■专论
文章编号：1001-2397（2023）01-0034-15



内容摘要：基于隐私政策的告知同意是个人信息保护的核心制度，但对其性质应当进行反思，对其制度应进行重构。告知同意在不同国家和地区具有合同、声明、基本权利合规等多重特征，在我国也应被视为多维制度工具。仅从意思自治角度看，告知同意面临信息过载、决策过频等难题，即使进行制度改进，也无法实现个体的充分知情和明确同意。但隐私政策的阅读对象不仅是即时交互场景下的个人，也包括企业内部人员、市场评级者、执法司法者和非交互场景下的个体。隐私政策可能充当信息处理者的合规章程、市场声誉信息机制的媒介、司法诉讼与行政执法的依据、赢取个体信任与进行隐私教育的工具。应解绑告知与同意，适度放松同意要求，但应强化对隐私政策的告知要求。隐私政策对外可以采取不同提醒方式与分层架构，对内应成为内嵌到不同部门与产品的合规指引，在形式上采取基于风险的模块化披露。
关键词：隐私政策；告知同意；个人信息；意思自治；公私法融合
中图分类号：DF529　　文献标志码：A
　　DOI：10.3969/j.issn.1001-2397.2023.01.03　　开放科学（资源服务）标识码（OSID）：230103_1.jpg
一、问题的提出
　　告知同意是个人信息保护的核心制度。《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）将告知同意作为信息处理者处理个人信息的“一般规定”，其中第13-18条详细规定了告知同意制度，其他条款在不同场景对如何适用这一制度进行了规定。[1]稍早之前出台的《中华人民共和国民法典》（以下简称《民法典》）也将征得“自然人或者其监护人同意”作为处理个人信息的首要条件。[2]在域外，隐私政策与告知同意也扮演了重要角色。美国在20世纪60-70年代引入了公平信息实践制度，在若干立法领域要求收集个人信息必须向个人进行告知；到了20世纪90年代，随着互联网的兴起，企业纷纷采取隐私政策，逐渐成为通行做法。欧盟等其他地区虽然与美国市场化的模式不同，但在隐私政策与告知同意方面，也将其作为立法与规制的核心。[3]
　　基于隐私政策的告知同意的重要性毋庸置疑，但在基本原理与实践效果方面，却一直存在争议和批评。就其原理来说，告知同意在法律上应当如何定性，告知同意是一种格式合同吗？当信息处理者在其网站或交互界面上设置隐私政策，用户点击同意或继续使用，这一行为是否构成一种民事行为上的意思表示；相应地，当企业或个人违反隐私政策中的内容，这是否构成了传统合同上的违约；或者，告知同意是否是一种免责声明；或者，当信息处理者获得个人同意后，就构成侵权法上的违法阻却事由；又或者，基于隐私政策的告知同意是一种信息处理者的合规行为？[4]
　　在实施效果方面，基于隐私政策的告知同意也面临众多问题。例如，《个人信息保护法》中的告知同意、单独同意与书面同意的合规应作何种要求；对用户进行告知，是否可以将隐私政策放置在网站的某个链接中，还是需要使用单独弹窗形式；企业获取用户同意，应当采取选择加入（opt-in）还是选择退出（opt-out）模式？此外，有学者指出，告知同意面临“流于形式”的风险[5]，个人信息主体常常没有时间、精力和兴趣阅读隐私政策，企业所获取的同意也常常不是用户的真实意愿。在告知同意制度饱受批评的背景下，如何改进和完善这一制度亟需明确。
