张琬悦

信阳师范学院法学与社会学学院，河南 信阳 464000

一、问题的提出

《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）颁布之后，在告知同意原则适用上延续了《中华人民共和国民法典》（以下简称《民法典》）中规定的模式，除订立、履行合同所必需等情形外，处理个人信息应当取得个人同意。在个人信息的范围界定上，《个人信息保护法》以“识别+关联”为标准，客观上扩大了所调整的个人信息范围及告知同意原则的适用情形。在取得同意的形式上，以明示同意的择入为核心，仅在极少数情况下允许拒绝机制，且要求为用户提供撤回同意的便捷方式。[1]随着互联网技术的蓬勃发展，信息主体与信息处理者之间的关系日益复杂，信息主体掌控其信息的权利逐渐削弱，对其信息的保障逐渐弱化，这就使得告知同意原则在信息保护中容易被架空。[2]虽然在《个人信息保护法》中确立了告知同意原则的核心地位，但其在实施过程中仍然面临诸多困境。首先，信息主体的知情权是否充分得到保障？其次，信息处理者设置的同意模式是否流于形式？最后，信息主体对其信息授权之际是否缺乏自由选择的空间？鉴于此，笔者在下文进行详细分析。

二、现行告知同意原则适用的局限性

实践中，告知同意原则的适用经常面临诸多困境。企业APP 所设置的隐私协议、格式条款等只存在于形式层面，并非真正想要告知用户并征得其同意。虽然近几年国家已经出台了《中华人民共和国网络安全法》《个人信息保护法》等相关法规制度，但其在应用中仍自相矛盾。“我已阅读并同意隐私协议”这类条款的设置在形式上似乎符合告知同意原则的表面含义，但实质上并未真正保障用户的知情权与同意权，用户通常在无法正常使用APP 的前提下才会勾选同意，并非其真实意愿。当信息有泄漏的潜在风险时，首先侵害的是信息主体的权益，用户作为信息所有权人有权知悉自己的信息是否被收集与利用，是否许可或不予许可他人使用。对此，告知同意原则意在当信息处理者对信息进行收集与使用时，对信息所有人进行充分告知，平衡个人与信息处理者之间的信息不对称，使得个人在追求自己使用软件服务的前提下，不用过多担心自己的信息被非法泄漏与利用。告知同意原则作为《个人信息保护法》的核心制度，在实践中却困难重重，深陷难关。其具体表现在以下几个方面：

（一）个人对其信息处理的知情权未得到保障

个人是否知情以及是否充分知情，在很大程度上取决于信息处理者在使用其个人信息时，是否告知其处理方式与处理范围。通常，企业在信息技术的理解和运用方面占据着优势地位，其与用户之间存在着信息不对称的情形，使得用户不能准确理解企业告知内容中的技术含义，因而难以实现《个人信息保护法》第十四条要求的“充分知情”。①参见《个人信息保护法》第十四条规定。个人信息处理者有主动告知的义务，因为个人信息处理者最清楚其为何要收集特定的个人信息以及将如何收集和处理，且处理活动可能会对个人产生何种影响等。用户基于信任通过有偿或者无偿的方式与企业建立合同关系，使用企业的产品与服务，并将其信息作为对价。因此，关于该产品与服务的各项规定用户都应享有知情权，但是在大数据背景下，出现了各种高难度算法技术，使得用户与企业之间的信息不对称现象更加严重。用户对于其信息怎样收集与使用以及是否在未得到许可的情形下肆意流转等情形都不予知晓。各类互联网企业均为了不违法而制定出自己的隐私协议，但协议内容大都属于格式条款，使用较小字体，语言表述模棱两可，并对涉及个人信息的条款不予重视，不进行标注等，因其存在于大量篇幅之中，使得信息主体常常因为条款的冗杂性而不会花费大量时间细致阅读，无法获取真正有效的信息，在隐私协议形同虚设的情形下，用户对企业的信赖度也会降低，不利于用户与企业之间的良性交易。因此，只有信息处理者充分履行告知义务，完善隐私协议内容，减少条款的复杂性，个人的“充分知情”才有可能实现。

