7]范海潮,顾理平.探寻平衡之道:隐私保护中知情同意原则的实践困境与修正[J].新闻与传播研究,2021,28(02):70-85+127-128.

[8]熊峰,周宁,李晓燕,徐心怡,丁亚萍.知情同意原则在居家安宁疗护中的应用探讨[J].医学与哲学,2021,42(04):19-21.

[9]郭旨龙,李文慧.数字化时代知情同意原则的适用困境与破局思路[J].法治社会,2021,(01):26-36.

[10]张爱国.个人信息知情同意原则中的知情问题研究——以方式为视角[A].西北政法大学经济法学院、陕西省法学会金融法学研究会.长安金融法学研究（第11卷）[C].:西北政法大学经济法学院,2020:340-353.

[11]宁园.健康码运用中的个人信息保护规制[J].法学评论,2020,38(06):111-121.