【个人信息收集告知同意原则的完善建议概述9200字】

个人信息收集告知同意原则的完善建议概述目录TOC\o"1-3"\h\u30619个人信息收集告知同意原则的完善建议概述 1258561.1个人信息收集告知同意原则存在的问题 1195381.1.1告知同意原则的实施问题 1294491.1.2告知同意原则引发的维权问题 3264471.2个人信息收集告知同意原则的域外考察 556151.2.1欧盟与美国个人信息收集告知同意原则的相关规定 5229471.2.2欧盟与美国个人信息收集告知同意原则的制度启示 725541.3个人信息收集告知同意原则的完善对策 720651.3.1完善告知同意的方式 772111.3.2统一裁判依据并提高违法成本 10168161.3.3完善执法与监督体系 111.1个人信息收集告知同意原则存在的问题1.1.1告知同意原则的实施问题我国的告知同意原则正在逐步完善，最新的《个人信息保护法（草案）》也对《民法典》中的相关规定进行了细化，构建了以“告知同意”为核心的个人信息处理模式，但理论与实践之间往往存在一定差距，一直以来，告知同意原则在实际适用过程中都在不断凸显出各种各样的问题，主要表现在以下三个方面：（1）收集主体与被收集主体之间存在信息不对称个人信息收集主体与被收集者之间普遍存在信息不对称的地位悬殊，被收集者的信息来源及渠道往往比较受限，对个人信息收集的相关技术及后续处理环节往往缺乏必要的认知，且大多数被收集者并非专业人士，无法自行消化相关告知文件中晦涩难懂的专业知识及复杂繁琐的技术说明，这也直接导致了被收集者的基本知情权大打折扣，个人信息收集主体有保障被收集者基本知情权的义务，履行该义务并非只是让被收集者知晓个人信息收集行为的存在，还应当进一步保证被收集者对该收集行为的必要事项有明确清晰的认知，即，被收集者的知情权不能仅停留在表面[[][]石文静.个人信息保护视野下的知情同意原则[N].辽宁公安司法管理干部学院学报，2019（01）：90.（2）个人信息收集的告知文件冗长复杂大多数信息收集的告知文件都极其冗长复杂，从而不断消磨被收集者的阅读耐心，多数被收集者为了节约时间并尽快使用相关服务，在未仔细阅读告知文件的情形下直接表示同意，或者在不同意就无法使用相关服务的限制下被迫表示同意，这些情形的存在直接导致被收集者的个人信息决定权形同虚设。例如微信、抖音、智联招聘、淘宝、百度、京东、支付宝、腾讯视频、美团、百度地图等手机APP都是以隐私条款或隐私政策的形式将个人信息收集行为的相关必要事项对用户进行告知，笔者对这10款常用APP的告知文件分别进行了字数统计，并制成表格如下。（见图表5-1-1）图表5-1-1APP文件字数微信11917字抖音13750字智联招聘10962字淘宝18929字百度18877字京东16196字支付宝13314字腾讯视频7350字美团15162字百度地图15793字以上10款APP中有9款APP的告知文件超过了一万字，曾有网友调侃，自己撒过最多的谎就是“已阅读并同意”，明面上有同意原则，在形式上被收集者也同意了，但同意并非建立在真正的知情和心甘情愿之上，绝大多数人的同意都是被逼无奈。例如微信、淘宝等APP，不同意就无法进行下一步操作，被收集者只能用“同意”换“使用”，这种变味的同意，真的有法律价值吗？由此可见，告知同意原则的实际效用仍有待进一步落实，个人信息收集主体一方面必须全面履行必要事项的告知义务，一方面还必须保证被收集者同意的意思真实性，这两方面一直存在着矛盾，有待进一步解决，以保证告知同意原则实现实际效用的最大化。