个人信息处理告知同意规则的实践困境与改进建议
——基于《中华人民共和国个人信息保护法》的解读与思考

文/刘洋

2021年8月20日，十三届全国人大常委会第三十次会议表决通过《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》），这标志着我国个人信息保护进入到一个全新的法治阶段。为协调处理好个人、企业和社会公共利益之间的关系，《个人信息保护法》通过多个条文系统地搭建了告知同意规则。该规则以保护个人信息为最终目的，基于民法上的“意思自治”原则构建而成。但在数字网络技术条件下，个人信息处理主要通过网络大规模实现，且隐私协议往往晦涩难懂，导致在实践中遇到不少困境和挑战。因此，个人信息保护在规制方法、规制理念上与传统的“意思自治”具有较大差异，需结合用户视角和公共秩序的考量，有针对性地予以改进优化，使其适应互联网时代发展的特点，从而起到有效的保护作用。

一、告知同意规则的合法性基础

告知同意规则，是指任何组织或者个人在处理个人信息前，必须将处理信息的必要事项如实告知所涉及的个人，只有在取得权利主体的同意后，才可合法地开展信息处理活动。该规则可细化拆分为两部分：告知规则要求信息处理者在实施处理行为之前，必须将信息处理的目的、方式、范围等内容对个人如实充分说明，以保障个人的知情权；同意规则是指个人在充分知情的前提下，根据自己的真实意愿明确地做出决定，以保障个人的决定权。

告知同意规则作为个人信息合法利用的基本依据，有着不可替代的存在价值，也是国际通行的个人信息处理规则。美国在隐私保护实践中最早提出了“公平信息实践”的五项基本原则，并在《全球电子商务政策框架》中将告知许可作为个人隐私保护的原则。欧盟通过的《一般数据保护条例》（GDPR）中明确提出，同意是数据处理合法性的首要情形。“我的权利我做主”的立法理念，同样体现在我国个人信息保护的立法当中。我国《民法典》第1035条、《个人信息保护法》第13条均将取得个人同意作为信息处理合法性的首要原则。在立法中，告知同意规则之所以作为个人信息保护的“黄金条款”，具有基础性、根本性的法律地位，根本原因就在于个人信息与自然人的人格尊严和人格自由息息相关，部分敏感信息甚至关系到人身和财产安全，而保护人格尊严和人身安全属于最高位阶的法益。

二、网络时代传统“意思自治”原则遭遇新挑战

实践中，由于信息处理者往往面对亿万量级的潜在用户，并将处理个人信息与其所提供的产品或者服务直接关联，出于标准化和效率因素的考虑，告知同意规则所指向的“意思自治”，与传统民法的自由意志相比，在网络时代遇到了新的情况，进而产生了新的问题。《个人信息保护法》第14条强调个人的同意，必须达到“充分知情”“自愿明确”的法定标准，这也正是立法对网络领域个人信息保护特殊性的积极回应。具体而言，传统“意思自治”原则在网络时代所面临的挑战主要有以下四点：

1．个人同意内容均来自处理者的单向告知。与传统的“意思自治”相比，信息处理的双方实质处于不对等的地位。由于个人信息处理的专业性、技术性和复杂性，信息处理者在技术的理解和运用方面天然占据优势地位，双方处于严重的信息不对等状态，二者之间存在结构性的“数字鸿沟”。信息处理者在实践中往往是大型的平台企业，与个人相比，实力也相差悬殊。因此，在告知同意规则中，个人的知情和同意完全倚重于处理者单向的信息告知，个人仅有同意或者不同意的选择权。

2．信息处理内容属于典型的格式条款。显著区别于传统民法的“意思自治”，告知同意的内容属于典型的格式条款。实践中，信息处理者主要通过提供隐私协议的方式履行告知义务。面对如此众多的潜在用户，为节约处理成本，信息处理者只能提供一份固定内容的隐私协议。虽然用户能够面对千人千面的信息展示页面，但在所有用户面前，隐私协议只能是同一份格式合同。用户不能基于个人的理解或者不同意见，单独去找处理者予以个性化磋商或者修改，针对不懂的地方进行咨询的机会都可能没有，只能面对整份协议的固有内容自行做出决定。

