【个人信息收集告知同意原则的理论基础和法律依据分析8900字】

个人信息收集告知同意原则的理论基础和法律依据分析目录TOC\o"1-3"\h\u27645个人信息收集告知同意原则的理论基础和法律依据分析 1232901.1告知的界定 1255881.1.1告知的含义 198921.1.2告知的主体及对象 2264781.1.3告知的内容及方式 3259701.2同意的界定 4228941.2.1同意的含义 4260621.2.2同意的形式 5123891.2.3同意的范围 6182791.3告知同意原则的理论依据 631351.1.1告知同意原则的缘起及权利基础 655161.1.2告知同意原则的价值 7209521.4告知同意原则的法律依据 81.1告知的界定1.1.1告知的含义从文义简单理解，告知即告诉某对象让其知晓应该明了的某内容。告知背后的权利基础是知情权，大众对该权利最熟悉的认知即是存在于医疗领域中的知情权，患者或患者家属对病患的病情及手术中可能出现的风险享有知情权。广义的知情权一般包括公民对国家政府的行为及政策等方面的知情权、广大民众对社会各方面发展情况的知情权及当事人对于和自身关联情况所享有的知情权，本文主要指向的是第三类知情权，且仅研究个人信息收集环节的告知含义。2017年正式实施的《网络安全法》第22条第3款规定:“网络产品、服务具有收集用户信息功能的，其提供者应当向用户明示并取得同意。”；第41条第1款规定:“网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围。”2020年《民法典》第1035条第1款规定:“处理个人信息，应当遵循合法、正当、必要原则，不得过度处理，并符合下列条件:（三）明示处理信息目的、方式和范围。”虽然相关法律条文中并未对告知进行明确定义，但却规定了信息收集主体收集个人信息时应该履行的告知义务。笔者认为，告知是指信息收集主体告诉被收集者个人信息收集的目的、方式、范围、存储期限及可能风险等必要事项，并使被收集者对这些事项有充分了解的行为。告知是信息收集主体应该履行的义务，也是保障信息被收集者知情权的重要方式。1.1.2告知的主体及对象随着信息时代的飞速发展，网络及计算机已经逐渐成为大众日常生活中不可或缺的一部分，信息经济的发展同样依靠网络和计算机技术，但信息收集主体与被收集者之间的地位及实力却一直处于极其不平等的状态。信息收集主体往往拥有海量的信息资源及先进的计算机技术，这是广大被收集者无法企及的优势，被收集者只能被迫处于不利地位，双方之间的信息严重不对称，而明确信息收集主体的告知义务有利于平衡这种不协调的状态。目前已有的法律法规中并未规定国家公权力机关及其授权主体为了国家管理而收集个人信息时，是否负有告知的义务，《民法典》也仅规定，在国家机关中履行相应职责的工作人员对于知悉的个人信息负有保密义务，并未涉及国家机关的告知义务；因此，非国家公权力机关的个人信息收集主体目前是履行告知义务的主要主体，而被收集者也即个人信息主体则是告知的对象，如若被收集者是儿童，则告知对象是其监护人。关于儿童信息保护，国家互联网信息办公室于2019年发布了《儿童个人信息网络保护规定》，该规定适用于不满14周岁的未成年人，其第9条规定：“网络运营者收集、使用、转移、披露儿童个人信息的，应当以显著、清晰的方式告知儿童监护人，并应当征得儿童监护人的同意。”个人信息被收集后，还存在被不同收集主体二次收集或共享转让的可能性，而大部分被收集者对此毫不知情，因此，进行个人信息二次收集或共享转让的实施主体同样是履行告知义务的主体。2020年9月12日，据每日经济新闻、新浪科技等多家媒体报道，创新工场董事长兼CEO李开复在HICOOL全球创业者峰会演讲时表示，曾在早期帮助旷视科技找了蚂蚁金服等合作伙伴，拿到了大量的人脸数据。