（二）一般同意与特殊同意流于形式

根据《个人信息保护法》第十三条的规定，基于个人同意是个人信息处理者处理个人信息的一项主要的法定情形，第十四条在第十三条的基础上，进一步规定了不同情形下同意的方式与类型。[3]《个人信息保护法》第十四条第一款后半部分的规定，“法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的，从其规定”。①可见其是有关于个人信息处理者在处理信息时的特殊同意规定。在日常使用时，个人信息的适用情况错综复杂。因此，将同意分为一般同意与特殊同意是处理信息的必要选择，特殊同意又包括单独同意与书面同意。然而，这种看似加强信息保护的分类却在实践中不免流于形式，形同虚设。例如，在最高检发布的典型案例中，某APP允许儿童注册账号，其在未采取清晰简洁的方式对监护人进行告知并获取监护人的明示同意的情形下，不仅混乱管理儿童账号，还收集、储存、利用儿童账户与其联系方式，以及儿童面部识别特征、声音识别特征等个人敏感信息。②参见最高人民检察院第三十五批指导性案例：“浙江省杭州市余杭区人民检察院对北京某公司侵犯儿童个人信息权益提起民事公益诉讼案。”处理未成年人的信息属于处理敏感个人信息，信息处理者在进行使用前，需采取特殊同意的方式予以告知其监护人并需经过监护人的明示同意后方可进行操作。在实践中，信息处理者往往不注重对同意进行区分，只采取形式主义的一般同意方式，这就使得一般同意与特殊同意看似加强适用，实则只停留在文字表面。

（三）信息主体缺乏自由选择的空间

当信息所有人在面临大量隐私条款时，即便可能会耗费较多时间，但往往为了保护其个人信息也会选择浏览阅读。然而，当个人仔细阅读隐私条款后，关于是否允许对其个人信息进行使用缺乏自由选择的空间。在数据广泛利用的背景下，信息已逐渐成为互联网时代最重要的资源之一，大多数互联网服务的商业运营依靠个人信息的收集与加工利用。当信息主体在决定是否同意其对个人信息的使用时，往往存在着对相应信息网络服务的需求。尽管根据法律的规定，有效告知乃是信息处理者必须践行的义务，但互联网商业平台抓住信息主体不会放弃的这一心理，使得用户除了放弃该项服务以外别无他选，迫于无奈，信息主体才会作出同意的选择。信息处理者对信息主体的选择权置若罔闻，使得在实际操作中告知同意原则不能被有效适用。

三、告知同意原则适用问题的完善路径

（一）充分保障信息主体的知情权

信息处理者在对信息进行收集时，通常采取与信息主体签订隐私协议的方式，尽到合理提醒的义务，贯彻诚实信用原则，其目的是保障信息主体的知情权。因此，信息处理者应当全面完善隐私协议，隐私协议不必在数量上或者复杂程度上略胜一筹，而是要起到有效告知的作用。尽可能用最少的语言传达出最重要的信息，[4]对需要特别提醒的信息采取加重或者划线的方式使得信息主体能够准确了解。

一方面，信息主体会受到来自不同使用者的处理，为了防止信息被交叉使用，信息处理者首先应对所有可能使用其信息的使用者全部进行告知，使信息主体对所有使用其信息的处理者都充分知晓；其次，当信息被使用后，信息主体最想知道的便是未来可能发生的风险，现在大部分隐私协议只关注信息处理者是否遵守法律、法规等使用信息，对隐私风险不是特别关注，在这种情况下普通用户没有信息安全意识，对自己的信息保护缺乏重视，因此加强隐私风险评估也是最重要的保护措施之一。《个人信息保护法》出台之后，很多企业设置了相关风险评估，但对信息种类进行了限制，并没有普及到所有信息之中。因此，对于此项措施，除了需要相关法律法规以外还需要平台以及社会各方的约束。