3．操作流程上具有不可更改的预设性。相较于传统的合意达成，告知同意的流程实践中基本遵循了“弹窗”“阅读”“同意”的操作流程。个人对隐私协议的同意，必须在处理个人信息之前完成，否则就构成了提前收集的违规行为。个人也不能通过传统民法事后追认的方式，使事前的信息处理行为合法化。在个人浏览隐私协议后，表达同意的方式在流程上也已被预设，主要通过点击勾选框或滑动同意按钮来实现，而并没有传统化的签名盖章等方式。

4．规模化的个人信息处理关系到社会公共利益。从单个主体的情形看，个人对其信息处理的同意，属于对其私权的处置。但在大数据时代，规模化、批量化、自动化的个人信息处理，已经超出了私人“意思自治”的范畴，更事关社会秩序和公共利益，具有一定的公法色彩，也成为行政监管的对象。对个人信息处理行为的监管，我国的执法部门已强力介入，如网信、工信、公安等部门，先后组织多轮APP违法违规收集个人信息的专项整治和通报整改，纠正了大量不合法的处理行为。

三、告知同意规则在实践中的困境

虽然告知同意规则来源于传统民法的“意思自治”，但基于上述所遇到的挑战，不得不面临网络时代的各种实践困境，甚至对规则本身产生了挑战。

1．语言表述偏重技术化专业化，用户往往不能理解。理解是用户“充分知情”的前提。个人信息处理本身源于技术，与计算机等技术操作有直接密切的关联。因此，隐私协议的语言表述，大量使用计算机、网络等方面的专业术语，导致普通用户难以理解。即使在《个人信息保护法》中，对“个人信息处理”的界定也带有较浓郁的技术色彩，涵盖了“收集、存储、使用、加工、传输、提供、公开、删除”等8种方式，属于对个人信息处理不同环节的高度凝练和总结归纳。但不可否认的是，这种泛技术化的定义过于繁杂和生硬。信息处理者为达到合规目的，更多是从操作者的视角草拟隐私协议，而不是从用户理解的考虑出发。实践中，隐私协议的用语和表达明显带有技术化、术语化以及专业化的倾向，导致信息处理的实质内涵无法真正传递到个人，知情效果难以得到保障。

2．个人没有足够精力阅读繁杂冗长的内容，阅读率明显偏低。基于信息处理的复杂性，信息处理者往往将隐私协议写得详尽繁杂、枯燥无味。当用户面对冗长繁杂的隐私协议时，无法投入足够的时间和精力去阅读所有的条款，更多只是象征性地浏览划过，实质放弃了对内容进行审查的机会。在告知同意规则当中，往往认为告知和知情是正相关的关系，详细充分的告知会让个人充分知情，其实只是一种理论上的一厢情愿，实践中反而会产生“告知越多、知情越少”的悖论。对于枯燥乏味的长篇隐私协议，即使真实、准确、完整地描述了信息处理的所有详情，但几乎没有人愿意耐着性子认真读完，甚至连美国联邦最高法院的大法官，都坦言自己不会阅读平常遇到的隐私协议。

3．个人信息处理活动的复杂性，可能导致信息并未全部列明。从知情同意规则的本质要求看，信息处理者必须将所有可能影响信息主体权益的必要事项全部告知。但是，这种理论假设在实际中却很难实现。随着现代信息处理技术的不断更新迭代，个人信息可识别性的技术边界和处理操作模式都在不断拓展。比如，处理个人信息的规制主体已经从APP服务提供者，进一步延伸到软件工具开发包（SDK）提供者。同时，由于处理过程中的信息不对称，可能导致一定的道德风险，处理者可能故意模糊或者忽略一些关键因素，以此来获得个人粗略而广泛的同意。

