【内容提要】 个人信息“选择退出”机制改变了传统的同意授权模式,将原本由使用人承担的特定义务转换到权利人身上;若权利人不能有效行为,则发生默示同意的法律效果。为实现个人信息保护与信息自由流转之间的平衡,对同意作宽泛解释以纳入“选择退出”机制,可以弥合同意授权模式的不足,满足降低经济成本和合理配置信息资源的现实需求。然而,围绕“选择退出”是否构成一项“同意”仍存在分歧,权利人作出反对的性质不明且信息处理者往往告知不完备,客观上使得个人信息控制权被弱化。将“选择退出”机制引入个人信息法时须作出修正:一是在“宽泛同意”场景下解释“选择退出”,以消除将默示同意规则纳入同意体系的理论障碍;二是强调信息主体基于“选择退出”享有反对的权利,并确保信息利用者履行告知义务的完备性;三是严格规定“选择退出”机制的适用条件,避免其发生不当泛化。在修正的基础上,我国个人信息保护法中纳入“选择退出”机制符合现实需求。
【关键词】 选择退出;宽泛同意;反对权;告知义务;适用限制
在大数据背景下,同意的作用发生虚化和异化,进而对数据利用形成一定障碍,这一困境促生了包括“选择退出”机制在内的多种修正方案,以平衡个人信息权利保护和信息利用之间的冲突。个人信息“选择退出”机制能够修正同意的不足和优化信息资源的配置,但同时将控制风险的负担转嫁给了信息主体,客观上致使个人信息控制权发生弱化。域外围绕这一机制已有专门立法,相关理论实践较为丰富。但从国内个人信息保护的研究现状来看,学界对以同意为内核的个人信息“选择进入”已有相对明确的认识,对与之相应的“选择退出”的关注远有不足,尚未对这一特别机制提供一个完整的解释样本。客观上,对“选择退出”是否构成一项同意尚存在理论上的分歧,信息主体基于“选择退出”作出反对的性质不够明确,在信息处理者告知不完备的情况下,这一制度运行对个人隐私保护的不利影响尤甚,要求在对其进行系统研究的基础上,探索修正的方法以发挥其积极效能。
我国现行法中尚未明确纳入“选择退出”机制,但个人信息保护立法进程中已在进行一定制度尝试。同时,商业实践中不乏默示同意规则的应用,司法审判中也可见相关判例。本文拟基于域外法立法理论及实践,探讨将“选择退出”机制引入个人信息领域的法理基础、该机制的局限性以及相关内部修正方案等问题;在此基础上,本文亦将对我国个人信息保护法中“选择退出”机制的设定予以思考。
一、“选择退出”机制的提出及法理基础
(一)“选择退出”机制的提出
“选择退出”的概念并非新创,但其获得广泛关注始于版权领域。尤其是谷歌“数字图书馆计划”引发的一系列版权风波,促使法律界对这一问题作出检视和反思。谷歌2005年宣布“选择退出”机制的主要动机,是为了解决“数字图书馆计划”实施过程中大量数字化作品未经版权人授权的问题。根据这一机制,如果一个出版商或者作者向谷歌提供一份希望被纳入数字图书馆的书籍清单,那么谷歌将放弃对这些书籍的扫描;即便谷歌的合作图书馆所存储的数据中包括这些书籍,它们也不会进入谷歌数字图书馆。“选择退出”机制的特殊之处在于:它改变了原本基于同意的授权模式,将原本由使用人承担的特定义务转到权利人身上;如果权利人未能有效地从事一定行为,则被推定为“默示同意”对方使用相关权益。此种拟制性“选择退出”机制因削弱了对版权人的保护而招致诸多批评,甚至使得谷歌陷入一系列法律诉讼,但不可否认的是,它的推行促进了数字产品的利用,并被学者认为是重新建构现有版权体系以实现信息协调的可取方案。
显然,从制度设置的原初目的来看,“选择退出”被赋予不同于其字面的特定法律内涵。根据学者的界定,“选择退出”是指:当事人之间并不存在许可合同,在法律规定的特定情形下,如果权利人未声明不得使用,即视为构成对此种使用的许可。可见,此处所指“选择退出”采狭义的解释方法,并在法律效果上构成“默示同意”,因而在学理上也被视为一项默示许可规则。
(二)个人信息“选择退出”机制在外国法中的确立
“选择退出”机制在个人信息保护领域的适用,较早散见于个别法律文件中。例如,根据美国家庭和教育法案的规定,学生的“教育记录”受到保护,但作为一种例外,学校可以不经同意使用学生的“目录信息”,除非学生或其监护人“选择退出”。在大数据技术背景下,由于作为“选择进入”机制内核的同意制度面临新的挑战,“选择退出”被进一步引入个人信息保护理论,在直接营销、电子邮件、商业广告投放等特定情形下得以适用。
关于“选择退出”机制的最具有代表性的立法样本为美国1999年《格莱姆里奇布莱利法案》(GLBA/The Gramm-Leach-Bliley-Act)。该法通过确立“选择退出”的方法,赋予消费者一定的自律能力,使其可以选择拒绝向金融机构的非关联方披露个人信息。根据该法的开篇意旨,国会的政策是为了确保每一个金融机构均有义务尊重和保护消费者的隐私,然而,它实质上允许提供金融服务的企业相互关联,并允许这些关联机构分享机密的消费者数据,除非该消费者选择禁止此事的发生。金融机构通过“选择退出”机制践行其义务,它们得以披露任何信息,除非消费者通过特别行动予以阻止。如此,《格莱姆里奇布莱利法案》以专门法的方式,确立了“选择退出”机制在消费者个人信息领域的适用。
