新一代信息技术发展的一个重要突破就是极大提升了数据处理能力,这也使得人们更容易在工作和生活中留下姓名、职业、住址、电话号码、身份证件号码、财产信息、消费记录等。这些信息被互联网记录和存储,非常容易被泄露和传播,甚至可以通过个性化推荐等算法分析而产生巨大商业价值。中国消费者协会2018年发布的《APP个人信息泄露情况调查报告》显示,受访者中因个人信息泄露而被骚扰或侵害过的人数占比达85.2%,个人信息泄露的情况为数不少。在新一轮科技革命进程中,个人信息保护成为一个重要问题。
目前,我国侵权责任法、电子商务法、网络安全法等法律都有关于个人信息保护的规定,更多更专门的立法也被提上议事日程。在深入总结现行法律实施经验的基础上,学术界和实务界将对个人信息保护的有关法律问题进行研究论证,以进一步加强对个人信息的保护。个人信息说到底归属于信息主体个人,个人对这些信息应当有处置权。因而,促使个人信息收集者、处理者尊重个人的知情同意权,就成为个人信息保护法律制度设计的一项关键内容。
在信息技术快速发展的当下,个人信息不断产生,同时被多种机构、企业存储和传播。个人有可能在不知情的情况下就失去了主张权利的机会。让人们能够恰当地控制个人信息,前提是让其有权了解自己的哪些信息正在被收集、使用。赋予个人信息主体以知情权,同时规定个人信息收集者、处理者负有告知义务,是维护个人信息自主权的需要,也是督促互联网信息产业透明运营的需要。
2017年6月实施的网络安全法就体现了知情同意原则,其中第四十一条规定:网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。同时,根据其中第六十四条的规定,如果网络运营者违反了信息收集使用规则,有关主管部门可以责令改正,并根据情节单处或者并处警告、罚款。
在对个人信息进行保护的过程中,还需要依据实际考察现行法律所涉及的知情同意原则的实施情况。例如,网络经营者制定的个人信息保护政策可能因为复杂冗长或语言晦涩而让消费者难以理解,导致消费者的知情权沦为一纸空文。另一方面,大数据时代需要对海量信息进行批量处理、多方共享等,也让信息产业经营者呼吁确立知情同意原则的豁免规则。此外,对于未成年人的个人信息保护、不同风险类型的个人信息保护等,也有必要进行具体制度设计。
为了使知情同意原则的实施更加透明,应当明确个人信息的收集者、处理者在收集使用信息的不同阶段履行何种具体的告知义务。在用户首次进入时,信息收集者、处理者就应以明确、易理解的方式告知其个人信息存储和使用的内容、方式、范围、目的。此外,当个人信息的存储方式和使用目的发生变化时,用户提供了新的敏感个人信息时,个人信息收集者、处理者也应当履行相应提示告知义务。被收集信息者为未成年人时,应当建立特别规则,以加强对未成年人个人信息的保护。另外,法律明确规定的合法、正当、必要原则,在实践中如何科学界定,也需要进一步完善规则。知情同意原则着眼于人在科技发展中的主体地位,是个人信息保护的基石性原则。为个人信息安全扎紧防护网,我们才能在互联网的大海里安心畅游。
(作者:申卫星 清华大学法学院院长、教授)