4．隐私协议主要用于满足合规，并未构成产品或服务的核心竞争力。在竞争激烈的信息服务市场中，处理者提供隐私协议的目的主要是合规，以满足法定要求。《个人信息保护法》第17条逐一列明了必须告知事项的范围。隐私协议的好与坏并不是吸引用户增长的考虑因素。同时，对于个人而言，也并不是哪家隐私协议写得好，就会去选择哪家的服务。用户更多考虑的是谁的产品或者服务更符合自身的需求，以满足服务为导向。面对众多的隐私协议时，个人也很难察觉到不同隐私协议之间的细微差别，但对产品服务体验的差异则非常的明显。

5．个人为立即获得有效的服务，往往只能做出当场同意的决定。个人对隐私协议的同意并不是孤立的行为，是获得信息处理者所提供服务的必要前提，从而产生“个人信息处理”和“信息服务提供”两个紧密相关的双边市场。在此情形下，信息处理者的身份存在混同，既是个人信息处理者，也是信息服务的提供者；个人不仅是信息授权主体，还是接受服务的用户。虽然《个人信息保护法》第16条要求处理者不得以不同意为由，拒绝提供产品或者服务，但缺乏个人信息的用户服务，在实践中往往只具备最基本的功能，根本无法满足用户丰富的应用需求，导致用户体验极差。另外，从用户感知的角度看，拒绝隐私协议后当时就无法获得所期待的信息服务，但如果勾选同意隐私协议后，个人信息是否存在被滥用的可能，则需较长时间才能感知，甚至无法确定到底是哪个信息处理者泄露了自己的个人信息。因此，在这种服务期待和现场满足的隐形压力下，个人往往只能做出当场同意的选择。面对这种可预期的结果，个人是否详细阅读以充分理解隐私协议已变得不再重要，甚至都不会记得勾选同意过多少个隐私协议，实质上构成了对个人权利的自我放弃。

四、进一步完善告知同意规则的建议

正是由于告知同意规则在实践中遭遇的诸多挑战和问题，导致学界对该规则产生怀疑和批评，但这反而更加凸显该规则的重要性。告知同意的实质内涵并未被真正动摇，当前存在的主要是实践问题。在不能找到比告知同意规则更加行之有效地保护个人信息的其他规则的情形下，不能因其具有的现实局限性而否定其本身的必要性，告知同意规则基础性的地位依旧不可撼动。因此，应当进一步完善规则，从积极唤起个人权利意识和加强外部监管两个方向形成合力，进一步促进大数据背景下个人信息的合法收集和利用，提升信息保护的整体成效。

1．从维护个人权利的本源出发，改进告知方式和强化沟通反馈。基于个人在信息处理过程中的被动性，为有效满足用户“充分知情”的需要，需重点加强对告知环节的规制，以切实提高隐私协议的可读性，使个人能够在较短的时间内快速找到和准确理解信息处理的重要事项，并且增加个人与处理者之间进行沟通互动、反馈交流的有效渠道，确保将信息处理的最终决定权牢牢地掌握在个人手中。

一是从阅读者的角度，告知用语和表达方式需符合一般用户的认知范畴。隐私协议的撰写不应从处理者的操作习惯和思维惯性出发，而应转化为服从服务于一般用户的阅读理解。信息处理者在满足法定的详尽必要的基础上，更加注重隐私协议的质量，避免出现复杂的法律术语、生涩的技术用语等，即使不得不出现，也需要予以相应的概念解释和风险提示，确保最终以个人能够理解的社会化语言进行表达。针对复杂处理事项，还可考虑情景举例的方式，让用户明白其中的运行机制、逻辑关系和利害关系。另外，为解决纸质文本的枯燥性，甚至可以探索短视频的方式，将隐私协议转化为可视化的讲解内容，增强隐私协议对用户的吸引力。

二是同步推出更具高度归纳性或提示性的简短版本，突出关键核心内容。为确保告知满足效果性条件的要求，就需要把有限的空间留给最紧要的内容，可以对隐私协议一并提供“瘦身”版本，采取缩短篇幅、简化表达等技术化的处理措施，避免信息过载；同时，采取措施使个人不轻易忽略关键信息，提高用户的阅读效率，提升阅读体验。目前，实践中已经出现了一些有益的探索。比如，采取“告知摘要”的方式，通过发布隐私协议的简要版本，增加清晰易懂、言简意赅的内容概要和关键信息提示，直接告知对个人可能产生的重要影响；有的采取重点语句加粗高亮的方式，提示用户在繁杂的内容中快速识别关键部分，增加阅读的有效性。