英国在个人信息保护方面亦采纳了更具有商业导向的“选择退出”机制,并认为其在法律效果上构成“默示同意”。英国信息专员公署指出,一定情况下,表示反对可能是一个人表示同意的机制的一部分。根据学者的界定,“选择退出”的同意是指,当信息控制者告知信息主体自己将基于合适的方式(比如回帖)使用其个人信息,并声明如果对方不采取特别措施的话,其被推定“同意”对相关个人信息的使用。“选择退出”通常要求信息主体作出明确的声明,形式上多表现为勾选假定同意基于特定目的处理其个人信息的选项。个别情况下,也可从信息主体的特定行为中推出其“同意”的意思。与基于传统授权同意的“选择进入”比较,此种“选择退出”的方法被视为是个人信息保护的一种“软退出”政策。
(三)“选择退出”机制引入个人信息领域的正当性
关于“选择退出”机制的正当性,既有个人信息保护理论中尚未予以系统讨论。一定意义上,技术、法律和商业模式都可能是“选择退出”默示许可规则出现和应用的推动性因素。究其制度目标,“选择退出”机制的产生本质上源于其在大数据利用背景下呈现出特有的法律价值。
“选择退出”机制的一个首要价值为,对传统的授权同意模式形成补充和修正。随着网络科技的普遍适用,海量信息的批量处理、多方共享、目的不特定的频繁利用加大了有效获取同意的难度。相应地,获取同意的成本上升,信息主体的同意能力受到一定限制,同意的作用发生虚化和异化,进而对数据利用形成一定障碍,授权同意模式的实践效果日渐捉襟见肘。与此同时,个人信息控制论的现实基础也因受到冲击而日渐式微,向社会控制论转换的需求则使得法律规范的重心从收集行为转向使用行为。当制度上没有为个人信息保护准备好全面、有效的许可规则时,产业界为了满足其急迫的利益诉求,就会寻求另一种替代方法,并凭借其在市场中的强势作用推动这一方法的适用,“选择退出”机制作为一种较佳的替代方法应运而生。
“选择退出”机制的另一个重要价值为,节省交易成本,对信息资源作出更优配置。基于公共利益理论,个人信息具有社会性和公共性,其作为一种“资源”应进行合理配置,“选择退出”的方法在此点上呈现出明显的优势。一方面,在“选择退出”之“默示同意”模式下,数据控制者无需向数据主体寻求同意授权和进行行为推测即取得同意效果的更宽泛数据处理权限,从而能够节省为明示同意程序付出的巨大时间和经济成本。从运作成本来看,“选择退出”机制也具有更大优势:由于并非全部权利人均会“选择退出”,以同意为内核的“选择进入”的谈判成本明显高于“选择退出”。在处理者提供了意图使用信息的通知、权利人能以低成本且方便的方式表明其反对意见以及涉及处理的信息数量巨大等特定条件下,“选择退出”机制能够有效降低交易成本。另一方面,“选择退出”机制能够丰富信息市场和提高信息的资源性价值。对此,有学者从市场激励与主体责任承担的角度阐释到,“选择退出”利于信息资源的保护与责任承担的平衡,它以“权利人未明确拒绝授权”作为前提条件,使得该机制介于财产规则和责任规则之间,既是附条件的财产规则,又是附条件的责任规则,兼具了二者优势,也兼顾了保护权利与提高效率的价值。有学者基于转换规则理论指出,在特定情形下,法律保护规则可以在物权规则、义务规则和公共领域规则之间进行转换;“选择退出”作为转换规则的一种,允许权利人依法选择退出原有“义务规则”,是难以达成资源有效利用时的更佳方案。
个人信息保护法的根本立法目的应为实现个人信息保护与信息自由流转之间的平衡,而并非单一地保护个人信息本身。“选择退出”机制作为一种妥协性方案发挥平衡作用,在维护信息主体之权利控制的同时又为信息协调留下可能空间。据此,域外一些立法纳入此种“选择退出”机制,将其适用于同意授权模式运行效果不佳的特定场景。
二、外国学者对个人信息“选择退出”机制的主要批判
“选择退出”机制在避免对原有的同意授权模式产生重大冲击的前提下,迎合了大数据时代的信息资源优化配置需求。然而,围绕这一机制的问题探讨远未终止,关于“选择退出”是否构成一项“(默示的)同意”的分歧仍在,信息主体就“选择退出”的个人信息作出反对的性质界定不明,信息利用者获得对信息资源的更多配置权却未能承担充分的告知义务,这些因素增加了“选择退出”机制的不确定性,进而影响到制度运行的效果。
(一)“选择退出”构成“同意”之观点分歧
美国和英国相关立法中纳入“选择退出”机制时,均旨在设定一个默示同意规则,也即设置一个特定的前提选项,如果权利人不明确拒绝表示“选择退出”对其个人信息的处理,则推定其构成默示同意。然而,理论界关于这一问题的观点并不一致,许多年来,围绕“选择退出”应否构成一项“同意”的分歧始终存在。有学者将“选择退出同意”的引入视为是一个误解,认为是对同意的定式化导致了此种“必然性谬论”;有学者坚持只有“选择进入”中的“同意”才是真正的同意,认为“选择退出”条款不应与之混用,而应视为是实施反对权的一种手段。在这些异议者看来,“选择退出”只是为信息主体提供了反对处理其个人信息的可能性,它并不符合“同意”的构成要件,也并不满足同意之“自由意志表达”的要求,若使用“选择退出同意”的术语来表达此种反对权,就会构成对“同意”的“过高估价”。
“选择退出”是否构成“同意”的分歧,表面看来似乎是文字之争,但从深层来看,反对者的矛头真正指向的是“选择退出”机制本身,因为,该机制的核心在于确立一项默示同意规则,通过形式上满足权利人同意而获得一定合法性,若这一前提不再成立,原有的合法性也会丧失。例如,杰夫·索文(Jeff Sovern)便直截了当地道出了其反对“选择退出”的真正原因——“我们的经济应是一个积极的选择制度而不是一个消极的选择制度”。“选择退出”机制允许商业机构收集和使用任何他们想要的数据,从而对个人信息保护而言往往被视为是一种相当弱的规制方法。这便提出了一个有待进一步澄清的问题:基于“选择退出”的默示同意与基于“选择进入”的同意的关系应作何种定位?如果可以相互包含,其理论根据何在?