（3）被收集者的删除请求权缺少实现渠道虽然《网络安全法》、《民法典》等明确规定，当个人信息收集主体存在违反法律法规或特定收集约定等情形时，被收集者享有个人信息删除请求权，但实际上，被收集者往往缺乏该请求权的实现渠道。例如，多数网络APP的隐私条约中虽然提及了个人信息删除请求权，但却未告知具体措施，被收集者往往不清楚该如何请求删除其个人信息；且个人信息收集主体完成个人信息收集后，被收集者很难知晓这些信息的后续流向及处理状态，这意味着被收集者基本失去了对这些信息的控制，即使个人信息的后续处理存在违背双方约定的情形，被收集者也不一定知晓。此外，当国家公权力机关作为个人信息收集主体时，如若出现违反法律法规处理个人信息的情形，被收集者是否也享有删除请求权，法律对此未作规定。1.1.2告知同意原则引发的维权问题告知同意原则在实际适用过程中出现问题，很可能会直接导致个人信息侵权乃至个人信息犯罪结果的出现，个人信息被收集者则面临如何有效维权的问题。笔者以“个人信息保护”、“个人信息”、“收集”为关键词在中国裁判文书网上进行检索，检索结果显示如下。（见图表5-1-2）图表5-1-2案件类型裁判文书数量刑事案件156篇民事案件51篇行政案件16篇本文仅对民事和行政层面的维权问题进行研究，16篇行政案件的裁判文书内容实际与个人信息收集无关，51篇民事案件中与本文研究内容实际相关的有20篇，具体情况如下。（见图表5-1-3）图表5-1-3法院层级裁判文书数量基层人民法院10篇中级人民法院8篇高级人民法院2篇通过对以上数据及20篇相关的裁判文书内容进行研究分析后，笔者发现，违背告知同意原则而引发维权时存在以下问题：无统一裁判依据，且裁判观点存在分歧。由于我国目前还没有专门的个人信息保护法，因此，法院在处理个人信息侵权的案件时，缺乏统一的裁判标准，对于类似的问题，有的法院直接援引隐私权的相关规定，有的依据《网络安全法》进行裁判，也有法院参考《信息安全技术个人信息安全规范》等，且有的裁判观点甚至存在分歧，例如，关于证明个人信息收集主体在收集个人信息时是否严格遵循了告知同意原则以及处理个人信息时是否符合双方约定等问题的举证责任分配方面，有的法院在裁判时严格依据谁主张谁举证的规则进行裁判，而有的法院却认为，从收集证据的资金、技术等成本上看，作为普通人的被收集者，往往不具备相应的举证能力，也不清楚信息收集主体的内部处理情况，应该将上述举证责任转移给信息收集主体更为合适。违法成本低，缺乏震慑力。以上20篇民事裁判文书中，凡涉及侵权责任承担的问题，基本都是采用赔礼道歉的方式，所有精神损害赔偿的主张都因为没有达到严重的程度而未获得支持。由此可知，个人信息侵权的成本并不高，赔礼道歉对于个人信息收集主体来说不痛不痒，即使是赔偿因侵权造成的被收集者财产损失，该赔偿额也远低于个人信息为其带来的巨大商业价值；虽然目前已有的法律法规对个人信息收集的原则及要求作了很多明确的规定，但关于违反这些规定后的处理办法及后果仍存在法律空白，关于个人信息保护，法律目前更多的集中于刑事责任层面，民事责任方面仍缺少具体规定，导致法院在审理个人信息的案件时，只能依据侵权责任法的相关规定进行裁判，而这些赔礼道歉的规定对于多数实力强劲的信息收集主体来说没有丝毫威慑力，违法收集个人信息收集的现象也不会得到有效遏制。缺少行政层面的维权渠道。在检索的16篇行政案件中，没有与个人信息保护及告知同意原则有关的裁判，虽然国家机关也会成为个人信息收集的主体，但目前已有的法律法规中仅规定了相关国家工作人员的保密义务，至于国家机关在收集个人信息时，是否跟其他收集主体一样必须遵循告知同意原则？相关人员违反了保密义务该如何处理？