　　为了分析上述问题，本文对告知同意制度的性质进行分析。本文认为，基于隐私政策的告知同意具有合规工具、声明与合同等多重特征，应采取公私法融合的多维视角对其进行分析，避免单一视角。在制度实施效果上，告知同意难以在即时交互界面实现对用户的有效告知，用户也面临无效选择与选择疲劳的困境，仅从意思表示的视角难以厘清这一制度。隐私政策的读者对象并不仅限于即时交互界面的个体，还包括企业内部人员、社会主体与市场专业人员、执法机构等主体。采取公私法融合的多维视角，可以发现告知同意可以作为企业内部合规的工具、市场声誉机制的信息媒介、司法执法的依据、信任沟通与隐私教育的工具。为重新激活告知同意制度，应解绑告知与同意，适度放松同意要求，强化告知要求。隐私政策应当依据场景，采取不同提醒模式与分层告知框架，隐私政策应内嵌到企业内部与产品合规中，并依据风险点而进行模块化设计。
二、告知同意性质的反思
　　反思告知同意制度的法律性质，有助于深化对告知同意制度的认识。借助比较法视野，可以发现，美国有时将告知同意视为传统合同，但更多情况下将其视为类似产品说明书的企业声明；而欧盟整体将其视为公法基本权利的合规要求，但也具有一定的消费者合同的特征。《个人信息保护法》采取和欧盟类似的保护型的立法进路[6]，但和欧盟与美国都有所不同。无论是我国还是欧美，隐私政策都呈现公私法融合特征，是一种多维法律制度工具。
（一）美国：作为合同与声明
　　基于隐私政策的告知同意制度起源于美国。20世纪80-90年代，互联网企业开始走出实验室，进入商业领域，随着互联网企业开始广泛收集个人信息，其对个人隐私的威胁引起了社会的关注。为了消除社会的担忧，同时，为了避免政府对互联网企业采取严厉的规制措施，互联网企业开始在其网站上设置隐私政策说明，在自由放任与政府规制之间寻求一条“自我规制”的中间道路。到21世纪初，几乎美国所有的互联网企业都自愿设置了隐私政策。[7]
　　在多数案件中，美国法院将告知同意视为没有传统合同约束力的声明（statement）。[8]例如，在2005年的一场集体诉讼中，西北航空公司在其隐私政策中规定，其收集的个人信息只用于特定目的，但实际上西北航空公司却与一家联邦机构共享大量消费者数据，用于研究航空安全。法院在该案件中否定了告知同意的合同性质。[9]在少数的案件中，法院将告知同意作为传统合同看待。例如，在2005年针对捷蓝航空（In re-JetBlue Airways Corp. Privacy Litigation）和针对美联合航（In-re American Airlines Inc. Privacy Litigation）的诉讼中[10]，法院认为，被告违反隐私政策的信息处理可以被视为合同违约。当然，只有在点击协议（clickwrap）或引起用户反复注意的浏览协议（browsewrap）中，美国法院才有可能将其视为合同。根据美国法院的主流看法，用户在这类协议中有机会浏览隐私政策，因此，可以将其视为合同。[11]而在浏览协议中，法院一般倾向于否定其合同性质[12]；只有浏览协议采取弹窗模式，显著提醒用户，法院才可能将其视为合同。[13]
（二）欧盟：作为基本权利的合规措施
　　欧盟采取个人信息基本权利保护的路径，将个人信息被保护权视为一种宪法基本权利。《欧盟基本权利宪章》第8条第1款规定：“每个人都有权保护与其有关的个人数据。”《一般数据保护条例》第1条第2款也规定：“本条例保护自然人的基本权利和自由，特别是其个人数据被保护的权利。”在这一背景下，欧盟整体上将设置隐私政策与获得告知同意视为公法基本权利的合规措施，但也在一定程度上具有消费者合同的'性质。
　　首先，欧盟法下的隐私政策并非传统合同或声明。如果说美国法上的隐私政策可以被视为市场中可以自由设计的合同或声明，具有自我规制的特征，那么欧盟法则排除了其市场化特征。在欧盟法上，信息处理者没有美国企业那样广泛自由设置隐私政策的权利，其隐私政策所规定的内容、告知的方式都必须符合法定合规要求。正如施瓦茨（Paul Schwartz）所指出，欧盟法的基本假设是，处理个人信息将对公民的人格尊严产生威胁，威胁“法秩序”，因此，对个人数据保护在整体上采取了“信息不可让渡性”（information inalienability）的制度框架，将其视为一种不可交易与不可自由设定的人权。[14]