(二)弱化个人信息控制权
本质上,信息主体“选择退出”是对他人处理其个人信息的反对,但此种反对在性质上构成信息主体的一种权利抑或义务?相关理论和实践对此认识不尽一致,但多数观点承认,“选择退出”机制基于特定法律政策的考量而放宽同意制度的适用,对权利人而言却构成“限制”,客观上弱化了信息主体对其个人信息的控制。谷歌数字图书馆计划宣布的“选择退出”机制之所以受到强烈批评,正是因为它使得原本由使用者承担的防止侵害的责任转移到版权所有人身上,改变了版权法中耳熟能详的每一个原则,从而与注重权利人利益保护的传统理念背道而驰。一定意义上,“选择退出”机制通过发生“默示同意”的效果,将控制风险的负担转嫁给了信息主体,为其增设一项义务而非权利,从而在结果上导致了个人信息控制权的弱化。
从“选择进入”向“选择退出”的机制转换看似简单,实则对个人信息控制权产生巨大冲击。实际上,个人信息的“选择退出”与“选择进入”是相对而生的两种不同处理机制。“选择进入”的内核机制为同意,权利人基于自由意志给出同意的指示,信息处理者则由此获得处理其个人信息的合法基础,该机制的运作基于“个人不希望参与”的假设,要求个人必须采取确定的行动表明参与其中的欲望。“选择退出”则基于一种“个人选择参与”的缺省假设,不希望参与的个人必须以肯定的方式表明其被排除在外的态度,否则就被视为希望参与。从信息主体保护的角度而言,“选择退出”构成“默示同意”的解释方法提供的保护效力相对更弱。将同意作为“选择进入”的启动条件,权利人的个人信息不经授权同意不得被处理,形成了一种强保护的势态;反之,如果权利人未“选择退出”其个人信息,则视为其“默示同意”他人对相关信息的处理,此时,表面上虽无损于信息主体,实际上对其个人信息控制权产生反转性的弱化效果。据此,网络信息处理者往往对“选择退出”机制具有天然的偏好,因为它在本质上能令其获取利润;作为信息权利主体的消费者则偏爱“选择进入”机制,因为它使得他们对其个人信息拥有更强的控制权。
(三)告知不充分
针对“选择退出”机制的另外一个批评是,在个人不能充分获知信息的情况下,它不足以保护个人的隐私利益。在信息处理的情况下,个人常因缺乏对相关事项的了解而不能行使“选择退出”的权利,而此种信息不对称的情形是数据处理者所刻意追求的,原因是相关隐私规定通常过于泛化、模糊和具有隐蔽性。不仅如此,包括cookies、bug及其他跟踪技术在内的数据处理工具本身也被人为设定得具有隐蔽性,以避免个人用户的检测和控制,但由于个人难以阻止信息处理者持续不断地将跟踪软件植入其设备,其“选择退出”的能力也因之受到限制。
上述分析揭示出“选择退出”机制运行中的一个重大缺陷:它不能提供充分的“透明度或可理解性”,因而不足以有效保护消费者的在线隐私。理论上,“选择退出”的有效性运行取决于消费者的执行,包括消费者阅读的主动性、理解能力以及需要时采取退出的行动等;此种执行的有效性又常取决于商家是否以恰当的方式告知其法律后果,以帮助其作出合理决定。在实践中,当信息主体没有注意到勾选项或者没有阅读相关重要声明时,所作出的“退出同意”事实上丧失了其存在的正当性基础。不仅如此,在告知体系不完善的情况下,商家还会利用实践中信息不对称的漏洞,以虚假理由获取消费者的信赖,使得消费者基于不完整的信息放弃“选择退出”。
以《美国格莱姆里奇布莱利法案》的实践为例,金融机构对“选择退出”相关事项的“告知”能否满足相关标准要求,在司法实践中备受质疑。如在In re Vistaprint案中,原告诉称其在完成网购之前不得不先完成一份调查问卷并提供电子邮址,而且被告将相关信息移转给了第三人。尽管法院驳回了原告的诉请,但质疑者认为:选择退出的有效性应取决于网站所有者向消费者提供的关于如何利用其个人信息的通知的有效性,以及消费者必须同意的机制的可用性和用户友好性。在告知不完备的情况下,“选择退出”机制的运行进一步弱化了个人信息的控制权。
三、外国法中个人信息“选择退出”机制的修正
在基于个人信息权利保护主义构筑起的同意授权体系下,“选择退出”机制很容易被视为是对权利的弱化和限制,客观上要求对其显现的弊端作出修正,将消极方面控制于合理的范围之内,突出其在促进数据利用方面的积极效用。外国法理论与实践主要从“选择退出”与同意原则之关系定位、强化权利人的反对权、完善信息处理者告知义务、限制“选择退出”的适用等方面作出了一系列修正。
(一)在“宽泛同意”场景下解释“选择退出”