虽然之后蚂蚁集团火速回应称，蚂蚁集团从未与李开复有过合作，并表示其公司极其重视对用户个人信息的保护，但广大网友对此展开了激烈的讨论，且看法褒贬不一。对于两家公司是否存在人脸信息二次收集和共享转让等问题，大众无从知晓，但该事件从侧面反映了个人信息的泄露可能性问题，告知在个人信息的二次处理过程中严重缺位；个人信息收集是信息后续存储、利用、共享、转让等处理环节的最初环节，一旦进入收集之后的各个处理阶段，被收集者就很难进行把控，因此，必须落实个人信息收集环节中各信息收集主体的告知义务，保障被收集者的基本知情权。1.1.3告知的内容及方式针对告知的内容，我国当前与个人信息收集相关的法律法规并未对此达成一致，例如，《民法典》及《网络安全法》仅规定，收集主体应当对收集、利用个人信息的目的、方式和范围进行告知；而我国首个关于个人信息保护的国家标准《信息安全技术公共及商用服务信息系统个人信息保护指南》规定，除了告知收集使用的目的、方式和范围，还应当告知个人信息的保护措施、个人信息管理者的名称地址及联系方式等信息、提供个人信息后可能存在的风险、个人信息主体的投诉渠道等。笔者认为，个人信息收集主体在收集个人信息时，有义务将相关的必要事项全面、真实的告知被收集者:（1）收集及后续处理个人信息的主体及联系方式。个人信息收集主体与个人信息后续处理者可能存在不一致的情形，而个人信息被收集者有权利知晓谁在收集其个人信息，以及谁将进一步处理其个人信息，并有权利知晓他们的联系方式，以便后续出现侵权问题时能够及时且有针对性地采取维权措施。（2）收集个人信息的范围及存储期限。个人信息收集主体在收集个人信息时，必须将个人信息的收集范围以及后续的存储期限真实全面的告知被收集者，以便被收集者及时构建一定的心理预期，因为面对同种类型的个人信息收集，不同的被收集者往往会有不同的主观衡量与判断，被收集者只有在知晓具体收集范围与存储期限等必要事项的情形下，才能根据自身意愿作出同意与否的真实决定。（3）收集的目的及方式。个人信息被收集者有权利知晓其个人信息将以何种方式被收集，以及将被用于何种目的，这也是个人信息被收集者普遍想明确的内容。被收集者知晓个人信息的具体收集方式及后续用途后，便于及时作出合理预判与风险评估等综合考量，以防个人信息在其不知情的情形下被用于非法目的或者被收集者抵触反对的目的用途。（4）可能出现的风险。个人信息一旦被收集，被收集者便基本失去了对后续处理环节的把控权，且个人信息的利用、存储、共享等后续处理环节往往涉及计算机技术，大多数被收集者并非专业技术人员，对大数据等处理技术并不了解，因此，处于信息优势的信息收集主体有义务将个人信息收集后可能出现的风险如实告知被收集者，以便其对是否同意收集做出合理判断。（5）出现问题时的解决途径。《民法典》第1037条规定：“自然人可以依法向信息处理者查阅或者复制其个人信息；发现信息有错误的，有权提出异议并请求及时采取更正等必要措施。自然人发现信息处理者违反法律、行政法规的规定或者双方的约定处理其个人信息的，有权请求信息处理者及时删除。”《网络安全法》第43条也对此作出了类似规定。因此，个人信息收集主体有义务对后续处理环节出现问题时的解决途径告知被收集者，例如，被收集者发现其个人信息被不合理收集、利用时，可以如何进行投诉，或者如何请求不合理收集者、利用者及时删除，构成侵权的，被收集者有权请求损害赔偿。个人信息收集主体收集个人信息时，不仅应当告知被收集者必要事项，还应当以显著、清晰的方式进行告知[[]郑佳宁.知情同意原则在信息采集中的适用与规则构建[J].东方法学，2020（02）：201.]。[]郑佳宁.知情同意原则在信息采集中的适用与规则构建[J].东方法学，2020（02）：201.