　　其次，欧盟法下的告知同意也并非侵权法上的免责事由或违法阻却事由。免责事由将告知同意视为过失相抵、受害人故意、第三人过错、自甘风险、正当防卫、紧急避险的行为，但告知同意仅仅是信息处理者合规的一环。信息处理者即使获得用户的明确同意，也可能因为违反“目的限制”“数据最小化”等诸多原则而被认定违法。[15]正如库纳（Christopher Kuner）教授所言：企业总是痴迷于将告知同意视作为获取个人信息“提供充分法律依据的机制，但忽略了处理的法律依据”，欧盟法所规定的数据处理的合法性基础“不是一项具体行动，而是一项重要原则，在公司合规计划的所有阶段都应牢记”。[16]
　　再次，欧盟在隐私政策的司法与执法问题上也采取了合规进路。当信息处理者的隐私政策不够清晰明确，或者其信息处理行为与其隐私政策存在不一致，其救济一般通过行政执法进行救济。个体也可以参与这一过程，可以向独立数据监管机构或法院提起申诉或诉讼，但这种申诉或诉讼都是依据基本权利的合规要求而提起，并非依据信息处理者违反合同而提起。[17]在信息处理者对个人造成损害的侵权诉讼中，《一般数据保护条例》也以违法性作为前置条件，即只有信息处理者违规的前提下，个体才能进行侵权之诉。[18]
　　最后，欧盟的隐私政策也具有一定的消费者合同特征。一方面，虽然欧盟坚持个人信息保护的基本权利特征，并且引入了“目的限定”“数据最小化”等原则，但《一般数据保护条例》等法律仍然给予了个人与信息处理者一定的平等协商空间。例如，当信息处理者希望获取更多个人信息，以便为个人提供更多服务，此时信息处理者仍然可以在基础服务所需的个人信息之外，通过告知同意而获取更多个人信息。只不过，信息处理者不能通过“捆绑”“搭售”等方式拒绝为个人提供基础服务，也不能拒绝个人的撤回权等其他权利。另一方面，欧盟也在很多地方借鉴了消费者保护法的规则，例如，《一般数据保护条例》“重述”第42条直接引用了《1993年关于消费者合同中不公平条款的理事会指令》，指出任何未经单独协商的合同条款，如果“导致合同双方的权利和义务发生重大不平衡，损害消费者利益”，都是不公平的。[19]
（三）我国告知同意制度的性质
　　结合比较法与我国法律，可以发现告知同意制度的性质应做多维解读。一方面，《个人信息保护法》与欧盟《一般数据保护条例》具有较高的相似性，都将个人信息被保护权视为一种基本权利[20]，并将告知同意制度视为处理个人信息的合法性基础之一。这就意味着我国现行立法下的告知同意也具备合规要求的属性，而非传统合同或格式合同。[21]事实上，《个人信息保护法》在立法过程中曾经试图用合同中的意思表示来进行规定。一审稿第14条曾经规定：“处理个人信息的同意，应当由个人在充分知情的前提下，自愿、明确作出意思表示”，但二审稿很快就删除了“意思表示”。这表明，我国的立法者也清晰地觉察到了告知同意制度与传统合同自治之间的区别，将告知同意制度视为具有保护型特征的法律制度。
　　另一方面，我国的文化背景与立法细节也与欧盟存在若干区别，《个人信息保护法》虽然也将个人信息被保护权视为一种基本权利，但并未像欧盟那样高度抽象化，反而在整体上比较关注消费者权利保护。[22]在《个人信息保护法》的实施机制层面，我国的制度反而和美国具有若干相似性，例如，二者都未设立独立监管机构，而是采取了多部门监管与救济体制。[23]在理论和制度优化层面，应将告知同意视为一种兼具消费者合同、声明、基本权利合规的多维制度。
三、告知同意的实施困境
　　在实践中，告知同意面临多方面的困境，学术界更是从多个不同角度对告知同意进行了批评，指出这一制度可能走向形式主义。同时，一些试图强化告知同意的做法不仅无法有效回应这些困境和批评，反而可能加剧某些问题。告知同意面临的困境，与前一部分提到的分析有密切关系。如果仅以合同的视角看待隐私政策与告知同意，这一制度将很难取得积极效果。