“选择退出”与同意原则的关系应作何种定位?这是首先需要予以澄清的一个重要问题。既然个人信息“选择退出”构成“默示同意”,那么,至少从形式上看它因此成为同意授权的一个组成部分。为了在从根本上不影响同意授权之基础地位的前提下纳入“选择退出”这一显得另类的默示同意规则,就需要探寻一种具有说服力的解释方法。为了完成这一使命,在“宽泛同意”场景下对“选择退出”作出解释成为一个较优方案。“宽泛同意”是为了调和个人信息保护与大数据利用之间的冲突而提出的一种新理论,旨在对陷入困境的强同意制度作出改良。其基本思路在于增加同意的涵摄性,使其得以容纳更多信息的处理利用,具体又表现为风险和场景评估、动态同意及“选择退出”默示同意规则等多种实现形式。例如,被视为风险和场景理论之立法尝试的2015年美国《消费者隐私权利法案(草案)》规定,消费者仅在信息处理的具体场景不一致的情形下才享有同意权,同意从作为信息处理的一般原则走向允许例外的适用,从而在一定程度上摆脱了传统同意原则的制约。宽泛同意的理念在生物资料库利用中受到各国学者的推崇,其主张运用现代网络信息技术手段,在数据库和参加者之间搭建一个交流平台,使信息披露与知情同意成为一个持续、动态、开放的过程;参加者可以随时了解研究的最新信息,并自由选择同意“加入”或“退出”;此种模式使得权利人同意的作出与撤回都是即时的,从而方便在开展新研究时重新联系数量众多的参加者。联邦贸易委员会在适用公平信息实践原则时,也主要围绕告知和“选择——退出”进行数据处理的合理性测试。
在一个具有包容性的“宽泛同意”理论框架下,“选择退出”得以纳入同意的范畴,其合法性获得了更合理的解释。此种解释方法的优处在于,无须打破既有的同意制度框架即可纳入“选择退出”机制,从而消除了理论结构上的障碍。观察“宽泛同意”模式的内在机理,就如同在同意这堵密封的墙上打开一些具有特别功能的“小窗口”,以促进内部信息资源与外界的交换。“选择退出”机制作为这些“窗口”中的一个,是宽泛同意理念的实践形式之一;或者说,“选择退出”默示同意规则本身即是宽泛同意的一个子品种。由此可见,在一个宽泛的同意制度框架下,作为母制度“溢出”部分的“选择退出”机制,只是基于政策考量设定的特别情形,其与一般的同意在调整对象、效力广度上均有不同;基于“宽泛同意”的此种特别适用须有一定限度,客观上不可逾越母制度本身,否则就会导致信息主体作出的同意决定发生实质性改变。不过,由于“宽泛同意”仅提供了一个抽象的理论场景,立法技术上往往仍需要首先确立起知情同意的一般原则,再将“选择退出”作为一种特别的“法定”情形作出专门规定。
(二)信息主体基于“选择退出”享有反对权
信息主体(尤其是消费者)控制个人信息使用以及由谁使用的能力,被一些隐私支持者认为是其隐私权的缩影。知情同意本身即发展自信息主体对其个人信息享有控制权的一项原则,故而,同意制度框架下的“选择退出”也不应违背这一基本理念。信息主体声明“选择退出”对其个人信息的处理,即得基于特定的反对权对抗信息处理者,使自己从信息收集对象中被排除。
欧盟95数据保护指令(Directive 95/46/EC on the Protection of Individuals with regard to the Processing of Personal Data and on the Free Movement of Such Data)从权利的视角诠释了“选择退出”的性质。它明确表示:信息主体享有反对处理自己个人信息的权利,并由此取得在信息处理者基于公共利益或其他合法理由处理其个人信息的对抗权;成员国可以两种方式实施该种反对权,一是规定信息主体有权反对直接营销其个人信息,二是确保对相关事宜的一般宣传和告知。实践中亦为“选择退出”制度提供了一个清晰的样本:信息主体通过勾选特定选项来行使此种反对权,申言之,考虑到提供电子形式发送直接营销信息会对个人构成侵扰,立法者要求此种发送须事先获得同意,一个例外的情形是现有消费者已经被提供了对此类信息的反对权。为了保障此种反对权的行使,多数欧盟成员国设立了诸如罗宾逊名单(Robinson List)以及针对电话、传真、电子邮件和智能手机的各种名单,个人可据此表达拒绝接收直接营销信息的意愿。德国数据保护法甚至将此种反对权适用于更多的情形,规定数据主体关于处理或使用其个人数据的反对权不仅适用于直接营销行为,还扩张至“市场调查和民意调查”。当数据主体的个人数据作为地址交易中的列单部分被披露时,拥有此列单的第三方必须屏蔽相关特定数据。
在美国,尽管《格莱姆里奇布莱利法案》确定了个人信息“选择退出”构成“默示同意”的规制方法,若干州的法律实践仍强调信息主体基于“选择退出”享有反对权。此种反对权的背后隐含着一个逻辑:“选择退出”机制包含着基于现有信息接收者一方的默示同意,然而,他们之所以被假定为愿意接收信息,其前提是他们拥有选择拒绝的权利。因此,一些州明确表明,法律上提供“退出”是允许权利人防止自己的某些个人信息出现于网络检索;“退出通信”也被业界认为是为营销、促销或筹款而发送的消息,其中包含一个选择从将来的任何消息中删除收件人的“权利”。