[]参考【支付宝年度账单事件】/r/hroMivcP7O?f=cp&u=9a8ebefdabcac7f4，访问日期20同意的界定1.2.1同意的含义目前，我国与个人信息相关的法律法规中并没有对同意进行具体的定义性规定，而是仅仅规定了原则性条款，即，个人信息收集主体收集个人信息时必须告知被收集者且获得其同意。例如《民法典》第1033条规定：“除法律另有规定或者权利人明确同意外。”第1035条规定：“处理个人信息的，应当遵循合法、正当、必要原则，不得过度处理，并符合下列条件:（一）征得该自然人或者其监护人同意”《网络安全法》第41条规定：“网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。”这些条文都没有对告知和同意进行具体定义。欧洲一直走在个人信息保护的前沿，欧盟于2018年颁布实施的GDPR即《通用数据保护条例》更是成为了个人信息保护的重要标杆。GDPR第4条规定：“数据主体的同意是指，数据主体依照其意愿自由作出的、特定的、知情的、明确的指示。通过以声明或清晰肯定的行为作出的该等指示，数据主体表明其同意处理与其相关的个人数据[[]参考GDPR第4条[]参考GDPR第4条/s?ie=utf-8&src=hao360sobcube&shb=1&hsid=8bd7e3f638a1deaa&q=GDPR，访问日期2020.10.18笔者认为，欧盟GDPR对于同意的定义有一定参考价值，同意的前提是告知，个人信息收集主体要收集个人信息，首先，必须将相关必要事项全面真实的告知被收集者，被收集者的同意必须建立在充分知情的基础上；其次，被收集者的同意必须是出于其自由意思的表达，而不是在受胁迫或其他非自由情形下作出的同意表示；最后，被收集者的同意必须是明确具体的，既不是含糊同意，也不是大范围的概括同意，而是针对具体的收集目的作出的明确且具体的同意，如果后期的处理目的发生了实质性变化，个人信息的收集者必须再次告知被收集者且获取其具体的同意。另外，针对儿童个人信息的收集，由其合法监护人作出同意与否的决定。因此，个人信息被收集者的同意，是指被收集者在获得必要事项的充分告知后，对于个人信息收集主体的收集行为，依据自己的自由意志，作出的明确具体的允许表示。1.2.2同意的形式虽然《民法典》、《网络安全法》等都未对同意的形式作出具体规定，但我国2013年实施的规范性文件《信息安全技术公共及商用服务信息系统个人信息保护指南》中规定了明示同意和默示同意两种方式，这是我国首个个人信息保护的国家标准，该标准不仅规定了同意的两种方式，还将个人信息分为个人一般信息和个人敏感信息，并规定，个人敏感信息的收集必须获得明示同意[[]参考《信息安全技术公共及商用服务信息系统个人信息保护指南》，/doc/7011512-7234394.html，访问日期2020.10.18[]参考《信息安全技术公共及商用服务信息系统个人信息保护指南》，/doc/7011512-7234394.html，访问日期2020.10.18[]陆青.个人信息保护中“同意”规则的规范构造[N].武汉大学学报，2019，72（05）：同意的范围同意普遍适用于个人信息的收集环节，即，收集个人信息时，一般都需要获得被收集者的同意，但也存在着适用例外，关于适用同意的例外情形将在本文第4章进行具体研究，在此不作展开。我国目前与个人信息相关的法律法规仅对同意进行了原则性规定，但究竟是所有的个人信息收集都需要获得相同程度的同意，还是可以根据个人信息分类有区别的获取同意？这一问题已成为了学术界讨论的热点之一。笔者认为，在信息经济的大背景下，个人信息已经成为了重要的竞争资源，在确保信息主体人格权益得到充分保护的同时，亦不能忽略个人信息自带的财产价值。