（一）告知的困境
　　就告知而言，隐私政策常常无法有效告知用户。信息隐私法的研究从各个角度指出，用户面对冗长、专业、枯燥的隐私政策，很少用户会在各种交互界面阅读隐私政策，阅读此类政策需要大量时间和专业知识。有国外学者推算，如果要通读网络隐私政策，一个人平均每年需要大约244个小时。[24]这还是在十年前，随着社会生活的全面数字化，各类物联网、智能家居收集个人信息的场景无处不在，隐私政策的复杂性、专业性更甚于以往。[25]而没有专业性知识，阅读隐私政策就可能像普通人阅读微积分，看上去每个字都认识，但实际上却很难理解或进入语境。例如，绝大部分普通用户都不了解动态IP与静态IP的区别，也很难理解SDK（Software Development kit，软件开发工具包）处理个人信息的运行原理。在专业背景知识不充分的情形下，个体就很难理解或容易误解各类隐私政策中的内容。[26]
　　此外，用户很少会对隐私政策提起兴趣。在过去的十几年里，信息隐私研究最热门的研究主题之一即是“隐私悖论”（privacy paradox）：人们虽然口头上对个人信息保护无比重视，但实际上却并不太关心隐私政策，很容易就“用隐私换便利”，而且是换取极小的便利。[27]行为主义研究阵营中的法学家、经济学家和心理学家指出，造成这一现象的原因在于侵害个人信息的风险常常不确定，而且是非即时性的。对于这样一种风险，个人不太可能有兴趣对其进行阅读和了解。
　　事实上，现代社会中的产品说明与信息披露早已面临很多困境，个人信息保护中的告知同意只是又增添了另一例证。本·沙哈（Omri Ben-Shahar）教授曾经在经典论文《强制披露的失败》中描述过这一现象，现代社会中的个人每天都会遇到海量的信息提示：从使用剃须刀的产品说明，到收发快递的邮政说明，到吃饭时餐厅食物过敏提示。在信息过载（information overload）的背景下，消费者拒绝阅读隐私政策或产品说明，其实是一种理性选择。正如本·沙哈教授所言，“一次披露可以处理，但海量披露会压垮人，人们不可能关注比洪水更多的披露。”[28]
（二）同意的困境
　　就用户同意而言，首先，在个人没有充分知情的前提下，个人同意可能变成了一种没有理性的情绪表达，无法反映个人的真实想法与意志。理查德（Neil M.Richards）和哈特佐格（Woodrow Hartzog）两位教授曾将这类同意概括为“非知情的同意”（unwitting consent）。两位学者指出，由于个体不理解法律协议、不理解技术背景或不理解后果风险，个体在很多情形下所作出的同意只是一个空壳，远非“知情和自愿同意的黄金标准”（gold standard of knowing and voluntary consent）。[29]
　　其次，个体同意可能具有被诱导性或胁迫性。其中原因可能有多种，例如，市场可能被一两家头部平台所垄断，用户没有太多选项；或者即使用户有比较多的选项，但面对用户黏性和路径依赖，个体也可能很难说不。此外，企业常常有很多的技巧和“套路”让用户同意，例如，企业通过巧妙的交互界面设计，常常诱导用户同意其隐私政策。近年来，此类现象已经引起了越来越多的关注。例如，哈里·布里格努尔（Harry Brignull）将此类套路称为“暗黑模式”（dark patterns）[30]；一系列信息信义义务的研究认为企业可以对用户进行操控（manipulation）。[31]这些研究的共同发现是，个体的同意常常是被支配或操控下的非真实意思表示。