应否承认信息主体基于“选择退出”作出的反对具有权利属性,与不同立法所处的法律文化存在一定关联。欧盟强调应将此种反对视为一项“权利”,是因为个人信息本身在欧盟立法中被赋予强烈的权利属性,乃至于上升至人权的保护视野;英美法则更注重制度实践,不过分讲求权利束的完整性,对这一问题的适用不尽统一。同时,进行利益考量的视角不同,关于“选择退出”的解释也有所不同:从科技发展和促进大数据利用的视角,弱化其权利属性有益于提升信息资源的开发利用和促进数字经济;但从用户个人信息保护的视角,赋予信息主体充分的反对权具有巩固其个人信息控制权的重要意义。然而,从前述理论和实践来看,相关冲突并非完全不可调和。原则上,当数据主体被施以机会明确反对处理其数据时,“选择退出”机制也可被接受。在坚持同意制度仍是个人信息保护一般原则的前提下,立法上确立“选择退出”机制时确保信息主体得享有对抗信息处理行为的反对权,有益于实现个人信息享有控制权与大数据开发的双重目标之平衡。
(三)确保告知的完备性
在一个恰当的“选择退出”理论框架下,信息主体基于“选择退出”享有对信息处理行为的反对权利。但在实践中,信息主体可能没有注意勾选要求或者没有阅读要求其明确反对处理其个人信息的表述,作出“默示同意”的推定便有失公正。如果信息主体能够全面知悉相关“选择退出”的事项,在采取一项措施时充分了解自己是在给出一项“同意”,那么一定程度上可弥合此种不利。这便将信息利用者承担“告知”义务置于保障“选择退出”机制有效运行的核心地位。此外,对信息利用者告知义务的强化需求,理论上也源于“选择退出”机制引发了义务规则迁移:在“选择进入”的模式下,权利人并无监管的义务,但在“选择退出”模式下,原本由数据利用者承担的监管义务迁移到权利人身上;对数据利用者而言,仅需尽到告知义务即可,且此种告知义务要求较之寻求授权同意而言不那么严格、成本也更低——据此可以推断,“选择退出”事实上作了有利于数据利用者的义务分配,因此,确定“告知”义务的目的是为了保护信息主体的利益,确保某种水平的“知情同意”,通过施予数据利用者的特定负担而相应地减轻权利人的监管义务。信息利用者确保告知义务的完备性,对信息主体而言成为一项必须且重要的对等性要求。
1. 明确告知的范围
促进告知义务完备性的一个重要努力是完善“告知”的要件。界定“告知”要件的任务,由此也成为合理分配的一个重要立法决定:告知的适用条件越严格,“选择退出”越能够基于选择进入的框架有效运作;当数据利用者需要就告知文件与权利人逐一采取措施时,从成本比较的角度,“选择退出”便几乎与“选择进入”没有多大差别。显然,一个有效而恰到好处的告知义务范围,有助于有效发挥“选择退出”机制的正效应。从立法实践来看,数据利用者基于“选择退出”而生的告知义务在内容上包括三个基本方面。
其一,告知权利人基于“选择退出”享有反对权。为了确保此种权利的实现,不同立法例从不同角度提出了具体要求。例如,欧盟指令明确规定:在收集数据的目的是为了广告宣传的情况下,相关个人数据被披露给第三人或用于直接营销数据主体之前,必须告知数据主体相关事宜并以明确方式告知其享有反对权。澳大利亚立法工作小组针对隐私修正案指出,允许个人数据用于直接营销而不提供“选择退出”的机会,在任何情形下都被认为是不充分的。英国信息专员公署在2013年直接营销指南中亦阐明,商业组织不能作出“没有选择退出就视为同意”的推定,除非这构成签署服务或完成交易的积极步骤的一部分,例如,他们不能假定不回复电子邮件即表示同意,因为这并非达成协议的积极表现。
其二,告知权利人“选择退出”的运作流程,并配合权利人提供具体有效的实现手段。信息利用者应告知权利人采取的特定措施,包括:书面说明数据退出请求,确定数据所在网址、何处被使用、满足退出条件,描述数据被使用的错误或有害原因,提供身份证明、关于被请求移除记录或存在的法庭命令的复印件等。根据英国信息专员公署的要求,信息主体与信息利用者之间应就“选择退出”的实现手段直接进行积极沟通,以决定进行勾选、发送电子邮件、订阅服务或是口头确认。
其三,告知权利人“选择退出”的后果。告知范围除了信息主体就相关个人信息得以对抗信息处理行为的一般后果之外,还应包括基于之前同意的部分个人信息的特别处理及法律风险。同时也须告知权利人,该次“选择退出”的效力是否及于未来的新信息利用。
2. 告知的要件标准化
有观点认为,为了消除选择退出机制的模糊性,有必要将相关条款的处置“标准化”。此目标中的一个核心要求为:将数据利用者的主要负担明确化,督促其有效履行基于“选择退出”而生的告知义务。也即,确保告知的内容能够通过恰当的形式确切有效地为权利人所知悉。理论和实践中就告知要件的“标准化”进行了多种努力,例如,有学者主张设立有权公布适用“选择退出”规则的集中登记机构,将告知的要件标准化,以确保告知义务的履行和降低交易成本。详言之,告知要件的标准化要求又具体表现在告知的方式和周期设定等方面。