因此，有必要依据个人信息的私密敏感程度有区别的适用同意原则[[]翟相娟.个人信息保护立法中“同意规则”之检视[J].科技与法律，2019（03）：63-64.]，[]翟相娟.个人信息保护立法中“同意规则”之检视[J].科技与法律，2019（03）：63-64.[]戴中璧.论“知情同意”制度在大数据时代的嬗变[J].法学研究，2019（08）:12.1.3告知同意原则的理论依据1.1.1告知同意原则的缘起及权利基础告知同意原则诞生于医疗领域，也是目前处理医患关系的重要原则。1914年美国著名的上诉法院法官卡多佐审理了一项医患案件，被告医生在未告知患者且未获得其同意的情形下，擅自对处于麻醉状态的病患进行了肿瘤切除手术，患者由此提起诉讼请求赔偿相关损害，卡多佐法官在此案件中作出了经典判词：“每一个成年的心智健全的人都有权利自主决定如何处置自己的身体，医生未经患者同意就进行手术构成侵袭，并应因此负赔偿责任。”该判词奠定了告知同意原则的基础，此案件也成为了告知同意原则发展史上的里程碑事件[[]田野.大数据时代知情同意原则的困境与出路以生物资料库的个人信息保护为例[J].法制与社会发展，2018（06）：111.]。[]田野.大数据时代知情同意原则的困境与出路以生物资料库的个人信息保护为例[J].法制与社会发展，2018（06）：111.[]王文祥.知情同意作为个人信息处理正当性基础的局限与出路[N].东南大学学报，2018:141.关于告知同意原则的权利基础，多数学者主张信息自决权。信息自决权是由德国学者泰姆勒于1971年提出，他主张：“人们有权利自由决定周遭的世界在何种程度上获知自己的所思所想以及行动的权利[[]万方.隐私政策中的告知同意原则及其异化[N].西北政法大学学报，2019（0[]万方.隐私政策中的告知同意原则及其异化[N].西北政法大学学报，2019（02）：告知同意原则的价值（1）告知同意原则是实现信息自决权的重要前提，同意也是行使自决权的重要方式。在数据信息时代，信息收集主体与被收集者的实力往往处于极其悬殊的状态，信息收集主体普遍拥有先进的网络技术及专业的信息处理人员，而大部分被收集者并非专业人士，其获取信息的渠道及水平均易受到各种限制，由此便极易形成双方信息不对称、地位不对等的局面，而告知同意原则可以在很大程度上缩小双方的实力差距，既有利于充分保障信息主体的知情权，又有利于信息主体对其个人信息作出真实意思的表达。（2）告知同意原则是个人信息收集的正当性依据。告知同意原则已经成为个人信息收集环节的基本共识，因此，信息收集主体在收集个人信息时，必须全面真实的履行其告知义务，并依法获取被收集者的有效同意，否则其收集个人信息的行为不具有正当性，这亦是对正当性原则及合法性原则的违背。（3）告知同意原则是平衡个人信息保护与信息数据流通的重要杠杆。将个人信息进行分类，并针对不同类型的个人信息提出不同的同意要求，对于个人私密信息及个人敏感信息严格适用告知同意原则，对于个人普通信息的收集则适当放宽要求，如此宽严有别的适用既有利于保护个人重要信息，又有利于促进信息数据的高效流通。1.4告知同意原则的法律依据2011年12月，我国工业与信息化部发布了《规范互联网信息服务市场秩序若干规定》（以下简称《若干规定》），其中第11条不仅对个人信息进行了界定，还首次明确了信息收集主体的必要告知义务及信息主体的同意权。