另一方面，信息处理者应当采取合理的方式全面而准确地向信息主体进行告知。首先，应当将免责条款以及让步主体权利的条款采取加粗加重等方式使信息主体充分知晓；其次，对于上文所提及的隐私风险评估，可采取即时性的动态方式告知用户，使得用户可以实时了解信息保护的进度；最后，告知的目的意在保障信息主体的知情权，因此应尽可能排除公告方式，采取短信或者私信弹窗等一对一的模式。

（二）明确一般同意与特殊同意的关系

在我国《个人信息保护法》中，为了给予特定场景更加严格有效的保障，在之前的概括同意下新增单独同意这一新兴概念，使其可以针对不同的场景做出不同的规定，提供更加严格的保障。《个人信息保护法》中对一般同意与特殊同意的信息进行了分类，因此为了有效保障信息主体的同意权，信息处理者在处理敏感个人信息与一般个人信息的同意时应相互独立，明确一般同意与特殊同意的关系，对敏感个人信息采取单独同意的方式。[5]信息处理者应当遵循比例原则，不得过度收集用户信息并采取一揽子同意的方式，使得信息主体缺乏实质性的选择权，在某种程度上剥夺了信息主体自由行使同意权的权利。基于同意处理敏感个人信息的告知，应是一种与单独同意对应的单独告知。采取更加显著的方式进行单独告知，将处理敏感个人信息与一般个人信息的告知相独立，单独告知所处理的敏感个人信息内容，切实符合立法初衷。

（三）提高告知同意原则实施的有效性

告知同意原则在对个人信息保护方面发挥着举足轻重的作用，为了提高其实施的有效性，须厘清告知同意原则的范围与边界，对告知同意进行层次划分，使其更加具有实践意义。信息主体之所以缺乏自由选择的空间，原因在于信息处理者对告知同意原则经常采用一刀切的做法，并没有真正明确告知同意原则的范围与界限，以至于当信息主体面临因其不同意冗长的协议条款而无法使用信息处理者提供的服务时，迫于无奈只能勾选同意。为了提高告知同意原则实施的有效性，首先，要使信息主体在自由意志下行使同意权，根据《民法典》在信息保护中的适用，自然人作出同意的意思表示必须基于意思自治，使其在自由的状态下作出真实的选择。其次，同意应当采取明示的方式，明示同意的模式会更加注重保护信息主体的自决权和人格权，不能因为主体默示而视为其同意。信息处理者在征得信息所有人同意时，一般都是以隐私条款予以告知，用户勾选同意后方可继续，隐私条款属于格式条款，没有法律规定也不符合习惯，此时主体作出的默示并不符合同意的本质。因此在主体行使同意权时，应当采取明示的方式。最后，个人信息的使用风险在潜移默化中发生着变化，告知同意原则在这个阶段中发挥着重要的作用，信息主体需要时刻动态掌握着自己信息的变化，这便要求信息处理者需要详尽披露，信息所有人可以根据披露情况随时随地自由地作出同意与否的选择。[6]为了使信息主体知情同意又减少负担，信息处理者与信息主体可以取得长效合作共赢机制，信息处理者可以增加各种个性化选择，设置分层同意机制，充分发挥告知同意原则的有效性。

四、结语

近几年，随着互联网的发展，个人信息保护成为中心话题，告知同意原则在保护层面起着至关重要的作用，其蕴含着深刻的自由价值与人文价值，可以缓解信息处理者与信息主体之间的不对称性，是《民法典》中意思自治原则在个人信息保护中的具体体现。在实践中，告知同意原则经常应用于隐私协议以及各种涉及个人信息保护的活动之中，但因为立法对其规定较为笼统使得其常常流于形式，并没有起到真正意义上的保护作用。因此，需要个人、企业以及社会共同努力，提高信息主体的保护意识，加强企业的责任感，凝聚社会的共同付出，同时，规定相应的豁免制度，使得信息在被保护的同时也可以广泛流通，切实保障告知同意原则的有效应用。在今后的研究中，应进行多元化探索，不断对该原则进行补充与细化，保障告知同意原则有效发挥价值。