为了保证告知的准确性,信息利用者须使用清晰、醒目且能够为合理人认知、阅读和理解的告知方式。据此,告知方式的标准化要求主要表现于语言和传递形式上。根据一般的原则,隐私政策应当明显可见和随时可用,信息处理者应当使用清晰而通俗易懂的语言写明其政策,对信息主体解释何种信息被收集、从谁那里收集以及采用何种手段收集。换言之,数据利用者告知“选择退出”的相关事项时,所使用的语言对任何人而言都应该是清楚易懂的。同时,信息利用者须以特定的方式履行告知义务。以美国法为例,《格莱姆里奇布莱利法案》明确要求金融机构以特定方式告知消费者相关信息处理的意图,其规定,除非金融机构以“书面或电子方式”清楚而突出地告知了其提交的意图,以及消费者拥有合理的机会和手段“选择退出”,否则,不得向关联第三方提交相关个人信息。德国数据保护法也明确要求,在同时给出直接营销与其他书面声明的情况下,须以特定的“打印方式”清楚地显示。
需要补充说明的是,设定告知义务的目的是为了保障信息主体的权利,那么,因告知的形式不明确引发歧义时,仍须基于保护权利人的原则作出解释。在特定情况下,信息主体在“选择退出”的确认形式上可能存在不同选择,例如,美国FTC网站就接收信用卡和保险优惠信息告知消费者,网站为其提供了两种退出形式:通过免费拨打电话或访问特定网站“选择退出”五年,或者通过同样的网站开启永久性退出程序。此时,判定何种选择更符合告知形式要求的要点是,信息主体能否通过一定的路径充分知情并基于真实意思作出选择。
告知要件的标准化又表现为行使“选择退出”权利的周期合理性和后续性要求。一般来说,告知周期的长短应具有合理性,譬如,不能因设定过短而使得权利人难以充分完成“选择退出”流程。根据《格莱姆里奇布莱利法案》的要求,金融机构应告知消费者在特定周期内“选择退出”信息的处理;一旦消费者决定“选择退出”,金融机构就必须在“合理期间”内遵守退出指令和履行相关指导义务。此外,周期的合理性要求亦包括对周期后续性的特别考虑。以谷歌数字图书馆计划所采行的“选择退出”制度实践为例,权利人在最初未能“选择退出”时,特定情况下仍被允许继续行使此种权利。
(四)限制“选择退出”的适用
“选择退出”作为同意制度的一种特别情形,本质上并不具有适用上的普遍性。同时,出于对“选择退出”不足以保护信息隐私的担忧,即便采用这一机制,也必须对其适用作出限制。首要的一点是,对“选择退出”机制作出严格界定,明确其适用主体、客体及效力等要素,并限定可适用的具体情形,以避免适用中发生泛化或与“撤回同意”等相近范畴相混用。
对“选择退出”机制的主体和行为客体作出限制,已成为理论和实践上的共识。从前引立法例来看,作出“选择退出”的主体并非意指所有个体用户,而是限定于数量众多、信息利用行为反复发生的“消费者”。相应地,当数据利用者是拥有充分资源进行大规模项目运作的商业使用者时,启用“选择退出”机制往往更为有效。信息采集项目的规模往往决定着多大程度上从“选择退出”的应用中获益:项目规模越大,范围越广,“选择退出”在适用效果上越可能降低交易成本,且能够降低总体的成本而并非仅仅将成本转嫁给权利人。据此,对项目的规模及其目的性提出一定限制性要求,有助于促进这一机制的运行效果。同时,“选择退出”的适用效力并非指向所有的信息收集行为,而是限定于针对消费者实施的诸如直接营销、广告推送或垃圾邮件等特定行为;这就意味着,允许消费者“选择退出”针对其作出特定行为(如推送广告),不是必然允许其“选择退出”对所有数据或资料的收集。根据学者的平衡论点,当信息使用的程度和规模超过合理限度时,就可能无法通过平衡测试,例如,某定向广告公司不仅使用顾客的地址和信用卡信息(符合既定的退出范围),还使用了披萨店的近期订单历史和其在披萨店的其他连锁店的购物信息,甚至追踪顾客的位置信息。
美国相关“选择退出”机制的两个范例实践中,均清楚地呈现了法律上限制其适用的立场。一是在《格莱姆里奇布莱利法案》颁布之后,尽管联邦贸易委员会采取了很多措施确保该法得以遵守,其措施是否足以保护消费者仍存质疑。考虑到机构管辖的宽泛性,该法的实施被限定于影响众多消费者(而非个人用户)的大规模违法行为。同时,该法采行的“选择退出”方法事实上也并未得到各州的普遍认可,其出台之后,一些州通过了较之该法更为严格的限制性规定;一些州则明确要求,州金融机构在获取消费者个人信息时应通过“选择进入”方法而非“选择退出”方法获得其明确同意。一些美国学者也强烈主张,应借鉴欧盟指令的“选择进入”方法,从而提供给消费者更为强有力的信息控制权。二是,智能手机和脸书合并案从另一个视角提供了限制适用的样本。该案中,脸书的隐私保护政策弱于智能手机,后者是恪守《联邦贸易委员会法案》第5节的典范,从未将用户的信息用于广告和营销目的,并以此作为卖点与同行竞争。二者合并后,联邦贸易委员会要求智能公司继续恪守原有隐私政策,不得将用户的任何信息卖给脸书用于广告,除非用户同意,其信息不会被披露。这意味着,尽管脸书采行“选择退出”政策,但为了用户的最大利益,联邦贸易委员会要求合并后的公司执行更为严格的“选择进入”政策,而非脸书原有的政策。
四、我国个人信息保护法中“选择退出”机制的设定