被收集者该如何维权？是否可以申请国家赔偿？这些问题目前均没有明确规定。此外，关于个人信息保护，我国还没有统一的行政执法部门，目前针对个人信息收集的相关问题，拥有行政执法权的部门主要是中共中央网信办、工业与信息化部、电信管理机构、公安部门。中共中央网信办主要负责指导、协调、督促有关部门加强互联网信息内容管理；电信管理机构主要对电信业务者、互联网信息服务提供者保护用户个人信息的情况实施监督检查，且实施电信业务经营许可及经营许可证年检时，还负责对用户个人信息保护情况审查；工业和信息化部主要负责指导推进信息化建设，协调维护国家信息安全；公安部门则在其职责权限内开展网络监督管理及网络安全维护工作[[][]葛鑫.APP违法违规收集使用个人信息专项治理重点工作概述[N].网事焦点，2019（04）：49.1.2个人信息收集告知同意原则的域外考察1.2.1欧盟与美国个人信息收集告知同意原则的相关规定在全球数据信息化大浪潮中，很多国家和地区已经陆续建立了符合自身发展情形的个人信息保护体系，其中以欧盟和美国法律最为典型，在个人信息保护领域，欧盟与美国一直走在最前沿，是个人信息保护的先行者[[]蔡星月.数据主体的“弱同意”及其规范结构[J].比较法研究，2019（04）：74.[]蔡星月.数据主体的“弱同意”及其规范结构[J].比较法研究，2019（04）：74.欧盟GDPR关于个人信息收集告知同意原则的相关规定较为完备，从告知的内容、方式，到同意的内涵、同意的有效性要件、举证责任等方面都作出了详细规定。首先，GDPR要求数据控制者在获取数据主体的同意之前，必须尽到充分的告知义务，只有数据主体对被收集的个人信息数据有充分清晰的了解之后，才能作出合法有效的同意，数据控制者有义务向数据主体披露控制者的身份和联系方式、个人信息处理的目的与方式、数据存储时间、数据是否会被跨境传输等信息，且告知的方式必须简洁清晰且明确显著。其次，GDPR明确规定了有效同意的构成要素：真实意愿、自由作出、清晰具体、充分知情、明确表达[[]参考GDPR第4条：同意是指信息主体自由作出的具体、知情和明确的愿望表示，该主体通过声明或明确的肯定行动表示同意与其相关的个人信息的处理。]。GDPR采用的是明示的同意规则，并不认可默示的同意，例如，必须通过书面的声明或者点击“同意”框这种肯定性的动作来表达同意意愿，所有的同意都坚持择入机制（opt-in），并且将个人信息数据分为个人敏感信息和一般个人信息进行有区别的保护，针对个人敏感信息的收集，GDPR允许存在适当例外，但主要遵循禁止原则，且例外情形受到严格的适用限制，GDPR始终强调个人信息数据的收集要受目的原则的限制[[]参考GDPR第9条对特殊种类的个人数据处理：1.对揭示种族或民族出身，政治观点、宗教或哲学信仰，工会成员的个人数据，以及以唯一识别自然人为目的的基因数据、生物特征数据，健康、自然人的性生活或性取向的数据的处理应当被禁止。2.如果符合以下情形，则第1款不适用]。[]参考GDPR第4条：同意是指信息主体自由作出的具体、知情和明确的愿望表示，该主体通过声明或明确的肯定行动表示同意与其相关的个人信息的处理。[]参考GDPR第9条对特殊种类的个人数据处理：1.对揭示种族或民族出身，政治观点、宗教或哲学信仰，工会成员的个人数据，以及以唯一识别自然人为目的的基因数据、生物特征数据，健康、自然人的性生活或性取向的数据的处理应当被禁止。2.如果符合以下情形，则第1款不适用[]参考GDPR第5条：2.