适用告知同意原则的意义在于通过信息主体自决实现保护个人信息的目的,但在个人信息保护中,除这种事前防御手段外,还需要事中保护和事后监管,需要多种方式相互作用,共同实现对数据全生命周期严格、有效的保护。如在产品端融入“设计保护隐私”理念,直接将保护个人信息的目的以技术手段融入产品和服务的最新形态中,实现技术和法律的双重保障。又如在存储阶段的匿名化处理、建立完善的数据泄露制度和完善的问责机制,也对保护个人信息起到重要作用。但值得注意的是,这些措施的相互配合从而使得个人信息得到有效保护,也就意味着,我们并不能苛求仅适用告知同意原则就可以完全实现个人信息的高效保护。由此,在保持不苛求告知同意原则作用的态度下,针对前述告知同意原则的困境及成因,现仅就其本身内容及适用,提出以下四个方面的完善措施。
(一)对“告知”的内容进行限定
在告知同意原则中,首先应当细化告知内容,满足让信息主体充分知情的需求。如信息处理者、共享者均是哪些法律实体,什么样的数据基于何种目的在哪些环节会被收集,数据在哪里存储、会流转到哪些第三方,以及数据在整个生命周期中是如何被使用、处理和分享的,等等。同时,当前各类应用程序的个人信息保护声明过于专业化,且内容繁杂,从而加大了信息主体的阅读难度。针对个人信息保护声明冗长晦涩的现状,格式化的个人信息保护声明模式更便于加快信息主体的阅读速度。目前已出台部分行业标准对告知声明作出了相对细化的规定,如《App违法违规收集使用个人信息自评估指南》《App违法违规收集使用个人信息行为认定方法》等。但在效力位阶上,由于该类文件效力较低,并不能很高效地推进相关规定的适用,故需要从法律上作出要求。如要求在个人信息保护声明中简化告知方式;要求信息处理者在设置个人信息保护声明时要单独成文并容易获取;对于个人一般信息和个人敏感信息须进行不同显著程度的告知,对个人敏感信息可以采取加粗、下划线等方式区别于一般个人信息进行显著标识,让信息主体能够快速识别条款要求,减少阅读时间。同时,要求信息处理者在制定个人信息保护声明时,尽量采取通俗易懂的语言,以此减轻信息主体阅读困难,降低告知同意原则的适用成本。
(二)对“同意”的方式重新设定
纵览个人信息利用的整个流程,多环节的数据处理成为一种普遍现象。而在不同场景中,个人信息的敏感程度也会有着相应的变化,且信息主体对信息处理行为接受程度不一,有些信息主体可能只能够允许信息处理者收集其信息,但并不允许对该信息进行加工或转让,这也就对信息主体的同意有所要求,其必须是具体的。换言之,要保证同意是信息主体自愿自由的,是具体的,也是明确清晰的,而不是简单的默示同意。
有学者提出以动态同意(Dynamic Consent)的方式来满足该要求,[32]笔者持赞同态度。因为动态同意就是在利用现代网络技术的基础上,使信息主体明晰不同环节的数据处理行为并自我决定是否同意和授权,自主选择同意或退出,并且采用持续性的收集信息方式。例如,在App基础业务功能上可以进行一次性同意授权,而当扩展性业务功能需要某些信息时再行收集,形成信息收集的动态同意模式。采取这种方式能够很好地弥补“一揽子同意”与信息场景化利用不匹配的缺陷,并且能够满足信息主体多样化的个人需求,进而最大化地实现告知同意原则的最初目的。
并且欧盟GDPR第7条第3款还赋予信息主体撤回同意权,在信息主体作出同意的意思表示之前,应将该权利明确告知数据主体,并且该权利的行使应和作出同意一样容易。我国个人信息保护法也要求在个人信息的处理活动中,信息主体有权撤回其同意,并且个人信息处理者不得以个人不同意处理其个人信息或者撤回其对个人信息处理的同意为由,拒绝提供产品或者服务。(www.xing528.com)
(三)在产品端融入“设计保护隐私”理念
“设计保护隐私”(Privacy by Design,简称PbD)这一概念最早出现于1995年加拿大的隐私专员Ann Cavoukian女士和荷兰数据保护局联合小组共同发表的《隐私增强技术:匿名之路》这一报告中,[33]PbD理论就是将该报告中所提及的隐私增强技术与“数据最小化”原理相融合而形成的。随后,其被吸纳到欧盟GDPR、美国FTC隐私设计新框架以及英国《数据保护指南》等多个个人信息保护文件中。PbD的含义是指在产品开发设计之初,便将隐私保护的理念以技术的手段融入产品之中,将个人信息保护的需求与产品设计相结合。我国在2019年6月出台的国家标准《信息安全技术 个人信息安全工程指南(征求意见稿)》中已经对PbD理论进行探索,提出了设计策略。比如,在信息收集前进行告知时,如涉及多个渠道收集或展示信息主体个人信息,可以在产品设计时注意在不同的渠道对用户进行告知。
当下,告知同意原则作为收集个人信息的第一步在适用中确实存在困境,而解决这种困境除去从原则本身出发,还可以考虑技术手段的辅助。PbD理论的推广应用便可很好地帮助应对该困境。且在App开发时就对后续产品的运行和后台数据安全等进行预先设计保护,更有利于适应大数据时代信息技术的不断发展,通过技术和法律的双重保障实现对个人信息全生命周期、全方位的保护。
(四)对告知同意原则的地位重新审视
对于个人信息保护,如前文所述,我们不能苛求一个告知同意原则就将所有个人信息保护的相关问题全部解决。而且,过度依赖告知同意原则也会阻碍个人信息的合理利用。在一般情形下我们应当遵循告知同意原则,对于例外情形,例如紧急状态下疫情信息的收集,则应当采用法定原则。根据民法典第1035条,处理自然人个人信息的,应征得该自然人或者其监护人同意,但是法律、行政法规另有规定的除外。该条款重申了告知同意原则,同时针对处理个人信息的合法基础作出修正:在符合法律、行政法规规定的前提下,可以不经个人信息主体同意而处理其个人信息。个人信息保护法也规定,为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全,为公共利益实施新闻报道、舆论监督,为履行法定职责或者法定义务等法律法规明文规定的情形,可以不经个人信息主体同意而处理其个人信息,但要限制在合理的范围内。这就为告知同意原则之外使用个人信息提供了法律依据。
在特殊情形下设定法定采集原则旨在保障公共利益和公共健康安全,此时个人信息的使用与公共安全、公共卫生、公共网络安全、重大公共利益等直接相关,并非为了商用或长期使用,在这类情形中,收集个人信息的公共利益具有优先性。但应当注意的是,对个人信息的使用要限制在合理的范围内,要进行匿名化、去标识化处理,要消除信息对信息主体的影响,做到损害最小。由此,在告知同意原则之外增加适用的例外情形,既能够对个人信息作出严格保护,又能够满足对个人信息合理使用的需求,对有效平衡保护个人信息和利用个人信息之间的关系起到重要作用。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。