　　最后，个体的同意也常常被绑定，无法作出具有“颗粒度”（granularity）的同意。信息处理者处理个人信息，有时是为了实现基础服务功能，有的是为了提供额外的增值服务或进行数据的进一步利用，还有的则可能对用户产生危害。面对信息处理者的多重目的，用户常常很难对所有目的进行“颗粒化”的分析，并分别一一作出同意或拒绝。更多的情况是，用户常常同意为了实现各种不同目的的信息处理，导致同意机制的异化。伯特·贾普·库普斯（Bert-Jaap Koops）教授将这类异化称为“功能蠕变”（function creep），认为同意机制常常导致个人信息被用于个人并不真正认同的初始目的，违反“目的限定”原则。[32]
（三）强化告知同意的困境
　　应当看到，现行的不少法律、指南与意见都看到了告知同意的困境，并对其进行了针对化的改进。例如针对告知，《个人信息保护法》第17条明确要求，个人信息处理者在处理个人信息前，应当以“显著方式、清晰易懂的语言真实、准确、完整地”向个人告知，《一般数据保护条例》同样规定控制者“应当以一种简洁、透明、易懂和容易获取的形式，以清晰和平白的语言来提供”。但如果仅从个体认知出发，则此类告知仍难以解决上述无兴趣、无时间、无专业、信息过载等难题。例如，当法律要求信息处理者采取“警示”的方式进行告知，但一旦“警示”过多，个人就会对此类警示疲劳；当法律要求信息处理者采取清晰平白语言，隐私政策就会更加冗长；当法律要求隐私政策简洁，告知就会不全面、不清楚。无论如何，要求信息处理者在一个交互界面对微型不确定的专业风险问题进行充分告知，无异于是一个不可能完成的任务。[33]
　　同意的困境同样难以解决。《一般数据保护条例》对于同意功能的弱化非常关注，并进行了针对性的规定。例如，其第4条第11款明确规定了同意的四个要素：自由作出（freely given）、具体（specific）、知情（informed）、通过声明或明确行动明确表明数据主体的意愿（Unambiguous indication of wishes），并且在“重述”和EDPB（European Data Protection Board，欧洲数据保护委员会）关于同意的指南中对这四项要求作出了进一步规定。但这些要求无法解决个体无意进行太多决断这一根本性困境。在个人信息保护中，个体的同意并不像买卖大额商品或从事高危活动，一个理性个体不可能对此类微型权益进行深思熟虑的权衡。当法律作出强制规定，要求信息处理获得个人同意必须获得更高级别同意，此类强制规定只会增加用户负担。例如，当企业对所有个人信息收集均采取弹窗形式，或者要求用户采取“选择加入（opt-in）”而非“选择退出（opt-out）”的方式进行同意，那么，此类做法只会降低用户体验，而非激发真实同意。[34]
四、隐私政策的另类用途
　　从个体控制出发，告知同意面临困境，效果有限。但转换视角，从信息处理者自我规制、市场声誉机制、法律有效实施、沟通教育工具等角度出发，却可以发现作为告知同意载体的隐私政策的若干“意外”作用，隐私政策除了为用户个体提供告知，还可以发挥其他作用。
（一）自我规制的章程
　　从消费者或用户的角度看，隐私政策艰深晦涩且无足轻重，但从专业人员的角度看，隐私政策却是理解企业处理个人信息的重要参照，帮助信息处理者建立良性的合规流程与制度。[35]在没有隐私政策之前，企业内部可能各自为政，没有专业人士专门从事个人信息保护工作，也没有人了解个人信息处理的整体图景、形成处理个人信息的统一流程。但通过隐私政策的人员设置、前期调研、条款拟定、协调沟通，此类情形却可以大为改善。在这个意义上，隐私政策可以成为信息处理者自我规制的章程。
　　如今，各国法律都将企业自我规制作为个人信息保护的重要一环。例如，《个人信息保护法》第51条规定，企业应当“制定内部管理制度和操作规程”等措施，第52条规定，符合要求的信息处理者“应当指定个人信息保护负责人，负责对个人信息处理活动以及采取的保护措施等进行监督”；《一般数据保护条例》也规定了企业内部合规建设、数据保护官（Data Protection Office，DPO）等制度。[36]这些制度与隐私政策的功能密切相连，离开了隐私政策，企业内部将很难建立统一的个人信息保护政策，所谓企业的自我规制也无法展开。[37]