控制者应该负责，并能够证明符合第一项（“问责制”）反观美国，没有一部统一的个人信息保护法，美国始终坚持分散立法、行业自律的模式，各行各业根据自身行业特点制定相应的信息数据处理标准，不以同意原则为个人信息数据处理的必要性前提，而是通过扩大隐私权的范围来保护信息主体的切身利益。虽然CCPA的出台借鉴了欧盟GDPR，将企业收集消费者个人信息数据的部分控制权授予了消费者，在一定程度上体现了美国制定个人数据保护统一标准的新趋势，但美国仍然对产业利益保持着高度的关注，继续选择退出（opt-out）模式，除非个人信息主体拒绝或退出，企业可以继续收集并处理个人信息数据，可以看出，美国采取的是默示同意的方式[[]孟洁、赵小琳.《2018年加州隐私权法案》中的个人信息保护[J].信息安全与通信保密，2018（12）:84.]。在处罚力度上，美国CCPA与欧盟GDPR都设置了较重的处罚，只不过GDPR选择了行政处罚的形式，而CCPA将损害赔偿一事授予了个人，设计了私人诉讼权，同时限定为集体诉讼模式，如果企业未采取合理措施保护个人信息，致使侵权事件发生，则企业将面临支付每位起诉者750美元的赔偿金以及最高7500美元的实际损害赔偿金，以数额较大者为准[[]孟洁、赵小琳.《2018年加州隐私权法案》中的个人信息保护[J].信息安全与通信保密，2018（12）:84.[]孟洁、赵小琳.《2018年加州隐私权法案》中的个人信息保护[J].信息安全与通信保密，2018（12）:86.1.2.2欧盟与美国个人信息收集告知同意原则的制度启示对比欧盟与美国立法，欧盟GDPR采用的是择入机制（opt-in），适用明示同意的方式，欧盟更侧重于保护个人信息，而美国采用择出机制（opt-out），适用默示同意，美国更注重信息行业利益的实现，利于提高信息数据的利用效率。笔者认为，欧盟与美国关于个人信息保护方面的立法规定都有值得我国借鉴的经验，我国相关立法可在自身实际发展情形的基础上中和欧美两方的相关经验，既注重保护个人信息，又不阻碍个人信息的发展，尽可能寻求个人信息保护与个人信息发展的平衡点。针对我国个人信息收集告知同意原则目前存在的问题，欧盟与美国的法律制度有以下四点经验启示值得借鉴：不断完善告知同意的方式，个人信息收集主体在履行告知义务时，应当尽量简化告知内容，突出重点，并根据不同的信息分类区别获取同意；明确违法违规收集个人信息的举证责任分配，统一裁判依据，减少同案不同判现象的发生；各行各业根据自身行业特点，有针对性的制定相应的个人信息收集标准，不断完善行业监督体系；（4）加大行政处罚力度，提高违法成本，着重打击违法违规收集个人信息的行为。1.3个人信息收集告知同意原则的完善对策1.3.1完善告知同意的方式万物互联新时代的到来，意味着信息化发展已经势不可挡，与此同时，个人信息保护的问题也越来越突出，大众对个人隐私的敏感度也逐渐提高。中新经纬新媒体官网于2020年9月发起了一项名为“你会反感APP精准推送广告行为吗？”的微博投票，共1.3万人参与该项微博投票调查，最终的投票结果如下。（见图表5-3-1）图表5-3-1你会反感APP精准推送广告行为吗投票选项投票人数反感1.2万人无所谓743人不反感，都是感兴趣的内容184人没遇到过这种情况104人新华社也曾针对“3400余款手机APP存在安全隐患”的问题进行了APP安全意识的调查，调查结果显示，88.5%的受访者对于APP申请手机权限会谨慎对待，32.9%的受访者对于APP精准推送广告的行为表示很反感，感觉自己被窥探或被偷听。整体来看，大众个人信息保护的意识正在逐步增强，但个人信息收集主体与被收集者之间的实力及地位始终存在一定悬殊，相较于个人信息收集主体，被收集者缺乏信息及技术的获取渠道，双方之间信息及技术不对称；且针对个人信息及信息技术等相关问题，被收集者往往存在一定的认识局限，以上问题都会导致告知同意原则的实际适用效果大打折扣。