从前述研究可知,个人信息保护法引入“选择退出”机制迎合了对传统同意授权模式的改良需求,客观上为个人信息权利保护和数据商业利用的冲突提供了一种有效的粘合剂。借鉴外国法的成熟经验,且兼及法律政策上的特别考量,我国个人信息保护法应纳入“选择退出”机制,将其列为同意的一个法定情形。前文已围绕外国法中“选择退出”的主要问题作了剖析,在我国法语境下,尚有三个问题有待作出进一步回应。
(一)我国法纳入“选择退出”机制不存在制度及实践上的障碍
从现行立法来看,个人信息保护法中纳入“选择退出”机制并不存在制度上的障碍。2017年《个人信息保护法》官方草案并未明确纳入“选择退出”机制,但其第5条提出的知情同意原则并未明确排除默示同意的情形。《民法典》第1035条规定,处理个人信息应征得自然人或者其监护人同意,“但是法律、行政法规另有规定的除外”。此处所指“同意”也未要求局限于“明示同意”,且从其设定“但书”的立法目的审视,立法者显然意在为该草案第5条规定:“不符合本法或其他法律、法规规定,或未经信息主体知情同意,不得收集个人信息。”同意原则的适用留下一定开放性空间,若置于“宽泛同意”场景下解释,“选择退出”默示同意规则则被涵盖在内,从而消除了将其入法的可能制度障碍。
关于“选择退出”的进一步立法尝试见于张新宝教授主持的《个人信息保护法(专家建议稿草案)》。该草案除了第16条第1款以但书的方式允许“同意原则”的法定或约定的例外情形之外,又在第53条特别针对定向商业营销信息规定:“信息业者基于信息主体的网络浏览历史、兴趣爱好、消费记录和习惯等个人信息,向其发送商业营销信息内容的,应当显著标明退订标志,确保一键退订。信息主体退订的,信息业者不得再次发送,并应向信息主体提供删除或匿名化商业营销活动所使用的个人信息的方式。”从文义上看,此处的“一键退订”与“选择退出”存在极大的相似之处,从相关表述中似乎可以推出:如果信息主体没有退订,则信息业者获得发送商业营销信息内容的合法性。然而,由于该条并未明确规定信息主体未予以退订时是否发生“默示同意”的法律效果,仅强调了信息业者在信息主体作出退订时的义务,因此难以确定地得出该条设定了“选择退出”机制这一结论。为了避免引发“选择退出”机制的误用,未来个人信息保护法中应对其法律效果作出明确表述。
事实上,随着网络技术的发展,默示许可正在成为一种实践,包括Google等搜索引擎在搜索、索引、缓存网站时,所适用的就是“默示许可”。由于缺乏法律规范,我国商业实践中不乏利用同意的适用模糊性而滥用默示同意规则的情形,例如2018年引发公众关注的支付宝年度账单默认勾选“同意《芝麻服务协议》”事件,即因“择出”设置相对隐蔽,导致多数用户未能及时发现自己“被默认同意”,进而未能及时地行使“择出”的权利。与此同时,司法判例中业已发生相关默示同意规则的适用。在朱某与北京B网讯科技公司隐私权纠纷上诉案中,原告主张被告未经其允许利用cookie等网络技术追踪其个人信息,并进行精准投放和提供个性化服务,从而认为被告此种行为侵犯了其隐私权;法院判决基于默示同意规则判决原告败诉,理由是:被告通过收集原告信息进而进行精准投放的行为并未公开原告的个人信息,且用户协议中明确告知原告可以启用禁止按钮进而阻止被告收集其个人信息,即肯定了默示同意的合法性。在法律上尚未明确设定“选择退出”默示同意规则的情况下,法院自行使用这一判决根据是否妥当仍值得探讨。但毋庸置疑的是,已有商业及司法实践对于默示同意规则的规范需求,为我国立法纳入“选择退出”机制提供了现实基础。
缺省规则的主要功能之一是为了缓解合同缔约双方常因双方信息不对称导致的不完全契约问题,而“选择退出”默示同意作为一项缺省规则,对不完备的明示同意规则发挥修正作用。在特定情形下,无需征得信息主体的同意可能更符合经济考量,这决定了不能一味僵化适用“明示同意”。鉴于“选择退出”内含的默示同意规则的特定价值,在修正其缺陷的前提下,我国个人信息保护法应明确予以纳入,以特别条款的方式将“选择退出”列为同意的一种“法定”情形。同时,“选择退出”机制有其复杂的适用机理,个人信息保护法中不可能对所有运作细节一一规定,我国可借鉴美国《格莱姆里奇布莱利法案》的做法,另外以单行法的方式对其概念、范围、主客观适用条件及运作流程等作出系统的规定。
(二)须限制“选择退出”机制的适用
“选择退出”默示同意理论上的正当性及其实践上的应用价值应当得到承认,然而,因其对信息权利构成制约,不能将该制度的功能泛化,而应对其适用加以限定。基于“选择退出”的默示同意规则是对大数据条件下将信息权利向信息利用者的让渡,如果对这种方式不严格规范,占据强势地位的信息收集者必然滥用该种方式抢占个人信息资源,则会颠覆对同意原则立法的原有旨意。因此,域外立法往往对“选择退出”的适用作出一定限制。我国个人信息保护法中纳入“选择退出”机制之时,亦应特别注意对其适用作出合理限定:一是限定其适用范围,明确“选择退出”仅适用于特定的个人信息处理行为(例如,成批量发生、通过一对一的同意机制处置效率低下的针对消费者的直接营销行为),针对特定的主体发生效力;二是严格其主客观适用条件,并确保信息处理者告知义务的完备性。信息处理者基于“选择退出”分享了更多的信息权利,此种利益建立于信息主体利益受损的基础之上,因此有必要强化完备信息处理者的告知义务,避免对权利人的过度侵蚀;三是,规范其实现流程,将相关风险控制在合理范围之内。