（二）声誉机制的媒介
　　隐私政策还可以成为声誉机制的重要媒介，建构个人信息保护的市场机制。单就个体而言，个人信息保护由于其专业性与信息高度不对称性，无法形成普通商品的信誉市场，甚至可能导致劣币驱逐良币的“柠檬市场”，造成企业处理个人信息的机会主义行为倾向。[38]但市场中存在大量的中介机构，这些机构可以通过对隐私政策的理解、评级与认证，为信息处理者的信息处理提供打分机制，促成声誉机制的形成。
　　事实上，在隐私政策的发展历程中，此类机构就扮演了重要角色。例如，成立于1998年的在线隐私联盟（Online Priracy Alliance，OPA），这一机构由80多家全球化公司组成，将“领导和支持自律倡议，为在线隐私创造一个信任的环境”作为其使命。该机构不仅自己发布在线隐私通知指南、自我规制执法框架，而且要求其所有成员都使用并公布其自身的隐私政策。通过对其成员隐私政策的监督，该机构在早期个人信息的行业保护方面发挥了重要作用，促进了市场声誉机制的有效发挥。[39]
　　声誉机制与社会监督制度也在各国法律中被广泛应用。例如，《个人信息保护法》第58条要求大型平台建立“个人信息保护合规制度体系，成立主要由外部成员组成的独立机构对个人信息保护情况进行监督”。《一般数据保护条例》第40-41条规定了“行为准则”（codes of conduct），对代表信息处理者的行业协会制定更加细化的规则进行了规定，第42条对“建立数据保护认证机制、数据保护印章和标记，以证明控制者和处理者的处理”合规的认证（Certification）制度进行了规定。这些兼具合规与声誉机制的制度如要发挥作用，都离不开隐私政策这一工具。
（三）法律实施的依据
　　隐私政策还可能成为个人信息申诉、司法与执法的重要依据。如果说隐私政策在企业自我规制与市场声誉中扮演的是“软法”治理的角色，那么，当相关组织与机构提起申诉、诉讼或进行执法时，隐私政策就可能变成“硬法”治理的一部分。
　　一方面，个体、社会组织可能依据隐私政策提起申诉或诉讼。为了调动社会各主体参与个人信息治理，各国都在不同程度上赋予了个体与社会组织的申诉权或诉讼权，以发挥此类主体被比喻为“私人总检察长”的作用。[40]例如，《个人信息保护法》第50条第2款和第69条分别赋予了个体的个人信息权利之诉与侵犯个人信息权利导致的侵权之诉，第70条规定了“人民检察院、法律规定的消费者组织和由国家网信部门确定的组织”可以提起公益诉讼。[41]《一般数据保护条例》也认可了个人申诉与司法诉讼权，并且在其第80条中首次引入了代表性诉讼[42]，规定“数据主体有权委托非营利机构、实体或协会代表其行使”申诉和司法救济的权利。美国新近影响巨大的《数据隐私保护法案》（American Data Privacy and Protection Act，ADPPA）也规定，个体可以向监管机构提起申诉，如果监管机构或总检察长对于个人投诉不采取行动，个体还可以直接提起诉讼。[43]在此类诉讼中，隐私政策往往在其中扮演关键性角色，个体与社会组织往往依据隐私政策对信息处理者展开调查和提起诉讼。[44]
　　另一方面，监管机构、检察机构的执法活动也高度依赖隐私政策。当执法机构根据个人举报或相关线索进行个人信息执法，其切入口往往是隐私政策。[45]例如，美国联邦贸易委员会在过去几十年里承担了信息隐私的重要执法功能，其在“Facebook与剑桥分析公司丑闻”等重大案件中，就是从调查企业的隐私政策开始，一步步调查企业的信息处理是否具有欺诈与不公平现象。[46]