2020年9月28日，中国互联网络信息中心发布了第46次中国互联网络发展状况统计报告，报告中显示，截至2020年6月我国共有9.4亿网民，较2020年3月新增网民3625万，互联网普及率达67%，较3月提升了2.5个百分点；且所有网民的学历结构状况如下。（见图表5-3-2）图表5-3-2现有网民的学历结构状况学历水平网民群体占比初中40.5%高中/中专/技校21.5%大学专科及以上18.8%大学本科及以上8.8%由该统计报告可知，广大网民的学历水平参差不齐，目前较难达到统一。因此，为了进一步缩小个人信息收集主体与被收集者之间的实力差距，发挥告知同意原则的最大效用，有必要进一步完善告知与同意的方式，最大程度地确保被收集者能够实现对个人信息的基本知情权及决定权。采用图片、视频、表情包等生动有趣的形式针对专业术语晦涩难懂、被收集者无耐心阅读隐私协议等问题，信息收集主体可以适当采用图片、视频、表情包等有吸引力的新方式对被收集者进行告知讲解，缓解被收集者的阅读反感和枯燥，确保被收集者对所有的必要事项做到真正知情，不断缩小双方信息不对称的差距，从而促使被收集者作出最真实的同意与否的决定。在此过程中，还需注重设计相应的引导被收集者行使删除请求权的页面或视频，让被收集者明确知悉该如何实现其删除请求权。简化告知内容，突出必要事项针对线上个人信息的收集，目前主要是手机APP及电脑软件进行的信息收集，大多以繁琐冗长的隐私条约对被收集者进行告知，个人信息收集主体应该尽量简化告知内容，可以采用字体粗细、大小及颜色等多种方式突出重点告知事项，同时采用少量内容多次弹出的方式对被收集者进行逐项告知，缓解被收集者的阅读疲劳，最大可能地保证其知晓个人信息收集的相关必要事项。针对线下个人信息的收集，即收集主体与被收集者面对面的情形，例如保险公司对参保人的相关信息进行纸质版收集并留存，或者工商管理部门对个人办理相关事项时提交的个人信息纸质版进行收集留存等，此时可将需要告知的事项逐条列出，制作一份简洁且重点突出的告知同意书，对被收集者进行当面告知。根据个人信息类别有区别的获取同意关于同意的获取方式，可依据个人信息的三个类别进行区别获取，针对个人私密信息和个人敏感信息的收集，严格适用明示同意的方式，最大程度的保护个人信息；而对于个人普通信息的收集，可以适当放宽同意的要求，采用默示同意的形式，以确保个人信息的收集利用效率。例如，收集个人私密信息时，可以设计两次弹出“确认同意”的选项，对被收集者的同意意愿进行反复确认；收集个人敏感信息时，设置一次“确认同意”的弹框；收集个人普通信息时，可以直接采取默示同意的形式，将相关必要事项告知被收集者后，如果被收集者没有点击“拒绝收集”的选项，则认定其同意收集；此外，对敏感、私密程度较为模糊，受个人主观影响大的个人信息进行收集前，可以设计简单的选项调查，了解被收集者的主观意愿，从而针对其不同的意愿适用对应的同意获取方式。（4）各行各业制定符合自身特点的告知同意标准不同行业对于个人信息的收集需求会有较大的不同，可以鼓励并督促各行各业在符合告知同意原则相关规定的基础上，制定符合行业内部特点的个人信息收集标准。中共中央网信办于2020年12月1日发布的《常见类型移动互联网应用程序（APP）必要个人信息范围（征求意见稿）》中，分门别类地对地图导航类、网络约车类、即时通信类、网络社区类、网络支付类、网上购物类、餐饮外卖类、快递物流类等38类常见类型APP的必要个人信息范围进行了规定。