工业与信息化部政法司巡视员李国斌表示，之所以快速出台该规定，是由于互联网的迅速发展使得新技术、新应用层出不穷，我国的网民数量及互联网信息服务提供者的数量已分别达到了4.97亿和355万，与此同时，互联网信息服务的竞争日趋激烈，各类违法犯罪、信息泄露事件逐渐增多，因此有必要加快制定相关立法，《若干规定》的出台意在保护互联网信息服务提供者和用户的合法权益、规范互联网信息服务市场秩序、促进互联网行业的健康发展[[]参考【《规范互联网信息服务市场秩序若干规定》解读】/ma/s/RYNJgPeh，访问日期2020.10.28[]参考【《规范互联网信息服务市场秩序若干规定》解读】/ma/s/RYNJgPeh，访问日期2020.10.282012年11月，国家质量监督检验检疫总局与国家标准化管理委员会联合发布了《信息安全技术公共及商用服务信息系统个人信息保护指南》（以下简称《信息指南》），《信息指南》明确规定了处理个人信息的八项原则，其中就有公开告知原则及个人同意原则，《信息指南》不仅对个人信息收集主体需要告知的内容及方式进行了细致规定，还进一步明确了信息主体同意的两种方式：明示同意、默示同意，并将个人信息分为一般个人信息和个人敏感信息以进行区别保护；此外，《信息指南》还规定，收集未满16周岁的未成年人等限制民事行为能力或无行为能力人的个人敏感信息时，必须征得其法定监护人的明示同意。《信息指南》是我国首个个人信息保护的国家标准，不仅为个人信息处理的每个环节提供了具体的操作标准，还首次以原则的形式对告知同意进行了规定，该《信息指南》在个人信息滥用的背景下出台，旨在促进个人信息的合理利用，指导和规范利用信息系统处理个人信息的活动。为了保障网络信息安全，全国人大常委会于同年12月发布了《全国人大常委会关于加强网络信息保护的决定》（以下简称《加强网络信息保护的决定》），其中第2条虽然仅提及合法、正当、必要的原则，但也明确规定了个人信息收集主体的告知义务及信息主体的同意权。2013年1月，国务院发布《征信业管理条例》（以下简称《征信条例》），旨在规范征信活动，引导、促进征信业健康发展。《征信条例》第13条、第14条对征信机构的必要告知义务及信息主体的同意权等相关方面均作了规定。同年7月，工业和信息化部依据《加强网络信息保护的决定》等法律法规，针对我国境内提供电信服务和互联网信息服务过程中收集、使用用户个人信息的活动，出台了《电信和互联网用户个人信息保护规定》（以下简称《电信保护规定》），其中第9条不仅再次明确了个人信息收集主体的告知义务及信息主体享有的同意权，还在《加强网络信息保护的决定》的基础上对告知的内容进行了扩充。同年10月，全国人大常委会发布了新修订的《中华人民共和国消费者权益保护法》（以下简称《消费者权益保护法》），其中第29条是《消费者权益保护法》首次对经营者收集消费者个人信息的活动进行规定。2014年5月，国家工商总局发布《网络交易平台经营者履行社会责任指引》（以下简称《网络交易责任指引》），旨在规范网络商品交易及有关服务行为。鉴于当时网络交易日渐频繁、“双11”“6.18”等大型网购狂欢节被火爆推广，淘宝、京东等网络交易平台迅速崛起，为线上经营者及网购消费者提供了极其便利的交易平台，这些交易平台为了统一有序的管理及高效的交易成功率，不可避免地会收集平台内经营者、消费者的个人信息，由此即引发了个人信息被过度收集、个人信息泄露等一系列问题。该《网络交易责任指引》便是在《消费者权益保护法》的基础上进一步规范网络交易平台的个人信息收集活动。同年8月，最高人民法院发布《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》（以下简称《最高院若干问题的规定》），由其中第12条规定可知，收集、公开个人隐私及其他个人信息时，必须首先获得信息主体的书面同意。2016年11月，全国人大常委会正式发布《中华人民共和国网络安全法》（以下简称《网络安全法》），这是我国第一部关于网络安全的专门性、综合性立法，信息化时代的到来必然伴随着网络安全的挑战，而《网络安全法》是我国网络空间法制化的重要里程碑。由其第41条的内容可知，告知同意原则在个人信息收集环节的重要程度不言而