(三)“选择退出”与相近概念相区分
在“选择退出”构成“默示同意”的解释框架下,“选择退出”的概念被赋予不同于其字面意思的特定含义,容易引发适用中的混淆。因此,须注意区分“选择退出”机制中的“退出”与其他相近概念的适用,以避免对信息主体的同意意思发生误判,并引发“选择退出”机制的泛用。
我国实践中的一种常见混用情形是,权利人作出授权同意的同时,也有权采取一定措施“退出”或说摆脱于己不利的情况,包括以“勾选”“退订”等方式拒绝对其个人信息的利用或者作出撤回、删除或屏蔽特定信息等要求。然而,此时的“退出”更为广义,其内涵往往不同于作为默示同意规则的“选择退出”的界定,仅是指摆脱某种既定状态之努力,而非意在追求“默示同意”的特定效果,二者不可混淆。例如,根据《儿童个人信息网络保护规定》第10条规定,网络运营者征得同意时,应当同时提供拒绝选项。尽管在实际操作中往往要求信息主体通过“勾选”的方式确认其反对,但鉴于相关法律中尚未纳入“选择退出”机制,该条中的“提供拒绝选项”应被视为授权同意时的附随告知内容;此时,即便信息主体没有进行“勾选”,也不会如同“选择退出”那样发生“默示同意”的法律后果。正如张新宝教授《个人信息保护法》草案第16条第2款所申明的那样,“信息主体的同意应当以明确的意思表示或者行为作出,除法律、行政法规另有规定或与信息主体另有约定外,信息主体未予拒绝的沉默不被视为同意”。事实上,英国信息专员公署在2013年直接营销指南中也特别要求,商业组织不能作出“没有选择退出就视为同意”的推定,除非这构成签署服务或完成交易的积极步骤的一部分,例如,他们不能假定不回复电子邮件即表示同意,因为这并非达成协议的积极表现。因此,法律实践中应对“选择退出”默示规则与广义的退出情形作出严格区分,以免发生对前者的不当扩张适用。
另一种常见的混用情形是,“选择退出”在现实运行中存在与“撤回”的混淆。同意的撤回亦是前指广义的“退出”方式之一。关于撤回权的学理表述是:一定期限内,消费者可以通过单方意思表示,无需给出原因地从与经营者签订的合同中摆脱出来。撤回权的行使是为了消除权利人基于不真实的意思作出行为的不利后果。当消费者处于精神上的弱势时,突袭之情形导致其不能充分考虑和形成意思;处于信息上的弱势时,信息不完全导致其无法自由形成意思,从而因其意思形成受到障碍而构成撤回权的基础。信息主体撤回同意是对事先“进入”状态的否定,即对个人信息处理行为作出授权同意后,又要求撤回同意。法律上认可此种“撤回”权,是因为信息主体常常面临一个实践困境:一旦注册完成便无法取消或退出,也无法把自己的个人信息从网站中清除;运营商若趁机处理相关信息将违反信息主体的真实意思,允许权利人撤回同意是对此种不利的修正。表面看来,“撤回”同意与当前学界使用的“选择退出”的同意均是权利人对个人信息处理的“退出”,但二者仍存在明显差异:一是,前者被视为是同意权的题中之义,权利人可以就已授权同意处理的全部或部分个人信息作出否定,后者则强调特定条件下信息主体若无反对则被视为默示同意对其个人信息的处理;二是,前者侧重保护信息主体对其个人信息的控制权,后者则侧重保护个人信息的流转和商业利益;三是,“撤回”在后果上使得信息主体得以摆脱之前作出同意的束缚,“选择退出”在后果上构成“默示同意”,信息主体因之受到同意规则的制约。
五、结语
在大数据利用背景下,传统同意授权模式的局限性对数据利用形成一定障碍。若在宽泛的意义上解释同意制度,使其具有更大的涵摄性和包容性以纳入“选择退出”机制,客观上可以对陷入困境的同意制度形成有益的补充和修正。“选择退出”之默示同意规则节省了为明示同意程序付出的巨大时间和经济成本,在极大程度上提高了信息的资源性价值,从而在维护个人信息控制权和信息利用之间发挥平衡作用。然而,“选择退出”机制将控制风险的负担转嫁给了信息主体,为其增设了一项义务而非权利,客观上导致了个人信息控制权的弱化。在告知不完备的情况下,这一制度实践对隐私保护的不利影响尤甚,因此有必要对这一机制作出修正,具体包括:在“宽泛同意”的场景下解释“选择退出”,将这一默示同意规则纳入同意体系;为防范个人信息控制权弱化风险,应明确信息主体基于“选择退出”的反对权利,并确保信息利用者履行告知义务的完备性;严格限定“选择退出”的适用条件及流程,避免发生误用。我国个人信息保护法中纳入“选择退出”机制并不存在制度及实践上的障碍,在修正其缺陷的基础上,应将其规定为同意的一种“法定”适用情形。