因此，各不同行业可以参照该趋势进一步制定属于其行业内部的细化标准，从而在收集个人信息时，更好地遵循告知同意原则及其限制规定。1.3.2统一裁判依据并提高违法成本（1）统一裁判依据我国当前的法律法规更多地集中于个人信息犯罪层面的刑事责任，而尚未达到犯罪程度的违法违规收集行为还没有相应的法律责任与之完全对应[[]郑佳宁.知情同意原则在信息采集中的适用与规则构建[J].东方法学，2020（02）：199-201.]；且目前关于个人信息收集方面的侵权责任法律法规还不完善，其中已有的法律规定主要是针对网络用户借助网络服务实施侵权行为的情形，该规定的着重点并不是个人信息收集问题，也不能完全包含因个人信息收集而引发的侵权问题，致使法院在审理相关案件时没有统一的法律依据，被侵权人亦缺乏相应的维权依据。对此，笔者认为，针对个人信息收集引发的后续侵权责任认定问题，可以明确适用过错责任推定，如果信息收集者无法证明其严格遵守了个人信息收集的相关原则及双方约定，则必须承担相应的侵权责任，因为个人信息收集者的实力地位往往都是被收集者无法企及的，且被收集者并不清楚信息收集者或处理者的收集及处理技术，也无法得知其内部的具体操作，[]郑佳宁.知情同意原则在信息采集中的适用与规则构建[J].东方法学，2020（02）：199-201.提高违法成本目前个人信息泄露、个人信息侵权等相关问题日益凸出，尽管网信部门、工信部等几大部门已经开始着力对各类APP违法违规收集的乱象进行集中整治，但仍有一些企业消极整改，个人信息侵权的案件也在不断发生，究其重要原因便是违法成本低，缺乏震慑力，一方面是个人信息带来的巨大利益，另一方面是不痛不痒的违法损失，多数信息收集主体都清楚该如何做出让自己受益最大的选择。针对该问题，必须尽快制定统一的违法违规后的惩处措施，加大处罚力度，可以采取与收益紧密挂钩的巨额罚款、记入企业信用档案、责令限期整改、严重则立马关停等措施，对信息收集主体敲响警钟，提高其合法合规开展个人信息收集的自觉性。1.3.3完善执法与监督体系法律的生命在于法律的施行，告知同意原则被设计的再完善也离不开后续的法律实施，只有最大限度地保证相关法律法规的正确施行，才能真正推动个人信息保护的发展进程。强化国家网信部门统筹协调作用我国目前还没有统一的个人信息保护执法监督部门，且存在多部门同时执法监管的现象，对此，应该尽快确定负责统筹监管的部门，该部门下面再分设专门监管国家公权力机关和非国家公权力机关的工作组，分两条线对个人信息的收集活动进行有序监管。立法者似乎也已经意识到了多部门混乱执法的问题，《个人信息保护法（草案）》第六章专门规定了履行个人信息保护职责的部门，进一步明确国家网信部门统筹协调和监督管理的权责地位，国务院相关部门则在各自职责范围内开展工作，同时县级以上地方人民政府相关部门也应积极履行个人信息保护和监督管理的职责[[]参考《个人信息保护法（草案）》第56条：国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作。国务院有关部门依照本法和有关法律、行政法规的规定,在各自职责范围内负责个人信息保护和监督管理工作。县级以上地方人民政府有关部门的个人信息保护和监督管理职责,按照国家有关规定确定。前两款规定的部门统称为履行个人信息保护职责的部门。]。[]参考《个人信息保护法（草案）》第56条：国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作。国务院有关部门依照本法和有关法律、行政法规的规定,在各自职责范围内负责个人信息保护和监督管理工作。县级以上地方人民政府有关部门