三是增强互动交流，信息处理者可建立有效的答疑反馈和内容改进渠道。为避免用户只能在同意和不同意之间摇摆，应给予用户更多沟通的渠道和反馈意见的方式，以用户集体的力量来推动完善隐私协议。一方面，在用户阅读隐私协议过程中，针对不理解或者疑惑之处，信息处理者需树立“提前服务”的理念，在个人成为正式用户之前，设置指定的官方账号或者服务热线，专门解答信息处理方面的问题，及时做出合理解释，尽量打消个人同意前的顾虑；另一方面，注重加强对用户咨询问题的收集整理，针对用户多次反映、反复提问、提出质疑的地方，定期予以汇总，以便在下次修改隐私协议时，做出相应的完善。通过汇聚大量个人的反馈，进而使个人为完善隐私协议而贡献自己的力量，达到间接参与制定隐私协议的目的。

四是建立隐私协议定期评估机制，确保文本内容与操作实践保持动态一致。为确保告知同意的内容跟得上不断发展的个人信息处理实践，处理者可以对隐私协议进行定期评估。一方面，对既有内容的落地实践予以总结，查遗补漏；另一方面，结合业务拓展和技术发展实践，相应进行补充完善，对隐私协议及时予以升级，防止出现用户同意一次，协议终身不变的情形。当然，如果出现《个人信息保护法》第14条第2款的情形，当处理目的、方式和处理信息种类达到实质变更的程度时，还需要重新取得个人的同意。

2．更加重视发挥个人信息保护监管部门的作用，集中整治重大违法违规问题。面对实力强大的个人信息处理者，个人主体并不能与之进行有效的抗衡。因此，即使法律赋予了个人最终同意的权利，但可能在实践中也沦为“纸面上的权利”。为切实保护个人信息，不仅取决于个人权利的有效行使，更有赖于国家层面的严格监管。当前，与个人对隐私协议的权利漠视形成鲜明对比的是，实践中反而是国家层面对用户隐私协议监管的不断强化，监管机关站在个人信息保护的第一线，以缓解个人行使权利的“无力感”，以有效弥补个人权利虚置和怠于行使的问题。因此，在个人信息的私权意识尚未完全觉醒和培育成熟之前，个人信息保护监管部门应当发挥更大的作用。一方面，通过加强专项监督检查、公开通报、限期整改、处理处罚等“硬手段”，针对实践当中突出的强制授权、过度索权、超范围收集等问题，强化执法力度；另一方面，通过宣传教育、制定国家推荐性标准、发布合规指引、组织制定有关隐私协议范本等“软指导”的方式，通过公权力的积极介入，多管齐下集中整治个人信息处理的违法违规问题，重树社会公众的信心，引导用户积极维护个人信息的合法权益。

3．充分发挥社会监督的激励约束机制，让个人信息保护得到更多关注。当前，个人信息保护当中的诸多问题引起了社会的广泛关注和讨论，多方参与共治的格局正在逐渐形成。应进一步发挥社会监督作用，发动更多的力量审视监督信息处理行为。如通过消费者协会开展监督评比、行业组织加强研讨交流、相关媒体开辟专栏专版关注个人信息保护等方式，就能够在一定程度上化解告知同意规则当中的数字鸿沟，减少信息不对称造成的道德问题。《个人信息保护法》也体现了对重要信息处理者强化外部监督的思路，在第58条要求重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者，应当定期发布个人信息保护社会责任报告，必须接受社会监督，进而让社会有更多的渠道了解和评价个人信息保护的履行情况。针对告知同意规则落实较好的处理者，还可以通过行政监管机关实施认证认可、行业协会推广先进经验、社会舆论正向报道宣传等方式，激励信息处理者不仅满足合规需求，更让隐私协议成为其产品或者服务核心竞争力的一部分，构成吸引潜在用户、提升企业声誉的重要渠道。